上一篇计算机网络笔记实在是太长，并且一般在学校里，也只学习到应用层为止，所以这里把网络安全的部分区分开来，另写一篇文章。文章的脉络依旧是按照《计算机网络（第六版）》和韩立刚老师的视频课程。

网络安全

包含

• 数据存储安全
• 应用程序安全
• 操作系统安全
• 网络安全
• 物理层安全

面临的威胁：截获、中断、篡改、伪造

计算机面对的威胁：恶意程序（rogue program）

1. 计算机病毒：会传染其它程序的一种应用程序；而传染，通过修改其他程序 将自身或者其变种 复制进去 来完成的。eg。熊猫烧香

2. 计算机蠕虫：由网络的通信功能将自身从一个节点发送发送到另一个节点并启动运行的程序（消耗系统资源，CPU）

3. 特洛伊木马：一种程序，执行的功能超出所声称的功能（eg.灰鸽子）
   检查是否有木马 .查看回话netstat -n是否有可以会话
   或 运行msconfig服务 隐藏微软服务

4. 逻辑炸弹：一种当运行环境满足某种特定条件时执行其他特殊功能的程序

应用层安全

加密：

1. 对称加密 ：加密解密用同一种方式替换
   优点：加密效率高
   缺点：秘钥网上传输易被截获；与多个用户间传递信息需要保留多种秘钥，维护不便

2. 非对称加密：加密及解密秘钥不同，密钥对，分为公钥、私钥
   公钥加密私钥解密 和 私钥加密公钥解密
   公私钥无法相互推出对方

数据加密标准DES：常规秘钥密码体体制，是一种分组密码，公开取决于秘钥长度

网络层安全——IPSec

安全关联SA（Scurity Association）

若需进行数据报 签名→AH协议
签名+加密→ESP协议
鉴别首部AH（Authentication Header）AH鉴别圆点和检查数据完整性，但不能保密



（配置IPSEc实现安全通信 略）

Internet 上使用的两个安全协议

imaps ：tcp-993
pop3s ：tcp-995
smtps ：tcp-465
https ：tcp-443

数据链路层安全

主要是线路的安全，每段间进行加密解密

数据链路层身份验证 eg.PPP 支持身份验证
eg.ADSL

防火墙（firewall）

防火墙是由软件、硬件构成的系统，是一种特殊变成的额路由器，用来在两个网络之间实施接入控制策略，而接入控制策略由使用防火墙的单位自行制订，以最合适本单位需要。

防火墙内的网络称为“可信赖的网络”（trusted network），而将外部的因特网称为“不可信赖的网络”
防火墙可以用来解决内联网和外联网的安全问题

（1）？
（2）网络级防火墙——用来防止整个网络出现外来非法的入侵，属于这类的有分组过滤和授权服务器，前者检查所有流入本网络的信息，然后拒绝不符合事先指定好的一套准则的数据，而后者则是检查用户的登录是否合法。
（3）应用级防火墙——从应用程序来进行接入控制，通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止FTP应用的通过。

？eg. ISA TMG

分类：
网络层防火墙：基于数据报 源地址 目标地址 协议和端口 控制流量
应用层防火墙：数据报 源地址 目标地址写 端口 用户名时间段 内容 防病毒进入内网

防火墙网络拓扑：
边缘防火墙

三向外围网

DMZ（企业服务器）

背靠背防火墙

单一网卡防火墙

其它安全问题：无线网络安全 操作系统的安全 网站安全等