9.2 網路安全構成要素

9.2.1 防火牆

       組織機構（域）內部的網路與網際網路相連時，為了避免域內受到非法訪問的威脅，往往會設定防火牆（使用NAT(NAPT)的情況下，由於限定了可以從外部訪問的地址，因此也能起到防火牆的作用）。

    防火牆的基本設計思路：“暴露給危險的主機和路由器的個數要有限”。

9.2.2 IDS（入侵檢測系統）

IDS “Intrusion Detection Systems”
       資料包符合安全策略，防火牆才會讓其通過。即只要與策略相符，就無法判斷當前訪問是否為非法訪問，所以全部允許通過。

       IDS正是檢查這種已經入侵內部網路進行非法訪問的情況，並及時通知給網路管理員的系統。

        IDS有定期採集日誌、長期監控、通知異常等功能。它可以監控網路上流動的所有資料包。

DMZ定義
在連線網際網路的網路中，可以設定一個伺服器並在這臺伺服器上建立一個允許從網際網路直接進行通訊的專用子網。這種將外網與內網隔開的專用子網叫做DMZ（DeMilitarized Zone，非軍事化區）
在DMZ中設定的這個伺服器對外公開，從而可以排除外部過來的非法訪問。萬一這臺對外公開的伺服器遇到侵襲，也不會波及內部網路。
作為DMZ的主機必須充分實施安全策略才能得以應付外來入侵

9.2.3 反病毒/個人防火牆

9.3 加密技術基礎

       加密技術分佈於OSI參考模型的各個階層一樣，相互協同保證通訊。

9.3.1 對稱密碼體制與公鑰密碼體制

       加密是指利用某個值（祕鑰）對明文資料通過一定的演算法變換成加密（密文）資料的過程。它的逆反過程叫做解密。

       加密和解密使用相同金鑰叫做對稱加密方式。如果在加密和解密過程中分別使用不同的金鑰（公鑰和私鑰）則叫做公鑰加密方式。

       對稱加密方式，最大挑戰是如何傳遞安全的金鑰。而公鑰加密方式中，僅有一方的金鑰是無法完成解密，還必須嚴格管理私鑰。在對較長訊息進行加密時往往採用兩者結合的方式。

       對稱加密方式包括AES，DES等。而公鑰加密方法中包括RSA、DH等。

9.4 安全協議

9.4.1 IPsec與VPN

       以前，為防止資訊洩露，機密資料一般使用私有網路（Private Network），而不是公共網路（Public Network）。然而，專線造價太高。

       為此，人們想出了在網際網路上構造一個虛擬的私有網路。即VPN（Virtial Private Network，虛擬專用網）。網際網路中採用加密和認證技術可以達“即使讀取到資料也無法讀懂”、“檢查是否被篡改”功效。

       網際網路上的VPN：

       在構建VPN時，最常被使用的是IPsec。它是指在IP首部後面追加“封裝安全有效載荷”和“認證首部”，從而堆此後資料進行加密，不被盜取者輕易解讀。

       在發包時候附加上述兩個首部，可以在收包時根據首部對資料進行解密，恢復成原始資料。

       基於這些功能，VPN的使用者就可以不必設防地使用一個安全的網路環境。

通過IPsec加密IP包：

9.4.2 TLS/SSL與HTTPS

       Web中可以通過TLS/SSL（Transport Layer Security/Secure Sockets Layer）對HTTP通訊進行加密。使用TLS/SSL的HTTP通訊叫做HTTPS通訊。HTTPS中採用對稱加密方式。而在傳送其公共金鑰時採用的是公鑰加密方式。

       確認公鑰是否正確主要使用CA簽發的證書，而主要的認證中心資訊已經嵌入到瀏覽器的出廠設定中。如果Web瀏覽器中尚未加入某個CA，那麼會在也頁面上提示一個警告資訊。此時判斷CA合法與否就要由使用者自己決定了。

       HTTP+加密+認證+完整性保護=HTTPS

HTTPS是身披SSL外殼的HTTP

       HTTPS並非是應用層的一種新協議。只是HTTP通訊介面部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)協議代替而已。

       通常，HTTP直接和TCP通訊。當使用SSL時，則演變成先和SSL通訊，再由SSL和TCP通訊。

《圖解TCP/IP：第5版》下載地址：
http://download.csdn.net/download/xunzaosiyecao/10245906

個人微信公眾號：

作者：jiankunking 出處：http://blog.csdn.net/jiankunking