计算机网络
一.计算机网络概述
计算机网络的概念:(*)
计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路链接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
- 终端系统/资源子网:提供共享的软件资源和硬件资源
- 通信子网:提供信息交换的网络结点和通信线路。
- 按照拓朴分类: 星型结构 树形结构 总线型结构 环形结构 网状结构
- 按照范围分类:局域网LAN 城域网MAN 广域网 WAN 补充:个人区域网PAN 互联网Internet
- 按照传输方式分类:有线网络(IEEE802.3) 无线网络:( IEEE802.11 WLAN无线局域网(wireless) WPAN无线个域网)
计算机网络体系结构
- 按照传输的方向分:
- 单工:只能单方向传输的工作模式
- 双工:在同一时间,线路上只能允许一个方向的数据通过
- 全双工:双方可以同时进行数据通信
- 按照传输对象(方式)分:
- 单播: 1对1
- 多播:1对多
- 广播:1对all
- 电路交换:整个报文从源头到终点连续的传输
- 报文交换:整个报文先传达到相邻节点,全部存储下来查找转发表,再转发到下一个节点
- 分组交换:将一个报文分成多个分组,传送到相邻结点,在查找转发表,在转发到下一个结点
- 网络协议三要素:语法 语义 时序
- OSI参考模型:
- 应用层:使用应用程序通过网络服务。
- 表示层:表示层用于处理交互数据的表示方式,例如格式转换,数据的加密和解密,数据压缩和回复等功能
- 会话层:负责维护通信中两个结点之间的会话建立维护和断开,以及数据的交换
- 传输层:提供端到端之间的数据传输服务,实现对数据进行控制和操作的功能。
- 网络层:单位 分组,在数据链路层的基础之上,提供点到点之间的通信,提供路由功能,实现拥塞控制,网络互联等功能。
- 数据链路层:单位 帧,在物理层的基础之上,提供结点到结点之间的服务,采取差错控制和流量控制的方法实现网路互联
- 物理层:单位bit,利用传输介质为通信的网络节点之间的建立
- TCP/IP参考模型:
- 网络接口层:物理层和数据链路层
- 网际层:网络层
- 传输层
- 应用层:会话层,表示层,应用层
二.物理层
1.物理层的基本概念:
- 机械特性:接口是怎么样的
- 电气特性:用多少伏的电
- 功能特性:线路上电平电压的特性
- 过程特性:实现不同功能所发射信号的顺序
- 模拟信号—特定频段的信号—有更加丰富的表现形式------抗干扰能力弱
- 数字信号—不是1就是0--------抗干扰能力强
- 调制:模拟信号转换
- 编码:
- 数字信号转换
- 编码的步骤:采样 量化 编码
- 区别:
- 数据可以通过编码手段转成数字信号,也可以通过调制手段将数据转成模拟型号。
- 数字数据可以通过数字发送器转化为数字信号(编码),也可以通过调制器转化为模拟信号。
- 模拟信号可以通过PCM编码器转化为数字信号(编码),也可以通过放大器调制器转化为模拟型号(调制)。
-
双绞线:
- 传输距离100-500(中继器 最多四个,超过就失真了)
- 屏蔽双绞线STP:抗干扰强,贵一些
- 非屏蔽双绞线:便宜,抗干扰差
- 制作标准:
- 568B:橙白,橙,绿白,蓝,蓝白,绿,棕白,棕 :八种
- 568A:13,26调换—绿白,绿,绿白,蓝,蓝白,橙,棕白,棕
-
光纤:
- 多模光纤:
- 芯较粗(50或62.5)。可以传多种模式的光。但其模间色散较大,这就限制了传输数字信号的频率,而且随距离的增加会更加的严重。例如:600MB/KM的光纤在2KM时只有300MB的宽带了。因此多模光纤传输距离就比较的近,一般只有几公里。
- 距离:2KM
- 单模光纤:
- 单模光纤:中间纤芯很细(芯径一般是8-10),只能传一种模式的光,因此。其模间色散很小,适合语远程通讯,但还存在着材料色散和波导色散,这样单模光纤对光源的谱宽和稳定性有较高的要求,即谱宽要窄。稳定性要好。
- 距离:100KM
- 多模光纤:
-
同轴电缆:淘汰了
-
无线:无线信号频率 IEEE802.11
- 源系统:发送数据的一端
- 传输系统:传输过程中的各种传输介质
- 目的系统:接收数据的电脑
2.物理层的基本通信技术
- 复用技术是指一种在传输路径上综合多路道信道,然后恢复原机制或则解除终端各信道复用技术的过程
- 将多种不同的信号在同一信道上进行传输,复用技术主要是用来解决不同信号传输时应该如何区分。
- 频分多路复用,是在适于某种传输媒介的传输频带内,若干个频谱互不重叠的信号一并传输的方式,简称FDM。在每路信号进入传输频带前,先要以此搬移频率(调制),而在接收端,在搬回到原来的频段,恢复每路的原信号,从而使传输频带得到多路信号的复用。
- 划分不同频率来并行传输信号
- 时分复用TDM是采用同一物理连接的不同时段来传输不同的信号,也能达到多路传输的此目的。时分多路复用以时间作为信号分割的参量,故必须使各路信号在时间轴上互不重叠。时分复用TDM就是将提供给整个信道传输信息的时间划分为若干时间片(简称时隙),并将这些时隙分给每一个信号源使用
- 划分不同的时间段来传输信号
- 是将两种或多种不i同波长的光载波信号(携带各种信息)在发送端经复用器(亦称合波器)汇合在一起,并耦合到光线路的同一根光纤中进行传输技术
- 根据光波的波长进行传输(合波器耦合)
- 码分复用CDM是靠不同的编码来区分各路原始信号的一种复用方式,主要和各种多址技术结合产生了各种接入技术,包括无线和有线接入。
- 在同一时间同一频率根据传输的数据码进行区分
- 串行传输
- 使用一条数据线,将数据一位一位的依次输入,每一位数据占据一个固定的时间长度。只需要少数几条先就可以在系统间交换信息,特别适用于计算机语计算机,外设之间的远距离通信。
- 并行传输
- 并行传输指的是数据以成组的方式,在多条并行信道上同时进行传输,是在传输中有多个数据位同时在设备之间进行的传输。
- 同步传输
- 同步:在计算机网络中,定时的因素称为位同步。同步是要接收按照发送放放送的每个位的起止时刻和速率来接受数据,否则会产生误差。
- 同步传输的比特分组要大得多。他不会独立的发送每个字符,每个字符都有自己的开始位和停止位,而是把他们组合起来发送。我们将这些组合称为数据帧,或简称帧
- 异步传输:
- 异步传输将比特分成小组进行传输,小组可以是8位的1个字符或更长。发送方可以在任何时刻发送这些比特组,而接受方从不知道它们会在什么时候到达。
- 基带传输:传输数字信号叫做基带传输
- 频带传输:传输模拟信号叫做频带传输(300-3400HZ)
- 单工 半双工 全双工
- 单播 组播 广播
三.数据链路层
1.数据链路层的基础概念
- 数据链路层是在物理层和网际层之间的协议,提供相邻结点的可靠数据传输
- 数据链路层的协议数据单元
- 组成:
- 帧头:源MAC地址,目的MAC地址,类型(MAC地址用于在网络中唯一标示一个网卡,一台设备若有一或多个网卡,则每个网卡都需要并会有一个唯一的MAC地址)
- 数据
- 帧尾:校验
- MAC(一种协议,对接物理层)
- MAC介质控制访问
- 作用:数据帧的封装/卸载,帧的寻址和识别,帧的接收语发送,链路的管理,帧的差错控制等。MAC子层的存在屏蔽了不同的物理链路层种类的差异性
- LLC(对接网络层)
- LLC逻辑控制访问
- 作用:LLC子层的主要功能为传输可靠性保障和控制,数据包的分段与重组。数据包的顺序传播。
- 注解:
- 该协议位于OSI七层协议中数据链路层,数据链路层分为上层LLC(逻辑链路控制),和下层的MAC(媒体访问控制),MAC主要负责控制与链接物理层的物理介质。在发送数据的时候,MAC协议可以事先判断是否发送数据,如果可以发送将给数据加上一些控制信息,最终将数据以及控制信息以规定的格式发送到物理层;在接收数据的时候,MAC协议首先判断输入的信息并是否发生传输错误,如果没有错误,则去掉控制信息发送至LLC(逻辑链路控制)层。
- 单播 广播
- 封装成帧(PPP)
- 封装成帧就是在一段数据的前后分别添加首部和尾部,这样就构成了一个帧,接收端在收到物理层上交的比特流后,就能根据首部和尾部的标记,从收到的比特流中识别帧的开始和结束。
- 透明传输
- 透明传输是指不管所传数据是什么样的比特组合,都应当能够在链路上传输
- 差错检测(奇数校验 偶数校验 CRC:需要计算)
- 收到正确的帧就要向发送端发送确认,发送算在一定的期限内若没有收到对方的确认,就认为出现了差错,因而就进行重传,直到收到对方的确认为止,
-
网桥(在物理层和数据链路层之间)
- 两个端口的交换机
-
集线器(在物理层 共享带宽)
- 集线器的英文为:“HUB”是“中心”的意思,集线器的主要功能是对接受的信号进行再生整形放大,以扩大网络的传输距离,同时把所有结点集中在以它为中心的结点上。
-
交换机(数据链路层 独享带宽)
- 交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络结点提供独享的电信号通路。最常见的交换机式以太网交换机。
2数据链路层的通信协议
- 冲突域
- 交换机的每一个端口都是一个冲突域;冲突域只能发生在一个网段
- 广播域
- 交换机的所有端口都在一个广播域;广播域在一个或多个网段内发生
- 区别
- 广播域可以跨网段
- 冲突域是基于第一层(物理层),而广播域是基于第二层(数据链路层)
- HUB所有端口都在同一个广播域,冲突域内,Switch所有端口都在同意广播域内,而每一个端口就是一个冲突域。
- 同一冲突域共享宽带
- VLAN(Virtual local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN间不能直接通信,而VLAN间不能直接通信,从而将广播报文限制在一个VLAN内。
- 优点和目的
- 划分广播域:减少垃圾数据
- 增强局域网的安全性
- 提高健壮性
- 灵活构建工作组
- 划分VLAN的方式
- 基于端口
- 给交换机的每个接口配置不同的PVID,当一个数据帧进入交换机接口时,如果没有带VLAN标签,且该接口上配置了PVID。如果进入的帧已经带有VLAN标签,那么交换机不会在增加VLAN标签,即使接口已经配置了PVID
- Access:只允许通过一个VLAN
- Trunk:允许通过多个VLAN
- Hybird
- 基于子网
- 配置好子网域VLAN映射表,如果交换设备收到的是untagged(不带VLAN标签)帧,交换设备根据报文中的源IP地址信息,确认添加的VLAN iD。将指定网段或IP地址发出的报文在指定的VLAN中传输,减轻了网络管理着的任务量,且有利于管理
- 基于MAC地址
- 先配置好MAC地址和VLAN映射关系表,当终端用户的物理位置发生改变,不需要重新配置VLAN。提高了终端用户的安全性和接入的灵活性
- 基于协议
- 将网络中提供的服务类型域VLAN相绑定,方便管理和维护。需要对网络中所有的协议类型和VLAN ID 的映射关系表进行初始配置。需要分析各种协议的地址格式并进行相应的转换,消耗交换机较多的资源,速度上稍具劣势。
- 基于匹配策略
- 先在交换机上配置好终端的MAC地址和IP地址,并与VLAN 并联。只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN后,严禁修改IP地址和MAC地址,否则会导致终端从指定VLAN中退出。
- 基于端口
2.3:CSMA/CD(总线型)(***)
- CSDN/CD即载波侦听多路访问/冲突检测,是广播信道中采用一种随机访问技术的竞争型访问方法,具有多目标地址的特点,总线型网络传输数据
- 四大特点(重要)
- 先听再发
- 边听边发
- 冲突停止
- 延迟后发
- 点对点通信是一对一通道,因此不会发生碰撞,因此比较简单,采用PPP协议;其中PPP协议就是用户计算机和ISP(互联网服务提供商)进行通信时使用的数据链路层的协议
- PPP最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。
-
循环冗余校验
-
是数据通信领域中最常用的一种查错校验码,其特征是信息字段和校验字段的长度可以任意选定。循环冗余检查(CRC)是一种数据传输检错功能。l
-
例题:要发送的数据为1101011011,采用CRC的生成多项式是P(x)=x^4+x+1.求余数。
四.网络层
1.网络层的作用
- 提供点到点的服务 单位:分组
- 网络层的目的是实现两个端系统之间的数据透明传输,具体功能包括寻址和路由选择,连接的建立,保持和终止等。它提供的服务使传输层不需要了解网络中的数据传输和交换技术。
2.网际层协议IP
- IP协议 实现网络互连,使参与互联的性能各异的网络从用户方面看起来像一个统一的网络。
- ARP地址解析协议
- 根据IP地址获取物理地址
- RARP反地址解析协议 根据物理地址获取ip地址
- ICMP网际控制报文协议
- 提供差错报告和询问报文,以提高IP数据交付成功的机会。
- 通过ICMP传输控制消息,控制消息是指网络通不通,主机是否可达,路由是否可用等网络本身的消息。
- IGMP网际组管理协议
- 用于探寻,转发本局域网内的组成员关系。
- 适用于管理协议多播组成员的一种通信协议。IP主机和相邻路由器利用IGMP来创建多播组的组成员。组播方式解决了单播情况下数据的重复拷贝及带宽的重复占用,也解决了广播方式下带宽资源的浪费
3.IP地址
- IP地址使IP协议提供的一种统一的地址格式,他为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
- 组成:一个IP地址由4个字节,32位组成,一般用点分十进制的方式表现,
- IP地址和MAC地址的区别
- IP地址是一个逻辑地址,MAC地址是物理地址
- MAC地址是唯一的但是IP地址不受唯一的
- MAC地址主要是工作在第二层,IP地址在网际层
- MAC地址是48位,IP地址一般是32位(v6是128位)
- IP地址的分配取决于网络拓扑,MAC地址分配取决于制造商
- 主机地址和网络地址组成的
- 主机地址/主机号
- 标识某一台设备的地址
- 网络地址/网络号
- 标识某一网段的地址
- 子网掩码
- 子网掩码用于区分网络号和主机号,是网络号为1,主机号为0。
- 它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。子网掩码不能单独存在,它必须结合IP地址一起使用。子网掩码只能有一个作用,就是将某一个IP地址划分成为网络地址和主机地址两部分
- 一个A类IP地址是指,在IP地址的四段号码中,第一段号为网络号码,剩下的三段号码为本地计算机的号码。A类IP地址中网络的标识长度为8位,主机标识的长度为24位,A类网络地址数量较少,有126个网络,每一个网络可以容纳主机数量高达1600多万台. A类IP地址 地址范围1.0.0.1到127.255.255.254
- 第一个字节为网络号,第一个字节第一位为0
- 一个B类地址是指,在IP地址的四段号码中,前两段号码为网络号码。B类IP地址中网络的标识长度为16位,主机标识的长度为16位,B类网络地址适用于中等规模的网络,有16384个网络,每个网络所能容纳的计算机数6万多台。 B类IP地址 地址范围128.0.01-191.255.255.254
- 前两个字节为网络号,第一个字节前两位是10
- 一个C类IP地址是指,在IP地址的四段号码中,前三段号码为网络号码,剩下的一段号码为本地计算机的号码。C类IP地址中网络的标识长度为24位,主机标识的长度为8位,C网络地址数量较多,有209万余个网络。适用于小规模的局域网络,每个网络最多只能包含254台计算机。C类IP地址范围192.0.0.1-223.255.255.254
- 前三个字节为网络号,第一个字节前两位是110
- D类IP地址在历史上呗叫做多播地址,及组播地址。在以太网中,多播地址命名了一组应该在这个网络中应用接收到一个分组的站点。多播地址的最高位必须是“1110”,范围从224.0.0.0到239.255.255.255
- 保留
- 网络地址:主机号全为0的地址不可用
- 广播地址:主机号全为1的地址不可用
- 回环地址:127.0.0.0 测试使用
- 因为IPv4地址满足不了需求,出现匮乏的情况,所以就诞生了IPv6地址继续使用。v6地址由128位,16字节组成,一般表现形式为十六进制。
4.网络层的路由
- 路由是什么?
- 路由是指分组从源到目的地时,决定端到端路径的网络范围的进程。路由是指导报文转发的路径信息,通过路由可以确认转发IP报文的路径
- 路由是网络层最主要的工作任务
- 路由器
- 网络层的基础设备
- 数据转发
- 一个端口代表一个网段,路由器中存放着通往各个网段的表格,叫做路由表
- 路由表
- 又称路由择域信息库,是一个存储在路由器或者联网计算机中的电子表格(文件)或者类数据库。路由表存储着指向特定网络地址的路径
- 网关
- 又称网间连接器,协议转换器。用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连
- 路由获取方式
- 直连路由
- 静态路由
- 动态路由
- 静态路由
- 静态路由:由管理员手工配置,配置方便,对系统要求低,适用于拓扑结构简单稳定的小型网络
- 缺省路由:是一种特殊的路由,当报文没有在路由表中找到匹配的具体表项时才能使用的路由
- 动态路由
- 动态路由
- 通过动态路由协议来实现不同网段的路由互通
- 动态路由协议有自己的路由算法,能够自动适应网络拓扑的变化,适用于具有一定数量的三层设备的网络
- 动态路由协议
- RPI
- RPI:路由信息协议
- 基于矢量的动态路由协议
- 适用于中小规模的网络拓扑,最大跳数为15
- OSPF
- OSPF:开放式最短路径优先
- 基于链路状态的路由
- 使用SPF算法,计算最短路径。树形协议
- BGP
- BGP是自治系统间的路由协议。自治系统之间的路由协议
- 自治系统间的路由协议
- IS-IS
- IS-IS:中间系统到中间系统
- 与OSPF类似,IS-IS是基于路由路划分区域,OSPF利用接口划分
- 内部网关协议
- RIP和OSPF的区别
- RIP是基于矢量的协议,OSPF是基于链路状态
- RIP适用于中小型网络拓扑,OSPF适用于较大规模的网络
- OSPF支持可变长度子网掩码(VLSM)。RIP不支持
- ODPF的收敛速度比RIP更加的迅速
- RPI
- 动态路由
5.划分子网
子网划分
100 台电脑接入
c类地址最多提供254台主机,但冗余154
主机号上进行子网划分
划分2个子网 192.168.1.10000000和192.168.1.00000000
192.168.1.0000 0000/24(24表示网络号) 255.255.255.0 254(254个主机,2的八次方为256,但是全0和全1不能用,所以减去2为254)
192.168.1.0000 0000/25(25表示前边24个网络号加上划分为子网的位,一共25位) 255.255.255.1000 0000 126(分出126个主机,2的7次方为128,但全0和全1不能用,所以126)
(网络号 24+子网号 1) 网络号 25 +主机号7
占据的这个子网号就可以分为0和1来,就将子网划分成了2个
划分4个子网,则就占2个主机号192.168.1.00000000/26,剩下6位主机号,则可分2的六次方-2太主机=62
192.168.1.11000000
192.168.1.00000000
192.168.1.10000000
192.168.1.01000000
五.传输层
1.传输层概念
- 传输层提供端到端服务
- 从通信和信息处理的角度看,传输层向上层应用层提供通信服务
- 所谓的端口,就好像是门牌号一样,客户端可以通过IP地址找到对应的服务器端,但是服务器端是有很多的端口的,每个应用程序对应一个端口号,通过类似门牌号的端口号,客户端才能真正的访问到该服务器。为了对端口号进行区分,将每个端口进行编号,这就是端口号
- FTP:21(20)*
- FTP(文件传输协议)
- 21连接;20传输数据
- TELNET:23*:TELNET(远程登录)
- SMTP:25*
- SMTP(电子邮件传输协议)
- POP3(邮局协议版本3):110
- DNS:53*:DNS(域名系统)
- TFTP:69:TFTP(简单文件传输协议)
- HTTP:80*:HTTP(超文本传输协议)
- SNMP:161:SNMP(简单网络管理协议)
- HTTPS:443*:HTTPS(超文本传输安全协议)
2.传输层的两个重要协议
-
传输控制协议:TCP
-
TCP是TCP/IP体系中较为复杂的协议,是传输层中最重要的协议
- TCP的主要特点是:
- TCP是面向连接的传输层协议
- TCP提供可靠的交付服务
- TCP提供全双工通信
- TCP是面向字节流
- TCP的主要特点是:
-
窗口
- 固定窗口:如果窗口过小,当传输比较大的数据的时候需要不停的对数据进行确认,这个时候就会造成很大的延迟
- 滑动窗口:滑动窗口通俗的讲就是一种流量控制技术。它本质上是描述接收方TCP数据报缓冲区大小的数据,发送根据这个数据来计算自己最多能发送所长的数据,如果发送方收到接收方的窗口大小为0的TCP数据报,那么发送方将停止发送数据,等到接受方发送窗口大小不为0的数据报的到来
- 拥塞处理和流量控制
-
TCP的三次握手和流量控制
- 用户数据报协议:UDP
- UDP是在IP数据报服务之上增加了一些功能,增加了复用和分用的功能以及差错检测的功能
- UDP的主要特点是:
- UDP是无连接的
- UDP尽最大努力交付
- UDP面向报文且没有拥塞控制
- UDP开销较小传输效率较高
- UDP首部的概念
六.应用层
1.应用层的作用
- 通过位于不同主机中的多个应用进程之间的通信和协同工作来完成,应用层的内容就是具体定义通信规则
- www 主机名
2.应用层中常见的协议
- 域名系统DNS
- 域名结构:每一个域名用标号隔开。 mail.cctv.com (三级域名.二级域名.顶级域名)
- 域名服务器:迭代 (自己一个一个去问)递归(传递,归来,别人帮你问,你问了他不知道,他帮你问,再回答你)
- 域名和ip地址的转换
- 端口号:53
- 文件传输协议FTP
- 使用TCP连接,传输数据
- 端口号:21(20)。 20发送数据
- 远程终端协议TELNET
- 使用TCP连接,远程登录到远地的另外一台主机上
- 端口号:23
- 万维网和HTTP协议
- 超文本传输协议,是一个简单的请求-响应协议
- 端口号:80
- 电子邮件协议
- SMTP电子邮件传输协议(发送邮件):端口号25
- POP3邮局协议版本3(接收邮件):端口号110
- DHCP动态主机配置协议
- 指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。
- 端口号68
七.网络安全
1.网络安全概论
- 网络安全(Cyber Security)是指网络系统的硬件,软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏,更改,泄露。系统连续可靠正常的运行,网络服务不中断。
- 主动的去做一些在网络基础上的恶意行为。恶意串改信息数据,发布恶意程序脚本等
- 篡改
- 恶意程序
- 拒绝服务
- 被动攻击主要是收集信息而不是进行访问,不改变数据本身的结构,也不对软硬件数据造成影响
- 截取
- 窃听
- 流量分析
- 保密性:信息不泄露给非授权用户,实体或过程,或供其利用的特性
- 完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改,不被破坏和丢失的特性
- 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需信息。例如网络环境下拒绝服务,破坏网络和有关系统的正常运行等后属于对可用性的攻击
- 可靠性:对信息的传播及内容具有控制能力
- 不可抵赖性:出现安全问题时提供依据与手段
2.加密和交互
- 是以某种特殊的算法改变原有的信息数据,使得未授权的用户即即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容
- 加密手段
- MD5加密(信息-摘要算法):128位
- AES加密(称秘钥加密):128,192,256位
- SHAI加密(安全哈希算法):160位
- RSA加密:公钥加密,私钥解密:1204位
- 加密的逆过程就是解密
2.2公钥和私钥
- 采用单钥密码系统的加密方式,同一个秘钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单秘钥加密。
- 使用非对称的加密方式时,会产生两把钥匙。发送方利用自己的公钥加密,接收方利用自己的私钥解密
- 数字签名的四大特点
- 防止重放攻击:攻击者利用网络监听或则其他方式盗取认证凭据,之后再把它重新发给认证服务器。在数字签名中,如果采用了对签名报文加盖时间戳等或添加流水号等技术,就可以有效防止重放攻击
- 防止数据伪造:其他人不能伪造对消息的签名,因为私有秘钥只能签名者自己知道,所有其他人不可以构造出正确的签名结果数据
- 防止数据篡改:数字签名与原始文件或摘要一起发送给接受者,一旦信息被篡改,接受者可以通过计算摘要和验证签名来判断该文件无效,从而保证了文件的完整性
- 防止数据抵赖:数字签名既可以作为身份认证的依据,也可以作为签名者签名操作的证据。要防止接受者抵赖,可以在数字签名系统中要求接收者返回一个自己的签名的表示收到报文,给发送者或者信任第三方。如果接受者不返回任何信息,此次通信可终止或重新的开始,签名方也没有任何的损失,由此双方均不可抵赖。
2.3防火墙
防火墙是一种访问控制技术,可以严格控制进出网络边界的分组,禁止任何不必要的通信,来减少潜在入侵的发生
- Local本地区域
- 顶级安全区域,安全优先级为100
- local就是防火墙本身的区域比如ping指令等网际控制协议的回复,需要local域的权限凡是由防火墙主动发出的报文均可认为是从local区域中发出是需要防火墙响应并处理(而不是转发)的报文均可认为是Local区域接收
- Trust受信区
- 高级安全区域,安全优先级为85
- 通常用来定义内部用户所在的网络,也可以理解为应该是防护最严密的地区
- DMZ非军事化区
- 中级安全区域,安全优先级50
- 通常用来定义内部服务器坐在网络
- 作用是把WEB。E-mail等允许外部访问的服务器单独接在该区域端口,使整个需要访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web,Mail,FTP中的服务。这样来自外网的访问者可以访问DMZ中服务,但不可能接触到存放在内网中的公司机密或私人信息等,及时DMZ中服务器受到破坏,也不会对内网中的机密信造成影响
- Untrust非受信区
- 低级安全区域,安全优先级为5
- 通常用来定义Internet等不安全的网络,用于网络入口线的接入。