目录
第10章:网络与信息安全
网络概述
计算机网络概念
计算机网络的分类
网络的拓扑结构
ISO/OSI网络体系结构
网络互联硬件
物理层互联设备
数据链路层互联设备
网络层互联设备
应用层互联设备
网络的协议与标准
网络标准
TCP/IP协议族
网络接口层协议
网际层协议一IP
ARP和RARP
网际层协议一ICMP
传输层协议
TCP
UDP
应用层协议
协议其他
Internet及应用
Internet地址
1.域名
2.IP地址
IPv4
子网掩码编辑
IPv6
Internet服务
Http
Https
远程登录(Telnet)
网络其他
信息安全基础知识
信息安全基础知识
加密技术
对称与非对称加密技术
认证技术
数字签名与消息摘要的应用
数字签名
消息摘要编辑
数字证书应用
数字签名
网络安全概述
网络安全协议
网络安全威胁
计算机病毒编辑
网络安全控制技术
访问控制技术
访询控制列表ACL
网络安全漏洞扫描技术
防火墙技术
防火墙技术分类
安全防范体系
第10章:网络与信息安全
网络概述
计算机网络概念
URL (Uniform Resource Locator,统一资源定位符)是对互联网的资源位置和访问方法的一种简洁的表示,是互联网上资源的地址。互联网上的每个文件都有一个唯一的URL 它包含的信息指出文件的位置以及浏览器应该怎么处理它。 一个标准URL的格式如下 协议:1/主机名.域名.域名后缀或IP 地址(:端口号)/目录/文件名 其中,目录可能是多级的。
ipconfig ( linux:ifconfig) (显示TCP/IP网络配置值,如:IP地址,MAC地址,网关地址等)。 tracert (linux: traceroute):用于确定 IP数据包访问目标所采取的路径,若网络不通,能定位到具体哪个结点不通。 netstat:用于显示网络连接、路由表和网络接口信息。 nslookup(查询DNS记录)。
C/S 又称Client/Server 或客户/服务器模式。服务器通常采用高性能的PC、 工作站或小型机,并采用大型数据库系统。客户端需要安装专用的客户端软件。
B/S 是Broswer
/Server的缩写,客户机上只需要安装一个浏览器(Broswer
), 如Netscape 或Internet Explorer。浏览器通过Web Server同数据库进行数据 交互。
协议是一组约定的规则 ,它有助于外部设备 之间的相互理解和正确进行通 信。作为协议必须具备3个要素,语法、语义和时序 。
语法 定义数据的表示形式;
语义 则能使数据管理所需的信息得到正确理解;
时序 则规定通信实体之间应答信 号的相互间隔和顺序关系。
防火墙 是一种位于计算机和它所连接的网络之间的软件,建立在内外网络边 界上的过滤封锁机制。防火墙还可以关闭不使用的端口,并且能禁止特定端口的 流出通信,防止来历不明入侵者的所有通信,封锁特洛伊木马。
主动攻击涉及修改数据流或创建错误的数据流,包括试图阻断或攻破保护机 制、引入恶意代码、偷窃或篡改信息。它包括假冒,重放,修改信息和拒绝报务 等方式 。
计算机网络的分类
网络的拓扑结构
ISO/OSI
网络体系结构
网络互联硬件
1.网络传输介质互联设备
T型头、收发器、屏蔽或非屏蔽双绞线连接器RJ45、RS-232接口、DB-15接口、VB-35 同步接口、网络接口单元、调制解调器等。
中继器是物理层设备,其作用是对接收的信号进行再生放大,以延长传输的距离。 网桥是数据链路层设备,可以识别MAC地址,进行帧转发。 交换机是由硬件构成的多端口网桥,也是一种数据链路层设备。 路由器是网络层设备,可以识别IP
地址,进行数据包的转发。
物理层互联设备
(1)中继器:由于信号在网络传输介质中有衰减和噪音,使有用的数据信号变得越来 越弱,因此为了保证有用数据的完整性,并在一定范围内传送,要用中继器把所接收到的 弱信号分离,并再生放大以保持与原数据相同。主要优点是:安装简便、使用方便、价格 便宜。 (2)集线器:可以说是一种特殊的多路中继器,已有信号放大的功能。使用双绞线的 以太网多用集线器扩大网络,同时便于网络的维护。以集线器为中心的优点是:当网络系 统中某条线路或某结点出现故障时,不会影响网上其他结点的正常工作。集线器分为无源 集线器、有源集线器和智能集线器。
数据链路层互联设备
(1)网桥:是一个局域网与另一个局域网之间建立连接的桥梁,它的作用是扩展网络 和通信手段,在各种传输介质中转发数据信号,扩展网络的距离,同时又有选择地将有地 址的信号从一个传输介质发送到另一个传输介质,并能有效地限制两个介质系统中无关紧 要的通信。 (2)交换机:是一个具有简化、低价、高性能和高端口密集特点的交换产品。交换技 术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈 问题。交换机的3种交换技术:端口交换、帧交换和信元交换。
网络层互联设备
路由器:用于连接多个逻辑上分开的网络:具有很强的网络互联能力:具有判断网络 地址和选择路径的功能。缺点是由于工作在网络层,处理的信息比网桥要多,因而处理速 度比网桥慢。
应用层互联设备
网关:体现在OSI
模型的最高层,它将协议进行转换,将数据重新分组,以便在两个 不同类型的网络系统之间进行通信。
网络的协议与标准
网络标准
1.电信标准 (1)V系列:主要针对调制解调器的标准。 (2)X系列:应用于广域网。 X.1一X39
:标准应用于终端形式、接口、服务设施和设备。最著名的标准是X.25
,规定了数据包装和传送的协议。 X.40~X.199
:标准管理网络结构、传输、发信号等。
2.国际标准 (1)IS0
一国际标准化组织。 (2)ANS一美国国家标准研究所。
(3)NIST
一美国国家标准和技术研究所。 (4)IEEE
一电气和电子工程师协会。 (5)EIA
一电子工业协会。
在电子邮件服务协议中,smtp
是发信服务器的协议;POP3
是收信服务器的协议。
一般浏览器默认的是http
,访问https
的话得手动加,这个涉及到网页安全性的考虑。
TCP/IP
协议族
TCP/IP
包含许多重要的基本特性,这些特性主要表现在5个方面:逻辑编址、路由选择、域名解析、错误检测和流量控制以及对应用程序的支持等。
(1)逻辑编址。每一块网卡在出厂时就由厂家分配了一个独一无二的永久性的物理地址。 在Internet中,为每台连入因特网的计算机分配一个逻辑地址,这个逻辑地址被称为IP
地址。 一个IP
地址可以包括一个网络ID号,用来标识网络:一个子网络ID号,用来标识网络上的 一个子网;另外,还有一个主机ID号,用来标识子网络上的一台计算机。这样,通过这个分 配给某台计算机的IP
地址,就可以很快地找到相应的计算机。
(2)路由选择。在TCP/IP
中包含了专门用于定义路由器如何选择网络路径的协议,即IP
数据包的路由选择。
(3)域名解析。虽然TCP/IP
采用的是32位的IP
地址,但考虑到用户记忆方便,专门设 计了一种方便的字母式地址结构,称为域名或DNS
(域名服务)名字。将域名映射为IP
地址 的操作称为域名解析。域名具有较稳定的特点,而IP
地址较易发生变化。
(4)错误检测和流量控制。TCP/IP
具有分组交换确保数据信息在网络上可靠传递的特性, 这些特性包括检测数据信息的传输错误(保证到达目的地的数据信息没有发生变化),确认已传递的数据信息已被成功地接收,监测网络系统中的信息流量,防止出现网络拥塞。
网络接口层协议
TCP/IP
协议不包含具体的物理层和数据链路层,只定义了网络接口层作为物理层与网络层的接口规范。
这个物理层可以是广域网,例如X25
公用数据网,也可以是局域网,例如Ethernet、Token-Ring和DDI
等。
任何物理网络只要按照这个接口规范开发网络接口驱动程序,就能够与TCP/IP
协议集成起来。网络接口层处在TCP/IP
协议的最底层,主要负责管理为物理网络准备数据所需的全部服务程序和功能。
网际层协议一IP
ARP
和RARP
地址解析协议(Address Resolution Protocol,ARP
)及反地址解析协议(RARP
)是驻留在网际层中的另一个重要协议。
网际层协议一ICMP
传输层协议
TCP
UDP
应用层协议
应用层的协议有NFS、Telnet、.SMTP、DNS
、SNMP
和FTP等
协议其他
TLS
是安全传输层协议,TCP是消息传输协议TFTP
是文件传输协议,只有SSH是安全远程登录协议。
FTP (File Transport Protocol、文件传输协议)是网络上两台计算机传送文件的协议,运行在 TCP 之上,是通过 Internet 将文件从一台计算机传输到另一台计算机的一种途径。
HTTP (Hypertext TransferProtocol,超文本传输协议)
是用于从WWW 服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。
SSL
(Secure Sockets Layer,安全套接层)协议是介于应用层和TCP层之间的安全通信协议,提供保密性通信、点对点身份认证、可靠性通信三种安全通信服务。其继任者为传输层安全协议(TLS:Transport Layer Security)
。
DNS
(Domain Name System,域名系统)把主机域名解析为IP
地址的系统。
Internet及应用
Internet地址
1.域名
一个完整、通用的层次型主机域名由4部分组成:计算机主机名、本机名、组名、最 高层域名。域名是用来标识互联网上计算机或其他资源的名称。通过域名,用户可以更容易地访问互联网上的各种网站和服务。
2.IP
地址
(1)A类:网络地址占1字节,最高位为0:主机地址占3字节。子网掩码为255.0.0.0。 (2)B类:网络地址占2字节,最高位为10:主机地址占2字节。子网掩码为255.255.0.0。
(3)C类:网络地址占3字节,最高位为110:主机地址占1字节。子网掩码为255,255.255.0。 (4)D类:用于组播。最高位为1110。 (5)E类:实验保留。最高位为1111。
Internet服务
1.DNS
域名服务 DNS
是一种分布式地址信息数据库系统,服务器中包含整个数据库的某部分信息,并 供客户查询。域名系统采用的是客户机/服务器模式,整个系统由解析器和域名服务器组成。 解析器是客户方,它负贵查询域名服务器、解释从服务器返回来的应答、将信息返回给请 求方等工作。域名服务器是服务器方,它通常保存着一部分域名空间的全部信息。
2.Telnet
远程登录服务 远程登录服务是在Telnet协议的支持下,将用户计算机与远程主机连接起来,在远程 主机上运行程序,将相应的屏幕显示传送到本地机器,并将本地的输入传送给远程计算机。 3.电子邮件服务 电子邮件就是利用计算机进行信息交换的电子媒体信件。电子邮件地址的一般格式: 用户名@主机名。E-mail系统基于客户机/服务器模式,整个系统由E-mail客户软件、E-mail 服务器和通信协议3部分组成。所用协议有简单邮件传送协议SMTP和用于接收邮件的 POP3协议。 4.WWW
服务 一种交互式图形界面的Internet服务,具有强大的信息连接功能。WWW浏览程序为 用户提供基于超文本传输协议HTTP的用户界面,WWW服务器的数据文件由超文本标记 语言HTML描述,HTML利用统一资源定位地址(URL)指向超媒体链接,并在文本内指向 其他网络资源。一个URL包括以下几部分:协议、主机域名、端口号(任选)、目录路径(任 选)和一个文件名(任选)。其格式为:scheme::/host.Domain[port]Upath//filename]。
5.FTP
文件传揄服务 用来在计算机之间传输文件。FTP是基于客户机J服务器模式的服务系统,它由客户软 件、服务器软件和FTP通信协议3部分组成。FTP在客户端与服务器的内部建立两条TCP 连接:一条是控制连接,主要用于传输命令和参数:另一条是数据连接,主要用于传送 文件。
-
SSH
安全外壳协议 SSH(Secure Shell)是一种加密网络协议,用于通过不安全的网络(如互联网)安全地进行远程访问。SSH提供了加密的通信会话,使得敏感数据在传输过程中不易被窃听。SSH还提供了身份验证的机制,确保连接的双方都是合法的用户或系统。 -
VPN
虚拟专用网络 VPN(Virtual Private Network)通过公共网络(例如互联网)为用户建立起一条加密的通信通道,使得用户能够安全地访问私人网络资源。VPN可以用于保护用户的隐私和数据安全,同时也可用于绕过地理限制,访问被封锁的网站或服务。 -
VoIP
网络电话服务 VoIP(Voice over Internet Protocol)是一种通过互联网传输语音通信的技术。利用VoIP,用户可以通过互联网以数字信号的形式传输语音通话,实现低成本甚至免费的长途通话。VoIP技术已经被广泛应用于各种通信服务,如网络电话、视频通话和在线会议等。 -
IM
即时通讯服务 IM(Instant Messaging)是一种实时的文字通信服务,用户可以通过IM软件与其他用户进行即时对话。IM服务通常支持文字、图片、音频和视频等多种形式的消息传输,为用户提供了快速、方便的沟通方式。常见的IM应用包括微信、WhatsApp、Facebook Messenger等。
IPv4
IP
:网络号+主机号
IPV4的地址长度是32位,IPV6的地址长度是128位。而MAC的地址长度是48位。 IP地址提供了网络层的寻址功能,工作在网络层。
而MAC地址提供了数据链路层的寻址,工作在数据链路层。
IP地址的分配是基于网络拓扑的逻辑规划设计,而MAC 地址的分配是基于制造商,每个制造商都拥有一定数量的MAC地址。 MAC地址是全球唯一的,但IP地址不是唯一的,例如IPV4有三个段是局域网专用地址,各个局域网可以复用这些IP,在需要连网时再通过NAT技术转换到广域网或互联网IP
网络号
主机
可以根据IP
地址和子网掩码区分网络号和主机号
子网掩码
1表示锁定网络号 0锁定主机号
子网掩码这样表示,后面的30表示前面30个位锁定为网络号
192.168.0.0/30
IPv6
前64位为网络部分,后64位为接口ID(类似IPv4
的主机部分)。
IPv6的地址长度为128位,是IPv4地址长度的4倍。于是IPv4点分十进制格式不再适用,采用十六进制表示。 IPv6地址总共有128位,使用十六进制进行表示,分为8段,中间用“:”隔开,如2001:0410:0000:0001:0000:0000:0000:45ff。
2001:80008::456:0:0:0
Internet服务
Http
HTTP状态码是HTTP协议中服务器响应客户端请求时返回的状态码,用于表示服务器对请求的处理结果。常见的HTTP状态码包括:
-
1xx:信息性状态码,表示请求已被接受,继续处理。
-
2xx:成功状态码,表示请求已成功被服务器接收、理解、并接受。
-
200 OK:请求成功
-
201 Created:请求已经被实现,新资源已经被创建
-
204 No Content:服务器成功处理了请求但没有返回任何内容
-
3xx:重定向状态码,表示需要进行进一步的操作以完成请求。
-
301 Moved Permanently:永久重定向
-
302 Found:临时重定向
-
304 Not Modified:资源未被修改,可以使用缓存
-
4xx:客户端错误状态码,表示请求包含语法错误或无法完成请求。
-
400 Bad Request:请求无效
-
401 Unauthorized:未授权
-
403 Forbidden:禁止访问
-
404 Not Found:资源不存在
-
5xx:服务器错误状态码,表示服务器在处理请求时发生错误。
-
500 Internal Server Error:服务器内部错误
-
502 Bad Gateway:网关错误
-
503 Service Unavailable:服务不可用
Https
HTTPS协议是以安全为目标的HTTP通道, HTTPS是HTTP的安全版,使用SSL和TLS加密协议做加密传输。不同于HTTP协议使用TCP 80端口,HTTPS使用TCP端口443。 对于电子支付类高安全性网站应使用HTTPS协议而不是HTTP协议。
TLS/SSL
ssl是tls的前身
远程登录(Telnet)
远程登录(Telnet)是ARPANET最早的应用之一,这个协议提供了访问远程主机的功能,使本地用户可以通过TCP连接登录到远程主机上,像使用本地主机一样使用远程主机的资源。当本地终端与远程主机具有异构性时,也不影响它们之间的相互操作。Telnet协议使用TCP端口23号,但是未经加密,因此是不安全的
网络其他
IPsec
的主要功能是对IP
数据报进行加密。
域名解析流程: 1.客户机提出域名解析请求,并将该请求发送给本地的域名服务器。 2.当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该纪录项,则本地的域名服务器就直接把查询的结果返回。 3.如果本地的缓存中没有该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。 4.本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该纪录,则返回相关的下级的域名服务器的地址。 5.重复第4步,直到找到正确的纪录。 6.本地域名服务器把返回的结果保存到缓存,以 备下一次使用, 同时还将结果返回给客户机。
所谓SQL注入
,就是通过把SQL
命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL
命令,目标就是为了获得数据库的权限,从而非法获得数据。
信息安全基础知识
信息安全基础知识
基本要素 信息安全包括5个
机密性:确保信息不暴露给未授权的实体或进程。
完整性:只有得到允许的人才能修改数据,并且能够判断出数据是否已被篡改。
可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
可控性:可以控制授权范围内的信息流向及行为方式。
可审查性:对出现的信息安全问题提供调查的依据和手段。
加密技术
对称与非对称加密技术
对称加密需要专门的通信通道,非对称加密不需要专门的通信通道
非对称加密是拿对方的公钥进行加密,对方再拿着自己的私钥进行解密
非对称加密公开密钥的
对称加密效率高点,适应于大量的明文加密
公钥所有人都可以拿到,私钥只有自己有
RSA
是非对称加密算法。
认证技术
数字签名与消息摘要的应用
数字签名
非对称加密是拿对方的公钥进行加密,对方再拿着自己的私钥进行解密
数字签名认证是拿自己的私钥进行加密,再拿自己的公钥进行解密
数字签名的作用:
接收者可验证消息来源的真实性
发送者无法否认发送过该消息
接收者无法伪造或篡改消息
由于认证的明文在网络上传输,谁都可以拷贝数据,所以不能阻止对手进行被动攻击
消息摘要
数字证书应用
数字证书是确认合法性
数字签名是确认真实性
CA签名本质是CA加密的东西
数字证书合不合法,主要看CA签名能不能解开,先拿到CA中心的公钥,再解开,再CA签名验证
拿到CA的密钥后接着进行通信
随机密钥是对称密钥
数字签名
数字签名是一种网络安全技术,利用这种技术,接收者可以确定发送者的身 份是否真实,同时发送者不能否认 发送的消息,接收者也不能篡改 接收的消息。
网络安全概述
网络安全协议
https的默认端口是443
网络安全威胁
非法登入:登入只是看一下资料,但没有修改,则是被动攻击
如果修改了,则是主动攻击
SQL注入如:where 什么后面跟着or = 1 则也是让其进入的
WEB应用防火墙:具有WEB应用相关的防护能力,比如防 SQL注入、网页防篡改等功能。
木马只是控制了你的计算机,但没有破坏,病毒则破坏了计算机
计算机病毒
计算机病毒的分类方法有许多种,按照最通用的区分方式,即根据其感染的途径以及采用的技术区分,计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录型计算机病毒。 文件型计算机病毒感染可执行文件(包括EXE和COM文件)。 引导型计算机病毒影响软盘或硬盘的引导扇区。 目录型计算机病毒能够修改硬盘上存储的所有文件的地址。 宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件,从文件名可以看出Macro.Melissa是一种宏病毒。
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。
杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御系统(包含杀毒软件,防火墙、特洛伊木马和恶意软件的查杀程序,入侵预防系统等)的重要组成部分。
杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。杀毒软件只能防病毒,不能有效防止网站信息被篡改。
引导区病毒破坏的是引导盘、文件目录等;宏病毒破坏的是OFFICE文件相关;木马的作用一般强调控制操作。
网络安全控制技术
访问控制技术
控制不同用户对信息资源的访问权限
访询控制列表ACL
访问控制列表(ACL)是一种基于包过滤的访问控制技术,
它可以根据设定的条件对接口上的数据包进行过滤,允许其通
过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,
借助于访问控制列表,可以有效地控制用户对网络的访问,从
而最大程度地保障网络安全。ACL也可以结合防火墙使用。
这里只是扫描,找出漏洞,但没有补丁
网络安全漏洞扫描技术
漏洞监测和安全风险评估技术,可预知主体受攻击的可能性和具体地指证将要发生的行为和产生的后果。网络漏洞扫描技术主要包括网络摸拟攻击、漏洞监测、报告服务进程、提取对 象信息以及测评风险、提供安全建议和改进等功能,帮助用户控 制可能发生的安全事件,最大可能地消除安全隐患。 【可以发现高危风险和安全漏洞,单纯的漏洞扫描技术是不包括 修复功能的】
防火墙技术
防火墙认为内部是安全的,它不能进行杀毒
另外,防火墙还具有如下的附加功能: 流量控制 网络地址转换(NAT) VPN
防火墙的工作层次是决定防火墙效率以及安全的 主要因素。一般来说防火墙工作层次越低, 则工作效率越高,但安全性就低了) 反之,工作层次越高,工作效率就越低,则安全性越高。
(应用级网关)防火墙是内部网和外部网的隔离点它可对应用层的 通信数据流进行监控和过滤。
防火墙技术分类
(1)包过滤型防火墙 工作在网络层,对数据包的源及目的IP
具有识别和控制作用,对于传输层,也只能识 别数据包是TCP还是UDP
及所用的端口信息。
它通过检查数据包的源地址、目标地址、端口号等信息来过滤和控制数据包的传输。这种防火墙根据事先设定的规则来决定是否允许数据包通过。
优点是对每个传入和传出网络的包实行低水平控制:每个P包的字段都被检查:可以识别和丢弃带欺骗性源IP
地址的包:是两个网络之间访问的惟一通道:通常被包含在路由器数据包中,不必用额外的系统来处理这个 特征。
缺点是不能防范黑客攻击;不支持应用层协议:访问控制粒度太粗糙。
(2)应用代理网关防火墙 彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问, 然后再由防火墙转发给内网用户。
应用代理网关防火墙在传输数据包时会对数据包进行深度检查,包括应用层数据的内容。它可以代理客户端和服务器之间的通信,充当中间人来过滤和检查数据包,以确保网络安全。
优点是可以检查应用层、传输层和网络层的协议特征, 对数据包的检测能力比较强。
缺点是难于配置,处理速度慢。
(3)状态检测技术防火墙
状态检测技术防火墙会追踪网络连接的状态,根据连接的状态信息来决定是否允许数据包通过防火墙。这种防火墙可以检测并阻止一些常见的网络攻击,如拒绝服务攻击等。
结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础 上将代理防火墙的性能提高。