计算机网络安全期末考试试题A最新文档

计算机网络安全期末考试试题A最新文档(可以直接使用，可编辑最新文档，欢迎下载）

一选择题（本大题共10小题，每小题2分，共20分）计算机网络安全期末考试试题A最新文档(可以直接使用，可编辑最新文档，欢迎下载）1、数据容错是用来解决信息【】A可靠性B可用性C可控性D保密性2、防止信息非法读取的特性是【】A保密性B完整性C有效性D可控性3、下列加密协议属于非对称加密的是【】ARSABDESC3DESDAES4、3DES加密协议密钥是（）位【】A128B56C64D10245、下面哪条指令具有显示网络状态功能【】ANETSTATBPINGCTRACERTDNET6、下列不是身份认证的是【】A访问控制B智能卡C数学证书D口令7、PPDR安全模型不包括【】A策略B身份认证C保护D检测E响应8、端口80提供的服务是【】ADNSBWWWCFTPDBBS9、安全扫描器是用来扫描系统【】A数据B漏洞C入侵D使用10、NAT技术的主要作用是【】A网络地址转换B加密C代理D重定向得分评卷人答案一:选择题AAAAAABBBA二名词解释1通过捕获数据包来发现入侵的行为2加密与解密的密码相同3通过消耗目标系统资源使目标系统不能正常服务4分时连接内外网来实现安全数据传输的技术5未经对方许可,邮件内容与接收没有任何关系的邮件.三简答题（共20分）1长度娱乐城开户定期换口令不要用易猜的字符串2安全拓扑结构加密3权限认证过滤4备份容错四论述题1内网易接近,内网易了解结构2制度\法律五设计题1服务器:漏洞访问控制客户机:漏洞2加密访问控制防恶意软件防火墙一名词解释（本大题共5小题，每小题4分，共20分）1、入侵检测通过捕获数据包来发现入侵的行为2对称加密加密与解密的密码相同3拒绝服务通过消耗目标系统资源使目标系统不能正常服务4、物理隔离分时连接内外网来实现安全数据传输的技术5垃圾邮件未经对方许可,邮件内容与接收没有任何关系的邮件得分评卷人三简答题（本大题共4小题，每小题5分，共20分）口令管理的策略有哪些？长度定期换口令不要用易猜的字符串如何防范网络监听?安全拓扑结构加密Windows操作系统的安全技术有哪些？权限认证过滤提高数据完整性的方法有哪些?备份容错得分评卷人四、论述题（本大题共2小题，每小题5分，共10分）1、网络安全风险来源于内网和外网，内网的风险占80%，外网的风险占20%，所以网络安全防御的重点是内网。你如何理解这句话？内网易接近,内网易了解结构2、如何理解网络安全管理要“以人为本”，重点是管好人。制度\法律得分评卷人五、设计题（本大题共6小题，每小题5分，共30分）某公司网络拓朴图如下，请你运用学过的知识为该企业设计安全方案。请你为企业制定安全策略?(5分)服务器:漏洞访问控制客户机:漏洞该企业可以采用哪些安全技术？其作用是什么？（10分）加密访问控制防恶意软件防火墙如果采用防火墙来保护服务器，请问防火墙应如何布置？（5分）4如何布置入侵检测系统(5分)5如何布置网络病毒系统.(5分)6如果服务器与客户端都是WINDOWS系统,应如何加固系统?选择题1．通过获得Root/administrator密码以及权限进行非法系统操作，这属于那一种攻击手段？A．暴力攻击B．电子欺骗C．权限提升D．系统重启攻击2．以下不属于防火墙NAT地址转换优点的是A。实现IP地址复用，节约宝贵的地址资源B。地址转换过程对用户透明C。网络监控难度加大D。可实现对内部服务器的负载均衡3。内部服务器和NATinbound共同使用，应配置何种NAT？A．基于源地址的NATB．基于目的地址的NATC．双向NATD．基于源IP地址和端口的NAT4．以下哪一种加密算法不属于对称加密算法:（)A．ECCB．3DESC．IDEAD．DES5．下列属于多通道协议的是A．FTPB．HTTPC．SNMPD．TELNET6.以下哪种VPN最适合出差人员访问公司内部网络 A。IPSecVPNB.GREVPNC.L2fVPND。L2tpVPN7．下列哪项不是数字签名的主要功能?A。防抵赖B.完整性检验C.身份认证D。数据加密8．以下不属于防火墙默认安全区域的是A。trustB.untrustC.LocalD。Default9.华为防火墙定义ACL时默认步长是A.2B.5C。810．用户收到一封可疑电子邮件，要求用户提供银行账户和密码，这属于那一种攻击手段？A．缓冲区溢出B．DDOSC．钓鱼攻击D．暗门攻击二、判断题1.反子网掩码和子网掩码的格式相似，但取值含义不同:1表示对应的IP地址位需要比较，0表示对应IP地址为忽略比较。(X)2.扩展访问控制列表是访问控制列表应用范围最广的一类，在华为防火墙ACL中，扩展访问控制列表范围为3000-3099。（X）3。OSI七层模型中，传输层数据称为段（Segment），主要是用来建立主机端到端连接,包括TCP和UDP连接.（√）4.在配置域间缺省包过滤规则时，zone1和zone2的顺序是随意的。（√）5.路由器收到数据文件时，若没有匹配到具体的路由表时，可按照默认路由表进行转发。（√)6.IPV6使用128bit的IP地址，能满足未来很多年的IP地址需求，是代替IPV4的最终方案。（√)7.当配置NAT地址转换是使用了Address—group1没有加no-pat这个命令意味着使用的是NAPT的转换方式(√）8。inbound方向的NAT使用一个外部地址来代表内部地址，用于隐藏外网服务器的实际IP地址。（X）9.防火墙中不存在两个具有相同安全级别的安全区域。(√）10.非对称密钥算法的优点是密钥安全性高，缺点是密钥分发问题。（X）三、简答题1．什么是Outbound方向NAT，其转换方式有哪几种？出方向是指数据由高安全级别的安全区域向低安全级别安全区域传输的方向。三种转换方式:一对一地址转换多对多地址转换多对一地址转换2．请简要描述常见的网络安全攻击方式有哪些,并简要描述其防范方式1、数据嗅探防范方式:1.验证2.改变网络结构3。反嗅探工具4。加密2、非法使用防范方式：1.过滤2。验证3。加密4.关闭服务和端口3、信息篡改防范方式：1。明文加密2。数据摘要3.数字签名4、拒绝服务防范方式：1。屏蔽IP2.流量控制3.协议防范4。侦测5.策略5、社会工程防范方式：1.技术层面2.管理层面6、BUG和病毒防范方式:1.补丁2.定时扫描3。审计4.终端保护3．简述ACL与ASPF的区别与联系ACLASPF配置较繁琐简单设计实现简单复杂对系统性能影响速度快消耗部分系统资源多通道协议的支持不支持支持安全性低高4。防火墙的工作模式主要有哪几种，特点是什么1、路由模式特点：如果防火墙通过网络层对外连接（接口具有IP地址），则防火墙工作在路由模式2、透明模式特点：如果防火墙通过数据链路层对外连接（接口无IP地址),则认为防火墙工作在透明模式3、混合模式如果防火墙既存在工作在路由模式接口(接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址）,则认为防火墙工作在混合模式.5。请列举出二层VPN和三层VPN区别是什么，并分别列举哪些属于二层VPN，哪些属于三层VPN区别：二层VPN工作在协议栈的数据链路层，三层VPN工作在协议栈的网络层二层VPN：PPTP（点到点隧道协议)、L2F（二层转发协议）、L2TP（二层隧道协议）三层VPN：GREVPN、IPSecVPN6．访问控制列表作用及分类在防火墙应用中,访问控制列表是对经过防火墙的数据流进行网络安全访问的基本手段,决定了后续的应用数据流是否被处理.访问控制列表根据通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流。分类:标准访问控制列表ACL2000-2999扩展访问控制列表ACL3000—3999四．配置题1、实验四:配置防火墙WEB管理实验步骤1：把Ethernet1/0/0接口加入VLAN，并将VLAN接口加入安全区域.#输入用户名admin＃输入密码Admin@123#切换语言模式为中文模式〈USG2100>language—modechinese〈USG2100>system-view#创建编号为5的VLAN。［USG2100］vlan5[USG2100-vlan5］quit＃配置Ethernet1/0/0的链路类型并加入VLAN。[USG2100］interfaceEthernet1/0/0[USG2100—Ethernet1/0/0]portaccessvlan5[USG2100-Ethernet1/0/0]quit#创建VLAN5所对应的三层接口Vlanif5，并配置Vlanif5的IP地址，配置VLAN接口.[USG2100]interfacevlanif5［USG2100-Vlanif5]ipaddress129。9.0。18924［USG2100-Vlanif5]quit＃配置Vlanif5加入Trust区域。[USG2100]firewallzonetrust[USG2100—zone-trust］addinterfaceVlanif5［USG2100-zone-trust]quit步骤2:配置域间过滤规则。［USG2100]acl2001[USG2100-acl-basic—2001］rulepermitsource129.9.0。1890.0。0.0［USG2100-acl—basic—2001]quit［USG2100］acl2002[USG2100-acl-basic—2002］rulepermitsource129。9。0。1010.0。0。0［USG2100-acl—basic—2002］quit[USG2100］firewallinterzonetrustlocal[USG2100-interzone-local-trust］aspfpacket—filter2001outbound［USG2100—interzone—local—trust]aspfpacket—filter2002inbound步骤3：启用Web管理功能（默认情况下是打开的）。[USG2100］web-managerenable步骤4:配置Web用户.［USG2100］aaa[USG2100-aaa］local-userXunfangpasswordsimpleXunfang123[USG2100-aaa］local-userXunfangservice—typeweb[USG2100-aaa]local—userXunfanglevel3[USG2100-aaa]quit步骤5:配置PC的IP地址.将终端PC的IP地址设置为:129.9。0.101，俺码设为：255。255。255.0.2、实验七:配置IPSECVPN步骤1：配置USG2100A#输入用户名admin#输入密码Admin@123＃切换语言模式为中文模式〈USG2100>language—modechinese＃进入系统视图。<USG2100>system-view＃配置本端设备的名称.［USG2100]sysnameUSG2100A＃创建编号为5的VLAN。[USG2100A］vlan5[USG2100A—vlan5］quit#配置Ethernet1/0/0的链路类型并加入VLAN。［USG2100A]interfaceEthernet1/0/0[USG2100A-Ethernet1/0/0］portaccessvlan5[USG2100A—Ethernet1/0/0]quit#创建VLAN5所对应的三层接口Vlanif5，并配置Vlanif5的IP地址.配置VLAN接口。［USG2100A］interfacevlanif5[USG2100A—Vlanif5］ipaddress200。39。1。124＃配置Vlanif5加入Trust区域。[USG2100A]firewallzonetrust[USG2100A-zone—trust]addinterfaceVlanif5［USG2100A—zone-trust]quit＃进入Ethernet0/0/0视图.［USG2100A］interfaceEthernet0/0/0#配置Ethernet0/0/0的IP地址。[USG2100A-Ethernet0/0/0]ipaddress202。39.160.124#退回系统视图.[USG2100A-Ethernet0/0/0]quit＃进入Untrust区域视图。［USG2100A]firewallzoneuntrust＃配置Ethernet0/0/0加入Untrust区域。［USG2100A—zone-untrust]addinterfaceEthernet0/0/0#退回系统视图。[USG2100A-zone-untrust]quit＃配置到达对端防火墙202.39。160。3/24和Host2的静态路由。#配置ACL规则,允许Host1所在网段的主机访问Host2所在网段的主机。[USG2100A]acl3000[USG2100A—acl-adv-3000]rulepermitipsource200。39.1。055destination172.70。2.00.0。0.255#退回系统视图。［USG2100A—acl-adv-3000]quit＃配置ACL规则，允许Host2所在网段的主机访问。[USG2100A］acl3001［USG2100A—acl-adv—3001]rulepermitipsource0.0。0.255＃退回系统视图。［USG2100A—acl-adv-3001]quit＃进入Trust和Untrust域间视图。［USG2100A]firewallinterzonetrustuntrust#配置域间包过滤规则。[USG2100A-interzone-trust-untrust]aspfpacket-filter3000outbound［USG2100A—interzone—trust-untrust］aspfpacket-filter3001inbound#退回系统视图。［USG2100A-interzone—trust-untrust］quit＃配置域间缺省包过滤规则。[USG2100A]firewallpacket—filterdefaultpermitall＃说明：配置所有安全区域间缺省过滤规则为允许,使其能够协商SA。#配置名为tran1的IPSec提议。[USG2100A］ipsecproposaltran1#配置安全协议。[USG2100A—ipsec—proposal—tran1］transformesp＃配置ESP协议的认证算法。［USG2100A-ipsec-proposal—tran1]espauthentication-algorithmmd5＃配置ESP协议的加密算法。［USG2100A—ipsec-proposal-tran1］espencryption—algorithmdes#退回系统视图。[USG2100A—ipsec—proposal-tran1]quit＃创建IKE提议10。［USG2100A]ikeproposal10#配置使用pre—shared—key验证方法.［USG2100A—ike-proposal-10]authentication-methodpre—share#配置使用MD5验证算法.[USG2100A—ike—proposal—10］authentication—algorithmmd5#配置ISAKMPSA的生存周期为5000秒。[USG2100A-ike—proposal-10］saduration5000＃退回系统视图。［USG2100A—ike—proposal—10]quit＃进入IKEPeer视图.［USG2100A］ikepeera#引用IKE安全提议.［USG2100A—ike—peer—a]ike-proposal10＃配置隧道对端IP地址.＃配置验证字为“abcde”。[USG2100A-ike—peer-a］pre-shared-keyabcde#说明：验证字的配置需要与对端设备相同。#退回系统视图。［USG2100A—ike-peer-a]quit#创建安全策略。［USG2100A］ipsecpolicymap110isakmp#引用ike—peera.［USG2100A-ipsec—policy—isakmp—map1—10]ike-peera＃引用名为tran1的安全提议。[USG2100A-ipsec—policy-isakmp-map1-10]proposaltran1#引用组号为3000的ACL.[USG2100A-ipsec-policy-isakmp-map1—10］securityacl3000#退回系统视图。［USG2100A—ipsec—policy-isakmp—map1-10]quit＃进入以太网接口视图.[USG2100A］interfaceEthernet0/0/0＃引用IPSec策略。[USG2100A-Ethernet0/0/0]ipsecpolicymap1［USG2100A-Ethernet0/0/0］quit步骤2:配置USG2100B＃输入用户名admin＃输入密码Admin＠123#切换语言模式为中文模式language—modechinese#进入系统视图。<USG2100〉system—view#配置本端设备的名称。[USG2100]sysnameUSG2100B#创建编号为5的VLAN。[USG2100B］vlan5[USG2100B-vlan5]quit#配置Ethernet1/0/0的链路类型并加入VLAN。[USG2100B］interfaceEthernet1/0/0[USG2100B—Ethernet1/0/0]portaccessvlan5［USG2100B-Ethernet1/0/0］quit#创建VLAN5所对应的三层接口Vlanif5,并配置Vlanif5的IP地址。配置VLAN接口.[USG2100B］interfacevlanif5［USG2100B-Vlanif5]ipaddress24#配置Vlanif5加入Trust区域.[USG2100B]firewallzonetrust[USG2100B—zone—trust]addinterfaceVlanif5［USG2100B-zone-trust］quit＃配置Ethernet0/0/0的IP地址。［USG2100B］interfaceEthernet0/0/0[USG2100B—Ethernet0/0/0］ipaddress24＃进入Untrust区域视图。[USG2100B］firewallzoneuntrust＃配置Ethernet0/0/0加入Untrust区域。[USG2100B-zone-untrust］addinterfaceEthernet0/0/0#退回系统视图。[USG2100B—zone—untrust］quit＃配置到达对端防火墙/24和Host1的静态路由.#配置ACL规则,允许Host2所在网段的主机访问Host1所在网段的主机。[USG2100B］acl3000［USG2100B-acl—adv-3000］rulepermitipsource172.70。2。00。0。0.255destination200.39。1.00。0。0.255＃退回系统视图。[USG2100B—acl—adv-3000］quit＃配置ACL规则，允许Host1所在网段的主机访问。[USG2100B]acl3001[USG2100B—acl—adv—3001］rulepermitipsource200。39。1.00。0。0。255＃退回系统视图.［USG2100B—acl-adv-3001]quit#进入Trust和Untrust域间视图。[USG2100B］firewallinterzonetrustuntrust＃配置域间包过滤规则。［USG2100B-interzone—trust—untrust］aspfpacket-filter3000outbound[USG2100B-interzone-trust—untrust］aspfpacket—filter3001inbound＃退回系统视图。[USG2100B-interzone—trust-untrust］quit#配置域间缺省包过滤规则.［USG2100B]firewallpacket-filterdefaultpermitall＃说明：配置所有安全区域间缺省过滤规则为允许，使其能够协商SA。#创建名为tran1的IPSec提议。[USG2100B］ipsecproposaltran1#配置安全协议.［USG2100B-ipsec-proposal—tran1］transformesp＃配置ESP协议认证算法。[USG2100B—ipsec—proposal-tran1]espauthentication-algorithmmd5＃配置ESP协议加密算法.［USG2100B-ipsec—proposal—tran1］espencryption—algorithmdes＃退回系统视图。[USG2100B-ipsec—proposal-tran1]quit＃创建号码为10的IKE提议。[USG2100B]ikeproposal10＃配置使用pre-sharedkey验证方法。[USG2100B-ike—proposal—10］authentication-methodpre-share＃配置采用MD5验证算法。［USG2100B-ike—proposal—10]authentication-algorithmmd5＃配置ISAKMPSA生存周期为5000秒.[USG2100B—ike-proposal-10]saduration5000#退回系统视图。[USG2100B-ike—proposal—10]quit＃创建名为a的IKEPeer。[USG2100B］ikepeera#引用IKE提议.［USG2100B—ike—peer-a］ike-proposal10#配置对端IP地址。［USG2100B—ike—peer—a］remote—address202。39。160.1＃配置验证字为“abcde”.［USG2100B—ike-peer—a］pre—shared—keyabcde＃说明：验证字的配置需要与对端设备相同。＃退回系统视图。[USG2100B-ike—peer-a]quit＃创建IPSec策略。[USG2100B］ipsecpolicymap110isakmp#引用IKEPeer。［USG2100B—ipsec—policy—isakmp—map1—10］ike—peera＃引用IPSec提议。[USG2100B-ipsec—policy-isakmp-map1-10］proposaltran1＃引用组号为3000的ACL.［USG2100B—ipsec—policy-isakmp-map1—10］securityacl3000＃退回系统视图。[USG2100B-ipsec-policy-isakmp—map1—10］quit＃进入以太网接口视图。［USG2100B］interfaceEthernet0/0/0#引用IPSec策略。［USG2100B-Ethernet0/0/0］ipsecpolicymap1#退回系统视图。［USG2100B—Ethernet0/0/0]quit3、实验八：配置防火墙GRE隧道步骤1：配置USG2100A#输入用户名admin＃输入密码Admin＠123＃切换语言模式为中文模式〈USG2100>language-modechinese＃进入系统视图。<USG2100>system—view＃配置本端设备的名称。[USG2100］sysnameUSG2100A#配置Ethernet0/0/0的IP地址.［USG2100A]interfaceEthernet0/0/0［USG2100A—Ethernet0/0/0]ipaddress192.13。2.124[USG2100A-Ethernet0/0/0］quit#创建编号为5的VLAN。[USG2100A]vlan5[USG2100A—vlan5]quit＃配置Ethernet1/0/0的链路类型并加入VLAN.［USG2100A］interfaceEthernet1/0/0［USG2100A-Ethernet1/0/0]portaccessvlan5［USG2100A-Ethernet1/0/0]quit＃创建VLAN5所对应的三层接口Vlanif5，并配置Vlanif5的IP地址。配置VLAN接口.［USG2100A]interfacevlanif5［USG2100A—Vlanif5］ipaddress200。39.1.124[USG2100A—Vlanif5]quit＃创建Tunnel1接口。[USG2100A]interfacetunnel1＃配置Tunnel1接口的IP地址。［USG2100A—Tunnel1］ipaddress10。1。2。124#配置Tunnel封装模式。[USG2100A—Tunnel1]tunnel-protocolgre#配置Tunnel1接口的源地址（USG2100A的Ethernet0/0/0的IP地址）.[USG2100A-Tunnel1］source192.13。2。1#配置Tunnel1接口的目的地址（USG2100B的Ethernet0/0/0的IP地址）.［USG2100A—Tunnel1]destination192。13。2。3#退回系统视图。［USG2100A—Tunnel1］quit#配置从USG2100A经过Tunnel1接口到Group2的静态路由。[USG2100A]iproute-static172.70。2.0255。255。255。0tunnel1#配置Vlanif5加入Trust区域。[USG2100A］firewallzonetrust［USG2100A-zone—trust］addinterfaceVlanif5［USG2100A—zone-trust]quit＃进入Untrust区域视图.［USG2100A］firewallzoneuntrust#配置Ethernet0/0/0加入Untrust区域。[USG2100A—zone—untrust］addinterfaceEthernet0/0/0#配置Tunnel1加入Untrust区域。[USG2100A-zone—untrust］addinterfaceTunnel1＃退回系统视图.[USG2100A-zone-untrust]quit＃配置域间缺省包过滤规则.[USG2100A］firewallpacket—filterdefaultpermitall步骤2：配置USG2100B#输入用户名admin＃输入密码Admin＠123#切换语言模式为中文模式<USG2100〉language-modechinese#进入系统试图。<USG2100〉system-view＃配置本端设备的名称.[USG2100］sysnameUSG2100B＃配置Ethernet0/0/0的IP地址。[USG2100B]interfaceEthernet0/0/0[USG2100B-Ethernet0/0/0］ipaddress24［USG2100B-Ethernet0/0/0]quit＃创建编号为5的VLAN.[USG2100B]vlan5［USG2100B-vlan5］quit#配置Ethernet1/0/0的链路类型并加入VLAN.[USG2100B]interfaceEthernet1/0/0[USG2100B—Ethernet1/0/0]portaccessvlan5［USG2100B—Ethernet1/0/0]quit#创建VLAN5所对应的三层接口Vlanif5，并配置Vlanif5的IP地址。配置VLAN接口.[USG2100B]interfacevlanif5[USG2100B—Vlanif5］ipaddress24[USG2100B-Vlanif5]quit＃创建Tunnel2接口。[USG2100B]interfacetunnel2＃配置Tunnel2接口的IP地址。[USG2100B-Tunnel2]ipaddress10。1.2。224＃配置Tunnel封装模式。[USG2100B—Tunnel2]tunnel-protocolgre＃配置Tunnel2接口的源地址（Ethernet0/0/0的IP地址）。[USG2100B—Tunnel2］source192。13。2.3#配置Tunnel2接口的目的地址（USG2100A的Ethernet0/0/0的IP地址）。[USG2100B—Tunnel2］destination192。13.2。1＃退回系统视图［USG2100B—Tunnel2]quit＃配置从USG2100B经过Tunnel2接口到Group1的静态路由。[USG2100B]iproute-static200.39.1。0255。255.255.0tunnel2＃进入Trust区域视图。[USG2100B]firewallzonetrust＃配置Vlanif5加入Trust区域。［USG2100B—zone—trust]addinterfaceVlanif5[USG2100B-zone—trust]quit＃进入Untrust区域。[USG2100B]firewallzoneuntrust＃配置Ethernet0/0/0加入Untrust区域。[USG2100B—zone-untrust]addinterfaceEthernet0/0/0＃配置Tunnel2加入Untrust区域。［USG2100B—zone—untrust］addinterfaceTunnel2#退回系统视图。[USG2100B—zone—untrust]quit#配置域间缺省包过滤规则。［USG2100B］firewallpacket—filterdefaultpermitall实验十一:配置L2TPVPN步骤1：LAC侧的配置#输入用户名admin＃输入密码Admin@123#切换语言模式为中文模式<USG2130〉language—modechinese#进入系统视图。〈USG2130>system-view#配置本端设备的名称。［USG2130]sysnameLAC＃配置Ethernet0/0/0的IP地址.［LAC]interfaceEthernet0/0/0［LAC—Ethernet0/0/0］ipaddress2.2。2。116［LAC—Ethernet0/0/0］quit＃创建编号为5的VLAN.［LAC]vlan5[LAC—vlan5]quit#配置Ethernet1/0/0的链路类型并加入VLAN5.［LAC]interfaceEthernet1/0/0［LAC-Ethernet1/0/0］portaccessvlan5[LAC—Ethernet1/0/0]quit#创建VLAN5所对应的三层接口Vlanif5，并配置Vlanif5的IP地址。［LAC]interfacevlanif5[LAC-Vlanif5］ipaddress24[LAC-Vlanif5]quit＃配置Vlanif5加入Trust区域.［LAC］firewallzonetrust［LAC-zone—trust］addinterfaceVlanif5［LAC—zone—trust］quit#进入Untrust区域视图.［LAC]firewallzoneuntrust#配置Ethernet0/0/0加入Untrust区域.[LAC—zone-untrust］addinterfaceEthernet0/0/0＃退回系统视图。[LAC—zone-untrust]quit＃配置缺省路由。［LAC]iproute-static0.0。0.00.0。0。02。2.2。22.2。2。2为LAC的下一跳设备的IP地址.#创建虚拟接口模板。［LAC]interfaceVirtual-Template1＃配置PPP认证方式.（配置的时候会有个提示:请确认对端设备已具备相应的PPP协议？[Y/N],这里选Y。)［LAC-Virtual-Template1]pppauthentication-modechap#退回系统视图。［LAC-Virtual-Template1］quit#进入Vlanif5视图。[LAC］interfaceVlanif5#配置接口绑定虚拟接口模板。［LAC-Vlanif5]pppoe-serverbindvirtual-template1虚拟接口模板可以与LAC的任一接口绑定.＃退回系统视图。[LAC—Vlanif5]quit＃进入Untrust区域视图.［LAC]firewallzoneuntrust#配置虚拟接口模板加入Untrust区域。［LAC-zone—untrust］addinterfaceVirtual-Template1＃退回系统视图。[LAC-zone—untrust］quit#使能L2TP功能。[LAC］l2tpenable#配置用户名带域名的后缀分隔符。［LAC］l2tpdomainsuffix—separator＠＃创建L2TP组。[LAC］l2tp—group1＃配置L2TP隧道LNS端IP地址。[LAC—l2tp1]startl2tpip2。2。2.2fullusernamevpnuser@domain1A．USG2130缺省需要进行隧道的认证。如果没有配置undotunnelauthentication命令，需要配置tunnelpassword命令.B．LAC端配置的隧道验证时的密码需要与LNS端的配置保持一致。＃启动L2TP隧道认证.［LAC-l2tp1]tunnelauthentication＃配置L2TP隧道认证密码。［LAC—l2tp1]tunnelpasswordsimpleHello123#配置隧道本端名称。[LAC—l2tp1]tunnelnamelac＃退回系统视图.[LAC—l2tp1]quit#进入AAA视图.［LAC］aaa#创建名称为domain1的域。[LAC-aaa]domaindomain1＃退回AAA视图。[LAC—aaa—domain-domain1］quit#配置本地用户和密码。［LAC-aaa]local—uservpnuser＠domain1passwordsimpleVPNuser123＃退回系统视图。[LAC-aaa]quit＃配置域间缺省包过滤规则。［LAC］firewallpacket—filterdefaultpermitinterzoneuntrustlocal[LAC］firewallpacket-filterdefaultpermitinterzonetrustuntrust由于LAC需要与LNS设备进行PPP协商，也需要传输PC的连接请求,故配置上述域间的缺省包过滤规则。步骤2：LNS侧的配置＃输入用户名admin#输入密码Admin@123＃切换语言模式为中文模式<USG2130〉language-modechinese＃进入系统视图。<USG2130>system—view＃配置本端设备的名称。［USG2130］sysnameLNS＃配置Ethernet0/0/0的IP地址。［LNS]interfaceEthernet0/0/0［LNS—Ethernet0/0/0］ipaddress2.2.2。216［LNS-Ethernet0/0/0］quit＃创建编号为5的VLAN.[LNS]vlan5[LNS—vlan5］quit＃配置Ethernet1/0/0的链路类型并加入VLAN5.[LNS］interfaceEthernet1/0/0[LNS-Ethernet1/0/0]portaccessvlan5［LNS—Ethernet1/0/0］quit＃创建VLAN5所对应的三层接口Vlanif5，并配置Vlanif5的IP地址。[LNS］interfacevlanif5［LNS-Vlanif5］ipaddress172.70。2.124［LNS-Vlanif5］quit#配置Vlanif5加入Trust区域。［LNS］firewallzonetrust[LNS—zone-trust]addinterfaceVlanif5［LNS—zone—trust］quit#进入Untrust区域视图。［LNS］firewallzoneuntrust#配置Ethernet0/0/0加入Untrust区域。[LNS-zone-untrust］addinterfaceEthernet0/0/0#退回系统视图。［LNS-zone—untrust]quit#配置缺省路由。3。3.3。10为LNS的下一跳设备的IP地址。＃创建虚拟接口模板.［LNS]interfaceVirtual-Template1#配置虚拟接口模板的IP地址。[LNS—Virtual-Template1]ipaddress10。1。1。124配置虚拟接口模板的IP地址为LNS侧的必配项.＃配置PPP认证方式。[LNS—Virtual-Template1]pppauthentication-modechap＃配置为对端接口分配IP地址池中的地址.[LNS—Virtual-Template1］remoteaddresspool1此处引用的地址池号需要与AAA视图下的相对应。否则LNS无法为PC分配地址。＃退回系统视图.［LNS—Virtual-Template1]quit＃进入Untrust区域视图。[LNS］firewallzoneuntrust#配置虚拟接口模板加入Untrust区域。［LNS—zone—untrust］addinterfaceVirtual-Template1虚拟接口模板可以加入LNS的任一安全区域，但为LNS侧的必配项。#退回系统视图.[LNS—zone-untrust］quit#使能L2TP功能.[LNS]l2tpenable＃配置用户名带域名的后缀分隔符。［LNS］l2tpdomainsuffix-separator@＃配置L2TP组。［LNS］l2tp-group1#指定接受呼叫时隧道对端的名称及所使用的Virtual—Template。［LNS—l2tp1］allowl2tpvirtual-template1＃使能L2TP隧道认证。［LNS-l2tp1］tunnelauthentication＃配置L2TP隧道认证密码.［LNS-l2tp1]tunnelpasswordsimpleHello123A．USG2130缺省需要进行隧道的认证。如果没有配置undotunnelauthentication命令,需要配置tunnelpassword命令。B．LNS端配置的隧道验证时的密码需要与LAC端的配置保持一致。#配置隧道本端名称。［LNS—l2tp1］tunnelnamelns＃退回系统视图。[LNS—l2tp1］quit＃进入AAA视图.［LNS]aaa#创建本地用户名和密码。[LNS-aaa］local—uservpnuser＠domain1passwordsimpleVPNuser123＃创建名称为domain1的域。［LNS—aaa］domaindomain1#配置公共IP地址池。［LNS—aaa-domain—domain1］ippool110。1。1.210.1。1。100＃退回AAA视图。[LNS—aaa—domain—domain1］quit＃退回系统视图。［LNS-aaa］quit#配置域间缺省包过滤规则。[LNS］firewallpacket—filterdefaultpermitinterzonelocaluntrust由于LNS需要给PC分配IP地址，此时不能配置确切的ACL及域间规则.同时，需要打开Local和Untrust域间的缺省过滤规则。［LNS］firewallpacket-filterdefaultpermitinterzonetrustuntrust期末考试复习1、考试形式：闭卷2、考试时间：2小时3、试卷题型及分数分配：6种题型，共100分。（1）单项选择题：1分/题X20题=20分；（2）填空题：1分/空X10空=10分；（3）判断题：1分/题X10题=10分；（4）名词解释：5分/题X4题=20分；（5）简答题：8分/题X3题=24分；（6）论述题：16分/题X1题=16分。4、考试范围第一章：网络技术基础（1）计算机网络的分类计算机网络可分为局域网、广域网和城域网。●局域网：局域网(LocalAreaNetwork，简称LAN)是将较小地理区域内的计算机或数据终端设备连接在一起的通信网络。局域网覆盖的地理范围比较小，它常用于组建一个企业、校园、楼宇和办公室内的计算机网络。●广域网：广域网(WideAreaNetwork，简称WAN)是在一个广阔的地理区域内进行数据、语音、图像等信息传输的通信网络。广域网覆盖的地理区域较大，它可以覆盖一个城市、一个国家、一个洲乃至整个地球。广域网覆盖的范围比局域网（LAN）和城域网（MAN）都广。广域网的通信子网主要使用分组交换技术。广域网的通信子网可以利用公用分组交换网、卫星通信网和无线分组交换网，它将分布在不同地区的局域网或计算机系统互连起来，达到资源共享的目的。如互联网是世界范围内最大的广域网。城域网：城域网(MetropolitanAreaNetwork，简称MAN)是介于局域网和广域网之间的一种高速网络，它的覆盖范围在一个城市内。属宽带局域网。由于采用具有有源交换元件的局域网技术，网中传输时延较小，它的传输媒介主要采用光缆，传输速率在l00兆比特/秒以上。DNS服务器的概念DNS服务器是计算机域名系统(DomainNameSystem或DomainNameService)的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。（3）TCP/IP协议的概念及各层的功能。TCP/IP协议TCP/IP是TransmissionControlProtocol/InternetProtocol（传输控制协议/互联网协议）的缩写。美国国防部高级研究计划局DARPA为了实现异种网络之间的互连与互通，大力资助互联网技术的开发，于1977年到1979年间推出目前形式的TCP/IP体系结构和协议。在1980年左右，ARPA开始将ARPANET上的所有机器转向TCP/IP协议，并以ARPANET为主干建立了Internet。TCP/IP也是一个分层的网络协议，不过它与OSI模型所分的层次有所不同。TCP/IP从底至顶分为网络接口层、网络层、传输层、应用层等4个层次。●网络接口层：这是TCP/IP协议的最低一层，包括有多种逻辑链路控制和媒体访问协议。网络接口层的功能是接收IP数据报并通过特定的网络进行传输，或从网络上接收物理帧，抽取出IP数据报并转交给网际层。●网络层（IP层）：该层包括以下协议：IP（/InternetProtocol，网际协议）、ICMP（InternetControlMessageProtocol，因特网控制报文协议）、ARP（AddressResolutionProtocol，地址解析协议）、RARP（ReverseAddressResolutionProtocol，反向地址解析协议）。该层负责相同或不同网络中计算机之间的通信，主要处理数据报和路由。在IP层中，ARP协议用于将IP地址转换成物理地址，RARP协议用于将物理地址转换成IP地址，ICMP协议用于报告差错和传送控制信息。IP协议在TCP/IP协议组中处于核心地位。●传输层：该层提供TCP（传输控制协议）和UDP（UserDatagramProtocol，用户数据报协议）两个协议，它们都建立在IP协议(网络协议)的基础上，其中TCP提供可靠的面向连接服务，UDP提供简单的无连接服务。传输层提供端到端，即应用程序之间的通信，主要功能是数据格式化、数据确认和丢失重传等。●应用层：TCP/IP协议的应用层相当于OSI模型的会话层、表示层和应用层，它向用户提供一组常用的应用层协议，其中包括：Telnet（远程登录）、SMTP（简单邮件传输协议）、DNS（域名系统）等。此外，在应用层中还包含有用户应用程序，它们均是建立在TCP/IP协议组之上的专用程序。第二章：网络安全概述（1）网络安全的定义，会从用户和运营商（管理者）的角度解释什么是网络安全。网络安全从其本质来讲就是网络上的信息安全。他涉及的领域相当广泛。这是因为目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论，都是网络安全的研究领域。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从用户的角度来说，他们希望涉及到个人隐私和商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段对用户的利益和隐私造成损害和侵犯。同时他们希望当用户的信息保存在某个计算机系统上时，不受其他非法用户的非授权访问和破坏。从网络运营商和管理者的角度来说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源的非法占用和非法控制等威胁，制止和防御网络“黑客”的攻击。因此，人们在不同的网络环境和网络应用中对网络安全的理解是不同的。网络安全有哪些安全属性，各个安全属性是如何定义的。网络安全的属性●机密性：机密性是指保证信息与信息系统不被非授权者所获取与使用，主要防范措施是密码技术。在网络系统的各个层次上有不同的机密性及相应的防范措施。在物理层，要保证系统实体不以电磁的方式(电磁辐射、电磁泄漏)向外泄漏信息，主要的防范措施是电磁屏蔽技术、加密干扰技术等。在运行层面，要保障系统依据授权提供服务，使系统任何时候不被非授权人所使用，对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取漏洞扫描、隔离、防火墙、访问控制、入侵检测、审计取证等防范措施。这类属性有时也称为可控性。在数据处理、传输层面，要保证数据在传输、存储过程中不被非法获取、解析，主要防范措施是数据加密技术。●完整性：完整性是指信息是真实可信的，其发布者不被冒充，来源不被伪造，内容不被篡改，主要防范措施是校验与认证技术。在运行层面，要保证数据在传输、存储等过程中不被非法修改，防范措施是对数据的截获、篡改与再送采取完整性标识的生成与检验技术。要保证数据的发送源头不被伪造，对冒充信息发布者的身份、虚假信息发布来源采取身份认证技术、路由认证技术，这类属性也可称为真实性。●可用性：可用性是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。在物理层，要保证信息系统在恶劣的工作环境下能正常运行，主要防范措施是对电磁炸弹、信号插入采取抗干扰技术、加固技术等。在运行层面，要保证系统时刻能为授权人提供服务，对网络被阻塞、系统资源超负荷消耗、病毒、黑客等导致系统崩溃或死机等情况采取过载保护、防范拒绝服务攻击、生存技术等防范措施。保证系统的可用性，使得发布者无法否认所发布的信息内容，接收者无法否认所接收的信息内容，对数据抵赖采取数字签名防范措施，这类属性也称为抗否认性。从上面的分析可以看出，维护信息载体的安全与维护信息自身的安全两个方面都含有机密性、完整性、可用性这些重要属性。GB17859把计算机信息系统的安全保护能力划分的5个等级。我国的GB17859中，去掉了这两个级别，对其他5个级别也赋予了新意。C1、C2、B1、B2、B34、考试范围第三章：主机网络安全及访问控制安全（1）主机网络安全的概念。计算机安全分为两部分，一个是主机安全，一个是网络安全。主机安全主要是考虑保护合法用户对于授权资源的使用，防止非法入侵者对于系统资源的侵占与破坏。其最常用的办法是利用操作系统的功能，如Unix的用户认证、文件访问权限控制、帐号审计等。网络安全主要考虑的是网络上主机之间的访问控制，防止来自外部网络的入侵，保护数据在网上传输时不被泄密和修改。其最常用的方法是防火墙、加密等。主机网络安全技术是一种主动防御的安全技术，它结合网络访问的网络特性和操作系统特性来设置安全策略，可以根据网络访问的访问者及访问发生的时间、地点和行为来决定是否允许访问继续进行，实现对于同一用户在不同的场所拥有不同的权限，从而保证合法用户的权限不被非法侵占。访问控制的两种类型。（系统、网络）入侵检测系统通常分为基于主机和基于网络两类。基于主机入侵检测的主要特征是使用主机传感器监控本系统的信息。这种技术可以用于分布式、加密、交换的环境中监控，把特定的问题同特定的用户联系起来。它能够实时监视可疑的连接，检查系统日志，监视非法访问和典型应用。它还可针对不同操作系统的特点判断应用层的入侵事件，对系统属性、文件属性、敏感数据、攻击进程结果进行监控。它能够精确地判断入侵事件，并对入侵事件迅速做出反应，结合主机上的包过滤功能模块切断来自可疑地址的网络连接。基于网络的入侵检测主要特征是网络监控传感器监控包监听器收集的信息。它使用原始的网络包作为数据源，它将网络数据中检测主机的网卡设为混杂模式，该主机实时接收和分析网络中流动的数据包，从而检测是否存在入侵行为，但它不能审查加密数据流的内容，对高速网络不是特别有效。掌握基于角色的访问控制模型，会画出RBAC96模型图。基于角色的访问控制(Role-BasedAccessControl,RBAC)的基本思想就是根据安全策略划分出不同的角色,资源访问许可被封装在角色中,用户被指派到角色,用户通过角色间接地访问资源。b.RBAC的最大优点在于它能够灵活表达和实现组织的安全政策,使管理员从访问控制底层的具体实现机制中脱离出来,十分接近日常的组织管理规则。RBAC被认为是一种更普遍适用的访问控制模型,可以有效地表达和巩固特定事务的安全策略,有效缓解传统安全管理处理瓶颈问题。c.角色与组的差别:●角色既是用户的集合,又是操作许可的集合;组通常是作为用户的集合,而不是操作许可的集合。●角色是表达组织安全策略的部件,属于安全策略,抽象级高;组是机制,是实现工具,抽象级低。两者是策略与实现机理的关系。RBAC96模型第四章：密码技术（1）比较对称式密码体制和非对称密码体制。对称密码技术就是加密密钥和解密密钥相同的这类密码体制，它采用的解密算法是加密算法的逆运算。该体制的特点是在保密通信系统发送者和接收者之间的密钥必须安全传送，而双方通信所用的秘密密钥必须妥善保管。对称密码技术的安全性依赖于以下两个因素：第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性。因此，没有必要确保算法的秘密性，而需要的是保证密钥的秘密性。目前计算机网络主要采用两种密码体制:对称密钥体制和非对称密钥体制。对称密钥体制的加密密钥和解密密钥是相同的,只要知道加密密钥就能推算出解密密钥,通信双方分别持有加密密钥和解密密钥。在使用对称密码技术进行秘密通信时，任意两个不同用户之间都应该使用互不相同的密钥。如果一个网络中有n个用户，他们之间可能会进行秘密通信，这时网络中共需n(n—1)/2个密钥(其中每个用户都需要保存n—1个密钥)这样巨大的密钥量给密钥分配和密钥管理都带来了极大的困难。公钥密码体制的概念，会画出公钥密码技术示意图，分析公钥密码体制的优缺点。采用非对称密码技术的每个用户都有一对密钥：一个是可以公开的(称为加密密钥或公钥)，可以像号码一样进行注册公布；另一个则是秘密的(称为秘密密钥或解密密钥或私钥，它由用户严格保密保存)。它的主要特点是将加密和解密能力分开，因而可以实现多个用户加密的信息只能由一个用户解读，或由一个用户加密的信息而多个用户可以解读。前者可以用于公共网络中实现通信保密，而后者可以用于实现对用户的认证。下图是公钥密码技术示意图。在图4-4中，E(eB，m)表示使用用户B的公开密钥eB对明文m进行加密，D(dB，c)表示使用用户B自己保存的秘密密钥dB对密文c进行解密。4、考试范围第四章：密码技术（3）知道对称密码体制常用算法（置换、DES、3DES）、非对称密码体制常用算法（RSA）。置换法凯撒算法的推广是移动Ｋ位。单纯移动Ｋ位的置换算法很容易被破译，比较好的置换算法是进行映像。例如，将26个字母映像到另外26个特定字母中，如下表所示,利用置换发可将attack加密，变换为QZZQEA。加密算法要达到的目的（通常称为DES密码算法要求）主要为以下四点：①提供高质量的数据保护，防止数据未经授权的泄露和未被察觉的修改。②具有相当高的复杂性，使得破译的开销超过可能获得的利益，同时又要便于理解和掌握。③DES密码体制的安全性应该不依赖于算法的保密，其安全性仅以加密密钥的保密为基础。④实现经济，运行有效，并且适用于多种完全不同的应用。DES主要采用替换和移位的方法加密。DES算法的入口参数有三个：Key、Data、Mode。其中Key为8个字节共64位，是DES算法的工作密钥；Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有两种：加密或解密。DES算法是这样工作的：如Mode为加密，则用Key去把数据Data进行加密，生成Data的密码形式（64位）作为DES的输出结果；如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明码形式（64位）作为DES的输出结果。在通信网络的两端，双方约定一致的Key，在通信的源点用Key对核心数据进行DES加密，然后以密码形式在公共通信网（如网）中传输到通信网络的终点，数据到达目的地后，用同样的Key对密码数据进行解密，便再现了明码形式的核心数据。这样，便保证了核心数据（如PIN、MAC等）在公共通信网中传输的安全性和可靠性。DES技术特点：●分组加密算法：明文和密文为64位分组长度；●对称算法：加密和解密除密钥编排不同外，使用同一算法；●DES的安全性不依赖于算法的保密，安全性仅以加密密钥的保密为基础；●密钥可为任意的56位数，具有复杂性，使得破译的开销超过可能获得的利益；●采用替代和置换的组合，共16轮；●只使用了标准的算术和逻辑运算，易于实现IDEA算法中明文和密文的分组长度都是64位，密钥长128位，该算法既可用于加密，也可用于解密。设计原则采用的是基于“相异代数群上的混合运算”的设计思想，3个不同的代数群(异或、模216加和模216+1乘)进行混合运算，所有这些运算(仅有运算，没有位的置换)都在16位子分组上进行，无论用硬件还是软件实现，都非常容易(对16位微处理器尤其有效)类似于DES，IDEA算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与DES的不同处在于，它采用软件实现和采用硬件实现同样快速。在公钥密码体制中，RSA是一个较为完善的公钥密码算法，不仅能够同时用于加密和数字签名，而且易于理解和操作，是被广泛研究的公钥密码算法，从提出到现在20多年，经历了各种攻击的考验，逐渐为人们所接受，被普遍认为是目前最优秀的公钥密码算法之一。RSA的安全性依赖于大整数的因子分解难度。RSA是基于大整数难分解的公钥密码技术。RSA是基于这样一个十分简单的数论事实而设计的：将两个大的素数相乘十分容易，但想分解它们是十分困难的，因此将乘积公开作为加密密钥。基于大整数分解的公钥密码体制的安全性主要依赖于大整数(大合数)的难分解问题。目前较好的大整数分解算法包括：二次筛选法(QadraticSieve，QS)、椭圆曲线法(EllipticCurveMethod，ECM)、pollard的蒙特卡罗算法(pollard’sMonteCarloAlgorithm)、数域筛选法(NumberFieldSieve，NES)等。最好的分解算法是NFS(数域筛选法)，若B为实现者，则RSA算法的实现步骤如下：①B寻找两个大素数p和q。②B计算出n=pq和Φ(n)=（p-1）（q-1）。③B选择一个随机数e(0<e<j(n))，满足（e,Φ(n)）=1。④B使用欧几里得扩展算法计算d=e-1modΦ(n)。⑤B在目标中公开n和e作为他的公开密钥，保密p、q和d。三种可能攻击RSA算法的方法是：①强行攻击：这包含对所有的私有密钥都进行尝试；②数学攻击：有几种方法，实际上都等效于对两个素数乘积的因子分解；③定时攻击：这依赖于解密算法的运行时间。a.产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。b.分组长度太大，为保证安全性，n至少也要600bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。

用RSA或其它公开密匙密码算法进行数字签名的最大方便是没有密匙分配问题（网络越复杂、网络用户越多，其优点越明显）知道网络加密的三种方法。（链路、节点、端到端）一般的网络数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。数据加密是通过加密机构把各种原始的数字信号（明文），经某种特定的加密算法变换成与明文完全不同的数字信号，即密文的过程。网络节点间通信的信息是指用户之间要交换的数据、文件（称作报文）和消息头部（称为报头）。一般情况下，报头包含路径选择信息及对报文的说明，如指定的终点、报文顺序号、报文的识别号、报文的分类、报文的格式等。链路加密是指在链路上传输的数据是加密的，而在节点中的信息是以明文的形式出现。链路加密是最常用的一种加密方式，它仅是在物理层前的数据链路层对传输数据进行加密。优点：由于在每一个中间传输节点消息均被解密后重新进行加密，因此，包括路由信息在内的链路上的所有数据均以密文形式出现。这样，链路加密就掩盖了被传输消息的源点与终点缺点：①链路加密通常用在点对点的同步或异步线路上，它要求先对在链路两端的加密设备进行同步，然后使用一种链模式对链路上传输的数据进行加密。这就影响了网络的性能和可管理性。②在一个网络节点，链路加密仅在通信链路上提供安全性，消息以明文形式存在，因此所有节点在物理上必须是安全的，否则就会泄漏明文内容。然而保证每一个节点的安全性需要较高的费用，为每一个节点提供加密硬件设备和一个安全的物理环境所需要的费用由以下几部分组成：保护节点物理安全的雇员开销，为确保安全策略和程序的正确执行而进行审计时的费用，以及为防止安全性被破坏时带来损失而参加保险的费用。③在传统的加密算法中，用于解密消息的密钥与用于加密的密钥是相同的，该密钥必须被秘密保存，并按一定规则进行变化。这样，密钥分配在链路加密系统中就成了一个问题，因为每一个节点必须存储与其相连接的所有链路的加密密钥，这就需要对密钥进行物理传送或者建立专用网络设施。而网络节点地理分布的广阔性使得这一过程变得复杂，同时增加了密钥连续分配时的费用。尽管节点加密能给网络数据提供较高的安全性，但它在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性；都在中间节点先对消息进行解密，然后进行加密。因为要对所有传输的数据进行加密，所以加密过程对用户是透明的。节点加密要求报头和路由信息以明文形式传输端对端加密提供传输一端到另一端的全程保密。数据在通过各节点传输时一起对数据进行保护,数据只在终点才进行解密,在整个传输过程中是以一个确定的密钥和算法进行加密的(见图2),在中间节点或与它们有关的安全模块内,永远不会以明码的形式出现。加密可通过在用户和主机之间加硬件来实现,也可通过主机计算机软件实现。