网络Tips20-007

1. 网络威胁会导致非授权访问、信息泄露、数据被破坏等网络安全事件发生，

其常见的网络威胁包括窃听、拒绝服务、病毒、木马、( 数据完整性破坏 )等，

常见的网络安全防范措施包括访问控制、审计、身份认证、数字签名、( 数据加密 )、 包过滤和检测等。

1. AES的基本要求是，采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。不包含64位！ 

aes一般指高级加密标准。 密码学中的高级加密标准（Advanced Encryption Standard，AES）

所谓常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制。

这种加密系统又称为对称密钥系统。适合直接对大量明文直接加密，效率比公钥加密高。

适合对大量的原文消息进行加密传输的是RC5

对称加密:主要特点是加密和解密使用同一个密钥。

常用的对称加密算法:DES、3DES、Blowfish、IDEA、RC4、RC5、RC6 和 AES。

1. 数字认证的哈希算法MD5, SHA-1，SHA-2(SHA-256，SHA-512)

SHA-1是一种将不同长度的输入信息转换成（ 160 ）位固定长度摘要的算法。

MD5是报文摘要算法，任意长度的输入会产生固定128位长度的输出

1. 某Web网站向CA申请了数字证书。用户登录该网站时，通过验证（CA的签名） ，可确认该数字证书的有效性，从而（验证该网站的真伪）。

数字证书是对用户公钥的认证，确保公钥可信任性，采用CA的私钥进行了签名，数字证书中包含有用户的公钥；

如果甲乙用户需要互相信任，则可以相互交换数字证书。

用户不能自行修改证书中的内容，也无需加密保存。

数字证书能够验证一个实体身份，而这是在保证数字证书本身有效性这一前提下才能够实现的。

验证数字证书的有效性是通过验证颁发证书的CA的签名实现的。

数字证书的基本架构是公开密钥PKI，即利用一对密钥实施加密和解密。

其中密钥包括私钥和公钥，私钥主要用于签名和解密，由用户自定义，只有用户自己知道；

公钥用于签名验证和加密，可被多个用户共享。

数字证书的作用

‌验证用户身份‌：数字证书通过CA的签名和验证，确保公钥的合法性和真实性，从而验证用户的身份‌

‌加密通信‌：数字证书包含公钥，用于加密通信，确保数据在传输过程中的安全性和完整性‌

‌防止中间人攻击‌：通过验证数字证书的有效性，可以防止中间人攻击和窃听，保护敏感数据不被未授权访问‌

公钥和私钥的应用场景

‌加密和解密‌：公钥用于加密信息，私钥用于解密信息。这种非对称加密机制确保只有持有私钥的用户才能解密信息，保护了通信的安全性‌

‌数字签名‌：私钥用于对发送的数据进行签名，公钥用于验证签名的真实性。这确保了数据的完整性和来源的合法性‌

1. SSL安全套接层协议，实现安全传输。与HTTP结合，形成HTTPS协议，默认端口号为443。

与HTTP相比, HTTPS 协议将传输的内容进行加密，更加安全。 HTTPS 基于（SSL）安全协议，其默认端口是（ 443 ）。

传输层安全性协议TLS及其前身安全套接层SSL是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。

（TLS ）是替代SSL协议的一种安全协议。

1. PGP 不是一种完全的非对称加密体系，它是个混合加密算法，

它是由一个对称加密算法 （IDEA）、一个非对称加密算法（RSA）、 一个单向散列算法（MD5）组成。其中MD5验证报文完整性。

PGP是一种用于电子邮件加密的工具，可提供数据加密和数字签名服务，使用（ IDEA）进行数据加密，使用（ MD5 ）进行数据完整性验证。

1. 国密即国家密码局认定的国产密码算法，即商用密码。

SM1，对称加密算法，加密强度为128位，采用硬件实现。

SM2，国家密码管理局公布的公钥算法，其加密强度为256位。

SM3，密码杂凑算法，杂凑值长度为32字节，和SM2算法同期公布。

SM4，对称加密算法，随WAPI标准一起公布，可使用软件实现，加密强度为128位

在我国商用密码算法体系中，（ SM3）属于摘要算法。

1. 状态检测防火墙只对没有命中会话的首包进行安全策略检查，后续将根据session列表进行访问控制。

1. Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。

攻击者通过发送ICMP应答请求，并将请求包的目的地址设为受害网络的广播地址，以实现攻击目的。那么这种行为属于：Smurf攻击

1. 包过滤防火墙的基本原理是：通过配置ACL实施数据包的过滤。

实施过滤主要是基于数据包中的IP层所承载的上层协议的协议号、源/目的IP地址、源/目的端口号和报文传递的方向等信息，无法针对应用层报文检查。

包过滤应用在防火墙中，对需要转发的数据包，先获取数据包的包头信息，然后和设定的ACL规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。

1. 入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉。

他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

对于收集到的有关系统、网络、数据及用户活动的状态和行为等信息，

一般通过三种技术手段进行分析：模式匹配，统计分析（系统分析）和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

不包括密文分析！！！

1. 防火墙不具备（ 查毒 ）功能。

 A.包过滤

 B.查毒

 C.记录访问过程

 D.代理

防火墙主要有以下几方面功能：

1. 创建一个检查点

防火墙在一个公司内部网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤和检查所有进来和出去的流量。

2. 隔离不同网络，防止内部信息的外泄

这是防火墙的最基本功能，它通过隔离内、外部网络来确保内部网络的安全。也限制了局部重点或敏感网络安全问题对全局网络造成的影响。

3. 强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更方便，更能有效地对网络安全性能起到加强作用。

4. 有效地审计和记录内、外部网络上的活动

防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。

1. 计算机网络上的通信面临以下四种威胁：

       （1）截获：攻击者从网络上窃听他人的通信内容。

       （2）中断：攻击者有意中断他人在网络上的通信。

       （3）篡改：攻击者故意篡改网络中传送的报文。

       （4）伪造：攻击者伪造信息在网络上的传送。

       以上的四种威胁可以划分为两大类，即被动攻击和主动攻击。

在上述情况中，截获信息的攻击属于被动攻击，而中断、篡改和伪造信息的攻击称为主动攻击

流量分析是属于被动攻击。

1. VPN实现安全保证的主要措施之一是对发送的数据帧的载荷部分加密。

L2TP与PPTP是VPN的两种代表性协议，都封装PPP帧，但PPTP只适于IP网，L2TP既适于IP网，也适于非IP网。

通常使用（IPSec ）为IP数据报文进行加密。

IPSec不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构。

该体系结构包括认证头协议AH、封装安全负载协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。

IPSec规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换，向上提供了数据源认证、数据加密、数据完整性等网络安全服务。

HTTPS是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。

HTTPS 是HTTP和SSL协议的结合，由SSL协议提供安全支持，在传输层采用TCP 443号端口。

安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。

1. 网络版防病毒系统是在网络的入口对数据进行查毒，部署在网络的出口不能体现出其功能

1. 某企业打算采用IPSec协议构建VPN，由于企业申请的全球IP地址不够，企业内部网决定使用本地IP地址，这时在内外网间的路由器上应该采用（ NAT技术 ）技术，IPSec协议应该采用（隧道模式  ）模式。

VPN的目标是在不安全的公共网络上建立一个安全的专用通信网络，通常采用加密和认证技术，利用公共通信网络设施的一部分来发送专用信息，为相互通信的结点建立起一个相对封闭的、逻辑上的专用网络。

构建VPN需要采用“隧道”技术，建立点对点的连接，使数据包在公共网络上的专用隧道内传输。

在IPSec中有两种工作模式：传输模式和隧道模式。这两种模式的区别非常直观--它们保护的对象不同，传输模型保护的是IP载荷，而隧道模式保护的是整个IP包。

由于企业内部使用了私有IP地址，必须通过NAT转换为公网地址才能与外界通信。

同时由于搭建VPN，IPSec应该工作在隧道模式才能建立起VPN所需隧道。

当IPSEC和NAPT并存于一个乙地防火墙上，IPSEC处理是分部和总部之间的流量，NAPT处理的是分部访问Internet的流量。

总部防火墙同时配置了IPSEC和NAT SERVER，IPSEC处理总部和分部之间的流量，NAT SERVER处理的是因特网访问总舵服务器的流量。

按理说两台防火墙IPSEC流量和NAT流量应该是互不相干，其实在本例中IPSEC和NAT的处理是有重叠的，

在防火墙转发流程中，NAT在上游环节，IPSEC在下游环节。

所以IPSEC的流量难免会受到NAT处理流程的干扰，原本应该进入IPSEC隧道的流量一旦命中NAT策略就会进行NAT转换，

转换后的流量不会再匹配IPSEC中的ACL了，也就不会进行IPSEC处理。所以处理不好IPSEC和NAT的关系就会出现莫名其妙的问题。

例如分部访问总部不成功，总部访问分部不成功。

解决方案：需要在NAT策略中配置一条针对IPSEC流量不进行地址转换的策略，该策略的优先级高于其他的策略。

B选项的虚拟路由是指对于B的访问需要指向VPN隧道。

IPSEC VPN

IPSec（Internet Protocol Security）作为一种开放标准的安全框架结构，可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

LAN2LAN IPSEC VPN

基本的模式：隧道模式，传输模式

IPSec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange）协议套件组成。

AH协议：主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而，AH并不加密所保护的数据报。

ESP协议：提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。

IKE协议：用于自动协商AH和ESP所使用的密码算法，提供密钥。

1. 一次性密钥、序列号和时间戳都是对付重放攻击的有效手段，Kerberos系统采用一次性密钥和时间戳来防止重放攻击。

1. IDS的基本原理是通过分析网络行为（访问方式、访问量、与历史访问规律的差异等）判断网络是否被攻击及何种攻击。这种分析并不能知道用户的各种突发性和变化的需求，因此很容易出现误判，并且对网络内部的误操作不能准确判断

1. 网桥刚刚连接到以太网时，其转发表是空的。这时若网桥收到一个帧，它将怎样处理呢？

网桥就按照以下自学习（self-learning）算法处理收到的帧（这样就逐步建立起转发表），

并且按照转发表把帧转发出去。这种自学习算法的原理并不复杂，

因为：若从某个站A发出的帧从接口x进入了某网桥，那么从这个接口出发沿相反方向一定可以把一个帧传送到A。所以网桥只要每收到一个帧，就记下其源地址和进入网桥的接口，作为转发表中的一个项目。

交换机接收到数据帧后，如果没有相应的表项，那么交换机将会广播发送这个帧，所有的端口都会收到（包括目的主机），

然后交换机会记录下这个帧进入的端口和源MAC，建立对应关系，下次如果有帧发送给这个源MAC，直接就从自己的接口传送出去。

1. 100BASE-T4采用8B/6T的编码技术，使用4对3类非屏蔽双绞线UTP-3，最大传送距离是100米。

1. 虚拟局域网（Virtual Local Area Network，VLAN）是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。

VLAN分为两种，静态VLAN和动态VLAN。

静态VLAN基于端口，而动态VLAN可以基于MAC、网络协议、IP组播、策略、用户定义。

动态VLAN不包含端口！

1. 以太网帧长度最大为：1518B。

VLAN帧会在源MAC地址后增加4B的标记字段，长度范围最大为1522B，最小64B

其中4字节标记字段包括：

（1）类型TPID，叫做标记协议ID值。占16位，对于以太网，设置为十六进制0x8100。

（2）标记控制信息TCI：标签控制信息字段、包括用户优先级Priority，规范格式指示器CFI、VID。

（3）Priority定义数据帧的优先级。

（4）规范格式标识符CFI：指出MAC地址为以太网还是令牌环格式。在以太网交换机中，规范格式指示器总是设置为0。

（5）VLAN ID：12位，VLAN标识符(VID)，指出帧的源VLAN。一共支持4096个VLAN。

1. GARP消息发送的时间间隔是通过定时器来实现的，GARP定义了四种定时器，用于控制GARP消息的发送周期：

1、Hold定时器：当GARP应用实体接收到其它设备发送的注册信息时，不会立即将该注册信息作为一条Join消息对外发送，

而是启动Hold定时器，当该定时器超时后，GARP应用实体将此时段内收到的所有注册信息放在同一个Join消息中向外发送，

从而节省带宽资源。

2、Join定时器：GARP应用实体可以通过将每个Join消息向外发送两次来保证消息的可靠传输，在第一次发送的Join消息没有得到回复的时候，GARP应用实体会第二次发送Join消息。两次Join消息发送之间的时间间隔用Join定时器来控制。

3、Leave定时器：当一个GARP应用实体希望注销某属性信息时，将对外发送Leave消息，接收到该消息的GARP应用实体启动Leave定时器，如果在该定时器超时之前没有收到Join消息，则注销该属性信息。

4、LeaveAll定时器：每个GARP应用实体启动后，将同时启动LeaveAll定时器，当该定时器超时后，GARP应用实体将对外发送LeaveAll消息，以使其它GARP应用实体重新注册本实体上所有的属性信息。随后再启动LeaveAll定时器，开始新的一轮循环。

四个定时器设置的时间长度关系为：LeaveAll定时器 > Leave定时器 >  2 x Join定时器 >= 4 x Hold定时器

GVRP定义的四种定时器中缺省值最小的是（ Hold定时器 ）。

1. 万兆以太网正式标准于2002年完成，主要特点是：

（1）帧格式与之前的Ethernet（10Mbps、100Mbps、1Gbps）完全相同；

（2）保留了802.3标准对以太网最小帧长度和最大帧长度的规定；

（3）传输介质只使用光纤；

（4）只工作在全双工方式。