第十章 网络与信息安全基础知识

    10.1 网络概述 

        10.1.1 计算机网络的概念

                计算机网络：是计算机技术与通信技术相结合的产物，它实现了远程通信、远程信息处理和资源共享

                计算机网络的发展阶段：具有通信功能的单机系统、具有通信功能的多机系统、以共享资源为目的的计算机网络、以局域网及因特网为支撑环境的分布式计算机系统

                计算机网络的功能：数据通信、资源共享、负载均衡、高可靠性

                计算机网络按照数据通信和数据处理的功能可以分为两层：内层通信子网和外层资源子网；通信子网的结点计算机和高速通信线路组成独立的数据系统，承担全网的数据传输、交换、加工和变换等通信处理工作，即将信息在计算机之间传送，对应于OSI中的物理层、数据链路层和网络层；资源子网包括计算机、终端、通信子网接口设备、外部设备及各种软件资源，负责全网的数据处理和向网络用户提供网络资源及网络服务，对应于OSI的会话层、表示层和应用层

        10.1.2 计算机网络的分类

                按通信距离，广域网、局域网和城域网；按信息交换方式，电路交换网、分组交换网和综合交换网；按网络拓扑结构，星型网、树型网、环型网和总线网；按通讯介质，双绞线网、同轴电缆网、光纤网和卫星网；按传输带宽，基带网和宽带网；按使用范围，公用网和专用网；按速率，高速网、中速网和低速网；按通信传播方式，广播式和点到点式

                局域网：指传输距离有限、传输速度较高、以共享网络资源为目的的网络系统；特点有，分布范围有限；有较高的通信带宽，数据传输率高；数据传输可靠，误码率低；通常采用同轴电缆或双绞线作为传输介质，跨楼宇时使用光纤；拓扑结构简单简介，大多采用总线、星型和环型，系统容易配置和管理；网络控制一般趋于分布式，从而减少对某结点的依赖，避免并减小了一个结点故障对整个网络的 影响；一般网络归单一组织所拥有和使用，不收人和公共网络管理机构的规定约束，容易进行设备的更新和新技术的应用，以不断增强网络功能

                城域网：规模介于局域网和广域网之间的一种较大范围的高速网络，一般覆盖临近的多个单位和城市，从而为接入网络的企业、机关、公司及社会单位提供文字、声音和图像的集成服务

                广域网：远程网，指覆盖范围广，传输速率相对较低，以数据通信为主要目的的数据通通信网；主要特点，分布范围广、数据传输率低、数据传输的可靠性随着传输介质的不同而不同；常常借用传统的公共传输网来实现；拓扑结构复杂，大多采用分布式网络，即所有计算机都与交换节点相连；因其布局不规则，使得网络的通信控制比较复杂

        10.1.3 网络的拓扑结构

                拓扑结构：指网络中通信线路和节点的几何排序，用于表示整个网络的结构外貌，反映各结点之间的结构关系，影响着整个网络的设计、功能、可靠性和通信费用等，常见的有总线型、星型、环型、树型和分布式结构

        10.1.4 ISO/OSI网络体系结构

                OSI(开放系统互连参考模型)，一种定义异种计算机连接标准的框架结构，任何两个系统只要遵守参考模型和有关标准都能够进行互连，采用层次化结构的构造技术

                OSI7层模型：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层

                特点：一种异构系统互连的分层结构；提供了控制互连系统交互规则的标准框架；定义了一种抽象结构，而并非具体实现的描述；不同系统上相同层的实体称为同等层实体；同等层实体之间的通信由宦的协议管理；相邻层间的接口定义了原语操作和底层向高层提供的服务；所提供的公共服务是面向连接的或无连接的数据服务；直接的数据传送仅最底层实现；每层完成所定义的功能，修改本层的功能不影响其他层；物理层、数据链路层、网络层负责通信功能；会话层、表示层和应用层负责资源功能；传输层负责衔接

                物理层：提供未建立、维护和拆除物理链路所需的机械、电器、功能和规程的特性，提供有关在传输介质上传输非结构位流及物理链路故障检测指示

                数据链路层：负责两个相邻节点间的线路上无差错的传送以帧为单位的数据，并进行流量控制；负责建立、维持和释放数据链路的连接

                网络层：为传输层实体提供端到端的交换网络数据功能，使得传输层摆脱路由选择、交换方式和拥挤控制等网络传输细节；可以为传输层实体建立、维持和拆除一条或多条通信路径；对网络传输中发生的不可恢复的差错予以报告，网络层的任务就是选择合的网间路由和交换结点，确保数据及时传送

                传输层：为会话层实体提供透明、可靠的数据传输服务，保证端到端数据完整性，选择网络层 能提供最适宜的服务，提供建立、维护和拆除传输连接功能，依据通信子网的特性最佳的利用网络资源，为两个端系统的会话层之间提供建立、维护和取消传输连接的功能，并以可靠和经济的方式传输数据，传送单位是报文

                会话层：为彼此合作的表示层实体提供建立、维护和结束会话连接的功能；完成通信进程的逻辑名字与物理名字间的对应，提供会话管理服务；在会话层及以上的高层中，数据传送单位不再另外命名，统称为报文，会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和应用之间 通信的机制

                表示层：为应用层进程提供能解释所交换信息含义的一组服务，即将要交换的数据从适合于某一用户的抽象语法转换为合适于OSI系统内部使用的传送语法；提供格式化的表示和转换数据服务，数据的压缩、解压缩、加密和解密等工作都由表示层负责

                应用层：提供OSI用户服务，即确定进程之间通信的性质，以满足用户需要以及提供网络与用户应用软件之间的接口服务

                参考模型的信息流向：A系统的用户向B系统的用户传送数据，A系统用户的数据先送入应用层，该层给它附加控制信息后送入表示层，表示层对数据进行必要的转换并家头标后送入会话层，会话层加头标后送入传输层，传输层将长报文分段并加头标后送至网络层，网络层将信息变成报文分组，并加组号送数据链路层，数据链路层将信息加上头标和尾标变成帧，经物理层按位发送到B系统，B系统接收信息后按照以上相反的路线将信息处理，最终送到B系统用户；两个系统只有物理层是实通信，其余各层均为虚通信

    10.2 网络互连硬件

        10.2.1 网络设备

                网络互连的中间设备要实现不同网络间的协议转换功能；有中继器：实现物理层协议转换，在电缆间转化二进制信号； 网桥：实现物理层和数据链路层协议转换；路由器：实现网络层和以下各层协议转换；网关：提供农从最低层到传输层或以上各层的协议转换；交换机：

                网络传输介质互连设备：T形头（轴同轴电缆连接器）、收发器、RJ-45（屏蔽或非屏蔽双绞线连接器）、RS232接口（计算机与线路接口的常用方式）、DB-15接口（连接网络接口卡的AUI接口）、VB35同步接口（连接远程高速同步接口）、网络接口单元和调制解调器（数字信号和模拟信号转换器）

                物理层的互连设备：中继器（在物理上实现局域网网段互连，用于扩展局域网网段的长度，仅用于连接相同的局域段，安装简便，使用方便，价格便宜）和集线器（多路中继器，具有信号放大功能，以集线器为中心的网络优点是当网络系统中某条线路或结点出现故障时不会影响晚上其他结点的正常工作，分为无源、有源和智能集线器）

                数据链路层互连设备：网桥（用于连接两个局域网网段，工作于数据链路层）和交换机（一个具有简化、低价、高性能和高端口密集特点的交换产品，有端口交换、帧交换和信元交换之别）

                网络层互连设备：路由器（用于连接多个逻辑上分开的网络）

                应用层互连设备：网关（连接不同类型且协议差别较大的网络需要网关）

        10.2.2 网络的传输介质

                传输介质是信号传输的媒体，有线介质（双绞线、同轴电缆和光纤）、无线介质（微波、红外和卫星通信）

        10.2.3 组建网络

                局域网的基本部件：服务器、客户端、网络设备、通信介质和网络软件

    10.3 网络的协议与标准

                协议：网络中计算机之间进行通信时，为了能够实现数据的正常发送与接收必须遵循的一些事先约定好的规则，明确规定了通信时的数据格式、数据传输时序以及相应的控制信息和应答信号等

        10.3.1 网络的标准

                电信标准（ITU-R/ITU-T,V/X系列/ITU-D）、国际标准（ANSI/NIST/IEEE/EIA）、Internet标准（ISOC）

        10.3.2 局域网协议

                以太网、令牌总线、令牌环、FDDI、快速以太网、100VG-AnyLan和千兆以太网

                局域网的基本组成主要有网络服务器、网络工作站、网络适配器和传输介质；决定其特性的主要技术有：传输介质、拓扑结构和介质访问控制方法，他们在很大成都上决定了传输数据的类型、网络的响应时间、吞吐量和利用率，以及网络应用等，不同局域网协议的最大区别是介质访问控制方法

                LAN模型：IEEE802局域网标准中只定义了物理层和数据链路层，并依据LAN的特点把数据链路层分为逻辑链路控制之臣（LLC）和介质访问控制子层(MAC)，还加强了数据链路层的功能，把网络层的寻址、排序、流控和差错控制等放在LLC来实现

                以太网：采用的存取方法是带冲突检测的载波监听多路协议（CSMA/CD）技术，分为3中类型，802.3定义的标准局域网，速度10Mbps，介质为细同轴电缆；802.3u定义的快速以太网，速度100Mbps，传输介质为双绞线；802.3z定义的千兆以太网，速度1000Mbps，传输介质为光纤或双绞线

                令牌环网：802.5，令牌环是环型网中最普遍采用的介质访问控制方法，适用于环形网络结构的分布式介质访问控制，介质访问采用令牌环控制技术

                FDDI：光纤分布式数据接口，用光纤作为传输介质

                无线局域网：CSMA/CA，使用带冲突避免的载波侦听多路访问方法

        10.3.3 广域网协议

                广域网：指覆盖范围大、传输速率低、以数据通信为主要目的的数据通信网，通过专用的交换式的连接将计算机连接起来，可以用公众网或专用网建立，主要的协议有PPP（点对点协议）、DDN（数字数据网）、ISDN（综合业务数字网）、FR（帧中继）和ATM（异步传输模式）

        10.3.4 TCP/IP协议族

                TCP/IP协议特性：逻辑编制（网卡生产分配物理地址，在Internet中分配逻辑地址IP）、路由选择（定义路由器如何选择网络路径的协议）、域名解析（DNS->IP）、错误检测和流量控制以及对应用程序的支持

                TCP/IP分层模型：由4个层次构成，应用层、传输层、网际层和网络接口层

                网络接口层协议：TCP/IP不包含具体的物理层和数据链路层，只定义了网络接口层作为物理层与网络层的接口规范

                网际层协议：IP，是整个TCP/IP协议族的重点，除了IP之外，还有ICMP（Internet控制信息协议）/ARP(地址解析协议)和RARP（反地址解析协议）

                传输协议：TCP，传输控制协议，在IP提供的不可靠数据服务的基础上，为应用程序提供了一个可靠的、面向连接的全双工的数据传输协议，核心是重发技术，三次握手

                传输层协议：UDP，用户数据报协议，是一种不可靠 无连接的协议，可以保证应用程序进程间的通信

                应用层协议：NFS/Telnet/SMTP/DNS/SNMP/FTP

    10.4 Internet及应用

                Internet 是世界上规模最大、覆盖面积最广且最具影响力的计算机互连网络，将分布于全世界的计算机采用开放系统协议连接在一起，用来进行数据传输、信息交换和资源共享

        10.4.1 Internet概述

                用户角度，Internet在逻辑上统一，独立，物理上由不同的网络互连而成，技术上，能够互相传递信息的众多网络的统称，用户不必关心网络连接，只关心其资源

        10.4.2 Internet地址

                Internet 上的每一台计算机、每个用户都有唯一的地址来标识，以便其他设备来访问，一般有两种地址格式：域名格式和IP地址格式

                域名：用户所用主机的名字和地址，由子域名通过“.”连接，计算机主机名.本地名.组名.最高层域名

                IP地址：由4个小于256的数字组成，用'.'分开，域名和IP地址一一对应，分为ABCDE五类

                子网地址掩码：用来标识网络类型的

                NAT技术：为了解决IP地址短缺问题的一种短期解决方案，长期方案为IPv6；一种实现方式是动态地址翻译（m:n）另一种是伪装,网络地址和端口翻译（m:1）

                IPv6：具有128位的地址空间

        10.4.3  Internet服务

                0-1023由Internet赋值地址和端口号的组织（IANA）赋值，另一类 需在IANA注册登记的端口号，1024-65535

                域名服务：域名地址和IP地址之间，通过域名服务器（实质为一种分布式地址信息数据库系统，采用客户/服务器模式，由解析器和域名服务器组成）来完成变换；过程如下：解析器向本地域名服务器发出请求查阅其他用户的域名；本地域名服务器向最高层域名服务器发出查询地址的请求；最高层域名服务器返回给本地域名服务器一个IP地址；本地域名服务器向组域名服务器发出查询地址的请求；组域名服务器返回给本地域名服务器一个IP地址；本地服务器向刚返回的域名服务器发出查询域名地址请求；IP地址返回给本地域名服务器；本地域名服务器将该地址返回给解析器

                远程登录服务：在Telnet协议的支持下，将用户计算机与远程主机连接起来，在远程计算机上运行程序，将相应的屏幕显示传送到本地机器，并将本地的输入送给远程远程计算机；由客户端软件、服务器软件以及Telnet协议组成，通过它用户可以与主机上其他用户一样来共同使用主机提供的服务和资源；用户必须有主机合法的账号和密码，技术上说就是在一个特定的TCP端口（23）上打开一个套接字，然后主机与本地端的连接，然后进行操作，返回操作结果

                电子邮件服务：利用计算机进行信息交换的电子媒体信件，基于客户端/服务器模式，整个系统由E-mail客户端软件、E-mail服务器和通信协议组成

                WWW服务：基于客户端/服务器端模式的信息发送技术和超文本技术的综合，WWW服务器把信息为分布的超文本，这些信息节点可以是文本、子目录或信息指针，由WEB服务器、WEB浏览器和超文本通讯协议组成；WWW浏览程序为用户提供基于超文本传输协议（HTTP） 的用户界面，数据文件由超文本标记语言（HTML）描述、利用统一资源定位器(URL)的指标是超媒体连接，并在文本内指向其他资源；超本文协议是一个Internet上的应用层协议，是WEB服务器和浏览器之间进行通信的语言；统一资源定位器是在WWW中标识某一特定信息资源所在位置的字符串，是一个具有指针作用的地址标准

                WWW工作过程：通过局域网或电话拨号连入Internet，并在本地计算机运行WWW浏览器程序，然后依据想要获取的信息来源在浏览器的指定位置输入WWW地址，并通过浏览器向Internet发出请求信息，此时网络中的IP路由器和服务器将按照地址将信息传递到所要求的WWW服务器总，而WWW服务器不断在一个众所周知的TVP端口（80）上侦听用户的连接请求，当服务器接收到请求后，找到所要求的WWW页面，然后通过Internet传送回用户计算机，显示在用户计算机屏幕，URL包含协议、主机域名、端口号、目录路径和文件名

                文件传输服务：用来在计算机间传输文件，由文件传输协议实现，一般提供一个anonymous用户名供公众使用；基于客户端/服务器模式；内部建立两条TCP连接，一条控制连接，主要用于传输命令和参数（21），一条是数据连接，主要用于传送文件（20）

    10.5 信息安全基础知识

                信息安全5要素：机密性、完整性、可用性、可控性与可审查性

                信息存储安全：信息使用安全（用户的标识与验证、用户存取权限限制、安全问题跟踪）、系统安全监控、计算机病毒防治、数据的加密和防止非法攻击

                计算机信息安全保护等级：第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标记保护级；第四级，结构化保护级；第五级，访问验证保护级

                数据加密原理：加密方，C=E(K,P)，解密方，P=D(K,C)

    10.6 网络安全概述

                网络安全威胁：表现形式，非授权访问；信息泄露或丢失；破坏数据完整性；拒绝服务攻击；利用网络传播病毒

                网络安全控制技术：防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术