6.6 安全技术的应用

　　1.身份技术认证：

　　⑴S/KEY协议(一次性口令认证协议)→服务器产生 解决不必人为保存口令的特点

　　⑵PPP(点到点认证协议)：用于拨号网络

　　认证方式：PAP 不加密，用户名和密码以明文的方式传递 不安全

　　CHAP(智寻身份认证协议) 加密，可用Windows和Unix上

　　MSCHAP/MSCHAP V2 →只能用于微软操作系统下

　　使用可扩展的身份认证协议EAP 刷卡登陆等其他方式

　　Kerberos协议 →Win2000系统下使用的身份认证协议，还具有审记和记费功能

　　DES进行加密，双向密码对称协议

　　2.电子邮件的安全性

　　⑴PGP(最好的私密性)：加密的协议，只用于邮件系统。

　　对称密钥体制最早使用IDEA，后来使用TDEA。

　　非对称密钥体制开始使用RSA，后来使用DSS。

　　⑵SIME(安全的多目因特网邮件扩展协议)：

　　目前邮件认证签名中应用比较广泛的协议。

　　3.WEB安全性

　　⑴WEB服务器的安全

　　WEB站点的访问控制级别：

　　①IP地址限制 ②用户身份验证 ③WEB权限 ④硬盘分区权限

　　⑵浏览器的安全

　　Cookie:客户机硬盘上的小文件,能够被外部访问。

　　⑶WEB的通信安全

　　①SSL(安全套接层)

　　作用：

　　⑴让服务器验证客户的身份　

　　⑵让客户验证服务器的身份

　　⑶加密服务器和客户机之间传递的信息

　　②IPSEC(IP安全性)

　　6.7 防火墙技术

　　概念：（应用层，网络层）

　　防火墙是设置在不同网络或网络安全域之间的一系列不见的组合。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽网络内部的消息，结构和运行情况，以此来实现网络的安全保护。

　　2.防火墙总体上分为数据包过滤、应用级网关和代理等几大类型。

　　3.数据包过滤技术是在网络层对数据包进行选择。它通常安装在路由器上。

　　4.应用级网关是在网络应用层上建立协议过滤和转发功能。它通常安装在专用工作站系统上。

　　5.防火墙的设计目标：

　　⑴进出内部网络的通信量必须通过防火墙。

　　⑵只有那些在内部网络安全策略中定义的合法的通信量才能进出防火墙。

　　⑶防火墙自身应该防止渗透。

　　6.防火墙的缺点：（需要掌握的重点）

　　⑴无法阻止来自绕过防火墙的攻击

　　⑵无法阻止来自内部系统的威胁

　　⑶无法防病毒

　　7.防火墙的功能：

　　⑴控制进出网络的信息流向和信息包。

　　⑵提供使用和流量的日志和审记。

　　⑶隐藏内部IP以及网络结构细节。

　　⑷提供虚拟专用网络(VPN)功能。

　　8.防火墙的设计策略：⑴允许所有的服务除非明确被禁止 ⑵禁止所有服务除非明确被允许

　　9.防火墙的设计策略包括网络策略和服务访问策略。

　　10.影响防火墙系统设计，安装和使用的网络策略可以分为两级：

　　⑴高级的网络策略定义允许和禁止的服务以及如何使用服务。

　　⑵低级的网络策略描述了防火墙如何限制和过滤在高级策约中定义的服务。

　　防火墙实现站点安全策略的技术：服务控制、方向控制、用户控制、行为控制

　　⑴服务控制。确定在围墙外面和里面可以访问的因特网服务类型。

　　⑵方向控制。启动特定的服务请求并允许它通过防火墙，这些操作具有方向性。

　　⑶用户控制。根据请求访问的用户来确定是或提供该服务。

　　⑷行为控制。控制如何使用某种特定的服务。

　　防火墙部署的位置：⑴VLAN(虚拟局域网)之间

　　⑵外部网络和内部网络之间

　　⑶总部的局域网和分支的局域网之间