（一）网络操作系统
安全

网络操作系统安全是整个网络系统安全的基础。操作系统安全机制主要包括访问控制和隔离控制。
访问控制系统一般包括主体、客体和安全访问政策
访问控制类型：

• 自主访问控制
• 强制访问控制

访问控制措施：

• 入网访问控制
• 权限访问控制
• 属性访问控制
• 身份验证
• 网络端口和结点的安全控制

（二）网络实体安全

计算机网络
实体是网络系统的核心，既是对数据进行加工处理的中心，也是信息传输的控制中心
网络设备的冗余
网络服务器系统冗余：

• 双机热备份：设置两台服务器（一个主服务器，一个备份服务器）
• 存储备份冗余
  磁盘镜像
  RAID
• 电源冗余：采用双电源系统（即服务器电源冗余）
• 网卡冗余

核心交换机
冗余
供电系统冗余：使用UPS作为备份电源
链接冗余
网络边界设置冗余

ACL(路由器访问控制列表)

基于包过滤的流控制技术，主要作用一方面保护网络资源，阻止非法用户对资源的访问，另一方面限制特定用户所能具备的访问权限
类型：

• 标准ACL：序列号1-99
• 扩展ACL：序列号100-199

VRRP(虚拟路由器冗余协议)

选择性协议，可把一个虚拟路由器的责任动态分配到局域网上VRRP路由器

交换机端口汇聚

端口聚合也称以太通道，主要用于交换机之间的连接。就是将多个物理端口合并成一个逻辑端口

Internet上的应用服务器

• HDCP服务器
• Web服务器
• FTP服务器
• DNS服务器
• STMP服务器

（三）网络数据库和数据安全

数据在计算机中的两种状态

• 存储状态
• 传输状态

数据库安全重要包括两方面

• 数据库系统的安全
• 数据库数据的安全

数据库安全管理原则

• 管理细分和委派原则
• 最小权限原则
• 账号安全原则
• 有效审计原则

对数据库的威胁形式

• 篡改
• 损坏
• 窃取

数据备份

概念： 数据备份是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列中复制到其他存储介质上的过程
目的： 在系统数据崩溃时能够快速地恢复数据，使系统迅速恢复运行
数据备份的类型

• 冷备份：关闭数据库的状态下进行备份
• 热备份：数据库运行状态下进行备份
• 逻辑备份

数据备份策略

• 完全备份
• 增量备份
• 差别备份
• 按需备份

数据恢复类型

• 全盘恢复
• 个别文件恢复
• 重定向恢复：将备份文件(数据)恢复到另一个不同的位置或系统上

容灾系统

容灾系统包括数据容灾和应用容灾
数据容灾技术
核心技术是数据复制，主要有两种方式：

• 同步数据复制：本地数据以完全同步方式复制到异地
• 异步数据复制：本地数据以后台方式复制到异地

建立容灾备份系统涉及的技术

• SAN(存储区域网)和NAS(网络附加存储)
• 远程镜像技术
• 快照技术
• 虚拟存储技术

（四）密码学

对称密码体制：

• 概念：又称传统密钥密码，其加密密钥和解密密钥相同或相近，由其中一个易得出另一个，故加密密钥和解密密钥都是保密的
• 代表算法：DES、IDEA、TDEA、AES
• 特点：算法容易实现、速度快、通用性强等优点，但也存在密钥位数少，保密强度较差和密钥管理复杂的缺点

非对称密码体制：

• 概念：也称公开密钥密码，其加密密钥和解密密钥不同，由其中一个很难得出另一个，通常其中一个密钥是公开的，而另一个是保密的
• 代表算法：RSA、ECC、DSA、MD5
• 特点：密钥管理简单、便于数字签名、可靠性较高等优点，但也具有算法复杂、加密/解密速度慢，难于用硬件实现等缺点

网络加密方式

• 链路加密：传输数据仅在数据链路层上进行加密
• 端到端加密：传输数据在应用层上完成加密

数字签名和密钥加密的区别：

• 数字签名使用的是发送方的密钥对，是发送方用自己的私钥对摘要进行加密，接收方用发送方的公钥对数字签名解密，是一对多的关系
• 密钥加密解密过程使用的是接收方的密钥对，是发送方用接收方的公钥加密，接收方用自己的私钥解密，是多队一的关系

网络保密通信协议

• SSL(安全套接层协议)协议：在客户端和服务器端之间建立安全通道的协议，被广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。主要部分是记录协议和握手协议
• SSH(安全外壳)协议：建立在应用层和传输层基础上的安全认证协议，主要由SSH传输层协议、SSH用户认证协议和SSH连接协议三部分组成，共同实现SSH的安全保密机制
• IPsec(IP安全)协议：包括认证协议AH(也称认证报头)、封装安全载荷协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等

（五）网络攻防技术

防火墙

概念： 防火墙是隔离本地网络与外界网络之间的执行访问控制策略的一道防御系统，是一组由软、硬件设备构成的安全设施
不足：

• 网络瓶颈
• 不能防范绕过防火墙的信息攻击
• 不能防范病毒的传播
• 不能防范内部人员的攻击

特征：

• 内部网和外部网之间的所有网络数据流都必须经过防火墙
• 只有符合安全策略的数据才能通过防火墙
• 自身具有非常强的抗攻击力

技术：

• 包过滤技术
• 代理服务技术
• 状态检测技术
• 自适应代理技术

病毒

• 计算机病毒的特征：繁殖性、传染性、破坏性、隐藏性、潜伏性、可触发性、衍生性、不可预见性。
• 网络病毒的特点：传播速度快、传播范围广、清除难度大、破坏性大、病毒变种多。

攻击

• DoS攻击(拒绝服务)
• DDoS攻击(分布式拒绝服务攻击)：准备阶段->占领傀儡机->植入程序->实施攻击
• 缓冲区溢出攻击：是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。

VPN(虚拟专用网络)：属于远程访问技术，利用公用网络架设专用网络
VLAN(虚拟局域网)：是一组逻辑上的设备和用户

（六）互联网安全

Internet欺骗

• IP电子欺骗：用一台主机设备冒充另外一台主机的IP地址
• ARP电子欺骗：将IP地址转化成MAC地址的协议
• DNS电子欺骗：进行域名和IP地址的转化(解析)
• Web电子欺骗

Web服务使用HTTP协议，默认Web服务占用80端口

Email服务的两个主要协议：

• 简单邮件传输协议SMTP（Simple Mail Transfer Protocol）：默认占用25端口，用来发送邮件
• 邮局协议POP3（Post Office Protocol）：占用110端口，用来接收邮件

 

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后

• 如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，都可以免费分享给大家！

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：
此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失