第一篇:计算机网络基础知识之网络安全
计算机网络基础知识
之网络安全
病毒的危害,小到个人,大到全世界,凡是在使用电脑的人无一不在受其困扰。对于那些侥幸未受病毒骚扰的人,我想在这里事先给你敲敲警钟,最好还是能防患于未然!计算机病毒发作时,通常会出现以下几种情况,这样我们就能尽早地发现和清除它们。
1、电脑运行比平常迟钝,程序载入时间比平常久。
2、有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行他们的动作,因此会花更多时间来载入程序。对一个简单的工作,磁盘似乎花了比预期长的时间。
3、不寻常的错误信息出现,硬盘的指示灯无缘无故的亮了,磁盘可利用的空间突然减少。
4、系统内存容量忽然大量减少,内存内增加来路不明的常驻程序。有些病毒会消耗可观的内存容量,曾经执行过的程序,再次执行时,突然告诉你没有足够的内存可以利用,表示病毒已经存在你的电脑中了!
5、可执行程序的大小改变了。正常情况下,这些程序应该维持固定的大小,但有些较不聪明的病毒,会增加程序的大小。
6、文件奇怪的消失,文件的内容被加上一些奇怪的资料,文件名称,扩展名,日期,属性被更改过。
不过只要培养良好的预防病毒意识,并充分发挥杀毒软件的防护能力,完全可以将大部分病毒拒之门外。
1、时刻保持操作系统获得最新的安全更新,建议用安全软件的漏洞扫描功能。
2、安装防毒软件,每周至少更新一次病毒定义码或病毒引擎。定期扫描计算机也是一个良好的习惯。
3、注意U盘、移动硬盘等媒介:在使用U盘、移动硬盘或其他媒介之前,一定要对 之进行扫描,不怕一万,就怕万一。
4、下载一定要从比较可靠的站点进行,对于互联网上的文档与电子邮件,下载后也须不厌其烦做病毒扫描。
5、来历不明的邮件或网页链接决不要打开,遇到形迹可疑或不是预期中的朋友来信中的附件,决不要轻易运行,一些QQ聊天里的尾巴不要去点。
6、警惕欺骗性或文告性的病毒。这类病毒利用了人性的弱点,以子虚乌有的说辞 来打动你,记住,天下没有免费的午餐,一旦发现,尽快删除。更有病毒伪装成杀毒软件骗人。
最后和大家说说最近段时间应该装什么免费杀毒软件。首先,我们最常见的360安全卫士+360版NOD32杀毒软件(http://),这样的组合也是相当不错的,保持了较小的资源占用,极大的提高了电脑的速度,只要及时更新,你绝对能远离病毒!(当然你的系统补丁一定要打全啊!),还有个组合应该也比较好,bitdefend杀毒软件+360安全卫士或者风云防火墙,打游戏的朋友多用用这套组合,这个杀毒软件有个免打扰模式,比较好。
简单的说到这里。有需要帮助的朋友可以找我,当然只限公司内部。
第二篇:计算机网络基础知识总结
一、计算机网络的拓扑结构
(1)总线型拓扑结构
特点:不需要插入任何其他的连接设备 优点:连接简单、易于安装、成本费用低 缺点:传送数据的速度缓慢,维护困难(2)星型拓扑结构
优点:结构简单、便于维护和管理
缺点:通信线路专用,电缆成本高,中心节点时全网络的瓶颈,中心节点出现故障会导致网络瘫痪(3)环形拓扑结构 优点:电缆长度短
缺点:节点过多时会影响传输效率,环某处断开会导致整个系统失效,节点的加入和撤出过程复杂,监测故障困难(4)树形拓扑结构
优点:结构比较简单,成本低,扩充节点时方便灵活 缺点:对根节点的依赖大(5)网状结构与混合型结构 优点:可靠性高
缺点:结构复杂,不易管理和维护,线路成本高
二、计算机网络的分类
(1)按覆盖范围分类 局域网、域域网、广域网(2)按传播方式分类 广播式网络、点—点网络(3)按传输技术分类
普通电信网、数字数据网、虚拟专用网、微波扩频通信网、卫星通信网
三、计算机网络体系结构
(国际标准化组织 ISO)OSI参考模型
应用层:网络与用户应用软件之间的接口
表示层:为应用层提供数据,负责数据转换和代码的格式化 会话层:在网络中的两节点之间建立、维持和终止通信 传输层:通过通信线路在不同机器之间进行程序和数据的交换 网络层:在通信子网中选择适当的路由(分组)
数据链路层:定义如何让格式化数据进行传输及如何控制对物理介质的访问(包)物理层:定义物理设备标准,传输比特流(比特)
TCP/IP体系结构(1)应用层
将OSI的高三层合并为一层,为用户提供调用和访问网络上各种应用程序的接口,并向用户提供各种标准的应用程序及相应的协议;使应用程序、应用进程与协议相互配合,发送或接收数据。
主要协议:
依赖于面向连接的TCP协议:远程登录协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP等
依赖于无连接的UDP协议:简单网络管理协议SNMP、NetBIOS、远程过程调用协议RPC等
既依赖于TCP协议又依赖于UDP协议:超文本传输协议HTTP、通信信息协议CMOT等(2)传输层
将源主机的数据信息发送到目的主机。
主要协议:传输控制协议TCP、用户数据报协议UDP 传输控制协议 TCP:定义了两台计算机之间进行可靠的数据传输所交换的数据和确认信息的格式,以及确定数据正确到达而采取的措施。TCP协议是一个面向连接的的协议,当计算机双方通信时必须经历三个阶段(建立连接 — 进行数据传输 — 拆除连接),TCP建立连接时又要分三步,即TCP三次握手:
A→B(X)B→A(Y+X)A→B(X+1)
用户数据报协议 UDP:最简单的传输层协议。与IP不同的是UDP提供协议的端口号以保证进程通信,UDP可以根据端口号对许多程序进行多路复用,并检查数据的完整性。(3)网络层
解决两个不同IP地址的计算机之间的通信问题(形成IP分组、寻址、检验分组的有效性、去掉报头和选择路由等)
主要协议:国际协议IP、国际控制信息协议ICMP、地址解析协议ARP、逆向地址解析协议RARP、国际组信息协议IGMP IP协议:主要作用是进行寻址和路由选择,并将分组从一个网络转发到另一个网络;IP只是尽量传输数据到目的地,但不提供任何保证。(4)网络接口层
负责接收分组,并把分组分装成数据帧,再将数据帧发送到指定网络。
四、计算机网络应用模式
(1)C/S模式(客户机/服务器)
它是软件系统体系结构通过它可以充分利用两端硬件环境的优势,将任务合理地分配到Client端和Server端来实现,降低了系统的通信开销。
优点:能充分发挥客户端PC的处理能力
缺点:一般只适用于局域网,客户端需要安装专用的客户端软件(2)B/S模式(浏览器/服务器)
是对C/S模式的一种改进,Web浏览器是客户端最主要的应用软件。统一了客户端将系统功能实现的核心部分集中到服务器上,简化了系统的开发、维护和使用,浏览器通过Web Server同数据库进行数据交换。
优点:可以在任何地方进行操作,不用安装任何专门的软件,系统拓展非常容易,减轻了服务器的负担并增加了交互性,能进行局部实时刷新
网络安全
安全威胁来源:认为因素、自然因素、偶发因素
安全威胁管理:是一种用来实施监控组织的关键安全系统的技术,可以用来查看来自监控传感器的报告
安全威胁防范技术:漏洞补丁更新技术、病毒防护技术、防火墙技术、数据加密急速、系统容灾技术、漏洞扫描技术、物理方面的安全
国内评价标准:GB17859-1999《计算机信息系统安全保护等级划分准则》 共同标准:CCITSE(CC)
安全功能:物理安全、运行安全、信息安全
网络犯罪的方式:渗透和拒绝服务攻击
黑客:精通网络、系统、外设及软硬件技术的人 黑客类型:破坏者、红客、间谍 黑客攻击工具:病毒、蠕虫、网络嗅探器
黑客攻击手段:后门程序、信息炸弹、拒绝服务、网络监听、密码破译 黑客攻击五部曲:隐藏IP、信息收集、实施攻击、保持访问、隐藏踪迹 网络犯罪应对:防御、检测、分析和响应
脚本:是使用一种特定的描述性语言,依据一定的格式编写的可执行文件,又称作宏或批处理文件
恶意脚本危害:篡改用户注册表数据、实现运行某些程序、在后台隐蔽的下载某些插件和病毒、盗取用户信息
网络层的安全风险:物理层、数据链路层、网络边界
白盒测试:结构测试或逻辑驱动测试,按照程序内部的结构来测试程序,通过测试来检测产品内部动作是否按照设计规格说明书的规定正常进行,以及检测程序中的每条通路是否都能按预定要求正确工作
黑盒测试:功能测试,通过测试来检测每个功能是否都正常使用 黑盒测试流程:测试计划、测试设计、测试开发、测试执行、测试评估 黑盒与白盒区别:
黑盒测试时指已知产品的功能设计规格,可以进行测试来证明每个实现了的功能是否符合要求 白盒测试是指已知产品的内部工作过程,可以通过测试来证明每种内部操作是否符合设计规格要求,所有内部成分是否经过了检查
身份认证技术:用户名/密码方式、IC卡认证、生物特征认证、USB key认证、动态口令/密码、数字签名
kerberos认证机制:基于TCP/IP的Internet和intranet设计的安全认证协议,它工作在client/server模式下
访问控制:是指按用户身份及其所属的某项定义组,来限制用户对某些信息项的访问,或限制对某些控制功能的使用
访问控制机制:访问控制矩阵、访问能力表、访问控制表、授权关系表
密码学:作为数学的一个分支,是密码编码学和密码分析学的统称
柯克霍夫原则:加密算法应建立在算法的公开不影响明文和秘钥的安全基础上 密码体制:对称密码体制、非对称密码体制、混合密码体制 流密码:也称序列密码,是对称密码算法的一种
数字证书的定义:就是互联网通信中标注通信各方身份信息的数据,它提供了在Internet上验证身份的方式,它有一个权威机构:CA机构,又称为证书授权中心。数据证书是一个经CA数字签名的包含秘钥拥有者信息以及公开秘钥的文件
PKI系统的功能:证书颁发、证书更新、证书废除、证书和CRL的公布、证书状态的在线查询、证书认证等
PKI系统的应用:WWW安全、电子邮件安全、电子数据交换、信用卡交易安全、VPN 密码学的应用:数字签名、身份识别、秘钥建立、密码分享、安全协议、电子现金、游戏
协议:就是两个或者两个以上的参与者采取一系列步骤以完成某项特定的任务 安全协议:又称密码协议,是以密码学为基础的消息交换协议,其目的是在网络环境中提供各种安全服务 安全协议设计原则:整体性、拓展性、安全性和高效性
秘密分割:把一个消息分成n块,单独的每一块看起来没有意义,但所有的块集合起来能恢复出原信息
秘密共享:是一种将秘密分割存储的技术,目的是阻止秘密过于集中,以实现分散风险和容忍入侵的目的,是信息安全和数据保密中的重要手段
RFID系统基本构成:标签(tag)、读写器、后端数据库 RFID系统的安全需求:数据安全、隐私、复制
零知识证明:指证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的
防火墙:指设置在不同网络或网络安全域之间的一系列部件的组合
防火墙的特性:内部网络和外部网络之间的所有网络数据流都必须进过防火墙
只有符合安全策略的数据量才能通过防火墙
防火墙自身应具有非常强的抗攻击免疫力
防火墙的技术分类:包过滤防火墙、应用代理防火墙、状态检测防火墙 防火墙的局限性:不能防止来自内部变节者和不经心的用户们带来的威胁
无法防范通过防火墙以外的其他途径的攻击
不能防止传送已感染病毒的软件或文件
无法防范数据驱动型的攻击
购买防火墙注意事项:可靠性、防火墙的体系结构、技术指标、安装和安置、扩
展性、可升级性、兼容性、高效性、界面友好
入侵检测:就是对入侵行为的发觉
入侵检测系统(IDS):是一种对网络传输进行即时监视,在发现可疑传输时发出
警报或者采取主动反应措施的网络安全设备,IDS是一种积极主动的安全防护技术
计算机取证流程:识别证据、保存证据、分析证据、提交证据
计算机病毒:编制者编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码
病毒的媒介分类:网络病毒、文件病毒、引导型病毒
病毒的特点:繁殖性、破坏性、传染性、潜伏性、隐蔽性、可触发性
计算机病毒防范:保持清醒头脑、对进入计算机的信息时刻保持警惕、合理安装和使用杀毒软件、及时备份计算机中有价值的信息、时刻注意计算机的反应
木马:指表面上是有用的程序,实际目的却是危害计算机安全并导致严重破坏的计算机程序
蠕虫:蠕虫是一种通过网络传播的恶性病毒,具有病毒的共性同时也具有一些自己的特征,如不利用文件寄生,对网络造成拒绝服务,以及与黑客技术相结合等
第三篇:《计算机网络基础知识》教案
《计算机网络基础知识》教案 教学内容:《计算机网络基础知识》 教学目标:
一、知识目标
1、掌握计算机网络的定义、分类及其作用;
2、了解因特网的产生与发展;
3、了解因特网在我国的发展情况;
4、掌握因特网的主要功能;
5、了解因特网的工作方式;
6、了解接入因特网的方式;
二、能力目标
培养学生在网上自主学习的兴趣和能力;
三、情感目标
培训学生自主学习、合作学习的精神 教学重点:
1、计算机网络的定义、分类及其作用
2、因特网的主要功能
教学准备:熟悉教材、准备教案、制作网络课件,教学方法:网络环境下学生自主探究、教师讲解指导 教学过程:
一、引入
二十一世纪是信息化、网络化的时代,作为计算机技术和通信技术相结合的产物——信息网络已成为十分重要的基础设施。在未来信息化社会里,人们必须学会在网络环境下学习、工作、交流。今天我们就通过因特网来学习计算机网络基础知识,一起走进网络世界,去发现、探索网络的奥秘。(教师讲述)
二、新课教学
1、指导学生进入学习网站。
教师演示:启动IE浏览器
输入网址
进入专题学习网站
2、布置学习任务
本节主要学习计算机网络基础知识,包括:计算机网络的定义、计算机网络的分类、计算机网络拓扑结构和计算机网络的功能,因特网的产生和发展、因特网的功能、因特网的接入等知识。点击网页左侧的按钮即可进入学习页面(教师讲解)。
3、学生自主探究,学习网络基础知识(学生自主学习,教师指导)
三、课堂在线测试
新授完毕,学生进入课堂测验环节。教师指导学生进入在线测验页面。学生进入测试页面,对所学知识进行测验,巩固提高。教师记录学生成绩,测试完毕,教师讲评测试结果。分析存在的问题,提出改进意见。
四、讨论交流,提高升华
通过论坛,提出讨论问题,学生和学生,学生和老师之间通过发帖子交流、共同讨论提出的问题,进一步巩固、升华本节课所学的知识。
五、课堂小节
今天我们一起走进网络世界,探索网络知识,感受到网络奥妙,希望同学们能够掌握在网上学习的方法、技巧。培养自己在网上获取知识的兴趣和能力,为将来自己的学习、工作,为将来适应社会打下坚实的基础。
第四篇:计算机网络基础知识总结
计算机网络基础知识总结
1.网络层次划分 2.OSI七层网络模型 3.IP地址
4.子网掩码及网络划分 5.ARP/RARP协议 6.路由选择协议 7.TCP/IP协议 8.UDP协议 9.DNS协议 10.NAT协议 11.DHCP协议 12.HTTP协议 13.一个举例
计算机网络学习的核心内容就是网络协议的学习。网络协议是为计算机网络中进行数据交换而建立的规则、标准或者说是约定的集合。因为不同用户的数据终端可能采取的字符集是不同的,两者需要进行通信,必须要在一定的标准上进行。一个很形象地比喻就是我们的语言,我们大天朝地广人多,地方性语言也非常丰富,而且方言之间差距巨大。A地区的方言可能B地区的人根本无法接受,所以我们要为全国人名进行沟通建立一个语言标准,这就是我们的普通话的作用。同样,放眼全球,我们与外国友人沟通的标准语言是英语,所以我们才要苦逼的学习英语。
计算机网络协议同我们的语言一样,多种多样。而ARPA公司与1977年到1979年推出了一种名为ARPANET的网络协议受到了广泛的热捧,其中最主要的原因就是它推出了人尽皆知的TCP/IP标准网络协议。目前TCP/IP协议已经成为Internet中的“通用语言”,下图为不同计算机群之间利用TCP/IP进行通信的示意图。
1.网络层次划分
为了使不同计算机厂家生产的计算机能够相互通信,以便在更大的范围内建立计算机网络,国际标准化组织(ISO)在1978年提出了“开放系统互联参考模型”,即著名的OSI/RM模型(Open System Interconnection/Reference Model)。它将计算机网络体系结构的通信协议划分为七层,自下而上依次为:物理层(Physics Layer)、数据链路层(Data Link Layer)、网络层(Network Layer)、传输层(Transport Layer)、会话层(Session Layer)、表示层(Presentation Layer)、应用层(Application Layer)。其中第四层完成数据传送服务,上面三层面向用户。
除了标准的OSI七层模型以外,常见的网络层次划分还有TCP/IP四层协议以及TCP/IP五层协议,它们之间的对应关系如下图所示:
2.OSI七层网络模型
TCP/IP协议毫无疑问是互联网的基础协议,没有它就根本不可能上网,任何和互联网有关的操作都离不开TCP/IP协议。不管是OSI七层模型还是TCP/IP的四层、五层模型,每一层中都要自己的专属协议,完成自己相应的工作以及与上下层级之间进行沟通。由于OSI七层模型为网络的标准层次划分,所以我们以OSI七层模型为例从下向上进行一一介绍。
1)物理层(Physical Layer)
激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。该层为上层协议提供了一个传输数据的可靠的物理媒体。简单的说,物理层确保原始的数据可在各种物理媒体上传输。物理层记住两个重要的设备名称,中继器(Repeater,也叫放大器)和集线器。
2)数据链路层(Data Link Layer)
数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目的,数据链路必须具备一系列相应的功能,主要有:如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调节发送速率以使与接收方相匹配;以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。
有关数据链路层的重要知识点:
1> 数据链路层为网络层提供可靠的数据传输;
2> 基本数据单位为帧;
3> 主要的协议:以太网协议;
4> 两个重要设备名称:网桥和交换机。
3)网络层(Network Layer)
网络层的目的是实现两个端系统之间的数据透明传送,具体功能包括寻址和路由选择、连接的建立、保持和终止等。它提供的服务使传输层不需要了解网络中的数据传输和交换技术。如果您想用尽量少的词来记住网络层,那就是“路径选择、路由及逻辑寻址”。
网络层中涉及众多的协议,其中包括最重要的协议,也是TCP/IP的核心协议——IP协议。IP协议非常简单,仅仅提供不可靠、无连接的传送服务。IP协议的主要功能有:无连接数据报传输、数据报路由选择和差错控制。与IP协议配套使用实现其功能的还有地址解析协议ARP、逆地址解析协议RARP、因特网报文协议ICMP、因特网组管理协议IGMP。具体的协议我们会在接下来的部分进行总结,有关网络层的重点为:
1> 网络层负责对子网间的数据包进行路由选择。此外,网络层还可以实现拥塞控制、网际互连等功能;
2> 基本数据单位为IP数据报;
3> 包含的主要协议:
IP协议(Internet Protocol,因特网互联协议);
ICMP协议(Internet Control Message Protocol,因特网控制报文协议);
ARP协议(Address Resolution Protocol,地址解析协议);
RARP协议(Reverse Address Resolution Protocol,逆地址解析协议)。
4> 重要的设备:路由器。
4)传输层(Transport Layer)
第一个端到端,即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外,传输层还要处理端到端的差错控制和流量控制问题。
传输层的任务是根据通信子网的特性,最佳的利用网络资源,为两个端系统的会话层之间,提供建立、维护和取消传输连接的功能,负责端到端的可靠数据传输。在这一层,信息传送的协议数据单元称为段或报文。
网络层只是根据网络地址将源结点发出的数据包传送到目的结点,而传输层则负责将数据可靠地传送到相应的端口。
有关网络层的重点:
1> 传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输以及端到端的差错控制和流量控制问题;
2> 包含的主要协议:TCP协议(Transmission Control Protocol,传输控制协议)、UDP协议(User Datagram Protocol,用户数据报协议);
3> 重要设备:网关。
5)会话层
会话层管理主机之间的会话进程,即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。
6)表示层
表示层对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。
7)应用层
为操作系统或网络应用程序提供访问网络服务的接口。
会话层、表示层和应用层重点:
1> 数据传输基本单位为报文;
2> 包含的主要协议:FTP(文件传送协议)、Telnet(远程登录协议)、DNS(域名解析协议)、SMTP(邮件传送协议),POP3协议(邮局协议),HTTP协议(Hyper Text Transfer Protocol)。3.IP地址
1)网络地址
IP地址由网络号(包括子网号)和主机号组成,网络地址的主机号为全0,网络地址代表着整个网络。
2)广播地址
广播地址通常称为直接广播地址,是为了区分受限广播地址。
广播地址与网络地址的主机号正好相反,广播地址中,主机号为全1。当向某个网络的广播地址发送消息时,该网络内的所有主机都能收到该广播消息。
3)组播地址
D类地址就是组播地址。
先回忆下A,B,C,D类地址吧:
A类地址以00开头,第一个字节作为网络号,地址范围为:0.0.0.0~127.255.255.255;
B类地址以10开头,前两个字节作为网络号,地址范围是:128.0.0.0~191.255.255.255;
C类地址以110开头,前三个字节作为网络号,地址范围是:192.0.0.0~223.255.255.255。
D类地址以1110开头,地址范围是224.0.0.0~239.255.255.255,D类地址作为组播地址(一对多的通信);
E类地址以1111开头,地址范围是240.0.0.0~255.255.255.255,E类地址为保留地址,供以后使用。
注:只有A,B,C有网络号和主机号之分,D类地址和E类地址没有划分网络号和主机号。
4)255.255.255.255
该IP地址指的是受限的广播地址。受限广播地址与一般广播地址(直接广播地址)的区别在于,受限广播地址只能用于本地网络,路由器不会转发以受限广播地址为目的地址的分组;一般广播地址既可在本地广播,也可跨网段广播。例如:主机192.168.1.1/30上的直接广播数据包后,另外一个网段192.168.1.5/30也能收到该数据报;若发送受限广播数据报,则不能收到。
注:一般的广播地址(直接广播地址)能够通过某些路由器(当然不是所有的路由器),而受限的广播地址不能通过路由器。
5)0.0.0.0
常用于寻找自己的IP地址,例如在我们的RARP,BOOTP和DHCP协议中,若某个未知IP地址的无盘机想要知道自己的IP地址,它就以255.255.255.255为目的地址,向本地范围(具体而言是被各个路由器屏蔽的范围内)的服务器发送IP请求分组。
6)回环地址
127.0.0.0/8被用作回环地址,回环地址表示本机的地址,常用于对本机的测试,用的最多的是127.0.0.1。
7)A、B、C类私有地址
私有地址(private address)也叫专用地址,它们不会在全球使用,只具有本地意义。
A类私有地址:10.0.0.0/8,范围是:10.0.0.0~10.255.255.255
B类私有地址:172.16.0.0/12,范围是:172.16.0.0~172.31.255.255
C类私有地址:192.168.0.0/16,范围是:192.168.0.0~192.168.255.255 4.子网掩码及网络划分
随着互连网应用的不断扩大,原先的IPv4的弊端也逐渐暴露出来,即网络号占位太多,而主机号位太少,所以其能提供的主机地址也越来越稀缺,目前除了使用NAT在企业内部利用保留地址自行分配以外,通常都对一个高类别的IP地址进行再划分,以形成多个子网,提供给不同规模的用户群使用。
这里主要是为了在网络分段情况下有效地利用IP地址,通过对主机号的高位部分取作为子网号,从通常的网络位界限中扩展或压缩子网掩码,用来创建某类地址的更多子网。但创建更多的子网时,在每个子网上的可用主机地址数目会比原先减少。
什么是子网掩码?
子网掩码是标志两个IP地址是否同属于一个子网的,也是32位二进制地址,其每一个为1代表该位是网络位,为0代表主机位。它和IP地址一样也是使用点式十进制来表示的。如果两个IP地址在子网掩码的按位与的计算下所得结果相同,即表明它们共属于同一子网中。
在计算子网掩码时,我们要注意IP地址中的保留地址,即“ 0”地址和广播地址,它们是指主机地址或网络地址全为“ 0”或“ 1”时的IP地址,它们代表着本网络地址和广播地址,一般是不能被计算在内的。
子网掩码的计算:
对于无须再划分成子网的IP地址来说,其子网掩码非常简单,即按照其定义即可写出:如某B类IP地址为 10.12.3.0,无须再分割子网,则该IP地址的子网掩码255.255.0.0。如果它是一个C类地址,则其子网掩码为
255.255.255.0。其它类推,不再详述。下面我们关键要介绍的是一个IP地址,还需要将其高位主机位再作为划分出的子网网络号,剩下的是每个子网的主机号,这时该如何进行每个子网的掩码计算。
下面总结一下有关子网掩码和网络划分常见的面试考题:
1)利用子网数来计算
在求子网掩码之前必须先搞清楚要划分的子网数目,以及每个子网内的所需主机数目。
(1)将子网数目转化为二进制来表示;
如欲将B类IP地址168.195.0.0划分成27个子网:27=11011;
(2)取得该二进制的位数,为N;
该二进制为五位数,N = 5
(3)取得该IP地址的类子网掩码,将其主机地址部分的的前N位置1即得出该IP地址划分子网的子网掩码。
将B类地址的子网掩码255.255.0.0的主机地址前5位置 1,得到 255.255.248.0
2)利用主机数来计算
如欲将B类IP地址168.195.0.0划分成若干子网,每个子网内有主机700台:
(1)将主机数目转化为二进制来表示;
700=1010111100;
(2)如果主机数小于或等于254(注意去掉保留的两个IP地址),则取得该主机的二进制位数,为N,这里肯定 N<8。如果大于254,则 N>8,这就是说主机地址将占据不止8位;
该二进制为十位数,N=10;
(3)使用255.255.255.255来将该类IP地址的主机地址位数全部置1,然后从后向前的将N位全部置为 0,即为子网掩码值。
将该B类地址的子网掩码255.255.0.0的主机地址全部置1,得到255.255.255.255,然后再从后向前将后 10位置0,即为:11111111.11111111.11111100.00000000,即255.255.252.0。这就是该欲划分成主机为700台的B类IP地址 168.195.0.0的子网掩码。
3)还有一种题型,要你根据每个网络的主机数量进行子网地址的规划和计算子网掩码。这也可按上述原则进行计算。
比如一个子网有10台主机,那么对于这个子网需要的IP地址是: 10+1+1+1=13
注意:加的第一个1是指这个网络连接时所需的网关地址,接着的两个1分别是指网络地址和广播地址。
因为13小于16(16等于2的4次方),所以主机位为4位。而256-16=240,所以该子网掩码为255.255.255.240。
如果一个子网有14台主机,不少人常犯的错误是:依然分配具有16个地址空间的子网,而忘记了给网关分配地址。这样就错误了,因为14+1+1+1=17,17大于16,所以我们只能分配具有32个地址(32等于2的5次方)空间的子网。这时子网掩码为:255.255.255.224。5.ARP/RARP协议
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。
ARP工作流程举例:
主机A的IP地址为192.168.1.1,MAC地址为0A-11-22-33-44-01;
主机B的IP地址为192.168.1.2,MAC地址为0A-11-22-33-44-02;
当主机A要与主机B通信时,地址解析协议可以将主机B的IP地址(192.168.1.2)解析成主机B的MAC地址,以下为工作流程:
(1)根据主机A上的路由表内容,IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。
(2)如果主机A在ARP缓存中没有找到映射,它将询问192.168.1.2的硬件地址,从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配,它将丢弃ARP请求。
(3)主机B确定ARP请求中的IP地址与自己的IP地址匹配,则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。
(4)主机B将包含其MAC地址的ARP回复消息直接发送回主机A。
(5)当主机A收到从主机B发来的ARP回复消息时,会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的,生存期结束后,将再次重复上面的过程。主机B的MAC地址一旦确定,主机A就能向主机B发送IP通信了。
逆地址解析协议,即RARP,功能和ARP协议相对,其将局域网中某个主机的物理地址转换为IP地址,比如局域网中有一台主机只知道物理地址而不知道IP地址,那么可以通过RARP协议发出征求自身IP地址的广播请求,然后由RARP服务器负责回答。
RARP协议工作流程:
(1)给主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;
(2)本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址;
(3)如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;
(4)如果不存在,RARP服务器对此不做任何的响应;
(5)源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。6.路由选择协议
常见的路由选择协议有:RIP协议、OSPF协议。
RIP协议 :底层是贝尔曼福特算法,它选择路由的度量标准(metric)是跳数,最大跳数是15跳,如果大于15跳,它就会丢弃数据包。
OSPF协议 :Open Shortest Path First开放式最短路径优先,底层是迪杰斯特拉算法,是链路状态路由选择协议,它选择路由的度量标准是带宽,延迟。7.TCP/IP协议
TCP/IP协议是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。通俗而言:TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。
IP层接收由更低层(网络接口层例如以太网设备驱动程序)发来的数据包,并把该数据包发送到更高层---TCP或UDP层;相反,IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的,因为IP并没有做任何事情来确认数据包是否按顺序发送的或者有没有被破坏,IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。
TCP是面向连接的通信协议,通过三次握手建立连接,通讯完成时要拆除连接,由于TCP是面向连接的所以只能用于端到端的通讯。TCP提供的是一种可靠的数据流服务,采用“带重传的肯定确认”技术来实现传输的可靠性。TCP还采用一种称为“滑动窗口”的方式进行流量控制,所谓窗口实际表示接收能力,用以限制发送方的发送速度。
TCP报文首部格式:
TCP协议的三次握手和四次挥手:
注:seq:“sequance”序列号;ack:“acknowledge”确认号;SYN:“synchronize”请求同步标志;;ACK:“acknowledge”确认标志“;FIN:”Finally“结束标志。
TCP连接建立过程:首先Client端发送连接请求报文,Server段接受连接后回复ACK报文,并为这次连接分配资源。Client端接收到ACK报文后也向Server段发生ACK报文,并分配资源,这样TCP连接就建立了。
TCP连接断开过程:假设Client端发起中断连接请求,也就是发送FIN报文。Server端接到FIN报文后,意思是说”我Client端没有数据要发给你了“,但是如果你还有数据没有发送完成,则不必急着关闭Socket,可以继续发送数据。所以你先发送ACK,”告诉Client端,你的请求我收到了,但是我还没准备好,请继续你等我的消息“。这个时候Client端就进入FIN_WAIT状态,继续等待Server端的FIN报文。当Server端确定数据已发送完成,则向Client端发送FIN报文,”告诉Client端,好了,我这边数据发完了,准备好关闭连接了“。Client端收到FIN报文后,”就知道可以关闭连接了,但是他还是不相信网络,怕Server端不知道要关闭,所以发送ACK后进入TIME_WAIT状态,如果Server端没有收到ACK则可以重传。“,Server端收到ACK后,“就知道可以断开连接了”。Client端等待了2MSL后依然没有收到回复,则证明Server端已正常关闭,那好,我Client端也可以关闭连接了。Ok,TCP连接就这样关闭了!
为什么要三次挥手?
在只有两次“握手”的情形下,假设Client想跟Server建立连接,但是却因为中途连接请求的数据报丢失了,故Client端不得不重新发送一遍;这个时候Server端仅收到一个连接请求,因此可以正常的建立连接。但是,有时候Client端重新发送请求不是因为数据报丢失了,而是有可能数据传输过程因为网络并发量很大在某结点被阻塞了,这种情形下Server端将先后收到2次请求,并持续等待两个Client请求向他发送数据...问题就在这里,Cient端实际上只有一次请求,而Server端却有2个响应,极端的情况可能由于Client端多次重新发送请求数据而导致Server端最后建立了N多个响应在等待,因而造成极大的资源浪费!所以,“三次握手”很有必要!
为什么要四次挥手?
试想一下,假如现在你是客户端你想断开跟Server的所有连接该怎么做?第一步,你自己先停止向Server端发送数据,并等待Server的回复。但事情还没有完,虽然你自身不往Server发送数据了,但是因为你们之前已经建立好平等的连接了,所以此时他也有主动权向你发送数据;故Server端还得终止主动向你发送数据,并等待你的确认。其实,说白了就是保证双方的一个合约的完整执行!
使用TCP的协议:FTP(文件传输协议)、Telnet(远程登录协议)、SMTP(简单邮件传输协议)、POP3(和SMTP相对,用于接收邮件)、HTTP协议等。
8.UDP协议
UDP用户数据报协议,是面向无连接的通讯协议,UDP数据包括目的端口号和源端口号信息,由于通讯不需要连接,所以可以实现广播发送。UDP通讯时不需要接收方确认,属于不可靠的传输,可能会出现丢包现象,实际应用中要求程序员编程验证。
UDP与TCP位于同一层,但它不管数据包的顺序、错误或重发。因此,UDP不被应用于那些使用虚电路的面向连接的服务,UDP主要用于那些面向查询---应答的服务,例如NFS。相对于FTP或Telnet,这些服务需要交换的信息量较小。
每个UDP报文分UDP报头和UDP数据区两部分。报头由四个16位长(2字节)字段组成,分别说明该报文的源端口、目的端口、报文长度以及校验值。UDP报头由4个域组成,其中每个域各占用2个字节,具体如下:
(1)源端口号;
(2)目标端口号;
(3)数据报长度;
(4)校验值。
使用UDP协议包括:TFTP(简单文件传输协议)、SNMP(简单网络管理协议)、DNS(域名解析协议)、NFS、BOOTP。
TCP 与 UDP 的区别:TCP是面向连接的,可靠的字节流服务;UDP是面向无连接的,不可靠的数据报服务。9.DNS协议
DNS是域名系统(DomainNameSystem)的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务,可以简单地理解为将URL转换为IP地址。域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,在Internet上域名与IP地址之间是一一对应的,DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。10.NAT协议
NAT网络地址转换(Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。11.DHCP协议
DHCP动态主机设置协议(Dynamic Host Configuration Protocol)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。12.HTTP协议
超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的www.xiexiebang.com 后执行的全部过程
现在假设如果我们在客户端(客户端)浏览器中输入http://www.xiexiebang.com,而baidu.com为要访问的服务器(服务器),下面详细分析客户端为了访问服务器而执行的一系列关于协议的操作:
1)客户端浏览器通过DNS解析到www.xiexiebang.com的IP地址220.181.27.48,通过这个IP地址找到客户端到服务器的路径。客户端浏览器发起一个HTTP会话到220.161.27.48,然后通过TCP进行封装数据包,输入到网络层。
2)在客户端的传输层,把HTTP会话请求分成报文段,添加源和目的端口,如服务器使用80端口监听客户端的请求,客户端由系统随机选择一个端口如5000,与服务器进行交换,服务器把相应的请求返回给客户端的5000端口。然后使用IP层的IP地址查找目的端。
3)客户端的网络层不用关系应用层或者传输层的东西,主要做的是通过查找路由表确定如何到达服务器,期间可能经过多个路由器,这些都是由路由器来完成的工作,不作过多的描述,无非就是通过查找路由表决定通过那个路径到达服务器。
4)客户端的链路层,包通过链路层发送到路由器,通过邻居协议查找给定IP地址的MAC地址,然后发送ARP请求查找目的地址,如果得到回应后就可以使用ARP的请求应答交换的IP数据包现在就可以传输了,然后发送IP数据包到达服务器的地址。
第五篇:计算机网络总结心得-网络安全
网络安全技术研究
随着计算机及网络技术的飞速发展,全球信息化已成为人类发展的必然趋势,计算机在人们的生活和工作中发挥着越来越重要的作用。由于网络的开放性、互连性、连接形式的多样性,致使网络易受黑客、恶意软件和其它不轨的功击,存在着自然和人为等诸多因素的脆弱性和潜在威胁。网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
一、网络的安全保密
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; 3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; 4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; 6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证; 7.分步实施原则:分级管理 分步实施。
针对上述分析,我们采取以下安全策略:1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。2.采用各种安全技术,构筑防御系统,主要有:(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。(2)NAT技术:隐藏内部网络信息。(3)VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。(4)网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。(5)认证:提供基于身份的认证,并在各种认证机制中可选择使用。(6)多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。
二、入侵检测
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为
是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
1.监视、分析用户及系统活动; 2.系统构造和弱点的审计;
3.识别反映已知进攻的活动模式并向相关人士报警; 4.异常行为模式的统计分析;
5.评估重要系统和数据文件的完整性;
6. 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
三、防病毒系统
防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵,保护网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。防病毒系统设计原则
1.整个系统的实施过程应保持流畅和平稳,做到尽量不影响既有网络系统的正常工作。
2.安装在原有应用系统上的防毒产品必须保证其稳定性,不影响其它应用的功能。在安装过程中应尽量减少关闭和重启整个系统。
3.防病毒系统的管理层次与结构应尽量符合机关自身的管理结构。4.防病毒系统的升级和部署功能应做到完全自动化,整个系统应具有每日更新的能力。
5.应做到能够对整个系统进行集中的管理和监控,并能集中生成日志报告与统计信息。
病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入,所以,企业网络最妥善的防病毒方案应当考虑解决客户端的防病毒问题。如果病毒在局域网内的所有客户端传播之前就被清除,网络管理员的工作量就减少了很多。网关防毒:
网关防毒是对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤,从而实现对整个网络的病毒防范。
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
点击咨询 