计算机网络笔记-韩立刚-第七章-网络安全

134.网络安全介绍

计算机安全包含哪些安全？

• 数据安全
• 应用程序安全
• 操作系统安全

135.网络安全的四种威胁

计算机网络上的通信面临以下的四种威胁:
(1)截获——从网络上窃听他人的通信内容。
(2)中断——有意中断他人在网络上的通信。
(3)篡改――故意篡改网络上传送的报文。
(4)伪造――伪造信息在网络上传送。
截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动
攻击。

实验

136.篡改和伪造攻击

篡改

篡改了域名解析的结果

中断

DoS（Denial of Service，拒绝服务）攻击
DDos（分布式Dos）攻击，没有很好的防范手段

137.病毒和木马

恶意程序

病毒（Virus）和蠕虫（Worm）都是计算机安全领域中常见的恶意软件，它们的目标是感染计算机系统并对其造成破坏。

病毒是一种恶意软件，它需要依附于其他可执行文件或文档，以便在被执行或打开时激活。一旦激活，病毒会开始复制自身，并尝试感染其他文件或系统。病毒可以在计算机系统内部传播，通过共享文件、电子邮件附件、可移动存储设备等方式传播。一些病毒还会执行破坏性操作，如删除文件、损坏数据或破坏系统功能。

蠕虫是一种独立的恶意软件，与病毒不同，它不需要依附于其他文件或程序。蠕虫可以自我复制并自行传播到其他计算机和网络，利用网络漏洞或弱点进行传播。一旦蠕虫感染了一个计算机，它会尝试扫描和感染与之相连的其他计算机，形成一个传播链。蠕虫通常会消耗计算机和网络资源，导致网络拥塞、系统崩溃或服务不可用。

主要区别：

传播方式：病毒需要依附于其他文件或程序进行传播，而蠕虫是独立的程序，可以自行传播。

侵入性：病毒需要用户主动执行或打开感染文件，而蠕虫可以通过网络自动传播，无需用户干预。

传播范围：由于病毒依赖于感染文件的传播，它的传播范围通常受限于感染文件的传递路径。蠕虫可以在网络中自动传播，因此其传播范围更广。

目标：病毒的主要目标是感染文件和系统，而蠕虫旨在感染网络和计算机系统，并利用其进行传播和破坏。

138. 对称加密

加密秘钥和解密密钥是同一个密钥

优点 效率高

缺点

密钥不适合在网上传

维护麻烦

DES（data encryption standard）

由IBM研发
1977年被美国定为联邦信息标准
ISO组织将DES定为了数据加密标准

139.非对称加密

非对称加密
加密秘钥和解密密钥是不同的，成对解密

两种用法

公钥加密私钥解密

私钥加密公钥解密

缺点 效率低

非对称加密细节

提高效率的改进方法

• 使用对称加密加密文件
• 使用非对称加密加密对称加密的密钥，并传送

非对称加密应用于数字签名

• 防止抵赖
• 文件被更改后签名就失效了
  

步骤

• 对文件使用单向散列函数生成128位的摘要（指纹）
• 对摘要使用A的私钥进行加密得到A的数字签名
• 将文件、A的签名以及A的公钥发送给B
• B使用单向散列函数生成文件的摘要，并使用A的公钥解密A的签名得到文件摘要
• 对比两份摘要，以确定文件是否被更改了

140.证书颁发机构CA（Certification Authority）

拿到公钥先确认是否为CA颁发

证书颁发机构作用

• 为企业和用户颁发数字证书确认这些企业和个人的身份
• 发布证书吊销列表
• 企业和个人信任证书颁发机构

141-142. 安装CA，发送签名和加密邮件

143.安全套接字SSL（Security Socket Layer）

HTTP+SSL = HTTPS

加密的SSL会话：同时利用公钥和私钥的加密通信方案

1. web向客户端（IE浏览器）发送公钥
2. 客户端产生对称加密的密钥对，并使用公钥对其进行加密
3. 客户端向wob服务器发送加密后的密钥对，web服务器得到该密钥对
4. 后续通信中，双方使用对称加密的密钥对信息进行加密

各个协议使用SSL时的端口

• IMAPS tcp-993
• PoP3S tcp-995
• SMTPS tcp-465

SSL服务器鉴别

web要向客户端初始证书，以证明自己不是伪造的

SSL客户端鉴别

web可以只允许有证书的客户端访问本网站

144.配置网站使用SSL通信

145.网络层安全IPSec

SSL需要配置证书

属于应用层加密

网络层加密

鉴别首部AH（签名）

IP首部内协议号会变

封装安全有效载荷ESP（签名 + 加密）

IP首部内协议号会变

146-147.IPSec实验

147.数据链路层安全

网络层的IPSec实现的是点到点的安全

加密解密是在链路上的设备实现的

数据链路层安全：PPP协议身份验证

数据链路层安全：ADSL拨号

防火墙

网络层防火墙

基于数据包 源地址 目标地址 协议和端口 控制流量

应用层防火墙

三向外围网
背靠防火墙
单一网卡
边缘防火墙




只允许经过有防火墙的路由器访问网络