2020年4月1日19点27分（UTC时间）至19点33分，美国思科公司旗下的互联网路由监测网站bgpstream.com连续监测到，俄罗斯电信运营商Rostelecom大量向互联网广播不属于自己的IP地址空间。数分钟内，波及超过200家的互联网服务提供商，众多的美国知名公司在列，包括google（谷歌）、Amazon（亚马逊）、Facebook（脸书）、Akamai（知名CDN厂商）、Cloudflare（知名CDN厂商）、GoDaddy（全球最大的域名注册商）等。这是一起典型的网络层安全事件，今天小编就和大家一起叨叨下网络层安全那点事，各位看官请随我来

网络层安全是什么？

网络层示意图

网络层安全指的是网络系统的安全性。

网络层安全所说的网络层不同于OSI七层模型亦或是TCP/IP四层模型中的网络层，它不是某一个具体逻辑层，大家可以将这个网络层简单理解为从网络层面上来考虑网络的安全性。

做好网络层安全需要关注哪些方面？

网络系统主要用于建立通信连接和进行信息传输，做好网络层安全需要聚焦于身份认证、访问控制、数据传输的保密性和完整性、安全协议、路由系统安全、入侵检测和防病毒技术等。
 

• 身份认证

身份认证是一致性验证的一种，验证是建立一致性证明的一种手段，所以也称为“身份验证”或“身份鉴别”，它是互联网上信息安全的第一道屏障。身份认证主要包括验证依据、验证系统和安全要求。

身份认证示意图

计算机在相互通信时，首先要确认操作者的身份是否合法，只有合法的用户才能对请求资源进行访问和使用。因此，需要对计算机和网络系统进行有效的身份管理和策略配置，避免攻击者假冒合法用户获得资源访问权限。

• 访问控制

身份认证是网络安全的第一道防线，但是通过身份认证的用户就一定不会从事非法的活动吗？非也。访问控制技术用来限制访问者具备的权限或者能够访问的资源范围。

访问控制示意图

网络安全管理员，通过配置访问控制策略，控制用户对于服务器、目录、文件等网络资源的访问。主要包括三个方面：

1. 防止非法用户访问受保护的网络资源；
2. 允许合法用户访问受保护的网络资源；
3. 禁止合法用户访问非授权的资源；

• 数据传输的保密性和完整性

数据完整性和机密性

通信双方进行网络传输数据，数据完整性需要保证信息接收方能够收到发送方发送的所有数据，数据保密性需要保证信息在传输过程中不被非法的第三方获取。可详细参见小编前期文章《「网络安全知识篇」——五大目标》。

• 安全协议

IPSEC示意图

网络通信协议是进行各种数据传输的基础，很多协议由于设计之初没将安全因素考虑进去，导致自身存在天然安全缺陷，易被攻击者利用。因此，各类安全协议应运而生，IPSec、SSL/TLS、HTTPS等，在新应用或通信过程中，小编建议大家多多关注和使用相关的安全协议。

• 路由系统安全

路由信息示意图

路由器是最常见的网络设备，用于连接多个网络或网段，实现跨网络或网段的数据转发，它是网络中非常关键和重要的安全保护点。黑客可以通过攻击和控制路由器，进行信息窃听和篡改，从而破坏数据的完整性和保密性。路由系统安全分为路由器操作系统安全和路由信息传输安全。做好路由操作系统安全可以针对系统经常打补丁，并对系统的安全策略进行定期检查。做好路由信息传输安全需要保证路由信息的完整性和保密性，避免攻击者发送和传播伪造路由。

• 入侵检测

两级融合入侵检测原理图

入侵检测顾名思义是对入侵者进行检测。通过收集网络日志、安全日志、流量数据等，根据安全检测策略发现攻击行为或迹象。作为一种积极主动的防御技术，提供了对内部攻击、外部攻击和误操作的实时检测和防护，在系统遭遇大规模攻击之前，及时拦截和响应。

• 防病毒

防病毒示意图

网络防病毒主要通过扫描和监控技术，通过对网络中大量客户端的监测，根据病毒检测模型和策略，发现并处理病毒。但是随着恶意程序的日益增多，杀毒软件已经无法有效地处理快速变种和飞速新增的病毒，未来的防病毒工作可能需要借助强大的威胁情报及各类新技术，通过全网海量信息的实时采集、分析和处理，实现及时可靠的病毒查杀。

目前主要的防病毒技术有脱壳技术、自我保护技术、主动防御技术、启发技术、虚拟机技术和人工智能技术等。