《大學計算機基礎(chǔ)與應(yīng)用》課件第6章計算機網(wǎng)絡(luò)基礎(chǔ)

第6章計算機網(wǎng)絡(luò)基礎(chǔ)

計算機是高速處理信息的工具，計算

機網(wǎng)絡(luò)則是快速傳輸和交換信息的平臺。

在信息社會,信息只有通過快速交換和處

理才能充分體現(xiàn)其價值。計算機網(wǎng)絡(luò)是計

算機應(yīng)用技術(shù)深入發(fā)展的必然趨勢。因此

對計算機網(wǎng)絡(luò)知識的了解和掌握是現(xiàn)代社

會對人們的基本要求。

2011-11-?南昌大學計算中心2

n-1

本章目錄

。6.1計算機網(wǎng)絡(luò)才既述

?:*6.2計算機網(wǎng)絡(luò)工作原理

?:*6.3因特網(wǎng)

。6.4網(wǎng)絡(luò)安全

2011-11-?南昌大學計算中心3

6?1計算機網(wǎng)絡(luò)概述

tnaa

6.1.1計算機網(wǎng)絡(luò)定義

?:?目前較為公認的計算機網(wǎng)絡(luò)定義是：用通

訊設(shè)備、通訊介質(zhì)將分布在不同地理位置

的具有獨立功能的計算機系統(tǒng)連接起來,

通過協(xié)議軟件達到信息交換和資源共享目

的的系統(tǒng)。

?:?該強調(diào)的是具有獨立功能的計算機系統(tǒng)和

信息交換及資源共享。

2011-11-?南昌大學計算中心

n-1

6.1.2計算機網(wǎng)絡(luò)系統(tǒng)模型

?從計算機網(wǎng)絡(luò)定義可知，計算機網(wǎng)絡(luò)系統(tǒng)的組成有計

算機系統(tǒng)、通訊設(shè)備、通訊介質(zhì)（傳輸線）等，這些組成

部分各自有自己的技術(shù)體系和技術(shù)標準而且互不兼容，要

將這些成分放在一個系統(tǒng)中且讓它們協(xié)調(diào)工作其中存在很

多復雜的問題需要解決。

對于系統(tǒng)復雜問題的解決需要有科學的、系統(tǒng)的方法。

將系統(tǒng)中各個問題盡可能抽取出來并使它們之間的關(guān)系最

小化，找出它們在系統(tǒng)中的順序關(guān)系并逐個解決，這既是

體系結(jié)構(gòu)的思想。事實證明用體系結(jié)構(gòu)的方法解決計算機

網(wǎng)絡(luò)系統(tǒng)的問題是行之有效的。

雖然體系結(jié)構(gòu)方法是科學有效的，但面對復雜的計算

機網(wǎng)絡(luò)系統(tǒng)，不同的人有不同的認識，他們在計算機網(wǎng)絡(luò)

系統(tǒng)中看到問題是不同的，因此有多種根據(jù)體系結(jié)構(gòu)方法

建立起來的計算機網(wǎng)絡(luò)系統(tǒng)模型。計算機網(wǎng)絡(luò)系統(tǒng)模型的

不同使得計算機網(wǎng)絡(luò)系統(tǒng)的建設(shè)和應(yīng)用帶來諸多的問題和

困難。

2011-11-?南昌大學計算中心0

tnaa

1、開放系統(tǒng)互聯(lián)模型

?:?國際標準化組織(ISO)于1995年修訂公布

了命名為：開放系統(tǒng)互連參考模型

(0SI/RM)的計算機網(wǎng)絡(luò)系統(tǒng)模型標準。

七層模型：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、

傳輸層、會話層、表示層及應(yīng)用層。

2011-11-?南昌大學計算中心

n-1

?:?每一層之間的關(guān)系是上

層對下層提出服務(wù)要求

下一層為上一層提供服

務(wù)，即下層問題的解決

為上層問題解決提供保

障，到最上一層（應(yīng)用

層）是為使用者的需求

提供服務(wù)的，層與層之

間通過接口進行服務(wù)與

被服務(wù)數(shù)據(jù)的交換。

2011-11-?南昌大學計算中心8

?物理層：計算機系統(tǒng)與通訊設(shè)備如何連接。包

括：相互間的接插件、信號的電壓電流等、信

號的多少和各信號之間的時序關(guān)系及連接過程

的控刷等，稱做四大特性：既機械特性、電氣

特性、功能特性和規(guī)程特性；

?數(shù)據(jù)鏈路層：如何保證數(shù)據(jù)在傳輸線路上的正

確性和完整性。包括：數(shù)據(jù)的組織、錯誤檢測、

流量控制及傳輸過程維持和監(jiān)控等；

?網(wǎng)絡(luò)層：如何保證數(shù)據(jù)從發(fā)送設(shè)備經(jīng)過多次轉(zhuǎn)

送正確到達指定設(shè)備。包括：在多個通訊設(shè)備

中找到一條最佳的路線、在設(shè)備和線路發(fā)生故

障的情況時的處理等；

2011-11-?南昌大學計算中心9

n-1

?:?傳輸層：如何保證計算機系統(tǒng)之間的通訊正常；

包括：各通沆的計算就系統(tǒng)的狀態(tài)和連接、數(shù)據(jù)

傳輸?shù)姆绞胶唾|(zhì)量、傳輸狀態(tài)的控制等；

?:?會話層：數(shù)據(jù)在傳輸時的流暢性和正確性。包括:

數(shù)據(jù)傳輸過程中被中斷的處理等；

?:?表示層：如何使不同計算機系統(tǒng)內(nèi)數(shù)據(jù)表示的不

同得到統(tǒng)一。包括：數(shù)據(jù)的機內(nèi)表示與統(tǒng)一的抽

彖裝示的轉(zhuǎn)技、箱象裝示與傳輸裝示的轉(zhuǎn)換等；

?:?應(yīng)用層：信息的實際表示形式與計算機網(wǎng)絡(luò)系統(tǒng)

中處理和傳輸時的表示形式轉(zhuǎn)換。包括：不同應(yīng)

用中的信息在轉(zhuǎn)換過程中的組織和規(guī)范、各種應(yīng)

用信息傳輸時的特殊要求的滿足等。

2011-11-?南昌大學計算中心0

2、TCP/fP結(jié)構(gòu)

?:?雖然OSI/RM是國際標準，但它并沒有得到

實際的應(yīng)用，其原因并不是它不好，而是

在它公布之前已經(jīng)有一個計算機網(wǎng)絡(luò)體系

結(jié)構(gòu)在廣泛使用，這就是TCP/IP,這個體

系結(jié)構(gòu)是美國在研發(fā)Internet（互聯(lián)網(wǎng)）

的過程中設(shè)計的，它只有四層。

?:?四層模型：應(yīng)用層、傳輸層、網(wǎng)際層及主

機一接口層。

2011-11-?南昌大學計算中心

應(yīng)用層應(yīng)用層

?:TCP/IP結(jié)構(gòu)模型具有

更好的開放性和靈活傳輸層

性，是一個實用性很

強的體系結(jié)構(gòu)。網(wǎng)際層

共

數(shù)

公

傳

輸

據(jù)

主機一接網(wǎng)

口層

2011-11-?南昌大學計算中心0

6.1.3計算機網(wǎng)絡(luò)協(xié)議

?:?計算機網(wǎng)絡(luò)系統(tǒng)模型不僅僅是為了把系統(tǒng)

內(nèi)的問題劃分清楚，重要的是要針對各個

問題制定出解決辦法。這些辦法不能采取

要求系統(tǒng)內(nèi)各種設(shè)備統(tǒng)一技術(shù)標準的方式,

而是要通過協(xié)商制定出各種設(shè)備在不改變

自己結(jié)構(gòu)和技術(shù)標準的情況下都能接受并

可以解決問題的規(guī)則、規(guī)范和約定，所以

這些規(guī)則、規(guī)范和約定統(tǒng)稱為協(xié)議。

2011-11-?南昌大學計算中心

n-1

在協(xié)議中，各種規(guī)則、規(guī)范和約定都是以

固定的格式描述出來，描述的方式類似語言,

由語法、語義、同步（時序）構(gòu)成）分別為:

?:?語法數(shù)據(jù)與控制信息的結(jié)構(gòu)或格式。

?:?語義需要發(fā)出何種控制信息，完成何種動

作以及做出何種響應(yīng)。

同步事件實現(xiàn)順序的詳細說明。

2011-11-?南昌大學計算中心14

n-1

在計算機網(wǎng)絡(luò)系統(tǒng)模型的

各層中，針對具體的問題

制定出具體協(xié)議內(nèi)容，因

此每一層都有一?個或幾個

協(xié)議，所有協(xié)議最終都以

軟件的形式在系統(tǒng)中各設(shè)

備內(nèi)運行。

?協(xié)議雖然存在于網(wǎng)絡(luò)的各

種設(shè)備中，但它只是一種

邏輯上的規(guī)范，它是網(wǎng)絡(luò)

中所有設(shè)備在解決同一問

題是共同遵守的約定。

2011-11-?南昌大學計算中心0

6.1.4計算機網(wǎng)絡(luò)系統(tǒng)分類

?計算機網(wǎng)絡(luò)系統(tǒng)對使用者來說是交換

信息的平臺，但在系統(tǒng)中傳輸?shù)氖请?/p>

信號形式。電信號傳輸技術(shù)與傳輸距

離、連接方式和設(shè)備性能等因素有關(guān)。

根據(jù)這些因素計算機網(wǎng)絡(luò)系統(tǒng)可分為

不同的類型，目前計算機網(wǎng)絡(luò)系統(tǒng)的

分類主要是根據(jù)傳輸距離、連接方式

及相關(guān)因素劃分的9共分為三類:

2011-11-?南昌大學計算中心

n-1

L根據(jù)傳輸距離、連接方式及相關(guān)因素劃分

局域網(wǎng)（LAN）：計算機網(wǎng)絡(luò)系統(tǒng)中設(shè)備間（計

算機系統(tǒng)）相距最遠的距離為十幾公里以

內(nèi)；

廣域網(wǎng)（WAN）：計算機網(wǎng)絡(luò)系統(tǒng)中設(shè)備間（計

算機系統(tǒng)）相距最近的距離為五十公里以

上；

城域網(wǎng)（MAN）：介于局域網(wǎng)和廣域網(wǎng)之間范圍

內(nèi)的計算機網(wǎng)絡(luò)系統(tǒng)。

2011-11-?南昌大學計算中心17

n-1

2.根據(jù)通信介質(zhì)劃分:

有線網(wǎng)：信號在雙交線、同軸電纜、光纖等

傳輸介質(zhì)中傳輸；

無線網(wǎng)：信號以電磁波、微波、紅外線等形

式在空間傳輸。

無線局域網(wǎng)

2011-11-?南昌大學計算中心

6.1.3硬件設(shè)備及連接

計算機網(wǎng)絡(luò)系統(tǒng)中除了計算機系統(tǒng)外，還

有大量的通訊設(shè)備，主要包括：集線器、

交換機、路由器、調(diào)制解調(diào)器、網(wǎng)絡(luò)適配

器（網(wǎng)卡）、網(wǎng)關(guān)及通信衛(wèi)星和各類通信

電纜等。如圖6.5所示。

雙絞線同軸電纜

交換機網(wǎng)卡

2011-11-?南昌大學計算中心

insg

?:?集線器：設(shè)備間的連接；

?交換器：數(shù)據(jù)的轉(zhuǎn)發(fā)；

?:?路由器：網(wǎng)絡(luò)與網(wǎng)絡(luò)間數(shù)據(jù)傳輸路經(jīng)的選擇；

?:?調(diào)制解調(diào)器：模擬信號與數(shù)字信號間的轉(zhuǎn)換；

?:?網(wǎng)絡(luò)適配器：計算機與通信電纜的連接及數(shù)據(jù)

與信號的轉(zhuǎn)換；

?:?網(wǎng)關(guān)：不同數(shù)據(jù)格式間的轉(zhuǎn)換；

?:?通信衛(wèi)星：數(shù)據(jù)轉(zhuǎn)發(fā)；

2011-11-?南昌大學計算中心

n-1

各種設(shè)備在計算機網(wǎng)絡(luò)系統(tǒng)中的位置如圖6.6所示。

2011-11-?南昌大學計算中心21

6.2計算機網(wǎng)絡(luò)工作原理

6.2.1網(wǎng)絡(luò)地址

簡介：在計算機網(wǎng)絡(luò)中，數(shù)據(jù)是從一臺計算機發(fā)

送到一個由通訊設(shè)備組成的通訊網(wǎng)絡(luò)中，由通訊

網(wǎng)絡(luò)以合適的路線和方式傳送到另一臺計算機，

發(fā)送數(shù)據(jù)的計算機叫信源主機，目標計算機叫宿

主主機。通訊網(wǎng)絡(luò)之所以可以準確地完成傳輸是

因為計算機網(wǎng)絡(luò)系統(tǒng)中每一臺計算機和通訊設(shè)備

都有一個唯一的由一串數(shù)字組成識別標志，這個

識別標志叫做網(wǎng)絡(luò)地址。

?:?定義：計算機網(wǎng)絡(luò)系統(tǒng)中每一臺計算機和通訊設(shè)

備都有一個唯一的由一串數(shù)字組成識別標志。有

兩種形式:

2011-11-?南昌大學計算中心23

n-1

網(wǎng)絡(luò)地址的兩種形式

?:?物理地址：與通訊設(shè)備的硬件一起產(chǎn)生，一起消

亡（如每一網(wǎng)卡中有一個物理地址）；

?:?邏輯地址：根據(jù)協(xié)議規(guī)則產(chǎn)生和分配給計算機及

通訊設(shè)備（如IP地址）。

2011-11-?南昌大學計算中心

n-1

?:?數(shù)據(jù)在發(fā)送之前在計算機中根據(jù)各層協(xié)議規(guī)定組

織成合適的大小，并在網(wǎng)絡(luò)層修目標計算機的邏

輯地址和在數(shù)據(jù)鏈路層修下一個接收設(shè)備的物理

地址與之捆綁在一起，形成協(xié)議數(shù)據(jù)單元發(fā)送到

傳輸介質(zhì)上，下一臺通訊設(shè)備根據(jù)邏輯地址決定

是否轉(zhuǎn)發(fā)到另一臺通訊設(shè)備，最后到達目標計算

機。

一^一邏輯地址

4^乩63

FE:ED:F9:44:45:66------七，乜如FE:ED:F9:EFED:EC

5DD:EC:BC:AB:04:ACDD:EC:BC:43:7B:3465

FE:ED:F9:FE:44:AFFE:ED:F9:8954:23

2011-11-?南昌大學計算中心25?

同時也可是資源共享的申請者，既它們之間的關(guān)系是平等的,

這種網(wǎng)絡(luò)叫做對等網(wǎng)。但在大多數(shù)的計算機網(wǎng)絡(luò)系統(tǒng)中，資

源是集中在少數(shù)的計算機系統(tǒng)中，這樣做既可提高資源的利

用率，又便于資源的管理。具有資源的計算機系統(tǒng)不但要管

理好資源，重要的是要能隨時為資源的申請者提供服務(wù)，這

種計算機系統(tǒng)叫做服務(wù)器；而更多的申請資源的計算機系統(tǒng)

叫做客戶機。計算機向絡(luò)中這種工柞方￡口”做客戶一服務(wù)器

方式。

2011-11-?南昌大學計算中心26

n-1

6.2.2計算機網(wǎng)絡(luò)系統(tǒng)性能

評價一個計算機網(wǎng)絡(luò)系統(tǒng)的好壞可以從多個方

面進行，但往往只有計算機網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)傳輸

速度是使用者能夠直接感受到的。在計算機網(wǎng)絡(luò)

系統(tǒng)中數(shù)據(jù)傳輸是用單位時間傳送的二進制位的

多少來確定的，記作：bps(bitpersecond),叫

做數(shù)據(jù)速率。

雖然數(shù)據(jù)傳輸數(shù)率與系統(tǒng)中各種設(shè)備都有關(guān)，

但它與通訊介質(zhì)的關(guān)系更為密切，通訊介質(zhì)傳輸

信號的能力叫做帶寬，單位是赫茲(Hz),帶寬

越寬，可傳輸?shù)臄?shù)據(jù)數(shù)率越高。

2011-11-?南昌大學計算中心

n-1

6.2.3局域網(wǎng)組成

?:?局域網(wǎng)系統(tǒng)：局域網(wǎng)系統(tǒng)是計算機網(wǎng)絡(luò)應(yīng)

用中裝機量最多的一種網(wǎng)絡(luò)，局域網(wǎng)主要

由微型計算機系統(tǒng)（PC機）和相應(yīng)的通信

連接設(shè)備（集線器、交換機等）組成，它

的覆蓋范圍從幾十米到十幾公里，系統(tǒng)中

的數(shù)據(jù)傳輸速率從1OMbps到100OMbps

（IGbps）,它具有投資少、組建靈活、易

擴充易維護和管理及適應(yīng)各種應(yīng)用等特點。

2011-11-?南昌大學計算中心

n-1

由于有上述特點，局域網(wǎng)系統(tǒng)的組建可根

據(jù)需要選用不同的通信連接設(shè)備和傳輸介

質(zhì)連接成不同的拓撲結(jié)構(gòu)，如：總線結(jié)構(gòu)、

星型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)等。

總線型局域網(wǎng)

2011-11-?南昌大學計算中心29

?:?其中總線結(jié)構(gòu)網(wǎng)（也叫以太網(wǎng)Ethernet）

是局域網(wǎng)中應(yīng)用最多的一種結(jié)構(gòu)。因為它

的組建靈活性、易擴充易維護和管理便利

的特點優(yōu)于其它的拓撲結(jié)構(gòu)。

2011-11-?南昌大學計算中心

n-1

?:?局域網(wǎng)特點中與廣域網(wǎng)的最大不同之一在于網(wǎng)絡(luò)的管理，

廣域網(wǎng)由于覆蓋面大、投資人多及設(shè)備復雜等無法做到集

中統(tǒng)一的管理，因此廣域網(wǎng)中不存在網(wǎng)絡(luò)操作系統(tǒng)

（NOS）,而局域網(wǎng)通常都有網(wǎng)絡(luò)操作系統(tǒng)統(tǒng)一管理并設(shè)

有系統(tǒng)管理員。

?:?網(wǎng)絡(luò)操作系統(tǒng)安裝在局域網(wǎng)的某一臺計算機中，主要負責

整個網(wǎng)絡(luò)系統(tǒng)資源的管理和維護，同時也提供網(wǎng)絡(luò)中需要

的各種服務(wù)（如：文件服務(wù)、通信服務(wù)、打印服務(wù)等），

稱為服務(wù)器，其它計算機為客戶機，因此大多數(shù)局域網(wǎng)系

統(tǒng)都是采用客戶一服務(wù)器方式工作。（NOVELL公司的

NetWare,微軟公司的WindowNT、Windows2000Server

等）

2011-11-?南昌大學計算中心0

6.3因特網(wǎng)

6.3.1因特網(wǎng)概述

?:?因特網(wǎng)(Internet)9又稱互聯(lián)網(wǎng)是由很

多個獨立的廣域網(wǎng)、局域網(wǎng)和城域網(wǎng)互相

連接而成居系統(tǒng)。在因特網(wǎng)走)每個被連

接的網(wǎng)絡(luò)仍然保持各自的體系結(jié)構(gòu)，但同

時它們又在一個共同的TCP/1P體系結(jié)構(gòu)中

協(xié)調(diào)的工作

注：因特網(wǎng)是60年代初，由美國國防部領(lǐng)導的

遠景研究規(guī)劃局ARPA(AdvancedResearch

ProjectAgency)提出要研制一種生存性

(survivability)很強的網(wǎng)絡(luò)的背景下設(shè)計的。

2011-11-?南昌大學計算中心

n-1

?:?從1994年到現(xiàn)在，因特網(wǎng)逐漸演變成多級結(jié)構(gòu)網(wǎng)絡(luò)。目

前因特網(wǎng)分為以下五個接入級網(wǎng)絡(luò)接入點NAP,國家主

干網(wǎng)（主干ISP）,地區(qū)ISP,本地ISP,校園網(wǎng)、企業(yè)

網(wǎng)或PC機上網(wǎng)用戶。如圖6.11所示。

2011-11-?南昌大學計算中心34

1994年4月20日我國正式接入因特網(wǎng)，同年9月中國公用

計算機互聯(lián)網(wǎng)CHINANET正式啟動。目前我國已建造和正

在建造的篡于因特網(wǎng)技術(shù)并可而因特網(wǎng)互連的訐算機網(wǎng)

絡(luò)有9個：

中國公用計算機互聯(lián)網(wǎng)CHINANET

中國教育和科研計算機網(wǎng)CERNET

?中國科學技術(shù)網(wǎng)CSTNET

中國聯(lián)通互聯(lián)網(wǎng)UNINET

中國網(wǎng)通公用互聯(lián)網(wǎng)CNCNET

中國國際經(jīng)濟貿(mào)易互聯(lián)網(wǎng)CIETNET

中國移動互聯(lián)網(wǎng)CMNET

中國長城互聯(lián)網(wǎng)CGWNET（正在建造中）

中國衛(wèi)星集團互聯(lián)網(wǎng)CSNET（正在建造中）

2011-11-?南昌大學計算中心

n-10

6.3.2IP地址

?:?因特網(wǎng)中每一臺設(shè)備（計算機、通信設(shè)備

等）都有一個按照IP協(xié)議確定的全球統(tǒng)一

編碼，是設(shè)備在因特網(wǎng)網(wǎng)絡(luò)中唯一身份標

志

?:TP地址由32位二進制符號組成，分成網(wǎng)絡(luò)

號和設(shè)備號兩個部分。

IP地址={V網(wǎng)絡(luò)號》,V主機號〉}

2011-11-?南昌大學計算中心

n-1

?Ip地址中的網(wǎng)絡(luò)號和主機號并不全是平分

成16位和16位，而是劃分成五類：

?A類：8位網(wǎng)絡(luò)號，24位主機號；

?B類：16位網(wǎng)絡(luò)號，16位主機號;

?C類：24位網(wǎng)絡(luò)號，8位主機號；

?D類、E類為特殊地址。

2011-11-?南昌大學計算中心0

?域名是IP地址的另一種表示形式。

?:?因特網(wǎng)域名規(guī)定，網(wǎng)絡(luò)中每一臺設(shè)備、每一個網(wǎng)

絡(luò)、區(qū)域、行業(yè)都可以（或必須）有自己的名字，

但設(shè)備名必須與自己所在的網(wǎng)絡(luò)或區(qū)域或行業(yè)名

一起使用，名字的書寫按西方人名的習慣，中間

用句點隔開，主機名寫在最左邊，接著寫主機所

屬的網(wǎng)絡(luò)名或行業(yè)名或區(qū)域名，再寫（如有的話）

所屬網(wǎng)絡(luò)名或行業(yè)名所屬的區(qū)域名。

?域名服務(wù)器DNS是具有將域名轉(zhuǎn)換成IP地址功能的

計算機系統(tǒng)

2011-11-?南昌大學計算中心

n-1

6.3.3因特網(wǎng)接入

?:?物理連接：一條連接到ISP的通信線路，這

條線路可以是電話線，也可以是已接入因

特網(wǎng)的局域網(wǎng)線

?:?邏輯連接：一個IP地址，IP地址可以是固

定的，也可以是臨時的（由ISP動態(tài)分配）

2011-11-?南昌大學計算中心

n-1

?任何因特網(wǎng)的使用者通

過向ISP申請注冊，為自

己的計算機獲得一個IP

地址，以某一種方式連

接到接入網(wǎng)即可進入因

特網(wǎng)。

局域網(wǎng)校園網(wǎng)企業(yè)網(wǎng)個人計算機

2011-11-?南昌大學計算中心40

?接入因特網(wǎng)的方式可選擇撥號連接和局域網(wǎng)連接。

?撥號連接的步驟是：

1.用戶要準備好一條能撥通到ISP的電話線（家庭或辦公室的電話線

即可）；

?2.購買一臺調(diào)制解調(diào)器（MODEM）;

?3.將電話線插入MODEM端口；

?4.將MODEM與主機連上；

?5.啟動主機，進行相關(guān)設(shè)置。

局域網(wǎng)連接的步驟是：

?1.購買一塊網(wǎng)卡，并將網(wǎng)卡插入主機的擴展槽中（如果是內(nèi)置網(wǎng)卡，

此步可省略）；

?2.用一根雙絞線將主機與已接入因特網(wǎng)的局域網(wǎng)中的集線器或交換機

相連接；

?3.啟動主機，進行相關(guān)設(shè)置。/

2011-11-?南昌大學計算中心41

6.4網(wǎng)絡(luò)安全

6.4.1網(wǎng)絡(luò)安全概述

?:?計算機網(wǎng)絡(luò)系統(tǒng)尤其是因特網(wǎng)為人們交換

信息和共享資源提供了極大便利，成為人

們社會活動及日常生活不可分割的一部分。

然而，網(wǎng)絡(luò)作為開放的平臺，也呈現(xiàn)出它

在安全方面的脆弱性，為一些別有用心的

人為達到自己的私利所利用，他們或者以

破壞別人的計算機系統(tǒng)為樂，或者以竊取

別人的隱秘資料為己所用，給正常的社會

秩序和安全帶來了極大的威脅，這些人被

稱為網(wǎng)絡(luò)黑客。

2011-11-?南昌大學計算中心43

n-1

?:?近年來黑客在網(wǎng)上的攻擊活動每年以十倍

速增長，他們修改網(wǎng)頁進行惡作劇、竊取

網(wǎng)上信息興風作浪；非法進入主機破壞程

序、阻塞用戶、竊取密碼；串入銀行網(wǎng)絡(luò)

轉(zhuǎn)移金錢；進行電子郵件騷擾等。黑客還

可能會試圖攻擊網(wǎng)絡(luò)設(shè)備，使網(wǎng)絡(luò)設(shè)備癱

瘓。他們利用網(wǎng)絡(luò)安全的脆弱性，無孔不

入！

2011-11-?南昌大學計算中心0

?：?據(jù)美國軍方的一份報告透露，在1998年內(nèi)試圖

闖入五角大樓計算機網(wǎng)絡(luò)的嘗試達25萬次之多,

其中60%的嘗試達到了目的；

1998年9月22日，黑客入侵某銀行電腦系統(tǒng)，將

72萬元注入其戶頭，提出26萬元。為國內(nèi)首例

利用計算機盜竊銀行巨款案件；

?2006年,武漢一名青年編寫了一種叫“熊貓燒香”

的計算機病毒，造成了數(shù)以萬計的計算機癱瘓，

超過一千萬的個人及企業(yè)用戶中毒,直接及間接

經(jīng)濟損失高達億元以上。

2011-11-?南昌大學計算中心0

6.4.2網(wǎng)絡(luò)安全威脅的類型

?:?對網(wǎng)絡(luò)安全造成的威脅可根據(jù)其危害性分

成兩類：一類是以破壞計算機系統(tǒng)為目的

的行為；另一類是以竊取別人的資料為目

的的行為。前者主要采用的手段是編寫計

算機病毒程序，通過網(wǎng)絡(luò)傳播的途徑達到

目的；第二類是通過網(wǎng)絡(luò)以各種技術(shù)手段

非法侵入別人的計算機系統(tǒng)盜取別人的資

料以利用。

2011-11-?南昌大學計算中心

1、在第一類威脅中，計算機病毒程序以其

隱蔽性的特點藏身于正常的文件之中，利

用使用者從服務(wù)器或其它計算機上下載資

料的過程，主動發(fā)送或被動傳輸?shù)接脩舻?/p>

計算機中，伺機運行實施破壞。

2011-11-?南昌大學計算中心47

n-1

這類威脅的主要方式有：

?:?病毒

病毒是一種把自己的拷貝附著于機器中

的另一程序上的一段代碼。通過這種方式

病毒可以進行自我復制，并隨著它所附著

的程序在機器之間傳播。

2011-11-?南昌大學計算中心

n-1

?:?代碼炸彈

代碼炸彈是一種具有殺傷力的代碼，其原理

是一旦到達設(shè)定的日期或鐘點，或在機器中發(fā)生

了某種操作，代碼炸彈就被觸發(fā)并開始產(chǎn)生破壞

性操作。代碼炸彈不必像病毒那樣四處傳播，程

序員將代碼炸彈寫入軟件中，使其產(chǎn)生了一個不

能輕易地找到的安全漏洞，一旦該代碼炸彈被觸

發(fā)后，這個程序員便會被請回來修正這個錯誤，

并賺一筆錢，這種高技術(shù)的敲詐的受害者甚至不

知道他們被敲詐了，即使他們有疑心也無法證實

自己的猜測。

2011-11-?南昌大學計算中心49

?:?特洛伊木馬

特洛伊木馬程序一旦被安裝到機器上,

便可按編制者的意圖行事。特洛伊木馬能

夠摧毀數(shù)據(jù)，有時偽裝成系統(tǒng)上已有的程

序，有時創(chuàng)建新的用戶名和口令。

2011-11-?南昌大學計算中心

n-1

2、第二類威脅相對來說技術(shù)更為復雜，手段

多樣，具體可分為以下的四種威脅：

?:?截獲---從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容；

中斷---有意中斷他人在網(wǎng)絡(luò)上的通信；

?篡改——故意篡改網(wǎng)絡(luò)上傳送的報文；

?偽造---偽造信息在網(wǎng)絡(luò)上傳送。

2011-11-?南昌大學計算中心51

其中截獲信息的攻擊稱為被動攻擊，

而更改信息和拒絕用戶使用資源的攻擊稱

為主動攻擊。如圖6.22所示。

-----------------------------------------1---------------

源站目的站：源站目的站1源站目的站，源站

被動攻擊主動攻擊

圖6.22網(wǎng)絡(luò)安全威脅類型

2011-11-?南昌大學計算中心52

黑客技術(shù)

雖然網(wǎng)絡(luò)威脅的方式千變?nèi)f化，但黑客

們所用的技術(shù)可歸納為以下五種:

?:?網(wǎng)絡(luò)監(jiān)聽：自己不主動去攻擊別人，

在計算機上設(shè)置一個程序去監(jiān)聽目標

計算機與其他計算機通信的數(shù)據(jù)。

2011-11-?南昌大學計算中心53

tnaa

?:?網(wǎng)絡(luò)掃描：利用程序去掃描目標計算

機開放的端口等，目的是發(fā)現(xiàn)漏洞，

為入侵該計算機做準備。

治網(wǎng)絡(luò)入侵：當探測發(fā)現(xiàn)對方存在漏洞

以后，入侵至I目標計算機獲取信息。

2011-11-?南昌大學計算中心54

tnaa

?網(wǎng)絡(luò)后門：成功入侵目標計算機后）

為了對“戰(zhàn)利品”的長期控制，在目

標計算機中種植木馬等后門。

?:?網(wǎng)絡(luò)隱身：入侵完畢退出目標計算機

后，將自己入侵的痕跡清除，從而防

止被對方管理員發(fā)現(xiàn)。

2011-11-?南昌大學計算中心55

6.4.3網(wǎng)絡(luò)安全標準

網(wǎng)絡(luò)安全是一個系統(tǒng)問題，它

不是用簡單的用一■種或幾種防御技

術(shù)就能解決的，網(wǎng)絡(luò)安全是信息安

全的一l部分，一個完整的信息安全

系統(tǒng)至少包含三類措施：技術(shù)方面

的安全措施，管理方面的安全措施

和相應(yīng)的政策法律。

2011-11-?南昌大學計算中心56

?:?信息安全技術(shù)涉及到信息傳輸?shù)陌踩?/p>

信息存儲的安全以及對網(wǎng)絡(luò)傳輸信息

內(nèi)容的審計三方面，當然也包括對用

戶的鑒別和授權(quán)。

2011-11-?南昌大學計算中心0

?:?在國外，各國針對信息安全制定了多種政策和法

律：

可信計算機標準評估規(guī)則橘皮書(TCSEC,美國)

歐洲ITSEC標準

加拿大CTCPEC標準

美國聯(lián)邦準則(FC)

美國信息技術(shù)安全評價通用準則(CC)

ISO安全體系結(jié)構(gòu)標準(ISO7498-2-1989)＜信息處

理系統(tǒng)開放系統(tǒng)互連基本參考模型第二部分安全

體家結(jié)病》

美國國家安全局:信息保障技術(shù)框架(IATF)

2011-11-?南昌大學計算中心0

?:?在我國）也制定了一系列相關(guān)的政策和法

律。

主管部門：公安部,信息產(chǎn)業(yè)部，國家技術(shù)標

準局等

2011-11-?南昌大學計算中心59

?:?以上標準中，可信計算機標準評估規(guī)則橘皮書是

廣泛采用的標準，其中分為7個安全級別：

A級：絕對可信網(wǎng)絡(luò)安全，它包含了一個嚴格的設(shè)計、

控制和驗證過程。

B級：完全可信網(wǎng)絡(luò)安全，系統(tǒng)不允許文件的擁有者

改變其許可權(quán)限，使用安裝硬件的方式來加強域

的安全等。

C級:可信網(wǎng)絡(luò)安全，系統(tǒng)對硬件又有某種程度的保

護，如用戶擁有注冊賬號和口令，系統(tǒng)用戶在不

是超級用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)等。

D級:不可信網(wǎng)絡(luò)安全，是最低的安全級別

2011-11-?南昌大學計算中心60

n-1

?:?在我國根據(jù)《計算機信息系統(tǒng)安全保護等

級劃分準則》，1999年10月經(jīng)過國家質(zhì)量

技術(shù)監(jiān)督局批準發(fā)布準則將計算機安全保

護劃分為以下五個級別

第一級為用戶自主保護級

第二級為系統(tǒng)審計保護級

第三級為安全標記保護級

第四級為結(jié)構(gòu)化保護級

第五級為訪問驗證保護級

2011-11-?南昌大學計算中心0

6.4.4網(wǎng)絡(luò)安全設(shè)置

網(wǎng)絡(luò)安全的設(shè)置分兩個層面實施）一

是從系統(tǒng)層面，二是從用戶層面。

1、在系統(tǒng)層面是由網(wǎng)絡(luò)系統(tǒng)管理員針對整

個網(wǎng)絡(luò)系統(tǒng)的安全需求，從制定網(wǎng)絡(luò)安全

策略、選擇網(wǎng)絡(luò)安全技術(shù)入手，應(yīng)用訪問

控制機制、網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)、

代理網(wǎng)關(guān)等技術(shù)設(shè)備建立較為完善的防御

體系。

2011-11-?南昌大學計算中心

n-1

2、對于普通用戶來說）保護好自己的計算機

系統(tǒng)免遭黑客們的攻擊是維護網(wǎng)絡(luò)安全的

重要一步。個人計算機用戶可以選擇的網(wǎng)

絡(luò)安全技術(shù)有：防病毒軟件、操作系統(tǒng)自

身提供的安全設(shè)置等。

2011-11-?南昌大學計算中心63

n-1

防病毒軟件是目前對付計算機網(wǎng)絡(luò)病毒的有效工具，如:

瑞星、金山毒霸、KILL等。如圖6.23所示。

2011-11-?南昌大學計算中心64

在Windows的多個版本中都提供了相應(yīng)

的安全設(shè)置，用戶根據(jù)自己的需要，通過

對這些設(shè)置操作，可以達到提高系統(tǒng)自身

安全的目的。主要的操作如下：

?:?一、加強用戶帳號管理，如在計算機管理的

用戶里面把Guest帳號停用等

?:?二、從安全策略上提高安全性能，如關(guān)閉

不必要的端口，下載最新的補丁等。

2011-11-?南昌大學計算中心