网络工程师学习笔记(共11章)- 第7部分

　　3、IP层安全性

　　在IP加密传输信道技术方面，IETF已经指定了一个IP安全性工作小组IPSEC来制订IP安全协议IPSP和对应的internet密钥管理协议IKMP的标准。

　　（1）IPSEC采用了两种机制：认证头部AH，提前谁和数据完整性；安全内容封装ESP，实现通信保密。1995年8月internet工程领导小组IESG批准了有关IPSP的RFC作为internet标准系列的推荐标准。同时还规定了用安全散列算法SHA来代替MD5和用三元DES代替DES。

　　4、传输层安全性

　　（1）传输层网关在两个通信节点之间代为传递TCP连接并进行控制，这个层次一般称作传输层安全。最常见的传输层安全技术有SSL、SOCKS和安全RPC等。

　　（2）在internet编程中，通常使用广义的进程信IPC机制来同不同层次的安全协议打交道。比较流行的两个IPC编程界面是BSD　Sockets和传输层界面TLI。

　　（3）安全套接层协议SSL

　　在可靠的传输服务TCP/IP基础上建立，SSL版本3，SSLv3于1995年12月制定。SSL采用公钥方式进行身份认证，但是大量数据传输仍然使用对称密钥方式。通过双方协商SSL可以支持多种身份认证、加密和检验算法。

　　SSL协商协议：用来交换版本号、加密算法、身份认证并交换密钥SSLv3提供对Deffie…Hellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Frotezza　chip上的密钥交换机制的支持。

　　SSL记录层协议：它涉及应用程序提供的信息的分段、压缩数据认证和加密SSLv3提供对数据认证用的MD5和SHA以及数据加密用的R4主DES等支持，用来对数据进行认证和加密的密钥可以有通过SSL的握手协议来协商。

　　SSL协商层的工作过程：当客户方与服务方进行通信之前，客户方发出问候；服务方收到问候后，发回一个问候。问候交换完毕后，就确定了双方采用的SSL协议的版本号、会话标志、加密算法集和压缩算法。

　　SSL记录层的工作过程：接收上层的数据，将它们分段；然后用协商层约定的压缩方法进行压缩，压缩后的记录用约定的流加密或块加密方式进行加密，再由传输层发送出去。

　　5、应用层安全性

　　6、WWW应用安全技术

　　（1）解决WWW应用安全的方案需要结合通用的internet安全技术和专门针对WWW的技术。前者主要是指防火墙技术，后者包括根据WWW技术的特点改进HTTP协议或者利用代理服务器、插入件、中间件等技术来实现的安全技术。

　　（2）HTTP目前三个版本：HTTP0。9、HTTP1。0、HTTP1。1。HTTP0。9是最早的版本，它只定义了最基本的简单请求和简单回答；HTTP1。0较完善，也是目前使用广泛的一个版本；HTTP1。1增加了大量的报头域，并对HTTP1。0中没有严格定义的部分作了进一步的说明。

　　（3）HTTP1。1提供了一个基于口令基本认证方法，目前所有的WEB服务器都可以通过〃基本身份认证〃支持访问控制。在身份认证上，针对基本认证方法以明文传输口令这一最大弱点，补充了摘要认证方法，不再传递口令明文，而是将口令经过散列函数变换后传递它的摘要。

　　（4）针对HTTP协议的改进还有安全HTTP协议SHTTP。最新版本的SHTTP1。3它建立在HTTP1。1基础上，提供了数据加密、身份认证、数据完整、防止否认等能力。

　　（5）DEC…Web

　　WAND服务器是支持DCE的专用Web服务器，它可以和三种客户进行通信：第一是设置本地安全代理SLP的普通浏览器。第二种是支持SSL浏览器，这种浏览器向一个安全网关以SSL协议发送请求，SDG再将请求转换成安全RPC调用发给WAND，收到结果后，将其转换成SSL回答，发回到浏览器。第三种是完全没有任何安全机制的普通浏览器，WANS也接受它直接的HTTP请求，但此时通信得不到任何保护。

六、安全服务与安全与机制

　　1、ISO7498…2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制。

　　2、5种可选的安全服务：鉴别、访问控制、数据保密、数据完整性和防止否认。

　　3、8种安全机制：加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制，它们可以在OSI参考模型的适当层次上实施。

　　4、5种普遍性的安全机制：可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。

　　5、信息系统安全评估准则

　　（1）可信计算机系统评估准则TCSEC：是由美国国家计算机安全中心于1983年制订的，又称桔皮书。

　　（2）信息技术安全评估准则ITSEC：由欧洲四国于1989年联合提出的，俗称白皮书。

　　（3）通用安全评估准则com：由美国国家标准技术研究所NIST和国家安全局NSA、欧洲四国以及加拿大等6国7方联合提出的。

　　（4）计算机信息系统安全保护等级划分准则：我国国家质量技术监督局于1999年发布的国家标准。

　　6、可信计算机系统评估准则

　　TCSEC共分为4类7级：D，C1，C2，B1，B2，B3，A1

　　D级，安全保护欠缺级，并不是没有安全保护功能，只是太弱。

　　C1级，自主安全保护级，

　　C2级，受控存取保护级，

　　B1级，结构化保护级

　　B3级，安全域级

　　A1，验证设计级。

　　七、评估增长的安全操作代价

　　为了确定网络的安全策略及解决方案：首先，应该评估风险，即确定侵入破坏的机会和危害的潜在代价；其次，应该评估增长的安全操作代价。

　　安全操作代价主要有以下几点：

　　（1）用户的方便程度

　　（2）管理的复杂性

　　（3）对现有系统的影响

　　（4）对不同平台的支持

第9章　Internet

　　主要内容：1、internet体系结构

　　2、internet连接的方法

　　3、internet地址

　　4、internet域名系统

　　5、internet地址是的扩展

　　一、Internet体系结构

　　1、自治系统：原始的Internet核心体系是在Internet权有一个主干网的那个时期开发的。但是这种体系结构存在以下一些问题：

　　这种体系不能适应互联网扩展到任意数量的网点；

　　许多网点由多个局域网组成，且用多个多路由器互连，由于一个核心路由器在每个网点上与一个网络相连，核心路由器就只知道那个网点中的一个网络的情况；

　　一个大型的互联网是独立的组织管理的网络的互连集合，路由选择体系结构必须为每个组织提供独立的控制路由选择和访问网络的方法，因此必须用一个单一的协议机制来构造一个由许多网点构成的互联网，同时，各个网点又是一个自治系统。

　　二、Internet连接的方法

　　1、将计算机连接到一个局域网，这个局域网的服务器是Internet的一个主机。

　　条件：必须连接到一个与Internet连接的网络，需要网络适配卡和ODI或NDIS驱动程序，还需要在本地计算机上运行TCP/IP，如果是Windows系统还需要Winsock支持。

　　2、利用串行接口协议（SLIP）或点到点协议（PPP），通过电话拨号方式进入一个Internet的主机

　　条件：需要一个调制解调器Modem、TCP/IP软件和SLIP或PPP软件，如果是Windows系统还需要Winsock支持。

　　3、通过电话拨号进入一个提供Internet服务的联机服务系统。

　　条件：需要一个调制解调器Modem、标准的通信软件和一个联机服务帐号。

　　4、用户选择连接方法的考虑因素：联网的目标和需求；用户内部配置的网络基础设施；用户支付Internet联网费用的能力；对Internet安全服务的需求。

　　三、Internet地址

　　在TCP/IP协议中，规定分配给每台主机一个32位数作为该主机IP地址。每个IP地址由两个部分组成，即网络标识netid和主机标识hostid。

　　IP地址的层次结构具有两个重要特性：第一，每台主机分配了一个惟一的地址；第二，网络标识号的分配必须全球统一，但主机标识号可由本地分配，不需要全球一致。

　　1、A类：1。0。0。1至126。255。255。254可能的网络数有126个，主机部分有1677216台（224…2）

　　2、B类：128。0。0。1至191。255。255。254可能的网络数有16384个，主机有65536台

　　3、C类：192。0。0。1至223。255。255。254可能的网络数有2097152个，主机有256台

　　4、D类：用于广播传送至多个目的地址用224…239

　　5、E类：用于保留地址240…255

　　RFC1918将10。0。0。至10。255。255。255、127。16。0。0至172。31。255。255、192。168。0。0至192。168。255。255的地址作为预留地址，用作内部地址，不能直接连接到公共因特网上。

四、Internet地址映射

　　将一台计算机的IP地址映射到物理地址的过程称地址解析。

　　常用的地址解析算法有以下三种：

　　1、查表法：将地址映射关系放在内存中的一些表里，当解析地址时，通过查表得到解析的结果。用于广域网。

　　2、相近形式计算法：通过简单的布尔和算术运算得出映射地址。用于可配置网络。

　　3、消息交换法：计算机通过网络交换信息得到映射地址。用于静态编址。

　　TCP/IP协议组包含一个地址解析协议（ARP）。ARP协议定义了两类基本消息，一类消息是请求消息，另一类是应答消息。

　　五、Internet地址空间的扩展

　　1、IPV6仍然支持无连接传送；允许发送方选择数据报大小；要求发送方指明数据报在到达目的站前的最大跳数。更大的地址空间；灵活的报头格式；增强的选项；支持资源分配；支持协议扩展。

　　2、IPV6的数据报格式：IPV6数据有一个固定的基本报头40字节其后可以允许多个扩展报头，也可以没有扩展报头，扩展报头后是数据。

　　IPV4的数据报格式：包括数据报报头和数据区的部分。报头：版本号、IHL、服务级别、数据单元长度、标识、标记、分段偏移、生命期、用户协议、报头检查和、源地址、目的地址、任选项＋填充、数据。

　　3、该基本报头包含版本号、数据流标记、PAYLOAD长度、下一个报头、跳数极限、源地址、目的地址。

　　4、IPV4与IPV6比较：取消了报头长度字段，数据报长度字段被PAYLOAD长度字段代替；源地址和目的地址字段大小增加为每个字段占16个八位组，128位；分段信息从基本报头的固定字段移动扩展报头；生存时间字段改为跳数极限字段；服务类型字段改为数据流标号字段；协议字段改为指明下一个报头类型字段。

　　5、IPV6有三个基本地址类型，单播地址（unicast）即目的地址指明一台计算机或路由器，数据报选择一条最短的路径到达目的站；群集地址（cluster）即目的站是共享一个网络地址的计算机的集合，数据报选择一条最短路径到达该组，然后传递给该组最近的一个成员；组播地址（multicast）即目的站是一组计算机，它们可以在不同地方，数据报通过硬件组播或广播传递给该组的每一成员。

　　6、对任何地址若开始80位是全零，接着16位是全1或全零，则它的低32位就是一个IPV4地址。

第10章　企业网与Intranet

　　主要内容：1、企业网络计算的组成和管理

　　2、企业网络开放系统集成技术

　　3、intranet定义和要素

　　4、intranet应用和建立

　　一、企业网络计算的背景和挑战

　　企业网是连接企业内部各部门并和企业外界相连，为企业的通信、办公自动化、经营管理、生产销售以及自动控制服务的重要信息基础设施。Intranet是基于TCP/IP协议，使用环球网WWW工具，采用防止外界侵入的安全措施，为企业内部服务，并有连接Intranet功能的企业内部网络。

　　1、驱动企业网络计算的因素：用户需求，这是基本动力；先进和实用的信息技术；迅速变化中的巿场。

　　2、可采用两种模型：一种是可伸缩的模型，即企业网络计算的同样的软件可运行在企业内部的不同平台上；另一种是集成的模型，即企业内部不同平台上的软件的集成。

　　二、企业网络计算的组成和特性

　　1、企业网络计算的组成：客户机/服务器计算；分布式数据库；数据仓库；网络和通信；网络和系统的管理；各种网络应用。

　　2、企业网络计算的特性：支持客户机/服务器计算械；支持管理海量数据的能力和设施；分布数据管理的设施；国际化和本地化；功能强的通信设施；系统的灵活性；分布资源管理；开发工具和开发手段的提供。

　　三、开放系统

　　开放系统：是对一个不断发展的、厂家中立的、用于对整个系统进行有效配置、操作和替换的接口、服务、协议和格式的规范描述的实现，它的应用和组成部件可以用不同厂家的其他相同实现替代。

　　1、开放系统的两个特点：开放系统所采用的规范是厂家中立的，或者是与厂家无关的；开放系统允许不同厂家的产品替换，这种替换包括整个系统其组成部件。

　　2、专用系统：它所采用的规范是专用，而不是厂家中立的；专用系统不允许由不同厂家的产品替换；它的组成部件允许具有许可证的厂家产品替换。

　　3、驱动开放系统发展的因素：功能、可用性、复杂性、价格。

四、企业网络开放系统集成技术

　　1、FRAMWORK是应用程序的开发和运行环境，它实际上是蹭件和操作系统的组合。比较有名的产品有CICS、Windows、UNIX。

　　2、COSE专门制定了自己的开放系统环境规范，主要技术包括用于窗口管理的Motif、标准API接口和用于数据库管理的SQL。

　　3、信息系统与网络计算主要实现网络范围数据管理、通信和网络管理，主要技术有：在数据管理