一、SDN

SDN是软件定义网络，也就是希望应用程序参与对网络的控制管理，满足上层业务的需求，通过自动化业务部署简化网络运维。SDN是一种理念，而不是一个具体的技术。广义上的SDN就是控制和转发分离、网络可编程，集中化控制，满足这三点就是SDN。

控制器是SDN的关键，控制器通过南向接口管理网络设备，通过北向接口支持业务层的各种应用程序，也就是网络可编程。

二、区块链

区块链就是一种去中心化的分布式账本数据库。去中心化，即与传统中心化的方式不同，这里是没有中心，或者说人人都是中心；分布式账本数据库，意味着记载方式不只是将账本数据存储在每个节点，而且每个节点会同步共享复制整个账本的数据。同时，区块链还具有去中介化、信息透明等特点。

区块链技术想要全面应用于现实社会中，关键是要解决高耗能、数据存储空间及大规模交易处理等问题。

区块链的技术发展可以分为三个阶段：1.0是货币（如比特币）；2.0是合约；3.0是超越金融经济外，特别是在政府、文化健康等领域的新应用。

三、论文

请直接参考我们的视频学习论文的写作：

【视频回看地址】

2019希赛网-网络规划设计师8月23-9月1号网络课堂：

https://www.educity.cn/zhibo/v321.html

一些解决方案案例可以参考厂商网站：

http://www.h3c.com/cn/Solution/

http://support.huawei.com/enterprise/zh/solution-documentation

http://www.ruijie.com.cn/fa/

https://www.cisco.com/c/m/zh_cn/offers/solutions/index.html?ccid=cc000292&dtid=psebdu000360&oid=0&POSITION=SEM&COUNTRY_SITE=cn&CAMPAIGN=xa-99&CREATIVE=CN_SEM_NAN_Solution-AO_PM_NB-Solution%7cAO_psebdu000360_cc000292_0&REFERRING_SITE=Baidu&KEYWORD=%E5%85%AC%E5%8F%B8%E5%B1%80%E5%9F%9F%E7%BD%91%E7%BB%84%E5%BB%BA%E6%96%B9%E6%A1%88&bd_vid=7293966297734036880&gclid=CO2Z2onQseQCFcl1vAod010Aig&gclsrc=ds

四、网络安全服务

（1）机密性：确保计算机系统中的信息和被传输的信息仅能被授权读取的用户得到。

（2）端点鉴别：通信双方都应该能证实通信过程所涉及的另一方，以确保通信的另一方确实具有他们所声称的身份。

（3）完整性：确保仅有授权用户能够修改计算机系统有价值的信息和传输的信息。

（4）不可抵赖：确保发送方和接收方都不能够抵赖所进行的信息传输。

（5）访问控制：确保对信息源的访问可以由目标系统控制。

（6）可用性：确保计算机系统的有用资源在需要时能够被授权用户使用。

五、计算机病毒

病毒的命名并没有一个统一的规定，每个反病毒公司的命名规则都不太一样，但基本都是采用前、后缀法来进行命名的，可以是多个前缀、后缀组合，中间以小数点分隔，一般格式为：〔前缀〕．〔病毒名〕．〔后缀〕。

病毒前缀是指一个病毒的种类，我们常见的有Script（代表脚本病毒）、Trojan（代表木马病毒）、Worm（代表蠕虫病毒）、Harm（代表破坏性程序）、MACro／WM／WM97／XM／XM97（代表宏病毒）、Win32／W32（代表系统病毒），一般DOS类型的病毒是没有前缀的。

ARP欺骗攻击和防治需要掌握。

木马：

木马软件一般由三部分组成：木马配置程序、控制程序和服务端程序。

木马程序员又发明了所谓的“反弹式木马”——它利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求来取得对外的端口，再通过某些方式连接到木马的客户端，从而窃取用户计算机的资料同时遥控计算机本身。

计算机防病毒软件的病毒检测技术主要有几种方法：特征值检测、校验和计算、启发式扫描、虚拟机技术、行为检测、主动防御技术。

六、网络攻击

坏目标系统的数据为目的。

计算机网络上的通信面临以下四种威胁：

截获：攻击者从网络上窃听他人的通信内容。

中断：攻击者有意中断他人在网络上的通信。

篡改：攻击者故意篡改网络中传送的报文。

伪造：攻击者伪造信息在网络上的传送。

以上的四种威胁可以划分为两大类，即被动攻击和主动攻击。在上述情况中，截获信息的攻击属于被动攻击，而中断、篡改和伪造信息的攻击称为主动攻击。

常见的欺骗攻击方式主要有ARP欺骗、DNS、DHCP欺骗。

（1）DNS欺骗攻击

我们可以使用入侵检测系统：只要正确部署和配置，使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。

DNS SEC，使用的是数字签名DNS记录来确保查询响应的有效性。

（2）DHCP欺骗攻击

DHCP Snooping：DHCP监听，在一次主机动态获取IP地址的过程中，通过对客户端和服务器之间的DHCP交互报文进行监听，实现对用户的监控，同时DHCP Snooping起到一个DHCP 报文过滤的功能，通过合理的配置实现对非法服务器的过滤，防止用户端获取到非法DHCP服务器提供的地址而无法上网。DHCP监听还可以检查 DHCP 客户端发送的DHCP报文的合法性，防止 DHCP 拒绝服务攻击。

DHCP监听将交换机端口划分为两类：

非信任端口：通常为连接终端设备的端口，如用户主机等。交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。

信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口通过开启DHCP监听特性，信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务器来攻击网络。

（3）拒绝服务攻击

拒绝服务DoS攻击：借助于网络系统或网络协议的缺陷和漏洞进行的网络攻击，让目标系统受到某种程度的破坏而不能继续提供正常的服务甚至服务中断。

防范DDOS攻击：定期检查服务器漏洞、部署CDN、关闭不必要的服务或端口、利用网络安全设备来加固网络的安全性。当然腾讯、阿里、百度他们都有针对各自云主机用户的免费防DDOS服务，比如带宽扩容，云服务商可以提供防护产品，因为他们有大量冗余带宽，可以用来消化DDOS攻击。

增加 WAF设备， Web 应用防火墙是通过执行一系列针对 HTTP / HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。

购买流量清洗服务。

（4）SQL注入攻击

防止SQL注入攻击：

第一，使用参数化的过滤性语句。要防御SQL注入，用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反，用户的输入必须进行过滤，或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中，SQL语句就得以修正。

第二，还要避免使用解释程序，因为这正是黑客们借以执行非法命令的手段。

第三，防范SQL注入，还要避免出现一些详细的错误消息，因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。

第四，使用专业的漏洞扫描工具。但防御SQL注入攻击也是不够的。攻击者们目前正在自动搜索攻击目标并实施攻击。其技术甚至可以轻易地被应用于其他的Web架构中的漏洞。企业应当投资于一些专业的漏洞扫描工具。一个完善的漏洞扫描程序不同于网络扫描程序，它专门查找网站上的SQL注入式漏洞。最新的漏洞扫描程序可以查找最新发现的漏洞。

第五，使用IPS、WAf等设备。

（5）XSS攻击

跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。

XSS防御：

验证所有输入数据，有效检测攻击

对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行

也可以部署一些专用的WEB防护设备、IPS设备。

七、数据加密

（1）对称加密算法：

DES算法：加密前，对明文进行分组，每组64位数据，对每一个64位的数据进行加密，产生一组64位的密文，最后把各组的密文串接起来，得出整个密文，其中密钥为64位（实际56位，有8位用于校验）

3DES算法：密码学中，3DES是三重数据加密算法通称。它相当于是对每个数据块应用三次DES加密算法，密钥长度达到168位，但在软考中是112位，主要是因为第一次加密和第三次加密用的相同的密钥。3DES通过增加DES的密钥长度来避免类似的攻击，而不是设计一种全新的块密码算法。

IDEA算法：国际数据加密算法使用了128位密钥，因此更不容易被攻破。

AES算法：美国标准技术研究所在2001年发布了高级加密标准（AES）。AES是一个对称分组密码算法，旨在取代DES成为广泛使用的标准。AES算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。

AES使用几种不同的方法来执行排列和置换运算。AES是一个迭代的、对称密钥分组的密码，它可以使用128、192和256位密钥。

（2）公钥加密算法：

公钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。

公钥密钥体制的加密和解密过程如下：

（1）密钥对产生器产生出接收者B的一对密钥：加密密钥PKB和解密密钥SKB。发送者A所用的加密密钥PKB就是接收者B的公钥，向公众公开。而B所用的解密密钥SKB就是接收者B的私钥，对其他人都保密。

（2）发送者A就用B的公钥对明文X加密，得到密文Y，发送给B。

（3）B用自己的私钥进行解密，恢复出明文。

注意密钥对PKb实际不可能推导出SKb。

注意：任何加密算法的安全性取决于密钥的长度，以及攻破密文所需要的计算量，而不是简单地取决于加密的体制，同时公钥密码算法的开销较大，不适合对大量数据进行加密。

典型的公钥加密算法有：RSA、ECC、背包加密、Rabin算法等等。

八、数据签名

数字签名能够实现三点功能：

（1）接收者能够核实发送者对报文的签名，也就是说，接收者能够确信该报文确实是发送者所发送的。其他人无法伪造对报文的签名，这就叫做报文鉴别。

（2）接收者确信所收到的数据和发送者发送的完全一样，没有被篡改过。这就叫做报文的完整性。

（3）发送者事后不能抵赖对报文的签名。这就做不可否认性。

现在已经有多种实现数字签名的方法，但采用公钥算法比采用对称密码算法更容易实现，下面就具体介绍这种签名。

九、报文摘要和数字签名

RFC 1321提出的报文摘要算法MD5已经获得广泛的应用。它可对任意长度的报文进行运算，得出128位的MD5报文摘要代码。另一种标准是安全散列算法SHA，和MD5相似，但码长为160位，SHA比MD5更安全，但计算的效率不如MD5。

HMAC算法是收发双方共享一个MAC密钥，计算摘要的时候，除了用到数据报文之外，还有提供MAC密钥。所以计算出来的报文摘要值不仅取决于原始报文，还取决于MAC密钥。

十、对称密钥的分配

目前常用的密钥分配方式是设立密钥分配中心KDC

其任务就是给需要进行秘密通信的用户临时分配一个会话密钥。目前用的最多的密钥分配协议是Kerberos。

Kerberos使用两个服务器：鉴别服务器AS、票据授权服务器TGS。

在Kerberos认证系统中，用户首先向认证服务器申请初始票据，然后票据授权服务器(TGS)获得会话密码。

注意加密时间戳是为了防止重放攻击。

十一、数字证书

数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。

数字证书的格式遵循X.509 V3标准。X.509是由国际电信联盟（ITU-T）制定的数字证书标准。

序列号：发放证书的实体有责任为证书指定序列号，以使其区别于该实体发放的其它证书。这个信息用途很多。例如，如果某一证书被撤消，其序列号将放到证书撤消清单（CRL）中。

版本号：识别用于该证书的X.509标准的版本。

签名算法：签署证书所用的算法及其参数。

发行者ID：地标识证书的发行者。

发行者：指建立和签署证书的CA的X.509名字。

主体ID：任选的名字地标识证书的持有者。

有效期：包括证书有效期的起始时间和终止时间。

公钥：有效的公钥以及其使用方法。

十二、SSL

SSL可以对万维网客户与服务器之间传送的数据进行加密和鉴别。在双方握手阶段，对将要使用的加密算法和双方共享的会话密钥进行协商，完成客户与服务器之间的鉴别。在握手完成后，所传送的数据都使用会话密钥进行传输。

SSL的三个子协议：

SSL报警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告。

SSL记录协议（SSL Record Protocol）：建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。

SSL握手协议（SSL Handshake Protocol）：建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。