网络安全之网络组件

本文摘自CISSP官方学习指南第8版

1. OSI 模型

协议是一组规则和限制，用于定义数据如何通过网络介质传输（例如双绞线、无线传输等）。

1.1 OSI 模型的历史

开放OSI协议是为给所有计算机系统建立通用的通信结构或标准。OSI模型用作协议描述了理想硬件上运行的理想抽象框架或理论模型。因此，OSI模型已成为了一个共同参考。

1.2 OSI 功能

OSI模型将网络任务分为七个不同的层。每层负责执行特定任务或操作，以支持在两台计算机之间交换数据（即网络通信）。

OSI模型是网络产品供应商的开放式网络架构指南。

1.3 封装、解封

基于OSI模型的协议采用“封装”机制。封装是将每个层从上面的层传递到下面的层之前为每个层接收的数据添加头部，也可能添加尾部。

封装，解封过程如下：

• 应用层创建一条消息
• 应用层将消息传递给表示层
• 表示层通过添加信息头来封装消息，信息通常仅在消息的开头（称为头部）添加，但某些层还会在消息末尾添加内容（称为尾部），

• 向下传递消息并添加特定层的信息的过程将一直持续到消息到达物理层
• 在物理层，消息被转换为用比特表示的电脉冲，并通过物理连接传输
• 接收计算机从物理连接中捕获比特，在物理层中重新创建消息
• 物理层将消息从位转换为数据链路帧，将消息发送到数据链路层
• 数据链路层剥离其信息并将信息发送到网络层
• 执行解封过程直到消息到达应用层
• 当邮件到达应用程序层时，邮件中的数据将发送给目标收件人

每层删除的信息包含指令、校验和等，只能由最初添加或创建信息的对等层理解。此信息用于创建逻辑通道，使不同计算机的对等层能够通信。

发送到协议栈第七层的信息被称为数据流。它保留数据流的标签（有时是PDU的标签），直至它到达传输层（第4层），在那里被称为段（TCP）或数据报（UDP协议）。在网络层（第3层）中，它被称为数据包。在数据链路层（第2层），他被称为帧。在物理层（第一层）中，数据已被转换为比特，以通过物理连接介质传输。

1.4 OSI模型层次

1. 物理层

物理层（第一层）接受来自数据链路层的帧，并将帧转换为比特，以便通过物理连接介质进行传输。物理层还负责从物理连接介质接受比特并将他们转换为数据链路层使用的帧。

物理层包含设备驱动程序，它告诉协议如何使用硬件来传输和接受比特，位于物理层的电气规范、协议和接口的标准如下所示：

• EIA、TIA-232 和 EIA、TIA-449
• X.21
• 高速串行接口（HSSI）
• 同步光纤网络（SONET）
• V.24 和 V.35

物理层通过设备驱动程序和这些标准来控制吞吐率，处理同步、管理线路噪声和介质访问，并确定是采用数字信号、模拟信号还是光脉冲通过物理硬件接口传输或接收数据。

第一层（物理层）运行的网络硬件设备是网卡（NIC），集线器，中继器，集中器和放大器。

2. 数据链路层

数据链路层（第2层）负责将来自网络层的数据包格式转化为适当的传输格式，正确格式由网络硬件和技术决定，如以太网（IEEE802.3），令牌环（IEEE 802.5），异步传输模式（ATM），光纤分布式数据几口（FDDI）和铜线分布式数据接口（CDDI）。只有以太网是现代网络中常用的数据链路层技术。在数据链路层中，存在基于特定技术的协议，这些协议将数据包转换为格式正确的帧。格式话帧后，将其发送到物理层进行传输。

数据链路层中的一些协议：

• 串行线路互联网协议（Serial Line Internet Protocol，SLIP）
• 点对点协议（Ponit-to-Point protocal，PPP）
• 地址解析协议（Address Resolution Protocal，ARP）
• 第二层转发(Layer 2 Forwarding , L2F)
• 第二层隧道协议（Layer 2 Tunneling Protocal， L2TP)
• 点对点隧道协议（Point-to-Point Tunneling Protocal, PPTP)
• 综合业务数字网（Integrated Services Digital Netwrok，ISDN）

对于数据链路层的数据处理包括将硬件源和目标地址添加到帧。

硬件地址MAC地址，是一个6字节（48位）的二进制地址并以十六进制表示法编写（如00-13-02-1F-58-F5）。前3个字节（24位）表示网卡制造商，称为组织唯一标识符（OUI）。最后3个字节（24位）表示制造商分配给该接口的唯一编号。

在OSI模型的数据链路层（第2层）的协议中，你应该熟悉地址解析协议（ARP），ARP用于将IP地址解析位MAC地址。使用MAC地址将网段上的流量从其源系统定向到其他目标系统。

ARP作为以太网帧的有效载荷携带，属于第2层协议。

在第2层（数据链路层）运行的网络硬件设备是交换机和网桥。这些设备支持基于MAC的流量路由。

3. 网络层

网络层（第3层）负责给数据添加路由和寻址信息。网络层接收来自传输层的段，并向其添加信息以创建数据包，该数据包包括源和目标IP地址。

路由协议位于此层，包括以下内容：

• 互联网控制消息协议（Internet Control Message Protocol，ICMP）
• 路由信息协议（Routing Information Protocol，RIP）
• 开放最短路径优先（Open Shortest Path First，OSPF）
• 边界网关协议（Border Gateway Protocol，BGP）
• 互联网组管协议（Internet Group Management Protocol，IGMP）
• 互联网协议（Internet Protocol，IP）
• 互联网协议安全（Internet Protocol Security， IPsec）
• 网络数据包交换（Internetwork Packet Exchange，IPX）
• 网络地址转换（Network Address Transfer，NAT）
• IP简单密钥管理（Simple Key Management for Internet Protocols，SKIP）

网络层负责提供路由或传递信息，但它不负责验证信息是否传递成功（这是传输层的责任),网络层还管理错误检测和节点数据流量（即流量控制）。

（非IP协议是在OSI网络层第3层用来替代IP的协议，三种最受认可的非IP协议是IPX，AppleTalk和NetBEUI）

路由器和桥接路由器属于在第3层运行的网络硬件设备。路由器根据速率、跳数、首选项等确定数据包传输的最佳路径。路由器使用目标IP地址来指导数据包传输。桥接路由器主要工作在第3层，但必要时也可在第2层工作，会首选尝试路由，如果路由失败则默认为桥接。

4. 传输层

传输层（第4层）负责管理连接的完整性并控制会话。它接收PDU（在网络层之间传递的信息或数据容器），来自会话层的PDU被转换为段。传输层控制如何寻址或引用网络上的设备，在节点之间建立通信连接并定义会话规则。会话规则指定每个段可包含多少数据，如何验证传输的数据的完整性，以及如何确定数据是否已丢失。会话规则是通过握手过程建立的，因此通信设备都遵循该规则。

传输层在两个设备之间建立逻辑连接，并提供端到端传输服务以确保数据传输。该层包括用于分段、排序、错误检查、控制数据流、纠错、多路复用和网络服务优化的机制。

• 传输控制协议（Transmission Control Protocol，TCP）
• 用户数据报协议（User Datagram Protocol，UDP）
• 顺序数据包交换（Sequenced Packet Exchange，SPX）
• 安全套接字层（Secure Sockets Layer，SSL）
• 传输层安全（Transport Layer Security，TLS）

5. 会话层

会话层（第5层）负责建立、维护和终止两台计算机之间的通信会话。它管理对话规则或对话控制（单工、半双工、全双工），建立分组和恢复的检查点，并重传自上次验证检查点依赖失败或丢失的PDU。

• 网络文件系统（Network File System，NFS）
• 结构化查询语言（Structured Query Language，SQL）
• 远程过程调用（Remote Procedure Call ， PRC）
• 通信会话可以按下列三种不同的控制模式之一运行：

-- 单工 单向通信

-- 半双工 双向通信，但一次只能有一个方向发送数据

-- 全双工 双向通信，可以同时向两个方向发送数据

6. 表示层

表示层（第6层）负责将从应用层接收的数据转换为遵循OSI模型的任何系统都能理解的格式。它对数据强加了通用或标准化的结构和格式规则。表示层还负责加密和压缩。它充当网络和应用程序之间的接口。该层允许各种应用程序通过网络进行交互，并通过确保两个系统都支持的数据格式来实现。大多数文件或数据格式在此层允许，

• 美国信息交换标准码（American Standard Code for Information Interchange，ASCII）
• 扩展二进制编码十进制交换模式（Extended Binary-Coded Decimal Interchange Mode，EBCDICM）
• 标签图像文件格式（Tagged Image File Format，TIFF）
• 联合图像专家组（Joint Photographic Experts Group，JPEG）
• 动态图像专家组（Moving Picrute Experts Group，MPEG）
• 乐器数字接口（Musical Instrument Digital Interface，MIDI）

7. 应用层

应用层（第7层）负责将用户应用程序、网络服务或操作系统与协议栈连接。它允许应用层序与协议栈通信。应用层确定远程通信伙伴是否可用且可访问，还确保有足够资源来支持所请求的通信。

应用程序不在此层内，相反，这里可找到传输文件、交换消息、连接到远程终端等所需的协议和服务。

• 超文本传输协议（Hypertext Transfer Protocol， HTTP）
• 文件传输协议（File Transfer Protocol，FTP）
• 行打印后台程序（Line Print Daemon，LDP）
• 简单邮件传输协议（Simple Mail Transfer Protocol，SMTP）
• 远程登录（Telnet）
• 普通文件传输协议（Trivial File Transfer Protocol，TFTP）
• 电子数据交换（Electronic Data Interchange，EDI）
• 邮局协议版本3（Post Office Protocol version 3， POP3）
• Internet消息访问协议（Internet Message Access Protocol，IMAP）
• 简单网络管理协议（Simple Network Management Protocol，SNMP）
• 网络新闻传输协议（Network News Transport Protocol，NNTP）
• 安全远程过程调用（Secure Remote Procedure Call, S-RPC)
• 安全电子交易（Secure Electronic Transaction，SET）

有一个在应用层工作的网络设备或服务，即网关。但应用层网关是特定类型的组件，充当协议转换工具。

应用层防火墙也在此层运行。其他网络设备或过滤软件可观察或修改该层的流量。

2.0 TCP/IP 模型

TCP/IP模型仅由四层组成，而OSI参考模型则为七层。

TCP/IP模型的四个层是：应用层 、 传输层 、 互联网层 、 链路层 。

TCP/IP 协议套件概述

最广泛使用的协议套件是TCP/IP，但它不仅是一个协议，而且是一个包含许多单独协议的协议栈。TCP/IP 是一种基于开放标准的独立于平台的协议。

可使用系统之间的虚拟专用网络（VPN）链接来保护TCP/IP。VPN链接经过加密，可增强隐私、保密性和身份验证，并保持数据完整性。用于建立VPN的协议有PPTP，L2TP，SSH，OpenVPN（SSL/TLS VPN）和IPsec。提供协议级安全性的另一种方法是使用TCP封装器。TCP封装器是一种ke作为基本防火墙的应用程序，它通过基于用户ID或系统IP限制对端口和资源的访问。使用TCP封装器是一种基于端口的访问控制。

1. 传输层协议

TCP/IP 的两个主要传输层协议是TCP和UDP。TCP是一种面向连接的全双工协议，而UDP是一种无连接单工协议。在两个系统之间使用端口建立通信连接。

TCP和UDP都有65536个端口（0-65535）端口允许单个IP地址同时支持多个通信，每个通信使用不同端口号。IP地址和端口号的组合称为套接字。

• 0-1023 为众所周知的端口或服务端口。它们支持的服务进行了标准化分配。
• 1024-49151 为已注册的软件端口，这些端口具有一个或多个专门在IANA（互联网编号分配机构）注册的网络软件产品，以便为尝试连接其产品的客户提供标准化的端口编号系统。
• 49152-65535 为随机，动态，或临时端口，它们通常被客户端随机地临时用作源端口。

TCP在OSI模型的第4层（传输层）上运行。它支持全双工通信，面向连接，并采用可靠的会话。TCP面向连接，在两个系统之间使用握手过程来建立通信会话。

（1）客户端将SYN（同步）标记的数据包发送到服务器。

（2）服务器以SYN/ACK（同步和确认）标记的数据包响应客户端。

（3）客户端以ACK（确认）标记的数据包响应服务器。

通信会话完成后，有两种方法可断开TCP会话：

• 最常见的是使用FIN（完成）标记的数据包
• 使用RST（重置）标记的数据包

UDP也在OSI模型的第4层（传输层）上运行，是一种无连接的“尽力而为”的通信协议，不提供错误检测或纠正，不使用排序，不使用流量控制机制，不使用预先建立的会话。被认为是不可靠的。

UDP具有非常低的开销，因此可以快速传输数据。UDP通常用于音频视频的实时或流通信。UDP的IP头协议字段值是17（0x11）

UDP报头长度为8字节（64位），此报头分为四个部分或字段（每个16位长）：

• 源端口
• 目的端口
• 消息长度
• 校验和

2. 网络层协议和IP网络基础

TCP/IP 协议套件中的另一个重要协议在OSI模型的网络层运行，即IP。IP为数据包提供路由寻址。IP是无连接的，是一种不可靠的数据报服务。IP不保证数据包一定能被传送或数据包以正确顺序传送，不保证数据包只被传送一次。因此，必须在IP上使用TCP来建立可靠和受控的通信会话。

• A类子网支持16 777 214 个主机
• B类子网支持65 534 个主机
• C类子网支持254 个主机
• D类用于多播
• E类用于将来使用

注意，为环回地址留出整个127 的A类网络，虽然实际上只需要一个地址。

子网划分可使用无类别域间路由（Classless Inter-Domain Routing, CIDR).

ICMP,用于确定网络或特定链路的运行状况。 可用于Ping，Tracerroute，pathping等网络管理工具。

• ICMP 的IP头协议字段值是1（0x01）
• ICMP头中的类型字段定义ICMP有效载荷中包含的消息的类型或目的。

IGMP，IP主机使用IGMP来注册其动态多播组成员资格。通过使用IGMP多播，服务器最初可为整个组发送单个数据信号，而非为每个预期接收者发送单独的初始数据信号。IGMP的IP报头协议字段值2（0x02）

ARP，对逻辑和物理寻址方案的互操作性至关重要。ARP用于将IP地址解析为MAC地址。ARP使用缓存和广播来执行其操作。

• 先查询ARP缓存
• 缓存无信息，发送广播形式ARP请求。
• 查询本地子网，必要信息直接响应。
• 查询其他网段，使用默认网关来转发。

3. 通用应有层协议

TCP/IP模型的应用层（包括OSI模型的会话层，表示层和应用层）存在许多特定于应用或服务的协议。

• Telnet 使用23端口，是一个终端仿真网络应用程序，支持远程连接以执行命令和运行应用程序，但不支持文件传输。
• FTP ，使用TCP（20端口，数据传输 / 21端口 控制连接），一个网络应用程序，支持需要匿名或特定身份验证的文件传输。
• TFTP 使用UDP 69端口，是一个支持不需要身份验证的文件传输的网络应用程序。
• SMTP，使用TCP 25端口，是一种用于将电子邮件从客户端传输到电子邮件服务器以及从一个电子邮件服务器传输到另一个电子邮件服务器的协议。
• POP3，使用TCP110 端口，是一种用于将电子邮件从电子邮件服务器上的收件箱中拉到电子邮件客户端协议。
• IMAP，使用TCP143端口，是一种用于将电子邮件从电子邮件服务器上的收件箱拉到电子邮件客户端协议。IMAP比POP3更安全，并能从电子邮件服务器中提取标头以及直接从电子邮件服务器删除邮件，而不必先下载到本地客户端。
• DHCP，使用UDP67和68端口。使用67端口作为服务器上的目标端口来接收客户端通信，使用端口68作为客户端请求的源端口。它用于在启动时为系统分配TCP/IP配置设置。DHCP支持集中控制网络寻址。
• HTTP 使用TCP 80端口，是将web页面元素从web服务器传输到web浏览器协议。
• SSL，使用443端口（用于HTTP加密），是一种类似于VPN的安全协议，在传输层运行。SSL最初设计用于支持安全web通信（HTTPS），但能保护任何应用层协议通信。
• LPD ，使用TCP 515端口，是一种网络服务，用于假脱机打印作业和将打印作业发送到打印机。
• X window ， 使用TCP 6000-6063 端口，用于命令行操作系统的GUI API。
• NFS，使用TCP 2049端口，是一种网络服务，用于支持不同系统之间的文件共享。
• SNMP，使用UDP 161 端口，（消息陷阱是UDP 162端口），是一种网络服务，用于同过从中央监控服务器轮询监控设备来收集网络运行状况和状态信息。

多层协议的含义：

作为协议套件的TCP/IP包含分布在各种协议栈层上的许多单独协议，因此，TCP/IP是一种多层协议。可以封装、伪装等。

多层协议具有以下优点：

• 可在更高层使用各种协议
• 加密可包含在各个层
• 支持复杂网络结构中的灵活性和弹性

多层协议有一些缺点：

• 允许隐蔽通道
• 可以绕过过滤器
• 逻辑上强加的网段边界可超越

4. TCP/IP 漏洞

在各种操作系统中不正确地实现TCP/IP堆栈容易受到缓冲区溢出、SYN洪水攻击、各种拒绝服务攻击、碎片攻击、超大数据包攻击、欺骗攻击、中间人攻击、劫持攻击和编码错误攻击。

5. 域名系统

寻址和命名是使网络通信成为可能的重要组件。

DNS是公共和专用网络中使用的分层命名方案，www.abc.com

• .com 顶级域名
• abc 二级域名（注册域名)
• www 三级域名（子域或主机名）

FQDN的总长不能超过253个字符在包括点），任何单个部分不能超过63个字符。FQDN只能包含字母，数字和连字符。

DNS通过TCP和UDP端口53进行，TCP端口53用于区域传输。这些是DNS服务器之间的区域文件交换，用于特殊手动查询，或响应超过512字节的情形。

UDP端口53用于大多数典型DNS查询。

6. DNS 中毒

DNS中毒是伪造客户端用于到达所需系统的DNS信息的行为。每当客户端需要将DNS名称解析为IP地址时，它可能经历以下过程：

• 检查本地缓存（包括HOSTS文件中的内容）
• 将DNS查询发送到已知的DNS服务器
• 将广播查询发送到任何可能的本地子网DNS服务器（此步骤未得到广泛支持）

如果客户端在上述三个步骤都没有解析到对应的IP，则解析失败。

DNS中毒可能使用以下技术之一:

• 部署流氓DNS服务器（也称DNS欺骗或DNS域欺骗）
• 执行DNS中毒 ，攻击真实DNS服务器并将不正确的信息放入其区域文件中，这会导致真正的DNS服务器将错误数据发送回客户端。
• 改变HOSTS文件。
• 破坏IP配置，
• 使用代理伪造，此攻击将虚假web代理数据植入客户端的浏览器，然后攻击者操作恶意代理服务器。恶意代理服务器可修改HTTP流量包，以将请求重新路由到黑客想要的任何站点。

防范措施：

• 限制从内部DNS服务器到外部DNS服务器的区域传输。通过阻止入站TCP端口53（区域传输请求）和UDP端口53 （查询）来实现
• 限制外部DNS服务器从内部DNS服务器中拉取区域传输的外部DNS服务器
• 部署网络入侵监测系统（NIDS）以监视异常DNS流量
• 正确加固专用网络中的所有DNS，服务器和客户端系统
• 使用DNSSEC保护DNS基础设施

要求内部客户端通过内部DNS解析所有域名。这将要求你阻止出站UDP端口53 （用于查询）同时保持打开的出站TCP端口53（用于区域传输）

DNS域名欺诈，将有效网站的URL或IP地址恶意重定向到虚假网站。这通常时网络钓鱼攻击的一部分。

7. 域名劫持

域名劫持或域名盗窃是在未经所有者授权的情况下更改域名注册的恶意行为。

3.0 融合协议

融合协议的主要好处是能使用现有的TCP/IP支持网络基础设施来托管特殊服务或专有服务，不需要独立部署备用网络硬件。

• 以太网光纤通道（Fibre Channel over Ethernet ，FCoE）FCoE用于封装以太网网络上的光纤通道通信。它通常需要10Gbps以太网才能支持光纤通道协议，利用这项技术，光纤通道可作为网络层或OSI

第三层协议运行，将IP替换为标准以太网网络的有效载荷。

• MPLS（Multiprotocol Label Switching,多协议标签交换）MPLS是一种高吞吐量的高性能网络技术，它基于短路径标签而不是更长的网络地址来引导网络上的数据。
• Internet 小型计算机系统接口（Internet Small Computer System Interface，iSCSI）是一种基于IP的网络存储标准。
• 网络电话（Voice over IP， VoIP）是一种通过TCP/IP网络传输语音和数据的隧道机制。
• 软件定义网络（Software-Defined Networking，SDN）是一种独特的网络操作、设计和管理方法。旨在将基础设施层（即硬件和基于硬件的设置）与控制层（即数据传输管理的网络服务）分离。

另一种思考SDN的方式是它实际上是网络虚拟化。它允许数据传输路径、通信决策树和流控制在SDN控制层中虚拟化，而不是在每个设备的基础上在硬件上处理。

内容分发网络

Content Distribution Network,CDN 内容传递网络是在互联网上的多个数据中心部署的资源服务的集合，以便提供托管内容的低延迟，高性能和高可用性。CDN通过分布式数据主机的概念提供客户所需的多媒体性能质量。大多数CDN都关注服务器的物理分布，但基于客户端的CDN也是可能的。这通常被称为P2P。（例如，BitTorrent)

4.0 无线网络

防止窃听和数据窃取需要以下努力：1）必须对所有电子设备保持物理访问控制。2）如果未经授权的人员仍然可以进行物理访问或接近，必须使用屏蔽设备和介质 3）始终使用安全加密协议传输任何敏感数据。

4.1 保护无线接入点

无线蜂窝是无线设备可连接到无线接入点的物理环境中的区域。

在部署无线网络时，应部署配置为使用基础架构模式而非ad hoc模式的无线访问点。

• ad hoc模式意味着任何两个无线网络设备（包括两个无线网卡）都可在没有集中控制权限的情况下进行通信。
• 基础结构模式意味着需要无线接入点，系统上的无线NIC不能直接交互，并且强制执行无线网络访问的无线接入点限制。

4.2 保护SSID

• 更改默认SSID
• 使用WAP2作为可靠的身份验证和加密解密方案

4.3 进行现场调查

用于发现非预期无线访问的物理环境区域的一种方法是执行现场调查。现场调查是调查环境中部署的无线接入点的位置、强度和范围的过程。此任务通常涉及使用便携式无线设备走动，记录无线信号强度，并将其映射到建筑物的图纸上。

现场调查对于评估现有无线网络部署、规划当前部署的扩展以及规划未来部署都非常有用。

4.4 使用安全加密协议

IEEE 802.11 标准定义了无线客户端可在无线链路上发生正常网络通信之前用于向WAP进行身份验证的两种方法。

• 开放系统身份验证（Open System Authentication，OSA），明文传输所有内容，无身份验证。
• 共享密钥身份验证（Shared Key Authentication，SKA），有线等效保密（Wired Equivalent Privacy，WEP ， WEP2）

1. WEP

它旨在提供与有线网络相同级别的无线网络安全性和加密，WEP提供针对无线传输的数据包嗅探和窃听的保护。

WEP的第二个好处是可防止未经授权的无线网络访问。WEP使用预定义的共享密钥。该密钥用于在数据包通过无线链路传输之前对数据进行加密，从而提供保密性保护。

使用散列值用于验证在传输过程中接收的数据包未被修改或损坏。WEP提供完整性保护。

WEP加密采用Rivest Cipher4 （RC4）.

WEP安全性差， 可轻松破解。

2. WPA

Wi-Fi 受保护访问（Wi-Fi Protected Access，WPA）被设计为WEP的替代品。

WPA基于LEAP和临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP）密码系统，并且通常使用秘密密码进行身份验证。

WPA也不安全，可以破解。

3. WPA2

基于AES加密方案。 不安全

4. 802.1X / EAP

802.1x 可确保客户端在进行正确身份验证之前无法与资源通信。

EAP，可扩展身份验证协议不是特定的身份验证机制，是一个身份验证框架。

5. PEAP

受保护的可扩展身份验证协议（Protected Extensible Authentication Protocol，PEAP）将EAP方法封装在提供身份验证和可能加密的TLS隧道中。由于EAP最初设计用于物理隔离通道，因此假定为安全通道，因此EAP通常不加密。PEAP可为EAP方法提供加密。

6. LEAP

轻量级可扩展身份验证协议（Lightweight Extensible Authentication Protocol，LEAP）是针对WPA和TKIP的思科专有替代方案。

7. MAC过滤器

MAC过滤器是授权无线客户端接口MAC地址的列表，无线接入点使用该MAC地址来阻止对所有未授权设备的访问。

8. TKIP协议

TKIP 以WPA的名称实施到802.11无线网络中。

9. CCMP

CCMP使用带有128位密钥的AES。 到目前为止，还没有针对AES/CCMP加密的攻击获得成功。

4.5 天线放置

部署无线网络时，天线放置应该是一个问题。可参考以下准则：

• 使用中心位置
• 避免固体物理障碍
• 避免反光或其他扁平金属表面
• 避免电气设备

4.6 天线类型

• 全向天线
• 定向天线

4.7 调整功率电平控制

调整适当

4.8 WPS

Wifi Protect Setup ， 是无线网络的安全标准，旨在减少新客户端添加到无线网络的工作量。

4.9 使用强制门户

强制网络门户是一种身份验证技术，可将新连接的无线web客户端重定向到门户网站访问控制页面。（登录验证页面）

4.10 一般Wi-Fi 安全程序

4.11 无线攻击

• 战争驾驶（war driving）是使用检测工具寻找无线网络信号的行为。通常， 战争驾驶指寻找本来无权访问的无线网络的人。
• 战争粉化（war chalking）是一种极客涂鸦，一些无线黑客在无线早期使用。这是一种用无线网络存在的信息来物理标记一个区域的方法。通常用于向他人透露无线网络的存在，以便共享已发现的互联网连接。
• 重放（replay attack）是捕获通信的重传，以期获得对目标系统的访问。例如，要求客户端的重新连接并获取其信息。
• IV初始化向量（Initialization Vector）是随机数的数学和加密术语。大多数现代加密功能使用IV来降低可预测性和可重复性，从而提高其安全性。
• 恶意接入点，流氓AP
• 邪恶双胞胎，黑客操作虚假接入点，克隆接入点身份。

5.0 安全网络组件

5.1 网络访问控制

Network Access Control，NAC指通过严格遵守和实施安全策略来控制对环境的访问。NAC的目标如下：

• 防止、减少零日攻击
• 在整个网络中实施安全策略
• 使用标识执行访问控制

NAC的目标可通过使用强大的详细安全策略来实现，这些策略定义了从客户端到服务器以及每个内部或外部通信的每个设备的安全控制、过滤、预防、检测和响应的所有方面。NAC充当自动检测和响应系统，可实时做出反应，以在威胁安全发生或造成损害或破坏之前阻止威胁。

NAC可通过接入前控制或接入后控制（或两者）来实现：

• 接入前控制原则要求系统在允许与网络通信之前满足所有当前的安全要求（例如补丁和反病毒软件更新）
• 接入后控制原则允许和拒绝基于用户活动的访问，该用户活动基于预定义的授权矩阵。

5.2 防火墙

防火墙是管理和控制网络流量的重要工具。是用于过滤流量的网络设备，部署在专用网络和internet的链接之间，但可在组织内的部门之间部署。

防火墙通常无法做到以下几点：

• 阻止通过其他授权通信渠道传输的病毒或恶意代码。
• 防止用户未经授权蓄意或无意间泄露信息
• 防止恶意用户攻击防火墙后面的设施
• 在数据传出或进入专用网络后保护数据

除了记录网络流量活动外，防火墙还应记录其他几个事件：

• 重启防火墙
• 代理或依赖项无法启动或无法启动
• 代理或其他重要服务崩溃或重新启动
• 更改防火墙配置文件
• 防火墙运行时的配置或系统错误

防火墙只是整体安全解决方案的一部分。

防火墙有几种基本类型：

• 静态数据包过滤防火墙：静态数据包过滤防火墙通过检查消息头中的数据来过滤流量。是第一代防火墙，运行在OSI模型的第3层（网络层）缺点：无法提供用户身份验证或判断数据包是来自私有网络内部还是外部，它很容易被假冒的数据包所欺骗。
• 应用级网关防火墙：也称代理防火墙。代理是一种将数据包从一个网络复制到另一个网络的机制，复制过程还会更改源和目标地址以保护内部或专用网络。根据用于传输或接收数据的internet服务（应用程序）过滤流量。是第二代防火墙，运行在OSI模型的应用层（第7层）。
• 电路级网关防火墙：用于在可信赖的合作伙伴之间建立通信会话。运行在OSI模型的会话层（第5层）。SOCKS是电路级网关防火墙的常见实现方式。管理基于电路的通信，而不是流量内容。它们仅根据通信线路的端点（即源和目标地址以及服务端口号）允许或拒绝转发。是第二代防火墙。
• 状态检查防火墙：也称动态数据包过滤防火墙，评估网络流量的状态或上下文。状态检查防火墙能为授权用户和活动授予更广泛的访问权限，并主动监视和阻止未经授权的用户和活动。是第三代防火墙，运行在OSI模型的网络和传输层（第3和4层）。
• 深度数据包检测防火墙：深度数据包检测（DPI）防火墙是一种过滤机制，通常在应用程序层运行，以便过滤通信的有效内容。
• 下一代防火墙：是一种多功能设备（MFD），除防火墙外还包含多种安全功能，集成组件包括IDS，IPS，TLS/SSL代理，WEB过滤，QoS管理，带宽限制，NAT转换，VPN和反病毒。

1. 多宿主防火墙

多宿主防火墙至少有两个接口来过滤流量（也称为双宿主防火墙) , 此类防火墙都应具有IP转发功能，可自动将流量发送到另一个接口或禁用。堡垒机就是一个例子。

2. 防火墙部署架构

单层，两层和三层（也称多层）。

5.3 端点安全

端点安全性是每个单独的设备必须保持本地安全性的概念，无论其网络或电信信道是否也提供安全性，

5.4 硬件的安全操作

• 中继器、集中器和放大器
• 集线器
• 调制解调器
• 网桥
• 交换机
• 路由器
• 桥路由器（三层交换机）
• 网关
• 代理
• Lan扩展器 （广域网交换机或广域网路由器）

6.0 布线、无线、拓扑、通信和传输介质技术

6.1 传输介质

• 同轴电缆 （coax）

-- 细网 10Base2 ，传输距离185米，10Mbps

-- 粗网 10Base5， 传输距离500米，10Mbps

• 基带和宽带电缆

-- 基带电缆一次只能传输一个信号

-- 宽带电缆可以同时传输多个信号

• 双绞线

• 导线 （铜）

6.2 网络拓扑

• 环形拓扑

• 总线拓扑

• 星形拓扑

• 网状拓扑

6.3 无线通信与安全

1. 通用无线概念

无线通信使用无线电波在一定距离上传输信号。无线电波频谱数量是有限的，因此，必须妥善管理，以防止多个频谱同时使用时相互干扰。

扩频（Spread Spectrum）意味着通信在多个频率上同时发生。消息被分成几部分，并且每个部分同时发送但使用不同的频率。实际上，这是并行通信而不是串行通信。

跳频扩频（Frequency Hopping Spread Spectrum，FHSS）它不是以并行方式发送数据，而是在不断改变使用频率的同时以一系列方式发送数据。它采用整个可用频率范围，但一次只使用一个频率。发送方动一个频率变为下一个斌率，接收方必须遵循相同的跳频模式来接收信号。

直接序列扩频（Direct Sequence Spread Spectrum,DSSS) 同时并行使用所有可用频率。DSSS使用称为码片编码的特殊编码机制，即使信号的某些部分因干扰而失真，也允许接收机重建数据。类似以RAID-5.

正交频分复用（Orthogonal Frequency-Division Multiplexing，OFDM）是频率使用的另一种变化。OFDM采用数字多载波调制方案。允许更紧凑的传输。OFDM需要更小的频率集，但可提供更大的数据吞吐量。

2. 手机

蜂窝电话无线通信包括在特定的一组无线电波频率上使用便携式设备以与蜂窝电话运营商的网络以及其他蜂窝电话设备或互联网进行交互。

3. 蓝牙（802.15）

蓝牙或IEEE802.15个人局域网（PAN）是无线安全问题的另一个领域。2.4GHz无线电频率以查找可用设备。通过PIN授权匹配。

蓝牙窃听（Bluebugging）是一种攻击，可让黑客远程控制蓝牙设备的功能。

蓝牙设备有时采用加密技术，但它不是动态的，通常可通过适度努力来破解。

4. RFID

射频识别（Radio Frequency Identification，RFID）是一种用放置在磁场中的天线产生的电流为无线电发射机供电的跟踪技术。支持远距离（数百米）触发供电和读取数据。

5. NFC

近场通信（Near-field communication,NFC)是在非常接近的设备之间建立无线电通信的标准。

6. 无线电话

无线电话设计为使用任何一种未经许可的频率，900MHz，2.4GHz，5GHz。

7. 移动设备

移动设备通常支持存储卡，可用使用恶意代码将机密数据传输到组织外部。移动设备的丢失或被盗意味着个人和或公司保密性的破坏。

6.4 局域网技术

LAN技术有三种主要类型：以太网、令牌环和FDDI。

• 以太网

以太网是一种共享介质LAN技术（也称为广播技术）。这意味着它允许多个设备通过相同的介质进行通信，但要求设备轮流通信并检测冲突和避免冲突。

以太网基于IEEE802.3标准。快速以太网支持100Mbps，千兆以太网支持1000Mbps，万兆支持10 000Mbps。

• 令牌环

令牌环使用令牌传递机制来控制哪些系统可通过网络介质传输数据。令牌环可用使用多站访问单元（MAU）部署为物理星形。

• 光纤分布式数据接口（FDDI）

FDDI是一种高速令牌传递技术，它采用两个环，其流量方向相反。FDDI通常用作大型企业网络的主干。 双环设计允许通过从环路中移除故障段并从剩余的内环和外环部分创建单个环来进行自我修复。

技术子集，大多数网络包含许多技术而不是单一技术。

• 模拟通信发生在频率、幅度、相位、电压等变化的连续信号上。
• 通过使用不连续的电信号和状态改变或开关脉冲进行数字通信。

数字信号比长距离或存在干扰时的模拟信号更可靠。

同步和异步

• 同步通信依赖于基于独立时钟或嵌入数据流中的时间戳的定时或时钟机制。同步通信通常能够支持非常高的数据传输速率。
• 异步通信依赖于停止和启动分隔符位来管理数据传输。由于使用了分隔符位及其传输的停止和启动特性，异步通信最适用于较少量的数据。PSTN调制解调器是异步通信的设备良好示例。

基带和宽带

• 基带技术只能支持单个通信通道，它使用施加在电缆上的直流电。基带是一种数字信号，以太网采用基带技术。
• 宽带技术可以支持多个同步信号。宽带使用频率调制来支持多个信道，每个信道支持不同的通信会话。宽带是一种模拟信号。例如，有线电视，有线调制解调器，ISDN,DSL,T1和T3 .

广播、多播和单播

• 广播（Boradcast）技术支持与所有可能的接收者进行通信。
• 多播（Multicast）技术支持与多个特定接收者的通信。
• 单播（Unicast）技术仅支持与特定接收者的单一通信。

局域网介质访问

• 载波侦听多路访问（Carier-Sense Multiple Access，CSMA）使用下列步骤执行通信的LAN介质访问技术：

-- 主机侦听LAN介质以确定它是否在使用中

-- 如果LAN介质未被使用，则主机发送其通信

-- 主机等待确认

-- 如果在超时后没有受到确认，则主机从新开始。

CSMA不直接解决冲突。

• 载波侦听多路访问/冲突避免（Carrier-Sense Multiple Access with Collision Avoidance，CSMA/CA）使用下列步骤执行通信的LAN介质访问技术：

-- 主机有两个LAN介质连接，入站和出站。主机侦听入站连接以确定LAN介质是否正在使用中

-- 如果未使用LAN介质，则主机请求传输权限。

-- 如果在超时后未授予权限，则主机将从步骤1重新开始。

-- 如果授予了权限，则主机通过出站连接发送其通信。

-- 主机等待确认。

-- 如果在超时后未收到确认，则主机在步骤1重新开始。

Appletalk 和 802.11无线网路是采用的CSMA/CA 技术的网络示例。

• 载波侦听多路访问/冲突检测（Carrier-Sense Multiple Access With Collision Detection，CSMA/CD）使用下列步骤执行通信的LAN介质访问技术：

-- 主机侦听LAN介质以确定它是否在使用中。

-- 如果LAN介质未被使用，则主机发送其通信。

-- 在发送时，主机侦听冲突（即两个或多个主机同时发送）

-- 如果检测到冲突，则主机发送阻塞信号。

-- 如果收到阻塞信号，则所有主机都停止发送。每个主机等待一段随机时间，然后从步骤1开始。

以太网采用CSMA/CD 技术。不幸的是，允许冲突发送对冲突做出响应或反应会导致传输延迟以及重复传输。这将导致约40%的潜在吞吐量损失。

• 令牌传递

拥有令牌的主机才允许传输数据。传输完成后， 它会将令牌释放到下一个系统。令牌通过令牌环网FDDI 进行传递。令牌环防止冲突，因为只有允许拥有令牌的系统传输数据。

• 轮询

一个系统被标记未主系统。所有其他系统都标记未次要系统。主系统轮询或查询每个二级系统是否需要传输数据。如果辅助系统指示需要，则授予其传输许可，传输完成后，主系统继续轮询下一个辅助系统。同步数据链路控制（SDLC）使用轮询。

轮询只能通过主服务器分配权限，可以将轮询配置为一个（或多个）系统优先级而不是其他系统。例如，如果标准轮询模式为 1，2，3，4 ， 那么为给予系统1优先地位，轮询模式可更改为1，2，1，3，1，4.