1. 網路安全的主要內容是什麼
網路安全包含網路設備安全、網路信息安全、網路軟體安全。
【網路安全】(Network Security)是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。從用戶的角度,他們希望涉及到個人和商業的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。從網路運營商和管理者的角度來說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網路資源的非法佔用和非法控制等威脅,制止和防禦網路「黑客」的攻擊。
想了解更多關於網路安全的知識,可以關注達內教育。達內教育是中國首家上市職業教育公司,它的IT類課程穿插大廠真實項目講解並由經驗豐富的實戰講師授課,它獨創的TTS8.0教學系統,包含多種班型,任你選擇。達內教育採用理論知識+學習思維+實戰操作的閉環形學習方式,1v1督學的跟蹤式學習。對於想轉行IT行業的人士是非常不錯的選擇。
2. 網路安全難學習么
有些人可能幾個月就可以掌握基本技能,但有些人可能需要更長的時間才可以
網路安全方向還是值得學習的,畢竟前景擺在這了
3. 如何學好網路安全
Y4er由淺入深學習網路安全(超清視頻)網路網盤
鏈接:
若資源有問題歡迎追問~
4. 以後想從事網路安全方面的工作,應學習什麼
需要看你個人對網路以及各個系統的了解程度,你想要朝網路安全方面發展的話,建議多去查看關於安全方面的學習資料,最主要的是實踐,我舉個例子,假如現在無法上網,你需要怎麼樣的思路去思考這個問題呢,是被病毒感染,是DDOS攻擊,還是一般的網路故障呢,所以說要學好安全就把各個系統都學好,不要求精通,至少出現問題的時候,可以自己解決,常見的系統有Windows 系列 、linux 、mac os 、solaris要做網路安全,路由器、防火牆、交換機的學習是必不可少的,因為路由也可以幫你實現安全訪問,例如ACL訪問控制列表,防火牆可以過濾埠,還可以防止一些DDOS攻擊,等。。。多看一些關於黑客攻防方面的知識,因為你了解怎麼攻擊,就知道怎麼防,對症下葯。。。呵呵看個人的精力,如果能花時間去學精一到兩門編程語言最好,例如C語言或者JAVA這兩種語言的優點在於跨平台性好,在windows 下面可以運行的程序也可以移植到linux 或者solaris上去,如果以上的內容你在3-5年的時間內學好的話,安全方面基本上因該都精通了。。。。這是我的個人建議,做不做的到都看你自己了!
5. 網路安全容易學么
給你個文件就知道了。
實驗一 交換機功能及配置
一、 交換機的聯接
1、 使用普通埠聯接(不可取,嚴重影響網速)
有一個48口交換機,普通埠100Mbps,兩個高速埠,為1000Mbps,背板帶寬為:
(48*100+2*1000)*2Mbps=13.2Gbps --à13.2Gbps
2、級聯
3、堆疊(最優聯接方法)
二、交換機的性能指標:
1、 支持的MAC地址數目
2、 背板帶寬
3、 包轉發率
4、 支持的協議
SNMP(簡單網路管理協議),IEEE802.11(無線),IEEE802.1q(VLAN)
三、交換機配置的幾種模式:
1. 用戶模式(switch>)
2.特權模式(switch#) switch>enable (ena)
3.全局配置模式( (config)#) switch#config terminal (config t)
(1)介面配置模式 (config)#interface fa 0/1
啟用介面:no shutdown 使能
(2)線路配置模式(config)#line vty 10 00-15
Exit end
Ip address
三、交換機的初始配置及console埠配置:
1.帶外管理
適用范圍:
聯線方法:
使用:超級終端
Usb-à串口
2. 帶內管理
聯線方法:
三種方法登錄。(telnet、http、廠家專用網管軟體)
3.交換機的初始配置
Switch>ena
Switch#Setup(更改交換名字、三個密碼、vlan1的IP地址、保存返回)
帶外管理配置交換機
流程:
結束
共享式乙太網特徵::中心結點是集線器這是共享式乙太網。(物理上是星狀,邏輯上是匯流排拓撲結構),每一結點共享帶寬。
交換式乙太網特徵:(中心結點是交換機)
交換機帶寬為30Mbps,每一個結點的帶寬為:30Mbps
1、獨享帶寬
2、能夠為多對結點同時建立並發聯接
3、並行性
註:集線器收到數據幀一定會向所有埠轉發。(因為集線器工作物理層,相當於一條線)
交換機在以下兩種情況下會向所有埠轉發數據幀:
1、 目標地址為全1時(廣播地址)
2、 埠-MAC地址映射表還沒有內容時。(即查不到目的MAC地址時)。
PDU:是指協議數據單元。
ARP:地址解析協議,實現從IP地址到MAC地址的映射。 IP--àMAC
查看計算機中的ARP緩存: Arp -a
刪除計算機中的ARP緩存:arp -d
查看路由路的ARP解析緩存 Show arp
查看路由路的IP路由 Show ip route
查看路由路的介面配置 Show int
查看交換機的埠-MAC地址映射表:Show mac-address-table
刪除交換機的埠-MAC地址映射表:Clea mac-address-table
1、交換機的地址學習功能和轉發/過濾決策
埠-MAC地址映射表
設備名
MAC地址
埠號
PC0
00e006123456
Fa0/1
內存(ram)
PC0向交換機發送了一個 幀 :包含目標MAC地址、源MAC地址
掌握兩類幀:
假設主機PC1去ping主機pc1,使用的PDU是icmp格式的幀,由於PC1第一次與PC2通信,還不知道PC2的MAC地址,無法組裝ICMP幀。(此時模擬器中的紫色幀無法發出,查看這個ICMP幀發現,沒有源MAC地址)
為了獲得PC2的MAC地址,PC1發出了一個ARP請求(綠色的幀,查看幀結構發現,其目標MAC地址是全1,即向所有結點廣播,查詢192.168.1.2的MAC地址)
ARP幀到達交換機時,交換機學習到了PC1的信息,可以在交換機中用SHOW驗證。
交換機向所有結點查詢:192.168.1.2的MAC地址,PC2收到後回復交換機一個ARP幀,交換機學習到了PC2的信息。交換機向PC1回復一個ARP信息,PC1記下192.168.1.2對應的MAC地址在ARP緩存中。(可以用arp –a驗證)
問題關鍵:
1、 PC1、PC2中的各個幀中的目的MAC地址、源MAC地址(幀結構)。
2、 不同階段的PC1、PC2中的ARP緩存內容。
Arp –a arp -d
3、 不同階段的交換機中的埠-MAC地址映射表。
Show mac-address-table 查看埠-MAC地址映射表
Clea mac-address-table 清除埠-MAC地址映射表
2、地址學習與轉發/過濾決策
思考練習題:
1、 剛開機時,
PC1的ARP緩存內容:no
PC2的ARP緩存內容:no
交換機內容:no
2、 工作在模擬模式,pc1向pc2 發送ping, 當PC1發出的arp包到達交換機時,
交換機內容:
Arp幀的結構:
3、 當PC1發出的arp包到達pc2時,
PC2的ARP緩存內容:
回復Arp幀的結構:
4、 當PC2發出的回復ARP包到達交換機時
交換機內容:
回復Arp幀的結構:
5、 當回復的ARP包到達PC1時,
PC1的ARP緩存內容:
6、 當PC1發送的ICMP幀到達交換機時,
交換機這時候該干什麼?
7、 ICMP幀到達PC2時,
觀察進出PC2的兩個ICMP幀有什麼不同?
當PC2發出的回應ICMP幀經交換機到達PC1後,整個PING過程完成。
8、 實驗中,ARP幀起到了什麼作用?(提示:有兩個作用)。
9、 不使用ARP幀,直接由PC1向PC2發出ICMP幀可以嗎?
實驗二:三層交換實驗(單個路由器)
接入路由器:
1、支持slip(串列線路網際協議、用於普通modem撥號上網)協議
2、ppp協議(點對點協議)
路由器實驗:(三層交換實驗)
1、 搭建網路(如圖)
2、 配置
S0交換機網段為:192.168.1.0/24 網關為:192.168.1.254/24
S1交換機網段為:192.168.2.0/24 網關為:192.168.2.254/24
(注意:交換機初始配置中介面IP不能與各PC的IP地址重合)
Router1的fa0/0的IP為:192.168.1.254/24
(ip address 192.168.1.254 255.255.255.0)
No shutdown開啟埠
查看路由路IP show ip route
查看路由路埠 show int
查看路由路的ARP解析緩存 Show arp
Router1的fa0/1的IP為:192.168.2.254/24
No shutdown開啟埠
Write 保存
路由器直接相連的路徑,是直連路由,不需要配置,路由器自動識別。
3、 在模擬狀態下,pc1向pc1發送ping數據, 分析過程:
(過濾:只允許icmp和arp幀通過。)
實驗三:網路常用的檢測命令(八個命令)
一、 Ipconfig
1、 ipconfig 查看TCP/IP的基本配置。
(可以看到什麼?)
2、 ipconfig /all 查看TCP/IP的完整配置
DHCP:動態主機分配協議,DHCP伺服器為網路終端分配IP地址。
DNS:域名伺服器。網址(域名)與IP的映射
域名-----àip地址-----------àMAC地址
DNS(域名解析)arp(地址解析)
RARP(反向地址解析)
3、 ipconfig /renew 從dhcp伺服器重新獲取一個新的ip地址。
4、 ipconfig/release 釋放IP地址。
5、 ipconfig/flushdns 清理DNS解析緩存的內容
dns:域名伺服器。域名(網址)與IP的映射
6、ipconfig/displaydns 顯示DNS解析緩存的內容
二、ping命令
功能:向目標主機發送回送請求信息。
測試網路連通性
1、 回環測試
Ping 127.0.0.1
Ping localhost
本機的IP地址
2、 Ping網關
3、持續不斷發送回送請求信息
Ping -t www..com
檢測網路質量
4、-a 反向解析出IP地址或域名。
5、 -n 3
6、-l 300 icmp包的大小為300B 默認為32B
三、tracert (路由跟蹤)
跟蹤到達目的主機的路徑,即從本機到達目的主機經過了哪些網關(結點、路由器)。
-d 不將地址解析成主機名。加快顯示速度。
-h 搜索目標的最大躍點數。默認30
–w 等待每個回復的超時時間(以毫秒為單位)。
-j與主機列表一起的鬆散源路由(僅適用於 IPv4)。
路由器(wan口)、光modem、無線ap(無線網橋)
四、netstat
埠65536 80
-a 顯示所有活動連接信息及埠號 all active
-n 以數字形式顯示連接信息
-r 顯示本機路由信息。
-s 顯示每個協議的統計信息
-p tcp 顯示指定協議連接。
五、arp
arp攻擊 Ip到mac地址映射
處理(清除、建立)ARP解析緩存。
-d 刪除ARP解析緩存
-a 顯示ARP解析緩存
arp -s 157.55.85.212 00-aa-00-62-c6-09 添加靜態項。
區域網的組建:
1、線路及設備連接
傳輸介質、網卡
網路互聯設備:路由器(不用在區域網)、交換機(二層)、無線AP(access point、無線訪問點、無線橋接器)、Modem(數據機)(不用在區域網)、網關(工作在傳輸層及傳輸層以上)(不用在區域網)
2、網路地址的配置
3、連通性測試
4、共享資源(文件夾、列印機)
Gpedit.msc 組策略編輯器 regedit
開啟Guest帳號:計算機管理本地用戶和組用戶Guest,[屬性]中「帳號已停用」去勾。
取消「使用簡單文件共享」方式:資源管理器工具文件夾選項查看,「使用簡單件共享(推薦)」去勾。
本地安全策略里的一些設置:(1)用戶權利指派--刪除「拒絕從網路訪問這台計算機」的guest帳號。(2)安全選項--「網路訪問:本地帳戶的共享和安全模式」改成「經典:本地用戶自己的身份驗證」(3)安全選項--「帳戶:使用空白密碼的本地用戶只允許進行控制台登錄」設置為「禁用」。(即禁用:沒有密碼的賬戶只能在本機登錄)
六、net命令
Net view \\IP 查看對方區域網的共享資源。
Net view 查看本地區域網的共享資源
Net use x: \\ip\文件夾 映射遠程計算機上文件夾為本機上磁碟(x)。 映射網路驅動器
Net start 啟動遠程主機上服務。
Net stop 關閉遠程主機上服務。
Net user查看有哪些用戶
net user 用戶名密碼/add 建立用戶 (關閉防火牆)
net user guest /active:yes 激活guest用戶
net user 帳戶名 查看指定帳戶的屬性
net user 用戶名 /delete 刪除用戶
net localgroup administrators 用戶名 /add
把「用戶」添加到管理員組中使其具有管理員許可權。
Net time 查看遠程主機當前時間
七、route
Route print 顯示路由表信息 (與netstat /r功能一樣)
Route add 增加一條靜態路由
Route delete 刪除一條路由
Route change 修改路由信息
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2
destination mask gateway 最大躍點數 interface
目標 掩碼 網關 介面
route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2
route DELETE 157.0.0.0
route DELETE 3ffe::/32 (ipv6地址)
3ffe:0000: 0000: 0000: 0000: 0000: 0000: 0000 16*8=128
目標地址 下一站(下一跳)
北京 武勝
重慶 萬隆
八、nslookup命令
查詢DNS域名和主機的IP地址
Nslookup www..com 別名
實驗四:靜態路由與默認路由配置
一、 實訓目的
1、 掌握靜態路由的設置
靜態路由是指路由信息由管理員手工配置,而不是路由器通過路由演算法學習得到。適合拓撲結構固定的小規模網路。
2、 掌握默認路由的設置
默認路由也是一種靜態路由,位於路由表最後,當數據包與所有路由信息都不匹配時,就使用默認路由。
靜態路由優於默認路由。
3、 掌握配置命令:
格式:R0(config)#ip route 目的網路 掩碼 下一跳IP地址(一定在鄰近的路由器上)
例:R0(config)#ip route 0.0.0.0 0.0.0.0 172.16.30.254
二、配置訓練:
配置路由器要求:
設備名
埠
IP地址
默認網關
路由器R0
Fa0/0
192.168.1.254/24
Fa0/1
192.168.2.1/24
路由器R1
Fa0/1
192.168.3.1/24
Fa0/0
192.168.2.2/24
路由器R2
Fa0/0
192.168.3.2/24
Fa0/1
192.168.4.254/24
PC0
Fa0/0
192.168.1.1/24
192.168.1.254/24
Pc1
Fa0/0
192.168.4.1/24
192.168.4.254/24
目標網路:192.168.4.0/24 下一跳:192.168.2.2(最近的路由器上面最近的介面)
Ip route 192.168.1.0 255.255.255.0 192.168.2.1
1、 配置靜態路由:
分析:
R0: 192.168.1.0/24與192.168.2.0/24這兩個網路與R0直連,R0能直接判斷,不需要配置靜態路由。但R0不知道192.168.3.0/24與192.168.3.0/24的路由,需要配置下一跳地址。如下:
目標網路:192.168.3.0/24 下一跳地址:192.168.2.2
ip route 192.168.3.0 255.255.255.0 192.168.2.2
目標網路:192.168.4.0/24 下一跳地址:192.168.2.2
R1:請同學們思考,寫出路由。
192.168.4.0 /24 192.168.3.2
192.168.1.0/24 192.168.2.1
R2:請同學們思考,寫出路由。
配置完成後,保存(write),顯示路由(show ip route)。
2、配置默認路由R0為例,
目標網路:192.168.3.0/24 下一跳地址:192.168.2.2
目標網路:192.168.4.0/24 下一跳地址:192.168.2.2
去往這兩個網路的下一跳都是192.168.2.2,我們可以使用一條默認路由來完成這個功能。
目標網路:ip route 0.0.0.0 0.0.0.0 192.168.2.2
R1不適合設置默認路由。(思考:為什麼?)
R2的默認路由:(自行設置)
刪除路由命令:no ip route 目標網路 掩碼 下一跳
Show running-config show ip route
三、總結
進入特權模式 ena
進入全局配置模式 config t
進入介面模式 interface fa0/0
為介面配置IP地址:ip address ip地址
在全局配置模式下配置路由:ip route 目標網路 掩碼 下一跳
怎樣確定下一跳?(最近的路由器上面最近的介面)
實驗五:交換機的VLAN實驗
1、 實驗目的
理解二層交換機的缺陷,理解VLAN並掌握其應用,掌握VLAN的基礎配置。
2、 VLAN基礎知識
(1)、二層交換機的缺陷
二層交換機是一個廣播域(廣播域就是一個廣播幀所能到達的范圍)。過多的廣播幀會發生碰撞,最終將網路資源耗盡。
(2)虛擬區域網(VLAN)
根據功能、部門及應用,將區域網設備從邏輯上劃分成一個網段,一個網段就是一個廣播域,與具體的物理位置無關。這種建立在交換技術上的邏輯網路就是VLAN。
一個VLAN就是一個廣播域,VLAN工作在第二層,VLAN之間通信是通過第三層的路由器來完成的。
VLAN的優點:
安全:敏感數據用戶與其他用戶隔離,降低了泄密的風險。
成本降低:成本高昂的網路升級需求減少,使現有的帶寬和上行鏈路的利用率更高,節約了成本。
性能提高:劃分了VLAN後減少了網路上不必要的流量,提高了性能。
防範廣播風暴:減少了參與廣播風暴的設備數量。
簡化項目管理或應用管理:根據用戶或應用劃分後,VLAN將用戶與網路設備聚合到一起,以支持商業或地域上的需求。
(3)VLAN幀格式
IEEE802.1Q規定:在乙太網報文的目的MAC地址和源MAC地址欄位之後、協議類型欄位之前加入4個位元組的VLAN Tag (VLAN標簽),用來標識VLAN相關信息。
802.3乙太網幀格式:
前導碼
目標MAC地址
源MAC地址
類型
數 據
幀校驗序列
8B
6B
6B
2B
46-1500B
4B
乙太網最小的幀64B,最大的幀1518B
這四個位元組的802.1Q標簽頭包含了2個位元組的標簽協議標識(TPID)和2個位元組的標簽控制信息(TCI)。
標簽協議標識(TPID)(Tag ProtocolIdentifier)是IEEE定義的新的類型,表明這是一個加了802.1Q標簽的幀。TPID包含了一個固定的值0x8100。
標簽控制信息(TCI)是包含的是幀的控制信息,它包含了下面的一些元素:
Priority:這3 位指明幀的優先順序。一共有8種優先順序,0-7。IEEE 802.1Q標准使用這三位信息。
Canonical Format Indicator( CFI ):,CFI值為0說明是規范格式,1為非規范格式。它被用在令牌環/源路由FDDI介質訪問方法中來指示封裝幀中所帶地址的比特次序信息。
VLAN Identified( VLAN ID ):
這是一個12位的域,指明VLAN的ID,取值范圍為0~4095,一共4096個,由於0 和4095 為協議保留取值,所以VLAN ID 的取值范圍為1~4094,網路設備根據報文是否攜帶VLAN tag,及相關信息對報文進行處理,利用VLAN ID識別屬於哪一個VLAN。
(4)劃分方法:
基於交換機埠的劃分:
是最簡單、最有效的劃分方法,按照設備的埠來定義VLAN成員,將指定埠加入VLAN後,該埠就可以轉發該VLAN報文了。
但無法自動解決終端的移動、增加和變更的問題,終端一旦離開這個埠就需要重新定義新埠的VLAN。
基於MAC地址的劃分:(基於用戶的VLAN)
按照報文的源MAC地址來定義VLAN成員,將指定報文加入該VLAN的Tag後發送。通常與安全技術(如802.1X)聯合使用,以實現終端的安全、靈活接入。
雖然操作繁瑣,但可以對VLAN成員實現自動跟蹤。
基於ip子網的劃分:(子網VLAN)
根據報文的源ip地址及子網掩碼進行劃分的。
設備從埠收到Untagged的報文後,根據報文的源ip地址來確定所屬的VLAN,自動劃分到指定的VLAN中傳輸。
此特性主要用於將指定網段或IP地址的報文劃分到VLAN中傳送。
基於協議的劃分(協議VLAN)
根據埠接收報文所屬的協議(族)類型,以及封裝格式來給報文分配不同的VLANID。可用來劃分VLAN的協議有IP、IPX(互聯網分組交換協議,是netware網路的協議)、AT(Appletalk, apple計算機網路協議)等。封裝格式有EthernetⅡ、802.3RAW(novell公司)、802.2LLC、802.2SNAP等。
此特性主要用於將網路中提供的服務類型與VLAN相關聯,以方便管理和維護。
6. 網路信息安全包括的幾點思考
(一)搜索引擎信息
如今的時代,還沒有用過搜索引擎的人還真是不能算是一個玩互聯網的人,搜索引擎在人們日常上網中已經成為一種不可替代品,個中原因不詳談。而筆者表達的是,網路信息保護,首先要擔心的就是搜索引擎,網路一下就知道、360綜合搜索、搜狗、搜搜等搜索引擎,是否會主動的消除用戶的信息,因為我們都知道只要在上面搜索一些信息,搜索引擎都顯示出來,如果從這方面還不進行保護的話,所謂的網路信息的保護談何而來。所以這也是筆者的最大擔憂的地方,搜索引擎是否會真的把這些信息而隱藏,就像搜索一些人的時候,會提示「根據相關法律法規和政策,部分搜索結果未予顯示」的提示,值得深思。
(二)網站的注冊資料庫
網路有很多的需要用到用戶信息注冊的地方,大型門戶網站、大型論壇、微博、SNS社區、IM工具等,用戶的大量的信息都是存在在這些地方,那麼作為這些資源的掌控者而言,有該如何做,有該如何約束,而且用戶留下信息的肯定不止一個地方,那麼如何判斷信息泄露的方,如何評估?都是需要考慮的地方。
另外一點就是,哪些信息是用戶認為可以泄露的,哪些S是不可的。就這些需要注冊的的網站來說,每個網站需要的注冊條件都是不一樣的,有些是要郵箱、有些又要電話號碼,郵箱還好說,畢竟是可以隨便注冊的東西,但是電話號碼就不是,那麼這邊的保護有是如何?該如何規定。我們都知道如今新浪微博注冊需要用到身份證號碼以及姓名,筆者也是估測新浪可以已經跟官方身份證信息管理的建立資料庫通道,是一件好事,但是也引發一些問題,網路是自由的,如果網路都是用真實是身份,會讓網路本身的神秘感進而消失,而且很多的網路的功能都會失去一些意義,比如匿名評論、匿名的舉報等都會因為實名而引起改變。所以信息的保護不需要第三方插手是最好的,完全有獨立的部門來掌控是一個做法。
(三)收集信息的手段
網路上有很多收集信息的方式,比如什麼調查、什麼活動等,一是為了調查或活動,二也是為了收集用戶資料庫,對於這些的方式,該如何的規定,是否規定某些的信息不能列入其中的范圍裡面等,都是值得思考的。網路上很多打著這些旗號的騙子,相信很多人都深受其害,筆者曾經也被欺騙過,很多人都是如筆者當時的心理:一肚子怒火,但是後來還是自我安慰的沒事了,隨後事情習慣了後,就沒有感覺,當信息泄露成為習慣,就是最危險的時候,也就是為什麼「人肉搜索」每個人都害怕,一旦被搜索過,這輩子的生活都備受影響。
互聯網人士黃嘉榔認為網路信息的安全歸根到底,還是因為人,人心正,則事正;沒有相關的利益鏈條存在的就不會有那麼多挖空心思人去做這些事情。
7. 網路安全的學習難度大嗎
有一定難度的,如果是大學畢業,大學計算機專業里大多開設了相關計算機基礎課程,學起網路安全來也會輕松不少。即使是零基礎也不用擔心,網路安全可以零基礎授課,入門比較簡單,難的是學深入,這不是一件容易的事。學習網路安全是一個循序漸進的過程,要想完全憑自學是很難精通這一技能的。需要付出較多的時間去學習和思考。