1、第2章網絡平安體系構造及協議 本章要點了解計算機網絡協議的根底知識。了解OSI模型及平安體系構造。了解TCP/IP模型及平安體系構造。掌握常用的網絡協議和常用命令。掌握協議分析工具Sniffer的運用方法。.2.1 計算機網絡協議概述網絡協議及相關概念網絡協議是通訊雙方共同遵守的規那么和商定的集合。網絡協議包括三個要素：語法規定了信息的構造和格式；語義闡明信息要表達的內容；同步規那么涉及雙方的交互關系和事件順序。整個計算機網絡的實現表達為協議的實現。為了保證網絡的各個功能的相對獨立性，以及便于實現和維護，通常將協議劃分為多個子協議，并且讓這些協議堅持一種層次構造，子協議的集合通常稱為協議簇。.

2、2.1.1 網絡協議無論是面對面還是經過網絡進展的一切通訊都要遵守預先確定的規那么，即協議。這些協議由會話的特性決議。在日常的個人通訊中，經過一種介質如線通訊時采用的規那么不一定與運用另一種介質如郵寄信件時的協議一樣。 網絡中不同主機之間的勝利通訊需求在許多不同協議之間進展交互。執行某種通訊功能所需的一組內在相關協議稱為協議簇。這些協議經過加載到各臺主機和網絡設備中的軟件和硬件執行。 .網絡協議簇闡明了以下過程。1音訊的格式或構造。2網絡設備共享通往其他網絡的通道信息的方法。3設備之間傳送錯誤音訊和系統音訊的方式與時間。4數據傳輸會話的建立和終止。 .2.1.2 協議簇和行業規范組成協議簇的許

3、多協議通常都要參考其他廣泛采用的協議或行業規范。規范是指曾經遭到網絡行業認可并經過電氣電子工程師協會IEEE 或 Internet 工程義務組IETF 之類規范化組織同意的流程或協議。 在協議的開發和實現過程中運用規范可以確保來自不同制造商的產品協同任務，從而獲得有效的通訊。假設某家制造商沒有嚴厲遵守協議，其設備或軟件能夠就無法與其他制造商消費的產品勝利通訊。 .2.1.3 協議的交互1運用程序協議2傳輸協議 3網間協議4網絡訪問協議.2.1.4 技術無關協議網絡協議描畫的是網絡通訊期間實現的功能。在面對面交談的例如中，通訊的一項協議能夠會規定，為了發出交談終了的信號，發言者必需堅持沉默兩秒鐘

4、。但是，這項協議并沒有規定發言者在這兩秒鐘內應該如何堅持沉默。協議通常都不會闡明如何實現特定的功能。經過僅僅闡明特定通訊規那么所需求的功能是什么，而并不規定這些規那么應該如何實現，特定協議的實現就可以與技術無關。.2.2 OSI參考模型及其平安體系2.2.1 計算機網絡體系構造要籠統地顯示各種協議之間的交互，通常會運用分層模型。分層模型籠統地闡明了各層內協議的任務方式及其與上下層之間的交互。 .協議分層的益處：網絡協議的分層有利于將復雜的問題分解成多個簡單的問題，從而分而治之；分層有利于網絡的互聯，進展協議轉換時能夠只涉及某一個或幾個層次而不是一切層次；分層可以屏蔽下層的變化，新的底層技術的引

5、入，不會對上層的運用協議產生影響。協議的實現要落實到一個個詳細的硬件模塊和軟件模塊上，在網絡中將這些實現特定功能的模塊稱為實體Entity。如圖2-2所示，兩個結點之間的通訊表達為兩個結點對等層結點A的N+1層與結點B的N+1層之間服從本層協議的通訊。.各層的協議由各層的實體實現，通訊雙方對等層中完成一樣協議功能的實體稱為對等實體。對等實體按協議進展通訊，所以協議反映的是對等層的對等實體之間的一種橫向關系，嚴厲地說，協議是對等實體共同遵守的規那么和商定的集合。協議中的格式和語義只需對等實體可以了解。 .對等實體之間數據單元在發送方逐層封裝，在接納方的逐層解封裝。發送方N層實體從N+1層實體得到

6、的數據包稱為效力數據單元Service Data Unit，SDU。N層實體只將其視為需求本實體提供效力的數據，將效力數據單元進展封裝，使其成為一個對方可以了解的協議數據單元Protocol Data Unit，PDU，封裝過程實踐上是為SDU添加對等實體間商定的協議控制信息Protocol Control Information，PCI的過程。.2.2.2 OSI參考模型簡介1OSI參考模型的層次構造1物理層 2數據鏈路層 3網絡層 4傳輸層 5會話層 6表示層 7運用層 .網絡劃分為資源子網和通訊子網，如圖2-3所示。通訊子網由通訊設備和線路構成，資源子網由主機和其他末端系統構成。交換結點

7、屬于通訊子網，訪問結點屬于資源子網。由于主機也具有通訊功能，所以嚴厲地講，主機中擔任底層通訊的部分也應該屬于通訊子網。 .20世紀70年代出現了多種網絡體系構造。針對這一問題，國際規范化組織ISO提出了著名的開放系統互連參考模型ISO/OSI-RM。OSI采用了如圖2-4所示的七層參考模型。 .1 物理層Physical Layer 物理層包括物理連網媒介，實踐上就是布線、光纖、網卡和其它用來把兩臺網絡通訊設備銜接在一同的東西。它規定了激活、維持、封鎖通訊端點之間的機械特性、電氣特性、功能特性以及過程特性。雖然物理層不提供糾錯效力，但它可以設定數據傳輸速率并監測數據出錯率。 物理層定義的規范包

8、括：EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。 .2 數據鏈路層Datalink Layer 數據鏈路層主要作用是控制網絡層與物理層之間的通訊。它保證了數據在不可靠的物理線路上進展可靠的傳送。它把從網絡層接納到的數據分割成特定的可被物理層傳輸的幀，保證了傳輸的可靠性。它的主要作用包括：物理地址尋址、數據的成幀、流量控制、數據的檢錯、重發等。它是獨立于網絡層和物理層的，任務時無需關懷計算機能否正在運轉軟件還是其他操作。 數據鏈路層協議的代表包括：SDLC、HDLC、PPP、STP、幀中繼等。 .3 網絡層Network Layer 很多用戶經常混淆2層和

9、3層的相關問題，簡單來說，假設他在議論一個與IP地址、路由協議或地址解析協議ARP相關的問題，那么這就是第三層的問題。網絡層擔任對子網間的數據包進展路由選擇，它經過綜合思索發送優先權、網絡擁塞程度、效力質量以及可選路由的破費來決議從一個網絡中兩個節點的最正確途徑。另外，它還可以實現擁塞控制、網際互連等功能。網絡層協議的代表包括：IP、IPX、RIP、OSPF等 .4 傳輸層 (Transport layer)傳輸層是OSI模型中最重要的一層，它是兩臺計算機經過網絡進展數據通訊時,第一個端到端的層次，起到緩沖作用。當網絡層的效力質量不能滿足要求時，它將提高效力，以滿足高層的要求；而當網絡層效力質

10、量較好時，它只需進展很少的任務。另外，它還要處置端到端的過失控制和流量控制等問題，最終為會話提供可靠的,無誤的數據傳輸。 傳輸層協議的代表包括：TCP、UDP、SPX等。 .5 會話層(Session layer)會話層擔任在網絡中的兩節點之間建立和維持通訊，并堅持會話獲得同步，它還決議通訊能否被中斷以及通訊中斷時決議從何處重新發送。 .6 表示層(Prisentation layer)表示層的作用是管理數據的解密與加密，如常見的系統口令處置，當他的賬戶數據在發送前被加密，在網絡的另一端，表示層將對接納到的數據解密。另外，表示層還需對圖片和文件格式信息進展解碼和編碼。 .7 運用層applic

11、ation layer 簡單來說，運用層就是為操作系統或網絡運用程序提供訪問網絡效力的接口，包括文件傳輸、文件管理以及電子郵件等的信息處置。運用層協議的代表包括：Telnet、FTP、SNMP等。.戀愛和OSI model七層起初只是近間隔地點對點無線收發愛的信號，乃物理層； 然后就是經過某個媒體比如一支花、一本書將信號傳輸，乃數據鏈路層； 開場有選擇地分組分割發送和裝配接納愛的信號，選擇最正確的傳送途徑，乃網絡層； 拖手和接吻可謂傳輸層，確保信號順利地傳送到目的地； 甜言蜜語與鴻雁往來屬于會話層，包括名字查找和平安防護； 訂婚歸于表示層，將信號格式轉換進展愛的解釋并加以穩定； 結婚，當然是運

12、用層，由于它提供了一切運用程序的直接支持。.2.2.3 ISO/OSI平安體系 1平安效力1認證效力2訪問控制 3數據性效力 4數據完好性效力5抗否認效力.1對象認證平安效力：用于識別對象的身份和對身份的證明。OSI環境可提供對等實體認證和信源認證等平安效力。對等實體認證是用來驗證在某一關聯的實體中，對等實體的聲稱是一致的，它可以確認對等實體沒有冒充身份；而信源認證是用于驗證所收到的數據來源與所聲稱的來源能否一致，它不提供防止數據中途被修正的功能。2訪問控制平安效力：提供對越權運用資源的防御措施。訪問控制可分為自主訪問控制、強迫型訪問控制、基于角色的訪問控制，。實現機制可以是基于訪問控制屬性的

13、訪問控制表、基于平安標簽或用戶和資源分檔的多級訪問控制等 .3數據嚴密性平安效力：它是針對信息走漏而采取的防御措施，可分為信息嚴密、選擇段嚴密和業務流嚴密。它的根底是數據加密機制的選擇。4數據完好性平安效力：防止非法篡改信息，如修正、復制、插入和刪除等。它有5種方式：可恢復銜接完好性、無恢復銜接完好性、選擇字段銜接完好性、無銜接完好性和選擇字段無銜接完好性。5防抵賴性平安效力：是針對對方抵賴的防備措施，用來證明發生過的操作，它可分為對發送防抵賴、對遞交防抵賴和進展公證。 .2平安機制1加密機制 2數字簽名機制3訪問控制 4數據完好性 5鑒別交換機制 6通訊流量填充機制 7路由選擇控制機制 8公

14、證機制 .1加密機制：借助各種加密算法對存放的數據和流通中的信息進展加密。DES算法已經過硬件實現，效率非常高。2數字簽名：采用公鑰體制，運用私鑰進展數字簽名，運用公鑰對簽名信息進展證明。3訪問控制機制：根據訪問者的身份和有關信息，決議實體的訪問權限。4數據完好性機制：判別信息在傳輸過程中能否被篡矯正，與加密機制有關。5認證交換機制：用來實現同級之間的認證。.6防業務流量分析機制：經過填充冗余的業務流量來防止攻擊者對流量進展分析，填充過的流量需經過加密進展維護。7路由控制機制：防止不利的信息經過路由。目前典型的運用為網絡層防火墻。8公證機制：由公證人第三方參與數字簽名，它基于通訊雙方對第三者都

15、絕對置信。目前，因特網上有許多向用戶提供此機制的效力。.3平安管理為了更有效地運用平安效力，需求有其他措施來支持它們的操作，這些措施即為平安管理。平安管理是對平安效力和平安機制進展管理，把管理信息分配到有關的平安效力和平安機制中去，并搜集與它們的操作有關的信息。分為 系統平安管理 平安效力管理 平安機制管理4平安層次.因特網協議通常又稱為TCP/IP協議。2.3 TCP/IP參考模型及其平安體系.前往網絡接口層實踐上包含OSI模型的物理層和鏈路層，TCP/IP并未對這兩層進展定義，它支持現有的各種底層網絡技術和規范。該層涉及操作系統中的設備驅動程序和網絡接口卡。網絡層又稱為互聯網層或IP層，該

16、層處置IP數據報的傳輸、路由選擇、流量控制和擁塞控制。傳輸層為兩臺主機上的運用程序提供端到端的通訊。TCP/IP的傳輸層包含傳輸控制協議TCP和用戶數據報協議UDP。運用層為用戶提供一些常用的運用程序，TCP/IP給出了運用層的一些常用協議規范。.開放系統互連參考模型與TCP/IP的關系 國際規范化組織的開放系統互連模型與TCP/IP協議層次的對應關系如圖2-16所示。.除了層次構造方面的差別外，ISO/OSI與TCP/IP還存在如表2-2所列的差別。 前往.TCP/IP是一個協議簇，其構成如圖2-17所示。TCP/IP協議簇 .各協議模塊之間的關系留意兩點：一是運用進程可以直接與網絡層的模塊打交道一個下層模塊要和多個上層模塊進展交互。.2.3.2 TCP/IP參考模型的平安體系1網絡接入層平安2Internet層平安3傳輸層平安4運用層平安.2.4 常用網絡協議和效力 2.4.1 常用網絡協議1IP2TCP3UDP2.4.2 常用網絡效力1活動目錄2WWW效力3電子郵件 4Telnet5FTP6DNS.2.5 Windows常用的網絡命令2.5.1 ping命令2.5.2 at命令2.5.3 netstat命令2.5.4 tracert命令2.5.5 net命令2.5.6 ftp命令2.5.7 nb