本书以计算机网络安全理论为主线，从计算机网络安全知识的基本概念介绍入手，引导开展计算机网络安全技术知识的学习。本书由16章组成，内容包括计算机网络基础、网络安全基础、计算机网络安全威胁、网络安全评价标准、网络犯罪与黑客、恶意脚本、安全评估分析与保证、身份认证与访问控制、密码学、安全协议、防火墙技术、系统入侵检测与预防、网络取证、病毒与内容过滤、网络安全协议与标准、无线网络与设备的安全。本书贴近教育部颁布的新学科专业调整方案和高校本科建设目标，将计算机网络安全基础知识、技术与实践整合为一体，适合在校大学生学习，是比较全面的计算机网络安全理论基础的教材；对于普通大众，也是一本具有一定实践指导意义的学习辅导书。

目    录

第1章  计算机网络基础.... 1

1.1  计算机网络概述... 1

1.1.1  计算机网络的基本概念... 1

1.1.2  计算机网络的演变... 1

1.1.3  计算机网络的基本功能... 3

1.1.4  计算机网络的基本应用... 4

1.2  计算机网络的结构组成... 5

1.2.1  网络硬件系统... 5

1.2.2  网络软件系统... 6

1.2.3  计算机网络的拓扑结构... 6

1.3  计算机网络的分类... 9

1.3.1  按覆盖范围分类... 10

1.3.2  按传播方式分类... 11

1.3.3  按传输介质分类... 12

1.3.4  按传输技术分类... 12

1.4  计算机网络体系结构... 13

1.4.1  网络体系结构... 13

1.4.2  开放系统互联参考模型
OSI/RM... 14

1.4.3  TCP/IP体系结构... 16

1.5  计算机网络设备... 19

1.5.1  网卡... 19

1.5.2  中继器和集线器... 20

1.5.3  网桥和交换机... 20

1.5.4  路由器... 22

1.5.5  网关... 22

1.6  计算机网络应用模式... 22

1.6.1  C/S模式... 22

1.6.2  B/S模式... 23

本章小结... 24

练习·思考题... 25

参考资料... 25

第2章  网络安全基础.... 26

2.1  网络安全概述... 26

2.2  网络安全模型... 27

2.2.1  基本模型... 28

2.3  网络安全攻防技术... 29

2.4  网络层次体系结构... 30

2.4.1  物理安全... 30

2.4.2  逻辑安全... 31

2.4.3  操作系统安全... 32

2.4.4  联网安全... 32

2.5  网络安全管理... 32

2.6  安全目标... 34

本章小结... 36

练习·思考题... 36

参考资料... 37

第3章  计算机网络安全威胁.... 38

3.1  安全威胁概述... 38

3.2  安全威胁的来源... 39

3.2.1  设计理念... 39

3.2.2  网络基础设施和通信协议中
的弱点... 40

3.2.3  快速增长的网络空间... 41

3.2.4  网络黑客社区的增长... 41

3.2.5  操作系统协议中的漏洞... 42

3.2.6  用户安全意识不强... 42

3.2.7  不可见的安全威胁——内部
人员的影响... 42

3.2.8  社会工程... 43

3.2.9  物理盗窃... 44

3.3  安全威胁动机... 45

3.4  安全威胁管理与防范... 47

3.4.1  安全威胁管理... 47

3.4.2  安全威胁防范措施(技术) 48

3.5  安全威胁认知... 50

本章小结... 51

练习·思考题... 51

参考资料... 51

第4章  计算机网络安全评价标准.... 52

4.1  网络安全评价标准的形成... 52

4.2  一些典型的评价标准... 52

4.2.1  国内评价标准... 52

4.2.2  美国评价标准... 54

4.2.3  加拿大评价标准... 56

4.2.4  美国联邦标准... 57

4.2.5  共同标准... 58

4.3  信息系统安全等级保护的应用... 60

4.3.1  信息系统安全等级保护
通用技术要求... 60

4.3.2  信息系统安全等级保护
网络技术要求... 61

4.4   信息安全保证技术框架(IATF) 61

本章小结... 63

练习·思考题... 63

参考资料... 63

第5章  网络犯罪与黑客.... 64

5.1  网络犯罪概述... 64

5.2  网络犯罪... 64

5.2.1  实施网络犯罪的方法... 65

5.2.2  网络犯罪的特点... 68

5.2.3  网络犯罪者... 68

5.3  黑客... 69

5.3.1  什么是黑客... 69

5.3.2  黑客类型... 71

5.3.3  黑客拓扑结构... 72

5.3.4  黑客的系统攻击工具... 74

5.3.5  黑客常用的攻击手段... 74

5.3.6  黑客攻击五步曲... 75

5.3.7  黑客行为的发展趋势... 76

5.4  不断上升的网络犯罪的应对处理... 77

本章小结... 78

练习·思考题... 78

参考资料... 78

第6章  恶意脚本.... 79

6.1  脚本的概述... 79

6.1.1  Windows下简单的脚本
程序... 79

6.1.2  Linux下简单的脚本程序... 79

6.2  恶意脚本的概述... 81

6.2.1  恶意脚本的危害... 81

6.2.2  用网页脚本获取用户
Cookie. 81

6.2.3  用恶意脚本执行特定的
程序... 84

6.2.4  各类脚本语言木马程序... 84

练习·思考题... 85

参考资料... 85

第7章  安全评估分析与保证.... 86

7.1  概念... 86

7.1.1  系统层的安全风险... 86

7.1.2  网络层的安全风险... 87

7.1.3  应用层的安全风险... 88

7.1.4  管理层的安全风险... 88

7.2  安全隐患和安全评估方法... 88

7.2.1  常见的安全隐患... 88

7.2.2  网络安全评估方法... 89

7.2.3  白盒测试... 89

7.2.4  黑盒测试... 90

7.2.5  黑盒测试和白盒测试的
区别... 92

7.2.6  漏洞扫描... 93

7.2.7  典型的黑客攻击手段... 96

7.3  网络安全评估相关的法律法规... 97

7.3.1  TCSEC(可信计算机系统
安全评估准则) 97

7.3.2  CC(信息系统技术安全
评估通用准则) 99

7.3.3  信息系统安全划分准则... 99

7.3.4  信息系统安全有关的标准... 100

7.4  网络安全相关的法律知识... 100

7.4.1  网络服务机构设立的条件... 100

7.4.2  网络服务业的对口管理... 100

7.4.3  互联网出入口信道管理... 100

练习·思考题... 100

参考资料... 101

第8章  身份认证与访问控制.... 102

8.1  身份认证... 102

8.1.1  身份认证概述... 102

8.1.2  常用的身份认证技术... 103

8.1.3  常用的身份认证机制... 105

8.2  访问控制... 109

8.2.1  访问控制概述... 109

8.2.2  访问控制机制... 111

8.2.3  访问控制模型... 113

本章小结... 118

练习·思考题... 118

参考资料... 118

第9章  密码学.... 120

9.1  密码学的发展历史... 120

9.2  密码学基础... 121

9.2.1  密码学的基本概念... 121

9.2.2  可能的攻击... 122

9.2.3  密码系统... 123

9.3  古典密码... 127

9.3.1  隐写术... 127

9.3.2  古典单码加密法... 128

9.3.3  古典多码加密法... 129

9.3.4  古典换位加密法... 132

9.4  对称密码体制... 132

9.4.1  计算对称密码的特点... 132

9.4.2  流密码... 133

9.4.3  分组密码... 135

9.4.4  DES算法... 138

9.4.5  AES算法... 144

9.5  非对称密码体制... 146

9.5.1  概述... 146

9.5.2 Diffie-Hellman密钥交换
算法... 147

9.5.3  RSA算法... 149

9.6  公钥基础设施(PKI) 150

9.6.1  PKI概述... 150

9.6.2  数字证书... 152

9.6.3  PKI系统的功能... 155

9.6.4  常用的信任模型... 156

9.6.5  基于PKI的服务... 161

9.6.6  PKI系统的应用... 162

9.7  密码学的应用... 163

本章小结... 163

练习·思考题... 164

参考资料... 164

第10章  安全协议.... 164

10.1  安全协议概述... 164

10.1.1  安全协议的基本概念... 164

10.1.2  安全协议的分类... 166

10.1.3  安全协议的目标与设计
原则... 170

10.1.4  安全协议的缺陷... 171

10.1.5  对安全协议的攻击... 172

10.2  基本安全协议... 173

10.2.1  秘密分割... 173

10.2.2  秘密共享... 173

10.2.3  阈下信道... 174

10.2.4  比特承诺... 176

10.2.5  抛币协议... 178

10.2.6  不经意传输... 178

10.3  认证与密钥建立协议... 179

10.3.1  密钥建立协议... 179

10.3.2  RFID认证协议... 182

10.4  零知识证明... 186

10.4.1  零知识证明概述... 186

10.4.2  交互式零知识证明... 189

10.4.3  非交互式零知识证明... 189

本章小结... 190

习题·思考题... 190

参考资料... 191

第11章  防火墙技术.... 192

11.1  防火墙概述... 192

11.1.1  防火墙的基本概念... 192

11.1.2  防火墙的特性... 192

11.1.3  防火墙的功能... 194

11.2  防火墙的体系结构... 194

11.2.1  双宿主主机体系结构... 194

11.2.2  屏蔽主机体系结构... 195

11.2.3  屏蔽子网体系结构... 196

11.2.4  防火墙体系结构的组合
 形式... 197

11.3  防火墙技术... 197

11.3.1  防火墙所采用的主要技术... 197

11.3.2  防火墙的分类... 199

11.3.3  防火墙的局限性... 203

11.4  防火墙的创建... 203

11.5  防火墙技术的应用... 204

本章小结... 205

练习·思考题... 205

参考资料... 205

第12章  系统入侵检测与预防.... 207

12.1  入侵检测... 207

12.2  入侵检测系统... 208

12.2.1  入侵检测系统概述... 208

12.2.2  入侵检测的实现... 208

12.2.3  入侵检测系统的分类... 209

12.2.4  入侵检测系统的标准... 210

12.3  入侵检测软件Snort 211

12.4  手工入侵检测... 216

12.4.1  可疑进程查看... 216

12.4.2  文件属性被修改... 217

12.4.3  CPU负载可疑... 217

12.4.4  可疑的系统管理账户... 218

12.4.5  系统日志的检查... 222

练习·思考题... 225

参考资料... 225

第13章  计算机网络取证.... 226

13.1  网络取证概述... 226

13.1.1  网络取证的特点... 226

13.1.2  计算机取证与传统证据
 的取证方式的区别... 226

13.1.3  计算机取证流程... 227

13.2  TCP/IP基础... 227

13.2.1  OSI开放系统互连参考
 模型... 227

13.2.2  TCP/IP协议... 228

13.2.3  TCP/IP协议在网络取证
 中层的重要性... 229

13.3  网络取证的数据源... 230

13.3.1  防火墙和路由器... 230

13.3.2  数据包嗅探器和协议
 分析器... 230

13.3.3  入侵检测系统... 232

13.3.4  远程访问服务器... 232

13.3.5  安全事件管理(SEM)软件... 233

13.3.6  网络取证分析工具... 233

13.3.7  其他来源... 233

13.4  收集网络通信数据... 233

13.4.1  技术问题... 234

13.4.2  法律问题... 237

13.5  检查和分析网络通信数据... 238

13.5.1  辨认相关的事件... 238

13.5.2  检查数据源... 241

13.5.3  对检测和分析工具的态度... 241

13.5.4  得出结论... 242

13.5.5  攻击者的确认... 242

练习·思考题... 242

参考资料... 243

第14章  病毒与内容过滤.... 244

14.1  计算机病毒概述... 244

14.2  计算机病毒的分类... 244

14.2.1  特洛伊木马... 245

14.2.2  蠕虫... 246

14.2.3  宏病毒... 246

14.3  计算机病毒的特点及危害... 247

14.3.1  计算机病毒的特点... 247

14.3.2  计算机病毒的危害... 248

14.3.3  计算机病毒感染导致的
 损失... 248

14.4  计算机病毒的防范... 249

14.4.1  保持清醒的头脑... 249

14.4.2  对进入计算机的信息
 时刻保持警惕... 249

14.4.3  合理安装和使用杀病毒
 软件... 251

14.4.4  及时备份计算机中有价值
 的信息... 252

14.4.5  时刻注意计算机的反应... 253

14.5  内容过滤技术... 253

14.6  网络内容过滤技术... 255

14.6.1  JS脚本过滤中文/全角
 字符... 255

14.6.2  脚本防注入代码... 256

14.6.3  防火墙的包过滤... 259

14.6.4  WinRoutePro 4.4.5的
 安装和使用... 260

14.6.5  杀毒软件的查杀原理... 265

练习·思考题... 266

参考资料... 267

第15章  计算机网络安全协议与
 标准.... 268

15.1  协议的概述... 268

15.2  安全协议... 268

15.2.1  安全协议概述... 269

15.2.2  TCP/IP协议的概述... 269

15.3  常见的网络安全协议... 271

15.3.1  网络认证协议Kerberos. 271

15.3.2  安全外壳协议SSH.. 272

15.3.3  安全电子交易协议SET. 273

15.3.4  安全套接层协议SSL. 275

15.3.5  网络层安全协议IPSec. 276

15.4  网络安全标准和规范... 278

15.4.1  TCSEC.. 278

15.4.2 ISO15408(CC) 280

15.4.3  BS7799. 283

练习·思考题... 283

参考资料... 284

第16章  无线网络与设备的安全.... 285

16.1  无线网络技术概述... 285

16.1.1  无线局域网的发展历程... 285

16.1.2  无线局域网的优势... 286

16.1.3  无线网络应用的现状
 以及对未来的展望... 286

16.2  无线局域网的规格标准... 287

16.2.1 IEEE802.11x系列... 287

16.2.2  HiperLAN/x系列... 288

16.2.3  蓝牙技术... 288

16.3  无线网络的安全... 289

16.3.1  无线网络安全性的影响
 因素... 289

16.3.2  无线网络标准的安全性... 289

16.3.3  无线网络常见的攻击... 290

16.4  无线网络安全解决方案... 292

16.4.1  修改默认设置... 292

16.4.2  合理使用... 292

16.4.3  建立无线虚拟专用网... 293

16.4.4  使用入侵检测系统... 293

16.4.5  总结... 293

练习·思考题... 294

参考资料... 294

 

第1章  计算机网络基础

计算机网络已经扩展到日常生活的各个层面，时刻影响着人们的行为方式。无论在家里、单位，还是在路上，人们都离不开网络，网络已成为生活和工作中重要的组成部分。网络新技术的发展让这个数字化的世界变得越来越丰富。

从某种意义上来说，计算机网络的发展水平不仅反映出一个国家计算机和通信技术的水平，而且已成为衡量国家综合实力乃至现代化程度的重要标志之一。

1.1  计算机网络概述

计算机网络是将若干台独立的计算机通过传输介质相互物理地连接，并通过网络软件逻辑地相互联系到一起而实现信息交换、资源共享、协同工作和在线处理等功能的计算机系统。它给人们的生活带来了极大的便利，如办公自动化、网上银行、网上订票、网上查询、网上购物等。计算机网络不仅可以传输数据，也可以传输图像、声音、视频等多种媒体形式的信息，计算机网络不仅广泛应用于政治、经济、军事、科学等领域，而且已应用于社会生活的方方面面。

1.1.1  计算机网络的基本概念

计算机网络(Computer Network)是利用通信线路和通信设备，把分布在不同地理位置的具有独立功能的多台计算机、终端及其附属设备互相连接，按照网络协议进行数据通信，利用功能完善的网络软件实现资源共享的计算机系统的集合。计算机网络是计算机技术与通信技术结合的产物。

在计算机网络中，多台计算机之间可以方便地互相传递信息，因此，资源共享是计算机网络的一个重要特征。用户能够通过网络来共享软件、硬件和数据资源。

现代计算机网络可以提供多媒体信息服务，如图像、语音、视频、动画等。各种新的网络应用也不断出现，如视频点播VOD(Video On Demand)、网上交易(E-Marketing)、视频会议(Video Meeting)等。

1.1.2  计算机网络的演变

进入21世纪以来，计算机网络获得了飞速的发展。回顾20世纪90年代，在我国还很少有人接触网络。而现在，计算机通信网络和Internet已成为我们日常生活的一部分。网络被应用于工商业的各个方面，包括电子银行、电子商务、现代化的企业管理、信息服务业等，都以计算机网络系统为基础。从学校远程教育到政府日常办公，乃至现在的电子社区，很多方面都离不开网络技术。可以毫不夸张地说，计算机网络在当今世界无处不在。

20世纪50年代中期，美国半自动地面防空系统(Semi-AutomaticGround Environment，SAGE)开始了计算机技术与通信技术相结合的尝试，在SAGE系统中，把远程的雷达和其他测控设备的信息经由线路汇集至一台IBM计算机上进行集中处理与控制。

世界上公认的、成功的第一个远程计算机网络，是在1969年由美国高级研究计划署(Advanced ResearchProjects Agency，ARPA)组织研制成功的。该网络被称为ARPAnet，它是Internet的前身。

随着计算机网络技术的快速发展，计算机网络的发展大致可以划分为以下4个阶段。

1.  诞生阶段

20世纪60年代中期之前的第一代计算机网络，是以单台计算机为中心的远程联机系统。典型应用是由一台计算机和全美范围内2000多个终端组成的飞机订票系统。终端是一台计算机的外部设备，包括显示器和键盘，无CPU和内存。随着远程终端的增多，为了减轻中心计算机的负载，在通信线路和计算机之间设置了一个前置处理机(Front End Processor，FEP)或通信控制处理机(Communication ControlProcessor，CCP)，专门负责与终端之间的通信控制，使数据处理和通信控制分开。在终端机较为集中的地区，采用了集中管理器(集中器或多路复用器)，用低速线路把附近群集的终端连起来，通过Modem及高速线路与远程中心计算机的前端机相连。这样的远程联机系统，既提高了线路的利用率，又节约了远程线路的投资。

当时，人们把计算机网络定义为：以传输信息为目的而连接起来的、实现远程信息处理或进一步实现资源共享的系统。这样的通信系统已经具备了网络的雏形。

2.  形成阶段

20世纪60年代中期至70年代的第二代计算机网络，是以多台主机通过通信线路互连起来的，为用户提供服务，典型的代表是美国国防部高级研究计划局协助开发的ARPAnet。主机之间不是直接用线路相连，而是由接口报文处理机(InterfaceMessage Processor，IMP)转接后互连。IMP和它们之间互连的通信线路一起负责主机间的通信服务，构成了通信子网。通信子网互连的主机负责运行程序，提供资源共享，组成了资源子网。这个时期，网络的概念为：以能够相互共享资源为目的互连起来的，具有独立功能的计算机的集合体。这就形成了计算机网络的基本概念。

3.  互连互通阶段

20世纪70年代末至90年代的第三代计算机网络，是具有统一的网络体系结构并遵循国际标准的开放式和标准化的网络。ARPAnet兴起后，计算机网络发展迅速，各大计算机公司相继推出了自己的网络体系结构及实现这些结构的软硬件产品。由于没有统一的标准，不同厂商的产品之间互连很困难，人们迫切需要一种开放性的标准化实用网络环境，在这种情况下，两种国际通用的最重要的体系结构应运而生，即TCP/IP体系结构和国际标准化组织的OSI体系结构。

4.  高速网络的技术阶段

20世纪90年代末至今的第四代计算机网络，是随着网络技术的不断发展出现的高速网络技术，如千兆网、万兆网、3G乃至4G网络，并且网络功能向综合化方向发展，支持多种媒体信息传输，并且速度越来越快。

1.1.3  计算机网络的基本功能

计算机网络最主要的功能，是资源共享和通信，除此之外，还有负荷均衡、分布处理和提高系统安全与可靠性等功能。其基本功能表现如下。

1.  软、硬件共享

计算机网络允许网络上的用户共享网络上各种不同类型的硬件设备，可共享的硬件资源有：高性能计算机、大容量存储器、打印机、图形设备、通信线路、通信设备等。共享硬件的好处是提高硬件资源的使用效率、节约开支。

现在已经有许多专供网上使用的软件，如数据库管理系统、各种Internet信息服务软件等。共享的软件允许多个用户同时使用，并能保持数据的完整性和一致性。特别是伴随客户机/服务器(Client/Server，C/S)和浏览器/服务器(Browser/Server，B/S)模式的出现，人们可以使用客户机来访问服务器，而服务器软件是共享的。在B/S方式下，软件版本的升级修改，只要在服务器上进行，全网用户可立即享受。可共享的软件种类很多，包括大型专用软件、各种网络应用软件、各种信息服务软件等。

2.  信息共享

信息也是一种资源，Internet就是一个巨大的信息资源宝库，其上有极为丰富的信息，它像是一个信息的海洋，有取之不尽、用之不竭的信息和数据。每一个接入Internet的用户都可以共享这些信息资源。可共享的信息资源有：搜索与查询的信息，Web服务器上的主页及各种链接，FTP服务器中的软件，各种各样的电子出版物，网上消息、报告和广告，网上大学，网上图书馆等。

3.  通信

通信是计算机网络的基本功能之一，它可以为网络用户提供强有力的通信手段。建设计算机网络的主要目的，就是让分布在不同地理位置的计算机用户能够相互通信、交流信息。计算机网络可以传输数据以及声音、图像、视频等多媒体信息。利用网络的通信功能，可以发送电子邮件、打电话、在网上举行视频会议等。

4.  负荷均衡与分布处理

负荷均衡是指将网络中的工作负荷均匀地分配给网络中的各计算机系统。当网络上某台主机的负载过重时，通过网络和一些应用程序的控制及管理，可以将任务交给网络上其他的计算机去处理，充分发挥网络系统上各主机的作用。分布处理将一个作业的处理分为三个阶段：提供作业文件、对作业进行加工处理、把处理结果输出。在单机环境下，上述三步都在本地计算机系统中进行。在网络环境下，根据分布处理的需求，可将作业分配给其他计算机系统进行处理，以提高系统的处理能力，高效地实现一些大型应用系统的程序计算以及大型数据库的访问等。

5.  系统的安全与可靠性

系统的可靠性对于军事、金融和工业过程控制等领域的应用特别重要。计算机通过网络中的冗余部件，能够大大提高可靠性。例如，在工作过程中，一台计算机出了故障，可以使用网络中的另一台计算机；网络中一条通信线路出了故障，可以取道另一条线路，从而提高网络系统的整体可靠性。

1.1.4  计算机网络的基本应用

随着现代社会信息化进程的推进，通信和计算机技术迅猛发展，计算机网络的应用变得越来越普及，几乎深入到社会的各个领域。

1.  在教育、科研中的应用

通过全球计算机网络，科技人员可以在网上查询各种文件和资料，可以互相交流学术思想和交换实验资料，甚至可以在计算机网络上进行国际合作研究项目。在教育方面，可以开设网上学校，实现远程授课，学生可以在家里或其他可以将计算机接入计算机网络的地方，利用多媒体交互功能听课，有什么不懂的问题，可以随时提问和讨论。学生可以从网上获得学习参考资料，并且可通过网络交作业和参加考试。

2.  在办公中的应用

计算机网络可以使单位内部实现办公自动化，实现软、硬件资源共享。如果将单位内部网络接入Internet，还可以实现异地办公。如通过WWW或电子邮件，公司可以很方便地与分布在不同地区的子公司或其他业务单位建立联系，及时地交换信息。在外地的员工通过网络还可以与公司保持通信，得到公司的指示和帮助。企业可以通过Internet搜集市场信息，并发布企业产品信息。

3.  在商业上的应用

随着计算机网络的广泛应用，电子数据交换(Electronic DataInterchange，EDI)已成为国际贸易往来的一个重要手段，它以一种被认可的数据格式，使分布在全球各地的贸易伙伴可以通过计算机传输各种贸易单据，代替了传统的贸易单据，节省了大量的人力和物力，提高了效率。通过网络，可以实现网上购物和网上支付，例如，登录“当当”网上书城(www.dangdang.com)购买图书等。

4.  在通信、娱乐上的应用

在过去的20世纪中，个人之间通信的基本工具是电话，而21世纪中，个人之间通信的基本工具是计算机网络。目前，计算机网络所提供的通信服务包括电子邮件、网络寻呼与聊天、BBS、网络新闻和IP电话等。

目前，电子邮件已广泛应用。Internet上存在着很多的新闻组，参加新闻组的人可以在网上对某个感兴趣的问题进行讨论，或是阅读有关这方面的资料，这是计算机网络应用中很受欢迎的一种通信方式。

网络寻呼不但可以实现在网络上进行寻呼的功能，还可以在网友之间进行网络聊天和文件传输等。IP电话也是基于计算机网络的一类典型的个人通信服务。

家庭娱乐正在对信息服务业产生着巨大的影响，它可以让人们在家里点播电影和电视节目。新的电影可能成为交互式的，观众在看电影时，可以不时地参与到电影情节中去。家庭电视也可以成为交互式的，观众可以参与到猜谜等活动中。

家庭娱乐中最重要的应用可能是在游戏上，目前，已经有很多人喜欢上玩多人实时仿真游戏。如果使用虚拟现实的头盔和三维、实时、高清晰度的图像，我们就可以共享虚拟现实的很多游戏和进行多种训练。

随着网络技术的发展和各种网络应用需求的增加，计算机网络应用的范围在不断扩大，应用领域越来越拓宽，越来越深入，许多新的计算机网络应用系统不断地被开发出来，如工业自动控制、辅助决策、虚拟大学、远程教学、远程医疗、信息管理系统、数字图书馆、电子博物馆、全球情报检索与信息查询、网上购物、电子商务、电视会议、视频点播等。

1.2  计算机网络的结构组成

一个完整的计算机网络系统是由网络硬件和网络软件所组成的。网络硬件是计算机网络系统的物理实现，网络软件是网络系统中的技术支持。两者相互作用，共同完成网络的功能。

(1)   网络硬件：一般指网络的计算机、传输介质和网络连接设备等。

(2)   网络软件：一般指网络操作系统、网络通信协议等。

1.2.1  网络硬件系统

计算机网络硬件系统是由计算机(主机、客户机、终端)、通信处理机(集线器、交换机、路由器)、通信线路(同轴电缆、双绞线、光纤)、信息变换设备(Modem，即编码解码器)等构成的。

1.  主计算机

在一般的局域网中，主机通常被称为服务器，是为客户提供各种服务的计算机，因此，对其有一定的技术指标要求，特别是主、辅存储容量及其处理速度要求较高。根据服务器在网络中所提供的服务的不同，可将其划分为文件服务器、打印服务器、通信服务器、域名服务器、数据库服务器等。

2.  网络工作站

除服务器外，网络上的其余计算机主要是通过执行应用程序来完成工作任务的，我们把这种计算机称为网络工作站或网络客户机，它是网络数据主要的发生场所和使用场所，用户主要是通过使用工作站来利用网络资源并完成自己的作业的。

3.  网络终端

网络终端是用户访问网络的界面，它可以通过主机连入网内，也可以通过通信控制处理机连入网内。

4.  通信处理机

通信处理机一方面作为资源子网的主机、终端连接的接口，将主机和终端连入网内；另一方面，它又作为通信子网中分组存储转发的节点，完成分组的接收、校验、存储和转发等功能。

5.  通信线路

通信线路(链路)为通信处理机与通信处理机、通信处理机与主机之间提供通信信道。

6.  信息变换设备

信息变换设备对信号进行变换，包括调制解调器、无线通信接收和发送器、用于光纤通信的编码解码器等。

1.2.2  网络软件系统

在计算机网络系统中，除了各种网络硬件设备外，还必须具有网络软件。

1.  网络操作系统

网络操作系统是网络软件中最主要的软件，用于实现不同主机之间的用户通信，以及全网硬件和软件资源的共享，并向用户提供统一的、方便的网络接口，便于用户使用网络。

目前，网络操作系统有三大阵营：Unix、NetWare和Windows。在我国，最广泛使用的是Windows网络操作系统。

2.  网络协议软件

网络协议是网络通信的数据传输规范，网络协议软件是用于实现网络协议功能的软件。

目前，典型的网络协议软件有TCP/IP协议、IPX/SPX协议、IEEE802标准协议系列等。其中，TCP/IP是当前异种网络互连中应用最为广泛的网络协议。

3.  网络管理软件

网络管理软件是用来对网络资源进行管理以及对网络进行维护的软件，如性能管理、配置管理、故障管理、计费管理、安全管理、网络运行状态监视与统计等。

4.  网络通信软件

网络通信软件是用于实现网络中各种设备间的通信，使用户能够在不必详细了解通信控制规程的情况下，控制应用程序与多个站进行通信，并对大量的通信数据进行加工和管理。

5.  网络应用软件

网络应用软件是为网络用户提供服务的，其最重要的特征，是它研究的重点不是网络中各个独立的计算机本身的功能，而是如何实现网络特有的功能。

1.2.3  计算机网络的拓扑结构

当我们组建计算机网络时，要考虑网络的布线方式，这也就涉及到了网络拓扑结构的内容。网络拓扑结构指网络中的计算机线缆，以及其他组件的物理布局。

局域网常用的拓扑结构有总线型结构、环型结构、星型结构、树型结构。

拓扑结构影响着整个网络的设计、功能、可靠性和通信费用等许多方面，是决定局域网性能优劣的重要因素之一。

1.  总线型拓扑结构

总线型拓扑结构是指网络上的所有计算机都通过一条电缆相互连接起来。

总线拓扑结构如图1-1所示。在这种拓扑结构中，总线上任何一台计算机在发送信息时，其他计算机必须等待。而且计算机发送的信息会沿着总线向两端扩散，从而使网络中的所有计算机都会收到这个信息，但是否接收，还取决于信息的目标地址是否与网络主机地址相一致，若一致，则接收；若不一致，则不接收。

 

图1-1  总线型拓扑结构

信号反射和终结器：在总线型网络中，信号会沿着网线发送到整个网络。当信号到达线缆的端点时，将产生反射信号，这种发射信号会与后续信号发生冲突，从而使通信中断。为了防止通信中断，必须在线缆的两端安装终结器，以吸收端点信号，防止信号反弹。

(1)   特点：不需要插入任何其他的连接设备。网络中任何一台计算机发送的信号都沿一条共同的总线传播，而且能被其他所有计算机接收。有时又称这种网络结构为点对点拓扑结构。

(2)   优点：连接简单、易于安装、成本费用低。

(3)   缺点：传送数据的速度缓慢，由于共享一条电缆，只能有其中一台计算机发送信息，其他的接收信息；维护困难，因为网络一旦出现断点，整个网络将瘫痪，而且故障点很难查找。

2.  星型拓扑结构

星型拓扑结构如图1-2所示。

 

图1-2  星型拓扑结构

在这种拓扑结构中，每个节点都由一个单独的通信线路连接到中心节点上。中心节点控制全网的通信，任何两台计算机之间的通信都要通过中心节点来转接。因此，中心节点是网络的瓶颈，这种拓扑结构又称为集中控制式网络结构，这种拓扑结构是目前使用最普遍的拓扑结构，处于中心的网络设备可以是集线器(Hub)，也可以是交换机。

(1)   优点：结构简单、便于维护和管理，因为其中某台计算机或线缆出现问题时，不会影响其他计算机的正常通信，维护比较容易。

(2)   缺点：通信线路专用，电缆成本高；中心节点是全网络的瓶颈，中心节点出现故障会导致网络瘫痪。

3.  环型拓扑结构

环型拓扑结构是以一个共享的环型信道连接所有设备，称为令牌环，其结构如图1-3所示。

 

图1-3  环型拓扑结构

在环型拓扑中，信号会沿着环型信道按一个方向传播，并通过每台计算机，每台计算机会对信号进行放大后，传给下一台计算机。同时，在网络中有一种特殊的信号，称为令牌，令牌按顺时针方向传输。当某台计算机要发送信息时，必须先捕获令牌，再发送信息，信息发送后再释放令牌。

环型结构有两种类型，即单环结构和双环结构。令牌环(Token Ring)是单环结构的典型代表，光纤分布式数据接口(FDDI)是双环结构的典型代表。

环型结构的显著特点，是每个节点用户都与两个相邻节点用户相连。

(1)   优点：电缆长度短。环型拓扑网络所需的电缆长度与总线拓扑网络的差不多，但比星型拓扑结构的要短得多。

增加或减少工作站时，只需简单地连接，可使用光纤。光纤的传输速度很高，十分适合于环型拓扑的单向传输，其传输信息的时间是固定的，从而便于实时控制。

(2)   缺点：节点过多时影响传输效率，环某处断开会导致整个系统失效，节点的加入和撤出过程复杂；检测故障困难，因为不是集中控制，故障检测需在网上各个节点进行，所以故障的检测就不是很容易。

4.  树型拓扑结构

树型结构是星型结构的扩展，它由根节点和分支节点所构成，如图1-4所示。

 

图1-4  树型拓扑结构

(1)   优点：结构比较简单，成本低。扩充节点时方便灵活。

(2)   缺点：对根节点的依赖性大，一旦根节点出现故障，将导致全网不能工作；电缆成本高。

5.  网状结构与混合型结构

网状结构是指将各网络节点与通信线路连接成不规则的形状，每个节点至少与其他两个节点相连，或者说，每个节点至少有两条链路与其他节点相连，如图1-5(a)所示。大型互联网一般采用这种结构，如我国的教育科研网CERNET(b)、Internet的主干网，都采用网状结构。

(1)   优点：可靠性高。因为有多条路径，所以可以选择最佳路径，减少时延，改善流量分配，提高网络性能。适用于大型广域网。

(2)   缺点：结构复杂，不易管理和维护；线路成本高。

混合型结构是由以上几种拓扑结构混合而成的，如环星型结构，它是令牌环网和FDDI网常用的结构。再如总线型和星型的混合结构等。

 

                (a) 网状拓扑结构                     (b)  CERNET主干网拓扑结构

图1-5  网状与混合型拓扑结构

1.3  计算机网络的分类

由于计算机网络自身的特点，其分类方法有多种。根据不同的分类原则，可以得到不同类型的计算机网络。

1.3.1  按覆盖范围分类

(1)   按网络所覆盖的地理范围的不同，计算机网络可分为局域网(LAN)、城域网(MAN)、广域网(WAN)。

①    局域网(Local Area Network，LAN)

局域网是将较小地理区域内的计算机或数据终端设备连接在一起的通信网络。局域网覆盖的地理范围比较小，一般在几十米到几千米之间。它常用于组建一个办公室、一栋楼、一个楼群、一个校园或一个企业的计算机网络。局域网主要用于实现短距离的资源共享。图1-6给出的是一个由几台计算机和打印机组成的典型局域网。

 

图1-6  局域网

局域网的特点是分布距离近、传输速率高、数据传输可靠等。

②    城域网(Wide Area Network，WAN)

城域网是一种大型的?LAN，它的覆盖范围介于局域网和广域网之间，一般为几千米至几万米，城域网的覆盖范围在一个城市内，它将位于一个城市之内不同地点的多个计算机局域网连接起来，实现资源共享。城域网所使用的通信设备和网络设备的功能要求比局域网高，以便有效地覆盖整个城市的地理范围。一般在一个大型城市中，城域网可以将多个学校、企事业单位、公司和医院的局域网连接起来，共享资源。图1-7给出的是由不同建筑物内的局域网组成的城域网。

 

图1-7  城域网

③    广域网(Wide Area Network，WAN)

广域网是在一个广阔的地理区域内进行数据、语音、图像信息传输的计算机网络。由于远距离数据传输的带宽有限，因此，广域网的数据传输速率比局域网要慢得多。广域网可以覆盖一个城市、一个国家，甚至于全球。因特网(Internet)是广域网的一种，但它不是一种具体的、独立性的网络，它将同类或不同类的物理网络(局域网、广域网和城域网)互联，并通过高层协议实现不同类网络间的通信。如图1-8所示是一个简单的广域网。

 

图1-8  广域网连接示意

(2)   按照网络中计算机所处的地位的不同，可以将计算机网络分为对等网和基于客户机、服务器模式的网络。

①    对等网

在对等网中，所有的计算机的地位是平等的，没有专用的服务器。每台计算机既作为服务器，又作为客户机；既为别人提供服务，也从别人那里获得服务。由于对等网没有专用的服务器，所以在管理对等网时，只能分别管理，不能统一管理，管理起来很不方便。对等网一般应用于计算机较少、安全要求不高的小型局域网。

②    基于客户机/服务器模式的网络

在这种网络中，有两种角色的计算机，一种是服务器，一种是客服机。服务器一方面负责保存网络的配置信息，另一方面也负责为客户机提供各种各样的服务。因为整个网络的关键配置都保存在服务器中，所以，管理员在管理网络时，只需要修改服务器的配置，就可以实现对整个网络的管理了。同时，客户机需要获得某种服务时，会向服务器发送请求，服务器接到请求后，会向客户机提供相应的服务。服务器的种类很多，有邮件服务器、Web服务器、目录服务器等，不同的服务器可以为客户提供不同的服务。我们在构建网络时，一般选择配置较好的计算机，在其上安装相关服务，就成了服务器。而客户机主要用于向服务器发送请求，获得相关的服务。如客户机向打印服务器请求打印服务，向Web服务器请求Web页面等。

1.3.2  按传播方式分类

按照传播方式的不同，可将计算机网络分为“广播网络”和“点-点网络”两大类。

1.  广播式网络

广播式网络是指网络中的计算机或者设备使用一个共享的通信介质进行数据传播，网络中的所有节点都能收到任一节点发出的数据信息。

目前，在广播式网络中的传输方式有以下3种。

(1)   单播：采用一对一的发送形式，将数据发送给网络中的所有目的节点。

(2)   组播：采用一对一组的发送形式，将数据发送给网络中的某一组主机。

(3)   广播：采用一对所有的发送形式，将数据发送给网络中的所有目的节点。

2.  点-点网络(Point-to-pointNetwork)

点-点式网络即两个节点之间的通信方式是点对点的。如果两台计算机之间没有直接连接的线路，那么，它们之间的分组传输就要通过中间节点来接收、存储、转发，直至抵达目的节点。

点-点传播方式主要应用于WAN中，采用的拓扑结构通常有星型、环型、树型，以及网状型。

1.3.3  按传输介质分类

根据传输介质，可将网络分为有线网和无线网。

(1)   有线网(WiredNetwork)

①    双绞线：其特点是比较经济、安装方便、传输率和抗干扰能力一般，广泛应用于局域网中。

②    同轴电缆：俗称细缆，现在逐渐淘汰。

③    光纤电缆：特点是光纤传输距离长、传输效率高、抗干扰性强，是高安全性网络的理想选择。

(2)   无线网(WirelessNetwork)

①    无线电话网：是一种很有发展前途的联网方式。

②    语音广播网：价格低廉、使用方便，但安全性差。

③    无线电视网：普及率高，但无法在一个频道上与用户进行实时交互。

④    微波通信网：通信保密性和安全性较好。

⑤    卫星通信网：能进行远距离通信，但价格昂贵。

1.3.4  按传输技术分类

计算机网络数据依靠各种通信技术进行传输。根据网络传输技术分类，计算机网络可分为以下5种类型。

(1)   普通电信网：普通电话线网，综合数字电话网，综合业务数字网。

(2)   数字数据网：利用数字信道提供的永久或半永久性电路，是以传输数据信号为主的数字传输网络。

(3)   虚拟专用网：指客户基于DDN智能化的特点，利用DDN的部分网络资源，所形成的一种虚拟网络。

(4)   微波扩频通信网：是电视传播和企事业单位组建企业内部网和接入Internet的一种方法，在移动通信中十分重要。

(5)   卫星通信网：是近年发展起来的空中通信网络。与地面通信网络相比，卫星通信网具有许多独特的优点。

事实上，网络类型的划分在实际组网中并不重要，重要的是组建的网络系统从功能、速度、操作系统、应用软件等方面能否满足实际工作的需要，是否能在较长时间内保持相对的先进性，能否为该部门(系统)带来全新的管理理念、管理方法、社会效益和经济效益等。

1.4  计算机网络体系结构

所谓网络体系，就是为了完成计算机之间的通信合作，把计算机互连的功能划分成有明确定义的层次，规定同层次通信的协议及相邻层之间的接口及服务等。将这些同层进程通信的协议及相邻层之间的接口统称为网络体系结构(Computer Network Architecture)。

1.4.1  网络体系结构

1.  网络协议

网络协议就是网络中的计算机之间能够进行相互交流的通信标准。计算机网络由多台互联的计算机组成，计算机之间要不断地交换数据和控制信息。要做到有条不紊地交换数据，每台计算机都必须遵守一些事先约定好的规则。这些为网络数据交换而制定的规则、约束和标准，被称为网络协议(Protocol)。

2.  网络体系结构的分层原理

网络协议对于计算机网络是不可缺少的。一个功能完备的计算机网络需要制定一套复杂的协议集，对于复杂的计算机网络协议，最好的组织方式就是层次结构模型。计算机网络层次结构模型和各层协议的集合定义为计算机网络体系结构，表示计算机网络系统应设置多少层，每层能提供哪些功能，以及各层之间的关系如何精确地定义等。

例如，在海南大学的你，要与在中山大学的同学通一封信，其大致过程如下。

(1)   把信写好，然后投到邮箱中。

(2)   邮局的邮递员把信从信箱中取走，送到邮局的分拣部门。

(3)   邮局分拣部门的工作人员按照邮政编码或地址进行分拣、打包。

(4)   将邮包通过汽车、火车或飞机送到广州市邮局。

(5)   广州市邮局分拣部门的工作人员打开邮包，按单位地址再分类。

(6)   邮递员把信送到中山大学的信箱。

(7)   你的同学打开邮箱，看到你的信。至此，通信过程完毕。

从上述过程中，可以得出下列结论。

第一，如果把通信过程看成是每一步分工合作，那么，这个问题就很容易解释。在这个过程中，每一步的相关人员，包括写信的你和收信的同学，都有自己明确的分工，而且是互不干扰的。此外，我们还能发现一个规律，那就是第N步总要在第N-1步做好的基础上才能工作，第N-1步也总要在第N-2步做好的基础上才能工作，以此类推。也就是说，第N-1步接受第N-2步的服务，同时，第N-1步服务于第N步，即第N步在接受第N-1步服务的同时，也接受了第N-2步及之前几个步骤的服务。

第二，你和你的同学只关心信的内容，而不关心信传递的过程，不需要知道是谁把信取走的，是谁把信送到的。

第三，真正把信从海口送到广州的是第4步，第一步到第4步和第4步到第7步实际上是一个互逆的过程。假如你的同学要给你写回信的话，那么过程正好相反。

我们可以把这个过程中的每一步看成是一层，这样，可以帮助我们更好地理解计算机网络的层次结构，从而更好地理解计算机网络体系结构。

3.  网络体系结构分层的意义

在网络分层结构中，每一层协议的基本功能都是实现与另外一个层次结构中对等实体间的通信，称为对等层协议。另外，每一层还要提供与其相邻的上层协议的服务接口。每一层是其下一层的服务对象，同时又是上一层的服务提供者。也就是说，对第N层来讲，它通过第N-1层提供的服务享用到了N-1层以内的所有层的服务。

网络体系结构分层具有以下几点好处。

(1) 独立性强

独立性是指每一层都具有相对独立的功能，它不必知道下一层是如何实现的，只要知道下一层通过层间接口提供的服务是什么、本层向上一层提供的服务是什么就可以了。至于如何实现本层的功能、采用什么样的硬件和软件，则不受其他层的限制。

(2) 功能简单、易于实现和维护

系统经分层后，整个复杂的系统被分解成若干个小范围、功能简单的部分，使每一层的功能都变得比较简单，降低了网络实现的复杂度，有利于促进标准化。

(3) 适应性强

当任何一层发生变化时，只要层间接口不变，那么，这种变化就不影响其他任何一层，层内设计可以灵活变动。

1.4.2  开放系统互联参考模型OSI/RM

世界上不同年代、不同厂家、不同型号的计算机系统千差万别，将这些系统互联起来，就要彼此开放。所谓开放系统，就是遵守互联标准协议的系统之间可以相互通信的原则，尽管这些网络的内部结构及设备不尽相同。

国际标准化组织(International Standard Organization，ISO)是世界上著名的标准化组织，主要由美国国家标准化组织(American National Standards Institute，ANSI)和其他国家的国家标准化组织组成。1977年，国际标准化组织(ISO)适应网络向标准化发展的需求，在研究、吸取了各计算机厂商网络体系标准化经验的基础上，制定了开放系统互联参考模型(Open System International Basic Reference Model，OSI/RM)，从而形成了著名的网络体系结构的国际标准。

除了国际标准化组织提出的开放系统互连体系结构之外，比较著名的体系结构还有以下3种：

l   美国国防部提出的主要应用于Internet的TCP/IP体系结构。

l   国际电话与电报顾问委员会(Consultative Committeeof International Telegraph and Telephone，CCITT)提出的采用分组交换技术的公用数据网X.25体系结构。

l   美国电气和电子工程师协会(Institute of Electricaland Electronic Engineers，IEEE)专门为局域网通信制定的IEEE802标准模型。

OSI模型是层次化的，分层的主要意图，是允许不同供应商的网络产品能够实现相互操作。一是通过网络组件的标准化，允许多个供应商进行开发；二是允许各种类型的网络产品(包括软件和硬件)相互通信；三是防止对某一层的产品所做的改动影响到其他层，这样有利于产品的开发。

OSI构造了7层模型，即物理层、数据链路层、网络层、传输层、会话层、表示层、应用层，不同系统对等层之间按相应协议进行通信，同一系统不同层之间通过接口进行通信(OSI参考模型如图1-9所示)。7层中，只有最低层物理层完成物理数据传递，其他对等层之间的通信称为逻辑通信，其通信过程为每一层将通信数据交给下一层处理，下一层对数据加上若干控制位后，再交给它的下一层处理，最终由物理层传递到对方的物理层，再逐层向上传递，从而实现对等层之间的逻辑通信。一般用户由最上层的应用层提供服务。

 

图1-9  OSI参考模型

1.  应用层

应用层是OSI的最高层，是网络与用户应用软件之间的接口。它直接通过给用户和管理者提供各类信息来为用户终端服务，如虚拟终端、文件传送、远程用户登录和电子数据交换及电子邮件等。

2.  表示层

表示层因它的用途而得名，它为应用层提供数据，并负责数据转换和代码的格式化。一种成功的传输技术意味着在传输之前要将数据转换为标准的格式。表示层在网络内部实现不同语句格式和编码之间的转换和表示，为应用层提供服务。例如，数据的压缩和解压缩、加解密等工作都由表示层负责。表示层要能保证从一个系统的应用层传输过来的数据能够被另一个系统的应用层识别。

3.  会话层

会话层负责在网络中的两节点之间建立、维持和终止通信。会话层的功能包括：建立通信连接，保持会话过程通信连接的畅通，同步两个节点之间的对话，决定通信是否被中断，以及通信中断时决定从何处重新发送。

也有人把会话层称作的“交通警察”。当通过拨号向ISP()请求连接到因特网时，ISP服务器上的会话层向PC客户机上的会话层进行协商连接。若电话线偶然从墙上的插孔脱落，终端机上的会话层将检测到连接中断并重新发起连接。会话层通过决定节点通信的优先级和通信时间的长短来设置通信期限。

4.  传输层

传输层通过通信线路，在不同机器之间进行程序和数据的交换。传输层的一个很重要的功能，是数据的分段和重组，这里的分段和重组，与网络层的分段和重组是两个不同的概念。网络层的分段是数据帧大小的减小，而传输层的分段是指把一个上层数据分割成一个个逻辑片或者物理片。

也就是说，发送方在传输层中将上层交给它的较大的数据进行分段后，交给网络层进行独立传输。这样，可以实现传输层流量控制，提高网络资源的利用率。

5.  网络层

网络层传送的数据单位是分组。网络层的主要任务，是在通信子网中选择适当的路由。网络层将传输层生成的数据分段封装成分组，每个分组中都有控制信息，称为报头，其中含有源站点和目标站点的网络逻辑地址信息。根据分组的目的网络地址实现网络路由，确保数据及时传送。

6.  数据链路层

数据链路层定义了如何让格式化数据进行传输，以及如何控制对物理介质的访问。这一层通常还提供错误检测和纠正，以确保数据的。

7.  物理层

物理层是所有网络的基础。主要定义物理设备标准，如网线的接口类型、光纤的接口类型、各种的传输速率等。它的主要作用是传输比特流(就是由1、0转化为电流强弱来进行传输，到达目的地后再转化为1、0，也就是我们常说的数模转换与模数转换)。这一层的数据叫作比特。

在OSI模型中，应用层实现用户与计算机的接口，高层负责主机之间应用程序的通信。OSI模型的高三层定义了终端系统中的应用程序将如何彼此进行通信，以及如何与用户通信，另外，高三层并不知道有关互联网或网络地址的任何信息，这是下四层的任务。低四层定义了如何通过物理电缆或通过交换机和路由器进行端到端的数据传输。