安全体系:" e* H9 h- @9 R! J, Z/ P# k: o
防火墙分为5种类型:
4 g. T- b0 b" [9 T
, {/ f- x* M$ O* t( ~ 包过滤防火墙(ACL):定义过滤规则来审查每个数据包,并依此规则来决定是否允许通过;4 W7 x) t6 ?: {% ^1 G" W! ?8 b$ {
1 A0 i: w8 e# D; t; d$ o) p9 E
应用网关防火墙:在网卡上执行的特定应用程序和服务器程序,实现协议过滤和转发功能;
* \4 r: `0 N5 r! W6 P! ]* ]" q8 g- p" B, i
代理服务器防火墙:使用代理技术来阻断内部网络与外部网络间的通信,达到隐藏内部网络的目的;
R# L- J4 Z$ e* i4 T: T9 O
% S Y( p7 n1 } 状态检测(自适应/动态包过滤)防火墙:通过状态检测技术记录并维护各个连接的协议状态,并对IP包进行分析,决定是否能够通过;5 ~( i# I5 q2 a* k( q5 M9 R- b
5 e: G5 y2 `6 f1 c% `' c
自适应代理技术:动态包过滤防火墙和应用代理技术的整合,实质是状态检测防火墙。
2 E- `3 I3 d, y% x# F; W6 b9 C2 L' l: E2 U/ A
防火墙的局限性:不能防范外部的刻意的人为攻击---不能防范内部用户的攻击---不能防止内部用户因误操作而造成的口令失密及受到的攻击---很难防止病毒或受病毒感染的文件传输;! F* L$ R M! F9 M4 y
3 B; v' H8 B% B* ^& c. i8 @; { 入侵检测---一种网络安全技术,通常包括数据源(原始数据)、分析引擎(通过异常检测或误用检测进行分析)和响应(对分析结果采用必要和适当的措施)三个模块;它采用的检测技术有两种:特征检测和异常检测;常用的检测方法:特征检测、统计检测和专家系统;
: V0 y: X" q: {5 b$ |5 N% t. `8 q: q
病毒---一段可执行的程序代码,其整个生命周期包括潜伏、繁殖(复制、感染)、触发和执行;对于病毒的防护常采用“检测---标识---清除”的策略;特洛伊木马是指一个正常的文件被修改成包含非法程序的文件。木马程序是由server服务端程序和client客户端程序组成;前者安装在被控制的计算机上,后者安装在控制的计算机上。注:木马本身不具备繁殖性和自动感染的功能。# U {' c$ I' ^. r: N3 a8 @. T
$ J5 R. o7 c, Q z
安全扫描----是对计算机系统及网络端口进行安全检查的一种方式;它是一种帮助计算机管理员找到网络隐患的工具,而不能直接解决安全问题。
3 x. d& d; Z% G* @8 B' y1 w( o! W
日志审计系统0 p4 H2 c3 K, W* w% U8 ~( f9 }) ~
: N/ |, S* p: l$ x0 }" f9 i, k
日志文件包括系统日志、安全日志、应用日志三部分。它是一种被动式的,事后的防护或事中跟踪的手段;
' H4 r8 ?) ^1 q# b8 T
) ^1 @3 ], {6 s1 X PKI(公共密钥基础设施)是CA安全认证体系的基础,它由认证中心、证书库、密钥备份及恢复系统、证书作废处理系统和客户端证书系统5大系统组成。PKI技术主要借助于数字签名技术实现的;数字签名是通过Hash函数(128位)与公开密钥算法来实现的。2 c* f2 c7 l( t
& `4 x, @3 h7 U& E: d! W/ ` 加密算法:, @3 e W# u k% R! U7 E. y0 ]
! Y7 ~& u1 ?, t. `* `3 d O) ~
数据传输加密从三个层次来实现:链路加密、节点加密和端到端加密,常用的是链路加密和端到端加密;, m+ e- `% @! K5 ]0 D/ N6 R
; F; ?- C4 u2 A8 y 密钥体制:4 P( v! F3 q' q: o' o- q
( v& h3 \: C6 f2 |' S4 g% I4 Q
秘密密钥加密体制(K1=K2):DES(数据加密标准,密钥长度为56位),IDEA(国际数据加密算法,类似于三重DES,密钥长度为128位),MD5(能产生一个128位散列值的散列算法)RC-5(采用了分组迭代密码体制和数据相依旋转方法)
: G3 _8 e# L* d8 n G# N Z9 r
+ l9 Q4 k" V' w, ~3 j# Q$ t 公开密钥加密体制(K1不等于k2):RSA(密钥长度为512)、ECC(椭圆曲线密码)
* Z) h7 E& W8 \8 b3 D' P
* A9 K: ^7 Z) Y; @7 e. ]5 B' [1 [ 对称密码加密的效率高,适合加密大量的数据;非对称密码速度慢,适合加密非常少量的数据。 |