网络工程师学习笔记(共11章)-第8部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


　　3、8种安全机制：加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制，它们可以在OSI参考模型的适当层次上实施。

　　4、5种普遍性的安全机制：可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。

　　5、信息系统安全评估准则

　　（1）可信计算机系统评估准则TCSEC：是由美国国家计算机安全中心于1983年制订的，又称桔皮书。

　　（2）信息技术安全评估准则ITSEC：由欧洲四国于1989年联合提出的，俗称白皮书。

　　（3）通用安全评估准则com：由美国国家标准技术研究所NIST和国家安全局NSA、欧洲四国以及加拿大等6国7方联合提出的。

　　（4）计算机信息系统安全保护等级划分准则：我国国家质量技术监督局于1999年发布的国家标准。

　　6、可信计算机系统评估准则

　　TCSEC共分为4类7级：D，C1，C2，B1，B2，B3，A1

　　D级，安全保护欠缺级，并不是没有安全保护功能，只是太弱。

　　C1级，自主安全保护级，

　　C2级，受控存取保护级，

　　B1级，结构化保护级

　　B3级，安全域级

　　A1，验证设计级。

　　七、评估增长的安全操作代价

　　为了确定网络的安全策略及解决方案：首先，应该评估风险，即确定侵入破坏的机会和危害的潜在代价；其次，应该评估增长的安全操作代价。

　　安全操作代价主要有以下几点：

　　（1）用户的方便程度

　　（2）管理的复杂性

　　（3）对现有系统的影响

　　（4）对不同平台的支持

第9章　Internet

　　主要内容：1、internet体系结构

　　2、internet连接的方法

　　3、internet地址

　　4、internet域名系统

　　5、internet地址是的扩展

　　一、Internet体系结构

　　1、自治系统：原始的Internet核心体系是在Internet权有一个主干网的那个时期开发的。但是这种体系结构存在以下一些问题：

　　这种体系不能适应互联网扩展到任意数量的网点；

　　许多网点由多个局域网组成，且用多个多路由器互连，由于一个核心路由器在每个网点上与一个网络相连，核心路由器就只知道那个网点中的一个网络的情况；

　　一个大型的互联网是独立的组织管理的网络的互连集合，路由选择体系结构必须为每个组织提供独立的控制路由选择和访问网络的方法，因此必须用一个单一的协议机制来构造一个由许多网点构成的互联网，同时，各个网点又是一个自治系统。

　　二、Internet连接的方法

　　1、将计算机连接到一个局域网，这个局域网的服务器是Internet的一个主机。

　　条件：必须连接到一个与Internet连接的网络，需要网络适配卡和ODI或NDIS驱动程序，还需要在本地计算机上运行TCP/IP，如果是Windows系统还需要Winsock支持。

　　2、利用串行接口协议（SLIP）或点到点协议（PPP），通过电话拨号方式进入一个Internet的主机

　　条件：需要一个调制解调器Modem、TCP/IP软件和SLIP或PPP软件，如果是Windows系统还需要Winsock支持。

　　3、通过电话拨号进入一个提供Internet服务的联机服务系统。

　　条件：需要一个调制解调器Modem、标准的通信软件和一个联机服务帐号。

　　4、用户选择连接方法的考虑因素：联网的目标和需求；用户内部配置的网络基础设施；用户支付Internet联网费用的能力；对Internet安全服务的需求。

　　三、Internet地址

　　在TCP/IP协议中，规定分配给每台主机一个32位数作为该主机IP地址。每个IP地址由两个部分组成，即网络标识netid和主机标识hostid。

　　IP地址的层次结构具有两个重要特性：第一，每台主机分配了一个惟一的地址；第二，网络标识号的分配必须全球统一，但主机标识号可由本地分配，不需要全球一致。

　　1、A类：1。0。0。1至126。255。255。254可能的网络数有126个，主机部分有1677216台（224…2）

　　2、B类：128。0。0。1至191。255。255。254可能的网络数有16384个，主机有65536台

　　3、C类：192。0。0。1至223。255。255。254可能的网络数有2097152个，主机有256台

　　4、D类：用于广播传送至多个目的地址用224…239

　　5、E类：用于保留地址240…255

　　RFC1918将10。0。0。至10。255。255。255、127。16。0。0至172。31。255。255、192。168。0。0至192。168。255。255的地址作为预留地址，用作内部地址，不能直接连接到公共因特网上。

四、Internet地址映射

　　将一台计算机的IP地址映射到物理地址的过程称地址解析。

　　常用的地址解析算法有以下三种：

　　1、查表法：将地址映射关系放在内存中的一些表里，当解析地址时，通过查表得到解析的结果。用于广域网。

　　2、相近形式计算法：通过简单的布尔和算术运算得出映射地址。用于可配置网络。

　　3、消息交换法：计算机通过网络交换信息得到映射地址。用于静态编址。

　　TCP/IP协议组包含一个地址解析协议（ARP）。ARP协议定义了两类基本消息，一类消息是请求消息，另一类是应答消息。

　　五、Internet地址空间的扩展

　　1、IPV6仍然支持无连接传送；允许发送方选择数据报大小；要求发送方指明数据报在到达目的站前的最大跳数。更大的地址空间；灵活的报头格式；增强的选项；支持资源分配；支持协议扩展。

　　2、IPV6的数据报格式：IPV6数据有一个固定的基本报头40字节其后可以允许多个扩展报头，也可以没有扩展报头，扩展报头后是数据。

　　IPV4的数据报格式：包括数据报报头和数据区的部分。报头：版本号、IHL、服务级别、数据单元长度、标识、标记、分段偏移、生命期、用户协议、报头检查和、源地址、目的地址、任选项＋填充、数据。

　　3、该基本报头包含版本号、数据流标记、PAYLOAD长度、下一个报头、跳数极限、源地址、目的地址。

　　4、IPV4与IPV6比较：取消了报头长度字段，数据报长度字段被PAYLOAD长度字段代替；源地址和目的地址字段大小增加为每个字段占16个八位组，128位；分段信息从基本报头的固定字段移动扩展报头；生存时间字段改为跳数极限字段；服务类型字段改为数据流标号字段；协议字段改为指明下一个报头类型字段。

　　5、IPV6有三个基本地址类型，单播地址（unicast）即目的地址指明一台计算机或路由器，数据报选择一条最短的路径到达目的站；群集地址（cluster）即目的站是共享一个网络地址的计算机的集合，数据报选择一条最短路径到达该组，然后传递给该组最近的一个成员；组播地址（multicast）即目的站是一组计算机，它们可以在不同地方，数据报通过硬件组播或广播传递给该组的每一成员。

　　6、对任何地址若开始80位是全零，接着16位是全1或全零，则它的低32位就是一个IPV4地址。

第10章　企业网与Intranet

　　主要内容：1、企业网络计算的组成和管理

　　2、企业网络开放系统集成技术

　　3、intranet定义和要素

　　4、intranet应用和建立

　　一、企业网络计算的背景和挑战

　　企业网是连接企业内部各部门并和企业外界相连，为企业的通信、办公自动化、经营管理、生产销售以及自动控制服务的重要信息基础设施。Intranet是基于TCP/IP协议，使用环球网WWW工具，采用防止外界侵入的安全措施，为企业内部服务，并有连接Intranet功能的企业内部网络。

　　1、驱动企业网络计算的因素：用户需求，这是基本动力；先进和实用的信息技术；迅速变化中的巿场。

　　2、可采用两种模型：一种是可伸缩的模型，即企业网络计算的同样的软件可运行在企业内部的不同平台上；另一种是集成的模型，即企业内部不同平台上的软件的集成。

　　二、企业网络计算的组成和特性

　　1、企业网络计算的组成：客户机/服务器计算；分布式数据库；数据仓库；网络和通信；网络和系统的管理；各种网络应用。

　　2、企业网络计算的特性：支持客户机/服务器计算械；支持管理海量数据的能力和设施；分布数据管理的设施；国际化和本地化；功能强的通信设施；系统的灵活性；分布资源管理；开发工具和开发手段的提供。

　　三、开放系统

　　开放系统：是对一个不断发展的、厂家中立的、用于对整个系统进行有效配置、操作和替换的接口、服务、协议和格式的规范描述的实现，它的应用和组成部件可以用不同厂家的其他相同实现替代。

　　1、开放系统的两个特点：开放系统所采用的规范是厂家中立的，或者是与厂家无关的；开放系统允许不同厂家的产品替换，这种替换包括整个系统其组成部件。

　　2、专用系统：它所采用的规范是专用，而不是厂家中立的；专用系统不允许由不同厂家的产品替换；它的组成部件允许具有许可证的厂家产品替换。

　　3、驱动开放系统发展的因素：功能、可用性、复杂性、价格。

四、企业网络开放系统集成技术

　　1、FRAMWORK是应用程序的开发和运行环境，它实际上是蹭件和操作系统的组合。比较有名的产品有CICS、Windows、UNIX。

　　2、COSE专门制定了自己的开放系统环境规范，主要技术包括用于窗口管理的Motif、标准API接口和用于数据库管理的SQL。

　　3、信息系统与网络计算主要实现网络范围数据管理、通信和网络管理，主要技术有：在数据管理方面有用于数据库间通信的RDA，即远程数据访问；通信服务DCE分布式计算环境，RPC远程过程调用，OSI开放系统互连；管理服务，DME分布管理环境，SNMP简单网络管理协议。

　　五、开放系统环境应用可移植框架

　　六、Intranet的定义和要素

　　1、Intranet是基于Internet　TCP/IP协议，使用的环球网WWW工具、采用防止外界侵入的安全措施、为企业内部服务，并有连接Internet的功能的企业内部网络。

　　2、Intranet的组成：网络、电子邮件、内部环球网、邮件地址清单、新闻组Newsgroups、闲谈Chat、FTP、Telnet、Gopher。

第11章　TCP/IP联网

　　主要内容：1、TCP/IP实现的基本原理

　　2、Windows　NT平台的联网

　　3、UNIX平台的联网及LINUX网络的联网

　　一、TCP/IP实现基本原理

　　1、TCP/IP的实现方式：

　　TSR常驻内存程序是一种安装在Windows之前在DOS上运行的程序。缺点，不能动态分配内存，TSR需要动态链接库DLL帮助，才能让Windows程序访问网络。目前只有在DOS环境下才使用TSR方式

　　DLL动态链接库是一个16位的Windows程序函数库，只有当用到其中的过程时才会被调用。缺点，它们不能直接与网卡通信，它们依赖于Windows的调度程序。

　　VxD虚拟设备是在Windows　32位保护方式下实现的，用于实现一些关键的部分，如视频、鼠标及通信端口驱动程序。它是通过硬件中断方式响应网络中的通信，可以彻底地访问Windwos和DOS程序。

　　2、网络配置基本参数：PC中网络适配卡基本参数，I/O端口地址、内存地址及中断号IRQ。与Microsoft相关的网络信息，主机标识、工作组名、WINS服务器地址、DHCP服务器地址；与TCP/IP网络信息有关，IP地址、子网掩码、主机名、域名、域名服务器、默认网关IP地址。

　　二、Windows　NT平台的TCP/IP联网

　　三、UNIX平台的TCP/IP联网

　　1、建立UNIX联网的几个步骤：设计物理和逻辑的网络结构；分配IP地址；安装网络硬件；为每个主机配置启动时候的网络接口；设立服务程序或者静态路由。

　　2、IP地址的获取和分配：可能通过/etc/hosts文件、DNS或者其他域名系统来实现。

　　3、网卡的配置：ifconfig命令可以设置网卡IP地址、子网掩码、广播地址、网卡的使能状态及其他选项参数。Ifconfig　interface　＇family＇　address　up　option　，其中interface是指定的网卡名，可以用netstat…i来检查当前系统网卡的芯片类型。Loopback网卡通常叫lo0它是一个假想的硬件，用来作本机内部网络包的路由，

　　4、路由配置：route配置静态路由，route　＇…f