大一網路安全法筆記

⑴ 如何學習網路安全

Y4er由淺入深學習網路安全（超清視頻）網路網盤

鏈接:

若資源有問題歡迎追問~

⑵ 求讀書筆記：關於威脅移動終端設備安全以及如何保證移動終端在數據傳輸過程中的安全性

我的《信息保衛戰》讀書筆記：終端安全
終端安全是企業信息技術安全體系建設的服務對象和密集風險發生部分。 我們面臨著多方面的挑戰，需要釆用不同類型，不同層次，不同級別的安全措 施，實現終端安全。
一、挑戰和威脅
1. 員工安全意識薄弱，企業安全策略難以實施，網路病毒泛濫
病毒、蠕蟲和間諜軟體等網路安全威脅損害客戶利益並造成大量金錢和生 產率的損失。與此同時，移動設備的普及進一步加劇了威脅。移動用戶能夠從 家裡或公共熱點連接互聯網或辦公室網路，常在無意中輕易地感染病毒並將其 帶進企業環境，進而感染網路。
據2010 CSI/FBI安全報告稱，雖然安全技術多年來一直在發展，且安全技 術的實施更是耗資數百萬美元，但病毒、蠕蟲和其他形式的惡意軟體仍然是各 機構現在面臨的主要問題。機構每年遭遇的大量安全事故造成系統中斷、收入 損失、數據損壞或毀壞以及生產率降低等問題，給機構帶來了巨大的經濟影響。
為了解決這些問題，很多企業都制定了企業的終端安全策略，規定終端必 須安裝殺毒軟體，以及及時更新病毒庫；終端必須及時安裝系統安全補丁；終 端必須設置強口令等。但是由於員工安全意識薄弱，企業的安全策略難以實施， 形同虛設，網路安全問題依然嚴重。
2. 非授權用戶接入網路，重要信息泄露
非授權接入包括以下兩個部分：
(1) 來自外部的非法用戶，利用企業管理的漏洞，使用PC接入交換機， 獲得網路訪問的許可權；然後冒用合法用戶的口令以合法身份登錄網站後，查看 機密信息，修改信息內容及破壞應用系統的運行。
(2) 來自內部的合法用戶，隨意訪問網路中的關鍵資源，獲取關鍵信息用 於非法的目的。
目前，企業使用的區域網是以乙太網為基礎的網路架構，只要插入網路， 就能夠自由地訪問整個網路。因非法接入和非授權訪問導致企業業務系統的破 壞以及關鍵信息資產的泄露，已經成為了企業需要解決的重要風險。
3. 網路資源的不合理使用，工作效率下降，存在違反法律法規的風險
根據IDC最新數據報導，企事業員工平均每天有超過50%的上班時間用來 在線聊天，瀏覽娛樂、色情、賭博網站，或處理個人事務；員工從互聯網下載 各種信息，而在那些用於下載信息的時間中，62%用於軟體下載，11%用於下 載音樂，只有25%用於下載與寫報告和文件相關的資料。
在國內，法律規定了很多網站是非法的，如有色情內容的、與反政府相關 的、與迷信和犯罪相關的等。使用寬頻接入互聯網後，企事業內部網路某種程 度上成了一種「公共」上網場所，很多與法律相違背的行為都有可能發生在內 部網路中。這些事情難以追查，給企業帶來了法律法規方面的風險。
二、防護措施
目前，終端數據管理存在的問題主要表現在：數據管理工作難以形成制度 化，數據丟失現象時常發生；數據分散在不同的機器、不同的應用上，管理分 散，安全得不到保障；難以實現資料庫數據的高效在線備份；存儲媒體管理困 難，歷史數據保留困難。
為此，我們從以下幾個方面採取措施實現終端安全。
1. 數據備份
隨著計算機數據系統建設的深入，數據變得越來越舉足輕重，如何有效地 管理數據系統日益成為保障系統正常運行的關鍵環節。然而，數據系統上的數 據格式不一，物理位置分布廣泛，應用分散，數據量大，造成了數據難以有效 的管理，這給日後的工作帶來諸多隱患。因此，建立一套制度化的數據備份系 統有著非常重要的意義。
數據備份是指通過在數據系統中選定一台機器作為數據備份的管理服務 器，在其他機器上安裝客戶端軟體，從而將整個數據系統的數據自動備份到與 備份伺服器相連的儲存設備上，並在備份伺服器上為各個備份客戶端建立相應 的備份數據的索引表，利用索引表自動驅動存儲介質來實現數據的自動恢復。 若有意外事件發生，若系統崩潰、非法操作等，可利用數據備份系統進行恢復。 從可靠性角度考慮，備份數量最好大於等於2。
1) 數據備份的主要內容
(1) 跨平台數據備份管理：要支持各種操作系統和資料庫系統；
(2) 備份的安全性與可靠性：雙重備份保護系統，確保備份數據萬無一失；
(3) 自動化排程/智能化報警：通過Mail/Broadcasting/Log產生報警；
(4) 數據災難防治與恢復：提供指定目錄/單個文件數據恢復。
2) 數據備份方案
每個計算環境的規模、體系結構、客戶機平台和它支持的應用軟體都各不 相同，其存儲管理需求也會有所區別，所以要選擇最適合自身環境的解決方案。 目前雖然沒有統一的標准，但至少要具有以下功能：集成的客戶機代理支持、 廣泛的存儲設備支持、高級介質管理、高級日程安排、數據完整性保證機制、 資料庫保護。比如，華為公司的VIS數據容災解決方案、HDP數據連續性保護 方案，HDS的TrueCopy方案，IBM的SVC方案等。
2. 全面可靠的防病毒體系
計算機病毒的防治要從防毒、查毒、解毒三方面來進行，系統對於計算機病 毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。
由於企業數據系統環境非常復雜，它擁有不同的系統和應用。因此，對於 整個企業數據系統病毒的防治，要兼顧到各個環節，否則有某些環節存在問題， 則很可能造成整體防治的失敗。因而，對於反病毒軟體來說，需要在技術上做 得面面俱到，才能實現全面防毒。
由於數據系統病毒與單機病毒在本質上是相同的，都是人為編制的計算機 程序，因此反病毒的原理是一樣的，但是由於數據系統具有的特殊復雜性，使 得對數據系統反病毒的要求不僅是防毒、查毒、殺毒，而且還要求做到與系統 的無縫鏈接。因為，這項技術是影響軟體運行效率、全面查殺病毒的關鍵所在。 但是要做到無縫鏈接，必須充分掌握系統的底層協議和介面規范。
隨著當代病毒技術的發展，病毒已經能夠緊密地嵌入操作系統的深層，甚 至是內核之中。這種深層次的嵌入，為徹底殺除病毒造成了極大的困難，如果 不能確保在病毒被殺除的同時不破壞操作系統本身，那麼，使用這種反病毒軟 件也許會出現事與願違的嚴重後果。無縫鏈接技術可以保證反病毒模塊從底層 內核與各種操作系統、數據系統、硬體、應用環境密切協調，確保在病毒入侵 時，反病毒操作不會傷及操作系統內核，同時又能確保對來犯病毒的防殺。
VxD是微軟專門為Windows制定的設備驅動程序介面規范。簡而言之， VxD程序有點類似於DOS中的設備驅動程序，它是專門用於管理系統所載入 的各種設備。VxD不僅適用於硬體設備，而且由於它具有比其他類型應用程序 更高的優先順序，更靠近系統底層資源，因此，在Windows操作系統下，反病毒 技術就需要利用VxD機制才有可能全面、徹底地控制系統資源，並在病毒入侵 時及時報警。而且，VxD技術與TSR技術有很大的不同，佔用極少的內存，對 系統性能影響極小。
由於病毒具備隱蔽性，因此它會在不知不覺中潛入你的機器。如果不能抵 御這種隱蔽性，那麼反病毒軟體就談不上防毒功能了。實時反病毒軟體作為一 個任務，對進出計算機系統的數據進行監控，能夠保證系統不受病毒侵害。同 時，用戶的其他應用程序可作為其他任務在系統中並行運行，與實時反病毒任 務毫不沖突。因此，在Windows環境下，如果不能實現實時反病毒，那麼也將 會為病毒入侵埋下隱患。針對這一特性，需要採取實時反病毒技術，保證在計 算機系統的整個工作過程中，能夠隨時防止病毒從外界入侵系統，從而全面提 高計算機系統的整體防護水平。
當前，大多數光碟上存放的文件和數據系統上傳輸的文件都是以壓縮形式 存放的，而且情況很復雜。現行通用的壓縮格式較多，有的壓縮工具還將壓縮 文件打包成一個擴展名為「.exe」的「自解壓」可執行文件，這種自解壓文件 可脫離壓縮工具直接運行。對於這些壓縮文件存在的復雜情況，如果反病毒軟 件不能准確判斷，或判斷片面，那就不可避免地會留有查殺病毒的「死角」，為 病毒防治造成隱患。可通過全面掌握通用壓縮演算法和軟體生產廠商自定義的壓 縮演算法，深入分析壓縮文件的數據內容，而非採用簡單地檢查擴展文件名的方 法，實現對所有壓縮文件的查毒殺毒功能。
對於數據系統病毒的防治來說，反病毒軟體要能夠做到全方位的防護，才 能對病毒做到密而不漏的查殺。對於數據系統病毒，除了對軟盤、光碟等病毒 感染最普遍的媒介具備保護功能外，對於更為隱性的企業數據系統傳播途徑， 更應該把好關口。
當前，公司之間以及人與人之間電子通信方式的應用更為廣泛。但是，隨 著這種數據交換的增多，越來越多的病毒隱藏在郵件附件和資料庫文件中進行
傳播擴散。因此，反病毒軟體應該對這一病毒傳播通道具備有效控制的功能。
伴隨數據系統的發展，在下載文件時，被感染病毒的機率正在呈指數級增 長。對這一傳播更為廣泛的病毒源，需要在下載文件中的病毒感染機器之前，
自動將之檢測出來並給予清除，對壓縮文件同樣有效。
簡言之，要綜合採用數字免疫系統、監控病毒源技術、主動內核技術、「分 布式處理」技術、安全網管技術等措施，提高系統的抗病毒能力。
3. 安全措施之防火牆及數據加密
所謂防火牆就是一個把互聯網與內部網隔開的屏障。防火牆有兩類，即標 准防火牆和雙家M關。隨著防火牆技術的進步，在雙家N關的基礎上又演化出 兩種防火牆配置，一種是隱蔽主機網關，另一種是隱蔽智能網關（隱蔽子網）。 隱蔽主機網關是當前一種常見的防火牆配置。顧名思義，這種配置一方面將路 由器進行隱蔽，另一方面在互聯N和內部N之間安裝堡壘主機。堡壘主機裝在 內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯 一系統。U前技術最為復雜而且安全級別最高的防火牆是隱蔽智能網關，它將 H關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服 務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對專用數據系統的非法 訪問。一般來說，這種防火牆是最不容易被破壞的。
與防火牆配合使用的安全技術還有數據加密技術，是為提高信息系統及數 據的安全性和保密性，防止秘密數據被外部破析所採用的主要技術手段之一。 隨著信息技術的發展，數據系統安全與信息保密日益引起人們的關注。目前各 國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟體和硬體 兩方面採取措施，推動著數據加密技術和物理防範技術的不斷發展。按作用不 N,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰 管理技術四種。
4. 智能卡實施
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是 密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有並由該用戶賦予它 一個口令或密碼字。該密碼與內部數據系統伺服器上注冊的密碼一致。當口令 與身份特徵共同使用時，智能卡的保密性能還是相當有效的。數據系統安全和 數據保護的這些防範措施都有-定的限度，並不是越安全就越可靠。因而，在 看一個內部網是杏安全時不僅要考察其手段，而更重要的是對該數據系統所采 取的各種措施，其中不光是物理防範，還有人員的素質等其他「軟」因素，進 行綜合評估，從而得出是否安全的結論。
另外，其他具體安全措施還包括數字認證、嚴謹有效的管理制度和高度警 惕的安全意識以及多級網管等措施。另外考慮到數據系統的業務連續，也需要 我們設計和部署必要的BCP計劃。 
三、解決方案
解決終端安全問題的有效方法是結合端點安全狀況信息和新型的網路准入 控制技術。
(1) 部署和實施網路准入控制，通過准入控制設備，能夠有效地防範來自 非法終端對網路業務資源的訪問，有效防範信息泄密。
(2) 通過准入控制設備，實現最小授權的訪問控制，使得不同身份和角色 的員工，只能訪問特定授權的業務系統，保護如財務系統企業的關鍵業務資源。
(3) 端點安全狀態與網路准入控制技術相結合，阻止不安全的終端以及不 滿足企業安全策略的終端接入網路，通過技術的手段強制實施企業的安全策略， 來減少網路安全事件，增強對企業安全制度的遵從。
加強事後審計，記錄和控制終端對網路的訪問，控制M絡應用程序的使用， 敦促員工專注工作，減少企業在互聯網訪問的法律法規方面的風險，並且提供 責任回溯的手段。
1. 集中式組網方案
終端安全管理（Terminal Security Management, TSM)系統支持集中式組
網，把所有的控制伺服器集中在一起，為網路中的終端提供接入控制和安全管 理功能。集中式組網方案如圖9-3所示。

2. 分布式組網方案 如果遇到下面的情況，可能需要採用分布式組網方案，如圖9-4所示。 
(1)終端相對集中在幾個區域，而且區域之間的帶寬比較小，由於代理與 伺服器之間存在一定的流量，如果採用集中式部署，將會佔用區域之間的帶寬, 影響業務的提供。

(2)終端的規模相當大，可以考慮使用分布式組網，避免大量終端訪問TSM 伺服器，佔用大量的網路帶寬。
分布式部署的時候，TSM安全代理選擇就近的控制伺服器，獲得身份認證 和准入控制等各項業務。
3. 分級式組網方案
如果網路規模超大，可以選擇採用分級式組網方案，如圖9-5所示。
在這種部署方案中，每個TSM結點都是一個獨立的管理單元，承擔獨立的 用戶管理、准入控制以及安全策略管理業務。管理中心負責制定總體的安全策 略，下發給各個TSM管理結點，並且對TSM管理結點實施情況進行監控。
TSM系統對於關鍵的用戶認證資料庫提供鏡像備份機制，當主資料庫發生 故障時，鏡像資料庫提供了備份的認證源，能夠保證基本業務的提供，防止因 為單一數據源失效導致接入控制的網路故障。
當TSM系統發生嚴重故障，或者TSM系統所在的網路發生嚴重故障時， 用戶可以根據業務的情況進行選擇：業務優先/安全優先。
如果選擇業務優先，准入控制設備（802.1X交換機除外）上設計的逃生通 道能夠檢測到TSM系統的嚴重故障，啟用逃生通道，防止重要業務中斷。
TSM終端安全管理系統提供伺服器狀態監控工具，通過該工具可以監控服 務器的運行狀態，如資料庫鏈接不上、SACG鏈接故障以及CPU/內存異常等。當 檢查到伺服器的狀態異常時，可以通過郵件、簡訊等方式通知管理員及時處理。

四、終端虛擬化技術
1.傳統的終端數據安全保護技術
1) DLP
(1) 工作方式：DLP (Data Loss Prevention,數據丟失防護）技術側重於信 息泄密途徑的防護，是能夠通過深度內容分析對動態數據、靜態數據和使用中 的數據進行鑒定、檢測和保護的產品。可以在PC終端、網路、郵件伺服器等 系統上針對信息內容層面的檢測和防護，能夠發現你的敏感數據存儲的位置， 之後進行一定的處理方式，但也是有些漏洞的。
(2) 使用場景與限制：雖然DLP方案從靈活性、安全性、管理性上都滿足 了數據安全的需求，但同樣成功部署DLP方案需要有一個前提，就是其數據內 容匹配演算法的誤報率要足夠低。然而，由於數據內容的表達方式千差萬別，在 定義數據內容匹配規則的時候漏審率和誤判率非常難平衡，無論是哪個廠商的 DLP產品，在實際測試過程中的誤報率普遍都偏高，DLP方案的防護效果體驗 並不好。
2) DRM
(1) 工作方式：DRM (Digital Right Management，數字許可權管理）是加密
及元數據的結合，用於說明獲准訪問數據的用戶，以及他們可以或不可以對數 據運行進行某些操作。DRM可決定數據的訪問及使用方式，相當於隨數據一 起移動的貼身保鏢。許可權包括讀取、更改、剪切/粘貼、提交電子郵件、復制、 移動、保存到攜帶型保存設備及列印等操作。雖然DRM的功能非常強大，但 難以大規模實施。
(2) 使用場景與限制：DRM極其依賴手動運行，因此難以大規模實施。用 戶必須了解哪些許可權適用於哪種內容的用戶，這樣的復雜程度常使得員工忽略 DRM,並導致未能改善安全性的失敗項冃。如同加密一樣，企業在應用許可權時 必須依賴人為的判斷，因為DRM丄具不具備了解內容的功能。成功的DRM 部署通常只限於用戶訓練有素的小型工作組。由於存在此種復雜性，大型企業 通常並不適合部署DRM。但如同加密一樣，可以使用DLP來專注於DRM， 並減少某些阻礙廣泛部署的手動進程。
3) 全盤加密
(1) 工作方式：所謂全盤加密技術，一般是採用磁碟級動態加解密技術， 通過攔截操作系統或應用軟體對磁碟數據的讀/寫請求，實現對全盤數據的實時 加解密，從而保護磁碟中所有文件的存儲和使用安全，避免因便攜終端或移動 設備丟失、存儲設備報廢和維修所帶來的數據泄密風險。
(2) 使用場景與限制：與防水牆技術類似，全盤加密技術還是無法對不同 的涉密系統數據進行區別對待，不管是涉密文件還是普通文件，都進行加密存 儲，無法支持正常的內外部文件交流。另外，全盤加密方案雖然能夠從數據源 頭上保障數據內容的安全性，但無法保障其自身的安全性和可靠性，一旦軟體 系統損壞，所有的數據都將無法正常訪問，對業務數據的可用性而言反而是一 種潛在的威脅。
上述傳統安全技術是目前銀行業都會部署的基礎安全系統，這些安全系統 能夠在某一個點上起到防護作用，然而盡管如此，數據泄密事件依然是屢禁不 止，可見銀行業網路整體安全目前最人的威脅來源於終端安全上。而且部署這 么多的系統方案以後，用戶體驗不佳，不容易推廣，因此並未達到預期的效果。 要徹底改變企業內網安全現狀，必須部署更為有效的涉密系統數據防泄密方案。
2.數據保護的創新——終端虛擬化技術
為了能夠在確保數據安全的前提下，提升用戶的易用性和部署快速性，冃 前已經有部分企業開始使用終端虛擬化的技術來實現數據安全的保護。其中， 桌面/應用虛擬化技術以及基於安全沙盒技術的虛擬安全桌面就是兩種比較常 見的方式。
1)桌面/應用虛擬化
桌面/應用虛擬化技術是基於伺服器的計算模型，它將所有桌面虛擬機在數 據中心進行託管並統一管理。通過采購大量伺服器，將CPU、存儲器等硬體資 源進行集中建設，構建一個終端服務層，從而將桌面、應用以圖像的方式發布 給終端用戶。作為雲計算的一種方式，由於所有的計算都放在伺服器上，對終 端設備的要求將大大降低，不需要傳統的台式計算機、筆記本式計算機，用戶 可以通過客戶端或者遠程訪問等方式獲得與傳統PC —致的用戶體驗，如圖9-6 所示。

不過，雖然基於計算集中化模式的桌面虛擬化技術能夠大大簡化終端的管 理維護工作，能夠很好地解決終端數據安全問題，但是也帶來了服務端的部署 成本過大和管理成本提高等新問題。
(1) 所有的客戶端程序進程都運行在終端伺服器上，需要配置高性能的終 端伺服器集群來均衡伺服器的負載壓力。
(2) 由於網路延遲、伺服器性能、並發擁塞等客觀因素影響，在桌面虛擬 化方案中，終端用戶的使用體驗大大低於物理計算機本地應用程序的使用體驗。
(3) 計算集中化容易帶來終端伺服器的單點故障問題，需要通過終端服務 器的冗餘備份來強化系統的穩定性。
(4) 桌面虛擬化方案中部署的大量終端伺服器以及集中化的數據存儲之間 的備份、恢復、遷移、維護、隔離等問題。
(5) 由於數據集中化，管理員的許可權管理也需要列入考慮，畢竟讓網路管 理員能夠接觸到銀行業務部門的業務數據也是違背數據安全需求的。
(6) 桌面集中化方案提高了對網路的穩定性要求，無法滿足離線辦公的需求。
因此，此種方案在大規模部署使用時會遇到成本高、體驗差的問題，如圖
9-7所示。
2)防泄密安全桌面
為了解決桌面/應用虛擬化存在的問題，一種新的終端虛擬化技術——基r 沙盒的安全桌面被應用到了防泄密領域，如圖9-8所示。
在不改變當前IT架構的情況下，充分利用本地PC的軟、硬體資源，在本 地直接通過安全沙盒技術虛擬化了一個安全桌面，這個桌面可以理解為原有默 認桌面的一個備份和鏡像，在安全桌面環境下運行的應用、數據、網路許可權等 完全與默認桌面隔離，並且安全沙盒可以針對不同桌面之間進行細粒度的安全 控制，比如安全桌面下只能訪問敏感業務系統，安全桌面內數據無法外發、復 制、列印、截屏，安全桌面內保存的文件加密存儲等等。

這樣一來，通過安全桌面+安全控制網關的聯通配合，就可以確保用戶只有 在防泄密安全桌面內進行了認證後才能訪問核心敏感系統，實現了在終端的多 業務風險隔離，確保了終端的安全性。安全桌面虛擬化方案為用戶提供了多個 虛擬的安全桌面，通過不同虛擬安全桌面相互隔離文件資源、網路資源、系統 資源等，可以讓用戶通過不同的桌面訪問不同的業務資源。
比如為用戶訪問涉密業務系統提供了一個具有數據防泄露防護的防泄密安 全桌面，盡可能減少對用戶使用習慣的影響，解決了物理隔離方案的易用性問 題，如圖9-9所示。

基於沙盒的安全桌面方案的價值在於，在實現終端敏感業務數據防泄密的 前提下，不改變用戶使用習慣，增強了易用性，還保護了用戶的現有投資。目 前，防泄密安全桌面已經在金融、政府、企業等單位開始了廣泛的應用，主要部署在CRM、ERP、設計圖樣等系統前端，以防止內部銷售、供應鏈、財務等 人員的主動泄密行為。
但是安全桌面技術也有一定的局限性，比如它不適用於Java、C語言的代 碼開發環境，存在一定兼容性的問題。
總而言之，兩種終端虛擬化技術各有優劣，分別適用於不同的業務場景，具體可以參照圖9-10。

⑶ 計算機網路自學筆記:TCP

如果你在學習這門課程，僅僅為了理解網路工作原理，那麼只要了解TCP是可靠傳輸，數據傳輸丟失時會重傳就可以了。如果你還要參加研究生考試或者公司面試等，那麼下面內容很有可能成為考查的知識點，主要的重點是序號/確認號的編碼、超時定時器的設置、可靠傳輸和連接的管理。

1 TCP連接

TCP面向連接，在一個應用進程開始向另一個應用進程發送數據之前，這兩個進程必須先相互「握手」，即它們必須相互發送某些預備報文段，以建立連接。連接的實質是雙方都初始化與連接相關的發送/接收緩沖區，以及許多TCP狀態變數。

這種「連接」不是一條如電話網路中端到端的電路，因為它們的狀態完全保留在兩個端系統中。

TCP連接提供的是全雙工服務 ，應用層數據就可在從進程B流向進程A的同時，也從進程A流向進程B。

TCP連接也總是點對點的 ，即在單個發送方與單個接收方之間建立連接。

一個客戶機進程向伺服器進程發送數據時，客戶機進程通過套接字傳遞數據流。

客戶機操作系統中運行的 TCP軟體模塊首先將這些數據放到該連接的發送緩存里 ，然後會不時地從發送緩存里取出一塊數據發送。

TCP可從緩存中取出並放入報文段中發送的數據量受限於最大報文段長MSS，通常由最大鏈路層幀長度來決定(也就是底層的通信鏈路決定)。 例如一個鏈路層幀的最大長度1500位元組，除去數據報頭部長度20位元組，TCP報文段的頭部長度20位元組，MSS為1460位元組。

報文段被往下傳給網路層，網路層將其封裝在網路層IP數據報中。然後這些數據報被發送到網路中。

當TCP在另一端接收到一個報文段後，該報文段的數據就被放人該連接的接收緩存中。應用程序從接收緩存中讀取數據流(注意是應用程序來讀，不是操作系統推送)。

TCP連接的每一端都有各自的發送緩存和接收緩存。

因此TCP連接的組成包括:主機上的緩存、控制變數和與一個進程連接的套接字變數名，以及另一台主機上的一套緩存、控制變數和與一個進程連接的套接字。

在這兩台主機之間的路由器、交換機中，沒有為該連接分配任何緩存和控制變數。

2報文段結構

TCP報文段由首部欄位和一個數據欄位組成。數據欄位包含有應用層數據。

由於MSS限制了報文段數據欄位的最大長度。當TCP發送一個大文件時，TCP通常是將文件劃分成長度為MSS的若干塊。

TCP報文段的結構。

首部包括源埠號和目的埠號，它用於多路復用/多路分解來自或送至上層應用的數據。另外，TCP首部也包括校驗和欄位。報文段首部還包含下列欄位:

32比特的序號欄位和32比特的確認號欄位。這些欄位被TCP發送方和接收方用來實現可靠數據傳輸服務。

16比特的接收窗口欄位，該欄位用於流量控制。該欄位用於指示接收方能夠接受的位元組數量。

4比特的首部長度欄位,該欄位指示以32比特的字為單位的TCP首部長度。一般TCP首部的長度就是20位元組。

可選與變長的選項欄位,該欄位用於當發送方與接收方協商最大報文段長度，或在高速網路環境下用作窗口調節因子時使用。

標志欄位ACK比特用於指示確認欄位中的ACK值的有效性，即該報文段包括一個對已被成功接收報文段的確認。 SYN和FIN比特用於連接建立和拆除。 PSH、URG和緊急指針欄位通常沒有使用。

•序號和確認號

TCP報文段首部兩個最重要的欄位是序號欄位和確認號欄位。

TCP把數據看成一個無結構的但是有序的位元組流。TCP序號是建立在傳送的位元組流之上，而不是建立在傳送的報文段的序列之上。

一個報文段的序號是該報文段首位元組在位元組流中的編號。

例如，假設主機A上的一個進程想通過一條TCP連接向主機B上的一個進程發送一個數據流。主機A中的TCP將對數據流中的每一個位元組進行編號。假定數據流由一個包含4500位元組的文件組成(可以理解為應用程序調用send函數傳遞過來的數據長度)，MSS為1000位元組(鏈路層一次能夠傳輸的位元組數)，如果主機決定數據流的首位元組編號是7。TCP模塊將為該數據流構建5個報文段(也就是分5個IP數據報)。第一個報文段的序號被賦為7;第二個報文段的序號被賦為1007,第三個報文段的序號被賦為2007，以此類推。前面4個報文段的長度是1000，最後一個是500。

確認號要比序號難理解一些。前面講過，TCP是全雙工的，因此主機A在向主機B發送數據的同時，也可能接收來自主機B的數據。從主機B到達的每個報文段中的序號欄位包含了從B流向A的數據的起始位置。 因此主機B填充進報文段的確認號是主機B期望從主機A收到的下一報文段首位元組的序號。

假設主機B已收到了來自主機A編號為7-1006的所有位元組，同時假設它要發送一個報文段給主機A。主機B等待主機A的數據流中位元組1007及後續所有位元組。所以，主機B會在它發往主機A的報文段的確認號欄位中填上1007。

再舉一個例子，假設主機B已收到一個來自主機A的包含位元組7-1006的報文段，以及另一個包含位元組2007-3006的報文段。由於某種原因，主機A還沒有收到位元組1007-2006的報文段。

在這個例子中，主機A為了重組主機B的數據流，仍在等待位元組1007。因此，A在收到包含位元組2007-3006的報文段時，將會又一次在確認號欄位中包含1007。 因為TCP只確認數據流中至第一個丟失報文段之前的位元組數據，所以TCP被稱為是採用累積確認。

TCP的實現有兩個基本的選擇:

1接收方立即丟棄失序報文段;

2接收方保留失序的位元組，並等待缺少的位元組以填補該間隔。

一條TCP連接的雙方均可隨機地選擇初始序號。 這樣做可以減少將那些仍在網路中的來自兩台主機之間先前連接的報文段，誤認為是新建連接所產生的有效報文段的可能性。

•例子telnet

Telnet由是一個用於遠程登錄的應用層協議。它運行在TCP之上，被設計成可在任意一對主機之間工作。

假設主機A發起一個與主機B的Telnet會話。因為是主機A發起該會話，因此主機A被標記為客戶機，主機B被標記為伺服器。用戶鍵入的每個字元(在客戶機端)都會被發送至遠程主機。遠程主機收到後會復制一個相同的字元發回客戶機，並顯示在Telnet用戶的屏幕上。這種「回顯」用於確保由用戶發送的字元已經被遠程主機收到並處理。因此，在從用戶擊鍵到字元顯示在用戶屏幕上之間的這段時間內，每個字元在網路中傳輸了兩次。

現在假設用戶輸入了一個字元「C」，假設客戶機和伺服器的起始序號分別是42和79。前面講過，一個報文段的序號就是該報文段數據欄位首位元組的序號。因此，客戶機發送的第一個報文段的序號為42，伺服器發送的第一個報文段的序號為79。前面講過，確認號就是主機期待的數據的下一個位元組序號。在TCP連接建立後但沒有發送任何數據之前，客戶機等待位元組79，而伺服器等待位元組42。

如圖所示，共發了3個報文段。第一個報文段是由客戶機發往伺服器，其數據欄位里包含一位元組的字元「C」的ASCII碼，其序號欄位里是42。另外，由於客戶機還沒有接收到來自伺服器的任何數據，因此該報文段中的確認號欄位里是79。

第二個報文段是由伺服器發往客戶機。它有兩個目的:第一個目的是為伺服器所收到的數據提供確認。伺服器通過在確認號欄位中填入43，告訴客戶機它已經成功地收到位元組42及以前的所有位元組，現在正等待著位元組43的出現。第二個目的是回顯字元「C」。因此，在第二個報文段的數據欄位里填入的是字元「C」的ASCII碼，第二個報文段的序號為79，它是該TCP連接上從伺服器到客戶機的數據流的起始序號，也是伺服器要發送的第一個位元組的數據。

這里客戶機到伺服器的數據的確認被裝載在一個伺服器到客戶機的數據的報文段中，這種確認被稱為是捎帶確認.

第三個報文段是從客戶機發往伺服器的。它的唯一目的是確認已從伺服器收到的數據。

3往返時延的估計與超時

TCP如同前面所講的rdt協議一樣，採用超時/重傳機制來處理報文段的丟失問題。最重要的一個問題就是超時間隔長度的設置。顯然，超時間隔必須大於TCP連接的往返時延RTT，即從一個報文段發出到收到其確認時。否則會造成不必要的重傳。

•估計往返時延

TCP估計發送方與接收方之間的往返時延是通過採集報文段的樣本RTT來實現的，就是從某報文段被發出到對該報文段的確認被收到之間的時間長度。

也就是說TCP為一個已發送的但目前尚未被確認的報文段估計sampleRTT，從而產生一個接近每個RTT的采樣值。但是，TCP不會為重傳的報文段計算RTT。

為了估計一個典型的RTT，採取了某種對RTT取平均值的辦法。TCP據下列公式來更新

EstimatedRTT=(1-)*EstimatedRTT+*SampleRTT

即估計RTT的新值是由以前估計的RTT值與sampleRTT新值加權組合而成的。

參考值是a=0.125，因此是一個加權平均值。顯然這個加權平均對最新樣本賦予的權值

要大於對老樣本賦予的權值。因為越新的樣本能更好地反映出網路當前的擁塞情況。從統計學觀點來講，這種平均被稱為指數加權移動平均

除了估算RTT外，還需要測量RTT的變化，RTT偏差的程度，因為直接使用平均值設置計時器會有問題(太靈敏)。

DevRTT=(1-β)*DevRTT+β*|SampleRTT-EstimatedRTT|

RTT偏差也使用了指數加權移動平均。B取值0.25.

•設置和管理重傳超時間隔

假設已經得到了估計RTT值和RTT偏差值，那麼TCP超時間隔應該用什麼值呢?TCP將超時間隔設置成大於等於估計RTT值和4倍的RTT偏差值,否則將造成不必要的重傳。但是超時間隔也不應該比估計RTT值大太多，否則當報文段丟失時，TCP不能很快地重傳該報文段，從而將給上層應用帶來很大的數據傳輸時延。因此，要求將超時間隔設為估計RTT值加上一定餘量。當估計RTT值波動較大時，這個余最應該大些;當波動比較小時，這個餘量應該小些。因此使用4倍的偏差值來設置重傳時間。

TimeoutInterval=EstimatedRTT+4*DevRTT

4可信數據傳輸

網際網路的網路層服務是不可靠的。IP不保證數據報的交付，不保證數據報的按序交付，也不保證數據報中數據的完整性。

TCP在IP不可靠的盡力而為服務基礎上建立了一種可靠數據傳輸服務。

TCP提供可靠數據傳輸的方法涉及前面學過的許多原理。

TCP採用流水線協議、累計確認。

TCP推薦的定時器管理過程使用單一的重傳定時器，即使有多個已發送但還未被確認的報文段也一樣。重傳由超時和多個ACK觸發。

在TCP發送方有3種與發送和重傳有關的主要事件:從上層應用程序接收數據，定時器超時和收到確認ACK。

從上層應用程序接收數據。一旦這個事件發生，TCP就從應用程序接收數據，將數據封裝在一個報文段中，並將該報文段交給IP。注意到每一個報文段都包含一個序號，這個序號就是該報文段第一個數據位元組的位元組流編號。如果定時器還沒有計時，則當報文段被傳給IP時，TCP就啟動一個該定時器。

第二個事件是超時。TCP通過重傳引起超時的報文段來響應超時事件。然後TCP重啟定時器。

第三個事件是一個來自接收方的確認報文段(ACK)。當該事件發生時，TCP將ACK的值y與變數SendBase(發送窗口的基地址)進行比較。TCP狀態變數SendBase是最早未被確認的位元組的序號。就是指接收方已正確按序接收到數據的最後一個位元組的序號。TCP採用累積確認，所以y確認了位元組編號在y之前的所有位元組都已經收到。如果Y>SendBase,則該ACK是在確認一個或多個先前未被確認的報文段。因此發送方更新其SendBase變數，相當於發送窗口向前移動。

另外，如果當前有未被確認的報文段，TCP還要重新啟動定時器。

快速重傳

超時觸發重傳存在的另一個問題是超時周期可能相對較長。當一個報文段丟失時，這種長超時周期迫使發送方等待很長時間才重傳丟失的分組，因而增加了端到端時延。所以通常發送方可在超時事件發生之前通過觀察冗餘ACK來檢測丟包情況。

冗餘ACK就是接收方再次確認某個報文段的ACK，而發送方先前已經收到對該報文段的確認。

當TCP接收方收到一個序號比所期望的序號大的報文段時，它認為檢測到了數據流中的一個間隔，即有報文段丟失。這個間隔可能是由於在網路中報文段丟失或重新排序造成的。因為TCP使用累計確認，所以接收方不向發送方發回否定確認，而是對最後一個正確接收報文段進行重復確認(即產生一個冗餘ACK)

如果TCP發送方接收到對相同報文段的3個冗餘ACK.它就認為跟在這個已被確認過3次的報文段之後的報文段已經丟失。一旦收到3個冗餘ACK，TCP就執行快速重傳 ，

即在該報文段的定時器過期之前重傳丟失的報文段。

5流量控制

前面講過，一條TCP連接雙方的主機都為該連接設置了接收緩存。當該TCP連接收到正確、按序的位元組後，它就將數據放入接收緩存。相關聯的應用進程會從該緩存中讀取數據，但沒必要數據剛一到達就立即讀取。事實上，接收方應用也許正忙於其他任務，甚至要過很長時間後才去讀取該數據。如果應用程序讀取數據時相當緩慢，而發送方發送數據太多、太快，會很容易使這個連接的接收緩存溢出。

TCP為應用程序提供了流量控制服務以消除發送方導致接收方緩存溢出的可能性。因此，可以說 流量控制是一個速度匹配服務，即發送方的發送速率與接收方應用程序的讀速率相匹配。

前面提到過，TCP發送方也可能因為IP網路的擁塞而被限制，這種形式的發送方的控制被稱為擁塞控制(congestioncontrol)。

TCP通過讓接收方維護一個稱為接收窗口的變數來提供流量控制。接收窗口用於告訴發送方，該接收方還有多少可用的緩存空間。因為TCP是全雙工通信，在連接兩端的發送方都各自維護一個接收窗口變數。 主機把當前的空閑接收緩存大小值放入它發給對方主機的報文段接收窗口欄位中，通知對方它在該連接的緩存中還有多少可用空間。

6 TCP連接管理

客戶機中的TCP會用以下方式與伺服器建立一條TCP連接:

第一步: 客戶機端首先向伺服器發送一個SNY比特被置為1報文段。該報文段中不包含應用層數據，這個特殊報文段被稱為SYN報文段。另外，客戶機會選擇一個起始序號，並將其放置到報文段的序號欄位中。為了避免某些安全性攻擊，這里一般隨機選擇序號。

第二步: 一旦包含TCP報文段的用戶數據報到達伺服器主機，伺服器會從該數據報中提取出TCPSYN報文段，為該TCP連接分配TCP緩存和控制變數，並向客戶機TCP發送允許連接的報文段。這個允許連接的報文段還是不包含應用層數據。但是，在報文段的首部卻包含3個重要的信息。

首先，SYN比特被置為1。其次，該 TCP報文段首部的確認號欄位被置為客戶端序號+1最後，伺服器選擇自己的初始序號，並將其放置到TCP報文段首部的序號欄位中。 這個允許連接的報文段實際上表明了:「我收到了你要求建立連接的、帶有初始序號的分組。我同意建立該連接，我自己的初始序號是XX」。這個同意連接的報文段通常被稱為SYN+ACK報文段。

第三步: 在收到SYN+ACK報文段後，客戶機也要給該連接分配緩存和控制變數。客戶機主機還會向伺服器發送另外一個報文段，這個報文段對伺服器允許連接的報文段進行了確認。因為連接已經建立了，所以該ACK比特被置為1，稱為ACK報文段，可以攜帶數據。

一旦以上3步完成，客戶機和伺服器就可以相互發送含有數據的報文段了。

為了建立連接，在兩台主機之間發送了3個分組，這種連接建立過程通常被稱為 三次握手(SNY、SYN+ACK、ACK，ACK報文段可以攜帶數據) 。這個過程發生在客戶機connect()伺服器，伺服器accept()客戶連接的階段。

假設客戶機應用程序決定要關閉該連接。(注意，伺服器也能選擇關閉該連接)客戶機發送一個FIN比特被置為1的TCP報文段，並進人FINWAIT1狀態。

當處在FINWAIT1狀態時，客戶機TCP等待一個來自伺服器的帶有ACK確認信息的TCP報文段。當它收到該報文段時，客戶機TCP進入FINWAIT2狀態。

當處在FINWAIT2狀態時，客戶機等待來自伺服器的FIN比特被置為1的另一個報文段，

收到該報文段後，客戶機TCP對伺服器的報文段進行ACK確認，並進入TIME_WAIT狀態。TIME_WAIT狀態使得TCP客戶機重傳最終確認報文，以防該ACK丟失。在TIME_WAIT狀態中所消耗的時間是與具體實現有關的，一般是30秒或更多時間。

經過等待後，連接正式關閉，客戶機端所有與連接有關的資源將被釋放。 因此TCP連接的關閉需要客戶端和伺服器端互相交換連接關閉的FIN、ACK置位報文段。

⑷ 浜哄伐鏅鴻兘瀹夊叏絎旇幫紙1錛夋傝

寮曡█</

鍦ㄦ暟瀛楀寲鏃朵唬錛屼漢宸ユ櫤鑳斤紙AI錛夌殑騫挎硾搴旂敤甯︽潵浜嗗墠鎵鏈鏈夌殑渚垮埄錛屼絾鍚屾椂涔熷偓鐢熶簡鏂扮殑瀹夊叏鎸戞垬銆傛暟鎹娉勯湶銆佹劅鐭ユ洪獥錛屼互鍙婂規姉鏍鋒湰鏀誨嚮錛岃繖浜涢棶棰樻ｉ愭笎鎴愪負AI瀹夊叏棰嗗煙鐨勭劍鐐廣傛湰鏂囧皢娣卞叆鎺㈣ˋI瀹夊叏鐨勫悇涓鏂歸潰錛屼粠鏁版嵁銆佹ā鍨嬪埌緋葷粺鏋舵瀯錛屾彮紺哄叾鍏抽敭濞佽儊騫舵彁鍑哄簲瀵圭瓥鐣ャ

濞佽儊瀹炰緥涓庡垎綾</

Facebook鐨勬暟鎹娉勯湶浜嬩歡鎻紺轟簡鏁版嵁瀹夊叏鐨勯噸瑕佹э紝鑰孖BM鐨勪漢鑴歌瘑鍒鏈緇忚稿彲鍜孏PT-3璁緇冩暟鎹奼℃煋浜嬩歡鍒欐樉紺轟簡妯″瀷瀹夊叏鐨勮剢寮辨с傚規姉鏍鋒湰鏀誨嚮錛屽傚規姉鎬ц創綰歌瀵肩洰鏍囨嫻嬶紝鎴栭┚椹剁郴緇熷洜鎵板姩鑰屽け鏁堬紝濞佽儊鐫AI鐨勬墽琛岄樁孌點侫I瀹夊叏鍙浠ョ粏鍒嗕負澶氫釜鏂歸潰錛

• 鏁版嵁瀹夊叏</: 鎶曟瘨鏀誨嚮濡俌ao et al.錛2019錛夌殑鐮旂┒錛屼互鍙婂睘鎬ф帹鏂濡俍hou & Chen錛2022錛夌殑鎺㈣錛屽睍紺轟簡鏁版嵁奼℃煋鍜岄殣縐佹硠闇茬殑涓ラ噸鎬с


• 妯″瀷瀹夊叏</: 瀵規姉鏍鋒湰錛圙oodfellow絳夛紝2014錛夌殑鐢熸垚鍜岀獌鍙栵紝浠ュ強鐗堟潈璇佹槑鐨勬寫鎴橈紝寮鴻皟浜嗘ā鍨嬬殑淇濇姢闇奼傘


• 鐜澧冨畨鍏</: 鏈嶅姟鍣ㄥ畨鍏ㄩ棶棰樹笉瀹瑰拷瑙嗭紝闃叉㈡ā鍨嬮冮告敾鍑誨拰鏁版嵁奼℃煋銆

AI鐢熷懡鍛ㄦ湡涓鐨勫畨鍏ㄥ▉鑳</

浠庤捐″埌鎵ц岋紝AI鐨勬瘡涓涓闃舵甸兘鍙鑳介潰涓村畨鍏ㄩ棶棰樸傝捐￠樁孌電殑鏁版嵁鍋忚佸彲鑳藉艱嚧涓嶅叕騫籌紝璁緇冮樁孌電殑鏁版嵁鎶曟瘨鍜屽悗闂ㄦ敾鍑誨▉鑳佹ā鍨嬬殑鍙鐢ㄦу拰瀹屾暣鎬с傛墽琛岄樁孌碉紝瀵規姉鏀誨嚮鍜屾垚鍛樻帹鏂鍙鑳芥彮紺烘晱鎰熶俊鎮錛屾寫鎴樻ā鍨嬬殑椴佹掓у拰闅愮佹с

緋葷粺鏋舵瀯涓庡畨鍏ㄨ佺礌</

AI緋葷粺鐢辯‖浠躲佹搷浣滅郴緇熴佹嗘灦鍜岀畻娉曟瀯寤猴紝鍏朵腑淇濆瘑鎬э紙淇濇姢鏁版嵁鍜屾ā鍨嬶級銆佸畬鏁存э紙闃叉㈢℃敼錛夈侀瞾媯掓э紙搴斿瑰共鎵幫級銆佸彲瑙ｉ噴鎬э紙閫忔槑搴︼級鍜岄殣縐佹э紙淇濇姢鐢ㄦ埛鏁版嵁錛夋槸鍏抽敭銆傚叕騫蟲у垯紜淇濈畻娉曞喅絳栫殑鍏姝ｆэ紝娑堥櫎娼滃湪鐨勫嚲瑙併

娉曞緥娉曡勪笌鐮旂┒瓚嬪娍</

闅忕潃鍥藉唴濡傜綉緇滃畨鍏ㄦ硶銆佹暟鎹瀹夊叏娉曞拰涓淇濇硶鐨勫嚭鍙幫紝AI瀹夊叏鎴愪負浜嗘硶瑙勫叧娉ㄧ殑鐒︾偣銆傚︽湳鐣岀殑鐮旂┒鐑鐐瑰寘鎷瀵規姉鏍鋒湰銆佹暟鎹鎶曟瘨銆佹ā鍨嬭В閲婃с佽仈閭﹀︿範錛堥殣縐佷繚鎶わ級鍜屾繁搴︿吉閫犳嫻嬬瓑銆傝仈閭﹀︿範鍦ㄤ繚鎶ら殣縐佹柟闈㈣〃鐜扮獊鍑猴紝宸鍒嗛殣縐佹妧鏈淇濇姢妯″瀷璁緇冿紝娣卞害浼閫犳嫻嬫妧鏈鐢ㄤ簬鎵撳嚮緗戠粶璇堥獥銆

緇撹涓庡悗緇鎺㈢儲</

浜哄伐鏅鴻兘瀹夊叏鏄涓涓鍔ㄦ佷笖澶嶆潅鐨勯嗗煙錛岄渶瑕佹寔緇鍏蟲敞鍜屾繁鍏ョ爺絀躲傞氳繃鐞嗚В榪欎簺濞佽儊鍜岄槻鎶ょ瓥鐣ワ紝鎴戜滑鑳芥洿濂藉湴淇濇姢AI緋葷粺鐨勭ǔ鍋ヨ繍琛屻傛帴涓嬫潵鐨勬枃絝犲皢鏇存繁鍏ュ湴鎺㈣ㄨ繖浜涜棰樹互鍙婄浉鍏崇殑瑙ｅ喅鏂規堬紝鏁璇鋒湡寰呫

⑸ 網路安全如何入門

零基礎、轉專業、跨行等等都可以總結為，零基礎或者有一點基礎的想轉網路安全方向該如何學習。

要成為一名黑客，實戰是必要的。安全技術這一塊兒的核心，說白了60%都是實戰，是需要實際操作。

如果你選擇自學，需要一個很強大的一個堅持毅力的,還有鑽研能力，大部分人是東學一塊西學一塊兒，不成體系化的紙上談兵的學習。許多人選擇自學，但他們不知道學什麼。

再來說說，先學編程還是滲透，

很多人說他們想學編程，但是在你學了編程之後。會發現離黑客越來越遠了。。。

如果你是計算機專業的，之前也學過編程、網路等等，這些對於剛入門去學滲透就已經夠了，你剛開始沒必要學那麼深，有一定了解之後再去學習。如果是轉專業、零基礎的可以看我下面的鏈接，跟著公開課去學習。

B站有相關零基礎入門網路安全的視頻

快速入門

另外說一句，滲透是個立馬可以見效的東西，滿足了你的多巴胺，讓你看到效果，你也更有動力去學。

舉個栗子：你去打游戲，殺了敵人，是不是很舒服，有了反饋，滿足了你的多巴胺。

編程這玩意，周期太長，太容易勸退了，說句不好聽的，你學了三個月，可能又把之前學的給忘了。。。這又造成了死循環。所以想要學網安的可以先學滲透。在你體驗了樂趣之後，你就可以學習編程語言了。這時，學習編程語言的效果會更好。因為你知道你能做什麼，你應該寫什麼工具來提高你的效率！

先了解一些基本知識，協議、埠、資料庫、腳本語言、伺服器、中間件、操作系統等等，

接著是學習web安全，然後去靶場練習，再去注冊src挖漏洞實戰，

學習內網，接著學習PHP、python等、後面就學習代碼審計了，

最後還可以往硬體、APP、逆向、開發去學習等等

（圖片來自A1Pass）

網路安全學習實際上是個很漫長的過程，這時候你就可以先找工作，邊工邊學。

怎麼樣能先工作：

學完web安全，能夠完成基本的滲透測試流程，比較容易找到工作。估計6到10k

內網學完估計10-15k

代碼審計學完20-50k

紅隊表哥-薪資自己談

再來說說如果你是對滲透感興趣，想往安全方面走的，我這邊給你一些學習建議。

不管想學什麼，先看這個行業前景怎麼樣--

2017年我國網路安全人才缺口超70萬，國內3000所高校僅120所開設相關專業，年培養1萬-2萬人，加上10
-
20家社會機構，全國每年相關人才輸送量約為3萬，距離70萬缺口差距達95%，此外，2021年網路安全人才需求量直線增長，預計達到187萬，屆時，人才需求將飆升278%！

因為行業人才輸送與人才缺口的比例問題，網路安全對從業者經驗要求偏低，且多數對從業者學歷不設限。越來越多的行業從業者上升到一定階段便再難進步，很容易被新人取代，但網路安全與其他行業的可取代性不同，網路安全工程師將在未來幾十年都處於緊缺狀態，並且，對於防禦黑客攻擊，除了極少數人靠天分，經驗才是保證網路安全的第一法則。

其次，不管是什麼行業都好，引路人很重要，在你剛入門這個行業的時候，你需要向行業里最優秀的人看齊，並以他們為榜樣，一步一步走上優秀。

不管是學習什麼，學習方法很重要，當你去學習其他知識時候，

都可以根據我下面介紹的方法去學習：

四步學習法

一、學習

二、模仿

三、實戰

四、反思

說在前頭，不管是干什麼，找到好的引路人很重要，一個好老師能讓你少走很多彎路，然後邁開腳步往前沖就行。

第一步，找到相關資料去學習，你對這個都不了解，這是你之前沒接觸過的領域，不要想著一次就能聽懂，當然天才除外（狗頭滑稽），聽完之後就會有一定的了解。

第二步，模仿，模仿什麼，怎麼模仿？先模仿老師的操作，剛開始可能不知道啥意思，模仿兩遍就會懂一些了。

第三步，實戰，怎麼實戰？先去我們配套的靶場上練習，確定靶場都差不多之後，再去申請成為白帽子，先去挖公益src，記住，沒有授權的網站都是違法的。（師父領進門，判刑在個人）

第四部，反思，總結你所做的步驟，遇到的問題，都給記錄下來，這個原理你理解了嗎？還是只是還是在模仿的部分養成做筆記的習慣。

學習方式有了，接下來就是找到正確的引路人進行學習，一個好的引路人，一個完整的體系結構，能讓你事半功倍。

⑹ 無線網路有什麼安全措施呢

一、Open System
完全不認證也不加密，任何人都可以連到無線基地台使用網路。
二、WEP (Wired Equivalent Privacy) 有線等效加密
最基本的加密技術，手機用戶、筆記型計算機與無線網路的Access Point（網路金鑰AP）擁有相同的網路金鑰，才能解讀互相傳遞的數據。這金鑰分為64bits及128bits兩種，最多可設定四組不同的金鑰。當用戶端進入WLAN前必須輸入正確的金鑰才能進行連接。
WEP加密方法很脆弱。網路上每個客戶或者計算機都使用了相同的保密字，這種方法使網路偷聽者能刺探你的密鑰，偷走數據並且在網路上造成混亂。
三、WPA (Wi-Fi Protected Access) 商務寶採用的加密方式
由Wi-Fi Alliance (http://www.wi-fi.com/)所提出的無線安全標准，有分成家用的WPA-PSK (Pre-Shared Key)與企業用的WPA-Enterprise版本。
1、WPA-PSK
為了堵塞WEP的漏洞而發展的加密技術，使用方法與WEP相似。無線基地台與筆記型計算機必須設定相同的Key，計算機才可以連入基地台。但其進入WLAN時以更長片語或字串作為網路金鑰。並且WPA-PSK運用了TKIP (Temporal Key Integrity Protocol)技術，因此比WEP難被破解而更加安全。
WPA-PSK通過為每個客戶分配唯一的密鑰而工作，但需要給雇員密碼以便登陸系統。這樣，外部的人可通過他們享用網路資源。如果你希望修改密碼（建議每隔一段時間修改密碼以防止偷聽者解碼），你可能得跑到每台電腦前去輸入新的密碼。
2、WPA-Enterprise
採用IEEE 802.1x則需要有另一台儲存無線使用者賬戶數據的RADIUS (Remote Authentication Dial-In User Service)伺服器，當筆記型計算機連入無線基地台時，無線基地台會要求使用者輸入賬號密碼、或是自動向筆記型計算機索取儲存在計算機硬碟的使用者數字憑證，然後向RADIUS伺服器確認使用者的身分。而用來加密無線封包的加密金鑰(Key)，也是在認證的過程中自動產生，並且每一次聯機所產生的金鑰都不同(專業術語稱為Session Key)，因此非常難被破解。
用用戶名和密碼安全登陸網路後，每個客戶會自動得到一個唯一的密鑰，密鑰很長並且每隔一段時間就會被更新。這樣wi-Fi監聽者就不能獲取足夠的數據包來解碼密鑰。即使一個密鑰因為某種原因被解碼了，富於經驗的黑客有可能發現新的密鑰，但是加密鎖已經變了。
一但應用了WPA-Enterprise，不像WPA-PSK那樣，雇員將不會知道密碼。這樣，外部的人就不能通過他們享用網路資源。WPA-Enterprise還可以節約你大量的時間；你無需花費大量的時間去人工更換客戶的密碼。
四、WPA2
WPA2顧名思義就是WPA的加強版，也就是IEEE 802.11i無線網路標准。同樣有家用的PSK版本與企業的IEEE 802.1x版本。WPA2與WPA的差別在於，它使用更安全的加密技術AES (Advanced Encryption Standard)，因此比WPA更難被破解、更安全。
五、MAC ACL (Access Control List)
MAC ACL只能用於認證而不能用於加密。在無線基地台輸入允許被連入的無線網卡MAC地址，不在此清單的無線網卡無法連入無線基地台。
六、Web Redirection
這種方式是WISP (Wireless Internet Service Provider，例如統一安源WiFly)最常用的方式。無線基地台設定成Open System，但是另外在後台利用存取控制網關器(Access Control Gateway, ACG)，攔截筆記型計算機發出的Web封包(開啟瀏覽器嘗試上網)，並強制重導到認證網頁要求輸入賬號密碼，然後ACG向RADIUS認證伺服器來確認使用者的身分，認證通過才可以自由到其它的網站。

加密方式對比
WEP安全加密方式:WEP特性里使用了rsa數據安全性公司開發的rc4 prng演算法。全稱為有線對等保密(Wired Equivalent Privacy，WEP)是一種數據加密演算法，用於提供等同於有線區域網的保護能力。使用了該技術的無線區域網，所有客戶端與無線接入點的數據都會以一個共享的密鑰進行加密，密鑰的長度有40位至256位兩種，密鑰越長，黑客就需要更多的時間去進行破解，因此能夠提供更好的安全保護。
WPA安全加密方式:WPA加密即Wi-Fi Protected Access，其加密特性決定了它比WEP更難以入侵，所以如果對數據安全性有很高要求，那就必須選用WPA加密方式了(Windows XP SP2已經支持WPA加密方式)。 WPA作為IEEE 802.11通用的加密機制WEP的升級版，在安全的防護上比WEP更為周密，主要體現在身份認證、加密機制和數據包檢查等方面，而且它還提升了無線網路的管理能力。

WPA2：目前最強的無線加密技術,WPA2是WiFi聯盟驗證過的IEEE 802.11i標準的認證形式，WPA2實現了802.11i的強制性元素，特別是Michael演算法被公認徹底安全的CCMP(計數器模式密碼塊鏈消息完整碼協議)訊息認證碼所取代、而RC4加密演算法也被AES所取代。 在WPA/WPA2中，PTK的生成是依賴於PMK的，而PMK的方式有兩種，一種是PSK方式，也就是預共享密鑰模式(pre-shared key，PSK，又稱為個人模式)，在這種方式中PMK=PSK;而另一種方式則需要認證伺服器和站點進行協商來產生PMK。下面我們通過公式來看看WPA和WPA2的區別：WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(選擇性項目)/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(選擇性項目)/TKIP/CCMP

目前WPA2加密方式的安全防護能力非常出色，只要你的無線設備均支持WPA2加密，那你將體驗到最安全的無線網路生活。即使是目前最熱的「蹭網卡」也難以蹭入你的無線網路，用戶大可放心使用。