计算机网络概述
- 计算机网络主要功能:数据通信、资源共享、负载均衡、高可靠性
-
计算机网络分类:
1)按通讯距离:广域网、局域网、城域网
2)按信息交换方式:电路交换网、分组交换网、综合交换网
3)按网络拓扑:星型网、树形网、环形网、总线网、树形、分布式
4)按通信介质:双绞线网、同轴电缆、光纤、卫星
5)按使用范围:公共网、专用网
6)按通信传播方式:广播式、点对点式
-
广域网、局域网、城域网
1)局域网:指传输距离有限,传输速度高,以共享网络资源为目的的网络系统。特点:分布范围有限;较高带宽,传输速度快;数据传输可靠,误码率低;网络控制趋于使用分布式;拓扑简单
2)城域网:规模介于局域网和广域网之间的较大范围的高速网络
3)广域网:指覆盖范围广、传输效率相对低,以数据通信为主要目的的数据通信网。特点:分布范围广;数据传输率低;数据传输可靠性随传输介质不同而不用;拓扑结构复杂
网络硬件基础
| 物理设备 | OSI模型 | 传输的数据单位 | 主要功能 |
|---|---|---|---|
| 中继器 | 物理层 | 位(比特流) | 实现局域网网段互连的,用于扩展局域网网段的长度 |
| 集线器 | 物理层 | 位(比特流) | 多路中继器 |
| 网桥 | 数据链路层 | 帧 | 连接两个不同的网段,对帧进行过滤和转发 |
| 二层交换机 | 数据链路层 | 帧 | 多端口网桥,按物理地址对帧进行数据转发 |
| 三层交换机 | 数据链路层/网络层 | 帧/数据包 | 在二层交换机的基础上增加了部分网络层的功能 |
| 路由器 | 网络层 | 数据包 | 连接不同的子网,根据IP地址进行路由选择与数据的分组交换 |
| 网关 | 应用层 | 报文 | 进行协议转换,可以使不同类型的网络系统之间进行通信 |
- 物理层互联设备:中继器、集线器
- 数据链路层互联设备:网桥、交换机(三种交换技术:端口交换、帧交换、信元交换)
- 网络层互联设备:路由器
- 应用层互联设备:网关
- 网络层地址信息叫做网络逻辑地址,数据链路层地址信息叫做物理地址
网络协议与标准
- Internet标准的特点是自发而非政府干预的,管理松散,每个分散网络均有各自分别管理
- 局域网的基本组成:网络服务器、网络工作站、网络适配器、传输介质
- 决定局域网特性的主要技术有三个方面
1)用以传输数据的传输介质
2)用以连接各种设备的拓扑结构
3)用于共享资源的介质访问控制方式 - 局域网协议包括:LAN模型、以太网、令牌环网、FDDI
- 广域网协议包括:点对点协议、数字用户线、数字专线、X25协议
- TCP/IP协议簇基本特性:逻辑编址、路由选择、域名解析、错误检测和流量控制以及对应用程序的支持
-
TCP/IP分层模型组成:应用层、传输层、网际层、网络接口层、硬件层
- 网际层协议ICMP的功能有:通告网络故障、通告网络拥堵、协助解决故障
- 传输层协议TCP实现可靠性手段:重发、三次握手
1.重发:发送方启用一个定时器,然后将数据包发出,当接收方接收到信息就给发送发一个确认信息,如果发送方在定时器到点前未收到确认信息,就重发数据包
2.TCP建立三次握手过程:
1)源主机发送一个同步标记位为1的TCP数据包,表示想与目标主机进行通信,并发送一个同步序列号(如SEQ-200)进行同步。
2)目标主机愿意进行通信,则响应一个确认(ACK位置1),并以下一个序列号为参考进行确认(如 201)。
3)源主机以确认来响应目标主机的TCP包。这个确认中包括它想要接收的下一个序列号(该帧可以含有发送的数据)。至此连接建立完成。
- 传输层协议UDP:错误检测能力弱,在网络十分可靠的情况下可以使用UDP以很小的信号量提供传输的高速率性。主要作用是将UDP信息展示给应用层,不负责重发丢失数据或输出数据,相关数据问题需要应用程序自己处理。
Internet基础知识
- Internet地址格式:
1)域名格式组成:计算机主机名.本地名.组名.最高层域名(如果一个主机所在的网络级别比较高,可能只有三部分组成:本地名.组名.最高层域名)
最高层域名:国家或地区名称,如.cn
组名:组织类型,如.edu
本地名:组织名称
计算机主机名:分组织名称和计算机名称
2)IP地址格式:有两种表示方式,二级制和十进制;
- Internet服务:域名服务,远程登录服务,电子邮件服务,www服务,文件传输服务
-
URL格式:协议://主机.域名[:端口号]/路径/文件名
- https是一种通过计算机网络进行安全通信的传输协议,经由http进行通信,利用SSL/TLS建立全信道,加密数据包。https使用的主要目的是提供对网站服务器器的身份认证,同时保存交换数据的隐私与完整性。
信息安全基础知识
- 信息安全5个基本要素:机密性、完整性、可用性、可控性、可审查性
1)机密性:确保信息不暴露给未授权的实体或进程
2)完整新:只有得到允许的人才能修改数据,并且能够判别数据是否已经被篡改
3)可用性:得到授权店额实体在需要时可以访问数据,即攻击者不能占用所有资源而阻塞授权者工作
4)可控性:可以控制授权范围内的信息流向和行为方式
5)可审查性:对出现的信息安全问题提供调查的依据和手段 - 信息存储安全包括:信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。
1)用户的标识与验证:基于人的物理特征识别(签名识别、指纹识别、语音识别)、基于用户所用有的特殊安全物品识别(智能IC卡、磁条卡)
2)用户存取权限限制:隔离控制法、限制权限法(对用户进行的分类管理,安全密级授权)
网络安全概述
- 防火墙技术:防火墙技术经历了包过滤,应用代理网关和状态检测技术三个发展阶段。
1)包过滤防火墙:包过滤器处在网络层和数据链路层(即 TCP 和层)之间。通过检查模块,防火墙能够拦截和检查所有出站和进站的数据,它首先打开包,取出包头,根据包头的信息确定该包是否符合包过滤规则,并进行记录。对于不符合规则的包,应进行报警并丢弃该包。 它对用户完全透明,速度较快,不能防范黑客攻击
2)应用代理网关防火墙:应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。对数据包的检测能力比较强。缺点是难以配置、处理速度非常慢
3)状态检测技术防火墙:状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上,提高了代理防火墙的性能。状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。 - 认证分为:实体认证和消息认证
1)实体认证:识别通信对方的身份
2)消息认证:验证消息在传送或存储过程中有没有被篡改