[toc]

软件设计师笔记10_网络与信息安全基础知识

下面的内容参考自《软件设计师教程(第5版)》 这本书的第10章 网络与信息安全基础知识。

本章简要介绍计算机网络的体系结构、网络应用、网络互连设备、网络构建、网络协议、网络应用、信息安全和安全方面的基本内容。

网络概述

计算机网络是计算机技术与通信技术相结合的产物，它实现了远程通信、远程信息处理和资源共享。

计算机网络的概念

计算机网络的发展

目前，计算机网络的定义随网络技术的更新可从不同的角度给予描述。人们已公认的有关计算机网络的定义是利用通信设备和线路将地理位置分散的、功能独立的自主计算机系统或由计算机控制的外部设备连接起来，在网络操作系统的控制下，按照约定的通信协议进行信息交换，实现资源共享的系统。

计算机网络是计算机技术与通信技术日益发展和密切结合的产物，它的发展过程大致可以划分为以下4个阶段。

• 第1阶段：具有通信功能的单机系统 该系统又称“终端-计算机”网络，是早期计算机网络的主要形式。它将一台计算机经通信线路与若干终端直接相连。
• 第2阶段：具有通信功能的多机系统 对“终端-计算机”网络进行改进:在主计算机的外围增加了一台计算机，专门用于处理终端的通信信息及控制通信线路，并能对用户的作业进行某些预处理操作，这台计算机称为“前端处理机”或“通信控制处理机”。在终端设备较集中的地方设置一台集中器，终端通过低速线路先汇集到集中器上，然后再用高速线路将集中器连到主机上，这就形成了多机系统。
• 第3阶段：以共享资源为目的的计算机网络 具有通信功能的多机系统是“计算机-计算机”网络，它是由若干台计算机互连的系统，即利用通信线路将多台计算机连接起来，在计算机之间进行通信。该网络有两种结构形式。
  • 一种形式是主计算机通过通信线路直接互连的结构，其中主计算机同时承担数据处理和通信工作;
  • 另一种形式是通过通信控制处理机间接地把各主计算机连接的结构，其中通信处理机和主计算机分工不同，前者负责网络上各主计算机间的通信处理和控制，后者是网络资源的拥有者，负责数据处理，它们共同组成资源共享的计算机网络。
• 第4阶段：以局域网及因特网为支撑环境的分布式计算机系统 局域网是继远程网之后发展起来的，它继承了远程网的分组交换技术和计算机的 IO总线结构技术。局域网的发展也促使计算机网络的模式发生了变革，即由早期的以大型机为中心的集中式模式转变为由微机构成的分布式计算机模式。

计算机网络的功能

计算机网络提供的主要功能有：数据通信、资源共享、负载均衡、高可靠性。

• 数据通信。 通信或数据传输是计算机网络的主要功能之一，用于在计算机系统之间传送各种信息。利用该功能，地理位置分散的生产单位和业务部门可通过计算机网络连接在一起进行集中控制和管理，也可以通过计算机网络传送电子邮件，发布新闻消息及进行电子数据交换，极大地方便了用户，提高了工作效率。
• 资源共享。 资源共享是计算机网络最有吸引力的功能。通过资源共享，可使网络中分散在异地的各种资源互通有无，分工协作，从而大大提高系统资源的利用率。资源共享包括软件资源共享和硬件资源共享。
• 负载均衡。 在计算机网络中可进行数据的集中处理或分布式处理，一方面可以通过计算机网络将不同地点的主机或外设采集到的数据信息送往一台指定的计算机，在此计算机上对数据进行集中和综合处理，通过网络在各计算机之间传送原始数据和计算结果;另一方面，当网络中的某台计算机任务过重时，可将任务分派给其他空闲的多台计算机，使多台计算机相互协作，均衡负载，共同完成任务。
• 高可靠性。 高可靠性指在计算机网络中的各台计算机可以通过网络彼此互为后备机，一旦某台计算机出现故障,故障机的任务就可由其他计算机代为处理,从而提高系统的可靠性。并且避免了单机无后备使用的情况下，计算机出现故障而导致系统瘫疾的现象，从而大大提高了系统的可靠性。

借助于计算机网络，在各种功能软件的支持下，人们可以进行高速的异地电子信息交换，并获得了多种服务，如新闻浏览和信息检索、传送电子邮件、多媒体电信服务、远程教育、网上营销、网上娱乐和远程医疗诊断等。

计算机网络的分类

计算机网络的分类方式很多,按照不同的分类原则,可以得到各种不同类型的计算机网络。

• 按通信距离可分为广域网、局域网和城域网
• 按信息交换方式可分为电路交换网、分组交换网和综合交换网
• 按网络拓扑结构可分为星型网、树型网、环型网和总线网;
• 按通信介质可分为双绞线网、同轴电缆网、光纤网和卫星网等;
• 按传输带宽可分为基带网和宽带网
• 按使用范围可分为公用网和专用网
• 按速率可分为高速网、中速网和低速网
• 按通信传播方式可分为广播式和点到点式

这里主要介绍根据计算机网络的覆盖范围和通信终端之间相隔的距离不同将其分为局域网、城域网和广域网三类的情况。

如图所示

局域网

局域网(Local Area Network，LAN)是指传输距离有限、传输速度较高、以共享网络资源为目的的网络系统。由于局域网投资规模较小，网络实现简单，故新技术易于推广。局域网技术与广域网相比发展迅速。

局域网的特点如下

• (1)分布范围有限。加入局域网中的计算机通常处在几千米的距离之内。通常，它分布在一个学校、一个企业单位，为本单位使用。一般称为“园区网”或“校园网”。
• (2)有较高的通信带宽，数据传输率高。一般为 1Mbps 以上，最高已达 1000Mbps。
• (3)数据传输可靠，误码率低。误码率一般为 10-~10-。
• (4)通常采用同轴电缆或双绞线作为传输介质，跨楼寓时使用光纤。
• (5)拓扑结构简单、简洁，大多采用总线、星型和环型等，系统容易配置和管理。网上的计算机一般采用多路控制访问技术或令牌技术访问信道。
• (6)网络的控制一般趋向于分布式，从而减少了对某个结点的依赖，避免并减小了一个结点故障对整个网络的影响。
• (7)通常，网络归单一组织所拥有和使用，不受任何公共网络管理机构的规定约束，容易进行设备的更新和新技术的应用，以不断增强网络功能。

城域网

城域网(Metropolitan Area Network,MAN)是规模介于局域网和广域网之间的一种较大范围的高速网络，一般覆盖临近的多个单位和城市，从而为接入网络的企业、机关、公司及社会单位提供文字、声音和图像的集成服务。城域网规范由IEEE 802.6 协议定义。

广域网

广域网(Wide Area Netwvork，WAN)又称远程网，它是指覆盖范围广、传输速率相对较低、以数据通信为主要目的的数据通信网。

广域网最根本的特点如下。

• (1)分布范围广。加入广域网中的计算机通常处在从数千米到数千千米的地方。因此，网络所涉及的范围可为市、地区、省、国家乃至世界。
• (2)数据传输率低。一般为几十兆位每秒以下。
• (3)数据传输的可靠性随着传输介质的不同而不同，若用光纤，误码率一般在 10^-6^-~10^-11^之间。
• (4)广域网常常借用传统的公共传输网来实现，因为单独建造一个广域网极其昂贵。
• (5)拓扑结构较为复杂，大多采用“分布式网络”，即所有计算机都与交换结点相连，从而实现网络中的任何两台计算机都可以进行通信。

网络的拓扑结构

网络拓扑结构是指网络中通信线路和结点的几何排序，用于表示整个网络的结构外貌，反映各结点之间的结构关系。它影响着整个网络的设计、功能、可靠性和通信费用等重要方面,是计算机网络十分重要的要素。

常见的网络拓扑结构包括总线型结构、星型结构、环型结构、树型结构、分布式结构，如图所示。

总线型结构（线路利用率低、干扰大、但是价格低）

总线型拓扑结构如图10-2(a)所示，其特点为只有一条双向通路，便于进行广播式传送信息;

总线型拓扑结构属于分布式控制，无须中央处理器，故结构比较简单;结点的增、删和位置的变动较容易，变动中不影响网络的正常运行，系统扩充性能好;结点的接口通常采用无源线路，系统可靠性高;设备少、价格低、安装使用方便。

但是由于电气信号通路多，干扰较大，因此对信号的质量要求高;负载重时，线路的利用率较低;网上的信息延迟时间不确定，故障隔离和检测闲难。

星型结构(交换机形成的局域网、中央单元负荷大）

在星型结构中，使用中央交换单元以放射状连接到网中的各个结点，如图10-2(b)所示。中央单元采用电路交换方式以建立所希望通信的两结点间专用的路径。通常用双绞线将结点与中央单元进行连接。

其特点为维护管理容易，重新配置灵活:故障隔离和检测容易;网络延迟时间短;各结点与中央交换单元直接连通，各结点之间通信必须经过中央单元转换;网络共享能力差;线路利用率低，中央单元负荷重。

环型结构（流动方向固定、效率低,扩充难）

环型结构的信息传输线路构成一个封闭的环型，各结点通过中继器连入网内，各中继器间首尾相接，信息单向沿环路逐点传送，如图10-2(c)所示。

其特点为信息的流动方向是固定的，两个结点仅有一条通路，路径控制简单;有旁路设备，结点一旦发生故障，系统自动旁路，可靠性高;信息要串行穿过多个结点，在网中结点过多时传输效率低，系统响应速度慢;由于环路封闭，扩充较难。

树型结构（总线型的扩充、分级结构）

树型结构是总线型结构的扩充形式，传输介质是不封闭的分支电缆，如图10-2(d)所示。它主要用于多个网络组成的分级结构中，其特点同总线型网。

分布式结构（任意节点连接、管理难、成本高)

分布式结构无严格的布点规定和形状，各结点之间有多条线路相连，如图10-2(e)所示。其特点为有较高的可靠性，当一条线路有故障时，不会影响整个系统工作;资源共享方便，网络响应时问短;由于结点与多个结点连接，故结点的路由选择和流量控制难度大，管理软件复杂;硬件成本高。

注意：广域网与局域网所使用的网络拓扑结构有所不同，广域网多用分布式或树型结构，而局域网常使用总线型、环型、星型或树型结构。

ISO/OSI 网络体系结构

计算机网络是相当复杂的系统，相互通信的两个计算机系统必须高度协调才能正常工作。为了设计这样复杂的计算机网络，人们提出了将网络分层的方法。分层可将庞大而复杂的问题转化为若干较小的局部问题进行处理，从而使问题简单化。

国际标准化组织在 1977年成立了一个分委员会专门研究网络通信的体系结构问题，并提出了开放系统互连参考模型，它是一个定义异种计算机连接标准的框架结构。OSI为连接分布式应用处理的“开放”系统提供了基础。所谓“开放”，是指任何两个系统只要遵守参考模型和有关标准就能够进行互连。

OSI采用了层次化结构的构造技术。ISO的任务是定义一组层次和每一层所完成的功能和服务。层次的划分应当从逻辑上将功能分组，层次应该足够多，应使每一层小到易于管理的程度，但也不能太多，否则汇集各层的处理开销太大。

ISO/OSI 参考模型

ISO/OSI 的参考模型一共有七层，如图所示。由低层至高层分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

物理层

物理层提供为建立、维护和拆除物理链路所需的机械、电气、功能和规程的特性;提供有关在传输介质上传输非结构的位流及物理链路故障检测指示。

物理层的任务就是为物理介质提供一个物理连接。例如规定使用电缆和接头的类型，传送信号的电压等。

在这一层，数据还没有被组织，仅作为原始的位流或电气电压处理，单位是位。

数据链路层

数据链路层负责在两个相邻结点间的线路上无差错地传送以帧为单位的数据,并进行流量控制。每一帧包括一定数量的数据和一些必要的控制信息。

和物理层相似，数据链路层要负责建立、维持和释放数据链路的连接。在传送数据时，如果接收点检测到所传数据中有差错，就要通知发送方重发这一帧。

在这一层，信息的传送单位是帧。

网络层(Network Layer)

网络层为传输层实体提供端到端的交换网络数据功能，使得传输层摆脱路由选择、交换方式和拥挤控制等网络传输细节;可以为传输层实体建立、维持和拆除一条或多条通信路径;对网络传输中发生的不可恢复的差错予以报告。

在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路，也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换结点，确保数据及时传送。网络层将数据链路层提供的帧组成数据包，包中封装有网络层包头，其中含有逻辑地址信息，即源站点和目的站点的网络地址。

在这一层，信息的传送单位是帧组成的数据包。

传输层(TranspontLayer)

传输层为会话层实体提供透明、可靠的数据传输服务，保证端到端的数据完整性;选择网络层能提供最适宜的服务;提供建立、维护和拆除传输连接功能。

传输层根据通信子网的特性最佳地利用网络资源，为两个端系统(也就是源站和目的站)的会话层之间提供建立、维护和取消传输连接的功能，并以可靠和经济的方式传输数据。

在这一层，信息的传送单位是报文。

会话层(SessionLayer)

会话层为彼此合作的表示层实体提供建立、维护和结束会话连接的功能;完成通信进程的逻辑名字与物理名字间的对应;提供会话管理服务。这一层也可以称为会话层或对话层，在会话层及以上的高层中，数据传送的单位不再另外命名，统称为报文。

会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。例如服务器验证用户登录便是由会话层完成的。

表示层(PresentationLayer)

表示层为应用层进程提供能解释所交换信息含义的一组服务，即将要交换的数据从适合于某一用户的抽象语法转换为适合于 OSI系统内部使用的传送语法:提供格式化的表示和转换数据服务。

数据的压缩、解压缩、加密和解密等工作都由表示层负责。

应用层(ApplicationLayer)

应用层为OSI用户提供服务，即确定进程之间通信的性质,以满足用户需要以及提供网络与用户应用软件之间的接口服务。例如事务处理程序、电子邮件和网络管理程序等。

简而言之 ISO/OSI 七层模型（从下到上）：

1. 物理层：二进制数据传输，物理链路和物理特性相关
2. 数据链路层：将数据封装成帧进行传送，准确传送至局域网内的物理主机上
3. 网络层：数据分组传输和路由选择，能准确的将数据传送至互联网的网络主机上
4. 传输层：端到端的连接，传送数据至主机端口上
5. 会话层：管理主机之间的会话，提供会话管理服务（建立、维护和结束会话）
6. 表示层：提供解释所交换信息含义的服务，包括数据之间的格式转换、压缩、加密等操作，对数据进行处理
7. 应用层：实现具体的应用功能。直接进程间的通信

ISO/OSI 参考模型的信息流向

假设 A 系统的用户要向 B 系统的用户传送数据。流向如下

• A 系统用户的数据先送入应用层，该层给它附加控制信息 AH(头标)后，送入表示层。
• 表示层对数据进行必要的变换并加头标 PH 后送入会话层。
• 会话层也加头标 SH 送入传输层。
• 传输层将长报文分段后并加头标 TH 送至网络层。
• 网络层将信息变成报文分组，并加组号 NH 送数据链路层。
• 数据链路层将信息加上头标和尾标(DH 及 DT)变成帧，经物理层按位发送到对方(B 系统)。

B 系统接收到信息后,按照与 A 系统相反的动作,层层剥去控制信息,最后把原数据传送给B系统的用户。

可见，两系统中只有物理层是实通信，其余各层均为虚通信。因此图中只有两物理层之间有物理连接，其余各层间均无连线。

网络互连硬件

构建一个实际的网络需要网络的传输介质、网络互连设备作为支持，这里主要介绍构件网络的传输介质和互连设备。

网络的设备

网络互连的目的是使一个网络的用户能访问其他网络的资源，使不同网络上的用户能够互相通信和交换信息，实现更大范围的资源共享。

因此在网络互连时，一般不能简单地直接相连，而是通过一个中间设备来实现。按照 ISO/OSI的分层原则，这个中间设备要实现不同网络之间的协议转换功能，根据它们工作的协议层不同进行分类。

网络互连设备可以有中继器(实现物理层协议转换，在电缆间转发二进制信号)、网桥(实现物理层和数据链路层协议转换)、路由器(实现网络层和以下各层协议转换)、网关(提供从最低层到传输层或以上各层的协议转换)和交换机等。

物理传输介质互连设备

网络的连接，需要物理传输介质的互连设备。如T形头(细同轴电缆连接器)、收发器、RJ-45(屏蔽或非屏蔽双绞线连接器)、RS232接口(目前计算机与线路接口的常用方式)、DB-15 接口(连接网络接口卡的 AUI接口)、VB35 同步接口(连接远程的高速同步接口)、网络接口单元和调制解调器(数字信号与模拟信号转换器)等

物理层的互连设备

物理层的互连设备有中继器(Repeater)和集线器(Hub)。

中继器

它是在物理层上实现局域网网段互连的，用于扩展局域网网段的长度。由于中继器只在两个局域网网段间实现电气信号的恢复与整形，因此它仅用于连接相同的局域段。

从理论上说，可以用中继器把网络延长到任意长的传输距离，但是，局域网中接入的中继器的数量将受时延和衰耗的影响，因而必须加以限制。

中继器的主要优点是安装简便、使用方便、价格便宜。

集线器

集线器可以看成是一种特殊的多路中继器，也具有信号放大功能。使用双绞线的以太网多用 Hub 扩大网络，同时也便于网络的维护。以集线器为中心的网络的优点是当网络系统中某条线路或某结点出现故障时不会影响网上其他结点的正常工作。

集线器可分为无源集线器、有源集线器和智能集线器。

• 无源集线器只负责把多段介质连接在一起，不对信号做任何处理，每一种介质段只允许护展到最大有效距离的一半;
• 有源集线器类似于无源集线器，但它具有对传输信号进行再生和放大从而扩展介质长度的功能;
• 智能集线器除具有有源集线器的功能外，还可将网络的部分功能集成到集线器中，如网络管理、选择网络传输线路等。

数据链路层的互连设备

数据链路层的互连设备有网桥(Bridge)和交换机(Switch)。

网桥

网桥用于连接两个局域网网段，工作于数据链路层。网桥要分析帧地址字段，以决定是否把收到的帧转发到另一个网络段上。确切地说，网桥工作于 MAC 子层，只要两个网络的 MAC子层以上的协议相同，都可以用网桥互连。

网桥检查帧的源地址和目的地址，如果目的地址和源地址不在同一个网络段上，就把帧转发到另一个网络段上;若两个地址在同一个网络段上，则不转发，所以网桥能起到过滤帧的作用。

网桥的帧过滤特性很有用，当一个网络由于负载很重而性能下降时，可以用网桥把它分成两个网络段并使得段间的通信量保持最小。例如，把分布在两层楼上的网络分成每层一个网络段，段中间用网桥相连，这样的配置可以最大限度地缓解网络通信繁忙的程度，提高通信效率。同时，由于网桥的隔离作用，一个网络段上的故障不会影响到另一个网络段，从而提高了网络的可靠性。

交换机

交换机是一个具有简化、低价、高性能和高端口密集特点的交换产品，它是按每一个包中的 MAC 地址相对简单地决策信息转发，而这种转发决策一般不考虑包中隐藏的更深的其他信息。交换机转发数据的延迟很小，操作接近单个局域网性能，远远超过了普通桥接的转发性能。交换技术允许共享型和专用型的局域网段进行带宽调整，以减轻局域网之间信息流通出现的瓶颈问题。

交换机的工作过程为:

1. 当交换机从某一结点收到一个以太网帧后，将立即在其内存中的地址表(端口号-MAC地址)进行查找，以确认该目的MAC的网卡连接在哪一个结点上，然后将该帧转发至该结点。
2. 如果在地址表中没有找到该 MAC 地址，也就是说，该目的 MAC 地址是首次出现，交换机就将数据包广播到所有结点。拥有该MAC地址的网卡在接收到该广播帧后将立即做出应答，从而使交换机将其结点的“MAC地址”添加到MAC地址表中。

交换机的3种交换技术:

• 端口交换(用于将以太模块的端口在背板的多个网段之间进行分配、平衡)
• 帧交换(处理方式:直通交换--提供线速处理能力，交换机只读出网络帧的前14个字节，便将网络帧传送到相应的端口上;存储转发--通过对网络帧的读取进行验错和控制:碎片丢弃--检查数据包的长度是否够 64个字节，如果小于 64 字节，说明是假包，丢弃该包，否则发送该包)
• 信元交换(采用长度固定的信元交换)。

网络层互连设备

路由器(Router)是网络层互连设备，用于连接多个逻辑上分开的网络。逻辑网络是指个单独的网络或一个子网，当数据从一个子网传输到另一个子网时，可通过路由器来完成。

路由器具有很强的异种网互连能力，互连网络的最低两层协议可以互不相同，通过驱动软件接口到第三层而得到统一。对于互连网络的第三层协议，如果相同，可使用单协议路由器进行互连:如果不同，则应使用多协议路由器。多协议路由器同时支持多种不同的网络层协议，并可以设置为允许或禁止某些特定的协议。所谓支持多种协议，是指支持多种协议的路由，而不是指不同类协议的相互转换。

通常把网络层地址信息称为网络逻辑地址，把数据链路层地址信息称为物理地址。

路由器最主要的功能是选择路径。在路由器的存储器中维护着一个路径表，记录各个网络的逻辑地址用于识别其他网络。在互连网络中，当路由器收到从一个网络向另一个网络发送的信息包时，将丢弃信息包的外层，解读信息包中的数据，获得目的网络的逻辑地址，使用复杂的程序来决定信息经由哪条路径发送最合适，然后重新打包并转发出去。

路由器的功能还包括过滤、存储转发、流量管理和介质转换等。一些增强功能的路由器还可有加密、数据压缩、优先和容错管理等功能。由于路由器工作于网络层，它处理的信息量比网桥要多，因而处理速度比网桥慢。

应用层互连设备

网关(Gateway)是应用层的互连设备。在一个计算机网络中，当连接不同类型且协议差别较大的网络时，则要选用网关设备。

网关的功能体现在OSI模型的最高层，它将协议进行转换，将数据重新分组，以便在两个不同类型的网络系统之间进行通信。由于协议转换是一件复杂的事，一般来说，网关只进行一对一转换，或是少数几种特定应用协议的转换，网关很难实现通用的协议转换。

网络的传输介质

常用的网络传输介质，分为有线介质和无线介质。有线介质有双绞线、同轴电缆和光纤等;无线介质有微波、红外线和卫星通信等。

有线介质

• 双绞线: 是现在最普通的传输介质，它分为屏蔽双绞线(STP)和非屏蔽双绞线(UTP)。非屏蔽双绞线有线缆外皮作为屏蔽层，适用于网络流量不大的场合中。屏蔽式双绞线具有一个金属甲套，对电磁干扰具有较强的抵抗能力，适用于网络流是较大的高速网络协议应用。
• 同轴电缆: 同轴电缆也像双绞线那样由一对导体组成。
• 光纤: 光导纤维简称光纤，它重量轻、体积小。用光纤传输电信号时，在发送端要先将其转换成光信号，而在接收端又要由光检波器还原成电信号。光纤是软而细的、利用内部全反射原理来传导光束的传输介质。

无线介质

无线传输介质都不需要架设或铺埋电缆或光纤，而是通过大气传输，目前有3种技术:微波、红外线和激光、卫星。

• 微波: 是一种利用无线电波进行通信的传输介质，它的传输距离较远，适用于长距离通信。
• 红外线和激光: 是一种利用红外线或激光进行通信的传输介质，它的传输距离较短，适用于短距离通信。
• 卫星通信: 是一种利用卫星进行通信的传输介质，它的传输距离较远，适用于长距离通信。

网络的协议与标准

计算机网络的硬件设备是承载计算机通信的实体，但它们是怎样有序地完成计算机之间通信任务的呢?

即如果要实现计算机网络中各个计算机实体之间的通信，那么它们必须具有相同的语言，这在计算机网络中称为协议。

所谓协议，指的是网络中的计算机与计算机进行通信时，为了能够实现数据的正常发送与接收必须要遵循的一些事先约定好的规则(标准或约定)。在这些规则中明确规定了通信时的数据格式、数据传送时序以及相应的控制信息和应答信号等内容。

TCP/IP 协议族

TCP/IP 作为 Intermet 的核心协议，通过近 20 多年的发展已日渐成熟，并被广泛应用于局域网和广域网中，目前已成为事实上的国际标准。作为一个最早的、也是迄今为止发展最为成熟的互连网络协议系统，TCP/IP 包含许多重要的基本特性，这些特性主要表现在5个方面:逻辑编址、路由选择、域名解析、错误检测和流量控制以及对应用程序的支持等。

• 逻辑编址。每一块网卡在出厂时就由厂家分配了一个独一无二的永久性的物理地址。在 Intermet 中，为每台连入网的计算机分配一个逻辑地址，这个逻辑地址被称为IP地址。一个IP地址可以包括一个网络ID号，用来标识网络;一个子网络ID号，用来标识网络上的一个子网:另外还有一个主机ID号，用来标识子网络上的一台计算机。这样，通过这个分配给某台计算机的IP地址，就可以很快地找到相应的计算机。
• 路由选择。在 TCP/IP 中包含了专门用于定义路由器如何选择网络路径的协议，即IP数据包的路由选择。
• 域名解析。虽然 TCP/IP 采用的是 32 位的IP地址，但考虑到用户记忆方便，专门设计了一种方便的字母式地址结构，称为域名或 DNS(域名服务)名字。将域名映射为IP地址的操作称为域名解析。域名具有较稳定的特点，而IP地址较易发生变化。
• 错误检测和流量控制。TCP/IP 具有分组交换确保数据信息在网络上可靠传递的特性，这些特性包括检测数据信息的传输错误(保证到达目的地的数据信息没有发生变化)，确认已传递的数据信息已被成功地接收，监测网络系统中的信息流量，防止出现网络拥塞。

TCP/IP 分层模型

协议是对数据在计算机或设备之间传输时的表示方法进行定义和描述的标准。协议规定了进行传输、检测错误及传送确认信息等内容。

而 TCP/IP 分层模型由4个层次构成，即应用层、传输层、网际层和网络接口层，对各层的功能简述如下。

• 应用层。 应用层处在分层模型的最高层，用户调用应用程序来访问 TCP/IP 互连网络，以享受网络上提供的各种服务。应用程序负责发送和接收数据。每个应用程序可以选择所需要的传输服务类型，并把数据按照传输层的要求组织好，再向下层传送，包括独立的报文序列和连续字节流两种类型。

• 传输层。 传输层的基本任务是提供应用程序之间的通信服务，这种通信又称端到端的通信。传输层既要系统地管理数据信息的流动，还要提供可靠的传输服务，以确保数据准确而有序地到达目的地。为了这个目的，传输层协议软件需要进行协商，让接收方回送确认信息及让发送方重发丢失的分组。在传输层与网际层之间传递的对象是传输层分组。

• 网际层。 网际层又称正层，主要处理机器之间的通信问题。它接收传输层请求，传送某个具有目的地址信息的分组。该层主要完成以下功能。

  • ① 把分组封装到IP数据报中，填入数据报的首部(也称为报头)，使用路由算法选择把数据报直接送到目标机或把数据报发送给路由器，然后再把数据报交给下面的网络接口层中对应的网络接口模块。
  • ②处理接收到的数据报，检验其正确性。使用路由算法来决定是在本地进行处理，还是继续向前发送。如果数据报的目标机处于本机所在的网络，该层软件就把数据报的报头剥去，再选择适当的传输层协议软件来处理这个分组。
  • ③ 适时发出 ICMP 的差错和控制报文，并处理收到的 ICMP 报文。

• 网络接口层。 网络接口层又称数据链路层，处于 TCP/IP 协议层之下，负责接收IP数据报，并把数据报通过选定的网络发送出去。该层包含设备驱动程序，也可能是一个复杂的、使用自己的数据链路协议的子系统。

ISO/OSI 模型、TCP/IP 的分层模型及协议的对比如图所示。

网络接口层协议

TCP/IP 协议不包含具体的物理层和数据链路层,只定义了网络接口层作为物理层与网络层的接口规范。这个物理层可以是广域网,也可以是局域网等。

任何物理网络只要按照这个接口规范开发网络接口驱动程序，就能够与 TCP/P 协议集成起来。网络接口层处在 TCPIP 协议的最底层，主要负责管理为物理网络准备数据所需的全部服务程序和功能。

网际层协议-IP

网际层是整个 TCP/IP 协议族的重点，在网际层定义的协议除了 IP 外，还有 ICMP、ARP 和RARP 等几个重要的协议。

IP协议 的主要功能包括将上层数据（如 TCP、UDP 数据）或同层的其他数据（如 ICMP 数据）封装到 IP 数据中；将 IP 数据报送到最终目的地；为了使数据能够在链路层上进行传输，对数据进行分段；确定数据报到达其他网络中的目的地的路径。

地址解析协议 ARP 和 反地址解析协议 RARP

地址解析协议 ARP 的作用是将 IP 地址转换为物理地址。反地址解析协议 RARP 的作用是将物理地址转换为 IP 地址.

控制信息协议 ICMP

Internet 控制信息协议（ICMP）是网际层的另一个比较重要的协议。

由于 IP 是一种尽力传送的通信协议，即传送的数据报可能会丢失、重复、延迟或乱序，因此 IP 需要一种避免差错并在发生差错时报告的机制。ICMP 就是一个专门用于发送差错报文的协议。ICMP 定义了五种差错报文（源抑制、超时、目的不可达、重定向和要求分段）和四种信息报文（回应请求、回应应答、地址屏蔽码请求和地址屏蔽码应答）。

传输控制协议 TCP

TCP(Transmission Control Protocol，传输控制协议)是整个 TCP/P 协议族中最重要的协议之一。它在 IP 提供的不可靠数据服务的基础上为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。

TCP 是如何实现可靠性的呢?

最主要和最重要的是TCP采用了重发技术。具体来说，在TCP传输过程中，发送方启动一个定时器，然后将数据包发出，当接收方收到了这个信息时就给发送方一个确认(ACK)信息。如果发送方在定时器到点之前没有收到这个确认信息，就重新发送这个数据包。

利用 TCP 在源主机和目的主机之间建立和关闭连接操作时，均需要通过三次握手来确认建立和关闭是否成功。

TCP建立连接的三次握手过程如下。如图所示,它通过“序号/确认号”使得系统正常工作，从而使它们的序号达成同步。

1. 源主机发送一个 SYN(同步)标志位为1的 TCP 数据包，表示想与目标主机进行通信，并发送一个同步序列号(如 SEQ=200)进行同步。
2. 目标主机同意进行通信，则响应一个确认(ACK 位置 1)，并以下一个序列号为参考进行确认(如 201)。
3. 源主机以确认来响应目标主机的TCP包，这个确认中包括它想要接收的下一个序列号(该帧可以含有发送的数据)。至此连接建立完成。

同样，关闭连接也进行三次握手。

用户数据报协议 UDP

用户数据报协议(User Datagram Protocol，UDP)是一种不可靠的、无连接的协议，可以保证应用程序进程间的通信。与同样处在传输层的面向连接的TCP 相比，UDP是一种无连接的协议，它的错误检测功能要弱得多。可以这样说，TCP有助于提供可靠性;而 UDP 有助于提高传输的高速率性。

UDP协议软件的主要作用是将 UDP 消息展示给应用层，它并不负责重新发送丢失的或出错的数据消息，不对接收到的无序 IP 数据报重新排序，不消除重复的 IP 数据报，不对已收到的数据报进行确认，也不负责建立或终止连接。这些问题是由使用 UDP 进行通信的应用程序负责处理的。

TCP虽然提供了一个可靠的数据传输服务，但它是以牺牲通信量来实现的。也就是说，为了完成同样一个任务，TCP需要更多的时间和通信量。这在网络不可靠的时候通过牺牲一些时间换来达到网络的可靠性是可行的，但在网络十分可靠的情况下，则可以采用 UDP的话通信量的浪费就会很小。

应用层协议

随着计算机网络的广泛应用，人们也已经有了许多基本的、相同的应用需求。

为了让不同平台的计算机能够通过计算机网络获得一些基本的、相同的服务，也就应运而生了一系列应用级的标准，实现这些应用标准的专用协议被称为应用级协议，相对于OSI参考模型来说，它们处于较高的层次，所以也称为高层协议。

应用层的协议有 NFS、Telnet、SMTP、DNS、SNMP、FTP 等。

Internet 及应用

Internet 是世界上规模最大、覆盖面最广且最具影响力的计算机互连网络，它是将分布在世界各地的计算机采用开放系统协议连接在一起，用来进行数据传输、信息交换和资源共享。

在现阶段，Internet作为未来信息高速公路的雏形，无论在科学研究、教育、金融，还是在商业、军事等部门，其影响都越来越大。

Internet 概述

从用户的角度来看，整个Internet在逻辑上是统一的、独立的，在物理上则由不同的网络互连而成。从技术角度看，Internet本身不是某一种具体的物理网络技术，它是能够互相传递信息的众多网络的一个统称，或者说它是一个互联网，只要人们进入了这个互联网，就是在使用Internet。正是由于Internet的这种特性，使得广大Internet用户不必关心网络的连接，而只关心网络提供的丰富资源。

连入 Internet的计算机网络种类繁多、形式各异，且分布在世界各地，因此，需要通过路由器(IP网关)并借助各种通信线路或公共通信网络把它们连接起来。由于实现了与公用电话网的互连，个人用户入网十分方便，只要有电话和Modem即可，这也是Internet迅速普及的原因之一。

对于全球性最大的互联网络，总的来说无确定的负责人，它是由各自独立管理的网络互联构成的，而这些网络各自拥有自己的管理体系和政策法规。因此，没有集中的负责掌管整个Internet 的机构。尽管如此，某些政府部门在制定Internet有关政策时实际上起着主导作用。

在Internet中分布着一些覆盖范围很广的大网络，这种网络称为“Internet主干网”，它们一般属于国家级的广域网。例如，我国的CHINANET 和CERNET等就是中国的Internet主干网。主干网一般只延伸到一些大城市或重要地方，在那里设立主干网结点。每一个主干网结点可以通过路由器将广域网与局域网连接起来，一个结点还可以通过另外的路由器与其他局域网再互连，由此形成一种网状结构。

Internet 地址

无论是在网上检索信息还是发送电子邮件，都必须知道对方的Internet地址，它能唯一确定 Internet上的每一台计算机、每个用户的位置。

也就是说，Internet上的每一台计算机、每个用户都有唯一的地址来标识它是谁和在何处，以方便于几千万个用户、几百万台计算机和成千上万的组织。

Internet地址格式主要有两种书写形式:域名格式和IP地址格式。

域名(DomainName)

域名通常是用户所用的主机的名字或地址。域名格式由若干部分组成，每个部分又称子域名，它们之间用“.”分开，每个部分最少由两个字母或数字组成。

域名通常按分层结构来构造，每个子域名都有其特定的含义。通常情况下，一个完整、通用的层次型主 机域名由以下4个部分组成: 计算机主机名、本地名、组名、最高层域名。

从右到左，子域名分别表示不同的国家或地区的名称、组织类型、组织名称、分组织名称和计算机名称等。域名地址的最后一部分子域名称为高层域名(或顶级域名)，它大致上可以分成两类:一类是组织性顶级域名;另一类是地理性顶级域名。

例如：www.dzkjdx.edu.cn中 cn 是地理性顶级域名，表示“中国”。www.263.net中 net 是组织性顶级域名，表示“网络技术组织机构”

如果一个主机所在的网络级别较高，它可能拥有的域名仅包含3个部分:本地名.组名.最 高层域名。

IP 地址

实际上，Internet 中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议，故每个主机必须用IP地址来标识。

每个IP地址都由4个小于256的数字组成，数字之间用“.”分开。Internet的IP地址共有32位，4个字节。它有两种表示格式:二进制格式和十进制格式。二进制格式是计算机所认识的格式，十进制格式是由二进制格式“翻译”过去的，主要是为了便于使用和掌握。

例如，十进制IP地址129.102.4.11与二进制的10000001 01100110 0000010000001011相同，显然表示成带点的十进制格式方便得多。

域名和IP地址是一一对应的，域名易于记忆、便于使用，因此得到比较普遍的使用。

当用户和Internet上的某台计算机交换信息时，只需要使用域名，网络会自动地将其转换成IP地址，从而找到该台计算机。

Internet 中的IP地址可以分为五类：A 类、B 类、C 类、D 类和 E 类，各类地址分配方案如图所示。

• A类网络地址占有1个字节(8位)，定义最高位为0来标识此类地址，余下7位为真正的网络地址，支持1~126个网络。后面的3个字节(24位)为主机地址,一共提供2^24^ - 2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。

• B类网络地址占有两个字节(16位)，使用最高两位为10来标识此类地址，其余14位为真正的网络地址，主机地址占后面的两个字节(16位)，所以B类全部的地址有(2^14^ - 2)X (2^16^ - 2)= 16382X65534个。B类网络地址第一个字节的十进制值为128~191。

• C类网络地址占有3个字节，它是最通用的Internet地址。使用最高三位为110来标识此类地址，其余21位为真正的网络地址，因此C类地址支持221-2个网络。主机地址占最后1个字节，每个网络可多达28-2个主机。C类网络地址第一个字节的十进制值为192~223。

• D类地址是相当新的。它的识别头是1110，用于组播，例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。

• E 类地址为实验保留,其识别头是1111.E类网络地址第一个字节的十进制值为240~255。

Internet 服务

域名服务

Internet 中的域名地址和IP地址是等价的，它们之间是通过域名服务来完成映射变换的。

实际上，DNS是一种分布式地址信息数据库系统，服务器中包含整个数据库的某部分信息，并供客户查询。DNS允许局部控制整个数据库的某些部分，但数据库的每一部分都可通过全网查询得到。

域名系统是一个分布式系统，其管理和控制也是分布式的。一个用户A在查找另一用户B时，域名系统的工作过程如下。

• (1)解析器向本地域名服务器发出请求查阅用户B的域名。
• (2)本地域名服务器向最高层域名服务器发出查询地址的请求。
• (3)最高层域名服务器返回给本地域名服务器一个IP地址。
• (4)本地域名服务器向组域名服务器发出查询地址的请求。
• (5)组域名服务器返回给本地域名服务器一个IP地址。
• (6)本地服务器向刚返回的域名服务器发出查询域名地址请求。
• (7) IP地址返回给本地域名服务器。
• (8)本地域名服务器将该地址返回给解析器。

因此，本地域名服务器为了得到一个IP地址常常需要查询多个域名服务器。于是，在查询地址的同时，本地域名服务器也就得到了许多其他域名服务器的信息，像它们的IP地址、所负责的区域等。本地域名服务器将这些信息连同最终查询到的主机IP地址全部存放在它的Cache中，以便将来参考。当下次解析器再查询与这些域名相关的信息时，就可以直接引用，这样大大减少了查询时间。

因此，在访问主机的时候只需要知道域名，通过DNS服务器将域名变换为IP地址。DNS所用的是UDP端口，端口号为53。

远程登录服务

远程登录服务是在Telnet协议的支持下，将用户计算机与远程主机连接起来，在远程计算机上运行程序，将相应的屏幕显示传送到本地机器，并将本地的输入送给远程计算机。由于这种服务基于Telnet协议且使用Telnet命令进行远程登录，故称为Telnet远程登录。

电子邮件服务

电子邮件(E-mail)就是利用计算机进行信息交换的电子媒体信件。它是随着计算机网络而出现的，并依靠网络的通信手段实现普通邮件信息的传输。它是最广泛的一种服务。

信息安全基础知识

信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。

• 机密性:确保信息不暴露给未授权的实体或进程。
• 完整性:只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。
• 可用性:得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
• 可控性:可以控制授权范围内的信息流向及行为方式。
• 可审查性:对出现的信息安全问题提供调查的依据和手段。

信息的存储安全包括信息使用的安全(如用户的标识与验证、用户存取权限限制、安全问题跟踪等)、系统安全监控、计算机病毒防治、数据的加密和防止非法的攻击等。

网络安全概述

计算机网络安全是指计算机、网络系统的软件或硬件及系统中的数据受到保护，不因偶然的或恶意的原因遭到破坏、更改、泄露，确保系统能连续、可靠地运行，使网络服务不中断。

网络安全威胁

一般认为，目前网络存在的威胁主要表现在以下5个方面。

• (1)非授权访问:没有预先经过同意，就使用网络或计算机资源则被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
• (2)信息泄露或丢失:指敏感数据在有意或无意中被泄露出去或丢失，它通常包括信息在传输中丢失或泄露、信息在存储介质中丢失或泄露以及通过建立隐蔽隧道等窃取敏感信息等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、账号等重要信息。
• (3)破坏数据完整性:以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应;恶意添加，修改数据，以干扰用户的正常使用。
• (4)拒绝服务攻击:它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
• (5)利用网络传播病毒:通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

网络安全控制技术

为了保护网络信息的安全可靠，除了运用法律和管理手段外，还需依靠技术方法来实现。

网络安全控制技术目前有防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。

• (1)防火墙技术。防火墙技术是近年来维护网络安全最重要的手段。根据网络信息保密程度，实施不同的安全策略和多级保护模式。加强防火墙的使用，可以经济、有效地保证网络安全。
• (2)加密技术。加密技术是网络信息安全主动的、开放的、动态的防范手段，对于敏感数据应采用加密处理，并且在数据传输时采用加密传输，目前加密技术主要有两大类:一类是基于对称密钥的加密算法，也称私钥算法;另一类是基于非对称密钥的加密算法，也称公钥算法。加密手段一般分软件加密和硬件加密两种。软件加密成本低而且实用灵活，更换也方便，硬件加密效率高，本身安全性高。密钥管理包括密钥产生、分发、更换等，是数据保密的重要一环。
• (3)用户识别技术。用户识别和验证也是一种基本的安全技术。其核心是识别访问者是否属于系统的合法用户，目的是防止非法用户进入系统。目前一般采用基于对称密钥加密或公开密钥加密的方法，采用高强度的密码技术来进行身份认证。
• (4)访问控制技术。访问控制是控制不同用户对信息资源的访问权限。根据安全策略，对信息资源进行集中管理，对资源的控制粒度有粗粒度和细粒度两种，可控制到文件、Web 的资源等。
• (5)网络反病毒技术。计算机病毒从1981年首次被发现以来，在近20年的发展过程中，在数目和危害性上都在飞速发展。因此，计算机病毒问题越来越受到计算机用户和计算机反病毒专家的重视，并且开发出了许多防病毒的产品。
• (6)网络安全漏洞扫描技术。漏洞检测和安全风险评估技术，可预知主体受攻击的可能性和具体地指证将要发生的行为和产生的后果。该技术的应用可以帮助用户控制可能发生的安全事件，最大可能地消除安全隐患。
• (7)入侵检测技术。入侵行为主要是指对系统资源的非授权使用。它可以造成系统数据的丢失和破坏，可以造成系统拒绝合法用户的服务等危害。入侵者可以是一个手工发出命令的人，也可以是一个基于入侵脚本或程序的自动发布命令的计算机。

防火墙技术

防火墙技术是在内部网络和外部因特网之间增加的一道安全防护措施，它认为内部网络是安全的，外部网络是不安全的。

防火墙的分类

防火墙技术经历了包过滤、应用代理网关和状态监测三个发展阶段。

1. 包过滤防火墙。包过滤防火墙工作在网络层，对数据包的源及目的 IP 具有识别和控制作用，对于传输层，也只能识别数据报是 TCP 还是 UDP 及所用的端口信息。包过滤防火墙的处理速度较快，也易于配置。

   • 包过滤防火墙的优点是防火墙对每条传入和传出网络的包实行低水平控制：①每个 IP 包的字段都被检查，如源地址、目的地址、协议和端口等；②可以识别和丢弃带欺骗性的源 IP 地址的包；③两个网络之间访问的唯一来源；④通常被包含在路由器数据报中，所以不必额外的系统来处理这个特征。

2. 应用代理网关防火墙。应用代理网关防火墙的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力较强，其缺点是难于配置、处理速度非常慢。

3. 状态监测防火墙。状态监测防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的技术上将代理防火墙的性能提高了 10 倍。

典型防火墙的体系结构

典型防火墙的体系结构包括过滤路由器、双宿主主机、屏蔽主机网关和被屏蔽子网等类型。

1. 包过滤路由器。又称为屏蔽路由器，一般作用在网络层，对进出内部网络的所有信息进行分析，并按照一定的安全策略（过滤规则）对进出内部网络的信息进行限制。包过滤路由器防火墙示意图如图所示.
   • 采用包过滤路由器防火墙的优点在于速度快、实现方便。缺点是安全性能差，不同操作系统环境下 TCP 和 UDP 端口号所代表的应用服务协议类型有所不同，故兼容性差，没有或只有较少的日志记录能力。

2. 双宿主主机。双宿主主机结构是围绕着至少具有两个网络接口的双宿主主机构成的，每一个接口都连接在物理和逻辑上分离的不同网段，代理服务器软件在双宿主主机上运行，如图所示。

3. 屏蔽主机网关。屏蔽主机网关防火墙的优点是安全等级较高，可以提供公开的信息服务的服务器，可以放置在由包过滤器路由器和堡垒主机共用的网段上，如图所示。

4. 被屏蔽子网。被屏蔽子网由两个包过滤路由器和一个应用网关组成，如图所示。