网络安全技术复习提纲

网络安全技术复习提纲（计网1001和计网1002）ch1:

1.为什么网络安全如此重要？

如果网络安全受到危害，可能会导致非常严重的后果，例如隐私丧失、信息失窃，有的甚至需要追究法津责任。

当今的网络必须在允许访问网络资源与保护敏感数据之间找到平衡点。网络安全的术语。

白帽客(white hat):指那些寻找系统或网络漏洞，然后向系统所有者报告以便其修复。

漏洞的个人。从理论上来说，他们并不是滥用计算机系统。——保护。

黑客(hacker):一般术语，历史上用于形容计算机编程专家。最近，该术语常。

用于形容那些企图通过未授权方式恶意访问网络资源的人，带有贬义。

黑帽客(black hat):用于形容那些为牟取个人利益或经济利益，利用计算机系统知识。

侵入非授权使用的系统或网络的群体。骇客即属于一种黑帽客。——破坏§骇客(cracker):

用于更为准确地形容非法访问网络资源的恶意群体的术语。§**飞客(phreaker) :指利用**网络执行非法功能的个人。

盗用**网络的目的一。

般是侵入**系统（通常通过付费**）免费拨打长途**。

垃圾邮件发送者(spammer):指发送大量未经请求的电子邮件消息的个人。垃圾邮。

件发送者通常利用病毒控制家用计算机，并利用它们发送大量消息。

网络钓鱼者(phisher):指使用电子邮件或其它手段哄骗其他人提供敏感信息（例。

如信用卡号码或密码）的个人。

2.常见安全威胁。

讨论网络安全性时，人们往往会谈到三个术语：漏洞、威胁和攻击。§漏洞（或称缺陷）漏洞是指每个网络和设备固有的薄弱程度。这些设备包括路由器、

交换机、台式计算机、服务器，甚至安全设备。主要包括三种类型：§漏洞（或称缺陷）主要包括三种类型：

（1）技术缺陷：tcp/ip协议缺陷、操作系统缺陷和网络设备缺陷；

（2）配置缺陷：用户帐户不安全、产品的默认设置不安全、系统帐户的密码容易被。

猜到、internet服务配置错误和网络设备配置错误；

（3）安全策略缺陷：缺乏书面的安全策略、政治、缺乏身份验证持续性、没有实行。

逻辑访问控制、软件和硬件的安装与更改没有遵循策略执行、缺乏灾难恢复计划§对物理基础架构的威胁威胁是指喜欢利用安全弱点并具有相关技能的个人。这些人。

会不断寻找新的漏洞和弱点。

威胁使用各种各样的工具、脚本和程序发起对网络和网络设备的攻击。一般而言，受到攻击的网络设备都是端点设备，例如服务器和台式计算机。

物理威胁分为四类：

硬件威胁。对服务器、路由器、交换机、布线间和工作站的物理破坏。②环境威胁。

指极端温度（过热或过冷）或极端湿度（过湿或过干）③电气威胁。

电压尖峰、电源电压不足（电气管制）、不合格电源（噪音），以及断电④维护威胁。

指关键电气组件处理不佳（静电放电），缺少关键备用组件、布线混乱和标识不明网络钓鱼即是社会工程攻击的一种类型，它包括使用电子邮件或其它类型的信息诱骗他人提供敏感信息。

3.网络攻击的类型。

攻击主要分为四种类型。1)侦察。

侦察是指未经授权的搜索和映射系统、服务或漏洞。此类攻击也称为信息收集，大多数情况下它充当其它类型攻击的先导。侦察类似于冒充邻居的小偷伺机寻找容易下手的住宅，例如无人居住的住宅、容易打开的门或窗户等。

侦察攻击包括：

ninternet信息查询nping扫描n端口扫描n数据包嗅探2)访问。

系统访问是指入侵者获取本来不具备访问权限（帐户或密码）的设备的访问权。入侵者进入或访问系统后往往会运行某种黑客程序、脚本或工具，以利用目标系统或应用程序的已知漏洞展开攻击。

访问攻击利用身份验证服务、ftp服务和web服务的已知漏洞，获取对web帐户、机密数据库和其它敏感信息的访问。如中间人攻击、信任利用攻击、端口重定向攻击和密码攻3)拒绝服务。

拒绝服务(dos)是指攻击者通过禁用或破坏网络、系统或服务来拒绝为特定用户提供服务的一种攻击方式。dos攻击包括使系统崩溃或将系统性能降低至无法使用的状态。但是，dos也可以只是简单地删除或破坏信息。

dos攻击和ddos攻击：

三种dos攻击：电子邮件炸弹、死亡之ping、syn泛洪攻击、数据包分片和重组攻击、cpu霸用攻击和恶意小程序攻击。

ddos攻击：smurf攻击、tribe flood network(tfn)、stacheldraht和mydoom

4)蠕虫、病毒和特洛伊木马。

有时主机上会被装上恶意软件，这些软件会破坏系统、自我复制或拒绝对网络、系统或服务的访问。此类软件通常称为蠕虫、病毒或特洛伊木马。

4.安全策略是一组指导原则，其目的是为保护网络免受来自企业内部和外部的攻击。网络安全策略可以说是在一定的条件下，对成本和效率的一种均衡。良好的安全策略的特点：

a.它定义了对网络资源的使用方式哪些为可接受，哪些为不可接受。b.它会传达共识并定义职责。c.它定义了处理安全事故的方法。

ch2ch5

1.路由器安全问题。

路由器扮演着以下角色：

通告网络并过滤网络使用者。②提供对网段和子网的访问。

2.要确保网络安全，第一步是为网络边界上的路由器提供安全保护。保护路由器安全需从以下方面着手：①物理安全。

随时更新路由器ios③备份路由器配置和ios

加固路由器以避免未使用端口和服务遭到滥用3.保护路由器的步骤有哪些？步骤1.管理路由器安全。

步骤2.保护对路由器的远程管理访问步骤3.使用日志记录路由器的活动。

步骤4.保护易受攻击的路由器服务和接口步骤5.保护路由协议。

步骤6.控制并过滤网络流量4.管理路由器安全。

确保基本路由器安全的方法是配置口令。强口令是控制安全访问路由器的最基本要。

素。因此，应该始终配置强口令。

注：口令开头的空格会被忽略，但第一个字符之后的空格都不会被忽略。

创建强而复杂的口令的一种方法是使用密码短语。密码短语是指使用句子或短语作。

为口令，此方法安全性较高。密码短语应足够长、难以被猜中，但易于记忆和准确键入。

cisco推荐尽可能使用5类加密代替7类加密。md5加密是强加密方法。应该尽。

可能使用此方法加密。要使用此加密方法，请将关键字password替换为secret。§当进行远程路由器管理且需要高度的私密性和会话完整性时，应该使用ssh协议。

5.易受攻击的路由器服务和接口如：

希望在cisco ios命令中使用域名，则需要使用全局配置命令ip name-serveraddresses

明确设置域名服务器的地址。否则，应该使用命令no ip domain-lookup关闭dns域名解析。

关闭无类路由行为。no ip classless

关闭简单网络管理服务。no snmp-server

6.重点掌握ripv2、eigrp和ospf的md5的认证的配置和匹配原则（注意命令）；了解明文的配置和匹配原则。

如：保护ripv2更新的步骤如下：步骤1.阻止rip路由更新传播步骤2.阻止非法接收rip更新步骤3.检验rip路由的工作情况2

7.重点掌握标准acl、复杂的acl和基于时间的acl的设计（注意命令）；了解命名的acl、1）acl是一系列permit或deny语句组成的顺序列表，应用于地址或上层协议。acl可根据条件（例如源地址、目的地址、协议和端口号）检查网络数据包。

配置acl的主要目的是为网络提供安全性。

动态的acl和自反的acl。

如acl是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制路由器应。

该允许还是拒绝数据包通过。

标准acls:标准acl根据源ip地址允许或拒绝流量。§扩展acls:扩展acl根据多种属性。

动态acl的优点。

使用询问机制对每个用户进行身份验证②简化大型网际网络的管理。

在许多情况下，可以减少与acl有关的路由器处理工作④降低黑客闯入网络的机会。

通过防火墙动态创建用户访问，而不会影响其它所配置的安全限制。

注：必须配置扩展acl、身份验证和telnet连接，才能在路由器上运行动态acl

ch9141．vpn的定义和主要作用。

虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。vpn在公共网络基础架构的基础上搭建私有网络，同时保持机密性和安全性；vpn使用加密隧道协议防范数据包嗅探、执行发送方身份验证以及进行消息完整性检查。

vpn的主要作用是：

连接各私有网络和私人用户②保护在公网上传播的数据③实现对专有资源的访问授权vpn网络设计的安全性原则包括：a.隧道与加密b.数据验证。

c.用户识别与设备验证。

d.入侵检测与网络接入控制。

的优势和不足1）优势：

a)点对网的组网方式，二级组网b)基于浏览器的访问，使用方便c)适用于手持移动终端d)权限划分可具体到用户2）不足之处。

a)二级组网，不适用于多级网络组网。

b)应用单向访问，不适用于总部与分支都有业务系统的访问c)用户终端需要登录操作3.重点掌握ipsec vpn、gre over ipsec vpn的配置步骤（注意命令），了解sslvpn、ezvpn、

dmvpn和mpls vpn。

1）ipsec协议族通过ah和esp两种模式完成数据的验证功能，同时esp还可以完成数据的加密功能。

ah是报文验证头协议，主要提供的功能有：1）数据完整性2）数据**认证3）反重放esp是封装安全载荷协议，可选择的加密算法有des、3des和aes

注：ike的主要功能包括建立ipsec安全联盟和自动协商交换密钥；ike不是在网络上直接传送密钥，而是通过一系列数据的交换，采用dh算法最终计算出双方共享的密钥；ike采用完善前向安全特性pfs，一个密钥被破解，并不影响其他密钥的安全性；

2)mpls作为一种分类**技术，将具有相同**处理方式的分组归为一类，称为**等价类fec。标签交换路由器lsr是mpls网络中的基本元素，由控制单元和**单元这两部分组成。

补充、对于一台设备的标签**表来说：（1）所有的入标签( c )

2）对于相同的路由（下一跳也相同），出标签( b )（3）对于不同的路由（但下一跳相同），出标签( a )（4）对于不同的路由（下一跳也不同），出标签( a )（5）对于同一条路由，入标签和出标签( c )a一定不同b一定相同c可能相同。

3) gre是对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议中传输；gre提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel，即gre作为vpn的第三层隧道协议，在协议层之间采用了tunnel(隧道)技术。tunnel是虚拟的点对点连接，即点对点连接的虚拟接口。gre协议实际上是一种承载协议。

4)如果easy vpn服务器配置了xauth(扩展用户认证),那么远程用户需要等待user和password的挑战信息的到来。在ezvpn中，如果启动了rri功能，那么在分配完地址之后，vpn服务器会自动建立一条到达用户隧道的静态路由；一旦vpn连接结束，这条静态路由也随之消失。

5)dmvpn(动态多点vpn)是通过多点gre（mgre）和下一跳解析协议nhrp与ipsec相结合实现的。dmvpn的核心是nhrp，nhrp类似arp，arp协议的作用是ip地址到mac地址的解析。部署全网状或部分网状ipsec vpn时为减小配置工作量可以使用dmvpn。

ch15

1.数字签名技术是公开密钥算法的一个典型应用，在发送端，采用发送者的私钥对要发送的信息进行数字签名，在接收端，采用发送者的公钥对要发送的信息进行验证签名；加解密技术也是公开密钥算法的一个典型应用，在发送端，采用接收者的公钥进行加密，在接收端，采用接收者的私钥进行解密。

2.在实际应用中，一般将对称加密算法和公开密钥算法混合起来使用。使用对称加密算法对要发送的数据进行加密。

3.根据国家保密规定，处理绝密级信息的系统，应当采用一次性口令。

网络安全技术复习提纲

《电气防火》复习提纲

广告文案写作复习提纲

矫正社会工作复习提纲

小学语文基础知识复习提纲

管理学复习提纲及考试重点

网络安全技术

10级电力企业管理复习提纲

网络安全技术简述

其他用户还读了