一、网络安全构成要素:
1)防火墙:放行符合安全策略的数据包
----种类:如专门过滤(不过滤)特定数据包的包过滤防火墙,数据到达应用以后由应用处理并拒绝非法访问的应用网关
----举例:通过监控TCP包首部的SYN和ACK标志位来实现内网连接(具体为丢弃SYN=1,ACK=0的包)
2)IDS(入侵监测系统)
----设置形式:一般在防火墙或DMZ等边界设备上进行设置
----功能:定期采集日志,长期监控,通知异常等
3)反病毒/个人防火墙:常是用户使用的计算机或服务器上运行的软件
二、加密技术基础:
| 分层 |
加密技术 |
| 应用层 |
SSH,SSL-Telnet,PET等远程登录,PGP,S/MIME等加密邮件 |
| 表示层,传输层 |
SSL/TLS,SOCKS V5加密 |
| 网络层 |
IPsec |
| 数据链路层 |
Ethernet,WAN加密装置,PPTP(PPP) |
对称加密方式:加密和解密使用相同的密钥,如AES,DES
公钥加密方式:加密和解密过程中分别使用不同的密钥(公钥和私钥),如RSA,DH,椭圆曲线等加密算法
三、安全协议
1)IPsec和VPN
VPN:虚拟专用网,构建VPN时最常被使用的是IPsec,指在IP首部的后面追加“封装安全有效载荷”和“认证首部”
2)TLS/SSL与HTTPS
使用TLS/SSL的HTTPS通信叫HTTPS通信,HTTPS采用对称加密方式,而在发送其公共密钥时采用的是公钥加密方式
四、HTTPS访问图解(图片来源《图解TCP/IP》)
