加密方式

数据加密技术是网络通信安全所依赖的基本技术。按照网络层次的不同，数据加密方式划分，主要有链路加密、节点加密、端到端的加密三种。

在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。其最大的缺点就在于中间结点暴漏了信息的内容。通常用硬件在物理层实现。

节点加密是对链路加密的改进，只是把加密算法加载到节点的加密模块中。在协议栈的传输层上面进行加密。

端到端加密是在源点和终点中对传送的协议数据单元进行加密和解密，报文的安全性不会因中间结点的不可靠而受到影响。端到端的加密在传输层以上的各层来实现。

网闸技术

对于政务网的安全需求是在公网和外网之间实行逻辑隔离，在内网和外网之间实行物理隔离。

网闸其实就是模拟人工数据倒换，利用中间数据倒换区，分时地与内外网连接，但一个时刻只与一个网络连接，保持“物理的分离”，实现数据的倒换。

在网闸工作时候，会经过一个剥离-检测-重新封装的过程，首先会把数据包做剥离分解，然后对静态的裸数据做安全审查，再用特殊的内部协议封装后转发，到达对端网络后再重新按照TCP/IP进行封装。

防火墙技术

华为防火墙默认分为4个安全区域。

（1）Trust区域：本区域内的网络受信程度高，通常用来定义内部用户所在的网络。

（2）DMZ区域：本区域内的网络受信程度中等，通常用来定义公共服务器所在的区域。

（3）Untrust区域：本区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。

（4）LOCAL区域，防火墙自身所在的区域

在华为防火墙中，每个安全区域都有一个安全级别，用1-100表示，数字越大，代表这个区域越可信。默认情况下，LOCAL区域安全级别100、Trust区域为85，DMZ为50，Untrust区域为5。

安全域间的数据流动具有方向性，包括入方向(Inbound)和出方向(Outbound)。

入方向：数据由低优先级的安全区域向高优先级的安全区域传输。

出方向：数据由高优先级的安全区域向低优先级的安全区域传输。

防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。注意三种模式的区别。

防火墙的分类：

包过滤防火墙的工作是通过查看数据包的源地址、目的地址或端口来实现的，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，缺点由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容。

应用型代理防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品

动态包过滤防火墙。对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过；记录下该连接的相关信息，生成状态表；对该连接的后续数据包，只要是符合状态表，就可以通过，更加灵活。

大型的网络放一个路由器到防火墙前面主要是路由器的接口丰富，适合广域网的多种不同类型的接口链路，而防火墙接口单一。但具体做题的时候，要根据设备的接口去看。关键是看DMZ这个接口。

入侵检测IDS和入侵防御IPS

IDS（入侵检测系统）就是对网络、系统的运行状况依照一定的安全策略进行监视，尽可能发现各种攻击企图。IDS的部署位置：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。以旁路模式接入。

IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。IPS一般是以串联的形式直接嵌入到网络流量中的。

入侵检测系统使用的方法有异常检测和误用检测两种。其中异常检测能检测出未知的入侵行为。

点击进入>>>希赛软考题库 网络工程师习题每日一练！

想要了解更多软考考试资讯，可以关注希赛网软考频道。