第10章：網絡與信息安全

網絡概述

計算機網絡概念

計算機網絡的分類

網絡的拓撲結構

ISO/OSI網絡體系結構

網絡互聯硬件

物理層互聯設備

數據鏈路層互聯設備

網絡層互聯設備

應用層互聯設備

網絡的協議與標準

網絡標準

TCP/IP協議族

網絡接口層協議

網際層協議一IP

ARP和RARP

網際層協議一ICMP

傳輸層協議

TCP

UDP

應用層協議

協議其他

Internet及應用

Internet地址

1.域名

2.IP地址

IPv4

子網掩碼?編輯

IPv6

Internet服務

Http

Https

遠程登錄(Telnet)

網絡其他

信息安全基礎知識

加密技術

對稱與非對稱加密技術

認證技術

數字簽名與消息摘要的應用

數字簽名

消息摘要?編輯

數字證書應用

數字簽名

網絡安全概述

網絡安全協議

網絡安全威脅

計算機病毒?編輯

網絡安全控制技術

訪問控制技術

訪詢控制列表ACL

網絡安全漏洞掃描技術

防火墻技術

防火墻技術分類

安全防范體系

第10章：網絡與信息安全

網絡概述

計算機網絡概念

URL (Uniform Resource Locator，統一資源定位符）是對互聯網的資源位置和訪問方法的一種簡潔的表示，是互聯網上資源的地址。互聯網上的每個文件都有一個唯一的URL 它包含的信息指出文件的位置以及瀏覽器應該怎么處理它。一個標準URL的格式如下協議：1/主機名.域名.域名后綴或IP 地址(：端口號)/目錄/文件名其中，目錄可能是多級的。

ipconfig ( linux:ifconfig) （顯示TCP/IP網絡配置值，如：IP地址，MAC地址，網關地址等）。 tracert (linux: traceroute)：用于確定 IP數據包訪問目標所采取的路徑，若網絡不通，能定位到具體哪個結點不通。 netstat:用于顯示網絡連接、路由表和網絡接口信息。 nslookup（查詢DNS記錄）。

C/S 又稱Client/Server 或客戶/服務器模式。服務器通常采用高性能的PC、工作站或小型機，并采用大型數據庫系統。客戶端需要安裝專用的客戶端軟件。

B/S 是Broswer/Server的縮寫，客戶機上只需要安裝一個瀏覽器(Broswer), 如Netscape 或Internet Explorer。瀏覽器通過Web Server同數據庫進行數據交互。

協議是一組約定的規則，它有助于外部設備之間的相互理解和正確進行通信。作為協議必須具備3個要素，語法、語義和時序。

語法定義數據的表示形式；

語義則能使數據管理所需的信息得到正確理解；

時序則規定通信實體之間應答信號的相互間隔和順序關系。

防火墻是一種位于計算機和它所連接的網絡之間的軟件，建立在內外網絡邊界上的過濾封鎖機制。防火墻還可以關閉不使用的端口，并且能禁止特定端口的流出通信，防止來歷不明入侵者的所有通信，封鎖特洛伊木馬。

主動攻擊涉及修改數據流或創建錯誤的數據流，包括試圖阻斷或攻破保護機制、引入惡意代碼、偷竊或篡改信息。它包括假冒，重放，修改信息和拒絕報務等方式。

計算機網絡的分類

網絡的拓撲結構

ISO/`OSI`網絡體系結構

網絡互聯硬件

1.網絡傳輸介質互聯設備

T型頭、收發器、屏蔽或非屏蔽雙絞線連接器RJ45、RS-232接口、DB-15接口、VB-35 同步接口、網絡接口單元、調制解調器等。

中繼器是物理層設備，其作用是對接收的信號進行再生放大，以延長傳輸的距離。網橋是數據鏈路層設備，可以識別MAC地址，進行幀轉發。交換機是由硬件構成的多端口網橋，也是一種數據鏈路層設備。路由器是網絡層設備，可以識別IP地址，進行數據包的轉發。

物理層互聯設備

(1)中繼器：由于信號在網絡傳輸介質中有衰減和噪音，使有用的數據信號變得越來越弱，因此為了保證有用數據的完整性，并在一定范圍內傳送，要用中繼器把所接收到的弱信號分離，并再生放大以保持與原數據相同。主要優點是：安裝簡便、使用方便、價格便宜。 (2)集線器：可以說是一種特殊的多路中繼器，已有信號放大的功能。使用雙絞線的以太網多用集線器擴大網絡，同時便于網絡的維護。以集線器為中心的優點是：當網絡系統中某條線路或某結點出現故障時，不會影響網上其他結點的正常工作。集線器分為無源集線器、有源集線器和智能集線器。

數據鏈路層互聯設備

(1)網橋：是一個局域網與另一個局域網之間建立連接的橋梁，它的作用是擴展網絡和通信手段，在各種傳輸介質中轉發數據信號，擴展網絡的距離，同時又有選擇地將有地址的信號從一個傳輸介質發送到另一個傳輸介質，并能有效地限制兩個介質系統中無關緊要的通信。 (2)交換機：是一個具有簡化、低價、高性能和高端口密集特點的交換產品。交換技術允許共享型和專用型的局域網段進行帶寬調整，以減輕局域網之間信息流通出現的瓶頸問題。交換機的3種交換技術：端口交換、幀交換和信元交換。

網絡層互聯設備

路由器：用于連接多個邏輯上分開的網絡：具有很強的網絡互聯能力：具有判斷網絡地址和選擇路徑的功能。缺點是由于工作在網絡層，處理的信息比網橋要多，因而處理速度比網橋慢。

應用層互聯設備

網關：體現在OSI模型的最高層，它將協議進行轉換，將數據重新分組，以便在兩個不同類型的網絡系統之間進行通信。

網絡的協議與標準

網絡標準

1.電信標準 (1)V系列：主要針對調制解調器的標準。 (2)X系列：應用于廣域網。 X.1一X39:標準應用于終端形式、接口、服務設施和設備。最著名的標準是X.25,規定了數據包裝和傳送的協議。 X.40~X.199:標準管理網絡結構、傳輸、發信號等。

2.國際標準 (1)IS0一國際標準化組織。 (2)ANS一美國國家標準研究所。

(3)NIST一美國國家標準和技術研究所。 (4)IEEE一電氣和電子工程師協會。 (5)EIA一電子工業協會。

在電子郵件服務協議中，smtp是發信服務器的協議；POP3是收信服務器的協議。

一般瀏覽器默認的是http，訪問https的話得手動加，這個涉及到網頁安全性的考慮。

TCP/`IP`協議族

TCP/IP包含許多重要的基本特性，這些特性主要表現在5個方面：邏輯編址、路由選擇、域名解析、錯誤檢測和流量控制以及對應用程序的支持等。

(1)邏輯編址。每一塊網卡在出廠時就由廠家分配了一個獨一無二的永久性的物理地址。在Internet中，為每臺連入因特網的計算機分配一個邏輯地址，這個邏輯地址被稱為IP地址。一個IP地址可以包括一個網絡ID號，用來標識網絡：一個子網絡ID號，用來標識網絡上的一個子網；另外，還有一個主機ID號，用來標識子網絡上的一臺計算機。這樣，通過這個分配給某臺計算機的IP地址，就可以很快地找到相應的計算機。

(2)路由選擇。在TCP/IP中包含了專門用于定義路由器如何選擇網絡路徑的協議，即IP 數據包的路由選擇。

(3)域名解析。雖然TCP/IP采用的是32位的IP地址，但考慮到用戶記憶方便，專門設計了一種方便的字母式地址結構，稱為域名或DNS(域名服務)名字。將域名映射為IP地址的操作稱為域名解析。域名具有較穩定的特點，而IP地址較易發生變化。

(4)錯誤檢測和流量控制。TCP/IP具有分組交換確保數據信息在網絡上可靠傳遞的特性，這些特性包括檢測數據信息的傳輸錯誤（保證到達目的地的數據信息沒有發生變化），確認已傳遞的數據信息已被成功地接收，監測網絡系統中的信息流量，防止出現網絡擁塞。

網絡接口層協議

TCP/IP協議不包含具體的物理層和數據鏈路層，只定義了網絡接口層作為物理層與網絡層的接口規范。

這個物理層可以是廣域網，例如X25公用數據網，也可以是局域網，例如Ethernet、Token-Ring和DDI等。

任何物理網絡只要按照這個接口規范開發網絡接口驅動程序，就能夠與TCP/IP協議集成起來。網絡接口層處在TCP/IP協議的最底層，主要負責管理為物理網絡準備數據所需的全部服務程序和功能。

網際層協議一`IP`

`ARP`和`RARP`

地址解析協議(Address Resolution Protocol,ARP)及反地址解析協議(RARP)是駐留在網際層中的另一個重要協議。

網際層協議一`ICMP`

傳輸層協議

TCP

`UDP`

應用層協議

應用層的協議有NFS、Telnet、.SMTP、DNS、SNMP和FTP等

協議其他

TLS是安全傳輸層協議，TCP是消息傳輸協議TFTP是文件傳輸協議，只有SSH是安全遠程登錄協議。

FTP (File Transport Protocol、文件傳輸協議）是網絡上兩臺計算機傳送文件的協議，運行在 TCP 之上，是通過 Internet 將文件從一臺計算機傳輸到另一臺計算機的一種途徑。

HTTP (Hypertext TransferProtocol，超文本傳輸協議）是用于從WWW 服務器傳輸超文本到本地瀏覽器的傳送協議。它可以使瀏覽器更加高效，使網絡傳輸減少。

SSL(Secure Sockets Layer，安全套接層）協議是介于應用層和TCP層之間的安全通信協議，提供保密性通信、點對點身份認證、可靠性通信三種安全通信服務。其繼任者為傳輸層安全協議(TLS:Transport Layer Security)。

DNS (Domain Name System，域名系統）把主機域名解析為IP地址的系統。

Internet及應用

Internet地址

1.域名

一個完整、通用的層次型主機域名由4部分組成：計算機主機名、本機名、組名、最高層域名。域名是用來標識互聯網上計算機或其他資源的名稱。通過域名，用戶可以更容易地訪問互聯網上的各種網站和服務。

2.`IP`地址

(1)A類：網絡地址占1字節，最高位為0：主機地址占3字節。子網掩碼為255.0.0.0。 (2)B類：網絡地址占2字節，最高位為10：主機地址占2字節。子網掩碼為255.255.0.0。

(3)C類：網絡地址占3字節，最高位為110：主機地址占1字節。子網掩碼為255,255.255.0。 (4)D類：用于組播。最高位為1110。 (5)E類：實驗保留。最高位為1111。

Internet服務

1.DNS域名服務 DNS是一種分布式地址信息數據庫系統，服務器中包含整個數據庫的某部分信息，并供客戶查詢。域名系統采用的是客戶機/服務器模式，整個系統由解析器和域名服務器組成。解析器是客戶方，它負貴查詢域名服務器、解釋從服務器返回來的應答、將信息返回給請求方等工作。域名服務器是服務器方，它通常保存著一部分域名空間的全部信息。

2.Telnet遠程登錄服務遠程登錄服務是在Telnet協議的支持下，將用戶計算機與遠程主機連接起來，在遠程主機上運行程序，將相應的屏幕顯示傳送到本地機器，并將本地的輸入傳送給遠程計算機。 3.電子郵件服務電子郵件就是利用計算機進行信息交換的電子媒體信件。電子郵件地址的一般格式：用戶名@主機名。E-mail系統基于客戶機/服務器模式，整個系統由E-mail客戶軟件、E-mail 服務器和通信協議3部分組成。所用協議有簡單郵件傳送協議SMTP和用于接收郵件的 POP3協議。 4.WWW服務一種交互式圖形界面的Internet服務，具有強大的信息連接功能。WWW瀏覽程序為用戶提供基于超文本傳輸協議HTTP的用戶界面，WWW服務器的數據文件由超文本標記語言HTML描述，HTML利用統一資源定位地址(URL)指向超媒體鏈接，并在文本內指向其他網絡資源。一個URL包括以下幾部分：協議、主機域名、端口號（任選）、目錄路徑（任選)和一個文件名（任選）。其格式為：scheme::/host.Domain[port]Upath//filename]。

5.FTP文件傳揄服務用來在計算機之間傳輸文件。FTP是基于客戶機J服務器模式的服務系統，它由客戶軟件、服務器軟件和FTP通信協議3部分組成。FTP在客戶端與服務器的內部建立兩條TCP 連接：一條是控制連接，主要用于傳輸命令和參數：另一條是數據連接，主要用于傳送文件。

SSH安全外殼協議 SSH（Secure Shell）是一種加密網絡協議，用于通過不安全的網絡（如互聯網）安全地進行遠程訪問。SSH提供了加密的通信會話，使得敏感數據在傳輸過程中不易被竊聽。SSH還提供了身份驗證的機制，確保連接的雙方都是合法的用戶或系統。
VPN虛擬專用網絡 VPN（Virtual Private Network）通過公共網絡（例如互聯網）為用戶建立起一條加密的通信通道，使得用戶能夠安全地訪問私人網絡資源。VPN可以用于保護用戶的隱私和數據安全，同時也可用于繞過地理限制，訪問被封鎖的網站或服務。
VoIP網絡電話服務 VoIP（Voice over Internet Protocol）是一種通過互聯網傳輸語音通信的技術。利用VoIP，用戶可以通過互聯網以數字信號的形式傳輸語音通話，實現低成本甚至免費的長途通話。VoIP技術已經被廣泛應用于各種通信服務，如網絡電話、視頻通話和在線會議等。
IM即時通訊服務 IM（Instant Messaging）是一種實時的文字通信服務，用戶可以通過IM軟件與其他用戶進行即時對話。IM服務通常支持文字、圖片、音頻和視頻等多種形式的消息傳輸，為用戶提供了快速、方便的溝通方式。常見的IM應用包括微信、WhatsApp、Facebook Messenger等。

`IPv4`

IP:網絡號+主機號

IPV4的地址長度是32位，IPV6的地址長度是128位。而MAC的地址長度是48位。 IP地址提供了網絡層的尋址功能，工作在網絡層。

而MAC地址提供了數據鏈路層的尋址，工作在數據鏈路層。

IP地址的分配是基于網絡拓撲的邏輯規劃設計，而MAC 地址的分配是基于制造商，每個制造商都擁有一定數量的MAC地址。 MAC地址是全球唯一的，但IP地址不是唯一的，例如IPV4有三個段是局域網專用地址，各個局域網可以復用這些IP，在需要連網時再通過NAT技術轉換到廣域網或互聯網IP

網絡號

主機

可以根據IP地址和子網掩碼區分網絡號和主機號

子網掩碼

1表示鎖定網絡號 0鎖定主機號

子網掩碼這樣表示，后面的30表示前面30個位鎖定為網絡號

192.168.0.0/30

`IPv6`

前64位為網絡部分，后64位為接口ID（類似IPv4的主機部分)。

IPv6的地址長度為128位，是IPv4地址長度的4倍。于是IPv4點分十進制格式不再適用，采用十六進制表示。 IPv6地址總共有128位，使用十六進制進行表示，分為8段，中間用“：”隔開，如2001:0410:0000:0001:0000:0000:0000:45ff。

2001:80008::456:0:0:0

Internet服務

`Http`

HTTP狀態碼是HTTP協議中服務器響應客戶端請求時返回的狀態碼，用于表示服務器對請求的處理結果。常見的HTTP狀態碼包括：

1xx：信息性狀態碼，表示請求已被接受，繼續處理。
2xx：成功狀態碼，表示請求已成功被服務器接收、理解、并接受。

200 OK：請求成功
201 Created：請求已經被實現，新資源已經被創建
204 No Content：服務器成功處理了請求但沒有返回任何內容

3xx：重定向狀態碼，表示需要進行進一步的操作以完成請求。

301 Moved Permanently：永久重定向
302 Found：臨時重定向
304 Not Modified：資源未被修改，可以使用緩存

4xx：客戶端錯誤狀態碼，表示請求包含語法錯誤或無法完成請求。

400 Bad Request：請求無效
401 Unauthorized：未授權
403 Forbidden：禁止訪問
404 Not Found：資源不存在

5xx：服務器錯誤狀態碼，表示服務器在處理請求時發生錯誤。

500 Internal Server Error：服務器內部錯誤
502 Bad Gateway：網關錯誤
503 Service Unavailable：服務不可用

`Https`

HTTPS協議是以安全為目標的HTTP通道， HTTPS是HTTP的安全版，使用SSL和TLS加密協議做加密傳輸。不同于HTTP協議使用TCP 80端口，HTTPS使用TCP端口443。對于電子支付類高安全性網站應使用HTTPS協議而不是HTTP協議。

TLS/SSL

ssl是tls的前身

遠程登錄(Telnet)

遠程登錄(Telnet)是ARPANET最早的應用之一，這個協議提供了訪問遠程主機的功能，使本地用戶可以通過TCP連接登錄到遠程主機上，像使用本地主機一樣使用遠程主機的資源。當本地終端與遠程主機具有異構性時，也不影響它們之間的相互操作。Telnet協議使用TCP端口23號，但是未經加密，因此是不安全的

網絡其他

IPsec的主要功能是對IP數據報進行加密。

域名解析流程： 1.客戶機提出域名解析請求，并將該請求發送給本地的域名服務器。 2.當本地的域名服務器收到請求后，就先查詢本地的緩存，如果有該紀錄項，則本地的域名服務器就直接把查詢的結果返回。 3.如果本地的緩存中沒有該紀錄，則本地域名服務器就直接把請求發給根域名服務器，然后根域名服務器再返回給本地域名服務器一個所查詢域（根的子域）的主域名服務器的地址。 4.本地服務器再向上一步返回的域名服務器發送請求，然后接受請求的服務器查詢自己的緩存，如果沒有該紀錄，則返回相關的下級的域名服務器的地址。 5.重復第4步，直到找到正確的紀錄。 6.本地域名服務器把返回的結果保存到緩存，以備下一次使用，同時還將結果返回給客戶機。

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，目標就是為了獲得數據庫的權限，從而非法獲得數據。

信息安全基礎知識

基本要素信息安全包括5個

機密性：確保信息不暴露給未授權的實體或進程。

完整性：只有得到允許的人才能修改數據，并且能夠判斷出數據是否已被篡改。

可用性：得到授權的實體在需要時可訪問數據，即攻擊者不能占用所有的資源而阻礙授權者的工作。

可控性：可以控制授權范圍內的信息流向及行為方式。

可審查性：對出現的信息安全問題提供調查的依據和手段。

加密技術

對稱與非對稱加密技術

對稱加密需要專門的通信通道，非對稱加密不需要專門的通信通道

非對稱加密是拿對方的公鑰進行加密，對方再拿著自己的私鑰進行解密

非對稱加密公開密鑰的

對稱加密效率高點，適應于大量的明文加密

公鑰所有人都可以拿到，私鑰只有自己有

RSA是非對稱加密算法。

認證技術

數字簽名與消息摘要的應用

數字簽名

非對稱加密是拿對方的公鑰進行加密，對方再拿著自己的私鑰進行解密

數字簽名認證是拿自己的私鑰進行加密，再拿自己的公鑰進行解密

數字簽名的作用：

接收者可驗證消息來源的真實性

發送者無法否認發送過該消息

接收者無法偽造或篡改消息

由于認證的明文在網絡上傳輸，誰都可以拷貝數據，所以不能阻止對手進行被動攻擊

消息摘要

數字證書應用

數字證書是確認合法性

數字簽名是確認真實性

CA簽名本質是CA加密的東西

數字證書合不合法，主要看CA簽名能不能解開，先拿到CA中心的公鑰，再解開，再CA簽名驗證

拿到CA的密鑰后接著進行通信

隨機密鑰是對稱密鑰

數字簽名

數字簽名是一種網絡安全技術，利用這種技術，接收者可以確定發送者的身份是否真實，同時發送者不能否認發送的消息，接收者也不能篡改接收的消息。

網絡安全概述

網絡安全協議

https的默認端口是443

網絡安全威脅

非法登入：登入只是看一下資料，但沒有修改，則是被動攻擊

如果修改了，則是主動攻擊

SQL注入如：where 什么后面跟著or = 1 則也是讓其進入的

WEB應用防火墻：具有WEB應用相關的防護能力，比如防 SQL注入、網頁防篡改等功能。

木馬只是控制了你的計算機，但沒有破壞，病毒則破壞了計算機

計算機病毒

計算機病毒的分類方法有許多種，按照最通用的區分方式，即根據其感染的途徑以及采用的技術區分，計算機病毒可分為文件型計算機病毒、引導型計算機病毒、宏病毒和目錄型計算機病毒。文件型計算機病毒感染可執行文件（包括EXE和COM文件）。引導型計算機病毒影響軟盤或硬盤的引導扇區。目錄型計算機病毒能夠修改硬盤上存儲的所有文件的地址。宏病毒感染的對象是使用某些程序創建的文本文檔、數據庫、電子表格等文件，從文件名可以看出Macro.Melissa是一種宏病毒。

殺毒軟件，也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件。

殺毒軟件通常集成監控識別、病毒掃描和清除、自動升級、主動防御等功能，有的殺毒軟件還帶有數據恢復、防范黑客入侵、網絡流量控制等功能，是計算機防御系統（包含殺毒軟件，防火墻、特洛伊木馬和惡意軟件的查殺程序，入侵預防系統等）的重要組成部分。

殺毒軟件是一種可以對病毒、木馬等一切已知的對計算機有危害的程序代碼進行清除的程序工具。殺毒軟件只能防病毒，不能有效防止網站信息被篡改。

引導區病毒破壞的是引導盤、文件目錄等；宏病毒破壞的是OFFICE文件相關；木馬的作用一般強調控制操作。

網絡安全控制技術

訪問控制技術

控制不同用戶對信息資源的訪問權限

訪詢控制列表ACL

訪問控制列表(ACL)是一種基于包過濾的訪問控制技術，

它可以根據設定的條件對接口上的數據包進行過濾，允許其通

過或丟棄。訪問控制列表被廣泛地應用于路由器和三層交換機，

借助于訪問控制列表，可以有效地控制用戶對網絡的訪問，從

而最大程度地保障網絡安全。ACL也可以結合防火墻使用。

這里只是掃描，找出漏洞，但沒有補丁

網絡安全漏洞掃描技術

漏洞監測和安全風險評估技術，可預知主體受攻擊的可能性和具體地指證將要發生的行為和產生的后果。網絡漏洞掃描技術主要包括網絡摸擬攻擊、漏洞監測、報告服務進程、提取對象信息以及測評風險、提供安全建議和改進等功能，幫助用戶控制可能發生的安全事件，最大可能地消除安全隱患。【可以發現高危風險和安全漏洞，單純的漏洞掃描技術是不包括修復功能的】