wiki
本章知识点会涉及单选题型和案例分析题型,约占 3~7 分
1. 网络概述
1. 计算机网络概念
计算机网络的功能:数据通信、资源共享、负载均衡、高可靠性。
计算机网络按照数据通信和数据处理的功能分为两层:内层通信子网和外层资源子网。
2. 计算机网络分类
按照通信距离可分为局域网、城域网、广域网。
3. 网络拓扑结构
常见的网络拓扑结构包括总线型结构、星型结构、环型结构、树型结构、分布式结构。
4. ISO/OSI 网络体系结构
ISO/OSI 的参考模型一共有七层。由低层到高层分别为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层(速记词:物联望穿会飙鹰)。
2. 网络设备及网络协议与标准
1. 网络设备
1. 网络传输介质互连设备
用于网络层与用户结点连接,如 T 形头(细同轴电缆连接器)、收发器、RJ-45(双绞线连接器)、RS232接口(计算机与线路接口常用方式)、DB-15接口(连接网络接口卡的 AUI 接口)、VB35 同步接口(连接远程的高速同步接口)、网络接口单元、调制解调器(数字信号和模拟信息转换器)等。
2. 物理层互连设备
集线器和中继器工作在同一个网段下的
- 中继器:物理层互连设备,用于扩展局域网网段长度,在两个网段间实现电气信号的恢复和整形。信号在传输的过程中是要衰减,中继器的作用就是将信号放大,使信号能传的更远
- 集线器:物理层互连设备,是特殊的多路中继器,可以实现多台计算机之间的互联,因为它有很多的端口,每个口都能连计算机
3. 数据链路层互连设备
- 网桥:链路层互联设备,用于连接两个局域网网段,将两个 LAN 连起来,根据 MAC 地址来转发帧,可以看作一个 “低层的路由器”
- 交换机:链路层互联设备,按照 MAC 地址相对简单地决策信息转发,常常用来连接独立的计算机,所以端口较网桥多
4. 网络层互连设备
- 路由器:网络层互连设备,可以理解为高级的网桥,用于连接多个逻辑上分开的网络,为经过路由器的每个 IP 数据包寻找一条最佳传输路径,并将该数据有效地传送到目的站点
5. 应用层互连设备
- 网关:应用层互连设备,常用 TCP/IP网关,当我们不同网段的两个主机想要发送数据时,必须经过网关
2. 网络传输介质
- 有线介质:双绞线、同轴光缆、光纤
- 无线介质:微波、红外线和激光、卫星通信
3. TCP/IP 协议族
协议是对数据在计算机或设备之间传输时的表示方法进行定义和描述的标准。协议规定了进行传输、检测错误及传送确认信息等内容。
TCP/IP 是个协议族,它包含了多种协议。
1. TCP/IP 分层模型
TCP/IP 分层模型由 4 个 层次构成:网络接口层、网际层、传输层、应用层。不包括具体的物理层和链路层。
1. 网络接口层协议
在 TCP/IP 分层模型最底层,主要负责管理为物理网络准备数据的全部服务程序和功能。
2. 网际层协议
- IP:提供的服务是无连接和不可靠的,并把差错检查、流量控制授权给其他层协议。主要功能包括:
- 将上层数据(如 TCP、UDP 数据)或同层的其他数据(如 ICMP 数据)封装到 IP 数据中
- 将 IP 数据报送到最终目的地
- 为了使数据能够在链路层上进行传输,对数据进行分段
- 确定数据报到达其他网络中的目的地的路径
- ICMP:Internet 控制信息协议,IP 协议传送的数据报可能会丢失、重复、延迟或乱序,因此 ICMP 专门用于发送差错报文的协议,它定义了五种差错报文(源抑制、超时、目的不可达、重定向和要求分段)和四种信息报文(回应请求、回应应答、地址屏蔽码请求和地址屏蔽码应答)。
- ARP 和 RARP:地址解析协议 ARP 的作用是将 IP 地址转换为物理地址,反地址解析协议 RARP 的作用是将物理地址转换为 IP 地址。
3. 传输层协议
- TCP:传输控制协议,利用 TCP 在源主机和目的机之间建立和关闭连接操作时,均需要通过三次握手来确认建立和关闭是否成功。
- UDP:用户数据报协议,是一种不可靠、无连接的协议。UDP 协议软件的主要作用是将 UDP 消息展示给应用层,并不负责重新发送丢失或出错的数据消息,不对接收到的无序 IP 数据报重新排序,不消除重复的 IP 数据报等。
4. 应用层协议
应用层协议包括 NFS、Telnet、SMTP、DNS、SNMP、FTP 等。
4. Internet 及应用
Internet 地址格式有两种:域名格式、IP 地址格式。
1. 域名格式
域名是格式由若干部分组成,每个部分又称子域名。
一个完整、通用的层次型主机域名由四个部分组成:计算机主机名、本地名、组名、最高层域名。
从右到左,子域名分别表示不同的国家或地区的名称、组织类型、组织名称、分组织名称和计算机名称等。
域名地址的最后一部分子域名称为高层域名或顶级域名,它大致分成两类:一类是组织性顶级域名,另一类是地理性顶级域名。
如果一个主机所在网络级别较高,它的域名可能只有后 3 部分。
2. IP 地址格式
IP 地址共 32 位,4 个字节,由 4 个小于 256 的数字组成。
Internet 中的地址可以分为五类:A 类、B 类、C 类、D 类和 E 类。全 0 代表网络,全 1 代表广播。
3. 子网掩码
网络软件和路由器使用子网掩码来识别报文是仅存在网络内部还是被路由转发到其他地方。在一个字段内,1 表名所包含所有或部分网络地址,0 表名主机地址位置。
可变长度子网掩码(VLSM,Variable Length Subnet Mask)规定了如何在一个进行了子网划分的网络中的不同部分使用不同的子网掩码。在地址后面增加 “/网络号及子网络号编址位数”。
4. IP6
IPv6 地址共 128 位。每 16 位用十六进制表示,用冒号分隔。
3. 网络安全
1. 网络安全概述
计算机网络安全是指计算机、网络系统的软件或硬件及系统中的数据受到保护,不因偶然的或恶意的原因遭到破坏、更改、泄露,确保系统能连续、可靠地运行,使网络服务不中断。网络安全从本质上讲就是网络上的信息安全。
凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
网络安全涉及的主要内容:运行系统安全、信息系统安全、信息传播安全、信息内容安全。
信息系统安全的基本需求:保密性、完整性、可用性、可控性、可核查性。
网络安全威胁主要来自五类:物理威胁、网络攻击、身份鉴别、编程威胁、系统漏洞。
2. 网络信息安全
1. 信息存储安全
- 信息使用安全:用户的标识与验证、用户存取权限限制、安全问题跟踪
- 系统安全监控:建立安全监控系统
- 计算机病毒防治:定期升级杀毒软件、使用高强度口令、对数据备份、安装防火墙
- 数据加密:文件信息加密、数据库安全与加密、磁介质加密
- 防止非法攻击
2. 信息传输安全
信息传输加密的主要措施有链路加密、结点加密、端—端加密。
3. 防火墙技术
1. 防火墙的分类
防火墙技术经历了包过滤、应用代理网关和状态监测三个发展阶段:
- 包过滤防火墙。包过滤防火墙工作在网络层,对数据包的源及目的 IP 具有识别和控制作用,对于传输层,也只能识别数据报是 TCP 还是 UDP 及所用的端口信息。包过滤防火墙的处理速度较快,也易于配置。
- 优点是防火墙对每条传入和传出网络的包实行低水平控制:①每个 IP 包的字段都被检查,如源地址、目的地址、协议和端口等;②可以识别和丢弃带欺骗性的源 IP 地址的包;③两个网络之间访问的唯一来源;④通常被包含在路由器数据报中,所以不必额外的系统来处理这个特征。
- 应用代理网关防火墙。应用代理网关防火墙的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力较强,其缺点是难于配置、处理速度非常慢。
- 状态监测防火墙。状态监测防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的技术上将代理防火墙的性能提高了 10 倍。
2. 典型防火墙的体系结构
典型防火墙的体系结构包括过滤路由器、双宿主主机、屏蔽主机网关和被屏蔽子网等类型。
- 过滤路由器。又称为屏蔽路由器,一般作用在网络层,对进出内部网络的所有信息进行分析,并按照一定的安全策略(过滤规则)对进出内部网络的信息进行限制。
- 优点在于速度快、实现方便。
- 缺点是安全性能差,不同操作系统环境下 TCP 和 UDP 端口号所代表的应用服务协议类型有所不同,故兼容性差,没有或只有较少的日志记录能力。
- 双宿主主机。双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机构成的,每一个接口都连接在物理和逻辑上分离的不同网段,代理服务器软件在双宿主主机上运行。
- 屏蔽主机网关。屏蔽主机网关防火墙的优点是安全等级较高,可以提供公开的信息服务的服务器,可以放置在由包过滤器路由器和堡垒主机共用的网段上。
- 被屏蔽子网。被屏蔽子网由两个包过滤路由器和一个应用网关组成。
被屏蔽子网防火墙优点有:
- 入侵者必须突破三个不同的设备(外部路由器、堡垒主机、内部路由器)才能侵袭内部网络。
- 由于外部路由器只能向 Internet 通告 DMZ 网络的存在,Internet 上的系统不需要有路由器和内部网络相对。
- 由于内部路由器只能向内部网络通告 DMZ 网络的存在,内部网络上的系统不能直接通往Internet,保证了内部网络上的用户必须通往驻留在堡垒主机上的代理服务器才能访问 Internet。
- 包过滤路由器直接将数据引向 DMZ 网络上所指定的系统,消除了堡垒主机双宿的必要。
- 内部路由器在作为内部网络和 Internet 之间最后的防火墙系统时,能够支持比双宿堡垒主机更大的数据报吞吐量。
- 由于 DMZ 网络是一个与内部网络不同的网络,NAT 可以安装在堡垒主机上,从而避免在内部网络上重新编制或重新划分子网
4. 信息系统安全等级
5. 信息安全系统三维空间
信息安全系统三维空间:X、Y、Z 轴形成的信息安全系统的三维空间(即信息系统的安全空间):
- X 轴:安全机制(安全防范体系、授权和审计安全、管理安全、运行安全、应用安全、通信安全、数据安全、平台安全、基础设施安全)。
- Y 轴:OSI。
- Z 轴:安全服务(实体认证、访问控制、数据保密、数据完整、数据源认证、禁止否认、犯罪证据提供等服务)。
6. 入侵检测系统
入侵检测是指对计算机、网络上的恶意行为进行识别、响应的处理过程。入侵检测系统(IDS)不仅检测外部入侵,也检测内部未授权(违规行为)的活动。对数据的分析是入侵检测的核心。
IDS 是防火墙之后的又一道防线,可以发现防火墙没有发现的入侵行为,如果防火墙是大厦的门禁系统,IDS 就是监控系统。
防火墙允许内部的一些主机可以被外部访问,但 IDS 没有这些功能,只是监视、分析用户和系统活动。IDS 是一个独立的系统,不需要其他安全审计系统的配合。
入侵检测系统的主要作用为:
- 实时检测:实时地监视、分析网络中所有的数据报文;发现并实时处所捕获的数据报文。
- 安全审计:对系统记录的网络事件进行统计分析;发现异常现象;得出系统的安全状态,找出所需要的证据。
- 主动响应:主动切断连接或与防火墙的联动,调用其他程序处理。
- 工作原理:实时监控网络数据,与已知的攻击手段进行匹配,从而发现网络或系统中是否有违反安全策略的行为和遭遇袭击的迹象。
- 优点:能及时获知网络安全状况,借助分析发现安全隐患或攻击信息,便于及时采取措施。
- 缺点:难以及时阻断危险行为
4. 其他
1. 常用服务端口
| 服务 | 描述 | 协议 | 端口 | 备注 |
|---|---|---|---|---|
| HTTP | TCP | 80 | CS 架构 | |
| HTTPS | TCP | 443 | CS 架构 | |
| FTP | 文件传输协议 | TCP | 数据20,控制21 | CS 架构 |
| Telnet | 远程登录服务 | TCP | 23 | CS 架构 |
| SMTP | 简单邮件传输协议 | TCP | 25 | CS 架构 |
| POP3 | 保管未及时处理邮件 | TCP | 110 | CS 架构 |
| DNS | UDP | 53 | ||
| DHCP | 动态主机配置协议 | UDP | 67 | CS 架构 |
| TFTP | 简单文件传输协议 | UDP | 69 | |
| SNMP | 简单网络管理协议 | UDP | 管理162,代理161 | 对路由器交换机管理 |
2. 路由策略
- 静态路由:洪泛式、随机路由、固定路由
- 自适应路由
3. DNS 解析过程
- 本地电脑检查浏览器缓存是否有对应的解析过的 IP 地址;
- 浏览器会查找操作系统缓存中是否有这个域名对应的解析结果,即 hosts 文件,恶意修改就是一种域名劫持;
- 查找设置中配置的本地 DNS 服务器;
- 到根DNS服务器请求解析;
- 根DNS服务器返回给本地DNS域名服务器一个顶级DNS服务器地址,它是国际顶级域名服务器,如 .com、.cn、.org 等,全球只有13台左右
- 本地 DNS 服务器再向上一步获得的顶级 DNS 服务器发送解析请求
- 接受请求的顶级 DNS 服务器查找并返回此域名对应的 Name Server 域名服务器的地址,该 Name Server 服务器就是要访问的网站的,它的域名提供商的服务器;
- Name Server 服务器会查询存储的域名和 IP 的映射关系表,再把查询出来的域名和 IP 地址等等信息,连同一个 TTL 值返回给本地 DNS 服务器;
- 返回该域名对应的 IP 和 TTL 值,本地 DNS 服务器会缓存这个域名和 IP 的对应关系,缓存时间由 TTL 值控制;
- 把解析的结果返回给本地电脑,本地电脑根据 TTL 值缓存在本地系统缓存中。
3. 网络攻击
- 主动攻击:对信息进行破坏性攻击,常见有拒绝服务攻击(DoS)、重放、欺骗、篡改等
- 被动攻击:不破坏信息,仅尝试窃取信息,一般难以察觉,常见有嗅探、截取、信息收集、流量分析等
