希賽小編為考生整理了2022年信息安全工程師考試知識(shí)點(diǎn)（十六）：網(wǎng)絡(luò)安全防御，希望對(duì)大家備考信息安全工程師考試會(huì)有幫助。

網(wǎng)絡(luò)安全防御

【考法分析】

本知識(shí)點(diǎn)主要是對(duì)網(wǎng)絡(luò)安全防御相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．防火墻主要是實(shí)現(xiàn)網(wǎng)絡(luò)安全的安全策略，而這種策略是預(yù)先定義好的，所以是一種靜態(tài)安全技術(shù)。

2．大多數(shù)防火墻規(guī)則中的處理方式主要包括以下幾種：

Accept: 允許數(shù)據(jù)包或信息通過(guò)。

Reject: 拒絕數(shù)據(jù)包或信息通過(guò)，并且通知信息源該信息被禁止。

Drop: 直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

缺省規(guī)則有兩種選擇:默認(rèn)拒絕或者默認(rèn)允許。

3．TCP/IP 協(xié)議族具有明顯的層次特性，由物理接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層四層協(xié)議構(gòu)成，每個(gè)層次的作用都不相同，防火墻產(chǎn)品在不同層次上實(shí)現(xiàn)信息過(guò)濾與控制所采用的策略也不相同。

4．包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單，處理速度也很快。包過(guò)濾技術(shù)可能存在的攻擊有:

① IP 地址欺騙；

② 源路由攻擊；

③ 微分片攻擊。

5．應(yīng)用層網(wǎng)關(guān)也叫做代理服務(wù)器。它在應(yīng)用層的通信中扮演著一個(gè)消息傳遞者的角色。

第三種防火墻技術(shù)是電路層網(wǎng)關(guān)。它是負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的獨(dú)立系統(tǒng)，類似于網(wǎng)絡(luò)渡船。電路層網(wǎng)關(guān)不允許一個(gè)端到端的直接的TCP 連接，它自網(wǎng)關(guān)建立兩個(gè)TCP 連接，一個(gè)連接網(wǎng)關(guān)與網(wǎng)絡(luò)內(nèi)部的TCP 用戶，一個(gè)連接網(wǎng)關(guān)與網(wǎng)絡(luò)外部的TCP 用戶。

6．防火墻的經(jīng)典體系結(jié)構(gòu)主要有三種形式：雙重宿主主機(jī)體系結(jié)構(gòu)、被屏蔽主機(jī)體系結(jié)構(gòu)和被屏蔽子網(wǎng)體系結(jié)構(gòu)。

7．入侵檢測(cè)與防護(hù)的技術(shù)主要有兩種:入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem ， IDS)和入侵防護(hù)系統(tǒng)(IntrusionPreventionSystem ， IPS) ；入侵檢測(cè)技術(shù)主要分成兩大類：異常入侵檢測(cè)和誤用入侵檢測(cè)；入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)大致可以分為基于主機(jī)型(Host-Based) 、基于網(wǎng)絡(luò)型(Network-Based) 和基于主體型(Agent-Based) 三種。

8．VPN 即虛擬專用網(wǎng)，它是依靠ISP和其他NSP，在公用網(wǎng)絡(luò)中建立專用的、安全的數(shù)據(jù)通信通道的技術(shù)。VPN 可以認(rèn)為是加密和認(rèn)證技術(shù)在網(wǎng)絡(luò)傳輸中的應(yīng)用。

9．VPN 的數(shù)據(jù)加密技術(shù)：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)等。

10．隧道協(xié)議：三種最常見(jiàn)的也是最為廣泛實(shí)現(xiàn)的隧道技術(shù)是:點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP，第2 層隧道協(xié)議L2TP, IP安全協(xié)議（IPSec )。除了這三種技術(shù)以外還有通用路由封裝GRE、L2F 以及SOCK 協(xié)議等。

① 點(diǎn)對(duì)點(diǎn)隧道協(xié)議CPPTP)；

② 第2層隧道悔議(L2TP)；

③ IP 安全協(xié)議(IPSec)。

11．掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)、網(wǎng)絡(luò)系統(tǒng)安全性弱點(diǎn)的程序。漏洞是在暖件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷。

12．端口掃描：互聯(lián)網(wǎng)上通信的雙方不僅需要知道對(duì)方的地址，也需要知道通信程序的端口號(hào)。

13．密碼類探測(cè)掃描技術(shù)(即口令攻擊)是黑客進(jìn)行網(wǎng)絡(luò)攻擊時(shí)最常用、最基本的一種形式。

14．我國(guó)也提出了自己的動(dòng)態(tài)安全模型——WPDRRC 模型★。該模型有6 個(gè)環(huán)節(jié)和3 大要素。6 個(gè)環(huán)節(jié)是W、P 、D 、R、R、C ，它們具有動(dòng)態(tài)反饋關(guān)系。其中， p, D 、R、R與PDRR 模型中出現(xiàn)的保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)等4 個(gè)環(huán)節(jié)相同;W 即預(yù)警(waming) ，就是根據(jù)己掌握的系統(tǒng)脆弱性以及當(dāng)前的計(jì)算機(jī)犯罪趨勢(shì)，去預(yù)測(cè)未來(lái)可能受到的攻擊與危害C (counterattack) 則是反擊一一一采用一切可能的高新技術(shù)手段，偵察、提取計(jì)算機(jī)犯罪分子的作案線索與犯罪證據(jù)，形成強(qiáng)有力的取證能力和依法打擊手段。

15．WPDRRC 模型中具有層次關(guān)系的三大要素分別是人員、政策和技術(shù)。

16．風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個(gè)要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價(jià)值:威脅的屬性是威脅出現(xiàn)的頻率;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。最終，計(jì)算出-個(gè)量化的風(fēng)險(xiǎn)值。

17．SSL 協(xié)議以對(duì)稱密碼技術(shù)和公開(kāi)密碼技術(shù)相結(jié)合，提供了如下三種基本安全服務(wù):

① 秘密性SSL：協(xié)議能夠在客戶端和服務(wù)器之間建立起一個(gè)安全通道，所有消息都經(jīng)過(guò)加密處理以后進(jìn)行傳輸，網(wǎng)絡(luò)中的非法黑客無(wú)法竊取。

② 完整性SSL：利用密碼算法和散列(HASH) 函數(shù)，通過(guò)對(duì)傳輸信息特征值的提取來(lái)保證信息的完整性，確保要傳輸?shù)男畔⑷康竭_(dá)目的地，可以避免服務(wù)器和客戶端之間的信息受到破壞。

③ 認(rèn)證性：利用證書(shū)技術(shù)和可信的第三方認(rèn)證，可以讓客戶端和服務(wù)器相互識(shí)別對(duì)方的身份。

SSL 協(xié)議位于應(yīng)用層和傳輸層之間，獨(dú)立于應(yīng)用層協(xié)議，即建立在SSL 之上的應(yīng)用層協(xié)議可以透明地傳輸數(shù)據(jù)。

18．PGP 可以在電子郵件和文件儲(chǔ)存應(yīng)用中提供保密和認(rèn)證服務(wù)，防止非授權(quán)者閱讀，還能對(duì)郵件和文件加上數(shù)字簽名，從而使收件人確信發(fā)送者是誰(shuí)。

19．IEEE802.1x 是IEEE (美國(guó)電氣電子工程師學(xué)會(huì)) 802 委員會(huì)制定的LAN標(biāo)準(zhǔn)中的一個(gè)，是一種應(yīng)用于LAN 交換機(jī)和無(wú)線LAN 接入點(diǎn)的用戶認(rèn)證技術(shù)。

20．WEP 協(xié)議原理：WEP 基于RC4 算法用相同的密鑰加密和解密，用開(kāi)放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證進(jìn)行認(rèn)證。

21．WEP 是數(shù)據(jù)加密算法，它不是一個(gè)用戶認(rèn)證機(jī)制。

22．ADIUS 協(xié)議是一種提供在網(wǎng)絡(luò)接入服務(wù)器和共享認(rèn)證服務(wù)器間傳送認(rèn)證、授權(quán)和配置信息等服務(wù)的褂議。

23．Kerberos 是一種應(yīng)用于分布式網(wǎng)絡(luò)環(huán)境、以對(duì)稱密碼體制為基礎(chǔ)，對(duì)用戶及網(wǎng)絡(luò)連接進(jìn)行認(rèn)證的增強(qiáng)網(wǎng)絡(luò)安全的服務(wù)?！?/p>

24．X.509 是由國(guó)際電信聯(lián)盟CITU-T) 制定的數(shù)字證書(shū)標(biāo)準(zhǔn)；X. 509 是基于公鑰密碼體制和數(shù)字簽名的服務(wù)；X.509 給出的鑒別框架是一種基于公開(kāi)密鑰體制的鑒別業(yè)務(wù)密鑰管理。

25．SSH (SecureShell) 協(xié)議是在傳輸層與應(yīng)用層之間的加密隧道應(yīng)用協(xié)議，它從幾個(gè)不同的方面來(lái)加強(qiáng)通信的完整性和安全性。

26．蜜罐(Honeypot) 技術(shù)是)種主動(dòng)助御技術(shù)，是入侵檢測(cè)技術(shù)的一個(gè)重要發(fā)展方向。

蜜罐的優(yōu)點(diǎn)有：① 使用簡(jiǎn)單；② 資源占用少；③ 數(shù)據(jù)價(jià)值高。

蜜罐的缺點(diǎn)有: ① 數(shù)據(jù)收集面狹窄；② 給使用者帶來(lái)風(fēng)險(xiǎn)。

27．蜜罐有四種不同的配置方式：

① 誘騙服務(wù)（DeceptionService)；② 弱化系統(tǒng)（WeakenedSystem)；③ 強(qiáng)化系統(tǒng)（HardenedSystem)；④ 用戶模式服務(wù)器（UserModeServer)。

28．用于備份的設(shè)備有硬盤(pán)、光盤(pán)、磁帶三種；備份方式有三種：完全備份、增量備份、差異備份。完全備份就是對(duì)服務(wù)器上的所有文件完全進(jìn)行歸檔；增量備份是指只把最近新生成的或者新修改的文件拷貝到備份設(shè)備上；差異備份與增量備份很相似。兩者所不同的是，差異備份對(duì)上次備份后所有發(fā)生改變的文件都進(jìn)行備份(包括刪除文件的信息)，并且不是從上次備份的時(shí)間開(kāi)始計(jì)算。

29．NAS （NetworkAttachedStorage) 通常譯為"網(wǎng)絡(luò)附加存儲(chǔ)"或"網(wǎng)絡(luò)連接存儲(chǔ)"。意思是連接在網(wǎng)絡(luò)上的存儲(chǔ)設(shè)備。SAN （StorageAreaN etwork) 通常譯為"存儲(chǔ)區(qū)域網(wǎng)絡(luò)"。它是使用光纖通道。

30．網(wǎng)絡(luò)安全防范意識(shí)與策略：

① 保證通信安全：對(duì)鏈路、信息進(jìn)行加密，實(shí)行訪問(wèn)控制。

② 保證信息安全：采取技術(shù)、管理等措施，保護(hù)信息，使信息的保密性、完整性和可用性得到保障。

31．加強(qiáng)安全保障：加強(qiáng)信息安全保障措施，協(xié)同加強(qiáng)信息安全。主要包括三個(gè)方面的措施：

①檢測(cè)：對(duì)系統(tǒng)的脆弱性、外部入侵、內(nèi)部入侵、濫用、誤用進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)、修補(bǔ)漏洞。

② 響應(yīng)：對(duì)各種安全事件及時(shí)晌應(yīng)，把不安全因素消滅在萌芽狀態(tài)。

③恢復(fù)：制定完整的恢復(fù)計(jì)劃，使得在網(wǎng)絡(luò)萬(wàn)一不能提供服務(wù)時(shí)，能夠及時(shí)、完整地恢復(fù)。

32．局域網(wǎng)的安全風(fēng)險(xiǎn)主要有以下4個(gè)方面：

① 計(jì)算機(jī)病毒的破壞；② 惡意攻擊；③ 人為失誤；④ 軟件本身的漏洞。

33．局域網(wǎng)的安全防范策略有：

① 物理安全策略；② 劃分VLAN 防止網(wǎng)絡(luò)偵聽(tīng)；③ 網(wǎng)絡(luò)分段；④ 以交換機(jī)代替共享式集線器；⑤ 訪問(wèn)控制策略；⑥ 使用數(shù)字簽名；⑦ 用戶管理策略；⑧ 使用代理服務(wù)器；⑨ 防火墻控制；⑩ 入侵檢測(cè)系統(tǒng)；? 定期進(jìn)行漏洞安全掃描；? 建立完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制；? 使用VPN。

【備考點(diǎn)撥】

了解并理解相關(guān)知識(shí)點(diǎn)內(nèi)容。