1、第一章（計算機網絡概論(giln)）：|計網定義(dngy)：以共享資源（軟件(run jin)；硬件；數據）為目的連接起來的，在協議控制下，由一或多臺計算機和若干終端設備、數據傳輸設備等組成的系統集合。這些計算機系統具有獨立自治能力、可獨立運行的系統。網絡的主要功能：向用戶提供資源的共享和數據的傳輸，而用戶本身無需考慮自己以及所用資源在網絡中的位置。按跨度分類：廣域網（規模大、傳輸延遲大）、局域網（規模小、專用、傳輸延遲小）、城域網（覆蓋范圍介于前兩者之間）。按網絡拓撲結構分類：星狀型（以一中心處理機為主構成網，其它入網機僅與該中心處理機間有直接物理連接，所有網上傳輸信息均需通過該機轉發。特

2、點：網絡結構簡單，便于管理；入網機需物理線路與處理機互連，線路利用率低；處理機負載重；中心處理機的故障將導致網絡的癱瘓。適用于局域網、廣域網），總線型（所有的入網設備都共用一條物理傳輸線路，所有的數據都發往同一條線路，并能夠由附接在傳輸線路上的所有設備感知。特點：多臺機公用一條傳輸線路，線路利用率高；同一時刻只能有兩臺計算機通信；某個結點的故障不影響整個網絡的工作；網絡的延伸距離有限，結點數有限。適用于局域網以及對實時性要求不高的環境），環狀型（入網設備通過轉發器接入網絡，每個轉發器僅與兩個相鄰的轉發器有直接的物理線路。特點：實時性較好；每個轉發器只與相鄰兩個結點有直接物理鏈路；傳輸控制機制比

3、較簡單；某個轉發器的故障將導致網絡癱瘓。適用于局域網以及具有一定實時性要求的環境。）網狀型（利用專門負責數據通信和傳輸的結點機構成的網狀網絡，入網設備直接接入結點機進行通信。其通常利用冗余的設備和線路來提高網絡的可靠性，結點機可以根據當前的網絡流量有選擇地將數據發往不同的線路。適用于地域范圍大、入網主機多的環境）。按管理性質分類：公用網（資源可供任何人使用）、專用網（資源僅供有限對象使用）、利用公用網組建專用網（虛擬專用網）。按交換方式分類：線路交換網（采用電話工作方式，無存儲能力，通信中始終占用該線，不許共享）、報文交換網（采用有存儲-轉發能力的計算機，用戶數據可暫存于交換機，空閑時再傳）、

4、分組交換網（類同于報文交換，規定交換機處理和傳輸的數據長度，不同用戶組可交織在網中的物理鏈路上傳輸）。按網絡功能分類：通信子網（它是網絡中面向數據傳輸或數據通信的資源集合，主要支持用戶數據的傳輸）、資源子網（它是網絡中面向數據處理的資源的集合，主要支持用戶的應用）。計算機通信的基本原理：計算機之間的通信本質是通信雙方計算機中進程之間的通信（即各個進程間互相制約的等待或互通消息）。同一計算機系統中進程通信可以通過設置共享區的方式實現，不同計算機系統間進程通信需要通過網絡并跨越通信線路才能實現。通信軟件：通信接口程序、網絡控制程序、網絡應用程序。通信協議：是一組約定和規則的集合，通信兩實體在通信內

5、容，方式，時序等方面要遵從相互可理解的協議。協議三要素：語法（確定通信雙方通信時數據報文的格式）、語義（確定通信雙方通信內容的含義）、時序（指出通信雙方信息交互的順序）。第二章（數據通信原理）：|通信系統基本組成：三要素（信源：信息發送者；信宿：信息接收者；載體：傳送信息媒體信道），變換器（將信源發出信息變換成載體可傳輸格式），反變換器（將載體傳輸信息變換成信宿可識別處理格式）信道（信息傳輸的載體）。信道分類：按傳輸介質不同分類：有限信道（有較高的傳輸效率）、無限信道（信號能量相對分散，傳輸效率低，安全性較差）。按傳輸方式不同(b tn)分類：模擬(mn)信道（每隔一段距離利用放大器補充(bc

6、hng)信道中能量）、數字信道（信號能量不會因為傳輸距離而衰減）。差錯率；誤碼率：Pe=出錯比特數傳輸；比特總數，與信號傳速率和距離正比。調制；解調：利用模擬信道支持數據信息傳輸的技術調制。調制：將數據信息變換成適合于模擬信道上傳輸的電磁波信號，（數字-模擬）解調：將從模擬信道上收取的載波信號還原成數據信息。（模擬-數字）調制解調器：具有調制；解調功能的通信設備。調制方法：調幅，將不同數據信息01調制成不同幅度同頻率載波信號；調頻，將不同數據信息01調制為同幅度不同頻率載號；調相，用相鄰載號相位變化值表示相鄰信號是否有相同數據信息值，幅度頻率不變。調制速率（信道速率，波特率）：調制設備每秒可調

7、制符號數，信道秒傳輸符號數。信道傳輸速率與調制速率的關系：數據傳輸速率=波特率log2N調制/解調器的選擇和應用：1）性能：速率、功能等；2）用途：使用的場合；3）符合相關標準。編碼解碼技術：編碼：將模擬信息轉為數字信號的過程；解碼：將數字信號還原模擬信息的逆過程）脈碼調制技術PCM：取樣，通過某頻率取樣脈沖將模擬信息值取出，變連續模擬信息為離散信號；量化，目的是確定取樣出的模擬信號數值，對取樣離散值取整量化，得離散信號具體數值；編碼：將量化后的值編碼成一定位數二進制值。據尼奎斯特取樣定理：最大頻率F的模擬信號不失真還原的前提條件是采樣頻率不低2F|8級量化，可用3位表示；一般的語音傳輸，采用

8、64級量化，數字傳輸時占8位。傳輸編碼：字符編碼（利用0和1比特的特定組合來表示字符。ASCII碼美信息交換標碼，圖形字符：數字，字母，運算符號；語句符號；控制字符：傳輸控制，格式控制，信息分隔字符）。通信編碼（用特定電平信號來表01比特值，并通過計機或其它通設的輸入輸出端口傳輸）。RS-232編碼：+15V表數字信號0，-15V表數字信號1；不歸0交替編碼（NRZI）：比特間隔發生電平變化表1，不發生電平變化表0。RS-232和NRZI特點：編碼中不含同步信號，當發送；接受設備的時鐘略有差異便會造成誤差累積，導致采樣脈沖的偏移。所以不適合成塊數據的一次性傳輸。曼徹斯特編碼：1比特時間一分二，

9、發生低電平到高的變化表1，高到低表0。差分曼徹斯特編碼：1比特時間一分二，當前比特前半電平不同于前一比特的最終電平狀態（位間電平變）表示0，相同（位間電平不變）表1。雙曼特點：編碼中含同步信息（每比特中部電平躍變信號）接收方可據該同步信息調整接收脈沖的產生，可支持較大數據塊傳輸，要求發送；接收設備能產生較高頻率的發；收脈沖，編碼效率低，50%。4b/5b碼：光纖應用降成本，5位（5b）符號表示4位（4b）信息用NRZI表5位符號，要求每符號至少有2個以上的1比特（躍變）出現。例：0010-10100，0110-01110，1100-11010，1000-10010，0000-11110特點-含

10、同步信號，支持批量數據傳輸，編碼效率高，80%。傳輸方式：并行傳輸：字符編碼各個比特同傳，特點=一比特時間內可傳輸一字符，傳速快，每比特傳輸要一單獨的信道支持，成本高，遠距離傳輸時，線間干擾可靠性下降；串行傳輸：將組成字符的各比特串行發往線路，特點=傳輸速度低，一次一比特，成本低，只需一道；同步傳輸：以多字符或多比特組合成的數據塊為單位進行傳輸，用獨特同步模式限定數據塊，達到同步接收的目的；異步傳輸：字符內各比特用固定時間模式，字符獨立傳輸，字符間隔任意，用獨特起始和終止位來限定每字符，傳輸效率低）。同步技術：保證接收方在時間上與發方同步，正確識別和接收發送方的數據。位同步：使接收方可以正確地

11、接收各個比特。自同步法：接收方直接從數據波中獲取同步信號（曼碼）；外同步法：發送方在發數據前，先向接收方發串同步時鐘序列，接收方據這時序鎖定接收頻率；字符同步，使接收方可正確識別數據群，用同步傳輸時的同步字符，接收方在識別到獨特同步字符或同步模式后，開始數據接收。傳輸形式：單工傳輸，任時刻只許向一方向進行信息傳輸；半雙工傳輸，可交替改變方向的信息傳輸，但在任一時刻，只向一方向傳輸；全雙工傳輸，任時刻都可進行雙向信息傳輸。傳輸差錯處理：目的（保證信息傳輸正確性，噪聲導差錯，無此能力的系統是不可用系統）。差錯(chcu)檢驗（法一）反饋(fnku)重傳法（ARQ）：發送(f sn)方發檢錯碼接收方

12、據代碼的編碼規則，驗證接收到的代碼，將結果反饋給發方發方據反饋結果決定是否重傳，若未正確接收，重傳在規定時間內，若未收到反饋結果，則發方可認為傳輸出錯，執行重傳；停-等協議：發送一塊數據，計時。等待接收方的反饋結果，若接到否定確認，重傳本塊，并計傳輸次數；若收到接收確認，發送后繼數據；若超時，重傳本塊。特點：半雙工方式，控制簡單易實現，傳輸效率低。滑動窗口協議：發方一次連發多塊收方對每塊數據差錯分析，若發現錯，立反饋發方收方可對收到的多個正確塊一次性確認發方據反饋結果，重發指定塊或重發指定塊及其后所有塊或者發送后續塊。其中窗口尺寸為64Kbps/路，總帶寬1.544Mbps。128kbp/64

13、kbps=2，申請/分配2個64kbps子信道來支持128kbps的虛電路。通信系統中一般采用什么技術來提高線路的利用率？解：多路復用和集中傳輸技術（含邏輯信道和虛電路等），分組交換。(3)計算機網絡有哪些常用的性能指標？答：速率，帶寬，吞吐量，時延，時延帶寬積，往返時間RTT，利用率(4)數據鏈路層中的鏈路控制包括哪些功能?試討論數據鏈路層做成可靠的鏈路層有哪些優點和缺點. 答：鏈路管理、幀定界和透明傳輸、流量控制、差錯控制、將數據和控制信息區分并尋址可靠的鏈路層的優點和缺點取決于所應用的環境：對于干擾嚴重的信道，可靠的鏈路層可以將重傳范圍約束在局部鏈路，防止全網絡的傳輸效率受損；對于優質信

14、道，采用可靠的鏈路層會增大資源開銷，影響傳輸效率。第四章（局域網）：|局域網（LAN）的描述或者特性：傳輸媒體（雙絞線、同軸電纜和光纖，在特殊的環境下，也可以考慮使用微波、紅外線和激光等無線傳輸媒體）；傳輸技術（使用傳輸媒體進行通信的技術，常用的有基帶傳輸和寬帶傳輸）；網絡拓撲（指組網時的電纜鋪設形式，常見的有總線形、環形和星形，局域網的網絡拓撲描述對應網絡中數據收發的方式）；訪問控制方法（網絡設備訪問傳輸媒體的控制方法，常用的有競爭、令牌傳遞和令牌環等）。LAN的特點：網絡覆蓋范圍小，25公里內；較好的傳輸特性，包括高的傳輸速率和低的傳輸誤碼率；軟硬件設施及協議方面有所簡化；介質訪問控制方法

15、相對簡單；廣播方式傳輸數據信號，不考慮路由選擇和忽略OSI網絡層。站地址：標識局域網中設備的地址，具有唯一性。（靜態分配地址格式，即通用格式或全局地址：由網絡設備制造商指定的地址，通常占48個二進制位；動態分配地址格式，即本地地址或局部地址：管理員分配，網絡內有效，通常為16比特）傳輸方式：基帶傳輸：保持數據波的原樣進行傳輸，常采用時分或波分多路復用的技術，支持多路信號的傳輸；特征：數字信號為電脈沖或光脈沖；信號傳輸將占用整個信道的帶寬；數據波信號的傳輸會隨著距離增加而衰減，隨著頻率增加而容易發生畸變，因此基帶傳輸不適合高速和遠距離傳輸；可以同時向兩個方向擴散，直至被終端適配器吸收。寬帶傳輸：

16、電話系統中指帶寬超過一個標準電話的傳輸系統，數據通信領域則指數據傳輸速率超過1Mbps的傳輸系統。特征：傳輸模擬信號；采用調制的方法，以連續不間斷的電磁波來傳輸信號，常采用頻分多路復用的技術支持多路信號的傳輸；與基帶傳輸相比，具有較高傳輸速率和抗干擾能力；僅向單個方向傳輸。無論基帶；寬帶，都可保證結點間數據傳輸。兩者傳輸(chun sh)距離比較：基帶傳輸，信號同時(tngsh)向兩個方向擴散，傳播(chunb)時間與實際距離成正比，實際距離最遠的兩個結點之間的信號傳播距離也最遠；寬帶傳輸，信號僅向一個方向擴散，傳播時間與實際距離不一定成正比，相鄰兩結點傳播距離可能最遠。傳播距離正比于至轉換；

17、連接器的距離。局域網邏輯結構：局域網主要支持結點之間的信息傳輸，其標準化工作主要集中在OSI/RM中物理層、數據鏈路層和網絡層。數據鏈路層分為邏輯鏈路控制子層（LLC），介質訪問控制子層（MAC）；LAN差別體現在物理層和MAC子層。（LAN物理層主要定義結點和傳輸介質的接口特性；MAC子層則定義結點共享傳輸介質時采用的訪問控制技術）；LLC子層屏蔽不同的MAC之間的差異，以便提供統一的接口。局域網工作原理：數據發送：高層有數據發送時，將數據傳給LLC子層，加上LLC子層的控制信息，組成LLC幀，傳給MAC子層；MAC子層接收到LLC層的數據，有數據封轉模塊按照MAC層的幀格式對數據進行封裝，

18、組成MAC幀；發送介質訪問管理模塊根據當前介質的情況決定是否立即發送MAC幀；發送數據模塊對發往線路的數據編碼并通過物理介質接口發往線路。數據接受：線路上有數據，接收到本節點；將數據通過接受數據解碼模塊解碼，傳給接收介質訪問管理模塊；接收介質訪問管理模塊進行校驗、判斷，并作相應的處理；如果是發給本節點的數據，則由數據拆封模塊對接收到的MAC數據幀拆封，形成LLC幀，發給LLC層；LLC層收到MAC發來數據后，去掉LLC控制信息，將數據傳給高層用戶。CSMA/CD的含義：載波偵聽，偵聽媒體是否空閑（說前先聽）；多路訪問，多個結點共享媒體，多個結點同時獲取信息；沖突檢測（CSMA/CD競爭總線），

19、監聽媒體，檢測沖突（邊說邊聽）幀最小長度需求說明：CSMA/CD要求整個幀長度應不小于64字節。目的：保證發送結點可對發生的沖突進行有效檢測。幀發送完前，應保證所有結點都可偵聽到媒體上有信息在傳，從而暫停發送動作；或若某個其他結點也啟動發送過程，則結點應在發送完幀之前感知到沖突信號。基帶傳輸：整個幀發送時間不小于信號在網中傳播距離最大的兩個節點傳播時間兩倍，寬帶：離連接器最遠節點和連接器傳播時間4倍。CSMA/CD特點：競爭總線，各結點搶占對共享媒體訪問權；結點共享媒體，任時刻只一個結點可發信息；任何一個結點故障不會影響整個網絡工作，維護方便，增刪結點容易；輕負載時沖突少，效率高；重負載時沖突

20、概率加大，效率低；發送時間難預測，可能不適合實時傳輸。二進制指數退避算法：用于生成某個等待時間的時間值（該值=隨機數r*51.2us），隨機數r的取值有賴于沖突的次數i （i 10，隨機數r范圍為0至2i-1；1 i根DNS，域名服務器按最多匹配項檢索域名配置文件，若無任何匹配項，則訪問根DNS，得頂級域名服務器IP地址本地頂級域DNS，得子域DNS服務器IP地址本地DNS子域DNS，得主機所在域的DNS服務器的IP地址本地DNS主機所在域DNS，得主機IP地址本地DNS應用程序，將所查主機地IP地址傳給應用程序。DNS域名查詢的效率(xio l)改進：擴充(kuchng)第一級域名服務器的域

21、名表（域名(y mn)數據庫）；第一級域名服務器直接向根服務器查詢；充分利用機器的高速緩存，暫存解析后的IP地址；原理：用戶可能習慣連續地訪問相同的系統。補充說明一臺計算機可以有多個域名；按名訪問，無需知道該計算機的物理位置；主機IP地址改變，不會影響對該主機的訪問；主機IP地址改變，需要在本地DNS服務器上進行維護。（修改DNS數據庫）IP地址空間緊張的原因及其解決方案：子網掩碼，動態分配，專用地址NAT，新型協議IP協議的特點：無連接的投遞服務，不可靠的投遞服務，盡力投遞服務。其原因IPv4的局限性：32位的IP地址空間無法滿足internet迅速增長的要求，不定長的數據報頭域處理影響力路

22、由器的性能提高，單調的服務類型處理，缺乏安全性能要求的考慮，負載的分段、組裝功能影響了路由器處理的效率。IPv6的特點：擴展地址和路由的能力，簡化了IP報頭的格式，支持擴展選項的能力。ICMP的作用：IP協議的局限性，為了反映數據報的投遞狀態，增加ICMP協議。用于網絡設備和結點的控制及差錯報告報文傳遞TCP的能力：在IP協議軟件的基礎上，增加了確認-重發、滑動窗口和復用；解復用等機制，提供面向連接的，端到端（應用進程之間）的，可靠的，面向流的投遞服務。TCP原理及特性：以文件操作方式為設計準則，操作對象為進程間的管道；面向流的投遞服務；可靠傳輸服務；端到端傳輸；面向連接的投遞服務；緩沖傳輸；

23、全雙工傳輸；流量控制；利用端口標識和區分應用進程TCP窗口機制UDP：等同于TCP的通信協議，與TCP的差異在于他直接利用IP協議進行UDP數據報的傳輸，因此UDP提供的是無連接、不可靠的數據報投遞服務。常用于數據量較少的數據傳輸，通信雙方不需要連接過程，減少了如TCP連接一樣的過程，可以提高工作效率；不足是用戶應用程序必須負責解決數據報排序，差錯確認等問題。常用TCP支持數據傳輸，用UDP支持音頻視頻傳輸。TCP/UDP端口（TU端口）標識和區分應用實體，標識特定的應用進程；IP地址+TCP/UDP端口號確定因特網中的某主機上的某個應用進程因特網的基本應用服務：Email（SMTP）：服務舉

24、例電子郵件（SMTPRFC821）提供簡單的電子郵件服務；使用TCP連接，端口號為25；郵件地址：用戶名主機名WWW：目標支持構建分布式的協作超媒體信息系統，將整個因特網的信息資源組合在一起，信息以頁面的形式提供給客戶。頁面及其關系以鏈接的方式形成超文本；混合了音頻；視頻的內容，需要多種播放媒體的支持超媒體?；驹矸掌鞅O聽TU端口（缺省值為80），獲取客戶（瀏覽器）的指令（方法），并返回信息；瀏覽器解釋和顯示獲取的信息。支撐協議：HTML（超文本標記語言RFC2854）頁面表示；HTTP（超文本傳輸協議RFC1945/2616）頁面傳輸RFC1918定義的專用IP地址：-55 1個A類地址

25、；-55 16個連續的B類地址；-55 256個連續的C類地址。思考題：(1)現階段采用哪些措施來彌補IP地址空間設計的不足，以支持更多的用戶接入因特網？解：原因1：因為地址成批（整網）分配，利用率不高?？s小分配空間：利用子網掩碼，使得可分配的實際子網空間縮小，提高IP地址的利用率；動態分配（DHCP）：將IP地址分配給希望上網的用戶，提高IP地址的利用率；專用地址：確定部分限于內部使用的地址，提高(t go)地址的可重用性。原因(yunyn)2：地址空間(kngjin)有限（32位地址，232個地址）設計新的IP和IP地址：IPv6（128位：2128個地址）(2)為什么說IP協議提供的服務

26、是無連接的、盡力而為的、不可靠的數據報投遞服務？解：源于協議設計的目標：屏蔽物理網絡的差異，提供統一的接口。同時，也盡可能地簡化協議的設計。無連接：無需通信實體之間的協商，IP數據報獨立路由和投遞；盡力而為：獨立路由，盡力尋找投遞的路徑；報文分段，以適應特定的物理支撐網絡；不可靠：對報文內容不作糾錯處理；報文投遞無需對方確認；無法投遞時自動丟棄報文，無重發動作；獨立路由導致按序發送和亂序投遞。對于具有正確性要求的應用而言，用戶必須考慮可靠傳輸的問題。(3)TCP是如何（在IP的基礎上）實現流傳輸的？解：源于協議設計的目標：以管道的形式提供應用進程之間的數據傳輸。技術上的保障：端到端傳輸：使用T

27、U端口號標識和區分應用進程，支持應用進程之間的數據信息交換；面向連接的投遞服務：具有建鏈等過程，支持狀態的維護；可靠傳輸服務：差錯校驗，超時重發，排序等；面向（字節）流的投遞服務：攜帶字節序號的窗口機制支持流量控制，收方執行排序操作。(4)試簡單說明下列協議的作用：IP、ARP、RARP和ICMP。IP協議：實現網絡互連。使參與互連的性能各異的網絡從用戶看起來好像是一個統一的網絡。網際協議IP是TCP/IP體系中兩個最主要的協議之一，與IP協議配套使用的還有四個協議。ARP協議：是解決同一個局域網上的主機或路由器的IP地址和硬件地址的映射問題。RARP：是解決同一個局域網上的主機或路由器的硬件

28、地址和IP地址的映射問題。ICMP：提供差錯報告和詢問報文，以提高IP數據交付成功的機會IGMP：用于探尋、轉發本局域網內的組成員關系。(5)端口的作用是什么？答： 端口的作用是對TCP/IP體系的應用進程進行統一的標志，使運行不同操作系統的計算機的應用進程能夠互相通信。熟知端口，數值一般為01023.標記常規的服務進程；登記端口號，數值為102449151，標記沒有熟知端口號的非常規的服務進程；(6)關于TCP協議采用的滑動窗口機制的理解答：TCP協議采用可變發送窗口的方式進行流量控制?；瑒哟翱趨f議規定，只要發送窗口未滿，發送方就可以繼續發送報文段；每發送一個報文段，就創建該報文段的重傳計時

29、器，當計時器超時還未收到確認，發送方就重傳該報文段。由于發送窗口的限制，發送方在未經確認之前，最多能發送的報文段的數量等于發送窗口的大小。比如：如果發送端的發送窗口值為1024，意味著發送端可以在收到一個確認之前可以發送1024個字節。實際上，滑動窗口的作用不僅僅在于流量控制，還提供了一這定程度上的擁塞控制。因為擁塞通常發生在通過網絡傳輸的分組數量開始接近網絡對分組的處理能力時。TCP協議通過調節發送窗口的大小可調節分組的發送量。TCP協議規定，發送窗口大小=Min接收端窗口，擁塞窗口，其中擁塞窗口正是對網絡擁塞狀況的反映。第八章（網絡管理和網絡安全）：|聯網的目的：資源（信息，軟件，硬件）共

30、享；信息資源具有價值：合法或非法用戶的獲取或竊?。黄谕盒畔①Y源的安全共享。網絡安全的目的：保護網絡資源（主要指信息資源）免受攻擊，信息機密性，信息完整性，信息可用性。網絡非安全因素：操作系統的非安全因素：網絡操作系統的安全性；來自外部的安全威脅；來自內部用戶的安全威脅；通信協議軟件本身缺乏安全性；病毒感染；應用服務的安全。應對措施：及時下載和安裝安全補丁；確立嚴格的用戶訪問控制機制；注意防病毒工作；注意經常更換口令；對重要數據進行周期性的備份。局域網非安全(nqun)因素：竊聽(qi tn)。應對(yngdu)措施：子網劃分，并設置必要的網絡資源訪問控制策略的方法與之應對；采用數據加密技術予

31、以數據的保護。Internet互連非安全因素：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒等。應對措施：IP地址過濾、代理服務、地址遷移。數據非安全因素：存儲在本地的數據的安全，具有被人竊取和篡改的威脅；數據在傳輸過程中被竊聽、篡改。應對措施：加密解密技術；密鑰管理；數字簽名；認證技術?？赡艿墓艏胺婪叮焊`?。杭用埽淮我幻埽S機密鑰，防猜測密鑰）篡改：完整性檢查，摘要技術重播：完整性檢查，序號+摘要假冒：數字簽名，摘要+秘密密鑰加密；實體身份認證，隨機數+摘要（防認證信息竊取）否認：CA，第三方參與。防火墻：阻止非法入侵。位置：本地網對外的接口處，路由器的位置

32、應是防火墻位置；防火墻作用：作為網絡安全的屏障；可以強化網絡安全策略；可以對網絡存取和訪問進行監控審計；可以防止內部信息外泄。各種防火墻技術原理：分組過濾式：分析IP報文，對應其中所有參數，設置過濾策略，根據分組的源地址、目的地址、端口號、協議類型等標志確定允許或拒絕數據報的穿越，滿足過濾邏輯的數據包被轉發，否則丟棄。作用在網絡層和傳輸層。優點：能有效地控制對站點的訪問；能有效地保護易受攻擊的服務；簡單、價廉。缺點：不能防止假冒；只能在網絡層和運輸層實現；缺乏可審核性。代理服務式：代理外或內部用戶訪問內或外部網絡，杜絕內和外部直接訪問，作用在應用層，阻隔內外網的信息流，通過對每種應用服務編制專

33、門的代理程序，實現監視和控制應用層通信流的功能。優點：外部網用戶與應用服務器之間的數據傳輸全部由代理服務器中轉，外部網用戶無法直接與應用服務器交互，避免了來自外部的攻擊。地址遷移NAT：當內外用戶希望相訪，NAT路由器負責全局；本地IP地址映射，屏蔽內IP地址；通過地址綁定、地址查找和轉換、地址解綁定實現。NAT服務器專進行地址遷移，增加安全策略，限制地址轉換，隔離內外網絡。優點：可以屏蔽內網的地址，保證內網的安全性；可以有選擇地提供；拒絕部分跨越網的應用服務。數據加密技術原理：利用某變換技術，將原文（明文）變為一般用戶無法識別的密文，數據以密文的形式在網上傳輸，在接收端進行反變換，以恢復數據

34、原樣。評價加密算法指標：強度（復雜度破譯難度）；速度（系統開銷算法性能）；算法的可公開性（算法保密-針對個體之間，算法公開-通用，共享）。傳統加密算法：代換密碼加密算法；置換密碼加密算法?，F代加密算法：加密算法公開，對稱密鑰加密（DES）（64比特，加密與解密的區別在于子密鑰序列的使用，使用56比特，分解成16個48比特的子密鑰，進行16輪迭代運算。對稱加密機制存在的問題：密鑰需要安全傳遞通道，密鑰量與用戶數之間是非線性增長關系，不能滿足不可信用戶之間的加密要求，密鑰不具備用戶的唯一特征），非對稱密鑰加密（RSA）（單向數據簽名，雙向數據簽名認證）RSA算法舉例：隨機選擇兩個秘密的大質數11和

35、7，計算歐拉函數（R）=（11-1）（7-1）=60，若選擇Pk=47，根據47T=1（mod60），可得T=23；若對明文數值35進行加密，有（35的47次方）mod60=7；同理，對密文數值7進行解密，有（7的23次方）mod60=35；RSA算法和DES算法優缺點比較：DES算法高強度和高效率，但密鑰的管理復雜且不方便；RSA算法有密鑰管理方面的優勢，但加密效率較低，難以利用RSA算法加密大批量的數據。單向數字簽名：發送方將信息通過散列函數得到摘要，然后用自己的Private密鑰進行加密，將得到的加密后的信息與原信息組合得到完整的加密信息發送給接收方；接受方收到后，首先用自己的私鑰解密對成加密的密匙，獲得加密后的摘要和原文后，再用發送方的公鑰解密摘要，并對原文進行摘要處理，進行對比即可。數字簽名原理概念信息摘要為了兼顧速度和安全性，一般用對稱加密（DES）來加密原文，以保證速度，并用非對成加密（RSA）來加密DES的密鑰，以保證安全為了更好的數字簽名效果，還可以將加密后的