NetWork – 第 42 页 – 运维日常

网工 IPV6

Table of Contents

https://info.support.huawei.com/info-finder/encyclopedia/zh/IPv6.html

什么是IPv6地址？

IPv6地址由网络前缀和接口标识两个部分组成。网络前缀有n位，相当于IPv4地址中的网络ID；接口标识有（128-n）比特，相当于IPv4地址中的主机ID。

地址2001:A304:6101:1::E0:F726:4E58的构成示意图

IPv6地址长度为128位，表示为”X:X:X:X:X:X:X:X”, 每个X代表4个十六进制值字符，以冒号分隔，一共被分为8组。为了书写方便，例如，IPv6地址：FC00:0000:130F:0000:0000:09C0:876A:130B，还可以写为缩略形式：每组中的前导“0”都可以省略，可写为：FC00:0:130F:0:0:9C0:876A:130B。如果地址中包含连续两个或多个均为0的组，可以用双冒号“::”来代替，进一步简写为：FC00:0:130F::9C0:876A:130B。

但是，由于无法在短时间内将网络中的全部系统从IPv4升级到IPv6。最有效的过渡方案便是IPv6地址支持内嵌IPv4地址。原先的IPv4地址由32位二进制数值组成，但为了便于识别和记忆，采用了”点分十进制表示法”。表示为”d. d. d. d”，其中每一个d代表一个十进制整数, 以点分号分隔，一共有4个整数。现在，IPv4地址转变为了一种特殊形式的IPv6地址：”X:X:X:X:X:X:d.d.d.d” , 其中”X:X:X:X:X:X”的前80位设为0，后16位设为1，然后再跟IPv4地址。例如，IPv4地址是192.168.0.1，那么嵌入在IPv6协议中呈现的地址为 ::FFFF:192.168.0.1。

需要注意的是，在一个IPv6地址中只能使用一次双冒号“::”，否则当计算机将压缩后的地址恢复成128位时，无法确定每个“::”代表0的个数。

接口标识可通过三种方法生成：手工配置、系统通过软件自动生成或IEEE EUI-64规范生成。其中，EUI-64规范自动生成最为常用。

将接口的MAC地址转换为IPv6接口标识的过程。这种由MAC地址产生IPv6地址接口标识的方法可以减少配置的工作量，尤其是当采用无状态地址自动配置时，只需要获取一个IPv6前缀就可以与接口标识形成IPv6地址。

IPV6 地址的分类

IPv6地址分为单播地址、任播地址（Anycast Address）、组播地址三种类型。和IPv4相比，取消了广播地址类型，以更丰富的组播地址代替，同时增加了任播地址类型。

IPV6单播地址

IPv6定义了多种单播地址，目前常用的单播地址有：未指定地址、环回地址、全球单播地址、链路本地地址、唯一本地地址ULA（Unique Local Address）。

1、未指定地址IPv6中的未指定地址即 0:0:0:0:0:0:0:0/128 或者::/128。该地址可以表示某个接口或者节点还没有IP地址，可以作为某些报文的源IP地址（例如在NS报文的重复地址检测中会出现）。源IP地址是::的报文不会被路由设备转发。
2、环回地址IPv6中的环回地址即 0:0:0:0:0:0:0:1/128 或者::1/128。环回与IPv4中的127.0.0.1作用相同，主要用于设备给自己发送报文。该地址通常用来作为一个虚接口的地址（如Loopback接口）。实际发送的数据包中不能使用环回地址作为源IP地址或者目的IP地址。
3、全球单播地址是带有全球单播前缀的IPv6地址，其作用类似于IPv4中的公网地址。这种类型的地址允许路由前缀的聚合，从而限制了全球路由表项的数量。全球单播地址由全球路由前缀（Global routing prefix）、子网ID（Subnet ID）和接口标识（Interface ID）组成，

有0010 0011 转换成16进制就是2 或者3

4、链路本地地址是IPv6中的应用范围受限制的地址类型，只能在连接到同一本地链路的节点之间使用。它使用了特定的本地链路前缀FE80::/10（最高10位值为1111111010），同时将接口标识添加在后面作为地址的低64比特。

当一个节点启动IPv6协议栈时，启动时节点的每个接口会自动配置一个链路本地地址（其固定的前缀+EUI-64规则形成的接口标识）。这种机制使得两个连接到同一链路的IPv6节点不需要做任何配置就可以通信。所以链路本地地址广泛应用于邻居发现，无状态地址配置等应用。

以链路本地地址为源地址或目的地址的 IPv6 报文不会被路由设备转发到其他链路。

5、唯一本地地址：唯一本地地址的作用类似于IPv4中的私网地址，任何没有申请到提供商分配的全球单播地址的组织机构都可以使用唯一本地地址。唯一本地地址只能在本地网络内部被路由转发而不会在全球网络中被路由转发。

6、唯一的本地 IPv6 单播地址(ULA,Unique Local IPv6 Unicast Address)
在 RFC4193 中标准化了一种用来在本地通信中取代单播站点本地地址的地址。ULA 拥有固定前缀 FD00:/8，后面跟一个被称为全局 ID 的 40bit 随机标识符。

IPv6组播地址

IPv6的组播与IPv4相同，用来标识一组接口，一般这些接口属于不同的节点

FF00::/8 为前缀

IPv6任播地址

IPv6任播地址仅可以被分配给路由设备，不能应用于主机。任播地址不能作为IPv6报文的源地址。

IPv6 报文结构

基本首部和扩展首部

示例：2001:0db8:0000:0000:0000:0:02:8329 。
为方便起见，可以通过应用以下规则将 IPv6 地址缩写为较短的符号。
从任何十六进制数字组中删除一个或多个前导零；通常对全部或全部前导零进行此操作。例如，组 0042 被转换为 42 。
零的连续部分用双冒号(:)替换。双冒号只能在地址中使用一次，因为多次使用会使地址不确定。
例子：
地址：2001:0db8:0000:0000:0000:0000:2:8329
删除每组中的所有前导零后：2001:db8:0:0:0:f100:42:8329
省略连续的零部分后：2001:db8:: ff0:42:8329

IPv6中的扩展首部

IPv6协议明确支持扩展首部的概念，这些扩展首部被放置在IPv6基本首部之后，并且在需要时可以添加多个扩展首部。IPv6扩展首部的使用更加灵活和强大。

在 IPv6 首部中有一个“下一头部”字段，若 IPv6 分组没有扩展首部，则其“下一头部”字段中的值为 TCP 或 UDP，

这是因为在没有扩展首部的情况下，IPv6 分组通常承载的是上层协议的数据，如 TCP 或 UDP 。

例如，如果 IPv6 分组承载的是 Web 页面请求的数据，那么“下一头部”字段的值可能就是 TCP；如果是实时音频流数据，可能就是 UDP 。

IPv6扩展首部类型

IPv6扩展首部包括但不限于以下几种：

逐跳选项首部 (Hop-by-Hop Options Header)
- 该首部包含适用于数据包经过的所有节点的信息。
- 用于实现特定的功能，如调试、测量、认证等。
- 逐跳选项首部必须紧接在IPv6基本首部之后。
目的地选项首部 (Destination Options Header)
- 该首部包含仅适用于最终目的地节点的信息。
- 可以用于传输到达目的地之前的特定信息，如认证数据等。
- 可以在数据包的开始位置或结束位置出现，取决于其作用域。
路由首部 (Routing Header)
- 该首部允许数据包沿着指定的路径传输，而不是通过正常的路由机制。
- 可以用于实现源路由或中间节点路由。
- 路由首部可以出现在IPv6基本首部之后，也可以放在目的地选项首部之后。
分段首部 (Fragment Header)
- 该首部用于分割大的IPv6数据包以适应较小的MTU（最大传输单元）。
- 包含分割后的数据包的标识符和偏移量等信息。
认证首部 (Authentication Header, AH)
- 用于提供数据包完整性和数据源认证。
- 可以提供无连接完整性保护、数据来源验证和防重放攻击。
封装安全负载首部 (Encapsulating Security Payload, ESP)
- 用于提供数据包的加密和完整性保护。
- 可以用于实现IPSec（Internet Protocol Security）。
流标签首部 (Flow Label)
- 用于标识属于同一流的数据包。
- 可以用于提供QoS（Quality of Service）保证。

扩展首部的顺序

IPv6扩展首部的顺序很重要，因为它们决定了数据包如何被处理。通常的顺序如下：

IPv6基本首部
逐跳选项首部（如果存在）
路由首部（如果存在）
目的地选项首部（如果存在）
分段首部（如果存在）
认证首部（如果使用AH）
封装安全负载首部（如果使用ESP）
上层协议首部（如TCP或UDP）

Global routing prefix:全球路由前缀。由提供商(Provider)指定给一个组织机构，通常全球路由前缀至少为 48 位。目前已经分配的全球路由前缀的前 3bit 均为 001。

Subnet ID:子网 ID。组织机构可以用子网 ID 来构建本地网络(Site)。子网 ID 通常最多分配到第 64 位。子网 ID 和 IPv4 中的子网号作用相似。

Interface ID:接口标识。用来标识一个设备(Hos)。

IPv6相对IPv4的优势主要包括以下几点：

更大的地址空间：
- IPv4使用32位地址，理论上可以提供约43亿个唯一IP地址。
- IPv6采用128位地址格式，提供了大约3.4×10^38个地址，几乎是一个无限的地址空间。这解决了IPv4地址耗尽的问题，并为未来互联网的发展预留了足够的地址资源。
改进的安全性：
- IPv6在设计时就内置了对IPSec（Internet Protocol Security）的支持，这是一种网络层安全协议，用于保证数据传输的安全性和完整性。虽然IPv4也可以通过额外配置支持IPSec，但在IPv6中它是标准的一部分。
更好的头部结构：
- IPv6的包头比IPv4更简单且固定长度，减少了处理开销并提高了路由器的转发效率。
- IPv6取消了IPv4中的某些字段，如校验和，这些功能现在由上层协议来实现，从而简化了包头处理。
无状态地址自动配置（SLAAC）：
- IPv6设备可以通过邻居发现协议（NDP）自动配置自己的IP地址和其他参数，而不需要DHCP服务器或其他手动配置。这简化了网络管理，并促进了即插即用能力。
移动性支持：
- IPv6原生支持移动IPv6（MIPv6），它允许节点在不同网络间移动时保持连接不中断，这对于无线设备尤其重要。
增强的多播支持：
- IPv6多播机制更加高效，定义了更多的多播地址范围，支持“范围”和“标志”，使得多播应用更为广泛且易于部署。
简化的分片机制：
- 在IPv6中，只有源主机负责执行分片，中间路由器不再需要进行分片操作。这减少了路由过程中的复杂性，提高了效率。
服务质量（QoS）：
- IPv6提供了流量类别和流标签字段，可以帮助区分不同类型的数据流，为实时应用（如语音和视频）提供优先级服务。
无需NAT（网络地址转换）：
- 由于IPv6拥有庞大的地址空间，通常不再需要NAT来扩展私有网络到公共互联网的连接，从而避免了与NAT相关的复杂性和潜在性能问题。

网工 PGP、PKI

Table of Contents

PGP (Pretty Good Privacy) 是一种广泛使用的加密协议，用于保护电子邮件和文件的隐私和完整性。PGP 结合了对称加密、非对称加密、哈希函数和数字签名技术，提供了一个全面的加密解决方案。下面是对 PGP 安全协议的详细介绍：

PGP 的核心组件

PGP 主要由以下几个组件组成：

非对称加密：用于密钥交换和数字签名。
对称加密：用于加密实际的消息内容。
哈希函数：用于生成消息摘要，以确保消息的完整性。
数字签名：用于验证消息的来源和完整性。
密钥管理：用于管理公钥和私钥。

PGP 的工作流程

PGP 的工作流程可以分为以下几个步骤：

生成密钥对：
- 用户生成一对公钥和私钥，公钥可以公开分享，私钥则需要保密。
消息加密：
- 发送方使用接收方的公钥加密一个随机生成的对称密钥。
- 发送方使用对称密钥加密消息内容。
- 结果是一个“数字信封”，其中包含了加密过的对称密钥和加密过的消息。
数字签名：
- 发送方使用哈希函数对消息进行摘要。
- 发送方使用自己的私钥对消息摘要进行加密，生成数字签名。
- 发送方将消息、加密过的对称密钥和数字签名一起发送给接收方。
消息验证与解密：
- 接收方使用发送方的公钥验证数字签名，确认消息的完整性和来源。
- 接收方使用自己的私钥解密“数字信封”中的对称密钥。
- 接收方使用解密后的对称密钥解密消息内容。

PGP 的特点

灵活性：PGP 支持多种加密算法，用户可以根据需要选择不同的算法。
可扩展性：PGP 可以与其他应用程序集成，如电子邮件客户端。
数字签名：提供了一种验证消息来源和完整性的方法。
密钥管理：提供了密钥的生成、分发、撤销和更新机制。
加密强度：使用了强大的加密算法，如RSA、AES等，以确保数据的安全。

示例步骤

假设Alice想要向Bob发送一封加密的电子邮件。

生成密钥对：
- Alice和Bob各自生成一对公钥和私钥。
加密过程：
- Alice使用Bob的公钥加密一个随机生成的对称密钥。
- Alice使用这个对称密钥加密电子邮件内容。
- Alice使用自己的私钥对电子邮件的摘要进行加密，生成数字签名。
发送：
- Alice将加密过的对称密钥、加密过的邮件内容和数字签名一起发送给Bob。
解密过程：
- Bob使用Alice的公钥验证数字签名。
- Bob使用自己的私钥解密加密过的对称密钥。
- Bob使用解密后的对称密钥解密邮件内容。

PKI 公钥基础设施

RA 为注册机构审核用户的资格，减轻CA的负担，可以和CA在同一设备上、CA为认证中心、用户不会和CA打交道，

公钥基础设施（Public Key Infrastructure，简称PKI）是一种用于管理和验证数字证书的技术框架，它在网络安全领域扮演着至关重要的角色。PKI的主要作用包括：

身份验证：
- PKI通过数字证书来验证实体的身份，确保通信双方能够准确识别对方的真实身份。
- 数字证书是由可信的第三方机构（证书颁发机构，CA）签发的，这些证书包含公钥和其他相关信息，如有效期、所有者的名称等。
加密和解密：
- PKI利用非对称加密算法，通过公钥和私钥配对实现数据的加密和解密。
- 发送方使用接收方的公钥加密数据，接收方使用自己的私钥解密数据，保证了传输过程中的数据机密性。
数据完整性：
- PKI支持数字签名技术，可以确保数据在传输过程中不被篡改。
- 发送方使用自己的私钥对数据进行签名，接收方使用发送方的公钥验证签名，以确认数据的完整性和来源的真实性。
不可否认性：
- 通过数字签名，PKI可以提供不可否认性，确保发送方不能否认自己发送的消息。
- 这种特性对于许多交易和法律文件的电子化至关重要。
密钥管理：
- PKI提供了一套完整的密钥生命周期管理方案，包括密钥的生成、分发、存储、撤销和销毁等。
- 这有助于确保密钥的安全性和有效性，减少因密钥管理不当而导致的安全风险。
信任模型：
- PKI建立了一个信任模型，其中证书颁发机构（CA）扮演着核心角色，负责验证实体的身份并颁发数字证书。
- 用户可以通过信任根CA来信任由该CA签发的证书，从而建立起整个信任链。
证书管理：
- PKI还涉及证书的管理，包括证书的发布、吊销、更新和撤销列表（Certificate Revocation List, CRL）的维护等。
- 这些功能确保了即使证书丢失或被窃取，也可以及时撤销以防止进一步的安全威胁。

总结起来，PKI是一种综合性的安全解决方案，它通过一系列技术和协议确保了网络通信的安全性、可靠性和隐私性。在电子商务、在线支付、电子邮件加密等领域，PKI的应用极为广泛。

网工安全习题

Table of Contents

RSA加密算法的基础是选择两个大素数p和q，然后计算它们的乘积n = p * q。在这个例子中，我们选择了p = 37和q = 53。

首先，我们需要计算n的值： n=p×q=37×53=1961n=p×q=37×53=1961

接下来，我们需要确定模数n的位数。在计算机科学中，位数是指表示一个数所需要的二进制位的数量。

即2的n次方小于1961 即n=11

案例1：

某测评公司依照《计算机信息系统安全保护等级划分准则》、《网络安全等级保护基本要求》、《信息系统安全保护等级定级指南》等标准，以及某大学对信息系统等级保护工作的有关规定和要求，对该大学的网络和信息系统进行等级保护定级，按信息系统逐个编制定级报告和定级备案表，并指导该大学信息化人员将定级材料提交当地公安机关备案。

问题1 测评公司小李分析了某大学现有网络拓扑结构，认为学校信息系统网络系统未严格按“系统功能、应用相似性”、“资产价值相似性”、“安全要求相似性”、“威胁相似性”等原则对现有网络结构进行安全区域的划分。导致网络结构没有规范化、缺少区域访问控制和网络层防病毒措施、不能有效控制蠕虫病毒等信息安全事件发生后所影响的范围，从而使得网络和安全管理人员无法对网络安全进行有效的管理。

因此，小李按照学校系统的重要性和网络使用的逻辑特性划分安全域，具体将学校网络划分为外部接入域、核心交换域、终端接入域、核心数据域、核心应用域、安全管理域、存储网络域共7个域，具体拓扑如图1所示。请将7个域名称，填入图1（1）~（7）空中。

【问题2】（8分）

某高校信息中心张主任看到该拓扑图后，认为该拓扑图可能存在一些明显的设计问题。请依据个人经验，回答下列问题。

（1）核心交换域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？

（2）核心应用域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？

【问题3】（6分）

测评公司小李把测评指标和测评方式结合到信息系统的具体测评对象上，构成了可以具体测评的工作单元。具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个层面。

通过访谈相关负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿属于（8）测评；

通过访谈安全员，检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力属于（9）测评；

通过访谈系统建设负责人，检查相关文档，测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展属于（10）测评。

【问题4】（4分）

简述部署漏洞扫描系统带来的好处。

1）外部接入域 2）核心交换域 3）核心数据域 4）存储网络域 5）核心应用域 6）终端接入域 7）安全管理域

【问题2】（8分）

某高校信息中心张主任看到该拓扑图后，认为该拓扑图可能存在一些明显的设计问题。请依据个人经验，回答下列问题。

（1）核心交换域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？

（2）核心应用域是否存在设计问题？如果存在问题，则具体问题是什么，理由是什么，该如何解决？

【问题3】（6分）

通过访谈相关负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿属于（8）测评；

【问题4】（4分）

简述部署漏洞扫描系统带来的好处。

参考答案:

【问题1】（7分）

（1）外部接入域（2）核心交换域（3）核心数据域

（4）存储网络域（5）核心应用域（6）终端接入域（7）安全管理域

【问题2】（8分）

（1）存在问题（1分）；具体问题是核心交换域核心交换机只有一台（1分），存在单点故障的可能（1分）；解决办法是增加一台核心交换机，做双核心（1分）。

（2）存在问题（1分）；具体问题是WAF只能做Web应用防护（1分），不合适架设在其他应用服务器前（1分）。解决办法是将WAF设备只部署在Web应用服务前。

【问题3】（6分）

（8）物理安全

（9）网络安全

（10）系统建设管理

【问题4】（4分）

部署漏洞扫描系统，可周期性对网络中的设备、服务器进行安全漏洞扫描，发现安全漏洞，及时进行补丁更新，落实安全管理在安全运维方面的要求。

【问题5】

目前数据中心的核心业务系统数据约10T，档案归档数据约30T。核心业务与归档数据的年数据增长量约20%。目前各类设备日志数据约20T，年增长数据量约10%，按照信息系统等级保护的要求，各类设备的日志数据至少保存（1）个月。按照此要求，小张为该高校提供了一套较为完整的SAN存储方案，为了满足该校未来5年存储需求，要求SAN的数据存储容量多少T？

6个月 10*(1+20%)^5 + 30*(1+20%)^5+10*(1+10%)^5>=132T

案例2

阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。

某集团公司在在全国各省均有分公司，由于公司的信息化系统需要升级改造，现管理员决定在总部与分公司之间通过IPSEC VPN建立连接。根据拓扑图1-1，完成下列问题。

[问题1](3分)

该公司所选用的VPn技术为IPSec。它工作在TCP/IP协议栈的（1）层，能为TCP/IP通信提供访问控制机密性、数据源验证、抗重放、数据完整性等多种安全服务。其中能够确保数据完整性，但是不确保数据机密性的协议是（2），既能报数数据传输的机密性又能保证数据完整性的是协议是（3）。

网络层、AH协议、ESP协议

[问题2]（8分）：请将相关配置补充完整。

总部防火墙firewall1的部分配置如下。

…

# 配置Trust域与Untrust域的安全策略，允许封装前和解封后的报文能通过

[FIREWALL1] （5）

[FIREWALL1-policy-security] rule name 1

[FIREWALL1-policy-security-rule-1] source-zone （6）

[FIREWALL1-policy-security-rule-1] destination-zone untrust

[FIREWALL1-policy-security-rule-1] source-address （7）

[FIREWALL1-policy-security-rule-1] destination-address（8）

[FIREWALL1-policy-security-rule-1] quit

[FIREWALL1] acl 3000

[FIREWALL1-acl-adv-3000] rule （9）ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[FIREWALL1-acl-adv-3000] quit

----------------------------------------------   下面的这一段配置的作用是（10）

 [FIREWALL1-policy-security] rule name 3

[FIREWALL1-policy-security-rule-3] source-zone local

[FIREWALL1-policy-security-rule-3] destination-zone untrust

[FIREWALL1-policy-security-rule-3] source-address 202.1.3.1 32

[FIREWALL1-policy-security-rule-3] destination-address 202.1.5.1 32

[FIREWALL1-policy-security-rule-3] action permit

 

----------------------------------------------   下面的这一段配置的作用是（11）

[FIREWALL1] acl 3000

[FIREWALL1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[FIREWALL1-acl-adv-3000] quit

----------------------------------------------   下面的这一段配置的作用是（12）

[FIREWALL1] ipsec proposal tran1

[FIREWALL1-ipsec-proposal-tran1] encapsulation-mode tunnel

[FIREWALL1-ipsec-proposal-tran1] transform esp

[FIREWALL1-ipsec-proposal-tran1] esp authentication-algorithm sha2-256

[FIREWALL1-ipsec-proposal-tran1] esp encryption-algorithm aes

[FIREWALL1-ipsec-proposal-tran1] quit

(5) security-policy  (6) trust  （7） 192.168.1.0 24(8) 192.168.2.0 24    (9) permit  （10）配置Local域与Untrust域的安全策略，允许IKE协商报文能正常通过FIREWALL1（11）  配置访问控制列表，定义需要保护的数据流。 （12）配置名称为tran1的IPSec安全提议

问题3：在采用IKE动态协商方式建立IPSec隧道时，SA有两种：分别是IKE SA和IPSec SA，简述这两种SA的区别。

建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数【2分】，建立IPSec SA的目的是为了协商用于保护用户数据的安全参数【2分】，但在IKE动态协商方式中，IKE SA是IPSec SA的基础。

问题4：IKE协商阶段有两种模式，分别是主模式和野蛮模式。管理员检查配置后发现，VPN两端都是基于IP地址实现预共享秘钥，并且公司希望创建VPN时，需要对对端身份进行保护，确保较高的安全性。因此应该选择哪种模式？为什么？

1.两端时基于IP地址的形式进行预共享秘钥，适合用主模式。【2分】

2.只有主模式才能对对端身份进行保护，安全性较高。【2分】

问题5：IPSec提供的两种封装模式分别是传输Transport模式和隧道Tunnel模式，基于公司对传输数据的要求，适合选择的模式是哪一种？为什么？

隧道模式【1分】

1.传输模式在处理前后IP头部保持不变，主要用于End-to-End的应用场景。【2分】

2. 隧道模式则在处理之后再封装了一个外网IP头，主要用于Site-to-Site的应用场景。【2分】

案例3

随着信息技术的发展，企业的信息系统越来越成为企业生存发展的核心资源，为了确保核心资源信息安全，需在不同位置部署不同的安全设备，进行安全防范。

为了避免公司电子商务平台Web服务器被非法攻击和篡改，需要部署（D）

为了提高管理员应对网络攻击的管理能力，需要部署（F），对日志进行备份和后期对网络攻击行为进行进一步分析，提高安全防御能力。

为了规范公司员工的网络行为，避免工作时间处理非工作业务，可以部署（G）。

为了确保公司关键商业数据，需要对数据进行备份，部署（H），可以实现虚拟化备份。

为了规范管理员对商品的打折，上架，下架等处理，需要部署（E）对商品数据的修改/删除等行为进行监管。

A.入侵检测系统 B. 漏洞扫描系统 C. 入侵防御系统 D.WAF

E.数据库审计 F.日志备份与审计 G.上网行为管理系统 H.备份一体机

为了满足总部海量数据的分析处理，要求数据中心的服务器能高效利用硬件资源，公司决定在数据中心区进行服务器虚拟化，适合采用的方式是（6），它的特点包括（7）（8）（9）。【从操作系统支持，运维效率和性能等方面回答】

(6),裸金属架构/原生架构

7～9,特点：（可以交换顺序）

1.可支持多操作系统多应用

2.运维高效便捷

3.资源利用率高

某天，网络管理员检测到部分攻击日志如图2所示，则该攻击为(一句话) 攻击，图3访问日志所示的攻击行为是(SQL注入) 攻击。可以发现并利用给定的URL漏洞的自动化的工具是(SQLMAP)。

SQLMap 是一个开源的渗透测试工具，主要用于自动化检测和利用 SQL 注入漏洞。它支持多种数据库管理系统（DBMS），包括 MySQL、Oracle、Microsoft SQL Server、PostgreSQL 等，并且具有非常强大的功能来帮助安全研究人员和渗透测试人员快速识别并利用 Web 应用程序中的 SQL 注入弱点。

主要功能

自动检测：自动检测 SQL 注入漏洞。
数据提取：从数据库中提取数据，如表名、列名、数据等。
访问文件系统：在某些情况下，可以读写服务器上的文件。
操作系统命令执行：在某些配置下，可能允许执行操作系统级别的命令。
数据库接管：在一些情况下，可以完全控制目标数据库。
绕过安全机制：能够绕过各种防护措施，如 WAFs（Web 应用防火墙）。

使用场景

安全性评估：用于对 Web 应用进行安全审计，以发现潜在的安全问题。
教育目的：作为教学工具，帮助学习者理解 SQL 注入的工作原理及其防范方法。
合法授权下的渗透测试：在获得适当许可的情况下，用于模拟攻击者的操作，从而提高系统的安全性。

案例4

试题三（共25分）

阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

案例一：

2021年5月9日，美国宣布进入国家紧急状态，原因是当地最大燃油管道运营商遭网络攻击下线。据报道称，美国最大的成品油管道运营商ColonialPipeline在当地时间周五(5月7日)因受到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络。受影响的Colonial管道每天运输汽油、柴油、航空燃油等约250万桶，其中美国东海岸近一半燃油供应依赖于此。该事件涉事的黑客团队DarkSide索要高达数百万美元虚拟币。该事件也是2021年造成实质影响最大的网络安全事件。

案例二：

某企业系统管理员接到业务使用人员的反馈，得知相关系统服务器业务突然无法访问，管理员登入服务器后发现服务器操作系统内的相关应用程序和数据均无法正常访问，且服务器桌面上收到一封醒目的勒索告知书。管理员采取了如下措施：

第一，根据网上非权威的解密方式或解密工具，对中毒主机磁盘的文件进行反复读写，尝试破解；

第二，管理员想要自行研究中毒文件，使用U盘拷贝出源中毒服务器的中毒文件；

第三，为了快速恢复生产，进行了重装系统，使用备份数据恢复业务后，暂时恢复了业务；

网工 kerbors 密钥管理

Table of Contents

Kerberos是一种广泛使用的网络认证协议，它旨在提供一种安全的方法来验证用户的身份并管理密钥，从而实现安全的数据传输。Kerberos的设计目的是解决传统密码认证中存在的问题，如密码在传输过程中的安全性、单点故障等问题。下面详细介绍Kerberos密钥管理原理及其工作流程。

Kerberos密钥管理原理

Kerberos密钥管理基于以下概念：

KDC 是服务提供和客户端的信任机构

信任关系：
- Kerberos认证服务器 (KDC)：Kerberos Domain Controller，负责颁发票据和密钥。
- 客户端：请求访问服务的实体。
- 服务：提供某种功能的实体，例如文件服务器或数据库服务器。
- 所有的客户端和服务都需要在KDC注册，并拥有一个唯一的密钥。
密钥分发中心 (KDC)：
- KDC由两部分组成：Authentication Server (AS) 和 Ticket Granting Server (TGS)。
- AS 负责验证客户端的身份，并颁发票据授予票据（Ticket-Granting Ticket, TGT）。
- TGS 根据TGT为客户端请求的服务颁发服务票据（Service Ticket）。
时间同步：
- 为了防止重放攻击，Kerberos要求所有参与方的时间同步。
票据 (Ticket)：
- 票据是Kerberos协议中的重要组成部分，它包含了用于验证客户端和服务端身份的信息。

Kerberos工作流程

客户端向AS请求TGT(KDC中的TGT)：
- 客户端向AS发送认证请求，请求一个TGT。
- AS验证客户端的凭据，并使用共享密钥加密一个TGT，其中包括客户端的名称、服务端的名称和一个时间戳。
- AS将TGT发送给客户端。
客户端向TGS请求服务票据：
- 客户端使用TGT向TGS请求一个服务票据。
- TGS验证TGT，并使用服务端的密钥加密一个服务票据，其中包括客户端的名称、服务端的名称和一个时间戳。
- TGS将服务票据发送给客户端。
客户端向服务端请求服务：
- 客户端向服务端发送服务请求，附带服务票据。
- 服务端验证服务票据，并使用其密钥解密票据，验证客户端的身份。
- 服务端为客户端提供服务。

密钥管理

Kerberos密钥管理的关键特性包括：

密钥的分发：
- KDC负责管理所有客户端和服务端的密钥。
- 客户端和服务端的密钥是预先分配的，并存储在KDC的安全数据库中。
临时密钥的使用：
- Kerberos使用临时密钥（session keys）来保护数据传输，这些密钥仅在一次会话中有效。
- 临时密钥是由KDC在票据中生成的，并通过加密的方式发送给客户端和服务端。
密钥的安全存储：
- 客户端和服务端的永久密钥存储在KDC的安全数据库中，并受到严格保护。
密钥的生命周期管理：
- Kerberos支持密钥的周期性更换，以减少密钥泄露的风险。

数字证书、数字签名、数字信封之间的关系

数字签名、数字信封和数字证书是数字安全领域中三个非常重要的概念，它们各自有不同的用途。下面是这三个概念的具体用途：

数字签名 (Digital Signature)

定义：数字签名是一种使用非对称加密技术来验证电子文档真实性和完整性的加密方法。
用途：
- 数据完整性：确保数据在传输过程中没有被篡改。
- 身份验证：确认文档确实来自声称的发送者。
- 不可否认性：防止发送者否认发送了文档或消息。
- 法律效力：在很多情况下，数字签名可以被视为具有法律效力的电子签名。

数字信封 (Digital Envelope)

定义：数字信封是一种加密技术，它结合了对称加密和非对称加密技术，用于保护数据的机密性。
用途：
- 数据加密：保护数据在传输过程中的机密性，防止未经授权的访问。
- 密钥分发：安全地分发对称密钥，这些密钥用于加密和解密数据。
- 高效加密：通过使用对称加密算法来加密数据，而非对称加密算法来加密对称密钥，从而实现高效的加密和解密过程。

数字证书 (Digital Certificate)

定义：数字证书是一种由可信第三方签发的电子文档，用于证明公钥的所有者身份。
用途：
- 身份验证：确保公钥确实属于声称的持有者。
- 信任建立：通过权威机构（CA，Certificate Authority）的验证，建立客户端和服务端之间的信任关系。
- 加密通信：在Web浏览器与网站之间建立安全的HTTPS连接，用于保护敏感数据的传输。
- 电子邮件加密：用于加密电子邮件，确保只有预期的收件人才能阅读邮件内容。
- 软件签名：确保软件的来源可靠，并且没有被篡改。

总结

数字签名用于验证数据的完整性和发送者的身份。
数字信封用于保护数据的机密性，通过结合对称加密和非对称加密来实现高效的数据加密。
数字证书用于建立信任关系，确保公钥的所有者身份，并支持安全通信。

这些技术通常组合使用，以提供全面的安全解决方案。例如，在HTTPS协议中，数字证书用于验证网站的身份，而数字签名和数字信封则用于加密和解密数据传输。

网工加密技术、数字签名、数字信封

Table of Contents

对称加密的过程

密钥生成：
- 在对称加密中，首先需要生成一个密钥。这个密钥将用于加密和解密数据。
- 密钥应该足够强大，以抵御暴力破解攻击。现代对称加密算法通常使用128位、192位或256位长度的密钥。
加密过程：
- 明文：需要加密的原始数据。
- 加密算法：选择一个对称加密算法，如AES（Advanced Encryption Standard）、DES（Data Encryption Standard）或3DES（Triple DES）等。
- 加密：使用选定的加密算法和密钥对明文进行加密，生成密文。
解密过程：
- 密文：加密后的数据。
- 解密算法：使用相同的加密算法进行解密。
- 解密：使用相同的密钥对密文进行解密，恢复成原始的明文

示例

假设我们使用AES加密算法进行对称加密。

生成密钥：
- 生成一个256位的AES密钥。
加密过程：
- 明文：Hello, World!
- 加密算法：AES-256
- 加密：使用AES-256算法和密钥对明文进行加密，得到密文。
解密过程：
- 密文：通过加密步骤得到的密文
- 解密算法：AES-256
- 解密：使用相同的AES-256算法和密钥对密文进行解密，得到原始的明文Hello, World!。

对称加密算法

常见的对称加密算法包括：

AES（Advanced Encryption Standard）：目前最广泛使用的对称加密标准之一，支持128位、192位和256位密钥长度。
DES（Data Encryption Standard）：早期的对称加密标准，现在被认为不够安全，已被AES取代。使用56位加密
3DES（Triple DES）：通过三次应用DES算法来增强安全性。112位密钥、三个密钥k1/K2/K3 K1=K3(56*2) K2用于解密。
3DES中的K1=K3，加密过程是使用K1对M进行DES加密得到C1，然后使用K2对C1进行DES解密得到C2，最后使用K1对C2进行DES加密得到C3。
IDEA （128位密钥）
Blowfish：一种较早的对称加密算法，支持可变长度的密钥。
Twofish：一种设计用于替代DES的对称加密算法，支持128位、192位和256位密钥长度。
RC-5、RC-4

对称加密的应用场景

对称加密通常用于以下场景：

数据加密：加密文件、数据库、备份等。
网络通信：加密传输的数据，如SSL/TLS中的数据加密部分。
即时通讯：加密聊天消息。
硬件加密：加密硬件设备，如USB闪存盘、硬盘等。

对称加密有2种：置换和代换 ABC 代换为CBA ABC 转换XYZ

对称加密有常规加密算法和共享加密算法

公钥加密算法（常用于数字签名）

由B产生一对密钥，

RSA 算法举例

以下是一个简单的 RSA 加密算法的举例：

首先，选择两个大质数 p 和 q ，假设 p = 5 ， q = 11 。

计算 n = p * q = 5 * 11 = 55 。

计算欧拉函数 φ(n) = (p - 1) * (q - 1) = 4 * 10 = 40 。

选择一个整数 e ，使得 1 < e < φ(n) ，并且 e 与 φ(n) 互质。假设 e = 7 。

计算 d ，使得 (e * d) % φ(n) = 1 。通过计算可得 d = 23 。

此时，公钥为 (n, e) ，即 (55, 7) ，私钥为 (n, d) ，即 (55, 23) 。

假设要加密的明文 m = 9 。

加密过程： c = m^e % n = 9^7 % 55 = 47 ，得到密文 c = 47 。

解密过程： m = c^d % n = 47^23 % 55 = 9 ，成功解密得到明文 m = 9 。

需要注意的是，在实际应用中，p 和 q 会选择非常大的质数，以保证加密的安全性。

DH算法（密钥交换算法）

DH 公钥加密算法

以下是一个简单的 Diffie-Hellman（DH）算法的举例：

假设 Alice 和 Bob 想要通过 DH 算法协商一个共享密钥。

首先，选取一个大的素数 p 和一个本原根 g 。假设 p = 23 ， g = 5 。

Alice 选择一个秘密整数 a = 6 ，然后计算 A = g^a mod p = 5^6 mod 23 = 8 ，并将 A = 8 发送给 Bob。

Bob 选择一个秘密整数 b = 15 ，计算 B = g^b mod p = 5^15 mod 23 = 19 ，并将 B = 19 发送给 Alice。

Alice 收到 B 后，计算共享密钥 K = B^a mod p = 19^6 mod 23 = 2 。

Bob 收到 A 后，计算共享密钥 K = A^b mod p = 8^15 mod 23 = 2 。

这样，Alice 和 Bob 就成功地协商出了相同的共享密钥 K = 2 ，而在这个过程中，他们的秘密整数 a 和 b 并没有在网络中传输，攻击者即使获取了 A 、 B 、 p 和 g ，也很难通过计算得出 a 和 b ，从而保证了密钥协商的安全性。

需要注意的是，在实际应用中，p 通常是一个非常大的数，以确保安全性。

数字信封

甲事先获得乙的公钥，具体加解密过程如下：

甲使用对称密钥对明文进行加密，生成密文信息。
甲使用乙的公钥加密对称密钥，生成数字信封。
甲将数字信封和密文信息一起发送给乙。
乙接收到甲的加密信息后，使用自己的私钥打开数字信封，得到对称密钥。
乙使用对称密钥对密文信息进行解密，得到最初的明文。

数字签名

数字签名不保证信息的机密性，基于非对称加密算法，用于核实发送方的身份。这里的密文不是加密的。

数字签名是一种用于验证数字文档的真实性和完整性的加密技术。它使用非对称加密算法来确保数据的来源可靠并且未被篡改。

数字签名与数字信封的区别

数字信封和数字签名都是在信息安全领域内广泛使用的加密技术，但它们的目的和使用场景有所不同。下面是这两种技术的主要区别：

数字信封 (Digital Envelope)

目的：保护数据的机密性，即确保数据在传输过程中不被第三方窃听或读取。
工作原理：
- 发送方使用一个对称加密算法（如AES）对消息进行加密。
- 发送方再使用接收方的公钥加密这个对称密钥，形成“数字信封”。
- 接收方使用自己的私钥解密数字信封，获取对称密钥。
- 接收方使用对称密钥解密消息。
优点：对称加密算法通常比非对称加密算法更快，因此可以有效地保护大量数据的机密性。
缺点：不提供发送者身份验证或防止数据篡改的功能。

数字签名 (Digital Signature)

目的：验证数据的完整性和发送者的身份，确保数据没有被篡改并且确实来自声明的发送者。
工作原理：
- 发送方使用哈希函数计算消息的摘要。
- 发送方使用自己的私钥对摘要进行加密，生成数字签名。
- 发送方将消息和数字签名一同发送给接收方。
- 接收方使用发送方的公钥解密数字签名，得到原始摘要。
- 接收方独立地计算接收到的消息的摘要，并与从数字签名中解密出的摘要进行比较。
优点：提供了数据完整性和发送者身份认证。
缺点：通常较慢，不适合直接用于加密大量数据。

主要区别总结

用途：
- 数字信封：主要用于保护数据的机密性。
- 数字签名：主要用于验证数据的完整性和发送者的身份。
加密密钥：
- 数字信封：使用公钥加密对称密钥，对称密钥用于加密数据。
- 数字签名：使用私钥加密消息摘要。
解密密钥：
- 数字信封：接收方使用私钥解密数字信封获得对称密钥，然后使用对称密钥解密数据。
- 数字签名：接收方使用发送方的公钥解密数字签名以验证其真实性。
安全性：
- 数字信封：保证数据在传输过程中的保密性。
- 数字签名：保证数据的真实性和完整性。
效率：
- 数字信封：通过结合使用对称加密和非对称加密提高效率。
- 数字签名：仅使用非对称加密，处理速度较慢。

在实际应用中，为了同时提供数据的机密性和完整性验证，通常会将数字信封和数字签名结合起来使用。例如，发送方先使用对称密钥加密消息，然后对这个密钥进行数字签名，最后将加密过的密钥和消息一起封装进数字信封中。接收方则先验证数字签名，确认密钥的有效性后，再使用该密钥解密消息。这样既确保了消息的机密性也验证了其完整性和来源的真实性。

哈希算法

哈希算法=报文摘要算法=HASH算法=散列算法=数字指纹

3DES 加密过程

3DES中的K1=K3，加密过程是使用K1对M进行DES加密得到C1，然后使用K2对C1进行DES解密得到C2，最后使用K1对C2进行DES加密得到C3。

ECC（Elliptic Curve Cryptography，椭圆曲线密码学）是一种基于椭圆曲线数学理论的公钥加密技术。与传统的RSA等公钥加密算法相比，ECC在相同安全强度下所需的密钥长度更短，计算效率更高，因此在资源受限的环境中（如移动设备和物联网设备）特别受欢迎。