《計算機網(wǎng)絡簡介》教學課件

1、大學計算機基礎第4章 計算機網(wǎng)絡基礎第1頁，共74頁。本章主要介紹計算機網(wǎng)絡的概念、組成和主要功能以及計算機網(wǎng)絡的分類，局域網(wǎng)、網(wǎng)絡安全知識以及信息檢索。第2頁，共74頁。目錄4.1 計算機網(wǎng)絡概述4.2 局域網(wǎng)知識4.3 接入 Internet4.4 網(wǎng)絡安全4.5 信息檢索第3頁，共74頁。4.1 計算機網(wǎng)絡概述4.1.1計算機網(wǎng)絡的定義4.1.2計算機網(wǎng)絡的功能4.1.3計算機網(wǎng)絡的分類第4頁，共74頁。4.1.1計算機網(wǎng)絡的定義計算機網(wǎng)絡是計算機技術(shù)與通信技術(shù)相結(jié)合的產(chǎn)物。它是將若干臺具有獨立功能的計算機通過通信設備和通信介質(zhì)相互連接起來，并在網(wǎng)絡軟件的管理下實現(xiàn)資源共享的系統(tǒng)?？梢姡?/p>

2、計算機網(wǎng)絡的基本構(gòu)成元素包括：計算機（也稱為主機）、通信設備、通信介質(zhì)和網(wǎng)絡軟件。 第5頁，共74頁。4.1.2計算機網(wǎng)絡的功能計算機網(wǎng)絡有很多用處，其中最重要的三個功能是：資源共享：用戶可以共享網(wǎng)絡中的軟件和硬件資源。數(shù)據(jù)通信：網(wǎng)絡中的計算機之間可以相互傳輸數(shù)據(jù)。提高系統(tǒng)的可靠性：當網(wǎng)絡中的一臺計算機出現(xiàn)故障時，可以由網(wǎng)絡中其它的計算機代替它完成相應的任務。可進行分布式處理：網(wǎng)絡中的計算機可以共同協(xié)作完成復雜的數(shù)據(jù)處理，從而提高了整個系統(tǒng)得處理能力。第6頁，共74頁。4.1.3計算機網(wǎng)絡的分類1按網(wǎng)絡覆蓋的地理范圍來進行分類（1）局域網(wǎng)LAN（Local Area Network）（2）城域

3、網(wǎng)MAN（Metropolitan Area Network）（3）廣域網(wǎng)WAN（Wide Area Network）第7頁，共74頁。2按網(wǎng)絡的拓撲結(jié)構(gòu)分類以太網(wǎng)是采用CSMA/CD（帶有沖突檢測的載波偵聽多路訪問）介質(zhì)訪問控制方式的計算機網(wǎng)絡。是目前使用最廣的局域網(wǎng)。令牌環(huán)網(wǎng) 令牌環(huán)網(wǎng)中的所有計算機連接成一個環(huán)，并通過環(huán)中傳遞一個令牌來控制數(shù)據(jù)的發(fā)送。只有獲得令牌的計算機才有權(quán)發(fā)送數(shù)據(jù)，發(fā)送之后將令牌傳遞給環(huán)中其它的計算機。令牌總線網(wǎng) 令牌總線網(wǎng)就是將物理上的總線網(wǎng)看作是邏輯上的令牌環(huán)網(wǎng)。 第8頁，共74頁。3按信息共享方式分對等網(wǎng)絡（Peer-to-Peer）在對等網(wǎng)絡中沒有專門的服務器

4、，每臺計算機既是服務器，也是客戶機。任意一臺計算機都可以共享網(wǎng)絡中其它計算機上的共享資源。客戶機/服務器網(wǎng)絡（Client/Server） 在客戶機/服務器網(wǎng)絡中，有一或多臺服務器作為網(wǎng)絡的控制中心，并向網(wǎng)絡中其它的計算機（即客戶機）提供共享資源。而客戶機不提供共享資源。 第9頁，共74頁。4.2 局域網(wǎng)知識4.2.1局域網(wǎng)的組成4.2.2 構(gòu)建雙機互連局域網(wǎng)4.2.3 構(gòu)建小型局域網(wǎng)4.2.4 構(gòu)建無線局域網(wǎng)第10頁，共74頁。4.2.1局域網(wǎng)的組成局域網(wǎng)一般由如下元素構(gòu)成：計算機（也稱為主機）：包括服務器和客戶機（工作站）。網(wǎng)絡設備：包括網(wǎng)卡、集線器、交換機、路由器等。網(wǎng)絡介質(zhì)：包括有線介

5、質(zhì)和無線介質(zhì)。網(wǎng)絡軟件：包括網(wǎng)絡操作系統(tǒng)、網(wǎng)絡客戶端軟件等。第11頁，共74頁。局域網(wǎng)一般由服務器、工作站、傳輸介質(zhì)、連接設備和網(wǎng)絡操作系統(tǒng)等幾部分組成。第12頁，共74頁。（1）網(wǎng)絡服務器網(wǎng)絡服務器（Server）是局域網(wǎng)的核心，一般是由一臺高檔的微機或?qū)Ｓ梅掌鱽頁?。局域網(wǎng)中至少應有一臺服務器，也可配置多臺服務器。戴爾PowerEdge 2950 MLK 第13頁，共74頁。（2）工作站工作站（Work Station）是連接到網(wǎng)上的一臺個人計算機（PC），每個工作站仍保持個人計算機原有功能，它既能作為獨立的個人計算機使用，同時也能通過網(wǎng)卡上網(wǎng)作為網(wǎng)上的用戶工作站，來訪問服務器，共享網(wǎng)絡

6、資源。在客戶/服務器體系中工作站作為客戶（Client）出現(xiàn)在網(wǎng)絡中。第14頁，共74頁。（3）傳輸介質(zhì)連接網(wǎng)絡首先要用的東西就是傳輸介質(zhì)，它是所有網(wǎng)絡的最小要求。常見的傳輸介質(zhì)有四種基本類型：同軸電纜、雙絞線、光纖和無線電波。每種類型都滿足了一定的網(wǎng)絡需要，都解決了一定的網(wǎng)絡問題。第15頁，共74頁。（4）網(wǎng)絡操作系統(tǒng)網(wǎng)絡操作系統(tǒng)（NOS）是用戶與計算機之間的接口，局域網(wǎng)操作系統(tǒng)的種類很多，例如Windows、Linux和UNIX等都是網(wǎng)絡操作系統(tǒng)。第16頁，共74頁。4.2.2 構(gòu)建雙機互連局域網(wǎng)1網(wǎng)卡的安裝 目前的絕大多數(shù)局域網(wǎng)均采用以太網(wǎng)技術(shù)，故所用網(wǎng)卡屬于以太網(wǎng)卡。RJ-45接口網(wǎng)卡

7、是目前最常見的網(wǎng)卡，適用于以雙絞線作為傳輸介質(zhì)的局域網(wǎng)。 第17頁，共74頁。2雙絞線的制作 局域網(wǎng)中一般使用5類非屏蔽雙絞線作為傳輸介質(zhì)，由4對線對構(gòu)成。8條線芯的顏色依次是橙、橙白、藍、藍白、綠、綠白、棕、棕白。雙絞線的兩端需要各連接一個RJ-45接頭（也叫水晶頭）第18頁，共74頁。雙絞線與RJ-45接頭相連接時，必須按照一定的線序排列。通常采用T568A和T568B兩個接線標準排列。T568A的線序是：綠白、綠、橙白、藍、藍白、橙、棕白、棕。T568B的線序是：橙、白橙、綠白、藍、藍白、綠、棕白、棕。第19頁，共74頁。按照雙絞線兩端所連接的設備不同，雙絞線可分為交叉網(wǎng)線和直通網(wǎng)線兩種

8、接法。交叉網(wǎng)線接法所謂交叉網(wǎng)線，就是雙絞線的一端按T568A標準接線，而另一端則按T568B標準接線。在這種接法中，一端的發(fā)送引腳與另一端的接收引腳相連。因此，交叉網(wǎng)線連接適用于網(wǎng)卡到網(wǎng)卡、交換機到交換機等同類設備的連接。直通網(wǎng)線接法所謂直通網(wǎng)線，就是雙絞線的兩端均按T568B（或T568A）標準接線。因為在交換機等網(wǎng)絡設備內(nèi)部，已經(jīng)做好了發(fā)送線與接收線的交叉，故直通網(wǎng)線適用于網(wǎng)卡到集線器、網(wǎng)卡到交換機等異類設備的連接。 第20頁，共74頁。3TCP/IP協(xié)議的配置網(wǎng)絡協(xié)議的概念 常用的協(xié)議分層模型有國際標準化組織推薦的OSI參考模型和Internet上使用的TCP/IP參考模型兩種。前者將網(wǎng)

9、絡協(xié)議分為應用層、表示層、會話層、傳輸層、網(wǎng)絡層、數(shù)據(jù)鏈路層和物理層等七層，后者將網(wǎng)絡協(xié)議分為應用層、傳輸層、網(wǎng)絡層、數(shù)據(jù)鏈路層和物理層等五層。 第21頁，共74頁。IP地址IP地址的概念IP地址可以分為網(wǎng)絡地址與主機地址兩部分。目前的IP地址是IPV4版本，它是由32位二進制數(shù)組成的。為了便于使用，通常將32位IP地址的每個字節(jié)轉(zhuǎn)化為一個十進制數(shù)，稱為點分十進制格式。例如8 第22頁，共74頁。IP地址的分類為了滿足不同規(guī)模網(wǎng)絡的需求，將IP地址劃分為A到E五類。A類地址的最高位固定為0，網(wǎng)絡地址占7位，主機地址占24位。B類地址的最高兩位固定為10，網(wǎng)絡地址占14位，主機地址占16位。C類

10、地址的最高三位固定為110，網(wǎng)絡地址占21位，主機地址占8位。D類地址的最高四位固定為1110。D類地址用于多目的地址廣播等特殊用途。E類地址的最高五位固定為11110。E類地址暫時保留，以備將來使用。 第23頁，共74頁。第24頁，共74頁。子網(wǎng)掩碼 為了充分利用日益緊缺的IP地址資源，允許將一個A、B、C類網(wǎng)絡劃分為幾個更小的子網(wǎng)。子網(wǎng)的劃分，是通過子網(wǎng)掩碼來實現(xiàn)的。子網(wǎng)掩碼是一個高位部分全為1、低位部分全為0的32二進制數(shù)。如1111 1111 1111 1111 1111 1111 1111 0000。子網(wǎng)的規(guī)模由子網(wǎng)掩碼中0的位數(shù)來確定，而子網(wǎng)的數(shù)目則由該類網(wǎng)絡的主機地址位數(shù)與子網(wǎng)掩

11、碼中0的位數(shù)的差來確定。例如，若某C類網(wǎng)絡的子網(wǎng)掩碼為1111 1111 1111 1111 1111 1111 1110 0000，則該C類網(wǎng)絡被劃分為23-2個有效子網(wǎng)，每個子網(wǎng)最多允許有25-2臺主機。第25頁，共74頁。3TCP/IP協(xié)議的配置（參照課本）第26頁，共74頁。4.2.3 構(gòu)建小型局域網(wǎng)1集線器最簡單的局域網(wǎng)互聯(lián)設備是集線器。集線器（Hub）又稱為集中器，是工作在OSI模型中的物理層設備。集線器的主要功能是對接收到的信號進行整形、放大，以擴大網(wǎng)絡傳輸距離。 第27頁，共74頁。2集線器的選型在組建小型局域網(wǎng)時，應根據(jù)網(wǎng)絡構(gòu)成情況，選擇合適的集線器。根據(jù)局域網(wǎng)中計算機的數(shù)量

12、，確定集線器的端口數(shù)目。常見的集線器有8口、16口和24口等。如果局域網(wǎng)中的計算機數(shù)量較多，超過了一臺集線器的端口數(shù)目時，則可以采用集線器級聯(lián)、堆疊式集線器等方式對端口數(shù)目進行擴展。根據(jù)局域網(wǎng)的帶寬選擇適當數(shù)據(jù)傳輸速率的集線器。常見的集線器有10Mbit/s集線器、100Mbit/s集線器、10Mbit/s/100Mbit/s自適應集線器等。第28頁，共74頁。3小型局域網(wǎng)的組建首先為局域網(wǎng)中的每臺計算機安裝網(wǎng)卡，并安裝網(wǎng)卡驅(qū)動程序。用直通雙絞線將每臺計算機與集線器相連接。參照上一節(jié)中的方法，為每臺計算機安裝TCP/IP協(xié)議，并配置參數(shù)。用ping命令測試網(wǎng)絡的連通性。 第29頁，共74頁。4

13、交換機交換機也是用于多機互連的網(wǎng)絡連接設備。其外觀和用法與集線器差不多，但其工作原理則與集線器有很大不同。交換機采用交換方式在端口之間傳送數(shù)據(jù)。第30頁，共74頁。4交換機交換機是目前構(gòu)建網(wǎng)絡的非常重要的設備，是一個多端口的設備，實現(xiàn)端口先存儲、后定向轉(zhuǎn)發(fā)功能的數(shù)據(jù)轉(zhuǎn)發(fā)設備。從物理上看，它與集線器類似。交換機與集線器的主要區(qū)別在于前者的并行性。集線器是在共享帶寬的方式下工作的，多臺計算機通過集線器的各個端口連接到集線器上時，它們只能共享一個信道的帶寬，即單臺計算機通過局域網(wǎng)段發(fā)送數(shù)據(jù)的速率；而交換機是模擬網(wǎng)橋方式連接各個網(wǎng)絡，交換機每個端口連接一臺計算機，都相當于一個網(wǎng)段。交換機和網(wǎng)橋相比，性

14、能更好，具有更高的端口密度，轉(zhuǎn)發(fā)的傳輸延時要小得多。由于交換機的性能比集線器要好得多，而且價格與集線器也相差無幾，目前在局域網(wǎng)中應用越來越廣泛。第31頁，共74頁。4.2.4 構(gòu)建無線局域網(wǎng) 無線局域網(wǎng)（Wireless Local Area Networke,WLAN）是計算機網(wǎng)絡技術(shù)與無線通信技術(shù)相結(jié)合的產(chǎn)物。相對于有線局域網(wǎng)而言，無線局域網(wǎng)具有便于組建、接入靈活的特點。無線局域網(wǎng)的連接設備包括無線網(wǎng)卡、無線訪問節(jié)點AP、無線路由器等。 第32頁，共74頁。1組建Ad-Hoc模式局域網(wǎng) （具體步驟參照課本）第33頁，共74頁。2組建Infrastruture模式無線局域網(wǎng) （具體步驟參照課

15、本）第34頁，共74頁。4.3 接入 InternetInternet是信息的海洋，要想使用Internet提供的豐富多彩的信息服務，首先必須將計算機接入到Internet中。目前接入Internet的常用方式包括ADSL方式、局域網(wǎng)方式等。第35頁，共74頁。4.3.1 通過ADSL接入Internet （具體步驟參照課本）第36頁，共74頁。4.3.2 通過局域網(wǎng)接入Internet1路由器簡介路由器是用于實現(xiàn)網(wǎng)絡互聯(lián)的網(wǎng)絡連接設備。例如，要將校園網(wǎng)內(nèi)部的多個局域網(wǎng)相互連接起來，所使用的網(wǎng)絡連接設備就是路由器（也可以使用具有路由功能的第三層交換機），將整個校園網(wǎng)接入到Internet所使用

16、的網(wǎng)絡連接設備也是路由器。 第37頁，共74頁。2寬帶路由器寬帶路由器是近幾年興起的一種新型路由器，其設計特點是：支持的接口種類和相關(guān)協(xié)議較少，適用于內(nèi)、外網(wǎng)均是以太網(wǎng)的接入環(huán)境；另一方面，寬帶路由器的CPU性能、RAM容量、嵌入式程序等均具有較高的性能指標。從而使得寬帶路由器具有較高的NAT（用于將局域網(wǎng)中的內(nèi)部地址轉(zhuǎn)換為Internet全局地址）轉(zhuǎn)換速度。第38頁，共74頁。第39頁，共74頁。3寬帶路由器連接步驟通過SOHO寬帶路由器接入Internet的設備包括：SOHO無線寬帶路由器1臺、計算機若干臺、網(wǎng)卡若干、直通網(wǎng)線若干條、上網(wǎng)線路一條。具體安裝步驟如下：將計算機通過直通網(wǎng)線與寬

17、帶路由器RJ-45接口相連接。將無線寬帶路由器的WAN口與上網(wǎng)線路相連接。 第40頁，共74頁。4配置SOHO無線寬帶路由器下面以D-Link公司的DI-624型SOHO無線寬帶路由器為例來說明。（具體步驟參照課本）第41頁，共74頁。1通過電話撥號接入Internet撥號接入是個人用戶接入Internet最早使用的方式之一。它的接入非常簡單。用戶只要具備一條能打通ISP（Internet服務供應商）特服電話（比如169，263等等）的電話線，一臺計算機，一臺接入的專用設備調(diào)制解調(diào)器（MODEM），并且辦理了必要的手續(xù)后，就可以輕輕松松上網(wǎng)了。電話撥號方式致命的缺點在于它的接入速度慢。由于線路

18、的限制，它的最高接入速度只能達到56kbps。第42頁，共74頁。Internet的接入方式2通過ADSL專線入網(wǎng)國內(nèi)目前最主流寬帶接入方式是非對稱數(shù)字用戶線ADSL（Asymmetric Digital Subscriber Line）。ADSL其實是數(shù)字用戶線DSL的一種。數(shù)字用戶線DSL是一種不斷發(fā)展的高速上網(wǎng)寬帶接入技術(shù)，該技術(shù)采用較先進的數(shù)字編碼技術(shù)和調(diào)制解調(diào)技術(shù)在常規(guī)的電話線上傳送寬帶信號。ADSL能在現(xiàn)有的雙絞線電話線上支持上行速率640Kbps到1Mbps，下行速率1Mbps到8Mbps，有效傳輸距離在3至5公里范圍以內(nèi)。ADSL接入Internet有虛擬撥號和專線接入兩種方式

19、。采用虛擬撥號方式的用戶采用類似Momden的撥號程序。采用專線接入的用戶只要開機即可接入Internet。 第43頁，共74頁。Internet的接入方式3局域網(wǎng)接入局域網(wǎng)接入方式一般可以采用電話撥號接入、網(wǎng)絡地址轉(zhuǎn)換NAT或代理服務器技術(shù)讓網(wǎng)絡中的用戶訪問因特網(wǎng)。 目前，由于高速以太網(wǎng)已經(jīng)成功的將速率提升到1Gbps和10Gbps，并且由于光纖傳輸，其所覆蓋的地理范圍也在逐步擴展，因此人們開始使用高速以太網(wǎng)進行寬帶接入。它將光纖直接接入小區(qū)和大樓的中心機房，然后通過雙絞線與各用戶的終端相連，為廣大用戶提供高速上網(wǎng)和其他寬帶數(shù)據(jù)服務。采用以太網(wǎng)接入方式可以實現(xiàn)千兆甚至萬兆帶寬到小區(qū)、百兆帶寬

20、到用戶桌面。 第44頁，共74頁。4.3.2 Internet的接入方式4無線接入 使用無線局域網(wǎng)（WLAN）的方式，網(wǎng)絡協(xié)議為IEEE802.11a、802.11b、802.11g等直接使用手機卡，通過移動通訊來上網(wǎng)。無線接入使用無線電波將移動端系統(tǒng)（筆記本、PDA、手機等）和ISP的基站（BaseStation）連接起來，基站又通過有線方式或衛(wèi)星通信連入Internet。第45頁，共74頁。4.4計算機網(wǎng)絡安全 4.4.1 計算機網(wǎng)絡安全概述 4.4.2計算機病毒 4.4.3網(wǎng)絡攻擊技術(shù)4.4.4 網(wǎng)絡安全防范措施4.4.5 電子簽名4.4.6“云安全”概念4.4.7 預防黑客入侵的安全策

21、略第46頁，共74頁。4.4.1 計算機網(wǎng)絡安全概述安全在字典中的定義是為防范間諜活動或蓄意破壞、犯罪、攻擊而采取的措施，將安全的一般含義限定在計算機網(wǎng)絡范疇，網(wǎng)絡安全就是為防范計算機網(wǎng)絡硬件、軟件、數(shù)據(jù)偶然或蓄意被破環(huán)、篡改、竊聽、假冒、泄露、非法訪問和保護網(wǎng)絡系統(tǒng)持續(xù)有效工作的措施總和。計算機網(wǎng)絡系統(tǒng)的安全包括了物理層、網(wǎng)絡層、系統(tǒng)層、應用層以及管理層等多個方面。第47頁，共74頁。4.4.2計算機病毒1.計算機病毒的定義計算機病毒是指編制或者在計算機程序中插入的破壞計算機工程或數(shù)據(jù)，影響計算機使用并能夠自我復制的一組計算機指令或者程序代碼。第48頁，共74頁。2.常見的病毒(1)系統(tǒng)病毒

22、系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統(tǒng)的 *.exe 和 *.dll 文件，并通過這些文件進行傳播。如CIH病毒。 (2)蠕蟲病毒蠕蟲病毒的前綴是：Worm。這種病毒的共有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡的特性。比如“尼姆亞”病毒，“熊貓燒香”等。 第49頁，共74頁。(3)木馬病毒、黑客病毒木馬病毒的前綴是：Trojan，黑客病毒的前綴一般為 Hack 。木馬病毒的共有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一

23、個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現(xiàn)在這兩種類型都越來越趨向于整合了。 (4)腳本病毒腳本病毒的前綴是：Script。腳本病毒的共有特性是使用腳本語言編寫，通過網(wǎng)頁進行傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 (5)后門病毒后門病毒的前綴是：Backdoor。該類病毒的共有特性是通過網(wǎng)絡傳播，給系統(tǒng)開后門，給用戶電腦帶來安全

24、隱患。第50頁，共74頁。4.4.3網(wǎng)絡攻擊技術(shù)網(wǎng)絡攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務攻擊或信息炸彈。破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據(jù)為目的。 第51頁，共74頁。1.拒絕服務攻擊 拒絕服務又叫分布式D.O.S攻擊，它是使用超出被攻擊目標處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用資源、帶寬資源，最后致使網(wǎng)絡服務癱瘓的一種攻擊手段。第52頁，共74頁。作為攻擊者，首先需要通過常規(guī)的黑客手段侵入并控制某個網(wǎng)站，然后在服務器上安裝并啟動一個可由攻擊者發(fā)出的特殊指令來控制的進程，攻擊者把攻擊對象

25、的IP地址作為指令下達給進程的時候，這些進程就開始對目標主機發(fā)起攻擊。這種方式可以集中大量的網(wǎng)絡服務器帶寬，對某個特定目標實施攻擊，因而威力巨大，頃刻之間就可以使被攻擊目標帶寬資源耗盡，導致服務器癱瘓。比如1999年美國明尼蘇達大學遭到的黑客攻擊就屬于這種方式。第53頁，共74頁。2.密碼攻擊密碼攻擊也稱為口令攻擊。在設置操作系統(tǒng)的賬戶密碼時，一般會將其設置為空，或者自己姓名的拼音，或者是自己的生日、電話號碼等。這就給攻擊者提供了可乘之機，通過對用戶信息的分析，攻擊者很有可能猜測出密碼來。第54頁，共74頁。3.網(wǎng)絡監(jiān)聽 網(wǎng)絡監(jiān)聽是一種監(jiān)視網(wǎng)絡狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡上傳輸信息的管理工具，它可以將

26、網(wǎng)絡接口設置在監(jiān)聽模式，并且可以截獲網(wǎng)上傳輸?shù)男畔?。也就是說，當黑客登錄網(wǎng)絡主機并取得超級用戶權(quán)限后，若要登錄其他主機，使用網(wǎng)絡監(jiān)聽可以有效地截獲網(wǎng)上的數(shù)據(jù)，這是黑客使用最多的方法。但是，網(wǎng)絡監(jiān)聽只能應用于物理上連接于同一網(wǎng)段的主機，通常被用做獲取用戶口令。第55頁，共74頁。4.網(wǎng)絡釣魚網(wǎng)絡釣魚是通過垃圾郵件、即時聊天工具、手機短信或網(wǎng)頁虛假廣告發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性信息，意圖引誘用戶給出敏感信息（如用戶名、口令、帳號 ID、 ATM、PIN 碼或信用卡詳細信息）的一種攻擊方式。最典型的網(wǎng)絡釣魚攻擊將用戶引誘到一個通過精心設計與目標組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取用戶

27、在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。它是基于社會工程學的一種攻擊手段。網(wǎng)絡釣魚最早在中國出現(xiàn)是2004年，雖然并不是一種新的入侵方法，但是它的危害范圍卻在逐漸擴大，成為近年來最為嚴重的網(wǎng)絡安全威脅之一。第56頁，共74頁。4.4.4 網(wǎng)絡安全防范措施1.防火墻技術(shù)(1)防火墻的概念 “防火墻”是一個通用術(shù)語，是指在兩個網(wǎng)絡之間執(zhí)行控制策略的系統(tǒng)。所有內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過防火墻，在此進行檢查和連接，只有被授權(quán)的通信才能通過此阻塞點。防火墻使內(nèi)部網(wǎng)絡與外部網(wǎng)絡在定條件下隔離，從而防止非法入侵及非法使用系統(tǒng)資源。同時，防火墻還可以執(zhí)行安全管制措施，記錄所有可

28、疑的事件。可以說，防火墻為網(wǎng)絡安全起到了把關(guān)的作用。 第57頁，共74頁。（2）防火墻的基本特性內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻自身應具有非常強的抗攻擊免疫力 第58頁，共74頁。（3）防火墻的種類防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為二大類：包過濾、應用代理。 第59頁，共74頁。包過濾（Packet filtering）作用在網(wǎng)絡層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則被

29、從數(shù)據(jù)流中丟棄。 第60頁，共74頁。應用代理（Application Proxy）也叫應用網(wǎng)關(guān)（Application Gateway），它作用在應用層，其特點是完全阻隔了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。實際中的應用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。第61頁，共74頁。2.數(shù)據(jù)加密技術(shù)(1)數(shù)據(jù)加密的概念所謂數(shù)據(jù)加密（Data Encryption）技術(shù)是指將一個信息（或稱明文，plain text）經(jīng)過加密鑰匙（Encryption key）及加密函數(shù)轉(zhuǎn)換，變成無意義的密文（cipher text），而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙（De

30、cryption key）還原成明文。第62頁，共74頁。一個數(shù)據(jù)加密系統(tǒng)（如上圖）包括明文、加密算法、加密密鑰以及解密算法、解密密鑰和密文。密鑰是一個具有特定長度的數(shù)字串，密鑰的值是從大量的隨機數(shù)中選取的。加密過程包括兩個核心元素：加密算法和加密密鑰。明文通過加密算法和加密密鑰的共同作用，生成密文。相應的，解密過程也包括兩個核心元素：解密算法和解密密鑰。密文通過解密算法和解密密鑰的共同作用，被還原成為明文。 第63頁，共74頁。(2)兩種加密方法 加密技術(shù)按密碼體制通常分為兩大類:“對稱式”（也稱私鑰算法）和“非對稱式”（也稱公鑰算法）。 對稱式加密。對稱式加密就是加密和解密使用同一個密鑰，

31、通常稱之為“Session Key”。這種加密技術(shù)目前被廣泛采用，如美國政府所采用的DES加密標準就是一種典型的“對稱式”加密法，它的Session Key長度為56Bits。DES算法，數(shù)據(jù)加密標準，速度較快，適用于加密大量數(shù)據(jù)的場合非對稱式加密。非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個需要配對使用，否則不能打開加密文件。這里的公鑰是指可以對外公布的，私鑰則只有持有者自己知道。在網(wǎng)絡上，對稱式的加密方法很難公開密鑰，而非對稱式的公鑰是可以公開的，不怕別人知道，收件人解密時只要用自己的“私鑰”即可以，這樣就很好地避免了密鑰的傳輸安全性問

32、題。 第64頁，共74頁。4.4.5 電子簽名所謂電子簽名（Digital Signature），也稱數(shù)字簽名，是指附加在某一電子文檔中的一組特定的符號或代碼，它是利用數(shù)學方法和密碼算法對該電子文檔進行關(guān)鍵信息提取并進行加密而形成的，用于標識簽發(fā)者的身份以及簽發(fā)者對電子文檔的認可，并能被接收者用來驗證該電子文檔在傳輸過程中是否被篡改或偽造。數(shù)字簽名一般采用非對稱加密技術(shù)（如RSA），通過對整個明文進行某種變換，得到一個值，作為核實簽名。接收者使用發(fā)送者的公開密鑰對簽名進行解密運算，如其結(jié)果為明文，則簽名有效，證明對方的身份是真實的。當然，簽名也可以采用多種方式，例如，將簽名附在明文之后。數(shù)字簽名普遍用于銀行、電子貿(mào)易等。目前應用比較成熟的電子簽名技術(shù)是基于PKI（Public Key Infrastructure）的數(shù)字簽名技術(shù)，即我們常說的數(shù)字證書。 第65頁，共74頁。4.4.6“云安全”概念中國企業(yè)創(chuàng)造的“云安全”概念，是網(wǎng)絡時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷