温馨提示:
完整笔记已设置成专栏,欢迎各位点击右上角“订阅专栏”,收藏完整笔记。
一、网络概述
1、网络功能
数据通信、资源共享、负载均衡、高可靠性。P518
2、网络分类
按通信距离分:广域网、局域网、城域网
按拓扑结构分:星型网、树型网、环型网、总线网
3、拓扑结构
常用的网络拓扑结构由总线型、星型、环型、树型、分布式结构
4、体系结构
OSI七层模型:
| 层次 | 名称 | 主要功能 | 主要设备及协议 |
| 7 | 应用层 | 实现具体的应用功能 | POP3、FTP、HTTP、Telnet、SMTPDHCP、TFTP、SNMP、DNS |
| 6 | 表示层 | 数据的格式与表达、加密、压缩 | |
| 5 | 会话层 | 建立、管理和终止会话 | |
| 4 | 传输层 | 端到端的连接,单位:报文 | TCP、UDP |
| 3 | 网络层 | 分组传输和路由选择,单位:包 | 三层交换机、路由器ARP、RARP、IP、ICMP、IGMP |
| 2 | 数据链路层 | 传送以帧为单位的信息 | 网桥、交换机(多端口网桥)、网卡PPTP、L2TP、SLIP、PPP |
| 1 | 物理层 | 二进制传输,单位:比特流 | 中继器、集线器(多端口中继器) |
二、互连设备
1、物理层
【1】中继器:实现局域网网段互连,用于扩展局域网网段长度;其只在两个局域网段中实现电气信号恢复与整形
【2】集线器:可以看做是一种多路中继器,具有信号放大功能
2、数据链路层
【1】网桥:实现物理层和数据链路层协议转换
【2】交换机:根据包中MAC地址来决策信息转发
3、网络层
路由器:实现网络层和下层协议转换
4、应用层
网关:提供从最底层到传输层或以上各层协议转换
三、网络协议
1、局域网协议
(1)LAN模型
【1】物理层:主要处理在物理链路上发送、传递和接收比特流。
【2】介质访问控制层MAC:主要是介质的访问控制和对信道资源的分配,是控制对传输介质的访问。
【3】逻辑链路控制层LLC:面向连接服务和非连接服务。主要功能是数据帧的封装和拆除,为高层提供网络服务的逻辑接口,能够实现差错控制和流量控制。
(2)以太网
采用的是CSMA/CD技术【带冲突检测的载波监听多路访问协议】
(3)令牌环网
令牌环是环型网中最普遍采用的介质访问控制方法
(4)FDDI
类似令牌环网协议,采用双环体系结构,两环上的信息反向流动。
传输介质:光纤;
编码:4B/5B编码,即每4位数据编码成5位符号,用光信号的存在或不存在来代表5位符号中的每位是1还是0
传输速度:100Mbps;环路长度可扩展到200km
(5)无线局域网
采用的技术:CSMA/CA【带冲突避免的载波侦听多路访问方法】
2、广域网协议
(1)点对点协议(PPP)
拨号上网;通过拨号或专线方式建立点对点连接发送数据
(2)数字用户线(xDSL)
非对称数字用户线路 ADSL:在一对铜双绞线基础上为用户提供上、下行非对称的传输速率。(三种方式:基于以太网--PPPoE,基于 ATM—PPPoA,静态 IP)
(3)数字专线DDN
采用数字传输信道传输数据信号的通信网,优势是网络传输速率高、时延小、质量好、网络透明度高、可支持任何规程、安全可靠,但成本高。
(4)帧中继FR
它是一种基于可变帧长的数据传输网络;在传输过程中,可采用“帧交换”,即以帧为单位进行传送;也可以采用“信元交换”,即以信元(53B)为单位进行传送。
它提供一种简单的面向连接的虚电路分组服务。
(5)异步传输模式ATM
在ATM网络中,数据以定长的信元为单位进行传输,信元由信元头和信元体构成,每个信元53个字节,其中信元头5个字节,信元体48个字节。
3、TCP/IP 协议族
(1)TCP/IP 协议层次模型(四层)
(2)常见协议功能和端口号
- POP3:110 端口,邮件收取
- SMTP:25 端口,邮件发送
- FTP:20 数据端口/21 控制端口,文件传输协议
- HTTP:80 端口,超文本传输协议,网页传输
- DHCP:67 端口,IP 地址自动分配
- SNMP:161 端口,简单网络管理协议
- DNS:53 端口,域名解析协议,记录域名与 IP 的映射关系
- TCP:可靠的传输层协议
- UDP:不可靠的传输层协议
- ICMP:因特网控制协议,PING 命令来自该协议
- IGMP:组播协议
- ARP:地址解析协议,IP 地址转换为 MAC 地址
- RARP:反向地址解析协议,MAC 地址转 IP 地址
(3)TC与UDP对比
四、Internet及应用
1、Internet地址
(1)域名格式: www.baidu.com
(2)IP地址格式: 192.168.12.16
Internet中的地址可以分为5类:A类、B类、C类、D类、E类。IP地址中,全0代表的是网络,全1代表的是广播
A 类地址(网络号 8 位,0 开始),B 类地址(网络号 16 位,10 开始),C 类地址(网络号 24 位,110 开始),D 类地址(组播地址,1110 开始),E类地址(保留地址,11110 开始)。
2、子网划分
将一个网络划分成多个子网(取部分主机号当子网号,计算主机个数时注意去除全 0 网络号全 1 广播地址不能作为主机 IP)。
| IP | 说明 |
| 127 网段 | 回播地址,本地环回地址 |
| 主机号非全 0 和非全 1 | 可作为子网中的主机号使用 |
| 主机号全 0 地址 | 代表这个网络本身,可作为子网地址使用 |
| 主机号全 1 地址 | 特定子网的广播地址 |
| 169.254.0.0 | 保留地址,用于 DHCP 失效(Win) |
| 0.0.0.0 | 保留地址,用于 DHCP 失效(Linux) |
3、IPv6
IPv6 是设计用于替代(IPv4)的下一代 IP 协议。
(1)IPv6 地址长度为 128 位,地址空间增大了 296倍;
(2)灵活的 IP 报文头部格式。
(3)IPv6 简化报文头部格式,字段只有 8 个;
(4)提高安全性。身份认证和隐私权是 IPv6 的关键特性;
(5)支持更多的服务类型;
(6)允许协议继续演变,增加新的功能,使之适应未来技术的发展。
4、Internet服务
Internet IP可支持65535种服务,这些服务使通过各端口到名字实现的逻辑连接。端口分2类:一类是已知端口或公认端口,端口号为0~1023;另一类是1024~65535
(1)DNS域名服务
域名地址::IP地址
使用UDP协议,端口号:53
DNS 查询顺序
| 浏览器输入域名 | HOSTS→本地 DNS 缓存→本地 DNS 服务器→根域名服务器→顶级域名服务器→权限域名服务器。 |
| 主域名服务器接收到域名请求 | 本地 DNS 缓存→根域名服务器 |
(2)Telnet远程登录服务
使用TCP协议,端口号:23
(3)SMTP电子邮件服务
SMTP、POP3协议
使用TCP协议,SMTP端口号:25;POP3端口号:110
(4)WWW服务
应用层协议
(5)FTP文件传输服务
采用TCP协议,两条线:控制连接,端口号:21;数据连接,端口号:20
(6)DHCP
分配方式:固定分配、动态分配和自动分配。
无效地址:169.254.X.X (windows)和 0.0.0.0(Linux)。
5、考点补充
(1)广播地址
单播地址:用于单个接口的标识符。
任播地址:泛播地址。一组接口的标识符,IPv4 广播地址。
组播地址:IPv6 中的组播在功能上与 IPv4 中的组播类似。
(2)IP4/IP6过渡技术
(1)双协议栈技术:双栈技术通过节点对 IPv4 和 IPv6 双协议栈的支持,从而支持两种业务的共存。
(2)隧道技术:隧道技术通过在 IPv4 网络中部署隧道,实现在 IPv4 网络上对IPv6 业务的承载,保证业务的共存和过渡。隧道技术包括:6 to 4 隧道;6over4 隧道;ISATAP 隧道。
(3)NAT-PT 技术:NAT-PT 使用网关设备连接 IPv6 和 IPv4 网络。当 IPv4 和IPv6 节点互相访问时,NAT-PT 网关实现两种协议的转换翻译和地址的映射。
IPv6 地址压缩:高位 0 可省略(多次);整段 0 可缩写为 1 个 0(多次);连续多段 0 可缩写为双冒号(一次)。
五、信息安全基础知识
1、信息安全5个基本要素
- 机密性:确保信息不暴露给未授权的实体或进程。
- 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
- 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
- 可控性:可以控制授权范围内的信息流向及行为方式。
- 可审查性:对出现的信息安全问题提供调查的依据和手段
2、计算机信息系统安全保护等级
1999年9月13日发布《计算机信息信息安全保护等级划分准则》
- 用户自主保护级
- 系统审计保护级
- 安全标记保护级
- 结构化保护级
- 访问验证保护级
3、数据加密
【1】 对称加密与非对称加密
对称加密:加密与解密使用同一秘钥。
特点: 1、加密强度不高,但效率高; 2、密钥分发困难。
常见对称密钥加密算法:DES、3DES(三重 DES) RC-5、IDEA、AES 算法。
非对称加密:密钥必须成对使用(公钥加密,相应的私钥解密)。
特点:加密速度慢,但强度高。
常见非对称密钥加密算法:RSA、ECC。
【2】 信息摘要与数字签名
数字签名:发送者使用自己的私钥对摘要签名,接收者利用发送者的公钥对接收到的摘要进行验证。【私钥签名,公钥验证】****
常见的摘要算法:MD5(128 位),SHA(160 位)。
【3】数字证书
1、数字证书的内容包括:CA 签名、用户信息(用户名称)、用户公钥等。
2、证书中的 CA 签名验证数字证书的可靠性。
3、用户公钥:客户端利用证书中的公钥加密,服务器利用自己的私钥解密。
六、网络安全概述
网络安全控制技术目前有防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。
1、防火墙技术
防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段。
主要机制是防外不防内,对于 DMZ 非军事区主要放置应用服务器(如邮件服务器,WEB 服务器)。
2、入侵检测技术IDS
IDS 的主要功能包括对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪,以及违反安全策略的用户行为的检测等。入侵检测通过实时地监控入侵事件,在造成系统损坏或数据丢失之前阻止入侵者进一步的行动,使系统能尽可能的保持正常工作。与此同时,IDS 还需要收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
基于数据源的分类——审计功能、记录安全性日志。
基于检测方法——异常行为检测。
3、常见的攻击行为
被动攻击:收集信息为主,破坏保密性。
主动攻击:主动攻击的类别主要有:中断(破坏可用性),篡改(破坏完整性),伪造(破坏真实性)。
| 攻击类型 | 攻击名称 | 描述 | |
| 被动攻击 | 窃听(网络监听) | 用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。 | |
| 被动攻击 | 业务流分析 | 通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从而发现有价值的信息和规律。 | |
| 非法登录 | 有些资料将这种方式归为被动攻击方式。 | ||
| 主动攻击 | 假冒身份 | 通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。 | |
| 抵赖 | 这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。 | ||
| 旁路控制 | 攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。 | ||
| 重放攻击 | 所截获的某次合法的通信数据拷贝,出于非法的目的而被重新发送。 | ||
| 拒绝服务 | 对信息或其他资源的合法访问被无条件地阻止。 |
七、总 结
笔记总结不易,如果喜欢,请关注、点赞、收藏。
完整笔记下载地址:(后续完成后更新)
基础精讲课件地址:(请关注、点赞、收藏后,私信我)
基础精讲视频地址:(请私信我)
