第 8 章:网络安全与模拟测试¶
场景: 网络建好了,数据跑起来了。但有人想窃听你的通信、篡改你的数据、攻击你的服务器。网络安全就是给网络装上"防盗门"和"监控摄像头"。
8.1 网络安全基础¶
CIA 三要素¶
| 要素 | 英文 | 含义 | 生活比喻 |
|---|---|---|---|
| 机密性 | Confidentiality | 信息不被未授权者获取 | 信件内容只有收件人能看 |
| 完整性 | Integrity | 信息不被篡改 | 信件在途中没有被修改 |
| 可用性 | Availability | 授权用户能正常访问 | 邮局正常营业,不关门 |
常见网络攻击类型¶
| 攻击类型 | 说明 | 防御措施 |
|---|---|---|
| DoS/DDoS | 拒绝服务攻击,耗尽目标资源 | 流量清洗、CDN、限流 |
| 中间人攻击 | 窃听/篡改通信内容 | HTTPS、VPN、证书验证 |
| ARP 欺骗 | 伪造 ARP 响应,劫持流量 | 静态 ARP 绑定、DAI |
| IP 欺骗 | 伪造源 IP 地址 | 入口过滤、RPF 检查 |
| 端口扫描 | 探测开放端口和服务 | 防火墙、IDS/IPS |
8.2 防火墙¶
核心比喻:防火墙就是小区的门禁系统
小区门口有保安(防火墙),根据规则决定谁可以进来、谁可以出去:
- "外卖员可以进,但只能送到楼下"(允许特定 IP/端口)
- "晚上 10 点后禁止外来车辆进入"(基于时间的规则)
- "3 栋的访客只能去 3 栋"(基于区域的规则)
防火墙类型¶
| 类型 | 工作层次 | 特点 |
|---|---|---|
| 包过滤防火墙 | 网络层/传输层 | 根据 IP、端口、协议过滤,速度快但功能有限 |
| 状态检测防火墙 | 网络层~应用层 | 记录连接状态,更智能的过滤 |
| 应用代理防火墙 | 应用层 | 深度检测应用层内容,安全性最高但性能开销大 |
8.3 加密技术¶
对称加密 vs 非对称加密¶
| 对比维度 | 对称加密 | 非对称加密 |
|---|---|---|
| 密钥 | 加密和解密使用同一密钥 | 公钥加密,私钥解密 |
| 速度 | 快 | 慢(比对称加密慢 100~1000 倍) |
| 密钥分发 | 困难(需要安全通道传递密钥) | 简单(公钥可以公开) |
| 典型算法 | DES、3DES、AES | RSA、ECC、SM2 |
| 用途 | 大量数据加密 | 密钥交换、数字签名 |
实际应用:混合加密
HTTPS 使用混合加密:用非对称加密(RSA/ECDHE)安全地交换对称密钥,然后用对称加密(AES)高效地加密实际数据。
哈希函数¶
| 算法 | 输出长度 | 安全性 |
|---|---|---|
| MD5 | 128 位 | ❌ 已被破解,不推荐 |
| SHA-1 | 160 位 | ❌ 已被破解,不推荐 |
| SHA-256 | 256 位 | ✅ 目前安全 |
| SHA-3 | 可变 | ✅ 最新标准 |
8.4 VPN —— 虚拟专用网络¶
核心比喻:VPN 就是在公共马路上建一条加密隧道
你在公共马路上开车,任何人都能看到你的车。但如果你挖了一条地下隧道——你在隧道里开车,外面的人看不到你,也不知道你去哪里。
VPN 在公共互联网上建立加密隧道,让你的数据安全传输,同时隐藏你的真实 IP 地址。
| VPN 协议 | 特点 |
|---|---|
| PPTP | 老旧,安全性差,不推荐 |
| L2TP/IPsec | 较安全,但配置复杂 |
| OpenVPN | 开源、安全、灵活 |
| WireGuard | 新一代,代码精简、性能优异 |
| IPsec | 网络层加密,常用于企业站点互联 |
8.5 综合模拟测试¶
一、单选题(每题 2 分,共 20 分)¶
1. 在 OSI 参考模型中,负责数据加密和压缩的是( )。
A. 应用层 B. 表示层 C. 会话层 D. 传输层
查看答案
答案:B —— 表示层负责数据格式转换、加密解密和压缩。
2. IP 地址 10.1.2.3 属于( )类地址。
A. A B. B C. C D. D
查看答案
答案:A —— 首字节 10 在 1~126 范围内,属于 A 类地址。
3. TCP 建立连接需要( )次握手。
A. 2 B. 3 C. 4 D. 5
查看答案
答案:B —— TCP 通过三次握手建立连接。
4. HTTP 的默认端口号是( )。
A. 21 B. 25 C. 80 D. 443
查看答案
答案:C —— HTTP 默认端口 80,HTTPS 默认端口 443。
5. 以下属于私有 IP 地址的是( )。
A. 8.8.8.8 B. 172.15.0.1 C. 192.168.1.1 D. 127.0.0.1
查看答案
答案:C —— 192.168.1.1 属于 C 类私有地址范围 192.168.0.0 ~ 192.168.255.255。
二、填空题(每题 2 分,共 10 分)¶
6. MAC 地址的长度是( )位。
查看答案
答案:48
7. RIP 协议的最大有效跳数是( )。
查看答案
答案:15
8. DNS 中将域名映射为 IPv4 地址的记录类型是( )。
查看答案
答案:A 记录
9. TCP 的流量控制通过( )机制实现。
查看答案
答案:滑动窗口
10. 无线局域网使用的介质访问控制方法是( )。
查看答案
答案:CSMA/CA
三、简答题(每题 5 分,共 10 分)¶
11. 简述 TCP 三次握手的过程,并说明为什么需要三次而不是两次。
参考答案
三次握手过程: 1. 客户端发送 SYN=1, seq=x 2. 服务器回复 SYN=1, ACK=1, seq=y, ack=x+1 3. 客户端发送 ACK=1, seq=x+1, ack=y+1
为什么需要三次: 防止已失效的连接请求报文突然传到服务器。如果只有两次握手,客户端发出的旧连接请求在网络中滞留后到达服务器,服务器会错误地建立连接,浪费资源。第三次握手让客户端确认连接有效。
12. 比较 RIP 和 OSPF 两种路由协议的主要区别。
参考答案
| 维度 | RIP | OSPF |
|---|---|---|
| 算法 | 距离向量 | 链路状态(Dijkstra SPF) |
| 度量值 | 跳数(最大 15) | 链路开销(带宽相关) |
| 收敛速度 | 慢 | 快 |
| 适用规模 | 小型网络 | 中大型网络 |
| 分层 | 不支持 | 支持区域划分 |
四、计算题(10 分)¶
13. 某公司获得 C 类地址 202.112.10.0/24,需要划分 6 个子网,每个子网至少容纳 25 台主机。请回答:
(1)需要借几位主机位?(2 分) (2)子网掩码是什么?(2 分) (3)每个子网有多少个可用 IP 地址?(2 分) (4)写出第一个子网的网络地址和广播地址。(4 分)
参考答案
(1)6 个子网需要借 3 位(\(2^3 = 8 \ge 6\))
(2)子网掩码:/24 + 3 = /27,即 255.255.255.224
(3)剩余 5 位主机位,可用 IP 数:\(2^5 - 2 = 30 \ge 25\),满足要求
(4)第一个子网:
- 网络地址:202.112.10.0/27
- 广播地址:202.112.10.31
- 可用 IP 范围:202.112.10.1 ~ 202.112.10.30
要点总结¶
- 网络安全 CIA 三要素:机密性、完整性、可用性
- 防火墙根据规则过滤流量,分为包过滤、状态检测、应用代理三类
- 对称加密(AES)快但密钥分发难;非对称加密(RSA)慢但密钥分发简单
- HTTPS 使用混合加密:非对称交换密钥 + 对称加密数据
- VPN 在公共网络上建立加密隧道,保护数据传输安全
课后练习¶
-
安全分析 :某公司内部网络需要实现以下安全策略,请设计防火墙规则:
- 允许内网用户访问外网 Web(80/443)
- 禁止外网主动访问内网任何服务
- 允许外网访问公司 Web 服务器(DMZ 区域)
-
加密对比 :从密钥数量、加密速度、密钥分发难度三个维度对比对称加密和非对称加密。
-
综合复习 :回顾全部 8 章内容,整理自己的知识体系图。
🎉 恭喜你完成了计算机三级·网络技术全部 8 章的学习!
建议你: 1. 回顾各章的"要点总结"和"课后练习" 2. 重点练习 IP 子网划分计算题(考试高频考点) 3. 熟记各层协议名称、端口号和核心特征 4. 做 3~5 套历年真题,检验学习效果