网络安全知识
安全套接层(SSL)
安全套接层(SSL)
SSL是一个通用服务,由依赖于TCP的一组协议实现。
-
SSL体系结构
SSL为TCP提供可靠的端到端安全服务。SSL实部简单的单个协议而是两层协议:
SSL记录协议为高层协议提供基本的安全服务。
SSL中两个重要的概念如下:- 连接
提供合适服务类型的一种传输 - 会话
SSL会话是一个客户端和服务器间的关联,会话是通过握手协议创建的,定义了一组多个连接共享的密码安全参数。
SSL记录协议为SSL连接提供两种服务:
保密性:握手协议定义了加密SSL载荷的传统加密共享**
消息完整性:握手协议定义了生成消息认证代码(MAC)的共享**SSL握手协议,构成SSL的主要复杂性。
此协议允许客户端和服务端相互认证、协商加密和MAC算法,保护数据使用的**通过SSL记录传送。 - 连接
AH与ESP
AH可对整个数据包(IP 报头与数据包中的数据负载)提供身份验证、完整性与抗重播保护。但是它不提供保密性,即它不对数据进行加密。数据可以读取,但是禁止修改。AH 使用加密哈希算法签名数据包以求得完整性。
使用 AH 报头进行数据包签名
AH 为了完整性而对整个数据包进行签名,除了在传输过程中可能更改的 IP 报头中的某些字段之外(例如,“生存时间”与“服务类型”字段)。如果除了 AH 外还在使用另一个 IPSec 报头,则会在所有其他 IPSec 报头前插入 AH 报头。ESP不仅为IP 负载提供身份验证、完整性和抗重播保护,还提供机密性。传输模式中的 ESP 不对整个数据包进行签名,只对IP 负载(而不对IP 报头)进行保护。ESP 可以独立使用,也可与 AH 组合使用。
数据包签名与加密
ESP 可为 IP 负载提供保护。数据包的签名部分表示数据包的完整性和身份验证签名是在哪里进行的。数据包的加密部分表示什么信息受到机密性保护。
AH和ESP安全性比较:
AH不提供机密性保护,在数据的完整性保护方面,由于AH认证的是整个IP头,完整性保护强于ESP,但在实际应用中却会带来其局限性。
ESP的认证服务与AH不同,ESP在传输模式下不对原始IP头进行验证,在隧道模式下也未对外部IP头进行认证,使用私有IP地址通过因特网或位于安全网关之后的主机间的通信可被ESP认证服务保护,因为IP头中的源和目的以及其他域未被认证。
ESP弱点: 除了ESP头部外,在从源到目的的传输过程中IP头的任何域都可以被修改,如果修改后头部校验和计算正确,目的主机将无法检测到发生的修改。
总结起来就是:AH不提供机密性服务,而在认证服务方面,AH安全性更强,但灵活性差,而ESP则相反所以,需要更高安全级,当通信双方使用公开IP地址时,应该采用AH认证服务或者AH认证服务和ESP认证服务的结合。
防火墙
是一种位于内部网络与外部网络之间的网络安全系统
- 提供的服务:
- 在一个点上实现安全策略
- 监视与安全相关的事件(审计、日志)
- 提供强大的身份验证
- 允许虚拟专用网络