网络安全是云南软考中级网络工程师考试的重要模块——近年来网络安全题目的分值有增加趋势。网络工程师需要掌握基本的网络安全技术——包括防火墙配置VPN技术访问控制列表和加密认证等内容。网络安全的知识点既有理论概念——也有实际配置——在考试中以选择题和配置题的形式出现。本文就来介绍网络安全技术的分类和配置方法。

防火墙技术是网络安全的第一道防线。防火墙按照工作原理分为包过滤防火墙（根据IP地址端口号等头部信息进行过滤——速度快但安全性较低）、状态检测防火墙（除了检查包头部信息还跟踪连接状态——安全性比包过滤高）和应用层防火墙（对应用层内容进行深度检查——安全性最高但性能较低）。防火墙的安全策略配置包括允许和拒绝规则——规则从上到下顺序匹配——匹配到某条规则后就不再检查后面的规则——所以规则的顺序非常重要——最具体的规则放在前面——最宽泛的规则放在后面。防火墙的配置命令包括access-list和class-map等——考试中常考ACL的配置语法

访问控制列表是路由器上实现包过滤的技术。ACL分为标准ACL（只检查源IP地址——编号范围1到99）和扩展ACL（检查源IP目的IP端口号协议类型——编号范围100到199）。配置ACL的步骤是先创建ACL规则——然后在接口上应用ACL——并指定应用方向（inbound或outbound）。ACL的规则匹配原则是隐式拒绝（末尾有一条deny any的默认规则——所有未明确允许的流量都被拒绝）。在配置ACL时——需要先写允许的规则——如果先写拒绝规则——可能会把需要允许的流量也拒绝掉。考试中——ACL的配置语法和顺序逻辑是考点——特别是扩展ACL的配置——需要同时指定源地址和目的地址。

VPN技术用于在不安全的公共网络上建立安全的私有通道。常见的VPN类型有IPsec VPN（通过加密和认证保护IP通信——包括传输模式和隧道模式——使用AH和ESP两种协议）、SSL VPN（通过浏览器建立安全连接——适合远程办公和移动办公——无需安装客户端）和MPLS VPN（利用MPLS标签交换技术在运营商网络内部建立虚拟私有网络——适合企业总部和分支机构的互联）。IPsec VPN的配置过程包括配置IKE策略（定义加密算法认证算法DH组和生存周期）、配置IPsec策略（定义转换集和加密映射）和应用策略到接口。在考试中——IPsec VPN的工作模式和配置步骤是重点——需要理解IKE阶段1和阶段2的作用。

加密和认证技术是网络安全的基础。加密算法分为对称加密（加密和解密使用相同的密钥——包括DES3DESAES和SM4等算法——速度快——适合大量数据的加密）和非对称加密（加密和解密使用不同的密钥——公钥加密私钥解密——包括RSAECC和SM2等算法——速度慢——适合密钥交换和数字签名）。哈希算法用于数据完整性验证——将任意长度的数据压缩为固定长度的摘要——包括MD5SHA1SHA256和SM3等算法。数字证书由CA签发——用于验证通信双方的身份——包含公钥持有者身份和有效期等信息。在考试中——加密算法的分类和适用场景、数字证书的组成部分是选择题的常考内容。网络安全部分的备考建议是理解核心概念——掌握基本配置——结合网络安全的实际案例来加深理解。