网络通信 频道

网络工程师的学习笔记(六)

第六章、网络互连和互联网

TCP/IP是一组小的、专业化协议集,包括TCP、IP、UDP、ARP、ICMP,以及其它的一些被称为子协议的协议。

网络互连设备包括中继器、集线器(Hub物理层设备,相当于多端口的中继器)、网桥、路由器、网关。

网桥工作于数据链路层中的介质访问控制子层(MAC),所以它包含:流控、差错处理、寻址、媒体访问等。分为(1)透明网桥:网桥自动学习每个端口所接网段的机器地址(MAC地址),形成一个地址映象表,网桥每次转发帧时,先查地址映象表,如查到则向相应端口转发,如查不到,则向除接收端口之外的所有端口转发(flood)。为了防止出现循环路由,可采用生成树算法网桥。(2)、源路由网桥(SRB):在发送方知道目的机的位置,并将路径中间所经过的网桥地址包含在帧头中发出,路径中的网桥依照帧头中的下一站网桥地址一一转发,直到到达目的地。

Internet的应用技术:域名系统(DNS)、简单网络管理协议(SNMP)、电子邮件及简单邮件传输系统(SMTP)、远程登录及TELNET协议、文件传输和FTP、网络新闻(USENET)、网络新闻传输协议(NNTP)、WWW和HTTP。

第七章、网络安全

一、威胁定义为对缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。

二、传统密码系统又单钥密码系统又对称密码系统:加密解密所用的密钥是相同的或类似的,即由加密密码很容易推导出解密密码,反之亦然。常用的有DES数据加密标准,密钥为56位;后有改进型的IDEA国际数据加密算法,密钥为128位。

公钥密码系统又非对称密码系统:加密密钥和解密密钥是本质上不同的,不需要分发密钥的额外信道。有RSA密码系统,它可以实现加密和数字签名,它的一个比较知名的应用是SSL安全套接字(传输层协议)。

三、对照ISO/OSI参考模型各个层中的网络安全服务,在物理层可以采用防窃听技术加强通信线路的安全;在数据链路层,可以采用通信保密机进行链路加密;在网络层可以采用防火墙技术来处理信息内外网络边界到进程间的加密,最常见的传输层安全技术有SSL;为了将低层安全服务进行抽象和屏弊,最有效的一类做法是可以在传输层和应用层之间建立中间件层可实现通用的安全服务功能,通过定义统一的安全服务接口向应用层提供身份认证、访问控制和数据加密。

防火墙技术一般可以分为两类:网络级防火墙(采用报文动态分组)和应用级防火墙(采用代理服务机制),而后者又包括双穴主机网关、屏蔽主机网关、屏蔽子网网关。

防火墙定义:(1)所有的从外部到内部或从内部到外部的通信都必须经过它;(2)只有有内部访问策略的通信才能被允许通过;(3)系统本身具有很强的高可靠性。

防火墙基本组成:安全操作系统、过滤器、网关、域名服务、函件处理。

防火墙设计的主要技术:数据包过滤技术、代理服务技术。

IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH、封装安全载荷协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。

0
相关文章