计算机网络笔记-谢希仁(网络安全)
思维导图
网络安全
网络安全概论
网络安全
- 网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
计算机网络面临的威胁主要分为两大类
主动攻击
主动的去做一些在网络基础上的恶意行为。
恶意篡改信息数据,发布恶意程序脚本等待篡改
恶意程序
拒绝服务
被动攻击
被动攻击主要是收集信息而不是进行访问。
不改变数据本身的结构,也不对软硬件数据造成影响。截获
窃取
流量分析
被动攻击是指攻击者在攻击过程中采取一种隐蔽的、不直接干预目标系统正常运行的方式。与主动攻击不同,被动攻击通常不会直接修改、破坏或中断目标系统的正常操作,而是通过监听、观察或收集信息等方式获取有价值的数据。
网络系统的特性
保密性
- 信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性
- 数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性
- 可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可靠性
- 对信息的传播及内容具有控制能力。
不可抵赖性
- 出现安全问题时提供依据与手段。
不可抵赖性(Non-repudiation): 在网络安全中,不可抵赖性是指确保通信双方无法否认它们的通信行为或交换的信息。这是通过使用数字签名、审计日志、安全协议等技术手段来实现的。不可抵赖性在涉及法律责任和合同履行等方面非常重要,防止参与方否认他们的行为。
加密和交互
加密和解密
加密
是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。
加密手段
MD5加密(信息-摘要算法)
- 128位
AES加密(称密钥加密)
- 128、192、256位
SHA1加密(安全哈希算法)
- 160位
RSA加密
公钥加密,私钥解密
- 1024位
解密
- 加密的逆过程就是解密
公钥和私钥
对称加密
- 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
非对称加密
使用非对称的加密方式时,会生成两把钥匙以。发送方利用自己的公钥加密,接收方利用自己的私钥解密。
数字签名的四大特点
防止重放攻击
- 攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。在数字签名中,如果采用了对签名报文加盖时戳等或添加流水号等技术,就可以有效防止重放攻击。
防止数据伪造
- 其他人不能伪造对消息的签名,因为私有密钥只有签名者自己知道,所以其他人不可以构造出正确的签名结果数据。
防止数据被篡改
- 数字签名与原始文件或摘要一起发送给接收者,一旦信息被篡改,接收者可通过计算摘要和验证签名来判断该文件无效,从而保证了文件的完整性。
防止数据抵赖
- 数字签名既可以作为身份认证的依据,也可以作为签名者签名操作的证据。要防止接收者抵赖,可以在数字签名系统中要求接收者返回一个自己签名的表示收到的报文,给发送者或受信任第三方。如果接收者不返回任何消息,此次通信可终止或重新开始,签名方也没有任何损失,由此双方均不可抵赖。
防火墙
防火墙是一种访问控制技术,可以严格控制进出网络边界的分组,禁止任何不必要的通信,来减少潜在入侵的发生。
防火墙的区域们
Local 本地区域
顶级安全区域,安全优先级为100
local就是防火墙本身的区域比如ping指令等网际控制协议的回复,需要local域的权限凡是由防火墙主动发出的报文均可认为是从Local区域中发出凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local区域接收
Trust 受信区
高级安全区域,安全优先级为85
通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区。
DMZ 非军事化区
中级安全区域,安全优先级为50
通常用来定义内部服务器所在网络
作用是把WEB,E-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信 息的公用服务器,比如Web、Mail、 FTP等。 这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信启造成影响。
Untrust 非受信区
低级安全区域,安全优先级为5
通常用来定义Internet等不安全的网络,用于网络入口线的接入。
