软件水平考试网络工程师学习笔记：网络安全

　　第七章 网络安全

　　一、威胁定义为对缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。

　　二、传统密码系统又单钥密码系统又对称密码系统：加密解密所用的密钥是相同的或类似的，即由加密密码很容易推导出解密密码，反之亦然。常用的有DES数据加密标准，密钥为56位;后有改进型的IDEA国际数据加密算法，密钥为128位。

　　公钥密码系统又非对称密码系统：加密密钥和解密密钥是本质上不同的，不需要分发密钥的额外信道。有RSA密码系统，它可以实现加密和数字签名，它的一个比较知名的应用是SSL安全套接字(传输层协议)。

　　三、对照ISO/OSI参考模型各个层中的网络安全服务，在物理层可以采用防窃听技术加强通信线路的安全;在数据链路层，可以采用通信保密机进行链路加密;在网络层可以采用防火墙技术来处理信息内外网络边界到进程间的加密，最常见的传输层安全技术有SSL;为了将低层安全服务进行抽象和屏弊，最有效的一类做法是可以在传输层和应用层之间建立中间件层可实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供身份认证、访问控制和数据加密。

　　防火墙技术一般可以分为两类：网络级防火墙(采用报文动态分组)和应用级防火墙(采用代理服务机制)，而后者又包括双穴主机网关、屏蔽主机网关、屏蔽子网网关。

　　防火墙定义：(1)所有的从外部到内部或从内部到外部的通信都必须经过它;(2)只有有内部访问策略的通信才能被允许通过;(3)系统本身具有很强的高可靠性。

　　防火墙基本组成：安全操作系统、过滤器、网关、域名服务、函件处理。

　　防火墙设计的主要技术：数据包过滤技术、代理服务技术。

　　IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH、封装安全载荷协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

　　四、病毒生存期的四个阶段：潜伏阶段、繁殖阶段、触发阶段、执行阶段。

　　病毒的类型有：寄生病毒、存储器驻留病毒、引导区病毒、隐形病毒、多形病毒。

　　反病毒方法：检测、标识、清除。

　　五、VPN虚拟专用网-是在Internet中通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道(通道)来构建供企业专用的虚拟网。按服务类型分为Intranet VPN企业内部虚拟网、Access VPN远程访问虚拟网和Extranet VPN扩展的企业内部虚拟专网。

　　VPN的安全技术有：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。隧道协议可分为第二层隧道协议PPTP、L2F、L2TP和第三层协议GRE、IPSec。

　　IPSec的VPN基于网络第二层，它只是打开了从分支到总部的通路，对于里面数据的安全性能没有办法保证，没有什么好的办法加强VPN的安全性，和传统的IPSec VPN相比，SSL VPN最突出的特点在于两个地方：提升安全性、简单实现性。SSL VPN最大的优势在于SSL功能已经内嵌到浏览器里面去了;而IPSec VPN则需要在客户端安装相关软件，且软件对于OS有要求。

第八章 网络操作系统

　　网络操作系统的功能：(1)网络通信(2)共享资源管理(3)网络管理(4)网络服务(5)互操作(6)提供网络接口。

　　网络操作系统的安全性：用户帐号安全性、时间限制、站点限制、磁盘空间限制、传输介质的安全性、加密、审计。