【文章內(nèi)容簡(jiǎn)介】 就是說(shuō)系統(tǒng)是看不到這部分內(nèi)存容量的。每個(gè)內(nèi)存通道中有一個(gè)DIMM不被使用，預(yù)留為熱備內(nèi)存。芯片組中設(shè)置有內(nèi)存校驗(yàn)錯(cuò)誤次數(shù)的閾值, 即每單位時(shí)間發(fā)生錯(cuò)誤的次數(shù)。當(dāng)工作內(nèi)存的故障次數(shù)達(dá)到這個(gè)“容錯(cuò)閾值”，系統(tǒng)開(kāi)始進(jìn)行雙重寫(xiě)動(dòng)作，一個(gè)寫(xiě)入主內(nèi)存，一個(gè)寫(xiě)入熱備內(nèi)存，當(dāng)系統(tǒng)檢測(cè)到兩個(gè)內(nèi)存數(shù)據(jù)一致后，熱備內(nèi)存就代替主內(nèi)存工作，故障內(nèi)存被禁用，這樣就完成了熱備內(nèi)存接替故障內(nèi)存工作的任務(wù)，有效避免了系統(tǒng)由于內(nèi)存故障而導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)宕機(jī)。這個(gè)做熱備的內(nèi)存容量應(yīng)大于等于所在通道的最大內(nèi)存條的容量，以滿(mǎn)足內(nèi)存數(shù)據(jù)遷移的最大容量需求。 2）內(nèi)存鏡像—Mirroring 內(nèi)存鏡像是將內(nèi)存數(shù)據(jù)做兩個(gè)拷貝，分別放在主內(nèi)存和鏡像內(nèi)存中。系統(tǒng)工作時(shí)會(huì)向兩個(gè)內(nèi)存中同時(shí)寫(xiě)入數(shù)據(jù)，因此使得內(nèi)存數(shù)據(jù)有兩套完整的備份。由于采用通道間交叉鏡像的方式，所以每個(gè)通道都有一套完整的內(nèi)存數(shù)據(jù)拷貝。 在系統(tǒng)芯片組中設(shè)置有 “容錯(cuò)閾值”。如果任意內(nèi)存達(dá)到了“容錯(cuò)閾值”，其所在通道就被標(biāo)示出來(lái)，另一個(gè)通道單獨(dú)工作。但仍然保持雙通道的內(nèi)存帶寬。內(nèi)存鏡像有效避免了由于內(nèi)存故障而導(dǎo)致數(shù)據(jù)丟失。216。 磁盤(pán)冗余磁盤(pán)方面的冗余就是磁盤(pán)冗余陣列——RAID（Redundant Array of Inexpensive Disk）。是一種把多塊獨(dú)立的硬盤(pán)（物理硬盤(pán)）按不同的方式組合起來(lái)形成一個(gè)硬盤(pán)組（邏輯硬盤(pán)），從而提供比單個(gè)硬盤(pán)更高的存儲(chǔ)性能與數(shù)據(jù)備份能力的技術(shù)。RAID特色是N塊硬盤(pán)同時(shí)讀取速度加快及提供容錯(cuò)性（Fault Tolerant）。 網(wǎng)絡(luò)設(shè)備整機(jī)的冗余主要體現(xiàn)在服務(wù)器、交換機(jī)和路由器這三種網(wǎng)絡(luò)設(shè)備中，其中服務(wù)器和交換機(jī)的冗余使用比較常見(jiàn)。服務(wù)器冗余就是指服務(wù)器的容錯(cuò)，即“容錯(cuò)服務(wù)器”。目前主要有三種方法：服務(wù)器集群技術(shù)，雙擊冗余服務(wù)器方案和單機(jī)容錯(cuò)技術(shù)。交換機(jī)的冗余主要是在核心層進(jìn)行雙交換機(jī)工作，避免因一交換機(jī)出現(xiàn)故障而導(dǎo)致網(wǎng)絡(luò)的癱瘓。網(wǎng)路線(xiàn)路冗余是通過(guò)對(duì)關(guān)鍵設(shè)備提供冗余鏈路來(lái)實(shí)現(xiàn)的。如在核心層和骨干層，甚至在匯聚層的服務(wù)器、交換機(jī)和路由器上，采取雙線(xiàn)路，甚至多線(xiàn)路連接。，以及下級(jí)交換機(jī)與核心交換機(jī)之間的冗余連接方案。每臺(tái)服務(wù)器、下級(jí)交換機(jī)與兩臺(tái)核心交換機(jī)采取雙線(xiàn)路冗余連接。在正常情況下，雙線(xiàn)路連接均可以負(fù)擔(dān)用戶(hù)對(duì)核心層交換機(jī)的連接請(qǐng)求，一旦其中一臺(tái)核心交換機(jī)出現(xiàn)故障，服務(wù)器和下級(jí)交換機(jī)仍可以通過(guò)與另外一臺(tái)核心交換機(jī)連接，提供完整的網(wǎng)絡(luò)線(xiàn)路，為網(wǎng)絡(luò)用戶(hù)提供服務(wù)。 線(xiàn)路冗余 Line redundancy在物理層方的安全保護(hù)方面，網(wǎng)絡(luò)中心機(jī)房和用戶(hù)賬戶(hù)的安全管理也是一個(gè)重要的方面。中心機(jī)房是校園網(wǎng)絡(luò)的核心和神經(jīng)中樞所在，其中安裝了網(wǎng)絡(luò)中核心層和骨干層，甚至包括匯聚層的網(wǎng)絡(luò)連接設(shè)備和服務(wù)器等。這里面的任何一臺(tái)設(shè)備出現(xiàn)問(wèn)題，都可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)通信的癱瘓。而用戶(hù)賬戶(hù)有事最重要的用戶(hù)信息， 賬戶(hù)信息一旦泄露，黑客和其他用戶(hù)就可以很容易地入侵到網(wǎng)絡(luò)，實(shí)施網(wǎng)絡(luò)攻擊，最后導(dǎo)致整個(gè)網(wǎng)絡(luò)無(wú)法正常工作，或者內(nèi)部數(shù)據(jù)遭到破壞、泄露，其損壞程度比網(wǎng)絡(luò)癱瘓可能還嚴(yán)重。除了以上所說(shuō)的線(xiàn)路和設(shè)備冗余之外，還要制定嚴(yán)格的機(jī)房管理制度，以確保機(jī)房設(shè)備和線(xiàn)路不遭受破壞，如關(guān)掉設(shè)備電源，拔掉設(shè)備跳線(xiàn)或用戶(hù)網(wǎng)線(xiàn)等。機(jī)房的管理制度中應(yīng)該包括以下幾方面內(nèi)容（細(xì)節(jié)方面可根據(jù)校園網(wǎng)實(shí)際情況靈活規(guī)定，具體的機(jī)房制度可以自行擴(kuò)展）。機(jī)房電源設(shè)備、插座、線(xiàn)路功率和容量能滿(mǎn)足設(shè)備正常工作需求和消防要求，并配備足夠的消防措施。保持機(jī)房適宜的溫度和濕度，并保持機(jī)房通風(fēng)良好。防止鼠、蟲(chóng)等進(jìn)入機(jī)房，并且保證沒(méi)有雨淋危險(xiǎn)。非機(jī)房設(shè)備管理人員不得隨意進(jìn)入機(jī)房。管理人員離開(kāi)機(jī)房時(shí)，要關(guān)好機(jī)房門(mén)；遠(yuǎn)距離離開(kāi)機(jī)房時(shí)，要給機(jī)房上鎖。賬戶(hù)安全管理方面應(yīng)該主要考慮一下幾個(gè)主要因素（其他方面可根據(jù)實(shí)際需要進(jìn)行擴(kuò)展）。采取復(fù)雜性要求限制，防止用戶(hù)設(shè)置過(guò)于簡(jiǎn)單的賬戶(hù)密碼。限定最低、最高密碼更改的頻率和期限。限定兩個(gè)周期密碼可以禁止想通的最短歷史。限定用戶(hù)不得把賬戶(hù)信息以明文方式記錄在任何地方。 限定用戶(hù)登入時(shí)允許嘗試的最多次數(shù)。不得在有其他人在旁邊時(shí)輸入賬戶(hù)信息。以上賬戶(hù)策略可以通過(guò)“賬戶(hù)策略”中的“密碼策略”（）進(jìn)行配置，如果是工作組網(wǎng)絡(luò)，則要針對(duì)每臺(tái)機(jī)器的本組策略進(jìn)行一一設(shè)置；如果是域網(wǎng)絡(luò)，則只需要對(duì)域組策略進(jìn)行一次性配置即可。 密碼策略 Password policies數(shù)據(jù)是校園網(wǎng)中最重要的資源，是學(xué)校運(yùn)營(yíng)和發(fā)展的基礎(chǔ)。在網(wǎng)絡(luò)安全系統(tǒng)中的數(shù)據(jù)安全管理方面，我們可以通過(guò)設(shè)計(jì)數(shù)據(jù)容災(zāi)方案來(lái)確保數(shù)據(jù)安全。其實(shí)主要的工作就是數(shù)據(jù)的備份與恢復(fù)。故障發(fā)生的損失分析及可行性數(shù)據(jù)保護(hù)模式，現(xiàn)有備份方式的不足，幾年前我們主要采用主機(jī)內(nèi)置或外置的磁帶機(jī)對(duì)數(shù)據(jù)進(jìn)行冷備份，這種方式在數(shù)據(jù)量不大，操作系統(tǒng)種類(lèi)單一，服務(wù)器數(shù)量有限的情況下，不失為一種既經(jīng)濟(jì)又簡(jiǎn)明的備份手段。但隨著校園網(wǎng)計(jì)算機(jī)規(guī)模的擴(kuò)大，數(shù)據(jù)量幾何級(jí)的增長(zhǎng)以及分布式網(wǎng)絡(luò)環(huán)境的興起，校園網(wǎng)將越來(lái)越多的業(yè)務(wù)分布在不同的機(jī)器、不同的操作平臺(tái)上，這種單機(jī)的人工冷備份方式越來(lái)越不適應(yīng)當(dāng)今分布式網(wǎng)絡(luò)環(huán)境，存在以下種種弊端： 數(shù)據(jù)管理工作難以形成制度化，數(shù)據(jù)丟失現(xiàn)象難以避免； 數(shù)據(jù)分散在不同的機(jī)器、不同的應(yīng)用上，管理分散，安全性得不到保障； 難以實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的高效在線(xiàn)備份；運(yùn)行著的系統(tǒng)使得維護(hù)人員寸步難離，業(yè)務(wù)人員工作效率下降；存儲(chǔ)媒體管理困難，如今，用來(lái)存儲(chǔ)數(shù)據(jù)的介質(zhì)越來(lái)越多，各種不同系統(tǒng)下存儲(chǔ)產(chǎn)生的軟盤(pán)、磁帶、光盤(pán)將給管理帶來(lái)很大的困難； 歷史數(shù)據(jù)保留比較困難； 來(lái)自非計(jì)算機(jī)系統(tǒng)因素的隱患,如火災(zāi)、地震等災(zāi)難后的系統(tǒng)重建和業(yè)務(wù)數(shù)據(jù)運(yùn)作。 理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。首先,要使用硬件備份來(lái)防止硬件故障；如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞，則使用網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式。這種結(jié)合方式構(gòu)成了對(duì)系統(tǒng)的多級(jí)防護(hù)，不僅能夠有效地防止物理?yè)p壞，還能夠徹底防止邏輯損壞。 在網(wǎng)絡(luò)系統(tǒng)安全建設(shè)中必不可少的一個(gè)環(huán)節(jié)就是數(shù)據(jù)的常規(guī)備份和歷史保存。一般在生產(chǎn)本地的備份目的主要有兩個(gè)：一是生產(chǎn)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)由于系統(tǒng)或人為誤操作造成損壞或丟失后，可及時(shí)在生產(chǎn)本地實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)；另一個(gè)目的是在發(fā)生地域性災(zāi)難（地震、火災(zāi)、機(jī)器毀壞等）時(shí)，可及時(shí)在本地或異地實(shí)現(xiàn)數(shù)據(jù)及整個(gè)系統(tǒng)的災(zāi)難恢復(fù)。 對(duì)于大多數(shù)機(jī)房管理人員來(lái)說(shuō),備份是一項(xiàng)繁重的任務(wù)。每天都要小心翼翼,不敢有半點(diǎn)閃失,生怕一失足成千古恨。網(wǎng)絡(luò)備份能夠?qū)崿F(xiàn)定時(shí)自動(dòng)備份，大大減輕管理員的壓力。備份系統(tǒng)能根據(jù)用戶(hù)的實(shí)際需求，定義需要備份的數(shù)據(jù)，然后以圖形界面方式根據(jù)需要設(shè)置備份時(shí)間表，備份系統(tǒng)將自動(dòng)啟動(dòng)備份作業(yè)，無(wú)需人工干預(yù)。這個(gè)自動(dòng)備份作業(yè)是可自定的,包括一次備份作業(yè)、每周的某幾日、每月的第幾天等項(xiàng)目。設(shè)定好計(jì)劃后，備份作業(yè)就會(huì)按計(jì)劃自動(dòng)進(jìn)行。數(shù)據(jù)庫(kù)備份和恢復(fù) 在許多人的觀(guān)念里，數(shù)據(jù)庫(kù)和文件還是一個(gè)概念。當(dāng)然，如果你的數(shù)據(jù)庫(kù)系統(tǒng)是基于文件系統(tǒng)的，當(dāng)然可以用備份文件的方法備份數(shù)據(jù)庫(kù)。但發(fā)展至今，數(shù)據(jù)庫(kù)系統(tǒng)已經(jīng)相當(dāng)復(fù)雜和龐大，再用文件的備份方式來(lái)備份數(shù)據(jù)庫(kù)已不適用。是否能夠?qū)⑿枰臄?shù)據(jù)從龐大的數(shù)據(jù)庫(kù)文件中抽取出來(lái)進(jìn)行備份，是網(wǎng)絡(luò)備份系統(tǒng)是否先進(jìn)的標(biāo)志之一。 在線(xiàn)式的索引 備份系統(tǒng)應(yīng)為每天的備份在服務(wù)器中建立在線(xiàn)式的索引，當(dāng)用戶(hù)需要恢復(fù)時(shí)，只需點(diǎn)取在線(xiàn)式索引中需要恢復(fù)的文件或數(shù)據(jù)，該系統(tǒng)就會(huì)自動(dòng)進(jìn)行文件的恢復(fù)。歸檔管理 用戶(hù)可以按項(xiàng)目、時(shí)間定期對(duì)所有數(shù)據(jù)進(jìn)行有效的歸檔處理。提供統(tǒng)一的數(shù)據(jù)存儲(chǔ)格式從而保證所有的應(yīng)用數(shù)據(jù)由一個(gè)統(tǒng)一的數(shù)據(jù)格式來(lái)做永久的保存，保證數(shù)據(jù)的永久可利用性。 有效的媒體管理備份系統(tǒng)對(duì)每一個(gè)用于作備份的磁帶自動(dòng)加入一個(gè)電子標(biāo)簽，同時(shí)在軟件中提供了識(shí)別標(biāo)簽的功能，如果磁帶外面的標(biāo)簽脫落，只需執(zhí)行這一功能，就會(huì)迅速知道該磁帶的內(nèi)容。 (HeartSone Backup)系統(tǒng)是一個(gè)合適的在線(xiàn)備份解決方案。它利用硬盤(pán)、可擦寫(xiě)磁光盤(pán)、磁帶進(jìn)行三層式存儲(chǔ)管理。所謂分級(jí)存儲(chǔ)管理系統(tǒng)是一套自動(dòng)化的網(wǎng)絡(luò)存儲(chǔ)管理設(shè)備，會(huì)自動(dòng)判斷硬盤(pán)中資料的使用頻率，自動(dòng)將不常用的資料移至速度較慢的光盤(pán)，而最不常用的資料則移到磁帶中，這些都由系統(tǒng)管理員自行設(shè)定。在線(xiàn)的資料經(jīng)過(guò)一段時(shí)間的搬移后，即可達(dá)到最佳化。 網(wǎng)絡(luò)備份的最終目的是保障網(wǎng)絡(luò)系統(tǒng)的順利運(yùn)行。所以?xún)?yōu)秀的網(wǎng)絡(luò)備份方案應(yīng)能夠備份系統(tǒng)的關(guān)鍵數(shù)據(jù)，在網(wǎng)絡(luò)出現(xiàn)故障甚至損壞時(shí)，能夠迅速地恢復(fù)網(wǎng)絡(luò)系統(tǒng)。從發(fā)現(xiàn)故障到完全恢復(fù)系統(tǒng)，理想的備份方案耗時(shí)不應(yīng)超過(guò)半個(gè)工作日。 滿(mǎn)足系統(tǒng)不斷增加的需求 備份軟件必須能支持多平臺(tái)系統(tǒng)，當(dāng)網(wǎng)絡(luò)上連接上其它的應(yīng)用服務(wù)器時(shí)，對(duì)于網(wǎng)絡(luò)存儲(chǔ)管理系統(tǒng)來(lái)說(shuō)，只需在其上安裝支持這種服務(wù)器的客戶(hù)端軟件即可將數(shù)據(jù)備份到磁帶庫(kù)或光盤(pán)庫(kù)中。災(zāi)難備份異地存放介質(zhì)的備份。自動(dòng)復(fù)制每日完成后的數(shù)據(jù)，以存放異地作災(zāi)難恢復(fù)。災(zāi)難恢復(fù)措施在整個(gè)備份制度中占有相當(dāng)重要的地位。因?yàn)樗P(guān)系到系統(tǒng)在經(jīng)歷災(zāi)難后能否迅速恢復(fù)。災(zāi)難恢復(fù)操作通?？梢苑譃閮深?lèi)。第一類(lèi)是全盤(pán)恢復(fù)，第二類(lèi)是個(gè)別文件恢復(fù)，還有一種值得一提的是重定向恢復(fù)。216。 全盤(pán)恢復(fù) 全盤(pán)恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難導(dǎo)致數(shù)據(jù)全部丟失、系統(tǒng)崩潰或是有計(jì)劃的系統(tǒng)升級(jí)、系統(tǒng)重組等，也稱(chēng)為系統(tǒng)恢復(fù)。216。 個(gè)別文件恢復(fù)由于操作人員的水平不高，個(gè)別文件恢復(fù)可能要比全盤(pán)恢復(fù)常見(jiàn)得多，利用網(wǎng)絡(luò)備份系統(tǒng)的恢復(fù)功能，我們很容易恢復(fù)受損的個(gè)別文件。只需瀏覽備份數(shù)據(jù)庫(kù)或目錄，找到該文件，觸動(dòng)恢復(fù)功能，軟件將自動(dòng)驅(qū)動(dòng)存儲(chǔ)設(shè)備，加載相應(yīng)的存儲(chǔ)媒體，然后恢復(fù)指定文件。 216。 重定向恢復(fù) 　 重定向恢復(fù)是將備份的文件恢復(fù)到另一個(gè)不同的位置或系統(tǒng)上去，而不是進(jìn)行備份操作時(shí)它們當(dāng)時(shí)所在的位置。重定向恢復(fù)可以是整個(gè)系統(tǒng)恢復(fù)也可以是個(gè)別文件恢復(fù)。重定向恢復(fù)時(shí)需要慎重考慮，要確保系統(tǒng)或文件恢復(fù)后的可用性。 **大學(xué)管理學(xué)學(xué)士學(xué)位論文 第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案 數(shù)據(jù)鏈路層是OSI/RM的7層結(jié)構(gòu)中非常重要的一層，也是安全保護(hù)比較脆弱的一層，尤其是在校園局域網(wǎng)中，因?yàn)榫钟蚓W(wǎng)中只有OSI/RM的最低兩層——物理層和數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層的功能是為網(wǎng)絡(luò)通信提供數(shù)據(jù)傳輸鏈路，并把在物理上傳輸?shù)谋忍亓鞔虬蓭?、編碼，并識(shí)別數(shù)據(jù)源MAC地址，尋找目的MAC地址，對(duì)數(shù)據(jù)在鏈路上的傳輸提供差錯(cuò)和流量控制。數(shù)據(jù)鏈路層的主要特征就是形成MAC地址，并對(duì)物理上的比特流進(jìn)行編碼、成幀、拆幀，以及鏈路控制，為鏈路層提供可靠的數(shù)據(jù)傳輸。這樣一來(lái)我們就清楚黑客基于數(shù)據(jù)鏈路層的攻擊行為了，一是進(jìn)行MAC地址欺騙（如ARP病毒），再就是對(duì)數(shù)據(jù)編碼、成幀機(jī)制進(jìn)行干擾，致使形成錯(cuò)誤的數(shù)據(jù)幀，也可以導(dǎo)致數(shù)據(jù)在數(shù)據(jù)鏈路上的傳輸錯(cuò)誤，甚至數(shù)據(jù)丟失。數(shù)據(jù)鏈路層還有一個(gè)安全風(fēng)險(xiǎn)就是大量的廣播包會(huì)導(dǎo)致網(wǎng)絡(luò)鏈路寬帶資源匱乏，從而最終導(dǎo)致網(wǎng)絡(luò)癱瘓。黑客還可能直接針對(duì)數(shù)據(jù)鏈路層設(shè)備進(jìn)行攻擊，如向交換機(jī)中的內(nèi)容可尋址存儲(chǔ)器(ContentAddressable Memory，CAM）中存入大量的無(wú)效源MAC地址，致使交換機(jī)無(wú)法存入有效的MAC地址，而導(dǎo)致不能正常的MAC尋址。數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密兩種。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中數(shù)據(jù)流進(jìn)行加密，常用的有鏈路加密、結(jié)點(diǎn)加密和端到端加密3種方式。而數(shù)據(jù)存儲(chǔ)則像EFS，PGP這樣的靜態(tài)文件加密。鏈路加密是指?jìng)鬏敂?shù)據(jù)僅在OSI/RM數(shù)據(jù)鏈路層上進(jìn)行加密，只對(duì)中間的傳輸鏈路進(jìn)行加密，不考慮信源和信宿（也就是信號(hào)發(fā)送結(jié)點(diǎn)和接受結(jié)點(diǎn)）。鏈路加密過(guò)程中，所有新消息在從源節(jié)點(diǎn)流出后，被傳輸之前需要加密設(shè)備（加密機(jī)或者集成在網(wǎng)卡的安全模塊）使用下一個(gè)鏈路的密鑰對(duì)數(shù)據(jù)進(jìn)行加密，在下一個(gè)中間節(jié)點(diǎn)接收消息前再由加密設(shè)備用本鏈路的密鑰進(jìn)行解密。然后在流出該中間節(jié)點(diǎn)進(jìn)行下一個(gè)鏈路傳輸前，再由加密設(shè)備使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密。然后再進(jìn)行傳輸，直到消息到達(dá)目的節(jié)點(diǎn)。 encryption schemes由此可以看出，鏈路加密只是用于保護(hù)數(shù)據(jù)在通信機(jī)節(jié)點(diǎn)間的傳輸安全，結(jié)點(diǎn)中的數(shù)據(jù)并不是加密的。在到達(dá)目的結(jié)點(diǎn)之前，一條消息可能要經(jīng)過(guò)許多條通信鏈路的傳輸，中間還要經(jīng)過(guò)許多中間結(jié)點(diǎn)這樣也就需要加、解密多次。由于在每一個(gè)中間結(jié)點(diǎn)消息均被解密后重新加密，因此包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)在傳輸?shù)逆溌飞暇且悦芪牡男问匠霈F(xiàn)的。這樣就可以保證數(shù)據(jù)的傳輸?shù)陌踩?。結(jié)點(diǎn)加密與鏈路加密類(lèi)似，只是將不用加密機(jī)而是在結(jié)點(diǎn)上安裝加密系統(tǒng)。結(jié)點(diǎn)加密不允許消息在網(wǎng)絡(luò)結(jié)點(diǎn)以明文的形式存在。消息到達(dá)結(jié)點(diǎn)時(shí)，先把收到的消息進(jìn)行解密，然后采用另一個(gè)不同的密鑰進(jìn)行加密，在繼續(xù)進(jìn)行數(shù)據(jù)傳輸，以此類(lèi)推，因此，總的來(lái)說(shuō)，它比鏈路加密更安全。端到端機(jī)密是從數(shù)據(jù)通信中的一端到另一端的全程加密方式，而且加密、解密過(guò)程只進(jìn)行一次，在中間結(jié)點(diǎn)沒(méi)有這兩個(gè)過(guò)程。在端到端加密方式中，數(shù)據(jù)在發(fā)送端被加密，只在接收端解密，中間節(jié)點(diǎn)處不以明文的形式出現(xiàn)。但端到端加密是在應(yīng)用層完成的。端到端加密方案總體成本低些，并且與鏈路加密和結(jié)點(diǎn)加密相比更可靠，更容易設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)。端到端加密還避免了其他加密系統(tǒng)所固有的同步問(wèn)題，因?yàn)槊總€(gè)報(bào)文包均是獨(dú)立被加密的，所以一個(gè)報(bào)文所發(fā)生的傳輸錯(cuò)誤不會(huì)影響后續(xù)的報(bào)文包。 端到端加密示意圖 encryption schemes MAC地址綁定在數(shù)據(jù)鏈路層中，用來(lái)標(biāo)識(shí)結(jié)點(diǎn)的就是其MAC地址，它是在局域網(wǎng)中進(jìn)行網(wǎng)絡(luò)通信的基礎(chǔ)。但是在我們平常的網(wǎng)絡(luò)通信主操作中，都不是以MAC地址來(lái)制定目標(biāo)結(jié)點(diǎn)的，而是以IP地址或者NetBIOS 名稱(chēng)來(lái)指定的。這樣就存在一個(gè)IP地址與MAC地址的對(duì)應(yīng)關(guān)系，它們之間的相互解析是通過(guò)ARP(Address Resolution Protocol，地址解析協(xié)議)，或者RARP(Reverse Address Resolution Protocol，反向地址解析協(xié)議)協(xié)議進(jìn)行的。但是只要黑客修改了其中的任何一項(xiàng)，則可能導(dǎo)致找不到真正的目的節(jié)點(diǎn)而導(dǎo)致通信不成功，這就是兩種欺騙：IP地址欺騙和MAC地址欺騙。為了防范這種欺騙我