欢迎您阅读此系列文章,文章参考自《全国计算机等级考试三级教程.网络技术》。内容为NCRE三级网络技术主要知识点以及常考点,此知识点总结参照《三级网络技术考试大纲(2018年版)》。阅读此系列文章可以帮助您快速、轻松考取相应证书!祝您阅读愉快,获取知识点电子文档地址:https://gitee.com/yjs0612/ncre 。整理不易,希望可以帮助到你!
前言
教材第十章《网络安全技术》相关内容在NCRE三级网络技术考试中,出现的考题相对固定,一般为4道选择题和综合题部分小题,试题分布在33~36题,占用分值6—8分。在这里只针对选择题部分进行总结。往年考核要点有:数据备份方式、 Cisco PIX 525防火墙、入侵防护系统、网络安全设备等。
网络安全基本概念
-
TCSEC划分了7个等级,安全级别从低到高分别是D、C1、C2、B1、B2、B3、A1。
- D级系统的安全要求最低,属于非安全保护类,它不能用于多用户环境下的重要信息处理。
- B类系统属于强制型安全保护类型,即用户不能分配权限,只有网络管理员可以为用户分配访问权限。
- A1级系统要求提供的安全服务功能与B3级系统基本一致。A1级系统在安全审计、安全测试,配置管理等方面提出了更高的要求。
- 一般的UNIX系统通常能满足C2级标准,只有一部分产品可以达到B1级标准的要求。
- C类系统是用户能定义访问控制要求的自主保护类型。
-
拒绝服务( Denial-Of-Service ,DOS)攻击产生的效果表现在消耗带宽、消耗计算资源,使系统和应用崩溃等方面,它是阻止针对某种服务的合法使用者访问他有权访问的服务**。SYN攻击是一种典型的拒绝服务攻击**。
数据备份方法
数据备份的方法有三种:
- 完全备份----把所有需要备份的文件和数据进行一次全面完整的备份,需要恢复数据的话只需要把这份备份还原就行了。
- 增量备份----每次备份上次完全备份或增量备份之后增加或更新的数据。每次备份生成一个备份文件,需要恢复数据的话需要按顺序逐个恢复所有备份。
- 差异备份----备份上次完全备份后增加或更新的数据,将所有需要备份的数据汇集到一个备份文件中,需要恢复数据时,先恢复完全备份文件,再恢复差异备份文件,2个文件完成全部的恢复工作。
加密技术
- 对称加密技术下,N个用户之间的通信,需要N(N-1)个密钥*。
- 目前,已经有一些比DES算法更安全的对称加密算法,如IDEA 算法、RC2算法、RC4算法与Skipjack算法等。
- 非对称加密技术下,N个用户之间的通信,需要N对(2N)个密钥。
- 目前,主要的公钥算法包括:RSA 算法、DSA 算法、PKCS算法与PGP算法等。
入侵检测技术
入侵防护系统(IPS)分为:
- 1、基于主机的防护系统(HIPS),安装在受保护的主机系统中,通过监视内核的系统调用,检测并阻挡针对本机的威胁和攻击。
- 2、基于网络的防护系统(NIPS),布置于网络出口处,一般串联于防火墙与路由器之间,对攻击的误报(不是漏报)会造成合法的通信被阻断,导致拒绝服务。
- 3、应用入侵防护系统(AIPS),一般部署于受保护的应用服务器前端。
- IPS具备嗅探功能。
- IPS工作在In-Line模式。
- 入侵检测系统分为两类–集中式和分布式。
- 分布式入侵检测系统分为层次式、协作式、对等式,其中对等式能真正避免单点失效故障。集中式受单点故障影响最严重。
- 基于网络的入侵检测系统通常采用混杂模式,采用的技术包括:模式匹配、频率或阈值、事件的相关性、统计意义上的非正常现象检测。
- 应用入侵防护系统可以阻挡多种入侵,例如cookie篡改、SQL代码嵌入、参数篡改、缓冲器溢出、强制浏览等等(就是说基于网络的和基于主机的难于阻断)。
- IPS接入网络需使用TAP,TAP是分路器,用于入侵检测,而非入侵防护。
- SYN Flooding攻击、DDOS攻击和Smurf攻击都属于拒绝服务攻击,可以被基于网络的入侵防护系统阻断。
网络安全评估
-
网络安全风险评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制管理功能于一体的网络安全设备。(不包括数据加密)
-
网络安全评估分析技术常被用来进行穿透实验和安全审计。
-
大型网络中,评估分析系统通常采用控制台和代理相结合的结构。
-
采用漏洞扫描工具是实施漏洞查找的常用方法,扫描分为被动和主动两种。被动扫描对网络上流量进行分析,不产生额外的流量,不会导致系统的崩溃;主动扫描则更多地带有入侵的意味,可能会影响网络系统的正常运行。
-
ISS能扫描一些众所周知的系统漏洞和系统弱点,并具有漏洞分析功能。
-
ISS的System Scanner通过依附于主机上的扫描器代理侦测主机内部的漏洞,采用的是主动、积极的、非破坏的扫描方式。被动扫描工作方式类似于IDS.
扫描分为被动和主动两种:
被动扫描对网络上流星进行分析,不产生额外的流量,不会导致系统的崩溃,其工作方式类似于IDS。
主动扫描则更多地带有入侵的意味,可能会影响网络系统的正常运行。
-
X-Scanner采用多线程方式对指定IP地址段进行安全漏洞扫描。
-
WSUS不能用作安全评估。
-
不能部署在网络出口的是网络版防病毒。
防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护,不能处于网络出口的位置;
具备入侵防御功能的设备通常部署在服务器前或网络出口两个位置。UTM部署在网络出口位置,保护的目标是网络。
数据备份设备与软件安装和配置
-
RAID卡能提供多个磁盘接口通道。
-
RAID10是RAID0和RAID1的组合。
-
RAID卡能提供IDE、SCSI、SATA接口。
-
有些服务器主板自带RAID控制器,不需要RAID卡。
-
Windows 2003 Server 备份程序支持的五种备份方法:
- 副本备份–复制所有选中的文件,但不将这些文件标记为已经备份。
- 每日备份–复制执行每日备份的当天修改的所有选中的文件,已备份文件在备份后不做标记。
- 差异备份–从上次正常备份或增量备份后,创建或修改的差异备份副本文件,备份后不标记为已备份文件。
- 增量备份–只备份上一次正常备份或增量备份后创建或改变的文件,备份后标记文件。
- 正常备份–复制所有选中文件,备份后标记每个文件。
防病毒软件安装与配置
-
管理控制台既可以安装在服务器端,也可以安装在客户端。
-
服务器端和客户端的安装都可以采用本地安装、远程安装、web安装、脚本登录安装等方式。
-
系统的升级可以从网站升级,也可以从上级中心升级,还可以从网站上下载升级包后手动升级。
-
系统的数据通信端口是允许由管理员设定的。
-
网络版防病毒系统由系统中心、服务器端、客户端、管理控制台组成。
防火墙的安装与配置
-
包过滤路由的关键是制订包过滤规则,包过滤路由器分析所接收的包,按照每一条包过滤规则加以判断,符合转发规则的包将被转发,不符合的包将被丢弃。
数据包位于网络层,所以包过滤在网络层、传输层进行操作,无法处理应用层的信息。Teardrop利用OS处理分片重叠报文的漏洞进行攻击(报文,传输层),Cookie篡改、跨站脚本、SQL注入都是应用层的范畴。包过滤路由器能够阻断的攻击是Teardrop。 -
NameIf命令的作用是配置接口名字并指定安全级别。
- outside端口的安全级别默认值是0
- inside端口的安全级别默认值是100
- DMZ端口的安全级别默认值是50
- 数字越大安全级别越高
-
PIX分为四种访问模式:
- 非特权模式(其实就是用户模式)
- 特权模式**(用户模式下输入enable后进入)**
- 配置模式(特权模式下输入configure terminal进入,绝大多数系统配置都在这里做)
- 监视模式(可以进行操作系统映像更新和口令恢复)。
-
conduit命令格式:
conduit permit | deny global_ip port[-port] protocol foreign_ip [net mask]
其中:
permit l deny 设定允许或拒绝访问;
global_ip是由global或static命令定义过的全局IP地址。如果global_ip为0,就用any 代替0;如果global_ip是一台主机,就用host命令参数;
port 是服务端口,例如www使用80。可以通过服务名称或端口数字来指定端口 ;
protocol是连接协议,如 TCP UDP ,ICMP等;(不是IPv4或IPv6)
foreign_ip是可访问global_ip的外部IP地址。
可以用any表示任意主机,如果是一台主机使用host来指定。
在Cisco PIX525防火墙配置模式pixfirewal(config)#下,
命令conduit用于允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口;
命令global用于指定外部IP地址范围(地址池);
命令route用于设置指向内网和指向外网的静态路由;
命令static的作用是配置静态IP地址翻译,使内部地址与外部地址——对应;
命令fixup的作用是启用或禁止一个服务或协议,通过指定端口设置PIX防火墙要侦听listen服务的端口;
命令nat用于指定要进行转换的内部地址。
网络入侵检测系统的部署
入侵检测系统的探测器可以通过三种方式部署:
-
在交换机上做镜像端口(网络接口卡与交换设备的监控端口连接,通过交换设备的span/mirror功能将流向各端口的数据包复制一份给监控端口)。
-
串接集线器(在网络中增加一台集线器,通过集线器获取数据包)。
-
部署TAP分路器(通过一个TAP对交换式网络中的数据包进行分析和处理)。
-
集线器会把数据广播到所有端口,扩大冲突域,对网络性能造成很大的影响。但是,探测器的基本功能是捕获网络数据包,并对数据包进一步分析和判断,当发现可疑的事件时触发探测器发送警报,如果把探测器串联到链路中,网络中传输的所有数据包都要被分析,对网络性能影响最大。
关于入侵检测系统探测器获取网络流量的方法中,错误的是在网络链路中串接一台交换机。
-
网络入侵检测系统的基本机构图: