网络安全（补充）

1. 蠕虫病毒具有信息搜集、漏洞利用、复制传播、目标选择等能力，其中“红色代码”、“冲击波”、“永恒之蓝”等网络蠕虫可以在网络信息系统中自动扩散；；；；“方程式”、“白象”、“白莲花”、“绿斑”、“蔓灵花”都是目前已发现和公布的高级安全威胁APT行为主体
2. 通过往程序的缓冲区写超过其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他命令。攻击者就有机会控制程序的执行流程，从而得到主机的控制权
3. 
4. SSH协议是Secure Shell的缩写，既“安全外壳”，它是基于公钥的安全应用协议，由ssh传输层协议，ssh用户认证协议和ssh连接协议三个子协议组成，各协议分工合作、实现加密、认证、完整性检查等多种安全服务。加密服务可以防止网络窃听，认证可以防止伪造，完整性检查可以防止篡改。。。。但是无法防御中间人攻击（APT）和拒绝服务攻击（DOS）
5. 网络安全设备一般至少有内网区域Trust（85）、外网区域untrust（15）、军事缓冲区域DMZ（50）、本地区域Local（100），本地区域安全级别最高
6. 按照防火墙的实现技术及保护对象，常见的防火墙类型可分为包过滤防火墙、代理防火墙、下一代防火墙、Web应用防火墙、数据库防火墙、工控防火墙。防火墙的实现技术主要有：包过滤、状态检测、应用服务代理、网络地址转换、协议分析、深度包检查等
7. VPN分为数据链路层VPN（PPTP、L2TP）、网络层VPN（IPSec）、传输层VPN（SSL）、另外还有一种归纳为2.5层的MPLS VPN           297999154754500492
8. IP ESP是一种安全协议，其用途在于IP包的保密性，而IP AH不能提供IP包的保密性服务。IP ESP的基本方法是将IP包做成加密处理，对整个IP包或IP数据域进行安全封装，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方，接收方收到后，对ESP进行解密，去掉ESP头，再将原来的IP包或更高层协议的数据向普通的IP包那样进行处理
9. 误用入侵检测通常称为基于特征的入侵检测方法是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击，而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式，则入侵行为立即被检测到，显然，误用入侵检测依赖于攻击模式库。因此，这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小，则IDS的有效性就大打折扣。而如果攻击模式库过大，则IDS的性能就会受到影响
10. HIDS一般适合检测以下行为：针对主机的端口或漏洞扫描、重复失败的登入尝试、远程口令破解、主机系统的用户账号添加、服务启动或停止、系统重启动、文件的完整性或许可权变化、注册表修改、重要系统启动文件变更、程序的异常调用、拒绝服务攻击
11. NIDS一般适合检测以下行为：同步风暴（SYN Flood）、分布式拒绝服务攻击（DDOS）、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问
12. 业务终端位于网络末梢区域，其网络流量、系统性能等都无法满足IPS保护整个网络
13. 根据漏洞的补丁状况，可将漏洞分为普通漏洞和零日漏洞。普通漏洞是指相关漏洞信息已经广泛公开，安全厂商已经有了解决修补方案。而零日漏洞特指系统或软件中新发现的、尚未提供补丁的漏洞。零日漏洞通常被用来试试定向攻击
14. 依据网络信息系统构成的要素，网络安全测评可分为两大类型：技术安全测评和管理安全测评。其中，技术安全测评主要包括物理环境、网络环境、操作系统、数据库系统、应用系统数据及存储系统等相关技术方面的安全性测试和评估。管理安全测评主要包括管理机构、干礼制度、管理流程、人员管理、系统建设、系统运维等方面的安全性评估
15. 依赖性威胁指攻击者破坏路由器所依赖的服务或环境，导致路由器非正常运行。例如，破坏路由器依赖的认证服务器，导致管理员无法正常登录到路由器
16. Telnet、Finger、HTTP虽然给管理带来方便，但是也留下安全隐患。SSH是安全的远程连接服务
17. 网络流量清洗是指通过基于网络流量的异常监测技术手段，将对目标网络攻击的DOS/DDOS等恶意网络流量过滤掉，同时把正常的流量转发到目标网络中
18. 物理环境安全是指包括环境、设备和记录介质在内的所有支持网络系统运行的硬件的总体安全，是网络系统安全、可靠、不间断运行的基本保证。物理安全需求主要包括环境安全、设备安全、存储介质安全
19. 技术层面的脆弱性主要与资产本身的属性有关，最典型的就是操作系统和应用软件的漏洞；随着网络技术的发展和光纤普及的加速，“多网合一”的技术问题得到有效的解决，管理层面的脆弱性体现在安全管理体系不完备和管理制度体系没有得到有效的贯彻执行
20. 攻击树方法可以被Red  Team用来进行渗透测试，同时也可以被Blue  Team用来研究防御机制。攻击树的优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景；；；；；攻击树的缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来会特别复杂
21. SYN/ACK扫描首先向目标主机某个端口发送SYN/ACK数据包，而不是先发送SYN数据包。由于这种方法不发送SYN数据包，目标主机会认为这是一次错误的连接，从而会报错。如果目标主机的该端口没有开放，则会返回RST信息。如果目标主机的该端口处于开放状态（LISTENING），则不会返回任何信息，而是直接将这个数据包抛弃掉
22. 网络安全应以预防为主，否则亡羊补牢，为之晚矣。特别是大型的网络，一旦攻击者进入系统后，就难以控制网络安全局面。因此，我们应当遵循“安全第一，预防为主”的原则
23. 对重要的核心网络设备，例如路由器、交换机，为了防止这些核心单点安全故障，一般采用设备冗余，既设备之间相互备份
24. AS验证服务器负责用户的注册、分配账号和密码，负责确认用户并发布用户和TGS之间的会话密钥
25. 防火墙不能完全防止感染病毒的软件或文件传输。防火墙是网络通信的瓶颈，因为已有的病毒、操作系统以及加密和压缩二进制文件的种类太多，以至于不能指望防火墙逐个扫描每个文件查找病毒，只能在每台主机上安装反病毒软件
26. 应用代理防火墙扮演“中间人”的角色，代理防火墙代替受保护网络的主机向外部网发送服务请求，并将外部服务请求相应的结果返回给受保护网络的主机
27. 防火墙配置命令  -P 策略  -p协议
28. VPN指的是用户通过公用网络建立的临时的、逻辑隔离的、安全的连接。可以提供身份认证和数据加密的功能
29. IP AH和IP ESP都有两种工作模式，既透明模式和隧道模式。透明模式只保护IP包中的数据域，而隧道模式则保护IP包的包头和数据域。因此在隧道模式下，将创建新的IP包头，并把旧的IP包（指需做安全处理的IP包）作为新的IP包数据

入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色，入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统重企图或已经违背安全策略的行为：1发现受保护系统中的入侵行为或异常行为、2检验安全保护措施的有效性、3分析受保护系统所面临的威胁、4有利于阻止安全事件扩大，及时报警触发网络安全应急响应、5、可以为网络安全策略的制定提供重要指导、6报警信息可用作网络犯罪取证