|
TCP/IP應該是個協議集,根據OS的七層理論,TCP/IP分為四層.分別是應用,傳輸,Interne和網絡界面. 我們一般說TCP在傳輸層,而IP在Internet層. TCP/IP的應用程序包括我們平時經常用到的Ping,Telnet,Ftp,Finger等等 TCP/IP應該是個協議集,根據OS的七層理論,TCP/IP分為四層.分別是應用,傳輸,Interne和網絡界面. 我們一般說TCP在傳輸層,而IP在Internet層. TCP/IP的應用程序包括我們平時經常用到的Ping,Telnet,Ftp,Finger等等 配置TCP/IP包括IP地址,子網掩碼和缺省網關 正確檢測TCP/IP的四個步驟:PIng 127.0.0.1(回環地址)如果通表示TCP/IP已經裝入,Ping自己表明客戶機正常(主要是網卡),Ping網關表示局域網正常,Ping路由外地址表示完全正常,當然你也可以直接進行第四步,一般來說沒這么麻煩的,但理論是基礎 IP地址是四段八位的二進制數組成的,IP分為A,B,C,D,E五類地址 A類高端為0,從1.x.y.z~126.x.y.z .B類高端為10,從128.x.y.z~191.x.y.z C類高端為110,從192.x.y.z~223.x.y.z D類高端為1110是保留的IP地址 E類高端為1111,是科研用的IP地址 其中255是廣播地址,127是內部回送函數 一、以下內容是子網的設定 若公司不上Internet,那一定不會煩惱IPAddress的問題,因 為可以任意使用所有的IPAddress,不管是AClass或是BClass, 這個時候不會想到要用SubNet,但若是上Internet那IPAddress 便彌足珍貴了,目前全球一陣Internet熱,IPAddress已經愈 來愈少了,而所申請的IPAddress目前也趨保守,而且只有 經申請的IPAddress能在Internet使用,但對某些公司只能申 請到一個CCLass的IPAddress,但又有多個點需要使用,那這 時便需要使用到Subnet,這篇短文說明Subnet的原理及如 何規劃。 SubnetMask的介紹 設定任何網路上的任何設備不管是主機、PC、Router等 皆需要設定IPAddress,而跟隨著IPAddress的是所謂的NetMask, 這個NetMask主要的目的是由IPAddress中也能獲得NetworkNumber ,也就是說IPAddress和NetMask作AND而得到NetworkNumber,如下所示 IPAddress 192.10.10.611000000.00001010.00001010.00000110 NetMask 255.255.255.011111111.11111111.11111111.00000000 AND ------------------------------------------------------------------- etworkNumber 192.10.10.011000000.00001010.00001010.00000000 NetMask有所謂的預設值,如下所示
ClassIPAddress范圍NetMask A 1.0.0.0-126.255.255.255255.0.0.0 B 128.0.0.0-191.255.255.255255.255.0.0 C 192.0.0.0-223.255.255.255255.255.255.0
在預設的NetMask都只有255的值,在談到SubnetMask時這個值 便不一定是255了。 在完整一組CClass中如203.67.10.0-203.67.10.255NetMask255.255.255.0, 203.67.10.0稱之NetworkNumber(將IPAddress和Netmask作AND),而 203.67.10.255是Broadcast的IPAddress,所以這?兩者皆不能使用,實 際只能使用203.67.10.1--203.67.10.254等254個IPAddress,這是以 255.255.255.0作NetMask的結果,而所謂SubnetMsk尚可將整組C Class分成數組NetworkNumber,這要在NEtMask作手腳,若是要將 整組CCLass分成2個NetworkNumber那NetMask設定為255.255.255.192, 若是要將整組CCLass分成8組NetworkNumber則NetMask要為 255.255.255.224,這是怎麼來的,由以上知道NetworkNumber是由IP Address和NetMask作AND而來的,而且將NetMask以二進位表示 法知道是1的會保留,而為0的去掉
192.10.10.193--11000000.00001010.00001010.10000001 255.255.255.0--11111111.11111111.11111111.00000000 -------------------------------------------------------------- 192.10.10.0--11000000.00001010.00001010.00000000
以上是以255.255.255.0為NetMask的結果,NetworkNumber是192.10.10.0, 若是使用255.255.255.224作NetMask結果便有所不同
192.10.10.193--11000000.00001010.00001010.10000000 255.255.255.224--11111111.11111111.11111111.11100000 -------------------------------------------------------------- 192.10.10.192--11000000.00001010.00001010.10000000
此時NetworkNumber變成了192.10.10.192,這便是Subnet。 那要如何決定所使用的NetMask,255.255.255.224以二進位表示 法為11111111.11111111.11111111.11100000,變化是在最後一組,11100000 便是224,以三個Bit可表示2的3次方便是8個NetworkNumber NetMask二進位表示法可分幾個Network
255.255.255.0 11111111.11111111.11111111.000000001 255.255.255.128 11111111.11111111.11111111.100000002 255.255.255.192 11111111.11111111.11111111.110000004 255.255.255.224 11111111.11111111.11111111.111000008 255.255.255.240 11111111.11111111.11111111.1111000016 255.255.255.248 11111111.11111111.11111111.1111100032 255.255.255.252 11111111.11111111.11111111.1111110064
以下使用255.255.255.224將C Class203.67.10.0分成8組NetworkNumber,各 個NetworkNumber及其BroadcastIPAddress及可使用之IPAddress
序號NetworkNumberBroadcast可使用之IPAddress 1 203.67.10.0 203.67.10.31 203.67.10.1-203.67.10.30 2 203.67.10.32 203.67.10.63 203.67.10.33-203.67.10.62 3 203.67.10.64 203.67.10.95 203.67.10.65-203.67.10.94 4 203.67.10.96 203.67.10.127 203.67.10.97-203.67.10.126 5 203.67.10.128 203.67.10.159 203.67.10.129-203.67.10.158 6 203.67.10.160 203.67.10.191 203.67.10.161-203.67.10.190 7 203.67.10.192 203.67.10.223 203.67.10.193-203.67.10.222 8 203.67.10.224 203.67.10.255 203.67.10.225-203.67.10.254
可驗證所使用的IPAddress是否如上表所示 203.67.10.115--11001011.01000011.00001010.01110011 255.255.255.224--11111111.11111111.11111111.11100000 -------------------------------------------------------------- 203.67.10.96--11001011.01000011.00001010.01100000 203.67.10.55--11001011.01000011.00001010.00110111 255.255.255.224--11111111.11111111.11111111.11100000 -------------------------------------------------------------- 203.67.10.32--11001011.01000011.00001010.00100000
其他的NetMask所分成的NetworkNumber可自行以上述方法自行推演出來。 Subnet的應用 使用Subnet是要解決只有一組CClass但需要數個NetworkNumber的問題,并不是解決IPAddress不夠用的問題,因為使用 Subnet反而能使用的IPAddress會變少,Subnet通常是使用在總公司在臺北,但分公司在臺中,兩者之間使用Router連線 ,同時也上Internet,但只申請到一組CCLassIPAddress,過Router又需不同的Network,所以此時就必須使用到Subnet,當然二 辦公司間可以RemoteBridge連接,那便沒有使用Subnet的問題,這點在此不討論,所以在以上情況下的網路連線架 構及IPAddress的使用 TCP/IP(傳輸控制協議/網間協議)是一種網絡通信協議,它規范了網絡上的所有通信設備,尤其是一個主機與另一個主機之間的數據往來格式以及傳送方式。TCP/IP是INTERNET的基礎協議,也是一種電腦數據打包和尋址的標準方法。在數據傳送中,可以形象地理解為有兩個信封,TCP和IP就像是信封,要傳遞的信息被劃分成若干段,每一段塞入一個TCP信封,并在該信封面上記錄有分段號的信息,再將TCP信封塞入IP大信封,發送上網。在接受端,一個TCP軟件包收集信封,抽出數據,按發送前的順序還原,并加以校驗,若發現差錯,TCP將會要求重發。因此,TCP/IP在INTERNET中幾乎可以無差錯地傳送數據。 在任何一個物理網絡中,各站點都有一個機器可識別的地址,該地址叫做物理地址.物理地址有兩個特點: 物理地址的長度,格式等是物理網絡技術的一部分,物理網絡不同,物理地址也不同. 同一類型不同網絡上的站點可能擁有相同的物理地址. 以上兩點決定了,不能用物理網絡進行網間網通訊. 在網絡術語中,協議中,協議是為了在兩臺計算機之間交換數據而預先規定的標準。TCP/IP并不是一個而是許多協議,這就是為什么你經常聽到它代表一個協議集的原因,而TCP和IP只是其中兩個基本協議而已。 你裝在計算機-的TCP/IP軟件提供了一個包括TCP、IP以及TCP/IP協議集中其它協議的工具平臺。特別是它包括一些高層次的應用程序和FTP(文件傳輸協議),它允許用戶在命令行上進行網絡文件傳輸。 TCP/IP是美國政府資助的高級研究計劃署(ARPA)在二十世紀七十年代的一個研究成果,用來使全球的研究網絡聯在一起形成一個虛擬網絡,也就是國際互聯網。原始的Internet通過將已有的網絡如ARPAnet轉換到TCP/IP上來而形成,而這個Internet最終成為如今的國際互聯網的骨干網。 |
|
如今TCP/IP如此重要的原因,在于它允許獨立的網格加入到Internet或組織在一起形成私有的內部網(Intranet)。構成內部網的每個網絡通過一種-做路由器或IP路由器的設備在物理上聯接在一起。路由器是一臺用來從一個網絡到另一個網絡傳輸數據包的計算機。在一個使用TCP/IP的內部網中,信息通過使用一種獨立的叫做IP包(IPpacket)或IP數據報(IPdatagrams)的數據單元進--傳輸。TCP/IP軟件使得每臺聯到網絡上的計算機同其它計算機“看”起來一模一樣,事實上它隱藏了路由器和基本的網絡體系結構并使其各方面看起來都像一個大網。如同聯入以太網時需要確認一個48位的以太網地址一樣,聯入一個內部網也需要確認一個32位的IP地址。我們將它用帶點的十進制數表示,如128.10.2.3。給定一個遠程計算機的IP地址,在某個內部網或Internet上的本地計算機就可以像處在同一個物理網絡中的兩臺計算機那樣向遠程計算機發送數據。 TCP/IP提供了一個方案用來解決屬于同一個內部網而分屬不同物理網的兩臺計算機之間怎樣交換數據的問題。這個方案包括許多部分,而TCP/IP協議集的每個成員則用來解決問題的某一部分。如TCP/IP協議集中最基本的協議-IP協議用來在內部網中交換數據并且執行一項重要的功能:路由選擇--選擇數據報從A主機到B主機將要經過的路徑以及利用合適的路由器完成不同網絡之間的跨越(hop)。 TCP是一個更高層次的它允許運行在在不同主機上的應用程序相互交換數據流。TCP將數據流分成小段叫做TCP數據段(TCPsegments),并利用IP協議進行傳輸。在大多數情況下,每個TCP數據段裝在一個IP數據報中進行發送。但如需要的話,TCP將把數據段分成多個數據報,而IP數據報則與同一網絡不同主機間傳輸位流和字節流的物理數據幀相容。由于IP并不能保證接收的數據報的順序相一致,TCP會在收信端裝配TCP數據段并形成一個不間斷的數據流。FTP和Telnet就是兩個非常流行的依靠TCP的TCP/IP應用程序。 另一個重要的TCP/IP協議集的成員是用戶數據報協議(UDP),它同TCP相似但比TCP原始許多。TCP是一個可靠的協議,因為它有錯誤檢查和握手確認來保證數據完整的到達目的地。UDP是一個“不可靠”的協議,因為它不能保證數據報的接收順序同發送順序相同,甚至不能保證它們是否全部到達。如果有可靠性要求,則應用程序避免使用它。同許多TCP/IP工具同時提供的SNMP(簡單網絡管理協議)就是一個使用UDP協議的應用例子。 其它TCP/IP協議在TCP/IP網絡中工作在幕后,但同樣也發揮著重要作用。例如地址轉換協議(ARP)將IP地址轉換為物理網絡地址如以太網地址。而與其對應的反向地址轉換協議(RARP)做相反的工作,即將物理網絡地址轉換為IP地址。網際控制報文協議(ICMP)則是一個支持性協議,它利用IP完成IP數據報在傳輸時的控制信息和錯誤信息的傳輸。例如,如果一個路由器不能向前發送一個IP數據報,它就會利用ICMP來告訴發送者這里出現了問題。 網絡設計者在解決網絡體系結構時經常使用ISO/OSI( 國際標準化組織/開放系統互連)七層模型,該模型每 一層代表一定層次的網絡功能。最下面是物理層,它 代表著進行數據轉輸的物理介質,換句話說,即網絡 電纜。其上是數據鏈路層,它通過網絡接口卡提供服 務。最上層是應用層,這里運行著使用網絡服務的應 用程序。 TCP/IP是同ISO/OSI模型等價的。當一個數據單元 從網絡應用程序下流到網絡接口卡,它通過了一列的TCP/IP 模塊。這其中的每一步,數據單元都會同網絡另一端 對等TCP/IP模塊所需的信息一起打成包。這樣當數據最 終傳到網卡時,它成了一個標準的以太幀(假設物理 網絡是以太網)。而接收端的TCP/IP軟件通過剝去以太網 幀并將數據向上傳輸過TCP/IP棧來為處于接收狀態的應 用程序重新恢復原始數據(一種最好的了解TCP/IP工作實 質的方法,是使用探測程序來觀察網絡中的到處流動 的幀中被不同TCP/IP模塊所加上的信息)。 為了勾勒TCP/IP在現實網絡世界中所扮演的角色, 請考慮當使用HTTP(超文本傳輸協議)的Web瀏覽器從連接 在Internet上的Web服務器上獲取一頁HTML數據時所發生的情 況。為形成同Web服務器的虛鏈路,瀏覽器使用一種被 抽象地稱為套接口(socket)的高層軟件。為了獲 取Web頁,它通過向套接口向套接口寫入HTTPGET命令來向Web 服務器發出該指令。接下來套接口軟件使用TCP協議向 Web服務器發出包含GET命令的字節流和位流,TCP將數據 分段并將各獨立段傳到IP模塊,該模塊將數據段轉換 成數據報并發送給Web服務器。 如果瀏覽器和服務器運--在不同物理網絡的計 算機上(一般情況如此),數據報從一個網絡傳到另一 個網絡,直到抵達服務器所在的那個網。最終,數據 被傳輸到目的地址并被重新裝配,這樣Web服務器通過 讀自己的套接口來獲得數據主干,并進而查看連續的 數據流。對瀏覽器和服務器來說,數據在這一端寫入 套接口而在另一端出現如同魔術一般,但這只是底 下發生的各種復雜的交互,它創造了數據經過網絡無 縫傳輸的假象。 這就是TCP/IP所做的:將許多小網聯成一個大網。 并在這個大網也就是Internet上提供應用程序所需要的 相互通信的服務。 評論: 對于TCP/IP有許多可談的,但這里僅講三個關鍵 點: ·TCP/IP是一族用來把不同的物理網絡聯在一 起構成網際網的協議。TCP/IP聯接獨立的網絡形成一個 虛擬的網,在網內用來確認各種獨立的不是物理網絡 地址,而是IP地址。 ·TCP/IP使用多層體系結構,該結構清晰定義了 每個協議的責任。TCP和UDP向網絡應用程序提供了高層 的數據傳輸服務,并都需要IP來傳輸數據包。IP有責任 為數據包到達目的地選擇合適的路由。 ·在Internet主機上,兩個運行著的應用程序之 間傳送要通過主機的TCP/IP堆棧上下移動。在發送端TCP/IP 模塊加在數據上的信息將在接收端對應的TCP/IP模塊上 濾掉,并將最終恢復原始數據。 如果你有興趣學習更多的TCP/IP知識,這里有兩個 較高層次的信息源RFC(RequestforComment)1180——叫做“TCP/IP Tutorial”的文檔,你可以從許多普及的RFC的Internet節點上 下載。另一個是InternetworkingwithTCP/IP的第一卷:Principles,Protocols,and Architectures,作者DouglasE.Comer(1995,Prentice-Hall)。作為該系三部 曲中的第一部分,許多人把看成是一本TCP/IP圣經。(原 文刊載于Vol.15No.20) 二、傳輸層的安全性 在Internet應用編程序中,通常使用廣義的進程間通信(IPC)機制來與不同層次的安全協議打交道。比較流行的兩個IPC編程界面是BSD Sockets和傳輸層界面(TLI),在Unix系統V命令里可以找到。 在Internet中提供安全服務的首先一個想法便是強化它的IPC界面,如BSD Sockets等,具體做法包括雙端實體的認證,數據加密密鑰的交換等。Netscape通信公司遵循了這個思路,制定了建立在可靠的傳輸服務(如TCP/IP所提供)基礎上的安全套接層協議(SSL)。SSL版本3(SSL v3)于1995年12月制定。它主要包含以下兩個協議: SSL記錄協議 它涉及應用程序提供的信息的分段、壓縮、數據認證和加密。SSL v3提供對數據認證用的MD5和SHA以及數據加密用的R4和DES等的支持,用來對數據進行認證和加密的密鑰可以通過SSL的握手協議來協商。 SSL握手協議 用來交換版本號、加密算法、(相互)身份認證并交換密鑰。SSL v3 提供對Deffie-Hellman密鑰交換算法、基于RSA的密鑰交換機制和另一種實現在 Fortezza chip上的密鑰交換機制的支持。 Netscape通信公司已經向公眾推出了SSL的參考實現(稱為SSLref)。另一免費的SSL實現叫做SSLeay。SSLref和SSLeay均可給任何TCP/IP應用提供SSL功能。Internet號碼分配當局(IANA)已經為具備SSL功能的應用分配了固定端口號,例如,帶SSL的 HTTP(https)被分配的端口號為443,帶SSL的SMTP(ssmtp)被分配的端口號為465,帶SSL的NNTP(snntp)被分配的端口號為563。 微軟推出了SSL2的改進版本稱為PCT(私人通信技術)。至少從它使用的記錄格式來看,SSL和PCT是十分相似的。它們的主要差別是它們在版本號字段的最顯著位(The Most Significant Bit)上的取值有所不同: SSL該位取0,PCT該位取1。這樣區分之后,就可以對這兩個協議都給以支持。 1996年4月,IETF授權一個傳輸層安全(TLS)工作組著手制定一個傳輸層安全協議(TLSP),以便作為標準提案向IESG正式提交。TLSP將會在許多地方酷似SSL。 前面已介紹Internet層安全機制的主要優點是它的透明性,即安全服務的提供不要求應用層做任何改變。這對傳輸層來說是做不到的。原則上,任何TCP/IP應用,只要應用傳輸層安全協議,比如說SSL或PCT,就必定要進行若干修改以增加相應的功能,并使用(稍微)不同的IPC界面。于是,傳輸層安全機制的主要缺點就是要對傳輸層IPC界面和應用程序兩端都進行修改。可是,比起Internet層和應用層的安全機制來,這里的修改還是相當小的。另一個缺點是,基于UDP的通信很難在傳輸層建立起安全機制來。同網絡層安全機制相比,傳輸層安全機制的主要優點是它提供基于進程對進程的(而不是主機對主機的)安全服務。這一成就如果再加上應用級的安全服務,就可以再向前跨越一大步了。 三、應用層的安全性 必須牢記(且須仔細品味): 網絡層(傳輸層)的安全協議允許為主機(進程)之間的數據通道增加安全屬性。本質上,這意味著真正的(或許再加上機密的)數據通道還是建立在主機(或進程)之間,但卻不可能區分在同一通道上傳輸的一個具體文件的安全性要求。比如說,如果一個主機與另一個主機之間建立起一條安全的IP通道,那么所有在這條通道上傳輸的IP包就都要自動地被加密。同樣,如果一個進程和另一個進程之間通過傳輸層安全協議建立起了一條安全的數據通道,那么兩個進程間傳輸的所有消息就都要自動地被加密。 如果確實想要區分一個具體文件的不同的安全性要求,那就必須借助于應用層的安全性。提供應用層的安全服務實際上是最靈活的處理單個文件安全性的手段。例如一個電子郵件系統可能需要對要發出的信件的個別段落實施數據簽名。較低層的協議提供的安全功能一般不會知道任何要發出的信件的段落結構,從而不可能知道該對哪一部分進行簽名。只有應用層是唯一能夠提供這種安全服務的層次。 一般來說,在應用層提供安全服務有幾種可能的做法,第一個想到的做法大概就是對每個應用(及應用協議)分別進行修改。一些重要的TCP/IP應用已經這樣做了。在RFC 1421至1424中,IETF規定了私用強化郵件(PEM)來為基于SMTP的電子郵件系統提供安全服務。由于種種理由,Internet業界采納PEM的步子還是太慢,一個主要的原因是PEM依賴于一個既存的、完全可操作的PKI(公鑰基礎結構)。PEM PKI是按層次組織的,由下述三個層次構成: 頂層為Internet安全政策登記機構(IPRA) 次層為安全政策證書頒發機構(PCA) 底層為證書頒發機構(CA) 建立一個符合PEM規范的PKI也是一個政治性的過程,因為它需要多方在一個共同點上達成信任。不幸的是,歷史表明,政治性的過程總是需要時間的,作為一個中間步驟,Phil Zimmermann開發了一個軟件包,叫做PGP(pretty Good Privacy)。PGP符合PEM的絕大多數規范,但不必要求PKI的存在。相反,它采用了分布式的信任模型,即由每個用戶自己決定該信任哪些其他用戶。因此,PGP不是去推廣一個全局的PKI,而是讓用戶自己建立自己的信任之網。這就立刻產生一個問題,就是分布式的信任模型下,密鑰廢除了怎么辦。 S-HTTP是Web上使用的超文本傳輸協議(HTTP)的安全增強版本,由企業集成技術公司設計。S-HTTP提供了文件級的安全機制,因此每個文件都可以被設成私人/簽字狀態。用作加密及簽名的算法可以由參與通信的收發雙方協商。S-HTTP提供了對多種單向散列(Hash)函數的支持,如: MD2,MD5及SHA; 對多種單鑰體制的支持,如:DES,三元DES,RC2,RC4,以及CDMF; 對數字簽名體制的支持,如: RSA和DSS。 目前還沒有Web安全性的公認標準。這樣的標準只能由WWW Consortium,IETF或其他有關的標準化組織來制定。而正式的標準化過程是漫長的,可能要拖上好幾年,直到所有的標準化組織都充分認識到Web安全的重要性。S-HTTP和SSL是從不同角度提供Web的安全性的。S-HTTP對單個文件作"私人/簽字"之區分,而SSL則把參與通信的相應進程之間的數據通道按"私用"和"已認證"進行監管。Terisa公司的SecureWeb工具軟件包可以用來為任何Web應用提供安全功能。該工具軟件包提供有 RSA數據安全公司的加密算法庫,并提供對SSL和S-HTTP的全面支持。 另一個重要的應用是電子商務,尤其是信用卡交易。為使Internet上的信用卡交易安全起見,MasterCard公司(同IBM,Netscape,GTE和Cybercash一道) 制定了安全電子付費協議(SEPP),Visa國際公司和微軟(和其他一些公司一道)制定了安全交易技術(STT)協議。同時,MasterCard,Visa國際和微軟已經同意聯手推出Internet上的安全信用卡交易服務。他們發布了相應的安全電子交易(SET)協議,其中規定了信用卡持卡人用其信用卡通過Internet進行付費的方法。這套機制的后臺有一個證書頒發的基礎結構,提供對X.509證書的支持。 上面提到的所有這些加安全功能的應用都會面臨一個主要的問題,就是每個這樣的應用都要單獨進行相應的修改。因此,如果能有一個統一的修改手段,那就好多了。通往這個方向的一個步驟就是赫爾辛基大學的Tatu Yloenen開發的安全shell(SSH)。SSH允許其用戶安全地登錄到遠程主機上,執行命令,傳輸文件。它實現了一個密鑰交換協議,以及主機及客戶端認證協議。SSH有當今流行的多種Unix系統平臺上的免費版本,也有由Data Fellows公司包裝上市的商品化版本。 把SSH的思路再往前推進一步,就到了認證和密鑰分配系統。本質上,認證和密鑰分配系統提供的是一個應用編程界面(API),它可以用來為任何網絡應用程序提供安全服務,例如: 認證、數據機密性和完整性、訪問控制以及非否認服務。目前已經有一些實用的認證和密鑰分配系統,如: MIT的Kerberos(V4與V5),IBM的CryptoKnight和Netwrok Security Program,DEC的SPX,Karlsruhe大學的指數安全系統(TESS)等,都是得到廣泛采用的實例。甚至可以見到對有些認證和密鑰分配系統的修改和擴充。例如,SESAME和OSF DCE對Kerberos V5作了增加訪問控制服務的擴充,Yaksha對Kerberos V5作了增加非否認服務的擴充。 關于認證和密鑰分配系統的一個經常遇到的問題是關于它們在Internet上所受到的冷遇。一個原因是它仍要求對應用本身做出改動。考慮到這一點,對一個認證和密鑰分配系統來說,提供一個標準化的安全API就顯得格外重要。能做到這一點,開發人員就不必再為增加很少的安全功能而對整個應用程序大動手術了。因此,認證系統設計領域內最主要的進展之一就是制定了標準化的安全API,即通用安全服務API(GSS-API)。GSS-API(v1及v2)對于一個非安全專家的編程人員來說可能仍顯得過于技術化了些,但德州Austin大學的研究者們開發的安全網絡編程(SNP),把界面做到了比GSS-API更高的層次,使同網絡安全性有關的編程更加方便了。 局域網在網絡層有什么不安全的地方? 不安全的地方 由于局域網中采用廣播方式,因此,若在某個廣播域中可以偵聽到所有的信息包,黑客就對可以對信息包進行分析,那么本廣播域的信息傳遞都會暴露在黑客面前。 網絡分段 網絡分段是保證安全的一項重要措施,同時也是一項基本措施,其指導思想在于將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。 網絡分段可分為物理分段和邏輯分段兩種方式: 物理分段通常是指將網絡從物理層和數據鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網段,各網段相互之間無法進行直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現對網絡的物理分段。邏輯分段則是指將整個系統在網絡層(ISO/OSI模型中的第三層)上進行分段。例如,對于TCP/IP網絡,可把網絡分成若干IP子網,各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接,利用這些中間設備(含軟件、硬件)的安全機制來控制各子網間的訪問。在實際應用過程中,通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。 VLAN的實現 虛擬網技術主要基于近年發展的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。因此,網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。 以太網從本質上基于廣播機制,但應用了交換器和VLAN技術后,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。 由以上運行機制帶來的網絡安全的好處是顯而易見的: 信息只到達應該到達的地點。因此、防止了大部分基于網絡監聽的入侵手段。 通過虛擬網設置的訪問控制,使在虛擬網外的網絡節點不能直接訪問虛擬網內節點。 但是,虛擬網技術也帶來了新的安全問題: 執行虛擬網交換的設備越來越復雜,從而成為被攻擊的對象。基于網絡廣播原理的入侵監控技術在高速交換網絡內需要特殊的設置。基于MAC的VLAN不能防止MAC欺騙攻擊。 采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基于交換機端口。但這要求整個網絡桌面使用交換端口或每個交換端口所在的網段機器均屬于相同的VLAN。 VLAN之間的劃分原則 VLAN的劃分方式的目的是保證系統的安全性。因此,可以按照系統的安全性來劃分VLAN;可以將總部中的服務器系統單獨劃作一個VLAN,如數據庫服務器、電子郵件服務器等。也可以按照機構的設置來劃分VLAN,如將領導所在的網絡單獨作為一個Leader VLAN(LVLAN), 其他司局(或下級機構)分別作為一個VLAN,并且控制LVLAN與其他VLAN之間的單向信息流向,即允許LVLAN查看其他VLAN的相關信息,其他VLAN不能訪問LVLAN的信息。VLAN之內的連接采用交換實現, VLAN與VLAN之間采用路由實現。由于路由控制的能力有限,不能實現LVLAN與其他VLAN之間的單向信息流動,需要在LVLAN與其他VLAN之間設置一個Gauntlet防火墻作為安全隔離設備,控制VLAN與VLAN之間的信息交流。 |
