大一网络安全法笔记

⑴ 如何学习网络安全

Y4er由浅入深学习网络安全（超清视频）网络网盘

链接:

若资源有问题欢迎追问~

⑵ 求读书笔记：关于威胁移动终端设备安全以及如何保证移动终端在数据传输过程中的安全性

我的《信息保卫战》读书笔记：终端安全
终端安全是企业信息技术安全体系建设的服务对象和密集风险发生部分。 我们面临着多方面的挑战，需要釆用不同类型，不同层次，不同级别的安全措 施，实现终端安全。
一、挑战和威胁
1. 员工安全意识薄弱，企业安全策略难以实施，网络病毒泛滥
病毒、蠕虫和间谍软件等网络安全威胁损害客户利益并造成大量金钱和生 产率的损失。与此同时，移动设备的普及进一步加剧了威胁。移动用户能够从 家里或公共热点连接互联网或办公室网络，常在无意中轻易地感染病毒并将其 带进企业环境，进而感染网络。
据2010 CSI/FBI安全报告称，虽然安全技术多年来一直在发展，且安全技 术的实施更是耗资数百万美元，但病毒、蠕虫和其他形式的恶意软件仍然是各 机构现在面临的主要问题。机构每年遭遇的大量安全事故造成系统中断、收入 损失、数据损坏或毁坏以及生产率降低等问题，给机构带来了巨大的经济影响。
为了解决这些问题，很多企业都制定了企业的终端安全策略，规定终端必 须安装杀毒软件，以及及时更新病毒库；终端必须及时安装系统安全补丁；终 端必须设置强口令等。但是由于员工安全意识薄弱，企业的安全策略难以实施， 形同虚设，网络安全问题依然严重。
2. 非授权用户接入网络，重要信息泄露
非授权接入包括以下两个部分：
(1) 来自外部的非法用户，利用企业管理的漏洞，使用PC接入交换机， 获得网络访问的权限；然后冒用合法用户的口令以合法身份登录网站后，查看 机密信息，修改信息内容及破坏应用系统的运行。
(2) 来自内部的合法用户，随意访问网络中的关键资源，获取关键信息用 于非法的目的。
目前，企业使用的局域网是以以太网为基础的网络架构，只要插入网络， 就能够自由地访问整个网络。因非法接入和非授权访问导致企业业务系统的破 坏以及关键信息资产的泄露，已经成为了企业需要解决的重要风险。
3. 网络资源的不合理使用，工作效率下降，存在违反法律法规的风险
根据IDC最新数据报导，企事业员工平均每天有超过50%的上班时间用来 在线聊天，浏览娱乐、色情、赌博网站，或处理个人事务；员工从互联网下载 各种信息，而在那些用于下载信息的时间中，62%用于软件下载，11%用于下 载音乐，只有25%用于下载与写报告和文件相关的资料。
在国内，法律规定了很多网站是非法的，如有色情内容的、与反政府相关 的、与迷信和犯罪相关的等。使用宽带接入互联网后，企事业内部网络某种程 度上成了一种“公共”上网场所，很多与法律相违背的行为都有可能发生在内 部网络中。这些事情难以追查，给企业带来了法律法规方面的风险。
二、防护措施
目前，终端数据管理存在的问题主要表现在：数据管理工作难以形成制度 化，数据丢失现象时常发生；数据分散在不同的机器、不同的应用上，管理分 散，安全得不到保障；难以实现数据库数据的高效在线备份；存储媒体管理困 难，历史数据保留困难。
为此，我们从以下几个方面采取措施实现终端安全。
1. 数据备份
随着计算机数据系统建设的深入，数据变得越来越举足轻重，如何有效地 管理数据系统日益成为保障系统正常运行的关键环节。然而，数据系统上的数 据格式不一，物理位置分布广泛，应用分散，数据量大，造成了数据难以有效 的管理，这给日后的工作带来诸多隐患。因此，建立一套制度化的数据备份系 统有着非常重要的意义。
数据备份是指通过在数据系统中选定一台机器作为数据备份的管理服务 器，在其他机器上安装客户端软件，从而将整个数据系统的数据自动备份到与 备份服务器相连的储存设备上，并在备份服务器上为各个备份客户端建立相应 的备份数据的索引表，利用索引表自动驱动存储介质来实现数据的自动恢复。 若有意外事件发生，若系统崩溃、非法操作等，可利用数据备份系统进行恢复。 从可靠性角度考虑，备份数量最好大于等于2。
1) 数据备份的主要内容
(1) 跨平台数据备份管理：要支持各种操作系统和数据库系统；
(2) 备份的安全性与可靠性：双重备份保护系统，确保备份数据万无一失；
(3) 自动化排程/智能化报警：通过Mail/Broadcasting/Log产生报警；
(4) 数据灾难防治与恢复：提供指定目录/单个文件数据恢复。
2) 数据备份方案
每个计算环境的规模、体系结构、客户机平台和它支持的应用软件都各不 相同，其存储管理需求也会有所区别，所以要选择最适合自身环境的解决方案。 目前虽然没有统一的标准，但至少要具有以下功能：集成的客户机代理支持、 广泛的存储设备支持、高级介质管理、高级日程安排、数据完整性保证机制、 数据库保护。比如，华为公司的VIS数据容灾解决方案、HDP数据连续性保护 方案，HDS的TrueCopy方案，IBM的SVC方案等。
2. 全面可靠的防病毒体系
计算机病毒的防治要从防毒、查毒、解毒三方面来进行，系统对于计算机病 毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
由于企业数据系统环境非常复杂，它拥有不同的系统和应用。因此，对于 整个企业数据系统病毒的防治，要兼顾到各个环节，否则有某些环节存在问题， 则很可能造成整体防治的失败。因而，对于反病毒软件来说，需要在技术上做 得面面俱到，才能实现全面防毒。
由于数据系统病毒与单机病毒在本质上是相同的，都是人为编制的计算机 程序，因此反病毒的原理是一样的，但是由于数据系统具有的特殊复杂性，使 得对数据系统反病毒的要求不仅是防毒、查毒、杀毒，而且还要求做到与系统 的无缝链接。因为，这项技术是影响软件运行效率、全面查杀病毒的关键所在。 但是要做到无缝链接，必须充分掌握系统的底层协议和接口规范。
随着当代病毒技术的发展，病毒已经能够紧密地嵌入操作系统的深层，甚 至是内核之中。这种深层次的嵌入，为彻底杀除病毒造成了极大的困难，如果 不能确保在病毒被杀除的同时不破坏操作系统本身，那么，使用这种反病毒软 件也许会出现事与愿违的严重后果。无缝链接技术可以保证反病毒模块从底层 内核与各种操作系统、数据系统、硬件、应用环境密切协调，确保在病毒入侵 时，反病毒操作不会伤及操作系统内核，同时又能确保对来犯病毒的防杀。
VxD是微软专门为Windows制定的设备驱动程序接口规范。简而言之， VxD程序有点类似于DOS中的设备驱动程序，它是专门用于管理系统所加载 的各种设备。VxD不仅适用于硬件设备，而且由于它具有比其他类型应用程序 更高的优先级，更靠近系统底层资源，因此，在Windows操作系统下，反病毒 技术就需要利用VxD机制才有可能全面、彻底地控制系统资源，并在病毒入侵 时及时报警。而且，VxD技术与TSR技术有很大的不同，占用极少的内存，对 系统性能影响极小。
由于病毒具备隐蔽性，因此它会在不知不觉中潜入你的机器。如果不能抵 御这种隐蔽性，那么反病毒软件就谈不上防毒功能了。实时反病毒软件作为一 个任务，对进出计算机系统的数据进行监控，能够保证系统不受病毒侵害。同 时，用户的其他应用程序可作为其他任务在系统中并行运行，与实时反病毒任 务毫不冲突。因此，在Windows环境下，如果不能实现实时反病毒，那么也将 会为病毒入侵埋下隐患。针对这一特性，需要采取实时反病毒技术，保证在计 算机系统的整个工作过程中，能够随时防止病毒从外界入侵系统，从而全面提 高计算机系统的整体防护水平。
当前，大多数光盘上存放的文件和数据系统上传输的文件都是以压缩形式 存放的，而且情况很复杂。现行通用的压缩格式较多，有的压缩工具还将压缩 文件打包成一个扩展名为“.exe”的“自解压”可执行文件，这种自解压文件 可脱离压缩工具直接运行。对于这些压缩文件存在的复杂情况，如果反病毒软 件不能准确判断，或判断片面，那就不可避免地会留有查杀病毒的“死角”，为 病毒防治造成隐患。可通过全面掌握通用压缩算法和软件生产厂商自定义的压 缩算法，深入分析压缩文件的数据内容，而非采用简单地检查扩展文件名的方 法，实现对所有压缩文件的查毒杀毒功能。
对于数据系统病毒的防治来说，反病毒软件要能够做到全方位的防护，才 能对病毒做到密而不漏的查杀。对于数据系统病毒，除了对软盘、光盘等病毒 感染最普遍的媒介具备保护功能外，对于更为隐性的企业数据系统传播途径， 更应该把好关口。
当前，公司之间以及人与人之间电子通信方式的应用更为广泛。但是，随 着这种数据交换的增多，越来越多的病毒隐藏在邮件附件和数据库文件中进行
传播扩散。因此，反病毒软件应该对这一病毒传播通道具备有效控制的功能。
伴随数据系统的发展，在下载文件时，被感染病毒的机率正在呈指数级增 长。对这一传播更为广泛的病毒源，需要在下载文件中的病毒感染机器之前，
自动将之检测出来并给予清除，对压缩文件同样有效。
简言之，要综合采用数字免疫系统、监控病毒源技术、主动内核技术、“分 布式处理”技术、安全网管技术等措施，提高系统的抗病毒能力。
3. 安全措施之防火墙及数据加密
所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有两类，即标 准防火墙和双家M关。随着防火墙技术的进步，在双家N关的基础上又演化出 两种防火墙配置，一种是隐蔽主机网关，另一种是隐蔽智能网关（隐蔽子网）。 隐蔽主机网关是当前一种常见的防火墙配置。顾名思义，这种配置一方面将路 由器进行隐蔽，另一方面在互联N和内部N之间安装堡垒主机。堡垒主机装在 内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的唯 一系统。U前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关，它将 H关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服 务进行几乎透明的访问，同时阻止了外部未授权访问者对专用数据系统的非法 访问。一般来说，这种防火墙是最不容易被破坏的。
与防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数 据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。 随着信息技术的发展，数据系统安全与信息保密日益引起人们的关注。目前各 国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件 两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不 N,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥 管理技术四种。
4. 智能卡实施
与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是 密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它 一个口令或密码字。该密码与内部数据系统服务器上注册的密码一致。当口令 与身份特征共同使用时，智能卡的保密性能还是相当有效的。数据系统安全和 数据保护的这些防范措施都有-定的限度，并不是越安全就越可靠。因而，在 看一个内部网是杏安全时不仅要考察其手段，而更重要的是对该数据系统所采 取的各种措施，其中不光是物理防范，还有人员的素质等其他“软”因素，进 行综合评估，从而得出是否安全的结论。
另外，其他具体安全措施还包括数字认证、严谨有效的管理制度和高度警 惕的安全意识以及多级网管等措施。另外考虑到数据系统的业务连续，也需要 我们设计和部署必要的BCP计划。 
三、解决方案
解决终端安全问题的有效方法是结合端点安全状况信息和新型的网络准入 控制技术。
(1) 部署和实施网络准入控制，通过准入控制设备，能够有效地防范来自 非法终端对网络业务资源的访问，有效防范信息泄密。
(2) 通过准入控制设备，实现最小授权的访问控制，使得不同身份和角色 的员工，只能访问特定授权的业务系统，保护如财务系统企业的关键业务资源。
(3) 端点安全状态与网络准入控制技术相结合，阻止不安全的终端以及不 满足企业安全策略的终端接入网络，通过技术的手段强制实施企业的安全策略， 来减少网络安全事件，增强对企业安全制度的遵从。
加强事后审计，记录和控制终端对网络的访问，控制M络应用程序的使用， 敦促员工专注工作，减少企业在互联网访问的法律法规方面的风险，并且提供 责任回溯的手段。
1. 集中式组网方案
终端安全管理（Terminal Security Management, TSM)系统支持集中式组
网，把所有的控制服务器集中在一起，为网络中的终端提供接入控制和安全管 理功能。集中式组网方案如图9-3所示。

2. 分布式组网方案 如果遇到下面的情况，可能需要采用分布式组网方案，如图9-4所示。 
(1)终端相对集中在几个区域，而且区域之间的带宽比较小，由于代理与 服务器之间存在一定的流量，如果采用集中式部署，将会占用区域之间的带宽, 影响业务的提供。

(2)终端的规模相当大，可以考虑使用分布式组网，避免大量终端访问TSM 服务器，占用大量的网络带宽。
分布式部署的时候，TSM安全代理选择就近的控制服务器，获得身份认证 和准入控制等各项业务。
3. 分级式组网方案
如果网络规模超大，可以选择采用分级式组网方案，如图9-5所示。
在这种部署方案中，每个TSM结点都是一个独立的管理单元，承担独立的 用户管理、准入控制以及安全策略管理业务。管理中心负责制定总体的安全策 略，下发给各个TSM管理结点，并且对TSM管理结点实施情况进行监控。
TSM系统对于关键的用户认证数据库提供镜像备份机制，当主数据库发生 故障时，镜像数据库提供了备份的认证源，能够保证基本业务的提供，防止因 为单一数据源失效导致接入控制的网络故障。
当TSM系统发生严重故障，或者TSM系统所在的网络发生严重故障时， 用户可以根据业务的情况进行选择：业务优先/安全优先。
如果选择业务优先，准入控制设备（802.1X交换机除外）上设计的逃生通 道能够检测到TSM系统的严重故障，启用逃生通道，防止重要业务中断。
TSM终端安全管理系统提供服务器状态监控工具，通过该工具可以监控服 务器的运行状态，如数据库链接不上、SACG链接故障以及CPU/内存异常等。当 检查到服务器的状态异常时，可以通过邮件、短信等方式通知管理员及时处理。

四、终端虚拟化技术
1.传统的终端数据安全保护技术
1) DLP
(1) 工作方式：DLP (Data Loss Prevention,数据丢失防护）技术侧重于信 息泄密途径的防护，是能够通过深度内容分析对动态数据、静态数据和使用中 的数据进行鉴定、检测和保护的产品。可以在PC终端、网络、邮件服务器等 系统上针对信息内容层面的检测和防护，能够发现你的敏感数据存储的位置， 之后进行一定的处理方式，但也是有些漏洞的。
(2) 使用场景与限制：虽然DLP方案从灵活性、安全性、管理性上都满足 了数据安全的需求，但同样成功部署DLP方案需要有一个前提，就是其数据内 容匹配算法的误报率要足够低。然而，由于数据内容的表达方式千差万别，在 定义数据内容匹配规则的时候漏审率和误判率非常难平衡，无论是哪个厂商的 DLP产品，在实际测试过程中的误报率普遍都偏高，DLP方案的防护效果体验 并不好。
2) DRM
(1) 工作方式：DRM (Digital Right Management，数字权限管理）是加密
及元数据的结合，用于说明获准访问数据的用户，以及他们可以或不可以对数 据运行进行某些操作。DRM可决定数据的访问及使用方式，相当于随数据一 起移动的贴身保镖。权限包括读取、更改、剪切/粘贴、提交电子邮件、复制、 移动、保存到便携式保存设备及打印等操作。虽然DRM的功能非常强大，但 难以大规模实施。
(2) 使用场景与限制：DRM极其依赖手动运行，因此难以大规模实施。用 户必须了解哪些权限适用于哪种内容的用户，这样的复杂程度常使得员工忽略 DRM,并导致未能改善安全性的失败项冃。如同加密一样，企业在应用权限时 必须依赖人为的判断，因为DRM丄具不具备了解内容的功能。成功的DRM 部署通常只限于用户训练有素的小型工作组。由于存在此种复杂性，大型企业 通常并不适合部署DRM。但如同加密一样，可以使用DLP来专注于DRM， 并减少某些阻碍广泛部署的手动进程。
3) 全盘加密
(1) 工作方式：所谓全盘加密技术，一般是采用磁盘级动态加解密技术， 通过拦截操作系统或应用软件对磁盘数据的读/写请求，实现对全盘数据的实时 加解密，从而保护磁盘中所有文件的存储和使用安全，避免因便携终端或移动 设备丢失、存储设备报废和维修所带来的数据泄密风险。
(2) 使用场景与限制：与防水墙技术类似，全盘加密技术还是无法对不同 的涉密系统数据进行区别对待，不管是涉密文件还是普通文件，都进行加密存 储，无法支持正常的内外部文件交流。另外，全盘加密方案虽然能够从数据源 头上保障数据内容的安全性，但无法保障其自身的安全性和可靠性，一旦软件 系统损坏，所有的数据都将无法正常访问，对业务数据的可用性而言反而是一 种潜在的威胁。
上述传统安全技术是目前银行业都会部署的基础安全系统，这些安全系统 能够在某一个点上起到防护作用，然而尽管如此，数据泄密事件依然是屡禁不 止，可见银行业网络整体安全目前最人的威胁来源于终端安全上。而且部署这 么多的系统方案以后，用户体验不佳，不容易推广，因此并未达到预期的效果。 要彻底改变企业内网安全现状，必须部署更为有效的涉密系统数据防泄密方案。
2.数据保护的创新——终端虚拟化技术
为了能够在确保数据安全的前提下，提升用户的易用性和部署快速性，冃 前已经有部分企业开始使用终端虚拟化的技术来实现数据安全的保护。其中， 桌面/应用虚拟化技术以及基于安全沙盒技术的虚拟安全桌面就是两种比较常 见的方式。
1)桌面/应用虚拟化
桌面/应用虚拟化技术是基于服务器的计算模型，它将所有桌面虚拟机在数 据中心进行托管并统一管理。通过采购大量服务器，将CPU、存储器等硬件资 源进行集中建设，构建一个终端服务层，从而将桌面、应用以图像的方式发布 给终端用户。作为云计算的一种方式，由于所有的计算都放在服务器上，对终 端设备的要求将大大降低，不需要传统的台式计算机、笔记本式计算机，用户 可以通过客户端或者远程访问等方式获得与传统PC —致的用户体验，如图9-6 所示。

不过，虽然基于计算集中化模式的桌面虚拟化技术能够大大简化终端的管 理维护工作，能够很好地解决终端数据安全问题，但是也带来了服务端的部署 成本过大和管理成本提高等新问题。
(1) 所有的客户端程序进程都运行在终端服务器上，需要配置高性能的终 端服务器集群来均衡服务器的负载压力。
(2) 由于网络延迟、服务器性能、并发拥塞等客观因素影响，在桌面虚拟 化方案中，终端用户的使用体验大大低于物理计算机本地应用程序的使用体验。
(3) 计算集中化容易带来终端服务器的单点故障问题，需要通过终端服务 器的冗余备份来强化系统的稳定性。
(4) 桌面虚拟化方案中部署的大量终端服务器以及集中化的数据存储之间 的备份、恢复、迁移、维护、隔离等问题。
(5) 由于数据集中化，管理员的权限管理也需要列入考虑，毕竟让网络管 理员能够接触到银行业务部门的业务数据也是违背数据安全需求的。
(6) 桌面集中化方案提高了对网络的稳定性要求，无法满足离线办公的需求。
因此，此种方案在大规模部署使用时会遇到成本高、体验差的问题，如图
9-7所示。
2)防泄密安全桌面
为了解决桌面/应用虚拟化存在的问题，一种新的终端虚拟化技术——基r 沙盒的安全桌面被应用到了防泄密领域，如图9-8所示。
在不改变当前IT架构的情况下，充分利用本地PC的软、硬件资源，在本 地直接通过安全沙盒技术虚拟化了一个安全桌面，这个桌面可以理解为原有默 认桌面的一个备份和镜像，在安全桌面环境下运行的应用、数据、网络权限等 完全与默认桌面隔离，并且安全沙盒可以针对不同桌面之间进行细粒度的安全 控制，比如安全桌面下只能访问敏感业务系统，安全桌面内数据无法外发、复 制、打印、截屏，安全桌面内保存的文件加密存储等等。

这样一来，通过安全桌面+安全控制网关的联通配合，就可以确保用户只有 在防泄密安全桌面内进行了认证后才能访问核心敏感系统，实现了在终端的多 业务风险隔离，确保了终端的安全性。安全桌面虚拟化方案为用户提供了多个 虚拟的安全桌面，通过不同虚拟安全桌面相互隔离文件资源、网络资源、系统 资源等，可以让用户通过不同的桌面访问不同的业务资源。
比如为用户访问涉密业务系统提供了一个具有数据防泄露防护的防泄密安 全桌面，尽可能减少对用户使用习惯的影响，解决了物理隔离方案的易用性问 题，如图9-9所示。

基于沙盒的安全桌面方案的价值在于，在实现终端敏感业务数据防泄密的 前提下，不改变用户使用习惯，增强了易用性，还保护了用户的现有投资。目 前，防泄密安全桌面已经在金融、政府、企业等单位开始了广泛的应用，主要部署在CRM、ERP、设计图样等系统前端，以防止内部销售、供应链、财务等 人员的主动泄密行为。
但是安全桌面技术也有一定的局限性，比如它不适用于Java、C语言的代 码开发环境，存在一定兼容性的问题。
总而言之，两种终端虚拟化技术各有优劣，分别适用于不同的业务场景，具体可以参照图9-10。

⑶ 计算机网络自学笔记:TCP

如果你在学习这门课程，仅仅为了理解网络工作原理，那么只要了解TCP是可靠传输，数据传输丢失时会重传就可以了。如果你还要参加研究生考试或者公司面试等，那么下面内容很有可能成为考查的知识点，主要的重点是序号/确认号的编码、超时定时器的设置、可靠传输和连接的管理。

1 TCP连接

TCP面向连接，在一个应用进程开始向另一个应用进程发送数据之前，这两个进程必须先相互“握手”，即它们必须相互发送某些预备报文段，以建立连接。连接的实质是双方都初始化与连接相关的发送/接收缓冲区，以及许多TCP状态变量。

这种“连接”不是一条如电话网络中端到端的电路，因为它们的状态完全保留在两个端系统中。

TCP连接提供的是全双工服务 ，应用层数据就可在从进程B流向进程A的同时，也从进程A流向进程B。

TCP连接也总是点对点的 ，即在单个发送方与单个接收方之间建立连接。

一个客户机进程向服务器进程发送数据时，客户机进程通过套接字传递数据流。

客户机操作系统中运行的 TCP软件模块首先将这些数据放到该连接的发送缓存里 ，然后会不时地从发送缓存里取出一块数据发送。

TCP可从缓存中取出并放入报文段中发送的数据量受限于最大报文段长MSS，通常由最大链路层帧长度来决定(也就是底层的通信链路决定)。 例如一个链路层帧的最大长度1500字节，除去数据报头部长度20字节，TCP报文段的头部长度20字节，MSS为1460字节。

报文段被往下传给网络层，网络层将其封装在网络层IP数据报中。然后这些数据报被发送到网络中。

当TCP在另一端接收到一个报文段后，该报文段的数据就被放人该连接的接收缓存中。应用程序从接收缓存中读取数据流(注意是应用程序来读，不是操作系统推送)。

TCP连接的每一端都有各自的发送缓存和接收缓存。

因此TCP连接的组成包括:主机上的缓存、控制变量和与一个进程连接的套接字变量名，以及另一台主机上的一套缓存、控制变量和与一个进程连接的套接字。

在这两台主机之间的路由器、交换机中，没有为该连接分配任何缓存和控制变量。

2报文段结构

TCP报文段由首部字段和一个数据字段组成。数据字段包含有应用层数据。

由于MSS限制了报文段数据字段的最大长度。当TCP发送一个大文件时，TCP通常是将文件划分成长度为MSS的若干块。

TCP报文段的结构。

首部包括源端口号和目的端口号，它用于多路复用/多路分解来自或送至上层应用的数据。另外，TCP首部也包括校验和字段。报文段首部还包含下列字段:

32比特的序号字段和32比特的确认号字段。这些字段被TCP发送方和接收方用来实现可靠数据传输服务。

16比特的接收窗口字段，该字段用于流量控制。该字段用于指示接收方能够接受的字节数量。

4比特的首部长度字段,该字段指示以32比特的字为单位的TCP首部长度。一般TCP首部的长度就是20字节。

可选与变长的选项字段,该字段用于当发送方与接收方协商最大报文段长度，或在高速网络环境下用作窗口调节因子时使用。

标志字段ACK比特用于指示确认字段中的ACK值的有效性，即该报文段包括一个对已被成功接收报文段的确认。 SYN和FIN比特用于连接建立和拆除。 PSH、URG和紧急指针字段通常没有使用。

•序号和确认号

TCP报文段首部两个最重要的字段是序号字段和确认号字段。

TCP把数据看成一个无结构的但是有序的字节流。TCP序号是建立在传送的字节流之上，而不是建立在传送的报文段的序列之上。

一个报文段的序号是该报文段首字节在字节流中的编号。

例如，假设主机A上的一个进程想通过一条TCP连接向主机B上的一个进程发送一个数据流。主机A中的TCP将对数据流中的每一个字节进行编号。假定数据流由一个包含4500字节的文件组成(可以理解为应用程序调用send函数传递过来的数据长度)，MSS为1000字节(链路层一次能够传输的字节数)，如果主机决定数据流的首字节编号是7。TCP模块将为该数据流构建5个报文段(也就是分5个IP数据报)。第一个报文段的序号被赋为7;第二个报文段的序号被赋为1007,第三个报文段的序号被赋为2007，以此类推。前面4个报文段的长度是1000，最后一个是500。

确认号要比序号难理解一些。前面讲过，TCP是全双工的，因此主机A在向主机B发送数据的同时，也可能接收来自主机B的数据。从主机B到达的每个报文段中的序号字段包含了从B流向A的数据的起始位置。 因此主机B填充进报文段的确认号是主机B期望从主机A收到的下一报文段首字节的序号。

假设主机B已收到了来自主机A编号为7-1006的所有字节，同时假设它要发送一个报文段给主机A。主机B等待主机A的数据流中字节1007及后续所有字节。所以，主机B会在它发往主机A的报文段的确认号字段中填上1007。

再举一个例子，假设主机B已收到一个来自主机A的包含字节7-1006的报文段，以及另一个包含字节2007-3006的报文段。由于某种原因，主机A还没有收到字节1007-2006的报文段。

在这个例子中，主机A为了重组主机B的数据流，仍在等待字节1007。因此，A在收到包含字节2007-3006的报文段时，将会又一次在确认号字段中包含1007。 因为TCP只确认数据流中至第一个丢失报文段之前的字节数据，所以TCP被称为是采用累积确认。

TCP的实现有两个基本的选择:

1接收方立即丢弃失序报文段;

2接收方保留失序的字节，并等待缺少的字节以填补该间隔。

一条TCP连接的双方均可随机地选择初始序号。 这样做可以减少将那些仍在网络中的来自两台主机之间先前连接的报文段，误认为是新建连接所产生的有效报文段的可能性。

•例子telnet

Telnet由是一个用于远程登录的应用层协议。它运行在TCP之上，被设计成可在任意一对主机之间工作。

假设主机A发起一个与主机B的Telnet会话。因为是主机A发起该会话，因此主机A被标记为客户机，主机B被标记为服务器。用户键入的每个字符(在客户机端)都会被发送至远程主机。远程主机收到后会复制一个相同的字符发回客户机，并显示在Telnet用户的屏幕上。这种“回显”用于确保由用户发送的字符已经被远程主机收到并处理。因此，在从用户击键到字符显示在用户屏幕上之间的这段时间内，每个字符在网络中传输了两次。

现在假设用户输入了一个字符“C”，假设客户机和服务器的起始序号分别是42和79。前面讲过，一个报文段的序号就是该报文段数据字段首字节的序号。因此，客户机发送的第一个报文段的序号为42，服务器发送的第一个报文段的序号为79。前面讲过，确认号就是主机期待的数据的下一个字节序号。在TCP连接建立后但没有发送任何数据之前，客户机等待字节79，而服务器等待字节42。

如图所示，共发了3个报文段。第一个报文段是由客户机发往服务器，其数据字段里包含一字节的字符“C”的ASCII码，其序号字段里是42。另外，由于客户机还没有接收到来自服务器的任何数据，因此该报文段中的确认号字段里是79。

第二个报文段是由服务器发往客户机。它有两个目的:第一个目的是为服务器所收到的数据提供确认。服务器通过在确认号字段中填入43，告诉客户机它已经成功地收到字节42及以前的所有字节，现在正等待着字节43的出现。第二个目的是回显字符“C”。因此，在第二个报文段的数据字段里填入的是字符“C”的ASCII码，第二个报文段的序号为79，它是该TCP连接上从服务器到客户机的数据流的起始序号，也是服务器要发送的第一个字节的数据。

这里客户机到服务器的数据的确认被装载在一个服务器到客户机的数据的报文段中，这种确认被称为是捎带确认.

第三个报文段是从客户机发往服务器的。它的唯一目的是确认已从服务器收到的数据。

3往返时延的估计与超时

TCP如同前面所讲的rdt协议一样，采用超时/重传机制来处理报文段的丢失问题。最重要的一个问题就是超时间隔长度的设置。显然，超时间隔必须大于TCP连接的往返时延RTT，即从一个报文段发出到收到其确认时。否则会造成不必要的重传。

•估计往返时延

TCP估计发送方与接收方之间的往返时延是通过采集报文段的样本RTT来实现的，就是从某报文段被发出到对该报文段的确认被收到之间的时间长度。

也就是说TCP为一个已发送的但目前尚未被确认的报文段估计sampleRTT，从而产生一个接近每个RTT的采样值。但是，TCP不会为重传的报文段计算RTT。

为了估计一个典型的RTT，采取了某种对RTT取平均值的办法。TCP据下列公式来更新

EstimatedRTT=(1-)*EstimatedRTT+*SampleRTT

即估计RTT的新值是由以前估计的RTT值与sampleRTT新值加权组合而成的。

参考值是a=0.125，因此是一个加权平均值。显然这个加权平均对最新样本赋予的权值

要大于对老样本赋予的权值。因为越新的样本能更好地反映出网络当前的拥塞情况。从统计学观点来讲，这种平均被称为指数加权移动平均

除了估算RTT外，还需要测量RTT的变化，RTT偏差的程度，因为直接使用平均值设置计时器会有问题(太灵敏)。

DevRTT=(1-β)*DevRTT+β*|SampleRTT-EstimatedRTT|

RTT偏差也使用了指数加权移动平均。B取值0.25.

•设置和管理重传超时间隔

假设已经得到了估计RTT值和RTT偏差值，那么TCP超时间隔应该用什么值呢?TCP将超时间隔设置成大于等于估计RTT值和4倍的RTT偏差值,否则将造成不必要的重传。但是超时间隔也不应该比估计RTT值大太多，否则当报文段丢失时，TCP不能很快地重传该报文段，从而将给上层应用带来很大的数据传输时延。因此，要求将超时间隔设为估计RTT值加上一定余量。当估计RTT值波动较大时，这个余最应该大些;当波动比较小时，这个余量应该小些。因此使用4倍的偏差值来设置重传时间。

TimeoutInterval=EstimatedRTT+4*DevRTT

4可信数据传输

因特网的网络层服务是不可靠的。IP不保证数据报的交付，不保证数据报的按序交付，也不保证数据报中数据的完整性。

TCP在IP不可靠的尽力而为服务基础上建立了一种可靠数据传输服务。

TCP提供可靠数据传输的方法涉及前面学过的许多原理。

TCP采用流水线协议、累计确认。

TCP推荐的定时器管理过程使用单一的重传定时器，即使有多个已发送但还未被确认的报文段也一样。重传由超时和多个ACK触发。

在TCP发送方有3种与发送和重传有关的主要事件:从上层应用程序接收数据，定时器超时和收到确认ACK。

从上层应用程序接收数据。一旦这个事件发生，TCP就从应用程序接收数据，将数据封装在一个报文段中，并将该报文段交给IP。注意到每一个报文段都包含一个序号，这个序号就是该报文段第一个数据字节的字节流编号。如果定时器还没有计时，则当报文段被传给IP时，TCP就启动一个该定时器。

第二个事件是超时。TCP通过重传引起超时的报文段来响应超时事件。然后TCP重启定时器。

第三个事件是一个来自接收方的确认报文段(ACK)。当该事件发生时，TCP将ACK的值y与变量SendBase(发送窗口的基地址)进行比较。TCP状态变量SendBase是最早未被确认的字节的序号。就是指接收方已正确按序接收到数据的最后一个字节的序号。TCP采用累积确认，所以y确认了字节编号在y之前的所有字节都已经收到。如果Y>SendBase,则该ACK是在确认一个或多个先前未被确认的报文段。因此发送方更新其SendBase变量，相当于发送窗口向前移动。

另外，如果当前有未被确认的报文段，TCP还要重新启动定时器。

快速重传

超时触发重传存在的另一个问题是超时周期可能相对较长。当一个报文段丢失时，这种长超时周期迫使发送方等待很长时间才重传丢失的分组，因而增加了端到端时延。所以通常发送方可在超时事件发生之前通过观察冗余ACK来检测丢包情况。

冗余ACK就是接收方再次确认某个报文段的ACK，而发送方先前已经收到对该报文段的确认。

当TCP接收方收到一个序号比所期望的序号大的报文段时，它认为检测到了数据流中的一个间隔，即有报文段丢失。这个间隔可能是由于在网络中报文段丢失或重新排序造成的。因为TCP使用累计确认，所以接收方不向发送方发回否定确认，而是对最后一个正确接收报文段进行重复确认(即产生一个冗余ACK)

如果TCP发送方接收到对相同报文段的3个冗余ACK.它就认为跟在这个已被确认过3次的报文段之后的报文段已经丢失。一旦收到3个冗余ACK，TCP就执行快速重传 ，

即在该报文段的定时器过期之前重传丢失的报文段。

5流量控制

前面讲过，一条TCP连接双方的主机都为该连接设置了接收缓存。当该TCP连接收到正确、按序的字节后，它就将数据放入接收缓存。相关联的应用进程会从该缓存中读取数据，但没必要数据刚一到达就立即读取。事实上，接收方应用也许正忙于其他任务，甚至要过很长时间后才去读取该数据。如果应用程序读取数据时相当缓慢，而发送方发送数据太多、太快，会很容易使这个连接的接收缓存溢出。

TCP为应用程序提供了流量控制服务以消除发送方导致接收方缓存溢出的可能性。因此，可以说 流量控制是一个速度匹配服务，即发送方的发送速率与接收方应用程序的读速率相匹配。

前面提到过，TCP发送方也可能因为IP网络的拥塞而被限制，这种形式的发送方的控制被称为拥塞控制(congestioncontrol)。

TCP通过让接收方维护一个称为接收窗口的变量来提供流量控制。接收窗口用于告诉发送方，该接收方还有多少可用的缓存空间。因为TCP是全双工通信，在连接两端的发送方都各自维护一个接收窗口变量。 主机把当前的空闲接收缓存大小值放入它发给对方主机的报文段接收窗口字段中，通知对方它在该连接的缓存中还有多少可用空间。

6 TCP连接管理

客户机中的TCP会用以下方式与服务器建立一条TCP连接:

第一步: 客户机端首先向服务器发送一个SNY比特被置为1报文段。该报文段中不包含应用层数据，这个特殊报文段被称为SYN报文段。另外，客户机会选择一个起始序号，并将其放置到报文段的序号字段中。为了避免某些安全性攻击，这里一般随机选择序号。

第二步: 一旦包含TCP报文段的用户数据报到达服务器主机，服务器会从该数据报中提取出TCPSYN报文段，为该TCP连接分配TCP缓存和控制变量，并向客户机TCP发送允许连接的报文段。这个允许连接的报文段还是不包含应用层数据。但是，在报文段的首部却包含3个重要的信息。

首先，SYN比特被置为1。其次，该 TCP报文段首部的确认号字段被置为客户端序号+1最后，服务器选择自己的初始序号，并将其放置到TCP报文段首部的序号字段中。 这个允许连接的报文段实际上表明了:“我收到了你要求建立连接的、带有初始序号的分组。我同意建立该连接，我自己的初始序号是XX”。这个同意连接的报文段通常被称为SYN+ACK报文段。

第三步: 在收到SYN+ACK报文段后，客户机也要给该连接分配缓存和控制变量。客户机主机还会向服务器发送另外一个报文段，这个报文段对服务器允许连接的报文段进行了确认。因为连接已经建立了，所以该ACK比特被置为1，称为ACK报文段，可以携带数据。

一旦以上3步完成，客户机和服务器就可以相互发送含有数据的报文段了。

为了建立连接，在两台主机之间发送了3个分组，这种连接建立过程通常被称为 三次握手(SNY、SYN+ACK、ACK，ACK报文段可以携带数据) 。这个过程发生在客户机connect()服务器，服务器accept()客户连接的阶段。

假设客户机应用程序决定要关闭该连接。(注意，服务器也能选择关闭该连接)客户机发送一个FIN比特被置为1的TCP报文段，并进人FINWAIT1状态。

当处在FINWAIT1状态时，客户机TCP等待一个来自服务器的带有ACK确认信息的TCP报文段。当它收到该报文段时，客户机TCP进入FINWAIT2状态。

当处在FINWAIT2状态时，客户机等待来自服务器的FIN比特被置为1的另一个报文段，

收到该报文段后，客户机TCP对服务器的报文段进行ACK确认，并进入TIME_WAIT状态。TIME_WAIT状态使得TCP客户机重传最终确认报文，以防该ACK丢失。在TIME_WAIT状态中所消耗的时间是与具体实现有关的，一般是30秒或更多时间。

经过等待后，连接正式关闭，客户机端所有与连接有关的资源将被释放。 因此TCP连接的关闭需要客户端和服务器端互相交换连接关闭的FIN、ACK置位报文段。

⑷ 浜哄伐鏅鸿兘瀹夊叏绗旇帮纸1锛夋傝

寮曡█</

鍦ㄦ暟瀛楀寲镞朵唬锛屼汉宸ユ櫤鑳斤纸AI锛夌殑骞挎硾搴旂敤甯︽潵浜嗗墠镓链链夌殑渚垮埄锛屼絾钖屾椂涔熷偓鐢熶简鏂扮殑瀹夊叏鎸戞垬銆傛暟鎹娉勯湶銆佹劅鐭ユ洪獥锛屼互鍙婂规姉镙锋湰鏀诲嚮锛岃繖浜涢梾棰樻ｉ愭笎鎴愪负AI瀹夊叏棰嗗烟镄勭剑镣广傛湰鏂囧皢娣卞叆鎺㈣ˋI瀹夊叏镄勫悇涓鏂归溃锛屼粠鏁版嵁銆佹ā鍨嫔埌绯荤粺鏋舵瀯锛屾彮绀哄叾鍏抽敭濞佽儊骞舵彁鍑哄簲瀵圭瓥鐣ャ

濞佽儊瀹炰緥涓庡垎绫</

Facebook镄勬暟鎹娉勯湶浜嬩欢鎻绀轰简鏁版嵁瀹夊叏镄勯吨瑕佹э纴钥孖BM镄勪汉鑴歌瘑鍒链缁忚稿彲鍜孏PT-3璁缁冩暟鎹姹℃煋浜嬩欢鍒欐樉绀轰简妯″瀷瀹夊叏镄勮剢寮辨с傚规姉镙锋湰鏀诲嚮锛屽傚规姉镐ц创绾歌瀵肩洰镙囨娴嬶纴鎴栭┚椹剁郴缁熷洜镓板姩钥屽け鏁堬纴濞佽儊镌AI镄勬墽琛岄桩娈点侫I瀹夊叏鍙浠ョ粏鍒嗕负澶氢釜鏂归溃锛

• 鏁版嵁瀹夊叏</: 鎶曟瘨鏀诲嚮濡俌ao et al.锛2019锛夌殑镰旂┒锛屼互鍙婂睘镐ф帹鏂濡俍hou & Chen锛2022锛夌殑鎺㈣锛屽𪾢绀轰简鏁版嵁姹℃煋鍜岄殣绉佹硠闇茬殑涓ラ吨镐с


• 妯″瀷瀹夊叏</: 瀵规姉镙锋湰锛圙oodfellow绛夛纴2014锛夌殑鐢熸垚鍜岀獌鍙栵纴浠ュ强鐗堟潈璇佹槑镄勬写鎴桡纴寮鸿皟浜嗘ā鍨嬬殑淇濇姢闇姹伞


• 鐜澧冨畨鍏</: 链嶅姟鍣ㄥ畨鍏ㄩ梾棰树笉瀹瑰拷瑙嗭纴阒叉㈡ā鍨嬮冮告敾鍑诲拰鏁版嵁姹℃煋銆

AI鐢熷懡锻ㄦ湡涓镄勫畨鍏ㄥ▉鑳</

浠庤捐″埌镓ц岋纴AI镄勬疮涓涓阒舵甸兘鍙鑳介溃涓村畨鍏ㄩ梾棰樸傝捐￠桩娈电殑鏁版嵁锅忚佸彲鑳藉艰嚧涓嶅叕骞筹纴璁缁冮桩娈电殑鏁版嵁鎶曟瘨鍜屽悗闂ㄦ敾鍑诲▉鑳佹ā鍨嬬殑鍙鐢ㄦу拰瀹屾暣镐с傛墽琛岄桩娈碉纴瀵规姉鏀诲嚮鍜屾垚锻樻帹鏂鍙鑳芥彮绀烘晱镒熶俊鎭锛屾写鎴樻ā鍨嬬殑椴佹掓у拰闅愮佹с

绯荤粺鏋舵瀯涓庡畨鍏ㄨ佺礌</

AI绯荤粺鐢辩‖浠躲佹搷浣灭郴缁熴佹嗘灦鍜岀畻娉曟瀯寤猴纴鍏朵腑淇濆瘑镐э纸淇濇姢鏁版嵁鍜屾ā鍨嬶级銆佸畬鏁存э纸阒叉㈢℃敼锛夈侀瞾妫掓э纸搴斿瑰共镓帮级銆佸彲瑙ｉ喷镐э纸阃忔槑搴︼级鍜岄殣绉佹э纸淇濇姢鐢ㄦ埛鏁版嵁锛夋槸鍏抽敭銆傚叕骞虫у垯纭淇濈畻娉曞喅绛栫殑鍏姝ｆэ纴娑堥櫎娼滃湪镄勫亸瑙併

娉曞緥娉曡勪笌镰旂┒瓒嫔娍</

闅忕潃锲藉唴濡傜绣缁滃畨鍏ㄦ硶銆佹暟鎹瀹夊叏娉曞拰涓淇濇硶镄勫嚭鍙帮纴AI瀹夊叏鎴愪负浜嗘硶瑙勫叧娉ㄧ殑铹︾偣銆傚︽湳鐣岀殑镰旂┒鐑镣瑰寘𨰾瀵规姉镙锋湰銆佹暟鎹鎶曟瘨銆佹ā鍨嬭В閲婃с佽仈闾﹀︿範锛堥殣绉佷缭鎶わ级鍜屾繁搴︿吉阃犳娴嬬瓑銆傝仈闾﹀︿範鍦ㄤ缭鎶ら殣绉佹柟闱㈣〃鐜扮獊鍑猴纴宸鍒嗛殣绉佹妧链淇濇姢妯″瀷璁缁冿纴娣卞害浼阃犳娴嬫妧链鐢ㄤ簬镓揿嚮缃戠粶璇堥獥銆

缁撹涓庡悗缁鎺㈢储</

浜哄伐鏅鸿兘瀹夊叏鏄涓涓锷ㄦ佷笖澶嶆潅镄勯嗗烟锛岄渶瑕佹寔缁鍏虫敞鍜屾繁鍏ョ爷绌躲傞氲繃鐞呜В杩欎簺濞佽儊鍜岄槻鎶ょ瓥鐣ワ纴鎴戜滑鑳芥洿濂藉湴淇濇姢AI绯荤粺镄勭ǔ锅ヨ繍琛屻傛帴涓嬫潵镄勬枃绔犲皢镟存繁鍏ュ湴鎺㈣ㄨ繖浜涜棰树互鍙婄浉鍏崇殑瑙ｅ喅鏂规堬纴鏁璇锋湡寰呫

⑸ 网络安全如何入门

零基础、转专业、跨行等等都可以总结为，零基础或者有一点基础的想转网络安全方向该如何学习。

要成为一名黑客，实战是必要的。安全技术这一块儿的核心，说白了60%都是实战，是需要实际操作。

如果你选择自学，需要一个很强大的一个坚持毅力的,还有钻研能力，大部分人是东学一块西学一块儿，不成体系化的纸上谈兵的学习。许多人选择自学，但他们不知道学什么。

再来说说，先学编程还是渗透，

很多人说他们想学编程，但是在你学了编程之后。会发现离黑客越来越远了。。。

如果你是计算机专业的，之前也学过编程、网络等等，这些对于刚入门去学渗透就已经够了，你刚开始没必要学那么深，有一定了解之后再去学习。如果是转专业、零基础的可以看我下面的链接，跟着公开课去学习。

B站有相关零基础入门网络安全的视频

快速入门

另外说一句，渗透是个立马可以见效的东西，满足了你的多巴胺，让你看到效果，你也更有动力去学。

举个栗子：你去打游戏，杀了敌人，是不是很舒服，有了反馈，满足了你的多巴胺。

编程这玩意，周期太长，太容易劝退了，说句不好听的，你学了三个月，可能又把之前学的给忘了。。。这又造成了死循环。所以想要学网安的可以先学渗透。在你体验了乐趣之后，你就可以学习编程语言了。这时，学习编程语言的效果会更好。因为你知道你能做什么，你应该写什么工具来提高你的效率！

先了解一些基本知识，协议、端口、数据库、脚本语言、服务器、中间件、操作系统等等，

接着是学习web安全，然后去靶场练习，再去注册src挖漏洞实战，

学习内网，接着学习PHP、python等、后面就学习代码审计了，

最后还可以往硬件、APP、逆向、开发去学习等等

（图片来自A1Pass）

网络安全学习实际上是个很漫长的过程，这时候你就可以先找工作，边工边学。

怎么样能先工作：

学完web安全，能够完成基本的渗透测试流程，比较容易找到工作。估计6到10k

内网学完估计10-15k

代码审计学完20-50k

红队表哥-薪资自己谈

再来说说如果你是对渗透感兴趣，想往安全方面走的，我这边给你一些学习建议。

不管想学什么，先看这个行业前景怎么样--

2017年我国网络安全人才缺口超70万，国内3000所高校仅120所开设相关专业，年培养1万-2万人，加上10
-
20家社会机构，全国每年相关人才输送量约为3万，距离70万缺口差距达95%，此外，2021年网络安全人才需求量直线增长，预计达到187万，届时，人才需求将飙升278%！

因为行业人才输送与人才缺口的比例问题，网络安全对从业者经验要求偏低，且多数对从业者学历不设限。越来越多的行业从业者上升到一定阶段便再难进步，很容易被新人取代，但网络安全与其他行业的可取代性不同，网络安全工程师将在未来几十年都处于紧缺状态，并且，对于防御黑客攻击，除了极少数人靠天分，经验才是保证网络安全的第一法则。

其次，不管是什么行业都好，引路人很重要，在你刚入门这个行业的时候，你需要向行业里最优秀的人看齐，并以他们为榜样，一步一步走上优秀。

不管是学习什么，学习方法很重要，当你去学习其他知识时候，

都可以根据我下面介绍的方法去学习：

四步学习法

一、学习

二、模仿

三、实战

四、反思

说在前头，不管是干什么，找到好的引路人很重要，一个好老师能让你少走很多弯路，然后迈开脚步往前冲就行。

第一步，找到相关资料去学习，你对这个都不了解，这是你之前没接触过的领域，不要想着一次就能听懂，当然天才除外（狗头滑稽），听完之后就会有一定的了解。

第二步，模仿，模仿什么，怎么模仿？先模仿老师的操作，刚开始可能不知道啥意思，模仿两遍就会懂一些了。

第三步，实战，怎么实战？先去我们配套的靶场上练习，确定靶场都差不多之后，再去申请成为白帽子，先去挖公益src，记住，没有授权的网站都是违法的。（师父领进门，判刑在个人）

第四部，反思，总结你所做的步骤，遇到的问题，都给记录下来，这个原理你理解了吗？还是只是还是在模仿的部分养成做笔记的习惯。

学习方式有了，接下来就是找到正确的引路人进行学习，一个好的引路人，一个完整的体系结构，能让你事半功倍。

⑹ 无线网络有什么安全措施呢

一、Open System
完全不认证也不加密，任何人都可以连到无线基地台使用网络。
二、WEP (Wired Equivalent Privacy) 有线等效加密
最基本的加密技术，手机用户、笔记型计算机与无线网络的Access Point（网络金钥AP）拥有相同的网络金钥，才能解读互相传递的数据。这金钥分为64bits及128bits两种，最多可设定四组不同的金钥。当用户端进入WLAN前必须输入正确的金钥才能进行连接。
WEP加密方法很脆弱。网络上每个客户或者计算机都使用了相同的保密字，这种方法使网络偷听者能刺探你的密钥，偷走数据并且在网络上造成混乱。
三、WPA (Wi-Fi Protected Access) 商务宝采用的加密方式
由Wi-Fi Alliance (http://www.wi-fi.com/)所提出的无线安全标准，有分成家用的WPA-PSK (Pre-Shared Key)与企业用的WPA-Enterprise版本。
1、WPA-PSK
为了堵塞WEP的漏洞而发展的加密技术，使用方法与WEP相似。无线基地台与笔记型计算机必须设定相同的Key，计算机才可以连入基地台。但其进入WLAN时以更长词组或字串作为网络金钥。并且WPA-PSK运用了TKIP (Temporal Key Integrity Protocol)技术，因此比WEP难被破解而更加安全。
WPA-PSK通过为每个客户分配唯一的密钥而工作，但需要给雇员密码以便登陆系统。这样，外部的人可通过他们享用网络资源。如果你希望修改密码（建议每隔一段时间修改密码以防止偷听者解码），你可能得跑到每台电脑前去输入新的密码。
2、WPA-Enterprise
采用IEEE 802.1x则需要有另一台储存无线使用者账户数据的RADIUS (Remote Authentication Dial-In User Service)服务器，当笔记型计算机连入无线基地台时，无线基地台会要求使用者输入账号密码、或是自动向笔记型计算机索取储存在计算机硬盘的使用者数字凭证，然后向RADIUS服务器确认使用者的身分。而用来加密无线封包的加密金钥(Key)，也是在认证的过程中自动产生，并且每一次联机所产生的金钥都不同(专业术语称为Session Key)，因此非常难被破解。
用用户名和密码安全登陆网络后，每个客户会自动得到一个唯一的密钥，密钥很长并且每隔一段时间就会被更新。这样wi-Fi监听者就不能获取足够的数据包来解码密钥。即使一个密钥因为某种原因被解码了，富于经验的黑客有可能发现新的密钥，但是加密锁已经变了。
一但应用了WPA-Enterprise，不像WPA-PSK那样，雇员将不会知道密码。这样，外部的人就不能通过他们享用网络资源。WPA-Enterprise还可以节约你大量的时间；你无需花费大量的时间去人工更换客户的密码。
四、WPA2
WPA2顾名思义就是WPA的加强版，也就是IEEE 802.11i无线网络标准。同样有家用的PSK版本与企业的IEEE 802.1x版本。WPA2与WPA的差别在于，它使用更安全的加密技术AES (Advanced Encryption Standard)，因此比WPA更难被破解、更安全。
五、MAC ACL (Access Control List)
MAC ACL只能用于认证而不能用于加密。在无线基地台输入允许被连入的无线网卡MAC地址，不在此清单的无线网卡无法连入无线基地台。
六、Web Redirection
这种方式是WISP (Wireless Internet Service Provider，例如统一安源WiFly)最常用的方式。无线基地台设定成Open System，但是另外在后台利用存取控制网关器(Access Control Gateway, ACG)，拦截笔记型计算机发出的Web封包(开启浏览器尝试上网)，并强制重导到认证网页要求输入账号密码，然后ACG向RADIUS认证服务器来确认使用者的身分，认证通过才可以自由到其它的网站。

加密方式对比
WEP安全加密方式:WEP特性里使用了rsa数据安全性公司开发的rc4 prng算法。全称为有线对等保密(Wired Equivalent Privacy，WEP)是一种数据加密算法，用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥的长度有40位至256位两种，密钥越长，黑客就需要更多的时间去进行破解，因此能够提供更好的安全保护。
WPA安全加密方式:WPA加密即Wi-Fi Protected Access，其加密特性决定了它比WEP更难以入侵，所以如果对数据安全性有很高要求，那就必须选用WPA加密方式了(Windows XP SP2已经支持WPA加密方式)。 WPA作为IEEE 802.11通用的加密机制WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。

WPA2：目前最强的无线加密技术,WPA2是WiFi联盟验证过的IEEE 802.11i标准的认证形式，WPA2实现了802.11i的强制性元素，特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代、而RC4加密算法也被AES所取代。 在WPA/WPA2中，PTK的生成是依赖于PMK的，而PMK的方式有两种，一种是PSK方式，也就是预共享密钥模式(pre-shared key，PSK，又称为个人模式)，在这种方式中PMK=PSK;而另一种方式则需要认证服务器和站点进行协商来产生PMK。下面我们通过公式来看看WPA和WPA2的区别：WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP/CCMP

目前WPA2加密方式的安全防护能力非常出色，只要你的无线设备均支持WPA2加密，那你将体验到最安全的无线网络生活。即使是目前最热的“蹭网卡”也难以蹭入你的无线网络，用户大可放心使用。