导图社区网络工程师理论

网络工程师理论

网络工程师理论知识总结，包括网络规划、计算机硬件、法律法规、信息安全和无线网络的相关内容。

编辑于2022-05-19 17:48:30

网络工程师
网络工程师软考

EDiPSjiR

他的近期作品查看更多>>

网络工程师理论

社区模板帮助中心，点此进入>>

EDiPSjiR

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 34.0k
- 915
- 2.4k
- 392
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 14.6k
- 3
- 184
- 10
Kacyun
域控上线
- 1.6k
- 163
- 11
- 4
jackrao
python思维导图
- 5.4k
- 529
- 242
- 7
(*^▽^*)
css
- 1.2k
- 1
- 43
- 3
A张舫
CSS
- 3.3k
- 262
- 188
- 33
journey
计算机操作系统思维导图
- 4.2k
- 338
- 204
- 18
journey
计算机组成原理
- 1.5k
- 98
- 70
- 8
journey
IMX6UL(A7)
- 514
- 40
- 5
- 0
Handler XU
考试学情分析系统
- 688
- 50
- 10
- 1
蒋龙

其他理论

网络规划

结构化布线系统

工作区子系统

终端设备到信息插座

布线距离：屏蔽、非屏蔽双绞线 10米

水平子系统

楼层交换机到信息插座，包括桥架或管槽等

布线距离：屏蔽、非屏蔽双绞线 90米

管理子系统

各楼层交换机、跳线架、光纤跳线架

干线子系统

核心到各楼层的主线，通常由垂直的大对数或光缆组成

布线距离：光纤 2000米屏蔽双绞线 800米非屏蔽双绞线 700米

设备间子系统

主线、核心交换、监控设备等

园区子系统

各大楼间通信，地下管道、直埋布线

布线距离：光纤 2000米屏蔽双绞线 800米非屏蔽双绞线 700米

网络性能指标

速率

功能

设备或线路的数据传输速率，但不代表终端能有效利用

单位

b/s、bps

带宽

功能

网络中表示：通信线路传送数据的最高数据率

单位

Mb/s

吞吐量

网络间有效传输数据的能力，参考价值高于传输速率

功能

单位时间内通过网络或接口的数据量

常用单位

PPS数据包每秒

CPS字符每秒

TPS事务处理数每秒

TPH事务处理数每小时

bps（比特每秒）

时延

功能

指数据从一端传送到另一端所需的时间

发送时延

设备发送数据帧所需的时间，与带宽速率有关

计算公式=数据帧长度（bit）/发送速率（b/s）

传播时延

电磁波在信道中传播一定距离所需的时间，与线路长度有关

计算公式

信道长度(m)/速率（m/s）

时延带宽积

功能

以比特为单位表示的链路长度

公式

时延带宽积=带宽*传播时延

往返时间

功能

双方交互一次所需的时间

公式

往返时间=传播时延/速率*2

利用率

信道利用率

网络利用率

丢包率

传输过程中丢失数据量与总数据量的比率

网络设备

设备性能

背板带宽

端口数量*端口速率*2（双工模式）

包转发率

端口数量*包速率

千兆端口=1.488Mpps

百兆端口=0.1488Mpps

设备功能

路由器

工作在网络层

功能

协议转换、路由选择、流量控制、数据包分片与重组、网络管理

存储

RAID

RAID 0

存储方式

将数据分散存到所有磁盘，理论上提升的读写性能=（单个磁盘*磁盘数）

磁盘空间利用率

100%（单个磁盘*磁盘数），最少2块盘

数据安全性

没有数据冗余能力，坏掉一块磁盘即造成文件损坏

RAID 1

存储方式

数据同时写入主备硬盘

磁盘空间利用率

50%，最少2块盘

数据安全性

安全性最高，读写性能最低，除非磁盘全部坏掉

RAID 5

磁盘空间利用率

磁盘数N-1，最少3块盘

数据安全性

允许坏掉1块盘，兼顾空间利用率和数据冗余能力

存储方式

同时在每块磁盘存储数据和校验数据，读性能高，写性能低

RAID 10

存储方式

先做镜像，然后再条带化，有RAID1的冗余，又有RAID0的读写性能

数据安全性

数据有较好的冗余，类似RAID1

空间利用率

50%，最少4块盘

网络系统分析

需求分析

收集用户需求、应用需求、网络需求、计算机平台需求、同时考虑未来需求，以便后期网络扩展

通信规范

逻辑网络设计

根据客户需求和通信规范设计网络逻辑结构、资源分配计划、安全规范等内容

网络逻辑设计图

IP地址分配方案

安全管理方案

软硬件设备型号和宽带运营商

网络管理员的需求说明

软硬件等费用的初步估计

物理网络设计

确定设备的具体分布、运行环境

拓扑图和布线方案

设备和部件的详细清单

软硬件和安装费用的估算

安装日程表

安装后的测试计划、用户培训计划

实施阶段

设备安装调试

计算机硬件

存储

种类

CPU

高速缓存cache

辅存

硬盘虚拟内存

主存RAM

内存条

类型

相连存储器CAM

按内容寻址，查关键字

直接存取DAM

直接对主存信息存取

高速缓冲cache

位于CPU和主存之间，解决CPU和主存速度不匹配问题，硬件自动完成

地址映像

全相联映像（任意一对一）、直接映像（绝对一对一）、组相连映像（先分组，再映像，组间直接映像，组内全相联映像）

CPU

运算器

算术逻辑单元ALU

通用寄存器

累加器ACC

存放算术或逻辑运算的一个操作数和运算结果的寄存器，能进行加、减、读出、移位、循环移位和求补等操作

数据暂存器

状态寄存器

负责数据运算处理

控制器

程序计数器PC

又称指令技术器，功能计数、存储信息、程序加载时，PC存储程序起始地址为第一条地址，执行程序时，修改PC内容，确保指向下一条指令地址。

指令寄存器IR

地址寄存器AR

保存当前CPU所访问内存单元的地址

数据寄存器DR

指令译码器

控制器负责发出控制指令

说明

指令所要操作数存放在内存中

指令集

精简RISC

指令格式统一，种类比较少，寻址方式简单，处理速度大大提高，适合硬布线逻辑执行指令

指令执行：取指4t、分析2t、执行3t 600条=（4+2+3）+（600-1）*4=2405 600*4+2+3=2405

复杂CISC

指令负责、种类多，串行顺序执行，效率低速度慢

指令执行：取指4t、分析指令2t、执行3t 600条=（4+2+3）*600=5400

寻址方式

立即寻址

操作数直接存放在指令中

直接寻址

操作书放在内存中

寄存器寻址

操作数放在寄存器

间接寻址

操作数由寄存器提供，再发在内存中

法律法规

一般性法律法规

宪法、国家安全法、国家秘密法、治安管理处罚条例

规范和惩罚信息网络犯罪的

刑法

285条：非法侵入计算机信息系统罪

侵入国家事务、国家建设、尖端科学技术领域，处三年以下徒刑

286条：破坏计算机信息系统罪

造成信息系统不能正常运行，后果严重的，五年以下徒刑，特别严重的五年以上

287条：利用计算机实施的各类犯罪

利用计算机实施金融诈骗、盗窃、贪污、窃取国家秘密或其他犯罪的依照本法定罪

直接针对信息安全的规定

计算机信息系统安全保护条例、网络管理暂行规定、信息安全保护

具体规范信息安全技术，信息安全管理

网络安全法

2017.6.1实施，国家网信部门负责

信息安全技术

知识产权

保护期限

公民作品

单位作品

注册商标

发明专利权

产权人确定

侵权判定

信息安全

安全威胁

网络层威胁

ARP欺骗

子主题

MAC地址欺骗

DHCP

常见攻击

SQL注入

特点

广泛性

SQL注入攻击跨越Windows、linux、Unix等系统

隐蔽性

SQL注入通过正常端口访问，数据不会被防火墙拦截，系统也不会对用户输入数据合法性进行判断，使攻击者能顺利访问数据库。

攻击时间短

SQL注入可在几秒到几分钟内访问数据库，窃取数据、植入木马、或控制web服务器

危害大

SQL注入针对所有基于WEB服务的应用程序，

防范

常使用自带的安全API，避免使用解释器或提供参数化界面的API

如无法使用参数化的API，使用解释器escape语法避免特殊字符，比如分号分隔符，注释分隔符

加强对用户输入的验证，拒绝包含二进制数据、转义序列和注释字符的内容，可以防止脚本注入和某些缓冲区溢出攻击

部署DBS数据库审计系统、WAF防火墙进行安全阻断

攻击方式

针对数据库的攻击

select、create user

跨站脚本XSS

防范

将HTML里的主体、属性、JavaScript、CSS或URL进行恰当的转义，或去掉<>，没有html标签，页面就是安全的

安全策略

禁用guest组调用cmd，加强服务器安全配置等

控制自己好奇心，尽量不点击页面中不安全的链接

部署WAF防火墙，自动过滤攻击报文

理论

与脚本注入区别，跨站脚本为临时，执行后即消失

在目标WEB页面HTML代码插入恶意代码，当访问者浏览网页时，嵌入的恶意脚本即被执行

支持攻击对象：HTML、Java、VB、activeX、Flash

攻击类型

存储式

反射式

基于DOM

漏洞攻击

exploit

缓冲区溢出攻击

拒绝服务攻击

攻击类型

借助网络系统或网络协议缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或系统应用死锁，造成服务性能受损、服务中断

SYNFlooding攻击

特点

无法定位攻击来源

服务端无法区分TCP连接请求是否合法

少量数据流量就产生很好的攻击效果

防范

优化系统配置

缩短超时时间，增加半连接队列长度，关闭不重要的服务等

优化路由器配置

丢弃来自外部使用内部网络的源地址的包

防火墙

半透明网关技术的防火墙能有效防范SYN泛洪攻击

过程

伪造大量目标不可达的源IP

向目标发送大量"SYN请求包"

目标向伪造主机回复“SYN+ACK”

由于目标不可达，收到RST后，不断重试SYN+ACK，直到资源耗尽

Smurf攻击

过程

攻击者假冒目标IP发送ICMP请求包

所有收到此包的主机回复ICMP响应包

目标因大量响应包，流量过载造成网络拥塞

广播大量以目标IP为源IP的ICMP请求包，所有收到请求包的主机，向目标回复ICMP响应包

防御

网关禁止外网ICPM广播进入，网内划分VLAN等缩小广播域

DDOS攻击

特点

隐蔽性强、网络资源不受局限，更难防御

DDOS攻击：trinoo、TFN

分布式拒绝服务攻击

防御

监视敏感端口 UDP31335、27444、27665

利用处理程序错误

PinggofDeath、teardrop、winnuke

Land攻击

通过伪造以目标为目的IP的TCP请求包，使目标向自己回复SYN+ACK

加密技术攻击

穷举攻击（暴力）

尝试所有密码组合，直至正确密码

统计分析攻击

根据明文、密文的统计规律破译密码

字典攻击

字符频率

数学分析攻击

根据加解密数学基础和密码学特性破译密码

恶意代码

基础理论

恶意代码特征

具有恶意的目的

自身是计算机程序或代码

通过执行发生作用

病毒特点

传播性

程序性

依赖特定的程序环境

破坏性

非授权性

隐蔽性

潜伏性

可触发性

不可预见性

分类

系统病毒

关键词

win32

特征

感染Windows系统的exe或dll文件，并通过这些文件进行传播，自身是段代码不能独立运行，依靠宿主程序运行

蠕虫病毒

关键词

worm

通过网络或系统漏洞进行传播，可向外发送带毒邮件或阻塞网络，自身是可独立运行程序

木马和黑客

通过网络、系统漏洞或引诱用户执行等方式侵入系统并隐藏，然后向外界泄露用户信息，木马不能进行自我传播

特征

入侵成功后，通过C&C与攻击者通信

脚本攻击

使用脚本语言编写，通过网页传播

宏病毒

特征

主要针对word和excel

关键词

macro

后门

通过网络传播，给系统留下后门

关键字

backdoor

捆绑广告

关键字

binder

特征

将特定程序捆绑下载并运行

安全技术

数据加密

加密技术

国产密码算法

对称算法

SSF33 SM1 SM4 SM7 ZUC

SM4

分组长度128位、密钥长度128位

ZUC

流密码

非对称算法

SM2 SM9，又称标识密码

哈希算法

SM3

分组长度512，报文摘要长度256

签名算法

ECDSA

采用椭圆曲线

密钥协商

ECDH

采用椭圆曲线

无线网算法

对称密码

SMS4

签名算法

ECDSA

密钥协商

ECDH

杂凑算法

SHA-256

随机数生成算法

自行选择

子主题

Hash函数

又称杂凑算法

SHA1

安全散列算法（secure hash algorithm）和MD5相似，可实现数字签名

输出160位的报文摘要

输入按512位进行分组，以分组为单位进行处理

MD5

信息摘要算法（message-digest 5）主要为数字签名而设计MD5是非对称性的计算机杂凑算法之一。 MD5算法具有以下特点： 1、压缩性：任意长度的数据，算出的MD5值长度都是固定的。 2、容易计算：从原数据计算出MD5值很容易。 3、抗修改性：对原数据进行任何改动，哪怕只修改1个字节，所得到的MD5值都有很大区别。 4、弱抗碰撞：已知原数据和其MD5值，想找到一个具有相同MD5值的数据（即伪造数据）是非常困难的。 5、强抗碰撞：想找到两个不同的数据，使它们具有相同的MD5值，是非常困难的。

512分组，输出128位报文摘要

特性

密钥长度128位，密钥分组长度512位

SM3

分组长度512，报文摘要长度256

对称加密算法

加密、解密使用相同的密钥，常用于大量数据传送时的加解密优点：速度快、密文紧凑基本不会增加文件大小缺点：密钥管理复杂

DES

数据加密标准

特性

密钥分组长度64位=密钥长度56位加8位奇偶校验

使用密钥56位对64位明文串进行16轮加密，每轮子密钥不同，得到64位密文串

应用

Windows

kerberos

3DES

三重DES加密

特性

分组长度64

第一、三次使用相同密钥方式，密钥长度2*56位对64位明文串进行16轮加密，每轮子密钥不同，得到64位密文串

AES

AES 高级加密标准：下一代加密算法标准，速度快、安全级别高

特性

密钥长度128位、192位、256位

IDEA

国际数据加密算法

密钥长度128位，密钥分组长度明文、密文均为64位，

RC4

流加密算法第四版

常用流密码，密钥长度可变，用于SSL协议

RC5

参数可变的分组密码算法，三个可变参数是：分组大小、密钥长度、密轮数

ZUC

流密码

SM4

分组长度128位、密钥长度128位

非对称加密算法

加密、解密使用不同的密钥，公钥被拦截，也不影响保密性，常用于数字签名优点：密钥管理简单，缺点：速度慢、密钥不紧凑使文件大小增加一两倍

RSA

常用2048、最小1024

理论

基于数学难题：大素数分解

DSA

原理

基于离散对数

ECC（椭圆曲线）

应用

二代身份证用256位，智能卡、电子商务中数字签名与认证、移动通信中的安全保密等

理论

优点

密钥短、签名短、软件实现规模小、硬件实现省电，运算速度快

160位相当于1024位RSA的安全性

基于数学难题：有限域上的离散对数问题

椭圆曲线密码编码学

Elgamal

理论

基于数学难题：有限域上的离散对数问题

SM2

椭圆曲线密码

加密过程

非对称加密

加密过程

发送方A

使用A的私钥签名

使用B的公钥加密

接收方B

使用B的私钥解密

使用A的公钥验证

安全威胁

中间人攻击

中间人伪造公钥发给主机A，主机A使用假公钥加密数据可被中间人解密

防御手段

避免网上传输，将公钥交给CA（可信任机构），且CA的公钥内置到操作系统

CA向主机发送（服务端）

主机使用CA的公钥验证CA的签名

一致

表示数据未被篡改

不一致

表示数据已被篡改

原理

中间人没有CA的私钥，无法给CA的数据签名

子主题

网络安全技术

PKI（公钥管理平台）

特性

由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等组成

CA（认证中心）

签发证书

审批、签发

管理证书

更新、冻结

撤销证书

CA不负责证书的加密，多次考到

复杂密钥的生成和分配

注册机构

RA（证书注册系统）

数字证书库

KM（密钥备份及恢复系统）

API（应用接口）

支持交叉认证

其他说明：可以由企业建立

实现

机密性

完整性

身份验证

不可否认性

VPN

二层

PPTP

点对点隧道协议

PAC：PPTP接入集中器

PNS：PPTP网络服务器

特性

只能用IP网络，只能建立1条隧道，包头4个字节，不支持隧道验证

L2TP

第二层隧道协议

LAC：L2TP访问集中器

LNS：L2TP网络服务器

适用多种网络，可建立多条隧道，包头4字节，支持认证

两种加密

PAP（明文）

CHAP（密文）

报文格式

IP--UDP--L2TP--PPP

PPP

点对点协议

LCP：链路控制协议（二层）

NCP：网络控制协议（三层）

三层

IPSec

AH（认证头）

协议号=51

使用对称密钥散列函数，支持数据完整性、数据源认证、防重放攻击

提供数据源认证、数据完整性及防中继保护

不支持数据加密、NAT穿越

算法：MD5、SHA1

ESP（封装安全负荷）

协议号=50

对整个IP包进行封装加密，通常使用DES算法

算法：DES、3DES、AES

支持数据完整性、数据源认证、防重放攻击、数据加密、NAT穿越

IKE（internet密钥交换）

IKE是一种动态协商IPSec SA的协议，建立在ISAKMP定义的框架之上，能够简化IPSec的使用和管理，目前有IKEv1和IKEv2两个版本

网络工程师 理论

网络工程师 理论

网络工程师理论

网络工程师理论