网络通信安全
一、网络通信安全概述
1.1 核心目标
- 保密性:防止数据在传输中被窃取(如HTTPS加密)。
- 完整性:确保数据未被篡改(如数字签名验证)。
- 可用性:保障网络服务持续可用(如抗DDoS攻击)。
- 认证性:验证通信双方身份(如SSL证书)。
1.2 网络安全体系结构
层次 | 安全机制 |
---|---|
物理层 | 防电磁干扰、硬件破坏(如光纤加密)。 |
数据链路层 | MAC地址过滤、VLAN划分(隔离广播域)。 |
网络层 | IPsec(VPN加密)、防火墙(包过滤)。 |
传输层 | SSL/TLS(端到端加密)、端口安全(如关闭非必要端口)。 |
应用层 | 数字证书(HTTPS)、PGP加密(邮件安全)。 |
二、网络加密技术
2.1 对称加密算法
- 原理:加密和解密使用同一密钥(如AES、DES)。
- 特点:速度快,适合大量数据加密。
- 示例:AES-256(密钥长度256位,安全性高)。
2.2 非对称加密算法
- 原理:公钥加密,私钥解密(如RSA、ECC)。
- 特点:密钥管理方便,适合密钥交换。
- 示例:RSA-2048(密钥长度2048位,广泛用于SSL/TLS)。
2.3 哈希算法
- 原理:将任意长度数据映射为固定长度哈希值(如SHA-256、MD5)。
- 特点:不可逆,用于数据完整性校验。
- 示例:文件下载时验证哈希值防止篡改。
2.4 混合加密
- 应用场景:PGP(Pretty Good Privacy)采用对称加密(AES)+非对称加密(RSA)+哈希算法(SHA-256)。
- 流程:
- 生成随机对称密钥,加密明文。
- 用接收方公钥加密对称密钥。
- 附加数字签名(发送方私钥加密哈希值)。
三、安全协议
3.1 SSL/TLS
- 作用:在传输层加密数据(如HTTPS)。
- 握手流程:
- 客户端Hello:发送支持的加密套件。
- 服务器Hello:选择加密套件,发送证书。
- 客户端验证证书:检查证书有效性。
- 密钥交换:生成对称密钥(如ECDHE算法)。
- 加密通信:使用对称密钥加密数据。
3.2 IPsec
- 作用:在网络层加密数据(如VPN)。
- 组件:
- AH(认证头):验证数据完整性(不加密)。
- ESP(封装安全载荷):加密数据并验证完整性。
- 模式:
- 传输模式:仅加密数据部分(如主机到主机)。
- 隧道模式:加密整个IP数据包(如VPN隧道)。
3.3 PGP
- 作用:加密邮件和文件(如GnuPG工具)。
- 特点:基于信任网络(Web of Trust),用户可互相签名认证公钥。
四、网络安全设备
4.1 防火墙
- 分类:
- 包过滤防火墙:基于IP、端口过滤(如iptables)。
- 状态检测防火墙:跟踪连接状态(如Cisco ASA)。
- 应用层网关:深度检测应用层数据(如Web代理)。
4.2 IDS/IPS
类型 | 部署方式 | 功能 |
---|---|---|
IDS | 旁路接入 | 被动检测攻击(如Snort)。 |
IPS | 串联接入 | 主动阻断攻击(如Firepower)。 |
4.3 VPN
- 类型:
- IPsec VPN:网络层加密(如企业远程访问)。
- SSL VPN:应用层加密(如Web访问)。
五、网络攻击与防御
5.1 常见攻击类型
攻击类型 | 原理 |
---|---|
DDoS | 大量请求耗尽资源(如SYN Flood)。 |
中间人攻击 | 窃听并篡改通信(如ARP欺骗)。 |
SQL注入 | 注入恶意SQL语句攻击数据库。 |
缓冲区溢出 | 向内存写入过量数据导致程序崩溃。 |
5.2 防御措施
- DDoS防御:
- 部署流量清洗设备(如阿里云DDoS高防)。
- 启用速率限制(如限制每秒请求数)。
- 中间人攻击防御:
- 使用HTTPS加密通信。
- 绑定MAC地址与IP地址。
- SQL注入防御:
- 使用参数化查询(如JDBC PreparedStatement)。
- 输入过滤(如正则表达式校验)。
六、网络拓扑安全设计
6.1 DMZ
- 作用:隔离外网与内网,放置公开服务器(如Web、FTP)。
- 配置:
- 外网可访问DMZ,但无法直接访问内网。
- 内网可访问DMZ,但需通过防火墙规则限制。
6.2 VLAN(虚拟局域网)
- 作用:划分广播域,防止网络风暴和嗅探。
- 配置:
- 将敏感部门(如财务)与普通员工划分到不同VLAN。
- 启用VLAN间路由需通过防火墙。
练习题
单选题
- 以下哪种加密算法属于对称加密?
A. RSA
B. AES
C. SHA-256
D. ECC
答案:B
解析:AES是对称加密算法,其他选项为非对称或哈希算法。
SSL/TLS握手过程中,客户端如何验证服务器身份?
A. 检查服务器IP地址
B. 验证服务器证书
C. 发送挑战响应
D. 使用对称密钥加密
答案:B
解析:SSL/TLS通过数字证书验证服务器身份。
多选题
以下哪些属于网络层安全协议?
A. IPsec
B. SSL
C. PGP
D. AH
答案:AD
解析:IPsec和AH属于网络层,SSL属于传输层,PGP属于应用层。防火墙的主要功能包括( )?
A. 包过滤
B. 病毒查杀
C. 入侵检测
D. 流量监控
答案:AD
解析:防火墙主要功能是包过滤和流量监控,病毒查杀和入侵检测由其他设备完成。
判断题
IPsec隧道模式仅加密数据部分,不改变IP头部。
答案:错误
解析:IPsec隧道模式加密整个IP数据包,传输模式仅加密数据部分。IDS可以主动阻断攻击,而IPS只能被动检测。
答案:错误
解析:IPS主动阻断攻击,IDS被动检测。