第9章 网络安全

9.1 TCP/IP与网络安全

• 避免非法访问与恶意攻击

9.2 网络安全构成要素

9.2.1 防火墙

• 种类与形态多样，比如专门过滤（不过滤）特定数据包的包过滤防火墙、数据到达应用以后由应用处理并拒绝非法访问的应用网关

9.2.2 IDS（入侵检测系统）

• （1）定义：数据包只要符合安全策略，则防火墙会允许其通过，而IDS正是用于检查这种已经侵入内部网络进行非法访问的情况，并及时通知给管理员
• （2）DMZ定义：设置一个服务器并在这台服务器上建立一个允许从互联网直接进行通信的专用子网，此子网即为DMZ（非军事化区）

9.2.3 反病毒/个人防火墙

• （1）定义：在用户使用的计算机或服务器上运行的软件，既可以监控计算机中进出的所有包、数据和文件，也可以防止对计算机的异常操作和病毒入侵
• （2）公钥基础结构PKI：通过可信赖的第三方检查通信对方是否真实而进行验证的机制（认证机构CA），而用于验证的为数字证书，其中包含了用户身份信息，用户公钥信息以及证书签发机构对该证书的数字签名信息

9.3 加密技术基础

• 分层加密：不同的层次就有不同的加密方式，具体如图所示
  
• 对应不同的层级，加密的协议以及能保护的层级各有不同

9.3.1 对称密码*与公钥密码密码*

• （1）对称加密方式：加密和解密使用相同的**叫做对称加密方式，核心在于如何安全的传递**；
• （2）公钥加密方式：接收端传递自己的公钥给发送端，令其使用自己的公钥对数据进行加密，传递到接收端后接收端用自己的私钥来解密数据，核心在于安全地传递公钥以及严格保管私钥，但由于其加密和解密的时间较长，在对较长消息进行加密时往往会采用两者结合的方式
  

9.3.2 身份认证技术

• （1）根据所知道的信息进行认证（接收端存储）：即通过密码或私有代码的方式。而通过公钥加密时还需要验证发送端是否拥有对应的私钥
• （2）根据所拥有的信息进行认证（发送端提供，接收端存储）：利用ID卡、**、电子证书、电话号码等讯息的方式
• （3）根据独一无二的体态特征进行认证（发送端提供，接收端存储）：指纹视网膜之类的
• （4）集合各种终端、服务器和应用的认证于一起的综合管理技术IDM

9.4 安全协议

9.4.1 IPsec与v*n

• （1）v*n定义：在互联网上构造一个虚拟的私有网络，其使用IPsec通过在IP首部的后面追加：“封装安全有效载荷”和“认证首部”，从而对此后的数据进行加密，保证数据被读取到也无法读懂，并检查数据是否被篡改。从而v*n的使用者可以不必设防地使用一个安全的网络环境
• （2）实现过程如图
  

9.4.2 TLS/SSL和HTTPS

• SSL为最早的表示层与会话层加密协议，TLS为标准化的SSL协议，两者现在统称为SSL，并用于Web中的HTTP通信加密，使用这种加密为HTTPS通信，其与客户端的连接为对称加密方式；
  顺便一提，客户端确认公钥是否正确主要使用认证中心CA签发的证书，而主要的认证中心都嵌入到浏览器的默认配置中，倘若Web浏览器中的每个页面的信息用到了未配置的认证中心，那么是否信任此认证中心则需要用户自行判断了

9.4.3 IEEE802.1X

• 是为了能够接入LAN交换机和无线LAN接入点而对用户进行认证的技术（核心为无线LAN接入点的VLAN切换），只允许被认可的设备才能访问网络。目前在我们的路由器连接，或者城市/咖啡厅等公共Wifi中使用的就是这种技术

对应思维导图