网络安全模型

P2DR模型：  

Policy（安全策略）、Protection （防护）、Detection（检测）、Response（响应）  

在IATF中， PDRR模型：  

保护（Protection）、检测（Detection）、响应（Response）、恢复（Restore）  

WPDRRC安全模型是我国863信息安全专家组推出的适合我国国情的信息安全保障体系建设模型：  

预警（Warning）、保护（Protection）、检测（Detection）、响应（Response）、恢复（Restore）、反击（Counterattack）  

密码技术概述

古典密码技术：  

替换密码技术（凯撒密码，又叫循环移位密码，维吉尼亚密码）、换位密码技术  

序列密码技术：  

对称密码技术：  

DES（数据加密标准）（加密长度：56-bits）、TDES（3DES）、瑞士的IDEA（国际数据加密算法）、RC5、AES（高级加密标准）（加密长度：128/192/256-bits）、SEAL（加密长度：160-bits）等  

非对称密码技术：  

RSA、Diffie-Hellman、ElGamal公钥密码技术  

散列算法：  

消息摘要（MD）算法：MD2,MD4,MD5（（加密长度：128-bits））；  

安全散列算法（SHA）（加密长度：160-bits）：SHA－1，SHA－224，SHA－226，SHA－384，SHA－512；  

密钥分配与管理技术：集中式密钥分配方案、分布式密钥分配方案。  

密码学应用技术

数字签名：  

一个完善的签名必须满足以下3个条件：签名者事后不能否认自己的签名；任何其他的人不能事后否认自己曾经的签名；如果经手双方关于签名的真伪发生争执时，能够在公正的仲裁者面前验证签名来确认真伪。  

消息认证：它保证信息的完整性和有效性。  

Kerberos认证交换协议：  

基于对称密码技术在网络上实施认证的一种服务协议。类型：认证服务器（Authenticatio Server，AS）认证、票据许可服务器（Ticket Granting Server，TGS）认证、客户机/服务器（CS）认证  

PGP(Pretty Good Privacy)：  

 PGP是一个广泛应用于电子邮件和文件加密的软件，已成为电子邮件加密的事实标准。它采用一种混合加密算法，由一个对称加密算法（IDEA），一个非对称加    密算法（RSA）、一个单向散列算法（MD5）以及一个随机数产生器组成  

公钥基础设施——PKI：  

一种利用公钥密码理论和技术建立起来的提供信息安全服务的基础设施，解决网上身份认证、信息的完整性和不可抵赖性等安全问题。  

PKI的五大系统  

1.认证机关（CA）  

2.数字证书库：  

3.密钥备份及恢复系统：  

4.证书作废系统：  

5.应用接口：  

数字证书 ：  

是在网络上进行身份验证的方式，用来标志和证明网络通信双方身份的数字文件，本质上是一种由颁发者（CA）数字签名的用于绑定公钥和其持有者身份的数据结构（电子文件），数字证书的格式一般采用X.509国际标准。  

数字证书主要包括：证书所有者的信息、证书所有者的公钥、证书颁发机构的签名、证书的有效时间等。  

证书分类：个人数字证书、 单位数字证书、 单位员工数字证书、服务器证书、VPN证书、WAP证书。  

网络入侵与攻击技术

   

DOS攻击技术： SYN Flood、Land攻击技术、广播风暴技术、IP分段攻击技术、Smurf攻击技术、 IIS上传攻击技术。  

缓冲区溢出攻击技术  

缓冲区溢出漏洞攻击  

缓冲区溢出的保护  

网络监听技术  

Web欺骗技术  

IP地址欺骗攻击技术  

扫描技术  

网络安全防范技术

AAA技术：  

       认证（authentication):核对用户和管理员身份  

       授权（authorization)  

       审计（accounting)  

RADIUS、TACACS＋和Kerberos是用来实现AAA安全功能的认证协议  

RADIUS认证请求和授权请求端口为1812，审计请求端口为1813  

RADIUS与TACACS＋的区别：

	TACACS+	RADIUS
Functionality	Separates AAA	Combines authentication and authorization
Standard	Mostly Cisco supported	Open/RFC
Transport Protocol	TCP	UDP
Protocol Support	Multiprotocol support	No ARA, no NetBEUI
Confidentiality	Entire packet encrypted	Password encrypted
Customization	Provides authorization of router commands on a per-user or per-group basis.	Has no option to authorize router commands on a per-user or per-group basis.
Accounting	Limited	Extensive

入侵检测与入侵防护系统

入侵检测系统（Intrusion Detection System，IDS）  

入侵防范系统（Intrusion Prevention System，IPS)  

VPN

PPTP与L2TP区别：  

       PPTP要求互联网络为IP网络，L2TP只要求隧道媒介提供面向数据包的点对  点连接  

       PPTP只能在两端点间建立单一隧道，L2TP支持在两端点间使用多个隧道  

       L2TP可以提供包头压缩  

       L2TP可以提供隧道验证  

IPSEC VPN  

        

认证头（AH）：用于数据完整性认证和数据源认证(MD5,SHA1)  

 封装安全负荷（ESP）：提供数据保密性和数据完整性认证(DES-CBC,3DES-CBC,AES128-CBC)  

Internet密钥交换协议（IKE）：用于生成和分发在ESP和AH中使用的密钥IKE实际上是三个协议ISAKMP、OAKLEY和SKEME的混合体，ISAKMP提供了认证和密钥交换的框架，OAKLEY描述了密钥交换的模式，SKEME定义了密钥交换技术。  

IPsec VPN的配置包含5个主要环节：  

       1、创建可以使用IPsec的ACL列表  

       2、创建IKE策略  

       3、配置IPsec变换集  

       4、指定需要加密的数据流  

       5、创建密码映射并将密码映射应用到VPN设备的端口  

IPsec VPN的配置详细步骤：  

IKE配置:  

                     crypto isakmp enable  

                     crypto isakmp policy 10 //建立isakmp策略10  

                     authentication pre-share//认证  

                     encryption aes 256//加密  

                     hash sha//完整性认证  

                     group 2//密钥管理采用DH2  

                     lifetime 3600//生存时间  

密钥配置:  

                     crypto isakmp key (密钥) address 对等实体  

IPSEC变换组与生存时间:  

                     crypto ipsec transform-set 50 esp-aes 256 //创建交换组  

                     crypto ipsec security-association lifetime 1800  

加密流量:  

                     access-list 101 permit ip X X  

 密码映射的创建应用:  

                     crypto map test 10 ipsec-isakmp//创建密码映射，密码映射名:test，序列号 10.  

                     match address 101 //ACL 101 定义的流量需要加密  

                     set peer X.X.X.X //对等实体网关  

                     set pfs group 2  

                     set transform-set 50  

                     set security-association lifetime senconds 900//设置SA时间900  

                     int f0/0  

                     crypto map test  

IPSEC有两种模式：  

传输模式:  

              AH头插在原来的IP头和TCP之间  

              插AH之前：原来的IP头=>TCP=>数据  

              插AH之后：原来的IP头=>AH=>TCP=>数据  

              ESP头插在原来的IP头和TCP之间,再加上ESP尾  

              插ESP之前：原来的IP头=>TCP=>数据  

              插ESP之后：原来的IP头=>ESP=>TCP=>数据=>ESP尾  

隧道模式:  

              在原来的IP头上插上AH再加上新IP头  

              插AH之前：原来的IP头=>TCP=>数据  

              插AH之后：新IP头=>AH=>原来的IP头=>TCP=>数据  

              在原来的IP头上插上ESP，加上ESP尾，再加上新IP头  

              插ESP之前：原来的IP头=>TCP=>数据  

              插ESP之后：新IP头=>ESP=>原来的IP头=>TCP=>数据=>ESP尾  

            (  注意：新IP包括了后面整个帧。)  

SA（安全关联，Security Association)  

       SA是由一系列参数（如加密算法、密钥和生命周期）定义的安全信道安全套接层（Secure Socoket Layer,SSL)协议。底层是SSL记录协议（SSL Record Protocol Layer)，运行在传输层协议TCP之间，用于封装各种上层协议，高层是SSL握手协议（SSL Handshake Protocol layer)，由服务器和客户机用来进行身份认证，并且协商通信中使用的加密算法和密钥。  

SSL和Ipsec的比较  

  相同：SSL VPN和IPsec VPN一样，都使用RSA或D-H协议来建立秘密隧道都使用了预加密、数据完整性和身份认证技术  

区别：IPsec VPN工作在网络层 ，即在网络层建立安全隧道，主要用于建立固定的虚拟专用网SSL的安全连接是通过应用层的WEB连接建立的，更适合于移动用户远程访问公司的虚拟专用网，原因为：  

           SSL不必下载到访问内部资源的设备上；SSL不需要用户进行复杂的配置； 只要有标准的WEB浏览器，就可以利用SSL进行安全通信；

网址：http://www.glwzu.com/network-security.html

最多留言日志

• 留言板 (122)
• 申请加入Google AdSense成功!（符Google各阶段回复邮件） (85)
• 【置顶】wordpress文章冗长？一键到位！ (76)
• 莫要迷失在你的博客中 (73)
• ARP欺骗原理及其攻击与防范方法 (69)
• wordpress建站一月总结 (68)
• win7用户必备 让你完全利用win7 (66)
• 让你的文章快速收录 wordpress之ping地址大全 (63)
• 一键分享到各大网站 (63)
• kilu.de德国免费空间试用心得 (62)