物理层接受来自数据链路层的帧，并将帧转换为比特，以便通过物理连接介质进行传输。物理层还负责从物理连接介质接收比特并将它们转换为数据链路层使用的帧

物理层的电气规范、协议和接口标准

硬件设备

负责将来自网络层的数据包格式转化为适当的传输格式。正确的格式由网络硬件和技术决定，如以太网(IEEE802.3)、令牌环(IEEE802.5)、异步传输模式(ATM)、光纤分布式数据接口(FDDI)和铜线分布式数据接口(CDDI)但是，只有以太网是现代网络中常用的数据链路层技术。

协议

负责给数据添加路由和寻址信息。网络层接受来自传输层的段，并向其添加信息以创建数据包。该数据包包括源和目标IP地址

路由协议

负责管理连接的完整性并控制会话。它接受PDU，来自会话层的PDU被转换为段。传输层控制如何寻址或引用网络上的设备，在节点之间建立通信连接并定义会话规则。会话规则指定每个段可包含多少数据，如何验证传输的数据的完整性，以及如何确定数据是否已丢失。会话规则是通过握手过程建立的，因此通信设备应该遵循该规则

协议

负责将从应用层接收的数据转换为遵循 OSI 模型的任何系统都能理解的格式。它对数据强加了通用或标准化的结构和格式规则。表示层还负责加密和压缩。因此，它充当网络和应用程序之间的接口。该层允许各种应用程序通过网络进行交互，并通过确保两个系统都支待的数据格式来实现。大多数文件或数据格式在此层运行，包括图像、视频、声音、文档、电子邮件、网页、控制会话等格式。

子主题

负责将用户应用程序、网络服务或操作系统与协议栈连接。它允许应用程序与协议栈通信。应用层确定远程通信伙伴是否可用且可访问，还确保有足够资源来支持所请求的通信。

1.链路层

2.互联网层

3.传输层

4.应用层

在OSI模型的第4层上运行，支持全双工模式，面向连接，采用可靠的会话

安全性比较差

密码较短容易被破解

目前在用的无线加密方式

WPA WPA2 都支持称为 802.lX/EAP 的企业身份验证，这是一种基千端口的标准网络访问控制，可确保客户端在进行正确身份验证之前无法与资源通信。实际上 802.lX 是一种切换系统，允许无线网络利用现有网络基础设施的身份验证服务。通过使用802.lX, 可将其他技术和解决方案（如 RADIUS TACACS 、证书、智能卡、令牌设备和生物识别技术）集成到无线网络中提供相互身份验证多因素身份验证。

受保护的可扩展身份验证协议(Protected Extensible Authentication Protocol, PEAP) EAP法封装在提供身份验证和可能加密的 TLS 隧道中。由于 EAP 最初设计用于物理隔离通道，因此假定为安全通道，因此EAP 通常不加密。 PEAP 可为 EAP 方法提供加密。

轻量级可扩展身份验证协议(Lightweight Extensible Authentication Protocol, LEAP)是针对安全网络架构和保护网络组件WPA TKlP 的思科专有替代方案。这是为了解决在 802.lli/WPA2 系统作为标准之前的 TKlP中存在的缺陷。 2004 年发布了一种名为 Asleap 的攻击工具，可利用 LEAP 提供的最终弱保护。应尽可能避免 LEAP; 建议改用 EAP~TLS, 但如果使用 LEAP, 强烈建议使用复杂密码。

MAC 过滤器是授权无线客户端接口 MAC 地址的列表，无线接入点使用该 MAC 地址来阻止对所有未授权设备的访问。虽然这是一个有用的实现功能，但它可能很难管理，并且往往只在小型静态环境中使用。此外，具有基本无线黑客工具的黑客可发现有效客户端的 MAC 地址，然后将该地址伪装到其攻击无线客户端上。

TKlP 被设计为 WEP 的替代品，不需要替换传统的无线硬件。 TKlP WPA(Wi-Fi 保护访 问）的名称实施到 802.11 无线网络中。 TKlP 改进包括密钥混合功能，该功能将初始化向量（即随机数）与秘密根密钥组合，然后使用该密钥与 RC4 进行加密；序列计数器用千防止数据包重放攻击；并使用了名为 Michael 的强大完整性检查。TKlP WPA 2004 年被 WPA2 正式取代。此外，针对 WPA TKIP 的攻击（即 coWPAtty和基于 GPU 的破解工具）使 WPA 的安全性不可靠。

无线扫描仪用于检测无线网络的存在。由千基站将发射无线电波，即使是禁用 SSID 广 播的基站，也可以检劓到任何未封装在法拉第笼中的活动的无线网络。

黑客操作虚假接入点，该接入点将根据客户端设备的连接请 求自动克隆(或李生)接入点的身份。每当典型设备成功连接到无线网络时，它都会保留无线 网络配置文件。当设备处千相关基站的范围内时，可用这些无线配置文件自动重新连接到网 络。每次在设备上启用无线适配器时，都会在其无线配置文件历史记录中向每个网络发送重 新连接请求

EPP是EDR的变体，就像IPS是IDS的变体一样。 EPP的重点是四个主要的安全功能: 预测、预防、检测和响应。

环形拓扑将每个系统连接为圆上的点

总线拓扑将每个系统连接到干线或主干电缆

IEEE 802.lX

要一直对任何看起来奇怪的、来历不明的或意外的语音通信倍加小心。

在继续进行涉及敏感、个人、财务或机密信息的通话之前，要一直进行身份认证。

对于所有单一语音请求的网络变更行为，要进行“回叫“授权。回叫授权的过程是: 首先断开来电者的通话，然后使用来电者的预设号码回叫该用户(该号码通常存储在 公司目录中)，以验证用户身份。

对信息(用户名、密码、 IP 地址、经理姓名、拨入号码等)进行分级，并渚楚地标识出 可通过语音通信讨论或确认的信息。

如果有人通过电话索要特权信息，而且此人应该知道此种行为是违反公司安全策略 的，那么，你应询问此人请求信息的原因，并再次检验他的身份，还应将此种活动报 告给安全管理员。

严禁通过单一语音通信交出或更改密码。

阻止与语音钓鱼关联的号码。

不要假设显示的来电 ID 是有效的。应该利用来电 ID 标示你不想和谁说话，而不是 确认谁在打电话。

每种连接都有其独特的安全问题。要对所选连接的各个方面进行全面的 检查。可能的连接包括蜂窝/移动通信、 PSTN调制解调器、有线电视互联网服务、数字用户 线路 (DSL)、光缆连接、无线网络和卫星通信

有几种形式的加密协议、加密连接系统以及加密网络服务或应用。根据远程 连接的需要选择合适的安全服务组合。可供选择的服务包括 VPN/TLS。

除了要保护数据流量，还要确保所有登录凭证的安全。需要采用安全身 份认证协议以及必要的中心化远程访问身份认证系统和多因素验证。

远程访问用户有时可能需要技术上的协助。所以必须提供尽可能有效的 获得协助的方法。比如，解决软硬件问题以及培训问题。如果组织无法给远程用户提供必要 的技术支持，可能导致工作效率下降、远程系统受损，或破坏组织整体的安全。

服务是否使用了强身份认证技术?

通信是否采用了开放协议或加密通道?

加密是从端点到中心服务器，还是端到端?

.是否允许真正删除会议内容?

是否对用户活动进行审计与日志记录?

未经授权的实体能否参加私人会议?

与会者能否通过语音、图像、视频或文件共享插入会议?

在传输模式下， IPsec 仅为有效负载提供加密保护，并使原始消息头保待不变。这种类型的 VPN 也被称为主机到主机 VPN 或端到端加密 VPN, 因为通 信在连接的主机之间传输时保持加密。传输模式 VPN 不对通信的报头进行加密，因此最好 仅在单个系统之间的可信网络中使用。当需要跨越不受信任的网络或链接到和/或来自多个系 统时，应使用隧道模式。

隧道模式链路或 VPN 在连接网络(或一个远程设备)边界上的 VPN 设备处终止(即被铀定 或终止)。在隧道模式下， IPsec 通过封装整个原始 LAN 协议数据包并添加自己的临时 IPsec 头，为有效负载和消息头提供加密保护

PPTP(Point-to-Point Tunneling Protocol, 点对点隧道协议)是一种在拨号点对点协议基础 上开发的淘汰的封装协议。它运行在 OSI 参考模型的数据链路层(第 2 层)，用于 IP 网络。 PPTP 使用 TCP 1723 端口。 PPTP 通过 PPP 同样支持的身份认证协议，为身份认证流量提供保护:

第 2 层隧道协议(Layer 2 Tunneling Protocol, L2TP)是结合 PPTP 和 Cisco 的第 2 层转发 (L2F)VPN 协议的特点开发的。

Secure Shell(SSH)是-Telnet(TCP23端口)和许多UMX行“工具(如-rlogin、 rshrexec 和 rep)的安全替代品。 Telnet 提供对系统的明文远程访问，而所有 SSH 传输(身份认证和数据交 换)都是加密的， SSH通过 TCP22端口运行。 SSH经常与终端仿真器程序(如 Minicom或 PuTTY) 一起使用。 SSH 的用例涉及远程连接到 Web 服务器、防火墙、交换机或路由器，以便进行配 置更改。

OpenVPN基千 TLS(正式的 SSL)提供了一个易千配置但安全可靠的 VPN选项。OpenVPN 是一种开源实现，可以使用预共享密码或证书进行身份认证。许多 WAP 支待 OpenVPN, 这是一种本机 VPN 选项，用千将家庭或商业 WAP 用作 VPN 网关。

分割隧道(split tunnel)是一种 VPN 配置，允许 VPN 连接的客户端系统(即远程节点)同时 通过 VPN 和互联网直接访问组织网络。因此，分割隧道同时授予到互联网和组织网络的开 放连接。这通常被认为是组织网络的安全风险，因为当建立分割隧道 VPN 时，存在从互联 网通过客户端到 LAN 的开放路径。通过 VPN 连接到 LAN, 客户机被认为是可信的，因此不 常使用过滤。客户机本身通常没有好的过滤服务。因此，若要传输恶意代码，发起入侵或泄 露机密数据，这种分割隧道路径比直接局域网到互联网链接(由防火墙过滤)更易千使用。

全隧道(full tunnel)是另一种 VPN 配置，在该配置中，客户端的所有流量都通过 VPN 链 路发送到组织网络，然后任何以互联网为目的地的流呈从组织网络的代理或防火墙接口路由 到互联网。全隧道确保所有流晕都由组织网络的安全基础设施过滤和管理。

10.0.0.0 到 10.255.255.255

172.16.0.0 到 172.31.255.255

192.168.0.0 到 192.168.255.255

W AN(wide area network, 广域网)将远距离网络、节点或单独的设备连接起来。 WAN 链 路能改善通信，提高效率，但也会给数据带来风险。

传输日志 (transmission logging)是一种专注千通信的审计技术。传输日志记录源地址、目 标地址、时间戳、识别码、传输状态、报文数量、消息大小等详细信息。对千故障的定位、 非法通信的追踪或系统工作数据的提取，这些信息都是十分有用的。

传输错误纠正(transmissionerror correction)是面向连接或会话的协议及服务的内置功能。 该功能要求在确定一条消息的整体或部分受到了破坏、更改或丢失时，能够向信源发送请求， 要求重新发送消息的整体或部分。