一、PGP

PGP是1995年开发出的，是一个完整的电子邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。PGP工作原理并不复杂。提供电子邮件的安全性、发送发鉴别和报文完整性功能。具体原理请直接参考视频理解。

另外一个和安全相关的电子邮件协议是S/MIME，S/MIME协议全称“安全的多功能互联网邮件扩展”，是通过在RFCl847中定义的多部件媒体类型在MIME中打包安全服务的另一个技术。它提供认证、完整性、加密等功能。

二、PKI

PKI是一个签发证书、传播证书、管理证书、使用证书的环境。

一个典型的PKI系统如图所示，其中包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。

证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表CRL确保必要时可以废除证书。

注册机构RA是用户和CA之间的一个接口，由它来获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。RA接收用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。

PKI的核心是数字证书，证书在使用过程中会因密码泄露、客户更名等原因而被撤销。CA一般采用证书撤消列表CRL管理失效证书。

三、网络隔离

对于政务网的安全需求是在公网和外网之间实行逻辑隔离，在内网和外网之间实行物理隔离。没有连接，来自外网对内网的攻击就无从谈起。

网闸的功能有两点：摆渡，网闸其实就是模拟人工数据倒换，利用中间数据倒换区，分时地与内外网连接，但一个时刻只与一个网络连接，保持“物理的分离”，实现数据的倒换。断开了物理层和数据链路层，消除了物理层和数据链路层的漏洞。

裸体检查：在网闸工作时候，会经过一个剥离-检测-重新封装的过程，首先会把数据包做剥离分解，然后对静态的裸数据做安全审查，再用特殊的内部协议封装后转发，到达对端网络后再重新按照TCP/IP进行封装。

四、防火墙

防火墙的分类：

（1）包过滤防火墙：通过查看数据包的源地址、目的地址或端口来实现的，由此不难看出这个层次的防火墙的优点和弱点，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，这是因为防火墙只是去检查数据报的报头，而对数据报所携带的内容没有任何形式的检查，因此速度非常快。与此同时，这种防火墙的缺点也是显而易见的，由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容、无法提供描述细致事件的日志系统。

（2）代理型防火墙：应用型代理防火墙的优点是安全性较高。可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

（3）状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个的数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。例如，为数据流的第一个报文建立会话，数据流内的后续报文就会直接匹配会话转发，不需要再进行规则的检查，提高了转发效率。

防火墙的体系结构：

配置的原则也就是靠近互联网的防火墙实行宽松政策（除了非禁止不可的都被许可），靠近内网的防火墙实行严格政策（除了非允许不可的都被禁止）。一般建议两台防火墙不是同一公司的产品，进一步增加安全性。

防火墙的工作模式：

防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP 地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP 地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP 地址，某些接口无IP 地址），则防火墙工作在混合模式下。

另外注意大多情况下防火墙以直路方式连接到网络环境中，与直路部署方式相比，防火墙旁挂部署的优点主要在于：

1. 可以在不改变现有网络物理拓扑的情况下，将防火墙部署到网络中。

2. 可以有选择地将通过汇聚交换机的流量引导到防火墙上，即对需要进行安全检测的流量引导到防火墙上进行处理，对不需要进行安全检测的流量直接通过汇聚交换机转发到核心交换机。

防火墙的区域：

在华为防火墙中，每个安全区域都有一个安全级别，用1-100表示，数字越大，代表这个区域越可信。默认情况下，LOCAL区域安全级别100、Trust区域为85，DMZ为50，Untrust区域为5。

安全域间的数据流动具有方向性，包括入方向(Inbound)和出方向(Outbound)。

入方向：数据由低优先级的安全区域向高优先级的安全区域传输。

出方向：数据由高优先级的安全区域向低优先级的安全区域传输。

五、访问控制

设置ACL的一些规则：

1，默认是按顺序进行比较，先比较第一行，再比较第二行，直到最后一行；

2，从第一行起，直到找到1个符号条件的行；符合之后，其余的行就可以不用继续比较下去；

3，默认在每个ACL中最后一行都隐藏有拒绝所有或者允许所有，这个规则可以自行调整，在华为中一般是允许所有通过，思科一般是拒绝所有。

访问控制列表用来限制使用者或设备，达到控制网络流量，解决拥塞，提高安全性等。在IP网络中，可以使用的访问列表一般有基础访问列表（华为ACL的编号为为2000-2999）、高级访问列表（ACL编号是3000-3999）两种。

（1）基本访问列表

功能说明：只能基于源IP地址进行判定是否允许或拒绝数据包通过。

基本配置：

acl [number] acl-number（2000-2999）[match-order] {auto | config}

其中参数有auto和config。

当然，ACL支持两种匹配规则：

配置顺序（config）：按照用户配置规则的先后顺序进行规则匹配。系统默认的匹配顺序是config。

自动排序（auto）：按照“深度优先”的顺序进行规则匹配。系统优先考虑地址范围小的规则。

最后再把这个ACL应用在路由器的某个接口上：

[Huawei-gigabitethernet 1/0/3]traffic-filter outbound acl 2000

路由器的接口分为入方向inbound和出方向outbound。

（2）高级访问列表

高级访问控制列表可以根据源IP地址、目的IP地址、IP报文承载的协议类型、端口号等三四层信息制定规则，所以高级ACL比基本ACL过滤信息更加精准、更灵活。

配置过程：

acl [number] acl-number（3000-3999） [match-order] {auto | config}

设置访问控制列表号。

rule [rule-id] permit | deny  {protocol} source 源IP地址 反掩码 destination 目的IP地址 反掩码 destination-port eq 端口号

高级访问控制列表应该尽量放置在接近数据流的源的地方，基础的访问控制列表应该尽量放置在接近数据流的目的地方。