繼續肝，最近感覺閱讀量上來了，是不是臨近考試了，報名應該有的省份都陸續開始了，大家開始臨時抱佛腳了，那我也再接再厲繼續肝！基礎部分争取月底之前肝完，本章主要是講的網絡安全技術跟網絡安全協議，肝完本章網絡安全的就結束了，網絡安全專業感覺後續也是個發展的主線，感興趣的小夥伴可以自行去查一下安全的前景跟所需的技能。

防火牆是在内部網絡和外部因特網之間增加的一道安全防護措施，分為網絡級防火牆和應用級防火牆。

網絡級防火牆層次低，但是效率高，因為其使用包過濾和狀态監測手段，一般隻檢驗網絡包外在（起始地址、狀态）屬性是否異常，若異常，則過濾掉，不與内網通信，因此對應用和用戶是透明的。

但是這樣的問題是，如果遇到僞裝的危險數據包就沒辦法過濾，此時，就要依靠應用級防火牆，層次高，效率低，因為應用級防火牆會将網絡包拆開，具體檢查裡面的數據是否有問題，會消耗大量時間，造成效率低下，但是安全強度高。

注意：考試這個地方的話，還是考防火牆的定義。

入侵檢測系統IDS

防火牆技術主要是分隔來自外網的威脅，卻對來自内網的直接攻擊無能為力，此時就要用到入侵檢測IDS技術，位于防火牆之後的第二道屏障，作為防火牆技術的補充。

原理：監控當前系統／用戶行為，使用入侵檢測分析引擎進行分析，這裡包含一個知識庫系統，囊括了曆史行為、特定行為模式等操作，将當前行為和知識庫進行匹配，就能檢測出當前行為是否是入侵行為，如果是入侵，則記錄證據并上報給系統和防火牆，交由它們處理。

不同于防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鍊路上，無須網絡流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當挂接在所有所關注流量都必須流經的鍊路上。因此，IDS在交換式網絡中的位置一般選擇在：（1)盡可能靠近攻擊源（2)盡可能靠近受保護資源

入侵防禦系統IPS

IDS和防火牆技術都是在入侵行為已經發生後所做的檢測和分析，而IPS是能夠提前發現入侵行為，在其還沒有進入安全網絡之前就防禦。

在安全網絡之前的鍊路上挂載入侵防禦系統IPS，可以實時檢測入侵行為，并直接進行阻斷，這是與IDS的區别，要注意。

IPS形象的比喻就是機關，不僅能發現入侵，也能防禦。

殺毒軟件

用于檢測和解決計算機病毒，與防火牆和IDS要區分，計算機病毒要靠殺毒軟件，防火牆是處理網絡上的非法攻擊。

蜜罐系統

僞造一個蜜罐網絡引誘黑客攻擊，蜜罐網絡被攻擊不影響安全網絡，并且可以借此了解黑客攻擊的手段和原理，從而對安全系統進行升級和優化。

網絡攻擊和威脅

計算機病毒和木馬

病毒：編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我複制的一組計算機指令或者程序代碼。

木馬：是一種後門程序，常被黑客用作控制遠程計算機的工具，隐藏在被控制電腦上的一個小程序監控電腦一切操作并盜取信息。

代表性病毒實例

蠕蟲病毒（感染EXE文件）：熊貓燒香，羅密歐與朱麗葉，惡鷹，尼姆達，沖擊波，歡樂時光。

木馬：QQ消息尾巴木馬，特洛伊木馬，X卧底。

宏病毒（感染word、excel等文件中的宏變量）：美麗沙，台灣1号。

CIH病毒：史上唯一破壞硬件的病毒。

紅色代碼：蠕蟲病毒＋木馬。

真題來喽：

1.随着互聯網的發展，網絡安全越來越受到人們的重視，其中能夠鑒别什麼樣的數據包可以進出組織内部網絡的安全技術稱為（）

A、入侵檢測 B、防病毒軟件 C、安全審計系統 D、防火牆

2.計算機病毒的特征不包括（）

A.傳染性 B.觸發性 C.隐蔽性 D.自毀性

3.攻擊者通過發送一個目的主機已經接收過的報文來達到攻擊目的，這種攻擊方式屬于（ )攻擊。

A.重放 B.拒絕服務 C.數據截獲 D.數據流分析

4.下列攻擊方式中，流量分析屬于（）方式。

A.被動攻擊 B.主動攻擊 C.物理攻擊 D.分發攻擊

解析：直接上答案，D D A A，都是送分題，理解下意思即可。

物理層主要使用物理手段，隔離、屏蔽物理設備等，其它層都是靠協議來保證傳輸的安全，具體如下圖所示：

注意：考試目前隻關心網絡層以上的網絡安全協議，TLS，SET（也是橫跨傳輸層，會話層，表示層，應用層的），SSL，Https，PGP！

防火牆，IDS（入侵檢測）都是網絡層協議！

SSL協議：安全套接字協議，被設計為加強Web安全傳輸（HTTP/HTTPS/)的協議，安全性高，和HTTP結合之後，形成HTTPS安全協議，端口号為443。

SSH協議：安全外殼協議，被設計為加強Telnet/FTP安全的傳輸協議。

SET協議：安全電子交易協議主要應用于B2C模式（電子商務）中保障支付信息的安全性。SET協議本身比較複雜，設計比較嚴格，安全性高，它能保證信息傳輸的機密性、真實性、完整性和不可否認性。SET協議是PKI框架下的一個典型實現，同時也在不斷升級和完善，如SET 2.0将支持借記卡電子交易。

Kerberos協議：是一種網絡身份認證協議，該協議的基礎是基于信任第三方，它提供了在開放型網絡中進行身份認證的方法，認證實體可以是用戶也可以是用戶服務。這種認證不依賴宿主機的操作系統或計算機的IP地址，不需要保證網絡上所有計算機的物理安全性，并且假定數據包在傳輸中可被随機竊取和篡改。

注意：SSL，socket套接字！Https中的s就是SSL協議！端口号443，SET電子商務，應用于信用卡。

PGP協議：使用RSA公鑰證書進行身份認證，使用IDEA(128位密鑰）進行數據加密，使用MD5進行數據完整性驗證。

發送方A有三個密鑰：A的私鑰、B的公鑰、A生成的一次性對稱密鑰；

接收方B有兩個密鑰：B的私鑰、A的公鑰。

上圖從發送時候開始加密，到接收時候解密的整個過程，運用到了前邊講的所有信息安全的技術：

A發送郵件的内容進行hash哈希散列得到摘要，對摘要用A的私鑰加密，就是數字簽名，然後簽名後得到的這個報文鑒别碼MAC加到郵件内容中，使用一次性密鑰進行數據的對稱加密，使用非對稱加密把一次性密鑰進行加密，最終一塊發送給B，接收過程就是個反向解密的過程。使用B的私鑰解密出一次性密鑰，使用一次性密鑰界面對稱加密的正文，獲取正文中的MAC，對MAC，使用A的公鑰解密得到摘要，郵件正文使用hash哈希得到摘要，兩個摘要比較一下，是不是相同，相同說明内容是安全的，沒有被篡改過！

真題來喽：

1.下面可提供安全電子郵件服務的是（）。

A. RSA B.SSL C.SET D.S/MIME

2.以下關于第三方認證服務的叙述中，正确的是（）。

A.Kerberos認證服務中保存數字證書的服務器叫CA

B.第三方認證服務的兩種體制分别是Kerberos和PKI

C.PKI體制中保存數字證書的服務器叫KDC

D.Kerberos的中文全稱是“公鑰基礎設施”

3.網絡管理員通過命令行方式對路由器進行管理，要确保ID,口令和會話話内存的保密性，應采取的訪問方式是（）。

A.控制台 B.AUX C.TELNET D.SSH

解析：第一個就是排除法，最終選D，MIME(Multipurpose Internet Mail Extensions)中文名為：多用途互聯網郵件擴展類型。S/MIME (Secure Multipurpose Internet Mail Extensions)是對MIME在安全方面的擴展。

2B，3D

感謝大夥點贊 關注的支持，是我持續學習更新的動力，關注公衆号：Coding-9527，跟大夥一起學習，成長，進步！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!