任何形式的网络服务都会导致安全方面的风险，问题是如何将风险降到最低程度，目前的网络安全措施有数据加密、数字签名、身份认证、防火墙、特征过滤等。

所涉内容：

1、网络安全基础	2、加密技术与哈希算法	3、数字签名	4、数字证书
5、VPN技术	6、防火墙与入侵监测技术	7、计算机病毒与防护

1、网络安全基础

认证技术

目前在用户管理方面用得比较多的主流认证技术主要有PPPoE、基于Web-Portal以及IEEE 802.1x。

三种认证技术的部分性能指标比较表
基本指标	PPPoE	Web-Portal	802.1x
组网成本	高	高	低
数据报封装开销	高	低	低
协议运行位置	数据链路层	应用层	数据链路层
IP地址分配	认证后分配	认证前分配	认证后分配
接入控制	用户	用户	端口
客户端安装	需要	不需要	需要
用户连接性	好	差	好
安全性	高	低	高
业务流与控制流	不分离	不分离	分离
支持多播业务	不支持	支持	支持
计费统计精细度	高	低	高

PPPoE

*最主要的用户人群是ADSL用户，由电信级别的运营商提供接入服务。

优点：继承了PPP协议的特点，操作简单且用户较容易接受，能够很好地实现用户计费、在线监测和速率控制等功能。

缺点：PPPoE所包含的PPP包需要再次封装进以太网报文内才能进行传输，封装效率受到一定影响；由于发现阶段的机制所限，会产生大量的广播包，不但使得网络承受了较大的压力，同时也使得基于组播的业务无法开展；

Web-Portal

*一般用于旅馆酒店，并多用于无线网络的认证。

业务类型的认证？

优点：由于使用Web页面进行用户名和密码的登入验证，所以省去了安装客户端的麻烦，也避免了系统兼容性的问题；由于承载在应用层上，无需特别的数据包封装，提高了效率，也减小了网络维护的成本。

缺点：由于Web-Portal认证协议处于OSI模型的最高层，所以对设备的要求比较高，建网的成本高；IP地址在用户授权之前就已经分配给用户，不是十分合理。Web服务器对授权用户和非授权用户而言都是可达的，因此很容易受到恶意攻击，存在安全隐患；用户的业务数据流和控制认证流无法区分，造成设备不必要的压力。

IEEE 802.1x

*普遍用于规模较大、接入用户数目庞大的以太网。

为了解决基于端口的接入控制而定义的一个标准

基于C/S的访问控制和认证协议，未经授权的用户或是设备若是未通过IEEE 802.1x协议的认证是无法通过接入端口访问网络的；用户通过认证后实现业务流和认证流分离；封装效率极高；数据分离的特点使得IEEE 802.1x认证过程变得简单；整个用户认证在二层网络上实现，可以结合MAC、端口、账户和密码等，具有很高的安全性。

3、数字签名

数字签名是非对称密钥加密技术与数字摘要技术的应用
1、能够确认发送方
2、能够确定消息的完整性
签名过程
发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要，然后用发送方的私钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再用发送方的公钥来对报文附加的数字签名进行解密，如果这两个摘要相同、那么接收方就能确认该报文是发送方的。
简易版过程：
假如 Alice 向 Bob 传送数字信息，为了保证信息传送的保密性、真实性、完整性和不可否认性，需要对传送的信息进行数字加密和签名，其传送过程为：
1.Alice 准备好要传送的数字信息（明文）；
2.Alice 对数字信息进行哈希算法，得到一个信息摘要；
3.Alice 用自己的私钥对信息摘要进行加密得到 Alice 的数字签名，并将其附在数字信息上；
4.Alice 随机产生一个加密密钥，并用此密码对要发送的信息进行加密，形成密文；
5.Alice 用 Bob 的公钥对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给Bob；
6.Bob 收到 Alice 传送来的密文和加密过的DES密钥，先用自己的私钥对加密的 DES 密钥进行解密，得到 Alice随机产生的加密密钥；
7.Bob 然后用随机密钥对收到的密文进行解密，得到明文的数字信息，然后将随机密钥抛弃；
8.Bob 用 Alice 的公钥对 Alice 的数字签名进行解密，得到信息摘要；
9.Bob 用相同的哈希算法对收到的明文再进行一次哈希算法，得到一个新的信息摘要；
10.Bob 将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。

在数字签名过程中，发送方(A)使用自己的私钥对摘要信息进行签名，接收方(B)使用发送方的公钥来验证。

A给B发送带有数字签名的消息，消息具有不可抵赖性 ——> 只有A拥有自己的私钥

B可以使用A的公钥解密数字签名获得摘要1，并使用摘要算法对消息进行哈希计算得到摘要2，摘要1和摘要2进行比对即可知道消息是否被人篡改。

4、数字证书

各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。（绑定实体和公钥）

*电子证书面向的是实体对象（自然人或单位、企业），不包含网络设备。

采用公钥体制，即利用一对互相匹配的密钥进行加密和解密。

1、一个特定的仅为本人所知的私有密钥（私钥）——> 用于解密和签名

2、一个公共密钥（公钥）——> 为一组用户所共享，用于加密和验证

数字证书包含
1、版本号
2、序列号：由同一发行者(CA)发放的每个证书的序列号是唯一的。
3、签名算法
4、发行者：指建立和签署证书的CA的X.509名字
5、有效期：包括证书有效期的起始时间和终止时间
6、主体名：指证书持有者的名称及有关信息
7、公钥：有效的公钥及其使用方法
8、发行者ID
9、主体ID
10、扩展域
11、认证机构的签名：用CA私钥对证书的签名 ——> 保证证书的真实性

用户的数字证书由某个可信的发证机构（证书授权中心 - Certification Authority, CA）建立，并由CA或用户将其放入公共目录中，以供其他用户访问。

公钥基础设施 PKI

提供了基本的安全服务，包括了身份认证，保证了数据的机密性和完整性。（不提供访问控制服务）

PKI体系中，由SSL/TSL实现HTTPS应用，浏览器在收到服务器的证书后，通过CA的公钥对CA的数字签名进行验证，验证证书是否为信任的CA证书颁发机构颁发的。浏览器使用证书中的公钥（即服务器公钥）加密随机生成一个会话密码，并发给服务器。双方通过会话密码建立对称密码加密通信。
国密SSL数字证书所采用的签名算法为 SM3 With SM2
SM2是非对称加密算法
SM3是摘要算法

PKI证书 ——> 主要用于保证主体公钥的合法性，证书中包含两个信息 A.主体的身份信息 B. 主体的公钥。 A.B.信息会被CA使用自己的私钥进行签名，以确保主体的身份和主体的公钥是正确的对应关系。

Kerberos认证服务

认证过程

①用户向认证服务器AS申请初始票据

②认证服务器AS向用户发放票据授予票据

③用户向票据授予服务器TGS请求会话票据

④票据授予服务器TGS验证用户身份后发放给用户会话票据Kav

⑤用户向应用服务器请求登录

⑥应用服务器向用户验证时间戳

5、VPN技术（Virtual Private Network）

建立在公用网上，由某一组织或某一群用户专用的通信网络
虚拟性：任意一对VPN用户之间没有专用的物理连接，而是通过ISP提供的公用网络来实现通信
专用性：VPN之外的用户无法访问VPN内部的网络资源，VPN内部用户之间可以实现安全通信

常见VPN类型

A.点对点隧道协议（Point-to-Point Tunneling Protocol，PPTP）

数据链路层

使用PPP协议对数据进行封装

只能在两端点间建立单一隧道

支持通过公共网络建立按需的、多协议的虚拟专用网络。

允许加密IP通讯

B.第二层隧道协议（Layer 2 Tunneling Protocol，L2TP）

数据链路层

使用PPP协议对数据进行封装

支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。

C.IPSec VPN

作用于网络层

IPSec隧道模式 ——> 封装-路由-解封装

隧道将原始的数据报隐藏（或封装）在新的数据包内部。

提供如下安全服务

a.数据完整性（Data Integrity）：保持数据的一致性，防止未授权地生成、修改或删除数据。

b.认证（Authentication）：保证接收的数据与发送的相同，保证实际发送者就是声称的发送者。

c.保密性（Confidentiality）：传输的数据是经过加密的，只有预定的接收者知道发送的内容。

d.应用透明的安全性（Application-transparent Security）：IPSec的安全头插入在标准的IP头和上层协议（例如TCP）之间，任何网络服务和网络应用都可以不经修改地从标准IP转向IPSec。同时，IPSec通信也可以透明地通过现有的IP路由器。

D.SSL VPN

传输层

适合基于Web的应用

E.MPLS VPN

2.5层（二层与三层之间）

6、防火墙与入侵技术

防火墙，位于两个网络之间的屏障，一边是内部网络（可信赖的网络），另一边是外部网络（不可信赖的网络）。按照系统管理员预先定义好的规则控制数据包的进出。
入侵监测和阻断，

划分防火墙的安全区域，说明每个区域的安全级别

——> 内部网络（例如内部主机、数据库服务器、DHCP服务器、FTP服务器）、外部网络（外部因特网用户主机和设备）和DMZ区域（非军事化区）。

安全级别：内部网络 > DMZ区域 > 外部网络区域

分布式防火墙

负责对网络边界、各子网和网络内部各节点之间的安全防护，根据其完成的功能，系统结构包含三个部分
1、网络防火墙，用于内外网之间，以及内部各子网之间的防护，与传统边界式防火墙相比，多了一种用于内部子网之间的安全防护层。
2、主机防火墙，用于对网络中的服务器和桌面机进行防护，达到了应用层的安全防护，比网络层的更加彻底。
3、中心管理系统，分布式防火墙的管理软件，负责总体安全策略的规划、管理、分发以及日志的汇总，提高了防火墙安全防护灵活性，同时具备高可管理性。

**解答题

企业网络配置

需要进行多级的安全部署。首先在接入层交换机上进行访问控制；采用VLAN技术通过用户隔离，对敏感信息的访问进行限制；在边界路由器上配置NAT，屏蔽内网地址信息，降低外部的攻击；边界路由器上配置ACL访问控制列表，可以实现策略控制，进行访问权限控制。

*在内部网和外部网之间、专用网和公共网之间要有专门的防护设备以抵御外部攻击。

防火墙

交换机连接方式

链路聚合：将两个或多个数据信道结合成一个单个的信道，该信道以一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。

堆叠：堆叠需要专用的堆叠模块和堆叠线缆。堆叠可以扩大网络接入规模，对所有的交换机进行统一配置和管理，达到提高交换机背板容量，实现所有交换机告诉连接的目的。