网上许多服务器是没有安全防范的
安全包括哪些方面
- 数据存储安全
- 应用程序安全
- 操作系统安全
- 网络安全
- 物理安全
- 用户安全教育
计算机网络上的通信面临以下的四种威胁:
- 截获–从网络上窃听他人的通信内容
- 中断–有意中断他人在网络上的通信
- 篡改–故意篡改网络上传送的报文
- 伪造–伪造信息在网络上传送
截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。
恶意程序:
- 计算机病毒–会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或者其变种复制进去完成的。eg: 熊猫烧香
- 计算机蠕虫–通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。
- 特洛伊木马–一种程序,它执行的功能超出所声称的功能。
查木马的程序:
1.查看会话 netstat -n 是否有可疑的会话
2.运行msconfig 服务,隐藏微软服务 - 逻辑炸弹–一种当运行环境满足某种特定条件时执行其他特殊功能的程序。
加密技术:
数据加密标准
数据加密标准DES属于常规密钥密码体制,是一种分组密码。
在加密前,先对整个明文进行分组。每一个组长为64位
然后对每一个64位二进制数据进行加密处理,产生一组64位密文数据。
最后将各组密文串接起来,即得出整个的密文。
使用的密钥为64位(实际密钥长度为56位,有8位用于奇偶校验)。
- 对称加密
- 优点:效率高
- 缺点:密钥不适合在网上传输,密钥维护比较麻烦
- 加密算法
- 加密密钥
- 非对称加密
- 加密密钥和解密密钥是不同的,有密钥对,分为公钥和私钥
- 公钥加密私钥解密
- 私钥加密公钥解密
- 数字签名:防止抵赖,能够检查签名之后内容是否被更改。
证书颁发机构(CA)的作用:
- 为企业和用户办法数字证书,确认这些企业和个人的身份
- 发布证书吊销列表
- 企业和个人需要信任证书颁发机构
数据加密标准:
- 数据加密标准DES属于常规密钥密码体制,是一种分组密码。
- 在加密前,先对整个明文进行分组。每一个组长为64位。
- 然后对每一个64位二进制数据进行加密处理,产生一组64位密文数据。
- 最后将各组密文串联起来,即得出整个的密文。
- 使用的密钥为64位(实际密钥长度位56位,有八位用于奇偶校验)。
- DES的保密性仅仅取决于对密钥的保密,而算法是公开的。尽管人们在破译DES方面取得了许多进展,但是至今仍然没有找到比穷举搜索密钥更加有效的方法。
- DES是世界上第一个公认的实用密码算法标准,它曾对密码学的发展做出了重大贡献。
- 目前较为严重的问题是DES的密钥的长度。
- 现在已经设计出来搜索DES密钥的专用芯片。
- DES算法公开取决于密钥长度
- 56位密钥破解需要3.5或者21分钟
- 128位密钥破解需要5.4*10的18次方年
Internet上使用的安全协议
- 安全套接字SSL
- 网络层IPSec
SSL安全套接字
- 在应用层和传输层之间使用,应用层准备好数据,通过SSL进行加密,然后打包给传输层,再依次往下传。
- 在发送方,SSL接收应用层的数据,对数据进行加密,然后把加了密的数据送往TCP套接字。
- 在接收方,SSL从TCP套接字读取数据,解密后把数据交给应用层。
一些协议使用安全套接字之后所使用的端口:
- imaps tcp-993 (imaps协议使用了安全套接字之后,使用TCP的993端口)
- pop3 tcp-995 (pop3协议使用了安全套接字之后,使用TCP的995端口)
- smtps tcp-465 (smtps协议使用了安全套接字之后,使用TCP的465端口)
- https tcp-443 (https协议使用了安全套接字之后,使用TCP的443端口)
SSL提供以下三种功能
- SSL服务器鉴别 允许用户证实服务器的身份。具有SSL功能的浏览器维持一个表,上面有一些可信赖的认证中心CA和他们的公钥。
- 加密的SSL会话 客户和服务器交互的所有数据都在发送方进行加密,在接收方解密。
- SSL客户鉴别 允许服务器正式客户的身份。
网络层安全–IPSec
- 安全关联SA
- 在使用AH或者ESP之前,先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联SA。
- IPsec就把传统的因特网无线连接的网络层转换为具有逻辑连接的层。
- SA(安全关联)是构成IPsec的基础,是两个通信实体经过协商(利用IKE)建立起来的一种协定,它决定了用来保护数据分组安全的安全协议(AH协议或者ESP协议)、转码方式、密钥以及密钥的有效存在时间等。
IPsec中最主要的协议
- 鉴别首部AH(Authentication Header):AH鉴别源点和检查数据完整性,但不能保密。
- 封装安全有效载荷ESP:ESP比AH复杂的多,它鉴别源点、检查数据完整性和提供保密。
在使用鉴别首部协议AH时,把AH首部插在原数据报数据部分的前面,同时把IP首部中的协议字段置为51。
在传输过程中,中间的路由器都不查看AH首部。当数据报到达终点时,目的主机才处理AH字段,以鉴别源点和检查数据报的完整性。
封装安全有效载荷ESP
使用ESP时,IP数据报首部的协议字段置为50,当IP首部检查到协议字段是50时,就知道在IP首部后面紧接着的是ESP首部,同时在原IP数据报后面增加了两个字段,即ESP首部和ESP数据。
数据链路层安全
- 数据链路层身份验证 PPP 身份验证
- ADSL拨号上网 数据链路层安全
防火墙(firewall)
- 防火墙是由软件和硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制定的,为的是可以最适合本单位的需要。
- 防火墙内的网络称为“可信赖的网路”,而将外部的因特网称为“不可信赖的网络”
- 防火墙可以用来解决内联网和外联网的安全问题。
防火墙的功能有两个:阻止和允许。
- 阻止:就是阻止某种类型的通信量通过防火墙(从外部网络到内部网络,或者反过来)
- 允许:允许的功能与 阻止 恰好相反。
- 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是 阻止 。
防火墙在互联网中的位置
防火墙一般分为两类:
- 网络级别的防火墙–用来防止整个网络出现外来非法的入侵。属于这类的由分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制定好的一套准则的数据,而后者则是检查用户的登录是否合法。它可以基于数据包,源地址,目标地址,协议和端口,进行流量控制
- 应用级别的防火墙–从应用程序来进行接入控制。通常使用应用网关或者代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止FTP应用的通过。 它可以基于数据包,源地址,目标地址,协议,端口,用户名,时间段来控制流量和内容。
防火墙的网络拓扑:
-
三向外围网,如图
- 顾名思义,它连着三个方向的网络,一个是企业的内网,一个是企业的服务器,还有一个则是外网。
-
背靠背防火墙,如图:
- 互联网上的主机要想访问服务器,需要先经过一个前端防火墙,而要想访问内网的话,还要再经过一个防火墙才可以。
- 一般情况下,要求这两个防火墙尽量不是一个公司的防火墙。
- 很明显这要比三向外围网更加安全。
-
单一网卡防火墙:如图:
- 把所有的流量都设置成必须经过单一网卡的才能访问外网。
-
边缘防火墙如图:如图