三级网络技术——第十章 网络安全技术
第十章 网络安全技术知识点整理如下:
1、入侵检测系统探测器获取网络流量的方法有:利用交换设备的镜像功能;在网络链路中串接一台分路器/集线器。
2、PIX 525 防火墙的监视模式可以进行操作系统映像更新和口令恢复。
3、根据TCSEC,D级系统安全要求最低,不能用于多用户环境的重要信息处理。
4、PIX防火墙提供4种管理访问模式:
? 1)非特权模式:PIX防火墙开机自检后,即处于此种模式。系统显示为pixfirewall>。
? 2)特权模式:输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#。
? 3)配置模式:输入configure terminal进入此模式,绝大部分的系统配置都在此进行。显示为pixfirewall(config)#。
? 4)监视模式:PIX防火墙在开机或重启过程中,按住"Escape"键或发送一个“/Break/”字符,进入监视模式。这里可以更新操作系统映像和口令恢复。
5、SQL注入:通过把SQL命令插入到Web表单递交或输入域或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令。(如很多影视网站泄露VIP会员密码,大多就是通过Web表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。)
SQL注入为漏洞入侵,采用应用入侵保护系统。
SYNFlooding、DDOS、Ping of Death都是采用基于网络的入侵防护系统。
6、防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护,不能处于网络出口的位置。
具备入侵防御功能的设备通常部署在服务器前或网络出口两个位置。
UTM部署在网络出口位置,保护的目标是网络。
7、conduit命令:用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口。(例如允许从外部到DMZ或内部接口的进入方向的会话。
对于向内部接口的连接,将联合使用static和conduit命令来指定会话的建立)
8、Cisco PIX525的常用命令有:name、interface、ipaddress、nat、global、route、static等。
? static:配置静态IP地址翻译,是内部地址与外部地址一一对应;
? nat:地址转换命令,将内网的私有IP转换为外网公网IP;
? global:指定公网地址范围、定义地址池;
? fixup:启用或禁止一个服务或协议,通过指定端口设置PIX防火墙要侦听listen服务的端口。
9、可信计算机系统评估准则(TESEC)把计算机的安全等级分为4类7个等级。C类系统是指用户能自定义访问控制要求的自主保护类型,分为C1和C2级别。A类系统要求最高,D类要求最低。UNIX系统满足C2级标准,只有一部分产品达到了B1级别。
10、安全级别最高,适合作为内部接口;安全级别最低,适合作为外部接口。
11、目前主要的公钥算法包括:RSA算法、DSA算法、PKCS算法与PGP算法等。非对称加密技术对信息的加密和解密使用不同的密钥,用来加密的密钥是可以公开的,用来解密的私钥是需要保密的。
非对称加密技术可以大大简化密钥的管理,采用RSA、PKCS算法,网络中N个用户之间进行加密通信,仅仅需要使用N对密钥。换言之,加密通信系统共有2N个密钥。
采用RC4算法,网络中N个用户之间进行加密通信,需要密钥个数是N*(N-1)
(常见的对称加密算法有DES,IDEA,RC2,RC4与SkipJack算法,需要密钥个数是N*(N-1)。
非对称加密算法有:RSA,DSA,PKCS,PGP算法,需要密钥个数是2N。)
12、分布式入侵检测系统(IDS)可以分为层次式、协作式、对等式等类型。其中,对等模型的应用使得分布式IDS真正避免了单点故障的发生。层次式IDS将数据收集的工作分布在整个网络中。协作式IDS的各数据分析模块可以相对独立地进行决策,与层次式IDS相比,具有更大的自主性。
13、应用入侵防护系统(AIPS)一般部署在受保护的应用服务器前端。
14、HIPS(Host-based Intrusion Prevention System,基于主机的入侵防御系统)是安装在受保护的主机系统中,检测并阻挡针对本机的威胁和攻击。
NIPS(Network-based Intrusion Prevention System,基于网络的入侵防护系统)一般布置于网络出口处,一般串联与防火墙与路由器之间,网络进出的数据流都必须通过它,从而保护整个网络的安全。因为网络误报将导致合法的通信被阻断,导致拒接服务,而性能不足会带来合法通信的延迟,甚至成为网络的瓶颈。
IPS(Intrusion Prevention System,入侵防护系统)主要由嗅探器、检测分析组件、策略执行组件、状态开关、日志系统和控制台组成。嗅探器主要负责接收数据包,对数据包协议类型进行分析,依据协议类型开辟缓冲区,保存接收到的数据包,并提交检测分析组件进行分析处理。
常用的网络嗅探器有Sniffer、iris、Ethereal、TCPdump、Wireshark等。
15、基于网络的入侵检测系统采用的基本识别技术:模式匹配、频率或阈值、事件的相关性和统计意义上的非正常现象检测。
16、基于主机的入侵防护系统可以阻断缓冲区溢出,改变登录口令,改变动态链接库以及其他试图从操作系统夺去控制权的入侵行为。
基于网络的入侵防护系统主要进行包过滤保护,如丢弃含有攻击性的数据包(Teardrop)或者阻断连接。
应用入侵防护系统能够阻止:如Cookie篡改、SQL代码嵌入、参数篡改、缓冲区溢出、强制浏览、畸形数据包和数据类型不匹配等攻击。
17、常见网络版防病毒系统是由系统中心、客户端、服务器端与管理控制台组成。
18、控制台的安装通常有两种方式:通过光盘安装控制台、远程安装控制台,系统管理员可以将管理控制台远程安装在其他计算机上。
19、protocol是连接协议,如TCP、UDP、ICMP等。
20、集中式入侵检测系统最大的问题就是单点失效的问题,即一旦自身受到攻击而停止工作,则整个网络系统将处于危险之中。
层次式入侵检测系统的主要问题是:不能很好的适应网络拓扑结构的变化,较难部署,而且上层的入侵检测模块若受到攻击,则其入侵检测的有效性将大大地降低。
协作式入侵检测系统仍由一个统一的中央控制机制进行协调,单点失效的风险仍然存在。
对等模型的应用使得分布式入侵检测系统真正避免了单点失效的发生。
21、蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动的实施攻击。
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!