计算机网络——网络安全

防火墙

防火墙的种类和形态有很多种。

例如：

专门过滤（不过滤）特定数据包的包过滤防火墙；

数据到达应用后由应用处理并拒绝非法访问的应用网关；

基本的设计思路：暴露给危险的主机和路由器的个数要有限。

 

当从外部过来的TCP通信时，只允许对Web服务器的TCP 80端口和邮件服务器的 TCP 25端口的访问，其他所有类型的包全部丢弃。

建立TCP只允许从内网发起。防火墙通过监控TCP包首部的SYN和ACK标志位来实现。

这样设置后，只能从内网向外网建立连接，不能从外网直接连接内网。

 

 

IDS（入侵检测系统）

数据包符合安全策略，防火墙才会让其通过。

IDS正式检查这种已经侵入内网进行非法访问的情况，及时通知给网络管理员的系统。

在连接互联网的网络中，可以设置一个服务器并在这台服务器上建立一个允许从互联网直接进行通信的专用子网。这种将外网与内网隔开的专用子网叫做DMZ（DeMilitarized Zone，非军事化区）。

一般在防火墙或DMZ等边界设备上进行设置。

 

 

反病毒/个人防火墙

是用户使用的计算机或服务器上运行的软件。

可以监控计算机中进出的所有包、数据和文件，也可以防止对计算机的异常操作和病毒入侵。

 

 

加密技术基础

加密技术分布于OSI参考模型的各个阶层一样，相互协同保证通信。

 

对称密码体制与公钥密码体制

加密和解密使用相同的秘钥叫做对称加密方式。

加密和解密过程中分别使用不同的秘钥（公钥和私钥）则叫做公钥加密方式。

 

身份认证技术

认证可以分为：

根据所知道的信息进行认证；

根据所拥有的信息进行认证；

根据独一无二的体态特征进行认证；

 

 

安全协议：

IPsec与VPN

为了防止信息泄露，使用专线连接私有网路，造价太高。

人们想出在互联网上构造一个虚拟的私有网络，即VPN（Virtual Private Network,虚拟专用网）。

在构建VPN时，最常被使用的是IPsec，指在IP首部后面追加“封装安全有效载荷”和“认证首部”，从而对此后的数据进行加密，不被盗取者轻易解读。

 

 

 

TLS/SSL与HTTPS

HTTPS采用对称加密方式，而在发送公共秘钥时采用的是公钥加密方式。

确认公钥是否正确主要使用认证中心（CA）签发的证书。

 

 

IEEE802.1X

IEEE802.1X是为了能够接入LAN交换机和无线LAN接入点而对用户进行认证的技术。

它只允许被认可的设备才能访问网络。

它是一个提供数据链路层控制的规范，但是与TCP/IP关系紧密。

进行VLAN的切换。