【软件设计师】——4.计算机网络

Bee.Bee.

于 2024-05-27 17:14:56 发布

阅读量609

点赞数 5

分类专栏：备考软件设计师文章标签：计算机网络

本文链接：https://blog.csdn.net/weixin_49015558/article/details/139243019

版权

备考软件设计师专栏收录该内容

13 篇文章 0 订阅

订阅专栏

4.1 计算机网络分类

按分布范围：局域网 LAN、城域网 MAN、广域网 WAN、因特网
按拓扑结构：环型、总线型、星型（办公室常用，中心点为交换机，单点故障）
无线网
1. 移动性、灵活性、成本低、容易扩充
2. 接入方式：接入点模式、无接入点模式
3. 无线局域网—WLAN，802.11，Wi-Fi；无线城域网—WMAN，802.16，WiMax；无线广域网—WWAN，3G/4G；无线个人网—WPAN，802.15，Bluetooth
按网络接入技术
1. 有线接入：公用交换电话网络—PSTN、数字数据网—DDN、综合业务数字网—ISDN、非对称数字用户线路—ADSL 、同轴光纤技术—HFC
2. 无线接入：IEEE 802.11—WIFI、IEEE 802.15—蓝牙Bluetooth、红外—IrDA、WAPI

移动通信

3G：宽带码分多址W-CDMA（成熟稳定）、CDMA2000、TDS-CDMA（中国）三大主流无线接口标准，写入3G技术指导性文件
4G：第四代移动通信，有TD-LTE、FDD-LTE两种制式，集3G与WLAN于一体，能快速传输数据、高质量、音频、视频、图像，理论下载速度达到100Mbps，比通常家用宽带ADSL快25倍，并且可以在DSL和有线电视调制解调器没有覆盖的地方部署，能满足几乎所有用户对无线服务的要求
5G：第五代移动通信，峰值理论可达下行10Gbps。根据各地试点表明，目前试用阶段一般在下行1Gbps左右，未来5G网络传输速率可达下行10Gbps

组织模式	含义	地理模式	含义
com	商业组织	cn	中国
edu	教育机构	hk	中国香港
gov	政府机构	mo	中国澳门
mil	军事部门	tw	中国台湾
net	主要网络支持中心	us	美国
org	上述以外组织	uk	英国
int	国际组织	jp	日本

4.2 七层网络体系结构

应用层：

实现具体应用功能
1. POP3：TCP/110
  
  电子邮件服务，用于邮件接收，采用客服端Client/服务器server模式传送邮件
2. FTP：TCP/21控制/20数据
  
  ① 文件传输服务，通过网络在计算机间传输文件，客户机/服务器内部建立两条TCP连接上传下载文件
  
  ② 不采用组播协议，21端口控制连接：传输命令参数，客户端主动建立；20端口数据连接：传送文件
  
  ③ FTP服务器监听21端口，准备接受用户连接请求。当用户访问FTP服务器时便主动与服务器21端口建立控制连接。
  
  ④ 若用户要求下载文件，必须等待服务器20端口主动发出建立数据连接的请求，文件传输完成后数据连接随之释放。在客户端看来，这种处理方式为被动式FTP，Windows系统默认这种处理方式
  
  ⑤ 由于有的防火墙阻止由外向内主动发起的连接请求，所以FTP数据连接可能由于防火墙过滤而无法建立。主动式FTP：数据连接由客户端主动请求建立，但在服务器中接收数据连接的不一定是20端口
3. TFTP ：UDP/69
  
  客户机/服务器间进行简单文件传输，提供不复杂、不可靠、开销不大的文件传输服务。不提供存取授权与认证机制，使用超时重传方式保证数据到达
4. Telnet：TCP/23
  
  ① 远程登录服务，基于客户机/服务器模式。在Telnet协议支持下，将用户计算机与远程主机连接，在远程计算机上运行程序，将相应屏幕显示传送到本机，并将本地输入送给远程计算机
  
  ② 为用户提供在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器
5. SMTP：TCP/25
  
  ① 电子邮件服务：电子邮件就是利用计算机进行信息交换的电子媒体信件，传输邮件报文采用ASCII编码
  
  ② 简单邮件管理协议，是一种通过计算机网络与其他用户进行联系的快速、简便、高效、廉价的现代化通信手段，是一种利用网络交换信息的非交互服务。在TCP/IP网络上的大多数邮件管理程序使用SMTP协议来发信，采用POP3协议保管用户未能及时取走的邮件
6. HTTP：TCP/80
  
  超文本传输协议：网页传输。WWW服务：交互式图形界面的Internet服务，具有强大的信息连接功能
7. DHCP：UDP/67/169.254.X.X和 0.0.0.0，DHCP失效
  
  ① 动态主机配置协议，DHCP客户机首次启动时，客户机向DHCP服务器发送Dhepdisecover数据包表达客户机的IP租用请示，多数情况下客户机接受收到的第一个dhcpoffer。使用DHCP服务时，可通过保留IP、MAC地址保证某台计算机使用固定IP地址。客户端配置时不必指明DHCP服务器IP地址就能获得服务
  
  ② DHCP协议是一个局域网网络协议，指由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址、子网掩码。DHCP客户端能从DHCP服务器获得DHCP服务器IP地址、DNS服务器IP地址、默认网关IP地址。但不能获得Web服务器IP地址、邮件服务器地址
8. SNMP：UDP/161
  
  简单网络管理协议，传送SNMP报文的开销小。SNMP使用UDP的方法特殊，在运行代理程序的服务器端用161端口接收Get/Set报文、发送响应报文（客户端使用临时端口），但运行管理程序的客户端则使用熟知端口162接收来自各代理的Trap报文
9. DNS：UDP/53
  
  ① 域名服务，记录域名、IP映射关系，包括本地缓存、本地hosts文件、本地数据库和本地、权限、顶级、根域名服务器
  
  ② 递归查询：主机向本地域名服务器查询，服务器必需回答目标IP与域名的映射关系；一般客户机和服务器间属递归查询，即当客户机向DNS服务器发出请求后，若DNS服务器本身不能解析，则会向另外的DNS服务器发出查询请求得到结果后转交给客户机
  
  ③ 迭代查询：本地域名服务器向根域名服务器查询，一般DNS服务器之间属迭代查询。服务器收到一次迭代查询回复一次结果，这个结果不一定是目标IP与域名的映射关系，也可以是其它DNS服务器地址
  
  ④ DNS主机名解析查找顺序：
  
  a. 先查找客户端本地缓存，若失败则向DNS服务器发出解析请求。本地缓存是内存中一块区域，保存最近被解析的主机名、IP地址映像。由于解析程序缓存常驻内存，所以比其他解析方法速度快
  
  b. 当一个主机发出DNS查询报文时，这个查询报文首先被送往该主机的本地域名服务器。本地域名服务器离用户较近，当所要查询的主机也属于同一个本地ISP时，该本地域名服务器立即就能将所查询的主机名转换为它的IP地址，而不需要再去询问其他域名服务器
  
  c. 每个区都设有域名服务器，即权限服务器，负责将其管辖区内的主机域名转换为该主机的IP地址。在其上保存有所管辖区内的所有主机域名到IP地址的映射
  
  d. 顶级域名服务器负责管理在本顶级域名服务器上注册的所有二级域名。当收到DNS查询请求时，能将其管辖的二级域名转换为该二级域名的IP地址。或者是下一步应该找寻的域名服务器的IP地址
  
  e. 根域名服务器是最高层次的域名服务器。每一个根域名服务器都要存有所有顶级域名服务器的IP地址和域名。当一个本地域名服务器对一个域名无法解析时，就会直接找到根域名服务器，然后根域名服务器会告知它应该去找哪一个顶级域名服务器进行查询
  
  ⑤ DNS服务器基于DNS循环，只需要为同一个域名设置多个ip主机记录。DNS中没有转发器概念，需要启用循环，添加每个Web服务器的主机记录就可以确保域名解析并实现负载均衡
表示层：

数据格式与表达、加密、压缩
会话层：

建立、管理、终止会话；为表示层提供建立、维护、结束会话连接的功能，并提供会话管理服务
传输层：

对于各种公共服务保留的端口号范围1~1023

提供应用进程间的逻辑通信，即端到端通信（端口号）；传输层向高层用户屏蔽了下面网络层的核心细节，使应用程序看起来像是在两个传输层实体之间有一条端到端的逻辑通信信道
1. TCP：传输控制协议，为应用程序提供可靠、面向连接的数据传输服务；传送数据无差错、不丢失、不重复、按序到达；面向字节流；点到点；首部开销20字节；逻辑通信信道是全双工的可靠信道，TCP三次握手，验证反馈机制；具有顺序控制、拥塞控制、重发控制、流量控制、连接管理、差错校验、重传、提高网络利用率的功能
2. UDP：用户数据报协议，不可靠、无连接、面向事务，可保证应用程序进程间的通信；尽最大努力交付，不保证可靠交付；面向报文，无拥塞控制，网络出现拥塞不会使源主机发送速率降低，有助于提高传输的高速率性；支持一对一、一对多、多对一、多对多交互通信；首部开销小8字节；不可靠信道，整体来看UDP开销较小，时间性能好且易于实现；应用于客户机/服务器、远程调用、实时多媒体应用
3. TCP、UDP协议均提供端口寻址功能
网络层

分组传输和路由选择，主机到主机的逻辑通信；网络层为传输层的数据传输提供建立、维护、终止网络连接的手段，把上层来的数据组织成数据包在节点间进行交换传送，并负责路由控制、拥塞控制；网络层只把分组发送到目的主机，但是真正通信的并不是主机而是主机中的进程（三层交换机）；网络层设备（路由器）可以隔离冲突域、广播域
1. 路由器：网络层设备，识别IP地址，转发数据包
2. ARP：
  
  ① 地址解析协议，ARP报文封装在以太帧中传送。ARP请求是广播发送，ARP响应是单播发送
  
  ② ARP功能：将IP地址转换为物理MAC地址。网络中IP数据包经常通过以太网发送，以太网设备不识别32位IP地址，而以48位的MAC地址传输以太网数据包。必须把IP目的地址转换成以太网的MAC目的地址
  
  ③ ARP工作：送出一个含有所希望的IP地址的以太网广播数据包。发出APR请求时，发送方填好发送方首部、发送方IP地址、目标IP地址。目标机器收到ARP广播帧时，在响应报文中填上自己的48位主机地址。APR广播帧最初以IP地址形式来寻址发送，需要工作在网络层的网络设备路由器来对其进行隔离
  
  ④ 若源站和一个新目标通信，先由源站发出含目标IP地址的ARP请求广播包，然后目标返回含有自己MAC地址的ARP相应包。源站把目标MAC地址装入要发送的数据帧中，并把得到的MAC地址添加到自己的ARP表中。当一个站与多个目标通信后，在ARP表中积累了多个表项，每项都是IP地址与MAC地址的映射关系
3. RARP：反地址解析协议，将物理MAC地址转换为IP地址
4. IGMP：网络的组播协议（VOD、Netmeeting、CSCW)，不能实现相关应用层的远程登录
5. ICMP：
  
  ① Internet控制报文协议。用于在IP主机、路由器间传递控制消息，报告IP数据报传送差错
  
  ② 控制消息：指网络通不通 ping、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但对用户数据传递起着重要作用
  
  ③ PING命令来自该协议，检查网络是否通畅或网络连接速度，回声请求消息给目的地并报告是否收到所希望的ICMP回声应答-ICMPecho
  
  ④ ICMP报文作为数据字段封装在IP分组中，因此IP直接为ICMP提供服务
数据链路层：

传送以帧为单位的信息，负责相邻结点间的通信，数据链路层设备可隔离冲突域，不能隔离广播域
1. 网桥：可识别MAC地址、数据链路层协议数据单元，根据数据链路层地址进行帧转发
2. 交换机：由硬件构成的多端口网桥。任何一对端口之间都能进行数据转发。交换机各端口构成一个广播域，但不是冲突域，即可以有多个端口同时发送数据而不会出现冲突
3. PPP：点到点协议，是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作，并按顺序传递数据包。设计目的是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥、路由器间简单连接的共通解决方案
4. PPP 扩展认证协议：EAP可支持多种认证机制，并允许使用后端服务器实现复杂的认证过程。例如通过Radius 服务器进行Web认证时，远程访问服务器 RAS 只是作为认证服务器的代理传递请求和应答报文，并且当识别出认证成功/失败标志后结束认证过程。PPP 认证是可选的，通常PPP支持的两个认证协议是： ① 口令验证协议PAP：提供一种简单的两次握手认证方法，由终端发送用户标识和口令字，等待服务器应答，若认证不成功则终止连接。该方法采用文本方式发送密码，可能会被第三方窃取，不安全 ② 质询握手认证协议CHAP：采用三次握手方式周期地验证对方身份。首先是逻辑链路建立后认证服务器就要发送一个挑战报文（随机数)，终端计算该报文Hash值并把结果返回服务器，然后认证服务器比较收到的Hash值与自己计算的Hash值。若匹配则认证通过并建立连接，否则终止连接。计算Hash值的过程有一个双方共享的密钥参与，密钥不通过网络传送，所以CHAP是更安全的认证机制。在后续通信过程中，每经过一个随机间隔，这个认证过程都可能被重复，以缩短入侵者持续攻击的时间。该方法可进行双向身份认证，终端也可以向服务器进行挑战，使得双方都能确认对方身份合法性
5. pptp：点对点隧道协议，在ppp协议基础上开发的新的增强型安全协议，支持多协议虚拟专用
6. slip：串行线路网际协议，是windows远程访问的一种旧工业标准，主要在unix远程访问服务器中使用，现今仍用于连接某些isp
物理层：二进制传输，物理层设备无法隔离冲突域和广播域
1. 中继器：对接收信号进行再生放大，延长传输距离
2. 集线器/多端口中继器：从一个端口接收信息，并向其他端口广播出去。不解释所传送信息含义，不识别任何协议数据单元。各端口构成一个冲突域，即只能单个端口发送数据，若两个以上端口同时发送则冲突
  
  例：在下图配置下IP全局广播分组不能够通过的路径有：计算机P和计算机S之间的路径

4.3 网络基础

IE浏览器中安全等级从可信站点、本地Intranet、Internet、受限站点默认情况下逐步提升
服务器

MySQL：数据库服务器

NFS：文件系统服务器

Apache：Linux系统中Web服务器，使用 /home/httpd 作为默认目录

IIS：windows系统常见的Web服务器，IIS下多站点配置：
1. 采用虚拟目录：发布的站点没有独立域名，而是在主域名下建立虚拟目录
2. 采用虚拟主机：
  
  使用不同IP地址：要求WEB服务器配备多网卡
  
  使用不同端口号：要求在访问Web服务器虚拟主机时指明端口号，如：http://www.b.com:8080
  
  使用不同主机头：在IIS发布中要做主机头域名指定
虚拟局域网 VLAN
1. 是根据管理功能组织机构/应用类型对交换局域网进行分段而形成的逻辑网络。IEEE 802.19 定义了VLAN 帧标记的格式，在原来的以太帧中增加了4个字节的标记 Tag 字段，属于OSI七层模型的数据链路层
2. 允许逻辑地划分网段：把局域网划分成多个不同VLAN，使网络接入不局限于物理位置的约束，简化了在网络中增加、移除、移动主机的操作，特别是动态配置的VLAN。无论主机在哪里，它都处于自己的VLAN中。VLAN内部可相互通信，VLAN之间不能直接通信，必须经过特殊设置的路由器才可以连通。所以通过在较大的局域网中创建不同的VLAN可以抵御广播风暴的影响，也可以通过设置防火墙来提高网络安全，但VLAN不能直接增强网络安全性
数据通信
1. 单工数据传输：只支持数据在一个方向上传输；同一时间只有一方能接受/发送信息，不能实现双向通信，如电视、广播
2. 半双工数据传输：允许数据在两个方向上传输，但在某一时刻，只允许数据在一个方向上传输，实际上是一种切换方向的单工通信；同一时间只可有一方接受/发送信息，可实现双向通信，如对讲机
3. 全双工数据通信：允许数据同时在两个方向上传输，是两个单工通信方式的结合，要求发送、接收设备都有独立接收、发送能力；同一时间可同时接受、发送信息，实现双向通信，如电话通信
网络技术标准与协议
1. TCP/IP协议族：作为Internet的核心协议，可扩展，可靠，应用广，牺牲速度和效率。广泛应用于局域网、广域网，已成为国际标准，采用层次体系结构，从上而下为应用层、传输层、网际层、网络接口层
2. IPX/SPX协议：NOVELL，路由，大型企业网
3. NETBEUI协议：IBM，非路由，快速
4. RAS：用于远程访问服务，例如使用拨号上网时，在远端服务器上需要启动远程访问服务
5. RFB：远程帧缓冲协议，一个用于远程访问图形用户界面的简单协议。工作在帧缓冲层，适用于所有窗口系统、应用程序
6. VOIP：指在IP网络上使用IP协议以数据包的方式传输语音，使用UDP协议
7. IMAP：邮件获取协议
8. MPLS：多协议标记交换，一种标记 label 机制的包交换技术
9. SSH：建立在应用层基础上的安全协议。较可靠，专为远程登录会话和其他网络服务提供安全性的协议
10. SSL：工作于TCP协议之上的安全协议
11. IPSec：工作于网络层，为IP数据报文加密，IPSec是第三层的VPN协议
12. PP2P：工作于数据链路层，用于链路加密
13. HTTPS：HTTP、SSL结合体，为传输层以上层次数据加密
14. TLS：安全传输层协议，用于在两个通信应用程序之间提供保密性、数据完整性
15. Ethernet：以太网是一种计算机局域网技术，以太网协议定义了一系列软硬件标准，将不同计算机设备连接在一起。以太网技术规范是一个工业标准：① 拓扑结构：总线型 ② 介质访问控制方式：CSMA/CD ③ 传输介质：同轴电缆/双绞线 ④ 收发器最小距离传输距离：2.5M ⑤ 100BASE-TX标准规定的传输介质：5类UTP
16. adsl ：① modem上网拨号方式：专线方式静态ip、pppoa、pppoe ② ADSL是一种宽带接入技术，使用电话线传输介质。它提供带宽较高，下载速率可达8Mb/s甚至更高，上传速率也可达640Kb/s~1Mb/s。它采用频分多路技术在普通电话划分出上行、下行、语音等不同信道，实现上网、通话同时传输
17. pppoe：以太网上的点对点协议，将点对点协议ppp封装在以太网框架中的一种网络隧道协议
18. vpn：可通过密码验证协议 pap、可扩展认证协议 eap 等方法增强安全性
19. isp：通过直接连接internet或其他网络安全地访问企业网
20. RIP：内部网关协议 IGP ，是一种动态路由选择协议，用于自治系统 AS 内路由信息传递
21. OSPF：路由协议是用于网际协议 IP 网络的链路状态路由协议。该协议使用链路状态路由算法的内部网关协议(IGP)，在单一自治系统(AS)内部工作
22. BGP：边界网关协议是运行于TCP上的一种自治系统的路由协议，外部网关协议。BGP是唯一一个用来处理像因特网大小的网络协议，也是唯一能安善处理好不相关路由域间的多路连接协议
23. CSMA/CA协议：可采用载波检测方法、能量检测方法发现信道空闲。这个算法对参与竞争的站是公平的，基本上按先来服务的顺序获得发送机会
24. IEEE802
  
  ① IEEE 802.11标准定义的分布式协调功能采用了载波监听多路访问/冲突避免（CSMA/CA协议）。在无线网中进行冲突检测是有困难的。如隐蔽终端问题：两个站由于距离过大或中间障碍物的分隔而检测不到冲突，但是位于它们之间的第三个站可能会检测到冲突，采用冲突避免办法可解决隐蔽终端问题。802.11定义了一个帧间隔 IFS 时间。另外还有一个后退计数器，其初始值由随机数发生器设置，递减计数直到0。基本操作过程如下：
  
  （1）若一个站有数据要发送且监听到信道忙，则产生一个随机数设置自己的后退计数器并坚持监听
  
  （2）监听到信道空闲后等待一个IFS时间，然后开始计数，先计算完的站可以开始发送
  
  （3）其他站在监听到有新的站开始发送后暂停计数，知道计数完成开始发送
  
  ② IEEE 802.1：协议概论；IEEE802.3：局域网协议；IEEE802.6：城域网协议；IEEE802.11：无线局域网协议
名词解析
1. JDBC：Java技术中访问数据库的方式，目前用Java技术实现的基于Web应用的数据库访问方式
2. COM：一种组件技术
3. CGI：一种网络应用技术
4. XML：一种数据格式定义
5. 帧中继FR：为克服X.25交换网缺陷、提高传输性能而发展起来的高速分组交换技术。帧中继网络不进行差错和流量控制，通过流水方式进行交换，比X.25网络的通信开销更少，传输速度更快。帧中继提供面向连接的虚电路服务，比DDN专线更能提高通信线路利用率，用户负担的通信费用也更低廉。帧中继网中，用户信息速率可在一定范围内变化，可以适应流式业务、突发式业务，使得帧中继成为远程传输的理想形式
数据经网络传输延迟长而且不固定，所以不能用于语音数据传输的是报文交换。报文交换的数据是报文，报文大小不固定，在交换节点中需较大存储空间，报文经中间节点的接收、存储、转发时间较长也不固定，不能用于实时通信应用环境，如语音、视频等
将双绞线制作成交叉线(一端按EIA/TIA 568A线序，另一端按EIA/TIA 568B线序)，该双绞线连接的两个设备可为网卡与网卡
主机路由、网络路由由目的地址的完整度区分，主机路由的目的地址是一个完整的主机地址（主机路由子网掩码固定为255.255.255.255）。网络路由目的地址是一个网络地址（主机号部分为0）。当为某个目的IP地址搜索路由表时，主机地址项必须与目的地址完全匹配，而网络地址项只需要匹配目的地址的网络号和子网号

4.4 IP和子网划分

IPv4
1. 长度为4段 * 8位 = 32位，用十/二进制数表示。每段数字范围0~255，段间用句点隔开
2. IP 地址由网络地址、主机地址组成，分为5 类
① A类：1字节网络地址、3字节主机地址，网络地址最高位必须是“0”，地址范围是 1.0.0.1~127.255.255.254。可用的A类网络有 126 个，每个网络能容纳 2^24 - 2 个主机

② B类：2字节网络地址、2字节主机地址，网络地址最高位必须是“10”，地址范围是 128.0.0.1~191.255.255.254。可用的B类网络有 16384个，每个网络能容纳 65534 个主机

③ C类：3字节网络地址、1字节主机地址，网络地址最高位必须是“110”，地址范围是 192.0.0.1~223.255.255.254。可用的C类网络有 2^21 个，每个网络能容纳 254 个主机

④ D类：第一个字节以“1110”开始，是专门保留的地址，组播地址。它并不指向特定网络，目前这类地址用在多点广播。多点广播地址用来一次寻址一组计算机，它标识共享同一协议的一组计算机。D 类IP 地址的地址范围是 224.0.0.1~239.255.255.254

⑤ E类：以“11110”开始，为将来使用保留，仅做实验、开发
子网划分
1. 子网掩码：网络地址全为1，ip地址全为0
2. 将一个网络划分成多个子网（取部分主机号当子网号）
3. 将多个网络合并成一个大的网络（取部分网络号当主机号)
  
  例1：将B类IP地址168.195.0.0划分成27个子网，子网掩码为多少？1111 1111 1111 1111 1111 1000 0000 0000，255.255.248.0
  
  例2，将B类IP地址168.195.0.0划分成若干子网，每个子网内有700台，子网掩码为多少? 1111 1111 1111 1111 1111 1100 0000 0000，255.255.252.0
特殊殊含义的IP地址

127网段：回播地址

网络号全0地址：当前子网中的主机；全1地址：本地子网的广播

主机号全1地址：特定子网的广播

10.0.0.0/8：10.0.0.1 至10.255.255.254

172.16.0.0/12：172.16.0.1至172.31.255.254

192.168.0.0/16：192.168.0.1至192.168.255.254

169.254.0.0：用于Win系统DHCP失效

0.0.0.0：保留地址，用于Linux 系统DHCP失效
无分类编址（无类域间路由)

IP地址 :: = {<网络前缀>，<主机号>}。如：128.14.32.0/20 表示地址块共有 2^12 个地址

这个地址块起始地址：128.14.32.0。在不需要指出地址块起始地址时，简称为“/20地址块”

最小地址：128.14.32.0；最大地址：128.14.47.255；全0、全1主机号地址不使用
IPv6
1. 替代现行版本IP协议IPV4的下一代IP协议
2. IPv6地址长度为128位，地址空间增大了2^96倍
3. 灵活的IP报文头部格式。使用一系列固定格式的扩展头部取代了IPV4中可变长度的选项字段。IPV6中选项部分的出现方式也有所变化，使路由器可简单路过选项而不做任何处理，加快了报文处理速度
4. IPV6简化了报文头部格式，字段只有8个，加快报文转发，提高了吞吐量
5. 提高安全性。身份认证、隐私权是IPv6的关键特性
6. 支持更多服务类型
7. 允许协议继续演变，增加新功能，适应未来技术发展
单播地址：用于单个接口的标识符

任播地址：泛播地址，一组接口的标识符，IPv4广播地址

组播地址：IPv6中的组播在功能上与IPV4中的组播类似
若要使两个IPv6结点可通过现有IPv4网络进行通信，应使用隧道技术，若要使纯IPv6结点可与纯IPv4结点进行通信，需使用翻译技术

4.5 网络规划与设计

需求分析：网络功能要求；网络性能要求；网络运行环境要求；网络可扩充性、可维护性要求
网络规划原则

实用性

开放性：采用国际通用标准和技术获得良好的开放性，是网络互联互通的基础

先进性：建设一个现代化网络系统，应尽可能采用先进成熟的技术，在一段时间内保证主流地位。但太新的技术有不足之处：有可能不成熟、标准可能还不完备统一、价格高、可能技术支持力量不够
网络设计
1. 任务：确定网络总体目标；确定总体设计原则；通信子网设计；资源子网设计；设备选型；网络操作系统与服务器资源设备；网络安全设计
2. 原则
  
  ① 可用性：网络/网络设备可用于执行预期任务时间所占总量的百分比。系统要有很高的平均无故障时间和尽可能低的平均故障率，一般需要采取热备份、冗余等技术
  
  ② 可靠性：网络设备/计算机持续执行预定功能的可能性
  
  ③ 可恢复性：网络从故障中恢复的难易程度和时间
  
  ④ 适应性：在用户改变应用要求时网络的应变能力
  
  ⑤ 可伸缩性：网络技术/设备随用户需求的增长而扩充的能力
  
  ⑥ 经济性：在满足需求基础上，应尽量节省费用
  
  应用场景：
  
  ① 金融系统：涉及银行、多储户的资产信息，数据重要、敏感，数据量庞大，必须保证数据绝对安全、系统小的响应时间、很高的服务成功率，而且服务完整、不间断，故障恢复能力强，整个系统要具有非常高的可用性和可靠性，并不追求采用先进技术。一般金融系统的网络设计，可用性是首要考虑原则
  
  ② 企业网络：需求分析时应首先进行企业业务和应用分析，因为网络建设是企业应用的基础，网络系统要向企业应用系统提供良好服务，企业应用需求是设计网络系统的重要依据
3. 逻辑网络设计
  
  ① 利用需求分析和现有网络体系分析结果设计逻辑网络结构，最后得到一份逻辑网络设计文档
  
  ② 输出内容：逻辑网络设计图，IP地址方案，安全方案，具体的软硬件、广域网连接设备和基本服务，招聘和培训网络员工的具体说明，对软硬件、服务、员工和培训的费用初步估计
4. 物理网络设计
  
  ① 对逻辑网络设计的物理实现，通过对设备的具体物理分布、运行环境等的确定，确保网络物理连接符合逻辑连接要求
  
  ② 输出内容：网络物理结构图和布线方案、设备和部件详细列表清单、软硬件和安装费用估算、安装日程表，详细说明服务时间以及期限、安装后的测试计划、用户培训计划
5. 分层设计
  
  ① 接入层：底层，向本地网段提供用户接入，计费管理、MAC地址认证、收集用户信息
  
  ② 汇聚层：中间，网络访问策略控制、数据包处理、过滤、寻址
  
  ③ 核心层：顶层，高速数据交换，将分组从一个区域高速转发到另一个区域，常有冗余设计
网络实施
1. 原则：可靠性、安全性、高效性、可扩展性
2. 步骤：工程实施计划、网络设备到货验收、设备安装、系统测试、系统试运行、用户培训、系统转换
结构化综合布线系统
1. 是基于现代计算机技术的通信物理平台，集成了语音、数据、图像和视频的传输功能，消除了原有通信线路在传输介质上的差别
2. 结构化布线系统分为6个子系统
  
  ① 工作区子系统：由终端设备到信息插座的整个区域一个独立的需要安装终端设备的区域划分为一个工作区。工作区应支持电话、数据终端、计算机、电视机、监视器以及传感器等多种终端设备
  
  ② 水平布线子系统：各个楼层接线间的配线架到工作区信息插座之间所安装的线缆属于水平子系统。水平子系统的作用是将干线子系统线路延伸到用户工作区。
  
  ③ 管理子系统：管理子系统设置在楼层的接线间内，由各种交连设备(双绞线跳线架、光纤跳线架)以及集线器和交换机等交换设备组成，交连方式取决于网络拓扑结构和工作区设备的要求。交连设备通过水平布线子系统连接到各个工作区的信息插座，集线器或交换机与交连设备之间通过短线缆互连，这些短线被称为跳线。通过跳线的调整，可以在工作区的信息插座和交换机端口之间连接切换
  
  ④ 干线子系统：是建筑物的主干线缆，实现各楼层设备间子系统之间的互连。干线子系统通常由垂直的大对数铜缆或光缆组成，一头端接于设备间的主配线架上另一头端接在楼层接线间的管理配线架上
  
  ⑤ 设备间子系统：建筑物的设备间是网络管理人员值班的场所，设备间子系统由建筑物的进户线、交换设备、电话、计算机、适配器以及保安设施组成，实现中央主配线架与各种不同设备(如PBX、网络设备和监控设备等)之间的连接
  
  ⑥ 建筑群子系统：也叫园区子系统，它是连接各个建筑物的通信系统。大楼之间的布线方法有三种:一种是地下管道敷设方式，管道内敷设的铜缆或光缆应遵循电话管道和入孔的各种规定，安装时至少应预留1~2个备用管孔，以备扩充之用。第二种是直埋法，要在同-个沟内埋入通信和监控电缆，并应设立明显的地面标志。最后一种是架空明线，这种方法需要经常维护

4.6 网络安全

4.6.1 网络安全概述

安全需求
1. 物理安全：“物理”即身体的、物质的、自然的，物理安全是整个网络信息安全的前提，包括物理安全基础、物理安全技术控制错误、物理设置要求、环境和人身安全等方面
2. 网络安全：包含网络体系结构安全、通信和网络技术安全、互联网技术和服务安全。网络安全中常用安全设备有：防火墙、入侵检测、入侵防御设备等
3. 系统安全：指从整体电子商务系统或网络支付系统角度进行安全防护，与网络系统硬件平台、操作系统、各种应用软件等互相关联。系统安全主要面临的威胁有：系统实现存在漏洞、系统安全体系缺陷、使用人员安全意识薄弱、管理制度薄弱等
4. 应用安全：指针对特定应用所建立的安全防护措施。如Web应用安全、电子邮件安全、电子商务安全、数据库应用安全
安全服务
1. 认证：包括实体认证、数据源认证
2. 数据保密性：包括连接机密性、无连接机密性、选择域机密性、业务流机密性
3. 数据完整性：包括恢复连接完整性、无恢复连接完整性、选择域连接完整性、无连接完整性、无选择域连接完整性
4. 抗抵赖性：有源端证据的抗抵赖性、有交付证据的抗抵赖性
5. 访问控制：决定了谁能访问系统，能访问系统何种资源、如何使用这些资源。适当的访问控制能阻止未经允许的用户有意或无意地获取数据。手段包括用户识别代码、口令、登录控制、资源授权（例：用户配置文件、资源配置文件、控制列表）、授权核查、日志和审计
安全机制
1. 加密机制。存在加密机制意味着存在密钥管理机制
2. 数字签名机制
3. 访问控制机制
4. 数据完整性机制
5. 认证机制
6. 通信业务填充机制
7. 路由控制机制
8. 公证机制
信息系统安全属性
1. 保密性：确保信息不暴露给未授权实体或进程；最小授权原则、防暴露、信息加密、物理保密
2. 完整性：只有得到允许的人才能修改数据，并能判别数据是否已被篡改；安全协议、校验码、密码校验、数字签名、公证
3. 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有资源而阻碍授权者工作；综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪)
4. 可控性：可控制授权范围内的信息流向及行为方式
5. 可审查性：对出现的信息安全问题提供调查的依据和手段
6. 不可抵赖性：数字签名
网络安全威胁
1. 物理威胁：计算机硬件和存储介质受到的偷窃、废物搜寻及线路劫取活动的威胁
2. 网络攻击：计算机网络的使用对数据造成了新的安全威胁，攻击者可通过网络利用电子窃听、入侵拨号入网、冒名顶替等方式进行入侵攻击、偷窃和篡改
3. 身份鉴别：身份鉴别通常用设置口令手段实现，入侵者可通过口令圈套、密码破译等方式扰乱身份鉴别
4. 编程威胁：指通过病毒进行攻击的一种方法
5. 系统漏洞：代码漏洞，是操作系统设计者有意设置的，目的是为了使用户在失去对系统的访问权时仍有机会进入系统。入侵者可使用扫描器发现系统漏洞，从而进行攻击
漏洞分析：发现目标系统中存在的安全隐患，分析所使用的安全机制是否能保证系统机密性、完整性、可用性

4.6.2 数据加密

思想：通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被加密的内容。需要隐藏的信息称为明文，产生的结果称为密文，加密时使用的变换规则称为密码算法
分类：信息安全的核心是密码技术。根据密码算法使用的加密、解密密钥是否相同，将密码体制分为对称、非对称密钥密码体制
数字信封：发送方将原文用对称密钥加密传输，而将对称密钥用接收方公钥加密发送给对方。接收方收到电子信封，用自己的私钥解密信封，取出对称密钥解密得原文
加密方式
1. 链路加密：只对两个节点之间（不含信息源、目的地两个端点本身）的通信信道线路上所传输的信息进行加密保护，但在传输过程中经过每个节点时，节点中的数据是明文

节点加密：加解密都在节点中进行，每个节点里装有加解密保护装置，用于完成一个密钥向另一个密钥的转换。节点中不会出现明文，但需要在经过的每个节点加装保护装置，不方便使用且增加开支
端-端加密：为系统提供从信息源到目的地传送数据的加密保护，不需要在通信节点上增加额外的安全单元，而且能保证数据自始至终以密文形式出现，即使在节点中也是密文

对称密钥密码体制
1. 特点：发送、接收数据双方必须使用相同或对称的密钥对明文进行加解密运算，加密强度不高，密钥分发困难，但效率高
2. 常见对称密钥加密算法
  
  DES：替换+移位、56位密钥、64位数据块、速度快、密钥易产生
  
  3DES：两个56位的密钥K1、K2；K1加密 -> K2解密 -> K1加密；K1解密 -> K2加密 -> K1解密
  
  AES：高级加密标准Rjindael加密法，分组加密，是美国联邦政府采用的一种区块加密标准
  
  RC-5：加密速度、强度均较合适，适用于大量明文数据加密传输。RSA数据安全公司很多产品都使用RC-5
  
  IDEA：128位密钥、64位数据块、比DES加密性好、对计算机功能要求相对低
  
  IDEA、RC4：适宜于数据传输加密
非对称密钥密码体制
1. 特点：公开密钥密码体制，每个用户有公钥、私钥。公钥对外公开，私钥由个人秘密保存。用其中一把密钥加密，另一把密钥解密。由于私钥带有个人特征，可以解决数据的签名验证问题。加密速度慢，但强度高，便于密钥管理分发，在用户或机构之间进行身份认证方面有较好应用
2. 发送方用接收方的公钥加密，接收方用自己的私钥解密
3. 常见非对称密钥加密算法
  
  RSA：基于大数定律，常用于对消息摘要进行签名，可用于数字签名。512/1024位密钥、计算量极大、难破解。计算资源消耗较大，适合于加密少量数据，如加密会话密钥
  
  Elgamal：基础是Diffie-Hellman密钥交换算法
  
  ECC：椭圆曲线算法
  
  背包算法、Rabin、D-H、DSA

4.6.3 数字签名

用途：用于确认发送者身份和消息完整性的一个加密消息摘要。数字签名（公钥数字签名、电子签章）是一种类似写在纸上的普通物理签名，但使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。数字签名的主要功能是保证信息传输完整性、发送者身份认证、防止交易中的抵赖发生；私钥只有用户自己拥有，使用私钥对信息加密后，相当于对信息进行签名，可确保消息不可否认
数字签名满足：① 接收者能核实发送者；② 发送者事后不能抵赖报文签名；③ 接收者不能伪造报文签名
实现：数字签名是不对称加密算法的典型应用。利用对称密码体制、公钥密码体制、公证体制实现。常用实现方法建立在公钥密码体制和单向散列函数算法（MD5、SHA）的组合基础上
数字签名应用过程：① 数据源发送方用自己的私钥对数据校验和其他与数据内容有关变量加密，完成数据合法“签名” ② 数据接收方用对方公钥解读收到的“数字签名”，将解读结果用于对数据完整性的检验，确认签名的合法性 ③ 数字签名是网络系统虚拟环境中确认身份的重要技术，完全可代替现实过程“亲笔签字”，在技术和法律上有保证，数字签名是对签名真实性的保护

4.6.4 数字证书

理解

① 通过CA机构发行的一张电子文档，提供在计算机网络上对网络用户进行身份认证的一串数字标识

② 数字证书由权威机构 CA证书授权中心发行，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在因特网交往中用它证明自己的身份和识别对方身份

③ 数字证书包含版本、序列号、签名算法标识符、签发人姓名、有效期、主体名和主体公钥信息等并附有CA签名，用户获取网站的数字证书后通过验证CA签名来确认数字证书的有效性，从而验证网站真伪

④ 用户与网站进行安全通信时，用户发送数据使用网站公钥（从数字证书中获得）加密，收到数据时使用网站公钥验证网站数字签名，网站利用自身私钥对发送的消息签名和对收到的消息解密

⑤ 数字证书用CA私钥做数字签名，从用户的数字证书中可以获得用户的公钥
一般可使用非对称密钥加解密，用发送方的私钥签名，接收方用发送方的公钥验证签名

私钥：仅用户自己拥有，不能公开，用于消息签名、解密

公钥：对签名信息进行验证、加密，可以在互联网上公开公钥信息

4.6.5 消息摘要

数字摘要：由单向散列Hash函数加密成固定长度的散列值，常用消息摘要算法有MD5，SHA
SHA：

① 安全散列算法，常用于对接收到的明文输入产生固定长度输出，确保明文在传输过程中不被篡改。SHA家族五个算法：SHA-1（160位）、SHA-224、SHA-256、SHA-384、SHA-512。散列值分别为128和160位，密钥长度较长，安全性高于MD5

② 能计算出一个数字信息对应的长度固定的字符串（信息摘要）。SHA是FIPS认证的五种安全杂凑算法：

a. 由讯息摘要反推原输入讯息，从计算理论上来说很困难

b. 找到两组不同讯息对应相同的讯息摘要，从计算理论上来说很困难。任何对输入讯息的变动，都有很高机率导致产生的讯息摘要迥异
MD5：

① 一种使用最广泛的报文摘要算法，消息摘要算法MD5确保信息传送完整一致，让大容量信息在用数字签名软件签署私人密钥前被"压缩"成一种保密格式，即把一个任意长度的字节串变换成一定长的十六进制数字串

② 对比：HMAC是密钥相关的哈希运算消息认证码，HMAC运算利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出

③ 对比：RC4加密算法是一种密钥长度可变的流加密算法簇
练习——设计邮件加密系统

要求邮件以加密方式传输（加解密技术），邮件最大附件内容可达500MB（对称加密），发送者不可抵赖（数字签名），若邮件被第三方截获，第三方无法篡改（信息摘要技术）

4.6.6 网络攻击

被动攻击—监听（保密性）

攻击信息的保密性，即通过窃听网络上传输的信息并加以分析获得有价值情报，但它并不修改信息内容。它的目标是获得正在传送的信息，偷听/监视信息传递，分为信息内容泄露/获取、业务流分析2大类
1. 窃听：信息在通信过程中因被监视窃听而泄露；用各种可能合法/非法手段窃取系统中的信息资源和敏感信息。如对通信线路中传输信号搭线监听，或利用通信设备在工作过程中产生的电磁泄露截取有用信息
2. 电磁/射频截获：信息从电子或机电设备所发出的无线电磁波中被提取出来
3. 业务流分析：通过观察通信业务流模式，使非授权实体（人/系统）获得信息；通过对系统长期监听，利用统计分析方法对诸如通信频度、通信信息流向、通信总量变化等参数进行研究发现有价值的信息、规律
4. 网络监听：是主机的一种工作模式，主机可接收到本网段在同条物理通道上传输的所有信息，而不管这些信息的发送/接收方是谁。Sniffer硬件/软件是一款著名的监听工具，可监听、接收网上传输的所有信息
主动攻击—中断（可用性）、篡改（完整性）、伪造（真实性）

攻击系统服务的可用性、信息传输的完整性、信息来源的真实性，有意修改、插入、删除信息
1. 重放攻击 ARP：把所截获的某次合法通信数据复制，出于非法目的重新发送
2. 拒绝服务攻击 DOS：对信息/其它资源的合法访问被无条件地阻止；攻击目的是使计算机/网络无法提供正常服务，有计算机网络带宽攻击、连通性攻击；攻击者对系统非法、根本无法成功的访问尝试，产生过量负荷，使合法用户的访问无条件地被阻止
3. 信息泄露：信息被泄露/透露给某个非授权实体
4. 破坏信息完整性：数据被非授权地增删、修改、破坏而受到损失
5. 非法使用/非授权访问：某一资源被某个非授权实体/人、或以非授权方式使用
6. 假冒：欺骗通信系统/用户达到非法用户冒充成合法用户、特权小用户冒充为特权大用户的目的。黑客大多采用假冒攻击
7. 伪装：某个实体假装成另一个实体，并获取该实体权限
8. 旁路控制：攻击者利用系统安全缺陷、安全性上的脆弱之处获得非授权的权利/特权。如攻击者通过各种攻击手段发现原本应保密，但却又暴露出来的一些系统“特性”。利用这些“特性”，攻击者可绕过防线守卫者侵入系统内部
9. 授权侵犯：内部攻击，被授权以某一目的使用某一系统资源的某个人，却将此权限用于其它非授权目的
10. 放置特洛伊木马：软件中含有察觉不出的、无害的程序段，当它被执行时会破坏用户安全；在计算机领域里有一类特殊程序，黑客可通过它来远程控制别人的计算机。特洛伊木马程序分为服务器端、客户端
11. 抵赖：一种来自用户的攻击，比如否认自己曾发布过某条消息、伪造一份对方来信等
12. 欺骗攻击：攻击者创造一个易于误解的上下文环境，诱使受攻击者进入并做出缺乏安全考虑的决策，常见有Web欺骗、ARP欺骗、IP 欺骗
13. 电子邮件攻击：主要表现为向目标信箱发送电子邮件炸弹（地址不详且容量庞大的垃圾邮件）。由于邮件信箱容量有限，当庞大垃圾邮件到达信箱会把信箱挤爆
14. 口令入侵：黑客使用某些合法用户的账号、口令登录到目的主机实施攻击活动。前提是必须先得到该主机上某个合法用户的账号，进行合法用户的口令破译
15. 陷阱门：在某个系统/部件中设置“机关”，使得当提供特定输入数据时允许违反安全策略
16. 截获/修改：某一通信数据在传输过程中被改变、插入、替代
17. 端口扫描：利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议验证等，获知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含某些缺陷等。常用扫描方式有TCP connect扫描、TCP SYN扫描、TCP FIN扫描、IP 段扫描、FTP返回攻击

4.6.7 防火墙技术

分类

网络级：包过滤、状态检测

应用级：双穴主机、屏蔽主机、屏蔽子网
防火墙主要作用

① 网络安全的保障 ② 强化网络安全策略 ③ 监控审计 ④ 防止内部信息的外泄 ⑤ 日志记录与事件通知
包过滤防火墙
1. 工作在网络层，对数据包的源及目的IP有识别、控制作用，对传输层只能识别数据包是TCP/UDP、端口
2. 通常直接转发报文，对用户、应用完全透明，速度快。包过滤防火墙一般有一个包检查模块/包过滤器，数据包过滤可根据数据包中的各项信息控制站点与站点、站点与网络、网络与网络间的相互访问，但无法控制传输数据内容，因为内容是应用层数据
3. FTP默认开放传输层TCP的21端口，虽然FTP是应用层协议，但通过包过滤防火墙限制TCP端口号可实现
4. HTTP超文本传输协议是应用层协议，包过滤防火墙无法实现对应用层协议的限制
状态检测防火墙：结合了代理防火墙的安全性、包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了10 倍
应用代理网关防火墙：彻底隔断内外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，再由防火墙将结果转发给内网用户
典型防火墙体系结构：一个防火墙系统通常由过滤路由器、代理服务器组成。典型防火墙体系结构包括包过滤路由器、双宿主主机、被屏蔽主机、被屏蔽子网
Web服务
1. Web应用防火墙：认为内部是安全的，只处理外部请求。流氓软件属系统内部，不是防火墙处理范围
2. Web服务三层架构模式：浏览器、Web服务器、数据库
3. web攻击：Web脚本程序负责处理浏览器端提交的用户登录名、密码、查询请求等信息。由于Web脚本程序编程漏洞，对浏览器端的信息缺少输入安全合法性检查，网络攻击者利用这种类型的漏洞，把SQL命令插入Web表单的输入域/页面的请求查找字符串，欺骗服务器执行恶意SQL命令，SQL注入是常见web攻击
4. 防御SQL注入：对用户输入做关键字过滤、部署入侵检测系统阻断攻击、定期扫描系统漏洞并及时修复（部署Web应用防火墙不能防护）
DMZ
1. 指非军事化区/周边网络，可位于防火墙之外、防火墙之内。一般用来放置提供公共网络服务的设备，这些设备必须被公共网络访问，无法提供与内部网络主机相等的安全性
2. 区分放置在DMZ的服务器
  
  ① Web服务器：为公共网络提供Web访问的服务器
  
  ② 财务服务器：仅针对财务部门内部访问和提供服务的设备，不提供对外公共服务
  
  ③ 网络管理、入侵检测服务器：管理企业内网、分析企业内网数据流的专用设备，不对外提供访问
网络流量控制管理

由于网络规模逐渐扩大，需对流经网络的流量进行控制管理。可通过配置访问控制列表 ACL 控制网络流量、限制网络访问，达到保护内部网络的目的。在出口防火墙配置 ACL 可以阻止外部未授权用户访问内部网络
应用级网关
1. 可工作在OSI七层模型的任一层，能检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系
2. 能理解应用层上的协议，能做复杂一些的访问控制，起到防火墙的作用，成为应用级网关。应用级网关防火墙是内部网、外部网的隔离点，可对应用层的通信数据流进行监控、过滤

4.6.8 计算机病毒与木马

病毒：是一组在计算机程序中编制或插入的，旨在破坏计算机功能或数据，影响计算机使用，并能自我复制的计算机指令或程序代码
1. 系统病毒：前缀通常为Win32、PE、W32，如KCOM--Win32.KCOM
2. 脚本病毒：例如红色代码--Script.Redlof
3. 宏病毒：例如美丽莎--Macro.Melissa
4. 后门病毒：例如灰鸽子--Backdoor.Win32.Huigezi
5. 病毒种植程序病毒：例如冰河播种者--Dropper.BingHe2.2C
6. 破坏性程序病毒：例如杀手命令--Harm.Command.Killer
7. 玩笑病毒：例如女鬼--Jioke.Grl ghost
8. 捆绑机病毒：例如捆绑QQ--Binder.QQPass.QQBin
9. 蠕虫病毒：例如恶鹰--Worm.BBeagle、Nimda病毒、爱丽兹病毒
  
  “蠕虫”(Worm)是一个程序/程序序列。传染途径是通过网络、移动存储设备、电子邮件。最初蠕虫病毒定义在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形
  
  ① 熊猫烧香：经多次变种的“蠕虫病毒”变种，拥有感染传播功能，主要通过下载的档案传染。受感染机器文件因为被误携带，间接对其它计算机程序、系统破坏严重。感染的计算机执行文件图标变成熊猫烧香图案，系统运行变慢，窃取用户信息，但不破坏计算机主板
  
  ② 我爱你/爱虫病毒：通过Microsoft Outlook电子邮件系统传播，邮件主题为“I LOVE YOU”并包含一个附件。在Microsoft Outlook里打开这个邮件，系统会自动复制并向地址簿中所有邮件电址发送这个病毒。可改写本地及网络硬盘上面的某些文件，用户机染毒后邮件系统变慢，并可能导致整个网络系统崩溃
  
  ③ 冲击波病毒：网络传播时利用Window操作系统的RPC漏洞
  
  ④ Stuxnet震网病毒：利用系统漏洞攻击工业控制系统，破坏核电站、水坝、国家电网工业基础设施
10. 特殊病毒：
- CIH病毒：能够破坏计算机系统硬件的恶性病毒
- 多形病毒：较为高级的病毒，每次感染后会改变自己
- 红色代码病毒：结合了网络蠕虫、计算机病毒、木马程序的新型病毒。传播技术充分体现网络安全与病毒的巧妙结合，开创了网络病毒传播新路
- 欢乐时光：VB源程序病毒，感染.htm/html/vbs/asp/htt文件。作为电子邮件附件利用Outlook Express的性能缺陷传播，可以在你没有运行任何附件时就运行自己。利用Outlook Express信纸功能，使自己复制在信纸的Html模板上以便传播
木马：木马是一种后门程序，通常被黑客用作控制远程计算机的工具
1. QQ消息尾巴木马：Trojan.QQ3344
2. X卧底软件：一种安装在手机里的监控软件，通过木马形式感染智能机。该手机所有短信、通话记录将自动上传到后台服务器，安装者登录后台便可看见目标手机所收发的信息、通话内容
3. 冰河：一种著名的木马软件，主要用于远程监控、入侵其他用户计算机

4.6.9 各网络层次的安全保障

PGP
1. 可用于电子邮件、文件存储，基于RSA公钥加密体系的邮件加密软件。可用它对邮件保密以防止非授权者阅读，对邮件加上数字签名使收信人可确认邮件发送者，并能确信邮件没有被篡改
2. 它可以提供一种安全的通讯方式，而事先并不需要任何保密渠道用来传递密匙。采用了一种RSA和IDEA、MD5、ZIP数据压缩算法等传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计，功能强大，速度快
3. PGP承认两种不同的证书格式：PGP证书、X.509证书
  
  ① PGP证书：包含PGP版本号、证书持有者公钥、证书持有者信息、证书拥有者数字签名、证书有效期、密钥首选的对称加密算法
  
  ② X.509证书：包含证书版本、证书序列号、签名算法标识、证书有效期、以下数据：证书发行商名字、证书主体名、主体公钥信息、发布者数字签名