网络安全

一、网络安全的概述：

随着互联网的发展，对网络的依赖程度越高就越应该重视网络安全，尤其是现在，对系统攻击手段的多样化，某种特定的技术已不足以确保一个系统的安全。网络安全最基本的的要领是要有预备方案。既不是在遇到问题时才去处理，而是通过对可能发生的问题进行预测，为系统制定安全对策和日常维护。

 

二、网络安全技术

1、网络防护技术

（1）、防火墙

当组织内部的网络与互联网连接时，为了避免受到非法访问的威胁，往往会设置防火墙

如下图所示，这是一个设置防火墙的例子。图中，对路由器设置了只向其发送特定的端口号的包，即设置了一个包过滤的防火墙，当有外部的TCP请求时，只允许对Web服务器的TCP 80端口和邮件服务器的TCP 25端口的访问，其他所有类型的包全部丢弃。

（2）、IDS（入侵检测系统）

数据包符合安全策略，防火墙才会让其通过。即只要与策略相符，就无法判断当前访问是否为非法访问，所以全部允许通过。
而IDS正是检查这种已经侵入内部网络进行非法访问的情况，并及时通知给网络管理员的系统。
从功能上看，IDS有定期采集日志、长期监控、通知异常等功能。它可以监控网络上流动的所有数据包。为了确保各种不同系统的安全，IDS可以与防火墙相辅相成，实现更为安全的网络环境。

（3）、反病毒软件

反病毒软件是继IDS和防火墙之后的另外两种安全对策。

反病毒软件是运行在用户的计算机或服务器上的软件，既可以监控计算机中进出的包、数据和文件、也可以防止对计算机的异常操作和病毒入侵。所以他可以防范病毒穿过防火墙之后的攻击。

此外，一般的反病毒产品也提供诸如防止垃圾邮件的接受、阻止广告弹出以及阻止访问禁止的网站，有了这些功能可以放置一些潜在的威胁。

2、加密技术

一般情况下，网页访问、电子邮件等网络上的流动数据不会被加密，为了防止信息泄露，实现机密数据的传输，出现了很多加密技术

（1）.对称密码体制与公钥密码体制

加密是指利用某个值对密文的数据通过一定的算法变换成加密数据的过程。它的逆反过程叫做解密。

加密和解密使用相同的密钥叫做对称加密方式。反之，如果在加密和解密过程中分别使用不同的密钥则叫做公钥加密方式。

在对称加密方式中，最大的挑战就是如何传递安全的密钥。而公钥加密方式中，仅有一方的密钥是无法完成解密的，还必须严格管理私钥。通过邮件发送公钥、通过Web公开发布公钥、或通过PKI分配等方式，才得以在网络上安全地传输密钥。对称加密方式包括AES、DES等加密标准，而公钥加密方法中包括RSA、DH、椭圆曲线等加密算法。

3、身份认证技术

在实施安全对策时，有必要验证使用者的正确性和真实性、如果不是正当的使用者要拒绝其访问。为此，需要数据加密同时还要有认证技术，认证可分为以下几类

1. 根据所知道的信息进行认证
   指使用密码或私有代码的方式。为了不让密码丢失或不被轻易推测出来，用户自己需要多加防范。使用公钥加密方式进行的数字认证，就需要验证是否持有私钥，
2. 根据所拥有的信息进行认证
   指利用ID卡、密钥、电子证书、电话号码等信息的方式。
3. 根据独一无二的体态特征进行认证
   指根据指纹、视网膜等个人特有的生物特征进行认证的方式。

 

三、网络安全协议

1.IPsec和VPN

以前，为了防止信息泄露，对机密数据的传输一般不使用公共网络，而是使用专线连接的私有网络。然而专线的造价太高也是一个问题，为了解决此问题，人们想出了在互联网上构造一个虚拟的私有网络，即VPN（虚拟专用网）

VPN（Virtual Private Network,虚拟专用网）。互联网中采用加密和认证技术可以达到“即使读取到数据也无法读懂”、“检查是否被篡改”等功效。VPN正是一种利用这两种技术打造的网络。

在构建VPN时，最常被使用的是IPsec。它是指在IP首部的后面追加“封装安全有效载荷”和“认证首部”，从而对此后的数据进行加密，不被盗取者轻易解读。

2.TLS/SSL与HTTPS

Web中可以通过TLS/SSL与HTTPS通信进行加密。使用TLS/SSL的HTTP通信叫做HTTPS通信。HTTPS中采用对称加密方式。而在发送其公共密钥时采用的则是公钥加密方式。

确认公钥是否正确主要使用认证中心（CA）签发的证书，而主要的认证中心的信息已经潜入到浏览器的出厂设置中。如果Web浏览器尚未加入某个认证中心，那么就会在页面中提示警告信息。此时判断认证中心合法与否就由有用户自己决定了。

3.IEEE802.1X

IEEE802.1X是为了能够接入LAN交换机和无线LAN接入点而对用户进行认证的技术。并且它只允许被认可的设备才能访问网络。虽然它是一个提供数据链路层控制的规范，但是与TCP/IP关系紧密。一般，由客户端、AP或2层交换机以及认证服务器组成。