软考网络工程师-网络安全

1、信息安全

信息安全五要素：（1）机密性（2）完整性（3）可用性（4）可控性（5）可审查性

2、网络安全威胁

主动攻击：使源站和目的站的通信中断、篡改、伪造，通信内容发生变化；（重放攻击）

被动攻击：不会影响源和目的的通信，截取或复制一份通信信息；

3、加密算法与信息摘要

对称加密（也称共享密钥），RSA非对称加密（公开密钥）

加密体系：公钥加密，私钥解密

签名体系：私钥加密，公钥解密

对称加密算法：

非对称加密算法RSA：

公私钥计算：

（1）两个素数p和q；

（2）n=pq，z=（p-1）（q-1）；

（3）公式ed=1（mod z），e公钥，d私钥{公私可变形为（ed）/z余数为1}

数字签名技术：用于确认发送者身份和消息完整性，（1）接收者能够核实发送者（2）发送者事后不能抵赖（3）接收者不能伪造签名。

发送方A（私钥签名）+接收方B（公钥加密）------B（私钥解密）+A（公钥认证）

密钥管理体系：

KMI：密钥管理基础结构，第三方KDC，秘密物理通道，适用于封闭的内网使用；

PKI：公钥基础结构，不依赖秘密物理通道，适用于开放的外网；

SPK：适用于规模化专用网。

口诀：男人在外面PK（I），女人在家里KM（I）

4、应用层安全协议

①SHTTP：安全超文本传输协议，使用TCP的80端口

HTTPS：HTTP+SSL，使用443端口

②PGP：电子邮件加密软件包，把RSA公钥体系的高保密和传统加密体系的高速度结合一起。

PGP提供数据加密和数字签名两种服务，使用RSA对公钥证书加密认证，IDEA（128位密钥）进行数据加密，MD5进行完整性验证。

③SET：安全电子交易协议，保障购物安全。

SET是安全协议和报文格式集合，融合了SSL、STT、SHTTP、PKI等加密签名认证。SET提供三种服务：（1）保证客户交易信息的保密性和完整性（2）确保商家和客户交易行为的不可否认性（3）确保商家和客户的合法性。

SET双重签名技术：商家看不到用户银行账号信息，银行看不到用户订单信息。

④Kerberos：是一项认证服务，3A认证（验证、授权、记账）

5、虚拟专用网VPN技术

1.建立在公网上；2.虚拟性，没有专用物理连接；3专用性，非VPN用户无法访问

VPN四个关键技术：1.隧道技术；2.加密技术；3.密钥管理技术；4.身份认证技术。

VPN在七层协议中使用：

二层：PPP（点对点协议）、PPTP（点对点隧道协议）、L2TP（第二次隧道协议）

三层：IPSec（IP安全性）、GRE（通用路由封装协议）

四层：SSL/TLS（安全套接层，工作传输层，封装在4.5层）

MPLS（2.5层）：网络供应商为每个VPN提供一个唯一的VPN标识符。称为路由标识符RD

PPP（1.LCP–链路控制协议2层；2.NCP–网络控制协议3层）

PPP（1.PAP–口令认证协议–明文；2.CHAP–挑战握手协议–密文）

PPTP（1.PAC–PPTP接入集中器2层；2.PNS–PPTP网络服务器3层）

L2TP（1.LAC–L2TP访问集中器2层；2.LNS–L2TP网络服务器3层）

PPTP与L2TP比较：（1）PPTP要求IP网络，L2TP适用各种网络；（2）PPTP只能建立一条隧道，L2TP可以建立多条；（3）PPTP包头包含6字节，L2TP占用4字节；（4）PPTP不支持隧道验证，L2TP支持。

SSL与IPSec比较：（1）IPSec在网络层建立隧道，使用固定VPN，SSL在应用层的web连接建立的，适合移动用户远程访问公司VPN；（2）IPSec在网络层，灵活性小，SSL工作在传输层，灵活性大。

10.4.5、IPSec

IP安全性，在Ip层通过加密与数据源验证，来保证数据包传输安全。（1）认证头AH，用于数据完整和数据源认证、防重放（2）封装安全负荷ESP，提供数据加密、数据完整、辅助防重放（3）密钥交换协议IKE，生成分发密钥。

IPSec两种模式：传输模式（AH封装在IP和TCP中间）和隧道模式（在原结构前加上AH）

6、网络安全、病毒防范和入侵检测

防火墙要求：

（1）内外网的通讯都必须经过防火墙

（2）只要经过授权的通信才可以经过防火墙

（3）防火墙本身具有高可靠性。

防火墙功能：（1）访问控制功能（2）内容控制功能（3）全面的日志（4）集中管理（5）自身安全。

防火墙附加功能：（1）流量控制（2）网络地址转换NAT（3）虚拟专用网VPN。

防火墙分类：（1）个人防火墙，瑞星防火墙、天网防火墙、360防火墙。（2）企业防火墙，思科防火墙、华为防火墙、诺顿防火墙。（3）软件防火墙，瑞星防火墙、天网防火墙、卡巴斯基防火墙（4）硬件防火墙，思科防火墙，Juniper防火墙。

防火墙体系结构：（1）双宿主机模式，双网卡（2）屏蔽子网模式，两个包过滤路由中间建立一个隔离子网，定义为DMZ网络（非军事化网络），目前最常用。

防火墙的工作模式：（1）路由模式：如果路由器以第三层对外连接（端口具有IP地址）；（2）透明模式：如果以第二层对外连接（端口无IP）；（3）混合模式：同时具有路由模式和透明模式的接口。

防火墙访问规则：（1）内部接口（inbound）；（2）外部接口（outbound）；（3）中间接口（DMZ）连接对外开放服务器。

（1）Inbound可以访问outbound和MDZ区域；（2）DMZ可以访问outbound；（3）outbound访问DMZ需配合static（静态地址转换）；（4）inbound访问DMZ需要配合acl。

病毒木马：（1）宏病毒：感染office文件，前缀Macro或word/excel；（2）蠕虫病毒：前缀Worm；（3）木马：谴责Trojan，黑客病毒前缀Hack；（4）系统病毒：前缀win32、PE、win95等；（5）脚本病毒：前缀Script，通过网页传播。

IDS（入侵检测系统，并联在设备上；进行信息收集和数据分析）与IPS（入侵保护系统串联在网络上，会切断网络）。防火墙不能检测应用层内容，IDS/IPS可以检测字节内容。