第十章節——網絡與信息安全基礎知識
網絡與信息安全基礎知識
- 第十章節——網絡與信息安全基礎知識
- 一、網絡概述
- 1. 計算機網絡概念
- 2. 計算機網絡分類
- 3. 網絡拓補結構
- 4. ISO/OSI網絡體系結構
- 1. ISO/OSI參考模型
- 二、網絡互聯硬件
- 1. 網絡的設備
- 2. 網絡的傳輸介質
- 三、網絡協議與標準
- 1. 網絡的標準
- 2. 局域網協議
- 3. 廣域網協議
- 3.1 點對點協議PPP(撥號協議)
- 3.2 數字用戶線(xDSL)
- 4. TCP/IP協議族
- 4.1 網絡層協議
- 4.2 傳輸層協議
- 4.3 應用層協議
- 四、Internet及其應用
- 1. Internet概述
- 2. Internet地址
- 2.1 域名
- 2.2 IP地址
- 2.3 子網劃分
- 2.4 無分類編址
- 2.5 IPv6簡介
- 3. Internet服務
- 4. 網絡管理常用命令
- 五、信息安全基礎知識
- 六、網絡安全概述
- 1. 網絡安全威脅
- 2. 網絡安全控制技術
一、網絡概述
1. 計算機網絡概念
計算機網絡的發展: 計算機網絡是計算機技術與通信技術相結合的產物,它實現了遠程通信,遠程信息處理和資源共享。
計算機網絡的功能: 數據通信、資源共享、負載均衡、高可靠性
2. 計算機網絡分類
按通信距離可將計算機網絡分為局域網、域域網、廣域網
3. 網絡拓補結構
網絡拓撲結構是指網絡中通信線路和結點的幾何排序,用于表示整個網絡的結構外貌,反映各結點之間的結構關系。常用的網絡拓撲結構有:
- 總線型(利用率低、干擾大、價格低)
- 星型(交換機形成的局域網、中央單元負荷大)
- 環型(流動方向固定、效率低擴充難)
- 樹型(總線型的擴充、分級結構)
- 分布式(任意結點連接、管理難成本高)
4. ISO/OSI網絡體系結構
1. ISO/OSI參考模型
ISO/OSI的參考模型一共有7層,由低層到高層分別為:物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層、應用層。
(1)物理層:為數據鏈路層提供一個物理連接以及它們的機械、電氣、功能和過程特性。傳輸的數據單位是比特。
(2)數據鏈路層:負責在兩個相鄰結點間的線路上無差錯地傳輸幀數據,并進行流量控制。傳輸的數據單位是幀。
(3)網絡層:將數據鏈路層的幀數據組成數據包,數據包中有源網絡地址和目的網絡地址,主要提供路由選擇功能,除此之外還有差錯檢測和恢復、流量/擁塞控制、激活和終止網絡連接等功能。傳輸的數據單位是數據包。
(4)傳輸層:為會話層提供透明、可靠的端到端的數據傳輸服務。其功能有數據分段、數據傳輸、數據組裝、差錯控制、流量/擁塞控制等。傳輸的數據單位是報文。
(5)會話層:為表示層提供建立、維護和結束會話連接的功能,提供會話管理功能。傳輸的數據單位是報文。
(6)表示層:提供格式化的表示和轉換數據服務,如數據的壓縮、解壓縮、加密和解密等。
(7)應用層:面向用戶服務,提供網絡與用戶應用軟件之間的接口服務,如文件傳輸、電子郵件、遠程登錄等。
二、網絡互聯硬件
1. 網絡的設備
構建一個實際的網絡需要網絡的傳輸介質、網絡互連設備作為支持。
| 協議層 | 互連設備 | 作用 |
|---|---|---|
| 物理層 | 中繼器 集線器 | 中繼器: 信號在介質里傳輸的過程中會有衰減和噪聲,使用中繼器進行放大和去噪集線器:是一種特殊的多路中繼器 |
| 數據鏈路層 | 網橋 交換機 | 網橋:連接兩個局域網,·檢查幀的源地址和目的地址·,若兩者在同一網絡段上,則不轉發,否則轉發到另一個網絡段上;交換機:檢查以太網幀的目的地址MAC,在自己的地址表(端口號-MAC)中進行查找并轉發。 |
| 網絡層 | 路由器 | 用于連接多個邏輯上分開的網絡,最主要的功能是選擇路由路徑。 |
| 應用層 | 網關 | 將協議進行轉換,將數據重新分組,以便在兩個不同類型的網絡系統之間進行通信。 |
2. 網絡的傳輸介質
傳輸介質是信號傳輸的媒介。常用的傳輸介質有有線介質和無線介質。
| 介質類型 | 介質 | 說明 |
|---|---|---|
| 有線介質 | 雙絞線 同軸電纜 光纖 | ①雙絞線:分為3類、4類和5類、6類、7類雙絞線,常用的是5類非屏蔽雙絞線, 頻率帶寬為100MHz,最大長度為100m; ②同軸電纜:分為基帶同軸電纜和寬帶同軸電纜; ③光纖:光導纖維,多模光纖使用發光二極管作為光源,價格便宜,傳播距離短,帶寬小; 而單模光纖使用激光作為光源,價格昂貴、傳播距離長、帶寬大。 |
| 無線介質 | 微波 紅外線和激光 衛星 | ①微波:使用無線電波通信,受天氣、環境、地形影響大; ②紅外線和激光:把傳輸信號轉換成紅外光信號和激光信號,在空間傳播,受環境氣候影響大; ③衛星:以人造衛星作為微波中繼站,容量大、距離遠,但延遲高。 |
三、網絡協議與標準
1. 網絡的標準
在網絡的標準化方面,有許多標準化機構在工作,例如國際標準化組織、國際電信聯盟、電子工業協會、電氣和電子工程師協會、因特網活動委員會等。
2. 局域網協議
計算機網絡設備之間要進行通信,需要共同遵守一些規則、標準或者說約定,稱為協議。
| 局域網類型 | 協議 | 速率 | 傳輸介質 |
|---|---|---|---|
標準以太網 | CSMA/CD | 10Mbps | 同軸電纜 |
IEEE802.3u快速以太網 | CSMA/CD | 100Mbps | 雙絞線 |
| IEEE802.3z千兆以太網 | CSMA/CD | 100Mbps | 同軸電纜、同軸電纜、雙絞線 |
| IEEE802.5令牌環網 | 令牌環控制技術 | 100Mbps | 雙絞線 |
| FDD光纖分布式數據接口 | 類似令牌環控制技術 | 100Mbps | 光纖 |
無線局域網 | CSMA/CA | 10~1000Mbps | 空氣 |
- CSMA/CD:帶沖突檢測的載波監聽多路訪問協議。首先監聽信道,如果信道空閑,則發送數據;如果信道忙,則繼續監聽,直到信道空閑時立即發送數據。在發送數據的同時,也會繼續檢測信道,如果檢測到沖突就立即停止發送,并向總線發出一串阻塞信號,通知信道上有沖突發生。最后等待一個二進制指數退避時間后再次監聽并發送數據。
- CSMA/CA:帶沖突避免的載波監聽多路訪問協議。為什么不用CSMA/CD協議呢,因為無線網難以檢測載波是否沖突。
3. 廣域網協議
3.1 點對點協議PPP(撥號協議)
現在PPP衍生出新的應用,典型的應用是在ADSL(非對稱用戶數字線)接入方式中,PPP與其他的協議共同派生出了符合寬帶接入要求的新的協議,比如PPPoE和PPPoA。
利用以太網資源在以太網上運行PPP來進行用戶認證接入的方式稱為PPPoE,是目前ADSL接入方式中應用最廣泛的技術標準。在ATM(異步傳輸模式)網絡上運行PPP來管理用戶認證的方式稱為PPPoA。
3.2 數字用戶線(xDSL)
非對稱數字用戶線ADSL(上傳網速和下載網速不對等,下載網速一般很快)、數字專線DDN(市內或長途的數據電路)、幀中繼FR(以幀為傳輸單位)。
4. TCP/IP協議族
TCP/IP是Internet的核心協議,被廣泛應用于局域網和廣域網中,已成為事實上的國際標準。
應用層:在模型的最高層,用戶調用應用程序來訪問TCPIP互連網絡,以亨受網絡上.提供的各種服務。傳輸層:提供應用程序之間的通信服務。網際層:又稱IP層,它主要有三個功能:①把數組分組封裝到IP數據報中,填入數據報的首部,使用路由算法選擇路由,送達機器;②處理接收到的數據報,檢驗其正確性;③發出ICMP差錯和控制報文,并處理收到的ICMP報文。網絡接口層:處于TCP/IP的最下層,主要負責為物理網絡準備數據所需的全部服務程序和功能。
4.1 網絡層協議
| 網絡層協議 | 功能 |
|---|---|
IP | 提供無連接、不可靠的數據傳送服務 |
ICMP ( Internet控制信息協議) | ICMP就是一個專門用于發送差錯報文的協議。ICMP定義了五種差錯報文(源抑制、超時、目的不可達、重定向和要求分段)和四種信息報文(回應請求、回應應答、地址屏蔽碼請求和地址屏蔽碼應答)。 |
IGMP(網絡組管理協議) | 主要用于組播,主機可以通過IGMP告訴路由器想接收或離開某個網絡組播的信息。地址解析協議ARP的作用是將IP地址轉換為物理地址(MAC地址) |
ARP、RARP | 反地址解析協議RARP的作用是將物理地址(MAC地址)轉換為P地址。 |
-
由于IP協議是一種盡力傳送的通信協議,即傳送的數據報可能會丟失、重復、延遲或亂序,因此IP協議需要一種避免差錯并在發生差錯時報告的機制。
MAC地址:是制造商為網絡硬件(如無線網卡或以太網網卡)分配的唯一代碼,占48位。 -
ping:測試目標P是否可達。
4.2 傳輸層協議
1.傳輸控制協議TCP
TCP為應用程序提供了一個可靠的、面向連接的、全雙工的數據傳輸服務。使用TCP在源主機和目的主機之間建立和關閉連接時,均需要通過三次握手來確認建立和關閉是否成功,如下圖所示。
TCP是如何實現可靠傳輸的呢?它使用了重發技術。在TCP傳輸過程中,發送方會啟動一個定時器,然后把數據包發送出去,如果發送方沒有在定時器到點之前收到來自接收方的確認,就會重發這個數據包。
2.用戶數據報協議
UDP是一種不可靠、無連接的協議。UDP協議軟件的主要作用是將UDP消息展示給應用層,并不負責重新發送丟失或出錯的數據消息,不對接收到的無序IP數據報重新排序。
| 特性 | TCP | UDP |
|---|---|---|
| 連接性 | 面向連接的 | 面向非連接的 |
| 傳輸可靠性 | 可靠的 | 不可靠的 |
| 傳輸速率 | 低 | 高 |
| 應用場合 | 少量數據 | 大量數據 |
| 數據單位 | 面向字節流 | 面向報文 |
4.3 應用層協議
應用層協議包括FTP、Telnet、SMTP、NFS、SNMP、DNS等。
四、Internet及其應用
1. Internet概述
Internet是世界上規模最大、覆蓋面最廣且最具影響力的計算機互連網絡,它是將分布在世界各地的計算機采用開放系統協議連接在一起,用來進行數據傳輸、信息交換和資源共享。
2. Internet地址
無論是在網上檢索信息還是發送電子郵件,都必須知道對方的Internet地址,它能唯一確定Internet上的每一臺計算機、每個用戶的位置。Internet地址有兩種書寫形式:域名形式和IP地址形式。
2.1 域名
一個完整、通用的層次性主機域名由4個部分組成:計算機主機名.本地名.組名.最高層域名。
例如:
www.qinghua.edu.cn cn是地理性頂級域名,表示“中國”。
www.263.net net是組織性頂級域名,表示“網絡技術組織機構”。
常用域名后綴: com(商業組織、公司),top(頂級、高端、適用于任何商業、公司、個人),edu(教育機構)
2.2 IP地址
Internet中的主機地址是用IP地址來標識的。這是因為因特網使用的網絡協議是TCP/IP協議,因此每個主機必須用IP地址來標識。”
IP地址〈IPv4)由4個8位的二進制數來表示,共32位。為了便于使用,通常將二進制“翻譯”成十進制,數字之間用“.”分開。
例如:
| 二進制IP地址 | 十進制IP地址 | 對應域名 |
|---|---|---|
| 11111111.00000000.00000000.00000001 | 127.0.0.1 | localhost |
域名與IP地址是一一對應的,域名更容易記憶。要訪問某臺計算機時,我們只需要使用域名,域名服務器(DNS)會幫助我們將域名轉換成IP地址。
各類地址分配方案:
IP地址=網絡號+主機號。在IP地址中,主機號全0代表的是本網絡,全1代表的是廣播地址。
2.3 子網劃分
為了節約資源、提高效率和安全性,在原有A,B,C類IP地址基礎上進行子網劃分,根據主機個數來劃分最合適的方案。
將主機號拿出幾位作為子網號,就可以劃分出多個子網,此時IP地址組成為:網絡號+子網號+主機號。
子網掩碼:網絡號、子網號均為1+主機號均為0。
2.4 無分類編址
無分類編址自定義網絡號位數,格式為:IP地址/網絡號位數,例如:220.112.145.32/22,其網絡號占22位,主機號占32-22=10位.。
常見的特殊IP地址
2.5 IPv6簡介
IPv6地址長度為128位,每組由4個十六進制數表示,用:分開。
例如:FF05:0000:0000:0000:0000:0000:0000:00B3或FFO5::00B3(0壓縮,連續的0用:取代)
IPv6數據包有一個40字節的基本首部,其后允許有0個或多個擴展首部,再后面是數據。
IPv6地址的分類:
①單播地址:傳統的點對點通信。
②多播地址:一對多的通信,數據包交付到一組計算機中。
③任播地址:IPv6新增的類型。任播的目的站是一組計算機,但只交付其中一個,通常是距離最近的那個。
3. Internet服務
| Internet服務 | 說明 |
|---|---|
DNS域名服務 | DNS域名解析協議,域名服務器將域名轉換為IP地址,使用UDP端口,端口號為53 |
遠程登錄服務 | Telnet協議,使用TCP端口,端口號為23 |
電子郵件(E-mail)服務 | 簡單郵件傳輸協議SMTP(簡單郵件發送協議,使用TCP端口,端口號為25),POP3(郵件接收協議,使用TCP端口, 端口號為110),多用途郵件擴充協議MIME、增強私密郵件保護協議PEM超文木傳輸協議 HTTP,使用TCP端口,端口號為80。 |
WWW服務 | Web地址的URL: scheme://host.Domain[ :port]Upath/filename |
文件傳輸服務 | FTP協議,使用TCP端口,有兩種TCP連接:①控制連接,傳輸口令和參數, 端口號為21;②數據連接,傳輸文件, 端口號為20。 |
網絡文件服務 | 網絡文件服務協議NFS,使用UDP端口,端口號為2049,允許客戶端可以像本地文件系統一樣,訪問網絡上計算機之間共享的文件和目錄。 |
網絡管理服務 | 簡單網絡管理協議SNMP,使用UDP端口,端口號:①用于數據傳送與接收的161端口; ②用于報警信息接收的162端口。它允許網絡管理員監視和管理網絡設備、 服務器、路由器和其他網絡設備的運行狀態和性能。 |
DHCP服務 | 動態主機配置協議DHCP,主要用于在局域網內為設備動態分配IP地址,它基于UDP協議,并使用67和68端口進行通信。 |
| 協議類型 | 說明 | 信息傳輸 | 端口 |
|---|---|---|---|
HTTP | 超文本傳輸協議 | 明文傳輸 | 80 |
HTTPS | HTTPS協議是由HTTP協議+SSL證書構建的可進行加密傳輸、身份認證的網 絡協議,要比HTTP協議安全。 | 具有安全性的SSL加密傳輸協議 | 443 |
4. 網絡管理常用命令
| 網管命令 | 說明 |
|---|---|
| ipconfig | 顯示當前TCP/IP協議所設置的值,如P地址、子網掩碼、缺省網關、Mac地址等 |
| netstat | 顯示網絡連接、路由表和網絡接口信息 |
| nslookup | 查詢Internet域名信息或診斷DNS服務器問題的工具 |
| ping | 檢查網絡是否連通 |
| tracert | 路由跟蹤,顯示IP數據包訪問目標主機所經過的路由路徑 |
| route | 配置路由和查看當前路由情況 |
五、信息安全基礎知識
信息安全包括5個要素:機密性、完整性、可用性、可控性與可審查性。
計算機病毒具有隱蔽性、傳染性、潛伏性、觸發性和破壞性等特點。
| 類型 | 說明 |
|---|---|
| 蠕蟲病毒(感染exe文件) | 熊貓燒香、羅密歐與朱麗葉、惡鷹、尼姆達、沖擊波、愛蟲、永恒之藍 |
| 木馬 | 特洛伊木馬、QQ消息尾巴木馬 |
| 宏病毒(感染word、 excel等文件中的宏變量) | 美麗沙、臺灣1號 |
| 紅色代碼 | 新型網絡病毒,將網絡蠕蟲、計算機病毒、木馬程序合為一體 |
| CIH病毒 | 史上唯一破壞硬件的病毒 |
| 冰河木馬病毒 | 感染該病毒之后,黑客就可以通過網絡遠程控制該電腦 |
六、網絡安全概述
1. 網絡安全威脅
一般認為,目前網絡存在的威脅主要表現在5個方面:非授權訪問、信息泄露或丟失、破壞數據完整性、拒絕服務攻擊和利用網絡傳播病毒。
2. 網絡安全控制技術
網絡安全控制技術目前有防火墻技術、加密技術、用戶識別技術、訪問控制技術、網絡反病毒技術、網絡安全漏洞掃描技術、入侵檢測技術等。
防火墻技術 :
防火墻(Firewall)是建立在內外網絡邊界上的過濾封鎖機制,它認為內部網絡是安全和可信賴的,而外部網絡是不安全和不可信賴的。
防火墻技術經歷了包過濾、應用代理網關和狀態檢測技術三個發展階段。
- 包過濾防火墻。包過濾防火墻工作在網絡層,對數據包的源IP和目的IP具有識別和控制作用,對于傳輸層,也只能識別數據報是TCP還是UDP及所用的端口信息。包過濾防火墻的處理速度較快,也易于配置。
包過濾防火墻的優點: 防火墻對每條傳入和傳出網絡的包實行低水平控制:1)每個IP包的字段都被檢查,如源地址、目的地址、協議和端口等;2)可以識別和丟棄帶欺騙性的源IP地址的包;3)兩個網絡之間訪問的唯一來源;4)通常被包含在路由器數據報中,所以不必額外的系統來處理這個特征。 - 應用代理網關防火墻。應用代理網關防火墻的優點:可以檢查應用層、傳輸層和網絡層的協議特征,對數據包的檢測能力較強,其缺點是難于配置、處理速度非常慢。
- 狀態監測防火墻。狀態監測防火墻結合了代理防火墻的安全性和包過濾防火墻的高速度等優點,在不損失安全性的技術上將代理防火墻的性能提高了10倍。
入侵檢測與防御:
入侵檢測系統(IDS)不僅檢測外部入侵,也檢測內部未授權(違規行為)的活動。對數據的分析是入侵檢測的核心。IDS是防火墻之后的又一道防線,可以發現防火墻沒有發現的入侵行為。入侵防御系統(IPS)是在入侵檢測系統的基礎上發展起來的,不僅能檢測到網絡中的攻擊行為,而且能同時主動的對攻擊行為發出響應,對攻擊進行防御。
)
)
)
![第四篇:[特殊字符] 深入理解MyBatis[特殊字符] 掌握MyBatis Generator ——入門與實戰](http://pic.xiahunao.cn/第四篇:[特殊字符] 深入理解MyBatis[特殊字符] 掌握MyBatis Generator ——入門與實戰)
——紅黑樹及模擬實現)
