網路安全流量填充

A. TCP/IP協議中的IP協議工作在哪一層

TCP/IP協議中的IP協議工作在網路訪問層。

網路層負責相鄰計算機之間的通信。其功能包括三方面。

1、處理來自傳輸層的分組發送請求，收到請求後，將分組裝入IP數據報，填充報頭，選擇去往信宿機的路徑，李鄭然後將數據報發往適當的網路介面。

2、處理輸入數據報：首先檢查其合法性，然後進行尋徑，假如該數據報已到達信宿機，則去掉報頭，將剩下部分交給適當的傳輸協議。假如該數據報尚未到達信宿，則轉發該數據報。

3、處理路徑、流控、擁塞問題。

網路層包括：IP（Internet Protocol）協議、ICMP（Internet Control Message Protocol）

控制報文協議、ARP（Address Resolution Protocol）地址轉換協議、RARP（Reverse ARP）反向地址轉換協議。

(1)網路安全流量填充擴展閱讀：

TCP/IP協議的所有層及主要功能：

1、網路訪問層

在TCP/IP參考模型中並沒有詳細描述，只是指出主機必須使用某種協議與網路相連。

2、互聯哪橋頌網層

整個體系結構的關鍵部分，其消盯功能是使主機可以把分組發往任何網路，並使分組獨立地傳向目標。這些分組可能經由不同的網路，到達的順序和發送的順序也可能不同。高層如果需要順序收發，那麼就必須自行處理對分組的排序。互聯網層使用網際網路協議（IP）。

3、傳輸層

使源端和目的端機器上的對等實體可以進行會話。在這一層定義了兩個端到端的協議，傳輸控制協議（TCP）和用戶數據報協議（UDP）。TCP是面向連接的協議，它能提供可靠的報文傳輸和對上層應用的連接服務。

為此，除了基本的數據傳輸外，它有可靠性保證、流量控制、多路復用、優先權和安全性控制功能。UDP面向無連接的不可靠傳輸的協議，主要用於不需要TCP的排序和流量控制等功能的應用程序。

4、應用層

應用層包含所有的高層協議，包括：虛擬終端協議（TELNET）、文件傳輸協議（FTP）、電子郵件傳輸協議（SMTP）、域名服務（DNS）、網上新聞傳輸協議（NNTP）和超文本傳送協議（HTTP）等。

B. 網路安全三要素

    避免未經授權的

    避免未經授權的更改

    對授權實體隨時可用

        竊聽(snooping)：在未經授權的情況下訪問或攔截信息。

        流量分析(traffic analysis)：雖然通過加密可使文件變成對攔截者不可解的信息，但還可以通過在線監測流量獲得其他形式的信息。例如獲得發送者或接收者的電子地址。

        篡改(modification)：攔截或訪問信息後，攻擊者可以修改信息使其對己有利。

        偽裝(masquerading)：攻擊者假扮成某人。例如，偽裝為銀行的客戶，從而盜取銀行客戶的銀行卡密碼和個人身份號碼。例如，當用戶設法聯系某銀行的時候，偽裝為銀行，從用戶那裡得到某些相關的信息。

        重放(replaying)：即攻擊者獲得用戶所發信息的拷貝後再重放這些信息。例如，某人向銀行發送一項請求，要求向為他工作過的攻擊者支付酬金。攻擊者攔截這一信息後，重新發送該信息，就會從銀行再得到一筆酬金。

        否認(repudiation)：發送者否認曾經發送過信息，或接收者否認曾經接收過信息。 例：客戶要求銀行向第三方支付一筆錢，但是後來又否認她曾經有過這種要求。 某人購買產品並進行了電子支付，製造商卻否認曾經獲得過支付並要求重新支付。

        拒絕服務(denial of service)：可能減緩或完全中斷系統的服務。攻擊者可以通過幾種策略來實現其目的。發送大量虛假請求，以致伺服器由於超負荷而崩潰；

        攔截並刪除伺服器對客戶的答復，使客戶認為伺服器沒有做出反應；

        從客戶方攔截這種請求，造成客戶反復多次地發送請求並使系統超負荷。

信息機密性：保護信息免於竊聽和流量分析。

信息完整性：保護信息免於被惡意方篡改，插入，刪除和重放（通過冪等性解決重放問題）。

身份認證(authentication)：提供發送方或接收方的身份認證。

對等實體身份認證：在有通信連接的時候在建立連接時認證發送方和接收方的身份；

數據源身份認證：在沒有通信連接的時候，認證信息的來源。

不可否認性(nonrepudiation)：保護信息免於被信息發送方或接收方否認。在帶有源證據的不可否認性中，如果信息的發送方否認，信息的接收方過後可以檢驗其身份；

在帶有交接證據的不可否認性中，信息的發送者過後可以檢驗發送給預定接收方的信息。

訪問控制(access control)：保護信息免於被未經授權的實體訪問。在這里，訪問的含義是非常寬泛的，包含對程序的讀、寫、修改和執行等。

加密(encipherment)：隱藏或覆蓋信息使其具有機密性，有密碼術和密寫術兩種技術。

信息完整性(data integrity)：附加於一個短的鍵值，該鍵值是信息本身創建的特殊程序。接收方接收信息和鍵值，再從接收的信息中創建一個新的鍵值，並把新創建的鍵值和原來的進行比較。如果兩個鍵值相同，則說明信息的完整性被保全。

數字簽名(digital signature)：發送方對信息進行電子簽名，接收方對簽名進行電子檢驗。發送方使用顯示其與公鑰有聯系的私鑰，這個公鑰是他公開承認的。接收方使用發送方的公鑰，證明信息確實是由聲稱發送過這個信息的人簽名的。

身份認證交換(authentication exchange)：兩個實體交換信息以相互證明身份。例如，一方實體可以證明他知道一個只有他才知道的秘密。

流量填充(traffic padding)：在數據流中嵌入一些虛假信息，從而阻止對手企圖實用流量分析。

路由控制(routing control)：在發送方和接收方之間不斷改變有效路由，避免對手在特定的路由上進行偷聽。

公證(notarization)：選擇一個雙方都信賴的第三方控制雙方的通信，避免否認。

訪問控制(access control)：用各種方法，證明某用戶具有訪問該信息或系統資源的權利。密碼和PIN即是這方面的例子。

C. 什麼是網路安全網路安全應包括幾方面內容

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

網路安全應包括：企業安全制度、數據安全、傳輸安全、伺服器安全、防火牆安全（硬體或軟體實現、背靠背、DMZ等）、防病毒安全；

在網路上傳輸的個人信息(如銀行賬號和上網登錄口令等)不被他人發現，這就是用戶對網路上傳輸的信息具有保密性的要求。 在網路上傳輸的信息沒有被他人篡改，這就是用戶對網路上傳輸的信息具有完整性的要求。

(3)網路安全流量填充擴展閱讀：

網路傳輸的安全與傳輸的信息內容有密切的關系。信息內容的安全即信息安全，包括信息的保密性、真實性和完整性。

其中的信息安全需求，是指通信網路給人們提供信息查詢、網路服務時，保證服務對象的信息不受監聽、竊取和篡改等威脅，以滿足人們最基本的安全需要(如隱秘性、可用性等)的特性。

網路安全側重於網路傳輸的安全，信息安全側重於信息自身的安全，可見，這與其所保護的對象有關。

D. 網路工程師考試大綱(2)

網路工程師考試大綱

3. 網路技術

3.1 網路體系結構

·Internet、Intranet和Extranet的基本概念(I)

·C/S、B/S的基本概念(I)

·ISO OSI/RM

七層協議的功能可以概括為以下7句話。

應用層：為網路用戶提供頒布式應用環境和編程環境(I)

表示層：提供統一的網路數據表示，包括信源編碼和數據壓縮等(I)

會話層：對會話過程的.控制，包括會話過程同步控制和會話方向控制(I)

傳輸層：提供端到端的數據傳輸控制功能(I)

網路層：在通信子網中進行路由選擇和通信流控制(I)

數據鏈路層：在相鄰結點之間可靠地傳送數據幀(I)

物理層：透明地傳輸比特流(I)

3.2 TCP/IP協議簇

3.2.1應用層協議(FTP、HTTP、POP3、DHCP、Telnet、SMTP)

·功能、連接、過程和埠(II)

·SNMP協議的體系結構(管理器和代理、輪詢和陷入)(I)

3.2.2傳輸層協議(TCP、UDP)

·協議數據單元：TCP/UDP報文中的主要欄位及其功能(II)

·連接的建立和釋放(三次握手協議、連接狀態、SYN、ACK、RST、MSL)(II)

·流量控制(可變大小的滑動窗口協議、位元組流和報文流的區別)(II)

3.2.3 網路層協議IP

·A、B、C、D類IP地址及子網掩碼，單播/組播/廣播地址，公網/私網地址(III)

·VLSM和CIDR技術，NAT/NAPT技術(III)

·ARP請求/響應，路由器代理ARP，ARP表，地址綁定(III)

·ICMP的報文類型(目標不可達到、超時、源抑制、ECHO請求/響應、時間戳請求/響應等)(II)

3.2.4 數據鏈路層協議

·PPP協議：幀格式，LCP協議和NCP協議，認證協議(PAP和CHAP)(I)

·PPPoE和PPPoA(I)

3.3數據通信基礎

3.3.1 信道特性

·波特率、帶寬和數據速率(II)

·Nyquist定理和Shannon定理，簡單計算(II)

3.3.2 調制和編碼

·ASK、FSK、PSK、QAM、QPSK(I)

·抽樣定理、PCM (I)

·NRZ-I、AMI、偽3進制編碼、曼徹斯特編碼、差分曼徹斯特編碼、4B/5B和8B/6B編碼(II)

·波特率和數據速率、編碼效率(II)

3.3.3 同步控制

·非同步傳輸的效率(I)

·面向字元的同步控制協議(BSC)，傳輸控制字元(I)

·面向比特的同步控制協議(HDLC)、幀標志、位元組計數法、字元填充法、比特填充法、物理符號成幀法(I)

3.3.4 多路復用

·頻分多路FDM、離散多間DMT(I)

·統計時分多路復用的簡單的計算(I)

·E1和T1信道的數據速率、子速率(II)

·同步光纖傳輸標准SONET/SDH(II)

·WDM、DWDM(I)

3.3.5差錯控制

·CRC編碼、CRC校驗(II)

·海明碼、冗餘位的計算、監督關系式(I)

3.3.6傳輸介質

·STP，3類、5類、6類UTP(寬頻和數據速率)(I)

·RG-58和RG-11基帶同軸電纜、CATV同軸電纜(I)

·多模光纖MMF(線徑62.5/125μm和50/125μm，波長850nm和1300nm，多模突變型與多模漸變型)(I)

·單模光纖SMF(線徑8.3/125μm，波長1310/1550nm)(I)

·無線電波(VHF、UHF、SHF、ISM頻帶)(I)

·衛星微波通信(C、Ku、Ka波段、VSAT)(I)

·激光、紅外線(I)

3.3.7物理層協議

·V.28協議 (Ⅰ)

·V.35 (Ⅰ)

·V.24和RS-232 (Ⅰ)

3.4區域網

3.4.1 IEEE802體系結構

·802.1、802.2、802.3、802.5、802.11、802.15、802.16 (Ⅰ)

·LLC服務和幀結構 (Ⅰ)

3.4.2乙太網

·CSMA/CD協議、幀結構、MAC地址 (Ⅰ)

·10BASE-2、10BASE-T (Ⅰ)

·最小幀長、最大幀長 (Ⅰ)

·網路跨距 (Ⅰ)

3.4.3網路連接設備

·網卡、中繼器、集線器、網橋、乙太網交換機 (Ⅱ)

3.4.4高速乙太網

·802.3u、802.3z、802.3ae、802.3ab (Ⅱ)

3.4.5虛擬區域網

·靜態/動態VLAN (Ⅲ)

·接入鏈路和中繼鏈路 (Ⅲ)

·VLAN幀標記802.1q (Ⅲ)

·VTP協議和VTP修剪 (Ⅲ)

3.4.6無線區域網

·無線接入點AP和Ad Hoc網路 (Ⅱ)

·擴頻通信技術DSSS和HFSS (Ⅱ)

·CSMA/CA協議 (Ⅱ)

·802.11a/802.11b/802.11g (Ⅰ)

·認證技術WPA和802.11i (Ⅰ)

3.5網路互連

3.5.1網路互連設備

·基本概念

·中繼器、集線器、交換機、路由器和網關的體系結構 (Ⅰ)

·廣播域和沖突域 (Ⅰ)

·乙太網交換機的工作原理：存儲轉發/直通式/無碎片直通式交換 (Ⅱ)

·乙太網交換機

分類：核心交換機、接入交換機、三層交換機、模塊化交換機 (Ⅱ)

堆疊和級聯 (Ⅱ)

光口和電口、GBIC埠、SFP埠 (Ⅰ)

背板帶寬和包轉發率 (Ⅰ)

鏈路匯聚技術(802.3ad) (Ⅱ)

·IP路由器

分類：主幹路由器、接入路由器、企業級路由器 (Ⅰ)

埠：RJ-45埠、AUI埠、高速同步串口、ISDN BRI埠、非同步串口(ASYNC)、Console埠、AUX埠 (Ⅱ)

內存：ROM、RAM、Flash RAM、NVRAM (Ⅰ)

操作系統IOS：命令行界面CLI，命令模式(Setup模式、用戶模式、特權模式、配置模式)，加電自檢(POST)、引導程序(bootstrap)、啟動配置文件(startup config)、運行配置文件(running config)，TFTP伺服器 (Ⅰ)

·防火牆

包過濾防火牆 (Ⅱ)

電路級網關防火牆(SOCKS協議) (Ⅱ)

應用網關防火牆 (Ⅱ)

代理伺服器 (Ⅱ)

認證伺服器 (Ⅱ)

DMZ (Ⅲ)

·ACL配置命令 (Ⅲ)

3.5.2交換技術

·電路交換 (Ⅰ)

PSTN，PBX，V.90 (Ⅰ)

ISDN，PRI和BRI (Ⅰ)

·分組交換：虛電路和數據報，X.25、LAP-B (Ⅰ)

·租用線路服務(DDN) (Ⅰ)

·幀中繼 (Ⅰ)

PVC和SVC (Ⅰ)

CIR和EIR (Ⅰ)

LAP-F、DLCI和顯式擁塞控制 (Ⅰ)

幀長和數據速率 (Ⅰ)

DSU/DCU (Ⅰ)

X.21、V.35、G.703和G.704介面 (Ⅰ)

·ATM

VPC和VCC (Ⅰ)

信元結構 (Ⅰ)

CBR、VBR、ABR和UBR (Ⅰ)

AAL (Ⅰ)

3.5.3接入技術

·DSL技術 (Ⅰ)

·HDSL (Ⅰ)

·VDSL (Ⅰ)

·ADSL(虛擬撥號和准專線接入、DSLAM) (Ⅲ)

·FTTx+LAN (Ⅲ)

·HFC：CATV網路和Cable Modem (Ⅲ)

·無線接入 (Ⅲ)

3.6 Internet服務

·Web伺服器、HTML和XML、瀏覽器、URL、DNS (Ⅰ)

·郵件伺服器(SMTP和POP3) (Ⅰ)

·FTP、匿名FTP、主動/被動FTP (Ⅱ)

·TFTP (Ⅰ)

·Telnet (Ⅰ)

·電子商務和電子政務 (Ⅰ)

3.7網路操作系統

·網路操作系統的功能、分類和特點 (Ⅰ)

·文件系統FAT16/FAT32/NTFS/ext3 (Ⅰ)

·網路設備驅動程序：ODI、NDIS (Ⅰ)

·Windows Server 2003網路架構 (Ⅱ)

·ISA2004：VPN伺服器、遠程訪問屬性、用戶撥入許可權、訪問規則 (Ⅲ)

·Red Hat Linux：文件系統目錄結構、用戶與組管理、進程管理、網路配置與管理 (Ⅲ)

3.8網路管理

·網路管理功能域(安全、配置、故障、性能和計費管理) (Ⅰ)

·網路管理協議(CMIS/CMIP、SNMP、RMON、MIB-Ⅱ) (Ⅰ)

·網路管理命令(ping、ipconfig、netstat、arp、tracert、nslookup) (Ⅱ)

·網路管理工具(NetXray、Sniffer) (Ⅱ)

·網路管理平台(OpenView、NetView、Sun NetMa-nager) (Ⅰ)

4.網路安全基礎

4.1安全技術

4.1.1保密

·私鑰/公鑰加密(DES、3DES、IDEA、RSA、D-H演算法) (Ⅱ)

4.1.2安全機制

·認證(實體認證、身份認證、數字證書X.509) (Ⅱ)

·數字簽名 (Ⅱ)

·數據完整性(SHA、MD5、HMAC) (Ⅱ)

4.1.3安全協議

·虛擬專用網 (Ⅰ)

·L2TP和PPTP (Ⅰ)

·安全協議(IPSec、SSL、PGP、HTTPS和SSL) (Ⅲ)

4.1.4病毒防範與入侵檢測

·網路安全漏洞 (Ⅱ)

·病毒、蠕蟲和木馬 (Ⅱ)

·惡意軟體 (Ⅱ)

·入侵檢測 (Ⅱ)

4.2訪問控制技術

4.2.1訪問控制

·防火牆 (Ⅰ)

·Kerberos、Radius (Ⅰ)

·802.11x認證 (Ⅰ)

·DDoS (Ⅱ)

·AAA系統(Authentication/Authorization/Accounting) (Ⅰ)

4.2.2可用性

·文件、資料庫的備份和恢復 (Ⅱ)

5.標准化知識

5.1信息系統基礎設施標准化

5.1.1標准

·國際標准(ISO、IEC、IEEE、EIA/TIA)與美國國家標准(ANSI) (Ⅰ)

·中國國家標准(GB) (Ⅰ)

·行業標准與企業標准 (Ⅰ)

5.1.2安全性標准

·信息系統安全措施 (Ⅰ)

·CC標准 (Ⅰ)

·BS7799標准 (Ⅰ)

5.2標准化組織

·國際標准化組織(ISO、IEC、IETF、IEEE、IAB、W3C) (Ⅰ)

·美國標准化組織 (Ⅰ)

·歐洲標准化組織 (Ⅰ)

·中國國家標准化委員會 (Ⅰ)

6.信息化基礎知識

·全球信息化趨勢、國家信息化戰略、企業信息化戰略和策略 (Ⅰ)

·互聯網相關的法律、法規知識 (Ⅰ)

·個人信息保護規則 (Ⅰ)

·遠程教育、電子商務、電子政務等基礎知識 (Ⅰ)

·企業信息資源管理基礎知識 (Ⅰ)

7.計算機專業英語

·具有工程師所要求的英語閱讀水平 (Ⅱ)

·掌握本領域的英語術語 (Ⅱ)

考試科目2：網路系統設計與管理

1.網路系統分析與設計

1.1網路系統的需求分析

·功能需求(待實現的功能) (Ⅱ)

·性能需求(期望的性能) (Ⅱ)

·可靠性需求 (Ⅱ)

·安全需求 (Ⅱ)

·管理需求 (Ⅱ)

1.2網路系統的設計

·拓撲結構設計 (Ⅱ)

·信息點分布和通信量計算 (Ⅱ)

·結構化布線(工作區子系統、水平子系統、主幹子系統、設備間子系統、建築群子系統、管理子系統) (Ⅱ)

·鏈路冗餘和可靠性 (Ⅱ)

·安全措施 (Ⅱ)

·網路設備的選型(成本、性能、容量、處理量、延遲) (Ⅲ)

1.3通信子網的設計

·核心交換機的選型和配置 (Ⅲ)

·匯聚層的功能配置 (Ⅲ)

·接入層交換機的配置和部署 (Ⅲ)

1.4資源子網的設計

·網路服務 (Ⅰ)

·伺服器選型 (Ⅱ)

1.5網路系統的構建和測試

·安裝工作(事先准備、過程監督) (Ⅱ)

·測試和評估(連接測試、安全性測試、性能測試) (Ⅱ)

·轉換到新網路的工作計劃 (Ⅱ)

2.網路系統的運行、維護和管理

2.1用戶管理

·用戶接入認證和IP地址綁定 (Ⅱ)

·用戶行為審計 (Ⅱ)

·計費管理 (Ⅱ)

2.2網路維護和升級

·網路優化策略 (Ⅱ)

·設備的編制 (Ⅱ)

·外部合同要點 (Ⅱ)

·內部執行計劃 (Ⅱ)

2.3數據備份與恢復

·備份策略 (Ⅱ)

·數據恢復 (Ⅱ)

·RAID (Ⅱ)

2.4網路系統管理

·利用工具監視網路性能和故障 (Ⅲ)

·性能監視

CPU利用率 (Ⅰ)

帶寬利用率 (Ⅰ)

流量分析 (Ⅰ)

通信量整形 (Ⅰ)

連接管理 (Ⅰ)

·安全管理

內容過濾 (Ⅱ)

入侵檢測 (Ⅱ)

網路防毒 (Ⅱ)

埠掃描 (Ⅱ)

2.5故障恢復分析

·故障分析要點(LAN監控程序) (Ⅱ)

·排除故障要點 (Ⅱ)

·故障報告撰寫 (Ⅰ)

3.網路系統實現技術

3.1網路協議

·商用網路協議(SNA/APPN、IPX/SPX、Apple、Talk、TCP/IP、IPv6) (Ⅰ)

·應用協議(XML、CORBA、COM/DCOM、EJB) (Ⅰ)

3.2可靠性設計

·硬體可靠性技術 (Ⅰ)

·軟體可靠性技術 (Ⅰ)

·容錯技術 (Ⅰ)

·通信質量 (Ⅰ)

3.3網路設施

3.3.1接入技術

·ADSL Modem的連接和配置 (Ⅱ)

·幀中繼接入 (Ⅱ)

·FTTx+LAN (Ⅱ)

·PPP (Ⅱ)

3.3.2交換機的配置

·設備選型(埠類型、包轉發率pps、背板帶寬、機架插槽、支持的協議) (Ⅲ)

·核心層、匯聚層和接入層 (Ⅲ)

·三層交換機、MPLS (Ⅲ)

·級連和堆疊 (Ⅲ)

·命令行介面 (Ⅲ)

·Web方式訪問交換機和路由器 (Ⅲ)

·靜態和動態VALN (Ⅲ)

·VLAN中繼協議和VTP修剪，VTP伺服器 (Ⅲ)

·DTP(Dynamic Trunk Protocol)協議和中繼鏈路的配置 (Ⅲ)

·生成樹協議(STP)和快速生成樹協議(RSTP) (Ⅲ)

·STP的負載均衡 (Ⅲ)

3.3.3路由器的配置

·靜態路由的配置和驗證 (Ⅲ)

·單臂路由器的配置 (Ⅲ)

·RIP協議的配置 (Ⅲ)

·靜態地址轉換和動態地址轉換、埠轉換 (Ⅲ)

·終端伺服器的配置 (Ⅲ)

·單區域/多區域OSPF協議的配置 (Ⅲ)

·不等量負載均衡 (Ⅲ)

·廣域網接入、DSU/DCU (Ⅱ)

·ISDN接入 (Ⅰ)

·PPP協議和按需撥號路由(DDR)的配置 (Ⅱ)

·幀中繼接入的配置 (Ⅱ)

3.3.4訪問控制列表

·標准ACL (Ⅲ)

·擴展ACL (Ⅱ)

·ACL的驗證和部署 (Ⅲ)

3.3.5虛擬專用網的配置

·IPSec協議 (Ⅲ)

·IKE策略 (Ⅲ)

·IPSec策略 (Ⅲ)

·ACL與IPSec兼容 (Ⅲ)

·IPSec的驗證 (Ⅱ)

3.4網路管理與網路服務

3.4.1 IP網路的實現

·拓撲結構與傳輸介質 (Ⅲ)

·IP地址和子網掩碼、動態分配和靜態分配 (Ⅲ)

·VLSM、CIDR、NAPT (Ⅲ)

·IPv4和IPv6雙協議站 (Ⅱ)

·IPv6的過渡技術(GRE隧道、6to4隧道、NAT-PT)(Ⅱ)

·DHCP伺服器的配置(Windows、Linux)(Ⅲ)

3.4.2網路系統管理

·網路管理命令(ping、ipconfig、winipcfg、netstat、arp、tracert、nslookup)(Ⅱ)

·Windows終端服務與遠程管理 (Ⅱ)

3.4.3 DNS

·URL和域名解析 (Ⅱ)

·DNS伺服器的配置(Windows)(Ⅲ)

·Linux BIND配置 (Ⅱ)

3.4.4 E-mail

·電子郵件伺服器配置(Windows)(Ⅲ)

·電子郵件的安全配置 (Ⅱ)

·Linux SendMail伺服器配置 (Ⅱ)

3.4.5 WWW

·虛擬主機 (Ⅲ)

·Windows Web伺服器配置 (Ⅲ)

·Linux Apache 伺服器配置 (Ⅲ)

·WWW伺服器的安全配置 (Ⅱ)

3.4.6代理伺服器

·Windows代理伺服器的配置 (Ⅲ)

·Linux Squid伺服器的配置 (Ⅱ)

·Samba伺服器配置 (Ⅱ)

3.4.7 FTP伺服器

·FTP伺服器的訪問(Ⅲ)

·FTP伺服器的配置(Ⅲ)

·NFS伺服器的配置(Ⅱ)

3.4.8網路服務

·網際網路廣播、電子商務、電子政務 (Ⅰ)

·主機服務提供者、數據中心 (Ⅰ)

3.5網路安全

3.5.1訪問控制與防火牆

·Windows活動目錄安全策略的配置 (Ⅱ)

·ACL命令和過濾規則 (Ⅱ)

·防火牆配置 (Ⅱ)

3.5.2 VPN配置

·IPSec和SSL (Ⅱ)

3.5.3 PGP (Ⅰ)

3.5.4病毒防護

·病毒的種類 (Ⅱ)

·ARP欺騙 (Ⅲ)

·木馬攻擊的原理，控制端和服務端 (Ⅲ)

4.網路新技術

4.1光纖網

·無源光纖網PON(APON、EPON) (Ⅰ)

4.2無線網

·行動電話系統(WCDMA、CDMA2000、TD-SCDMA) (Ⅰ)

·無線接入(LMDS、MMDS) (Ⅰ)

·藍牙接入 (Ⅰ)

4.3主幹網

·IP over SONET/SDH (Ⅰ)

·IP over Optical (Ⅰ)

·IP over DWDM (Ⅰ)

·IP over ATM (Ⅰ)

4.4網路管理

·通信管理網路TMN (Ⅰ)

·基於CORBA的網路管理 (Ⅰ)

4.5網路存儲

·RAID (Ⅱ)

·DAS (Direct Attached Storage) (Ⅰ)

·SAN (Storage Area Network)、iSCSI、FC SAN、IP SAN (Ⅰ)

·NAS (Network Attached Storage)、網路數據管理協議NDMP (Ⅰ)

·系統容災和恢復 (Ⅰ)

4.6網路應用

·Web服務(WSDL、SOAP、UDDI) (Ⅰ)

·Web 2.0、P2P (Ⅰ)

·網路虛擬存儲 (Ⅰ)

·網格計算 (Ⅰ)

·IPv6新業務 (Ⅰ) ;

E. DDoS的原理及危害

DDoS:拒絕服務攻擊的目標大多採用包括以SYNFlood和PingFlood為主的技術，其主要方式是通過使關鍵系統資源過載，如目標網站的通信埠與記憶緩沖區溢出，導致網路或伺服器的資源被大量佔用，甚至造成網路或伺服器的全面癱瘓，而達到阻止合法信息上鏈接服務要求的接收。形象的解釋是，DDoS攻擊就好比電話點歌的時候，從各個角落在同一時間有大量的電話掛入點播台，而點播台的服務能力有限，這時出現的現象就是打電話的人只能聽到電話忙音，意味著點播台無法為聽眾提供服務。這種類型的襲擊日趨增多，因為實施這種攻擊的方法與程序源代碼現已在黑客網站上公開。另外，這種襲擊方法非常難以追查，因為他們運用了諸如IP地址欺騙法之類所謂網上的「隱身技術」，而且現在互聯網服務供應商（ISP）的過剩，也使作惡者很容易得到IP地址。拒絕服務攻擊的一個最具代表性的攻擊方式是分布式拒絕服務攻擊（DistributedDenialofService，DDoS），它是一種令眾多的互聯網服務提供商和各國政府非常頭疼的黑客攻擊方法，最早出現於1999年夏天，當時還只是在黑客站點上進行的一種理論上的探討。從2000年2月開始，這種攻擊方法開始大行其道，在2月7日到11日的短短幾天內，黑客連續攻擊了包括Yahoo，Buy.com，eBay，Amazon，CNN等許多知名網站，致使有的站點停止服務達幾個小時甚至幾十個小時之久。國內的新浪等站點也遭到同樣的攻擊，這次的攻擊浪潮在媒體上造成了巨大的影響，以至於美國總統都不得不親自過問。
分布式拒絕服務攻擊採用了一種比較特別的體系結構，從許多分布的主機同時攻擊一個目標。從而導致目標癱瘓。目前所使用的入侵監測和過濾方法對這種類型的入侵都不起作用。所以，對這種攻擊還不能做到完全防止。
DDoS通常採用一種跳台式三層結構。如圖10—7所示：圖10—7最下層是攻擊的執行者。這一層由許多網路主機構成，其中包括Unix，Linux，Mac等各種各樣的操作系統。攻擊者通過各種辦法獲得主機的登錄許可權，並在上面安裝攻擊器程序。這些攻擊器程序中一般內置了上面一層的某一個或某幾個攻擊伺服器的地址，其攻擊行為受到攻擊伺服器的直接控制。
攻擊伺服器。攻擊伺服器的主要任務是將控制台的命令發布到攻擊執行器上。
這些伺服器與攻擊執行器一樣，安裝在一些被侵入的無關主機上。
攻擊主控台。攻擊主控台可以是網路上的任何一台主機，甚至可以是一個活動的便攜機。它的作用就是向第二層的攻擊伺服器發布攻擊命令。
有許多無關主機可以支配是整個攻擊的前提。當然，這些主機與目標主機之間的聯系越緊密，網路帶寬越寬，攻擊效果越好。通常來說，至少要有數百台甚至上千台主機才能達到滿意的效果。例如，據估計，攻擊Yahoo！站點的主機數目達到了3000台以上，而網路攻擊數據流量達到了1GB秒。通常來說，攻擊者是通過常規方法，例如系統服務的漏洞或者管理員的配置錯誤等方法來進入這些主機的。一些安全措施較差的小型站點以及單位中的伺服器往往是攻擊者的首選目標。這些主機上的系統或服務程序往往得不到及時更新，從而將系統暴露在攻擊者面前。在成功侵入後，攻擊者照例要安裝一些特殊的後門程序，以便自己以後可以輕易進入系統，隨著越來越多的主機被侵入，攻擊者也就有了更大的舞台。他們可以通過網路監聽等方法進一步擴充被侵入的主機群。
黑客所作的第二步是在所侵入的主機上安裝攻擊軟體。這里，攻擊軟體包括攻擊伺服器和攻擊執行器。其中攻擊伺服器僅占總數的很小一部分，一般只有幾台到幾十台左右。設置攻擊伺服器的目的是隔離網路聯系，保護攻擊者，使其不會在攻擊進行時受到監控系統的跟蹤，同時也能夠更好的協調進攻。因為攻擊執行器的數目太多，同時由一個系統來發布命令會造成控制系統的網路阻塞，影響攻擊的突然性和協同性。而且，流量的突然增大也容易暴露攻擊者的位置和意圖。剩下的主機都被用來充當攻擊執行器。執行器都是一些相對簡單的程序，它們可以連續向目標發出大量的鏈接請求而不作任何回答。現在已知的能夠執行這種任務的程序主要包括trin00，TFN（TribeFloodNetwork）、randomizer以及它們的一些改進版本，如TFN2k等。
黑客所作的最後一步，就是從攻擊控制台向各個攻擊伺服器發出對特定目標的攻擊命令。由於攻擊主控台的位置非常靈活，而且發布命令的時間很短，所以非常隱蔽，難以定位。一旦攻擊的命令傳送到伺服器，主控台就可以關閉或脫離網路，以逃避追蹤。接著，攻擊伺服器將命令發布到各個攻擊器。在攻擊器接到攻擊命令後，就開始向目標主機發出大量的服務請求數據包，這些數據包經過偽裝，無法識別它的來源。而且，這些數據包所請求的服務往往要消耗較大的系統資源，如CPU或網路帶寬。如果數百台甚至上千台攻擊器同時攻擊一個目標，就會導致目標主機網路和系統資源的耗盡，從而停止服務。有時，甚至會導致系統崩潰。另外，這樣還可以阻塞目標網路的防火牆和路由器等網路設備，進一步加重網路擁塞狀況。這樣，目標主機根本無法為用戶提供任何服務。攻擊者所用的協議都是一些非常常見的協議和服務。這樣，系統管理員就難於區分惡意請求和正常鏈接請求，從而無法有效分離出攻擊數據包。
除了上述類型的攻擊以外，其他種類的拒絕服務襲擊有，從電腦中刪除啟動文件，使之無法啟動，或刪除某個網路伺服器的網頁等。為什麼有人要發起這種類型的襲擊呢？因為他們所闖入的伺服器並沒有什麼秘密數據。其實，這種襲擊也是出於各種原因，有政治的，不正當商業競爭為原因的、也有的是作為一種大規模襲擊的一個組成部分。比如，巴勒斯坦的黑客為了抗議以色列的猶太人政權而發起的對以色列政府網站的攻擊；某惡意電子商務網站為爭奪客戶而發起的針對競爭對手的拒絕服務攻擊。拒絕服務襲擊也可以用來關閉某位黑客想要欺詐的伺服器。比如，黑客可能會為了獲得客戶PIN碼或信用卡號碼而對一家銀行的伺服器進行攻擊等，這類襲擊是「比其他類型的襲擊要突出得多的、最普遍的安全隱患」。當然，這種襲擊的主要損失是系統不能正常運行而耽誤的時間，而且系統很容易就可以通過重新啟動的方式而恢復運行。然而，任何注重品牌聲譽的企業都明白，在互聯網世界中，品牌聲譽可能會因一次安全性攻擊而毀於一旦，因此，黑客攻擊行為（尤其是拒絕服務攻擊）已成為當今企業所面臨的最大威脅中的一部分。
一個企業的網上服務即使沒有遭到拒絕服務的攻擊，它還會面臨另外一種風險，即成為攻擊者的跳台的危險。在實際發生的大規模拒絕服務攻擊的案例當中，往往是那些網路安全管理不嚴格的企業或組織的系統，被黑客侵入，在系統內被植入攻擊時使用的黑客程序。而攻擊犯罪發生以後，由於黑客的消蹤滅跡的手段很高明，所以最後被偵破機關追索到的攻擊源往往是那些成為攻擊跳台的網路。雖然，企業本身沒有遭到損失，但是由於成為攻擊跳台，而帶來的合作夥伴的疑慮和商業信用的損失卻是無法估計的。