2.1 网络安全基础概述

网络协议等漏洞成为网络战攻防的重点

网络协议是实现网络功能的最基本机制和规则，是进行网络通信和数据交换而建立的规则标准或约定的集合，是网络实现连接和交互的重要组成部分

网络体系层次模型有：开放系统互联参考模型OSI和TCP/IP模型

网络层的主要功能：数据包的网络传输，其中IP协议是整个TCP/IP协议体系结构的重要基础

为了保障传输层的安全设计了安全套接层协议（SSL）和升级的TLS协议，SSL协议用于数据认证和数据加密的过程，利用多种有效密钥交换算法和机制。此协议提供了身份认证、完整性校验、保密性服务

网络安全性问题主要解决常用的应用系统协议

1. HTTP协议安全

        HTTP协议是互联网应用最广泛的协议，使用80端口连接，进行浏览、数据传输和对外服务

2. FTP安全

        FTP建立在TCP/IP连接上的文件发送和传送协议，使用20端口（数据连接）和21端口（控制连接）

3. SMT协议安全

        使用TCP的25端口，不法分子可以利用SMTP对E-mail服务器进行干扰和破坏

4. DNS安全

        网络通过DNS在解析域名请求时使用其53端口。黑客可以进行区域传输或利用攻击DNS服务器窃取区域文件，并从中窃取区域中所有系统的IP地址和主机名

5. Tlenet安全

        Telnet的功能是进行远程终端登录访问，使用TCP的23端口，明文传输，不安全

IP v6的优势

1. 扩展地址空间以及应用

        IP v6采用128位地址长度，极大扩大了地址空间

2.提高网络整体性能

3. 加强网络安全性能

        内嵌安全机制，要求强制使用实现IP安全协议IPSec,支持数据源发认证、完整性和保密性，同时可康重放攻击，安全机制主要由认证头AH和封装安全载荷ESP实现

4. 提供更好的服务质量

5. 实现更好的组播功能

6. 支持即插即用和移动性

7. 提供必选的资源和预留协议

IP v6的安全机制

1. 协议安全

        使用IPSec协议

2. 网络安全

        实现端到端安全：

                两端主机对报文IPSec封装,中间路由器实现对有IPSec扩展头IPv6报文封装传输

        提供内网安全

                当内部主机与Internet其他主机通信时,可通过配置IPSec网关实现内网安全

        由安全隧道构建安全VPN

                通过IPv6的IPSec隧道实现的VPN，可在路由器之间建立IPSec安全隧道

        以隧道嵌套实现网络安全

3. 其他物理保障

移动IP v6的安全性

移动IP v6带来了如报文窃听、篡改、拒绝服务等攻击，针对这些攻击可以通过在注册消息中通过添加序列号以防范重放攻击，并在协议报文中引入时间随机数

2.2 虚拟专用网VPN技术

虚拟专用网（Virtual Private Network，VPN）是利用Internet等公共网络的基础设施，综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术，为用户提供的与专用网络具有相同通信功能的安全数据通道。

常用的加解密技术

1. 对称密钥加密

        加密和解密以相同密钥完成

        由于加密和解密的密钥相同，所以此加密算法安全性的关键在于密钥获得者是否授权

        优点：运算相对简单、速度快，适合于加密大量数据的情况。

        缺点：密钥的管理较为复杂

2. 非对称密钥加密（公钥加密）

        非对称算法采用复杂的算法处理，占用更多的处理器资源，运算速度较慢。非对称算法不适合加密大量数据，会膨胀。

        对称加密算法和散列算法结合使用，可生成数字签名

密钥管理技术

        密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式

身份认证技术

        身份认证技术包括信息认证和用户身份认证。信息认证用于保证信息的完整性和通信双方的不可抵赖性，用户身份认证用于鉴别用户身份真实性

        身份认证技术有PKI体系和非PKI体系（使用用户名+口令），PKI体系通过数字证书认证中心CA（Certificate Authority）,采用数字签名和哈希函数保证信息的可靠性和完整性。

VPN的实际应用

1. 远程访问虚拟网

        可提供对企业内网或外网的远程访问服务，使用户随时以所需方式访问企业资源

2. 企业内部虚拟网

        利用该VPN线路不仅可保证网络的互联性，而且，可利用隧道、加密等VPN特性保证在整个VPN上的信息安全传输

3. 企业扩展虚拟网

        主要用于企业之间的互连及安全访问服务

2.3 无线网络安全技术基础

无线网络安全主要有访问控制和数据加密

        访问控制保证机密数据只能由授权用户访问

        数据加密要求发送的数据只能被授权用户所接受和使用

无线网络在数据出传输时以微波进行辐射传播

只要在无线接入点AP覆盖范围内，所有无线终端都可能接收到无线信号，所以无线网络有很大的风险

实现AP的安全

无线接入点AP用于实现无线客户端之间信号互联和中继

1. 修改admin密码

2. WEP加密传输

3. 禁用DHCP服务

4. 修改SNMP字符串

5. 禁止远程管理

6. 修改SSID标识

7. 禁止SSID广播

8. 过滤MAC地址

9. 合理放置AP

10. WPA用户认证

IEEE802.1X认证

IEEE 802.1x是一种基于端口的网络接入控制技术，本身并不提供实际的认证机制，需要和上层认证协议EAP配合实现用户认证和密钥分发。

IEEE802.1x和EAP作为身份认证的无线网络,可分为三个部分：请求者、认证者、认证服务器（Radius）

注：Radius远程用户拨号认证系统是应用最广泛的AAA协议(认证、授权、审计(计费))

使用场景及使用类型

1. 小型企业及家庭用户

        使用传统的WEP认证与加密技术的AP和无线路由器

2. 仓库物流、医院、学校和餐饮娱乐行业

        使用AirPanel Pro AP集群管理系统，其支持IEEE802.1x认证技术并通过后台的RADIUS服务器进行用户身份验证，有效地阻止未经授权的接入，还支持SNMP网络管理协议

3. 公共场所及网络运营商,大中型企业和金融机构

针对公共场所存在相邻用户互访引起的数据泄漏问题，设计了公共场所专用的AP— HotSpot AP

WIFI的安全性和措施

WiFi（Wireless Fidelity）又称IEEE802.11b标准,是一种可以将终端(电脑、PDA和手机)无线方式互连的技术.用于改善无线网路之间互通性

WIFI由AP和无线网卡组成无线网络

2.4 常用网络安全管理工具

1. ping命令

        通过发送Internet控制报文协议ICMP包，检验与另一台TCP/IP主机的IP级连通情况。

2. Quickping命令

        快速探测网络中运行的所有主机情况.也可使用跟踪网络路由程序Tracert命令、TraceRoute程序和Whois程序进行端口扫描检测与探测

        常用的网络扫描工具：SATAN、NSS、Strobe、Superscan、SNMP

3. ipconfig命令

        显示所有TCP/IP网络配置信息、刷新动态主机配置协议DHCP和域名系统DNS设置

4. netstat命令

        显示活动的连接、主机监听的端口、以太网统计信息、IP 路由表、IPv4统计信息

5. net命令

        查看主机上的用户列表、添加和删除用户、与对方主机建立连接、启动或停止的网络服务等。如图