HCS-security考试大纲

yaoye53909866

H3CSE-Security这个认证是个安全专项认证，总共有2部分，gb0-521（构建安全vpn网络）、gb0-561（防火墙与入侵防御系统）。照书本上说网络安全研究的内容有：密码学、内容安全、软件安全、工业网安全、互联网与电信安全、信息隐藏与数字水印、信息对抗。看到这么多内容头都大了，并且有的我都不了解。所以为了学习方便我把考试的内容分了三部分：1、防火墙技术；2、病毒和IPS（入侵防御系统）3、密码学与vpn网络技术。（为了方便理清思路我是这么理解的：
             1、防火墙主要防四层以下攻击，跟防火墙一起学的就是各类的DOS攻击、地址端口扫描等下四层攻击。
              2、IPS主要是防入侵和病毒，跟 各种病毒木马放到一起学习。
              3、密码学 用的范围比较广，但在这门课程中学完密码学主要是跟vpn的ipsec等一起用。

      今天想先总结一下防火墙技术，首先防火墙的功能我用两个词概括一下：网络隔离、策略控制。

      防火墙的演进  包过滤防火墙---应用代理防火墙----状态监测防火墙，现在的防火墙是以上三种防火墙的结合体。

      防火墙的具体功能：安全域、域间策略、会话管理、包过滤、黑名单、攻击防范、双机热备、arp防攻击、web过滤、NAT、ALG、ASPF。在这些功能中主要学习的地方是：攻击防范、web过滤、ALG、ASPF。其他的功能都很简单很容易理解。
     
      一、攻击防范

1、smurf 攻击
     攻击方式：向目标网络发送源地址为被攻击服务器地址，目的地址为该网络广播地址的 ICMP echo请求报文。接收到请求报文的主机同时回复该icmp echo请求，导致被攻击服务器瘫痪。
    防御方式：检查ICMP应答请求报文的目的地址是否为该网络的广播地址，若是则丢弃报文。
2、land攻击
     攻击方式：利用tcp三次握手机制，向目标主机发送源地址和目的地址均为被攻击主机的tcp syn 报文，导致主机产生大量空tcp连接，耗尽资源宕机。
    防御方式：检查ip包的源和目的地址是否为同一地址，或源地址是否为127.0.0.1，若是则丢弃报文。
3、winnuke攻击
      攻击方式：通过向windows主机的NetBIOS端口--139端口发送OOB（out-of-band）数据包，这些数据包的指针与实际位置不符，导致NetBIOS片段重叠，使正常的TCP连接崩溃。（对于这个攻击我也不是很明白）
4、synflood攻击
     攻击方式：伪造数据包的源地址向被攻击主机大量发送tcp syn 报文，耗尽其系统资源。
    防御方式：1、设置tcp半连接阀值。2、设置tcp连接建立速率阀值。
5、udpflood攻击
       攻击方式：短时间向目标主机发送大量udp报文。
       防御方式：设置udp数据包速率阀值。
6、icmpflood攻击
      攻击方式：短时间内项目表发送大量icmp报文如（ping）
      防御方式：设置icmp数据包速率阀值。
7、地址扫描、端口扫描
      用工具扫描就是了。

     二、web过滤

1、网站地址过滤
2、url参数过滤
3、Java Applet过滤
4、Activex过滤

    三、ALG、ASPF不是很好总结