四级网络工程师笔记-计算机网络(下)
四級網絡工程師筆記
- 前言:
- 系列博文
- 第五章 新型網絡應用
- 1. 即時通信( IM) 系統
- 2. 即時通信協議
- 3. SIP(會話初始化協議)
- 4. SIP 系統
- 5. SIP 消息
- 6. SIMPLE 協議
- 7. XMPP 系統
- 8. XMPP 系統特點
- 9. XMPP 協議
- 10. 即時通信實例
- 11. QQ 用戶登錄過程
- 12. P2P 文件共享
- 13. 文件共享實現方式
- 14. Maze 系統
- 15. 互聯網協議電視(IPTV)
- 16. 視頻點播(Video on Demand,VOD)
- 17. VOD 的服務類型
- 18. 媒體內容分發技術
- 19. VOIP 可以實現的通信方式
- 20. VoIP 系統組成
- 21. RTCP 報文
- 22. Skype
- 23. Skype 的特點
- 24. 搜索引擎組成
- 25. LAMP 網站架構
- 26. IPSec
- 第六章 網絡管理與網絡安全
- 1. 網絡管理
- 2. 網絡管理資源分類
- 3. 網絡安全管理作用
- 4. 網絡故障管理
- 5. 網絡管理的目標
- 6. 網管模型
- 7. 網管功能域
- 8. 網絡管理系統(NMS)
- 9. SNMP 協議
- 10. CMIP 協議
- 11. 網絡安全服務基本功能
- 12. 可信計算機系統評估準則(TESEC)
- 13. 信息傳輸安全
- 14. 網絡攻擊的分類
- 15. DDoS 攻擊的特征
- 16. 對稱加密與非對稱加密
- 17. 典型的對稱加密算法
- 18. 公鑰密碼基本特征
- 19. 公鑰密碼的應用領域
- 20. 典型的非對稱加密算法
- 21. 公鑰基礎設施( PKI)
- 22. 數字簽名
- 23. TCP/IP 協議安全機制
- 24. IPSec
- 25. 安全套接層(SSL)協議
- 26. SSL 協議特點
- 27. PGP 協議
- 28. 電子支付安全(SET)協議
- 29. 防火墻主要功能
- 30. 網絡防火墻構成
- 31. 入侵檢測系統的基本功能
- 32. 網絡蠕蟲
- 33. 蠕蟲和病毒的區別
- 34. 認證中心(Certification Authority,CA)
- 35. 信息存儲安全措施
- 36. Caesar 密碼加密
- 37. 密文攻擊
- 38. 背包加密算法
- 39. Blowfish 算法
- 40. RC5 算法
- 41. X.509 公共密鑰證書
- 42. 42.數字版權管理
前言:
作者在CSDN博客上開通了[網絡工程師]專欄,目的在于激勵自己堅持學習。由于是初次進行博客創作、經驗不足、可能比較粗糙,如有錯漏之處希望大家能夠指正、也歡迎大家一起交流學習。
如需查看完整學習博文(筆記)請點擊 [網絡工程師] 進行查看
系列博文
1、四級網絡工程師和四級信息安全工程師考試須知與學習方法
2、四級網絡工程師筆記-操作系統(上)
3、四級網絡工程師筆記-操作系統(中)
4、四級網絡工程師筆記-操作系統(下)
5、四級網絡工程師筆記-計算機網絡(上)
6、四級網絡工程師筆記-計算機網絡(中)
7、四級網絡工程師筆記-計算機網絡(下)
第五章 新型網絡應用
1. 即時通信( IM) 系統
? 1996 年 11 月,以色列 Mirabils 公司推出了世界上第一款即時通信軟件 ICQ(I Seek You,網絡尋呼機), 宣告了“即時通信(Instant Messaging, IM)”這一概念的誕生。
? 即時通信系統是一種基于 Internet 的通信服務, 可提供近實時的信息交換和用戶狀態跟蹤。
? 2000 年,IMPP 工作小組提交的關于即時通信系統的 RFC 草案, 獲得了 IETF 的批準, 成為正式的RFC 文件。
? IETF 批準的 RFC2778 給出了一個抽象的呈現與即時消息系統模型,描述了即時通信系統的功能, 勾勒出了即時通信系統的模型框架。
? 一個即時通信系統通常包括兩種服務
① 一種是呈現服務(Pesence srvice), 用戶之間相互訂閱并獲取彼此的狀態變更信息;
② 另一種是即時消息服務( istant message srvice), 用于用戶之間相互收發短消息。
? 即時通信系統一般釆用兩種通信模式
① 用戶/服務器模式,在用戶/服務器模式中,消息的發送和接收需要通過服務器中轉,主流的即時通信軟件的文本消息大多使用用戶/服務器模式。
② 用戶/用戶模式。消息的發送和接收采用直接的點對點的通信方式,文件傳送等大數據量業務通常使用用戶/用戶模式。
2. 即時通信協議
l 微軟 MSN釆用 MSNP協議;
? AOL 采用 OSCAR 協議;
? QQ 采用自己設計的私有協議
? 由于各廠商自己定義的協議互不開放,因此造成彼此間互不兼容,無法互聯互通。
? 即時通信開放的協議主要代表有兩個
① 一個是基于 SIP 協議框架的 SIMPLE 協議簇
② 一個是基于 JABBER 協議框架的 XMPP 協議簇。
③ SIMPLE 協議是對 SIP 協議的擴展, 以使其更好地支持即時消息服務。
④ XMPP 協議簇是基于 XML 語言定義的即時消息協議。
3. SIP(會話初始化協議)
? SIP 是 IETF 于 1999 年提出的一個信令控制協議, 主要內容在 RFC3261 中進行定義;
? SIP 協議位于應用層, 目標是方便地創建、管理和終止用戶之間的會話。
? SIP 協議主要是為 IP 網絡設計的,可以運行于 TCP、UDP、SCTP 等各種傳輸層協議之上。但是,SIP 協議本身并不關心承載網絡,因此 SIP 協議也可工作在 ATM、幀中繼等承載網中。
4. SIP 系統
SIP 用戶的地址以“SIP”開始, 后面類似于 E-mail 地址。
例如可以使用 sip:miyname@my-company.com 表示一個 SIP 用戶, 該用戶處于 mycompany.com 域中, 在 mycompany.com 域中的名字為 myname。
SIP 地址是一個全局性的地址, SIP 系統通過這種統一名字標識符定位和查詢 SIP 用戶。
按邏輯功能區分,SIP 系統由 4 種元素組成,它們是用戶代理(user agent,UA)、代理服務(proxy server)、重定向服務器(redirect server)和注冊服務器( registrar)。
? 用戶代理:
① 用戶代理由兩個部分組成:一部分是用戶代理客戶機(User Agent Client,UAC),另一部分是用戶代理服務器( User Agent Server UAS)。
② UAC 負責發起呼叫, UAS 負責接收呼叫并作出響應。
③ UAC 和 UAS 共同組成 UA,存在于用戶終端之中。
④ 用戶通過 SIP 用戶代與 SIP 系統交互,其存在的形式多種多樣,如計算機上的即時通信軟件、專用的軟電話( phone)等。
? 代理服務器:
① 代理服務器負責接收用戶代理發來的請求,根據網絡策略將請求發給相的服務器,并根據收到的應答對用戶作出響應。
② 代理服務器是一個中間元素, 既有客戶機的性質又有服務器的性質, 同時還具有名字解析能力。
③ 代理服務器分為有狀態代理服務器和無狀態代理服務器。
④ 有狀態代理服務器需要存儲接收到的請求、回送的響應和它轉發的請求,而無狀態代理服務器一旦轉發請求和響應后就忘記所有的信息。
? 重定向服務器:重定向服務器是一個規劃 SIP 呼叫路徑的服務器。
? 注冊服務器:用于接收和處理用戶端的注冊請求, 完成用戶地址的注冊。
5. SIP 消息
l 由一個起始行(start-line)、消息頭(message-header)、一個標志消息頭結束的空行 CRLF)和可選的消息體(messagebody)組成。
? 其中,消息頭由一個或多個宇段組成。
? 從客戶機到服務器的請求消息( request)
① 在請求消息中,起始行為請求行。
② 請求行中一般包括請求方法、請求的 SIP 用戶地址和 SIP 的協議版本。
③ 在 SIP 協議中有 6 種請求方法, 它們是 INVITE、ACK、OPTIONS、BYE、CANCEL 和 REGISTER。
| INVITE | 邀請用戶或服務器參加一個會話 |
| ACK | UA 向服務器證實它已經收到了對 INVITE 請求的最終響應。ACK 只和 INVITE 一起使用 |
| OPTIONS | 請求關于服務器能力的信息。如果服務器認為它能與用戶聯系,則可用一個能力集晌應 |
| BYE | 用戶終止一次會話,既可由主叫 UA 發送,也可由被叫 UA 發送 |
| CANCEL | 取消一個掛起的呼叫 |
| REGISTER | 向定位服務器注冊 UA 的相關信息 |
? 從服務器到客戶機的響應消息( response)
① 響應消息中,起始行為狀態行。
② 狀態行中一般包括 SIP 的版本號、狀態碼和一句對該狀態的文本描述信息。
6. SIMPLE 協議
? SIMPLE 協議是一組能夠提供即時消息服務的通信協議。
? 它由 IETF 的 SIMPLE 工作組制定, 基本上與 RFC2778 定義的即時消息系統模型保持一致。
? SIMPLE 協議通過對 SIP 協議進行擴展,使其支持即時消息服務。
? SIMPLE 增加了 NOTIFY、SUBSCRIBE 和 MESSAGE 方法支持即時通信。
① MESSAGE:用來發送一次性的短消息, 即尋呼機模式的即時消息。
② SUBSCRIBE:用于觀察者( watcher)向服務器訂閱其他用戶的呈現信息。
③ NOTIFY:在用戶的呈現信息發生改變時,服務器使用 NOTIFY 方法向該用戶的訂閱用戶發送呈現信息。
7. XMPP 系統
? XMPP 協議是一種基于 XML 的即時通信協議;
? XMPP 協議的系統架構沿襲了 E-mail 系統的架構;
? XMPP 系統架構主要由 3 種實體組成: XMPP 客戶、XMPP 服務器和 XMPP 網關:
① XMPP 服務器間相互通信, 形成一個由 XMPP 服務器組成的分布式網絡;
② XMPP 網關負責 XMPP 與非 XMPP 系統之間的互聯, 可以使 XMPP 客戶和非 XMPP 客戶進行通信;
③ XMPP 客戶通過 Internet 接入 XMPP 系統, 可以通過 XMPP 系統與其他客戶進行通信( 如果存在
XMPP 網關, XMPP 客戶也可以和非 XMPP 客戶進行通信)。
8. XMPP 系統特點
① 用戶/服務器中轉模式:XMPP 使用用戶/服務器通信模式, 而不是有些即時消息系統采用的用戶/ 用戶模式。從一個用戶客戶機端發給另一個用戶客戶機端的 XMPP 即時消息都必須通過服務器中轉。
② 分布式網絡系統:XMPP 的網絡體系結構與 E-mail 系統類似, XMPP 客戶和服務器組成一個分布式的網絡處理系統,即時消息和呈現信息在這些 XMPP 客戶和服務器之間傳輸。XMPP 地址和 E-mail 地址形式一樣(如 stpeter?jabber,org), 因此,從一個用戶地址即可得知該用戶所屬的 XMPP 服務器。
③ 簡單客戶機端:XMPP 的目標之一是必須支持簡單客戶機端,將復雜性從用戶端轉移到服務器端。
XMPP 系統架構要求用戶端必須支持的功能:通過 TCP 套接字與 XMPP 服務器進行通信、解析組織好的
XML 信息包、理解消息數據類型。(目前 Google 的 Google Talk 和 Jive Message 都采用 XMPP 協議)。
④ XML 數據格式:XML 是 XMPP 系統的核心, 幾乎能表述任何一種結構化數據。
9. XMPP 協議
? 尋址方案
① XMPP 通信系統具有統一的尋址方案, XMPP 用戶地址的格式必須符合 RFC2396 統一資源標識符的語法規定。
② 由于歷史原因, XMPP 地址也被稱為 JID(JabberID7Jab-ber 標識)。
③ JID 用于標識即時消息用戶和用戶連接的資源,它由域標識符、結點標識符、資源標識 3 部分組成,形如 node@domaia/resource。其中,域標識符是唯一必需的,通常表不 XMPP 服務器或 XMPP 網關,必須是一個合法的 DNS 域名; 結點標識符是一個可選項, 以“@” 符號分割放在域標識符之前。結點標識符通常是一個使用 XMPP 服務的一個用戶; 資源標識符也是一個可選的標識符, 表示具體的資源。資源標識符放在域標識符之后,并以“/”分隔。
? XML 流與 XML 節(Stanza)
① XMPP 是一套基于 XML 流的協議;
② XMPP 流中的“節”有 3 種類型,它們是消息(message)、呈現(presence)和查詢( 1/Q,Info/Query)。
③ 消息節表示傳輸的消息,其中消息的接收方、發送方可以使用 to、from 等關鍵字表明;
④ 呈現節用來表明用戶的狀態(如在線、離線等)。當用戶的狀態改變時,用戶端就會在用戶到服務器的流中插入一個呈現節,用于表明自身的狀態;
⑤ 查詢節是一種請求/響應機制。一個實體發送請求, 另外一個實體接收請求并進行響應。
10. 即時通信實例
? 騰訊 QQ、網易泡泡、新浪 UC、微軟 MSN 和雅虎 Messenger 等都曾經是非常流行的即吋通信軟件。
? 除了實時消息交換和狀態跟蹤之外,即時消息系統一般還提供一些附加功能,如音頻/視頻聊天、應用共享、文件傳輸、文件共享、游戲邀請、遠程助理、白板等。
11. QQ 用戶登錄過程
① 客戶端每次登陸時會訪問記錄上次登陸服務器的地址的記錄文件,如果成功則不會重發 DNS 請求。
② 在 QQ 通信中,用戶必須先登錄后才可以進行互相發送信息等操作。
③ QQ 聊天通信信息是加密的,每次登陸時 QQ 客戶機會向服務器獲取一個會話密鑰。
④ 客戶端會從服務器端獲得好友列表,以建立點對點的聯系。
⑤ QQ 采用的通信協議以 UDP 為主,輔以 TCP 協議。
12. P2P 文件共享
? 文件共享是指用戶主動地在網絡上分享自己主機中的文件或者目錄。
? P2P 文件共享起源于 1999 年的音樂分享網站 Napster。Napster 釆用的是集中式的對等網絡結構。
? eDonkey2000 繼承了前者共享文件系統的優點,并為文件增加了哈希( Hash)信息。
? 最初的 BT 系統需要中心服務器存放用戶的信息, 該服務器被稱為 Tracker 服務器。
? BT 系統要求文件的發布者制作一個被稱為“種子” 文件的.torrent 文件,該文件包含了 Tracker
服務器的相關信息和發布者共享文件的信息。
? 下載者通過發布者提供的種子文件連接到 Tracker 服務器, 并通過 Tracker 服務器獲取其他下載者(包括發布者)的 IP 地址和端口號。
l 下載的人越多, BT 系統提供的帶寬越大,下載速度也就越快。在后續的版本中,BT系統加入了 DHT的支持,以實現無 Tracker服務器的文件傳輸。
? 在 20 世紀 60 年代, 美國著名社會心理學家米爾格倫( Stanley Milgram)提出了“六度分隔(Six Degrees of Separation)”理論。這就是著名的“小世界假設” 。六度分隔理論為 P2P 文件共享系統中的結點的快速發現和資源快速發現提供了理論基礎。
13. 文件共享實現方式
? 如 FTP 文件共享、NFS 網絡文件系統共享、Windows 共享文件夾以及正在流行的 P2P 文件共享等。
? 在 FTP 文件共享中, 用戶將需要共享的文件傳送到 FTP 服務器,其他用戶使用該文件時需要通過
FTP 服務器進行下載;
? 在 NFS 網絡文件系統中, 用戶可以將自己主機上的文件或目錄共享出來, 其他用戶需要使用時, 只需將該文件或目錄掛接在自己的文件系統下,像使用本地文件一樣使用遠程主機上的文件;
? Windows 共享文件夾是微軟針對 Windows 系統開發的文件共享機制,它通常使用 NetBIOS 和 NetBEUI
協議將文件夾共享給其他用戶使用。
? NetBIOS 是由微軟公司開發,工作于網絡層驅動接口和傳輸層驅動接口之間,支持 254 個并發通信話路, 名字服務可以采用 UDP 協議。
14. Maze 系統
? Maze 系統是一個功能非常強大的 P2P 文件共享系統, 屬于混合式的 P2P 網絡系統。
? Maze 系統參考了 Kerberos 協議, 采用了分布式認證機制。
l 為了促使用戶更多地共享資源, Maze系統采用了 Maze 積點和 Maze星級技術。
? 該系統采用了以六度分隔理論為基礎的網絡鏈接關系, 能夠支持在線資源搜索和文件目錄視圖, 可以進行多點下載和斷點續傳,支持跨防火墻的文件共享與下載。
? Maze 系統中的用戶被稱為 Peer,每個 Peer 相當于一個傳統 FTP 服務器與一個 FTP 客戶端的結合體。整個系統除了多個 Peer 外,還包括集中式的用戶管理服務器、文件目錄服務器、索引和檢索服務器、心跳服務器。
① 用戶管理服務器實現用戶注冊與身份認證;
② 文件目錄服務器負責收集每個 Peer 共享的目錄列表并將它們存入集中式的目錄數據庫;
③ 索引和檢索服務器讀取目錄數據庫中的數據,為所有共享文件目錄建立索引并提供 XML 方式的檢索接口;
④ 心跳服務器負責維護在線用戶的列表。
15. 互聯網協議電視(IPTV)
? 用戶可以采用兩種方式使用 IPTV 服務,一種是計算機方式,另一種是網絡機頂盒加普通電視機方式。
? 電視類服務是與電視業務相關的服務,如視頻點播、直播電視和時移電視等;
? 通信類服務是指基于 IP 的語音服務、即時通信服務和電視短信服務等;
? 增值服務是指電視購物、互動廣告和在線游戲等增值類服務。
16. 視頻點播(Video on Demand,VOD)
? 視頻點播(Video on Demand, VOD)也被稱為交互式電視點播系統。
? 本質上講,VOD 是一種基于 IP 網絡的利用機頂盒作為接收終端,電視機作為顯示設備的視頻點播系統。
17. VOD 的服務類型
VOD 的服務類型分為 3種:
就近式點播電視 NVOD:在支持就近式點播電視系統中,每個視頻流間隔一定的時間就發送同樣的內容,用戶選擇距最近的某個時間起點進行收看。
真實點播電視 TV0D:真實點播電視支持即點即放,每個視頻流只為一個特定的用戶服務。
交互式點播電視 IVOD:交互式點播電視不僅可以支持即點即放,而且還可以讓用戶對視頻流進行交互式的控制。
18. 媒體內容分發技術
? 媒體內容分發網絡(Media Content Delivery Network,MCDN)技術是 IPTV 大規模應用的重要技術保障。
? MCDN 關鍵技術包含以下幾個方面。
① 內容發布:借助于索引、緩存、流分裂和組播等技術,將內容發布或投遞到距離用戶最近的遠程服務點處。
② 內容路由:是整體性的網絡負載均衡技術。內容路由技術通過內容路由器中的重定向以及媒體位置注冊機制,在多個遠程服務點上均衡用戶的請求,保證用戶請求得到最近內容源的響應。
③ 內容交換:根據內容的可用性、服務器的可用性以及用戶的背景,利用應用層交換、流分裂、重定向及寬帶媒體分發策略等技術,智能地平衡負載流量。
④ 性能管理:通過內部和外部監控系統,獲取網絡部件的狀態信息。同時,性能管理還測量內容發布的端到端性能(如包丟失率、延時時間、平均帶寬、啟動時間和幀速率等),保證網絡處于最佳的運行狀態。
⑤ IP 承載網:MCDN 充分利用高速交換、匯聚層路由轉發、接入層帶寬保障、組播路由及服務質量等
IP 網絡技術,為 IPTV 應用提供可靠 IP 網絡平臺。
19. VOIP 可以實現的通信方式
? VoIP(VoiceoverIP)也稱為 IP電話,是利用 IP網絡實現語音通信的一種通信手段,是基于IP網絡的語音傳輸技術。
? VoIP 系統可以將源用戶的電話語音數字化,通過壓縮、打包后利用 IP 網絡傳輸給目的用戶。
? 目的用戶收到數據包后,將數據解壓并還原成聲音。
? 利用VOIP可以實現的通信方式包括:PC-to-PC,PC-to-Phone,Phone-to-Phone,PC-to-Pad,Pad-to-Phone,
PC到IP網關,IP網關到 IP網關。
20. VoIP 系統組成
VoIP 系統有 4 個基本組件,它們是終端設備(Terminal)、IP 電話網關(Gateway)、網守(Gatekeeper)和多點控制單元(MultipointControlUnit,MCU)
1) 終端設備
? 終端設備是直接和用戶接觸的設備。VoIP 中的終端設備有多種類型,其中包括傳統的語音電話終端、ISDN 終端、多媒體 PC 等。
2) IP 電話網關
? IP 電話網關是 VoIP 系統的關鍵設備, 是 IP 網絡和電話網絡之間的橋粱。
IP 電話網關的基本功能如下:
① 號碼查詢
② 建立通信連接
③ 信號調制
④ 信號壓縮和解壓
⑤ 路由尋址
3) 網守
? 網守是一個中央控制實體,在 VoIP 系統中起管理作用。
? 網守是 VoIP 系統中的消息控制中心,可以進行呼叫控制、地址解析、呼叫授權、身份驗證、集中賬務和計費管理、存留呼叫詳細記錄等操作。
l 同時,網守還可以像實時網管一樣監控網絡、平衡負載、管理帶寬以及提供與現有系統的接口。
4) 多點控制單元
? 多點控制單元 MCU 的功能在于利用 IP 網絡實現多點通信, 使得 VoIP 系統能夠支持 3 個或 3 個以上端點參與的多點會議。
? MCU 通常由兩部分組成,分別是多點控制器( Multipoint Controller,MC)和多點處理器(Multipoint Processor,MP)。
? MC 主要負責呼叫信令的處理和會議的控制;
? MP 則提供多點會議中媒體流的集中處理, 主要負責混音、交換等處理工作。
21. RTCP 報文
根據所攜帶的控制信息不同, RTCP 報文分為 5 種類型,分別是 SR、RR、SEDS、BYE 和 APP。
? SR(sender report,發送者報告): 該類型報文中含有活動端的發送和接收統計信息。
? RR(receiver report, 接收者報告): 該類型報文中含有非活動端的接收統計信息。
? SDES( source description items,源描述項):該類型報文中含有對數據源的描述信息。例如,數據源的 CNAME 和 SSRC 的映射關系等。
? BYE(goodbye,離開報告): 參與者結束通信時使用該類型報文通知其他參與者。
? APP( application-specificfunctions, 特定應用): 用于特定應用功能的一類 RTCP 報文。
22. Skype
? Skype 融合了當前熱門的兩大技術——VoIP 技術和 P2P 技術,主要提供 IP 網絡電話、即時消息、文件傳輸、用戶搜尋等功能。
? Skype 還能有效地突破防火墻的限制。
① SkypeClient: SkypeClient 是 Skype 系統的客戶機端, 簡稱為 SC。
② SuperNode:SkypeNode 是 Skype 系統中的超級結點, 簡稱為 SN。在 Skype 系統中,Super-Nodc 是動態生成的,其作用就像 Internet 中的核心路由器。
③ LoginServer:LoginServer 是 Skype 系統中的登錄服務器,簡稱為 LSQLS 登錄服務器存儲著用戶的用戶名和密碼,負責用戶登錄時的合法性認證。同時,它還要負責用戶名的全局唯一性管理。
④ HostCache 簡稱為 HC, 是一個 SN 的 IP 地址和端口對的列表。它由 SC 建立, 并會經常更新。
⑤ BaddyList:BaddyList 是一個用戶的好友列表。
⑥ Encryption:加密處理。Skype 釆用了 256 位的 AES 加密算法。同時, Skype 采用 1536?2048 位的 RSA 算法對 AES 使用的對稱密鑰進行協商。
⑦ Codecs:編碼方式。Skype 米用了 GloballPSounci 公司的寬帶編碼技術 iLBC 和 iSAC。這兩種編碼技術允許頻率在 50~8000Hz 的語音通過。
⑧ Port:Skype 系統采用的端口。SC 可以使用 TCP 和 UDP 進行端口監聽,這些端口值在 SC 的連接對話框設置。在安裝客戶機端軟件時, SC 會隨機選擇一個端口號。除此之外, SC 也可以在 HTTP 的 80 端口和HTTPS 的 443 端口進行監聽。
⑨ NAT/FirewalhSC 釆用各種 STUN 和 TURN 技術來判定它在哪種類型的 NAT 和防火墻之后, 以便進行
NAT 或防火墻穿越。
23. Skype 的特點
高清晰音質:從理論上說, 使用 Skype 可以聽到人類可以聽到的所有聲音頻率,而普通電話只能聽到 300~3000Hz 以內的聲音。較寬的頻率范圍保證了高保真度的聲音品質。
高度保密性:Skype 終端之間傳送的聲音和消息都是經過加密處理的。Skype 采用 AES 加密算法, 密鑰長度為 256 位,是 AES 可選密鑰長度里最長的(因此也是最安全)。AES 的會話密鑰利用 2048 位的RSA 算法生成, 可以確保密鑰的安全性。同時, 用戶登錄時, 系統會利用用戶的私鑰進行身份驗證。
免費多方通話:Skype 支持最多 5 人的多方會議呼叫,而且所有的通話都釆用端到端加密。因此,
Skype 比較適宜于商務會談和其他會談。
24. 搜索引擎組成
搜索引擎構成一般都由 4 個部分組成,即搜索器、索引器、檢索器和用戶接口。
l 搜索器
搜索器通過逐個訪問 Internet中的 Web站點來采集 Web網頁信息,并建立該站點的關鍵字列表。人們常把搜索器建立關鍵字列表的過程稱為網絡爬行。
? 索引器
索引器的功能是理解搜索器所搜索的信息,從中抽取出索引項,用于表示文檔以及生成文檔庫的索引表。
? 檢索器
檢索器的功能是根據用戶的查詢要求在索引庫中快速檢出文檔,進行文檔與査詢的相關度評價,對將要輸出的結果進行排序。同時,檢索器還應具有某種用戶相關性反饋機制。
? 用戶接口
① 用戶接口的作用是輸入用戶查詢、顯示查詢結果、提供用戶相關性反饋機制。
② 用戶輸入接口可以分為簡單接口和復雜接口兩種:
③ 簡單接口只提供用戶輸入查詢詞的文本框;
④ 復雜接口可讓用戶對查詢進行限制,如邏輯運算(與、或、非等)、相近關系(相鄰、NEAR等域名范圍( .edu.com等)、出現位置(標題、內容等)、信息時間、長度等。
25. LAMP 網站架構
? LAMP 網站架構是目前國際流行的 Web 框架,該框架包括:Linux 操作系統,Apache 網絡服務器,MySQL 數據庫,Perl、PHP 或者 Python 編程語言,所有組成產品均是開源軟件,是國際上成熟的架構框架。
? 該架構起源于Linux 平臺,由于是開源軟件,建設成本很低。
26. IPSec
? IPSec 是為網絡層提供安全的一組協議。
? 在 IPSec 協議族中有兩個主要的協議:身份認證頭(AH)協議和封裝安全負載(ESP)協議。
? SA(安全協定)定義的邏輯連接是一個單工連接,也就是說,連接是單向的。SA 是由一個 3 元組確定的。
? ESP 頭部采用 32 位順序號字段組成。
第六章 網絡管理與網絡安全
1. 網絡管理
? 在網絡管理中,一般采用網絡管理者-網管代理模型。管理者實質上是運行在計算機操作系統之上的一組應用程序,代理位于被管理的設備內部。
? 一個管理者可以和多個代理之間進行信息交換。
? 網絡管理一般采用集中式網絡管理或者分布式網絡管理。
? 集中式網絡管理模式和分布式網絡管理模式是網絡系統在發展過程中自然形成的兩種管理模式,它們各有特點,適用于不同的網絡系統結構和不同的應用程序。
2. 網絡管理資源分類
分為硬件資源和軟件資源。
? 硬件資源是指物理介質、計算機設備和網絡互聯資源。物理介質通常是物理層設備、如網卡、雙絞線等; 計算機設備包括打印機和存儲設備及其他計算機外圍設備。常用的網絡互聯設備有中繼器、網橋、路由器、網關等;
? 軟件資源主要包括操作系統、應用軟件和通信軟件。
3. 網絡安全管理作用
采用多層防衛手段,將受到侵擾和破壞的概率降到最低、提供迅速檢測非法使用和非法入侵初始點的手段,核查跟蹤入侵者的活動、提供恢復被破壞的數據和系統的手段,盡量降低損失和提供查獲入侵者的手段。
4. 網絡故障管理
網絡故障管理包括檢測故障、隔離故障和糾正故障 3 個方面,應包括典型的功能有維護并檢測錯誤日志、接收錯誤檢測報告并作出響應、跟蹤與辨認錯誤、執行診斷測試、糾正錯誤。
5. 網絡管理的目標
? 網絡管理目標是通過合理的網絡配置與安全策略,保證網絡安全、可靠、連續與正常運行,當網絡出現異常時及時響應并排除故障;通過網絡狀態監控、資源統計與性能分析,對網絡做出及時調整與擴充,以便優化網 絡性能 。
6. 網管模型
國際標準化組織( ISO)定義的網管模型包括 4 個部分:組織模型、信息模型、通信模型與功能模型。
? 組織模型描述網管系統的組成部分與結構;
? 信息模型描述網管系統的對象命名與結構;
? 通信模型描述網管系統使用的網管協議;
? 功能模型描述網管系統的主要功能。
7. 網管功能域
? 網絡管理功能模型就是常說的網管功能域。
? 網管功能域定義的是主要的網管功能,并將這些功能劃分為 5 個部分:
① 配置管理(Configuration Management)
② 故障管理(Fault Management)
③ 性能管理(Performance Management)
④ 安全管理(Security Management)
⑤ 記賬管理(Accounting Management)
1) 配置管理
? 配置管理用于實現網絡設備的配置與管理,主要是網絡設備參數與設備之間的連接關系。
? 配置管理的主要內容包括:標識網絡中的被管對象( 表示網絡設備),識別網絡拓撲結構( 生成拓撲圖),修改設備配置(工作參數、連接關系)。
2) 故障管理
? 故障管理用于發現與解決網絡中的故障,目的是保證網絡連續、可靠地運行并提供服務。
? 故障管理的主要內容包括:故障檢測(通過輪詢機制或告警信息), 故障記錄( 生成故障事件、告警信息或日志),故障診斷(通過診斷測試或故障跟蹤),故障恢復(通過設備更換、維修或啟用冗余設備)。
3) 性能管理
? 性能管理用于測試網絡運行中的性能指標;
? 目的是檢驗網絡服務是否達到預定水平,找出已發生的問題或潛在的瓶頸,通過數據分析與統計來建立性能分析模型,以便預先報告網絡性能的變化趨勢,并為網管決策提供必要的依據。
? 性能參數包括網絡的吞吐率、利用率、響應時間、傳輸延時等。
? 性能管理可分為兩個部分:性能監控與網絡控制。其中,性能監控是指收集網絡狀態信息,網絡控
制是指為改善性能采取的措施。
4) 安全管理
? 安全管理用于保護網絡中的資源的安全,以及網管系統自身的安全性。
? 安全管理的主要內容包括:控制與維護對網絡資源的網管訪問權限,安全服務設施的建立、控制與刪除,與安全措施有關的信息分發,與安全有關的事件通知,與安全有關的網絡操作的記錄、維護與查閱等,以及網絡防病毒等。
5) 記賬管理
? 記賬管理用于監視與記錄用戶對網絡資源的使用,以及計算網絡運行成本與用戶應交費用
? 記賬管理的主要內容包括:統計網絡資源使用情況(通信量、利用率等),確定計費方法(采用包月、計時、按流量等),計算用戶賬單( 根據資源、時段、費率等),分析網絡運營成本與資費變更影響等。
8. 網絡管理系統(NMS)
? 網絡管理系統通常簡稱網管系統,它是用來實現網管功能的軟件或硬件系統。
? 從邏輯結構上來看,網管系統通常包括 3 個部分:管理對象、管理進程與管理協議
① 管理對象(Managed Object) 是經過抽象的網絡元素, 對應于網絡中具體可以操作的數據;
② 管理進程(Management Process)是負責對網絡設備進行管理與監控的軟件,它安裝在網絡中的網管工作站與各種網絡設備中。
③ 管理協議(Management Protocol)負責在網管工作站與網絡設備的管理進程之間通信,傳輸信息包括發送的操作命令與返回的操作結果。
9. SNMP 協議
? 1987 年,IETF 制定了簡單網關監控協議( Simple Gateway Monitoring Protocol,SGMP)。SGMP 是一種監控網關或路由器的協議, SNMP 協議在 SGMP 的基礎上發展起來。
① I989 年, IETF 制定 SNMP 第一個版本( snmpv1), 它是一種設計簡單、易于實現的協議,但沒有考慮安全問題;
② 1993 年,IETF 制定 SNMP 第二個版本( snmpv2),增加了操作類型與支持多種傳輸層協議,在提高安全性和更有效性地傳遞管理信息方面加以改進,具體包括提供驗證、加密和時間同步機制;
③ 1998 年,IETF 制定 SNMP 第 3 個版本( snmpv3),提供了安全性與改進的框架結構。
? SNMP 是一種應用層的網絡協議, 面向 Internet 的網管協議。
? SNMP 在傳輸層采用支持無連接服務的 UDP 協議, 在傳輸管理信息之前不需要建立連接。
? SNMP 協議采用輪詢監控方式,管理器定時向代理請求獲得管理信息,并根據返回信息判斷是否發生異常。
? SNMP 是 TCP/IP 協議族中的重要協議, 它的成功與 TCP/IP 協議是分不開的。
10. CMIP 協議
? ISO 制定的是通用管理信息服務(Common Management Information Service, CMIS)與通用管理信息協議(Common Management Information Protocol,CMIP)。
? CMIP 是基于 OSI 模型的網絡管理協議, 致力于解決異構互聯網絡中的網絡管理問題。
l CMIS/CMIP建立在 OSI模型的基礎上,兩者共同提供通用的網管服務。
l CMIP協議負責實現具體的網管操作,這些操作需使用 CMIS定義的各種服務原語。
l CMIP是一種應用層的網絡協議。
l CMIP系統包括兩個組成部分:CMIP客戶機與服務器。
l CMIP協議釆用委托監控的方式,管理者只需向代理發送監控請求,代理將會自動監視指定的管理對象,并在異常事件發生時向管理者告警。這種監控方式的特點是開銷小、反應快。
11. 網絡安全服務基本功能
網絡安全服務應該提供以下基本保障。
1) 可用性
可用性是指,盡管存在可能的突發事件(例如停電、自然災害、事故或攻擊等)情況下,網絡仍然可處于正常運轉狀態,用戶可使用各種網絡服務。
2) 機密性
機密性是指,保證網絡中的數據不被非法截獲或被非授權訪問,保護敏感數據和涉及個入隱私信息的安全。
3) 完整性
完整性是指,保證數據在網絡中傳輸、存儲的完整,數據沒有被修改、插入或刪除。
4) 不可否認性
不可否認性是指,確認通信參與者的身份真實性,防止對已發送或已接收的信息否認現象的出現。
5) 可控性
可控性是指,能夠控制與限定網絡用戶對主機系統、網絡服務與網絡信息資源的訪問和使用,防止非授權用戶讀取、寫入、刪除數據。
12. 可信計算機系統評估準則(TESEC)
? 美國國防部公布了《可信計算機系統評估準則》TCSEC,將計算機系統的安全可信度從低到高分為 D、C、B、A 四類共七個級別:D 級,C1 級,C2 級,B1 級,B2 級,B3 級,A1 級。
? (最小保護)D 級:該級的計算機系統除了物理上的安全設施外沒有任何安全措施,任何入只要啟動系統就可以訪問系統的資源和數據,如 DOS,Windows 的低版本和 DBASE 均是這一類(指不符合安全要求的系統,不能在多用戶環境中處理敏感信息)。
? (自主保護類)C1 級:具有自主訪問控制機制、用戶登錄時需要進行身份鑒別。
? (自主保護類)C2 級:具有審計和驗證機制((對 TCB)可信計算機基進行建立和維護操作,防止外部入員修改)。如多用戶的 UNIX 和 ORACLE 等系統大多具有 C 類的安全設施。
? (強制安全保護類)B1 級:引入強制訪問控制機制,能夠對主體和客體的安全標記進行管理。
? B2 級:具有形式化的安全模型,著重強凋實際評價的手段,能夠對隱通道進行限制。(主要是對存儲隱通道)
? B3 級:具有硬件支持的安全域分離措施,從而保證安全域中軟件和硬件的完整性,提供可信通道。對時間隱通道的限制。
? A1 級:要求對安全模型作形式化的證明,對隱通道作形式化的分析,有可靠的發行安裝過程。(其安全功能,依次后面包含前面的)
13. 信息傳輸安全
信息傳輸安全是指保證信息在網絡傳輸過程中不被泄露、篡改與偽造。
? 截獲信息。信息從源結點開始傳輸,中途被攻擊者非法截獲,目的結點沒有接收到該信息,因而造成信息在傳輸途中丟失。
? 竊聽信息。信息從源結點傳輸到目的結點,但是中途被攻擊者非法竊聽。
? 篡改信息。信息從源結點傳輸到目的結點的途中被攻擊者非法截獲,攻擊者修改信息或插入欺騙性的信息, 并將篡改后的信息發送給目的結點。
? 偽造信息。在這種情況下,源結點并沒有信息要傳送到目的結點。攻擊者冒充源結點用戶,將偽造的信息發送給目的結點。
14. 網絡攻擊的分類
網絡攻擊可以有兩種分類方法:主動攻擊與被動攻擊、服務攻擊與非服務攻擊。
1) 主動攻擊與被動攻擊
? 被動攻擊主要以收集信息為目的,信息的合法用戶難以察覺這種活動,例如嗔探、漏洞掃描、信息收集等。
? 主動攻擊不但進入對方系統搜集信息,同時要進行破壞活動,例如拒絕服務、信息算改、竊取信息、欺騙攻擊等。
? 無論是主動攻擊還是被動攻擊,后果的嚴重程度有所區別,但是都是屬于非法入侵的行為。
服務攻擊與非服務攻擊
? 服務攻擊是指攻擊者對 E-mail、FTP、Web 或 DNS 服務器發起攻擊,造成服務器工作不正常,甚至造成服務器癱瘓。
? 非服務攻擊不針對某項具體應用服務,而是針對網絡設備或通信線路。攻擊者可能使用各種方法對網絡設備(例如路由器、交換機、網關、防火墻等)與通信線路發起攻擊,使得網絡設備出現嚴重阻塞甚至癱瘓,或者造成線路阻塞,最終使網絡通信中斷。
15. DDoS 攻擊的特征
**1.**主要有以下幾點:
? 被攻擊主機上可能有大量等待應答的 TCP 連接。
? 網絡中充斥著大量的無用數據包,并且數據包的源地址是偽造的。
? 大量無用數據包造成網絡擁塞,使得網絡工作不正常,甚至癱瘓。
? 被攻擊主機可能在攻擊發起之后的短短幾秒鐘后就處于癱瘓狀態。
? 攻擊服務器與傀儡機都是在不知情的情況下參與攻擊行動,而真正的攻擊者早已消失。
16. 對稱加密與非對稱加密
? 常用的加密技術可以分為兩類: 對稱加密(Symmetric Cryptography) 與非對稱加密(Asymmetric Cryptography)。
? 在傳統的對稱密碼系統中,加密用的密鑰與解密用的密鑰相同,密鑰在通信中需要嚴格保密。
? 在非對稱加密系統中,加密用的公鑰與解密用的私鑰不同,加密用的公鑰可以向大家公開,而解密用的私鑰需要保密。
17. 典型的對稱加密算法
數據加密標準(Data Encryption Standard,DES)是最典型的對稱加密算法,它是由 IBM 公同提出、經 ISO認定的國際標準。
DES 是一種典型的分組密碼,它將數據分解成固定大小的分組,以分組為單位進行加密或解密。DES 每次處理一個 64 位的明文分組,并且每次生成一個 64 位的密文分組。DES 算法采用 64 位密鑰長度,其中 8 位用于奇偶校驗,用戶可使用其余的 56 位。
3 重 DES(triple DES,3DES)是針對 DES 安全問題的改進方案。
? 高級加密標準(Advanced Encryption Standard,AES)是后來出現的一種對稱加密算法。
? AES 將數據分解成固定大小的分組,以分組為單位進行加密或解密。
? AES 的主要參數是:分組長度、密鑰長度與計算輪數。分組長度與密鑰長度可以是 32 位的整數倍,范圍是128?256位。AES規定分組長度為 128位,密鑰長度可以為128、192或256位,根據密鑰長度分別稱為:AES-128、AES-192或AES-256。
18. 公鑰密碼基本特征
? 公鑰密碼的基本特征是加密密鑰與解密密鑰不同,并且無法由加密密鑰推導出解密密鑰。
? 公鑰密碼技術提供了兩個密鑰:公鑰與私鑰。其中,公鑰是可以公開的密鑰;私鑰是需要嚴格保密的密鑰。
? 公鑰密碼技術使用的加密與解密算法公開。公鑰密碼的加密與解密算法是基于數學函數,而不是像對稱密碼那樣地基于位模式的簡單操作。
? 公鑰密碼的出現對保密性、密鑰分發與認證等都有深遠的影響。
19. 公鑰密碼的應用領域
| RSA | 數據加密、數字簽名與密鑰交換 |
| EGG | 數據加密、數字簽名與密鑰交換 |
| DSS | 數字簽名 |
| ElGamal | 數字簽名 |
| Diffie-Heilman | 密鑰交換 |
20. 典型的非對稱加密算法
? 1977年,Ron Rivest、Adi Shamir與Leonard Adleman 設計了一種加密算法,并用3 人的姓氏首字母命名該算法。
? RSA 的理論基礎是尋找大素數相對容易,而分解兩個大素數的積在計算上不可行。
? RSA 算法的安全性建立在大素數分解極其困難的基礎上。
? 1985 年,橢圓曲線密碼由 Neal Koblitz 和 Victor Miller 分別提出;
? 其安全性建立在求解橢圓曲線離散對數的困難性上。
? 在同等密鑰長度的情況下,ECC 算法的安全性要遠高于RSA 算法等。
21. 公鑰基礎設施( PKI)
? PKI 是利用公鑰加密和數字簽名技術建立的安全服務基礎設施,以保證網絡環境中數據的秘密性、完整性與不可抵賴性。
? PKI 是一種針對電子商務、電子政務應用,利用非對稱加密體系,提供安全服務的通用性網絡安全基礎設施。
? PKI 系統對用戶是透明的,用戶獲得加密和數字簽名服務時,無須知道 PKI 是如何管理證書與密鑰。
? PKI 建立的安全通信信任平臺與密鑰管理體系,能夠為所有網絡應用提供加密與數字簽名服務,實現 PKI
系統的關鍵是密鑰的管理。
? PKI 的主要任務是確定用戶可信任的合法身份。這個信任關系是通過公鑰證書來實現。公鑰證書就是用戶身份與所持有公鑰的結合,這是由可信任的第 3 方權威機構(認證中心)來確認。
22. 數字簽名
? 在網絡環境中,通常使用數字簽名來模擬日常生活中的親筆簽名。
l 數字簽名將信息發送人的身份與信息傳送相結合,以保證信息在傳輸過程中的完整性,并提供信息發送者的身份認證,防止信息發送人抵賴行為的發生。
? 利用非對稱加密(例如 RSA 算法) 進行數字簽名是最常用的方法。
? 非對稱加密算法(例如 RSA 算法)效率比較低,并對加密的信息塊長度有一定的限制。在使用非對稱加密算法進行數字簽名前,通常先使用單向散列函數或哈希函數(Hashing Function 簽名信息進行計算,生成信息摘要,并對信息摘要進行簽名。
? 目前,廣泛應用的數字簽名算法是消息摘要(Message Digest5,MD5)。它是 Rivest 于 1994 年發表的一種單向散列算法,可對任意長度的數據生成 128 位的散列值,也叫作不可逆指紋。
? MD5 算法沒有對數據進行加密或修改,只是生成一個用于判斷數據完整性與真實性的散列值。
? 因此,利用數字簽名可驗證數據在傳輸過程中是否被篡改,同時確認發送放的身份,防止信息交互中的抵賴現象發生。
23. TCP/IP 協議安全機制
? 在主機-網絡層(數據鏈路層對應它的一部分)中,主要的安全協議包括 PPTP、L2TP 與 UF 等。
? 在互聯層(或網絡層)中,最主要的安全機制是 IPSec 的兩個組成協議,即認證頭部(AH)與封裝安全有效載荷(ESP)。
? 在傳輸層中,主要的安全協議包括 SSL、SSH 與 SOCKS 等。
? 在應用層中,針對不同網絡服務或應用的安全機制比較多,例如用于增強 Web 安全的 S-HTTP、用于保障郵件安全的 S/MIME、用于電子商務安全交易的 SET 等。
? S/MIME 主要支持功能有:加密的數據、簽名的數據、透明簽名的數據、簽名并加密的數據。
24. IPSec
? IPSec 主要包括 3 個組成部分:認證頭(Authentication Header,AH)、封裝安全負載(Encapsulating Security Payload,ESP)與密鑰管理協議。
? 其中,AH 協議可提供數據源身份認證、數據完整性認證,以及可選的抗重放數據包功能;
? ESP 協議可提供 AH 協議的所有功能與數據加密服務;
? 密鑰管理協議用于通信雙方之間協商安全參數,例如工作模式、認證或加密算法、密鑰與生存期等。
? 實際上,AH 與 ESP 協議都是網絡層的安全協議,而密鑰管理協議是應用層的安全協議。
25. 安全套接層(SSL)協議
? SSL 協議使用非對稱加密體制和數字證書技術,可保護信息傳輸的秘密性和完整性。SSL 是國際上最早應用于電子商務的一種網絡安全協議。
? 同期, Microsoft 公司開發了類似的 PCT 協議。鑒于 SSL 與 PCT 不兼容的現狀, IETF 發布了傳輸層協議( Transport Layer Security, TLS),希望推動傳輸層安全協議的標準化。
26. SSL 協議特點
? SSL 可用于 HTTP、FTP、TELNET 等, 但是目前主要應用于 HTTP 協議, 為基于 Web 服務的各種網絡應用中的客戶機與服務器之間的用戶身份認證與安全數據傳輸提供服務。
? SSL 處于端系統的應用層與傳輸層之間, 在 TCP 之上建立一個加密的安全通道,為 TCP 協議的數據傳輸提供安全保障。
? 當 HTTP 協議使用 SSL 時, HTTP 請求、應答報文格式與處理方法不變。不同之處在于: 應用進程產生的報文通過 SSL 加密后, 再通過 TCP 連接傳輸; 在接收方的 TCP 軟件將加密的報文傳送給 SSL 解密后,再發送給應用層的 HTTP 協議。
? 當 Web 系統釆用 SSL 時, Web 服務器的默認端口號從 80 變換為 443,Web 瀏覽器使用https 代替常用的http。
l SSL 主要包含兩個協議:SSL 握手協議( SSL Handshake Protocol)與 SSL 記錄協議( SSL Record Protocol),SSL 握手協議實現雙方的加密算法協商與密鑰傳遞; SSL 記錄協議定義 SSL 數據傳輸格式, 實現對數據的加密與解密操作。
27. PGP 協議
? PGP 協議于 1995 年開發, 包括電子郵件的加密、身份認證、數字簽名等安全功能。
? PGP 用來保證數據在傳輸過程中的安全, 它的設計思想與數字信封是一致的。
? PGP 數字簽名能夠保證郵件的完整性、身份認證與不可抵賴性, 數據加密可以保證郵件內容的機密性。
? 它主要由 5 種服務組成:鑒別、機密性、壓縮、電子郵件的兼容性和分段,支持多語種安裝平臺。
? 數字簽名使用 DSS/SHA 或 RSA/SHA 算法,報文加密采用 CAST 或 IDEA,或使用 Diffie-Hellman 的 3DES 或 RSA 算法。
? PGP 也提供了公共密鑰認證機制,但是這個機制完全不同于通用的認證中心(CA)。PGP 公共密鑰通過委托網站進行認證,它也可以通過互聯網上的 PGP 公共密鑰服務器發布。
28. 電子支付安全(SET)協議
? 電子商務是以 Internet 環境為基礎,在計算機系統支持下進行的商務活動。
? 電子商務是基于瀏覽器/Web 服務器工作模式, 實現網上購物和在線支付的一種新型商業運營模式。
? SET 使用了對稱加密與非對稱加密體系, 以及數字信封、數字簽名、信息摘要技術與雙重簽名技術,以保證信息在 Web 環境中傳輸和處理的安全性。
29. 防火墻主要功能
? 檢查所有從外部網絡進入內部網絡的數據包。
? 檢查所有從內部網絡流出到外部網絡的數據包。
? 執行安全策略,限制所有不符合安全策略要求的數據包通過。
? 具有防攻擊能力,保證自身安全性的能力。
30. 網絡防火墻構成
常用防火墻有 3 種:包過濾路由器、應用級網關和電路級網關。
? 包過濾路由器依據一套規則對收到的 IP 包進行處理,決定是轉發還是丟棄。
? 包過濾路由器也稱為屏蔽路由器( Screening Router), 它是被保護的內部網絡與外部網絡之間的第一道防線。
? 包過濾規則通常基于部分或全部報頭內容。
? 路由器按照設置的分組過濾規則( 即訪問控制表),檢查每個分組的源地址、目的地址,決定該分組是否應該轉發。例如,對于 TCP 報頭信息,可以是源地址、目的地址、協議類型、IP 選項、源端口號、目的端口號、TCPACK 標識等。
? 包過濾路由器只工作于傳輸層也可以工作于應用層。
? 應用級網關也叫代理服務器,它在應用級的通信中扮演著一個消息傳遞者的角色。應用級網關不足之處在于它在每次連接中有多余的處理開銷,處理數據時開銷較大。
? 電路級網關不允許一個端到端的直接 TCP 連接。
31. 入侵檢測系統的基本功能
① 監控、分析用戶和系統的行為;
② 檢查系統的配置和漏洞;
③ 評估重要的系統和數據文件的完整性;
④ 對異常行為的統計分析,識別攻擊類型,并向網絡管理入員報警;
⑤ 對操作系統進行審計、跟蹤管理,識別違反授權的用戶活動;
32. 網絡蠕蟲
? 網絡蠕蟲的權威定義是:一種無須用戶干預、依靠自身復制能力、自動通過網絡進行傳播的惡意代碼。
? 具有以下幾個特點:沖擊力度大,已導致很多部門的網絡遭到嚴重破壞;大量通過垃圾郵件群發, 利用系統漏洞快速傳播。
33. 蠕蟲和病毒的區別
主要表現在以下幾個方面:
? 蠕蟲是獨立的程序,而病毒是寄生到其他程序中的一段程序。
? 蠕蟲是通過漏洞進行傳播,而病毒是通過復制自身到宿主文件來實現傳播。
? 蠕蟲感染計算機,而病毒感染的是文件系統。
? 蠕蟲會造成網絡擁塞甚至癱瘓,而病毒破壞計算機的文件系統。
? 防范蠕蟲可通過及時修復漏洞的方法,而防治病毒需要依靠殺毒軟件來查殺。
34. 認證中心(Certification Authority,CA)
? 為了解決公共密鑰可能會遭受第 3方的主動攻擊,在實際當中引入了一個可信媒介 認證中心。
? 認證中心(Certification Authority,CA)驗證一個公共密鑰是否屬于一個特殊實體。
? 認證中心負責將公共密鑰和特定實體進行綁定,它的工作是證明身份的真實性和發放證書,
? 國際電信聯盟(ITU)和 IETF 制定了認證中心的標準。
? CA 具有以下作用:
① CA 驗證實體(個入、路由器等)的身份。
② 一旦 CA 驗證了實體的身份,CA 就可以產生一個證書,將這個公共密鑰和身份進行綁定。
35. 信息存儲安全措施
信息存儲安全措施至少要包括 3 類:
① 社會的法律政策、企業的規章制度及網絡安全教育;
② 技術方面的措施,如防火墻技術、防病毒、信息加密、身份確認以及授權即設置訪問權限等;
③ 審計與管理措施,包括技術與社會措施。主要有實時監控、提供安全策略改變的能力以及對安全系統實施漏洞檢查等。
36. Caesar 密碼加密
? Caesar 密碼加密方法為,對每一個字母用它之后的第 3 個字母來代換,明文空間和密文空間都是 26 個英文字母的集合。
? Caesar 密鑰取值范圍為 1-25,最大的可能取值是 25。
37. 密文攻擊
? 唯密文攻擊指的是在僅知已加密文字的情況下進行窮舉攻擊。
? 已知明文攻擊指攻擊者掌握了某段明文和對應密文,推斷加密方式,從而破解后段密文的攻擊方式。
? 選擇明文攻擊是指攻擊者不僅已知加密算法和密文,而且還能夠通過某種方式讓發送者在發送的信息中插入一段由他選擇的信息。
? 選擇密文攻擊的密碼分析者事先任意搜集一定數量的密文,讓這些密文透過被攻擊的加密算法解密,透過未知的密鑰獲得解密后的明文。
38. 背包加密算法
背包加密算法是一種公鑰加密算法,該算法中背包的物品總重量是公開的,所有可能的物品也是公開的,但是背包中的物品卻是保密的,它是一個 NP 難度問題。目前大多數一次背包體制均被破譯了,一次背包已不安全了。
39. Blowfish 算法
? Blowfish 算法是由 Bruce Schneier 設計的一種對稱分組密碼;
? Blowfish 是一個可變密鑰長度的分組密碼算法,分組長度為 64 位;
? Blowfish 算法所有的運算都是 32 位字的加法和異或,僅有的另一個運算是每輪的四個查表。
40. RC5 算法
? RC5 算法是 Ron Rivest 設計的一種堆成加密算法,它是參數可變的分組密碼算法;
? 3 個可變的參數是:分組大小、密鑰大小和加密輪數。
? 在此算法中使用了 3 種運算:異或、加和循環。
41. X.509 公共密鑰證書
? 在 X.509 公共密鑰證書中,主題名是實體的身份,其公鑰與證書相關,以 DN 格式表示;
? 版本字段是 X.509 說明書的版本號;
? 合法時期表示證書有效期的起止時間;
? 發行者名是簽發證書CA身份,以 DN格式[RFC-2253]表示。
42. 42.數字版權管理
數字版權管理主要采用的技術為數字水印、版權保護、數字簽名和數據加密。
總結
以上是生活随笔為你收集整理的四级网络工程师笔记-计算机网络(下)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: WORD VBA 操作WORD 文本框
- 下一篇: 关于灰排线两端压接类型简介