《[精选]计算机网络安全与应用技术(1)15235.pptx》由会员分享,可在线阅读,更多相关《[精选]计算机网络安全与应用技术(1)15235.pptx(163页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机网络安全计算机网络安全与应用技术与应用技术高职高专计算机专业系列教材 袁家政编著总总 目目 录录第第1章计算机网络安全的基础知识章计算机网络安全的基础知识第第2章密码技术章密码技术第第3章防火墙技术章防火墙技术第第4章计算机及网络系统的安全性章计算机及网络系统的安全性第第5章章Windows NT/2000的安全与保护措施的安全与保护措施第第6章黑客原理与防范措施章黑客原理与防范措施第第7章网络病毒与防治章网络病毒与防治第第8章章Internet的安全性的安全性第第9章计算机网络安全的实训问题章计算机网络安全的实训问题第第1章计算机网络安全的基础知识章计算机网络安全的基础知识1.1计算机
2、网络基础知识计算机网络基础知识1.2计算机网络存在的安全问题计算机网络存在的安全问题1.3网络安全体系结构网络安全体系结构1.4网络安全技术网络安全技术1.5实现网络安全的策略问题实现网络安全的策略问题1.6计算机网络安全立法计算机网络安全立法1.7网络安全的发展方向网络安全的发展方向1.8本章小结本章小结练习题练习题随着计算机技术的飞速发展,信息和网络已经成为社随着计算机技术的飞速发展,信息和网络已经成为社会发展的重要保证。信息与网络涉及到国家的政府、会发展的重要保证。信息与网络涉及到国家的政府、军事、文教等诸多领域,在计算机网络中存储、传军事、文教等诸多领域,在计算机网络中存储、传输和处理
3、的信息有许多是政府宏观调控决策、商业输和处理的信息有许多是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息,其中有很多是敏感信息据、科研数据等重要信息,其中有很多是敏感信息甚至是国家机密,所以难免会吸引来自世界各地的甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击各种人为攻击(例如,信息泄漏、信息窃取、数据例如,信息泄漏、信息窃取、数据删除与添加、计算机病毒等删除与添加、计算机病毒等)。因此计算机网络安。因此计算机网络安全是一个关系国家安全和主权、社会的稳定、民族全是一个关系国家安全和主权、社会的稳定、
4、民族文化的继承和发扬的重要问题,其重要性正随着全文化的继承和发扬的重要问题,其重要性正随着全球信息化步伐的加快而变得越来越重要。球信息化步伐的加快而变得越来越重要。计算机网络安全主要涉及网络信息的安全和网络系计算机网络安全主要涉及网络信息的安全和网络系统本身的安全。在计算机网络中存在着各种资源设统本身的安全。在计算机网络中存在着各种资源设施,随时存储和传输的大量数据;这些设施可能遭施,随时存储和传输的大量数据;这些设施可能遭到攻击和破坏,数据在存储和传输过程中可能被盗到攻击和破坏,数据在存储和传输过程中可能被盗用、暴露或篡改。另外,计算机网络本身可能存在用、暴露或篡改。另外,计算机网络本身可能
5、存在某些不完善之处,网络软件也有可能遭受恶意程序某些不完善之处,网络软件也有可能遭受恶意程序的攻击而使整个网络陷于瘫痪。同时网络实体还要的攻击而使整个网络陷于瘫痪。同时网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考经受诸如水灾、火灾、地震、电磁辐射等方面的考验。验。本章介绍计算机网络安全的基本知识,主要包括以下本章介绍计算机网络安全的基本知识,主要包括以下内容:内容:计算机网络基础知识;计算机网络基础知识;计算机网络存在的安全问题;计算机网络存在的安全问题;网络安全的体系结构;网络安全的体系结构;网络安全技术;网络安全技术;网络安全的策略及实现;网络安全的策略及实现;计算机网络安全立
6、法;计算机网络安全立法;计算机网络安全的发展方向。计算机网络安全的发展方向。1.1计算机网络基础知识计算机网络基础知识为了更好地学习网络安全知识,掌握网络的攻防策略,为了更好地学习网络安全知识,掌握网络的攻防策略,学习一些相关的计算机网络基础知识是非常必要的。学习一些相关的计算机网络基础知识是非常必要的。1.1.1计算机网络体系结构计算机网络体系结构 1.计算机网络计算机网络计算机网络,可以用一句简单的话概括:计算机网络,可以用一句简单的话概括:“通过通信通过通信线路连接起来的自治的计算机集合线路连接起来的自治的计算机集合”。这句话包括。这句话包括以下以下3个方面的含义。个方面的含义。(1)必
7、须有两台或两台以上的具有独立功能的计算机必须有两台或两台以上的具有独立功能的计算机系统相互连接起来,以达到共享资源为目的,才能系统相互连接起来,以达到共享资源为目的,才能构成网络。这里所指的两台计算机系统的位置要构成网络。这里所指的两台计算机系统的位置要有一定的距离,且每个计算机系统能够独立地工作,有一定的距离,且每个计算机系统能够独立地工作,能够自行处理数据,而无需其他系统的帮助。并行能够自行处理数据,而无需其他系统的帮助。并行机虽然有多个处理器,但它不属于两个具有独立功机虽然有多个处理器,但它不属于两个具有独立功能的计算机系统互连在一起,因此也不属于网络。能的计算机系统互连在一起,因此也不
8、属于网络。(2)两台或两台以上的计算机连接,互相通信交换信两台或两台以上的计算机连接,互相通信交换信息,必须有一条通道。这条通道的连接是物理的,息,必须有一条通道。这条通道的连接是物理的,由物理介质和通信设备实现。它们可以是铜线、光由物理介质和通信设备实现。它们可以是铜线、光缆等缆等“有线有线”介质,也可以是微波、红外线或卫星介质,也可以是微波、红外线或卫星等等“无线无线”介质。介质。(3)计算机系统之间交换信息,必须有某种约定和规计算机系统之间交换信息,必须有某种约定和规则,这就是协议。这些协议可以由硬件或软件来完则,这就是协议。这些协议可以由硬件或软件来完成。成。综合以上综合以上3个方面的
9、内容,可以把计算机网络归纳为:个方面的内容,可以把计算机网络归纳为:把分布在不同地点且具有独立功能的多个计算机系把分布在不同地点且具有独立功能的多个计算机系统通过通信设备和线路连接起来,在功能完善的网统通过通信设备和线路连接起来,在功能完善的网络软件和协议的管理下,以实现网络中资源共享为络软件和协议的管理下,以实现网络中资源共享为目标的系统。目标的系统。2.计算机网络协议计算机网络协议在计算机网络中不同系统的两个实体之间只有在通信在计算机网络中不同系统的两个实体之间只有在通信的基础上,才有可能相互交换信息,并共享网络资的基础上,才有可能相互交换信息,并共享网络资源。一般来说,实体是能发送和接收
10、信息的任何东源。一般来说,实体是能发送和接收信息的任何东西,可以指用户应用程序、文件传送包、数据库管西,可以指用户应用程序、文件传送包、数据库管理系统、电子邮件设备和终端等。系统可包含一个理系统、电子邮件设备和终端等。系统可包含一个或多个实体或多个实体(如主机和终端等如主机和终端等)。两个实体之间若要。两个实体之间若要能通信,就必须能够相互理解,共同遵守有关能通信,就必须能够相互理解,共同遵守有关实体的某种互相能接受的规则。这些规则的集合称实体的某种互相能接受的规则。这些规则的集合称为协议。因此协议可被定义为实体之间控制数据交为协议。因此协议可被定义为实体之间控制数据交换的规则的集合。简单说,
11、协议就是通信双方的约换的规则的集合。简单说,协议就是通信双方的约定。一个网络协议主要由以下定。一个网络协议主要由以下3个要素组成。个要素组成。(1)语法:语法:即数据与控制信息的结构或格式;即数据与控制信息的结构或格式;(2)语义:语义:即需要发出何种控制信息,完成何种动作即需要发出何种控制信息,完成何种动作以及做出何种应答;以及做出何种应答;(3)同步:同步:即实体通信实现顺序的详细说明。即实体通信实现顺序的详细说明。由此可见,网络协议是计算机网络不可缺少的组成部由此可见,网络协议是计算机网络不可缺少的组成部分。分。3.通信子网及子网信道类型通信子网及子网信道类型计算机网络主要由计算机系统计
12、算机网络主要由计算机系统(包括计算机和终端包括计算机和终端)、网络节点网络节点(通信处理机通信处理机)和通信链路和通信链路(通信线路和网通信线路和网络设备络设备)等网络单元组成。从功能上可以将计算机等网络单元组成。从功能上可以将计算机网络分为资源子网和通信子网,网络上的每一个连网络分为资源子网和通信子网,网络上的每一个连接称为节点,节点有两类:一类是转接节点,主要接称为节点,节点有两类:一类是转接节点,主要承担通信子网的信息传输和转接的作用;另一类是承担通信子网的信息传输和转接的作用;另一类是访问节点,是资源子网中的计算机或终端,主要是访问节点,是资源子网中的计算机或终端,主要是信息资源的来源
13、和发送信息的目的地。信息资源的来源和发送信息的目的地。不同类型的网络,其通信子网的物理组成各不相同。不同类型的网络,其通信子网的物理组成各不相同。局域网最简单,它的通信子网由物理传媒介质和主局域网最简单,它的通信子网由物理传媒介质和主机网络接板机网络接板(网卡网卡)组成。而广域网,除物理传媒介组成。而广域网,除物理传媒介质和主机网络接板质和主机网络接板(网卡网卡)外,必须靠通信子网的转外,必须靠通信子网的转接节点传递信息。接节点传递信息。对于通信子网的设计,如果从通信信道类型分类有两对于通信子网的设计,如果从通信信道类型分类有两种类型:点对点通信方式和广播式通信子网。种类型:点对点通信方式和广
14、播式通信子网。(1)点对点通信,如图点对点通信,如图1.1所示。在该种类型网中,任所示。在该种类型网中,任何一段物理链路,都惟一连接一对节点。如果不在何一段物理链路,都惟一连接一对节点。如果不在同一段物理链路的一对节点中通信,必须通过其他同一段物理链路的一对节点中通信,必须通过其他节点转接。采用点对点通信的基本拓扑结构有:星节点转接。采用点对点通信的基本拓扑结构有:星形、树形、环形及不规则形和全部互连等。形、树形、环形及不规则形和全部互连等。图图1.1(2)广播式通信,如图广播式通信,如图1.2所示。在该种通信子网中只所示。在该种通信子网中只有一个公共通信信道,为所有节点共享使用,任一有一个公
15、共通信信道,为所有节点共享使用,任一时刻只允许一个节点使用公用信道。当一个节点利时刻只允许一个节点使用公用信道。当一个节点利用公共通信信道发送数据时,必须携带目的地址,用公共通信信道发送数据时,必须携带目的地址,只有地址符合的那个节点,才能接收到数据,其他只有地址符合的那个节点,才能接收到数据,其他节点都不能收到数据。节点都不能收到数据。图图1.24.计算机网络体系结构计算机网络体系结构为了简化问题、减少协议设计的复杂性,大多数网络为了简化问题、减少协议设计的复杂性,大多数网络都采用一种层次结构,按层或级的方式来组织。因都采用一种层次结构,按层或级的方式来组织。因此,协议也是分层次的。每一层都
16、建立在下层之上,此,协议也是分层次的。每一层都建立在下层之上,每一层的目的都是为上层提供一定的服务,并对上每一层的目的都是为上层提供一定的服务,并对上层屏蔽其服务的实现细节。各层协议互相协作,构层屏蔽其服务的实现细节。各层协议互相协作,构成一个整体。常称之为协议簇成一个整体。常称之为协议簇(protocol family)或或协议套协议套(protocol suite)。网络分层体系结构模型的概念,为计算机网络协议的网络分层体系结构模型的概念,为计算机网络协议的设计和实现提供了很大的方便。在体系结构中最著设计和实现提供了很大的方便。在体系结构中最著名的是国际标准化组织名的是国际标准化组织(IS
17、O)于于1981年颁布的开放年颁布的开放系统互连参考模型系统互连参考模型(open system interconnection reference model,OSI)。OSI定义了异种互联网标定义了异种互联网标准的框架结构,受到计算机和通信行业的极大关注。准的框架结构,受到计算机和通信行业的极大关注。OSI不断发展,得到了国际上的承认,成为其他各不断发展,得到了国际上的承认,成为其他各计算机网络系统结构靠拢的标准,大大地推动了计计算机网络系统结构靠拢的标准,大大地推动了计算机网络和计算机通信的发展。算机网络和计算机通信的发展。在这里在这里“系统系统”是指一台或多台计算机,外部设备、是指一台
18、或多台计算机,外部设备、终端、信息传输设备、操作员及相应软件的集合。终端、信息传输设备、操作员及相应软件的集合。“开放开放”是指按照是指按照OSI参考模型建立的任意两系统参考模型建立的任意两系统之间的连接或操作。当一个系统能按照之间的连接或操作。当一个系统能按照OSI标准与标准与另一个系统进行通信时,就称该系统为开放系统。另一个系统进行通信时,就称该系统为开放系统。可见,开放系统要求建立一整套能保证全部级别都可见,开放系统要求建立一整套能保证全部级别都能进行通信的标准。能进行通信的标准。OSI开放系统互连参考模型,如图开放系统互连参考模型,如图1.3所示。它采用结所示。它采用结构描述方法,即分
19、层描述的方法,将整个网络的构描述方法,即分层描述的方法,将整个网络的通信功能划分成通信功能划分成7个部分个部分(也叫也叫7个层次个层次),每层各自,每层各自完成一定的功能。由低层至高层分别称为物理层、完成一定的功能。由低层至高层分别称为物理层、数据链路层、网络层、传输层、会话层、表示层和数据链路层、网络层、传输层、会话层、表示层和应用层。这种划分使每一层都能执行本层所承担的应用层。这种划分使每一层都能执行本层所承担的具体任务,且功能相对独立,通过接口与其相邻层具体任务,且功能相对独立,通过接口与其相邻层连接。这里接口指相邻层之间的连接,依靠各层之连接。这里接口指相邻层之间的连接,依靠各层之间的
20、接口或功能的组合,实现两系统间、各结点间间的接口或功能的组合,实现两系统间、各结点间信息的传输。信息的传输。图图1.3(1)物理层物理层(physical layer)物理层涉及到通信在信道上传输的原始比特流,主要物理层涉及到通信在信道上传输的原始比特流,主要处理与物理传输介质有关的机械的、电气的、功能处理与物理传输介质有关的机械的、电气的、功能的和规程的接口。物理层与具体设备有关,如光纤的和规程的接口。物理层与具体设备有关,如光纤及收发器、网卡和集线器等。及收发器、网卡和集线器等。(2)数据链路层数据链路层(data link layer)数据链路层的主要任务是加强物理层传输原始比特的数据链
21、路层的主要任务是加强物理层传输原始比特的功能,使之对网络层显现为一条无差错的链路。它功能,使之对网络层显现为一条无差错的链路。它通过将传输的数据增加同步信息、校验信息及地址通过将传输的数据增加同步信息、校验信息及地址信息封装成数据帧信息封装成数据帧;同时提供数据帧传输顺序的控同时提供数据帧传输顺序的控制、差错检测与控制和数据流量控制以保证数据传制、差错检测与控制和数据流量控制以保证数据传输的正确性。输的正确性。(3)网络层网络层(network layer)确定数据分组从源端到目的端如何选择路由。即通过确定数据分组从源端到目的端如何选择路由。即通过路径选择将信息从最合适的路径由发送端传送到接路
22、径选择将信息从最合适的路径由发送端传送到接收端,防止通信子网信息流量过大造成网络阻塞及收端,防止通信子网信息流量过大造成网络阻塞及数据丢失。数据丢失。(4)传输层传输层(transport layer)传输层的基本功能是从会话层接收数据,并且在必要传输层的基本功能是从会话层接收数据,并且在必要时把它分成较小的单元,传递给网络层,并确保到时把它分成较小的单元,传递给网络层,并确保到达对方的各段信息正确无误,从某种意义上讲,传达对方的各段信息正确无误,从某种意义上讲,传输层使会话层不受硬件技术变化的影响。输层使会话层不受硬件技术变化的影响。传输层也要决定向会话层,最终向网络用户提供什么传输层也要决
23、定向会话层,最终向网络用户提供什么样的服务。最流行的传输连接是一条无错的、按发样的服务。最流行的传输连接是一条无错的、按发送顺序传输报文或字节的点到点的信道。送顺序传输报文或字节的点到点的信道。传输层是真正的从源到目标传输层是真正的从源到目标(端端-端端)的层。也就是说,的层。也就是说,源端机上的某程序,利用报文头和控制报文与目标源端机上的某程序,利用报文头和控制报文与目标机上的类似程序进行对话。在传输层以下的各层中,机上的类似程序进行对话。在传输层以下的各层中,协议是每台机器和它直接相邻的机器间的协议,而协议是每台机器和它直接相邻的机器间的协议,而不是最终的源端机与目标机之间的协议,在它们中
24、不是最终的源端机与目标机之间的协议,在它们中间可能还有多个路由器。间可能还有多个路由器。传输层主要完成的功能如下:传输层主要完成的功能如下:分割和重组报文;分割和重组报文;提供可靠的提供可靠的“端端-端端”的服务;的服务;传输层的流量控制;传输层的流量控制;提供面向连接的和面向无连接数据传输服务。提供面向连接的和面向无连接数据传输服务。(5)会话层会话层(session layer)会话层允许不同机器上的用户建立会话会话层允许不同机器上的用户建立会话(session)关关系。系。会话层服务之一是管理对话。会话层允许信息同时双会话层服务之一是管理对话。会话层允许信息同时双向传输或任一时刻只能单向
25、传输。若属于后者,则向传输或任一时刻只能单向传输。若属于后者,则类似半双工通信,会话层将记录此时该轮到哪一方类似半双工通信,会话层将记录此时该轮到哪一方了。了。与会话有关的服务是令牌管理与会话有关的服务是令牌管理(token management)和同步和同步(synchronization)。(6)表示层表示层(presentation layer)表示层主要完成以下特定的功能:表示层主要完成以下特定的功能:对数据编码格式进行转换;对数据编码格式进行转换;数据压缩与恢复;数据压缩与恢复;建立数据交换格式;建立数据交换格式;数据的安全与保密;数据的安全与保密;其他特殊服务。其他特殊服务。(7)
26、应用层应用层(application layer)应用层包含大量人们普遍需要的协议和提供许多应用应用层包含大量人们普遍需要的协议和提供许多应用软件包。例如软件包。例如FTP、E-mail等程序及应用软件包。等程序及应用软件包。应用层完成的主要功能如下:应用层完成的主要功能如下:作为用户应用程序与网络间的接口作为用户应用程序与网络间的接口;使用户的应用程序能够与网络进行交互式联系。使用户的应用程序能够与网络进行交互式联系。在在OSI 7层模型中,每一层都提供一些明确的网络功层模型中,每一层都提供一些明确的网络功能。能。一般数据通信子网中的交换节点只包含一般数据通信子网中的交换节点只包含OSI模型
27、的下模型的下3层,表示节点的这层,表示节点的这3个层次又称为中继开放系统。个层次又称为中继开放系统。若从功能角度看,下面若从功能角度看,下面4层主要提供通信传输功能,层主要提供通信传输功能,以节点到节点之间的通信为主;高层协议以节点到节点之间的通信为主;高层协议(会话层、会话层、表示层和应用层表示层和应用层)则以提供用户与应用程序之间的则以提供用户与应用程序之间的处理功能为主。简而言之,低处理功能为主。简而言之,低4层协议属于通信功层协议属于通信功能,高能,高3层属于处理功能。层属于处理功能。若从产品看,低若从产品看,低3层协议一般由硬件完成,高层协议层协议一般由硬件完成,高层协议由软件完成。
28、例如,网卡和网桥完成物理层和数据由软件完成。例如,网卡和网桥完成物理层和数据链路层的功能,路由器完成网络层的功能,而电子链路层的功能,路由器完成网络层的功能,而电子邮件软件完成应用层的功能。邮件软件完成应用层的功能。在实际网络系统中,在实际网络系统中,OSI中的会话层和表示层很少使中的会话层和表示层很少使用。用。1.1.2 Internet网络网络 1.Internet物理结构物理结构Internet连接了不同国家与地区无数不同类型的电脑连接了不同国家与地区无数不同类型的电脑,可可能是某个校园网的大型主机,也可能是某个办公室的能是某个校园网的大型主机,也可能是某个办公室的个人电脑。硬件千差万别
29、,使用的操作系统与软件也个人电脑。硬件千差万别,使用的操作系统与软件也各不相同,要保证这些电脑之间能够畅通无阻地交换各不相同,要保证这些电脑之间能够畅通无阻地交换信息,必须有相通的语言,即统一的通信协议。信息,必须有相通的语言,即统一的通信协议。Internet是一个计算机网络的网络或叫做网间网是一个计算机网络的网络或叫做网间网(把全世把全世界各种各样的网络都联接到一起所形成的网络界各种各样的网络都联接到一起所形成的网络),那么,那么Internet是怎么把这些网络连接到一起的呢是怎么把这些网络连接到一起的呢?Internet是是用一种称为路由器的专用计算机将网络互联在一起的,用一种称为路由器
30、的专用计算机将网络互联在一起的,如图如图1.4所示。当然,单纯将计算机硬件互联在一起并所示。当然,单纯将计算机硬件互联在一起并不能形成不能形成Internet,互联的计算机还需要在软件的指挥,互联的计算机还需要在软件的指挥下才能正常地工作。下才能正常地工作。图图1.42.TCP/IP协议协议在在Internet中使用的一个关键的协议是网与网之间的中使用的一个关键的协议是网与网之间的协议,也叫做网际协议协议,也叫做网际协议(IP),IP精确地定义了分组精确地定义了分组必须怎样组成,以及路由器必须怎样将每一个分组必须怎样组成,以及路由器必须怎样将每一个分组递交到其目的地。连接到递交到其目的地。连接
31、到Internet上的每台计算机上的每台计算机都必须遵守网际协议都必须遵守网际协议 IP的约定。每台发送信息的计的约定。每台发送信息的计算机必须按算机必须按IP定义的格式产生分组。接收信息的计定义的格式产生分组。接收信息的计算机也需按算机也需按IP的约定从中提取信息。由此可见,实的约定从中提取信息。由此可见,实现该操作的软件现该操作的软件(IP软件软件)是最基本的软件,所有是最基本的软件,所有Internet服务都使用服务都使用IP来发送或接收分组,所以通来发送或接收分组,所以通常每台计算机在通信时都必须使常每台计算机在通信时都必须使 IP软件驻留在内存软件驻留在内存中,以便时刻准备发送或接收
32、分组。中,以便时刻准备发送或接收分组。IP分组也称为分组也称为 IP数据包。数据包。IP分组的发送就像电报局处理电报分组的发送就像电报局处理电报一样,一旦发送方准备好一个数据包并且将其发送一样,一旦发送方准备好一个数据包并且将其发送到到Internet上后,发送者就可以处理其他事务。上后,发送者就可以处理其他事务。TCP协议的主要作用是使协议的主要作用是使 Internet工作得比较可靠。工作得比较可靠。连接到连接到Internet上的所有计算机都运行上的所有计算机都运行IP软件,并软件,并且其中的绝大多数还运行且其中的绝大多数还运行TCP软件。软件。事实上,由于事实上,由于TCP和和IP在在
33、 Internet网络中的重要地位以及两者在网络中的重要地位以及两者在一起工作得很好,因此,把一起工作得很好,因此,把Internet中所使用的整中所使用的整个通信协议组称为个通信协议组称为TCP/IP协议组。协议组。TCP/IP协议也采用了层次体系结构,所涉及的层次协议也采用了层次体系结构,所涉及的层次包括网络接口层、传输层、网间网层和应用层。每包括网络接口层、传输层、网间网层和应用层。每一层都实现特定的网络功能,其中一层都实现特定的网络功能,其中TCP负责提供传负责提供传输层的服务,输层的服务,IP协议实现网间网层的功能。这种层协议实现网间网层的功能。这种层次结构系统遵循着对等实体通信原则
34、,即次结构系统遵循着对等实体通信原则,即Internet上两台主机之间传送数据时,都以使用相上两台主机之间传送数据时,都以使用相同功能通信为前提,这也是在同功能通信为前提,这也是在Internet上主机之间上主机之间地位平等的一个体现。地位平等的一个体现。TCP/IP协议模型如图协议模型如图1.5所所示。示。图图1.5下面介绍下面介绍TCP/IP协议各层实现的具体功能和作用。协议各层实现的具体功能和作用。(1)网络接口层网络接口层TCP/IP协议对这一层的描述很少,一般网络接口层协议对这一层的描述很少,一般网络接口层提供了提供了TCP/IP协议与各种物理网络的接口,为数协议与各种物理网络的接口
35、,为数据包的传送和校验提供了可能。这些物理网络包括据包的传送和校验提供了可能。这些物理网络包括各种局域网和广域网,如各种局域网和广域网,如Ethernet,Token Ring,X.25公共分组交换网等。网络接口层也为在其之上公共分组交换网等。网络接口层也为在其之上的网间网层提供服务。的网间网层提供服务。(2)网间网层网间网层(internet layer)网络接口层只提供了简单的数据流传送服务,而在网络接口层只提供了简单的数据流传送服务,而在Internet中网络与网络之间的数据传输主要依赖网中网络与网络之间的数据传输主要依赖网间网层中的间网层中的IP协议协议(internet protoc
36、ol)。IP是构成网间网层的一个主要部分。是构成网间网层的一个主要部分。IP负责负责Internet上主机与主机之间的通信,即将数据包由一台主机上主机与主机之间的通信,即将数据包由一台主机传输到另一台主机。传输到另一台主机。具体地讲,具体地讲,IP包括如下功能。包括如下功能。管理管理Internet中的地址:中的地址:由于由于IP负责将数据包由源负责将数据包由源方发送到目的方,因此要对数据包中的地址,即所方发送到目的方,因此要对数据包中的地址,即所谓谓Internet上的上的IP地址进行管理。而地址进行管理。而IP地址名称的地址名称的由来就是由来就是“符合符合IP协议的地址协议的地址”的简称。
37、的简称。IP地址具有固定、规范的格式。它由地址具有固定、规范的格式。它由32位位(bit)二进二进制数组成,分成制数组成,分成4段,其中每段,其中每8位构成一段,一般用位构成一段,一般用十进制数表示,段与段之间用小数点号十进制数表示,段与段之间用小数点号“.”隔开。隔开。例如,某台计算机的例如,某台计算机的IP地址为:地址为:192.168.1.25。IP地址根据适用范围的不同分为地址根据适用范围的不同分为3类:类:A类地址、类地址、B类地址和类地址和C类地址,主要依据网络号和主机号的数类地址,主要依据网络号和主机号的数量划分,如图量划分,如图1.6所示。其中所示。其中1.x.y.z126.x
38、.y.z格式的格式的IP地址,属于地址,属于A类地址,类地址,A类类IP地址通常用于大型地址通常用于大型网络的管理;网络的管理;128.x.y.z191.x.y.z格式的格式的IP地址,属地址,属于于B类地址,类地址,B类地址适应中等规模的网络;类地址适应中等规模的网络;192.x.y.z223.x.y.z格式的格式的IP地址,属于地址,属于C类地址,类地址,这种编址适用于一些小公司或研究机构;这种编址适用于一些小公司或研究机构;224.x.y.z239.x.y.z格式的格式的IP地址,用于特殊用途,地址,用于特殊用途,如多目广播;如多目广播;240.x.y.z255.x.y.z格式的格式的I
39、P地址,暂地址,暂时保留,用于某些实验和将来使用。时保留,用于某些实验和将来使用。图图1.6IP地址中的地址中的“主机号主机号”字段,可继续划分为字段,可继续划分为“子网号子网号”字段和字段和“主机号主机号”字段。一般来说,在一个单字段。一般来说,在一个单位分配到的位分配到的IP地址中,当主机数量很大时地址中,当主机数量很大时(例如:例如:一个一个B类地址,最多可以有类地址,最多可以有216-2=65 534台主机台主机),为了便于隔离和管理本单位的网络,同时防止网络为了便于隔离和管理本单位的网络,同时防止网络内由于主机数量太多以至出现广播风暴问题而采用内由于主机数量太多以至出现广播风暴问题而
40、采用子网划分。如图子网划分。如图1.7所示,判断两台主机是否在同一所示,判断两台主机是否在同一个子网中,需要用到子网掩码或子网模,子网掩码个子网中,需要用到子网掩码或子网模,子网掩码同同IP地址一样是一个地址一样是一个32位的二进制数,只是网络部位的二进制数,只是网络部分分(包括包括IP网络和子网网络和子网)全为全为“1”,主机部分全为,主机部分全为“0”。判断两个。判断两个IP地址是否在同一个子网中,只地址是否在同一个子网中,只需判断这两个需判断这两个IP地址与子网掩码做逻辑地址与子网掩码做逻辑“与与”运算运算的结果是否相同,相同则说明在同一个子网中。如的结果是否相同,相同则说明在同一个子网
41、中。如C类地址的子网掩码为类地址的子网掩码为255.255.255.0。图图1.7 路由选择功能:路由选择功能:数据包在传输过程中要由数据包在传输过程中要由IP通过通过路由选择算法,在源方与目的方之间选择一条最佳路由选择算法,在源方与目的方之间选择一条最佳的路径。的路径。数据包的分片与重组:数据包的分片与重组:数据包在传输过程中要经数据包在传输过程中要经过多个网络,因为每种网络所规定的分组长度不等,过多个网络,因为每种网络所规定的分组长度不等,当数据包经过只能传输长度较小的分组的网络时,当数据包经过只能传输长度较小的分组的网络时,就需要将数据包分割成小段才能通过。当数据包全就需要将数据包分割成
42、小段才能通过。当数据包全部到达目的方后,还需要由部到达目的方后,还需要由IP将它们重新组装。将它们重新组装。综上所述,综上所述,IP协议规定了协议规定了Internet上的计算机之间通上的计算机之间通信所必须遵守的规则。信所必须遵守的规则。IP定义了定义了Internet上上IP地址地址的格式,并通过路由选择,将数据包由一台计算机的格式,并通过路由选择,将数据包由一台计算机传递到另一台计算机。但传递到另一台计算机。但IP只负责传送数据包,而只负责传送数据包,而不考虑传输的可靠性、数据包的流量控制等安全因不考虑传输的可靠性、数据包的流量控制等安全因素。素。与与IP配合使用的还有以下配合使用的还有
43、以下3个协议:个协议:Internet控制报文协议控制报文协议ICMP(Internet control message protocol),用于报告差错和传输控制信息;,用于报告差错和传输控制信息;地址转换协议地址转换协议ARP(address resolution protocol),用于将用于将IP地址转换成物理地址地址转换成物理地址;反向地址转换协议反向地址转换协议RARP(reverse address resolution protocol),用于将物理地址转换成,用于将物理地址转换成IP地地址。址。(3)传输层传输层(transport layer)传输层中的传输层中的TCP协议
44、提供了一种可靠的传输方法,解协议提供了一种可靠的传输方法,解决了决了IP协议的不安全因素,为数据包正确、安全地协议的不安全因素,为数据包正确、安全地到达目的地提供了保障。这里定义了两个到达目的地提供了保障。这里定义了两个“端端-端端”的协议:的协议:TCP和和UDP。第一个是传输控制协议第一个是传输控制协议TCP(transmission control protocol)。它是一个面向连接的协议,允许从一台。它是一个面向连接的协议,允许从一台机器发出的字节流无差错地发往机器发出的字节流无差错地发往Internet上的其他上的其他机器。机器。TCP把输入的字节流分成报文段并传给网间把输入的字节
45、流分成报文段并传给网间网层。在接收端,网层。在接收端,TCP接收进程把收到的报文再组接收进程把收到的报文再组装成输出流。装成输出流。TCP还要处理流量控制,以避免高速还要处理流量控制,以避免高速发送方向低速接收方发送过多报文而使接收方无法发送方向低速接收方发送过多报文而使接收方无法处理。处理。第二个协议是用户数据报协议第二个协议是用户数据报协议UDP(user datagram protocol)。它是一个不可靠的、无连接协议,用于。它是一个不可靠的、无连接协议,用于不需要不需要TCP的排序和流量控制功能而是自己完成这的排序和流量控制功能而是自己完成这些功能的应用程序。它也被广泛地应用于只有一
46、次些功能的应用程序。它也被广泛地应用于只有一次的客户机的客户机/服务器模式的请求服务器模式的请求-应答查询,以及快应答查询,以及快3.Internet的服务的服务Internet发展迅猛,其提供的服务在不断增加,应用发展迅猛,其提供的服务在不断增加,应用领域也迅速扩大,而且日益渗透到人们的生活和工领域也迅速扩大,而且日益渗透到人们的生活和工作之中,成为日常交流中不可缺少的组成部分。这作之中,成为日常交流中不可缺少的组成部分。这里所列出的只是一些基本服务与应用的概括。里所列出的只是一些基本服务与应用的概括。Internet所提供的服务都采用客户机所提供的服务都采用客户机/服务器的模式。服务器的模
47、式。(1)电子邮件电子邮件E-mail(电子邮件电子邮件)是是Internet提供的一项最基本服务,提供的一项最基本服务,它基于客户机它基于客户机/服务器的模式,如图服务器的模式,如图1.8所示,是用所示,是用户使用最为广泛的户使用最为广泛的Internet服务之一。电子邮件的服务之一。电子邮件的最大特点是快速、方便,通常发送一封邮件只需几最大特点是快速、方便,通常发送一封邮件只需几分钟就能被对方接收到,并且费用低廉,特别适合分钟就能被对方接收到,并且费用低廉,特别适合远距离用户之间的相互联系。远距离用户之间的相互联系。Internet的电子邮件的电子邮件系统模仿普通的邮政业务,通过在一些特定
48、的网点系统模仿普通的邮政业务,通过在一些特定的网点(如如ISP的主机的主机)设定设定“邮局邮局”,提供,提供“邮局邮局”的主的主机又叫邮件服务器。用户可以在该机又叫邮件服务器。用户可以在该“邮局邮局”上租用上租用一个一个“电子信箱电子信箱”(mail box),当用户向,当用户向ISP申请申请“电子信箱电子信箱”时,时,ISP在邮件服务器上建立该用户的在邮件服务器上建立该用户的电子邮件账户,它包括用户名电子邮件账户,它包括用户名(user name)和用户和用户密码密码(password)。当需要进行邮件的收发处理时,。当需要进行邮件的收发处理时,用户可以在任何时间、任何地点与自己的用户可以在
49、任何时间、任何地点与自己的“邮局邮局”连接,输入自己信箱的用户名和密码打开电子信箱,连接,输入自己信箱的用户名和密码打开电子信箱,进行邮件的收发或存档处理等。进行邮件的收发或存档处理等。图图1.8每个电子信箱都有一个邮箱地址,称为电子邮件地址每个电子信箱都有一个邮箱地址,称为电子邮件地址(E-mail address)。电子邮件地址的格式是固定的,。电子邮件地址的格式是固定的,并且在全球范围内是惟一的。用户的邮件地址格式并且在全球范围内是惟一的。用户的邮件地址格式为:用户名为:用户名主机名,其中主机名,其中“”符号读作符号读作“at”。主机名指的是拥有独立主机名指的是拥有独立IP地址的计算机的
50、名字,用地址的计算机的名字,用户名是指在该计算机上为用户建立的电子邮件账号。户名是指在该计算机上为用户建立的电子邮件账号。例如,在例如,在“”主机上,有一个名为主机上,有一个名为“jzyuan”的用户,那么该用户的的用户,那么该用户的E-mail地址为地址为。目前,平均每天有目前,平均每天有5000万份电子邮件在万份电子邮件在Internet上传上传输,处于世界不同角落的人们均可通过这种方式来输,处于世界不同角落的人们均可通过这种方式来进行彼此间的交流。电子邮件有着电话、传真所无进行彼此间的交流。电子邮件有着电话、传真所无法比拟的优点,例如可以将一份电子邮件同时发法比拟的优点,例如可以将一份电