構建安全網絡的過程包括了解網絡麵臨的安全問題和引發安全問題的原因，掌握黑客攻擊手段，針對性地提出防禦黑客攻擊的網絡安全技術，並將這些網絡安全技術有機集成在一起，構成實現安全網絡設計目標的網絡安全體係。

1.1.1網絡結構

網絡結構由終端、轉發結點和鏈路組成，終端主要用於完成信息的采集、處理和存儲。在信息技術領域，信息是一種用二進製表示的數據。鏈路和轉發結點構成端到端通信係統，用於實現兩個終端之間的信息傳輸過程。網絡的功能是實現資源共享，允許某個終端共享其他終端的處理器、文件等資源，但這種共享必須受到嚴格控製，這種控製通過授權實現。因此，更確切地說，網絡的功能是保證終端共享已經授權共享的資源。由於人們發明網絡的原旨是為了實現相互通信，共享資源，因此，網絡的結構不但帶有開放性，而且一切都是為方便通信和信息訪問而設計的，但發明網絡的人根本想象不到Internet會在20世紀90年代如此快速地普及，並與人們的生活緊密相關，人們的大量活動在網上開展，電子銀行、網上購物已成為時尚，網絡也因此成了攻擊目標，開始麵臨各種各樣的安全問題。

1.1.2非法訪問

網絡結構首先麵臨的安全問題是竊取網絡中的信息。信息是網絡中最重要的資源，信息安全與否已經影響到個人、企業，甚至一個國家的根本利益。網絡中主要有存儲在終端中的信息和網絡傳輸過程中的信息，因此，針對信息的竊取操作也是以這兩類信息為對象展開的。

所謂竊取信息，是指某個用戶非法獲得沒有授權他所獲得的信息。將這種非法獲得信息的過程稱為非法訪問。非法訪問存儲在終端中的信息可以通過物理接觸終端，將終端中的信息複製到移動媒介中實現，也可以通過網絡，用Telnet、遠程桌麵係統這樣的遠程訪問工具實現。非法訪問網絡傳輸過程中的信息需要截獲或嗅探端到端傳輸過程中的信息。

為用外接集線器竊取信息的例子。集線器具有廣播傳輸特性，從集線器某個端口進入的數據將從所有其他端口廣播出去，因此，接在集線器其中一個端口上的信息竊取者可以獲得交換機1和交換機2之間傳輸的所有數據。的信息竊取者隻能獲取兩個交換機之間傳輸的信息，但無法終止信息正常傳輸過程，這種竊取信息方式稱為嗅探。

1.1.3非法篡改

非法篡改信息是指某個用戶改變沒有授權他改變的信息，如刪除終端中的某個重要文件，改變終端中某個用戶的訪問權限，改變經過網絡傳輸的信息。，篡改者中途攔截源終端傳輸給目的終端的信息，改變其內容後，再發往目的終端。攔截或截獲將終止信息正常傳輸過程，因此，源終端發送的、被篡改者攔截的信息無法通過正常傳輸路徑到達目的終端。

1.1.4冒名頂替和重放攻擊

如，終端B是一台服務器，授權終端A進行管理，因此，終端B接收到管理消息時，確認管理消息的發送端是終端A時才執行管理消息包含的命令，發送端鑒別過程通常就是一個檢查封裝管理消息的IP分組的源IP地址的過程。終端C為了讓終端B執行有利於它的命令，冒充終端A與終端B通信，即用終端A的IP地址作為封裝終端C發送的管理消息的IP分組的源IP地址。

，篡改者截獲源終端發送給目的終端的信息後，複製一份，然後不加修改地轉發給目的終端，經過一段時間後，篡改者可以再次轉發原先複製的信息，使目的終端重複接收源終端發送的信息，這種攻擊方式稱為重放攻擊。如果該信息包含源終端要求目的終端完成某次交易的命令，如購買一定數量物品的指令，重放攻擊將導致目的終端重複進行多次交易。

1.1.5偽造重要網站

黑客通過DNS欺騙將某個重要網站的域名解析成黑客終端的IP地址，當用戶用該重要網站的域名訪問網站時，實際進入了黑客偽造的Web頁麵，用戶登錄時輸入的私密信息（如用戶名和口令、銀行賬號和密碼）被黑客截獲，黑客可以利用這些私密信息實施破壞活動。

1.1.6抵賴曾經發送或接收過信息

隨著電子商務的開展，大量商務活動通過網絡進行，如果用戶A通過網絡發送要求經紀人B完成某次交易的信息，但隨後後悔，用戶A可以否認曾經向經紀人B發送過要求完成該次交易的信息。同樣，經紀人B為了自身利益也可以否認曾經接收過用戶A要求完成該次交易的信息。

1.1.7拒絕服務攻擊

拒絕服務（DenialofService,DoS）攻擊就是用某種方法耗盡網絡設備、鏈路或服務器資源，使其不能正常提供服務的一種攻擊手法。目前常見的拒絕服務攻擊主要有利用操作係統或應用程序漏洞使服務器崩潰；通過發送大量垃圾信息浪費鏈路帶寬，使正常信息因為阻塞而被丟棄。