网络工程师回顾学习(第三部分)
第八章 网络安全
网络安全威胁:常见的网络威胁类型有恶意软件、分布式拒绝服务(DDoS)攻击、网络钓鱼/社会工程学、高级持续威胁(APT)、中间人攻击和内部威胁等
常见的网络攻击:口令窃取、欺骗攻击、缺陷和后门攻击、认证失效、协议缺陷、信息泄露、指数攻击(病毒和蠕虫)和拒绝服务攻击等。
安全措施的目标:访问控制、认证、完整性、审计、保密。
基本的安全技术:身份认证、防火墙技术、入侵检测与防御技术、数据加密技术以及数字签名等。
信息加密技术:算法和密钥
加密算法:分对称加密和非对称加密、还有一类不需要密钥的散列算法。
其中对称加密算法的加密与解密密钥相同,非对称加密算法的加密密钥与解密密钥不同。
常见的对称加密算法主要有DES、3DES、AES等,常见的非对称算法(其实也就是公钥加密算法)主要有RSA、DSA等,散列算法(其实也就是属于报文摘要算法)主要有SHA-1、MD5等。
对称加密算法(也称为共享密钥算法):
DES基于一个56位的密钥,使用分组加密方法。
3DES使用使用两把密钥对报文进行三次DES加密。112位密钥。
IDEA是一种对称加密算法,它使用128位的密钥,并且被认为是一种非常安全的加密算法。
AES是一种对称加密算法,它被确定为新的加密标准。它可以使用128、192或256位的密钥长度,并且比DES和3DES更快、更安全。
非对称加密算法(也称为公钥加密算法):
RSA算法是一种非对称加密算法,公钥用于加密数据,私钥用于解密数据。RSA算法既可以用于加密数据,也可以用于数字签名(使用私钥加密,公钥解密)。
DSA是一种数字签名算法,与RSA不同,DSA不能用于加密和解密,只能用于数字签名。DSA使用一对公钥和私钥进行签名和验证。私钥用于对数据进行签名,公钥用于验证签名。
认证技术:
分为以下三种类型:一是物理介质认证;二是秘密知识验证;三是实体特征验证。
数字签名:
这是一种带有密钥的信息摘要算法,主要用途是 抗否认。数字签名能够验证信息的完整性。
报文摘要:
目前广泛应用的报文摘要算法有MD5和安全散列算法(SHA-1)。MD5输出128位的摘要,SHA-1输出160位的摘要。SHA-1比MD5更安全些,但计算起来比MD5要慢。
MD5,用于确保信息传输的完整性。(传输的完整性,而数字签名是信息的完整性)以检查目标文件是否完整且未被修改。
安全散列算法是一种加密散列函数家族,包括SHA-1、SHA-2和SHA-3。SHA-1是一种160位的散列函数,它比MD5更安全,但计算起来比MD5要慢。SHA-2包括多个不同长度的散列函数,如SHA-224、SHA-256、SHA-384和SHA-512。SHA-3是最新的成员,它与前两者有所不同,并提供了与SHA-2相同长度的散列函数。
数字证书(集合了上面的技术):
数字证书能够实现身份认证、信息加密、数字签名等功能。确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。数字证书不可伪造,因此无需对存放证书的目录加以特别的保护。
虚拟专用网(VPN):
VPN的关键技术包括隧道技术、身份认证技术、加解密技术和密钥管理技术
隧道技术:隧道协议都是把数据封装在点对点协议(PPP)的帧中进行传输。PPP协议是一种数据链路层通信协议,认证协议:口令认证协议(PAP)、挑战—握手验证协议(CHAP)(三次握手认证)
点对点隧道协议(PPTP):是建立在PPP协议上的VPN隧道技术。
第二层隧道协议(L2TP):也是一种VPN隧道技术。
发展路线:隧道技术——>PPTP——>L2TP
区别: PPTP只能在两端点间建立单一隧道。 L2TP支 持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。 PPTP不支持 隧道验证,而 L2TP可以提供隧道验证。
IPSec协议:
用于增强IP网络的安全性。能够提供多种安全服务,包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。
IPSec的功能划分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)
安全套接层(SSL):
SSL的工作原理是通过SSL握手来建立安全连接。SSL/TLS也被称为HTTPS协议。
IPSec和SSL比较:
它们的全程都是IPSec VPN和 SSL VPN。都使用RSA或D-H握手协议建立秘密隧道。IPSec在网络层运行,SSL在传输层运行,IPSec VPN通常用于连接远程主机和网络VPN服务器;SSL VPN允许用户通过Web浏览器安全地访问内部网络资源。
应用层安全协议:S-HTTP、PGP、S/MIME、安全的电子交易(SET)、Kerberos
PGP(优良保密协议),用于加密电子邮件内容。
S/MIME 是采用PKI技术,由权威CA机构验证用户真实身份并签署公钥。
SET协议(安全电子交易),采用公钥密码体制和X.509数字证书标准
Kerberos 是一种网络认证协议,在校园网中使用较多。具体过程见书本P345
可信任系统:将计算机系统的安全性分为A、B、C、D四个等级。
- D级为无保护级。
- C级为自主保护级,其中C1级为机动安全保护,C2级为控制访问保护。
- B级为强制保护级,其中B1级为标签安全,B2级为结构保护,B3级为安全域。
- A级为验证保护级。
防火墙、病毒及其防护:
防火墙:【第一道安全屏障】,防火墙可以通过配置访问控制列表(ACL)实施数据包的过滤。防火墙还可以关闭不使用的端口,禁止特定端口的流出通信,封锁特洛伊木马。
病毒及其防护:系统病毒(exe、dll)、蠕虫病毒(Worm)、木马病毒(Trojan)和黑客病毒(Hack)、脚本病毒(Script、BBS、JS)、宏病毒(Macro感染文件(Word\excel))。
入侵检测系统(IDS)以及入侵防御系统(IPS):【防火墙之后的第二道安全屏障】,它们的作用就如名称的字面含义。
入侵检测系统由四个基本组件组成:事件产生器,事件分析器,响应单元和事件数据库。
视频所学补充:
恶意代码:(前面有讲,主要是病毒、网络蠕虫、特洛伊木马、后门漏洞)
补充(这些病毒的一些独立的特性):
网络蠕虫:不需要用户触发,传播速度比网络病毒快,Worm,Macro。
特洛伊木马:本身不具有攻击性,具有隐蔽性。注意一个考过的点:特洛伊木马的服务端是放在被攻击者的计算机上,客户端则是攻击者的计算机。不是反过来说明。
网络攻击:
被动攻击:嗅探、信息收集、端口扫描、数据分析
主动攻击:DOS、DDOS、信息篡改、欺骗、重放、伪装
常见攻击类型:
1.拒绝服务攻击(DOS)一对一(虽然是很多个一)。通过耗尽CPU、内存、带宽或磁盘空间等系统资源,例如:Ping of Death攻击、缓冲区溢出(攻击)、分片攻击(!这些都是DOS攻击方式)。
2.分布式拒绝服务攻击(DDOS)多对一。例如:ICMP Flood攻击、SYN Flood攻击(这个其实就是TCP的攻击)、UDP Flood攻击。(这些都是攻击报文)
3.Teardrop(泪滴)攻击。它利用发送畸形数据包,伪造数据包中的偏移值的方式。它是基于UDP的攻击方法
4.land攻击,是一种拒绝服务攻击,伪造TCP SYN数据包。它和前面的TCP SYN不一样,前面是泛洪攻击。
5.跨站脚本攻击(XSS),是一种安全漏洞。
6.SQL注入攻击,基于服务器攻击,攻击它的数据库
7.欺骗攻击:ARP欺骗、DNS欺骗、IP欺骗。
8.双花攻击,用于区块链技术(比特币)中的恶意攻击。难度大。
网络安全设备:
1.防火墙(边界防护)
具有访问控制、日志查看功能,支持NAT、VPN,流量控制等技术。不能处理网络内部攻击,不能防病毒。
安全区域划分:非受信区(外网internet)、非军事化区(DMZ区域,存放服务器,安全性介于之间,题目图上可能会有这个名称)、受信区(内网)。(同属一个安全区发送数据流动不会触发安全策略,不同安全区域之间发生数据流动才会触发。)
防火墙的部署方式:
路由模式(网络边界)、透明模式(隐蔽性强)、旁挂模式。
2.入侵检测设备IDS
主动安全防护工具,可以告警,但不能阻断恶意行为。
分为:
基于主机的入侵检测(HIDS):只能检测单个主机系统
基于网络的入侵检测(NIDS)多个分布的网络
IDS的部署:由于它的特性,它一般使用旁挂形式部署在核心设备或汇总设备。
3.入侵防御系统IPS
主动、实时,可以对数据包中的每一个字节进行检查,可以拦截并记录。
分为:HIPS(主机,但在软件上)、NIPS、AIPS(基于应用)
部署:串接在数据流通的主干路上。保证所有网络数据都经过它。
4.网闸(在底层隔离网络)
物理层设备,在物理层进行隔离。采用的技术是GAP技术。
5.流量清洗设备
针对DOS、DDOS攻击
6.基于web的防护设备(WAF)
记住WAF
数据加密与解密:
非对称加密算法(公钥密码体制):公钥公开,私钥保密。RSA算法:分组加密。ECC算法:比上一个快,密钥小。
对称加密算法(私钥密码体制):加密和解密的密钥相同。
DES:56、 3DES:112、 IDEA:(前面三个的分组长度都是64位),128
AES:(前面知识点有),分组长度是128位(注意分组长度和密钥长度不一样)
RC5:允许使用不同长度的密钥,最长为448位。
摘要算法(Hash算法又称为散列函数算法):用于数字签名。表示输入任意长数据,输出固定长数据。MD5:128 SHA-1:160 SHA-2:256
数字证书:其实就是公钥基础设施(PKI),补充:CA(认证中心),它拥有一个证书(内含公钥)和私钥,证书包括里面的公钥可以公开,私钥不行。证书确保它的信任度。网上两个用户之间的信任是通过验证CA的签名证书从而信任。如果是不同CA发放的证书,需要俩个CA去交换公开密钥,而不是用户交换。
VPN(虚拟专用网)技术:以下,
.PPTP(点到点隧道协议)(2层VPN)
只提供单一二层隧道,与PPP相同的认证机制,不支持隧道验证。但是可以由IPSec提供隧道验证。必须在IP网络
.L2TP(第二层隧道协议)(2层VPN)
可以支持隧道验证。端到端。(前面知识点介绍的很好。)
2.MPLS-VPN(2.5层VPN)前面有的,只介绍了一点
需要记忆:每个MPLS中存在一个唯一的VPN标识符。称之为路由识别符(DR)。建立起来的路径称为LSP。转发表中包括一个唯一的地址,叫做VPN-IP地址,是由RD和用户的IP地址连接形成。
MPLS-VPN有两层标签,外层标签(公网标签),内层标签(私网标签,VPN标签)。
3.IPSec-VPN(3层VPN)
前面知识点有,需要补充:IPSec通道建立起来的连接称为SA。
它存在两种模式:
传输模式:AH或ESP头被插在IP报文头和TCP报文头之间。注意一下AH验证方式(整个报文)、ESP验证方式(从ESP开始到ESP尾部)。ESP加密范围(在TCP头到ESP尾部)
隧道模式:AH或ESP头被插在IP报文头和TCP报文头之前。并用新的IP头来封装消息,原来IP头还在里面的。新的IP头的源和目的地址是隧道两端的两个公网IP地址。一般用于企业网边界配置公网地址设备并建立VPN。
4.SSL-VPN
基于应用层。HTTPS=HTTP+SSL。比L2TP更灵活。前面知识点更全面。一般是基于外部的安全认证方式。例如:LDAP、Radius、CA、USB Key等认证方式。
5.GRE(隧道)
GRE(通用路由封装),它就是通过一种协议封装另外一种协议。采用Tunnel技术。是VPN的第三层隧道协议。
例题补充:
PGP,电子邮件加密工具(应用层协议)。它使用RSA公钥证书进行身份认证,使用IDEA进行数据加密,使用MD5进行数据完整性验证。
网络安全等级保护:(这个了解即可,在网络安全技术p1考一次)
X.509数字证书:基于公钥密码体制和数字签名的服务,推荐标准是:RSA
这个x.509数字证书,在安全的电子交易协议(SET协议)提过一次。
我国密码管理部门,采用SM2算法替换RSA算法。它采用的公钥密码算法是ECC(ECC在后面第十章 组网技术提过一次)
我国自主研发的商用密码标准算法:
SM2:非对称加密算法(公钥密码算法)
SM3:密码杂凑算法
SM4:分组加密算法
SM9:基于标识的非对称密码算法。
Kerberos认证协议:
应用层安全协议Kerberos:提供一个中心认证服务器,功能是实现应用服务器与用户之间的相互认证。核心是使用DES加密技术(注意DES是对称加密算法,不是公钥加密算法!),实现最基本的认证服务。
它由认证服务器(AS)和票证授予服务器(TGS)两部分组成。
目的是为了申请一个应用服务器的服务许可票据(由AS发放)
补充:应用层的安全协议:S-HTTP、PGP、S/MIME、SET、Kerberos。
补充:数字证书是对用户公钥的认证,只要看到证书,那么,它的目的就是对用户公钥的认证。
补充:
inbound(入方向):数据由低优先级的安全区域向高优先级的安全区域传输。
outbound(出方向):数据由高优先级的安全区域向低优先级的安全区域传输。
关于高低优先级,前面有讲。
注意上面提到过的加密算法的密钥长度和分组长度,看清题目问的是什么(前面有提过)
补充:HTTP使用的端口是80,HTTPS使用的端口是443。
补充:数字证书的格式普遍采用X.509 V3国际标准。
补充:信息安全的基本属性表现在5个方面:保密性、完整性、可用性、可控性、不可否认性。(前面有提过PKI,公钥基础设施的作用)
补充:时间戳可以防止重放攻击。
补充:传输层安全协议TLS的前身是应用层的SSL协议。
补充:凡是看到题目中,说了系统漏洞,就是蠕虫病毒。
补充:对称密钥算法,也叫做共享密钥算法。有些题目就问你共享密钥算法有哪些。
第九章:网络操作系统与应用服务器
主要以Windows和Linux系统为例,讲述网络操作系统的功能以及应用服务器的配置。
主要目录:网络操作系统的基本配置(Windows和Linux)、Windows Server 2008 R2 IIS服务的配置、Linux Apache服务器的配置、DNS服务器的配置、DHCP服务器的配置、Samba服务器的配置、Windows Server 2008 R2安全策略。(6个服务器、1个服务、一个安全策略)
Windows Server 2008 R2操作系统(Win server 7):
它是Windows Server 2008 (Win 7)的后继版本。微软已于2020年1月结束了对Windows Server 2008/2008 R2的延长支持。
Windows Server 2008 R2的活动目录(Active Directory):重要功能
活动目录中的用户名:分为主用户名和用户登录名
活动目录中的工作组:分为全局组(G)、域本地组(DL)、通用组(U)。
组策略:A-G-DL-P A-G-G-DL-P A-G-U-DL-P(详情见书375)
Linux操作系统:
Linux是一种自由和开源的类UNIX操作系统
Linux和Windows Server 2008 R2之间的区别:开源与闭源、许可证
Linux网络配置:
网络配置文件:
在Linux系统中,有几个重要的文件用于配置网络设置:
- /etc/hosts:用于配置静态主机名到IP地址的映射。
- /etc/resolv.conf:用于配置DNS服务器地址。
- /etc/network/interfaces(Debian/Ubuntu)或/etc/sysconfig/network-scripts/ifcfg-eth0(Red Hat/CentOS/Fedora):用于配置网络接口的设置,如IP地址、子网掩码、广播地址和网关地址。
- /etc/hostname文件,包含Linux的主机名
- /etc/passwd文件,用户管理文件,对所有用户可读。
- /etc/shadow文件,存放所有用户及其口令信息。只有超级用户root可读。
在Linux系统中,有几个常用的命令用于配置和管理网络:
- - ifconfig:用于查看和配置网络接口的信息,如IP地址、子网掩码和广播地址。
- - route:用于查看和配置路由表。 (配置路由)
- - ping:用于测试网络连通性。
- - netstat:用于查看网络连接、路由表、接口统计信息等。(网络查询命令)
- - traceroute:用于显示数据包到达目标主机所经过的路由器。
- - nslookup:用于查询DNS服务器以获取域名的IP地址。
- - dig:用于查询DNS服务器以获取域名的详细信息。
`route`和`netstat`命令都可以用于查看路由表。但功能并不一样!
Linux的文件权限分类:
- - 读权限(r):表示用户可以查看文件的内容或目录中的文件列表。
- - 写权限(w):表示用户可以修改文件的内容或在目录中创建、删除文件。
- - 执行权限(x):表示用户可以执行文件或进入目录。
使用`ls -l`命令查看文件或目录的权限。例如,一个具有`-rw-r--r--`权限的文件表示文件所有者具有读写权限,而文件所属组和其他用户只具有读权限。(分别对应三组权限)
使用`chmod`命令修改文件或目录的权限。例如,要为文件所有者添加执行权限,您可以使用`chmod u+x 文件名`命令。u、g、o分别对应文件所有者、文件所属组和其他用户
Linux目录操作命令:
- - `cd`:用于切换当前工作目录。
- - `pwd`:用于显示当前工作目录的绝对路径。
- - `ls`:用于列出目录中的文件和子目录。
- - `mkdir`:用于创建新目录。
- - `rmdir`:用于删除空目录。
- - `cp`:用于复制文件或目录。
- - `mv`:用于移动或重命名文件或目录。
- - `rm`:用于删除文件或目录。
- cat:查看文件内容
- more:可以分屏显示文件内容
Windows Server 2008 R2的 IIS服务:
IIS服务,windows系统可利用它来构建WWW服务器、FTP服务器和SMTP服务器等。IIS 是 Windows® Server 的一部分,它是一个灵活、安全且可管理的 Web 服务器,用于托管任何东西。Windows Server 2008 R2必须手动安装才有这个服务。
配置Web服务器:
建立在IIS服务已搭建好的前提下。见书P406
配置FTP服务器:见另一本书P219
配置Linux Apache服务器:Apache 服务器的主配置文件是 `httpd.conf`,它位于 `/etc/httpd/conf` 目录下。该文件包含了 Apache 服务器的全局配置信息,包括监听端口、文档根目录、日志文件位置等。
配置DNS服务器:域名查询的方式有两种:递归查询和迭代查询
递归查询是作为客户端查询(一次查询)。迭代查询是多次查询。
配置DHCP服务器:(动态主机配置协议)
DHCP(动态主机配置协议)服务的过程大致分为四个阶段:发现阶段、提供阶段、选择阶段和确认阶段。
1. 发现阶段:DHCP客户端通过发送DHCP-DISCOVER报文来寻找DHCP服务器。
2. 提供阶段:接收到DHCP-DISCOVER报文的DHCP服务器会选择一个合适的IP地址,连同IP地址租约期限和其他配置信息一同通过DHCP-OFFER报文发送给DHCP客户端。
3. 选择阶段:如果有多台DHCP服务器向DHCP客户端回应DHCP-OFFER报文,则DHCP客户端只接受第一个收到的DHCP-OFFER报文。然后以广播方式发送DHCP-REQUEST请求报文,该报文中包含Option 54(服务器标识选项),即它选择的DHCP服务器的IP地址信息。
4. 确认阶段:收到DHCP客户端发送的DHCP-REQUEST请求报文后,DHCP服务器根据DHCP-REQUEST报文中携带的MAC地址来查找有没有相应的租约记录。如果有,则发送DHCP-ACK报文作为应答,通知DHCP客户端可以使用分配的IP地址。如果没有找到相应的租约记录,或者由于某些原因无法正常分配IP地址,则发送DHCP-NAK报文作为应答,通知DHCP客户端无法分配合适IP地址。
配置Samba服务器:为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。
补充:Apache 是一个流行的开源 Web 服务器软件。需要记忆资源记录:SOA、A、PTR、NS、MX、CNAME.(书中P417,DNS服务器配置)
视频、习题补充:
补充Windows server 2008 R2活动目录工作组的介绍:
域本地组:域本地组成员来自任何域,但是只能访问本地域
全局组:来自本域,访问任何资源
通用组:来自任何域,访问任何资源。
活动目录是一个分布式数据库,用于存储域中的用户、组和其他对象的信息。它不存储本地用户信息,而是用于管理域中的用户帐户和组。而是本地计算机的 SAM(安全帐户管理器)数据库存储本地用户信息。
因此,本地用户信息存储在本地计算机的 SAM 数据库中,而不是活动目录中。
Windows常用命令:
- `ipconfig /all`:显示本机TCP/IP配置的详细信息。 //查看MAC地址、DNS服务器等配置
- `ipconfig /release`:DHCP客户端手工释放IP地址。
- `ipconfig /renew`:DHCP客户端手工向服务器刷新请求(续借IP地址)。//注意在华为路由器里面没有这个命令
- `ipconfig /flushdns`:清除本地DNS缓存内容。 //后面三条都是在DHCP环境注册DNS
- `ipconfig/registerdns:刷新所有DHCP的租期和重注册DNS名。
- `ipconfig /displaydns`:显示本地DNS内容。
tracert命令:属于ICMP协议里面的一个命令,前面提到tracertout命令,是linux系统下的命令。
作用:tracert www.baidu.com。用于确定 IP 数据包访问目标所采取的路径
- -d:禁止将中间路由器IP地址解析为名称,加速显示tracert的结果
- -h:指定搜索目标路径的最大节点数(如果没有指定就默认为30)(指定最大跳步数)
- -s:跟踪IPv6使用这个,指定在回显请求使用源地址。
pathping命令:结合了 ping 和 tracert 命令的功能。它得到的第一个路由是本地地址,不是默认路由(默认网关),这一点和tracert的不同。
ARP命令:用于解析IP获取到目的地址的物理地址(Mac地址)。问题是在工作过程中无法对ARP响应的数据来源和真实性进行验证。所以存在ARP攻击。
- `-a [InetAddr] [-N IfaceAddr]`:显示所有接口的当前 ARP 缓存表。
- `-d InetAddr [IfaceAddr]`:删除指定的 IP 地址项。
- `-s InetAddr EtherAddr [IfaceAddr]`:向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。(静态指定IP和MAC对应关系)
- `/?`:在命令提示符下显示帮助。
route命令:这个和linux系统下的命令是一样的,作用也是一样的
- - `route print`:显示当前计算机的路由表。
- - `route add`:添加新的路由条目。 //这个考过一次,完整的添加命令是:route add ip-number mask mask-number 目标ip。注意是在Windows上添加。
- - `route delete`:删除指定的路由条目。
- - `route change`:修改现有的路由条目。
netstat命令:这个和linux系统下的命令也是一样的,作用也是一样的
- - `netstat -a`:显示所有活动的 TCP 连接和计算机正在监听的 TCP 和 UDP 端口。(它可以显示本机当前建立的连接,考过一次)
- - `netstat -e`:显示以太网统计信息,例如发送和接收的字节数和数据包数量。
- - `netstat -n`:以数字形式显示活动的 TCP 连接,不尝试确定名称。
- - `netstat -o`:显示活动的 TCP 连接并包括每个连接的进程 ID (PID)。
注意补充:`netstat -r` 命令用于显示 IP 路由表的内容。它等同于 `route print` 命令。使用此命令可以查看当前计算机的路由表信息。
nslookup命令:用于查询域名解析是否正常。
DNS服务器配置:这个配置的过程要详细了解,推荐视频:
6-4 Windows2008dns服务器配置部分_哔哩哔哩_bilibili
分为三个区域:主要区域、辅助区域和存根区域
- 主要区域:主要区域是 DNS 服务器上的一个读写副本,它包含了 DNS 域名的所有资源记录。主要区域通常存储在 DNS 服务器的本地磁盘上,并且可以由管理员进行管理和更新。
- 辅助区域:辅助区域是 DNS 服务器上的一个只读副本,它包含了 DNS 域名的所有资源记录。辅助区域与主要区域不同之处在于,它不是存储在本地磁盘上,而是通过与主要区域所在的 DNS 服务器进行区域传输来获取数据。辅助区域用于提供冗余和负载均衡,以确保 DNS 解析请求能够快速响应。不能进行修改
- 存根区域:存根区域是 DNS 服务器上的一个只读副本,它仅包含有关权威名称服务器的信息。存根区域能够帮助 DNS 服务器更快地定位权威名称服务器,从而加快 DNS 解析过程。只有三种记录类型:SOA、NS、A
补充:资源记录类型所对应的值
A=1 //域名解析为IP
aaaa=28
cname=5
mx=15
NS=2 //名字服务器,为域指定授权服务器
ptr=12
SOA=6
补充:高级选项,在 DNS 服务器配置中,有两个选项可以帮助您更好地管理 DNS 解析过程:启用循环和启用网络掩码排序。
补充:Linux主要目录及其作用:
1. **/(root)目录**:这是整个Linux操作系统的根目录,包含整个文件系统的所有文件和目录。
2. **/bin**:二进制文件目录,包含系统启动和运行所需的基本命令,如ls、cp、mv等。
3. **/boot**:启动目录,包含启动Linux所需的所有文件,如内核、引导程序等。
4. **/dev**:存放着各种设备文件。
5. **/etc**:存放系统或软件的配置文件。
6. **/home**:用户相关的目录。
9. **/opt**:可选的应用软件包。
10. **/proc**:进程相关文件。
11. **/tmp**:存放着临时文件。
补充linux系统配置命令:
ls命令:相当于dos中的dir命令。查看文件和目录信息。
重定向:“>”
管道命令:“|”
chmod命令(前面有学):d rwx r-x r--
ps命令:
`ps` 命令用于显示当前进程的状态。在 Linux 系统中,进程有以下几种状态 :
1. **R (TASK_RUNNING)**:可执行状态。只有在该状态的进程才可能在 CPU 上运行。
2. **S (TASK_INTERRUPTIBLE)**:可中断的睡眠状态。处于这个状态的进程因为等待某些事件的发生而被挂起。
3. **D (TASK_UNINTERRUPTIBLE)**:不可中断的睡眠状态。与 TASK_INTERRUPTIBLE 状态类似,进程处于睡眠状态,但是此刻进程是不可中断的。
4. **T (TASK_STOPPED or TASK_TRACED)**:暂停状态或跟踪状态。向进程发送一个 SIGSTOP 信号,它就会因响应该信号而进入 TASK_STOPPED 状态。
5. **Z (Zombie)**:僵尸状态。当一个进程完成它的工作后,它的父进程需要调用 `wait()` 或 `waitpid()` 系统调用来取回子进程的退出状态。在这之前,子进程将保持僵尸状态。
在题目中,启用ps命令后,在S那一栏目就是状态。
比较Windows常用网络命令和Linux常用的网络命令:
Windows Linux
ipconfig ifconfig
route route
tracert traceroute
nslookup nslookup
iptables(用于防火墙,设置类似于acl过滤的命令)
补充一些Linux服务器的一些配置:
一、DNS服务器配置(pass)
在Linux下配置DNS需要bind软件实现,与之相关的软件如下:
/etc/named.conf:bind的基本配置文件,安装完bind之后系统自带
/etc/rc.d/init.d/named:bind的启动脚本,控制工作,系统自带的。
named.conf:基本格式
二、DHCP服务器配置
它的默认配置文件是:/etc/dhcpd.conf
启动和检查DHCP服务器:
1.使用命令启动:#server dhcpd start
2.使用ps命令检查dhcpd进程:#ps -ef | grep dhcpd
3.使用检查dhcpd运行的端口:#netstat -nutap | grep dhcpd
三、FTP服务器配置
它有一个anonymous账号(匿名账号)。
与它有关的配置文件:/etc/vsftpd/vsftpd.conf
启动该服务器的命令:service vsftpd start
停止该服务器的命令:service vsftpd stop
四、Apache的配置(全称是Apache HTTP Server)
它的主配置文件是:/etc/httpd.conf
配置虚拟主机有两种方式(前面学了)。主要是补充基于名字(域名)的虚拟主机:
基于名字的虚拟主机,只需要配置DNS服务器使每个主机名(域名)对应正确的IP地址,然后再配置Apache HTTP Server,使其能认识不同的主机名。
重启Apache的命令:service httpd restart
补充:
在Windows操作系统中,远程桌面使用的端口是:3389.
80是HTTP端口,1024是Reserved端口,8080是代理端口(WWW)。
操作系统五大管理功能:进程管理、存储管理、文件管理、设备管理、作业管理。
Windows 10是属于微软的内核。
Ubuntu 14.04、CentOS 7.0 、中标麒麟 6.0、红旗 属于Linux内核系统。
安卓(Android)基于Linux内核。
IOS系统(苹果)、AIX 基于Unix内核。
DMA(直接内存访问):被用于内存和内存之间或内存和外设之间的高速数据传输。
一个进程包含多个线程,一个线程只能属于一个进程。
事务的四大属性:原子性、隔离性、一致性、持久性。
DHCP的option选项 43选项,表示告诉AP(无线访问点),AC的IP地址,让AP寻找AC进行注册。用于实现与不同终端的对接。
Option 60通常用于携带设备标识符信息以供DHCP服务器鉴权使用。
Option 82,也称为DHCP中继代理信息选项。
补充resolve.conf:
resolv.conf的关键字主要有四个,分别是:
nameserver,用于定义DNS服务器的IP地址;
domain,用于定义本地域名;
search,用于定义域名的搜索列表;
sortlist,用于对返回的域名进行排序。
补充Apache服务器的配置:
Apache的主配置文件:/etc/httpd/conf/httpd.conf
默认站点主目录:/var/www/html
IIS在一台主机上配置多个独立域名的站点:(需要记忆,考过!)
有三种方式,分别是:基于附加TCP端口架设多个Web网站、基于不同的IP地址架设多个网站、基于主机头名架设多个Web网站。(而在前面我们所学的里面提到,添加虚拟主机的方式是两种:分别是基于主机名(域名)和基于IP地址号(基于IP的现在很少使用。))
这个和前面的不一样,这个是添加站点(网站)有三种方式。
IS服务身份认证的几种安全级别:
记住:默认是匿名方式(这个在配置FTP服务器时常用的是这个方式)
匿名身份认证<基本身份认证<摘要式身份验证