（九）网络安全--图解TCP/IP读书笔记

网络安全构成要素

防火墙

组织机构（域）内部的网络与互联网相连时，为了避免域内受到非法访问的威胁，往往会设置防火墙（使用NAT(NAPT)的情况下，由于限定了可以从外部访问的地址，因此也能起到防火墙的作用）。

防火墙的基本设计思路：“暴露给危险的主机和路由器的个数要有限”。

上图的例子，是对路由器设置了只向其发送特定地址和端口号的包。即设置了一个包过滤防火墙。

当从外部过来的TCP通信请求时，只允许对Web服务器的TCP 80端口和邮件服务器的TCP25端口的访问。其他所有类型的包全部丢弃。

此外，建立TCP连接的请求只允许从内网发起。关于这一点，防火墙可以通过监控TCP包首部中的SYN和ACK标志为来实现。具体为，当SYN=1，ACK=0时属于互联网发过来的包，应当废弃。有了这样设置以后，只能从内网向外建立连接，而不能从外网直连内网。

IDS（入侵检测系统）

数据包符合安全策略，防火墙才会让其通过。即只要与策略相符，就无法判断当前访问是否为非法访问，所以全部允许通过。

IDS正是检查这种已经入侵内部网络进行非法访问的情况，并及时通知给网络管理员的系统。

IDS有定期采集日志、长期监控、通知异常等功能。它可以监控网络上流动的所有数据包。

DMZ定义
在连接互联网的网络中，可以设置一个服务器并在这台服务器上建立一个允许从互联网直接进行通信的专用子网。这种将外网与内网隔开的专用子网叫做DMZ（DeMilitarized Zone，非军事化区）
在DMZ中设置的这个服务器对外公开，从而可以排除外部过来的非法访问。万一这台对外公开的服务器遇到侵袭，也不会波及内部网络。
作为DMZ的主机必须充分实施安全策略才能得以应付外来入侵。

加密技术基础

加密技术分布于OSI参考模型的各个阶层一样，相互写欧婷保证通信。

对称密码*与公钥密码*

加密是指利用某个值（秘钥）对明文数据通过一定的算法变换成加密（密文）数据的过程。它的逆反过程叫做解密。

加密和解密使用相同**叫做对称加密方式。如果在加密和解密过程中分别使用不同的**（公钥和私钥）则叫做公钥加密方式。

堆成加密方式，最大挑战是如何传递安全的**。而公钥加密方式中，仅有一方的**是无法完成解密，还必须严格管理私钥。在对较长消息进行加密时往往采用两者结合的方式。

对称加密方式包括AES，DES等。而公钥加密方法中包括RSA、DH等。

身份认证技术

在实施安全对策时，有必要验证使用者的正确性和真实性。如果不是正当的使用者要拒绝其访问。为此，需要数据加密的同时还要有认证技术。

安全协议

IPsec与v*n

以前，为防止信息泄露，机密数据一般使用私有网络（Private Network），而不是公共网络（Public Network）。然而，专线造价太高。

为此，人们想出了在互联网上构造一个虚拟的私有网络。即v*n（Virtial Private Network，虚拟专用网）。互联网中采用加密和认证技术可以达“即使读取到数据也无法读懂”、“检查是否被篡改”功效。

互联网上的v*n：

在构建v*n时，最常被使用的是IPsec。它是指在IP首部后面追加“封装安全有效载荷”和“认证首部”，从而堆此后数据进行加密，不被盗取者轻易解读。

在发包时候附加上述两个首部，可以在收包时根据首部对数据进行解密，恢复成原始数据。

基于这些功能，v*n的使用者就可以不必设防地使用一个安全的网络环境。

通过IPsec加密IP包：

TLS/SSL与HTTPS

Web中可以通过TLS/SSL（Transport Layer Security/Secure Sockets Layer）对HTTP通信进行加密。使用TLS/SSL的HTTP通信叫做HTTPS通信。HTTPS中采用对称加密方式。而在发送其公共**时采用的是公钥加密方式。

确认公钥是否正确使用认证中心（CA）签发的证书，而主要认证中心的信息已经嵌入到浏览器的出厂设置里。

HTTP+加密+认证+完整性保护=HTTPS

HTTPS是身披SSL外壳的HTTP

HTTPS并非是应用层的一种新协议。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。

通常，HTTP直接和TCP通信。当使用SSL时，则演变成先和SSL通信，再由SSL和TCP通信。

HTTPS采用混合加密机制

HTTPS采用共享**加密和公开**加密两者并用的混合加密机制。但公开**加密与共享**加密相比，其处理速度要慢。

应充分利用两者各自的优势，将多种方法组合其来用于通信，在交换**环节使用公开**加密方式，之后的建立通信交换报文阶段则使用共享**加密方式。

就是确保交换的**安全的前提下，使用共享**加密方式进行通信。

IEEE802.1X

IEEE802.1X是为了能够接入LAN交换机和无线LAN接入点而对用户进行认证的技术。并且它只允许被认可的设备才能访问网络。虽然它是一个提供数据链路层控制的规范，但是与TCP/IP关心紧密。一般，由客户端终端、AP（无线基站）或2层交换机以及认证服务器组成。

IEEE802.1X中当有一个尚未经过认证的终端连接AP时，起初会无条件地让其连接到VLAN，获取临死的IP地址。然而此时终端只能连接认证服务器。

连接到认证服务器后，用户被要求输入用户名和密码，认证服务器收到信息后，将该用户所能访问的网络信息通知给AP和终端。

随后AP会进行VLAN号码的切换。终端则由于LAN的切换进行IP地址重置，最后才得以连接网络。

公共无线局域网，一般也会进行用户名和密码的加密和认证。不过也可以通过IC卡或证书、MAC地址确认等第三方信息进行更为严格的认证。

IEEE802.1X中使用EAP（Externsible Authentication）。EAP由RFC3748以及RFC5247定义。