網(wǎng)絡(luò)安全

• 中斷——拒絕服務(wù)式攻擊
  舉例：DoS拒絕服務(wù)式攻擊，通過在網(wǎng)絡(luò)上擁擠一些沒用的數(shù)據(jù)包來組斷網(wǎng)絡(luò)。一般會(huì)占用下載通道ADSL而不是上傳通道UDP，因?yàn)橄螺d的帶寬要大得多。
  DDoS分布式攻擊，可以在網(wǎng)絡(luò)上找很多有漏洞的網(wǎng)站(肉雞)，給指定的服務(wù)器發(fā)流量來使網(wǎng)絡(luò)擁擠吃掉帶寬，對(duì)于這種方式?jīng)]有什么好辦法。

DDos攻擊

• 篡改——修改域名解析的結(jié)果
  類似于釣魚網(wǎng)站，當(dāng)用戶想出入建設(shè)銀行的域名，解析錯(cuò)誤導(dǎo)致用戶訪問了錯(cuò)誤的網(wǎng)站，當(dāng)用戶輸入賬號(hào)密碼的話就會(huì)導(dǎo)致信息泄漏。
• 偽造——偽裝成其它主機(jī)的IP地址
  趁其它主機(jī)關(guān)機(jī)時(shí)，把IP地址偽裝成該主機(jī)的IP地址，從而獲取信息。

計(jì)算機(jī)面臨的威脅——惡意程序(rogue program)

• 計(jì)算機(jī)病毒——會(huì)“傳染”其它程序，“傳染”是通過修改其它程序來把自身或其變種復(fù)制進(jìn)去完成的。(熊貓燒香)
• 計(jì)算機(jī)蠕蟲——通過網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序。(消耗CPU資源)
• 特洛伊木馬——一種程序，它執(zhí)行的功能超過所聲稱的功能。(和(1)(2)的區(qū)別是會(huì)和外界通信)
• 邏輯炸彈——一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其它特殊功能的程序。

木馬程序的識(shí)別

查看會(huì)話netstat -n看看是否有可疑的會(huì)話；運(yùn)行msconfig服務(wù)，把隱藏微軟服務(wù)掉，看看剩下的有哪些刻意；殺毒軟件。

加密技術(shù)

廣泛應(yīng)用于應(yīng)用層加密。

對(duì)稱加密

加密密鑰和解密密鑰是同一個(gè)。缺點(diǎn)：密鑰不適合在網(wǎng)上傳；密鑰是一對(duì)一的，如果有很多主機(jī)相互通信，有很多密鑰需要維護(hù)；優(yōu)點(diǎn)：效率高。加密包括加密算法和加密密鑰。

數(shù)據(jù)加密標(biāo)準(zhǔn)DES

• 它屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對(duì)整個(gè)銘文進(jìn)行分組，每一個(gè)租場為64位，然后對(duì)每一個(gè)64位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組64位密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個(gè)密文。使用的密鑰是64位(實(shí)際密鑰長度為56位，有8位數(shù)用來奇偶校驗(yàn))。
• DES的保密性
  僅取決于對(duì)密鑰的保密，而算法本身是公開的。盡管人在破譯DES上有很多進(jìn)展，但是至今沒有找到比窮舉搜索密鑰更有效的方法。
  DES是世界上第一個(gè)公認(rèn)的使用密碼算法標(biāo)準(zhǔn)，它曾對(duì)密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。
  目前較為嚴(yán)重的問題是DES的密鑰的長度。
  現(xiàn)在已經(jīng)設(shè)計(jì)出來搜索DES密鑰的專用芯片。
  DES算法公開，所以破解取決于密鑰長度，56位密碼破解需要3.5-21min；128位密鑰破解需要5.4*10^18年。

非對(duì)稱加密

• 加密密鑰和解密密鑰是不同的，有一對(duì)密鑰對(duì)，公鑰和私鑰。
  要么公鑰加密私鑰解密；要么私鑰加密公鑰解密。
• 優(yōu)點(diǎn)：給出私鑰和公鑰其中一個(gè)無法算出另一個(gè)。
• 缺點(diǎn)：效率低。
• 非對(duì)稱加密實(shí)現(xiàn)細(xì)節(jié)：
  設(shè)A是非對(duì)稱加密機(jī)制；B為對(duì)稱加密機(jī)制；A1要給A2傳一組數(shù)據(jù)，很大，如果直接用非對(duì)稱加密花的時(shí)間很長；為了加快速度，用對(duì)稱加密手段B來加密這個(gè)數(shù)據(jù)得到加密后數(shù)據(jù)B’和密鑰B給A1，速度很快；然后A1對(duì)密鑰B進(jìn)行非對(duì)稱加密得到公鑰A1’；A1把密鑰A1’和數(shù)據(jù)B’發(fā)給A2；A2運(yùn)用私鑰解密A1’獲得密鑰B，再用密鑰B解密這個(gè)數(shù)據(jù)，最終得到想要的結(jié)果。
  通過這種對(duì)數(shù)據(jù)采用對(duì)稱加密，對(duì)對(duì)稱加密的密鑰進(jìn)行非對(duì)稱加密的方式能實(shí)現(xiàn)快速加密。

數(shù)字簽名

防止抵賴，能夠檢查簽名后的內(nèi)容有沒有被更改過。

證書頒發(fā)機(jī)構(gòu)CA

來驗(yàn)證公鑰是否是證書頒發(fā)機(jī)構(gòu)認(rèn)證過。為企業(yè)和用戶頒發(fā)數(shù)字證書，確認(rèn)這些企業(yè)和個(gè)人的身份；如果證書丟失，它要發(fā)布證書吊銷列表；企業(yè)和個(gè)人是信任證書頒發(fā)機(jī)構(gòu)的。

Internet上使用的安全協(xié)議

安全套接字ssl(Secure Sockets Layer)

• ssl的位置
  是在應(yīng)用層和傳輸層之間進(jìn)行加密。好處是應(yīng)用層和傳輸層都不需要來加密。不需要應(yīng)用程序(應(yīng)用層)來支持，但是需要在服務(wù)器配置證書。
  例如，不使用ssl加密使用的是http://，使用ssl加密是https://。
  注意，http://使用的是TCP的80端口，而https://使用的是TCP的443端口。

• ssl的配置(加密的實(shí)現(xiàn))(https://)
  客戶端有一個(gè)瀏覽器IE，想要訪問服務(wù)器端的網(wǎng)站web；
  瀏覽器IE要訪問網(wǎng)站web，此時(shí)網(wǎng)站web會(huì)把他的公鑰給瀏覽器IE；
  瀏覽器IE通過校驗(yàn)CA證書確保網(wǎng)站web的公鑰是可靠的；
  瀏覽器IE會(huì)產(chǎn)生一個(gè)對(duì)稱密鑰；
  瀏覽器IE拿著網(wǎng)站web的公鑰對(duì)它的對(duì)稱密鑰進(jìn)行加密，發(fā)給網(wǎng)站web；
  網(wǎng)站web用它的私鑰進(jìn)行解密，就得到了瀏覽器IE的對(duì)稱密鑰；
  所以說，本質(zhì)上是用對(duì)稱密鑰對(duì)數(shù)據(jù)進(jìn)行加密的，公鑰和私鑰是用來對(duì)這個(gè)對(duì)稱密鑰進(jìn)行加密的。這也是為什么https://剛開始打開的時(shí)候會(huì)有一些慢。
• 另外一些協(xié)議使用的安全套接字ssl時(shí)對(duì)應(yīng)的TCP端口
  imaps tcp-993
  pop3s tcp-995
  smtps tcp-465
  https tcp-443
• ssl提供的三個(gè)功能
  ->ssl服務(wù)器鑒別：允許用戶證實(shí)服務(wù)器的身份；具有ssl功能的瀏覽器維持一個(gè)表，上面有一些可信賴的認(rèn)證中心CA(Certificate Authority)和它們的公鑰。
  ->加密的ssl會(huì)話：客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密。
  ->ssl客戶鑒別：允許服務(wù)器證實(shí)客戶的身份。

網(wǎng)絡(luò)層安全I(xiàn)PSec

網(wǎng)絡(luò)層安全是底層安全，不需要應(yīng)用程序支持，也不需要配置證書，對(duì)用戶是透明的(感覺不到)。

• 安全關(guān)聯(lián)SA(Security Association)
  在使用AH或ESP之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián)SA。
  IPsec就把傳統(tǒng)的Internet無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。
  SA是構(gòu)成IPSec的基礎(chǔ)，是兩個(gè)通信實(shí)體經(jīng)過協(xié)商(利用IKE協(xié)議)建立起來的一種協(xié)定，它決定了用來保護(hù)數(shù)據(jù)分組安全的安全協(xié)議(AH協(xié)議(只簽名：只關(guān)心發(fā)送方的身份而不關(guān)心數(shù)據(jù)是否被竊取)或ESP協(xié)議(既簽名又對(duì)數(shù)據(jù)加密))，轉(zhuǎn)碼方式，密鑰及密鑰的生存周期等。
• IPsec中最主要的2個(gè)協(xié)議

1. 鑒別首部AH(Authentication Header):AH鑒別源點(diǎn)和檢查數(shù)據(jù)完整性，但不能保密。
   在使用AH時(shí)，把AH首部插在原數(shù)據(jù)報(bào)數(shù)據(jù)部分的簽名，同時(shí)把IP首部中的協(xié)議字段設(shè)置為51.
   在傳輸過程中，中間的路由器都不查看AH首部。當(dāng)數(shù)據(jù)報(bào)到達(dá)終點(diǎn)時(shí)，目的主機(jī)才會(huì)處理AH字段，以鑒別源點(diǎn)和檢查數(shù)據(jù)報(bào)的完整性。

1. 封裝安全有效載荷ESP(Encapsulation Security Payload):ESP比AH復(fù)雜的多，它鑒別源點(diǎn)，檢查數(shù)據(jù)完整性和提供保密。
   使用ESP時(shí)，IP數(shù)據(jù)報(bào)首部的協(xié)議字段設(shè)置為50.當(dāng)IP首部檢查到協(xié)議字段是50時(shí)，就知道在IP首部后面緊跟著ESP首部，同時(shí)在原IP數(shù)據(jù)報(bào)后面增加了2個(gè)字段，即ESP尾部和ESP數(shù)據(jù)。

數(shù)據(jù)鏈路層安全(鏈路加密與端到端加密)

PPP 身份驗(yàn)證ADSL

防火墻(firewall)

防火墻的功能

(1)阻止：阻止某種類型的通信量通過防火墻(從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來)。(2)允許：允許某種類型的通信量通過防火墻(從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來)。防火墻必須能夠識(shí)別通信量的各種類型。一般是阻止功能。

防火墻的結(jié)構(gòu)

• 邊緣防火墻

• 三向外圍網(wǎng)

DMZ是公司內(nèi)部的服務(wù)器。內(nèi)網(wǎng)可以訪問外網(wǎng)，外網(wǎng)不能訪問內(nèi)網(wǎng)，只能訪問服務(wù)器DMZ。

• 背靠背防火墻

• 單一網(wǎng)卡防火墻