7。1 網路安全介紹

7。1。1 一個入侵例項

（1）埠掃描，指定一個公網範圍掃描埠的地址，調查哪些主機開了1433埠。

（2）將地址複製到某個破解資料庫管理員密碼的軟體。

7。1。2 安全包括哪些方面

（1）資料（檔案/資料夾）儲存安全

（2）應用程式安全

（3）作業系統安全

（4）網路安全

（5）物理安全

（6）使用者安全教育

7。2 計算機網路上的通訊面臨的威脅

（1）截獲——從網路上竊聽他人的通訊內容。（被動攻擊）（例如cain軟體）

（2）中斷——有意中斷他人在網路上的通訊。（主動攻擊）

（3）篡改——故意篡改網路上傳送的報文。（主動攻擊）（例如cain軟體）

（4）偽造——偽造資訊在網路上傳送。（主動攻擊）

例如，cain軟體能夠截獲和篡改本網段的的報文。它是在主機透過ARP協議尋找閘道器地址（想上網）的時候，用ARP欺騙，把本電腦的地址發給那個主機，此時，網段內的所有的計算機的報文都會發給cain，這樣主機訪問外網的時候，都是透過cain訪問的（主機訪問cain提供的假域名，cain去訪問真的域名，再把資訊轉給主機，這是一種DNS劫持），既能篡改DNS解析結果，還能獲取密碼。同樣的道理，區域網管理員可以在閘道器設定監視埠，獲得本網段的所有資訊。

​

7。2。1 被動攻擊和主動攻擊

​山東掌趣網路科技

​

中斷——拒絕服務式攻擊

舉例：DoS拒絕服務式攻擊，透過在網路上擁擠一些沒用的資料包來阻斷網路。一般會佔用下載通道ADSL而不是上傳通道UDP，因為下載的頻寬要大得多。

DDoS分散式攻擊，可以在網路上找很多有漏洞的網站（肉雞），給指定的伺服器發流量來使網路擁擠吃掉頻寬，對於這種方式沒有什麼好辦法。

​

篡改——修改域名解析的結果

類似於釣魚網站，當用戶想出入建設銀行的域名，解析錯誤導致使用者訪問了錯誤的網站，當用戶輸入賬號密碼的話就會導致資訊洩漏。

偽造——偽裝成其它主機的IP地址

趁其它主機關機時，把IP地址偽裝成該主機的IP地址，從而獲取資訊。

7。3 計算機面臨的威脅——惡意程式（rogue program）

（1）計算機病毒——會“傳染”其它程式，“傳染”是透過修改其它程式來把自身或其變種複製進去完成的。（熊貓燒香）

（2）計算機蠕蟲——透過網路的通訊功能將自身從一個結點發送到另一個結點並啟動執行的程式。（消耗CPU資源）

（3）特洛伊木馬——一種程式，它執行的功能超過所聲稱的功能。（和（1）（2）的區別是會和外界通訊）

（4）邏輯炸彈——一種當執行環境滿足某種特定條件時執行其它特殊功能的程式。

7。3。1 木馬程式的識別

檢視會話netstat -n看看是否有可疑的會話；

執行msconfig服務，把隱藏微軟服務掉，看看剩下的有哪些刻意；

防毒軟體。

7。4 加密技術

廣泛應用於應用層加密。

7。4。1 對稱加密

加密金鑰和解密金鑰是同一個。

缺點：金鑰不適合在網上傳；金鑰是一對一的，如果有很多主機相互通訊，有很多金鑰需要維護；

優點：效率高。

加密包括加密演算法和加密金鑰。

7。4。2 資料加密標準DES

（1）它屬於常規金鑰密碼體制，是一種分組密碼。在加密前，先對整個銘文進行分組，每一個租場為64位，然後對每一個64位二進位制資料進行加密處理，產生一組64位密文資料。最後將各組密文串接起來，即得出整個密文。使用的金鑰是64位（實際金鑰長度位56位，有8位數用來奇偶校驗）。

（2）DES的保密性

僅取決於對金鑰的保密，而演算法本身是公開的。儘管人在破譯DES上有很多進展，但是至今沒有找到比窮舉搜尋金鑰更有效的方法。

DES是世界上第一個公認的使用密碼演算法標準，它曾對密碼學的發展做出了重大貢獻。

目前較為嚴重的問題是DES的金鑰的長度。

現在已經設計出來搜尋DES金鑰的專用晶片。

DES演算法公開，所以破解取決於金鑰長度，56位密碼破解需要3。5-21min；128位金鑰破解需要5。4*10^18年。

7。4。2 非對稱加密

（1） 加密金鑰和解密金鑰是不同的，有一對金鑰對，公鑰和私鑰。

要麼公鑰加密私鑰解密；要麼私鑰加密公鑰解密。

（2）優點：給出私鑰和公鑰其中一個無法算出另一個。

（3）缺點：效率低。

（4）非對稱加密實現細節：

設A是非對稱加密機制；B為對稱加密機制；A1要給A2傳一組資料，很大，如果直接用非對稱加密花的時間很長；為了加快速度，用對稱加密手段B來加密這個資料得到加密後資料B’和金鑰B給A1，速度很快；然後A1對金鑰B進行非對稱加密得到公鑰A1’；A1把金鑰A1’和資料B’發給A2；A2運用私鑰解密A1’獲得金鑰B，再用金鑰B解密這個資料，最終得到想要的結果。

透過這種對資料採用對稱加密，對對稱加密的金鑰進行非對稱加密的方式能實現快速加密。

​山東掌趣網路科技​

​

7。4。3 數字簽名

​山東掌趣網路科技

​

防止抵賴，能夠檢查簽名後的內容有沒有被更改過。

7。4。4 證書頒發機構CA

來驗證公鑰是否是證書頒發機構認證過。

為企業和使用者辦法數字證書，確認這些企業和個人的身份；

如果證書丟失，它要釋出證書吊銷列表；

企業和個人是信任證書頒發機構的。

7。5 Internet上使用的安全協議

7。5。1 安全套接字SSL（Secure Sockets Layer）

（1）SSL的位置

是在應用層和傳輸層之間進行加密。好處是應用層和傳輸層都不需要來加密。不需要應用程式（應用層）來支援，但是需要在伺服器配置證書。

例如，不使用SSL加密使用的是http：//，使用SSL加密是https：//。

注意，http：//使用的是TCP的80埠，而https：//使用的是TCP的443埠。

​山東掌趣網路科技

​

（2）SSL的配置（加密的實現）（https：//）

客戶端有一個瀏覽器IE，想要訪問伺服器端的網站web；

瀏覽器IE要訪問網站web，此時網站web會把他的公鑰給瀏覽器IE；

瀏覽器IE透過校驗CA證書確保網站web的公鑰是可靠的；

瀏覽器IE會產生一個對稱金鑰；

瀏覽器IE拿著網站web的公鑰對它的對稱金鑰進行加密，發給網站web；

網站web用它的私鑰進行解密，就得到了瀏覽器IE的對稱金鑰；

所以說，本質上是用對稱金鑰對資料進行加密的，公鑰和私鑰是用來對這個對稱金鑰進行加密的。這也是為什麼https：//剛開始開啟的時候會有一些慢。

（3）另外一些協議使用的安全套接字SSL時對應的TCP埠

imaps tcp-993

pop3s tcp-995

smtps tcp-465

https tcp-443

（4）SSL提供的三個功能

->SSL伺服器鑑別：允許使用者證實伺服器的身份；具有SSL功能的瀏覽器維持一個表，上面有一些可信賴的認證中心CA（Certificate Authority）和它們的公鑰。

->加密的SSL會話：客戶和伺服器互動的所有資料都在傳送方加密，在接收方解密。

->SSL客戶鑑別：允許伺服器證實客戶的身份。

7。5。2 網路層安全IPSec

網路層安全是底層安全，不需要應用程式支援，也不需要配置證書，對使用者是透明的（感覺不到）。

（1）安全關聯SA（Security Association）

在使用AH或ESP之前，先要從源主機到目的主機建立一條網路層的邏輯連線。此邏輯連線叫做安全關聯SA。

IPsec就把傳統的Internet無連線的網路層轉換為具有邏輯連線的層。

SA是構成IPSec的基礎，是兩個通訊實體經過協商（利用IKE協議）建立起來的一種協定，它決定了用來保護資料分組安全的安全協議（AH協議（只簽名：只關心傳送方的身份而不關心資料是否被竊取）或ESP協議（既簽名又對資料加密）），轉碼方式，金鑰及金鑰的生存週期等。

（2）IPsec中最主要的2個協議

->鑑別首部AH（Authentication Header）：AH鑑別源點和檢查資料完整性，但不能保密。

在使用AH時，把AH首部插在原資料報資料部分的簽名，同時把IP首部中的協議欄位設定為51。

在傳輸過程中，中間的路由器都不檢視AH首部。當資料報到達終點時，目的主機才會處理AH欄位，以鑑別源點和檢查資料報的完整性。

​

->封裝安全有效載荷ESP（Encapsulation Security Payload）：ESP比AH複雜的多，它鑑別源點，檢查資料完整性和提供保密。

使用ESP時，IP資料報首部的協議欄位設定為50。當IP首部檢查到協議欄位是50時，就知道在IP首部後面緊跟著ESP首部，同時在原IP資料報後面增加了2個欄位，即ESP尾部和ESP資料。

​山東掌趣網路科技

​

7。6 資料鏈路層安全（鏈路加密與端到端加密）

PPP 身份驗證

ADSL

7。7 防火牆（firewall）

防火牆用來解決內聯網和外聯網的安全問題。

防火牆是由軟體，硬體構成的系統，是一種特殊程式設計的路由器，用來在兩個網路之間實施接入控制策略。接入控制策略是由防火牆的單位自行制定的，為的是可以最適合本單位的需要。

防火牆內的網路稱為“可信賴的網路”（trusted network），而將外部的Internet稱為“不可信賴的網路”（untrusted network）。

7。7。2 防火牆在網際網路中的位置

​山東掌趣網路科技

​

7。7。3 防火牆的功能

（1）阻止：阻止某種型別的通訊量透過防火牆（從外部網路到內部網路，或反過來）。

（2）允許：允許某種型別的通訊量透過防火牆（從外部網路到內部網路，或反過來）。

防火牆必須能夠識別通訊量的各種型別。一般是阻止功能。

7。7。4 防火牆技術的分類

（1）網路層防火牆：用來防止整個網路出現外來非法的入侵。屬於這類的有分組過濾和授權伺服器。前者檢查所有流入本網路的資訊，然後拒絕不符合事先制訂好的一套準則的資料，而後者則是檢查使用者的登入是否合法。

可以基於資料包，源地址，目標地址，協議和埠來控制流量。

（2）應用層防火牆：從應用程式來進行接入控制，通常使用應用閘道器或代理伺服器來區分各種應用。例如，可以只允許用過訪問www的應用，而阻止FTP應用的透過。

應用級防火牆可以檢查資料報的內容。

可以基於資料包，源地址，目標地址，協議和埠，使用者名稱，時間段來控制內容，可以放病毒，可見功能更強大。

7。7。5 防火牆的結構

（1）邊緣防火牆

​山東掌趣網路科技

​

（2）三向外圍網

​山東掌趣網路科技

​

DMZ是公司內部的伺服器。內網可以訪問外網，外網不能訪問內網，只能訪問伺服器DMZ。

（3）背靠背防火牆

​山東掌趣網路科技

​

（4）單一網絡卡防火牆

​山東掌趣網路科技

​山東掌趣網路科技