「 CISSP学习笔记」03(1)

最新推荐文章于 2024-06-04 22:24:12 发布

2401_83740107

最新推荐文章于 2024-06-04 22:24:12 发布

阅读量1.1k

点赞数 25

分类专栏： 2024年程序员学习文章标签：学习笔记

原文链接：https://blog.csdn.net/u013129300/article/details/135095414

版权

2024年程序员学习专栏收录该内容

280 篇文章 0 订阅

订阅专栏

距离矢量协议 使用包括跳到远程网络的方向和距离在内的度量来做出决策，如RIP；
链路状态协议 维护所有连接网络的拓扑图，考虑到到远程网络的最短距离，如OSPF。

3.1.1.3.4. 传输层

负责管理连接的完整性并控制会话，它将来自会话层的数据单元PDU 转换为段。

传输层在两个设备之间建立逻辑连接，并提供端到端的传输服务以确保数据传输，此层包含用于分段、排序、错误检查、控制数据流、纠错、多路复用等机制。

3.1.1.3.5. 会话层

负责建立、维护和终止两台计算机之间的通信会话。它管理对话规则或对话控制(单工、半双工、全双工),建立分组和恢复的检查点，并重传自上次验证点以来失败或丢失的 PDU。

3.1.1.3.6. 表示层

从应用层接收的数据转换为通用或标准化的结构和格式，可负责加密和压缩，允当了网络和应用程序之间的接口。大多数文件或数据格式在此层运行：

美国信息交换标准码 (ASCII)
扩展二进制编码十进制交换模式 (EBCDICM)
标签图像文件格式(TIFF)
联合图像专家组 (JPEG)
动态图像专家组 (Moving Picture Experts Group,MPEG)
乐器数字接口(Musical Instrument Digital - Interface,MIDI)

3.1.1.3.7. 应用层

负责将应用程序、网络服务或OS 与协议栈连接。
相关协议：

HTTP
FTP
行打印后台程序 (Line Print Daemon,LPD)
SMTP
Telnet
普通文件传输协议 (Trivial File Transfer - Proctocol,TFTP)
电子数据交换 (EDI)
POP3(Post Office Protocol version 3,POP)
Internet消息访问协议 (IMAP)
简单网络管理协议(SNMP)
安全远程过程调用 (S-RPC)
安全电子交易(SET)

3.1.2. TCP/IP 模型

TCP/IP 模型只有四层

应用层(进程)
传输层(主机到主机)
网络层
链路层(网络接口或网络访问)

在这里插入图片描述

记忆：中间两层不变，上下合并。

TCP/IP几乎支持所有OS, 但会消耗大量系统资源并且容易被入侵，因为它的设计初衷是易用性而非安全性。可使用 VPN 来保护TCP/IP。常用VPN 协议有PPTP、L2TP、SSH、OpenVPN(SSL/TLS VPN) 和IPsec。

3.1.2.1. 传输层协议

TCP/IP 两个主要传输层协议是TCP (面向连接的全双工协议)和UDP (无连接单工协议)。TCP、UDP都有65536个端口。端口允许单个IP 地址同时支持多个通信，每个通信占用不同的端口：

0-1023 众所周知的端口
1024-49151 已注册的软件端口
49152-65535随机、动态或临时端口

IP + 端口号 = 套接字Socket

图：TCP三次握手建立通信会话

在这里插入图片描述

3.1.2.2. 网络层协议和IP网络基础

3.1.2.2.1. IP

与UDP类似， IP 是无连接的，是一种不可靠的数据服务。
1. 默认字网分类：
在这里插入图片描述

A 类网络的127为回环地址，如127.0.0.0

2. 无类别域间路由(Classless Inter-Domain Routing，CIDR)
CIDR使用掩码位而非完整的点分十进制表示子网掩码。如255.255.0.0的网段172.16.0.0可用172.16.0.0/16表示。

优点：能将多个不连续的地址组合成一个子网。

3.1.2.2.2. ICMP

ICMP用于确定网络或特定链路的运行情况，可用于ping、traceroute、pathping 等网络管理工具。

ping包含二个重定向函数，允许将回显响应发送到与源系统不同的目的地。

ICMP的IP头协议字段值是1,其次ICMP头中的类型字段定义了其有效载荷中包含的消息类型或目的。常见的7种如下：

类型	功能
0	回显应答
3	目标不可达
5	重定向
8	回显请求
9	路由宣告
10	路由请求
11	超时

3.1.2.2.3. IGMP

IGMP允许系统支持多播。IGMP的IP报关协议字段值为2。

3.1.2.2.4. ARP

ARP对于逻辑和物理寻址方案至关重要，用于将32位IP地址解析为48位的MAC地址。ARP使用缓存和广播来执行操作，所以攻击者可以将伪造信息插入ARP缓存。

3.1.2.3. 应用层协议

协议名称	协议端口	协议描述
Telnet	23	终端仿真网络应用程序，支持远程连接以执行命令和运行应用程序，但不支持文件传输
FTP	20、21	网络应用程序，支持需要匿名或特定身份验证的文件传输
FTTP	69(UDP)	网络应用程序，支持不需要身份验证的文件传输
SMTP	25	一种协议，用于将电子邮件从客户端传输到电子邮件服务器，以及从一个邮件服务器传输到另一个服务器
POP3	110	将电子邮件从邮件服务器上的收件箱中拉到电子邮件客户端的协议
IMAP	143	与 POP3功能类似，但比POP3更安全，并能从电子邮件服务器中提取标头以及直接从电子邮件服务器删除邮件，而不必先下载到本地客户端
DHCP	67、68(UDP)	DHCP 用于在启动时为系统分配TCP/IP 配置， DHCP 使用67作为服务器上的目标端口来接收客户端，用68将作页户面端元请素求从器传输到Web浏览器的协议
SSL	443	一种类似于VPN的安全协议，用于HTTP加密通信
syslog	514(UDP)	系统日志服务
LPD	515	一种网络服务，用于文档打印
LPR	9100	打印相关
X Window	6000-6063	用于命令行操作系统的GUI API
NFS	2049	一种网络服务，用于支持不同系统之间的文件共享
SNMP	161、162(UDP)	一种网络服务，用于通过中央蓝控服务器轮询监控设备来收集网络运行状况和状态信息
SSL/TLS LDAP	636 and 3269	安全LDAP
LDAP	389	LDAP

多层协议
作为协议套件的TCP/IP包含分布在各种协议栈层上的许多单独协议，所以TCP/IP是一种多层协议。比如向通蓿添加SSL/TLS加密将在HITP和TCP之间插入新的封装以太网[IP [TCP [SSL [HTTP]]]]。

优点：

可以在更高层使用各种协议；
加密可包含在各个层中；
支持复杂网络结构中的灵活性和弹性。

缺点：

允许隐蔽通道；
可以绕过过滤器；
逻辑上强加的网段边界可超越。

3.1.2.4. TCP/IP 漏洞

TCP/IP漏洞很多，如缓冲区溢出、SYN洪水攻击、DoS攻击、欺骗攻击、MITM攻击等等

3.1.2.5. DNS及投毒、劫持

3.1.2.5.1. DNS介绍

DNS可将个性化的域名，完全限定域名(Fully Qualified Domain Name,FQDA)解析为对应IP地址，DNA使用了分层命名方案

顶级域名(TLD): 如 www.baidu.com中的com，常见的顶级域名有：com,org,edu,mil,gov和net
注册域名： 如www.baidu.com中的baidu
子域或主机名： 如www.baidu.com中的www

FQDN最左边部分可以是单个主机名，如www、ftp, 或多节子域名称

FQDN的总长不能超过253个字符(包括点)。任何单个部分不能超过63个字符。FQDN只能包含字母、数字和连字符。

Note: 每个注册域名都有一个指定的权威名称服务器。

DNS缓存包含：

来自本地HOSTS文件的预加载内容；
当前执行的任何DNS查询(尚未超时)

域名系统安全扩展 (DNS System Security Extensins,DNSSEC)对现有DNS基础结构的安全性作了改进。主要功能是在DNS操作期间在设备之间提供可靠的身份验证，防止DNS滥用。

3.1.2.5.2. DNS投毒

部署流氓DNS服务器(DNS欺骗/DNS域欺骗)，使用错误的IP信息响应客户端；
将错误的信息放入到域文件中；
改变HOSTS文件
- 破环IP配置：在客户端或网络上的DHCP服务器上完成；
- 使用代理伪造：攻击者将虚假WEB代理数据植入客户端浏览器，然后操作恶意代理服务器。

防御如下：

限制从内部DNS 服务器到外部DNS 服务器的区域传输；
限制外部DNS服务从内部DNS服务器中拉取区域传输的外部DNS服务器；
部署NIDS监视异常DNS流量；
加固专用网络中的所有DNS、服务器和客户端；
使用DNSSEC保护DNS基础设施。

3.1.2.5.3. DNS劫持

未经授权更改域名注册的恶意行为。有时当另一个人在原始域名过期后立即注册此域名也称为域名劫持。

3.1.3. 融合协议

融合协议是专有协议与标准协议的结合。比如以太网光纤通道(Fibre Channel over Ethernet,FCoE) 光纤通道是一种网络数据存储解决方案，允许高达128Gbps的文件传输速率。可通过现有网络基础架构支持它，利用这项技术，光纤通道可作为OSI的第3层协议运行，将IP替换为标准以太网网络的有效载荷。

以太网上的光纤通道允许通过以太网进行光纤通道通信，从而允许使用现有的高速网络来承载存储流量。这避免了光纤通道实施的定制电缆工厂的成本。

多协议标签交换(Multiprotocol Label Switching,MPLS) MPLS是一种高吞吐量的高性能网络技术，它基于短路径标签而不是更长的网络地址来引导网络上的数据。
Internet小型计算机系统接口 (Internet Small Computer System Interface, iSCSI) iSCSI是一种基于IP的网络存储标准，允许在传统网络技术上提供与位置无关的文件服务，通常被视为光纤通信的低成本替代方案。
网络电话(Voice over IP,VoIP) VoIP是一种用于通过TCP/IP网络传输语音/或数据隧道机制。如Skype。
软件定义网络(SDN) SDN是一种独特的网络操作、设计和管理方法。可独立于供应商，防止供应商锁定。
内容分发网络 (CDN) 在互联网上的多个数据中心中部署的资源服务的集合。虽然大多数 CDN 关注服务器的物理分布，但基于客户端的CDN (即P2P)也常用。如BitTorrent。

3.1.4. 无线网络

3.1.4.1. 保护无线接入点

802.1是用于无线网络通信的 IEEE标准，包括802.11a、802.11b、802.11g、802.11n、802.11ac和802.11ax。

在部署无线网络是应部署配置为使用基础架构模式而非ad hoc模式的无线访问点。(ad hoc 模式允许任何两个无线网络设备在没有集中控制权限的情况下进行通信；基础架构模式需要无线接入点，系统上的无线NIC不能直接交互，并且强制执行无线网络访问的无线接入点限制)

基础架构模式有如下变体：

独立：无线接入点将无线客户端相互连接但不连接任何有线资源
有线扩展：无线接入点充当将无线客户端连接到有线网络的连接点
企业扩展：使用多个无线接入点(Wireless Access Points,WAP)将大型物理区域连接到同一有线网络
桥接：每个无线接入点使用相同的扩展服务集标识符(Extended Service Set Identifier,ESSID)以便客户端可在保持网络连接的同时漫游该区域。另一种场景是使用无线连接来连接两个有线网络时就称为桥接模式。

3.1.4.2. 保护SSID

为无线网络分配SSID(即BSSID或ESSID)以将一个无线网络与另一个无线网络区分开。

WAP通过称为信标帧的特殊传输来广播 SSID。这允许范围内的任何无线NIC看到无线网络并使连接尽可能简单。但应禁用此SID 的默认广播以保持无线网络的安全。即使如此，攻
击者仍可通过无线嗅探器发现 SSID, 因为SSID仍可用于无线客户端和WAP 之间的传输。因此，禁用,SSID 广播不是真正的安全机制。因此应该使用 WPA2作为可靠的身份验证和加密解决方案，而不是试图隐藏无线网络的存在。

3.1.4.3. 进行现场调查

现场调查是调查环境中部署的无线接入点的位置、强度和范围的过程。此任务通常涉及使用便携式无线设备走动，记录无线信号强度，并将其映射到建筑物的图纸上。

3.1.4.4. 使用安全加密协议

IEEE 802.11标准定义了两种向AP 进行身段验证的方法：

开放式系统身份验证 (Open System Authentication,OSA): 只要可在客户端和WAP之间传输无线电信息就可通信，无需真正的身份验证，通信一般是明文传输；
共享密钥身份验证(Shared Key Authentication, SKA): 必须在通信发生前进行身份验证。SKA定义了一种有线等效保密 (Wired Equivalent Privacy,WEP) 技术，后续增加了WPA、WPA2和其他技术。

1. WEP
WEP旨在提供与有线网线相同级别的无线网络安全性和加密。可以：

防止对无线传输的数据包嗅探和窃听保护。
防止未经授权的无线网络访问(使用了预置共享密钥)
WEP几乎一发布就被破解了，如今可在一分钟内破解WEP, 现在已经毫无价值。

Note:WEP加密使用了Rivest’Cipher~4(RC4) 对称流密码，由于RC4 的设施和实施存在缺陷(静态公共密钥+初始向量IV)。

2. WPA
WiFi 受保护访问(WiFi Protected Access,WPA)用来替代WEP,是802.11i发布前的临时版本。802.11i 正式版本称为WPA2, 实现类似于 IPsec。
WPA基于LEAP和临时密钥完整性协议 (Temporal Key Integrity Protocol,TKIP),虽然比WEP更复杂，但不提供长期可靠的安全性。
TKIP被设计为WEP的替代品，不需要替换传统的无线硬件。TKIP以WPA的名称实施到802.ii’无线网络中。TKIP改进包括密钥混合功能，该功能将初始化向量(即随机数)与秘密根密钥组合，然后使用该密钥与，RC4进行加密；序列计数器用于防止数据包重放攻击；并使用了名为Michael的强大完整性检查
3. WPA2
是一种新的加密方案，称为CCMP, 基于AES加密(128位密钥),用于替换WEP和TKIP/WPA。CCMP是称为802.11i的修正版本，是无线网络的首选标准安全协议。到目前为止，还没有针对AES/CCMP加密的攻击获得成功。
4. 802.1X/EAP
802.1X允许无线网络利用现有网络基础设施的身份验证服务。通过使用802.1X;、可将其他技术和解决方案(如 RADIUS 、 TACACS、证书、智能卡、令牌设备和生物识别技术)集成到无线网络中提供身份验证。
扩展身份验证协议(EAP) 不是特定的身份验证机制，它只是一个身份验证框架。实际上，EAP允许新的身份验证技术与现有的无线或点对点连接技术兼容。超过40种不同的EAP身份验证方法得到广泛支持。这些包括 LEAP、EAP-TLS 、EAP-SIM、EAP-AKA 和 EAP-TTLS的无线方法。
5. PEAP
保护的可扩展身份验证协议(Protected Extensible Authentication Protocol,PEAP)将EAP方法封装在提供身份验证和可能加密的TLS隧道中。由于EAP最初设计用于物理隔离通道，因此假定为安全通道，因此EAP通常不加密。PEAP可为EAP方法提供加密。
6. LEAP
轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol,LEAP) 是针对WPA的TKIP的思科专有替代方案，解决了802.11i/WPA2系统作为标准之前的TKIP中存在的缺陷。

LEAP不安全，由于自21世纪初以来就有可用的攻击工具，因此不应使用。
7. MAC过滤器
无线接入点使用MAC 地址来阻止对所有未授权设备的访问。虽然这是一个有用的实现功能，但它可能很难管理，并且往往只在小型静态环境中使用。

3.1.4.5. 天线放置

最佳天线放置原则：

使用中心位置。
避免固体物理障碍。
避免反光或其他扁平金属表面。
避免电气设备

3.1.4.6. 天线类型

标准直线或极天线是全向天线,可在垂直于天线的所有方向上发送和接收信号。这是在大多数基站和一些客户端设备上采用的天线类型。
多数其他类型的是定向天线,这意味着它们将发送和接收能力集中在一个主要方向上

3.1.4.7. 调整功率电平控制

一些无线接入点提供天线功率电平的物理或逻辑调整

3.1.4.8. WPS

Wi-Fi 保护设置(Wi-Fi Protected Setup, WPS)是无线网络的安全标准。它旨在减少将新客户端添加到无线网络的工作量。当管理员通过按下基站上的WPS按钮触发该功能时，它通过自动连接第一个新的无线客户端来寻找网络。但是，该标准还要求可以远程发送到基站的代码或个人身份识别码(Personal Identification Number,PIN),以便在不需要按下物理按钮的情况下触发WPS协商。这导致了暴力猜测攻击,使得黑客能在数小时内(通常不到6小时)猜测WPS代码，这反过来又使黑客能将自己的未授权系统连接到无线网络。

WPS 是大多数无线接入点默认启用的功能，因为它是设备Wi-Fi联盟认证的必要条件，所以需要手工禁用它。

3.1.4.9. 使用强制门户

强制网络门户是一种身份验证技术，可将新连接的无线 Web 客户端重定向到门户网站访问控制页面。多用于公共用途的无线网络，如酒店、餐馆、机场等。

3.1.4.10. 一般WIFI安全程序

使用WPA2是一种真正的安全功能，步骤如下：

更改默认管理员密码
根据部署要求决定是否禁用SSID广播
将SSID更改为唯一的。
如果无线客户端数量很少(通常小于20),请启动MAC地址过滤并使用静态IP地址。
请考虑使用静态IP地址，或使用预留配置 DHCP(仅适用于小型部署)。
打并支持的最强的身份验证和加密方式，目前是 WPA2, 可能很快就成为 WPA3(2018年年初开发的新安全模式)。如果你的设备上没有WPA2或更强的解决方案，那么需要更换无线设备。
将无线视为远程访问，井使用802.1X 管理访问。
将无线视为外部访问，并使用防火墙将WAP与有线网络分开。
将无线视为攻击者的入口点，并使用IDS 监控所有WAP到有线网络的通信。
要求加密无线客户端和WAP之间的所有传输

3.1.4.11. 无线攻击

战争驾驶(war driving) 使用检测工具寻找无线网络信号的行为，如手持式探测器，带WiFi功能的移动设备。
战争粉笔(war chalking),通常用于向他人透露无线网络的存在，以便共享已发现的WAP。
重放攻击通过保持基站固件更新及NIDS,W-NIDS可以监测告警。
IV IV用来降低可预测性和可重复性。IV 攻击的一个例子是破解WEP加密。
恶意接入点流氓WAP将其配置为有效的SSID、MAC地址和无线信息并以更高的额定功率运行，会导致用户无意中选择其进行连接。
邪恶双胞胎黑客操作虚假接入点，该接入点将根据客户端设备的连接请求自动克隆接入点的身份。(原理：每次设备成功连接到 WAP时，都会保留WAP配置文件。)

3.1.5. 安全网络组件

3.1.5.1. 网络访问控制

网络访问控制(Network Access Control,NAC)指通过严格遵守和实施安全策略来控制对环境的访问。NAC的目标如下：

防止/减少零日攻击
在整个网络中实施安全策略
使用标识执行访问控制

3.1.5.2. 防火墙

防火墙是管理和控制网络流量的重要工具，可阻止来自互联网的恶意流量进入专用网络。
常见防火墙类型：
静态数据包过滤防火墙-第一代防火墙 也可以称为筛选路由器。通过检查消息头中的数据来过滤流量。通常，规则涉及源、目标和端口地址。使用静态过滤，防火墙无法提供用户身份验证或判断数据包是来目私有网络内部还是外部，它很容易被假冒的数据包所欺骗。工作在 OSI 模型的第3层(网络层)。

静态数据包过滤防火墙被称为第一代防火墙，不跟踪连接状态。

应用级网关防火墙-第二代防火墙也称为代理防火墙。代理是一种将数据包丛一个网络复制到另一个网络的机制：复制过程还会更改源和目标地址以保护内部或专用网络。应用级网关防火墙根据用于传输或接收数据的应用程序过滤流量。每种
类型的应用程序都必须捅着自己唯一的代理服务器。因此，应用级网关防火墙包括许多单独的代理服务器。这种类型的防火墙会对网络性能产生负面影响，因为每个数据包在通过防火墙时都必须进行检查和处理。工作在 OSI 模型的应用层(第7层)。
电路级网关防火墙-第二代防火墙电路级网关防火墙也称为电路代理，管理基于电路的通信，而不是流量的内容，用今在可信赖的合作伙伴之同建立通信会话。它们权根据通信线路的端点名称(即源和目标地址以及服务端口号)允许或拒绝转发。SOCKS(Socket Secure)是电路级网关防火墙的常见实现方式。它们在 OSI 模型的会话层(第5层)上运行。

之所以也称为二代，是因为它代表了对应用级网关防火墙概念的修改。

状态检查防火墙-第三代防火墙也称为动态数据包过滤防火墙，评估网络流量的状态或上下文。通过检查源和目标地址、应用程序使用情况、来源以及当前数据包与同二会话的先前数据包之间的关系，状态检查防火墙能为授权用户和活动授予更广泛的访问权限，并主动监视和阻止未经授权的用户和活动。状态检查防火墙通常比应用级网关防火墙更有效地运行。工作在OSI 的网络层和传输层(第3、4层)。
下一代防火墙 (Next-Generation Firewalls,NGFWs)) 下一代防火墙是一种多功能设备(MFD), 除防火墙外，还包含多种安全功能，集成组件可包括 IDS、IPS、TLS/SSL VPN、Web过滤、QoS管理、带宽限制、 NAT转换、VPN和反病毒。
内网隔离防火墙(Internal Segmentation Firewall,ISFW)
部署在内部网段或公司部门之间的防火墙。其目的是为了防止已经存在的恶意代码或有害协议的进一步传播专用网络。
度数据包检测(Deep Packet Inspection,DPI) 是一种过滤机制，通常在应用程序层运行，以便过滤通信的有效内容 (而不仅是报头值)。DP也可称为完整的数据包检查和信息提取(IX)。DPI过滤能够阻正有效通信负载中的域名、恶意软件、垃圾邮件或其他可识别元素。DPI通常与应用层防火墙和/或状态检测防火墙集成在一起。

应用程序级网关防火墙为其筛选的每个服务使用代理。每个代理都被设计用于分析其特定流量类型的流量，使其能够更好地了解有效流量并防止攻击。静态数据包过滤器和电路级网关只需查看使用中的源、目的地和端口，而有状态的数据包检查防火墙可以跟踪通信状态，并基于这种理解允许或拒绝流量。

3.1.5.3. 端点安全

中继器、集中器和放大器 用于加强电缆通信信号以及连接使用相同协议的网段。这些设备可用于沿着冗长线路部署一个或多个中继器来扩展特定电缆类型的最天传输距离。中继器、集中器和放大器在OSI 第1层运行。中继器、集中器或放大器两侧的系统是同一冲突域和广播域的一部分。
集线器 用于连接多个系统并连接使用相同协议的网段。集线器是多端口中继器。集线器在OSI 第 1 层运行。集线器两侧的系统是相同冲突和广播域的一部分。这可确保流量将到达其预期的主机，但代价是同一冲突域和广播域的所有成贫也将接收通信。太多数组织都采用无中心安全策略来限制或降低嗅探攻击的风险，会首选交换
机，因为集线器是过时技术。

调制解调器 传统的landline 调制解调器是一种通信设备，它覆盖或调制模拟载波信号和数字信息，以支持公共交换电话网 oublic Switched Telephone Network,PS白。线路的计算机通信。从大约1960年到1995年，调制解调器是 WAN 通信的常用手段。调制解调器通常被数字宽带技术所取代，包括ISDN、电缆调制解调器、 DSL 调制解调器、802.11无线以及各种形式的无线调制解调器。

在任何实际不执行调制的设备上使用调制解调器这个术语都是不正确的。标记为调制解调器(电缆、 DSL、ISDN、无线等) 的大多数现代设备走路由器，而不是调制解调器

网桥用于将两个网络(甚至是不同拓扑结构、布线类型和速率的网络)连接在一起，以便连接使用相同协议的网段。桥接器将流量丛一个网络转发到另一个网络。使用不同传输速度连接网络的网桥可能具有缓冲区来存储数据包，真到它们可转发到较慢的网络。这称为存储转发设备。网桥在OSI 第2层运行。网桥两侧的系统是同一广播域的一部分，但位于不同的冲突域中。
交换机 你可考虑用交换机或智能集线器来替代集线器。交换机知道每个出站端口上连接的系统的地址。交换机不是在每个出站端口上重复流量，而仅在己知目的地的端口重复流量。交换机为流量传输提供更高效率，创建单独的冲突域，并提高数据的整体吞吐量。交换机在创建VLAN 时，可创建单独的广播域。在这样的配置中，允许在单个VLAN内进行广播，但不允许从一个VLAN, 到另一个 VLAN 不受阻碍地进行广播。交换机主要在 OSI、第2层运行。如果交换机具有其他功能(如路由),它们也可在 OSI 第3层运行(例如在 VLAN 之间路由时)。在第2层操作的交换机两侧的系统是同一广播域的一部分，但处于不同的冲突域中。在第3 层操作的交换机两侧的系统是不同广播域和不同冲突域的一部分。交换机用于连接使用相同协议的网段。
路由器 用于控制网络上的流量，通常用于连接类似的网络并控制两者之间的流量。它们可使用静态定义的路由表运行，也可使用动态路由系统。有许多动态路由协议，例如 RIP、OSPF 和 BGP。路由器在OSI 3层运行。路由器任一侧的系统是不同广播域和不同冲突域的一部分。路由器用于连接使用相同协议的网段。
桥路由器 包括路由器和桥接器的组合设备。桥路由器首先尝试路由，但如果失败，则默认为桥接。因此，桥路由器主要在第3层运行，但在必要时可在第2层运行。在第3层运行的桥路由器两侧的系统是不同广播域的一部分，并且是不同的冲突域。在第2 层运行的桥路由器两侧的系统是同一广播域的一部分，但在不同的冲突域中。桥路由器用于连接使用相同协议的网段。
网关连接使用不同网络协议的网络。网关负责通过将该流量的格式转换为与每个网络使用的协议或传输方法兼容的形式，将流量从一个网络传输到另一个网络。网关，也称为协议转换器，可以是独立的硬件设备或软件服务(例如，IP, 到IPX网关)。网关两侧的系统是不同广播域和不同冲突域的一部分。网关用于连接使用不同协议的网段。有许多类型的网关，包括数据、邮件、应用程序、安全和互联网。网关通常在OSI 第7层运行。
代理是一种不跨协议转换的网关形式。相反，代理充当网络的调解器、过滤器、缓存服务器甚至NATIPAT服务器。代理执行功能或代表另一个系统请求服务，并连接使用相同协议的网段。代理最常用于在私有网络上为客户端提供互联网访问；同时保护客户端的身份。代理接受来自客户端的请求，更改请求者的源地址，维护请求到客户端的映射，并发出更改的请求包。这种机制通常称为网络地址转换(NAT)。一旦接收到回复，代理服务器通过检查其映射
来确定它要去往哪个客户端，然后将数据包发送到客户端。代理的任何一边的系统都是不同广播域和不同的冲突域的一部分；
LAN 扩展器 一种远程访问的多层交换机，用于在广域网链路上连接远程网络。这是一个奇怪的设备，因为它创建广域网，但是这个设备的营销人员避开术语广域网，只使用局域网和扩展的局域网。这个设备背后的想法是使术语更容易理解，从而使产品比具有复杂概念和术语的常规 WA1 叫设备更容易销售。最终，它是与广域网交换机或广域网路由器相同的产品。 >汇总成表格：硬件、工作层、描述、冲突

3.1.6. 布线、无线、拓扑、通信和传输介质技术

网络上建立安全性不仅涉及管理操作系统和软件。你还必须解决物理问题，包括布线、无线、拓扑和通信技术

3.1.6.1. 传输介质

1. 同轴电缆
同轴电缆也称为coax, 具有由一层绝缘层包围的铜线芯，该绝缘层又由导电编织屏蔽层包围并封装在最终绝缘护套中。由于双绞线普及，coax已经不再使用。

2. 基带和宽带电缆
用于标记大多数网络电缆技术的命名约定遵循语法 XXyyyyZZ。例如10Base2电缆10Mbps。

XX表示电缆类型提供的最大速度；
yyyy代表电缆的基带或宽带方面，例如10Base2电缆的基带。基带电缆一次只能传输一个信号，宽带电缆可以同时传输多个信号；
ZZ代表电缆可使用的最大距离或表示电缆技术的简写。

3. 双绞线
与同轴电缆相比，双绞线布线非常轻便灵活。它由四对彼此缠绕在一起的电线组成，然后套在PVC绝缘体中。如果外部护套下面的导线周围有金属箔包装，则该导线称为屏蔽双绞线(Shielded twisted Pair,STP),否则称为非屏蔽双绞线(Unshielded Twisted Pair,UTP)。UTP最常用于10BaseT、100BaseT和1000BaseT。

双绞线布线的最常见问题如下：

使用错误类别的双绞线电缆进行高吞吐量网络连接；
部署双绞线长度超过其建议的最大长度(100米)；
在具有显著干扰的环境中使用UTP。

4. 导线
基手导体的网络布线的距离限制源于用作导体的金属的电阻。铜是最受欢迎的导体，是目前市场上最好、最便宜的室温导体之一。通常可通过使用中继器或集中器来延长电缆。

3.1.6.2. 网络拓扑

计算机和网络设备的物理布局和组织称为网络拓扑。网络的物理布局有四种基本拓扑：环形、总线、星形和网状。

环形拓扑：
环形拓扑将每个系统连接为圆上的点。连接介质用作单向传输回路。一次只有一个系统可传输数据。流量管理由令牌执行。总线拓扑：
总线拓扑：
将每个系统连接到干线或主干电缆。总线上的所有系统都可以同时传输数据，这可能导致冲突。当两个系统同时传输数据时会发生冲突：信号相互干扰。为避免这种情况，系统采用冲突避免机制。
星形拓扑：
来用集中式连接设备，该设备可以是简单的集线器或交换机。每个系统通过专用段连接到中央集线器。如果任何一个段失败：真他段可以继续送行。但是，中央集线器存在单点故障。通常，星形拓扑比其他拓扑使用更少的布线，并直更容易识别损坏的电缆。
网状拓扑：
网状拓扑使用多个路径将系统连接到其他系统。网状拓扑将每个系统连接到网络上的其他所有系统。网状拓扑提供与系统的
冗余连接，即使多个段出现故障，也不会严重影响连接。

3.1.6.3. 无线通信与安全

3.1.6.3.1. 通用无线概念

无线通信使用无线电波在一定距离上传输信号。无线电波频谱数量是有限的，无线电波的频率在3Hz和300GHz,之间。900MHz、2.4GHz和5GHZ频率是无线产品中最常用的，因为它们是未经许可的分类。为管理有限的无线电频率的同时使用，开发了九种频谱使用技术，包括

扩频 (Spread Spectrum)
跳频扩频(Frequency Hopping Spread Spectrum，FHSS)
直接序列扩频 (Direct Sequence Spread Spectrum，DSSS)
正交频分复用(Orthogonal Frequency-Division Multipiexing，OFDM)。

3.1.6.3.2. 手机

蜂窝电话无线通信包括在特定的一组无线电波频率上使用便携式设备以与蜂窝电话运营商的网络以及其他蜂窝电话设备或互联网进行交互。相关术语UMTS、CDMA、LTE等。

ESN(Electronic Serial Number)及MIN(Moblie Identification Number)甚至SIM(Subscriber Identification Module)可烧录至空白手机。克隆手机使用中产生的话费都会计入被克隆的用户账上。使用无线频率扫描器，能拦截手机通信及数据传输。

2G技术 CDMA、GSM和IDEN
3G技术 EDGE、DECT和UTMS
4G技术 包括WiMax、LTE和IEE 802.20移动宽带

3.1.6.3.3. 蓝牙(802.15)

蓝牙或IEEE 802.15个人局域网(PAN)是无线安全问题的另一个领域。用于手机、鼠标、键盘、全球定位系统(GPS)设备以及许多其他接口设备和外围设备的耳机通过蓝牙连接。

由于蓝牙不提供强加密，因此只能用于非机密活动。蓝牙PIN码是四位代码，通常默认为0000。关闭它并确保您的设备不处于发现模式可以帮助防止蓝牙攻击。

3.1.6.4. RFID

射频识别(Radio Frequency Identification,RFID)是一种用放置在磁场中的天线产生的电流为无线电发射机供电的跟踪技术。

3.1.6.4.1. NFC

近场通信(Near-field communication,NFC)是在非常接近的设备之间建立无线电通信的标准。

3.1.6.4.2. 无线电话

无线电话代表了一个经常被忽视的安全问题。无线电话设计为使用任何一种未经许可的频率，换言之，900Hz、2.4GHz 或 5GHz。这三种未经许可的频率范围被许多不同类型的设备使用，如完线电话、婴儿监视器、蓝牙和无线网络设备。经常被忽视的问题是有人可以轻易地窃听无线电话上的对话，因为它的信号很少被加密。使用频率扫描仪，任行人都可收听你的对话。

3.1.6.5. 局域网技术

3.1.6.5.1. 以太网

太网是一种共享介质 LAN 技术(也称为广播技术)。这意味着它允许多个设备通过相同的质进行通信，但要求设备轮流通信并检测冲突和避免冲突。以长网采用广播域和冲突域。严播域是系统的物理分组，其中该组中的所有系统都接收出该组中的单个系统发送的广播。冲突域由系统分组组成，如果两个累统同时发送，则在这些系统中发生数据冲突。

3.1.6.5.2. 令牌环

令牌环使用令牌传递机制来控制哪些系统可通过网络介质传输数据。令牌在 LAN的所有成员之间以逻辑循环行进。令牌环可角芋环形或星形网络拓扑。令牌环性能有限，与以太网相比成本较高，部署和管理难度较大，因此很少使用。

3.1.6.5.3. 光纤分布式数据接口(FDDI)

FDDI 是一种高速令牌传递技术，它采用两个环，其流量方向相反。 FDDI 通常用作大型企业网络的主干。

五种LAN介质访同技未用孕避免或防正传输冲突。这些技术定义了同一冲突域内的多个系统如何进行通信。其中一些技术可主动防止冲突，而其他技术可应对冲突。

载波侦听多路访问(Carrier-Sense Multiple Access,CSMA) 通过以下步骤执行通信的LAN介质访问技术：
(1)主机侦听LAN介质以确定它是否正在使用中。
(2)如果LAN 介质未被使用，则主机发送其通信。
(3)主机等待确认。
(4)如果在超时后没有收到确认，则主机从步骤1 重新开始。

CSMA 不未置接解决冲奖。如巢发生冲笑，则通信不会成功，因此不会收到确认。这导致发送系统重新发送数据并再次执行 CSMA过程。

载波侦听多路访问/冲突避免(Carrier-Sense Multiple Access with Collision Avoidance,CSMNCA) 通过以下步骤执行通信的 LAN 介质访问技术：
(1)主机有两个到 LAN 介质的连接：入站和出站。主机侦昕入站连接以确定 LAN 介质是
否正在使用中。
(2)如果未使用 LAN 介质，则主机请求传输权限。
(3)如果在超时后未授予权限，则主机将从步骤1 重新开始。
(4)如果授予了权限，则主机通过出站连接发送其通信。
(5)主机等待确认。
(6)如果在超时后未收到确认，则主机在步骤1 重新开始。

载波侦听多路访问/冲突检测 (Carrier-Sense Multiple Access with Collision Detection,CSMA/CD) 通过以下步骤执行通信的 LAN 媒体访问技术：
(1)主机侦听 LAN 介质以确定它是否正在使用中。
(2)如果LAN 介质未被使用，则主机发送其通信。
(3)在发送时，主机侦听冲突(即两个或多个主机同时发送)。例如果检测到冲突，则主机发送阻塞信号。
(5)如巢收到阻塞信号，则所有主机都停止发送。每个主机等待一段随机时间，然后灰步骤1开始

以太网采用CSMA/CD技术。CSMA/CD 逼过让冲突域的每个成员在开始该过程之前等待一段短暂但随机的时间来响应冲突。不華的是，究许冲突发生对冲突做出响应或发应会导致传输延迟以及董复传输。这将导致约40%的潜在春吐量损失。

3.2. 安全通信与网络攻击

3.2.1. 网络与协议安全机制

3.2.1.1. 安全通信协议

安全通信协议指为特殊应用的通信通道提供安全服务的协议。常用如下：
IPsec 使用公钥加密算法，为所有基子D 的协议提供加密、访问控制、不可否认及信息身份验证等服务。IPsec可工作在传输模式或隧道模式，主要用于VPN。
Kerberos 提供了单一登录解决方案，并对登入证书提供保护。
SSH 可充当协议加密工具(如 SFTP) 或VPN
信令协议(Signal Protocal) 是一种为语音通信、视频会议以及广西信息服务提供E2E 加密服务的加密协议。
安全远程过程调用S-RPC,是一种身份验证服务，用于防止非法代码在远程系统上执行。
SSL Netscape 公司开发的加密协议，用于保护Web服务器与浏览器之间的通信。采用40位或128位密钥，现在已经被 TLS 取代。
TLS TLS与 SSL 类似，但安全性更高。

3.2.1.2. 身份验证协议

当远程系统与服务器或网络建立初始连接后，第一步工作应是验证远端用户的身份，称为身份验证。如下几种身份验证协议来控制登录证书的交换，以及确定在传输过程中这些证书是否需要加密。
CHAP(Challenge Handshake Authentication Protocol) 用于PPP连接上的身份验证协议。CHAP加密用户名和密码，采用无法重放的挑战-应答对话进行验证。
PAP(Password Authentication Protocol) 用于PPP标准化身份验证协议。 PAP 使用明文传输用户名与密码，不提供任何加密，只提供简单传输路径，把登录证书从客户端传递到身份验证服务器。
EAP(Extensible Authentication Protocol) 是一种身份验证框架而不是真实协议。EAP支持可定制的身份验证安全解决方案，如智能卡、令牌和生物身份验证("EAP、PEAP及LEAP"中提供有关其他基于EAP 的协议信息)。

上述三个身份验证协议最初都应角于拨号 PPP连接中。现在，它们与许多新验证协议(如 penID、OAuth及 Shibboleth)及SAML等一起，都应角于大量的远程连接技术中，如宽带及VPN,同时扩展了对传统身份验证服务(如Kerberos、RADIUS及TACACS+)的支持与使用。

RADIUS用于为远程拨号连接提供中心化的身份验证服务。网络中部署一台RADIUS服务器，远程访问服务器会将拨号用户的登录凭据传递给 RADIUS服务器进行身份验证。这个过程类似于域用户传递登录证书给域控制器进行验证。

TACACS+是RADIUS的一种替代方案，TACACS有三个版本：

原始TACACS:整合了身份验证和授权过程
扩展TACACS(XTACACS): 实现了身份验证、授权和记账过程的分离。
TACACS+: 对XTACACS+进行了改进，加入了双因素身份验证，用了TCP 49端口。

3.2.2. 语言通信安全

3.2.2.1. VoIP

VoIP (互联网语音协议1网络电话)是一种将语音封装在IP包中的技术，该技术支持在 TCP/IP网络中打电话。在世界范围内，VoIP己经成为公司及个人大众化的、廉价的电话解决方案。

安全实时传输协议(SRTP)。是RTP时间传输协议的安全改进版本，也应用于VoIP中，尽可能降低VoIP 遭受DoS 攻击的风险。

3.2.2.2. 社会工程

3.2.2.3. 欺骗与滥用

另一个语音通信威胁是专用交换机(Private Branch Exchange, PBX)欺诈和滥用，目的是想逃避电话费用或隐藏身份。专用小交换机（PBX）是一种部署在私人组织中的电话交换或交换系统以便能够多站使用少量的外部PSTN线路。例如，PBX可以允许办公室中的150部电话共享访问20条租用的PSTN线路。

1、传统的PBX系统很容易被窃听，因为语音通信是直接通过铜线进行的。
2、Phreakers可能能够获得对个人语音信箱的未经授权的访问、重定向消息、阻止访问以及重定向入站和出站呼叫。

3.2.3. 多媒体协作

3.2.3.1. 远程会议

3.2.3.2. 即时通信 (Instant Messaging,IM)

3.2.3.3. 管理邮件安全

互联网中邮件基础设施主要是邮件服务器(如 Exchange,Sendmai), 使用 SMTP(SimpleMail Transfer Protocol, 简单邮件传输协议)接收来自客户的邮件，并将这些邮件传送给其他服务器，这些邮件最后被存储到服务器的用户收件箱中。除了邮件服务器，还有邮件的客户端。客户端使用POP3 或IMAP, 从鄙件服务器的收件箱中查收邮件。客户端使用SMTP 与邮件服务器问通信。

3.2.3.4. 邮件安全目标

提供不可否认性
消息只限制收件人可以访问(即隐私与保密性)
维护消息的完整性
身份验证和验证消息源
验证消息的传递
对消息或附件中的敏感内容进行分

3.2.3.5. 邮件安全问题

拦截和窃听 邮件的标准协议(如SMTP、POP、IMAP)都未采用本地加密措施。因此，信息以原始形式提交给邮件服务器进行传输，通常都是明文。
篡改缺乏本地完整性检查机制
Dos 攻击
垃圾邮件
病毒、蠕虫、木马、文档宏病毒等恶意代码形式

3.2.3.6. 邮件安全解决方案

S/MIME(Secure Multipurpose Internet Mail Extensions ) S/MIME是一种邮件安全标准，通过公钥加密(PKCS,Public Key Cryptography
Standard) 和数字签名 (X.509 数字证书)为邮件提供身份验证及保密性保护。
MOSS(MIME"Object Security Service) 为邮件提供身份验证、保密性、完整性及不可否认保护。
PEM(Privacy Enhanced Mail) PEM 是一种邮件加密技术，能提供身份验证、完整性、保密性及不可否认保护。 PEM使用RSA、DES 及 X.509.
PGP(Pretty Good Privacy) PGP是一种对称密钥系统，使用大师的加密算法加密文件及邮件消息。
DKIM(Domain keys Identified Mail) DKIM 通过验证域名标识，确定来自组织的邮件是否有效。
SPF(Sender Policy Framework).组织可通过为SMTP服务器配置 SPF来防正垃圾邮件及邮件欺骗。 SPF 通过检查发送消息的主机是否获得 SMTP域名拥有者的授权，来确定消息的有效性。
DMARC(Domain Message Authentication Reporting and Conformance)
SMTPS SMTP的 TLS 加密形式，使用TCP 465端口。

3.2.4. 远程访问安全

传输保护 包括 VPN、SSL、TLS、SSH、IPsec 以及第二层隧道协议(L2TP)。
除了要保护数据流量，还要确保所有登录凭据的安全。
身份验证保护 采用身份验证协议以及必要的中心化远程访问身份验证系统。包括：

密码身份验证协议(password Authentication Protocol,PAP)；
征询握手身份验证协议(Chalienge Handshake Authentication Protocol,CHAP)；
可扩展身份验证协议(EAP或其扩展PEAP或LEAP)；
远程身份验证拨入用户服务(Remote Authentication Dial-In iser Service,RADTUS)；
终端访问控制器访问控制系统+(Terminal Access Controller Access-Control System Plus, TACACS+)。

3.2.5. 虚拟专用网VPN

VPN能在不安全或不可信的网络上提供保密性及完整性保护，但不保证可用性。

使用IPSec VPN的一种方法是通过公共网络创建一个专用的加密网络（或隧道），允许用户成为雇主内部网络的虚拟部分。IPSec不同于TLS，它为机密性和完整性提供加密。

3.2.5.1. 隧道技术

通过采用中间网络(不可信),对合法通过的协议进行封包(即将协议数据包封装在另一种协议报文中),来保护内部协议及流量数据的安全。如果主要协议不要路由，也可以使用隧道技术将网络中支持的协议数量降至最低。

优点：
1、隧道技术可防止流量控制装置阻挡或丢弃数据，因为这些装置不知道数据包内容。
2、低成本

缺点：
1、低效：增加了报文大小，消耗了更多带宽；
2、是点对点的通信机制，不支持处理广播流量
3、受到中间网络的速度以及客尸系统与服务器系统间连接类型的限制。

记忆：将邮件(数据包)放入信封(隧道协议)中，通过邮局服务(不可信的中间网络)送到收件人手中。其实隧道技术是通信系统内的常用据动，如使用TLS 连接防简web 网站，明文通信就用了隧道技术封茬TLS 会话中。

3.2.5.2. 常用VPN协议

四种常用的VPN协议：PPTP、L2F、L2TP和IPsec。

PPTP、L2F、L2TP工作在OSI 2；
PPTP和IPsec仅限在IP网络中使用；
L2F、L2TP可用来封装任何LAN协议。

3.2.5.2.1. PPTP

点对点隧道协议PPTP是一种在拨号点对点协议基础上开发的封装协议，工作在OSI2 层，用于 IP网络。PPTP不支持TACACS+及RADIUS。

PPTP的初始隧道协商过程是不加密的，在建立会话的数据包中包含发送者和接收者的地址，“也可能包含用户名和散列的密码。现在已经被L2TP取代，L2TP使用IPsec为VPN提供流量加密功能。

3.2.5.2.2. L2F、L2TP

思科开发了自己的 VPN 协议，称为L2F (从名字可以看出工作在 OSI2), 是一种互相身份验证隧道机制，不提供加密，很快被L2TP取代。L2TP是PPTP"和L2F的结合，在通信端点间创立点对点隧道，采用IPsec作为安全机制。支持TACACS+及RADIUS。

GRE(Generic Routing Encapsulation) 也是思科的专有隧道可用于建立VPN 的协议。GRE提供封装但不是加密。

3.2.5.2.3. IPsec

IPsec即是单独的VPN协议，也是L2TP的安全机制(两者结合称为L2TP/IPsec), 能够提供身份验证及数据传输加密，工作在IP网络中，并只能用于IP流量。IPsec是以下协议的集合：

身份验证头(Authentication Header,AH):提供身份验证、完整性及不可否认性保护。
封装安全载荷 (Encapsulation Security Payload,ESP):提供加密，保护传输数据安全性，也提供有限的身份验证功能。工作在OSI 3, 可用于传输模式或隧道模式。
HMAC(Hash-based Message Authentication Code)
IPComp(IP Payload Compression) IP 有效负载压缩(IPComp)是IPsec用来在ESP加密数据之前压缩数据的压缩工具，以便尝试跟无线网络传输
IKE IPsec 管理加密密钥的机制是互联网密钥交换 (Internet Key Exchange,IKE)。IKE 由三个元素组成： OAKLEY、SKEME和ISAKMP。、OARLE,是一种类似于 Diffie-hellman 的密钥生成和交换协议。安全密钥交换机制”(SKEME) 是一种安全地交换密钥的方法，类似于数字信封。互联网安全关联和密钥管理协议(ISAKMP) 用子组织和管理OAKLEY和SKEME 生成和交换的加密密钥。

传输模式下IP报文数据进行加密，报文头不加密；隧道模式下，整个IP 报文都加密，并添加新的报文头部来管理报文在隧道中的传输。

3.2.5.3. 虚拟局域网VLAN

VLAN(Virtual Local Area Network) 即虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN, 可以实现在同一个vLAN内的用户可以进行二层置访，而不同VLAN 间的角户被二层隔离。这样既能够隔禽产播域，受能够提升网络的安全性。默认情况下，交换机上的所有端口都属于VLAN.1。

如果任何网段不写其他网段进待通信，節可完成工作，它行之间就没必要进行通信。使用VLAN,保证必要的通信。

不同VLAN 的计算机即便IP地址设置成一个网段，也不能通信了。要想实现VLAN间通信，必须经过路由器(三层设备)转爱，这就要求不同VLAN 分配不同网段的IP 地址
举例：企业公司出于安全考虑，几乎都会将同一个部门的计算机放在同一个网段，或将安全要求一致的计算机放置到一个网段。

VLAN可以为网络提供以下作用：

广播控制：限制网络上的广播，将网络划分为多个VLAN可减少广播影响的设备数量。
- 带宽利用
- 降低延迟
安全性：增强局域网的安全性，同一部门的计算机放到一个VLAN, 不同VLAN 中的计算机必须通过网络设备才能通信

VLN 类似字网但文不是子网，VLAN 是工作在2层的交换机创建的，子网是通过第3层IP地址及子网掩码配置的。

3.2.6. 虚拟化

虚拟化技术用于在单个计算机系统内存中创建一个或多个操作系统。常见的有VMware/vSphere、微软Hyper-V、VirtualBox 及苹果公司的Parallels。典型安全问题是虚拟机逃逸，即容器或虚拟机中的软件破坏了管理系统”的隔离保护或渗透进入了宿主机；

使用虚拟接口的服务器和系统之间的通信可能发生在虚拟环境的“内部”。IDS只能监测到在VM环境之外发送的流量。

虚拟化网络
传统网络由于设备内配置(如路由器、交换机)的复杂性，经常迫使组织只能依靠单一设备制造商，如思科，使得网络很难适应物理及业务条件的改曼。SDN 的目标是将基础设施层(硬件及硬件设置)从控制层(数据传输管理的网络服务)中分离出来。筒时，这也消除丁P 地址、子网、路由等传统的网络概念，就像是通过编程或苗应用解密来完成一样。

3.2.7. 网络地址转换NAT

NAT (网络地址转换)可解蔽私有网络的设计、降低公网 IP地址的租用费用。 NAT 是一种地址转换技术，工作在网络层，能将报文头中的内部IP 地址，转换为司在互联网正传输的公网IP 地址。

NAT带来了很多好处：

整个网络可通过共享一个(或一些)公网IP地址接入互联网；
可在内网中使用RFC 1918中定义的私有IP地址，与互联网进行通信；
向外部隐藏了内部 IP 地址的划分及网络拓扑；
NAT对连接做了限制：来自互联网的流量中，只有网络内部受保护连接中的流量才允许通过。这样，大多数人侵攻击会被自动拦截。

3.2.7.1. 私有IP 地址

IPv4地址约40亿个(2的32次方),世界上的连网设备远多于此，设计者早期也有预见性，将一些IP地址保留作为私有的、不受限的用途，这些IP 地址通常称为私有 IP 地址：

10.0.0.0-10.255.255.255 (全A 类地址段)
172.16.0.0-172.31.255.255 (16个B 类地址段)
192.168.0.0-192.168.255.255(256个C 类地址段)

所有公用可达的路由器，都会丢弃源地址或目的地址来自RFC 1918定义地址的数据包。

3.2.7.2. 有状态 NAT

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

一些笔者自己买的、其他平台白嫖不到的视频教程。

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.