信息安全ppt课件

TCP/IP模型
应用层
传输层 网络层 网络接口 物理层
TCP/IP层次结构图
X11 System
HTTP FTP Telnet SMTP
DNS
LDAP
DHCP BOOTP TFTP NTP
SNMP
NFS NIS PMAP NLM Mount Statd
XDR
OSI第5-7层
RPC
TCP
UDP
OSI第4层
E-mail软件：Outlook, Netscape 文字！？翻译、加密 会话方式：登录、传送、释放 无误传输：分段重组、保证服务 网络间：寻址、路径选择、交换 数据流：信道争用、数据维护 电气信号：电气、机械、功能等
Application Presentation Session Transport Network Data Link Physical
DVMRP
IGMP RSVP
OSPF IGRP BGP EGP GGP RIP
OSI第3层
ARP RARP
IP
ICMP
物理接口层
OSI第1-2层
TCP/IP层次结构（一）
IP ARP RARP
网间协议(Internet Protocol)。负责主机间数据的路由和网 络上数据的存储。同时为ICMP、TCP、UDP提供分组发送 服务。用户进程通常不需要涉及这一层。
TCP/IP协议栈
▪ TCP/IP协议的起源和发展 ▪ TCP/IP协议集 ▪ TCP/IP的体系结构和特点 ▪ VLSM和CIDR技术
协议
▪ 协议是为了在两台计算机之间交换数据而 预先规定的标准。TCP/IP并不是一个协议， 而是许多协议，而TCP和IP只是其中两个基 本协议而已
• 以寄信为例,正确的地址,姓名,邮政编码以及 正确的格式才可以让信寄到收信人手中
Physical Transmission medium
Application Data
AH Application Data
PH Application Data
SH
Data Unit
TH
Data Unit
NH
Data Unit
DH Data unit (1 Field) FCS
Bits
Communication Path
xxxxxx
xxxxxx
U.S.A.
TCP/IP协议的起源和发展
▪ 在TCP/IP协议成为工业标准之前，TCP/IP 协议经历了近12年的实际测试
▪ 1980年，高研署在它的网络上首先采用 TCP/IP协议
TCP/IP协议集
▪ TCP/IP（传输控制协议/网间协议）是一组 网络通信协议，它规范了网络上的所有通 信设备，尤其是一个主机与另一个主机之 间的数据往来格式以及传送方式
根据 RFC1466[Gerich 1993]建议 ，整个世界 被分为四个地区，每个地区分配一段连续的C 类地址：
• 为进行选路要对多个IP地址进行归并时，这些IP 地址必须具有相同的高位地址比特；
• 路由表和选路算法必须扩展成根据32位IP地址和 32位掩码做出选路决策的算法；
• 必须扩展选路协议使其除了32位地址外，还要有 32位掩码。OSPF和RIP-2都能够携带第4版BGP所提 出的32位掩码。
TCP/IP协议栈
第二章
高级TCP/IP分析
高级TCP/IP分析（一）
▪ 70年代中期，美国国防部高级计划署开始着 手全美范围内异种计算机间的连接
▪ 那时，计算机与计算机间的连接使用的还只 是点对点专用线路，计算机与计算机的通讯 规约采用的是各厂家自行定义的专门协议
可以互连
不可互连
可以互连
高级TCP/IP分析(二)
CIDR无类别编址（一）
▪ CIDR无类别编址（Classless Inter Domain Routing ）
ቤተ መጻሕፍቲ ባይዱ
CIDR无类别编址（二）
▪ 把许多C类地址合起来作B类地址分配。采用这 种分配多个IP地址的方式，使其能够将路由表 中的许多表项归并(summarization)成更少的 数目。要使用这种归并，必须满足以下三种特 性
IP地址（二）
高位
网络
主机
类型
0
7位网络
24为主机
A类IP地址
10
14位网络
16位主机
B类IP地址
110
21位网络
1110
28位多点广播组 标号
8位主机
C类IP地址 D类IP地址
1111 保留试验使用
E类IP地址
有类地址的局限性
▪ IPv4使用32位的地址，即在IPv4的地址空间中 只有232（4,294,967,296，低于43亿）个地址 可用
▪ 特定主机
• 掩码32位为全“1”，将32位地址全部截下
子网（四）
▪ 缺省路由
• 掩码为全“0”，目的地址也为全“0”，将报 文直接送往缺省端口地址
▪ 无子网结构
• 掩码中“1”的个数与网络号位数相同
可变长子网掩码
▪ VLSM（Variable Length Subnet Mask， 可变长子网掩码）
VLSM和CIDR技术
▪ IP地址 ▪ VLSM可变长子网掩码 ▪ CIDR无类别编址
IP地址（一）
▪ IP网络使用32位地址，通常由点分十进制 表示如：202.112.14.1
▪ 它主要由两部分组成
• 一部分是用于标识所属网络的网络地址 • 另一部分是用于标识给定网络上的某个特定的
主机的主机地址
Session Transport Network DataLink Physical
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
End User B
Application Presentation
Session Transport Network DataLink Physical
电子邮件为例
TCP/IP层次结构（二）
TCP
传输控制协议（Transmission Control Protocol)。这 是一种提供给用户进程的可靠的全双工字节流面向连 接的协议。它要为用户进程提供虚电路服务，并为数 据可靠传输建立检查。大多数网络用户程序使用TCP。
UDP
用户数据报协议(User Datagram Protocol)。这是提 供给用户进程的无连接协议，用于传送数据而不执行 正确性检查。
地址解析协议(Address Resolution Protocol)。此协议将网络 地址映射到硬件地址。
反向地址解析协议(Reverse Address Resolution Protocol)。 此协议将硬件地址映射到网络地址。
ICMP
网间报文控制协议(Internet Control Message Protocol)。此 协议处理信关和主机间的差错和传送控制。ICMP报文使用 IP数据报进行传送，这些报文通常由TCP/IP网络软件本身 来保证正确性。
数据段 数据包 数据帧 比特位
ISO/OSI数据流向
Outgoing Frame construction Incoming Frame reduction
Application Process X
Application Presentation
Session Transport Network Data Link Physical
• 这是一种产生不同大小子网的网络分配机制。 VLSM将允许给点到点的链路分配子网掩码 255.255.255.252，而给Ethernet网络分配 255.255.255.0。VLSM技术对高效分配IP地址 （较少浪费）以及减少路由表大小都起到非常 重要的作用。但是需要注意的是使用VLSM时， 所采用的路由协议必须能够支持它，这些路由 协议包括RIP2，OSPF，EIGRP和BGP
传输层
提供建立、维护和拆除传输连接的功能；监控服务质量；提供端到端
(Transport Layer) 可靠的透明的数据传输、差错控制和流量控制。
会话层 (Session Layer)
提供两个进程之间建立、维护和结束会话连接的功能；提供会话流量 控制和交叉会话功能。
表示层
提供不同信息格式和编码之间的转换；提供数据表示、数据压缩和数
xxxxxx 北京西城区xxx号
xxx室
负责人 （收）
xxx有限公司
xxxxxx
FROM:
Room No.xxx, Bldg.F,
Huiyuan International Apartment
No.x Anli Road Chaoyang District
Beijing, P.R.C.
xxxxxx
TO:
▪ 如何实现不同网络及计算 机间的互操作成为计算机 联网的最关键问题
▪ 到八十年代末九十年代初， 有了肯定的答案：这就是 采用TCP/IP协议
▪ 第1节 ▪ 第2节 ▪ 第3节 ▪ 第4节 ▪ 第5节 ▪ 第6节 ▪ 第7节
本章内容
TCP/IP协议栈 物理层的安全威胁 网络层的安全威胁 传输层的安全威胁 应用层的安全威胁 IPSec协议 IPv6
(Presentation Layer) 据加密功能。
应用层
提供网络服务，例如事务处理程序、文件传输程序、网络管理程序等
(Application Layer) 等。
TCP/IP网络的四层结构模型
▪ OSI参考模型与TCP/IP模型对比
OSI参考模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
网络号 子网号 主机号
引入子网模式后，网络号部分加上子网号才能全局唯一地标识一个物理网络。
子网（二）
▪ 子网编制模式下的路由表条目变为
｛子网掩码，目的网络地址，下一路由器地址｝
▪ 这样可以用子网掩码的设置来区分不同的 情况，使路由算法更为简单
子网（三）
▪ 子网结构
• 设子网掩码，子网掩码与目的地址相与，获得 子网地址
▪ IPv4的地址是按照网络的大小（所使用的IP地 址数）来分类的，它的寻址方案使用“类”的 概念。A、B、C三类IP地址的定义很容易理解， 也很容易划分，但是在实际网络规划中，他们 并不利于有效地分配有限的地址空间
子网（一）
▪ 一般地，32的IP地址被分为两部分，即网 络号和主机号
▪ 为提高IP地址的使用效率，子网编址的思 想是将主机号部分进一步划分为子网号和 主机号
FTP SMTP
TCP/IP层次结构（三）
文件传输协议(File Transfer Protocol)。允许用户以文件操作 的方式(文件的增、删、改、查、传送等)与另一主机相互通 信。
简单邮件传送协议(Simple Mail Transfer Protocol)。SMTP协 议为系统之间传送电子邮件。
（Physical Layer) 通过传输介质进行数据流的物理传输，故障检测和物理层管理。
数据链路层
在网络层实体间提供数据传输功能和控制；提供数据的流量控制；检
(Data Link Layer) 测和纠正物理链路产生的差错。
网络层 (Network Layer)
提供路由选择、拥塞控制、网络互连等功能；根据传输层的要求，选 择服务质量；向传输层指示未恢复的差错。
Application Process Y
Application Presentation
Session Transport Network Data Link Physical
ISO/OSI参考模型各层的功能
参考模型分层
主要功能
物理层
提供建立、维护和拆除物理链路所需的机械、电气、功能和规程特性；
▪ 每一层代表一定层次的网络功能
OSI七层示意图
▪ OSI参考模型从上到下共分为七层, 最上层为用 户面对的应用层
▪ 任何一次两个用户之间的通信都需要经过这七层 的数据转换
All People Seem To Need Data Processing.
End User A
Application Presentation
TCP/IP的体系结构和特点
▪ ISO/OSI网络的七层结构模型 ▪ TCP/IP网络的四层结构模型
ISO/OSI网络的七层结构模型
▪ 网络设计者在解决网络体系结构时经常使 用ISO/OSI（国际标准化组织/开放系统互 连）七层模型
▪ 该模型总分为7层：物理层、数据链路层、 网络层、传输层、会话层、表示层和应用 层
TELNE 终端协议(Telnet terminal Protocol)。允许用户以虚终端方式
T
访问远程主机。
HTTP TFTP
超文本传输协议（HyperText Transfer Protocol）。是环球网 WWW的基础，它使丰富多彩的Internet以简单的方式展现 给用户。
简单文件传输协议(Trivial File Transfer Protocol)。FTP的一 种简化版本。TFTP基于UDP协议 。