跟我学TCP/IP系列7

        难得有空，给大家带来跟我学TCP/IP系列第7篇文章，主要介绍网络安全的部分知识，这也是跟我学TCP/IP系列文章的最后一篇文章了。至于下一次写什么内容，还在考虑中，不过读者也可以告诉我你想看什么，我会尽量满足大家。小编也在这边祝大家端午快乐啦。

1TCP/IP与网络安全

    随着互联网的日益普及，发生了很多非法访问，恶意攻击等问题，着实影响了企业和个人的利益。由前一段时间爆发的永恒之蓝的病毒，给人民的生活带来了极大的影响，最近听说永恒之蓝病毒又攻克了所谓的最安全的系统-Linux。这着实让人蛋疼。这也从侧面反应出网络安全的重要性。为了让人们更好、更安全的利用互联网，只有牺牲一些便利性来确保网络的安全。

2网络安全的构成要素

    随着网络的发展，对于网络的依赖程度越高的同时也应该越重视网络安全。尤其是现在对于系统的攻击手段越来越多样化，某种特定程度的技术远不足以确保一个系统的安全。网络安全最基本的要领是要有预备方案，即不是在遇到问题的时候才去处理，而是通过对可能发生的问题进行预测，在可行的最大范围内为系统制定安全策略，进行日常运维，这才是重中之重。

防火墙

    组织机构(域)内部的网络与互联网相连时，为了避免域内收到非法访问的威胁，往往会设置防火墙。防火墙的形态和种类有很多种，比如专门过滤特定数据包的包过滤防火墙，数据到达应用后由应用处理并拒绝非法访问的应用网关。这些防火墙都有基本的设计思路，就是暴露给危险的主机和路由器的个数要有限。

防火墙举例

上图中，对路由器设置了只向其发送特定地址和端口号的包，即设置了一个包过滤防火墙。

    当从外部过来TCP通信请求时，只允许对web服务器的TCP80端口和邮件服务器的TCP25端口的访问，其他所有类型的包全部丢弃，此外，建立TCP连接的请求只允许从内网发起。关于这一点，防火墙可以通过监控TCP包首部中的SYN和ACK标志位来实现。具体为，当SYN=1时，ACK=0时属于互联网发过来的包，应当废弃。有了这样的设置以后，只能从内网向外网建立连接，而不能从外网直接连接内网。

IDS和个人防火墙

• 入侵检测系统

    IDS即入侵检测系统，当数据包符合安全策略，防火墙才会让其通过，只要与策略相符，就无法判断当前访问是否非法访问，所以全部访问允许通过。而IDS正是检查这种已经侵入内部网络进行非法访问的情况并及时通知给网络管理员的系统。IDS根据不同的用途可以提供各种不同的功能，从设置上看，一般在防火墙或DMZ等边界设备上进行设置。有了 这样的监控、边界检测功能，就可以设置在网络内部、全网或个别特殊的服务器上进行监控。

• 反病毒/个人防火墙

    反病毒和个人防火墙是继IDS和防火墙之后的另外两种安全对策，它们往往是用户使用的计算机或服务器上运行的软件。既可以监控计算机中进出的所有包、数据和文件，也可以防止对计算机的异常操作和病毒入侵。反病毒/个人防火墙主要是为了防范黑客发送的带有病毒或蠕虫的邮件感染系统等威胁，保护客户端PC的一种方法。这种方法不仅可以达到防范病毒的目的，一旦某一台计算机发生病毒感染

时，它可以通过消除病毒，使其尽量避免因病毒的扩散而产生更严重后果的影响。

3加密技术

    一般情况下，网页访问等互联网上流动的数据不会被加密，而且互联网中哪些数据经由哪些路径传输也不是使用者可以预知的内容，由此通常无法避免这些信息会泄漏给第三方。

逐层加密

为了防止泄漏信息并实现机密数据的传输，加密技术也就随之诞生了。

加密技术的逐层分类

逐层加密举例

    在讲加密技术之前，先来给大家介绍一下PKI(公钥基础结构)

PKI(Public Key Infrastructure，公钥基础结构)是一种通过可信赖的第三方检查通信对方是否真实而进行验证的机制，这里所提到的可信赖的第三方在KPI中被称为认证机构(CA:Certificate Authority)。

用户可以利用CA颁发的数字证书验证通信对方的真实性。

该数字证书包含用户身份信息，用户公钥信息以及证书签发机构对该证书的数字签名信息。其中证书签发结构的数字签名可以确保用户身份信息和公钥信息的真实合法性。

而公钥信息可以用于加密数据或验证对应私钥的签名。使用公钥信息加密后的数据只能由持有数字证书的一方读取，这在使用信用卡等对于安全要求较高的场合极为重要。KPI还用于加密邮件和Web服务器的HTTPS通信中。

对称加密与公钥密码

    加密是指利用某个值(密钥)对明文的数据通过一定的算法变换成加密(密文)数据的过程，它的逆反过程叫做解密。

加密过程

    加密和解密使用相同的密钥叫做对称加密方式，反之，如果再加密和解密过程中分别使用不同的密钥(公钥和密钥)则叫做公钥加密方式。在对称加密方式中，最大的问题在于如何传递安全可靠的密钥。而公钥加密方式中，仅有一方的密钥是无法完成解密的，还必须严格管理私钥。通过邮件发送公钥，通过web公开发布公钥，或通过PKI分配等方式，才得以在网络上安全地传输密钥。不过相比对称加密方式，后者在加密和解密上需要花费的时间较长，在对较长的消息进行加密时往往采用两者结合的方式。

    对称加密方式包括AES(Advanced Encryption Standand)，DES(Data Encryption Standand)等加密标准。而公钥加密中包括RSA、DH、椭圆曲线等加密算法。

对称加密和公钥加密

身份认证技术

    在实施安全对策时，有必要验证使用的正确性和真实性。如果不是正当的使用者要拒绝其访问。为此，需要数据加密的同时还要有认证技术。认证可分为如下几类：

• 根据所知道的信息进行认证

• 根据所拥有的信息进行认证

• 根据独一无二的体态特征进行认证

4安全协议

IPsec和VPN

    以前为了防止信息泄露，对机密数据的传输一般不使用互联网等公共网络，而是只要由专线连接的私有网络，从而在物理上杜绝了窃听和篡改数据的网络，but，专线的造价太高了。

互联网上的VPN

    在构建VPN时，最常被使用的是IPsec。它是指在IP首部的后面追加封装安全有效载荷和认证首部，从而对此后的数据进行加密，不被盗窃者轻易解读。在发包的时候附加上两个首部，可以在收包的时候根据首部对数据进行解密。恢复成原始数据，由于，加密后的数据不再轻易被破解，即使在途中被篡改，也能够被及时检测。

通过IPsec加密IP包

TLS/SSL与HTTPS

    Web中可以通过TLS/SSL对HTTP通信进行加密。使用TLS/SSL的HTTP通信叫做HTTPS通信。HTTPS中采用对称加密方式，而在发送其公共密钥时采用的则是公钥加密方式。

HTTPS

    确认公钥是否正确主要使用CA签发的证书，而主要的认证中心信息已经嵌入到浏览器的出厂设置中。如果Web浏览器中尚未加入某个CA，那么会在也页面上提示一个警告信息。此时判断CA合法与否就要由用户自己决定了。

IEEE802.1x

    IEEE802.1x是为了能够接入LAN交换机和无线LAN接入点而对用户进行认证的技术。并且它只允许被认可的设备才能访问网络。虽然它是一个提供数据链路层控制的规范，但是与TCP/IP关系紧密。一般，由客户端终端，AP或2层交换机以及认证服务器组成。

IEEE802.1x

    IEEE802.1x中当有一个尚未经过认证的终端连接AP（如图中的1）时，起初会无条件地让其连接到VLAN，获取临时的IP地址。然而此时终端只能连接认证服务器(图中的2)。

    连接到认证服务器后，用户被要求输入用户名和密码（图中的3所示）。认证服务器收到信息后，将该用户所能访问的网络信息通知给AP和终端（图中的4）.

    随后AP会进行VLAN号码(该终端连接网络的必要信息)的切换(如图中的5)。终端由于VLAN的切换进行IP地址重置(图中的6)最后才得以连接网络（图中的7）。

    以上就是跟我学TCP/IP的所有内容了，希望大家都可以从这个系列中学到一些知识，有些东西可能并没有写得那么详细，还是需要读者去查询相关资料才能真正掌握，在这边知识起抛砖引玉的作用，希望这些文章对读者有所帮助。