25、网络安全规划与实施全解析

网络安全规划与实施全解析

1. 数据传输的转换与准备

当加密信息到达源端，数据开始在 OSI 模型栈中向上流动时，每一层都会去除相应信息并传递给上一层。例如，当数据进入网络层时，IPSec 会对信息进行解密，然后将其传递给传输层。

虽然考试可能不会直接考查 OSI 参考模型，但我们需要扎实理解信息从源端到目的端在栈中上下流动的方式。

2. 系统间的安全数据传输

之前我们讨论了将 IPSec 作为整体安全架构的一部分进行规划。不过，理解 IPSec 在网络中的重要性很关键。IPSec 会给系统间传输的数据包增加大量开销。就像为安全实施的任何措施一样，在某方面获得优势的同时，必然会在另一方面产生劣势。使用 IPSec 时，劣势就是增加的网络开销会导致通信效率下降。

这就是我们只在网络中被认为必要的位置实施 IPSec 功能的原因。我们当然可以强制让受控制的每个系统都使用 IPSec，但在这种“现在付出还是以后付出”的权衡中，可能会导致系统过于安全，以至于用户无法及时完成任何操作。

使用 IPSec 是数据安全传输的常用且强大的方式。考试时可能会要求实施 IPSec 策略，记住只做符合规划安全目标的事情，不要超出要求。

3. 网站安全规划

假如你得知有地下黑客挑战，要尽可能多地篡改网站，你该如何确保自己的网站不成为受害者呢？实际答案取决于黑客的技术水平以及你对他们的态度。在网站安全方面，管理员常常陷入两难境地。

最初，网络是为了向公众高效分发信息而设计的，所以安全并不是大问题，因为信息是免费且可丢弃的。但随着互联网的发展，我们现在对安全变得非常敏感，因为如今的