網(wǎng)絡(luò)技術(shù)是計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全的基礎(chǔ)，其核心在于理解數(shù)據(jù)如何在復(fù)雜的環(huán)境中安全、可靠地傳輸。以下從核心協(xié)議、關(guān)鍵設(shè)備和安全威脅三個(gè)層面梳理復(fù)習(xí)要點(diǎn)。

一、 核心網(wǎng)絡(luò)協(xié)議與安全

1. TCP/IP協(xié)議棧：

• TCP（傳輸控制協(xié)議）：面向連接、可靠傳輸。需掌握三次握手建立連接、四次揮手?jǐn)嚅_(kāi)連接的過(guò)程，以及滑動(dòng)窗口、擁塞控制等機(jī)制。其可靠性是許多應(yīng)用層安全協(xié)議（如TLS）的基礎(chǔ)。

• UDP（用戶數(shù)據(jù)報(bào)協(xié)議）：無(wú)連接、不可靠但高效。常用于DNS、流媒體等場(chǎng)景。其安全性需在應(yīng)用層額外保障。

• IP（網(wǎng)際協(xié)議）：負(fù)責(zé)尋址和路由。重點(diǎn)理解IPv4地址分類、子網(wǎng)劃分、CIDR，以及IPv6的地址格式與優(yōu)勢(shì)。IP協(xié)議本身無(wú)安全機(jī)制，易受IP欺騙攻擊。

1. 關(guān)鍵應(yīng)用層協(xié)議：

• DNS（域名系統(tǒng)）：將域名解析為IP地址。需警惕DNS劫持、DNS緩存投毒等攻擊，了解DNSSEC安全擴(kuò)展。

• HTTP/HTTPS：HTTP明文傳輸，存在竊聽(tīng)、篡改風(fēng)險(xiǎn)。HTTPS = HTTP + SSL/TLS，通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)身份認(rèn)證和加密傳輸，是Web安全的基石。

二、 關(guān)鍵網(wǎng)絡(luò)設(shè)備與安全配置

1. 路由器：連接不同網(wǎng)絡(luò)，基于IP地址進(jìn)行路由選擇。安全配置包括：訪問(wèn)控制列表（ACL）過(guò)濾流量、關(guān)閉不必要的服務(wù)、配置路由協(xié)議認(rèn)證（如OSPF/MD5）。
2. 交換機(jī)：在數(shù)據(jù)鏈路層（二層）工作，基于MAC地址轉(zhuǎn)發(fā)幀。安全威脅包括MAC地址泛洪、ARP欺騙。應(yīng)對(duì)措施：端口安全（限制MAC地址數(shù)）、DHCP Snooping、動(dòng)態(tài)ARP檢測(cè)。
3. 防火墻：網(wǎng)絡(luò)安全的核心防線。需掌握：

• 包過(guò)濾防火墻：基于IP、端口等規(guī)則過(guò)濾。

• 狀態(tài)檢測(cè)防火墻：跟蹤連接狀態(tài)，更智能。

• 下一代防火墻（NGFW）：集成應(yīng)用識(shí)別、入侵防御（IPS）等功能。

三、 主要網(wǎng)絡(luò)安全威脅與防御

1. 網(wǎng)絡(luò)層攻擊：

• IP欺騙/SYN Flood：偽造源IP地址耗盡服務(wù)器資源。防御：入口/出口過(guò)濾、SYN Cookie。

• ICMP攻擊：如Smurf攻擊（利用廣播地址放大流量）。防御：禁用不必要的ICMP類型。

1. 傳輸層與應(yīng)用層攻擊：

• 中間人攻擊（MitM）：攻擊者秘密中繼并可能篡改通信雙方的信息。HTTPS、VPN、強(qiáng)認(rèn)證是有效防御手段。

• DDoS攻擊：通過(guò)海量傀儡機(jī)耗盡目標(biāo)資源。防御：流量清洗、CDN、云防護(hù)服務(wù)。

1. 無(wú)線網(wǎng)絡(luò)安全：

• 了解WEP的脆弱性，掌握WPA2/WPA3的認(rèn)證與加密機(jī)制（如PSK、802.1X/EAP）。

• 警惕邪惡雙胞胎（Rogue AP）等攻擊。

四、 核心安全協(xié)議與技術(shù)

1. VPN（虛擬專用網(wǎng)）：在公共網(wǎng)絡(luò)上建立加密隧道。重點(diǎn)復(fù)習(xí)：

• IPSec：工作在網(wǎng)絡(luò)層，提供認(rèn)證（AH協(xié)議）和加密（ESP協(xié)議），支持傳輸模式和隧道模式。

• SSL/TLS VPN：工作在網(wǎng)絡(luò)層，通常通過(guò)瀏覽器實(shí)現(xiàn)遠(yuǎn)程安全訪問(wèn)。

1. 無(wú)線安全協(xié)議：從WEP（已淘汰）到WPA2（AES-CCMP），再到WPA3（SAE握手，防離線字典攻擊）的演進(jìn)。

復(fù)習(xí)建議

• 結(jié)合實(shí)踐：在模擬器（如GNS3、EVE-NG）或?qū)嶒?yàn)環(huán)境中配置ACL、VPN、防火墻策略。
• 理解攻擊原理：只有明白攻擊如何發(fā)生（如ARP欺騙的過(guò)程），才能更好地部署防御。
• 關(guān)注協(xié)議演進(jìn)：理解從HTTP到HTTPS，從WPA2到WPA3背后的安全驅(qū)動(dòng)因素。
• 構(gòu)建知識(shí)體系：將物理設(shè)備、邏輯協(xié)議、安全威脅與防御措施關(guān)聯(lián)起來(lái)，形成立體認(rèn)知。

網(wǎng)絡(luò)技術(shù)日新月異，但基本原理穩(wěn)固。牢固掌握上述核心內(nèi)容，方能筑牢網(wǎng)絡(luò)安全的基石，并具備應(yīng)對(duì)未來(lái)新挑戰(zhàn)的學(xué)習(xí)能力。