网络安全复习提纲

第一讲：
1.网络安全的含义
通用定义：
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全的领域:
网络安全从其本质上来讲就是网络上的信息安全。

它涉及的领域相当广泛。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。

2.网络安全的威胁、网络安全技术、网络安全服务的概念
网络安全威胁：是指计算机和网络系统所面临的、来自已经发生的安全事件或潜在安全事件的负面影响，这两种情况通常又分别称为现实威胁和潜在威胁。

网络安全技术：解决或缓解网络安全威胁的手段或方法。

网络安全服务：网络安全技术应用具备的安全功能称为网络安全服务。

3.导致网络安全威胁的原因
a)系统的开放性
b)系统的复杂性。

c)人的因素
第三讲：
1.ARP协议的用途、缺陷、ARP攻击的原理（ARP欺骗、ARP恶作剧、ARP洪泛）
ARP协议的用途：
ARP协议的缺陷：
按照RFC的规定，PC在发ARP响应时，不需要一定要先收到ARP请求报文，局域网中任何一台PC都可以向网络内其他PC通告：自己就是PC A和MAC A的对应关系，这就给攻击者带来可乘人之危的漏洞！
ARP欺骗：
a)原理：利用ARP协议缺陷，发送虚假的ARP请求报文和响应报文，报文
中的源IP和源MAC均为虚假的。

b)目的：修改局域网中被攻击主机的ARP缓存表，使得被攻击主机的流量
都可流入到攻击者手中。

c)常用工具：ARPSpoof
ARP恶作剧：
原理：同ARP欺骗
目的：不是窃取报文，而是扰乱局域网中合法PC中保存的ARP表，使得网络中的合法PC无法正常上网、通讯中断。

ARP洪泛：
恶意用户发出大量的ARP报文，使得被攻击主机的ARP缓存表溢出，影响用户
的正常使用。

2.什么是拒绝服务攻击（Dos）、拒绝服务攻击的目的是什么？拒绝服务攻击的分类，分布
式拒绝服务攻击的原理
拒绝服务：它是攻击者利用一定的手段，让被攻击主机无法响应正常的用户。

拒绝服务攻击的类型按其攻击形式分为：
导致异常型：利用软硬件实现上的编程缺陷，导致其出现异常，从而使
其拒绝服务。

如Ping of Death攻击等。

资源耗尽型：
通过大量消耗资源使得攻击目标由于资源耗尽不能提供正常的服务。

视资源类型的不同可分为带宽耗尽和系统资源耗尽两类。

带宽耗尽攻击的本质是消耗掉目标网络的所有带宽，如Smurf攻等。

系统资源耗尽型攻击指对系统内存、CPU或程序中的其他资源进行
消耗，使其无法满足正常提供服务的需求。

如Syn Flooding攻击等。

分布式拒绝服务（DDoS)
❍DDoS:Distributed Denial of Service
❍DDoS是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

3.针对TCP的欺骗常见的有哪些
a)简单TCP欺骗（攻击连接建立阶段）
非盲攻击（攻击者和被欺骗的目的主机在同一网络上，即局域网内）、盲攻击
（攻击者和被欺骗的目的主机不在同一网络上）
b)TCP会话劫持（攻击数据发送阶段）
c)RST和FIN攻击（攻击连接复位、释放）
4.Smurf攻击是什么攻击，其基本思想是什么
反射式拒绝服务攻击
Smurf攻击基本思想：
攻击者伪造一个ICMP（Internet Control Message Protocol,网际控制报文协议）请求数据包, 源地址为受害主机（即被攻击主机）地址，目标地址为某个网络（称为“反弹网络”）的广播地址，当反弹网络的所有主机返回ICMP应答数据包时将淹没受害主机。

nd攻击属于什么类型的拒绝服务攻击
反射式拒绝服务攻击
Land攻击原理：发送一个特别定制的SYN分组
❍源地址和目的地址都设为目标机地址
❍源端口号和目的端口号相同
6.SYN Flooding攻击的基本原理
当前最流行也是最有效的DoS攻击之一
SYN flooding攻击基本原理：
1.阻止三次握手过程的完成，特别是阻止服务器端接收客户端的TCP确认标志ACK。

使服务器相应端口处于半开放状态。

2.由于每个TCP端口支持的半开放的连接数目是有限的，一旦超过了这个限制，服务器方将拒绝以后到来的连接请求，直到半开放连接超时关闭。

SYN flooding攻击成功的基础：必须保证伪造数据包的源IP地址（即客户端地址）是可路由的、但不可达的主机地址。

7.DNS欺骗的目的，基本原理
DNS攻击目的：
将用户想要浏览的网页的URL改写为指向攻击者自己的服务器。

实施DNS欺骗的基本思路：
DNS欺骗的基本原理：
让DNS服务器的缓存中存有错误的域名-IP地址对，即在DNS缓存中存放一
个伪造的缓存记录。

为此，攻击者首先需要伪造一个用户的DNS请求,其次再
伪造一个查询应答
第四讲：
1.什么是MAC？MAC是什么的缩写，MAC函数和Hash函数的区别是什么
Message Authentication Code，消息认证码
MAC的目的是在未用任何附加机制情况下，用于保证消息源及其完整性。

消息认证码，又称MAC，也是一种认证技术，它利用密钥来生成一个固定长度的短数据块（MAC），并将该数据块附加在消息之后。

(M)
MAC的值依赖于消息和密钥：MAC = C
k
消息M的长度是可变的；密钥K是要保密的，且收发双方共享。

C 是MAC算法(函数）；
MAC函数与加密算法类似，但MAC算法不要求可逆性，而加密算法必须是可逆的。

MAC函数和Hash函数的区别：
MAC函数需要对全部数据进行加密，速度慢；杂凑函数不需要共享的密钥，直接产生鉴别码，常用于数据报文的认证。

2.消息认证的概念，别称，提供消息认证的常用方法是什么？消息认证与身份认证的区别
消息认证的概念、别称：
1.消息认证是这样的一种认证，一方被确证在过去的某个时间（通常没有给出）产生
了指定数据。

报文认证？
消息认证确保收到的数据确实和发送时的一样（即没有修改、插入或重放），即消息认证是用来验证消息完整性的一种机制或服务；
消息认证确保消息的发送方声称的身份是真实有效的；
2.数据源认证是类似于数据源认证的术语。

3.交易认证是增加了对数据提供唯一性和时间保证的消息认证
唯一性和时间保证是通过恰当地是用时变参数（tvp）来提供的，包括挑战
-响应协议中的随机数、序列号和时戳；
交易认证可防止不可察觉的消息重放；
提供消息认证的方法：消息认证码（MAC）、数字签名方案。

消息认证与身份认证的区别：
⏹消息认证本身不提供时间性，而实体认证一般都是实时的；
⏹实体认证所涉及的通常是没有意义的消息，而不是特别实体所声称的
消息，消息认证涉及的才是特别实体所声称的消息。

3.Hash函数的功能，别称，用途
杂凑函数又称为Hash函数（哈希函数）、散列函数、消息摘要函数、数字摘要、数字指纹。

杂凑函数的输出，称为杂凑码，也称为杂凑值、杂凑结果，散列值、消息摘要、Hash值、指纹信息、数字摘要
杂凑函数实现对报文信息的完整性认证。

它通过一个通常称为杂凑函数的变换，对不同长短的报文信息产生长度相同的杂凑值，附在报文后面作为对报文完整性的校验。

杂凑值用如下形式的函数H产生:h=H(M)，其中M是变长的报文，H(M)是定长的杂凑值。

4.散列值的别称
同上
5.什么是AAA服务，3A分别代表的英文单词是什么
为了保护网络资源及落实安全政策。

需要提供可追究责任的机制：认证、授权及审
计。

a)认证(Authentication)：对用户身份或用户访问对象的资格的验证。

b)授权（Authorization）：授权是指当用户身份被确认合法后，赋予该用户
进行文件和数据等操作的权限。

这种权限包括读、写、执行及从属权等。

c)审计（Auditing）：每一个人都应该为自己所做的操作负责，所以在做完
事情之后都要留下记录，以便核查责任。

6.什么是OTP?OTP是什么的缩写，OTP的基本思想，OTP机制中不确定因子的选择方式有
哪几种方式？基于事件同步的动态口令机制的基本原理、认证过程
什么是OTP（缩写）：
一次性口令机制（One Time Password，OTP）
OTP的基本思想：
在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程的安全性。

例如：登录密码=MD5（用户名+密码+时间）。

一次性口令机制不确定因子的选择方式：
❍挑战/应答
❍时间同步
❍事件同步
事件同步
基于事件同步(Event Synchronization)的动态口令机制又称为Lamport方式或哈希链(Hash chains)方式。

事件同步机制是以事件(例如使用次数或序列数)作为变量。

基于事件同步动态口令机制的认证过程
1)在初始化阶段选取一个口令PW和一个迭代数n，及一个单向散列函数H。

2)计算Y=H n(PW) ，把Y和n的值存储于认证服务器上。

3)客户端计算Y′=H n-1(PW)，将计算结果提交给服务器。

4)服务器则计算Z=H(Y′)，并将z值与服务器上保存的Y值进行比较。

如果
Z=Y，则验证成功．然后用Y′的值取代服务器上保存的Y值，同时将n的
值递减1。

图5 基于事件同步动态口令机制的认证过程
7.KerBeros的用途？KerBeros协议的消息含义，KerBeros的参与方式及其功能
课件：
Kerberos是一种分布式环境下的认证协议；
Kerberos的基础是Needham- Schroeder协议；
Kerberos采用对称加密算法(DES)
Kerberos利用了一个可信的第三方认证服务器来完成客户端和服务端的认证；
a)客户端、服务器端
b)认证服务器（AS）
书：
Kerberos是美国麻省理工学院（MIT）开发的认证协议，是一种实用的网络认证系统。

Kerberos协议的设计目标是，通过网络通信的实体可以互相证明彼此的身份，可以抵抗旁听和重放等方式的攻击，并且还可以保证通信数据的完整性和保密性。

8.什么是PKI（IETF对PKI的定义，PKI是什么的缩写）PKI系统的组成与功能，CA提供那
些服务，什么是CRL，CRL是什么的缩写
PKI：Public Key Infrastructure,公钥基础设施
IETF定义：PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。

PKI的组成：（课件）
认证机构CA：证书的签发机构，它是PKI的核心，是PKI应用中权威的、可信的、公正的第三方机构
证书库：证书的集中存放地，提供公众查询
密钥备份及恢复系统：对用户的解密密钥进行备份，当丢失时进行恢复，而签名密钥不能备份和恢复
证书废除处理系统:证书由于某种原因需要作废，终止使用，这将通过证书作废列表来完成
PKI应用系统接口：为各种各样的应用提供安全、一致、可信的方式与PKI交互，确保新建立起来的网络环境安全可靠。

终端实体EE：是指PKI产品或服务的最终使用者，可以是个人、组织或设备。

认证机构：Certificate Authority
PKI的组成：（书）
一个典型、完整、有效的PKI应用系统至少应具有以下部分：
1.认证中心
2.注册机构
3.业务受理点
4.LDAP目录服务器
CA提供哪些服务：
CA负责生产、分配并管理PKI结构下所有用户（包括各种应用程序）
的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证
用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布。

什么是CRL、缩写：
CRL（Certificate Revocation List,证书黑名单，证书吊销列表）是由CA认证中心
定期发布的具有一定格式的数据文件，它包含了所有未到期的已被废除的证书（由
CA认证中心发布）消息。

9.数字证书的概念，作用，X.509数字证书的格式（包含那些字段，各字段的含义）
数字证书的概念：
a)数字证书是一段包括用户身份信息、用户公钥信息以及证书签发中心数字签名的数
据。

b)数字证书是PKI的核心元素
c)数字证书是权威的电子文档，它是由具备权威性、可信任性和公正性的第三方机构
签发的。

d)数字证书是网上身份的证明
e)数字证书是公钥的载体
f)数字证书是符合标准的电子证书。

X.509数字证书的格式：
书上P105 带图
第五讲：
1.防火墙的分类
根据防火墙被保护的对象的不同：
a)主机防火墙
b)网络防火墙
根据防火墙自身性能：
c)百兆防火墙
d)千兆防火墙
根据防火墙的实现平台：
e)基于Windows平台的Windows防火墙
f)基于Linux平台的Linux防火墙
根据防范技术：
g)包过滤型防火墙
h)全状态检测防火墙
i)应用层代理
j)地址翻译防火墙
根据防火墙的存在形式：
k)软件防火墙
l)硬件防火墙
m)芯片级防火墙
2.什么是NAT，NAT的两种使用场合，NA T的三种类型
什么是NAT：
网络地址翻译(NAT,Network Address Translation)就是将一个IP地址用
另一个IP地址代替。

NAT技术中将不合法IP转换为合法IP。

NAT的两种使用场合：
内部网络的IP地址是无效的IP地址，这种情况主要是因为现在的IP地址不够用。

网络管理员希望隐藏内部网络的IP地址。

NAT有三种类型：
静态NAT(Static NAT)：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
NAT池(Pooled NAT)：也叫动态NAT。

NAT池在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。

主要应用于拨号。

端口NAT（PAT）：PAT把内部地址映射到外部网络的一个IP地址的不同端口上。

PAT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合
法的IP地址后面。

3.分布式防火墙的体系结构（包括哪三个部分），主机防火墙与个人防火墙有什么区别？
分布式防火墙的体系结构（根据所需完成的功能）：
a)网络防火墙（Network Firewall）
b)主机防火墙（Host Firewall）
c)中心管理（Central Managerment）软件
主机防火墙与个人防火墙区别：
❒分布式防火墙系统中针对桌面应用的主机防火墙与个人防火墙有相似之处：它们都对应个人系统。

❒主机防火墙与个人防火墙的不同之处有：
管理方式不同：个人防火墙的安全策略由系统使用者自己设臵，而主机防火墙的安全策略由整个系统的管理员统一安排和设臵。

目标不同：个人防火墙目标是防外部攻击；主机防火墙除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是
桌面机的使用者不可见和不可改动的.
面向的用户不同：个人防火墙面向个人用户，而主机防火墙是面向企业级客户的。

4.防火墙的体系结构（三种，每种体系结构的组成）
1、双宿网关防火墙
双宿网关防火墙=双宿主机＋应用网关防火墙软件（装在双宿主机上）
2、屏蔽主机防火墙
屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任
3、屏蔽子网防火墙
屏蔽子网防火墙由两个包过滤路由器和一个保垒主机。

屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保
护体系—DMZ网络。

DMZ和内部网络被内部路由器分开,堡垒主机位于DMZ上。

DMZ：De Militarized Zone,非军事化区
（4、组合结构防火墙；）
5.包过滤防火墙、状态防火墙、代理网关防火墙的工作层次
包过滤（Packet Filtering）防火墙：工作在协议簇的网络层和传输层。

状态检测防火墙（Stateful Packet Inspection，SPI ）又称动态包过滤防火墙，解决途径：检查TCP控制位（如SYN、ACK等标志），检查某个连接的传输层信
息
应用网关防火墙（AGF,Application Gateway Firewall）通常称为“应用代理防火墙”或简称为“应用网关”：在网络的应用层上实现协议过滤和转发功能。

它针对
特定的网络应用服务协议。

6.什么是DMZ，它是什么的缩写？DMZ的用途？
DMZ：防火墙引用了这一术语，指在一个逻辑上与内部网络和外部网络分离的区域。

7.包过滤防火墙与状态防火墙的异同
与包过滤防火墙比，状态防火墙优势：
a)状态防火墙了解连接的各个状态，因此可以在连接终止后及时阻止此后来
自外部设备的该连接的流量，防止伪造流量通过。

b)状态防火墙通过使用状态表能够阻止更多类型的DoS攻击。

c)状态防火墙无须为了允许正常通信而打开更大范围的端口。

d)状态防火墙具有更强的日志功能。

状态防火墙的局限性：
1.无状态的协议：它在处理无状态的协议状态时会有问题，如UDP、ICMP 等；
2.多个应用连接：不能很好的处理那些打开附加连接来传输信息的协议，这
些协议包括FTP、NetBIOS、多媒体等。

3.状态表的大小：在大型的网络中，状态防火墙可能忙于建立和维护状态表，
给其处理能力增加额外的负担，状态防火墙监控的连接越多，就需要越强
大的状态防火墙来维护状态表，这增加了其成本。

第六讲：
1．什么是VPN？VPN是什么的缩写？
VPN是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接。

Virtual Private Network，虚拟专用网
2．构建VPN的三项技术是什么？
为满足VPN功能要求，一个完整的VPN方案涉及三个方面的关键技术：
（1）VPN的隧道技术
隧道技术技术是构建VPN的核心技术。

（2）安全技术
加解密技术、密钥管理技术、使用者身份与设备认证技术
（3）在网络中提供服务质量保证的技术
Qos机制：
3．VPN中隧道的概念
1)隧道技术的核心内容是指利用一种协议（该协议称为隧道协议）来传输另一种
网络协议。

2)隧道技术实质上是一种封装，将一种协议（协议X）封装在另一种协议（协议
Y）中传输，从而实现协议X对公用传输网络(采用协议Y)的透明性。

3)隧道协议是一种封装协议，它把其它协议的数据帧或包重新进行封装，然后再
在重新封装后的数据上添加一个头部，头部提供了路由信息，从而使封装的负
载数据能够通过具有路由功能的公共网络进行传输。

4)被封装的数据包或帧在隧道的两个端点之间通过公共互联网络进行路由。

5)被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。

隧道利
用隧道协议来实现。

6)在VPN中，隧道用于连接两个VPN端点,用来提供一个暂时的安全的公共网
络的路径
7)注意：隧道技术涉及到数据的封装，传输和解包等全过程。

4．隧道的三要素是什么？
①隧道开通器(TI)；
②有路由能力的公用网络；
③一个或多个隧道终止器(TT)；
5．隧道技术涉及到哪三种协议
隧道技术涉及到三种协议：
1.乘客协议（PassengerProtocol）
2.隧道协议（EncapsulatingProtocol）
3.运载协议（CarrierProtocol）
6．VPN的详细分类，VPN的关键技术
VPN的详细分类：
按隧道协议层次划分：
（1）二层隧道VPN：是将整个PPP帧封装在内部隧道中。

现有的第二层
隧道协议有：PPTP、L2F(二层转发协议）、L2TP。

（2）三层隧道VPN：隧道内只携带第三层报文。

现有的第三层隧道协议主要
有：GRE（Generic Routing Encapsulation,通用路由封装
协议)、IPSec协议簇。

（3）介于二、三层间的隧道协议：MPLS
按VPN发起主体划分：
（1）客户发起，也称基于客户的VPN
（2）服务器发起，也称客户透明方式或基于网络的VPN
按VPN业务类型划分：
（1）Access VPN
（2）Intranet VPN
（3）Extranet VPN
VPN的关键技术：
1.VPN的隧道技术：隧道技术是构建VPN的核心技术；
2.安全技术：加解密技术、密钥管理技术、使用者身份与设备认证技术；
3.在网络中提供服务质量保证的技术。

7．ExtranetVPN与Intranet VPN的概念与区别
Intranet VPN：即企业的总部与分支机构间通过公网构筑的虚拟网。

内部网VPN的
安全性取决于两个VPN服务器之间加密和验证手段上。

Extranet VPN：即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通
过公网来构筑的虚拟专用网。

它能保证包括TCP和UDP服务在内的
各种应用服务的安全。

两者的区别在于Extranet VPN往往结合PKI使用。

8．IPSec体系中几个主要协议的名称
IPSec协议簇主要内容包括：
1协议框架－RFC2401；
2安全协议：AH协议－RFC2402、ESP协议－RFC2406；
3密钥管理协议：IKE －RFC2409 、ISAKMP－RFC2408、OAKLEY协议
－RFC2412。

4密码算法：HMAC－RFC2104/2404、CAST－RFC2144、ESP加密算法－
RFC2405/2451等。

5其他：解释域DOI－RFC2407、IPComp－RFC2393、Roadmap－RFC2411。

9．IPSec中AH和ESP分别提供哪些服务？
AH：鉴别头协议（AH—Authentication Header）
AH能提供的主要服务：
数据完整性校验
数据源鉴别
可选的抗重放服务
注意：AH不提供传输数据的保密性
ESP ：Encapsulating Security Payload ----封装安全净荷协议
ESP功能：提供更高级别的安全保护
访问控制
数据保密性
数据源鉴别（鉴别是可选的）
数据的完整性
重放保护
有限的流量保密性
10.IPSec是那一层的隧道协议？
IPSec是IP层（网络层）用来提供通信安全的一套协议簇，是一个应用广泛、开放的VPN协议
11.IPSec的工作模式（名称、使用场合）
传输模式：
如果要求主机A和主机B之间流通的所有传输层数据包都要加密，则采用ESP的传输模式，但如果只需要对传输层的数据进行认证，则也可以使
用AH的传输模式。

在这种模式中，IPSec模块安装在A、B两个端主机上
隧道模式：
当安全保护能力需要由一个设备来提供，而该设备又不是数据包的始发点时，或者数据包需要保密传输到与实际目的地不同的另一个目的地时，需要采用
隧道模式。

该应用中IPSec模块安装于安全网关上。

12.IPSec在每种模式下保护的数据是什么？两种模式下数据封装图
传输模式（transport mode）：为IP 的上层协议提供安全保护
隧道模式（tunnel mode）：对整个IP 分组提供安全保证
13.IPSec的两种实现方式是什么？有什么异同
传输模式（transport mode）
为IP 的上层协议提供安全保护（保护IP payload，如TCP/UDP）
对IP payload 进行加密（或可选的认证）
在协议栈中运行在IP 协议之上
典型应用：主机之间的端到端应用
隧道模式（tunnel mode）
对整个IP 分组提供安全保证（加密/认证），原始IP 分组和安
全字段（AH/ESP) 一起被封装在一个新的IP 分组中；
封装后，原分组通过一个“隧道”从网络的一点传送到另一
点；
传输过程中任何节点都无法看到原分组的内容（包括其IP 头）；
提供更高的安全性；
典型应用：具有安全网关的互联环境中（如VPN)。

14.IPSec中安全关联的概念
安全关联（security association,SA)的概念是IPsec的基础。

AH和ESP协议均使用SA。

IKE协议的一个主要功能就是动态建立SA。

SA的定义：
为了给需要受保护的数据流提供安全服务，通信对等方之间要对某些安全参数进行协商。

IPSec协议使用IKE协议实现安全参数的协商。

IKE将这些安全参数构成的集合称为安全关联（SA，Security Association）
系统中所有SA 都记录在SAD数据库中
SAD:安全关联数据库
SAD 实际上记录了系统中所有SA 使用的参数
15.三个二层隧道协议的名称
二层隧道协议：
1、PPTP：Point to Point Tunneling Protocol
2、L2F:Layer 2 Forwarding
3、L2TP:Layer 2 Tunneling Protocol
16.L2TP协议能提供什么样的服务？能提供数据的加密服务吗？
L2TP（Layer2 Tunneling Protocol，二层隧道协议）
a)L2TP是目前使用最为广泛的VPDN隧道协议。

b)L2TP结合了L2F和PPTP的优点，可以让用户从客户端或服务器端发起
VPN连接。

c)L2TP是把链路层PPP帧封装在公共网络如IP、ATM、帧中继网中进行隧
道传输的封装协议。

L2TP仅仅定义了控制包的加密传输方式，对传输的数据并不加密。

17.SSL协议工作在什么层次，主要用途是什么？
SSL(Secure Sockets Layer 安全套接层)的实现属于SOCKET层，出于应用层和传输层之间。

SSL协议提供的服务主要有：
1）认证用户和服务器，确保数据发送到正确的客户机和服务器；
2）加密数据以防止数据中途被窃取；
3）维护数据的完整性，确保数据在传输过程中不被改变。