网络安全简述
TCP/IP与网络安全
起初TCP/IP只用于一个相对封闭的环境,之后才发展为并无太多限制、可以从远程访问更多资源的形式。因此,安全这个概念并没有引起人们太多的关注。
互联网向人们提供了很多便利的服务。 为了让人们能够更好、更安全的利用互联网,只有牺牲一些便利性来确保网络的安全。
便利性和安全性作为两个对立的特性兼容并存,产生了很多新的技术。
网络安全构成要素
网络安全最基本的要领是要有预备方案。即不是在遇到问题的时候才去处理,而是通过对可能发生的问题进行预测,在可行的最大范围内为系统制定安保对策,进行日常运维。
1.防火墙
组织机构(域)内部的网络与互联网相连时,为了避免域内受到非法访问的威胁,往往会设置防火墙。
防火墙的种类和形态有很多种。例如:
1.专门过滤(不过滤)特定数据包的包过滤防火墙。
2.数据到达应用以后由应用处理并拒绝非法访问的应用网关。
防火墙都有基本相同的设计思路,那就是“暴露给危险的主机和路由器的个数要有限”。
如果设置防火墙的话,可以限制从互联网访问的主机个数。
将安全的主机和可以暴露给危险的主机加以区分,只针对后者集中实施安全防护。
建立TCP连接的请求只允许从内网发起。
防火墙可以通过监控TCP包首部中的SYN和ACK标志位来实现。当SYN=1,ACK=0时属于互联网发过来的包,应当废弃。这样便实现了只能从内网向外建立连接,而不能从外网直接连接内网。
2.IDS (入侵检测系统)
IDS是检查已经侵入内部网络进行非法访问的情况,并及时通知给网络管理员的系统。
IDS根据不同的用途可以提供各种不同的功能。
从设置形式上看,一般在防火墙或DMZ等边界设备上进行设置。
从功能上看,IDS有定期采集日志、长期监控、通知异常等功能。
可以监控网络上流动的所有数据包。
可以与防火墙相辅相成,实现更为安全的网络环境。
注:在连接互联网的网络中,可以设置一个服务器并在这台服务器上建立一个允许从互联网直接进行通信的专用子网。这种将外网与内网隔开的专用子网就叫做DMZ (DeMilitarized Zone, 非军事化区)。
3.反病毒/个人防火墙
反病毒和个人防火墙是用户使用的计算机或服务器上运行的软件。
可以监控计算机中进出的所有包、数据和文件,也可以防止对计算机的异常操作和病毒入侵。
病毒/个人防火墙不仅可以达到防范病毒的目的,一旦某一台机器发生病毒感染时,它可以通过消除病毒,使其尽量避免因病毒的扩散而产生更严重后果的影响。
注:PKI (公钥基础结构):
PKI(Public Key Infrastructure, 公钥基础结构)是一种通过可信赖的第三方检查通信对方是否真实而进行验证的机制。
可信赖的第三方在PKI中称作认证机构(CA: Certificate Authority)。
用CA颁发的“数字证书”验证通信对方的真实性。
数字证书包含用户身份信息、 用户公钥信息以及证书签发机构对该证书的数字签名信息。
加密技术基础
加密技术分布与OSI参考模型的各个阶层一样,相互协同保证通信。
加密技术的逐层分类:
各层加密应用举例:
1.对称密码体制与公钥密码体制
加密是指利用某个值(密钥)对明文的数据通过一定的算法变换成加密(密文)数据的过程。它的逆反过程叫做解密。
对称加密方式:加密和解密使用相同的密钥。
公钥加密方式:如果在加密和解密过程中分别使用不同的密钥(公钥和私钥)。
公钥加密方式中,仅有一方的密钥是无法完成解密的,还必须严格管理私钥。
通过邮件发送公钥、通过Web公开发布公钥、或通过PKI分配等方式,才得以在网络上安全地传输密钥。
相比对称加密方式,公钥加密方式在加密和解密上需要花费的时间较长,在对较长的消息进行加密时往往采用两者结合的方式。
对称加密方式包括AES(Advanced Encryption Standard)、DES(Data Encryption Standard)等加密标准。
公钥加密方法中包括RSA、DH(Diffie-Hellman)、椭圆曲线等加密算法。
2.身份认证技术
在实施安全对策时,有必要验证使用者的正确性和真实性。如果不是正当的使用者要拒绝其访问。
认证分为如下几类:
1.根据所知道的信息进行认证。指使用密码或私有代码(私有识别码)的方式。
2.根据所拥有的信息进行认证。指利用ID卡、密钥、电子证书、电话号码等信息的方式。
3.根据独一无二的体态特征进行认证。指根据指纹、视网膜等个人特有的生物特征进行认证的方式。
从认证级别和成本效益的角度考虑,一般会综合上述3种方式的情况更为普遍。
IDM(IDentity Management):一种集合各种终端、服务器和应用的认证于一起进行综合管理的技术。
安全协议
1.IPsec与VPN
VPN是一种利用加密和认证技术这两种技术打造的网络。
在构建VPN时,最常被使用的是IPsec。
IPsec指在IP首部的后面追加“封装安全有效载荷”和“认证首部“,从而对此后的数据进行加密,不被盗取者轻易解读。
在发包的时候附加上述两个首部,可以在收包时根据首部对数据进行解密,恢复成原始数据。
加密后的数据不再被轻易破解,即使在途中被篡改,也能够被及时检测。
2.TLS/SSL与HTTPS
Web中可以通过TLS/SSL对HTTP通信进行加密。
使用TLS/SSL 的HTTP通信叫做HTTPS通信。HTTPS中采用对称加密方式。而在发送其公共密钥时采用的则是公钥加密方式。
确认公钥是否正确主要使用认证中心(CA)签发的证书,而主要的认证中心的信息已经嵌入到浏览器的出厂设置中。
3.IEEE802.1X
IEEE802.1X是为了能够接入LAN交换机和无线LAN接入点而对用户进行认证的技术。
只允许被认可的设备才能访问网络。
是一个提供数据链路层控制的规范,但是与TCP/IP关系紧密。
由客户端终端、AP(无线基站)或2层交换机以及认证服务器组成。
1.IEEE802.1X中当有一个尚未经过认证的终端连接AP,起初会无条件地让其连接到VLAN, 获取临时的 IP地址。此时终端只能连接认证服务器。
2.连到认证服务器后,用户被要求输入用户名和密码,认证服务器收到该信息以后,将该用户所能访问的网络信息通知给AP和终端。
3.随后AP会进行VLAN号码(该终端连接网络必要的信息)的切换,终端则由于VLAN的切换进行IP地址重置,最后才得以连接网络。
公共无线局域网中,一般也会进行用户名和密码的加密和认证。
也可以通过IC卡或证书、MAC地址确认等第三方信息进行更为严格的认证。
IEEE802.1X中使用EAP(可扩展身份认证协议)。EAP由RFC3748以及RFC5247定义。
2094
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
