精华内容
下载资源
问答
  • 一、物理安全技术 1.定义:物理安全 是保护计算机网络设备、设施以及其他介质免遭地震,水灾.火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程。 它主要包括环境安全、设备安全和介质安全3个方面...

    因为要使用推荐卡,所以这一篇写的稍微有点长

    一、物理安全技术

    1.定义:物理安全

    是保护计算机网络设备、设施以及其他介质免遭地震,水灾.火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程。
    它主要包括环境安全、设备安全和介质安全3个方面。

    (1)相应的一些国家标准(举例)

    1. 国家标准GB50173-93《电子计算机机房设计规范》
    2. 国家标准GB2887-89《计算站场地技术条件》
    3. 国家标准GB9361-88《计算站场地安全要求》

    总结:

    要知道解决安全问题是几乎不可能的,但是我们要做的就是让它更安全一些,让它被破坏入侵的可能性尽量降低。举个例子吧:我们在门上加一把锁,很多顺手牵羊的就进不来了,我们锁的等级提高一些,很多低级小偷就进不来了,我们再加上触发报警装置,安全性是不是就更高一些了呢。

    2.物理隔离的概念

    是指内部网不得直接或间接地连接公共网。
    物理隔离的目的是保护路由器、工作站,各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。
    在这里插入图片描述

    (1)物理隔离技术的基本思想

    如果不存在与网络的物理连接,网络安全威胁便可大大降低。
    为了确保内部数据和信息的安全。或者限制接入互联网,或者使用两个完全独立的网络。(但是政府、部队、银行等单位不仅要上网,还走在前列,这个时候两个完全独立的网络就不太实用了。而且价格昂贵)
    当涉密网络和非涉密网络之间通过移动介质(如U盘、移动硬盘等)进行数据传输时并不安全。
    例如:公安网络属于涉密网络,在公安网络与互联网进行数据拷贝时候,使用的就是双向U盘,
    在这里插入图片描述
    《计算机信息系统国际联网保密管理规定》第2章第6条中规定:涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。

    3. 物理隔离主要可以分为两个部分

    (1)网络隔离

    网络隔离就是把被保护的网络从开放、无边界。自由的环境中独立出来。这样,公共网络上的攻击者和计算机病毒将无从入手,保证了被保护系统的安全性。
    实现网络隔离主要采用两种方式:物理网络隔离和逻辑网络隔离。

    1. 物理网络隔高就是使网络与计算机设备在空间上进行分离,不存在有线或无线的电连接,它是最直观.简单。可靠的隔离方法。
    2. 逻辑隔离一般通过网络设备的功能来实现。

    (2)数据隔离

    不管网络隔离采用的是物理网络隔离还是逻辑网络隔离,如果在使用中出现一台计算机能够连接两个或两个以上的网络。那么所有的网络隔离也就失去了意义,因为在同一台计算机连接多个网络的过程中没有把存储设备隔离开来。
    数据隔离是指存储数据的介质只能针对其中的一种网络而存在。

    物理隔离在安全上需要达到以下3点要求

    ( 1 )在物理传输上使不同网络之间隔断,确保不同的网络不能通过网络连接而侵入不同的网络。(比如内网的网络不能被泄到外网)
    ( 2 )在物理辐射上隔断不同网络,确保不同网络之间不会通过电磁辐射或耦合方式泄漏信息。
    ( 3 )在物理存储介质上隔断两个网络环境,对于断电后会遗失信息的部件(如内存、CPU等)要在网络转换时进行清除处理,防止残留信息出网;对于断电非遗失信息的设备(如硬盘等), 不同网络的信息应分开存储。

    二、安全隔离

    1. 定义:

    传统的以太网络。信息发送采用的是广播方式,实际上就给信息“共享”打开了通道。恶意攻击者只要能够进入局域网,就可能监听所有数据通信,窃取机密。
    所以呢,安全隔离技术就出来了。
    安全隔离技术的目标是在确保把有害攻击隔离在可信网络之外。井保证可信网络内部信息不外泄的前提下,完成不同网络之间信息的安全交换和共享。
    目前出现了五代安全隔离技术:

    1. 完全隔离
    2. 硬件卡隔离
    3. 数据转播隔离
    4. 空气开关隔离
    5. 安全通道隔离

    完全隔离:

    采用完全独立的设备、存储和线路来访问不同的网络。做到了完全的物理隔离,但需要多套网络和系统,建设和维护成本较高,一般仅适用于一些专用网络。
    目前,像公安系统的公安专网、军队系统的军网等专用网络便是采用安全隔离方式来实现的。
    在这里插入图片描述

    硬件卡隔离

    在客户端增加一块硬件卡,这样客户端硬盘或其他存储设备先连接到硬件卡,然后再转接到主板上。控制客户端硬盘或其他存储设备,在选择不同的硬盘的时候,同时选择了该卡上不同的网络接口连接到不同的网络。
    简单点:
    内网硬盘工作时,只有内网网线接入。
    外网硬盘工作时,只有外网网线接入。
    内网数据与外网数据不存在电气通道相互完全物理隔离。

    数据转播隔离

    利用转播系统分时复制文件的途径来实现隔离。该方法切换时间较长,甚至需要手工完成,不仅大大降低了访问速度,更不支持常见的网络应用,只能完成特定的基于文件的数据交换。

    在这里插入图片描述

    空气开关隔离

    该技术是通过使用单刀双掷开关,通过内外部网络分时访问临时缓存器来完成数据交换的。
    在这里插入图片描述
    初高中的感觉有没有,哈哈哈哈哈
    这个传输速度慢,支持类型不多,硬件故障率也比较高。

    空气通道隔离

    1. 空气通道隔离
      通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接。
      同时对网间通信的双方、内容, 过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。
    2. 网络分段
      网络分段是指网络的分离或隔离(通常使用一个或多个防火墙)。
      在政府或者军方可能意味着出于安全原因,物理隔离网络、断开网络与其他网络或者互联网的连接。
      网络分段是保证安全的一项重要措施,其根本目的在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。.

    在这里插入图片描述

    三、入侵检测和防御

    1.入侵检测(Intrusion Detection)

    通过在计算机网络或计算机系统的关键点采集信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
    入侵检测所使用的软件与硬件的组合便是入侵检测系统(IDS )。
    在这里插入图片描述#### 分类

    1. 基于主机的入侵检测系统( HIDS )
      HIDS就是以系统日志、应用程序日志等作为数据源,保护的一般是HIDS所在的系统。
    2. 基于网络的入侵检测系统( NIDS )
      NIDS的数据源是网络上的数据包,一般NIDS担负着保护整个网络的任务。

    2.入侵防御(Intrusion Prevention)

    入侵防御系统( IPS )属于网络交换机的一个子项目,为有过滤攻击功能的特种交换机。- 般布于防火墙和外来网络的设备之间。
    依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网) .

    总结:

    1.物理隔离的概念
    是指内部网不得直接或间接地连接公共网。
    2.物理隔离的基本思想
    如果不存在与网络的物理连接,网络安全威胁便可大大降低。
    3.安全隔离技术经过的五个发展阶段
    (1)完全隔离
    (2)硬件卡隔离
    (3)数据转播隔离
    (4)空气开关隔离
    (5)安全通道隔离
    4.入侵检测系统IDS和入侵防御系统IPS
    IDS的概念
    IDS的分类
    IPS的概念

    四、蜜罐

    熊出没里面熊二最喜欢的就是蜂蜜,蜂蜜一般都是存在蜜罐里面对吧。
    so:什么是蜜罐?谁又是熊二呢?
    信息时代的到来,网络安全防护也渐渐的由被动防御转移到了主动防御。

    1.蜜罐定义:

    1. 在计算机网络系统中,蜜罐是一种被侦听、被攻击或已经被入侵的资源,使用和配置蜜罐的目的,是使系统处于被侦听,被攻击状态。
    2. 因此习惯可以理解为蜜罐是一台无人使用但却被严密监控的网络主机,它包含虚假的高价值资源和一些漏洞。以此吸引入侵者(黑帽子黑客)攻击主机,并且在被入侵的过程中。实时记录和审计攻击者的攻击流量、行为和数据。以此了解攻击者的方式、手段、目的。以及后续的攻击溯源,取证等等进一步的工作。
    3. 蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
    4. 蜜罐系统的概念:蜜罐系统是一一个包含漏洞且运行于互联网上的计算机系统。它通过模拟一个或多个易受攻击的系统,给攻击者提供一个包含洞洞并容易被攻破的攻击目标。
      重点来了; 网络安全中蜜罐指的是一种专门设计的“陷阱”系统,吸引井“诱骗”的是那些试图非法入侵他人计算机系统的人。

    2.蜜罐技术的发展历史

    1. 第一阶段
      九十年代初,蜜罐实质上是一些真正被入侵者所攻击的主机和系统。
    2. 第二阶段
      蜜罐又称为虚拟蜜罐,即开发的蜜罐工具能够模拟成虚拟的操作系统和网络服务,井对攻击者的攻击行为做出回应,从而欺骗攻击者。
    3. 第三阶段
      2000年之后,更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,融入了更强大的数据捕获、数据分析和数据控制的工具,井且将蜜罐纳入到一个完整的蜜网体系中。

    3、蜜罐的使用价值

    1. 密罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何问题,它们仅为使用者提供额外的。有价值的信息。所以蜜罐不会直接提高计算机网络安全。但它却是其他安全策路所不可替代的一种主动攻击技术。无论用户如何建立和使用蜜罐,只有蜜罐受到攻击。它的作用才能发挥出来。
    2. 蜜罐作为一种研究工具,但同时有着真正的商业应用,它常常被用来跟踪僵尸网络或是收集恶意代码等.
    3. 蜜罐还可以为安全专家们提供一个学习各种攻击的平台。

    4.蜜罐的分类

    1. 根据其部署目的
      (1)产品型蜜罐
      用于攻击检测,预警防御和取证,为一个组织的网络提供安全防护。它般采用虚拟的操作系统和应用程序来构建系统,部署在一个部门的内部网络环境。
      部署简单,成本低,容易维护,捕获的信息少。
      (2)研究型蜜罐
      主要是用于研究攻击的特征和发展趋势,对攻击行为进行追踪和分析。了解攻击者所使用的攻击工具和方法帮助安全组织研究系统所面临的威胁,以便更好地抵抗这些威胁。
      一般使用真实的主机、操作系统和应用程序部署在网络系统的各个网段上。
      部署难,成本高,维护困难,捕获的信息多,所以只适合于研究。

    2. 根据其与攻击者的交互程度(交换数据的程度)
      低交互蜜罐
      模拟操作系统和网络服务
      中交互蜜罐
      模拟真正操作系统的各种行为
      高交互蜜罐
      完全向攻击者提供真实的操作系统和网络服务

    4.蜜罐功能模块

    1. 攻击诱骗
      欺骗攻击者,引诱攻击者,来对蜜罐发动各种攻击以便采集到有关数据。
    2. 数据捕获
      蜜罐的核心功能,对攻击过程进行全面记录,包括网络流量数据捕获以及主机上系统行为的捕获。
      流量捕获结合入侵检测系统,配置相关敏感信息的检测规则,触发检测规则时,立即记录流量行为
    3. 数据控制
      蜜罐必须能够控制攻击者的行为,以防止攻击者利用蜜网主机作为跳板来攻击其他应用系统,从而引发法律等名种风险

    五、蜜网

    蜜网的概念

    蜜网技术是在蜜罐技术上逐渐发展起来的一个新的概念,又可称为诱捕网络。

    1. 蜜网技术实质上是一类研究型的高交互蜜罐技术,宝网构成了一个攻击诱捕的网络体系架构。
    2. 该体系架构中可以包含一个或多个密罐。并提供多种工具以方便对攻击信息的采集和分析.
    3. 技术角度:同时保证网络的高度可控性。

    蜜网的体系结构

    在这里插入图片描述

    宿主系统就是:物理主机,他接着虚拟出来了很多虚拟主机,虚拟主机搞操作系统啊啥的。
    咱们学这个搭建几个虚拟机是少不了的,这个技术也需要掌握一下。
    连接控制器这个是核心:防止跳板攻击。控制数据交互程度。
    图中连接控制器右边那个就是防火墙,毕竟做戏做全套。

    蜜网作用

    捕获僵尸网络
    捕获垃圾邮件
    蠕虫和病毒样本
    捕获网络钓鱼

    对计算机网络安全概述做一个总结,就是这1.2.3节的总结吧

    1. 网络安全研究的动因
    2. 网络安全的相关概念
    3. 网络安全威胁的类型
    4. 安全策略和安全等级
    5. 网络安全技术
      (1)物理安全技术
      (2)安全隔离
      (3)入侵检测和防御
      (4)蜜罐和蜜网技术

    希望我写的能够对大家有用

    展开全文
  • 无线网络安全技术基础

    千次阅读 2019-09-25 15:54:34
    无线网络安全技术基础 无线网络安全风险和隐患 随着无线网络技术广泛应用,其安全性越来越引起关注.无线网络的安全主要有访问控制和数据加密,访问控制保证机密数据只能由授权用户访问,而数据加密则要求发送的数据...

    无线网络安全技术基础

    无线网络安全风险和隐患

    随着无线网络技术广泛应用,其安全性越来越引起关注.无线网络的安全主要有访问控制和数据加密,访问控制保证机密数据只能由授权用户访问,而数据加密则要求发送的数据只能被授权用户所接受和使用。

    无线网络在数据传输时以微波进行辐射传播,只要在无线接入点AP(Access Point)覆盖范围内,所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备,时常有无线网络用户被他人免费蹭网接入、盗号或泄密等,因此,无线网络的安全威胁、风险和隐患更加突出。

    无线网络安全风险及隐患,如图所示。
    在这里插入图片描述
    在这里插入图片描述
    国际安全机构的一次调查表明,有85%的企业网络经理认为无线网络安全防范意识和手段还需要进一步加强。由于IEEE 802.11规范安全协议设计与实现缺陷等原因,致使无线网络存在着一些安全漏洞和风险,黑客可进行中间人(Man-in-the-Middle)攻击、拒绝服务(DoS)攻击、封包破解攻击等。鉴于无线网络自身特性,黑客很容易搜寻到一个网络接口,利用窃取的有关信息接入客户网络,肆意盗取机密信息或进行破坏。另外,企业员工对无线设备不负责任地滥用也会造成安全隐患和风险,如随意开放AP或随意打开无线网卡的Ad hoc模式,或误上别人假冒的合法AP导致信息泄露等,无线网络安全性问题已经引发新技术研究和竞争。

    无线网络AP及路由安全

    无线接入点安全
    无线接入点AP用于实现无线客户端之间信号互联和中继,安全措施:
    (1) 修改admin密码
    无线AP与其他网络设备一样,也提供了初始的管理员用户名和密码,其默认用户名admin或空。如果不修改将给不法之徒以可乘之机。

    (2) WEP加密传输
    数据加密是实现网络安全一项重要技术,可通过协议WEP进行。WEP是IEEE 802.11b协议中最基本的无线安全加密措施,是所有经过WiFiTM认证的无线局域网产品所支持的一项标准功能,主要用途为:

    • 防止数据被黑客途中恶意篡改或伪造。
    • 用WEP加密算法对数据进行加密,防止数据被黑客窃听。
    • 利用接入控制,防止未授权用户对其网络进行访问。

    (3) 禁用DHCP服务
    启用无线AP的DHCP时,黑客可自动获取IP地址接入无线网络。若禁用此功能,则黑客将只能以猜测破译IP地址、子网掩码、默认网关等,以增加其安全性。

    (4) 修改SNMP字符串
    必要时应禁用无线AP支持的SNMP功能,特别对无专用网络管理软件且规模较小的网络。若确需SNMP进行远程管理,则须修改公开及专用的共用字符串。否则,黑客可能利用SNMP获得有关的重要信息,借助SNMP漏洞进行攻击破坏。

    (5) 禁止远程管理
    较小网络直接登录到无线AP管理,无需开启AP的远程管理功能。

    (6) 修改SSID标识
    无线AP厂商可利用SSID(初始化字符串),在默认状态下检验登录无线网络结点的连接请求,检验一通过即可连接到无线网络。由于同一厂商的产品都使用相同的SSID名称,从而给黑客提供了可乘之机,使之以非授权连接对无线网络带来威胁。所以,在安装无线局域网之初,就应尽快登录到结点的管理页面,修改默认的SSID。

    (7) 禁止SSID广播
    为了保证无线网络安全,应当禁用SSID通知客户端所采用的默认广播方式。可使非授权客户端无法通过广播获得SSID,即无法连接到无线网络。否则,再复杂的SSID设置也无安全可言。

    (8) 过滤MAC地址
    利用无线AP的访问列表功能可精确限制连接到结点工作站。对不在访问列表中的工作站,将无权访问无线网络。无线网卡都有各自的MAC地址,可在结点设备中创建一张“MAC访问控制列表”,将合法网卡的MAC地址输入到此列表中。使之只有“MAC访问控制列表”中显示的MAC地址才能进入到无线网络。

    (9) 合理放置无线AP
    将无线AP放置在一个合适的位置非常重要。由于无线AP的放置位置不仅能决定无线局域网的信号传输速度、通信信号强弱,还影响网络通信安全。另外,在放置天线前,应先确定无线信号覆盖范围,并根据范围大小将其到其他用户无法触及的位置,将AP放在房间正中间。

    (10) WPA用户认证
    WPA(Wi-Fi Protected Access)利用一种暂时密钥完整性协议TKIP处理WEP所不能解决的各设备共用一个密钥的安全问题。

    无线路由器安全
    无线路由器位于网络边缘,面临更多安全危险.不仅具有无线AP功能,还集成了宽带路由器的功能,因此,可实现小型网络的Internet连接共享。除了采用无线AP的安全策略外,还应采用如下安全策略。

    • 利用网络防火墙。充分利用无线路由器内置的防火墙功能,以加强防护能力.
    • IP地址过滤。启用IP地址过滤列表,进一步提高无线网络的安全性。

    IEEE802.1x身份认证

    IEEE 802.1x是一种基于端口的网络接入控制技术,以网络设备的物理接入级(交换机端口)对接入设备进行认证和控制。可提供一个可靠的用户认证和密钥分发的框架,控制用户只在认证通过后才可连接网络。本身并不提供实际的认证机制,需要和上层认证协议EAP配合实现用户认证和密钥分发。
    IEEE 802.1x认证过程
    1)无线客户端向AP发送请求,尝试与AP进行通信。
    2)AP将加密数据发送给验证服务器进行用户身份认证。
    3)验证服务器确认用户身份后,AP允许该用户接入。
    4)建立网络连接后授权用户通过AP访问网络资源。

    IEEE802.1x身份认证
    用IEEE 802.1x和EAP作为身份认证的无线网络,
    可分为如图2-6所示的3个主要部分。
    (1)请求者。运行在无线工作站上的软件客户端。
    (2)认证者。无线访问点。
    (3)认证服务器。作为一个认证数据库,通常是一个RADIUS服务器的形式,如微软公司的IAS等。
    远程用户拨号认证系统是应用最广泛的AAA协议(认证、授权、审计(计费))

    使用802.1x及EAP身份认证的无线网络
    在这里插入图片描述
    在这里插入图片描述

    无线网络安全技术应用

    无线网络在不同的应用环境对其安全性的需求各异,以AboveCable公司的无线网络安全技术作为实例。为了更好地发挥无线网络“有线速度无线自由”的特性,该公司根据长期积累的经验,针对各行业对无线网络的需求,
    制定了一系列的安全方案,最大程度上方便用户构建
    安全的无线网络,节省不必要的经费。

    1、小型企业及家庭用户
    小型企业和一般家庭用户使用的网络范围相对较小,且终端用户数量有限,AboveCable的初级安全方案可满足对网络安全需求,且投资成本低,配置方便效果显著。此方案建议使用传统的WEP认证与加密技术,各种型号AP和无线路由器都支持64位、128位WEP认证与加密,以保证无线链路中的数据安全,防止数据被盗用。同时,由于这些场合终端用户数量稳定且有限,手工配置WEP密钥也可行。

    2、仓库物流、医院、学校和餐饮娱乐行业
    在这些行业中,网络覆盖范围及终端用户的数量增大,AP和无线网卡的数量需要增多,同时安全风险及隐患也有所增加,仅依靠单一的WEP已无法满足其安全需求。AboveCable的中级安全方案使用IEEE802.1x认证技术作为无线网络的安全核心,并通过后台的RADIUS服务器进行用户身份验证,有效地阻止未经授权的接入。
    对多个AP的管理问题,若管理不当也会增加网络的安全隐患。为此,需要产品不仅支持IEEE 802.1x认证机制,同时还支持SNMP网络管理协议,在此基础上以AirPanel Pro AP集群管理系统,便于对AP的管理和监控。

    3、公共场所及网络运营商、大中型企业和金融机构
    在公共地区,如机场、火车站等,一些用户需要通过无线接入Internet、浏览web页面、接收e-mail,对此安全可靠地接入Internet很关键。这些区域通常由网络运营商提供网络设施,对用户认证问题至关重要。否则,可能造成盗用服务等危险,为提供商和用户造成损失。AboveCable提出使用IEEE 802.1x的认证方式,并通过后台RADIUS服务器进行认证计费。
    针对公共场所存在相邻用户互访引起的数据泄漏问题,设计了公共场所专用的AP— HotSpot AP。可将连接到其所有无线终端的MAC地址自动记录,在转发报文的同时,判断该段报文是否发送给MAC列表的某个地址,若在列表中则中断发送,实现用户隔离。
    对于大中型企业和金融机构,网络安全性是首选的至关重要问题。在使用IEEE 802.1x认证机制的基础上,为了更好地解决远程办公用户安全访问公司内部网络信息的要求,AboveCable建议利用现有的VPN设施,进一步完善网络的安全性能。

    WIFI的安全性和措施

    1、WIFI的概念及应用
    WiFi(Wireless Fidelity)又称IEEE802.11b标准,是一种可以将终端(电脑、PDA和手机)无线方式互连的技术。用于改善无线网路之间互通性。WiFi三个标准:较少使用的802.11a、低速的802.11b和高速的802.11g。WiFi工作模式:AD-HOC、无线接入点AP、点对多点路由P to MP、无线客户端AP Client和无线转发器Repeater。

    WiFi支持智能手机,平板电脑和新型相机等。将有线网络信号转成无线信号,使用无线路由器供支持其技术的相关电脑、手机、平板等接收上网节省流量费。WiFi信号也需要ADSL、宽带、无线路由器等,WiFi Phone的使用,如查询或转发信息、下载、看新闻、拨VOIP电话(语音及视频)、收发邮件、实时定位、游戏等,很多机构都提供免费服务的WiFi。

    2、WiFi特点及组成
    WiFi的特点可从八个方面体现:带宽、信号、功耗、便捷、节省、安全、融网、个人服务、移动特性。IEEE启动项目计划将802.11标准数据速率提高到千兆或几千兆,并通过802.11n标准将数据速率提高,以适应不同的功能和设备,通过802.11s标准将这些高端结点连接,形成类似互联网的具有冗余能力的WiFi网络。

    WIFI由AP和无线网卡组成无线网络,如图所示。一般架设无线网络的基本配备就是无线网卡及一个AP,便能以无线的模式配合既有的有线架构来分享网络资源,架设费用和复杂程序远远低于传统的有线网络。如果只是几台电脑的对等网,也可不用AP,只需要每台电脑配备无线网卡。AP可作为“无线访问结点”或“桥接器”。主要当作传统的有线局域网络与无线局域网络之间的桥梁,因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源,其工作原理相当于一个内置无线发射器的HUB或者是路由,而无线网卡则是负责接收由AP所发射信号的CLIENT端设备。有了AP就像有线网络的Hub,无线工作站可快速与网络相连.特别对宽带使用,WiFi更显优势,有线宽带到户后,连接到一个AP,然后在电脑中安装一个无线网卡即可。若机构或家庭有AP,用户获得授权后,就可以共享方式上网。
    在这里插入图片描述
    3、WiFi的认证种类
    WiFi联盟所公布的认证种类包括:
    1)WPA/WPA2:WPA/WPA2是基于IEEE802.11a、802.11b、802.11g的单模、双模或双频的产品所建立的测试程序。内容包含通讯协定的验证、无线网络安全性机制的验证,以及网络传输表现与相容性测试。

    2)WMM(WIFI MultiMedia):当影音多媒体透过无线网络传递时,验证其带宽保证的机制正常运作在不同的无线网络装置及不同的安全性设定上是WMM测试目的。

    3)WMM Power Save:在影音多媒体透过无线网络的传递时,透过管理无线网络装置的待命时间延长电池寿命且不影响其功能性,可透过WMM Power Save测试验证。

    4)WPS(WIFI Protected Setup):可让消费者透过更简单的方式设定无线网络装置,并保证一定的安全性。当前WPS允许透过Pin Input Config(PIN)、Push Button Config(PBC)、USB Flash Drive Config(UFD)、Near Field Communication和 Contactless Token Config(NFC)的方式设定无线网络装置。

    5)ASD(Application Specific Device):是针对除了无线网络存取点(AP)及站台之外有特殊应用的无线网络装置,如DVD播放器、投影机、打印机等。

    6)CWG(Converged Wireless Group):主要是针对WIFI mobile converged devices 的RF 部分测量的测试程序。

    4、增强WiFi的安全措施
    无线路由器密码破解的速度取决于软件和硬件,只要注意在密码设置时尽量复杂些,即可增强安全性。此外,采用以下几种设置方法。
    1)采用WPA/WPA2加密方式,不用有缺陷加密,这是最常用的加密方式。

    2)不用初始口令和密码,用长且复杂密码并定期更换,不用易猜密码。

    3)无线路由后台管理默认的用户名和密码一定尽快更改并定期更换。

    4)禁用WPS( 保护设置)功能。现有的WPS功能存在漏洞,使路由器的接入密码和后台管理密码有可能暴露。

    5)启用MAC地址过滤功能,绑定常用设备。

    6)关闭远程管理端口和路由器的DHCP功能,启用固定IP地址,不要让路由器自动分配IP地址。

    7)注意固件升级.及时修补漏洞升级或换成更安全的无线路由器。

    8)不管在手机端还是电脑端都应安装病毒检测安全软件。对于黑客常用的钓鱼网站等攻击手法,安全软件可以及时拦截提醒。

    展开全文
  • 网络安全技术简介

    千次阅读 2013-12-09 17:44:08
    能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。   1.1 网络安全威胁 网络系统所面临的安全威胁主要包括以下四个方面: ·信息泄露:信息被泄露或透露给某个非授权的人或实体...

    1 概念

    网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。


    1.1  网络安全威胁

    • 网络系统所面临的安全威胁主要包括以下四个方面:
    • 信息泄露:信息被泄露或透露给某个非授权的人或实体。
    • 完整性破坏:数据的完整性经非授权的修改或破坏而受到损坏。
    • 业务拒绝:对信息或其它资源的合法访问被非法阻止。
    • 非法使用:某一资源被非授权的人或被以非授权的方式使用。

    1.2  网络安全服务

    一种安全服务可以由一种或多种网络安全技术来实现,一种网络安全技术也可用于实现多种安全服务。构建一个安全的网络环境所需要具备的安全服务包括以下几类:

    • 身份认证

    身份认证用来确定或识别用户身份的合法性。当某人(或某事物)声称具有一个身份时,身份认证将提供某种方法来证实这一申明是正确的。典型的身份认证方法有基于AAA(Authentication、Authorization、Accounting,认证、授权、计费)的用户名+口令方式和PKI数字证书方式。

    • 接入安全

    接入安全是指,在对用户进行身份认证的基础之上,根据身份认证的结果对用户访问网络资源的行为进行控制,保证网络资源不被非法使用和访问。主要的接入安全协议包括802.1X认证、MAC地址认证、Portal认证,它们在AAA的配合下完成对用户的身份认证。

    • 数据安全

    在数据的传输和存储过程中进行数据的加密和解密来确保数据安全,典型的加密机制包括对称加密机制和非对称加密机制。加密机制的常见应用协议包括IPsec(IP security,IP安全)、SSL(SecureSockets Layer,安全套接层)和SSH(Secure Shell,安全外壳),其中IPsec为IP层的数据传输提供安全保障,SSL和SSH为应用层的数据传输提供安全保障。

    • 防火墙技术

    防火墙技术是一种非常有效的网络安全模型,是将内部网络与外部网络之间访问进行全面控制的一种机制。基本的防火墙技术主要包括包过滤、ASPF(AdvancedStateful Packet Filter,高级状态包过滤)和ALG(ApplicationLevel Gateway,应用层网关)。

    • 攻击检测及防范

    对网络中的流量或应用协议报文的内容进行检测,实现对攻击行为的有效识别,并根据识别结果采取一定的监管及防范措施,防止网络攻击的发生或者对已发生的网络攻击行为进行有效的控制。攻击检测及防范可提供针对数据链路层、网络层和应用层的攻击检测和防御手段,例如ARP攻击防御、IP SourceGuard、TCP和ICMP攻击防御。

     

    1.3  网络安全技术

    1.3.1  身份认证

    1. AAA

    AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

    • 认证:确认访问网络的用户身份,判断访问者是否为合法的网络用户。
    • 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
    • 计费:记录用户使用网络服务时的所有操作,包括使用的服务类型、起始时间、数据流量等,作为对用户使用网络的行为进行监控和计费的依据。

    AAA可以通过多种协议来实现,例如RADIUS协议、HWTACACS协议或LDAP协议,在实际应用中最常使用的是RADIUS协议。

    2. PKI

    PKI(Public Key Infrastructure,公钥基础设施)是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。在PKI系统中,以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PKI系统,能够为网络通信和网络交易(例如电子政务和电子商务业务)提供各种安全服务。

    目前,设备实现的PKI可为安全协议IPsec(IP Security,IP安全)、SSL(SecureSockets Layer,安全套接层)、WAPI(WLAN Authentication and PrivacyInfrastructure,无线局域网鉴别与保密基础结构)提供数字证书管理机制。

     

    1.3.2  接入安全

    1. 802.1X认证

    802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户进行认证,以便接入设备控制用户对外部网络资源的访问。接入设备上的802.1X认证需要用户侧802.1X客户端的配合,主要用于解决以太网内部接入认证和安全方面的问题。

     

    2. MAC地址认证

    MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手工输入用户名或者密码。若用户认证成功,则允许其通过该端口访问网络资源。

     

    3. 端口安全

    端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。该机制有两方面的作用:通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问;通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。

     

    4. Portal认证

    Portal认证通常也称为Web认证,即通过Web页面接受用户输入的用户名和密码,对用户进行认证。Portal认证技术提供一种灵活的访问控制方式,不需要安装客户端,就可以在接入层以及需要保护的关键数据入口处实施访问控制。

     

    未认证用户上网时,设备强制用户登录到特定的Web页面上,用户可以免费访问其中的服务。当用户需要使用互联网中的其它资源时,必须在网站提供的Portal认证页面上进行身份认证,只有认证通过后才可以使用互联网资源。

     

    5. Triple认证

    Triple认证是一种允许端口上同时开启多种接入认证方式的解决方案,它允许在设备的二层端口上同时开启Portal认证、MAC地址认证和802.1X认证功能,使得用户可以选用其中任意一种方式进行认证来接入网络。

     

    1.3.3  数据安全

    1. 公钥管理

    公钥管理模块主要用于管理非对称密钥对,包括本地密钥对的生成、销毁、显示和导出,以及如何将远端主机公钥保存到本地。

     

    2. IPsec/IKE

    IPsec(IP Security,IP安全)是一个IP层的安全框架,它为网络上传输的IP数据提供安全保证,其主要功能是对数据的加密和对数据收发方的身份认证,是一种传统的实现三层VPN(Virtual PrivateNetwork,虚拟专用网)的安全技术。

    IKE(Internet Key Exchange,因特网密钥交换)为IPsec提供了自动协商安全参数的服务,能够简化IPsec的配置和维护工作。IKE协商的安全参数包括加密和认证算法、加密和认证密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。

     

    3. SSL/SSL VPN

    SSL(Secure Sockets Layer,安全套接层)是一个提供私密性保护的安全协议,主要采用公钥密码机制和数字证书技术,为基于TCP的应用层协议提供安全连接,如SSL可以为HTTP协议提供安全连接,即HTTPS。SSL的特点在于它独立于应用层协议,应用层的连接可以透明、安全地建立于SSL之上。

    SSL VPN是以SSL为基础的VPN技术,工作在传输层和应用层之间,广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证

     

    4. SSH

    SSH是Secure Shell的简称,它能够在不安全的网络上提供安全的远程连接服务。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

     

    1.3.4  防火墙及连接控制

    1. 基于ACL的包过滤

    包过滤实现了对IP数据包的过滤。对需要转发的数据包,设备先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等),然后与设定的ACL规则进行比较,根据比较的结果对数据包进行相应的处理(丢弃或转发)。

    2. ASPF

    ASPF(Advanced Stateful Packet Filter,高级状态包过滤)是基于应用层状态的报文过滤,它提供以下功能:

    • 传输层协议检测:检测传输层协议信息(即通用TCP/UDP检测),根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络;
    • 应用层协议检测:检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶意的入侵。

    除以上功能之外,ASPF还支持丰富的安全特性,例如端口到应用的映射、Java阻断和ActiveX阻断、ICMP差错报文丢弃、TCP首包非SYN报文丢弃。在网络边界,ASPF和包过滤防火墙协同工作,能够为企业内部网络提供更全面的、更符合实际需求的安全策略。

     

    3. ALG

    ALG(Application Level Gateway,应用层网关)是一种对应用层报文进行处理的技术,它通过与NAT(Network Address Translation,网络地址转换)、ASPF等技术的组合应用,实现对应用层的处理和检测:

    • 配合NAT可实现对报文载荷的地址转换功能;
    • 配合ASPF特性可支持动态通道检测功能,以及对应用层的状态检测功能。

     

    4. 会话管理

    会话管理是为了实现NAT、ASPF、攻击检测及防范等基于会话进行处理的业务而抽象出来的公共功能,主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息来对连接的状态进行跟踪,并将传输层报文之间的交互关系抽象为会话,通过会话对所有连接的状态信息进行统一维护和管理。

    在实际应用中,会话管理配合ASPF特性,可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域,以便阻止恶意的入侵。

    会话管理本身只能实现连接跟踪,并不能阻止潜在的攻击报文通过。

     

    5. 连接限制

    连接限制是通过限制用户发起的连接数、限制用户创建连接的速率或者限制用户建立连接所占用的带宽资源,对设备上建立的连接进行统计和限制,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源。

     

    1.3.5  攻击检测及防范

    1. ARP攻击防御

    ARP协议有简单、易用的优点,但是因为没有任何安全机制而容易被攻击发起者利用。目前ARP攻击已经成为局域网安全的一大威胁,针对常见的ARP攻击行为,如仿冒用户、仿冒网关、ARP泛洪攻击等。

     

    2. ND攻击防御

    IPv6 ND(Neighbor Discovery,邻居发现)协议功能强大,但没有自身的安全机制,容易被攻击者利用。通常,防火墙都提供了多种ND攻击检测技术,例如ND协议报文源MAC地址一致性检查功能、ND Detection功能,可有效地防范ND攻击带来的危害。

     

    3. IP Source Guard

    IP Source Guard功能利用绑定表项对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性,该功能通常在设备接入用户侧的端口上启用。

    IP Source Guard绑定表项是由报文的源IP地址、源MAC地址以及VLAN ID组成,可通过手工配置或者利用DHCP、ND的相关表项动态生成。

     

    4. SAVI

    SAVI(Source Address Validation,源地址有效性验证)功能应用在接入设备上,通过ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的绑定关系表,并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。

     

    • SAVI特性可以在下列地址分配场景下使用:
    • DHCPv6-Only:和配置SAVI特性的设备连接的主机只能通过DHCPv6方式获取地址。
    • SLAAC-Only(Stateless Address Autoconfiguration,无状态地址自动配置):和配置SAVI特性的设备连接的主机只能通过自动地址分配方式获取地址。
    • DHCPv6与SLAAC混合:和配置SAVI特性的设备连接的主机可以通过DHCPv6方式和自动地址分配方式获取地址。

     

    5. URPF

    URPF(Unicast Reverse Path Forwarding,单播反向路径转发)技术通过对报文的源地址进行反查,并依据其合法性对报文进行过滤,以阻止基于源地址欺骗的网络攻击行为,例如基于源地址欺骗的DoS(Denial ofService,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。

     

    6. MFF

    MFF(MAC-Forced Forwarding,MAC强制转发)为同一广播域内实现客户端主机间的二层隔离和三层互通提供了一种解决方案,通常与DHCP Snooping、ARP Snooping、IP Source Guard、ARP Detection、VLAN映射等功能配合使用,在接入层交换机上实现客户端的流量过滤、二层隔离和三层互通,提高接入层网络的安全性。

     

    7. 攻击检测及防范

    IP攻击检测及防范是一个重要的网络安全特性,能够通过分析经过设备的报文的内容和行为特征,判断报文是否具有攻击性,并对具有攻击特征的报文执行相应的防范措施,例如输出告警日志、丢弃报文或加入黑名单,可有效防范单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击。

     

    8. TCP和ICMP攻击防御

    针对攻击者利用TCP连接的建立过程或者通过发送大量ICMP分片报文形成的网络攻击,TCP和ICMP攻击防御可以提供了以下具体的防御功能:

    • SYN Cookie功能
    • 防止Naptha攻击功能
    • 关闭ICMP分片报文转发功能

     

    9. 内容过滤

    内容过滤功能是指设备对HTTP(HypertextTransfer Protocol,超文本传输协议)报文、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)报文、POP3(Post Office Protocol, version 3,邮局协议的第3个版本)报文、FTP(File Transfer Protocol,文件传输协议)报文和Telnet报文中携带的内容进行过滤,以阻止内部网络用户访问非法网站或发送非法邮件,并阻止含有非法内容的报文进入内部网络。

     

    当设备收到HTTP报文、SMTP报文、POP3报文、FTP报文或Telnet报文时,首先进行域间策略的匹配,如果匹配的域间策略规则中定义的动作为允许通过,且该域间策略规则中引用了内容过滤策略,则继续对报文进行内容过滤,阻止含有非法内容的报文通过设备。

     

    10. Web过滤

    Web过滤功能通过过滤内部用户的非法Web访问请求,包括阻止内部用户访问非法网址,以及对网页内的Java或ActiveX程序进行阻断,来提高内部网络的安全性。

     

    11. DDoS流量清洗

    DDoS流量清洗主要是为了解决运营商网络中日益严重的DDOS攻击而构建的解决方案,该方案的核心是在运营商网络中建立流量清洗中心,通过该清洗中心为遭受DDoS困扰的机构提供流量清洗服务,解除受害机构的DDoS威胁。

     

    1.3.6  其它安全技术

    防火墙还可提供更为丰富的网络安全技术,用以配合上述基本的安全技术,为用户网络提供多功能、全方位的安全保护,在此不一一介绍。

     

    ★★★★文章整理自网络★★★★

    展开全文
  • 网络安全第五讲 网络攻击技术分析

    万次阅读 多人点赞 2020-10-24 17:06:30
    网络信息安全第五讲 网络攻击技术分析 按照攻击目的,可将攻击分为破坏型和入侵型两种类型。 破坏型攻击以破坏目标为目的,但攻击者不能随意控制目标的系统资源。 入侵型攻击以控制目标为目的,比破坏型攻击威胁更...

    网络信息安全第五讲 网络攻击技术分析

    • 按照攻击目的,可将攻击分为破坏型入侵型两种类型。
    • 破坏型攻击以破坏目标为目的,但攻击者不能随意控制目标的系统资源。
    • 入侵型攻击以控制目标为目的,比破坏型攻击威胁更大,常见的攻击类型多为入侵型攻击。
    • 攻击主要内容

    在这里插入图片描述

    一 网络信息采集

    • 入侵者一般首先通过网络扫描技术进行网络信息采集,获取网络拓扑结构、发现网络漏洞、探查主机基本情况端口开放程度,为实施攻击提供必要的信息。
    • 网络信息采集有多种途径,既可以使用诸如ping、whois等网络测试命令实现,也可以通过漏洞扫描、端口扫描网络窃听工具实现。

    1.常用信息采集命令

    • Ping命令:用于确定本地主机是否能与远程主机交换数据包,通过向目标主机发送ICMP(internet control message protocol,Internet控制报文协议)回应请求来测试目标的可达性。使用ping命令能够察看网络中有哪些主机接入Internet;测试目标主机的计算机名和IP地址;计算到达目标网络所经过的路由数;获得该网段的网络拓扑信息。
    • 推算数据包通过的路由器数:例如,返回TTL值为119,可以推算出TTL初值为128,源地址到目标地址要通过128-119=9个路由器。
    • host命令:host命令是Linux、Unix系统提供的有关Internet域名查询的命令。可以从域中的DNS(domain name server,域名服务器)服务器获得所在域内主机的相关资料,实现主机名到IP地址的映射,得知域中邮件服务器的信息。
    • Traceroute命令:Traceroute命令用于路由跟踪,判断从本地主机到目标主机经过哪些路由器、跳计数、响应时间等。Traceroute程序跟踪的路径是源主机到目的主机的一条路径,但是,不能保证或认为数据包总是遵循这个路径。
    • Nbtstat命令:nbtstat(NBT statistics,NBT统计信息,其中NBT为NetBIOS over TCP/IP)命令是Windows命令,用于查看当前基于网络基本输入输出系统NetBIOS(network basic input output system)的TCP/IP连接状态。通过该工具可以获得远程或本地机器的组名和机器名
    • Net命令:用于检验和核查计算机之间NetBIOS连接的net viewnet use两个命令可能被攻击者利用,来查看局域网内部情况和局域网内部的漏洞。
    • Finger命令:用来查询用户的信息,通常会显示系统中某个用户的用户名、主目录、闲滞时间、登录时间、登录shell等信息。
    • Whois命令:Whois命令是一种Internet的目录服务命令,它提供了在Internet上的一台主机或某个域所有者的信息,包括:管理员姓名、通信地址、电话号码、Email信息、Primary和Secondary域名服务器信息等。
    • Nslookup命令:在Internet中存在许多免费的nslookup服务器,它们提供域名到IP地址的映射服务和IP地址到域名的映射等有关网络信息的服务。通过nslookup攻击者可以在whois命令的基础上获得更多目标网络信息。

    2.漏洞扫描

    • 漏洞是指系统硬件操作系统软件网络协议数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。
    • 漏洞扫描程序是用来检测远程或本地主机安全漏洞的工具。
    • 针对扫描对象的不同,漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。
    • 计算机系统漏洞:Windows NT IIS 4.0的ISAPI DLL对输入的URL未做适当的边界检查,如果构造一个超长的URL,可以溢出IIS (inetinfo.exe)的缓冲区,执行我们指定的代码。由于inetinfo.exe是以local system身份启动,溢出后可以直接得到管理员权限。
    • 堆栈指纹扫描:不同操作系统在网络协议上存在差异,可以通过总结操作系统之间的这种差异,编写测试脚本,向目标系统的端口发送各种特殊的数据包,并根据系统对数据包回应的差别来判定目标系统及相关服务。这种利用TCP/IP协议识别不同操作系统和服务种类的技术称为堆栈指纹扫描技术。
    • 常用堆栈指纹扫描技术
      在这里插入图片描述
    1. ICMP错误消息抑制机制:在RFC1812关于IPv4路由的规定中,对ICMP的错误类型信息的发送频率作了限制,不同操作系统对这种限制的策略不同。攻击者可以向某个随机的高端UDP端口发送成批的数据包,并计算接收到的目标不可达数据包的数量,来判断操作系统类别。这种探测操作系统的方法需要的时间较长,并且对网络性能会造成一定的影响。
    2. ICMP错误消息引用机制:对于端口不可达信息,几乎所有操作系统都使用了规范的ICMP错误信息格式,即回送一个IP请求头加8字节长度的包,Solaris和Linux返回的数据包大于这个长度。据此可猜测目标主机是否使用Linux或Solaris操作系统。
    3. ICMP错误消息回文完整性:当返回端口不可达数据包时,某些操作系统在初始化处理过程中会弄乱返回数据包的包头,这样接收到的数据包中会出现不正常的数据。由于TTL值的改变导致校验和需要修改时,AIX、FreeBSD等操作系统将返回不正确的校验和或设置校验和为0。
    4. FIN探查:FIN探查不遵循完整的三次握手连接,而是直接向目标端口发送一个带有FIN标记的TCP数据包。根据RFC793中的TCP连接状态图(事件处理) :当处于关闭、监听、请求同步状态时,如果接收到FIN数据包,则丢弃该包并返回原状态。但MS Windows、BSDi、HP-UX、MVS、IRIX等操作系统并不遵守这个规定,而会使用RESET响应这个FIN数据包。据此,可粗略推断目标主机使用的操作系统类别。
    5. TCP ISN采样:TCP初始序列号ISN(initial sequence numbe)采样是利用TCP协议中初始序列号长度与特定的操作系统相匹配的方法。较早的Unix版本在处理TCP协议时,初始序列号长度为64K;Solaris、IRIX、FreeBSD、DigitalUnix、Cray等操作系统,则使用随机增长的长度;Windows操作系统的序列号长度使用依赖时间的模型,使ISN在每个时间周期递增一个小的固定数值;有一些设备则使用固定的常数,如3Com的集线器使用常数0x803H,Apple LaserWriter打印机使用常数0xc7001。有经验的攻击者甚至可以通过计算有关序列号的函数,来进一步识别操作系统类别。
    6. TCP初始窗口:TCP使用滑动窗口为两台主机间传送缓冲数据。每台主机支持两个滑动窗口,一个接收数据,另一个发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。通过在初始化三次握手后检查返回的TCP包窗口大小和改变大小的规律,可识别某些操作系统的类型。
    7. TCP选项: 并不是所有的操作系统都支持TCP包中的所有选项,可以设计TCP包内容和类型,探测目标操作系统类别。可以向目标主机发送带有可选项标记的数据包,如果操作系统支持这些选项,会在返回包中也设置这些标记。使用TCP选项方法,可以一次在数据包中设置多个可选项,增加探测的准确度,节约探测时间。
    8. MSS选项:根据RFC793有关TCP头格式的资料,MSS(maximum segment size最大数据段大小)规定了发送方可以接收的最大的TCP分片。但不同的操作系统的MSS值略有不同,绝大多数系统使用1460大小的MSS,NOVELL使用的是1368,而部分FreeBSD的版本使用512大小的MSS。
    9. IP协议包头不可分片位:IP协议包头内有一段3位的标志位,其中第一个控制位指定数据包是否被分片。根据RFC1191,当使用路径MTU(maximum transmission unit,最大传输单元)发现技术查询PMTU(path MTU),以确定传输路径上的最小MTU时,所有TCP数据包必须设置DF位(don’t fragment不可分片),但FreeBSD 5.0-CURRENT版本存在缺陷,在SYN-ACK包中没有设置DF位,攻击者可以通过连接服务器并截获网络通信数据判别是否是FreeBSD 5.0-CURRENT系统。
    10. 服务类型TOS:IP包头有8位服务类型字段,用来规定数据包的处理方式,其中包括3位的优先域(precedence field),用来指定IP数据包的8个优先级别;4位的服务类型域(type of service),用来描述网络在路由IP数据包时如何平衡吞吐率、延时、可靠性和代价;和MBZ(must be zero)域。当一个MBZ为1的ICMP请求数据包到达目标主机时,FreeBSD 4.1.1送回的应答数据包中MBZ为1,而Windows 2000 Pro送回的应答数据包中MBZ为0。

    3.端口扫描

    • 计算机的端口是输入/输出设备和CPU之间进行数据传输的通道。
    • 通过端口扫描,可以发现打开或正在监听的端口,一个打开的端口就是一个潜在的入侵通道。
    • 每一台计算机都有65536个端口可供使用。
    • 前1024个端口被作为系统处理的端口而保留 ,并向外界的请求提供众所周知的服务,所以这些端口被攻击者视为重点检查对象,以减少扫描范围,缩短扫描时间。
    1. TCP端口扫描:向目标主机的指定端口建立一个TCP全连接过程,即完成三次握手过程,从而确定目标端口是否已激活或正在监听。这是一种最基本的,也是最简单的扫描方式。但通常也会留下日志,易被发现
    2. TCP SYN扫描:向目标端口发送一个SYN数据包,如果应答是RST,说明端口是关闭的;如果应答中包含SYN和ACK,说明目标端口处于监听状态。使用SYN扫描并不完成三次握手过程,所以这种技术通常被称为半连接扫描。由于很少有站点会记录这种连接,所以SYN扫描也被称为半公开或秘密扫描
    3. TCP FIN扫描:对于一些操作系统,当FIN数据包到达一个关闭的端口时,会返回一个RST数据包;当端口开放时,这种数据包被忽略,不作任何应答,从而可以判断端口状态。防火墙和包过滤器会监视SYN数据包,而使用FIN数据包有时能够穿过防火墙和包过滤器,所以,这种方法较SYN扫描更为隐蔽
    4. NULL扫描:发送一个没有任何标志的TCP包到目标端口,称为NULL扫描。根据RFC 793中的连接状态图和规定,如果目标端口是关闭状态,应该返回一个RST数据包。
    5. Xmas tree扫描(圣诞树扫描):向目标端口发送一个标记为FIN、URG和PUSH数据包。根据RFC793,如果目端口是关闭状态,那么应该返回一个RST数据包。
    6. UDP扫描:按照UDP协议,当UDP数据包到达目标端口时,无论该端口是否开放,目标主机都不作任何应答,即打开的端口不会回送确认数据包、关闭的端口不会回送错误数据包。这给UDP扫描带来一定困难,但是,当数据包到达一个关闭的端口时,大部分主机会返回一个ICMP_PORT_UNREACH的错误信息数据包,据此可以判定该端口是关闭的,除此之外的其他端口是打开的。

    4.网络窃听

    在这里插入图片描述

    • 无线网络通信安全:无线网络通信相对于有线网络通信有更多的漏洞,由于无线网络固有的特点和无线网络技术本身的不成熟,如加密机制不完善缺乏数据保护安全认证机制,使得对于无线网络的探测更为简单。现有的工具,如:Network Associates公司的SnifferAirsnortWEPCrack等都可以用来实现对无线网络的网络监控和窃听。

    5.典型信息采集工具

    • nmap扫描器:nmap是当前最流行的扫描器之一,能够在全网络范围内实现ping扫描、端口扫描和操作系统检测。nmap使用操作系统堆栈指纹技术。nmap可以准确地扫描主流操作系统,还可以扫描路由器和拨号设备,还可以绕过防火墙。
    • Axcet NetRecon扫描器:能够发现、分析、报告网络的各种设备,检测它们存在的漏洞。能够扫描多种操作系统,包括Unix、Linux、Windows以及NetWare等。提供对服务器、防火墙、路由器、集线器、交换机、DNS服务器、网络打印机、Web服务器以及其他网络服务设备的测试。通过模拟入侵或攻击行为,找出并报告网络弱点,提出建议和修正措施。
    • ping Pro扫描器:以图形方式实现了大多数命令行程序功能,为网络扫描提供了方便。ping Pro可以侦查出网络上开启的端口,通过监测远程过程调用服务所使用的TCP、UDP135端口和网络会话所使用的UDP137、138和139端口来实现扫描。ping Pro只能工作在其所在网段上。
    • ISS Internet Scanner扫描器:ISS Internet Scanner可以跨网段扫描远程主机,可以检查出内部网、防火墙、Web服务器或某台主机所存在的漏洞和潜在的攻击威胁。ISS Ineternet Scanner工作于Unix和NT平台,分为三个模块:内部网、防火墙和Web服务器,可以针对不同的扫描对象制定不同的扫描方案,从而更直接的发现重要设备中潜在的隐患,在不同的模块中,用户还可以进一步定义自己的扫描参数。

    二 拒绝服务攻击

    • 拒绝服务DoS(denial of service)攻击是常用的一种攻击方式。DoS通过抢占目标主机系统资源使系统过载或崩溃,破坏和拒绝合法用户对网络、服务器等资源的访问,达到阻止合法用户使用系统的目的。
    • DoS属于破坏型攻击。*DoS对目标系统本身的破坏性并不是很大,但影响了正常的工作和生活秩序,间接损失严重,社会效应恶劣。

    1.基本的拒绝服务攻击

    • 当一个授权实体不能获得对网络资源的访问或当访问操作被严重推迟时,就称为DoS。DoS可能由网络部件的物理损坏引起,也可能由网络负荷超载所引起,还可能由不正确的使用网络协议而引起。DoS攻击有两种基本形式:目标资源匮乏型网络带宽消耗型
    • 目标资源匮乏型攻击又可分为服务过载消息流两种。
    • 服务过载指的是向目标主机的服务守护进程发送大量的服务,造成目标主机服务进程发生服务过载,拒绝向合法用户的正常使用要求提供应有的服务。
    • 消息流指攻击者向目标主机发送大量的畸形数据包,使得目标主机在重组数据包过程中发生错误,从而延缓目标主机的处理速度,阻止处理正常的事务,严重时可以造成目标主机死机。
    • 网络带宽消耗型攻击的目标是整个网络,攻击使目标网络中充斥着大量无用的、假的数据包,而使正常的数据包得不到正常的处理。
    • 拒绝服务攻击发生时的特点
    1. 消耗系统或网络资源,使系统过载或崩溃。
    2. 难以辨别真假。
    3. 使用不应存在的非法数据包来达到拒绝服务攻击的目的。
    4. 有大量的数据包来自相同的源。

    2.分布式拒绝服务攻击

    • 分布式拒绝服务DDoS(Distributed Denial of Service)攻击是一种基于DoS的特殊形式的拒绝服务攻击。是分布式的、协作的大规模攻击方式,较DoS具有更大的破坏性。
    • 分布式拒绝服务攻击的步骤:要构建DDoS攻击体系,集合众多的傀儡机进行协同工作,与入侵单台主机相比DDoS攻击要复杂得多。进行DDoS攻击的基本步骤如下:
      1. 搜集目标情况
      2. 占领傀儡机
      3. 实施攻击

    三 漏洞攻击

    • 由于应用软件和操作系统的复杂性和多样性,使得在网络信息系统的软件中存在着不易被发现的安全漏洞;现有网络技术本身存在着许多不安全性,如TCP/IP协议在设计初期并没有考虑安全性问题,其本身就有许多不完善之处。对于网络设计和管理人员而言,不合理的网络拓扑结构和不严谨的网络配置,都将不可避免的造成网络中的漏洞。对于一个复杂系统而言,漏洞的存在是不可避免的。

    1.配置漏洞攻击

    • 配置漏洞可分为系统配置漏洞网络结构配置漏洞
    • 系统配置漏洞多源于管理员的疏漏,如:共享文件配置漏洞、服务器参数配置漏洞等。
    • 网络结构配置漏洞多与网络拓扑结构有关,例如:将重要的服务设备与一般用户设备设置与同一网段,为攻击者提供了更多的可乘之机,埋下了安全隐患。
    1. 默认配置漏洞:操作系统和服务应用程序在安装时使用默认的设置,虽然方便了系统的安装过程,但默认参数实际上为攻击者留下了后门。如默认用户名和口令、默认端口和默认服务,通常都是首选的突破口和入侵点。默认的目录路径则为攻击者查找机要文件,放置后门程序提供了方便。
    2. 共享文件配置漏洞:大部分操作系统都提供了文件共享机制,方便网络资源的共享。但是共享配置不当就会暴露重要文件,攻击者能够轻易的获得机密资料。
    3. 匿名FTP:匿名FTP网络服务允许任何网络用户通过FTP访问服务器系统上指定的资源,但不适当的FTP配置,将会造成服务器系统非授权资源的泄漏。一般的匿名FTP的权限都是只读权限,即不允许匿名用户在服务器上创建文件和目录。否则,攻击者可很容易的放置木马程序,设置系统后门,为进一步的攻击提供便捷。
    4. wu-ftpd:作为FTP服务程序的wu-ftpd(Washington university FTP server daemon,华盛顿大学FTP服务器守护程序)中存在的漏洞,可以使攻击者由系统的任何账号获得root权限。

    2.协议漏洞攻击

    • Internet上现有的大部分协议在设计之初并没有考虑安全因素,使得攻击者可以利用协议固有的漏洞对目标进行攻击。操作系统在设计处理TCP/IP协议时,并没有预计到要处理非法数据包,当这种不应存在的特殊数据包出现时,许多系统会发生处理速度缓慢、停止响应和系统崩溃等不正常现象。
    1. SYN Flood攻击:SYN Flood攻击利用的是TCP协议的设计漏洞。假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的。在这种情况下服务器端会重试,再次发送SYN+ACK给客户端,并等待一段时间,判定无法建立连接后,丢弃这个未完成的连接。这段等待时间称为SYN中止时间(Timeout),一般为30秒–2分钟。如果攻击者大量模拟这种情况,服务器端为了维护非常大的半连接列表就会消耗非常多的资源。此时从正常客户的角度来看,服务器已经丧失了对正常访问的响应,这便是SYN Flood攻击的机理。
    2. 循环攻击(UDP flood攻击):循环攻击利用的是UDP协议漏洞。

    在这里插入图片描述

    1. Land攻击:Land攻击的特征是IP协议中IP源地址和目标地址相同。操作系统如Window NT不知道该如何处理这种情况,就可能造成死机。
      在这里插入图片描述

    2. Smurf攻击:IP协议规定主机号为全1的地址为该网段的广播地址,路由器会把这样的数据包广播给该网络上的所有主机。Smurf攻击利用了广播数据包,可以将一个数据包“放大”为多个。攻击者伪装某源地址向一个网络广播地址发送一组ICMP回应请求数据包,这些数据包被转发到目标子网的所有主机上。由于Smurf攻击发出的是ICMP回应请求,因此所有接收到该广播包的主机将向被伪装的源地址发回ICMP回应应答。攻击者通过几百个数据包就可以产生成千上万的数据包,这样不仅可以造成目标主机的拒绝服务,而且还会使目标子网的网络本身也遭到DoS攻击。

    3. WinNuke攻击:操作系统在设计处理TCP数据包时,都严格遵循了TCP状态机,但遇到不符合状态机的数据包时,若不知所措,就可能造成死机。WinNuke攻击首先发送一个设置了URG标志的TCP数据包,当操作系统接收到这样的数据包时,说明有紧急情况发生,并且,操作系统要求得到进一步的数据,以说明具体情况。此时,攻击者发送一个RST数据包,构造了TCP状态机中不会出现的数据包,若操作系统(如未打补丁的Windows NT)不能正确处理,就会死机,使连接异常终止,服务中断。

    4. Fraggle攻击:Fraggle攻击发送畸形UDP碎片,使得被攻击者在重组过程中发生未加预料的错误,导致系统崩溃。典型的Fraggle攻击使用的技术有:碎片偏移位的错乱强制发送超大数据包等。例如:一个长为40字节的数据在发送时被分为两段,包含第一段数据的数据包发送了数据036字节,包含第二段数据的数据包在正常情况下应该是3740的4个字节,但攻击者构造并指定第二个数据包中包含第二段数据且为数据的24–27字节来迷惑操作系统,导致系统崩溃。

    5. Ping to death攻击:根据有关IP协议规定的RFC791,占有16位的总长度控制字确定了IP包的总长度为65535字节,其中包括IP数据包的包头长度。Ping to death攻击发送超大尺寸的ICMP数据包,使得封装该ICMP数据包的IP数据包大于65535字节,目标主机无法重新组装这种数据包分片,可能造成缓冲区溢出、系统崩溃。

    3.程序漏洞攻击

    • 由于编写程序的复杂性和程序运行环境的不可预见性,使得程序难免存在漏洞。程序漏洞攻击成为攻击者非法获得目标主机控制权的主要手段
    1. 缓冲区溢出攻击的原理:缓冲区溢出攻击是利用系统、服务、应用程序中存在的漏洞,通过恶意填写内存区域,使内存区域溢出,导致应用程序、服务甚至系统崩溃,无法提供应有的服务来实现攻击目的。不检测边界是造成缓冲区溢出的主要原因。UNIX主要设计语言是C语言,而C语言缺乏边界检测,若不检查数组的越界访问,就会留下基于堆栈攻击的隐患。UNIX进程在内存中分为正文段、数据段和堆栈段。堆栈段用于为动态变量分配空间和临时保存函数调用的参数和返回地址。动态分配是UNIX程序采用的主要方法,但是,若动态变量从栈中分配空间时没有作边界检查,则可能发生缓冲区溢出,造成段越界。
    2. BIND漏洞攻击:运行在DNS服务器上的BIND(Berkeley internet name domain,Berkeley internet名字域)DNS服务器软件是最易遭受攻击的软件之一。BIND存在的脆弱性可以对系统造成根级的安全威胁。如BIND 8.2版本存在漏洞,攻击者伪装成DNS服务器,发送一个大的NXT记录(next,域中不存在的名字被标定为NXT类型),并在记录中包含攻击代码,使存在漏洞的DNS服务器缓冲区溢出,从而获得root权限。
    3. Finger漏洞攻击:Solaris自带的Finger服务器存在如下一些漏洞:当攻击者在向Finger服务器提交以数字做用户名的询问请求时,Finger服务器会把日志文件wtmp(wtmp一个用户每次登录和退出时间的记录)中所有的用户名返回给攻击者。当攻击者对服务器进行finger查询时,如果询问一个不存在的用户,服务器会返回一个带“.”的回答,这可能造成攻击者用暴力法判断系统上存在的用户。
    4. Sendmail漏洞攻击:在旧版本的sendmail中,为解决反向编码的问题,数据库中包含一个decode入口,这个UNIX程序可以将一个以纯文本编码的二进制文件,转化为原有的二进制的形式和名字。反向编码完全尊重被编码的文件,例如当一个名为bar.uu的文件声称其原始文件是/home/foo/.rhosts时,则反编码程序将试图转化bar.uu文件为foo下的.rhosts文件。一般情况下sendmail将undecode作为半特权用户后台程序运行,所以email发出的编码文件不会覆盖任何系统文件。但是,如果目标程序是全局可写的,那么编码程序允许远程用户修改这些文件,使攻击者可以放置木马,留下后门,达到攻击目的。
    展开全文
  • 网络安全技术复习资料

    千次阅读 2019-06-28 12:30:06
    网络安全的目标是在计算机网络的信息传输、存储与处理的整个过程中,提高 物理逻辑上 的防护、监控、反应恢复和 对抗 的能力。 SSL协议是在网络传输过程中,提供通信双方网络信息 保密性 和 可靠性 。 TCP/IP网络...
  • 无线网络安全技术复习重点

    千次阅读 2020-04-05 15:15:35
    无线网络安全技术复习要点 第一章 无线网络概述 1、无线网络技术是实现5W/6A梦想、移动计算和普适计算的核心技术。5W是指Whoever、 Whenever、Wherever、Whomever、Whatever,6A 是 Anyone、Anytime、Anywhere、 Any...
  • 计算机网络安全技术学习总结

    千次阅读 多人点赞 2020-11-23 15:22:51
    网络安全的 定义:网络系统中的软件硬件和系统储存和传输的数据不因偶然或者恶意的原因遭到破坏篡改泄露,网络系统连续可靠正常地运行,网络服务不中断。 属性:机密性,完整性,可用性,可控性,真实性(机密性,...
  • 网络安全技术(一)

    千次阅读 2015-08-24 09:18:48
    一,网络安全的基本概念  (1)网络安全的基本要素  1机密性  2完整性  3可用性  4可鉴别性  5不可抵赖性  (2)信息泄露与篡改  信息传输过过程可能存在的4种攻击类型  1截获  信息在传输过程中被非法截获...
  • 请问网络安全技术常见的软硬件平台及(开发、管理)工具有哪些,谢谢
  • 网络安全技术及应用复习材料

    千次阅读 2020-12-28 15:54:52
    网络安全面临的主要威胁 人为因素、系统和运行环境等。 常见的互联网服务安全包括 Web浏览器安全、文件传输(FTP)服务安全、E-mail服务安全、远程登录(Telnet)安全、DNS域名安全和设备的实体安全。 防火墙的局限性...
  • 网络安全技术(二)

    千次阅读 2015-08-25 07:35:58
    四,加密技术  (1)加密算法与解密算法  1基本流程  A发送消息“Passwordiswelcome”这样的报文给B,但不希望有第三个人知道这个报文的内容,因此他使用一定 的加密算法,将该报文转换为别人无法识别的密文,这个...
  • 回顾2019年,网络新技术新应用继续在网络安全领域大施拳脚,其中人工智能、区块链、量子信息技术网络安全的两面性影响随着技术的发展呈现出新的特点;第五代移动通信技术(5G)、物联网、边缘计算与雾计算等技术...
  • 网络安全基本理论知识点、实际设备 网络安全实验 出勤、作业、讨论、课堂练习 11次课的作业完成情况 偏实践和操作:60% 综合系统复习 理论考核:时间占三分之一(150分钟:理论就是50 操作100分钟 120分钟:理论40 ...
  • 常用网络安全命令

    千次阅读 多人点赞 2020-04-02 13:53:09
    常用网络安全命令 0. 首先打开cmd win+r 1. ipconfig命令 主要功能:显示本地主机IP地址、子网掩码、默认网关、MAC地址等 C:\> ipconfig/all 2.ping命令 主要功能:目标主机的可达性、名称、IP地址、路由...
  • 网络安全的定义 模型: 攻击手段: 攻击方式: 安全服务 安全机制 特定安全机制 普遍的安全机制 认识Internet上的严峻的安全形势并深入分析其根源 造成Internet安全问题的主要原因 1系统脆弱性 2自然灾害 3网络建造...
  • 在山东临沂银雀山出土的《孙膑兵法》上,有这样一段对话。齐威王曰:“地平卒齐,合而败北者,何也?”(翻译为:地形很好,士兵也很齐心,为什么打了败仗?...2007年以来,网络监听技术出现了新的重要特征。传
  • linux之网络安全技术

    千次阅读 2018-06-22 19:39:59
    网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 一、网络安全基本概念 信息安全防护的目标 保密性...
  • 网络信息安全常见数据加密技术

    千次阅读 2019-04-21 21:15:42
    网络安全基本概念 网络安全简介 随着因特网的发展,网络丰富的信息资源给用户带来了极大的方便,但同时也带来了安全问题。网络安全从本质上来将就是保证网络上的信息安全属性。信息安全是指信息系统的硬件、软件及其...
  • 网络安全技术(第4版)复习资料整理

    千次阅读 多人点赞 2018-06-28 11:17:58
    第一章:1、2017年6月1日,《网络安全法》开始实施。2、网络安全5大基本要素:保密性、完整性、可用性、可控性、不可否认性。3、计算机网络面临的威胁:(1)主动攻击:终端、篡改、伪造(2)被动攻击:截获、窃取。...
  • 三级网络技术之:网络安全技术

    千次阅读 2020-01-13 16:44:51
    1.常用的数据备份方式包括完全备份、增量备份和差异备份,三种方式在空间使用方面由多到少的顺序为 完全备份、差异备份、增量备份 。 完全备份:把所有需要的备份的文件和数据进行一次全面完整的备份,需要恢复数据...
  • 参考教材:网络安全技术及应用 第3版 主编贾铁军等 写此文是为了便于集中式 有重点 突击复习,可以打印出来,便于识记背诵。 第1章 网络安全基础填空题简答题论述题 填空题 网络安全的目标 是在计算机网络的 信息...
  • 物理层和网络层 B.网络层和系统层 C.传输层和应用层 D.物理层和数据层 (2)加密安全机制提供了数据的( )。 A.可靠性和安全性 B.保密性和可控性 C.完整性和安全性 D.保密性和完整性 (3)抗抵赖性服务对证明信息的...
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将...
  • 常见网络安全协议

    万次阅读 2019-09-25 20:38:04
    常见网络安全协议 网络认证协议Kerberos Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机...
  • 网络安全与加密技术

    千次阅读 2018-01-25 11:18:41
    一、数据存储和传输存在的风险   二 、常见的加密算法  1. base64 ...也是MIME(多用途互联网邮件扩展,主要用作电子邮件标准)中一种可打印字符表示二进制数据的常见编码方法!它其实只是定
  • 网络安全风险评估关键技术讨论

    千次阅读 2018-02-01 19:17:55
    前言 文章来自 科技与创新 2016年18期 作者:波涛 摘要网络的出现对人们的生活和工作来带了巨大的影响,进入21世纪后,人类社会全面进入网络...对网络安全风险评估关键技术进行了探讨,以期为相关工作提供一定的参
  • 常见网络安全设备

    千次阅读 2020-04-03 16:28:30
    Web应用防火墙(WAF) 为什么需要WAF? WAF(web application firewall)的出现是由于传统防火墙无法对...WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP访问的Web程序保护...
  • 网络安全技术(双语)》 第一章 网络安全的本质 Network Security Essentials 1.Terminology 术语 2.Key Security Concepts/关键的安全概念 3.Computer Security Challenges 4.OSI Security Architecture/OSI...
  • 网络安全技术:网络隔离

    千次阅读 2004-11-08 16:37:00
    北京盖特佳信息安全技术公司技术总监 王献冰 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——“网络隔离技术”应运而生。 网络隔离技术的目标是确保把有害的...
  • 为了方便大家观看,我每章都不会很长,因为太长了容易看不下去,我本人耐性就比较差...公钥基础设施( PKI )是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。 基础机制: 公开密钥机

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 316,431
精华内容 126,572
关键字:

常见的网络安全技术