网络安全

安全包括哪些方面

• 数据存储安全
• 应用程序安全
• 操作系统安全
• 网络安全
• 物理安全
• 用户安全教育

网络安全问题概述

• 两类密码机制
• 数字签名
• 因特网使用的安全协议
• 链路加密与端到端加密
• 防火墙

计算机网络上的通信面临以下的几种威胁：
（1）截获 —— 从网络上窃听他人的通信内容 （被动攻击）
（2）中断 —— 有意中断他人在网络上的通信
（3）篡改 —— 故意篡改网络上传送的报文
（4）伪造 —— 伪造信息在网络上传送
截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击
例如，cain软件能够截获和篡改本网段的的报文。它是在主机通过ARP协议寻找网关地址的时候，用ARP欺骗，把本电脑的地址发给那个主机，此时，网段内的所有的计算机的报文都会发给cain，这样主机访问外网的时候，都是通过cain主机访问的(主机向cain主机请求解析ip，cain主机去访问DNS服务器，再把信息转给主机，这是一种DNS劫持)，既能篡改DNS解析结果，还能获取密码。同样的道理，局域网管理员可以在网关设置监视端口，获得本网段的所有信息。

• 被动攻击与主动攻击：

中断 ------- 拒绝服务式攻击：

举例：
ARP欺骗。
DoS拒绝服务式攻击，通过在网络上发送一些没用的数据包和请求来组断网络（占用带宽）。一般会占用下载通道ADSL而不是上传通道UDP，因为下载的带宽要大得多。
DDoS分布式攻击，可以在网络上找很多有漏洞的服务器(肉鸡)，通过指令控制他们给指定的服务器发流量来使网络拥挤吃掉带宽，对于这种方式没有什么好办法只能提高带宽。

计算机面临的几种威胁：
（1）计算机病毒 —— 会 传染 其他程序的程序，传染 是通过修改其他程序来把自身或其变种复制进去完成的。
（2）计算机蠕虫 —— 通过网络的信息功能将自身从一个节点发送到另外一个节点并启动运行的程序。
（3）特洛伊木马 —— 一种程序，它执行的功能超出其声称的功能。（与外界有通信）
（4）逻辑炸弹 —— 一种当运行环境满足某种特定条件时执行其他特殊功能的程序。

查看是否有木马程序
1、查看会话 netstat -n 是否有可疑会话
2、运行 msconfig 服务， 隐藏微软服务查看是否有可疑服务
3、安装杀毒软件

加密技术

对称加密（加密密钥和解密密钥相同）

优点：效率高
缺点：密钥不适合在网上传输，密钥维护麻烦

保密性取决于加密密钥，算法是公开的，尽管人们在破译DES方面取得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。

非对称加密（加密密钥和解密密钥不同）

非对称加密所用位密钥对，其分为 公钥 和 私钥（由随机数经过函数运算得到的两部分），安全性高，但是效率低
	公钥加密，私钥解密
	私钥加密，公钥解密
非对称加密细节：
	由对称密钥加密信息，由公钥加密对称密钥，将加密后的信息和对称密钥发送给对方，收信息的主机用私钥解密得出对称密钥，再由对称密钥解密信息。这样既可以保证安全性又可以提高效率。

数据加密标准DES（由IBM公司研究）

数据加密标准DES属于常规密钥密码体制，是一种分组密码。
在加密前，先对整个明文进行分组。每一个组长为64位。
然后对每一个64位二进制数据进行加密处理，产生一组64位密文数据。
最后将各组密文串接起来，即得出整个的密文。
使用的密钥位64位（实际密钥长度位56位，有8位用于奇偶校验）
DES算法公开，安全性取决于密钥长度
	56位密钥破解需要3.5或21分钟
	128位密钥破解需要5.4 * E18 年

数字签名

作用：
	1、防止抵赖
	2、能够检查签名之后内容是否被更改
用私钥加密摘要的这个过程为签名
证书就是用来证明你手里的公钥的主人省份，证书一般包含：
	公钥PU
	公钥的签名S（公钥生产的摘要用CA的私钥加密形成）
	公钥所有者的信息
CA用自己的私钥对A的公钥进行签名，将这个签名和A的公钥，以及与A相关的一些信息做成证书。
B找CA拿A的证书。用CA的公钥解密A的公钥的签名得到摘要，与证书中的A的公钥形成的摘要比较，如果一样，证明这个证书是有效的。

有收信息方所信任的CA颁发的数字证书，发送方的公钥才被认可。

证书导出（导出私钥）相当于将证书备份，重装系统不会丢失

数字签名细节：
	A发送的内容经过单向散列函数进行计算得出128位摘要（无论内容多大），然后将摘要用私钥加密得出A的数字签名，然后将A的数字签名，证书，未经任何处理的内容发送给B，B用CA的公钥判断证书是否有效，若有效B用A的公钥对数字签名进行解析得到原始摘要，与B接收的内容经过单向散列函数计算得到的摘要进行对比，若不同则数字签名失效。
	只是为了保证是A发的信息并且未被更改。

证书颁发机构（CA）作用：
	1、为企业和用户颁发数字证书，确认这些企业和个人的身份
	2、发布证书吊销列表（在网站上）
	3、企业和个人信任证书颁发机构

Internet上使用的安全协议

应用层加密是用户主动进行操作来进行加密，网络层加密是用户不需要进行任何操作，由计算机在传输或接收数据时进行加密，解密，用户无法察觉。

• 使用IPSec实现网络层加密通信

• 数据链路层安全
  安全套接字SSL（需进行特定配置）

  IMAPS：TCP-993
  POP3S：TCP-995
  SMTPS：TCP-465
  HTTPS：TCP-443
  协议使用安全套接字（非对称加密过程）之后的端口

  SSL提供以下三个功能：
  （1）SSL服务器鉴别：允许用户证实服务器身份。具有SSL功能的浏览器维持一个表，上面有一些可信赖的认证中心CA和它们的公钥。若域名上未绑定可信赖的认证中心颁发的证书则会警告。
  （2）加密的SSL会话：客户和服务器交互的所有数据都在发送方加密，在接收方解密。（公钥加密，私钥解密）
  （3）SSL客户鉴别：允许服务器证实客户身份，出示证书。
  

• 网络层安全IPSec

安全关联SA（Security Association）：在使用AH或ESP之前，要先从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联SA。

IPsec就把传统的因特网无连接网络层转换为具有逻辑链接的层。

SA（安全关联）是构成IPSec的基础，是两个通信实体经协商（利用IKE协议）建立起来的一种协定，它决定了用来保护数据分组安全的安全协议（AH协议或者ESP协议）、转码方式、密钥及密钥的有效存在时间等。

IPsec中最主要的协议：
（1）鉴别首部 AH（Authentication Header)：AH鉴别源点和检查数据完整性，共享密钥来进行身份验证，但不能保密。（明确发信人，以及数据是否变化，数字签名）
根据报文段计算鉴别数据，与AH首部中的鉴别数据比较，若相同则未被更改。

（2）封装安全有效载荷 ESP（Encapsulation Security Payload）：ESP 比 AH 复杂得多，它鉴别源点、检查数据完整性和提供保密。（签名和加密）

• 数据链路层安全

数据链路层身份验证，PPP支持身份验证
ADSL拨号上网，属于数据链路层安全

• 防火墙

1）防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行定制的，为的是可以最适合本单位的需要。
2）防火墙内的网络称为“可信赖的网络”，而将外部的因特网称为“不可信赖的网络”，防火墙可用来解决内联网和外联网的安全问题。
3）防火墙技术一般分为两类：
（1）网络级防火墙 —— 用来防止整个网络出现外来非法的入侵，属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制定好的一套准则的数据，而后者则是来检查用户的登录是否合法。（基于数据包，源地址，目标地址，协议和端口进行控制流量。路由器上可实现）
（2）应用级防火墙 —— 从应用程序来进行接入控制，通常使用应用网关或代理服务器来区分各种应用。例如，可能只允许通过访问万维网的应用，而阻止FTP应用的通过。（基于数据包，源地址，目标地址，协议，端口，用户名，时间段，内容，防病毒进入内网来进行控制流量）
4）防火墙网络拓扑（结构）
（1）三向外围网
（2）背靠背防火墙
（3）单一网卡
（4）边缘防火墙