网络安全期末复习

一、考试题型

选择题：15分       填空题：15分       判断题：10分       简答题：6*6=36分       应用题：3*8=24分

二、考点归纳

（一）网络安全概述

1、定义：网络安全是指在分布式网络环境中，对信息载体（处理载体、存储载体、传输载体）和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容遭到破坏、更改、泄露，或网络服务中断或拒绝服务或被非授权使用和篡改。

2、要素：五个要素，机密性、完整性、可用性、可控性、不可抵赖性。

3、技术：网络攻击与防范，信息加密技术，防火墙技术，防病毒技术，操作系统安全，VPN技术，Web应用防火墙。

4、eNSP：华为网络仿真工具，了解常用命令。

system-view                #用用户模式切换到系统配置模式

display this                  #显示当前位置的设置信息，很方便了解系统设置

display 端口            　 #显示端口的相关信息

shutdown                     #当进入了一个端口后，使用shutdown可以关闭该端口

undo 命令                    #执行与命令相反的操作，如undo shutdown是开启该端口

quit                                                                 #退出当前状态

sysname 设备名                                       　  #更改设备的名称

interface eth-trunk 1                                 　  #创建汇聚端口1（若已创建则是进入）

interface GigaBitEthernet 0/0/1         　　　  #进入千兆以太网端口1的设置状态

bpdu enable                         　　　　　　　 #允许发送bpdu信息

ip address 192.168.0.10 24               　　　  #设置ip地址，24代表24位网络号

vlan 10                              　　　　　　　　 #进入vlan 10的配置状态

（二）网络攻击与防范【重点】

1、端口扫描：端口是潜在的通信通道，也是入侵通道。常用工具有Nmap、X-Scan。

2、嗅探攻击：嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。网卡有四种工作模式，即广播模式、组播模式、单播模式和混杂模式，嗅探器工作在混杂模式。常用工具有Sniffer、Wireshark、IRIS。

3、DHCP服务器仿冒攻击：DHCP（动态主机配置协议）是一个应用层协议，为客户机自动配置IP地址。由于DHCP 服务器和客户端之间没有认证机制，所以可以随意添加DHCP服务器。防范措施是在网络层配置使用DHCP监听（DHCP Snooping），可以记录客户端IP地址与MAC地址的对应关系，防止DHCP攻击。

4、DOS拒绝服务攻击：DOS攻击是通过野蛮手段耗尽被攻击对象的资源，让目标计算机或网络无法提供正常的服务，使目标系统停止响应甚至崩溃。

5、ARP攻击：ARP是地址解析协议，用于将目标主机的IP地址转换为MAC地址。如果该协议被恶意地对网络进行攻击，后果非常严重。ARP包括两个协议包，ARP请求包与ARP回应包。ARP欺骗分为网关欺骗与主机欺骗，前者对路由器ARP表的欺骗，后者对内网PC的网关欺骗。

6、木马：木马是一各具有破坏性的网络程序，一般由服务器程序和控制器程序组成，通过服务器程序感染计算机。如灰鸽子木马。

7、习题：P60选择题、填空题、应用题

（1）ARP木马的原理：ARP协议设计之初没有任何验证功能，对这一漏洞实施破坏。

（2）查看主机ARP缓存中的IP地址及MAC地址，如C:\> ARP  -a

（3）重新绑定MAC地址，如C:\> ARP  -s  168.192.0.1  00-11-22-33-44-55

（三）信息加密【重点】

1、概述

（1）加密技术：对信息进行主动保护，通过数据加密、消息摘要、数字签名及密钥交换等技术，可以实现数据保密性、数据完整性、不可否认性和用户身份真实性等安全机制，从而保证了在网络环境中信息传输和交换的安全。

（2）密码系统：由算法和密钥构成。算法公开，保密性完全依赖于密钥。明文，密文。

2、对称加密算法

（1）对称加密算法：也称为传统密码算法，其加密密钥与解密密钥相同。分为序列密码算法和分组密码算法两类。

（2）DES算法：一种分组密码，密钥为64位，实际为56位，主要过程是分组、初始置换、16轮运算、末转换。每轮运算包括子密钥产生、扩展、运算、S盒子压缩等。比较安全，历史悠久，应用广泛，速度快。3DES是三种DES，更加安全。

3、非对称加密算法

（1）非对称加密算法：又叫公开密钥加密算法，有两个密钥，公开密钥和私有密钥。如果用公开密钥对数据加密，只有用对应的私有密钥才能解密，这是保密通信。如果用私有密钥对数据加密，那么只能用对应的公开密钥才能解密，这是数字签名和身份认证。典型的算法有RSA、Elgamal、背包算法、Rabin、HD、ECC（椭圆曲线加密算法）等。RSA最有影响力，非常安全，密钥为128位。RSA算法的原理是，两个大素数乘积的因式分解极其困难，因此将乘积公开作为公共密钥。

（2）对称加密算法与非对称加密算法的比较：对称加密算法的优点是加密解密速度快，适用于大量数据加密；缺点是密钥传输不安全，需要提前共享密钥。非对称加密算法的优点是密钥不需要共享，安全性高；缺点是加密解密速度慢，不适合大量数据加密。（习题）

4、数据完整性

（1）数据完整性：保证接收者能够辨别收到的消息是否是发送者发送的原始数据的机制。数据完整性通过散列函数实现验证。发送方使用散列函数对数据生成摘要值，并将发送给接收方；接收方对数据计算得到的散列值，与接收到的摘要值对比，验证数据是否完整。（习题）

（2）散列算法：特点是对所有输入产生固定长度的输出，且不同的输入产生不同的输出。散列算法具有抗碰撞和不可逆等特性，广泛应用于数字签名、消息认证等领域。MD5和SHA1是使用广泛使用的散列算法。（习题）

5、PGP加密系统

（1）PGP：一种在信息安全传输领域首选的加密软件，采用非对称的加密体系。PGP最初的设计主要用于邮件加密，如今已经发展到了可以加密整个硬盘、分区、文件、文件夹、集成进邮件软件，甚至可以对ICQ聊天信息实时加密。现版本最大支持4096位加密强度。

（2）GPG加密算法：计算量大，使用两个密码，适合加密长数据。

6、习题：P83选择，填空，简单，应用题

（四）防火墙【重点】

1、防火墙：是设置在被内网和外网之间的安全屏障，防止不可预测的、破坏性的侵入。它是不同网络或安全域之间信息的唯一出入口，能根据安全策略(允许、拒绝、监测)控制出入的信息流。它是网络安全的基础设施，保障内网的安全。

2、防火墙的分类和特点

（1）包过滤防火墙：优点①一个过滤路由器能协助保护整个网络；②数据包过滤对用户透明；③过滤路由器速度快、效率高。缺点①不能彻底防止地址欺骗；②一些应用协议不适合于数据包过滤；③正常的数据包过滤路由器无法执行某些安全策略。

（2）代理防火墙：优是采用代理机制工作，内外部通信需要经过代理服务器审核，可以实现更高级的数据检测过程。缺点①处理速度比较慢，能够处理的并发数比较少；②升级困难。

（3）状态检测防火墙：优点①安全性好；②性能高效；③扩展性好；④配置方便，应用范围广。缺点①回程数据包可以直接放行，不需要设定额外的规则；②流量只检测第一个报文，后续的报文命中会话直接转发，后续包处理速度快。（习题）

3、防火墙的功能：①网络安全的屏障。能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。②强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件配置在防火墙上。③监控审计。④防止内部信息的泄露。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。⑤日志记录与事件通知。（习题）

4、防火墙转发原理

（1）包过滤防火墙：作为网络安全保护的一种机制，对于网络中各种不同的流量做一个最基本的控制。最基本的包过滤防火墙对于要转发的报文，先对其报文头部进行信息获取，包括报文头部里面的源IP地址、目的IP地址、传输层协议的协议号、源端口号和目的端口号等，然后去对预先设置好的过滤规则进行匹配，根据过滤规则给出的动作对整个报文进行转发或丢弃动作。ACL（访问控制表）包含以上五种重要信息，定义规则精细控制报文转发。

（2）状态检测防火墙：会话表是关键，每一个数据流量建立一个对应的会话表项，包含五种重要信息。在防火墙上输入display firewall session table 命令，显示会话表（如下图）。

5、防火墙安全策略及应用：见课本P102。

6、本章综合案例：见课本P110。

（1）参数：左网的网关192.168.5.2、掩码255.255.255.0，右网的网关1.1.1.1、掩码255.255.255.0

用ping命令来验证数据包能否路由到子网。

（2）设置：如果不允许左网的数据包进入右网，可设置源网络IP为192.168.5.0，而目标网络IP为1.1.1.0。

（3）设置：如果设置了过滤ICMP协议，可能导致两个网络之间ping不通，但是右网可以接收到左网的数据包。

7、习题：P113选择，简答

（五）计算机病毒

1、概述：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的发展分为DOS阶段、Windows阶段、Internet阶段。

2、特征：非授权可执行性，隐蔽性，传染性，潜伏性，表现性或破坏性，可触发性。

3、传播途径：通过移动存储设备传播，通过网络传播。

4、分类：（1）按寄生方式分为引导型病毒、文件型病毒和复合型病毒，引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。（2）按破坏性分为良性病毒和恶性病毒。

5、破坏行为：攻击系统数据区，攻击文件，攻击内存，干扰系统运行，速度下降，攻击磁盘，扰乱屏幕显示，键盘，喇叭，攻击CMOS，干扰打印机。

6、常见病毒：（1）CIH病毒，恶性病毒，破坏硬盘数据和BIOS。（2）宏病毒，感染office文档。（3）蠕虫病毒，通过网络传播，大量复制，导致网络瘫痪，如冲击波、熊猫烧香、勒索。

7、杀毒软件：Symantec，瑞星，金山毒霸，360。

8、习题：P157选择，填空

（六）Windows操作系统安全

1、用户安全

（1）本地策略：审核策略，安全选项（加固信息安全）

（2）用户管理：内置账户（Guest、Administrator），本地用户

（3）组管理：默认组，用户自定义组

（4）账户与密码安全：安全密码原则，更改Administrator账户名称，创建陷阱账户

2、文件系统的安全

（1）NTFS文件夹与文件权限：完全控制、读取、写入、修改、读取和执行、列出文件夹内容

（2）文件权限的继承和共享：取消默认共享

（3）文件的加密和解密：NTFS分区有加密文件系统功能。

3、操作系统的安全

主要措施有：（1）使用高级功能防火墙；（2）配置本地组策略增强系统安全性；（3）在网络上加固系统安全

4、习题：P209选择，填空，简答。

（七）Linux操作系统安全

1、使用GPG加密Linux文件：PGP（Pretty Good Privacy）是最为有名的加密工具之一，PGP最初的设计主要是用于邮件加密，如今已经发展到了可以加密整个硬盘、分区、文件、文件夹、集成进邮件软件进行邮件加密，甚至可以对ICQ的聊天信息实时加密，它是商业版本。

2、使用LUKS加密Linux磁盘：LUKS(Linux Unified Key Setup)为Linux硬盘分区加密提供了一种标准，它不仅能通用于不同的Linux发行版本，还支持多用户/口令。因为它的加密密钥独立于口令，所以如果口令失密，我们可以迅速改变口令而无需重新加密整个硬盘。LUKS不仅提供一个标准的磁盘上的格式，还提供了多个用户密码的安全管理。在实现过程中必须首先对加密的卷进行解密，才能挂载其中的文件系统，在使用的时候对加密的分区进行解锁后挂载就可以使用，在不使用的时候就要先卸载后再锁定分区。文件系统在加密层之上，当加密层被破坏掉之后，磁盘里的内容就看不到，因为没有设备对他解密。

3、使用SELinux保护网络服务：SELinux是保护系统的另一种方法，SELinux定义了一组哪些进程能访问哪些文件、目录、端口等的安全规则。每个文件、进程、目录和端口都具有专门的安全标签，称为SELinux的安全上下文。

4、入侵检测

（1）入侵检测：入侵检测系统（IDS）是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。IDS是一种积极主动的安全防护技术。

（2）功能：识别黑客常用入侵与攻击手段，监控网络异常通信，鉴别对系统漏洞及后门的利用，完善网络安全管理。

（3）组成：事件产生器、事件分析器、响应单元、事件数据库。事件是IDS中所分析的数据的统称，它可以是从系统日志、应用程序日志中所产生的信息，也可以是在网络中抓到的数据包。

（4）类型：基于主机的IDS，基于网络的IDS。

（5）过程：信息收集，信号分析，实时记录、报警或有限度反击。

（6）位置：网络主机，网络边界，广域网中枢，服务器群，局域网中枢。

（7）工具：AIDE，一个入侵检测工具，主要用途是检查文档的完整性。RKHunter，开源工具。

（8）Snort：开源网络入侵检测系统，有嗅探器、数据包记录器和网络入侵检测三种工作模型，可配置

（9）SSL：网络安全套接字层，是HTTPS的基础，实现了网页的安全传输。使用443端口，40位RC4流加密算法，X.509数字认证。解决了信任主机的问题，以及通信过程中数据的泄密和被篡改问题。

（10）习题：P249选择，填空。

（八）VPN【重点】

1、VPN：即虚拟专用网络，是将不同地域的企业私有网络，通过公用网络连接在一起，如同在不同地域之间为企业架设了专线一样，也就是说VPN的核心就是在利用公共网络建立虚拟私有网。

2、分类：按照业务用途分为远程用途VPN、企业内部业务用途VPN和企业扩展业务用途VPN，按照工作层次分为SSL VPN（传输层）、L2VPN（如PPTP、L2F、L2TP）和L3VPN（如IPSec、GRE），按照使用场景分为站点到站点的VPN和个人到站点的VPN。

3、隧道技术：利用一种网络协议传输另一种网络协议，也就是将原始网络信息进行再次封装，并在两个端点之间通过公共互联网络进行路由，从而保证网络信息传输的安全性。它主要利用隧道协议来实现这种功能，具体包括第二层隧道协议（用于传输二层网络协议）和第三层隧道协议（用于传输三层网络协议）。

4、GRE VPN

（1）GRE：是一种封装在三层的VPN技术。GRE可以对一些网络层协议报文（如IPX、IP等）进行封装，同时封装后的报文能够在另一种网络协议中传输（如IPv4），进而解决了跨越异种协议网络的报文传输问题。异种报文传输的通道就成为隧道Tunnel。

（2）华为防火墙上实现GRE VPN：P256课业任务8-1

总公司与分公司使用GRE VPN对数据流加密传输

A.基础配置：配置防火墙FW1的两个接口的IP地址，并将两个接口加入不同的安全域。类似配置防火墙FW2。

B.隧道口配置：配置 FW1的Tunnel 1的IP地址、协议、源IP地址、目的IP地址及安全域。类似配置FW2。

C.配置隧道的路由：配置进入FW1和FW2隧道的路由。

D.安全策略：配置FW1的隧道出方向、入方向、进入离开防火墙的安全策略，类似配置FW2。

E.测试连通性：ping

5、IPSec VPN：要实现站点到站点的VPN，最常见使用的协议为IPSec协议，IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括认证头协议AH、封装安全载荷协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

6、习题：P277填空，简答

（九）Web应用防火墙【重点】

1、Web应用防火墙：网络防火墙只是在第三层（网络层）有效的阻断一些数据包，无法防护应用层攻击。网络防火墙可以防护ARP攻击、SYN-Flood攻击、ACK-Flood攻击、UDP-Flood攻击等，而不能防护SQL注入、XSS、命令注入等攻击。而随着WEB应用的功能越来越丰富的时候，WEB服务器成为主要的被攻击目标（第五层应用层）。WAF称为WEB应用防火墙，是通过执行一系列针对HTTP、HTTPS的安全策略来专门对WEB应用提供保护的一款产品。

2、常用的Web攻击手段：SQL注入攻击、XSS攻击、失效的身份认证、敏感信息泄露、XML外部实体注入、安全配置错误。

3、Web 应用防火墙系统的功能：①审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。②访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。③架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。④WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。（习题）

4、Web 应用防火墙的部署模式：透明模式、路由模式、混合模式。

如果防火墙以第三层对外连接（接口具有IP 地址），则认为防火墙工作在路由模式下；

若防火墙通过第二层对外连接（接口无IP 地址），则防火墙工作在透明模式下；

若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP 地址，某些接口无IP 地址），则防火墙工作在混合模式下。（习题）

5、习题：P307简答

三、题型举例

略