Cybersecurity

CISP学习指南:网络基础知识

Created   Updated
CISP
  1. 一、TCP/IP协议体系
  2. 二、信息安全威胁分类
  3. 三、IP地址管理
  4. 四、VLAN技术
  5. 五、DDoS攻击参考
  6. 六、总结

网络基础知识是信息安全的重要基础,本文详细介绍TCP/IP协议、威胁分类和IP地址管理等核心概念。

一、TCP/IP协议体系

1.1 TCP/IP协议概述

TCP/IP协议是Internet的基础协议,也是Internet构成的基础。TCP/IP通常被认为是一个四层协议,每一层都使用它的下一层所提供的网络服务来完成自己的功能。

graph TB A["TCP/IP四层模型"] B["应用层
Application Layer"] C["传输层
Transport Layer"] D["网络层
Internet Layer"] E["网络接口层
Network Access Layer"] A --> B B --> C C --> D D --> E B --> B1["HTTP, FTP, SMTP
DNS, Telnet"] C --> C1["TCP, UDP"] D --> D1["IP, ICMP, ARP"] E --> E1["以太网, Wi-Fi
物理传输"] style B fill:#e3f2fd,stroke:#1976d2 style C fill:#e8f5e9,stroke:#388e3d style D fill:#fff3e0,stroke:#f57c00 style E fill:#f3e5f5,stroke:#7b1fa2

💡 TCP/IP是四层协议

四层结构:

  1. 应用层:提供应用程序接口
  2. 传输层:提供端到端通信
  3. 网络层:提供路由和寻址
  4. 网络接口层:提供物理传输

与OSI七层模型的对应:

  • TCP/IP应用层 = OSI应用层 + 表示层 + 会话层
  • TCP/IP传输层 = OSI传输层
  • TCP/IP网络层 = OSI网络层
  • TCP/IP网络接口层 = OSI数据链路层 + 物理层

1.2 TCP/IP各层功能详解

各层功能对比:

层次 名称 主要功能 典型协议 数据单位
第4层 应用层 为应用程序提供网络服务 HTTP, FTP, SMTP, DNS 消息/数据
第3层 传输层 提供端到端的可靠传输 TCP, UDP 段(Segment)
第2层 网络层 路由选择和逻辑寻址 IP, ICMP, ARP 包(Packet)
第1层 网络接口层 物理寻址和数据传输 以太网, Wi-Fi 帧(Frame)

1.3 TCP/IP与OSI模型对比

graph LR subgraph OSI["OSI七层模型"] O7["应用层"] O6["表示层"] O5["会话层"] O4["传输层"] O3["网络层"] O2["数据链路层"] O1["物理层"] end subgraph TCP["TCP/IP四层模型"] T4["应用层"] T3["传输层"] T2["网络层"] T1["网络接口层"] end O7 --> T4 O6 --> T4 O5 --> T4 O4 --> T3 O3 --> T2 O2 --> T1 O1 --> T1 style T4 fill:#e3f2fd,stroke:#1976d2 style T3 fill:#e8f5e9,stroke:#388e3d style T2 fill:#fff3e0,stroke:#f57c00 style T1 fill:#f3e5f5,stroke:#7b1fa2

主要区别:

特征 OSI模型 TCP/IP模型
层数 7层 4层
性质 理论模型 实际应用
开发时间 1970年代后期 1970年代早期
应用范围 教学和理论研究 Internet实际应用
灵活性 较严格 较灵活

二、信息安全威胁分类

2.1 威胁能力层面分类

信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分,这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分。

graph TB A["威胁分类"] B["个人威胁
Individual Threat"] C["组织威胁
Organizational Threat"] D["国家威胁
Nation-State Threat"] A --> B A --> C A --> D B --> B1["娱乐型黑客"] B --> B2["个人恶作剧"] B --> B3["自我挑战"] C --> C1["犯罪团伙"] C --> C2["经济利益"] C --> C3["有组织犯罪"] D --> D1["情报机构"] D --> D2["信息作战部队"] D --> D3["国家级资源"] style B fill:#e8f5e9,stroke:#388e3d style C fill:#fff3e0,stroke:#f57c00 style D fill:#ffcdd2,stroke:#c62828

2.2 三个威胁层面详解

威胁层面对比:

威胁层面 典型攻击者 动机 能力 资源
个人威胁 娱乐型黑客、脚本小子 恶作剧、自我挑战、炫耀 较低 有限
组织威胁 犯罪团伙、黑客组织 经济利益、政治目的 中等到高 较多
国家威胁 情报机构、信息作战部队 情报收集、战略优势 非常高 国家级

💡 威胁层面特征

个人威胁:

  • 动机:娱乐、挑战、炫耀
  • 能力:相对有限
  • 影响:通常较小
  • 例子:脚本小子、业余黑客

组织威胁:

  • 动机:经济利益、政治目的
  • 能力:专业化、组织化
  • 影响:可能造成重大损失
  • 例子:勒索软件团伙、APT组织

国家威胁:

  • 动机:国家安全、战略优势
  • 能力:最高级别
  • 影响:可能影响国家安全
  • 例子:国家情报机构、网络战部队

2.3 威胁应对策略

针对不同威胁层面的防护策略:

graph TB A["威胁应对策略"] B["个人威胁防护"] C["组织威胁防护"] D["国家威胁防护"] A --> B A --> C A --> D B --> B1["基础安全措施"] B --> B2["安全意识培训"] B --> B3["常规监控"] C --> C1["深度防御"] C --> C2["威胁情报"] C --> C3["专业团队"] D --> D1["国家级防护"] D --> D2["战略防御"] D --> D3["多层隔离"] style B fill:#e8f5e9,stroke:#388e3d style C fill:#fff3e0,stroke:#f57c00 style D fill:#ffcdd2,stroke:#c62828

三、IP地址管理

3.1 私有IP地址概述

私有IP地址是一段保留的IP地址,只使用在局域网中,无法在Internet上使用。私有地址在A类、B类和C类地址中都有定义。

graph TB A["IP地址分类"] B["公有IP地址"] C["私有IP地址"] A --> B A --> C B --> B1["可在Internet使用"] B --> B2["全球唯一"] B --> B3["需要申请"] C --> C1["仅局域网使用"] C --> C2["可重复使用"] C --> C3["无需申请"] C --> D["A类私有地址"] C --> E["B类私有地址"] C --> F["C类私有地址"] D --> D1["10.0.0.0/8"] E --> E1["172.16.0.0/12"] F --> F1["192.168.0.0/16"] style B fill:#e3f2fd,stroke:#1976d2 style C fill:#e8f5e9,stroke:#388e3d style D fill:#fff3e0,stroke:#f57c00 style E fill:#fff3e0,stroke:#f57c00 style F fill:#fff3e0,stroke:#f57c00

3.2 私有IP地址范围

三类私有IP地址详解:

类别 地址范围 CIDR表示 地址数量 典型用途
A类 10.0.0.0 - 10.255.255.255 10.0.0.0/8 16,777,216 大型企业网络
B类 172.16.0.0 - 172.31.255.255 172.16.0.0/12 1,048,576 中型企业网络
C类 192.168.0.0 - 192.168.255.255 192.168.0.0/16 65,536 家庭和小型网络

💡 私有IP地址特点

使用范围:

  • 只能在局域网内使用
  • 不能直接在Internet上路由
  • 需要通过NAT访问Internet

优势:

  • 节省公有IP地址资源
  • 提高网络安全性
  • 灵活配置内部网络

三类地址都有私有范围:

  • A类:10.0.0.0/8
  • B类:172.16.0.0/12
  • C类:192.168.0.0/16

3.3 NAT(网络地址转换)

私有IP地址需要通过NAT(Network Address Translation)才能访问Internet。

graph LR A["内网设备
192.168.1.10"] B["NAT路由器
私有IP: 192.168.1.1
公有IP: 203.0.113.5"] C["Internet"] D["目标服务器
93.184.216.34"] A -->|"源: 192.168.1.10
目标: 93.184.216.34"| B B -->|"源: 203.0.113.5
目标: 93.184.216.34"| C C --> D style A fill:#e8f5e9,stroke:#388e3d style B fill:#fff3e0,stroke:#f57c00 style C fill:#e3f2fd,stroke:#1976d2 style D fill:#f3e5f5,stroke:#7b1fa2

NAT的工作原理:

  1. 内网到外网

    • 内网设备使用私有IP发送数据包
    • NAT路由器将源IP替换为公有IP
    • 记录映射关系(端口映射表)
    • 转发到Internet

  2. 外网到内网

    • 接收来自Internet的响应数据包
    • 查找端口映射表
    • 将目标IP替换为私有IP
    • 转发给内网设备

3.4 IP地址分类回顾

传统IP地址分类:

类别 第一字节范围 默认子网掩码 网络数 主机数 用途
A类 1-126 255.0.0.0 126 16,777,214 大型网络
B类 128-191 255.255.0.0 16,384 65,534 中型网络
C类 192-223 255.255.255.0 2,097,152 254 小型网络
D类 224-239 - - - 组播
E类 240-255 - - - 保留

⚠️ 特殊IP地址

保留地址:

  • 127.0.0.0/8:本地回环地址
  • 0.0.0.0:默认路由
  • 255.255.255.255:广播地址

私有地址:

  • 10.0.0.0/8(A类)
  • 172.16.0.0/12(B类)
  • 192.168.0.0/16(C类)

四、VLAN技术

4.1 VLAN概述

虚拟局域网(VLAN,Virtual Local Area Network)是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的技术。

🌐 VLAN的核心作用

VLAN可以将广播流限制在固定区域内,降低网络的带宽消耗,提高网络性能和安全性。

4.2 广播风暴问题

ARP广播问题场景:

graph TB A["计算机A发送ARP请求"] B["交换机1收到请求"] C["转发到所有其他端口"] D["交换机2、3、4、5"] E["所有客户端收到请求"] F["网络带宽消耗"] A --> B B --> C C --> D D --> E E --> F style F fill:#ffcdd2,stroke:#c62828

问题描述:

在基于以太网的通信中:

  • 计算机A需要与计算机B通信
  • A必须先广播"ARP请求信息"获取B的物理地址
  • 交换机收到ARP请求后,会转发给接收端口以外的所有端口
  • ARP请求会被发到网络中的所有客户上
  • 月底用户量大时,网络服务速度极其缓慢

广播风暴的影响:

影响方面 具体表现 严重程度
带宽消耗 大量广播占用带宽 🔴 高
网络性能 响应速度变慢 🔴 高
设备负载 交换机处理压力大 🟡 中
用户体验 服务缓慢甚至中断 🔴 高

4.3 VLAN解决方案

✅ 最佳解决方案:VLAN划分

为降低网络的带宽消耗,将广播流限制在固定区域内,可以采用VLAN划分技术。

VLAN工作原理:

graph TB A["物理网络"] B["VLAN 10
销售部门"] C["VLAN 20
技术部门"] D["VLAN 30
财务部门"] A --> B A --> C A --> D B --> B1["广播域1"] C --> C1["广播域2"] D --> D1["广播域3"] B1 -."隔离".-> C1 C1 -."隔离".-> D1 style B fill:#e3f2fd,stroke:#1976d2 style C fill:#e8f5e9,stroke:#388e3d style D fill:#fff3e0,stroke:#f57c00

VLAN的优势:

  1. 限制广播域

    • 📡 广播只在同一VLAN内传播
    • 🚫 不会跨VLAN传播
    • 💾 大幅降低带宽消耗

  2. 提高安全性

    • 🔒 逻辑隔离不同部门
    • 🛡️ 防止未授权访问
    • 🔐 增强数据保护

  3. 灵活管理

    • 🔄 逻辑划分,不受物理位置限制
    • ⚙️ 易于调整和管理
    • 📊 简化网络架构

  4. 提升性能

    • ⚡ 减少不必要的流量
    • 🎯 优化网络资源利用
    • 📈 提高整体性能

4.4 其他方案对比

各种解决方案对比:

方案 能否解决广播问题 实施难度 成本 推荐度
VLAN划分 ✅ 是 🟢 低 💰 低 ⭐⭐⭐⭐⭐
动态分配地址 ❌ 否 🟢 低 💰 低
修改默认令牌 ❌ 否 🟡 中 💰 低
入侵防御系统 ❌ 否 🔴 高 💰💰💰 高

为什么VLAN是最佳方案:

🎯 VLAN解决广播风暴的原理

VLAN划分的核心作用:

  • 直接解决广播域过大的问题
  • 将广播流量限制在每个VLAN内
  • ARP请求只在同一VLAN内传播
  • 大幅降低网络带宽消耗

实施优势:

  • 配置简单,只需在交换机上设置
  • 成本低,无需额外设备
  • 是网络优化的标准方案
  • 同时提高安全性

其他方案为什么不适合:

动态分配地址(DHCP)

  • DHCP只是自动分配IP地址的协议
  • 不能限制或减少广播域
  • 无法解决ARP广播风暴问题

修改默认令牌

  • 主要用于提高设备安全性
  • 与广播域大小没有关系
  • 不能减少网络广播流量

入侵防御系统(IPS)

  • 用于检测和防御恶意政击
  • 不能限制正常的ARP广播流量
  • 成本高,不适合解决此问题

4.5 VLAN实施要点

VLAN划分策略:

VLAN划分示例(银行网络):
├── VLAN 10:柜台交易系统
├── VLAN 20:ATM网络
├── VLAN 30:办公网络
├── VLAN 40:服务器网络
└── VLAN 99:管理网络

广播域隔离:
- 每个VLAN是独立的广播域
- ARP请求只在本VLAN内广播
- 跨VLAN通信需要通过路由器

实施步骤:

  1. 规划VLAN

    • 根据业务部门划分
    • 根据安全级别划分
    • 考虑未来扩展

  2. 配置交换机

    • 创建VLAN
    • 分配端口到VLAN
    • 配置Trunk端口

  3. 测试验证

    • 验证VLAN隔离
    • 测试跨VLAN通信
    • 监控网络性能

  4. 文档记录

    • VLAN分配表
    • 端口映射表
    • 配置备份

VLAN配置示例:

# 创建VLAN
vlan 10
  name Sales
vlan 20
  name Technical
vlan 30
  name Finance

# 分配端口到VLAN
interface range fa0/1-10
  switchport mode access
  switchport access vlan 10

interface range fa0/11-20
  switchport mode access
  switchport access vlan 20

五、DDoS攻击参考

📖 DDoS攻击详细内容

DDoS攻击的详细说明(攻击类型、防护措施等)请参考: CISP学习指南:网络攻击与安全运营

DDoS攻击核心概念:

  • 目标:破坏系统可用性(Availability)
  • 方式:分布式、大规模流量攻击
  • 影响:服务中断、业务损失

六、总结

网络基础知识的核心要点:

  1. TCP/IP协议:四层协议模型,是Internet的基础
  2. 威胁分类:个人威胁、组织威胁、国家威胁
  3. 私有IP地址:A、B、C类都有私有地址范围
  4. NAT技术:实现私有IP访问Internet
  5. VLAN技术:限制广播域,提高网络性能和安全性
  6. DDoS攻击:破坏系统可用性的典型网络攻击

🎯 关键要点

  • TCP/IP是四层协议,不是七层(OSI是七层)
  • 犯罪团伙属于组织威胁,以经济利益为目的
  • A类、B类和C类地址中都有私有地址
  • 私有地址只能在局域网使用,需要NAT访问Internet
  • 理解不同威胁层面的特征和应对策略

💡 实践建议

  • 正确规划内网IP地址
  • 合理使用私有IP地址
  • 配置NAT实现Internet访问
  • 根据威胁层面制定防护策略
  • 建立分层防御体系
  • 部署DDoS防护措施
  • 定期评估网络安全状况
分享到