如何使用pgp发送邮件
1、创建一私钥和公钥对使用PGPtray之前,需要用PGPkeys生成一对密钥,包括私有密钥(只有自身可以访问)和一个公有密钥(可以让交换email的人自由使用)。2、与别人交换公钥创建了密钥对之后,就可以同其它PGP用户进行通信。要想使用加密通信,那么需要有他们的公钥。而且如果他们想同你通信他们也将需要你的公钥。公钥是一个信息块,发布公钥:可以将公钥放到密钥服务器上,也可以将公钥贴到文件或Email中发给你想与交换Email的人。3、对公钥进行验证并使之有效当获取某人的公钥时,将它添加到公开密钥环中。首先确定公钥的准确性。当确定这是个有效的公钥时,可以签名来表明你认为这个密钥可以安全使用。另外,你可以给这个公钥的拥有者一定的信任度。4、对E_mail进行加密和数字签名当生成密钥对而且已经交换了密钥之后,就可以对email信息和文件进行加密和数字签名。如果使用的email应用程序支持plug_ins,选择适当的选项进行加密;如果email应用程序不支持plug_ins,就可以将email信息发送到剪贴板上从那儿进行加密。若还想包括一些文件,可以从Windows Exporer上进行加密和数字签名。
下面以查看ls这个命令的源代码为例:
1输入 which ls
liuwei@liuwei:~/test$ which ls
/bin/ls
2输入sudo dpkg -S /bin/ls
liuwei@liuwei:~/test$ sudo dpkg -S /bin/ls
coreutils: /bin/ls
3输入sudo apt-get source coreutilsliuwei@liuwei:~/test$ sudo apt-get source coreutils
正在读取软件包列表 完成
正在分析软件包的依赖关系树
正在读取状态信息 完成
需要下载 123 MB 的源代码包。
获取:1 http://debianustceducn/ubuntu/ trusty/main coreutils 821-1ubuntu5 (dsc) [1,335 B]
获取:2 http://debianustceducn/ubuntu/ trusty/main coreutils 821-1ubuntu5 (tar) [123 MB]
获取:3 http://debianustceducn/ubuntu/ trusty/main coreutils 821-1ubuntu5 (diff) [306 kB]
下载 123 MB,耗时 56秒 (218 kB/s)
gpgv: 于 2014年03月24日 星期一 15时03分17秒 CST 创建的签名,使用 DSA,钥匙号 C6CEA0C9
gpgv: 无法检查签名:找不到公钥
dpkg-source: 警告: 对 /coreutils_821-1ubuntu5dsc 校验签名失败
dpkg-source: info: extracting coreutils in coreutils-821
dpkg-source: info: unpacking coreutils_821origtargz
dpkg-source: info: applying coreutils_821-1ubuntu5diffgz
此时可能会发生如上所述的找不到公钥的情况,解决方法如下:
先sudo apt-get udpate
liuwei@liuwei:~/test$ sudo apt-get update
再输入 gpg --keyserver subkeyspgpnet --recv C6CEA0C9,其中C6CEA0C9为上述钥匙号
liuwei@liuwei:~/test$ gpg --keyserver subkeyspgpnet --recv C6CEA0C9
gpg: 下载密钥‘C6CEA0C9’,从 hkp 服务器 subkeyspgpnet
gpg: 公钥服务器超时
gpg: 从公钥服务器接收失败:公钥服务器错误
此时可能会出现从公钥服务器接收失败:公钥服务器错误的提示,解决方法如下:
输入sudo apt-get update
liuwei@liuwei:~/test$ sudo apt-get update
再gpg --keyserver subkeyspgpnet --recv C6CEA0C9
liuwei@liuwei:~/test$ gpg --keyserver subkeyspgpnet --recv C6CEA0C9
gpg: 下载密钥‘C6CEA0C9’,从 hkp 服务器 subkeyspgpnet
gpg: 密钥 C6CEA0C9:公钥“Adam Conrad <adconrad@0c3net>”已导入
gpg: 没有找到任何绝对信任的密钥
gpg: 合计被处理的数量:1
gpg: 已导入:1
再gpg --export --armor C6CEA0C9 | sudo apt-key add -
liuwei@liuwei:~/test$ gpg --export --armor C6CEA0C9 | sudo apt-key add -
OK
此时再 ls,会发现多出了如下文件:
liuwei@liuwei:~/test$ ls
coreutils-821 coreutils_821-1ubuntu5dsc
coreutils_821-1ubuntu5diffgz coreutils_821origtargz
在coreutils-821中就可以查看源码了。
由于网络所带来的诸多不安全因素使得网络使用者不得不采取相应的网络安全对策。为了堵塞安全漏洞和提供安全的通信服务,必须运用一定的技术来对网络进行安全建设,这已为广大网络开发商和网络用户所共识。
现今主要的网络安全技术有以下几种:
一、加密路由器(Encrypting Router)技术
加密路由器把通过路由器的内容进行加密和压缩,然后让它们通过不安全的网络进行传输,并在目的端进行解压和解密。
二、安全内核(Secured Kernel)技术
人们开始在操作系统的层次上考虑安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。如S olaris操作系统把静态的口令放在一个隐含文件中, 使系统的安全性增强。
三、网络地址转换器(Network Address Translater)
网络地址转换器也称为地址共享器(Address Sharer)或地址映射器,初衷是为了解决IP 地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址;相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络, 从而隐藏内部网络,达到保密作用。
数据加密(Data Encryption)技术
所谓加密(Encryption)是指将一个信息(或称明文--plaintext) 经过加密钥匙(Encrypt ionkey)及加密函数转换,变成无意义的密文( ciphertext),而接收方则将此密文经过解密函数、解密钥匙(Decryti on key)还原成明文。加密技术是网络安全技术的基石。
数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。
专用密钥,又称为对称密钥或单密钥,加密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。
DES是一种数据分组的加密算法,它将数据分成长度为6 4位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到6 4位的杂乱无章的数据组;第二步将其分成均等两段 ;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。
公开密钥,又称非对称密钥,加密时使用不同的密钥,即不同的算法,有一把公用的加密密钥,有多把解密密钥,如RSA算法。
在计算机网络中,加密可分为"通信加密"(即传输过程中的数据加密)和"文件加密"(即存储数据加密)。通信加密又有节点加密、链路加密和端--端加密3种。
①节点加密,从时间坐标来讲,它在信息被传入实际通信连接点 (Physical communication link)之前进行;从OSI 7层参考模型的坐标 (逻辑空间)来讲,它在第一层、第二层之间进行; 从实施对象来讲,是对相邻两节点之间传输的数据进行加密,不过它仅对报文加密,而不对报头加密,以便于传输路由的选择。
②链路加密(Link Encryption),它在数据链路层进行,是对相邻节点之间的链路上所传输的数据进行加密,不仅对数据加密还对报头加密。
③端--端加密(End-to-End Encryption),它在第六层或第七层进行 ,是为用户之间传送数据而提供的连续的保护。在始发节点上实施加密,在中介节点以密文形式传输,最后到达目的节点时才进行解密,这对防止拷贝网络软件和软件泄漏也很有效。
在OSI参考模型中,除会话层不能实施加密外,其他各层都可以实施一定的加密措施。但通常是在最高层上加密,即应用层上的每个应用都被密码编码进行修改,因此能对每个应用起到保密的作用,从而保护在应用层上的投资。假如在下面某一层上实施加密,如TCP层上,就只能对这层起到保护作用。
值得注意的是,能否切实有效地发挥加密机制的作用,关键的问题在于密钥的管理,包括密钥的生存、分发、安装、保管、使用以及作废全过程。
(1)数字签名
公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者, 即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。
数字签名一般采用不对称加密技术(如RSA),通过对整个明文进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。当然,签名也可以采用多种方式,例如,将签名附在明文之后。数字签名普遍用于银行、电子贸易等。
数字签名不同于手写签字:数字签名随文本的变化而变化,手写签字反映某个人个性特征, 是不变的;数字签名与文本信息是不可分割的,而手写签字是附加在文本之后的,与文本信息是分离的。
(2)Kerberos系统
Kerberos系统是美国麻省理工学院为Athena工程而设计的,为分布式计算环境提供一种对用户双方进行验证的认证方法。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户;如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其验证是建立在对称加密的基础上的。
Kerberos系统在分布式计算环境中得到了广泛的应用(如在Notes 中),这是因为它具有如下的特点:
①安全性高,Kerberos系统对用户的口令进行加密后作为用户的私钥,从而避免了用户的口令在网络上显示传输,使得窃听者难以在网络上取得相应的口令信息;
②透明性高,用户在使用过程中,仅在登录时要求输入口令,与平常的操作完全一样,Ker beros的存在对于合法用户来说是透明的;
③可扩展性好,Kerberos为每一个服务提供认证,确保应用的安全。
Kerberos系统和看**的过程有些相似,不同的是只有事先在Ker beros系统中登录的客户才可以申请服务,并且Kerberos要求申请到入场券的客户就是到TGS(入场券分配服务器)去要求得到最终服务的客户。
Kerberos的认证协议过程如图二所示。
Kerberos有其优点,同时也有其缺点,主要如下:
①、Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
②、Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
③、AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全。在AS和TGS前应该有访问控制,以增强AS和TGS的安全。
④、随用户数增加,密钥管理较复杂。Kerberos拥有每个用户的口令字的散列值,AS与TGS 负责户间通信密钥的分配。当N个用户想同时通信时,仍需要N(N-1)/2个密钥
( 3 )、PGP算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 从80年代中期开始编写的。公开密钥和分组密钥在同一个系统中,公开密钥采用RSA加密算法,实施对密钥的管理;分组密钥采用了IDEA算法,实施对信息的加密。
PGP应用程序的第一个特点是它的速度快,效率高;另一个显著特点就是它的可移植性出色,它可以在多种操作平台上运行。PGP主要具有加密文件、发送和接收加密的E-mail、数字签名等。
(4)、PEM算法
保密增强邮件(Private Enhanced Mail,PEM),是美国RSA实验室基于RSA和DES算法而开发的产品,其目的是为了增强个人的隐私功能, 目前在Internet网上得到了广泛的应用,专为E-mail用户提供如下两类安全服务:
对所有报文都提供诸如:验证、完整性、防抵 赖等安全服务功能; 提供可选的安全服务功能,如保密性等。
PEM对报文的处理经过如下过程:
第一步,作规范化处理:为了使PEM与MTA(报文传输代理)兼容,按S MTP协议对报文进行规范化处理;
第二步,MIC(Message Integrity Code)计算;
第三步,把处理过的报文转化为适于SMTP系统传输的格式。
身份验证技术
身份识别(Identification)是指定用户向系统出示自己的身份证明过程。身份认证(Authertication)是系统查核用户的身份证明的过程。人们常把这两项工作统称为身份验证(或身份鉴别),是判明和确认通信双方真实身份的两个重要环节。
Web网上采用的安全技术
在Web网上实现网络安全一般有SHTTP/HTTP和SSL两种方式。
(一)、SHTTP/HTTP
SHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密、签名和基于MAC 的认证。并且一个消息可以被反复封装加密。此外,SHTTP还定义了包头信息来进行密钥传输、认证传输和相似的管理功能。SHTTP可以支持多种加密协议,还为程序员提供了灵活的编程环境。
SHTTP并不依赖于特定的密钥证明系统,它目前支持RSA、带内和带外以及Kerberos密钥交换。
(二)、SSL(安全套层) 安全套接层是一种利用公开密钥技术的工业标准。SSL广泛应用于Intranet和Internet 网,其产品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器,以及诸如Apa che-SSL等产品。
SSL提供三种基本的安全服务,它们都使用公开密钥技术。
①信息私密,通过使用公开密钥和对称密钥技术以达到信息私密。SSL客户机和SSL服务器之间的所有业务使用在SSL握手过程中建立的密钥和算法进行加密。这样就防止了某些用户通过使用IP packet sniffer工具非法窃听。尽管packet sniffer仍能捕捉到通信的内容, 但却无法破译。 ②信息完整性,确保SSL业务全部达到目的。如果Internet成为可行的电子商业平台,应确保服务器和客户机之间的信息内容免受破坏。SSL利用机密共享和hash函数组提供信息完整性服务。③相互认证,是客户机和服务器相互识别的过程。它们的识别号用公开密钥编码,并在SSL握手时交换各自的识别号。为了验证证明持有者是其合法用户(而不是冒名用户),SSL要求证明持有者在握手时对交换数据进行数字式标识。证明持有者对包括证明的所有信息数据进行标识以说明自己是证明的合法拥有者。这样就防止了其他用户冒名使用证明。证明本身并不提供认证,只有证明和密钥一起才起作用。 ④SSL的安全性服务对终端用户来讲做到尽可能透明。一般情况下,用户只需单击桌面上的一个按钮或联接就可以与SSL的主机相连。与标准的HTTP连接申请不同,一台支持SSL的典型网络主机接受SSL连接的默认端口是443而不是80。
当客户机连接该端口时,首先初始化握手协议,以建立一个SSL对话时段。握手结束后,将对通信加密,并检查信息完整性,直到这个对话时段结束为止。每个SSL对话时段只发生一次握手。相比之下,HTTP 的每一次连接都要执行一次握手,导致通信效率降低。一次SSL握手将发生以下事件:
1客户机和服务器交换X509证明以便双方相互确认。这个过程中可以交换全部的证明链,也可以选择只交换一些底层的证明。证明的验证包括:检验有效日期和验证证明的签名权限。
2客户机随机地产生一组密钥,它们用于信息加密和MAC计算。这些密钥要先通过服务器的公开密钥加密再送往服务器。总共有四个密钥分别用于服务器到客户机以及客户机到服务器的通信。
3信息加密算法(用于加密)和hash函数(用于确保信息完整性)是综合在一起使用的。Netscape的SSL实现方案是:客户机提供自己支持的所有算法清单,服务器选择它认为最有效的密码。服务器管理者可以使用或禁止某些特定的密码。
代理服务
在 Internet 中广泛采用代理服务工作方式, 如域名系统(DNS), 同时也有许多人把代理服务看成是一种安全性能。
从技术上来讲代理服务(Proxy Service)是一种网关功能,但它的逻辑位置是在OSI 7层协议的应用层之上。
代理(Proxy)使用一个客户程序,与特定的中间结点链接,然后中间结点与期望的服务器进行实际链接。与应用网关型防火墙所不同的是,使用这类防火墙时外部网络与内部网络之间不存在直接连接,因此 ,即使防火墙产生了问题,外部网络也无法与被保护的网络连接。
防火墙技术
(1)防火墙的概念
在计算机领域,把一种能使一个网络及其资源不受网络"墙"外"火灾"影响的设备称为"防火墙"。用更专业一点的话来讲,防火墙(FireW all)就是一个或一组网络设备(计算机系统或路由器等),用来在两个或多个网络间加强访问控制,其目的是保护一个网络不受来自另一个网络的攻击。可以这样理解,相当于在网络周围挖了一条护城河,在唯一的桥上设立了安全哨所,进出的行人都要接受安全检查。
防火墙的组成可以这样表示:防火墙=过滤器+安全策略(+网关)。
(2)防火墙的实现方式
①在边界路由器上实现;
②在一台双端口主机(dual-homed host)上实现;
③在公共子网(该子网的作用相当于一台双端口主机)上实现,在此子网上可建立含有停火区结构的防火墙。
(3)防火墙的网络结构
网络的拓扑结构和防火墙的合理配置与防火墙系统的性能密切相关,防火墙一般采用如下几种结构。
①最简单的防火墙结构
这种网络结构能够达到使受保护的网络只能看到"桥头堡主机"( 进出通信必经之主机), 同时,桥头堡主机不转发任何TCP/IP通信包, 网络中的所有服务都必须有桥头堡主机的相应代理服务程序来支持。但它把整个网络的安全性能全部托付于其中的单个安全单元,而单个网络安全单元又是攻击者首选的攻击对象,防火墙一旦破坏,桥头堡主机就变成了一台没有寻径功能的路由器,系统的安全性不可靠。
②单网端防火墙结构
其中屏蔽路由器的作用在于保护堡垒主机(应用网关或代理服务) 的安全而建立起一道屏障。在这种结构中可将堡垒主机看作是信息服务器,它是内部网络对外发布信息的数据中心,但这种网络拓扑结构仍把网络的安全性大部分托付给屏蔽路由器。系统的安全性仍不十分可靠。
③增强型单网段防火墙的结构
为增强网段防火墙安全性,在内部网与子网之间增设一台屏蔽路由器,这样整个子网与内外部网络的联系就各受控于一个工作在网络级的路由器,内部网络与外部网络仍不能直接联系,只能通过相应的路由器与堡垒主机通信。
④含"停火区"的防火墙结构
针对某些安全性特殊需要, 可建立如下的防火墙网络结构。 网络的整个安全特性分担到多个安全单元, 在外停火区的子网上可联接公共信息服务器,作为内外网络进行信息交换的场所。
网络反病毒技术
由于在网络环境下,计算机病毒具有不可估量的威胁性和破坏力, 因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术也得到了相应的发展。
网络反病毒技术包括预防病毒、检测病毒和消毒等3种技术。(1) 预防病毒技术,它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术是:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等。(2)检测病毒技术,它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。(3)消毒技术,它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
网络反病毒技术的实施对象包括文件型病毒、引导型病毒和网络病毒。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。
随着网上应用不断发展,网络技术不断应用,网络不安全因素将会不断产生,但互为依存的,网络安全技术也会迅速的发展,新的安全技术将会层出不穷,最终Internet网上的安全问题将不会阻挡我们前进的步伐
网络工程师考试大纲
3 网络技术
31 网络体系结构
·Internet、Intranet和Extranet的基本概念(I)
·C/S、B/S的基本概念(I)
·ISO OSI/RM
七层协议的功能可以概括为以下7句话。
应用层:为网络用户提供颁布式应用环境和编程环境(I)
表示层:提供统一的网络数据表示,包括信源编码和数据压缩等(I)
会话层:对会话过程的控制,包括会话过程同步控制和会话方向控制(I)
传输层:提供端到端的数据传输控制功能(I)
网络层:在通信子网中进行路由选择和通信流控制(I)
数据链路层:在相邻结点之间可靠地传送数据帧(I)
物理层:透明地传输比特流(I)
32 TCP/IP协议簇
321 应用层协议(FTP、HTTP、POP3、DHCP、Telnet、SMTP)
·功能、连接、过程和端口(II)
·SNMP协议的体系结构(管理器和代理、轮询和陷入)(I)
322 传输层协议(TCP、UDP)
·协议数据单元:TCP/UDP报文中的主要字段及其功能(II)
·连接的建立和释放(三次握手协议、连接状态、SYN、ACK、RST、MSL)(II)
·流量控制(可变大小的滑动窗口协议、字节流和报文流的区别)(II)
323 网络层协议IP
·A、B、C、D类IP地址及子网掩码,单播/组播/广播地址,公网/私网地址(III)
·VLSM和CIDR技术,NAT/NAPT技术(III)
·ARP请求/响应,路由器代理ARP,ARP表,地址绑定(III)
·ICMP的报文类型(目标不可达到、超时、源抑制、ECHO请求/响应、时间戳请求/响应等)(II)
324 数据链路层协议
·PPP协议:帧格式,LCP协议和NCP协议,认证协议(PAP和CHAP)(I)
·PPPoE和PPPoA(I)
33 数据通信基础
331 信道特性
·波特率、带宽和数据速率(II)
·Nyquist定理和Shannon定理,简单计算(II)
332 调制和编码
·ASK、FSK、PSK、QAM、QPSK(I)
·抽样定理、PCM (I)
·NRZ-I、AMI、伪3进制编码、曼彻斯特编码、差分曼彻斯特编码、4B/5B和8B/6B编码(II)
·波特率和数据速率、编码效率(II)
333 同步控制
·异步传输的效率(I)
·面向字符的同步控制协议(BSC),传输控制字符(I)
·面向比特的同步控制协议(HDLC)、帧标志、字节计数法、字符填充法、比特填充法、物理符号成帧法(I)
334 多路复用
·频分多路FDM、离散多间DMT(I)
·统计时分多路复用的简单的计算(I)
·E1和T1信道的数据速率、子速率(II)
·同步光纤传输标准SONET/SDH(II)
·WDM、DWDM(I)
335差错控制
·CRC编码、CRC校验(II)
·海明码、冗余位的计算、监督关系式(I)
336传输介质
·STP,3类、5类、6类UTP(宽带和数据速率)(I)
·RG-58和RG-11基带同轴电缆、CATV同轴电缆(I)
·多模光纤MMF(线径625/125μm和50/125μm,波长850nm和1300nm,多模突变型与多模渐变型)(I)
·单模光纤SMF(线径83/125μm,波长1310/1550nm)(I)
·无线电波(VHF、UHF、SHF、ISM频带)(I)
·卫星微波通信(C、Ku、Ka波段、VSAT)(I)
·激光、红外线(I)
337物理层协议
·V28协议 (Ⅰ)
·V35 (Ⅰ)
·V24和RS-232 (Ⅰ)
34局域网
341 IEEE802体系结构
·8021、8022、8023、8025、80211、80215、80216 (Ⅰ)
·LLC服务和帧结构 (Ⅰ)
342以太网
·CSMA/CD协议、帧结构、MAC地址 (Ⅰ)
·10BASE-2、10BASE-T (Ⅰ)
·最小帧长、最大帧长 (Ⅰ)
·网络跨距 (Ⅰ)
343网络连接设备
·网卡、中继器、集线器、网桥、以太网交换机 (Ⅱ)
344高速以太网
·8023u、8023z、8023ae、8023ab (Ⅱ)
345虚拟局域网
·静态/动态VLAN (Ⅲ)
·接入链路和中继链路 (Ⅲ)
·VLAN帧标记8021q (Ⅲ)
·VTP协议和VTP修剪 (Ⅲ)
346无线局域网
·无线接入点AP和Ad Hoc网络 (Ⅱ)
·扩频通信技术DSSS和HFSS (Ⅱ)
·CSMA/CA协议 (Ⅱ)
·80211a/80211b/80211g (Ⅰ)
·认证技术WPA和80211i (Ⅰ)
35网络互连
351网络互连设备
·基本概念
·中继器、集线器、交换机、路由器和网关的体系结构 (Ⅰ)
·广播域和冲突域 (Ⅰ)
·以太网交换机的工作原理:存储转发/直通式/无碎片直通式交换 (Ⅱ)
·以太网交换机
分类:核心交换机、接入交换机、三层交换机、模块化交换机 (Ⅱ)
堆叠和级联 (Ⅱ)
光口和电口、GBIC端口、SFP端口 (Ⅰ)
背板带宽和包转发率 (Ⅰ)
链路汇聚技术(8023ad) (Ⅱ)
·IP路由器
分类:主干路由器、接入路由器、企业级路由器 (Ⅰ)
端口:RJ-45端口、AUI端口、高速同步串口、ISDN BRI端口、异步串口(ASYNC)、Console端口、AUX端口 (Ⅱ)
内存:ROM、RAM、Flash RAM、NVRAM (Ⅰ)
操作系统IOS:命令行界面CLI,命令模式(Setup模式、用户模式、特权模式、配置模式),加电自检(POST)、引导程序(bootstrap)、启动配置文件(startup config)、运行配置文件(running config),TFTP服务器 (Ⅰ)
·防火墙
包过滤防火墙 (Ⅱ)
电路级网关防火墙(SOCKS协议) (Ⅱ)
应用网关防火墙 (Ⅱ)
代理服务器 (Ⅱ)
认证服务器 (Ⅱ)
DMZ (Ⅲ)
·ACL配置命令 (Ⅲ)
352交换技术
·电路交换 (Ⅰ)
PSTN,PBX,V90 (Ⅰ)
ISDN,PRI和BRI (Ⅰ)
·分组交换:虚电路和数据报,X25、LAP-B (Ⅰ)
·租用线路服务(DDN) (Ⅰ)
·帧中继 (Ⅰ)
PVC和SVC (Ⅰ)
CIR和EIR (Ⅰ)
LAP-F、DLCI和显式拥塞控制 (Ⅰ)
帧长和数据速率 (Ⅰ)
DSU/DCU (Ⅰ)
X21、V35、G703和G704接口 (Ⅰ)
·ATM
VPC和VCC (Ⅰ)
信元结构 (Ⅰ)
CBR、VBR、ABR和UBR (Ⅰ)
AAL (Ⅰ)
353接入技术
·DSL技术 (Ⅰ)
·HDSL (Ⅰ)
·VDSL (Ⅰ)
·ADSL(虚拟拨号和准专线接入、DSLAM) (Ⅲ)
·FTTx+LAN (Ⅲ)
·HFC:CATV网络和Cable Modem (Ⅲ)
·无线接入 (Ⅲ)
36 Internet服务
·Web服务器、HTML和XML、浏览器、URL、DNS (Ⅰ)
·邮件服务器(SMTP和POP3) (Ⅰ)
·FTP、匿名FTP、主动/被动FTP (Ⅱ)
·TFTP (Ⅰ)
·Telnet (Ⅰ)
·电子商务和电子政务 (Ⅰ)
37网络操作系统
·网络操作系统的功能、分类和特点 (Ⅰ)
·文件系统FAT16/FAT32/NTFS/ext3 (Ⅰ)
·网络设备驱动程序:ODI、NDIS (Ⅰ)
·Windows Server 2003网络架构 (Ⅱ)
·ISA2004:***服务器、远程访问属性、用户拨入权限、访问规则 (Ⅲ)
·Red Hat Linux:文件系统目录结构、用户与组管理、进程管理、网络配置与管理 (Ⅲ)
38网络管理
·网络管理功能域(安全、配置、故障、性能和计费管理) (Ⅰ)
·网络管理协议(CMIS/CMIP、SNMP、RMON、MIB-Ⅱ) (Ⅰ)
·网络管理命令(ping、ipconfig、netstat、arp、tracert、nslookup) (Ⅱ)
·网络管理工具(NetXray、Sniffer) (Ⅱ)
·网络管理平台(OpenView、NetView、Sun NetMa-nager) (Ⅰ)
4网络安全基础
41安全技术
411保密
·私钥/公钥加密(DES、3DES、IDEA、RSA、D-H算法) (Ⅱ)
412安全机制
·认证(实体认证、身份认证、数字证书X509) (Ⅱ)
·数字签名 (Ⅱ)
·数据完整性(SHA、MD5、HMAC) (Ⅱ)
413安全协议
·虚拟专用网 (Ⅰ)
·L2TP和PPTP (Ⅰ)
·安全协议(IPSec、SSL、PGP、HTTPS和SSL) (Ⅲ)
414病毒防范与入侵检测
·网络安全漏洞 (Ⅱ)
·病毒、蠕虫和木马 (Ⅱ)
·恶意软件 (Ⅱ)
·入侵检测 (Ⅱ)
42访问控制技术
421访问控制
·防火墙 (Ⅰ)
·Kerberos、Radius (Ⅰ)
·80211x认证 (Ⅰ)
·DDoS (Ⅱ)
·AAA系统(Authentication/Authorization/Accounting) (Ⅰ)
422可用性
·文件、数据库的备份和恢复 (Ⅱ)
5标准化知识
51信息系统基础设施标准化
511标准
·国际标准(ISO、IEC、IEEE、EIA/TIA)与美国国家标准(ANSI) (Ⅰ)
·中国国家标准(GB) (Ⅰ)
·行业标准与企业标准 (Ⅰ)
512安全性标准
·信息系统安全措施 (Ⅰ)
·CC标准 (Ⅰ)
·BS7799标准 (Ⅰ)
52标准化组织
·国际标准化组织(ISO、IEC、IETF、IEEE、IAB、W3C) (Ⅰ)
·美国标准化组织 (Ⅰ)
·欧洲标准化组织 (Ⅰ)
·中国国家标准化委员会 (Ⅰ)
6信息化基础知识
·全球信息化趋势、国家信息化战略、企业信息化战略和策略 (Ⅰ)
·互联网相关的法律、法规知识 (Ⅰ)
·个人信息保护规则 (Ⅰ)
·远程教育、电子商务、电子政务等基础知识 (Ⅰ)
·企业信息资源管理基础知识 (Ⅰ)
7计算机专业英语
·具有工程师所要求的英语阅读水平 (Ⅱ)
·掌握本领域的英语术语 (Ⅱ)
考试科目2:网络系统设计与管理
1网络系统分析与设计
11网络系统的需求分析
·功能需求(待实现的功能) (Ⅱ)
·性能需求(期望的性能) (Ⅱ)
·可靠性需求 (Ⅱ)
·安全需求 (Ⅱ)
·管理需求 (Ⅱ)
12网络系统的设计
·拓扑结构设计 (Ⅱ)
·信息点分布和通信量计算 (Ⅱ)
·结构化布线(工作区子系统、水平子系统、主干子系统、设备间子系统、建筑群子系统、管理子系统) (Ⅱ)
·链路冗余和可靠性 (Ⅱ)
·安全措施 (Ⅱ)
·网络设备的选型(成本、性能、容量、处理量、延迟) (Ⅲ)
13通信子网的设计
·核心交换机的选型和配置 (Ⅲ)
·汇聚层的功能配置 (Ⅲ)
·接入层交换机的配置和部署 (Ⅲ)
14资源子网的设计
·网络服务 (Ⅰ)
·服务器选型 (Ⅱ)
15网络系统的构建和测试
·安装工作(事先准备、过程监督) (Ⅱ)
·测试和评估(连接测试、安全性测试、性能测试) (Ⅱ)
·转换到新网络的工作计划 (Ⅱ)
2网络系统的运行、维护和管理
21用户管理
·用户接入认证和IP地址绑定 (Ⅱ)
·用户行为审计 (Ⅱ)
·计费管理 (Ⅱ)
22网络维护和升级
·网络优化策略 (Ⅱ)
·设备的编制 (Ⅱ)
·外部合同要点 (Ⅱ)
·内部执行计划 (Ⅱ)
23数据备份与恢复
·备份策略 (Ⅱ)
·数据恢复 (Ⅱ)
·RAID (Ⅱ)
24网络系统管理
·利用工具监视网络性能和故障 (Ⅲ)
·性能监视
CPU利用率 (Ⅰ)
带宽利用率 (Ⅰ)
流量分析 (Ⅰ)
通信量整形 (Ⅰ)
连接管理 (Ⅰ)
·安全管理
内容过滤 (Ⅱ)
入侵检测 (Ⅱ)
网络防毒 (Ⅱ)
端口扫描 (Ⅱ)
25故障恢复分析
·故障分析要点(LAN监控程序) (Ⅱ)
·排除故障要点 (Ⅱ)
·故障报告撰写 (Ⅰ)
3网络系统实现技术
31网络协议
·商用网络协议(SNA/APPN、IPX/SPX、Apple、Talk、TCP/IP、IPv6) (Ⅰ)
·应用协议(XML、CORBA、COM/DCOM、EJB) (Ⅰ)
32可靠性设计
·硬件可靠性技术 (Ⅰ)
·软件可靠性技术 (Ⅰ)
·容错技术 (Ⅰ)
·通信质量 (Ⅰ)
33网络设施
331接入技术
·ADSL Modem的连接和配置 (Ⅱ)
·帧中继接入 (Ⅱ)
·FTTx+LAN (Ⅱ)
·PPP (Ⅱ)
332交换机的配置
·设备选型(端口类型、包转发率pps、背板带宽、机架插槽、支持的协议) (Ⅲ)
·核心层、汇聚层和接入层 (Ⅲ)
·三层交换机、MPLS (Ⅲ)
·级连和堆叠 (Ⅲ)
·命令行接口 (Ⅲ)
·Web方式访问交换机和路由器 (Ⅲ)
·静态和动态VALN (Ⅲ)
·VLAN中继协议和VTP修剪,VTP服务器 (Ⅲ)
·DTP(Dynamic Trunk Protocol)协议和中继链路的配置 (Ⅲ)
·生成树协议(STP)和快速生成树协议(RSTP) (Ⅲ)
·STP的负载均衡 (Ⅲ)
333路由器的配置
·静态路由的配置和验证 (Ⅲ)
·单臂路由器的配置 (Ⅲ)
·RIP协议的配置 (Ⅲ)
·静态地址转换和动态地址转换、端口转换 (Ⅲ)
·终端服务器的配置 (Ⅲ)
·单区域/多区域OSPF协议的配置 (Ⅲ)
·不等量负载均衡 (Ⅲ)
·广域网接入、DSU/DCU (Ⅱ)
·ISDN接入 (Ⅰ)
·PPP协议和按需拨号路由(DDR)的配置 (Ⅱ)
·帧中继接入的配置 (Ⅱ)
334访问控制列表
·标准ACL (Ⅲ)
·扩展ACL (Ⅱ)
·ACL的验证和部署 (Ⅲ)
335虚拟专用网的配置
·IPSec协议 (Ⅲ)
·IKE策略 (Ⅲ)
·IPSec策略 (Ⅲ)
·ACL与IPSec兼容 (Ⅲ)
·IPSec的验证 (Ⅱ)
34网络管理与网络服务
341 IP网络的实现
·拓扑结构与传输介质 (Ⅲ)
·IP地址和子网掩码、动态分配和静态分配 (Ⅲ)
·VLSM、CIDR、NAPT (Ⅲ)
·IPv4和IPv6双协议站 (Ⅱ)
·IPv6的过渡技术(GRE隧道、6to4隧道、NAT-PT)(Ⅱ)
·DHCP服务器的配置(Windows、Linux)(Ⅲ)
342网络系统管理
·网络管理命令(ping、ipconfig、winipcfg、netstat、arp、tracert、nslookup)(Ⅱ)
·Windows终端服务与远程管理 (Ⅱ)
343 DNS
·URL和域名解析 (Ⅱ)
·DNS服务器的配置(Windows)(Ⅲ)
·Linux BIND配置 (Ⅱ)
344 E-mail
·电子邮件服务器配置(Windows)(Ⅲ)
·电子邮件的安全配置 (Ⅱ)
·Linux SendMail服务器配置 (Ⅱ)
345 WWW
·虚拟主机 (Ⅲ)
·Windows Web服务器配置 (Ⅲ)
·Linux Apache 服务器配置 (Ⅲ)
·WWW服务器的安全配置 (Ⅱ)
346代理服务器
·Windows代理服务器的配置 (Ⅲ)
·Linux Squid服务器的配置 (Ⅱ)
·Samba服务器配置 (Ⅱ)
347 FTP服务器
·FTP服务器的访问(Ⅲ)
·FTP服务器的配置(Ⅲ)
·NFS服务器的配置(Ⅱ)
348网络服务
·因特网广播、电子商务、电子政务 (Ⅰ)
·主机服务提供者、数据中心 (Ⅰ)
35网络安全
351访问控制与防火墙
·Windows活动目录安全策略的配置 (Ⅱ)
·ACL命令和过滤规则 (Ⅱ)
·防火墙配置 (Ⅱ)
352 ***配置
·IPSec和SSL (Ⅱ)
353 PGP (Ⅰ)
354病毒防护
·病毒的种类 (Ⅱ)
·ARP欺骗 (Ⅲ)
·木马攻击的原理,控制端和服务端 (Ⅲ)
4网络新技术
41光纤网
·无源光纤网PON(APON、EPON) (Ⅰ)
42无线网
·移动电话系统(WCDMA、CDMA2000、TD-SCDMA) (Ⅰ)
·无线接入(LMDS、MMDS) (Ⅰ)
·蓝牙接入 (Ⅰ)
43主干网
·IP over SONET/SDH (Ⅰ)
·IP over Optical (Ⅰ)
·IP over DWDM (Ⅰ)
·IP over ATM (Ⅰ)
44网络管理
·通信管理网络TMN (Ⅰ)
·基于CORBA的网络管理 (Ⅰ)
45网络存储
·RAID (Ⅱ)
·DAS (Direct Attached Storage) (Ⅰ)
·SAN (Storage Area Network)、iSCSI、FC SAN、IP SAN (Ⅰ)
·NAS (Network Attached Storage)、网络数据管理协议NDMP (Ⅰ)
·系统容灾和恢复 (Ⅰ)
46网络应用
·Web服务(WSDL、SOAP、UDDI) (Ⅰ)
·Web 20、P2P (Ⅰ)
·网络虚拟存储 (Ⅰ)
·网格计算 (Ⅰ)
·IPv6新业务 (Ⅰ) ;
0条评论