计算机网络基础第22册.docx-道客多多

资源描述

1、计算机百科知识计算机百科知识计算机网络基础 (二十二 ) 本书编写组编山东科学技术出版社图书在版编目 (CIP)数据计算机百科知识 /本书编写组编济南山东科学技术出版社 2003ISBN 7-5331-1651-8计本计算机网络基本知识汇编 TP39中国版本图书馆 CIP 数据核字(2003)第 004271 号山东科学技术出版社出版发行 (济南市玉函路 16 号 250001)全国各地新华书店经销莒县新华印刷厂印刷开本 787 1092 1/32 印张 240 字数 4 000 千字2003 年 7 月第 1 版 200

2、3 年 7 月第 1 次印刷印数 1 1 000 册书号 ISBN 7-5331-1651-8/ D 112定价 698.00 元I目录 LINUX 防火墙上的 APACHE 反向代理 LINUX 下的 IP 隧道研究 1 LINUX 下的 IP 隧道研究 2 WIN2000 配置 VPN 的简单实例 .WIN2KINTERNET 服务器安全构建指南 WINDOWS2000 的 IP 路由 .WINDOWS2000 的 IP 路由转发 WIN2000 简单的安全清单限制 WINDOWS 服务器 IPC$的远程默认共享利用 FREEBSD 组建安全的

3、网关防范 WINDOWSXP 的安全策略 . LINUX 内核升级 .基于 NT/2000 建立安全 WEB 站点的解决方案 . 在 NT/2000 下的空连接 . 空连接计算机安全使用包分析软件排查网络故障 . 军用计算机安全术语 .ISO/IEC17799 释疑计算机安全认识的七大误区打击计算机犯罪新课题计算机取证技术 .计算机取证涉及的法律问题 II肉眼识病毒企业网络安全策略设计的方方面面 . 入侵检测术语全接触手工和新欢乐时光病毒说 BYE-BYE! 网络时代的新型病毒解析 .局域网络

4、的病毒入侵原理及其防范方法计算机网络基础 Linux 防火墙上的 Apache 反向代理本文着重介绍在企业防火墙上安装具有代理和重写规则功能的 Web 服务器 Apache 的方法以及编译和设置 Apache 的具体步骤在成功安装后弹性的虚拟主机设置可以允许外部用户通过防火墙访问内部局域网上多个 Web 服务器一测试环境与网络结构本文所使用的测试环境是 RedhatLinux7.2Apache1.3.24 公司域名假设是公司的典型网络构造如附图所示注意:附图中的防火

5、墙上安装了 2 块网卡其中 EO 端口的外部公共地址为 1.2.3.4 e1 端口对应内部保留地址为 192.168.2.1 局域网内部有 3 台 Web 服务器 A B 和 C 它们对应的域名分别为和均使用内部保留地址二操作步骤此公司通过专线连入互联网安装了防火墙局域网内部有 3 台 Web 服务器均只有内部保留地址但是希望他们能够提供对外的 Web 服务 1 设置 DNS 在防火墙(同时也是公司的 DNS 计算机网络基础服务器)上设置内计算机网络基础部 3 台 Web 服务器的 DNS IP 地址均为 1.2.3.4 这样在 Int

6、ernet 上解析和时均指向同一 IP 地址即防火墙的外部接口地址 1.2.3.4 2 下载 Apache 从 Apache 网站(http:/www.apache.org)下载目前最新的版本 apache1.3.24 到/Root 目录下载地址 http:/www.apache.org/dIst/httpd/apache_1.3.2 4.tar.gz 3.更改源代码使最大允许的请求连接数超过 256 由于 Apache 默认允许的最多连接数为 256 而在一个繁忙的网站上这一连接数量也许不能满足需要特别是本文介绍的通过防火墙上的 Apache 反向代理允许外部用户访问

7、多个内部 Web 服务器的情况可以采用更改 src/Include/httpd.h 文件的方法具体步骤如下注意事项: 要支持最多为 1024 个客户的同时请求不仅需要更改上面提到的源文件在编译安装后还需要设置/usr/LocaL/apache/conf/httpd.conf 文件将其计算机网络基础中的 MaxClients 一行后面的参数更改为 1024 如果您仅仅为了进行测试或者不会有很多人计算机网络基础使用可以不修改 httpd.h 文件隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方

8、式使用隧道传递的数据或负载可以是不同协议的数据桢此字不正确或包隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送新的包头提供了路由信息从而使封装的负载数据能够通过互联网络传递被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道一旦到达网络终点数据将被解包并转发到最终目的地注意隧道技术是指包括数据封装传输和解包在内的全过程隧道所使用的传输网络可以是任何类型的

9、公共互联网络本文主要以目前普遍使用 Internet 为例进行说明此外在企业网络同样可以创建隧道隧道技术在经过一段时间的发展和完善之后目前较为成熟的技术包括 1.IP 网络上的 SNA 隧道技术当 SNA 的数据流通过企业 IP 网络传送时 SNA 数据桢将被封装在 UDP 和 IP 协议包头中 2.IP 网络上的 NoveLLNetWareIPX 隧道技术计算机网络基础当一个 IPX 数据包被发送到 NetWare 服务器或 IPX 路由器时服务器或路由器用 UDP 和 IP 包头封装 IPX 数据包后通过 IP 网络发送另一端的 IP-TO-IPX 路由器在去

10、除 UDP 和 IP 包头之后把数据包转发到 IPX 目的地 Linux 下的 IP 隧道研究 1近几年不断出现了一些新的隧道技术本文将主要介绍这些新技术具体包括 1.点对点隧道协议 PPTP PPTP 协议允许对 IP IPX 或 NetBEUI 数据流进行加密然后封装在 IP 包头中通过企业 IP 网络或公共互联网络发送 2.第 2 层隧道协议 L2TP L2TP 协议允许对 IP IPX 或 NetBEUI 数据流进行加密然后通过支持点对点数据报传递的任意网络发送如 IP X.25 桢中继或 ATM 3 .安全 IP IPSec)隧道模式 IPSec 隧道模式

11、允许对 IP 负载数据进行加密然后封装在 IP 包头中通过企业 IP 网络或公共 IP 互联网络如 Internet 发送隧道协议为创建隧道隧道的客户机和服务器双方必须使计算机网络基础 2F用相同的隧道协议隧道技术可以分别以第 2 层或第 3 层隧道协议为基础上述分层按照开放系统互联 OSI 的参考模型划分第 2 层隧道协议对应 OSI 模型中的数据链路层使用桢作为数据交换单位 PPTP L2TP 和 L 第 2 层转发都属于第 2 层隧道协议都是将数据封装在点对点协议 PPP 桢中通过互联网络发送

12、第 3 层隧道协议对应 OSI 模型中的网络层使用包作为数据交换单位 IPoveRIP 以及 IPSec 隧道模式都属于第 3 层隧道协议都是将 IP 包封装在附加的 IP 包头中通过 IP 网络传送提供 PPTP 客户机和 PPTP 服务器之间的加密通信 PPTP 客户机是指运行了该协议的 PC 机如启动该协议的 Windows95/98 PPTP 服务器是指运行该协议的服务器如启动该协议的 WindowsNT 服务器 PPTP 是 PPP 协议的一种扩展它提供了一种在互联网上建立多协议的安全虚拟专用网 VPN 的通信方式远端用户能

13、够透过任何支持 PPTP 的 ISP 访问公司的专用网通过 PPTP 客户可采用拨号方式接入公用 IP 网拨号用户首先按常规方式拨到 ISP 的接入服务器NAS 建立 PPP 连接在此基础上用户进行二次计算机网络基础拨号建立到 PPTP 服务器的连接该连接称为 PPTP 隧道实质上是基于 IP 协议的另一个 PPP 连接其中的 IP 包可以封装多种协议数据包括 TCP IP IPX 和 NetBEUI PPTP 采用了基于 RSA 公司 RC4 的数据加密方法保证了虚拟连接通道的安全对于直接连到互联网的用户则不需要 PPP 的拨号

14、连接可以直接与 PPTP 服务器建立虚拟通道 PPTP 把建立隧道的主动权交给了用户但用户需要在其 PC 机上配置 PPTP 这样做既增加了用户的工作量又会给网络带来隐患另外 PPTP 只支持 IP 作为传输协议第 2 层转发 L2F L2F 是 Cisco 公司提出隧道技术作为一种传输协议 L2F 支持拨号接入服务器将拨号数据流封装在 PPP 桢内通过广域网链路传送到 L2F 服务器路由器 L2F 服务器把数据包解包之重新注入 Inject) 网络与 PPTP 和 L2TP 不同 L2F 没有确定的客户方

15、应当注意 L2F 只在强制隧道中有效 L2TP 隧道协议是典型的被动式隧道协议它结合了 L2F 和 PPTP 的优点可以让用户从客户端或访问服务器端发起 VPN 连接 L2TP 是把链路层 PPP 帧封装在公共网络设施如 IP ATM 帧中继中进行隧道传输计算机网络基础的封装协议 L2TP 主要由 LAC(L2TPAccessConcentRator)和 LNS(L2TPNetworkserver)构成 LAC 支持客户端的 L2TP 用于发起呼叫接收呼叫和建立隧道 LNS 是所有隧道的终点 LNS 终止所有的 PPP 流在传统的 PPP 连接中用户拨号连

16、接的终点是 LAC L2TP 使得 PPP 协议的终点延伸到 LNS L2TP 的好处在于支持多种协议用户可以保留原有的 IPX Appletalk 等协议或公司原有的 IP 地址 L2TP 还解决了多个 PPP 链路的捆绑问题 PPP 链路捆绑要求其成员均指向同一个 NAS(NetworkAccess Server) L2TP 可以使物理上连接到不同 NAS 的 PPP 链路在逻辑上的终结点为同一个物理设备 L2TP 还支持信道认证并提供了差错和流量控制 L2TP 利用 IPsec 增强了安全性支持数据包的认证加密和密钥管理 L2TP/IPSe

17、c 因此能为远程用户提供设计精巧并有互操作性的安全隧道连接这对安全的远程访问和安全的网关之间连接来说它是一个很好的解决方案因此安全的 VPN 需要同时解决好 L2TP 和 IPSec 这两个不同的问题 L2TP 协议解决了穿过 IP 网络的不同用户协议的转换问题 IPSec 协议计算机网络基础加密 /解密协议解决了通过公共网络传输信息的计算机网络基础保密问题 IP 网上的 L2TP 使用 UDP 和一系列的 L2TP 消息对隧道进行维护 L2TP 同样使用 UDP 将 L2TP 协议封装的 PPP 桢通过隧道发送可以对封装 PPP

18、桢中的负载数据进行加密或压缩 PPTP 与 L2TPPPTP 和 L2TP 都使用 PPP 协议对数据进行封装然后添加附加包头用于数据在互联网络上的传输尽管两个协议非常相似但是仍存在以下几方面的不同 PPTP 要求互联网络为 IP 网络 L2TP 只要求隧道媒介提供面向数据包的点对点的连接 L2TP 可以在 IP 使用 UDP 桢中继永久虚拟电路 PVCS),X.25 虚拟电路 VCS 或 ATMVCS 网络上使用 PPTP 只能在两端点间建立单一隧道 L2TP 支持在两端点间使用多隧道使用 L2TP 用户可以针对不同的

19、服务质量创建不同的隧道 L2TP 可以提供包头压缩当压缩包头时系统开销 overhead 占用 4 个字节而 PPTP 协议下要占用 6 个字节 L2TP 可以提供隧道验证而 PPTP 则不支持隧道计算机网络基础验证但是当 L2TP 或 PPTP 与 IPSEC 共同使用时可计算机网络基础以由 IPSEC 提供隧道验证不需要在第 2 层协议上验证隧道 IPSec 隧道模式IPSec 在 IP 层上对数据包进行高强度的安全处理提供数据源地验证无连接数据完整性数据机密性抗重播和有限业务流机密性等安全服务各种应用程序可以享用 IP 层提供的安全服务和密钥管理

20、而不必设计和实现自己的安全机制因此减少密钥协商的开销也降低了产生安全漏洞的可能性 IPSec 可连续或递归应用在路由器防火墙主机和通信链路上配置实现端到端安全虚拟专用网络 VPN 和安全隧道技术 IPSEC 是第 3 层的协议标准支持 IP 网络上数据的安全传输本文将在高级安全一部分中对 IPSEC 进行详细的总体介绍此处仅结合隧道协议讨论 IPSEC 协议的一个方面除了对 IP 数据流的加密机制进行了规定之外 IPSEC 还制定了 IPoveRIP 隧道模式的数据包格式一般被称

21、作 IPSEC 隧道模式一个 IPSEC 隧道由一个隧道客户和隧道服务器组成两端都配置使用 IPSEC 隧道技术采用协商加密机制为实现在专用或公共 IP 网络上的安全传输 IPSEC 隧道模式使用的安全方式封装和加密整个 IP计算机网络基础包然后对加密的负载再次封装在明文 IP 包头内通过网络发送到隧道服务器端隧道服务器对收到的数据报进行处理在去除明文 IP 包头对内容进行解密之后获的最初的负载 IP 包负载 IP 包在经过正常处理之后被路由到位于目标网络的目的地 IPSEC 隧道模式具有以

22、下功能和局限只能支持 IP 数据流工作在 IP 栈 IPstack 的底层因此应用程序和高层协议可以继承 IPSEC 的行为由一个安全策略一整套过滤机制进行控制安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式当需要建立通讯时双方机器执行相互验证然后协商使用何种加密方式此后的所有数据流都将使用双方协商的加密机制进行加密然后封装在隧道包头内 Linux 下的 IP 隧道研究 2同时 Linux 定义了一种新的协议类型 -IPIP I

23、PPROTO_IPIP 与上面所说封包类型类似基本思路在 Linux 中 IPTunnel 的实现也分为两个部件封装部件和解封部件分别司职发送和接收但这两个部分是在不同的层次以不同的方式实现的封装部计算机网络基础件是在数据链路层以虚设备的方式实现所有源代码见/usr/src/Linux/Drivers/net/new_Tunnel.c 为实现封装 Linux 实现一个称为 tunL 的网络设备类似 Loopback 设备此设备具有其他网络设备共有的特征对于使用此设备的上层应用来说对这些网络设备不加区分调用及处理方法当然也完全一样 Win2000 配置 VPN

24、的简单实例本文服务器端与客户端使用的操作系统均为 Win2000,Win98 客户端的文章将随后推出对于 VPN,微软在 Windows2000 帮助文件中是这样描述的: 虚拟专用网络 (VPN)是专用网络的延伸它包含了类似 Internet 的共享或公共网络链接通过 VPN 可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据虚拟专用联网是创建和配置虚拟专用网络的行为要模拟点对点链路应压缩或包装数据并加上一个提供路由信息的报头该报头使数据能够通

25、过共享或公用网络到达其终点要模拟专用链路为保密起见应加密数据不用密钥从共享或者公共网络截计算机网络基础取的数据包是很难解密的封装和加密专用数据之处计算机网络基础的链接是虚拟专用网络(VPN)连接在家里或者旅途中工作的用户可以使用 VPN 连接建立到组织服务器的远程访问连接方法是使用公共网络例如 Internet 提供的基础结构从用户的角度来讲 VPN 是一种在计算机 VPN 用户与团体服务器 VPN 服务器之间的点对点连接共享或公共网络的确切基础结构是不相关的因为从逻辑上看数据应当是通过专门的专用链接发送的单位也能够使用 VPN 连接来为地理位置分

26、开的办公室建立路由连接或者在保持安全通讯的同时通过公共网络例如 Internet 连接到其他单位通过 Internet 被路由的 VPN 连接逻辑上作为专用的 WAN 链接来操作通过远程访问和路由连接组织可以使用 VPN 连接将长途拨号或租用线路换成本地拨号或者到Internet 服务提供者 ISP 的租用线路在 Windows2000 中有两种类型的 VPN 技术 1.点对点隧道协议(PPTP) 对于数据加密 PPTP 使用用户级的点到点协议 (PPP)身份验证方法及 Microsoft 点到点加密(MP

27、PE) 2.带有 IP 协议安全 (IPSec)的第二层隧道协议 (L2TP) 计算机网络基础 L2TP 使用用户级 PPP 身份验证方法和带有 IPSec 数据加密的机器级证书我们现在要配置的实例是一个远程客户端 (Windows2000PRo) 与一个公司总部 VPNServer Windows2000PRo)之间的连接.需要三个步骤: 1.配置 VPN 服务器,使之能够接受 VPN 接入 2. 配置客户端的拨号网络 , 使之能够访问Internet 3.配置客户端的 VPN 连接如何利用 W

28、in2KServer 配置路由在我们组建局域网时经常遇到要实现不同网段之间的互联的情况普遍的解决方案是在两个不同网段之间架设路由器利用其路由的功能实现 IP 数据包的转发从而达到两个网段之间互相通信的目的说到路由器硬件路由器是大家所熟悉的最典型的就是 Cisco 公司的系列路由器而软件路由器是个新兴的产品比如 TinySoftware 推出的 WinRoutePRo 软件路由器 Vicomsoft 公司推出的 InternetGateway 软件路由器等这些路由软件工作在我们所熟悉的 WINDOWS 系列操作系统上,使 PC 机也可

29、达到与硬件路由器相似的功能而在WINDOWS2000SERVER 中 ,其本身就集成了强大的软件计算机网络基础路由器在本文中,作者将从最简单的静态路由入手, 加以实例剖析 ,使读者明白如何利用 WINDOWS2000 ERVER 配置路由在本实例中有两个不同网段网段一为工作组 work1,IP 地址分配为 10.0.0.2 10.0.0.5,子网掩码为 255.0.0.0 网段二为工作组 work2,IP 地址分配为 192.168.0.2 192.168.0.5, 子网掩码为255.255.25

30、5.0.两网段中的计算机均采用 WINDOWS98 操作系统网络结构为对等式网络要实现两网段之间的互相通信必须通过路由器转发 IP 数据包我们采用了一台高性能的计算机 (奔腾三 866 处理器 ,256M 内存 ,迈拓金钻 7200 转 20G 硬盘安装 WINDOWS2000SERVER 作为两网段之间的软件路由器第一步我们要明白路由器既然是不同网段之间的存储转发设备则其必定有多个网络接口也就是说其必然要安装多块网卡才能在多个网段之间起到桥梁的作用而且路由器工作在 TCP IP 的网络环境中每一块网卡都要

31、绑定各自独立的 IP 地址在本实例中我们要连接两个网段则必须在 WINDOWS2000SERVER 中安装两块网卡这一次所采用的是两块 TF-3239TX100M 网卡(采用 REALTEK8139 芯计算机网络基础议片 PCI 槽 RJ45 单口).在安装 WINDOWS2000SERVER时要注意的几点 1 这一台装有 WINDOWS2000SERVER 的计算机将是独立的服务器不必要升级为域控制器在确定其属于哪一个工作组时可以是 work1 也可是 w ork2.2,安装网络协议时

32、至少要安装 TCP IP 协议 2,REALTEK8139 的网卡为即插即用的网卡在系统找到两块网卡时要分别安装它们的驱动直至控制面板 - 系统 -硬件 - 设备管理器- 网卡下能看到两块网卡的标志没有黄色惊叹号设备状态是工作正常为止若网卡因为硬件冲突导致工作不正常则路由器肯定不能发挥作用 3 给每一块网卡绑定 IP 地址一块做为 work1 的网络接口绑定 10.0.0.1,(工业标准是将网络的第一个 IP 地址指派到路由器接口具体步骤为控制面板- 网络和拨号连接 - 本地连接选择属性- INTERNET 协议 TCP/IP) 选择属性然后

33、选择使用下面的 IP 地址填入 10.0.0.1 子网掩码为 255.0.0.0 默认网关为 10.0.0.1 ,单击确定 .另一块网卡做为 work2 的网络接口绑定 192.168.0.1(注意本地连接对应第一块网卡本地连接 2 对应第二块网卡不要弄混方法同上我们可以在 INTERNET 协 TCP/IP)计算机网络基础 - 属性对话框中点击高级来检验网卡的 IP 地址绑定情况第二步启动路由启动路由服务有两种方法一种是在开机时出现的配置服务器的选项卡中选择联网在联网的下拉菜单下单击路由另一种

34、是单击开始 - 程序 - 管理工具 - 路由和远程访问打开路由和远程访问管理器会见到以此台计算机名命名的服务器图标选中此台服务器单击鼠标右键选择配置并启用路由和远程访问随后就会出现路由和远程访问服务器安装向导按照提示一步一步做下去在公共设置中选择网路路由器接着就会选择路由的协议协议框内至少应保证有 TCP/IP,选中它然后是请求拨号连接当出现您想请求拨号访问远程网络吗因为我们是配置本地的静态路由因此选择否最后单击完成路由

35、服务安装完毕启动路由服务后我们可以看到路由接口的子项内部环回本地连接本地连接 2 的状态均为已启用连接状态均为已连接上其中本地连接本地连接 2 的设备名就是我们的网卡型号证明这两个接口可以用来连接局域网中的两个网段在 IP 路由选择的常规子项计算机网络基础中给出了这两个接口分别各自所属的子网以及他们各自的流量统计在两网段其他计算机的 WINDOWS98 系统中选择控制面板 - 网络 -选 TCP/IP-网卡类型 (本例中为 REALTEK8139 单击属性找到网关选项卡第一个网段要添加的网关为

36、10.0.0.1 第一个网段要添加的网关为 192.168.0.1 此时路由器已初步发挥作用可用来连接 10.0.0.2 10.0.0.5,与 192.168.0.2 192.168.0.5两个不同网段我们必须进行测试具体方法为在第一网段内任选一台计算机发送数据包至第二网段内任一台计算机并进行跟踪观察路由器转发数据包的情况在 10.0.0.2 的计算机上的 MS-DOS 方式下键入 tracertto192.168.0.2 结果如下 Tracing Route to192.168.0.2 over a

37、maximum over5of30hops: 010.0.0.2 110.0.0.1 2192.168.0.1 3192.168.0.2 计算机网络基础 TracecompLete 数据包成功地经过两个网络接口到达目的地计算机网络基础随后两机之间再用 PING 检验均能收到回应证明两机之间已可互传数据两网段连通实际上由此实例推而广之我们就可得到如何用四张网卡连接三台计算机的方法有很多时侯我们想用双绞线连接三台计算机又不愿意买集线器 , 从节省成本的角度考虑我们可以多买一块网卡设一台计算机为路由器其他两台计算机设置不同网段的 IP 地址通过路由器互连这样

38、组建起来的对等网虽然对联网打游戏有一定的不便但仍可互传文件也可共享上网更重要的是可以组建 100M 以上的快速以太网这是用细缆互连无法实现的第三步配置静态路由若用两个路由器连接三个网段则需告诉第一台路由器第三个网段的地址也要告诉第三台路由器第一个网段的地址这就是静态路由具体配置方法如下在第一台路由器的路由管理器中找到 IP 路由选择中的静态路由单击鼠标右键打开静态路由添加对话框找到 10.0.0.1 的网络接口在本例中是本地连接 ,然后键入第三

39、个网段的网络号即在目标中键入 172.16.0.0(注意这是网络号不是主机 IP 地址因此最后一位是 0 网络掩码为 255.255.0.0 网关为 172.16.0.1,同理在第三计算机网络基础台路由器中也要找到 172.16.0.1 的网络接口 ,添加目标为 10.0.0.0 网络掩码为 255.0.0.0 网关为 10.0.0.1 的静态路由添加方法同上由此可见静态路由需要管理员事先规划好网络路径并且要手动更新路由表因此静态路由不适用于大型网络仅在小规模的局域网中发挥作用最后说明一点若网络的类型为客户机 /

40、服务器网路由器要加入到域中以便管理员通过域控制器实施统一管理 Win2KInternet 服务器安全构建指南Win2K 操作系统的一个主要特色就是将 IIS 融入其内核之中并提供一些用来配置和维护软件的向导工具使构建一个 Internet 网站轻松易得但是如果要创建一个安全可靠的 Internet 网站实现地面部分 Win2K 操作系统和空中部分 IIS 的双重安全还需要更加全面和深入的工作本文就对这些稳固工作中的空中部分 IIS 进行讨论旨在帮助管理员一步步地实施网站安全构建工作一 TCP/IP 方面要重点考虑的安全配置信息 Win2K 提供了三种方式对进站连接进行访问控计算机网络基础制以下分别介绍 1 TCP/IP 安全配置

展开阅读全文