网络安全工作原理图解

1. 什么是网络安全架构

网络架构（Network Architecture）是为设计、构建和管理一个通信网络提供一个构架和技术基础的蓝图。网络构架定义了数据网络通信系统的每个方面，包括但不限于用户使用的接口类型、使用的网络协议和可能使用的网络布线的类型。网络架构典型地有一个分层结构。分层是一种现代的网络设计原理，它将通信任务划分成很多更小的部分，每个部分完成一个特定的子任务和用小数量良好定义的方式与其它部分相结合。

2. 如何学习网络安全知识

首先，必须（时刻）意识到你是在学习一门可以说是最难的课程，是网络专业领域的顶尖课程，不是什么人、随随便便就能学好的。不然，大家都是黑客，也就没有黑客和网络安全的概念了。
很多朋友抱着学一门课程、读好一本书就可以掌握网络安全的知识和技能。不幸的是，网络安全技术决不是几本书、几个月就可以速成的。你需要参考大量的参考书。
另一方面，在学校接受的传统教育观念使我们习惯由老师来指定教材、参考书。遗憾的是走向了社会，走到工作岗位，没有人给你指定解决这个安全问题需要什么参考书，你得自己研究，自己解决问题。
网络安全涉及的知识面广、术语多、理论知识多。正给学习这门课程带来很多困难。也需要我们投入比其它课程多的时间和精力来学习它。
概括来说，网络安全课程的主要内容包括：
l 安全基本知识
l 应用加密学
l 协议层安全
l Windows安全（攻击与防御）
l Unix/Linux安全（攻击与防御）
l 防火墙技术
l 入侵监测系统
l 审计和日志分析
下面分别对每部分知识介绍相应的具体内容和一些参考书（正像前面提到的那样，有时间、有条件的话，这些书都应该看至少一遍）。
一、安全基本知识
这部分的学习过程相对容易些，可以花相对较少的时间来完成。这部分的内容包括：安全的概念和定义、常见的安全标准等。
大部分关于网络安全基础的书籍都会有这部分内容的介绍。
下面推荐一些和这部分有关的参考书：
l 《CIW：安全专家全息教程》 魏巍 等译，电子工业出版社
l 《计算机系统安全》 曹天杰，高等教育出版社
l 《计算机网络安全导论》 龚俭，东南大学出版社
二、应用加密学
加密学是现代计算机（网络）安全的基础，没有加密技术，任何网络安全都是一纸空谈。
加密技术的应用决不简单地停留在对数据的加密、解密上。密码学除了可以实现数据保密性外、它还可以完成数据完整性校验、用户身份认证、数字签名等功能。
以加密学为基础的PKI（公钥基础设施）是信息安全基础设施的一个重要组成部分，是一种普遍适用的网络安全基础设施。授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。
可以说，加密学的应用贯穿了整个网络安全的学习过程中。因为之前大多数人没有接触过在这方面的内容，这是个弱项、软肋，所以需要花费比其它部分更多的时间和精力来学习。也需要参考更多的参考书。
下面推荐一些和这部分有关的参考书：
l 《密码学》 宋震，万水出版社
l 《密码工程实践指南》 冯登国 等译，清华大学出版社
l 《秘密学导引》 吴世忠 等译，机械工业（这本书内容较深，不必完全阅读，可作为参考）
三、协议层安全
系统学习TCP/IP方面的知识有很多原因。要适当地实施防火墙过滤，安全管理员必须对于TCP/IP的IP层和TCP/UDP层有很深的理解、黑客经常使用TCP/IP堆栈中一部分区或来破坏网络安全等。所以你也必须清楚地了解这些内容。
协议层安全主要涉及和TCP/IP分层模型有关的内容，包括常见协议的工作原理和特点、缺陷、保护或替代措施等等。
下面推荐一些和这部分有关的参考书（经典书籍、不可不看）：
l 《TCP/IP详解 卷1：协议》 范建华 等译，机械工业出版社
l 《用TCP/IP进行网际互联 第一卷原理、协议与结构》 林瑶 等译，电子工业出版社
四、Windows安全（攻击与防御）
因为微软的Windows NT操作系统已被广泛应用，所以它们更容易成为被攻击的目标。
对于Windows安全的学习，其实就是对Windows系统攻击与防御技术的学习。而Windows系统安全的学习内容将包括：用户和组、文件系统、策略、系统默认值、审计以及操作系统本身的漏洞的研究。
这部分的参考书较多，实际上任何一本和Windows攻防有关系的书均可。下面推荐一些和这部分有关的参考书：
l 《黑客攻防实战入门》 邓吉，电子工业出版社
l 《黑客大曝光》 杨继张 等译，清华大学出版社
l 《狙击黑客》 宋震 等译，电子工业出版社
五、Unix/Linux安全（攻击与防御）
随着Linux的市占率越来越高，Linux系统、服务器也被部署得越来越广泛。Unix/Linux系统的安全问题也越来越凸现出来。作为一个网络安全工作者，Linux安全绝对占有网络安全一半的重要性。但是相对Windows系统，普通用户接触到Linux系统的机会不多。Unix/Linux系统本身的学习也是他们必须饿补的一课！
下面是推荐的一套Linux系统管理的参考书。
l 《Red Hat Linux 9桌面应用》 梁如军，机械工业出版社（和网络安全关系不大，可作为参考）
l 《Red Hat Linux 9系统管理》 金洁珩，机械工业出版社
l 《Red Hat Linux 9网络服务》 梁如军，机械工业出版社
除了Unix/Linux系统管理相关的参考书外，这里还给出两本和安全相关的书籍。
l 《Red Hat Linux安全与优化》 邓少鹍，万水出版社
l 《Unix 黑客大曝光》 王一川 译，清华大学出版社
六、防火墙技术
防火墙技术是网络安全中的重要元素，是外网与内网进行通信时的一道屏障，一个哨岗。除了应该深刻理解防火墙技术的种类、工作原理之外，作为一个网络安全的管理人员还应该熟悉各种常见的防火墙的配置、维护。
至少应该了解以下防火墙的简单配置。
l 常见的各种个人防火墙软件的使用
l 基于ACL的包过滤防火墙配置（如基于Windows的IPSec配置、基于Cisco路由器的ACL配置等）
l 基于Linux操作系统的防火墙配置（Ipchains/Iptables）
l ISA配置
l Cisco PIX配置
l Check Point防火墙配置
l 基于Windows、Unix、Cisco路由器的VPN配置
下面推荐一些和这部分有关的参考书：
l 《
网络安全与防火墙技术
》 楚狂，人民邮电出版社
l 《Linux防火墙》
余青霓
译，人民邮电出版社
l 《高级防火墙ISA Server 2000》 李静安，中国铁道出版社
l 《Cisco访问表配置指南》 前导工作室 译，机械工业出版社
l 《Check Point NG安全管理》
王东霞
译，机械工业出版社
l 《虚拟专用网（VPN）精解》 王达，清华大学出版社
七、入侵监测系统（IDS）
防火墙不能对所有应用层的数据包进行分析，会成为网络数据通讯的瓶颈。既便是代理型防火墙也不能检查所有应用层的数据包。
入侵检测是防火墙的合理补充，它通过收集、分析计算机系统、计算机网络介质上的各种有用信息帮助系统管理员发现攻击并进行响应。可以说入侵检测是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

3. 互联网工作原理

计算机网络是由许多计算机组成的，要实现网络的计算机之间传输数据，必须要
作两件事，数据传输目的地址和保证数据迅速可靠传输的措施，这是因为数据在传输
过程中很容易丢失或传错，Internet使用一种专门的计算机语言(协议)，以保证数据安
全、可靠地到达指定的目的地，这种语言分两部TCP(Transmission Control Protocol
传输控制协议)和 IP (Internet Protocl网间协议)。

(1)TCP/IP协议的数据传输过程：

TCP/IP协议所采用的通信方式是分组交换方式。所谓分组交换，简单说就是数据
在传输时分成若干段，每个数据段称为一个数据包，TCP/IP协议的基本传输单位是数
据包，TCP/IP协议主要包括两个主要的协议，即TCP协议和IP协议，这两个协议可以
联合使用，也可以与其他协议联合使用，它们在数据传输过程中主要完成以下功能：

1)首先由TCP协议把数据分成若干数据包，给每个数据包写上序号，以便接收端
把数据还原成原来的格式。
2)IP协议给每个数据包写上发送主机和接收主机的地址，一旦写上的源地址和目
的地址，数据包就可以在物理网上传送数据了。IP协议还具有利用路由算法进行路
由选择的功能。
3)这些数据包可以通过不同的传输途径(路由)进行传输，由于路径不同，加上其
它的原因，可能出现顺序颠倒、数据丢失、数据失真甚至重复的现象。这些问题都
由TCP协议来处理，它具有检查和处理错误的功能， 必要时还可以请求发送端重发。
简言之，IP协议负责数据的传输，而TCP协议负责数据的可靠传输。

(2)标准的IP地址

无论是从使用Internet的角度还是从运行Internet的角度看IP地址和域名都是十分重
要的概念，当你与Internet上其它用户进行通信时，或者寻找Internet的各种资源时，都
会用到IP地址或者域名。
IP地址是Internet主机的一种数字型标识，它由两部分构成，一部分是网络标识
(netid)，另一部分是主机标识(hostid)。

网络标识
主机标识

目前所使用的IP协议版本规定：IP地址的长度为32位。Internet的网络地址可分为
三类(A类、B类、C类)，每一类网络中IP地址的结构即网络标识长度和主机标识长度
都有所不同。
A类：
0 7 8 31

0 网络标识
主机标识

凡是以0开始的IP地址均属于A类网络。
B类：
0 1 15 16 31

1 0 网络标识 主机标识

凡是以10开始的IP地址都属于B类网络。
C类：
0 1 2 23 24 31

1 1 0 网络标识 主机标识

凡是以110开始的IP地址都属于C类网络。
由此可见A类网络IP地址的网络标识长度为7位，主机标识的长度为24位。B类网
络IP地址的网络标识的长度为14位，主机标识长度16位。C类网络IP地址的网络标识
长度为21位，主机标识长度为8位。这样大家可以容易地计算出Internet整个IP地址空
间的各类网络数目和每个网络地址中可以容纳的主机数目。
Internet的IP空间

第一组数字 网络地址数 网络主机数 主机总数
A类网络 1-127 126(全0、全1专用) 16387064 2064770064
B类网络 128-191 16256 64516 1048872096
C类网络 192-223 2064512 254(全0、全1专用) 524386048
总计 2080894 3638028208

从上图看出：A类网络地址数量最少，可以用于主机数多达1600多万台的大型网
络，B类网络适用于中等规模的网络，C类网络地址适用于主机数不多的小型网络。
由于二进制不容易记忆，通常用四组三位的十进制数表示，中间用小数点分开，
每组十进制数代表8位二进制数，其范围为0—255，但是0和255这两个地址在Internet
有特殊用(用于广播)，因此实际上每组数字可以真正使用的范围1—254。例如：我们
八闽信息公司的主机IP地址可表示为：202.101.100.157。相对于二进制形式，这种表
示要直观得多，便于阅读和理解。

<3>域名、域名系统和域名服务器

前面讲到，IP地址是一种数字型网络标识和主机标识，数字型标识对计算机网络
来讲自然是最有效的，但是对使用网络的人来说有不便记忆的缺点，为此人们研究出
一种字符型标识， 这就是域名。 目前所使用的域名是一种层次型命名法。

第n级子域名. ...... 第二级子域名. 第一级子域名.

这里一般： 2≤n≤5
域名可以以一个字母或数字开头和结尾，并且中间的字符只能是字母、数字和连
字符，标号必须是小于255。经验表明为了简便并容易记住名字，每个标号小于或等
于8个字符， 但这不是必须的。
第一级子域名是一种标准化的标号，如下表：

域 名 意义
;COM 商业组织
;EDU 教育机构
;GOV 政府部门
;MIL 军事部门
;NET 主要网络支持中心
;ORG 上述以外的机构
;INT 国际组织
;COUNTRY CODE 国家(采用国际通用两字符编码)

NIC(网络信息中心)将第一级域名的管理特权分派给指定管理机构，各管理机构
再对其管理下的域名空间继续划分，并将各子部分管理特权授予子管理机构，如此
下去，便形成层次型域名，由于管理机构是逐级授权的，所以最终的域名都得到NIC
承认，成为Internet全网中的正式名字。
Internet地址中的第一级域名和第二级域名是由NIC管理，我国国家级域名(CN)由
中国科学院计算机网络中心(NCFC)进行管理，第三级以下的域名由各个子网的NIC
或具有NIC功能的节点自已负责管理。
注意几点：
1)域名在整个Internet中必须是唯一的，当高级子域名相同时，低级子域名不允许
重复。
2)大小写字母在域名中没有区别。
3)一台计算机可以有多个域名 ( 通常用于不同的目的 ) ， 但只能有一个IP地址。
4)主机的IP地址和主机的域名对通信协议来说具有相同的作用，从使用的角度
看，两者没有区别。但是，当你所使用的系统没有域名服务器，只能使用IP地址不
能使用域名。
5)为主机确定域名时应尽量使用有意义的符号。

何谓域名系统：把域名翻译成IP地址的软件称为域名系统(DNS)。从功能上说，域名
系统基本上相当于一本电话簿，已知一个姓名就可以查到一个电话号码，它与电话
簿区别是可以自动完成查找过程，此时， 完整的域名系统应该具有双向查找功能。
所谓域名服务名：实际上就是装有域名系统的主机。

4. 网络安全中加密和解密的原理是什么

对数据在网络传输中的保护 加密算法 为防止劫包偷取信息而加了密码 只有知道解开的算法才能看
如hash DES

5. 网络安全的技术原理

网络安全性问题关系到未来网络应用的深入发展，它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技 术。
“防火墙”是一种形象的说法，其实它是一种计算机硬件和软件的组合，使互联网与内部网之间建立起 一个安全网关，从而保护内部网免受非法用户的侵入。
能够完成“防火墙”工作的可以是简单的隐蔽路由器，这种“防火墙”如果是一台普通的路由器则仅能起到一种隔离作用。隐蔽路由器也可以在互联网协议端口级上阻止网间或主机间通信，起到一定的过滤作用。 由于隐蔽路由器仅仅是对路由器的参数做些修改，因而也有人不把它归入“防火墙”一级的措施。
真正意义的“防火墙”有两类，一类被称为标准“防火墙”；一类叫双家网关。标准”防火墙”系统包括一个Unix工作站，该工作站的两端各有一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；而另一个则联接内部网。标准“防火墙”使用专门的软件，并要求较高的管理水平，而且在信息传输上有一定的延迟。而双家网关则是对标准“防火墙”的扩充。双家网关又称堡垒主机或应用层网关，它是一个单个的系统，但却能同时完成标准“防火墙”的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的连接，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。
随着“防火墙”技术的进步，在双家网关的基础上又演化出两种“防火墙”配置，一种是隐蔽主机网关，另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一种常见的“防火墙”配置。顾名思义，这种配置一方面将路由器进行隐藏，另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的”防火墙”当属隐蔽智能网关。所谓隐蔽智能网关是将网关隐藏在公共系统之后，它是互联网用户唯一能见到的系统。所有互联网功能则是经过这个隐藏在公共系统之后的保护软件来进行的。一般来说，这种“防火墙”是最不容易被破坏的。
与“防火墙”配合使用的安全技术还有数据加密技术。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术4种。
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字。该密码字与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。
这些网络安全和数据保护的防范措施都有一定的限度，并不是越安全就越可靠。因而，看一个内部网是否安全时不仅要考虑其手段，而更重要的是对该网络所采取的各种措施，其中不仅是物理防范，而且还有人员素质等其他“软”因素，进行综合评估，从而得出是否安全的结论。
安全服务
对等实体认证服务
访问控制服务
数据保密服务
数据完整性服务
数据源点认证服务
禁止否认服务
安全机制
加密机制
数字签名机制
访问控制机制
数据完整性机制
认证机制
信息流填充机制
路由控制机制
公证机制

6. 网络安全的原理

网络安全的原理：网络是指以共享资源为目的，利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来，并在协议的控制下进行数据交换的系统，计算机网络的根本目的在于资源共享，通信网络是实现网络资源共享的途径，因此，计算机网络是安全的。

要使网络能正常地实现资源共享功能，首先要保证网络的硬件、软件能正常运行，然后要保证数据信息交换的安全。从前面两节可以看到，由于资源共享的滥用，导致了网络的安全问题。因此网络安全的技术途径就是要实行有限制的共享。

网络安全通常指计算机网络的安全，实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来，在通信软件的支持下，实现计算机间的信息传输与交换的系统。

网络安全在不同的应用环境下有不同的解释。针对网络中的一个运行系统而言，网络安全就是指信息处理和传输的安全。它包括硬件系统的安全、可靠运行，操作系统和应用软件的安全，数据库系统的安全，电磁信息外露的防护等。狭义的网络安全，侧重于网络传输的安全。

7. 网络安全主要做什么

网络安全可以从业的岗位有很多，比如：Web安全渗透测试员、企业信息安全主管、IT或安全顾问人员、IT审计人员、安全设备厂商或服务提供商、信息安全事件调查人员、其他从事与信息安全相关工作的人员。

一、渗透测试工程师

基本要求：对web安全整体需要有着深刻的理解和认识，具备web渗透相关的技能，熟悉渗透测试整体流程，熟悉掌握各类安全测试的工具。

岗位职责：主要负责承接渗透测试相关的项目，跟踪国际、国内安全社区的安全动态，进行安全漏洞分析、研究以及挖掘，并且进行预警。

二、安全开发工程师：

基本要求：掌握ruby、nodejs、Python、Java其中一种语言，熟悉主流的渗透攻击的原理、利用方式，能够以手工和结合工具的方式对目标系统进行渗透测试。

基本职责：负责对安全产品的开发与维护，包含安全应急等工作。

三、安全运维工程师：

基本要求：熟悉Linux操作系统，熟悉编写shell或者Python脚本，熟悉常见web安全漏洞分析与防范，包含SQL注入、XSS、csrf等。

基本职责：负责业务服务器操作系统的安全加固，系统层的应用程序的运行权限检测、评估。

8. 网络安全是做什么的

网络安全用于防止和监控那些未经授权就访问和修改的资源。防止网站数据被别人破坏、更改，窃取。保证程序的顺利运行。
在网络安全工作中应注意的几点：主动防御。有了更可靠的硬件，就不会出现硬件问题导致的网络安全问题。其他，比如可靠的网络设备，稳定的服务器，安全性更好的系统和软件等。被动防御。被动防御是指网站受损时的反击，受损信息能否恢复，受损程序能否修复等等。防患于未然。在项目上线之前，需要对项目进行自查，检查应用程序是否能够运行，及时解决运行过程中可能遇到的问题。