【零基础计网入门笔记 07】网络安全 📅 2026/7/4 20:11:32 本章重点速览计网的安全性威胁两类核心密码加密体制防火墙一、计网的安全性威胁所有网络攻击分为两大类被动攻击只偷看不破坏、主动攻击动手干预篡改 / 破坏 / 瘫痪系统。1.1 被动攻击核心特征攻击者不修改、不中断任何传输数据仅仅偷偷获取信息通信双方完全察觉不到攻击只会泄露隐私不会出现服务异常。唯一类型截获窃听。1. 截获含义数据在网络线路上传输时攻击者中途复制一份报文只查看内容原始数据正常送到接收方。例子连接无密码公共 WiFi黑客抓包窃取你微信聊天、账号密码、购物记录网线、光纤链路被非法监听窃取企业传输的客户资料。安全破坏维度只破坏机密性信息不能被无关人员查看不影响完整性、可用性。1.2 主动攻击核心特征攻击者主动介入通信流程修改、伪造、删除数据或是耗尽服务器资源通信双方会明显感知异常危害更大。分为 3 类1. 篡改原理中间人截获报文后修改内容再转发给接收方接收方无法分辨消息被改动。实例你给银行发报文「转账 100 元」黑客中途改成「转账 10000 元」冒充朋友发送虚假借钱消息。破坏数据完整性保证传输前后信息不被改动。2. 恶意程序一类能入侵终端、窃取 / 破坏数据的恶意代码常见细分病毒依附正常文件打开文件才会感染设备蠕虫无需人为操作自动复制、跨设备全网传播木马伪装成游戏、办公软件安装后偷偷开后门窃取隐私勒索病毒加密电脑全部文件索要赎金才解锁。传播渠道陌生邮件附件、破解软件、不安全网站下载。3. 拒绝服务DoS原理攻击者向服务器疯狂发送海量无效请求占满服务器带宽、CPU、内存正常用户的合法请求得不到处理。类比奶茶店涌入几百个只占座位不消费的黄牛真正想买奶茶的顾客无法进店。拓展 DDoS分布式拒绝服务操控成千上万台傀儡设备同时攻击破坏力更强。破坏服务可用性合法用户随时能正常使用服务。二、安全核心解决方案密码体制加密核心作用即使数据被窃听、截获攻击者拿到乱码也无法看懂同时防止消息被篡改、验证发送者身份。分两大体系2.1 对称密钥密码体制单钥加密1. 核心原理发送方、接收方共用同一把密钥加密、解密全程只用这一个密码。流程明文 密钥 → 加密 → 密文传输 → 接收方用相同密钥解密还原明文。2. 举例你和朋友约定专属暗号只有你们两人知道聊天全部用暗号沟通。3. 优缺点✅ 优点算法简单、运算速度极快适合视频、大文件、实时聊天等大批量数据加密主流算法 AES。❌ 缺点致命缺陷 ——密钥分发困难。如果通过网络传递密钥时被截获所有加密数据全部泄露多人通信时需要保存大量密钥管理复杂。2.2 公钥密码体制RSA 双钥体制1. 核心原理每个人生成一对绑定密钥永不重复公钥完全公开可以发给任何人相当于公开收件箱私钥自己永久保管绝不外传唯一解锁钥匙。加密规则别人用你的公钥加密消息全世界只有你的私钥能解开。2. 举例你对外公开一把通用锁公钥任何人都能用这把锁锁住信件发给你但只有你手里唯一的钥匙私钥能开锁读信。额外功能数字签名 —— 用私钥给消息盖章他人用公钥验证证明消息是你发送、未被篡改。3. 优缺点✅ 优点不用私下传递密钥彻底解决对称密钥分发难题同时支持身份认证、防篡改。❌ 缺点基于复杂大数数学运算加密速度很慢不适合加密超大文件。4. 现实工程搭配方案日常传输流程先用 RSA 加密短小的对称密钥再用高速的对称密钥加密大文件兼顾安全与速度。三、防火墙网络入口防护设备防火墙是部署在内网公司 / 家庭内部设备和外网互联网之间、经过特殊编程的专用路由器依靠预设访问规则筛选所有进出网络的数据包阻挡非法入侵保护内网设备。分为网络级防火墙防止网络出现非法入侵和应用级防火墙进行应用的访问控制。3.1 网络级防火墙包过滤防火墙工作在网络层 / 传输层1. 工作逻辑只读取数据包头部信息不解析数据包内部内容只根据 4 个条件判断放行 / 丢弃源 IP、目标 IP、端口号、传输协议TCP/UDP。2. 实例配置规则禁止外网所有设备访问内网数据库 3306 端口MySQL 数据库默认端口仅允许公司办公 IP 访问服务器 80 网页端口HTTP 网页服务默认端口。3. 优缺点✅ 速度快、硬件成本低对网络网速几乎无损耗❌ 只能识别底层网络信息看不懂应用内容。比如 80 端口同时跑正常网页和木马流量无法区分容易被黑客伪装数据包绕过拦截。注意这条规则只管控「外网主动连我们内网服务器 80」的入站流量管不住「内网电脑主动访问外网 80 网站」的出站流量再加上网络级防火墙不会解析数据包内部内容两层漏洞叠加内网主动向外发起连接公司员工办公内网 IP主动打开外网恶意钓鱼网站外网 80 端口防火墙看端口是 80、IP 是内部办公 IP直接放行恶意网页藏木马脚本员工打开页面自动下载木马到办公电脑木马落地后两种危害向外网黑客服务器同样走 80/443 端口偷偷上传公司机密数据在内网横向扫描主动连接内网数据库 3306 端口偷数据。数据包内部有恶意通信黑客会把木马通信数据封装在 80 端口的数据包里数据包头部标注 “正常 HTTP 网页流量”当员工主动访问外网时网络级防火墙只检查 IP、端口不会拆开数据包查看里面的内容识别不出里面是木马隧道直接放行。3.2 应用级防火墙代理防火墙工作在应用层1. 工作逻辑深度解析数据包内部完整应用数据识别具体软件、业务短视频、浏览器、游戏、钓鱼网站充当内外网中间代理外网无法直接接触内网主机。完整流程内网用户访问网页 → 防火墙代理代替用户发起外网请求 → 外网数据先发给防火墙过滤后再转发给内网。2. 实例管控工作日拦截抖音、游戏等娱乐网站自动识别钓鱼网页、带病毒下载链接并阻断屏蔽境外恶意服务器连接。3. 优缺点✅ 安全粒度极细能拦截应用层攻击隐藏内网真实 IP黑客无法直接攻击内网电脑❌ 需要解析全部应用数据运算量大会降低网络速度部署维护成本更高。