八、实体鉴别 ★
1 . 鉴别分类 :
① 报文鉴别 : 端点鉴别 + 报文完整性鉴别 ; 确认 报文 是由 发送者 发出 , 不是伪造的 ; 其中报文鉴别 要对每一个接收到的报文 , 都要鉴别 报文完整性 和 发送者 ; 鉴别多次 ;
② 实体鉴别 : 端点鉴别 ; 确认 报文 发送者 实体 ( 应用进程 / 主机设备 / 人员 ) ; 实体鉴别 只是在 系统接入的时候 , 对通信实体 只鉴别一次 ;
2 . 简单实体鉴别过程 :
① 原理 : 基于 共享的 对称密钥 ;
② 加密 : 发送者 使用密钥将报文 加密 , 然后发送给 接收者 ;
③ 解密 : 接收者 收到密文后 , 使用 相同的密钥 解密 , 鉴别了 发送者的身份 ;
④ 相同密钥 : 发送者 和 接收者 持有 相同的密钥 ;
漏洞 ( 重放攻击 ) : 黑客 截获 密文后 , 直接 将 密文 转发给接收者 , 此时接收者就会将 黑客 当做 发送者 ; 这种攻击称为 重放攻击 ;
参考 : 【计算机网络】网络安全 : 实体鉴别 ( 实体鉴别过程 | 不重数机制 | 公钥体质加密不重数 | 中间人攻击 )
九、IP 安全 ( 网络层安全 ) ★
1 . 网络层 几乎不具备安全性 :
没有 数据源鉴别机制 ;
没有 数据完整性保护机制 ;
没有 数据保密性机制 ;
设计 / 实现 中 , 存在各种 安全漏洞 , 容易受到 IP 欺骗 , 会话劫持 , 流量嗅探 等攻击 ;
2 . IPsec 协议族 :
① 全称 : IP 安全 , sec 是 Security 的缩写 ; 是 IETF 制定的开放安全标准 ;
② 内容 : 定义了 在网络层如何实现网络安全 , 提供了 数据完整性 , 保密性 , 认证 , 应用透明的安全性 ;
③ 性质 : IPsec 是一个协议族 ;
④ 框架 : IPsec 只提供了框架 , 通信双方的 加密算法可以自定义 , 如使用什么样的参数 , 密钥 等 ;
⑤ 互操作性 : IPsec 中提供了一套 所有 IPsec 都必须实现的加密算法 ;
3 . IPsec 协议族组成 :
① IP 安全数据报格式 协议 :
鉴别首部协议 ( AH , Authentication Header ) : 支持 源点鉴别 , 数据完整性 , 不支持 数据保密 ;
封装有效载荷协议 ( ESP , Encapsulation Security Payload ) : 支持 源点鉴别 , 数据完整性 , 数据保密 ;
② 加密算法协议
③ 互联网密钥交换协议 ( IKE , Internet Key Exchange )
IP 安全数据报 : 使用 ESP 或 AH 协议的 IP 数据报 称为 IP 安全数据报 , 又称为 IPsec 数据报 ;
支持的 IP 协议版本 : IPsec 支持 IPv4 和 IPv6 两个版本的 IP 协议 ;
包含关系 : ESP 协议包含 AH 协议功能 ;
更多 IPsec 协议内容参考 : 【计算机网络】网络安全 : 网络层安全协议 ( IPsec 协议 | IPsec 协议族组成 | IP 安全数据报工作方式 | 安全关联 SA | SA 状态信息 | IP 安全数据报格式 )
十、传输层安全 ( SSL , TSL , HTTPS ) ★
1 . 运输层安全协议 :
① 安全套接字层 ( SSL , Secure Socket Layer ) :
作用位置 : 端系统 应用层 HTTP 与 运输层 之间 ;
TCP 安全 : 在 TCP 基础上建立安全通道 , 为 TCP 传输提供安全服务 ;
WEB 安全标准 : SSL 3.0
② 运输层安全 ( TSL , Transport Layer Security ) :
基础 : 基于 SSL 3.0 ;
作用 : 为 基于 TCP 协议的应用提供安全服务 ;
2 . 运输层使用 SSL 前后对比 :
① SSL 使用情况 : SSL 增强了 TCP 服务 , SSL 是运输层协议 , 但其需要使用安全运输程序 , 其实际被分在应用层 ;
② 普通 TCP 通信 : 应用程序 ( 应用层 ) -> TCP 套接字 -> TCP 协议 ( 运输层 )
③ SSL TCP 通信 : 应用程序 ( 应用层 ) -> SSL 套接字 -> SSL 子层 ( 应用层 ) -> TCP 套接字 -> TCP 协议 ( 运输层 ) ;
3 . SSL 服务 :
① SSL 服务器鉴别 : 用于 鉴别 服务器身份 ; 客户端 ( 支持 SSL ) 验证 服务器 证书 , 鉴别服务器 , 并获取服务器的公钥 ;
② SSL 客户端鉴别 : 服务器 验证 客户端 身份 ; ( 可选 )
③ 加密 SSL 会话 : 端与端之间的 报文都进行加密 , 检测是否被篡改 ;
4 . SSL 安全会话建立过程 : TCP 连接之后 , 开始建立 SSL 安全会话 ;
① 协商加密算法 : 浏览器 发送 SSL 版本号 , 可选的加密算法 ; 服务器 回送 自己支持的加密算法 ;
② 传输公钥 : 服务器 向 浏览器 发送包含 服务器公钥的 CA 数字证书 , 浏览器使用该 CA 发布机构验证该公钥 ;
③ 会话密钥计算 : 浏览器 产生 随机秘密数 , 使用 服务器公钥 加密后 , 发送给 服务器 ; 服务器 收到后 , 产生共享的 对称会话密钥 , 发送给 浏览器 ;
之后进行 SSL 安全会话 ;
参考 : 【计算机网络】网络安全 : 运输层安全协议 ( 安全套接字层 SSL | 运输层安全 TSL | SSL 服务 | SSL 安全会话建立流程 )
十一、防火墙 ★
1 . 防火墙简介 :
① 组成 : 防火墙是由 软件 , 硬件 构成的系统 ;
② 作用 : 用于在两个网络之间实施 访问控制策略 ;
③ 配置 : 访问控制策略由 网络管理员 配置 ;
④ 可信网络 : 防火墙内是 可信网络 , 防火墙外是 不可信网络 ;
2 . 防火墙 功能 :
① 阻止 : 阻止 某些类型的流量 通过 ( 双向 ) 防火墙 ; ( 主要功能 )
② 允许 : 允许 某些类型的流量 通过 ( 双向 ) 防火墙 ;
实现上述 阻止 允许 流量通过 , 防火墙需要能 识别通信流量 ;
3 . 防火墙分类 :
分组过滤路由器
应用网关
4 . 分组过滤路由器 :
① 功能 : 分组过滤通信流量 , 通过 过滤规则 , 将网络流量分组 转发 / 丢弃 ; 其中丢弃就是将该分组过滤掉了 ;
② 过滤规则 : 网络层 / 运输层 首部信息 , 作为过滤规则 ; 如 源地址 / 目的地址 , 源端口号 / 目的端口号 , 协议类型等 ;
③ 分组过滤状态 :
无状态 : 每个分组都 独立处理 ;
有状态 : 跟踪连接的通信状态 , 根据状态决定过滤规则 ;
④ 特点 : 简单 , 效率高 , 对用户透明 , 无法过滤高层数据 ;
5 . 应用网关 :
① 别名 : 又称为 代理服务器 ;
② 数量 : 每个网络应用 , 都需要 配置一个应用网关 ;
③ 功能 : 所有的该应用的报文数据都必须 通过应用网关传输 , 可以实现 高层 ( 应用层 ) 数据的 过滤 和 高层 ( 应用层 ) 用户鉴别 ;
④ 缺点 :
配置繁琐 : 每个应用都需要配置应用网关 ;
消耗资源 : 应用层 转发处理报文 , 资源消耗比较大 ;
透明性差 : 需要在每个客户端程序中配置 应用网关地址 ;
参考 : 【计算机网络】网络安全 : 防火墙 ( 简介 | 防火墙功能 | 防火墙分类 | 分组过滤路由器 | 应用网关 )
