防火墻是在內(nèi)部網(wǎng)絡(luò)和外部因特網(wǎng)之間增加的一道安全防護(hù)措施，分為網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻。

網(wǎng)絡(luò)級(jí)防火墻層次低，但是效率高，因?yàn)槠涫褂冒^(guò)濾和狀態(tài)監(jiān)測(cè)手段，一般只檢驗(yàn)網(wǎng)絡(luò)包外在（起始地址、狀態(tài))屬性是否異常，若異常，則過(guò)濾掉,不與內(nèi)網(wǎng)通信，因此對(duì)應(yīng)用和用戶是透明的。

但是這樣的問(wèn)題是，如果遇到偽裝的危險(xiǎn)數(shù)據(jù)包就沒辦法過(guò)濾，此時(shí)，就要依靠應(yīng)用級(jí)防火墻，層次高，效率低，因?yàn)閼?yīng)用級(jí)防火墻會(huì)將網(wǎng)絡(luò)包拆開，具體檢查里面的數(shù)據(jù)是否有問(wèn)題，會(huì)消耗大量時(shí)間，造成效率低下，但是安全強(qiáng)度高。

入侵檢測(cè)系統(tǒng)IDS

防火墻技術(shù)主要是分隔來(lái)自外網(wǎng)的威脅，卻對(duì)來(lái)自內(nèi)網(wǎng)的直接攻擊無(wú)能為力，此時(shí)就要用到入侵檢測(cè)IDS技術(shù)，位于防火墻之后的第二道屏障，作為防火墻技術(shù)的補(bǔ)充。

原理：監(jiān)控當(dāng)前系統(tǒng)/用戶行為，使用入侵檢測(cè)分析引擎進(jìn)行分析，這里包含一個(gè)知識(shí)庫(kù)系統(tǒng)，囊括了歷史行為、特定行為模式等操作，將當(dāng)前行為和知識(shí)庫(kù)進(jìn)行匹配，就能檢測(cè)出當(dāng)前行為是否是入侵行為，如果是入侵，則記錄證據(jù)并上報(bào)給系統(tǒng)和防火墻，交由它們處理。

不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備，沒有跨接在任何鏈路上,無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：(1) 盡可能靠近攻擊源??(2)盡可能靠近受保護(hù)資源

入侵防御系統(tǒng)IPS

IDS和防火墻技術(shù)都是在入侵行為已經(jīng)發(fā)生后所做的檢測(cè)和分析，而IPS是能夠提前發(fā)現(xiàn)入侵行為，在其還沒有進(jìn)入安全網(wǎng)絡(luò)之前就防御。在安全網(wǎng)絡(luò)之前的鏈路上掛載入侵防御系統(tǒng)IPS，可以實(shí)時(shí)檢測(cè)入侵行為，并直接進(jìn)行阻斷，這是與IDS的區(qū)別，要注意。

殺毒軟件

用于檢測(cè)和解決計(jì)算機(jī)病毒，與防火墻和IDS要區(qū)分，計(jì)算機(jī)病毒要靠殺毒軟件，防火墻是處理網(wǎng)絡(luò)上的非法攻擊。

蜜罐系統(tǒng)

偽造一個(gè)蜜罐網(wǎng)絡(luò)引誘黑客攻擊，蜜罐網(wǎng)絡(luò)被攻擊不影響安全網(wǎng)絡(luò)，并且可以借此了解黑客攻擊的手段和原理，從而對(duì)安全系統(tǒng)進(jìn)行升級(jí)和優(yōu)化。

網(wǎng)絡(luò)攻擊和威脅

計(jì)算機(jī)病毒和木馬

病毒：編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

木馬：是一種后門程序，常被黑客用作控制遠(yuǎn)程計(jì)算機(jī)的工具，隱藏在被控制電腦上的一個(gè)小程序監(jiān)控電腦一切操作并盜取信息。

代表性病毒實(shí)例：

• 蠕蟲病毒（感染EXE文件）：熊貓燒香，羅密歐與朱麗葉，惡鷹，尼姆達(dá)，沖擊波，歡樂(lè)時(shí)光。
• 木馬: QQ消息尾巴木馬，特洛伊木馬，x臥底。
• 宏病毒（感染word、excel等文件中的宏變量）：美麗沙，臺(tái)灣1號(hào)。
• CIH病毒：史.上唯一破壞硬件的病毒。
• 紅色代碼：蠕蟲病毒+木馬。

?

網(wǎng)絡(luò)安全協(xié)議?

物理層主要使用物理手段，隔離、屏蔽物理設(shè)備等，其它層都是靠協(xié)議來(lái)保證傳輸?shù)陌踩?#xff0c;具體如下圖所示：

?

SSL協(xié)議：安全套接字協(xié)議，被設(shè)計(jì)為加強(qiáng)Web安全傳輸（HTTP/HTTPS/）的協(xié)議，安全性高，和HTTP結(jié)合之后，形成HTTPS安全協(xié)議，端口號(hào)為443.

SSH協(xié)議: 安全外殼協(xié)議，被設(shè)計(jì)為加強(qiáng)Telnet/FTP安全的傳輸協(xié)議。

SET協(xié)議：安全電子交易協(xié)議主要應(yīng)用于B2C模式（電子商務(wù)）中保障支付信息的安全性。SET協(xié)議本身比較復(fù)雜，設(shè)計(jì)比較嚴(yán)格，安全性高，它能保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。SET協(xié)議是PKI框架下的一個(gè)典型實(shí)現(xiàn)，同時(shí)也在不斷升級(jí)和完善，如SET 2. 0將支持借記卡電子交易。

Kerberost協(xié)議：是一種網(wǎng)絡(luò)身份認(rèn)證協(xié)議，該協(xié)議的基礎(chǔ)是基于信任第三方,它提供了在開放型絡(luò)中進(jìn)行身份認(rèn)證的方法，認(rèn)證實(shí)體可以是用戶也可以是用戶服務(wù)。這種認(rèn)證不依賴宿主機(jī)的操作系統(tǒng)或計(jì)算機(jī)的IP地址，不需要保證網(wǎng)絡(luò)上所有計(jì)算機(jī)的物理安全性，并且假定數(shù)據(jù)包在傳輸中可被隨機(jī)竊取和篡改。

PGP協(xié)議：使用RSA公鑰證書進(jìn)行身份認(rèn)證，使用IDEA (128位密鑰) 進(jìn)行數(shù)據(jù)加密，使用MD5進(jìn)行數(shù)據(jù)完整性驗(yàn)證。

• 發(fā)送方A有三個(gè)密鑰: A的私鑰、B的公鑰、A生成的一次性對(duì)稱密鑰;
• 接收方B有兩個(gè)密鑰: B的私鑰、A的公鑰。
  ?

?

總結(jié)

以上是生活随笔為你收集整理的软考笔记——5.2网络安全技术的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。