網(wǎng)絡(luò)安全體系結(jié)構(gòu)及協(xié)議

1、第2章網(wǎng)絡(luò)平安體系構(gòu)造及協(xié)議 本章要點(diǎn)了解計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的根底知識(shí)。了解OSI模型及平安體系構(gòu)造。了解TCP/IP模型及平安體系構(gòu)造。掌握常用的網(wǎng)絡(luò)協(xié)議和常用命令。掌握協(xié)議分析工具Sniffer的運(yùn)用方法。.2.1 計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議概述網(wǎng)絡(luò)協(xié)議及相關(guān)概念網(wǎng)絡(luò)協(xié)議是通訊雙方共同遵守的規(guī)那么和商定的集合。網(wǎng)絡(luò)協(xié)議包括三個(gè)要素：語(yǔ)法規(guī)定了信息的構(gòu)造和格式；語(yǔ)義闡明信息要表達(dá)的內(nèi)容；同步規(guī)那么涉及雙方的交互關(guān)系和事件順序。整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)現(xiàn)表達(dá)為協(xié)議的實(shí)現(xiàn)。為了保證網(wǎng)絡(luò)的各個(gè)功能的相對(duì)獨(dú)立性，以及便于實(shí)現(xiàn)和維護(hù)，通常將協(xié)議劃分為多個(gè)子協(xié)議，并且讓這些協(xié)議堅(jiān)持一種層次構(gòu)造，子協(xié)議的集合通常稱(chēng)為協(xié)議簇。.

2、2.1.1 網(wǎng)絡(luò)協(xié)議無(wú)論是面對(duì)面還是經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)展的一切通訊都要遵守預(yù)先確定的規(guī)那么，即協(xié)議。這些協(xié)議由會(huì)話的特性決議。在日常的個(gè)人通訊中，經(jīng)過(guò)一種介質(zhì)如線通訊時(shí)采用的規(guī)那么不一定與運(yùn)用另一種介質(zhì)如郵寄信件時(shí)的協(xié)議一樣。 網(wǎng)絡(luò)中不同主機(jī)之間的勝利通訊需求在許多不同協(xié)議之間進(jìn)展交互。執(zhí)行某種通訊功能所需的一組內(nèi)在相關(guān)協(xié)議稱(chēng)為協(xié)議簇。這些協(xié)議經(jīng)過(guò)加載到各臺(tái)主機(jī)和網(wǎng)絡(luò)設(shè)備中的軟件和硬件執(zhí)行。 .網(wǎng)絡(luò)協(xié)議簇闡明了以下過(guò)程。1音訊的格式或構(gòu)造。2網(wǎng)絡(luò)設(shè)備共享通往其他網(wǎng)絡(luò)的通道信息的方法。3設(shè)備之間傳送錯(cuò)誤音訊和系統(tǒng)音訊的方式與時(shí)間。4數(shù)據(jù)傳輸會(huì)話的建立和終止。 .2.1.2 協(xié)議簇和行業(yè)規(guī)范組成協(xié)議簇的許

3、多協(xié)議通常都要參考其他廣泛采用的協(xié)議或行業(yè)規(guī)范。規(guī)范是指曾經(jīng)遭到網(wǎng)絡(luò)行業(yè)認(rèn)可并經(jīng)過(guò)電氣電子工程師協(xié)會(huì)IEEE 或 Internet 工程義務(wù)組IETF 之類(lèi)規(guī)范化組織同意的流程或協(xié)議。 在協(xié)議的開(kāi)發(fā)和實(shí)現(xiàn)過(guò)程中運(yùn)用規(guī)范可以確保來(lái)自不同制造商的產(chǎn)品協(xié)同任務(wù)，從而獲得有效的通訊。假設(shè)某家制造商沒(méi)有嚴(yán)厲遵守協(xié)議，其設(shè)備或軟件能夠就無(wú)法與其他制造商消費(fèi)的產(chǎn)品勝利通訊。 .2.1.3 協(xié)議的交互1運(yùn)用程序協(xié)議2傳輸協(xié)議 3網(wǎng)間協(xié)議4網(wǎng)絡(luò)訪問(wèn)協(xié)議.2.1.4 技術(shù)無(wú)關(guān)協(xié)議網(wǎng)絡(luò)協(xié)議描畫(huà)的是網(wǎng)絡(luò)通訊期間實(shí)現(xiàn)的功能。在面對(duì)面交談的例如中，通訊的一項(xiàng)協(xié)議能夠會(huì)規(guī)定，為了發(fā)出交談終了的信號(hào)，發(fā)言者必需堅(jiān)持沉默兩秒鐘

4、。但是，這項(xiàng)協(xié)議并沒(méi)有規(guī)定發(fā)言者在這兩秒鐘內(nèi)應(yīng)該如何堅(jiān)持沉默。協(xié)議通常都不會(huì)闡明如何實(shí)現(xiàn)特定的功能。經(jīng)過(guò)僅僅闡明特定通訊規(guī)那么所需求的功能是什么，而并不規(guī)定這些規(guī)那么應(yīng)該如何實(shí)現(xiàn)，特定協(xié)議的實(shí)現(xiàn)就可以與技術(shù)無(wú)關(guān)。.2.2 OSI參考模型及其平安體系2.2.1 計(jì)算機(jī)網(wǎng)絡(luò)體系構(gòu)造要籠統(tǒng)地顯示各種協(xié)議之間的交互，通常會(huì)運(yùn)用分層模型。分層模型籠統(tǒng)地闡明了各層內(nèi)協(xié)議的任務(wù)方式及其與上下層之間的交互。 .協(xié)議分層的益處：網(wǎng)絡(luò)協(xié)議的分層有利于將復(fù)雜的問(wèn)題分解成多個(gè)簡(jiǎn)單的問(wèn)題，從而分而治之；分層有利于網(wǎng)絡(luò)的互聯(lián)，進(jìn)展協(xié)議轉(zhuǎn)換時(shí)能夠只涉及某一個(gè)或幾個(gè)層次而不是一切層次；分層可以屏蔽下層的變化，新的底層技術(shù)的引

5、入，不會(huì)對(duì)上層的運(yùn)用協(xié)議產(chǎn)生影響。協(xié)議的實(shí)現(xiàn)要落實(shí)到一個(gè)個(gè)詳細(xì)的硬件模塊和軟件模塊上，在網(wǎng)絡(luò)中將這些實(shí)現(xiàn)特定功能的模塊稱(chēng)為實(shí)體Entity。如圖2-2所示，兩個(gè)結(jié)點(diǎn)之間的通訊表達(dá)為兩個(gè)結(jié)點(diǎn)對(duì)等層結(jié)點(diǎn)A的N+1層與結(jié)點(diǎn)B的N+1層之間服從本層協(xié)議的通訊。.各層的協(xié)議由各層的實(shí)體實(shí)現(xiàn)，通訊雙方對(duì)等層中完成一樣協(xié)議功能的實(shí)體稱(chēng)為對(duì)等實(shí)體。對(duì)等實(shí)體按協(xié)議進(jìn)展通訊，所以協(xié)議反映的是對(duì)等層的對(duì)等實(shí)體之間的一種橫向關(guān)系，嚴(yán)厲地說(shuō)，協(xié)議是對(duì)等實(shí)體共同遵守的規(guī)那么和商定的集合。協(xié)議中的格式和語(yǔ)義只需對(duì)等實(shí)體可以了解。 .對(duì)等實(shí)體之間數(shù)據(jù)單元在發(fā)送方逐層封裝，在接納方的逐層解封裝。發(fā)送方N層實(shí)體從N+1層實(shí)體得到

6、的數(shù)據(jù)包稱(chēng)為效力數(shù)據(jù)單元Service Data Unit，SDU。N層實(shí)體只將其視為需求本實(shí)體提供效力的數(shù)據(jù)，將效力數(shù)據(jù)單元進(jìn)展封裝，使其成為一個(gè)對(duì)方可以了解的協(xié)議數(shù)據(jù)單元Protocol Data Unit，PDU，封裝過(guò)程實(shí)踐上是為SDU添加對(duì)等實(shí)體間商定的協(xié)議控制信息Protocol Control Information，PCI的過(guò)程。.2.2.2 OSI參考模型簡(jiǎn)介1OSI參考模型的層次構(gòu)造1物理層 2數(shù)據(jù)鏈路層 3網(wǎng)絡(luò)層 4傳輸層 5會(huì)話層 6表示層 7運(yùn)用層 .網(wǎng)絡(luò)劃分為資源子網(wǎng)和通訊子網(wǎng)，如圖2-3所示。通訊子網(wǎng)由通訊設(shè)備和線路構(gòu)成，資源子網(wǎng)由主機(jī)和其他末端系統(tǒng)構(gòu)成。交換結(jié)點(diǎn)

7、屬于通訊子網(wǎng)，訪問(wèn)結(jié)點(diǎn)屬于資源子網(wǎng)。由于主機(jī)也具有通訊功能，所以嚴(yán)厲地講，主機(jī)中擔(dān)任底層通訊的部分也應(yīng)該屬于通訊子網(wǎng)。 .20世紀(jì)70年代出現(xiàn)了多種網(wǎng)絡(luò)體系構(gòu)造。針對(duì)這一問(wèn)題，國(guó)際規(guī)范化組織ISO提出了著名的開(kāi)放系統(tǒng)互連參考模型ISO/OSI-RM。OSI采用了如圖2-4所示的七層參考模型。 .1 物理層Physical Layer 物理層包括物理連網(wǎng)媒介，實(shí)踐上就是布線、光纖、網(wǎng)卡和其它用來(lái)把兩臺(tái)網(wǎng)絡(luò)通訊設(shè)備銜接在一同的東西。它規(guī)定了激活、維持、封鎖通訊端點(diǎn)之間的機(jī)械特性、電氣特性、功能特性以及過(guò)程特性。雖然物理層不提供糾錯(cuò)效力，但它可以設(shè)定數(shù)據(jù)傳輸速率并監(jiān)測(cè)數(shù)據(jù)出錯(cuò)率。 物理層定義的規(guī)范包

8、括：EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。 .2 數(shù)據(jù)鏈路層Datalink Layer 數(shù)據(jù)鏈路層主要作用是控制網(wǎng)絡(luò)層與物理層之間的通訊。它保證了數(shù)據(jù)在不可靠的物理線路上進(jìn)展可靠的傳送。它把從網(wǎng)絡(luò)層接納到的數(shù)據(jù)分割成特定的可被物理層傳輸?shù)膸?，保證了傳輸?shù)目煽啃?。它的主要作用包括：物理地址尋址、?shù)據(jù)的成幀、流量控制、數(shù)據(jù)的檢錯(cuò)、重發(fā)等。它是獨(dú)立于網(wǎng)絡(luò)層和物理層的，任務(wù)時(shí)無(wú)需關(guān)懷計(jì)算機(jī)能否正在運(yùn)轉(zhuǎn)軟件還是其他操作。 數(shù)據(jù)鏈路層協(xié)議的代表包括：SDLC、HDLC、PPP、STP、幀中繼等。 .3 網(wǎng)絡(luò)層Network Layer 很多用戶(hù)經(jīng)常混淆2層和

9、3層的相關(guān)問(wèn)題，簡(jiǎn)單來(lái)說(shuō)，假設(shè)他在議論一個(gè)與IP地址、路由協(xié)議或地址解析協(xié)議ARP相關(guān)的問(wèn)題，那么這就是第三層的問(wèn)題。網(wǎng)絡(luò)層擔(dān)任對(duì)子網(wǎng)間的數(shù)據(jù)包進(jìn)展路由選擇，它經(jīng)過(guò)綜合思索發(fā)送優(yōu)先權(quán)、網(wǎng)絡(luò)擁塞程度、效力質(zhì)量以及可選路由的破費(fèi)來(lái)決議從一個(gè)網(wǎng)絡(luò)中兩個(gè)節(jié)點(diǎn)的最正確途徑。另外，它還可以實(shí)現(xiàn)擁塞控制、網(wǎng)際互連等功能。網(wǎng)絡(luò)層協(xié)議的代表包括：IP、IPX、RIP、OSPF等 .4 傳輸層 (Transport layer)傳輸層是OSI模型中最重要的一層，它是兩臺(tái)計(jì)算機(jī)經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)展數(shù)據(jù)通訊時(shí),第一個(gè)端到端的層次，起到緩沖作用。當(dāng)網(wǎng)絡(luò)層的效力質(zhì)量不能滿足要求時(shí)，它將提高效力，以滿足高層的要求；而當(dāng)網(wǎng)絡(luò)層效力質(zhì)

10、量較好時(shí)，它只需進(jìn)展很少的任務(wù)。另外，它還要處置端到端的過(guò)失控制和流量控制等問(wèn)題，最終為會(huì)話提供可靠的,無(wú)誤的數(shù)據(jù)傳輸。 傳輸層協(xié)議的代表包括：TCP、UDP、SPX等。 .5 會(huì)話層(Session layer)會(huì)話層擔(dān)任在網(wǎng)絡(luò)中的兩節(jié)點(diǎn)之間建立和維持通訊，并堅(jiān)持會(huì)話獲得同步，它還決議通訊能否被中斷以及通訊中斷時(shí)決議從何處重新發(fā)送。 .6 表示層(Prisentation layer)表示層的作用是管理數(shù)據(jù)的解密與加密，如常見(jiàn)的系統(tǒng)口令處置，當(dāng)他的賬戶(hù)數(shù)據(jù)在發(fā)送前被加密，在網(wǎng)絡(luò)的另一端，表示層將對(duì)接納到的數(shù)據(jù)解密。另外，表示層還需對(duì)圖片和文件格式信息進(jìn)展解碼和編碼。 .7 運(yùn)用層applic

11、ation layer 簡(jiǎn)單來(lái)說(shuō)，運(yùn)用層就是為操作系統(tǒng)或網(wǎng)絡(luò)運(yùn)用程序提供訪問(wèn)網(wǎng)絡(luò)效力的接口，包括文件傳輸、文件管理以及電子郵件等的信息處置。運(yùn)用層協(xié)議的代表包括：Telnet、FTP、SNMP等。.戀愛(ài)和OSI model七層起初只是近間隔地點(diǎn)對(duì)點(diǎn)無(wú)線收發(fā)愛(ài)的信號(hào)，乃物理層； 然后就是經(jīng)過(guò)某個(gè)媒體比如一支花、一本書(shū)將信號(hào)傳輸，乃數(shù)據(jù)鏈路層； 開(kāi)場(chǎng)有選擇地分組分割發(fā)送和裝配接納愛(ài)的信號(hào)，選擇最正確的傳送途徑，乃網(wǎng)絡(luò)層； 拖手和接吻可謂傳輸層，確保信號(hào)順利地傳送到目的地； 甜言蜜語(yǔ)與鴻雁往來(lái)屬于會(huì)話層，包括名字查找和平安防護(hù)； 訂婚歸于表示層，將信號(hào)格式轉(zhuǎn)換進(jìn)展愛(ài)的解釋并加以穩(wěn)定； 結(jié)婚，當(dāng)然是運(yùn)

12、用層，由于它提供了一切運(yùn)用程序的直接支持。.2.2.3 ISO/OSI平安體系 1平安效力1認(rèn)證效力2訪問(wèn)控制 3數(shù)據(jù)性效力 4數(shù)據(jù)完好性效力5抗否認(rèn)效力.1對(duì)象認(rèn)證平安效力：用于識(shí)別對(duì)象的身份和對(duì)身份的證明。OSI環(huán)境可提供對(duì)等實(shí)體認(rèn)證和信源認(rèn)證等平安效力。對(duì)等實(shí)體認(rèn)證是用來(lái)驗(yàn)證在某一關(guān)聯(lián)的實(shí)體中，對(duì)等實(shí)體的聲稱(chēng)是一致的，它可以確認(rèn)對(duì)等實(shí)體沒(méi)有冒充身份；而信源認(rèn)證是用于驗(yàn)證所收到的數(shù)據(jù)來(lái)源與所聲稱(chēng)的來(lái)源能否一致，它不提供防止數(shù)據(jù)中途被修正的功能。2訪問(wèn)控制平安效力：提供對(duì)越權(quán)運(yùn)用資源的防御措施。訪問(wèn)控制可分為自主訪問(wèn)控制、強(qiáng)迫型訪問(wèn)控制、基于角色的訪問(wèn)控制，。實(shí)現(xiàn)機(jī)制可以是基于訪問(wèn)控制屬性的

13、訪問(wèn)控制表、基于平安標(biāo)簽或用戶(hù)和資源分檔的多級(jí)訪問(wèn)控制等 .3數(shù)據(jù)嚴(yán)密性平安效力：它是針對(duì)信息走漏而采取的防御措施，可分為信息嚴(yán)密、選擇段嚴(yán)密和業(yè)務(wù)流嚴(yán)密。它的根底是數(shù)據(jù)加密機(jī)制的選擇。4數(shù)據(jù)完好性平安效力：防止非法篡改信息，如修正、復(fù)制、插入和刪除等。它有5種方式：可恢復(fù)銜接完好性、無(wú)恢復(fù)銜接完好性、選擇字段銜接完好性、無(wú)銜接完好性和選擇字段無(wú)銜接完好性。5防抵賴(lài)性平安效力：是針對(duì)對(duì)方抵賴(lài)的防備措施，用來(lái)證明發(fā)生過(guò)的操作，它可分為對(duì)發(fā)送防抵賴(lài)、對(duì)遞交防抵賴(lài)和進(jìn)展公證。 .2平安機(jī)制1加密機(jī)制 2數(shù)字簽名機(jī)制3訪問(wèn)控制 4數(shù)據(jù)完好性 5鑒別交換機(jī)制 6通訊流量填充機(jī)制 7路由選擇控制機(jī)制 8公

14、證機(jī)制 .1加密機(jī)制：借助各種加密算法對(duì)存放的數(shù)據(jù)和流通中的信息進(jìn)展加密。DES算法已經(jīng)過(guò)硬件實(shí)現(xiàn)，效率非常高。2數(shù)字簽名：采用公鑰體制，運(yùn)用私鑰進(jìn)展數(shù)字簽名，運(yùn)用公鑰對(duì)簽名信息進(jìn)展證明。3訪問(wèn)控制機(jī)制：根據(jù)訪問(wèn)者的身份和有關(guān)信息，決議實(shí)體的訪問(wèn)權(quán)限。4數(shù)據(jù)完好性機(jī)制：判別信息在傳輸過(guò)程中能否被篡矯正，與加密機(jī)制有關(guān)。5認(rèn)證交換機(jī)制：用來(lái)實(shí)現(xiàn)同級(jí)之間的認(rèn)證。.6防業(yè)務(wù)流量分析機(jī)制：經(jīng)過(guò)填充冗余的業(yè)務(wù)流量來(lái)防止攻擊者對(duì)流量進(jìn)展分析，填充過(guò)的流量需經(jīng)過(guò)加密進(jìn)展維護(hù)。7路由控制機(jī)制：防止不利的信息經(jīng)過(guò)路由。目前典型的運(yùn)用為網(wǎng)絡(luò)層防火墻。8公證機(jī)制：由公證人第三方參與數(shù)字簽名，它基于通訊雙方對(duì)第三者都

15、絕對(duì)置信。目前，因特網(wǎng)上有許多向用戶(hù)提供此機(jī)制的效力。.3平安管理為了更有效地運(yùn)用平安效力，需求有其他措施來(lái)支持它們的操作，這些措施即為平安管理。平安管理是對(duì)平安效力和平安機(jī)制進(jìn)展管理，把管理信息分配到有關(guān)的平安效力和平安機(jī)制中去，并搜集與它們的操作有關(guān)的信息。分為 系統(tǒng)平安管理 平安效力管理 平安機(jī)制管理4平安層次.因特網(wǎng)協(xié)議通常又稱(chēng)為T(mén)CP/IP協(xié)議。2.3 TCP/IP參考模型及其平安體系.前往網(wǎng)絡(luò)接口層實(shí)踐上包含OSI模型的物理層和鏈路層，TCP/IP并未對(duì)這兩層進(jìn)展定義，它支持現(xiàn)有的各種底層網(wǎng)絡(luò)技術(shù)和規(guī)范。該層涉及操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和網(wǎng)絡(luò)接口卡。網(wǎng)絡(luò)層又稱(chēng)為互聯(lián)網(wǎng)層或IP層，該

16、層處置IP數(shù)據(jù)報(bào)的傳輸、路由選擇、流量控制和擁塞控制。傳輸層為兩臺(tái)主機(jī)上的運(yùn)用程序提供端到端的通訊。TCP/IP的傳輸層包含傳輸控制協(xié)議TCP和用戶(hù)數(shù)據(jù)報(bào)協(xié)議UDP。運(yùn)用層為用戶(hù)提供一些常用的運(yùn)用程序，TCP/IP給出了運(yùn)用層的一些常用協(xié)議規(guī)范。.開(kāi)放系統(tǒng)互連參考模型與TCP/IP的關(guān)系 國(guó)際規(guī)范化組織的開(kāi)放系統(tǒng)互連模型與TCP/IP協(xié)議層次的對(duì)應(yīng)關(guān)系如圖2-16所示。.除了層次構(gòu)造方面的差別外，ISO/OSI與TCP/IP還存在如表2-2所列的差別。 前往.TCP/IP是一個(gè)協(xié)議簇，其構(gòu)成如圖2-17所示。TCP/IP協(xié)議簇 .各協(xié)議模塊之間的關(guān)系留意兩點(diǎn)：一是運(yùn)用進(jìn)程可以直接與網(wǎng)絡(luò)層的模塊打交道一個(gè)下層模塊要和多個(gè)上層模塊進(jìn)展交互。.2.3.2 TCP/IP參考模型的平安體系1網(wǎng)絡(luò)接入層平安2Internet層平安3傳輸層平安4運(yùn)用層平安.2.4 常用網(wǎng)絡(luò)協(xié)議和效力 2.4.1 常用網(wǎng)絡(luò)協(xié)議1IP2TCP3UDP2.4.2 常用網(wǎng)絡(luò)效力1活動(dòng)目錄2WWW效力3電子郵件 4Telnet5FTP6DNS.2.5 Windows常用的網(wǎng)絡(luò)命令2.5.1 ping命令2.5.2 at命令2.5.3 netstat命令2.5.4 tracert命令2.5.5 net命令2.5.6 ftp命令2.5.7 nb