1.TCP/IP與網(wǎng)絡(luò)安全

互聯(lián)網(wǎng)向人們提供了很多便利的服務(wù)。為了讓人們能夠更好、更安全的利用互聯(lián)網(wǎng)，只有犧牲一些便利性來(lái)確保網(wǎng)絡(luò)的安全。因此，“便利性”和“安全性”作為兩個(gè)對(duì)立的特性兼容并存，產(chǎn)生了很多新的技術(shù)。隨著惡意使用網(wǎng)絡(luò)的技術(shù)不斷翻新，網(wǎng)絡(luò)安全的技術(shù)也不斷進(jìn)步。今后，除了基本的網(wǎng)絡(luò)技術(shù)外，通過(guò)正確理解安全相關(guān)的技術(shù)、制定合理的安全策略、按照制定的策略進(jìn)行網(wǎng)絡(luò)管理及運(yùn)維成為一個(gè)重要的課題。

2.網(wǎng)絡(luò)安全構(gòu)成要素

屏幕快照 2019-02-23 下午1.33.20.png

1.防火墻

組織機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連時(shí)，為了避免域內(nèi)受到非法訪問(wèn)的威脅，往往會(huì)設(shè)置防火墻。
防火墻的種類和形態(tài)有很多種。例如，專門(mén)過(guò)濾特定數(shù)據(jù)包的包過(guò)濾防火墻、數(shù)據(jù)到達(dá)應(yīng)用以后由應(yīng)用處理并拒絕非法訪問(wèn)的應(yīng)用網(wǎng)關(guān)。

2.IDS（入侵檢測(cè)系統(tǒng)）

數(shù)據(jù)包符合安全策略，防火墻才會(huì)讓其通過(guò)。即只要與策略相符，就無(wú)法判斷當(dāng)前訪問(wèn)是否為非法訪問(wèn)，所以全部允許通過(guò)。
而IDS正是檢查這種已經(jīng)侵入內(nèi)部網(wǎng)絡(luò)進(jìn)行非法訪問(wèn)的情況，并及時(shí)通知給網(wǎng)絡(luò)管理員的系統(tǒng)。
從功能上看，IDS有定期采集日志、長(zhǎng)期監(jiān)控、通知異常等功能。它可以監(jiān)控網(wǎng)絡(luò)上流動(dòng)的所有數(shù)據(jù)包。為了確保各種不同系統(tǒng)的安全，IDS可以與防火墻相輔相成，實(shí)現(xiàn)更為安全的網(wǎng)絡(luò)環(huán)境。

3.反病毒/個(gè)人防火墻

反病毒和個(gè)人防火墻是繼IDS和防火墻之后的另外兩種安全對(duì)策，它們往往是用戶使用的計(jì)算機(jī)或服務(wù)器上運(yùn)行的軟件。既可以監(jiān)控計(jì)算機(jī)中進(jìn)出的所有包、數(shù)據(jù)和文件也可以防止對(duì)計(jì)算機(jī)的異常操作和病毒入侵。

3.加密技術(shù)基礎(chǔ)

為了防止信息的泄漏、實(shí)現(xiàn)機(jī)密數(shù)據(jù)的傳輸，出現(xiàn)了各種各樣的加密技術(shù)。加密技術(shù)分布于OSI參考模型的各個(gè)階層一樣，相互協(xié)同保證通信。

1.對(duì)稱密碼體制與公鑰密碼體制

加密是指利用某個(gè)值對(duì)密文的數(shù)據(jù)通過(guò)一定的算法變換成加密數(shù)據(jù)的過(guò)程。它的逆反過(guò)程叫做解密。
加密和解密使用相同的密鑰叫做對(duì)稱加密方式。反之，如果在加密和解密過(guò)程中分別使用不同的密鑰則叫做公鑰加密方式。在對(duì)稱加密方式中，最大的挑戰(zhàn)就是如何傳遞安全的密鑰。而公鑰加密方式中，僅有一方的密鑰是無(wú)法完成解密的，還必須嚴(yán)格管理私鑰。通過(guò)郵件發(fā)送公鑰、通過(guò)Web公開(kāi)發(fā)布公鑰、或通過(guò)PKI分配等方式，才得以在網(wǎng)絡(luò)上安全地傳輸密鑰。
對(duì)稱加密方式包括AES、DES等加密標(biāo)準(zhǔn)，而公鑰加密方法中包括RSA、DH、橢圓曲線等加密算法。

2.身份認(rèn)證技術(shù)

• 根據(jù)所知道的信息進(jìn)行認(rèn)證
  指使用密碼或私有代碼的方式。為了不讓密碼丟失或不被輕易推測(cè)出來(lái)，用戶自己需要多加防范。使用公鑰加密方式進(jìn)行的數(shù)字認(rèn)證，就需要驗(yàn)證是否持有私鑰，
• 根據(jù)所擁有的信息進(jìn)行認(rèn)證
  指利用ID卡、密鑰、電子證書(shū)、電話號(hào)碼等信息的方式。
• 根據(jù)獨(dú)一無(wú)二的體態(tài)特征進(jìn)行認(rèn)證
  指根據(jù)指紋、視網(wǎng)膜等個(gè)人特有的生物特征進(jìn)行認(rèn)證的方式。

4.安全協(xié)議

1.IPsec和VPN

VPN（Virtual Private Network,虛擬專用網(wǎng)）?；ヂ?lián)網(wǎng)中采用加密和認(rèn)證技術(shù)可以達(dá)到“即使讀取到數(shù)據(jù)也無(wú)法讀懂”、“檢查是否被篡改”等功效。VPN正是一種利用這兩種技術(shù)打造的網(wǎng)絡(luò)。
在構(gòu)建VPN時(shí)，最常被使用的是IPsec。它是指在IP首部的后面追加“封裝安全有效載荷”和“認(rèn)證首部”，從而對(duì)此后的數(shù)據(jù)進(jìn)行加密，不被盜取者輕易解讀。

屏幕快照 2019-02-23 下午2.18.21.png

2.TLS/SSL與HTTPS

Web中可以通過(guò)TLS/SSL與HTTPS通信進(jìn)行加密。使用TLS/SSL的HTTP通信叫做HTTPS通信。HTTPS中采用對(duì)稱加密方式。而在發(fā)送其公共密鑰時(shí)采用的則是公鑰加密方式。

3.IEEE802.1X

屏幕快照 2019-02-23 下午2.28.57.png