软考系统分析师计算机网络与网络安全知识梳理一、计算机网络核心知识1. 网络体系结构必考1OSI七层模型 vs TCP/IP四层模型OSI七层模型核心功能典型协议网络设备数据单位应用层为应用程序提供网络服务HTTP、FTP、SMTP、DNS、DHCP网关报文表示层数据加密、压缩、格式转换SSL/TLS、JPEG、ASCII-报文会话层建立、管理、终止会话RPC、SQL、NFS-报文传输层端到端可靠传输、流量控制TCP可靠、UDP高效四层交换机段网络层路由选择、寻址、拥塞控制IPv4/IPv6、ICMP、ARP、OSPF、BGP路由器、三层交换机包数据链路层帧封装、差错校验、MAC寻址以太网802.3、PPP、HDLC交换机、网桥帧物理层传输原始比特流、电气特性RS-232、1000BASE-T集线器、中继器比特TCP/IP四层应用层、传输层、网际层IP层、网络接口层2封装与解封装发送方自上而下逐层封装加头部接收方自下而上逐层解封装拆头部2. 网络分类与拓扑按覆盖范围LAN局域网小范围、高速、低延迟办公室/校园MAN城域网城市级WAN广域网跨区域、运营商线路、延迟高拓扑结构星型主流交换机为中心、总线型、环型、网状型高可靠3. 传输层核心协议TCP vs UDPTCP传输控制协议面向连接、可靠传输、三次握手、四次挥手流量控制滑动窗口、拥塞控制、差错重传适用HTTP、FTP、SMTP、数据库连接UDP用户数据报协议无连接、不可靠、速度快、开销小适用视频直播、DNS查询、在线游戏4. 网络层与IP技术1IPv4地址32位点分十进制如192.168.1.1分类A1-126、B128-191、C192-223类子网划分CIDR如/24255.255.255.0、/2732个地址特殊地址127.0.0.1本地回环、0.0.0.0任意地址、255.255.255.255广播2IPv6128位冒分十六进制解决地址枯竭自动配置、内置安全IPSec、更大包头、简化路由3核心协议ARPIP→MAC地址解析ICMP网络控制与差错ping命令DHCP自动分配IP地址DNS域名→IP解析5. 局域网与网络设备以太网802.3CSMA/CD载波监听/冲突检测VLAN虚拟局域网隔离广播域、安全、灵活组网交换机二层转发、MAC地址学习路由器三层转发、跨网段通信、NAT、ACL6. 广域网与接入技术PPP点对点协议拨号、专线MPLS多协议标签交换VPN、高速骨干SD-WAN软件定义广域网智能选路、低成本xDSL、光纤、5G主流接入方式7. 网络性能指标带宽理论速率、吞吐量实际速率延迟发送传播处理排队抖动延迟变化、丢包率二、网络安全核心知识1. 安全基本属性CIA三元组机密性防泄露加密完整性防篡改摘要、签名可用性防拒绝服务DDoS防护扩展真实性、不可否认性、可追溯性2. 加密技术高频1对称加密共享密钥特点加解密同密钥、速度快、密钥分发难算法AES主流、DES、3DES、RC4场景大数据量传输、文件加密2非对称加密公钥/私钥特点公钥公开、私钥保密、速度慢、安全分发算法RSA、ECC、SM2原理公钥加密→私钥解密私钥签名→公钥验证3信息摘要哈希单向、固定长度、不可逆算法SHA-256、MD5已不安全用途完整性校验、数字签名4组合技术数字签名私钥加密摘要 → 防篡改防抵赖数字信封对称密钥加密数据 公钥加密对称密钥PGP邮件安全对称非对称摘要3. 身份认证与访问控制1认证方式口令认证弱、动态令牌TOTP、生物特征指纹/虹膜、数字证书PKI2PKI公钥基础设施组件CA认证中心、RA注册、证书、CRL吊销列表作用管理公钥生命周期、身份认证、不可否认3访问控制模型DAC自主用户自主授权MAC强制系统强制安全标签RBAC基于角色按角色分配权限企业主流ABAC基于属性灵活属性判断4. 网络边界安全案例重点1防火墙核心边界防护技术包过滤、状态检测、应用代理WAF部署模式双宿主主机、屏蔽主机、屏蔽子网DMZ最安全功能访问控制、NAT、日志、流量控制局限无法防内部攻击、应用层漏洞、加密流量2VPN虚拟专用网技术IPSec站点-站点、SSL远程访问、GRE作用公网加密隧道、安全远程访问3IDS vs IPSIDS入侵检测旁路监听、告警、不阻断IPS入侵防御串联部署、实时阻断攻击检测特征库、异常行为、协议分析5. 常见网络攻击与防范攻击类型原理防范技术DDoS流量洪峰耗尽资源流量清洗、黑洞路由、WAF/IPSSQL注入构造恶意SQL输入验证、参数化查询、WAFXSS跨站脚本注入恶意脚本输出编码、HttpOnly、WAFCSRF伪造用户请求令牌验证、Referer检查ARP欺骗伪造MAC-IP映射静态ARP、ARP防火墙、端口安全中间人攻击窃听/篡改通信SSL/TLS、数字证书、IPSec6. 无线安全WEP极不安全易破解WPA/WPA2TKIP/AES主流WPA3最新更强安全防范强密码、关闭WPS、MAC过滤、802.1X认证7. 安全协议SSL/TLSWeb安全HTTPSIPSec网络层VPNKerberos域内统一认证Windows域SSH安全远程登录替代Telnet8. 网络安全架构纵深防御物理安全机房、门禁、监控网络安全防火墙、VPN、IDS/IPS、VLAN隔离主机安全系统加固、补丁、杀毒、EDR应用安全WAF、代码审计、权限控制数据安全加密存储、脱敏、备份恢复三、系统分析师高频考点与应试技巧1. 高频考点OSI/TCP/IP分层、协议对应、设备定位TCP三次握手、UDP适用场景子网划分、VLSM/CIDR计算对称/非对称加密、数字签名、PKI原理防火墙类型、VPN技术、IDS/IPS区别常见攻击DDoS、SQL注入、XSS与防范网络规划设计分层、安全域、DMZ部署2. 案例题答题要点网络设计核心层-汇聚层-接入层、VLAN规划、路由选择安全方案边界防火墙DMZ、内部IDS/IPS、远程SSL VPN、数据加密故障排查分层排查物理→链路→网络→传输→应用3. 记忆方法分层记忆按OSI七层从上到下记协议/设备/功能对比记忆TCP vs UDP、对称 vs 非对称、IDS vs IPS、防火墙模式场景匹配协议/技术对应典型应用场景