网络安全技术与应用.docxVIP

网络安全技术与应用

第1章

1.1网络基础架构与安全协议

网络基础架构是指支撑互联网运行的物理设备、逻辑分层及通信路径的总和。在典型的企业级网络中，用户终端通过物理网线或无线信号接入核心交换机，核心交换机再汇聚至汇聚层和接入层的物理接口，形成“接入层-汇聚层-核心层”的三层逻辑架构。这一架构通过VLAN（虚拟局域网）技术将不同部门或业务系统逻辑隔离，例如将金融交易区与办公区通过二层隔离技术（二层隔离）进行物理隔离，确保攻击者无法通过网络广播泛洪攻击（DoS）导致核心路由环路崩溃，从而保障关键业务连续性。安全协议是保障数据传输机密性、完整性和可靠性的规则集合，其中IPsec（互联网协议安全）是应用最广泛的加密协议。当两个安全设备通过加密隧道连接时，它们会协商一个128位的共享密钥（密钥交换），并将所有后续数据包封装在ESP（封装安全协议）隧道中传输。例如，在部署防火墙时，管理员需配置IPSec策略，规定所有进入内网的数据包必须经过加密隧道，若检测到未加密流量则直接丢弃，以此杜绝中间人攻击（MITM）。

网络拓扑结构决定了数据包的转发路径和故障恢复机制，常见的星型拓扑以中心枢纽设备为核心，任何单点故障不会中断全网通信；而环型拓扑则通过双向传输确保链路冗余。在实际运维中，若某根光纤链路断开，环型拓扑会自动切换至备用链路，而星型拓扑则需手动重启中心交换机。