网络安全协议分析与案例实践.ppt

《网络安全协议分析与案例实践.ppt》由会员分享，可在线阅读，更多相关《网络安全协议分析与案例实践.ppt（140页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 网络安全协议分析与案例实践授课：蒋浪QQ：846516087电话：本书简要概述以及学习目的1.本书总共分为七大章节，分别说明了网络当中相关的网络协议所对应的层次关系。2.学习内容大多属于理论和一些思科模拟器实验拓扑的命令行操作。为什么要学习网络安全？主要目的：保护计算机、网络系统的硬件、软件及其系统中的数据，使之不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。之所以提出网络安全，缘于网络攻击的普遍就比如上有政策下有对策，现在的互联网存在很多安全威胁。网络安全攻击会在它们的复杂性和威胁水平上具有不同程度的改变，这也是网络安全的复杂性之根本。一些常

2、见的攻击：应用层攻击：这些攻击通常瞄准运行在服务器上的软件漏洞，而这些漏洞都是很熟知的。各种目标包括FTP，发送邮件，HTTP。Autorooters：恶意者使用某种叫做rootkit的东西探测，扫描并从目标主机上捕获数据，使得用户数据变得透明，它可以监视着整个系统。后门程序：通往一个计算机或网络的简洁的路径。经过简单入侵或是精心设计的木马，恶意者可使用植入攻击进入一台指定的主机或是一个网络。DoS和DDoS攻击：最常见的网络攻击，却形式多样，而且非常让人厌烦。IP欺骗：黑客以你的内部网络可信地址范围中的IP地址呈现或者使用一个核准的，可信的外部IP地址，来伪装成一台可信的主机。中间人攻击：简

3、单说就是使用工具拦截你要发送的数据。网络侦查：针对待攻击的网络收集相关的信息，做更深入的了解，便于实施攻击。包嗅探：他通过网络适配卡开始工作与混杂模式，它发送的所有包都可以被一个特殊的应用程序从网络物理层获取，并进行查看积分类。口令攻击：通过多种方式发现用户口令，伪装成合法用户，访问用户的特许操作及资源。强暴攻击：是一种面向软件的攻击。端口重定向攻击：这种方法要求黑客已经侵入主机，并经由防火墙得到被改变的流量。病毒攻击：常见，难防。时效性。信任利用攻击：这种攻击发生在内网之中，有某些人利用内网中的可信关系来实施。综上所述，简单来说，正是由于各种网络威胁的盛行，才使得网络安全与维护显得尤为重要。

4、第1章：基础知识与物理安全基础知识与物理安全内容提要2016年全球十大网络安全事故信息安全三要素OSI模型以及TCP/IP概要讲解常用基本概念物理安全建议简要提及维护网络安全的方法No.1：俄罗斯央行遭黑客攻击3100万美元不翼而飞12月，俄罗斯中央银行官员瑟乔夫证实，该行电脑系统遭到了黑客入侵，犯罪分子从银行的代理账户中窃走了20亿卢布(约合3100万美元)的资金。瑟乔夫透露，黑客是通过伪造一名用户的证书进入的这些账户。紧接着，俄罗斯第二大银行VTB再遭黑客攻击，幸运的是，银行方面的防御体系成功击退了指向其业务系统的DDoS攻击，未造成资金损失。No.2：德国90万家庭断网遭黑客蓄意入侵11

5、月，德国电信遭遇一次大范围的网络故障。2000万固定网络用户中的大约90万路由器发生故障(约4.5%)，并由此导致大面积网络访问受限。德国电信进一步确认了问题是由于路由设备的维护界面被暴露在互联网上、并且互联网上正在发生针对性的攻击而导致。No.3：旧金山地铁被勒索软件攻击乘客免费乘坐地铁11月，旧金山的Municipal地的电脑票价系统遭到黑客攻击，黑客索要100比特币作为赎金。尽管旧金山地铁没有公布案件调查进展信息，但我们能从中看出这是一次恶意的黑客勒索软件攻击事件，若要恢复地铁票价系统就需要进行比特币赎金交易。尽管黑客已经开设好比特币钱包等待旧金山地铁的支付，但旧金山地铁并未向黑客支付任

6、何费用，在所有地铁购票机器工作失常后，旧金山地铁干脆开放地铁，允许乘客免费乘坐。No.4：美国遭史上最大规模DDoS攻击、东海岸网站集体瘫痪10月，恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDoS攻击，从而导致许多网站在美国东海岸地区宕机，如GitHub、Twitter、PayPal等，用户无法通过域名访问这些站点。事件发生后，360与全球安全社区一起参与了这次事件的追踪、分析、溯源和响应处置，利用360公司的恶意扫描源数据，率先发现并持续追踪溯源了这个由摄像头等智能设备组成的僵尸网站。360也是唯一参与全球协同处置该事件的中国机构No.5：希拉里邮件门事件20

7、15年年初，邮件门事件首次被曝光，希拉里在2009年至2013年担任美国国务卿期间，违规使用私人电子邮箱和位于家中的私人服务器收发大量涉密的邮件.涉嫌违反美国联邦档案法，面临调查时又匆匆删除。2016年夏季，美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵，近2万封邮件被维基解密披露。邮件显示，希拉里涉嫌抹黑竞争对手，以及可能涉嫌洗钱等财务问题。10月28日，大胖子黑客KimDotcom翻出了被希拉里删除的邮件，导致FBI重新开始调查希拉里邮件门事件，这对于大选前夕的希拉里来说，频发传出的负面消息导致曾人气领先的希拉里惜败。No.6：雅虎曝史上最大规模信息泄露5亿用户资料被窃9月，雅虎

8、突然宣称其至少5亿条用户信息被黑客盗取，其中包括用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。并建议所有雅虎用户及时更改密码。此次雅虎信息泄漏事件被称为史上最大规模互联网信息泄露事件，也让正在出售核心业务的雅虎再受重创。11月，在提交给SEC(美国证券交易委员会)的文件显示，雅虎提醒投资者注意，Verizon可能会因为大规模电子邮件被黑事件而放弃48亿美元收购雅虎的交易。No.7：美国国家安全局陷入斯诺登之后最大泄密风波继斯诺登泄密风波之后，美国国家安全局(NSA)再次敲响内部威胁警钟。NSA承包商哈罗德?马丁于8月27日因窃取国安局数据被捕，马丁与曾揭露美国政府大规模监听行动的斯诺登

9、受雇于同一家公司，马丁还被怀疑掌握了NSA的“源代码”，这些源代码通常被用来入侵俄罗斯、中国、伊朗等国的网络系统。调查人员在马丁家中和车内搜出美国政府高度机密文件的复印文本和数字文档，其中数字文档至少有几TB，还包括6份“敏感情报”。美国司法部检察官说，如果在未经授权的情况下泄露这些高度机密文件，美国国家安全将遭受“极为严重”的损害。No.8：全球银行业使用的恐怖嫌疑人数据库被泄露6月，一个包含约220万条恐怖分子与“高风险个人及实体”记录的数据库被泄露在互联网上。研究人员ChrisVickery在Reddit上称他成功获取到了一份2014版的World-Check的机密数据库，银行、政府及情

10、报机构使用该数据库进行全球范围的风险扫描，数据库信息包括了恐怖分子嫌疑人。据World-Check的经营者ThomsonReuters称，他为约4500所机构提供服务，其中包括世界50大银行中的49家，以及超过300个政府、情报机构以及律师事务所。虽然欧洲隐私法所强烈限制了访问World-Check的数据库的行为，但是Reuters称有未知第三方在网上曝光了该数据库的老版本数据。No.9：德国核电站检测出恶意程序被迫关闭4月，德国Gundremmingen核电站的计算机系统，在常规安全检测中发现了恶意程序。核电站的操作员RWE为防不测，关闭了发电厂，虽然仍然对外表示，并没有发生什么严重的问题。

11、Gundremmingen核电站官方发布的新闻稿称，此恶意程序是在核电站负责燃料装卸系统的BlockBIT网络中发现的。据说该恶意程序仅感染了计算机的IT系统，而没有涉及到与核燃料交互的ICS/SCADA设备。核电站表示，此设施的角色是装载和卸下核电站BlockB的核燃料，随后将旧燃料转至存储池No.10：SWIFT黑客事件爆发多家银行损失巨款2月，孟加拉国中央银行在美国纽约联邦储备银行开设的账户2月初遭黑客攻击，失窃8100万美元。据相关执法部门调查，赃款几经分批中转，最终流入菲律宾两家赌场和一名赌团中介商的账户，随后很可能变成一堆筹码，就此消失无踪。而孟加拉央行并非个案，2015年1月，黑

12、客攻击了厄瓜多尔南方银行，利用SWIFT系统转移了1200万美元;2015年底越南先锋商业股份银行也被曝出黑客攻击未遂案件。要求信息网络具有：可用性、完整性、私密性；私密性：保障通信私密性的常见方法为数据加密.完整性：信息传输过程中没有遭到篡改.可用性：让合法的用户可以访问到相应的资源.黑客（外）黑客（内）Internet实体安全信息安全信息安全信息安全信息安全运行安全OSI模型简述图OSI模型详解：1.OSI七层模型背景：1983年 由ISO提出并标准化2.各层作用：1.应用层 a功能：提供用户接入的借口。b软件：QQ/微信/浏览器/迅雷/阿里巴巴等 C协议：http、https、OICQ、

13、Telnet/SSH 2.表示层 a功能：提供数据显示。主要包括三点数据的格式、压缩、加密。其中数据的格式又包括*1图片格式：jpg、png、gif。*2视频格式：flv、rmvb、mkv、avi、wmv。*3文件格式：doc、ppt、kls等。3.会话层功能：提供会话管理，主要包含三点。建立会话、保持会话、删除会话4.传输层a功能:提供了可靠的端到端连接。b协议：TCP和UDP协议，如何区分TCP和UDP协议可以用简单的两个例子：UDP协议例子*飞鸽传书：协议不可靠；不可控、不可重传、无反馈信息。TCP协议例子*网购/电子商务：协议可靠；可追踪、可数据重发、可调控。5.网络层a功能：提供了三

14、层寻址、三层数据转发功能b协议：IP协议c设备：路由器6.链路层a功能：提供了二层寻址、二层数据转发功能b协议：Ethernet/TokenRing（令牌网）7.物理层a功能：提供物理规范。主要包括：1线缆设备；同轴电缆、光纤、无线2接口标准：RJ45用双绞线，RJ11用于电话线目前属于淘汰的接口OSI功能总结1.分层分工2.标准化（流程化）3.物理框架（易于问题分析、排错）TCP/IP协议：TransmissionControlProtocol/InternetProtocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际

15、互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。TCP/IP定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。IP：IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层-TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数

16、据包是否按顺序发送的或者有没有被破坏，IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫作IPsourcerouting，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好像是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠I

17、P源地址做确认的服务将产生问题并且会被非法入侵。TCP：TCP是面向连接的通信协议，通过三次握手建立连接，通讯完成时要拆除连接，由于TCP是面向连接的所以只能用于端到端的通讯。TCP提供的是一种可靠的数据流服务，采用“带重传的肯定确认”技术来实现传输的可靠性。TCP还采用一种称为“滑动窗口”的方式进行流量控制，所谓窗口实际表示接收能力，用以限制发送方的发送速度。如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向上传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。TCP将它的信息送

18、到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后到接收方。面向连接的服务（例如Telnet、FTP、rlogin、XWindows和SMTP）需要高度的可靠性，所以它们使用了TCP。DNS在某些情况下使用TCP（发送和接收域名数据库），但使用UDP传送有关单个主机的信息。UDP：UDP是面向无连接的通讯协议，UDP数据包括目的端口号和源端口号信息，由于通讯不需要连接，所以可以实现广播发送。UDP通讯时不需要接收方确认，属于不可靠的传输，可能会出现丢包现象，实际应用中要求程序员编程验证。UDP

19、与TCP位于同一层，但它不管数据包的顺序、错误或重发。因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询-应答的服务，例如NFS。相对于FTP或Telnet，这些服务需要交换的信息量较小。使用UDP的服务包括NTP（网络时间协议）和DNS（DNS也使用TCP）。欺骗UDP包比欺骗TCP包更容易，因为UDP没有建立初始化连接（也可以称为握手）（因为在两个系统间没有虚电路），也就是说，与UDP相关的服务面临着更大的危险。通讯端口：TCP和UDP服务通常有一个客户/服务器的关系，例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户

20、程序与服务进程建立一个连接。客户程序向服务进程写入信息，服务进程读出信息并发出响应，客户程序读出响应并向用户报告。因而，这个连接是双工的，可以用来进行读写。两个系统间的多重Telnet连接是如何相互确认并协调一致呢？TCP或UDP连接唯一地使用每个信息中的如下四项进行确认：源IP地址发送包的IP地址。目的IP地址接收包的IP地址。源端口源系统上的连接的端口。目的端口目的系统上的连接的端口。端口是一个软件结构，被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口，例如，SMTP使用25、Xwindows使用6000。这些端口号是广为人知的，因为在建

21、立与特定的主机或服务的连接时，需要这些地址和目的地址进行通讯。数据格式：数据帧：帧头+IP数据包+帧尾（帧头包括源和目标主机MAC初步地址及类型，帧尾是校验字）IP数据包：IP头部+TCP数据信息（IP头包括源和目标主机IP地址、类型、生存期等）TCP数据信息：TCP头部+实际数据(TCP头包括源和目标主机端口号、顺序号、确认号、校验字等）IP地址：在Internet上连接的所有计算机，从大型机到微型计算机都是以独立的身份出现，我们称它为主机。为了实现各主机间的通信，每台主机都必须有一个唯一的网络地址。就好像每一个住宅都有唯一的门牌一样，才不至于在传输资料时出现混乱。Internet的网络地址

22、是指连入Internet网络的计算机的地址编号。所以，在Internet网络中，网络地址唯一地标识一台计算机。IP地址是一个32位的二进制地址，为了便于记忆，将它们分为4组，每组8位，由小数点分开，用四个字节来表示，而且，用点分开的每个字节的数值范围是0255IPV4:IPv4，是互联网协议（InternetProtocol，IP）的第四版，也是第一个被广泛使用，构成现今互联网技术的基石的协议。1981年JonPostel在RFC791中定义了IP，Ipv4可以运行在各种各样的底层网络上，比如端对端的串行数据链路（PPP协议和SLIP协议)，卫星链路等等。局域网中最常用的是以太网。传统的TCP

23、/IP协议基于IPV4属于第二代互联网技术，核心技术属于美国。它的最大问题是网络地址资源有限，从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至IP地址已经枯竭。其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。虽然用动态IP及Nat地址转换等技术实现了一些缓冲，但IPV4地址枯竭已经成为不争的事实。在此，专家提出IPV6的互联网技术，也正在推行，但IPV4的使用过过渡到IPV6需要很长的一段过渡期。中国主要用的就是ip4，在wi

24、n7中已经有了ipv6的协议不过对于中国的用户们来说可能很久以后才会用到吧。传统的TCP/IP协议基于电话宽带以及以太网的电器特性而制定的，其分包原则与检验占用了数据包很大的一部分比例造成了传输效率低，网络正向着全光纤网络高速以太网方向发展，TCP/IP协议不能满足其发展需要。IPv6:IPv6是InternetProtocolVersion6的缩写，其中InternetProtocol译为“互联网协议”。IPv6是IETF（互联网工程任务组，InternetEngineeringTaskForce）设计的用于替代现版本IP协议（IPv4）的下一代IP协议。与IPV4相比，IPV6具有以下几个

25、优势：一、IPv6具有更大的地址空间。IPv4中规定IP地址长度为32，即有232-1（符号表示升幂，下同）个地址；而IPv6中IP地址的长度为128，即有2128-1个地址二、IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类（Aggregation）的原则，这使得路由器能在路由表中用一条记录（Entry）表示一片子网，大大减小了路由器中路由表的长度，提高了路由器转发数据包的速度。三、IPv6增加了增强的组播（Multicast）支持以及对流的控制（FlowControl），这使得网络上的多媒体应用有了长足发展的机会，为服务质量（QoS，QualityofService）控制提供了

26、良好的网络平台四、IPv6加入了对自动配置（AutoConfiguration）的支持。这是对DHCP协议的改进和扩展，使得网络（尤其是局域网）的管理更加方便和快捷。五、IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，极大的增强了网络的安全性。TCP/IP协议层次从协议分层模型方面来讲，TCP/IP由四个层次组成：网络接口层、网络层、传输层、应用层。TCP/IP协议并不完全符合OSI的七层参考模型，OSI（OpenSystemInterconnect）是传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型，其中每一层执行某一特定任务

27、。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是：物理层、数据链路层（网络接口层）、网络层（网络层）、传输层（传输层）、会话层、表示层和应用层（应用层）。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。由于ARPANET的设计者注重的是网络互联，允许通信子网（网络接口层）采用已有的或是将来有的各种协议，所以这个层次中没有提供专门的协议。实际上，TCP/IP协议可以通过网络接口层连接到任何网络上，例如X.25交换网或IEEE802局域网。注意TCP本身不具有数据传输中噪音导致的错误检测功能,但是有实现超时的错误重传功能;网络接口层物理层是

28、定义物理介质的各种特性：1、机械特性；2、电子特性；3、功能特性；4、规程特性。数据链路层是负责接收IP数据包并通过网络发送，或者从网络上接收物理帧，抽出IP数据包，交给IP层。ARP是正向地址解析协议，通过已知的IP，寻找对应主机的MAC地址。RARP是反向地址解析协议，通过MAC地址确定IP地址。比如无盘工作站还有DHCP服务。常见的接口层协议有：Ethernet802.3、TokenRing802.5、X.25、Framerelay、HDLC、PPPATM等。网络层负责相邻计算机之间的通信。其功能包括三方面。1.处理来自传输层的分组发送请求，收到请求后，将分组装入IP数据报，填充报头，选

29、择去往信宿机的路径，然后将数据报发往适当的网络接口。2.处理输入数据报：首先检查其合法性，然后进行寻径-假如该数据报已到达信宿机，则去掉报头，将剩下部分交给适当的传输协议；假如该数据报尚未到达信宿，则转发该数据报。3.处理路径、流控、拥塞等问题。网络层包括：IP(InternetProtocol）协议、ICMP(InternetControlMessageProtocol)控制报文协议、ARP(AddressResolutionProtocol）地址转换协议、RARP(ReverseARP)反向地址转换协议。IP是网络层的核心，通过路由选择将下一条IP封装后交给接口层。IP数据报是无连接服务。

30、ICMP是网络层的补充，可以回送报文。用来检测网络是否通畅。Ping命令就是发送ICMP的echo包，通过回送的echorelay进行网络测试传输层提供应用程序间的通信。其功能包括：一、格式化信息流；二、提供可靠传输。为实现后者，传输层协议规定接收端必须发回确认，并且假如分组丢失，必须重新发送，即耳熟能详的“三次握手”过程，从而提供可靠的数据传输。传输层协议主要是：传输控制协议TCP(TransmissionControlProtocol）和用户数据报协议UDP(UserDatagramprotocol）。应用层向用户提供一组常用的应用程序，比如电子邮件、文件传输访问、远程登录等。远程登录TE

31、LNET使用TELNET协议提供在网络其它主机上注册的接口。TELNET会话提供了基于字符的虚拟终端。文件传输访问FTP使用FTP协议来提供网络内机器间的文件拷贝功能。应用层协议主要包括如下几个：FTP、TELNET、DNS、SMTP、NFS、HTTP。FTP(FileTransferProtocol）是文件传输协议，一般上传下载用FTP服务，数据端口是20H，控制端口是21H。Telnet服务是用户远程登录服务，使用23H端口，使用明码传送，保密性差、简单方便。DNS(DomainNameService）是域名解析服务，提供域名到IP地址之间的转换，使用端口53。SMTP(SimpleMai

32、lTransferProtocol）是简单邮件传输协议，用来控制信件的发送、中转，使用端口25。NFS（NetworkFileSystem）是网络文件系统，用于网络中不同主机间的文件共享。HTTP(HypertextTransferProtocol）是超文本传输协议，用于实现互联网中的WWW服务，使用端口80。TCP/IP协议的优缺点：主要优点（1）TCP/IP协议不依赖于任何特定的计算机硬件或操作系统，提供开放的协议标准，即使不考虑Internet，TCP/IP协议也获得了广泛的支持。所以TCP/IP协议成为一种联合各种硬件和软件的实用系统。（2）TCP/IP协议并不依赖于特定的网络传输硬件

33、，所以TCP/IP协议能够集成各种各样的网络。用户能够使用以太网（Ethernet）、令牌环网（TokenRingNetwork）、拨号线路（Dial-upline）、X.25网以及所有的网络传输硬件。（3）统一的网络地址分配方案，使得整个TCP/IP设备在网中都具有惟一的地址（4）标准化的高层协议，可以提供多种可靠的用户服务。主要缺点第一，它在服务、接口与协议的区别上就不是很清楚。一个好的软件工程应该将功能与实现方法区分开来，TCP/IP恰恰没有很好地做到这点，就使得TCP/IP参考模型对于使用新的技术的指导意义是不够的。TCP/IP参考模型不适合于其他非TCP/IP协议簇。第二，主机-网络

34、层本身并不是实际的一层，它定义了网络层与数据链路层的接口。物理层与数据链路层的划分是必要和合理的，一个好的参考模型应该将它们区分开，而TCP/IP参考模型却没有做到这点。Telnet、SMTP、HTTP、FTP、DNS等TCP、UDP、IP、ARP、ICMPEthernet 应用层 传输层 网络层网络接口层1.2.2 网络拓扑与物理连接在实施和维护网络时，必须使用相应网络的拓扑来展开工作如本书图1-6.使用的就是星型网络拓扑。此外还有多种相应的拓扑结构如下图所示。话虽如此，我们最常见的基本网络就好比家用宽带，一台台式机或者笔记本，通过猫调试，配置路由，来达到访问Internet中的游戏、QQ、

35、HTTP的一大堆数据。1.网络拓扑结构：网络拓扑是指网络形状，或者是它在物理上的连通性。网络的拓扑结构主要有：星型拓扑、总线拓扑、环型拓扑、树型拓扑、混合拓扑及网型拓扑。2.传输媒体：传输媒体是通信网络中发送方和接收方之间的物理通路，计算机网络中采用的传输媒体分有线和无线两大类。（1）有线传输媒体：同轴电缆有线电视、视频线电信办理光纤宽带账号工作人员施工光纤盒（分光器）安装人员布线，拉线到终端设备（路由器，光猫）联网常用分光器示意图串口：可以接打印机、扫描仪、游戏手柄、通过专业串口线还可以访问专用设备如交换机路由器。CONSOLE线CONSOLE接口是用来配置交换机的，所以只有网管型交换机才有

36、。而且还要注意，并不是所有网管型交换机都有，那是因为交换机的配置方法有多种，如通过Telnet命令行方式、Web方式、TFTP方式等。注：无论交换机采用DB-9或DB-25串行接口，还是采用RJ-45接口，都需要通过专门的Console线连接至配置方计算机的串行口。串行线串行线，即两端均为串行接口(两端均为母头)，两端可以分别插入至计算机的串口和交换机的Console端口;RJ-45两端均为RJ-45接头(RJ-45toRJ-45)的扁平线。由于扁平线两端均为RJ-45接口，无法直接与计算机串口进行连接。因此，还必须同时使用一个RJ-45toDB-9(或RJ-45toDB-25)的适配器。通常

37、情况下，在交换机的包装箱中都会随机赠送这么一条Console线和相应的DB-9或DB-25适配器。超级终端就必须要用到CONSlOE线，它的配置图如下一般采用CSMD/CD(带冲突检测的载波监听多路访问技术)来防止冲突域（2）无线传输媒体：（a）微波通信：载波频率为2GHZ40GHZ,频率高，可同时传送大量信息；由于微波是沿直线传播的，故在地面的传播距离有限。（b）卫星通信：是利用地球同步卫星作为中继来转发微波信号的一种特殊微波通信形式。卫星通信可以克服地面微波通信距离的限制，三个同步卫星可以覆盖地球上全部通信区域。（c）红外通信和激光通信：和微波通信一样，有很强的方向性，都是沿直线传播的。但

38、红外通信和激光通信要把传输的信号分别转换为红外光信号和激光信号后才能直接在空间沿直线传播。3 网络管理协议：目前较为流行的两种网络管理协议为：SNMP（简单网络管理协议）和CMIP（通用管理协议）。SNMP由一整套简单的网络通讯规范组成，可以完成所有基本的网络管理任务，对网络资源的需求量少；CMIP是一种设计非常全面的网络管理系统，改进了SNMP存在的诸多不足。但是，正是因为CMIP修正了SNMP的错误，使得自身变得大而全，对网络基础性能提出了相当严格的要求。4交换机和集线器集线器（HUB）可以看成是一种多端口的中继器，是共享带宽式的，其带宽由它的端口平均分配，如总带宽为10Mb/s的集线器，

39、连接4台工作站同时上网时，每台工作站平均带宽仅为10/4=2.5Mb/s。交换机又叫交换式集线器，每一端口都有其专用的带宽，如10Mb/s的交换式集线器，每个端口都有10Mb/s的带宽。交换机和集线器都遵循IEEE802.3或IEEE802.3u，其介质访问方式均为CSMA/CD。它们之间的区别为：集线器为共享方式，即同一网段的机器共享固有的带宽，传输通过碰撞检测进行，同一网段计算机越多，传输碰撞也越多，传输速率会变慢；交换机每个端口为固定带宽，有独特的传输方式，传输速率不受计算机增加影响，其独特的NWAY、全双工功能增加了交换机的使用范围和传输速度。简单的来说，四台电脑连接集线器，如果有10

40、0M的带宽，每台电脑就只能分到100/4M的带宽也就是25M的带宽。而交换机就可以达到每人100M的带宽，一个是均分一个是同用。5路由器路由器是网络中进行网间连接的关键设备。作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP的国际互连网络Internet的主体脉络。它的处理速度是网络通信的主要瓶颈之一，它的可靠性则直接影响着网络互连的质量。因此，在园区网、地区网、乃至整个Internet研究领域中，路由器技术始终处于核心地位。路由器之所以在互连网络中处于关键地位，是因为它处于网络层，一方面能够跨越不同的物理网络类型（DDN、FDDI、以太网等等），另一方面在逻辑上将整个互连网络分

41、割成逻辑上独立的网络单位，使网络具有一定的逻辑结构。路由器的基本功能是把数据（IP包）传送到正确的网络，具体包括：IP数据包的转发，包括数据包的寻径和传送；子网隔离，抑制广播风暴；维护路由表，并与其它路由器交换路由信息，这是IP包转发的基础；IP数据包的差错处理及简单的拥塞控制实现对IP数据包的过滤和记忆等功能。1.2.3 设备的管理方式设备的管理方式远程管理：远程管理是指通过远程管理协议对设备发起管理访问，最常用的协议是Telnet协议。由于Telnet的安全性没有SSH高，我们通常都用SSH来实现，后期会说。本地管理：管理员能直接的在物理上接触到网络设备如手动使用Consloe线连接笔记本

42、电脑或者台式电脑到交换机上来进行管理。注：如今大多数用户都已是光纤接入用户，越来越多的用户都开始使用智能路由器，本地管理宽带要比以前管理简单便捷的多，在网上多学习路由的管理还能避免自己家里宽带连接的问题，从而节省了等待其他电信通信维护员的上门维修等待时间。一、基础知识与物理安全一、基础知识与物理安全1.3 物理安全建议家用网络的安全建议：无论是非屏蔽双绞线或者是屏蔽双绞线和光纤线都应该保护好，不能让其他人谁随便的盗窃或者破坏，路由或者分光器等设备也不能让人强行的破坏拆散。机房网络的安全建议：应对设备所在的机房安装指纹认证系统，如果不具备安装指纹系统的条件至少选择安装门禁卡，还需加强对管理员的安

43、全意识的培养。*简要提及如何维护网络安全1基础设施管理（1）确保网络通信传输畅通；（2）掌控主干设备的配置情况及配置参数变更情况，备份各个设备的配置文档；（3）对运行关键业务网络的主干设备配备相应的备份设备，并配置为热后备设备；（4）负责网络布线配线架的管理，确保配线的合理有序；（5）掌控用户端设备接入网络的情况，以便发现问题时可迅速定位；（6）采取技术措施，对网络内经常出现的用户需要变更位置和部门的情况进行管；（7）掌控和外部网络的连接配置，监督网络通信状况，发现问题后和有关机构及时联系；（8）实时监控整个局域网的运转和网络通信流量情况；（9）定制、发布网络基础设施使用管理办法并监督执行情况

44、。2操作系统管理（1）在网络操作系统配置完成并投入正常运行后，为了确保网络操作系统工作正常，网络管理员首先应该能够熟练的利用系统提供的各种管理工具软件，实时监督系统的运转情况，及时发现故障征兆并进行处理。（2）在网络运行过程中，网络管理员应随时掌控网络系统配置情况及配置参数变更情况，对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展需要和用户需求，动态调整系统配置参数，优化系统性能。（3）网络管理员应为关键的网络操作系统服务器建立热备份系统，做好防灾准备。3应用系统管理（1）确保各种网络应用服务运行的不间断性和工作性能的良好性，出现故障时应将故障造成的损失和影响控制在最小范围

45、内。（2）对于需要不可中断的关键型网络应用系统，除了在软件手段上要掌控、备份系统参数和定期备份系统业务数据外，必要时在硬件手段上还要建立和配置系统的热备份。（3）对于用户访问频率高、系统负荷的网络应用服务，必要时网络管理员还应该采取分担的技术措施。4用户服务和管理（1）用户的开户和撤销；（2）用户组的配置和管理；（3）用户可用服务和资源的的权限管理和配额管理；（4）用户计费管理；（5）包括用户桌面连网电脑的技术支持服务和用户技术培训服务的用户端支持服务。5安全保密管理（1）安全和保密是个问题的两个方面，安全主要指防止外部对网络的攻击和入侵，保密主要指防止网络内部信息的泄漏。（2）对于普通级别的

46、网络，网络管理员的任务主要是配置管理好系统防火墙。为了能够及时发现和阻止网络黑客的攻击，能够加配入侵检测系统对关键服务提供安全保护。（3）对于安全保密级别需要高的网络，网络管理员除了应该采取上述措施外，还应该配备网络安全漏洞扫描系统，并对关键的网络服务器采取容灾的技术手段。（4）更严格的涉密电脑网络，还需要在物理上和外部公共电脑网络绝对隔离，对安置涉密网络电脑和网络主干设备的房间要采取安全措施，管理和控制人员的进出，对涉密网络用户的工作情况要进行全面的管理和监控。6信息存储备份管理（1）采取一切可能的技术手段和管理措施，保护网络中的信息安全。（2）对于实时工作级别需要不高的系统和数据，最低限度

47、网络管理员也应该进行定期手工操作备份。（3）对于关键业务服务系统和实时性需要高的数据和信息，网络管理员应该建立存储备份系统，进行集中式的备份管理。（4）最后将备份数据随时保存在安全地点更是很重要。7机房管理（1）掌控机房数据通信电缆布线情况，在增减设备时确保布线合理，管理维护方便；（2）掌管机房设备供电线路安排，在增减设备时注意负载的合理配置；（3）管理网络机房的温度、湿度和通风状况，提供适合的工作环境；（4）确保网络机房内各种设备的正常运转；（5）确保网络机房符合防火安全需要，火警监测系统工作正常，灭火措施有效；（6）采取措施，在外部供电意外中断和恢复时，实现在无人值守情况下确保网络设备安全

48、运行；（7）保持机房整洁有序，按时记录网络机房运行日志，定制网络机房管理制度并监督执行。企业：1、外网要有必要的防护设备（防火墙、网络版杀毒软件、入侵防御系统、vpn等）2、内网要及时安装安全更新补丁3、对重要服务器或终端进行必要的优化（关闭无用的端口和服务）4、补丁是对内、外网进行安全扫描。个人：1、最关键的是及时安装更新补丁，2、应用可及时升级的杀毒软件（含防火墙和web监控），3、对系统进行必要的优化。附：IP编址IP地址是一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节）。IP地址通常用“点分十进制”表示成（）的形式，其中，a,b,c,d都是0255之间的十进制整

49、数。例：点分十进IP地址（）怎样了解主机处于不同网段？如何区分IP地址、网段、和网关IP地址就像一个人的身份证，（电话号码，门牌号），你想去找另外一个人，意思就是去和别人通讯，那么就需要知道她的电话，或者身份证，你知道了后，去找他，但是网络那么大，路改怎么走呢？谁又知道你要找的人住在哪里？这样，你就需要去问别人了，就是去问网关，网关的IP地址，也就是别人说的路由器，你去找路由器，然后路由器再去找另外一个路由器，反正总有一个路由器知道路。最后你就找到了。再说掩码，如果你的IP是，掩码是那么你的广播地址就是255.255.255.255.当你要找一个在地址内的电脑时，是不用找路由器的，是直接发广播

50、，就是只要在同一个网段内的电脑都会知道你在找人，如果是你找的那个人，他就会回答你，如果不是，就不会回答，当然有冒充的，这个就涉及到攻击什么的。网络中常见的命令：ping 命令，用来测试网络的连通性，比如当你的电脑与某个ip通讯时，有时会链接失败，可以用ping测试这个地址端口及设备的好坏，如你的路由器的端口地址（网关）是，那么，如图，如果没有丢包证明端口及设备没有问题。常用命令之一：ipconfig/allnslookup用来解析域名的ip地址，如你想知道某个网站的ip地址，nslookup+回车，在输入网址netstat用于查看各种所连接的ip地址的服务端口的的状态，如netstat-n，即