网络安全-网络部分讲义
- 网络基础知识
- 网络计算机网络概述
-
-
- 计算机网络的定义
-
计算机网络是一组自治计算机互连的集合
计算机网络的演进
-
-
- 计算机的网络类型
-
LAN(Local Area Network)局域网
通常指几千米以内的,可以通过某种介质互联的计算机、打印机、
modem或其他设备的集合
MAN(Metropolitan Area Network)城域网
MAN覆盖范围为中等规模,介于局域网和广域网之间,通常是在一
个城市内的网络连接(距离为10KM左右)
WAN(Wide Area Network)广域网
分布距离远,它通过各种类型的串行连接以便在更大的地理区域内实现
接入
-
-
- 各种网络的拓扑结构
-
-
-
- 电路交换与分组交换
-
电路交换:基于电话网的电路交换
优点:延迟小、透明传输
缺点:带宽固定,网络资源利用率低,初始连接建立慢
分组交换:以分组为单位存储转发
优点:多路复用,网络资源利用率高
缺点:延迟大,实时性差,设备功能复杂
-
-
- 衡量计算机网络的性能指标
-
带宽(bandwidth)
描述在一定时间范围内能够从一个节点传送到另一个节点的数据量
通常以bps为单位
例如以太网带宽为10Mbps,快速以太网为100Mbps
延迟(delay)
描述网络上数据从一个节点传送到另一个节点所经历的时间
-
-
- 网络标准化组织
-
国际标准化组织(ISO)
电子电器工程师协会(IEEE)
美国国家标准局(ANSI)
国际电信联盟(ITU)
INTERNET架构委员会(IAB)
-
- 参考模型讲解
- 了解OSI参考模型和TCP/IP模型的产生背景
- 参考模型讲解
OSI参考模型定义了网络中设备所遵守的层次结构
分层结构的优点:
开放的标准化接口
多厂商兼容性
易于理解、学习和更新协议标准
实现模块化工程,降低了开发实现的复杂度
便于故障排除
-
-
- 理解OSI参考模型和TCP/IP模型的层次结构及相关概念
-
-
-
- 理解OSI参考模型和TCP/IP模型各层的功能
-
物理层介质
双绞线、同轴电缆、光纤、无线电信号等
局域网物理层
常见标准:10Base-T、100Base-TX/FX、1000Base-T、1000Base-SX/LX
常见设备:中继器、集线器
广域网物理层
常见标准:RS-232、V.24、V.35
常见设备:Modem
局域网数据链路层标准
IEEE802.1 基本局域网问题
IEEE802.2 定义LLC子层
IEEE802.3 以太网标准
IEEE802.4 令牌总线网
IEEE802.5 令牌环网
广域网数据链路层标准
HDLC
PPP
Frame Relay
-
- 局域网基本原理
- 局域网概述
- 局域网基本原理
局域网的覆盖范围一般是方圆几千米之内,其具备的安装便捷、成本节约、扩展方便等特点使其在各类办公室内运用广泛。局域网可以实现文件管理、应用软件共享、打印机共享等功能,在使用过程当中,通过维护局域网网络安全,能够有效地保护资料安全,保证局域网网络能够正常稳定的运行。
-
-
- 以太网技术基础
-
集线器(Hub)与主机构成物理星型拓扑
集线器内部采用总线结构,任意时间只有一台主机能占用总线
-
-
- 现代以太网技术
-
多模光纤
较粗的纤芯,传输多种不同波长不同角度的光
衰耗大,传输距离通常在千米以内
成本低
单模光纤
纤芯与光波长相同,传送单一波长的激光
衰耗小,传输距离可达数十千米
成本高
-
-
- WLAN技术基础
-
WLAN(Wireless LAN)是计算机网络与无线通信技术相结合的产物。
用射频(RF)技术取代旧式的双绞线构成局域网络,提供传统有线局域网的所有功能。
具有部署简单、移动方便、使用便捷等优点。
-
- 广域网基本原理
- 广域网基本概念
- 广域网基本原理
以太网等局域网技术无法支持远程传输
企图通过大量设备级连将局域网扩展到超远距离是不现实的
即使可以扩展局域网的范围,但普通组织没有专用的长距离线路
-
-
- 点到点广域网技术介绍
-
点到点永久性独占线路,固定带宽
典型技术:异步模拟专线、同步数字专线
链路层常使用SDLC、HDLC、PPP等
-
-
- 分组交换广域网技术介绍
-
一个端系统设备可以通过虚电路连接到多个通信对端
典型技术:X.25、帧中继、ATM
- Ip地址与交换路由
- ip基本原理
- IP协议概述
- ip基本原理
标识节点和链路
用唯一的IP地址标识每一个节点
用唯一的IP网络号标识每一个链路
寻址和转发
确定节点所在网络的位置,进而确定节点所在的位置
IP路由器选择适当的路径将IP包转发到目的节点
适应各种数据链路
根据链路的MTU对IP包进行分片和重组
为了通过实际的数据链路传递信息,须建立IP地址到数据链路层地址的映射
IP网络由多个网段构成,每个网段对应一个链路
路由器负责将网段连接起来,适配链路层协议,在网络之间转发数据包
-
-
- IP地址和地址映射
-
网络号用于区分不同的IP网络
主机号用于标识该网络内的一个IP节点
-
-
- IP包转发
-
如果IP包的目的地址符合下列情况之一,则主机接收此包
目的IP地址等于自己的IP地址
目的IP地址是一个广播地址
目的IP地址是一个组播地址,而本机的某个服务属于此组播组
否则主机的网络层丢弃此IP包
-
-
- 其他相关协议介绍
-
-
- tcp和udp的基本原理
- TCP/IP传输层的作用
- tcp和udp的基本原理
提供面向连接或无连接的服务
维护连接状态
对应用层数据进行分段和封装
实现多路复用
可靠地传输数据
执行流量控制
-
-
- TCP基本原理
-
-
-
- UDP基本原理
-
-
- 交换机路由的基本介绍
-
-
- 路由器与交换机的作用与特点
-
连接具有不同介质的链路
连接网络或子网,隔离广播
对数据报文执行寻路和转发
交换和维护路由信息
主要工作在OSI模型的物理层、数据链路层和网络层
根据网络层信息进行路由转发
提供丰富的接口类型
支持丰富的链路层协议
支持多种路由协议
交换
主要工作在OSI模型的物理层、数据链路层
提供以太网间的透明桥接和交换
依据链路层的MAC地址,将以太网数据帧在端口间进行转发
-
-
- H3C路由器与交换机介绍
-
-
- 交换机的工作原理
- 共享式与交换式以太网
- 交换机的工作原理
共享式以太网中,所有的终端主机都处于同一个冲突域中,局域网中的所有接入终端共享总线的带宽。
在交换式以太网中,交换机的每个端口处于独立的冲突域中,终端主机独占端口的带宽。
-
-
- 交换机的MAC地址表学习过程
-
交换机刚启动时,MAC地址表内无表项
PCA发出数据帧
交换机把PCA的帧中的源地址MAC_A与接收到此帧的端口E1/0/1关联起来
交换机把PCA的帧从所有其他端口发送出去(除了接收到帧的端口E1/0/1)
-
-
- 交换机对数据帧的转发与过滤
-
PCA发出目的到PCD的单播数据帧
交换机根据帧中的目的地址,从相应的端口E1/0/4发送出去
交换机不在其他端口上转发此单播数据帧
-
-
- 广播域
-
路由器或三层交换机的三层接口处于独立的广播域中,终端主机发出的广播帧在三层接口被终止。
共享式以太网中所有终端共享总线带宽,交换式以太网中每个终端处于独立的冲突域
交换机根据接收到的数据帧的源地址进行MAC地址表的学习
交换机根据MAC地址表对数据帧进行转发和过滤
路由器或三层交换机的三层接口属于独立的广播域
- 虚拟网络与协议
- Vlan的讲解 如何配置vlan
- VLAN技术简介
- Vlan的讲解 如何配置vlan
路由器能够隔离广播,减小广播域范围。
二层交换机使用VLAN隔离广播,减小广播域范围。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
-
-
- VLAN类型
-
-
-
- VLAN技术原理
-
在进入交换机端口时,附加缺省VLAN标签
出交换机端口时,去掉VLAN标签
-
-
- VLAN的基本配置
-
-
- ip子网的划分
-
-
- 子网划分的需求
-
IP地址资源浪费严重
IP网络数量不敷使用
业务扩展缺乏灵活性
无法应对Internet的爆炸式增长
-
-
- IP子网划分基础知识
-
A类地址默认掩码为255.0.0.0
B类地址默认掩码为255.255.0.0
C类地址默认掩码为255.255.255.0
-
-
- IP子网划分相关计算
-
-
-
- VLSM和CIDR
-
-
- dns协议
- 掌握DNS的作用
- dns协议
-
-
- 掌握DNS域名结构
-
DNS系统的作用
提供了主机名字和IP地址间的相互转换
DNS系统的模式
采用客户端/服务器模式
DNS系统的结构
是一个具有树状层次结构的,联机分布式数据库系统
-
-
- 掌握DNS域名的解析过程
-
-
-
- 掌握DNS两种查询方式
-
如果DNS服务器支持递归查询,那么当它接收到递归查询请求后,它将负责把最终的查询结果返回请求发送方。即使执行递归查询的DNS服务器无法从本地数据库返回查询结果,它也必须查询其他的DNS服务器,直到得到确认的查询结果
一般客户机与本地DNS域名服务器之间的查询交互采用的就是递归查询方式
DNS服务器接收到迭代查询请求后,如果无法从本地数据库返回查询结果,它会返回一个可能知道查询结果的DNS服务器地址给请求者,由请求者自行查询该DNS服务器,以此类推,请求者最终将得到查询结果
一般本地域名服务器发送至根域名服务器的查询采用的就是迭代查询
-
-
- 了解DNS反向查询相关知识
-
DNS反向查询允许DNS客户端根据已知的IP地址查找主机所对应的域名
因特网域名树中设立了一个特殊的in-addr.arpa反向查询域用于反向查询
-
- dhcp协议
- 掌握DHCP原理和特点
- dhcp协议
DHCP 是 Dynamic Host Configuration Protocol (动态主机配置协议)的缩写
DHCP是从BOOTP(Bootstrap Protocol)协议发展而来,其作用向主机动态分配IP地址及其他相关信息
DHCP采用客户端/服务器模式,服务器负责集中管理,客户端向服务器提出配置申请,服务器根据策略返回相应配置信息
DHCP报文采用UDP封装。服务器所侦听的端口号是67,客户端的端口号是68
即插即用性
客户端无须配置即能获得IP地址及相关参数。简化客户端网络配置,降低维护成本
统一管理
所有IP地址及相关参数信息由DHCP服务器统一管理,统一分配
使用效率高
通过IP地址租期管理,提高IP地址的使用效率
可跨网段实现
通过使用DHCP中继,可使处于不同子网中的客户端和DHCP服务器之间实现协议报文交互
-
-
- 掌握DHCP地址分配方式
-
手工分配
根据需求,网络管理员为某些少数特定的主机(如DNS服务器、打印机)绑定固定的IP地址,其地址不会过期
自动分配
为连接到网络的某些主机分配IP地址,该地址将长期由该主机使用
动态分配
主机申请IP地址最常用的方法。DHCP服务器为客户端指定一个IP地址,同时为此地址规定了一个租用期限,如果租用时间到期,客户端必须重新申请IP地址
-
-
- 熟悉DHCP协议中IP地址获取过程
-
-
-
- 了解DHCP中继的工作原理
-
DHCP中继(也叫做DHCP中继代理)是一个小程序,其可以实现在不同子网和物理网段之间处理和转发dhcp信息的功能。
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。
- 路由原理详解
- ip路由原理
- 前言
- ip路由原理
以太网交换机工作在数据链路层,用于在网络内进行数据转发。而企业网络的拓扑结构一般会比较复杂,不同的部门,或者总部和分支可能处在不同的网络中,此时就需要使用路由器来连接不同的网络,实现网络之间的数据转发。
-
-
- 路由器的基本工作原理
-
自治系统(AS):由同一个管理机构管理、使用统一路由策略的路由器的集合。
广播是一种信息的传播方式,指网络中的某一设备同时向网络中所有的其它设备发送数据,这个数据所能广播到的范围即为广播域(Broadcast Domain)。
简单点说,广播域就是指网络中所有能接收到同样广播消息的设备的集合。
路由器负责为数据包选择一条最优路径,并进行转发。
-
-
- 路由表
-
-
- 直连路由和静态路由
- 直连路由
- 直连路由和静态路由
根据路由器学习路由信息、生成并维护路由表的方法包括直连路由(Direct)、静态路由(Static)和动态路由(Dynamic)。直连路由:路由器接口所连接的子网的路由方式称为直连路由;非直连路由:通过路由协议从别的路由器学到的路由称为非直连路由;分为静态路由和动态路由; 直连路由是由链路层协议发现的,一般指去往路由器的接口地址所在网段的路径,该路径信息不需要网络管理员维护,也不需要路由器通过某种算法进行计算获得,只要该接口处于活动状态(Active),路由器就会把通向该网段的路由信息填写到路由表中去,直连路由无法使路由器获取与其不直接相连的路由信息。
-
-
- 静态路由
-
静态路由是指由管理员手动配置和维护的路由。
静态路由配置简单,被广泛应用于网络中。另外,静态路由还可以实现负载均衡和路由备份。因此,学习并掌握好静态路由的应用与配置是非常必要的。
静态路由是指由管理员手动配置和维护的路由。
-
-
- 静态路由下一跳与负载分担
-
-
-
- 缺省路由
-
缺省路由是目的地址和掩码都为全0的特殊路由。
如果报文的目的地址无法匹配路由表中的任何一项,路由器将选择依照缺省路由来转发报文。
-
- 路由协议概述
路由协议(英语:Routing protocol)是一种指定数据包转送方式的网上协议。Internet网络的主要节点设备是路由器,路由器通过路由表来转发接收到的数据。转发策略可以是人工指定的(通过静态路由、策略路由等方法)。在具有较小规模的网络中,人工指定转发策略没有任何问题。但是在具有较大规模的网络中(如跨国企业网络、ISP网络),如果通过人工指定转发策略,将会给网络管理员带来巨大的工作量,并且在管理、维护路由表上也变得十分困难。为了解决这个问题,动态路由协议应运而生。动态路由协议可以让路由器自动学习到其他路由器的网络,并且网络拓扑发生改变后自动更新路由表。网络管理员只需要配置动态路由协议即可,相比人工指定转发策略,工作量大大减少。
-
-
- 路由协议
-
路由器用来计算、维护网络路由信息的协议,通常有一定的算法,工作在传输层或应用层。
常见的路由协议有RIP、OSPF、BGP等
-
-
- 可路由协议
-
可被路由器转发的协议,工作在网络层。
常见的可路由协议有IP、IPX等
网络中所有路由器须实现相同的某种路由协议并已经启动该协议
邻居发现
路由器通过发送广播报文或发送给指定的路由器邻居以主动把自己介绍给网段内的其它路由器。
路由交换
每台路由器将自己已知的路由相关信息发给相邻路由器。
路由计算
每台路由器运行某种算法,计算出最终的路由来。
路由维护
路由器之间通过周期性地发送协议报文来维护邻居信息。
-
-
- 衡量路由协议的主要指标
-
协议计算的正确性
协议使用的算法能够计算出最优的路由,且正确无自环。
路由收敛速度
当网络的拓扑结构发生变化之后,能够迅速感知并及时更新相应的路由信息。
协议占用系统开销
协议自身的开销(内存、CPU、网络带宽)最小。
协议自身的安全性
协议自身不易受攻击,有安全机制。
协议适用网络规模
协议可以应用在何种拓扑结构和规模的网络中。
-
- rip的原理
路由信息协议RIP(Routing Information Protocol)的简称,它是一种基于距离矢量(Distance-Vector)算法的协议,使用跳数作为度量来衡量到达目的网络的距离。RIP主要应用于规模较小的网络中。
RIP使用跳数作为度量值来衡量到达目的网络的距离。
缺省情况下,直连网络的路由跳数为0。当路由器发送路由更新时,会把度量值加1。RIP规定超过15跳为网络不可达。
- 高级网络协议深度分析
- ospf 协议介绍
- 开放最短路径优先
- ospf 协议介绍
开放式最短路径优先OSPF(Open Shortest Path First)协议是IETF定义的一种基于链路状态的内部网关路由协议。
RIP是一种基于距离矢量算法的路由协议,存在着收敛慢、易产生路由环路、可扩展性差等问题,目前已逐渐被OSPF取代。
-
-
- Ospf报文
-
-
-
- 邻居和邻居维护
-
-
- 访问控制列表实现包过滤
- 前言
- 访问控制列表实现包过滤
企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
-
-
- 掌握ACL在企业网络中的应用
-
ACL可以通过定义规则来允许或拒绝流量的通过。
ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。
-
-
- ACL分类
-
-
- 网络地址转换
- 前言
- 网络地址转换
随着Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。
网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由。
NAT一般部署在连接内网和外网的网关设备上。
-
-
- Nat分类介绍
-
静态NAT实现了私有地址和公有地址的一对一映射。
一个公网IP只会分配给唯一且固定的内网主机。
动态NAT基于地址池来实现私有地址和公有地址的转换。
网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。可有公网地址池。
Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。
没有公网地址池,是napt的一中特别形式。
-
- Https请求方式介绍
-
-
- 简单介绍
-
HTTP是超文本传输协议,其定义了客户端与服务器端之间文本传输的规范。HTTP默认使用80端口,这个端口指的是服务端的端口,而客户端使用的端口是动态分配的。当我们没有指定端口访问时,浏览器会默认帮我们添加80端口。我们也可以自己指定访问端口如:http://www.ip138.com:80。 需要注意的是,现在大多数访问都使用了HTTPS协议,而HTTPS的默认端口为443,如果使用80端口访问HTTPS协议的服务器可能会被拒绝。
-
-
- HTTP请求的方法
-
HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式
HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。
HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法
1、OPTIONS
返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器发送‘*’的请求来测试服务器的功能性
2、HEAD
向服务器索与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以再不必传输整个响应内容的情况下,就可以获取包含在响应小消息头中的元信息。
3、GET
向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在Web Application中,其中一个原因是GET可能会被网络蜘蛛等随意访问。Loadrunner中对应get请求函数:web_link和web_url
4、POST
向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 Loadrunner中对应POST请求函数:web_submit_data,web_submit_form
5、PUT
向指定资源位置上传其最新内容
6、DELETE
请求服务器删除Request-URL所标识的资源
7、TRACE
回显服务器收到的请求,主要用于测试或诊断
8、CONNECT
HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
-
-
- HTTP 请求/响应的步骤
-
-
-
-
- 客户端连接到Web服务器
-
-
一个HTTP客户端,通常是浏览器,与Web服务器的HTTP端口(默认为80)建立一个TCP套接字连接。例如,http://www.baidu.com
-
-
-
- 发送HTTP请求
-
-
通过TCP套接字,客户端向Web服务器发送一个文本的请求报文,一个请求报文由请求行、请求头部、空行和请求数据4部分组成。
-
-
-
- 服务器接受请求并返回HTTP响应
-
-
Web服务器解析请求,定位请求资源。服务器将资源复本写到TCP套接字,由客户端读取。一个响应由状态行、响应头部、空行和响应数据4部分组成。
-
-
-
- 释放连接TCP连接
-
-
若connection 模式为close,则服务器主动关闭TCP连接,客户端被动关闭连接,释放TCP连接;若connection 模式为keepalive,则该连接会保持一段时间,在该时间内可以继续接收请求;
-
-
-
- 客户端浏览器解析HTML内容
-
-
客户端浏览器首先解析状态行,查看表明请求是否成功的状态代码。然后解析每一个响应头,响应头告知以下为若干字节的HTML文档和文档的字符集。客户端浏览器读取响应数据HTML,根据HTML的语法对其进行格式化,并在浏览器窗口中显示。