㈠ 網路安全基礎
網路安全通信所需要的基本屬性:
1. 機密性
2. 消息完整性
3. 可訪問與可用性
4. 身份認證
1. 竊聽
2. 插入
3. 假冒
4. 劫持
5. 拒絕服務DoS和分布式拒絕服務DDoS
6. 映射
7. 嗅探
8. IP欺騙
數據加密
明文:未被加密的消息
密文:被加密的消息
加密:偽裝消息以隱藏消息的過程,即 明文 密文 的過程.
解密: 密文 明文 的過程
1. 替代密碼 :用密文字母替代明文字母。
移位密碼加密函數:
:加密過程
:明文信息
:密鑰,表示移幾位
:如果是26個字母,那q就是26
解密函數:
:解密過程
:密文
:密鑰
2. 換位密碼 :根據一定規則重新排列明文。
【 例題 】如果對明文「bob.i love you. Alice",利用k=3的凱撒密碼加密,得到的密文是什麼?利用密鑰 "nice" 進行列置換加密後得到的密文是什麼?
【 答案 】 凱撒密碼 加密後得到的密文是:
"ere l oryh brx Dolfh"
列置換密碼 加密後得到的密文是:
iex bvu bly ooo"
【 解析 】 凱撒密碼 :
以明文字母b為例,M=2(b的位置為2),k=3,q=26,則:
密文 ,對應字母e,故b經過加密轉為了e
將明文全部替換後得到的密文 "ere l oryh brx Dolfh"
列置換密碼:
密鑰 "nice" 字母表先後順序為 "4,3,1,2" ,因此,按這個順序讀出表中字母,構成密文:"iex bvu bly ooo",(密鑰有幾位就有幾列,如果明文不夠就補x,然後按列讀取)
1. 對稱密鑰 密碼:加密秘鑰和解密秘鑰相同( ),例如用一個鎖將箱子鎖起來,這個鎖有2把相同的鑰匙,鎖好之後把另一把鑰匙派人送給他。
2. 對稱密鑰密碼 分類 :
分組密碼:DES、AES、IDEA等。(分組處理)
1) (數據加密標准):56位密鑰,64位分組。(56位二進制數,每位的取值是0或1,則所有的取值就是 個)
2) :使用 兩個秘鑰 (共 112位 ),執行三次DES演算法。(用1個密鑰執行一次加密,再用另一個密鑰執行一次解密,共執行三次)
3) (高級加密演算法):分組128位,密鑰 128/192/256 位。
4)IDEA:分組64位,密鑰 128 位。
流密碼(挨個處理)
1. 非對稱密鑰 密碼:加密密鑰和解密密鑰不同, ,其中一個用於加密,另一個用於解密。( 私鑰 :持有人所有 公鑰 :公開的)
2. 加密密鑰可以公開,也稱公開密鑰加密。
3. 典型的公鑰演算法:
Diffie-Hellman演算法
RSA演算法
密碼散列函數
1. 特性:
定長輸出;
單向性(無法根據散列值逆推報文)
抗碰撞性(無法找到具有相同散列值的兩個報文)
2. 典型的散列函數
MD5:128位散列值
SHA-1:160位散列值
報文認證是使消息的接收者能夠檢驗收到的消息是否是真實的認證方法。來源真實,未被篡改。
1. 報文摘要(數字指紋)
2. 報文認證方法
簡單報文驗證:僅使用報文摘要,無法驗證來源真實性
報文認證碼:使用共享認證密匙,但無法防止接收方篡改
身份認證、數據完整性、不可否認性
1. 簡單數字簽名:直接對報文簽名
2. 簽名報文摘要
1. 口令:會被竊聽
2. 加密口令:可能遭受回放/重放攻擊
加密的口令可能會被截獲,雖然不知道口令是什麼,但他將加密口令提交給伺服器,說這是我加密的口令,這叫重放.
3. 加密一次性隨機數:可能遭受中間人攻擊
Alice發給Bob說她是Alice,但Bob說你要向我證明,Bob生成一個隨機數發給Alice,讓Alice用自己的私鑰進行加密,加密後再把數據發給Bob,然後Bob再向Alice要公鑰進行解密解出來的隨機數如果和Bob發給Alice的隨機數一樣的話,那就說明她是Alice。
這種方法會被中間人攻擊,Alice發送的私鑰加密被Trudy更換為自己用私鑰加密的數據然後發給Bob,公鑰也被Trudy換了,最後Bob用公鑰加密數據發給Alice,Trudy截獲了,用自己的私鑰進行解密,獲得了數據。
密鑰分發存在漏洞:主要在密鑰的分發和對公鑰的認證環節,這需要密匙分發中心與證書認證機構解決
雙方通信時需要協商一個密鑰,然後進行加密,每次通信都要協商一個密鑰,防止密鑰被人截獲後重復使用,所以密鑰每次都要更換,這就涉及到密鑰分發問題。
基於 KDC 的秘鑰生成和分發
認證中心CA:將公鑰與特定的實體綁定
1. 證實一個實體的真實身份;
2. 為實體頒發 數字證書 (實體身份和 公鑰 綁定)。
防火牆 :能夠隔離組織內部網路與公共互聯網,允許某些分組通過,而阻止其它分組進入或離開內部網路的軟體、硬體或者軟硬體結合的一種設施。
前提 :從外部到內部和從內部到外部的所有流量都經過防火牆
1. 無狀態分組過濾器
基於特定規則對分組是通過還是丟棄進行決策,如使用 實現防火牆規則。
2. 有狀態分組過濾器
跟蹤每個TCP連接建立、拆除,根據狀態確定是否允許分組通過。
3. 應用網關
鑒別 用戶身份 或針對 授權用戶 開放 特定服務 。
入侵檢測系統(IDS):當觀察到潛在的惡意流量時,能夠產生警告的設備或系統。
1. 電子郵件安全需求
1)機密性
2)完整性
3)身份認證性
4)抗抵賴性
2. 安全電子郵件標准:
1. SSL是介於 和 之間的安全協議.
2. SSL協議棧
(傳統的TCP協議是沒有安全協議的,傳輸都是明文,所以在TCP上面設置SSL協議保證安全性)
3. SSL握手過程
協商密碼組,生成秘鑰,伺服器/客戶認證與鑒別。
1. VPN
建立在 上的安全通道,實現遠程用戶、分支機構、業務夥伴等與機構總部網路的安全連接,從而構建針對特定組織機構的專用網路。
關鍵技術 : ,如IPSec。
2. 典型的 網路層安全協議 ——
提供機密性、身份鑒別、數據完整性和防重放攻擊服務。
體系結構: 認證頭AH協議 、 封裝安全載荷ESP協議 。
運行模式: 傳輸模式 (AH傳輸模式、ESP傳輸模式)、 隧道模式 (AH隧道模式、ESP隧道模式)
本文主要介紹了網路安全基本概念、數據加密演算法、消息完整性與數字簽名、身份認證、密鑰分發中心與證書認證機構、防火牆與入侵檢測以及網路安全協議等內容。
回顧:
1. 網路安全基本屬性
2. 典型數據加密演算法;
3. 消息完整性、數字前面以及身份認證原理。
㈡ 網路安全包括哪些內容
第一階段:計算環境安全。
針對操作系統、中間件基礎操作以及安全配置進行教學,配置真實業務系統,需掌握Windows操作系統安全、Linux操作系統安全、中間件安全、資料庫安全、PowerShell編程、LinuxShell編程、密碼學應用等技術,並能夠對操作系統以及業務系統進行安全配置以及安全事件分析。
第二階段:網路通信安全。
針對網路通信安全進行教學,涵蓋網路基礎、交換協議、路由協議、協議流量分析等內容,並配備電信級網路環境為該部門教學提供基礎支撐。
本階段需要掌握網路設計以及規劃,並對參與網路的網路設備進行網路互聯配置,從業務需求出發對網路結構進行安全設計以及網路設備安全配置。
講師會結合當前最新安全趨勢以及龍頭安全企業或行業安全風險對安全市場進行分析及預測,讓學員能夠在學習階段提前與安全市場進行接軌。
第三階段:Web安全。
本階段需掌握Web安全漏洞的測試和驗證,以及網路安全攻擊思路及手段,熟練利用所學知識以對其進行防禦,掌握網路安全服務流程。
第四階段 :滲透測試。
本階段需要掌握滲透測試和內網安全。
滲透測試,這階段主要學習實戰中紅隊人員常用的攻擊方法和套路,包括信息搜集,系統提權,內網轉發等知識,msf,cs的工具使用。課程目標讓學員知己知彼,從攻擊者角度來審視自身防禦漏洞,幫助企業在紅藍對抗,抵禦真實apt攻擊中取得不錯的結果。
第五階段:安全運營。
根據業務需求掌握目前常見網路安全設備以及伺服器的安全配置以及優化,利用所有安全防護手段中得到的線索進行安全事件關聯分析以及源頭分析,並掌握網路威脅情報理論與實踐,掌握威脅模型建立,為主動防禦提供思路及支撐。
本階段主要學習安全加固、等級保護、應急響應、風險評估等技術知識。
第六階段:綜合實戰
本階段自選項目,針對熱點行業(黨政、運營商、醫療、教育、能源、交通等)業務系統、數據中心以及核心節點進行安全運營實戰;按等保2.0基本要求對提供公共服務的信息系統進行安全檢測、風險評估、安全加固以及安全事件應急響應。
㈢ 常見的網路安全設備有哪些
企業網路的安全設備有:
1、鏈路負載均衡---Lookproof Branch
Lookproof Branch是Radware公司專門為中小型網路用戶提供的性價比極高的廣域網多鏈路負載均衡的整體解決方案,其功能涵蓋了多鏈路負載均衡(Multilink LoadBalance)、多鏈路帶寬管理和控制以及多鏈路網路攻擊防範(IPS)。
2、IPS入侵防禦系統---綠盟IPS 綠盟科技網路入侵保護系統
針對目前流行的蠕蟲、病毒、間諜軟體、垃圾郵件、DDoS等黑客攻擊,以及網路資源濫用(P2P下載、IM即時通訊、網游、視頻„„),綠盟科技提供了完善的安全防護方案。
3、網行為管理系統---網路督察
4、網路帶寬管理系統--- Allot 帶寬管理
使用NetEnforcer的NetWizard軟體的設置功能,可以自動的獲得網路上通信所使用的協議。
5、防毒牆---趨勢網路病毒防護設備
Trend Micro Network VirusWall業務關鍵型設施的病毒爆發防禦設備。
㈣ 在等保1.0的要求中,網路設備
在茄改等保1.0的要求中,網路設備安全計算環境。
網路安全設備包括IP協議密碼機、安全路由器、線路密碼機、防火牆等,廣義的信息安全設備除了包括上述設備外,還包括密碼晶元、加密卡、身份識別卡、電話密碼機、傳真密碼機、非同步數據密碼機、安全伺服器、公開密鑰基礎設施(PKI)系統、授權證書(CA)系統、安全操作猛模系統、防病毒軟體、網路/系統掃描系統、入侵檢測系統、網路安全預警與審計系統等。
如果有郵件伺服器,則應該根據郵件伺服器的軟體配置安裝相應的防病毒軟體。伺服器防病毒一般根據其操作平台(如NT、UNIX、LINUX、NetWare等)進行定製安裝,並進行安全配置;伺服器應用范圍不同也需要不同配置策略,如WEB SITE、DNS、NOTES伺服器、資料庫中間層處理伺服器和其他商業應用伺服器等。網路中的每台主機也應該安裝防病毒軟體。
㈤ 網路安全包括網路基礎設施網路運行網路服務什麼等方面
網路安全包括網路基礎設施、網路運行與服務、信息安全等方面,是保障和促進信息社會健康發展的基礎。
網路安全,通常指計算機網路的安全,實際上也可以指計算機通信網路的安全。計算機通信網路是將若乾颱具有獨立功能的計算機通過通信設備及傳輸媒體互連起來,在通信軟體的支持下,實現計算機間的信息傳輸與交換的系統。
注意事項
不同的用戶應從不同的方面對其網路作詳盡的分析,選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬體平台,並對操作系統進行安全配置。
而且,必須加強登錄過程的認證(特別是在到達伺服器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。
㈥ 網路安全設備有哪些
1、防火牆
防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備,幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
防火牆技術的功能主要在於及時發現並處理計算機網路運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護。
同時可對計算機網路安全當中的各項操作實施記錄與檢測,以確保計算機網路運行的安全性,保障用戶資料與信息的完整性,為用戶提供更好、更安全的計算機網路使用體驗。
主要是在兩個網路之間做隔離並需要數據交換,網閘是具有中國特色的產品。
㈦ 良好的網路設備安全配置管理原則
網路配置與管理
第一章
1. 計算機技術與通訊技術的緊密結合產生了計算機網路。它經歷了三個階段的發展過程:
具有通信功能的單機系統、具有通信功能的多機系統和計算機網路。
2. 計算機網路按邏輯功能分為資源子網和通信子網兩部分。
資源子網是計算機網路中面向用戶的部分,負責數據處理工作。
通信子網是網路中數據通信系統,它用於信息交換的網路節點處理機和通信鏈路組成,主要負責通信處理工作。
3. 網路設備,在現代網路中,依靠各種網路設備把各個小網路連接起來,形成了一個更大的網路,也就是Internet。網路設備主要包括:網卡(NIC)、數據機(Modem)、集線器(Hub)、中繼器(Repeater)、網橋(Bridge)、交換機(Switch)、路由器(Router)和網關(Gateway)等。
4. 集線器是一種擴展網路的重要設備,工作在物理層。中繼器工作在物理層,是最簡單的的區域網延伸設備,主要作用是放大傳輸介質上傳輸的信號。網橋,工作在數據鏈路層,用於連接同類網路。交換機分為二層交換機和三層交換機,二層工作在數據鏈路層,根據MAC地址轉發幀。三層交換機工作在網路層,根據網路地址轉發數據包。每個埠都有橋接功能,所有埠都是獨立工作的,連接到同一交換機的用戶獨立享受交換機每個埠提供的帶寬,因此用交換機來擴展網路的時候,不會出現網路性能惡化的情況,這是目前使用最多的網路擴展設備。路由器,工作在網路層,它的作用是連接區域網和廣域網。網關工作在應用層。
5. 傳輸介質,可分為有線傳輸介質和無線傳輸介質。
6. 計算機網路的分類,根據地理范圍可以分為區域網(LAN)、城域網(MAN)、廣域網(WAN)、和互聯網(Internet)4種。
7. 區域網的分類,區域網主要是以雙絞線為傳輸介質的乙太網,基本上是企業和事業的區域網。
8. 乙太網分為標准乙太網,快速乙太網,千兆乙太網和10G乙太網。
9. 令牌環網,在一種專門的幀稱為「令牌」,在環路上持續地傳輸來確定一個結點何時可以發送包。
10. FDDI網,光纖分布式數據介面。同IBM的令牌環網技術相似,並具有LAN和令牌環網所缺乏的管理、控制和可靠性措施。
11. ATM網,非同步傳輸模式,ATM使用53位元組固定長度的單元進行交換。ATM的優點:使用相同的數據單元,可實現廣域網和區域網的無縫連接。支持VLAN(虛擬區域網)功能,可以對網路進行靈活的管理和配置。具有不同的速率,分為25、51、155、622Mbps,從而為不同的應用提供不同的速率。ATM採用「信元交換」來代替「包交換」進行實驗,發現信元交換的速度是非常快的。
12. 無線區域網,所採用的是802.11系列標准,它也是由IEEE 802標准委員會制定的。目前一系列標准主要有4個標准:802.11b 802.11a 802.11g 802.11z,前三個標准都是針對傳輸速度進行的改進。802.11b,它的傳輸速度為11MB/S,因為它的連接速度比較低,隨後推出了802.11a標准,它的連接速度可達54MB/S。但由於兩者不兼容,所以推出了802.11g,這樣原有的802.11b和802.11a標準的設備都可以在同一網路中使用。802.11z是一種專門為了加強無線區域網安全的標准。因為無線區域網的「無線」特點,給網路帶來了極大的不安全因素,為此802.11z標准專門就無線網路的安全做了明確規定,加強了用戶身份認證制度,並對傳輸的數據進行加密。
13. 網路協議的三要素為:語法,語義,同步。
14. OSI參考模型是計算機網路的基本體系結構模型,通常使用的協議有:TCP/IP協議、IPX/SPX協議、NetBEUI協議等。
15. OSI模型將通信會話需要的各種進程劃分7個相對獨立的功能層次,從下到上依次是:物理層 數據鏈路層 網路層 傳輸層 會話層 表示層 應用層。
16. TCP/IP參考模型包括4個功能層:應用層 傳輸層 網際層及介面層
17. 協議組件 IP:網路層協議。 TCP:可靠的主機到主機層協議。 UDP:盡力轉發的主機到主機層協議。 ICMP:在IP網路內為控制、測試、管理功能而設計的多協議。
18. IP地址介紹,地址實際上是一種標識符,它能夠幫助找到目的站點,起到了確定位置的作用。IP 地址分為A B C DE類地址。
19. IP地址的使用規則:
20. 網路號全0的地址保留,不能作為標識網路使用。主機號全0的地址保留,用來標識網路地址。
網路號全1、主機號全0的地址代表網路的子網掩碼。
地址0.0.0.0:表示默認路由。
地址255.255.255.255:代表本地有限廣播。
主機號全1的地址表示廣播地址,稱為直接廣播或是有限廣播。可以跨越路由器。
21. 劃分子網後整個IP地址就分為三個部分:主網號,它對應於標准A,B,C類的網路號部分。借用主機位作為網路號的部分,這個被稱為子網號。剩餘的主機號。
22. 子網掩碼的意義,在掩碼中,用1表示網路位,用0表示主機位。
23. IPV4地址不夠用了,所以出現了IPV6地址。,在表示和書寫時,用冒號將128位分割成8個16位的段,這里的128位表示在一個IPV6地址中包括128個二進制數,每個段包括4位的16進制數字。
第二章
1. 路由器是一種網路連接設備,用來連接不同的網路以及接入Internet。
IOS是路由器的操作系統,是路由器軟體商的組成部分。
2. 路由器和PC機一樣,也需要操作系統才能運行。Cisco(思科)路由器的操作系統叫做IOS,路由器的平台不同、功能不同,運行的IOS也不相同。IOS是一個特殊格式的文件,對於IOS文件的命名,思科採用了特殊的規則。
4. 網路互連:把自己的網路同其他的網路互連起來,從網路中獲取更多的信息和向網路發布自己的消息。網路互連有多種方式,其中執行最多是網橋互連和路由器互連。
5. 路由動作包括兩項基本內容:尋徑和轉發。尋徑:判斷到達目的地的最佳路徑,由路由器選擇演算法來實現。
6. 路由選擇方式有兩種:靜態路由和動態路由。
7.RIP協議最初是為Xerox網路系統的Xerox parc通用協議設計的,是Internet中常用的路由協議。RIP採用距離向量演算法,也稱為距離向量協議。 RIP執行非常廣泛,它簡單,可靠,便於配置。
8.ROP已不能互連,OSPF隨機產生。它是網間工程任務組織的內部網關協議工作組為IP網路而開發的一種路由協議。是一種基於鏈路狀態的路由協議。
9.BGP是為TCP/IP互聯網設計的外部網關協議,用於多個自治域之間。
10.路由表的優先問題,它們各自維護的路由表都提供給轉發程序,但這些路由表的表項間可能會發生沖突。這種沖突可通過配置各路由表的優先順序來解決。通常靜態路由具有默認的最高優先順序,當其他路由表項與它矛盾時,均按靜態路由轉發。
11. 路由演算法有一下幾個設計目標:最優化 簡潔性 快速收斂性靈活性堅固性
路由演算法執行了許多種不同的度量標准去決定最佳路徑。
通常所執行的度量有:路徑長度。可靠性,時延。帶寬。負載通信成本等。
第三章
進入快速乙太網介面配置模式命令:Router(Config)#Interface Fasterthernet interface-number
配置IP地址及其掩碼的命令:Router(Config-if)#ip address ip-address ip-mask【secondary】
啟用介面的命令:Router(Config)#no shutdown
進入介面SO配置模式:Router1(config)#interface serial 0
配置路由器介面SO的IP地址:Router1(config-if)#ip address 172.16.2.1255.255.255.0
配置Router1的時鍾頻率(DCE):Router1(config-if)#clock rate 64000
開啟路由器fastetherner0介面:Router1(config)#no shutdown
第四章
靜態路由的優點:1.沒有額外的路由器的cpu負擔2.節約帶寬3.增加安全性
靜態路由的缺點:1.網路管理員必須了解網路的整個拓撲結構
2.如果網路拓撲發生變化,管理員要在所有的路由上動手修改路由表
3.不適合於大型網路
默認路由是在路由選擇表中沒有對應於特定目標網路的條目是使用的路由
華為路由器配置默認路由:【RunterC】ip route-static 0. 0.0.0.0.0.0.0 192.168.40.1
靜態路由的默認管理距離:1
目前使用的動態路由協議又兩種:內部網關協議(IGP)和外部網關協議(RGP)
三種路由協議:距離矢量(Distance vector),鏈路狀態(Link state)和混合型(Hybrid)
RIP目前有兩個版本:RIPv1和RIPv2。RIPv1是個有類路由協議,而RIPv2是個無類路由協議
路由更新計時為:30秒 路由無效計時為:180秒保持停止計時為:大於等於180秒 路由刷新時間:240秒
復合度量包括4個元素:帶寬、延遲、負載、可靠性
訪問控制列表(ACL)是應用路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收,哪些數據包需要拒絕
ACL通過在訪問控制列表中對目的地進行歸類來管理通信流量,處理特定的數據包
ACL適用於所有的路由協議,如IP,IPX等
設置ACL的一些規則:
1. 按順序地比較,先比較第一行,再比較第二行,直到最後一行
2. 從第一行起,直到一個符合條件的行,符合以後,其餘的行就不再繼續比較下去
3. 默認在每個ACL中最後一行為隱含的拒絕,如果之前沒找到一條許可語句,意味著包將被丟棄
兩種主要的訪問控制列表:1.標准訪問控制列表2.擴展訪問控制列表
ACL號為1-99和1300-1999
擴展ACL使用的數字表號在100-199之間
第五章
交換機對數據包的轉發是建立在MAC地址基礎上
冗餘路徑帶來的問題:廣播風暴、重復幀拷貝、MAC地址表表項不穩定
STP(生成樹協議)的主要任務是防止2層的循環,STP使用生成樹演算法(STA)來創建拓撲資料庫
IEEE版本的STP的默認優先順序是32768,決定誰是根橋。假如優先順序一樣,那就比較MAC地址,MAC地址小的作為根橋
運行STP的交換機埠的5中狀態:堵塞、監聽、學習、禁用、轉發
交換機對於數據的轉發有一下三種方式:1.存儲-轉發式交換方 2.直通式交換方式 3.消除片斷式交換方式
可堆疊交換機就是指一個交換機中一般同時具有UP和DOWN堆疊埠
可堆疊交換機常用的堆疊方式有兩種:菊花型和星型
SVI埠的配置第三層邏輯介面稱為:SVI P168
交換環境中的兩種連接類型:access links、trunk links
附加VLAN 信息的方法,最具代表性的有:Inter-Switch link(ISL)、IEEE 802.1Q(俗稱dot 1 Q)
當出現違反埠安全原則的情況時,埠有一下幾種措施:
Suspend(掛起):埠不再工作,直到有數據幀流入並帶有合法的地址
Disable(禁用):埠不再工作,除非人工使其再次啟用
Ignore(忽略):忽略其違反安全性,埠仍可工作
計算機網路按邏輯功能可分為資源子網和通信子網兩部分
網卡工作在網路模型的物理層
集線器是多埠中繼器,工作在網路模型的物理層,所有埠共享設備
寬頻
中繼器工作在網路模型的物理層,是區域網的延伸設備。
網橋工作在網路模型的數據鏈路層,用於連接同類網路
交換機工作在網路模型的數據鏈路層,根據MAC地址轉發數據幀,每個埠
獨占寬頻。
路由器工作在網路模型的網路層,根據IP地址轉發數據包。
網關
網路有線通信介質通常包括雙絞線、同軸電纜、光纜等
計算機網路按地里范圍可以分為LAN、MAN、WAN、INTERNET
標准乙太網寬頻為10Mbps,實用CSMA/CD的訪問控制方法,遵循
IEEE802.3標准,使用雙絞線和同軸電纜為介質
10Base-5,使粗同軸電纜,最大網段長度500M,基帶傳輸
10Base-2,使細同軸電纜,最大網段長度185M,基帶傳輸
10Base-T,使雙絞線,最大網段長度100M
快速乙太網寬頻為100Mbps,使用CSMA/CD的訪問控制方法,使用雙絞線
和光纖
100Base-TX,使雙絞線,使用2對線路傳輸信號
100Base-T4,使雙絞線,使用4對線路傳輸信號
100Base-FX,使用光纖,使用4B/5B編碼方式
令牌環網,使用專門的數據幀稱為令牌,傳送數據
FDDI光纖分布式數據介面,使用光纖為傳輸介質,採用令牌傳遞數據
ATM非同步傳輸模式使用53位元組固定長度的信元傳輸數據
無線區域網WLAN採用802.11系列標准,有802.11a、802.11b、802.11g、
802.11n、802.11z
網路協議是計算機網路體系結構中關鍵要素之一,它的三要素為:語法、
語義、同步
TCP/IP中文為傳輸控制協議/互聯網協議,是internet的基礎協議,使用IP
地址通信
IPX/SPX中文為NetBIOS增強用戶介面,特點是簡單、通信效率高的廣播型協
議
OSI參考模型七層:物理層、數據鏈路層、網路層、傳輸層、會話層、表示
層、應用層
物理層:傳送單位是比特流,定義物理特性
數據鏈路層:傳送單位是數據幀,確保鏈路連接
網路層:傳送單位是數據包,提供網間通信
傳輸層:傳送單位是信息,提供端到端的可靠傳輸
會話層:管理通信雙發會話
表示層:負責數據編碼轉換
應用層:提供應用服務介面
TCP/IP模型四層:網路介面層、網際層、傳輸層、應用層
應用層協議:Telnet、FTP、SMTP、HTTP等 傳輸層協議:TCP、UDP
網際層協議:IP、ICMP、IGMP
網路介面層協議:ARP、RARP
㈧ 計算機網路安全基礎的目錄
1.1網路參考模型
1.2網路互連設備
1.3區域網技術
傳輸介質是網路中信息傳輸的媒體,是網路通信的物質基礎之一。傳輸介質的性能特點對傳輸速率、通信的距離、可連接的網路結點數目和數據傳輸的可靠性等均有很大的影響。因此,必須根據不同的通信要求,合理地選擇傳輸介質。目前在區域網中常用的傳輸介質有雙絞線、同軸電纜和光導纖維等。
1.4廣域網技術
廣域網是一種跨地區的數據通訊網路,使用電信運營商提供的設備作為信息傳輸平台。對照OSI參考模型,廣域網技術主要位於底層的3個層次,分別是物理層,數據鏈路層和網路層。下圖列出了一些經常使用的廣域網技術同OSI參考模型之間的對應關系。
點對點鏈路提供的是一條預先建立的從客戶端經過運營商網路到達遠端目標網路的廣域網通信路徑。一條點對點鏈路就是一條租用的專線,可以在數據收發雙方之間建立起永久性的固定連接。網路運營商負責點對點鏈路的維護和管理。點對點鏈路可以提供兩種數據傳送方式。一種是數據報傳送方式,該方式主要是將數據分割成一個個小的數據幀進行傳送,其中每一個數據幀都帶有自己的地址信息,都需要進行地址校驗。另外一種是數據流傳送方式,該方式與數據報傳送方式不同,用數據流取代一個個的數據幀作為數據發送單位,整個流數據具有1個地址信息,只需要進行一次地址驗證即可。下圖所顯示的就是一個典型的跨越廣域網的點對點鏈路。
1.5TCP/IP基礎
1.6網際網路提供的主要服務
1.7小結
習題 2.1UNIX操作系統簡介
UNIX操作系統,是美國AT&T公司於1971年在PDP-11上運行的操作系統。具有多用戶、多任務的特點,支持多種處理器架構,最早由肯·湯普遜(Kenneth Lane Thompson)、丹尼斯·里奇(Dennis MacAlistair Ritchie)和Douglas McIlroy於1969年在AT&T的貝爾實驗室開發。
目前它的商標權由國際開放標准組織(The Open Group)所擁有。
1965年時,貝爾實驗室(Bell Labs)加入一項由通用電氣(General Electric)和麻省理工學院(MIT)合作的計劃;該計劃要建立一套多使用者、多任務、多層次(multi-user、multi-processor、multi-level)的MULTICS操作系統。直到1969年,因MULTICS計劃的工作進度太慢,該計劃被停了下來。當時,Ken Thompson(後被稱為UNIX之父)已經有一個稱為星際旅行的程序在GE-635的機器上跑,但是反應非常慢,正巧被他發現了一部被閑置的PDP-7(Digital的主機),Ken Thompson和Dernis Ritchie就將星際旅行的程序移植到PDP-7上。而這部PDP-7(如圖1-1所示)就此在整個計算機歷史上留下了芳名
2.2Linux操作系統簡介
Linux是一種自由和開放源碼的類Unix操作系統,存在著許多不同的Linux版本,但它們都使用了Linux內核。Linux可安裝在各種計算機硬體設備中,比如手機、平板電腦、路由器、視頻游戲控制台、台式計算機、大型機和超級計算機。Linux是一個領先的操作系統,世界上運算最快的10台超級計算機運行的都是Linux操作系統。嚴格來講,Linux這個詞本身只表示Linux內核,但實際上人們已經習慣了用Linux來形容整個基於Linux內核,並且使用GNU 工程各種工具和資料庫的操作系統。Linux得名於天才程序員林納斯·托瓦茲。
Linux操作系統是UNIX操作系統的一種克隆系統,它誕生於1991 年的10 月5 日(這是第一次正式向外公布的時間)。以後藉助於Internet網路,並通過全世界各地計算機愛好者的共同努力,已成為今天世界上使用最多的一種UNIX 類操作系統,並且使用人數還在迅猛增長。
Linux是一套免費使用和自由傳播的類Unix操作系統,是一個基於POSIX和UNIX的多用戶、多任務、支持多線程和多CPU的操作系統。它能運行主要的UNIX工具軟體、應用程序和網路協議。它支持32位和64位硬體。Linux繼承了Unix以網路為核心的設計思想,是一個性能穩定的多用戶網路操作系統。它主要用於基於Intel x86系列CPU的計算機上。這個系統是由全世界各地的成千上萬的程序員設計和實現的。其目的是建立不受任何商品化軟體的版權制約的、全世界都能自由使用的Unix兼容產品。
Linux以它的高效性和靈活性著稱,Linux模塊化的設計結構,使得它既能在價格昂貴的工作站上運行,也能夠在廉價的PC機上實現全部的Unix特性,具有多任務、多用戶的能力。Linux是在GNU公共許可許可權下免費獲得的,是一個符合POSIX標準的操作系統。Linux操作系統軟體包不僅包括完整的Linux操作系統,而且還包括了文本編輯器、高級語言編譯器等應用軟體。它還包括帶有多個窗口管理器的X-Windows圖形用戶界面,如同我們使用Windows NT一樣,允許我們使用窗口、圖標和菜單對系統進行操作。
Linux 操作系統的誕生、發展和成長過程始終依賴著五個重要支柱:UNIX 操作系統、MINIX 操作系統、GNU 計劃、POSIX 標准和Internet 網路。
1981 年IBM公司推出微型計算機IBM PC。
1991年,GNU計劃已經開發出了許多工具軟體,最受期盼的GNU C編譯器已經出現,GNU的操作系統核心HURD一直處於實驗階段,沒有任何可用性,實質上也沒能開發出完整的GNU操作系統,但是GNU奠定了Linux用戶基礎和開發環境。當時的MINIX需要購買才能得到源代碼,局限於校園用作教育使用,閉源專利註定Minix錯失推廣時機,以至於Minix長期處於測試而無人問津。
1991年初,林納斯·托瓦茲開始在一台386sx兼容微機上學習minix操作系統。1991年4月,林納斯·托瓦茲開始醞釀並著手編制自己的操作系統。剛開始,他的目的很簡單,只是為了學習Intel386 體系結構保護模式運行方式下的編程技術。通過學習,他逐漸不能滿足於minix系統的現有性能,並開始醞釀開發一個新的免費操作系統。林納斯·托瓦茲幾乎花了全部時間研究i386-minix系統(hackthe kernel),並且嘗試著移植GNU的軟體到該系統上(GCC、BASH、GDB等)。
1991 年4 月13 日在comp.os.minix 上發布說自己已經成功地將bash 移植到了minix 上,而且已經愛不釋手、不能離開這個shell 軟體了。
1991年7月3日,第一個與Linux有關的消息是在comp.os.minix上發布的(當然此時還不存在Linux這個名稱,當時林納斯·托瓦茲的腦子里想的可能是FREAX,FREAX的英文含義是怪誕的、怪物、異想天開等)。其中透露了他正在進行Linux系統的開發,並且在Linux最初的時候已經想到要實現與POSIX兼容。
1991年的10月5日,林納斯·托瓦茲在comp.os.minix新聞組上發布消息,正式向外宣布Linux內核的誕生(Freeminix-like kernel sources for 386-AT)。
1993年,大約有100餘名程序員參與了Linux內核代碼編寫/修改工作,其中核心組由5人組成,此時Linux 0.99的代碼有大約有十萬行,用戶大約有10萬左右。
1994年3月,Linux1.0發布,代碼量17萬行,當時是按照完全自由免費的協議發布,隨後正式採用GPL協議。
1995年1月,Bob Young創辦了RedHat(小紅帽),以CNULinux為核心,集成了400多個源代碼開放的程序模塊,搞出了一種冠以品牌的Linux,即RedHat Linux,稱為Linux發行版,在市場上出售。這在經營模上是一種創舉。
1996年6月,Linux 2.0內核發布,此內核有大約40萬行代碼,並可以支持多個處理器。此時的Linux 已經進入了實用階段,全球大約有350萬人使用。
1998年2月,以Eric Raymond為首的一批年輕的老牛羚骨幹分子終於認識到CNULinux體系的產業化道路的本質,並非是什麼自由哲學,而是市場競爭的驅動,創辦了Open Source Intiative(開放源代碼促進會)復興的大旗,在互聯網世界裡展開了一場歷史性的Linux產業化運動。
2001年1月,Linux 2.4發布,它進一步地提升了SMP系統的擴展性,同時它也集成了很多用於支持 桌面系統的特性:USB,PC卡(PCMCIA)的支持,內置的即插即用,等等功能。
2003年12月,Linux 2.6版內核發布,相對於2.4版內核2.6在對系統的支持都有很大的變化。
2004年的第1月,SuSE嫁到了Novell,SCO繼續頂著罵名四處強行化緣 , Asianux, MandrakeSoft也在五年中首次宣布季度贏利。3月SGI宣布成功實現了Linux操作系統支持256個Itanium 2處理器。
2.3Windows操作系統簡介
Windows操作系統是一款由美國微軟公司開發的窗口化操作系統。採用了GUI圖形化操作模式,比起從前的指令操作系統如DOS更為人性化。Windows操作系統是目前世界上使用最廣泛的操作系統。最新的版本是Windows 8。Microsoft公司從1983年開始研製Windows系統,最初的研製目標是在MS-DOS的基礎上提供一個多任務的圖形用戶界面。第一個版本的Windows 1.0於1985年問世,它是一個具有圖形用戶界面的系統軟體。1987年推出了Windows 2.0版,最明顯的變化是採用了相互疊蓋的多窗口界面形式。但這一切都沒有引起人們的關注。直到1990年推出Windows 3.0是一個重要的里程碑,它以壓倒性的商業成功確定了Windows系統在PC領域的壟斷地位。現今流行的 Windows 窗口界面的基本形式也是從Windows 3.0開始基本確定的。1992年主要針對Windows 3.0的缺點推出了Windows 3.1,為程序開發提供了功能強大的窗口控制能力,使Windows和在其環境下運行的應用程序具有了風格統一、操縱靈活、使用簡便的用戶界面。Windows3.1 在內存管理上也取得了突破性進展。它使應用程序可以超過常規內存空間限制 ,不僅支持16MB內存定址,而且在80386及以上的硬體配置上通過虛擬存儲方式可以支持幾倍於實際物理存儲器大小的地址空間。Windows 3.1還提供了一定程度的網路支持、多媒體管理 、超文本形式的聯機幫助設施等,對應用程序的開發有很大影響
2.4UNIX網路配置
2.5Windows網路配置
2.6小結
習題 3.1網路安全基礎知識
3.2威脅網路安全的因素
3.3網路安全分類
3.4網路安全解決方案
3.5小結
習題 4.1什麼是計算機安全
4.2安全級別
4.3系統訪問控制
4.4選擇性訪問控制
4.5小結
習題 5.1資料庫安全概述
5.2資料庫安全的威脅
5.3資料庫的數據保護
5.4資料庫備份與恢復
5.5小結
習題 6.1計算機病毒及其分類
6.2計算機病毒的傳播
6.3計算機病毒的特點及破壞行為
6.4宏病毒及網路病毒
6.5病毒的預防、檢測和清除
6.6病毒防治軟體
6.7小結
習題 7.1數據加密概述
7.2傳統密碼技術
7.3對稱密鑰密碼技術
7.4公鑰密碼體制
7.5數字簽名技術
7.6驗證技術
7.7加密軟體PGP
7.8小結
習題 8.1網路安全協議
8.2網路加密技術
8.3防火牆技術
8.4入侵檢測技術
8.5虛擬專用網技術
8.6小結
習題 9.1網際網路的安全
9.2Web站點安全
9.3黑客與網路攻擊
9.4口令安全
9.5網路監聽
9.6掃描器
9.7E-mail的安全
9.8IP電子欺騙
9.9DNS的安全性
9.10小結
習題 10.1數據完整性簡介
10.2容錯與網路冗餘
10.3網路備份系統
10.4小結
習題 11.1網路安全實驗指導書
11.2綜合練習題
附錄
附錄一優秀網路安全站點
附錄二英文縮寫詞
參考文獻
……