[toc]
软件设计师笔记10_网络与信息安全基础知识_精简考点
科目一考试有3-7分左右。
知识点结构图 
网络的拓扑结构 ⭐️
常见的网络拓扑结构包括总线型结构、星型结构、环型结构、树型结构、分布式结构,如图所示。
| 结构类型 | 特点 | 适用场景 |
|---|---|---|
| 总线型 | 线路利用率低、干扰大、价格低 | 小型局域网(如家庭网络) |
| 星型 | 中央单元(交换机)负荷大、易扩展 | 局域网主流 |
| 环型 | 流动方向固定、效率低、扩充难 | 令牌环网 |
| 树型 | 分级结构、总线型扩充 | 广域网/局域网 |
| 分布式 | 任意节点连接、管理难、成本高 | 广域网 |
注意:广域网与局域网所使用的网络拓扑结构有所不同,广域网多用分布式或树型结构,而局域网常使用总线型、环型、星型或树型结构。
OSI参考模型 ⭐️⭐️⭐️
ISO/OSI 的参考模型一共有七层,如图所示。
由低层至高层分别为: 物理层 → 数据链路层 → 网络层 → 传输层 → 会话层 → 表示层 → 应用层
| 层次 | 核心功能 | 典型设备 |
|---|---|---|
| 物理层 | 二进制传输(比特流) | 中继器、集线器 |
| 数据链路层 | 传送以帧为单位的信息。帧传输、MAC地址识别 | 网桥、交换机 |
| 网络层 | 分组传输、IP地址路由选择 | 路由器 |
| 传输层 | 端到端可靠连接和传输 | 网关 |
| 会话层 | 建立/管理/终止会话 | - |
| 表示层 | 数据的格式与表达、加密、压缩。 | - |
| 应用层 | 实现具体的应用功能。 | - |
ISO/OSI 参考模型中各层对应的网络设备
- 中继器是物理层设备,其作用是对接收的信号进行再生放大,以延长传输的距离。
- 网桥是数据链路层设备,可以识别MAC地址,进行帧转发。
- 交换机是由硬件构成的多端口网桥,也是一种数据链路层设备。
- 路由器是网络层设备,可以识别IP地址,进行数据包的转发
记忆点:
- 表示层负责:数据加密和压缩。
- 数据链路层:提供可靠的数据传输
ISO/OSI 参考模型的信息流向
假设 A 系统的用户要向 B 系统的用户传送数据。流向如下
- A 系统用户的数据先送入应用层,该层给它附加控制信息 AH(头标)后,送入表示层。
- 表示层对数据进行必要的变换并加头标 PH 后送入会话层。
- 会话层也加头标 SH 送入传输层。
- 传输层将长报文分段后并加头标 TH 送至网络层。
- 网络层将信息变成报文分组,并加组号 NH 送数据链路层。
- 数据链路层将信息加上头标和尾标(DH 及 DT)变成帧。
- 最后经物理层按位发送到对方(B 系统)。
B 系统接收到信息后,按照与 A 系统相反的动作,层层剥去控制信息,最后把原数据传送给B系统的用户。
可见,两系统中只有物理层是实通信,其余各层均为虚通信。因此图中只有两物理层之间有物理连接,其余各层间均无连线。 
总结
- 发送方:层层封装(加头标)
- 接收方:层层解封装(去头标)
- 只有物理层是有物理连接的,其余各层间均无物理连接。
ISO/OSI 参考模型中的各个协议 ⭐️⭐️⭐️
常见协议功能 ⭐️
常见协议分类
- 邮件
- SMTP 发送邮件 明文(不安全)
- POP3/IMAP 接收邮件 明文(不安全)
- HTTPS 加密传输 安全
- PGP 邮件加密/签名 安全
- MIME 邮件扩展(附件) 与安全无关
- 文件传输
- FTP 文件传输 明文(不安全)
- TFTP 简单文件传输 无安全机制
- SFTP 加密文件传输 安全(基于SSH)
- 远程访问
- Telnet 远程登录 明文(不安全)
- SSH 安全远程登录 安全(加密)
- 安全协议
- SSL/TLS 用于传输层加密 安全
- HTTPS 相当于HTTP+SSL/TLS 安全
常见协议介绍
邮件相关的
- SSL是为网络通信提供安全及数据完整性的一种安全协议,在传输层对网络连接进行加密。在设置电子邮箱时使用SSL协议,会保障邮箱更安全。
- HTTPS协议是由HTTP加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。
- PGP是一套用于消息加密、验证的应用程序。PGP加密中每个公钥均绑定唯一的用户名和/或者E-mail地址。
- MIME是设定某种扩展名的文件用一种应用程序来打开的方式类型。它是一个互联网标准,扩展了电子邮件标准。
文件相关的
- FTP是一种用于在不同设备之间传输文件的协议。但是FTP传输的数据是明文形式的,不安全。
- TFTP是FTP协议的简化版本,没有安全机制,仅仅支持读写文件。
- SFTP 协议基于SSH协议,提供了加密和认证机制,可以保证传输的数据是安全的。SFTP使用的TCP端口号默认是22。
- ICMP 协议是一种用于在IP网络中发送控制消息的协议,常用于网络故障排除。ICMP本身不传输数据,不适用于文件传输。
安全相关的
- TCP是可靠的传输层协议,与安全无关。
- TLS安全传输层协议用于在两个通信应用程序之间提供保密性和数据完整性。
- SSH 是建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。
不安全相关的
- FTP、TFTP、Telnet(明文传输),SMTP,POP3/IMAP(明文传输)
- Telnet 协议提供了访问远程主机的功能,使本地用户可以通过TCP连接登录到远程主机上,像使用本地主机一样使用远程主机的资源。Telnet协议使用TCP端口23号,但是未经加密,因此是不安全的。
常见协议与层次对应表 ⭐️⭐️⭐️
| 协议 | 工作层次 | 核心功能 | 安全性 |
|---|---|---|---|
| TCP | 传输层 | 可靠传输、三次握手 | - |
| UDP | 传输层 | 不可靠传输、低开销 | - |
| IP | 网络层 | 分组路由 | - |
| ICMP | 网络层 | 网络故障检测 | - |
| HTTP | 应用层 | 网页传输 | 明文(不安全) |
| HTTPS | 应用层(加密在传输层)加密网页传输 | 安全 | |
| FTP | 应用层 | 文件传输 | 明文(不安全) |
| SFTP | 应用层 | 安全文件传输 | 安全 |
| SMTP | 应用层 | 邮件发送 | 明文(不安全) |
| POP3/IMAP | 应用层 | 邮件接收 | 明文(不安全) |
| DNS | 应用层 | 域名解析 | - |
| SNMP | 应用层 | 网络管理 | 封装(在UDP) |
| SSH | 应用层 | 安全远程登录 | 安全 |
| Telnet | 应用层 | 远程登录 | 明文(不安全) |
| SSL/TLS | 传输层/表示层,加密传输 | 安全 |
大多都是应用层协议,TCP和UDP是传输层协议。
传输层协议TCP和UDP对比 ⭐️
目前主要的传输层协议为TCP和UDP。
- TCP协议的是现较为复杂,采用3次握手建立连接,传输过程中能实现可靠传输、流量控制以及拥塞控制,因而也带来了较大开销。
- UDP协议主要通过端口号实现传输层级的寻址,开销也小。
| 协议 | 特点 | 适用场景 |
|---|---|---|
| TCP | 面向连接、可靠、三次握手、开销大 | 文件传输、网页浏览 |
| UDP | 无需提前连接、不可靠、开销小 | 视频通话、实时游戏 |
TCP和UDP协议均提供了端口寻址的功能。但是连接管理、差错校验和重传以及流量控制均为TCP的功能。
HTTP的一次请求过程
当在Web浏览器的地址栏中输入某URL,并按下回车,则处理过程如下:
- (1)对URL进行DNS域名解析,得到对应的IP地址;
- (2)根据这个IP,找到对应的服务器,发起TCP连接,进行三次握手;
- (3)建立TCP连接后发起HTTP请求;
- (4)服务器响应HTTP请求,浏览器得到HTML代码;
- (5)浏览器解析HTML代码,并请求HTML代码中的资源.如js、css图片等;
- (6)浏览器将页面呈现给用户;
- (7)通信完成,断开TCP连接。
总结
DNS域名解析 → TCP三次握手 → 发起HTTP请求 → 服务器响应 → 解析资源 → 页面呈现 → 断开TCP连接
HTTPS协议 和 SSL/TLS协议 ⭐️
HTTPS使用SSL/TLS协议来实现加密通信。
SSL/TLS协议使用了公钥加密和对称加密两种加密方式。
- 在握手阶段,浏览器和服务器会协商出一个会话密钥,用于后续的通信加密。这个会话密钥是使用公钥加密传输的,以保证传输过程中的安全性。
- 后续的通信就会使用对称加密方式,使用会话密钥进行加密和解密。
网络安全
网络攻击 ⭐️⭐️⭐️
- 跨站脚本:攻击者在看上去来源可靠的链接中恶意嵌入译码。它将代码注入到网页上,其他用户在观看网页时就会受到影响。
- 拒绝服务(DoS):对信息或其它资源的合法访问被无条件地阻止,会让服务器拒绝提供服务。
- 信息篡改:指主动攻击者将窃听到的信息进行修改之后再将信息传送给原本的接受者。
- 口令猜测:只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。
- SQL注入攻击:就是通过把SQL命令插入到 Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。其首要目的是获取数据库访问权限。
如何防御SQL注入攻击?
对用户输入做关键字过滤、Web应用防火墙、定期扫描系统漏洞并及时修复都可以有效防御SQL注入攻击。
注意:入侵检测系统无法防御SQL注入。
网络攻击类型总结
| 攻击类型 | 描述 | 典型手段 |
|---|---|---|
| 拒绝服务(DoS) | 使系统无法提供服务 | 洪水攻击 |
| SQL注入 | 注入恶意SQL语句 | 利用表单输入 |
| 跨站脚本(XSS) | 注入恶意脚本 | 网页嵌入代码 |
| 信息篡改 | 修改传输数据 | 中间人攻击 |
| 口令猜测 | 破解用户密码 | 暴力破解 |
防火墙
防火墙的分类
| 类型 | 工作层次 | 特点 |
|---|---|---|
| 包过滤 | 网络层 | 速度快、安全性低 |
| 应用代理 | 应用层 | 安全性高、速度慢 |
| 状态监测 | 多层 | 兼顾安全与速度 |
防火墙的工作层次是决定防火墙效率及安全的主要因素。一般来说, 工作层次越低,则工作效率越高, 但安全性就低了;反之, 工作层次越高,工作效率越低, 则安全性越高。
安全措施 ⭐️
- 设备防雷击属于物理线路安全措施
- 入侵检测和流量控制属于网络安全措施
- 漏洞发现与补丁管理属于系统安全措施。
IP 地址
实际上,Internet 中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议,故每个主机必须用IP地址来标识。
IPv6地址和IPv4地址的区别
- IPv6地址由128位二进制表示,而IPv4地址由32位二进制表示。
- IPv6的地址为128位,地址空间为2^128;
- IPv4的地址为32位,地址空间为2^32;
IP 地址分类 ⭐️⭐️⭐️
Internet 中的IP地址可以分为五类:A 类、B 类、C 类、D 类和 E 类,各类地址分配方案如图所示。
- A类网络地址占有1个字节(8位),定义最高位为0来标识此类地址,余下7位为真正的网络地址,支持1~126个网络。后面的3个字节(24位)为主机地址,一共提供2^24^ - 2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。
- B类网络地址占有两个字节(16位),使用最高两位为10来标识此类地址,其余14位为真正的网络地址,主机地址占后面的两个字节(16位),所以B类全部的地址有(2^14^ - 2)X (2^16^ - 2)= 16382X65534个。B类网络地址第一个字节的十进制值为128~191。
- C类网络地址占有3个字节,它是最通用的Internet地址。使用最高三位为110来标识此类地址,其余21位为真正的网络地址,因此C类地址支持2^21-2个网络。主机地址占最后1个字节,每个网络可多达2^8-2个主机。C类网络地址第一个字节的十进制值为192~223。
- D类地址是相当新的。它的识别头是1110,用于组播,例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。
- E 类地址为实验保留,其识别头是1111.E类网络地址第一个字节的十进制值为240~255。
总结:
| 类别 | 首位特征 | 第一字节范围 | 网络数 | 主机数 |
|---|---|---|---|---|
| A类 | 0 | 1~126 | 126 | 2^24-2 |
| B类 | 10 | 128~191 | 2^14-2 | 2^16-2 |
| C类 | 110 | 192~223 | 2^21-2 | 2^8-2=254 |
| D类 | 1110 | 224~239 | 组播地址 | - |
| E类 | 1111 | 240~255 | 保留 | - |
子网计算
可用主机数公式:2^n - 2(n为主机位)
例:155.32.80.192/26 → 主机位=6 → 可用主机数=62
C类网络最多254台主机数
例题
例题1
IP地址块155.32.80.192/26包含了()个主机地址,以下IP地址中,不属于这个网络的地址是()。
答:
155.32.80.192/26表示32位长度的IP地址中,前26位是网络前缀,后6位是主机号,因此包含的主机地址个数为2^6^-2=62
因此主机地址范围为155.32.80.193~155.32.80.254,显然155.32.80.191不属于这个网络。
例题2
IP地址块222.125.80.128/26包含了( )个可用主机地址,其中最小地址是( ), 最大地址是( )。
答案:
IP地址块222.125.80.128/26留给主机的地址码只有6位,2^6^-2=62。
这些地址都采用222.125.80.10xxxxxx 的形式,其中最小的地址是 222.125.80.10000001,即 222.125.80.129,最大的是 222.125.80.10111110,即222.125.80.190。
域名
域名和IP地址是一一对应的,域名易于记忆、便于使用,因此得到比较普遍的使用。
当用户和Internet上的某台计算机交换信息时,只需要使用域名,网络会自动地将其转换成IP地址,从而找到该台计算机。
声音频率
- 频率范围为20Hz~20kHz 的声波信号称为音频信号;
- 频率小于20Hz声波信号称为亚音信号(也称次音信号);
- 频率高于20kHz的信号称为超音频信号,也称超声波。
蓝牙
蓝牙民用实现中通信距离30米以内,是通信距离最短的。
802.15.1蓝牙是覆盖范围最小无线网络技术。
真题
- 在网络设计和实施过程中要采取多种安全措施,其中( 漏洞发现与补丁管理 )是针对系统安全需求的措施。
- 以下媒体中( 声音编码 )是表示媒体,( 喇叭 )是表现媒体。
- 云计算有多种部署模型。若云的基础设施是为某个客户单独使用而构建的,那么该部署模型属于( 私有云 )。
- 下列无线通信技术中,通信距离最短的是( 蓝牙 )。
- 在OSI参考模型中,负责对应用层消息进行压缩、加密功能的层次为( 表示层 )。
- 在OSI参考模型中,( 数据链路层 )在物理线路上提供可靠的数据传输。
- TCP/IP的四层模型中,每一层都提供了安全协议,下列属于数据链路层安全协议的是 PPTP 。
- IP规定每个C类网络最多可以有( 254 )台主机或路由器。
- 为了攻击远程主机,通常利用( 端口扫描 )技术检测远程主机状态。
- 包过滤防火墙对( 网络层 )的数据报文进行检查。
- 下列协议中,与电子邮箱服务的安全性无关的是( MIME )。
- 下列协议中,可以用于文件安全传输的是( SFTP )。
- 使用电子邮件客户端向服务器发送邮件的协议是( SMTP )。
- 以下协议中属于应用层协议的是(SNMP),该协议的报文封装在( UDP )。
- 下列协议中,属于安全远程登录协议的是( SSH )。
- PKI体系中,由SSL/TSL实现HTTPS应用.浏览器和服务器之间用于加密HTTP消息的方式是( 会话密钥+公钥加密 )
- 利用报文摘要算法生成报文主要的目的是 ( 防止发送的报文被篡改 )。
- 下列攻击类型中,( 拒绝服务 )是以被攻击对象不能继续提供服务为首要目标。
- SQL是一种数据库结构化查询语言,SQL注入攻击的首要目标是( 获得数据库的权限 )。
- SQL注入是常见的web攻击,以下不能够有效防御SQL注入的手段是( 部署入侵检测系统阻断攻击 )。
- IPv6地址长度为( 128 )bit。
- 采用DHCP动态分配IP地址,如果某主机开机后没有得到DHCP服务器的响应。则该主机获取的IP地址属于网络( 169.254.0.0/16 )。
- 169.254.0.0/16这个地址段就是local link address(链路本地地址)。
- Telnet协议是一种( 基于TCP )的远程登录协议。
- 防火墙通常分为内网、外网和DMZ三个区域,按照受保护程度,从低到高正确的排列次序为( 外网、DMZ和内网 )。
- 使用漏洞扫描系统对信息系统和服务器进行定期扫描可以( 发现高危风险和安全漏洞 )。
- web应用防火墙无法有效保护( 流氓软件 )
- 流氓软件属于系统内部,不是防火墙处理范围