2.3.4 网络层的安全防护

逻辑网络分段

逻辑网络分段是指将整个网络系统在网络层（ISO/OSI模型中的第三层）上进行分段。例如，对于TCP/IP网络，可以把网络分成若干IP子网，各子网必须通过中间设备进行连接，利用这些 中间设备的安全机制来控制各子网之间的访问。

VLAN的实施

基于MAC的VLAN不能防止MAC欺骗攻击。因此，VLAN划分最好基于交换机端口。
VLAN的划分方式的目的是为了保证系统的安全性。因此，可以按照系统的安全性来划分VLAN。

防火墙服务

防火墙是网络互联中的第一道屏障，主要作用是在网络入口点检查网络通信。

从应用上分类：包过滤、代理服务期

从实现上分类：软件防火墙、硬件防火墙

通过防火墙能解决如下问题；

1.保护脆弱服务；
2.控制对系统的访问；
3.集中的安全管理。防火墙定义的规则可以运用于整个网络，不许在内部网每台计算机上分别定义安全策略；
4.增强的保密性。使用防火墙可以组织攻击者攻击网络系统的有用信息，如Finger、DNS等；
5.纪录和统计网络利用数据以及非法使用数据。
6.策略执行；
7.流量控制、防攻击检测等

加密技术

加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。

加密技术用于网络安全通常有两种形式，即面向网络或面向应用服务。前者通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性不受损害。

数字签名和认证技术

认证技术主要解决网络通信过程中通信双方的身份认可，数字签名是身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可地来要求的实现。

User Name/Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、Telnet、rlogin等，但此种认证方式过程不加密，即password容易被监听和解密。

使用摘要算法的认证

Radius，OSPF，SNMP Security Protocol等均使用共享的Security Key,加上摘要算法（MD5）进行认证。由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能技术得到共享的Security Key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。

基于PKI的认证

使用公开密钥体系进行认证敬爱米。该种方法安全程度较高，综合采用了摘要算法、不对陈加密、对称加密、数字签名等技术，结合了高效性和安全性。但涉及繁重的证书管理任务。

数字签名

数字签名作为验证发送者身份和消息完整性的根据。并且，如果消息随数字签名一同发出，对消息的任何修改在验证数字签名时都会被发现。

VPN技术

网络系统总部和分支机构之间采用公网互联，其最大弱点在于缺乏足够的安全性。
完整的VPN安全解决方案，提供在公网上安全的双向通信，以及透明的加密方案，以保证数据的完整性和保密性。