网络安全配置基础总结（全文）_网络安全工作总结总结

网络安全配置基础总结（全文）由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“网络安全工作总结总结”。

防火墙功能：它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

威胁：威胁是指可能对资产带来危险的任何活动，因为对资产带来危险的基本活动很少改变，威胁的变化性小于漏洞。常见的威胁包括：1）想方设法盗取、修改或破坏数据、系统或设备的人。2）引起数据、系统或设备损坏的灾难。

漏洞：漏洞是可被威胁利用的安全性上的弱点。出现漏洞的常见原因包括：1）新开发的软件和实现的硬件时常会带来新的漏洞。2）人在忙碌时难免犯错。3）许多组织是以被动的而非主动的方式应对网络安全问题。

攻击：攻击时之故意绕过计算机安全控制的尝试。利用漏洞的新攻击不断出现，但是，当每种攻击方法公开后，防范这种攻击的对策通常也会随后公开。

攻击者的动机:

1、个人的进步或满足：如心存嫉妒而从同事那里窃取创意的人+被开除后伺机报复前雇主的雇员+沉溺于追求优越感、喜欢控制别人或喜欢游离于正常社会之外的人；

2金钱利益：如窃取信用卡号或身份证并出卖这些证件的人+有组织的从事计算机诈骗的犯罪者； 3在同辈中的声望：如希望向同辈显示实力的程序员新手+想获得高级程序员名声的中级程序员； 4影响：如想攻击出名的人+想给他或她不喜欢的组织带来负面影响的人；

5恐怖主义：如通常由于政治或意识形态的原因想胁迫或强制组织、社会或政府的人；

6地下执法者或激进主义：如感觉有责任为了公众的利益而仔细寻查安全性弱点的人；

7间谍：如侦查其他组织或其他政府以获得资源或优势的人。

常见的攻击：电子欺骗：伪装为其他人或其他事物。

中间人（Man-in-the-middle）：在通信双方未察觉的情况下拦截器传输数据。

后门（Back door）：允许攻击者绕过安全措施访问系统的软件。

拒绝服务（Denial of service）：造成某个资源无法访问。

重放：捕获传输数据，然后再次使用。数据包嗅探（Packet sniffing）：窃听网络通信。

社交工程（Social engineering）：诱使用户违反正确的安全程序。

SID(Security IDentifier)安全标识符：是一个包括字符和数字的具有唯一性的字符串，它在网络中代表用户。系统使用SID来判断哪些安全主体（如用户账户和安全组）拥有特定受保护资源的访问权限。LSA(Local Security Authority)本地安全机构：在windows中，LSA进程负责进行授权。LSA几乎执行所有与安全相关的功能，包括用户登录以及创建访问令牌、访问安全账户数据库，并检查对受保护资源的访问权限。

KDC(Key Distribution Center)密钥分发中心：密码学中的密钥分发中心（KDC）是密钥体系的一部分，旨在减少密钥体制所固有的交换密钥时所面临的风险。KDC应用在这样的系统中：系统内一些用户能够使用某些服务，而其他人不能使用那些服务。

GPO(Group Policy Object)组策略对象：组策略对象能控制操作系统中用户账户的相关特性。OU(Organizational Unit)组织单元：是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。

VPN(Virtual Private Network)虚拟专用网络。采用了隧道技术、加解密技术、密钥管理技术在公用网络上建立专用网络的技术。

RRAS(Routing and Remote Acce Service)路由和远程访问服务器。是一种允许用户从远端通过拨号连接连接到本地计算机的远程服务

FTP(File Transfer Protocol)文件传输协议。是TCP/IP网络上两台计算机传送文件的协议。

DNS(Domain Name System)域名系统。可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网。

PKI(Public Key Infrastructure)公钥基础结构：证书在认证用户和受信资源之间进行交换，用来在组织内和组织外保护数据和管理身份凭证。

SNMP(Simple Network Management Protocol)简单网络管理协议。由一组网络管理的标准组成，能够支持网络管理。

HTTPS(hypertext transport protocol)超文本传送协议。一种规定了浏览器和万维网服务器之间互相通信规则，通过因特网传送万维网文档的数据传送协议。

IIS(Internet Information Services)互联网信息服务。由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

TLS(Transport Layer Security)安全传输层协议。用于在两个通信应用程序之间提供保密性和数据完整性。

IPSEC(Internet Protocol Security)Internet 协议安全。使用加密的安全服务确保在 Internet 协议(IP)网络上进行保密而安全的通讯。

WAP(Wirele Application Protocol)无线应用协议。是一项全球性的网络通信协议。

WEP(Wired Equivalent Privacy)有线等效保密协议。对两台设备间无线传输数据进行加密，以防止非法用户窃听或侵入。DES(Data Encryption Standard)数据加密标准。是一种对称加密算法。

数字证书：由一个由权威机构CA机构中心发行，是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式。

CA（Certification Authority，证书颁发机构）：是一项服务，负责建立并保证属于用户（最终实体）或其他证书颁发机构的公钥的真实性的实体。证书颁发机构的活动可能包括通过所签署的证书将公钥绑定到特征名称上，以及管理证书序号和证书吊销。

SSID(Service Set Identifier)服务器设置标识符

RRAS(Routing and Remote Acce Service)路由和远程访问服务：是Microsoft Windows组件，管理对网络的远程访问和网络间路由。

对称算法：私钥加密算法，加/解密密钥是相同的；优点：算法公开、计算量小、加密速度快、加密效率高；缺点：如果需要与很多人交换数据，就需要为每一方都准备单独的密钥，这可能会使密钥管理变得非常困难。算法:AES,DES,3DES, IDEA

非对称算法：公钥加密算法，加/解密密钥是不同的；优点：它提供一种无需交换密钥的安全通信方式既可以验证个人身份也可以验证数据的完整性安全性高；缺点: 加密和解密的处理速度相对较慢。RSA算法,Rabin算法、、散列算法：MD4和MD5以及FIPS 180-1

SSL（Security Socket Layer）安全套接字层是一个安全协议，它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的超文本传输协议（HTTP）使用 SSL 来实现安全的通信。

在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC4）进行加密的。公用密钥算法（通常为 RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证，此认证同时需要客户端和服务器的数字证书。

工作原理：

SSL 客户机：使用 SSL 开始通信的一方称为 SSL 客户机。

SSL 服务器：接收通信的一方称为 SSL 服务器。

SSL 服务器证书：SSL 服务器向 SSL 客户机提供其服务器证书。

证书密钥数据库：SSL 服务器将其服务器证书保留在其密钥数据库中（对于 IBM HTTP server 的情况，在名为 key.kdb 的文件中）。

密钥数据库密码：为了保护密钥数据库中的服务器证书，设置了密码供已经过配置以使用 SSL 的应用程序使用。

证书验证：SSL 客户机验证服务器证书是否可靠。要完成该任务，该客户机必须有服务器证书的副本或发放服务器证书的认证中心的根证书。

(TM)证书密钥库：用于验证服务器证书的所有证书存储在 SSL 客户机上。在 SSL 客户机是 Java 客户机的情况下，证书就会存储在 Java 密钥库（名为 key.jks 的文件）中。

Java 密钥库密码：对于 Java 程序，密钥数据库密码还使用户可以访问 Java 密钥库。

加密消息;如果 SSL 客户机已验证了服务器证书的可靠性，它可以使用服务器证书中的信息对要发送的消息进行加密。

解密消息:SSL 服务器接收消息时可将其解密，因为该消息使用其本身的服务器证书进行加密。域的各种操作：

1创建（1个或多个）、删除、禁用本地用户账户，创建、删除安全组；

2创建和管理Active Directory域账户和安全组，具体主要如下：

3域用户账户单点登录，域用户账户身份验证，域用户访问域中的资源；

4有效使用域安全组：用安全组设置权限；

5针对大型组织的安全组优化措施；

6在域中创建和管理用户账户和安全组的指导方针。

IDS：Intrusion Detection Systems，入侵检测系统，指对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。以保证网络系统资源的机密性、完整性和可用性。

工作原理：入侵检测可分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的，是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

无线技术:wirele LAN，无线局域网wlan的构建，使得客户计算机无需物理连接就可接入网络，由于硬件价格不断下降以及更高带宽协议的频频发布，无线网络已从默默无闻发展到被广泛采用。

无线访问点(Wirele Acce Point/WAP)：多个无线网络适配器可通过访问点相互通信（基础模式），通常不可移动，常见的有效距离从50米到上百米。

WAP配置：客户端网络适配器只与称作无线访问点WAP的特殊无线桥接器会话，无线桥接器直接连入有线网络，当在客户端和WAP之间创建关联时，配置客户端使用服务设置标识符（SSID，Service Set Identifier）作为WAP。

WEP（有线等效隐私，Wired Equivalent Privacy）是无线网络中保护数据私密性，加密数据的技术。WEP配置：在小型网络中使用WEP在技术上并不复杂，必须逐个地在大多数WAP设备和客户端上用WEP密钥来设置密钥。在大企业中保持共享密钥的机密性需要严格的信息技术规程，而且会提高IT人员的工作量，此时可以选用包含自动部署WEP的管理工具的无线设备，可以简化WEP加密的大范围部署。防火墙的基本功能如下：它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

1.包过滤：具备包过滤的就是防火墙，即是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。

2.包的透明转发：事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。

3.阻挡外部攻击：如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。

4.记录攻击：其实防火墙是可以将攻击行为记录下来的，但由于效率上的考虑，一般记录攻击都交给IDS来完成。