考试说明:选择题33-36,综合题(2-4分,考查IPS防火墙)
常考知识点:
-
数据备份策略、磁盘阵列备份方式
-
加密技术——对称加密、非对称加密
-
入侵防护系统——IPS(入侵防护系统)
-
防火墙技术——PIX配置过程
-
网络版防病毒软件的安装与配置
考点1:数据备份策略、磁盘阵列备份方式
①从
备份策略
来看,可以分为
完全备份
、
增量备份
和
差异备份
;
②从
备份模式
来看,可以分为
物理备份
和
逻辑备份
;
③根据
备份服务器在备份过程中是否可以接收用户响应和进行数据更新
,又可以分为
在线备份
和
离线备份
(或者称为热备份和冷备份)。
1.数据备份策略
①完全备份(full backup):指
对用户指定的所有数据文件或整个系统进行全面备份
,是一种常用的数据备份方式。
②增量备份(incremental backup):只是备份那些自上次完全备份或增量备份后新创建的、被修改过的文件,即
只备份所有发生变化的文件
。
③差异备份(differential backup)与增量备份相似,只备份新创建的或被修改过的数据。但两者的区别在于,差异备份是
积累
的,
一个文件只要自上次完全备份后被修改过或者是新创建的,则在以后每次进行差异备份时都会被备份,直到下一次完全备份为止。
=> 工作量:完全备份>差异备份>增量备份
数据恢复时使用备份数:增量备份>差异备份>完全备份
-
安全备份
不会检查
自上次备份后文件是否被改动过,只是机械地将每个文件读出、写入,而
不管文件是否已被修改
;增量备份
没有重复的备份数据
,备份数据量不大,所需时间很短;差异备份
只备份新创建的或被修改过的数据
。
2.磁盘阵列备份方式
廉价冗余磁盘阵列(RAID)是一种广泛使用的数据备份设备,同时也是一种数据备份技术。它是指将多个类型、容量、接口,甚至品牌一致的专用磁盘或普通磁盘连成一个阵列,使其能以某种快速、准确和安全的方式来读写磁盘数据,从而达到
提高数据读取速度和安全性
的一种手段。
磁盘阵列的
最大特点是数据存储速度特别快
,其主要功能是提高网络数据的可用性及存储容量,并将数据有选择性地分布在多个磁盘上,从而
提高系统的数据吞吐率
。
磁盘阵列有多种部署方式,也称
RAID级别
。不同的RAID级别,备份方式不同。目前主要有RAID0、RAID1、RAID3、RAID5等几种,也可以是几种独立方式的组合,如
RAID10就是RAID0和RAID1的组合
。
RAID1是需要
通过磁盘数据镜像实现数据冗余
,而RAID5可以
在所有磁盘上交叉地存取数据及奇偶校验信息
,相比较而言
RAID5可靠性优于RAID1
。
磁盘阵列需要有
磁盘阵列控制器
,有些服务器主板中就
自带有这个RAID控制器,提供了相应的接口
。而有些服务器主板上
没有这种控制器
,这样在需要配置RAID时,就
必须外加一个RAID卡(阵列卡)插入服务器的PCI插槽中
。
RAID控制的磁盘接口通常是
SCSI接口
,不过目前也有一些RAID阵列卡提供了
IDE接口
,使IDE磁盘也支持RAID技术。同时随着SATA接口技术的成熟,
基于SATA接口
的RAID阵列卡也非常多;有些阵列卡
提供2个甚至4个磁盘接口通道
。
考点2:加密技术——对称加密、非对称加密
1.加密与解密
①
加密
就是
利用密码学的方法对信息进行伪装
,使得未授权者不能识别和理解其真正的含义,也不能伪造、篡改和破坏数据;
②经过授权的接收者在收到密文后,进行与加密相逆的变换,去掉密文的伪装,
恢复明文的过程称为解密
;
③
加密和解密组成加密系统,明文和密文统称为报文。
将信息从明文加密成密文,再从密文转换会明文的整个系统称为密码系统。
2.对称密钥技术
对称加密技术(又称密钥密码技术):指
加密系统的加密密钥和解密密钥相同
,或者虽然不同,但可以从其中一个密钥推导出另一个密钥。使用对称加密方法,加密方和解密方必须使用同一种加密算法和相同的密钥。
①
数据加密标准(DES)算法
是最典型的对称密钥加密算法,DES算法使用64位的密钥长度,其中
8位用于奇偶校验
,用户可以使用其余的56位。
②
国际数据加密(IDEA)算法
是一个对称分组密码,
明文和密文都是64位
,
密钥长度为128位
,它的速度和能力类似于DES,但是
更加安全
。
其他比DES更安全的对称加密算法,如RC2算法、RC4算法、Skipjack算法;
采用对称加密算法,网络中N个用户之间进行加密通信,需要密钥个数是N*(N-1)。
3.非对称密钥技术
非对称密钥技术对信息的加密与解密使用不同的密钥,
用来加密的密钥[ 公钥 ]是可以公开的
,
用来解密的密钥[ 私钥 ]是需要保密的
,因此又被称为公钥加密技术。
目前,常用的公钥算法包括:RSA算法、DSA算法、ECC椭圆曲线算法、PKCS算法与PGP算法等。
RSA公钥加密算法是目前因特网上进行保密通信和数字签名的最有效的加密算法之一,
RSA体制多用在数字签名、密钥管理和认证等方面
。
采用非对称密钥技术算法,网络中N个用户之间进行加密通信,需要2N个密钥。
考点3:入侵防护系统——IPS(入侵防护系统)
1.入侵检测系统(IDS)的概念
入侵检测技术就是
对入侵行为进行检测的技术
。通过收集、分析计算机网络或计算机系统中的一些关键信息,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。[ 工作在旁路模式 ] [ 具有嗅探功能 ]
①监视、分析用户和系统的行为;
②审计系统配置和漏洞;
③评估敏感系统和数据的完整性;
④对异常行为进行统计分析,识别攻击行为,并向网络管理人员报警;
⑤对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
2.入侵检测系统的分类
根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。
①
基于主机的入侵检测系统(HIDS)
:通常在被重点检测的主机上运行一个代理程序,用于监视、检测对于主机的攻击行为,通知用户并进行响应。
②
基于网络的入侵检测系统
:一般通过将网卡设置成“混杂模式”来收集在网上出现的数据帧,可采用的基本识别技术包括:
模式匹配、频率或阈值、事件的相关性、统计意义上的非正常现象检测。
3.分布式入侵检测系统
分布式入侵检测系统将数据收集和部分数据分析功能分布在网络中的不同主机运行,很大程度上解决了
集中式入侵检测系统处理能力有限、容易单点失效
等缺点。
分布式的入侵检测系统有
层次式
、
协作式
和对等式3种类型。
=>
对等式
:对等模型的应用使得分布式入侵检测系统
真正的避免了单点失效的发生
。
4.入侵防护系统的基本概念
入侵防护系统(IPS)是将
防火墙技术和入侵检测技术
进行整合并
采用In-line的工作模式
的系统,该系统倾向于
提供主动防护
,其
设计宗旨是预先对入侵活动和攻击性网络流量进行拦截
,避免其造成损失。
入侵防护系统主要包括:嗅探器、日志系统、检测分析组件、状态开关、策略执行组件和控制台6个部分。
【真题】
如果该网络内服务器群的IP地址为10.10.33.11-10.10.33.25,并且采用一种设备能够对服务器提供如下保护措施:发送到服务器群的数据包将被进行过滤检测,如果检测到恶意数据包时,系统发出警报并阻断攻击。这种设备的名称是
_
__
[1]__
__
。
[1]入侵防护系统(IPS)
解析:IDS只检测和发现可能存在的攻击行为,IPS才会发出警报、阻断攻击。
5.入侵防护系统的分类
入侵防护系统主要分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统。
①
基于主机的入侵防护系统(HIPS)
:是安装在受保护的主机系统中,检测并阻挡针对本机的威胁和攻击,可以
通过监视内核的系统调用来阻挡攻击并记录日志
。
HIPS可以
阻断缓冲区溢出、改变登录口令、改写动态链接库或其他试图从操作系统夺取控制权的入侵行为
,整体提升主机的安全水平。
②
基于网络的入侵防护系统(NIPS)
:布置于
网络出口处
,一般
串联于防火墙和路由器之间
,网络进出的数据流都必须通过它[ 过滤与检测 ],从而保护整个网络的安全。
因为
攻击的误报将导致合法的通信被阻断
,导致拒绝服务,而性能不足会带来合法通信的延迟,甚至成为网络的瓶颈。[ 对入侵检测的性能和要求较高 ]
③
应用入侵防护系统(AIPS)
:由基于主机的入侵防护系统发展而来,一般
部署在应用服务器前端
,进而保证了应用服务器的安全性。
应用入侵防护系统能够防止诸多入侵,包括
SQL代码嵌入、缓冲区溢出、畸形数据包、cookie篡改、参数篡改、强制浏览、数据类型不匹配以及其他已知漏洞攻击
。
应用入侵防护系统通常部署在面向互联网的应用系统之前,能够成为应用服务器的重要安全屏障。
考点4:防火墙技术——PIX配置过程
1.防火墙的基本概念
①防火墙是指一个由软件和硬件设备组合而成的,在
内部网和外部网
之间、
专用网和公共网
之间的界面上构成的保护屏障,是一种获取安全性的形象说法。
②防火防主要由
服务访问规则、验证工具、包过滤和应用网关
4个部分组成。
③通常布置在企业内部网络和外部公共网络之间,企业中一些需要对外提供服务的服务器(如FTP、WWW、E-mail)通常
部署在防火墙的DMZ区
。
2.防火墙安装与配置
(1)防火墙的网络接口
①
外部网络区域
是指企业外部网络,也称为
外网
,如Internet、第三方网络等,是
互联网络中不被信任的区域
。当外部区域想要访问内部区域的主机和服务时,可以通过对防火墙进行设置实现外部网络的
有限制访问
。
②
内部网络
是指企业内部网络,或者企业内部网络的一部分,也称为
内网
。它是
互联网络中的信任区域,应受到防火墙的保护
。如企业内部的各个部门之间的局域网。
③
DMZ
(也称为停火区)是一个隔离的网络,或几个网络。
位于停火区中的主机或服务器被称为堡垒主机。
一般在停火区内可以放置Web服务器、Mail服务器等。
(2)PIX 525防火墙访问管理模式
①非特权模式
PIX防火墙
开机
自检后,就是处于非特权模式,系统显示为“
pixfirewall>
”
②特权模式
输入“enable”进入特权模式
,可以改变当前配置,显示为“
pixfirewall#
”
③配置模式
输入”configure terminal“进入配置模式
,绝大部分的系统配置都在这里进行,显示”
pixfirewall(config)#
“。
④监视模式
在PIX防火墙在
开启或重启过程中
,
按住scape键或发送一个“Break”字符
,即可进入监视模式。这里可以
更新操作系统映象和进行口令恢复
,显示为“
monitor>
”。
(3)PIX 525防火墙的基本配置
PIX防火墙有9个基本配置命令:nameif、interface、ip address、nat、global、route、static、conduit、fixup。
①nameif:用于配置防火墙接口的名字,并指定安全级别。
<span style="background-color:#f8f8f8"><span style="color:#333333">---配置示例
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50</span></span>
在默认配置中,
以太网0端口被命名为外部接口(outside),安全级别是0
;
以太网1端口被命名为内部端口(inside),安全级别是100
。
=>
安全级别取值范围为1~99,数字越大安全级别越高。
②nat:指定要进行转换的内部地址。nat作用是
将内网的私有IP地址转换为外网的共有IP地址
。nat命令总是与global命令一起使用,因为nat命令可以指定一台主机或一段范围的主机访问外网,
访问外网时需要利用global所制定的地址池进行访问
。
③global:
指定外部地址范围(地址池)
。内网的主机通过防火墙要访问外网时,防火墙要使用这段IP地址池为要访问外网的主机分配一个全局IP地址。
④static:
配置静态nat
,static命令用于
创建内部IP地址和外部IP地址之间的静态映射
。
⑤conduit:
管道命令
。
<span style="background-color:#f8f8f8"><span style="color:#333333">---配置语句
Pix525(config)#conduit permit | deny global_ip port [-port] protocol foreign_ip [netmask]</span></span>
-
permit | deny:表示允许或拒绝访问。
-
global_ip:指先前由global或static命令定义的全局IP地址。
-
port:指服务所作用的端口号。
-
protocol:指连接协议(如TCP、UDP、ICMP等协议)。
-
foreign_ip:表示可访问global_ip的外部IP地址。
<span style="background-color:#f8f8f8"><span style="color:#333333">---例:配置允许任何外部主机对全局地址192.168.0.8的这台主机进行HTTP访问。
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any</span></span>
⑥fixup:配置FIXUP协议。fixup命令的作用是
启用、禁止、改变一个服务或协议
通过PIX防火墙的端口,由fixup命令指定的端口是PIX防火墙要侦听的服务。
<span style="background-color:#f8f8f8"><span style="color:#333333">---例1:启用FTP协议,并指定FTP的端口号为21。
Pix525(config)#fixup protocol ftp 21
---例2:禁用SMTP协议
Pix525(config)#no fixup protocol smtp</span></span>
【真题】
防火墙FW为Cisco PIX 525,若允许内网的FTP服务器向外网提供服务,需要使用的配置命令是
_
__
[1]__
__
;若部分内网需要访问外网,需要使用的两个配置命令依次是
_
__
[2]__
__
和
_
__
[3]__
__
。
[1]Fixup 或 fixup protocol ftp
解析:本题理解为FTP协议通过防火墙,需使用fixup命令。
[2]nat
[3]global
解析:内网访问外网,肯定需要先要经过nat技术进行地址转换,将内部地址转换成可访问外网的全局IP地址,而全局IP地址还需要通过global命令进行制定。
考点5:网络版防病毒软件的安装与配置
1.网络版防病毒系统结构
网络版防病毒软件采用分布式的体系结构,整个防病毒体系是由4个相互关联的子系统组成:
系统中心、服务器端、客户端、管理控制台
。各个子系统协同工作,共同完成对整个网络的病毒防护工作。
-
系统中心:远程杀毒、网络管理、自动升级、远程报警。
-
服务器端:查杀病毒、实时监探、自动升级、远程安装。
-
客户端:查杀病毒、实时监控、自动升级。
-
管理控制台:控制、管理、设置。
2.网络版防病毒系统安装
①安装系统中心时,安装程序将在该服务器上同时
安装一套服务器端系统和一套管理控制台系统
。安装系统中心的计算机应具备全天候开机、可以方便地连接Internet条件。
②对于绝大多数
网络版防病毒系统
,服务器端和客户端都可以采用
本地安装、远程安装、Web安装和脚本安装
这几种方式进行安装。
-
本地安装:直接利用安装程序在本地完成安装的方法。
-
远程安装:需要系统管理员通过管理控制台给指定的系统客户端执行远程安装的操作。
-
Web安装:通过浏览器在指定位置的网页实现网络版防病毒软件的安装。
-
脚本安装:快速实现网络版防病毒软件的安装。
③
控制台的安装
有通过
光盘安装和远程安装
两种方式,无论采用何种方式系统管理员都可以将管理控制台安装在其他计算机上。
=> 管理控制台是根据系统管理员的需要进行安装的,可以安装在服务器端或客户端。
3.网络版防病毒系统的主要参数设置
(1)系统升级设置
①
从网站升级
:系统中心直接通过Internet从其官方网站上获取升级文件。
②
从上级中心升级
:下级中心从上级中心获取升级文件。
③
手动升级
:从防病毒系统的官方网站下载升级包,将其复制到系统中心服务器上手动进行安装。
(2)系统的数据通信端口可以设定 [ 非固定的 ]