十、网络与信息安全基础知识

1 网络概述

1.1 计算机网络的概念

1.1.1 计算机网络的发展

计算机网络的发展经历了四个主要阶段：

具有通信功能的单机系统：
- 早期形式：一台计算机连接多个终端。
- 例子：20 世纪 50 年代的 SAGE 系统。
具有通信功能的多机系统：
- 形式：增加前端处理机处理通信任务。
- 功能：预处理作业，集中器收集终端数据后高速传输到主机。
以资源共享为目的的计算机网络：
- 形式：多台计算机互联，实现资源共享。
- 例子：ARPANET，奠定现代网络基础。
- 结构：主计算机直接相连或通过通信处理机相连。
- 贡献：实现分布式资源共享。
以局域网及因特网为支撑环境的分布式计算机系统：
- 特点：继承分组交换技术和计算机 I/O 总线结构。
- 影响：促使网络模式从集中式转为分布式，支持多种资源的共享。

1.1.2 计算机网络的功能

数据通信：实现地理位置分散的单位和部门的集中控制与管理，支持电子邮件、新闻发布和电子数据交换。
资源共享：包括软件和硬件资源共享，提高资源利用率。
负载均衡：集中处理数据或分布式处理任务，均衡负载，避免单机过载。
高可靠性：计算机互为备份，提高系统可靠性。

通信子网和资源子网

通信子网：负责数据传输和通信处理，对应 OSI 模型的低三层（物理层、数据链路层、网络层）。
资源子网：负责数据处理和资源提供，对应 OSI 模型的高三层（会话层、表示层、应用层）。

这种划分使得通信子网专注于数据传输，资源子网专注于数据处理，提高了网络的整体性能。

1.2 计算机网络的分类

按照覆盖范围分类：

局域网 (LAN)
- 范围：通常在 10m 到 1000m 内，覆盖房间、楼层或校园。
- 速率：4Mbps～1Gbps。
- 特点：高带宽、低误码率、简单拓扑、易管理。
城域网 (MAN)
- 范围：覆盖城市，约 10km。
- 速率：50Kbps～100Mbps。
- 特点：连接多个局域网，提供高速数据传输。
广域网 (WAN)
- 范围：覆盖国家或全球，通常 100km 以上。
- 速率：9.6Kbps～45Mbps。
- 特点：低带宽、高延迟、复杂拓扑。

1.3 网络的拓扑结构

常见的网络拓扑结构包括：

总线型
- 特点：单通路、广播式、易于扩展、抗干扰能力弱。
星型
- 特点：中心节点连接所有设备、易于管理、可靠性高、资源利用率低。
环型
- 特点：节点首尾相连、路径简单、可靠性高、扩展性差。
树型
- 特点：分级结构、易于扩展、部分节点故障不影响全网。
分布式
- 特点：多路径连接、高可靠性、资源共享好、管理复杂、硬件成本高。

广域网与局域网所使用的网络拓扑结构有所不同，广域网多用分布式或树型结构。

1.4 ISO/OSI 网络体系结构

1.4.1 ISO/OSI 参考模型

ISO/OSI（Open Systems Interconnection）参考模型定义了网络通信的七层结构，从低层到高层依次为：

物理层（Physical Layer）：处理物理介质上的信号传输，定义物理接口、电缆和连接器的标准。
数据链路层（Data Link Layer）：负责节点间的可靠数据传输，提供 MAC 地址，检测和纠正传输错误。
网络层（Network Layer）：管理网络寻址和数据包路由，选择最佳路径传输数据。
传输层（Transport Layer）：确保端到端的数据完整性，支持面向连接（TCP）和无连接（UDP）通信。
会话层（Session Layer）：管理会话的建立、维护和终止，协调通信方向。
表示层（Presentation Layer）：处理数据格式转换、加密和压缩，确保数据在不同系统间的可读性。
应用层（Application Layer）：提供网络服务和应用程序接口，如 HTTP、FTP 和 SMTP。

OSI 模型的每一层都为相邻层提供服务，并且依赖于下一层所提供的服务。这种分层的方法有助于简化网络通信的复杂性，并促进不同系统之间的互操作性。

1.4.2 参考模型的信息流向

信息在发送方从应用层向下传递，每层添加协议控制信息（如头部），直到物理层发送。接收方则从物理层向上逐层处理数据，剥离各层的头部，最终将原始数据传递给应用层。

2 网络互连硬件

2.1 网络的设备

2.1.1 网络传输介质互连设备

网络线路与用户节点具体连接时，需要网络传输介质的互连设备。比如收发器、RJ-45、网络接口单元和调制解调器等。

2.1.2 物理层互连设备

中继器

中继器（Repeater）工作在物理层，用于延长网络距离，恢复和整形信号。它连接相同的局域网段，理论上可无限延长传输距离，但实际受时延和衰耗限制。例如，以太网中最多使用4个中继器，最远传输距离不超过500m，总路径不超过1500m。中继器安装简便、使用方便、价格便宜。

集线器

集线器（Hub）是一种多口中继器，具有信号放大功能。它分为无源、有源和智能集线器：

无源集线器：仅连接介质，不处理信号，每段介质长度减半。
有源集线器：再生和放大信号，扩展介质长度。
智能集线器：具备有源功能，还集成网络管理等功能。

2.1.3 数据链路层互连设备

网桥

网桥（Bridge）工作在数据链路层，连接两个局域网段，通过 MAC 地址过滤帧。若目的地址不在当前网段，帧被转发；否则被丢弃。网桥可隔离网络故障，提高通信效率。

交换机

交换机（Switch）依 MAC 地址快速转发数据，性能优于网桥。它支持多种交换技术：

端口交换：在端口间分配、平衡负载。
帧交换：读帧前14字节，快速转发。
信元交换：固定长度信元交换。

2.1.4 网络层互连设备

路由器（Router）工作在网络层，连接多个逻辑网络，选择最佳传输路径。它维护路径表记录网络逻辑地址，转发数据包时重新打包。路由器支持多种功能，如过滤、存储转发和流量管理，但处理速度较网桥慢。

2.1.5 应用层互连设备

网关（Gateway）工作在应用层，用于连接协议差异大的网络，进行协议转换和数据重组，支持有限协议转换。

2.2 网络的传输介质

网络传输介质分为有线介质和无线介质。

2.2.1 有线介质

双绞线：
- 屏蔽双绞线（STP）和非屏蔽双绞线（UTP）。
- 常见类型：3 类、4 类、5 类、超 5 类、6 类，最高频率 100MHz、250MHz、600MHz。
- 应用：10Base-T 和 100Base-T 以太网，最大段长 100m，通过集线器最多连接 60 多台计算机。
同轴电缆：
- 分为基带同轴电缆（50Ω）和宽带同轴电缆（75Ω）。
- 基带同轴电缆用于数字信号传输，分粗缆和细缆。
- 优点：易安装、价格低；缺点：维护不便，受干扰明显。
光纤：
- 优点：轻量、体积小、抗电磁干扰、保密性好、带宽大、传输距离长。
- 多模光纤和单模光纤，多模光纤成本低、性能差，单模光纤反之。

2.2.2 无线介质

微波：频率范围 2～40GHz，视距传播，需中继站补盲，抗干扰强，稳定性高。
红外线和激光：视距传播，单向，无电磁干扰，但受环境影响大。
卫星：覆盖范围广，可全球通信，但存在传播延迟和天气干扰。

2.3 组建网络

组建网络需考虑服务器、客户机、网络设备、通信介质和网络协议等要素，涉及局域网、城域网、广域网和网络接入等不同场景，常用地面线连成环状提高可靠性。

网络组建的基本要素

服务器：网络核心设备，可分为文件服务器、打印服务器和通信服务器
客户端：用户工作站点，包含用户计算机和网络接口设备。
网络设备：包括网卡、收发器、中继器、集线器、网桥和路由器等。
通信介质：数据传输的物理媒介，如双绞线、同轴电缆、光纤等。
网络软件：包括底层协议软件和网络操作系统（NOS）。

3 网络的协议与标准

3.1 网络的标准

3.1.1 电信标准

国际电信联盟（ITU）成立于 1865 年，1947 年成为联合国的一个组织，由 ITU-R、ITU-T 和 ITU-D 三部分组成：

ITU-R：确保无线电频率和卫星轨道的合理利用。
ITU-T：制定电信标准，如 V 系列（调制解调器标准）和 X 系列（广域网标准）。
ITU-D：促进第三世界国家的电信发展。

3.1.2 国际标准

国际标准化组织（ISO）成立于 1946 年，负责制定各种国际标准，如 OSI 参考模型。其他标准化组织包括：

ANSI：美国国家标准研究所，设计 ASCII 码。
NIST：美国国家标准和技术研究所。
IEEE：电气和电子工程师协会，制定 IEEE 802 系列局域网标准。
EIA：电子工业协会，制定 RS-232C 接口标准。

3.1.3 Internet 标准

Internet 标准由民间组织 ISOC（Internet Society）协调管理，通过 RFC（Request For Comments）文档发布。IAB（Internet Architecture Board）负责整体管理。

3.2 局域网协议

3.2.1 LAN 模型

ISO/OSI 的 7 层参考模型在局域网中主要定义了物理层和数据链路层。数据链路层进一步划分为逻辑链路控制（LLC）子层和介质访问控制（MAC）子层。

物理层：处理物理介质上的信号传输。
MAC 子层：控制对传输介质的访问。
LLC 子层：提供逻辑链路管理、差错控制等功能。

3.2.2 IEEE 802 系列标准

IEEE 802.3 —— 以太网

CSMA/CD 机制：载波监听多路访问/冲突检测，用于解决介质访问竞争。
主要标准
- 10Base5：粗同轴电缆，最大距离 500m。
- 10Base2：细同轴电缆，最大距离 185m。
- 10Base-T：非屏蔽双绞线（UTP），最大距离 100m。
- 100Base-TX：两对 5 类 UTP，传输速率 100 Mbps。
- 100Base-T4：三对 3 类 UTP，传输速率 100 Mbps。
- 1000Base-LX：单模光纤，传输速率 1000Mbps，最大距离 550m。
- 1000Base-SX：多模光纤，传输速率 1000Mbps，最大距离 220m。
- 1000Base-T：4 对 5 类 UTP，传输速率 1000Mbps，最大距离 100m。

IEEE 802.5 —— 令牌环网

采用令牌传递机制，适用于环形网络拓扑结构。

FDDI —— 光纤分布式数据接口

传输介质为光纤，速率可达 100Mbps，环路长度可达 200km。
使用 4B/5B 编码，具有高可靠性和稳定性。

无线局域网（CSMA/CA）

采用 CSMA/CA（载波监听多路访问/冲突避免）机制。

3.3 广域网协议

点对点协议（PPP）

特点：简单易用，适合家庭拨号上网。
工作方式：利用调制解调器在电话线上传输数据。
其他方式：ASDL 接入方式中使用 PPPoE 和 PPPoA 用于以太网和ATM 网络。

数字用户线（xDSL）

ADSL：上行速率 2-8 Mbps，下行速率 64-640Kbps，适合家庭用户。
安装：需安装ADSL Modem和分离器，电话和上网互不干扰。
应用：支持视频点播、网上游戏、远程医疗等多媒体服务。

数字专线（DDN）

特点：提供高质量、安全的数据传输服务。
网络结构：以光纤为主干，采用分层星型拓扑。
应用：适合对数据传输质量要求高的企业。

帧中继（FR）

特点：高效的分组交换技术，适合突发数据传输。
工作方式：以帧为单位传输数据，支持多路复用。

异步传输模式（ATM）

特点：高速、低延迟、支持多种业务类型。
工作方式：将数据分成固定长度的信元进行传输。
应用：适用于需要高带宽和实时性的应用。

X.25 协议

特点：基于分组交换的网络协议，提供可靠的数据传输。
网络结构：由高层、分组层、数据链路层和物理层组成。
应用：适合对数据传输可靠性要求高的场景。

3.4 TCP/IP 协议族

TCP/IP 协议族包含多个基本特性，主要体现在 5 个方面：逻辑编址、路由选择、域名解析、错误检测和流量控制以及对应用程序的支持。

3.4.1 TCP/IP 分层模型

TCP/IP 分层模型由 4 个层次构成，对应 OSI 模型的多层功能：

应用层

功能：提供网络服务，如文件传输（FTP）、电子邮件（SMTP）、域名解析（DNS）和远程终端（Telnet）。
协议：HTTP、FTP、SMTP、DNS、Telnet。

传输层

功能：提供端到端的通信服务，确保数据可靠传输。
协议：TCP（面向连接，可靠传输）、UDP（无连接，不可靠传输）。

网际层（IP 层）

功能：处理 IP 数据包的路由和寻址。
协议：IP（互联网协议）、ICMP（互联网控制消息协议）、ARP（地址解析协议）、RARP（逆地址解析协议）。

网络接口层

功能：管理物理网络接口，处理数据帧的发送和接收。
协议：以太网、令牌环、FDDI、ARCnet、PPP/SLIP。

3.4.2 协议功能详解

3.4.2.1 网络接口层

网络接口层负责与物理网络接口交互，支持多种局域网和广域网技术，如以太网和 PPP。

3.4.2.2 网际层

IP 地址：逻辑地址，用于唯一标识网络上的设备。
子网掩码：区分网络地址和主机地址。
ICMP（Internet 控制信息协议）：用于发送错误和控制消息。ping 工具就是利用 icmp 报文进行网络是否可达测试。
ARP 和 RARP：地址解析（IP 转 mac 地址）和反向地址解析（mac 转 IP）。

ARP（Address Resolution Protocol，地址解析协议）是一个网络层协议，用于将网络层的IP地址解析为数据链路层的MAC地址。这样，数据包就可以在局域网中通过物理地址进行传输。

RARP（Reverse Address Resolution Protocol）。RARP的工作机制与 ARP 相反，它用于将 MAC地址解析为 IP 地址。这在某些特定场景下非常有用。然而，RARP 协议现在已经很少使用，主要是因为它的局限性和安全性问题。DHCP（Dynamic Host Configuration Protocol）协议通常被用来替代 RARP，因为 DHCP 不仅能够提供IP地址，还能提供子网掩码、默认网关、DNS 服务器等更多的网络配置信息，并且支持更灵活的地址分配策略。

3.4.2.3 传输层

TCP（传输控制协议）：提供可靠的、面向连接的服务，通过三次握手建立连接。
UDP（用户数据报协议）：提供简单的、无连接的服务，适用于对速度要求高的应用（DNS、SNMP）。

3.4.2.4 应用层

应用层协议支持各种网络服务，如 HTTP、FTP 和 DNS，帮助用户实现文件传输、邮件发送和域名解析等功能。

4 Internet 及应用

4.1 Internet 概述

Internet 概念：全球最大的计算机网络，逻辑统一但物理上由不同网络互连而成。
主要功能：数据传输、信息交换、资源共享。
应用领域：科学研究、教育、金融、商业、军事等。
发展起源：源于美国 ARPANET，采用 TCP/IP 协议。
网络分类：包含各种类型的网络，如主干网（CHINANET、CERNET）。
管理组织：无集中管理机构，由 Internet 学会等组织协调。

4.2 Internet 地址

Internet 地址用于唯一标识 Internet 上的每一台计算机和用户，便于在全球范围内进行数据传输和信息交换。Internet 地址主要有 IP 和域名两种格式。

4.2.1 域名

概念：是用户友好的主机名称，由多个部分组成，各部分之间用点分隔。
结构：通常由计算机主机名、本地名、组名和最高层域名组成。
最高层域名：分为组织性顶级域名（如 .com、.net）和地理性顶级域名（如 .cn）。
域名管理机构
- IANA（Internet Assigned Numbers Authority）：负责全球 IP 地址和域名的分配与管理。
- ICANN（Internet Corporation for Assigned Names and Numbers）：负责域名系统的管理与协调。

4.2.2 IP 地址

4.2.2.1 IP 地址的结构与分类

IP 地址：是网络层地址，用于标识网络上的设备。
结构：由 4 个字节（32 位）组成，每个字节用十进制表示，范围 0-255，各部分之间用点分隔（如 192.168.1.1）。
分类：分为 A、B、C、D、E 五类，前三位标识地址类型。

4.2.2.2 各类 IP 地址的特点

地址类	网络地址部分（位数）	主机地址部分（位数）	子网掩码（默认）	适用场景
A 类	7	24	255.0.0.0	大型网络（如跨国公司）
B 类	14	16	255.255.0.0	中型网络（如企业）
C 类	21	8	255.255.255.0	小型网络（如家庭、办公室）
D 类	28	-	1110xxxxxx	组播地址
E 类	28	-	1111xxxxxx	保留地址

4.2.2.3 子网掩码

定义：用于区分 IP 地址中的网络部分和主机部分。
默认子网掩码
- A 类：255.0.0.0
- B 类：255.255.0.0
- C 类：255.255.255.0

4.2.2.4 子网划分

可变长子网掩码（VLSM）：允许使用不同大小的子网掩码进行子网划分，提高 IP 地址的利用率。
示例：将 B 类地址 172.16.3.4 划分为子网，子网掩码可设为 255.255.255.0，表示前 24 位为网络地址，后 8 位为主机地址。

4.2.3 NAT 技术

NAT（网络地址转换）技术通过在子网内部使用本地地址，在子网外部使用少量全局地址，解决 IP 地址短缺问题。路由器执行地址转换。

4.2.4 IPv6 简介

优势

地址空间大：128 位地址，彻底解决 IPv4 地址不足问题。
高效路由：采用分级地址格式，提高路由效率。

数据包格式

基本首部：40 字节，包含版本号、通信类型、流标号、有效载荷长度、下一个首部和跳数限制。
扩展首部：可选，用于特殊功能。

地址表示

格式：冒号分隔的十六进制表示法（如 686E:8C64::1180:96A:FFFF）。
0 压缩：连续 0 可用双冒号（最多只能用 1 次）表示（如 FF05::B3）。

4.3 Internet 服务

域名服务

DNS：分布式域名解析系统，将域名映射到 IP 地址。
工作原理：用户查询域名，本地域名服务器向上级域名服务器请求，最终获取 IP 地址并返回给用户。
端口：UDP 53 端口。

远程登录服务

Telnet：基于 TCP/IP 的协议，允许用户远程访问和控制其他计算机。
端口：Telnet 一般使用 TCP 端口 23。

电子邮件服务

协议：SMTP（发送邮件）、POP3（Post Office Protocol version 3，用于接收邮件）、IMAP（Internet Message Access Protocol）同样用于收邮件。
端口：SMTP 使用 TCP 端口 25，POP3 使用 TCP 端口 110。

WWW（万维网）服务

HTTP：超文本传输协议，用于 Web 服务器和浏览器之间的通信。
URL：统一资源定位符，用于定位 Web 上的资源。
端口：HTTP 使用 TCP 端口 80，HTTPS 使用 TCP 端口 443。

文件传输服务

FTP：文件传输协议，用于在计算机之间传输文件。
端口：控制连接使用 TCP 端口 21，数据连接使用 TCP 端口 20。
匿名 FTP：允许用户以匿名方式访问公共文件资源。

5 信息安全基础

1. 信息安全存储安全

信息安全包含五个基本要素：机密性（防止信息泄露）、完整性（防止信息篡改）、可用性（确保信息可访问）、可控性（控制信息传播）和可审查性（追踪信息访问者）。

安全措施

用户标识与验证：采用签名法、指纹识别、智能卡等技术验证用户身份。
用户存取权限限制：通过隔离控制法和权限控制法，限制用户的操作权限。
系统安全监控：监控系统活动，检测未授权访问，记录用户行为。
计算机病毒防治：安装杀毒软件，定期检查文件，使用强密码，避免下载未知文件。

5.2 计算机信息安全保护等级

用户自主保护级：用户可自主保护数据，系统提供基本安全机制（对应TCSEC 的 C1 级）。
系统审计保护级：增加审计功能，记录并追溯用户行为（对应 TCSEC 的 C2级）。
安全标记保护级：引入安全标记，增强访问控制（B1）。
结构化保护级：基于安全策略模型，强化系统保护（B2）。
访问验证保护级：严格访问控制，确保高安全性（B3）。

5.3 数据加密原理

数据加密使用加密算法 E 和密钥 K 将明文 P 加密为密文 C = E(K, P)，确保信息传输安全。接收方使用解密算法 D 和密钥 K 恢复明文 P = D(K, C)。、

6 网络安全概述

6.1 网络安全威胁

网络安全威胁主要体现在以下五个方面：

非授权访问：未经许可访问网络资源。
信息泄露或丢失：数据被窃取或丢失。
破坏数据完整性：数据被篡改或删除。
拒绝服务攻击：使网络服务无法正常运行。
利用网络传播病毒：通过网络传播计算机病毒。

6.2 网络安全技术

为应对网络安全威胁，常用以下技术：

防火墙技术：过滤进出网络的数据包，防止未授权访问。
加密技术：保护数据机密性和完整性。
用户识别技术：验证用户身份，如密码、指纹识别。
访问控制技术：限制用户对资源的访问权限。
防病毒技术：检测和清除计算机病毒。
网络安全扫描技术：扫描网络漏洞。
入侵检测技术：监测并响应网络入侵行为。

6.3 防火墙技术

防火墙是网络安全的第一道防线，主要类型包括：

包过滤防火墙：根据数据包的 IP 地址、端口号等信息进行过滤。
应用代理防火墙：通过代理服务器中介访问外部网络。
状态检测防火墙：结合包过滤和应用代理的优点，提高安全性和效率。

6.4入侵检测与防御

入侵检测系统（IDS）：监测网络或系统活动，检测潜在入侵行为。
入侵防御系统（IPS）：在检测到入侵时主动采取措施进行防御。

7 加餐和总结

SSH 为 Secure Shell 的缩写，SSH 为建立在应用层和传输层基础上的安全协议。专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

网络攻击相关知识

跨站脚本（cross-site scripting, XSS），一种安全攻击，其中攻击者在看上去来源可靠的链接中恶意嵌入译码。利用的是用户对指定网站的信任，它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。不影响服务的提供。
拒绝服务，对信息或其它资源的合法访问被无条件地阻止，会让服务器拒绝提供服务。
信息篡改，指主动攻击者将窃听到的信息进行修改（如删除或替代部分或者全部信息）之后再将信息传送给原本的接受者。与提供服务无关。
口令猜测，攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。与提供服务无关。
CSRF 或者 XSRF，跨站请求伪造是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。利用的是网站对用户网页浏览器的信任。
SQL 注入攻击，通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。其首要目的是获取数据库访问权限。

网络安全协议