抵禦對網絡系統的攻擊最常用也是最有效的方法就是加密。實施網絡通信加密時,應該根據網絡系統易受攻擊的薄弱環節,確定加密的位置和加密內容。網絡加密的基本方式有鏈路加密和端對端加密。

鏈路加密是指在每個易受攻擊的鏈路兩端都使用加密設備,從而保證整個通鏈路上數據傳輸的安全性。在對稱密碼系統中,每個加密鏈路兩端的一對節點共享一個密鑰,不同節點對共享不同的密鑰。鏈路加密中數據報進入每個交換機節點時都要進行一次解密操作,因為交換機必須從數據報頭中讀出地址,以便為數據報確定下面的路由。因此鏈路加密中交換機是易受攻擊的薄弱點。

端對端加密是指僅在發生通信的一對用戶端進行加密,通信數據以密文形式進入網絡，由源節點傳送至目標節點。由於僅通信源節點和目標節點共享一個密鑰,因此端對端加密還具有一定程度的認證功能,即數據終端節點可以相信所收到的數據報確實來自源點。但是端對端加密也有弱點,分組交換網絡中數據報由報頭和用戶數據組成,在中間交換節點上必須對數據報頭進行解析以確定後續路由,因此端對端的加密只能對數據報中的用戶數據部分進行,報頭部分必須以明文方式傳送,這就為業務流量分析捉供了機會。