计算机网络 —— 网络安全
网络安全问题概述
我们通过一个简单的端口扫描工具,再加上一个破解密码的工具就可以轻易的入侵别人的计算机,但是对于底层原理,即使不是从事网络安全的程序员们,其实都得多多少少了解一点。
网络安全问题分类
数据安全
应用安全
操作系统安全
物理安全
截获(被动攻击)
中断 篡改 伪造(主动攻击)
网络危害分类
- 病毒 更改系统设置 通过别的软件带入的
- 蠕虫 消耗系统资源 慢慢吃cpU
- 木马 程序执行的功能超出声称的功能(外界通信)
- 逻辑炸弹 某种条件下触发
两类密码体制
数据加密一般通过密钥+加密算法进行,这是属于应用层的服务。
对称加密:双方使用的同一个密钥,既可以加密又可以解密,这种加密方法称为对称加密,也称为单密钥加密。
- 优点:速度快,对称性加密通常在消息发送方需要加密大量数据时使用,算法公开、计算量小、加密速度快、加密效率高。
- 缺点:在数据传送前,发送方和接收方必须商定好秘钥,然后 使双方都能保存好秘钥。其次如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一秘 钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。
在对称加密算法中常用的算法有:DES、AES等。
- AES:密钥的长度可以为128、192和256位,也就是16个字节、24个字节和32个字节
- DES:密钥的长度64位,8个字节。
非对称加密:一对密钥由公钥和私钥组成(可以使用很多对密钥)。私钥解密公钥加密数据,公钥解密私钥加密数据(私钥公钥可以互相加密解密)。
私钥只能由一方保管,不能外泄。公钥可以交给任何请求方。
- 在非对称加密算法中常用的算法有: RSA等
- 缺点:速度较慢
- 优点:安全
因为两种方式各有优劣,于是将其结合起来。
- 非对称密钥加密对称密钥
- 对称密钥加密数据
这样不仅可以实现效率高 ,也让维护变得简单起来。
数字签名技术
类似于互联网上的“合同”。
利用公钥私钥进行一些操作,达到以下目的。
- 防止抵赖
- 确保不会更改
Internet 安全协议
安全套接字SSL
介于应用层和传输层之间,数据经由ssl这一层加密和解密 。
例如imaps pop3s smtps https就应用了这个技术
https 服务一般用的是 443端口。
网络层安全IPSec
英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
链路加密与端到端加密
沿途数据每次经由一个路由器,都会使用密钥会对数据进行加密再解密,加密在解密。
防火墙
防火墙指的是一个由 软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙通常分为:分组过滤防火墙和基于代理的防火墙。
分组过滤防火墙
它可以根据网络层和传输层的头部信息来转发或者阻止分组,这些头部信息指的是:源和目的IP地址,源端口和目的端口地址以及协议类型(TCP或UDP)
分组过滤防火墙是使用过滤表来确定抛弃(不转发)哪些分组的路由器。
代理防火墙
分组过滤防火墙是基于在网络层和传输层头部中可利用的信息进行工作的。
然而,有时我们需要基于报文自身(在应用层)中可利用的信息进行报文过滤。例如,假设组织机构需要实现以下关于其web页面的策略:只有那些先前已于公司建立商业联系的因特网用户才拥有访问,同时阻止其他用户访问。在这种情况下,分组过滤防火墙是不起作用的,你无法通过头部信息进行过滤,因为你无法通过头部信息区分用户。检查必须在应用层(使用URL)完成。
一种解决方案是安装一台代理计算机(应用网关),它位于顾客(客户端)计算机和公司计算机之间。当客户端进程发送一份报文时, 代理防火墙运行服务器进程来接受该请求,服务器在应用层打开该分组,查看该请求是否合法,如果合法,代理服务器就将请求转发给实际的服务器。如果不合法就抛弃该报文。
ゞ 浴缸里的玫瑰
蔚落
还没有评论,来说两句吧...