目录
第八章 网络安全
需要掌握网络安全的一些基本概念、数据加密技术、签名与认证技术。之后还有报文摘要、数字证书、密钥管理、虚拟专用网、应用层安全协议、防火墙、病毒及其防护、入侵检测以及入侵防御系统。
网络安全指网络系统中的硬件、软件以及系统中的数据受到保护,不因偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全包括:网络设备安全、网络软件安全和网络信息安全。凡是涉及到网络上信息保密性、完整性、可用性、可认证性、可控性和可审查性的相关理论和技术都是网络安全研究的范畴。
(1)网络安全的基本概念:
网络安全威胁是指那些可能对网络系统造成损害的行为。常见的网络威胁类型有恶意软件、分布式拒绝服务(DDoS)攻击、网络钓鱼/社会工程学、高级持续威胁(APT)、中间人攻击和内部威胁等。
网络安全漏洞是指网络产品或系统中存在的安全缺陷,这些缺陷可能会被攻击者利用来对系统造成损害。根据GB/T 30279-2020《信息安全技术 网络安全漏洞分类分级指南》,网络安全漏洞可以按照成因分类为代码问题、配置错误、环境问题和其他等类别。
网络攻击可以分为被动攻击和主动攻击两类。被动攻击是指试图获取和利用系统信息,但不会对系统资源造成破坏。主动攻击是指试图破坏系统资源,影响系统工作。常见的网络攻击形式有口令窃取、欺骗攻击、缺陷和后门攻击、认证失效、协议缺陷、信息泄露、指数攻击(病毒和蠕虫)和拒绝服务攻击等。
安全措施的目标:访问控制、认证、完整性、审计、保密。
基本安全技术包括身份与访问管理 (IAM) 用于定义每个用户的角色和访问权限(身份认证),以及授予或拒绝其权限的条件。此外,还有防火墙技术、入侵检测与防御技术、数据加密技术以及数字签名等。
(2)信息加密技术:
信息加密技术是指一条消息通过加密密钥和加密函数转换成无意义的密文,接收者通过解密函数和解密密钥将密文还原成明文。加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。
加密算法分对称加密和非对称加密。其中对称加密算法的加密与解密密钥相同,非对称加密算法的加密密钥与解密密钥不同。此外,还有一类不需要密钥的散列算法。常见的对称加密算法主要有DES、3DES、AES等,常见的非对称算法(其实也就是公钥加密算法)主要有RSA、DSA等,散列算法(其实也就是属于报文摘要算法)主要有SHA-1、MD5等。
对称加密算法(也称为共享密钥算法):
DES(Data Encryption Standard)是一种对称加密算法,它于1977年被美国联邦政府的国家标准局确定为联邦资料处理标准。它基于一个56位的密钥,使用分组加密方法,将64位明文加密成64位密文。然而,由于其密钥长度较短,已经被认为是不安全的。
3DES(Triple DES)是DES向AES过渡的加密算法,是DES的一个更安全的变形。它使用3条56位的密钥对数据进行三次加密。这种方法比起DES来说更为安全,但是相对来说较慢。使用两把密钥对报文进行三次DES加密。112位密钥
IDEA(International Data Encryption Algorithm)是一种对称加密算法,它于1990年被开发出来。它使用128位的密钥,并且被认为是一种非常安全的加密算法。
AES(Advanced Encryption Standard)是一种对称加密算法,它于2002年被美国国家标准与技术研究院确定为新的加密标准。它可以使用128、192或256位的密钥长度,并且比DES和3DES更快、更安全。
主要应用是IDEA和AES:在需要快速加密大量数据的场合,可以选择使用AES;而在需要极高安全性的场合,则可以选择使用3DES或IDEA。
非对称加密算法(也称为公钥加密算法):
RSA和DSA都是非对称加密算法,也称为公钥加密算法。
RSA算法是一种非对称加密算法,它于1977年被提出。它基于一个简单的数学事实:将两个大质数相乘很容易,但是想要对它们的乘积进行因式分解却非常困难。RSA算法使用一对公钥和私钥进行加密和解密。公钥用于加密数据,私钥用于解密数据。RSA算法既可以用于加密数据,也可以用于数字签名(使用私钥加密,公钥解密)。
DSA(Digital Signature Algorithm)是一种数字签名算法,它于1991年被提出。与RSA不同,DSA不能用于加密和解密,只能用于数字签名。DSA使用一对公钥和私钥进行签名和验证。私钥用于对数据进行签名,公钥用于验证签名。
(3)认证技术:
认证技术是保护信息安全的第一道屏障,其核心技术是信息安全保障体系,也是最基本的环节。它的基本思路:经过验证用户所具有的属性,来判断用户身份是否真实。根据不同的标准身份认证技术,分为四种类型。 依据认证消息的不同性质,分为以下三种类型:一是物理介质认证;二是秘密知识验证;三是实体特征验证。
书上写分为实体认证和消息认证两种类型。介绍了三种认证的方法。分别是基于公钥的认证和基于共享密钥的认证。
(4)数字签名
数字签名技术是现代网络中常用的认证技术,这是一种带有密钥的信息摘要算法,主要用途是抗否认。数字签名技术是将原文通过特定HASH函数得到的摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文提炼出一个摘要信息,与解密得到的摘要进行对比。如果比对结果一致,则说明收到的信息是完整的,在传输过程中没有被修改,否则信息一定被修改过,因此数字签名能够验证信息的完整性。
(5)报文摘要:
报文摘要算法是一种将任意长度报文转换成固定长度的报文摘要算法。它具有以下六个特点:能够作用于任意长度的报文;产生有限位数的标识信息;易于实现;具有单向性;具有抗碰撞性;具有高灵敏性。目前广泛应用的报文摘要算法有MD5和安全散列算法(SecureHashAlgorithm,SHA-1)。MD5输出128位的摘要,SHA-1输出160位的摘要。SHA-1比MD5更安全些,但计算起来比MD5要慢。
它能加快数字签名算法。
MD5和安全散列算法:
MD5(Message-Digest Algorithm 5,信息-摘要算法5)是一种被广泛使用的散列函数,用于确保信息传输的完整性。(传输的完整性,而数字签名是信息的完整性)它能够将任意长度的数据转换为一个128位的指纹。对于相同的输入,MD5算法总是会产生相同的输出。MD5散列通常用于存储密码、信用卡号码或其他敏感数据,例如MySQL、Postgress或其他数据库中。此外,MD5散列也用于确保文件的数据完整性。由于MD5算法总是对相同的输入产生相同的输出,用户可以比较源文件的散列值与目标文件新创建的散列值,以检查目标文件是否完整且未被修改。
安全散列算法(Secure Hash Algorithm,SHA)是一种加密散列函数家族,包括SHA-1、SHA-2和SHA-3。SHA-1是一种160位的散列函数,它比MD5更安全,但计算起来比MD5要慢。SHA-2包括多个不同长度的散列函数,如SHA-224、SHA-256、SHA-384和SHA-512。SHA-3是最新的成员,它与前两者有所不同,并提供了与SHA-2相同长度的散列函数。
在实际应用中,MD5和SHA都可以用于验证文件完整性和存储密码等敏感信息。但是,由于MD5已经被证明存在安全漏洞,因此在需要更高安全性的场合,建议使用SHA系列算法。
(6)数字证书(集合了上面的技术)
数字证书是一种数字文档,它证明用于加密在线资产(即电子邮件通信、文档、网站或软件应用程序)的公钥的真实性。数字证书由权威公正的第三方机构,即CA中心签发,其中包含证书持有者的真实身份信息、证书有效期、签发者身份信息及其他相关内容。数字证书能够实现身份认证、信息加密、数字签名等功能。
以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书的获取和吊销过程:
数字证书的获取过程通常包括以下步骤:首先,用户需要向权威公正的第三方机构,即CA中心提交申请。CA中心会对用户的身份进行验证,并核实用户提交的信息。如果验证通过,CA中心会为用户颁发数字证书。
数字证书的吊销是指在证书到期之前使其失效。当CA中心发现某个数字证书不再值得信赖时,它会将该证书吊销。例如,如果证书的私钥被泄露或被怀疑遭到破坏,或者CA错误地颁发了证书,那么CA中心就会吊销该证书。
数字证书不可伪造,因此无需对存放证书的目录加以特别的保护。
(7)密钥管理
当前,密钥管理体制主要有三种:一是适用于封闭网的技术,以传统的密钥管理中心为代表的KMI机制;二是适用于开放网的PKI机制;另一种是适用于规模化专用网的SPK。
KMI (密钥管理中心)经历了从静态分发到动态分发的发展历程,目前仍然是密钥管理的主要手段。无论是静态分发或是动态分发,都基于秘密通道(物理通道)进行。
PKI (公钥基础设施) 是一种用于管理数字证书和公钥加密的系统。它为用户提供了一种安全可靠的方法来交换信息和进行电子商务交易。
SPK 是适用于规模化专用网的密钥管理体制。
二、虚拟专用网、应用层安全协议
1.虚拟专用网:
VPN (全称:Virtual Private Network)虚拟专用网络,是依靠ISP和其他的NSP,在公共网络中建立专用的数据通信的网络技术,可以为企业之间或者个人与企业之间提供安全的数据传输隧道服务。
VPN的关键技术包括隧道技术、身份认证技术、加解密技术和密钥管理技术。隧道技术是对传输的报文进行封装,利用公网的建立专用的数据传输通道,从而完成数据的安全可靠性传输。身份认证、数据加密、数据验证可以有效保证VPN网络和数据的安全性。
VPN解决方案有很多种,根据不同的需求可以选择不同的解决方案。例如,根据组网方式进行划分,可以分为远程访问VPN和站点到站点的VPN。远程访问VPN适用于出差员工拨号接入VPN的方式,最常见的就是SSL VPN、L2TP VPN。站点到站点的VPN适用于企业两个局域网互通的情况,最常见的就是MPLS VPN、IPSEC VPN。
书上的VPN解决方案分为三种:内联网VPN(Intranet VPN)、外联网VPN(Extranet VPN)、远程接入VPN(Access VPN)
隧道技术:
由于隧道协议都是把数据封装在点对点协议(PPP)的帧中进行传输,我们先介绍PPP协议。
PPP协议:
PPP(Point-to-Point Protocol,点对点协议)是一种数据链路层通信协议,用于在两个路由器之间直接进行通信,而不需要任何主机或其他网络。它可以提供环回连接认证、传输加密和数据压缩。PPP用于许多类型的物理网络,包括串行电缆、电话线、干线、蜂窝电话、专用无线电链路、ISDN和光纤链路,如SONET。
PPP协议工作在串行接口和串行链路上,一般来说,PPP协议所构成的网络只允许双方之间通信,不允许像以太网一样接入交换机后接入其他的主机或设备。
PPP帧:
PPP帧的首部和尾部分别为四个字段和两个字段。首部中的标志字段F (Flag),规定为0x7E,标志字段表示一个帧的开始。首部中的地址字段A规定为0xFF。首部中的控制字段C规定为0x03。首部中的2字节的协议字段:当协议字段为0x0021时,PPP帧的信息字段就是IP数据报;当协议字段为0xC021时,PPP帧的信息字段就是PPP链路控制协议LCP的数据。信息字段的长度是可变的,不超过1500字节。尾部中的第一个字段 (2个字节)是使用CRC的帧检验序列FCS。尾部中的标志字段F (Flag),规定为0x7E,标志字段表示一个帧的结束。
介绍一下协议字段里面的协议:
PPP链路控制协议LCP:
LCP(Link Control Protocol,链路控制协议)用于建立、配置和测试数据链路连接。其工作过程主要分为以下4个阶段:链路的建立和配置协调、链路质量检查、网络层协议配置阶段、关闭链路。
网络控制协议NCP:
认证协议:口令认证协议(PAP)、挑战—握手验证协议(CHAP)(三次握手认证)
点对点隧道协议(PPTP):
PPTP(Point to Point Tunneling Protocol,点对点隧道协议)是建立在PPP协议上的VPN隧道技术。它支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。
第二层隧道协议(L2TP):
L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,通常用于虚拟专用网(VPN)。它与OSI参考模型中的数据链路层协议相似,但实际上它是会话层协议。L2TP使用用户数据报协议(UDP)端口1701,并且整个L2TP数据包都封装在UDP数据报中。
PPP协议、 点对点隧道协议(PPTP)、第二层隧道协议(L2TP)的比较:
PPP协议是一种点对点链路层协议,主要用于在全双工的同异步链路上进行点到点的数据传输。它支持同步传输和异步传输,具有很好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。PPP提供了LCP(Link Control Protocol)协议,用于各种链路层参数的协商。PPP提供了各种NCP(Network Control Protocol)协议(如IPCP、IPXCP),用于各网络层参数的协商,更好地支持了网络层协议。PPP提供了认证协议:CHAP(Challenge-Handshake Authentication Protocol)、PAP(Password Authentication Protocol),更好的保证了网络的安全性。
PPTP是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP 协议使用PAP或CHAP之类的加密算法,或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据 网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet) 建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。
L2TP是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。 是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。 PPTP和L2TP都使用PPP协 议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。 PPTP只能在两端点间建立单一隧道。 L2TP支 持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。 L2TP可以提供隧道验证,而PPTP则不支持 隧道验证。 但是当L2TP 或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道使 用L2TP。 PPTP要求互联网络为IP网络。 L2TP只要求隧道媒介提供面向数据包的点对点的连接,L2TP可以在IP(使用 UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。
这三个协议都有各自不同的应用场景。 PPP协议主要用于在全双工的同异步链路上进行点到点的数据传输; PPTP通过跨越基于 TCP/IP 的数据 网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输; L2TP可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。
VPN解决方案
IPSec:
IPSec协议集能够提供多种安全服务,包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。这些服务均在IP层提供,所以任何高层协议均能使用它们,例如TCP、UDP、ICMP、BGP等等 。
IPSec的功能划分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)
IPSec协议实际上是一套协议集合,而不是一个单独的协议。它为网络层上的通信数据提供一整套的安全体系结构,包括IKE协议、认证头 (AuthenticationHeader, AH)协议、封装安全载荷 (EncapsulatingSecurityPayload, ESP)协议和用于网络身份鉴别及加密的一些算法等 。
- 认证头(AH):AH被用来保证被传输分组的完整性和可靠性、数据源认证。此外,它还保护不受重放攻击。认证头试图保护IP数据报的所有字段,那些在传输IP分组的过程中要发生变化的字段就只能被排除在外。
- 封装安全负荷(ESP):ESP提供机密性、无连接完整性、防重放和有限的传输流(traffic-flow)机密性。
- Internet密钥交换协议(IKE):IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。
安全套接层(SSL):
安全套接字层(SSL)是一种标准安全技术,用于在服务器和客户端之间建立加密链接——通常是Web服务器(网站)和浏览器,或电子邮件服务器和电子邮件客户端(例如Outlook)之间。它比TLS或传输层安全性(SSL的后继技术)更加广为人知。SSL能实现信用卡号、社会保险号和登录凭据等敏感信息的安全传输。通常,浏览器和Web服务器之间发送的数据以纯文本形式发送,这让您很容易遭到窃听。如果攻击者能够拦截浏览器和Web服务器之间发送的所有数据,他们就可以查看和使用该信息。更具体地说,SSL是一种安全协议。协议描述了应该如何使用算法。在这种情况下,SSL协议会为链接和传输中的数据确定加密变量。所有浏览器都能够使用SSL协议与受保护的Web服务器进行交互。然而,浏览器和服务器需要所谓的SSL证书才能建立安全连接 。
SSL的工作原理:
SSL的工作原理是通过SSL握手来建立安全连接。当浏览器试图访问受SSL保护的网站时,浏览器和Web服务器使用所谓的“SSL握手”流程建立SSL连接。请注意,SSL握手对用户是不可见的,并且是即时发生的。实质上,建立SSL连接使用了三个密钥:公钥、私钥和会话密钥。任何使用公钥加密的内容只能用私钥解密,反之亦然。由于使用私钥和公钥进行加密与解密需要大量的处理能力,因此它们仅在SSL握手期间被用于创建对称会话密钥。安全连接建立之后,会话密钥被用于加密所有被传输的数据。
下面是一个简单的概述,描述了SSL握手的过程:
1. 浏览器连接到使用SSL(https)保护的Web服务器(网站)。
2. 浏览器请求服务器标识自己的身份。
3. 服务器发送其SSL证书的副本,包括服务器的公钥。
4. 浏览器根据受信任CA列表检查证书根,并检查该证书是否未过期、未吊销,以及其通用名称是否对拟连接的网站有效。
5. 如果浏览器信任该证书,它会使用服务器的公钥创建、加密并传回对称会话密钥。
6. 服务器使用其私钥解密对称会话密钥,并传回使用会话密钥加密的确认以开启加密会话。
7. 服务器和浏览器现在使用会话密钥加密所有被传输的数据。
IPSec和SSL比较:
IPSec和SSL都是用于加密网络数据的协议,但它们的工作方式不同。IPSec在网络层运行,可以用于加密任何可以通过IP地址识别的系统之间发送的数据。SSL(更可能是替代了已弃用的SSL协议的传输层安全性(TLS)协议)在传输层运行,用于加密通过端口号在网络连接主机上识别的任何两个进程之间发送的数据。(注意SSL在书上是通过应用层进行连接的)
IPSec VPN通常用于连接远程主机和网络VPN服务器;通过公共互联网发送的流量在VPN服务器和远程主机之间加密。IPSec VPN通常用于企业环境,因为它们提供了更高级别的安全性和更好的性能。然而,它们也更难配置,并且需要客户端软件才能使用。
SSL VPN允许用户通过Web浏览器安全地访问内部网络资源。这使得它们更容易配置和使用,特别是对于远程工作人员或临时访问者。然而,它们通常不如IPSec VPN安全或快速。
总之,IPSec VPN和SSL VPN都有其优点和缺点,选择哪种取决于您的需求。如果您需要更高级别的安全性和更好的性能,并且愿意花费时间进行配置,则IPSec VPN可能是更好的选择。如果您需要快速、简单地访问内部网络资源,则SSL VPN可能是更好的选择。
2.应用层安全协议
应用层安全协议主要有:S-HTTP、PGP、S/MIME、安全的电子交易(SET)、Kerberos
S-HTTP(安全超文本传输协议)是EIT公司结合 HTTP 而设计的一种消息安全通信协议。它处于应用层,是HTTP协议的扩展,仅适用于HTTP联结上,可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等。
PGP(Pretty Good Privacy,优良保密协议)是一套用于信息加密、验证的应用程序,可用于加密电子邮件内容。PGP本身是商业应用程序;同类开源工具名为GnuPG(GPG)。PGP及其同类产品均遵守OpenPGP数据加解密标准。
S/MIME(Secure/Multipurpose Internet Mail Extensions)是采用PKI技术的用数字证书给邮件主体签名和加密的国际标准协议。S/MIME标准中,用户必须从受信任的证书颁发机构申请X.509v3数字证书,由权威CA机构验证用户真实身份并签署公钥,确保用户公钥可信,收件人通过证书公钥验证发件人身份真实性。
SET协议(Secure Electronic Transaction,安全电子交易)是由VISA和Master Card两大信用卡公司联合推出的规范。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。由于SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整性。
Kerberos 是一种网络认证协议,旨在通过使用秘密密钥加密技术来为客户端/服务器应用程序提供强大的认证服务。它旨在在不安全的网络上提供强大的认证。
Kerberos认证过程:
Kerberos 是一种网络认证协议,旨在通过使用秘密密钥加密技术来为客户端/服务器应用程序提供强大的认证服务。它旨在在不安全的网络上提供强大的认证。整个认证过程涉及3方:客户端、KDC(Key Distribution Center,秘钥分发中心)和服务端(或者说应用服务器AP,比如web服务器)。
Kerberos 认证过程大致可以分为以下几个步骤:见书p345
1. 客户端向 KDC 发出访问服务端的请求。
2. KDC 收到请求后,AS(Authentication Service,身份验证服务)通过 AD(Active Directory,活动目录)来判断客户端是否可信。
3. 当验证通过,AS 生成 TGT(Ticket Granting Ticket,认证票据)返回给客户端。
4. 客户端使用 TGT 向 TGS(Ticket Granting Service,票据授予服务)请求 ST(Service Ticket,服务票据)。
5. TGS 验证 TGT 有效性并返回 ST 给客户端。
6. 客户端使用 ST 向服务端发起访问请求。
7. 服务端验证 ST 的有效性并授权客户端访问。
这是 Kerberos 认证过程的简要概述。希望这些信息对您有所帮助。
可信任系统:
将计算机系统的安全性分为A、B、C、D四个等级。
可信任系统是美国国防部定义的安全操作系统标准,该标准共分为A、B、C、D四个大的安全级别。其中:
- D级为无保护级。
- C级为自主保护级,其中C1级为机动安全保护,C2级为控制访问保护。
- B级为强制保护级,其中B1级为标签安全,B2级为结构保护,B3级为安全域。
- A级为验证保护级。
三、防火墙、病毒及其防护
防火墙:【第一道安全屏障】
基本概念:防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙可以通过配置访问控制列表(ACL)实施数据包的过滤。实施过滤主要是基于数据包中的IP层所承载的上层协议的协议号、源/目的IP地址、源/目的端口号和报文传递的方向等信息。透明防火墙模式下,还可以根据报文的源/目的MAC地址、以太类型等进行过滤。
防火墙还可以关闭不使用的端口,禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
病毒及其防护:
计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。它具有传染性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。
与正常程序的区别在于,计算机病毒是人为制造的,有破坏性,又有传染性和潜伏性的,对计算机信息或系统起破坏作用的程序。它不是独立存在的,而是隐蔽在其他可执行的程序之中。计算机中病毒后,轻则影响机器运行速度,重则死机系统破坏。
分类:系统病毒(exe、dll)、蠕虫病毒(Worm)、木马病毒(Trojan)和黑客病毒(Hack)、脚本病毒(Script、BBS、JS)、宏病毒(Macro感染文件(Word\excel))。
计算机病毒防范:
类属解密(GD)、数字免疫系统
四、入侵检测系统(IDS)以及入侵防御系统(IPS)【防火墙之后的第二道安全屏障】
入侵检测系统(IDS, Intrusion Detection System)是通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。而入侵防御系统(IPS, Intrusion Prevention System)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时地中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防护系统的核心价值在于安全策略的实施—对黑客行为的阻击。
入侵检测系统由四个基本组件:
入侵检测系统(Intrusion Detection System,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
根据通用入侵检测框架模型(CIDF),入侵检测系统由四个基本组件组成:事件产生器(Event generators),事件分析器(Event analyzers),响应单元(Response units)和事件数据库(Event databases)。
- 事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
- 事件分析器:它经过分析得到数据,并产生分析结果。
- 响应单元:它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
- 事件数据库:事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统的数据源有三种来源:
入侵检测系统的分类:
视频所学补充:
一、恶意代码:(前面有讲,主要是病毒、网络蠕虫、特洛伊木马、后门漏洞)
补充(这些病毒的一些独立的特性):
网络蠕虫:不需要用户触发,传播速度比网络病毒快,Worm,Macro。
特洛伊木马:本身不具有攻击性,具有隐蔽性。注意一个考过的点:特洛伊木马的服务端是放在被攻击者的计算机上,客户端则是攻击者的计算机。不是反过来说明。
二、网络攻击
被动攻击:嗅探、信息收集、端口扫描、数据分析
主动攻击:DOS、DDOS、信息篡改、欺骗、重放、伪装
常见攻击类型:
1.拒绝服务攻击(DOS)一对一(虽然是很多个一)
拒绝服务攻击(DoS)是一种典型的破坏服务可用性的攻击方式。它不以获得系统权限为目的。根据NIST SP 800-61的定义,拒绝服务是一种通过耗尽CPU、内存、带宽或磁盘空间等系统资源,来阻止或削弱对网络、系统或者应用程序的授权使用的行为。拒绝服务攻击通常利用传输协议弱点、系统漏洞、服务漏洞对目标系统发起大规模进攻,利用超出目标处理能力的海量合理请求数据包消耗可用系统资源、带宽资源等,造成程序缓冲区溢出错误,致使其无法处理合法用户的请求,无法提供正常服务,最终致使网络服务瘫痪,甚至系统死机。
例如:Ping of Death攻击、缓冲区溢出(攻击)、分片攻击(!这些都是DOS攻击方式)
2.分布式拒绝服务攻击(DDOS)多对一
分布式拒绝服务攻击(DDoS)将多台计算机联合(控制)起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,耗尽目标服务器性能或网络带宽等资源,从而造成服务器无法正常地提供服务的攻击手段。
例如:ICMP Flood攻击、SYN Flood攻击(这个其实就是TCP的攻击)、UDP Flood攻击。(这些都是攻击报文)
3.Teardrop(泪滴)攻击
它利用发送畸形数据包,伪造数据包中的偏移值的方式,实现原理是向目标主机发送异常的数据包碎片,使得IP数据包碎片在重组的过程中有重合的部分,从而导致目标系统无法对其进行重组,进一步导致系统崩溃而停止服务的恶性攻击。它是基于UDP的攻击方法
4.land攻击
Land攻击是一种拒绝服务攻击,它的原理比较简单:就是向目标机发送源地址与目的地址一样的数据包,造成目标机解析Land包占用太多资源,从而使网络功能完全瘫痪。伪造TCP SYN数据包。它和前面的TCP SYN不一样,前面是泛洪攻击。
5.跨站脚本攻击(XSS)
跨站脚本攻击(Cross-site scripting,XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。例如:HTML,JavaScript
6.SQL注入攻击
SQL注入攻击是一种代码注入技术,用于攻击数据驱动的应用程序,其中恶意的SQL语句被插入到执行中的SQL语句中。基于服务器攻击,攻击它的数据库
举个例子,假设一个网站有一个登录表单,用户需要输入用户名和密码来登录。如果该表单没有正确地验证用户输入,攻击者可以在用户名或密码字段中输入特殊的字符来构造一个SQL语句。例如,在用户名字段中输入`admin' --`,这将使得后面的SQL语句变成`SELECT * FROM users WHERE username = 'admin' --' AND password = '...'`。由于`--`是SQL中的注释符号,因此后面的部分将被忽略,相当于执行了`SELECT * FROM users WHERE username = 'admin'`这条语句。这样攻击者就可以绕过密码验证,以管理员身份登录网站。
7.欺骗攻击:ARP欺骗、DNS欺骗、IP欺骗。
题目可能就是给出一段数据段,让你判断
8.双花攻击
用于区块链技术(比特币)中的恶意攻击。但是需要全网算力的51%,成本高,难度大。实现概率低。
三、网络安全设备
1.防火墙(边界防护)
具有访问控制、日志查看功能,支持NAT、VPN,流量控制等技术。不能处理网络内部攻击,不能防病毒。
安全区域划分:非受信区(外网internet)、非军事化区(DMZ区域,存放服务器,安全性介于之间,题目图上可能会有这个名称)、受信区(内网)。(同属一个安全区发送数据流动不会触发安全策略,不同安全区域之间发生数据流动才会触发。)
防火墙的部署方式:
路由模式(网络边界)、透明模式(隐蔽性强)、旁挂模式。
2.入侵检测设备IDS
主动安全防护工具,可以告警,但不能阻断恶意行为。
分为:
基于主机的入侵检测(HIDS):只能检测单个主机系统
基于网络的入侵检测(NIDS)多个分布的网络
IDS的部署:由于它的特性,它一般使用旁挂形式部署在核心设备或汇总设备。
3.入侵防御系统IPS
主动、实时,可以对数据包中的每一个字节进行检查,可以拦截并记录。
分为:HIPS(主机,但在软件上)、NIPS、AIPS(基于应用)
部署:串接在数据流通的主干路上。保证所有网络数据都经过它。
4.网闸(在底层隔离网络)
物理层设备,在物理层进行隔离。采用的技术是GAP技术。
5.流量清洗设备
针对DOS、DDOS攻击
6.行为管理设备
对内网进行限速,比如什么时候访问,记录行为日志。
7.基于web的防护设备(WAF)
记住WAF
四、数据加密与解密
1.非对称加密算法(公钥密码体制)
公钥公开,私钥保密。将自己的公钥发给对方,对方用你的公钥加密后把消息发你,你使用自己的私钥解密。(这里建议看前面的知识,算法种类较为全)
RSA算法:分组加密。
ECC算法:比上一个快,密钥小。
2.对称加密算法(私钥密码体制)
加密和解密的密钥相同。
DES:56
3DES:112
IDEA:(前面三个的分组长度都是64位),128
AES:(前面知识点有),分组长度是128位(注意分组长度和密钥长度不一样)
RC5:允许使用不同长度的密钥,最长为448位。
3.摘要算法(Hash算法又称为散列函数算法)
用于数字签名。表示输入任意长数据,输出固定长数据。
MD5:128
SHA-1:160
SHA-2:256
五、数字证书
其实就是公钥基础设施(PKI)
它的过程参考前面知识点。需要补充:
CA(认证中心),它拥有一个证书(内含公钥)和私钥,证书包括里面的公钥可以公开,私钥不行。证书确保它的信任度。
例如:网上两个用户之间的信任是通过验证CA的签名证书从而信任。如果是不同CA发放的证书,需要俩个CA去交换公开密钥,而不是用户交换。
RA(证书申请注册机构),但用户是向CA提出申请。将公钥与申请者的身份信息绑定。签名后形成证书发给申请者。
作用:完整性、真实性、可靠性、不可抵赖性。
数字签名过程是(发送方)私钥签名、公钥验证,和加密不一样。
口诀:公钥加密验证,私钥解密签名。
六、VPN(虚拟专用网)技术:
.PPTP(点到点隧道协议)(2层VPN)
只提供单一二层隧道,与PPP相同的认证机制,不支持隧道验证。但是可以由IPSec提供隧道验证。必须在IP网络
.L2TP(第二层隧道协议)(2层VPN)
可以支持隧道验证。端到端。(前面知识点介绍的很好。)
2.MPLS-VPN(2.5层VPN)前面有的,只介绍了一点
需要记忆:每个MPLS中存在一个唯一的VPN标识符。称之为路由识别符(DR)。建立起来的路径称为LSP。转发表中包括一个唯一的地址,叫做VPN-IP地址,是由RD和用户的IP地址连接形成。
MPLS-VPN有两层标签,外层标签(公网标签),内层标签(私网标签,VPN标签)。
3.IPSec-VPN(3层VPN)
前面知识点有,需要补充:
IPSec通道建立起来的连接称为SA。
它存在两种模式:
传输模式:
AH或ESP头被插在IP报文头和TCP报文头之间。注意一下AH验证方式(整个报文)、ESP验证方式(从ESP开始到ESP尾部)。ESP加密范围(在TCP头到ESP尾部)
隧道模式:
AH或ESP头被插在IP报文头和TCP报文头之前。并用新的IP头来封装消息,原来IP头还在里面的。新的IP头的源和目的地址是隧道两端的两个公网IP地址。一般用于企业网边界配置公网地址设备并建立VPN。
4.SSL-VPN
基于应用层。HTTPS=HTTP+SSL。比L2TP更灵活。前面知识点更全面。一般是基于外部的安全认证方式。例如:LDAP、Radius、CA、USB Key等认证方式。
5.GRE(隧道)
GRE(通用路由封装),它就是通过一种协议封装另外一种协议。采用Tunnel技术。是VPN的第三层隧道协议。
例题补充:
PGP,电子邮件加密工具(应用层协议)。
它使用RSA公钥证书进行身份认证,使用IDEA进行数据加密,使用MD5进行数据完整性验证。
网络安全等级保护:(这个了解即可,在网络安全技术p1考一次)
X.509数字证书:基于公钥密码体制和数字签名的服务,推荐标准是:RSA
这个x.509数字证书,在安全的电子交易协议(SET协议)提过一次。
我国密码管理部门,采用SM2算法替换RSA算法。它采用的公钥密码算法是ECC(ECC在后面第十章 组网技术提过一次)
我国自主研发的商用密码标准算法:
SM2:非对称加密算法(公钥密码算法)
SM3:密码杂凑算法
SM4:分组加密算法
SM9:基于标识的非对称密码算法。
Kerberos认证协议:
应用层安全协议Kerberos:提供一个中心认证服务器,功能是实现应用服务器与用户之间的相互认证。核心是使用DES加密技术(注意DES是对称加密算法,不是公钥加密算法!),实现最基本的认证服务。
它由认证服务器(AS)和票证授予服务器(TGS)两部分组成。
目的是为了申请一个应用服务器的服务许可票据(由AS发放)
补充:应用层的安全协议:S-HTTP、PGP、S/MIME、SET、Kerberos。
补充:数字证书是对用户公钥的认证,只要看到证书,那么,它的目的就是对用户公钥的认证。
补充:
inbound(入方向):数据由低优先级的安全区域向高优先级的安全区域传输。
outbound(出方向):数据由高优先级的安全区域向低优先级的安全区域传输。
关于高低优先级,前面有讲。
注意上面提到过的加密算法的密钥长度和分组长度,看清题目问的是什么(前面有提过)
补充:HTTP使用的端口是80,HTTPS使用的端口是443。
补充:数字证书的格式普遍采用X.509 V3国际标准。
补充:信息安全的基本属性表现在5个方面:保密性、完整性、可用性、可控性、不可否认性。(前面有提过PKI,公钥基础设施的作用)
补充:时间戳可以防止重放攻击。
补充:传输层安全协议TLS的前身是应用层的SSL协议。
补充:凡是看到题目中,说了系统漏洞,就是蠕虫病毒。
补充:对称密钥算法,也叫做共享密钥算法。有些题目就问你共享密钥算法有哪些。
第九章:网络操作系统与应用服务器
主要以Windows和Linux系统为例,讲述网络操作系统的功能以及应用服务器的配置。
主要目录:网络操作系统的基本配置(Windows和Linux)、Windows Server 2008 R2 IIS服务的配置、Linux Apache服务器的配置、DNS服务器的配置、DHCP服务器的配置、Samba服务器的配置、Windows Server 2008 R2安全策略。(6个服务器、1个服务、一个安全策略)
根据考试大纲中相应的考核要求,在“网络操作系统与应用服务器的配置”知识模块上,要求考生掌握以下方面的内容。
(1)网络操作系统的功能、分类和特点。
(2)网络设备驱动程序(ODI、NDIS)。
(3) Windows Server 2008 R2
(4) ISA 2004。
(5) Red Hat Enterprise Linux 7。
(6) DHCP服务器的原理和配置(Windows)。
(7)网络系统管理,包括Windows系统、Windows活动目录、Windows终端服务与远程管理。
(8) DNS,包括域名解析、DNS 服务器的配置(Windows)。
(9)电子邮件服务器配置(Windows)。
(10) www,包括虚拟主机、www服务器配置(Windows)、wwW服务器的安全配置。
(11)代理服务器的配置(Windows)。
(12) FTP服务器,包括FTP服务器的访问、FTP服务器的配置(Windows)。
一、网络操作系统(Windows Server 2008 R2操作系统、Linux操作系统):
Windows Server 2008 R2操作系统:
Windows Server 2008 R2是微软开发的一款面向服务器的操作系统,它是Windows Server 2008的后继版本。在开发过程中,它也被称为Windows Server 7,并且与Windows 7使用相同的源代码构建。
值得注意的是,微软已于2020年1月结束了对Windows Server 2008/2008 R2的延长支持。延长支持结束后,安全风险将非常高,因此强烈建议您升级到新的操作系统。
Linux操作系统:
Linux是一种自由和开源的类UNIX操作系统。它的内核由林纳斯·托瓦兹于1991年首次发布,主要受到Minix和Unix思想的启发。它是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。
Linux遵循GNU通用公共许可证(GPL),任何个人和机构都可以自由地使用Linux的所有底层源代码,也可以自由地修改和再发布。目前主流的Linux版本有Debian(及其派生版本Ubuntu、Linux Mint)、Fedora(及其相关版本Red Hat Enterprise Linux、CentOS)和openSUSE等。
Linux和Windows Server 2008 R2之间的区别:
- 开源与闭源:Linux是一个开源的操作系统,这意味着它的源代码可以被任何人查看、修改和再发布。而Windows Server 2008 R2是一个闭源的操作系统,它的源代码只能由微软访问和修改。
- 许可证:Linux遵循GNU通用公共许可证(GPL),这意味着它可以免费使用和分发。而Windows Server 2008 R2需要购买许可证才能使用。
- 用户界面:Linux和Windows Server 2008 R2的用户界面也有所不同。Linux有多种不同的桌面环境可供选择,而Windows Server 2008 R2则只提供一种用户界面。
- 应用程序兼容性:由于Linux和Windows Server 2008 R2是两种不同的操作系统,因此它们运行的应用程序也不尽相同。一些应用程序可能只能在Linux上运行,而另一些应用程序则只能在Windows Server 2008 R2上运行。
Windows Server 2008 R2的活动目录(Active Directory):
活动目录(Active Directory)是Windows Server 2008 R2中的一个重要功能。它提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法。活动目录是一个分布式的目录服务,它允许管理员管理和控制网络资源,包括用户、组、计算机、打印机和应用程序等。
活动目录使用域来组织网络资源。域是活动目录的核心单元,它是共享同一活动目录的一组计算机集合。域中的计算机可以共享相同的安全策略和设置,这有助于简化网络管理。
在Windows Server 2008 R2中,您可以使用“dcpromo.exe”命令来安装和配置活动目录域服务。安装过程中,您需要指定域名、DNS服务器设置以及其他相关选项。安装完成后,您可以使用“Active Directory用户和计算机”工具来管理活动目录中的对象。
主要介绍活动目录中的用户名和工作组:
活动目录中的用户名:
分为主用户名和用户登录名
活动目录中的工作组:分为全局组(G)、域本地组(DL)、通用组(U)。
组策略:A-G-DL-P A-G-G-DL-P A-G-U-DL-P(详情见书375)
Windows Server 2008 R2远程桌面服务:
在Windows Server 2008 R2中,远程桌面服务(RDS)是一个基于角色的服务,它允许用户通过Web浏览器启动RemoteApp和桌面连接。RemoteApp和桌面连接为用户提供了RemoteApp程序和虚拟桌面的自定义视图。
远程桌面服务由多个角色服务组成,其中包括远程桌面会话主机(RD会话主机)。RD会话主机(以前称为终端服务器)使服务器能够托管基于Windows的程序或完整的Windows桌面。
您可以使用服务器管理器来安装和配置远程桌面服务。安装过程中,您需要选择要安装的角色服务,并按照向导提示完成安装。
Windows Server 2008 R2远程管理:
书上介绍了两种方式进行远程管理:分别是Microsoft管理控制台(MMC)方式和远程桌面连接方式。
Linux网络配置:
1.网络配置文件:
在Linux系统中,有几个重要的文件用于配置网络设置:
/etc/hosts:用于配置静态主机名到IP地址的映射。/etc/resolv.conf:用于配置DNS服务器地址。/etc/network/interfaces(Debian/Ubuntu)或/etc/sysconfig/network-scripts/ifcfg-eth0(Red Hat/CentOS/Fedora):用于配置网络接口的设置,如IP地址、子网掩码、广播地址和网关地址。/etc/hostname文件,包含Linux的主机名
2.网络配置命令:
在Linux系统中,有几个常用的命令用于配置和管理网络:
- ifconfig:用于查看和配置网络接口的信息,如IP地址、子网掩码和广播地址。
- route:用于查看和配置路由表。
- ping:用于测试网络连通性。
- netstat:用于查看网络连接、路由表、接口统计信息等。
- traceroute:用于显示数据包到达目标主机所经过的路由器。
- nslookup:用于查询DNS服务器以获取域名的IP地址。
- dig:用于查询DNS服务器以获取域名的详细信息。
详细用法见书P388
`route`和`netstat`命令都可以用于查看路由表,但它们的功能并不完全相同。
`route`命令主要用于查看和修改IP路由表。它可以显示当前系统中的路由表条目,并允许用户添加、删除或修改路由表条目。
`netstat`命令则更为通用,它不仅可以显示路由表,还可以显示网络连接、接口统计信息、伪装连接等信息。它提供了多种选项,允许用户查看不同类型的网络信息。
总之,`route`命令专注于管理IP路由表,而`netstat`命令则提供了更多的网络信息查看功能。
Linux文件和常用命令:
1.Linux的文件权限分类:
在Linux操作系统中,每个文件和目录都有一组权限,用于控制用户对文件或目录的访问。这些权限分为三类:读(r)、写(w)和执行(x)。
- 读权限(r):表示用户可以查看文件的内容或目录中的文件列表。
- 写权限(w):表示用户可以修改文件的内容或在目录中创建、删除文件。
- 执行权限(x):表示用户可以执行文件或进入目录。
每个文件和目录的权限都分为三组,分别对应文件所有者、文件所属组和其他用户。这意味着每个文件和目录都有九个权限位,分别表示文件所有者、文件所属组和其他用户的读、写和执行权限。
您可以使用`ls -l`命令查看文件或目录的权限。例如,一个具有`-rw-r--r--`权限的文件表示文件所有者具有读写权限,而文件所属组和其他用户只具有读权限。(分别对应三组权限)
您可以使用`chmod`命令修改文件或目录的权限。例如,要为文件所有者添加执行权限,您可以使用`chmod u+x 文件名`命令。u、g、o分别对应文件所有者、文件所属组和其他用户
2.常用命令:
(1)目录操作命令:
- `cd`:用于切换当前工作目录。
- `pwd`:用于显示当前工作目录的绝对路径。
- `ls`:用于列出目录中的文件和子目录。
- `mkdir`:用于创建新目录。
- `rmdir`:用于删除空目录。
- `cp`:用于复制文件或目录。
- `mv`:用于移动或重命名文件或目录。
- `rm`:用于删除文件或目录。
下面是一些常用的目录操作命令及其用法示例:
- `cd`:切换当前工作目录。例如,要切换到`/home/user/documents`目录,可以使用`cd /home/user/documents`命令。
- `pwd`:显示当前工作目录的绝对路径。例如,要查看当前工作目录的绝对路径,可以使用`pwd`命令。
- `ls`:列出目录中的文件和子目录。例如,要查看当前目录中的文件和子目录,可以使用`ls`命令。要查看指定目录中的文件和子目录,可以使用`ls 目录名`命令。
- `mkdir`:创建新目录。例如,要在当前目录下创建一个名为`newdir`的新目录,可以使用`mkdir newdir`命令。
- `rmdir`:删除空目录。例如,要删除一个名为`emptydir`的空目录,可以使用`rmdir emptydir`命令。
- `cp`:复制文件或目录。例如,要将文件`file1.txt`复制到当前目录下并重命名为`file2.txt`,可以使用`cp file1.txt file2.txt`命令。要递归复制一个目录及其内容,可以使用`cp -r sourcedir destdir`命令。
- `mv`:移动或重命名文件或目录。例如,要将文件`file1.txt`重命名为`file2.txt`,可以使用`mv file1.txt file2.txt`命令。要将一个目录及其内容移动到另一个位置,可以使用`mv sourcedir destdir`命令。
- `rm`: 删除文件或目录。例如, 要删除一个名为 `file1.txt`, 可以使用 `rm file1.txt`. 要递归删除一个非空的目录及其内容, 可以使用 `rm -r dirname`.
Windows Server 2008 R2 IIS服务的配置:
Windows Server 2008 R2 集成了 IIS 7.5,它是一个集成了 IIS、ASP.NET、Windows Communication Foundation 的统一 Web 平台。您可以通过 Windows Server (R) 2008 R2 中的 Web 服务器 (IIS) 角色与 Internet、Intranet 或 Extranet 上的用户共享信息。您需要手动安装 IIS 服务。您可以使用服务器管理器接口通过图形用户界面安装 IIS (GUI)。
IIS服务:
IIS(Internet Information Services,互联网信息服务)是一种 Web 服务器组件,其中包括 Web 服务器、FTP 服务器、NNTP 服务器和 SMTP 服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面。它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。
IIS 是 Windows® Server 的一部分,它是一个灵活、安全且可管理的 Web 服务器,用于托管任何东西。从媒体流到 Web 应用程序,IIS 的可扩展和开放式架构都能够处理最苛刻的任务。
安装IIS服务:Windows Server 2008 R2必须手动安装才有这个服务。
配置Web服务器:
建立在IIS服务已搭建好的前提下。见书P406
配置FTP服务器:见另一本书P219
DHCP(动态主机配置协议)服务器:
是一种网络管理协议,用于集中对用户 IP 地址进行动态管理和配置。它可以自动为计算机分配 IP 地址和子网掩码。例如,我们可以设置路由器的 DHCP 服务器,让 DHCP 服务器自动分配 192.168.1.100 到 192.168.1.199 的 IP 地址(子网掩码会自动设置,不需要设置)。
Linux Apache服务器的配置:
Apache 服务器的主配置文件是 `httpd.conf`,它位于 `/etc/httpd/conf` 目录下。该文件包含了 Apache 服务器的全局配置信息,包括监听端口、文档根目录、日志文件位置等。
除了主配置文件,还有一些其他的配置文件,例如:
- `/etc/httpd/conf.d`:该目录下存放了附加模块的配置文件。
- `/etc/httpd/modules`:该目录下存放了 Apache 服务器的模块文件。
- `/var/log/httpd/access_log`:该文件记录了 Apache 服务器的访问日志。
- `/var/log/httpd/error_log`:该文件记录了 Apache 服务器的错误日志。
在配置 Apache 服务器时,可以使用一些命令来管理服务,例如:
- `systemctl start httpd`:启动 Apache 服务器。
- `systemctl stop httpd`:停止 Apache 服务器。
- `systemctl restart httpd`:重启 Apache 服务器。
- `systemctl status httpd`:查看 Apache 服务器的运行状态。
DNS服务器的配置:
名字解析服务(Name Resolution Service)是一种将人类可读的主机名转换为计算机可识别的 IP 地址的服务。这种服务通常由域名系统(Domain Name System,简称 DNS)提供。
域名系统是一种分布式数据库,它存储了主机名和 IP 地址之间的映射关系。当您在浏览器中输入一个网址时,浏览器会向 DNS 服务器发送查询请求,以获取该网址对应的 IP 地址。DNS 服务器会查询其数据库,并返回相应的 IP 地址。
域名服务器(Domain Name Server)是一种运行 DNS 软件的服务器,它负责响应客户端的 DNS 查询请求。域名服务器通常分为两类:权威域名服务器和递归域名服务器。权威域名服务器存储了特定域名的 DNS 记录,而递归域名服务器则负责将客户端的查询请求转发给其他域名服务器,并将查询结果返回给客户端。
域名查询的方式有两种:递归查询和迭代查询。
递归查询是指客户端向 DNS 服务器发送查询请求,如果 DNS 服务器无法直接回答该请求,则它会代表客户端向其他 DNS 服务器发送查询请求,直到获取到结果为止。最后,DNS 服务器会将查询结果返回给客户端。
迭代查询是指客户端向 DNS 服务器发送查询请求,如果 DNS 服务器无法直接回答该请求,则它会返回一个引用,告诉客户端应该向哪个 DNS 服务器发送查询请求。客户端会根据这个引用继续向其他 DNS 服务器发送查询请求,直到获取到结果为止。
您可以通过观察 DNS 查询的过程来辨别这两种查询方式。如果客户端只向一个 DNS 服务器发送了一次查询请求,并且最终获取到了结果,则说明这是一次递归查询。如果客户端向多个 DNS 服务器发送了查询请求,并且最终获取到了结果,则说明这是一次迭代查询。
Windows Server 2008 R2 DNS服务器的安装与配置:
1.DNS服务器的安装
2.创建DNS解析区域
3.创建域名
4.设置DNS客户端
Linux BIND DNS服务器的安装:
BIND是软件包,在Red Hat Linux上使用BIND建立DNS服务器。
1.配置DNS解析器
2.高速缓存服务器的配置
3.主服务器的配置
4.从服务器的配置
DHCP服务器(动态主机配置协议)的配置:
DHCP(动态主机配置协议)服务的过程大致分为四个阶段:发现阶段、提供阶段、选择阶段和确认阶段。
1. 发现阶段:DHCP客户端通过发送DHCP-DISCOVER报文来寻找DHCP服务器。
2. 提供阶段:接收到DHCP-DISCOVER报文的DHCP服务器会选择一个合适的IP地址,连同IP地址租约期限和其他配置信息一同通过DHCP-OFFER报文发送给DHCP客户端。
3. 选择阶段:如果有多台DHCP服务器向DHCP客户端回应DHCP-OFFER报文,则DHCP客户端只接受第一个收到的DHCP-OFFER报文。然后以广播方式发送DHCP-REQUEST请求报文,该报文中包含Option 54(服务器标识选项),即它选择的DHCP服务器的IP地址信息。
4. 确认阶段:收到DHCP客户端发送的DHCP-REQUEST请求报文后,DHCP服务器根据DHCP-REQUEST报文中携带的MAC地址来查找有没有相应的租约记录。如果有,则发送DHCP-ACK报文作为应答,通知DHCP客户端可以使用分配的IP地址。如果没有找到相应的租约记录,或者由于某些原因无法正常分配IP地址,则发送DHCP-NAK报文作为应答,通知DHCP客户端无法分配合适IP地址。
Samba服务器的配置:
Samba 是一个免费的软件,它在 Linux 和 UNIX 系统上实现了 SMB(Server Message Block,信息服务块)协议。SMB 是一种在局域网上共享文件和打印机的通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。Samba 服务器的主配置文件是 smb.conf,默认在 /etc/samba/ 目录下。
举个例子,假设您有一台运行 Linux 操作系统的计算机,并且您希望在局域网内的 Windows 计算机能够访问该 Linux 计算机上的文件。您可以在 Linux 计算机上安装并配置 Samba 服务器,然后在 Windows 计算机上通过“网络邻居”访问 Linux 计算机上共享的文件。
Windows Server 2008 R2安全策略:
Windows Server 2008 R2安全策略分为“本地安全策略”和“组策略”。
Windows Server 2008 R2 的本地安全策略包括多个部分,如账户策略、密码策略、帐户锁定策略、本地策略、审核策略等。这些策略可以通过“控制面板”>“管理工具”>“本地安全策略”进行配置。
例如,在账户策略中,您可以配置密码复杂性要求、密码最短使用期限、密码最长使用期限等。在帐户锁定策略中,您可以配置帐户锁定阈值、帐户锁定时间等。在审核策略中,您可以设置审核成功和失败的事件。
Windows Server 2008 R2 的组策略包括许多不同的设置,可以用来管理计算机和用户的配置。组策略分为计算机配置和用户配置两部分。
计算机配置包括软件设置、Windows 设置和安全设置等。例如,您可以使用组策略来指定计算机上安装的软件、管理磁盘配额、配置防火墙设置等。
用户配置包括软件设置、Windows 设置和管理模板等。例如,您可以使用组策略来指定用户桌面的外观、管理用户对控制面板的访问、配置 Internet Explorer 设置等。
IPSec策略设置:
在 Windows Server 2008 R2 中,您可以使用 `netsh` 命令来配置 IPSec 策略。下面是一个简单的过程,用于设置 IPSec 策略:
1. 打开命令提示符,输入 `netsh` 并按回车键。
2. 输入 `ipsec static` 并按回车键,进入 IPSec 静态上下文。
3. 使用 `add policy` 命令创建新的策略。例如,您可以输入 `add policy name=MyPolicy` 来创建一个名为 “MyPolicy” 的策略。
4. 使用 `add filterlist` 命令创建新的筛选器列表。例如,您可以输入 `add filterlist name=MyFilterList` 来创建一个名为 “MyFilterList” 的筛选器列表。
5. 使用 `add filter` 命令向筛选器列表中添加筛选器。例如,您可以输入 `add filter filterlist=MyFilterList srcaddr=192.168.1.1 dstaddr=192.168.1.2` 来添加一个筛选器,该筛选器指定源地址为 192.168.1.1,目标地址为 192.168.1.2。
6. 使用 `add filteraction` 命令创建新的筛选器操作。例如,您可以输入 `add filteraction name=MyFilterAction action=negotiate` 来创建一个名为 “MyFilterAction” 的筛选器操作,该操作指定动作为协商安全连接。
7. 使用 `add rule` 命令向策略中添加规则。例如,您可以输入 `add rule name=MyRule policy=MyPolicy filterlist=MyFilterList filteraction=MyFilterAction` 来添加一个名为 “MyRule” 的规则,该规则指定使用 “MyPolicy” 策略、 “MyFilterList” 筛选器列表和 “MyFilterAction” 筛选器操作。
以上是一个简单的示例,用于说明如何使用 `netsh` 命令配置 IPSec 策略。您可以根据实际情况调整命令中的参数值。
Web站点数字证书:
1.添加CA证书服务
2.配置CA证书
3.配置HTTPS
第十章:章末习题案例:
Linux Apache服务器的配置:
Apache 服务器的主配置文件是 `httpd.conf`,它位于 `/etc/httpd/conf` 目录下。该文件包含了 Apache 服务器的全局配置信息,包括监听端口、文档根目录、日志文件位置等。
Apache 是一个流行的开源 Web 服务器软件。它的主要作用是接收来自客户端(例如 Web 浏览器)的 HTTP 请求,并返回响应,通常是 HTML 页面、图像或其他资源。
Apache 可以运行在多种操作系统上,包括 Windows、Linux 和 macOS 等。它具有高度的可配置性和扩展性,可以通过安装模块来支持各种功能,例如支持 PHP、SSL 加密等。
Apache 服务常用于托管网站和 Web 应用程序。它能够处理大量并发连接,并提供丰富的日志记录和监控功能,帮助管理员管理和维护 Web 服务。
IIS服务的作用:它可以用来在一台服务器上架设多个Web网站。有三种方式:基于TCP端口、基于不同IP地址、基于主机头名(实际就是基于域名)。
需要记忆资源记录:SOA、A、PTR、NS、MX、CNAME.(书中P417,DNS服务器配置)
需要认真学习一下IIS服务器的各个服务、过程。
视频补充知识点学习:
域:Windows。。。。
补充活动目录的工作组的介绍:
域本地组:域本地组成员来自任何域,但是只能访问本地域
全局组:来自本域,访问任何资源
通用组:来自任何域,访问任何资源。
补充活动目录的一个误区:本地用户信息存储在本地计算机的 SAM(安全帐户管理器)数据库中。SAM 数据库是一个存储在本地计算机上的文件,它包含了本地用户帐户、组和其他安全信息。SAM 数据库通常位于 `%SystemRoot%\system32\config` 目录下,文件名为 `SAM`。
活动目录是一个分布式数据库,用于存储域中的用户、组和其他对象的信息。它不存储本地用户信息,而是用于管理域中的用户帐户和组。
因此,本地用户信息存储在本地计算机的 SAM 数据库中,而不是活动目录中。
补充Windows常用命令:
(1)ipconfig
`ipconfig` 是一个常用的 Windows 命令,用于查看和管理计算机的网络配置。它有许多常用的选项,包括:
1. `ipconfig /all`:显示本机TCP/IP配置的详细信息。 //查看MAC地址、DNS服务器等配置
2. `ipconfig /release`:DHCP客户端手工释放IP地址。
3. `ipconfig /renew`:DHCP客户端手工向服务器刷新请求(续借IP地址)。//注意在华为路由器里面没有这个命令
4. `ipconfig /flushdns`:清除本地DNS缓存内容。 //后面三条都是在DHCP环境注册DNS
5.ipconfig/registerdns:刷新所有DHCP的租期和重注册DNS名。
5. `ipconfig /displaydns`:显示本地DNS内容。
(2)tracert(前面有,它属于ICMP协议里面的一个命令)
`tracert` 是一个 Windows 命令,用于确定 IP 数据包访问目标所采取的路径。它使用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。
得到的第一个路由就是默认路由(默认网关),原理:通过向目标发送不同IP生存时间(TTL)值的ICMP ECHO报文。(ICMP ECHO报文),在路劲上每经过一个路由器TTL就减一。直到TTL为0,此时到达这个的路由器就返回给发送方一个超时信息。
使用方法很简单,只需在命令提示符中输入 `tracert`,后面跟上目标 IP 地址或域名即可。例如,要跟踪到百度的路由,可以输入 `tracert www.baidu.com`。
选项:
-d:禁止将中间路由器IP地址解析为名称,加速显示tracert的结果
-h:指定搜索目标路径的最大节点数(如果没有指定就默认为30)(指定最大跳步数)
-s:跟踪IPv6使用这个,指定在回显请求使用源地址。
(3)pathping
pathping 是一个基于 TCP/IP 的路由跟踪工具,它结合了 ping 和 tracert 命令的功能。它返回两部分内容,第一部分显示到达目的地经过了哪些路由,第二部分显示了路径中每个路由器上数据包丢失方面的信息。它得到的第一个路由是本地地址,不是默认路由(默认网关),这一点和tracert的不同。
(4)ARP
`arp` 命令用于显示和修改“地址解析协议 (ARP)”缓存中的项目。 ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。
它存在的一个问题是在工作过程中无法对ARP响应的数据来源和真实性进行验证。
解决方式:绑定IP和MAC地址。
`arp` 命令有许多选项,包括:
1. `-a [InetAddr] [-N IfaceAddr]`:显示所有接口的当前 ARP 缓存表。
2. `-d InetAddr [IfaceAddr]`:删除指定的 IP 地址项。
3. `-s InetAddr EtherAddr [IfaceAddr]`:向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。(静态指定IP和MAC对应关系)
4. `/?`:在命令提示符下显示帮助。
(5)route
在 Windows 操作系统中,`route` 命令用于显示和修改网络路由表。它可以用来添加、删除和修改路由表中的条目。一些常用的 `route` 命令选项包括:
- `route print`:显示当前计算机的路由表。
- `route add`:添加新的路由条目。 //这个考过一次,完整的添加命令是:route add ip-number mask mask-number 目标ip。注意是在Windows上添加。
- `route delete`:删除指定的路由条目。
- `route change`:修改现有的路由条目。
(6)netstat
在 Windows 操作系统中,`netstat` 命令用于显示与 IP、TCP、UDP 和 ICMP 协议相关的统计数据。它可以用来查看本机各端口的网络连接情况。一些常用的 `netstat` 命令选项包括:
- `netstat -a`:显示所有活动的 TCP 连接和计算机正在监听的 TCP 和 UDP 端口。(它可以显示本机当前建立的连接,考过一次)
- `netstat -e`:显示以太网统计信息,例如发送和接收的字节数和数据包数量。
- `netstat -n`:以数字形式显示活动的 TCP 连接,不尝试确定名称。
- `netstat -o`:显示活动的 TCP 连接并包括每个连接的进程 ID (PID)。
在 Windows 操作系统中,`netstat -r` 命令用于显示 IP 路由表的内容。它等同于 `route print` 命令。使用此命令可以查看当前计算机的路由表信息。
(7)nslookup
在 Windows 操作系统中,`nslookup` 命令用于查询域名解析是否正常。它可以用来查询 DNS 域名解析信息,例如查看域名对应的 IP 地址。默认情况就是DNS名称服务器。(就是只输入nslookup)
`nslookup` 命令有两种模式:交互式和非交互式。如果您只需要查询一条数据,建议使用非交互式模式。对于第一个参数,输入您要查询的计算机的名称或 IP 地址;对于第二个参数,输入 DNS 名称服务器的名称或 IP 地址。如果省略第二个参数,则 `nslookup` 使用默认的 DNS 名称服务器。
如果您需要查询多条数据,可以使用交互式模式。对于第一个参数,输入连字符(-);对于第二个参数,输入 DNS 名称服务器的名称或 IP 地址。如果两个参数都省略,则工具使用默认的 DNS 名称服务器。
在交互式模式下,您可以执行以下操作:
- 通过按下 CTRL+B 随时中断交互式命令。
- 通过输入 `exit` 退出。
- 通过在其前面加上转义字符(\\)将内置命令视为计算机名称。
- 将无法识别的命令解释为计算机名称。
(8)ping(过)
补充服务器配置:
DNS服务器配置:
这个配置的过程要详细了解,推荐视频:
6-4 Windows2008dns服务器配置部分_哔哩哔哩_bilibili
主要区域、辅助区域和存根区域:
- 主要区域:主要区域是 DNS 服务器上的一个读写副本,它包含了 DNS 域名的所有资源记录。主要区域通常存储在 DNS 服务器的本地磁盘上,并且可以由管理员进行管理和更新。
- 辅助区域:辅助区域是 DNS 服务器上的一个只读副本,它包含了 DNS 域名的所有资源记录。辅助区域与主要区域不同之处在于,它不是存储在本地磁盘上,而是通过与主要区域所在的 DNS 服务器进行区域传输来获取数据。辅助区域用于提供冗余和负载均衡,以确保 DNS 解析请求能够快速响应。不能进行修改
- 存根区域:存根区域是 DNS 服务器上的一个只读副本,它仅包含有关权威名称服务器的信息。存根区域能够帮助 DNS 服务器更快地定位权威名称服务器,从而加快 DNS 解析过程。只有三种记录类型:SOA、NS、A
补充:资源记录类型所对应的值
A=1 //域名解析为IP
aaaa=28
cname=5
mx=15
NS=2 //名字服务器,为域指定授权服务器
ptr=12
SOA=6
DNS服务器的属性(各个选项):
高级选项:在 DNS 服务器配置中,有两个选项可以帮助您更好地管理 DNS 解析过程:启用循环和启用网络掩码排序。
- 启用循环:当启用循环选项时,DNS 服务器会在返回多个解析结果时随机改变结果的顺序。这样可以帮助实现负载均衡,避免所有客户端都访问同一个服务器。
- 启用网络掩码排序:当启用网络掩码排序选项时,DNS 服务器会根据客户端的 IP 地址返回最匹配的解析结果。这样可以帮助客户端更快地访问目标服务器,提高 DNS 解析的效率。
当两个都开启时,- 启用网络掩码排序 。起作用。
接口选项:允许您指定DNS服务器监听DNS请求的本地计算机IP地址。默认情况下,DNS服务器监听本地计算机上的所有IP地址。但是,在某些情况下,您可能不希望DNS服务器监听所有的IP地址。例如,如果您的DNS服务器具有两个网络适配器,分别连接到Internet和LAN,则您可能不希望让Internet的客户访问您的DNS服务器,因此您可以只选择监听连接到LAN的IP地址。
转发器选项:允许当本地DNS服务器无法对DNS客户端的解析请求进行本地解析时(即没有匹配的主要区域和辅助区域,并且无法通过缓存信息来解析客户端的请求),配置本地DNS服务器转发DNS客户发送的解析请求到上游DNS服务器。此时本地DNS服务器又称为转发服务器,而上游DNS服务器又称为转发器。在这个选项中,您可以指定需要进行转发的DNS域名和转发到的上游转发器的IP地址。
DHCP服务器的配置:
6-5 Windows2008dhcp服务器配置_哔哩哔哩_bilibili
保留选项:可以确保DHCP客户端得到同一IP地址。
Web服务器的配置(pass):
6-6 Windows2008web服务器配置_哔哩哔哩_bilibili
FTP服务器的配置(pass):
Linux管理:
分区与文件管理:ext2/3
分区管理:每一个操作系统启动的引导程序都应该放在主分区上。
一般有两个专门的分区:Linux Native(主分区) 和Linux Swap(交换分区,要求是物理内存的两倍)。通常在Linux中安装Linux Native分区。
常见分区格式:
ext3:日志文件系统
文件管理:
树形结构,最上层是根目录,用“/”表示。
Linux只有文件的概念,包括设备,设备叫做设备文件。
Linux主要目录及其作用:
Linux操作系统采用了一种树形目录结构,包含了许多重要的目录,这些目录在操作系统的正常运行中都会起到不同的作用。以下是Linux主要目录及其作用:
1. **/(root)目录**:这是整个Linux操作系统的根目录,包含整个文件系统的所有文件和目录。
2. **/bin**:二进制文件目录,包含系统启动和运行所需的基本命令,如ls、cp、mv等。
3. **/boot**:启动目录,包含启动Linux所需的所有文件,如内核、引导程序等。
4. **/dev**:存放着各种设备文件。
5. **/etc**:存放系统或软件的配置文件。
6. **/home**:用户相关的目录。
9. **/opt**:可选的应用软件包。
10. **/proc**:进程相关文件。
11. **/tmp**:存放着临时文件。
系统启动过程:
记忆init进程:init进程作为系统的第一个进程,是所有进程的发起者和控制者。init的进程ID(PID)为1。它是起点。
Linux的运行级别:
从0到6.
Linux系统有7个运行级别 (runlevel) :
1. **运行级别0**:系统停机状态,系统默认运行级别不能设为0,否则不能正常启动。
2. **运行级别1**:单用户工作状态,root权限,用于系统维护,禁止远程登陆。
3. **运行级别2**:多用户状态 (没有NFS)。
4. **运行级别3**:完全的多用户状态 (有NFS),登陆后进入控制台命令行模式。(字符模式)
5. **运行级别4**:系统未使用,保留。
6. **运行级别5**:X11控制台,登陆后进入图形GUI模式。(图形模式)
7. **运行级别6**:系统正常关闭并重启,默认运行级别不能设为6,否则不能正常启动。
标准的Linux的运行级别为:3或5.
用法:例如 init 0,就表示:关机。
Linux系统配置命令:
ls命令:相当于dos中的dir命令。查看文件和目录信息。
重定向:“>”
管道命令:“|”
chmod命令(前面有学):d rwx r-x r--
剩下的命令在前面有学。(需要记忆)
ps命令:
`ps` 命令用于显示当前进程的状态。在 Linux 系统中,进程有以下几种状态 :
1. **R (TASK_RUNNING)**:可执行状态。只有在该状态的进程才可能在 CPU 上运行。
2. **S (TASK_INTERRUPTIBLE)**:可中断的睡眠状态。处于这个状态的进程因为等待某些事件的发生而被挂起。
3. **D (TASK_UNINTERRUPTIBLE)**:不可中断的睡眠状态。与 TASK_INTERRUPTIBLE 状态类似,进程处于睡眠状态,但是此刻进程是不可中断的。
4. **T (TASK_STOPPED or TASK_TRACED)**:暂停状态或跟踪状态。向进程发送一个 SIGSTOP 信号,它就会因响应该信号而进入 TASK_STOPPED 状态。
5. **Z (Zombie)**:僵尸状态。当一个进程完成它的工作后,它的父进程需要调用 `wait()` 或 `waitpid()` 系统调用来取回子进程的退出状态。在这之前,子进程将保持僵尸状态。
在题目中,启用ps命令后,在S那一栏目就是状态。
比较Windows常用网络命令和Linux常用的网络命令:
Windows Linux
ipconfig ifconfig
route route
tracert traceroute
nslookup nslookup
iptables(用于防火墙,设置类似于acl过滤的命令)
Linux服务器:
一、DNS服务器配置(pass)
在Linux下配置DNS需要bind软件实现,与之相关的软件如下:
/etc/named.conf:bind的基本配置文件,安装完bind之后系统自带
/etc/rc.d/init.d/named:bind的启动脚本,控制工作,系统自带的。
named.conf:基本格式
二、DHCP服务器配置
它的默认配置文件是:/etc/dhcpd.conf
启动和检查DHCP服务器:
1.使用命令启动:#server dhcpd start
2.使用ps命令检查dhcpd进程:#ps -ef | grep dhcpd
3.使用检查dhcpd运行的端口:#netstat -nutap | grep dhcpd
三、FTP服务器配置
它有一个anonymous账号(匿名账号)。
与它有关的配置文件:/etc/vsftpd/vsftpd.conf
启动该服务器的命令:service vsftpd start
停止该服务器的命令:service vsftpd stop
四、Apache的配置(全称是Apache HTTP Server)
它的主配置文件是:/etc/httpd.conf
配置虚拟主机有两种方式(前面学了)。主要是补充基于名字(域名)的虚拟主机:
基于名字的虚拟主机,只需要配置DNS服务器使每个主机名(域名)对应正确的IP地址,然后再配置Apache HTTP Server,使其能认识不同的主机名。
重启Apache的命令:service httpd restart
从例题中所补充知识点:
等等,这个下面这个部分好像属于操作系统的知识点,但是和我们书上的网络操作系统的知识点属于不同的类型!!!需要另外找视频学习操作系统的知识点。
在Windows操作系统中,远程桌面使用的端口是:3389.
80是HTTP端口,1024是Reserved端口,8080是代理端口(WWW)。
操作系统五大管理功能:进程管理、存储管理、文件管理、设备管理、作业管理。
Windows 10是属于微软的内核。
Ubuntu 14.04、CentOS 7.0 、中标麒麟 6.0、红旗 属于Linux内核系统。
安卓(Android)基于Linux内核。
IOS系统(苹果)、AIX 基于Unix内核。
DMA(直接内存访问):被用于内存和内存之间或内存和外设之间的高速数据传输。
一个进程包含多个线程,一个线程只能属于一个进程。
事务的四大属性:原子性、隔离性、一致性、持久性。
从这开始,补充这一章节有关的例题知识点:
DHCP的option选项 43选项,表示告诉AP,AC的IP地址,让AP寻找AC进行注册。
Option 43是一个用户自定义选项,表示厂商特定信息选项,用于实现与不同终端的对接,如IP话机、AP等。当DHCP服务器接收到请求Option 43信息的DHCP请求报文(Option55中带有43参数)后,将在回复报文中携带Option 43,为DHCP客户端分配厂商指定的信息。Option 43支持主选项和子选项的形式,子选项中各字段的含义如下:Sub-option type:子选项类型。Sub-option length:子选项的长度。Sub-option value:子选项的取值。
除了Option 43之外,还有许多其他的option选项,它们都有不同的含义和用途。例如,Option 60通常用于携带设备标识符信息以供DHCP服务器鉴权使用。
Option 82,也称为DHCP中继代理信息选项,用于帮助保护支持的设备免受攻击,包括IP地址和MAC地址的欺骗(伪造)以及DHCP IP地址饥饿。在常见情况下,各种主机通过交换机上的不受信任的接入接口连接到网络,并从DHCP服务器请求并分配IP地址。然而,恶意攻击者可以使用伪造的网络地址欺骗DHCP请求,以获得不当的网络连接。为了防范这种漏洞,RFC 3046,DHCP中继代理信息选项,描述了一种称为Option 82的标准,该标准定义了DHCP服务器如何在分配IP地址或其他参数给客户端时使用客户端的位置。
补充resolve.conf:
resolv.conf的关键字主要有四个,分别是:
nameserver,用于定义DNS服务器的IP地址;
domain,用于定义本地域名;
search,用于定义域名的搜索列表;
sortlist,用于对返回的域名进行排序。
IIS的发布目录:
既可以安装在本地磁盘上,也能配置在联网的其它计算机中。
补充Apache服务器的配置:
Apache的主配置文件:/etc/httpd/conf/httpd.conf
默认站点主目录:/var/www/html
IIS在一台主机上配置多个独立域名的站点:
有三种方式,分别是:基于附加TCP端口架设多个Web网站、基于不同的IP地址架设多个网站、基于主机头名架设多个Web网站。(而在前面我们所学的里面提到,添加虚拟主机的方式是两种:分别是基于主机名(域名)和基于IP地址号(基于IP的现在很少使用。))
这个和前面的不一样,这个是添加站点(网站)有三种方式。
IIS服务身份认证的几种安全级别:
记住:默认是匿名方式(这个在配置FTP服务器时常用的是这个方式)
匿名身份认证<基本身份认证<摘要式身份验证<windows身份认证。
7667
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
