【网络安全】网络安全协议和防火墙

目录

1、网络层的安全协议:IPsec 协议族

(1)IP 安全数据报格式

(2)互联网密钥交换 IKE (Internet Key Exchange) 协议

2、运输层的安全协议:TLS 协议

3、系统安全:防火墙与入侵检测


1、网络层的安全协议:IPsec 协议族

        什么是 IPsec 协议?

        IPsec 就是 “IP安全(security)” 的缩写。IPsec 并不是单一的协议,而是能够在 IP 层提供互联网通信安全的协议族。实际上,IPsec 包含了一个通用框架和若干加密算法,具相当的灵活性和可扩展性。IPsec 允许通信双方从中选择合适的算法和参数,以及是否使用鉴别。

        IPsec 协议族中的协议可划分为以下三个部分://用来提供网络层的安全通信

  1. IP 安全数据报格式的两个协议:鉴别首部 AH (Authentication Header) 协议封装安全有效载荷 ESP (Encapsulation Security Payload) 协议//数据报
  2. 加密算法。//算法
  3. 互联网密钥交换 IKE (Internet Key Exchange) 协议//密钥交换

(1)IP 安全数据报格式

        上边提到 IP 安全数据报格式有两个协议,即 AH 和 ESP。

        AH 协议提供源点鉴别和数据完整性,但不能保密。

        ESP 协议比 AH 协议复杂得多,它提供源点鉴别、数据完整性和保密。IPsec 支持 IPv4 和 IPv6。AH 协议的功能都已包含在 ESP 协议中,因此使用 ESP 协议就可以不使用 AH 协议。

        使用 ESP或 AH 协议的 IP 数据报称为 IP 安全数据报 (或 IPsec 数据报),它可以在两台主机之间、两个路由器之间或一台主机和一个路由器之间发送。

        IP安全数据报有以下两种不同的工作方式:

        第一种工作方式是 运输方式(transport mode)。运输方式是在整个运输层报文段的前后分别添加若干控制信息,再加上 IP 首部,构成 IP 安全数据报,如下图所示:

        第二种工作方式是 隧道方式(tunnel mode)。隧道方式是在原始的 IP 数据报的前后分别添加若干控制信息,再加上新的 IP 首部,构成一个IP安全数据报,如下图所示:

        无论使用哪种方式,最后得出的数据报的 IP 首部都是不加密的。只有使用不加密的 IP首部,互联网中的各个路由器才能识别 IP 首部中的有关信息,把 IP安全数据报在不安全的互联网中进行转发,从源点安全地转发到终点。目前使用最多的就是隧道方式。

(2)互联网密钥交换 IKE (Internet Key Exchange) 协议

        IKE 的用途主要是为 IP 安全数据报创建安全关联 SA

        那什么是安全关联 SA 呢?

        在发送 IP 安全数据报之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接,这个连接就是安全关联 SA (Security Association)安全关联是从源点到终点的单向连接,它能够提供安全服务。如要进行双向安全通信,则两个方向都需要建立安全关联。安全关联 SA 上传送的就是 IP 安全数据报。//单向的安全数据报传输通道

        IKE 是个非常复杂的协议,IKEv2 是其新的版本,IKEv2 以另外三个协议为基础:

  1. Oakley——密钥生成协议。
  2. 安全密钥交换机制 SKEME (Secure Key Exchange MEchanism) ——用于密钥交换的协议。它利用公钥加密来实现密钥交换协议中的实体鉴别。
  3. 互联网安全关联和密钥管理协议 ISAKMP (Internet Secure Association and Key ManagementProtocol) —— 用于实现 IKE 中定义的密钥交换,使 IKE 的交换能够以标准化、格式化的报文创建安全关联 SA。

2、运输层的安全协议:TLS 协议

        运输层安全协议曾经有两个,即:安全套接字层 SSL (Secure Socket Layer)运输层安全 TLS (Transport Layer Security)

        TLS 协议的发展历史:

        SSL 协议是 Netscape 公司在 1994 年开发的安全协议,广泛应用于基于万维网的各种网络应用。SSL 作用在系统应用层的 HTTP 和运输层之间,在 TCP 之上建立起一个安全通道,为通过 TCP 传输的应用层数据提供安全保障。

        1995 年 Netscape 公司把协议 SSL 转交给 IETF,希望能够把 SSL 进行标准化。1999 年 IETF 在 SSL 3.0 的基础上设计了协议 TLS 1.0,为所有基于 TCP 的网络应用提供安全数据传输服务。后来,为了应对网络安全的变化,IETF 也不断地对 TLS 版本进行升级,目前使用得比较多的运输层安全协议有 TLS 1.2 和 TLS 1.3 等。//虽然TLS源于SSL,但两者并不兼容

        TLS 协议在运输层和应用层之间。虽然协议 SSL 2.0/3.0 均已被废弃不用了,但现在还经常能够看到把 “SSL/TLS” 视为 TLS 的同义词。这是因为协议 TLS 本来就源于 SSL (但并不兼容),而现在旧协议 SSL 也被更新为新协议 TLS 了。

        应用层使用协议 TLS 最多的就是 HTTP,但并非仅限于 HTTP。因为协议 TLS 是对 TCP 加密,因此任何在 TCP 之上运行的应用程序都可以使用协议 TLS

        TLS 协议是怎么生效的呢?

        TLS 协议具有双向鉴别的功能。但大多数情况下使用的是单向鉴别,即客户端(浏览器)需要鉴别服务器。也就是说,浏览器 A 要确信即将访问的网站服务器 B 是安全和可信的。这必须要有以下两个前提:

  1. 首先,服务器 B 必须能够证明本身是安全和可信的。因此服务器 B 需要有一个证书来证明自己。现在我们假定服务器 B 已经持有了有效的 CA 证书。这正是运输层安全协议 TLS 的基石。//服务器持有有效CA证书
  2. 其次,浏览器 A 应具有一些手段来证明服务器 B 是安全和可信的。//浏览器能够鉴别

        那么浏览器如何证明服务器 B 是安全可信的呢?

        生产电脑操作系统的厂商为了方便用户,把当前获得公众信任的许多主流认证中心 CA 的根证书,都已内置在其操作系统中。这些根证书上都有认证中心 CA 的公钥 PK_{CA},而且根证书都用 CA 的私钥 SK_{CA} 进行了自签名(防止伪造)。用户为了验证要访问的服务器是否安全和可信,只要打开电脑中的浏览器,就可查到操作系统收藏的某个根认证中心的根 CA 证书,并可以利用证书上的公钥 PK_{CA} 对 B 的证书进行验证。//使用CA公钥进行验证

        那么TLS 协议的工作原理是怎样的呢?

        如下图所示,在客户与服务器双方已经建立了 TCP 连接后,就可开始执行 TLS 协议。这里主要有两个阶段,即握手阶段和会话阶段。在握手阶段,TLS 使用其中的握手协议,而在会话阶段,TLS 使用其中的记录协议

        握手阶段要验证服务器是安全可信的,同时生成在后面的会话阶段所需的共享密钥,以保证双方交换的数据的私密性和完整性。//验证服务器安全可信+生成密钥

        (1)协商加密算法:客户 A 向服务器 B 发送自己选定的加密算法(包括密钥交换算法)。服务器 B 从中确认自己所支持的算法,同时把自己的 CA 数字证书发送给 A。

        (2)证书鉴别:客户 A 用数字证书中 CA 的公钥对数字证书进行验证鉴别。

        (3)生成主密钥:客户 A 按照双方确定的密钥交换算法生成 主密钥MS (Master Secret)。客户 A 用 B 的公钥 PK_{B} 对主密钥 MS 加密,得出加密的主密钥 PK_{B}(MS),发送给服务器 B。//这里的主密钥是对称加密密钥

        (4)解密密钥:服务器 B 用自己的私钥把主密钥解密出来得到 MS。这样,客户 A 和服务器 B 都拥有了为后面的数据传输使用的 共同的主密钥 MS

3、系统安全:防火墙与入侵检测

        防火墙(firewall) 作为一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低这类安全威胁所带来的安全风险。

        由于防火墙不可能阻止所有入侵行为,作为系统防御的第二道防线,入侵检测系统 IDS (IntrusionDetection System) 通过对进入网络的分组进行深度分析与检测发现疑似入侵行为的网络活动,并进行报警以便进一步采取相应措施。

        什么是防火墙?

        防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略,访问控制策略可以由使用防火墙的单位自行制定。

        如上图,防火墙(淡蓝色长方体) 位于互联网和内部网络之间。互联网这边是防火墙的外面,而内联网这边是防火墙的里面。防火墙里面的网络称为 “可信的网络”(trusted network),防火墙外面的网络称为 “不可信的网络”(untrusted network)

        防火墙技术一般分为以下两类:

        (1)分组过滤路由器 是一种具有分组过滤功能的路由器,它根据过滤规则对进出内部网络的分组执行转发或者丢弃(即过滤)。过滤规则是基于分组的网络层或运输层首部的信息,例如:源/目的 IP 地址、源/目的端口、协议类型(TCP或UDP),等等。

        我们知道,TCP 的端口号指出了在 TCP 上面的应用层服务。例如,端口号 23 是 TELNET,端口号 119 是新闻网 USENET,等等。所以,如果在分组过滤器中将所有目的端口号为 23 的 入分组(incomingpacket) 都进行阻拦,那么所有外单位用户就不能使用 TELNET 登录到本单位的主机上。同理,如果某公司不愿意其雇员在上班时花费大量时间去看互联网的 USENET 新闻,就可将目的端口号为 119 的 出分组(outgoing packet) 阻拦住,使其无法发送到互联网。//通过端口号进行过滤

        分组过滤路由器的优点是简单高效,且对于用户是透明的,但不能对高层数据进行过滤。例如,不能禁止某个用户对某个特定应用进行某个特定的操作,不能支持应用层用户鉴别等。这些功能需要使用应用网关技术来实现。

        (2)应用网关 也称为 代理服务器(proxy server),它在应用层通信中扮演报文中继的角色。一种网络应用需要一个应用网关,例如,万维网缓存就是一种万维网应用的代理服务器。在应用网关中,可以实现基于应用层数据的过滤和高层用户鉴别。

        所有进出网络的应用程序报文都必须通过应用网关。当某应用客户进程向服务器发送一份请求报文时,先发送给应用网关,应用网关在应用层打开该报文,查看该请求是否合法。如果请求合法,应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法,报文则被丢弃。

        例如,一个邮件网关在检查每一个邮件时,会根据邮件地址,或邮件的其他首部,甚至是报文的内容(如,有没有“导弹”“核弹头”等关键词)来确定该邮件能否通过防火墙。

        应用网关也有一些缺点。首先,每种应用都需要一个不同的应用网关(可以运行在同一台主机上)。其次,在应用层转发和处理报文,处理负担较重。另外,对应用程序不透明,需要在应用程序客户端配置应用网关地址。

        通常可将这两种技术结合使用,上图所示的防火墙就同时具有这两种技术。它包括两个分组过滤路由器和一个应用网关,它们通过两个局域网连接在一起。

        什么是入侵检测系统?

        防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为,有必要采取措施在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。

        入侵检测系统 IDS 就是为了解决上述问题的一种技术。IDS 对进入网络的分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于 IDS 的“误报”率通常较高,多数情况不执行自动阻断)。IDS 能用于检测多种网络攻击,包括网络映射、端口扫描、DoS 攻击、蠕虫和病毒、系统漏洞攻击等。

        入侵检测方法一般可以分为基于特征的入侵检测基于异常的入侵检测两种。

        基于特征的 IDS 维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集,这些规则可能基于单个分组的首部字段值或数据中特定比特串,或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时,则认为可能检测到某种入侵行为。这些特征和规则通常由网络安全专家生成,机构的网络管理员定制并将其加入到数据库中。基于特征的IDS 只能检测已知攻击,对于未知攻击则束手无策。//被动防守

        基于异常的 IDS 通过观察正常运行的网络流量,学习正常流量的统计特性和规律,当检测到网络中流量的某种统计规律不符合正常情况时,则认为可能发生了入侵行为。例如,当攻击者在对内网主机进行 ping 搜索时,或导致 ICMP ping 报文突然大量增加,与正常的统计规律有明显不同。但区分正常流和统计异常流是一件非常困难的事情。至今为止,大多数部署的 IDS 主要是基于特征的。//主动学习

        至此,全文结束。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/575780.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

addr2line + objdump 定位crash问题

目录 背景 godbolt汇编工具 tombstone ARM平台汇编知识 寄存器介绍 常见汇编指令 函数入参及传递返回值过程 入参顺序 变参函数 虚函数表 典型问题分析过程 Crash BackTrace Addr2line objdump 拓展 为什么SetCameraId函数地址偏移是40(0x28) 参考 背景 最近在…

kerberos:介绍

文章目录 一、介绍二、kerberos框架1、名词解释2、框架 三、优缺点四、其他认证机制1、SSL2、OAuth3、LDAP 一、介绍 Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT&#xff…

软考-系统分析师-精要1

1、什么是软件需求 软件需求是指用户对系统在功能、行为、性能、设计约束等方面的期望。 软件需求是指用户解决问题或达到目标所需的条件或能力,是系统或系统部件要满足合同、标准、规范或其他正式规定文档所需具有的条件或能力,以及反映这些条件或能力…

Leetcode 118 杨辉三角

目录 一、问题描述二、示例及约束三、代码方法一:数学 四、总结 一、问题描述 给定一个非负整数 numRows,生成「杨辉三角」的前 numRows 行。   在「杨辉三角」中,每个数是它左上方和右上方的数的和。 二、示例及约束 示例 1&#xff1a…

电子防潮柜出厂前要经过哪些测试?

电子防潮柜在发货前应执行一系列质量控制测试以确保其功能正常、性能稳定且能够满足用户存储物品对湿度控制的需求。以下是沐渥电子防潮柜出厂前的测试流程: 1)除湿性能测试:检查并验证防潮柜能否按照设定的湿度目标值准确运行,可…

燃冬之yum、vim和你

了解了很多指令和权限,搞点真枪实弹来瞅瞅 学Linux不是天天就在那掰扯指令玩,也不是就研究那个权限 准备好迎接Linux相关工具的使用了么码农桑~ yum 软件包 什么是软件包呢? 首先来举个生活中常见点的例子:比如我的手机是华为…

盘点数据资产管理十大活动职能 优化企业数据资产管理和应用

在当今的数字化时代,数据已成为企业最宝贵的资产之一,在上篇文章中我们对数据资产管理进行了初步的介绍。 上篇文章指路👉什么是数据资产管理?详谈数据资产管理的难点与发展现状! 有效的数据资产管理不仅能提升企业的…

【JAVA】阿里技术官耗时三个月整理的Java核心知识点

在裁员风波的席卷之下,IT行业弥漫着浓厚的焦虑和不安。面对如此动荡的环境,一个共识日益凸显:提升个人价值至关重要。 这不仅仅是指薪资上的数字增长,更重要的是在职场中、在专业领域、在技术上不断取得突破,并塑造自…

固态继电器:推进可再生能源系统

随着可再生能源系统的发展,太阳能系统日益成为现代能源解决方案的先锋。在这种背景下,固态继电器(SSR),特别是光耦固态继电器的利用变得日益突出。本文旨在深入探讨SSR在可再生能源系统中的多方位应用,重点…

ClickHouse 数据类型、表引擎与TTL

文章目录 数据类型注意事项 表引擎1.TinyLog 引擎2.MergeTree 引擎3.ReplacingMergeTree 引擎4.AggregatingMergeTree 引擎5.SummingMergeTree 引擎6.CollapsingMergeTree 引擎7.Distributed 引擎 TTL列级 TTL表级TTL 数据类型 ClickHouse 数据类型Java 数据类型数据范围UInt8…

基于FaceNet的人脸识别

⚠申明: 未经许可,禁止以任何形式转载,若要引用,请标注链接地址。 全文共计10077字,阅读大概需要10分钟 🌈更多学习内容, 欢迎👏关注👀【文末】我的个人微信公众号&#…

Python二进制文件转换为文本文件

👽发现宝藏 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【点击进入巨牛的人工智能学习网站】。 在日常编程中,我们经常会遇到需要将二进制文件转换为文本文件的情况。这可能是因…

最详细的 Windows 下 PyTorch 入门深度学习环境安装与配置 GPU 版 土堆教程

最详细的 Windows 下 PyTorch 入门深度学习环境安装与配置 CPU GPU 版 | 土堆教程 Windows 下 PyTorch 入门深度学习环境安装与配置 GPU 版 教程大纲如何使用此教程快速开始版本 Windows下判断有无NVIDIA GPU安装Anaconda作用流程下载安装 Anaconda 创建虚拟环境利用conda或者…

谁是存储器市场下一个“宠儿”?

AI浪潮对存储器提出了更高要求,高容量、高性能存储产品重要性正不断凸显,存储产业技术与产能之争也因此愈演愈烈:NAND Flash领域,闪存堆叠层数持续提升;DRAM领域HBM持续扩产,技术不断迭代,同时3…

Github上不去?进来,我教你

目录 一、复制Github的服务器地址 二、打开C盘下的hosts配置文件 三、编辑hosts 四、刷新DNS 五、本教程资源来源 一、复制以下Github的各服务器地址 # GitHub520 Host Start 140.82.112.26 alive.github.com 140.82.113.6 api.github.com…

docker-MySQL 8 主从搭建

一.目录结构: 我是在/home目录下,建立个sql文件夹: 二、配置文件 1.mysql配置 mysql-master下.conf文件配置 ###### [mysqld] server-id1 # 启用二进制日志 log-binmaster-bin # 指定需要复制的数据库 binlog-do-dbtest_db # 指定二进制日…

为什么工业锅炉必须要清洗?-智渍洁

锅炉经过长时间运行,不可避免的出现了水垢、锈蚀问题,锅炉形成水垢的主要原因是给水中带有硬度成分,经过高温、高压的不断蒸发浓缩以后,在炉内发生一系列的物理、化学反应,最终在受热面上形成坚硬、致密的水垢。 水垢是…

【EMQX】使用websocket订阅EMQX数据

需求:某平台希望通过 websocket 来订阅 EMQX平台上的某些 Topic数据进行处理 1、EMQX 服务配置 前提是EMQX服务正常安装运行了,如果EMQX服务未安装的话,详见以下文章关于如何安装部署服务: 搭建自己的MQTT服务器、实现设备上云(W…

windows11编译3dslicer_问题总结

编译前准备 CMake:版本>3.16.3(避免使用3.21.0,3.25.0-3.25.2,这些版本,可能会出现build错误)。Git:版本>1.7.10,安装完git,一定要在cmd里面试一试,是…

网络安全之弱口令与命令爆破(上篇)(技术进阶)

目录 一,什么是弱口令? 二,为什么会产生弱口令呢? 三,字典的生成 四,使用Burpsuite工具弱口令爆破 总结 一,什么是弱口令? 弱口令就是容易被人们所能猜到的密码呗,…