八、计算机网络之TCP/IP与配置
2017-09-12 21:23
459 查看
十一、TCP/IP安全
防火墙
1. 防火墙就是一个放置在网络路径上的设备,它可以检查、接受或拒绝打算进入网络的数据包。防火墙和传统的路由器最重要的区别是传统路由器会尽可能转发数据包,而防火墙则只转发自己认可的数据包。对数据包的转发决定不再是仅基于地址,而是基于网络所有者配置的一组规则,这些规则可以确定哪些流量类型能被网络所允许。
2. 防火墙可以阻止任何或者所有的外界流量进入网络,但是它并不干涉内部网络中的通信。
3. 当代的防火墙通常是包过技术、状态查看和应用层过滤技术的组合。一些防火墙还可以作为DHCP服务器和网络地址转换工具。防火墙可以是硬件也可以是软件,既可以简单又可以复杂。
4. 最早的防火墙是数据包过滤器。它通过检查数据包来找出该数据包的企图。许多包过滤防火墙会查看封装在传输层报头中的TCP和UDP端口号,可以确定数据包的企图。
5. 防火墙进化过程中,出现了有状态防火墙设备。有状态防火墙不仅仅是单独检查每一个数据包,还会检查数据包包含在哪个通信会话序列中。这种状态敏感性有助于有状态防火墙监视诸如无效数据包、会话劫持企图,以及某些拒绝服务攻击这样的攻击手段。
6. 应用层防火墙是最新一代防火墙。这种防火墙是在TCP/IP应用层工作的,在这里可以更全面地理解与协议和服务相关联的数据包。
代理服务
1. 所有用来保护和简化内部网络,将潜在的不安全Internet活动限制在边界之外的技术中,防火墙是核心技术。另一种相关的技术是代理服务。
2. 代理服务器可以截获对Internet资源的请求,并替代客户端转发这些请求,它在客户端和请求的目的服务器之间扮演了一个中介的角色。
3. 通过代理客户端发送和接受Internet请求,代理服务器可以使客户端免于直接与恶意网站联系。一些代理还可以执行内容过滤,查看信息是否来自黑名单上的服务器,或者内容是否带有潜在的危险。代理客户端还常被用来限制内部网络客户端的浏览范围。
保护TCP/IP:http://kb.cnblogs.com/page/162080/ http://www.guokr.com/post/114121/
1. 安全套接字(SSL)是为了保护WEB通信而引入的一个TCP/IP安全协议集。SSL的目的是,在传输层上的套接字和提供那些套接字访问网络的应用程序之间提供一层安全。
2. SSL包含有两个子层。SSL记录协议是访问TCP的一个标准库。在这个记录协议纸上,是一组执行特定服务的SSL相关协议。
3. 支持SSL的服务直接通过SSL记录协议运行。在连接建立之后,SSL记录协议提供确保会话机密性和完整性所需的加密和验证。
4. 如同其他协议安全技术一样,这里的技巧是要检验参与者的身份和安全地交换将用来加解密数据传输的密钥。SSL采用公开密钥加密,并提供对数字这个数的支持。
5. 在SSL中会使用密钥交换算法交换密钥;使用密钥对数据进行加密;使用散列算法对数据的完整性进行验证,使用数字证书证明自己的身份。
6. 握手协议:握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议,握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。
7. 记录协议:记录协议在客户机和服务器握手成功后使用,即客户机和服务器鉴别对方和确定安全信息交换使用的算法后,进入SSL记录协议,记录协议向SSL连接提供两个服务——
8. 警报协议:客户机和服务器发现错误时,向对方发送一个警报消息。如果是致命错误,则算法立即关闭SSL连接,双方还会先删除相关的会话号,秘密和密钥。每个警报消息共2个字节,第1个字节表示错误类型,如果是警报,则值为1,如果是致命错误,则值为2;第2个字节制定实际错误类型。
十二、配置
服务器提供IP地址的情况
1. 每一台计算机都已经预先配置了一个IP地址。这种情况被称为静态IP地址。每一台计算机在启动时就知道自己的IP地址,并且能够立刻使用网络。静态IP寻址在小型网络中表现得很好,但是由于大型网络上经常会出现重新配置和更改的情况,因此静态IP寻址也受到很多限制。
2. 静态IP地址的缺点:
DHCP
1. DHCP是一个用来向计算机分配TCP/IP配置参数的协议。DHCP服务器可以为DHCP客户端提供一组TCP/IP设置,比如IP地址、子网掩码和DNS服务器地址。
2. DHCP是用来分配IP地址的,所以必须使用静态IP地址信息来配置DHCP服务器。需要在客户端进行配置的唯一一个网络参数是将客户端设置为从DHCP服务器接收IP地址信息。
3. 当DHCP客户端计算机启动时,TCP/IP软件将被载入到内存中并开始执行相应的操作。然而,因为这是TCP/IP栈还没有IP地址,所以无法直接发送或接收数据包。计算机只能发送和监听广播数据。这种通过广播进行通信的功能正是DHCP进行工作的基础。从DHCP服务器中租用IP地址的过程需要4个步骤:
作者:龙猫小爷
链接:http://www.jianshu.com/p/674fb7ec1e2c
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
防火墙
1. 防火墙就是一个放置在网络路径上的设备,它可以检查、接受或拒绝打算进入网络的数据包。防火墙和传统的路由器最重要的区别是传统路由器会尽可能转发数据包,而防火墙则只转发自己认可的数据包。对数据包的转发决定不再是仅基于地址,而是基于网络所有者配置的一组规则,这些规则可以确定哪些流量类型能被网络所允许。
2. 防火墙可以阻止任何或者所有的外界流量进入网络,但是它并不干涉内部网络中的通信。
3. 当代的防火墙通常是包过技术、状态查看和应用层过滤技术的组合。一些防火墙还可以作为DHCP服务器和网络地址转换工具。防火墙可以是硬件也可以是软件,既可以简单又可以复杂。
4. 最早的防火墙是数据包过滤器。它通过检查数据包来找出该数据包的企图。许多包过滤防火墙会查看封装在传输层报头中的TCP和UDP端口号,可以确定数据包的企图。
5. 防火墙进化过程中,出现了有状态防火墙设备。有状态防火墙不仅仅是单独检查每一个数据包,还会检查数据包包含在哪个通信会话序列中。这种状态敏感性有助于有状态防火墙监视诸如无效数据包、会话劫持企图,以及某些拒绝服务攻击这样的攻击手段。
6. 应用层防火墙是最新一代防火墙。这种防火墙是在TCP/IP应用层工作的,在这里可以更全面地理解与协议和服务相关联的数据包。
代理服务
1. 所有用来保护和简化内部网络,将潜在的不安全Internet活动限制在边界之外的技术中,防火墙是核心技术。另一种相关的技术是代理服务。
2. 代理服务器可以截获对Internet资源的请求,并替代客户端转发这些请求,它在客户端和请求的目的服务器之间扮演了一个中介的角色。
3. 通过代理客户端发送和接受Internet请求,代理服务器可以使客户端免于直接与恶意网站联系。一些代理还可以执行内容过滤,查看信息是否来自黑名单上的服务器,或者内容是否带有潜在的危险。代理客户端还常被用来限制内部网络客户端的浏览范围。
保护TCP/IP:http://kb.cnblogs.com/page/162080/ http://www.guokr.com/post/114121/
1. 安全套接字(SSL)是为了保护WEB通信而引入的一个TCP/IP安全协议集。SSL的目的是,在传输层上的套接字和提供那些套接字访问网络的应用程序之间提供一层安全。
2. SSL包含有两个子层。SSL记录协议是访问TCP的一个标准库。在这个记录协议纸上,是一组执行特定服务的SSL相关协议。
3. 支持SSL的服务直接通过SSL记录协议运行。在连接建立之后,SSL记录协议提供确保会话机密性和完整性所需的加密和验证。
4. 如同其他协议安全技术一样,这里的技巧是要检验参与者的身份和安全地交换将用来加解密数据传输的密钥。SSL采用公开密钥加密,并提供对数字这个数的支持。
5. 在SSL中会使用密钥交换算法交换密钥;使用密钥对数据进行加密;使用散列算法对数据的完整性进行验证,使用数字证书证明自己的身份。
6. 握手协议:握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议,握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。
7. 记录协议:记录协议在客户机和服务器握手成功后使用,即客户机和服务器鉴别对方和确定安全信息交换使用的算法后,进入SSL记录协议,记录协议向SSL连接提供两个服务——
8. 警报协议:客户机和服务器发现错误时,向对方发送一个警报消息。如果是致命错误,则算法立即关闭SSL连接,双方还会先删除相关的会话号,秘密和密钥。每个警报消息共2个字节,第1个字节表示错误类型,如果是警报,则值为1,如果是致命错误,则值为2;第2个字节制定实际错误类型。
十二、配置
服务器提供IP地址的情况
1. 每一台计算机都已经预先配置了一个IP地址。这种情况被称为静态IP地址。每一台计算机在启动时就知道自己的IP地址,并且能够立刻使用网络。静态IP寻址在小型网络中表现得很好,但是由于大型网络上经常会出现重新配置和更改的情况,因此静态IP寻址也受到很多限制。
2. 静态IP地址的缺点:
DHCP
1. DHCP是一个用来向计算机分配TCP/IP配置参数的协议。DHCP服务器可以为DHCP客户端提供一组TCP/IP设置,比如IP地址、子网掩码和DNS服务器地址。
2. DHCP是用来分配IP地址的,所以必须使用静态IP地址信息来配置DHCP服务器。需要在客户端进行配置的唯一一个网络参数是将客户端设置为从DHCP服务器接收IP地址信息。
3. 当DHCP客户端计算机启动时,TCP/IP软件将被载入到内存中并开始执行相应的操作。然而,因为这是TCP/IP栈还没有IP地址,所以无法直接发送或接收数据包。计算机只能发送和监听广播数据。这种通过广播进行通信的功能正是DHCP进行工作的基础。从DHCP服务器中租用IP地址的过程需要4个步骤:
作者:龙猫小爷
链接:http://www.jianshu.com/p/674fb7ec1e2c
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 计算机网络 TCP/IP每层所对应的协议以及OSI七层模型所对应的协议
- 计算机网络IP 数据包在以太网数据包里面,TCP 数据包在 IP 数据包里面。
- 计算机网络学习笔记--TCP/IP
- TCP/IP 计算机网络基础
- Unix平台下的常用命令技巧之二 TCP/IP网络配置
- 计算机网络中的TCP/IP模型
- 计算机网络——TCP/IP
- 计算机网络体系结构(TCP/IP)
- 计算机网络TCP/IP
- 计算机网络——TCP/IP
- Linux网络配置(TCP/IP的重要参数主要是: IP, Netmask, Gateway, DNS)
- 计算机的OSI和TCP/IP网络模型
- 多重网络环境下动态切换TCP/IP网络配置的批处理文件
- 用命令行手工配置 TCP/IP网络
- 计算机网络:OSI七层协议,TCP/IP的四层协议
- 计算机网络漫谈之OSI七层模型和TCP/IP四层模型
- 计算机的OSI和TCP/IP网络模型
- Linux之网络基础TCP/IP以及网络属性配置
- tcp/ip,网络配置
- 网络编程(1):计算机网络与TCP/IP网络模型