您的位置: 首页  >  文章  >  第10章 网络安全技术

第10章 网络安全技术

分类: 文章 2024-01-15 17:01:04

第10章 网络安全技术

选择题33-36,应用题(2-4分)IPS,PIX

考点1:数据备份策略、磁盘阵列备份方式

1.数据备份策略

  • 从备份策略来看,可以分为完全备份增量备份差异备份

  • 从备份模式来看,可以分为物理备份逻辑备份

  • 根据备份服务器在备份过程中是否可以接受用户响应和数据更新,又可以分为在线备份离线备份(或者称为热备份和冷备份 );

  • 完全备份(full backup)是指对用户指定的所有数据文件或整个系统进行全面备份,是一种常用的数据备份方式;

  • 增量备份(incremental backup)只是备份那些自上次完全备份或增量备份后新创建的、被修改过的文件,即只备份所有发生变化的文件;

  • 差异备份(differential backup)与增量备份相似,只备份新创建的或修改过的数据。但两者的区别在于,差异备份是累积的,一个文件只要自上次完全备份后被修改过或者是新创建的,则在以后每次进行差异备份时都会被备份,直到下一次完全备份为止;

  • 完全备份不会检查自上次备份后文件是否被改动过,只是机械地将每个文件读出、写入,而不管文件是否已被修改;增量备份没有重复的备份数据,备份数据量不大,所需时间很短;差异备份只备份新创建的或修改过的数据

完全备份 增量备份 差异备份
空间使用 最多 最少 少于完全备份
备份速度 最慢 最快 快于完全备份
恢复速度 最快 最慢 快于增量备份

2.磁盘阵列备份方式

廉价冗余磁盘阵列(RAID)是一种广泛使用的数据备份设备,同时也是一种数据备份技术。它是指将多个类型、容量、接口,甚至品牌一致的专用硬盘或普通硬盘连成一个阵列,使其能以某种快速、准确和安全的方式来读写磁盘数据,从而达到提高数据读取速度和安全性的一种手段
磁盘阵列的最大特点是数据存储速度特别快,其主要功能是提高网络数据的可用性及存储容量,并将数据有选择性地分布在多个磁盘上,从而提高系统的数据吞吐率;

磁盘阵列有多种部署方式,也称RAID级别。不同的RAID级别,备份方式也不同。目前主要有RAID0、RAID1、RAID3、RAID5等几种,也可以是几种独立方式的组合,如RAID10就是RAID0和RAID0的组合;

RAID1是需要通过磁盘数据镜像实现数据冗余,而RAID5可以在所有磁盘上交叉地存取数据及奇偶校验信息,相比较而言RAID5可靠性优于RAID1

磁盘阵列需要有磁盘阵列控制器,有些服务器主板中就自带有这个RAID控制器提供了相应的接口。而有些服务器主板上没有这种控制器,这样在需要配置RAID时,就必须外加一个RAID卡(阵列卡)插入服务器的PCI插槽中
RAID控制器的磁盘接口通常是SCSI接口,不过目前也有一些RAID阵列卡提供了IDE接口,使IDE磁盘也支持RAID技术。同时随着SATA接口技术的成熟,基于SATA接口的RAID阵列卡也非常多;有些阵列卡提供2个甚至4个磁盘接口通道

考点2:加密技术—对称加密、非对称加密

1.加密与解密

  • 加密就是利用密码学的方法对信息进行伪装,使得未授权者不能识别和理解其真正的含义,也不能伪造、篡改和破坏数据;
  • 经过授权的接收者在收到密文后,进行与加密相逆的变换,去掉密文的伪装,恢复明文的过程称为解密
  • 加密和解密组成加密系统,明文和密文统称为报文。将信息从明文加密成密文,再从密文转换回明文的整个系统称为密码系统;

2.对称**技术

对称加密技术(又称**密码技术)是指加密系统的加***和解***相同,或者虽然不同,但可以从其中一个**推导出另一个**。使用对称加密方法,加密方和解密方必须使用同一种加密算法和相同的**;

第10章 网络安全技术

数据加密标准(DES)算法是最典型的对称**加密算法,DES算法使用64位的**长度,其中8位用于奇偶校验,用户可以使用其余的56位;

国际数据加密(IDEA)算法是一个对称分组密码,明文和密文都是64位,**长度为128位,它的速度和能力类似于DES,但是更加安全;

其他比DES更安全的对称加密算法,如RC2算法、RC4算法、Skipjiack算法等;

采用对称加密复法,网络中N个用户之间进行加密通信,需要**个数是N(N-1)*;

3.非对称**技术

非对称加密技术对信息的加密与解密使用不同的**,用来加密的**是可以公开的,用来解密的私钥是需要保密的,因此又被称为公钥加密技术;

第10章 网络安全技术

目前,常用的公钥算法包括:RSA算法、DSA算法、ECC椭圆曲线算法、PKCS算法与PGP算法等。
RSA公钥加密算法是目前因特网上进行保密通信和数字签名的最有效的加密算法之一,RSA*多用在数字签名、**管理和认证等方面

采用非对称**技术算法,网络中N个用户之间进行加密通信,需要2N个**

考点3:入侵检测系统—IPS(入侵防护系统)

1.入侵检测系统的概念

入侵检测技术就是对入侵行为进行检测的技术。通过收集、分析计算机网络或计算机系统中的一些关键信息,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象;

  • 监视、分析用户和系统的行为;
  • 审计系统配置和漏洞;
  • 评估敏感系统和数据的完整性;
  • 对异常行为进行统计分析,识别攻击行为,并向网络管理人员报警;
  • 对操作系统进行审计、跟踪管理,识别违反授权的用户活动;

2.入侵检测系统的分类

根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统

①基于主机的入侵检测系统(HIDS):通常在被重点检测的主机上运行一个代理程序,用于监视、检测对于主机的攻击行为,通知用户并进行响应。
②基于网络的入侵检测系统一般通过将网卡设置成“混杂模式”来收集在网上出现的数据帧,可采用的基本识别技术包括:模式匹配、频率或阈值、事件的相关性、统计意义上的非正常现象检测

3.分布式入侵检测系统

分布式入侵检测系统将数据收集和部分数据分析功能分布在网络中的不同主机运行,很大程度上解决了集中式入侵检测系统处理能力有限、容易单点失效等缺点;

分布式的入侵检测系统有层次式、协作式和对等式3种类型。
对等式:对等模型的应用是的分布式入侵检测系统真正的避免了单点失效的发生

4.入侵防护系统的基本概念

入侵防护系统(IPS),是将防火墙技术和入侵检测技术进行整合并采用In-line的工作模式的系统,该系统倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失;

入侵防护系统主要包括嗅探器、日志系统、检测分析组件、状态开关、策略执行组件和控制台6个部分;

5.入侵防护系统的分类

入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防控系统

①基于主机的入侵防护系统(HIPS):是安装在受保护的主机系统中,检测并阻挡针对本机的威胁和攻击,可以通过监视内核的系统调用来阻挡攻击并记录日志
HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。

②基于网络的入侵防护系统(NIPS):布置于网络出口处,一般串联与防火墙与路由器之间,网络进出的数据流都必须通过它,从而保护整个网络的安全;

因为攻击的误报将导致合法的通信被阻断,导致拒绝服务,而性能不足会带来合法通信的延迟,甚至成为网络的瓶颈。

③应用入侵防护系统(AIPS)是由基于主机的入侵防护系统发展而来,一般部署在应用服务器前端,进而保证了应用服务器的安全性。
应用入侵防护系统能够防止诸多入侵,包括SQL代码嵌入、缓冲区溢出、畸形数据包、cookie篡改、参数篡改、强制浏览、数据类型不匹配以及其其他已知漏洞攻击
应用入侵防护系统通常部署在面向互联网的应用系统之前,能够成为应用服务器的重要安全屏障。

考点4:防火墙技术—PIX配置过程

1.防火墙的基本概念

  • 防火墙指的是一个由软件和硬件设备组合而成的,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性的形象说法;
  • 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
  • 通常布置在企业内部网络和外部公共网络之间,企业中一些需要对外提供服务的服务器(如FTP、WWW、E-mail)通常部署在防火墙的DMZ区

2.防火墙安装与配置

(1)防火墙的网络接口

  • 外部网络区域是指企业外部网络,也称为外网,如Internet、第三方网络等,是互联网络中不被信任的区域。当外部区域想要访问内部区域的主机和服务时,可以通过对防火墙进行设置实现外部网络的有限制访问。
  • 内部网络是指企业内部网络,或者企业内部网络的一部分,也称为内网。它是互联网络中的信任区域,应受到防火墙的保护。如企业内部的各个部门之间的局域网。
  • DMZ(也称停火区)是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器、Mail服务器等。

(1)PIX 525防火墙访问管理模式

①非特权模式

PIX防火墙开机自检后,就是处于非特权模式,系统显示为“pixfirewall>”。

②特权模式

输入“enable”进入特权模式,可以改变当前配置,显示为“pixfirewall#"。

③配置模式。

输入“configure terminal”进入配置模式,绝大部分的系统配置都在这里进行。显示“pixfirewall(config)#”。
④监视模式。

在PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,即可进入监视模式,这里可以更新操作系统映象和进行口令恢复。显示为“monitor>”。

PIX防火墙有9个基本配置命令:nameif、interface、ip address、natglobal、route、staticconduitfixup

①nameif:用于配置防火墙接口的名字,并指定安全级别。
配置示例:
Pix 525(config)#nameif ethernet0 outside security0

​ Pix 525(config)#nameif ethernet1 inside security100

​ Pix 525(config)#nameif dmz security50

在默认配置中,以太网0端口被命名为外部接口(outside)安全级别是0;以太网1端口被命名为内部接口(inside),安全级别是100,安全级别取值范围为1~99,数字越大安全级别越高

②nat:指定要进行转换的内部地址。Nat作用是将内网的私有IP地址转换为外网的共有IP地址。Nat命令总是与global命令一起使用,因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行访问;

③global:指定外部地址范围(地址池)。内网的主机通过防火墙要访问外网时,防火墙将使用这段IP地址池为要访问外网的主机分配一个全局IP地址

④static:配管静态nat,static命令用于创建内部P地址和外部P地址之间的静态映射。

⑤conduit:管道命令。
conduit命令配置语法:conduit permit Ideny global_ip port [-port] protocol foreign_ip[netmask]
其中,permitldeny 表示允许或拒绝访问global_ip指的是先前由global或static命令定义的全局IP地址port指的是服务所作用的端口protocol指的是连接协议foreign_ip 表示可访问global_ip的 外部IP
例:配置允许任何外部主机对全局地址192.168.0.8的这台主机进行HTTP访问。
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any

⑥fixup:配置FIXUP协议。
fixup命令的作用是启用、禁止、改变一个服务或协议通过PIX防火墙的端口,由fixup命令指定的端口是PIX防火墙要侦听的服务。
例1:启用FTP协议,并指定FTP的端口号为21。
Pix525(config)#fixup protocol ftp 21

例2:禁用SMTP协议。
Pix525(config)#no fixup protocol smtp

考点5:网络版防病毒软件的安装与配置

1.网络版防病毒系统结构

网络版防病毒软件采用分布式的体系结构,整个防病毒体系是由4个相互关联的子系统组成:系统中心、服务器端、客户端、管理控制台。各个子系统协同工作,共同完成对整个网络的病毒防护工作;

2.网络版防病毒系统安装

  • 安装系统中心时,安装程序将在该服务器上同时安装一套服务器端系统和一套管理控制台系统。安装系统中心的计算机应具备全天候开机、可以方便地连接Internet条件;
  • 对于绝大多数网络版防病毒系统,服务器端和客户端都可以采用本地安装、远程安装、Web安装和脚本安装这几种方式进行安装。
  • 控制台的安装有通过光盘安装和远程安装两种方式,无论采用何种方式系统管理员都可以将管理控制台安装在其他计算机上

3.网络版防病毒系统的主要参数配置

(1)系统升级设置

  • 网站升级:系统中心直接通过Internet从其官方网站上获取升级文件。
  • 上级中心升级:下级中心从上级中心获取升级文件。
  • 手动升级:从防病毒系统的官方网站下载升级包,将其复制到系统中心服务器上手动进行安装。

(2)系统的数据通信端口可以设定

相关推荐