目錄
- 第七章 網絡安全
-
- (1)網絡安全的基本概念
-
- 1)網絡安全威脅
- 2)網絡攻擊
- 3)基本安全技術
- 4)安全措施的目标
- (2)資料加密技術
- (3)認證技術(MD5、SHA)與數字簽名(非對稱算法RSA)
-
- 1)3種認證技術
- 2)封包摘要算法
- 3)數字證書(從CA下獲得)
- 4)密匙管理
- (4)虛拟專用網(VPN)
-
- 1)VPN技術:虛拟專用網,
- 2)VPN四個關鍵技術:
- 3)VPN三種應用解決方案:
- 4)Windows Server 2003平台的VPN配置
- (5)應用層安全協定
-
- 1)S-HTTP和HTTPS的差別
- 2)郵件加密軟體(PGP、S/MIME與前者相似)
- 3)安全電子交易協定SET
- 4)Kerberos系統
- (6)防火牆的配置
-
- 1)防火牆的實體特性
- 2)防火牆的主要功能
- 3)防火牆的附加功能
- 4)防火牆的局限性
- 5)防火牆的技術分類
- 6)防火牆的分類
- 7)防火牆的體系結構
- 8)防火牆的工作模式
- (7)入侵檢測(IDS)和入侵防禦(IPS)
-
- 1)入侵檢測系統IDS
- 2)入侵防禦系統IPS
- 3)IPS/IDS和防火牆的差別
- (8)病毒防護
-
- 1)病毒、木馬、惡意代碼
- 2)病毒木馬的特征分類
- 3)病毒的生存期
- 4)病毒分類
- 5)防病毒技術
第七章 網絡安全
(1)網絡安全的基本概念
1)網絡安全威脅
漏洞類型:實體、軟體、不相容、其他等。
2)網絡攻擊
1.被動攻擊
2.主動攻擊
3.實體臨近攻擊
4.内部人員攻擊
5.分發攻擊
3)基本安全技術
資料加密:資料按照規則打亂,重新組合。
數字簽名:證明發送者簽發,也可完整性。
身份認證:使用者合法性,身份真實沒假冒。
防火牆:控制内外資料進出,阻擋病毒木馬。
入侵檢測(IDS):采用異常檢測特征保護網絡。
網絡隔離:内外網隔離分開使用,如網閘。
4)安全措施的目标
(1) 通路控制。確定會話對方(人或計算機)有權做它所聲稱的事情。
(2) 認證。確定會話對方的資源(人或計算機)與它聲稱的相一緻。
(3) 完整性。確定接收到的資訊與發送的一緻。
(4) 審計。確定任何發生的交易在事後可以被證明,發信者和收信者都認為交換發生過,即所謂的不可抵賴性。
(5) 保密 。確定敏感資訊不被竊聽。
為此總結了網絡安全資訊資料五大特征
1.完整性
2.保密性
3.可用性
4.不可否認性
5.可控性
(2)資料加密技術
現代資訊加密的基本方法:對稱(單密匙體制或隐蔽密匙體制)和非對稱(公開密匙體制)加密
類型 | 名稱說明 | 密匙長度 | 分組長度 | 安全性 |
---|---|---|---|---|
DES | 資料加密标準,速度較快,适用于加密大量資料的場合 | 56 | 64 | 依賴密匙受窮舉法攻擊 |
3DES | 在DES基礎上,用2個不同的密匙進行3次加密,強度更高 | 112 | 64 | 軍事級,可抗內插補點等相關分析 |
AES | 高等加密标準,下一代加密算法标準,速度快,安全級别高 | 128、192、256 | 64 | 安全級别高,進階加密标準 |
IDEA | 國際資料加密算法,使用128位密匙提供非常強的安全性 | 128 | 64 | 能抵抗差分密碼分析的攻擊 |
RSA | 非對稱分組密碼體制 | 主要是為數字簽名設計的 |
(3)認證技術(MD5、SHA)與數字簽名(非對稱算法RSA)
1)3種認證技術
1.基于共享密匙的認證(依賴于密匙分發中心KDC)
2.Beedham-Schroeder認證模式(防止重播攻擊)
3.基于公鑰的認證(公鑰基礎,不依賴實體通道)
2)封包摘要算法
在2015年下半年考過
類型 | 名稱說明 | 密匙長度 | 分組長度 | 安全性 |
---|---|---|---|---|
MD5 | 資訊-摘要算法Message-Digest5 | 128 | 512 | 主要是為封包認證而設計的 |
SHA | 安全雜湊演算法Secure Hash Algorithm | 160 | 512 | 可實作封包認證和MD5相似 |
3)數字證書(從CA下獲得)
CA作為權威、可信賴的、公正的第三方繼構,專門負責為各種認證需求提供數字證書。
4)密匙管理
(4)虛拟專用網(VPN)
1)VPN技術:虛拟專用網,
①建立在公網上。
②虛拟性,沒有專用實體連接配接。
③專用性,非VPN使用者無法通路。
(一句話概括,在不安全的公網上,通過建立專用(免費安全的)虛拟隧道,傳輸資料。)
2)VPN四個關鍵技術:
①隧道技術。
②加解密技術。(ESP)
③密鑰管理技術。(PKI)
④身份認證技術。(AH)
3)VPN三種應用解決方案:
①内聯網VPN(Intranet VPN):企業内部用于連通總部和分部的各個LAN。
②外聯網VPN(Extranet VPN):企業外部用于實作企業與客戶、銀行、供應商互通。
③遠端接入VPN(Access VPN):解決遠端使用者出差通路企業内部網絡。
IPSec:IP安全性,在IP層通過加密 與資料源驗證,來保證資料包傳輸安全。
①認證頭AH,用于資料完整和資料源認證、 防重放。
②封裝安全負荷ESP,提供資料保密、資料完 整、輔助防重放。
③密鑰交換協定IKE,生成分發密鑰。
IPSec兩種模式:傳輸模式和隧道模式。
SSL安全套接層:和TLS(傳輸層安 全标準)是雙胞胎。在傳輸層上4.5層套接安全協定。
SSL/TLS被稱為HTTPS,工作在傳輸層,對傳輸層、應用層都可以控制。
IPSec | SSL |
---|---|
IPSec在網絡層建立隧道 | SSL是通過應用層的web連接配接建立的 ,工作在傳輸層。 |
适用于固定的 VPN。 | 适合移動使用者遠端通路公司的VPN |
4)Windows Server 2003平台的VPN配置
在該伺服器中,VPN服務被稱為路由和遠端通路,預設狀态安裝即可。
1.安裝VPN伺服器
2.配置VPN 使用者,設定使用者權限
3.在用戶端中的‘’網絡連接配接‘’,建立一個到工作位置的網絡連接配接,建立虛拟專用網絡連接配接,按訓示進行配置即可。
(5)應用層安全協定
1)S-HTTP和HTTPS的差別
S-HTTP | HTTPS |
---|---|
Sec HTTP | HTTP+SSL/TLS |
安全超文本傳輸協定(是HTTP擴充,使用TCP的80端口) | 傳輸層安全标準(使用TCP的443端口,4.5層協定) |
2)郵件加密軟體(PGP、S/MIME與前者相似)
PGP,電子郵件加密軟體包,是一款軟體,把 RSA 公鑰體系的高保密和傳統加密體系的高速度巧妙結合起來,成為最流行的電子郵件加密系統。可以用來加密件防止非授權者閱讀,還能數字簽名, 防止篡改。
PGP提供2種服務:資料加密和數字簽名,使用RSA對公鑰證書加密認證(非對稱算法),IDEA(128位密 鑰)進行資料加密(對稱算法),MD5進行完整性驗證(封包摘要算法)。
(長的用對稱加密,證書(數字證書/數字簽名)用非對稱加密,封包(認證)完整性用MD5)
加密算法:支援IDEA、CAST、3DES算法對 消息進行加密;采用 ElGamal或RSA算法用接 收方的公鑰加密會話密鑰。
資料簽名:采用SHA-1、MD5消息摘要算法計 算消息的摘要值(散列碼),用發送者的私鑰 按DSS或RSA算法加密消息摘要。
3)安全電子交易協定SET
用于電子商務的行業規範。
SET是安全協定和封包格式集合,融合了SSL、 STT、SHTTP、PKI等加密簽名認證等。
采用公鑰密碼體制和X.509數字證書。
成為目前公認的信用卡網上交易的國際标準。
4)Kerberos系統
Kerberos(使用者的使用者名和密碼長期儲存在記憶體中,以便下次使用): 是一項認證服務,3A(AAA)認證有驗證、授權和記賬。防重放、保護資料完整性。AS認證伺服器,TGS票據授予伺服器,V應用伺服器。
(6)防火牆的配置
1)防火牆的實體特性
至少具有3個接口(網絡),超過3個接口(網絡)的為自定義區域
1.内部區域(inbound内網,預設優先級最高)
2.外部區域(outbound外網,預設優先級最低)
3.非軍事區(DMZ)
優先級高的可以通路優先級低的,而優先級低的不能通路優先級高的。
2)防火牆的主要功能
①通路控制功能。
②内容控制功能。
③全面的日志功能。
④集中管理功能。
⑤自身的安全功能。
3)防火牆的附加功能
①流量控制。
②網絡位址 轉換NAT。
③虛拟專用網VPN。
4)防火牆的局限性
①關閉限制了一些服務帶來不便。
②對内部的攻擊無能為力。
③帶來傳輸延遲單點失效等。
④還有其他局限。
5)防火牆的技術分類
包過濾防火牆; 代理防火牆; 狀态化包過濾防火牆 3類等
6)防火牆的分類
個人防火牆:保護單個主機,有瑞星防火牆、 天網防火牆、費爾防火牆等。
企業防火牆:對整個網絡實時保護,有賽門鐵克防火牆、諾頓防火牆、思科防火牆、華為防火牆、Juniper防火牆等)。
軟體防火牆:有瑞星防火牆、天網防火牆、微 軟ISA Server、卡巴斯基防火牆等。
硬體防火牆:思科防火牆、Juniper防火牆等。
7)防火牆的體系結構
①雙主控端模式
②屏蔽子網模式
8)防火牆的工作模式
(7)入侵檢測(IDS)和入侵防禦(IPS)
位于防火牆之後的第二道安全屏障,是防火牆的的有力補充。
1)入侵檢測系統IDS
通過對網絡關鍵點收集資訊并對其分析,檢測到違反安全政策的行為和入侵的迹象,如果管理
員配置了攻擊警告,還會通知管理者。(隻做檢測,不做具體處理)
安裝部署位置通常是:
①伺服器區域的交換機上。
②Interner 接入路由器 之後的第一 台交換機上。
③其他重點保護網段的交換機上。
通常是并聯、不斷網。
2)入侵防禦系統IPS
通過對網絡關鍵點收集資訊并對其分析,檢測到攻擊企圖,就會自動将攻擊包丢掉或采取措施阻擋攻擊源,切斷網絡。(檢測,并丢棄攻擊包)
通常是串聯、會斷網。
3)IPS/IDS和防火牆的差別
防火牆:一般隻檢測網絡層和傳輸層的資料包,不能檢測應用層的内容。
IPS/IDS:可以檢測位元組内容。
IPS和IDS的差別:
IPS:串接在網絡中,會切斷網絡。
IDS:旁路式并聯在網絡上,不切斷網絡。
IDS/IPS:連接配接時需要把交換機端口配置成在鏡像端口上,可以檢測到全網流量。
(8)病毒防護
1)病毒、木馬、惡意代碼
病毒、木馬、惡意代碼都是人為制造的
病毒:一段可執行的程式代碼,通過其他可執行程式啟動和感染傳播,可自我複制, 難以清除,破壞性強。(強盜)
木馬:一種潛伏在計算機裡并且秘密開放一個 甚至多個資料傳輸通道的遠端控制程式。C/S 結構,用戶端也稱為控制端。偷偷盜取賬号、 密碼等資訊。(間諜)
惡意代碼:又稱惡意軟體。也稱為廣告軟體、 間諜軟體,沒有作用卻會帶來危險。(惡搞)
2)病毒木馬的特征分類
①檔案宏病毒:感染office檔案,字首Macro或 者word/excel等。
②蠕蟲病毒:字首Worm通過系統漏洞傳播。
③木馬病毒:字首Trojan,黑客病毒字首Hack, 往往成對出現。
④系統病毒:字首Win32、PE、Win95等。
⑤腳本病毒:字首Script,腳本語言編寫的, 通過網頁傳播。
3)病毒的生存期
①潛伏階段
②繁殖階段
③觸發階段
④執行階段
4)病毒分類
(1)寄生病毒
(2)存儲器駐留病毒
(3)引導區病毒
(4)隐形病毒
(5)多形病毒
5)防病毒技術
==預防病毒(發生前)、檢測病毒(發生前後)、消除病毒(發生後)==等技術
需要定時更新防毒軟體,硬體防火牆定期更新病毒庫等