1、信息安全
信息安全五要素:(1)机密性(2)完整性(3)可用性(4)可控性(5)可审查性
2、网络安全威胁
主动攻击:使源站和目的站的通信中断、篡改、伪造,通信内容发生变化;(重放攻击)
被动攻击:不会影响源和目的的通信,截取或复制一份通信信息;
3、加密算法与信息摘要
对称加密(也称共享密钥),RSA非对称加密(公开密钥)
加密体系:公钥加密,私钥解密
签名体系:私钥加密,公钥解密
对称加密算法:
非对称加密算法RSA:
公私钥计算:
(1)两个素数p和q;
(2)n=pq,z=(p-1)(q-1);
(3)公式ed=1(mod z),e公钥,d私钥{公私可变形为(ed)/z余数为1}
数字签名技术:用于确认发送者身份和消息完整性,(1)接收者能够核实发送者(2)发送者事后不能抵赖(3)接收者不能伪造签名。
发送方A(私钥签名)+接收方B(公钥加密)------B(私钥解密)+A(公钥认证)
密钥管理体系:
KMI:密钥管理基础结构,第三方KDC,秘密物理通道,适用于封闭的内网使用;
PKI:公钥基础结构,不依赖秘密物理通道,适用于开放的外网;
SPK:适用于规模化专用网。
口诀:男人在外面PK(I),女人在家里KM(I)
4、应用层安全协议
①SHTTP:安全超文本传输协议,使用TCP的80端口
HTTPS:HTTP+SSL,使用443端口
②PGP:电子邮件加密软件包,把RSA公钥体系的高保密和传统加密体系的高速度结合一起。
PGP提供数据加密和数字签名两种服务,使用RSA对公钥证书加密认证,IDEA(128位密钥)进行数据加密,MD5进行完整性验证。
③SET:安全电子交易协议,保障购物安全。
SET是安全协议和报文格式集合,融合了SSL、STT、SHTTP、PKI等加密签名认证。SET提供三种服务:(1)保证客户交易信息的保密性和完整性(2)确保商家和客户交易行为的不可否认性(3)确保商家和客户的合法性。
SET双重签名技术:商家看不到用户银行账号信息,银行看不到用户订单信息。
④Kerberos:是一项认证服务,3A认证(验证、授权、记账)
5、虚拟专用网VPN技术
1.建立在公网上;2.虚拟性,没有专用物理连接;3专用性,非VPN用户无法访问
VPN四个关键技术:1.隧道技术;2.加密技术;3.密钥管理技术;4.身份认证技术。
VPN在七层协议中使用:
二层:PPP(点对点协议)、PPTP(点对点隧道协议)、L2TP(第二次隧道协议)
三层:IPSec(IP安全性)、GRE(通用路由封装协议)
四层:SSL/TLS(安全套接层,工作传输层,封装在4.5层)
MPLS(2.5层):网络供应商为每个VPN提供一个唯一的VPN标识符。称为路由标识符RD
PPP(1.LCP–链路控制协议2层;2.NCP–网络控制协议3层)
PPP(1.PAP–口令认证协议–明文;2.CHAP–挑战握手协议–密文)
PPTP(1.PAC–PPTP接入集中器2层;2.PNS–PPTP网络服务器3层)
L2TP(1.LAC–L2TP访问集中器2层;2.LNS–L2TP网络服务器3层)
PPTP与L2TP比较:(1)PPTP要求IP网络,L2TP适用各种网络;(2)PPTP只能建立一条隧道,L2TP可以建立多条;(3)PPTP包头包含6字节,L2TP占用4字节;(4)PPTP不支持隧道验证,L2TP支持。
SSL与IPSec比较:(1)IPSec在网络层建立隧道,使用固定VPN,SSL在应用层的web连接建立的,适合移动用户远程访问公司VPN;(2)IPSec在网络层,灵活性小,SSL工作在传输层,灵活性大。
10.4.5、IPSec
IP安全性,在Ip层通过加密与数据源验证,来保证数据包传输安全。(1)认证头AH,用于数据完整和数据源认证、防重放(2)封装安全负荷ESP,提供数据加密、数据完整、辅助防重放(3)密钥交换协议IKE,生成分发密钥。
IPSec两种模式:传输模式(AH封装在IP和TCP中间)和隧道模式(在原结构前加上AH)
6、网络安全、病毒防范和入侵检测
防火墙要求:
(1)内外网的通讯都必须经过防火墙
(2)只要经过授权的通信才可以经过防火墙
(3)防火墙本身具有高可靠性。
防火墙功能:(1)访问控制功能(2)内容控制功能(3)全面的日志(4)集中管理(5)自身安全。
防火墙附加功能:(1)流量控制(2)网络地址转换NAT(3)虚拟专用网VPN。
防火墙分类:(1)个人防火墙,瑞星防火墙、天网防火墙、360防火墙。(2)企业防火墙,思科防火墙、华为防火墙、诺顿防火墙。(3)软件防火墙,瑞星防火墙、天网防火墙、卡巴斯基防火墙(4)硬件防火墙,思科防火墙,Juniper防火墙。
防火墙体系结构:(1)双宿主机模式,双网卡(2)屏蔽子网模式,两个包过滤路由中间建立一个隔离子网,定义为DMZ网络(非军事化网络),目前最常用。
防火墙的工作模式:(1)路由模式:如果路由器以第三层对外连接(端口具有IP地址);(2)透明模式:如果以第二层对外连接(端口无IP);(3)混合模式:同时具有路由模式和透明模式的接口。
防火墙访问规则:(1)内部接口(inbound);(2)外部接口(outbound);(3)中间接口(DMZ)连接对外开放服务器。
(1)Inbound可以访问outbound和MDZ区域;(2)DMZ可以访问outbound;(3)outbound访问DMZ需配合static(静态地址转换);(4)inbound访问DMZ需要配合acl。
病毒木马:(1)宏病毒:感染office文件,前缀Macro或word/excel;(2)蠕虫病毒:前缀Worm;(3)木马:谴责Trojan,黑客病毒前缀Hack;(4)系统病毒:前缀win32、PE、win95等;(5)脚本病毒:前缀Script,通过网页传播。
IDS(入侵检测系统,并联在设备上;进行信息收集和数据分析)与IPS(入侵保护系统串联在网络上,会切断网络)。防火墙不能检测应用层内容,IDS/IPS可以检测字节内容。