第1章劂安全概论 (4)制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责, 不能超越自己的管辖范围 (5)制订完备的系统维护制度:对系统进行维护时,应采取数据保护措施,如数据备 份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护內容和 维护前后的情况要详细记攻 (6)制订应急措施。要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失减 至最小。建立人员雇用和解聘制,对τ作调动和离职人员要及时调整相应的授权
第2章TCP/IP协议基础 掌握TCP/IP协议的基础知识对学习网络安全至关重要。 在 Internet没有形成之前,各个地方经建立∫很多小型的闷络,称为局域网。In- ernet的中文名称是“因特网”,它实际上就是将全球爷地的局域网连接起来而形成的 个“网之间的网(即网际网)”,然而,在连接之前,各式各样的域网却存在不同的网络结 构和数据传输规则,将这些小网连接起来后各网之间要通过什么样的规则来输数据呢 这就像世界上有很多个国家,各个国家的人说各自的语言,世界上任意两个人要怎样才能 互相沟通呢?如果全世界的人都能够说同…种谙言(即世界语),这个问题不就解决了吗? TCP/IP协议t是 Internet上的“世界语” 美国远景规划局ARPA( Ad anced Research Projects Agency)定义了组网络标准,这 些标准规定了计算机通信的细节,以及·组将网络互联和进行选路的协议。它的正式名 称就是TCP/IP互联网络协议族(TCP/ IP Internet Protocol Suite),般称为TCP/IP协 议,用它可在任何网络集合中进行通信。 §2.ⅠTCP/IP协议的历史 TCP/IP协议初步架构的出现源于1964年,美国冷战时期。在这个时候为了战争需 求,必须有个强大而又牢固的网络系统米做整个冈防部的联系。这时美国一家资信公 司(RAND公司)为了满足国防部的要求面提出了一个解决方案:在这个力案之中,有 两项非常独特的见解 是这个网络没有中控点,也就是说敌人无法破坏整个系统,除非敌人将整个系统破 坏掉,否则系统在不完全破坏下仍可以继续运作 是当系统传送过程中资料传送有问题时,网络系统可以自动侦测错误,而将资料完 整传送完毕 有了这样的依据,美国于1969年便赋予高级研究计划局(ARPA)这一项任务。此时 他们思考着如何建立一个让分散在各地且完全不同的计算机系统可以无误地联系在 起。基于建构这样网络系统的模式,所以他们决定制订一套协议。这套协议可以让分散 在各地且完全不同的计箅机系统完全连结在一起,更进…步甚至可以互相沟通,彼此传递 信息。基于这样的原则,终于在1971年研究出了NCP协议( Network control protocol) 并且真正架构出23个据点的网络系统。而这个网络系统便称为 ARPANET 就在隔年, ARPANET止式对外展示,这时侯据点也扩展到40个:随着信息技术的 进步,网络的传输设备也不断地更新,从网络线…直发展到卫尾传送系统。NCP协议已 无法满足人们的要求了,因为不同的网络系统仍然无法很顺利地传送资料:此时则由美
郅2章TCP/P协议基础 国斯坦福大学、BNN公司与英国伦敦大学共同发展出TCP( Transmission Control Proto- col),这个协议可以让不同网络系统通过网络线、无线电波或卫星传送等方式连线起来 并彼此沟通传递信息。当时展示时,便把 ARPANET、 PRNET(封包无线电波网络)、 SATNET(大西洋封包卫星网络)等大型网络系统连接起测试:虽然TCP协议稳定性 好而且也很少出错,但有时传送的封包资料仍然会遗失,并且要求系统重新传送,这样 在网络上会大大降低系统的效率与浪费传送时间。为了解决这一个问题,便将TCP协议 再度细分为两层:上层一样称为TCP协议(主要工作为管理封包的切割、整合与重传);而 下一层便称为P协议(主要工作为管理个别封包的资料传送与传送位置)。如此,这样的 协议便称为TCP/IP协议。 于1982年时,美国正式使用TCP/IP协议,并将此协议当成整个国防部网络的标准 协议。隔年(1983年)所有 ARPA NET的网络系统也正式启用TCP/P协议。至此,正 式奠定了TCPF协议的地位。后来由于 Internet的风潮,也正式启用TcP/P协议为标 准通信协议。这样的结果,使得TCP/P协议更确定其霸主地位。 §2.2TCP/IP协议基本概念 2.2,1OI层次模型和TCP/IP协议层次模型 1.OSI组织定义的七层网络协定 O)S1组织定义的七层网络协定,分别有 Application Lager(应用层); Presentation Lager(表现层) Session Lager(会谈层) Transport Lager((传送层); Network Lager(网络层) DataLink Lager(资料连结层); Physical Lager(实体层) 2.TCP/IP层次模型 重点来谈谈TCP/IP协议层次模型 一般而言网络通信协定是一种层级式( Layering)的结构,每一层都呼叫它的下一层 所提供的服务来完成自已的需求。而TCP/IP通信协定可以分为以下四层: Application Lager((应用层) Transport Lager(传输层) Internet Lager(网际层); Network Access Lager(网络存取层) 1) Application Layer(应用层):应用程式间沟通的协议,如简易电子邮件传送协议 (SMTP, Simple Mail Transfer Protocol)档案传输协议(FTP, File Transfer Protoco)网 络终端机模拟协议( TELNET)等。 (2) Transport Layer(主机传输层):提供端点间的资料传送服务,如传输控制协议
网络安全技术教程 (TCP, Transmission Control Protocol)、使用者资料协议(UDP, User Datagram Protocol) 等,负贲传送资料,并且确定资料已被送达并接收。 (3) Internet 1.ayer(网际层):负责捉供基本的封包传送功能,让每…块资料封包祁能 够到达日的端主机(但不检是否被正确接收),如网际协议(lP, nlernct Protocol). (4) Network Acess Layer(网络存取层):实质网络媒体的管埋协议,定义如何使用实 际网络(如 Ethernet, Serial line等)来传送资料。 举例而言,当要寄一封电子郎件(E-mail)的时候,首先启动收发邮件的程序,指定这 封邮件的收件人及寄件人姓名及地址,以及邮件的内容。以上这些资料格式都定义在电 」邮件协议中。而电了邮件协议又利用TCP模组,将整份邮件信息由本地送到收件人的 信箱去 在TCP协议屮定义了如何将信息上确无误地送抵目的端主机,TCP模组先将信息 切割成一块块方使传输的资料包( Datagram),借由记录及追踪送出的资料包,可以得知哪 些资料包已经到达∏的端主机。而那些没有到达目的端主机的资料包,就必须再送一次 到对方确定收到为L。这些资料包将会在网际网络屮穿梭奔驰,经过各种不同类型的 网络及主机,才能到达目的端,而协议就负责做这件事 肖先,当资料包绎过不网类型的网络时,山于每种网络所能传输的单元人小不同 所以连接不同网络的闸道( Gateway)主机内的IP模组,可能需要把资料包再分成较小块 的资料块( Fragment.),然后才能在下个悶络中缔续旅行:另外,P协议出定义了在网 际网络上毎一台机的地址格式,冇了这些可唯一确认每一台主机的位址,何·块包含 IP地址的资料崁才能够正确地抵达目的端主机: 到达闬的端之后,日的端主机的P模会设法将所有的资料块组合起来,TCP模组 两将资料包组介成信息,并要求来源端主机重送遗失的资料包。H的端主机上的'CP模 组确定资料包已经组合成为完整无缺的信息之后,就通知来源端主柷的TCP模组,完成 信息传送。最后,目的端主机上的邮件传输协议(SMTP)负贲将信息转成收件人看得懂 的邮件,正如寄件人所发出的原件一般 3.0I与TCP/IP层次的比较 TCP/IP讯协议 各璵应用服务 应用坛) sP、 TELNET, FTP, Gopher: WWWNFS等 Socket、 NetBIOS协定 传送层) TCP UDI Internet(网际层) IP、ABP、RARP、ICMP Nework(网络层) Ethernet, X 25 SLIP, PPP 问轴电缆线、电话线、网卡 0S!网络协定层 1CP/PP通讯协 定 MIcrosoft Nel work Application(应用瓜) presentaton(表现层 (应用层) Application Interface(应用和序界面层) Session(会谈层) ransport(传送层 Transport(传送层) Transport Device Interface(传送装皆界) Net sork(网络 twork Driver Interface(网络驱动界闻烂) Datalink(资料连结坛 Physical Network Layer〈实体网络坛 Physic:a!(实体层)
苇2章TCP/协议基础 2.22网际协议(IP nternet上使用的个关键的底层协议是网际协议,通常称I协议。利用一个共同 遵守的通信协议,从而使 Internet成为一个允许连接不同类型的计算机和不同操作系统 的网络。要使两台计算机彼此之间进行通信,必须使两台计算机使用同一种“语言”。通 信协议像两台计算机交换信息所使用的共冋语白,它规定了通信双方在通信中所应共 同遵守的约定 计算机的通信协议精确地定义了计算机在彼此通信过程的所有细节。例如,每台计 箅机发送的信息格式和含义,在什么情况下应发送规定的特殊信息,以及接收方的计算机 应做!哪些应答等等。 网际协议(IP)提供了能适应各种各样网络硬件的灵活性,对底层网络硬件几乎没有 任何要求,任何-个网络只要可以从一个地点向另一个地点传送二进制数据,就可以使用 IP协议加入 Internet了 如果希望能在 Inlernet上进行交流和通信,则每台连上 Internet的计算机都必须遵 了IP协议。为此使用 Internet的每台计算机都必须运行P协议软件,以使时刻准备发 送或接收信息 IP协议对于网络通信有着重要的意义:网络中的计算机通过安装TP软件,使许许多 多的局域网络构成∫一个庞人而又严密的通信系统。从而使 Internet看起来好像是真实 存在的,何实际上它是一种并不存在的虑拟网络,只不过是利用P协议把世界上所愿 意接人 Internet的计算机局域网络连接起来,使得它们彼此之间都能够通信。 1.IP地址格式 P主机地址通常用十进制的计数法来表达,用点号隔开的3个数分为4组表示(如 XXX.xXx,xXX.XxX)。其中包括网络地址和本地地址两个部分。根据网络的大小和 网络地址的区别可将IP主机地址为5类,即A类、B类、C类、D类和E类。在A类地址 中,IP头的第个字节是0与127之间个数值。也就是说这样的网络只能有128个, 但它可以拥有16,77,214个节点,这样的网是一个人型网,一般分配给诸如BM、 ARPANET、 MILNFT、DEC等主要的网络用户,这些用户通常都拥有较大的主机数目 在B类地址中,第一个宁节是在128和191之间取值。网络地址占据两个字节,从而 提供了更大的网络地址组合(l6,384),同时也为每…个网络地址提供了较大的本地地址 (65,24)。B类网址一般分配给需要较多节点的大公司和组织。 在C类网中,C类地址般分配给广人的申请者。第一个字节在:192和223之间取 值 个字节保留为网络地址,这类网址本身可拥有254个潜在的节点全世界可拥有 2097个D类和F类网,D类留作多种用途,F类留为将来用 A类:有126个网络群组,每个网络样组约1700万个地址 B类:约16384个网络群组,每个网络群组约65000个地址 C类:约200万个网络群组,每个网络群组有254个地址 D类: Multicast(多向式传播) IP协议是个冈络层协议,它在许多数据链路层协议上提供无连接数据报服务。但