電路基礎(chǔ)知識計算機修訂本第01章

2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)第1章網(wǎng)絡(luò)基礎(chǔ)知識與Internet 本章是計算機網(wǎng)絡(luò)安全的第一課，在這一章里將要介紹： ●網(wǎng)絡(luò)參考模型OSI ●網(wǎng)絡(luò)互聯(lián)設(shè)備 ●局域網(wǎng)技術(shù) ●廣域網(wǎng)協(xié)議

●TCP／IP與Internet提供的主要服務(wù) ●網(wǎng)絡(luò)安全協(xié)議2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.1網(wǎng)絡(luò)參考模型OSI1.1.1分層通信（1）應(yīng)用層。這是OSI模型的最高層。它是應(yīng)用進(jìn)程訪問網(wǎng)絡(luò)服務(wù)的窗口。這一層直接為網(wǎng)絡(luò)用戶或應(yīng)用程序提供各種各樣的網(wǎng)絡(luò)服務(wù)，它是計算機網(wǎng)絡(luò)與最終用戶間的界面。應(yīng)用層提供的網(wǎng)絡(luò)服務(wù)包括文件服務(wù)、打印服務(wù)、報文服務(wù)、目錄服務(wù)、網(wǎng)絡(luò)管理以及數(shù)據(jù)庫服務(wù)等。（2）表示層。表示層保證了通信設(shè)備之間的互操作性。該層的功能使得兩臺內(nèi)部數(shù)據(jù)表示結(jié)構(gòu)都不同的計算機能實現(xiàn)通信。它提供了一種對不同控制碼、字符集和圖形字符等的解釋，而這種解釋是使兩臺設(shè)備都能以相同方式理解相同的傳輸內(nèi)容所必需的。表示層還負(fù)責(zé)為安全性引入的數(shù)據(jù)提供加密與解密，以及為提高傳輸效率提供必需的數(shù)據(jù)壓縮及解壓等功能。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.1網(wǎng)絡(luò)參考模型OSI（3）會話層。會話層是網(wǎng)絡(luò)對話控制器，它建立、維護(hù)和同步通信設(shè)備之間的交互操作，保證每次會話都正常關(guān)閉而不會突然斷開，使用戶被掛起在一旁。會話層建立和驗證用戶之間的連接，包括口令和登錄確認(rèn)；它也控制數(shù)據(jù)的交換，決定以何種順序?qū)υ拞卧獋魉偷絺鬏攲?，以及在傳輸過程的哪一點需要接收端的確認(rèn)。（4）傳輸層。傳輸層負(fù)責(zé)整個消息從信源到信宿（端到端）的傳遞過程，同時保證整個消息無差錯、按順序地到達(dá)目的地，并在信源和信宿的層次上進(jìn)行差錯控制和流量控制。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.1網(wǎng)絡(luò)參考模型OSI（5）網(wǎng)絡(luò)層。網(wǎng)絡(luò)層負(fù)責(zé)數(shù)據(jù)包經(jīng)過多條鏈路、由信源到信宿的傳遞過程，并保證每個數(shù)據(jù)包能夠成功和有效率地從出發(fā)點到達(dá)目的地。為實現(xiàn)端到端的傳遞，網(wǎng)絡(luò)層提供了兩種服務(wù)：線路交換和路由選擇。線路交換是在物理鏈路之間建立臨時的連接，每個數(shù)據(jù)包都通過這個臨時鏈路進(jìn)行傳輸；路由選擇是選擇數(shù)據(jù)包傳輸?shù)淖罴崖窂?。在這種情況下，每個數(shù)據(jù)包都可以通過不同的路由到達(dá)目的地，然后再在目的地重新按照原始順序組裝起來。（6）數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層從網(wǎng)絡(luò)層接收數(shù)據(jù)，并加上有意義的比特位形成報文頭和尾部（用來攜帶地址和其他控制信息）。這些附加信息的數(shù)據(jù)單元稱為幀。數(shù)據(jù)鏈路層負(fù)責(zé)將數(shù)據(jù)幀無差錯地從一個站點送達(dá)下一個相鄰站點，即通過一些數(shù)據(jù)鏈路層協(xié)議完成在不太可靠的物理鏈路上實現(xiàn)可靠的數(shù)據(jù)傳輸。

2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.1網(wǎng)絡(luò)參考模型OSI（7）物理層。物理層是OSI的最低層，它建立在物理通信介質(zhì)的基礎(chǔ)上，作為系統(tǒng)和通信介質(zhì)的接口，用來實現(xiàn)數(shù)據(jù)鏈路實體間透明的比特（bit）流傳輸。為建立、維持和拆除物理連接，物理層規(guī)定了傳輸介質(zhì)的機械特性、電氣特性、功能特性和過程特性。 在上述七層中，上五層一般由軟件實現(xiàn)，而下面的兩層是由硬件和軟件實現(xiàn)的。

2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.1網(wǎng)絡(luò)參考模型OSI1.1.2信息格式2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.2網(wǎng)絡(luò)互聯(lián)設(shè)備

網(wǎng)絡(luò)互聯(lián)設(shè)備用于局域網(wǎng)（LAN）的網(wǎng)段，它們有四種主要的類型： ●中繼器●網(wǎng)橋●路由器●網(wǎng)關(guān)OSI層次互連設(shè)備作用物理層中繼器在電纜段間復(fù)制比特數(shù)據(jù)鏈路層網(wǎng)橋在LAN之間存儲轉(zhuǎn)發(fā)幀網(wǎng)絡(luò)層路由器在不同的網(wǎng)絡(luò)間存儲轉(zhuǎn)發(fā)分組運輸層及以上網(wǎng)關(guān)提供不同體系間互連接口2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.2網(wǎng)絡(luò)互聯(lián)設(shè)備1.2.1中繼器和集線器 中繼器的主要功能在于延長電纜的有效連接長度，因為在傳輸過程中信號的衰減會限制電纜的有效連接長度。此外，中繼器還能起到改變以太網(wǎng)的拓?fù)浣Y(jié)構(gòu)的作用。 集線器（Hub）與中繼器類似，是能夠集中完成多臺設(shè)備連接的專用設(shè)備。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.2網(wǎng)絡(luò)互聯(lián)設(shè)備1.2.2網(wǎng)橋

網(wǎng)橋（Bridge）是一種在數(shù)據(jù)鏈路層實現(xiàn)互聯(lián)的存儲轉(zhuǎn)發(fā)設(shè)備。 網(wǎng)橋從一個網(wǎng)段將數(shù)據(jù)幀段轉(zhuǎn)發(fā)至另一個網(wǎng)段。 網(wǎng)橋工作在OSI參考模型的數(shù)據(jù)鏈路層。1.2.3路由器 路由器實現(xiàn)網(wǎng)絡(luò)互聯(lián)是發(fā)生在網(wǎng)絡(luò)層。主要功能有路由選擇，多路重發(fā)以及出錯檢測等。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.2網(wǎng)絡(luò)互聯(lián)設(shè)備（1）在網(wǎng)絡(luò)間截獲發(fā)送到遠(yuǎn)地網(wǎng)絡(luò)段的網(wǎng)絡(luò)層數(shù)據(jù)報文，并轉(zhuǎn)發(fā)出去。（2）為不同網(wǎng)絡(luò)之間的用戶提供最佳的通信路徑。（3）子網(wǎng)隔離，抑制廣播風(fēng)暴。任何子網(wǎng)中的廣播包都將截止于路由器，因為路由器并不轉(zhuǎn)發(fā)廣播信息包。（4）維護(hù)路由表，并與其他路由器交換路由信息，這是網(wǎng)絡(luò)層數(shù)據(jù)報文轉(zhuǎn)發(fā)的基礎(chǔ)。（5）數(shù)據(jù)報的差錯處理，擁擠控制（網(wǎng)絡(luò)流量控制）。（6）利用網(wǎng)際協(xié)議，可以為網(wǎng)絡(luò)管理員提供整個網(wǎng)絡(luò)的有關(guān)信息和工作情況，以便于對網(wǎng)絡(luò)進(jìn)行有效管理。（7）可進(jìn)行數(shù)據(jù)包格式的轉(zhuǎn)換，實現(xiàn)不同協(xié)議、不同體系結(jié)構(gòu)網(wǎng)絡(luò)的互連能力。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.2網(wǎng)絡(luò)互聯(lián)設(shè)備1.2.4網(wǎng)關(guān) 網(wǎng)關(guān)（Gateway）實現(xiàn)的網(wǎng)絡(luò)互聯(lián)發(fā)生在網(wǎng)絡(luò)層之上，它是網(wǎng)絡(luò)層以上的互聯(lián)設(shè)備的總稱。 目前，典型的網(wǎng)絡(luò)結(jié)構(gòu)通常是由一主干網(wǎng)和若干段子網(wǎng)組成，主干網(wǎng)與子網(wǎng)之間通常選用路由器進(jìn)行連接，子網(wǎng)內(nèi)部往往有若干個局域網(wǎng)，這些局域網(wǎng)之間采用中繼器或網(wǎng)橋來進(jìn)行連接。校園網(wǎng)、公用交換網(wǎng)、衛(wèi)生網(wǎng)絡(luò)和綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)等，一般都采用網(wǎng)關(guān)進(jìn)行互聯(lián)。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.3局域網(wǎng)技術(shù)目前，流行的局域網(wǎng)主要有三種：●以太網(wǎng)●令牌環(huán)網(wǎng)●FDDI2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.3局域網(wǎng)技術(shù)1.3.1以太網(wǎng)和IEEE802.3 以太網(wǎng)是由施樂公司于七十年代開發(fā)，IEEE802.3發(fā)表于1980年，它是以以太網(wǎng)作為技術(shù)基礎(chǔ)。如今以太網(wǎng)和IEEE802.3占據(jù)了局域網(wǎng)市場的最大份額，而以太網(wǎng)通常指所有采用載波監(jiān)聽多路訪問／沖突檢測（CSMA／CD）的局域網(wǎng)，包括IEEE802.3。

●物理連接 IEEE802.3規(guī)定了幾種不同類型的物理層，而以太網(wǎng)僅僅定義了一種物理層，每一種IEEE802.3物理層協(xié)議都有一個概括它們自身特點的名稱。

2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.3局域網(wǎng)技術(shù)●數(shù)據(jù)幀格式2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.3局域網(wǎng)技術(shù)1.3.2令牌環(huán)和IEEE802.5 ●令牌的傳遞

令牌環(huán)傳遞網(wǎng)絡(luò)的主要特點是在網(wǎng)絡(luò)上傳遞一個比較小的數(shù)據(jù)幀，即令牌，如果網(wǎng)絡(luò)上的某個節(jié)點擁有令牌，就表示它擁有傳輸數(shù)據(jù)的權(quán)力。如果一個接到令牌的網(wǎng)絡(luò)站點沒有數(shù)據(jù)需要傳遞時，令牌就被簡單地傳遞到下一個網(wǎng)絡(luò)站點，在允許的最大時間范圍內(nèi)可將令牌保留在手中。

●物理連接

2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.3局域網(wǎng)技術(shù) ●優(yōu)先級 網(wǎng)絡(luò)站點優(yōu)先權(quán)決定了它能夠俘獲令牌的概率，只有網(wǎng)絡(luò)站點的優(yōu)先權(quán)等于或高于令牌包含的優(yōu)先權(quán)值時，該網(wǎng)絡(luò)站點才能俘獲令牌， ●錯誤管理機制 令牌環(huán)網(wǎng)絡(luò)采用多種機制來檢測和恢復(fù)網(wǎng)絡(luò)中產(chǎn)生的錯誤。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.3局域網(wǎng)技術(shù)1.3.3FDDI 光纖分布式數(shù)據(jù)接口（FDDI）標(biāo)準(zhǔn)是由ANSIX3T9.5標(biāo)準(zhǔn)委員會在八十年代中期制定的。它規(guī)定了傳輸速度為100Mbps、采用令牌傳遞方式，以及使用光纖作為介質(zhì)的雙環(huán)LAN。 FDDI技術(shù)最重要的特征之一就是采用光纖作為傳輸介質(zhì)，其優(yōu)點包括安全性、可靠性以及傳輸速度等方面較傳統(tǒng)的介質(zhì)要好得多。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.3局域網(wǎng)技術(shù)

●

FDDI標(biāo)準(zhǔn) FDDI的規(guī)范說明包括下列四個單獨部分： （1）介質(zhì)訪問控制（MAC） （2）物理層協(xié)議（PHY） （3）物理層介質(zhì)（PHM） （4）站點管理（SMT） ●物理連接 FDDI規(guī)定采用雙環(huán)連接，其中一個環(huán)作為主環(huán)，通常用于數(shù)據(jù)傳輸，另一個作為副環(huán)，作為備份。雙環(huán)上數(shù)據(jù)的傳輸是互為反向的。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)技術(shù)1.4.1廣域網(wǎng)基本技術(shù) 1．包交換 2．廣域網(wǎng)的構(gòu)成 3．存儲轉(zhuǎn)發(fā) 4．廣域網(wǎng)的物理編址 5．下一站轉(zhuǎn)發(fā) 6．源地址獨立性 7．層次地址與路由的關(guān)系 8．廣域網(wǎng)中的路由2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議 1.4.2廣域網(wǎng)協(xié)議

1．SDLC及其派生協(xié)議

同步數(shù)據(jù)鏈控制（SDLC）協(xié)議主要用于IBM的系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)（SNA）環(huán)境中。它基于同步機制采用了面向二進(jìn)制位的操作方法。 ●SDLC SDLC協(xié)議支持各種各樣鏈路類型和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，包括點對點鏈路、環(huán)形拓?fù)浜涂偩€型拓?fù)?、半雙工和全雙工傳輸設(shè)備，以及電路交換和包交換網(wǎng)絡(luò)。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議 SDLC協(xié)議通常設(shè)有二種類型的站點，即主動型站點和從動型站點。 SDLC協(xié)議的主動型站點與從動站點的連接可以根據(jù)下面的方式進(jìn)行連接： （1）點對點連接 （2）多點連接 （3）集線式連接

SDLC協(xié)議的幀格式為：2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議 ●SDLC派生協(xié)議

（1）HDLC（高層數(shù)據(jù)鏈路控制協(xié)議） （2）LAP（鏈路訪問過程，SDLC協(xié)議的子集） （3）LAPB（平衡電路訪問過程） （4）QLLC協(xié)議（增強邏輯鏈路控制協(xié)議）2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議

2.點對點協(xié)議

●PPP的組成 點對點協(xié)議（PPP）提供了一種點對點鏈路傳輸數(shù)據(jù)報文的方法。

PPP協(xié)議的數(shù)據(jù)幀格式：2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議 ●點對點的鏈路控制協(xié)議

點對點技術(shù)中的鏈路控制協(xié)議（LCP）提供用于建立、配置、維護(hù)和關(guān)閉點對點連接的方法，與其它類型的網(wǎng)絡(luò)協(xié)議類似，LCP也有自己的數(shù)據(jù)幀格式，通常情況下有如下三種協(xié)議幀： 鏈路建立幀——用于建立和配置數(shù)據(jù)鏈路 鏈路關(guān)閉幀——用于關(guān)閉數(shù)據(jù)鏈路 鏈路維護(hù)幀——用于管理和維護(hù)數(shù)據(jù)鏈路2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議

3.分組交換X.25 X.25是一組協(xié)議，它規(guī)定了廣域網(wǎng)如何通過公用數(shù)據(jù)網(wǎng)進(jìn)行連接。X.25定義的是數(shù)據(jù)終端設(shè)備（DTE）和數(shù)據(jù)電路設(shè)備（DCE）之間的接口標(biāo)準(zhǔn)。 DTE主要指用戶終端或主機設(shè)備等，而DCE通常指調(diào)制解調(diào)器、分組交換機或其它與公用數(shù)據(jù)網(wǎng)連接的端口等。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議 X.25和ISO參考模式

2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議 ●數(shù)據(jù)幀格式

數(shù)據(jù)幀的第三層分組由一個分組頭字段和用戶數(shù)據(jù)字段組成；第二層分組由幀的控制字段和幀的尋址字段、幀檢查順序（FCS）字段組成。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議

●協(xié)議分析 X.25第三層分組的頭字段由一個通用格式識符（GFI）、一個邏輯通道標(biāo)識符（LCI）和一個分組類型標(biāo)識（PTI）組成。一個字節(jié)長的GFI用于指明分組頭的通用格式，LCI用于標(biāo)識虛擬電路，其長度為3個字節(jié)，PTI主要用于區(qū)分X.25的17種分組類型。 X.25在第三層使用了三個虛擬電路操作過程： （1）建立會話 （2）傳輸數(shù)據(jù) （3）消除會話2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議

4.幀中繼 幀中繼提供一種統(tǒng)計復(fù)用手段，使用同一物理鏈路上可以有多個邏輯會話（稱為虛電路），它提供了對帶寬的靈活有效的利用。

●幀的格式2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議

●信令協(xié)議

幀中繼網(wǎng)絡(luò)中目前有三種信令協(xié)議在使用，它們是： （1）本地管理接口（LMI） （2）CCITT標(biāo)準(zhǔn)Q.922，基于原始LMI （3）ANSI標(biāo)準(zhǔn)TI.617，基于原始LMI2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.4廣域網(wǎng)協(xié)議 ●阻塞的防止 幀中繼采用如下幾個方面的手段處理阻塞：

（1）本地管理接口（LMI）。LMI提供一種基于PVC的簡單流控機制，當(dāng)緩沖區(qū)將要滿時，可向外部設(shè)備發(fā)出一個LMI信息（RNR位置1），要求停發(fā)數(shù)據(jù)，當(dāng)緩沖區(qū)空時，另一個LMI信息（RNR位置0），通知外部設(shè)備，允許發(fā)送數(shù)據(jù) （2）直接阻塞通知，向外部設(shè)備報告阻塞。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ) 互聯(lián)網(wǎng)協(xié)議（IP）和傳輸控制協(xié)議（TCP）是互聯(lián)網(wǎng)協(xié)議族中最為有名的兩個協(xié)議，其應(yīng)用非常廣泛，它能夠用于任何相互連接的計算機網(wǎng)絡(luò)系統(tǒng)之間的通信，對局域網(wǎng)（LAN）和廣域網(wǎng)（WAN）都有非常好的效果。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ)1.5.1TCP／IP與OSI參考模型

●

TCP/IP協(xié)議和OSI模型的對應(yīng)關(guān)系TCP／IP協(xié)議OSI模型FTP,TELNET,SMTP,RPC,SNMP,DNS,TFTP,BOOTP,HTTP應(yīng)用層TCP,UDP傳輸層IP(ICMP,IGMP),(ARP,RARP)網(wǎng)絡(luò)層2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ) ●

TCP/IP的主要協(xié)議之間的相關(guān)性 圖中每個封閉的多邊形對應(yīng)了一個協(xié)議，并且位于它所直接使用的協(xié)議之上。如SMTP依賴于TCP，而TCP依賴于IP。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ)

●TCP/IP的層次結(jié)構(gòu)

1．應(yīng)用層。向用戶提供一組常用的應(yīng)用程序。

2．傳輸層（TCP和UDP）。 提供應(yīng)用程序間的通信，提供了可靠的傳輸（UDP不能提供可靠的傳輸）等。

3．網(wǎng)絡(luò)層（IP）。負(fù)責(zé)數(shù)據(jù)包的尋徑功能，以保證數(shù)據(jù)包可靠到達(dá)目標(biāo)主機，若不能到達(dá)，則向源主機發(fā)送差錯控制報文。

4．網(wǎng)絡(luò)接口層。這是TCP／IP軟件的最低層，負(fù)責(zé)接收IP數(shù)據(jù)包并通過網(wǎng)絡(luò)發(fā)送之，或者從網(wǎng)絡(luò)上接收物理幀，抽出IP數(shù)據(jù)包，并把它交給IP層。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ)1.5.2網(wǎng)絡(luò)層（IP層） 將所有的低層的物理實現(xiàn)隱藏起來，作用是將數(shù)據(jù)包從源主機發(fā)送出去，并且使這些數(shù)據(jù)包獨立地到達(dá)目的主機。 在數(shù)據(jù)包傳送過程中，即使是連續(xù)的數(shù)據(jù)包，也可能走過不同的路徑，到達(dá)目的主機的順序也會不同于它們被發(fā)送時的順序。

2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ)

●TCP/IP數(shù)據(jù)流程2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ) ●IP數(shù)據(jù)包 一個IP數(shù)據(jù)包由包頭和數(shù)據(jù)體兩部分組成。包頭由20字節(jié)的固定部分和變長的可選項成。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ) ●

IP地址 在Internet中，每一臺主機都有一個唯一的地址，網(wǎng)關(guān)常常有不止一個的地址。地址由兩部分組成：網(wǎng)絡(luò)號和主機號。這種組合是唯一的，以使每一個IP地址表示Internet中的唯—一臺主機。所有IP地址都是32位長。 IP地址分為五類，平常使用的是A，B，C三類地址地址類型地址形式AN.H.H.HBN.N.H.HCN.N.N.H2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ) ●IP層的其它一些協(xié)議 ICMP（Internet控制信息協(xié)議）用來傳送一些關(guān)于網(wǎng)絡(luò)和主機的控制信息。如目標(biāo)主機是不可到達(dá)的、路由的重定向等。 ARP（地址解析協(xié)議）用來將IP地址映射成相應(yīng)的主機MAC地址。 RARP（反向地址解析協(xié)議）用來將物理地址映射成32位的IP地址。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ)1.5.3傳輸層（TCP和UDP） ●TCP

TCP協(xié)議，即傳輸控制協(xié)議，是一個可靠的、面向連接的協(xié)議。它允許在Internet上兩臺主機間信息的無差錯傳輸。 ●UDP 無連接方式，即UDP方式，當(dāng)源主機有數(shù)據(jù)時，就發(fā)送。它不管發(fā)送的數(shù)據(jù)包是否到達(dá)目標(biāo)主機，數(shù)據(jù)包是否出錯，收到數(shù)據(jù)包的主機也不會告訴發(fā)送方是否正確收到了數(shù)據(jù)，因此，這是一種不可靠的數(shù)據(jù)傳輸方式。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.5TCP／IP協(xié)議基礎(chǔ)1.5.4應(yīng)用層協(xié)議

Telnet，也就是虛終端服務(wù)。它允許一臺主機上的用戶登錄進(jìn)另一臺遠(yuǎn)程主機，并在遠(yuǎn)程主機中工作，而用戶當(dāng)前所使用的主機好象僅僅是遠(yuǎn)程主機的一個終端。

FTP，即文件傳輸協(xié)議。提供了一個有效的途徑，將數(shù)據(jù)從一臺主機傳送到另一臺主機。文件傳輸有文本和二進(jìn)制兩種模式。文本模式用來傳輸文本文件，并實現(xiàn)一些格式轉(zhuǎn)換。

SMTP，即電子郵件服務(wù)使用缺省的端口25，以電子數(shù)據(jù)的方式，使用戶快速、方便地傳送信息。即使相隔大洲、大洋，電子郵件也可以在短短的幾分鐘內(nèi)到達(dá)接收方的電子信箱。

HTTP，即超文本傳輸協(xié)議，用來在WWW服務(wù)器上取得用超文本標(biāo)記語言書寫的頁面。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.1遠(yuǎn)程終端訪問服務(wù) Telnet是一種因特網(wǎng)遠(yuǎn)程終端訪問標(biāo)準(zhǔn)。它真實地模仿遠(yuǎn)程終端，但是不具有圖形功能，它僅提供基于字符應(yīng)用的訪問。Telnet允許為任何站點上的合法用戶提供遠(yuǎn)程訪問權(quán)，而不需要做特殊約定。 Telnet并不是一種非常安全的服務(wù)，雖然在登錄時要求用戶認(rèn)證。由于Telnet發(fā)送的信息都未加密，所以它容易被網(wǎng)絡(luò)監(jiān)聽。只有當(dāng)遠(yuǎn)程機和本地站點之間的網(wǎng)絡(luò)通信是安全時，Telnet才是安全的。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.2文件傳輸服務(wù)

文件傳輸協(xié)議（FTP）是為進(jìn)行文件共享而設(shè)計的因特網(wǎng)標(biāo)準(zhǔn)協(xié)議。匿名FTP服務(wù)器的功能： ●更好更完善的日志，它可記錄、裝載、下載或傳送它的每個命令。 ●提供路徑的信息，當(dāng)用戶訪問那個路徑時，為用戶顯示關(guān)于路徑內(nèi)容的有關(guān)信息。 ●能對用戶分類。 ●對某類用戶可加以限制，如限制同時訪問服務(wù)器的匿名用戶的個數(shù)，此限制可按某天什么時間或某周哪一天進(jìn)行調(diào)整。使用這些限制能控制FTP服務(wù)器的負(fù)荷。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù) ●在傳輸文件時，具有壓縮、tar和自動處理文件的能力。 ●非匿名chroot訪問。只需限制對機器訪問的用戶，這就允許建立一個特別賬號訪問一些文件。 保護(hù)匿名FTP區(qū)不受濫用的干擾措施：（1）確保入站路徑只可寫。（2）取消創(chuàng)建子路徑和某些文件的權(quán)力。（3）預(yù)定裝載。（4）文件及時轉(zhuǎn)移。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.3電子郵件服務(wù) 電子郵件是最流行和最基本的網(wǎng)絡(luò)服務(wù)之一。它的危險性相對小些，但并不是沒有風(fēng)險。 簡單郵件傳輸協(xié)議（SMTP）是收發(fā)電子郵件的一種因特網(wǎng)標(biāo)準(zhǔn)協(xié)議。一般來說，SMTP本身不存在安全問題，但SMTP服務(wù)器則可能有安全問題。發(fā)送郵件給用戶所用的程序通常也應(yīng)當(dāng)能被任何一個接收郵件的用戶所運行，這就使它得到廣泛的應(yīng)用，同時也為侵襲者提供了目標(biāo)。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.4Usenet新聞服務(wù) Usenet新聞組和電子郵件具有很大的相似性，但是它適合于多個用戶之間的通訊。新聞組是因特網(wǎng)上的公告牌，它是為多用戶對多用戶通訊而設(shè)計的。郵件列表也支持多對多通訊，但效率低、用戶少，原因是沒有簡單的辦法找到列表的所有用戶，而且對每個收信者都要做信息拷貝。 網(wǎng)絡(luò)新聞傳輸協(xié)議（NNTP）是用來在因特網(wǎng)上傳輸新聞的。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.5WWW服務(wù) WWW即WorldWideWeb，中文稱為環(huán)球信息網(wǎng)，也簡稱為Web，二者實際上是同一含義。 創(chuàng)建WWW是為了解決Internet上的信息傳遞問題，在WWW創(chuàng)建以前，幾乎所有的信息發(fā)布都是通過E-mail，F(xiàn)TP，Archie和Gopher實現(xiàn)的。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.6網(wǎng)絡(luò)用戶信息查詢服務(wù) 可以用finger和whois來獲得網(wǎng)上成員的一些信息。 finger服務(wù)可查詢在目標(biāo)主機上有賬號的用戶的個人信息，而不論這個用戶當(dāng)前是否登錄在被查詢的機器上。這些信息包括登錄名、最近在何時何地登錄的情況以及用戶自己提供的簡介。 whois服務(wù)類似于finger，但它可得到主機、網(wǎng)絡(luò)、域及它們的管理員的信息。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.7實時會議服務(wù)

實時會議服務(wù)通常包括talkIRC，以及通過MBONE。所有這些服務(wù)為人們提供一種相互交流的途徑。電子郵件和Usenet新聞是為促進(jìn)異步通信而設(shè)計的，即使參與者沒有登錄，它們也能工作，他們在下次登錄時，可以閱讀E-mail信息或新聞。與此相反，實時會議服務(wù)是為在線伙伴交互式會話而設(shè)計的。 talk是因特網(wǎng)上最早使用的實時會議系統(tǒng)。 因特網(wǎng)聯(lián)機聊天（IRC）類似于一個文化沙龍，很多人可以利用它相互交談。 MBONE是新的網(wǎng)絡(luò)服務(wù)資源，它主要是同時擴(kuò)展實時會議服務(wù)功能。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.8DNS服務(wù)

名字服務(wù)是指在人們使用的主機名與機器使用的數(shù)字IP地址之間進(jìn)行轉(zhuǎn)換。1.6.9網(wǎng)管服務(wù)

有許多種服務(wù)軟件用來管理和維護(hù)網(wǎng)絡(luò)。簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）是為集中管理網(wǎng)絡(luò)設(shè)備而設(shè)計的一種協(xié)議（路由器、網(wǎng)橋、集中器、集線器及其一些擴(kuò)展設(shè)備、甚至主機），SNMP管理站可用SNMP從網(wǎng)絡(luò)設(shè)備上查詢信息，也可用來控制網(wǎng)絡(luò)設(shè)備的某些功能（啟動或關(guān)閉某個接口、設(shè)置參數(shù)，等等）。同時利用SNMP，網(wǎng)絡(luò)設(shè)備也可以向SNMP管理站提供緊急信息（例如，掉線信息，某條網(wǎng)線出現(xiàn)大量錯誤等）。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù)1.6.10NFS文件系統(tǒng) 幾乎所有版本的UNIX，都有NFS的存在。通過NFS機制，服務(wù)器端可以將自己的一部分目錄或文件調(diào)出，讓多個客戶主機透明地使用服務(wù)器上的文件和目錄。

NFS是一個高層的協(xié)議，構(gòu)筑在一些低層協(xié)議之上。協(xié)議的模型如下：應(yīng)用層NFS表示層XDR會話層RPC傳輸層UDP網(wǎng)絡(luò)層IP與網(wǎng)絡(luò)相關(guān)部分2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.6Internet提供的主要服務(wù) ●RPC RPC提供了一套機制，使得一臺主機可以產(chǎn)生一個系統(tǒng)調(diào)用，調(diào)用類似于本地進(jìn)程的一部分，但實際上卻是在網(wǎng)絡(luò)中的另一臺主機中執(zhí)行。 ●XDR

表示層是為了支持結(jié)構(gòu)化的或數(shù)據(jù)類型更為復(fù)雜的字節(jié)流的傳送，提供了將要傳送的數(shù)據(jù)編碼和解碼的一系列服務(wù)。2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.7網(wǎng)絡(luò)安全協(xié)議

1.7.1安全協(xié)議概述

在信息網(wǎng)絡(luò)中，可以在ISO七層協(xié)議中的任何一層采取安全措施，圖1-16給出了每一層可以利用的安全機制。 1．應(yīng)用層安全協(xié)議（1）安全Shell（SSH） （2）SET（SecureElectronicTransaction） （3）S-HTTP （4）PGP （5）S/MIME

2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.7網(wǎng)絡(luò)安全協(xié)議2023/11/216:37計算機網(wǎng)絡(luò)安全基礎(chǔ)1.7網(wǎng)絡(luò)安全協(xié)議

2．傳輸層安全協(xié)議 （1）SSL（安全套接層，SecureSocketLayer） （2）PCT（私密通信技術(shù)，PrivateCommunicationTechnology） 3．網(wǎng)絡(luò)層安全協(xié)議為開發(fā)在網(wǎng)絡(luò)層保護(hù)IP數(shù)據(jù)的方法，IETF成立了IP安全協(xié)議工作組（IPSec