网络工程师学习笔记(共11章)-第5部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！



　　（1）IPSEC采用了两种机制：认证头部AH，提前谁和数据完整性；安全内容封装ESP，实现通信保密。1995年8月internet工程领导小组IESG批准了有关IPSP的RFC作为internet标准系列的推荐标准。同时还规定了用安全散列算法SHA来代替MD5和用三元DES代替DES。

　　4、传输层安全性

　　（1）传输层网关在两个通信节点之间代为传递TCP连接并进行控制，这个层次一般称作传输层安全。最常见的传输层安全技术有SSL、SOCKS和安全RPC等。

　　（2）在internet编程中，通常使用广义的进程信IPC机制来同不同层次的安全协议打交道。比较流行的两个IPC编程界面是BSD　Sockets和传输层界面TLI。

　　（3）安全套接层协议SSL

　　在可靠的传输服务TCP/IP基础上建立，SSL版本3，SSLv3于1995年12月制定。SSL采用公钥方式进行身份认证，但是大量数据传输仍然使用对称密钥方式。通过双方协商SSL可以支持多种身份认证、加密和检验算法。

　　SSL协商协议：用来交换版本号、加密算法、身份认证并交换密钥SSLv3提供对Deffie…Hellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Frotezza　chip上的密钥交换机制的支持。

　　SSL记录层协议：它涉及应用程序提供的信息的分段、压缩数据认证和加密SSLv3提供对数据认证用的MD5和SHA以及数据加密用的R4主DES等支持，用来对数据进行认证和加密的密钥可以有通过SSL的握手协议来协商。

　　SSL协商层的工作过程：当客户方与服务方进行通信之前，客户方发出问候；服务方收到问候后，发回一个问候。问候交换完毕后，就确定了双方采用的SSL协议的版本号、会话标志、加密算法集和压缩算法。

　　SSL记录层的工作过程：接收上层的数据，将它们分段；然后用协商层约定的压缩方法进行压缩，压缩后的记录用约定的流加密或块加密方式进行加密，再由传输层发送出去。

　　5、应用层安全性

　　6、WWW应用安全技术

　　（1）解决WWW应用安全的方案需要结合通用的internet安全技术和专门针对WWW的技术。前者主要是指防火墙技术，后者包括根据WWW技术的特点改进HTTP协议或者利用代理服务器、插入件、中间件等技术来实现的安全技术。

　　（2）HTTP目前三个版本：HTTP0。9、HTTP1。0、HTTP1。1。HTTP0。9是最早的版本，它只定义了最基本的简单请求和简单回答；HTTP1。0较完善，也是目前使用广泛的一个版本；HTTP1。1增加了大量的报头域，并对HTTP1。0中没有严格定义的部分作了进一步的说明。

　　（3）HTTP1。1提供了一个基于口令基本认证方法，目前所有的WEB服务器都可以通过〃基本身份认证〃支持访问控制。在身份认证上，针对基本认证方法以明文传输口令这一最大弱点，补充了摘要认证方法，不再传递口令明文，而是将口令经过散列函数变换后传递它的摘要。

　　（4）针对HTTP协议的改进还有安全HTTP协议SHTTP。最新版本的SHTTP1。3它建立在HTTP1。1基础上，提供了数据加密、身份认证、数据完整、防止否认等能力。

　　（5）DEC…Web

　　WAND服务器是支持DCE的专用Web服务器，它可以和三种客户进行通信：第一是设置本地安全代理SLP的普通浏览器。第二种是支持SSL浏览器，这种浏览器向一个安全网关以SSL协议发送请求，SDG再将请求转换成安全RPC调用发给WAND，收到结果后，将其转换成SSL回答，发回到浏览器。第三种是完全没有任何安全机制的普通浏览器，WANS也接受它直接的HTTP请求，但此时通信得不到任何保护。

六、安全服务与安全与机制

　　1、ISO7498…2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制。

　　2、5种可选的安全服务：鉴别、访问控制、数据保密、数据完整性和防止否认。

　　3、8种安全机制：加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制，它们可以在OSI参考模型的适当层次上实施。

　　4、5种普遍性的安全机制：可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。

　　5、信息系统安全评估准则

　　（1）可信计算机系统评估准则TCSEC：是由美国国家计算机安全中心于1983年制订的，又称桔皮书。

　　（2）信息技术安全评估准则ITSEC：由欧洲四国于1989年联合提出的，俗称白皮书。

　　（3）通用安全评估准则com：由美国国家标准技术研究所NIST和国家安全局NSA、欧洲四国以及加拿大等6国7方联合提出的。

　　（4）计算机信息系统安全保护等级划分准则：我国国家质量技术监督局于1999年发布的国家标准。

　　6、可信计算机系统评估准则

　　TCSEC共分为4类7级：D，C1，C2，B1，B2，B3，A1

　　D级，安全保护欠缺级，并不是没有安全保护功能，只是太弱。

　　C1级，自主安全保护级，

　　C2级，受控存取保护级，

　　B1级，结构化保护级

　　B3级，安全域级

　　A1，验证设计级。

　　七、评估增长的安全操作代价

　　为了确定网络的安全策略及解决方案：首先，应该评估风险，即确定侵入破坏的机会和危害的潜在代价；其次，应该评估增长的安全操作代价。

　　安全操作代价主要有以下几点：

　　（1）用户的方便程度

　　（2）管理的复杂性

　　（3）对现有系统的影响

　　（4）对不同平台的支持

第9章　Internet

　　主要内容：1、internet体系结构

　　2、internet连接的方法

　　3、internet地址

　　4、internet域名系统

　　5、internet地址是的扩展

　　一、Internet体系结构

　　1、自治系统：原始的Internet核心体系是在Internet权有一个主干网的那个时期开发的。但是这种体系结构存在以下一些问题：

　　这种体系不能适应互联网扩展到任意数量的网点；

　　许多网点由多个局域网组成，且用多个多路由器互连，由于一个核心路由器在每个网点上与一个网络相连，核心路由器就只知道那个网点中的一个网络的情况；

　　一个大型的互联网是独立的组织管理的网络的互连集合，路由选择体系结构必须为每个组织提供独立的控制路由选择和访问网络的方法，因此必须用一个单一的协议机制来构造一个由许多网点构成的互联网，同时，各个网点又是一个自治系统。

　　二、Internet连接的方法

　　1、将计算机连接到一个局域网，这个局域网的服务器是Internet的一个主机。

　　条件：必须连接到一个与Internet连接的网络，需要网络适配卡和ODI或NDIS驱动程序，还需要在本地计算机上运行TCP/IP，如果是Windows系统还需要Winsock支持。

　　2、利用串行接口协议（SLIP）或点到点协议（PPP），通过电话拨号方式进入一个Internet的主机

　　条件：需要一个调制解调器Modem、TCP/IP软件和SLIP或PPP软件，如果是Windows系统还需要Winsock支持。

　　3、通过电话拨号进入一个提供Internet服务的联机服务系统。

　　条件：需要一个调制解调器Modem、标准的通信软件和一个联机服务帐号。

　　4、用户选择连接方法的考虑因素：联网的目标和需求；用户内部配置的网络基础设施；用户支付Internet联网费用的能力；对Internet安全服务的需求。

　　三、Internet地址

　　在TCP/IP协议中，规定分配给每台主机一个32位数作为该主机IP地址。每个IP地址由两个部分组成，即网络标识netid和主机标识hostid。

　　IP地址的层次结构具有两个重要特性：第一，每台主机分配了一个惟一的地址；第二，网络标识号的分配必须全球统一，但主机标识号可由本地分配，不需要全球一致。

　　1、A类：1。0。0。1至126。255。255。254可能的网络数有126个，主机部分有1677216台（224…2）

　　2、B类：128。0。0。1至191。255。255。254可能的网络数有16384个，主机有65536台

　　3、C类：192。0。0。1至223。255。255。254可能的网络数有2097152个，主机有256台

　　4、D类：用于广播传送至多个目的地址用224…239

　　5、E类：用于保留地址240…255

　　RFC1918将10。0。0。至10。255。255。255、127。16。0。0至172。31。255。255、192。168。0。0至192。168。255。255的地址作为预留地址，用作内部地址，不能直接连接到公共因特网上。

四、Internet地址映射

　　将一台计算机的IP地址映射到物理地址的过程称地址解析。

　　常用的地址解析算法有以下三种：

　　1、查表法：将地址映射关系放在内存中的一些表里，当解析地址时，通过查表得到解析的结果。用于广域网。

　　2、相近形式计算法：通过简单的布尔和算术运算得出映射地址。用于可配置网络。

　　3、消息交换法：计算机通过网络交换信息得到映射地址。用于静态编址。

　　TCP/IP协议组包含一个地址解析协议（ARP）。ARP协议定义了两类基本消息，一类消息是请求消息，另一类是应答消息。

　　五、Internet地址空间的扩展

　　1、IPV6仍然支持无连接传送；允许发送方选择数据报大小；要求发送方指明数据报在到达目的站前的最大跳数。更大的地址空间；灵活的报头格式；增强的选项；支持资源分配；支持协议扩展。

　　2、IPV6的数据报格式：IPV6数据有一个固定的基本报头40字节其后可以允许多个扩展报头，也可以没有扩展报头，扩展报头后是数据。

　　IPV4的数据报格式：包括数据报报头和数据区的部分。报头：版本号、IHL、服务级别、数据单元长度、标识、标记、分段偏移、生命期、用户协议、报头检查和、源地址、目的地址、任选项＋填充、数据。

　　3、该基本报头包含版本号、数据流标记、PAYLOAD长度、下一个报头、跳数极限、源地址、目的地址。

　　4、IPV4与IPV6比较：取消了报头长度字段，数据报长度字段被PAYLOAD长度字段代替；源地址和目的地址字段大小增加为每个字段占16个八位组，128位；分段信息从基本报头的固定字段移动扩展报头；生存时间字段改为跳数极限字段；服务类型字段改为数据流标号字段；协议字段改为指明下一个报头类型字段。

　　5、IPV6有三个基本地址类型，单播地址（unicast）即目的地址指明一台计算机或路由器，数据报选择一条最短的路径到达目的站；群集地址（cluster）即目的站是共享一个网络地址的计算机的集合，数据报选择一条最短路径到达该组，然后传递给该组最近的一个成员；组播地址（multicast）即目的站是一组计算机，它们可以在不同地方，数据报通过硬件组播或广播传递给该组的每一成员。

　　6、对任何地址若开始80位是全零，接着16位是全1或全零，则它的低32位就是一个IPV4地址。

第10章　企业网与Intranet

　　主要内容：1、企业网络计算的组成和管理

　　2、企业网络开放系统集成技术

　　3、intranet定义和要素

　　4、intranet应用和建立

　　一、企业网络计算的背景和挑战

　　企业网是连接企业内部各部门并和企业外界相连，为企业的通信、办公自动化、经营管理、生产销售以及自动控制服务的重要信息基础设施。Intranet是基于TCP/IP协议，使用环球网WWW工具，采用防止外界侵入的安全措施，为企业内部服务，并有连接Intranet功能的企业内部网络。

　　1、驱动企业网络计算的因素：用户需求，这是基本动力；先进和实用的信息技术；迅速变化中的巿场。

　　2、可采用两种模型：一种是可伸缩的模型，即企业网络计算的同样的软件可运行在企业内部的不同平台上；另一种是集成的模型，即企业内部不同平台上的软件的集成。

　　二、企业网络计算的组成和特性

　　1、企业网络计算的组成：客户机/服务器计算；分布式数据库；数据仓库；网络和通信；网络和系统的管理；各种网络应用。

　　2、企业网络计算的特性：支持客户机/服务器计算械；支持管理海量数据的能力和设施；分布数据管理的设施；国际化和本地化；功能强的通信设施；系统的灵活性；分布资源管理；开发工具和开发手段的提供。

　　三、开放系统

　　开放系统：是对一个不断发展的、厂家中立的、用于对整个系统进行有效配置、操作和替换的接口、服务、协议和格式的规范描述的实现，它的应用和组成部件可以用不同厂家的其他相同实现替代。

　　1、开放系统的两个特点：开放系统所采用的规范是厂家中立的，或者是与厂家无关的；开放系统允许不同厂家的产品替换，这种替换包括整个系统其组成部件。

　　2、专用系统：它所采用的规范是专用，而不是厂家中立的；专用系统不允许由不同厂家的产品替换；它的组成部件允许具有许可证的厂家产品替换。

　　3、驱动开放系统发展的因素：功能、可用性、复杂性、价格。

四、企业网络开放系统集成技术

　　1、FRAMWORK是应用程序的开发和运行环境，它实际上是蹭件和操作系统的组合。比较有名的产品有CICS、Windows、UNIX。

　　2、COSE专门制定了自己的开放系统环境规范，主要技术包括用于窗口管理的Motif、标准API接口和用于数据库管理的SQL。

　　3、信息系统与网络计算主要实现网络范围数据管理、通信和网络管理，主要技术有：在数据管理方面有用于数据库间通信的RDA，即远程数据访问；通信服务DCE分布式计算环境，RPC远程过程调用，OSI开放系统互连；管理服务，DME分布管理环境，SNMP简单网络管理协议。

　　五、开放系统环境应用可移植框架

　　六、Intranet的定义和要素

　　1、Intranet是基于Internet　TCP/IP协议，使用的环球网WWW工具、采用防止外界侵入的安全措施、为企业内部服务，并有连接Internet的功能的企业内部网络。

　　2、Intranet的组成：网络、电子邮件、内部环球网、邮件地址清单、新闻组Newsgroups、闲谈Chat、FTP、Telnet、Gopher。

第11章　TCP/IP联网

　　主要内容：1、TCP/IP实现的基本原理

　　2、Windows　NT平台的联网

　　3、UNIX平台的联网及LINUX网络的联网

　　一、TCP/IP实现基本原理

　　1、TCP/IP的实现方式：

　　TSR常驻内存程序是一种安装在Windows之前在DOS上运行的程序。缺点，不能动态分配内存，TSR需要动态链接库DLL帮助，才能让Windows程序访问网络。目前只有在DOS环境下才使用TSR方式

　　DLL动态链接库是一个16位的Windows程序函数库，只有当用到其中的过程时才会被调用。缺点，它们不能直接与网卡通信，它们依赖于Windows的调度程序。

　　VxD虚拟设备是在Windows　32位保护方式下实现的，用于实现一些关键的部分，如视频、鼠标及通信端口驱动程序。它是通过硬件中断方式响应网络中的通信，可以彻底地访问Windwos和DOS程序。

　　2、网络配置基本参数：PC中网络适配卡基本参数，I/O端口地址、内存地址及中断号IRQ。与Microsoft相关的网络信息，主机标识、工作组名、WINS服务器地址、DHCP服务器地址；与TCP/IP网络信息有关，IP地址、子网掩码、主机名、域名、域名服务器、默认网关IP地址。

　　二、Windows　NT平台的TCP/IP联网

　　三、UNIX平台的TCP/IP联网

　　1、建立UNIX联网的几个步骤：设计物理和逻辑的网络结构；分配IP地址；安装网络硬件；为每个主机配置启动时候的网络接口；设立服务程序或者静态路由。

　　2、IP地址的获取和分配：可能通过/etc/hosts文件、DNS或者其他域名系统来实现。

　　3、网卡的配置：ifconfig命令可以设置网卡IP地址、子网掩码、广播地址、网卡的使能状态及其他选项参数。Ifconfig　interface　＇family＇　address　up　option　，其中interface是指定的网卡名，可以用netstat…i来检查当前系统网卡的芯片类型。Loopback网卡通常叫lo0它是一个假想的硬件，用来作本机内部网络包的路由，

　　4、路由配置：route配置静态路由，route　＇…f＇　op　＇type＇　destination　gateway　hop…count　，op参数如果是add就是增加一个路由表项，如果delete就是删除一个路由表项。

　　5、routed标准路由daemon，只支持RIP，它使用hop作为距离计数单位。Routed有两种运行方式：服务器模式和安静模式。两种模式都要监听广播包，但只有服务器模式才能发布自己的路由信息，通常只有多网卡的机器才设置成服务器模式，如果未说明就是安静模式。

　　6、gated一个更好的路由daemon，gated配置文件在/etc/gated。conf的语法中加入BGP后有了很大改动，gated能细粒度地控制广播路由、广播地址、信任策略、距离向量等。

　　四、Linux网络的安装与配置

　　1、手工进行网络硬件配置：

　　系统启动时会自动检测网卡，有两个缺点：一个是不通正确的检查所有的网卡，特别是一些比较廉价的网卡，二是核心程序不会自动检测一个以上的网卡，这点是为了使用户可以控制将山上设置到指定的端口上。如果使用两个以上的网卡，自动检测网卡就会失败。

　　手动进行配置，一种方法是在核心程序的源代码的/drivers/net/space。c文件中修改或添加信息，然后重新编译内核。另一种方法在系统启动过程中将这些信息提供给内核程序。在LILO系统时可以通过lilo。conf文件中的append参数来传递给内核。

　　2、手工TCP/IP网络配置

　　设置主机名：hostname　name，为接口进行IP配置：ifconfig　interface　ip…address

　　route　add　…net　202。112。58。0　…net的含义，因为route既可以处理到网络的路由，又可以处理到单个主机的路由。通过net来告诉它此地址是代表的一个网络，用host来告诉它此地址是代表一个主机。如果为了方便，还可以在/etc/networks中定义网络名字，route后面直接使用网络名字就可以了。

　　route　add　default　gw　2…2。112。58。254　网络名字default是0。0。0。0的简写，指示默认的路径，并不需要将这个名字加入到/etc/networks文件。

　　3、编辑hosts与networks文件

　　如果不打算使用DNS或者NIS进行地址解析时，就必须将所有的主机名字都放入hosts文件中。伴随hosts文件的还有一个/etc/networks文件，它在网络的名字和网络号之间建立映射。

　　4、编译内核

　　命令如下：cd/usr/src/linux　make　config

　　新的Linux核心版本中，对核心的配置除了上述make　config命令外，还增加了字符状态下以菜单形式对核心进行配置的命令make　colormenu以及在X窗口系统中运行的图形配置界面命令make　xconfig

五、高级TCP/IP应用配置

　　1、网络配置文件：在Linux中是通过/etc/rc。d/rc。inet1和/etc/rc。d/rc。inet2两个文件实现的，/etc/rc。d/rc。inet1主要是通过ifconfig和route命令进行基本的TCP/IP接口配置，主要由两部分组成，第一部分是对回送接口的配置，第二部分是对以太网接口的配置。/etc/rc。d/rc。inet2主要是用来启动一些网络监控的进程，inetd　portmapper　等。

　　2、名字服务和解析器配置

　　运行named：大多数UNIX机器上提供域名服务的程序叫named它是一个服务器程序，用来向客户或其他名字服务器提供域名服务。它从配置文件/etc/named。boot中获取信息，以及各种包含域名到地址映射的数据文件，后者称为〃区文件〃zone　file。Named包含的主文named。hosts。

　　第12章Internet与Intranet信息服务

　　主要内容：1、环球信息网的服务和管理

　　2、动态Web文件与CGI技术

　　3、活动Web文件与Java技术

　　4、FTP服务配置和管理及广域信息服务WAIS

　　WWW服务器把信息组织成分布式的超文本，这些信息节点是文本、子目录或信息指针。WWW浏览器程序为用户提供基于超文本传输协议HTTP的用户界面。WWW服务器数据文件由超文本标记语言HTML描述。HTML利用通用资源访问地址URL表示超媒体链接，并在文本内指向其他网络资源

　　一、环球信息网

　　1、环球信息网的定义：环球信息网（WWW）是基于客户机/服务器方式的信息发现技术和超文本技术的结合。

　　2、超文本文档