网络安全技术(二)
(1)加密算法与解密算法
1基本流程
A发送消息“Passwordiswelcome”这样的报文给B,但不希望有第三个人知道这个报文的内容,因此他使用一定
的加密算法,将该报文转换为别人无法识别的密文,这个密文即使在传输的过程中被截获,一般人也无法解密。当B
收到该密文后,使用共同协商的解密算法与密钥,则将该密文转化为原来的报文内容。
加密与解密的流程示意图:
2密钥
加密与解密的操作过程都是在一组密钥的控下进行的,这个密钥可以作为加密算法中可变参数,它的改变可以改
变明文与密文之间的数学函数关系。
加密的基本思想即是将明文转变为密文,而解密则是将密文转变为明文,这样保证了信息传输的保密性。密钥是
加重密算法中的可变参数,密钥的位数长度决定了加密算法的安全性。传统的密码体制包括对称密码体制和非对称密
码体制。
(2)对称密码体制
对称密钥技术即是指加密技术的加密密钥与解密密钥是相同的,或者是有些不同,但同其中一个可以很容易地推
导出另一个。
对称加密算法中N个用户之间进行加密通信时,则需要N(N-1)个密钥。
DES算法是一种迭代的分组密码,它的输入与输出都是64,包括一个56位的密钥和附加的8位奇偶校验位。目前比DES算法更安全的对称算法有:IDEA,RC2,RC4与Skipjack等。
对称密钥技术:
(3)非对称密码体制
加密和解密使用不同的密钥,加密密钥为公钥是可以公开的,而解密密钥为私钥是保密的。不可能从任何一个密
钥推导出另一个密钥。因此,非对称密钥技术也被称为公钥加密加技术。
非对称加密技术中N个用户之间进行通信加密,仅需要n对密钥就可以了。常用的加密算法有RSA算法,DSA算
法,PKCS算法与PGP算法。
其中最常见的技术即为RSA算法,它的理论基础是数论中大素数分解,它的保密性随着密钥的长度的增加而增
强。但是,现在使用这种算法来加密大量的数据,其实现的速度太慢了,因此该算法现在广泛应用于密钥的分发。
非对称密钥技术:
五,防病毒技术
(1)计算机病毒
计算机病毒是指计算机程序中的一段可执行程序代理,它可以破坏计算机的功能甚至破坏数据从而影响计算机的
能力。计算机病毒通过对其他程序的修改,可以感染这些程序,使其成为病毒程序的复制,使之很快蔓延开来,很难
根除。
(2)计算机病毒的特征
1非授权可执行性
2隐蔽性
3传染性
4潜伏性
5破坏性
6可触发性
(3)计算机病毒分类
1按破坏性分类
2按传染方式分类
3按连接方式分类
(4)网络病毒
网络病毒的特征:
1传播方式多样,传播速度快
2影响面广
3破坏性强
4难以控制
5病毒变种多样
6病毒智能化、隐蔽化
7出现混合病毒
(5)恶意代码
1蠕虫
蠕虫是一个自我包含的程序,它能够传播自身的功能或拷贝自身的片段到其他计算机系统(通常是通过网络连
接)。蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等。与普通病毒相
比,而蠕虫不使用驻留文件即可在系统之间进行自我复制,它的传染目标是互联网内的所有计算机。
2木马
“木马”通常寄生在用户计算机系统中,盗用用户信息,并通过网络发送给黑客。与病毒不同之处在于没有自我复
制功能。“木马”程序是目前比较流行的病毒文件,但是它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将
自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文
件,甚至远程操控被种者的电脑。
传播途径:电子邮件,软件下载,会话软件。
六,防病毒软件安装与配置
(1)网络版防病毒系统结构
1系统中心
系统中心实时记录计算机的病毒监控、检测和清除的信息,实现对整个防护系统的自动控制。
2服务器端
服务器端为网络服务器操作系统应用而设计。
3客户端
客户端对当前工作站上病毒监控、检测和清除,并在需要时向系统中心发送病毒监测报告。
4管理控制台
管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。
管理控制台既可以安装到服务器上也可以安装在客户机上,视网络管理员需要,可以自由安装。
(2)网络版防病毒系统安装
对于大多数的网络版的防病毒系统,服务端和客户端通常可以采用本地安装,远程安装,Web安装,脚本安装等
方式进行安装。
控制台的安装通常有两种方式:通过光盘安装控制台,远程安装控制台。系统管理员可以将管理控制台远程安装
到其他计算机上。
(3)网络版防病毒系统的主要参数配置
1系统升级
从网站升级,上上级中心升级,从网站上下载手动数据包。
2扫面设置
3黑白名单设置
4端口设置
为了使网络版防病毒软件的通信数据能顺利的通过防火墙,通常系统都会提供用于数据通信端口设置的界面。(非
固定端口)
七,防火墙技术
(1)防火墙的主要功能
1所有的从外部到内部的通信都必须经过它。
2只有有内部访问策略授权的通信才能被允许通过。
3系统本身具有很强的高可靠性,具有防攻击能力,保证自身的安全性。
(2)防火墙的分类
防火墙在网络之间通过执行控制策略来保护网络系统,防火墙包括硬件和软件两部分。防火墙根据其实现技术可
以分为:包过滤路由器,应用网关,应用代理和状态监测4类。
1包过滤路由器
实现包过滤的关键是制定包过滤规则。包过滤路由器分析所接收的包,按照每一条规则加以判断。包过滤规则一
般基于部分或全部的包头内容。例如,源,目的IP地址;协议类型;IP选项内容;源目端口号;TCK ACK标识。
包过滤路由器的工作原理示意图:
2应用级网关
可以实现在应用层上对用户身份认证和访问操作分类检查和过滤。只要能够确定应用程序访问控制规则,就可以
采用双宿主主机作为应用级网关,在应用层过滤进出内部网络热定服务的用户请求与响应。
应用网关的工作原理示意图:
3应用代理
应用代理完全接管了用户和服务器的访问,隔离了用户主机与被访问服务器之间的数据包的交换通道。
应用代理的工作原理示意图:
4状态检测
状态检测能通过状态检测技术,动态地维护各个连接的协议状态。状态检测检测防火墙保留状态连接表,并将进
出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态检测对每一个包的检查不仅根据规则表,更
考虑了数据包是否符合会话所处的状态,因此提供了完成的对传输层的控制能力。
对返回受保护网络的数据包进行判断,只有那些响应来自受保护网络的请求的数据包才被放行。对于UP或
者RPC等无连接的协议,检测模块可创建虚会话用来进行跟踪。
(3)防火墙的系统结构
1包过滤型结构
包过滤型结构是通过专用的包过滤路由器或是安装了包过滤功能的普通路器来实现的。包过滤型结构对进出内部
网络的所有信息进行分析,按照一定的安全策略对这些信息进行分析与限制。
包过滤路由器的数据包转发过程示意图:
2双宿网关结构
双宿网关结构即是一台装有两块网卡的主机作为防火墙,将外部网络与通部网络实现物理上的隔开。应用级网管
暴露了整个外部网络,人们将处于防火墙的关键部位,运行应用级网管软件的计算机系统成为堡垒主机。
连接了两个网络的多宿主机称为双宿主机。多宿主机是具有多个网络接口卡的主机,每个接口都可以和一个网
络连接,因为它能在不同的网络之间进行数据交换换,因此也称为网关。双宿网关结构即是一台装有两块网卡的主机
作为防火墙,将外部网络与同部网络实现物理上的隔开。
双宿网关结构示意图;
3屏蔽主机结构
屏蔽主机结构将所有的外部主机强制与一个堡垒主机相连,从而不允许它们直接与内部网络的主机相连,因此屏
撇主机结构是由包过滤路由器和堡垒主机组成的。
4屏蔽子网结构
屏蔽子网结构使用了两个屏蔽路由器和两个堡垒主机。在该系统中,从外部包过滤路由器开始的部分是由网络系
统所属的单位组建的。属于内部网络,也称为“DMZ网络”。外部包过滤路由器与外部堡垒主机构成了防火墙的过滤
子网;内部包过滤路由器和内部堡垒主机则用于内部网络进行进一步的保护。
屏蔽子网结构示意图:
