软考网络工程师复习笔记二

 第六章、网络互连和互联网

  TCP/IP是一组小的、专业化协议集，包括TCP、IP、UDP、ARP、ICMP，以及其它的一些被称为子协议的协议
  网桥工作于数据链路层中的介质访问控制子层（MAC），所以它包含：流控、差错处理、寻址、媒体访问等。分为(1)透明网桥：网桥自动学习每个端口所接网段的机器地址（MAC地址），形成一个地址映象表，网桥每次转发帧时，先查地址映象表，如查到则向相应端口转发，如查不到，则向除接收端口之外的所有端口转发（flood）。为了防止出现循环路由，可采用生成树算法网桥。(2)、源路由网桥（SRB）：在发送方知道目的机的位置，并将路径中间所经过的网桥地址包含在帧头中发出，路径中的网桥依照帧头中的下一站网桥地址一一转发，直到到达目的地

  第七章、网络安全

  一、威胁定义为对缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。

  二、传统密码系统又单钥密码系统又对称密码系统：加密解密所用的密钥是相同的或类似的，即由加密密码很容易推导出解密密码，反之亦然。常用的有DES数据加密标准，密钥为56位；后有改进型的IDEA国际数据加密算法，密钥为128位

  三、对照ISO/OSI参考模型各个层中的网络安全服务，在物理层可以采用防窃听技术加强通信线路的安全；在数据链路层，可以采用通信保密机进行链路加密；在网络层可以采用防火墙技术来处理信息内外网络边界到进程间的加密，最常见的传输层安全技术有SSL；为了将低层安全服务进行抽象和屏弊，最有效的一类做法是可以在传输层和应用层之间建立中间件层可实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供身份认证、访问控制和数据加密
  防火墙定义：(1)所有的从外部到内部或从内部到外部的通信都必须经过它；(2)只有有内部访问策略的通信才能被允许通过；(3)系统本身具有很强的高可靠性
  防火墙设计的主要技术：数据包过滤技术、代理服务技术

  四、病毒生存期的四个阶段：潜伏阶段、繁殖阶段、触发阶段、执行阶段
  反病毒方法：检测、标识、清除。

  五、VPN虚拟专用网-是在Internet中通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道(通道)来构建供企业专用的虚拟网。按服务类型分为Intranet VPN企业内部虚拟网、Access VPN远程访问虚拟网和Extranet VPN扩展的企业内部虚拟专网
  IPSec的VPN基于网络第二层，它只是打开了从分支到总部的通路，对于里面数据的安全性能没有办法保证，没有什么好的办法加强VPN的安全性，和传统的IPSec VPN相比，SSL VPN最突出的特点在于两个地方：提升安全性、简单实现性。SSL VPN最大的优势在于SSL功能已经内嵌到浏览器里面去了；而IPSec VPN则需要在客户端安装相关软件，且软件对于OS有要求。