但仅仅这样就能够使得传输不出现问题了吗? 并不是, 如果存在中间人, 仅仅是在传输的过程中对次序进行颠倒, 调整. 这样在服务器端检验是发现不了任何问题的.
我们知道TCP报文是有序号的, 这也不能够防止乱序吗?
但需要知道的地方是, 加密的仅仅是从应用层传输下来的数据报, 而TCP自身的序号仍然是未经过加密的, 因此只需要修改TCP序号即可完成.
而处理的办法则是, 并非在数据中实际的包含一个字段, 而是在计算MAC的时候, 将序号纳入数据 进行计算.
SSL记录
类型, 用于指定该字段是握手报文, 还是包含应用数据的报文, 关闭SSL链接也使用此报文
版本, 自解释
长度
数据
MAC (其中4, 5 会整体进行加密)
完整描述在SSL中并没有强制性的要求双方究竟使用哪一种加密算法, 无论是对称秘钥算法还是公开秘钥算法, 又或者是某一种特定的MAC.
真正的握手阶段如下:
客户端发送它自身支持的密码算法列表, 连同客户的一个不重数.
服务器选择算法, 即 MAC, 公开密钥算法, 对称算法. 将选择, 自身证书, 自身的不重数返回给客户.
由于双向认证需求,服务端需要对客户端进行认证,会同时发送一个 client certificate request, 表示请求客户端的证书;
客户端验证证书, 提取公钥, 生成一个前主秘钥(PMS), 之后用 公钥加密PMS, 将PMS发送给服务器.
使用相同的秘钥导出函数, 客户端与服务器独立地从 PMS中计算出 相应的 主秘钥(MS),
之后该MS被切片生成所需要的四个密码(两个会话秘钥, 两个MAC秘钥)
由于服务端发起了 client certificate request, 客户端将户端的证书 clientCA一并发出;
客户端发送所有握手报文的MAC
服务器发送所有握手报文的MAC
而之所以在56步要做这样的处理 是因为, 在发送密码算法列表的时候, 此时双方还没有生成 交换密码, 是以明文发送的, 如果第三方从其中 删除掉了 较强的 加密算法, 就能够达成自身不可告人的目的. 大大减低破解难度.
结束SSL连接时, 在TCP原版中, 是直接发送 TCP FIN即可结束当前会话. 而在SSL中, 加入了类型字段, 指示当前类型为 结束会话, 虽然 类型本身为明文发送, 但是在 计算MAC时, 会使用类型计算MAC.
扩展阅读: HTTPS、SSL、TLS三者之间的联系和区别
扩展:
参考: 图解SSH原理
通过以上介绍, 很容易联想到一个问题, 即我们常常会使用的git, 使用git时即需要通过 生成自己的公钥, 私钥, 同时将公钥保存在git服务器中, 以完成我们的提交工作. 这里即使 会话秘钥, 非对称公开秘钥的联合使用. 总算不用对着 git的操作流程, 一脸懵逼.
网络安全的保障有这样多可以被攻击的手段, 并且在之前仅仅只是提到了截取数据, 修改报文等操作, 还有更多的攻击, 并不想要窃取你的数据, 各种各样的病毒, 通过计算机的种种漏洞侵入到你的设备, 控制电脑. 又或是攻击服务器, 致使服务器瘫痪.
因此, 需要能够对进入计算机的任何外来数据都做以校验, 拦截, 才能够有效阻止邪恶势力的入侵.
防火墙所谓“防火墙”是指一种将 内部网和公众访问网(如Internet) 分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙代主要是借助 硬件和软件 的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。
防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙具有三个目标:
从外部到内部, 以及从内向外的所有流量都需要通过防火墙
仅允许被授权的流量通过防火墙
防火墙自身需要免于渗透. 最坚固的堡垒往往是从内部被攻破.
防火墙分为三类:
传统的分组过滤器一个机构往往有将其内部网络 与 ISP相关联的网关路由器, 所有的流量无论进出都需要通过这个服务器, 因此它也自然承载了 分组过滤的 功能.
过滤规则一般有如下几种方式:
Ip源地址, 目的地址
协议类型字段: TCP UDP
TCP UDP 源, 目的端口
TCP 的标志bit, SYN, ACK
ICMP报文类型
进出网络采取不同的规则
不同的路由器采取不同的规则
状态分组过滤器