1、 教学内容 7.1 TCP/IP协议简介 7.2 配置Linux网络 7.3 基本网络服务介绍 7.4 Linux网络安全 7.1.1 网络概述网络概述 应用层传输层网际层网 络 接 口层OSI参考模型 TCP/IP模型 TCP/IP协议簇应用层表示层会话层运输层网络层链路层物理层HTTP、FTP、SMTP、SNMP、NMTP、TELNET、DNS、NFS、PINGTCP UDPIP ICMP ARP RARPEthernet、Token Ring、FDDI图7-1 OSI参考模型和TCP/IP协议对应关系7.1.2 TCP/IP协议 1以太网 以太网工作起来就象一个总线系统,每一台机器都通过
2、一个分接器挂到一根很长的电缆上。为了让机器识别自身,每块以太网卡都有一个由制造商惟一分配的地址(MAC地址)。当一块以太网卡想要同另一块以太网卡对话时,它象整个以太网电缆发送信息,其中包括自己的MAC地址和接受者的MAC地址。当两块以太网卡试图在同一时间发送数据时,便会产生冲突。解决这种冲突的办法是两台计算机取消这一次发送,各自等待一段随机的时间,再进行发送数据的尝试。 2IP协议 IP协议负责数据报在计算机之间寻址,决定数据传送到哪里及出现网络故障时如何更换路由。IP不保证传送的可靠性, 在主机资源不足的情况下, 它可能丢弃某些数据报, 同时IP也不检查被数据链路层丢弃的报文。 (1)IP地
3、址 IP地址通常由网络标识ID(Net)和主机标识ID(Host)两部分组成, 可标识一个互连网络中任何一个网络中的任何主机。 网络标识也称为网络地址,用于辨别子网,同一子网上的所有TCP/IP主机的网络ID都相同。 主机标识也称为主机地址,用于辨别每个网络内的主机。 IP地址分类如下:A类地址:网络类别字段占1位,即第0位为0,表示是A类地址,第17位表示网络地址, 第831位表示主机地址。它所能表示的范围为0.0.0.0127.255.255.255,即能表示126 个网络地址,16 387 064个主机地址。A类地址通常用于超大型网络的场合。B类地址:网络类别字段占2位,即第0、1位为“
4、1 0”,表示是B类地址,第215位表示网络地址, 第1631位表示主机地址。它所能表示的范围为128.0.0.0191.255.255.255, 即能表示16 256个网络地址, 64 576个主机地址。 B类地址通常用于大型网络的场合。网络类别网络ID主机ID0 31 C类地址:网络类别字段占3位,即第0、1、2位为“110”,表示是C类地址,第323位表示网络地址, 第2431位表示主机地址。它所表示的范围为192.0.0.0223.255.255.255, 即能表示2 064 512个网络地址, 254个主机地址。C类地址通常用于校园网或企业网。此外, 还有D类和E类IP地址。 D类地
5、址用于多址广播地址,供特殊协议向选定的节点发送信息时用。E类地址暂时保留。(2)子网掩码 子网掩码可概括为如下两个功能: 一是用于区分出网络地址和主机地址; 二是用于将网络分割为多个子网。 例如,某主机A的IP地址为192.166.008.002,子网掩码为255.255.255.0,将这两个数据做“与”运算后,得出值中非0部分即为网络地址即192.166.008,剩余字节为主机地址,也就是002。若有主机B的IP地址为192.166.008.005,子网掩码同主机A,通过子网掩码发现主机B与主机A网络地址相同,因此两台主机在同一个网络上。当主机A向主机B发送数据包时,就可以将数据包直接发送给
6、主机B。 3TCP协议 TCP协议是一种面向连接的,可靠的传输层协议。面向连接是指一次正常的TCP传输需要通过在TCP客户端和TCP服务端建立特定的虚电路连接来完成,该过程通常被称为“三次握手”。可靠的传输协议可避免数据传输错误。 TCP协议可以支持许多高层协议ULP(Upper Level Protocol), 它对高层协议的数据结构无任何要求, 只将它们作为一种连续的数据流。 4UDP协议 UDP也是常用的传输层协议,它提供非面向连接的、不可靠的数据流传输服务。这种服务不确认报文是否到达,不对报文排序,也不进行流量控制,因此UDP报文可能会出现丢失、重复和失序等现象。与TCP相同的是,UD
7、P协议也是通过端口号支持多路复用功能,但是不能建立连接,而是向目标计算机发送独立的数据包。 UDP是一种简单的协议机制, 通信开销很小, 效率比较高, 比较适合于对可靠性要求不高,但需要快捷、低延迟通信的应用场合, 如多媒体通信等。 7.2.1 网络配置文件 1 /etc/hosts文件 该文件包含了系统的主机名称和完全的域名,如: (Linux为主机名,为域名) 2 /etc/host.conf文件 该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。3/etc/services文件 /etc/services中包含了服务名和端口号之间的映射,不少的系统程序要使用这个
8、文件.4/etc/sysconfig/network文件 该文件用来指定服务器上的网络配置信息,包含了控制和网络有关的文件和守护程序的行为的参数。 5/etc/sysconfig/network-scripts/ifcfg-ethN文件 在RedHat中,系统网络设备的配置文件保存在/etc/sysconfig/network-scripts目录下,ifcfg-eth0包含第一块网卡的配置信息,ifcfg-eht1包含第二块网卡的配置信息。 6/etc/hosts文件 /etc/hosts文件中包含了IP地址和主机名之间的映射,还包括主机名的别名,IP地址的设计使计算机容易识别,但对于人却很难
9、记住它们,为了解决这个问题,创建了/etc/hosts这个文件。7/etc/resolv.conf文件 该文件是由DNS客户端解析器(resolver,一个根据主机名解析IP地址的库)使用的配置文件,它包含主机的域名搜索顺序和DNS服务器的地址。8/etc/init.d/network主机地址、子网掩码和网关 为了改变主机缺省的IP地址,必须直接编辑/etc/init.d/network脚本使其反映正确的网络配置。这个文件包括了声明IP地址、掩码、网络、广播地址和缺省路由器的变量。 7.2.2 手工配置TCP/IP网络 1设置主机名/etc/hosts#hostname 主机名 2设置IP地址
10、3主机和网络文件 主机文件中每行都有一个条目,由IP地址、主机名和主机别名清单组成。这些字段用空格或标号隔开,而且地址字段必须在第一列内。跟在“#”后面的被视为批注。 就象IP地址一样,应该用一个好记的名字来代表某个网络。所以还要有一个/etc/networks文件,该文件指明网络名和网络编号之间的对应关系。 4配置网络接口 (1)ifconfig命令 ifconfig用于命令接口能够被内核联网层访问。要想启用接口,使用下面的命令:# ifconfig interface ip-address 此代码就是将ip-address分给接口,就激活了它。其他参数都采用默认值。 (2)route命令
11、route命令用于在内核路由表内增加还是删除路由,由管理员手工维护。 5配置回送接口 首先激活的接口是回送窗口,如下:#ifconfig th 127.0.0.1ifconfig将查找主机文件内的主机名,其中一个条目将该主机名声明为127.0.0.1的主机名:localhost 127.0.0.1如果要查看接口的配置情况,将接口名作为ifconfig的参数,使用下面的方法调用它即可:#ifconfig th6配置以太网接口 7.3.1 域名服务器(DNS) 构成: DNS逻辑上是一个树形结构,在Internet中,整个网络划分为不同的域,各域按照组织或行政管理层次把名字空间划分成树状结构,然后
12、给每个结点一个标识。某个结点的域名就是从根到该结点间所有域标识的组合,把这些标识从右至左排列,相互间用“.”隔开。例如:其他顶级域根域neteducomgovmilsinasohumicrosoftwwwhttp其他DNS查询过程:1)工作站发送一完整的主机名到本地域名服务器;2)域名服务器先在它的DNS高速缓存及域名与IP地址对照表中进行查找,若找到则将IP返回工作站,否则,将查询的域名送到上一级服务器进行查找,直到找到IP。3)将查到的IP地址由本地的域名服务器送回工作站并将其存到本地DNS高速缓存。4)工作站利用查到的IP地址和相应的网址建立通信。DNS解析域名的方式1)递归型 客户端提
13、出的查询请求一般都是采用该方式。2)循环型 多用于DNS服务器之间的查询3)反向型 让客户端利用IP地址查询它的主机名称,在DNS的各个结点中增加一个域内容为IP地址的反序。7.3.2 samba服务器 Samba是用来实现SMB的一种软件,它的工作原理是,让NETBIOS(Windows95网络邻居的通讯协议)和SMB(Server Message Block)这两个协议运行于TCP/IP通信协议之上,并且使用Windows的NETBEUI协议让Linux计算机可以在网络邻居上被Windows计算机看到。所以通过samba,Linux和Windows就可以在网络邻居上沟通,互相浏览共享的文件
14、了。 7.4.1 Linux系统的文件安全 保护文件系统的安全性,应该从以下几个方面入手: 1文件存取权限的设置 文件属性决定了文件的被访问权限,即谁能存取或执行该文件。用ls -l可以列出详细的文件信息,如:-rwxr-xr- 1 wang group 600 99 Jul 28 21:12 file 包括了文件许可,文件连接数,文件所有者名,文件相关组名,文件长度,上次存取日期和文件名。其中文件许可权限分为四部分:-:表示文件类型。 第一个rwx:表示文件属主的访问权限。 第二个r-x:表示文件同组用户的访问权限。 第三个r-:表示其他用户的访问权限。 2.设置用户ID和同组用户ID许可
15、用chmod u+s 文件名和chmod u-s文件名来设置和取消SUID设置。用 chmod g+s 文件名和chmod g-s文件名来设置和取消SGID设置。 当文件设置了SUID和SGID后,chown和chgrp命令将全部取消这些许可。-rwxr-xr- 1 wang group 600 99 Jul 28 21:127.4.2 用户口令安全 Linux系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中). /etc/passwd中包含有用户的登录名,经过加密的口令、用户号、用户组号、用户注释、用户主目录和用户
16、所用的shell程序。其中用户号(UID)和用户组号(GID)用于Linux系统惟一地标识用户主和同组用户及其它用户的访问权限。 /etc/passwd中存放的加密的口令用于用户登录时输入的口令经计算后相比较,符合则允许登录,否则拒绝用户登录。用户可用passwd命令修改自己的口令,不能直接修改/etc/passwd中的口令部分。 7.4.3 防火墙技术 1防火墙的概念 防火墙是一种网络安全产品,它提供了一种保护机制,其目的是保护一个网络不受来自另一个不可信任网络的非法侵入,它对网络的保护主要体现在: 防止非法的外部用户侵入Intranet访问资源和窃取数据; 允许合法的外部用户以指定的权限访
17、问规定的网络资源。 根据网络安全性总体需求,防火墙可遵循两种基本原则实现: 一切未被允许的都是禁止的。根据这一原则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这种方法很安全,因为被允许的服务都是仔细挑选的。但限制了用户使用的便利性,用户不能随心所欲地使用网络服务。 一切未被禁止的都是允许的。根据这一原则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法很灵活,可为用户提供更多的服务,但安全性要差一些。由于这两种防火墙原则在安全性和可使用性上各有侧重,很多防火墙系统在两者之间采取一定的折衷。 2防火墙的分类 根据不同的防范方式和侧重点,防火墙主要分成两类:分组过滤型和代理
18、服务型。它们在网络性能、安全性和应用透明性等方面各有利弊。(1) 分组过滤型 分组过滤型(Packet Filter) 防火墙只是根据数据包的内容来判断是否允许数据包的传输。通常在网络层上通过对分组中的IP地址、TCP/UDP端口号以及协议状态等字段的检查来决定是否转发一个分组。 分组过滤型防火墙的基本原理是: 根据网络安全策略,在防火墙中事先设置分组过滤规则。 依据分组过滤规则,对经过防火墙的分组流进行检查。 分组过滤规则一定按顺序排列。当一个分组到达时,按规则的排列顺序依次地运用每个规则对分组进行检查。一旦分组与一个规则相匹配,则不再向下检查其它的规则。 如果一个分组与一个拒绝转发的规则相
19、匹配,则该分组将被禁止通过。 如果一个分组与一个允许转发的规则相匹配,则该分组将被允许通过。 如果一个分组不与任何规则相匹配,则该分组将被禁止通过。这是遵循“一切未被允许的都是禁止的”的原则。(2) 代理服务器 代理服务型防火墙充当客户和服务器程序之间的中介。客户程序要访问服务器必须通过代理服务器进行中转,而不允许它们之间直接建立连接进行通信。代理服务器打开一个到服务器的连接,发出请求,并继续在服务器和客户之间传输数据。 作业1. 简述IP地址的组成。2. 简述手动配置Linux网络过程。3. DNS解析域名的方式是哪三种?4. 实现设置IP地址和子网掩码的命令是什么?以及设置路由的命令是什么?
