1. 計算機網路簡答題
1、簡述數據鏈路層的基本功能。
a)將IP數據報封裝成幀 b)解決透明傳輸問題 c)對比特流進行差錯檢測
2、某小型公司為了業務的需要,要建立一個區域網,那麼他們需要購買什麼設備?
計算機、雙絞線、交換機、網線、集線器、轉發器
3、簡述子網掩碼的作用及A、B、C三類IP地址所對應的默認子網掩碼。
子網掩碼的作用:將子網掩碼與主機號相與可以識別出該主機所在的子網段。子網掩碼中1對應於IP地址中的網路號和子網號,而子網掩碼中的0對應於IP地址中的主機號
A類 255.0.0.0 或 0xFF000000
B類 255.255.0.0 0xFFFF0000
C類 255.255.255.0 0xFFFFFF00 (十六進製表示法)
4、在一個網路中劃分VLAN有什麼好處?
1)埠的分隔。即便在同一個交換機上,處於不同VLAN的埠也是不能通信的。這樣一個物理的交換機可以當作多個邏輯的交換機使用。
2)網路的安全。不同VLAN不能直接通信,杜絕了廣播信息的不安全性。
3)靈活的管理。更改用戶所屬的網路不必換埠和連線,只更改軟體配置就可以了。
5. 直通線和交叉線的區別
交叉線一般用來直接連兩台電腦的,也就是網卡--網卡
直通線一般用來連接網路設備(比如路由器,交換機,HUB,ADSL等)與電腦,或者是網路設備與網路設備(除非特殊說明,一般都支持)之間相聯。
直通線的水晶頭做法是:兩端水晶頭都做成 B類:橙白 - 橙 - 綠白 - 藍 - 藍白 - 綠 - 棕白 - 棕
交叉線的做法是,網線的兩端一邊按B類做法做,另一端按A類做法做
A類做法:綠白 - 綠 - 橙白 - 藍 - 藍白 - 橙 - 棕白 - 棕
這種做法的理解就是把 橙(白) 色的那對線與 綠(白)的那對線交叉。
1、什麼是計算機網路?建立計算機網路主要目的是什麼?
計算機網路就是把計算機都互聯起來
主要目的:資源共享、數據通信、提高計算機的可靠性、對數據進行分布式處理
2、傳輸層中有了TCP的可靠傳輸,為什麼還需要UDP的不可靠傳輸,而且在很多網路視頻和網路游戲中大量應用?
因為UDP傳輸更簡單,他沒有擁塞控制,首部開銷小,面向報文,不合並不拆分、保留報文邊界,盡最大努力交付,更迅捷。
5 有效IP地址和有效主機IP地址的區別
這題……有效IP地址,就是有用的IP地址,可以在外網使用
有效主機IP地址不一定就是有效的IP地址,他可以在內網使用
計算題,寫出詳細過程
1、一台交換機上連接兩台主機PC1和PC2,IP分別為:
PC1:172.16.6.178, PC2: 172.16.6.243, 子網掩碼
都為255.255.255.240,如果在PC1的CMD下用命令PING
主機PC2,能否PING通?為什麼?(要求寫出計算過程。)
PC1:172.16.6.178 劃為二進制 172 .16 .6 .10110010
255.255.255.240 二進制 11111111.11111111.11111111.11110000
PC2:172.16.6.243 172 .16 .6 .11110011
PC1與子網掩碼相與得網路號:172.16.6.10110000 = 172.16.6.176
PC2與子網掩碼相與得網路號:172.16.6.11110000 = 172.16.6.240
網路號不能,說明PC1與Pc2不在同一子網中,所以,ping不通
2、IP 地址:192.168.12.72 ,子網掩碼為:255.255.255.192,該地址所在網段的網路地址和廣播地址為 (要求寫出計算過程。)
(演算法同上)
網路地址:192.168.12.64
廣播地址(主機號全為1):192.168.12.127
3. 某部門申請到一個網路192.168.110.0,該部門有11個工作組,每個工作組的主機數量小於10台,要進行子網劃分,每個工作組為一個子網,試問子網掩碼應該怎樣設?(要求寫出計算過程。)
11*10=110台主機,110<2^8 所以至少要拿出八位做主機號。
4. 一個子網網段地址為10.32.0.0 掩碼為 255.224.0.0 的網路,它允許的最大主機地址是 (要求寫出計算過程。)
10.63.254.254
2. 計算機網路簡答題(3題)
1、什麼是計算機網路?計算機網路的主要功能是什麼?
2、TCP/IP協議模型分為幾層?每層包含什麼協議?
3、網路協議的三要素是什麼?
1 計算機網路,是指將地理位置不同的具有獨立功能的多台計算機及其外部設備,通過通信線路連接起來,在網路操作系統,網路管理軟體及網路通信協議的管理和協調下,實現資源共享和信息傳遞的計算機系統。
2 TCP/IP整體構架概述
TCP/IP協議並不完全符合OSI的七層參考模型。傳統的開放式系統互連參考模型,是一種通信協議的7層抽象的參考模型,其中每一層執行某一特定任務。該模型的目的是使各種硬體在相同的層次上相互通信。這7層是:物理層、數據鏈路層、網路層、傳輸層、話路層、表示層和應用層。而TCP/IP通訊協議採用了4層的層級結構,每一層都呼叫它的下一層所提供的網路來完成自己的需求。這4層分別為:
應用層:應用程序間溝通的層,如簡單電子郵件傳輸(SMTP)、文件傳輸協議(FTP)、網路遠程訪問協議(Telnet)等。
傳輸層:在此層中,它提供了節點間的數據傳送服務,如傳輸控制協議(TCP)、用戶數據報協議(UDP)等,TCP和UDP給數據包加入傳輸數據並把它傳輸到下一層中,這一層負責傳送數據,並且確定數據已被送達並接收。
互連網路層:負責提供基本的數據封包傳送功能,讓每一塊數據包都能夠到達目的主機(但不檢查是否被正確接收),如網際協議(IP)。
網路介面層:對實際的網路媒體的管理,定義如何使用實際網路(如Ethernet、Serial Line等)來傳送數據。
TCP/IP中的協議
以下簡單介紹TCP/IP中的協議都具備什麼樣的功能,都是如何工作的:
1. IP
網際協議IP是TCP/IP的心臟,也是網路層中最重要的協議。
IP層接收由更低層(網路介面層例如乙太網設備驅動程序)發來的數據包,並把該數據包發送到更高層---TCP或UDP層;相反,IP層也把從TCP或UDP層接收來的數據包傳送到更低層。IP數據包是不可靠的,因為IP並沒有做任何事情來確認數據包是按順序發送的或者沒有被破壞。IP數據包中含有發送它的主機的地址(源地址)和接收它的主機的地址(目的地址)。
高層的TCP和UDP服務在接收數據包時,通常假設包中的源地址是有效的。也可以這樣說,IP地址形成了許多服務的認證基礎,這些服務相信數據包是從一個有效的主機發送來的。IP確認包含一個選項,叫作IP source routing,可以用來指定一條源地址和目的地址之間的直接路徑。對於一些TCP和UDP的服務來說,使用了該選項的IP包好像是從路徑上的最後一個系統傳遞過來的,而不是來自於它的真實地點。這個選項是為了測試而存在的,說明了它可以被用來欺騙系統來進行平常是被禁止的連接。那麼,許多依靠IP源地址做確認的服務將產生問題並且會被非法入侵。
2. TCP
如果IP數據包中有已經封好的TCP數據包,那麼IP將把它們向『上』傳送到TCP層。TCP將包排序並進行錯誤檢查,同時實現虛電路間的連接。TCP數據包中包括序號和確認,所以未按照順序收到的包可以被排序,而損壞的包可以被重傳。
TCP將它的信息送到更高層的應用程序,例如Telnet的服務程序和客戶程序。應用程序輪流將信息送回TCP層,TCP層便將它們向下傳送到IP層,設備驅動程序和物理介質,最後到接收方。
面向連接的服務(例如Telnet、FTP、rlogin、X Windows和SMTP)需要高度的可靠性,所以它們使用了TCP。DNS在某些情況下使用TCP(發送和接收域名資料庫),但使用UDP傳送有關單個主機的信息。
3.UDP
UDP與TCP位於同一層,但對於數據包的順序錯誤或重發。因此,UDP不被應用於那些使用虛電路的面向連接的服務,UDP主要用於那些面向查詢---應答的服務,例如NFS。相對於FTP或Telnet,這些服務需要交換的信息量較小。使用UDP的服務包括NTP(網路時間協議)和DNS(DNS也使用TCP)。
欺騙UDP包比欺騙TCP包更容易,因為UDP沒有建立初始化連接(也可以稱為握手)(因為在兩個系統間沒有虛電路),也就是說,與UDP相關的服務面臨著更大的危險。
4.ICMP
ICMP與IP位於同一層,它被用來傳送IP的的控制信息。它主要是用來提供有關通向目的地址的路徑信息。ICMP的『Redirect』信息通知主機通向其他系統的更准確的路徑,而『Unreachable』信息則指出路徑有問題。另外,如果路徑不可用了,ICMP可以使TCP連接『體面地』終止。PING是最常用的基於ICMP的服務。
5. TCP和UDP的埠結構
TCP和UDP服務通常有一個客戶/伺服器的關系,例如,一個Telnet服務進程開始在系統上處於空閑狀態,等待著連接。用戶使用Telnet客戶程序與服務進程建立一個連接。客戶程序向服務進程寫入信息,服務進程讀出信息並發出響應,客戶程序讀出響應並向用戶報告。因而,這個連接是雙工的,可以用來進行讀寫。
兩個系統間的多重Telnet連接是如何相互確認並協調一致呢?TCP或UDP連接唯一地使用每個信息中的如下四項進行確認:
源IP地址 發送包的IP地址。
目的IP地址 接收包的IP地址。
源埠 源系統上的連接的埠。
目的埠 目的系統上的連接的埠。
埠是一個軟體結構,被客戶程序或服務進程用來發送和接收信息。一個埠對應一個16比特的數。服務進程通常使用一個固定的埠,例如,SMTP使用25、Xwindows使用6000。這些埠號是『廣為人知』的,因為在建立與特定的主機或服務的連接時,需要這些地址和目的地址進行通訊。
相信大家都聽說過TCP/IP這個詞,這個詞好像無處不在,時時都會在你面前跳出來。那TCP/IP到底是什麼意思呢?
TCP/IP其實是兩個網路基礎協議:IP協議、TCP協議名稱的組合。下面我們分別來看看這兩個無處不在的協議。
IP協議
IP(Internet Protocol)協議的英文名直譯就是:網際網路協議。從這個名稱我們就可以知道IP協議的重要性。在現實生活中,我們進行貨物運輸時都是把貨物包裝成一個個的紙箱或者是集裝箱之後才進行運輸,在網路世界中各種信息也是通過類似的方式進行傳輸的。IP協議規定了數據傳輸時的基本單元和格式。如果比作貨物運輸,IP協議規定了貨物打包時的包裝箱尺寸和包裝的程序。 除了這些以外,IP協議還定義了數據包的遞交辦法和路由選擇。同樣用貨物運輸做比喻,IP協議規定了貨物的運輸方法和運輸路線。
TCP協議
我們已經知道了IP協議很重要,IP協議已經規定了數據傳輸的主要內容,那TCP(Transmission Control Protocol)協議是做什麼的呢?不知大家發現沒有,在IP協議中定義的傳輸是單向的,也就是說發出去的貨物對方有沒有收到我們是不知道的。就好像8毛錢一份的平信一樣。那對於重要的信件我們要寄掛號信怎麼辦呢?TCP協議就是幫我們寄「掛號信」的。TCP協議提供了可靠的面向對象的數據流傳輸服務的規則和約定。簡單的說在TCP模式中,對方發一個數據包給你,你要發一個確認數據包給對方。通過這種確認來提供可靠性。
TCP/IP(Transmission Control Protocol/Internet Protocol的簡寫,中文譯名為傳輸控制協議/互聯網路協議)協議是Internet最基本的協議,簡單地說,就是由底層的IP協議和TCP協議組成的。TCP/IP協議的開發工作始於70年代,是用於互聯網的第一套協議。
3 網路協議三要素:語法 語義 同步
3. 計算機網路的簡答問題!~希望懂網路的老師們來簡答一下。
1.數據通信系統或計算機網路系統中,傳輸媒體的帶寬或容量往往會超過傳輸單一信號的需求,為了有效地利用通信線路,希望一個信道同時傳輸多路信號,這就是所謂的多路復用技術.採用多路復用技術能把多個信號組合起來在一條物理信道上進行傳輸,在遠距離傳輸時可大大節省電纜的安裝和維護費用 分為頻分多路復用FDM (Frequency Division Multiplexing)和時分多路復用TDM (Time Di-vision MultiplexiIIg)是兩種最常用的多路復用技術。
2.無線區域網的優點
(1)靈活性和移動性。在有線網路中,網路設備的安放位置受網路位置的限制,而無線區域網在無線信號覆蓋區域內的任何一個位置都可以接入網路。無線區域網另一個最大的優點在於其移動性,連接到無線區域網的用戶可以移動且能同時與網路保持連接。
(2)安裝便捷。無線區域網可以免去或最大程度地減少網路布線的工作量,一般只要安裝一個或多個接入點設備,就可建立覆蓋整個區域的區域網絡。
(3)易於進行網路規劃和調整。對於有線網路來說,辦公地點或網路拓撲的改變通常意味著重新建網。重新布線是一個昂貴、費時、浪費和瑣碎的過程,無線區域網可以避免或減少以上情況的發生。
(4)故障定位容易。有線網路一旦出現物理故障,尤其是由於線路連接不良而造成的網路中斷,往往很難查明,而且檢修線路需要付出很大的代價。無線網路則很容易定位故障,只需更換故障設備即可恢復網路連接。
(5)易於擴展。無線區域網有多種配置方式,可以很快從只有幾個用戶的小型區域網擴展到上千用戶的大型網路,並且能夠提供節點間"漫遊"等有線網路無法實現的特性。
3.三級IP地址由網路號.子網號.主機號三部分組成. 域名也就是我們常說的網址,就是為了方便記憶而起的名字,而當我們訪問一個域名(網址)時,網路是如何找到這個地址並把信息傳遞給你的呢?那就首先通過域名伺服器(DNS)將這個網址翻譯成IP地址,然後通過IP地址找到這台伺服器。
4.一 MODEM方式
MODEM是一種將計算機連接到公共交換電話網路上的數據通信設備。它能夠將計算機的數字系統轉換(調制)成能夠在電話線路上傳送的模擬信號;在另一端的數據機又將信號解調回數字位。該方式上網優點是:原始投入省,只要有一台電腦、一個MODEM,一部電話即可,缺點是上網速率低,理論上的最高速率56KBIT/S。是目前我國家庭上網的主要方式。
二 ISDN方式
ISDN俗稱一線通。它是另一種適合家庭用戶的上網方式,傳輸速度提高,可以同時上網、打電話、發傳真,上網最高速率128KBIT/S,但費用比MODEM方式要高。ISDN使一個普通的用戶線最多可以連接8個終端,並為多個終端提供多種通信的綜合服務,從而成為真正的"一線通"。
三 ADSL方式
利用現有的電話線網路,在線路兩端加裝ADSL設備,即可為用戶提供高寬頻服務,提供8MBIT/S的高速下行速率,遠高於ISDN速率,而上行速率有1MBIT/S,是普通電話拔號MODEM的百倍以上,傳輸距離能達3-5KM。另外,ADSL方式上網和打電話互不影響,也為用戶生活和交流帶來便利。ADSL的優點是:可以利用現有的市內電話網和電話交換局的機房,可以降低施工和維護成本,對電話業務沒有影響。缺點是它對線路質量要求較高,當線路質量不高時,推廣使用有困難。
這三種是電信部門經營的,都是利用現有的電話線路,上網費用包括電話費和網路資源使用費,按時間(分鍾)計費。
四 CABLE MODE方式
利用有線電視網進行數據傳輸,CABLE MODE是連接有線電視同軸電纜與用戶計算機之間的中間設備。優點是:可利用已有的有線電視網,只需要對同軸電纜網進行雙向改造,可以使用有線電視台機房。缺點是:系統調試較為復雜,不可預見因素多。廣電寬頻網對家庭用戶費用採用包月制。
五 區域網方式
凡是在單位區域網內的家庭,可通過區域網代理接入網際網路。
六 城域網方式
城域網實際上是一個大的區域網。家庭用戶採用光纜到樓、比絞線到戶的方式,不再佔用電話線路,在費用上則以包月的方式結算。
七 電力"貓"方式
目前,此項技術尚處在試用階段,但不久或許會成為家庭上網的新選擇。
以上幾種家庭可在選擇上網方式,分別由廣播、電視、電力或大公司提供,家庭用戶可選擇的范圍越大,得到的將是更好的服務。
5.計算機病毒是一個程序,一段可執行碼。就像生物病毒一樣,計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓
延,又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨
同文件一起蔓延開來。
除復制能力外,某些計算機病毒還有其它一些共同特性:一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎
僅僅表現在文字和圖象上時,它們可能也已毀壞了文件、再格式化了你的硬碟驅動或引發了其它類型的災害。若是病毒並不
寄生於一個污染程序,它仍然能通過占據存貯空間給你帶來麻煩,並降低你的計算機的全部性能。
可以從不同角度給出計算機病毒的定義。一種定義是通過磁碟、磁帶和網路等作為媒介傳播擴散,能「傳染」 其他程序
的程序。另一種是能夠實現自身復制且藉助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為
製造的程序,它通過不同的途徑潛伏或寄生在存儲媒體(如磁碟、內存)或程序里。當某種條件或時機成熟時,它會自生復制
並傳播,使計算機的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒
所相似之處是能夠侵入計算機系統和網路,危害正常工作的「病原體」。它能夠對計算機系統進行各種破壞,同時能夠自我復
制, 具有傳染性。
所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)里, 當達到某種條件時即被激活的具有對計
算機資源進行破壞作用的一組程序或指令集合。
按破壞性分
⑴ 良性病毒
⑵ 惡性病毒
⑶ 極惡性病毒
⑷ 災難性病毒
按傳染方式分
⑴ 引導區型病毒
引導區型病毒主要通過軟盤在操作系統中傳播,感染引導區,蔓延到硬碟,並能感染到硬碟中的"主引導記錄"。
⑵ 文件型病毒
文件型病毒是文件感染者,也稱為寄生病毒。它運行在計算機存儲器中,通常感染擴展名為COM、EXE、SYS等類型的文件。
⑶ 混合型病毒
混合型病毒具有引導區型病毒和文件型病毒兩者的特點。
⑷ 宏病毒
宏病毒是指用BASIC語言編寫的病毒程序寄存在Office文檔上的宏代碼。宏病毒影響對文檔的各種操作。
按連接方式分
⑴ 源碼型病毒
它攻擊高級語言編寫的源程序,在源程序編譯之前插入其中,並隨源程序一起編譯、連接成可執行文件。源碼型病毒較為少見,亦難以編寫。
⑵ 入侵型病毒
入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區。因此這類病毒只攻擊某些特定程序,針對性強。一般情況下也難以被發現,清除起來也較困難。
⑶ 操作系統型病毒
操作系統型病毒可用其自身部分加入或替代操作系統的部分功能。因其直接感染操作系統,這類病毒的危害性也較大。
⑷ 外殼型病毒
外殼型病毒通常將自身附在正常程序的開頭或結尾,相當於給正常程序加了個外殼。大部份的文件型病毒都屬於這一類
本題參考資料:復制的
6.
防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆的功能
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。硬體防火牆和軟體防火牆。
防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。目前市場上的防火牆基本大同小異,瑞星、天網等都可以用的。
不過目前的很多遠程監控程序都是採用反向鏈接方式,這樣一來防火牆基本上就形同虛設了,防止非法遠程監控最簡單有效的方法是安裝媲西伊遮斯。媲西伊遮斯是遠程式控制制軟體的剋星,是一款採用全新技術、唯一專門從根本上阻斷遠程監控的軟體。它能從根本上徹底阻斷非法屏幕監控、非法鍵盤和滑鼠記錄,阻斷密碼大盜和文檔資料的竊取,是一款全新概念的防阻非法監控的軟體。只要一出現四大非法監控,媲西伊遮斯馬上自動切斷。尤其對於那些未流行病毒、黑客自己製作的木馬以及某些所謂的正當監控軟體作用更明顯,因為這些是殺毒軟體無法查到無法殺掉的
4. 計算機網路知識點
一、計算機網路概述
1.1 計算機網路的分類
按照網路的作用范圍:廣域網(WAN)、城域網(MAN)、區域網(LAN);
按照網路使用者:公用網路、專用網路。
1.2 計算機網路的層次結構
TCP/IP四層模型與OSI體系結構對比:
1.3 層次結構設計的基本原則
各層之間是相互獨立的;
每一層需要有足夠的靈活性;
各層之間完全解耦。
1.4 計算機網路的性能指標
速率:bps=bit/s 時延:發送時延、傳播時延、排隊時延、處理時延 往返時間RTT:數據報文在端到端通信中的來回一次的時間。
二、物理層
物理層的作用:連接不同的物理設備,傳輸比特流。該層為上層協議提供了一個傳輸數據的可靠的物理媒體。簡單的說,物理層確保原始的數據可在各種物理媒體上傳輸。
物理層設備:
中繼器【Repeater,也叫放大器】:同一區域網的再生信號;兩埠的網段必須同一協議;5-4-3規程:10BASE-5乙太網中,最多串聯4個中繼器,5段中只能有3個連接主機;
集線器:同一區域網的再生、放大信號(多埠的中繼器);半雙工,不能隔離沖突域也不能隔離廣播域。
信道的基本概念:信道是往一個方向傳輸信息的媒體,一條通信電路包含一個發送信道和一個接受信道。
單工通信信道:只能一個方向通信,沒有反方向反饋的信道;
半雙工通信信道:雙方都可以發送和接受信息,但不能同時發送也不能同時接收;
全雙工通信信道:雙方都可以同時發送和接收。
三、數據鏈路層
3.1 數據鏈路層概述
數據鏈路層在物理層提供的服務的基礎上向網路層提供服務,其最基本的服務是將源自網路層來的數據可靠地傳輸到相鄰節點的目標機網路層。數據鏈路層在不可靠的物理介質上提供可靠的傳輸。
該層的作用包括: 物理地址定址、數據的成幀、流量控制、數據的檢錯、重發 等。
有關數據鏈路層的重要知識點:
數據鏈路層為網路層提供可靠的數據傳輸;
基本數據單位為幀;
主要的協議:乙太網協議;
兩個重要設備名稱:網橋和交換機。
封裝成幀:「幀」是 數據鏈路層 數據的基本單位:
透明傳輸:「透明」是指即使控制字元在幀數據中,但是要當做不存在去處理。即在控制字元前加上轉義字元ESC。
3.2 數據鏈路層的差錯監測
差錯檢測:奇偶校驗碼、循環冗餘校驗碼CRC
奇偶校驗碼–局限性:當出錯兩位時,檢測不到錯誤。
循環冗餘檢驗碼:根據傳輸或保存的數據而產生固定位數校驗碼。
3.3 最大傳輸單元MTU
最大傳輸單元MTU(Maximum Transmission Unit),數據鏈路層的數據幀不是無限大的,數據幀長度受MTU限制.
路徑MTU:由鏈路中MTU的最小值決定。
3.4 乙太網協議詳解
MAC地址:每一個設備都擁有唯一的MAC地址,共48位,使用十六進製表示。
乙太網協議:是一種使用廣泛的區域網技術,是一種應用於數據鏈路層的協議,使用乙太網可以完成相鄰設備的數據幀傳輸:
區域網分類:
Ethernet乙太網IEEE802.3:
乙太網第一個廣泛部署的高速區域網
乙太網數據速率快
乙太網硬體價格便宜,網路造價成本低
乙太網幀結構:
類型:標識上層協議(2位元組)
目的地址和源地址:MAC地址(每個6位元組)
數據:封裝的上層協議的分組(46~1500位元組)
CRC:循環冗餘碼(4位元組)
乙太網最短幀:乙太網幀最短64位元組;乙太網幀除了數據部分18位元組;數據最短46位元組;
MAC地址(物理地址、區域網地址)
MAC地址長度為6位元組,48位;
MAC地址具有唯一性,每個網路適配器對應一個MAC地址;
通常採用十六進製表示法,每個位元組表示一個十六進制數,用 - 或 : 連接起來;
MAC廣播地址:FF-FF-FF-FF-FF-FF。
四、網路層
網路層的目的是實現兩個端系統之間的數據透明傳送,具體功能包括定址和路由選擇、連接的建立、保持和終止等。數據交換技術是報文交換(基本上被分組所替代):採用儲存轉發方式,數據交換單位是報文。
網路層中涉及眾多的協議,其中包括最重要的協議,也是TCP/IP的核心協議——IP協議。IP協議非常簡單,僅僅提供不可靠、無連接的傳送服務。IP協議的主要功能有:無連接數據報傳輸、數據報路由選擇和差錯控制。
與IP協議配套使用實現其功能的還有地址解析協議ARP、逆地址解析協議RARP、網際網路報文協議ICMP、網際網路組管理協議IGMP。具體的協議我們會在接下來的部分進行總結,有關網路層的重點為:
1、網路層負責對子網間的數據包進行路由選擇。此外,網路層還可以實現擁塞控制、網際互連等功能;
2、基本數據單位為IP數據報;
3、包含的主要協議:
IP協議(Internet Protocol,網際網路互聯協議);
ICMP協議(Internet Control Message Protocol,網際網路控制報文協議);
ARP協議(Address Resolution Protocol,地址解析協議);
RARP協議(Reverse Address Resolution Protocol,逆地址解析協議)。
4、重要的設備:路由器。
路由器相關協議
4.1 IP協議詳解
IP網際協議是 Internet 網路層最核心的協議。虛擬互聯網路的產生:實際的計算機網路錯綜復雜;物理設備通過使用IP協議,屏蔽了物理網路之間的差異;當網路中主機使用IP協議連接時,無需關注網路細節,於是形成了虛擬網路。
IP協議使得復雜的實際網路變為一個虛擬互聯的網路;並且解決了在虛擬網路中數據報傳輸路徑的問題。
其中,版本指IP協議的版本,佔4位,如IPv4和IPv6;首部位長度表示IP首部長度,佔4位,最大數值位15;總長度表示IP數據報總長度,佔16位,最大數值位65535;TTL表示IP數據報文在網路中的壽命,佔8位;協議表明IP數據所攜帶的具體數據是什麼協議的,如TCP、UDP。
4.2 IP協議的轉發流程
4.3 IP地址的子網劃分
A類(8網路號+24主機號)、B類(16網路號+16主機號)、C類(24網路號+8主機號)可以用於標識網路中的主機或路由器,D類地址作為組廣播地址,E類是地址保留。
4.4 網路地址轉換NAT技術
用於多個主機通過一個公有IP訪問訪問互聯網的私有網路中,減緩了IP地址的消耗,但是增加了網路通信的復雜度。
NAT 工作原理:
從內網出去的IP數據報,將其IP地址替換為NAT伺服器擁有的合法的公共IP地址,並將替換關系記錄到NAT轉換表中;
從公共互聯網返回的IP數據報,依據其目的的IP地址檢索NAT轉換表,並利用檢索到的內部私有IP地址替換目的IP地址,然後將IP數據報轉發到內部網路。
4.5 ARP協議與RARP協議
地址解析協議 ARP(Address Resolution Protocol):為網卡(網路適配器)的IP地址到對應的硬體地址提供動態映射。可以把網路層32位地址轉化為數據鏈路層MAC48位地址。
ARP 是即插即用的,一個ARP表是自動建立的,不需要系統管理員來配置。
RARP(Reverse Address Resolution Protocol)協議指逆地址解析協議,可以把數據鏈路層MAC48位地址轉化為網路層32位地址。
4.6 ICMP協議詳解
網際控制報文協議(Internet Control Message Protocol),可以報告錯誤信息或者異常情況,ICMP報文封裝在IP數據報當中。
ICMP協議的應用:
Ping應用:網路故障的排查;
Traceroute應用:可以探測IP數據報在網路中走過的路徑。
4.7網路層的路由概述
關於路由演算法的要求:正確的完整的、在計算上應該盡可能是簡單的、可以適應網路中的變化、穩定的公平的。
自治系統AS: 指處於一個管理機構下的網路設備群,AS內部網路自治管理,對外提供一個或多個出入口,其中自治系統內部的路由協議為內部網關協議,如RIP、OSPF等;自治系統外部的路由協議為外部網關協議,如BGP。
靜態路由: 人工配置,難度和復雜度高;
動態路由:
鏈路狀態路由選擇演算法LS:向所有隔壁路由發送信息收斂快;全局式路由選擇演算法,每個路由器計算路由時,需構建整個網路拓撲圖;利用Dijkstra演算法求源端到目的端網路的最短路徑;Dijkstra(迪傑斯特拉)演算法
距離-向量路由選擇演算法DV:向所有隔壁路由發送信息收斂慢、會存在迴路;基礎是Bellman-Ford方程(簡稱B-F方程);
4.8 內部網關路由協議之RIP協議
路由信息協議 RIP(Routing Information Protocol)【應用層】,基於距離-向量的路由選擇演算法,較小的AS(自治系統),適合小型網路;RIP報文,封裝進UDP數據報。
RIP協議特性:
RIP在度量路徑時採用的是跳數(每個路由器維護自身到其他每個路由器的距離記錄);
RIP的費用定義在源路由器和目的子網之間;
RIP被限制的網路直徑不超過15跳;
和隔壁交換所有的信息,30主動一次(廣播)。
4.9 內部網關路由協議之OSPF協議
開放最短路徑優先協議 OSPF(Open Shortest Path First)【網路層】,基於鏈路狀態的路由選擇演算法(即Dijkstra演算法),較大規模的AS ,適合大型網路,直接封裝在IP數據報傳輸。
OSPF協議優點:
安全;
支持多條相同費用路徑;
支持區別化費用度量;
支持單播路由和多播路由;
分層路由。
RIP與OSPF的對比(路由演算法決定其性質):
4.10外部網關路由協議之BGP協議
BGP(Border Gateway Protocol)邊際網關協議【應用層】:是運行在AS之間的一種協議,尋找一條好路由:首次交換全部信息,以後只交換變化的部分,BGP封裝進TCP報文段.
五、傳輸層
第一個端到端,即主機到主機的層次。傳輸層負責將上層數據分段並提供端到端的、可靠的或不可靠的傳輸。此外,傳輸層還要處理端到端的差錯控制和流量控制問題。
傳輸層的任務是根據通信子網的特性,最佳的利用網路資源,為兩個端系統的會話層之間,提供建立、維護和取消傳輸連接的功能,負責端到端的可靠數據傳輸。在這一層,信息傳送的協議數據單元稱為段或報文。
網路層只是根據網路地址將源結點發出的數據包傳送到目的結點,而傳輸層則負責將數據可靠地傳送到相應的埠。
有關網路層的重點:
傳輸層負責將上層數據分段並提供端到端的、可靠的或不可靠的傳輸以及端到端的差錯控制和流量控制問題;
包含的主要協議:TCP協議(Transmission Control Protocol,傳輸控制協議)、UDP協議(User Datagram Protocol,用戶數據報協議);
重要設備:網關。
5.1 UDP協議詳解
UDP(User Datagram Protocol: 用戶數據報協議),是一個非常簡單的協議。
UDP協議的特點:
UDP是無連接協議;
UDP不能保證可靠的交付數據;
UDP是面向報文傳輸的;
UDP沒有擁塞控制;
UDP首部開銷很小。
UDP數據報結構:
首部:8B,四欄位/2B【源埠 | 目的埠 | UDP長度 | 校驗和】 數據欄位:應用數據
5.2 TCP協議詳解
TCP(Transmission Control Protocol: 傳輸控制協議),是計算機網路中非常復雜的一個協議。
TCP協議的功能:
對應用層報文進行分段和重組;
面向應用層實現復用與分解;
實現端到端的流量控制;
擁塞控制;
傳輸層定址;
對收到的報文進行差錯檢測(首部和數據部分都檢錯);
實現進程間的端到端可靠數據傳輸控制。
TCP協議的特點:
TCP是面向連接的協議;
TCP是面向位元組流的協議;
TCP的一個連接有兩端,即點對點通信;
TCP提供可靠的傳輸服務;
TCP協議提供全雙工通信(每條TCP連接只能一對一);
5.2.1 TCP報文段結構:
最大報文段長度:報文段中封裝的應用層數據的最大長度。
TCP首部:
序號欄位:TCP的序號是對每個應用層數據的每個位元組進行編號
確認序號欄位:期望從對方接收數據的位元組序號,即該序號對應的位元組尚未收到。用ack_seq標識;
TCP段的首部長度最短是20B ,最長為60位元組。但是長度必須為4B的整數倍
TCP標記的作用:
5.3 可靠傳輸的基本原理
基本原理:
不可靠傳輸信道在數據傳輸中可能發生的情況:比特差錯、亂序、重傳、丟失
基於不可靠信道實現可靠數據傳輸採取的措施:
差錯檢測:利用編碼實現數據包傳輸過程中的比特差錯檢測 確認:接收方向發送方反饋接收狀態 重傳:發送方重新發送接收方沒有正確接收的數據 序號:確保數據按序提交 計時器:解決數據丟失問題;
停止等待協議:是最簡單的可靠傳輸協議,但是該協議對信道的利用率不高。
連續ARQ(Automatic Repeat reQuest:自動重傳請求)協議:滑動窗口+累計確認,大幅提高了信道的利用率。
5.3.1TCP協議的可靠傳輸
基於連續ARQ協議,在某些情況下,重傳的效率並不高,會重復傳輸部分已經成功接收的位元組。
5.3.2 TCP協議的流量控制
流量控制:讓發送方發送速率不要太快,TCP協議使用滑動窗口實現流量控制。
5.4 TCP協議的擁塞控制
擁塞控制與流量控制的區別:流量控制考慮點對點的通信量的控制,而擁塞控制考慮整個網路,是全局性的考慮。擁塞控制的方法:慢啟動演算法+擁塞避免演算法。
慢開始和擁塞避免:
【慢開始】擁塞窗口從1指數增長;
到達閾值時進入【擁塞避免】,變成+1增長;
【超時】,閾值變為當前cwnd的一半(不能<2);
再從【慢開始】,擁塞窗口從1指數增長。
快重傳和快恢復:
發送方連續收到3個冗餘ACK,執行【快重傳】,不必等計時器超時;
執行【快恢復】,閾值變為當前cwnd的一半(不能<2),並從此新的ssthresh點進入【擁塞避免】。
5.5 TCP連接的三次握手(重要)
TCP三次握手使用指令:
面試常客:為什麼需要三次握手?
第一次握手:客戶發送請求,此時伺服器知道客戶能發;
第二次握手:伺服器發送確認,此時客戶知道伺服器能發能收;
第三次握手:客戶發送確認,此時伺服器知道客戶能收。
建立連接(三次握手):
第一次: 客戶向伺服器發送連接請求段,建立連接請求控制段(SYN=1),表示傳輸的報文段的第一個數據位元組的序列號是x,此序列號代表整個報文段的序號(seq=x);客戶端進入 SYN_SEND (同步發送狀態);
第二次: 伺服器發回確認報文段,同意建立新連接的確認段(SYN=1),確認序號欄位有效(ACK=1),伺服器告訴客戶端報文段序號是y(seq=y),表示伺服器已經收到客戶端序號為x的報文段,准備接受客戶端序列號為x+1的報文段(ack_seq=x+1);伺服器由LISTEN進入SYN_RCVD (同步收到狀態);
第三次: 客戶對伺服器的同一連接進行確認.確認序號欄位有效(ACK=1),客戶此次的報文段的序列號是x+1(seq=x+1),客戶期望接受伺服器序列號為y+1的報文段(ack_seq=y+1);當客戶發送ack時,客戶端進入ESTABLISHED 狀態;當服務收到客戶發送的ack後,也進入ESTABLISHED狀態;第三次握手可攜帶數據;
5.6 TCP連接的四次揮手(重要)
釋放連接(四次揮手)
第一次: 客戶向伺服器發送釋放連接報文段,發送端數據發送完畢,請求釋放連接(FIN=1),傳輸的第一個數據位元組的序號是x(seq=x);客戶端狀態由ESTABLISHED進入FIN_WAIT_1(終止等待1狀態);
第二次: 伺服器向客戶發送確認段,確認字型大小段有效(ACK=1),伺服器傳輸的數據序號是y(seq=y),伺服器期望接收客戶數據序號為x+1(ack_seq=x+1);伺服器狀態由ESTABLISHED進入CLOSE_WAIT(關閉等待);客戶端收到ACK段後,由FIN_WAIT_1進入FIN_WAIT_2;
第三次: 伺服器向客戶發送釋放連接報文段,請求釋放連接(FIN=1),確認字型大小段有效(ACK=1),表示伺服器期望接收客戶數據序號為x+1(ack_seq=x+1);表示自己傳輸的第一個位元組序號是y+1(seq=y+1);伺服器狀態由CLOSE_WAIT 進入 LAST_ACK (最後確認狀態);
第四次: 客戶向伺服器發送確認段,確認字型大小段有效(ACK=1),表示客戶傳輸的數據序號是x+1(seq=x+1),表示客戶期望接收伺服器數據序號為y+1+1(ack_seq=y+1+1);客戶端狀態由FIN_WAIT_2進入TIME_WAIT,等待2MSL時間,進入CLOSED狀態;伺服器在收到最後一次ACK後,由LAST_ACK進入CLOSED;
為什麼需要等待2MSL?
最後一個報文沒有確認;
確保發送方的ACK可以到達接收方;
2MSL時間內沒有收到,則接收方會重發;
確保當前連接的所有報文都已經過期。
六、應用層
為操作系統或網路應用程序提供訪問網路服務的介面。應用層重點:
數據傳輸基本單位為報文;
包含的主要協議:FTP(文件傳送協議)、Telnet(遠程登錄協議)、DNS(域名解析協議)、SMTP(郵件傳送協議),POP3協議(郵局協議),HTTP協議(Hyper Text Transfer Protocol)。
6.1 DNS詳解
DNS(Domain Name System:域名系統)【C/S,UDP,埠53】:解決IP地址復雜難以記憶的問題,存儲並完成自己所管轄范圍內主機的 域名 到 IP 地址的映射。
域名解析的順序:
【1】瀏覽器緩存,
【2】找本機的hosts文件,
【3】路由緩存,
【4】找DNS伺服器(本地域名、頂級域名、根域名)->迭代解析、遞歸查詢。
IP—>DNS服務—>便於記憶的域名
域名由點、字母和數字組成,分為頂級域(com,cn,net,gov,org)、二級域(,taobao,qq,alibaba)、三級域(www)(12-2-0852)
6.2 DHCP協議詳解
DHCP(Dynamic Configuration Protocol:動態主機設置協議):是一個區域網協議,是應用UDP協議的應用層協議。作用:為臨時接入區域網的用戶自動分配IP地址。
6.3 HTTP協議詳解
文件傳輸協議(FTP):控制連接(埠21):傳輸控制信息(連接、傳輸請求),以7位ASCII碼的格式。整個會話期間一直打開。
HTTP(HyperText Transfer Protocol:超文本傳輸協議)【TCP,埠80】:是可靠的數據傳輸協議,瀏覽器向伺服器發收報文前,先建立TCP連接,HTTP使用TCP連接方式(HTTP自身無連接)。
HTTP請求報文方式:
GET:請求指定的頁面信息,並返回實體主體;
POST:向指定資源提交數據進行處理請求;
DELETE:請求伺服器刪除指定的頁面;
HEAD:請求讀取URL標識的信息的首部,只返回報文頭;
OPETION:請求一些選項的信息;
PUT:在指明的URL下存儲一個文檔。
6.3.1 HTTP工作的結構
6.3.2 HTTPS協議詳解
HTTPS(Secure)是安全的HTTP協議,埠號443。基於HTTP協議,通過SSL或TLS提供加密處理數據、驗證對方身份以及數據完整性保護
原文地址:https://blog.csdn.net/Royalic/article/details/119985591
5. 計算機網路基礎簡答題 各位大俠多多幫助 急急急
1.計算機網路可從哪幾個方面進行分類? 區域網 廣域網 inter網
3.簡述非同步傳輸模式的特點。 採用面向連接的交換方式,它以信元為單位
5.簡述代理伺服器的主要功能。其功能就是代理網路用戶去取得網路信息
8.
(1)子網掩碼為255.255.255.0代表什麼意思?代表是C類地址
(2)一網路的子網掩碼為255.255.255.248,問該網路能夠連接多少台主機? 6台
(4)一個B類地址的子網掩碼是255.255.240.0。試問在其中每一個子網上的主機數最多是多少? 30
(5)一個A類地址的子網掩碼為255.255.0.255。它是否為一個有效的子網掩碼? 是
(6)某個IP地址的十六進製表示是C22F1481,試將其轉換為點分十進制的形式.這個地址是哪一類IP地址? A類地址
6. 計算機網路簡答題
分組從一台主機出發,經過一些列路由器傳輸,在另一台主機中結束它的歷程。每個節點都經受了不同類型的時延, 時延分為四類 。
總時延
節點的總時延如下:
慢啟動通過逐步增大擁塞窗口的值來控制網路擁塞。
慢啟動機制規定:
每完成一次傳輸輪次,擁塞窗口的值就翻倍,即擁塞窗口隨著傳輸輪次的增加成指數增長。
隨著傳輸輪次的增加,擁塞窗口的值會變得很大,因此TCP擁塞控制給慢啟動增加一個閾值(又稱慢啟動門限),當擁塞窗口>閾值時,就要進行嘗試擁塞避免。
當 擁塞窗口 < 閾值 時,使用慢啟動演算法
當 擁塞窗口 > 閾值 時,使用擁塞避免演算法
當 擁塞窗口 = 閾值 時,既可以使用慢啟動演算法,也可時使用擁塞避免演算法。
隨著網路擁塞的出現和變化,閾值也會不斷變化。TCP擁塞控制中,閾值的初始值為16
發送方發送含有地址信息的特定的控制信息塊(如:呼叫分組),該信息塊途經的每個中間結點根據當前的邏輯信道(LC)使用狀況,分配LC,並建立輸入和輸出LC映射表,所有中間結點分配的LC的串接形成虛電路(VC)。
使用地址解析協議,可根據網路層IP數據包包頭中的IP地址信息解析出目標硬體地址(MAC地址)信息,以保證通信的順利進行。
作用范圍是在網路層
隱藏終端(Hidden Stations): 在通信領域,基站A向基站B發送信息,基站C未偵測到A也向B發送,故A和C同時將信號發送至B,引起信號沖突,最終導致發送至B的信號都丟失了。
一個報文的可靠性要比它的秘密性重要許多倍。「可靠」一詞意味著報文沒有被改變或受到操縱,因而是可信的。為此,一個計算的報文鑒別碼MAC(Messεtge Authentication Code)被附加在報文之後,同時傳送給收件人,收件人自己可以計算報文的MAC並與接收到的MAC相比較,如果它們相同,則報文在旅程中未被改變,保障數據的可靠性。
交換機和路由器都可用來交換網路
但它們的工作層次不同,交換機工作在數據鏈路層,路由器工作在網路層
數據轉發所依據的對象不同,交換機利用MAC地址(物理地址)確定轉發數據目的地址,而路由器利用的是IP地址
LS演算法和DV演算法,這兩種演算法各有特點,分述如下:
假設有A和B兩端要進行通信:
TCP的慢啟動機制、擁塞避免機制和加速遞減機制都是通過改變擁塞窗口的大小來時對發送方的發送窗口進行控制。所以是 取決於網路的擁塞控制 ,並且動態地在變化。
7. 計算機網路安全的簡答題目
1 防火牆的主要功能有哪些?(簡答只要把下面標題和第一句寫上就好,見大括弧內)
{(1)網路安全的屏障
防火牆可通過過濾不安全的服務而減低風險,極大地提高內部網路的安全性。}由於只有經過選擇並授權允許的應用協議才能通過防火牆,所以網路環境變得更安全。防火牆可以禁止諸如不安全的NFS協議進出受保護的網路,使攻擊者不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向路徑。防火牆能夠拒絕所有以上類型攻擊的報文,並將情況及時通知防火牆管理員。
(2)強化網路安全策略
通過以防火牆為中心的安全方案配置。能將所有安全軟體(如口令、加密、身份認證等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如,在網路訪問時,一次一密口令系統和其他的身份認證系統完全可以不必分散在各個主機上而集中在防火牆。
(3)對網路存取和訪問進行監控審計由於所有的訪問都必須經過防火牆,所以防火牆就不僅能夠製作完整的日誌記錄,而且還能夠提供網路使用的情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是一項非常重要的工作。這不僅有助於了解防火牆的控制是否能夠抵擋攻擊者的探測和攻擊,了解防火牆的控制是否充分有效,而且有助於作出網路需求分析和威脅分析。
(4)防止內部信息的外泄
通過利用防火牆對內部網路的劃分,可實現內部網中重點網段的隔離,限制內部網路中不同部門之間互相訪問,從而保障了網路內部敏感數據的安全。另外,隱私是內部網路非常關心的問題,一個內部網路中不引人注意的細節,可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至由此而暴露了內部網路的某些安全漏洞。使用防火牆就可以隱藏那些透露內部細節的服務,如Finger、DNS等。Finger顯示了主機的所有用戶的用戶名、真名、最後登錄時間和使用Shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶在連線上網,這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
2:要傳遞的確切的消息就是明文; 被加密後的消息就是密文;
密鑰:參與變換的參數; 加密演算法:用於數據加密的一組數學變換;
解密演算法:用於解密的一組數學變換;
3:入侵檢測技術的原理是什麼?
入侵檢測技術(IDS)可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術
4. 什麼是計算機病毒?
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指「編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自 我復制的一組計算機指令或者程序代碼」。
5. 試述網路安全技術的發展趨勢。
從技術層面來看,目前網路安全產品在發展過程中面臨的主要問題是:以往人們主要關心系統與網路基礎層面的防護問題,而現在人們更加關注應用層面的安全防護問題,安全防護已經從底層或簡單數據層面上升到了應用層面,這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇,越來越多的安全技術已經與應用相結合。
1.防火牆技術發展趨勢
在混合攻擊肆虐的時代,單一功能的防火牆遠不能滿足業務的需要,而具備多種安全功能,基於應用協議層防禦、低誤報率檢測、高可靠高性能平台和統一組件化管理的技術,優勢將得到越來越多的體現,UTM(UnifiedThreatManagement,統一威脅管理)技術應運而生。
從概念的定義上看,UTM既提出了具體產品的形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從後半部分來看,UTM的概念還體現了經過多年發展之後,信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。
UTM的功能見圖1.由於UTM設備是串聯接入的安全設備,因此UTM設備本身必須具備良好的性能和高可靠性,同時,UTM在統一的產品管理平台下,集防火牆、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能於一體,實現了多種防禦功能,因此,向UTM方向演進將是防火牆的發展趨勢。UTM設備應具備以下特點。
(1)網路安全協議層防禦。防火牆作為簡單的第二到第四層的防護,主要針對像IP、埠等靜態的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的牆,除了傳統的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協議的保護,而不僅限於第二到第四層。
(2)通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高,將會對用戶帶來災難性的後果。
(3)有高可靠性、高性能的硬體平台支撐。
(4)一體化的統一管理。由於UTM設備集多種功能於一身,因此,它必須具有能夠統一控制和管理的平台,使用戶能夠有效地管理。這樣,設備平台可以實現標准化並具有可擴展性,用戶可在統一的平台上進行組件管理,同時,一體化管理也能消除信息產品之間由於無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網路安全。
6.簡述物理安全在計算機網路安全中的地位,並說明其包含的主要內容。
目前網路上的安全威脅大體可分為兩種:一是對網路數據的威脅; 二是對網路設備的威脅。這些威脅可能來源於各種因素:外部和內部人員的惡意攻擊,是電子商務、政府上網工程等順利發展的最大障礙。
物理安全的目的是保護路由器、工作站、網路伺服器等硬體實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離,才能真正保證黨政機關的內部信息網路不受來自互聯網的黑客攻擊。
在實行物理隔離之前,我們對網路的信息安全有許多措施,如在網路中增加防火牆、防病毒系統,對網路進行入侵檢測、漏洞掃描等。由於這些技術的極端復雜性與有限性,這些在線分析技術無法提供某些機構(如軍事、政府、金融等)提出的高度數據安全要求。而且,此類基於軟體的保護是一種邏輯機制,對於邏輯實體而言極易被操縱。後面的邏輯實體指黑客、內部用戶等。 正因為如此,我們的涉密網不能把機密數據的安全完全寄託在用概率來作判斷的防護上,必須有一道絕對安全的大門,保證涉密網的信息不被泄露和破壞,這就是物理隔離所起的作用。
7.網路安全的主要技術有哪些?
物理措施 訪問控制 數據加密 網路隔離 其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等
8.什麼是計算機病毒,以及它的特徵?
計算機病毒是指「編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自 我復制的一組計算機指令或者程序代碼」。
特徵:寄生性 傳染性 潛伏性 隱蔽性 破壞性 可觸發性
9談談計算機網路安全設計遵循的基本原則。
整體原則、有效性有效性與實用性原則、安全評價性原則、等級性原則、動態化原則
8. 計算機網路及網頁製作(簡答題)
1.簡述什麼事計算機網路的拓撲結構,有哪些常見的拓撲結構
計算機網路的拓撲結構是指網路中通信線路和站點(計算機或設備)的幾何排列形式。常見的網路
拓撲結構有星形網路、匯流排型網路、樹形網路、環形網路和網狀網路。
2.TCP/IP的核心思想(理念)是什麼
TCP/IP的核心思想就是網路互聯,將使用不同低層協議的異構網路,在傳輸層、網路層建立一個統一
的虛擬邏輯網路,以此來屏蔽所有物理網路的硬體差異,從而實現網路的互聯
3.舉例說明TCP/IP協議應用層涉及的重要協議的中文名稱與英文縮寫
(1)超文本傳輸協議HTTP,用來傳遞製作的網頁文件。
(2)文件傳輸協議FTP,用於實現互聯網中互動式文件傳輸功能。
(3)電子郵件協議SMTP,用於實現互聯網中電子郵件傳送功能。
(4)遠程登陸協議TELNET,用於實現互聯網中遠程登錄功能。
(5)域名服務系統DNS,用於實現網路域名到IP地址的映射服務。
4.簡述對等網模式,客戶機/伺服器模式,瀏覽器/伺服器模式的特點
在對等網中沒有專用的伺服器、每台計算機地位平等、每台計算機既可充當伺服器又可充當客戶機的網路工作模式,在C/S和B/S模式中,計算機被分為伺服器和客戶機兩種,伺服器負責為全體客戶機提供有關服務,而客戶機負責向伺服器發送服務請求並處理相關事務。
在C/S模式中,用戶請求的任務有伺服器端程序與客戶端應用程序共同完成,不同的任務要安裝不同的客戶端軟體。
在B/S模式中,客戶端只需要安裝瀏覽器,用戶通過瀏覽器向伺服器發送請求,然後伺服器接收並進行相應的處理後將結果返回給瀏覽器顯示,不必為客戶端開發特定的軟體
5.子網掩碼的用途是什麼
子網掩碼是判斷任意兩台計算機的IP地址是否屬於同一子網的根據,將兩台計算機各自的P地址
與子網掩碼進行AND運算後,如果得出的結果是相同的,說明兩台計算機是處於同一個子網的,可以進行
直接通信,對應於網路號部分,掩碼中的值為1,而對應於主機號部分,掩碼中的值為0
6.簡述設計Web站點的一般步驟
(1)對Web站點作出具體的規劃;
(2)准備Web站點的素材;
(3)創建 FrontPage Web站點和製作網頁;
(4)測試Web站點(5)發布Web站點;
(6)宣傳自己的Web站點:
(7)對Web站點進行維護和更新
7.在計算機網路中,網路協議起什麼作用
網路協議是在計算機網路中兩個或兩個以上計算機之間進行信息交換的規則,它包括一套完整的語
句和語法規則。一般來說,網路協議可以理解為不同的計算機相互通信的「語言」,即兩台計算機要進行信
息交換,必須事先約定好一個共同遵守的規則。
8.網頁設計中,什麼是超鏈接
超鏈接是網頁和網頁之間的聯系紐帶,就是通過在一個頁面中的指定超鏈接載體上設置鏈接到目標
的地址,在用戶測覽這個頁面時單擊超鏈接的載體將鏈接到目標頁面,這就是超鏈接技術
9.什麼是區域網?有什麼特點?
區域網是一種計算機化的通信網路,支持各種數據通信設備間的設備互連、信息交換和資源共享。
主要特點是:(1)覆蓋地理范圍小,所有的站點共享較高的總帶寬,即較高的數據傳輸速率(一般大於
10Mbps,可達1Gbps);(2)具有較小的時延和較低的誤碼率;(3)區域網組網方便靈活,是目前計算機網路中
最活躍的一個分支。
10.計算機網路中主要包括哪些內容組成?
計算機網路系統包括網路硬體和網路件兩大類。常見的網路硬體有:計算機、網路介面設備、通
信介質以及各種網路互聯設備等。常用網路軟體包括網路操作系統、網路協議軟體和網路應用軟體等。
.