做个企业网站,陕西企业网站建设价格,企业文化学习心得,wordpress 防调用#x1f4d6; 前言#xff1a;快考试了#xff0c;做篇期末总结#xff0c;都是重点与必考点。
题型#xff1a;材料分析题、简答题、看图分析题
课本#xff1a; 目录 #x1f552; 1. 计算机网络安全概述#x1f558; 1.1 安全目标#x1f558; 1.2 常见的网络安全… 前言快考试了做篇期末总结都是重点与必考点。
题型材料分析题、简答题、看图分析题
课本 目录 1. 计算机网络安全概述 1.1 安全目标 1.2 常见的网络安全管理技术 2. 网络安全密码学基础 2.1 数字签名 2.2 消息认证码 2.3 单向散列hash函数 3. PKI技术及应用 4. 身份认证技术 5. TCP/IP体系的协议安全 5.1 TCP/IP体系的安全 5.2 DHCP欺骗的防范 5.3 DNS安全 6. 恶意代码与防范 7. 网络攻击与防范 8. 防火墙技术及应用 9. VPN技术及应用 1. 计算机网络安全概述 1.1 安全目标
安全的关键目标CIA
保密性Confidentiality——对信息的访问和公开进行授权限制。解决方案加密、访问控制完整性Integrity——防止出现信息的不恰当修改或破坏。解决方案数字签名、访问控制可用性Availability——确保信息系统能及时可靠地访问和使用。解决方案入侵检测、防火墙等
安全的额外目标
可审查性Assurance——当网络出现安全问题时能够提供调查的依据和手段可追溯性Accountability——分析这就是你行为事件追溯到人 【2023年真题】2023年3月7日广东出入境和广东交警相继发布《公告》称因系统故障部分业务暂停办理如图所示。请结合你的认知分析此次故障破坏了信息安全的哪个安全目标应如何理解该目标的含义我们可以采用哪些措施来保障该安全目标9分 解析此次因系统故障导致部分业务暂停办理的事件主要破坏了信息安全的可用性目标。
可用性是指信息和系统在需要时能够及时、连续地提供服务即使在网络被攻击时也不能阻碍授权用户对网络的使用。在这次事件中由于系统故障广东出入境和广东交警的部分业务无法正常提供这就破坏了信息系统的可用性。
为了保障信息系统的可用性我们可以采取以下措施
备份和恢复定期备份系统和数据以便在系统故障时能够快速恢复。冗余设计通过增加额外的硬件、软件或网络容量提高系统的容错能力。负载均衡通过分散网络流量确保系统在高负载情况下仍能保持良好的性能。故障切换在主系统发生故障时能够自动切换到备用系统以保证服务的连续性。定期维护和更新定期对系统进行维护和更新修复已知的漏洞提高系统的稳定性和安全性。 【2023年真题】剑桥分析Cambridge Analytica是英国一家数据分析公司Meta当时的facebook在2018年3月承认剑桥分析公司在2016年美国总统大选前违规获得了5000万Facebook 用户的信息。后来Meta经调查发现最多有8700万用户的信息被剑桥分析公司不当分享。为此Meta在2018年遭遇集体诉讼。请分析这次事件破坏了信息安全的哪个安全目标应如何理解该目标的含义 解析这次事件主要破坏了信息安全的保密性目标。
保密性是指防止未经授权的信息访问或数据泄露。在这次事件中剑桥分析公司未经用户许可就获取并使用了用户的信息这严重侵犯了用户的隐私权破坏了信息的保密性。
在实际操作中可以通过各种方法来保护信息的保密性如使用访问控制列表ACL来限制对信息的访问使用加密技术来保护数据的安全以及定期进行安全审计和风险评估等。 【2023年真题】阅读以下材料请从网络安全的角度分析这属于什么类型的安全事故应如何防范。 据Bleeping Computer4月23日消息网络安全公司 ESETESET是总部位于斯洛伐克布拉迪斯拉发的一家世界知名的电脑安全软件公司的研究人员发现在二手市场上售卖的一些企业级路由器中还存在未被擦除干净的敏感数据能够被黑客用来破坏企业环境或获取客户信息。 解析这起事件属于数据泄露类型的安全事故。在这种情况下敏感数据如配置信息、网络架构、甚至可能包括用户信息等在设备被出售前没有被彻底删除导致这些信息可能被不法分子获取并用于恶意目的。
防范措施
数据清理在设备出售或处置前应彻底清除所有存储在设备上的信息。这包括配置信息、日志文件、用户数据等。需要注意的是简单的删除操作可能无法彻底清除数据应使用专门的数据清理工具或方法来确保数据被彻底擦除。设备重置大多数网络设备都提供了恢复出厂设置的选项这通常会清除所有的配置信息和用户数据。但是这也可能不足以防止数据恢复因此最好在重置后再进行数据清理。物理销毁对于包含高度敏感信息的设备可能需要采取物理销毁的方法来防止信息泄露。这可能包括粉碎硬盘、磁带或其他存储介质或者使用退磁器来清除磁性存储设备的信息。规范处理制定并执行严格的设备处置政策和程序确保在设备处置过程中遵循所有必要的步骤来保护信息安全。 1.2 常见的网络安全管理技术
安全隔离网络安全隔离卡、物理隔离网闸、安全芯片、网络分段物理层集线器或其他数据链路层和网络层VLAN传输层ACL访问控制传统的访问控制一般被分为两类自主访问控制Discretionary Access ControlDAC和强制访问控制Mandatory Access ControlMAC。其中访问控制表Access Control ListACL是DAC中常用的一种安全机制。随着时代发展美国国家标准与技术研究院提出了RBACRole-Based Access Control基于角色的访问控制的概念并广为接受。加密通道在网络体系结构的不同层可以建立加密通道加强数据传输的可靠性。蜜罐技术蜜罐Honeypot是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设计的“陷阱”系统。蜜罐可以分为牺牲型蜜罐、外观型蜜罐和测量型蜜罐3种基本类型。灾难恢复和备份技术一个完整的备份及灾难恢复方案应该包括备份硬件、备份软件、备份制度和灾难恢复计划四个部分。员工上网行为管理Employee Internet ManagementEIM 【2023年真题】员工在上班时间上网聊天、购物、游戏等行为严重影响了工作效率日益流行的BT、迅雷等下载软件非常容易导致关键业务应用系统带宽无法保证部分员工通过微信、QQ等即时通信软件等方式将组织内部机密信息泄露。为了解决这些问题某单位采用了员工上网行为管理EIM。如图所示是某单位网络行为管理系统网络示意图请结合你的认知分析该EIM系统应具有哪些功能12分 解析 1控制功能。可合理分配不同部门、员工的上网权限比如什么时间可以上网、什么时间不能上网能够访问哪些Internet网站的内容哪些Internet资源是严格禁止使用的。另外还可以对代理软件进行封堵防止不允许上外网的员工通过代理软件上外网。 2监控与审计功能。可以将所有与上网相关的行为记录下来。例如对企业研发、财务等关键部门的上网行为、聊天内容、邮件内容进行记录以便事后审计并在内部起到威慑的效果。 3报表分析功能。可以方便直观地统计分析员工的上网情况据此掌握单位内部网络Intranet的使用情况。 4流量控制与带宽管理。支持对不同员工进行分组通过一段时间数据统计限定每个组的上网流量对BT、迅雷等P2P下载软件进行封堵避免其对网络带宽资源的消耗。 【2023年真题】安全隔离技术的目标是在确保把有害攻击陷离在可信网络之外并保证可信网络内部信息不外泄的前提下完成不同网络之间信息的安全交换和共享。请分析一般有哪些隔离手段列举至少3种 解答网络安全隔离卡、物理隔离网闸、安全芯片、网络分段。 2. 网络安全密码学基础
对称加密和非对称加密是两种主要的加密技术前者使用相同的密钥进行加密和解密后者使用一对公钥和私钥。 2.1 数字签名
数字签名用来保证信息传输过程中信息的完整性和确认信息发送者的身份主要使用公钥加密。 【2023年真题】如图所示是数字签名的原理图请问图中的数字签名是否具有保密性如果要同时实现保密性和数字签名应如何修改图的结构8分 解析图中的数字签名流程并不具有保密性根据图中的流程原始消息 P 是以明文形式发送的这意味着任何人都可以读取消息内容。我们可以采用对称加密和非对称方式对其修改
对称采用仲裁数字签名方式 非对称直接数字签名 2.2 消息认证码
消息认证用于保证信息的完整性和不可否认性可以检测信息是否被第三方篡改或伪造。
消息认证码MAC是一种使用密码的认证技术它利用密钥来生成一个固定长度的短数据块并将该数据块附着在消息之后形成一个针对具体消息和该消息认证码的组合体通过消息认证码来实现对消息完整性的认证。
假定发送方A和接收方B在通信过程中共享密钥K发送方A使用密钥K对发送的消息M计算MACC(K,M)其中 1M输入的可变长消息 2CMAC函数 3K共享密钥 4MAC消息认证码即消息M的认证符也称为密码校验和。
如图所示发送方将消息M和MAC一起发送给接收方B。接收方B在接收到消息后假设该消息为M’将使用相同的密钥K进行计算得出新的MAC’C(K,M’)再比较MAC’和接收到的MAC。如果MAC’MAC在双方共享密钥没有被泄露的情况下则可以 1确认消息的完整性即该消息在传输过程中没有被篡改。因为如果攻击者篡改了该消息也必须同时篡改对应的MAC值。在攻击者不知道密钥K的前提下是无法对MAC值进行修改的。 2确认消息源的正确性即接收方B可以确认该消息来自到发送方A。因为在无法获得密钥K的前提下攻击者是无法生成正确的MAC值的所以攻击者也无法冒充成消息的发送方A。 3确认序列号的正确性即接收方B可以确认接收到的消息的顺序是正确的。 通过以上应用可以看出MAC函数与加密函数类似在生成MAC和验证MAC时需要共享密钥但加密算法必须是可逆的而MAC函数不需要。
上图所示的消息认证码的应用只是对传输消息提供认证功能。在实际应用中MAC可以和加密算法一起提供消息认证和保密性。如下图所示消息发送方A在加密消息M之前先计算M的认证码MAC然后使用加密密钥将消息及其MAC一起加密接收方B在收到消息后先解密得到消息及对应的MAC然后验证解密得到的消息和MAC是否匹配如果匹配则说明该消息在传输过程中没有被篡改。 2.3 单向散列hash函数
Hash函数是消息认证码的一种变形是一种能够将任意长度的消息压缩到某一固定长度的消息摘要Message Digest的函数。与MAC一样Hash函数的输入是不固定的而输出是固定大小的。但与MAC不同的是Hash函数值的计算并不使用密钥。
在计算机网络中Hash函数经常与对称加密、非对称加密结合使用以提供不同的安全服务。 其中图a是Hash函数和数字签名的典型应用。为了提高系统的效率通过是先对要发送的消息M通过Hash函数计算其散列值然后对该散列值利用发送方的私密KRa进行数字签名以此提供对消息的认证图b提供的安全服务集成了保密性和认证性发送方在对消息计算了Hash函数值后与消息一起进行加密处理网络中传输的是密文。除此之外根据应用需要Hash函数还可以与其他密码机制结合提供不同的应用模式。 3. PKI技术及应用
公钥基础设施PKI是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。PKI能为各种不同安全需求的用户提供各种不同的网上安全服务所需要的密钥和证书这些安全服务主要包括身份识别与鉴别认证、数据保密性、数据完整性、不可否认性及时间戳服务等从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。
PKI的组成
认证机构Certificate AuthorityCA也称为“认证中心”它是PKI的信任基础它管理公钥的整个生命周期其作用包括发放证书、规定证书的有效期和通过发布证书废除列表CRL确保必要时可以废除证书。 4. 身份认证技术
身份认证的概念身份认证Authentication是系统审查用户身份的过程从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份提供一种判别和确认用户身份的机制。
身份认证的方式
用户所知道的What you know。如要求输入用户的口令、密钥或记忆的某些动作等。用户所拥有的What you have。如U盾、智能卡等物理识别设备。用户本身的特征What you are。如用户的人脸、指纹、声音、视网膜等生理特征以及击键等行为特征。 生理特征认证如指纹识别、虹膜识别、人脸识别、声纹识别生物行为认证如击键认证利用一个人敲击键盘的行为特征进行身份认证、步态匹配、心跳密码 多因子信息
在网络安全领域将认证Authentication、授权Authorization、审计Accounting统称为AAA或3A。
一次性口令认证是一种比传统口令认证技术更加安全的身份认证技术是在登录过程中加入不确定因素使每次登录时计算的密码都不相同是一种相对简单的身份认证机制可以简单快速地加载到需要认证的系统。
动态口令认证的实现方式 1.时间同步方式 时间同步 (Time Synchronization) 是利用用户的登录时间作为随机数连同用户的通行短语一起生成一个口令 2.挑战/应答方式 当客户端发出登录请求时认证系统生成一个挑战信息发送给客户端。客户端使用某种Hash函数生成一个口令发送给认证系统认证系统用同样的方法生成一个口令通过比较验证身份。
3.事件同步方式 通过特定事件次序及相同的种子值作为输入通过特定算法运算出相同的口令 5. TCP/IP体系的协议安全 5.1 TCP/IP体系的安全
1、针对头部的安全 典型攻击“死亡之ping”death of ping基于“碎片攻击”的原理。
2、针对协议实现的安全 典型攻击SYN Flood攻击是一种典型的DoSDenial of Service攻击是一种利用TCP协议缺陷发送大量伪造的TCP连接请求从而使被攻击方资源耗尽CPU满负荷或内存不足的攻击方式。
3、针对验证的安全 典型攻击ARP欺骗、DHCP欺骗、DNS欺骗等。
例ARP欺骗
4、针对流量的安全 典型攻击嗅探、DDoS。 5.2 DHCP欺骗的防范 【2023年真题】在通过DHCP提供客户端IP地址等信息分配的网络中一台非法DHCP服务器接入到了网络中并“冒充”为一这个网段中的合法DHCP服务器如图所示。这时如果有一台DHCP客户端接入到网络将向网络中广播一个 DHCP DISCOVER的请求信息由于非法DHCP服务器与DHCP客户端处于同一个网段而正确的DHCP服务器位于其他网段所以一般情况下非法DHCP服务器优先发送DHCP OFFER 响应给DHCP客户端而后到的正确的DHCP 服务器的 DHCP OFFER 响应 DHCP客户端并不采用。这样DHCP客户端将从非法DHCP服务器处获得不正确的IP地址、网关、DNS等配置参数。请分析我们应如何防范这种安全隐息6分 解析 1 使用DHCP Snooping信任端口 2 在DHCP服务器上进行IP与MAC地址的绑定 5.3 DNS安全
协议脆弱性 域名欺骗域名系统包括 DNS 服务器和解析器接收或使用来自未授权主机的不正确信息包含事务 ID 欺骗和缓存投毒。
网络通信攻击针对 DNS 的网络通信攻击主要是DDoS攻击、恶意网址重定向和中间人(man-in-the-middle, MITM)攻击
劫持解析路径并伪装成指定的DNS应答
实现脆弱性 DNS 软件BIND 的漏洞和缺陷无疑会给 DNS 系统带来严重的威胁其缓冲区溢出漏洞一度占据 UNIX 及 Linux 操作系统相关安全隐患的首位。
操作脆弱性 由于人为操作或配置错误所带来的安全隐患域名配置攻击、域名注册攻击和信息泄漏等
攻击目标网站域名注册服务提供商→修改目标网站域名记录→申请网站证书→伪装成目标网站 6. 恶意代码与防范
恶意代码Malware又称为恶意软件或恶意程序是指运行在计算机上使系统按照攻击者的意愿执行恶意任务的病毒、蠕虫和特洛伊木马的总称。恶意代码从出现发展到现状其内涵和外延一直在不断发生着变化今天从广义上讲凡是人为编制的干扰计算机正常运行并造成计算机软硬件故障甚至破坏数据的计算机程序或指令集合都认为是恶意代码。
按照恶意代码的运行特点可以将其分为两类需要宿主的程序和独立运行的程序。按照恶意代码的传播特点还可以把恶意程序分成不能自我复制和能够自我复制的两类。
恶意代码名称类型及主要特征计算机病毒需要宿主可自动复制蠕虫独立程序可自动复制人为干预少恶意移动代码由轻量级程序组成独立程序后门独立程序或片段提供入侵通道特洛伊木马一般需要宿主隐蔽性较强Rootkit一般需要宿主替换或修改系统状态WebShell需要宿主以asp、php、jsp或者cgi等网页文件形式存在组合恶意代码上述几种技术的组合以增强破坏力如僵尸网络
恶意代码个体的编码特性指作者在编写恶意代码过程中所呈现出来的代码编写特性为恶意代码文件的溯源分析提供了良好理论和技术支撑有助于溯源特征的提取。 1代码复用性。 2代码固有缺陷性。 3代码对抗性。 4代码敏感性。 7. 网络攻击与防范
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统Intrusion Detection System简称IDS。
IDS的特点一种积极主动的安全防护技术提供了对内部攻击、外部攻击和误操作的实时保护。
根据实现技术的不同IDS可以分为异常检测模型、误用检测模型和混合检测模型三种类型。
异常检测误用检测特征检测混合检测定义首先总结正常操作应该具有的特征用户轮廓当用户活动与正常行为有重大偏离时即被认为是入侵。收集非正常操作的行为特征signature建立相关的特征库当监测的用户或系统行为与库中的记录相匹配时系统就认为这种行为是入侵。对异常检测模型和误用检测模型的综合特点漏报率低但误报率高无法检测系统未知的攻击行为全面、准确、可靠
IDS的信息收集根据对象的不同信息收集的方法包括基于主机的信息收集、基于网络的信息收集和混合型信息收集三种类型。 1基于主机的信息收集 系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理agent来实现的代理是运行在目标主机上的可执行程序它们与命令控制台console通信。 基于主机的IDS部署如图所示。
2基于网络的信息收集 系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务基于网络的入侵检测系统由遍及网络中每个网段的传感器sensor组成。传感器是一台将以太网卡置于混杂模式的计算机用于嗅探网络上的数据包。基于网络的IDS部署如图所示当单位内部网络存在多个网段时建议在每一个网段分别安装一个传感器。 3混合型信息收集 混合型信息收集是基于网络的信息收集和基于主机的信息收集的有机结合。基于网络的信息收集和基于主机的信息收集都存在不足之处会造成防御体系的不全面而混合型入侵检测系统既可以发现网络中的攻击信息也可以从系统日志中发现异常情况。
信息收集的渠道 1 系统和网络日志文件 2 目录和文件中的不期望的改变 3 程序执行中的不期望行为 4 物理形式的入侵信息
IDS的信息分析 IDS对于收集到的各类信息如系统、网络、数据及用户活动状态和行为等一般通过三种技术手段进行分析模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测而完整性分析则用于事后分析。 8. 防火墙技术及应用
防火墙的基本准则
所有未被允许的就是禁止的所有未被禁止的就是允许的
防火墙多应用于一个局域网的出口处或置于两个网络中间。对于绝大多数局域网来说在将局域网接入Internet时在路由器与局域网中心交换机之间一般都要配置一台防火墙以实现对局域网内部资源的安全保护。
包过滤防火墙工作在网络层和传输层它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃从而达到对进出防火墙的数据进行检测和限制的目的。 主要特点
过滤规则表中的条目根据用户的安全要求来定。按顺序执行。由于部署在网络层和传输层其速度影响不大实现成本较低但无法识别基于应用层的恶意入侵。 【2023年真题】防火墙是构建可信赖网络域的安全产品如图所示是某公司网络拓扑图。现出于安全考虑公司只允许外部主机访问本网段的WEB和DNS服务另外允许本网段与其它网段互相PING通。 【问题1】请分析应该在什么地方部署网络访问控制策略 【问题2】请根据公司要求写出相应的ACL。 解析应该在Internet和交换机之间的路由器上部署网络访问控制策略当成包过滤防火墙在接口2上应用ACL控制进入内部网络的流量。
接口2上的ACL配置
acl number 3000rule 5 permit tcp source any destination 192.168.0.1 0 destination-port eq 80 // 允许外部访问内部网络的WEB服务HTTPrule 10 permit tcp source any destination 192.168.0.1 0 destination-port eq 443 // 允许外部访问内部网络的WEB服务HTTPSrule 15 permit udp source any destination 192.168.0.8 0 destination-port eq 53 // 允许外部访问内部网络的DNS服务UDP端口53rule 20 permit icmp source any destination any icmp-type 8 // 允许外部主机ping内部主机rule 25 permit icmp source any destination any icmp-type 0 // 允许内部主机ping外部主机rule 30 deny ip source any destination any // 拒绝所有其他访问应用ACL到接口将配置的ACL应用到相应的接口
# 接口2
interface GigabitEthernet0/0/2acl 3000 inbound【2023年真题】为了网络安全系统中已经部署了防火墙、IDS/IPS、漏洞扫描等系统请分析为什么还要使用网络安全态势感知8分 解析上述措施只是从各自的角度发现网络中存在的问题并没有考虑其中的关联性无法系统、整体地发现网络中存在的问题。网络安全态势感知NSSA是在传统网络安全管理的基础上通过对分布式环境中信息的动态获取经数据融合、语义提取、模式识别等综合分析处理后对当前网络的安全态势进行实时评估从中发现攻击行为和攻击意图为安全决策提供相应的依据以提高网络安全的动态响应能力尽可能降低因攻击而造成的损失。 9. VPN技术及应用
根据应用环境的不同VPN主要分为三种典型的应用方式内联网VPN、外联网VPN和远程接入VPN。
内联网VPN形成一个逻辑上的局域网。外联网VPN常应用于企业需要根据不同的用户身份如供应商、销售商等进行授权访问建立相应的身份认证机制和访问控制机制。远程接入VPN为移动用户提供一种访问单位内部网络资源的方式。
隧道技术是一种在公共网络基础设施上建立的端到端数据传输方式其核心内容是利用一种网络协议俗称为隧道协议传输另一种网络协议。
VPN的隧道技术是VPN的核心技术VPN的加密和身份认证等安全技术都需要与隧道技术相结合来实现。
隧道的组成要形成隧道需要有以下几项基本的要素 1隧道开通器TI。隧道开通器的功能是在公用网中创建一条隧道。 2有路由能力的公用网络。由于隧道是建立在公共网络中要实现VPN网关之间或VPN客户端与VPN网关之间的连接这一公共网络必须具有路由功能。 3隧道终止器TT。隧道终止器的功能是使隧道到此终止不再继续向前延伸。
隧道的实现过程 如上图所示的是一个基于IP网络的VPN隧道通过隧道将LAN1和LAN2连接起来使位于LAN1和LAN2中的主机之间可以像在同一网络中一样利用IP进行通信。为了便于对隧道的工作过程进行描述现假设与LAN1连接的VPN网关为隧道开通器而与LAN2连接的VPN网关为隧道终止器用户数据从LAN1发往LAN2具体过程如下
1封装封装操作发生在隧道开通器上。当用户数据包括有IP头部和数据两部分到达隧道开通器时隧道开通器将用户数据作为自己的净载荷并对该净载荷利用隧道协议进行第1次封装。这一次封装其实是利用隧道协议对上层数据用户数据进行加密和认证处理。 第1次封装后形成的数据成为第2次封装的净载荷。为了使第1次封装后的数据能够通过具有路由功能的公共网络如Internet进行传输还需要给它添加一个IP头部即进行第2次封装。第2次封装后的数据根据其IP头部信息进行路由选择并传输到与LAN2连接的VPN网关。 2解封装解封装操作发生在隧道终止器上。解封装操作是封装操作的逆过程第1次解封装去掉最外层用于在公共网络中进行寻址的IP头部信息第2次解封装去掉隧道协议最后得到的是用户数据。用户数据再根据其头部信息在LAN2中找到目的主机完成通信过程。
在数据封装过程中虽然出现了两个“IP头部”但用户数据中的“IP头部”在隧道中是不可见的即在隧道中传输时主要依靠第2次封装时添加的“IP头部”信息进行路由寻址。所以用户数据中的“IP头部”对隧道来说是透明的。
简而言之封装→传输→解封装
从以上隧道的工作原理可以看出隧道通过封装和解封装操作只负责将LAN1中的用户数据原样传输到LAN2使LAN2中的用户感觉不到数据是通过公共网络传输过来的。通过隧道的建立可实现以下功能
将数据流量强制传输到特定的目的地隐藏私有的网络地址在IP网络上传输非IP协议的数据包提供数据安全支持 ❗ 转载请注明出处 作者HinsCoder 博客链接 作者博客主页
