【文章內(nèi)容簡介】 ┊ ┊ ┊ ┊ ┊ 第 4 頁 共 72 頁 面向連接特征： （如三次握手） 了確認(rèn) 三次握手建立的連接是一種虛連接，而在傳輸層的面向連接中，就需要用到這種虛擬連接。三次握手：pc 機(jī)雙方通過三次同步請求的方式建立連接，這個(gè)過程又叫三次握手，如圖 所示。 圖 三次握手 網(wǎng)絡(luò)層（ Network Layer）負(fù)責(zé)設(shè)備的尋址跟蹤網(wǎng)絡(luò)中設(shè)備的位置，并決定傳送數(shù)據(jù)的最佳路徑。路由器是網(wǎng)絡(luò)層中很重要的設(shè)備，在網(wǎng)絡(luò)中提供路由進(jìn)行邏輯尋址。 當(dāng)路由器接受到一個(gè)數(shù)據(jù)包時(shí)，路由器就檢查它的 IP 地址，如果包不是發(fā)給他的，他就在其路由表中查找其目的網(wǎng)絡(luò)地址，在選擇一個(gè)外出接口，即可在那個(gè)接口上封裝成幀發(fā)送出去。若找不到相應(yīng)于包的目的網(wǎng)絡(luò)地址，就丟棄該數(shù)據(jù)包。 數(shù)據(jù)鏈路層（ Data Link Layer）提供數(shù)據(jù)的物理傳輸即硬件尋址（ MAC 尋址），將比特組成字節(jié)，再將字節(jié)組合成幀，還進(jìn)行數(shù)據(jù)流控制。交換機(jī)和網(wǎng)橋就工作在這一層，可增加沖突域，減少?zèng)_突，但不可隔離廣播域。 包含兩個(gè)層 LLC 子層和 MAC 子層， MAC 子層定義數(shù)據(jù)包怎么在介質(zhì)上傳輸，而 LLC負(fù)責(zé)識別網(wǎng)絡(luò)層協(xié)議，然后進(jìn)行封裝。 物理層（ Physical Layer）用于發(fā)送或接受比特流，比特流的值只有 0 和 1。物理層直接與設(shè)備進(jìn)行通信，還可以通過編碼描述接口、電壓和線纜等。集線器工作在這一層，連接到集線器上的所有設(shè)備，處于同一個(gè)沖突域，也在同一個(gè)廣播域內(nèi)。 網(wǎng)絡(luò)七層間封裝和解封裝過程如下圖 所示。（封裝過程由上往下，解封裝過程相反） 畢業(yè)設(shè)計(jì)（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 5 頁 共 72 頁 圖 封裝與解封裝過程 主機(jī)雙方進(jìn)行網(wǎng)絡(luò)上的通信過程表示如下圖 ，其 中路由器工作在第三層設(shè)備，可介入至網(wǎng)絡(luò)層，起到路由尋址的作用，傳輸介質(zhì)在不同的情況下可選取不同的介質(zhì)進(jìn)行傳輸，如光纖、雙絞線等，在此不作詳細(xì)介紹。 圖 網(wǎng)絡(luò)上主機(jī)的七層通信 典型的網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)及常見的網(wǎng)絡(luò)攻擊 如圖 ，公司內(nèi)部網(wǎng)是企業(yè)自己建立的大、中、小型的局域網(wǎng)，通過路由 畢業(yè)設(shè)計(jì)（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 6 頁 共 72 頁 器或是公司的核心交換機(jī)再跨過防火墻，在通過路由器與外網(wǎng)進(jìn)行連接。外網(wǎng)所指的是 inter。而從防火墻端另引出的一臺交換機(jī)所連接的 DMZ 區(qū)域叫非軍事區(qū)， DMZ是英文“ demilitarized zone” 的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web 服務(wù)器、 FTP 服務(wù)器和論壇等。另一方面，通過這樣一個(gè) DMZ 區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。 圖 典型的安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)攻擊 是 利用網(wǎng)絡(luò)存在的 漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。 常見的網(wǎng)絡(luò)攻擊如下： 應(yīng)用層攻擊（通過應(yīng)用程序獲取權(quán)限掠奪計(jì)算機(jī)資源） autorooters（監(jiān)視目標(biāo)主機(jī)的整個(gè)系統(tǒng)） 后門程序（特洛伊木馬代碼 ,隨時(shí)進(jìn)入系統(tǒng)） 拒絕服務(wù)和分布式拒絕服務(wù)攻擊 IP 欺騙 特洛伊木馬攻擊（隱藏惡意代碼，感染計(jì)算機(jī)，善偽裝） 病毒（惡意程序，依附于 windows 系統(tǒng)解釋文件 之上然后瘋狂運(yùn)行，再感染） 蠕蟲（蠕蟲不需要附在別的程序內(nèi) ，能自我復(fù)制或執(zhí)行。未必會(huì)直接破壞被感染的系統(tǒng)，卻幾乎都對網(wǎng)絡(luò)有害。） 畢業(yè)設(shè)計(jì)（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 7 頁 共 72 頁 ........ 攻擊正常協(xié)議棧的情況仿照傳輸層中三次握手的形式進(jìn)行數(shù)據(jù)的竊取，最終達(dá)到獲取利益的目的，使用網(wǎng)銀或是支付寶時(shí)會(huì)遇到這種情況，具體過程可如圖 ： 圖 攻擊正常協(xié)議棧過程 企業(yè)網(wǎng)絡(luò)受攻擊途徑： 其實(shí)現(xiàn)實(shí)生活中，來自網(wǎng)絡(luò)上的黑客、攻擊者沒有想象中的這么多，世界上有這么多的電腦，如果黑客們想要去選擇性的攻擊的話，那要攻擊到猴年馬月也不一定能找到一個(gè)可以收獲頗豐的電腦，那么究竟是為什么呢 ？很簡單，這一切的一切，都是由于人的行為不當(dāng)引起的，在沒有電腦之前，信息交流不是很方便，但是很安全，有了電腦，方便是方便了，由于有了人為因素在里面，漏洞就多了，黑客們就是利用人們的行為進(jìn)行網(wǎng)絡(luò)信息的竊取，最終達(dá)到獲取錢財(cái)?shù)哪康模f白了，就是守株待兔。 圖 企業(yè)網(wǎng)絡(luò)受攻擊途徑 攻擊者通過一些網(wǎng)頁瀏覽時(shí)關(guān)鍵信息的輸入、不法連接的點(diǎn)擊、違法網(wǎng)站的進(jìn)入、 畢業(yè)設(shè)計(jì)（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 8 頁 共 72 頁 未知有風(fēng)險(xiǎn)文件的下載、娛樂聊天時(shí)信息的透露等行為上當(dāng)受騙，隨著現(xiàn)代科技的發(fā)展，移動(dòng)通信機(jī)器的出現(xiàn)，潛在威脅也就更多了。例如，公司某成員使用 iphone 在網(wǎng) 上為自己買過東西或?yàn)楣咎幚磉^業(yè)務(wù)，之后不小心丟失了手機(jī)，那么隨之丟失的還有他的個(gè)人信息，公司的運(yùn)營信息及其數(shù)據(jù)信息等。當(dāng)然，既然新時(shí)代有這些產(chǎn)品出現(xiàn)，我們也免不了要用這些東西，要想不受騙，就要做好一些力所能及的措施減少這些潛在的威脅。 計(jì)算機(jī)病毒 計(jì)算機(jī)病毒基本原理 計(jì)算機(jī)病毒不同于生物醫(yī)學(xué)上的“病毒”，計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。由于它的所做所為與生物病毒很相像，人們才給它起了這么 一個(gè)“響亮”的名字。與生物病毒不同的是幾乎所有的計(jì)算機(jī)病毒都是人為地故意制造出來的，有時(shí)一旦擴(kuò)散出來后連制造者自己也無法控制。它已經(jīng)不是一個(gè)簡單的技術(shù)問題，而是一個(gè)嚴(yán)重的社會(huì)問題了。目前，全球已有的計(jì)算機(jī)病毒約幾十萬種。 計(jì)算機(jī)病毒的傳播 計(jì)算機(jī)病毒的傳播途徑主要有 ： 1) 通過文件系統(tǒng)傳播； 2) 通過電子郵件傳播； 3) 通過局域網(wǎng)傳播； 4) 通過互聯(lián)網(wǎng)上即時(shí)通訊軟件和點(diǎn)對點(diǎn)軟件等常用工具傳播； 5) 利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播； 6) 利用系統(tǒng)配置缺陷傳播，如弱口令、完 全共享等； 7) 利用欺騙等社會(huì)工程的方法傳播。 用戶計(jì)算機(jī)中毒的癥狀列舉如下： 1）計(jì)算機(jī)系統(tǒng)運(yùn)行速度減慢； 2）計(jì)算機(jī)系統(tǒng)經(jīng)常無故發(fā)生死機(jī)； 3）計(jì)算機(jī)存儲的容量異常減少； 4）系統(tǒng)引導(dǎo)速度減慢； 5）丟失文件或文件損壞； 6）計(jì)算機(jī)屏幕上出現(xiàn)異常顯示； 7）磁盤卷標(biāo)發(fā)生變化； 畢業(yè)設(shè)計(jì)（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 9 頁 共 72 頁 8）系統(tǒng)不識別硬盤； 9）對存儲系統(tǒng)異常訪問； 10）鍵盤輸入異常； 11）文件無法正確讀取、復(fù)制或打開； 12）命令執(zhí)行出現(xiàn)錯(cuò)誤； 13）虛假報(bào)警； 14） WINDOWS 操作系統(tǒng)無故頻繁出現(xiàn)錯(cuò)誤； 15）系統(tǒng)異常重新啟動(dòng) ； 16）一些外部設(shè)備工作異常等。 計(jì)算機(jī)安全防護(hù)的基本原理 通常我們使用防病毒軟件來維護(hù)電腦的安全，計(jì)算機(jī)安全防護(hù)的原理其實(shí)也正是網(wǎng)絡(luò)防護(hù)軟件的防護(hù)原理。 計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行： （一）防毒。是指根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計(jì)算機(jī)。防毒能力是指通過采取防毒措施，可以準(zhǔn)確、實(shí)時(shí)監(jiān)測預(yù)警經(jīng)由光盤、優(yōu)盤、硬盤不同目錄之間、局域網(wǎng)、互聯(lián)網(wǎng)（包括 FTP 方式、 EMAIL、 HTTP 方式）或其它形式的文件下載等多種方式的病毒感染；能夠在病毒 侵入系統(tǒng)時(shí)發(fā)出警報(bào)，記錄攜帶病毒的文件，即時(shí)清除其中的病毒；對網(wǎng)絡(luò)而言，能夠向網(wǎng)絡(luò)管理員發(fā)送關(guān)于病毒入侵的信息，記錄病毒入侵的工作站，必要時(shí)還要能夠注銷工作站，隔離病毒源。 （二）查毒。是指對于確定的環(huán)境，能夠準(zhǔn)確地報(bào)出病毒名稱，該環(huán)境包括內(nèi)存、文件、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、網(wǎng)絡(luò)等。查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力，通過查毒能準(zhǔn)確地發(fā)現(xiàn)信息網(wǎng)絡(luò)是否感染有病毒，準(zhǔn)確查找出病毒的來源，給出統(tǒng)計(jì)報(bào)告；查解病毒的能力應(yīng)由查毒率和誤報(bào)率來評判。 （三）解毒。是指根據(jù)不同類型病毒對感染對象的修改，并按照病 毒的感染特性所進(jìn)行的恢復(fù)。該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。感染對象包括內(nèi)存、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等。解毒能力是指從感染對象中清除病毒，恢復(fù)被病毒感染前的原始信息的能力。 本章小結(jié) 本章主要介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全的定義，以及網(wǎng)絡(luò)安全的研究背景和意義。網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。網(wǎng)絡(luò)安全的體系結(jié)構(gòu)是由 IOS 定義的一個(gè)參 考模型，通過對此模型及其對應(yīng)層協(xié)議的認(rèn)識可以了解網(wǎng)絡(luò)通行的過程。本章還介紹了網(wǎng)絡(luò)上一些常見的攻擊，病毒的傳播途徑以及感染病毒的癥狀，了解到計(jì)算機(jī)病毒多數(shù)是偽裝成一些正規(guī)的通信過程，從而對用戶造成侵害的。最后介紹了我們常用的網(wǎng)絡(luò)防護(hù)辦法， 畢業(yè)設(shè)計(jì)（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 10 頁 共 72 頁 也即是使用網(wǎng)絡(luò)防護(hù)軟件對計(jì)算機(jī)進(jìn)行實(shí)時(shí)防護(hù)。