1.TCP/IP與網(wǎng)絡(luò)安全
互聯(lián)網(wǎng)向人們提供了很多便利的服務(wù)。為了讓人們能夠更好绣的、更安全的利用互聯(lián)網(wǎng)盈滴,只有犧牲一些便利性來確保網(wǎng)絡(luò)的安全。因此撒汉,“便利性”和“安全性”作為兩個(gè)對(duì)立的特性兼容并存沟优,產(chǎn)生了很多新的技術(shù)。隨著惡意使用網(wǎng)絡(luò)的技術(shù)不斷翻新睬辐,網(wǎng)絡(luò)安全的技術(shù)也不斷進(jìn)步挠阁。今后,除了基本的網(wǎng)絡(luò)技術(shù)外溯饵,通過正確理解安全相關(guān)的技術(shù)侵俗、制定合理的安全策略、按照制定的策略進(jìn)行網(wǎng)絡(luò)管理及運(yùn)維成為一個(gè)重要的課題丰刊。
2.網(wǎng)絡(luò)安全構(gòu)成要素
1.防火墻
組織機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連時(shí)隘谣,為了避免域內(nèi)受到非法訪問的威脅,往往會(huì)設(shè)置防火墻啄巧。
防火墻的種類和形態(tài)有很多種寻歧。例如,專門過濾特定數(shù)據(jù)包的包過濾防火墻秩仆、數(shù)據(jù)到達(dá)應(yīng)用以后由應(yīng)用處理并拒絕非法訪問的應(yīng)用網(wǎng)關(guān)码泛。
2.IDS(入侵檢測(cè)系統(tǒng))
數(shù)據(jù)包符合安全策略,防火墻才會(huì)讓其通過澄耍。即只要與策略相符弟晚,就無法判斷當(dāng)前訪問是否為非法訪問忘衍,所以全部允許通過逾苫。
而IDS正是檢查這種已經(jīng)侵入內(nèi)部網(wǎng)絡(luò)進(jìn)行非法訪問的情況卿城,并及時(shí)通知給網(wǎng)絡(luò)管理員的系統(tǒng)。
從功能上看铅搓,IDS有定期采集日志瑟押、長(zhǎng)期監(jiān)控、通知異常等功能星掰。它可以監(jiān)控網(wǎng)絡(luò)上流動(dòng)的所有數(shù)據(jù)包多望。為了確保各種不同系統(tǒng)的安全,IDS可以與防火墻相輔相成氢烘,實(shí)現(xiàn)更為安全的網(wǎng)絡(luò)環(huán)境怀偷。
3.反病毒/個(gè)人防火墻
反病毒和個(gè)人防火墻是繼IDS和防火墻之后的另外兩種安全對(duì)策,它們往往是用戶使用的計(jì)算機(jī)或服務(wù)器上運(yùn)行的軟件播玖。既可以監(jiān)控計(jì)算機(jī)中進(jìn)出的所有包椎工、數(shù)據(jù)和文件也可以防止對(duì)計(jì)算機(jī)的異常操作和病毒入侵。
3.加密技術(shù)基礎(chǔ)
為了防止信息的泄漏蜀踏、實(shí)現(xiàn)機(jī)密數(shù)據(jù)的傳輸维蒙,出現(xiàn)了各種各樣的加密技術(shù)。加密技術(shù)分布于OSI參考模型的各個(gè)階層一樣果覆,相互協(xié)同保證通信颅痊。
1.對(duì)稱密碼體制與公鑰密碼體制
加密是指利用某個(gè)值對(duì)密文的數(shù)據(jù)通過一定的算法變換成加密數(shù)據(jù)的過程。它的逆反過程叫做解密局待。
加密和解密使用相同的密鑰叫做對(duì)稱加密方式斑响。反之,如果在加密和解密過程中分別使用不同的密鑰則叫做公鑰加密方式钳榨。在對(duì)稱加密方式中舰罚,最大的挑戰(zhàn)就是如何傳遞安全的密鑰。而公鑰加密方式中重绷,僅有一方的密鑰是無法完成解密的沸停,還必須嚴(yán)格管理私鑰。通過郵件發(fā)送公鑰昭卓、通過Web公開發(fā)布公鑰愤钾、或通過PKI分配等方式,才得以在網(wǎng)絡(luò)上安全地傳輸密鑰候醒。
對(duì)稱加密方式包括AES能颁、DES等加密標(biāo)準(zhǔn),而公鑰加密方法中包括RSA倒淫、DH伙菊、橢圓曲線等加密算法。
2.身份認(rèn)證技術(shù)
- 根據(jù)所知道的信息進(jìn)行認(rèn)證
指使用密碼或私有代碼的方式。為了不讓密碼丟失或不被輕易推測(cè)出來镜硕,用戶自己需要多加防范运翼。使用公鑰加密方式進(jìn)行的數(shù)字認(rèn)證,就需要驗(yàn)證是否持有私鑰兴枯, - 根據(jù)所擁有的信息進(jìn)行認(rèn)證
指利用ID卡血淌、密鑰、電子證書财剖、電話號(hào)碼等信息的方式悠夯。 - 根據(jù)獨(dú)一無二的體態(tài)特征進(jìn)行認(rèn)證
指根據(jù)指紋、視網(wǎng)膜等個(gè)人特有的生物特征進(jìn)行認(rèn)證的方式躺坟。
4.安全協(xié)議
1.IPsec和VPN
VPN(Virtual Private Network,虛擬專用網(wǎng))沦补。互聯(lián)網(wǎng)中采用加密和認(rèn)證技術(shù)可以達(dá)到“即使讀取到數(shù)據(jù)也無法讀懂”咪橙、“檢查是否被篡改”等功效夕膀。VPN正是一種利用這兩種技術(shù)打造的網(wǎng)絡(luò)。
在構(gòu)建VPN時(shí)匣摘,最常被使用的是IPsec店诗。它是指在IP首部的后面追加“封裝安全有效載荷”和“認(rèn)證首部”,從而對(duì)此后的數(shù)據(jù)進(jìn)行加密音榜,不被盜取者輕易解讀庞瘸。
2.TLS/SSL與HTTPS
Web中可以通過TLS/SSL與HTTPS通信進(jìn)行加密。使用TLS/SSL的HTTP通信叫做HTTPS通信赠叼。HTTPS中采用對(duì)稱加密方式擦囊。而在發(fā)送其公共密鑰時(shí)采用的則是公鑰加密方式。
3.IEEE802.1X
IEEE802.1X是為了能夠接入LAN交換機(jī)和無線LAN接入點(diǎn)而對(duì)用戶進(jìn)行認(rèn)證的技術(shù)嘴办。并且它只允許被認(rèn)可的設(shè)備才能訪問網(wǎng)絡(luò)瞬场。雖然它是一個(gè)提供數(shù)據(jù)鏈路層控制的規(guī)范,但是與TCP/IP關(guān)系緊密涧郊。一般贯被,由客戶端、AP或2層交換機(jī)以及認(rèn)證服務(wù)器組成妆艘。
