点对点协议(Point-to-Point Protocol, PPP)：是一种封装协议，旨在支持通过拨号或点对点链路传输 IP 流量。 PPP 是数据链路层协议，允许支持串行链路的 WAN 设备的多供应商互操作

PPP 是 RFC 1661 中记录的互联网标准。它取代了串行线路网间协议(SLIP) 。

SLIP不供身份认证，只支持半双工通信，没有错误检测功能，并且需要手动建立和拆卸链路

PPP支待自动连接配置、错误检测、全双工通信和身份认证选项

用于身份认证的 PPP 选项

IEEE 802.1X 定义了封装 EAP 的使用，以支待 LAN 连接的广泛身份认证选项。基于端口的网络访问控制

802.IX 不是一种无线技术（即 IEEE 802.11)——它是一种认证技术，可以在需要认证的任何地方使用，包括 WAP、防火墙、路由器、交换机、代理、 VPN 网关和远程访问服务器(RAS)／网络访间服务器(NAS) 。

802.lX 容易受到中间人(MlTM)攻击（也称为路径攻击）和劫持攻击

IT 中的端口安全意味着几件事。它可以表示对所有连接点的物理控制，如 RJ-45 墙壁插孔或设备端口（如交换机、路由器或配线架上的端口），以使未经授权的用户或设备无法尝试连接到开放端口

端口安全的另一个含义是管理 TCP 和 UDP 端口

为了确保端口安全性，在允许通过端口或跨端口通信之前，还需要对端口进行身份认证。IEEE 802.1X

服务质量(Quality of Service，QoS)是对网络通信效率和性能的监督和管理。要测虽的项目包括吞吐量、比特率、数据包丢失、延迟、抖动、传输延迟和可用性

PBX 和 PSTN 语音通信易受到拦截、窃听、 tapping 及其他破解技术的攻击，要通过物理安全来保护语音通信的安全

VOIP(Voice over Internet Protocol, 网络电话）:是一种将语音封装在 IP 包中的技术，该技术支持在 TCP/IP 网络中打电话。

VOIP 也是许多结合音频、视频、聊天、文件交换、白板和应用程序协作的多媒体消息服务的基础。

可以使用安全实时传输协议(SRTP)来提供加密

攻击包括所有标准网络攻击，如中间人／路径攻击、劫持、域欺骗和拒绝服务(DoS) 。此外，还存在着对语音钓鱼、电话飞客、欺骗和滥用的担忧

VOIP通信的保护

心怀恶意的个人能通过“社会工程”来攻击语音通信。社会工程能让陌生的、不可信的 或未授权的个人获取组织内部人员的信任，进而获取访问信息或系统的权限

被称为电话飞客(pbreaker) 的恶意攻击者滥用电话系统的方式与攻击者滥用计算机网络 的方式大致相同(“ph” 代表“电话”)

防止语音钓鱼的方法

另一种语音通信威胁是专用交换机(private branch exchange, PBX)：欺骗与滥用。专用交换 机是一种部署在私人组织中的电话交换系统，用于支持多台电话使用少量外部 PSTN 线路，不安全

PBX 可以允许办公室中的 150 部电话共享 20 条租用的 PSTN 线路的访问权

许多 PBX 系统受到恶意攻击，攻击目的是逃避电话费用或隐藏身份。

PBX 安全方案

要保证对所有 PBX 连接中心、电话门户以及配线间进行物理访问控制，以防外部攻击者的直接入侵

在互联网上通过VPN 接入网络。

连接到 WAP（本地环境将其视为远程访问）。

通过瘦客户端连接接入终端服务器系统、大型机、虚拟私有云(VPC)端点、虚拟桌面接口或虚拟移动接口。

用远程桌面服务，如 Microsoft 的 Remote Desktop 、 TeamViewer、 GoToMyPC、LogMeIn、 CitrixWorkspac-e 或邓C，按入位丁办公区的个人计绊扒。

使用基于云的桌面解决方案，如 Amazon Workspace、 Amazon AppStream、 V2 Cloud和 Microsoft Azure

使用调制解调器直接拨入远程访问服务器

前 3 个例子使用完整的客户机。建立的连接就像直接接入局域网(LAN) 。后 3 个例子中，所有计算活动都发生在连接的中央系统中，而不是在远程客户端上

特定服务:特定服务类型的远程访问，为用户提供远程接入和使用单一服务（如邮件）的功能

远程控制 ：远程控制类型的远程访问使远程用户能够完全控制物理上相距遥远的系统。

远程节点操作 ：远程节点操作只是远程客户端与 LAN 建立直接连接时的另一个名称，例如使用无线、 VPN 或拨号连接

抓屏／录屏： 这个术语应用在两个不同场合

远程访问保护措施

远程连接可能带来几个潜在的安全问题

远程连接技术：每种连接都有其独特的安全问题。要对所选连接的各个方面进行全面的 检查。

传输保护 ：有几种形式的加密协议、加密连接系统以及加密网络服务或应用

身份认证保护： 除了要保护数据流量，还要确保所有登录凭证的安全

远程用户助手：远程访问用户有时可能需要技术上的协助。

必须在安全策略中明确的是，未授权的调制解调器不能接入专用网络的任何系统

任何支持不同用户之间进行通信、交换数据、协作完成材料／数据I文档以及其他合作的服务，都可被视为远程会议技术服务

数字合作、虚拟会议、视频会议、软件或应用合作、共享白板服务、虚拟培训方案等

安全性的问题

IM(instant messaging, 即时通信，实时消息或聊天）：是一种实时通信工具，能为互联网上任何地方的两个或更多用户提供基于文字的聊天功能。

虚拟 IP 地址有时用于负载均衡；客户端可以感知 IP 地址，甚至可以将其分配给域名， 但该 IP 地址实际上并没有被分配给物理机器

与负载均衡相关的待久性也被称为一致性。持久性被定义为：当客户端和负载均衡集群 的成员之间建立会话时，来自同一客户端的后续通信将被发送到同一服务器，从而支持通信的持久性或一致性。

主动－主动(active-active)：系统是一种负载均衡形式，在正常操作期间使用所有的可用路径或系统。如果一个或多个通路发生故障，剩余的活动通路必须支持之前由通路处理的所有负载

主动－被动(active-passive)系统：是另一种负载均衡形式，它在正常操作期间使某些路径或系统处于未使用的休眠状态。如果其中一个主动元素出现故障，则被动元素将联机并接管故障元素的工作负载

消息只有收件人可以访问（即隐私与保密性）。

维护消息的完整性。

身份认证和验证消息源。

提供不可否认性。

验证消息的传递。

消息或附件中的敏感内容进行分级。

邮件是较常见的传播病毒、蠕虫、特洛伊木马、文档宏病毒及其他恶意代码的途径。

邮件很少进行本地源验证，假冒邮件地址对于黑客新手来说也不是难事。

拒绝服务(DoS)攻击

类似的 DoS 问题被称为邮件风暴。如果一封邮件的收件人(To:）和抄送人(CC:)行中有大量其他收件人，那么当某人使用“回复全部”(Reply All)进行回应时，则会发生邮件风暴。

与邮件洪水及恶意代码附件类似，垃圾邮件也被视为一种攻击。发送无用的、不合适的或无关的邮件的行为被称为垃圾邮件(spamming)攻击

邮件安全

通过在网络邮件网关系统上拦截附件，能消除来自恶意附件的威胁

未知邮件可能制造麻烦，带来安全风险并浪费系统资源

还可通过邮件信誉过滤器来管理未知邮件。多种服务维护了一套邮件服务的分级系统， 该系统用于确定哪些是标准／正常的通信，以及哪些是垃圾邮件

访问控制

身份认证

机密性和完整性

隧道技术(tunneling)：是一种网络通信过程，通过将协议数据包封装到另一种协议报文中，对协议数据内容进行保护

当数据通过 VPN 链路从一个系统传输到另一个系统时，正常的 LAN TCP/IP 流量被封装在 VPN 协议中。 VPN 协议的作用类似于一个安全信封，它提供了特殊的传递能力（例如通过Internet) 以及安全机制（例如数据加密）

隧道技术也常用于其他非互联系统间的通信

隧道技术通过采用中间网络对合法通过的协议进行封装，以保护内部协议及流量数据的安全

在封装协议过程中会用到加密技术，所以借助隧道技术，能通过不可信网络来传输敏感数据，而不必担心数据泄露或被篡改

例子包括典型的 LAN 电缆连接、无线 LAN连接、远程访问的拨号连接、 WAN 链路，甚至包括利用互联网连接接入办公网络的客户端。

VPN 能连接两个单独的系统或两个完整的网络。唯一的差别在于传输的数据只有在 VPN 隧道中才能得到保护

VPN两种模式

始终在线 VPN(always-on VPN)：是指每当网络链接处于活动状态时，尝试自动连接到 VPN服务的 VPN。始终在线的 VPN 主要与移动设备相关

若能拥有一个始终在线的 VPN, 将确保在每次尝试使用在线资源时建立安全连接。

分割隧道(split tunnel)：是一种 VPN 配置，允许 VPN 连接的客户端系统（即远程节点）同时通过 VPN 和互联网直接访问组织网络，存在安全风险

全隧道(full tunnel)：是另一种 VPN 配置，在该配置中，客户端的所有流量都通过 VPN 链路发送到组织网络，然后任何以互联网为目的地的流呈从组织网络的代理或防火墙接口路由到互联网，安全-经过防火墙

常用的 VPN 协议，即 PPTP、 L2TP 、 SSH、 OpenVPN（即 TLS) 以及 IPsec

1. 点对点隧道协议(PPTP)

2. 第 2 层隧道协议(L2TP)

3. SSH

4. OpenVPN(TLS)

5. IP 安全协议（IPsec）