《网络工程师基础39940.docx》由会员分享,可在线阅读,更多相关《网络工程师基础39940.docx(141页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、什么是局域网 局部区域网络(local area network)通常简称为局域网,缩写为L A N 。局域网是结构复杂程度最低的计算机网络。局域网仅是在同一地点上经网络连在一起的一组计算机。局域网通常挨得很近,它是目前应用最广泛的一类网络。通常将具有如下特征的网称为局域网。1 )网络所覆盖的地理范围比较小。通常不超过几十公里,甚至只在一幢建筑或一个房间内。2 )信息的传输速率比较高,其范围自1 M b p s 到1 0 M b p s ,近来已达到1 0 0 M b p s 。而广域网运行时的传输率一般为2400bps 、9600bps 或者38.4kbps 、56.64kbps 。专用线路
2、也只能达到1.544Mbps 。3 )网络的经营权和管理权属于某个单位。什么是广域网 广域网(wide area network, WA N )它是影响广泛的复杂网络系统。WA N 由两个以上的L A N 构成,这些L A N 间的连接可以穿越3 0 m i l e *以上的距离。大型的WA N可以由各大洲的许多L A N 和M A N 组成。最广为人知的WA N 就是I n t e r n e t ,它由全球成千上万的L A N 和WA N 组成。有时L A N 、M A N 和WA N 间的边界非常不明显,很难确定L A N 在何处终止、M A N 或WA N在何处开始。但是可以通过四种网
3、络特性-通信介质、协议、拓扑以及私有网和公共网间的边界点来确定网络的类型。通信介质是指用来连接计算机和网络的电缆、光纤电缆、无线电波或微波。通常L A N 结束在通信介质改变的地方,如从基于电线的电缆转变为光纤。电线电缆的L A N 通常通过光纤电缆与其他的L A N 连接。什么是网桥 网桥这种设备看上去有点像中继器。它具有单个的输入端口和输出端口。它与中继器的不同之处就在于它能够解析它收发的数据。网桥属于O S I 模型的数据链路层;数据链路层能够进行流控制、纠错处理以及地址分配。网桥能够解析它所接受的帧,并能指导如何把数据传送到目的地。特别是它能够读取目标地址信息(M A C ),并决定是
4、否向网络的其他段转发(重发)数据包,而且,如果数据包的目标地址与源地址位于同一段,就可以把它过滤掉。当节点通过网桥传输数据时,网桥就会根据已知的M A C 地址和它们在网络中的位置建立过滤数据库(也就是人们熟知的转发表)。网桥利用过滤数据库来决定是转发数据包还是把它过滤掉.什么是网关 网关不能完全归为一种网络硬件。用概括性的术语来讲,它们应该是能够连接不同网络的软件和硬件的结合产品。特别地,它们可以使用不同的格式、通信协议或结构连接起两个系统。和本章前面讨论的不一样,网关实际上通过重新封装信息以使它们能被另一个系统读取。为了完成这项任务,网关必须能运行在O S I 模型的几个层上。网关必须同应
5、用通信,建立和管理会话,传输已经编码的数据,并解析逻辑和物理地址数据。网关可以设在服务器、微机或大型机上。由于网关具有强大的功能并且大多数时候都和应用有关,它们比路由器的价格要贵一些。另外,由于网关的传输更复杂,它们传输数据的速度要比网桥或路由器低一些。正是由于网关较慢,它们有造成网络堵塞的可能。然而,在某些场合,只有网关能胜任工作。在你的网络生涯中,你很可能会在电子邮件系统环境中听到关于网关的讨论。常见的网关,包括电子邮件网关,描述如下:电子邮件网关:通过这种网关可以从一种类型的系统向另一种类型的系统传输数据。例如,电子邮件网关可以允许使用E u d o r a 电子邮件的人与使用Group
6、 Wi s e 电子邮件的人相互通信。 I B M 主机网关:通过这种网关,可以在一台个人计算机与I B M 大型机之间建立和管理通信。 因特网网关:这种网关允许并管理局域网和因特网间的接入。因特网网关可以限制某些局域网用户访问因特网。反之亦然。 局域网网关:通过这种网关,运行不同协议或运行于O S I 模型不同层上的局域网网段间可以相互通信。路由器甚至只用一台服务器都可以充当局域网网关。局域网网关也包括远程访问服务器。它允许远程用户通过拨号方式接入局域网。网 络 类 型 每一种网络都要求布线、网络设备、文件服务器、工作站、软件和培训,这些要素以多种不同的方式进行综合便可以创建与具体单位的需要
7、和资源相适应的网络。有些网络的启动成本很低,但是维护和升级的代价很高;而另有一些网络虽然建立时耗资较大,但是易于维护、升级路径简单。区分网络类型的很明显的一点就是网络的拓扑结构。拓扑结构是指网络的物理布局以及其逻辑特征。物理布局就像是描述办公室、建筑物或校园中如何布线的示意图,通常称为电缆线路。网络的逻辑是指信号沿电缆从一点向另一点进行传输的方法。网络的布局可以分散开,电缆在网络的各个站铺开;或者可以是集中的,每个站都与在工作站间分派包的中央设备有物理的连接。集中布局像是星星,工作站是星星的点;分散布局有些像一队登山者,每个登山者位于山的不同位置上,但都由一条很长的绳子连接着。拓扑结构的逻辑方
8、面包括包在网络中传递的路径。有三种主要的拓扑结构:总线拓扑、环形拓扑和星形拓扑。一个单位需要按照工作目的选择网络类型,而拓扑结构必须与所选的网络类型相匹配。例如,有些公司使用网络的程度比其他公司要高。公司使用的软件应用程序的类型和数量影响了传输的包的数量和频率,也就是我们常说的网络信息流通量(network traff i c )。如果网络用户主要访问字处理软件,那么网络信息流通量相对就比较低,大多数工作都在工作站进行而不是在网络上进行。客户机/服务器结构的应用程序根据其软件设计,会产生中等到高的网络信息流通量。如果网络上要经常交换如Microsoft SQL Server 或O r a c
9、l e 数据库文件等数据库信息的话,也会产生中等到高的网络信息流通量。而对于科学程序和网上出版而言,由于数据文件非常巨大,所以信息流量很高。同时,图形密集的应用程序如不断变化图形的多媒体和桌面网上会议都会产生很高的网络信息流通量。网络上主机与服务器的影响力与使用的软件应用程序的类型密切相关。例如,如果经常访问数据库服务器来产生财务报表和销售图表,那么它引起的网络信息流通量肯定要比偶然访问包含商务通信或信件模板的文件服务器要高得多。当需要确定使用何种拓扑结构时,应该考虑是否有其他网络与这个网络连接。计算机不超过4 台的小型商业公司的网络拓扑肯定与一个通过WA N 与其他工地连接的工业厂区所需要的
10、拓扑结构不同。小公司除了与外部的Internet 相连外,也许不会与其他网络连接。而工业厂区将包含多个互连的网络,其中也许有控制工厂机器的网络、用于商业系统的网络、用于科研的网络和与其他工地相连的扩展的WA N 。有些网络拓扑结构会提供比其他拓扑结构性能更好的网络互连性。高流量的网络需要高速的数据传输能力。网络速度极大影响着用户的生产率,高速对于在远距离或WA N 上传输图像、图形和其他大型文件来说尤其重要。保护数据只能由授权的用户来访问,也就是安全性问题,是影响网络设计的另一个重要方面。安全的网络使用网络设备、密码、控制软件和其他技术来限制对信息和资源的访问,还经常使用加密方法,对包加密并仅
11、允许授权的计算机来对其解密。安全性高的网络使用光纤电缆,使得数据给未授权用户截取的危险降到最低。另一种安全措施是将网络设备和服务器放在受限制的地点,如计算机房和布线室。网络拓扑结构直接影响着网络的潜在发展。安装网络后,也许要添加更多的用户,这些用户可能在同一间办公室,可能在其他办公室,或者在其他楼层。而且极有可能为了长距离的信息访问,需要将L A N 与WA N 连接。网络协议 一个L A N 可以由一系列的子网组成,而一个WA N ,例如I n t e r n e t ,可以由一系列的自治网络组成。L A N 可以只使用以太网,而WA N 却可能包括以太网、令牌环网、X .25 和其他一些网
12、络。通过网际协议( I P ),可以把一个包发送到L A N 的不同子网和WA N 的不同网络上,唯一的条件就是这些网络所使用的传输选项要保证能够和T C P / I P 兼容,这些选项包括:o 以太网。o 令牌环网。o X.25 。o FDDI 。o ISDN 。o 帧中继。o (带有转换的) AT M 。o 网络传输头(例如,以太网)I P 的基本功能是提供数据传输、包编址、包寻径、分段和简单的包错误检测。通过I P 编址约定,可以成功地将数据传输和路由到正确的网络或者子网。每个网络结点具有一个3 2 位的I P 地址,它和4 8 位的M A C 地址一起协作,完成网络通信。该地址不但标识
13、了一个既定的网络,而且还指明了是该网络上的哪个结点。什么是路由器 路由器是一种多端口设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。路由器属于O S I 模型的第三层。第2 章曾经讲过,网络层指导从一个网段到另一个网段的数据传输,也能指导从一种网络向另一种网络的数据传输。过去,由于过多的注意第三层或更高层的数据,如协议或逻辑地址,路由器曾经比交换机和网桥的速度慢。因此,不像网桥和第二层交换机,路由器是依赖于协议的。在它们使用某种协议转发数据前,它们必须要被设计或配置成能识别该协议。传统的独立式局域网路由器正慢慢地被支持路由功能的第三层交换机所替代。但路由器这
14、个概念还是非常重要的。本节的剩余部分讲述的都是关于第三层交换机的应用。独立式路由器仍然是使用广域网技术连接远程用户的一种选择。 主要内容:1、iinteerneet体系系结构2、iinteerneet连接接的方法法33、innterrnett地址4、iinteerneet域名名系统5、iinteerneet地址址是的扩扩展一、IInteerneet体系系结构1、自自治系统统:原始始的Innterrnett核心体体系是在在Intternnet权权有一个个主干网网的那个个时期开开发的。但但是这种种体系结结构存在在以下一一些问题题:这种体体系不能能适应互互联网扩扩展到任任意数量量的网点点;许多网网点
15、由多多个局域域网组成成,且用用多个多多路由器器互连,由由于一个个核心路路由器在在每个网网点上与与一个网网络相连连,核心心路由器器就只知知道那个个网点中中的一个个网络的的情况;一一个大型型的互联联网是独独立的组组织管理理的网络络的互连连集合,路路由选择择体系结结构必须须为每个个组织提提供独立立的控制制路由选选择和访访问网络络的方法法,因此此必须用用一个单单一的协协议机制制来构造造一个由由许多网网点构成成的互联联网,同同时,各各个网点点又是一一个自治治系统。二、Internet连接的方法1、将计算机连接到一个局域网,这个局域网的服务器是Internet的一个主机。条件:必须连接到一个与Intern
16、et连接的网络,需要网络适配卡和ODI或NDIS驱动程序,还需要在本地计算机上运行TCP/IP,如果是Windows系统还需要Winsock支持。2、利用串行接口协议(SLIP)或点到点协议(PPP),通过电话拨号方式进入一个Internet的主机条件:需要一个调制解调器Modem、TCP/IP软件和SLIP或PPP软件,如果是Windows系统还需要Winsock支持。3、通过电话拨号进入一个提供Internet服务的联机服务系统。条件:需要一个调制解调器Modem、标准的通信软件和一个联机服务帐号。4、用户选择连接方法的考虑因素:联网的目标和需求;用户内部配置的网络基础设施;用户支付Int
17、ernet联网费用的能力;对Internet安全服务的需求。三、Internet地址在TCP/IP协议中,规定分配给每台主机一个32位数作为该主机IP地址。每个IP地址由两个部分组成,即网络标识netid和主机标识hostid。IP地址的层次结构具有两个重要特性:第一,每台主机分配了一个惟一的地址;第二,网络标识号的分配必须全球统一,但主机标识号可由本地分配,不需要全球一致。1、A类:1.0.0.1至126.255.255.254可能的网络数有126个,主机部分有1677216台(224-2)2、B类:128.0.0.1至191.255.255.254可能的网络数有16384个,主机有6553
18、6台3、C类:192.0.0.1至223.255.255.254可能的网络数有2097152个,主机有256台4、D类:用于广播传送至多个目的地址用224-2395、E类:用于保留地址240-255RFC1918将10.0.0.至10.255.255.255、127.16.0.0至172.31.255.255、192.168.0.0至192.168.255.255的地址作为预留地址,用作内部地址,不能直接连接到公共因特网上。四、Internet地址映射将一台计算机的IP地址映射到物理地址的过程称地址解析。常用的地址解析算法有以下三种:1、查表法:将地址映射关系放在内存中的一些表里,当解析地址时
19、,通过查表得到解析的结果。用于广域网。2、相近形式计算法:通过简单的布尔和算术运算得出映射地址。用于可配置网络。3、消息交换法:计算机通过网络交换信息得到映射地址。用于静态编址。TCP/IP协议组包含一个地址解析协议(ARP)。ARP协议定义了两类基本消息,一类消息是请求消息,另一类是应答消息。五、Internet地址空间的扩展1、IPV6仍然支持无连接传送;允许发送方选择数据报大小;要求发送方指明数据报在到达目的站前的最大跳数。更大的地址空间;灵活的报头格式;增强的选项;支持资源分配;支持协议扩展。2、IPV6的数据报格式:IPV6数据有一个固定的基本报头40字节其后可以允许多个扩展报头,也
20、可以没有扩展报头,扩展报头后是数据。IPV4的数据报格式:包括数据报报头和数据区的部分。报头:版本号、IHL、服务级别、数据单元长度、标识、标记、分段偏移、生命期、用户协议、报头检查和、源地址、目的地址、任选项+填充、数据。3、该基本报头包含版本号、数据流标记、PAYLOAD长度、下一个报头、跳数极限、源地址、目的地址。4、IPV4与IPV6比较:取消了报头长度字段,数据报长度字段被PAYLOAD长度字段代替;源地址和目的地址字段大小增加为每个字段占16个八位组,128位;分段信息从基本报头的固定字段移动扩展报头;生存时间字段改为跳数极限字段;服务类型字段改为数据流标号字段;协议字段改为指明下
21、一个报头类型字段。5、IPV6有三个基本地址类型,单播地址(unicast)即目的地址指明一台计算机或路由器,数据报选择一条最短的路径到达目的站;群集地址(cluster)即目的站是共享一个网络地址的计算机的集合,数据报选择一条最短路径到达该组,然后传递给该组最近的一个成员;组播地址(multicast)即目的站是一组计算机,它们可以在不同地方,数据报通过硬件组播或广播传递给该组的每一成员。6、对任何地址若开始80位是全零,接着16位是全1或全零,则它的低32位就是一个IPV4地址。第10章 企业网网与Inntraanett主主要内容容:1、企企业网络络计算的的组成和和管理2、企企业网络络开放
22、系系统集成成技术3、iintrraneet定义义和要素素44、inntraanett应用和和建立一、企企业网络络计算的的背景和和挑战企业业网是连连接企业业内部各各部门并并和企业业外界相相连,为为企业的的通信、办办公自动动化、经经营管理理、生产产销售以以及自动动控制服服务的重重要信息息基础设设施。IIntrraneet是基基于TCCP/IIP协议议,使用用环球网网WWWW工具,采采用防止止外界侵侵入的安安全措施施,为企企业内部部服务,并并有连接接Inttrannet功功能的企企业内部部网络。1、驱动企业网络计算的因素:用户需求,这是基本动力;先进和实用的信息技术;迅速变化中的巿场。2、可采用两种
23、模型:一种是可伸缩的模型,即企业网络计算的同样的软件可运行在企业内部的不同平台上;另一种是集成的模型,即企业内部不同平台上的软件的集成。二、企业网络计算的组成和特性1、企业网络计算的组成:客户机/服务器计算;分布式数据库;数据仓库;网络和通信;网络和系统的管理;各种网络应用。2、企业网络计算的特性:支持客户机/服务器计算械;支持管理海量数据的能力和设施;分布数据管理的设施;国际化和本地化;功能强的通信设施;系统的灵活性;分布资源管理;开发工具和开发手段的提供。三、开放系统开放系统:是对一个不断发展的、厂家中立的、用于对整个系统进行有效配置、操作和替换的接口、服务、协议和格式的规范描述的实现,它
24、的应用和组成部件可以用不同厂家的其他相同实现替代。1、开放系统的两个特点:开放系统所采用的规范是厂家中立的,或者是与厂家无关的;开放系统允许不同厂家的产品替换,这种替换包括整个系统其组成部件。2、专用系统:它所采用的规范是专用,而不是厂家中立的;专用系统不允许由不同厂家的产品替换;它的组成部件允许具有许可证的厂家产品替换。3、驱动开放系统发展的因素:功能、可用性、复杂性、价格。四、企业网络开放系统集成技术1、FRAMWORK是应用程序的开发和运行环境,它实际上是蹭件和操作系统的组合。比较有名的产品有CICS、Windows、UNIX。2、COSE专门制定了自己的开放系统环境规范,主要技术包括用
25、于窗口管理的Motif、标准API接口和用于数据库管理的SQL。3、信息系统与网络计算主要实现网络范围数据管理、通信和网络管理,主要技术有:在数据管理方面有用于数据库间通信的RDA,即远程数据访问;通信服务DCE分布式计算环境,RPC远程过程调用,OSI开放系统互连;管理服务,DME分布管理环境,SNMP简单网络管理协议。五、开放系统环境应用可移植框架六、Intranet的定义和要素1、Intranet是基于Internet TCP/IP协议,使用的环球网WWW工具、采用防止外界侵入的安全措施、为企业内部服务,并有连接Internet的功能的企业内部网络。2、Intranet的组成:网络、电子
26、邮件、内部环球网、邮件地址清单、新闻组Newsgroups、闲谈Chat、FTP、Telnet、Gopher。主要内容:1、密密码学、鉴鉴别2、访访问控制制、计算算机病毒毒33、网络络安全技技术4、安安全服务务与安全全机制5、信信息系统统安全体体系结构构框架6、信信息系统统安全评评估准则则一一、密码码学1、密密码学是是以研究究数据保保密为目目的,对对存储或或者传输输的信息息采取秘秘密的交交换以防防止第三三者对信信息的窃窃取的技技术。2、对对称密钥钥密码系系统(私私钥密码码系统):在传传统密码码体制中中加密和和解密采采用的是是同一密密钥。常常见的算算法有:DESS、IDDEA3、加加密模式式分类
27、:(1)序序列密码码:通过过有限状状态机产产生性能能优良的的伪随机机序列,使使用该序序列加密密信息流流逐位加加密得到到密文。(2)分组密码:在相信复杂函数可以通过简单函数迭代若干圈得到的原则,利用简单圈函数及对合等运算,充分利用非线性运算。4、非对称密钥密码系统(公钥密码系统):现代密码体制中加密和解密采用不同的密钥。实现的过程:每个通信双方有两个密钥,K和K,在进行保密通信时通常将加密密钥K公开(称为公钥),而保留解密密钥K(称为私钥),常见的算法有:RSA二、鉴别鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程,一般通过某种复杂的身份认证协议来实现。1、口令技术身份认证
28、标记:PIN保护记忆卡和挑战响应卡分类:共享密钥认证、公钥认证和零知识认证(1)共享密钥认证的思想是从通过口令认证用户发展来了。(2)公开密钥算法的出现为2、会话密钥:是指在一次会话过程中使用的密钥,一般都是由机器随机生成的,会话密钥在实际使用时往往是在一定时间内都有效,并不真正限制在一次会话过程中。签名:利用私钥对明文信息进行的变换称为签名封装:利用公钥对明文信息进行的变换称为封装3、Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自己的身份,该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的。
29、凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥,还有证明客户方拥有会话密钥的身份认证者信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。4、数字签名:加密过程为C=EB(DA(m) 用户A先用自己的保密算法(解密算法DA)对数据进行加密DA(m),再用B的公开算法(加密算法EB)进行一次加密EB(DA(m)。解密的过程为m= EA (DB (C) 用户B先用自己的保密算法(解密算DB)对密文C进行解密DB (C),再用A的公开算法(加密算法EA)进行一次解密EA (DB (C)。只有A才能产生密文C,B是无法依靠或修改的,所以A是不得
30、抵赖的DA(m)被称为签名。三、访问控制访问控制是指确定可给予哪些主体访问的权力、确定以及实施访问权限的过程。被访问的数据统称为客体。1、访问矩阵是表示安全政策的最常用的访问控制安全模型。访问者对访问对象的权限就存放在矩阵中对应的交叉点上。2、访问控制表(ACL)每个访问者存储有访问权力表,该表包括了他能够访问的特定对象和操作权限。引用监视器根据验证访问表提供的权力表和访问者的身份来决定是否授予访问者相应的操作权限。3、粗粒度访问控制:能够控制到主机对象的访问控制细粒度访问控制:能够控制到文件甚至记录的访问控制4、防火墙作用:防止不希望、未经授权的通信进出被保护的内部网络,通过边界控制强化内部
31、网络的安全政策。防火墙的分类:IP过滤、线过滤和应用层代理路由器过滤方式防火墙、双穴信关方式防火墙、主机过滤式防火墙、子网过滤方式防火墙5、过滤路由器的优点:结构简单,使用硬件来降低成本;对上层协议和应用透明,无需要修改已经有的应用。缺点:在认证和控制方面粒度太粗,无法做到用户级别的身份认证,只有针对主机IP地址,存在着假冒IP攻击的隐患;访问控制也只有控制到IP地址端口一级,不能细化到文件等具体对象;从系统管理角度来看人工负担很重。6、代理服务器的优点:是其用户级身份认证、日志记录和帐号管理。缺点:要想提供全面的安全保证,就要对每一项服务都建立对应的应用层网关,这就极大限制了新应用的采纳。7
32、、VPN:虚拟专用网,是将物理分布在不同地点的网络通过公共骨干网,尤其是internet联接而成的逻辑上的虚拟子网。8、VPN的模式:直接模式VPN使用IP和编址来建立对VPN上传输数据的直接控制。对数据加密,采用基于用户身份的鉴别,而不是基于IP地址。隧道模式VPN是使用IP帧作为隧道的发送分组。9、IPSEC是由IETF制订的用于VPN的协议。由三个部分组成:封装安全负载ESP主要用来处理对IP数据包的加密并对鉴别提供某种程序的支持。,鉴别报头(AP)只涉及到鉴别不涉及到加密,internet密钥交换IKE主要是对密钥交换进行管理。四、计算机病毒1、计算机病毒分类:操作系统型、外壳型、入侵
33、型、源码型2、计算机病毒破坏过程:最初病毒程序寄生在介质上的某个程序中,处于静止状态,一旦程序被引导或调用,它就被激活,变成有传染能力的动态病毒,当传染条件满足时,病毒就侵入内存,随着作业进程的发展,它逐步向其他作业模块扩散,并传染给其他软件。在破坏条件满足时,它就由表现模块或破坏模块把病毒以特定的方针表现出来。五、网络安全技术1、链路层负责建立点到点的通信,网络层负责寻径、传输层负责建立端到端的通信信道。2、物理层可以在通信线路上采用某些技术使得搭线偷听变得不可能或者容易被检测出。数据链路层,可以采用通信保密机进行加密和解密。3、IP层安全性在IP加密传输信道技术方面,IETF已经指定了一个
34、IP安全性工作小组IPSEC来制订IP安全协议IPSP和对应的internet密钥管理协议IKMP的标准。(1)IPSEC采用了两种机制:认证头部AH,提前谁和数据完整性;安全内容封装ESP,实现通信保密。1995年8月internet工程领导小组IESG批准了有关IPSP的RFC作为internet标准系列的推荐标准。同时还规定了用安全散列算法SHA来代替MD5和用三元DES代替DES。4、传输层安全性(1)传输层网关在两个通信节点之间代为传递TCP连接并进行控制,这个层次一般称作传输层安全。最常见的传输层安全技术有SSL、SOCKS和安全RPC等。(2)在internet编程中,通常使用广
35、义的进程信IPC机制来同不同层次的安全协议打交道。比较流行的两个IPC编程界面是BSD Sockets和传输层界面TLI。(3)安全套接层协议SSL在可靠的传输服务TCP/IP基础上建立,SSL版本3,SSLv3于1995年12月制定。SSL采用公钥方式进行身份认证,但是大量数据传输仍然使用对称密钥方式。通过双方协商SSL可以支持多种身份认证、加密和检验算法。SSL协商协议:用来交换版本号、加密算法、身份认证并交换密钥SSLv3提供对Deffie-Hellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Frotezza chip上的密钥交换机制的支持。SSL记录层协议:它涉及应用程序
36、提供的信息的分段、压缩数据认证和加密SSLv3提供对数据认证用的MD5和SHA以及数据加密用的R4主DES等支持,用来对数据进行认证和加密的密钥可以有通过SSL的握手协议来协商。SSL协商层的工作过程:当客户方与服务方进行通信之前,客户方发出问候;服务方收到问候后,发回一个问候。问候交换完毕后,就确定了双方采用的SSL协议的版本号、会话标志、加密算法集和压缩算法。SSL记录层的工作过程:接收上层的数据,将它们分段;然后用协商层约定的压缩方法进行压缩,压缩后的记录用约定的流加密或块加密方式进行加密,再由传输层发送出去。5、应用层安全性6、WWW应用安全技术(1)解决WWW应用安全的方案需要结合通
37、用的internet安全技术和专门针对WWW的技术。前者主要是指防火墙技术,后者包括根据WWW技术的特点改进HTTP协议或者利用代理服务器、插入件、中间件等技术来实现的安全技术。(2)HTTP目前三个版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本,它只定义了最基本的简单请求和简单回答;HTTP1.0较完善,也是目前使用广泛的一个版本;HTTP1.1增加了大量的报头域,并对HTTP1.0中没有严格定义的部分作了进一步的说明。(3)HTTP1.1提供了一个基于口令基本认证方法,目前所有的WEB服务器都可以通过基本身份认证支持访问控制。在身份认证上,针对基本认证方法
38、以明文传输口令这一最大弱点,补充了摘要认证方法,不再传递口令明文,而是将口令经过散列函数变换后传递它的摘要。(4)针对HTTP协议的改进还有安全HTTP协议SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基础上,提供了数据加密、身份认证、数据完整、防止否认等能力。(5)DEC-WebWAND服务器是支持DCE的专用Web服务器,它可以和三种客户进行通信:第一是设置本地安全代理SLP的普通浏览器。第二种是支持SSL浏览器,这种浏览器向一个安全网关以SSL协议发送请求,SDG再将请求转换成安全RPC调用发给WAND,收到结果后,将其转换成SSL回答,发回到浏览器。第三种是完全没有任何安
39、全机制的普通浏览器,WANS也接受它直接的HTTP请求,但此时通信得不到任何保护。六、安全服务与安全与机制1、ISO7498-2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制。2、5种可选的安全服务:鉴别、访问控制、数据保密、数据完整性和防止否认。3、8种安全机制:加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制,它们可以在OSI参考模型的适当层次上实施。4、5种普遍性的安全机制:可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。5、信息系统安全评估准则(1)可信计算机系统评估准则TCSEC:是
40、由美国国家计算机安全中心于1983年制订的,又称桔皮书。(2)信息技术安全评估准则ITSEC:由欧洲四国于1989年联合提出的,俗称白皮书。(3)通用安全评估准则CC:由美国国家标准技术研究所NIST和国家安全局NSA、欧洲四国以及加拿大等6国7方联合提出的。(4)计算机信息系统安全保护等级划分准则:我国国家质量技术监督局于1999年发布的国家标准。6、可信计算机系统评估准则TCSEC共分为4类7级:D,C1,C2,B1,B2,B3,A1D级,安全保护欠缺级,并不是没有安全保护功能,只是太弱。C1级,自主安全保护级,C2级,受控存取保护级,B1级,结构化保护级B3级,安全域级A1,验证设计级。
41、七、评估增长的安全操作代价为了确定网络的安全策略及解决方案:首先,应该评估风险,即确定侵入破坏的机会和危害的潜在代价;其次,应该评估增长的安全操作代价。安全操作代价主要有以下几点:(1)用户的方便程度(2)管理的复杂性(3)对现有系统的影响(4)对不同平台的支持本文出自 51CCTO.COMM技术博博客主要内容:1、网网络操作作系统的的功能2、流流行的网网络操作作系统一、网网络操作作系统的的功能1、网网络操作作系统NNOS,是是使网络络上各计计算机能能方便而而有效地地共享网网络资源源,为网网络用户户提供所所需要的的各种服服务的软软件和有有关规程程的集合合。2、局局域网NNOS有有两个基基本要求
42、求:(11)允许许在局域域网上的的资源被被共享;(2)要使现现有的PPC操作作系统仍仍能继续续运行,而而不需要要作任何何改变。NNOS有有两个组组成,主主要是控控制服务务器的操操作、管管理存储储在服务务器上的的文件。第第二个组组成,运运行在客客户系统统的软件件,使客客户能访访问网络络及网上上资源。3、在NetWare中:第一部分是PC和网络接口卡联系的机制,采用IPX/SPX互连网分组交换/顺序分组交换接口协议来进行通信;第二部分称为解释器或重定向器(redirector)。二、NetWare系列1、NetWare有两部分组成:NetWare的外层(shell)和NetWare核心组成。2、N
43、etWare的外层(shell)在NetWare4中称为DOS Requester。它有两个相关的功能:将应用和桌面操作系统连接,决定将来自应用的命令传送到本地操作系统;和网络接口卡NIC通信,使命令和数据包装成能在诸如以太网、标记环网等标准网络上接收和发送。3、NetWare首次将容错引入NOS,称为系统容错(SFT system fault tolerant)4、NetWare结构中NetWare支持传输层协议自主性的两个重要组成,为开放数据链路层接口ODI和Streams模块。ODI为多种传输层协议提供了一种标准的接口,其功能是使多种传输层协议可以共享同一个网络卡而不发生冲突。Strea
44、ms模块在高层提供了一个接口,一方面为其底层那些需要向NetWare传送数据请求的协议提供一个通用接口,另一方面还要向上为NetWare本身提供一个接口。5、NetWare工作站利用shell和IPX/SPX通信协议与文件服务器通信。NETXCOM通过向IPX发送命令,将DOS的文件请求发送到文件服务器在,或从文件服务器上传回重定向。NETCOM程序将工作站的请求传送给DOS和NetWare。IPXCOM向文件服务器发送网络信息,它是工作站与服务器通信的规程。三、Windows NT1、Windows NT服务器被优化成一个文件、打印机和应用程序服务器在,同时又能处理从小型的工作组到企业网络范
45、围内的各种事务。2、Windows NT Server优点:服务器性能,在完全版本中支持达4个CPU,OEM已经实现了对称多处理环境中支持达32个CPU;256个RAS入站接入;磁盘容错支持,RAID级的数据保护;IIS服务;管理向导;苹果机客户的支持;其他网络服务(DHCP、DNS、WINS);Windows NT目录服务。3、Microsoft网络包括:Windows NT、Windows95、Windows for Workgroup、LAN manager4、Windows NT网络结构:包括I/O管理器组件、NDIS兼容网卡驱动程序、NDIS4.0,传输协议、传输驱动程序接口TDI、文件系统驱动程序。第7章 网络管理主要内容:1、局域网管理技术2、网络管理功能和协议3、网络管理系统4、网络日常管理和维护一、局域网管理技术网络管理