网络安全构成要素
一、防火墙
组织机构内部的网络与互联网相连时,为了避免域内受到非法访问的威胁,往往会设置防火墙。
使用NAT(NAPT)的情况下,由于限定了可以从外部访问的地址,因此也能起到防火墙的作用。
二、IDS入侵检测系统
数据包符合安全策略,防火墙才会让其通过。即只要与策略相符,就无法判断当前访问是否为非法访问,所以全部允许通过。
而IDS正是检查这种已经入侵内部网络进行非法访问的情况,并及时通知给网络管理员的系统。
三、反病毒/个人防火墙
反病毒/个人防火墙是继IDS和防火墙之后的另外两种安全对策,他们往往是用户使用的软件。既可以监控计算机中进出的所有包、数据和文件,也可以防止对计算机的异常操作和病毒入侵。
加密技术基础
一、加密技术的逐层分类
| 分层 | 加密技术 |
|
应用层 |
SSH, SSL-Telnet, PET等远程登录,PGP, S/MIME等加密邮件 |
| 表示层、传输层 | SSL/TLS, SOCKS V5加密 |
| 网络层 | IPsec |
| 数据链路层 | Ethernet, WAN加密装置、PPTP(PPP) |
二、对称密码体制与公钥密码体制
加密是指利用某个值(密钥)对明文的数据通过一定的算法变换成加密(密文)数据的过程。他的逆反过程称为解密。
对称加密:加密与解密使用相同的密钥叫做对称加密方式。
挑战:如何安全的传递密钥
方法:AES,DES
公钥加密(非对称加密):加密与解密使用不相同的密钥叫做非对称加密方式。公钥加密私钥解密
不足:相比对称加密,公钥加密在加密与解密花费的时间较长。
方法:RSA, DH, 椭圆曲线加密。
安全协议
一、IPsec与VPN
VPN(virtual private network,虚拟专用网),相当于在网络中构造一个虚拟的私有网络,并且采用加密和认证技术实现VPN。
在构建VPN时,最常使用的是IPsec。它是指在IP首部的后面追加“封装安全有效载荷”和“认证首部”,从而对此后的数据进行加密,不被盗取者轻易解读。
二、TLS/SSL与HTTPS
WEB中可以通过TLS/SSL对HTTP通信进行加密。使用TLS/SSL的HTTP通信叫做HTTPS通信。
https中采用对称加密的方式。而在其发送公共密钥时采用的则是公钥加密方式。
确认公钥是否正确主要使用认证中心(CA)签发的证书,而主要的认证中心的信息已经嵌入到浏览器的出厂设置中。