计算机网络安全笔记_百度文库
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
//--! 说明:此笔记是我自己学习觉得的重点,大家需要就拿去,可能不完整,自己补充吧~ 邓智虎 2011年12月20日17:56:59 网络安全第一章 1网络安全硬件防火墙 VPN 入侵检测系统认证令牌环生物识别系统加密机芯片 2网络安全软件安全内容管理防火墙 CPN 入侵检测系统安全3A 加密 3网络安全服务防病毒网络控制邮件扫描安全3A:授权认证管理网络服务:顾问咨询设计实施支持维护教育培训安全管理网络协议:在网络间进行数据交换而建立的标准和约定。格式: 1语法:数据控制的信息结构或格式 2语义:需要发出的何种控制信息完成何种协议做出何种应答 3同步: 事件实现顺序详细说明。系统安全结构 1 物理层:防止物理通路损坏,物理通信窃听,物理通路攻击或干扰。 2 数据链路层:保证网络链路不被窃听(划分VLAN(局域网)加密通信(远程网)) 3 网络层:授权服务路由正确避免拦截和监听。 4 操作系统:保证资料访问安全,应用软件审计。 5 应用平台:数据库服务器 WEB服务器 MAIL服务器多种技术增加安全性(SSL)。 6 应用系统:通信内容安全,双方认证安全,审计。 TCP 层次安全 1.网络层:安全协议3号(SP3)网络层安全协议(NLSP)集成化NLSP(I-NLSP)都是基于IP封装技术;适合主机和主机的安全服务。实质:纯文本包诶加密封装在外层的IP报头里,用来对加密的包进行网络上的路由选择,到达时,外层IP报头被拆开,报文解密,送到收报地点。主要优点:透明性,安全服务的提供,不需要应用程序,其他通信层和网络部件不不需改变。主要缺点:不对进程和数据包做区别,使用同样的加密密钥和访问策略来处理。 2.传输层: IPC , BSD sockets 具体做法:双端实体认证,数据加密密钥的交换,SSL记忆协议:应用程序分段,压缩,数据认证和加密。SSL v3 SSL握手协议:交换版本号,加密算法,身份认证交换密钥。 3.应用层:允许为主机之间的数据通道增加安全属性,两个进程之间的传输消息都会被自动加密。使用:PKI(公钥基础结构)进行认证和密钥分配, PEM PKI层次:顶层:安全政策机构(IPRA)二层:安全政策证书颁发机构(PCA)底层:证书颁发机构(CA)TCP 服务安全 1.www服务: 2.MAIL服务 3.ftp服务 4.finger服务 5.其他服务个人安全: 1 邮箱邮件 2 不公开IP 3 常更换计算机密码 4 不要让计算机记住密码 5 不运行不明程序。局域网安全: 1、网络分段:物理分段:物理链路分开。逻辑分段:划分IP子网等 2、交换
式代替共享式 3、虚拟专网 VLAN 技术广域网安全: 1 加密技术对称型不对称型不可逆加密 2 VPN技术虚拟专网隧道技术 3身份识别技术身份登记常用CISCO tacacs+ radius 网络安全威胁安全漏洞: 物理、自然的、硬件和软件。乘虚攻击: 1技术漏洞:强力攻击、缓冲区溢出、错误配置、重放攻击、会话劫持。2信息收集:地址识别、操作系统识别、端口扫描、服务应用探测、漏洞扫描、相应分析、枚举、文档研磨、无线泄露、社会工程。 3拒绝服务:物理损坏、资
源删除、资源修改、资源饱和。 4操作系统安全性:操作系统完全漏洞。 5防火墙安全性:防火墙配置错误。 6内部用户 7电子邮件携带网络系统安全具备的功能: 1访问控制 2检查漏洞 3攻击监控 4加密通信 5认证 6备份和恢复 7多层防御 8隐藏内部信息 9设置安全监控中心网络攻击主要形式:信息收集:端口扫描、代码筛选、碎片数据包、DNS欺骗、FTP扫描、UDP劫持、OS检测利用技术漏洞: 1会话劫持 2 URL字符串攻击 3攻击安全帐户管理器文件 4缓冲区溢出5拒绝服务攻击 6后门攻击 7恶意代码。(1病毒2蠕虫3木马4其他)网络安全关键技术 1防电磁辐射 2访问控制技术(网络、数据库、操作系统、应用、远程) 3安全鉴别技术(网络设备、程序个人身份识别、访问加密设备、密码用户识别) 4权限控制(操作系统权限、数据库访问、密码设备管理、应用软件权限) 5通信保密(中心网络加密IP、远程拨号密码加密) 6数据完整性(消息完整性编码MIC) 7身份鉴别(数字签名机制、消息鉴别码、校验、口令字、智能卡、身份验证系统) 8安全审计(数据库/操作系统审计、防火墙进出数据审计、应用软件和平台审计安全备份) 9病毒防范与安全备份(常规系统安全备份) 10加密方法(公钥加密和专用密钥加密) 11网络入侵和漏洞扫描{入侵/漏洞扫描应用主机目标网络监控技术(检测技术)} 12应用系统安全(利用安全PC卡实现应用安全保密) 13文件传送安全(对等实体鉴别、数据加密、完整性校验、数字签名) 14邮件安全(邮件加密、数字签名、安全PC卡)保证网络安全措施 1 防火墙 2身份证 3加密(1数据传输加密技术2数据存储加密技术3初级完整性鉴别技术4密钥管理技术) 4数字签名(RSA 和DSS) 5内容检查 6存续控制(人员限制、数据标识、权限控制、控制类型、风险分析) 7安全协议(1加密协议2身份协议3密钥管理4数据验证5安全审计6防护协议) 8智能卡技术网络安全策略 1数据防御2应用程序防御3主机防御4网络防御5周边
防御6物理安全网络常用攻击步骤:1 嗅探 2 端口扫描嗅探工具:ETHEREAL 扫描工具:nmap 第二章加密技术信息安全4个特征:保密性、完整性、可用性、可控性。加密是一种主动式防伪手段,最安全最有效的技术。密码算是一个函数的变换加密信息为明文参数为密钥,加密后输出为密文。 c=ek(p)C(密文) E(算法)k(密钥)P(明文)流行加密方法:des rsa idea dsa 对称加密技术:数据信息传送、加密及接收都要一个共享的钥匙。对称技术算法:1 DES算法 2三重DES算法不对称技术算法 RSA RSA算法步骤: 1.选择两个数:P,Q 互为质数 <公约数只有1> 2.计算N= P*Q 和 X=(P-1)(Q-1) 3.选一个数 E <和X互为质数且小于X> 4。求D值 E*D = 1(mod x)