网络安全与防护1.docVIP

1.保护数据在网上传输的基本方法：机密性保护法；完整性保护法；为源认证提供保护；合理选用机密算法。 2.隧道技术的应用：（1）连接不同网络层协议的网络：对某些网络层协议的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议的网络中传输。（2）通过公共网络连接两个私有的IP网络，同时用隧道技术可以进行利加密封装处理。 3.分析对比对称加密与非对称加密算法：关于对称密码技术和非对称密码技术的讨论表明:前者具有加密速度快\运行时占用资源少等特点；后者可以用于密钥交换，密钥管理安全，一般来说，并不直接使用非对称加密算法加密明文，而仅用它保护实际加密明文的对称密钥，即所谓的数字信封技术。 4.VPN技术介绍： VPN（虚拟专用网络）可以实现不同网络之间的组件和资源之间的相互连接。 5.VPN技术优势（1）安全性 VPN利用隧道技术对原有协议进行重新封装，并提供加密、数据验证、用户验证等一系列安全防护措施，保证了数据通过不安全的公共网络得到安全的传输。（2）经济性 与专线技术相比，VPN技术降低费用，在原有网络连接的条件下提供了比专线技术更安全的数据保护机制。（3）扩展性 与专线技术相比，VPN技术通过在用户端的配置，就可以进行灵活的扩展，不需要新的申请或投入。 6.常见网络攻击手段原理分析及防御措施 ： （1）拒绝服务攻击。（2）利用型攻击。（3）信息收集型攻击.(4)假消息攻击。 7.防火墙的基本介绍： 网络中的防火墙是安放于两个不同信任级别的网络之间的一个策略检查站，一般防火墙安放于企业内部网络和外部网络之间，用以实施事先制定好的检查策略与安全防护动作。一般防火墙是由软件和硬件组成的，并能对所有进出网络的通信数据流按规定策略进行检查、放行和拦截。一般认为防火墙是穿不透的，但是由于其自身的漏洞或缺陷也是可能被攻击的。 8.利用SDM配置站点到站点的VPN： （1）安装java运行环境；（2）利用SDM配置路由器的要求。（3）利用SDM软件连接路由器。（4）对路由器的预配置。（5）利用SDM配置路由器的VPN功能。 9.防火墙的分类 （1）从软硬件体系结构上分类。 一类是基于设备的防火墙，另一类是基于服务器的防火墙。（2）从技术上分类。 除包过滤技术被认为是网络层防火墙外，其他都可以认为是应用层防火墙技术。 10.防火墙的NAT技术即为网络地址转换技术 11.防火墙的体系结构相关概念 （1）堡垒主机：对外部网络暴露，同时也是内部网络用户的主要连接点。 （2）双宿主主机：至少有两个网络接口的通用计算机系统。 DMZ：在内部网络和外部网络之间增加的一个子网。 12.VPN的应用分类：（1）远程接入VPN。（2）intranet VPN应用模式。（3）Extranet应用模式。 13.防火墙几种典型配置方案。（1）筛选路由器方案。（2）屏蔽主机的单宿主堡垒主机（3）屏蔽主机的双宿主堡垒主机方案。（4）屏蔽子网方案。 14.目前市场上可见的硬件防火墙产品不下百余种，Cisco（思科）、H3C（华三通信）、Juniper、天融信（TOPSEC）、联想网御、华为赛门铁克（华赛）、启明星辰、CHECKPPINT、瑞星（RISING）、安氏领信、紫光（UNIS）、东方龙马（OLM）等。 15.硬件防火墙产品的选择（1）硬件防火墙自身的安全性。（2）硬件防火墙的数据处理性能。（3）硬件防火墙的易配置性与管理性。（4）产品的售后及相应服务。（5）防火墙的其他功能。 SSL是由Netscape公司开发的一套internet数据安全协议。 16.常见信息安全相关标准。（1）美国可信计算机安全评价标准(TCSEC)。（2）欧洲(ITSEC)。（3）加拿大(CTCPEC)。（4）联合公共准则(CC)。（5）美国联邦准则(FC)。（6）ISO安全体系结构标准：ISO 7498-2和ISO 17799。（7）中华人民共和国国家标准 GB 17895-1999《计算机信息系统安全保护等级划分准则》……. 17.IDS入侵检测系统 一般放置在网络中的关键点采用旁路侦听模式对网络中的流量进行采集、分析和判断，对已发生的入侵或攻击行为进行采取发现、报警和日志功能。防火墙并非万能的、无懈可击的，也存在漏洞，当入侵或攻击行为已经发生时需要IDS系统来发现这些行为报警或日志 18.IPS入侵防御系统 一般放置在防火墙和网络之间，采用在线模式，如果检测到攻击，就可以对攻击采取适时行动的入侵防御系统。IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。 19.入侵检测系统包括三个功能部件：信息收集、信息分析和结果处理。 20.IDS的分类（1）按照数据来源分类可分为主机型和网络型。（2）按系统各模块的运行方式可分为集中式和分布式。（3）按分析方法可分为异常