计算机网络-网络安全（二）

1.应用层安全协议：

• S-HTTP或SHTTP（Sec HTTP），安全超文本传输协议，是HTTP扩展，使用TCP的80端口。
• HTTPS：HTTP+SSL，使用TCP的443端口。和TLS（传输层安全标准）是双胞胎。4.5层协议。大部分web应用采用这个。
• PGP，电子邮件加密软件包，是一款软件，把RSA公钥体系的高保密和传统加密体系的高速度巧妙结合起来，成为最流行的电子邮件加密系统。可以用来加密件防止非授权者阅读，还能数字签名，防止篡改。

2.PGP提供2种服务：

数字加密和数字签名，使用RSA对公钥证书加密认证，IDEA（128位密钥）进行数据加密，MD5进行完整性验证。

• 加密算法：支持IDEA、CAST、3DES算法对消息进行加密；采用EIGamal或RSA算法用接收方的公钥加密会话密钥。
• 数据签名：采用SHA-1、MD5消息摘要算法计算消息的摘要值（散列码），用发送者的私钥按DSS或RSA算法加密消息摘要。

 3.安全电子交易协议SET：

保障购物安全，以信用卡为基础，在线交易的标准。安全性高，保证信息传输的机密性、真实性、完整性和不可否认性。工作流程如下：

 4.SET

是安全协议和报文格式集合，融合了 SSL、STT、SHTTP、PKI等加密签名认证等。采用公钥密码体制和X.509数字证书。成为目前公认的信用卡网上交易的国际标准。

SET提供3种服务：

1. 保证客户交易信息的保密性和完整性。
2. 确保商家和客户交易行为的不可否认性。
3. 确保商家和客户的合法性。

双重签名技术：消费者对订单信息和支付信息进行签名，商家看不到消费者账号信息，银行看不到消费者订购信息。但可确认是真实的。

5.基于Kerberos的网卡模型：

用户初始登录以后，用户名和密码长期保存在内存中，用户登录新应用（申请新票据）时，系统会自动提取用户名和密码，用户不需要再输入。

 6.应用层安全协议Kerberos（刻薄肉丝）：

是一项认证服务，3A(AAA)认证有验证、授权和记账。防重放、保护数据完整性。AS认证服务器，TGS票据授予服务器，V应用服务器。

V4时间戳，V5序列号。口诀：无T加T，有T加1。

7. 防火墙的定义

来源于建筑物“防火墙”一词，位于两个或多个网络之间，执行访问控制策略，过滤进出数据包的一种软件或硬件设备。

防火墙的要求：

• 所有进出网络的通信流量都必须经过防火墙。
• 只有内部访问策略授权的通信才能允许通过。
• 防火墙本身具有很强的高可靠性。

8.防火墙的主要功能：

1. 访问控制功能。
2. 内容控制功能。
3. 全面的日志功能。
4. 集中管理功能。
5. 自身的安全功能。 

防火墙的附加功能：流量控制。网络地址转换NAT。虚拟专用网VPN。

防火墙的局限性：关闭限制了一些服务带来不便。对内部的攻击无能为力。带来传输延迟单点失效等。

防火墙的技术分类：包括包过滤防火墙；代理防火墙；状态化包过滤防火墙等。 

9.防火墙的分类：

以下几种常见方式：

• 个人防火墙：保护单个主机，有瑞星防火墙、天网防火墙、费尔防火墙等。
• 企业防火墙：对整个网络实时保护，有赛门铁克防火墙、诺顿防火墙等。
• 软件防火墙：有瑞星防火墙、天网防火墙、微软ISA Server等。
• 硬件防火墙：思科防火墙、Juniper防火墙等。

10.防火墙的体系结构：

•  双宿主机模式：防火墙具有两个网卡接口，通过包过滤代理访问网络。这是比较简单的一种结构。一般可以根据IP地址和端口号进行过滤。
• 屏蔽子网模式：又叫过滤子网模式，两个包过滤路由器中间建立一个隔离的子网，定义为DMZ网络，也成为非军事化区域。这是目前防火墙最常用的一种模式。可以有更高级的功能。

11.防火墙的工作模式：路由模式、透明模式、混合模式

• 路由模式：如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下。
• 透明模式：若防火墙通过第二层对外连接（接口无IP地址和），则防火墙工作在透明模式下。
• 混合模式：若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则为混合模式下。 

12.防火墙的访问规则：3种接口：

• 内部接口（Inbound）连接内网和内网服务器。

Inbound可以访问任何Outbound和dmz区域 

Inbound访问dmz需要配合acl(访问控制列表)

• 外部接口（Outbound）连接外部公共网络。

Outbound访问dmz需配合static(静态地址转换)

• 中间接口（DMZ）连接对外开放服务器。 

dmz可以访问Outbound区域。

13.病毒、木马、恶意代码

• 病毒：一段可执行的程序代码，通过其他可执行程序启动和感染传播，可自我复制，难以清除，破坏性强（强盗）
• 木马：一种潜伏在计算机里并且秘密开放一个甚至多个数据传输通道的远程控制程序。C/S结构，客户端也称为控制端。偷偷盗取账号密码等信息（间谍）
• 恶意代码：又称恶意软件、广告软件、间谍软件，没有作用却会带来危险（恶搞） 

14.常见病毒木马的特征分类：

• 文件宏病毒：感染office文件，前缀Macro或word/excel等
• 蠕虫病毒：前缀worm通过系统漏洞传播
• 木马病毒：前缀Trojan，黑客病毒前缀Hack，往往成对出现。
• 系统病毒：前缀Win32、PE、Win95等
• 脚本病毒：前缀Script，脚本语言编写的，通过网页传播。 

15.黑客攻击和预防攻击

• 黑客攻击：拒绝服务攻击。缓冲区溢出攻击。漏洞攻击。网络欺骗攻击。网络钓鱼。僵尸网络等。
• 预防攻击：安装杀毒软件、硬件防火墙和UTM统一威胁安全管理设备，合理设置安全策略，制定应急预案。 

16.入侵检测系统IDS：

位于防火墙之后的第二道安全 屏障，是防火墙的有力补充。通过对网络关键点 收集信息并对其分析，检测到违反安全策略的行为和入侵的迹象，做出自动反应，在系统损坏或数据丢失前阻止入侵者进一步行动。 

IDS安装部署位置通常是：

• 服务器区域的交换机上
• Internet接入路由器之后的第一台交换机上
• 其他重点保护网段的交换机上。
• 通常是并联、不断网。

17.入侵防御系统IPS：

位于防火墙之后的第二道安全屏障，是防火墙的有力补充。通过对网络关键点 收集信息并对其分析，检测二到攻击企图，就会自动将攻击包丢弃或采取措施阻挡攻击源，切断网络。（通常是串联、会断网） 

18.IPS/IDS和防火墙的区别

防火墙一般只检测网络层和传输层的数据包，不能检测应用层的内容。IPS/IDS可以检测字节内容。

IPS和IDS的区别：IPS是串接在网络中，会切断网络。IDS是旁路式并联在网络上，不切端网络。

IDS/IPS：连接在需要把交换机端口配置成镜像端口上，可以检测到全网流量。