網絡安全之網絡元件

本文摘自CISSP官方學習指南第8版

1. OSI 模型

協定是一組規則和限制，用于定義資料如何通過網絡媒體傳輸（例如雙絞線、無線傳輸等）。

1.1 OSI 模型的曆史

開放OSI協定是為給所有計算機系統建立通用的通信結構或标準。OSI模型用作協定描述了理想硬體上運作的理想抽象架構或理論模型。是以，OSI模型已成為了一個共同參考。

1.2 OSI 功能

OSI模型将網絡任務分為七個不同的層。每層負責執行特定任務或操作，以支援在兩台計算機之間交換資料（即網絡通信）。

OSI模型是網絡産品供應商的開放式網絡架構指南。

1.3 封裝、解封

基于OSI模型的協定采用“封裝”機制。封裝是将每個層從上面的層傳遞到下面的層之前為每個層接收的資料添加頭部，也可能添加尾部。

封裝，解封過程如下：

• 應用層建立一條消息
• 應用層将消息傳遞給表示層
• 表示層通過添加資訊頭來封裝消息，資訊通常僅在消息的開頭（稱為頭部）添加，但某些層還會在消息末尾添加内容（稱為尾部），

• 向下傳遞消息并添加特定層的資訊的過程将一直持續到消息到達實體層
• 在實體層，消息被轉換為用比特表示的電脈沖，并通過實體連接配接傳輸
• 接收計算機從實體連接配接中捕獲比特，在實體層中重新建立消息
• 實體層将消息從位轉換為資料鍊路幀，将消息發送到資料鍊路層
• 資料鍊路層剝離其資訊并将資訊發送到網絡層
• 執行解封過程直到消息到達應用層
• 當郵件到達應用程式層時，郵件中的資料将發送給目标收件人

每層删除的資訊包含指令、校驗和等，隻能由最初添加或建立資訊的對等層了解。此資訊用于建立邏輯通道，使不同計算機的對等層能夠通信。

發送到協定棧第七層的資訊被稱為資料流。它保留資料流的标簽（有時是PDU的标簽），直至它到達傳輸層（第4層），在那裡被稱為段（TCP）或資料報（UDP協定）。在網絡層（第3層）中，它被稱為資料包。在資料鍊路層（第2層），他被稱為幀。在實體層（第一層）中，資料已被轉換為比特，以通過實體連接配接媒體傳輸。

1.4 OSI模型層次

1. 實體層

實體層（第一層）接受來自資料鍊路層的幀，并将幀轉換為比特，以便通過實體連接配接媒體進行傳輸。實體層還負責從實體連接配接媒體接受比特并将他們轉換為資料鍊路層使用的幀。

實體層包含裝置驅動程式，它告訴協定如何使用硬體來傳輸和接受比特，位于實體層的電氣規範、協定和接口的标準如下所示：

• EIA、TIA-232 和 EIA、TIA-449
• X.21
• 高速串行接口（HSSI）
• 同步光纖網絡（SONET）
• V.24 和 V.35

實體層通過裝置驅動程式和這些标準來控制吞吐率，處理同步、管理線路噪聲和媒體通路，并确定是采用數字信号、模拟信号還是光脈沖通過實體硬體接口傳輸或接收資料。

第一層（實體層）運作的網絡硬體裝置是網卡（NIC），集線器，中繼器，集中器和放大器。

1. 資料鍊路層

資料鍊路層（第2層）負責将來自網絡層的資料包格式轉化為适當的傳輸格式，正确格式由網絡硬體和技術決定，如以太網（IEEE802.3），令牌環（IEEE 802.5），異步傳輸模式（ATM），光纖分布式資料幾口（FDDI）和銅線分布式資料接口（CDDI）。隻有以太網是現代網絡中常用的資料鍊路層技術。在資料鍊路層中，存在基于特定技術的協定，這些協定将資料包轉換為格式正确的幀。格式話幀後，将其發送到實體層進行傳輸。

資料鍊路層中的一些協定：

• 串行線路網際網路協定（Serial Line Internet Protocol，SLIP）
• 點對點協定（Ponit-to-Point protocal，PPP）
• 位址解析協定（Address Resolution Protocal，ARP）
• 第二層轉發(Layer 2 Forwarding , L2F)
• 第二層隧道協定（Layer 2 Tunneling Protocal， L2TP)
• 點對點隧道協定（Point-to-Point Tunneling Protocal, PPTP)
• ISDN（Integrated Services Digital Netwrok，ISDN）

對于資料鍊路層的資料處理包括将硬體源和目标位址添加到幀。

硬體位址MAC位址，是一個6位元組（48位）的二進制位址并以十六進制表示法編寫（如00-13-02-1F-58-F5）。前3個位元組（24位）表示網卡制造商，稱為組織唯一辨別符（OUI）。最後3個位元組（24位）表示制造商配置設定給該接口的唯一編号。

在OSI模型的資料鍊路層（第2層）的協定中，你應該熟悉位址解析協定（ARP），ARP用于将IP位址解析位MAC位址。使用MAC位址将網段上的流量從其源系統定向到其他目标系統。

ARP作為以太網幀的有效載荷攜帶，屬于第2層協定。

在第2層（資料鍊路層）運作的網絡硬體裝置是交換機和網橋。這些裝置支援基于MAC的流量路由。

1. 網絡層

網絡層（第3層）負責給資料添加路由和尋址資訊。網絡層接收來自傳輸層的段，并向其添加資訊以建立資料包，該資料包包括源和目标IP位址。

路由協定位于此層，包括以下内容：

• 網際網路控制消息協定（Internet Control Message Protocol，ICMP）
• 路由資訊協定（Routing Information Protocol，RIP）
• 開放最短路徑優先（Open Shortest Path First，OSPF）
• 邊界網關協定（Border Gateway Protocol，BGP）
• 網際網路組管協定（Internet Group Management Protocol，IGMP）
• 網際網路協定（Internet Protocol，IP）
• 網際網路協定安全（Internet Protocol Security， IPsec）
• 網絡資料包交換（Internetwork Packet Exchange，IPX）
• 網絡位址轉換（Network Address Transfer，NAT）
• IP簡單密鑰管理（Simple Key Management for Internet Protocols，SKIP）

網絡層負責提供路由或傳遞資訊，但它不負責驗證資訊是否傳遞成功（這是傳輸層的責任),網絡層還管理錯誤檢測和節點資料流量（即流量控制）。

（非IP協定是在OSI網絡層第3層用來替代IP的協定，三種最受認可的非IP協定是IPX，AppleTalk和NetBEUI）

路由器和橋接路由器屬于在第3層運作的網絡硬體裝置。路由器根據速率、跳數、首選項等确定資料包傳輸的最佳路徑。路由器使用目标IP位址來指導資料包傳輸。橋接路由器主要工作在第3層，但必要時也可在第2層工作，會首選嘗試路由，如果路由失敗則預設為橋接。

1. 傳輸層

傳輸層（第4層）負責管理連接配接的完整性并控制會話。它接收PDU（在網絡層之間傳遞的資訊或資料容器），來自會話層的PDU被轉換為段。傳輸層控制如何尋址或引用網絡上的裝置，在節點之間建立通信連接配接并定義會話規則。會話規則指定每個段可包含多少資料，如何驗證傳輸的資料的完整性，以及如何确定資料是否已丢失。會話規則是通過握手過程建立的，是以通信裝置都遵循該規則。

傳輸層在兩個裝置之間建立邏輯連接配接，并提供端到端傳輸服務以確定資料傳輸。該層包括用于分段、排序、錯誤檢查、控制資料流、糾錯、多路複用和網絡服務優化的機制。

• 傳輸控制協定（Transmission Control Protocol，TCP）
• 使用者資料報協定（User Datagram Protocol，UDP）
• 順序資料包交換（Sequenced Packet Exchange，SPX）
• 安全套接字層（Secure Sockets Layer，SSL）
• 傳輸層安全（Transport Layer Security，TLS）

1. 會話層

會話層（第5層）負責建立、維護和終止兩台計算機之間的通信會話。它管理對話規則或對話控制（單工、半雙工、全雙工），建立分組和恢複的檢查點，并重傳自上次驗證檢查點依賴失敗或丢失的PDU。

• 網絡檔案系統（Network File System，NFS）
• 結構化查詢語言（Structured Query Language，SQL）
• 遠端過程調用（Remote Procedure Call ， PRC）
• 通信會話可以按下列三種不同的控制模式之一運作：

-- 單工 單向通信

-- 半雙工 雙向通信，但一次隻能有一個方向發送資料

-- 全雙工 雙向通信，可以同時向兩個方向發送資料

1. 表示層

表示層（第6層）負責将從應用層接收的資料轉換為遵循OSI模型的任何系統都能了解的格式。它對資料強加了通用或标準化的結構和格式規則。表示層還負責加密和壓縮。它充當網絡和應用程式之間的接口。該層允許各種應用程式通過網絡進行互動，并通過確定兩個系統都支援的資料格式來實作。大多數檔案或資料格式在此層允許，

• 美國資訊交換标準碼（American Standard Code for Information Interchange，ASCII）
• 擴充二進制編碼十進制交換模式（Extended Binary-Coded Decimal Interchange Mode，EBCDICM）
• 标簽圖像檔案格式（Tagged Image File Format，TIFF）
• 聯合圖像專家組（Joint Photographic Experts Group，JPEG）
• 動态圖像專家組（Moving Picrute Experts Group，MPEG）
• 樂器數字接口（Musical Instrument Digital Interface，MIDI）

1. 應用層

應用層（第7層）負責将使用者應用程式、網絡服務或作業系統與協定棧連接配接。它允許應用層序與協定棧通信。應用層确定遠端通信夥伴是否可用且可通路，還確定有足夠資源來支援所請求的通信。

應用程式不在此層内，相反，這裡可找到傳輸檔案、交換消息、連接配接到遠端終端等所需的協定和服務。

• 超文本傳輸協定（Hypertext Transfer Protocol， HTTP）
• 檔案傳輸協定（File Transfer Protocol，FTP）
• 行列印背景程式（Line Print Daemon，LDP）
• 簡單郵件傳輸協定（Simple Mail Transfer Protocol，SMTP）
• 遠端登入（Telnet）
• 普通檔案傳輸協定（Trivial File Transfer Protocol，TFTP）
• 電子資料交換（Electronic Data Interchange，EDI）
• 郵局協定版本3（Post Office Protocol version 3， POP3）
• Internet消息通路協定（Internet Message Access Protocol，IMAP）
• 簡單網絡管理協定（Simple Network Management Protocol，SNMP）
• 網絡新聞傳輸協定（Network News Transport Protocol，NNTP）
• 安全遠端過程調用（Secure Remote Procedure Call, S-RPC)
• 安全電子交易（Secure Electronic Transaction，SET）

有一個在應用層工作的網絡裝置或服務，即網關。但應用層網關是特定類型的元件，充當協定轉換工具。

應用層防火牆也在此層運作。其他網絡裝置或過濾軟體可觀察或修改該層的流量。

2.0 TCP/IP 模型

TCP/IP模型僅由四層組成，而OSI參考模型則為七層。

TCP/IP模型的四個層是：應用層 、 傳輸層 、 網際網路層 、 鍊路層 。

TCP/IP 協定套件概述

最廣泛使用的協定套件是TCP/IP，但它不僅是一個協定，而且是一個包含許多單獨協定的協定棧。TCP/IP 是一種基于開放标準的獨立于平台的協定。

可使用系統之間的虛拟專用網絡（VPN）連結來保護TCP/IP。VPN連結經過加密，可增強隐私、保密性和身份驗證，并保持資料完整性。用于建立VPN的協定有PPTP，L2TP，SSH，OpenVPN（SSL/TLS VPN）和IPsec。提供協定級安全性的另一種方法是使用TCP封裝器。TCP封裝器是一種ke作為基本防火牆的應用程式，它通過基于使用者ID或系統IP限制對端口和資源的通路。使用TCP封裝器是一種基于端口的通路控制。

1. 傳輸層協定

TCP/IP 的兩個主要傳輸層協定是TCP和UDP。TCP是一種面向連接配接的全雙工協定，而UDP是一種無連接配接單工協定。在兩個系統之間使用端口建立通信連接配接。

TCP和UDP都有65536個端口（0-65535）端口允許單個IP位址同時支援多個通信，每個通信使用不同端口号。IP位址和端口号的組合稱為套接字。

• 0-1023 為衆所周知的端口或服務端口。它們支援的服務進行了标準化配置設定。
• 1024-49151 為已注冊的軟體端口，這些端口具有一個或多個專門在IANA（網際網路編号配置設定機構）注冊的網絡軟體産品，以便為嘗試連接配接其産品的客戶提供标準化的端口編号系統。
• 49152-65535 為随機，動态，或臨時端口，它們通常被用戶端随機地臨時用作源端口。

TCP在OSI模型的第4層（傳輸層）上運作。它支援全雙工通信，面向連接配接，并采用可靠的會話。TCP面向連接配接，在兩個系統之間使用握手過程來建立通信會話。

（1）用戶端将SYN（同步）标記的資料包發送到伺服器。

（2）伺服器以SYN/ACK（同步和确認）标記的資料包響應用戶端。

（3）用戶端以ACK（确認）标記的資料包響應伺服器。

通信會話完成後，有兩種方法可斷開TCP會話：

• 最常見的是使用FIN（完成）标記的資料包
• 使用RST（重置）标記的資料包

UDP也在OSI模型的第4層（傳輸層）上運作，是一種無連接配接的“盡力而為”的通信協定，不提供錯誤檢測或糾正，不使用排序，不使用流量控制機制，不使用預先建立的會話。被認為是不可靠的。

UDP具有非常低的開銷，是以可以快速傳輸資料。UDP通常用于音頻視訊的實時或流通信。UDP的IP頭協定字段值是17（0x11）

UDP報頭長度為8位元組（64位），此報頭分為四個部分或字段（每個16位長）：

• 源端口
• 目的端口
• 消息長度
• 校驗和

1. 網絡層協定和IP網絡基礎

TCP/IP 協定套件中的另一個重要協定在OSI模型的網絡層運作，即IP。IP為資料包提供路由尋址。IP是無連接配接的，是一種不可靠的資料報服務。IP不保證資料包一定能被傳送或資料包以正确順序傳送，不保證資料包隻被傳送一次。是以，必須在IP上使用TCP來建立可靠和受控的通信會話。

• A類子網支援16 777 214 個主機
• B類子網支援65 534 個主機
• C類子網支援254 個主機
• D類用于多點傳播
• E類用于将來使用

注意，為環回位址留出整個127 的A類網絡，雖然實際上隻需要一個位址。

子網劃分可使用無類别域間路由（Classless Inter-Domain Routing, CIDR).

ICMP,用于确定網絡或特定鍊路的運作狀況。 可用于Ping，Tracerroute，pathping等網絡管理工具。

• ICMP 的IP頭協定字段值是1（0x01）
• ICMP頭中的類型字段定義ICMP有效載荷中包含的消息的類型或目的。

IGMP，IP主機使用IGMP來注冊其動态多點傳播組成員資格。通過使用IGMP多點傳播，伺服器最初可為整個組發送單個資料信号，而非為每個預期接收者發送單獨的初始資料信号。IGMP的IP報頭協定字段值2（0x02）

ARP，對邏輯和實體尋址方案的互操作性至關重要。ARP用于将IP位址解析為MAC位址。ARP使用緩存和廣播來執行其操作。

• 先查詢ARP緩存
• 緩存無資訊，發送廣播形式ARP請求。
• 查詢本地子網，必要資訊直接響應。
• 查詢其他網段，使用預設網關來轉發。

1. 通用應有層協定

TCP/IP模型的應用層（包括OSI模型的會話層，表示層和應用層）存在許多特定于應用或服務的協定。

• Telnet 使用23端口，是一個終端仿真網絡應用程式，支援遠端連接配接以執行指令和運作應用程式，但不支援檔案傳輸。
• FTP ，使用TCP（20端口，資料傳輸 / 21端口 控制連接配接），一個網絡應用程式，支援需要匿名或特定身份驗證的檔案傳輸。
• TFTP 使用UDP 69端口，是一個支援不需要身份驗證的檔案傳輸的網絡應用程式。
• SMTP，使用TCP 25端口，是一種用于将電子郵件從用戶端傳輸到電子郵件伺服器以及從一個電子郵件伺服器傳輸到另一個電子郵件伺服器的協定。
• POP3，使用TCP110 端口，是一種用于将電子郵件從電子郵件伺服器上的收件箱中拉到電子郵件用戶端協定。
• IMAP，使用TCP143端口，是一種用于将電子郵件從電子郵件伺服器上的收件箱拉到電子郵件用戶端協定。IMAP比POP3更安全，并能從電子郵件伺服器中提取标頭以及直接從電子郵件伺服器删除郵件，而不必先下載下傳到本地用戶端。
• DHCP，使用UDP67和68端口。使用67端口作為伺服器上的目标端口來接收用戶端通信，使用端口68作為用戶端請求的源端口。它用于在啟動時為系統配置設定TCP/IP配置設定。DHCP支援集中控制網絡尋址。
• HTTP 使用TCP 80端口，是将web頁面元素從web伺服器傳輸到web浏覽器協定。
• SSL，使用443端口（用于HTTP加密），是一種類似于VPN的安全協定，在傳輸層運作。SSL最初設計用于支援安全web通信（HTTPS），但能保護任何應用層協定通信。
• LPD ，使用TCP 515端口，是一種網絡服務，用于假脫機列印作業和将列印作業發送到列印機。
• X window ， 使用TCP 6000-6063 端口，用于指令行作業系統的GUI API。
• NFS，使用TCP 2049端口，是一種網絡服務，用于支援不同系統之間的檔案共享。
• SNMP，使用UDP 161 端口，（消息陷阱是UDP 162端口），是一種網絡服務，用于同過從中央監控伺服器輪詢監控裝置來收集網絡運作狀況和狀态資訊。

多層協定的含義：

作為協定套件的TCP/IP包含分布在各種協定棧層上的許多單獨協定，是以，TCP/IP是一種多層協定。可以封裝、僞裝等。

多層協定具有以下優點：

• 可在更高層使用各種協定
• 加密可包含在各個層
• 支援複雜網絡結構中的靈活性和彈性

多層協定有一些缺點：

• 允許隐蔽通道
• 可以繞過過濾器
• 邏輯上強加的網段邊界可超越

1. TCP/IP 漏洞

在各種作業系統中不正确地實作TCP/IP堆棧容易受到緩沖區溢出、SYN洪水攻擊、各種拒絕服務攻擊、碎片攻擊、超大資料包攻擊、欺騙攻擊、中間人攻擊、劫持攻擊和編碼錯誤攻擊。

1. 域名系統

尋址和命名是使網絡通信成為可能的重要元件。

DNS是公共和專用網絡中使用的分層命名方案，www.abc.com

• .com 頂級域名
• abc 二級域名（注冊域名)
• www 三級域名（子域或主機名）

FQDN的總長不能超過253個字元在包括點），任何單個部分不能超過63個字元。FQDN隻能包含字母，數字和連字元。

DNS通過TCP和UDP端口53進行，TCP端口53用于區域傳輸。這些是DNS伺服器之間的區域檔案交換，用于特殊手動查詢，或響應超過512位元組的情形。

UDP端口53用于大多數典型DNS查詢。

1. DNS 中毒

DNS中毒是僞造用戶端用于到達所需系統的DNS資訊的行為。每當用戶端需要将DNS名稱解析為IP位址時，它可能經曆以下過程：

• 檢查本地緩存（包括HOSTS檔案中的内容）
• 将DNS查詢發送到已知的DNS伺服器
• 将廣播查詢發送到任何可能的本地子網DNS伺服器（此步驟未得到廣泛支援）

如果用戶端在上述三個步驟都沒有解析到對應的IP，則解析失敗。

DNS中毒可能使用以下技術之一:

• 部署流氓DNS伺服器（也稱DNS欺騙或DNS域欺騙）
• 執行DNS中毒 ，攻擊真實DNS伺服器并将不正确的資訊放入其區域檔案中，這會導緻真正的DNS伺服器将錯誤資料發送回用戶端。
• 改變HOSTS檔案。
• 破壞IP配置，
• 使用代理僞造，此攻擊将虛假web代理資料植入用戶端的浏覽器，然後攻擊者操作惡意代理伺服器。惡意代理伺服器可修改HTTP流量包，以将請求重新路由到黑客想要的任何站點。

防範措施：

• 限制從内部DNS伺服器到外部DNS伺服器的區域傳輸。通過阻止入站TCP端口53（區域傳輸請求）和UDP端口53 （查詢）來實作
• 限制外部DNS伺服器從内部DNS伺服器中拉取區域傳輸的外部DNS伺服器
• 部署網絡入侵監測系統（NIDS）以監視異常DNS流量
• 正确加強專用網絡中的所有DNS，伺服器和用戶端系統
• 使用DNSSEC保護DNS基礎設施

要求内部用戶端通過内部DNS解析所有域名。這将要求你阻止出站UDP端口53 （用于查詢）同時保持打開的出站TCP端口53（用于區域傳輸）

DNS域名欺詐，将有效網站的URL或IP位址惡意重定向到虛假網站。這通常時網絡釣魚攻擊的一部分。

1. 域名劫持

域名劫持或域名盜竊是在未經所有者授權的情況下更改域名注冊的惡意行為。

3.0 融合協定

融合協定的主要好處是能使用現有的TCP/IP支援網絡基礎設施來托管特殊服務或專有服務，不需要獨立部署備用網絡硬體。

• 以太網光纖通道（Fibre Channel over Ethernet ，FCoE）FCoE用于封裝以太網網絡上的光纖通道通信。它通常需要10Gbps以太網才能支援光纖通道協定，利用這項技術，光纖通道可作為網絡層或OSI

第三層協定運作，将IP替換為标準以太網網絡的有效載荷。

• MPLS（Multiprotocol Label Switching,多協定标簽交換）MPLS是一種高吞吐量的高性能網絡技術，它基于短路徑标簽而不是更長的網絡位址來引導網絡上的資料。
• Internet 小型計算機系統接口（Internet Small Computer System Interface，iSCSI）是一種基于IP的網絡存儲标準。
• 網絡電話（Voice over IP， VoIP）是一種通過TCP/IP網絡傳輸語音和資料的隧道機制。
• 軟體定義網絡（Software-Defined Networking，SDN）是一種獨特的網絡操作、設計和管理方法。旨在将基礎設施層（即硬體和基于硬體的設定）與控制層（即資料傳輸管理的網絡服務）分離。

另一種思考SDN的方式是它實際上是網絡虛拟化。它允許資料傳輸路徑、通信決策樹和流控制在SDN控制層中虛拟化，而不是在每個裝置的基礎上在硬體上處理。

内容分發網絡

Content Distribution Network,CDN 内容傳遞網絡是在網際網路上的多個資料中心部署的資源服務的集合，以便提供托管内容的低延遲，高性能和高可用性。CDN通過分布式資料主機的概念提供客戶所需的多媒體性能品質。大多數CDN都關注伺服器的實體分布，但基于用戶端的CDN也是可能的。這通常被稱為P2P。（例如，BitTorrent)

4.0 無線網絡

防止竊聽和資料竊取需要以下努力：1）必須對所有電子裝置保持實體通路控制。2）如果未經授權的人員仍然可以進行實體通路或接近，必須使用屏蔽裝置和媒體 3）始終使用安全加密協定傳輸任何敏感資料。

4.1 保護無線接入點

無線蜂窩是無線裝置可連接配接到無線接入點的實體環境中的區域。

在部署無線網絡時，應部署配置為使用基礎架構模式而非ad hoc模式的無線通路點。

• ad hoc模式意味着任何兩個無線網絡裝置（包括兩個無線網卡）都可在沒有集中控制權限的情況下進行通信。
• 基礎結構模式意味着需要無線接入點，系統上的無線NIC不能直接互動，并且強制執行無線網絡通路的無線接入點限制。

4.2 保護SSID

• 更改預設SSID
• 使用WAP2作為可靠的身份驗證和加密解密方案

4.3 進行現場調查

用于發現非預期無線通路的實體環境區域的一種方法是執行現場調查。現場調查是調查環境中部署的無線接入點的位置、強度和範圍的過程。此任務通常涉及使用便攜式無線裝置走動，記錄無線信号強度，并将其映射到建築物的圖紙上。

現場調查對于評估現有無線網絡部署、規劃目前部署的擴充以及規劃未來部署都非常有用。

4.4 使用安全加密協定

IEEE 802.11 标準定義了無線用戶端可在無線鍊路上發生正常網絡通信之前用于向WAP進行身份驗證的兩種方法。

• 開放系統身份驗證（Open System Authentication，OSA），明文傳輸所有内容，無身份驗證。
• 共享密鑰身份驗證（Shared Key Authentication，SKA），有線等效保密（Wired Equivalent Privacy，WEP ， WEP2）

1. WEP

它旨在提供與有線網絡相同級别的無線網絡安全性和加密，WEP提供針對無線傳輸的資料包嗅探和竊聽的保護。

WEP的第二個好處是可防止未經授權的無線網絡通路。WEP使用預定義的共享密鑰。該密鑰用于在資料包通過無線鍊路傳輸之前對資料進行加密，進而提供保密性保護。

使用散列值用于驗證在傳輸過程中接收的資料包未被修改或損壞。WEP提供完整性保護。

WEP加密采用Rivest Cipher4 （RC4）.

WEP安全性差， 可輕松破解。

1. WPA

Wi-Fi 受保護通路（Wi-Fi Protected Access，WPA）被設計為WEP的替代品。

WPA基于LEAP和臨時密鑰完整性協定（Temporal Key Integrity Protocol，TKIP）密碼系統，并且通常使用秘密密碼進行身份驗證。

WPA也不安全，可以破解。

1. WPA2

基于AES加密方案。 不安全

1. 802.1X / EAP

802.1x 可確定用戶端在進行正确身份驗證之前無法與資源通信。

EAP，可擴充身份驗證協定不是特定的身份驗證機制，是一個身份驗證架構。

1. PEAP

受保護的可擴充身份驗證協定（Protected Extensible Authentication Protocol，PEAP）将EAP方法封裝在提供身份驗證和可能加密的TLS隧道中。由于EAP最初設計用于實體隔離通道，是以假定為安全通道，是以EAP通常不加密。PEAP可為EAP方法提供加密。

1. LEAP

輕量級可擴充身份驗證協定（Lightweight Extensible Authentication Protocol，LEAP）是針對WPA和TKIP的思科專有替代方案。

1. MAC過濾器

MAC過濾器是授權無線用戶端接口MAC位址的清單，無線接入點使用該MAC位址來阻止對所有未授權裝置的通路。

1. TKIP協定

TKIP 以WPA的名稱實施到802.11無線網絡中。

1. CCMP

CCMP使用帶有128位密鑰的AES。 到目前為止，還沒有針對AES/CCMP加密的攻擊獲得成功。

4.5 天線放置

部署無線網絡時，天線放置應該是一個問題。可參考以下準則：

• 使用中心位置
• 避免固體實體障礙
• 避免反光或其他扁平金屬表面
• 避免電氣裝置

4.6 天線類型

• 全向天線
• 定向天線

4.7 調整功率電平控制

調整适當

4.8 WPS

Wifi Protect Setup ， 是無線網絡的安全标準，旨在減少新用戶端添加到無線網絡的工作量。

4.9 使用強制門戶

強制網絡門戶是一種身份驗證技術，可将新連接配接的無線web用戶端重定向到門戶網站通路控制頁面。（登入驗證頁面）

4.10 一般Wi-Fi 安全程式

4.11 無線攻擊

• 戰争駕駛（war driving）是使用檢測工具尋找無線網絡信号的行為。通常， 戰争駕駛指尋找本來無權通路的無線網絡的人。
• 戰争粉化（war chalking）是一種極客塗鴉，一些無線黑客在無線早期使用。這是一種用無線網絡存在的資訊來實體标記一個區域的方法。通常用于向他人透露無線網絡的存在，以便共享已發現的網際網路連接配接。
• 重放（replay attack）是捕獲通信的重傳，以期獲得對目标系統的通路。例如，要求用戶端的重新連接配接并擷取其資訊。
• IV初始化向量（Initialization Vector）是随機數的數學和加密術語。大多數現代加密功能使用IV來降低可預測性和可重複性，進而提高其安全性。
• 惡意接入點，流氓AP
• 邪惡雙胞胎，黑客操作虛假接入點，克隆接入點身份。

5.0 安全網絡元件

5.1 網絡通路控制

Network Access Control，NAC指通過嚴格遵守和實施安全政策來控制對環境的通路。NAC的目标如下：

• 防止、減少零日攻擊
• 在整個網絡中實施安全政策
• 使用辨別執行通路控制

NAC的目标可通過使用強大的詳細安全政策來實作，這些政策定義了從用戶端到伺服器以及每個内部或外部通信的每個裝置的安全控制、過濾、預防、檢測和響應的所有方面。NAC充當自動檢測和響應系統，可實時做出反應，以在威脅安全發生或造成損害或破壞之前阻止威脅。

NAC可通過接入前控制或接入後控制（或兩者）來實作：

• 接入前控制原則要求系統在允許與網絡通信之前滿足所有目前的安全要求（例如更新檔和反病毒軟體更新）
• 接入後控制原則允許和拒絕基于使用者活動的通路，該使用者活動基于預定義的授權矩陣。

5.2 防火牆

防火牆是管理和控制網絡流量的重要工具。是用于過濾流量的網絡裝置，部署在專用網絡和internet的連結之間，但可在組織内的部門之間部署。

防火牆通常無法做到以下幾點：

• 阻止通過其他授權通信管道傳輸的病毒或惡意代碼。
• 防止使用者未經授權蓄意或無意間洩露資訊
• 防止惡意使用者攻擊防火牆後面的設施
• 在資料傳出或進入專用網絡後保護資料

除了記錄網絡流量活動外，防火牆還應記錄其他幾個事件：

• 重新開機防火牆
• 代理或依賴項無法啟動或無法啟動
• 代理或其他重要服務崩潰或重新啟動
• 更改防火牆配置檔案
• 防火牆運作時的配置或系統錯誤

防火牆隻是整體安全解決方案的一部分。

防火牆有幾種基本類型：

• 靜态資料包過濾防火牆：靜态資料包過濾防火牆通過檢查消息頭中的資料來過濾流量。是第一代防火牆，運作在OSI模型的第3層（網絡層）缺點：無法提供使用者身份驗證或判斷資料包是來自私有網絡内部還是外部，它很容易被假冒的資料包所欺騙。
• 應用級網關防火牆：也稱代理防火牆。代理是一種将資料包從一個網絡複制到另一個網絡的機制，複制過程還會更改源和目标位址以保護内部或專用網絡。根據用于傳輸或接收資料的internet服務（應用程式）過濾流量。是第二代防火牆，運作在OSI模型的應用層（第7層）。
• 電路級網關防火牆：用于在可信賴的合作夥伴之間建立通信會話。運作在OSI模型的會話層（第5層）。SOCKS是電路級網關防火牆的常見實作方式。管理基于電路的通信，而不是流量内容。它們僅根據通信線路的端點（即源和目标位址以及服務端口号）允許或拒絕轉發。是第二代防火牆。
• 狀态檢查防火牆：也稱動态資料包過濾防火牆，評估網絡流量的狀态或上下文。狀态檢查防火牆能為授權使用者和活動授予更廣泛的通路權限，并主動監視和阻止未經授權的使用者和活動。是第三代防火牆，運作在OSI模型的網絡和傳輸層（第3和4層）。
• 深度資料包檢測防火牆：深度資料包檢測（DPI）防火牆是一種過濾機制，通常在應用程式層運作，以便過濾通信的有效内容。
• 下一代防火牆：是一種多功能裝置（MFD），除防火牆外還包含多種安全功能，內建元件包括IDS，IPS，TLS/SSL代理，WEB過濾，QoS管理，帶寬限制，NAT轉換，VPN和反病毒。

1. 多宿主防火牆

多宿主防火牆至少有兩個接口來過濾流量（也稱為雙宿主防火牆) , 此類防火牆都應具有IP轉發功能，可自動将流量發送到另一個接口或禁用。堡壘機就是一個例子。

1. 防火牆部署架構

單層，兩層和三層（也稱多層）。

5.3 端點安全

端點安全性是每個單獨的裝置必須保持本地安全性的概念，無論其網絡或電信信道是否也提供安全性，

5.4 硬體的安全操作

• 中繼器、集中器和放大器
• 集線器
• 數據機
• 網橋
• 交換機
• 路由器
• 橋路由器（三層交換機）
• 網關
• 代理
• Lan擴充器 （廣域網交換機或廣域網路由器）

6.0 布線、無線、拓撲、通信和傳輸媒體技術

6.1 傳輸媒體

• 同軸電纜 （coax）

-- 細網 10Base2 ，傳輸距離185米，10Mbps

-- 粗網 10Base5， 傳輸距離500米，10Mbps

• 基帶和寬帶電纜

-- 基帶電纜一次隻能傳輸一個信号

-- 寬帶電纜可以同時傳輸多個信号

• 雙絞線

• 導線 （銅）

6.2 網絡拓撲

• 環形拓撲

• 總線拓撲

• 星形拓撲

• 網狀拓撲

6.3 無線通信與安全

1. 通用無線概念

無線通信使用無線電波在一定距離上傳輸信号。無線電波頻譜數量是有限的，是以，必須妥善管理，以防止多個頻譜同時使用時互相幹擾。

擴頻（Spread Spectrum）意味着通信在多個頻率上同時發生。消息被分成幾部分，并且每個部分同時發送但使用不同的頻率。實際上，這是并行通信而不是串行通信。

跳頻擴頻（Frequency Hopping Spread Spectrum，FHSS）它不是以并行方式發送資料，而是在不斷改變使用頻率的同時以一系列方式發送資料。它采用整個可用頻率範圍，但一次隻使用一個頻率。發送方動一個頻率變為下一個斌率，接收方必須遵循相同的跳頻模式來接收信号。

直接序列擴頻（Direct Sequence Spread Spectrum,DSSS) 同時并行使用所有可用頻率。DSSS使用稱為碼片編碼的特殊編碼機制，即使信号的某些部分因幹擾而失真，也允許接收機重建資料。類似以RAID-5.

正交頻分複用（Orthogonal Frequency-Division Multiplexing，OFDM）是頻率使用的另一種變化。OFDM采用數字多載波調制方案。允許更緊湊的傳輸。OFDM需要更小的頻率集，但可提供更大的資料吞吐量。

1. 手機

蜂窩電話無線通信包括在特定的一組無線電波頻率上使用便攜式裝置以與蜂窩電話營運商的網絡以及其他蜂窩電話裝置或網際網路進行互動。

1. 藍牙（802.15）

藍牙或IEEE802.15個人區域網路（PAN）是無線安全問題的另一個領域。2.4GHz無線電頻率以查找可用裝置。通過PIN授權比對。

藍牙竊聽（Bluebugging）是一種攻擊，可讓黑客遠端控制藍牙裝置的功能。

藍牙裝置有時采用加密技術，但它不是動态的，通常可通過适度努力來破解。

1. RFID

射頻識别（Radio Frequency Identification，RFID）是一種用放置在磁場中的天線産生的電流為無線電發射機供電的跟蹤技術。支援遠距離（數百米）觸發供電和讀取資料。

1. NFC

近場通信（Near-field communication,NFC)是在非常接近的裝置之間建立無線電通信的标準。

1. 無線電話

無線電話設計為使用任何一種未經許可的頻率，900MHz，2.4GHz，5GHz。

1. 移動裝置

移動裝置通常支援存儲卡，可用使用惡意代碼将機密資料傳輸到組織外部。移動裝置的丢失或被盜意味着個人和或公司保密性的破壞。

6.4 區域網路技術

LAN技術有三種主要類型：以太網、令牌環和FDDI。

• 以太網

以太網是一種共享媒體LAN技術（也稱為廣播技術）。這意味着它允許多個裝置通過相同的媒體進行通信，但要求裝置輪流通信并檢測沖突和避免沖突。

以太網基于IEEE802.3标準。快速以太網支援100Mbps，千兆以太網支援1000Mbps，萬兆支援10 000Mbps。

• 令牌環

令牌環使用令牌傳遞機制來控制哪些系統可通過網絡媒體傳輸資料。令牌環可用使用多站通路單元（MAU）部署為實體星形。

• 光纖分布式資料接口（FDDI）

FDDI是一種高速令牌傳遞技術，它采用兩個環，其流量方向相反。FDDI通常用作大型企業網絡的主幹。 雙環設計允許通過從環路中移除故障段并從剩餘的内環和外環部分建立單個環來進行自我修複。

技術子集，大多數網絡包含許多技術而不是單一技術。

• 模拟通信發生在頻率、幅度、相位、電壓等變化的連續信号上。
• 通過使用不連續的電信号和狀态改變或開關脈沖進行數字通信。

數字信号比長距離或存在幹擾時的模拟信号更可靠。

同步和異步

• 同步通信依賴于基于獨立時鐘或嵌入資料流中的時間戳的定時或時鐘機制。同步通信通常能夠支援非常高的資料傳輸速率。
• 異步通信依賴于停止和啟動分隔符位來管理資料傳輸。由于使用了分隔符位及其傳輸的停止和啟動特性，異步通信最适用于較少量的資料。PSTN數據機是異步通信的裝置良好示例。

基帶和寬帶

• 基帶技術隻能支援單個通信通道，它使用施加在電纜上的直流電。基帶是一種數字信号，以太網采用基帶技術。
• 寬帶技術可以支援多個同步信号。寬帶使用頻率調制來支援多個信道，每個信道支援不同的通信會話。寬帶是一種模拟信号。例如，有線電視，有線數據機，ISDN,DSL,T1和T3 .

廣播、多點傳播和單點傳播

• 廣播（Boradcast）技術支援與所有可能的接收者進行通信。
• 多點傳播（Multicast）技術支援與多個特定接收者的通信。
• 單點傳播（Unicast）技術僅支援與特定接收者的單一通信。

區域網路媒體通路

• 載波偵聽多路通路（Carier-Sense Multiple Access，CSMA）使用下列步驟執行通信的LAN媒體通路技術：

-- 主機偵聽LAN媒體以确定它是否在使用中

-- 如果LAN媒體未被使用，則主機發送其通信

-- 主機等待确認

-- 如果在逾時後沒有受到确認，則主機從新開始。

CSMA不直接解決沖突。

• 載波偵聽多路通路/沖突避免（Carrier-Sense Multiple Access with Collision Avoidance，CSMA/CA）使用下列步驟執行通信的LAN媒體通路技術：

-- 主機有兩個LAN媒體連接配接，入站和出站。主機偵聽入站連接配接以确定LAN媒體是否正在使用中

-- 如果未使用LAN媒體，則主機請求傳輸權限。

-- 如果在逾時後未授予權限，則主機将從步驟1重新開始。

-- 如果授予了權限，則主機通過出站連接配接發送其通信。

-- 主機等待确認。

-- 如果在逾時後未收到确認，則主機在步驟1重新開始。

Appletalk 和 802.11無線網路是采用的CSMA/CA 技術的網絡示例。

• 載波偵聽多路通路/沖突檢測（Carrier-Sense Multiple Access With Collision Detection，CSMA/CD）使用下列步驟執行通信的LAN媒體通路技術：

-- 主機偵聽LAN媒體以确定它是否在使用中。

-- 如果LAN媒體未被使用，則主機發送其通信。

-- 在發送時，主機偵聽沖突（即兩個或多個主機同時發送）

-- 如果檢測到沖突，則主機發送阻塞信号。

-- 如果收到阻塞信号，則所有主機都停止發送。每個主機等待一段随機時間，然後從步驟1開始。

以太網采用CSMA/CD 技術。不幸的是，允許沖突發送對沖突做出響應或反應會導緻傳輸延遲以及重複傳輸。這将導緻約40%的潛在吞吐量損失。

• 令牌傳遞

擁有令牌的主機才允許傳輸資料。傳輸完成後， 它會将令牌釋放到下一個系統。令牌通過令牌環網FDDI 進行傳遞。令牌環防止沖突，因為隻有允許擁有令牌的系統傳輸資料。

• 輪詢

一個系統被标記未主系統。所有其他系統都标記未次要系統。主系統輪詢或查詢每個二級系統是否需要傳輸資料。如果輔助系統訓示需要，則授予其傳輸許可，傳輸完成後，主系統繼續輪詢下一個輔助系統。同步資料鍊路控制（SDLC）使用輪詢。

輪詢隻能通過主伺服器配置設定權限，可以将輪詢配置為一個（或多個）系統優先級而不是其他系統。例如，如果标準輪詢模式為 1，2，3，4 ， 那麼為給予系統1優先地位，輪詢模式可更改為1，2，1，3，1，4.