网络安全流量填充

A. TCP/IP协议中的IP协议工作在哪一层

TCP/IP协议中的IP协议工作在网络访问层。

网络层负责相邻计算机之间的通信。其功能包括三方面。

1、处理来自传输层的分组发送请求，收到请求后，将分组装入IP数据报，填充报头，选择去往信宿机的路径，李郑然后将数据报发往适当的网络接口。

2、处理输入数据报：首先检查其合法性，然后进行寻径，假如该数据报已到达信宿机，则去掉报头，将剩下部分交给适当的传输协议。假如该数据报尚未到达信宿，则转发该数据报。

3、处理路径、流控、拥塞问题。

网络层包括：IP（Internet Protocol）协议、ICMP（Internet Control Message Protocol）

控制报文协议、ARP（Address Resolution Protocol）地址转换协议、RARP（Reverse ARP）反向地址转换协议。

(1)网络安全流量填充扩展阅读：

TCP/IP协议的所有层及主要功能：

1、网络访问层

在TCP/IP参考模型中并没有详细描述，只是指出主机必须使用某种协议与网络相连。

2、互联哪桥颂网层

整个体系结构的关键部分，其消盯功能是使主机可以把分组发往任何网络，并使分组独立地传向目标。这些分组可能经由不同的网络，到达的顺序和发送的顺序也可能不同。高层如果需要顺序收发，那么就必须自行处理对分组的排序。互联网层使用因特网协议（IP）。

3、传输层

使源端和目的端机器上的对等实体可以进行会话。在这一层定义了两个端到端的协议，传输控制协议（TCP）和用户数据报协议（UDP）。TCP是面向连接的协议，它能提供可靠的报文传输和对上层应用的连接服务。

为此，除了基本的数据传输外，它有可靠性保证、流量控制、多路复用、优先权和安全性控制功能。UDP面向无连接的不可靠传输的协议，主要用于不需要TCP的排序和流量控制等功能的应用程序。

4、应用层

应用层包含所有的高层协议，包括：虚拟终端协议（TELNET）、文件传输协议（FTP）、电子邮件传输协议（SMTP）、域名服务（DNS）、网上新闻传输协议（NNTP）和超文本传送协议（HTTP）等。

B. 网络安全三要素

    避免未经授权的

    避免未经授权的更改

    对授权实体随时可用

        窃听(snooping)：在未经授权的情况下访问或拦截信息。

        流量分析(traffic analysis)：虽然通过加密可使文件变成对拦截者不可解的信息，但还可以通过在线监测流量获得其他形式的信息。例如获得发送者或接收者的电子地址。

        篡改(modification)：拦截或访问信息后，攻击者可以修改信息使其对己有利。

        伪装(masquerading)：攻击者假扮成某人。例如，伪装为银行的客户，从而盗取银行客户的银行卡密码和个人身份号码。例如，当用户设法联系某银行的时候，伪装为银行，从用户那里得到某些相关的信息。

        重放(replaying)：即攻击者获得用户所发信息的拷贝后再重放这些信息。例如，某人向银行发送一项请求，要求向为他工作过的攻击者支付酬金。攻击者拦截这一信息后，重新发送该信息，就会从银行再得到一笔酬金。

        否认(repudiation)：发送者否认曾经发送过信息，或接收者否认曾经接收过信息。 例：客户要求银行向第三方支付一笔钱，但是后来又否认她曾经有过这种要求。 某人购买产品并进行了电子支付，制造商却否认曾经获得过支付并要求重新支付。

        拒绝服务(denial of service)：可能减缓或完全中断系统的服务。攻击者可以通过几种策略来实现其目的。发送大量虚假请求，以致服务器由于超负荷而崩溃；

        拦截并删除服务器对客户的答复，使客户认为服务器没有做出反应；

        从客户方拦截这种请求，造成客户反复多次地发送请求并使系统超负荷。

信息机密性：保护信息免于窃听和流量分析。

信息完整性：保护信息免于被恶意方篡改，插入，删除和重放（通过幂等性解决重放问题）。

身份认证(authentication)：提供发送方或接收方的身份认证。

对等实体身份认证：在有通信连接的时候在建立连接时认证发送方和接收方的身份；

数据源身份认证：在没有通信连接的时候，认证信息的来源。

不可否认性(nonrepudiation)：保护信息免于被信息发送方或接收方否认。在带有源证据的不可否认性中，如果信息的发送方否认，信息的接收方过后可以检验其身份；

在带有交接证据的不可否认性中，信息的发送者过后可以检验发送给预定接收方的信息。

访问控制(access control)：保护信息免于被未经授权的实体访问。在这里，访问的含义是非常宽泛的，包含对程序的读、写、修改和执行等。

加密(encipherment)：隐藏或覆盖信息使其具有机密性，有密码术和密写术两种技术。

信息完整性(data integrity)：附加于一个短的键值，该键值是信息本身创建的特殊程序。接收方接收信息和键值，再从接收的信息中创建一个新的键值，并把新创建的键值和原来的进行比较。如果两个键值相同，则说明信息的完整性被保全。

数字签名(digital signature)：发送方对信息进行电子签名，接收方对签名进行电子检验。发送方使用显示其与公钥有联系的私钥，这个公钥是他公开承认的。接收方使用发送方的公钥，证明信息确实是由声称发送过这个信息的人签名的。

身份认证交换(authentication exchange)：两个实体交换信息以相互证明身份。例如，一方实体可以证明他知道一个只有他才知道的秘密。

流量填充(traffic padding)：在数据流中嵌入一些虚假信息，从而阻止对手企图实用流量分析。

路由控制(routing control)：在发送方和接收方之间不断改变有效路由，避免对手在特定的路由上进行偷听。

公证(notarization)：选择一个双方都信赖的第三方控制双方的通信，避免否认。

访问控制(access control)：用各种方法，证明某用户具有访问该信息或系统资源的权利。密码和PIN即是这方面的例子。

C. 什么是网络安全网络安全应包括几方面内容

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全应包括：企业安全制度、数据安全、传输安全、服务器安全、防火墙安全（硬件或软件实现、背靠背、DMZ等）、防病毒安全；

在网络上传输的个人信息(如银行账号和上网登录口令等)不被他人发现，这就是用户对网络上传输的信息具有保密性的要求。 在网络上传输的信息没有被他人篡改，这就是用户对网络上传输的信息具有完整性的要求。

(3)网络安全流量填充扩展阅读：

网络传输的安全与传输的信息内容有密切的关系。信息内容的安全即信息安全，包括信息的保密性、真实性和完整性。

其中的信息安全需求，是指通信网络给人们提供信息查询、网络服务时，保证服务对象的信息不受监听、窃取和篡改等威胁，以满足人们最基本的安全需要(如隐秘性、可用性等)的特性。

网络安全侧重于网络传输的安全，信息安全侧重于信息自身的安全，可见，这与其所保护的对象有关。

D. 网络工程师考试大纲(2)

网络工程师考试大纲

3. 网络技术

3.1 网络体系结构

·Internet、Intranet和Extranet的基本概念(I)

·C/S、B/S的基本概念(I)

·ISO OSI/RM

七层协议的功能可以概括为以下7句话。

应用层：为网络用户提供颁布式应用环境和编程环境(I)

表示层：提供统一的网络数据表示，包括信源编码和数据压缩等(I)

会话层：对会话过程的.控制，包括会话过程同步控制和会话方向控制(I)

传输层：提供端到端的数据传输控制功能(I)

网络层：在通信子网中进行路由选择和通信流控制(I)

数据链路层：在相邻结点之间可靠地传送数据帧(I)

物理层：透明地传输比特流(I)

3.2 TCP/IP协议簇

3.2.1应用层协议(FTP、HTTP、POP3、DHCP、Telnet、SMTP)

·功能、连接、过程和端口(II)

·SNMP协议的体系结构(管理器和代理、轮询和陷入)(I)

3.2.2传输层协议(TCP、UDP)

·协议数据单元：TCP/UDP报文中的主要字段及其功能(II)

·连接的建立和释放(三次握手协议、连接状态、SYN、ACK、RST、MSL)(II)

·流量控制(可变大小的滑动窗口协议、字节流和报文流的区别)(II)

3.2.3 网络层协议IP

·A、B、C、D类IP地址及子网掩码，单播/组播/广播地址，公网/私网地址(III)

·VLSM和CIDR技术，NAT/NAPT技术(III)

·ARP请求/响应，路由器代理ARP，ARP表，地址绑定(III)

·ICMP的报文类型(目标不可达到、超时、源抑制、ECHO请求/响应、时间戳请求/响应等)(II)

3.2.4 数据链路层协议

·PPP协议：帧格式，LCP协议和NCP协议，认证协议(PAP和CHAP)(I)

·PPPoE和PPPoA(I)

3.3数据通信基础

3.3.1 信道特性

·波特率、带宽和数据速率(II)

·Nyquist定理和Shannon定理，简单计算(II)

3.3.2 调制和编码

·ASK、FSK、PSK、QAM、QPSK(I)

·抽样定理、PCM (I)

·NRZ-I、AMI、伪3进制编码、曼彻斯特编码、差分曼彻斯特编码、4B/5B和8B/6B编码(II)

·波特率和数据速率、编码效率(II)

3.3.3 同步控制

·异步传输的效率(I)

·面向字符的同步控制协议(BSC)，传输控制字符(I)

·面向比特的同步控制协议(HDLC)、帧标志、字节计数法、字符填充法、比特填充法、物理符号成帧法(I)

3.3.4 多路复用

·频分多路FDM、离散多间DMT(I)

·统计时分多路复用的简单的计算(I)

·E1和T1信道的数据速率、子速率(II)

·同步光纤传输标准SONET/SDH(II)

·WDM、DWDM(I)

3.3.5差错控制

·CRC编码、CRC校验(II)

·海明码、冗余位的计算、监督关系式(I)

3.3.6传输介质

·STP，3类、5类、6类UTP(宽带和数据速率)(I)

·RG-58和RG-11基带同轴电缆、CATV同轴电缆(I)

·多模光纤MMF(线径62.5/125μm和50/125μm，波长850nm和1300nm，多模突变型与多模渐变型)(I)

·单模光纤SMF(线径8.3/125μm，波长1310/1550nm)(I)

·无线电波(VHF、UHF、SHF、ISM频带)(I)

·卫星微波通信(C、Ku、Ka波段、VSAT)(I)

·激光、红外线(I)

3.3.7物理层协议

·V.28协议 (Ⅰ)

·V.35 (Ⅰ)

·V.24和RS-232 (Ⅰ)

3.4局域网

3.4.1 IEEE802体系结构

·802.1、802.2、802.3、802.5、802.11、802.15、802.16 (Ⅰ)

·LLC服务和帧结构 (Ⅰ)

3.4.2以太网

·CSMA/CD协议、帧结构、MAC地址 (Ⅰ)

·10BASE-2、10BASE-T (Ⅰ)

·最小帧长、最大帧长 (Ⅰ)

·网络跨距 (Ⅰ)

3.4.3网络连接设备

·网卡、中继器、集线器、网桥、以太网交换机 (Ⅱ)

3.4.4高速以太网

·802.3u、802.3z、802.3ae、802.3ab (Ⅱ)

3.4.5虚拟局域网

·静态/动态VLAN (Ⅲ)

·接入链路和中继链路 (Ⅲ)

·VLAN帧标记802.1q (Ⅲ)

·VTP协议和VTP修剪 (Ⅲ)

3.4.6无线局域网

·无线接入点AP和Ad Hoc网络 (Ⅱ)

·扩频通信技术DSSS和HFSS (Ⅱ)

·CSMA/CA协议 (Ⅱ)

·802.11a/802.11b/802.11g (Ⅰ)

·认证技术WPA和802.11i (Ⅰ)

3.5网络互连

3.5.1网络互连设备

·基本概念

·中继器、集线器、交换机、路由器和网关的体系结构 (Ⅰ)

·广播域和冲突域 (Ⅰ)

·以太网交换机的工作原理：存储转发/直通式/无碎片直通式交换 (Ⅱ)

·以太网交换机

分类：核心交换机、接入交换机、三层交换机、模块化交换机 (Ⅱ)

堆叠和级联 (Ⅱ)

光口和电口、GBIC端口、SFP端口 (Ⅰ)

背板带宽和包转发率 (Ⅰ)

链路汇聚技术(802.3ad) (Ⅱ)

·IP路由器

分类：主干路由器、接入路由器、企业级路由器 (Ⅰ)

端口：RJ-45端口、AUI端口、高速同步串口、ISDN BRI端口、异步串口(ASYNC)、Console端口、AUX端口 (Ⅱ)

内存：ROM、RAM、Flash RAM、NVRAM (Ⅰ)

操作系统IOS：命令行界面CLI，命令模式(Setup模式、用户模式、特权模式、配置模式)，加电自检(POST)、引导程序(bootstrap)、启动配置文件(startup config)、运行配置文件(running config)，TFTP服务器 (Ⅰ)

·防火墙

包过滤防火墙 (Ⅱ)

电路级网关防火墙(SOCKS协议) (Ⅱ)

应用网关防火墙 (Ⅱ)

代理服务器 (Ⅱ)

认证服务器 (Ⅱ)

DMZ (Ⅲ)

·ACL配置命令 (Ⅲ)

3.5.2交换技术

·电路交换 (Ⅰ)

PSTN，PBX，V.90 (Ⅰ)

ISDN，PRI和BRI (Ⅰ)

·分组交换：虚电路和数据报，X.25、LAP-B (Ⅰ)

·租用线路服务(DDN) (Ⅰ)

·帧中继 (Ⅰ)

PVC和SVC (Ⅰ)

CIR和EIR (Ⅰ)

LAP-F、DLCI和显式拥塞控制 (Ⅰ)

帧长和数据速率 (Ⅰ)

DSU/DCU (Ⅰ)

X.21、V.35、G.703和G.704接口 (Ⅰ)

·ATM

VPC和VCC (Ⅰ)

信元结构 (Ⅰ)

CBR、VBR、ABR和UBR (Ⅰ)

AAL (Ⅰ)

3.5.3接入技术

·DSL技术 (Ⅰ)

·HDSL (Ⅰ)

·VDSL (Ⅰ)

·ADSL(虚拟拨号和准专线接入、DSLAM) (Ⅲ)

·FTTx+LAN (Ⅲ)

·HFC：CATV网络和Cable Modem (Ⅲ)

·无线接入 (Ⅲ)

3.6 Internet服务

·Web服务器、HTML和XML、浏览器、URL、DNS (Ⅰ)

·邮件服务器(SMTP和POP3) (Ⅰ)

·FTP、匿名FTP、主动/被动FTP (Ⅱ)

·TFTP (Ⅰ)

·Telnet (Ⅰ)

·电子商务和电子政务 (Ⅰ)

3.7网络操作系统

·网络操作系统的功能、分类和特点 (Ⅰ)

·文件系统FAT16/FAT32/NTFS/ext3 (Ⅰ)

·网络设备驱动程序：ODI、NDIS (Ⅰ)

·Windows Server 2003网络架构 (Ⅱ)

·ISA2004：VPN服务器、远程访问属性、用户拨入权限、访问规则 (Ⅲ)

·Red Hat Linux：文件系统目录结构、用户与组管理、进程管理、网络配置与管理 (Ⅲ)

3.8网络管理

·网络管理功能域(安全、配置、故障、性能和计费管理) (Ⅰ)

·网络管理协议(CMIS/CMIP、SNMP、RMON、MIB-Ⅱ) (Ⅰ)

·网络管理命令(ping、ipconfig、netstat、arp、tracert、nslookup) (Ⅱ)

·网络管理工具(NetXray、Sniffer) (Ⅱ)

·网络管理平台(OpenView、NetView、Sun NetMa-nager) (Ⅰ)

4.网络安全基础

4.1安全技术

4.1.1保密

·私钥/公钥加密(DES、3DES、IDEA、RSA、D-H算法) (Ⅱ)

4.1.2安全机制

·认证(实体认证、身份认证、数字证书X.509) (Ⅱ)

·数字签名 (Ⅱ)

·数据完整性(SHA、MD5、HMAC) (Ⅱ)

4.1.3安全协议

·虚拟专用网 (Ⅰ)

·L2TP和PPTP (Ⅰ)

·安全协议(IPSec、SSL、PGP、HTTPS和SSL) (Ⅲ)

4.1.4病毒防范与入侵检测

·网络安全漏洞 (Ⅱ)

·病毒、蠕虫和木马 (Ⅱ)

·恶意软件 (Ⅱ)

·入侵检测 (Ⅱ)

4.2访问控制技术

4.2.1访问控制

·防火墙 (Ⅰ)

·Kerberos、Radius (Ⅰ)

·802.11x认证 (Ⅰ)

·DDoS (Ⅱ)

·AAA系统(Authentication/Authorization/Accounting) (Ⅰ)

4.2.2可用性

·文件、数据库的备份和恢复 (Ⅱ)

5.标准化知识

5.1信息系统基础设施标准化

5.1.1标准

·国际标准(ISO、IEC、IEEE、EIA/TIA)与美国国家标准(ANSI) (Ⅰ)

·中国国家标准(GB) (Ⅰ)

·行业标准与企业标准 (Ⅰ)

5.1.2安全性标准

·信息系统安全措施 (Ⅰ)

·CC标准 (Ⅰ)

·BS7799标准 (Ⅰ)

5.2标准化组织

·国际标准化组织(ISO、IEC、IETF、IEEE、IAB、W3C) (Ⅰ)

·美国标准化组织 (Ⅰ)

·欧洲标准化组织 (Ⅰ)

·中国国家标准化委员会 (Ⅰ)

6.信息化基础知识

·全球信息化趋势、国家信息化战略、企业信息化战略和策略 (Ⅰ)

·互联网相关的法律、法规知识 (Ⅰ)

·个人信息保护规则 (Ⅰ)

·远程教育、电子商务、电子政务等基础知识 (Ⅰ)

·企业信息资源管理基础知识 (Ⅰ)

7.计算机专业英语

·具有工程师所要求的英语阅读水平 (Ⅱ)

·掌握本领域的英语术语 (Ⅱ)

考试科目2：网络系统设计与管理

1.网络系统分析与设计

1.1网络系统的需求分析

·功能需求(待实现的功能) (Ⅱ)

·性能需求(期望的性能) (Ⅱ)

·可靠性需求 (Ⅱ)

·安全需求 (Ⅱ)

·管理需求 (Ⅱ)

1.2网络系统的设计

·拓扑结构设计 (Ⅱ)

·信息点分布和通信量计算 (Ⅱ)

·结构化布线(工作区子系统、水平子系统、主干子系统、设备间子系统、建筑群子系统、管理子系统) (Ⅱ)

·链路冗余和可靠性 (Ⅱ)

·安全措施 (Ⅱ)

·网络设备的选型(成本、性能、容量、处理量、延迟) (Ⅲ)

1.3通信子网的设计

·核心交换机的选型和配置 (Ⅲ)

·汇聚层的功能配置 (Ⅲ)

·接入层交换机的配置和部署 (Ⅲ)

1.4资源子网的设计

·网络服务 (Ⅰ)

·服务器选型 (Ⅱ)

1.5网络系统的构建和测试

·安装工作(事先准备、过程监督) (Ⅱ)

·测试和评估(连接测试、安全性测试、性能测试) (Ⅱ)

·转换到新网络的工作计划 (Ⅱ)

2.网络系统的运行、维护和管理

2.1用户管理

·用户接入认证和IP地址绑定 (Ⅱ)

·用户行为审计 (Ⅱ)

·计费管理 (Ⅱ)

2.2网络维护和升级

·网络优化策略 (Ⅱ)

·设备的编制 (Ⅱ)

·外部合同要点 (Ⅱ)

·内部执行计划 (Ⅱ)

2.3数据备份与恢复

·备份策略 (Ⅱ)

·数据恢复 (Ⅱ)

·RAID (Ⅱ)

2.4网络系统管理

·利用工具监视网络性能和故障 (Ⅲ)

·性能监视

CPU利用率 (Ⅰ)

带宽利用率 (Ⅰ)

流量分析 (Ⅰ)

通信量整形 (Ⅰ)

连接管理 (Ⅰ)

·安全管理

内容过滤 (Ⅱ)

入侵检测 (Ⅱ)

网络防毒 (Ⅱ)

端口扫描 (Ⅱ)

2.5故障恢复分析

·故障分析要点(LAN监控程序) (Ⅱ)

·排除故障要点 (Ⅱ)

·故障报告撰写 (Ⅰ)

3.网络系统实现技术

3.1网络协议

·商用网络协议(SNA/APPN、IPX/SPX、Apple、Talk、TCP/IP、IPv6) (Ⅰ)

·应用协议(XML、CORBA、COM/DCOM、EJB) (Ⅰ)

3.2可靠性设计

·硬件可靠性技术 (Ⅰ)

·软件可靠性技术 (Ⅰ)

·容错技术 (Ⅰ)

·通信质量 (Ⅰ)

3.3网络设施

3.3.1接入技术

·ADSL Modem的连接和配置 (Ⅱ)

·帧中继接入 (Ⅱ)

·FTTx+LAN (Ⅱ)

·PPP (Ⅱ)

3.3.2交换机的配置

·设备选型(端口类型、包转发率pps、背板带宽、机架插槽、支持的协议) (Ⅲ)

·核心层、汇聚层和接入层 (Ⅲ)

·三层交换机、MPLS (Ⅲ)

·级连和堆叠 (Ⅲ)

·命令行接口 (Ⅲ)

·Web方式访问交换机和路由器 (Ⅲ)

·静态和动态VALN (Ⅲ)

·VLAN中继协议和VTP修剪，VTP服务器 (Ⅲ)

·DTP(Dynamic Trunk Protocol)协议和中继链路的配置 (Ⅲ)

·生成树协议(STP)和快速生成树协议(RSTP) (Ⅲ)

·STP的负载均衡 (Ⅲ)

3.3.3路由器的配置

·静态路由的配置和验证 (Ⅲ)

·单臂路由器的配置 (Ⅲ)

·RIP协议的配置 (Ⅲ)

·静态地址转换和动态地址转换、端口转换 (Ⅲ)

·终端服务器的配置 (Ⅲ)

·单区域/多区域OSPF协议的配置 (Ⅲ)

·不等量负载均衡 (Ⅲ)

·广域网接入、DSU/DCU (Ⅱ)

·ISDN接入 (Ⅰ)

·PPP协议和按需拨号路由(DDR)的配置 (Ⅱ)

·帧中继接入的配置 (Ⅱ)

3.3.4访问控制列表

·标准ACL (Ⅲ)

·扩展ACL (Ⅱ)

·ACL的验证和部署 (Ⅲ)

3.3.5虚拟专用网的配置

·IPSec协议 (Ⅲ)

·IKE策略 (Ⅲ)

·IPSec策略 (Ⅲ)

·ACL与IPSec兼容 (Ⅲ)

·IPSec的验证 (Ⅱ)

3.4网络管理与网络服务

3.4.1 IP网络的实现

·拓扑结构与传输介质 (Ⅲ)

·IP地址和子网掩码、动态分配和静态分配 (Ⅲ)

·VLSM、CIDR、NAPT (Ⅲ)

·IPv4和IPv6双协议站 (Ⅱ)

·IPv6的过渡技术(GRE隧道、6to4隧道、NAT-PT)(Ⅱ)

·DHCP服务器的配置(Windows、Linux)(Ⅲ)

3.4.2网络系统管理

·网络管理命令(ping、ipconfig、winipcfg、netstat、arp、tracert、nslookup)(Ⅱ)

·Windows终端服务与远程管理 (Ⅱ)

3.4.3 DNS

·URL和域名解析 (Ⅱ)

·DNS服务器的配置(Windows)(Ⅲ)

·Linux BIND配置 (Ⅱ)

3.4.4 E-mail

·电子邮件服务器配置(Windows)(Ⅲ)

·电子邮件的安全配置 (Ⅱ)

·Linux SendMail服务器配置 (Ⅱ)

3.4.5 WWW

·虚拟主机 (Ⅲ)

·Windows Web服务器配置 (Ⅲ)

·Linux Apache 服务器配置 (Ⅲ)

·WWW服务器的安全配置 (Ⅱ)

3.4.6代理服务器

·Windows代理服务器的配置 (Ⅲ)

·Linux Squid服务器的配置 (Ⅱ)

·Samba服务器配置 (Ⅱ)

3.4.7 FTP服务器

·FTP服务器的访问(Ⅲ)

·FTP服务器的配置(Ⅲ)

·NFS服务器的配置(Ⅱ)

3.4.8网络服务

·因特网广播、电子商务、电子政务 (Ⅰ)

·主机服务提供者、数据中心 (Ⅰ)

3.5网络安全

3.5.1访问控制与防火墙

·Windows活动目录安全策略的配置 (Ⅱ)

·ACL命令和过滤规则 (Ⅱ)

·防火墙配置 (Ⅱ)

3.5.2 VPN配置

·IPSec和SSL (Ⅱ)

3.5.3 PGP (Ⅰ)

3.5.4病毒防护

·病毒的种类 (Ⅱ)

·ARP欺骗 (Ⅲ)

·木马攻击的原理，控制端和服务端 (Ⅲ)

4.网络新技术

4.1光纤网

·无源光纤网PON(APON、EPON) (Ⅰ)

4.2无线网

·移动电话系统(WCDMA、CDMA2000、TD-SCDMA) (Ⅰ)

·无线接入(LMDS、MMDS) (Ⅰ)

·蓝牙接入 (Ⅰ)

4.3主干网

·IP over SONET/SDH (Ⅰ)

·IP over Optical (Ⅰ)

·IP over DWDM (Ⅰ)

·IP over ATM (Ⅰ)

4.4网络管理

·通信管理网络TMN (Ⅰ)

·基于CORBA的网络管理 (Ⅰ)

4.5网络存储

·RAID (Ⅱ)

·DAS (Direct Attached Storage) (Ⅰ)

·SAN (Storage Area Network)、iSCSI、FC SAN、IP SAN (Ⅰ)

·NAS (Network Attached Storage)、网络数据管理协议NDMP (Ⅰ)

·系统容灾和恢复 (Ⅰ)

4.6网络应用

·Web服务(WSDL、SOAP、UDDI) (Ⅰ)

·Web 2.0、P2P (Ⅰ)

·网络虚拟存储 (Ⅰ)

·网格计算 (Ⅰ)

·IPv6新业务 (Ⅰ) ;

E. DDoS的原理及危害

DDoS:拒绝服务攻击的目标大多采用包括以SYNFlood和PingFlood为主的技术，其主要方式是通过使关键系统资源过载，如目标网站的通信端口与记忆缓冲区溢出，导致网络或服务器的资源被大量占用，甚至造成网络或服务器的全面瘫痪，而达到阻止合法信息上链接服务要求的接收。形象的解释是，DDoS攻击就好比电话点歌的时候，从各个角落在同一时间有大量的电话挂入点播台，而点播台的服务能力有限，这时出现的现象就是打电话的人只能听到电话忙音，意味着点播台无法为听众提供服务。这种类型的袭击日趋增多，因为实施这种攻击的方法与程序源代码现已在黑客网站上公开。另外，这种袭击方法非常难以追查，因为他们运用了诸如IP地址欺骗法之类所谓网上的“隐身技术”，而且现在互联网服务供应商（ISP）的过剩，也使作恶者很容易得到IP地址。拒绝服务攻击的一个最具代表性的攻击方式是分布式拒绝服务攻击（DistributedDenialofService，DDoS），它是一种令众多的互联网服务提供商和各国政府非常头疼的黑客攻击方法，最早出现于1999年夏天，当时还只是在黑客站点上进行的一种理论上的探讨。从2000年2月开始，这种攻击方法开始大行其道，在2月7日到11日的短短几天内，黑客连续攻击了包括Yahoo，Buy.com，eBay，Amazon，CNN等许多知名网站，致使有的站点停止服务达几个小时甚至几十个小时之久。国内的新浪等站点也遭到同样的攻击，这次的攻击浪潮在媒体上造成了巨大的影响，以至于美国总统都不得不亲自过问。
分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以，对这种攻击还不能做到完全防止。
DDoS通常采用一种跳台式三层结构。如图10—7所示：图10—7最下层是攻击的执行者。这一层由许多网络主机构成，其中包括Unix，Linux，Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登录权限，并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址，其攻击行为受到攻击服务器的直接控制。
攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。
这些服务器与攻击执行器一样，安装在一些被侵入的无关主机上。
攻击主控台。攻击主控台可以是网络上的任何一台主机，甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。
有许多无关主机可以支配是整个攻击的前提。当然，这些主机与目标主机之间的联系越紧密，网络带宽越宽，攻击效果越好。通常来说，至少要有数百台甚至上千台主机才能达到满意的效果。例如，据估计，攻击Yahoo！站点的主机数目达到了3000台以上，而网络攻击数据流量达到了1GB秒。通常来说，攻击者是通过常规方法，例如系统服务的漏洞或者管理员的配置错误等方法来进入这些主机的。一些安全措施较差的小型站点以及单位中的服务器往往是攻击者的首选目标。这些主机上的系统或服务程序往往得不到及时更新，从而将系统暴露在攻击者面前。在成功侵入后，攻击者照例要安装一些特殊的后门程序，以便自己以后可以轻易进入系统，随着越来越多的主机被侵入，攻击者也就有了更大的舞台。他们可以通过网络监听等方法进一步扩充被侵入的主机群。
黑客所作的第二步是在所侵入的主机上安装攻击软件。这里，攻击软件包括攻击服务器和攻击执行器。其中攻击服务器仅占总数的很小一部分，一般只有几台到几十台左右。设置攻击服务器的目的是隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪，同时也能够更好的协调进攻。因为攻击执行器的数目太多，同时由一个系统来发布命令会造成控制系统的网络阻塞，影响攻击的突然性和协同性。而且，流量的突然增大也容易暴露攻击者的位置和意图。剩下的主机都被用来充当攻击执行器。执行器都是一些相对简单的程序，它们可以连续向目标发出大量的链接请求而不作任何回答。现在已知的能够执行这种任务的程序主要包括trin00，TFN（TribeFloodNetwork）、randomizer以及它们的一些改进版本，如TFN2k等。
黑客所作的最后一步，就是从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。由于攻击主控台的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽，难以定位。一旦攻击的命令传送到服务器，主控台就可以关闭或脱离网络，以逃避追踪。接着，攻击服务器将命令发布到各个攻击器。在攻击器接到攻击命令后，就开始向目标主机发出大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源。而且，这些数据包所请求的服务往往要消耗较大的系统资源，如CPU或网络带宽。如果数百台甚至上千台攻击器同时攻击一个目标，就会导致目标主机网络和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。另外，这样还可以阻塞目标网络的防火墙和路由器等网络设备，进一步加重网络拥塞状况。这样，目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样，系统管理员就难于区分恶意请求和正常链接请求，从而无法有效分离出攻击数据包。
除了上述类型的攻击以外，其他种类的拒绝服务袭击有，从电脑中删除启动文件，使之无法启动，或删除某个网络服务器的网页等。为什么有人要发起这种类型的袭击呢？因为他们所闯入的服务器并没有什么秘密数据。其实，这种袭击也是出于各种原因，有政治的，不正当商业竞争为原因的、也有的是作为一种大规模袭击的一个组成部分。比如，巴勒斯坦的黑客为了抗议以色列的犹太人政权而发起的对以色列政府网站的攻击；某恶意电子商务网站为争夺客户而发起的针对竞争对手的拒绝服务攻击。拒绝服务袭击也可以用来关闭某位黑客想要欺诈的服务器。比如，黑客可能会为了获得客户PIN码或信用卡号码而对一家银行的服务器进行攻击等，这类袭击是“比其他类型的袭击要突出得多的、最普遍的安全隐患”。当然，这种袭击的主要损失是系统不能正常运行而耽误的时间，而且系统很容易就可以通过重新启动的方式而恢复运行。然而，任何注重品牌声誉的企业都明白，在互联网世界中，品牌声誉可能会因一次安全性攻击而毁于一旦，因此，黑客攻击行为（尤其是拒绝服务攻击）已成为当今企业所面临的最大威胁中的一部分。
一个企业的网上服务即使没有遭到拒绝服务的攻击，它还会面临另外一种风险，即成为攻击者的跳台的危险。在实际发生的大规模拒绝服务攻击的案例当中，往往是那些网络安全管理不严格的企业或组织的系统，被黑客侵入，在系统内被植入攻击时使用的黑客程序。而攻击犯罪发生以后，由于黑客的消踪灭迹的手段很高明，所以最后被侦破机关追索到的攻击源往往是那些成为攻击跳台的网络。虽然，企业本身没有遭到损失，但是由于成为攻击跳台，而带来的合作伙伴的疑虑和商业信用的损失却是无法估计的。