域4：通信与网络安全 第12章 安全通讯和网络攻击

域4---包括OSG 11、12章---

    *本章内容将深入探讨安全通信协议、身份认证协议、安全的语音通信、多媒体协作、电子邮件的安全性、远程接入安全管理以及虚拟专用网络等多个方面，旨在帮助读者理解并掌握网络安全通信的基本原理、常见攻击手段及防御策略。    *

1、PPP 。

点对点协议(PPP) 是一种封装协议，旨在支持通过拨号或点对点链路传输 IP 流量。最初用于身份认证的 PPP 选项是 PAP 、CHAP和EAP

**2、 PAP、CHAP、EAP。 **

PAP 以明文形式传输用户名和密码。 CHAP 使用无法重播的质询－响应对话执行身份认证。 EAP 允许定制身份认证安全解决方案。

3、 EAP 的示例。

大约 40 多种 EAP 定义，包括 LEAP、PEAP、EAP-SIM、EAP-FAST、EAP-MD5、EAP-POTP、EAP-TLS 和EAP-TTLS

4、IEEE802.1X

IEEE 802.IX 定义了封装 EAP 的使用，以支持 LAN 连接的广泛身份认证选项。 IEEE 802.lX 标准被正式命名为“基于端口的网络访问控制”。

5、端口安全性。

端口安全性可以指对所有连接点的物理控制，如 RJ-45 墙壁插孔或设备端口。端口安全性是对 TCP 和用户数据报协议(UDP)端口的管理。端口安全性还可以指在允许通过端口或跨端口通信之前对端口进行身份认证的需要（即 IEEE 802.lX)

6、语音通信安全。

语音通信易受多种攻击的威肋，随着语音通信成为网络服务的一个重要部分，尤其如此。通过使用加密通信，能够提高保密性。需要采取一些技术手段来防止拦截、窃听、tapping 以及其他类型的攻击。熟悉与语音通信相关的主题，如 POTS 、PSTN 、PBX 和VoIP

7、 与 PBX 系统有关的威胁以及应对 PBX 欺骗的措施。

抵御 PBX 欺骗与滥用的措施在很大程度上与保护计算机网络的方法相同：逻辑、技术控制、管理控制及物理控制。

**8、与 VoIP 有关的安全问题。 **

VoIP 面临的安全风险包括：来电显示欺诈、语音钓鱼、 拨号管理软件／固件攻击、电话硬件攻击、 DoS MITM/路径、欺骗及交换机跳跃攻击。

9、飞客攻击的内容。

飞客攻击(pbreaking) 是一种特定类型的攻击，此类攻击使用各种技术绕过电话系统的计费功能，以便免费拨打长途电话，更改电话服务的功能，盗用专业化服务或直接导致服务崩溃。飞客是执行飞客攻击的人。

10、远程访问安全管理的问题。

远程访问安全一管理要求安全系统设计者按照安全策略、工作任务及加密的要求，来选择硬件与软件组件。

11、远程访问安全相关的各种问题。

熟悉远程访问、拨号连接、屏幕截取器、虚拟应 桌面及普通远程办公的安全重点。

12、多媒体协作。

多媒体协作是指利用各种多媒体支持通信解决方案来增强远程协作和通信。

13、 负载均衡器的用途。

负载均衡的巨的是获得更优化的基础设施利用率，最小化响应时间，最大化吞吐晕，减少过载和消除瓶颈。负载均衡器用于在多个网络链路或网络设备上分散／分配网络负载。

14、主动－主动系统。

主动－主动系统是一种负载均衡形式，在正常操作期间使用所有可用路径或系统，但在不利条件下容量会降低。

15、主动-被动系统。

主动－被动系统是一种负载均衡形式，它在正常操作期间使某些路径或系统处于未使用的休眠状态，并且能够在异常情况下保持一致的容量。

16、电子邮件安全的工作机理。

互联网邮件基于 SMTP、 POP3 和IMAP 协议。它存在固有的不安全性。为使邮件变得安全，需要在安全策略中加入一些安全手段。解决邮件安全的技术包括： S/MIME、PGP、DKIM、SPF、DMARC、 STARTTLS 和隐式 SMTPS

17、如何保护数据通信。

保护措施应包括实施安全的 VoIP、VPN、VLAN和NAT

18、虚拟化网络。

虚拟化网络或网络虚拟化是指将硬件和软件网络组件组合成单个集成实体。示例包括：软件定义网络(SAN) VLAN VPN、虚拟交换机、虚拟 SAN、来宾操作 系统、端口隔离和NAT

19、隧道。

隧道是指用第二种协议封装一种传输协议的消息。第二种协议经常利用加密来保护消息内容。

**20、VPN **

VPN 基于加密隧道。能提供具备身份认证及数据保护功能的点对点连接。 常见的 VPN 协议有 PPTP、L2TP、SSH、TLS和IPsec

21、分割隧道与全隧道。

分割隧道是一种 VPN 配置，允许 VPN 连接的客户端系统（即远程节点）同时通过 VPN 和互联网直接访问组织网络。全隧道是另一种 VPN 配置，在该配置中，客户端的所有流量都通过VPN 链路发送到组织网络，然后任何以互联网为目的地的流量从组织网络的代理或防火墙接口路由到互联网。

**22、什么是 NAT **

NAT 为私有网络提供寻址方案，允许使用私有IP 地址，并支持多个内部用户通过较少的公共 IP 地址来访问互联网。很多安全边界设备都支持NAT, 如防 火墙、路由器、网关、 WAP 及代理服务器。

23、第三方连接。

大多数组织与外部第三方提供商进行交互。大部分外部实体不需要直接与组织的 IT/IS 进行交互，然而，尽管很少，仍须考虑风险和后果。这包括合作伙伴关系、云服务和远程工作人员。

24、分组交换与电路交换之间的差异。

在电路交换中，通信双方之间建立专用的物理路径。在分组交换中，消息或通信内容被分成很多小段，然后通过中间网络传送到目的端。分组交换系统有两种通信路径或虚电路：永久虚电路(PVC)及交换式虚电路(SVC)

25、各种类型的网络攻击以及与通信安全有关的应对措施。

通信系统易受多种攻击的威胁，这些攻击包括分布式拒绝服务(DDoS) 、窃听、假冒、重放、篡改、欺骗、 ARP 攻击与 DNS 攻击。要能针对每种攻击提出有效的应对措施。

• *