软考中级数据库系统工程师-第5章网络基础知识

总线型拓扑结构中只有一条双向通路，便于进行广播式传送信息;总线型拓扑结构属于分布式控制，无须中央处理器，故结构比较简单;节点的增、删和位置的变动较容易，变动中不影响网络的正常运行，系统扩充性能好:节点的接口通常采用无源线路，系统可靠性高;设备少，价格低，安装使用方便;由于电气信号通路多，干扰较大，因此对信号的质量要求高。负载重时，线路的利用率较低。网上的信息延迟时间不确定，故障隔离和检测困难。

2.星型结构

星型结构中，使用中央交换单元以放射状连接到网中的各个节点。中央单元采用电路交换方式以建立所希望通信的两节点间专用的路径。通常用双绞线将节点与中央单元进行连接。其特点为维护管理容易，重新配置灵活；故障隔离和检测容易:网络延迟时间短，各节点与中央交换单元直接连通，各节点之间通信必须经过中央单元转换:网络共享能力差;线路利用率低，中央单元负荷重。

3.环型结构

环型结构的信息传输线路构成一个封闭的环型，各节点通过中继器连入网内，各中继器间首尾相接。信息单向沿环路逐点传送。其特点为环型网中信息的流动方向是固定的，两个节点仅有一条通路，路径控制简单；有旁路设备，节点一旦发生故障，系统自动旁路，可靠性高;信息要串行穿过多个节点，在网中节点过多时传输效率低，系统响应速度慢;由于环路封闭，扩充较难。

4.树型结构

树型结构是总线型结构的扩充形式，传输介质是不封闭的分支电缆，如图 5-2(d)所示它主要用于多个网络组成的分级结构中。其特点同总线型网。

5.分布式结构

分布式结构无严格的布点规定和形状，各节点之间有多条线路相连，如图 5-2 (e)所示其特点为分布式网有较高的可靠性，当一条线路有故障时，不会影响整个系统工作;资源共享方便，网络响应时间短；由于节点与多个节点连接，故节点的路由选择和流量控制难度大，管理软件复杂；硬件成本高。
广域网与局域网所使用的网络拓扑结构有所不同，广域网多用分布式或树型结构，而局域网常使用总线型、环型、星型或树型结构。

3.网络设备（重点）

物理设备	OSI模型	传输的数据单位	主要功能
中继器	物理层	位（比特流）	实现局域网网段互连的，用于扩展局域网网段的长度
集线器	物理层	位（比特流）	多路中继器
网桥	数据链路层	帧	连接两个不同的网段，对帧进行过滤和转发
二层交换机	数据链路层	帧	多端口网桥，按物理地址对帧进行数据转发
三层交换机	数据链路层/网络层	帧/数据包	在二层交换机的基础上增加了部分网络层的功能
路由器	网络层	数据包	连接不同的子网，根据IP地址进行路由选择与数据的分组交换
网关	应用层	报文	进行协议转换，可以使不同类型的网络系统之间进行通信

4.网络传输介质

双绞线（现在最普通的传输介质）、同轴电缆、光纤、微波、红外线和激光、卫星通信

5.TCP/IP协议簇（重点）

ISO/OSI参考模型	TCP/IP模型	TCP/IP协议
应用层	应用层	FTP(文件传输协议)：数据20、控制21 Telnet(远程登录协议)：23 SMTP(简单邮件传输协议)：25 HTTP(超文本传输协议)：80 POP3:110	DHCP(动态主机配置协议)：67 SNMP(简单网络管理协议)：161,162 DNS(域名解析)：53
表示层
会话层
传输层	传输层	TCP(传输控制协议) (可靠的、面向连接的、低速的)	UDP(用户数据报协议) (不可靠的、无连接的、高速的)
网络层	网际层(IP层)	IP:提供无连接的、不可靠的服务 ICMP(网络控制信息协议):专门用于发送差错报文 ARP(地址解析协议):将IP地址转换为物理地址 RARP(反地址协议解析):将物理地址转换为IP地址
数据链路层	网络接口层	IEEE 802.3、FDDI、IEEE 802.5、ARCnet、PPP
物理层	网络接口层	IEEE 802.3、FDDI、IEEE 802.5、ARCnet、PPP

网际层协议ICMP的功能有：通告网络故障、通告网络拥堵、协助解决故障

TCP：重发+三次握手，一般用于传输数据量比较少，且对可靠性要求高的场合

UDP：将UDP消息展示给应用层

6.Internet地址

域名通常是用户所在的主机名或地址。通常情况，一个完整、通用层次型主机域名由如下4部分组成：计算机主机名.本地名.组名.最高层域名。

例：www.hust.edu.cn

www为计算机主机名，hust为本地名，edu为主名，cn为最高层域名

URL格式：协议://主机.域名[:端口号]/路径/文件名

例：http://210.42.87.56:80/ducement/admin/a1/index.html

http为协议，210.42.87.56为主机域名，80为端口号，

ducement/admin/a1为路径，index.html为文件名

https是一种通过计算机网络进行安全通信的传输协议，经由http进行通信，利用SSL/TLS建立全信道，加密数据包。https使用的主要目的是提供对网站服务器器的身份认证，同时保存交换数据的隐私与完整性。

7.Internet服务

域名服务，远程登录服务，电子邮件服务，www服务

8.防火墙技术

防火墙技术经历了包过滤，应用代理网关和状态检测技术三个发展阶段。

1.包过滤防火墙

包过滤器处在网络层和数据链路层(即 TCP 和层)之间。通过检查模块，防火墙能够拦截和检查所有出站和进站的数据，它首先打开包，取出包头，根据包头的信息确定该包是否符合包过滤规则，并进行记录。对于不符合规则的包，应进行报警并丢弃该包。
过滤型的防火墙通常直接转发报文，它对用户完全透明，速度较快。其优点是防火墙对每条传入和传出网络的包实行低水平控制;每个I 包的字段都被检查，例如源地址、目的地址协议和端口等;防火墙可以识别和丢弃带欺骗性源 IP 地址的包;包过滤防火墙是两个网络之间访问的唯一来源:包过滤通常被包含在路由器数据包中，所以不需要额外的系统来处理这个特征。缺点是不能防范黑客攻击，因为网管不可能区分出可信网络与不可信网络的界限;不支持应用层协议，因为它不识别数据包中的应用层协议，访问控制粒度太粗糙:不能处理新的安全威胁。

2.应用代理网关防火墙

应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。缺点是难以配置;处理速度非常慢。

3.状态检测技术防火墙

状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上，提高了代理防火墙的性能。状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力，同时也改进了流量处理速度。因为它采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。

9.入侵检测与防御

入侵检测系统 (Intrusion Detection System，IDS)作为防火墙之后的第二道安全屏障，I 主要功能包括对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计跟踪，以及违反安全策略的用户行为的检测等。入侵检测通过实时地监控入侵事件，在造成系统损坏或数据丢失之前阻止入侵者进一步的行动，使系统能尽可能的保持正常工作。与此同时，IDS 还需要收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

入侵防御系统(IPS)是在入侵检测系统的基础上发展起来的，入侵防御系统不仅能够检测到网络中的攻击行为，同时主动的对攻击行为能够发出响应，对攻击进行防御。

10.安全的分类

物理安全：场地安全，机房安全

网络安全：防火墙

系统安全：主要指操作系统的安全

应用安全：与应用系统相关的安全

11.网络攻击的分类

1）主动攻击：会导致某些数据流被篡改或者产生虚假的数据流。这类攻击可分为篡改消息、伪照消息、重放和拒绝服务(DDOS攻击)

2）被动攻击：攻击者并不对数据信息做任何修改，也不产生虚假的数据流。通常包括窃听，流量分析等。

12.其它

1）默认网关的IP地址和本机地址属于同一个网络号，网络号相同属于同一子网

2）主机号全为1称为广播地址；主机号全为0称为网络地址

3）URL默认使用http协议

4）安全级别由高到低：受限站点、可信站点、本地Internet、Internet

5）服务器首先查询本地缓存，主机首先查询本机host文件，本地DNS缓存，本地DNS服务器

13 IP地址

地址类	子网掩码位	子网掩码
A类	11111111 00000000 00000000 00000000	255.0.0.0
B类	11111111 11111111 00000000 00000000	255.255.0.0
C类	11111111 11111111 11111111 00000000	255.255.255.0

子网掩码的格式与IP地址相同，所有对应网络号的部分用1填上，所有对应主机号的部分用0填上。