十、網絡與信息安全基礎知識

1 網絡概述

1.1 計算機網絡的概念

1.1.1 計算機網絡的發展

計算機網絡的發展經歷了四個主要階段：

具有通信功能的單機系統：
- 早期形式：一臺計算機連接多個終端。
- 例子：20 世紀 50 年代的 SAGE 系統。
具有通信功能的多機系統：
- 形式：增加前端處理機處理通信任務。
- 功能：預處理作業，集中器收集終端數據后高速傳輸到主機。
以資源共享為目的的計算機網絡：
- 形式：多臺計算機互聯，實現資源共享。
- 例子：ARPANET，奠定現代網絡基礎。
- 結構：主計算機直接相連或通過通信處理機相連。
- 貢獻：實現分布式資源共享。
以局域網及因特網為支撐環境的分布式計算機系統：
- 特點：繼承分組交換技術和計算機 I/O 總線結構。
- 影響：促使網絡模式從集中式轉為分布式，支持多種資源的共享。

1.1.2 計算機網絡的功能

數據通信：實現地理位置分散的單位和部門的集中控制與管理，支持電子郵件、新聞發布和電子數據交換。
資源共享：包括軟件和硬件資源共享，提高資源利用率。
負載均衡：集中處理數據或分布式處理任務，均衡負載，避免單機過載。
高可靠性：計算機互為備份，提高系統可靠性。

通信子網和資源子網

通信子網：負責數據傳輸和通信處理，對應 OSI 模型的低三層（物理層、數據鏈路層、網絡層）。
資源子網：負責數據處理和資源提供，對應 OSI 模型的高三層（會話層、表示層、應用層）。

這種劃分使得通信子網專注于數據傳輸，資源子網專注于數據處理，提高了網絡的整體性能。

1.2 計算機網絡的分類

按照覆蓋范圍分類：

局域網 (LAN)
- 范圍：通常在 10m 到 1000m 內，覆蓋房間、樓層或校園。
- 速率：4Mbps～1Gbps。
- 特點：高帶寬、低誤碼率、簡單拓撲、易管理。
城域網 (MAN)
- 范圍：覆蓋城市，約 10km。
- 速率：50Kbps～100Mbps。
- 特點：連接多個局域網，提供高速數據傳輸。
廣域網 (WAN)
- 范圍：覆蓋國家或全球，通常 100km 以上。
- 速率：9.6Kbps～45Mbps。
- 特點：低帶寬、高延遲、復雜拓撲。

1.3 網絡的拓撲結構

常見的網絡拓撲結構包括：

總線型
- 特點：單通路、廣播式、易于擴展、抗干擾能力弱。
星型
- 特點：中心節點連接所有設備、易于管理、可靠性高、資源利用率低。
環型
- 特點：節點首尾相連、路徑簡單、可靠性高、擴展性差。
樹型
- 特點：分級結構、易于擴展、部分節點故障不影響全網。
分布式
- 特點：多路徑連接、高可靠性、資源共享好、管理復雜、硬件成本高。

廣域網與局域網所使用的網絡拓撲結構有所不同，廣域網多用分布式或樹型結構。

1.4 ISO/OSI 網絡體系結構

1.4.1 ISO/OSI 參考模型

ISO/OSI（Open Systems Interconnection）參考模型定義了網絡通信的七層結構，從低層到高層依次為：

物理層（Physical Layer）：處理物理介質上的信號傳輸，定義物理接口、電纜和連接器的標準。
數據鏈路層（Data Link Layer）：負責節點間的可靠數據傳輸，提供 MAC 地址，檢測和糾正傳輸錯誤。
網絡層（Network Layer）：管理網絡尋址和數據包路由，選擇最佳路徑傳輸數據。
傳輸層（Transport Layer）：確保端到端的數據完整性，支持面向連接（TCP）和無連接（UDP）通信。
會話層（Session Layer）：管理會話的建立、維護和終止，協調通信方向。
表示層（Presentation Layer）：處理數據格式轉換、加密和壓縮，確保數據在不同系統間的可讀性。
應用層（Application Layer）：提供網絡服務和應用程序接口，如 HTTP、FTP 和 SMTP。

OSI 模型的每一層都為相鄰層提供服務，并且依賴于下一層所提供的服務。這種分層的方法有助于簡化網絡通信的復雜性，并促進不同系統之間的互操作性。

1.4.2 參考模型的信息流向

信息在發送方從應用層向下傳遞，每層添加協議控制信息（如頭部），直到物理層發送。接收方則從物理層向上逐層處理數據，剝離各層的頭部，最終將原始數據傳遞給應用層。

2 網絡互連硬件

2.1 網絡的設備

2.1.1 網絡傳輸介質互連設備

網絡線路與用戶節點具體連接時，需要網絡傳輸介質的互連設備。比如收發器、RJ-45、網絡接口單元和調制解調器等。

2.1.2 物理層互連設備

中繼器

中繼器（Repeater）工作在物理層，用于延長網絡距離，恢復和整形信號。它連接相同的局域網段，理論上可無限延長傳輸距離，但實際受時延和衰耗限制。例如，以太網中最多使用4個中繼器，最遠傳輸距離不超過500m，總路徑不超過1500m。中繼器安裝簡便、使用方便、價格便宜。

集線器

集線器（Hub）是一種多口中繼器，具有信號放大功能。它分為無源、有源和智能集線器：

無源集線器：僅連接介質，不處理信號，每段介質長度減半。
有源集線器：再生和放大信號，擴展介質長度。
智能集線器：具備有源功能，還集成網絡管理等功能。

2.1.3 數據鏈路層互連設備

網橋

網橋（Bridge）工作在數據鏈路層，連接兩個局域網段，通過 MAC 地址過濾幀。若目的地址不在當前網段，幀被轉發；否則被丟棄。網橋可隔離網絡故障，提高通信效率。

交換機

交換機（Switch）依 MAC 地址快速轉發數據，性能優于網橋。它支持多種交換技術：

端口交換：在端口間分配、平衡負載。
幀交換：讀幀前14字節，快速轉發。
信元交換：固定長度信元交換。

2.1.4 網絡層互連設備

路由器（Router）工作在網絡層，連接多個邏輯網絡，選擇最佳傳輸路徑。它維護路徑表記錄網絡邏輯地址，轉發數據包時重新打包。路由器支持多種功能，如過濾、存儲轉發和流量管理，但處理速度較網橋慢。

2.1.5 應用層互連設備

網關（Gateway）工作在應用層，用于連接協議差異大的網絡，進行協議轉換和數據重組，支持有限協議轉換。

2.2 網絡的傳輸介質

網絡傳輸介質分為有線介質和無線介質。

2.2.1 有線介質

雙絞線：
- 屏蔽雙絞線（STP）和非屏蔽雙絞線（UTP）。
- 常見類型：3 類、4 類、5 類、超 5 類、6 類，最高頻率 100MHz、250MHz、600MHz。
- 應用：10Base-T 和 100Base-T 以太網，最大段長 100m，通過集線器最多連接 60 多臺計算機。
同軸電纜：
- 分為基帶同軸電纜（50Ω）和寬帶同軸電纜（75Ω）。
- 基帶同軸電纜用于數字信號傳輸，分粗纜和細纜。
- 優點：易安裝、價格低；缺點：維護不便，受干擾明顯。
光纖：
- 優點：輕量、體積小、抗電磁干擾、保密性好、帶寬大、傳輸距離長。
- 多模光纖和單模光纖，多模光纖成本低、性能差，單模光纖反之。

2.2.2 無線介質

微波：頻率范圍 2～40GHz，視距傳播，需中繼站補盲，抗干擾強，穩定性高。
紅外線和激光：視距傳播，單向，無電磁干擾，但受環境影響大。
衛星：覆蓋范圍廣，可全球通信，但存在傳播延遲和天氣干擾。

2.3 組建網絡

組建網絡需考慮服務器、客戶機、網絡設備、通信介質和網絡協議等要素，涉及局域網、城域網、廣域網和網絡接入等不同場景，常用地面線連成環狀提高可靠性。

網絡組建的基本要素

服務器：網絡核心設備，可分為文件服務器、打印服務器和通信服務器
客戶端：用戶工作站點，包含用戶計算機和網絡接口設備。
網絡設備：包括網卡、收發器、中繼器、集線器、網橋和路由器等。
通信介質：數據傳輸的物理媒介，如雙絞線、同軸電纜、光纖等。
網絡軟件：包括底層協議軟件和網絡操作系統（NOS）。

3 網絡的協議與標準

3.1 網絡的標準

3.1.1 電信標準

國際電信聯盟（ITU）成立于 1865 年，1947 年成為聯合國的一個組織，由 ITU-R、ITU-T 和 ITU-D 三部分組成：

ITU-R：確保無線電頻率和衛星軌道的合理利用。
ITU-T：制定電信標準，如 V 系列（調制解調器標準）和 X 系列（廣域網標準）。
ITU-D：促進第三世界國家的電信發展。

3.1.2 國際標準

國際標準化組織（ISO）成立于 1946 年，負責制定各種國際標準，如 OSI 參考模型。其他標準化組織包括：

ANSI：美國國家標準研究所，設計 ASCII 碼。
NIST：美國國家標準和技術研究所。
IEEE：電氣和電子工程師協會，制定 IEEE 802 系列局域網標準。
EIA：電子工業協會，制定 RS-232C 接口標準。

3.1.3 Internet 標準

Internet 標準由民間組織 ISOC（Internet Society）協調管理，通過 RFC（Request For Comments）文檔發布。IAB（Internet Architecture Board）負責整體管理。

3.2 局域網協議

3.2.1 LAN 模型

ISO/OSI 的 7 層參考模型在局域網中主要定義了物理層和數據鏈路層。數據鏈路層進一步劃分為邏輯鏈路控制（LLC）子層和介質訪問控制（MAC）子層。

物理層：處理物理介質上的信號傳輸。
MAC 子層：控制對傳輸介質的訪問。
LLC 子層：提供邏輯鏈路管理、差錯控制等功能。

3.2.2 IEEE 802 系列標準

IEEE 802.3 —— 以太網

CSMA/CD 機制：載波監聽多路訪問/沖突檢測，用于解決介質訪問競爭。
主要標準
- 10Base5：粗同軸電纜，最大距離 500m。
- 10Base2：細同軸電纜，最大距離 185m。
- 10Base-T：非屏蔽雙絞線（UTP），最大距離 100m。
- 100Base-TX：兩對 5 類 UTP，傳輸速率 100 Mbps。
- 100Base-T4：三對 3 類 UTP，傳輸速率 100 Mbps。
- 1000Base-LX：單模光纖，傳輸速率 1000Mbps，最大距離 550m。
- 1000Base-SX：多模光纖，傳輸速率 1000Mbps，最大距離 220m。
- 1000Base-T：4 對 5 類 UTP，傳輸速率 1000Mbps，最大距離 100m。

IEEE 802.5 —— 令牌環網

采用令牌傳遞機制，適用于環形網絡拓撲結構。

FDDI —— 光纖分布式數據接口

傳輸介質為光纖，速率可達 100Mbps，環路長度可達 200km。
使用 4B/5B 編碼，具有高可靠性和穩定性。

無線局域網（CSMA/CA）

采用 CSMA/CA（載波監聽多路訪問/沖突避免）機制。

3.3 廣域網協議

點對點協議（PPP）

特點：簡單易用，適合家庭撥號上網。
工作方式：利用調制解調器在電話線上傳輸數據。
其他方式：ASDL 接入方式中使用 PPPoE 和 PPPoA 用于以太網和ATM 網絡。

數字用戶線（xDSL）

ADSL：上行速率 2-8 Mbps，下行速率 64-640Kbps，適合家庭用戶。
安裝：需安裝ADSL Modem和分離器，電話和上網互不干擾。
應用：支持視頻點播、網上游戲、遠程醫療等多媒體服務。

數字專線（DDN）

特點：提供高質量、安全的數據傳輸服務。
網絡結構：以光纖為主干，采用分層星型拓撲。
應用：適合對數據傳輸質量要求高的企業。

幀中繼（FR）

特點：高效的分組交換技術，適合突發數據傳輸。
工作方式：以幀為單位傳輸數據，支持多路復用。

異步傳輸模式（ATM）

特點：高速、低延遲、支持多種業務類型。
工作方式：將數據分成固定長度的信元進行傳輸。
應用：適用于需要高帶寬和實時性的應用。

X.25 協議

特點：基于分組交換的網絡協議，提供可靠的數據傳輸。
網絡結構：由高層、分組層、數據鏈路層和物理層組成。
應用：適合對數據傳輸可靠性要求高的場景。

3.4 TCP/IP 協議族

TCP/IP 協議族包含多個基本特性，主要體現在 5 個方面：邏輯編址、路由選擇、域名解析、錯誤檢測和流量控制以及對應用程序的支持。

3.4.1 TCP/IP 分層模型

TCP/IP 分層模型由 4 個層次構成，對應 OSI 模型的多層功能：

應用層

功能：提供網絡服務，如文件傳輸（FTP）、電子郵件（SMTP）、域名解析（DNS）和遠程終端（Telnet）。
協議：HTTP、FTP、SMTP、DNS、Telnet。

傳輸層

功能：提供端到端的通信服務，確保數據可靠傳輸。
協議：TCP（面向連接，可靠傳輸）、UDP（無連接，不可靠傳輸）。

網際層（IP 層）

功能：處理 IP 數據包的路由和尋址。
協議：IP（互聯網協議）、ICMP（互聯網控制消息協議）、ARP（地址解析協議）、RARP（逆地址解析協議）。

網絡接口層

功能：管理物理網絡接口，處理數據幀的發送和接收。
協議：以太網、令牌環、FDDI、ARCnet、PPP/SLIP。

3.4.2 協議功能詳解

3.4.2.1 網絡接口層

網絡接口層負責與物理網絡接口交互，支持多種局域網和廣域網技術，如以太網和 PPP。

3.4.2.2 網際層

IP 地址：邏輯地址，用于唯一標識網絡上的設備。
子網掩碼：區分網絡地址和主機地址。
ICMP（Internet 控制信息協議）：用于發送錯誤和控制消息。ping 工具就是利用 icmp 報文進行網絡是否可達測試。
ARP 和 RARP：地址解析（IP 轉 mac 地址）和反向地址解析（mac 轉 IP）。

ARP（Address Resolution Protocol，地址解析協議）是一個網絡層協議，用于將網絡層的IP地址解析為數據鏈路層的MAC地址。這樣，數據包就可以在局域網中通過物理地址進行傳輸。

RARP（Reverse Address Resolution Protocol）。RARP的工作機制與 ARP 相反，它用于將 MAC地址解析為 IP 地址。這在某些特定場景下非常有用。然而，RARP 協議現在已經很少使用，主要是因為它的局限性和安全性問題。DHCP（Dynamic Host Configuration Protocol）協議通常被用來替代 RARP，因為 DHCP 不僅能夠提供IP地址，還能提供子網掩碼、默認網關、DNS 服務器等更多的網絡配置信息，并且支持更靈活的地址分配策略。

3.4.2.3 傳輸層

TCP（傳輸控制協議）：提供可靠的、面向連接的服務，通過三次握手建立連接。
UDP（用戶數據報協議）：提供簡單的、無連接的服務，適用于對速度要求高的應用（DNS、SNMP）。

3.4.2.4 應用層

應用層協議支持各種網絡服務，如 HTTP、FTP 和 DNS，幫助用戶實現文件傳輸、郵件發送和域名解析等功能。

4 Internet 及應用

4.1 Internet 概述

Internet 概念：全球最大的計算機網絡，邏輯統一但物理上由不同網絡互連而成。
主要功能：數據傳輸、信息交換、資源共享。
應用領域：科學研究、教育、金融、商業、軍事等。
發展起源：源于美國 ARPANET，采用 TCP/IP 協議。
網絡分類：包含各種類型的網絡，如主干網（CHINANET、CERNET）。
管理組織：無集中管理機構，由 Internet 學會等組織協調。

4.2 Internet 地址

Internet 地址用于唯一標識 Internet 上的每一臺計算機和用戶，便于在全球范圍內進行數據傳輸和信息交換。Internet 地址主要有 IP 和域名兩種格式。

4.2.1 域名

概念：是用戶友好的主機名稱，由多個部分組成，各部分之間用點分隔。
結構：通常由計算機主機名、本地名、組名和最高層域名組成。
最高層域名：分為組織性頂級域名（如 .com、.net）和地理性頂級域名（如 .cn）。
域名管理機構
- IANA（Internet Assigned Numbers Authority）：負責全球 IP 地址和域名的分配與管理。
- ICANN（Internet Corporation for Assigned Names and Numbers）：負責域名系統的管理與協調。

4.2.2 IP 地址

4.2.2.1 IP 地址的結構與分類

IP 地址：是網絡層地址，用于標識網絡上的設備。
結構：由 4 個字節（32 位）組成，每個字節用十進制表示，范圍 0-255，各部分之間用點分隔（如 192.168.1.1）。
分類：分為 A、B、C、D、E 五類，前三位標識地址類型。

4.2.2.2 各類 IP 地址的特點

地址類	網絡地址部分（位數）	主機地址部分（位數）	子網掩碼（默認）	適用場景
A 類	7	24	255.0.0.0	大型網絡（如跨國公司）
B 類	14	16	255.255.0.0	中型網絡（如企業）
C 類	21	8	255.255.255.0	小型網絡（如家庭、辦公室）
D 類	28	-	1110xxxxxx	組播地址
E 類	28	-	1111xxxxxx	保留地址

4.2.2.3 子網掩碼

定義：用于區分 IP 地址中的網絡部分和主機部分。
默認子網掩碼
- A 類：255.0.0.0
- B 類：255.255.0.0
- C 類：255.255.255.0

4.2.2.4 子網劃分

可變長子網掩碼（VLSM）：允許使用不同大小的子網掩碼進行子網劃分，提高 IP 地址的利用率。
示例：將 B 類地址 172.16.3.4 劃分為子網，子網掩碼可設為 255.255.255.0，表示前 24 位為網絡地址，后 8 位為主機地址。

4.2.3 NAT 技術

NAT（網絡地址轉換）技術通過在子網內部使用本地地址，在子網外部使用少量全局地址，解決 IP 地址短缺問題。路由器執行地址轉換。

4.2.4 IPv6 簡介

優勢

地址空間大：128 位地址，徹底解決 IPv4 地址不足問題。
高效路由：采用分級地址格式，提高路由效率。

數據包格式

基本首部：40 字節，包含版本號、通信類型、流標號、有效載荷長度、下一個首部和跳數限制。
擴展首部：可選，用于特殊功能。

地址表示

格式：冒號分隔的十六進制表示法（如 686E:8C64::1180:96A:FFFF）。
0 壓縮：連續 0 可用雙冒號（最多只能用 1 次）表示（如 FF05::B3）。

4.3 Internet 服務

域名服務

DNS：分布式域名解析系統，將域名映射到 IP 地址。
工作原理：用戶查詢域名，本地域名服務器向上級域名服務器請求，最終獲取 IP 地址并返回給用戶。
端口：UDP 53 端口。

遠程登錄服務

Telnet：基于 TCP/IP 的協議，允許用戶遠程訪問和控制其他計算機。
端口：Telnet 一般使用 TCP 端口 23。

電子郵件服務

協議：SMTP（發送郵件）、POP3（Post Office Protocol version 3，用于接收郵件）、IMAP（Internet Message Access Protocol）同樣用于收郵件。
端口：SMTP 使用 TCP 端口 25，POP3 使用 TCP 端口 110。

WWW（萬維網）服務

HTTP：超文本傳輸協議，用于 Web 服務器和瀏覽器之間的通信。
URL：統一資源定位符，用于定位 Web 上的資源。
端口：HTTP 使用 TCP 端口 80，HTTPS 使用 TCP 端口 443。

文件傳輸服務

FTP：文件傳輸協議，用于在計算機之間傳輸文件。
端口：控制連接使用 TCP 端口 21，數據連接使用 TCP 端口 20。
匿名 FTP：允許用戶以匿名方式訪問公共文件資源。

5 信息安全基礎

1. 信息安全存儲安全

信息安全包含五個基本要素：機密性（防止信息泄露）、完整性（防止信息篡改）、可用性（確保信息可訪問）、可控性（控制信息傳播）和可審查性（追蹤信息訪問者）。

安全措施

用戶標識與驗證：采用簽名法、指紋識別、智能卡等技術驗證用戶身份。
用戶存取權限限制：通過隔離控制法和權限控制法，限制用戶的操作權限。
系統安全監控：監控系統活動，檢測未授權訪問，記錄用戶行為。
計算機病毒防治：安裝殺毒軟件，定期檢查文件，使用強密碼，避免下載未知文件。

5.2 計算機信息安全保護等級

用戶自主保護級：用戶可自主保護數據，系統提供基本安全機制（對應TCSEC 的 C1 級）。
系統審計保護級：增加審計功能，記錄并追溯用戶行為（對應 TCSEC 的 C2級）。
安全標記保護級：引入安全標記，增強訪問控制（B1）。
結構化保護級：基于安全策略模型，強化系統保護（B2）。
訪問驗證保護級：嚴格訪問控制，確保高安全性（B3）。

5.3 數據加密原理

數據加密使用加密算法 E 和密鑰 K 將明文 P 加密為密文 C = E(K, P)，確保信息傳輸安全。接收方使用解密算法 D 和密鑰 K 恢復明文 P = D(K, C)。、

6 網絡安全概述

6.1 網絡安全威脅

網絡安全威脅主要體現在以下五個方面：

非授權訪問：未經許可訪問網絡資源。
信息泄露或丟失：數據被竊取或丟失。
破壞數據完整性：數據被篡改或刪除。
拒絕服務攻擊：使網絡服務無法正常運行。
利用網絡傳播病毒：通過網絡傳播計算機病毒。

6.2 網絡安全技術

為應對網絡安全威脅，常用以下技術：

防火墻技術：過濾進出網絡的數據包，防止未授權訪問。
加密技術：保護數據機密性和完整性。
用戶識別技術：驗證用戶身份，如密碼、指紋識別。
訪問控制技術：限制用戶對資源的訪問權限。
防病毒技術：檢測和清除計算機病毒。
網絡安全掃描技術：掃描網絡漏洞。
入侵檢測技術：監測并響應網絡入侵行為。

6.3 防火墻技術

防火墻是網絡安全的第一道防線，主要類型包括：

包過濾防火墻：根據數據包的 IP 地址、端口號等信息進行過濾。
應用代理防火墻：通過代理服務器中介訪問外部網絡。
狀態檢測防火墻：結合包過濾和應用代理的優點，提高安全性和效率。

6.4入侵檢測與防御

入侵檢測系統（IDS）：監測網絡或系統活動，檢測潛在入侵行為。
入侵防御系統（IPS）：在檢測到入侵時主動采取措施進行防御。

7 加餐和總結

SSH 為 Secure Shell 的縮寫，SSH 為建立在應用層和傳輸層基礎上的安全協議。專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。

網絡攻擊相關知識

跨站腳本（cross-site scripting, XSS），一種安全攻擊，其中攻擊者在看上去來源可靠的鏈接中惡意嵌入譯碼。利用的是用戶對指定網站的信任，它允許惡意用戶將代碼注入到網頁上，其他用戶在觀看網頁時就會受到影響。不影響服務的提供。
拒絕服務，對信息或其它資源的合法訪問被無條件地阻止，會讓服務器拒絕提供服務。
信息篡改，指主動攻擊者將竊聽到的信息進行修改（如刪除或替代部分或者全部信息）之后再將信息傳送給原本的接受者。與提供服務無關。
口令猜測，攻擊者攻擊目標時常常把破譯用戶的口令作為攻擊的開始。只要攻擊者能猜測或者確定用戶的口令，他就能獲得機器或者網絡的訪問權，并能訪問到用戶能訪問到的任何資源。與提供服務無關。
CSRF 或者 XSRF，跨站請求偽造是一種挾制用戶在當前已登錄的 Web 應用程序上執行非本意的操作的攻擊方法。利用的是網站對用戶網頁瀏覽器的信任。
SQL 注入攻擊，通過把 SQL 命令插入到 Web 表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的 SQL 命令。其首要目的是獲取數據庫訪問權限。

網絡安全協議