【软考向】Chapter 10 网络与信息安全基础知识

一杯水果茶！

已于 2025-05-23 11:58:08 修改

阅读量563

点赞数 8

分类专栏：软件设计师中级文章标签：网络软考

于 2025-05-23 11:56:05 首次发布

本文链接：https://blog.csdn.net/xiaoyuting999/article/details/148142244

版权

软件设计师中级专栏收录该内容

10 篇文章

订阅专栏

网络概述
- ISO/OSI 参考模型 —— 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
网络互连硬件 —— 中继器、集线器、交换机、网桥、路由器、网关
网络协议与标准
Internet 及应用
网络安全概述

网络概述

在这里插入图片描述

ISO/OSI 参考模型 —— 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

下三层层主要负责通信功能，一般称为通信子网层。上三层属于资源子网的功能范畴，称为资源子网层。传输层起着衔接上、下三层的作用。

通常把网络层地址信息称为网络逻辑地址（IP 地址），把数据链路层地址信息称为物理地址（MAC 地址）。
在这里插入图片描述

物理层 的任务就是为它的上一层提供一个物理连接，以及它们的机械、电气、功能和过程特性。例如 规定使用电缆和接头的类型，传送信号的电压等。在这一层，数据还没有被组织，仅作为原始的位流或电气电压处理，单位是位。
数据链路层 负责在两个相邻结点间的线路上无差错地传送以帧为单位的数据，并进行流量控制。每一帧包括一定数量的数据和一些必要的控制信息。和物理层相似，数据链路层要负责建立、维持和释放数据链路的连接。在传送数据时，如果接收点检测到所传数据中有差错，就要通知发送方重发这一帧。
网络层 的任务就是选择合适的 不同子网间路由和交换结点，确保数据及时传送。网络层 将数据链路层提供的帧组成数据包，包中封装有网络层包头，其中含有逻辑地址信息，即 源站点和目的站点的网络地址。
传输层 为会话层实体提供 透明、可靠的数据传输服务，保证端到端的数据完整性，在这一层，信息的传送单位是报文。
会话层 不参与具体的传输，它提供包括 访问验证和会话管理 在内的建立和维护应用之间通信的机制。例如 服务器验证用户登录便是由会话层完成的。
表示层 为应用层进程提供能解释所交换信息含义的一组服务，即 将要交换的数据从适合于某一用户的抽象语法转换为适合于 OSI 系统内部使用的传送语法；提供格式化的表示和转换数据服务。数据的压缩、解压缩、加密和解密 等工作都由表示表示层负责。
应用层 提供 OSI 用户服务，即确定进程之间通信的性质，以满足用户需要以及提供 网络与用户应用软件之间的接口服务。例如，事务处理程序、电子邮件和网络管理程序等。

在这里插入图片描述

设 $A$ 系统的用户要向 $B$ 系统的用户传送数据。 $A$ 系统用户的数据先送入应用层，该层给它 附加控制信息 $A H$ (头标)后，送入表示层。表示层对数据进行必要的变换并加头标 $P H$ 后送入会话层。会话层也加头标 $S H$ 送入传输层。传输层将长报文分段后并加头标 $T H$ 送至网络层。网络层将信息变成报文分组，并加组号 $N H$ 送数据链路层。数据链路层将信息加上头标和尾标( $DH$ 及 $D T$ )变成帧，经物理层按位发送到对方( $B$ 系统)。
$B$ 系统接收到信息后，按照与 $A$ 系统相反的动作，层层剥去控制信息，最后把原数据传送给 $B$ 系统的用户。
可见，两系统中 只有物理层是实通信，其余各层均为虚通信。只有两物理层之间有物理连接，其余各层间均无连线。

网络互连硬件 —— 中继器、集线器、交换机、网桥、路由器、网关

物理层的互连设备：中继器（Repeater）和 集线器（Hub）。

中继器（实现物理层协议转换，在电缆间转发二进制信号）：它是在物理层上实现 局域网网段互连 的，用于扩展局域网网段的长度。比如我的办公室和隔壁的办公室。由于中继器只在两个局域网网段间实现电气信号的恢复与整形，因此它仅用于连接相同的局域段。以太网设计连线时指定两个最远用户之间的距离，包括用于局域网的连接电缆，不得超过 500m。
集线器 可以看成是一种特殊的多路中继器，也具有信号放大功能。使用双绞线的以太网多用 Hub 扩大网络，同时也便于网络的维护。以集线器为中心的网络的优点是当网络系统中某条线路或某结点出现故障时不会影响网上其他结点的正常工作。

数据链路层的互连设备 有网桥（Bridge）和 交换机（Switch）。

网桥（实现物理层和数据链路层协议转换）：网桥用于 连接两个局域网网段，网桥要分析帧地址字段，以决定是否把收到的帧转发到另一个网络段上。确切地说，网桥工作于 MAC 子层，只要两个网络的 MAC 子层以上的协议相同，都可以用网桥互连。
- 网桥检查帧的源地址和目的地址，如果目的地址和源地址不在同一个网络段上，就把帧转发到另一个网络段上；
- 若两个地址在同一个网络段上，则不转发，所以网桥能起到 过滤帧 的作用。

在这里插入图片描述

交换机 是按每一个包中的 MAC 地址 相对简单地 决策信息转发，而这种转发决策一般不考虑包中隐藏的更深的其他信息。交换机转发数据的延迟很小。
- 交换机的工作过程为：当交换机从某一结点收到一个以太网帧后，将立即在其 内存中的地址表 (端口号-MAC 地址) 进行查找，以确认该 目的 MAC 的网卡连接在哪一个结点上，然后将该帧转发至该结点。
- 如果在地址表中没有找到该 MAC 地址，也就是说，该 目的 MAC 地址是首次出现，交换机 就将数据包广播到所有结点。拥有该 MAC 地址的网卡在接收到该广播帧后将立即做出应答，从而使交换机 将其结点的“MAC 地址”添加到 MAC 地址表中。

网络层互连设备：路由器。

路由器（实现网络层和以下各层协议转换）：当 数据从一个子网传输到另一个子网 时，可通过路由器来完成。最主要的功能是 选择路径。
- 在路由器的 存储器中维护着一个路径表，记录 各个网络的逻辑地址，用于识别其他网络。在互连网络中，当路由器收到从一个网络向另一个网络发送的信息包时，将丢弃信息包的外层，解读信息包中的数据，获得目的网络的逻辑地址，使用 复杂的程序来决定信息经由哪条路径发送最合适，然后重新打包并转发出去。路由器的功能还包括 过滤、存储转发、流量管理和介质转换 等。
- 路由表包含 每个连接网络的下一跳地址。网络的下一跳是指 数据包必须经过的路由器，才能到达目标网络。当路由器接收到一个传入的数据包时，它 使用路由表来查找下一跳。
- 路由表包含 目标地址、下一跳地址和接口信息。

在这里插入图片描述如图，从路由器 $A$ 可以到达其他三个路由器。因此，路由器 $A$ 的路由表包含三个条目。

应用层互连设备：网关（Gateway）。

网关（提供从最低层到传输层或以上各层的协议转换）：在一个计算机网络中，当连接不同类型且协议差别较大的网络时，则要选用网关设备。网关的功能体现在 OSI 模型的最高层，它 将协议进行转换，将数据重新分组，以便在两个不同类型的网络系统之间进行通信。
- 由于协议转换是一件复杂的事，一般来说，网关只进行一对一转换，或是少数几种特定应用协议的转换，网关很难实现通用的协议转换。

网络的传输介质 —— 双绞线、同轴电缆、光纤；微波、红外线、卫星

有线介质有双绞线、同轴电缆和光纤等；无线介质有微波、红外线和卫星通信等。

有线介质：

双绞线（Twisted-Pair）：双绞线是现在最普通的传输介质，具体规定有，一段双绞线的最大长度为 100m，只能连接一台计算机；双绞线的每端需要一个 RJ45 插件；各段双绞线通过集线器互连，利用双绞线最多可连接 64 个站点到中继器。
同轴电缆（Coaxial）也像双绞线那样由一对导体组成。粗同轴电缆适用于较大局域网的网络干线，布线距离较长，可靠性较好，但是网络安装、维护等方面比较困难，造价较高。

在这里插入图片描述

光纤（Fiber Optic）：用光纤传输电信号时，在发送端要先将其转换成光信号，而在接收端又要由光检波器还原成电信号。光纤是软而细的、利用内部全反射原理来传导光束的传输介质。
- 多模光纤（Multimode Fiber）使用的材料是 发光二极管，价格较便宜，但定向性较差；
- 单模光纤（SingleMode Fiber）使用的材料是 注入型二极管，定向性好、损耗少、效率高、传播距离长，但价格昂贵。

在这里插入图片描述

无线介质（无线传输介质都不需要架设或铺埋电缆或光纤，而是通过 大气传输）：

微波：微波通信是沿直线传播的，由于地球表面是曲面的，微波在地面的传播距离有限，直接传播的距离与天线的高度有关，天线越高距离越远，但超过一定距离后就要用中继站来接力，两微波站的通信距离一般为 30~50km。长途通信时必须建立多个中继站，中继站的功能是变频和放大，进行功率补偿。
红外通信和激光通信：把要传输的信号分别转换为红外光信号和激光信号，直接在空间传播。也像微波通信一样，有很强的方向性，都是沿 直线传播 的。但这 3 种技术对环境气候较为敏感，例如雨、雾和雷电。相对来说，微波一般对雨和雾的敏感度较低。
卫星通信 是以人造卫星为微波中继站，它是微波通信的特殊形式。卫星接收来自地面发送站发出的电磁波信号后，再以广播方式用不同的频率发回地面，被地面工作站接收。卫星通信可以 克服地面微波通信距离的限制。一个同步卫星可以覆盖地球的 1/3 以上表面，3 个这样的卫星就可以覆盖地球上的全部通信区域，这样地球上的各个地面站之间都可互相通信了。

组建网络

在一个局域网中，其基本组成部件为 服务器、客户端、网络设备、通信介质和网络软件 等。

服务器（Server）。局域网的核心，根据它在网络中的作用，还可进一步分为文件服务器、打印服务器和通信服务器等。
客户端（Client）。客户端又称为用户工作站，包括用户计算机与网络应用接口设备。
网络设备。网络设备主要指一些硬件设备，如网卡、收发器、中继器、集线器、网桥和路由器等。网卡是一种必不可少的网络设备，常用的网卡有 Ethernet（以太网）网卡、ARCNET 网卡、ESIA 总线网网卡和 Token-Ring 网卡等。
通信介质。数据的传输媒体，不同的通信介质有着不同的传输特性。
网络软件。网络软件主要包括底层协议软件、网络操作系统(NOS)等。底层协议软件由一组标准规则及软件构成，以使实体间或网络之间能够互相进行通信。网络操作系统主要对整个网络的资源和运行进行管理，并为用户提供应用接口。

相邻办公室 —— 集线器 / 交换机

在这里插入图片描述
可以采用 集线器 将两个办公室的多台计算机连接成一个局域网，如果 感觉速度较慢，可将 Hub 换成交换机（Switch），构成树型或总线和星型结合的拓扑结构；

传输介质采用五类以上的非屏蔽双绞线，使用 RJ45 连接 Hub 与计算机；网卡采用 10/100M 自适应的以太网卡；协议使用 TCP/IP、NETBIEU 或其他协议。

该网络安装和维护简单易行，且费用低廉，计算机和 Hub 之间的最大 UTP 电缆长度为 100m，两个计算机之间(即端-端)最多允许有 4 个 Hub 和 5 个电缆段，即最大网络长度为 500m。

校园网 —— 交换机 + 路由器 + 防火墙

在这里插入图片描述

家庭/企业网 —— ADSL 线路

在这里插入图片描述

网络协议与标准

局域网协议 —— LAN 模型、以太网（IEEE 802.3 标准 CSMA/CD）、令牌环网（IEEE 802.5）、FDDI、无线局域网（CSMA/CA）

广域网协议 —— PPP（点对点协议）、DDN、ISDN（综合业务数字网）、FR（帧中继）和 ATM（异步传输模式）

TCP/IP 协议族

在这里插入图片描述

Internet 及应用

Internet 是世界上规模最大、覆盖面最广且最具影响力的计算机互连网络，它是将分布在世界各地的计算机采用开放系统协议连接在一起，用来进行数据传输、信息交换和资源共享。

在 Internet 中分布着一些覆盖范围很广的大网络，这种网络称为“Internet 主干网”，它们一般属于国家级的广域网。例如，我国的 CHINANET 和 CERNET 等就是中国的 Internet 主干网。主干网一般只延伸到一些大城市或重要地方，在那里设立主干网结点。每一个主干网结点可以通过路由器将广域网与局域网连接起来，一个结点还可以通过另外的路由器与其他局域网再互连，由此形成一种网状结构。

Internet 地址 —— 域名格式、IP 地址格式

Internet 地址格式主要有两种书写形式：域名格式和 IP 地址格式。

域名（Domain Name）通常是 用户所用的主机的名字或地址。域名格式由若干部分组成，每个部分又称子域名，它们之间用 . 分开，每个部分最少由两个字母或数字组成。一个完整、通用的层次型主机域名由以下 4 个部分组成：计算机主机名.本地名.组名.最高层域名

例如：www.dzkjdx.edu.cn，cn 是地理性顶级域名，表示“中国”。www.263.net，net 是组织性顶级域名，表示“网络技术组织机构”。

Internet 中的主机地址是用 IP 地址来唯一标识的。这是因为 Internet 中所使用的网络协议是 TCP/IP 协议，故每个主机必须用 IP 地址来标识。Internet 中的地址可分为 5 类：A 类、B 类、C 类、D 类和 E 类。在 IP 地址中，全 0 代表的是网络，全 1 代表的是广播。

在这里插入图片描述

A 类网络地址占有 1 个字节（8位），定义 最高位为 0 来标识此类地址，余下 7 位为真正的网络地址，支持 1~126 个网络。后面的 3 个字节（24位）为主机地址，共提供 $2^{24}-2$ 个端点的寻址。A 类网络地址第一个字节的十进制值为 000~127。
B 类网络地址占有两个字节，使用 最高两位为 10 来标识此类地址，其余 14 位为真正的网络地址，主机地址占后面的两个字节（16位），所以 B 类全部的地址有 $(2^{14}-2) \times (2^{16}-2) =16 382×65 534$ 个。B 类网络地址第一个字节的十进制值为 128~191。
C 类网络地址占有 3 个字节，它是最通用的 Internet 地址。使用 最高三位为 110 来标识此类地址，其余 21 位为真正的网络地址，因此 C 类地址支持 $2^{21}-2$ 个网络。主机地址占最后 1 个字节，每个网络可多达 $2^8-2$ 个主机。C 类网络地址第一个字节的十进制值为 192~223。
D 类地址是相当新的。它的识别头是 1110，用于组播，例如用于路由器修改。D 类网络地址第一个字节的十进制值为 224~239。
E 类地址为实验保留，其识别头是 1111。E 类网络地址第一个字节的十进制值为 240~255。

在这里插入图片描述

子网掩码（Subnet Mask）来识别报文是仅存放在网络内部还是被路由转发到其他地方。在一个字段内，1 的出现表明一个字段包含所有或部分网络地址，0 表明主机地址位置。例如，最常用的 C 类地址使用前 3 个字节来识别网络，最后一个字节识别主机。因此，子网掩码是 255.255.255.0。

假定某单位申请的 B 类地址为 179.143.XXXXXX。如果希望把它划分为 14 (至少占二进制的4位)个虚拟的网络，则需要占 4 位主机位，子网使用掩码 255.255.240.0~255.255.255.0 来建立子网。每个 LAN 可有 $2^{12}-2$ 个主机，且各子网可具有相同的主机地址。

IPv6 使用 8 个十六进制数中间加 : 来表示。IPv6 将原来的 32 位地址扩展成为 128 位地址，彻底解决了地址缺乏的问题。

IPv6 使用冒号十六进制记法（Colon Hexadecimal Notation, Colon Hex），它把每 16 位用相应的十六进制表示，各组之间用冒号分隔。例如：686E: 8C64: FFFF: FFFF: 0: 1180: 96A: FFFF，冒号十六进制记法允许 0 压缩（Zero Compression），即一连串连续的 0 可以用一对冒号所取代，例如： FF05:0:0:0:0:0:0:B3 可以改成 FF05::B3。

因特网面临 IP 地址短缺的问题。解决这个问题的短期方案有 网络地址翻译（Network Address Translators, NAT）。NAT 技术最初提出的建议是在子网内部使用局部地址，而在子网外部使用少量的全局地址，通过路由器进行内部和外部地址的转换。

在这里插入图片描述

Internet 服务 —— 域名服务、远程登录服务、电子邮件服务、WWW 服务和文件传输服务

在使用传输控制协议或用户数据报协议时，Internet IP 可支持 65535 种服务，这些服务是通过各个端口到名字实现的逻辑连接。端口分两类：一类是已知端口或称 公认端口，端口号为 0~1023，这些端口由 Internet 赋值地址和端口号的组织（IANA）赋值；另一类是需在 IANA 注册登记的端口号，为 1024~655350。

域名服务 —— 域名转 IP 地址，UDP 53 端口

域名系统采用的是客户端/服务器模式，整个系统由解析器和域名服务器组成。解析器是客户方，它负责 查询域名服务器、解释从服务器返回来的应答、将信息返回给请求方等工作。域名服务器是服务器方，它通常保存着一部分域名空间的全部信息，这部分域名空间称为区（Zone）。

在访问主机的时候 只需要知道域名，通过 DNS 服务器将域名变换为 IP 地址。DNS 所用的是 UDP 端口，端口号为 53。

远程登录服务 —— 基于 Telnet 协议及命令，TCP 23 端口

远程登录服务是在 Telnet 协议 的支持下，将用户计算机与远程主机连接起来，在远程计算机上运行程序，将相应的屏幕显示传送到本地机器，并将本地的输入送给远程计算机。由于这种服务基于 Telnet 协议且使用 Telnet 命令进行远程登录，故称为 Telnet 远程登录。

当用户使用 Telnet 登录远程主机时，该用户必须在这个远程主机上 拥有合法的账号和相应的密码，否则远程主机将会拒绝登录。

在运行 Telnet 客户程序后，首先应该建立与远程主机的 TCP 连接，从技术上讲，就是在一个 特定的 TCP 端口（端口号一般为 23） 上打开一个套接字，如果远程主机上的服务器软件一直在这个众所周知的端口上侦听连接请求，则这个连接便会建立起来，此时用户的计算机就成为该远程主机的一个终端，便可以进行联机操作了，即以终端方式为用户提供人机界面。
然后 将用户输入的信息通过 Telnet 协议便可以传送给远程主机，主机在众所周知的 TCP 端口上侦听到用户的请求并处理后，将处理的结果通过 Telnet 协议返回给客户程序。最后客户端接收到远程主机发送来的信息，并经过适当的转换显示在用户计算机的屏幕上。

电子邮件（E-mail）服务 —— SMTP 发邮件，TCP 25 端口；POP3 收邮件，TCP 110 端口

如果要使用 E-mail，首先必须拥有一个电子邮箱，它是由 E-mail 服务提供者为其用户建立在 E-mail 服务器磁盘上的专用于存放电子邮件的存储区域，并由 E-mail 服务器进行管理。

用户将使用 E-mail 客户软件在自己的电子邮箱里收发电子邮件。电子邮件地址的一般格式为用户名@主机名，例如 xxxx@china.com。

E-mail 服务器主要采用 SMTP（简单邮件传输协议），本协议描述了电子邮件的信息格式及其传递处理方法，保证被传送的电子邮件能够正确的寻址和可靠的传输，它是面向文本的网络协议，其缺点是 不能用来传送非 ASCII 码文本和非文字性附件。
后来的一些协议，包括 多用途 Internet 邮件扩充协议（MIME）及 增强私密邮件保护协议（PEM），弥补了 SMTP 的缺点。
SMTP 用在大型多用户、多任务的操作系统环境中，将它用在 PC 上收信是十分困难的，所以在 TCP/IP 网络上的大多数邮件管理程序 使用 SMTP 来发信，且采用 POP（Post Office Protocol,常用的是POP3）来保管用户未能及时取走的邮件。

简单邮件传送协议和用于接收邮件的 POP3 均是利用 TCP 端口。SMTP 所用的端口号是 25，POP3 所用的端口号是 110。

WWW（World Wide Web,万维网）服务 —— 基于 HTTP 协议，TCP 80 端口

WWW 浏览程序为用户提供基于 超文本传输协议（Hyper Text Transfer Protocol, HTTP）的用户界面，WWW 服务器的数据文件由 超文本标记语言（Hyper Text Markup Language, HTML）描述，HTML 利用统一资源定位器（URL）的指标是超媒体链接，并在文本内指向其他网络资源。

只要在自己的计算机上运行一个客户程序(WWW 浏览器)，并给出需访问的 URL 地址，就可以尽情浏览这些来自远方或近邻的各种信息。

WWW 工作过程 为：

首先通过局域网或通过电话拨号连入 Internet，并在本地计算机上运行 WWW 浏览器程序，然后根据想要获得的信息来源在浏览器的指定位置输入 WWW 地址，并通过浏览器向 Internet 发出请求信息，此时网络中的 IP 路由器和服务器将按照地址把信息传递到所要求的 WWW 服务器中；
而 WWW 服务器不断在一个众所周知的 TCP 端口（端口号为80） 上侦听用户的连接请
求，当服务器接收到请求后，找到所要求的 WWW 页面，最后服务器将找到的页面通过 Internet 传送回用户的计算机，浏览器接收传来的超文本文件，转换并显示在计算机屏幕上。

一个 URL（Web 地址）包括以下几部分：协议、主机域名、端口号(任选)、目录路径(任选)和一个文件名(任选)。其格式为：scheme://host.Domain[: port]Upath/filename]，其中，scheme 指定服务连接的方式(协议)。

文件传输服务 —— 控制连接，TCP 21 端口；数据连接，TCP 20 端口

一个用户需要在 FTP 服务器中进行注册，即建立用户账号，在拥有合法的登录用户名和密码后，才有可能进行有效的 FTP 连接和登录。对于 Internet 中成千上万个 FTP 服务器来说，这就给提供 FTP 服务的管理员带来很大的麻烦，即需要为每一个使用 FTP 的用户提供一个账号，这样做显然是不现实的。实际上，Internet 的 FTP 服务是一种匿名(anonymous) FTP服
务，它设置了一个特殊的用户名——anonymous，供公众使用，任何用户都可以使用这个用户名与提供这种匿名 FTP 服务的主机建立连接，并共享这个主机对公众开放的资源。

FTP 在客户端与服务器的内部建立 两条 TCP 连接：一条是控制连接，主要用于传输命令和参数(端口号为21)；另一条是数据连接，主要用于传送文件(端口号为20)。

FTP服务器不断地在 21 号端口上侦听用户的连接请求，当用户使用用户名 anonymous 和密码 guest 或者用户 E-mail 地址进行登录时，用户即发出连接请求，这样控制连接便建立起来。
此时，用户名和密码将通过控制连接发送给服务器；服务器接收到这个请求后，便进行用户识别，然后向客户回送确认或拒绝的应答信息；
用户看到登录成功的信息后，便可以发出文件传输的命令；
服务器从控制连接上接收到文件名和传输命令(如get)后，便在 20 号端口发起数据连接，并在这个连接上将文件名所指明的文件传输给客户。
只要用户不使用 close 或者其他命令关闭连接，便可以继续传输其他文件。

网络安全概述

网络安全威胁 —— 非授权访问、信息泄露、破坏数据完整性、拒绝服务攻击、病毒

非授权访问：没有预先经过同意，就使用网络或计算机资源则被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄露或丢失：指敏感数据在有意或无意中被泄露出去或丢失，它通常包括 信息在传输中丢失或泄露、信息在存储介质中丢失或泄露以及通过建立隐蔽隧道等窃取敏感信息 等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息，如用户口令、账号等重要信息。
破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加修改数据，以干扰用户的正常使用。
拒绝服务攻击：它 不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

网络安全控制技术 —— 防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术

防火墙技术（Firewall）

防火墙是 建立在内外网络边界上的过滤封锁机制，它认为内部网络是安全和可信赖的，而外部网络是不安全和不可信赖的。防火墙的作用是 防止不希望的、未经授权地进出被保护的内部网络，通过边界控制强化内部网络的安全策略。

防火墙技术经历了包过滤、应用代理网关和状态检测技术三个发展阶段。

数据包过滤可以根据数据包头中的各项信息来 控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在网络层和数据链路层(即TCP和IP层)之间。通过检查模块，防火墙能够拦截和检查所有出站和进站的数据，它首先打开包，取出包头，根据包头的信息确定该包是否符合包过滤规则，并进行记录。对于不符合规则的包，应进行报警并丢弃该包。
应用代理网关防火墙 彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是 可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。缺点是难以配置，处理速度非常慢。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力，同时也改进了流量处理速度。