第一篇：計算機網絡基礎知識之網絡安全

計算機網絡基礎知識

之網絡安全

病毒的危害，小到個人，大到全世界，凡是在使用電腦的人無一不在受其困擾。對于那些僥幸未受病毒騷擾的人，我想在這里事先給你敲敲警鐘，最好還是能防患于未然！計算機病毒發(fā)作時，通常會出現以下幾種情況，這樣我們就能盡早地發(fā)現和清除它們。

1、電腦運行比平常遲鈍，程序載入時間比平常久。

2、有些病毒能控制程序或系統(tǒng)的啟動程序，當系統(tǒng)剛開始啟動或是一個應用程序被載入時，這些病毒將執(zhí)行他們的動作，因此會花更多時間來載入程序。對一個簡單的工作，磁盤似乎花了比預期長的時間。

3、不尋常的錯誤信息出現，硬盤的指示燈無緣無故的亮了，磁盤可利用的空間突然減少。

4、系統(tǒng)內存容量忽然大量減少，內存內增加來路不明的常駐程序。有些病毒會消耗可觀的內存容量，曾經執(zhí)行過的程序，再次執(zhí)行時，突然告訴你沒有足夠的內存可以利用，表示病毒已經存在你的電腦中了！

5、可執(zhí)行程序的大小改變了。正常情況下，這些程序應該維持固定的大小，但有些較不聰明的病毒，會增加程序的大小。

6、文件奇怪的消失，文件的內容被加上一些奇怪的資料，文件名稱，擴展名，日期，屬性被更改過。

不過只要培養(yǎng)良好的預防病毒意識，并充分發(fā)揮殺毒軟件的防護能力，完全可以將大部分病毒拒之門外。

1、時刻保持操作系統(tǒng)獲得最新的安全更新，建議用安全軟件的漏洞掃描功能。

2、安裝防毒軟件，每周至少更新一次病毒定義碼或病毒引擎。定期掃描計算機也是一個良好的習慣。

3、注意U盤、移動硬盤等媒介：在使用U盤、移動硬盤或其他媒介之前，一定要對 之進行掃描，不怕一萬，就怕萬一。

4、下載一定要從比較可靠的站點進行，對于互聯網上的文檔與電子郵件，下載后也須不厭其煩做病毒掃描。

5、來歷不明的郵件或網頁鏈接決不要打開，遇到形跡可疑或不是預期中的朋友來信中的附件，決不要輕易運行，一些QQ聊天里的尾巴不要去點。

6、警惕欺騙性或文告性的病毒。這類病毒利用了人性的弱點，以子虛烏有的說辭 來打動你，記住，天下沒有免費的午餐，一旦發(fā)現，盡快刪除。更有病毒偽裝成殺毒軟件騙人。

最后和大家說說最近段時間應該裝什么免費殺毒軟件。首先，我們最常見的360安全衛(wèi)士+360版NOD32殺毒軟件（http://），這樣的組合也是相當不錯的，保持了較小的資源占用，極大的提高了電腦的速度，只要及時更新，你絕對能遠離病毒?。ó斎荒愕南到y(tǒng)補丁一定要打全?。。?，還有個組合應該也比較好，bitdefend殺毒軟件+360安全衛(wèi)士或者風云防火墻，打游戲的朋友多用用這套組合，這個殺毒軟件有個免打擾模式，比較好。

簡單的說到這里。有需要幫助的朋友可以找我，當然只限公司內部。

第二篇：計算機網絡基礎知識總結

一、計算機網絡的拓撲結構

（1）總線型拓撲結構

特點：不需要插入任何其他的連接設備 優(yōu)點：連接簡單、易于安裝、成本費用低 缺點：傳送數據的速度緩慢，維護困難（2）星型拓撲結構

優(yōu)點：結構簡單、便于維護和管理

缺點：通信線路專用，電纜成本高，中心節(jié)點時全網絡的瓶頸，中心節(jié)點出現故障會導致網絡癱瘓（3）環(huán)形拓撲結構 優(yōu)點：電纜長度短

缺點：節(jié)點過多時會影響傳輸效率，環(huán)某處斷開會導致整個系統(tǒng)失效，節(jié)點的加入和撤出過程復雜，監(jiān)測故障困難（4）樹形拓撲結構

優(yōu)點：結構比較簡單，成本低，擴充節(jié)點時方便靈活 缺點：對根節(jié)點的依賴大（5）網狀結構與混合型結構 優(yōu)點：可靠性高

缺點：結構復雜，不易管理和維護，線路成本高

二、計算機網絡的分類

（1）按覆蓋范圍分類 局域網、域域網、廣域網（2）按傳播方式分類 廣播式網絡、點—點網絡（3）按傳輸技術分類

普通電信網、數字數據網、虛擬專用網、微波擴頻通信網、衛(wèi)星通信網

三、計算機網絡體系結構

（國際標準化組織 ISO）OSI參考模型

應用層：網絡與用戶應用軟件之間的接口

表示層：為應用層提供數據，負責數據轉換和代碼的格式化 會話層：在網絡中的兩節(jié)點之間建立、維持和終止通信 傳輸層：通過通信線路在不同機器之間進行程序和數據的交換 網絡層：在通信子網中選擇適當的路由（分組）

數據鏈路層：定義如何讓格式化數據進行傳輸及如何控制對物理介質的訪問（包）物理層：定義物理設備標準，傳輸比特流（比特）

TCP/IP體系結構（1）應用層

將OSI的高三層合并為一層，為用戶提供調用和訪問網絡上各種應用程序的接口，并向用戶提供各種標準的應用程序及相應的協(xié)議；使應用程序、應用進程與協(xié)議相互配合，發(fā)送或接收數據。

主要協(xié)議：

依賴于面向連接的TCP協(xié)議：遠程登錄協(xié)議Telnet、文件傳輸協(xié)議FTP、簡單郵件傳輸協(xié)議SMTP等

依賴于無連接的UDP協(xié)議：簡單網絡管理協(xié)議SNMP、NetBIOS、遠程過程調用協(xié)議RPC等

既依賴于TCP協(xié)議又依賴于UDP協(xié)議:超文本傳輸協(xié)議HTTP、通信信息協(xié)議CMOT等（2）傳輸層

將源主機的數據信息發(fā)送到目的主機。

主要協(xié)議：傳輸控制協(xié)議TCP、用戶數據報協(xié)議UDP 傳輸控制協(xié)議 TCP：定義了兩臺計算機之間進行可靠的數據傳輸所交換的數據和確認信息的格式，以及確定數據正確到達而采取的措施。TCP協(xié)議是一個面向連接的的協(xié)議，當計算機雙方通信時必須經歷三個階段（建立連接 — 進行數據傳輸 — 拆除連接），TCP建立連接時又要分三步，即TCP三次握手：

A→B（X）B→A（Y+X）A→B（X+1）

用戶數據報協(xié)議 UDP：最簡單的傳輸層協(xié)議。與IP不同的是UDP提供協(xié)議的端口號以保證進程通信，UDP可以根據端口號對許多程序進行多路復用，并檢查數據的完整性。（3）網絡層

解決兩個不同IP地址的計算機之間的通信問題（形成IP分組、尋址、檢驗分組的有效性、去掉報頭和選擇路由等）

主要協(xié)議：國際協(xié)議IP、國際控制信息協(xié)議ICMP、地址解析協(xié)議ARP、逆向地址解析協(xié)議RARP、國際組信息協(xié)議IGMP IP協(xié)議：主要作用是進行尋址和路由選擇，并將分組從一個網絡轉發(fā)到另一個網絡；IP只是盡量傳輸數據到目的地，但不提供任何保證。（4）網絡接口層

負責接收分組，并把分組分裝成數據幀，再將數據幀發(fā)送到指定網絡。

四、計算機網絡應用模式

（1）C/S模式（客戶機/服務器）

它是軟件系統(tǒng)體系結構通過它可以充分利用兩端硬件環(huán)境的優(yōu)勢，將任務合理地分配到Client端和Server端來實現，降低了系統(tǒng)的通信開銷。

優(yōu)點：能充分發(fā)揮客戶端PC的處理能力

缺點：一般只適用于局域網，客戶端需要安裝專用的客戶端軟件（2）B/S模式（瀏覽器/服務器）

是對C/S模式的一種改進，Web瀏覽器是客戶端最主要的應用軟件。統(tǒng)一了客戶端將系統(tǒng)功能實現的核心部分集中到服務器上，簡化了系統(tǒng)的開發(fā)、維護和使用，瀏覽器通過Web Server同數據庫進行數據交換。

優(yōu)點：可以在任何地方進行操作，不用安裝任何專門的軟件，系統(tǒng)拓展非常容易，減輕了服務器的負擔并增加了交互性，能進行局部實時刷新

網絡安全

安全威脅來源：認為因素、自然因素、偶發(fā)因素

安全威脅管理：是一種用來實施監(jiān)控組織的關鍵安全系統(tǒng)的技術，可以用來查看來自監(jiān)控傳感器的報告

安全威脅防范技術：漏洞補丁更新技術、病毒防護技術、防火墻技術、數據加密急速、系統(tǒng)容災技術、漏洞掃描技術、物理方面的安全

國內評價標準：GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》 共同標準：CCITSE（CC）

安全功能：物理安全、運行安全、信息安全

網絡犯罪的方式：滲透和拒絕服務攻擊

黑客：精通網絡、系統(tǒng)、外設及軟硬件技術的人 黑客類型：破壞者、紅客、間諜 黑客攻擊工具：病毒、蠕蟲、網絡嗅探器

黑客攻擊手段:后門程序、信息炸彈、拒絕服務、網絡監(jiān)聽、密碼破譯 黑客攻擊五部曲：隱藏IP、信息收集、實施攻擊、保持訪問、隱藏蹤跡 網絡犯罪應對：防御、檢測、分析和響應

腳本:是使用一種特定的描述性語言，依據一定的格式編寫的可執(zhí)行文件，又稱作宏或批處理文件

惡意腳本危害：篡改用戶注冊表數據、實現運行某些程序、在后臺隱蔽的下載某些插件和病毒、盜取用戶信息

網絡層的安全風險：物理層、數據鏈路層、網絡邊界

白盒測試：結構測試或邏輯驅動測試，按照程序內部的結構來測試程序，通過測試來檢測產品內部動作是否按照設計規(guī)格說明書的規(guī)定正常進行，以及檢測程序中的每條通路是否都能按預定要求正確工作

黑盒測試：功能測試，通過測試來檢測每個功能是否都正常使用 黑盒測試流程：測試計劃、測試設計、測試開發(fā)、測試執(zhí)行、測試評估 黑盒與白盒區(qū)別：

黑盒測試時指已知產品的功能設計規(guī)格，可以進行測試來證明每個實現了的功能是否符合要求 白盒測試是指已知產品的內部工作過程，可以通過測試來證明每種內部操作是否符合設計規(guī)格要求，所有內部成分是否經過了檢查

身份認證技術：用戶名/密碼方式、IC卡認證、生物特征認證、USB key認證、動態(tài)口令/密碼、數字簽名

kerberos認證機制：基于TCP/IP的Internet和intranet設計的安全認證協(xié)議，它工作在client/server模式下

訪問控制：是指按用戶身份及其所屬的某項定義組，來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用

訪問控制機制：訪問控制矩陣、訪問能力表、訪問控制表、授權關系表

密碼學：作為數學的一個分支，是密碼編碼學和密碼分析學的統(tǒng)稱

柯克霍夫原則：加密算法應建立在算法的公開不影響明文和秘鑰的安全基礎上 密碼體制：對稱密碼體制、非對稱密碼體制、混合密碼體制 流密碼：也稱序列密碼，是對稱密碼算法的一種

數字證書的定義：就是互聯網通信中標注通信各方身份信息的數據，它提供了在Internet上驗證身份的方式，它有一個權威機構：CA機構，又稱為證書授權中心。數據證書是一個經CA數字簽名的包含秘鑰擁有者信息以及公開秘鑰的文件

PKI系統(tǒng)的功能：證書頒發(fā)、證書更新、證書廢除、證書和CRL的公布、證書狀態(tài)的在線查詢、證書認證等

PKI系統(tǒng)的應用：WWW安全、電子郵件安全、電子數據交換、信用卡交易安全、VPN 密碼學的應用：數字簽名、身份識別、秘鑰建立、密碼分享、安全協(xié)議、電子現金、游戲

協(xié)議：就是兩個或者兩個以上的參與者采取一系列步驟以完成某項特定的任務 安全協(xié)議：又稱密碼協(xié)議，是以密碼學為基礎的消息交換協(xié)議，其目的是在網絡環(huán)境中提供各種安全服務 安全協(xié)議設計原則:整體性、拓展性、安全性和高效性

秘密分割：把一個消息分成n塊，單獨的每一塊看起來沒有意義，但所有的塊集合起來能恢復出原信息

秘密共享：是一種將秘密分割存儲的技術，目的是阻止秘密過于集中，以實現分散風險和容忍入侵的目的，是信息安全和數據保密中的重要手段

RFID系統(tǒng)基本構成：標簽（tag）、讀寫器、后端數據庫 RFID系統(tǒng)的安全需求：數據安全、隱私、復制

零知識證明：指證明者能夠在不向驗證者提供任何有用的信息的情況下，使驗證者相信某個論斷是正確的

防火墻：指設置在不同網絡或網絡安全域之間的一系列部件的組合

防火墻的特性：內部網絡和外部網絡之間的所有網絡數據流都必須進過防火墻

只有符合安全策略的數據量才能通過防火墻

防火墻自身應具有非常強的抗攻擊免疫力

防火墻的技術分類：包過濾防火墻、應用代理防火墻、狀態(tài)檢測防火墻 防火墻的局限性：不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅

無法防范通過防火墻以外的其他途徑的攻擊

不能防止傳送已感染病毒的軟件或文件

無法防范數據驅動型的攻擊

購買防火墻注意事項：可靠性、防火墻的體系結構、技術指標、安裝和安置、擴

展性、可升級性、兼容性、高效性、界面友好

入侵檢測：就是對入侵行為的發(fā)覺

入侵檢測系統(tǒng)（IDS）：是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑傳輸時發(fā)出

警報或者采取主動反應措施的網絡安全設備，IDS是一種積極主動的安全防護技術

計算機取證流程：識別證據、保存證據、分析證據、提交證據

計算機病毒：編制者編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼

病毒的媒介分類：網絡病毒、文件病毒、引導型病毒

病毒的特點：繁殖性、破壞性、傳染性、潛伏性、隱蔽性、可觸發(fā)性

計算機病毒防范：保持清醒頭腦、對進入計算機的信息時刻保持警惕、合理安裝和使用殺毒軟件、及時備份計算機中有價值的信息、時刻注意計算機的反應

木馬：指表面上是有用的程序，實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序

蠕蟲：蠕蟲是一種通過網絡傳播的惡性病毒，具有病毒的共性同時也具有一些自己的特征，如不利用文件寄生，對網絡造成拒絕服務，以及與黑客技術相結合等

第三篇：《計算機網絡基礎知識》教案

《計算機網絡基礎知識》教案 教學內容：《計算機網絡基礎知識》 教學目標：

一、知識目標

1、掌握計算機網絡的定義、分類及其作用；

2、了解因特網的產生與發(fā)展；

3、了解因特網在我國的發(fā)展情況；

4、掌握因特網的主要功能；

5、了解因特網的工作方式；

6、了解接入因特網的方式；

二、能力目標

培養(yǎng)學生在網上自主學習的興趣和能力；

三、情感目標

培訓學生自主學習、合作學習的精神 教學重點：

1、計算機網絡的定義、分類及其作用

2、因特網的主要功能

教學準備：熟悉教材、準備教案、制作網絡課件，教學方法：網絡環(huán)境下學生自主探究、教師講解指導 教學過程：

一、引入

二十一世紀是信息化、網絡化的時代，作為計算機技術和通信技術相結合的產物——信息網絡已成為十分重要的基礎設施。在未來信息化社會里，人們必須學會在網絡環(huán)境下學習、工作、交流。今天我們就通過因特網來學習計算機網絡基礎知識，一起走進網絡世界，去發(fā)現、探索網絡的奧秘。（教師講述）

二、新課教學

1、指導學生進入學習網站。

教師演示：啟動IE瀏覽器

輸入網址

進入專題學習網站

2、布置學習任務

本節(jié)主要學習計算機網絡基礎知識，包括：計算機網絡的定義、計算機網絡的分類、計算機網絡拓撲結構和計算機網絡的功能，因特網的產生和發(fā)展、因特網的功能、因特網的接入等知識。點擊網頁左側的按鈕即可進入學習頁面（教師講解）。

3、學生自主探究，學習網絡基礎知識（學生自主學習，教師指導）

三、課堂在線測試

新授完畢，學生進入課堂測驗環(huán)節(jié)。教師指導學生進入在線測驗頁面。學生進入測試頁面，對所學知識進行測驗，鞏固提高。教師記錄學生成績，測試完畢，教師講評測試結果。分析存在的問題，提出改進意見。

四、討論交流，提高升華

通過論壇，提出討論問題，學生和學生，學生和老師之間通過發(fā)帖子交流、共同討論提出的問題，進一步鞏固、升華本節(jié)課所學的知識。

五、課堂小節(jié)

今天我們一起走進網絡世界，探索網絡知識，感受到網絡奧妙，希望同學們能夠掌握在網上學習的方法、技巧。培養(yǎng)自己在網上獲取知識的興趣和能力，為將來自己的學習、工作，為將來適應社會打下堅實的基礎。

第四篇：計算機網絡基礎知識總結

計算機網絡基礎知識總結

1.網絡層次劃分 2.OSI七層網絡模型 3.IP地址

4.子網掩碼及網絡劃分 5.ARP/RARP協(xié)議 6.路由選擇協(xié)議 7.TCP/IP協(xié)議 8.UDP協(xié)議 9.DNS協(xié)議 10.NAT協(xié)議 11.DHCP協(xié)議 12.HTTP協(xié)議 13.一個舉例

計算機網絡學習的核心內容就是網絡協(xié)議的學習。網絡協(xié)議是為計算機網絡中進行數據交換而建立的規(guī)則、標準或者說是約定的集合。因為不同用戶的數據終端可能采取的字符集是不同的，兩者需要進行通信，必須要在一定的標準上進行。一個很形象地比喻就是我們的語言，我們大天朝地廣人多，地方性語言也非常豐富，而且方言之間差距巨大。A地區(qū)的方言可能B地區(qū)的人根本無法接受，所以我們要為全國人名進行溝通建立一個語言標準，這就是我們的普通話的作用。同樣，放眼全球，我們與外國友人溝通的標準語言是英語，所以我們才要苦逼的學習英語。

計算機網絡協(xié)議同我們的語言一樣，多種多樣。而ARPA公司與1977年到1979年推出了一種名為ARPANET的網絡協(xié)議受到了廣泛的熱捧，其中最主要的原因就是它推出了人盡皆知的TCP/IP標準網絡協(xié)議。目前TCP/IP協(xié)議已經成為Internet中的“通用語言”，下圖為不同計算機群之間利用TCP/IP進行通信的示意圖。

1.網絡層次劃分

為了使不同計算機廠家生產的計算機能夠相互通信，以便在更大的范圍內建立計算機網絡，國際標準化組織（ISO）在1978年提出了“開放系統(tǒng)互聯參考模型”，即著名的OSI/RM模型（Open System Interconnection/Reference Model）。它將計算機網絡體系結構的通信協(xié)議劃分為七層，自下而上依次為：物理層（Physics Layer）、數據鏈路層（Data Link Layer）、網絡層（Network Layer）、傳輸層（Transport Layer）、會話層（Session Layer）、表示層（Presentation Layer）、應用層（Application Layer）。其中第四層完成數據傳送服務，上面三層面向用戶。

除了標準的OSI七層模型以外，常見的網絡層次劃分還有TCP/IP四層協(xié)議以及TCP/IP五層協(xié)議，它們之間的對應關系如下圖所示：

2.OSI七層網絡模型

TCP/IP協(xié)議毫無疑問是互聯網的基礎協(xié)議，沒有它就根本不可能上網，任何和互聯網有關的操作都離不開TCP/IP協(xié)議。不管是OSI七層模型還是TCP/IP的四層、五層模型，每一層中都要自己的專屬協(xié)議，完成自己相應的工作以及與上下層級之間進行溝通。由于OSI七層模型為網絡的標準層次劃分，所以我們以OSI七層模型為例從下向上進行一一介紹。

1）物理層（Physical Layer）

激活、維持、關閉通信端點之間的機械特性、電氣特性、功能特性以及過程特性。該層為上層協(xié)議提供了一個傳輸數據的可靠的物理媒體。簡單的說，物理層確保原始的數據可在各種物理媒體上傳輸。物理層記住兩個重要的設備名稱，中繼器（Repeater，也叫放大器）和集線器。

2）數據鏈路層（Data Link Layer）

數據鏈路層在物理層提供的服務的基礎上向網絡層提供服務，其最基本的服務是將源自網絡層來的數據可靠地傳輸到相鄰節(jié)點的目標機網絡層。為達到這一目的，數據鏈路必須具備一系列相應的功能，主要有：如何將數據組合成數據塊，在數據鏈路層中稱這種數據塊為幀（frame），幀是數據鏈路層的傳送單位；如何控制幀在物理信道上的傳輸，包括如何處理傳輸差錯，如何調節(jié)發(fā)送速率以使與接收方相匹配；以及在兩個網絡實體之間提供數據鏈路通路的建立、維持和釋放的管理。數據鏈路層在不可靠的物理介質上提供可靠的傳輸。該層的作用包括：物理地址尋址、數據的成幀、流量控制、數據的檢錯、重發(fā)等。

有關數據鏈路層的重要知識點：

1> 數據鏈路層為網絡層提供可靠的數據傳輸；

2> 基本數據單位為幀；

3> 主要的協(xié)議：以太網協(xié)議；

4> 兩個重要設備名稱：網橋和交換機。

3）網絡層（Network Layer）

網絡層的目的是實現兩個端系統(tǒng)之間的數據透明傳送，具體功能包括尋址和路由選擇、連接的建立、保持和終止等。它提供的服務使傳輸層不需要了解網絡中的數據傳輸和交換技術。如果您想用盡量少的詞來記住網絡層，那就是“路徑選擇、路由及邏輯尋址”。

網絡層中涉及眾多的協(xié)議，其中包括最重要的協(xié)議，也是TCP/IP的核心協(xié)議——IP協(xié)議。IP協(xié)議非常簡單，僅僅提供不可靠、無連接的傳送服務。IP協(xié)議的主要功能有：無連接數據報傳輸、數據報路由選擇和差錯控制。與IP協(xié)議配套使用實現其功能的還有地址解析協(xié)議ARP、逆地址解析協(xié)議RARP、因特網報文協(xié)議ICMP、因特網組管理協(xié)議IGMP。具體的協(xié)議我們會在接下來的部分進行總結，有關網絡層的重點為：

1> 網絡層負責對子網間的數據包進行路由選擇。此外，網絡層還可以實現擁塞控制、網際互連等功能；

2> 基本數據單位為IP數據報；

3> 包含的主要協(xié)議：

IP協(xié)議（Internet Protocol，因特網互聯協(xié)議）;

ICMP協(xié)議（Internet Control Message Protocol，因特網控制報文協(xié)議）;

ARP協(xié)議（Address Resolution Protocol，地址解析協(xié)議）;

RARP協(xié)議（Reverse Address Resolution Protocol，逆地址解析協(xié)議）。

4> 重要的設備：路由器。

4）傳輸層（Transport Layer）

第一個端到端，即主機到主機的層次。傳輸層負責將上層數據分段并提供端到端的、可靠的或不可靠的傳輸。此外，傳輸層還要處理端到端的差錯控制和流量控制問題。

傳輸層的任務是根據通信子網的特性，最佳的利用網絡資源，為兩個端系統(tǒng)的會話層之間，提供建立、維護和取消傳輸連接的功能，負責端到端的可靠數據傳輸。在這一層，信息傳送的協(xié)議數據單元稱為段或報文。

網絡層只是根據網絡地址將源結點發(fā)出的數據包傳送到目的結點，而傳輸層則負責將數據可靠地傳送到相應的端口。

有關網絡層的重點：

1> 傳輸層負責將上層數據分段并提供端到端的、可靠的或不可靠的傳輸以及端到端的差錯控制和流量控制問題；

2> 包含的主要協(xié)議：TCP協(xié)議（Transmission Control Protocol，傳輸控制協(xié)議）、UDP協(xié)議（User Datagram Protocol，用戶數據報協(xié)議）；

3> 重要設備：網關。

5）會話層

會話層管理主機之間的會話進程，即負責建立、管理、終止進程之間的會話。會話層還利用在數據中插入校驗點來實現數據的同步。

6）表示層

表示層對上層數據或信息進行變換以保證一個主機應用層信息可以被另一個主機的應用程序理解。表示層的數據轉換包括數據的加密、壓縮、格式轉換等。

7）應用層

為操作系統(tǒng)或網絡應用程序提供訪問網絡服務的接口。

會話層、表示層和應用層重點：

1> 數據傳輸基本單位為報文；

2> 包含的主要協(xié)議：FTP（文件傳送協(xié)議）、Telnet（遠程登錄協(xié)議）、DNS（域名解析協(xié)議）、SMTP（郵件傳送協(xié)議），POP3協(xié)議（郵局協(xié)議），HTTP協(xié)議（Hyper Text Transfer Protocol）。3.IP地址

1）網絡地址

IP地址由網絡號（包括子網號）和主機號組成，網絡地址的主機號為全0，網絡地址代表著整個網絡。

2）廣播地址

廣播地址通常稱為直接廣播地址，是為了區(qū)分受限廣播地址。

廣播地址與網絡地址的主機號正好相反，廣播地址中，主機號為全1。當向某個網絡的廣播地址發(fā)送消息時，該網絡內的所有主機都能收到該廣播消息。

3）組播地址

D類地址就是組播地址。

先回憶下A，B，C，D類地址吧：

A類地址以00開頭，第一個字節(jié)作為網絡號，地址范圍為：0.0.0.0~127.255.255.255；

B類地址以10開頭，前兩個字節(jié)作為網絡號，地址范圍是：128.0.0.0~191.255.255.255;

C類地址以110開頭，前三個字節(jié)作為網絡號，地址范圍是：192.0.0.0~223.255.255.255。

D類地址以1110開頭，地址范圍是224.0.0.0~239.255.255.255，D類地址作為組播地址（一對多的通信）；

E類地址以1111開頭，地址范圍是240.0.0.0~255.255.255.255，E類地址為保留地址，供以后使用。

注：只有A,B,C有網絡號和主機號之分，D類地址和E類地址沒有劃分網絡號和主機號。

4）255.255.255.255

該IP地址指的是受限的廣播地址。受限廣播地址與一般廣播地址（直接廣播地址）的區(qū)別在于，受限廣播地址只能用于本地網絡，路由器不會轉發(fā)以受限廣播地址為目的地址的分組；一般廣播地址既可在本地廣播，也可跨網段廣播。例如：主機192.168.1.1/30上的直接廣播數據包后，另外一個網段192.168.1.5/30也能收到該數據報；若發(fā)送受限廣播數據報，則不能收到。

注：一般的廣播地址（直接廣播地址）能夠通過某些路由器（當然不是所有的路由器），而受限的廣播地址不能通過路由器。

5）0.0.0.0

常用于尋找自己的IP地址，例如在我們的RARP，BOOTP和DHCP協(xié)議中，若某個未知IP地址的無盤機想要知道自己的IP地址，它就以255.255.255.255為目的地址，向本地范圍（具體而言是被各個路由器屏蔽的范圍內）的服務器發(fā)送IP請求分組。

6）回環(huán)地址

127.0.0.0/8被用作回環(huán)地址，回環(huán)地址表示本機的地址，常用于對本機的測試，用的最多的是127.0.0.1。

7）A、B、C類私有地址

私有地址(private address)也叫專用地址，它們不會在全球使用，只具有本地意義。

A類私有地址：10.0.0.0/8，范圍是：10.0.0.0~10.255.255.255

B類私有地址：172.16.0.0/12，范圍是：172.16.0.0~172.31.255.255

C類私有地址：192.168.0.0/16，范圍是：192.168.0.0~192.168.255.255 4.子網掩碼及網絡劃分

隨著互連網應用的不斷擴大，原先的IPv4的弊端也逐漸暴露出來，即網絡號占位太多，而主機號位太少，所以其能提供的主機地址也越來越稀缺，目前除了使用NAT在企業(yè)內部利用保留地址自行分配以外，通常都對一個高類別的IP地址進行再劃分，以形成多個子網，提供給不同規(guī)模的用戶群使用。

這里主要是為了在網絡分段情況下有效地利用IP地址，通過對主機號的高位部分取作為子網號，從通常的網絡位界限中擴展或壓縮子網掩碼，用來創(chuàng)建某類地址的更多子網。但創(chuàng)建更多的子網時，在每個子網上的可用主機地址數目會比原先減少。

什么是子網掩碼？

子網掩碼是標志兩個IP地址是否同屬于一個子網的，也是32位二進制地址，其每一個為1代表該位是網絡位，為0代表主機位。它和IP地址一樣也是使用點式十進制來表示的。如果兩個IP地址在子網掩碼的按位與的計算下所得結果相同，即表明它們共屬于同一子網中。

在計算子網掩碼時，我們要注意IP地址中的保留地址，即“ 0”地址和廣播地址，它們是指主機地址或網絡地址全為“ 0”或“ 1”時的IP地址，它們代表著本網絡地址和廣播地址，一般是不能被計算在內的。

子網掩碼的計算：

對于無須再劃分成子網的IP地址來說，其子網掩碼非常簡單，即按照其定義即可寫出：如某B類IP地址為 10.12.3.0，無須再分割子網，則該IP地址的子網掩碼255.255.0.0。如果它是一個C類地址，則其子網掩碼為

255.255.255.0。其它類推，不再詳述。下面我們關鍵要介紹的是一個IP地址，還需要將其高位主機位再作為劃分出的子網網絡號，剩下的是每個子網的主機號，這時該如何進行每個子網的掩碼計算。

下面總結一下有關子網掩碼和網絡劃分常見的面試考題：

1）利用子網數來計算

在求子網掩碼之前必須先搞清楚要劃分的子網數目，以及每個子網內的所需主機數目。

(1)將子網數目轉化為二進制來表示;

如欲將B類IP地址168.195.0.0劃分成27個子網：27=11011；

(2)取得該二進制的位數，為N；

該二進制為五位數，N = 5

(3)取得該IP地址的類子網掩碼，將其主機地址部分的的前N位置1即得出該IP地址劃分子網的子網掩碼。

將B類地址的子網掩碼255.255.0.0的主機地址前5位置 1，得到 255.255.248.0

2）利用主機數來計算

如欲將B類IP地址168.195.0.0劃分成若干子網，每個子網內有主機700臺：

(1)將主機數目轉化為二進制來表示；

700=1010111100；

(2)如果主機數小于或等于254（注意去掉保留的兩個IP地址），則取得該主機的二進制位數，為N，這里肯定 N<8。如果大于254，則 N>8，這就是說主機地址將占據不止8位；

該二進制為十位數，N=10；

(3)使用255.255.255.255來將該類IP地址的主機地址位數全部置1，然后從后向前的將N位全部置為 0，即為子網掩碼值。

將該B類地址的子網掩碼255.255.0.0的主機地址全部置1，得到255.255.255.255，然后再從后向前將后 10位置0,即為：11111111.11111111.11111100.00000000，即255.255.252.0。這就是該欲劃分成主機為700臺的B類IP地址 168.195.0.0的子網掩碼。

3）還有一種題型，要你根據每個網絡的主機數量進行子網地址的規(guī)劃和計算子網掩碼。這也可按上述原則進行計算。

比如一個子網有10臺主機，那么對于這個子網需要的IP地址是： 10＋1＋1＋1＝13

注意：加的第一個1是指這個網絡連接時所需的網關地址，接著的兩個1分別是指網絡地址和廣播地址。

因為13小于16（16等于2的4次方），所以主機位為4位。而256－16＝240，所以該子網掩碼為255.255.255.240。

如果一個子網有14臺主機，不少人常犯的錯誤是：依然分配具有16個地址空間的子網，而忘記了給網關分配地址。這樣就錯誤了，因為14＋1＋1＋1＝17，17大于16，所以我們只能分配具有32個地址（32等于2的5次方）空間的子網。這時子網掩碼為：255.255.255.224。5.ARP/RARP協(xié)議

地址解析協(xié)議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網絡中各個主機互相信任的基礎上的，網絡上的主機可以自主發(fā)送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發(fā)送偽ARP應答報文，使其發(fā)送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用于查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態(tài)對應關系等。

ARP工作流程舉例：

主機A的IP地址為192.168.1.1，MAC地址為0A-11-22-33-44-01；

主機B的IP地址為192.168.1.2，MAC地址為0A-11-22-33-44-02；

當主機A要與主機B通信時，地址解析協(xié)議可以將主機B的IP地址（192.168.1.2）解析成主機B的MAC地址，以下為工作流程：

（1）根據主機A上的路由表內容，IP確定用于訪問主機B的轉發(fā)IP地址是192.168.1.2。然后A主機在自己的本地ARP緩存中檢查主機B的匹配MAC地址。

（2）如果主機A在ARP緩存中沒有找到映射，它將詢問192.168.1.2的硬件地址，從而將ARP請求幀廣播到本地網絡上的所有主機。源主機A的IP地址和MAC地址都包括在ARP請求中。本地網絡上的每臺主機都接收到ARP請求并且檢查是否與自己的IP地址匹配。如果主機發(fā)現請求的IP地址與自己的IP地址不匹配，它將丟棄ARP請求。

（3）主機B確定ARP請求中的IP地址與自己的IP地址匹配，則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。

（4）主機B將包含其MAC地址的ARP回復消息直接發(fā)送回主機A。

（5）當主機A收到從主機B發(fā)來的ARP回復消息時，會用主機B的IP和MAC地址映射更新ARP緩存。本機緩存是有生存期的，生存期結束后，將再次重復上面的過程。主機B的MAC地址一旦確定，主機A就能向主機B發(fā)送IP通信了。

逆地址解析協(xié)議，即RARP，功能和ARP協(xié)議相對，其將局域網中某個主機的物理地址轉換為IP地址，比如局域網中有一臺主機只知道物理地址而不知道IP地址，那么可以通過RARP協(xié)議發(fā)出征求自身IP地址的廣播請求，然后由RARP服務器負責回答。

RARP協(xié)議工作流程：

（1）給主機發(fā)送一個本地的RARP廣播，在此廣播包中，聲明自己的MAC地址并且請求任何收到此請求的RARP服務器分配一個IP地址；

（2）本地網段上的RARP服務器收到此請求后，檢查其RARP列表，查找該MAC地址對應的IP地址；

（3）如果存在，RARP服務器就給源主機發(fā)送一個響應數據包并將此IP地址提供給對方主機使用；

（4）如果不存在，RARP服務器對此不做任何的響應；

（5）源主機收到從RARP服務器的響應信息，就利用得到的IP地址進行通訊；如果一直沒有收到RARP服務器的響應信息，表示初始化失敗。6.路由選擇協(xié)議

常見的路由選擇協(xié)議有：RIP協(xié)議、OSPF協(xié)議。

RIP協(xié)議 ：底層是貝爾曼福特算法，它選擇路由的度量標準（metric)是跳數，最大跳數是15跳，如果大于15跳，它就會丟棄數據包。

OSPF協(xié)議 ：Open Shortest Path First開放式最短路徑優(yōu)先，底層是迪杰斯特拉算法，是鏈路狀態(tài)路由選擇協(xié)議，它選擇路由的度量標準是帶寬，延遲。7.TCP/IP協(xié)議

TCP/IP協(xié)議是Internet最基本的協(xié)議、Internet國際互聯網絡的基礎，由網絡層的IP協(xié)議和傳輸層的TCP協(xié)議組成。通俗而言：TCP負責發(fā)現傳輸的問題，一有問題就發(fā)出信號，要求重新傳輸，直到所有數據安全正確地傳輸到目的地。而IP是給因特網的每一臺聯網設備規(guī)定一個地址。

IP層接收由更低層（網絡接口層例如以太網設備驅動程序）發(fā)來的數據包，并把該數據包發(fā)送到更高層---TCP或UDP層；相反，IP層也把從TCP或UDP層接收來的數據包傳送到更低層。IP數據包是不可靠的，因為IP并沒有做任何事情來確認數據包是否按順序發(fā)送的或者有沒有被破壞，IP數據包中含有發(fā)送它的主機的地址（源地址）和接收它的主機的地址（目的地址）。

TCP是面向連接的通信協(xié)議，通過三次握手建立連接，通訊完成時要拆除連接，由于TCP是面向連接的所以只能用于端到端的通訊。TCP提供的是一種可靠的數據流服務，采用“帶重傳的肯定確認”技術來實現傳輸的可靠性。TCP還采用一種稱為“滑動窗口”的方式進行流量控制，所謂窗口實際表示接收能力，用以限制發(fā)送方的發(fā)送速度。

TCP報文首部格式：

TCP協(xié)議的三次握手和四次揮手：

注：seq:“sequance”序列號；ack:“acknowledge”確認號；SYN:“synchronize”請求同步標志；；ACK:“acknowledge”確認標志“；FIN：”Finally“結束標志。

TCP連接建立過程：首先Client端發(fā)送連接請求報文，Server段接受連接后回復ACK報文，并為這次連接分配資源。Client端接收到ACK報文后也向Server段發(fā)生ACK報文，并分配資源，這樣TCP連接就建立了。

TCP連接斷開過程：假設Client端發(fā)起中斷連接請求，也就是發(fā)送FIN報文。Server端接到FIN報文后，意思是說”我Client端沒有數據要發(fā)給你了“，但是如果你還有數據沒有發(fā)送完成，則不必急著關閉Socket，可以繼續(xù)發(fā)送數據。所以你先發(fā)送ACK，”告訴Client端，你的請求我收到了，但是我還沒準備好，請繼續(xù)你等我的消息“。這個時候Client端就進入FIN_WAIT狀態(tài)，繼續(xù)等待Server端的FIN報文。當Server端確定數據已發(fā)送完成，則向Client端發(fā)送FIN報文，”告訴Client端，好了，我這邊數據發(fā)完了，準備好關閉連接了“。Client端收到FIN報文后，”就知道可以關閉連接了，但是他還是不相信網絡，怕Server端不知道要關閉，所以發(fā)送ACK后進入TIME_WAIT狀態(tài)，如果Server端沒有收到ACK則可以重傳?！埃琒erver端收到ACK后，“就知道可以斷開連接了”。Client端等待了2MSL后依然沒有收到回復，則證明Server端已正常關閉，那好，我Client端也可以關閉連接了。Ok，TCP連接就這樣關閉了！

為什么要三次揮手？

在只有兩次“握手”的情形下，假設Client想跟Server建立連接，但是卻因為中途連接請求的數據報丟失了，故Client端不得不重新發(fā)送一遍；這個時候Server端僅收到一個連接請求，因此可以正常的建立連接。但是，有時候Client端重新發(fā)送請求不是因為數據報丟失了，而是有可能數據傳輸過程因為網絡并發(fā)量很大在某結點被阻塞了，這種情形下Server端將先后收到2次請求，并持續(xù)等待兩個Client請求向他發(fā)送數據...問題就在這里，Cient端實際上只有一次請求，而Server端卻有2個響應，極端的情況可能由于Client端多次重新發(fā)送請求數據而導致Server端最后建立了N多個響應在等待，因而造成極大的資源浪費！所以，“三次握手”很有必要！

為什么要四次揮手？

試想一下，假如現在你是客戶端你想斷開跟Server的所有連接該怎么做？第一步，你自己先停止向Server端發(fā)送數據，并等待Server的回復。但事情還沒有完，雖然你自身不往Server發(fā)送數據了，但是因為你們之前已經建立好平等的連接了，所以此時他也有主動權向你發(fā)送數據；故Server端還得終止主動向你發(fā)送數據，并等待你的確認。其實，說白了就是保證雙方的一個合約的完整執(zhí)行！

使用TCP的協(xié)議：FTP（文件傳輸協(xié)議）、Telnet（遠程登錄協(xié)議）、SMTP（簡單郵件傳輸協(xié)議）、POP3（和SMTP相對，用于接收郵件）、HTTP協(xié)議等。

8.UDP協(xié)議

UDP用戶數據報協(xié)議，是面向無連接的通訊協(xié)議，UDP數據包括目的端口號和源端口號信息，由于通訊不需要連接，所以可以實現廣播發(fā)送。UDP通訊時不需要接收方確認，屬于不可靠的傳輸，可能會出現丟包現象，實際應用中要求程序員編程驗證。

UDP與TCP位于同一層，但它不管數據包的順序、錯誤或重發(fā)。因此，UDP不被應用于那些使用虛電路的面向連接的服務，UDP主要用于那些面向查詢---應答的服務，例如NFS。相對于FTP或Telnet，這些服務需要交換的信息量較小。

每個UDP報文分UDP報頭和UDP數據區(qū)兩部分。報頭由四個16位長（2字節(jié)）字段組成，分別說明該報文的源端口、目的端口、報文長度以及校驗值。UDP報頭由4個域組成，其中每個域各占用2個字節(jié)，具體如下：

（1）源端口號；

（2）目標端口號；

（3）數據報長度；

（4）校驗值。

使用UDP協(xié)議包括：TFTP（簡單文件傳輸協(xié)議）、SNMP（簡單網絡管理協(xié)議）、DNS（域名解析協(xié)議）、NFS、BOOTP。

TCP 與 UDP 的區(qū)別：TCP是面向連接的，可靠的字節(jié)流服務；UDP是面向無連接的，不可靠的數據報服務。9.DNS協(xié)議

DNS是域名系統(tǒng)(DomainNameSystem)的縮寫，該系統(tǒng)用于命名組織到域層次結構中的計算機和網絡服務，可以簡單地理解為將URL轉換為IP地址。域名是由圓點分開一串單詞或縮寫組成的，每一個域名都對應一個惟一的IP地址，在Internet上域名與IP地址之間是一一對應的，DNS就是進行域名解析的服務器。DNS命名用于Internet等TCP/IP網絡中，通過用戶友好的名稱查找計算機和服務。10.NAT協(xié)議

NAT網絡地址轉換(Network Address Translation)屬接入廣域網(WAN)技術，是一種將私有（保留）地址轉化為合法IP地址的轉換技術，它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。11.DHCP協(xié)議

DHCP動態(tài)主機設置協(xié)議（Dynamic Host Configuration Protocol）是一個局域網的網絡協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：給內部網絡或網絡服務供應商自動分配IP地址，給用戶或者內部網絡管理員作為對所有計算機作中央管理的手段。12.HTTP協(xié)議

超文本傳輸協(xié)議（HTTP，HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網絡協(xié)議。所有的004km.cn 后執(zhí)行的全部過程

現在假設如果我們在客戶端（客戶端）瀏覽器中輸入http://004km.cn,而baidu.com為要訪問的服務器（服務器），下面詳細分析客戶端為了訪問服務器而執(zhí)行的一系列關于協(xié)議的操作：

1）客戶端瀏覽器通過DNS解析到004km.cn的IP地址220.181.27.48，通過這個IP地址找到客戶端到服務器的路徑?？蛻舳藶g覽器發(fā)起一個HTTP會話到220.161.27.48，然后通過TCP進行封裝數據包，輸入到網絡層。

2）在客戶端的傳輸層，把HTTP會話請求分成報文段，添加源和目的端口，如服務器使用80端口監(jiān)聽客戶端的請求，客戶端由系統(tǒng)隨機選擇一個端口如5000，與服務器進行交換，服務器把相應的請求返回給客戶端的5000端口。然后使用IP層的IP地址查找目的端。

3）客戶端的網絡層不用關系應用層或者傳輸層的東西，主要做的是通過查找路由表確定如何到達服務器，期間可能經過多個路由器，這些都是由路由器來完成的工作，不作過多的描述，無非就是通過查找路由表決定通過那個路徑到達服務器。

4）客戶端的鏈路層，包通過鏈路層發(fā)送到路由器，通過鄰居協(xié)議查找給定IP地址的MAC地址，然后發(fā)送ARP請求查找目的地址，如果得到回應后就可以使用ARP的請求應答交換的IP數據包現在就可以傳輸了，然后發(fā)送IP數據包到達服務器的地址。

第五篇：計算機網絡總結心得-網絡安全

網絡安全技術研究

隨著計算機及網絡技術的飛速發(fā)展，全球信息化已成為人類發(fā)展的必然趨勢，計算機在人們的生活和工作中發(fā)揮著越來越重要的作用。由于網絡的開放性、互連性、連接形式的多樣性，致使網絡易受黑客、惡意軟件和其它不軌的功擊，存在著自然和人為等諸多因素的脆弱性和潛在威脅。網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。網絡安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。

一、網絡的安全保密

針對網絡系統(tǒng)實際情況，解決網絡的安全保密問題是當務之急，考慮技術難度及經費等因素，設計時應遵循如下思想：

1．大幅度地提高系統(tǒng)的安全性和保密性；

2．保持網絡原有的性能特點，即對網絡的協(xié)議和傳輸具有很好的透明性； 3．易于操作、維護，并便于自動化管理，而不增加或少增加附加操作； 4．盡量不影響原網絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展；

5．安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； 6．安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證； 7．分步實施原則：分級管理 分步實施。

針對上述分析，我們采取以下安全策略：1．采用漏洞掃描技術，對重要網絡設備進行風險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。2．采用各種安全技術，構筑防御系統(tǒng)，主要有：(1)防火墻技術：在網絡的對外接口，采用防火墻技術，在網絡層進行訪問控制。(2)NAT技術：隱藏內部網絡信息。(3)VPN：虛擬專用網(VPN)是企業(yè)網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創(chuàng)建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等與公司的企業(yè)網連接起來，構成一個擴展的公司企業(yè)網。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用，而事實上并非如此。(4）網絡加密技術(Ipsec)：采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。(5)認證：提供基于身份的認證，并在各種認證機制中可選擇使用。(6)多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現全面的防護。(7）網絡的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網絡進行監(jiān)測和預警，進一步提高網絡防御外來攻擊的能力。

3．實時響應與恢復：制定和完善安全管理制度，提高對網絡攻擊等實時響應與恢復能力。

4．建立分層管理和各級安全管理中心。

二、入侵檢測

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為

是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現：

1．監(jiān)視、分析用戶及系統(tǒng)活動； 2．系統(tǒng)構造和弱點的審計；

3．識別反映已知進攻的活動模式并向相關人士報警； 4．異常行為模式的統(tǒng)計分析；

5．評估重要系統(tǒng)和數據文件的完整性；

6． 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

三、防病毒系統(tǒng)

防病毒產品可以在每個入口點抵御病毒和惡意小程序的入侵，保護網絡中的PC機、服務器和Internet網關。它有一個功能強大的管理工具，可以自動進行文件更新，使管理和服務作業(yè)合理化，并可用來從控制中心管理企業(yè)范圍的反病毒安全機制，優(yōu)化系統(tǒng)性能、解決及預防問題、保護企業(yè)免受病毒的攻擊和危害。防病毒系統(tǒng)設計原則

1．整個系統(tǒng)的實施過程應保持流暢和平穩(wěn)，做到盡量不影響既有網絡系統(tǒng)的正常工作。

2．安裝在原有應用系統(tǒng)上的防毒產品必須保證其穩(wěn)定性，不影響其它應用的功能。在安裝過程中應盡量減少關閉和重啟整個系統(tǒng)。

3．防病毒系統(tǒng)的管理層次與結構應盡量符合機關自身的管理結構。4．防病毒系統(tǒng)的升級和部署功能應做到完全自動化，整個系統(tǒng)應具有每日更新的能力。

5．應做到能夠對整個系統(tǒng)進行集中的管理和監(jiān)控，并能集中生成日志報告與統(tǒng)計信息。

病毒傳播的另外一個途徑是通過局域網內的文件共享和外來文件的引入，所以，企業(yè)網絡最妥善的防病毒方案應當考慮解決客戶端的防病毒問題。如果病毒在局域網內的所有客戶端傳播之前就被清除，網絡管理員的工作量就減少了很多。網關防毒：

網關防毒是對采用http、ftp、smtp協(xié)議進入內部網絡的文件進行病毒掃描和惡意代碼過濾，從而實現對整個網絡的病毒防范。

網絡是個動態(tài)的系統(tǒng)，它的變化包括網絡設備的調整，網絡配置的變化，各種操作系統(tǒng)、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網絡結構和應用的不斷變化，安全策略可能失效，必須及時進行相應的調整。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。