网络安全协议的种类

网络是一个复杂的环境。很多不安的问题都存在着，例如病毒攻击木马等。那么如何确保我们的网络浏览是安全的呢？这里我们的网络安全协议起到了不小的作用。那么我们就来介绍几种协议让大家认识一下。

SSL与IPSec

(1)SSL保护在传输层上通信的数据的安全，IPSec除此之外还保护IP层上的教据包的安全，如UDP包。

(2)对一个在用系统，SSL不需改动协议栈但需改变应用层，而IPSec却相反。

(3)SSL可单向认证(仅认证服务器)，但IPSec要求双方认证。当涉及应用层中间节点，IPSec只能提供链接保护，而SSL提供端到端保护。

(4)IPSec受NAT影响较严重，而SSL可穿过NAT而毫无影响。

(5)IPSec是端到端一次握手，开销小;而SSL/TLS每次通信都握手，开销大。

SSL与SET

(1)SET仅适于信用卡支付，而SSL是面向连接的网络安全协议。SET允许各方的报文交换非实时，SET报文能在银行内部网或其他网上传输，而SSL上的卡支付系统只能与Web浏览器捆在一起。

(2)SSL只占电子商务体系中的一部分(传输部分)，而SET位于应用层。对网络上其他各层也有涉及，它规范了整个商务活动的流程。

(3)SET的安全性远比SSL高。SET完全确保信息在网上传输时的机密性、可鉴删性、完整性和不可抵赖性。SSL也提供信息机密性、完整性和一定程度的身份鉴别功能，但SSL不能提供完备的防抵赖功能。因此从网上安全支付来看，SET比SSL针对性更强更安全。

(4)SET协议交易过程复杂庞大，比SSL处理速度慢，因此SET中服务器的负载较重，而基于SSL网上支付的系统负载要轻得多。

(5)SET比SSL贵，对参与各方有软件要求，且目前很少用网上支付，所以SET很少用到。而SSL因其使用范围广、所需费用少、实现方便，所以普及率较高。但随着网l二交易安全性需求的不断提高，SET必将是未来的发展方向。

SSL与S/MIME

S/MIME是应用层专保护E-mail的加密网络安全协议，而SMTP/SSL保护E-mail效果不

是很好，因SMTP/SSL仅提供使用 SMTP的链路的安全，而从邮件服务器到本地的路径是用POP/MAN协议，这无法用SMTP/SSL保护。相反S/MIME加密整个邮件的内容后用 MIME教据发送，这种发送可以是任一种方式。它摆脱了安全链路的限制，只需收发邮件的两个终端支持S/MIME即可。

SSL与SHTTP

SHITP是应用层加密协议，它能感知到应用层数据的结构，把消息当成对象进行签名或加密传输。它不像SSL完全把消息当作流来处理。SSL主动把数据流分帧处理。也因此SHTTP可提供基于消息的抗抵赖性证明，而SSL不能。所以SHTTP比SSL更灵活，功能更强，但它实现较难，而使用更难，正因如此现在使用基于SSL的HTTPS要比SHTTP更普遍。

每种网络安全协议都有各自的优缺点，实际应用中要根据不同情况选择恰当协议并注意加强协议间的互通与互补，以进一步提高网络的安全性。另外现在的网络安全协议虽已实现了安全服务，但无论哪种安全协议建立的安全系统都不可能抵抗所有攻击，要充分利用密码技术的新成果，在分析现有安全协议的基础上不断探索安全协议的应用模式和领域。

 

第二篇：网络安全

1、信息安全从总体上可以分成5个层次：安全的密码算法、安全协议、网络安全、系统安全、应用安全。 密码技术是信息安全中研究的关键点。 TPM（可信平台模块）

2、信息安全的目标是保护信息的机密性、完整性、抗否认性、可用性。CIA（机密性、完整性、可用性） 3、信息保障的核心思想是对系统或者数据的4个方面的要求：保护、检测、反应和恢复（PDRR） TCPA（可信计算平台联盟）

4、从系统安全的角度可以把网络安全的研究内容分成两大体系：攻击和防御。 5、攻击技术：网络监听、网络扫描、网络入侵、网络后门、网络隐身

6、防御技术：安全操作系统和操作系统的安全配置、加密技术、防火墙技术、入侵检测、网络安全协议 7、从层次体系上，网络安全分为4个层次上的安全：物理安全、逻辑安全、操作系统安全和联网安全。 8、网络安全的橙皮书是：可信任计算机标准评价准则（TCSEC） 橙皮书把安全的级别从低到高分成4个类别：D类，C类，B类，A类。（P12） 第二章

1、OSI把计算机与计算机之间的通信分成7层：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

2、网络层的主要功能是完成网络中主机间的报文传输，在广域网中，这包括产生从源端到目的端的路由。 传输层的主要功能是完成网络中不同主机的用户进程之间可靠的数据通信，传输层连接是真正端到端的。 表示层关心的是所传送的信息的语法和语义，表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。

3、TCP/IP协议族包括4个功能层：应用层、传输层、网络层、网络接口层。

4、IP协议是世界上最重要的网际协议，IP是面向非连接的，主要负责在主机之间寻址和选择数据包路由。

5、子网掩码是判断任意两台计算机的IP地址是否属于同一子网络的根据。

6、TCP是传输层协议，提供可靠的应用数据传输。协议特点：提供可靠的、面向连接的数据报传输服务。 7、TCP在建立连接时需要3次确认，俗称“三次握手”，在断开连接时需要4次确认，俗称“四次挥手”。 8、FTP服务是通过TCP协议进行传输的。 FTP的默认端口是20（用于数据传送）和21（用于命令传输）。

9、UDP协议为应用程序提供发送和接收数据报的功能，非连接。 DNS（域名系统）使用UDP协议。 10、通过ICMP（因特网控制消息协议）协议，主机和路由器可以报告错误并交换相关的状态信息。 11、Telnet服务给用户提供一种通过网络登录远程服务器的方式。使用Telnet命令还可以检测对方主机的某个端口是否开放。

12、E-mail服务使用的两个主要协议是简单邮件传输协议（SMTP）和邮局协议（POP）。SMTP默认占用25端口，用来发送邮件，POP占用110端口，用来接收邮件。

13、Web服务是目前最常用的服务，使用HTTP协议，默认Web服务占用80端口。

14、判断主机是否连通的ping命令、查看IP地址配置情况的ipconfig指令、查看网络连接状态的netstat指令、进行网络操作的net指令和进行定时器操作的at指令。（P49）

15、Ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP连接，应答消息的接收情况将和往返过程的次数一起显示出来。

16、使用net user 指令查看计算机上的用户列表。 第三章

1、进程是应用程序的执行实例，是程序的动态描述。 2、凡是基于网络应用的程序都离不开Socke。

3、目前流行的两大语法体系：Basic语系和C语系，同一语系下语言的基本语法是一样的。 4、句柄是一个指针，可以控制指向的对象。 5、注册表中存储了Windows操作系统的所有配置。

6、使用多线程的两大优点：提高CPU的利用率；可以设置每个线程的优先级，调整工作的进度。 第四章

1、黑客攻击五部曲：隐藏IP、踩点扫描、获得系统或管理员权限、种植后门、在网络中隐身。 隐藏IP的目的是防止被侦破； 踩点扫描的目的是：踩点就是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点；扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。 获得系统或管理员权限的目的是：连接到远程计算机，对其进行控制，达到自己的攻击目的。 种植后门的目的：保持长期对胜利果实的访问权。 在网络中隐身的目的：防止被管理员发现。 2、网络扫描分成两种策略：被动式策略和主动式策略。 被动式策略是基于主机之上，对系统中不合适

的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。 主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。 扫描的目的是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。 扫描方式分为两大类：慢速扫描和乱序扫描。 3、被动式扫描不会对系统造成破坏，而主动式扫描可能会对系统造成破坏。

4、对非连续端口进行的、并且源地址不一致、时间间隔而没有规律的扫描，称之为慢速扫描。 对连续端口进行的、源地址一致、时间间隔短的扫描称为乱序扫描。

5、网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。 第五章

1、社会工程学是使用计谋和假情报去获得密码和其他敏感信息的科学。 社会工程学攻击主要包括两种方式：打电话请求密码和伪造E-mail。

2、暴力攻击的一个具体例子是：一个黑客试图使用计算机和信息去破解一个密码。

3、字典攻击是最常见的一种暴力攻击。 一次字典攻击是否成功，很大因素上取决于字典文件。 4、通过安装操作系统的补丁程序，可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。

5、Unicode漏洞属于IIS漏洞。 只要是以“/scripts”开头的漏洞都是Unicode漏洞。 只要打上SP1补丁就不存在Unicode漏洞了。

6、利用打印机漏洞可以在目的计算机上添加一个具有管理员权限的用户。

7、SMB（会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通信的共享和用于Windows平台上提供磁盘和打印机的共享。

8、当目标操作系统收到了超过了它的能接受的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。

9、远程过程调用（RPC）是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。 RPC服务不能手动停止，在Windows操作系统中可以利用工具停止该服务，停止该服务以后，最明显的特征是当复制文件时，鼠标右键菜单项“粘贴”总是禁用的。

10、凡是造成目标计算机拒绝提供服务的攻击都称为Dos（拒绝服务）攻击，其目的是使目标计算机或

网络无法提供正常的服务。 最常见的Dos攻击是计算机网络带宽攻击和连通性攻击。 带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。 比较著名的Dos攻击包括：SYN风暴、Smurf攻击和利用处理程序错误进行攻击。 11、SYN flooding攻击即是利用TCP/IP协议族设计弱点。

12、分布式拒绝服务攻击（DDoS）一般都是基于客户——服务器模式。 其特点是先使用一些典型的黑客入侵手段控制一些高宽带的服务器，然后在这些服务器上安装攻击进程，集数十台、数百台甚至上千台机器的力量对单一攻击目标实施攻击。

13、DDoS攻击过程实施顺序是：攻击者—>主控端—>分布端—>目标主机。发动DDoS攻击分为两个阶段：初始的大规模入侵阶段、大规模DoS攻击阶段。

14、DDoS比较著名的攻击工具包括：trini00、TFN、Stacheldraht和TFN2K。 第六章

1、网络后门是保持对目标主机长久控制的关键策略，可以通过建立服务器端口和克隆管理员账号来实现。

2、后门的好坏取决于被管理员发现的概率。留后门的原理：让管理员看了感觉没有任何特别的地方。 3、Web服务的端口是808，Telnet服务的端口是707。终端服务的端口号是3389。

4、木马程序一般由两部分组成：服务器端程序和客户端程序。驻留在对方服务器的称为木马的服务器，远程的可以连到木马服务器的程序称为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。

5、木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能登录对方的主机。

6、设置网络代理跳板是为了不把自己真实的IP地址暴露出来。 选择代理服务原则是选择不同地区的主机作为代理。

7、清除日志是黑客入侵的最后一步。 主机日志包括三种：应用程序日志，安全日志和系统日志。 清除日志是为了在网络中隐身。 第七章

1、扰乱社会和他人的计算机程序，这些程序代码统称为恶意代码。 2、早期恶意代码主要形式是计算机病毒。

3、恶意代码主要包括：计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等等。

4、恶意代码至今体现出来的3个特征：恶意代码日趋复杂和完善、恶意代码编制方法及发布速度更快、从病毒到电子邮件蠕虫，再到利用系统漏洞主动攻击的恶意代码。 5、恶意代码有两个显著的特点：非授权性和破坏性。

6、恶意代码整个作用机制的6个部分：侵入系统、维持或提升现有特权、隐蔽策略、潜伏、破坏、重复（1）至（5）对新的目标实施攻击过程。（P197）

7、一段好的恶意代码，首先必须具有良好的隐蔽性和生存性，不能轻松被软件或者用户察觉。然后，必须具有良好的攻击性。

8、恶意代码的生存技术主要包括4个方面：反跟踪技术、加密技术、模糊变换技术和自动生产技术。 反跟踪技术可以减少被发现的可能性，加密技术是恶意代码自身保护的重要机制。 9、反跟踪技术有两类：反动态跟踪技术和反静态分析技术。

10、反动态跟踪技术包括4个方面：禁止跟踪中断、封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运行的必需环境、检测跟踪法、其他反跟踪技术。

11、反静态分析技术主要包括两方面：对程序代码分块加密执行、伪指令法。 12、从加密内容上划分，加密手段分为信息加密、数据加密和程序代码加密三种。

13、利用模糊变换技术，恶意代码每感染一个客体对象时，潜入宿主程序的代码互不相同。模糊变换技术主要分为5种：指令替换技术、指令压缩技术、指令扩展技术、伪指令技术、重编译技术。 14、恶意代码自动生产技术是针对人工分析技术的。

15、恶意代码常见的攻击技术有：进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。

16、恶意代码的隐藏包括本地隐藏和通信隐藏。 本地隐藏主要有文件隐藏、进程隐藏、网络隐藏、内核模块隐藏、编译器隐藏等。 网络隐藏主要包括通信内容隐藏和传输通道隐藏。

17、网路蠕虫是一种智能化、自动化的计算机程序，综合了网络攻击、密码学和计算机病毒等技术，是一种无须计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的结点主

机，通过局域网或者互联网从一个结点传播到另外一个结点。

18、蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征，网络蠕虫无须计算机使用者干预即可运行，它通过不停地获得网络中存在漏洞的计算机的部分或全部控制权来进行传播。

19、网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程，而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。

20、主体功能模块由四个模块构成：信息搜集模块、扫描探测模块、攻击渗透模块、自我推进模块。 21、辅助功能模块是除主体功能模块外的其他模块的归纳或预测，主要由5个功能模块构成：实体隐藏模块、宿主破坏模块、信息通道模块、远程控制模块、自动升级模块。

22、恶意代码的防范方法主要分成两个方面，基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。 基于主机的恶意代码防范方法主要有：基于特征的扫描技术、校验和、沙箱技术和安全操作系统对恶意代码的防范。 基于网络的恶意代码防范方法包括：恶意代码的检测防御和恶意代码预警。 第八章

1、UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。

2、Linux是一套可以免费使用和自由传播的类UNIX操作系统，主要用于基于Intelx86系列的CPU的计算机上。

3、操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作业，没有它的安全性，信息系统的安全性是没有基础的。

4、操作系统中的每一个实体组件都必须是主体或者是客体，或者既是主体又是客体。 5、安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。

6、安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。 安全模型一般分为两种：形式化的安全模型和非形式化的安全模型。7、访问控制机制的理论基础是访问监控器，由Anderson首次提出。 8、安全内核由硬件和介于硬件和操作系统之间的一层软件组成。

9、操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基（TCB），TCB由7部分组成。（P220）

10、安全操作系统的机制包括：硬件安全机制、操作系统的安全标识与鉴别、访问控制、最小特权管理、可信通路和安全审计。

11、计算机硬件安全的目标是：保护其自身的可靠性和为系统提供基本安全机制。其中安全机制包括存储保护、运行保护、I/O保护。

12、在安全操作系统领域中，访问控制一般都涉及自主访问控制和强制访问控制。

13、自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。

14、一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作。

第十章

1、防火墙是指在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍安全区域对风险区域的访问。

2、防火墙可以监控进出网络的数据，仅让安全、核准后的数据进入，抵制对局域网构成威胁的数据。 另一作用是防止未授权的数据进出被保护的网络。

3、防火墙的3种基本功能：可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户；可以防止入侵者接近网络防御设施；限制内部用户访问特殊站点。

4、防火墙是一种网络安全保障技术，它用于增强内部网络安全性，决定外界的哪些用户可以访问内部的哪些服务，以及哪些外部站点可以被内部人员访问。安全策略是防火墙的一个重要组成部分。

5、防火墙有3方面局限性：防火墙不能防止网络内部的攻击；防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限；防火墙不能防止传送已感染病毒的软件或文件，不能期望防火墙对每一个文件进行扫描，查出潜在的病毒。

6、常见的防火墙有三种类型：分组过滤防火墙、应用代理防火墙和状态检测防火墙。

7、常见的防火墙系统一般按照4种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。

8、成功创建一个防火墙需要6个步骤：制定安全策略、搭建安全体系结构、制定规则次序、落实规则集、注意更换控制和做好审计工作。 9、入侵检测系统指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。 入侵者可以分为两类：外部入侵者和内部入侵者。 10、根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。 11、入侵检测方法有3种分类依据：根据物理位置进行分类、根据建模方法进行分类和根据时间分析进行分类。 常用的方法有3种：静态配置分析、异常性检测方法、基于行为的检测方法。 12、入侵检测的3个步骤：信息收集、数据分析、响应。