【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙

Web安全威胁

2.1 Web安全威胁

  • 1、Web安全威胁

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第1张图片
【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第2张图片

  • 2、基于应用层实现Web安全

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第3张图片

  • 3、基于传输层实现Web安全

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第4张图片

  • 4、基于网络层实现Web安全
    在这里插入图片描述

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第5张图片

2.2 安全套接字层(SSL)

  • 可以分别通过应用层,传输层,网络层解决Web安全问题
  • SSL就是传输层与应用层之间的安全套接字层
  • 1、SSL:Secure Sockets Layer

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第6张图片

  • 2、SSL和TCP/IP

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第7张图片

  • 3、可以像PGP那样实现某些安全功能

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第8张图片

  • PGP不适用于字节流和交互数据;
  • SSL需要一组密钥用于整个连接;

2.2.1 简化的SSL

  • 1、简化的(Toy)SSL:一个简单的安全信道
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第9张图片

  • 2、简化的SSL:一个简单的握手过程

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第10张图片

  • 3、简化的的SSL:密钥派生

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第11张图片

  • 4、简化的SSL:数据记录
  • MAC报文完整性检验

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第12张图片

  • 5、简化的SSL:序列号

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第13张图片

  • 6、简化的SSL:控制信息

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第14张图片

  • 7、简化的SSL:总结

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第15张图片

2.2.2 SSL协议栈

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第16张图片

  • 1、SSL密码组(cipher suite)

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第17张图片

  • 2、SSL更改密码规格协议

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第18张图片

  • 3、SSL警告协议

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第19张图片

  • 4、SSL握手协议

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第20张图片

  • 5、SSL记录协议

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第21张图片

2.2.3 SSL握手过程

  • 握手协议与记录协议
  • 1、SSL握手过程

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第22张图片
【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第23张图片
【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第24张图片

  • 2、SSL握手协议
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第25张图片

  • 3、SSL握手协议工作过程

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第26张图片

2.2.4 SSL记录协议

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第27张图片
【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第28张图片

  • 1、SSL记录格式
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第29张图片

  • 2、实际的SSL连接

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第30张图片

  • SSL在TCP协议之上,在SSL握手之前,TCP已经完成三次握手;
  • SSL安全断连之后才是TCP断开连接;
  • 3、密钥派生
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第31张图片
  • 这个过程对于客户端和服务端都是统一的,因此产生的密钥均相同;

2.3 虚拟专用网(VPN)

  • 1、专用网(PN)

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第32张图片

  • 2、虚拟专用网(VPN)

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第33张图片

  • 3、典型VPN应用

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第34张图片

  • 建立逻辑上的安全通道,不独占网络资源;
  • 4、VPN的功能

在这里插入图片描述

  • 5、VPN关键技术
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第35张图片

  • 6、隧道技术

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第36张图片

  • 7、隧道协议

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第37张图片

  • 8、典型VPN实现技术
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第38张图片

2.4 IP安全(IPsec)

  • 网络层

2.4.1 IPsec体系结构

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第39张图片

  • 1、IPsec服务
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第40张图片

  • 2、IPsec的传输(transport)模式

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第41张图片

  • 3、IPsec的隧道(tunneling)模式

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第42张图片

  • 4、两个IPsec协议

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第43张图片

  • 5、IPsec模式与协议的4中

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第44张图片

2.4.2 安全关联(SA)

  • 1、安全SA

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第45张图片

  • 双向的IPsec通信需要两个SA;
  • IPsec看做网络层的逻辑安全连接;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第46张图片

  • 2、SA举例

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第47张图片

  • 3、安全关联数库(SAD)

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第48张图片

  • 4、安全策略数据库(SPD)
  • 不是所有数据报都需要经过SA,SPD就记录这个信息;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第49张图片

2.4.3 IPsec协议(AH,ESP)

  • 1、IPsec数据报

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第50张图片

  • 对整个IP头、AH头、原IP数据报载荷进行认证,不包括IP头中的可变字段;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第51张图片

  • 隧道模式要构造新的IP头;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第52张图片

  • ESP要提供机密性,因此有加密;分组密钥因此有填充;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第53张图片

  • 隧道模式的ESP应用最广泛;最重要;
  • 2、IPsec的传输模式

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第54张图片

  • 3、IPsec的隧道模式

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第55张图片

2.4.4 数据报处理过程

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第56张图片

  • 隧道ESP;
  • 总部网络中一台主机向分支结构发送IP数据报;R1路由器;
  • 1、R1:将原IP数据报转换为IPsec数据报
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第57张图片

  • 2、R2:解封IPsec数据报

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第58张图片

  • 3、在enchilada内部

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第59张图片

  • 4、IPsec序列号

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第60张图片

  • IPsec建立连接中需要确定加密算法和加密密钥;

2.4.5 SA的建立和密钥管理

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第61张图片

  • 1、INternet密钥交换(IKE)

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第62张图片

  • 2、Internet密钥交换(IKE)
    在这里插入图片描述

  • 3、IKE和IPsec

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第63张图片

  • 4、IKE:PSK与PKI
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第64张图片
  • 5、IKE的阶段
    【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第65张图片
  • 第一阶段使用公钥建立安全连接(效率低),在基础上就可以安全的进行IPsec SA效率高(不必再使用公钥);
  • 6、IPsec总结
  • 网络层通讯实体建立安全连接;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第66张图片

2.5 无线局域网的安全

  • 信息报文在无线局域网内传播,更加容易被嗅探;
  • 1、WEP的设计目标

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第67张图片

  • 分组之间没有关联;可以单独加密;
  • 2、回顾:对称流密码

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第68张图片

  • 3、流密码与分组独立性

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第69张图片

  • 4、WEP加密

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第70张图片
【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第71张图片

  • 5、WEP解密概述

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第72张图片

  • Web流密码报文数据这里的完整性认证会差很多比之前的MAC;
  • 6、利用一次性随机数进行断点认证

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第73张图片

  • 7、WEP的身份认证
  • 使用之前已经确认的共享密钥;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第74张图片

  • WEP的安全性较差;
  • 8、破解802.11 WEP加密

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第75张图片

  • 9、802.11 i:改进的安全

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第76张图片

  • 10、802.11i:运行的4个阶段

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第77张图片

  • 11、EAP:扩展认证协议

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第78张图片

  • 两段完全不同的链路,左侧为无线802.11,右侧是UDP/IP;

2.6 防火墙

  • 软件/硬件/软硬件结合;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第79张图片

  • 1、防护墙的作用

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第80张图片

  • 2、无状态分组过滤

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第81张图片

  • 无状态分组过滤:举例

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第82张图片
【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第83张图片

  • 访问控制列表
  • 通过路由器的访问控制列表实现防火墙功能;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第84张图片

  • 3、有状态分组过滤
  • 之前基于静态信息,笨拙

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第85张图片

  • 也通过ACL实现,不同的是增加了一列check connection;同时检测当前连接状态;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第86张图片

  • 4、应用网关
  • 可以基于应用层信息/用户信息来决定是否放行;

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第87张图片

  • 5、防火墙、应用网关的局限性

【计算机网络-哈工大】---学习笔记(下)---(二)Web安全威胁、SSL\IPsec、虚拟专用网、防火墙_第88张图片

你可能感兴趣的:(计算机网络,ssl,学习,web安全)