1、NCRE2013 年 3 月计算机三级考试(网络技术)复习资料 基本要求 1.具有计算机系统及应用的基本知识。 2.掌握计算机局域网的基本概念与工作原理。3.了解网络操作系统的基础知识。 4.掌握因特网的基本应用知识,了解电子政务与电子商务的应用。 5:掌握组网、网络管理与网络安全等计算机网络应用的基础知识。 6,了解网络技术的发展。 7.掌握计算机操作方法,并具有 C 语言编程(含上机调试)的能力。 考试内容 一、 基本知识 1,计算机系统组成。 2.计算机软件的基础知识。 3.多媒体的基本概念。 4、计算机应用领域。二、计算机网络基本概念 1.计算机网络的定义与分类。 2.数据通信技术基础
2、。 3.网络体系结构与协议的基本概念。 4.广域网、局域网与城域网的分类、特点与典型系统。 5,网络互连技术与互连设备。 三、局域网应用技术 1.局域网分类与基本工作原理。 2,高速局域网。 3.局域网组网方法。 4.网络操作系统。 5.结构化布线技术。 四、网络操作系统 1.操作系统的基本功能。 2.网络操作系统的基本功能。 3.了解当前流行的网络操作系统的概况。 五、因特网基础 1.因特网的基本结构与主要服务。 2.因特网通信协议TCP/IP。 3.因特网接入方法。 4.超文本、超媒体与 Web 浏览器。六、网络安全技术 1.信息安全的基本概念。 2.网络管理的基本概念。 3.网络安全策略
3、。 4.加密与认证技术。 5.防火墙技术的基本概念。 七、网络应用:电子商务与电子政务 网络应用: 1.电子商务基本概念与系统结构。 2.电子政务的基本概念与系统结构。 3.浏览器、电子邮件及 Web 服务器的安全特性。4.Web 站点内容的策划和应用。 5.使用 Internet 进行网上购物与访问政府网站。八、网络技术发展 1,网络应用技术的发展。2,宽带网络技术。 3,网络新技术。九、上机操作 1.掌握计算机基本操作。2,熟练掌握 C 语言程序设计基本技术、编程和调试。 3.掌握与考试内容相关的上机应用。 考试方法 笔试:120 分钟,满分 100 分。上机考试:60 分2013 年计算
4、机等级考试三级网络技术考试大纲钟,满分 100 分。全国计算机等级考试三级网络技术考试要点概述第 1 章 计算机基础 1.1 计算机系统的组成年份事件:1946 ENIAC 第一台计算机诞生1969 ARPNET 产生 互联网的诞生1971 微处理器芯片 4004 产生 微机的诞生1981 微处理器芯片 Intel8088 产生 IBM 首推 PC1991.6 中科院高能所接入斯坦福大学 中国人上网1994 年 采用 TCP/IP 协议实现国际互联网全功能连接发展历程:大型机小型机微型机客户机/服务器Internet应用领域:科学计算、事务处理、过程控制、辅助工程(计算机辅助设计 CAD、计算
5、机辅助制造 CAM、计算机辅助工程CAE、计算机辅助教学 CAI、计算机辅助测试 CAT)、人工智能、网络应用、多媒体应用1.2 计算机硬件组成硬件具有原子特性,软件具有比特特性计算机现实的分类服务器 Sevrer:具有相对性、不需专门特定的处理器刀片式服务器:热插拔、低功耗、空间小、单机售价低Server 处理器结构:CISC 复杂指令集计算机(286、386)RISC 精简指令集计算机VLIW 超长指令字工作站 workstation:专业工作站、PC 工作站和台式机、笔记本、手持设备(掌上电脑)基本单位换算:速率或带宽:T、G、M、K 之间进率 1000,单位位每秒(bps)容量:T、G
6、、M、K、B 之间进率 1024,单位字节英文简写:MIPS 每秒一百万条整数指令MFLOPS 每秒一百万条浮点指令MTBF 平均无故障时间MTTR 平均故障修复时间奔腾芯片的特点32 位、超标量(多流水线、以空间换取时间)、超流水(多级,提高主频、细化流水、以时间换取空间)、分支预测、哈佛结构、PCI 局部总线(VESA 失利)、64 位数据总线、固化常用指令安腾芯片特点IA-64、EPIC 简明并行指令计算SSE 流式的单指令流、多数据流扩展指令SIMD 单指令流、多数据流主板的分类:规格(T)、存储器容量(MB)、芯片集(X)、即插即用(PnP)、带宽(Hz)、扩展槽(PCIUSBEIS
7、A)、CPU 芯片(486/奔腾)、CPU 插座(Socket7/Slot1)网卡两层性:物理层+数据链路层1.3 计算机软件组成软件=程序+数据+文档常用软件的分类:用途:系统软件(核心:操作系统)、应用软件授权:商业软件、共享软件、自由软件瀑布模型:计划-定义、可行性开发:初期-需求分析、总体设计、详细设计后期-编码、测试运行:维护1.4 多媒体基本概念多媒体计算机(MPC):CD-ROM、A/D 和 D/A 转换、彩显、压缩/解压缩压缩标准的区别:JPEG 连续色调、多级灰度、彩色或单色静止图像MPEG 动态图像H.263 可视电话超文本:非线性、非顺序、跳跃性;唇同步;流媒体:边下边看
8、压缩方法分类:熵编码(无损压缩)-哈弗曼、算术、游程编码源编码(有损压缩)-预测、矢量量化编码混合编码流媒体:边下边看(C/S)技术特点:连续性、实时性、时序性(同步性)多媒体制作软件PhotoShop 处理位图CorelDraw 处理矢量第二章 网络基本概念2.1 计算机网络的形成与发展三网融合:计算机网络、电信传输网、广播电视网广域网:资源子网、通信子网网络三大公害:网络攻击、计算机病毒、垃圾邮件与灰色软件网络互连技术局域网局域网 网桥局域网广域网 路由器或网关局域网广域网局域网 路由器或网关广域网广域网 路由器或网关2.2 计算机网络的基本概念定义:以能够相互共享资源的方式互联起来的自治
9、计算机的集合计算机网络地理范围分类:局域网 LAN(共享局域网、交换局域网)、城域网 MAN、广域网 WAN拓扑的定义:几何关系表示的网络结构 通信子网的抽象主体研究计算机网络结构问题与网络拓扑相关的指标:网络性能、系统可靠性、通信费用点对点网络不可能有总线型拓扑;广播式网络中不可能有网状型拓扑点对点网络:星型、环型、树型、网状型拓扑广播网络:总线型、树型、环型、无线通信与卫星通信型点对点网络拓扑特点星型拓扑:结构简单、易于实现、便于管理、可靠性差、中心结点是瓶颈环型拓扑:同向逐站传输、延时确定、维护及变更复杂树型拓扑:汇集信息、星型的拓展网状型拓扑:可靠性高、结构复杂、广域网常用公式的计算:
10、带宽与速率关系奈奎斯特定理 Rmax(bps)=2f(Hz)与香农定理 Rmax(bps)=B(Hz)log2(1+S/N)两定理基本原理:Nyquist 理想低通 有限带宽Shannon 有随机噪声的低通关于误码率:Pe=Ne/N正常工作状态下是统计值,样本越大越精确;不是越低越好,考虑实际需求;二进制码元2.3 分组交换技术的基本概念电路交换:有实际物理线路连接过程:线路建立、数据传输、线路释放特点:优点-实时性高、适宜交互式会话类通信 模拟通信不足-设备利用率底、不具备差错控制、流量控制不适宜突发式通信存贮转发:有地址、格式,有通信控制处理机(1)报文交换-将发送数据作为一个逻辑单位转发
11、 很长,出错重发麻烦(2)报文分组交换-限定分组最大长度 如 TCP/IP 最大 64KB含分组号 目的端需排序重组分组交换技术分:(1)数据报-无需预先建立链路、需进行独立的路由选择、目的结点需排序重组、可能乱序、传输延迟大、适宜突发式通信(2)虚电路-需预先建立逻辑链路、不需进行路由选择、适宜长报文传输每个结点可同时和其他结点建立多条虚电路、2.4 网络体系结构与网络协议协议三要素及其定义语法-结构和格式语义-控制信息、动作与响应时序-实现顺序OSI 七层结构:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层OSI 重点介绍:物理层-透明的传送比特流数据链路层-建立无差错的数据链
12、路、传送数据帧网络层-寻址、路由、拥塞控制传输层-端到端可靠透明地传送报文TCP、UDP 协议特点 传输层:传输控制协议TCP-可靠、面向连接、全双工、复杂、速度慢、传控制信息UDP-不可靠、面向无连接、简单、速度快、传数据TCP/IP 与 OSI 模型的对应关系:主机-网络层-物理层、数据链路层互联层-网络层传输层-传输层应用层-应用层TCP/IP 协议中传输层、互联层的功能互联层-将源报文发送至目的主机、收发 IP 数据报、路径/流控/拥塞传输层-提供端到端服务,建立用于会话的端到端的连接应用层-常见协议Telnet、FTP、SMTP、DNS、RIP、NFS、HTTP2.5 互联网的应用与
13、发展互联网应用:搜索引擎(应用系统软件)、博客(共享空间)、播客(Tudou)(传统广播节目播客、专业播客提供商、个人播客)、网络电视P2P-非集中式、平等、独立路由、自治P2P 即时通信:ICQ、QQ、MSN、Yahoo Messenger2.6 无线网络应用的发展802.16-WMAN,无线宽带/无线城域网(分为:固定接入、移动接入)802.15-蓝牙技术802.11-WLAN,无线局域网 Wi-FiAd hoc-无线自组网:自组织、对等式、多跳(无路由)WSN-无线传感器网络 三要素:传感器、感知对象、观察者WMN-无线网格网第三章 局域网基础3.1 局域网与城域网的基本概念决定局域网与
14、城域网性能的三要素网络拓扑传输介质介质访问控制方法广域网基本通信机制:存储转发局域网基本通信机制:共享介质与交换传输介质:双绞线、同轴电缆、光纤、无线信道总线型拓扑:结构简单、实现容易、易于扩展、可靠性好特点:所有网卡连接到作为公共传输介质的总线上总线一般为同轴电缆或双绞线一段时间内只能有一个结点发送数据同一时刻2 个结点同时发送即出现冲突,传输失败需解决多个结点访问总线的介质访问控制环型拓扑:结点之间通过网卡利用点到点线路连接构成闭合环形,环中数据沿一个方向饶欢逐站传递结构简单、实现容易、延迟确定、可在负荷较重、实时性高的环境下工作星型拓扑由 IEEE802.2 标准定义的介质访问控制方法带
15、冲突检测的载波侦听多路访问(CSMA/CD)方法的总线型以太网局域网令牌总线(Token Bus)方法的总线型局域网令牌环(Token Ring)方法的环型局域网*IEEE802.5 制定令牌环网具体标准数据链路逻辑链路控制(LLC)子层(高层)协议相同介质访问控制(MAC)子层(低层)协议不同IEEE802.3 定义带冲突检测的载波侦听多路访问(CSMA/CD)总线总线介质访问控制子层与物理层标准3.2 以太网(Ethernet)发展历程核心技术:随机争用型介质访问控制方法,即带冲突检测的载波侦听多路访问来自无线分组交换网 ALOHA工作流程:先听后发,边听边发,冲突停止,延迟重发载波侦听过
16、程物理层上以曼彻斯特编码数据,如总线电平不跳变,即总线空闲冲突检测方法冲突窗口:2 倍的传输延迟 =总线最大长度 D/电磁波在介质中传播速率(光速的 65%)V标准协议冲突窗口为 51.2s使用比较法、编码违例判决法发现冲突、停止发送第一步是发出冲突加强信号,是所有结点检测出冲突的存在随机延迟重发最大重发 16 次后延时间 =2 kRaKmin=(重发次数,10)R=Randoma=冲突窗口 max=1023 个时间片以太网帧结构:Ethernet V2.0 的 DIX 帧64B1518B前导码(7B)与帧前定界符(1B)前导码 1010101;帧前定界符 10101011;用于稳定电路目的地
17、址(6B)源地址(6B)一般为 MAC、物理以太网地址目的地址分为:单一结点地址(第一位为 0)、多点地址(第一位为 1)、广播地址(全为 1)类型字段(2B)网络层协议数据字段(641500B)帧校验字段(FCS,4B)循环冗余检验(CRC)范围:目的地址、源地址、长度、LLC 数据接收检验LLC 字段错:帧长度错不是 8b 的整数倍:帧校验错帧位错以太网物理地址48 位(EUI-48),写入网卡只读存储器(ERROM),6 组两位 16 进制数;共有 247个;前 3B 分配给生产商3.3 高速局域网的工作原理解决方法提高传输速率,帧结构不变(10Mbps10Gbps)分隔大型局域网,隔离
18、子网通讯量将共享介质方式改变为交换方式(局域网交换机)快速以太网 IEEE802.3u数据传输率:100Mbps采用相同的帧格式、介质访问控制方法与组网方法,降低每位发送时间LLC 使用 IEEE802.2,MAC 使用 CSMA/CD,调整物理层100BASE-T 定义 MII千兆以太网 IEEE802.3z数据传输率:1Gbps采用相同的帧格式、类似的组网方法,降低每位发送时间LLC 使用 IEEE802.2,MAC 使用 CSMA/CD,调整物理层1000BASE-T 定义 GMII万兆以太网 IEEE802.3ae数据传输率:10Gbps保留以太网最大最小帧长度规定使用单模光纤(有时使
19、用多模光纤)全双工,无介质争用,无 CSMA/CD物理层标准:局域网/广域网物理层(万兆介质独立接口10GMII)3.4 交换式局域网与虚拟局域网核心设备:局域网交换机:可以在多个端口之间(结点或Hub)建立多个并发连接交换式以太网核心部件:以太网交换机技术特点低交换延迟支持不同的传输速率和工作模式(全双工/半双工):完成不同端口速率切换支持虚拟局域网服务工作原理交换机可隔离本地信息,从而避免网络上不必要的数据流动,这也是交换机与集线器的最重要区别利用端口号/MAC 地址映射表进行交换数据地址学习:获得端口号/MAC 表,动态维护帧转发方式直接交换方式:只接收目的地址,而后直接转发存储转发交换
20、方式:接收完整帧,并进行差错检测改进的直通交换方式:接受前 64B,判断头部是否正确虚拟局域网 VLAN按工作性质划分的”逻辑工作组”不受物理位置限制,可以连在不同但互连的交换机上以软件方式划分与管理技术基础:交换技术组织方法:用交换机端口号定义虚拟局域网用 MAC 地址定义虚拟局域网用网络层地址定义虚拟局域网基于 IP 广播组的虚拟局域网优点:方便管理、安全性好、改善服务质量3.5 无线局域网 WLAN介质:微波、激光与红外线等无线电波实现物理层与数据链路层传输技术:红外线、窄带微波、扩频MAC 层采用 CSMA/CA 方法避免冲突无线自组网(Ad hoc)不需基站,对等结构红外无线局域网:
21、视距方式定向光束、全方位红外、漫反射安全性好,抗干扰强,安装简单,易于管理,传输距离受限扩频无线局域网军事对抗常用方法跳频扩频通信、直接序列扩频通信无线局域网标准 IEEE802.113.6 局域网互联与网桥工作原理网桥:数据链路层设备实现多个网络系统之间的数据交换,起到数据接收,通过帧地址进行地址过滤和数据转发,以隔开网中的流量网桥的特点可互联 2 个使用不同数据链路层协议、传输介质与传输速率的网络以接收、储存、地址过滤与转发的方式实现通信互联的网络要在数据链路层以上使用相同协议可分隔 2 个网络之间的广播通信,增加安全性工作特性其不更改接收帧的数据字段的内容与格式,所以要求在 MAC以上使
22、用相同协议性能参数为每秒接收与转发的帧数具有寻址能力与路由选择能力MAC、物理层协议可以不同透明网桥常用IEEE802.1d 标准路由表信息:站地址、端口、时间网桥进行路由选择一般用于互联两个 MAC 协议相同的网络容易安装,即插即用采用生成树算法,创建逻辑上无环路的拓扑结构,避免帧在环网中循环源路由网桥 IEEE802.5 制定由发送帧的结点负责路由选择广播风暴新增机多、盲目广播、以扩大地址-结点表第四章 网络操作系统4.1 网络操作系统的特点单机操作系统的管理功能:进程管理内存管理(分配内存、不占其他、硬盘化虚拟、阻止乱访问)文件系统(文件句柄)(文件 I/O)设备 I/O(键盘、鼠标、显
23、示器、打印机)单机 OS 的组成及结构:组件:驱动程序、内核、接口库及外围组件结构:简单结构、内核结构:单内核、微内核、超微内核以及外核OS 启动进程的机制:DOS-EXECWindows、OS/2-CreatProcess(KERNEL32.DLL 中)常见文件系统:文件名与存储位置关系DOS-文件表 FATWindows-虚拟文件表 VFATOS/2-高性能文件系统 HPFSNOS 的基本任务:屏蔽本地资源与网络资源的差异性、提供网络服务、实现网络系统资源共享管理、安全保障4.2 网络操作系统的类型与功能网络操作系统的分类:专用型 NOS、通用型 NOS(变形级系统(单机 OS+网络组建)
24、、基础级系统)NOS 的发展:对等-非对等:网络服务器/网络工作站或客户机硬盘服务器-文件服务器-应用服务器 etc.文件服务器的功能:为用户提供完善的数据、文件和目录服务NOS 功能:文件服务、打印服务(先到先服务)、数据库服务、通信服务、分布式服务、网络管理服务、Internet/Intranet 服务网络管理服务功能:网络性能分析、状态监控、存贮管理数据库的语言:SQL(结构化查询语言)4.3 Windows NOS 的发展Windows NT Server 服务器端Windows NT Workstation 客户端Windows NT 域的概念:网络资源集中管理域同目录,NT 只有一
25、个主域,可有多个备份域Windows NT 不变的是:域模型与工作组模型NT 的特点:内存与任务管理、开放的体系结构、内置管理、集中式管理、用户工作站管理NT 的优点:兼容性及可靠性、便于安装和使用、优良的安全性NT 的缺点:管理复杂、开发环境不良Windows 2000 的特点及其理解:特点:活动目录管理(可扩展性、可调节性),包括目录和,目录服务活动目录服务:无主域、域间平等(主从式-多主机复制),DNS 为定位服务域 树森林活动目录把域划分为组织单元(OU),此为逻辑单位用户全局、本地组-信任可传递、单点登陆Windows 2003 R2 特点简化的分支服务器管理改进的身份和访问管理更低
26、的存储管理成本功能全面的 Web 平台经济高效的服务器虚拟化无缝的 UNIX/Windows 互操作性Windows Server 2008 创新性能虚拟化技术增强平台的可靠性提高安全性广泛适合的网络解决方案4.4 NetWare 网络操作系统Netware 的组成文件服务器内核、工作站外壳和低层通信协议Netware 的网络服务与管理任务内核进程管理文件系统管理安全保密管理硬盘管理系统容错管理服务器与工作站的链接管理网络监控NetWare 文件系统的基本单位:卷访问方式:文件服务器名卷名:目录名子目录名文件名NetWare 四类用户网络管理员、组管理员、网络操作员、普通网络用户NetWare
27、 四级安全保密机制注册安全性用户信任者权限最大信任者权限屏蔽目录与文件属性NetWare 的系统容错技术三级容错:SFT1 复写、SFT2 硬盘镜像与双工、SFT3 服务器镜像事务跟踪系统、UPS 监控NetWare 的优缺点:优点:强大的文件及打印服务能力、良好的兼容性及系统容错能力、比较完备的安全措施缺点:工作站资源无法共享、安装及维护管理比较复杂 etc.IntranetWare 特点:建立强大的企业内部网、保护用户现有投资、方便管理网络与保证网络安全、集成企业全部资源、减少网络管理开支4.5 UNIX 网络操作系统UNIX 的发展1969 AT16b标识字段:是否分片,此处是否是最后一
28、个;4b片偏移:顺序,以 8b 为单位;12bIP 数据报选项:控制、测试 选项码+长度+选项数据源路由-严格/松散路由选项:制定路径记录路由时间戳:记录每一个路由的当地时间5.6 差错与控制报文在 IP 报中传输,使用互联网报文控制协议(ICMP)差错控制:发送给源主机,无特别优先权、可靠性,包括故障 IP 报的报头和前 64b 数据,IP 报出错抛弃时才产生目的地不可达报告-网络、主机、协议及端口不可达超时报告-TTL 超期参数错误报告-报告错误 IP 报的报头和选项参数控制报文:拥塞控制与源抑制报文,缓冲区存满之前/之时向发送主机发送;也向发送率高的主机发送路由控制与重定向报文,选择最佳
29、路径请求/应答报文对:回应请求/应答-测试目的主机或路由器的可达性和 IP 软件ICMP 软件的工作正常时戳请求/应答-同步时钟掩码请求/应答-请求告知子网掩码5.7 路由器与路由选择(需运行 IP 协议)一般为表驱动(N,R)对序偶、(M、N,R)三元组:到目标网络最近的路由器的较近的端口地址(下一跳路由器)统一路由选择算法:(M、N,R)三元组+特定主机 M=255.255.255.255默认路由 M=0.0.0.0A 类 IP 地址 M=255.0.0.0B 类 IP 地址 M=255.255.0.0C 类 IP 地址 M=255.255.255.0路由表建立:路由表一般包括:目的网络与
30、到达该网络的下一个路由器的 IP地址静态路由表,手工维护动态路由表,路由协议,自动维护特殊路由:默认路由(到已设定好的路由)、特定主机路由路由信息协议(RIP)与向量-距离算法路由表包括:目的网络号、路径、距离30s 就向周边路由器广播一次路由表连续 180s 中广播中不含此路由,即删除以近为优,同距先入为主开放式最短路径优先协议(OSPF)与链路-状态算法构建整网拓扑,进而列出 SPF 树,并以此构建路由表路由表包括:目的网络号、下一站处理量大,带宽占用多选择路由协议:静态路由-小型、单路径、静态拓扑 (网络数50)5.8 IPV6 协议IPV6 基本知识:128 位,64 位网络前缀+64
31、 网络接口标识符,冒号 16 进制表示法,16 位段,压缩为 4 为 16 进制数,共 8 段零压缩:两:之间 4 个 0 则用 1 个 0 表示;连续几个位段均为0,用:表示IPv6 前缀:地址/前缀长度 用作路由或子网标志IPV6 地址类型:单播地址(一个区域,单个网络接口)-可聚类全球单播、链路本地地址组播/多播地址-该多播地址表示的一组网络接口任播/泛播地址-该多播地址表示的一组网络所有网络接口中的任一个特殊地址-全零地址(不存在)、回送地址(0:1)映射到 IPV4 和 IPV4 兼容的 IPV6 地址IPV6 数据报格式:基本头(40B)+扩展头+数据单元对 IPv4 不向下兼容5
32、.9 TCP 与 UDP(传输层协议)TCP 与 UDP 服务的特点TCP-完全可靠性(重发技术)、面向连接、全双工通信、流接口、连接的可靠建立与优雅关闭(三次握手)UDP-不可靠、无连接、简单、高效TCP 流量控制过程:窗口常见应用程序对应的端口号TCP 端口:FTP-20 21、Telnet-23、SMTP-25、DNS-53HTTP-80、POP3-110UDP 端口:DNS-53、TFTP-69、SNMP-16第六章 Internet 基本服务6.1 客户机/服务器模型C/S 定义及特性:定义-客户机进程启动请求通信、服务器进程被动等待特性-互联网应用程序间同步、适应资源分配不均服务器
33、的实现方法:重复 Server-面向无连接、请求处理时间已定,时间较短,一个一个处理并发 Server-面向连接、请求处理时间不定,实时、灵活,对系统要求高安全问题:蠕虫端口号-C/S 中标识特定的服务6.2 域名系统 DNS命名机制要求:全局唯一性,名字便于管理,高效的进行映射域名体系特点:树状层次结构(倒树)、分布式Internet 域名管理机构 NIC 注册的 7 个顶级域名com-商业组织edu-教育机构gov-政府部门mil-军事部门net-主要网络支持中心org-非营利性组织int-国际组织国家代码-各个国家我国二级域名ac-科研机构com-商业组织edu-教育机构gov-政府部门
34、net-主要网络支持中心org-非营利性组织升级行政区名域名解析的两种方法:递归解析、反复解析,均由本地域名服务器完成本地域名服务器记录信息为域名、TTL/s、类别(一般为 IN,是指 Internet)、类型、值6.3 远程登陆服务Telnet 协议属于 TCP/IP 协议集Telnet 采用 C/S 模式,NVT 来屏蔽键盘的差异性、屏蔽双方数据格式的差异性6.4 FTP 服务FTP 文件传输协议采用双向传输、交互式会话FTP 采用 C/S 模式利用 TCP 建立双重连接控制连接-传送 FTP 命令与相应(21)数据连接:建立方式-主动模式(默认,20)、被动模式(端口号随机)命令传输:7
35、 位 ASCII 码-4 个大写字母(有的有可选参数)构成传输方式-文本文件 ASCII/EBCDIC、二进制文本:比特流用户接口(FTP 访问方式):FTP 命令行:浏览器(ftp:/ftp)FTP 下载工具(网络蚂蚁等)FTP 匿名服务用户名 anonymous 口令 guest一般只下载,不上传6.5 电子邮件系统功能:创建、发送邮件,接受、阅读、管理邮件TCP:发送邮件用 SMTP(25):连接建立邮件传递连接关闭接收用 pop3(110):认证事务处理更新、IMAP邮件的发送与接受均要经过邮件服务器,因 SMTP 和 pop3 均用C/S 模式,可靠性高,速度快邮件地址格式:用户名邮
36、件服务器电子邮件的报文地址RFC822-邮件头(多行)+邮件体 ASCII 7 位Internet 邮件扩展 MIME-邮件体多媒体化6.6 WWW/Web 服务完全分布式,80 端口Web 服务使用 C/S 工作模式,具有高度集成性以超文本传输协议 HTTP 超文本标记语言 HTML 为基础HTML 语言全文头部标题主体段落属性名=属性值图像超链接文本或图片统一资源定位符 URL 协议类型:HTTP、ftp、telnet、file、gopherURL 格式协议类型:/主机名/路径及文件名web 浏览器组成及工作原理:控制单元、客户单元、解释单元WWW 安全性IP 地址限制、用户验证、web
37、权限、NTFS 权限Web 访问控制保护自己:划分 Internet 为 Internet 区域、本地 Intranet区域、可信站点区域、受限站点区域验证网站真实性:CA 数字证书防止别人假冒自己:自己申请 CA 数字证书,装在自己的浏览器上防止第三方收看:安全套接层安全通道:安全套接层 SSL 作用及工作流程验证客户机和服务器双方身份、加密传输数据会话密钥有浏览器产生第七章 网络安全技术7.1 网络管理2 个任务:网络运行状态监测与控制目的:有效、可靠、安全、经济(、开放、综合)地服务对象:硬件、软件资源网络管理的 5 个功能:配置管理:建立故障管理:任务:发现和排除网络故障;包括:障碍管
38、理、故障恢复、预防保障;过程:检测故障、隔离故障、纠正故障性能管理:维护网络质量与运营效率,包括:性能监测、性能分析、性能管理控制、性能数据库维护、启动故障管理系统计费管理:记录资源使用,控制与监测费用和代价,并估算安全管理:系统、数据、业务网络管理者 网管代理模型:通信方式-管理操作、事件通知管理模式-集中式、分布式网络管理简单网络管理协议 SNMP 模型组成:主从关系、收集数据方法:轮询、基于中断、陷入制导轮询管理者、代理、SNMP(代理协议)、MIB(在被关节点内部)公共管理信息协议 CMIP管理:联系控制协议 ACP操作与事件报告:远程操作协议 ROP传输的是:协议数据单元 PDUSN
39、MP 与 CMIP 的特点:共同点-应用层协议、均采用管理者代理模型不同点:SNMP 用轮询监控、协议简单(实现、理解、排错)、安全性差CMIP 用委托监控、实时性强、安全性好协议复杂、代理负荷重7.2 信息安全技术概述信息安全的概念及目标:概念-信息网络的硬件、软件及其系统中的数据受到保护目标-真实、完整、保密、可用、不可抵赖、可控制、可审查策略:先进安全技术、严格安全管理、严格法律法规安全准则(可信任计算机标准评估准则 TCSEC):由美国国防部国家计算机安全中心 NCSC 制定分四类 7 级,由 D(1)、C(2)、B(3)至 A(1)安全性逐步增强常见 OS 符合那个级别的安全要求:D
40、1-Dos、Win95C2-Windows NT、Netware、Unix、Linux我国 GB 安全准则:自主保护级-不危害国家安全、社会秩序、经济建设、公共利益指导保护级-造成一定损害监督保护级-造成较大损害强制保护级-造成严重损害专控保护级-造成特别严重损害7.3 网络安全分析与安全策略信息固有属性:传播、共享、自增值网络安全的概念、要素和目的:概念-网络系统的部件、程序、数据的安全性,它通过网络信息存储、传输和使用过程体现目的-信息存贮安全、信息传输安全常见的安全威胁及其影响的安全要素:监听、信息泄露-保密性伪装、假冒-真实性篡改-完整性重放-可控性DOS-可用性否认-防抵赖措施:社会
41、法律和教育、技术、审计与管理OSI 安全框架由国际电信联盟(ITU-T)制定,关注安全攻击、安全机制、安全服务网络攻击的分类:被动攻击-窃听与检测,有:信息内容泄露、流量分析难发现、可预防、加密,不影响系统资源主动攻击-伪装、消息篡改、重放、拒绝服务 DoS、分布式拒绝服务 DDoS易检测、难预防从网络高层划分:服务攻击-针对特定的网络服务(Mail Bomb)非服务攻击-针对网络底层协议(NetXRay)利用协议或操作系统漏洞实现,更为隐蔽,常被忽略安全机制 X.800使系统免受侦听、组织安全攻击机恢复系统的体制安全服务7.4 加密技术密码编码学独立特征:转换类型-代换、置换(易位)密钥个数
42、-双方相同(对称、单密钥、传统)双方不同(非对称、双钥、公钥)明文处理方法-分组(广泛)、流(序列)攻击密码体制:密码分析学、穷举攻击代换和置换(栅栏技术)算法基本原理代换:Caesar 密码、单表代换密码、playfair 密码、Hill 密码、多表代换密码、一次一密一般来说,加密算法起码要经受得住已知明文攻击无条件安全:无论有多少密文,都不能推出明文计算上安全:代价超过价值、时间超过生命期对称密码5 个基本成分:明文、加密算法、密钥、密文、解密算法数据加密标准(DES):64 位分组长度、64 位密文、56 位密钥应用算法:置换、循环左移、异或3DES:多个密钥、DES 三次加密高级加密标
43、准(AES):密钥长度 128、192 或 256 位;分组长度 128 位Blowfish 算法:分组长度 64 位;算法:密钥扩展、数据加密、加法和异或RC5 算法:分组大小、密钥大小、加密轮数均可变算法:异或、加法、循环公钥密码:数学函数算法组成:明文、加密算法、公钥和私钥、密文、解密算法公钥体制的应用:加密/解密、数字签名、密钥交换RSA 算法:数据加密、数字签名i.2 个大质数ii.n=pq;z=(p-1)(q-1)iii.e密钥管理:KDC(密钥分发中心,网络实体)-对称密钥及私钥的分发CA(认证中心)-公钥的认证,含在数字证书中理解非对称加密过程:(发送方)加密-接收方公钥(接受
44、方)解密-接收方私钥7.5 认证技术信息保护手段:加密、认证认证的目的及种类:目的-信源识别、完整性验证种类-消息认证、数字签名、身份认证消息认证:完整性校验让接收者检验收到的消息是否真实的方法,单这种校验不一定是实时的认证内容:政事信源、信宿消息是否受到偶然或有意的篡改序号与时间的正误(防止重放攻击)方法:认证来源:密钥+发送者识别符、使用通行字认证完整性:消息认证码(MAC)、篡改控制码(MDC)序号与时间:流水作业号、随机数认证法、时间戳模式:单向/双向验证认证函数:信息加密函数信息认证码(MAC)、散列函数:(MD5:填充、附加、初始化累加器、主循环;SHA-1:哈希(Hash)算法)
45、数字签名:防止通信双方攻击、防止抵赖公钥数字签名:RSA、ElGamal、Fiatshamir、DES/DSA、椭圆曲线数字签名算法特殊数字签名:盲签名、代理签名、群签名、不可否认签名、公平盲签名美国离散对数DES 数字签名创建:创建公/私钥对发送公钥函数运算私钥加密 函数输出验证:分离消息与数字签名公钥解密相同函数运算比较输出身份验证口令认证:防止口令猜测,可限制不成功登陆次数一次性口令方案:S/Key 协议与令牌口令认证方案持证认证:如磁卡、智能卡 etc.常与个人识别码(PIN)同用生物识别:虹膜、指纹、手形、声音 etc.身份认证协议一次一密 S/Key 协议X.509 认证协议(国际
46、电报与电话咨询委员会 CCITT)Kerberos 认证协议7.6 安全技术应用两种形式:面向网络的服务:网络层面向应用的服务:流行用 Kerberos 的 Telnet、NFS、rlogin;用于加密电子邮件的PEM 与 PGP实现简单、端到端保障安全电子邮件-PGPPGP(相当好的私密性)5 种服务:鉴别、机密性、压缩、电子邮件的兼容性、分段利用四种密钥:一次性会话的常规密钥、公开密钥、私有密钥、基于口令短语的常规密钥安全电子邮件-S/MIMES/MIME(安全/通用 Internet 邮件扩充)功能:加密的数据、签名的数据、透明签名、签名并加密的数据网络层安全-IP 安全协议 IPSec
47、身份认证头(AH)协议-源身份认证、数据完整性封装安全负载(ESP)协议-身份认证、数据完整性、秘密性Web 安全威胁:Web 服务器安全威胁、Web 浏览器安全威胁、浏览器与服务器之间网络通信的安全威胁Web 流量安全性:网络级:使用 IPSec 安全协议传输级:TCP 上使用安全套接层(SSL)或运输层安全(TLS)应用级:嵌入应用程序中(如安全电子交易 SET)7.7 入侵检测与防火墙入侵者2 大最广泛的网络安全威胁:入侵者、病毒入侵者分为:假冒者、非法者、秘密用户入侵检测技术:可分为统计异常检测-阀值检测、基于轮廓基于规则检测-异常检测、渗透检测具体方案:审计记录:原有的审计记录、专门
48、用于检测的审计记录统计异常检测基于规则的入侵检测分布式入侵检测防火墙特性设计目标:全部通信过滤、授权通过、免疫渗透控制访问与执行站点安全策略的四种技术:服务控制、方向控制、用户控制、行为控制功能:单个的阻塞点、提供安全与监视的场所、Internet 功能平台、IPSec 平台防火墙的分类:包过滤路由器(统一处理)-简单、透明、处理速度快应用级网关/代理服务器-针对特定应用、开销大电路级网关*堡垒主机:安全临界点,为应用级网关与电路级网关的服务平台防火墙不能防:绕过它的连接、内部的攻击、病毒防火墙的使用范围:VLAN 之间、外网与内网之间、总部网与分支机构网络之间7.8 计算机病毒问题与防护计算机病毒:一个程序或一段可执行代码破坏性、传染性、潜伏性、复制能力生命周期:潜伏阶段繁殖阶段 触发阶段 执行阶段种类寄生病毒、存储器驻留病毒、引导区病毒、隐形病毒、多态病毒常见病毒宏病毒 Microsoft Excel/Word电子邮件病毒:嵌入 Word 宏特洛伊木马/黑客病毒:非为服务器程序和控制器程序、
