网络工程师学习笔记——网络安全

香樟梧桐的第103篇文章

网络安全是考试和学习的重点

安全设计原则和审计

1.网络安全设计原则是安全的基础

a.充分/全面/完整 安全漏洞/安全威胁 分析/评估/检测 前提条件

b.强调 安全防护/检测/应急恢复 保障网络信息中心服务 减少损失

c.木桶原则 均衡/全面 系统安全取决于最薄弱的安全性

d.良好的等级划分是实现网络安全的保障

e.不影响系统正常运行 合法用户的操作活动

f.安全和保密系统 与 网络设计结合 性能/价格 平衡

g.易操作性 动态发展 技术/管理结合

2.网络安全体系设计

a.物理安全 线路安全 设备安全 机房安全

b.操作系统 操作系统自身安全 系统安全配置 防范病毒木马 数据容灾

c.网络层安全 路由安全 访问控制 身份认证

d.应用安全 软件和数据安全

e.管理安全 安全管理制度 人员管理

3.安全审计

安全审计 是专业人员 根据法律法规 委托人 管理当局

对有关活动 行为 进行系统 独立 检查做出评价

a.控制目标 根据情况 实际 安全控制要求

b.安全漏洞 最薄弱的环节 干扰/破坏结点

c.控制措施 根据目标制定的安全控制技术 规范

d.控制测试 措施与标准核对 措施是否存在 执行 有效 评价企业依赖程度

d.信息安全的五要素

a.机密性保证授权访问 没有被泄漏

b.完整性不被非法修改 可以识别篡改 原规定执行不被非法操作

c.可用性授权者可用 可以拒绝

以上三点是信息安全三要素

d.可控性数据流向和行为

e.可审查log 有根据

f.可鉴别身份鉴别

g.不可抵赖发送和接收 无法对数据传输的事实抵赖

系统可靠性

特定时间 环境 持续完成功能的能力

1.系统可靠性概念

a.平均无故障时间Mean Time To Failure

b.平均修复时间Mean Time To Repair

c.平均失效间隔Mean Time Between Failure

d.失效率

2.系统可靠性的计算

a.串联系统

R2

2.并联系统

1-（1-R）2

c.模冗余系统

网络安全威胁

1.安全攻击类型

获取资源和权限 安全/可用

1.主动攻击修改数据 创造伪数据 破环

2.被动攻击只窥探 不影响网络/服务器的正常工作

1.中断 可用性

2.窃取 机密性

3.篡改 完整性

4.伪造 真实性

网络攻击不限于以上分类

2.种类介绍

a.定义

病毒：附着程序 自我繁殖（感染破坏） 破坏能力

蠕虫：借助程序自行传播

木马：漏洞 窃取 伪装善意/无害

拒绝服务：大量正常流量TCP SYN Flooding 半连接tcp

分布式拒绝服务：DDOS 数据过滤 身份验证 流量检测

垃圾邮件：日常见识过

2.命名规则

3.ART Advanced Persistent Threat

先进的攻击手段 社会工程学 长期持续网络渗透

攻击前准备 攻击阶段 持续攻击

情报收集 防线突破 通道建立 横向渗透 信息收集外传

4.暗网

a.表层网络 可以找到和访问4%-20%

b.深网 不同使用普通方法访问到（超链接） 比表网的打几个数量级

技术原因：使人找不到

管理者不愿意被发现（VPN也是）

5.僵尸网络

bot程序 一对多控制（肉鸡）

6.网络钓鱼

欺骗信息 骗去账户密码（社会工程）

7.网络欺骗

ARP欺骗 DNS欺骗IP欺骗

8.网站安全威胁

a.SQL注入 利用数据的漏洞 获取信息

安全API 认证 避免特殊字符

2.跨站攻击

网页上植入恶意代码

c.旁注攻击

侧面攻击（统一服务器两个web http1.1 虚拟web）

d.失效认证和会话管理

密码和身份验证系统管理

a.对cookies加密（cookies是什么？）

b.账户登陆策略 禁用 锁定 时限

c.区分公共区域和受限区域

d.密码和会话的管理 强密码

i.社会工程

利用人性的弱点 非计算机手段（获取账户口令，电影里常有，给完密码就被干掉了）

加密算法和信息摘要

1.对称加密算法

（我对原书说的内容有异议，不应说是加解密算法相同，而是加密解密的密钥相同）

效率高/大量数据加密

2.非对称加密算法

公钥密钥体系 加解密的密钥不同 公钥公布 私钥自行保管

a.加解密表示方法Y=EK1（X）X=DK2（Y）

b.RSA大素数分解 签名/密钥交换

选取两个大质数p q p不等于q

p*q=n

（p-1）*（q-1）=z

e 1

公钥=e、n

私钥=d、n

n为公开参数

e*d=1modz

（计算题掌握）

3.信息完整性验证算法

报文摘要算法 生成固定长度报文

某种规则提取 原文改动 摘要一定变化

单项函数SHA1 MD5

a.安全Hash512比特分组创建160比特摘要

b.MD5512比特分组128比特摘要

数字签名和数字证书

a.数字签名

签名：

a.使用摘要算法信息 摘要

b.私钥加密 发送

验证

a.原文 新摘要

b.解密 还原加密摘要

c.对比新摘要

实现身份认证 信息完整检查 信息发送不可否认

没有加密 没有身份认证

b.数字证书

中间第三方权威CA负责证明身份

a.X.509 国际电信

b.证书发放CA发放CA之间需要认证 “证书链”

c.证书吊销 私钥泄露 向CA提出证书撤销CRL

i.用户提出

ii.RA审查

iii.RA通过 发送CA CRL

iv.修改 更新CRL

（依然可以使用 只是无法得到验证）

密钥分配

a.对称密钥分配

Kerberos三头狗（欧洲文化）

身份鉴别Authentiation

KDC密钥分配中心的核心Key Distribution Center

AES加密分配

组成：

a.鉴别服务器

AS 密钥分配中心 注册 分配 确认 与TGS会话

b.票据授予服务器

TGS Ticket-Granting Server

发行票据 用户与服务器之间对话

用户验证和票据发行分开

（理解这样设计的目的 是为了减轻AS工作 也为了安全）

AS一次 用户多次TGS

工作原理：

a.用户AS验证

b.AS发送报文Ks AS到TGS票据Ktgs Ka加密

c.转发得到的TGS票据 服务器名称KS 时间戳TGS

d.TGS返回Kab Ks加密A kab Kb加密

e.发送给服务器

f.服务器应答

b.公钥分配

PKI 证书申请者 注册机构CA认证中心 证书库 证书信任方

包含规则 过程 人员 设施 软件 硬件

3.SET协议

电子商务 公钥X.509 PKI

设计复杂 规格高

机密性 真实性 完整 不可否认

（信息安全课里面的重要章节）

SSL/HTTPS

1.SSL

安全套接层Secure Socket Layer

TLS Transport Layer Security应用层与传输层之间（三层）

1.构成

SSL记录协议 SSL握手协议SSL告警协议SSL修改密文协议

2.流程

浏览器发送请求

服务器返回浏览器证书 使用CA提供私钥加密

浏览器对照CA表，判断，在使用公钥

浏览器使用对称密钥使用服务器公钥加密发给服务器

浏览器和服务器确认使用对称密钥，在发送一个消息握手

2.HTTPS

安全超文本传输协议SSL传输层

3.S-HTTP

应用层

RADIUS

拨号认证系统 授权 计费 认证AAA认证

1.用户 用户名 密码

2.客户端 向服务器请求包Access Request

3.服务器核对user 接收请求包 或者Access Reject

4.服务器发送计费Accounting Request status-type为start

5.服务器返回计费响应Accounting Response

6.访问资源

7.客户端 请求断开status type为stop

8.服务器返回响应

9.结束

VPN

虚拟专用网络Virtual Private Network

没有传统的物理连接

VPN隧道技术 链路层 网络层实现

1.PPTP 远程用户拨号连接ISP PPP封装IP包PPTP用TCP连接 维护 终止

GRE封装PPP 加密 压缩

2.L2TP 思科技术

3.IPsec 隧道外面在封装 保证安全 三层

4.SSL VPN / TLS VPN 传输层 第四层SSL速度慢 但是配置/使用简单

IPsec

IP协议分组加密认证 工作在网络层

安全分组流的密钥交换协议IKE保护分组流AH ESP

1.IKE Internet Key Exchange Protocol混合协议 安全关联密钥管理和两种密钥交换技术

a.协商建立通信信道 验证IKE SA

b.建立IPesc SA

（后面继续说明）

2.AH Authentication Header 完整心和认证 防止重访 但是没有加密

3.ESP 包括加密DES AES

4.IPsec VPN使用

a.site site 网关到网关

b.end end PC之间

c.site end PC到网关

5.工作模式 隧道和传输（图重点掌握）

隧道模式增加新的IP头

MPLS

多协议标记交换Multi Protocol Label Switching

路由器加上标签label 标记tag 高速转发的一种方式

IP数据包 封装在MPLS数据包中 映射为方便的目的 固定长度

与路由不相同2.5层协议

（理解起来 其实跟VLAN的思想特别相似）

1.MPLS 流程

边缘路由器LER FEC打上标签 目的 源 端口 服务质量 带宽

分类建立 标记交换通路LSP LSR转发

出口LER丢弃标签

2.MPLS VPN

a.PProvider

核心网络路由 只完成数据报的高速转发 维护PE的路由信息

只连接PE 标记交换利路由器

2.PEProvider Edge

负责标签的生成 和 去除 建立交换标签动作

中间站 出入流量的大门

c.CECustomer 路由器

不存在任何标签 只是一台IP路由器 与PE建立邻居关系

配置IPsec VPN

IPsec协议 由加密 摘要 对称密钥交换 安全协议

两台设备建立联系 以上组成部分 协商一致 IPsec没有认证和保证通信

交换数据前需要建立安全关联 Security Association 单向的 建立逻辑连接 定义了安全/加密服务SA包括Security Parameter Index SPI IP目的地址 安全协议（AH ESP）

IKE建立SA两个阶段

1.第一阶段

a.参数协商

加密算法DES 3DES AES

摘要hash算法MD5 SHA1

身份认证 预置共享密钥pre-share kerberos

密钥交换DH Diffie Hellman

生存时间86400s SA删除（超时）

IKE 策略

2.交换密钥

3.身份认证 双方

4.构建IKE安全通道

2.第二阶段

a.参数协商

加密算法DES 3DES

Hash算法

生存时间

安全啊协议AH ESP

传输模式 隧道模式 封装

交换集

2.创建 配置加密映射集 应用 构建IPesc SA

网络隔离/入侵检测

网络隔离技术 隔离有害攻击

1.完全隔离 两套系统 两套网络

2.硬件卡隔离 大多数依然两套网络

3.数据转播隔离 转播系统分时地址 手动/时间久

4.空气开关 理解为不智能的摆渡 网络分时访问

5.安全通道 专用通信硬件和安全协议 隔离与交换 透明网络应用

网络隔离应用技术

1.防火墙ACL访问控制 传输层以下

2.多重安全网关 统一威胁管理Unified Threat Management UTM

新一代防火墙 网络层到应用层 全面检测

3.VLAN划分 处理广播风暴 隔离安全部门

4.人工策略 人工交换数据 安全性最好

5.网闸 智能摆渡+代理 切段连接 只传输纯数据

单项网闸 双向网闸

国家安全要求：

a.涉密网络与非涉密 网闸隔离

b.非涉密与互联网 单向网闸

c.非涉密与互联网不连通 双向网闸

（为什么不物理隔离）

入侵检测

Instrusion Detection 主动保护 分组找到威胁安全的因素 相应处理（IPS更加互动）防火墙之后的防护 不影响网络性能进行监测

内部/外部攻击 误操作保护

信息收集 信息分析

根据留下的痕迹 从数据中筛选出来 匹配库 完整性分析 统计

常用检测方法：

a.模式匹配

收集的信息与已知信息比较 发现违背安全策略行为

b.专家系统

专家知识形成模型 检测

3.基于状态转移分析检测

更加智能 攻击时连续 分步骤

一些列 初始值导致结果危害

（IPS串/IDS并 主动/被动 有影响/无感知）

总结：

网络安全越来收到重视

现在已经有信息安全工程师的职称

信息安全也是一门大课程

香樟梧桐糯米糍

字 2019.8