软件设计师(十)网络与信息安全基础知识
计算机网络是由多台计算机组成的系统,与传统的单机系统、多机系统相比有很大的区别。
一、网络概述
计算机网络是计算机技术与通信技术相结合的产物,它实现了远程通信、远程信息处理和资源共享。
1、计算机网络的概念
计算机网络的定义是利用通信设备和线路将地理位置分散的、功能独立的自主计算机系统或由计算机控制的外部设备连接起来,在网络操作系统的控制下,按照约定的通信协议进行信息交换,实现资源共享的系统。
(1)计算机网络的发展
计算机网络发展大致分为4个阶段:
- 具有通信功能的单机系统:又称终端-计算机网络(半自动地面防空系统SAGE)
- 具有通信功能的多机系统
- 以共享资源为目的的计算机网络
- 以局域网及因特网为支撑环境的分布式计算机系统
(2)计算机网络的功能
- 数据通信:通信或数据传输是计算机网络的主要功能之一
- 资源共享:资源共享是计算机网络最有吸引力的功能
- 负载均衡:进行数据的集中处理或分布式处理
- 高可靠性:
计算机网络按照数据通信和数据处理的功能可分为两层: 内层通信子网和外层资源子网
通信子网的结点计算机和高速通信线路组成独立的数据系统。
2、计算机网络的分类
| 分类原则 | 类型 |
|---|---|
| 通信距离 | 广域网、局域网和城域网 |
| 网络拓扑结构 | 星型网、树型网、环型网和总线网 |
| 信息交换方式 | 电路交换网、分组交换网和综合交换网 |
| 通信介质 | 双绞线网、同轴电缆网、光纤网和卫星网 |
| 传输带宽 | 基带网和宽带网 |
| 使用范围 | 公用网和专用网 |
| 速率 | 高速网、中速网和低速网 |
| 通信传播方式 | 广播式和点到点式 |
(1)局域网(Local Area Network,LAN)
局域网是指传输距离有限、传输速度较高、以共享网络资源为目的的网络系统。
由于局域网投资规模较小,网络实现简单,故新技术易于推广。局域网技术与广城网相比发展迅速。
局域网的特点如下:
- 分布范围有限
- 有较高的通信带宽
- 数据传输可靠,误码率低
- 通常采用同轴电缆或双绞线作为传输介质,跨楼寓时使用光纤.
- 拓扑结构简单,大多采用总线、星型和环型等,系统容易配置和管理。
- 网络的控制一般趋向于分布式,从而减少了对某个结点的依赖,避免并减小了一个结点故障对整个网络的影响。
- 网络归单一组织所拥有和使用,不受任何公共网络管理机构的规定约束,容易进行设备的更新和新技术的应用,以不断增强网络功能。
(2)城域网(Metropolitan Area Network,MAN)
城城网是规模介于局域网和广域网之间的一种较大范围的高速网络,一般覆盖临近的多个单位和城市。城域网规范由IEEE 802.6 协议定义。
(3)广域网(Wide Area Network,WAN))
广域网又称远程网,它是指覆盖范围广、传输速率相对较低以数据通信为主要目的的数据通信网。
广域网最根本的特点如下:
- 分布范围广
- 数据传输率低
- 数据传输的可靠性随着传输介质的不同而不同
- 广域网常常借用传统的公共传输网来实现,因为单独建造一个广域网极其昂贵。
- 拓扑结构较为复杂
3、网络的拓扑结构
网络拓扑结构是指网络中通信线路和结点的几何排序,用于表示整个网络的结构外貌,反映各结点之间的结构关系。
常用的网络拓扑结构有总线型、星型、环型、树型和分布式结构等。
广域网与局域网所使用的网络拓扑结构有所不同,广域网多用分布式或树型结构,而局域网常使用总线型、环型、星型或树型结构。
(1)总线型结构
只有一条双向通路
(2)星型结构
使用中央交换单元以放射状连接到网中的各个结点
(3)环型结构
环型结构的信息传输线路构成一个封闭的环型,各结点通过中继器连入网内,各中继器间首尾相接,信息单向沿环路逐点传送
(4)树型结构
树型结构是总线型结构的扩充形式,传输介质是不封闭的分支电缆
(5)分布型结构
分布式结构无严格的布点规定和形状,各结点之间有多条线路相连
4、ISO/OSI网络体系结构
开放系统互连参考模型,它是一个定义异种计算机连接标准的框架结构。
(1)ISO/OSI参考模型
ISO/OSI的参考模型共有 7 层,由低层至高层分别为物理层、数据链路层网络层、传输层、会话层、表示层和应用层。
特点:
- 它是一种将异构系统互连的分层结构。
- 提供了控制互连系统交互规则的标准框架
- 定义了一种抽象结构,而并非具体实现的描述
- 不同系统上相同层的实体称为同等层实体
- 同等层实体之间的通信由该层的协议管理。
- 相邻层间的接口定义了原语操作和低层向高层提供的服务。
- 所提供的公共服务是面向连接的或无连接的数据服务。
- 直接的数据传送仅在最低层实现。
- 每层完成所定义的功能,修改本层的功能并不影响其他层
OSI/RM 中的 1~ 3 层主要负责通信功能,一般称为通信子网层。
上三层 (即 5~7 层) 属于资源子网的功能范畴,称为资源子网层。
传输层起着衔接上、下三层的作用。
(2)参考模型的信息流向
二、网络互连硬件
构建一个实际的网络需要网络的传输介质、网络互连设备作为支持。
1、网络的设备
网络互连的目的是使一个网络的用户能访问其他网络的资源,使不同网络上的用户能够互相通信和交换信息,实现更大范围的资源共享。
网络互连设备可以有中继器(实现物理层协议转换,在电缆间转发二进制信号)、网桥(实现物理层和数据链路层协议转换)、路由器(实现网络层和以下各层协议转换)、网关(提供从最低层到传输层或以上各层的协议转换) 和交换机等。
(1)网络传输介质互连设备
网络线路与用户结点具体连接时,需要网络传输介质的互连设备
(2)物理层的互连设备
物理层的互连设备有中继器 (Repeater) 和集线器 (Hub)。
中继器是在物理层上实现局域网网段互连的、,用于扩展局域网网段的长度。
中继器的主要优点是安装简便、使用方便、价格便宜。
集线器可以看成是一种特殊的多路中继器,也具有信号放大功能。
集线器可分为无源 (Passive) 集线器、有源 (Active) 集线器和智能 (Itelligent) 集线器。
(3)数据链路层的互连设备
数据链路层的互连设备有网桥 (Bridge) 和交换机 (Switch)
网桥用于连接两个局域网网段,工作于数据链路层.
交换机是一个具有简化、低价、高性能和高端口密集特点的交换产品
3种交换技术:端口交换、帧交换、信元交换
(4)网络层的互连设备
路由器 (Router) 是网络层互连设备,用于连接多个逻辑上分开的网络。
(5)应用层互连设备
网关 (Gateway) 是应用层的互连设备
2、网络的传输介质
传输介质是信号传输的媒体,常用的介质分为有线介质和无线介质。
有线介质有双绞线、同轴电缆和光纤等;
无线介质有微波、红外线和卫星通信等
3、组建网络
在一个局域网中,其基本组成部件为服务器、客户端、网络设备、通信介质和网络软件等。
- 服务器(Server)。局域网的核心,根据它在网络中的作用,还可进一步分为文件服务器、打印服务器和通信服务器等。
- 客户端 (Client)。客户端又称为用户工作站,包括用户计算机与网络应用接口设备
- 网络设备。主要指一些硬件设备,如网卡、收发器、中继器、集线器、网桥和路由器等。
- 通信介质。数据的传输媒体。
- 网络软件。网络软件主要包括底层协议软件、网络操作系统(NOS) 等。
某家庭想连接 Internet,决定申请一条 ADSL 线路,通过拨号来连接 Internet,原因如下:
- ADSL具有很高的传输速率
- ADSL网和打电话互不干扰
- ADSL 独享带宽、安全可靠
- ADSL 费用低廉
- ADSL 能提供真正的视频点播 (VOD)、网上游戏、交互电视和网上购物等宽带多媒体服务
ADSL 连接 Internet 的方式有两种: 专线接入和虚拟拨号接入。
三、网络的协议与标准
计算机网络的硬件设备是承载计算机通信的实体。
所谓协议,指的是网络中的计算机与计算机进行通信时,为了能够实现数据的正常发送与接收必须要遵循的一些事先约定好的规则(标准或约定),在这些规程中明确规定了通信时的数据格式、数据传送时序以及相应的控制信息和应答信号等内容。
协议是对数据在计算机或设备之间传输时的表示方法进行定义和描述的标准。协议规定了进行传输、检测错误以及传送确认信息等内容。
1、网络的标准
(1)电信标准
(2)国际标准
(3)Internet标准
2、局域网协议
IEEE 局域网标准委员会对局域网的定义为:“局域网络中的通信被限制在中等规模的地理范围内,如一所学校;能够使用具有中等或较高数据速率的物理信道,且具有较低的误码率;局域网络是专用的,由单一组织机构所使用。”
- 局域网的基本组成主要有网络服务器、网络工作站、网络适配器和传输介质。
- 决定局域网特性的主要技术有 3 个方面:用于传输数据的传输介质;用于连接各种设备的拓扑结构;用于共享资源的介质访问控制方法。
- 不同的局域网协议最重要的区别是介质访问控制方法
(1)LAN模型
在IEEE 802 局域网(LAN)标准中只定义了物理层和数据链路层两层,并根据 LAN 的特点把数据链路层分成逻辑链路控制(LogicalLink Control,LLC) 子层和介质访问控制 (Medium Access Control,MAC)子层,还加强了数据链路层的功能,把网络层中的寻址、排序、流控和差错控制等功能放在 LLC 子层来实现。
- 物理层:主要处理在物理链路上发送、传递和接收非结构化的比特流,包括对带宽的频道分配和对基带的信号调制、建立、维持、撤销物理链路,处理机械的、电气的和过程的特性。其特点是可以采用一些特殊的通信媒体,在信息组成的格式上可以有多种。
- MAC:主要功能是控制对传输介质的访问,MAC 与网络的具体拓扑方式以及传输介质的类型有关.主要是介质的访问控制和对信道资源的分配。MAC 层还实现顿的寻址和识别,完成帧检测序列产生和检验等功能。
- LLC:LLC 可提供两种控制类型,即面向连接服务和非连接服务。其中,面向连接服务能够提供可靠的信道。逻辑链路控制层提供的主要功能是数据帧的封装和拆除,为高层提供网络服务的逻辑接口,能够实现差错控制和流量控制。
(2)以太网(IEEE 802.3标准)
以太网技术可以说是局域网技术中历史最悠久和最常用的一种,它采用的“存取方法”是带冲突检测的载波监听多路访问协议 (CSMA/CD)技术。
| 分类 | 说明 | 速度 | 传输介质 |
|---|---|---|---|
| IEEE 802.3 | 标准局域网 | 10Mbps | 细同轴电缆 |
| IEEE 802.3u | 快速以太网 | 100Mbps | 双绞线 |
| IEEE 802.3z | 千兆以太网 | 1000Mbps | 光纤或双绞线 |
(3)令牌环网(IEEE 802.5)
令牌环是环型网中最普遍采用的介质访问控制方法,它适用于环型网络结构的分布式介质访问控制,其流行性仅次于以太网。
令牌环网的传输介质主要基于屏蔽双绞线和非屏蔽双绞线两种,拓扑结构可以有多种,如环型 (最典型)、星型(采用得最多)和总线型(一种变形)。编码方法为差分曼彻斯特编码。
(4)FDDI
FDDI (Fiber Distibuted Data Interface,光纤分布式数据接口) 类似令牌环网的协议,它用光纤作为传输介质,数据传输速度可达到 100Mbps,环路长度可扩展到 200km,连接的站点数可以达到 1000 个。FDDI采用一种新的编码技术,称为 4B/5B 编码,即每次对4位数据进行编码。
FDDI 采用双环体系结构,两环上的信息反方向流动。双环中的一环称为主环,另一环称为次环。在正常情况下,主环传输数据,次环处于空闲状态。双环设计的目的是提供高可靠性和稳定性。FDDI定义的传输介质有单模光纤和多模光纤两种。
(5)无线局域网(CSMA/CA)
无线局域网使用的是带冲突避免的载波侦听多路访问方法 (CSMA/CA)
3、广域网协议
广域网通常是指覆盖范围大、传输速率低、以数据通信为主要目的的数据通信网。
(1)点对点协议(PPP)
点对点协议主要用于“拨号上网”这种广域连接模式。
它的优点是简单、具备用户验证能力、可以解决 IP 分配等。
实现:家庭拨号上网
利用以太网(Ethermet) 资源在以太网上运行 PPP 来进行用户认证接入的方式称为 PPPoE。PPPoE 既保护了用户方的以太网资源,又完成了 ADSL 的接入要求,是目前 ADSL 接入方式中应用最广泛的技术标准。
同样,在 ATM 网络上运行 PPP 来管理用户认证的方式称为 PPPoA。它与 PPPoE 的原理相同,作用相同。不同的是,它是在 ATM 网络上,而 PPPoE 是在以太网网络上运行,所以要分别适应 ATM 标准和以太网标准。
(2)数字用户线(xDSL)
xDSL 是各种数字用户线的统称。
根据各种宽带通信业务需要,分为:
- ADSL (Asymmetric DSL,不对称数字用户线)
- SDSL (Single Pair DSL,单对线数字用户环路)
- IDSL(ISDN DSL,ISDN 用的数字用户线)
- RADSL (Rate Adaptive DSL,速率自适应非对称型数字用户线)
- VDSL (Very High Bit Rate DSL,甚高速数字用户线)
ADSL 是研制最早、发展较快的一种。它是在一对铜双绞线上为用户提供上、下行非对称的传输速率 (即带宽)。
对于个人用户,在现有电话线上安装 ADSL,只需在用户端安装一台 ADSL Modem 和-个分离器,用户线路不用做任何改动,极其方便。数据线路为 PC→ADSL Modem→分离器→入户接线盒→电话线→DSL 接入复用器→ATM/IP 网络;语音线路为话机→分离器→入户接线盒→电话线→DSL 接入复用器→交换机。
对于企业用户,在现有电话线上安装 ADSL 和分离器连接 Hub 或 Switch。数据线路为 PC→以太网 (Hub 或 Switch) →ADSL 路由器→分离器→入户接线盒→电话线→DSL 接入复用器→ATM/IP 网络;语音线路为话机→分离器→入户接线盒→电话线→DSL 接入复用器→交换机。
(3)数字专线(Digital Data Network,DDN)
数字数据网 (Digital Data Network,DDN) 是采用数字传输信道传输数据信号的通信网,可提供点对点、点对多点透明传输的数据专线出租电路,为用户传输数据、图像和声音等信息。
数字数据网是以光纤为中继干线的网络,组成 DDN 的基本单位是结点,结点间通过光纤连接.构成网状的拓扑结构。
(4)帧中继(Frame Relay,FR)
帧中继是在用户网络接口之间提供用户信息流的双向传送,并保持顺序不变的一种承载业务。用户信息以帧为单位进行传输,并对用户信息流进行统计复用。
帧中继是一种基于可变帧长的数据传输网络,在传输过程中,网络内部可以采用“帧交换”即以帧为单位进行传送;也可采用“信元交换”,即以信元(53 字节长) 为单位进行传送。
帧中继提供一种简单的面向连接的虚电路分组服务,包括交换虚电路连接和永久虚电路连接。
帧中继的优点包括降低网络互连费用、简化网络功能、提高网络性能、采用国际标准、各广商产品相互兼容等。
(5)异步传输模式(Asynchronous Transfer Mode,ATM)
异步传输模式是 B-ISDN 的关键核心技术,它是种面向分组的快速分组交换模式,使用了异步时分复用技术,将信息流分割成固定长度的信元。
ATM 能够根据需要改变传送速率,对高速信息传递频次高,对低速信息传递频次低,按照统计复用的原理进行传输和交换,故 ATM 完全可以用单一的交换方式灵活、有效地支持频带分布范围极广的各种业务。
在 ATM 网络中,数据以定长的信元为单位进行传输,信元由信元头和信元体构成,每个信元 53 个字节,其中信元头 5 个字节,信元体 48 个字节。
ATM 的参考模型由 4 层构成,分别是用户层、ATM 适配层、ATM 层和物理层。
(6)X.25协议
X.25 在本地 DTE 和远程 DTE 之间提供一个全双工、同步的透明信道,并定义了3 个相互独立的控制层:物理层、数据链路层和分组层,它们分别对应于ISO/OSI 的物理层、链路层和网络层。
4、TCP/IP协议族
TCP/IP 作为 Internet 的核心协议,包含5个基本特性:逻辑编址、路由选择、域名解析、错误检测和流量控制、对应用程序的支持。
- 逻辑编址
每一块网卡有一个独一无二的永久性的物理地址。在 Internet 中,为每台连入因特网的计算机分配一个逻辑地址,这个逻辑地址被称为 IP 地址。一个 IP 地址可以包括一个网络 ID 号,用来标识网络;一个子网络 ID 号,用来标识网络上的一个子网;另外,还有一个主机 ID 号,用来标识子网络上的一台计算机。 - 路由选择
包含了专门用于定义路由器如何选择网络路径的协议 - 域名解析
将域名映射为 IP 地址的操作称为域名解析 - 错误检测和流量控制
- 对应用程序的支持
(1)TCP/IP分层模型
协议是对数据在计算机或设备之间传输时的表示方法进行定义和描述的标准。
协议规定了进行传输、检测错误以及传送确认信息等内容。
TCP/IP 分层模型由 4个层次构成,即应用层、传输层、网际层和网络接口层,对各层的功能简述如下。
1、应用层
应用层处在分层模型的最高层,用户调用应用程序来访问 TCP/IP 互连网络。应用程序负责发送和接收数据。数据按照传输层的要求组织好,再向下层传送,包括独立的报文序列和连续字节流两种类型。
2、传输层
传输层的基本任务是提供应用程序之间的通信服务,这种通信又称端到端的通信。传输层既要系统地管理数据信息的流动,还要提供可靠的传输服务。为了这个目的,传输层协议软件需要进行协商,让接收方回送确认信息及让发送方重发丢失的分组。在传输层与网际层之间传递的对象是传输层分组。
3、网际层
网际层又称 IP 层,主要处理机器之间的通信问题。
4、网络接口层
网络接口层又称数据链路层
(2)网络接口层协议
TCP/IP 协议不包含具体的物理层和数据链路层,只定义了网络接口层作为物理层与网络层的接口规范。
网络接口层处在 TCP/IP 协议的最底层,主要负责管理为物理网络准备数据所需的全部服务程序和功能。
(3)网际层协议—IP
网际层是整个 TCP/IP 协议族的重点。
IP所提供的服务通常被认为是无连接的(Connectionless) 和不可靠的(Unreliable)。
无连接的传输:是指没有确定目标系统在已做好接收数据准备之前就发送数据。
与此相对应的就是面向连接的(Connection Oriented) 传输(如 TCP),传送数据之前,进行三次握手。
至于不可靠的服务,是指目的系统不对成功接收的分组进行确认,IP 只是尽可能的使数据传输成功。
由于IP只提供无连接、不可靠的服务,所以把差错检测和流量控制之类的服务授权给了其
他的各层协议,这正是 TCP/IP 能够高效工作的一个重要保证。
IP 的主要功能包括:
- 将上层数据(如 TCP、UDP 数据)或同层的其他数据(如ICMP 数据)封装到 IP 数据报中
- 将 IP 数据报传送到最终目的地
- 为了使数据能够在链路层上进行传输,对数据进行分段
- 确定数据报到达其他网络中的目的地的路径。
IP 协议软件的工作流程:
源计算机上的IP协议软件确定目的地。如果目的地在本地,那么 IP 协议软件就启动直达通信;如果目的地是远程计算机,那么 IP 必须通过网关(或路由器) 进行通信。
(4)网际层协议—ARP和RARP
地址解析协议 (Address Resolution Protocol,ARP)及反地址解析协议 (RARP)是驻留在网际层中的另一个重要协议。
ARP 的作用是将 IP 地址转换为物理地址,RARP 的作用是将物理地址转换为 IP 地址。
用 ARP 进行 IP 地址到物理地址转换的过程为:
首先需要查询 ARP 高速缓存,如果缓存中有这个 IP 地址,便使用与它对应的物理地址直接将数据报发送给所需的物理网卡;如果缓存中没有该 IP 地址,那么ARP 便在局域网上以广播方式发送一个 ARP 请求包。如果局域网上 IP地址与某台计算机中的IP 地址相一致,那么该计算机便生成一个 ARP 应答信息,信息中包含对应的物理地址。ARP协议软件将 IP 地址与物理地址的组合添加到它的高速缓存中,这时即可开始数据通信。
RARP 负责物理地址到 IP 地址的转换,这主要用于无盘工作站。
(5)网际层协议—ICMP
Internet 控制信息协议 (Internet Control Message Protocol,ICMP)
ICMP 就是一个专门用于发送差错报文的协议,定义了5种差错报文(源抑制、超时、目的不可达、重定向、要求分段)和4种信息报文(回应请求、回应应答、地址屏蔽码请求、地址屏蔽码应答)
(6)传输层协议—TCP
TCP (Transmission Control Protocol,传输控制协议) 是整个 TCP/IP 协议族中最重要的协议之一。它在IP提供的不可靠数据服务的基础上为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。
TCP 是如何实现可靠性的呢?
最主要和最重要的是TCP 采用了重发 (Retasmission) 技术。在 TCP 传输过程中,发送方启动一个定时器,然后将数据包发出,当接收方收到了这个信息时就给发送方一个确认(Acknowledgement) 信息。如果发送方在定时器到点之前没有收到这个确认信息,就重新发送这个数据包。
TCP 三次握手
TCP连接状态
第1次握手:SYN_RECV
第2次握手:SYN_RECV
第3次握手:ESTABLISHED
(7)传输层协议—UDP
用户数据报协议 (User Datagram Protocol,UDP) 是一种不可靠的、无连接的协议,可以保证应用程序进程间的通信。
TCP 有助于提供可靠性;而 UDP 有助于提高传输的高速率性。
UDP 协议软件的主要作用是将 UDP 消息展示给应用层。
(8)应用层协议
实现这些应用标准的专用协议被称为应用级协议,也称高层协议。应用层的协议有 NFS、Telnet、SMTP、DNS、SNMP和FTP等。
四、Internet及应用
Internet 是世界上规模最大、覆盖面最广且最具影响力的计算机互连网络,采用开放系统协议。用来进行数据传输、信息交换和资源共享。
1、Internet概述
2、Internet地址
无论是在网上检索信息还是发送电子邮件,都必须知道对方的 Internet 地址,它能唯一确定Intermet 上的每一台计算机、每个用户的位置。
Internet 地址格式主要有两种书写形式:域名格式和P 地址格式。
(1)域名
域名 (Domain Name) 通常是用户所用的主机的名字或地址。
域名由4个部分组成:计算机主机名 . . .本地名 . . .组名 . . .最高层域名
(2)IP地址
每个 IP 地址都由 4 个小于 256 的数字组成,数字之间用“ . . .”分开。
Internet中的IP地址共有32位,4个字节。
两种表示格式:二进制格式和十进制格式。
Internet 中的地址可分为 5类: A 类、B 类、C 类、D类和E类。
A类网络地址的第一个字节的十进制为000~127
B类网络地址的第一个字节的十进制为128~191
C类网络地址的第一个字节的十进制为192~223
D类网络地址的第一个字节的十进制为224~239
E类网络地址的第一个字节的十进制为240~255
特殊含义的IP地址
| IP | 说明 |
|---|---|
| 127网段 | 回播地址 |
| 网络号全0地址 | 当前子网中的主机 |
| 全1地址 | 本地子网的广播 |
| 主机号全1地址 | 特定子网的广播 |
| 10.0.0.0/8 | 10.0.0.1至10.255.255.254 |
| 172.16.0.0/12 | 172.16.0.1 至 172.31.255.254 |
| 192.168.0.0/16 | 192.168.0.1至192.168.255.254 |
| 169.254.0.0 | 保留地址,用于DHCP失效(Win) |
| 0.0.0.0 | 保留地址,用于DHCP失效(Linux) |
子网掩码的格式与IP 地址相同,所有对应网络号的部分用 1填上,所有对应主机号的部分用 0填上。
默认子网掩码
| 地址类 | 子网掩码位 | 子网掩码 |
|---|---|---|
| A类 | 11111111 00000000 00000000 00000000 | 255.0.0.0 |
| B类 | 11111111 11111111 00000000 00000000 | 255.255.0.0 |
| C类 | 11111111 11111111 11111111 00000000 | 255.255.255.0 |
子网划分
可变长子网掩码(VLSM):在IP地址后面+ “/网络号及子网络号编址位数”
例如,193.168.125.0/27 就表示前 27 位表示网络号
(3)NAT技术
因特网面临 IP 地址短缺的问题,长期解决方案:使用IPv6协议;短期解决方案:网终地址翻译(Network Address Translators,NAT)
NAT 技术最初提出的建议是在子网内部使用局部地址,而在子网外部使用少量的全局地址,通过路由器进行内部和外部地址的转换。
NAT的实现主要有两种形式:
第一种应用是动态地址翻译(Dynamic Address Translation)
另一种应用是伪装
(4)IPv6简介
IPv6是设计用于替代现行版本IP协议 (IPv4 )的下一代IP协议。
IPv6数据包的格式
IPv6 数据包有一个 40 个字节的基本首部 (base header),其后允许有 0 个或多个扩展首部(Extension Header),再后面是数据。
IPv6的地址表示
- 单播 (Unicast): 传统的点对点通信。
- 多播 (Multicast):一点对多点的通信,数据包交付到一组计算机中的每一个。IPv6没有采用广播的术语,而是将广播看作多播的一个特例。
- 任播 (Anycast): 这是 IPv6 增加的一种类型。任播的目的站是一组计算机,但数据包在交付时只交付给其中的一个,通常是距离最近的一个。
3、Internet服务
Internet的高层协议
(1)域名服务
Internet 中的域名地址和IP 地址是等价的,它们之间是通过域名服务来完成映射变换的。
DNS 是一种分布式地址信息数据库系统。
域名系统采用的是客户端/服务器模式,整个系统由解析器和域名服务器组成。
在访问主机的时候只需要知道域名,通过 DNS 服务器将域名变换为 IP 地址。DNS所用的是 UDP 端口,端口号为 53。
(2)远程登录服务
远程登录服务是在 Telnet 协议的支持下,将用户计算机与远程主机连接起来,在远程计算机上运行程序,将相应的屏幕显示传送到本地机器,并将本地的输入送给远程计算机。
Telmet 是基于客户端/服务器模式的服务系统,它由客户端软件、服务器软件以及 Telnet 通信协议三部分组成。
(3)电子邮件服务
电子邮件 (E-mail) 就是利用计算机进行信息交换的电子媒体信件。
E-mail 系统基于客户端/服务器模式,整个系统由 E-mail 客户端软件、E-mail 服务器和通信协议三部分组成。
E-mail 服务器主要采用 SMTP(简单邮件传输协议)
POP 协议有两个版本:POP2 和 POP3
SMTP 所用的端口号是 25
POP3 所用的端口号是110.
(4)万维网服务
万维网是基于客户端/服务器模式的信息发送技术和超文本技术的综合。
超文本传输协议 (Hyper Text Transfer Protocol,HTTP)
超文本标记语言(Hyper Text Markup Language,HTML)
统一资源定位器(URL)
在Internet 上,万维网整个系统由 Web 服务器、Web 浏览器 (Browser) 和 HTTP 通信协议三部分组成。
一个URL (Web 地址)包括以下几部分:协议、主机域名、端口号(任选)、目录路径(任选)和一个文件名(任选)。其格式为:
scheme://host.Domain[: port]Upath/filename ]
scheme 指定服务连接的方式(协议),通常有下列几种
- file:本地计算机上的文件
- ftp:FTP 服务器上的文件
- gopher:Gopher 服务器上的文件
- http:www 服务器上的超文本文件
- New:一个 USenet 的新闻组
- telnet:一个 Telnet 站点
- wals:一个 WAIS 服务器
- mailto:发送邮件给某人
(5)文件传输服务
文件传输协议用来在计算机之间传输文件。
FTP 是基于客户端/服务器模式的服务系统,它由客户端软件、服务器软件和 FTP 通信协议3 个部分组成。公共账号anonymous,密码guest或用户email
FTP 在客户端与服务器的内部建立两条 TCP 连接:一条是控制连接,主要用于传输命令和参数(端口号为 21);另一条是数据连接,主要用于传送文件 (端口号为 20)。
五、信息安全基础知识
1、信息安全存储安全
信息安全包括 5 个基本要素:
- 机密性
- 完整性
- 可用性
- 可控性:可以控制授权范围内的信息流向及行为方式
- 可审查性:对出现的信息安全问题提供调查的依据和手段
信息的存储安全包括:
- 信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)
- 系统安全监控
- 计算机病毒防治
- 数据的加密
- 防止非法的攻击
用户的标识与验证
用户的标识与验证主要是限制访问系统的人员。
- 基于人的物理特征的识别:签名识别法、指纹识别法和语音识别法。
- 基于用户所拥有特殊安全物品的识别:智能 IC 卡识别法、磁条卡识别法。
用户存取权限限制
用户存取权限限制主要是限制进入系统的用户所能做的操作。
方法分为:隔离控制法和限制权限法
计算机病毒防治
计算机网络服务器必须加装网络病毒自动检测系统。
病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点。
计算机病毒防治管理制度:
- 经常从软件供应商网站下载并安装安全补丁程序和升级杀毒软件。
- 定期检查敏感文件。
- 使用高强度的口令。
- 经常备份重要数据,要做到每天坚持备份。
- 选择安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测、清除工作。
- 可以在计算机和因特网之间安装使用防火墙,提高系统的安全性。
- 当计算机不使用时,不要接入因特网,一定要断掉连接。
- 重要的计算机系统和网络一定要严格与因特网物理隔离。
- 不要打开陌生人发来的电子邮件,同时要小心处理来自于熟人的邮件附件。
- 正确配置系统和使用病毒防治产品。
2、计算机信息系统安全保护等级
- 第一级:用户自主保护级(对应 TCSEC 的 C1 级)
- 第二级:系统审计保护级(对应 TCSEC 的 C2 级)
- 第三级:安全标记保护级(对应 TCSEC 的 B1 级)
- 第四级:结构化保护级 (对应 TCSEC 的 B2 级)
- 第五级:访问验证保护级 (对应 TCSEC 的 B3 级)
3、数据加密原理
数据加密是防止未经授权的用户访问敏感信息的手段,是其他安全方法的基础。
研究数据加密的科学叫作密码学 (Cryptography),它又分为设计密码体制的密码编码学和破译密码的密码分析学。
把明文 P 用加密算法 E 和密钥 K 加密,变换成密文 C, 即 C = E ( K , P ) C=E(K,P) C=E(K,P)
用解密算法 D 和密钥K对 C解密得到明文 P,即 P = D ( K , C ) P=D(K,C) P=D(K,C)
六、网络安全概述
1、网络安全威胁
目前网络存在的威胁主要表现在以下 5 个方面:
- 非授权访问
- 信息泄露或丢失
- 破坏数据完整性
- 拒绝服务攻击
- 利用网络传播病毒
2、网络安全控制技术
网络安全控制技术目前有防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。
3、防火墙技术
防火墙 (Firewall) 是建立在内外网络边界上的过滤封锁机制。它认为内部网络是安全和可信赖的,而外部网络是不安全和不可信赖的。
防火墙的作用是防止不希望的、未经授权地进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段。
包过滤防火墙
包过滤防火墙一般有一个包检查块_(通常称为包过滤器)
应用代理网关防火墙
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点是难以配置; 处理速度非常慢。
状态检测技术防火墙
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上,提高了代理防火墙的性能。
包过滤防火墙:包过滤防火墙一般有一个包检查块(通常称为包过滤器),数据包里可以根据数据包头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因为内容是应用层数据,而包过滤器处在网络层和数据链路层之间。
应用级网关防火墙:应用代理网关防火墙彻底断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有的通信都必须经应用层代理软件转发,它可对应用层的通信数据流进行监控和过滤。
数据库防火墙:数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,数据库防火墙部署于应用服务器和数据库之间
web防火墙:web防火墙是入侵检测系统,入侵防御系统的一种。从广义上来说,web应用防火墙就是应用级的网站安全综合解决方案,与我们所讲到的防火墙概念有一定区别。
4、入侵检测与防御
入侵检测系统 (Intrusion Detection System,IDS)作为防火墙之后的第二道安全屏障。
IDS的主要功能包括:
- 对用户和系统行为的监测与分析
- 系统安全漏洞的检查和扫描
- 重要文件的完整性评估
- 已知攻击行为的识别
- 异常行为模式的统计分析
- 操作系统的审计跟踪
- 违反安全策略的用户行为的检测等
| 不同 | 入侵检测系统(IDS) | 入侵防御系统(IPS) |
|---|---|---|
| 在网络中的部署位置的不同 | IDS 一般是采用旁路挂接的方式,连接在网络中 | IPS 一般是作为一种网络设备串接在网络中的 |
| 入侵响应能力的不同 | IDS 设备是采用将入侵行为记入日志,并向网络管理员发出警报,对于入侵行为并无主动的采取对应措施 | IPS检测到入侵行为后,能够对攻击行为进行主动的防御 |
------------分割线---------
