1.绪论
网络安全的构成
1.1网络安全的基本概念
(定义、属性、模型、攻击手段、攻击方式、安全服务、安全机制)
▲网络安全的定义:
(1)确保在计算机、网络环境运行的信息系统的安全运行,以及信息系统中所存储、传输和处理的信息的安全保护。
(2)网络系统的软件、硬件以及系统中存储和传输的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,网络系统连续可靠正常地运行,网络服务不中断。
▲属性:
机密性:保证信息与信息系统不被非授权的用户、实体或过程所获取与使用
完整性:信息在存贮或传输时不被修改、破坏,或不发生信息包丢失、乱序等
可用性: 信息与信息系统可被授权实体正常访问的特性,即授权实体当需要时能够存取所需信息
可控性:对信息的存储与传播具有完全的控制能力,可以控制信息的流向和行为方式
真实性:也就是可靠性,指信息的可用度,包括信息的完整性、准确性和发送人的身份证实等方面,它也是信息安全性的基本要素
其中,机密性、完整性和可用性通常被认为是网络安全的三个基本属性(CIA三要素)
▲模型:
▲攻击手段:
在最高层次上,ISO 7498-2将安全攻击分成两类,即被动攻击和主动攻击。
被动攻击:
被动攻击试图收集、利用系统的信息但不影响系统的正常访问,数据的合法用户对这种活动一般不会觉察到。
被动攻击采取的方法是对传输中的信息进行窃听和监测,主要目标是获得传输的信息。
有两种主要的被动攻击方式:(信息收集和流量分析。)
主动攻击:
网络攻击是指降级、瓦解、拒绝、摧毁计算机或计算机网络中的信息资源,或者降级、瓦解、拒绝、摧毁计算机或计算机网络本身的行为。
▲安全服务:
OSI安全体系结构将安全服务定义为通信开放系统协议层提供的服务,从而保证系统或数据传输有足够的安全性
OSI安全体系结构定义了5大类共14个安全服务
▲安全机制:
网络安全策略是网络安全系统的灵魂与核心,是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则集合。
网络安全防护体系的建立是基于安全技术的集成基础之上,依据一定的安全策略建立起来的。
5大网络安全策略:
物理安全策略
访问控制策略
防火墙控制策略
信息加密策略
网络安全管理策略
1.2.认识Internet上的严峻的安全形势并深入分析其根源。
来自外部的不安全因素
来自网络系统本身的不安全因素
网络应用安全管理方面的原因
网络安全协议的原因
薄弱的认证环节
系统的易被监视性
易欺骗性
2.网络协议基础
2.1了解网络体系结构各层的功能
物理层:考虑用多大的电压代表所传输的比特,以及接收方如何识别出这些比特
数据链路层:包括操作系统中的设备驱动程序和计算机中对应的网络接口卡,负责处理与传输电缆的物理接口细节
网络层:负责处理分组在网络中的活动,例如分组的选路
传输层: 负责向两个主机中进程之间的通信提供通用的数据传输服务
应用层:定义应用进程间通信和交互的规则,负责通过应用进程间的交互来完成特定网络应用。应用层的协议有支持万维网应用的HTTP协议,支持电子邮件的SMTP协议等
2.2认识TCP/IP协议族中一些协议的安全问题
(例如:ARP、TCP、HTTP、TELNET、SMTP等)
(对ICMP协议的利用:ping, traceroot)
▲APP
什么是ARP协议?
利用ARP缓存表记录IP地址与MAC地址的对应关系,如果没有此项记录,则通过ARP广播获得目的主机的MAC地址。(基于通信多方都是诚实的基础上)
攻击方式:(ARP欺骗,建立错误的ARP缓存表。)
eg:三台计算机A(攻击者),B,C,且B已有ARP表项
A发出一个ARP请求报文如下:
源IP地址是C的IP地址,源物理地址是A的MAC地址
请求的目标IP地址是B的IP地址
B发现ARP表项中的MAC地址与收到的请求的源物理地址不符,于是根据ARP协议,用A的物理地址更新自己的ARP表
B的ARP缓存中就存在这样的错误ARP表项:C的IP地址跟A的MAC地址对应
这样的结果是,B发给C的数据都被计算机A接收到
▲TCP
攻击方式:SYN泛洪攻击
SYN Flood是目前最流行的DDoS攻击手段
SYN Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是SYN Flood存在的基础。
▲HTTP
▲TELNET
▲SMTP
3.密码学在网络安全中的应用
3.1对称密码体制/非对称密码体制
3.2混合加密体制
3.3数字签名
3.4密钥管理
4.消息鉴别与身份认证
4.1认证分为哪两大类
(认证分为身份认证和消息认证)
身份认证:
用户与主机的认证
主机与主机的认证
消息认证:
4.2消息鉴别协议的核心——鉴别函数
4.3如何利用鉴别函数构造鉴别协议
4.4分析一个鉴别协议的安全问题*
4.5身份认证的概念、有哪些常用的身份认证方式,分析其优缺点
用户名/口令方式
IC卡认证
生物特征认证
USB Key认证
动态口令/动态密码
数字签名
5.Internet安全
5.1各层协议的安全
应用层:
传输层:
网络层:
(1)ARP欺骗:
ARP协议是一种将IP地址转换成物理地址的协议,以便设备能够在共享介质的网络(如以太网)中通信。
ARP欺骗就是一种通过虚假请求或响应报文,使得其它主机的ARP列表发生改变而无法正常通信的攻击行为。
主机发送虚假的请求报文或响应报文,报文中的源IP地址和源物理地址均可以伪造.
(2)IP欺骗:
数据链路层:
DNS欺骗:
DNS是TCP/IP协议体系中的应用程序,其主要功能是进行域名和IP地址的转换
假如入侵者伪装成DNS服务器提前向客户端发送响应数据报,那么客户端的DNS缓存里的域名所对应的IP就是它们自己定义的IP,同时客户端也就被带入入侵者希望的地方。
5.2IPSec的思想、实现的目的、工作过程(AH和ESP)、工作模式、功能、密钥管理
IPSec的思想:使用IP封装技术,对纯文本的包加密,封装在外层的IP数据报的首部里,用来对加密的包进行路由。到达接收端时,外层的IP报头被拆开,报文被解密。
IPSec的目的:使需要安全措施的用户能够使用相应的加密安全体制,且该体制与算法无关,即使替换了加密算法也不会对其他部分产生影响。
IPSec对于IPv4是可选的,对于IPv6是强制性的。
工作过程(AH和ESP)
工作模式:
(1)传输模式:用于端到端的应用时,仅对源点做鉴别和完整性,没有提供保密性
(2)隧道模式:用于防火墙或其他安全网关,保护内部网络,隔离外部网络,不仅能提供AH提供的源点鉴别和数据完整性,还能提供保密性
功能:
保证数据来源可靠(认证)
保证数据完整性(验证算法)
保证数据机密性(加密)
实现VPN(隧道模式)
密钥管理:IPSec的安全服务要求支持共享密钥完成认证和/或保密
手工管理
自动管理
Photuris
简单Internet密钥管理协议SKIP
Internet密钥交换协议IKE
IPSec默认的协议
IKE
5.3SSL/SET的思想
SSL(Secure Socket Layer,安全套接层):用于在两个通信应用程序之间提供保密性和数据完整性。
在发送方,SSL 接收应用层的数据(如 HTTP 或 IMAP 报文),对数据进行加密,然后把加了密的数据送往 TCP 套接字。
在接收方,SSL 从 TCP 套接字读取数据,解密后把数据交给应用层。
SET:
SSL与SET两种协议的区别在哪里(C)。
A. 加密方法
B. 解密方法
C. 网络中的层次
D. 信息传输的保密
[解析]SSL是基于传输层的协议,而SET则是基于应用层的协议。
SET协议运行的目标主要有(A.B)。
A.保证信息在互联网上安全传输
B.保证电子商务参与者信息的相互隔离
C.提供商品或服务
D.通过支付网关处理消费者和在线商店之间的交易付款问题
SSL协议对于SET协议的劣势主要是无法保证:(C)
A.信息的真实性
B.信息的完整性
C.信息的不可否认性
D.信息的保密性
6.防火墙技术
6.1防火墙实现主要包括 (过滤机制)和(安全策略)。
安全策略定义:
安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制。
规则的本质是包过滤。
6.2防火墙的分类,各自的特点。
包过滤路由器
应用层网关
电路层网关
6.3防火墙能否抵抗来自内网的攻击?
防火墙不能抵抗来自内网的攻击
7.VPN技术
7.1VPN是什么,其实现的目的
VPN是什么?
VPN是利用Internet或其它公共互联网络的基础设施为用户创建隧道,来仿真专有的广域网,并提供与专用网络一样的安全和功能保障。
虚拟出来的企业内部专线:通过特殊的加密的通讯协议在连接到Internet上的、位于不同地方的、两个或多个企业内部网之间建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道
综合了专用和公用网络的优点,允许有多个站点的公司拥有一个假想的完全专有的网络,而使用公用网络作为其站点之间交流的线路
其实现的目的?
资源访问限制于某些IP地址
内部人员需要在外面访问内部网
雇员可能在外地并需要访问网络
专有网太贵
外地的雇员也可能不是定点的
7.2有哪些类型
1.按照协议分
二层隧道:PPTP,L2TP
三层隧道:IPSec
2.按照应用分类
(1)Intranet VPN (内联网 VPN)
(2)Extranet VPN (内联网 VPN)
(3)Access VPN(远程接入VPN)
7.3主要应用的技术
1.隧道技术:实质上是一种数据封装技术,即将一种协议封装在另一种协议中传输。数据在发送前被封装在相应的隧道协议中,当到达另一端时被解包。
2.加解密技术:发送者在发送数据之前先对数据进行加密,当数据到达接收方时被解密。(加密算法由DES、3DES、IDEA等。)
3.用户身份认证/访问控制技术:主要用于远程访问的情况。当一个拨号用户要求建立一个会话时,要对用户的身份进行鉴定,确定该用户是否是合法用户以及可以使用哪些资源。
确定合法用户对特定资源的访问权限,实现对信息资源的最大限度的保护。
4.IPSec技术:
提供安全的网络传输服务
主要适用于LAN间VPN(隧道模式)
IKE支持动态密钥交换,采用预共享密钥或公钥机制认证身份,协商加密、认证密钥
具有数据传输的完整性认证、加密功能
实现方式
VPN专用设备
将IPSec嵌入到防火墙软件
将IPSec嵌入到路由器软件
动态IP地址的IPSec VPN(利用动态域名服务器)
4.密钥管理技术
来源:CSDN
作者:学习主要靠自己
链接:https://blog.csdn.net/qq_43573718/article/details/103008789