网络安全(霍礼)

《网络安全(霍礼)》由会员分享，可在线阅读，更多相关《网络安全(霍礼)（26页珍藏版）》请在金锄头文库上搜索。

1、配置网络流程有哪些？配置网络流程有哪些？ 需求分析-解决方案-产品选型-工程实施 需求分析：1信息点数：信息点数多影响带宽越大；PC 机台数多网络拓扑（汇聚,核心）2余问题：（STP/RSTP/MSTP） （HSRP/VRRP）(以太网通道)3业务隔离 vlan：基于端口划分，基于 MAC 划分，基于 IP 划分；（Vlan 数不够，浪费 IP 地址）解决：Pvlan 及 Hybrid4动态 IP 分配： DHCP/DHCP 中继5网络安全 ： 接入层：802.1X ACL 等安全技术Internet 接入：NAT ACL 防火墙 VPN IDS/IPS6路由规划：静态-RIPv1/RIPv2

2、-OSPF-BGP7总/分互联：E1/POS PPP/HDLC VPN8网络管理：SNMP（简单网络管理协议）需求方案应掌握哪些？需求方案应掌握哪些？ 1 用户需求依赖设备功能完成 2 设备功能依靠协议完成 3 协议的功能大小依靠数据结构完成 4 数据结构需要人保护（网络需求安全）交换机产品性能指标有哪些？交换机产品性能指标有哪些？ 端口数带宽，功能列表，吞吐量，包转发率模块化交换机有哪些组件？模块化交换机有哪些组件？ 1 机箱；风扇；背板（主板） 2 电源 3 引擎/主控板 （CPU,内存，flash） 4 业务版/用户板模块：光口和电口 5 光模块 不一定网络安全分为哪几类？网络安全分为哪

3、几类？网络安全分为：边界安全和接入层安全/内网安全接入层安全接入层安全/ /内网安全解决方案有哪些？内网安全解决方案有哪些？ 1 物理安全 2 身份认证：802.1X，PPPOE 等 3 PC 健康状态检测：OS 版本，补丁，防病毒软件，病毒库更新，以及检查主机外设备 4 授权：ACL 只能控制 3/4 层（只能控制 IP 地址和端口号（针对内网） ）应用层控制：上网行为管理（针对外网 Internet 地方） 5 计费/审计：上网行为审计 6 协议安全：STP/RSTP/MSTP HSRP/VRRP 路由协议 7 防范技术：DHCP 欺骗 ARP 欺骗 8 设备管理设备管理（管理方式，安全管

4、理手段，身份认证）有哪些？设备管理（管理方式，安全管理手段，身份认证）有哪些？ 1 管理方式：命令行：console（物理连通） telnet ssh（加密的 telnet）端口号基 于 TCP22图形化：HTTP/HTTPS SNMP(基于 UDP 161/162) 2 安全管理手段：控制访问设备 ACL身份认证授权（命令）审计/计费 3 身份认证方式：线路密码 Password本地 DB login localAAA 体系认证AAAAAA 体系组件有哪些？原理及好处有哪些？体系组件有哪些？原理及好处有哪些？ 组件：1.AAA 服务器2.被管理设备 NAS（网络访问服务器）3客户端（PC）4

5、.协议组件 AAA 服务器具有，集中化，便于管理，更加安全 AAA 服务器不像本地认证一样需要在每台设备上配置用户名和密码，AAA 服务器只需在服 务器上配置。用户输入用户名和密码交给 NAS，NAS 交给 AAA 服务器来认证，授权，审计。AAAAAA 服务器中有哪些协议？服务器中有哪些协议？ 1 TACACS+：终端访问控制器访问控制系统，Cisco 私有，基于 TCP 端口号 49 2 RADIUS：远程身份验证拨入用户服务，国际标准基于 UDP 端口 1812/1813 1645/1646AAA 服务器收 1812 或 1645 是认证，授权AAA 服务器收 1813 或 1646 是

6、审计什么是什么是 802.1X802.1X？ 802.1X 是一种基于端口的网络接入控制协议，运行在交换机上的一种认证协议，控制的 是接入进来的 PC 机 802.1X 定义在接入层角色控制802.1802.1 分哪几类？分哪几类？纯基于端口 Cisco,H3C 只需一次认证基于端口上，在基于 MAC RJ，H3C，神州数码 认证要进行多次认证802.1X802.1X 组件有哪些？组件有哪些？1 802.1X 认证客户端 2启用 802.1X 认证的设备（相当于 AAA 服务器 NAS）3AAA 服务器（可选）802.1X802.1X 端口角色和状态有哪些？端口角色和状态有哪些？角色：1非受控

7、2受控：非授权状态和授权状态受控通过何种方法来授权和非授权受控通过何种方法来授权和非授权? ? 1 强制非授权 2 强制授权 3 自动识别 auto：认证通过授权，认证没通过非授权EAPEAP 协议是在协议是在 802.1X802.1X 谁和谁产生的？谁和谁产生的？802.1X 认证客户端和启用 802.1X 认证设备的协议是 EAPEAPEAP 分为哪几种分为哪几种 802.1X802.1X 认证过程？认证过程又是怎样的？认证过程？认证过程又是怎样的？EAP 工作方式有：EAP 终结方式和 EAP 透传方式EAP 透传方式下的 802.1X 认证过程客户端-交换机- -服务器EAPEAP 终

8、结方式下的终结方式下的 802.1X802.1X 认证过程：认证过程： 客户端-交换机- -服务器802.1X802.1X 特殊应用有哪些？特殊应用有哪些？1MACBYPASS：无法改变认证情况下2guest vlan：针对 PC 机临时不能认证，只能访问一些特殊的服务802.1x802.1x 中中 RADUISRADUIS 和和 EAPEAP 有什么联系？有什么联系？EAP 强制要求用户进行认证，但具体的认证过程是通过将认证消息发给 RADUIS 服务器 来完成的。什么是什么是 PPPOEPPPOE？有哪些应用？有哪些应用？PPPOE 用于小 ISP（以太网接入） PPPOE 可防 ARP

9、欺骗，简单应用： ADSL:非对称用户传输 PBX：接口是接电话线PPPOEPPPOE 工作原理有哪些阶段？工作原理有哪些阶段？ 1 地址发现阶段 2 PPP 会话阶段ACLACL 分为哪几类？分为哪几类？ 1 根据控制参数分类：标准 ACL；扩展 ACL；MAC ACL 2 根据 ACL 应用接口分类：二层接口（port ALC） ；三层接口 Router ACL；VLAN ACLACLACL 部署方式有哪些？部署方式有哪些？ 1 手工指定：port acl；router acl；vlan acl 2 动态下发 ACL 方式（port acl/vlan acl）：下发 ACL 整个内容；仅下

10、发 ACL 名字 （内容 仍在交换机本地） 3 动态下发 vlan（vlan 先前已作相应策略）外网（企业）用在边界审计相关技术有哪些？外网（企业）用在边界审计相关技术有哪些？相关技术有端口镜像 1本地 SPAN2远程（RSPAN）3vlan SPAN(vspan)源端口和目的端口对应关系称 SPAN 会话；一个交换机可存在多个 SPAN 会话，一个 SPAN 会话可以有多个源端口，只有一个目的 端口；端口镜像源端口：被抓流量端口 目的端口：被抓流量从哪个端口出去协议安全有哪些？协议安全有哪些？ 1 路由协议：被动或重发布/ACL/认证 2 HSRP/VRRP：认证/ACL 3 STP/RST

11、P/MSTP：保护特性 BPDU GuardROOT Guard：防抢根BPDU filter：不发 BPDU，收到 BPDU 丢弃避免单向环路方法有哪些？避免单向环路方法有哪些？1 Loop Guard 2 UDL（单向链路检测）防范技术有哪些？防范技术有哪些？ 1 防范 DHCP server 欺骗: 手工指定 IPvlan 隔离：PVLAN (Hybrid)端口隔离：同一交换机端口之间不能互相通信，隔离端 口只能与非隔离端口通信 DHCP snooping：定义端口角色：信任端口 ，非信任端 口组装一张 snooping 表：动态表（端口MACIPvlan租约） 注意：DHCP Snoo

12、ping 在接入层配置上联端口为信任端口，其他端口为非信任端口 2 防 ARP 欺骗： 静态 ARPvlan 隔离端口隔离DAI(动态 ARP 检测)：1.根据合法 ARP 表检测 ARP 包中对应关系是 否正确，如非法则丢弃2.定义端口：信任端口：不做检测非信任端口：做检测 3 绑定技术（防范）：IP 绑定： 手工；动态：DHCP snooping+IP 源保护MAC 绑定（端口安全）：手工；动态学习IP MAC 绑定：手工；动态：DHCP Snooping+IP 源保护防火墙具有哪些特性，靠什么设备来完成？防火墙具有哪些特性，靠什么设备来完成？防火墙具有连通性扩展性可靠性防火墙靠交换机，路

13、由器，协议完成网络威胁来自于哪里？网络威胁来自于哪里？ 1 Internet 边界 2 内网：接入层WAN（不一定） ，广域网做了相应防范攻击目标有哪些？攻击目标有哪些？所有元素：通信子网；资源子网如何防范网络威胁？如何防范网络威胁？ 网络系统安全性：1.硬件基本安全管理（设备，线路，主机）：1 物理安全2 设备安全管理 （AAA）3协议 TCP/IP 簇工作2.网络加固：加固硬件设备：os；应用：补丁,防火墙,防病毒,360等3.防线： 1内网2外网：防火墙（设防火墙非法流量进不来） ；IDS/IPS； 上网行为管理；防毒墙4.网络监控扫描分析MARS:监控分析响应系统TCP/IPTCP/I

14、P 自身安全性有哪些？自身安全性有哪些？ 1. 物理层：规范，定义接口带宽，光/电信号 ，比特流威胁：物理安全，电磁辐射泄密 2. 数据链路层：帧物理地址（MAC）威胁：ARP 欺骗（MAC 地址欺骗） （局域网） ，链路欺骗（广域网）防范方法：DHCP snooping + DAI 可防 ARP 欺骗PAP/CHAP 可防 链路欺骗 3. 网络层：IP 包（逻辑地址） 分片重叠 “利用 ICMP 攻击”： ping of flooding smurtf威胁：IP 欺骗， “泪滴”/分片攻击路由协议安全， 防范方法：DHCP snooping + IP 源保护，虚拟重组 4. 传输层： TCP

15、/UDP ：端到端连接，提供非可靠，端口号TCP 工作原理：1 三次握手建立连接，主要字段 SYN/ACK2确认机制/重传机制/串口大小控制 ACK3四次握手断开连接：FIN/ACKDDOS 攻击：三次握手时，服务器 SYN 泛洪 客户端不回 ACK 资源浪费在 处理三次握手上5. 应用层：程序本身（加固） 操作行为DDOSDDOS 攻击的种类有哪些？常见的攻击的种类有哪些？常见的 DDOSDDOS 攻击方法有哪些？攻击方法有哪些？DDOSDDOS 攻击原理是什么？攻击原理是什么？DDOS 攻击原理：通过使网络过载来干扰甚至阻断正常网络通讯，通过向服务器提交大量 请求，使服务器超负载。阻断某一用户访问服务器阻断某服务器与特定系统或个人的通信。DDOS 攻击种类有：1、 TCP 全连接攻击 2、 TCP 混乱数据包攻击 3、 SYN 变种攻击 4、 针对用 UDP 协议的攻击 5、 针对 web server 的变种攻击 6、 针对 web server 的多连接攻击 7、 针对游戏服