复试-网络安全问答

一、网络安全概述

1.网络安全属性

（1）保密性：信息加密；用户访问控制；防止硬件辐射泄密、网络截获和窃听等

（2）完整性，包括：系统完整性（系统不被非授权地使用）和数据完整性（数据未被篡改、伪造、未受损等）

（3）可用性：保证合法用户对信息的合法利用

（4）不可否认性或不可抵赖性

（5）可靠性和可信性

2.网络安全威胁因素

（1）环境和灾害因素：温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等，均会破坏数据和影响信息系统的正常工作

（2）人为因素：多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的

有意：人为的恶意攻击、违纪、违法和犯罪

无意：工作疏忽造成失误（配置不当等），会对系统造成严重的不良后果

（3）系统自身因素：

①计算机硬件系统的故障

②各类计算机软件故障或安全缺陷，包括系统软件（如OS）、支撑软件（各种中间件、数据库管理系统等）和应用软件的故障或缺陷

③网络和通信协议（TCP/IP协议族）自身的缺陷，设计之初重点考虑网络互联问题，缺乏认证、加密等安全机制

▲系统自身的脆弱和不足是造成信息系统安全问题的内部根源，攻击者正是利用系统的脆弱性使各种威胁变成现实

3.网络攻击的一般过程

网络侦察-->网络扫描-->网络渗透-->权限提升-->维持及破坏-->毁踪灭迹

二、网络侦察

1.网络侦察的常用手段和方法

（1）搜索引擎信息收集：攻击者通过因特网搜索引擎来获取与目标相关的各类信息，常用的搜索引擎有：百度，谷歌，Shodan,Zoomeye等

（2）Whois查询：攻击者通过查询Whois数据库获取目标站点的注册信息

（3）DNS信息查询：DNS服务器之间采用区域传送的机制来同步和复制区内数据。对于支持区域传送的目标DNS设施，攻击者可以利用这个操作获取目标DNS上的有用信息。

常用工具是nslookup

（4）网络拓扑发现：查明目标网络的拓扑结构有利于找到目标网络的关键结点（如路由器），从而提高攻击效率，达到最大攻击效果。攻击者通过Traceroute工具来跟踪TCP/IP数据包从出发点到目的地所经过的路径来构建目标网络拓扑结构。

（5）利用社交网络获取信息

（6）其他侦察方法：

①社会工程学：攻击者利用人的弱点进行诸如欺骗、伤害等来获取利益的方法。常见形式有伪装、引诱、恐吓、说服、欺骗、渗透。

②查阅web站点

③垃圾搜寻

2.ping、nslookup、tracert(traceroute****)****等常见命令的作用

Ping命令：检查一台主机的网络连接情况

Nslookup命令：用于显示DNS查询信息，诊断和排除DNS故障

Tracert命令：用于网络故障诊断和获取网络拓扑结构

3.针对网络侦察常用手段会描述网络侦察的防御措施

（1）防御搜索引擎

• 对于自己的Web服务器，建立信息披露策略。不要在Web站点上放置敏感的客户数据或其它信息；
• 要求搜索引擎移除不期望公开的web页面索引

（2）防御Whois查询

• 保证注册记录中没有额外的可供攻击者使用的信息，例如管理员的帐户名；
• 对员工进行培训，避免误中社会工程学攻击的诡计。

（3）防御DNS侦察

• 避免通过DNS泄露额外的重要信息，例如域名不应该泄露计算机的操作系统、用途等信息
• 限制DNS区域传送，可以使用allow-transfer或xfernets命令来指定允许发起区域传送的具体IP地址和网络；使用防火墙配置过滤规则允许少量已知的辅助DNS服务器进行区域传送。
• 使用分离DNS的技术（指在两台不同的服务器上分离DNS的功能，外部用户和内部用户分别使用不同的DNS服务），减少可公开获得的基础设施的DNS信息。

（4）防御社会工程学：培养员工意识，在进行安全教育时强调社会工程学方面的知识

（5）防御垃圾搜索：配备并合理使用碎纸机、光盘粉碎机等设备。

三、网络扫描

1.网络扫描的四个目的

（1）识别目标主机的工作状态（开/关机）

（2）识别目标主机端口的工作状态（监听/关闭）

（3）识别目标主机的操作系统类型

（4）识别目标系统可能存在的安全漏洞

2.主机发现的技术分类及具体做法

（1）基于ICMP协议的主机发现：使用ping命令，其实质就是发送ICMP回送请求，根据是否受到对方主机的回答来判断主机是否存活。

（2）基于IP协议的主机发现

• 发送首部异常的IP数据包：攻击者有意构造出首部异常的IP数据包，异常数据包到达目标主机后，目标主机将以ICMP差错报告报文进行反馈。
• 有意制造分片时间超时：由于缺少分片而无法完成IP数据报重组（超时）时，目标主机将回应“分片重组超时”的ICMP报文

3. 端口扫描的技术分类及具体做法

（1）TCP扫描

• TCP全连接扫描：通过与端口建立完整的TCP连接，根据连接建立的成败推断端口的工作状态。
• TCP SYN扫描：

• TCP FIN扫描：发送FIN标志位为1的报文，如果目标端口处于关闭状态，则会回复RST标志位为1的报文复位连接，如果端口处于监听状态则忽略报该文，不会进行回应。
• TCP NULL扫描：将发送的扫描报文中的所有标志位都设为0
• TCP Xmas扫描：将发送的扫描报文中的FIN、URG和PSH标志位设置为1

（2）FTP代理扫描：利用FTP代理连接选项来进行，通过FTP服务器扫描目标主机的TCP端口。

（3）UDP扫描：扫描主机向目标主机的UDP端口发送UDP数据包，如果目标端口处于监听状态，将不会做出任何响应；而如果目标端口处于关闭状态，将会返回ICMP_PORT_UNREACH错误。

4.端口扫描的隐匿性策略

（1）调整扫描的次序：将要扫描的IP地址和端口的次序打乱，使扫描活动的随机性增强，有助于降低检测的概率。

（2）减缓扫描速度：可以避免扫描报文集中在短时间内大量出现，减弱了扫描的行为特征。

（3）对数据包中的一些字段进行随机化处理：在扫描报文首部的各个域中随机填入合理的数值，将使扫描活动的检测难度增加。

（3）利用虚假的源地址：被假冒的主机必须与扫描者的主机或者扫描者所控制的主机在拓扑上接近，扫描者可以通过网络嗅探等方法监视主机的数据通信，获取与扫描相关的反馈信息。

（4）采用分布式的方法进行扫描：将扫描任务交给多台主机协同完成，扫描活动相应地被分散开来。

5.操作系统识别的依据和方法

操作系统识别方法根据使用的信息可分为三类：通过旗标信息识别，通过端口信息识别，通过TCP/IP协议栈指纹识别。

（1）旗标信息识别：旗标是客户端向服务器端提出连接请求时服务器端所返回的欢迎信息，可以通过旗标暴露出的服务程序信息进行操作系统的判断。

（2）利用端口信息识别：端口扫描的结果在操作系统检测阶段也可以加以利用。不同操作系统通常会有一些默认开放的服务，这些服务使用特定的端口进行网络监听。例如，Windows一般开放udp_137, udp_138, tcp_139, tcp_445端口，而Linux通常会打开512、513、514、2049端口。端口工作状态的差异能够为操作系统检测提供一定的依据

（3）TCP/IP协议栈指纹识别：根据OS在TCP/IP协议栈实现上的不同特点，通过其对各种探测的响应规律形成识别指纹，进而识别目标主机运行的操作系统。采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。

6.漏洞扫描的原理和方法

漏洞扫描：漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为

（1）在端口扫描之后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在

（2）通过模拟黑客攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞

四、拒绝服务攻击

1.拒绝服务攻击基本概念和分类、目的

定义：攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需服务或者使服务质量降低

按攻击目标分类：拒绝服务攻击分为结点型DOS和网络连接型DOS。结点型又可分为主机型和应用型。

按攻击方式分类，拒绝服务攻击可分为资源破坏型DOS、物理破坏性型DOS和服务终止型DOS。

按受害者类型分类，拒绝服务攻击可分为服务器端DOS和客户端DOS。

按攻击机制分类，拒绝服务可分为剧毒包或杀手包型、风暴型和重定向型。

（剧毒包型攻击主要利用协议本身或软件实现中的漏洞，向目标发送一些异常的数据包，使目标系统在处理时出现异常，甚至崩溃）

目的：主要依靠消耗网络带宽或系统资源（处理器、内存等）导致网络或系统不胜负荷，以至于瘫痪而停止提供正常的网络服务或使服务质量显著降低，或通过更改系统配置使系统无法正常工作，来达到攻击的目的。

2.几种常见的剧毒包型拒绝服务攻击

（1）WinNuke攻击：以带外数据攻击目标端口，导致受害者处理带外数据时出现异常，从而使系统停止响应并在显示上出现蓝屏，又称为“带外攻击”、“蓝屏攻击”。

被攻击的端口通常包括：139 (NetBIOS)、138、137、113、53

（2）碎片攻击，也称泪滴攻击：利用一些OS中处理分片时的漏洞，向受害者发送分片偏移地址异常的IP数据包分片，使得目标主机在重组分片时出现异常而崩溃或重启。

（3）Land攻击：向受害者发送TCP SYN包，而这些包的源IP地址和目的IP地址被伪造成受害者的IP地址，源端口和目的端口也是相同的（端口必须是激活的），目标系统在收到这样的包以后可能会挂起、崩溃或重启。

（4）Ping of death 攻击：攻击者故意发送大于64k字节的ICMP数据包给目标主机，致使目标主机出现内存分配错误，导致TCP/IP堆栈崩溃，致使目标主机死机。

（5）循环攻击：当两个都会产生输出的端口(可以是一个系统／一台机器的两个端口，也可以是不同系统／机器的两个端口)之间建立连接以后，第一个端口的输出成为第二个端口的输入，导致第二个端口产生输出，同时第二个端口的输出又成为第一个端口的输入，如此，一两个端口间将会有大量的数据包产生，导致拒绝服务

3.几种常见的直接风暴型拒绝服务攻击方式

（1）PING风暴攻击：攻击者利用控制的大量主机向受害者发送大量的ICMP回应请求（ICMP Echo Request，即Ping）消息，使受害者系统忙于处理这些消息而降低性能，严重者可能导致系统无法对其他的消息做出响应

（2）SYN Flood攻击：向受害主机（服务器）发送大量TCP SYN报文，但对服务器的TCP SYN＋ACK应答报文不作应答，即三次握手的第三次握手无法完成，造成服务器维护大量的半连接列表，消耗服务器半连接资源（一般系统的上限为1024，超过此数则不接受新的连接请求），这将导致部分系统崩溃

（3）TCP连接耗尽攻击：通常会完成三次握手，即建立TCP连接。通过建立大量的TCP连接耗尽受害者的连接资源，从而无法接收正常用户的连接请求，也称为“空连接攻击”

（4）UDP风暴攻击：向目标主机连续发送大量较长的UDP数据包，占用网络带宽，达到阻塞网络的目的

（5）HTTP风暴攻击：使用HTTP协议对网页进行的语义上合法的请求，不停地从受害者处获取数据，占用连接的同时占用带宽。

（6）对邮件系统的DoS攻击：往一个邮件地址或邮件服务器发送大量的相同或不同的邮件，耗尽其存储空间

4.反射型分布式拒绝服务攻击的基本原理和常见的攻击形式

反射型拒绝服务攻击的基本原理是：攻击者伪造攻击数据包，将其源地址改为被攻击主机的IP地址，目的地址为网络上的某些大量网络服务器或某些高速网络服务器，通过这些服务器（作为反射器）的响应实施对目标主机的拒绝服务攻击

（1）NTP反射式拒绝服务攻击：利用NTP的monlist功能进行DDoS攻击（NTP 网络时间协议 C/S UDP 123 monlist功能：返回600个IP）

（2）SSDP反射式拒绝服务攻击：（简单服务发现协议(Simple Service Discovery Protocol, SSDP)主要用于在局部网里发现通用即插即用(Universal Plug-and-Play，UPnP)网络设备

（3）DNS反射式拒绝服务攻击

5.僵尸网络的基本原理和分类

僵尸网络是僵尸主人通过命令与控制信道控制的具有协同性的恶意计算机群。僵尸网络主要应用于网络侦察和攻击，即平时隐蔽获取被控主机的主机信息，战时发动大规模流量攻击（即风暴型拒绝服务攻击）。分为IRC僵尸网络和P2P僵尸网络。

6.拒绝服务攻击响应技术

应对DDoS攻击的方案主要有四种：

（1）通过丢弃恶意分组的方法保护网络；

（2）在源端控制DDoS攻击；

（3）追溯 (Traceback) 攻击的源端, 然后阻止它发起新的攻击；

（4）路由器动态检测流量并进行控制。

五、有害程序

1.恶意代码（软件）分类及区别

恶意代码是指在未授权的情况下经存储介质或网络侵入用户的计算机系统，破坏系统、网络、信息的保密性、完整性和可用性的程序或代码

2.远程控制木马的工作原理和入侵过程

木马的特点：有效性，顽固性，隐蔽性，易植入性。

远程控制木马一般采用网络应用中常见的客户端/服务器模式，由客户端程序和服务器端程序两部分组成。远程控制型木马的客户端程序在黑客主机上运行，黑客通过客户端程序对植入木马的远程主机实施监视和控制。木马的服务器端程序被广泛传播，植入被害者主机并获得运行机会后，等待黑客通过客户端程序进行控制和连接。

远程控制木马进行网络入侵的过程:

（1）配置木马：定制端口，确定木马在哪个端口监听，设置信息反馈的方式。

（2）传播木马：即木马植入，分为主动植入和被动植入

①主动植入技术有本地安装和远程安装

②被动植入有：网页浏览植入；通过电子邮件植入；软件下载植入；利用即时通信工具植入；利用文档捆绑植入；利用移动设备传播

（3）运行木马：木马的服务器端程序在植入计算机后，会根据黑客在配置木马阶段进行的设置适时运行，为黑客实施远程控制提供服务

   在Windows系统中木马程序的自动加载技术主要有：修改系统配置文件；修改系统注册表；利用批处理文件实现开机时启动运行；添加系统服务；修改文件打开关联属性；修改任务计划；修改组策略；利用系统自动运行的程序；修改启动文件夹；替换系统DLL 

（4）信息反馈：木马获得运行机会后，将感染主机的一些信息通过电子邮件或者反向连接的方式反馈给配置和散播木马的黑客。

（5）建立连接：根据信息反馈的方式的不同，木马的服务器端程序与木马的客户端程序建立连接的方式可以划分为两类：

①木马的服务器端程序进行监听，木马的客户端程序发起连接请求

②采用反向连接技术，由木马的客户端程序进行监听，木马的服务器端程序发起连接请求。

（6）远程控制：木马的客户端程序和服务器端程序建立连接后，黑客获得感染主机的控制权，可以进行各种操作：窃取密码；文件操作；修改注册表；系统操作

3.木马的隐藏技术

（1）设置窗口不可见

（2）把木马程序注册为服务

（3）欺骗查看进程的函数

（4）使用可变的高端口

（5）使用系统服务端口

（6）替换系统驱动或系统DLL

（7）动态嵌入技术（通过窗口hook（钩子函数）、挂接API、远程线程(CreateRemoteThread)等方法进入并操作进程的私有空间，使木马的核心代码运行于其它进程的内存空间）

4.针对木马的防护手段

（1）及时修补漏洞，安装补丁

（2）运行实时监控程序

（3）培养风险意识，不使用来历不明的软件、邮件

（4）即时发现，即时清除

（5）检查木马程序名称、注册表、系统初始化文件和服务、系统进程和开放端口

（6）安装防病毒软件，监视网络通信，堵住控制通路和杀掉可疑进程等

5.缓冲区溢出

缓冲区溢出：即用户所输入的数据长度超出了程序为其所分配的内存空间，溢出的数据会覆盖在合法数据上。攻击者利用这一漏洞改变程序的执行过程，来获取目标系统的控制权。缓冲区溢出攻击是一种形式隐秘、危害严重的网络安全威胁，其根本原因来自c语言本质的不安全性：没有边界来限制数组和指针的引用。

6.陷门

陷门：一个程序模块的秘密的未计入文档的入口，是在程序开发时插入的一小段程序，用于对模块进行测试，方便更改和升级程序。攻击者利用陷门在程序中建立隐蔽通道，甚至植入一些隐蔽的病毒程序。对陷门的非法利用可以使得原来互相隔离的网络信息间形成某种隐蔽的关联，进而可以非法访问网络。

e.g.逻辑炸弹，遥控旁路，远程维护，贪婪程序

六、web安全

1.SQL注入原理及其防范方法

SQL注入：攻击者在HTTP请求中注入恶意的SQL代码，服务器使用参数构建数据库SQL命令时，恶意SQL被一起构造，并在数据库中执行

防范方法：（web端）有效性检验，限制字符串输入的长度；（服务器端）不要采取简单的拼接SQL字符串，使用预编译的PrepareStatement，有效性检验，过滤SQL需要的参数中的特殊字符。比如单引号，双引号

2.XSS攻击原理及其防范方法

XSS攻击：跨站点脚本攻击，指攻击者通过篡改网页，嵌入恶意脚本程序，在用户浏览网页时，控制用户浏览器进行恶意操作的一种攻击方式

防范方法：对输入的数据进行过滤处理，对字符串的输入长度进行限制，对HTML转义处理，对其中的一些特殊字符（<,>）进行转义编码

分类：

（1）反射式XSS：也称非持久性跨站脚本攻击。这种攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户浏览器执行，从而达到攻击目的。

（2）储存式XSS：也称持久性跨站脚本攻击。会将攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在

（3）DOM式XSS：基于文档对象模型的一种漏洞，通过url传入参数去控制触发的

3.CSRF攻击原理及其防范方法

CSRF攻击（跨站点请求伪造），是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。

防范方法：进行referer识别，添加token验证

▲CSRF与XSS最大的区别在于CSRF并没有盗取cookie而是直接利用

4.文件上传漏洞及其防范方法

文件漏洞：用户上传一个可执行的脚本文件，并通过此脚本文件获得了执行服务端命令的能力。

*防范方法：*判断文件类型，对上传的文件类型进行白名单校验，限制上传文件的大小

5.GET 和 POST 的区别

（1）GET是获取数据，POST是修改数据

（2）get把请求的数据放在url上， 以?分割URL和传输数据，参数之间以&相连，所以get不太安全。而post把数据放在HTTP的包体内（requrest body）

（3）get提交的数据最大是2k（ 限制实际上取决于浏览器）， post理论上没有限制。

（4）GET产生一个TCP数据包，浏览器会把http header和data一并发送出去，服务器响应200(返回数据); POST产生两个TCP数据包，浏览器先发送header，服务器响应100 continue，浏览器再发送data，服务器响应200 ok(返回数据)。

（5）GET请求会被浏览器主动缓存，而POST不会，除非手动设置。

6.Cookies和session区别

Cookie和Session都是客户端与服务器之间保持状态的解决方案

（1）存储的位置不同，cookie：存放在客户端，session：存放在服务端。Session存储的数据比较安全

（2）存储的数据类型不同

两者都是key-value的结构，但针对value的类型是有差异的

cookie：value只能是字符串类型，session：value是Object类型

（3）存储的数据大小限制不同

cookie：大小受浏览器的限制，很多是是4K的大小； session：理论上受当前内存的限制，

七、网络欺骗

IP地址欺骗：攻击者假冒他人IP地址，发送数据包。

ARP欺骗：攻击者非法修改目标主机的缓存表，使得网络数据包被发送到攻击者控制的主机

DNS欺骗：就是攻击者冒充域名服务器的一种欺骗行为

ICMP欺骗：攻击者冒充初始网关向目标主机发送ICMP重定向包文，诱使目标主机更改路由表，从而将到达某一IP子网的报文全部丢失或者都经过一个攻击者能控制的网关；攻击者发送伪造的ICMP主机不可达或TTL超时报文干扰正常通信

IP源路由欺骗：基于IP报文首部可选项中的“源站选路”，正常情况下，目的主机如果有应答或其他信息返回源站，直接将到达目的站点的路由反向运用

重放攻击：攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

防范方法：加随机数，加时间戳，加流水号

网络钓鱼：利用社会工程学或者其他手段，使得用户访问恶意网站，从而造成用户信息泄露的攻击过程。e.g.电子邮件，建立假冒网上银行网站，弱口令破解

八、防火墙技术

1.防火墙技术原理及其作用

防火墙技术：由计算机软硬件设备组合而成，在一个受保护的内部网络和外部网络之间执行访问控制策略的一个或一组系统，阻止非法信息访问和传递。

作用：

（1）保护内网中脆弱及存在安全漏洞的网络服务

（2）实施安全策略，对网络通信进行访问控制

（3）防止内网信息暴露

（4）对内外之间的通信进行监控审计

▲与物理隔离的不同：防火墙的思路是在保障互联互通的前提下尽可能安全，物理隔离的思路是保证必须安全的前提下尽可能的互联互通

▲与入侵检测系统的区别：防火墙是以防御为主，入侵检测是主动监测是否被攻击，是对防火墙的补充

2.物理隔离技术

物理隔离技术：实现内外网络的物理断开，以保证内部网络数据的安全，但同时又能与外部网络适度地交换数据，即断开物理连接，保持一定的逻辑连接，进行适度的数据交换

（1）数据二极管技术：在物理断开的网络之间进行单向桥接的专用安全技术

（2）存储池交换技术：每次只与内外网络的一方相连，通过内外网络向存储池拷贝数据块和存储池的摆动完成数据传输

3.防火墙的分类

从具体的实现技术上看，防火墙可以分为包过滤防火墙，状态检测防火墙和应用网关防火墙

包过滤防火墙：作用在TCP/IP体系结构的网络层和传输层，根据数据包的包头信息，依据事先设定的过滤规则，决定是否允许数据包通过。包过滤防火墙通常是具有包过滤功能的路由器，在网络接口设置过滤规则。数据包进出路由器时，路由器依据数据包的出入方向配置的规则处理数据包。

缺陷：不易配置，只监测网络网络层和传输层的信息，不能阻止应用层的攻击，不支持用户的连接认证，不能阻止某些类型的TCP/IP攻击，例如TCPSYN洪泛和IP欺骗

有状态的包过滤防火墙：也称状态检测防火墙，具有详细记录网络连接的状态信息的功能。能够辨别一个TCP数据包是属于TCP连接建立的初始化阶段，还是数据传输阶段，或者是断链阶段，能够精确地对数据包进行过滤。提供更全面的日志信息。

应用网关防火墙：以代理服务器技术为基础，代理服务器能够理解应用协议，在数据包到达内网用户前拦截并进行详细分析，根据应用上下文对网络通信进行精准的判定，有助于检测缓冲区溢出攻击、SQL注入攻击等应用层攻击。应用网关防火墙还可以对用户身份进行认证，确保只有允许的用户才能通过。

4.防火墙的网络体系结构

（1）屏蔽路由器结构：也称过滤路由器结构，属于包过滤防火墙。即在内部网络和因特网之间配置一台具有包过滤功能的路由器，由该路由器执行过滤操作

（2）双宿主机结构：即利用一台具有两块网卡的主机作为防火墙，主机的两块网卡分别于受保护的内部网络和存在安全威胁的外部网络相连

（3）屏蔽主机结构：是包过滤防火墙和堡垒主机两种结构的有机组合。在内部网中设置一台堡垒主机，并利用包过滤路由器将将堡垒主机与外部网络相连

（4）屏蔽子网结构：即在外部网络和内部网络之间建立一个独立的子网，并用两台包过滤路由器将子网中的主机与内部网络和外部网络分割开来，在被隔离的子网中，除了包过滤路由器之外至少包含一台堡垒主机，该堡垒主机作为应用网关防火墙，在内外网之间转发通信数据。具有最高的安全性。

九、网络入侵检测

1.入侵检测系统原理及功能

入侵检测系统：通过收集并分析操作系统、应用系统或者网络通信的信息判断是否发生了入侵活动。可以将入侵检测系统划分为事件产生器、事件分析器、响应单元和事件数据库4个相互联系的组件

功能：监控分析用户和系统的活动；发现他入侵企图或异常现象；记录报警和响应

分类：（根据入侵检测系统信息源的不同）基于主机的入侵检测系统，基于应用的入侵检测系统，基于网络的入侵检测系统

2.入侵检测的分析方法

（1）特征检测：事先提取出描述各类攻击活动的特征信息，利用攻击特征对指定的数据内容进行监视，一旦发现攻击特征在监视的数据中出现，即判定系统内发生了相应的攻击活动

常用方法：模式匹配法，专家系统法，状态迁移法

（2）异常检测：基于这样一个假设，即用户行为、网络行为或系统行为通常都有相对稳定的模式，如果在监视过程中发现某一行为明显偏离了正常模式，则认为出现了入侵

常用方法：统计分析法，神经网络法，聚类分析法，人工免疫系统

3.蜜罐技术

蜜罐即一种可以被攻击、被探测、被攻陷的 资源，目的是引诱黑客前来攻击，并收集黑客相关的证据和信息。

根据部署目的可以分为产品型蜜罐和研究型蜜罐两类。

产品型蜜罐的目的在于为一个组织的网络提供安全防护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出正确的响应等功能。

研究型蜜罐是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的的攻击工具及攻击方法

十、网络通信安全

1.VPN技术

VPN（虚拟专用网技术）：利用IPSec，PPTP这些安全协议，在公共网络中建立安全隧道，提供专用网络的功能和作用，其关键技术有：隧道技术，密码技术和提供服务质量保证的技术。隧道是在公共通信网络上构建的一条数据路径，可提供与专用通信线路等同的连接特性

支持两种基本的虚拟网络连接方式：Client-LAN方式和LAN-LAN方式，前者实现用户安全的远程访问，后者用于组建安全的内联网，和企业外联网络系统

2.数据链路层安全机制

PPTP用于将PPP分组通过IP网络封装传输，是发生在数据链路层的封装，支持流量控制，改善通信性能，最大限度地减少包丢失和重发现象，通过TCP控制连接来创建、维护、终止一条隧道

3.IP协议的脆弱性

（1）基于IP地址的身份鉴别：伪造IP地址冒充他人

（2）没有为数据提供强的完整性机制

（3）没有为数据提供机密性保护

4.网络层安全通信协议：IPSec

IPSec是为IP层提供通信安全的一套协议簇，提供所有在网络层上的数据保护，进行透明的安全通信。可设置在两种模式下运行：隧道模式和传输模式。隧道模式下，IPSec把IP数据包封装在安全的IP帧中，传输模式是为了保护端到端的安全性，不会隐藏路由信息。包括安全协议部分和密钥协商部分。IPSec通过ESP机制为通信提供机密性保护，通过AH和ESP为通信提供完整性保护和抗重放攻击

通信保护协议：AH认证头协议（维护无连接数据的完整性，提供数据员认证，抗重放服务，不提供保密性），ESP封装安全在核协议（除提供AH认证头协议的所有功能外，还有数据保密和有限的数据流保护，通常使用DES，3DES，AES等加密算法实现数据加密，使用MD5或SHA1实现数据完整性认证）

密钥协议：IKE（为IPSec协商生成密钥，供AH和ESP加解密和验证使用，在IPSec通信双方之间，动态地建立安全关联SA，对SA进行管理和维护）

5.传输层安全协议：SSL

SSL是一种基于会话的加密和认证的Internet协议，工作在传输层和应用层之间，与应用层协议无关。所提供的主要服务是：加密处理；维护数据的完整性；实体认证服务。实现了客户端与服务器端的安全通信。SSL协议主要由SSL握手协议和SSL记录协议组成

SSL记录协议：建立在可靠的传输层协议之上，为高层协议提供基本的安全服务，对高层协议进行封装，具体实施压缩解压缩、加密解密、计算和校验MAC等与安全有关的操作

SSL握手协议：建立在SSL记录协议之上，通过使用公开密钥技术实现客户端和服务器之间的身份认证，然后双方协商生成用于加密通信的对称密钥。在使用会话传输任何数据之前，必须先用握手协议建立连接，实现相互验证，协商加密算法和生成密钥等内容。