数据库系统工程师——第五章 网络基础知识

news/2024/3/28 21:59:24/文章来源:https://blog.csdn.net/qq_41840843/article/details/130220088

文章目录

    • 📂 第五章、网络基础知识
    • 📁 5.1 计算机网络概述
    • 📖 5.1.1 计算机网络的概念
    • 📖 5.1.2 计算机网络的分类
    • 📖 5.1.3 网络的拓扑结构
    • 📁 5.2 网络硬件基础
    • 📖 5.2.1 网络设备
    • 📖 5.2.2 网络传输介质
    • 📁 5.3 网络的协议与标准
    • 📖 5.3.1 网络的标准
    • 📖 5.3.2 局域网协议
    • 📖 5.3.3 广域网协议
    • 📖 5.3.4 TCP/IP协议簇
    • 📁 5.4 Internet基础知识
    • 📖 5.4.1 Internet概述
    • 📖 5.4.2 Internet地址
    • 📖 5.4.3 Internet服务
    • 📁 5.5 信息安全基础知识
    • 📁 5.6 网络安全概述

📂 第五章、网络基础知识

📁 5.1 计算机网络概述

📖 5.1.1 计算机网络的概念

计算机网络的定义:利用通信设备和线路将地理位置分散的、功能独立的自主计算机系统或由计算机控制的外部设备连接起来,在网络操作系统的控制下,按照约定的通信协议进行信息交换,实现资源共享的系统。

计算机网络发展的4个阶段:具有通信功能的单机系统→具通信功能的多机系统→以共享资源为目的的计算机网络→以局域网及因特网为支撑环境的分布式计算机系统。

计算机网络功能:

计算机网络的功能:

数据通信 : 通信或数据传输是计算机网络主要功能之一,用以在计算机系统之间传送各种信息。
资源共享 : 资源共享是计算机网络最有吸引力的功能。通过资源共享,可使网络中分散在异地的各种资源互通有无,分工协作,从而大大提高系统资源的利用率。资源共享包括软件资源共享和硬件资源共享。
负载均衡 : 在计算机网络中可进行数据的集中处理或分布式处理,使多台计算机相互协作,均衡负载,共同完成任务。
高可靠性 : 在计算机网络中的各台计算机可以通过网络彼此互为后备机,一旦某台计算机出现故障,故障机的任务就可由其他计算机代为处理。

计算机网络按照数据通信和数据处理的功能可分为两层:内层通信子网和外层资源子网。

通信子网的节点计算机和高速通信线路组成独立的数据系统,承担全网的数据传输、交换、加工和变换等通信处理工作;

通信子网对应OSI中的低三层:物理层、数据链路层、网络层,专门解决数据传输和通信控制问题;

资源子网包括计算机、终端、通信子网接口设备、外部设备及各种软件资源等,负责全网的数据处理和向网络用户提供网络资源及网络服务;

资源子网对应OSI中的高三层:会话层、表示层、应用层,主攻数据处理。

📖 5.1.2 计算机网络的分类

按照不同的分类原则,可以得到各种不同类型的计算机网络。

a) 按通讯距离
局域网:传输距离短,传输速率高,拓扑简单。
特点:
(1)分布范围有限。
(2)有较高的通信带宽。
(3)数据传输可靠,误码率低。
(4)通常采用同轴电缆或双纹线作为传输介质。跨楼寓时使用光纤。
(5) 拓扑结构简单简洁,大多采用总线、星型和环型等,系统容易配置和管理。
(6)网络的控制一般趋向于分布式,从而减少了对某个节点的依赖性,避免并减小了一个节点故障对整个网络的影响。
(7)通常网络归单一组织所拥有和使用。


广域网:传输距离长,传输速率低,拓扑复杂。
特点:
(1)分布范围广。
(2)数据传输率低。
(3)数据传输可靠性随着传输介质的不同而不同。
(4)广域网常常借用传统的公共传输网来实现,因为单独建造一个广域网极其昂贵。
(5)拓扑结构较为复杂,大多采用“分布式网络”,即所有计算机都与交换节点相连,从而实现网络中任何两台计算机都可以进行通信。


城域网:介于上面两者之间。
距离的长和短界限定义比较模糊,之所以有单独城域网的定义并不是因为距离或者传输速率等原因,而是因为有一个实际的标准并且正在被实施。这就是分布式队列双总线(DQDB),又称为 IEEE 8026。

b) 按信息交换方式
分为电路交换网、分组交换网和综合交换网

c) 按网络拓扑结构
分为总线、星状、环状、树状和分布式

在这里插入图片描述

d) 其他
按照通信介质分为:双绞线、同轴电缆、光纤、卫星等
按照传输带宽分为:基带和宽带
按照使用范围分为:公用和专用。
按照速率分为:高速、中速和低速按照通信传播方式分为:广播式和点到点

📖 5.1.3 网络的拓扑结构

常用的网络拓扑结构有总线型、星型、环型、树型和分布式结构等。
在这里插入图片描述

a) 总线型
优点:
(1) 只有一条双向链路,便于广播式传送信息;
(2) 总线型拓扑结构属于分布式控制,无需中央处理器,结构简单;
(3) 系统扩充性能好,节点的增、删和位置的变动较容易,变动中不影响网络的正常运行;
(4) 系统可靠性高,节点的接口通常采用无源线路:
(5) 设备少,价格低,安装使用方便;

缺点:
(1) 由于电气信号通路多,干扰较大,因此对信号的质量要求高。
(2) 负载重时,线路的利用率较低。
(3) 网上的信息延迟时间不确定,故障隔离和检测困难。

b) 星型
优点:
(1) 维护管理容易,重新配置灵活;
故障隔离和检测容易;
网络延迟时间短;

缺点:
(1) 各节点与中央交换单元直接连通,各节点之间通信必须经过中央单元转换:
(2) 网络共享能力差;线路利用率低,中央单元负荷重。

c) 环型
优点:
(1) 信息单向沿环路逐点传送。信息的流动方向是固定的,两个节点仅有一条通路,路径控制简单;
(2) 有旁路设备,节点一旦发生故障,系统自动旁路,可靠性高;

缺点:
(1) 信息要串行穿过多个节点,在网中节点过多时传输效率低,系统响应速度慢;
(2) 由于环路封闭,扩充较难。

d) 树型
树型结构是总线型结构的扩充形式,传输介质是不封闭的分支电缆,它主要用于多个网络组成的分级结构中。其特点同总线型网。

e) 分布式结构
分布式结构无严格的布点规定和形状,各节点之间有多条线路相连

优点:
(1) 分布式网有较高的可靠性,当一条线路有故障时,不会影响整个系统工作;
(2) 资源共享方便,网络响应时间短;

缺点:
(1) 由于节点与多个节点连接,故节点的路由选择和流量控制难度大,管理软件复杂;
(2) 硬件成本高。

广域网与局域网所使用的网络拓扑结构有所不同,广域网多用分布式或树型结构,而局域网常使用总线型、环型、星型或树型结构。

📁 5.2 网络硬件基础

📖 5.2.1 网络设备

网络传输介质互联设备:

如T型头(细同轴电缆连接器)、收发器、RJ-45(屏或非双纹线连接器)、RS232 接口(目前计算机与线路接口的常用方式)、DB-15 接口(连接网络接口卡的AUI接口)、VB35 同步接口(连接远程的高速同步接口)、网络接口单元和调制解调器(数字信号与模拟信号转换器)等。

物理层互联设备:

物理层的互联设备有中继器(Repeater)集线器(Hub)

1)中继器
用于扩展局域网网段的长度和用于连接相同的局域段。  

2)集线器
可以看成是一种特殊的多路中继器,也具有信号放大功能。
以集线器为中心的网络优点是当网络系统中某条线路或某节点出现故障时,不会影响网上其他节点的正常工作。

集线器可分为无源(passive) 集线器有源 (active)集线器和智能 (intelligent)集线器。

数据链路层的互联设备:

数据链路层的互联设备有网桥(Bridge)交换机(Switch)

1)网桥
用于连接两个局域网网段,工作于数据链路层。网桥要分析帧地址字段,以决定是否把收到的顿转发到另一个网络段上。

2)交换机
按每一个包中的 MAC 地址相对简单地决策信息转发,转发决策一般不考虑包中隐藏的更深的其他信息。
交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。

交换机的三种交换技术;端口交换、帧交换和信元交换。

(1)端口交换技术——用于将以太模块的端口在背板的多个网段之间进行分配、平衡。
(2)帧交换技术——对网络的处理方式分为直通交换和存储转发。其中,直通交换方式可提供线速处理能力,交换机只读出网络顿的前 14 个字节,便将网络传送到相应的端口上;存储转发方式通过对网络帧的读取进行验错和控制。
(3)信元交换技术——采用长度(53 个字节)固定的信元交换,由于长度固定,因而便于用硬件实现。

.网络层互联设备:

路由器 (Router)是网络层互联设备,用于连接多个逻辑上分开的网络。

路由器最主要的功能是选择路径,由于它工作在网络层,处理的信息比网桥多,因而处理速度比网桥慢。

.应用层互联设备:

网关(Gateway)是应用层的互联设备。在一个计算机网络中,当连接不同类型而协议差别又较大的网络时,则要选用网关设备,一般网关只进行一对一转换。

📖 5.2.2 网络传输介质

传输介质是信号传输的媒体,常用的介质分为有线介质和无线介质。有线介质有双纹线同轴电缆和光纤等;无线介质有微波、红外线和激光等。

1)双绞线(Twisted-Pair)
双绞线是现在最普通的传输介质,它分为屏蔽双绞线(STP)和非屏双绞线(UTP)。

10Base-T 和 100Base-T 的以太网中具体规定有:
一段双绞线的最大长度为100m,只能连接一台计算机;
双绞线的每端需要一个RJ45 插件;
各段双绞线通过集线器互联,利用双绞线最多可连接 64 个站点到中继器。

2)同轴电缆(Coaxial)
同轴电缆也像双绞线那样由一对导体组成。
宽带同轴电缆用于频分多路复用(FDM)的模拟信号发送,还用于不使用频分多路复用的高速数字信号发送和模拟信号发送。闭路电视所使用的CATV电缆就是宽带同轴电缆。

3)光纤(Fiber Optic)
光导纤维简称光纤,它重量轻,体积小。用光纤传输电信号时,在发送端先要将其转换成光信号,而在接收端又要由光检波器还原成电信号。

光纤是软而细的、利用内部全反射原理来传导光束的传输介质。

按光源采用不同的发光管分为发光二极管和注入型激光二极管。
多模光纤(Multimode Fiber)使用的材料是发光二极管,价格较便宜,但定向性较差;
单模光纤(SingleMode Fiber)使用的材料是注入型二极管,定向性好,损耗少,效率高,传播距离长,但价格昂贵。

4)微波
微波通信是在对流层视线距离范围内利用无线电波进行传输的一种通信方式,频率范围为2~40GHz。微波通信是沿直线传播的。
   
5)红外线和激光
红外通信和激光通信也像微波通信一样,有很强的方向性,都是沿直线传播的。这三种技术都需要在发送方和接收方之间有一条视线(Line-of-sight)通路,有时统称这三者为视线媒体。  

6)卫星通信
卫星通信是以人造卫星为微波中继站,它是微波通信的特殊形式,优点是容量大距离远,缺点传播延迟时间长。

📁 5.3 网络的协议与标准

在网络的标准化方面,有许多标准化机构在工作,如国际标准化组织、国际电信联盟、电子工业协会、电气和电子工程师协会、因特网活动委员会等。

📖 5.3.1 网络的标准

电信标准、国际标准、Internet标准(了解)。

📖 5.3.2 局域网协议

局域网基本组成:网络服务器、网络工作站、网络适配器和传输介质。

决定局域网特性的主要技术有3方面:用以传输数据的传输介质、用以连接各种设备的拓扑结构、用以共享资源的介质访问控制方法。不同的局域网协议最主要的区别是介质访问控制方法。
  
以太网主要的3种类型:
IEEE802.3定义的标准局域网,速度10Mb/s,传输介质为细同轴电缆;
IEEE802.3u定义的快速以太网,速度100Mb/s,传输介质为双绞线;
IEEE802.3z定义的千兆以太网,速度1000Mb/s,传输介质为光纤或双绞线。

📖 5.3.3 广域网协议

点对点协议(PPP)、数字用户线、数字专线、X.25协议。

📖 5.3.4 TCP/IP协议簇

TCP/IP协议是Internet的核心协议,是迄今为止发展最为成熟的互联网络协议系统,主要特征:

a) 逻辑编址:每台连入互联网的计算机分配一个逻辑地址(IP),一个IP地址包括网络ID号、子网络ID号、主机ID号,因此可以通过分配的IP地址快速找对对应的计算机。

b) 路由选择:在TCP/IP中包含了专门用于定义路由器如何选择网路路径的协议,即IP数据包的路由选择。

c) 域名解析:为了方便用户记忆和使用专门设置的字母式地址结构,称为DNS或者域名,将域名映射为IP地址称为域名解析。

d) 错误检测与流量控制:TCP/IP具有分组交换确保数据信息在网络上可靠传递的特性,包括监测数据信息的传输错误,确认已传递的数据信息已被成功地接收,监测网络系统的信息流量,防止网络拥塞现象。

TCP/IP 分层模型: ⭐ ⭐ ⭐

在这里插入图片描述

应用层协议数据单元—消息;传输层—用户数据报;数据链路层—帧;网络层—报文段。

网际层协议:

IP主要功能:

(1)将上层数据(如TCP、UDP数据)或同层其他数据(如ICMP数据)封装到IP数据报中;
(2)将IP数据报传送到最终目的地;
(3)对数据进行分段以使数据能够在链路层上进行传输;
(4)确定数据报到达其他网络目的地的路径。

传输层协议TCP:

TCP:
(1)TCP为应用程序提供一个可靠的、面向连接的、全双工的数据传输服务。
(2)TCP通过重发技术实现数据传输可靠性:在TCP传输过程中,发送方启动一个定时器,然后将数据包发出,接收方收到这个信息就返回“确认”信息给发送方,如果发送方在定时器到点之前仍未收到这个确认信息,就重新发送该数据包——重发(retransmission)技术。
(3)利用TCP建立和关闭连接需要通过3次握手:

a) 源主机发送一个TCP数据包(同步标志位为1),表示想与目标机进行通信;
b) 目标机发送确认(ACK位置1)进行响应表示愿意进行通信;
c) 源主机以确认来响应目标机的TCP包,该确认包括想要接收的下一序列号(该帧可包含发送的数据)。
在这里插入图片描述

(4)TCP协议一般用于传输数据量较少但对可靠性要求高的场合。

UDP:
  UDP是一种不可靠的、无连接的协议,可以保证应用程序进程间的通信。
  TCP有助于提高可靠性,UDP有助于提高传输的高速率性。
  UDP协议主要作用就是将UDP消息展示给应用层,它并不负责重新发送丢失的或出错的数据消息,不对接收到的无序IP数据包重新排序,不消除重复的IP数据报,不对已收到的数据报进行确认,也不负责建立或终止连接。

TCP、UDP对比:

1、TCP提供可靠的数据传输服务,但消耗更多的时间和通信量;传输速率低,适用于传输的数据量不多,对传输速度要求不高,但对可靠性要求较高的场景。
  
2、UDP可以实现高速率传输,适用于传输数据量大,对传输速率高,但对可靠性要求不高或者已知网络是可靠的情况下的场景。

ARP和 RARP:

地址解析协议(Address Resolution Protocol,ARP)及反地址解析协议(RARP)是驻留在网际层中的重要协议。

ARP 的作用是将IP 地址转换为物理地址,RARP 的作用是将物理地址转换为IP 地址

网际层协议ICMP:

ICMP 就是一个专门用于发送差错报文的协议。

ICMP 定义了5 种差错报文(源抑制、超时、目的不可达、重定向和要求分段)和4种信息报文(回应请求、回应应答、地址屏蔽码请求和地址屏蔽码应答)。

应用层协议:

应用层的协议有 NFS、Telnet、SMTP、DNS、SNMP和FTP等。

📁 5.4 Internet基础知识

📖 5.4.1 Internet概述

Intemet 是世界上规模最大,覆盖面最广且最具影响力的计算机互联网络,它是将分布在世界各地的计算机采用开放系统协议连接在一起,用来进行数据传输、信息交换和资源共享。

📖 5.4.2 Internet地址

Internet地址格式主要有两种书写形式:域名格式和IP地址格式。

域名:

域名(Domain Name)通常是用户所在的主机名字或地址。域名格式是由若干部分组成的,每个部分又称子域名,它们之间用“.”分开,每个部分最少由两个字母或数字组成。域名通常按分层结构来构造,每个子域名都有其特定的含义。通常情况,一个完整、通用的层次型主机域名由如下4部分组成:

计算机主机名.本地名.组名.最高层域名

比如:
www.12306.cn,cn表示地理性顶级域名“中国”;
www.baidu.com,com表示类别顶级域名“工商企业性质的网站”;
www.263.net,net表示组织性顶级域名“网络技术组织机构”;

如果一个主机所在的网络级别较高,它可能拥有的域名仅三部分: 本地名.组名.最高层域名。

IP地址:

Intemmet 中的地址可分为5类:A类、B类、C类D类和E类。在P 地址中,全0代表的是网络,全1代表的是广播。
在这里插入图片描述
NAT技术:

解决I地址短缺的问题:

长期的解决方案——使用具有更大地址空间的 IPv6 协议;
短期的解决方案——网络地址翻译(Network Address Translators,NAT)

NAT 技术最初提出的建议是在子网内部使用局部地址,而在子网外部使用少量的全局地址,通过路由器进行内部和外部地址的转换。NAT 的实现主要有两种形式(动态地址翻译(Dynamic Address Translation)、伪装(masquerading)——特殊的NAT应用是m:1翻译)。

子网掩码:
子网掩码需结合IP地址来看,脱离了IP地址就毫无意义,它是用来识别具体的IP地址中哪些是网络号部分哪些是主机号部分。

子网掩码的格式与IP地址相同,对应网络号部分用1表示,对应主机号部分用0表示。比如C类地址前面3字节(24位)为网络号,第4字节(8位)为主机号,默认子网掩码为255.255.255.0,二进制形式:11111111 11111111 11111111 00000000。

1.求解网络号:子网掩码和IP地址转换为二进制,再做“逻辑与”运算(串联原理)。
例如:求C类地址210.42.96.138的网络号
(1)IP地址二进制转换:11010010 00101010 01010110 10001010
(2)子网掩码二进制转换:11111111 11111111 11111111 00000000
(3)逻辑与运算:11010010 00101010 01010110 00000000(红色部分网络号)

2.求解主机号:子网掩码按位取反,再与IP地址做“逻辑与”运算。
例如:求C类地址210.42.96.138的主机号
(1)子网掩码按位取反:00000000 00000000 00000000 11111111
(2)IP地址二进制转换:11010010 00101010 01010110 10001010
(3)逻辑与运算:00000000 000000000 00000000 10001010(红色部分主机号)

可变长子网掩码:
VLSM(Variable Length Subnet Mask,可变长度子网掩码)应用不同大小的子网掩码来对IP地址空间进行子网划分,VLSM的作用就是在类的IP地址的基础上,从它们的主机号部分借出相应的位数来做网络号,也就是增加网络号的位数,具体的方法就是在IP地址的后面加上“/网络号及子网络号编址位数”,例如193.168.125.0/27,前27位表示网络号。

(1)IP地址:210.42.96.138 →11010010 00101010 01100000 10001010
(2)子网掩码:255.255.255.192 →11111111 11111111 11111111 11000000,可见该子网掩码左边连续为1位网络地址,右边连续为0位主机地址。
(3)逻辑与运算网络号:11010010 00101010 01100000 10001010(红色部分为网络号,绿色部分为主机号)

可变长子网掩码表示:210.42.96.138/26,/26表示该子网掩码有26个1,借主机号2位给网络号。

例题:子网划分C类IP:210.42.96.*/24,需要划分成8个子网。
(1)对应二进制11010010 00101010 01100000 ********(红色部分为网络号,*部分为主机号)
(2)划分8个子网需要借3位主机号(256-256/8=224=27+26+2^5),也就是11010010 00101010 01100000 **00000(绿色3个为借位网络号—子网号),对应C类子网划分总结表:
在这里插入图片描述

(3)子网号:000,001,010,011,100,101,110,111,对应每个子网最多主机数 2^5-2=302 。
在这里插入图片描述

同理,也可以通过借位网络号来增加主机数。

IPV6:

现在的IP协议版本号为4,即IPV4,4个字节,32位,字节间用“.”连接,最多的IP地址为2^{32}≈40亿个。
IPV6地址空间为128位,16字节,使用8个十六进制数中间加小数点“:”表示,理论上最多的IP地址有2^{128}个。
例如:686E:8C64:FFFF:FFFF:0:1180:96A:FFFF

允许0压缩,即连续的0可以用一个冒号代替。
例如:FF05:0:0:0:0:0:0:B3→FF05::B3。

IPV6可以和IPV4结合使用,如:0:0:0:0:0:0:128.10.1.1→::128.10.1.1

📖 5.4.3 Internet服务

使用各类Internet服务时,可以使用端口号进行区分,TCP和UDP协议的端口号为16位,支持0~ 65535的端口号,其中0 ~ 1023为公共端口,1024~65535需要注册登记。

域名服务:

Internet中的域名地址与IP地址是等价的,它们之间是通过域名服务来完成映射变换的。

域名系统采用的是客户端/服务器模式,整个系统由解析器和域名服务器组成;
解析器负责查询域名服务器,返回信息等工作;
域名服务器是服务器方,保存着一部分域名空间的全部信息,分为主服务器、缓存服务器和转发服务器;
进行域名解析时,首先是检查本地缓存,然后本地域名服务器,再是依次从下往上向各层服务器发出查询地址的请求。

远程登录服务、电子邮件服务、万维网服务、文件传输服务。

📁 5.5 信息安全基础知识

信息安全要素:机密性、完整性、可用性、可控性和可审查性。

网络攻击的分类:

1.主动攻击

主动攻击会导致某些数据流被篡改或者产生虚假的数据流,这类攻击可分为篡改消息、伪造消息、重放和拒绝服务。

(1)篡改消息:是指一个合法消息的某些部分被修改、删除、延迟、重新排序等,如修改传输消息中的数据,将:“允许甲执行操作”改为“允许乙执行操作”。
(2)伪造(伪装、假冒):是指某个实体假扮成其他实体,从而以欺骗的方式获取一些合法用户的权利和特权。
(3)重放:是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
(4)拒绝服务(DOS):是指攻击者不断地对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

2.被动攻击

与主动攻击不同的是,被动攻击中攻击者并不对数据信息做任何修改,也不产生虚假的数据流,通常包括窃听、流量分析等攻击方式。

(1)窃听(截取):是指攻击者在未经用户同意和认可的情况下获得了信息或有关的数据。
(2)流量分析(通信量分析):是指攻击者虽然从截获的消息中无法得到消息的真实内容,但攻击者还是能通过观察这些数据报的模式,分析确定出通信双方的位置、通信的次数及消息的长度,获知相关的敏感信息。

📁 5.6 网络安全概述

安全的分类:

物理安全:物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故及人为操作失误及各种计算机犯罪行为导致的破坏,主要是场地安全与机房安全。

网络安全:主要是非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
系统安全:主要指操作系统的安全。
应用安全:与应用系统相关的安全。

防火墙技术:

防火墙的作用是防止不希望的、未经授权的进出被保护的内部网络,通过边界控制强化内部网络的安全策略。它阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全的威胁,防火墙主要是用于逻辑隔离外部网络与受保护的内部网络。

包过滤防火墙:

包过滤防火墙处于网络层和数据链路层之间,一般有一个包检查块(包过滤器),数据包过滤可以根据数据报头中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因为内容是应用层数据。

优点:
(1)过滤型防火墙通常直接转发报文,它对用户完全透明,速度较快;
(2)对每条传入或传出网络的IP包打开并进行检查,例如源地址、目标地址、协议和端口等,对于不符合包过滤规则的包进行识别记录,发出警报并丢弃该包
(3)包过滤通常被包含在路由器数据报中,所以不需要额外的系统来处理这个特征。
缺点:
(1)不能防范黑客攻击,因为网管部可能区分出可信网络与不可信网络的界限;
(2)不支持应用层协议,因为它不识别数据包中的应用层协议,访问控制粒度太粗糙,不能处理新的安全威胁。

应用代理网关防火墙:

应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。

所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的写一会化过程必须符合代理的安全策略要求。

优点:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
缺点:难以配置,处理速度非常慢。

状态检测技术防火墙:
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速等优点,在不损失安全性的基础上提高了代理防火墙的性能。

状态检测防火墙对每个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力,同时也改进了流量处理速度。因为他采用了一系列优化技术,使防火墙性能大幅提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。

入侵检测和防御:

入侵检测系统(IDS):防火墙之后的第二道安全屏障,注重网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或遭到入侵攻击的迹象,并发出警报,因此绝大多数IDS洗头都是被动的。

主要功能:对用户和系统行为的检测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪,以及违反安全策略的用户行为的检测等。

入侵防护系统(IPS):实在入侵检测系统的基础上发展起来的,不仅能够检测到网络中的攻击行为,同时可以主动地对攻击行为发出响应,对入侵活动和攻击性网络流量进行拦截,避免造成损失。

Tips:

SSH协议在终端设备和远程站点之间建立安全连接。(在应用层和传输层基础上)

安全电子邮箱服务:SSL、HTTPS、PGP(优良保密协议)

ADSL(非对称数字用户线路),利用电话线上网,客户端介质:双绞线

ARP协议:IP到MAC地址的转换

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_103809.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【k8s】ruoyi微服务迁移到k8s

书接上回【传统方式部署Ruoyi微服务】,此刻要迁移至k8s。 环境说明 31 master , 32 node1 , 33 node2迁移思路 交付思路: 其实和交付到Linux主机上是一样的,无外乎将这些微服务都做成了Docker镜像; 1、微服务数据层: MySQL、 R…

“井电双控”地下水远程计量设施-实现地下水资源合理利用

“井电双控”地下水远程计量设施(MGTR-W4122C)是针对取水计量控制系统开发智能终端产品。集预收费、流量监测、电量监测、余额提醒、欠费停机、无线传输、远程控制等多种功能于一体,并可根据项目需求选择实体IC卡和APP电子卡取水两种方式。其…

换肤实现及LayoutInflater原理

文章目录 背景实现换肤步骤解析插件 apk 的包信息获取插件 apk 的 Resources 对象替换资源 简单的插件化换肤实现和存在的问题换肤如何动态刷新?控件换肤刷新的性能考虑如何降低 xml 布局中 View 的替换成本LayoutInflater 原理LayoutInflater.Factory2 替换 View 小…

David Silver Reinforcement Learning -- Markov process

1 Introduction 这个章节介绍关键的理论概念。 马尔科夫过程的作用: 1)马尔科夫过程描述强化学习环境的方法,环境是完全能观测的; 2)几乎所有的RL问题可以转换成MDP的形式; 2 Markov Processes 2.1 Mark…

从源码全面解析LinkedBlockingQueue的来龙去脉

👏作者简介:大家好,我是爱敲代码的小黄,独角兽企业的Java开发工程师,CSDN博客专家,阿里云专家博主📕系列专栏:Java设计模式、数据结构和算法、Kafka从入门到成神、Kafka从成神到升仙…

mall-swarm微服务商城系统

mall-swarm是一套微服务商城系统,采用了 Spring Cloud 2021 & Alibaba、Spring Boot 2.7、Oauth2、MyBatis、Docker、Elasticsearch、Kubernetes等核心技术,同时提供了基于Vue的管理后台方便快速搭建系统。mall-swarm在电商业务的基础集成了注册中心…

【Excel统计分析插件】上海道宁为您提供统计分析、数据可视化和建模软件——Analyse-it

Analyse-it是Microsoft Excel中的 统计分析插件 它为Microsoft Excel带来了 易于使用的统计软件 Analyse-it在软件中 引入了一些新的创新统计分析 Analyse-it与 许多Excel加载项开发人员不同 使用完善的软件开发和QA实践 包括单元/集成/系统测试 敏捷开发、代码审查 …

HCIA-RS实验-ENSP搭建一个基础的IP网络

HCIA-RS是华为认证网络工程师(Routing & Switching)的缩写。通过考取HCIA-RS证书,可以证明自己有能力设计、实现和维护小型网络。而HCIA-RS实验则是考试的一部分,是考生必须要完成的实践环节。这将是第一篇文章,后…

【Android Framework (八) 】- Service

文章目录 知识回顾启动第一个流程initZygote的流程system_serverServiceManagerBinderLauncher的启动AMS 前言源码分析1.startService2.bindService 拓展知识1:Service的两种启动方式对Service生命周期有什么影响?2:Service的启动流程3:Service的onStartCommand返回…

紧密联结玩家 | 2023 Google 游戏开发者峰会

玩家的选择是对游戏莫大的认可,重视玩家反馈并和他们建立联系是您的游戏取得成功的关键。我们也在努力创造更多机会,让您的游戏从琳琅满目的列表中脱颖而出,帮助您吸引更多用户。 上篇内容我们介绍了帮助您优化游戏性能的几大功能更新&#x…

❀五一劳动节来啦❀

今年“五一”,4月29日至5月3日放假调休,共5天。 如果你在5月4日到5月6日请假3天,加上5月7日周日,就可以形成9天的假期。 一,五一劳动节的由来⭐ 国际劳动节又称“五一国际劳动节”“国际示威游行日”(英语…

GPT详细安装教程-GPT软件国内也能使用

GPT (Generative Pre-trained Transformer) 是一种基于 Transformer 模型的自然语言处理模型,由 OpenAI 提出,可以应用于各种任务,如对话系统、文本生成、机器翻译等。GPT-3 是目前最大的语言模型之一,其预训练参数超过了 13 亿个…

python+vue 健康体检预约管理系统

该专门体检预约管理系统包括会员和管理员。其主要功能包括个人中心、会员管理、体检服务管理、类型管理、订单信息管理、取消订单管理、 体检报告管理、通知信息管理、交流论坛、系统管理等功能。 目 录 一、绪论 1 1.1研发背景和意义 2 1.2 国内研究动态 3 1.3论文主…

Cookies和Session案例-注册

1. 注册功能改进 1.1 service 将之前的注册案例的代码进行优化,将获取sqlsession工厂对象、获取sqlsession、获取mapper等操作从servlet中分离出来转变为三层架构的形式 在service目录下创建UserService public class UserService {SqlSessionFactory sqlSessionFa…

Docker compose-实现多服务、nginx负载均衡、--scale参数解决端口冲突问题

Docker compose-实现多服务、nginx负载均衡、--scale参数解决端口冲突问题 问题:scale参数端口冲突解决方法:nginx实现多服务、负载均衡修改docker-compose.yml配置新增nginx本地配置文件验证启动容器查看容器状态访问web应用 问题:scale参数…

Linux中的YUM源仓库和NFS文件共享服务(うたかたの夢)

YUM仓库源的介绍和相关信息 简介 yum是一个基于RPM包(是Red-Hat Package Manager红帽软件包管理器的缩写)构建的软件更新机制,能够自动解决软件包之间的依赖关系。 yum由仓库和客户端组成,也就是整个yum由两部分组成&#xff0…

Python小姿势 - 知识点:

知识点: Python的字符串格式化 标题: Python字符串格式化实例解析 顺便介绍一下我的另一篇专栏, 《100天精通Python - 快速入门到黑科技》专栏,是由 CSDN 内容合伙人丨全站排名 Top 4 的硬核博主 不吃西红柿 倾力打造。 基础知识…

Docker的实际应用

一、 数据持久化 我们什么情况下要做数据持久化呢? 一定是在做容器之前先预判好哪些文件是要永久存储的, 而不会跟着它容器的一个生命周期而消失。 比如说配置文件、 日志文件、 缓存文件或者应用数据等等。 数据初始化有三种类型。 第一种 volumes&…

什么是分库分表?为什么需要分表?什么时候分库分表

不急于上手实战 ShardingSphere 框架,先来复习下分库分表的基础概念,技术名词大多晦涩难懂,不要死记硬背理解最重要,当你捅破那层窗户纸,发现其实它也就那么回事。 什么是分库分表 分库分表是在海量数据下&#xff0…

SCI论文自由投稿Vs专栏投稿,哪个更好中?

我们首先来看下以下几种期刊的发表方式: 正刊 正刊也就是自由投稿方式的发表方式,是期刊正常出版的期刊,比如一本SCI期刊是双月刊,一年出版6期,没有设定主题,包含多个研究方向的文章。每年按照半月/月/双…