公安部交通管理科学研究所 2013年6月内容概述计算机网络基础什么是计算机网络ARPAnet线缆7网卡交换机路由器OSI七层参考模型TCP/IP协议簇TCP会话连接TCP连接的终止局域网技术及解决方案局域网技术局域网技术4、局域网（以太网）设备： 4）交换机：是数据链路层设备，它将较大的局域网分解成较小的子网，另每个端口下连接的单个设备或子网独享10M（或100M）分段，然后再实现分段间通信。 交换机对大网进行细分，减少了从一个分段到另一个分段时不必要的网络信息流，从而解决了网络拥塞问题，提高网络整体性能。 常见交换机类型：10M、10/100M、1000M，端口从8口到48口不等。 交换机还有可堆叠、不可堆叠，可网管、不可网管以及是否带三层路由功能之分。5、子网掩码分段： 子网掩码是一个应用于TCP/IP网络的32位二进制值，它可以屏蔽掉ip地址中的一部分，从而分离出ip地址中的网络部分与主机部分，基于子网掩码，管理员可以将网络进一步划分为若干子网。 缺省子网掩码： 即未划分子网，对应的网络号的位都置1，主机号都置0。 A类网络缺省子网掩码：255.0.0.0 B类网络缺省子网掩码：255.255.0.0 C类网络缺省子网掩码：255.255.255.06、虚拟局域网（VLAN）简介： 1）所谓VLAN，是指一个由多个段组成的物理网络中的结点的逻辑分组，利用VLAN，工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作，而不必关心用户实际连接到哪个网段上。VLAN是交换式LAN的最大特点。VLAN的产生原因－广播风暴VLAN的优点VLAN的划分方法—基于端口的VLANVLAN的划分方法—基于MAC地址的VLANVLAN的划分方法—基于协议的VLANVLAN的划分方法—基于子网的VLANVLAN的可跨越性VLAN的链路类型以太网交换机的端口分类端口的缺省ID（PVID）Trunk-Link配置Access-Link配置VLAN的缺点VLAN互通的实现——每个VLAN一个物理连接VLAN互通的实现——使用VLANTrunkingVLAN互通的实现——交换和路由的集成三层交换机功能模型局域网络的设计需求大型局域网网络解决方案大型局域网网络解决方案特点广域网技术及解决方案广域网综述一线通ISDN数据专线VPN技术使用户可以通过国际互联网为企业构筑安全可靠、方便快捷的企业私有网络。 根据业务类型，VPN业务大致可分为两类，拨号VPN与专线VPN。所谓拨号VPN，指企业员工或企业的小分支机构通过当地ISP拨号入公网的方式而构筑的虚拟网。专线VPN是指企业的分支机构通过租用当地专线入公网来构筑的虚拟网。 VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。 工作过程： 局域网中被保护的主机发明文信息到VPN设备，VPN对数据加密后通过路由器送到互联网上，加密的数据从互联网到达另一个局域网的路由器，然后由路由器后面的VPN设备将数据解密后送到VPN后面被保护的主机上。当地专线网络安全技术及相关解决方案防火墙技术防火墙的控制能力防火墙主要功能内部工作子网与外网的访问控制DMZ区域与外网的访问控制内部子网与DMZ区的访问控制拨号用户对内部网的访问控制下属机构对总部的访问控制基于时间的访问控制用户级权限控制高层协议控制IP与MAC绑定流量控制端口映射NAT网关和IP复用透明接入信息系统审计与日志身份鉴别功能防火墙的类型包过滤防火墙包过滤路由器示意图包过滤包过滤防火墙的优缺点针对包过滤防火墙的攻击应用层网关应用层网关的优缺点电路层网关防火墙设计规则双机热备安全远程管理数据机密性保护数据完整性保护数据源身份验证IDS入侵检测系统入侵检测系统的作用典型部署－企业内部安装典型部署－广域网应用病毒新概念完整的防毒规划七大要素防毒产品的剖析计算机安全产品认证服务器Internet网络安全的重点常用安全工具十大最佳网络安全工具安全站点问题&应答服务器系统安全管理和数据安全内容概述服务器产品基础服务器产品分类小型机RISC系统结构常见的小型机厂商及RISC处理器分类小型机发展（一)小型机发展（二）服务器应用类型最优化的系统设计水平扩展-最优化系统负载DirectoryServers影响系统性能的关键因素可靠性、可用性、可服务性（RAS）服务器系统安全管理内外网信息安全控制系统内外网信息安全控制系统平台方案121Win2K安全子系统针对Win2K的攻击攻击手段对策实施密码复杂性要求账户锁定启用登录失败事件的审核锁定真正的Administrator账户禁用闲置账户安全守则安全守则（一）安全守则（二）安全守则（三）安全守则（四）安全守则（五）安全守则（六）常用安全工具