網路安全工作原理圖解

1. 什麼是網路安全架構

網路架構（Network Architecture）是為設計、構建和管理一個通信網路提供一個構架和技術基礎的藍圖。網路構架定義了數據網路通信系統的每個方面，包括但不限於用戶使用的介面類型、使用的網路協議和可能使用的網路布線的類型。網路架構典型地有一個分層結構。分層是一種現代的網路設計原理，它將通信任務劃分成很多更小的部分，每個部分完成一個特定的子任務和用小數量良好定義的方式與其它部分相結合。

2. 如何學習網路安全知識

首先，必須（時刻）意識到你是在學習一門可以說是最難的課程，是網路專業領域的頂尖課程，不是什麼人、隨隨便便就能學好的。不然，大家都是黑客，也就沒有黑客和網路安全的概念了。
很多朋友抱著學一門課程、讀好一本書就可以掌握網路安全的知識和技能。不幸的是，網路安全技術決不是幾本書、幾個月就可以速成的。你需要參考大量的參考書。
另一方面，在學校接受的傳統教育觀念使我們習慣由老師來指定教材、參考書。遺憾的是走向了社會，走到工作崗位，沒有人給你指定解決這個安全問題需要什麼參考書，你得自己研究，自己解決問題。
網路安全涉及的知識面廣、術語多、理論知識多。正給學習這門課程帶來很多困難。也需要我們投入比其它課程多的時間和精力來學習它。
概括來說，網路安全課程的主要內容包括：
l 安全基本知識
l 應用加密學
l 協議層安全
l Windows安全（攻擊與防禦）
l Unix/Linux安全（攻擊與防禦）
l 防火牆技術
l 入侵監測系統
l 審計和日誌分析
下面分別對每部分知識介紹相應的具體內容和一些參考書（正像前面提到的那樣，有時間、有條件的話，這些書都應該看至少一遍）。
一、安全基本知識
這部分的學習過程相對容易些，可以花相對較少的時間來完成。這部分的內容包括：安全的概念和定義、常見的安全標准等。
大部分關於網路安全基礎的書籍都會有這部分內容的介紹。
下面推薦一些和這部分有關的參考書：
l 《CIW：安全專家全息教程》 魏巍 等譯，電子工業出版社
l 《計算機系統安全》 曹天傑，高等教育出版社
l 《計算機網路安全導論》 龔儉，東南大學出版社
二、應用加密學
加密學是現代計算機（網路）安全的基礎，沒有加密技術，任何網路安全都是一紙空談。
加密技術的應用決不簡單地停留在對數據的加密、解密上。密碼學除了可以實現數據保密性外、它還可以完成數據完整性校驗、用戶身份認證、數字簽名等功能。
以加密學為基礎的PKI（公鑰基礎設施）是信息安全基礎設施的一個重要組成部分，是一種普遍適用的網路安全基礎設施。授權管理基礎設施、可信時間戳服務系統、安全保密管理系統、統一的安全電子政務平台等的構築都離不開它的支持。
可以說，加密學的應用貫穿了整個網路安全的學習過程中。因為之前大多數人沒有接觸過在這方面的內容，這是個弱項、軟肋，所以需要花費比其它部分更多的時間和精力來學習。也需要參考更多的參考書。
下面推薦一些和這部分有關的參考書：
l 《密碼學》 宋震，萬水出版社
l 《密碼工程實踐指南》 馮登國 等譯，清華大學出版社
l 《秘密學導引》 吳世忠 等譯，機械工業（這本書內容較深，不必完全閱讀，可作為參考）
三、協議層安全
系統學習TCP/IP方面的知識有很多原因。要適當地實施防火牆過濾，安全管理員必須對於TCP/IP的IP層和TCP/UDP層有很深的理解、黑客經常使用TCP/IP堆棧中一部分區或來破壞網路安全等。所以你也必須清楚地了解這些內容。
協議層安全主要涉及和TCP/IP分層模型有關的內容，包括常見協議的工作原理和特點、缺陷、保護或替代措施等等。
下面推薦一些和這部分有關的參考書（經典書籍、不可不看）：
l 《TCP/IP詳解 卷1：協議》 范建華 等譯，機械工業出版社
l 《用TCP/IP進行網際互聯 第一卷原理、協議與結構》 林瑤 等譯，電子工業出版社
四、Windows安全（攻擊與防禦）
因為微軟的Windows NT操作系統已被廣泛應用，所以它們更容易成為被攻擊的目標。
對於Windows安全的學習，其實就是對Windows系統攻擊與防禦技術的學習。而Windows系統安全的學習內容將包括：用戶和組、文件系統、策略、系統默認值、審計以及操作系統本身的漏洞的研究。
這部分的參考書較多，實際上任何一本和Windows攻防有關系的書均可。下面推薦一些和這部分有關的參考書：
l 《黑客攻防實戰入門》 鄧吉，電子工業出版社
l 《黑客大曝光》 楊繼張 等譯，清華大學出版社
l 《狙擊黑客》 宋震 等譯，電子工業出版社
五、Unix/Linux安全（攻擊與防禦）
隨著Linux的市佔率越來越高，Linux系統、伺服器也被部署得越來越廣泛。Unix/Linux系統的安全問題也越來越凸現出來。作為一個網路安全工作者，Linux安全絕對佔有網路安全一半的重要性。但是相對Windows系統，普通用戶接觸到Linux系統的機會不多。Unix/Linux系統本身的學習也是他們必須餓補的一課！
下面是推薦的一套Linux系統管理的參考書。
l 《Red Hat Linux 9桌面應用》 梁如軍，機械工業出版社（和網路安全關系不大，可作為參考）
l 《Red Hat Linux 9系統管理》 金潔珩，機械工業出版社
l 《Red Hat Linux 9網路服務》 梁如軍，機械工業出版社
除了Unix/Linux系統管理相關的參考書外，這里還給出兩本和安全相關的書籍。
l 《Red Hat Linux安全與優化》 鄧少鵾，萬水出版社
l 《Unix 黑客大曝光》 王一川 譯，清華大學出版社
六、防火牆技術
防火牆技術是網路安全中的重要元素，是外網與內網進行通信時的一道屏障，一個哨崗。除了應該深刻理解防火牆技術的種類、工作原理之外，作為一個網路安全的管理人員還應該熟悉各種常見的防火牆的配置、維護。
至少應該了解以下防火牆的簡單配置。
l 常見的各種個人防火牆軟體的使用
l 基於ACL的包過濾防火牆配置（如基於Windows的IPSec配置、基於Cisco路由器的ACL配置等）
l 基於Linux操作系統的防火牆配置（Ipchains/Iptables）
l ISA配置
l Cisco PIX配置
l Check Point防火牆配置
l 基於Windows、Unix、Cisco路由器的VPN配置
下面推薦一些和這部分有關的參考書：
l 《
網路安全與防火牆技術
》 楚狂，人民郵電出版社
l 《Linux防火牆》
余青霓
譯，人民郵電出版社
l 《高級防火牆ISA Server 2000》 李靜安，中國鐵道出版社
l 《Cisco訪問表配置指南》 前導工作室 譯，機械工業出版社
l 《Check Point NG安全管理》
王東霞
譯，機械工業出版社
l 《虛擬專用網（VPN）精解》 王達，清華大學出版社
七、入侵監測系統（IDS）
防火牆不能對所有應用層的數據包進行分析，會成為網路數據通訊的瓶頸。既便是代理型防火牆也不能檢查所有應用層的數據包。
入侵檢測是防火牆的合理補充，它通過收集、分析計算機系統、計算機網路介質上的各種有用信息幫助系統管理員發現攻擊並進行響應。可以說入侵檢測是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

3. 互聯網工作原理

計算機網路是由許多計算機組成的，要實現網路的計算機之間傳輸數據，必須要
作兩件事，數據傳輸目的地址和保證數據迅速可靠傳輸的措施，這是因為數據在傳輸
過程中很容易丟失或傳錯，Internet使用一種專門的計算機語言(協議)，以保證數據安
全、可靠地到達指定的目的地，這種語言分兩部TCP(Transmission Control Protocol
傳輸控制協議)和 IP (Internet Protocl網間協議)。

(1)TCP/IP協議的數據傳輸過程：

TCP/IP協議所採用的通信方式是分組交換方式。所謂分組交換，簡單說就是數據
在傳輸時分成若干段，每個數據段稱為一個數據包，TCP/IP協議的基本傳輸單位是數
據包，TCP/IP協議主要包括兩個主要的協議，即TCP協議和IP協議，這兩個協議可以
聯合使用，也可以與其他協議聯合使用，它們在數據傳輸過程中主要完成以下功能：

1)首先由TCP協議把數據分成若干數據包，給每個數據包寫上序號，以便接收端
把數據還原成原來的格式。
2)IP協議給每個數據包寫上發送主機和接收主機的地址，一旦寫上的源地址和目
的地址，數據包就可以在物理網上傳送數據了。IP協議還具有利用路由演算法進行路
由選擇的功能。
3)這些數據包可以通過不同的傳輸途徑(路由)進行傳輸，由於路徑不同，加上其
它的原因，可能出現順序顛倒、數據丟失、數據失真甚至重復的現象。這些問題都
由TCP協議來處理，它具有檢查和處理錯誤的功能， 必要時還可以請求發送端重發。
簡言之，IP協議負責數據的傳輸，而TCP協議負責數據的可靠傳輸。

(2)標準的IP地址

無論是從使用Internet的角度還是從運行Internet的角度看IP地址和域名都是十分重
要的概念，當你與Internet上其它用戶進行通信時，或者尋找Internet的各種資源時，都
會用到IP地址或者域名。
IP地址是Internet主機的一種數字型標識，它由兩部分構成，一部分是網路標識
(netid)，另一部分是主機標識(hostid)。

網路標識
主機標識

目前所使用的IP協議版本規定：IP地址的長度為32位。Internet的網路地址可分為
三類(A類、B類、C類)，每一類網路中IP地址的結構即網路標識長度和主機標識長度
都有所不同。
A類：
0 7 8 31

0 網路標識
主機標識

凡是以0開始的IP地址均屬於A類網路。
B類：
0 1 15 16 31

1 0 網路標識 主機標識

凡是以10開始的IP地址都屬於B類網路。
C類：
0 1 2 23 24 31

1 1 0 網路標識 主機標識

凡是以110開始的IP地址都屬於C類網路。
由此可見A類網路IP地址的網路標識長度為7位，主機標識的長度為24位。B類網
絡IP地址的網路標識的長度為14位，主機標識長度16位。C類網路IP地址的網路標識
長度為21位，主機標識長度為8位。這樣大家可以容易地計算出Internet整個IP地址空
間的各類網路數目和每個網路地址中可以容納的主機數目。
Internet的IP空間

第一組數字 網路地址數 網路主機數 主機總數
A類網路 1-127 126(全0、全1專用) 16387064 2064770064
B類網路 128-191 16256 64516 1048872096
C類網路 192-223 2064512 254(全0、全1專用) 524386048
總計 2080894 3638028208

從上圖看出：A類網路地址數量最少，可以用於主機數多達1600多萬台的大型網
絡，B類網路適用於中等規模的網路，C類網路地址適用於主機數不多的小型網路。
由於二進制不容易記憶，通常用四組三位的十進制數表示，中間用小數點分開，
每組十進制數代表8位二進制數，其范圍為0—255，但是0和255這兩個地址在Internet
有特殊用(用於廣播)，因此實際上每組數字可以真正使用的范圍1—254。例如：我們
八閩信息公司的主機IP地址可表示為：202.101.100.157。相對於二進制形式，這種表
示要直觀得多，便於閱讀和理解。

<3>域名、域名系統和域名伺服器

前面講到，IP地址是一種數字型網路標識和主機標識，數字型標識對計算機網路
來講自然是最有效的，但是對使用網路的人來說有不便記憶的缺點，為此人們研究出
一種字元型標識， 這就是域名。 目前所使用的域名是一種層次型命名法。

第n級子域名. ...... 第二級子域名. 第一級子域名.

這里一般： 2≤n≤5
域名可以以一個字母或數字開頭和結尾，並且中間的字元只能是字母、數字和連
字元，標號必須是小於255。經驗表明為了簡便並容易記住名字，每個標號小於或等
於8個字元， 但這不是必須的。
第一級子域名是一種標准化的標號，如下表：

域 名 意義
;COM 商業組織
;EDU 教育機構
;GOV 政府部門
;MIL 軍事部門
;NET 主要網路支持中心
;ORG 上述以外的機構
;INT 國際組織
;COUNTRY CODE 國家(採用國際通用兩字元編碼)

NIC(網路信息中心)將第一級域名的管理特權分派給指定管理機構，各管理機構
再對其管理下的域名空間繼續劃分，並將各子部分管理特權授予子管理機構，如此
下去，便形成層次型域名，由於管理機構是逐級授權的，所以最終的域名都得到NIC
承認，成為Internet全網中的正式名字。
Internet地址中的第一級域名和第二級域名是由NIC管理，我國國家級域名(CN)由
中國科學院計算機網路中心(NCFC)進行管理，第三級以下的域名由各個子網的NIC
或具有NIC功能的節點自已負責管理。
注意幾點：
1)域名在整個Internet中必須是唯一的，當高級子域名相同時，低級子域名不允許
重復。
2)大小寫字母在域名中沒有區別。
3)一台計算機可以有多個域名 ( 通常用於不同的目的 ) ， 但只能有一個IP地址。
4)主機的IP地址和主機的域名對通信協議來說具有相同的作用，從使用的角度
看，兩者沒有區別。但是，當你所使用的系統沒有域名伺服器，只能使用IP地址不
能使用域名。
5)為主機確定域名時應盡量使用有意義的符號。

何謂域名系統：把域名翻譯成IP地址的軟體稱為域名系統(DNS)。從功能上說，域名
系統基本上相當於一本電話簿，已知一個姓名就可以查到一個電話號碼，它與電話
簿區別是可以自動完成查找過程，此時， 完整的域名系統應該具有雙向查找功能。
所謂域名服務名：實際上就是裝有域名系統的主機。

4. 網路安全中加密和解密的原理是什麼

對數據在網路傳輸中的保護 加密演算法 為防止劫包偷取信息而加了密碼 只有知道解開的演算法才能看
如hash DES

5. 網路安全的技術原理

網路安全性問題關繫到未來網路應用的深入發展，它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的互聯網的隔離主要使用「防火牆」技 術。
「防火牆」是一種形象的說法，其實它是一種計算機硬體和軟體的組合，使互聯網與內部網之間建立起 一個安全網關，從而保護內部網免受非法用戶的侵入。
能夠完成「防火牆」工作的可以是簡單的隱蔽路由器，這種「防火牆」如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議埠級上阻止網間或主機間通信，起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的參數做些修改，因而也有人不把它歸入「防火牆」一級的措施。
真正意義的「防火牆」有兩類，一類被稱為標准「防火牆」；一類叫雙家網關。標准」防火牆」系統包括一個Unix工作站，該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的介面是外部世界，即公用網；而另一個則聯接內部網。標准「防火牆」使用專門的軟體，並要求較高的管理水平，而且在信息傳輸上有一定的延遲。而雙家網關則是對標准「防火牆」的擴充。雙家網關又稱堡壘主機或應用層網關，它是一個單個的系統，但卻能同時完成標准「防火牆」的所有功能。其優點是能運行更復雜的應用，同時防止在互聯網和內部系統之間建立的任何直接的連接，可以確保數據包不能直接從外部網路到達內部網路，反之亦然。
隨著「防火牆」技術的進步，在雙家網關的基礎上又演化出兩種「防火牆」配置，一種是隱蔽主機網關，另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的「防火牆」配置。顧名思義，這種配置一方面將路由器進行隱藏，另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的」防火牆」當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之後，它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說，這種「防火牆」是最不容易被破壞的。
與「防火牆」配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破壞所採用的主要技術手段之一。隨著信息技術的發展，網路安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟體和硬體兩方面採取措施，推動著數據加密技術和物理防範技術的不斷發展。按作用不同，數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼字與內部網路伺服器上注冊的密碼一致。當口令與身份特徵共同使用時，智能卡的保密性能還是相當有效的。
這些網路安全和數據保護的防範措施都有一定的限度，並不是越安全就越可靠。因而，看一個內部網是否安全時不僅要考慮其手段，而更重要的是對該網路所採取的各種措施，其中不僅是物理防範，而且還有人員素質等其他「軟」因素，進行綜合評估，從而得出是否安全的結論。
安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制

6. 網路安全的原理

網路安全的原理：網路是指以共享資源為目的，利用通信手段把地域上相對分散的若干獨立的計算機系統、終端設備和數據設備連接起來，並在協議的控制下進行數據交換的系統，計算機網路的根本目的在於資源共享，通信網路是實現網路資源共享的途徑，因此，計算機網路是安全的。

要使網路能正常地實現資源共享功能，首先要保證網路的硬體、軟體能正常運行，然後要保證數據信息交換的安全。從前面兩節可以看到，由於資源共享的濫用，導致了網路的安全問題。因此網路安全的技術途徑就是要實行有限制的共享。

網路安全通常指計算機網路的安全，實際上也可以指計算機通信網路的安全。計算機通信網路是將若乾颱具有獨立功能的計算機通過通信設備及傳輸媒體互連起來，在通信軟體的支持下，實現計算機間的信息傳輸與交換的系統。

網路安全在不同的應用環境下有不同的解釋。針對網路中的一個運行系統而言，網路安全就是指信息處理和傳輸的安全。它包括硬體系統的安全、可靠運行，操作系統和應用軟體的安全，資料庫系統的安全，電磁信息外露的防護等。狹義的網路安全，側重於網路傳輸的安全。

7. 網路安全主要做什麼

網路安全可以從業的崗位有很多，比如：Web安全滲透測試員、企業信息安全主管、IT或安全顧問人員、IT審計人員、安全設備廠商或服務提供商、信息安全事件調查人員、其他從事與信息安全相關工作的人員。

一、滲透測試工程師

基本要求：對web安全整體需要有著深刻的理解和認識，具備web滲透相關的技能，熟悉滲透測試整體流程，熟悉掌握各類安全測試的工具。

崗位職責：主要負責承接滲透測試相關的項目，跟蹤國際、國內安全社區的安全動態，進行安全漏洞分析、研究以及挖掘，並且進行預警。

二、安全開發工程師：

基本要求：掌握ruby、nodejs、Python、Java其中一種語言，熟悉主流的滲透攻擊的原理、利用方式，能夠以手工和結合工具的方式對目標系統進行滲透測試。

基本職責：負責對安全產品的開發與維護，包含安全應急等工作。

三、安全運維工程師：

基本要求：熟悉Linux操作系統，熟悉編寫shell或者Python腳本，熟悉常見web安全漏洞分析與防範，包含SQL注入、XSS、csrf等。

基本職責：負責業務伺服器操作系統的安全加固，系統層的應用程序的運行許可權檢測、評估。

8. 網路安全是做什麼的

網路安全用於防止和監控那些未經授權就訪問和修改的資源。防止網站數據被別人破壞、更改，竊取。保證程序的順利運行。
在網路安全工作中應注意的幾點：主動防禦。有了更可靠的硬體，就不會出現硬體問題導致的網路安全問題。其他，比如可靠的網路設備，穩定的伺服器，安全性更好的系統和軟體等。被動防禦。被動防禦是指網站受損時的反擊，受損信息能否恢復，受損程序能否修復等等。防患於未然。在項目上線之前，需要對項目進行自查，檢查應用程序是否能夠運行，及時解決運行過程中可能遇到的問題。