网络安全核心概念与防护技术详解

网络安全基础知识点

一、网络安全概述

1.1 定义

信息安全：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

网络安全：

防止未授权的用户访问信息
防止未授权而试图破坏与修改信息

1.2 信息安全特性

可用性：确保授权用户在需要时可以访问信息并使用相关信息资产。
完整性：保护信息和信息的处理方法准确而完整。
机密性：确保只有经过授权的人才能访问信息。

1.3 网络安全的威胁

主动攻击：以各种方式有选择地破坏信息。包括添加、修改、删除、伪造、重放、乱序、冒充、病毒等。
被动攻击：不干扰网络信息系统正常工作。包括侦听、截获、窃取、破译和业务流量分析及电磁泄露等。

恶意攻击类型：特洛伊木马、黑客攻击、后门、计算机病毒、拒绝服务攻击、内外部泄密、蠕虫、逻辑炸弹、信息丢失篡改销毁。

主要攻击手段详解

黑客攻击：黑客使用计算机作为攻击主体，发送请求，被攻击主机成为攻击对象的远程系统，进而被窃取信息。
特洛伊木马：通过电子邮件或注入免费游戏一类的软件进行传播。当软件或电子邮件附件被执行后，特洛伊木马被激活，释放有效负载，监视计算机活动，安装后门程序，或者向黑客传输信息。
拒绝服务攻击 (DoS)：指故意的攻击网络协议实现的缺陷或直接通过暴力手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接。
- 带宽攻击：以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。
- 连通性攻击：用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。
分布式拒绝服务攻击 (DDoS)：
- 被攻击主机上有大量等待的 TCP 连接。
- 网络中充斥着大量的无用的数据包。
- 源地址为假，制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。
- 利用受害主机提供的传输协议上的缺陷反复高速地发出特定的服务请求，使主机无法处理所有正常请求。
- 严重时会造成系统死机。
病毒：寄生在宿主文件中，将病毒代码嵌入到宿主文件中，针对本地程序或文件，宿主程序运行时被触发传染。防治的关键是将病毒代码从宿主文件中摘除。
蠕虫：独立存在的程序个体，通过自身拷贝进行传染。针对网络上的其他计算机，通过系统漏洞进行传染。防治的关键是为系统打补丁。
漏洞：指硬件、软件或策略上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限，非法用户就可以为所欲为，从而造成对网络安全的威胁。
- 区别于后门：后门是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令。漏洞是难以预知的，后门则是人为故意设置的。
TCP 劫持攻击：A 尝试和 B 建立加密会话，黑客劫持通讯，假装是 B，然后和 A 交换密钥，然后假装是 A 和 B 建立会话。
IP 欺骗：黑客更改原地址欺骗防火墙，防火墙允许数据包通过，将其误认为合法的通信，欺骗后的数据包进入内联网进行破坏。

1.4 网络安全的特征

保密性：网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。常用的保密技术包括物理保密（限制、隔离、掩蔽）、防窃听、防辐射、信息加密。
完整性：网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性。保障方法包括良好的协议、密码校验和方法、数字签名、公证。
可靠性：系统能够在规定条件和时间内完成规定功能的特性。通过抗毁性、生存性与有效性进行衡量。提高可靠性需要强调减少系统中断的次数。
可用性：网络信息可被授权实体访问并按需求使用的特性。提高可用性需要强调减少从灾难中恢复的时间。
不可否认性：在网络信息系统的信息交互过程中，确信参与者的真实同一性。保证方法包括利用信息源证据、递交接收证据、数字签名技术。
可控性：对信息的传播及内容具有控制能力，防止不良内容的传播。

二、入侵方式

2.1 黑客

黑客 (Hacker)：指技术上的行家或热衷于解决问题、克服限制的人。 骇客 (Cracker)：是那些喜欢进入其他人系统的人。两者最主要的不同是：黑客们创造新东西，骇客们破坏东西。

2.1.1 入侵方法

物理侵入：侵入者绕过物理控制而获得对系统的访问。方法包括控制台特权一直到物理参与系统并且移走磁盘。
系统侵入：已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用漏洞获得系统管理员权限的机会。
远程侵入：通过网络远程进入系统。侵入者从无特权开始这种侵入方式，包括多种形式。如果在他和受害主机之间有防火墙存在，侵入就复杂得多。

2.1.2 系统的威胁

软件 Bug：存在于服务器后台程序、客户程序、操作系统、网络协议栈。
系统配置：缺省配置易被利用；懒惰的系统管理员导致无口令主机；生成的漏洞；信任的关系（跳板攻击）。
口令解密：字典攻击（匹配加密字典）、暴力破解（尝试所有字符组合）。
监听不安全的通信：共享媒体（传统以太网）、服务器监听（交换机环境下的路由监听）、远程监听。
设计的缺点：TCP/IP 协议缺点、系统设计缺点。

2.2 IP 欺骗与防范

IP 欺骗就是伪造数据包源 IP 地址的攻击，它基于两个前提：

TCP/IP 网络在路由数据包时，不对源 IP 地址进行判断。
主机之间有信任关系存在（基于 IP 地址认证）。

2.2.1 TCP 等 IP 欺骗基础知识

TCP 数据报首部标志域：

URG: 紧急数据标志。
ACK: 确认标志。
PSH: 推标志。
RST: 复位标志。
SYN: 同步标志，用于三次握手建立。
FIN: 结束标志。

TCP 三次握手过程：

A 发送带有 SYN 标志的数据段通知 B 需要建立 TCP 连接，设置初始序列号 ISN。
B 回传给 A 一个带有 SYN+ACK 标志的数据段，告诉 A 自己的 ISN，并确认 A 的数据段。
A 确认收到的 B 的数据段，设置 acknowledge number 为 B 的 ISN+1。

信任与认证：

基于口令的认证：如 SMTP、Telnet。
基于 IP 地址的认证：如 rlogin，首先基于信任关系，其次才进行口令认证。

2.2.2 IP 欺骗可行的原因

IP 协议是非面向连接、非可靠传输的协议，数据包松散发送，可以伪造源地址。
TCP 是面向连接、提供可靠传输的协议。
面向连接要求先建立连接才能交换数据。
可靠性由数据包中的控制字提供，其中 SYN 和 ACK 是关键。

2.2.3 IP 欺骗过程

选定目标主机：利用端口扫描、网络监听工具查看有哪些机器和目标主机进行 TCP/IP 连接。
寻找目标主机信任的主机：尝试显示目标主机的文件系统 export 或使用 rpcinfo 分析。
控制被信任的主机：向被信任主机的 TCP 发送大量 SYN 请求，使其队列达到上限，无法响应目标主机的 SYN 请求（DoS 攻击）。
采样序列号猜测：伪装成被信任主机的 IP 地址，将 SYN 请求返回给目标主机，采样并猜测序列号。
建立连接，种植后门：一旦建立 TCP/IP 连接，通过安全性较弱的端口种植后门程序。
进行远程控制：断开与被信任主机的连接，全身而退，寻找时机对目标主机进行非法操作。

2.2.4 IP 欺骗原理

序列号猜测的重要性：攻击者 X 冒充受攻击目标 A 信任的对象 B，如果能连接成功，不再需要口令就能登录 A。X 必须'猜'到 A 的序列号 (ISN)。

序列号猜测的过程：

X 首先连接 A 的 SMTP 端口，试探其 ISN 变化规律。
X 必须马上假冒 B 来与 A 建立 rlogin 连接，否则其他主机可能建立新连接导致序列号不准。

不同网络环境下的序列号猜测：

同一局域网：容易实现，可用嗅探技术。
外网：非常困难，但理论可行。

2.2.5 IP 欺骗防范

使用较强壮的随机序列号生成器。
在边界路由器上进行源地址过滤，禁止外来却使用本地 IP 的数据包进入。
禁止 r-类型的服务，用 SSH 代替 rlogin。
在通信时要求加密传输和验证。
分割序列号空间，每个连接有独立的序列号空间。

2.3 Sniffer 探测与防范

2.3.1 Sniffer 原理

广播类网络上，可以将网络适配器设为接收相应广播域上传输的所有帧。
Sniffer 属第二层次（数据链路层）的攻击，通常是攻击者已经进入了目标系统。
如果 Sniffer 运行在路由器或有路由器功能的主机上，可同时监视多个广播域。
通常只需看到数据包的前 200-300 个字节，就能发现用户名和口令等信息。

2.3.2 Sniffer 防范

设法保证系统不被入侵。
加密传输，使收集的信息无法解读。
采用安全拓扑结构，采用交换技术分割广播域。

现代网络常采用交换机作为网络连接设备枢纽。交换机不会让每一台主机侦听到其他主机的通讯，因此 Sniffer 技术必须结合网络端口镜像技术进行配合。衍生的安全技术则通过ARP 欺骗来变相达到交换网络中的侦听。

网络端口镜像技术：在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听。
ARP 欺骗：攻击者发送假的 ARP 数据包到网上，尤其是送到网关上，目的是让送至特定 IP 地址的流量被错误送到攻击者所取代的地方。

2.4 端口扫描技术

2.4.1 原理

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型。

扫描器功能：

发现一个主机或网络。
发现该主机运行何种服务。
测试这些服务发现漏洞。

2.4.2 分类

TCP connect()：入侵者无须任何权限，速度快，但是其易被发现，也易被过滤。
TCPSYN：扫描器发送 syn 数据包，如果返回 ack/syn 表示端口处监听状态；如果返回 RST，则不在侦听。不会留下入侵记录，但需要有 root 权限。
TCPFIN：一般防火墙会过滤 syn 包，但 FIN 可以没有麻烦地通过。关闭的端口会用 RST 来响应 FIN，打开的端口则不会响应（部分系统例外）。

2.4.3 ping 命令

Ping 的原理：通过向目标主机传送一个小数据包，目标主机接收并将该包返送回来。根据返回的信息，可以推断 TCP/IP 参数是否设置正确，以及运行是否正常、网络是否通畅等。

作用：用来判断目标是否活动，最常用、最简单的探测手段。

2.5 特洛伊木马

2.5.1 木马与病毒的区别

载体：病毒依据自我复制特点定义；木马根据有效载体、功能或意图定义。
自我复制和传播：木马一般不进行自我复制，但具有寄生性；不具有普通病毒的自我繁殖特性。
意图：木马的最终意图是窃取信息、实施远程监控；与合法远程控制软件的主要区别在于是否具有隐蔽性和非授权性。

2.5.2 木马的组成

木马系统软件一般由木马配置程序、控制程序和木马程序 (服务器程序) 三部分组成。

2.5.3 木马攻击过程

木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道。控制端借助这条通道与服务端取得联系，并通过木马程序对服务端进行远程控制。

2.5.4 传播方式

捆绑欺骗：把木马服务端和某个游戏/软件捆绑成一个文件，通过即时通讯工具、邮件、下载工具等渠道发送。
钓鱼欺骗 (Phishing)：构造链接或网页，利用社会工程学欺骗方法，诱导用户输入隐私信息。
漏洞攻击：利用操作系统和应用软件的漏洞进行的攻击。
网页挂马：攻击者在正常页面中插入一段代码，浏览者打开页面时执行代码，下载并运行木马服务器端程序。

三、防火墙技术

3.1 防火墙基础

防火墙：设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络。属于内部范围的业务，依照协议在授权许可下进行；外部对内部网络的访问受到防火墙的限制。

防火墙功能：

过滤进出网络的数据
管理进出网络的访问行为
封堵某些禁止的访问行为
记录通过防火墙的信息内容和活动
对网络攻击进行检测和告警

3.1.1 访问控制机制演变

路由器—>ACL 访问控制列表
包过滤防火墙—>根据 IP 五元组判断能否通过
状态监测防火墙—>根据应用判断能否通过
应用代理防火墙—>根据应用判断能否通过
多检测机制防火墙—>根据多个 IP 包判断整体应用后判断能否通过
多功能集成网关 (下一代防火墙)—>嵌入多种防护功能，经过多层过滤后判断能否通过

3.1.2 防火墙类型详解

1. 包过滤防火墙

数据包过滤 (Packet Filtering) 技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表 (ACL)。

优点：逻辑简单，透明性强，网络性能影响小，开销小，设备便宜。
缺点：无法对数据包内容进行过滤审核；不能在高一层检测数据；防止欺骗攻击很难；所有可能用到的端口必需放开；在复杂网络中难管理。

2. 状态检测防火墙

由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表 (state tables) 来追踪活跃的 TCP 会话。

检查点：检查数据包是否是已建立通信流的一部分；若不匹配规则集则检测；根据路由转发并更新连接表；检测 FIN 位及会话超时。
优点：更高的安全性，高效性，应用范围广。
缺点：不能对应用层数据进行控制，不能产生高层日志，配置复杂。

3. 应用代理防火墙

也称为应用层网关 (Application Gateway)，工作在应用层，其核心是代理进程。

自适应代理：在每个连接通信的开始需要在应用层接受检测，后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。
优点：可以检查应用层、传输层和网络层的协议特征；代理完全控制会话，提供详细日志和安全审计；隐藏内部网 IP 地址；集成认证机制。
缺点：要求用户改变行为或安装特殊软件；实现困难，升级麻烦；影响用户网络速度；不能防止 SYN 攻击。

4. 复合型防火墙

综合了状态检测与应用代理的新一代的防火墙。对整个报文进行访问控制和处理，具体检测内容由策略决定。

优点：可以检查整个数据包的内容；根据需要建立连接状态表；网络层保护强；应用层控制细。
缺点：会话控制较弱。

5. 深度检测防火墙

对于简单包过滤、状态检测和应用代理防火墙，他们只是检查单个报文。深度检测防火墙可以将不同报文，在防火墙内部，模拟成应用层客户端或服务器端，对整个报文进行重组，合成一个会话来进行理解，进行访问控制。

优点：网络层、应用层、会话层保护强；前后报文有联系，可以关联进行处理。
缺点：不能防病毒传播；不能防止一些未知的入侵或攻击。

3.2 防火墙设计原则及优缺点

3.2.1 设计原则

过滤不安全服务的原则：防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放。
屏蔽非法用户的原则：防火墙可先允许所有的用户和站点对内部网络的访问，然后网络管理员按照 IP 地址对未授权的用户或不信任的站点进行逐项屏蔽。

3.2.2 优缺点

优点：允许管理员定义中心扼制点；保护脆弱服务；方便监视网络安全并报警；集中安全性；增强保密性；审计和记录网络流量的最佳地方。
缺点：限制有用的服务；不能有效防止内部攻击；Internet 防火墙不能防止通过防火墙以外的攻击；不能完全防止传送已感染病毒的文件和软件；无法防范数据驱动型攻击；不能防备新的网络安全问题。

3.3 防火墙体系结构

屏蔽主机网关 (Screened Host Gateway)：一个分组过滤路由器连接外部网络，一个堡垒主机安装在内部网络上。通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机。
屏蔽子网 (Screened Subnet Firewall)：在内部网络和外部网络之间增加一个子网，称为边界网络 Perimeter Network，也称为非军事区 DMZ。
- 内部路由器：负责管理 DMZ 到内部网，仅接收来自堡垒主机的数据包。
- 外部路由器：防范通常的外部攻击，管理 Internet 到 DMZ 的访问。
- 堡垒主机：安全防护、运行各种代理服务。

3.4 硬件防火墙的性能指标

吞吐量：在不丢包的情况下能够达到的最大速率。吞吐量小就会造成网络新的瓶颈。
延时：入口输入帧最后一个比特到达至出口处输出帧的第一个比特输出所用的时间间隔。体现处理数据的速度。
丢包率：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比。影响稳定性、可靠性。
背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。体现缓冲容量。
最大并发连接数：穿越防火墙的主机之间与防火墙之间能同时建立的最大连接数。测试建立和维持 TCP 连接的性能。
每秒新建连接数：防火墙由开始建立连接直到达到最大连接数的速率指标。

3.5 分布式防火墙

边界防火墙的固有欠缺：结构上受限制；内部不够安全；效率不高；单点故障。

3.5.1 定义

狭义：驻留在网络主机中，如服务器或桌面机，并对主机系统自身提供安全防护的软件产品。
广义：一种新的防火墙体系结构，包含网络防火墙、主机防火墙、中心管理等。
- 网络防火墙：用于内部网与外部网之间和内部网子网之间的防护产品。
- 主机防火墙：对于网络中的服务器和桌面机进行防护。
- 中心管理：总体安全策略的策划、管理、分发及日志的汇总。

优点：增加系统安全性（针对主机入侵监测、内部攻击防范）；保证系统性能（消除结构性瓶颈）；系统的可扩展性。

四、密码学基础

4.1 定义

密码技术通过信息的变换或编码，将机密消息变成乱码型文字，使非指定的接收者不能由其截获的乱码中得到任何有意义的信息，并且不能伪造任何乱码型的信息。

研究密码技术的学科称为密码学 (cryptology)，它包含两个分支：

密码编码学 (cryptography)：对信息进行编码实现信息隐蔽。
密码分析学 (cryptanalysis)：研究分析如何破译密码。

术语：

明文 (PlainText)：未加密的消息。
密文 (Cipher)：被加密的消息。
加密 (Encryption)：伪装消息以隐藏内容的过程。
解密 (Decryption)：把密文转变为明文的过程。
密钥 (Key)：参与变换的参数。
加密算法：对明文进行加密时采用的一组规则。
解密算法：对密文解密时采用的一组规则。

4.2 对称和非对称加密

对称密钥算法：K1 与 K2 相同。
非对称密钥算法：K1 和 K2 可以相同，也可以不同。

对比

单钥密码体制：收发双方使用同一密钥。优点是保密强度高，运算速度快；缺点是密钥数目大，密钥分配困难，无法实现不可否认服务。
公钥容码体制：加密密钥 K 是公开的，解密密钥 K 必须保密。特点是实现信息公开加密，实现不可否认服务；缺点是加解密运算复杂，速度较慢。

两类密码攻击法

穷举法
分析破译法

常见密码分析攻击

唯密文攻击：密码分析者有一些用同一加密算法加密的消息的密文，任务是恢复尽可能多的明文或推算出密钥。
已知明文攻击：得到一些消息的密文和相应的明文后，推出用来加密的密钥或导出算法。
选择明文攻击：分析者能够进入源系统，插入自己选定的明文，比较明文和对应的密文信息。
自适应选择明文攻击：选择明文攻击的特殊情况，基于以前加密的结果修正选择。
选择密文攻击：密码分析者能选择不同的被加密的密文，并可得到相应的明文，任务是推出密钥。

数字签名

数字签名主要用于验证信息的完整性和发送者的身份，确保不可否认性。通常结合哈希算法和公钥加密技术实现。

4.3 加密算法

经典密码：替代密码（凯撒密码、Vigenere）、置换密码（列换位法、矩阵换位法）。
对称加密算法：DES、AES。
非对称公钥算法：RSA、背包密码、McEliece 密码、Rabin、椭圆曲线、EIGamal、D_H。

注：本文档整理自网络安全基础教学资料，旨在普及网络安全核心概念与防护技术。

网络安全基础知识点

一、网络安全概述

1.1 定义

信息安全：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

网络安全：

防止未授权的用户访问信息
防止未授权而试图破坏与修改信息

1.2 信息安全特性

可用性：确保授权用户在需要时可以访问信息并使用相关信息资产。
完整性：保护信息和信息的处理方法准确而完整。
机密性：确保只有经过授权的人才能访问信息。

1.3 网络安全的威胁

主动攻击：以各种方式有选择地破坏信息。包括添加、修改、删除、伪造、重放、乱序、冒充、病毒等。
被动攻击：不干扰网络信息系统正常工作。包括侦听、截获、窃取、破译和业务流量分析及电磁泄露等。

恶意攻击类型：特洛伊木马、黑客攻击、后门、计算机病毒、拒绝服务攻击、内外部泄密、蠕虫、逻辑炸弹、信息丢失篡改销毁。

主要攻击手段详解

黑客攻击：黑客使用计算机作为攻击主体，发送请求，被攻击主机成为攻击对象的远程系统，进而被窃取信息。
特洛伊木马：通过电子邮件或注入免费游戏一类的软件进行传播。当软件或电子邮件附件被执行后，特洛伊木马被激活，释放有效负载，监视计算机活动，安装后门程序，或者向黑客传输信息。
拒绝服务攻击 (DoS)：指故意的攻击网络协议实现的缺陷或直接通过暴力手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接。
- 带宽攻击：以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。
- 连通性攻击：用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。
分布式拒绝服务攻击 (DDoS)：
- 被攻击主机上有大量等待的 TCP 连接。
- 网络中充斥着大量的无用的数据包。
- 源地址为假，制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。
- 利用受害主机提供的传输协议上的缺陷反复高速地发出特定的服务请求，使主机无法处理所有正常请求。
- 严重时会造成系统死机。
病毒：寄生在宿主文件中，将病毒代码嵌入到宿主文件中，针对本地程序或文件，宿主程序运行时被触发传染。防治的关键是将病毒代码从宿主文件中摘除。
蠕虫：独立存在的程序个体，通过自身拷贝进行传染。针对网络上的其他计算机，通过系统漏洞进行传染。防治的关键是为系统打补丁。
漏洞：指硬件、软件或策略上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限，非法用户就可以为所欲为，从而造成对网络安全的威胁。
- 区别于后门：后门是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令。漏洞是难以预知的，后门则是人为故意设置的。
TCP 劫持攻击：A 尝试和 B 建立加密会话，黑客劫持通讯，假装是 B，然后和 A 交换密钥，然后假装是 A 和 B 建立会话。
IP 欺骗：黑客更改原地址欺骗防火墙，防火墙允许数据包通过，将其误认为合法的通信，欺骗后的数据包进入内联网进行破坏。

1.4 网络安全的特征

保密性：网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。常用的保密技术包括物理保密（限制、隔离、掩蔽）、防窃听、防辐射、信息加密。
完整性：网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性。保障方法包括良好的协议、密码校验和方法、数字签名、公证。
可靠性：系统能够在规定条件和时间内完成规定功能的特性。通过抗毁性、生存性与有效性进行衡量。提高可靠性需要强调减少系统中断的次数。
可用性：网络信息可被授权实体访问并按需求使用的特性。提高可用性需要强调减少从灾难中恢复的时间。
不可否认性：在网络信息系统的信息交互过程中，确信参与者的真实同一性。保证方法包括利用信息源证据、递交接收证据、数字签名技术。
可控性：对信息的传播及内容具有控制能力，防止不良内容的传播。

二、入侵方式

2.1 黑客

2.1.1 入侵方法

物理侵入：侵入者绕过物理控制而获得对系统的访问。方法包括控制台特权一直到物理参与系统并且移走磁盘。
系统侵入：已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用漏洞获得系统管理员权限的机会。
远程侵入：通过网络远程进入系统。侵入者从无特权开始这种侵入方式，包括多种形式。如果在他和受害主机之间有防火墙存在，侵入就复杂得多。

2.1.2 系统的威胁

软件 Bug：存在于服务器后台程序、客户程序、操作系统、网络协议栈。
系统配置：缺省配置易被利用；懒惰的系统管理员导致无口令主机；生成的漏洞；信任的关系（跳板攻击）。
口令解密：字典攻击（匹配加密字典）、暴力破解（尝试所有字符组合）。
监听不安全的通信：共享媒体（传统以太网）、服务器监听（交换机环境下的路由监听）、远程监听。
设计的缺点：TCP/IP 协议缺点、系统设计缺点。

2.2 IP 欺骗与防范

IP 欺骗就是伪造数据包源 IP 地址的攻击，它基于两个前提：

TCP/IP 网络在路由数据包时，不对源 IP 地址进行判断。
主机之间有信任关系存在（基于 IP 地址认证）。

2.2.1 TCP 等 IP 欺骗基础知识

TCP 数据报首部标志域：

URG: 紧急数据标志。
ACK: 确认标志。
PSH: 推标志。
RST: 复位标志。
SYN: 同步标志，用于三次握手建立。
FIN: 结束标志。

TCP 三次握手过程：

A 发送带有 SYN 标志的数据段通知 B 需要建立 TCP 连接，设置初始序列号 ISN。
B 回传给 A 一个带有 SYN+ACK 标志的数据段，告诉 A 自己的 ISN，并确认 A 的数据段。
A 确认收到的 B 的数据段，设置 acknowledge number 为 B 的 ISN+1。

信任与认证：

基于口令的认证：如 SMTP、Telnet。
基于 IP 地址的认证：如 rlogin，首先基于信任关系，其次才进行口令认证。

2.2.2 IP 欺骗可行的原因

IP 协议是非面向连接、非可靠传输的协议，数据包松散发送，可以伪造源地址。
TCP 是面向连接、提供可靠传输的协议。
面向连接要求先建立连接才能交换数据。
可靠性由数据包中的控制字提供，其中 SYN 和 ACK 是关键。

2.2.3 IP 欺骗过程

选定目标主机：利用端口扫描、网络监听工具查看有哪些机器和目标主机进行 TCP/IP 连接。
寻找目标主机信任的主机：尝试显示目标主机的文件系统 export 或使用 rpcinfo 分析。
控制被信任的主机：向被信任主机的 TCP 发送大量 SYN 请求，使其队列达到上限，无法响应目标主机的 SYN 请求（DoS 攻击）。
采样序列号猜测：伪装成被信任主机的 IP 地址，将 SYN 请求返回给目标主机，采样并猜测序列号。
建立连接，种植后门：一旦建立 TCP/IP 连接，通过安全性较弱的端口种植后门程序。
进行远程控制：断开与被信任主机的连接，全身而退，寻找时机对目标主机进行非法操作。

2.2.4 IP 欺骗原理

序列号猜测的重要性：攻击者 X 冒充受攻击目标 A 信任的对象 B，如果能连接成功，不再需要口令就能登录 A。X 必须'猜'到 A 的序列号 (ISN)。

序列号猜测的过程：

X 首先连接 A 的 SMTP 端口，试探其 ISN 变化规律。
X 必须马上假冒 B 来与 A 建立 rlogin 连接，否则其他主机可能建立新连接导致序列号不准。

不同网络环境下的序列号猜测：

同一局域网：容易实现，可用嗅探技术。
外网：非常困难，但理论可行。

2.2.5 IP 欺骗防范

使用较强壮的随机序列号生成器。
在边界路由器上进行源地址过滤，禁止外来却使用本地 IP 的数据包进入。
禁止 r-类型的服务，用 SSH 代替 rlogin。
在通信时要求加密传输和验证。
分割序列号空间，每个连接有独立的序列号空间。

2.3 Sniffer 探测与防范

2.3.1 Sniffer 原理

广播类网络上，可以将网络适配器设为接收相应广播域上传输的所有帧。
Sniffer 属第二层次（数据链路层）的攻击，通常是攻击者已经进入了目标系统。
如果 Sniffer 运行在路由器或有路由器功能的主机上，可同时监视多个广播域。
通常只需看到数据包的前 200-300 个字节，就能发现用户名和口令等信息。

2.3.2 Sniffer 防范

设法保证系统不被入侵。
加密传输，使收集的信息无法解读。
采用安全拓扑结构，采用交换技术分割广播域。

网络端口镜像技术：在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听。
ARP 欺骗：攻击者发送假的 ARP 数据包到网上，尤其是送到网关上，目的是让送至特定 IP 地址的流量被错误送到攻击者所取代的地方。

2.4 端口扫描技术

2.4.1 原理

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型。

扫描器功能：

发现一个主机或网络。
发现该主机运行何种服务。
测试这些服务发现漏洞。

2.4.2 分类

TCP connect()：入侵者无须任何权限，速度快，但是其易被发现，也易被过滤。
TCPSYN：扫描器发送 syn 数据包，如果返回 ack/syn 表示端口处监听状态；如果返回 RST，则不在侦听。不会留下入侵记录，但需要有 root 权限。
TCPFIN：一般防火墙会过滤 syn 包，但 FIN 可以没有麻烦地通过。关闭的端口会用 RST 来响应 FIN，打开的端口则不会响应（部分系统例外）。

2.4.3 ping 命令

作用：用来判断目标是否活动，最常用、最简单的探测手段。

2.5 特洛伊木马

2.5.1 木马与病毒的区别

载体：病毒依据自我复制特点定义；木马根据有效载体、功能或意图定义。
自我复制和传播：木马一般不进行自我复制，但具有寄生性；不具有普通病毒的自我繁殖特性。
意图：木马的最终意图是窃取信息、实施远程监控；与合法远程控制软件的主要区别在于是否具有隐蔽性和非授权性。

2.5.2 木马的组成

木马系统软件一般由木马配置程序、控制程序和木马程序 (服务器程序) 三部分组成。

2.5.3 木马攻击过程

2.5.4 传播方式

捆绑欺骗：把木马服务端和某个游戏/软件捆绑成一个文件，通过即时通讯工具、邮件、下载工具等渠道发送。
钓鱼欺骗 (Phishing)：构造链接或网页，利用社会工程学欺骗方法，诱导用户输入隐私信息。
漏洞攻击：利用操作系统和应用软件的漏洞进行的攻击。
网页挂马：攻击者在正常页面中插入一段代码，浏览者打开页面时执行代码，下载并运行木马服务器端程序。

三、防火墙技术

3.1 防火墙基础

防火墙功能：

过滤进出网络的数据
管理进出网络的访问行为
封堵某些禁止的访问行为
记录通过防火墙的信息内容和活动
对网络攻击进行检测和告警

3.1.1 访问控制机制演变

路由器—>ACL 访问控制列表
包过滤防火墙—>根据 IP 五元组判断能否通过
状态监测防火墙—>根据应用判断能否通过
应用代理防火墙—>根据应用判断能否通过
多检测机制防火墙—>根据多个 IP 包判断整体应用后判断能否通过
多功能集成网关 (下一代防火墙)—>嵌入多种防护功能，经过多层过滤后判断能否通过

3.1.2 防火墙类型详解

1. 包过滤防火墙

数据包过滤 (Packet Filtering) 技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表 (ACL)。

优点：逻辑简单，透明性强，网络性能影响小，开销小，设备便宜。
缺点：无法对数据包内容进行过滤审核；不能在高一层检测数据；防止欺骗攻击很难；所有可能用到的端口必需放开；在复杂网络中难管理。

2. 状态检测防火墙

由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表 (state tables) 来追踪活跃的 TCP 会话。

检查点：检查数据包是否是已建立通信流的一部分；若不匹配规则集则检测；根据路由转发并更新连接表；检测 FIN 位及会话超时。
优点：更高的安全性，高效性，应用范围广。
缺点：不能对应用层数据进行控制，不能产生高层日志，配置复杂。

3. 应用代理防火墙

也称为应用层网关 (Application Gateway)，工作在应用层，其核心是代理进程。

自适应代理：在每个连接通信的开始需要在应用层接受检测，后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。
优点：可以检查应用层、传输层和网络层的协议特征；代理完全控制会话，提供详细日志和安全审计；隐藏内部网 IP 地址；集成认证机制。
缺点：要求用户改变行为或安装特殊软件；实现困难，升级麻烦；影响用户网络速度；不能防止 SYN 攻击。

4. 复合型防火墙

综合了状态检测与应用代理的新一代的防火墙。对整个报文进行访问控制和处理，具体检测内容由策略决定。

优点：可以检查整个数据包的内容；根据需要建立连接状态表；网络层保护强；应用层控制细。
缺点：会话控制较弱。

5. 深度检测防火墙

优点：网络层、应用层、会话层保护强；前后报文有联系，可以关联进行处理。
缺点：不能防病毒传播；不能防止一些未知的入侵或攻击。

3.2 防火墙设计原则及优缺点

3.2.1 设计原则

过滤不安全服务的原则：防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放。
屏蔽非法用户的原则：防火墙可先允许所有的用户和站点对内部网络的访问，然后网络管理员按照 IP 地址对未授权的用户或不信任的站点进行逐项屏蔽。

3.2.2 优缺点

优点：允许管理员定义中心扼制点；保护脆弱服务；方便监视网络安全并报警；集中安全性；增强保密性；审计和记录网络流量的最佳地方。
缺点：限制有用的服务；不能有效防止内部攻击；Internet 防火墙不能防止通过防火墙以外的攻击；不能完全防止传送已感染病毒的文件和软件；无法防范数据驱动型攻击；不能防备新的网络安全问题。

3.3 防火墙体系结构

屏蔽主机网关 (Screened Host Gateway)：一个分组过滤路由器连接外部网络，一个堡垒主机安装在内部网络上。通常在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络唯一可直接到达的主机。
屏蔽子网 (Screened Subnet Firewall)：在内部网络和外部网络之间增加一个子网，称为边界网络 Perimeter Network，也称为非军事区 DMZ。
- 内部路由器：负责管理 DMZ 到内部网，仅接收来自堡垒主机的数据包。
- 外部路由器：防范通常的外部攻击，管理 Internet 到 DMZ 的访问。
- 堡垒主机：安全防护、运行各种代理服务。

3.4 硬件防火墙的性能指标

吞吐量：在不丢包的情况下能够达到的最大速率。吞吐量小就会造成网络新的瓶颈。
延时：入口输入帧最后一个比特到达至出口处输出帧的第一个比特输出所用的时间间隔。体现处理数据的速度。
丢包率：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比。影响稳定性、可靠性。
背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。体现缓冲容量。
最大并发连接数：穿越防火墙的主机之间与防火墙之间能同时建立的最大连接数。测试建立和维持 TCP 连接的性能。
每秒新建连接数：防火墙由开始建立连接直到达到最大连接数的速率指标。

3.5 分布式防火墙

边界防火墙的固有欠缺：结构上受限制；内部不够安全；效率不高；单点故障。

3.5.1 定义

狭义：驻留在网络主机中，如服务器或桌面机，并对主机系统自身提供安全防护的软件产品。
广义：一种新的防火墙体系结构，包含网络防火墙、主机防火墙、中心管理等。
- 网络防火墙：用于内部网与外部网之间和内部网子网之间的防护产品。
- 主机防火墙：对于网络中的服务器和桌面机进行防护。
- 中心管理：总体安全策略的策划、管理、分发及日志的汇总。

优点：增加系统安全性（针对主机入侵监测、内部攻击防范）；保证系统性能（消除结构性瓶颈）；系统的可扩展性。

四、密码学基础

4.1 定义

研究密码技术的学科称为密码学 (cryptology)，它包含两个分支：

密码编码学 (cryptography)：对信息进行编码实现信息隐蔽。
密码分析学 (cryptanalysis)：研究分析如何破译密码。

术语：

明文 (PlainText)：未加密的消息。
密文 (Cipher)：被加密的消息。
加密 (Encryption)：伪装消息以隐藏内容的过程。
解密 (Decryption)：把密文转变为明文的过程。
密钥 (Key)：参与变换的参数。
加密算法：对明文进行加密时采用的一组规则。
解密算法：对密文解密时采用的一组规则。

4.2 对称和非对称加密

对称密钥算法：K1 与 K2 相同。
非对称密钥算法：K1 和 K2 可以相同，也可以不同。

对比

单钥密码体制：收发双方使用同一密钥。优点是保密强度高，运算速度快；缺点是密钥数目大，密钥分配困难，无法实现不可否认服务。
公钥容码体制：加密密钥 K 是公开的，解密密钥 K 必须保密。特点是实现信息公开加密，实现不可否认服务；缺点是加解密运算复杂，速度较慢。

两类密码攻击法

穷举法
分析破译法

常见密码分析攻击

唯密文攻击：密码分析者有一些用同一加密算法加密的消息的密文，任务是恢复尽可能多的明文或推算出密钥。
已知明文攻击：得到一些消息的密文和相应的明文后，推出用来加密的密钥或导出算法。
选择明文攻击：分析者能够进入源系统，插入自己选定的明文，比较明文和对应的密文信息。
自适应选择明文攻击：选择明文攻击的特殊情况，基于以前加密的结果修正选择。
选择密文攻击：密码分析者能选择不同的被加密的密文，并可得到相应的明文，任务是推出密钥。

数字签名

数字签名主要用于验证信息的完整性和发送者的身份，确保不可否认性。通常结合哈希算法和公钥加密技术实现。

4.3 加密算法

经典密码：替代密码（凯撒密码、Vigenere）、置换密码（列换位法、矩阵换位法）。
对称加密算法：DES、AES。
非对称公钥算法：RSA、背包密码、McEliece 密码、Rabin、椭圆曲线、EIGamal、D_H。

注：本文档整理自网络安全基础教学资料，旨在普及网络安全核心概念与防护技术。