TCP-IP-part13-网络安全

前言

TCP/IP相关内容第十三部分,包含:

  • 网络安全构成
  • 加密技术
  • 安全协议

一、网络安全构成

防火墙是局域网的“大门”,只要数据包符合安全策略,还是能够通过防火墙。此时需要IDS。IDS是对局域网络上流动的所有数据包的监控,能够检测出非法入侵。而杀毒软件是对到达主机后的包进行监控和处理。

防火墙

包过滤防火墙,只有发向内部特定IP的主机,及服务端特定的端口号(如25、80)发来的数据包才能通过防火墙。除了一些特定主机,内部客户端不允许被动由外部主机发起TCP连接(SYN=1,ACK=0的包全部废弃),只能主动向外部申请建立连接。内部的服务器不得不被动连接才能提供服务,且只能用固定的端口号。

二、加密技术

加密和解密是利用某个值(秘钥)对明文进行变换和还原的过程。加密和解密用相同的秘钥叫做对称加密。用不同的秘钥(公钥、私钥)叫做公钥加密

对称加密只有一个秘钥,需要把秘钥发给对方才能解密。发送秘钥的过程并不安全。

而公钥加密有两个秘钥,一个用来加密(可以散布到网络中),一个用来解密(自己保存好,不可外露)。大家拿到公钥之后就可以加密并只有我能解密。

三、安全协议

IPSEC和VPN

网络层的加密,对TCP首部及数据使用加密算法。构建一个虚拟专用网VPN构造一个虚拟通信线路,使得即使读取到数据也无法读懂,保证安全性。采用IPsec技术做到这一点。在IP首部后面追加一些数据进行加密,不能轻易解读。

TLS/SSL与HTTPS

通过TLS/SSL对HTTP通信加密,也叫HTTPS通信。应用层数据的加密,对web数据,HTTP指令及响应码使用加密算法。HTTPS采用对称加密,发送其秘钥采用的则是公钥加密。

过程:客户端向服务器发送HTTPS请求,通知可支持的加密算法。服务器发送公钥和电子证书。客户端确认电子证书(浏览器可以判断是否为正确的服务器),生成对称加密方式的秘钥,并用发来的公钥进行加密后发送。服务器收到后用私钥解密得到对称加密的秘钥,之后就可以进行加密通信了。

您的支持是我创造源源不断地动力