一、网络管理
1、网络管理模型:网络监测和网络控制两部分。以下是一个网络管理模型。分为管理站、被管理代理、管理信息库MIB。MIB采用管理信息结构SMI(ASN.1国际标准的子集)。
2、网络管理结构:
- 集中式,集中控制整个网络。平衡优化网络,适合小网络。
- 分布式,灵活性和伸缩性,适用中大型网络。
3、两种通信机制:
- 轮询:是一种请求-响应式的交互方式。管理站向代理发出请求,代理做出响应,从信息管理库取出信息,返回给管理站。类似领导安排工作。
- 事件报告:代理根据管理站的要求,向管理站主动发送状态报告。类似员工汇报工作。
4、网络管理的五大功能(计 安 性 配 故):
- 计费管理
- 安全管理
- 性能管理
- 配置管理
- 故障管理
5、网络管理协议五种标准:
- ISO制定:CMIS/CMIP公共管理信息服务规范。
- 基于TCP/IP:简单网络管理协议SNMP v1、SNMP v2、SNMP v3三种。
- 基于局域网:远程监控网络RMON,RMON-1、ROMN-2两个版本。
- IEEE制定:基于物理层和数据链路层CMOL。
- ITU-T:电信网络管理标准TMN。
6、SNMP: 简单网络管理协议,应用层协议,采用UDP,不会增加网络负担,效率高。UDP161(代理)、UDP162(管理站)。
7、SNMP v1五种报文:
- GetRequest
- GetNextRequest
- SetRequest
- Trap 用于事件报告
- GetResponse 用于代理站
8、SNMP v2,支持集中,也支持分布式管理。增强改进三方面:
- 管理信息结构的补充
- 管理站之间的通信能力
- 新的协议操作,GetBuIkRequest块操作、InformRequest通信请求。
9、SNMP v3把管理和代理统一叫做实体(包括引擎和应用),并提供认证和加密。基于用户的安全模型,把安全威胁分为主要的和次要的。基于视图的访问控制模型,划分安全级别。
10、管理信息库MIB-2树形结构:
11、管理信息库MIB-2的10个功能组:
远程网络监控RMON的管理信息库:
12、网络管理部件可靠性计算:
网络管理命令:ipconfig 用来查看网络配置信息,如ip地址、子网掩码、网关IP、DNS、DHCP等。
网络管理命令Ping:利用ICMP报文测试网络的连通性。
网络管理命令:arp。用于显示和修改ARP缓存中的表项。
网络管理命令:netstat。用来显示网络活动状态,如TCP/UDP的ip、端口号等。
网络管理命令:
- tracert:利用ICMP报文,探测到达目标的路径。
- Pathping:把ping和tracert结合,探测路径、延时、丢包率等。
- Nbtstat:用于显示NetBIOS的名称缓存。
- Route 显示修改本地IP路由表。Add添加;delete 删除;change修改等
- Netsh命令行脚本程序,可以修改计算机的网络配置。
- Net:管理网络服务。
网络管理命令:Nslookup:
用来测试DNS服务器域名解析。
- 非交互式
nslookup ns1.isi.edu 查询域名服务的ip
nslookup 128.9.1.11 查询此ip的域名信息
- 交互式
nslookup
set type=mx 查询本地域的邮件交换机信息。
常见的网络管理工具:
网络嗅探器sniffer; HP Open View; IBM Tivoili; Cisco Works。
二、网络安全技术
1、网络安全威胁和漏洞的类型
- 窃听 病毒
- 假冒 木马
- 重放 诽谤
- 流量分析 非授权访问
- 破坏完整 拒绝服务
- 漏洞:物理、软件、不兼容、其他等。
2、网络安全信息数据五大特征:(完 保 可 不 可)
- 完整性:信息数据完整不破坏
- 保密性:信息数据需授权不泄露
- 可用性:信息数据攻击后循环恢复可用
- 不可否认性:信息数据参与者不可否认不可抵赖,身份真实有效
- 可控性:信息数据可以管控传播范围
3、网络安全基本技术:
- 数据加密:数据按照规定打乱,重新组合
- 数字签名:证明发送者签发,也可完整性
- 身份认证:用户合法性,身份真实性没假冒
- 防火墙:控制内外数据进出,阻挡病毒木马
- 入侵检测:采用异常检测特征保护网络
- 网络隔离:内外网隔离分开使用,如网闸。
4、现代信息加密技术:对称(共享的)和非对称(有私钥和公钥)
5、现代信息加密技术对称秘钥汇总:
6、公钥加密RSA:
加密体系-公钥加密,私钥解密。(签名体系:公钥解密,私钥加密)
7、数字签名技术:数字签名用于确认发送者身份和消息完整性。满足三个条件:
- 接收者能够核实发送者
- 发送者事后不能抵赖
- 接受者不能伪造签名
8、秘钥管理体系:KMI、PKI、SPK。
- KMI:秘钥管理基础结构,第三方KDC,秘密物理通道,适用于封闭的内网使用
- PKI:公钥基础结构,不依赖秘密物理通道。适用于开放的外网
- SPK: 适用于规模化专用网
9、VPN技术:虚拟专用网,建立在公网上,没有专用物理连接,非VPN用户无法访问。
VPN四个关键技术:
- 隧道技术
- 加解密技术
- 秘钥管理技术
- 身份认证技术
10、PPP、PPTP、L2TP技术对比汇总:
11、PPTP与L2TP区别比较:
12、IPSec:IP安全性,在IP层通过加密与数据源验证,来保护数据包传输安全。
- 认证头AH,用于数据完整和数据源认证、防重放。
- 封装安全负荷ESP,提供数据加密、数据完整、辅助防重放。
- 密钥交换协议IKE,生成分发秘钥。
IPSec两种模式:传输模式和隧道模式。
13、SSL安全套接层:和TLS(传输层安全标准)是双胞胎。在传输层上4.5层套结安全协议。SSL/TLS被称为HTTPS,工作在传输层,对传输层、应用层都可以控制。
二、网络安全2
1、应用层安全协议:S-HTTP或SHTTP(Sec HTTP),安全超文本传输协议,是HTTP扩展,使用TCP的80端口。
HTTPS:HTTP+SSL,使用TCP的443端口。TLS(传输层安全标准)是双胞胎。4.5层协议。大部分web应用采用这个。
2、应用层安全协议:PGP,电子邮件加密软件包,是一款软件。
- PGP提供2种服务:数据加密和数字签名,使用RSA对公钥证书加密认证,IDEA(128位密钥)进行数据加密,MD5进行完整性验证。
- 加密算法:支持IDEA、CAST、3DES算法对信息进行加密:采用EIGamal或RSA算法用接收方的公钥加密会话密钥。
- 数据签名:采用SHA-1、MD5消息摘要算法计算消息的摘要值(散列码),用发送者的私钥按DSS或RSA算法加密消息摘要。
3、安全电子交易协议SET:
5、防火墙的定义:来源于建筑物 “ 防火墙” 一词,位于两个或多个网络之间,执行访问控制策略,过滤进出数据包的一种软件或硬件设备。
6、防火墙的主要功能(重点):
- 访问控制功能
- 内容控制功能
- 全面的日志功能
- 集中管理功能
- 自身的安全功能
防火墙附加功能:
- 流量控制
- 网络地址转换NAT
- 虚拟专用网VPN
防火墙局限性:
- 关闭限制了一些服务带来不便
- 对内部攻击无能为力
- 带来传输延迟单点失效等
- 还有其他局限
防火墙技术分类:包过滤防火墙;代理防火墙;状态化包过滤防火墙等
防火墙分类方式:
8、防火墙的体系结构:
1、双宿主机模式:防火墙具有两个网卡接口,通过包过滤代理访问网络。一般可以根据IP地址和端口号进行过滤。
2、屏蔽子网模式:又叫过滤子网模式,两个包过滤路由器中间建立一个隔离子网,定义DMZ网络,也称为非军事化区域。
10、防火墙的工作模式:路由模式、透明模式、混合模式3种。
防火墙的访问规则:3种接口
12、病毒(强盗):一段可执行的程序代码,通过其他可执行程序启动和感染传播,可自我复制,难以清除,破坏性强。
木马:一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制代码。C/S结构,客户端也称控制端。偷偷盗取账号、密码等信息。
恶意代码:又称恶意软件。也称为广告软件、间谍软件,没有作用却会带来危险。
黑客与骇客:黑客技术高超,帮助测试建设网络。骇客专门恶搞破坏或恶作剧。
网络攻击:
- 拒绝服务攻击
- 缓冲区溢出攻击
- 漏洞攻击
- 网络欺骗攻击
- 网络钓鱼
- 僵尸网络等
预防攻击:安装杀毒软件、硬件防火墙和UTM统一威胁安全管理设备,合理设置安全策略,制定应急预案等。
入侵检测系统IDS安装部署:
- 服务器区域的交换机上
- Internet接入路由器之后的第一台交换机上
- 其他重点保护网段的交换机上
- 通常IDS是并联、不断网。
IPS/IDS和防火墙区别:防火墙一般只检测网络层和传输层的数据包,不能检测应用层的内容。IPS/IDS可以检测字节内容。
IPS和IDS的区别:IPS是串接在网络中,会切断网络。IDS是旁路式并联在网络上,不切断网络。
IDS/IPS:连接在需要把交换机端口配置成镜像端口上,可以检测到网络流量。
