網(wǎng)絡(luò)安全

是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件以及系統(tǒng)中的數(shù)據(jù)收到的保護。

保護的基本屬性為：機密性，身份認證，完整性和可用性；

基本特征：相對性，時效性，相關(guān)性，不確定性，復(fù)雜性和重要性。

在該方向主要研究如下領(lǐng)域：

入侵者如何攻擊網(wǎng)絡(luò)，

如何防護網(wǎng)絡(luò)對抗攻擊，

設(shè)計網(wǎng)絡(luò)體系結(jié)構(gòu)免疫攻擊。

因為Internet最初設(shè)計幾乎沒考慮安全性，所以網(wǎng)絡(luò)安全需要在網(wǎng)絡(luò)的各個層次考慮。

網(wǎng)絡(luò)安全威脅

主要有竊聽，插入，假冒（偽造源IP），劫持接管連接和拒絕服務(wù)等攻擊，具體方法如下：

**映射（掃描）：**確定主機開放的端口及運行的服務(wù)，工具nmap；

**對策：**記錄網(wǎng)絡(luò)配置，分析識別可疑活動。

**分組嗅探：**借助廣播介質(zhì)，網(wǎng)卡在混雜模式下接口接受記錄所有經(jīng)過的分組幀，工具wireshark；

**對策：**組織中的主機運行軟件，周期性監(jiān)測網(wǎng)絡(luò)接口是否工作在混雜模式，不使用廣播介質(zhì)。

**IP欺騙：**生成原始IP，將源IP設(shè)置為其他地址；

**對策：**入口過濾，路由器不轉(zhuǎn)發(fā)源IP地址無效的IP分組（源IP不屬于所連接的網(wǎng)絡(luò)）。

**拒絕服務(wù)：**通過惡意泛洪分組等手段淹沒接收方，耗盡帶寬等資源：

**對策：**過濾泛洪分組，可能錯殺，追溯源頭，難以應(yīng)對反射攻擊。

身份認證

該部分要證明報文確實來自聲稱的發(fā)送方，還要驗證報文在傳輸過程未被篡改，時間，順序等也未被篡改，預(yù)防抵賴。

密碼散列函數(shù)

該函數(shù)具有算法公開，計算快速的特點，多對一映射產(chǎn)生定長輸出，不同報文產(chǎn)生相同的散列值，并且是單向不可逆推，抗強/弱碰撞性。

常用算法有：

md5，輸出128位散列值，不足夠安全；

sha1，輸入消息長度＜2的64次方，散列值為160位，速度更慢但是安全性更高。

報文認證

大致思路是將報文和報文摘要構(gòu)成擴展報文。

報文認證碼Mac，報文m+認證秘鑰s+密碼散列函數(shù)h-＞擴展報文（m，h（m+s）），

收到后將m+s的散列值做對比，這種方法還解決不了否認問題。

數(shù)字簽名

有可驗證性，不可偽造性和不可抵賴性。

IP安全

虛擬專用網(wǎng)絡(luò)VPN

最初使用專用網(wǎng)PN來保證安全，使用專屬網(wǎng)絡(luò)設(shè)備等建設(shè)專門服務(wù)于特定組織機構(gòu)的網(wǎng)絡(luò)，這種實現(xiàn)安全網(wǎng)絡(luò)的方法成本過高，便有了虛擬專用網(wǎng)絡(luò)。

VPN是通過建立在公共網(wǎng)絡(luò)上的安全通道，實現(xiàn)遠程用戶等與總部的安全連接，不實際獨占公共網(wǎng)絡(luò)的資源，是一條邏輯穿過公共網(wǎng)絡(luò)安全穩(wěn)定的隧道。

**需要實現(xiàn)：**數(shù)據(jù)機密性保護，數(shù)據(jù)完整性認證，數(shù)據(jù)源身份認證，防重放攻擊和訪問控制。

關(guān)鍵技術(shù)：隧道技術(shù)，數(shù)據(jù)加密，身份認證，秘鑰管理，訪問控制，其中隧道技術(shù)為核心技術(shù)。

隧道技術(shù)

隧道技術(shù)是通過Internet提供安全的點到點的數(shù)據(jù)傳輸安全通道，實質(zhì)是一種利用隧道協(xié)議的封裝。

該技術(shù)有三層，乘客協(xié)議，封裝協(xié)議和承載協(xié)議；

常見在第二層的協(xié)議有pptp點對點隧道協(xié)議和l2tp協(xié)議，主要用于遠程客戶機訪問局域網(wǎng)；

第三層協(xié)議有IPsec，用于網(wǎng)關(guān)到網(wǎng)關(guān)和網(wǎng)關(guān)到主機。

具體實現(xiàn)技術(shù)有：

IPsec最安全使用面最廣，ssl具有高層協(xié)議的優(yōu)勢，l2tp最好的實現(xiàn)遠程接入VPN的技術(shù)。

IPsec

提供機密性，完整性，源認證，防重放服務(wù)，IPsec數(shù)據(jù)報的發(fā)送與接受均由端系統(tǒng)完成。

提供IPsec服務(wù)的兩個協(xié)議：

認證頭ah：IP數(shù)據(jù)報頭協(xié)議號51，提供源認證和數(shù)據(jù)完整性檢驗，不提供機密性；

封裝安全頭esp：IP數(shù)據(jù)報頭協(xié)議號50，提供源認證，數(shù)據(jù)完整性和機密性服務(wù)，比ah應(yīng)用更廣泛。

web應(yīng)用安全

主動攻擊：篡改c/s間信息或站點信息，難防易檢； 被動攻擊：監(jiān)聽或信息量分析，難檢易防。 基于應(yīng)用層，用特定應(yīng)用制定安全服務(wù)；

基于傳輸層：ssl或tls，對應(yīng)用透明，應(yīng)用層數(shù)據(jù)會被加密； 基于網(wǎng)絡(luò)層：IPsec實現(xiàn)端到端的安全機制，通用解決方案，各種應(yīng)用程序均可利用IPsec提供的安全機制。

無線局域網(wǎng)安全

wep有線等效保密，使用對稱秘鑰加密，自同步（每個分組單獨加密）；

加密實現(xiàn)過程如下：

計算出數(shù)據(jù)完整校驗值icv，附于數(shù)據(jù)后四位測測，每端有104位共享秘鑰，發(fā)送端生成24位初始向量附到秘鑰上，發(fā)送端附加8位keyid，128位秘鑰輸入到偽隨機數(shù)發(fā)生器產(chǎn)生秘鑰流，利用rc4算法加密數(shù)據(jù)+icv。

解密過程： 提取iv iv與共享秘鑰輸入偽隨機數(shù)發(fā)生器得到秘鑰流 逐字節(jié)異或解密d與icv 利用icv校驗完整性

破解

漏洞 每幀一個24位的iv導致最終會被重用 iv以明文傳輸，重用的iv易被檢測 攻擊 誘使加密已知明文，逆推k秘鑰序列 下次重用時可解密 802：1i改進的安全 提供秘鑰分發(fā) 利用獨立于ap的認證服務(wù)器

總結(jié)

文傳輸，重用的iv易被檢測 攻擊 誘使加密已知明文，逆推k秘鑰序列 下次重用時可解密 802：1i改進的安全 提供秘鑰分發(fā) 利用獨立于ap的認證服務(wù)器

總結(jié)

此部分屬于安全的拓展內(nèi)容了，所以本次只做大致了解，知道有這些協(xié)議個方法來應(yīng)對各個層的安全威脅就行了## 網(wǎng)絡(luò)安全工程師(白帽子)企業(yè)級學習路線

第一階段：安全基礎(chǔ)（入門）

第二階段：Web滲透（初級網(wǎng)安工程師）

第三階段：進階部分（中級網(wǎng)絡(luò)安全工程師）

如果你對網(wǎng)絡(luò)安全入門感興趣，那么你需要的話可以點擊這里??網(wǎng)絡(luò)安全重磅福利：入門&進階全套282G學習資源包免費分享！文章來源地址http://www.zghlxwxcb.cn/news/detail-763020.html

學習資源分享

到了這里，關(guān)于網(wǎng)絡(luò)安全與IP安全網(wǎng)絡(luò)安全的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！