安全包括那些方面

1. 数据（文件/文件夹）存储安全
2. 应用程序安全
3. 操作系统安全
4. 网络安全
5. 物理安全
6. 用户安全教育

计算机网络上的通信棉铃以下四种威胁

1. 截获————从网络上炔烃他人的通信内容
2. 中断————有意中断他人的通信内容（拒绝服务攻击，DOS攻击）（网络执法官）
3. 篡改————故意篡改网络上传送的报文
4. 伪造————伪造信息在网络上传送（伪造具有特殊权限的计算机）
   截获信息的攻击称为被动式攻击，而更改信息和拒绝用户是同资源的攻击称为主动攻击

Cain

获取登录账号密码，截获、篡改本网段中的域名解析结果

原理

• 攻击人使用arp欺骗伪造网关地址，再转发给真正的网关，这样就能捕获账号密码
• 同时也可以篡改域名解析的结果

当装有arp防火墙时，可有管理员配置交换机的监视端口，可以以讲数据包转给攻击人

被动攻击与主动攻击

中断

拒绝服务攻击，DOS攻击

DDOS：UDP炸弹、ping大包…，占用目标网站带宽，一般会使用到很多肉鸡（分布式攻击DDOS）
防不了
解决方案：租用高带宽的运营商

扫面工具扫面有漏洞的僵尸网站

恶意程序

1. 计算机病毒————会“传染”其他程序的程序，“传染”时通过修改其他程序来吧自身或其变种复制进去完成的（熊猫烧香）
2. 计算机蠕虫————消耗系统资源（CPU、内存）
3. 特洛伊木马————一种程序，可以和外界通信（盗号木马，灰鸽子木马）
4. 逻辑炸弹————一种当运行环境满足某种特定的条件时执行其他特殊功能的程序

查木马：msconfig查看可以的服务，netstat -n查看可以的会话

两类加密技术

对称加密

加***和解***是同一个**

加密算法
加***

缺点：（1）不适合在网上传输，容易被截获。（2）当接收方比较多的时候需要维护的**就比较多

优点：效率高

数据加密标准DES

数据加密标准DES属于常规**密码*，是一种分组密码

把整个大文件进行分组加密，每组64位，加密后再合成，即得出整个的密文

使用的**为64位（实际长度为56位，有8位用于校验）

DES的保密性

至今仍未呢个找到比穷举搜索**的更有效的方法

DES算法公开，保密性取决于**长度
56位****3.5或21分钟
123位****需要5.4*10的18次方年

非对称加密

加***和解***是不同的 **对 分为公钥和私钥

公钥和私钥无法相互推导，但是两者也有关系。计算机生成一堆随机数，经过一个函数运算，得到公钥和私钥

两种加密方式：
公钥加密私钥解密
私钥解密公钥加密

多个发送方向一个接收方时，只需要接收方自己保存了私钥，发送方采用公钥加密后发送给接收方，此时就算数据包被截获，没有私钥也及不开

优点：每个人只需要维护一个**对，需要加密时只需要把公钥发给对方
缺点：效率效率低

非对称加密的细节

一种效率均衡的加密方法：发送方使用接收方的公钥加密一个**，接收方接收到后使用私钥解密出**，再进行解密（即利用了。对加密的效率，也利用了公钥的安全性）

数字签名

签名例子：员工出差申请公费（员工需要写明意图），需要先找领导签名（领导需要查看审核，领导签名之后，里面的内容就不能再改了），然后再找财务部领取

数字签名：防止抵赖 能够检查签名之后内容是否被更改（比如软件的数字签名失效后，就会有安全警告(防止恶意更改)）

原理

1. 将函数使用单向散列函数处理，得到一个128位摘要（可以理解为文件的指纹）
2. 发送之前，使用发送者的私钥进行加密，就是发送者的签名
3. 连同发送者的签名、公钥和合同一起发送
4. 接收者是同单项散列函数进行计算，得到一个摘要A
5. 接收者使用发送者的公钥来解密发送者的签名，得到一个摘要B
6. 比较A、B（一样则没被更改）

这种方法并不是为了保密，只是确认是谁发的，并且没被更改

防止伪造或者不承认签名就出现了证书颁发机构

证书颁发机构（CA）

专门为企业颁发数字证书，确认这些企业的个人身份 发布证书吊销列表 企业和个人信任证书颁发机构

当接收者收到合同和发送者的公钥等一系列东西之后，先使用CA的公钥来确认公钥是否合法，有无更改

如果企业的数字证书丢了，可能会被冒充、恶意操作，企业向CA挂失后，CA会把丢失的证书放到CRL（证书吊销列表）上

接收者除了验证发送者的证是否是证书颁发机构颁发的，他也要访问CRL网站检查是不是杯撤销了

Internet上使用的安全协议

安全套接字SSL

SSL的位置

作用：在发送方，SSL接收应用层的数据（如HTTP或IMAP报文），对数据进行加密，然后再把加了密的数据送往TCP套接字，接收方从TCP套接字读取数据，解密后把数据交给应用层

如：在网上提交账号密码时等关键信息时，就是用了SSL加密
http不使用SSL，https使用SSL

如何实现

Web和浏览器建立连接时，Web首先将公钥交给浏览器，浏览器提供一个对称**使用Web的公钥进行加密后发送给Web，Web接收到后再使用私钥进行解密，这两两端就协商了一个**用于安全传输
注意：重点是还需要确定Web提供的公钥是正确的，这一步客户端使用CA证书来实现

所以使用https一开始回有点慢
其他应用层协议加入SSL也由对应的协议，如：imaps、pop3s和smtps

SSL还提供的三个功能

1. SSL服务器鉴别：客户端和Web服务器建立连接时，Web服务器需要提供一个正确的和域名绑定的证书（以确保访问的是正确的网站）
2. 加密的SSL会话：
3. SSL客户鉴别：服务器要求客户端提供证书，服务器证实客户身份

网络层安全IPSec

不需要应用程序支持，也不需要配置什么证书
底层加密：对用户来说是透明的

使用对称密或协商签名

要实现IPSec需要在服务器和客户端都进行配置

安全关联SA（Security Association）

两个通信实体经过协商（利用IKE协议）建立起来一种协议，它决定了用来保护数据分组的安全协议（AH协议或ESP协议）、转码方式、**及**的有效存在时间等。-----------（AH：只签名，ESP：即签名又加密）

IPSec中最主要的协议

• 鉴别首部AH（Authentication Header）：AH鉴别源点和检查数据的完整性，但不能保密（签名）
• 封装安全有效载荷ESP（Encapsulation Security Payload）：ESP比AH复杂得多。他鉴别源点、检查数据得完整性和提供保密

AH

使用AH时，把AH首部插在原数据部分得前面，同时把IP首部中的协议字段置为51，在传输过程中，中间路由器都不看AH首部。当数据到达终点时，目的主机才出AH字段，以鉴别源点和检查数据得完整性

ESP

当IP首部检查到协议字段是50时，就知道IP首部后面紧跟着ESP首部，同时在原IP数据报后面增加了两个字段，即ESP尾部和ESP数据

数据链路层安全

线路上的安全，两设备之间进行加密解密

数据链路层的身份验证

PPP协议 身份验证
ADSL 数据链路层安全

防火墙

防火墙可以解决内网和外联网的安全问题

防火墙在互联网中的位置

防火墙技术一般分为两组

（1）网络级防火墙

基于数据包 源地址 目标地址 协议 端口 控制流量

路由器这样的设别可以做网络级防火墙，但是他管不了数据包里面的内容

（2）应用级防火墙

数据包 源地址 目标地址 协议 端口 控制流量 用户 时间段 内容 防病毒进入内网

可以检测数据包的内容，完成更多的控制

防火墙网络拓扑

边缘防火墙

三向外围网：可以控制互联网上的机器访问企业的服务器，但是内网不对外开放，内网可以访问外网

背靠背防火墙：限制互联网上的人访问内网机器（两道防火墙，跟安全）

单一网卡防火墙：使用路由器限制，内部计算机必须通过防火墙才能上网