網(wǎng)絡(luò)安全體系結(jié)構(gòu)及協(xié)議

1、第2章網(wǎng)絡(luò)平安體系構(gòu)造及協(xié)議 本章要點了解計算機網(wǎng)絡(luò)協(xié)議的根底知識。了解OSI模型及平安體系構(gòu)造。了解TCP/IP模型及平安體系構(gòu)造。掌握常用的網(wǎng)絡(luò)協(xié)議和常用命令。掌握協(xié)議分析工具Sniffer的運用方法。.2.1 計算機網(wǎng)絡(luò)協(xié)議概述網(wǎng)絡(luò)協(xié)議及相關(guān)概念網(wǎng)絡(luò)協(xié)議是通訊雙方共同遵守的規(guī)那么和商定的集合。網(wǎng)絡(luò)協(xié)議包括三個要素：語法規(guī)定了信息的構(gòu)造和格式；語義闡明信息要表達的內(nèi)容；同步規(guī)那么涉及雙方的交互關(guān)系和事件順序。整個計算機網(wǎng)絡(luò)的實現(xiàn)表達為協(xié)議的實現(xiàn)。為了保證網(wǎng)絡(luò)的各個功能的相對獨立性，以及便于實現(xiàn)和維護，通常將協(xié)議劃分為多個子協(xié)議，并且讓這些協(xié)議堅持一種層次構(gòu)造，子協(xié)議的集合通常稱為協(xié)議簇。.

2、2.1.1 網(wǎng)絡(luò)協(xié)議無論是面對面還是經(jīng)過網(wǎng)絡(luò)進展的一切通訊都要遵守預(yù)先確定的規(guī)那么，即協(xié)議。這些協(xié)議由會話的特性決議。在日常的個人通訊中，經(jīng)過一種介質(zhì)如線通訊時采用的規(guī)那么不一定與運用另一種介質(zhì)如郵寄信件時的協(xié)議一樣。 網(wǎng)絡(luò)中不同主機之間的勝利通訊需求在許多不同協(xié)議之間進展交互。執(zhí)行某種通訊功能所需的一組內(nèi)在相關(guān)協(xié)議稱為協(xié)議簇。這些協(xié)議經(jīng)過加載到各臺主機和網(wǎng)絡(luò)設(shè)備中的軟件和硬件執(zhí)行。 .網(wǎng)絡(luò)協(xié)議簇闡明了以下過程。1音訊的格式或構(gòu)造。2網(wǎng)絡(luò)設(shè)備共享通往其他網(wǎng)絡(luò)的通道信息的方法。3設(shè)備之間傳送錯誤音訊和系統(tǒng)音訊的方式與時間。4數(shù)據(jù)傳輸會話的建立和終止。 .2.1.2 協(xié)議簇和行業(yè)規(guī)范組成協(xié)議簇的許

3、多協(xié)議通常都要參考其他廣泛采用的協(xié)議或行業(yè)規(guī)范。規(guī)范是指曾經(jīng)遭到網(wǎng)絡(luò)行業(yè)認(rèn)可并經(jīng)過電氣電子工程師協(xié)會IEEE 或 Internet 工程義務(wù)組IETF 之類規(guī)范化組織同意的流程或協(xié)議。 在協(xié)議的開發(fā)和實現(xiàn)過程中運用規(guī)范可以確保來自不同制造商的產(chǎn)品協(xié)同任務(wù)，從而獲得有效的通訊。假設(shè)某家制造商沒有嚴(yán)厲遵守協(xié)議，其設(shè)備或軟件能夠就無法與其他制造商消費的產(chǎn)品勝利通訊。 .2.1.3 協(xié)議的交互1運用程序協(xié)議2傳輸協(xié)議 3網(wǎng)間協(xié)議4網(wǎng)絡(luò)訪問協(xié)議.2.1.4 技術(shù)無關(guān)協(xié)議網(wǎng)絡(luò)協(xié)議描畫的是網(wǎng)絡(luò)通訊期間實現(xiàn)的功能。在面對面交談的例如中，通訊的一項協(xié)議能夠會規(guī)定，為了發(fā)出交談終了的信號，發(fā)言者必需堅持沉默兩秒鐘

4、。但是，這項協(xié)議并沒有規(guī)定發(fā)言者在這兩秒鐘內(nèi)應(yīng)該如何堅持沉默。協(xié)議通常都不會闡明如何實現(xiàn)特定的功能。經(jīng)過僅僅闡明特定通訊規(guī)那么所需求的功能是什么，而并不規(guī)定這些規(guī)那么應(yīng)該如何實現(xiàn)，特定協(xié)議的實現(xiàn)就可以與技術(shù)無關(guān)。.2.2 OSI參考模型及其平安體系2.2.1 計算機網(wǎng)絡(luò)體系構(gòu)造要籠統(tǒng)地顯示各種協(xié)議之間的交互，通常會運用分層模型。分層模型籠統(tǒng)地闡明了各層內(nèi)協(xié)議的任務(wù)方式及其與上下層之間的交互。 .協(xié)議分層的益處：網(wǎng)絡(luò)協(xié)議的分層有利于將復(fù)雜的問題分解成多個簡單的問題，從而分而治之；分層有利于網(wǎng)絡(luò)的互聯(lián)，進展協(xié)議轉(zhuǎn)換時能夠只涉及某一個或幾個層次而不是一切層次；分層可以屏蔽下層的變化，新的底層技術(shù)的引

5、入，不會對上層的運用協(xié)議產(chǎn)生影響。協(xié)議的實現(xiàn)要落實到一個個詳細(xì)的硬件模塊和軟件模塊上，在網(wǎng)絡(luò)中將這些實現(xiàn)特定功能的模塊稱為實體Entity。如圖2-2所示，兩個結(jié)點之間的通訊表達為兩個結(jié)點對等層結(jié)點A的N+1層與結(jié)點B的N+1層之間服從本層協(xié)議的通訊。.各層的協(xié)議由各層的實體實現(xiàn)，通訊雙方對等層中完成一樣協(xié)議功能的實體稱為對等實體。對等實體按協(xié)議進展通訊，所以協(xié)議反映的是對等層的對等實體之間的一種橫向關(guān)系，嚴(yán)厲地說，協(xié)議是對等實體共同遵守的規(guī)那么和商定的集合。協(xié)議中的格式和語義只需對等實體可以了解。 .對等實體之間數(shù)據(jù)單元在發(fā)送方逐層封裝，在接納方的逐層解封裝。發(fā)送方N層實體從N+1層實體得到

6、的數(shù)據(jù)包稱為效力數(shù)據(jù)單元Service Data Unit，SDU。N層實體只將其視為需求本實體提供效力的數(shù)據(jù)，將效力數(shù)據(jù)單元進展封裝，使其成為一個對方可以了解的協(xié)議數(shù)據(jù)單元Protocol Data Unit，PDU，封裝過程實踐上是為SDU添加對等實體間商定的協(xié)議控制信息Protocol Control Information，PCI的過程。.2.2.2 OSI參考模型簡介1OSI參考模型的層次構(gòu)造1物理層 2數(shù)據(jù)鏈路層 3網(wǎng)絡(luò)層 4傳輸層 5會話層 6表示層 7運用層 .網(wǎng)絡(luò)劃分為資源子網(wǎng)和通訊子網(wǎng)，如圖2-3所示。通訊子網(wǎng)由通訊設(shè)備和線路構(gòu)成，資源子網(wǎng)由主機和其他末端系統(tǒng)構(gòu)成。交換結(jié)點

7、屬于通訊子網(wǎng)，訪問結(jié)點屬于資源子網(wǎng)。由于主機也具有通訊功能，所以嚴(yán)厲地講，主機中擔(dān)任底層通訊的部分也應(yīng)該屬于通訊子網(wǎng)。 .20世紀(jì)70年代出現(xiàn)了多種網(wǎng)絡(luò)體系構(gòu)造。針對這一問題，國際規(guī)范化組織ISO提出了著名的開放系統(tǒng)互連參考模型ISO/OSI-RM。OSI采用了如圖2-4所示的七層參考模型。 .1 物理層Physical Layer 物理層包括物理連網(wǎng)媒介，實踐上就是布線、光纖、網(wǎng)卡和其它用來把兩臺網(wǎng)絡(luò)通訊設(shè)備銜接在一同的東西。它規(guī)定了激活、維持、封鎖通訊端點之間的機械特性、電氣特性、功能特性以及過程特性。雖然物理層不提供糾錯效力，但它可以設(shè)定數(shù)據(jù)傳輸速率并監(jiān)測數(shù)據(jù)出錯率。 物理層定義的規(guī)范包

8、括：EIA/TIA RS-232、EIA/TIA RS-449、V.35、RJ-45等。 .2 數(shù)據(jù)鏈路層Datalink Layer 數(shù)據(jù)鏈路層主要作用是控制網(wǎng)絡(luò)層與物理層之間的通訊。它保證了數(shù)據(jù)在不可靠的物理線路上進展可靠的傳送。它把從網(wǎng)絡(luò)層接納到的數(shù)據(jù)分割成特定的可被物理層傳輸?shù)膸?，保證了傳輸?shù)目煽啃?。它的主要作用包括：物理地址尋址、?shù)據(jù)的成幀、流量控制、數(shù)據(jù)的檢錯、重發(fā)等。它是獨立于網(wǎng)絡(luò)層和物理層的，任務(wù)時無需關(guān)懷計算機能否正在運轉(zhuǎn)軟件還是其他操作。 數(shù)據(jù)鏈路層協(xié)議的代表包括：SDLC、HDLC、PPP、STP、幀中繼等。 .3 網(wǎng)絡(luò)層Network Layer 很多用戶經(jīng)?；煜?層和

9、3層的相關(guān)問題，簡單來說，假設(shè)他在議論一個與IP地址、路由協(xié)議或地址解析協(xié)議ARP相關(guān)的問題，那么這就是第三層的問題。網(wǎng)絡(luò)層擔(dān)任對子網(wǎng)間的數(shù)據(jù)包進展路由選擇，它經(jīng)過綜合思索發(fā)送優(yōu)先權(quán)、網(wǎng)絡(luò)擁塞程度、效力質(zhì)量以及可選路由的破費來決議從一個網(wǎng)絡(luò)中兩個節(jié)點的最正確途徑。另外，它還可以實現(xiàn)擁塞控制、網(wǎng)際互連等功能。網(wǎng)絡(luò)層協(xié)議的代表包括：IP、IPX、RIP、OSPF等 .4 傳輸層 (Transport layer)傳輸層是OSI模型中最重要的一層，它是兩臺計算機經(jīng)過網(wǎng)絡(luò)進展數(shù)據(jù)通訊時,第一個端到端的層次，起到緩沖作用。當(dāng)網(wǎng)絡(luò)層的效力質(zhì)量不能滿足要求時，它將提高效力，以滿足高層的要求；而當(dāng)網(wǎng)絡(luò)層效力質(zhì)

10、量較好時，它只需進展很少的任務(wù)。另外，它還要處置端到端的過失控制和流量控制等問題，最終為會話提供可靠的,無誤的數(shù)據(jù)傳輸。 傳輸層協(xié)議的代表包括：TCP、UDP、SPX等。 .5 會話層(Session layer)會話層擔(dān)任在網(wǎng)絡(luò)中的兩節(jié)點之間建立和維持通訊，并堅持會話獲得同步，它還決議通訊能否被中斷以及通訊中斷時決議從何處重新發(fā)送。 .6 表示層(Prisentation layer)表示層的作用是管理數(shù)據(jù)的解密與加密，如常見的系統(tǒng)口令處置，當(dāng)他的賬戶數(shù)據(jù)在發(fā)送前被加密，在網(wǎng)絡(luò)的另一端，表示層將對接納到的數(shù)據(jù)解密。另外，表示層還需對圖片和文件格式信息進展解碼和編碼。 .7 運用層applic

11、ation layer 簡單來說，運用層就是為操作系統(tǒng)或網(wǎng)絡(luò)運用程序提供訪問網(wǎng)絡(luò)效力的接口，包括文件傳輸、文件管理以及電子郵件等的信息處置。運用層協(xié)議的代表包括：Telnet、FTP、SNMP等。.戀愛和OSI model七層起初只是近間隔地點對點無線收發(fā)愛的信號，乃物理層； 然后就是經(jīng)過某個媒體比如一支花、一本書將信號傳輸，乃數(shù)據(jù)鏈路層； 開場有選擇地分組分割發(fā)送和裝配接納愛的信號，選擇最正確的傳送途徑，乃網(wǎng)絡(luò)層； 拖手和接吻可謂傳輸層，確保信號順利地傳送到目的地； 甜言蜜語與鴻雁往來屬于會話層，包括名字查找和平安防護； 訂婚歸于表示層，將信號格式轉(zhuǎn)換進展愛的解釋并加以穩(wěn)定； 結(jié)婚，當(dāng)然是運

12、用層，由于它提供了一切運用程序的直接支持。.2.2.3 ISO/OSI平安體系 1平安效力1認(rèn)證效力2訪問控制 3數(shù)據(jù)性效力 4數(shù)據(jù)完好性效力5抗否認(rèn)效力.1對象認(rèn)證平安效力：用于識別對象的身份和對身份的證明。OSI環(huán)境可提供對等實體認(rèn)證和信源認(rèn)證等平安效力。對等實體認(rèn)證是用來驗證在某一關(guān)聯(lián)的實體中，對等實體的聲稱是一致的，它可以確認(rèn)對等實體沒有冒充身份；而信源認(rèn)證是用于驗證所收到的數(shù)據(jù)來源與所聲稱的來源能否一致，它不提供防止數(shù)據(jù)中途被修正的功能。2訪問控制平安效力：提供對越權(quán)運用資源的防御措施。訪問控制可分為自主訪問控制、強迫型訪問控制、基于角色的訪問控制，。實現(xiàn)機制可以是基于訪問控制屬性的

13、訪問控制表、基于平安標(biāo)簽或用戶和資源分檔的多級訪問控制等 .3數(shù)據(jù)嚴(yán)密性平安效力：它是針對信息走漏而采取的防御措施，可分為信息嚴(yán)密、選擇段嚴(yán)密和業(yè)務(wù)流嚴(yán)密。它的根底是數(shù)據(jù)加密機制的選擇。4數(shù)據(jù)完好性平安效力：防止非法篡改信息，如修正、復(fù)制、插入和刪除等。它有5種方式：可恢復(fù)銜接完好性、無恢復(fù)銜接完好性、選擇字段銜接完好性、無銜接完好性和選擇字段無銜接完好性。5防抵賴性平安效力：是針對對方抵賴的防備措施，用來證明發(fā)生過的操作，它可分為對發(fā)送防抵賴、對遞交防抵賴和進展公證。 .2平安機制1加密機制 2數(shù)字簽名機制3訪問控制 4數(shù)據(jù)完好性 5鑒別交換機制 6通訊流量填充機制 7路由選擇控制機制 8公

14、證機制 .1加密機制：借助各種加密算法對存放的數(shù)據(jù)和流通中的信息進展加密。DES算法已經(jīng)過硬件實現(xiàn)，效率非常高。2數(shù)字簽名：采用公鑰體制，運用私鑰進展數(shù)字簽名，運用公鑰對簽名信息進展證明。3訪問控制機制：根據(jù)訪問者的身份和有關(guān)信息，決議實體的訪問權(quán)限。4數(shù)據(jù)完好性機制：判別信息在傳輸過程中能否被篡矯正，與加密機制有關(guān)。5認(rèn)證交換機制：用來實現(xiàn)同級之間的認(rèn)證。.6防業(yè)務(wù)流量分析機制：經(jīng)過填充冗余的業(yè)務(wù)流量來防止攻擊者對流量進展分析，填充過的流量需經(jīng)過加密進展維護。7路由控制機制：防止不利的信息經(jīng)過路由。目前典型的運用為網(wǎng)絡(luò)層防火墻。8公證機制：由公證人第三方參與數(shù)字簽名，它基于通訊雙方對第三者都

15、絕對置信。目前，因特網(wǎng)上有許多向用戶提供此機制的效力。.3平安管理為了更有效地運用平安效力，需求有其他措施來支持它們的操作，這些措施即為平安管理。平安管理是對平安效力和平安機制進展管理，把管理信息分配到有關(guān)的平安效力和平安機制中去，并搜集與它們的操作有關(guān)的信息。分為 系統(tǒng)平安管理 平安效力管理 平安機制管理4平安層次.因特網(wǎng)協(xié)議通常又稱為TCP/IP協(xié)議。2.3 TCP/IP參考模型及其平安體系.前往網(wǎng)絡(luò)接口層實踐上包含OSI模型的物理層和鏈路層，TCP/IP并未對這兩層進展定義，它支持現(xiàn)有的各種底層網(wǎng)絡(luò)技術(shù)和規(guī)范。該層涉及操作系統(tǒng)中的設(shè)備驅(qū)動程序和網(wǎng)絡(luò)接口卡。網(wǎng)絡(luò)層又稱為互聯(lián)網(wǎng)層或IP層，該

16、層處置IP數(shù)據(jù)報的傳輸、路由選擇、流量控制和擁塞控制。傳輸層為兩臺主機上的運用程序提供端到端的通訊。TCP/IP的傳輸層包含傳輸控制協(xié)議TCP和用戶數(shù)據(jù)報協(xié)議UDP。運用層為用戶提供一些常用的運用程序，TCP/IP給出了運用層的一些常用協(xié)議規(guī)范。.開放系統(tǒng)互連參考模型與TCP/IP的關(guān)系 國際規(guī)范化組織的開放系統(tǒng)互連模型與TCP/IP協(xié)議層次的對應(yīng)關(guān)系如圖2-16所示。.除了層次構(gòu)造方面的差別外，ISO/OSI與TCP/IP還存在如表2-2所列的差別。 前往.TCP/IP是一個協(xié)議簇，其構(gòu)成如圖2-17所示。TCP/IP協(xié)議簇 .各協(xié)議模塊之間的關(guān)系留意兩點：一是運用進程可以直接與網(wǎng)絡(luò)層的模塊打交道一個下層模塊要和多個上層模塊進展交互。.2.3.2 TCP/IP參考模型的平安體系1網(wǎng)絡(luò)接入層平安2Internet層平安3傳輸層平安4運用層平安.2.4 常用網(wǎng)絡(luò)協(xié)議和效力 2.4.1 常用網(wǎng)絡(luò)協(xié)議1IP2TCP3UDP2.4.2 常用網(wǎng)絡(luò)效力1活動目錄2WWW效力3電子郵件 4Telnet5FTP6DNS.2.5 Windows常用的網(wǎng)絡(luò)命令2.5.1 ping命令2.5.2 at命令2.5.3 netstat命令2.5.4 tracert命令2.5.5 net命令2.5.6 ftp命令2.5.7 nb