计算机网络与通信(第7章)
17计算机网络技术第七章常见网络安全技术第十七周教案
(3)在查看“网上邻居”时出现“无法浏览网络。网络不可访问。想得到更多信息请查看‘帮助索引’中的‘网络疑难解答’专题”的错误提示
(4)在“网上邻居”中只能看到本机的计算机名
(5)可以访问服务器,也可以访问Internet,但无法访问其他工作站
(6)可以Ping通IP地址,但Ping不通域名
5.IPSec技术
IPSec(Internet Protocol Security)是一种网络通信的加密算法,采用了网络通信加密技术。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。
(2)服务访问策略
典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
(3)防火墙设计策略
通常有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。
(4)增强的认证
增强的认证机制包含智能卡,认证令牌,生理特征(指纹)以及基于软件(RSA)等技术,来克服传统口令的弱点。目前许多流行的增强机制使用一次有效的口令和密钥(如SmartCard和认证令牌)。
(7)网络上其他的计算机无法与我的计算机连接
(8)安装网卡后计算机启动的速度慢了很多
(9)在“网上邻居”中看不到任何计算机
(10)别人能看到我的计算机,但不能读取我计算机上的数据
(11)在安装网卡后,通过“控制面板|系统|设备管理器”查看时,报告“可能没有该设备,也可能此设备未正常运行,或没有安装此设备的所有驱动程序”的错误信息
计算机网络与信息安全课件-第7章-防火墙基础
第七章防火墙技术防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。
与防火墙一起起作用的就是“门”。
如果没有门,各房间的人将无法沟通。
当火灾发生时,这些人还须从门逃离现场。
这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小门的墙。
这些小门就是用来留给那些允许进行的通信,在这些小门中安装了过滤机制。
网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。
防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防止发生不可预测的、潜在破坏性的侵入。
典型的防火墙具有以下三个方面的基本特性:(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。
因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。
所谓网络边界即是采用不同安全策略的两个网络的连接处,比如用户网络和Internet之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
(2)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。
从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络流量通过相应的网络接口接收上来,按照协议栈的层次结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
第7章 计算机网络的组建
(2)光纤网卡的连接
由于价格昂贵,通常情况下,只有服务器才 会采用光纤网卡。如果服务器直接与交换机 相连接,只需将光纤跳线的两端分别连接至 网卡和交换机的光纤端口即可,需要两条光 纤跳线。如果服务器通过综合布线与交换机 相连接,那么,需要分别连接光纤信息插座 与网卡,以及交换机光纤接口与光纤配线架 (在连接时,应当注意使综合布线、光纤跳线 和网卡执行同一标准),需要4条光纤跳线。
1.网络设备的选择 组建小型局域网所要考虑的设备主要有集线 器和交换机。这两种设备都可以组建星型拓 扑的网络,但二者的性能却是不同的。因为 集线器是平均分配带宽的,所以网络中每台 计算机实际获得的带宽是总带宽的几分之一.
2.网线的选择 组建星型网络一般选择双绞线作为传输介质。 双绞线分为UTP(非屏蔽双绞线)和STP(屏蔽双 绞线)。其中屏蔽双绞线的抗干扰性较好,但 价格较贵、安装复杂,所以在组建局域网时 很少使用。非屏蔽双绞线价格便宜、安装简 单,比较适合于组建小型局域网。按照EIATIA568A/568B标准,建议选择5类或超5类双 绞线。
7.2.3 服务器/客户端网络的连接
(1)使用Uplink端口级联 现在,除Cisco交换机外越来越多交换机提供 了Uplink端口,使得交换机之间的连接变得 更加简单。Uplink端口是专门用于与其他交 换机连接的端口,利用直通跳线可将该端口 连接至其他交换机的除Uplink端口外的任意 端口
(2)使用普通端口级联
(1)双绞线网卡的连接 由于具有非常高的性价比,因此,在任何规 模的网络中,双绞线设备都被广泛地使用。 虽然都是RJ-45端口,但是,不同设备之间、 不同的端口类型之间应当采用不同类型的跳 线和连接方式。 首先,使用直通线将服务器的网卡与信息插 座连接在一起。再使用直通线,将该节点所 对应的配线架上的端口与集线器或交换机连 接在一起。重复操作,将所有的服务器和计 算机全部连接到网络。
计算机网络课后题答案第七章
第七章网络安全7-01 计算机网络都面临哪几种威胁?主动攻击和被动攻击的区别是什么?对于计算机网络的安全措施都有哪些?答:计算机网络面临以下的四种威胁:截获(interception),中断(interruption),篡改(modification),伪造(fabrication)。
网络安全的威胁可以分为两大类:即被动攻击和主动攻击。
主动攻击是指攻击者对某个连接中通过的PDU 进行各种处理。
如有选择地更改、删除、延迟这些PDU。
甚至还可将合成的或伪造的PDU 送入到一个连接中去。
主动攻击又可进一步划分为三种,即更改报文流;拒绝报文服务;伪造连接初始化。
被动攻击是指观察和分析某一个协议数据单元PDU 而不干扰信息流。
即使这些数据对攻击者来说是不易理解的,它也可通过观察PDU 的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU 的长度和传输的频度,以便了解所交换的数据的性质。
这种被动攻击又称为通信量分析。
还有一种特殊的主动攻击就是恶意程序的攻击。
恶意程序种类繁多,对网络安全威胁较大的主要有以下几种:计算机病毒;计算机蠕虫;特洛伊木马;逻辑炸弹。
对付被动攻击可采用各种数据加密动技术,而对付主动攻击,则需加密技术与适当的鉴别技术结合。
7-02 试解释以下名词:(1)重放攻击;(2)拒绝服务;(3)访问控制;(4)流量分析;(5)恶意程序。
答:(1)重放攻击:所谓重放攻击(replay attack)就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。
(2)拒绝服务:DoS(Denial of Service)指攻击者向因特网上的服务器不停地发送大量分组,使因特网或服务器无法提供正常服务。
(3)访问控制:(access control)也叫做存取控制或接入控制。
必须对接入网络的权限加以控制,并规定每个用户的接入权限。
(4)流量分析:通过观察PDU 的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU 的长度和传输的频度,以便了解所交换的数据的某种性质。
计算机网络7章
朱明zhubob
7.3 无线广域网WWAN
7.3.3 移动通信系统
1.全球移动通信系统GSM GSM是ETSI于1990年年底制定,由于各个国家 对无线电频率的规定不同,标准允许GSM可以工作 在900MHz、1 800MHz及1 900MHz三个频带上。 GSM系统信号采用电路交换技术,即通信时通 话两端独占一条线路。 GSM的数据传输速率只有9.6kbps,所以利用 GSM平台接入Internet时速度太慢,手机或笔记本上 网时,感到非常的不便。 1998年提出一种新的技术来加速GSM数据传输 的速率,这就是GPRS。
朱明zhubob
7.2 无线传输技术
7.2.2 无线电波传输 2.窄频微波 微波采用高频率短波长(3~30GHz)的电 波传输数据,可提供点对点的远距离无线连接, 缺点是较容易受到外界干扰,各厂商的产品无 法互通。 无线网络使用微波频段时一般不使用公用 频带,需要申请专用频道,而且用非常窄的带 宽(窄频微波)来传输信号。这种窄频微波的 带宽刚好能将信号塞进去,这样不但可以大幅 减少频带的耗用,也可以减轻噪声干扰的问题。
朱明zhubob
7.3 无线广域网WWAN
7.3.3 移动通信系统 5.3G
(1)WCDMA WCDMA基于GSM网,它架设在现有的GSM网 络上,对于系统提供商而言可以较轻易地过渡。 (2)CDMA2000 CDMA2000从原有的窄带CDMA结构直接升级 到3G,建设成本低廉。CDMA2000的支持者不如 WCDMA多。 (3)TD-SCDMA TD-SCDMA由中国独自制定的3G标准,被国际 广泛接受和认可。
朱明zhubob
7.3 无线广域网WWAN
7.3.2 码分多址CDMA技术
CDMA允许所有的使用者同时使用全部频带, 并且把其他发出的信号视为杂讯,不必考虑信号碰 撞的问题。CDMA的优点:一是语音编码技术,其 通话品质比目前的GSM好,而且可以把环境噪声降 低,使通话更为清晰;二是利用扩频通信技术,减 少手机之间的干扰,可以增加用户的容量;三是手 机功率可以做的比较低,使手机电池使用时间更长, 更重要的是降低了电磁波辐射;三是带宽可以扩展 较大,可以传输影像,因此3G网络选用CDMA技术; 四是安全性能较好,CDMA有良好的认证体制,使 用码分多址,增强了防盗听的能力。
计算机网络-课后答案第七章
问题7-1:用一个例子说明置换密码的加密和解密过程。
假定密钥为CIPHER,而明文为attack begins at four,加密时明文中的空格去除。
答:在英文26个字母中,密钥CIPHER这6个字母在26个英文字母中出现的位置用红色a b然后按行问题7-2答:(1)向一个特定服务器非常快地发送大量任意的分组,使得该服务器过负荷因而无法正常工作。
(2)向一个特定服务器发送大量的TCP SYN报文段(即建立TCP连接的三次握手中的第一个报文段)。
服务器还误以为是正常的因特网用户的请求,于是就响应这个请求,并分配了数据结构和状态。
但攻击者不再发送后面的报文段,因而永远不能够完成TCP连接的建立。
这样可以浪费和耗尽服务器的大量资源。
这种攻击方式又称为SYN flooding(意思是使用同步标志进行洪泛)。
(3)重复地和一个特定服务器建立TCP连接,然后发送大量无用的报文段。
(4)将IP数据报分片后向特定服务器发送,但留一些数据报片不发送。
这就使得目的主机永远无法组装成完整的数据报,一直等待着,浪费了资源。
(5)向许多网络发送ICMP回送请求报文(就是使用应用层的PING程序),结果使许多主机都向攻击者返回ICMP回送回答报文。
无用的、过量的ICMP报文使网络的通信量急剧增加,甚至使网络瘫痪。
这种攻击方式被称为smurf攻击。
Smurf就是能够对网络自动发送这种ICMP报文攻击的程序名字。
分布式拒绝服务DDOS的特点就是攻击者先设法得到因特网上的大量主机的用户账号。
然后攻击者设法秘密地在这些主机上安装从属程序(slave program),如图所示。
一时刻在拒绝服务和分布式拒绝服务都是很难防止的。
使用分组过滤器并不能阻止这种攻击,因为攻击者的IP地址是事先不知道的。
当主机收到许多攻击的数据报时,很难区分开哪些是好的数据报,而哪些是坏的数据报。
例如,当服务器收到请求建立TCP连接的SYN报文时,很难区分这是真的请求建立TCP连接,还是恶意消耗服务器资源的连接请求。
计算机网络技术基础-7
线局域网中的作用。无线网卡主要包括NIC(网卡)单元、 扩频通信机和天线三个功能模块。NIC单元属于数据链路 层,由它负责建立主机与物理层之间的连接;扩频通信机 与物理层建立了对应关系,它通过天线实现无线电信号的 接收与发射。按无线网卡的接口类型可分为适用于台式机 的PCI接口的无线网卡和适用于笔记本电脑的PCMCIA接 口的无线网卡,另外还有在台式机和笔记本电脑均可采用 的USB接口的无线网卡。
7.2.2 无线局域网的用户接入
2. 认证(Authentication) (1)认证方式
IEEE802.11的MAC子层主要支持两种认证方式: 开放系统认证:无线客户端以MAC地址为身份证明, 要求网络MAC地址必须是唯一的,这几乎等同于不需要 认证,没有任何安全防护能力。在这种认证方式下,通常 应采用MAC地址过滤、RADIUS等其他方法来保证用户 接入的安全性。 共享密钥认证:该方式可在使用WEP(Wired Equivalent Privacy,有线等效保密)加密时使用,在认 证时需校验无线客户端采用的WEP密钥。
补充,规定无线局域网的工作频段为2.4GHz~2.4835GHz, 一般采用直接系列扩频(DSSS)和补偿编码键控(CCK) 调制技术,数据传输速率可以根据实际情况在11 Mb/s、 5.5 Mb/s、2 Mb/s、1 Mb/s的不同速率间自动切换。 2. IEEE802.11a
IEEE802.11a标准规定无线局域网的工作频段为 5.15~5.825GHz,采用正交频分复用(OFDM)的独特扩 频技术,数据传输速率可达到54 Mb/s。IEEE802.11a与 工作在2.4GHz频率上的IEEE802.11b标准互不兼容。
第7章《计算机网络基础》习题及答案
第七章计算机网络基础综合习题一一、单项选择题1.用来补偿数字信号在传输过程中的衰减损失的设备是()。
A.网络适配器B.集线器C.中继器D.路由器2.TCP/IP参考模型中的传输层对应于OSI中的()。
A.会话层B.传输层C.表示层D.应用层3.不属于Windows XP网络本地连接属性的是()。
A.网络客户端B.网络文件和打印机共享C.Internet协议D.共享文件4.下列叙述中错误的是()。
A.网卡的英文简称是NIC B. TCP/IP模型的最高层是应用层C.国际化标准组织提出的“开放系统互连参考模型(OSI)有7层”D.Internet采用的是OSI体系结构5.选择网卡的主要依据是组网的拓扑结构,网络段的最大长度、节点之间的距离和()。
A.接入网络的计算机种类B.使用的传输介质的类型C.使用的网络操作系统的类型D.互联网络的规模6.下列()不属于“网上邻居”可以显示计算机所连接的网络上的共享资源。
A.共享文件夹B.共享计算机C.共享打印机D.共享文件7.下列不属于OSI参考模型分层的是()。
A.物理层B.网络层C.网络接口层D.应用层8.下列()不属于“Internet协议属性”对话框选项。
A.IP地址B.子网掩码C.诊断地址D.默认网关9.用户可以使用()命令检测网络连接是否正常。
A.Ping B.FTP C.Telnet D.IPConfig 10.以下选项中不正确的是()。
A.计算机网络是由计算机系统、通信链路和网络节点组成B.从逻辑功能上可以把计算机网络分成资源子网和通信子网两个子网C.网络节点主要负责网络中信息的发送、接收和转发D.资源子网提供计算机网络的通信功能,由通信链路组成11.下列选项中不正确的是()。
A.无线传输的主要形式有无线电频率通信、红外通信、卫星通信B.光纤可分为单模光纤和多模光纤C.一条信道的最大传输速率和带宽成反比的,信道的带宽越高,信息的传输速率一条信道的最大传输速率和带宽成反比的,信道的带宽越高,就越慢D.bps指的是数据每秒传输的位数12.()不是网络协议的主要要素。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.1.3 网际层的服务和协议
网际层负责将分组从源主机传送到目的主机,提供无 连接的(Connectionless)、不可靠的(Unreliable)但尽 力而为的(Best-Effort)分组传送服务。
网际层实现这种服务的分组传送机制为网际协议 (internet protocol),通常称为IP协议,它主要提供三 个方面的内容:
7.2.1 分类IPv4地址及子网划分
IP地址的范围
类别
最大 网络数
网络号范围
每个网络中 最大主机数
主机号范围
IP地址范围
A
126
1~126
16777214
0.0.1~255.255.254
1.0.0.1~ 126.255.255.254
B
16382 128.1~191.254
65534
0.1~255.254
全为0 host-id 本地网络上主机号为host-id的主机,只作源地址
全为1 net-id
全为1 本地网络上有限广播(limited broadcast),各路由器都不转发,只 作目的地址
全为1 向net-id标识的网络定向广播(directed broadcast),只作目的地址
net-id 全为0 标识一个网络
子网掩码(Subnet Mask)
7.2.1 分类IPv4地址及子网划分
私有地址
私有地址看空间可以被许多专用网络自由使用,仅在 一个专用网络内保证唯一即可。私有地址也能和公有 地址在企业内混合使用。
址网络需要通过NAT路由器连接到Internet。NAT
网络互联组成互联网
7.1.1 Internet构造基础-网络互联
跨越使用不同标准的异构的网络进行通信,即实现网络互联, 是构造互联网的基础。互联网技术在底层网络与用户之间加 入了中间层次,互联底层网络,使它们互通,并屏蔽底层细 节,向用户提供通用一致的网络服务。
实现网络互联是网络层的核心功能,网络层的协议实现了分 组跨越互联网的传输。
第7章 网络互联
7.1 概述 7.2 网际协议 7.3 地址解析协议 7.4 因特网控制报文协议 7.5 无类别域间路由 7.6 路由协议(不讲) 7.7 IP多播(不讲) 7.8 下一代网际协议IPv6
7.1 概述
7.1.1 Internet构造基础-网络互联
若干个底层网络(LAN、MAN、WAN乃至点对点链 路等),通过路由器(router)互连在一起便组成 了互联网(internet)。互联网是网络的集合。
128.1.0.1~ 191.254.255.254
C 2097150
192.0.1~
254
223.225.254
1~254
192.0.1.1~ 223.255.254.254
7.2.1 分类IPv4地址及子网划分
特殊形式的IP地址
IP地 址 网络号 主机号
用途
全为0 全为0 表示本主机,只作源地址,启动时用,之后获得了IP地址不再使用
7.2.3 IP数据报分片与重组
IP数据报分片(Fragmentation)
数据报分片示例
7.2.3 IP数据报分片与重组
片重组(reassembly) 分片与重组控制
分片和重组控制有关 的字段有三个,即标识 (identification)字段、标志(flags)字段和片偏移 (fragment offset)字段。
IP定义了网际层的PDU,规定了它的格式; IP软件实现数据报转发功能,选择发送的路由并转发; IP还包括了一组体现了不可靠、尽力分组传送的规则。
7.2 网际协议
7.2.1 分类IPv4地址及子网划分
分类IPv4地址
32比特长度的二级地址,包括三个字段:
类别字段; 网络号字段net-id; 主机号字段host-id。
网络层实现分组跨越互联网的传输
7.1.2 网络互联的关键设备-路由器
路由器是网络互联的关键设备,路由器系统构成了互联网基 本的交通网络系统。
第3层交换机也称作交换路由器,使用专用集成电路ASIC对 分组进行更迅速的处理。高速交换路由器:GSR(Gigabit Switch Router)和TSR(Terabit Switch Router)。
IP数据报格式
7.2.3 IP数据报分片与重组
IP数据报封装中的问题
IP数据报是封装在底层网络的帧中传送的,封装是影 响传输效率的一个重要因素,最大传输单元MTU (Maximum Transfer Unit)。
IP的作法是:选择一个合适的初始数据报大小,使其 在源站所在网络上能进行最大限度的封装。同时,IP 协议提供一种分片机制,在路径中如果经过MTU较小 的网络,就将数据报分片进行传输。分片总是出现在 网络的交界处,由路由器负责。分片到达目的站后, IP将分片重组。
(Network Address Translation)即网络地址转换 。
类别
地址块
地址范围
A
1
B
16
10.0.0.0 ~ 10.255.255.255 172.16.0.0 ~ 176.16.255.255
C
256
192.168.0.0 ~ 192.168.255.255
7.2.2 IP数据报格式
IP地址分为A,B,C,D,E 5类,二级的IP地址有如 下特点:
net-id 可用于将数据报路由到目的网络; host-id可用于将数据报路交付到本网络上的主机; 简化了路由表。
点分十进制记法(dotted decimal notation)。
7.2.1 分类IPv4地址及子网划分
IP地址格式
127
任意 本地软件回送测试(loopback test),Internet上不能出现这种地址
7.2.1 分类IPv4地址及子网划分
划分子网(subnetting)
将单位自己控制的host-id字段中的前若干比特划分出来作为子网号 (subnet-id),在本单位内使用路由器将各子网互连。子网号使用 多少比特,单位根据需要自己决定。划分的子网和子网中的主机, 不使用全0和全1的子网号和主机号,称为变长子网划分(variablelength subnetting),相当于使用了三级地址。