《图解TCP/IP》笔记(十)网络安全基础
目录
网络安全构成要素
-
防火墙
设计思路:暴露给危险的主机和路由器的个数有限
建立TCP连接只能从内网发起,不能从外网直接连接内网 -
IDS入侵检测系统
检查侵入网络内部进行非法访问的情况,并通知给网络管理员
具有定期采集日志、长期监控、通知异常等功能 -
反病毒/个人防火墙
在用户端使用的软件防范病毒的手段
DMZ非军事化区
- Demilitarized Zone
- 将内网和外网隔开的专用子网
- 在DMZ中设置服务器对外公开,从而排除外部过来的非法访问
PKI公钥基础结构
- Public Key Infrastructure
- 一种通过可信赖的第三方检查通信双方是否真实而验证的机制
- 用户利用CA(认证机构)颁发的数字证书验证对方的真实性
数字证书
- 用户身份信息
- 用户公钥信息:用于加密数据和验证数据对应的私钥签名
- 数字签名信息:用以确保用户身份信息和公钥信息的真实合法性或验证等对应私钥的签名
加密技术
身份验证技术
- 根据所知道的信息进行认证:如用户名密码认证
- 根绝所拥有的信息进行认证:如ID卡、**等认证
- 根据独一无二的体态特征进行认证:如指纹、视网膜等认证
IPsec与v*n
- IPsec = IP + 封装安全有效载荷 + 认证首部;可以在收包时根据首部对数据进行解密,恢复成原始数据
- IPsec用于构建v*n
IEEE8022.1X
- 为了能够接入LAN交换机和无线LAN接入点而对用户进行认证的技术
- 只允许被认可的设备才能访问网络
- 认证过程: