希賽小編為考生整理了2022年信息安全工程師考試知識點（十六）：網(wǎng)絡安全防御，希望對大家備考信息安全工程師考試會有幫助。

網(wǎng)絡安全防御

【考法分析】

本知識點主要是對網(wǎng)絡安全防御相關內容的考查。

【要點分析】

1．防火墻主要是實現(xiàn)網(wǎng)絡安全的安全策略，而這種策略是預先定義好的，所以是一種靜態(tài)安全技術。

2．大多數(shù)防火墻規(guī)則中的處理方式主要包括以下幾種：

Accept: 允許數(shù)據(jù)包或信息通過。

Reject: 拒絕數(shù)據(jù)包或信息通過，并且通知信息源該信息被禁止。

Drop: 直接將數(shù)據(jù)包或信息丟棄，并且不通知信息源。

缺省規(guī)則有兩種選擇:默認拒絕或者默認允許。

3．TCP/IP 協(xié)議族具有明顯的層次特性，由物理接口層、網(wǎng)絡層、傳輸層、應用層四層協(xié)議構成，每個層次的作用都不相同，防火墻產(chǎn)品在不同層次上實現(xiàn)信息過濾與控制所采用的策略也不相同。

4．包過濾技術的優(yōu)點是簡單，處理速度也很快。包過濾技術可能存在的攻擊有:

① IP 地址欺騙；

② 源路由攻擊；

③ 微分片攻擊。

5．應用層網(wǎng)關也叫做代理服務器。它在應用層的通信中扮演著一個消息傳遞者的角色。

第三種防火墻技術是電路層網(wǎng)關。它是負責數(shù)據(jù)轉發(fā)的獨立系統(tǒng)，類似于網(wǎng)絡渡船。電路層網(wǎng)關不允許一個端到端的直接的TCP 連接，它自網(wǎng)關建立兩個TCP 連接，一個連接網(wǎng)關與網(wǎng)絡內部的TCP 用戶，一個連接網(wǎng)關與網(wǎng)絡外部的TCP 用戶。

6．防火墻的經(jīng)典體系結構主要有三種形式：雙重宿主主機體系結構、被屏蔽主機體系結構和被屏蔽子網(wǎng)體系結構。

7．入侵檢測與防護的技術主要有兩種:入侵檢測系統(tǒng)(IntrusionDetectionSystem ， IDS)和入侵防護系統(tǒng)(IntrusionPreventionSystem ， IPS) ；入侵檢測技術主要分成兩大類：異常入侵檢測和誤用入侵檢測；入侵檢測系統(tǒng)的體系結構大致可以分為基于主機型(Host-Based) 、基于網(wǎng)絡型(Network-Based) 和基于主體型(Agent-Based) 三種。

8．VPN 即虛擬專用網(wǎng)，它是依靠ISP和其他NSP，在公用網(wǎng)絡中建立專用的、安全的數(shù)據(jù)通信通道的技術。VPN 可以認為是加密和認證技術在網(wǎng)絡傳輸中的應用。

9．VPN 的數(shù)據(jù)加密技術：隧道技術、加解密技術、密鑰管理技術、身份認證技術等。

10．隧道協(xié)議：三種最常見的也是最為廣泛實現(xiàn)的隧道技術是:點對點隧道協(xié)議PPTP，第2 層隧道協(xié)議L2TP, IP安全協(xié)議（IPSec )。除了這三種技術以外還有通用路由封裝GRE、L2F 以及SOCK 協(xié)議等。

① 點對點隧道協(xié)議CPPTP)；

② 第2層隧道悔議(L2TP)；

③ IP 安全協(xié)議(IPSec)。

11．掃描器是一種自動檢測遠程或本地主機、網(wǎng)絡系統(tǒng)安全性弱點的程序。漏洞是在暖件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷。

12．端口掃描：互聯(lián)網(wǎng)上通信的雙方不僅需要知道對方的地址，也需要知道通信程序的端口號。

13．密碼類探測掃描技術(即口令攻擊)是黑客進行網(wǎng)絡攻擊時最常用、最基本的一種形式。

14．我國也提出了自己的動態(tài)安全模型——WPDRRC 模型★。該模型有6 個環(huán)節(jié)和3 大要素。6 個環(huán)節(jié)是W、P 、D 、R、R、C ，它們具有動態(tài)反饋關系。其中， p, D 、R、R與PDRR 模型中出現(xiàn)的保護、檢測、反應、恢復等4 個環(huán)節(jié)相同;W 即預警(waming) ，就是根據(jù)己掌握的系統(tǒng)脆弱性以及當前的計算機犯罪趨勢，去預測未來可能受到的攻擊與危害C (counterattack) 則是反擊一一一采用一切可能的高新技術手段，偵察、提取計算機犯罪分子的作案線索與犯罪證據(jù)，形成強有力的取證能力和依法打擊手段。

15．WPDRRC 模型中具有層次關系的三大要素分別是人員、政策和技術。

16．風險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。每個要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價值:威脅的屬性是威脅出現(xiàn)的頻率;脆弱性的屬性是資產(chǎn)弱點的嚴重程度。最終，計算出-個量化的風險值。

17．SSL 協(xié)議以對稱密碼技術和公開密碼技術相結合，提供了如下三種基本安全服務:

① 秘密性SSL：協(xié)議能夠在客戶端和服務器之間建立起一個安全通道，所有消息都經(jīng)過加密處理以后進行傳輸，網(wǎng)絡中的非法黑客無法竊取。

② 完整性SSL：利用密碼算法和散列(HASH) 函數(shù)，通過對傳輸信息特征值的提取來保證信息的完整性，確保要傳輸?shù)男畔⑷康竭_目的地，可以避免服務器和客戶端之間的信息受到破壞。

③ 認證性：利用證書技術和可信的第三方認證，可以讓客戶端和服務器相互識別對方的身份。

SSL 協(xié)議位于應用層和傳輸層之間，獨立于應用層協(xié)議，即建立在SSL 之上的應用層協(xié)議可以透明地傳輸數(shù)據(jù)。

18．PGP 可以在電子郵件和文件儲存應用中提供保密和認證服務，防止非授權者閱讀，還能對郵件和文件加上數(shù)字簽名，從而使收件人確信發(fā)送者是誰。

19．IEEE802.1x 是IEEE (美國電氣電子工程師學會) 802 委員會制定的LAN標準中的一個，是一種應用于LAN 交換機和無線LAN 接入點的用戶認證技術。

20．WEP 協(xié)議原理：WEP 基于RC4 算法用相同的密鑰加密和解密，用開放系統(tǒng)認證和共享密鑰認證進行認證。

21．WEP 是數(shù)據(jù)加密算法，它不是一個用戶認證機制。

22．ADIUS 協(xié)議是一種提供在網(wǎng)絡接入服務器和共享認證服務器間傳送認證、授權和配置信息等服務的褂議。

23．Kerberos 是一種應用于分布式網(wǎng)絡環(huán)境、以對稱密碼體制為基礎，對用戶及網(wǎng)絡連接進行認證的增強網(wǎng)絡安全的服務。★

24．X.509 是由國際電信聯(lián)盟CITU-T) 制定的數(shù)字證書標準；X. 509 是基于公鑰密碼體制和數(shù)字簽名的服務；X.509 給出的鑒別框架是一種基于公開密鑰體制的鑒別業(yè)務密鑰管理。

25．SSH (SecureShell) 協(xié)議是在傳輸層與應用層之間的加密隧道應用協(xié)議，它從幾個不同的方面來加強通信的完整性和安全性。

26．蜜罐(Honeypot) 技術是)種主動助御技術，是入侵檢測技術的一個重要發(fā)展方向。

蜜罐的優(yōu)點有：① 使用簡單；② 資源占用少；③ 數(shù)據(jù)價值高。

蜜罐的缺點有: ① 數(shù)據(jù)收集面狹窄；② 給使用者帶來風險。

27．蜜罐有四種不同的配置方式：

① 誘騙服務（DeceptionService)；② 弱化系統(tǒng)（WeakenedSystem)；③ 強化系統(tǒng)（HardenedSystem)；④ 用戶模式服務器（UserModeServer)。

28．用于備份的設備有硬盤、光盤、磁帶三種；備份方式有三種：完全備份、增量備份、差異備份。完全備份就是對服務器上的所有文件完全進行歸檔；增量備份是指只把最近新生成的或者新修改的文件拷貝到備份設備上；差異備份與增量備份很相似。兩者所不同的是，差異備份對上次備份后所有發(fā)生改變的文件都進行備份(包括刪除文件的信息)，并且不是從上次備份的時間開始計算。

29．NAS （NetworkAttachedStorage) 通常譯為"網(wǎng)絡附加存儲"或"網(wǎng)絡連接存儲"。意思是連接在網(wǎng)絡上的存儲設備。SAN （StorageAreaN etwork) 通常譯為"存儲區(qū)域網(wǎng)絡"。它是使用光纖通道。

30．網(wǎng)絡安全防范意識與策略：

① 保證通信安全：對鏈路、信息進行加密，實行訪問控制。

② 保證信息安全：采取技術、管理等措施，保護信息，使信息的保密性、完整性和可用性得到保障。

31．加強安全保障：加強信息安全保障措施，協(xié)同加強信息安全。主要包括三個方面的措施：

①檢測：對系統(tǒng)的脆弱性、外部入侵、內部入侵、濫用、誤用進行檢測，及時發(fā)現(xiàn)、修補漏洞。

② 響應：對各種安全事件及時晌應，把不安全因素消滅在萌芽狀態(tài)。

③恢復：制定完整的恢復計劃，使得在網(wǎng)絡萬一不能提供服務時，能夠及時、完整地恢復。

32．局域網(wǎng)的安全風險主要有以下4個方面：

① 計算機病毒的破壞；② 惡意攻擊；③ 人為失誤；④ 軟件本身的漏洞。

33．局域網(wǎng)的安全防范策略有：

① 物理安全策略；② 劃分VLAN 防止網(wǎng)絡偵聽；③ 網(wǎng)絡分段；④ 以交換機代替共享式集線器；⑤ 訪問控制策略；⑥ 使用數(shù)字簽名；⑦ 用戶管理策略；⑧ 使用代理服務器；⑨ 防火墻控制；⑩ 入侵檢測系統(tǒng)；? 定期進行漏洞安全掃描；? 建立完善的網(wǎng)絡安全應急響應機制；? 使用VPN。

【備考點撥】

了解并理解相關知識點內容。