CISSP官方学习指南第7版#第11章

=Start=

缘由：

备考CISSP，学习、整理在看《CISSP官方学习指南（第7版）》时的一些知识点，方便以后快速复习。

正文：

参考解答：

第11章网络安全架构与保护网络组件

4) 通信与网络安全(设计和保护网络安全)
• A.应用安全设计原则到网络架构中(例如，IP和非IP协议、分段)
A.1 OSI和TCP/IP模型
A.2 IP网络
A.3 应用多层协议(例如，DNP3)
A.4 汇聚协议(例如，FCoE、MPLS、VoIP、iSCSI)
A.5 软件定义网络
A.6 无线网络
A.7 使用密码学维护通信安全
• B.保护网络组件
B.1 硬件的操作(例如，调制解调器、交换机、路由器、无线接入点、移动设备)
B.2 传输介质(例如，有线、无线、光纤)
B.3 网络接入控制设备(例如，防火墙、代理)
B.4 终端安全
B.5 内容分发网络
B.6 物理设备

计算机和网络由于通信设备、存储设备、处理设备、安全设备、输入设备、输出设备、操作系统、软件、服务、数据和人融合而产生。CISSP/CBK指出，深入地了解这些硬件和软件知识是实现和维护安全性的基本要素。本章将讨论在网络连接、线缆连接、无线连通性、TCP/IP及相关协议、网络设备、防火墙中作为指导原则的OSI模型。

11.1 OSI模型

通过协议使得网络上的计算机之间通信成为可能。协议是一组规则和约束，它们定义了数据在网络介质上(例如，双绞线、无线传输等)如何传输。在网络发展的初期，许多公司都曾具有自己的专有协议，这意不同供应商的计算机之间的交互常常非常困难，甚至无法进行交互。在努力解决这个问题的过程中，国际标准化组织(lSO)在20世纪80年代初开发了针对协议的OSI参考模型。明确地说，ISO7498定义了OSI参考模型(更常用的名称是OSI模型)。理解OSI模型及其与网络设计、部署和安全性的关系对于准备CISSP考试来说必不可少。

11.1.1 OSI模型的历史

OSI模型不是第一个，或许也不是唯一一个试图简化网络互连协议或建立通用通信标准的模型。事实上，作为今天得到最广泛使用的协议，TCP/IP(基于DARPA模型，这种模型现在也被称为TCP/IP模型)早在20世纪70年代初期就己被开发出来，而OSI模型直到20世纪70年代末期才被开发出来。OSI协议的开发为所有计算机系统建立了一个通用的通信结构或标准。实际的OSI协议从来没有得到过广泛采用，但是OSI协议背后的理论，也就是OSI模型，却被大家很容易接受了。作为一个抽象的架构或理论模型，OSI模型说明了在理想硬件上的理想环境中协议应该怎样工作。因此，OSI模型已经成为一个所有协议都可以与其比较和对照的通用参考点。

11.1.2 OSI功能

应用层
表示层
会话层
传输层
网络层
数据链路层
物理层

11.1.3 封装/解封装

基于OSI模型的协议采用了一种被称为封装的机制。通过每一层从上一层接收到数据后，封装会给数据添加一个报头，井且还可能添加一个报尾，然后才将数据传输到下一层。随着报文在每一层的封装，报文的大小也在不断增长。数据从OSI模型的应用层向下移动至物理层时，在每一层都会发生封装。数据从OSI模型的物理层向上移动至应用层时，在每一层发生的逆向操作称为解封装。

11.1.4 OSI分层

1.物理层（传输比特流）
物理层(第1层)从数据链路层接收帧，并把帧转换为可以通过物理连接介质传送的比特。物理层还负责接收来自物理连接介质的比特，并且将比特转换为数据链路层所使用的帧。

2.数据链路层（传输帧）
数据链路层(第2层)负责将来自网络层的数据包格式化为可以进行传输的适当格式。这种适当的格式由网络硬件和网络技术决定，并且存在多种可能性，如以太网(IEEE802.3)、令牌环(IEEE802.5)、异步传输模式(AsynchronousTransferMode，ATM)、光纤分布式数据接口(FiberDisibutedDataInterce，FDDI)和铜线分布式数据接口(CopperDDI，CDDI)。

3.网络层（传输IP数据报）
网络层(第3层)负责向数据中添加路由和寻址信息。网络层接收来自于传输层的数据段，并且通过添加信息创建数据包。数据包包括源IP地址和目的IP地址。

4.传输层
传输层(第4层)负责管理连接的完整性并控制会话。

5.会话层
会话层(第5层)负责在两台计算机之间建立、维护和终止通信会话。会话层管理对话模式或对话控制(单工、半双工、全双工)，并为分组和恢复建立检查点，以及重新传输上一次验证检查点以来失败或丢失的PDU。下面列出了一些在会话层上运行的协议：
•网络文件系统(NFS)
•结构化查询语言(SQL)
•远程过程调用(RPC)

6.表示层
表示层(第6层)负责将从应用层接收的数据转换为遵从OSI模型的任何系统都能理解的格式。它向数据中强行添加通用的或标准的结构和格式化规则。表示层还负责加密和压缩。因此，它成为网络和应用程序之间的接口。

7.应用层
应用层(第7层)负责将协议栈与用户的应用程序、网络服务或操作系统连接在一起。它准许应用程序与协议技进行通信。应用层确定远程的通信方是否可用和可访问，还确保有足够的资源用于支持被请求的通信。应用程序并不位于应用层内；相反，传输文件、交换信息和连接远程终端等任务所需的协议和服务都在这一层。

11.2 TCP/IP模型

与OSI参考模型的7层相比较，TCP/IP模型(也称为DA或DOD模型)仅由4层组成。TCPI模型的4层为：应用层、传输层(也称为主机到主机层)、网际层(有时称为互联网层)和网络接入层(然而网络接口层和网络访问层都会被用到)。

11.2.1 TCP/IP协议族概述

TCP是使用最广泛的协议，但它并不是一个单独的协议，而是一个由许多单独的协议组成的协议栈。TCP/IP是一个基于开放式标准的、独立于平台的协议。然而，这既是它的优点，也是它的缺点。TCPP几乎可以在所有可用的操作系统中找到，但是它耗用了相当数量的资源，并且由于其设计目的是便于使用而不是安全，因此容易遭到攻击。

1.传输层协议
TCPI两个主要的传输层协议是TCP和UDP。TCP是一个面向连接的协议，而UDP是一个无连接的协议。
传输控制协议(TCP)在OSI模型的第4层(传输层)上运作。这个面向连接的协议能够支持全双工通信，并且使用了可靠的会话。
用户数据报协议(UDP)也在OSI模型的第4层(传输层)上运作，它是一种无连接的、”尽力而为的”通信协议。UDP不提供错误检测或纠正，不使用序列，不使用流量控制机制，不使用预先建立的会话，并且被认为是不可靠的。UDP具有极低的系统开销，因此能够快速传输数据。不过，只有在数据传输并非绝对必要时，我们才会使用UDP。用于音频和/或视频的实时或流式通信经常会使用UDP。在IP报头协议宇段中，表示UDP的值为17(Ox11)。

2.网络层协议和IP网络基础
TCP/IP协议族中的另一个重要协议在OSI模型的网络层上运作，这种协议就是网际层协议(IP)。IP为数据包提供了路由寻址。路由寻址是全球性互联网通信的基础，这是因为它提供了身份标识手段并规定了传输路径。与UDP类似，IP是无连接的、不可靠的数据报服务。IP不保证传送数据包或以正确顺序传送数据包，并且不保证只进行一次传送。因此，必须在IP上使用TCP，从而获取可靠的和受控的通信会话。

3.常见的应用层协议
在TCP/IP模型的应用层(包括OSI模型的会话层、表示层和应用层)上，驻留着许多特定于应用或服务的协议。

11.2.2 分层协议的应用

TCP/IP的多层设计有许多好处，特别是关系到它的封装机制。

多层协议提供以下好处：
•可以在更高层使用更为广泛的协议
•封装可以和不同的层进行合作
•在更为复杂的网络中支持灵活性和弹性

多层协议有以下几个缺点：
•允许隐蔽信道
•过滤机制可被绕行
•逻辑上实现的网络段边界可以被逾越

11.2.3 TCP/IP的脆弱性

TCP/IP的脆弱性有很多。在各种操作系统中，不正确地实现TCP/IP堆找很容易遭受缓冲区溢出攻击、SYN泛洪攻击、各种DoS攻击、碎片攻击、过长数据包攻击、欺骗攻击、中间人攻击、劫持攻击以及编码错误攻击。
除了这些侵入式攻击以外，TCP/IP(以及大多数协议)还常常遭受通过监控或嗅探进行的被动式攻击。网络监控是对信息流量模式进行监控，从而获得网络相关信息的行为。数据包嗅探是从网络中捕获数据包井期望从信息数据包内容中抽取出有用信息的行为。有效的数据包嗅探器可以抽取出用户名、密码、电子邮件地址、加密密钥、信用卡号、IP地址和系统名等信息。

11.2.4 域名解析

ARP/RARP/DNS

11.3 汇聚协议

汇聚协议是专业或专有协议和标准协议的融合，例如TCP/IP协议。汇聚协议的主要好处是使用现有的TCP/IP网络基础设施支持特殊或专有主机而不用特殊部署修改后的网络硬件。这能有效地节约成本。然而，作为专有协议的实现，并不是所有的汇聚协议提供相同的吞吐量或可靠性。

以太网光纤通道(FCoE)——光纤通道是网络存储解决方案(存储区域网络(SAN或网络附加存储(NAS))的一种形式，允许高达16Gbps的上行高速文件传输。
MPLS(多协议标签交换)——MPLS(多协议标签交换)是一种高通过、高性能的网络技术，它将数据在网络中以基于最短路径的标签而不是更长的网络地址进行传输。
互联网小型计算机系统接口(iSCSI)——互联网小型计算机系统接口(iSCSI)是一个基于E的网络存储标准。这项技术可以用来支持位置独立的文件存储、传输，以及对局域网、广域网的检索，或者公共互联网连接。iSCSI通常被认为是光纤通道的一种低成本替代方案。
IP语音(VoIP)——IP语音(VoIP)是用于在TCPI网络上传输语音和/或数据的一种隧道机制。因为VoIP往往更便直并提供了广泛的功能和选项，它己经取代或具备取代PS的潜力。
软件定义网络(SDN)——软件定义网络(SDN)是一种独特的对网络进行操作、设计和管理的方法。

11.4 内容分发网络(CDN)

11.5 无线网络

11.5.1 保护无线接入点

11.5.2 保护SSID

11.5.3 执行现场勘测

11.5.4 使用加密协议

WEP（WEP加密采用RC4流密码算法。）
WPA（WPA被设计用来替代WEP；它是一个临时的解决办法，直到新的802.11i修订版完成。WPA基于LEAP和TKIP加密体系并通常使用安全加密用于认证。遗憾的是，使用单个静态的密码将彻底损坏WPA的安全性。尽管WPA比WEP更复杂，但WPA不再提供长期可靠的安全。）
WPA2（最后，一种新的确保无线安全的方法被开发出来，井且截至目前仍然被认为是安全的。是被称为802.11i或WPA2的修订方案。这是一种新的加密方案，称为计数器模式密码块链接消息认证码协议(CountModeCipherBlockChainingMessageAuthenticationCodeProtocol，CCMP)，这是基于AES的加密方案。）
802.1x/EAP（WPA和WPA2都支持称为企业认证的802.1x/EAP，这是一个标准的基于端口的网络访问控制协议，确保客户端在没有发生正确认证时不能和资源发生通信联系。802.1x是一种有效允许无线网络利用现有的网络基础设施进行认证服务的协议。通过使用802.1x，其他技术和解决方案，如RADIUS、TACACS、证书、智能卡、令牌和生物识别设备，可以被集成到无线网络中并提供包括进行交互和多因子认证的技术。）
PEAP（PEAP(ProtectedEAP，受保护的可扩展认证协议)通过TLS隧道封装EAP方法，提供了认证和潜在的加密功能。）
LEAP（LEAP(LightweightEAP，轻量级可扩展认证协议)是Cisco专有的，用于WPA替代TKIP。）
MAC过滤器（MAC过滤器是一系列授权的无线客户端接口MAC地址，这些地址被无线接入点用来阻断那些未经授权的设备。虽然这是一个有用的特性，但是它难以管理，并且往往只使用在小型、静态的环境中。此外，黑客通过基本的无线黑客工具就可以发现有效客户端的MAC地址，然后伪装成该地址对无线客户端发起攻击。）
TKIP（TKIP(TemporalKeyIntegrityProtocol，临时密钥完整性协议)被设计为替代WEP而不需要更换无线硬件。）
CCMP（CCMP(计数器模式密码块链接消息认证码协议)用于取代WEP和TKIP/WPA。CCMP使用AES(高级加密标准)和128位的密钥。CCMP是802.11i制定的在802.11无线网络中首选的标准安全协议。到目前为止，还没有攻击能成功破解AES/CCMP加密。）

11.5.5 天线位置的确定

11.5.6 天线类型

11.5.7 调整功率水平控制

11.5.8 使用强制门户

11.5.9 一般的Wi-Fi安全措施

(1)改变默认的管理员密码。
(2)关闭SSID广播。
(3)变更SSID到特定的方式。
(4)如果无线客户端比较少且是静态的，启用MAC过滤。
(5)考虑使用静态IP地址，或配置保留的DHCP(仅适用于小型部署)。
(6)开启支持的身份认证和加密的最高形式。如果不提供WPA2，那么使用WPA和WEP提供非常有限的保护也比未加密的网络好得多。
(7)把无线视为远程访问，并使用802.1x进行访问管理。
(8)把无线视为外部接入，把WAP和有线网络用防火墙进行隔离。
(9)把无线视为攻击者的入口，用IDS监控所有WAP到有钱网络的通信流量。
(10)需要对无线客户端和WAP之间的通信进行加密，换句话说，需要VPN连接。

11.6 保护网络组件

内部网是一种专用网络，被设计用于集成与在互联网上的相同信息服务。
外部网是互联网和内部网之间的中间网络。外部网是组织网络中被分离出的一部分，因此对于专用网络来说，它是一个内部网，但是它还为公共的互联网提供信息服务。外部网常常被预留给特定的合作伙伴或客户使用，并且极少依赖于公共网络。供公共消费的外部网通常被标记为隔离区(DMZ)或边界网络。

11.6.1 网络接入控制

网络接入控制(NAC)是一种访问控制环境中通过严格遵守和实施安全策略的概念。NAC领域的目标如下：
•预防/减少0-day攻击
•加强网络通信的安全策略
•使用验证完成访问控制
NAC的目标可以通过使用强大且详细的安全策略来达到。这些措施明确了从客户端到服务器以及所有内部或外部沟通中每台设备的安全控制、过滤、预防、检测和响应。NAC作为一种自动检测和响应系统，可以实时反应，在威胁引起损坏或破坏之前就对其进行阻断。
最初，802.1x(提供基于端口的NAC)被认为体现了NAC，但大多数的支持者认为802.1x仅仅是NAC的一种简单形式或者只是完整NAC解决方案的组成部分。
NAC可以通过进入前评估方式或进入后评估方式，或结合这两种方式进行应用：
•进入前评估方式需要系统满足当前的安全要求(如应用补丁和杀毒软件更新)才被允许与网络进行通信。
•进入后评估方式基于用户的活动允许访问或拒绝访问，是预定义的授权矩阵。
其他围绕NAC的问题包括客户端/系统代理与整体网络监控(非代理)；带外与带内监测；以及分解任何补救、隔离或强制门户策略。这些和其他的NAC问题必须在实施之前进行考虑和评估。

11.6.2 防火墙

静态的数据包过滤防火墙——静态的数据包过滤防火墙通过检查报文头部的数据进行通信过滤。通常，过滤规则关注于源地址、目的地址和端口地址。使用静态过滤时，防火墙不能为用户提供身份认证，也不能告知数据包来自专用网络内部还是外部，并且很容易受到虚假数据包的欺骗。静态的数据包过滤防火墙被称为第一代防火墙，在OSI模型的第3层(网络层)上工作。此外，这种防火墙也被称为屏蔽路由器或常用路由器。
应用级网关防火墙——应用级网关防火墙也被称为代理防火墙。代理是一种可以将数据包从一个网络复制到另一个网络的机制：为了保护内部或专用网络的身份，复制过程还改变了源地址和目的地址。应用级网关防火墙基于用于传送或接收数据的网络服务(也就是应用)来过滤通信。每种应用类型都必须具有自己唯一的代理服务器。因此，应用级网关防火墙包括很多独立的代理服务器。由于每个信息数据包在通过防火墙时都必须经过检查和处理，因此这种类型的防火墙对于网络的性能会产生负面影响。应用级网关防火墙被称为第二代防火墙，并且在OSI模型的应用层(第7层)上工作。
电路级网关防火墙——电路级网关防火墙用于在可信合作伙伴之间建立通信会话，在OSI模型的会话层(第5层)上工作。SOCKS(来自安全套接字，就像TCP/IP端口一样)是电路级网关防火墙的通用实现。电路级网关防火墙也称为电路代理，在电路的基础上管理通信，而不是基于通信的内容管理通信。这种防火墙只基于通信电路的终点名称(也就是源地址、目的地址以及服务端口号)来许可或拒绝转发决策。因为它们代表对应用级网关防火墙概念的更改，所以电路级网关防火墙仍然被视为第二代防火墙。
状态检测防火墙——状态检测防火墙(也被称为动态包过滤防火墙)对网络通信的状态或环境进行评估。通过查看源地址和目的地址、应用习惯、起源地以及当前数据包与同一会话先前数据包之间的关系，状态检测防火墙就能够为己授权的用户和活动授予广泛的访问权限，并且能够积极地监视和阻止未授权的用户和活动。状态检测防火墙通常比应用级网关防火墙更有效。状态检测防火墙被视为第三代防火墙，并且在OSI模型的网络层和传输层(第3层和第4层)上工作。

11.6.3 终端安全

11.6.4 其他网络设备

11.7 布线、无线、拓扑和通信技术

11.7.1 网络布线

1.同轴电缆
2.基带和宽带线缆
3.双绞线
4.导线

11.7.2 网络拓扑

计算机和网络连接设备的物理布局和组织被称为网络拓扑结构。逻辑拓扑结构指的是通过网络连接在一起的系统被分组在一个可信集合内。物理拓扑结构并不总与逻辑拓扑结构相同。网络的物理布局存在4种基本的拓扑结构：环型、总线型、星型和网状型。

11.7.3 无线通信与安全性

11.7.4 LAN技术

LAN(局域网)技术存在三种主要类型：以太网、令牌环和FDDI。虽然还存在其他少数局域网技术，但是它们的使用不如这三种类型广泛。此外，CISSP考试仅涉及这三种主要类型。LAN技术之间的大多数差别存在于数据链路层及其以下层。

1.以太网
以太网是一种共享介质的LAN技术，也称为广播技术。

2.令牌环
令牌环来用令牌传递机制来控制哪些系统可以在网络介质上传输数据。令牌在LAN所有成员形成的逻辑环上进行传递。令牌环可以来用环型或星型网络拓扑。由于令牌环的性能有限，比起以太网来说成本又高，而且会增加部署和管理的难度，今天己极少使用。

3.光纤分布式数据接口(FDDI)
光纤分布式数据接口(FDDI)是一种使用两个环的高速令牌传递技术，其中信息流在两个环上沿相反的方向传输。FDDI常用作大型企业网络的主干，它的双环设计允许实现自愈，即从环中去除故障网段，并且利用剩下的部分内部环和外部环建立单个环。

4.辅助技术
大多数网络并非只包含一种技术，而是包含众多技术。例如，以太网并不只是一个单独的技术，而是支持其通用以及预期活动和行为的多个辅助技术的超集。

5.模拟和数字
在长距离传输或存在干扰时，数字信号比模拟信号更可靠。这是因为数字信号的既定信息存储方法利用了直流电压，其中有电压代表值1无电压代表值0。这些开关脉冲创建了一个二进制数据流。由于长距离传输和干扰所造成的衰减，模拟信号会发生变化和讹误。与数字信号只有两种状态相比，模拟信号具有无限多的变化被用于信号编码，因此在衰减增长时，对信号的多余更改会导致数据抽取工作更加困难。

6.同步和异步
某些通信使用时钟或定时活动进行同步。通信既可以是同步的，也可以是异步的。

7.基带和宽带
在一个线缆段上能够同时发生的通信数取决于使用的是基带技术还是宽带技术。

8.广播、多播和单播

9.LAN介质访问
最后要介绍的是，至少有5种LAN介质访问技术用来避免或阻止传输冲突。这些技术定义了所有位于相同冲突域内的多个系统如何进行通信，其中一些技术主动防止冲突，另外一些技术则对冲突做出响应。

载波侦昕多路存取(CSMA)。
带有冲突避免的载波侦听多路存取(CSMA/CA)。
带有冲突检测的侦听多路存取(CSMA/CD)。
令牌传递——这是一种使用数字令牌进行通信的LAN介质访问技术。
轮询——这是一种使用主从配置进行通信的LAN介质访问技术。

11.8 本章小结

在网络中设计、部署和维护安全性需要熟悉涉及网络连接的各种技术，这些技术包括协议、服务、通信机制、拓扑结构、线缆、端点和网络连接设备。
OSI模型是一个对所有协议进行评估的标准。理解OSI模型是如何运用的以及如何应用于现实中的协议，有助于系统设计者和系统管理员改善系统的安全性。TCP/IP模型直接起源于协议并大致对应OSI模型。
大多数网络采用TCP/IP作为主要的协议。然而，在TCP/IP网络中还存在许多子协议、支持协议、服务和安全机制。对于这些不同实体的基本理解有助于设计和部署安全的网络。
除了路由器、集线器、交换机、中继器、网关和代理之外，防火墙也是网络安全性的重要组成部分。防火墙有4种主要类型：静态数据包过滤、应用级网关、电路级网关以及状态检测。
汇聚协议在现代网络中是很常见的，包括FCoE、MPLS、VoIP和iSCSI。软件定义网络和内容分发网络己经扩大了网络的定义，还扩大了网络的使用。广泛的硬件组件可以用来构建网络，而不仅仅是通过布线来将所有设备绑定到一起。了解每种布线类型的优点和缺点是设计安全网络的一部分。
无线通信有许多形式，包括手机、蓝牙(802.15)和无线网络(802.11)。无线通信更容易受到干扰、窃听、拒绝服务、中间人攻击。
有三个局域网技术在CISSP CIB中提到：以太网、令牌环和FDDI。每个都可以被用来部署安全的网络。也有几个常见的网络拓扑结构：环型、总线型、星形型和网格型。

考试要点：

了解OSI模型的各层和每一层所使用的协议。OSI模型的7层以及各层所支持的协议如下：
•应用层：HTTP、FTP、LPD、SMTP、Telnet、TFTP、EDI、POP3、IMAP，SNMP、NNTP、S-RPC和SET。
•表示层：加密协议(例如，RSA和DES)与格式化类型(例如，ASCII、EBCDICM、TIFF、JPEG、MPEG和MIDI)。
•会话层：NFS、SQL和RPC。
•传输层：SPX、SSL、TLS、TCP和UDP。
•网络层：ICMP，RIP、OSPF，BGP、IGMP，IP、IPSec、IPX、NAT和SKIP。
•数据链路层：SLIP、PPP、ARP，RARP、L2F、L2TP，PPTP，FDDI和ISDN。
•物理层：EIA/TIA-232、EIA/TIA-449、X.21、HSSI、SONET、V.24和V.35。
全面了解TCP/IP。了解TCP和UDP之间的差异。熟悉4个TCP/IP层及其与OSI模型的对应关系。此外，还要理解知名端口的使用，并且熟悉相关的子协议。
了解不同的线缆类型及其长度和最大吞吐率。线缆连接类型包括STP、10Base-T(UTP)、10Base2(细览)、10Base5(粗缆)、100Base-T、1000Base-T和光纤。还应当熟悉从1类到7类的UTP。
熟悉常用的LAN技术。常用的LAN技术是以太网、令牌环和FDDI。此外还应当熟悉：模拟通信与数字通信；同步通信与异步通信；基带通信与宽带通信；广播、多播和单播通信；CSMA、CSMA/CA和CSMA/CD；令牌传递；轮询。
了解安全的网络体系结构和设计。网络安全应考虑IP和非IP协议、网络访问控制、使用安全的服务和设备、管理多层协议以及实现端点安全。
了解网络分段的各种类型和目的。网络分段可以用来管理流量、提高性能并加强安全性。网络分段或子网的例子包括内部网、外部网和DMZ。
了解不同的无线技术。手机、蓝牙(802.15)和无线网络(802.11)都称为无线技术，即使它们是完全不同的。了解它们的差异、优势和弱点。了解安全802.11网络的基础知识。
了解光纤通道。光纤通道是一种网络数据存储解决方案(例如SAN(存储区域网络)或NAS(网络附加存储))，允许高速文件传输。
了解FCoE。FCoE(以太网光纤通道)用来封装光纤通道中的以太网网络通信。
了解iSCSI。iSCSI(互联网小型计算机系统接口)是一个基于IP的网络存储标准。
了解802.11和802.11a、b、g、n和ac。802.11是IEEE标准的无线网络通信。版本包括802.11(2Mbps)、802.11a(54Mbps)、802.11b(11Mbps)、802.11g(54Mbps)、802.11n(600Mbps)和802.11ac(1.3+Mbps)。802.11标准定义了有线等效保密(WEP)。
了解现场勘测。现场勘测是调查环境中的位置和信号强度以达到部署无线接入点所需条件的过程。这个任务通常涉及利用便携式无线设备进行步行探寻以观测无线信号的强度，并映射这一场景或建筑的示意图。
了解WPA。WEP的早期选择WPA。这种技术虽有改进但本身仍是不完全可靠的。它基于LEAP和TKIP密码体系并使用一个密码短语。
理解WPA2。WPA2是一种新的加密方案，称为计数器模式密码块链接消息认证码协议(CCMP)，是基于AES的加密方案。
了解WEP。有线等效保密协议(WEP)是由IEEE802.11定义的标准，目的是在无线网络上提供等同于有线或有线网络同一水平的安全和加密。WEP提供对抗数据包嗅探和窃听攻击的无线传输保护。WEP的第二个好处是能够防止未经授权的无线网络访问。WEP使用预定义的共享密钥。
了解EAP。EAP(可扩展认证协议)不是一个特定的认证机制；它是一个认证框架。实际上，EAP允许新的认证技术与现有的无线或点对点连接技术相兼容。
了解PEAP。PEAP(受保护的可扩展认证协议)通过TLS隧道封装EAP，提供了认证和加密的可能性。
了解LEAP。LEAP(轻量级可扩展认证协议)是Cisco专有的，用于WPA替代TKIP。协议的设计是为了在802.11i/WAP2被批准为标准之前以应对TKIP的不足。
了解MAC过滤。MAC过滤器是一个授权的无线客户端接口MAC地址列表，用于无线接入点以阻止所有非授权设备的访问。
了解SSID广播。无线网络定期在一个称为信标帧的特殊数据包内公布它们的SSID。当SSID进行广播时，具有自动检测和连接的任何设备不仅能够看到网络，也可以主动与网络进行连接。
了解TKIP。TKIP(临时密钥完整性协议)被设计用于替代WEP且不需要更换传统的无线硬件。TKIP在802.11无线网络中得到应用并被称为WPA(Wi-FiProtectedAccess)。
了解CCMP。设计CCMP(计数器模式密码块链接消息认证码协议)是为了取代WEP和TKIP。CCMP使用AES(高级加密标准)和128位的密钥。
了解强制门户。强制门户是一个认证技术，它将一个新的无线Web客户端连接重定向到一个访问控制接口页面。
了解天线的类型。各种类型的天线可用于无线客户端和基站。这些天线包括全向天线以及许多定向天线，如Yagi天线、cantenna天线、面板天线和抛物线天线。
了解现场勘测。现场勘测使用RF信号探测器对无线信号的强度、质量和干扰进行正式评估。
了解标准的网络拓扑结构。有环型、总线型、星型和网状型几类。
了解常用的网络设备。常用的网络设备包括防火墙、路由器、集线器、桥、中继器、交换机、网关和代理。
理解不同类型的防火墙。防火墙有4种基本类型：静态的数据包过滤、应用级网关、电路级网关以及状态检测防火墙。
了解用于连接LAN和WAN通信技术的协议服务。它们是帧中继、SMDS、X.25、ATM、HSSI、SDLC、HDLC和ISDN。

参考链接：

CISSP官方学习指南第7版（中文）-文字版带完整书签

=END=

25 11 月, 2017

Docker

KnowledgeBase, Security

802.11, CISSP, LAN, OSI, TCP/IP, 网络安全