任何形式的網絡服務都會導致安全方面的風險,問題是如何將風險降到最低程度,目前的網絡安全措施有數據加密、數字簽名、身份認證、防火墻、特征過濾等。
所涉內容:
| 1、網絡安全基礎 | 2、加密技術與哈希算法 | 3、數字簽名 | 4、數字證書 |
| 5、VPN技術 | 6、防火墻與入侵監測技術 | 7、計算機病毒與防護 |
1、網絡安全基礎
認證技術
目前在用戶管理方面用得比較多的主流認證技術主要有PPPoE、基于Web-Portal以及IEEE 802.1x。
基本指標 | PPPoE | Web-Portal | 802.1x |
| 組網成本 | 高 | 高 | 低 |
| 數據報封裝開銷 | 高 | 低 | 低 |
| 協議運行位置 | 數據鏈路層 | 應用層 | 數據鏈路層 |
| IP地址分配 | 認證后分配 | 認證前分配 | 認證后分配 |
| 接入控制 | 用戶 | 用戶 | 端口 |
| 客戶端安裝 | 需要 | 不需要 | 需要 |
| 用戶連接性 | 好 | 差 | 好 |
| 安全性 | 高 | 低 | 高 |
| 業務流與控制流 | 不分離 | 不分離 | 分離 |
| 支持多播業務 | 不支持 | 支持 | 支持 |
| 計費統計精細度 | 高 | 低 | 高 |
PPPoE
*最主要的用戶人群是ADSL用戶,由電信級別的運營商提供接入服務。
優點:繼承了PPP協議的特點,操作簡單且用戶較容易接受,能夠很好地實現用戶計費、在線監測和速率控制等功能。
缺點:PPPoE所包含的PPP包需要再次封裝進以太網報文內才能進行傳輸,封裝效率受到一定影響;由于發現階段的機制所限,會產生大量的廣播包,不但使得網絡承受了較大的壓力,同時也使得基于組播的業務無法開展;
Web-Portal
*一般用于旅館酒店,并多用于無線網絡的認證。
業務類型的認證 ?
優點:由于使用Web頁面進行用戶名和密碼的登入驗證,所以省去了安裝客戶端的麻煩,也避免了系統兼容性的問題;由于承載在應用層上,無需特別的數據包封裝,提高了效率,也減小了網絡維護的成本。
缺點:由于Web-Portal認證協議處于OSI模型的最高層,所以對設備的要求比較高,建網的成本高;IP地址在用戶授權之前就已經分配給用戶,不是十分合理。Web服務器對授權用戶和非授權用戶而言都是可達的,因此很容易受到惡意攻擊,存在安全隱患;用戶的業務數據流和控制認證流無法區分,造成設備不必要的壓力。
IEEE 802.1x
*普遍用于規模較大、接入用戶數目龐大的以太網。
為了解決基于端口的接入控制而定義的一個標準
基于C/S的訪問控制和認證協議,未經授權的用戶或是設備若是未通過IEEE 802.1x協議的認證是無法通過接入端口訪問網絡的;用戶通過認證后實現業務流和認證流分離;封裝效率極高;數據分離的特點使得IEEE 802.1x認證過程變得簡單;整個用戶認證在二層網絡上實現,可以結合MAC、端口、賬戶和密碼等,具有很高的安全性。
3、數字簽名
數字簽名是非對稱密鑰加密技術與數字摘要技術的應用
1、能夠確認發送方
2、能夠確定消息的完整性
簽名過程
發送報文時,發送方用一個哈希函數從報文文本中生成報文摘要,然后用發送方的私鑰對這個摘要進行加密,這個加密后的摘要將作為報文的數字簽名和報文一起發送給接收方,接收方首先用與發送方一樣的哈希函數從接收到的原始報文中計算出報文摘要,接著再用發送方的公鑰來對報文附加的數字簽名進行解密,如果這兩個摘要相同、那么接收方就能確認該報文是發送方的。
簡易版過程:
假如 Alice 向 Bob 傳送數字信息,為了保證信息傳送的保密性、真實性、完整性和不可否認性,需要對傳送的信息進行數字加密和簽名,其傳送過程為:?
1.Alice 準備好要傳送的數字信息(明文);
2.Alice 對數字信息進行哈希算法,得到一個信息摘要;?
3.Alice 用自己的私鑰對信息摘要進行加密得到 Alice 的數字簽名,并將其附在數字信息上;
4.Alice?隨機產生一個加密密鑰,并用此密碼對要發送的信息進行加密,形成密文;
5.Alice?用 Bob 的公鑰對剛才隨機產生的加密密鑰進行加密,將加密后的DES密鑰連同密文一起傳送給Bob;
6.Bob 收到 Alice 傳送來的密文和加密過的DES密鑰,先用自己的私鑰對加密的 DES 密鑰進行解密,得到 Alice隨機產生的加密密鑰;?
7.Bob 然后用隨機密鑰對收到的密文進行解密,得到明文的數字信息,然后將隨機密鑰拋棄;
8.Bob 用?Alice 的公鑰對 Alice 的數字簽名進行解密,得到信息摘要;
9.Bob 用相同的哈希算法對收到的明文再進行一次哈希算法,得到一個新的信息摘要;
10.Bob 將收到的信息摘要和新產生的信息摘要進行比較,如果一致,說明收到的信息沒有被修改過。
在數字簽名過程中,發送方(A)使用自己的私鑰對摘要信息進行簽名,接收方(B)使用發送方的公鑰來驗證。
A給B發送帶有數字簽名的消息,消息具有不可抵賴性 ——> 只有A擁有自己的私鑰
B可以使用A的公鑰解密數字簽名獲得摘要1,并使用摘要算法對消息進行哈希計算得到摘要2,摘要1和摘要2進行比對即可知道消息是否被人篡改。
4、數字證書
各類終端實體和最終用戶在網上進行信息交流及商務活動的身份證明,在電子交易的各個環節,交易的各方都需驗證對方數字證書的有效性,從而解決相互間的信任問題。(綁定實體和公鑰)
*電子證書面向的是實體對象(自然人或單位、企業),不包含網絡設備。
采用公鑰體制,即利用一對互相匹配的密鑰進行加密和解密。
1、一個特定的僅為本人所知的私有密鑰(私鑰)——> 用于解密和簽名
2、一個公共密鑰(公鑰)——> 為一組用戶所共享,用于加密和驗證
數字證書包含
1、版本號
2、序列號:由同一發行者(CA)發放的每個證書的序列號是唯一的。
3、簽名算法
4、發行者:指建立和簽署證書的CA的X.509名字
5、有效期:包括證書有效期的起始時間和終止時間
6、主體名:指證書持有者的名稱及有關信息
7、公鑰:有效的公鑰及其使用方法
8、發行者ID
9、主體ID
10、擴展域
11、認證機構的簽名:用CA私鑰對證書的簽名 ——> 保證證書的真實性
用戶的數字證書由某個可信的發證機構(證書授權中心 - Certification Authority, CA)建立,并由CA或用戶將其放入公共目錄中,以供其他用戶訪問。
公鑰基礎設施 PKI
提供了基本的安全服務,包括了身份認證,保證了數據的機密性和完整性。(不提供訪問控制服務)
PKI體系中,由SSL/TSL實現HTTPS應用,瀏覽器在收到服務器的證書后,通過CA的公鑰對CA的數字簽名進行驗證,驗證證書是否為信任的CA證書頒發機構頒發的。瀏覽器使用證書中的公鑰(即服務器公鑰)加密隨機生成一個會話密碼,并發給服務器。雙方通過會話密碼建立對稱密碼加密通信。
國密SSL數字證書所采用的簽名算法為 SM3 With SM2
SM2是非對稱加密算法
SM3是摘要算法
PKI證書 ——> 主要用于保證主體公鑰的合法性,證書中包含兩個信息 A.主體的身份信息 B. 主體的公鑰。 A.B.信息會被CA使用自己的私鑰進行簽名,以確保主體的身份和主體的公鑰是正確的對應關系。
Kerberos認證服務
認證過程
①用戶向認證服務器AS申請初始票據
②認證服務器AS向用戶發放票據授予票據
③用戶向票據授予服務器TGS請求會話票據
④票據授予服務器TGS驗證用戶身份后發放給用戶會話票據Kav
⑤用戶向應用服務器請求登錄
⑥應用服務器向用戶驗證時間戳
5、VPN技術(Virtual Private Network)
建立在公用網上,由某一組織或某一群用戶專用的通信網絡
虛擬性:任意一對VPN用戶之間沒有專用的物理連接,而是通過ISP提供的公用網絡來實現通信
專用性:VPN之外的用戶無法訪問VPN內部的網絡資源,VPN內部用戶之間可以實現安全通信
常見VPN類型
A.點對點隧道協議(Point-to-Point Tunneling Protocol,PPTP)
數據鏈路層
使用PPP協議對數據進行封裝
只能在兩端點間建立單一隧道
支持通過公共網絡建立按需的、多協議的虛擬專用網絡。
允許加密IP通訊
B.第二層隧道協議(Layer 2 Tunneling Protocol,L2TP)
數據鏈路層
使用PPP協議對數據進行封裝
支持在兩端點間使用多隧道,用戶可以針對不同的服務質量創建不同的隧道。
C.IPSec VPN
作用于網絡層
IPSec隧道模式 ——> 封裝-路由-解封裝
隧道將原始的數據報隱藏(或封裝)在新的數據包內部。
提供如下安全服務
a.數據完整性(Data Integrity):保持數據的一致性,防止未授權地生成、修改或刪除數據。
b.認證(Authentication):保證接收的數據與發送的相同,保證實際發送者就是聲稱的發送者。
c.保密性(Confidentiality):傳輸的數據是經過加密的,只有預定的接收者知道發送的內容。
d.應用透明的安全性(Application-transparent Security):IPSec的安全頭插入在標準的IP頭和上層協議(例如TCP)之間,任何網絡服務和網絡應用都可以不經修改地從標準IP轉向IPSec。同時,IPSec通信也可以透明地通過現有的IP路由器。
D.SSL VPN
傳輸層
適合基于Web的應用
E.MPLS VPN
2.5層(二層與三層之間)
相關協議
IPSec協議
IKE IPSec的加密和認證過程中所使用的密鑰由IKE機制來生成和分發 ——> 解決了在不安全的網絡環境中安全地建立或更新共享密鑰的問題
MPLS協議
6、防火墻與入侵技術
防火墻,位于兩個網絡之間的屏障,一邊是內部網絡(可信賴的網絡),另一邊是外部網絡(不可信賴的網絡)。按照系統管理員預先定義好的規則控制數據包的進出。
入侵監測和阻斷,
劃分防火墻的安全區域,說明每個區域的安全級別
——> 內部網絡(例如內部主機、數據庫服務器、DHCP服務器、FTP服務器)、外部網絡(外部因特網用戶主機和設備)和DMZ區域(非軍事化區)。
安全級別:內部網絡 > DMZ區域 > 外部網絡區域
分布式防火墻
負責對網絡邊界、各子網和網絡內部各節點之間的安全防護,根據其完成的功能,系統結構包含三個部分
1、網絡防火墻,用于內外網之間,以及內部各子網之間的防護,與傳統邊界式防火墻相比,多了一種用于內部子網之間的安全防護層。
2、主機防火墻,用于對網絡中的服務器和桌面機進行防護,達到了應用層的安全防護,比網絡層的更加徹底。
3、中心管理系統,分布式防火墻的管理軟件,負責總體安全策略的規劃、管理、分發以及日志的匯總,提高了防火墻安全防護靈活性,同時具備高可管理性。
**解答題
企業網絡配置
需要進行多級的安全部署。首先在接入層交換機上進行訪問控制;采用VLAN技術通過用戶隔離,對敏感信息的訪問進行限制;在邊界路由器上配置NAT,屏蔽內網地址信息,降低外部的攻擊;邊界路由器上配置ACL訪問控制列表,可以實現策略控制,進行訪問權限控制。
*在內部網和外部網之間、專用網和公共網之間要有專門的防護設備以抵御外部攻擊。
防火墻
交換機連接方式
鏈路聚合:將兩個或多個數據信道結合成一個單個的信道,該信道以一個單個的更高帶寬的邏輯鏈路出現。鏈路聚合一般用來連接一個或多個帶寬需求大的設備,例如連接骨干網絡的服務器或服務器群。
堆疊:堆疊需要專用的堆疊模塊和堆疊線纜。堆疊可以擴大網絡接入規模,對所有的交換機進行統一配置和管理,達到提高交換機背板容量,實現所有交換機告訴連接的目的。
--學習筆記15(分頁查詢PageHelper))
開源:AI智能體生態的技術革命)
)
)
![[python][selenium] Web UI自動化8種頁面元素定位方式](http://pic.xiahunao.cn/[python][selenium] Web UI自動化8種頁面元素定位方式)
)
與分組分區】【下游收集器】)
