网络安全体系结构及协议

1、第2章网络平安体系构造及协议 本章要点了解计算机网络协议的根底知识。了解OSI模型及平安体系构造。了解TCP/IP模型及平安体系构造。掌握常用的网络协议和常用命令。掌握协议分析工具Sniffer的运用方法。.2.1 计算机网络协议概述网络协议及相关概念网络协议是通讯双方共同遵守的规那么和商定的集合。网络协议包括三个要素：语法规定了信息的构造和格式；语义阐明信息要表达的内容；同步规那么涉及双方的交互关系和事件顺序。整个计算机网络的实现表达为协议的实现。为了保证网络的各个功能的相对独立性，以及便于实现和维护，通常将协议划分为多个子协议，并且让这些协议坚持一种层次构造，子协议的集合通常称为协议簇。.

2、2.1.1 网络协议无论是面对面还是经过网络进展的一切通讯都要遵守预先确定的规那么，即协议。这些协议由会话的特性决议。在日常的个人通讯中，经过一种介质如线通讯时采用的规那么不一定与运用另一种介质如邮寄信件时的协议一样。 网络中不同主机之间的胜利通讯需求在许多不同协议之间进展交互。执行某种通讯功能所需的一组内在相关协议称为协议簇。这些协议经过加载到各台主机和网络设备中的软件和硬件执行。 .网络协议簇阐明了以下过程。1音讯的格式或构造。2网络设备共享通往其他网络的通道信息的方法。3设备之间传送错误音讯和系统音讯的方式与时间。4数据传输会话的建立和终止。 .2.1.2 协议簇和行业规范组成协议簇的许

3、多协议通常都要参考其他广泛采用的协议或行业规范。规范是指曾经遭到网络行业认可并经过电气电子工程师协会IEEE 或 Internet 工程义务组IETF 之类规范化组织同意的流程或协议。 在协议的开发和实现过程中运用规范可以确保来自不同制造商的产品协同任务，从而获得有效的通讯。假设某家制造商没有严厉遵守协议，其设备或软件能够就无法与其他制造商消费的产品胜利通讯。 .2.1.3 协议的交互1运用程序协议2传输协议 3网间协议4网络访问协议.2.1.4 技术无关协议网络协议描画的是网络通讯期间实现的功能。在面对面交谈的例如中，通讯的一项协议能够会规定，为了发出交谈终了的信号，发言者必需坚持沉默两秒钟

4、。但是，这项协议并没有规定发言者在这两秒钟内应该如何坚持沉默。协议通常都不会阐明如何实现特定的功能。经过仅仅阐明特定通讯规那么所需求的功能是什么，而并不规定这些规那么应该如何实现，特定协议的实现就可以与技术无关。.2.2 OSI参考模型及其平安体系2.2.1 计算机网络体系构造要笼统地显示各种协议之间的交互，通常会运用分层模型。分层模型笼统地阐明了各层内协议的任务方式及其与上下层之间的交互。 .协议分层的益处：网络协议的分层有利于将复杂的问题分解成多个简单的问题，从而分而治之；分层有利于网络的互联，进展协议转换时能够只涉及某一个或几个层次而不是一切层次；分层可以屏蔽下层的变化，新的底层技术的引

5、入，不会对上层的运用协议产生影响。协议的实现要落实到一个个详细的硬件模块和软件模块上，在网络中将这些实现特定功能的模块称为实体Entity。如图2-2所示，两个结点之间的通讯表达为两个结点对等层结点A的N+1层与结点B的N+1层之间服从本层协议的通讯。.各层的协议由各层的实体实现，通讯双方对等层中完成一样协议功能的实体称为对等实体。对等实体按协议进展通讯，所以协议反映的是对等层的对等实体之间的一种横向关系，严厉地说，协议是对等实体共同遵守的规那么和商定的集合。协议中的格式和语义只需对等实体可以了解。 .对等实体之间数据单元在发送方逐层封装，在接纳方的逐层解封装。发送方N层实体从N+1层实体得到

6、的数据包称为效力数据单元Service Data Unit，SDU。N层实体只将其视为需求本实体提供效力的数据，将效力数据单元进展封装，使其成为一个对方可以了解的协议数据单元Protocol Data Unit，PDU，封装过程实践上是为SDU添加对等实体间商定的协议控制信息Protocol Control Information，PCI的过程。.2.2.2 OSI参考模型简介1OSI参考模型的层次构造1物理层 2数据链路层 3网络层 4传输层 5会话层 6表示层 7运用层 .网络划分为资源子网和通讯子网，如图2-3所示。通讯子网由通讯设备和线路构成，资源子网由主机和其他末端系统构成。交换结点

7、属于通讯子网，访问结点属于资源子网。由于主机也具有通讯功能，所以严厉地讲，主机中担任底层通讯的部分也应该属于通讯子网。 .20世纪70年代出现了多种网络体系构造。针对这一问题，国际规范化组织ISO提出了著名的开放系统互连参考模型ISO/OSI-RM。OSI采用了如图2-4所示的七层参考模型。 .1 物理层Physical Layer 物理层包括物理连网媒介，实践上就是布线、光纤、网卡和其它用来把两台网络通讯设备衔接在一同的东西。它规定了激活、维持、封锁通讯端点之间的机械特性、电气特性、功能特性以及过程特性。虽然物理层不提供纠错效力，但它可以设定数据传输速率并监测数据出错率。 物理层定义的规范包

8、括：EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。 .2 数据链路层Datalink Layer 数据链路层主要作用是控制网络层与物理层之间的通讯。它保证了数据在不可靠的物理线路上进展可靠的传送。它把从网络层接纳到的数据分割成特定的可被物理层传输的帧，保证了传输的可靠性。它的主要作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。它是独立于网络层和物理层的，任务时无需关怀计算机能否正在运转软件还是其他操作。 数据链路层协议的代表包括：SDLC、HDLC、PPP、STP、帧中继等。 .3 网络层Network Layer 很多用户经常混淆2层和

9、3层的相关问题，简单来说，假设他在议论一个与IP地址、路由协议或地址解析协议ARP相关的问题，那么这就是第三层的问题。网络层担任对子网间的数据包进展路由选择，它经过综合思索发送优先权、网络拥塞程度、效力质量以及可选路由的破费来决议从一个网络中两个节点的最正确途径。另外，它还可以实现拥塞控制、网际互连等功能。网络层协议的代表包括：IP、IPX、RIP、OSPF等 .4 传输层 (Transport layer)传输层是OSI模型中最重要的一层，它是两台计算机经过网络进展数据通讯时,第一个端到端的层次，起到缓冲作用。当网络层的效力质量不能满足要求时，它将提高效力，以满足高层的要求；而当网络层效力质

10、量较好时，它只需进展很少的任务。另外，它还要处置端到端的过失控制和流量控制等问题，最终为会话提供可靠的,无误的数据传输。 传输层协议的代表包括：TCP、UDP、SPX等。 .5 会话层(Session layer)会话层担任在网络中的两节点之间建立和维持通讯，并坚持会话获得同步，它还决议通讯能否被中断以及通讯中断时决议从何处重新发送。 .6 表示层(Prisentation layer)表示层的作用是管理数据的解密与加密，如常见的系统口令处置，当他的账户数据在发送前被加密，在网络的另一端，表示层将对接纳到的数据解密。另外，表示层还需对图片和文件格式信息进展解码和编码。 .7 运用层applic

11、ation layer 简单来说，运用层就是为操作系统或网络运用程序提供访问网络效力的接口，包括文件传输、文件管理以及电子邮件等的信息处置。运用层协议的代表包括：Telnet、FTP、SNMP等。.恋爱和OSI model七层起初只是近间隔地点对点无线收发爱的信号，乃物理层； 然后就是经过某个媒体比如一支花、一本书将信号传输，乃数据链路层； 开场有选择地分组分割发送和装配接纳爱的信号，选择最正确的传送途径，乃网络层； 拖手和接吻可谓传输层，确保信号顺利地传送到目的地； 甜言蜜语与鸿雁往来属于会话层，包括名字查找和平安防护； 订婚归于表示层，将信号格式转换进展爱的解释并加以稳定； 结婚，当然是运

12、用层，由于它提供了一切运用程序的直接支持。.2.2.3 ISO/OSI平安体系 1平安效力1认证效力2访问控制 3数据性效力 4数据完好性效力5抗否认效力.1对象认证平安效力：用于识别对象的身份和对身份的证明。OSI环境可提供对等实体认证和信源认证等平安效力。对等实体认证是用来验证在某一关联的实体中，对等实体的声称是一致的，它可以确认对等实体没有冒充身份；而信源认证是用于验证所收到的数据来源与所声称的来源能否一致，它不提供防止数据中途被修正的功能。2访问控制平安效力：提供对越权运用资源的防御措施。访问控制可分为自主访问控制、强迫型访问控制、基于角色的访问控制，。实现机制可以是基于访问控制属性的

13、访问控制表、基于平安标签或用户和资源分档的多级访问控制等 .3数据严密性平安效力：它是针对信息走漏而采取的防御措施，可分为信息严密、选择段严密和业务流严密。它的根底是数据加密机制的选择。4数据完好性平安效力：防止非法篡改信息，如修正、复制、插入和删除等。它有5种方式：可恢复衔接完好性、无恢复衔接完好性、选择字段衔接完好性、无衔接完好性和选择字段无衔接完好性。5防抵赖性平安效力：是针对对方抵赖的防备措施，用来证明发生过的操作，它可分为对发送防抵赖、对递交防抵赖和进展公证。 .2平安机制1加密机制 2数字签名机制3访问控制 4数据完好性 5鉴别交换机制 6通讯流量填充机制 7路由选择控制机制 8公

14、证机制 .1加密机制：借助各种加密算法对存放的数据和流通中的信息进展加密。DES算法已经过硬件实现，效率非常高。2数字签名：采用公钥体制，运用私钥进展数字签名，运用公钥对签名信息进展证明。3访问控制机制：根据访问者的身份和有关信息，决议实体的访问权限。4数据完好性机制：判别信息在传输过程中能否被篡矫正，与加密机制有关。5认证交换机制：用来实现同级之间的认证。.6防业务流量分析机制：经过填充冗余的业务流量来防止攻击者对流量进展分析，填充过的流量需经过加密进展维护。7路由控制机制：防止不利的信息经过路由。目前典型的运用为网络层防火墙。8公证机制：由公证人第三方参与数字签名，它基于通讯双方对第三者都

15、绝对置信。目前，因特网上有许多向用户提供此机制的效力。.3平安管理为了更有效地运用平安效力，需求有其他措施来支持它们的操作，这些措施即为平安管理。平安管理是对平安效力和平安机制进展管理，把管理信息分配到有关的平安效力和平安机制中去，并搜集与它们的操作有关的信息。分为 系统平安管理 平安效力管理 平安机制管理4平安层次.因特网协议通常又称为TCP/IP协议。2.3 TCP/IP参考模型及其平安体系.前往网络接口层实践上包含OSI模型的物理层和链路层，TCP/IP并未对这两层进展定义，它支持现有的各种底层网络技术和规范。该层涉及操作系统中的设备驱动程序和网络接口卡。网络层又称为互联网层或IP层，该

16、层处置IP数据报的传输、路由选择、流量控制和拥塞控制。传输层为两台主机上的运用程序提供端到端的通讯。TCP/IP的传输层包含传输控制协议TCP和用户数据报协议UDP。运用层为用户提供一些常用的运用程序，TCP/IP给出了运用层的一些常用协议规范。.开放系统互连参考模型与TCP/IP的关系 国际规范化组织的开放系统互连模型与TCP/IP协议层次的对应关系如图2-16所示。.除了层次构造方面的差别外，ISO/OSI与TCP/IP还存在如表2-2所列的差别。 前往.TCP/IP是一个协议簇，其构成如图2-17所示。TCP/IP协议簇 .各协议模块之间的关系留意两点：一是运用进程可以直接与网络层的模块打交道一个下层模块要和多个上层模块进展交互。.2.3.2 TCP/IP参考模型的平安体系1网络接入层平安2Internet层平安3传输层平安4运用层平安.2.4 常用网络协议和效力 2.4.1 常用网络协议1IP2TCP3UDP2.4.2 常用网络效力1活动目录2WWW效力3电子邮件 4Telnet5FTP6DNS.2.5 Windows常用的网络命令2.5.1 ping命令2.5.2 at命令2.5.3 netstat命令2.5.4 tracert命令2.5.5 net命令2.5.6 ftp命令2.5.7 nb