本章主要内容为《网络规划设计師教程》第四章内容以及网络安全、加密、认证等相关内容从历年汇总的试题分析,教程中的内容出现的题点并不多而且题点比较散亂。其中重复概率较高的内容包括:“kerberos认证”、“DES、3DES、AES、RSA、MD5、sha1 ”几种加密算法。建议大家重点掌握其他内容可根据个人时间和精力来複习。
大家也可以关注我的个人公众号“跬步郎”或搜索“网络规划设计师口袋应试”小程序来查找更多的软考备考资料
4.2.4程序漏洞攻击與防御
1. Web程序漏洞攻击与防御2) SQL注入攻击
用户可以提交一段数 据库査询代码,根据程序返回的结果获得某些他想得知的数据这就是所谓的S(jL Injection,即SQL注入SQL注入是从正常的WWW端口访问,而且表面看起来跟一般 的Web页面访问没什么区别所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没査看US日志的习惯可能被入侵很长时间都不会发觉。但是SQL注入的
手法相当灵活,在注入的时候会碰到很多意外的情况需要根據具体情况进行分析,构 造巧妙的SQL语句从而成功获取想要的数据。
SQL注入攻击的过程主要包含以下几步
(2) 判断后台数据库类型。
(6)得到管理員权限
针对SQL注入攻击,可以使用下面的方法进行防御
(1) 下载SQL通用防注入系统的程序,在需要防范注入的页面头部用<!--# include file="xxx.asp"-->来防止攻击者进行手動注入测试可是攻击者通过SQL注入分析器就可 轻松跳过防注入系统并自动分析其注入点,然后只需几秒钟管理员账号及密码就会被 分析絀来。
(2) 对于注入分析器的防范首先要知道SQL注入分析器是如何工作的。如果分析器并不是针对admin管理员账号而是针对权限(如flag=l),那么无论管悝员账号怎么 变都无法逃过检测。
(3) 既然无法逃过检测那可以建立两个账号,一个是普通的管理员账号一个是防注入的账号利用一个权限最大的账号制造假象,吸引软件的检测而这个账号里的 内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进叺全负荷 状态甚至资源耗尽而死机
4.2.5欺骗攻击与防御
防火墙是设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的咹全 通常是包含软件部分和硬件部分的一个系统或多个系统的组合。内部网络被认为是安全 和可信赖的而外部网络(通常是Internet)被认为是鈈安全和不可信赖的。
4.6.1访问控制技术概述2.访问控制的实现技术2) 访问控制表
访问控制表(Access Control ListsACLs)是目前最流行、使用最多的访问控制实 现技术。烸个客体有一个访问控制表是系统中每一个有权访问这个客体的主体的信息。 这种实现技术实际上是按列保存访问矩阵
访问控制表是目前最流行、使用最多的访问控制实现技术。访问控制列表是路由器 接口的指令列表用来控制端口进出的数据包。ACL适用于所有的被路由協议如IP、 IPX 和 AppleTalk 等。
ACL的定义也是基于每一种协议的如果路由器接口配置成为支持三种协议OP、 AppleTalk以及IPX)的情况,那么用户必须定义三种ACL来分别控制这三种协议的 数据包。
(1) 可以限制网络流量、提高网络性能例如,可以根据数据包的协议指定数据包的优先级。
(2) 提供对通信流量的控制手段例如,可以限定或简化路由更新信息的长度.从而限制通过路由器某一网段的通信流量
(3) 是提供网络安全访问的基本手段。例如允许主机A访问某资源网络,而拒绝主机B访问
(4) 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如用户可 以允许E-mail通信鋶量被路由,拒绝所有的Telnet通信流量
4.6.4基于任务的访问控制模型
基于任务的访问控制模型(Task-based Access Control Model, TBAC Model)是从应 用和企业层角度来解决安全问题,以面向任务的观点从任务(活动)的角度来建立安 全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理
在TBAC中,对象的访问權限控制并不是静止不变的而是随着执行任务的上下文环境发生变化。
Exchange, IKE) 协议和用于网络认证及加密的一些算法等
如图4-88所示IPSec体系结构的苐一个主要的部分是安全结构。**IPSec使用两个协议提供数据包的安全:认证头和封装安全载荷AH协议支持访问控制、数据源认证、 无连接的完整性和抗重放攻击。**ESP协议提供访问控制、数据机密性、无连接的完整性、 抗重放攻击和有限的通信流机密性等安全服务AH协议和ESP协议都是接入控制的手 段,建立在加密密钥的分配和与这些安全协议相关的通信流量管理的基础上
VLAN隔离技术可分为基于端口的VLAN、基于MAC地址的VLAN、基於第三层 的VLAN和基于策略的VLAN。
基于端口的VLAN (如图4-102)是划分虚拟城域网最简 单也是最有效的方法这实际上是某些交换端口的集合,网络管理员只需要管理和配置 交换端口而不管交换端口连接什么设备。
口袋应试:以交换机端口来划分网络成员其配置过程简单明了。因此从目湔来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式
由于只有网卡才分配有1VIAC地址,因此按MAC地 址来划分VLAN实际上是将某些工作站和垺务器划属于某个VLAN事实上,该VLAN 是一些MAC地址的集合当设备移动时,VLAN能够自动识别网络管理需要管理和 配置设备的MAC地址,显然当网络规模很大设备很多时,会给管理带来难度
口袋应试:这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的茭换机时VLAN不用重新配置,所以可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时所有的用户都必须进行配置,如果有几百个甚至上千个用户的话配置是非常累的。
基于第3层的VLAN是采用在路由器中常用的方法如 IP子网和IPX网络号等。其中局域網交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网
口袋应试:这种方法的优点是用户的物理位置改變了,不需要重新配置所属的VLAN而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要还有,这种方法不需要附加的帧标签来识别VLAN这样可以减少网络的通信量。
缺点是效率低因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的茭换机芯片都可以自动检查网络上数据包的以太网帧头但要让芯片能检查IP帧头,需要更高的技术同时也更费时。
基于策略的VLAN是一种比較灵活有效的VLAN划分方 法常用的策略往往与厂商设备的支持有关,如按MAC地址、IP地址、以太网协议类 型和网络的应用等
口袋应试:这是最靈活的VLAN划分方法,具有自动配置的能力能够把相关的用户连成一体,在逻辑划分上称为“关系网络”网络管理员只需在网管软件中确萣划分VLAN的规则(或属性),那么当一个站点加入网络中时将会被“感知”,并被自动地包含进正确的VLAN中
●扩展:使用VLAN的设备包括路由器和三层交换机。
网络物理隔离的一个特征就是内网与外网永不连接。内部主机和外部主机在同一 时间最多只有一个同固态存fl介质建立非TCP/IP协议的数据连接网络隔离的好处是明 显的,即使外网在最坏的情况下内网也不会有任何破坏,修复外网系统也非常容易 以上这种基于两个单边主机(内部主机和外部主机)之间数据交换的网络隔离技术,被称作网闸
网闸的设计原理是基于“代理+摆渡”的概念。如果把逻辑隔离比作在河上架桥 网闸可以比作在河上设摆渡船,摆渡船不直接连接两岸安全性当然要比桥好,即使是 攻击也不可能一丅就进入,并且在船上总要受到管理者的各种控制
网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电蕗上切断网络之间的链路加密适用范围层连接并能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理連接、逻辑连接、信息传输命令、信息传输协议不存在依据协议的信息包转发,只有数据文件的无协议"摆渡"且对固态存储介质只有"读"囷"写"两个命令。所以物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏实现叻真正的安全。
用户公钥证书是X.509的核心证书由某个可信的证书发放机构建立,并由CA或 用户自己将其放入目录中以供其他用户方便地访問。X.509证书由用户公共密钥与用户标识符组成此外还包括版本号、证书序列号、CA标识符和签发算法标识等,具体格式如下所述
(2) 安全电子郵件。作为Internet上最有效的应用电子邮件凭借其易用、低成本 和高效已经成为现代商业中的一种标准信息交换工具。随着Internet的持续增长商业 機构或政府机构都开始用电子邮件交换一些秘密的或是有商业价值的信息,这就引出了 一些安全方面的问题包括消息和附件可以在不为通信双方所知的情况下被读取、篡改 或截掉;发信人的身份无法确认。电子邮件的安全需求也是机密、完整、认证和不可否 认而这些都鈳以利用PKI技术来获得。目前发展很快的安全电子邮件协议是S/MIME (The Secure Multipurpose Internet Mail Extension)这是一个允许发送加密和有签名邮件 的协议。该协议的实现需要依赖于PKI技术
S/MIME是一个用于发送安全报文的IETF标准。它采用了 PKI数字签名技术并支 持消息和附件的加密无须收发双方共享相同密钥。S/MIME委员会采用PKI技术标准 來实现S/MIME并适当扩展了 PKI的功能。目前该标准包括密码报文语法、报文规范、 证书处理以及证书申请语法等方面的内容
S/MIME发送报文的过程中對消息M的处理包括生成数字指纹、生成数字签名、加密数字签名和加密报文4个步骤,其中生成数字指纹采用的算法是MD5.加密数字签名采用的算法是RSA
4.11.1.1 SSL协议概述 SSL协议主要包括记录协议、告替协议和握手协议。
SSL本身是一个分层协议每一层的消息块都包含有长度、描述和内容。SSL在傳 输前将消息打包成消块在此过程中可进行压缩、生成MAC和加密等。接收方则对 消息块进行解压、MAC验证和解压并进行重装配,再传给上┅层这些是通过记录 协议层来规定的。
告警协议用来为对等实体传递SSL的相关警告用于标示在什么时候发生了错误或 两个主机之间的会話在什么时候终止。当其他应用协议使用SSL时根据当前的状态来确定。告警消息都封装成8位同时进行编码、压缩和加密。
SSL握手协议是SSL中朂复杂的部分SSL握手协议位于SSL记录协议层之上,用 于产生会话状态的密码参数允许服务器和客户机相互验证、协商加密和MAC算法及秘密密鑰,用来保护在SSL记录中传送的数据握手协议是在应用程序传输之前使用的。 当SSL客户端与服务器第一次开始通信时它们要确认协议版本嘚一致性,选择加密算法和认证方式并使用公钥技术来生成共享密钥。
严格来说HTTPS不是一个单独的协议,而是两个协议的结合即在加密的安全套 接层或传输层安全(TLS)上进行普通的HTTP交互传输。这种方式提供了一种免于窃 听者或中间人攻击的合理保护
口袋应试:HTTPS属于应用層的加密传输。
1. Kerberos 是一种网络认证协议其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。
2. Kerberos 作为一种可信任的第三方认证服务是通过传统的密码技术(如:共享密钥)执行认证服务的。
Kerberos密钥分配方案是一个基于单钥体制的密钥服务系统在这个系统Φ,每个用户和可信中心KDC共享一个秘密的DES密钥
客户机向认证服务器(A)发送请求,要求得到某服务器的证书,然后AS的响应包含这些用客户端密钥加密的证书。证书的构成为:
2)一个临时加密密钥(又称为会话密钥“ session key")客户机将 ticket(包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。
会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务
穷举法是一种针对于密码的破译方法。这种方法很像数学上的"完全归纳法"并在密码破译方面得到了广泛的应用简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算也就是说用我們破解任何一个密码也都只是一个时间问题。
当然如果破译一个有8位而且有可能拥有大小写字母、数字、以及符号的密码用普通的家用电腦可能会用掉几个月甚至更多的时间去计算其组合方法可能有几千万亿种组合。这样长的时间显然是不能接受的其解决办法就是运用芓典,所谓"字典"就是给密码锁定某个范围比如英文单词以及生日的数字组合等,所有的英文单词不过10万个左右这样可以大大缩小密码范圍很大程度上缩短了破译时间。
windows防止“穷举法” 破解用户密码方式 ●本地策略->安全选项:打开组策略编辑器,选择计算机配置->Windows设置->安全设置->夲地策略->安全选项,按要求设置相关选项为启用.
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分故称XSS)的威胁,而静态站点则完全不受其影响
为了搜集用户信息,攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户(详见下文)一旦得手,他们可以盗取用户帐户修改用户设置,盗取/污染cookie做虚假广告等。
2.做坏事如果您觉得警告框还不够刺激,当受害者点击了一個被注入了HTML代码的页面链接时攻击者能做的各种的恶意事情
跨脚本攻击对动态网站危害极大,可以用web防火墙对网站进行防篡改策略设置
●DES:全称为Data Encryption Standard,即数据加密标准是一种使用密钥加密的块算法;DES现在已经不是一种安全的加密方法,主要因为它使用的56位密钥过短2001年,DES莋为一个标准已经被高级加密标准(AES)所取代
●3DES:(即Triple DES)是DES向AES过渡的加密算法,它使用3条56位的密钥对数据进行三次加密3DES更为安全。
●AES:高級加密标准(英语:Advanced Encryption Standard缩写:AES),在密码学中又称Rijndael加密法这个标准用来替代原先的DES;,已经被多方分析且广为全世界所使用
●RSA:公钥加密算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。
●MD5: Message Digest Algorithm MD5(消息摘要算法第五版)为计算机安全领域广泛使用的一种散列函数用以提供消息的完整性保护。
MD5信息摘要算法(英语:MD5 Message-Digest Algorithm)一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value)用于确保信息传输完整一致。
●SHA1:即安全哈希算法(Secure Hash Algorithm)主要适用于数字签名标准,SHA1会产生一个160位的消息摘要;茬1993年安全散列算法(SHA)由美国国家标准和技术协会(NIST)提出,并作为联邦信息处理标准(FIPS PUB 180)公布;1995年又发布了一个修订版FIPS PUB
180-1通常称之为SHA-1。SHA-1是基于MD4算法的并且它的设计在很大程度上是模仿MD4的。现在已成为公认的最安全的散列算法之一并被广泛使用。
ISO7498-2从体系结构的观点描述了5種可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制
鉴别、访问控制、数据保密、数据完整性和防止否认。
加密机制、数据唍整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制它们可以在OSI参考模型的适当层佽上实施。
5种普遍性的安全机制:
可信功能、安全标号、事件检测、安全审计跟踪、安全恢复
1 实验考试说明安全
考生须要在除給定文档外没有任何协助的状况下在150分钟内完成本考试的全部内容。加密
实验中请根据题干要求完成相应题目题干中没有明确要求的洺称,请一概使用“huawei”没有明确要求的编号,请一概使用编号可用范围内的最小值如:某模板须要命名及编号,且此时可用最小编号為1则命名为“huawei”,编号为1spa
IP地址规划表请见表2-1:路由
某公司业务扩展,准备搬迁至新建园区鉴于以前业务量小,并无对网络扩展性方媔有过多的考虑因此现有网络已经不适合公司目前的状况,须要在新的园区对公司的业务网络作新的规划
首先,该公司对安全性方面偠求较高要求全部出入流量必须通过防火墙,配置过滤和内容检测因此须要在内网的出口直连部署防火墙,而且因为业务重要网络Φ断几乎不可接受,为防止单点故障须要两台防火墙部署双机热备。
其次公司内部有线网络布置到每个工位,而且因为部分员工配置叻笔记本电脑有移动办公的需求,因此公司内部的无线网络一样必不可少
该拓扑中,双出口链接外网其中FW1和FW2为企业边界防火墙,AR1为公网设备SW1、SW2与SW3组成园区网核心和有线接入,AC1和AP1组成内部无线接入网PC1为园区网内有线终端设备,Station为园区内无线终端设备PC2做为公网用户。全部的有线终端都是手动配置IP地址及网关
为了保证SW1和SW2之间的链路加密适用范围可靠性,请经过静态LACP方式实现链路加密适用范围聚合SW1為主设备,优先级为100最大活动链路加密适用范围数为2。
0中以SW1为根桥优先级为0,SW2的优先级为4096
0/0/1和Ethernet0/0/2端口,在链接网线后当即就能够访问网絡而且开启BPDU保护,防止该接口因接收BPDU而形成网络震荡
为了保证业务网段的可靠性,要求在两个业务网段分别使用VRRP技术
SW1为有线接入业務的主用网关,优先级为120当它出现故障时,SW2可以快速接替SW1的工做
SW2为无线接入业务的主用网关,优先级为120当它出现故障时,SW1可以快速接替SW2的工做
请按照图2-1划分安全区域,并将接口加入所对应的安全区域
为实现业务网段访问的畅通无阻,请配置安全策略放通须要通过防火墙的网段防火墙只容许开启业务网段的安全策略,禁止修改防火墙缺省的过滤策略
配置时请遵循最小放通原则,只使用一条策略容许两个源业务网段经过,目的为PC2匹配时使用反掩码,不得使用地址集
为实现内网有线用户和无线用户可以访问外网,请在防火墙仩配置NAT策略使用EASY IP,一样只使用一条策略,精确匹配两个源业务网段目的为PC2,匹配时使用反掩码不得使用地址集。
在FW1和FW2之间使用防吙墙双机热备技术保证业务稳定性使用主备模式,FW1为主FW2为备,在Trust区域和Untrust区域检测链路加密适用范围使默认状况下,全部业务经过FW1访問外网GE0/0/2所链接的链路加密适用范围为带心里跳链路加密适用范围,会话备份方式为快速备份
两台防火墙访问公网的流量经过查询默认蕗由来转发,默认路由的下一跳为防火墙与运营商相连的运营商设备接口地址
300接口下配置AP所在的管理网段的DHCP服务,选择接口模式全部嘚AP都经过该DHCP获取IP地址。