网络安全技术
防火墙
-
防火墙 是在
内部网络和外部因特网之间增加的一道安全防护措施级防火墙和应用级防火墙。 -
网络级防火墙
层次低,但是效率高,因为其使用包过滤和状态监测手段,一般只检验网络包外在 (起始地址、状态)属性是否异常,若异常,则过滤掉不与内网通信,因此对应用和用户是透明的。 -
但是这样的问题是,如果遇到伪装的危险数据包就没办法过滤,此时,就要依靠应用级防火墙 ,
层次高,效率低,因为应用级防火墙会将网络包拆开,具体检查里面的数据是否有问题,会消耗大量时间,造成效率低下,但是安全强度高。
入侵检测系统IDS
防火墙技术主要是分隔来自外网的威胁,却对来自内网的直接攻击无能为力此时就要用到入侵检测IDS技术 ,位于防火墙之后的第二道屏障,作为防火墙技
术的补充。
-
原理:
监控当前系统/用户行为,使用入侵检测分析引擎进行分析,这里包含一个知识库系统,囊括了历史行为、特定行为模式等操作,将当前行为和知识库进行匹配,就能检测出当前行为是否是入侵行为,如果是入侵,则记录证据并上报给系统和防火墙,交由它们处理。 -
不同于防火墙,
IDS入侵检测系统是一个监听设备,没有跨接在任何链路上无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。因此,IDS在交换式网络中的位置一般选择在:(1)
尽可能靠近攻击源(2)尽可能靠近受保护资源
入侵防御系统IPS
IDS和防火墙技术都是在入侵行为已经发生后所做的检测和分析,而IPS是能够提 前发现入侵行为,在其还没有进入安全网络之前就防御。
在安全网络之前的链路上挂载入侵防御系统IPS,可以实时检测入侵行为,并直接进行阻断,这是与IDS的区别,要注意。
杀毒软件
用于检测和解决计算机病毒,与防火墙和IDS要区分,计算机病毒要靠杀毒软件 防火墙是处理网络上的非法攻击。
蜜罐系统
伪造一个蜜罐网络引诱黑客攻击蜜罐网络被攻击不影响安全网络,并且可以借此了解黑客攻击的手段和原理,从而对安全系统进行升级和优化。
网络攻击和威胁
在网络与信息安全领域,网络攻击通常可以按照攻击者是否对通信过程或系统状态进行干预,分为**主动攻击(Active Attacks)和被动攻击(Passive Attacks)**两大类。以下是这两类攻击的详细总结:
一、被动攻击(Passive Attacks)
定义 :
攻击者在不干扰系统正常运行的前提下,秘密监听、监视或截获通信数据,以获取敏感信息。
特点:
- 难以被检测:因为不修改数据、不中断服务。
- 目标是信息窃取,而非破坏。
- 防御主要依靠加密等保密机制。
常见类型:
- 窃听(Eavesdropping / Sniffing)
- 攻击者监听网络流量(如使用Wireshark等工具),获取明文传输的用户名、密码、邮件内容等。
- 流量分析(Traffic Analysis)
- 即使数据已加密,攻击者仍可通过分析通信模式(如通信频率、数据量、源/目的地址)推断敏感信息(例如:某公司与律师频繁通信可能暗示法律纠纷)。
3.非法登录
- 通过密码破解、漏洞利用、会话劫持等手段,绕过认证机制,获得系统访问权。 撬锁或偷钥匙进入房间。目的是侵入系统内部。(有些资料归为主动攻击)
防御措施:
- 使用强加密(如TLS/SSL、IPsec)保护数据机密性。
- 采用匿名通信技术(如Tor)隐藏通信关系。
- 最小化不必要的网络通信。
二、主动攻击(Active Attacks)
定义 :
攻击者主动干预 通信过程或系统操作,试图篡改、伪造、中断或重放数据,以破坏完整性、可用性或真实性。
特点:
- 可被检测(如通过日志、异常行为监测)。
- 破坏性强,可能造成服务中断、数据篡改或身份冒充。
- 防御需结合认证、完整性校验、访问控制等多种机制。
常见类型:
- 伪装/假冒(Masquerade / Spoofing)
- 攻击者冒充合法用户或系统(如IP欺骗、ARP欺骗、DNS欺骗)。
- 篡改(Modification)
- 在传输过程中修改数据内容(如更改银行转账金额)。
- 旁路控制
- 利用系统设计缺陷或配置错误,绕过正常的安全控制路径,获取未授权的权限。 发现消防通道门没锁,从而进入禁区。目的是找到并利用安全体系的"后门"。
- 重放攻击(Replay Attack)
- 截获合法通信数据后,在稍后时间重新发送,以欺骗接收方(例如重复提交交易请求)。
- 拒绝服务攻击(Denial of Service, DoS / DDoS)
- 通过耗尽资源(带宽、CPU、连接数),使其无法为合法用户提供正常的服务。
防御措施:
- 使用数字签名和消息认证码(MAC)确保完整性与来源认证。
- 实施强身份认证(如多因素认证、证书)。
- 部署防火墙、入侵检测系统(IDS)、抗DDoS设备。
- 使用时间戳或序列号防止重放攻击。
对比总结表:
| 特征 | 被动攻击 | 主动攻击 |
|---|---|---|
| 是否改变数据 | 否 | 是 |
| 是否易被检测 | 难 | 较易 |
| 主要目标 | 信息窃取(机密性) | 破坏完整性、可用性、真实性 |
| 典型例子 | 窃听、流量分析 | 伪造、篡改、DoS、MitM、重放 |
| 主要防御手段 | 加密 | 认证、完整性校验、访问控制、监控 |
理解这两类攻击的区别,有助于设计更全面的安全策略:被动攻击靠加密防,主动攻击靠认证和监控防。
计算机病毒和木马
-
病毒 :编制或者在计算机程序中插入的
破坏计算机功能或者破坏数据,影响 计算机使用并且能够自我复制的一组计算机指令或者程序代码 -
木马 :是一种
后门程序,常被黑客用作控制远程计算机的工具,隐藏在被控制电脑上的一个小程序监控电脑一切操作并盗取信息。
-
代表性病毒实例
- 蠕虫病毒(感染EXE文件):熊猫烧香,罗密欧与朱丽叶,恶鹰,尼姆达,冲击
波,欢乐时光。 - 木马: QQ消息尾巴木马,特洛伊木马,x卧底
宏病毒(感染word、excel等文件中的宏变量):美丽沙,台湾1号 - CIH病毒:史上唯一破坏硬件的病毒。
- 红色代码:蠕虫病毒+木马。
- 蠕虫病毒(感染EXE文件):熊猫烧香,罗密欧与朱丽叶,恶鹰,尼姆达,冲击
网络安全协议
好的,网络安全协议 是保障网络通信安全、实现信息安全目标的具体技术规则和标准。它们是实现"防御"的具体工具,用来对抗前面提到的各种网络攻击。
简单来说:攻击是"矛",安全协议就是"盾"。
常见网络安全协议分层解析
网络协议是分层的,安全协议也嵌入在不同层次,提供不同范围的安全保护。
第1层:应用层安全协议
特点:为特定应用提供端到端的安全,保护应用数据本身。
-
HTTPS : = HTTP + SSL/TLS。用于保护Web浏览、API通信等,是应用最广的安全协议,防窃听、防篡改、认证网站身份。
-
S/MIME, PGP: 用于电子邮件加密和签名,保障邮件的机密性和完整性。
-
SSH: 主要用于安全远程登录(替代不安全的Telnet)和文件传输,提供强认证和加密的通信通道。(网络管理员通过命令行方式对路由器进行管理,要确保 ID,口令和会话话内存的保密性,应采取的访问方式是SSH)
-
SFTP/SCP: 基于SSH的安全文件传输协议。
-
SET协议 : 安全电子交易协议主要应用于B2C模式(
电子商务) 中保障支付信息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善,如SET 2.0将支持借记卡电子交易。 -
Kerberos协议 : 是一种网络身份认证协议,该协议的基础是基于信任第三方
它提供了在开放型网络中进行身份认证的方法,认证实体可以是用户也可以是
用户服务。这种认证不依赖宿主机的操作系统或计算机的IP地址,不需要保证网
络上所有计算机的物理安全性,并且假定数据包在传输中可被随机窃取和篡改。第三方认证服务的两种体制分别是Kerberos和PKI,Kerberos认证服务中保存数字证书的服务器叫KDC。
-
PGP协议 : 主要解决
电子邮件和文件存储的安全问题,使用RSA公证书进行身份认证,使用IDEA (128位密钥)加密,使用MD5进行数据完整性验证。发送方A有三个密钥:A的私钥、B的公钥、A生成的一次性对称密钥:接收方B有两个密钥:B的私钥、A的公钥。
第2层:传输层/网络层安全协议
特点:为上层应用提供透明的安全通道,保护整个TCP/UDP连接或IP数据包。
- SSL协议 :安全套接字协议,被设计为加强Web安全传输(HTTP/HTTPS/)的协议
安全性高,和HTTP结合之后,形成HTTPS安全协议,端口号为443. - TLS/SSL :
- TLS 是 SSL 的继任者,现在普遍使用TLS。
- 工作在传输层与应用层之间,可以为任何基于TCP的应用(HTTP, SMTP, FTP等)提供安全。
- 核心过程:握手(认证+密钥协商) -> 记录层(对称加密传输)。
- IPsec :
- 工作在网络层,保护整个IP数据包。
- 有两种模式:传输模式 (保护数据载荷)、隧道模式(保护整个IP包,常用于构建VPN)。
- 核心组件:AH (认证头,提供完整性和认证)、ESP(封装安全载荷,提供机密性、完整性和认证)。
- 主要用途是构建站点到站点的VPN或远程访问VPN。
三、核心协议深度解析:TLS/SSL 握手简化过程
以访问 https://www.example.com 为例:
- 客户端Hello: 客户端(浏览器)向服务器发送支持的TLS版本、加密套件列表等。
- 服务器Hello : 服务器选择双方都支持的版本和加密套件,并发送其数字证书(内含公钥)。
- 客户端验证: 客户端验证证书是否由可信CA签发、域名是否匹配、是否在有效期内。
- 密钥交换 : 客户端生成一个"预主密钥",用服务器的公钥加密后发送给服务器。
- 生成会话密钥 : 双方使用预主密钥,通过算法计算出相同的对称会话密钥。
- 安全通信开始 : 后续所有应用数据都使用这个高效的对称会话密钥进行加密传输。
关键点 : 结合了非对称加密 (用于安全地交换对称密钥和身份认证)和对称加密(用于高效加密实际传输的数据)。
四、如何选择安全协议?
| 场景 | 推荐协议 | 原因 |
|---|---|---|
| 网站访问、Web API | HTTPS (TLS) | 行业标准,浏览器原生支持,保护用户数据。 |
| 远程服务器管理 | SSH | 专为远程登录设计,安全可靠,功能强大。 |
| 企业总部与分支互联 | IPsec VPN | 在网络层建立隧道,能透明保护所有上层应用的流量。 |
| 个人远程访问公司内网 | SSL VPN (通常基于TLS) | 无需专用客户端(常用浏览器即可),配置灵活。 |
| 保护无线家庭网络 | WPA2/WPA3 | 路由器和设备标配,有效防止"蹭网"和窃听。 |
| 安全发送电子邮件 | S/MIME 或 PGP | 提供端到端的邮件加密和签名。 |
**