第7章 网络安全

chinasll

第7章 网络安全

7.1 备考指南

7.1.1 考纲要求

根据考试大纲相应的考核要求，在“网络安全”知识模块中，要求考生掌握以下方面内容：

1.网络安全基本知识

• 可信计算机系统评估准则。
• 网络安全漏洞。
• 网络安全控制技术。
• 服务器安全技术。
• 防火墙基本原理。
• 入侵检测系统功能和基本原理。
• 漏洞扫描系统的功能和基本原理。
• 网络防病毒系统的功能和基本原理。
• CA中心建设的概念和基本原理。
• 容灾系统。
• 应急处理常用方法和技术。
  2.网络安全技术
  
  

• 防火墙技术和入侵检测系统。
  
  

• 防火墙的配置策略。
• 入侵处理策略。
• 漏洞处理策略。
• 病毒及病毒防范。
• 加密、认证、数字签名等安全技术。
• DES和RSA的基本概念。
• 认证。
• 数字证书。
• 安全电子邮件。
• HTTPS.
  7.1.2 考点统计
  “网络安全”模块在历次网络管理员考试试卷中出现的考核知识点及其分值分布情况如表6.1所示。
  表6.1        历年考点统计表
  
  

年份	题号	知识点	分值
2017年下半年	上午：49~54	计算机病毒、防火墙的功能、安全防护、数字签名、加密算法	6分
	下午：试题四	防火墙的部署和配置	15分
2017年上半年	上午：52、55~56	网络攻击、加密算法、数字签名	3分
	下午：试题四	防火墙的部署和配置	15分
2016年下半年	上午：51~55、64~65	计算机病毒、数字签名、安全邮件协议、HTTPS、网络攻击	5分
	下午：试题四	NAT/基本防火墙配置	15分
2016年上半年	上午：45、51~56	HTTPS、数字签名、计算机病毒、漏洞扫描、加密算法、数据加密、防火墙功能、CA认证、安全通信协议、特洛伊木马、访问控制列表	7分
	下午：试题四	防火墙的部署和ACL的配置	15分

7.1.3 命题特点

纵观历年试卷，本章的知识点是以选择题和综合分析题的形式出现在试卷中。在历次考试的上午试卷中，所考查的题量大约为7道题，所占分值为7分（约占试卷总分值75分中的9%）；在下午试卷中有1道综合分析题，所占分值为15分（约占试卷总分值75分中的20%）。本章试题检验考生是否理解相关理论知识点和实践经验，考试难度中等偏难。从知识点考查深度的角度分析，每次考试这部分试题在“识记、理解、应用”三个层面上所占比例1:1:3.最近几次考试中，防火墙的部署与配置是下午考试中的必考题型，是重点也是难点。

7.2 考点串讲

7.2.1 网络安全基础

7.2.1.1 网络安全的基本概念

所谓网络安全，就是用一组规则约束所有的网络活动，只有被允许的活动才能正常进行，所有不被允许的活动都被禁止。网络安全包括五个基本要素：机密性、完整性、可用性、可控性和可审查性。

1.网络安全威胁

（1）非授权访问。

（2）信息泄露或丢失。

（3）破坏数据完整性。

（4）拒绝服务攻击。

（5）利用网络传播病毒。

2.网络安全控制技术

网络安全控制技术目前有防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术。

7.2.1.2 黑客的攻击手段

1.口令入侵

2.放置特洛伊木马

3.DoS攻击

4.端口扫描

5.网络监听

6.欺骗攻击

（1）web欺骗。

（2）ARP欺骗。

（3）IP欺骗。

7电子邮件攻击

7.2.1.3 可信计算机系统评估标准

A1、B1、B2、B3、C1、C2、D1

7.2.3 防火墙及其配置策略

7.2.2.1 防火墙简介

1.防火墙的定义

通常防火墙主要具有一下功能。

• 对进出的数据包进行过滤，滤掉不安全的服务和非法用户。
• 监视internet安全，对网络攻击行为进行检测和报警。
• 记录通过防火墙的信息内容和活动。
• 控制对特殊站点的访问，封堵某些禁止的访问行为。
  2.防火墙的相关概念
  
  

• 与防火墙相关的概念重点掌握以下几个。
• 非信任网络（公共网络）：处于防火墙之外的公共开放网络。
• 信任网络（内部网络）：位于防火墙之内的可信网络，是防火墙要保护的目标。
• DMZ（非军事化区）：可以位于防火墙之外，也可以位于防火墙之内，一般用于放置提供公共网络服务设备上。
• 可信任主机：位于内部网的主机，且具有可信任的安全特性。
• 非可信任主机：不具有可信任特性的主机。
• 公网IP地址：由internet信息中心统一管理分配的IP地址，可在internet上使用。
• 保留IP地址：专门保留用于内部网的IP地址。可以由管理员任意指派，在internet上不可识别和不可路由。
• 包过滤：根据数据包的头部，按照规则进行判断，决定继续转发还是丢弃。
• 地址转换：防火墙内部网络主机使用的保留地址转换成公共地址，达到节省IP地址和隐藏内部网络拓扑结构信息等目的。
  3.防火墙的优、缺点
  
  

• 防火墙具有以下优点。
• 能强化安全策略。
• 能有效地记录互联网上的活动。
• 是一个安全策略的边防站，能够把可疑的连接和访问拒之门外。
  防火墙具有以下缺点。
  
  

• 不能防范不经由防火墙的工具。
• 不能防止感染了病毒软件或文件的传输。
• 不能防止数据驱动式攻击。
  7.2.2.2 防火墙的基本分类及实现原理
  1.包过滤防火墙
  包过滤防火墙是在网络入口对通过的数据包进行选择，只有满足条件的数据包才能通过否则会被抛弃。
  包过滤防火墙的优点是简单实用，实现成本较低。起缺点是完全基于网络层的安全技术，只能对数据包的来源、目标和端口等信息进行判断，而无法识别基于应用层的恶意侵入。有经验的黑客很容易伪造IP地址，骗过包过滤防火墙。
  2.应用层网关防火墙
  应用层网关防火墙又称为代理，它不允许在其连接的网络之间直接通信，而是接收来自内部网特定用户应用程序的通信，然后建立与公共网络服务器单独的连接。
  代理的优点是安全性较高，可以针对应用层进行检测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统整体性能有较大的影响，而且代理服务器必须针对客户端可能产生所有应用类型逐一进行设置，从而大大增加里系统管理的复杂性。
  3.状态检测防火墙
  状态检测防火墙又称为动态包过滤防火墙，是在传统包过滤防火墙基础上的功能扩展，通过跟踪防火墙网络连接和数据包，使用一组附加的标准确定是允许和还是拒绝通信。
  7.2.2.3 防火墙的安全与配置
  1.软、硬件安装
  防御防火墙的软件部分主要由管理监控程序（Fire Control）、串口配置程序（FCInit）和日志报警程序（LogServices）组成。
  2.基本配置
  1）别名
  2）设备配置
  防火墙可以由桥接模式、路由模式和混杂模式三种工作模式。
  
  

• SNMP配置
• 双机热备份技术
  3.规则配置
  7.2.2.4 访问控制列表
  1.访问控制列表的分类
  标准访问控制列表：1~99
  扩展访问控制列表：100~199
  2.IP访问控制列表的配置
  （1）在全局模式下创建ACL。
  创建标准访问控制列表：
  Router（config）#access-list access-list-number ｛deny | permit｝source （source-wildcard）
  参数说明如下。
  
  

• access-list-number；定义访问控制列表的编号，取值范围为1~99.
• deny或permit指定了允许还是拒绝数据包。
• source：发送数据包的主机地址。
• source-wildcard：发送数据包的主机同配方掩码。
  注：255.255.255.255等同于any；0.0.0.0等同于host。
  标准访问控制列表案例：
  需求分析：
  禁止主机PC2访问主机PC1，而允许所有其他的流量
  
  在哪个接口应用标准ACL
  应用在入方向还是出方向
  R1(config)# access-list 1 deny host 192.168.2.2
  R1(config)# access-list 1 permit any
  R1(config)# int f0/1
  R1(config-if)# ip access-group 1 in
  创建扩展访问控制列表：
  Router（config）access-list access-list-number ｛deny |permit｝protocol ｛source [source-wildcard] | any} destination [destination-wildcard] | any} [protocol-specific options] [established] [log]
  参数说明如下。
  access-list-number：定义访问列表的编号，取值范围为1--~199.
  deny或permit指定了允许还是拒绝数据包。
  protocol：协议，如IP、TCP、UDP、ICMP、OSPF等。
  source、destination、destination-wildcard：源地址和目标地址。
  source-wildcard：通配符掩码。
  protocol-specific option：指定协议选项，用it、eq、gt、neq（小于、等于、大于、不等于）加端口号来指定，如eq 80。
  扩展访问控制列表案例：
  案例1：
  Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
  Router(config)# access-list 101 deny ip any any
  案例2：
  Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
  Router(config)# access-list 101 permit ip any any
  案例3：
  Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
  Router(config)# access-list 101 permit ip any any
  案例4：
  
  
  • 需求描述:
    允许PC1访问Web服务器的WWW服务
    禁止PC1访问Web服务器的其它服务
    允许主机PC1访问网络192.168.2.0/24
    
  • 分析在哪个接口应用扩展ACL
    应用在入站接口还是出站接口
    应用在哪台路由器上
  • 配置扩展ACL并应用到接口上
    R1(config)# access-list 101 permit tcp host 192.168.1.1 host 192.168.3.1 eq www
    R1(config)# access-list 101 deny ip host 192.168.1.1 host 192.168.3.1
    R1(config)# access-list 101 permit ip host 192.168.1.1 192.168.2.0 0.0.0.255
    R1(config)# int f0/0
    R1(config-if)# ip access-group 101 in
    7.2.2.5配置cisco PIX防火墙
    （1）配置防火墙接口的名字，并制定安全级别（nameif）
    Firewall（config）#nameif hardware_id interface security_level
    （2）配置网络接口参数（interface）：配置接口的参数，如双工、速率、启动或停用。
    Firewall（config）#interface hardware_id [hardware_speed] [shutdown]
    （3）配置内外网卡的IP地址(ip address)：用手动配置一个接口上的IP地址，将一个逻辑地址添加到一个硬件ID上。
    Firewall（config）#ip address if_name ip_address [netmask]
    （4）制定外部地址的范围（floble）：把内网的IP地址翻译成外网的IP地址或一段地址范围。
    Firewall（config）#global (if_name) nat_id ip_address-ip_address [netmask global_mask]
    （5）配置地址轮换（NAT）：将内网的私有IP地址转换为外网的公有IP地址。
    Firewall（config）#nat （if_name) nat_id local_ip [netmask]
    （6）设置指向内网和外网的静态路由（route）：route告诉我们要在哪个特定的网口转发，并指定哪个网络地址。
    Firewall（config）#route （if_name) 0 0 gateway_ip [metric]
    （7）设置某些控制选项（conduit）：用于允许数据包从较低安全级别流向较高安全级别。
    Firewall（config）#conduit global_ip port [-port] priotocol foreign_ip [netmask]
    （8）设置telnet选项（telnet）：在默认情况下，PIX的以太网口是不允许telnet的，配置只能通过console口，这一点与路由器有区别。可以通过telnet命令指定那些计算机能够用telnet登录防火墙。
    Firewall（config）#telnet local_ip [netmask]
    （9）保存配置（write memory）：将运行的配置文件保存到NVRAN中。
    Firewall（config）#write memory
    （10）测试命令。
    Firewall（config）#ping
    Firewall（config）#show interface
    Firewall（config）#show static
    Firewall（config）#show terminal
    7.2.3 入侵检测和处理策略
    7.2.3.1 入侵检测系统简介
    1.入侵检测系统的概念
    入侵检测系统IDS。
    2.入侵检测系统的功能
    
    
  
  

• 检测并分析用户和系统的活动。
• 检查系统的配置和漏洞。
• 评估系统关键资源和数据文件的完整性。
• 识别已知的攻击行为。
• 统计分析异常行为。
• 操作系统日志管理。并识别违反安全策略的用户活动。
  3.入侵检测系统的分类
  入侵检测系统分为主机型和网络型。
  4.入侵检测系统的组成及部署
  入侵检测系统由三部分组成，分别是事件生成器、事件分析器和相应单元。
  5.入侵检测技术的分类
  入侵检测技术分为两种：一种是基于标识，另一种是基于异常情况。
  7.2.3.2 入侵检测系统的基本原理
  1.信息收集
  2.信息分析
  7.2.3.3 入侵防护系统IPS
  1.IPS的工作原理
  2.IPS的种类
  （1）基于主机的入侵防护（HIPS）
  （2）基于网络的入侵防护（NIPS）
  （3）应用入侵防护（AIPS）
  3.IPS的技术特征
  嵌入式运行。
  深入分析和控制。
  入侵特征库。
  高效处理能力。
  7.2.4 漏洞扫描与处理策略
  7.2.4.1 漏洞扫描系统的基本原理
  7.2.4.2漏洞处理策略
  7.2.5 网络防病毒系统与病毒防护策略
  7.2.5.1 计算机病毒简介
  1.计算机病毒的特征
  计算机病毒具有传染性、隐蔽性、潜伏性、破坏性、针对性、衍生性、寄生性、未知性等特性。
  
  

• 计算机病毒的分类
  1）文件型病毒
  2）引导型病毒
  3）宏病毒
  4）目录（链接）型计算机病毒
  7.2.5.2 网络病毒
  7.2.5.3 基于网络的防病毒系统
  1.网络防病毒需求
  2.网络病毒的防护策略
  
  

• 一定要实现全方位、多层次防毒。
• 网关防毒是整体防毒的首要防线。
• 没有管理的防毒系统是无效的防毒系统。
• 服务是整体防毒系统中极为重要的一环。
  3.网络病毒系统的组织形式
  
  

• 系统中心统一管理。
• 远程安装升级。
• 一般客户端的防毒。
• 防病毒过滤网关。
• 硬件防病毒网关。
  7.2.6 其他网络安全措施
  7.2.6.1物理安全
  7.2.6.2电磁泄密及防护
  7.2.6.3 容灾系统建设
  1）容灾系统
  2）容灾系统的分类
  （1）按保障的内容分类：
  （2）按实现的距离远近分类：
  3）容灾系统的结构模型
  应用系统层和容灾平台层。
  4）容灾平台
  7.2.6.4 认证中心建设
  7.2.7 加密与认证技术
  7.2.7.1 加密技术
  数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被加密的内容。需要隐藏的信息称为明文；产生的结果称为密文；加密时使用的变换规则称为密码算法。信息安全的核心时密码技术。
  根据密码算法所使用的加密密钥和解密密钥是否相同，可将密码体制分为对称加密或非对称密码体制。
  1.对称密钥密码体制
  对称密钥加密的发送和接受数据的双方必须使用相同的/对称的密钥队明文进行加密和解密运算。常见的对称加密算法有DES、IDEA、TDEA、AES、RC2、RC4、RC5等
  
  

• 数据加密标准
  数据加密标准（DES），DES属于分组密码体制，它将分组为64位的明文加密成64位的密文；或反之。
• 三重DES
  三重DES使用两个密钥，执行三重DES算法，其密钥长度是112位。
• 国际数据加密数据算法
  国家数据加密数据算法（IDEA）使用128位的密钥。
  2.公开密钥密码体制
  公开密钥密码体制（RSA）也称非对称密钥加密。
  7.2.7.2 身份认证
  （1）基于共享密钥的认证。
  （2）needham-schroeder认证协议。
  （3）基于公钥的认证。
  7.2.7.3 数字签名
  数字签名是用于确认发送者身份和消息完整性的一个加密的消息摘要。数字签名应满足一下三点。
  
  

• 接受者能够核实发送者。
• 发送者不能抵赖对报文的签名。
• 接受者不能伪造对报文的签名。
  72.7.4 报文摘要
  1.MD5：128位的报文摘要
  2.安全散列算法：160位的摘录
  3.散列式报文认证码（HMAC）
  7.2.7.5 数字证书
  目前得以广泛使用的证书标准是X.509。
  7.2.8 安全协议
  7.2.8.1 安全套接层SSL
  SSL提供了两台计算机之间的安全连接，对整个会话进行了加密，从而保证了安全传输，七工作在应用层和传输层之间。
  SSL具有验证身份、数据的机密性、报文的完整性三个基本功能。
  7.2.8.2 安全电子交易SET
  7.2.8.3 电子邮件安全PGP
  PGP支持三种RSA密钥长度：384bit（偶尔使用）、512bit（商用）、1024bit（军用）。
  7.2.8.4 安全超文本传输协议S-HTTP
  7.3 真题详解
  试题1 （2017年下半年试题65）