网络技术——网络安全技术
考点1:数据备份与还原
考点2:加密技术
考点3:防火墙技术——PIX
考点4:入侵检测技术(选择题+应用题)
考点5:计算机病毒防范
考点6:网络安全评估
一、网络安全的基本要素
1.机密性
2.完整性
3.可用性
4.可鉴别性
5.不可抵赖性
P2DR模型
③检测(Detection)检测功能使用漏洞评估、入侵检测等系统检测技术,当攻击者穿透防护系统时,发挥功用。
④响应(Response)响应包括紧急响应和恢复处理,而恢复又包括系统恢复和信息恢复,响应系统在检测出入侵时,开始事件处理的工作。
二、网络安全规范
可信计算机系统评估准则(TCSEC)将计算机系统安全等级分为A.B.C.D这4类,共有7级。即D.C1、C2、B1、B2、B3与A1。其中,D级系统的安全要求最低,A1级系统的安全要求最高。
D级系统属于非安全保护类,它不能用于多用户环境下的重要信息处理。C类系统是用户能定义访问控制要求的自主保护类型。B类系统属于强制型安全保护系统,即用户不能分配权限,只有管理员可以为用户分配。一般的UNIX系统通常能满足C2标准。
数据备份方法
基于策略(必考!)
1.完全备份
将用户指定的数据甚至是整个系统的数据进行完全的备份。
2.增量备份
针对完全备份,在进行增量备份,只有那些在上次完全或者增量备份后被修改了的文件才会被备份。
3.差异备份
将最近一次完全备份后产生的所有数据更新进行备份。差异备份将完全恢复时所涉及到的备份文件数量限制为2个。
空间使用 |
备份速度 |
恢复速度 |
|
完全备份 |
最多 |
最慢 |
最快 |
增量备份 |
最少 |
最快 |
最慢 |
差异备份 |
少于完全备份 |
快于完全备份 |
快于增量备份 |
磁盘阵列部署方式,也称RIAD级别。主要有RAID0、RAID1、RAID3、RAID5等级别。 RAID10是RAID0和RAID1的组合
磁盘阵列需要有磁盘阵列控制器,有些服务器主板中自带有这个RAID控制器,有些主板没有这种控制器,就必须外加一个RAID卡,RAID卡通常是SCSI接口,有些也提供IDE接口和SATA接口。
非对称密码体制
非对称加密技术中N个用户之间进行通信加密,仅需要n对密钥就可以了。常用的加密算法有RSA算法、DSA算法、PKCS算法与PGP算法。
计算机病毒
计算机病毒是指计算机程序中的一段可执行程序代理,它可以破坏计算机的功能甚至破坏数据从而影响计算机的能力。
1.计算机病毒的特征
(1)非授权可执行性
(2)隐蔽性
(3)传染性
(4)潜伏性
(5)破坏性
(6)可触发性
2.计算机病毒分类
(1)按寄生分类
(2)按破坏性分类
二、网络病毒
网络病毒的特征:
(1)传播方式多样,传播速度更快。
(2)影响面更广
(3)破坏性更强
(4)难以控制和根除
(5)编写方式多样,病毒变种多样
(6)病毒智能化、隐蔽化
(7)出现混合病毒
木马
“木马”通常寄生在用户计算机系统中,盗用用户信息,并通过网络发送给黑客。与病毒不同之处在于没有自我复制功能。
传播途径:电子邮件、软件下载、会话软件。
网络版防病毒系统结构
管理控制台可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。
管理控制台既可以安装到服务器上也可以安装在客户机上,视网络管理员的需要,可以自由安装。
网络版防病毒系统安装
对于大多数的网络版的防病毒系统,服务器端和客户端通常可以采用本地安装、远程安装、Web安装、脚本安装等方式进行安装。
网络版防病毒系统的主要参数配置
1.系统升级
从网站升级、从上级中心升级、从网站上下载 手动数据包。
2.扫描设置
3.黑白名单设置
4.端口设置
为了使网络版防病毒软件的通信数据能顺利的通过防火墙,通常系统都会提供用于数据通信端口设置的界面。(非固定端口)
防火墙技术
一、防火墙的主要功能:
1.所有的从外部到内部的通信都必须经过它。
2.只有有内部访问策略授权的通信才能被允许通过。
3.具有防攻击能力,保证自身的安全性。
二、防火墙的分类:
防火墙在网络之间通过执行控制策略来保护网络系统,防火墙包括硬件和软件两部分。防火墙根据其实现技术可以分为:包过滤路由器、应用网关、应用代理和状态检测4类
△防火墙的配置方法
三、基本配置方法(以cisco PIX525为例)必考
1.访问模式
①非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为 pixfirewall>
②特权模式。 输入enable进入特权模式,可以改变当前配置。显示为 pixfirewall#
③配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为 pixfirewall(config)#
④监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为 monitor>
2.基本配置命令
①nameif:配置防火墙接口的名字,并指定安全级别
Pix525(config)#nameif ethernet0 outside security 0
//设置以太网口1为外网接口,安全级别为0,安全系数最低。
Pix525(config)#nameif ethernet1 inside security 100
//设置以太网口2为内网接口,安全级别为100。安全系数最高。
Pix525(config)#nameif ethernet2 dmz security 50
Conduit(管道命令)掌握概念与作用
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。
fixup掌握概念与作用
fixup命令作用是启用、禁止、改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。
入侵检测技术
入侵检测系统(IDS)是对计算机和网络资源的恶意使用行为检测的系统。
入侵检测系统分类
按照检测的数据来源,入侵检测系统可以分为:基于主机的入侵检测系统(系统日志和应用程序日志为数据来源)和基于网络的入侵检测系统(网卡设置为混杂模式,原始的数据帧是其数据来源)。
分布式入侵检测系统
分布式入侵检测系统的三种类型为层次型(存在单点失效)、协作型(存在单点失效)和对等型(无单点失效)
入侵防护系统的基本分类(应用题可能考1小题)
基于主机的入侵防护系统(HIPS):安装在受保护的主机系统中,检测并阻拦正对本机的威胁和供给。
基于网络的入侵防护系统(NIPS):布置于网络出口处,一般串联与防火墙与路由器之间,网络进出的数据流都必须通过它,从而保护整个网络的安全。如果检测到一个恶意的数据包时,系统不但发出警报,还将采取响应措施(如丢弃含有攻击性的数据包或阻断连接)阻断攻击。NIPS对攻击的误报会导致合法的通信被阻断。
应用入侵防护系统(AIPS):一般部署于应用服务器前端,从而将基于主机的入侵防护系统功能延伸到服务器之前的高性能网络设备上,进而保证了应用服务器的安全性。防止的入侵包括cookie篡改、SQL注入等漏洞。
网络入侵检测系统常用部署方法
①网络接口卡与交换设备的监控端口连接,通过交换设备的Span/Mirror功能将流向个端口的数据包复制一份给监控端口。
②在网络中增加一台集线器改变网络拓扑结构,通过集线器(共享式监听方式)获取数据包。
③入侵检测传感器通过一个TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
TAP是一种容错方案,它提供全双工或半双工
10/100/1000M网段上观察数据流量的手段,其优点为:
TAP是容错的,如果发生电源故障,原先监控的网段上的通信部受影响。
TAP不会影响数据流
TAP阻止建立于入侵检测系统的直接连接,从而保护它不受攻击
网络安全评估分析技术
1.基于应用的技术(被动)
2.基于网络的技术(主动)
网络安全风险评估技术通常用来进行穿透实验和安全审计。
网络安全评估分析系统结构
通常采用控制台和代理相结合的结构。
网络技术——网络安全技术相关推荐
- (NCRE网络技术)网络安全技术-知识点
欢迎您阅读此系列文章,文章参考自<全国计算机等级考试三级教程.网络技术>.内容为NCRE三级网络技术主要知识点以及常考点,此知识点总结参照<三级网络技术考试大纲(2018年版)> ...
- (NCRE网络技术)网络系统结构与设计的基本原则-知识点
欢迎您阅读此系列文章,文章参考自<全国计算机等级考试三级教程.网络技术>.内容为NCRE三级网络技术主要知识点以及常考点,此知识点总结参照<三级网络技术考试大纲(2018年版)> ...
- 网络技术——网络运维工程师必会的网络知识(1)(详细讲解)
作者简介:一名在校云计算网络运维学生.每天分享网络运维的学习经验.和学习笔记. 座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页 前言 本章将会复习网络技术的一些知识,了解网络基础概 ...
- 网络技术——网络运维工程师必会的网络知识(3)(详细讲解)
作者简介:一名在校云计算网络运维学生.每天分享网络运维的学习经验.和学习笔记. 座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页 目录 前言 一.网络层协议与应用
- 网络技术/技术支持岗位在网络安全大厂/互联网公司笔试面试常考题-计算机网络知识点总结
目录 1.OSI七层模型及各层作用 2.TCP/IP模型 3.ARP地址解析协议(工作在网络层和数据链路层) 4.MAC层的功能&MAC地址的作用 MAC层功能: MAC地址作用什 ...
- 网络技术工程师专业核心 | 网络技术工程师就业方向
一.网络技术工程师专业定义 本专业主要面向对网络感兴趣的有志青年,通过本专业的学习,可以处理常见的电脑软.硬件故障,能够组建并维护大中型企业的网络环境及相应的广域网系统,能够熟练操作思科.华为等主流厂 ...
- 论无线网络中的网络与信息安全技术
试题一 论无线网络中的网络与信息安全技术 无线网络应用越来越广泛,也带来了极大的便利.但是,无线网络各类应用也带来了各种安全问题,迫使管理员采用相应的网络与信息安全技术. 请围绕"论无线网络 ...
- 网上调研:主流网络技术和设备的性能与市场
网上调研:主流网络技术和设备的性能与市场 网上调研主流网络技术和设备的性能与市场 一当前主要的网络技术的进展以太网的进展 以太网的历史 以太网的相关标准 以太网现状 二当前主要网络技术的应用大学校园使 ...
- 有史以来最全面最经典的网络技术资料合集
│ 子网划分工具.exe │ ├─CISCO │ ├─CCNP Lab │ │ AAA实验.pdf │ │ Backup Interface-v2.pdf │ │ BGP Tr ...
- 计算机网络技术网络建设小结,计算机网络精品课程建设总结报告.doc
计算机网络精品课程建设总结报告 <计算机网络技术>精品课程建设总结报告 一.课程定位及历史沿革 <计算机网络技术>课程是计算机网络技术专业的主干课,是一门应用性较强的专业基础课 ...
最新文章
- linux 学习笔记 (五)
- 树莓派换源、vim更新:树莓派更换国内可用镜像源
- 无为职业学校计算机班,致盐亭职中2000级计算机三班全体同学的一封信
- 原创]Windows Gdi入门初级应用(VC SDK)
- Vantage公司增资3亿美元加强数据中心建设
- Python机器学习:SVM003Soft Margin和SVM(线性)的正则化
- 2月8日见!三星Galaxy S22系列新增樱花粉配色
- 【lucene】lucene 高级搜索
- Spring注解大全(更新中)
- 算法 Tricks(四)—— 获取一个数二进制形式第一个不为 0 的位置
- python2和python3共存时,设置默认python为python3
- 2018年A题高温作业专用服装的设计论文与代码
- VS2017编译配置和使用LOG4CPP
- oauth2基本概念
- 一个问题的暴漏有多难? 过五关!!!
- Jquery电子签名制作_jSignature
- 思维导图怎么画?新手5分钟教程分享
- 结合NAACL2022对计算语言学趋势的思考与分析
- java基于springboot+vue+elementui的实验室预约管理系统 前后端分离
- 关于融云在APIcloud中的集成
热门文章
- unity将预制体写成fbx_unity 将fbx转成prefab
- sentinel 时间窗口_sentinel 滑动窗口统计机制
- python flask将读取的图片返回给web前端
- 想用数据库“读写分离”,请先明白“读写分离”解决什么问题
- MVC模式在Java Web应用程序中的实现
- Strusts2笔记6--拦截器
- 获取css style值
- Transfer Learning from Speaker Verification to Multispeaker Text-To-Speech Synthesis
- 普通循环和numpy速率对比
- VMware Funsion 修改vmnet1/vmnet8默认网络地址及DHCP地址