1.TCP/IP与网络安全
互联网向人们提供了很多便利的服务。为了让人们能够更好、更安全的利用互联网,只有牺牲一些便利性来确保网络的安全。因此,“便利性”和“安全性”作为两个对立的特性兼容并存,产生了很多新的技术。随着恶意使用网络的技术不断翻新,网络安全的技术也不断进步。今后,除了基本的网络技术外,通过正确理解安全相关的技术、制定合理的安全策略、按照制定的策略进行网络管理及运维成为一个重要的课题。
2.网络安全构成要素
1.防火墙
组织机构内部的网络与互联网相连时,为了避免域内受到非法访问的威胁,往往会设置防火墙。
防火墙的种类和形态有很多种。例如,专门过滤特定数据包的包过滤防火墙、数据到达应用以后由应用处理并拒绝非法访问的应用网关。
2.IDS(入侵检测系统)
数据包符合安全策略,防火墙才会让其通过。即只要与策略相符,就无法判断当前访问是否为非法访问,所以全部允许通过。
而IDS正是检查这种已经侵入内部网络进行非法访问的情况,并及时通知给网络管理员的系统。
从功能上看,IDS有定期采集日志、长期监控、通知异常等功能。它可以监控网络上流动的所有数据包。为了确保各种不同系统的安全,IDS可以与防火墙相辅相成,实现更为安全的网络环境。
3.反病毒/个人防火墙
反病毒和个人防火墙是继IDS和防火墙之后的另外两种安全对策,它们往往是用户使用的计算机或服务器上运行的软件。既可以监控计算机中进出的所有包、数据和文件也可以防止对计算机的异常操作和病毒入侵。
3.加密技术基础
为了防止信息的泄漏、实现机密数据的传输,出现了各种各样的加密技术。加密技术分布于OSI参考模型的各个阶层一样,相互协同保证通信。
1.对称密码体制与公钥密码体制
加密是指利用某个值对密文的数据通过一定的算法变换成加密数据的过程。它的逆反过程叫做解密。
加密和解密使用相同的密钥叫做对称加密方式。反之,如果在加密和解密过程中分别使用不同的密钥则叫做公钥加密方式。在对称加密方式中,最大的挑战就是如何传递安全的密钥。而公钥加密方式中,仅有一方的密钥是无法完成解密的,还必须严格管理私钥。通过邮件发送公钥、通过Web公开发布公钥、或通过PKI分配等方式,才得以在网络上安全地传输密钥。
对称加密方式包括AES、DES等加密标准,而公钥加密方法中包括RSA、DH、椭圆曲线等加密算法。
2.身份认证技术
- 根据所知道的信息进行认证
指使用密码或私有代码的方式。为了不让密码丢失或不被轻易推测出来,用户自己需要多加防范。使用公钥加密方式进行的数字认证,就需要验证是否持有私钥, - 根据所拥有的信息进行认证
指利用ID卡、密钥、电子证书、电话号码等信息的方式。 - 根据独一无二的体态特征进行认证
指根据指纹、视网膜等个人特有的生物特征进行认证的方式。
4.安全协议
1.IPsec和VPN
VPN(Virtual Private Network,虚拟专用网)。互联网中采用加密和认证技术可以达到“即使读取到数据也无法读懂”、“检查是否被篡改”等功效。VPN正是一种利用这两种技术打造的网络。
在构建VPN时,最常被使用的是IPsec。它是指在IP首部的后面追加“封装安全有效载荷”和“认证首部”,从而对此后的数据进行加密,不被盗取者轻易解读。
2.TLS/SSL与HTTPS
Web中可以通过TLS/SSL与HTTPS通信进行加密。使用TLS/SSL的HTTP通信叫做HTTPS通信。HTTPS中采用对称加密方式。而在发送其公共密钥时采用的则是公钥加密方式。
3.IEEE802.1X
IEEE802.1X是为了能够接入LAN交换机和无线LAN接入点而对用户进行认证的技术。并且它只允许被认可的设备才能访问网络。虽然它是一个提供数据链路层控制的规范,但是与TCP/IP关系紧密。一般,由客户端、AP或2层交换机以及认证服务器组成。
