第十章节——网络与信息安全基础知识
网络与信息安全基础知识
- 第十章节——网络与信息安全基础知识
- 一、网络概述
- 1. 计算机网络概念
- 2. 计算机网络分类
- 3. 网络拓补结构
- 4. ISO/OSI网络体系结构
- 1. ISO/OSI参考模型
- 二、网络互联硬件
- 1. 网络的设备
- 2. 网络的传输介质
- 三、网络协议与标准
- 1. 网络的标准
- 2. 局域网协议
- 3. 广域网协议
- 3.1 点对点协议PPP(拨号协议)
- 3.2 数字用户线(xDSL)
- 4. TCP/IP协议族
- 4.1 网络层协议
- 4.2 传输层协议
- 4.3 应用层协议
- 四、Internet及其应用
- 1. Internet概述
- 2. Internet地址
- 2.1 域名
- 2.2 IP地址
- 2.3 子网划分
- 2.4 无分类编址
- 2.5 IPv6简介
- 3. Internet服务
- 4. 网络管理常用命令
- 五、信息安全基础知识
- 六、网络安全概述
- 1. 网络安全威胁
- 2. 网络安全控制技术
一、网络概述
1. 计算机网络概念
计算机网络的发展: 计算机网络是计算机技术与通信技术相结合的产物,它实现了远程通信,远程信息处理和资源共享。
计算机网络的功能: 数据通信、资源共享、负载均衡、高可靠性
2. 计算机网络分类
按通信距离可将计算机网络分为局域网、域域网、广域网
3. 网络拓补结构
网络拓扑结构是指网络中通信线路和结点的几何排序,用于表示整个网络的结构外貌,反映各结点之间的结构关系。常用的网络拓扑结构有:
- 总线型(利用率低、干扰大、价格低)
- 星型(交换机形成的局域网、中央单元负荷大)
- 环型(流动方向固定、效率低扩充难)
- 树型(总线型的扩充、分级结构)
- 分布式(任意结点连接、管理难成本高)
4. ISO/OSI网络体系结构
1. ISO/OSI参考模型
ISO/OSI的参考模型一共有7层,由低层到高层分别为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
(1)物理层:为数据链路层提供一个物理连接以及它们的机械、电气、功能和过程特性。传输的数据单位是比特。
(2)数据链路层:负责在两个相邻结点间的线路上无差错地传输帧数据,并进行流量控制。传输的数据单位是帧。
(3)网络层:将数据链路层的帧数据组成数据包,数据包中有源网络地址和目的网络地址,主要提供路由选择功能,除此之外还有差错检测和恢复、流量/拥塞控制、激活和终止网络连接等功能。传输的数据单位是数据包。
(4)传输层:为会话层提供透明、可靠的端到端的数据传输服务。其功能有数据分段、数据传输、数据组装、差错控制、流量/拥塞控制等。传输的数据单位是报文。
(5)会话层:为表示层提供建立、维护和结束会话连接的功能,提供会话管理功能。传输的数据单位是报文。
(6)表示层:提供格式化的表示和转换数据服务,如数据的压缩、解压缩、加密和解密等。
(7)应用层:面向用户服务,提供网络与用户应用软件之间的接口服务,如文件传输、电子邮件、远程登录等。
二、网络互联硬件
1. 网络的设备
构建一个实际的网络需要网络的传输介质、网络互连设备作为支持。
| 协议层 | 互连设备 | 作用 |
|---|---|---|
| 物理层 | 中继器 集线器 | 中继器: 信号在介质里传输的过程中会有衰减和噪声,使用中继器进行放大和去噪集线器:是一种特殊的多路中继器 |
| 数据链路层 | 网桥 交换机 | 网桥:连接两个局域网,·检查帧的源地址和目的地址·,若两者在同一网络段上,则不转发,否则转发到另一个网络段上;交换机:检查以太网帧的目的地址MAC,在自己的地址表(端口号-MAC)中进行查找并转发。 |
| 网络层 | 路由器 | 用于连接多个逻辑上分开的网络,最主要的功能是选择路由路径。 |
| 应用层 | 网关 | 将协议进行转换,将数据重新分组,以便在两个不同类型的网络系统之间进行通信。 |
2. 网络的传输介质
传输介质是信号传输的媒介。常用的传输介质有有线介质和无线介质。
| 介质类型 | 介质 | 说明 |
|---|---|---|
| 有线介质 | 双绞线 同轴电缆 光纤 | ①双绞线:分为3类、4类和5类、6类、7类双绞线,常用的是5类非屏蔽双绞线, 频率带宽为100MHz,最大长度为100m; ②同轴电缆:分为基带同轴电缆和宽带同轴电缆; ③光纤:光导纤维,多模光纤使用发光二极管作为光源,价格便宜,传播距离短,带宽小; 而单模光纤使用激光作为光源,价格昂贵、传播距离长、带宽大。 |
| 无线介质 | 微波 红外线和激光 卫星 | ①微波:使用无线电波通信,受天气、环境、地形影响大; ②红外线和激光:把传输信号转换成红外光信号和激光信号,在空间传播,受环境气候影响大; ③卫星:以人造卫星作为微波中继站,容量大、距离远,但延迟高。 |
三、网络协议与标准
1. 网络的标准
在网络的标准化方面,有许多标准化机构在工作,例如国际标准化组织、国际电信联盟、电子工业协会、电气和电子工程师协会、因特网活动委员会等。
2. 局域网协议
计算机网络设备之间要进行通信,需要共同遵守一些规则、标准或者说约定,称为协议。
| 局域网类型 | 协议 | 速率 | 传输介质 |
|---|---|---|---|
标准以太网 | CSMA/CD | 10Mbps | 同轴电缆 |
IEEE802.3u快速以太网 | CSMA/CD | 100Mbps | 双绞线 |
| IEEE802.3z千兆以太网 | CSMA/CD | 100Mbps | 同轴电缆、同轴电缆、双绞线 |
| IEEE802.5令牌环网 | 令牌环控制技术 | 100Mbps | 双绞线 |
| FDD光纤分布式数据接口 | 类似令牌环控制技术 | 100Mbps | 光纤 |
无线局域网 | CSMA/CA | 10~1000Mbps | 空气 |
- CSMA/CD:带冲突检测的载波监听多路访问协议。首先监听信道,如果信道空闲,则发送数据;如果信道忙,则继续监听,直到信道空闲时立即发送数据。在发送数据的同时,也会继续检测信道,如果检测到冲突就立即停止发送,并向总线发出一串阻塞信号,通知信道上有冲突发生。最后等待一个二进制指数退避时间后再次监听并发送数据。
- CSMA/CA:带冲突避免的载波监听多路访问协议。为什么不用CSMA/CD协议呢,因为无线网难以检测载波是否冲突。
3. 广域网协议
3.1 点对点协议PPP(拨号协议)
现在PPP衍生出新的应用,典型的应用是在ADSL(非对称用户数字线)接入方式中,PPP与其他的协议共同派生出了符合宽带接入要求的新的协议,比如PPPoE和PPPoA。
利用以太网资源在以太网上运行PPP来进行用户认证接入的方式称为PPPoE,是目前ADSL接入方式中应用最广泛的技术标准。在ATM(异步传输模式)网络上运行PPP来管理用户认证的方式称为PPPoA。
3.2 数字用户线(xDSL)
非对称数字用户线ADSL(上传网速和下载网速不对等,下载网速一般很快)、数字专线DDN(市内或长途的数据电路)、帧中继FR(以帧为传输单位)。
4. TCP/IP协议族
TCP/IP是Internet的核心协议,被广泛应用于局域网和广域网中,已成为事实上的国际标准。
应用层:在模型的最高层,用户调用应用程序来访问TCPIP互连网络,以亨受网络上.提供的各种服务。传输层:提供应用程序之间的通信服务。网际层:又称IP层,它主要有三个功能:①把数组分组封装到IP数据报中,填入数据报的首部,使用路由算法选择路由,送达机器;②处理接收到的数据报,检验其正确性;③发出ICMP差错和控制报文,并处理收到的ICMP报文。网络接口层:处于TCP/IP的最下层,主要负责为物理网络准备数据所需的全部服务程序和功能。
4.1 网络层协议
| 网络层协议 | 功能 |
|---|---|
IP | 提供无连接、不可靠的数据传送服务 |
ICMP ( Internet控制信息协议) | ICMP就是一个专门用于发送差错报文的协议。ICMP定义了五种差错报文(源抑制、超时、目的不可达、重定向和要求分段)和四种信息报文(回应请求、回应应答、地址屏蔽码请求和地址屏蔽码应答)。 |
IGMP(网络组管理协议) | 主要用于组播,主机可以通过IGMP告诉路由器想接收或离开某个网络组播的信息。地址解析协议ARP的作用是将IP地址转换为物理地址(MAC地址) |
ARP、RARP | 反地址解析协议RARP的作用是将物理地址(MAC地址)转换为P地址。 |
-
由于IP协议是一种尽力传送的通信协议,即传送的数据报可能会丢失、重复、延迟或乱序,因此IP协议需要一种避免差错并在发生差错时报告的机制。
MAC地址:是制造商为网络硬件(如无线网卡或以太网网卡)分配的唯一代码,占48位。 -
ping:测试目标P是否可达。
4.2 传输层协议
1.传输控制协议TCP
TCP为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。使用TCP在源主机和目的主机之间建立和关闭连接时,均需要通过三次握手来确认建立和关闭是否成功,如下图所示。
TCP是如何实现可靠传输的呢?它使用了重发技术。在TCP传输过程中,发送方会启动一个定时器,然后把数据包发送出去,如果发送方没有在定时器到点之前收到来自接收方的确认,就会重发这个数据包。
2.用户数据报协议
UDP是一种不可靠、无连接的协议。UDP协议软件的主要作用是将UDP消息展示给应用层,并不负责重新发送丢失或出错的数据消息,不对接收到的无序IP数据报重新排序。
| 特性 | TCP | UDP |
|---|---|---|
| 连接性 | 面向连接的 | 面向非连接的 |
| 传输可靠性 | 可靠的 | 不可靠的 |
| 传输速率 | 低 | 高 |
| 应用场合 | 少量数据 | 大量数据 |
| 数据单位 | 面向字节流 | 面向报文 |
4.3 应用层协议
应用层协议包括FTP、Telnet、SMTP、NFS、SNMP、DNS等。
四、Internet及其应用
1. Internet概述
Internet是世界上规模最大、覆盖面最广且最具影响力的计算机互连网络,它是将分布在世界各地的计算机采用开放系统协议连接在一起,用来进行数据传输、信息交换和资源共享。
2. Internet地址
无论是在网上检索信息还是发送电子邮件,都必须知道对方的Internet地址,它能唯一确定Internet上的每一台计算机、每个用户的位置。Internet地址有两种书写形式:域名形式和IP地址形式。
2.1 域名
一个完整、通用的层次性主机域名由4个部分组成:计算机主机名.本地名.组名.最高层域名。
例如:
www.qinghua.edu.cn cn是地理性顶级域名,表示“中国”。
www.263.net net是组织性顶级域名,表示“网络技术组织机构”。
常用域名后缀: com(商业组织、公司),top(顶级、高端、适用于任何商业、公司、个人),edu(教育机构)
2.2 IP地址
Internet中的主机地址是用IP地址来标识的。这是因为因特网使用的网络协议是TCP/IP协议,因此每个主机必须用IP地址来标识。”
IP地址〈IPv4)由4个8位的二进制数来表示,共32位。为了便于使用,通常将二进制“翻译”成十进制,数字之间用“.”分开。
例如:
| 二进制IP地址 | 十进制IP地址 | 对应域名 |
|---|---|---|
| 11111111.00000000.00000000.00000001 | 127.0.0.1 | localhost |
域名与IP地址是一一对应的,域名更容易记忆。要访问某台计算机时,我们只需要使用域名,域名服务器(DNS)会帮助我们将域名转换成IP地址。
各类地址分配方案:
IP地址=网络号+主机号。在IP地址中,主机号全0代表的是本网络,全1代表的是广播地址。
2.3 子网划分
为了节约资源、提高效率和安全性,在原有A,B,C类IP地址基础上进行子网划分,根据主机个数来划分最合适的方案。
将主机号拿出几位作为子网号,就可以划分出多个子网,此时IP地址组成为:网络号+子网号+主机号。
子网掩码:网络号、子网号均为1+主机号均为0。
2.4 无分类编址
无分类编址自定义网络号位数,格式为:IP地址/网络号位数,例如:220.112.145.32/22,其网络号占22位,主机号占32-22=10位.。
常见的特殊IP地址
2.5 IPv6简介
IPv6地址长度为128位,每组由4个十六进制数表示,用:分开。
例如:FF05:0000:0000:0000:0000:0000:0000:00B3或FFO5::00B3(0压缩,连续的0用:取代)
IPv6数据包有一个40字节的基本首部,其后允许有0个或多个扩展首部,再后面是数据。
IPv6地址的分类:
①单播地址:传统的点对点通信。
②多播地址:一对多的通信,数据包交付到一组计算机中。
③任播地址:IPv6新增的类型。任播的目的站是一组计算机,但只交付其中一个,通常是距离最近的那个。
3. Internet服务
| Internet服务 | 说明 |
|---|---|
DNS域名服务 | DNS域名解析协议,域名服务器将域名转换为IP地址,使用UDP端口,端口号为53 |
远程登录服务 | Telnet协议,使用TCP端口,端口号为23 |
电子邮件(E-mail)服务 | 简单邮件传输协议SMTP(简单邮件发送协议,使用TCP端口,端口号为25),POP3(邮件接收协议,使用TCP端口, 端口号为110),多用途邮件扩充协议MIME、增强私密邮件保护协议PEM超文木传输协议 HTTP,使用TCP端口,端口号为80。 |
WWW服务 | Web地址的URL: scheme://host.Domain[ :port]Upath/filename |
文件传输服务 | FTP协议,使用TCP端口,有两种TCP连接:①控制连接,传输口令和参数, 端口号为21;②数据连接,传输文件, 端口号为20。 |
网络文件服务 | 网络文件服务协议NFS,使用UDP端口,端口号为2049,允许客户端可以像本地文件系统一样,访问网络上计算机之间共享的文件和目录。 |
网络管理服务 | 简单网络管理协议SNMP,使用UDP端口,端口号:①用于数据传送与接收的161端口; ②用于报警信息接收的162端口。它允许网络管理员监视和管理网络设备、 服务器、路由器和其他网络设备的运行状态和性能。 |
DHCP服务 | 动态主机配置协议DHCP,主要用于在局域网内为设备动态分配IP地址,它基于UDP协议,并使用67和68端口进行通信。 |
| 协议类型 | 说明 | 信息传输 | 端口 |
|---|---|---|---|
HTTP | 超文本传输协议 | 明文传输 | 80 |
HTTPS | HTTPS协议是由HTTP协议+SSL证书构建的可进行加密传输、身份认证的网 络协议,要比HTTP协议安全。 | 具有安全性的SSL加密传输协议 | 443 |
4. 网络管理常用命令
| 网管命令 | 说明 |
|---|---|
| ipconfig | 显示当前TCP/IP协议所设置的值,如P地址、子网掩码、缺省网关、Mac地址等 |
| netstat | 显示网络连接、路由表和网络接口信息 |
| nslookup | 查询Internet域名信息或诊断DNS服务器问题的工具 |
| ping | 检查网络是否连通 |
| tracert | 路由跟踪,显示IP数据包访问目标主机所经过的路由路径 |
| route | 配置路由和查看当前路由情况 |
五、信息安全基础知识
信息安全包括5个要素:机密性、完整性、可用性、可控性与可审查性。
计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点。
| 类型 | 说明 |
|---|---|
| 蠕虫病毒(感染exe文件) | 熊猫烧香、罗密欧与朱丽叶、恶鹰、尼姆达、冲击波、爱虫、永恒之蓝 |
| 木马 | 特洛伊木马、QQ消息尾巴木马 |
| 宏病毒(感染word、 excel等文件中的宏变量) | 美丽沙、台湾1号 |
| 红色代码 | 新型网络病毒,将网络蠕虫、计算机病毒、木马程序合为一体 |
| CIH病毒 | 史上唯一破坏硬件的病毒 |
| 冰河木马病毒 | 感染该病毒之后,黑客就可以通过网络远程控制该电脑 |
六、网络安全概述
1. 网络安全威胁
一般认为,目前网络存在的威胁主要表现在5个方面:非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击和利用网络传播病毒。
2. 网络安全控制技术
网络安全控制技术目前有防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。
防火墙技术 :
防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络是不安全和不可信赖的。
防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段。
- 包过滤防火墙。包过滤防火墙工作在网络层,对数据包的源IP和目的IP具有识别和控制作用,对于传输层,也只能识别数据报是TCP还是UDP及所用的端口信息。包过滤防火墙的处理速度较快,也易于配置。
包过滤防火墙的优点: 防火墙对每条传入和传出网络的包实行低水平控制:1)每个IP包的字段都被检查,如源地址、目的地址、协议和端口等;2)可以识别和丢弃带欺骗性的源IP地址的包;3)两个网络之间访问的唯一来源;4)通常被包含在路由器数据报中,所以不必额外的系统来处理这个特征。 - 应用代理网关防火墙。应用代理网关防火墙的优点:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力较强,其缺点是难于配置、处理速度非常慢。
- 状态监测防火墙。状态监测防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的技术上将代理防火墙的性能提高了10倍。
入侵检测与防御:
入侵检测系统(IDS)不仅检测外部入侵,也检测内部未授权(违规行为)的活动。对数据的分析是入侵检测的核心。IDS是防火墙之后的又一道防线,可以发现防火墙没有发现的入侵行为。入侵防御系统(IPS)是在入侵检测系统的基础上发展起来的,不仅能检测到网络中的攻击行为,而且能同时主动的对攻击行为发出响应,对攻击进行防御。
)
)
)
![第四篇:[特殊字符] 深入理解MyBatis[特殊字符] 掌握MyBatis Generator ——入门与实战](http://pic.xiahunao.cn/第四篇:[特殊字符] 深入理解MyBatis[特殊字符] 掌握MyBatis Generator ——入门与实战)
——红黑树及模拟实现)
