网络安全原理与应用(第二版) 第2章 网络体系结构及协议
合集下载
网络体系结构及协议
问题亟待解决,向IPv6过渡成为必然趋势。
02
网络安全性问题
随着网络攻击手段不断升级,现有网络体系结构在安全性方面存在诸多
漏洞,如DDoS攻击、网络钓鱼等,需要加强安全防护。
03
网络可扩展性问题
现有网络体系结构在面对大规模数据传输和海量设备连接时,存在可扩
展性不足的问题,难以满足未来物联网、5G等应用场景的需求。
02
ICMP(互联网控制 消息协议)
用于在IP主机和路由器之间传递 控制消息,如网络不可达、超时 等。
03
IGMP(互联网组管 理协议)
用于IPv4网络中的多播组成员资 格管理。
数据链路层和物理层协议
数据链路层协议
如Ethernet、PPP等,负责将数据封装成 帧进行传输,并提供错误检测和流量控 制等功能。
内容过滤
检查数据包内容,拦截恶意代码、垃圾邮件等不良信息。
防火墙原理及功能介绍
日志记录
记录网络访问和数据传输情况,便于审计和 故障排查。
VPN支持
提供虚拟专用网络功能,保障远程访问的安 全性。
典型防火墙配置案例分析
案例一
小型企业网络防火墙配置
配置目标
保护内部网络免受外部攻击,限制员工上网行为。
典型防火墙配置案例分析
协议作用
网络协议是网络通信的基础,它使得 不同厂商生产的计算机和网络设备能 够相互通信,实现网络资源的共享和 信息的交换。
协议层次结构划分
OSI七层模型
01
物理层、数据链路层、网络层、传输层、会话层、表示层、应
用层。
TCP/IP四层模型
02
网络接口层、网络层、传输层、应用层。
五层模型
03
网络安全原理与应用(第二版) 第2章 网络体系结构及协议
• D类地址用于在IP网络中的组播(Multicasting)。D类组播地址机 制仅有有限的用处。一个组播地址是一个惟一的网络地址。它能 指导报文到达预定义的IP地址组。 • 因此,一台机器可以把数据流同时发送到多个接收端,这比为每 个接收端创建一个不同的流有效得多。组播长期以来被认为是IP 网络最理想的特性,因为它有效地减小了网络流量。 • D类地址空间,和其他地址空间一样,有其数学限制,D类地址的 前4位恒为1110,预置前3位为1意味着D类地址开始于128+64+32 等于224。第4位为0意味着D类地址的最大值为 128+64+32+8+4+2+1为239,因此D类地址空间的范围从224.0.0.0 到239.255.2 55.254。
• 最后的16位(2个8位组)标识可能的主机地址。每一个B 类地址能支持64,534个惟一的主机地址,这个数由2的16次 方减2得到,B类网络有16,382个。
3、C类地址
• C类地址用于支持大量的小型网络。这类地址可以认为与A类地址正好相反。 A类地址使用第一个8位组表示网络号,剩下的3个表示主机号,而C类地址 使用三个8位组表示网络地址,仅用一个8位组表示主机号。 C类地址的前3位数为110,前两位和为192(128+64),这形成了C类地址空间 的下界。第三位等于十进制数32,这一位为0限制了地址空间的上界。不能 使用第三位限制了此8位组的最大值为255-32等于223。因此C类网络地址范 围从192.0.1.0至223.255.254.0。 最后一个8位组用于主机寻址。每一个C类地址理论上可支持最大2 5 6个主机 地址(0~255),但是仅有254个可用,因为0和255不是有效的主机地址。可以 有2,097,150个不同的C类网络地址。 在IP地址中,0和255是保留的主机地址。IP地址中所有的主机地址为0用于 标识局域网。同样,全为1表示在此网段中的广播地址。
网络体系结构、协议和软件系统
远程访问服务
分布式计算服务
应用软件在分布式计算环境中需要网络支 持,以实现分布式系统之间的协同工作和 资源共享。例如,云计算、网格计算等。
应用软件支持远程访问服务,使得用户能 够通过网络访问远程计算机上的资源和应 用。例如,远程桌面、远程文件传输等。
中间件技术在网络体系结构中的应用
消息中间件
消息中间件是一种基于消息的分布式系统通信方式,它能够在不同平台和应用之间传递消息,实现异步通信和消息队 列等功能。
组成
网络体系结构通常包括物理层、数据 链路层、网络层、传输层、会话层、 表示层和应用层等层次,每层都有其 特定的功能和服务。
发展历程及现状
发展历程
网络体系结构经历了从ARPANET到TCP/IP的演变过程,期间出现了OSI七层模型等重要的网络体系 结构。
现状
目前,TCP/IP协议族已成为事实上的国际标准,被广泛应用于Internet和各类计算机网络中。同时, 随着云计算、物联网等新技术的发展,网络体系结构也在不断演进和完善。
针对特定应用场景,软件系统可 以采用协议优化算法来提高传输 效率,如拥塞控制、流量整形等。
协议扩展和定制
为了满足特殊需求,软件系统可 以对现有协议进行扩展或定制, 以适应特定的网络环境和应用场 景。
案例分析
HTTP/HTTPS协议与Web浏览器: Web浏览器通过HTTP/HTTPS协议与 Web服务器进行通信,实现网页的浏 览和数据的传输。协议的特点如请求 /响应模型、无状态性等对浏览器的 设计和实现产生了重要影响。
协议决定互操作性
为了实现不同软件系统之间的互操作,必须遵循相同的网络协议。协 议的标准化和兼容性对软件系统的互操作性具有重要影响。
软件系统对协议实现的支持和优化措施
网络体系结构及网络协议课件
网络体系结构及网络协议 课件
目 录
• 网络体系结构概述 • OSI模型 • TCP/IP模型 • 网络协议详解 • 网络安全与协议 • 未来网络体系结构展望
01 网络体系结构概述
什么是网络体系结构
总结词
网络体系结构是计算机网络中各层功 能及其相互关系的集合,定义了网络 中数据传输和通信的规则。
DNS协议
总结词
域名系统,将域名转换为IP地址。
详细描述
DNS协议是互联网上用于将域名转换为IP地址的一种分布式数据库系统。通过DNS协议,用户可以在 浏览器中输入域名,而不是IP地址,来访问网站。DNS协议将域名解析为相应的IP地址,以便计算机 能够相互通信。
FTP协议
总结词
文件传输协议,用于在网络上传输文件。
远程办公 企业通过SSH协议建立安全的远程登 录通道,保证远程办公数据的安全性。
域名系统(DNS) DNS通过DNSSEC协议提供安全可靠 的域名解析服务,保护用户免受DNS 欺骗攻击。
06 未来网络体系结构展望
软件定义网络(SDN)
总结词
软件定义网络是一种新型网络体系结构,通过将网络控制与 转发分离,实现网络资源的灵活管理和调度。
DNSSEC协议
DNSSEC协议是一种DNS安全扩展协议,可以为DNS查询提供数据完 整性和源认证等安全保护。
网络安全协议的应用场景
电子商务 电子商务网站通过SSL/TLS协议对用户 提交的敏感信息进行加密传输,保证交
易数据的安全性。 虚拟专用网络(VPN) VPN通过IPsec协议建立安全的网络 连接,保护数据传输的安全性。
应用层
直接为用户提供服务,如文件传输、电子邮件和网页 浏览等。
表示层
目 录
• 网络体系结构概述 • OSI模型 • TCP/IP模型 • 网络协议详解 • 网络安全与协议 • 未来网络体系结构展望
01 网络体系结构概述
什么是网络体系结构
总结词
网络体系结构是计算机网络中各层功 能及其相互关系的集合,定义了网络 中数据传输和通信的规则。
DNS协议
总结词
域名系统,将域名转换为IP地址。
详细描述
DNS协议是互联网上用于将域名转换为IP地址的一种分布式数据库系统。通过DNS协议,用户可以在 浏览器中输入域名,而不是IP地址,来访问网站。DNS协议将域名解析为相应的IP地址,以便计算机 能够相互通信。
FTP协议
总结词
文件传输协议,用于在网络上传输文件。
远程办公 企业通过SSH协议建立安全的远程登 录通道,保证远程办公数据的安全性。
域名系统(DNS) DNS通过DNSSEC协议提供安全可靠 的域名解析服务,保护用户免受DNS 欺骗攻击。
06 未来网络体系结构展望
软件定义网络(SDN)
总结词
软件定义网络是一种新型网络体系结构,通过将网络控制与 转发分离,实现网络资源的灵活管理和调度。
DNSSEC协议
DNSSEC协议是一种DNS安全扩展协议,可以为DNS查询提供数据完 整性和源认证等安全保护。
网络安全协议的应用场景
电子商务 电子商务网站通过SSL/TLS协议对用户 提交的敏感信息进行加密传输,保证交
易数据的安全性。 虚拟专用网络(VPN) VPN通过IPsec协议建立安全的网络 连接,保护数据传输的安全性。
应用层
直接为用户提供服务,如文件传输、电子邮件和网页 浏览等。
表示层
Ch8_2ed网络安全_2.ppt
具体定义双方必须支持的安全策略,规定所采 用的句法,命名相关安全服务信息时的方案, 包括加密算法,密钥交换算法,安全策略特性 和认证中心等。
密钥管理IKE协议
主要功能:建立和管理SA,协商安全策略。 SA通过密钥管理协议IKE在通信对等方之间进
行协商,以使双方确定:
封装形式(AH或者ESP) 加密算法及密钥 密钥的生存期 身份验证算法等
SSL的安全机制
SSL中使用的安全机制包括加密机制、数据签名 机制、数据完整性机制、交换鉴别机制和公证机制。 加密机制
提供多种不同强度的加密算法:DES,TripleDES,RC4,IDEA等,对应用层及握手数据加密传 输。加密所用的密钥由消息散列函数MD5产生。 数据签名机制
在握手过程中交换各自的证书以确定对方身份。 证书由认证中心(CA)签名。
封装安全有效载荷(ESP)不仅可以提供完整性 和认证功能外,还可以确保IP数据报的保密性。
ESP在安全IP报文中的位置
封装安全有效载荷(ESP)
在ESP首部中,包括一个安全关联的安全参数索 引SPI(32bit)和序号(32bit)。在ESP尾部中 有下一个首部(8bit,作用和AH首部一样)。
保留(16bit):预留将来使用,值设为0。
鉴别数据(可变):为32bit字的整数倍,默认长 度为96bit。包含经数字签名的报文摘要。可用来 鉴别源主机和检查IP数据报的完整性。
AH的工作过程
发送IP数据报时,首先确定目的IP地址和选择一 个安全参数索引SPI,然后产生一个SA,使用这 个SA的算法和密钥计算整个IP数据报的散列(如 MD5)填入AH首部的鉴别数据部分,然后发送。
4. 加密规范(Cipher Spec):加密算法(DES, 3DES,IDEA等)、消息摘要算法(MD5, SHA-1等)以及相关参数。
密钥管理IKE协议
主要功能:建立和管理SA,协商安全策略。 SA通过密钥管理协议IKE在通信对等方之间进
行协商,以使双方确定:
封装形式(AH或者ESP) 加密算法及密钥 密钥的生存期 身份验证算法等
SSL的安全机制
SSL中使用的安全机制包括加密机制、数据签名 机制、数据完整性机制、交换鉴别机制和公证机制。 加密机制
提供多种不同强度的加密算法:DES,TripleDES,RC4,IDEA等,对应用层及握手数据加密传 输。加密所用的密钥由消息散列函数MD5产生。 数据签名机制
在握手过程中交换各自的证书以确定对方身份。 证书由认证中心(CA)签名。
封装安全有效载荷(ESP)不仅可以提供完整性 和认证功能外,还可以确保IP数据报的保密性。
ESP在安全IP报文中的位置
封装安全有效载荷(ESP)
在ESP首部中,包括一个安全关联的安全参数索 引SPI(32bit)和序号(32bit)。在ESP尾部中 有下一个首部(8bit,作用和AH首部一样)。
保留(16bit):预留将来使用,值设为0。
鉴别数据(可变):为32bit字的整数倍,默认长 度为96bit。包含经数字签名的报文摘要。可用来 鉴别源主机和检查IP数据报的完整性。
AH的工作过程
发送IP数据报时,首先确定目的IP地址和选择一 个安全参数索引SPI,然后产生一个SA,使用这 个SA的算法和密钥计算整个IP数据报的散列(如 MD5)填入AH首部的鉴别数据部分,然后发送。
4. 加密规范(Cipher Spec):加密算法(DES, 3DES,IDEA等)、消息摘要算法(MD5, SHA-1等)以及相关参数。
《网络协议实践教程(第2版)》课件第2章 物理层协议
插孔用于DCE方面,插针用于DTE方面 RS-232C连接器任一针上的信号可为下列任
一状态:
标记(Mark) / 空(Space) 开(ON) / 关(OFF) 逻辑0 / 逻辑1
网络协议实践教程(第2版)
Page 10
第2章 物理层协议
RS-232-C机械特性
网络协议实践教程(第2版)
Page 11
第2章 物理层协议
3.RS-232-C功能特性
功能特性规定了连接器各针的定义、与哪些 电路连接、有何功能等。
信号分为两类: 一类是DTE和DCE交换的信息:TxD和 RxD; 另一类是为了正确无误地传输上述信息而 设计的联络信号。
网络协议实践教程(第2版)
Page 12
第2章 物理层协议
网络协议实践教程(第2版)
Page 20
第2章 物理层协议
(3)在发送端和接收端之间建立物理连接。
主机A置RTS(请求发送)为ON,通知本地
DCE向远端请求发送数据。
本地DCE检测到主机A的RTS信号后:
➢ 向远端DCE发送载波(CD) ➢ 通过延迟电路控制CTS(允许发送)的接通 ➢ 远端的DCE检测到载波后,置DCD(收到载波)
②允许发送(CTS):DCE → DTE
CTS=1时,表示本地DCE响应DTE向DCE发
出的RTS信号,且本地DCE准备向远程DCE
发送数据。
③数据准备就绪(DSR):DCE→DTE
DSR=1时,表示DCE准备就绪,可以与远程
DCE建立通道。
网络协议实践教程(第2版)
Page 14
第2章 物理层协议
目前,实际网络中比较广泛使用的物理层协 议有: EIA-RS-232 EIA RS-449 CCITT建议的CCITT V.24和X.21协议
一状态:
标记(Mark) / 空(Space) 开(ON) / 关(OFF) 逻辑0 / 逻辑1
网络协议实践教程(第2版)
Page 10
第2章 物理层协议
RS-232-C机械特性
网络协议实践教程(第2版)
Page 11
第2章 物理层协议
3.RS-232-C功能特性
功能特性规定了连接器各针的定义、与哪些 电路连接、有何功能等。
信号分为两类: 一类是DTE和DCE交换的信息:TxD和 RxD; 另一类是为了正确无误地传输上述信息而 设计的联络信号。
网络协议实践教程(第2版)
Page 12
第2章 物理层协议
网络协议实践教程(第2版)
Page 20
第2章 物理层协议
(3)在发送端和接收端之间建立物理连接。
主机A置RTS(请求发送)为ON,通知本地
DCE向远端请求发送数据。
本地DCE检测到主机A的RTS信号后:
➢ 向远端DCE发送载波(CD) ➢ 通过延迟电路控制CTS(允许发送)的接通 ➢ 远端的DCE检测到载波后,置DCD(收到载波)
②允许发送(CTS):DCE → DTE
CTS=1时,表示本地DCE响应DTE向DCE发
出的RTS信号,且本地DCE准备向远程DCE
发送数据。
③数据准备就绪(DSR):DCE→DTE
DSR=1时,表示DCE准备就绪,可以与远程
DCE建立通道。
网络协议实践教程(第2版)
Page 14
第2章 物理层协议
目前,实际网络中比较广泛使用的物理层协 议有: EIA-RS-232 EIA RS-449 CCITT建议的CCITT V.24和X.21协议
计算机网络(第2版)网络管理与网络安全
加密(Encryption):将明文变换成密文的过程。 解密(Decryption):由密文恢复出原明文的过程。 加密算法(Encryption Algorithm):对明文加密时采用的一组规则。 解密算法(Decryption Algorithm):对密文解密时采用的一组规则。 加密密钥(Encryption Key)和 解密密钥(Decryption Key):加密算法和解密算法操作通
网络管理的目的 监测及控制网络运行,提供有效、可靠、安全、经济的网络服务。
网络管理的任务
监测网络运行状态:主机监测、流量监测、监测路由表的变化、监测服务等级协定 (SLA)。通过监测了解当前网络状态是否正常,是否出现危机和故障。
控制网络运行过程:网络服务提供、网络维护、网络处理。通过控制可以对网络资 源进行合理分配,优化网络性能,保证网络服务质量。
常是在一组密钥控制下进行,分别称为加密密钥和解密密钥。 密码体制分类:根据密钥个数将密码体制分为对称和非对称密码体制。
➢ 对称密码体制:又称单钥或私钥或传统密码体制。 ➢ 非对称密码体制:又称双钥或公钥密码体制。 密码分析(Cryptanalysis):从截获的密文分析推断出初始明文的过程。
计算机网络(第2版)
性能管理
对网络运行中主要性能指标评测,检验网络服务质量,找到已发生或可能发生 的网络瓶颈,及时监测网络性能变化趋势。
安全管理
采用信息安全、网络安全措施保护网络中的系统、数据和业务,以确保网络资 源不被非法使用和破坏。
配置管理
对网络中的设备进行跟踪管理,完成设备的硬件和软件配置,包括对管理对象 进行识别、定义、初始化以及监测与控制。
多媒体服务器 192.168.0.3
DMZ区
内部网络
第2章计算机网络安全技术(第二版)
方法
防护通常采用传统的静态安全技术及方法如防火墙、加密、认证等来实现。 主要是在边界提高抵御能力。边界防护技术可分为物理实体的防护技术和 信息防护(防泄露、防破坏)技术。 物理实体的防护技术主要是对有形的信息载体实施保护,使之不被窃取、 复制或丢失。如磁盘信息消除技术,室内防盗报警技术,密码锁、指纹锁、 眼底锁等。信息载体的传输、使用、保管、销毁等各个环节都可应用这类 技术。 信息防护技术主要是对信息的处理过程和传输过程实施保护,使之不被非 法入侵、窃听、干扰、破坏、拷贝。 对信息处理的防护主要有如下二种技术:
P2DR安全模型(3)
2、防护
防护就是采用一切手段保护计算机网络系统的保密性、 完整性、可用性、可控性和不可否认性,预先阻止攻击 可以发生的条件产生,让攻击者无法顺利地入侵。所以 说,防护是网络安全策略中最重要的环节。防护可以分 为三大类:系统安全防护、网络安全防护和信息安全防 护。
系统安全防护指的是操作系统的安全防护,即各个操作系统的 安全配置、使用和打补丁等。不同操作系统有不同的防护措施 和相应的安全工具。 网络安全防护指的是网络管理的安全,以及网络传输的安全。 信息安全防护指的是数据本身的保密性、完整性和可用性。数 据加密就是信息安全防护的重要技术。
成功 攻击 防护(P) 失败 检测(D) 失败 成功 成功 响应(R) 失败 恢复(R)
2.1.2 PDRR网络安全模型(2)
PDRR安全模型中安全策略的前三个环节与P2DR安全模 型中后三个环节的内涵基本相同,不再赘述。最后一 个环节“恢复”,是指在系统被入侵之后,把系统恢 复到原来的状态,或者比原来更安全的状态。系统的 恢复过程通常需要解决两个问题:一是对入侵所造成 的影响进行评估和系统的重建,二是采取恰当的技术 措施。系统的恢复主要有重建系统、通过软件和程序 恢复系统等方法。详见第十章10.4节。 PDRR安全模型阐述了下面一个结论:安全的目标实际 上就是尽可能地增大保护时间,尽量减少检测时间和 响应时间,在系统遭受到破坏后,应尽快恢复,以减 少系统暴露时间。也就是说:及时的检测和响应就是 安全。
防护通常采用传统的静态安全技术及方法如防火墙、加密、认证等来实现。 主要是在边界提高抵御能力。边界防护技术可分为物理实体的防护技术和 信息防护(防泄露、防破坏)技术。 物理实体的防护技术主要是对有形的信息载体实施保护,使之不被窃取、 复制或丢失。如磁盘信息消除技术,室内防盗报警技术,密码锁、指纹锁、 眼底锁等。信息载体的传输、使用、保管、销毁等各个环节都可应用这类 技术。 信息防护技术主要是对信息的处理过程和传输过程实施保护,使之不被非 法入侵、窃听、干扰、破坏、拷贝。 对信息处理的防护主要有如下二种技术:
P2DR安全模型(3)
2、防护
防护就是采用一切手段保护计算机网络系统的保密性、 完整性、可用性、可控性和不可否认性,预先阻止攻击 可以发生的条件产生,让攻击者无法顺利地入侵。所以 说,防护是网络安全策略中最重要的环节。防护可以分 为三大类:系统安全防护、网络安全防护和信息安全防 护。
系统安全防护指的是操作系统的安全防护,即各个操作系统的 安全配置、使用和打补丁等。不同操作系统有不同的防护措施 和相应的安全工具。 网络安全防护指的是网络管理的安全,以及网络传输的安全。 信息安全防护指的是数据本身的保密性、完整性和可用性。数 据加密就是信息安全防护的重要技术。
成功 攻击 防护(P) 失败 检测(D) 失败 成功 成功 响应(R) 失败 恢复(R)
2.1.2 PDRR网络安全模型(2)
PDRR安全模型中安全策略的前三个环节与P2DR安全模 型中后三个环节的内涵基本相同,不再赘述。最后一 个环节“恢复”,是指在系统被入侵之后,把系统恢 复到原来的状态,或者比原来更安全的状态。系统的 恢复过程通常需要解决两个问题:一是对入侵所造成 的影响进行评估和系统的重建,二是采取恰当的技术 措施。系统的恢复主要有重建系统、通过软件和程序 恢复系统等方法。详见第十章10.4节。 PDRR安全模型阐述了下面一个结论:安全的目标实际 上就是尽可能地增大保护时间,尽量减少检测时间和 响应时间,在系统遭受到破坏后,应尽快恢复,以减 少系统暴露时间。也就是说:及时的检测和响应就是 安全。
《计算机网络技术与Internet应用(第二版2》习题答案
5.网络层
二
1. C
2. C
3. A
4. B
5. C
6. C
7. C
8. C
9. A
第
1
(1)请求、断开。
(2)HTTP、HTML
(3)文本、二进制
(4)统一资源定位器、cn
(5)TELNET
(6)简单邮件传输
(7)ARPANET
(8)分组交换
(9)地理模式、组织模式
(10)Internet服务器(资源子网)、Internet用户、通信子网
接收到的数据信息为110111001(含校验码)。
生成多项式G(x)=X4+X3+1=11001。(x后面的数字为次方的意思)
110111001÷11001,得出R(x)=10,由于CRC-4的校验码为4位(r为G(x)的最高次幂,r=4),即0010。
本题考查CRC校验的基本概念。
第
一
(1)网络地址、主机地址
(2)远程登录Telnet服务中,用户端计算机是以什么方式登录到Internet主机上的?它是如何解决异型计算机系统的互操作问题的?
答:Internet中的用户远程登录是指用户使用Telnet命令,使自己的计算机暂时成为远程计算机的一个仿真终端的过程。一旦用户成功地实现了远程登录,用户使用的计算机就可以像一台与对方计算机直接连接的本地终端一样进行工作。
《
第
一、
1.面向终端阶段、面向计算机通信网络阶段、面向应用(标准化)网络阶段、面向未来的高速计算机网络
2.计算机技术、通信技术
3.分组(Packet)
4.“开放系统互连基本参考模型”(Open System Interconnection Basic Reference Model)
二
1. C
2. C
3. A
4. B
5. C
6. C
7. C
8. C
9. A
第
1
(1)请求、断开。
(2)HTTP、HTML
(3)文本、二进制
(4)统一资源定位器、cn
(5)TELNET
(6)简单邮件传输
(7)ARPANET
(8)分组交换
(9)地理模式、组织模式
(10)Internet服务器(资源子网)、Internet用户、通信子网
接收到的数据信息为110111001(含校验码)。
生成多项式G(x)=X4+X3+1=11001。(x后面的数字为次方的意思)
110111001÷11001,得出R(x)=10,由于CRC-4的校验码为4位(r为G(x)的最高次幂,r=4),即0010。
本题考查CRC校验的基本概念。
第
一
(1)网络地址、主机地址
(2)远程登录Telnet服务中,用户端计算机是以什么方式登录到Internet主机上的?它是如何解决异型计算机系统的互操作问题的?
答:Internet中的用户远程登录是指用户使用Telnet命令,使自己的计算机暂时成为远程计算机的一个仿真终端的过程。一旦用户成功地实现了远程登录,用户使用的计算机就可以像一台与对方计算机直接连接的本地终端一样进行工作。
《
第
一、
1.面向终端阶段、面向计算机通信网络阶段、面向应用(标准化)网络阶段、面向未来的高速计算机网络
2.计算机技术、通信技术
3.分组(Packet)
4.“开放系统互连基本参考模型”(Open System Interconnection Basic Reference Model)
计算机网络安全第二版课后答案
计算机网络安全第二版课后答案【篇一:计算机网络安全教程第2版__亲自整理最全课后答案】txt>一、选择题1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。
3. 信息安全的目标cia指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(protect),检测(detect),反应(react),恢复(restore)。
2. tcg目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台trusted computing platform,以提高整体的安全性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(vulnerability)层出不穷,这些安全威胁事件给internet带来巨大的经济损失。
4. b2级,又叫结构保护(structured protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。
三、简答题1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
B主机 7 6 5
H5 H6 H6 H6 H6 H6 数据
5 4
H4 H5 H5 H5 H5 数据
4 3
H3 H4 H4 H4 数据
3 2
H2 H3 H3 数据 数据 T2
2 1
H2 T2
1
2.2.2 OSI模型的安全服务
• 1.认证 2.访问控制 3.数据机密性 4.数据完整性 5.抗否认
2.2.3 OSI模型的安全机制
N+1 层 N/N+1 层接口 N层 N-1/N 层接口 N-1 层
2.1.2 服务、接口和协议
在某层上进行通信所使用的规则、标准或约定的 集合就称为协议(Protocol)。各层协议按层次 顺序排列而成的协议序列称为协议栈。协议主 要由下列三个要素组成: (1)语义(Semantics)。涉及用于协调与差错处理 的控制信息。 (2) 语法 (Syntax) 。涉及数据及控制信息的格式、 编码及信号电平等。 (3)定时(Timing)。涉及速度匹配和排序等。
不同系统中的对等实体是没有直接通信能 力的,它们间的通信必须通过其下各层 的通信间接完成。第N层实体向第N+1层 实体提供的在第N层上的通信能力称为第 N层的服务。 在接口处规定了下层向上层提供的服务, 以及上下层实体请求或提供服务所使用 的形式规范语句(服务原语)。
2.2 OSI模型及其安全体系
• • • • • • • • 1.加密机制 2.数字签名机制 3.访问控制机制 4.数据完整性机制 5.鉴别交换机制 6.通信流量填充机制 7.路由选择控制机制 8.公证机制
2.3 TCP/IP模型及其安全体系
1.TCP/IP参考模型的层次结构
TCP/IP 协议族 Telnet TCP FTP SMP T DNS UDP 其它 OSI 层次 5~7 4 3 ARP Enthernet ARPAN ET PDN RARP 其它 1~2
ICPM
IP
2.3.2 TCP/IP的安全体系
• • • • 1.链路层安全 2.网络层安全 3.传输层保护的网络 4. 应用层安全性
2.4 常用网络协议和服务
2.4.1 常用网络协议 1.IP协议 2.TCP协议 3.UDP协议 4.ICMP协议
IP头的结构
版本(4位) 头长度(4位) 服务类型(8位) 封包总长度(16位) 标志(3位) 校验和(16位) 片断偏移地址(13位)
1.OSI-RM的层次结构
应用层 应用层
表示层
表示层
会话层
会Hale Waihona Puke 层传输层 通信子网 网络层 网络层 网络层
传输层
网络层
数据链路层
数据链路层
数据链路层
数据链路层
物理层 主机 A
物理层 节点机
物理层 节点机
物理层 主机 B
2.OSI-RM的数据格式
A主机 7 6
H6 H7 H7 H7 H7 H7 H7 数据 对等层通信 H7 数据
• 最后的16位(2个8位组)标识可能的主机地址。每一个B 类地址能支持64,534个惟一的主机地址,这个数由2的16次 方减2得到,B类网络有16,382个。
3、C类地址
• C类地址用于支持大量的小型网络。这类地址可以认为与A类地址正好相反。 A类地址使用第一个8位组表示网络号,剩下的3个表示主机号,而C类地址 使用三个8位组表示网络地址,仅用一个8位组表示主机号。 C类地址的前3位数为110,前两位和为192(128+64),这形成了C类地址空间 的下界。第三位等于十进制数32,这一位为0限制了地址空间的上界。不能 使用第三位限制了此8位组的最大值为255-32等于223。因此C类网络地址范 围从192.0.1.0至223.255.254.0。 最后一个8位组用于主机寻址。每一个C类地址理论上可支持最大2 5 6个主机 地址(0~255),但是仅有254个可用,因为0和255不是有效的主机地址。可以 有2,097,150个不同的C类网络地址。 在IP地址中,0和255是保留的主机地址。IP地址中所有的主机地址为0用于 标识局域网。同样,全为1表示在此网段中的广播地址。
第2章 网络体系结构及协议基础
l l 构 l l • 学习目标 了解OSI模型及安全体系 了解TCP/IP网络模型及安全体系结 掌握常用的网络协议和网络命令 掌握协议分析工具的使用方法
2.1 网络的体系结构
2.1.1 网络的层次结构
分层就是系统分解的最好方法之一。 层次结构的好处在于使每一层实现 一种相对独立的功能,每一层向上 一层提供服务,同时接受下一层提 供的服务。每一层不必知道下面一 层是如何实现的,只要知道下层通 过层间接口提供的服务是什么,以 及本层向上层提供什么样的服务, 就能独立地设计,这就是常说的网 络层次结构
1、A类地址
• 一个A类IP地址仅使用第一个8位组表示网络地址。剩 下的3个8位组表示主机地址。A类地址的第一个位总为 0,这一点在数学上限制了A类地址的范围小于127,因 此理论上仅有127个可能的A类网络,而0.0.0.0地址又 没有分配,所以实际上只有126个A类网。技术上讲, 127.0.0.0也是一个A类地址,但是它已被保留作闭环 (Look Back)测试之用而不能分配给一个网络。 • A类地址后面的24位表示可能的主机地址,A类网络地 址的范围从1.0.0.0到126.0.0.0。每一个A类地址能支持 16,777,214个不同的主机地址,这个数是由2的24次方 再减去2得到的。减2是必要的,因为IP把全0保留为表 示网络而全1表示网络内的广播地址。
2、B类地址
• 设计B类地址的目的是支持中到大型的网络。B类网络地址 范围从128.1.0.0到191.254.0.0。B类地址蕴含的数学逻辑是 相当简单的。 • 一个B类IP地址使用两个8位组表示网络号,另外两个8位组 表示主机号。B类地址的第1个8位组的前两位总是设置为1 和0,剩下的6位既可以是0也可以是1,这样就限制其范围 小于等于191,这里的191由128+32+16+8+4 +2+1得到。
封包标识(16位) 存活时间(8位) 协议(8位) 来源IP地址(32位) 目的IP地址(32位) 选项(可选) 数据
填充(可选)
IPv4的IP地址分类
• IPv4地址在1981年9月实现标准化的。基本的IP地址是 8位一个单元的32位二进制数。为了方便人们的使用, 对机器友好的二进制地址转变为人们更熟悉的十进制 地址。 • IP地址中的每一个8位组用0~255之间的一个十进制数 表示。这些数之间用点“.”隔开,因此,最小的IPv4地 址值为0.0.0.0,最大的地址值为255.255.255.255,然而 这两个值是保留的,没有分配给任何系统。 • IP地址分成五类:A类地址、B类地址、C类地址、D类 地址和E类地址。 • 每一个IP地址包括两部分:网络地址和主机地址,上 面五类地址对所支持的网络数和主机数有不同的组合。