七、网络安全

(一)网络安全设计

1、网络安全体系设计

(1)物理安全

通信线路的可靠性、硬软件设备的安全性、设备的备份、防灾害防干扰能力、设备的运行环境、不间断电源

eg机房安全

(2)系统安全

操作系统本身的缺陷(身份认证、访问控制、系统漏洞)、病毒、操作系统的安全配置

eg漏洞补丁管理

(3)网络安全

网络层的身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒

eg入侵检测

(4)应用安全

提供服务所采用的应用软件和数据的安全性,包括web服务、电子邮件系统、DNS

eg数据库安全

(5)管理安全

建立安全管理制度、加强人员管理

2、信息安全五要素

完整性、保密性、可用性、不可否认性、可控性,扩展:可审查性、可鉴别性

3、网络安全基本技术

数据加密:数据按照规则打乱,重新组合

数字签名:证明发送者签发,发送者不可否认,接收者可验证但不能编造或篡改,也可证明完整性

身份认证:验证用户合法性

防火墙:控制内外数据进出,阻挡病毒木马

入侵检测:采用异常检测特征保护网络

网络隔离:内外网络分开使用,eg网闸

(二)网络安全威胁

1、安全攻击类型

类型

定义

攻击的安全要素

中断

攻击计算机或网络系统,使其变得不可用或不能用

可用性

窃取

访问未授权的资源

机密性

篡改

截获并修改资源内容

完整性

伪造

伪造信息

真实性

2、常见网络安全威胁

计算机病毒、蠕虫、木马、僵尸网络、拒绝服务DOS(TCP SYN Flooding)、分布式拒绝服务攻击DDOS、垃圾邮件、SQL注入、跨站攻击、端口欺骗(采用端口扫描找到系统漏洞)、IP欺骗攻击(产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人身份)

防范DOS和DDOS方法:根据IP地址对数据包进行过滤、为系统访问提供更高级别的身份认证、使用工具软件检测不正常的高流量

3、恶意代码命名

名称

前缀

解释

引导区病毒

Boot

感染磁盘引导扇区

DOS病毒

DOSCom

通过DOS操作系统进行传播和负载

蠕虫病毒

Worm

震网病毒(攻击真实世界)、震荡波、欢乐时光、熊猫烧香

木马

Trojan

X卧底(感染智能手机)

后门

Backdoor

文件型或系统病毒

Win32、PE、Win95、W32、W95

感染可执行文件(exe、com)、dll文件,CIH病毒

宏病毒

Macro

感染办公软件

脚本病毒

Script、VBS、JS

恶意程序

Harm

恶作剧程序

Joke

(三)加密算法与信息摘要

1、对称加密算法(共享密钥)

类型

密钥长度

分组长度

安全性

特点

DES数据加密标准

56

64

依赖密钥,受穷举法攻击

速度较快,适用于加密大量数据

3DES三重DES加密

112、168

64

军事及,可抗差值等相关分析

执行3次DES加密,第一、三次加密使用同一密钥密钥长度112位,三次加密使用不同密钥,密钥长度168位

AES高级加密标准

128、192、256

128

安全级别高

速度快

IDEA国际数据加密算法

128

64

能抵抗差分密码分析的攻击

RC4流加密算法第四版

可变

2、非对称加密算法(公开密钥)

RSA、DSA、背包算法、ECC椭圆曲线密码编码学、D-H、Elgamal基于离散对数

RSA

基于大素数分解,可用于数字签名和加密算法

加密体系:公钥加密,私钥解密

签名体系:私钥加密,公钥解密

密钥生成过程:

第一步:选出两个大素数p、q

第二步:令n=p×q,z=(p-1)×(q-1)

第三步:设e为公钥,d为私钥,满足e×d%z=1

3、报文摘要算法

类型

密钥长度

分组长度

MD5信息摘要算法

128

512

SHA安全散列算法

160

512

(四)数字签名技术

1、数字签名

数字签名用于确认发送者身份和消息完整性。

满足三个条件:接收者能够核实发送者,发送者事后不能抵赖,接收者不能伪造签名

2、数字证书

数字证书是对用户公钥的认证,确保公钥可信任性,

  • CA证书颁发机构,CA的私钥对用户的数字证书签名
  • RA证书注册机构
  • X.509:国际电信联盟ITU-T指定的数字证书标准

(五)密钥管理

1、密钥管理体系

(1)KMI:密钥管理基础设施,第三方KDC(密钥分发中心),秘密物理通道,适用于封闭的内网

(2)PKI:公钥基础设施,不依赖秘密物理通道,适用于开放的外网

(3)SPK:适用于规模化专用网

2、Kerberos协议

应用层安全协议。是一项利用一次性密钥和时间戳的认证服务。第四代加时间戳,第五代加序列号。

防重放,保护数据完整性。

使用kerberos协议,用户只需输入一次身份认证信息,就可以凭借此验证获得票据访问多个服务,进行单点登录。

(1)kerberos使用两个服务器:

认证服务器AS:密钥分配中心,同时负责用户的AS注册、分配账号和密码,确认用户,发布用户和TGS之间的会话密钥,类似于税务局

票据授予服务器TGS:发行服务器方的票据,提供用户和服务器之间的会话密钥,类似于公司财务

(2)Kerberos流程

(3)基于Kerberos的网关模型

用户初始登录后,用户名和密码长期保存在内存中,用户登录新应用申请新票据时,系统会自动提取用户名和密码,用户不需要再输入。

3、SET协议安全电子交易协议

采用公钥密码体制和X.509数字证书标准,主要用于保障网上购物信息的安全性

(六)VPN虚拟专用网络

1、VPN特点

  1. 建立在公网上
  2. 虚拟性,没有专用物理连接
  3. 专用性,非VPN用户无法访问

2、VPN四个关键技术

隧道技术、加解密技术、密钥管理技术、身份认证技术

3、VPN三种应用解决方案

  1. 内联网VPN:企业内部用于连通和分布各个LAN
  2. 外联网VPN:企业外部用于实现企业与客户、银行、供应商互通
  3. 远程接入VPN:解决远程用户出差访问企业内部网络

4、VPN在七层协议中使用的技术

5、PPTP点对点隧道协议和L2TP第二层隧道协议对比

  1. PPTP只使用IP网络,L2TP适用各种网络
  2. PPTP只能建立一条隧道,L2TP建立两条
  3. PPTP包头占6字节,L2TP包头占4字节
  4. PPTP不支持隧道验证,L2TP支持

L2TP封装

IP(传输)

UDP(传输)

L2TP(封装)

PPP(承载)

6、IPSec因特网协议安全性

工作在网络层,通过加密与数据源验证来保证数据包传输安全

IPSec包括:

  1. 认证头AH:用于数据完整和数据源认证,防重放,不支持数据加密
  2. 封装安全负荷ESP:提供数据加密、数据完整性确认,辅助防重放
  3. 密钥交换协议IKE:生成分发密钥

IPSec两种工作模式:传输模式和隧道模式

正常数据包

原IP头

TCP

数据

传输模式下的数据包

原IP头

AH

TCP

数据

隧道模式下的数据包

新IP头

AH

原IP头

TCP

数据

7、MPLS多协议标记交换

工作在2.5层

MPLS技术实现核心就是把IP数据包封装在MPLS数据包中,MPLS将IP地址映射为简单、固定长度的标签,根据标签对分组进行转换

(七)SSL、HTTPS

1、SSL安全套接层协议

SSL处于应用层和传输层之间,与TLS传输层安全标准是双胞胎,使用RC4加密算法

SSL协议栈

SSL握手协议

SSL修改密文协议

SSL警告协议

HTTP

SSL记录协议

TCP

IP

SSL和IPSec的区别

IPSec在网络层建立隧道,适用于固定的VPN,SSL通过应用层的web连接建立,适用移动用户远程访问公司的VPN

IPSec工作在网络层,灵活性小,SSL工作在传输层,灵活性大

2、HTTPS安全超文本传输协议

应用于传输层,使用TCP的443端口,SSL+HTTP=HTTPS

3、S-HTTP(已淘汰)

使用TCP的80端口

(七)RADIUS远程用户拨号认证系统

目前应用最广的授权、计费和认证协议

(九)网络隔离与入侵检测

1、防火墙

位于两个或多个网络之间,执行访问控制策略,过滤出数据包的一种软件或硬件设备

(1)防火墙的要求

所有进出网络的通信流量都必须经过防火墙

只有内部访问策略授权的通信才能允许通过

防火墙本身具有很强的高可靠性

(2)防火墙的功能

主要功能:访问控制功能、内容控制功能、全面的日志功能、集中管理功能、自身的安全功能

附加功能:流量控制、网络地址转换NAT、虚拟专用网VPN、隐藏内部网络拓扑

防火墙能进行包过滤、记录访问过程、代理,不能查毒

(3)防火墙的局限性

关闭限制了一些服务,带来不便

对内部的攻击无能为力

带来传输延迟单点失效

(4)防火墙分类(按技术)

1.包过滤防火墙(静态访问控制列表ACL、检查源地址、目的地址、协议,不检查有效载荷)

2.代理防火墙

3.状态化包过滤防火墙(动态访问控制列表ACL)

Cisco PIX防火墙中,给定的数字越大,安全级别越高

(5)防火墙的体系结构

  1. 双宿主机模式:防火墙具有两个网卡接口,通过包过滤代理访问网络,根据IP地址和端口号进行过滤。比较简单。
  2. 屏蔽子网模式:又叫过滤子网模式。两个包过滤路由器中间建立一个隔离的子网,定义为DMZ网络,也称为非军事化区域。

(6)防火墙的工作模式

  1. 路由模式:防火墙以第三层对外连接(接口具有IP地址)
  2. 透明模式:防火我通过第二层对外连接(接口无IP地址)
  3. 混合模式:防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP,某些接口无IP)

(7)防火墙的三种接口

  1. 内部接口Inbound:连接内网和内网服务器
  2. 外部接口Outbound:连接外部公共网络
  3. 中间接口DMZ:连接对外开放服务器

安全级别:内部接口>中间接口>外部接口

(8)防火墙的访问规则

  1. 内部接口可以访问任何外部接口和中间接口区域
  2. 中间接口可以访问外部接口区域
  3. 外部接口访问中间接口需配合static(静态地址转换)
  4. 内部接口访问中间接口需配合ACL访问控制列表

2、IDS入侵检测系统

IDS是位于防火墙之后的第二道安全屏障,包括专家系统、模型检测、简单匹配、漏洞扫描。通过对网络关键点收集信息并分析,检测到违反安全策略的行为和入侵的迹象,做出自动反应,在系统损坏或数据丢失之前阻止入侵者的进一步行动。

部署安装位置:

服务器区域的交换机上

因特网接入路由器之后的第一台交换机上

其他重点保护网段的的交换机上

3、IPS入侵防御系统

IPS是位于防火墙之后的第二道安全屏障。通过对网络关键点收集信息并分析,检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络。

4、IPS、IDS、防火墙区别

防火墙一般只检测网络层和传输层的数据包,不能检测到应用层的内容

IPS、IDS可以检测字节内容。连接在需要把交换机端口配置成镜像端口上,可以检测全网流量

IDS入侵检测系统通常是并联,不断网

IPS入侵防御系统通常是串联,会断网

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/5659.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

vue尚品汇商城项目-day01【4.完成非路由组件Header与Footer业务】

文章目录4.完成非路由组件Header与Footer业务4.1使用组件的步骤(非路由组件)本人其他相关文章链接4.完成非路由组件Header与Footer业务 在咱们项目开发中,不在以HTML CSS 为主,主要搞业务、逻辑 开发项目的流程: (1)…

模式识别 —— 第六章 支持向量机(SVM)与核(Kernel)

模式识别 —— 第六章 支持向量机(SVM)与核(Kernel) 文章目录模式识别 —— 第六章 支持向量机(SVM)与核(Kernel)硬间隔(Hard-Margin)软间隔(Soft…

52LeetCode刷题_LeetCode刷题手册

虽然刷题一直饱受诟病,不过不可否认刷题确实能锻炼我们的编程能力,相信每个认真刷题的人都会有体会。现在提供在线编程评测的平台有很多,比较有名的有 hihocoder,LintCode,以及这里我们关注的 LeetCode。 LeetCode收录…

Spring 注解和 XML 配置文件重复定义 Bean,会怎样?

作者:明明如月学长, CSDN 博客专家,蚂蚁集团高级 Java 工程师,《性能优化方法论》作者、《解锁大厂思维:剖析《阿里巴巴Java开发手册》》、《再学经典:《EffectiveJava》独家解析》专栏作者。 热门文章推荐…

iPhone屏幕适配(之屏幕尺寸)

Device screen size 各设备屏幕尺寸 DeviceDimensions (portrait)iPhone 14 Pro Max430x932 pt (1290x2796 px 3x)iPhone 14 Pro393x852 pt (1179x2556 px 3x)iPhone 14 Plus428x926 pt (1284x2778 px 3x)iPhone 14390x844 pt (1170x2532 px 3x)iPhone 13 Pro Max428x926 pt (…

Element Plus 实例详解(七)___Typography 排版

Element Plus 实例详解(七)___Typography 排版 目录 一、前言 二、搭建Element Plus试用环境 1、搭建Vue3项目(基于Vite Vue) 2、安装Element Plus 三、Element Plus Typography 排版功能试用 1、字号 2、行高 3、Font-fam…

C语言:位运算符----与(),或(|),非(~),异或(^),左移(<<)和右移(>>)

C语言 基础开发----目录 一、位运算符----简介 位运算符 就是按二进制位进行运算。 C语言中位运算符主要包括六种&#xff0c;具体如下&#xff1a; 与(&)&#xff0c;或(|)&#xff0c;非(~)&#xff0c;异或(^)&#xff0c;左移(<<)和右移(>>) 位运算符含…

【C++】类和对象(三)

类和对象&#xff08;三&#xff09; 拷贝构造函数&#xff1a; 当我们想要将一个已确定的类变量的值拷贝给另外一个相同类型的类变量&#xff0c;有什么快捷的方法吗&#xff1f; 就相当于定义了一个int类型的i10&#xff0c;想将i复制给一个刚初始化的遍历j&#xff0c;in…

2022国赛E题完整成品文章数据代码模型--小批量物料的生产安排

基于LSTM循环神经网络的小批量物料生产安排分析 摘要 某电子产品制造企业面临以下问题&#xff1a;在多品种小批量的物料生产中&#xff0c;事先无法知道物料的 实际需求量。企业希望运用数学方法&#xff0c;分析已有的历史数据&#xff0c;建立数学模型&#xff0c;帮助企业…

优化测试生命周期行之有效的三种方法

确保软件质量和按时交付产品的最有效方法是什么&#xff1f;对于公司来说&#xff0c;无缺陷地为客户带来价值是一件重要的事情。随着软件开发生命周期变得越来越复杂&#xff0c;测试可能成为拖慢整个过程的瓶颈。为了加速它&#xff0c;创建了组织可以采用的多种策略和方法。…

python面向对象编程

&#x1f42c;在本次的博客当中我们要学习的是在python语言当中的面向对象的编程。我们之前学过的C语言是面向对象的编程。面向过程&#xff0c;其实就是面向着具体的每一个步骤和过程&#xff0c;把每一个步骤和过程完成&#xff0c;然后由这些功能方法相互调用&#xff0c;完…

Go语言精修(尚硅谷笔记)第十七和十八章

十七、反射 17.1 基本介绍 1 ) 反射可以在运行时动态获取变量的各种信息, 比如变量的类型(type)&#xff0c;类别(kind) 2 ) 如果是结构体变量&#xff0c;还可以获取到结构体本身的信息(包括结构体的字段、方法) 3 ) 通过反射&#xff0c;可以修改变量的值&#xff0c;可以…

react脚手架

一、首先了解一下react脚手架 .xxx脚手架: 用来帮助程序员快速创建一个基于xxx库的模板项目 a.包含了所有需要的配置&#xff08;语法检查、jsx编译devServer…&#xff09; b.下载好了所有相关的依赖 c.可以直接运行一个简单效果react提供了一个用于创建react项目的脚手架库:…

LLaMA:Open and Efficient Foundation Language Models

LLaMA&#xff1a;Open and Efficient Foundation Language ModelsIntroductionApproachPre-training DataArchitectureIntroduction 在大规模数据下训练的大模型&#xff0c;已经展示了很好的表现&#xff0c;当模型足够大的时&#xff0c;模型会出现一个涌现的能力&#xff…

Chapter8.3:控制系统校正的根轨迹法

该系列博客主要讲述Matlab软件在自动控制方面的应用&#xff0c;如无自动控制理论基础&#xff0c;请先学习自动控制系列博文&#xff0c;该系列博客不再详细讲解自动控制理论知识。 自动控制理论基础相关链接&#xff1a;https://blog.csdn.net/qq_39032096/category_10287468…

区块链技术之密码学

密码学是研究编制密码和破译密码的技术科学&#xff0c;研究密码变化的客观规律&#xff0c;应用于编制密码以保守通信秘密的&#xff0c;成为编码学&#xff1b;应用于破译密码以获取通信情报的&#xff0c;称为破译学&#xff0c;总称密码学。在区块链中重要问题之一就是区块…

锁 一、锁的分类 1.1 可重入锁、不可重入锁 Java中提供的synchronized&#xff0c;ReentrantLock&#xff0c;ReentrantReadWriteLock都是可重入锁。 重入&#xff1a;当前线程获取到A锁&#xff0c;在获取之后尝试再次获取A锁是可以直接拿到的。 不可重入&#xff1a;当前…

Eclipse下载使用手册

Eclipse下载使用手册 目录Eclipse下载使用手册Eclipse的介绍与安装Eclipse简介Eclipse的下载Eclipse的解压Eclipse的介绍与安装 Eclipse简介 Eclipse 是一个开放源代码的&#xff0c;基于 Java 的可扩展开发平台。Eclipse官方版是一个集成开发环境(IDE)&#xff0c;可以通过安…

MySQL-自带工具介绍

目录 &#x1f341;mysql &#x1f341;mysqladmin &#x1f990;博客主页&#xff1a;大虾好吃吗的博客 &#x1f990;MySQL专栏&#xff1a;MySQL专栏地址 MySQL数据库不仅提供了数据库的服务器端应用程序&#xff0c;同时还提供了大量的客户端工具程序&#xff0c;如mysql&a…

Linux安装MySQL5.7MySQL8.0

Linux安装MySQL5.7一、设置yum源并安装1.1 配置rpm仓库1.1.1 更新密钥1.1.2 安装mysql yum库1.2 使用yum进行安装1.3 启动并配置开机启动二、配置MySQL2.1 获取初始密码2.2 登录MySQL2.3 修改root密码2.3.1 设置复杂密码(默认)2.3.2 设置简单的用户密码2.4 授权root用户远程登陆…