軟考筆記（二）進階系統架構師/分析師：計算機網絡基礎與資訊安全

軟考官網報名通道
軟考架構師筆記（一）：計算機系統基礎
軟考架構師筆記（二）：計算機網絡基礎與資訊安全
軟考架構師筆記（三）：作業系統基礎
軟考架構師筆記（四）：企業資訊化與系統規劃
軟考架構師筆記（五）：系統需求工程需求分析
軟考架構師筆記（六）：資料庫
軟考架構師筆記（七）：系統分析系統設計
軟考架構師筆記（八）：系統架構
軟考架構師筆記（九）：軟體工程與項目管理
軟考架構師筆記（十）：系統測試維護穩定性

TCP/IP 協定棧

OSI模型:                                            TCP/IP模型

應用層:    http tftp telnet                              應用層
表示層:
會話層:    建立連接配接，保持連接配接，斷開連接配接
傳輸層:    UDP使用者資料報協定 TCP傳輸控制協定                傳輸層
網絡層:    IP ICMP IGMP 作用:ip尋網絡層                    網際層
鍊路層:    ARP将ip位址轉化為mac位址  RARP
實體層:    将上面的送出去                                  網絡接口層

應用層：

網頁通路協定：HTTP/HTTPS port:80/443 ，超文本傳輸協定
郵件收發協定：POP3(收) prot:110，SMTP(發) prot:25，IMAP(可接收郵件的一部分)
FTP：port:20資料端口/21控制端口，檔案傳輸協定
SSH/Telnet：遠端登入協定 22
DNS: port:53，域名解析協定，記錄域名與IP的映射關系
DHCP: port:67 IP位址自動配置設定

傳輸層：

TCP: 可靠的
UDP:不可靠的

網絡層/網際層

IP：
ICMP：ping指令
ARP： IP位址---> MAC位址
RARP：MAC位址--> IP位址

端口号:

網絡診斷相關指令

ping 指令：網際網路包探索器，用于測試網絡連接配接量的程式
tracert 指令：路由跟蹤實用程式，用于确定 IP 資料包通路目标所采取的路徑，能夠定位故障時，哪裡不通。
ipconfig：顯示網絡配置
nslookup：查詢DNS記錄的生存時間，還可以指定使用哪個DNS伺服器進行解釋，用來診斷域名系統 (DNS) 基礎結構的資訊。
netstat： Netstat是在核心中通路網絡連接配接狀态及其相關資訊的程式，它能提供TCP連接配接，TCP和UDP監聽，程序記憶體管理的相關報告。

網絡規劃與設計

需求分析：

功能需求
通信需求
性能需求
可靠性需求
安全需求
運作與維護需求
管理需求

流程：

需求規範
通信規範 -->資訊資料的擷取
邏輯網絡設計

-->拓撲結構，網絡位址配置設定

-->安全協定，網絡管理，選擇

-->路由協定，裝置命名規則
實體網絡設計

-->裝置的具體實體分布，運作環境确定等

-->裝置選型，結構化布線，機房設計

-->（涉及實際實體層面的）
實施階段

分層設計：

接入層：使用者接入，計費管理，MAC位址認證，使用者資訊收集
彙聚層：網絡通路政策控制，資料包處理，過濾，尋址廣播等
核心層：高速資料交換，常用的是備援機制

網絡接入方式

有線接入方式

PSTN接入方式	公共電話交換網，屬于電路交換網
ISDN方式	ISDN，屬于電路交換網
ADSL方式	一種通過普通電話線提供寬帶資料業務技術，非對稱數位用戶線路使用 PPPoE協定
HFC方式	同軸光纖技術
FTTX光纖入網技術	各種光纖通訊網絡的總稱，其中x代表光纖線路的目的地

無線接入方式

IEEE 802.11	WIFI 接入技術，wlan連接配接
IEEE 802.15	Bluetooth接入
WAPI	是無線區域網路鑒别和保密基礎結構

2G/3G/4G/5G

GSM	全球移動通信系統(Global System for Mobile Communications) ，縮寫為GSM，2G标準
WCDMA	（頻分）寬帶碼分多址，聯通3G蜂窩網
CDMA2000	電信使用的3G移動通訊标準
TD-SCDMA	時分同步碼分多址，移動使用的3G标準
TD-LTE/FDD-LTE	4G标準,LTE(Long Term Evolution)原本是第三代移動通信向第四代過渡更新過程中的演進标準，包含LTE FDD（頻分）和LTE TDD(時分)(通常被簡稱為TD-LTE)兩種模式關鍵技術： OFDM(正交頻分複用，Orthogonal Frequency Division Multiple-xing)一種多載波正交調制技術 MIMO（多天線，Multiple Input Multiple Output）是收發段都采用多個天線進行傳輸的方式，可以提高通信品質和資料速率
WirelessMAN-Advanced(802.16m)(WiMAX)	全球微波接入互操作性（World Interoperability for Microwave Access，WiMAX），WiMAX的另一個名字是802.16
5G	20Gbps，合2.5GB每秒，比4G網絡的傳輸速度快10倍以上。 5G 通訊中主要使用兩個通訊頻段，Sub－6GHz 為低頻頻段，它主要使用 6GHz 以下頻段進行通訊。毫米波頻段則使用 24GHz－100GHz 的高頻毫米波進行通訊。目前 5G 對于毫米波的利用，大多集中在 24GHz／28GHz／39GHz／60GHz 幾個頻段之中。 5G 網絡是一個複雜的網絡環境，毫米波是最為閉環中處于圓心周圍的最核心體驗，它所呈現的是極限的速度，但是網絡信号的覆寫範圍有所局限；Sub－6GHz 頻段兼顧了速度與信号覆寫範圍，有着均衡的表現；

網絡絡存儲技術

DAS：直接附加存儲，直接将儲存設備連接配接到伺服器上，難以擴充，依賴I/O
NAS：網絡附加存儲，一個專用的檔案伺服器
SAN：存儲區域網絡，通過專用交換機将磁盤陣列與伺服器連接配接起來的高速專用子網
- FC SAN：光纖通道
- IP SAN：基于 IP 網絡

IPV6

長度128位，對比ipv4位址多了 2的96次方
位址分類：單點傳播、多點傳播(也稱作多點傳播)、泛播(也稱作任意播)

多點傳播：字首為 11111111

任播：字首固定，其餘位置為0
與4比較：更大的位址空間、更小的路由表、簡化了頭部封包
過渡技術：雙協定棧技術、隧道技術、NAT-PT 技術

ipv6 位址由8個16進制字段組成，可以簡寫，一個: 可以代表4個0，:: 表示中間缺的全是0

子網路遮罩

例：192.168.192.0/20，要把該網絡分成32個子網

IPv4位址用4個位元組即32位表示，前20位作為網絡位址，第21至第24位為子網号（占5位），剩餘第25至31位為主機号（占7位）。

是以子網路遮罩占25位，最後一個位元組的左邊第一位是1，即27=128，子網路遮罩為255.255.255.128。主機号占7位，去掉全是0和全是1，實際為126。

網絡位址

綜合布線方式

工作區：終端，資訊插座，插座盒，連接配接跳線，擴充卡；
配線(水準)子系統：由工作區開始，水準布置到管理區的線纜所組成；
管理子系統/進線間：管理一層的線纜,築物外部通信和資訊管線的入口部位 (網絡盒子)
幹線(垂直)子系統：各樓層的水準子系統之間的互聯
裝置間：電纜、硬體，（簡單了解是機房的那些東西）
建築群子系統：建築之間（建築間穿的線纜）

iOT物聯網相關

物聯網系統可以分成感覺層、網絡層和應用層三層

感覺層：感覺層是整個物聯網系統的資料基礎。它利用傳感器獲得被測量(實體量、化學量或生物量)的模拟信号，并負責把模拟信号量轉換成數字量

識别物體，采集資訊，如：二維碼，RFID, 攝像頭，sensor傳感器
網絡層：傳遞資訊盒處理資訊，基于網際網路
應用層：資訊處理，人機互動

涉及到的關鍵技術：

射頻識别技術：RFID
傳感網：MEMS是微機電系統
M2M系統架構:M2M是Machine-to-Machine/Man的簡稱，是一種以機器終端智能互動為核心的、網絡化的應用與服務。
雲

雲計算相關

雲計算（cloud computing）是分布式計算的一種，指的是通過網絡“雲”将巨大的資料計算處理程式分解成無數個小程式

然後，通過多部伺服器組成的系統進行處理和分析這些小程式得到結果并傳回給使用者。

特點：

集合了大量計算機，規模成千上萬
多種軟硬體技術相配合
對客戶裝置端要求較低
規模化效應

常見的種類：

軟體即服務（SaaS）：OA系統那種，網業端應用提供
平台即服務（PaaS）：提供陪平台接口，直播服務，翻譯接口，地圖等；
基礎設施即服務（IaaS）：人臉識别機器

資訊安全分類

資訊系統安全可劃分為實體安全、網絡安全、系統安全和應用安全

機房安全屬于實體安全，入侵檢測屬于網絡安全，漏洞更新檔管理屬于系統安全，而資料庫安全則是應用安資訊加密算法

IPsec協定

IPsec的功能可以劃分三類：

①認證頭（Authentication Header，AH）：用于資料完整性認證和資料源認證；

②封裝安全負荷（Encapsulating Security Payload，ESP）：提供資料保密性和資料完整性認證，ESP也包括了防止重播攻擊的順序号；

③Internet密鑰交換協定（Internet Key Exchange，IKE）：用于生成和分發在ESP和AH中使用的密鑰，IKE也對遠端系統進行初始認證。

IPsec傳輸模式中，IP頭沒有加密，隻對IP資料進行了加密；

在隧道模式中，IPSec 對原來的IP資料報進行了封裝和加密，加上了新的IP頭。IPSec的安全頭插入在标準的IP頭和上層協定（例如TCP）之間，任何網絡服務和網絡應用可以不經修改地從标準IP轉向IPSec，同時IPSec通信也可以透明地通過現有的IP路由器。

資訊加密算法

散列函數（散列（hash）、指紋、消息摘要、摘要算法、雜湊函數）：把任意長度的輸入消息資料轉化成固定長度的輸出資料的一種密碼算法。
消息驗證代碼：驗證資料完整性，即資料沒有被篡改。
數字簽名：RSA私鑰加密，公鑰解密，結合散列函數。驗證消息真實性。
僞随機函數（PRF）：生成任意數量的僞随機資料。
RSA：可以同時用于密鑰交換和身份驗證（數字簽名）。
DHE_RSA：DHE 算法：密鑰協商，RSA 算法：身份驗證（數字簽名）。
ECDHE_RSA： ECDHE 算法：密鑰協商，RSA 算法：身份驗證（數字簽名）。
ECDHE_ECDSA ：ECDHE 算法：密鑰協商，ECDSA 算法：身份驗證（數字簽名）。

對稱加密

缺陷：強度不高，效率高，秘鑰分發困難

DES ：56位密鑰、64位資料塊、速度快、密鑰易産生

3DES（三重DES）：兩個56位的密鑰K1、K2 一共112位

加密：K1加密->K2解密->K1加密

解密：K1解密->K2加密->K1解密

RC-5:RSA資料安全公司的很多産品都使用了RC-5。多用于明文傳輸

IDEA:128位密鑰、64位資料塊、比DES的加密性好、對計算機功能要求相對低，

非對稱加密

公鑰加密，私鑰解密

RSA：512位（或1024位）密鑰、計算量極大、難破解

ECC：橢圓曲線算法缺陷：加密速度慢

資訊摘要

單向散列函數、固定長度的散列值。（HASH算法）

MD5 , SHA等,市場上廣泛使用的MD5 , SHA算法的散列值分别為128和160位,由于SHA通常采用的密鑰長度較長，是以安全性高于MD5

作用：保證資訊的完整性，準确性

數字簽字

hash得到摘要保證完整性，發送者私鑰非對稱加密，識别發送者身份，防抵賴

數字簽名（又稱公鑰數字簽名）是隻有資訊的發送者才能産生的别人無法僞造的一段數字串，這段數字串同時也是對資訊的發送者發送資訊真實性的一個有效證明。

不可抵賴的原理：發送者A 用A的私鑰對資訊摘要加密，接收者用A公開的公鑰才能解密成功，拿到的資訊如果能被A的公鑰解密成功，那這個資訊隻可能是被A的私鑰加密的，無法仿照;

數字信封

發送方将原文用對稱密鑰加密傳輸,而将對稱密鑰用接收方公鑰加密發送給對方。

接收方收到電子信封，用自己的私鑰解密信封,取出對稱密鑰解密得原文。

常用方法：PGP

PGP可用于電子郵件，也可以用于檔案存儲。采用了雜合算法,包括IDEA、 RSA、MD5、ZIP資料壓縮算法。

0PGP承認兩種不同的證書格式: PGP證書和X.509證書。

PGP證書包含PGP版本号、證書持有者的公鑰、證書持有者的資訊、證書擁有者的數字簽名、證書的有效期、密鑰首選的對稱加密算法。

X.509證書包含證書版本、證書的序列号、簽名算法辨別、證書有效期、以下資料:證書發行商名字、證書主體名、主體公鑰資訊釋出者的數字簽名。

PKI公鑰體系

CA 中心管理并營運 CA 系統，CA 系統負責頒發數字證書。

專門負責頒發數字證書的系統稱為 CA 系統，負責管理并營運 CA 系統的機構稱為 CA 中心。所有與數字證書相關的各種概念和技術，統稱為 PKI（Public Key Infrastructure）。

CA中心為每個使用公開密鑰的使用者發放一個數字證書，數字證書的作用是證明證書中列出的使用者合法擁有證書中列出的公開密鑰。

CA也擁有一個證書（内含公鑰）和私鑰。網上的公衆使用者通過驗證CA的簽字進而信任CA，

任何人都可以得到CA的證書（含公鑰），用以驗證它所簽發的證書。使用者甲使用自己的私鑰對資訊M進行簽名，使用者乙用甲的公鑰對簽名進行驗證。

網絡安全保障

身份認證

使用者名+密碼
數字證書
生物特征識别

通路控制

自主通路控制(DAC)
通路控制清單(ACL)
強制通路控制(MAC)
基于角色的通路控制(RBAC)
基于任務的通路控制(TBAC)

系統

Kerberos
PKI/CA

WAP

有線等效保密WEP的設計目的是提供與有線區域網路等價的機密性。

WEP使用RC4協定進行加密，并使用CRC-32校驗保證資料的完整性。最初的WEP标準使用Mbit的初始向量，加上40bit的字元串，構成64bit的WEP密鑰。

Wi-Fi聯盟廠商以802.11i草案的子集為藍圖制定了稱為WPA（Wi-FiProtectedAccess）安全認證方案。在WPA的設計中包含了認證、加密和資料完整性校驗三個組成部分。

首先是WPA使用了802.1X協定對使用者的MAC位址進行認證；

其次是WEP增大了密鑰和初始向量的長度，以128bit的密鑰和48位的初始向量（V）用于RC4加密。

WPA還采用了可以動态改變密鑰的臨時密鑰完整性協定TKIP，以更頻繁地變換密鑰來減少安全風險。

最後，WPA強化了資料完整性保護，使用封包完整性編碼來檢測僞造的資料包，并且在封包認證碼中包含有幀計數器，還可以防止重播攻擊。

入侵檢測方法：

入侵檢測系統由4個子產品組成：事件産生器、事件分析器、事件資料庫和響應單元。

其中，事件分析器負責接收事件資訊并對其進行分析，判斷是否為入侵行為或異常現象，其分析方法有以下三種：

①模式比對：将收集到的資訊與已知的網絡入侵資料庫進行比較，進而發現違背安全政策的行為；

②統計分析：首先給系統對象（例如使用者、檔案、目錄和裝置等）建立正常使用時的特征檔案（Profile），這些特征值将被用來與網絡中發生的行為進行比較。當觀察值超出正常值範圍時，就認為有可能發生入侵行為；

③資料完整性分析：主要關注檔案或系統對象的屬性是否被修改，這種方法往往用于事後的審計分析。

考點：

光纖

單模光纖（Single Mode Fiber）：中心玻璃芯很細（芯徑一般為9um或10um），隻能傳一種模式的光纖。

單模光纖相比于多模光纖可支援更長傳輸距離，在100Mb/s的以太網以至1Gb/s千兆網，單模光纖都可支援超過5000m的傳輸距離。

多模光纖容許不同模式的光于一根光纖上傳輸，由于多模光纖的芯徑較大，故可使用較為廉價的耦合器及接線器，多模光纖的纖芯直徑為50um至100um。

多模光纖一般采用LED光源，而單模光纖則采用極為昂貴的雷射作為光源體。

水準分割法

RIPv2對RIPv1協定的改進之一水準分割法的規則和原理是：路由器從某個接口接收到的更新資訊不允許再從這個接口發回去。水準分割的優點：（1）能夠阻止路由環路的産生；（2）減少路由器更新資訊占用的鍊路帶寬資源。

OSPF協定引入“分層路由”的概念，将網絡分割成一個“主幹”連接配接的一組互相獨立的部分，這些互相獨立的部分被稱為“區域"（Area），“主幹”的部分稱為“主幹區域”。

每個區域就如同一個獨立的網絡，該區域的OSPF路由器隻儲存該區域的鍊路狀态。每個路由器的鍊路狀态資料庫都可以保持合理的大小，路由計算的時間、封包數量都不會過大。完全存根區域：它不接受外部自治系統的路由以及自治系統内其他區域的路由總結。需要發送到區域外的封包則使用預設路由：0.0.0.0。

URL 格式

主機名書寫方式采用層次型命名體系，類似于郵政系統的位址書寫，由它所屬的各級域與配置設定給該主機的名字共同構成，頂級域名放在最右邊，主機名放在最左邊，名字間用“.”隔開。

IPv6通路Ipv4網絡

常使用隧道技術：6to4隧道、6over4隧道和ISATAP隧道。

TCP/IP 常用端口号

FTP：20 21 , SSH ：22, Telnet ：23 ，SMTP ：25 ，HTTP ：80 HTTPS ：443 DHCP ：67 DNS ：53

HTTPS

HTTPS（Secure Hypertext Transfer Protocol）安全超文本傳輸協定。它是一個安全通信通道，基于HTTP開發，用于在客戶計算機和伺服器之間交換資訊。HTTPS使用安全套接字層（SSL）進行資訊交換，簡單來說它是HTTP的安全版。