一、本次课程总结

【课堂名称】

网络安全、网络规划

【重点内容】

网络安全攻击、加密技术、数字签名、报文摘要、数字证书、密钥分配、SSL、PGP协议。

【视频回看地址】

2019希赛网-网络工程师4月15-17号网络课堂：

https://www.educity.cn/zhibo/v311040.html

【内容详解】

二、ARP攻击

Windows操作系统带有ARP命令程序，可以在Windows的命令提示符下使用arp –s命令来完成ARP绑定。

三、加密技术

常规密钥密码体制：即加密密钥与解密密钥是相同的密码体制。这种加密系统又称为对称密钥系统。典型的对称加密算法有：DES算法56位密钥。3DES算法112位密钥，IDEA算法128位密钥，AES算法128、192和256位密钥还有RC-4、RC-5等等。

公钥密码体制：公钥密码体制使用不同的加密密钥与解密密钥，用接收方的公钥加密，接收方的私钥进行解密。典型的公钥加密算法有：RSA、ECC、背包加密、Rabin算法等等。

四、数字签名

数字签名能够实现三点功能：

（1）接收者能够核实发送者对报文的签名，也就是说，接收者能够确信该报文确实是发送者所发送的。其他人无法伪造对报文的签名，这就叫做报文鉴别。

（2）接收者确信所收到的数据和发送者发送的完全一样，没有被篡改过。这就叫做报文的完整性。

（3）发送者事后不能抵赖对报文的签名。这就做不可否认性。

数字签名用发送方的私钥签名，发送方的公钥核实签名。

请结合我们的讲义和视频理解整个过程：

五、报文摘要

报文摘要算法是精心选择的一种单向函数：报文摘要算法MD5产生128位的MD5报文摘要代码，安全散列算法SHA产生160位的输出。

六、对称密钥的分配

目前常用的密钥分配方式是设立密钥分配中心KDC，目前用的最多的密钥分配协议是Kerberos。

Kerberos使用两个服务器：鉴别服务器AS、票据授权服务器TGS。

在Kerberos认证系统中，用户首先向认证服务器申请初始票据，然后票据授权服务器(TGS)获得会话密码。

1、客户端A向鉴别服务器AS端发起请求，请求的内容是：我是谁，我要和谁通信（B服务器）。然后AS对A的身份进行验证。只有验证结果正确，才允许A和票据授权服务器TGS进行联系。

2、AS向A发送用A的对称密钥KA加密的报文，这个报文里包含A和TGS通信的会话密钥Ks、AS要发给TGS的票据（这个票据是用TGS的对称秘钥KTG加密的），该票据是给TGS服务器的，但是AS并不直接给TGS服务器，而是交给了客户端再由客户端交给TGS服务器。因为该票据由TGS服务器的密钥加密了，所以客户端无法伪造和篡改。

A收到之后，用自己的对称密钥KA把AS发来的报文进行解密。这样就能提取出会话密钥KS（A和TGS通信用的）以及要转发给TGS的票据（这个是用密钥KTG加密的）。

3、A向TGS发送三个项目：

1）转发AS发来的票据。

2）服务器B的名字。这表明A请求B的服务。请注意，现在A向TGS证明自己的身份，就是通过转发AS发出的票据（因为这个票据只有A才能提取出来）。票据是加密的，入侵者伪造不了。

3）用KS加密的时间戳T，用来防止入侵者的重放攻击。

4、TGS收到后，发送2个票据，每一个都包含A和B通信的会话密钥KAB。给A的票据用KS加密；给B的票据用B的密钥KB加密。现在入侵者是无法得到KAB的，因为他没有KA和KB。入侵者也无法重放第三步，因为入侵者也无法更换时间戳，他没有KS。

5、A向B转发TGS发来的票据，同时发送用KAB加密的时间戳。

6、B把时间戳+1来证明收到了票据。B向A发送的报文用密钥KAB进行加密。

之后，A和B之间的通信就用TGS给出的会话密钥KAB进行通信。

请结合我们的讲义和视频理解整个过程：

【视频回看地址】

2019希赛网-网络工程师4月15-17号网络课堂：

https://www.educity.cn/zhibo/v311040.html

七、数字证书

数字证书的格式遵循X.509标准。

序列号：发放证书的实体有责任为证书指定序列号，以使其区别于该实体发放的其它证书。这个信息用途很多。例如，如果某一证书被撤消，其序列号将放到证书撤消清单（CRL）中。

版本号：识别用于该证书的X.509标准的版本。

签名算法：签署证书所用的算法及其参数。

发行者ID：地标识证书的发行者。

发行者：指建立和签署证书的CA的X.509名字。

主体ID：任选的名字地标识证书的持有者。

有效期：包括证书有效期的起始时间和终止时间。

公钥：有效的公钥以及其使用方法。

八、SSL

SSL提供以下三个功能：SSL服务器鉴别、加密的SSL会话、SSL客户鉴别（可选）。国际互联网工程任务组就在SSL 3.0版本的基础上设计了TLS协议

请结合我们的讲义和视频理解整个过程：

【视频回看地址】

2019希赛网-网络工程师4月15-17号网络课堂：

https://www.educity.cn/zhibo/v311040.html

九、PGP

PGP是1995年开发出的，是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。

另外一个和安全相关的电子邮件协议是S/MIME，S/MIME协议全称“安全的多功能互联网邮件扩展”。

十、加密方式

数据加密技术是网络通信安全所依赖的基本技术。按照网络层次的不同，数据加密方式划分，主要有链路加密、节点加密、端到端的加密三种。

在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。其最大的缺点就在于中间结点暴漏了信息的内容。通常用硬件在物理层实现。

节点加密是对链路加密的改进，只是把加密算法加载到节点的加密模块中。在协议栈的传输层上面进行加密。

端到端加密是在源点和终点中对传送的协议数据单元进行加密和解密，报文的安全性不会因中间结点的不可靠而受到影响。端到端的加密在传输层以上的各层来实现。

十一、网闸技术

对于政务网的安全需求是在公网和外网之间实行逻辑隔离，在内网和外网之间实行物理隔离。

网闸其实就是模拟人工数据倒换，利用中间数据倒换区，分时地与内外网连接，但一个时刻只与一个网络连接，保持“物理的分离”，实现数据的倒换。

在网闸工作时候，会经过一个剥离-检测-重新封装的过程，首先会把数据包做剥离分解，然后对静态的裸数据做安全审查，再用特殊的内部协议封装后转发，到达对端网络后再重新按照TCP/IP进行封装。

十二、防火墙技术

华为防火墙默认分为4个安全区域。

（1）Trust区域：本区域内的网络受信程度高，通常用来定义内部用户所在的网络。

（2）DMZ区域：本区域内的网络受信程度中等，通常用来定义公共服务器所在的区域。

（3）Untrust区域：本区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。

（4）LOCAL区域，防火墙自身所在的区域

在华为防火墙中，每个安全区域都有一个安全级别，用1-100表示，数字越大，代表这个区域越可信。默认情况下，LOCAL区域安全级别100、Trust区域为85，DMZ为50，Untrust区域为5。

安全域间的数据流动具有方向性，包括入方向(Inbound)和出方向(Outbound)。

入方向：数据由低优先级的安全区域向高优先级的安全区域传输。

出方向：数据由高优先级的安全区域向低优先级的安全区域传输。

防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。注意三种模式的区别。

防火墙的分类：

包过滤防火墙的工作是通过查看数据包的源地址、目的地址或端口来实现的，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，缺点由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容。

应用型代理防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品

动态包过滤防火墙。对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过；记录下该连接的相关信息，生成状态表；对该连接的后续数据包，只要是符合状态表，就可以通过，更加灵活。

大型的网络放一个路由器到防火墙前面主要是路由器的接口丰富，适合广域网的多种不同类型的接口链路，而防火墙接口单一。但具体做题的时候，要根据设备的接口去看。关键是看DMZ这个接口。

十三、入侵检测IDS和入侵防御IPS

IDS（入侵检测系统）就是对网络、系统的运行状况依照一定的安全策略进行监视，尽可能发现各种攻击企图。IDS的部署位置：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。以旁路模式接入。

IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。IPS一般是以串联的形式直接嵌入到网络流量中的。

入侵检测系统使用的方法有异常检测和误用检测两种。其中异常检测能检测出未知的入侵行为。

点击进入>>>希赛软考题库 网络工程师每日一练

想要了解更多软考考试资讯，可以关注希赛网软考频道。