《-要点第七章通信与网络安全》由会员分享,可在线阅读,更多相关《-要点第七章通信与网络安全(4页珍藏版)》请在金锄头文库上搜索。
1、如果双宿防火墙的操作系统禁用包转发或路由功能,那么它就会存在弱点。协议是规定计算机在网络上如何通信的一组规则。应用层是第七层,它包含用户应用网络互联功能所需的服务和协议。表示层是第六层,它将数据格式化为标准格式,并且处理数据的语法而非意义。路由器工作在网络层(第三层)会话层是第五层,负责在两个应用程序之间建立、维护和中断对话(会话)它控制对话的组织和同步。传输层是第四层,它提供端对端的传输。网络层是第三层,它提供路由、寻址和数据包分片。这一层能够通过确定可选的路由来避免网络拥塞。数据链路层是第二层,通过将数据组帧来为网络介质准备数据。这是采用不同和WAN 技术的位置。物理层是第一层,为传输提供
2、物理连接,并且提供数据的电信号编码。这一层将位值转换为电信号。TCP/IP 是一套协议集,它是在 INTERNET 上传输数据的事实标准。TCP 是可靠的、面向连接的协议,UDP 则是不可靠的、无连接的协议。数据在源计算机按 OSI 模型向下传输时被封装,这个过程在目标计算机上正好相反。在封装期间,每一层都会添加自己的信息,从而使目标计算机的对应层知道如何处理数据。数据链路层定义物理层如何传送网络层数据包。ARP 和 RARP 是这一层上的两个协议。传输层上的两个主要协议是 TCP 和 UDP。UDP 是无连接的协议,它在接收数据报时并不发送或接收应答。不能确保数据到达目的地,它提供“尽力的”
3、传送。TCP 是面向连接的协议,它发送或接收应答。TCP 确保数据到达目的地。ARP 将 IP 地址转换为 MAC 地址(物理以太网地址),而 RARP 则将 MAC 地址转换为IP 地址。ICMP 工作在网络层,它为主机、路由器和设备通知网络或计算机的问题。它是实用工具的重要组成部分。DNS 将主机名解析为 IP 地址,它在 Internet 上有分布式数据库来提供名称解析。改变 ARP 表使得一个 IP 地址映射到一个不同的 MAC 地址,这称为 ARP 中毒(ARP poisoning),它能将数据流量重定向至攻击者的计算机或无人值守的系统。包过滤(屏蔽路由器)通过 ACL 实现,这是第
4、一代防火墙。数据流量能够按地址、端口和协议类型进行过滤。隧道协议将数据帧封装在可路由的帧内,从而将其从一个网络传送至另一个网络。包过滤与应用无关,并提供高性能和可升级,但是在网络层以上安全性低且没有保护。使用代理的防火墙将被认可数据包的单独副本从一个网络传送至另一个网络。应用级代理要求每一个被认可的服务都具有一个代理,它能理解使用的协议以及协议内的命令,并据此作出决策。电路级防火墙也是使用代理,但是在更低的级别上。电路级防火墙不像应用级代理那样深入数据包。代理防火墙是通信中的中间人,它并不允许任何人直接连接到内联网络中受保护的计算机。代理防火墙是第二代防火墙。应用级代理防火墙提供良好的安全性和
5、理解整个应用层,但是性能差、应用支持有限、难以升级。状态检查防火墙会跟踪每个通话会话。它必须维护状态表,其中包含每个连接的相关数据。它是第三代防火墙。VPN 使用隧道协议和加密在两个网络或主机之间提供安全的网络链接。一个专用的安全连接能建立在不安全的网络之上。VPN 可以采用 PPTP、L2TP 或 IPSec 作为隧道协议。PPTP 工作在数据链路层。IPSec 工作在网络层,并且能够同时处理多个隧道。专用链路通常是最昂贵的 WAN 连通方法,因为其费用是根据两个目标之间的距离计算,而不是根据使用的带宽计算。T1 和 T3 是专用链路的示例。帧中继和 X.25 是数据包交换的篇 WAN 技术
6、,它使用虚拟电路而不是专用链路。星型拓扑的集线器是来自计算机和设备的所有线缆的汇聚之处。网桥将网络分为更可控的网段,以确保更有效地利用带宽。网桥工作在数据链路层,它理解 MAC 地址而非 IP 地址。交换机是集中继器和网桥技术于一身的设备。它工作在数据链路层,理解 MAC 地址。路由器链接两个或多个网段,每个网段都可作为独立的网络。路由器工作在网络层,利用 IP 地址进行工作,并且比网桥、交换机或中继器具有更多的网络知识。网桥利用 MAC 地址过滤并转发广播流量;而路由器利用 IP 地址过滤,且不转发广播流量。第 3 层交换结合了交换和路由技术。衰减是当线缆超过最大长度时信号强度的损失。STP
7、 和 UTP 是最常用、最便宜、最容易使用的双绞线类型。然而,它们也最容易被窃听,存在串扰问题,并且容易遭受电磁干扰(Electromagnetic Interference,EMI)。同轴电缆比 STP 和 UTP 贵得多,抗电磁干扰能力更强,并且能够支持基带和宽带技术。光缆利用光波运载数据,非常昂贵,能高速传送数据,难以窃听,抗电磁干扰。如果安全非常重要,那么需要使用光缆。AMI 采用固定的信元传送数据,它是一种 WAN 技术,能以很高的速率传送数据。ATM 支持语音、数据和视频应用。FDDI 是 LAN 和 WAN 技术,通常在骨干网中使用,釆用令牌传递技术,并且具有冗余环以防主环出现故
8、障。以太网 802.3 是如今最常用的实现,它能运行在 101000Mbps 之间。令牌环 802.5 是较早的 LAN 实现,它使用令牌传递技术。以太网采用 CSMA/CD 这意味着所有计算机竞争共享的网络线缆,侦听何时能够发送数据,容易造成数据冲突。电路交换技术建立数据传输会话期间使用的电路。数据包交换技术并不建立电路,相反,数据包可以通过许多不同的路径到达同一个目的地。永久虚电路(Permanent Virtual Circuit,PVC)设定在 WAN 中,而交换虚电路(Switched Virtual Circuit,SVC)是临时的。SVC 建立很快,在不需要时也很快撤销。CSU/
9、DSU 在 LAN 设备需要和 WAN 设备通信时使用。它确保采用了正确的电信号和格式,并且是 DTE 和 DCE 之间的接口。ISDN 具有 BRI 速率(使用两个 B 通道和一个 D 通道)和 Pri 速度(使用最多 23 个 B 通道)。它们支持语音、数据和视频。帧中继是工作在数据链路层的、执行数据包交换的 WAN 协议。它是一个比较经济的选择,因为费用基于所使用的带宽。PPP 是用于通信连接的封装协议。它取代了 SLIP,是通过串行线连接不同类型设备的理想选择。DSL 在现有的电话线上提供高速宽带的传输。远程访问服务器可以配置为回呼远程用户,但是通过呼叫转发能够使之无效。PAP 以明文
10、形式发送凭证。CHAP 使用挑战响应机制进行身份验证,因此不需要通过网络发送密码。SOCKS 是代理型防火墙解决方案。它釆用基于电路的代理,而不是基于应用的代理。IPSEC 隧道模式保护数据包的净荷和首部信息,而 IPSec 传输模式只保护净荷。被屏蔽主机防火墙位于边缘路由器和 LAN 之间。被屏蔽子网是由两个物理防火墙建立的 DMZ。NAT 在公司不希望系统知道内部主机的地址时釆用,它支持公司使用私有的、不可路由的 IP 地址。802.11 标准是一种技术,并且具有几个变化形式:802.11a、802.11b、802.11f、802.11g 以及 802.11i。80215 标准概括了无线个
11、人区域网(Wireless Personal Area Network,WPAN)技术,802,16 涉及无线 MAN 技术。WAP 是无线设备上使用的替代 TCP/IP 协议的协议栈。使用不同的 SSID 可以将具体环境分割成若干不同的 WLAN。802.11b 标准工作在 2.4GHz 频率段内,支持 11Mbps 的传输速率;而 802.11a 标准工作在 5GHz 频率段内,支持 54Mbps 的传输速率。IPv4 使用 32 位地址,而 IPv6 使用 128 位地址。因此,IPv6 提供更多可供使用的地址。子网划分允许将大范围的 IP 地址分为若干较小的、逻辑的和更易于使用的网段。会话初始化协议(Session Initiation Protocol,SIP)是一种广泛用于 VoIP 通信会话的信令协议。VoIP 网络上出现了传统电子垃圾邮件的一个新变种,即垃圾网络电话(Spam over Internet Telephony,SPIT)。开放中继是配置为将电子邮件消息从任何源传输至任何目的地的 SMTP 服务器。
