1、嵌入式系统设计师辅导,网络工程专业 李耀辉,2006年上半年,2006年下半年,防火墙的定义,William Cheswick 和Steven Bellovin明确定义,他们认为防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过防火墙。只有经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。简而言之,防火墙是位于两个(或多个)网络间,实施访问控制策略的一个或一组组件集合。,1.1,防火墙的分类,常见的放火墙有三种类型:1、分组过滤防火墙:
2、工作在网络层和传输层2、应用代理防火墙:工作在应用层和传输层(电路级代理)3、状态检测防火墙。,入侵检测系统,入侵检测系统IDS(Intrusion Detection System)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,差错控制,差错控制是在数字通信中利用编码方法对传输中产生的差错进行控制,以提高数字消息传输的准确性。按具体实现方法的不同,差错控制可以分为前向纠错法、反馈重传等,冲击波病毒,冲击波蠕虫(Worm.Blaster或Lovesan,也有译为“疾风病毒”)是一种散播于Microsoft操作系统,Windows XP与Windows
3、 2000的蠕虫病毒,爆发于2003年8月。本蠕虫第一次被注意并如燎原火般散布,是在2003年的8月11日。计算机蠕虫与计算机病毒相似,是一种能够自我复制的计算机程序。与计算机病毒不同的是,计算机蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行。计算机蠕虫未必会直接破坏被感染的系统,却几乎都对网络有害。,冲击波攻击原理:利用微软本身的系统“135端口”漏洞入侵计算机的病毒,只针对NT以后的系统,即2000,XP,2003及以上版本。由于这个病毒只驻留内存,重启后就无法查杀,但是会利用你没有重启的那段时间,破坏你的系统文件,导致不正常重启。有些变种会窃取计算机信息,或者进行其他
4、更大的破坏。一般情况下,开启Windows防火墙,关闭135端口(设置方式比较复制),就能解决问题,Remote Procedure Call(RPC)是Windows使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。冲击波(Worm.Blaster)会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对
5、方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。,2007年试题,CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权,CA是可以信任的第三方。CA 中心作为国家认可的、权威、可信、公正的第三方机构,专门负责发放并管理所有参与网上业务的实体所需的数字证书,数字证书是网络世界中的身份证,可以在网络世界中为互不见面的用户建立安全可靠的信任关系,而这种信任关系的建立则源于PKI/CA认证中心,构建安全的PKI/CA认证中心是至关重要的。,如果用
6、户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配 一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。,数字证书,1)数字证书的概念:数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。2)数字证书的作用:访问需要客户验证的安全INTERNET站点。用对方的数字证书向对方发送加密的邮件。给
7、对方发送带自己签名的邮件。,3)数字证书的内容:(1)证书的格式由ITU标准X.509V3来定义。根据这项标准,证书包括申请证书:证书序列号,每一个由CA发行的证书必须有一个唯一的序列号;发行证书CA的名称;证书主题名称;被证明的公钥信息,包括公钥算法、公钥的位字符串表示;包含额外信息的特别扩展。,(2)发行证书的CA签名 证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签发的。,网络安全在防御方面有三种主要技术:防火墙技术 入侵检测技术 VPN技术VPN就是在不安全的公共网络上建立一个逻辑的专用数据网络来进行信息的安
8、全传递。VPN技术是指采用隧道技术以及加密、身份认证等方法,在公众网络上构建专用网络的技术,在虚拟网上数据通过安全的加密隧道在公众网络中传播。,关键技术,安全隧道技术(Secure Tunneling Technology)。用户认证技术(User Authentication Technology)。在正式的隧道连接开始之前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权(Authorization)。访问控制技术(Access Control Technology)。由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限,,二层隧道协议,L2F/
9、L2TP是PPP(Point to Point Protocol)协议的扩展,它综合了其他两个隧道协议:CISCO的二层转发协议(L2F,Layer 2 Forwarding)和 Microsoft 的点对点隧道协议(PPTP,Point-to-Point Tunneling)的优良特点。它是由Internet Engineering Task Force(IETF)管理的,目前由Cisco、Microsoft、Ascend、3Com和其他网络设备供应商联合开发并认可。,三层隧道的协议,IPSec 是IETF(因特网工程任务组)于1998年11月公布的IP安全标准。其目标是为IPv4和IPv6
10、提供具有较强的互操作能力、高质量和基于密码的安全。IPSec对于IPv4是可选的,对于IPv6是强制性的。IPSec在IP层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专用网络(VPN)和安全隧道技术。,安全相关的其它协议,SSL(Secure Sockets Layer,安全套接层),及其继任者 TLS(Transport Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层
11、对网络连接进行加密。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。,SSL协议提供的服务主要有:1)认证用户和服务器,确保数据发送到正确的客户机和服务器;2)加密数据以防止数据中途被窃取;3)维护数据的完整性,确保数据在传输过
12、程中不被改变。,同步多媒体集成语言(Synchronized Multimedia Integration Language,缩写:SMIL1),是W3C为采用XML描述多媒体而提出的建议标准。它定义了时间标签、布局标签、动画、视觉渐变(visual transitions)和媒体嵌入等。,PGP(Pretty Good Privacy),是一个基于RSA公钥加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。该协议可以提供一种安全的通讯方式,而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA
13、和传统加密的杂合算法,用于数字签名的邮件文摘算法,加密前压缩等。,一个完整的FTP文件传输需要建立两种类型的连接,一种为文件传输下命令,称为控制连接,另一种实现真正的文件传输,称为数据连接。,1.控制连接 客户端希望与FTP服务器建立上传下载的数据传输时,它首先向服务器的TCP 21端口发起一个建立连接的请求,FTP服务器接受来自客户端的请求,完成连接的建立过程,这样的连接就称为FTP控制连接。2.数据连接FTP控制连接建立之后,即可开始传输文件,传输文件的连接称为FTP数据连接。FTP数据连接就是FTP传输数据的过程,它有两种传输模式:,PORT(主动)方式的连接过程是:客户端向服务器的FT
14、P端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器。于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条数据链路来传送数据。PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端。于是客户端向服务器的XXXX端口发送连接请求,建立一条数据链路来传送数据。,type=text 输入框控件,用于输入内容如用户名、密码之类内容输入框控件type=submit 按钮控件,用于提交、重置动
15、作type=checkbox 多选复选框控件,用于多选题、多选功能(进入了解 html checkbox多选框)type=radio 单选框,用于单选,唯一选择功能,button 定义可点击的按钮checkbox定义复选框。colorNew定义拾色器。dateNew定义 date 控件datetimeNew:定义 date 和 time 控件datetime-localNew定义 date 和 time 控件emailNew定义用于 e-mail 地址的字段。file 定义文件选择字段和 浏览.按钮hidden定义隐藏输入字段。image定义图像作为提交按钮。monthNew定义 month
16、和 year 控件numberNew定义用于输入数字的字段。,password定义密码字段(字段中的字符会被遮蔽)。radio 定义单选按钮。rangeNew定义用于精确值不重要的输入数字的控件reset定义重置按钮(重置所有的表单值为默认值)。searchNew定义用于输入搜索字符串的文本字段。submit定义提交按钮。telNew定义用于输入电话号码的字段。text默认。定义一个单行的文本字段(默认为 20)timeNew定义用于输入时间的控件(不带时区)。urlNew 定义用于输入 URL 的字段。weekNew定义 week 和 year 控件(不带时区)。,POP3,全名为“Post
17、 Office Protocol-Version 3”,即“邮局协议版本3”。是TCP/IP协议族中的一员,由RFC 1939 定义(见 Reference/rfc1939 pop3.html)。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了SSL加密的POP3协议被称为POP3S。SMTP是一个相对简单的基于文本的协议。在其之上指定了一条消息的一个或多个接收者,然后消息文本就被传输了。,区别与联系,POP-Post Office Proticol SMTP-Simple Mail Transfer Protocol POP 是接收邮件服务器的一种,SMTP 是发送邮件服务器
18、。pop3端口:110,smtp端口是:25,IMAP(Internet Mail Access Protocol,Internet邮件访问协议)以前称作交互邮件访问协议(Interactive Mail Access Protocol)。主要作用是邮件客户端(例如MS Outlook Express)可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。当前的权威定义是RFC3501。IMAP协议运行在TCP/IP协议之上,使用的端口是143。它与POP3协议的主要区别是用户可以不用把所有的邮件全部下载,可以通过客户端直接对服务器上的邮件进行操作。,2008年试题,奇偶校验是一种校验代码
19、传输正确性的方法。根据被传输的一组二进制代码的数位中“1”的个数是奇数或偶数来进行校验。采用奇数的称为奇校验,反之,称为偶校验。采用何种校验是事先规定好的。通常专门设置一个奇偶校验位,用它使这组代码中“1”的个数为奇数或偶数。若用奇校验,则当接收端收到这组代码时,校验“1”的个数是否为奇数,从而确定传输代码的正确性。海明码是一种可以纠正一位差错的编码。它是利用在信息位为k位,增加r位冗余位,构成一个n=k+r位的码字,然后用r个监督关系式产生的r个校正因子来区分无错和在码字中的n个不同位置的一位错。,SSL(Secure Sockets Layer,安全套接层),及其继任者 TLS(Trans
20、port Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。,ADSL(Asymmetric Digital Subscriber Line,非对称数字用户环路)是一种新的数据传输方式。它因为上行和下行带宽不对称,因此称为非对称数字用户线环路。它采用频分复用技术把普通的电话线分成了电话、上行和下行三个相对独立的信道,从而避免了相互之间的干扰。边打电话边上网,也不会发生上网速率和通话质量下降的情况,通常A不影响正常电话通信的情况下可提供最高3.5Mbps的上行速度和24Mbps的下行速度。,A类:0 xxx xxx
21、x.x.x.x/8,即1127,共126个可用。因0.x.x.x表示所有网络;127.x.x.x/8用作回环地址,作为测试TCP/IP协议的地址,其中10.x.x.x/8是私有地址。B类:10 xx xxxx.x.x.x/16,即128191,172.16.x.x172.31.x.x是私有地址。C类:110 x xxxx.x.x.x/24,即192223。D类:1110 xxxx.x.x.x,即224239,D类地址用作多目的地信息的传输,作为备用。E类:1111 xxxx.x.x.x,即240254,E类地址保留,仅作为Internet的实验和开发之用。因255.x.x.x是全网广播地址。,
22、表示主机的二进制位全0或全1不能使用,全0表示本网,全1表示本网广播。其他特殊类型的IP地址:(1)0.0.0.0 表示所有不清楚的主机和目的网络。(2)255.255.255.255 限制广播地址,这个地址不能被路由器转发。(3)127.0.0.1 本机地址。,(4)224.0.0.1 组播地址,注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机,224.0.0.2特指所有路由器。开启IRDP(Internet路由发现协议,使用组播功能)功能后,会有这样一条路由。(5)169.254.x.x 如果你的主机使用了DHCP功能自
23、动获得一个IP地址,那么当你的DHCP服务器发生故障,或响应时间太长而超出了一个系统规定的时间,Windows系统会为你分配这样一个地址。,控制策略是防火墙的法宝,DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。,2009年试题,.com-商业公司;.org-组织、协会等;.net-网络服务;.edu-教育机构;.gov-政府部门;.m
24、il-军事领域。1998年1月开始,又启用7个新的顶级域名:.arts-艺术机构;.firm-商业公司;.info-提供信息的机构;.nom-个人或个体;.rec-消遣机构;.store-商业销售机构;.web-与WWW相关的机构。,该题的实质是下面哪个是浏览器?Mozilla Firefox,中文名通常称为“火狐”或“火狐浏览器”(正式缩写为 Fx,非正式缩写为FF),是一个开源网页浏览器,使用Gecko引擎,支持多种操作系统,如Windows、Mac和Linux。Firefox由Mozilla基金会与社区数百个志愿者以GPL/LGPL/MPL三种授权方式发布,2012年1月3日起改用兼容G
25、PL的MPL 2。,物理层:中继器链路层:交换机网络层:路由器传输层及以上:网关 在网络层以上实现网络互连,是最复杂的网络互连设备成,仅用于两个高层协议不同的网络互连为网关,网桥(Bridge)是一个局域网与另一个局域网之间建立连接的桥梁。网桥是属于数据链路层的一种设备,它的作用是扩展网络和通信手段,在各种传输介质中转发数据信号,扩展网络的距离,同时又有选择地将现有地址的信号从一个传输介质发送到另一个传输介质,并能有效地限制两个介质系统中无关紧要的通信。,2010年试题,拒绝服务攻击是阻止或拒绝合法使用者存取网络服务器的一种破坏性攻击方式。广义上讲,任何能够导致用户的服务器不能正常提供服务的攻
26、击都属于拒绝服务攻击。,拒绝服务攻击方式分为以下四种情况:a.消耗包括网络带宽、存储空间、CPU 时间等资源;b.破坏或者更改配置信息;c.物理破坏或者改变网络部件;d.利用服务程序中的处理错误使服务失效。按照攻击发起的位置,拒绝服务攻击又可以分为传统的拒绝服务攻击和分布式拒绝服务攻击。,常见拒绝服务攻击:SYN Flood IP欺骗DOS UDP洪水 Ping洪流 teardrop Land Smurf Fraggle 攻击,地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的A
27、RP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。,该协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。,GET:获取一个文档,大部分被传输到浏览器的html,images,js,css,都是通过GET方法发出请求的。它是获取数据的主
28、要方法。POST:发送数据至服务器,尽管可以通过GET方法将数据附加到url中传送给服务器,但在很多情况下使用POST发送数据给服务器更加合适。通过GET发送大量数据是不现实的,它有一定的局限性。用POST请求来发送表单数据是普遍的做法。,HEAD:接收头部信息,和GET很相似,只不过HEAD不接受HTTP响应的内容部分。当你发送了一个HEAD请求,那就意味着你只对HTTP头部感兴趣,而不是文档本身。这个方法可以让浏览器判断页面是否被修改过,从而控制缓存。也可判断所请求的文档是否存在。,接入速率为64kbit/s-2Mkbit/s 帧中继是动态分配带宽,选用帧中继可以有效的处理突发数据。DDN
29、速率为642M,干线可达33Mbit/s,属于专线网络,面向专线用户或专线用户的基础设施网络。ATM网是一种面向连接的传输方式,其连接方式有 永久虚链接 和 交换虚链接 两种,信元采用固定方式,长度为 53 字节,其中数据为48 字节,信元头部为 5 字节,,典型的数据速率为155.5Mbps。,2011年试题,关键考查子网划分,个数为:这有个公式的。子网数目=2的X次方,这里的X是指掩码位数,掩码为数可以用我们现在的子网掩码的1的为数减去默认的1的位数。这道题有子网掩码有18个1,而A类默认有8个1,所以就是18-8=10。子网数=2的10次方=1024,ipconfig/?|/all|/r
30、enew adapter|/release adapter|/flushdns|/displaydns|/registerdns|/showclassid adapter|/setclassid adapter classid,NETSTAT-a-e-n-s-p proto-r interval-A 显示任何关联的协议控制块的地址。主要用于调试-a 显示所有套接字的状态。-i 显示自动配置接口的状态。-m 打印网络存储器的使用情况-n 打印实际地址,而不是对地址的解释或者显示主机-r 打印路由选择表-f address-family对于给出名字的地址簇打印统计数字和控制块信息。-p proto
31、col-name 打印给出名字的协议的统计数字和协议控制块信息-s 打印每个协议的统计数字-t 在输出显示中用时间信息代替队列长度信息。,考查其中哪个错误既不能发送又不能接收,IPv4的地址32位(4字节),根据前述可知A类网络标识占一个字节,主机位则为24位,故IP地址为224个。除了正常的网络掩码位及子网掩码中的主机位,剩下就为子网的划分位,即中间的255.192,转换成二进制就是210,ipconfig中的参数renew是重新从DHCP获取地址,适用于动态分配IP的情况。flushdns是刷新DNS解析器的缓存。为了提高效率,根据域名获取IP之后会缓存在本地一段时间netstat查询网络
32、的连接状态,-r是显示路由表arp显示地址解析的相关信息 arp-a 显示本机的arp映射表 arp-d 删除本机的arp映射表,request是请求,response是对请求的响应,虽然是C类网,但是子网掩码部分是20位,而C类网默认情况下是24位,他们之间相差四位。因此,24C类网构成该地址块。地址块的地址为1100000011001111,不在该范围的就不是该公司的子网地址,第三个字节的前四位属于网络地址,后四位为主机地址。,不同参数的意义,2013年试题,不同类的攻击,不同的目的A、D是为了获取信息,B是拒绝服务,C是扫描系统发现漏洞,非对称加密)和对称加密常用方法非对称:RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。对称:DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法,IDEA算法,AES算法,最常见的USB 2.0协议的数据传输速度为480 Mbps。而IEEE 1394可以达到800 Mbps的传输速度。USB通常被用在低带宽的应用之中,