文章目录
一、 网络安全体系
1.1 5种安全服务
①认证服务
②访问控制服务
③数据保密性服务
④数据完整性服务
⑤防止否认性服务
1.2 8种安全机制
①加密机制
②数字签名机制
③访问控制机制
④数据完整性机制
⑤认证机制
⑥业务流填充机制
⑦路由控制机制
⑧公证机制
1.3 8种安全机制与5种安全服务的关系
二、网络攻击与防御
2.1 被动攻击和主动攻击
2.2 信息安全基本属性
2.3 TCP/IP漏洞与防御
2.4 ARP欺骗
三、防火墙与访问控制
3.1 防火墙
3.2 网闸
防火墙是逻辑隔离设备,网闸是物理隔离设备。
网闸主要采用GAP技术,它是一种由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接,同时能够在网络间进行安全数据交换的网络安全设备。外网和内网不能直接相连,数据通过网闸设备的数据交换机区进行通信,该数据交换机区同一时刻只能与外网或内网进行通信,从而实现网络物理隔离。
3.3 访问控制技术
访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素,即主体、客体和控制策略。主体:也称访问者,可以是用户、进程、应用程序等。客体:也称被访问对象,可以是文件、应用服务、数据等。控制策略:是是否允许用户访问资源对象做出决策。
访问控制的实现技术主要有:访问控制矩阵、访问控制列表、能力表和授权关系表
3.3.1 访问控制矩阵
通过矩阵标识访问控制规则和用户权限的方法,如下表所示,张三可以访问网页、数据库和视频服务器;李四只能访问数据库。
3.3.2 访问控制列表
每个客体有一个访问控制列表,本质是按列保存访问控制矩阵。如网页应用只允许张三访问,李四不能访问。
访问控制列表(access control list,ACL)是由一系列规则组成的集合,ACL通过这些规则对数据包进行分类,从而使设备对不同报文进行不同的处理。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。如果路由器接口配置成支持三种协议IP、IPX、AppleTalk的情况,那么用户必须定义定义三种ACL来分别控制着三种协议的数据包。
3.3.3 能力表
正好跟访问控制列表相反,能力表是按行保存访问控制矩阵的信息,如用户李四可以访问数据库,不能访问网页,视频
3.3.4 关系授权表
表示的只是简单的能否访问,可以延伸为更复杂的读、写和执行等关系,具体授权关系在授权关系表中定义。
四、IDS和IPS
4.1 IDS—入侵检测系统
4.2 IPS—入侵防御系统
五、虚拟专网技术
VPN (Virtual Private Network) ,即虚拟专用网络。 VPN 是指利用公共网络建立私有专用网络,数据通过安全的“加密隧道”在公共网络中传播,连接在 Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路,就像是架设了一条专线一样,但是它并不需要真正去敷设光缆之类的物理线路。
5.1 VPN类型按照工作层次划分
5.1.1 数据链路层(二层)
L2TP
基于PPP协议,可以运行在IP协议上,也可以在X.25、帧中继或ATM网络上使用。
PPTP
基于PPP协议,只支持TCP/IP体系,网络层必须是IP协议。
5.1.2 网络层(三层)
IPSec
IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性。
IPSec协议集提供如下安全服务:①数据完整性(Data Integrity)②认证(Autentication)③保密性(Confidentiality)④应用透明安全性(Application-transparent Security)
工作原理
两种封装模式
GRE
GRE(Generic Routing Encapsulation,通用路由封装)是网络层隧道协议,对组播等技术支持很好,但本身不加密,而IPSec可以实现加密,对组播支持不佳。所以语音、视频等业务中经常先用GRE封装,然后再使用IPSec进行加密。
MPLS虚拟专网主要用于广域网中实现业务隔离。
5.1.3 应用层(四层)
SSL
SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议(对称加密和非对称加密向结合的方式进行数据的交换)。典型的SSL VPN应用:Open VPN,这是一个比较好的开源软件。
5.2 VPN关键技术
• 隧道技术(Tuneling)
• 加解密技术(Encryption&Decryption)
• 密钥管理技术(Key Management)
• 身份认证技术(Authentication)
六、密码学技术
6.1 加密算法
6.1.1 对称密码—私钥密码
对称加密是一种加密和解密使用同一个密钥的算法。消息的收发双方必须事先通过安全渠道交换密钥。
优点:加解密速度快、密文紧凑、使用长密钥时难破解
缺点:密钥分配问题、密钥管理问题、无法认证源
6.1.2 非对称密码
非对称加密算法是指加密和解密使用不同的密钥的算法,也叫公开密钥加密算法。这两个密钥互不相同,一个称为公钥,另一个称为私钥。
公钥加密、私钥解密。可实现保密通信
私钥加密、公钥解密。可实现数字签名
RSA算法的工作原理
6.1.3 混合密码
PGP(Pretty Good Privacy)是一种用于电子邮件加密的工具,它结合了对称加密和非对称加密技术以及数字签名,以确保数据的安全性和完整性。在PGP中,用于数据加密的是对称加密算法,而用于数据完整性验证的是数字签名。
6.1.4 国产加密算法
①在我国自主研发的商用密码标准算法中,用于分组加密的是SM4算法
6.2 hash哈希算法
6.3 数字签名
6.4 数字证书与CA
数字证书包含用户的公钥和认证机构的数字签名,用户可以利用认证机构的公钥验证数据签名确认证书的真伪,然后就可以利用证书中的用户公钥进行数据的加密。
用户端除了要维护有效数字证书列表;还要维护CRL证书吊销列表,存放过期或无效证书。
6.4.1 PKI体系结构
PKI 是 Public Key Infrastructure 的缩写,中文叫做公开密钥基础设施,也就是利用公开密钥机制建立起来的基础设施。通过使用一对密钥(公钥和私钥)来实现数据的加密和解密,从而确保数据的安全性和完整性。在PKI体系中,公钥可以公开分享,而私钥则必须保密。PKI的核心组件包括认证中心(CA)、注册机构(RA)、证书库和密钥管理中心(KMC)。
在X.509证书中,签名算法用于确保证书的完整性和真实性。通过使用公钥加密技术,签名算法帮助证书使用者确认证书是由真正的证书颁发机构(CA)颁发且未被篡改
6.4.2 证书链
可以这么简单理解X1信任X2的证书,X2信任B的证书,B的证书里面就有B的公钥
七、网络安全应用
7.1 文件加密
AGDLP 是一种在 Active Directory 环境中用于用户和资源权限管理的策略,它代表以下含义:
A (Account): 用户账号,指的是单个用户的账户。
G (Global Group): 全局组,用于组织用户账户,可以包含同一域内的其他全局组和用户账户,并且可以跨域应用权限。
DL (Domain Local Group): 域本地组,用于直接分配资源权限,成员可以来自任何域,但只能在同一域内应用权限。
P (Permissions): 资源权限,指的是对资源(如文件、文件夹、打印机等)的访问权限。
AGDLP 策略的运作方式是将用户账户添加到全局组中,然后将这些全局组添加到域本地组中,最后为域本地组分配资源权限。这种策略有助于简化权限管理,因为当需要更改用户权限时,只需修改全局组的成员资格,而不必直接在域本地组上进行更改。
7.2 SSL协议
7.3 HTTPS
7.4 SET和PGP
7.5 S/MIME
7.6 Kerberos认证
7.7 AAA服务器
AAA服务器是网络访问控制中的一个重要组件,它负责实现认证(Authentication)、授权(Authorization)和计费(Accounting)功能,通常简称为AAA。这些功能确保了网络资源的安全和有效管理。AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议,也有些会使用TACACS+协议
①认证(Authentication):这是确认用户身份的过程,确保只有合法用户才能访问网络资源。认证可以通过多种方式进行,如用户名和密码、数字证书或生物特征等。
②授权(Authorization):一旦用户身份得到验证,授权过程就会确定用户可以访问的网络资源和服务。这有助于限制用户权限,防止未授权访问。
③计费(Accounting):这一功能记录用户使用网络资源的详细信息,如服务类型、使用时间、数据流量等。这些记录可以用于计费、审计和监控网络资源的使用情况。
参考文献
八、安全审计
安全审计包括识别、记录、存储、分析与安全相关行为的信息,审计记录用于检查与安全相关的活动和负责人。信息安全的目标分为系统安全、数据安全和事务安全,根据被审计对象的不同,安全审计分为:系统的安全审计、数据的安全审计、应用的安全审计
安全审计具有如下功能:
①监视网络中的异常行为
②收集操作系统和应用系统内部产生的审计数据
③实时报警,通知安全管理员及时处理
④网络控制,具备自动响应的审计系统发现严重违规或重大入侵时,可以自动或手动中断网络连接,减少损失,保障网络安全。
⑤审计数据维护和查询加密,权限控制
⑥规则定制。系统根据管理员指定的规则进行工作,适用不同应用的需求
⑦附加功能。除了标准功能外,还提供审计接口,可以和其他网络安全设备联动,协同防御。