【文章內(nèi)容簡介】 ┊ ┊ ┊ ┊ ┊ 第 4 頁 共 72 頁 面向連接特征： （如三次握手） 了確認 三次握手建立的連接是一種虛連接，而在傳輸層的面向連接中，就需要用到這種虛擬連接。三次握手：pc 機雙方通過三次同步請求的方式建立連接，這個過程又叫三次握手，如圖 所示。 圖 三次握手 網(wǎng)絡層（ Network Layer）負責設備的尋址跟蹤網(wǎng)絡中設備的位置，并決定傳送數(shù)據(jù)的最佳路徑。路由器是網(wǎng)絡層中很重要的設備，在網(wǎng)絡中提供路由進行邏輯尋址。 當路由器接受到一個數(shù)據(jù)包時，路由器就檢查它的 IP 地址，如果包不是發(fā)給他的，他就在其路由表中查找其目的網(wǎng)絡地址，在選擇一個外出接口，即可在那個接口上封裝成幀發(fā)送出去。若找不到相應于包的目的網(wǎng)絡地址，就丟棄該數(shù)據(jù)包。 數(shù)據(jù)鏈路層（ Data Link Layer）提供數(shù)據(jù)的物理傳輸即硬件尋址（ MAC 尋址），將比特組成字節(jié)，再將字節(jié)組合成幀，還進行數(shù)據(jù)流控制。交換機和網(wǎng)橋就工作在這一層，可增加沖突域，減少沖突，但不可隔離廣播域。 包含兩個層 LLC 子層和 MAC 子層， MAC 子層定義數(shù)據(jù)包怎么在介質(zhì)上傳輸，而 LLC負責識別網(wǎng)絡層協(xié)議，然后進行封裝。 物理層（ Physical Layer）用于發(fā)送或接受比特流，比特流的值只有 0 和 1。物理層直接與設備進行通信，還可以通過編碼描述接口、電壓和線纜等。集線器工作在這一層，連接到集線器上的所有設備，處于同一個沖突域，也在同一個廣播域內(nèi)。 網(wǎng)絡七層間封裝和解封裝過程如下圖 所示。（封裝過程由上往下，解封裝過程相反） 畢業(yè)設計（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 5 頁 共 72 頁 圖 封裝與解封裝過程 主機雙方進行網(wǎng)絡上的通信過程表示如下圖 ，其 中路由器工作在第三層設備，可介入至網(wǎng)絡層，起到路由尋址的作用，傳輸介質(zhì)在不同的情況下可選取不同的介質(zhì)進行傳輸，如光纖、雙絞線等，在此不作詳細介紹。 圖 網(wǎng)絡上主機的七層通信 典型的網(wǎng)絡安全拓撲結構及常見的網(wǎng)絡攻擊 如圖 ，公司內(nèi)部網(wǎng)是企業(yè)自己建立的大、中、小型的局域網(wǎng)，通過路由 畢業(yè)設計（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 6 頁 共 72 頁 器或是公司的核心交換機再跨過防火墻，在通過路由器與外網(wǎng)進行連接。外網(wǎng)所指的是 inter。而從防火墻端另引出的一臺交換機所連接的 DMZ 區(qū)域叫非軍事區(qū)， DMZ是英文“ demilitarized zone” 的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi)，在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設施，如企業(yè)Web 服務器、 FTP 服務器和論壇等。另一方面，通過這樣一個 DMZ 區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡，因為這種網(wǎng)絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。 圖 典型的安全網(wǎng)絡拓撲結構 網(wǎng)絡攻擊 是 利用網(wǎng)絡存在的 漏洞和安全缺陷對網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊。 常見的網(wǎng)絡攻擊如下： 應用層攻擊（通過應用程序獲取權限掠奪計算機資源） autorooters（監(jiān)視目標主機的整個系統(tǒng)） 后門程序（特洛伊木馬代碼 ,隨時進入系統(tǒng)） 拒絕服務和分布式拒絕服務攻擊 IP 欺騙 特洛伊木馬攻擊（隱藏惡意代碼，感染計算機，善偽裝） 病毒（惡意程序，依附于 windows 系統(tǒng)解釋文件 之上然后瘋狂運行，再感染） 蠕蟲（蠕蟲不需要附在別的程序內(nèi) ，能自我復制或執(zhí)行。未必會直接破壞被感染的系統(tǒng)，卻幾乎都對網(wǎng)絡有害。） 畢業(yè)設計（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 7 頁 共 72 頁 ........ 攻擊正常協(xié)議棧的情況仿照傳輸層中三次握手的形式進行數(shù)據(jù)的竊取，最終達到獲取利益的目的，使用網(wǎng)銀或是支付寶時會遇到這種情況，具體過程可如圖 ： 圖 攻擊正常協(xié)議棧過程 企業(yè)網(wǎng)絡受攻擊途徑： 其實現(xiàn)實生活中，來自網(wǎng)絡上的黑客、攻擊者沒有想象中的這么多，世界上有這么多的電腦，如果黑客們想要去選擇性的攻擊的話，那要攻擊到猴年馬月也不一定能找到一個可以收獲頗豐的電腦，那么究竟是為什么呢 ？很簡單，這一切的一切，都是由于人的行為不當引起的，在沒有電腦之前，信息交流不是很方便，但是很安全，有了電腦，方便是方便了，由于有了人為因素在里面，漏洞就多了，黑客們就是利用人們的行為進行網(wǎng)絡信息的竊取，最終達到獲取錢財?shù)哪康?，說白了，就是守株待兔。 圖 企業(yè)網(wǎng)絡受攻擊途徑 攻擊者通過一些網(wǎng)頁瀏覽時關鍵信息的輸入、不法連接的點擊、違法網(wǎng)站的進入、 畢業(yè)設計（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 8 頁 共 72 頁 未知有風險文件的下載、娛樂聊天時信息的透露等行為上當受騙，隨著現(xiàn)代科技的發(fā)展，移動通信機器的出現(xiàn)，潛在威脅也就更多了。例如，公司某成員使用 iphone 在網(wǎng) 上為自己買過東西或為公司處理過業(yè)務，之后不小心丟失了手機，那么隨之丟失的還有他的個人信息，公司的運營信息及其數(shù)據(jù)信息等。當然，既然新時代有這些產(chǎn)品出現(xiàn)，我們也免不了要用這些東西，要想不受騙，就要做好一些力所能及的措施減少這些潛在的威脅。 計算機病毒 計算機病毒基本原理 計算機病毒不同于生物醫(yī)學上的“病毒”，計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用并能自我復制的一組計算機指令或者程序代碼。由于它的所做所為與生物病毒很相像，人們才給它起了這么 一個“響亮”的名字。與生物病毒不同的是幾乎所有的計算機病毒都是人為地故意制造出來的，有時一旦擴散出來后連制造者自己也無法控制。它已經(jīng)不是一個簡單的技術問題，而是一個嚴重的社會問題了。目前，全球已有的計算機病毒約幾十萬種。 計算機病毒的傳播 計算機病毒的傳播途徑主要有 ： 1) 通過文件系統(tǒng)傳播； 2) 通過電子郵件傳播； 3) 通過局域網(wǎng)傳播； 4) 通過互聯(lián)網(wǎng)上即時通訊軟件和點對點軟件等常用工具傳播； 5) 利用系統(tǒng)、應用軟件的漏洞進行傳播； 6) 利用系統(tǒng)配置缺陷傳播，如弱口令、完 全共享等； 7) 利用欺騙等社會工程的方法傳播。 用戶計算機中毒的癥狀列舉如下： 1）計算機系統(tǒng)運行速度減慢； 2）計算機系統(tǒng)經(jīng)常無故發(fā)生死機； 3）計算機存儲的容量異常減少； 4）系統(tǒng)引導速度減慢； 5）丟失文件或文件損壞； 6）計算機屏幕上出現(xiàn)異常顯示； 7）磁盤卷標發(fā)生變化； 畢業(yè)設計（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 9 頁 共 72 頁 8）系統(tǒng)不識別硬盤； 9）對存儲系統(tǒng)異常訪問； 10）鍵盤輸入異常； 11）文件無法正確讀取、復制或打開； 12）命令執(zhí)行出現(xiàn)錯誤； 13）虛假報警； 14） WINDOWS 操作系統(tǒng)無故頻繁出現(xiàn)錯誤； 15）系統(tǒng)異常重新啟動 ； 16）一些外部設備工作異常等。 計算機安全防護的基本原理 通常我們使用防病毒軟件來維護電腦的安全，計算機安全防護的原理其實也正是網(wǎng)絡防護軟件的防護原理。 計算機病毒的防治要從防毒、查毒、解毒三方面來進行： （一）防毒。是指根據(jù)系統(tǒng)特性，采取相應的系統(tǒng)安全措施預防病毒侵入計算機。防毒能力是指通過采取防毒措施，可以準確、實時監(jiān)測預警經(jīng)由光盤、優(yōu)盤、硬盤不同目錄之間、局域網(wǎng)、互聯(lián)網(wǎng)（包括 FTP 方式、 EMAIL、 HTTP 方式）或其它形式的文件下載等多種方式的病毒感染；能夠在病毒 侵入系統(tǒng)時發(fā)出警報，記錄攜帶病毒的文件，即時清除其中的病毒；對網(wǎng)絡而言，能夠向網(wǎng)絡管理員發(fā)送關于病毒入侵的信息，記錄病毒入侵的工作站，必要時還要能夠注銷工作站，隔離病毒源。 （二）查毒。是指對于確定的環(huán)境，能夠準確地報出病毒名稱，該環(huán)境包括內(nèi)存、文件、引導區(qū)（含主引導區(qū)）、網(wǎng)絡等。查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力，通過查毒能準確地發(fā)現(xiàn)信息網(wǎng)絡是否感染有病毒，準確查找出病毒的來源，給出統(tǒng)計報告；查解病毒的能力應由查毒率和誤報率來評判。 （三）解毒。是指根據(jù)不同類型病毒對感染對象的修改，并按照病 毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內(nèi)容。感染對象包括內(nèi)存、引導區(qū)（含主引導區(qū)）、可執(zhí)行文件、文檔文件、網(wǎng)絡等。解毒能力是指從感染對象中清除病毒，恢復被病毒感染前的原始信息的能力。 本章小結 本章主要介紹了計算機網(wǎng)絡安全的定義，以及網(wǎng)絡安全的研究背景和意義。網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。網(wǎng)絡安全的體系結構是由 IOS 定義的一個參 考模型，通過對此模型及其對應層協(xié)議的認識可以了解網(wǎng)絡通行的過程。本章還介紹了網(wǎng)絡上一些常見的攻擊，病毒的傳播途徑以及感染病毒的癥狀，了解到計算機病毒多數(shù)是偽裝成一些正規(guī)的通信過程，從而對用戶造成侵害的。最后介紹了我們常用的網(wǎng)絡防護辦法， 畢業(yè)設計（論文）說明書 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 裝 ┊ ┊ ┊ ┊ ┊ 訂 ┊ ┊ ┊ ┊ ┊ 線 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 第 10 頁 共 72 頁 也即是使用網(wǎng)絡防護軟件對計算機進行實時防護。