计算机网络与通信(第7章)

第七章防火墙技术防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。

与防火墙一起起作用的就是“门”。

如果没有门，各房间的人将无法沟通。

当火灾发生时，这些人还须从门逃离现场。

这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小门的墙。

这些小门就是用来留给那些允许进行的通信，在这些小门中安装了过滤机制。

网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。

防火墙可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络，防止发生不可预测的、潜在破坏性的侵入。

典型的防火墙具有以下三个方面的基本特性：（1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性，同时也是一个前提。

因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业内部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。

所谓网络边界即是采用不同安全策略的两个网络的连接处，比如用户网络和Internet之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。

防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

（2）只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。

从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。

防火墙将网络流量通过相应的网络接口接收上来，按照协议栈的层次结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。

第七章网络安全7-01 计算机网络都面临哪几种威胁？主动攻击和被动攻击的区别是什么？对于计算机网络的安全措施都有哪些？答：计算机网络面临以下的四种威胁：截获（interception），中断(interruption)，篡改(modification),伪造（fabrication）。

网络安全的威胁可以分为两大类：即被动攻击和主动攻击。

主动攻击是指攻击者对某个连接中通过的PDU 进行各种处理。

如有选择地更改、删除、延迟这些PDU。

甚至还可将合成的或伪造的PDU 送入到一个连接中去。

主动攻击又可进一步划分为三种，即更改报文流；拒绝报文服务；伪造连接初始化。

被动攻击是指观察和分析某一个协议数据单元PDU 而不干扰信息流。

即使这些数据对攻击者来说是不易理解的，它也可通过观察PDU 的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU 的长度和传输的频度，以便了解所交换的数据的性质。

这种被动攻击又称为通信量分析。

还有一种特殊的主动攻击就是恶意程序的攻击。

恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：计算机病毒；计算机蠕虫；特洛伊木马；逻辑炸弹。

对付被动攻击可采用各种数据加密动技术，而对付主动攻击，则需加密技术与适当的鉴别技术结合。

7-02 试解释以下名词：（1）重放攻击；（2）拒绝服务；（3）访问控制；（4）流量分析；（5）恶意程序。

答：（1）重放攻击：所谓重放攻击（replay attack）就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。

（2）拒绝服务：DoS(Denial of Service)指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常服务。

（3）访问控制：（access control）也叫做存取控制或接入控制。

必须对接入网络的权限加以控制，并规定每个用户的接入权限。

（4）流量分析：通过观察PDU 的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU 的长度和传输的频度，以便了解所交换的数据的某种性质。

问题7-1：用一个例子说明置换密码的加密和解密过程。

假定密钥为CIPHER，而明文为attack begins at four，加密时明文中的空格去除。

答：在英文26个字母中，密钥CIPHER这6个字母在26个英文字母中出现的位置用红色a b然后按行问题7-2答：(1)向一个特定服务器非常快地发送大量任意的分组，使得该服务器过负荷因而无法正常工作。

(2)向一个特定服务器发送大量的TCP SYN报文段（即建立TCP连接的三次握手中的第一个报文段）。

服务器还误以为是正常的因特网用户的请求，于是就响应这个请求，并分配了数据结构和状态。

但攻击者不再发送后面的报文段，因而永远不能够完成TCP连接的建立。

这样可以浪费和耗尽服务器的大量资源。

这种攻击方式又称为SYN flooding（意思是使用同步标志进行洪泛）。

(3)重复地和一个特定服务器建立TCP连接，然后发送大量无用的报文段。

(4)将IP数据报分片后向特定服务器发送，但留一些数据报片不发送。

这就使得目的主机永远无法组装成完整的数据报，一直等待着，浪费了资源。

(5)向许多网络发送ICMP回送请求报文（就是使用应用层的PING程序），结果使许多主机都向攻击者返回ICMP回送回答报文。

无用的、过量的ICMP报文使网络的通信量急剧增加，甚至使网络瘫痪。

这种攻击方式被称为smurf攻击。

Smurf就是能够对网络自动发送这种ICMP报文攻击的程序名字。

分布式拒绝服务DDOS的特点就是攻击者先设法得到因特网上的大量主机的用户账号。

然后攻击者设法秘密地在这些主机上安装从属程序(slave program)，如图所示。

一时刻在拒绝服务和分布式拒绝服务都是很难防止的。

使用分组过滤器并不能阻止这种攻击，因为攻击者的IP地址是事先不知道的。

当主机收到许多攻击的数据报时，很难区分开哪些是好的数据报，而哪些是坏的数据报。

例如，当服务器收到请求建立TCP连接的SYN报文时，很难区分这是真的请求建立TCP连接，还是恶意消耗服务器资源的连接请求。

第七章计算机网络基础综合习题一一、单项选择题1.用来补偿数字信号在传输过程中的衰减损失的设备是（）。

A.网络适配器B.集线器C.中继器D.路由器2.TCP/IP参考模型中的传输层对应于OSI中的（）。

A.会话层B.传输层C.表示层D.应用层3.不属于Windows XP网络本地连接属性的是（）。

A.网络客户端B.网络文件和打印机共享C.Internet协议D.共享文件4.下列叙述中错误的是（）。

A.网卡的英文简称是NIC B. TCP/IP模型的最高层是应用层C.国际化标准组织提出的“开放系统互连参考模型（OSI）有7层”D.Internet采用的是OSI体系结构5.选择网卡的主要依据是组网的拓扑结构，网络段的最大长度、节点之间的距离和（）。

A.接入网络的计算机种类B.使用的传输介质的类型C.使用的网络操作系统的类型D.互联网络的规模6.下列（）不属于“网上邻居”可以显示计算机所连接的网络上的共享资源。

A.共享文件夹B.共享计算机C.共享打印机D.共享文件7.下列不属于OSI参考模型分层的是（）。

A.物理层B.网络层C.网络接口层D.应用层8.下列（）不属于“Internet协议属性”对话框选项。

A.IP地址B.子网掩码C.诊断地址D.默认网关9.用户可以使用（）命令检测网络连接是否正常。

A.Ping B.FTP C.Telnet D.IPConfig 10.以下选项中不正确的是（）。

A.计算机网络是由计算机系统、通信链路和网络节点组成B.从逻辑功能上可以把计算机网络分成资源子网和通信子网两个子网C.网络节点主要负责网络中信息的发送、接收和转发D.资源子网提供计算机网络的通信功能，由通信链路组成11.下列选项中不正确的是（）。

A.无线传输的主要形式有无线电频率通信、红外通信、卫星通信B.光纤可分为单模光纤和多模光纤C.一条信道的最大传输速率和带宽成反比的，信道的带宽越高，信息的传输速率一条信道的最大传输速率和带宽成反比的，信道的带宽越高，就越慢D.bps指的是数据每秒传输的位数12.（）不是网络协议的主要要素。

第七章计算机网络7.1计算机网络概述1、计算机网络是指将一群具有独立功能的计算机通过通信设备及传输媒体被互联起来，在通信软件的支持下，实现计算2、物理连接：计算机网络由计算机系统、通信链路和网络节点组成。

逻辑功能：把计算机网络分成通信子网和资源子网两个子网。

3、4、5、计算机网络的分类：网络的覆盖范围、拓扑结构、传输介质、使用性质。

按传输介质划分：有线网、无线网有线网传输介质：双绞线和同轴电缆紧急简便，但传输距离短。

管线传输距离远，传输率高，但成本高。

无线网无线电波或红外线为传输介质，另外还有卫星数据通信网。

付费，属于经营性网络，商家建造维护，消费者付费使用。

6、网络协议：各个独立的计算机系统之间达成某种默契，严格遵守事先约定好的一整套通信规程，要交换的数据格式、控制信息的格式、控制功能以及通信过程中事件执行的顺序等的通信规程。

网络协议的三个要素：语法、语义、时序7、 协议分层：对于结构复杂的网络协议来说，最好的组织方式是层次结构，层与层之间相对独立，各层完成特定的功能，每一层都为上一层提供某种服务。

8、 网络体系结构：1）开放系统互联参考模型（OSI ）,将整个网络划分为7个层次——物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

2）TCP/IP 参考模型：是一组协议，一个完整的体系结构，考虑了网络互联问题。

主机A 主机B信息交换单位Message (信息报文）Message Message Message Packet （分组）Frame （帧）Bits （二进制流）传输介质路由器路由器传输介质7.2计算机网络的硬件与软件组成本地连接：利用网卡和网线与局域网连接。

IPConfig命令用于检查当前TCP/IP网络中的配置情况。

Ping<要连接的主机的IP地址>：命令用于监测网络连接是否正常。

Tracert目的主机的IP地址或主机名：判定数据到达目的主机所经过的路径，显示路径上各个路由器的信息。

无线与移动网络_计算机网络原理第七章_自考本科段概要:计算机网络原理第七章无线与移动网络知识点小结1、无线网络识记：无线链路特征；无线网络基本结构；无线网络模式；（1）无线链路特征：通过无线链路连接到基站，不同无线链路技术传输速率和传输距离不同。

（2）无线网络基本结构：无线主机、无线链路、基站、网络基础设施（3）无线网络模式：领会：无线网络特点；隐藏站现象；（1）无线网络特点：信号强度穿墙衰减、干扰、多径传播（2）隐藏站现象：因为物理阻挡或者信号干扰，检测不到目标站点2、移动网络识记：移动网路基本概念与术语（1）移动网路基本概念与术语：领会：移动网络基本原理；移动寻址；移动节点的路由；间接路由过程与直接路由过程；（1）移动网络基本原理：（2）移动寻址：移动节点从一个网络移到另一个网络保持地址不变（3）移动节点的路由：（4）间接路由过程与直接路由过程：间接过程：通信发数据报到永久地址，路由到归属网络，归属代理数据转发给外部代理，外部代理转发给移动节点，然后响应到通信者。

直接过程：3、无线局域网识记：典型IEEE 802.11无线局域网标准；IEEE 802.11网络结构；IEEE 802.11帧结构（1）典型IEEE 802.11无线局域网标准：（2）IEEE 802.11网络结构：基站、基本服务集（3）IEEE 802.11帧结构：信标帧（AP的SSID和MAC地址）（4）CSMA/CA协议：带碰撞避免的CSMA，源站发送数据前，监听信道是否空闲。

等待一个帧间间隔，发送短请求。

目的站收到请求，等待短帧间间隔，发送允许发送给源站。

源站等待间隔发送数据，目的站给响应。

领会：IEEE 802.11Mac协议（CSMA/CA）；IEEE 802.11地址（1）IEEE 802.11Mac协议（CSMA/CA）：（2）IEEE 802.11地址：去往AP、来自AP、目的地址、AP地址、源地址4、蜂窝网络识记：蜂窝网的体系结构；蜂窝网的通信过程；345G网络特点；（1）蜂窝网的体系结构：（2）蜂窝网的通信过程：（3）345G网络特点：领会：蜂窝网络的移动性管理；（1）蜂窝网络的移动性管理：5、移动IP网络识记：移动IP网络主要组成；（1）移动IP网络主要组成：代理发现、向归属代理注册、数据报间接路由选择领会：移动IP网络通信过程；（1）移动IP网络通信过程：6、其他典型无线网络简介识记：WiMax；蓝牙；ZigBee网络特点；（1）WiMax：全球微波互联接入。