计算机网络笔记 --- 7.网络安全

7.网络安全

安全包括哪些方面：

1. 数据存储安全
2. 应用程序安全
3. 操作系统安全
4. 网络安全
5. 物理安全
6. 用户安全教育

计算机网络上的通信面临的四种威胁

1. 截获 — 从网络上窃听他人的通信内容 — 被动攻击

2. 中断— 有意中断他人在网络上的通信 — 主动攻击

3. 篡改— 故意篡改网络上传送的报文 — 主动攻击

4. 伪造— 伪造信息在网络上传送 — 主动攻击

计算机机的威胁 —— 恶意程序(rogue program)

1. 计算机病毒：会传染其他程序和程序，传染是通过修改其他程序来把自身或其变种复制进去完成的。能更改系统的设置，更改应用程序，删除文件。
2. 计算机蠕虫：通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 消耗系统资源，cpu ，内存，一点点消耗，计算机越来越慢，重启后又重新开始。
3. 木马：一种程序，它执行的功能超出所声称的功能。与外界通信。
   1. 查看会话— netstat -n 查看是否有可疑的会话
   2. 运行 msconfig 服务 隐藏微软服务
   3. 安装杀毒软件
4. 逻辑炸弹：一种当运行环境满足某种特定条件时执行其他特殊功能的程序。

加密技术

加密算法，加密密钥

对称加密
优点：效率高
缺点：密钥不合适在网上传输，密钥维护麻烦

数据加密标准 DES

数据加密标准 DES 属于常规密钥密码体制，是一种分组密码。在加密前，先结整个明文进行分组，每一个组长为64位。然后对每一个64位的二进制数据进行加密处理，产生一组64位密文数据。最后将各组官方串起来，即得出整个密文。使用的密钥为64伴(实际密钥长度为56位，有8位用于奇偶校验)

DES 保密性仅取决于对密钥的保密，而算法是公开的。尽管人们在破译 DES 方面取得了许多进展，但至今仍未能找到比穷举搜索密钥要有效的方法。

DES 是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。

目前较为严重的问题是 DES 的密钥的长度，现在已经设计出来搜索 DES 密钥的专用芯片。

DES 算法公开取决于密钥长度， 56位密钥破解需要3.5或21分钟，128位密钥破解需要5.4*10 的18次方年。

非对称加密

加密密钥和解密密钥是不同的
公钥加密私钥解密
私钥加密公钥解密

非对称加密的细节：
用对称加密为文件内容加密，把对称加密的密钥用非对称加密的公钥加密。

数字签名：防止抵赖，能够检查签名之后的内容是否被更改

数字签名的使用：

数字证书：证书颁发机构确定。
证书颁发机构的作用：为企业和用户颁发数字证书，确认这些企业和个人的身份，发布证书吊销列表，企业和个人信任证书颁发机构。

安全套接字 SSL

SSL 是加在应用层和传输层之间的一层。

在发送方，SSL 接收应用层的数据(如 http 或 imap 报文)，对数据进行加密，然后把加了密的数据送往 TCP 套接字。 在接收方，SSL 从 TCP 套接字读取数据，解密后把数据交给应用层。

使用非对称加密。https 使用 TCP 443端口

SSL 提供的三个功能：

1. SSL 服务器鉴别：
   允许用户证实服务器的身份，具有 SSL 功能的浏览器维持一个表，上面有一些可信赖的认证中心 CA(certificate authority)和它们的公钥
2. 加密的 SSL 会话：
   客户和服务器交互的所有数据都在发送方加密，在接收方解密
3. SSL 客户端鉴别：
   允许服务器证实客户端的身份

网络层安全—— IPSec

网络层安全：
在网络层加密，出网卡时加密或签名，在接收端的网络层进行解密，再传给应用层，不用在应用层做任何处理。

安全关联SA(Secruity Association)

在使用 AH 或 ESP 之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA 。

IPSec 就把传统的因特网无连接的网络层转为具有逻辑连接的层。

SA(安全关联)是构成 IPSec 的基础，是两个通信实体经协商(利用 IKE 协议)建立起来的一种协定，它决定了用来保护数据分组安全的安全协议(AH 协议或 ESP 协议)、转码方式、密钥及密钥的有效存在时间等。

IPSec 中最主要的协议

1. 鉴别首部 AH (Authentication Header)：
   AH 鉴别源点和检查数据完整性，但不能保密(只签名)
   在使用鉴别首部协议 AH 时，把 AH 首部插在原数据部分的前面，同时把 IP 首部中的协议字段设置为 51。
   在传输过程中，中间的路由器都不查看 AH 首部。当数据报到达终点时，目的主机才会处理 AH 字段，以鉴别源点和检查数据报的完整性。

   

2. 封装安全有效载荷 ESP(Encapsulation Security Payload)：

   ESP 比 AH 复杂的多，它鉴别源点、检查数据完整性和提供保密(签名，加密)
   使用 ESP 时，IP 数据报首部的协议字段设置为 50，当 IP 首部检查到协议字段是 50时，就知道在 IP 首部后面紧接着的是 ESP 首部，同时在原 IP 数据报后面增加了两个字段，即ESP 尾部和 ESP 数据。

数据链路层安全

数据链路层安全一般指的线路上的安全。(路由器与路由器之间的链路加密，路由器端口进行加密解密，每一段链路都使用不同的密钥加密)

数据链路层实现身份验证(如：PPP 、ADSL)

防火墙(firewall)

防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制定的，为的是可以最适合本单位的需要。

防火墙内的网络称为"可信赖的网络"，而将外部的因特网称为防火墙可用来解决内联网和外联网的安全问题。

防火墙的种类：

1. 网络级防火墙：
   用来防止整个网络出现外来非法入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制定好的一套准则数据，而后者则是检查用户的登录是否合法。
2. 应用级防火墙：
   从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止 FTP 应用的通过。

防火墙网络拓扑：

1. 三像外围网
2. 背靠背防火墙
3. 单一网卡
4. 边缘防火墙