互联网结构:互联网安全
防火墙是负责监控所有传入和传出网络流量的网络安全应用程序或设备。防火墙可以是物理硬件或软件应用程序。在防火墙出现之前,存在 ACL(访问控制逻辑),它根据特定 IP 地址授予网络流量访问权限。为了改进对网络流量的控制,不仅仅是匹配 IP 地址,防火墙被开发出来。防火墙允许对数据包进行更细粒度的控制(包过滤),这不仅根据源和目标 IP 进行过滤,还根据协议、端口等进行过滤。
防火墙随着时间的推移而改进,用户能够控制网络流量。第二代防火墙能够确定数据包的连接状态,这使其更加高效,因为它能够跟踪穿过它的网络连接状态。因此,这些过滤决策不仅基于预定义的规则,而且基于状态表中的数据包历史记录。
第三代防火墙能够阻止任何特定内容,还能识别何时使用某些协议(HTTP、FTP)。应用层防火墙本质上是在代理服务器上运行的主机。
1. 基于主机的防火墙 - 它安装在每个节点中,作为应用程序或操作系统的一部分存在。
2. 基于网络的防火墙 - 它在网络级别运行,过滤整个网络上的所有传入和传出流量。
包过滤防火墙检查穿过防火墙的每个数据包,并根据您设置的一组规则测试该数据包。如果数据包通过测试,则允许其通过。如果数据包未通过测试,则将其拒绝。
包过滤器是最便宜的防火墙类型。因此,包过滤防火墙非常常见。但是,包过滤具有一些缺陷,熟练的黑客可以利用这些缺陷。因此,单独的包过滤不能构成完全有效的防火墙。
包过滤器通过检查每个传输控制协议/互联网协议 (TCP/IP) 数据包中包含的源和目标 IP 地址以及端口地址来工作。TCP/IP 端口是分配给特定服务的数字,有助于识别每个数据包的目标服务。例如,HTTP 协议的端口号为 80。因此,任何传入的目标为 HTTP 服务器的数据包都将指定端口 80 作为目标端口。[1]
防火墙代理服务器实际上将一个双方会话转变为一个四方会话,其中中间进程模拟两个实际主机。由于它们在应用层运行,代理服务器也被称为应用层防火墙。必须为防火墙支持的每种类型的互联网应用程序运行一个代理服务 - 用于电子邮件的简单邮件传输协议 (SMTP) 代理,用于 Web 服务的 HTTP 代理,等等。代理服务器几乎总是从内部网络到外部网络的单向安排。换句话说,如果内部用户想要访问互联网上的网站,构成该请求的数据包将通过 HTTP 服务器处理,然后再转发到网站。从网站返回的数据包依次通过 HTTP 服务器处理,然后再转发回内部用户主机。
由于防火墙代理服务器将应用程序的所有活动集中到单个服务器中,因此它们提供了执行各种有用功能的理想机会。在防火墙上直接运行应用程序提供了检查数据包的机会,而不仅仅是源/目标地址和端口号。这就是为什么几乎所有现代防火墙都包含某种形式的代理服务器体系结构的原因。例如,可以检查传入的目标为专门用于分发信息(例如 FTP 服务器)的服务器的数据包,以查看它们是否包含任何写入命令(例如 PUT 命令)。这样,代理服务器可以只允许包含读取命令的连接。
数据加密是将数据进行混淆的过程,使其难以理解和解混淆。加密后的(安全)数据称为密文,而未加密的数据称为明文。
对称加密也称为私钥加密,使用相同的密钥来加密和解密数据。因此,密钥必须与数据一起传输。这会导致明显的安全问题,因为如果数据被拦截,它可以很容易地被解密。
非对称加密也称为公钥加密,使用两个密钥(公钥和私钥)。公钥是公开的,以便想要向您发送数据的其他人可以使用它来加密数据。但是,公钥无法解密数据。因此,私钥用于解密数据。此密钥仅您知道,以确保尽可能的安全。
密钥交换是指将加密文本的密钥发送给接收方。最常见的类型是通过对称加密进行的密钥交换,密钥交换与加密数据的交换同时进行。
加密 用于使用加密算法和加密密钥将明文转换为密文,以隐藏敏感消息,使其无法被没有加密和解密密钥的人读取。私钥/公钥加密 是指双方都有一对密钥,一个私钥,一个公钥。公钥是公开的,任何人都可以自由使用,加密算法也是公开的,但私钥是保密的。
- 用 A 的公钥加密的消息只能用 A 的私钥解密。
- 用 A 的私钥加密的消息只能用 A 的公钥解密。
- 用 B 的公钥加密的消息只能用 B 的私钥解密。
- 用 B 的私钥加密的消息只能用 B 的公钥解密。
数字签名 是发送方向接收方证明消息确实来自发送方的一种方法。数字签名是通过以下过程获得的
| A 向 B 发送消息之前需要执行的过程 | 确保消息来自 A 的过程 |
|---|---|
| 对消息进行哈希运算以获得消息摘要。 | B 用 B 的私钥解密消息。 |
| 用 A 的私钥对消息摘要进行加密,这将成为签名。 | B 用 A 的公钥解密签名以获得原始消息摘要。 |
| 将签名附加到消息。 | 再次对解密后的消息进行哈希运算,生成消息摘要。 |
| 用 B 的公钥加密消息。 | 如果解密后的消息摘要与生成的摘要相同,则消息未被篡改。 |
| 将加密后的消息发送给 B。 |
数字证书 是一种证明发送方公钥真实性的方法。数字证书仅由证书颁发机构 (CA) 颁发。证书通过 CA 的私钥加密到消息中,只能用 CA 的公钥解密。
有很多需要注意的
病毒是一个小的计算机程序,它附加到另一个程序或文件,旨在对计算机造成损害。计算机在执行程序时执行的第一步是将自身复制到磁盘并隐藏起来。复制到磁盘后,病毒可以驻留在内存中,并重新配置系统,使其造成问题,例如显示不需要的消息、破坏或损坏文件,甚至擦除整个硬盘。病毒倾向于自我复制,并试图传播到其他计算机。防病毒程序用于检测和删除这些病毒。现在,网络浏览器内置了病毒扫描程序,用于扫描可下载的文件。
蠕虫是一种恶意程序,旨在自我复制,试图在计算机网络(如互联网)上传播。蠕虫与病毒之间最显著的区别在于,蠕虫本身就是一个完整的程序。蠕虫会干扰网络流量并损坏数据。
垃圾邮件是指大量发送无关的、不需要的邮件(愚蠢的、毫无意义的、恼人的邮件),这些邮件可以通过电子邮件、短信或即时消息发送。电子邮件垃圾邮件通常被认为是垃圾邮件,每天都会发送数百万封垃圾邮件。短信垃圾邮件也被公司用来宣传自己。垃圾邮件被认为是干扰性的,浪费了网络带宽。
网络钓鱼是指欺骗用户提供有关其自身的敏感信息的行为。这可能是通过使用网络钓鱼电子邮件甚至网络钓鱼网站来实现的,这些网站看起来像用户试图访问的网站,但实际上并非如此,它们的目的是从用户那里获取信息。网络钓鱼一词来源于钓鱼,只是不是捕鱼,而是捕获信息。
网络劫持是一种将流量从一个网站重定向到另一个网站的技术,网络钓鱼和网络劫持通常一起使用。网络劫持是指将用户重定向到不同位置,以便网络钓鱼技术可以模仿并捕获有关用户的信息。
身份验证、授权、审计。
验证计算机系统用户的身份。身份验证的形式包括密码、生物识别数据、安全令牌和数字签名。
指定网络上不同用户对资源的访问权限。
记录用户在网络上的活动日志。