9.2 网络安全构成要素

9.2.1 防火墙

       组织机构（域）内部的网络与互联网相连时，为了避免域内受到非法访问的威胁，往往会设置防火墙（使用NAT(NAPT)的情况下，由于限定了可以从外部访问的地址，因此也能起到防火墙的作用）。

    防火墙的基本设计思路：“暴露给危险的主机和路由器的个数要有限”。

9.2.2 IDS（入侵检测系统）

IDS “Intrusion Detection Systems”
       数据包符合安全策略，防火墙才会让其通过。即只要与策略相符，就无法判断当前访问是否为非法访问，所以全部允许通过。

       IDS正是检查这种已经入侵内部网络进行非法访问的情况，并及时通知给网络管理员的系统。

        IDS有定期采集日志、长期监控、通知异常等功能。它可以监控网络上流动的所有数据包。

DMZ定义
在连接互联网的网络中，可以设置一个服务器并在这台服务器上建立一个允许从互联网直接进行通信的专用子网。这种将外网与内网隔开的专用子网叫做DMZ（DeMilitarized Zone，非军事化区）
在DMZ中设置的这个服务器对外公开，从而可以排除外部过来的非法访问。万一这台对外公开的服务器遇到侵袭，也不会波及内部网络。
作为DMZ的主机必须充分实施安全策略才能得以应付外来入侵

9.2.3 反病毒/个人防火墙

9.3 加密技术基础

       加密技术分布于OSI参考模型的各个阶层一样，相互协同保证通信。

9.3.1 对称密码体制与公钥密码体制

       加密是指利用某个值（秘钥）对明文数据通过一定的算法变换成加密（密文）数据的过程。它的逆反过程叫做解密。

       加密和解密使用相同密钥叫做对称加密方式。如果在加密和解密过程中分别使用不同的密钥（公钥和私钥）则叫做公钥加密方式。

       对称加密方式，最大挑战是如何传递安全的密钥。而公钥加密方式中，仅有一方的密钥是无法完成解密，还必须严格管理私钥。在对较长消息进行加密时往往采用两者结合的方式。

       对称加密方式包括AES，DES等。而公钥加密方法中包括RSA、DH等。

9.4 安全协议

9.4.1 IPsec与VPN

       以前，为防止信息泄露，机密数据一般使用私有网络（Private Network），而不是公共网络（Public Network）。然而，专线造价太高。

       为此，人们想出了在互联网上构造一个虚拟的私有网络。即VPN（Virtial Private Network，虚拟专用网）。互联网中采用加密和认证技术可以达“即使读取到数据也无法读懂”、“检查是否被篡改”功效。

       互联网上的VPN：

       在构建VPN时，最常被使用的是IPsec。它是指在IP首部后面追加“封装安全有效载荷”和“认证首部”，从而堆此后数据进行加密，不被盗取者轻易解读。

       在发包时候附加上述两个首部，可以在收包时根据首部对数据进行解密，恢复成原始数据。

       基于这些功能，VPN的使用者就可以不必设防地使用一个安全的网络环境。

通过IPsec加密IP包：

9.4.2 TLS/SSL与HTTPS

       Web中可以通过TLS/SSL（Transport Layer Security/Secure Sockets Layer）对HTTP通信进行加密。使用TLS/SSL的HTTP通信叫做HTTPS通信。HTTPS中采用对称加密方式。而在发送其公共密钥时采用的是公钥加密方式。

       确认公钥是否正确主要使用CA签发的证书，而主要的认证中心信息已经嵌入到浏览器的出厂设置中。如果Web浏览器中尚未加入某个CA，那么会在也页面上提示一个警告信息。此时判断CA合法与否就要由用户自己决定了。

       HTTP+加密+认证+完整性保护=HTTPS

HTTPS是身披SSL外壳的HTTP

       HTTPS并非是应用层的一种新协议。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。

       通常，HTTP直接和TCP通信。当使用SSL时，则演变成先和SSL通信，再由SSL和TCP通信。

《图解TCP/IP：第5版》下载地址：
http://download.csdn.net/download/xunzaosiyecao/10245906

个人微信公众号：

作者：jiankunking 出处：http://blog.csdn.net/jiankunking