《网络安全体系结构及协议》由会员分享,可在线阅读,更多相关《网络安全体系结构及协议(40页珍藏版)》请在金锄头文库上搜索。
1、第第2章网络安全体系结章网络安全体系结构及协议构及协议 本章要点本章要点 了解计算机网络协议的基础知识。了解计算机网络协议的基础知识。 了解了解OSIOSI模型及安全体系结构。模型及安全体系结构。 了解了解TCP/IPTCP/IP模型及安全体系结构。模型及安全体系结构。 掌握常用的网络协议和常用命令。掌握常用的网络协议和常用命令。 掌握协议分析工具掌握协议分析工具SnifferSniffer的使用方法。的使用方法。12.1 计算机网络协议概述计算机网络协议概述网络协议及相关概念网络协议及相关概念网络协议及相关概念网络协议及相关概念n n网络网络网络网络协议协议协议协议是通信双方共同遵守的规则和
2、约定的集合。网络是通信双方共同遵守的规则和约定的集合。网络是通信双方共同遵守的规则和约定的集合。网络是通信双方共同遵守的规则和约定的集合。网络协议包括协议包括协议包括协议包括三个要素三个要素三个要素三个要素:语法语法语法语法规定了信息的结构和格式;规定了信息的结构和格式;规定了信息的结构和格式;规定了信息的结构和格式;语义语义语义语义表明信息要表达的内容;表明信息要表达的内容;表明信息要表达的内容;表明信息要表达的内容;同步规则同步规则同步规则同步规则涉及双方的交互关系和事件顺序。涉及双方的交互关系和事件顺序。涉及双方的交互关系和事件顺序。涉及双方的交互关系和事件顺序。n n整个计算机网络的实
3、现体现为协议的实现。整个计算机网络的实现体现为协议的实现。整个计算机网络的实现体现为协议的实现。整个计算机网络的实现体现为协议的实现。n n为了保证网络的各个功能的相对独立性,以及便于实现和为了保证网络的各个功能的相对独立性,以及便于实现和为了保证网络的各个功能的相对独立性,以及便于实现和为了保证网络的各个功能的相对独立性,以及便于实现和维护,通常将协议划分为多个子协议,并且让这些协议保维护,通常将协议划分为多个子协议,并且让这些协议保维护,通常将协议划分为多个子协议,并且让这些协议保维护,通常将协议划分为多个子协议,并且让这些协议保持一种持一种持一种持一种层次结构层次结构层次结构层次结构,子
4、协议的集合通常称为,子协议的集合通常称为,子协议的集合通常称为,子协议的集合通常称为协议簇协议簇协议簇协议簇。2n n2.1.1网络协议n n无论是面对面还是通过网络进行的所有通信都要遵守预先确定的规则,即协议。这些协议由会话的特性决定。在日常的个人通信中,通过一种介质(如电话线)通信时采用的规则不一定与使用另一种介质(如邮寄信件)时的协议相同。n n网络中不同主机之间的成功通信需要在许多不同协议之间进行交互。执行某种通信功能所需的一组内在相关协议称为协议簇。这些协议通过加载到各台主机和网络设备中的软件和硬件执行。3网络协议簇说明了以下过程。n n1)消息的格式或结构。n n2)网络设备共享通
5、往其他网络的通道信息的方法。n n3)设备之间传送错误消息和系统消息的方式与时间。n n4)数据传输会话的建立和终止。42.1.2 协议簇和行业标准协议簇和行业标准n n组成协议簇的许多协议通常都要参考其他广泛采组成协议簇的许多协议通常都要参考其他广泛采用的协议或行业标准。标准是指已经受到网络行用的协议或行业标准。标准是指已经受到网络行业认可并经过电气电子工程师协会(业认可并经过电气电子工程师协会(IEEEIEEE) 或或 InternetInternet工程任务组(工程任务组(IETFIETF) 之类标准化组织批之类标准化组织批准的流程或协议。准的流程或协议。 n n在协议的开发和实现过程中
6、使用标准可以确保来在协议的开发和实现过程中使用标准可以确保来自不同制造商的产品协同工作,从而获得有效的自不同制造商的产品协同工作,从而获得有效的通信。如果某家制造商没有严格遵守协议,其设通信。如果某家制造商没有严格遵守协议,其设备或软件可能就无法与其他制造商生产的产品成备或软件可能就无法与其他制造商生产的产品成功通信。功通信。 52.1.3 协议的交互协议的交互n n1应用程序协议n n2传输协议n n3网间协议n n4网络访问协议62.1.4 技术无关协议技术无关协议n n网络协议描述的是网络通信期间实现的功能。在网络协议描述的是网络通信期间实现的功能。在面对面交谈的示例中,通信的一项协议可
7、能会规面对面交谈的示例中,通信的一项协议可能会规定,为了发出交谈结束的信号,发言者必须保持定,为了发出交谈结束的信号,发言者必须保持沉默两秒钟。但是,这项协议并没有规定发言者沉默两秒钟。但是,这项协议并没有规定发言者在这两秒钟内应该如何保持沉默。协议通常都不在这两秒钟内应该如何保持沉默。协议通常都不会说明如何实现特定的功能。通过仅仅说明特定会说明如何实现特定的功能。通过仅仅说明特定通信规则所需要的功能是什么,而并不规定这些通信规则所需要的功能是什么,而并不规定这些规则应该如何实现,特定协议的实现就可以与技规则应该如何实现,特定协议的实现就可以与技术无关。术无关。72.2 OSI参考模型及其安全
8、体系参考模型及其安全体系n n2.2.1计算机网络体系结构n n要形象地显示各种协议之间的交互,通常会使用分层模型。分层模型形象地说明了各层内协议的工作方式及其与上下层之间的交互。8n n协议协议分层的好处分层的好处:n n网络协议的分层有利于将复杂的问题分解成多网络协议的分层有利于将复杂的问题分解成多网络协议的分层有利于将复杂的问题分解成多网络协议的分层有利于将复杂的问题分解成多个个个个简单简单简单简单的问题,从而分而治之;的问题,从而分而治之;的问题,从而分而治之;的问题,从而分而治之;n n分层分层分层分层有利于网络的互联有利于网络的互联有利于网络的互联有利于网络的互联,进行协议转换时可
9、能,进行协议转换时可能,进行协议转换时可能,进行协议转换时可能只涉及某一个或几个层次而不是所有层次;只涉及某一个或几个层次而不是所有层次;只涉及某一个或几个层次而不是所有层次;只涉及某一个或几个层次而不是所有层次;n n分层分层分层分层可以屏蔽下层的变化可以屏蔽下层的变化可以屏蔽下层的变化可以屏蔽下层的变化,新的底层技术的引,新的底层技术的引,新的底层技术的引,新的底层技术的引入,不会对上层的应用协议产生影响。入,不会对上层的应用协议产生影响。入,不会对上层的应用协议产生影响。入,不会对上层的应用协议产生影响。n n协议的实现要落实到一个个具体的硬件模块协议的实现要落实到一个个具体的硬件模块和
10、软件模块上,在网络中将这些实现特定功和软件模块上,在网络中将这些实现特定功能的模块称为能的模块称为实体实体(Entity)。)。n n如图如图2-2所示,两个结点之间的通信体现为两所示,两个结点之间的通信体现为两个结点个结点对等层对等层(结点(结点A的的N+1层与结点层与结点B的的N+1层)之间遵从本层协议的通信。层)之间遵从本层协议的通信。9各层的协议由各层的实体实现,通信双方对等层中完各层的协议由各层的实体实现,通信双方对等层中完各层的协议由各层的实体实现,通信双方对等层中完各层的协议由各层的实体实现,通信双方对等层中完成相同协议功能的实体称为成相同协议功能的实体称为成相同协议功能的实体称
11、为成相同协议功能的实体称为对等实体对等实体对等实体对等实体。对等实体按协。对等实体按协。对等实体按协。对等实体按协议进行通信,所以议进行通信,所以议进行通信,所以议进行通信,所以协议反映的是对等层的对等实体之协议反映的是对等层的对等实体之协议反映的是对等层的对等实体之协议反映的是对等层的对等实体之间的一种横向关系间的一种横向关系间的一种横向关系间的一种横向关系,严格地说,协议是对等实体共同,严格地说,协议是对等实体共同,严格地说,协议是对等实体共同,严格地说,协议是对等实体共同遵守的规则和约定的集合。遵守的规则和约定的集合。遵守的规则和约定的集合。遵守的规则和约定的集合。协议中的格式和语义只有
12、对等实体能够理解。协议中的格式和语义只有对等实体能够理解。协议中的格式和语义只有对等实体能够理解。协议中的格式和语义只有对等实体能够理解。 10n n对等实体之间数据单元在发送方逐层封装,在对等实体之间数据单元在发送方逐层封装,在接收方的逐层解封装。发送方接收方的逐层解封装。发送方N层实体从层实体从N+1层实体得到的数据包称为层实体得到的数据包称为服务数据单元服务数据单元(Service Data Unit,SDU)。)。N层实体只将层实体只将其视为需要本实体提供服务的数据,将服务数其视为需要本实体提供服务的数据,将服务数据单元进行据单元进行封装封装,使其成为一个对方能够理解,使其成为一个对方
13、能够理解的的协议数据单元协议数据单元(Protocol Data Unit,PDU),封装过程实际上是为),封装过程实际上是为SDU增加对等实增加对等实体间约定的体间约定的协议控制信息协议控制信息(Protocol Control Information,PCI)的过程。)的过程。112.2.2 OSI参考模型简介参考模型简介n n1 1OSIOSI参考模型的层次结构参考模型的层次结构n n1 1)物理层)物理层 n n2 2)数据链路层)数据链路层 n n3 3)网络层)网络层 n n4 4)传输层)传输层 n n5 5)会话层)会话层 n n6 6)表示层)表示层 n n7 7)应用层)应
14、用层 12网络划分为资源子网和通信子网,如图网络划分为资源子网和通信子网,如图网络划分为资源子网和通信子网,如图网络划分为资源子网和通信子网,如图2-32-3所示。所示。所示。所示。n n通信子网通信子网通信子网通信子网由通信设备和线路构成,由通信设备和线路构成,由通信设备和线路构成,由通信设备和线路构成,资源子网资源子网资源子网资源子网由主机由主机由主机由主机和其他末端系统构成。交换结点属于通信子网,访和其他末端系统构成。交换结点属于通信子网,访和其他末端系统构成。交换结点属于通信子网,访和其他末端系统构成。交换结点属于通信子网,访问结点属于资源子网。问结点属于资源子网。问结点属于资源子网。
15、问结点属于资源子网。n n因为主机也具有通信功能,所以严格地讲,主机中因为主机也具有通信功能,所以严格地讲,主机中因为主机也具有通信功能,所以严格地讲,主机中因为主机也具有通信功能,所以严格地讲,主机中负责底层通信的部分也应该属于通信子网。负责底层通信的部分也应该属于通信子网。负责底层通信的部分也应该属于通信子网。负责底层通信的部分也应该属于通信子网。 13n n20世纪世纪70年代出现了多种网络体系结构。针对年代出现了多种网络体系结构。针对这一问题,国际标准化组织这一问题,国际标准化组织ISO提出了著名的提出了著名的开放系统互连参考模型开放系统互连参考模型ISO/OSI-RM。n nOSI采
16、用了如图采用了如图2-4所示的七层参考模型。所示的七层参考模型。14n n1 物理层(物理层(Physical Layer)n n物理层包括物理连网媒介,实际上就是布线、光纤、网卡和其它用来把两台网络通信设备连接在一起的东西。它规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。虽然物理层不提供纠错服务,但它能够设定数据传输速率并监测数据出错率。n n物理层定义的标准包括:EIA/TIARS-232、EIA/TIARS-449、V.35、RJ-45等。15n n2 数据链路层(数据链路层(Datalink Layer)n n数据链路层主要作用是控制网络层与物理层之间的
17、通信。它保证了数据在不可靠的物理线路上进行可靠的传递。它把从网络层接收到的数据分割成特定的可被物理层传输的帧,保证了传输的可靠性。它的主要作用包括:物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。它是独立于网络层和物理层的,工作时无需关心计算机是否正在运行软件还是其他操作。n n数据链路层协议的代表包括:SDLC、HDLC、PPP、STP、帧中继等。16n n3 网络层(网络层(Network Layer)n n很多用户经常混淆很多用户经常混淆2层和层和3层的相关问题,简单来层的相关问题,简单来说,如果你在谈论一个与说,如果你在谈论一个与IP地址、路由协议或地地址、路由协议或地址解析协
18、议(址解析协议(ARP)相关的问题,那么这就是第)相关的问题,那么这就是第三层的问题。三层的问题。n n网络层负责对子网间的数据包进行路由选择,网络层负责对子网间的数据包进行路由选择,它通过综合考虑发送优先权、网络拥塞程度、服它通过综合考虑发送优先权、网络拥塞程度、服务质量以及可选路由的花费来决定从一个网络中务质量以及可选路由的花费来决定从一个网络中两个节点的最佳路径。另外,它还可以实现拥塞两个节点的最佳路径。另外,它还可以实现拥塞控制、网际互连等功能。控制、网际互连等功能。n n网络层协议的代表包括:IP、IPX、RIP、OSPF等17n n4 传输层传输层 (Transport layer
19、)n n传输层是OSI模型中最重要的一层,它是两台计算机经过网络进行数据通信时,第一个端到端的层次,起到缓冲作用。当网络层的服务质量不能满足要求时,它将提高服务,以满足高层的要求;而当网络层服务质量较好时,它只需进行很少的工作。另外,它还要处理端到端的差错控制和流量控制等问题,最终为会话提供可靠的,无误的数据传输。n n传输层协议的代表包括:TCP、UDP、SPX等。18n n5 会话层会话层(Session layer)n n会话层负责在网络中的两节点之间建立和维持通会话层负责在网络中的两节点之间建立和维持通信,并保持会话获得同步,它还决定通信是否被信,并保持会话获得同步,它还决定通信是否被
20、中断以及通信中断时决定从何处重新发送。中断以及通信中断时决定从何处重新发送。19n n6 表示层表示层(Prisentation layer)n n表示层的作用是管理数据的解密与加密,如常见的系统口令处理,当你的账户数据在发送前被加密,在网络的另一端,表示层将对接收到的数据解密。另外,表示层还需对图片和文件格式信息进行解码和编码。20n n7 应用层(应用层(application layer) n n简单来说,应用层就是为操作系统或网络应用程简单来说,应用层就是为操作系统或网络应用程序提供访问网络服务的接口,包括文件传输、文序提供访问网络服务的接口,包括文件传输、文件管理以及电子邮件等的信息
21、处理。件管理以及电子邮件等的信息处理。n n应用层协议的代表包括:应用层协议的代表包括:Telnet、SNMP等。等。21n n恋爱和恋爱和OSI model七层七层n n起初只是近距离地点对点无线收发爱的信号,起初只是近距离地点对点无线收发爱的信号,乃物理层;乃物理层; 然后就是通过某个媒体(比如一支花、一本然后就是通过某个媒体(比如一支花、一本书)将信号传输,乃数据链路层;书)将信号传输,乃数据链路层; 开始有选择地分组分割发送和装配接收爱的开始有选择地分组分割发送和装配接收爱的信号,选择最佳的传送路径,乃网络层;信号,选择最佳的传送路径,乃网络层; 拖手和接吻可谓传输层,确保信号顺利地传
22、拖手和接吻可谓传输层,确保信号顺利地传送到目的地;送到目的地; 甜言蜜语与鸿雁往来属于会话层,包括名字甜言蜜语与鸿雁往来属于会话层,包括名字查找和安全防护;查找和安全防护; 订婚归于表示层,将信号格式转换进行爱的订婚归于表示层,将信号格式转换进行爱的解释并加以巩固;解释并加以巩固; 结婚,当然是应用层,因为它提供了所有应结婚,当然是应用层,因为它提供了所有应用程序的直接支持。用程序的直接支持。222.2.3 ISO/OSI安全体系安全体系 n n1 1安全服务安全服务n n(1 1)认证服务)认证服务n n(2 2)访问控制)访问控制 n n(3 3)数据机密性服务)数据机密性服务 n n(4
23、 4)数据完整性服务)数据完整性服务n n(5 5)抗否认服务)抗否认服务23n n(1)对象认证安全服务:用于识别对象的身份和对身份的证实。OSI环境可提供对等实体认证和信源认证等安全服务。对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒身份;而信源认证是用于验证所收到的数据来源与所声称的来源是否一致,它不提供防止数据中途被修改的功能。(2)访问控制安全服务:提供对越权使用资源的防御措施。访问控制可分为自主访问控制、强制型访问控制、基于角色的访问控制,。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等24n
24、n(3)数据保密性安全服务:它是针对信息泄漏而采取的防御措施,可分为信息保密、选择段保密和业务流保密。它的基础是数据加密机制的选择。(4)数据完整性安全服务:防止非法篡改信息,如修改、复制、插入和删除等。它有5种形式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。(5)防抵赖性安全服务:是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为对发送防抵赖、对递交防抵赖和进行公证。25n n2安全机制n n(1)加密机制n n(2)数字签名机制n n(3)访问控制n n(4)数据完整性n n(5)鉴别交换机制n n(6)通信流量填充机制n n(7)路
25、由选择控制机制n n(8)公证机制26n n(1)加密机制:借助各种加密算法对存放的数据和流通中的信息进行加密。DES算法已通过硬件实现,效率非常高。(2)数字签名:采用公钥体制,使用私钥进行数字签名,使用公钥对签名信息进行证实。(3)访问控制机制:根据访问者的身份和有关信息,决定实体的访问权限。(4)数据完整性机制:判断信息在传输过程中是否被篡改过,与加密机制有关。(5)认证交换机制:用来实现同级之间的认证。27n n6)防业务流量分析机制:通过填充冗余的业务流量来防止攻击者对流量进行分析,填充过的流量需通过加密进行保护。(7)路由控制机制:防止不利的信息通过路由。目前典型的应用为网络层防火
26、墙。(8)公证机制:由公证人(第三方)参与数字签名,它基于通信双方对第三者都绝对相信。目前,因特网上有许多向用户提供此机制的服务。28n n3安全管理n n为了更有效地运用安全服务,需要有其他措施来支持它们的操作,这些措施即为安全管理。安全管理是对安全服务和安全机制进行管理,把管理信息分配到有关的安全服务和安全机制中去,并收集与它们的操作有关的信息。n n分为系统安全管理安全服务管理安全机制管理n n4安全层次29n n因特网协议通常又称为因特网协议通常又称为TCP/IP协议。协议。2.3 TCP/IP参考模型及其安全体系参考模型及其安全体系30返回返回n n网络接口层网络接口层实际上包含实际
27、上包含OSI模型的物理层和链模型的物理层和链路层,路层,TCP/IP并未对这两层进行定义,它支并未对这两层进行定义,它支持现有的各种底层网络技术和标准。该层涉及持现有的各种底层网络技术和标准。该层涉及操作系统中的设备驱动程序和网络接口卡。操作系统中的设备驱动程序和网络接口卡。n n网络层网络层又称为又称为互联网层互联网层或或IP层层,该层处理,该层处理IP数数据报的传输、路由选择、流量控制和拥塞控制。据报的传输、路由选择、流量控制和拥塞控制。n n传输层传输层为两台主机上的应用程序提供端到端的为两台主机上的应用程序提供端到端的通信。通信。TCP/IP的传输层包含传输控制协议的传输层包含传输控制
28、协议TCP和用户数据报协议和用户数据报协议UDP。n n应用层应用层为用户提供一些常用的应用程序,为用户提供一些常用的应用程序,TCP/IP给出了应用层的一些常用协议规范。给出了应用层的一些常用协议规范。31开放系统互连参考模型与开放系统互连参考模型与TCP/IP的关系的关系 国际标准化组织的开放系统互连模型与国际标准化组织的开放系统互连模型与TCP/IP协议层次的对应关系如图协议层次的对应关系如图2-16所示。所示。32除了层次结构方面的差异外,除了层次结构方面的差异外,ISO/OSI与与TCP/IP还存在如表还存在如表2-2所列的差异。所列的差异。 返回返回33TCP/IP是一个协议簇,其
29、构成如图是一个协议簇,其构成如图2-17所示。所示。TCP/IP协议簇协议簇 34各协议模块之间的关系各协议模块之间的关系各协议模块之间的关系各协议模块之间的关系注意注意注意注意两点:两点:两点:两点:n n一是应用进程可以直接与网络层的模块打交道一是应用进程可以直接与网络层的模块打交道一是应用进程可以直接与网络层的模块打交道一是应用进程可以直接与网络层的模块打交道n n一个下层模块要和多个上层模块进行交互。一个下层模块要和多个上层模块进行交互。一个下层模块要和多个上层模块进行交互。一个下层模块要和多个上层模块进行交互。352.3.2 TCP/IP参考模型的安全体参考模型的安全体系系n n1网
30、络接入层安全n n2Internet层安全n n3传输层安全n n4应用层安全362.4 常用网络协议和服务常用网络协议和服务2.4.12.4.1常用网络协议常用网络协议n n1 1IPIPn n2 2TCPTCPn n3 3UDPUDP2.4.22.4.2常用网络服务常用网络服务n n1 1活动目录活动目录n n2 2WWWWWW服务服务n n3 3电子邮件电子邮件 n n4 4TelnetTelnetn n5 5FTPFTPn n6 6DNSDNS372.5 Windows常用的网络命令常用的网络命令n n2.5.1ping2.5.1ping命令命令n n2.5.2at2.5.2at命令命
31、令n n2.5.3netstat2.5.3netstat命令命令n n2.5.4tracert2.5.4tracert命令命令n n2.5.5net2.5.5net命令命令n n2.5.6ftp2.5.6ftp命令命令n n2.5.7nbtstat2.5.7nbtstat命令命令n n2.5.8telnet2.5.8telnet命令命令 382.6 协议分析工具协议分析工具Sniffer的应的应用用 n n2.6.1Sniffer的启动和设置n n1启动Sniffern n2设置n n3报文捕获解析n n2.6.2解码分析392.8 小结与练习小结与练习n n2.8.12.8.1小结小结本章主
32、要介绍计算机网络体系结构、本章主要介绍计算机网络体系结构、OSIOSI参考模型及参考模型及其安全体系、其安全体系、TCP/IPTCP/IP参考模型及其安全体系、常参考模型及其安全体系、常用的网络协议和服务、常用的网络命令以及协议用的网络协议和服务、常用的网络命令以及协议分析工具。分析工具。n n2.8.22.8.2练习练习1 1简述简述OSIOSI参考模型的安全体系结构中定义了哪些参考模型的安全体系结构中定义了哪些安全服务和安全机制。安全服务和安全机制。2 2简述简述TCP/IPTCP/IP参考模型中的参考模型中的InternetInternet层安全和应用层层安全和应用层安全是如何实现的。安全是如何实现的。40
