国外的ip地址被代理
每次面试问网络都还可以整理了点资料应付普通的问题没什么问题了。
OSI 将网络分为七层应用层、表示层、会话层、运输层、网络层、数据链路层、物理层。OSI 七层协议体系结构概念清除理论完善但是既复杂也不实用。
TCP/IP 是一个四层体系结构包含应用层、运输层、网际层和网络接口层网际层是为了强调该层是为了解决不同网络的互联问题这种体系结构得到了广泛应用。
但是 TCP/IP 从实质上讲只有最上面三层最下面的网络接口层并没有什么具体内容因此一般学习时结合 OSI 和 TCP/IP 的优点采用一种五层协议的体系结构
应用层协议定义应用进程之间的通信和交互规则进程即主机中正在运行的程序。应用层协议有域名系统 DNS、支持万维网应用的 HTTP、支持电子邮件的 SMTP 等。
运输层的协议主要有传输控制协议 TCP它提供面向连接的、可靠的数据传输服务数据传输单位是报文段(segment)用户数据报协议 UDP它提供无连接的、尽最大努力的数据传输服务数据传输单位是用户数据报。
网络层的任务是负责为分组交换网上的不同主机提供通信服务在发送数据时网络层把运输层产生的报文段或用户数据报封装成分组或包进行传送。网络层的另一个任务是选择合适的路由使源主机运输层传下来的分组能够通过网络中的路由器找到目的主机。
数据链路层的任务是将网络层交下来的 IP 数据报组装成帧在两个相邻结点之间的链路上传输帧每一帧包括数据和必要的控制信息同步信息、地址信息、差错控制等。
物理层的任务是尽可能地屏蔽掉传输媒体和通信手段的差异使物理层上面的数据链路层感觉不到这些差异使其只需考虑本层的协议和服务。
物理层所传输的数据单位是比特发送方发送1或0接收方也接收1或0物理层需要考虑用多大的电压代表1或0。
在通信线路质量较差的年代使用高级数据链路控制 HDLC 作为实现可靠传输的数据链路层协议但现在 HDLC 已经很少使用了对于点对点的链路简单得多的点对点协议 PPP 是目前使用得最广泛的数据链路层协议。
PPP 协议的特点是简单、只检测差错而不纠正差错、不使用序号也不进行流量控制、可同时支持多种网络层协议。
以太网采用的是具有冲突检测的载波监听多点接入 CSMA/CD 协议协议的要点是发送前先监听、边发送边监听一旦发现总线上出现了碰撞就立即停止发送。然后按照退避算法等待一段随机时间后再次发送因此每一个站在自己发送数据之后的一小段时间内存在遭遇碰撞的可能性。以太网上各站点都平等地争用以太网信道。
要解决 IP 地址耗尽的问题根本方法是采用具有更大地址空间的新版本 IP 协议即 IPv6向 IPv6 过渡可以使用双协议栈或使用隧道技术。
由于 IP 协议使用了 ARP 协议因此把 ARP 协议归到网络层但 ARP 的作用是通过一个 ARP 高速缓存存储本地局域网的各主机和路由器的 IP 地址到硬件地址的映射表以从网络层的 IP 地址解析出在数据链路层使用的硬件地址因此也可以把 ARP 划归在数据链路层。与 ARP 对应的协议是 RARP逆地址解析协议作用是使只知道自己硬件地址的主机能够找出 IP 地址但被 DHCP 协议取代。
RIP 是分布式的基于距离向量的路由选择协议只适用于小型互联网。RIP 按照固定的时间间隔与相邻路由器交换信息交换的信息是当前路由表。OSPF 是分布式的链路状态协议适用于大型互联网只在链路状态发生变化时才向本自治系统中的所有路由器用洪泛法发送与本路由器相邻的所有路由器的链路状态信息。
BGP-4 是不同自治系统的路由器之间交换路由信息的协议是一种路径向量路由选择协议。其目标是寻找一条能够到达目的网络且比较好的路由而不是最佳路由。
ICMP 报文作为 IP 数据报的数据加上首部后组成 IP 数据报发送出去使用 ICMP 并非为了实现可靠传输ICMP 允许主机或路由器报告差错情况和提供有关异常情况的报告。ICMP 报文的种类有两种即 ICMP 差错报告报文和 ICMP 询问报文。
ICMP 的一个重要应用就是分组间探测 PING用来测试两台主机之间的连通性PING 使用了 ICMP 回送请求与回送回答报文。
IP 多播使用 IGMP 协议IGMP 并非在互联网范围内对所有多播组成员进行管理它不知道 IP 多播组包含的成员个数也不知道这些成员都分布在哪些网络上。
IGMP 协议是让连接在本地局域网上的多播路由器知道本局域网上是否有主机上的某个进程参加或推出了某个多播组。
TCP是面向连接的运输层协议所谓面向连接就是指TCP在进行数据通信前需要先建立连接主要是通过三次握手机制实现在进行数据通信后需要断开连接主要是通过四次挥手机制实现。
TCP是全双工的通信在发送端和接收端都设有缓存发送方将数据发送到缓存后就可以做自己的事接收方将数据放入缓存上层应用程序会在合适的时机来获取数据。
TCP是面向字节流的所谓流就是流入进程或者从进程重流出的字节序列。虽然应用进程和TCP的交互是一次一个数据块但是TCP会将数据块看成一连串无结构的字节流不能保证发送的数据块和接收的数据块大小是一致的但是字节流一定是完全一样的。
TCP的发送的报文是交给IP层传送的而IP只能提供尽最大努力服务所以TCP必须采取适当的措施才能使得两个运输层之间的通信变得可靠。理想的通信有两个条件第一是传输的数据不会出现差错第二是无论发生数据的速度有多快接收端都来得及接收。但是在现实的网络环境下几乎是不可能实现的TCP使用了重传机制来解决传输数据出错的问题使用流量控制来降低发送端的速度以便接收端来的及接收。
每发送一个分组就停下来等收到了对方对该分组的确认之后再继续发送下一个分组。每发送完一个分组就设置一个超时计时器如果在规定的时间内没有收到分组的确认消息就会进行超时重传。在规定时间内收到了确认消息就会撤销计时器。
同时需要注意三点①计时器设置的超时时间应该稍微长于分组的往返时间如果时间太长通信效率就会很低如果时间过短会产生不必要的重传浪费网络资源。②为每一个分组都设有一个副本以便超时重传时使用当收到了分组的确认后再进行清除。③分组和确认分组都必须进行编号这样才能明确是哪一个分组收到了确认。
假设分组的确认丢失了发送方在设定的超时时间内没有收到确认不知道是自己发送的分组丢失还是接收方的确认丢失因此发送方需要重传分组。当接收方收到了分组后就丢失这个分组重新发送确认。
还有一种情况是分组没有丢失但是晚到了发送端会受到重复确认会收下并且丢弃接收端仍然会收到重复的分组同样丢弃并确认。
停止等待协议的优点是简单缺点是信道利用率太低。信道利用率为TD/(TDRTTTA)TD是发送分组的时间T2是发送确认分组的时间RTT是往返时间当RTT远大于TD时通信效率就会非常低。为了提高传输效率可以采用流水线c;例如连续ARQ协议和窗口滑动机制。
连续ARQ规定每收到一个确认就把发送窗口向前滑动一个分组的位置接收方一般采用累积确认的方式就是说接收方不必对收到的分组逐个确认只需要对按序到达的最后一个分组进行确认。优点是实现容易即使确认丢失也不必重传确认是不能向发送方反映出接收方已经正确收到的所有分组的消息。例如发送方发生了5个分组第3个分组丢失了接收方只能确认前2个发送方必须把后面3个都重新发送。
滑动窗口以字节为单位。发送端有一个发送窗口窗口重的序号是允许发送的序号窗口的后沿是已经发送并且确认的序号窗口的前沿是不允许发送的序号。窗口的后沿可能不动代表没有收到新的确认也有可能前移代表收到了新的确认但是不会后移不可能撤销已经确认的数据。窗口的前沿一般是向前的也有可能不动表示没有收到新的请求或对方的接收窗口变小也有可能收缩但是TCP强烈不建议这么做因为发送端在收到通知前可能已经发送了很多数据此时如果收缩窗口可能会产生错误。
滑动窗口的状态需要3个指针p1p2和p3。p1之前的序号表示已经发送并且确认的p1到p2的序号表示已经发送但还没有确认的p2到p3表示允许发送的序号也叫可用窗口p1到p3表示发送窗口p3之后的序号表示不可发送的。
注意三点①发送窗口根据接收窗口设置但并不总是一样大还要根据网络的拥塞情况调整。②对于不按序到达的数据TCP通常存放在接收窗口等到字节流缺少的字节收到后再按序交付上层应用程序。③接收方必须有累积确认功能可以减小传输开销可以在合适的时候发送确认也可以在自己有数据需要发送时捎带确认。但是接收方不能过分推迟发送确认不能超过0.5秒。
一般我们都希望发送数据的速度尽可能快但如果发送数据的速度过快接收端来不及接收就可能导致数据丢失的问题。所谓流量控制就是根据接收端的接收能力动态地调整发送端的发送速度确保接收端来的及接收。流量控制主要是通过滑动窗口机制实现的。
发送窗口不能超过接收方的接收窗口在0窗口通知后可能会出现死锁问题接收方的接收缓冲又有了一些存储空间但该通知丢失了发送方和接收方互相等待消息。TCP为每一个连接设有一个持续计时器只要收到了0窗口通知就启动计时器到时候发送1字节大小的0窗口探测报文如果仍是0就重置计时器如果不是0就打破了死锁的僵局。
当网络中对资源的需求超过了资源的可用量就叫做拥塞。当吞吐量明显小于理想的吞吐量时就出现了轻度拥塞当吞吐量随着负载的增加反而下降时网络就进入了拥塞状态。当吞吐量降为0时网络已无法正常工作进入了死锁。拥塞控制就是尽量减少注入网络的数据减轻网络中的路由器和链路的负担。
拥塞控制是一个全局性的问题它涉及网络中的所有路由器和主机而流量控制只是一个端到端的问题是两个端点之间通信量的控制。
拥塞控制有开环和闭环手段开环就是在设计网络时事先将有关发生阻塞的因素考虑到缺点是系统一旦开始运行就不能更改。闭环则是基于反馈环路动态处理监测网络以便检测拥塞发生的时间和地点把拥塞发生的信息传送到可采取行动的地方调整网络系统的运行解决问题。
拥塞控制主要有四个方法慢开始拥塞避免快重传和快恢复。
所谓慢开始就是基于窗口的拥塞控制发送端设有一个拥塞窗口拥塞窗口取决于网络的拥塞程度发送窗口就等于拥塞窗口初始时为了防止注入过多的数据引起网络拥塞所以将拥塞窗口值设为1然后逐渐增大拥塞窗口逐渐增大发送窗口每经过一次传输轮次拥塞窗口就加倍。有一个慢开始门限当小于该值时就使用慢开始等于时既可以使用慢开始也可以使用拥塞避免大于该值时使用拥塞避免。
拥塞避免就是每经过一个往返时间RRT将拥塞窗口的值增加1而不是像慢开始那样加倍地增大拥塞窗口。慢开始不是指窗口增大的速度慢而是在TCP开始发生报文时先设置拥塞窗口为1使发送方开始只发送一个报文段相比一下将许多报文注入到网络慢。
但是有时候个报文段丢失而网络中并没有出现拥塞错误地导致慢开始降低了传输效率。这时应该使用快重传来让发送方尽早知道出现了个别分组的丢失快重传要求接收端不要等待自己发送数据时再捎带确认而是要立即发送确认国外的ip地址被代理。即使收到了乱序的报文段后也要立即发出对已收到报文段的重复确认。当发送端连续收到三个重复的确认后就知道出现了报文段丢失的情况就会立即重传快重传可以使整个网络的吞吐量提升约20%。
当发送方知道了只是丢失了个别报文段使不会使用慢开始而是使用快恢复来设置阻塞窗口的值并开始执行拥塞避免算法。
TCP是全双工通信任何一方都可以发起建立连接的请求假设A是客户端B是服务器。
之所以要进行三次握手是因为第二次握手时A知道了自己的发送和接收是没有问题的而第三次握手时B才能知道自己的发送和接收也都是没有问题的。同时三次握手防止了已失效的连接请求问题假设这样一种正常情况A发送的第一个连接请求报文丢失了之后超时重传建立了连接通信之后释放了连接。但假设A第一个发送的连接请求报文并没有丢失而是在网络中某结点停滞了之后又到达了B。如果是两次握手此时B会以为是A请求建立连接同意之后并不会收到任何数据因为A已经关闭了此时B的资源就会被白白浪费。
MSL是最大报文段寿命之所以要等待2MSL是为了保证A发送的最后一个ACK报文能被B接收如果A发送的确认报文丢失B没有收到就会超时重传之前的FINACK报文而如果A在发送了确认报文之后就立即释放连接就无法收到B超时重传的报文因而也不会再一次发送确认报文段B就无法正常进入CLOSED状态。第二点原因是2MSL时间之后本连接中的所有报文就都会从网络中消失防止出现三次握手中的已失效的请求报文问题影响下一次的TCP连接。
之所以不是三次挥手是因为服务器TCP是全双工的当A发送完数据之后可能B还没有发送完当B发送完所有的数据之后才会关闭B到A方向的连接。
除此之外TCP还设有一个保活计时器用于解决服务器故障的问题服务器每收到一次客户的数据就重新设置保活计时器时间为2小时。如果2小时内没有收到就间隔75秒发送一次探测报文连续10次都没有响应后就关闭连接。
DNS 被设计为一个联机分布式数据库系统并采用客户服务器方式。DNS 使大多数名字都在本地进行解析仅少量解析需要在互联网上通信因此 DNS 的效率很高。由于 DNS 是分布式系统即使单个计算机出现了故障也不会妨碍到整个 DNS 系统的正常运行。
主机向本地域名服务器的查询一般都采用递归查询递归查询指如果主机所询问的本地域名服务器不知道被查询域名的 IP 地址那么本地域名服务器就以 DNS 客户的身份向其他根域名服务器继续发出查询请求报文。递归查询额结果是要查询的 IP 地址或者是报错表示无法查询到所需的 IP 地址。
本地域名服务器向根域名服务器查询通常采用迭代查询迭代查询指当根域名服务器收到本地域名服务器发出的迭代查询请求报文时要么给出所要查询的 IP 地址要么告诉它该向哪一个域名服务器进行查询。本地域名服务器也可以采用递归查询这取决于最初的查询请求报文设置的查询方式。
FTP 使用 TCP 可靠的运输服务FTP 使用客户服务器方式一个 FTP 服务器进程可以同时为多个客户进程提供服务在进行文件传输时FTP 的客户和服务器之间要建立两个并行的 TCP 连接控制连接和数据连接实际用于传输文件的是数据连接。
HTTP是超文本传输协议规范了浏览器如何向万维网服务器请求万维网文档服务器如何向浏览器发送万维网文档。从层次的角度看HTTP是面向事务的应用层协议是浏览器和服务器之间的传送数据文件的重要基础。
HTTP是无状态的之所以说无状态是因为HTTP对事务没有记忆性。同一个客户第二次访问同一个服务器服务器的响应结果和第一次是一样的。HTTP的无状态简化了服务器的设计允许服务器支持高并发的HTTP请求。如果要解决无状态的问题可以使用cookie和session。Cookie相当于服务器给浏览器的一个通行证是一个唯一识别码服务器发送的响应报文包含 Set-Cookie 首部字段客户端得到响应报文后把 Cookie 内容保存到浏览器中。客户端之后对同一个服务器发送请求时会从浏览器中取出 Cookie 信息并通过 Cookie 请求首部字段发送给服务器服务器就可以识别是否是同一个客户。Session是服务器的会线c;是存储在服务器的。区别①Cookie只能存储ASCII 码字符串而 Session 则可以存储任何类型的数据因此在考虑数据复杂性时首选Session。②Cookie 存储在浏览器中容易被恶意查看。如果非要将一些隐私数据存在 Cookie 中可以将 Cookie 值进行加密然后在服务器进行解密。③对于大型网站如果用户所有的信息都存储在 Session 中那么开销是非常大的因此不建议将所有的用户信息都存储到 Session 中。
GET主要同于获取资源用于访问被URI统一资源标识符识别的资源。
参数GET和POST的请求都能使用额外的参数但是 GET 的参数是以查询字符串出现在 URL 中而POST的参数存储在实体主体中。不能因为 POST 参数存储在实体主体中就认为它的安全性更高因为照样可以通过一些抓包工具查看。
安全性安全的HTTP方法不会改变服务器状态也就是说它只是可读的。GET方法是安全的而POST却不是因为 POST 的目的是传送实体主体内容这个内容可能是用户上传的表单数据上传成功之后服务器可能把这个数据存储到数据库中因此状态也就发生了改变。
发送数据XMLHttpRequest是一个 API在Ajax中大量使用。它为客户端提供了在客户端和服务器之间传输数据的功能。它提供了一个通过URL 来获取数据的简单方式并且不会使整个页面刷新。这使得网页只更新一部分页面而不会打扰到用户。
①先检查输入的URL是否合法然后查询浏览器的缓存如果有则直接显示。
②通过DNS域名解析服务解析IP地址先从浏览器缓存查询、然后是操作系统和hosts文件的缓存如果没有查询本地服务器的缓存。
③通过TCP的三次握手机制建立连接建立连接后向服务器发送HTTP请求请求数据包。
⑥浏览器发送请求内嵌在HTML中的资源例如css、js、图片和视频等如果是未知类型会弹出对话框。
HTTP1.0使用的是非持续连接每次请求文档就有2倍的RTT开销另外客户和服务器每一次建立新的TCP连接都要分配缓存和变量这种非持续连接会给服务器造成很大的压力。
HTTP1.1使用的是持续连接服务器会在发送响应后在一段时间内继续保持这条连接使同一个浏览器和服务器可以继续在这条连接上传输后续的HTTP请求和响应报文。HTTP1.1的持续连接有两种工作方式非流水线和流水线方式。非流水线方式就是客户在收到前一个响应后才能发送下一个请求流水线方式是客户收到响应前就能连着发送新的请求。
HTTP有很大的安全隐患使用明文进行通信内容可能会被窃听。不验证通信方的身份通信方的身份有可能遭遇伪装。无法证明报文的完整性报文有可能遭篡改。
加密算法主要有对称加密和非对称加密对称加密的运算速度快但安全性不高。非对称密钥加密加密和解密使用不同的密钥。公开密钥所有人都可以获得通信发送方获得接收方的公开密钥之后就可以使用公开密钥进行加密接收方收到通信内容后使用私有密钥解密。
非对称密钥除了用来加密还可以用来进行签名。因为私有密钥无法被其他人获取因此通信发送方使用其私有密钥进行签名通信接收方使用发送方的公开密钥对签名进行解密就能判断这个签名是否正确。非对称加密的运算速度慢但是更安全。HTTPS采用混合的加密机制使用非对称密钥加密用于传输对称密钥来保证传输过程的安全性之后使用对称密钥加密进行通信来保证通信过程的效率。
浏览器和服务器建立TCP连接后会发送一个证书请求其中包含了自己可以实现的算法列表和一些必要信息用于商议双方使用的加密算法。
服务器收到请求后会选择加密算法然后返回证书包含了服务器的信息域名、申请证书的公司、加密的公钥以及加密的算法等。
浏览器收到之后检查签发该证书的机构是否正确该机构的公钥签名是否有效如果有效就生成对称密钥并利用公钥对其加密然后发送给服务器。
服务器收到密钥后利用自己的私钥解密。之后浏览器和服务器就可以基于对称加密对数据进行加密和通信。
从用户代理把邮件传送到邮件服务器以及在邮件服务器之间的传送都要使用 SMTP但用户代理从邮件服务器读取邮件时则要使用 POP3 或 IMAP 协议。
基于万维网的电子邮件使用户可以利用浏览器收发电子邮件用户浏览器和邮件服务器之间使用 HTTP 协议而邮件服务器之间的传送仍然使用 SMTP 协议。
SNMP 由三部分组成SNMP 本身负责读取和改变各代理中的对象名及其状态数值管理信息结构 SMI定义命名对象和对象类型的通用规则以及把对象之间值进行编码的基本编码规范 BER管理信息库 MIB在被管理的实体中创建命名对象并规定其类型。
被动攻击指攻击者从网络上窃听他人的通信内容也叫截获。在被动攻击中攻击者只是观察和分析某一协议数据单元PDU而不干扰信息流。攻击者可以通过观察PDU的协议控制信息部分了解正在通信的协议的地址和身份通过研究PDU的长度和发送频度了解所交换的数据的某种性质。这种攻击又叫做流量分析。
篡改攻击者故意篡改网络上传输的报文包括彻底中断传送的报文甚至把完全伪造的报文发给接收端这种攻击方式也叫做更改报文流。
恶意程序计算机病毒能够传染其他程序的程序主要通过修改其他程序来把自身或自身的变种复制进去完成。计算机蠕虫通过网络通信能把自己从一个结点发往另一个节点并且自动启动运行的程序。特洛伊木马它执行的功能并非声称的功能而是恶意程序例如一个编译程序除了完成编译任务外还偷偷地复制源程序。逻辑炸弹当运行环境满足某种特殊条件时就会执行特殊功能的程序例如当日期为22号且为周三的时候就会删除所有文件。后门入侵指利用系统实现中的漏洞通过网络入侵系统。流氓软件一种未经用户同意就在用户计算机上安装并损害用户利益的软件。
拒绝服务DoS攻击者向互联网上某个服务器不停地发送大量分组使其无法提供正常服务甚至完全瘫痪。如果从互联网成百上千的网站一起攻击一个网站就叫做分布式拒绝服务DDoS有时也叫网络宽带攻击。
ARP欺骗在使用以太网交换机的网络中攻击者向某个以太网交换机发送大量的伪造源MAC的地址以太网交换机收到这样的帧就把虚假的MAC源地址填入到交换表中由于伪造的数量很大很快就填满了表导致以太网交换机无法正常工作。
对于主动攻击可以采取适当的措施检测对于被动攻击通常是检测不出来的。根据这些特点得出计算机网络安全的主要目标如下①防止报文内容分析和流量分析。②防止恶意程序。③防止更改报文流和拒绝服务。
安全的计算机网络有4个目标①保密性只有信息的发送方和接收方看得懂信息这是最基本的要求需要利用密码技术实现。②端点鉴别鉴别信息的发送方和接收方的线c;对于主动攻击非常重要。③信息完整性确保信息的内容没有被篡改过和端点鉴别密不可分。④运行安全性通过访问控制来控制权限规定每个用户的访问权限。
加密密钥和解密密钥使用相同的密码体制例如数据加密标准DES保密性取决于对密钥的保密而算法是公开的。在DES之后提出了高级加密标准AES来取代DES。
又叫公开密钥密码体制加密和解密使用不同的密钥。产生的主要原因是对称密码密钥体制的密钥分配问题如果事先约定密钥就会给密钥的管理和分配带来很大的不便。另一个原因是对于数字签名的需要许多应用中人们需要通过对纯数字的电子信息签名表明该信息是由某个特定的人产生的。
确保实现以下功能①报文鉴别接收者能够核实发送者的身份。②报文的完整性接收者可以确信收到的报文没有被人篡改过。③不可否认发送方事后不能抵赖对报文的签名。
报文鉴别鉴别所收到的报文的确是报文发送者自己发送的而不是其他人伪造或篡改的包含了端点鉴别和报文完整性的鉴别通过密码散列函数如MD5、SHA-1报文鉴别码等实现。
实体鉴别仅鉴别发送报文的实体可以是一个人也可以是进程和服务器这就是端点鉴别。报文鉴别需要对每一个报文进行鉴别实体鉴别是在系统接入的全部时间内对和自己通信的对方实体验证一次。
IPsec不是一个单独的协议而是IP层提供网络通信安全的协议族没有限定用户使用哪种加密和鉴别算法是一个框架允许通信双方选择合适的算法和参数为保证互操作性实现了一套加密算法。
可以划分为三部分①IP数据报格式的2个协议鉴别首部AH和封装安全有效载荷ESP。AH可以提供源点鉴别和数据完整性但是不能保密而ESP三者皆可。②有关算法的协议。③互联网密钥交换协议IKE。使用AH或ESP的数据报又叫IP安全数据报有两种工作方式运输方式在整个运输层的报文段前后加上若干控制信息再加上IP首部构成IP安全数据报。隧道形式在原始IP数据报的前后添加若干控制信息再加上新的IP首部构成一个IP安全数据报。
SSL是Netscape开发的安全协议广泛用于基于万维网的各种网络应用SSL作用于端系统的应用层HTTP和运输层之间在TCP之上建立一个安全的连接通道为TCP传输的数据提供安全保障。SSL的服务①SSL服务器鉴别允许用户鉴别服务器的身份支持SSL客户端通过验证服务器证书鉴别服务器身份并获取公钥。②SSL客户鉴别SSL可选的安全服务允许服务器证实客户身份。③加密的SSL会线c;对客户和服务器发送的所有报文进行加密并检测报文是否被篡改。
恶意用户或软件通过网络利用系统的漏洞进行入侵包括病毒、木马、DoS等。之前讨论的所有安全机制都不能有效的解决这些问题。
一种访问控制技术严格控制进出网络的分组禁止任何不必要的通信从而减少潜在侵入的发生。防火墙是一种特殊编程的路由器安装在一个网点和网络中的其余部分之间目的是实施访问控制策略。策略是由防火墙单位自行制定的一般防火墙内的网络叫做可信任网络防火墙之外的网络叫做不可信网络。防火墙的主要技术分为分组过滤和应用网关。
防火墙应用于入侵发生前但防火墙不可能阻止所有入侵所以需要第二道防线也就是入侵检测应用于入侵发生时。①基于特征的入侵检测维持一个已知攻击特征的数据库每个特征是一个于某种入侵活动相关联的规则集缺点是只能检测已知攻击对未知攻击束手无策。②基于异常的入侵检测通过观察正常运行的网络流量学习正常流量的统计特性和规律当检测到网络中的流量不合规律时就认为可能发生了入侵。
