计算机网络-网络安全与无线网及存储技术和综合布线系统

网络安全威胁

安全攻击类型

SQL注入和预防

sql注入
   是把sql命令插入到web表单、域名输入栏或者请求的查询字符串中，
   最终达到欺骗服务器执行恶意的sql命令。

预防sql注入
  1).加强用户输入认证；
  2).过滤避免特殊字符的输入；
  3).数据库信息加密。

DDOS攻击和预防

分布式拒绝服务攻击：(Distributede Denial of Service,DDos)

预防DDOS攻击
   1).使用防火墙的防DDOS功能；
   2).根据IP地址对数据包进行过滤；
   3).采用高仿IP地址，从而隐藏真实服务器IP地址；
   4).禁止服务器上不必要的服务端口，过滤掉非必要的服务端口对应的流量；
   5).对访问数据量的来源地址进行家检查，对于非真实地址进行屏蔽；
   6).配置最小特权的访问策略。

计算机病毒：
   是一段附着在其他程序上的，可以自我繁殖的，有一定破坏能力的程序代码。
   复制后的程序仍然具有感染和破坏的功能。

蠕虫：
   是一段可以借助程序自行传播的程序或代码。

木马：
   是利用计算机程序漏洞侵入后窃取信息的程序，
   这个程序往往伪装成善意的，无危害的程序。

僵尸网络：
   (Botnet)是指采用一种或多种传播手段使大量主机感染bot程序
   (僵尸程序，从而在控制者和被感染主机之间形成一个可以一对多控制的网络。)

拒绝服务：
   (Denial of Service,DOS):
   利用大量合法的请求占用大量网络资源，已达到瘫痪网络的目的。
   例如：驻留在多个网络设备上的程序在短时间内同时产生大量的请求信息冲击某web服务器，
   导致该服务器不堪重负，无法正常响应其他合法用户的请求，中就是DOS攻击。
   又如：TCP SYN Flooding 建立大量处于半连接状态的TCP连接就是一种使用SYN分组的DOS攻击。

分布式拒绝服务攻击：(Distributede Denial of Service,DDos):
   很多DOS攻击源一起攻击某台服务器就形成了DDOS攻击。
   常见防范DOS和DDOS的方式有：根据IP地址对数据包进行过滤、
   为系统访问提供更高级别的身份认证、使用工具软件检测不正常的高流量，
   由于这种攻击并不在被攻击端植入病毒，因此安装防病毒软件无效。

垃圾邮件：
   未经用户许可就强行发送到用户邮箱中的任何电子邮件。

跨站攻击

跨站攻击(Cross Site Script Execution ,XSS):
   恶意攻击者往web页面里插入恶意HTML代码，
   当用户浏览该页时，嵌入到Web中的HTML代码会被执行，从而达到特殊目的。

安全应用

SSL和HTTPS

相关知识点：SSL、SSL协议的工作流程、HTTPS、S-HTTP。

SSL安全套接层(Secure Sockets Layer,SSL)协议
   是一个安全传输、保证数据完整的安全协议，
   之后的传输层协议(Transport Layer Security,TLS)是SSL的非专有版本。
   SSL处于应用层和传输层之间。
   SSL主要包括SSL记录协议、SSL握手协议、SSL告警协议、SSL修改密文协议等。

SSL协议工作流程

 (1)浏览器向服务器发送请求消息
    (包含协商SSL版本号、询问对称密钥算法)，开始新会话连接。
    
 (2)服务器返回浏览器请求消息，附加生成主密钥所需的信息，
    确定SSL版本号和对称密钥算法，发送服务器证书，并使用某CA中心私钥加密。
    
 (3)浏览器对照自己的可信CA表判断服务器证书是否在可信CA表中。
    不在，则中止通信；
    如果在，则使用CA表中对应的公钥解密，得到服务器的公钥。

 (4)浏览器随机产生一个对称密钥，使用服务器公钥加密并发送给服务器。
 
 (5)浏览器和服务器相互发送一个报文，确定使用此对称密钥加密；
    再相互发一个报文，确定浏览器端和服务器端握手过程完成。

 (6)握手完成，双方使用该对称密钥对发送的报文加密。

网络安全协议

HTTPS
   HTTPS是以安全为目标的HTTP通道，简单来讲就是HTTP的安全版。
   它使用SSL对信息内容进行加密，使用TCP的"443端口"发送和接收报文。
   其使用语法与HTTP类似，使用"HTTPS://+URL"形式。

S-HTTP
   安全超文本传输协议(S-Http)是一种面向安全信息通信的协议，
   是EIT公司结合HTTP而设计的一种消息安全通信协议。
   S-HTTP可提供通信保密、身份识别、可信赖的信息传输服务及数字签名等。

无线局域网

相关知识点有：IEEE802.11基础知识概述与物理层知识、IEEE802.11系列标准、IEEE802.11MAC层协议。

IEEE802.11定义了无限局域网的两种工作模式：基础设施网络和自主网络
   基础设施网络(Infrastructure Networking)
   自主网络(Ad Hoc Networking)

IEEE802.11物理层
   802.11物理层比较复杂，最初使用了三种物理层技术。
   1)跳频(Frequency-Hopping Spread Spectrum,FHSS)。
     它的特点是对无线噪声不敏感，产生的干扰小，安全性较高，但是占用带宽较高。
     增加带宽可以在低信噪比、等速率的情况下，提高数据传输的可靠性。
     而扩频技术属于跳频技术的一种。

   2)红外技术(IR,InfraRed)。
     红外线是波长在750nm至1mm之间的电磁波，它的频率高于微波而低于可见光，是一种人的眼睛看不到的光线。
    
   3)直接序列扩频(Direct Sequence Spread Spectrum,DSSS)
     1999年，人们有引入了OFDM和HR-DSSS两种新的扩频技术。
   

IEEE802.11系列标准

IEEE 802.11MAC层协议

IEEE 802.11 采用了类似于802.3 CSMACD协议的载波侦听多路访问/冲突避免协议
(CarrierSense Multiple Access/collision Avoidance, CSMACA),
之所以不采用CSMACD协议的原因有两点:
   ①无线网络中，接收信号的强度往往远小于发送信号，因此要实现碰撞的花费过大；
   ②隐蔽站(隐蔽终端问题)，并非所有站都能听到对方。

如图8-2 (a) 所示。而暴露站的问题是检测信道忙碌但未必影响数据发送，如图8-2 (b) 所示。

RAID

独立磁盘冗余阵列(Redundant Array of Independent Disk, RAID):
   是指利用一个磁盘阵列控制器和一组磁盘组成一个可靠、高速的、大容量的逻辑硬盘。

RAID级别
  1)RAID0
    无容错设计的条带磁盘阵列，数据并不是保存在一个磁盘上，
    而是分成数据块保存在不同的驱动器上。
    因为将数据分布在不容驱动器上，所以数据吞吐率大大提高。
    如果是N块硬盘，则读取相同数据时间减少为1/N。
    由于不具备冗余技术，如果一块硬盘坏了，则阵列数据全部丢失。
    实现RAID0至少需要两块硬盘。
    
  2)RAID1
    磁盘镜像，可并行读取数据，由于在不同的两块磁盘写入相同数据，
    写入数据比RAID0慢点。
    安全性最好，但空间利用率为50%，利用率最低。实现RAID1至少需要2块硬盘。
    
  3)RAID2
    使用了海明码校验和纠错，将数据条块化分布于不同硬盘上，
    现在几乎不在使用，至少需要2块银盘。
    
  4)RAID3
    使用单独的一块校验盘进行奇偶校验。
    磁盘利用率=(n-1)/n,其中 n为RAID3中的磁盘总数。至少需要3块磁盘。
    
  5)RAID5
    具有独立的数据磁盘和分布校验块的磁盘阵列，无专门的校验盘。
    RAID5常用于I/O较频繁的事务处理上。
    可以为系统提供数据安全保障，虽然可靠性比RAID1低，但是磁盘空间利用率比RAID1高。
    RAID5具有和RAID0近似的数据读取速度，这是多了一个奇偶校验信息，
    写入数据的速度比对单个磁盘进行写入操作的速度稍慢。
    磁盘利用率=(n-1)/n,其中 n为RAID5中的磁盘总数。
    至少需要3块磁盘。
    
  6)RAID6
    具有独立的数据硬盘与两个独立的分布校验方案，即存储两套奇偶校验码。
    因此安全性更高，但结构更复杂。
    磁盘利用率=(n-2)/n,其中n为RAID6中的磁盘总数，
    实现RAID6至少需要4块硬盘。
    
  7)RAID10
    高可靠性与高性能的组合。
    RAID10是建立在RAID0和RAID1基础上的，即先做镜像然后做条带化，
    这样即利用了RAID0极高的读写效率，又利用了RAID1的高可靠性。
    磁盘利用率为50%，实现RAID10至少需要4块硬盘。

NAS和SAN

网络附属存储(Network Attached Storage,NAS)
   NAS采用独立的服务器，单独为网络数据存储而开发的一种文件服务器来连接所有的存储设备

存储区域网络及其协议(Storage Area Network and SAN Protocals,SAN)
   SAN是一种专用的存储网络，用于将多个系统连接到存储设备和子系统。SAN可以分为FC SAN和IP SAN.

综合布线

综合布线系统由6个部分组成
   (1)干线子系统：
      各水平子系统(各楼层)设备之间的互联系统。
   
   (2)水平子系统：
      各个楼层配线间中的配线架到工作区信息插座之间所安装的线缆。
      
   (3)工作区子系统：
      是由终端设备连接到信息插座的连线组成的，包括连接线和适配器。
      工作区子系统中信息插座的安装位置距离地面的高度为30~50cm；
      如果信息插座到网卡之间使用无屏蔽双绞线，布线距离最大为10m。
      
   (4)设备间子系统：
      位置处于设备间，并且集中安装了许多大型设备(主要是服务器、管理终端)的子系统。
      
   (5)管理子系统：
      该系统由相互连接、交叉连接和配线架、信息插座式配线架及相关跳线组成。
      
   (6)建筑群子系统：
      将一个建筑物中的电缆、光缆和无线延伸到建筑群的另外一些建筑物中的通信设备和装置上。
      建筑群之间往往采用单模光纤进行连接。