听课笔记，《网络攻击与防御》

网络防御分为：

一、加密技术

是最常用的安全保密手段，其本质就是利用技术手段把重要的数据变为密文进行传输，到达目的地后再用相同或不同的手段解密；

包含两个元素：算法、密钥

算法：将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤

密钥：用来对数据进行编码和解码的一种算法

在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全

密钥加密技术的密码体制分为：对称密钥体制和非对称密钥体制两种

数据加密的技术分为：

对称加密（私人密钥加密）：以数据加密标准（DES,Data Encryption Standard）算法为典型代表；加密密钥和解密密钥相同

非对称加密（公开密钥加密）：以RSA算法为代表；加密密钥与解密密钥不同，加密密钥可公开，解密密钥保密

二、身份认证技术

是在计算机网络中确认操作者身份的过程而产生的有效解决方法

计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权

保证操作者的物理身份与数字身份相对应

对用户的身份认证基本方法分为：

（1）基于信息秘密的身份认证：根据你所知道的信息来证明你的身份（你知道什么），比如用户密码；

（2）基于信任物体的身份认证：根据你所拥有的东西来证明你的身份（你有什么），比如短信验证码；

（3）基于生物特征的身份认证：直接根据独一无二的身体特征来证明你的身份（你是谁），比如指纹、面貌等。

三、访问控制技术

指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问

访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问

访问控制的主要功能包括：

（1）保证合法用户访问授权保护的网络资源

（2）防止非法的主体进入受保护的网络资源

（3）防止合法用户对受保护的网络资源进行非授权的访问

访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作，当用户身份和访问权限验证之后，还需要对越权操作进行监控

访问控制的内容包括：

认证：主体对客体的识别及客体对主体的检验确认

控制策略实现：通过合理地设定控制规则集合，确保用户对信息资源在授权范围内的合法使用

安全审计：系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应的评价与审计

四、防火墙技术

指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障

防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，用以阻挡来自外部的网络入侵

防火墙技术包括四大类：

（1）网络级防火墙（也叫包过滤型防火墙）：一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断（一个路由器便是一个“传统”的网络级防火墙）

防火墙检查每一条规则直至发现包中的信息与某规则相符，如果没有一条规则符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该数据包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如ftp连接

（2）应用级网关：能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系

在实际工作中，应用网关一般由专用工作站系统来完成，但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙；

应用级网关有较好的访问控制，是最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”

（3）电路级网关：用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话（Session）是否合法，电路级网关是在OSI模型中会话层来过滤数据包，这样比包过滤防火墙要高二层

电路级网关还提供一个重要的安全功能：代理服务器（Proxy Server）功能，代理服务器是设置在Internet防火墙网关的专用应用级代码

这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能；

包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结构和运行状态便暴露在外来用户面前，这就引入了代理服务的概念

代理服务：防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链路”来实现

这就成功的实现了防火墙内外计算机系统的隔离，同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能

代理服务技术主要通过专用计算机硬件（如工作站）来承担

（4）规则检查防火墙：该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点

它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包；

也像电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序

也像应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则

不同于一个应用级网关的是：它并不打破客户机/服务器模式来分析应用层的数据，允许受信任的客户机和不受信任的主机建立直接连接。

不依靠与应用层有关的代理，而是依靠某种算法来识别出进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更加有效