7-应用层(2)
应用层PPT课件
1
主要内容
8.1 应用层概述
8.2 客户/服务器模型
8.3
域名服务
8.4 统一资源定位符
8.5
WWW服务
8.6 简单网络管理协议SNMP
8.7
电子邮件
8.8 文件传输协议FTP
2
8.1 应用层概述(1)
• 应用程序:互相通信的分布 的进程 –在网络主机上的用户空间 运行 –互相交换消息 –比如email、ftp和web
reply
application transport network data link physical
10
8.2 客户/服务器模型(2)
• 客户软件 –任何一个应用程序当需要进行远程访问时成为客户, 这个应用程序也要完成一些本地的计算; –一般运行于用户的个人计算机上; –向服务器主动发起通信请求; –可以访问多个服务器,但一次只能访问一个; –不需要特殊的硬件和复杂的操作系统。
3
8.1 应用层概述(2)
• 应用层术语
–一个进程是运行于主机上的一个程序。 –在同一主机上的进程利用操作系统提供的
IPC(interprocess communication)进行 通信。 –在不同主机上运行的进程利用应用层协议 进行通信 –用户代理(user agent)是指用户和网络 应用程序间的接口。比如web浏览器,流媒 体播放器等
yes, few secs yes, 100’s msec yes and no
7
Internet传输协议提供的服务
TCP服务 : 面向连接:用户端和服务
器需要建立连接 接收和发送进程间的可靠
传输 流量控制:发送方不会淹
没接收方 拥塞控制:网络负载过高
OSI七层模型基础知识及各层常见应用解读
OSI Open Source Initiative(简称OSI,有译作开放源代码促进会、开放原始码组织)是一个旨在推动开源软件发展的非盈利组织。
OSI参考模型(OSI/RM)的全称是开放系统互连参考模型(Open System Interconnection Reference Model,OSI/RM),它是由国际标准化组织ISO提出的一个网络系统互连模型。
它是网络技术的基础,也是分析、评判各种网络技术的依据,它揭开了网络的神秘面纱,让其有理可依,有据可循。
一、OSI参考模型知识要点图表1:OSI模型基础知识速览模型把网络通信的工作分为7层。
1至4层被认为是低层,这些层与数据移动密切相关。
5至7层是高层,包含应用程序级的数据。
每一层负责一项具体的工作,然后把数据传送到下一层。
由低到高具体分为:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
第7层应用层—直接对应用程序提供服务,应用程序可以变化,但要包括电子消息传输第6层表示层—格式化数据,以便为应用程序提供通用接口。
这可以包括加密服务第5层会话层—在两个节点之间建立端连接。
此服务包括建立连接是以全双工还是以半双工的方式进行设置,尽管可以在层4中处理双工方式第4层传输层—常规数据递送-面向连接或无连接。
包括全双工或半双工、流控制和错误恢复服务第3层网络层—本层通过寻址来建立两个节点之间的连接,它包括通过互连网络来路由和中继数据第2层数据链路层—在此层将数据分帧,并处理流控制。
本层指定拓扑结构并提供硬件寻址第1层物理层—原始比特流的传输电子信号传输和硬件接口数据发送时,从第七层传到第一层,接受方则相反。
各层对应的典型设备如下:应用层……………….计算机:应用程序,如,HTTP表示层……………….计算机:编码方式,图像编解码、URL字段传输编码会话层……………….计算机:建立会话,SESSION认证、断点续传传输层……………….计算机:进程和端口网络层…………………网络:路由器,防火墙、多层交换机数据链路层………..网络:网卡,网桥,交换机物理层…………………网络:中继器,集线器、网线、HUB二、OSI基础知识OSI/RM参考模型的提出世界上第一个网络体系结构由IBM公司提出(74年,SNA),以后其他公司也相继提出自己的网络体系结构如:Digital公司的DNA,美国国防部的TCP/IP等,多种网络体系结构并存,其结果是若采用IBM的结构,只能选用IBM的产品,只能与同种结构的网络互联。
网络OSI七层参考模型
网络OSI七层参考模型一、OSI参考模型在整个参考模型中,下层是为上层提供服务。
二、TCP/IP常见的协议(一)应用层为应用软件提供接口,使应用程序能够使用网络服务,应用层协议指定相应的传输层协议,以及传输层所使用的端口等。
应用层的PDU被称为Data(数据)。
Telnet:端口号23,使用传输层TCP协议,远程接入协议,提供远程管理服务,通过Telent客户端程序连接到服务器,用户在客户端中输入命令,这些命令在服务器端运行。
FTP:端口号20、21,使用传输层TCP协议,文件传输协议,主要用于文件的下载和上传,采用C/S((主机/服务器)结构。
TFTP:端口号69,使用传输层UDP协议,简单的文件传输协议SNMP:网络管理协议,一般用在管理平台,可将交换机、路由器等一些设备信息上传到网管平台HTTP:端口号80,使用传输层TCP协议,超文本传输协议,提供浏览网页服务。
SMTP:端口号25,使用传输层TCP协议,邮件传输协议DNS:域名解析协议,将域名翻译成IP地址进行访问网址DHCP:动态主机配置协议,自动匹配IP地址(二)传输层传输层协议接受来自应用层协议的数据,封装上相应的传输层头部,帮助其建立端到端的连接。
端口号的取值范围:0-655350-1023:知名端口号,发送过程中会在发送端随机匹配一个端口号,并且是在1023之外未使用的。
传输层的PDU被称为Segment(段)1.TCP一种面向连接的、可靠的传输层通信协议。
在传输前先建立连接,之后才可以传输,传多少接收多少,丢包之后重传确保全部收到。
使用场景在文件传输或者文档传输中使用。
(1)TCP的建立-三次握手A.主机1向主机2进行syn(查询B.主机2向主机1进行syn查询,ACK确定C.主机1进行ACK确定----------TCP连接建立--------------(2)TCP四次挥手A.主机1向主机2发送FIN请求断开连接B.主机2向主机1发送ACK确认C.主机2向主机1发送FIN请求断开连接D.主机1向主机2发送ACK确认----------TCP连接断开--------------(3)TCP序列号与确认序列号序列号:对包进行排序,根据序列号确认序列号:对收到的包进行确认A.主机1向主机2发送3000的数据包,最大数值需要1500包,进行分段传输,0-1499,1500-2999B.主机2收到包后向主机1进行发送确认序列号,未收到或者丢包,主机2会向主机1再次发送所丢失的包进行重传。
OSI七层模式简单通俗理解
OSI七层模式简单通俗理解OSI(Open Systems Interconnection)七层模型是国际标准化组织(ISO)定义的一种通信协议结构,用于描述和管理计算机网络中的通信过程。
它将计算机网络的通信功能分为七个层次,每个层次都负责特定的功能。
以下是对每个层次的简单通俗理解:1.物理层:2.数据链路层:数据链路层负责将数据块分割成“帧”,并添加错误校验等控制信息,以确保数据以有序、可靠的方式从一个网络节点传输到另一个网络节点。
类似于将字符串切割成小块并添加一些指示标记的行程。
3.网络层:网络层是整个网络的核心,负责路由选择和数据包交换。
它使用逻辑地址(IP地址)将数据包从源节点传输到目标节点,并使用路由协议来检测并选择最佳路径。
4.传输层:传输层负责提供端到端的通信服务。
它通过控制数据包的传输和错误恢复来确保可靠传输。
类似于发送方告诉接收方如何组装和验证数据。
这通过传输控制协议(TCP)和用户数据报协议(UDP)等协议来实现。
5.会话层:会话层负责建立、管理和终止会话(连接)的过程。
它提供了对通信进程之间的会话控制的抽象。
类似于在通信过程中建立和结束对话。
6.表示层:表示层负责对数据进行编码、解码和转换,以便在不同计算机上的应用程序之间进行交换。
它负责数据格式、加密/解密以及压缩/解压缩等操作。
类似于在两个国家之间交换邮件时需要将文字翻译成另一种语言并在邮件中添加对应的指示标记。
7.应用层:应用层是最高层,负责为用户提供应用程序和网络服务。
它提供了哪些应用可以使用网络来通信的接口。
它包括电子邮件、Web浏览器、文件传输协议(FTP)、域名系统(DNS)等应用程序。
总体来说,OSI七层模型提供了一种将通信过程分解为几个功能层次,并确保每个层次都有明确定义的职责的方式。
每个层次都可以独立设计和实现,有助于提高网络的可靠性、可维护性和扩展性。
通过理解每个层次的功能,我们可以更好地理解和诊断网络中的问题,以及在设计和实现网络时做出更明智的决策。
osi七层模型的分层结构
osi七层模型的分层结构OSI(开放系统互联)七层模型是国际标准化组织(ISO)制定的网络协议体系结构,用于规范计算机网络的设计和实现。
该模型将网络通信分为七个不同的层次,每一层都有其特定的功能和责任。
以下是对OSI七层模型的分层结构的详细说明:1. 物理层(Physical Layer):物理层是整个网络通信的起点,它是处理网络硬件和传输介质的层次。
在物理层中,传输的是比特流(0和1)的电子信号,主要用于传输数据。
在物理层中,主要的设备包括网线、光纤、集线器等。
这一层主要关注的是信号的传输速率和物理连接的形式,并不关心数据包的内部结构。
2. 数据链路层(Data Link Layer):数据链路层提供了通过物理连接进行数据传输的功能。
它负责将比特流转换为数据帧,并在传输过程中进行差错检测和纠正。
数据链路层主要分为两个子层:逻辑链路控制(LLC)子层和介质访问控制(MAC)子层。
逻辑链路控制子层负责建立和维护链路的逻辑连接,而介质访问控制子层负责调度数据帧的传输,以及解决多个设备同时访问网络的冲突问题。
3. 网络层(Network Layer):网络层负责将数据包从源主机传输到目标主机。
它通过路由选择算法来确定数据包的传输路径,并对数据包进行分组和寻址。
网络层中最重要的协议是Internet协议(IP),它是整个互联网通信的基础。
网络层还提供了一些其他的功能,如流量控制、拥塞控制、分片和重组等。
4. 传输层(Transport Layer):传输层主要负责端到端的数据传输和可靠性保证。
它处理端口号、会话管理、流量控制以及错误恢复等功能。
在传输层中,最常用的协议是传输控制协议(TCP)和用户数据报协议(UDP)。
TCP提供了可靠的数据传输服务,确保数据包的有序性、完整性和可靠性;而UDP提供了不可靠的数据传输服务,适用于实时性要求较高的应用。
5. 会话层(Session Layer):会话层主要负责建立、管理和终止会话。
1请简单说明osi7层模型中每一层的主要功能
1.请简单说明osi7层模型中每一层的主要功能OSI共7层,应用层,表示层,会话层,传输层,数据链路层,物理层。
应用层:应用层是网络可向最终用户提供应用服务的唯一窗口,其目的是支持用户联网的应用的要求。
由于用户的要求不同,应用层含有支持不同应用的多种应用实体,提供多种应用服务,如电子邮件(MHS)、文件传输(FTAM)、虚拟终端(VT)、电子数据交换(EDI)等。
主要协议有,FTP(21端口),SMTP(25端口),DNS,HTTP(80端口).表示层:表示层的作用之一是为异种机通信提供一种公共语言,以便能进行互操作。
这种类型的服务之所以需要,是因为不同的计算机体系结构使用的数据表示法不同。
例如,IBM 主机使用EBCDIC编码,而大部分PC机使用的是ASCII码。
在这种情况下,便需要会话层来完成这种转换。
其他功能例如数据加密,数据压缩。
会话层:会话层提供的服务可使应用建立和维持会话,并能使会话获得同步。
会话层使用校验点可使通信会话在通信失效时从校验点继续恢复通信,即对信息的交互实现控制。
这种能力对于传送大的文件极为重要.传输层:传输层是两台计算机经过网络进行数据通信时,第一个端到端的层次,具有缓冲作用。
当网络层服务质量不能满足要求时,它将服务加以提高,以满足高层的要求;当网络层服务质量较好时,它只用很少的工作。
传输层还可进行复用,即在一个网络连接上创建多个逻辑连接。
传输层也称为运输层。
传输层只存在于端开放系统中,是介于低3层通信子网系统和高3层之间的一层,但是很重要的一层。
因为它是源端到目的端对数据传送进行控制从低到高的最后一层。
提供端到端的服务,所谓端到端,指的是协议里面标示了一个源端口号和目的端口号,用源端口号和目的端口号可以唯一的而且在全网内标示一个进程。
协议有:UDP/TCP。
网络设备:传输层及传输层以上都用网关进行互联。
网络层:网络层的产生也是网络发展的结果.在联机系统和线路交换的环境中,网络层的功能没有太大意义.当数据终端增多时。
osi七层模型的定义和各层功能
OSI七层模型的定义和各层功能随着网络技术的不断发展,我们的生活已经离不开网络了。
而OSI七层模型是计算机网络体系结构的实质标准,它将计算机网络协议的通信功能分为七层,每一层都有着独特的功能和作用。
下面,我将以此为主题,深入探讨OSI七层模型的定义和各层功能。
1. 第一层:物理层在OSI七层模型中,物理层是最底层的一层,它主要负责传输比特流(Bit Flow)。
物理层的功能包括数据传输方式、电压标准、传输介质等。
如果物理层存在问题,整个网络都无法正常工作。
2. 第二层:数据链路层数据链路层负责对物理层传输的数据进行拆分,然后以帧的形式传输。
它的功能包括数据帧的封装、透明传输、差错检测和纠正等。
数据链路层是网络通信的基础,能够确保数据的可靠传输。
3. 第三层:网络层网络层的主要功能是为数据包选择合适的路由和进行转发。
它负责处理数据包的分组、寻址、路由选择和逻辑传输等。
网络层的存在让不同的网络之间能够互联互通,实现数据的全球传输。
4. 第四层:传输层传输层的功能是在网络中为两个端系统之间的数据传输提供可靠的连接。
它通过TCP、UDP等协议实现数据的可靠传输、分节与重组、流量控制、差错检测和纠正等。
5. 第五层:会话层会话层负责建立、管理和结束会话。
它的功能包括让在网络中的不同应用之间建立会话、同步数据传输和管理数据交换等。
6. 第六层:表示层表示层的作用是把数据转换成能被接收方识别的格式,然后进行数据的加密、压缩和解压缩等。
7. 第七层:应用层应用层是OSI模型中的最顶层,它为用户提供网络服务,包括文件传输、电流信箱、文件共享等。
应用层是用户与网络的接口,用户的各种应用软件通过应用层与网络进行通信。
OSI七层模型是计算机网络体系结构的基本标准,它将通信协议的功能划分为七层以便管理和开发。
每一层都有独特的功能和作用,共同构成了完整的网络通信体系。
只有了解并理解这些层次的功能,我们才能更好地利用网络资源,提高网络效率。
osi7层协议
osi7层协议OSI(Open Systems Interconnection)是电信标准化组织(ITU-T)的一种网络模型,它将网络通信分为七个不同的层次。
本文将详细介绍OSI七层协议模型,并讨论每层的功能和作用。
第一层:物理层(Physical Layer)物理层处理通信传输的物理介质,例如电缆、光纤和无线电波。
它的主要任务是将比特流转化为适合传输的电信号,并管理数据传输所需要的硬件设置。
第二层:数据链路层(Data Link Layer)数据链路层负责将比特流划分为帧,并在物理层的基础上实现了数据传输的错误检测和纠正。
此外,数据链路层还提供了访问共享传输介质的方法和控制数据流的能力。
第三层:网络层(Network Layer)网络层负责将数据报传输到目标网络,其中包括了IP地址的分配和路由选择。
通过IP地址,网络层能够将数据报正确地传输到目标网络,同时也负责解决网络拓扑和网络互连的问题。
第四层:传输层(Transport Layer)传输层提供可靠的端到端数据传输服务,它负责数据的分段、重组和流量控制。
传输层还支持基于端口号的多路复用和分解,实现了多个应用程序之间的数据传输。
第五层:会话层(Session Layer)会话层通过建立、管理和终止会话来控制数据交换的过程,确保数据传输的可靠性。
此外,会话层还处理多个会话之间的同步问题,例如流程控制和会话恢复。
第六层:表示层(Presentation Layer)表示层负责数据的格式转换和编码,以便不同系统之间能够正确地理解数据。
表示层还负责数据的加密和解密,并处理数据的压缩和解压缩。
第七层:应用层(Application Layer)应用层是最高层的协议,并负责处理特定的应用程序需求。
应用层包括了各种协议和服务,例如HTTP、FTP和SMTP。
应用层协议允许用户访问网络资源和与其他应用程序进行通信。
总结起来,OSI模型将网络通信分为了七个不同的层次,每个层次都有着特定的功能和作用。
OSI模型七个层的作用及工作原理
OSI模型七个层的作用及工作原理osi模型,即开放式通信系统互联参考模型,是国际标准化组织(iso)提出的一个试图使各种计算机在世界范围内互联为网络的标准框架。
0SI模型分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,在本文对这七个层的作用及工作原理做简单介绍。
OSI/RM协议是由ISO(国际标准化组织)制订的,它的基本功能是:提供给开发者一个必需的、通用的概念以便开发完善、可以用来解释连接不同系统的框架。
根据标准,0SI模型分七层,见图1,用这些规定来实现网络数据的传输。
应用实体应用冥体1、物理层(Physical Layer)OSI模型的最底层或第一层。
该层包括物理联网媒介,如电缆连线连接器,主要是对物理连接方式、电气特性、机械特性等做一些规定,制订相关标准,这样大家就可以按照相同的标准开发出通用的产品,很明显直流24V与交流220V是无法对接的,因此就要统一标准,大家都用直流24V吧,至于为什么采用24V呢?您就当是争执各方妥协的结果吧。
所以,这层标准解决的是数据传输所应用的设备标准的问题。
物理层的协议产生并检测电压,以便发送和接收携带数据的信号。
尽管物理层不提供纠错服务,但它能够设定数据传输速率并监测数据出错率,网络物理问题,如电线断开,将影响物理层。
用户要传递信息就要利用一些物理媒体,如双绞线、同轴电缆等,但具体的物理媒体并不在0SI 的7层之内,有人把物理媒体当做第0层,物理层的任务就是为它的上一层提供一个物理连接,以及它们的机械、电气、功能和过程特性。
如规定使用电缆和接头的类型、传送信号的电压等。
在这一层,数据还没有被组织,仅作为原始的位流或电气电压处理,请注意,我们所说的通信仅仅指数字通信方式,因此,数据的单位是比特(位-bit)o2、数据链路层(Datalink Layer)OSI模型的第二层。
它控制网络层与物理层之间的通信,解决的是所传输的数据的准确性的问题。
ISO七层模型和ISO五层模型的区别
ISO七层模型和ISO五层模型的区别TCP/IP 分层模型(TCP/IP layering model)也被称为互联网分层模型( Internet Layering Model)或互联网参考模型(Internet Reference Model)ISO七层模型开放式系统互连模型是国际标准组织在1984年开发的全球通用标准,它的目的是创建一个开放性的网络系统环境,让所有的系统能互相操作。
分层的好处:每一层具有特定的网络功能,因此只要软、硬件都遵循模型的标准来设计,就可以保证所有的网络组件都会具有兼容的特性。
1、各层之间是独立的2、恰当的技术实现本层的功能3、灵活性好4、易于实现和维护OSI的七层:第七层应用层(Application Layer) 为应用程序提供网络服务第六层表示层 (Presentation Layer) 数据表示第五层会话层 (Session Layer) 互连主机通讯第四层传输层 (Transport Layer) 端到端连接第三层网络层 (Network Layer) 确定地址和最佳路径第二层数据链路层 (Data Link Layer) 介质访问第一层物理层 (Physical Layer) 二进制的传输ISO/OSI模型规定:数据从想发送到最终发送到网络上,以及计算机从网络上获得数据到显示给用户,必须经过7个步骤,并且经过每一步骤,就要将数据处理成某种固定的形式。
但是,它没有规定使用什么方法、使用什么技术、使用什么设备进行处理。
3、各层作用:1) 物理层(Physical Layer) 定义了电缆连接到网卡的方式,它会将数据链路层送来的数据包转换为电信号,也就是1和0组成的数据位,并且通过传输介质来发送和接收,但是它本身没有错误检测的能力,数据单位是比特(Bit)。
l HUB,中继器和线缆工作在这层2) 数据链路层(Data Link Layer) 数据链路层的主要功能是将由网络层传来的数据包传递到物理层,因为物理层只会进行单纯的信号传递,并没有任何的数据框架的概念,所以数据到了数据链路层后,必须将位数据形成框架,并配合流量和错误的控制,来确保传输时的正确性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
20
IPSec
• IPSec协议包括: – 验证头(AH):可证明数据的起源地、保障 数据的完整性以及防止相同数据包的不断重 播 – 封装安全载荷(ESP):除AH功能外,还可以 保障数据的机密性。
21
IPSec
• IPSec通过传送模式保护上层协议;通过通道模 式保护整个IP数据报
原始的IP包
Workstation
37
特点
• 堡垒主机在网络内部,通过防火墙的过滤 使得这个主机是唯一可从外部到达的主机。 • 实现了应用层和网络层的安全 • 如果路由表遭破坏,堡垒主机可能被越过, 内部网络暴露。
38
被屏蔽子网防火墙结构
Internet
External Router
Ethernet
DOZ
Internal Router
28
静态包过滤和动态包过滤的比较
采用相同的访问控制策略: • 允许受保护的主机与远程服务器建立任何服务 会话:只有当源地址为受保护主机,目的地址 是远程服务器时,才允许SYN=1的包通过。 • 允许任何已经建立的会话信息通过:只要是已 经建立的连接,SYN=1,其他各位为0,则所有 传输允许通过。 • 丢弃其他信息:如果不符合上述规定之一,则 出于安全考虑,丢弃包。
高级计算机网络
北京邮电大学 授课教师: 孙斌 sunbin@
1
今后课程的安排
• 从6月开始,每次3学时,共有6次课。 • 部分内容:
– IP交换与IPv6(包括VLAN内容) – 传输层(包括一些QoS内容) – IP业务层
• • • • DNS等 IP电话 网络安全与VPN 网络管理与网络测试(复习、公布考试题)
32
代理服务技术
Internet 应用服务器 代理服务器 防火墙系统 内部网络 客户机
中继客户机请求 服务器应答 服务器
应用 代理 客户机 部分
应用 代理 服务器 部分
客户机请求 中继服务器应答 客户机
8.4-3 代理服务器防火墙系统原理示意图
33
代理服务技术
• 协议的翻译 • 地址的翻译
– 隐藏网络地址的翻译 – 静态网络地址的翻译 – 端口地址翻译
16
传输层安全
• 在端系统上实现 • 传送安全协议(TLS)在TCP的顶部提供 身份验证、完整性检验及机密性保证。 • 面向连接,未在UDP上实现 • 由于与特定的传送协议有关,所以象密钥 管理这样的服务会每种传送协议重复。
17
网络层安全
• • • • 降低密钥协商的开销 减少需要改动的应用程序数目 能够构建VPN和intranet。 很难实现以用户为基础的安全保障,如数据的 不可抵赖性等。
Ethernet
Data Base
Server
Workstation Workstation
39
特点
• 将堡垒主机、WEB服务器、E-MAIL服务 器放在被屏蔽的子网内,外部、内部都可 以访问。但禁止他们通过评比子网通信 • 如果堡垒主机被控制,内部网络仍然受内 部包过滤路由器保护。 • 运行各种代理程序
14
ISO7498-2映射而得的TCP/IP各层安全 服务与安全协议的对应关系
层 IP层 TCP层
安全协议
鉴别 Y Y Y Y Y Y Y Y Y Y
访问控制
保密性 Y Y Y Y Y Y Y Y Y
完整性 Y Y Y Y Y Y Y Y Y Y
抗否认
IPSEC SSL PEM MOSS S/MIM E PGP SHTTP SNMP SSH
• 静态包过滤的依据: 包的目的地址及目的端口 包的源地址及源端口 包的传送协议
基于TCP的传输:根据TCP报头的标志字来控制传输 基于UDP的传输:根据端口号来控制
27
动态包过滤
• 通过包的属性和维护一份连接表来监视通 信会话的状态而不是简单依靠标志的设置。 • 针对传输层的,所以选择动态包过滤时, 要保证防火墙可以维护用户将要使用的所 有传输的状态,如TCP,UDP,ICMP等。
Kerberos
Y Y Y Y Y
应用层
Y
Y
Y
15
应用层的安全
• 优点
– 由于以用户为背景执行,更容易访问用户凭据 – 对用户数据具有完整访问权,可以提供不可抵赖性 等服务 – 应用可以不依赖操作系统自由扩展 – 应用程序对数据有充分理解,可采用相应安全措施
• 缺点:必须为每个应用单独设计一套安全机制, 必须对现有应用进行改进。 • 典型例子:用PGP在E—mail客户端,保障电子 邮件安全。
34
代理服务的特点
• 优点:
屏蔽内部网络的结构 针对协议实现特定的安全性 可以从底层(2)到高层(7)进行完善的监控、记录、过滤、报 警等,功能强大。
• 缺点:
每种高层应用对应一种代理服务器软件 降低了网络透明度(对内部人员) 对网络性能影响较大 需要专用的服务器
35
防火墙的基本组件有三种,它们分别是:屏蔽路由器,壁垒 主机,应用网关。
2
第七讲 应用层之 网络安全与VPN VPN
3
为什么网络不安全?
网络安全的脆弱性
IP网络是存储转发网,信息停留点多 大部分信息不加密,容易被窃听 广播型网络,网卡可以设置成混合型 (Promiscuous),接收所有数据包 业务种类多,为安全带来隐患 配置复杂,很容易被错误配置,从而给黑客 以可趁之机 缺乏安全策略,许多站点在防火墙配置上无 意识地扩大了访问权限
防火墙系统基本组件 -屏蔽路由器、壁垒主机、应用网关 屏蔽路由器、壁垒主机、 屏蔽路由器
Internet Internet Internet
屏蔽路由器
屏蔽路由器
双穴主机
Intranet Intranet
壁垒 主机
Intranet
36
被屏蔽主机防火墙结构
Internet
Router
Server
Workstation
29
当完成握手过程后:
• 静态包过滤:判断SYN是否为1,如果不为1, 则认为是已经建立的连接中的一部分,通过。 • 动态包过滤:进行同样检查,并在建立连接时 生成状态记录,每次远程服务器试图对受保护 主机进行回复时,都检查状态表,以保证:
– – – – – 受保护主机发出过数据请求 源端口信息与数据请求匹配 目标端口信息与数据请求匹配 检查顺序号和验证号是否匹配 自动更新状态表
40
双网卡主机防火墙结构
Internet
Firewall Laptop IntraNet
IBM RS/6000
IBM AS/400
41
虚拟专用网VPN Virtual Private Network
42
VPN虚拟专用网
• • • VPN种类:拨号IP VPN (VPDN) 和专线IP VPN 种类: 种类 VPN主要特征 主要特征:通过不同种类网络进行透明传输。 主要特征 VPN 的主要应用 – 1.通过Internet实现远程用户访问。VPN支持以安全的方式通过公共互联 网络远程访问企业的资源。 – 2.通过Internet实现企业内部网络互连。可以采用VPDN或专线VPN连接 企业局域网。 – 3.建立企业内部网络(有重要信息的网络)。 3 使用 VPN 的主要优越性 – 1.更低的传输费用 – 2.单一的统一网络结构 – 3.更低的支持费用 – 4.较低的先期投资 – 5.简单的管理 – 6.NSP可以提供高质量的广域网专业服务
图7.6.2-2 VPN工作原理
44
VPN 使用的主要技术
• 隧道技术 • 加密封装 • Authentication (验证)、authorizationand (授权) accounting (记帐)
45
VPN 的组网
• 组建VPN 使用的基本产品是:远程服务集中器和服务 远程服务集中器和服务 路由器、 器、WAN 路由器、安全服务器和 NIC(网络接口卡, (网络接口卡, 即用户端) 即用户端)。 • 客户启动方式的VPN:主要使用具有VPN功能的NIC、安 全服务器和WAN路由器来组建。 • 客户透明方式的VPN: 远程服务集中器和服务器,提 VPN 供远程用户集中访问的服务器,可同时服务多个用户; WAN 路由器,具有WAN网络接口的路由器;安全服务 器,对使用网络的用户进行认证和授权的服务器。
9
安全理论与技术
• • • • • • 密码理论与技术(加密、标记) 认证识别理论与技术(I&A) 授权与访问控制理论与技术 审计追踪技术 网间隔离与访问代理技术 反病毒技术
10
密码技术
对称加密技术:DES 非对称加密技术:RSA 密钥交换 安全散列函数 数字签名 PGP
11
系统安全技术
• 身份认证 • 口令、挑战/应答、Keberos • 访问控制和授权 • 审计
30
ቤተ መጻሕፍቲ ባይዱ
当有人试图攻击受保护主机时:
• 发出“SYN=1,其他位是0”的包扫描,均 被阻塞。 • 发出“ACK=1,FIN=1”的FIN扫描:
– 静态包过滤通过,因为只查看SYN位,不为1 则通过。 – 动态包过滤阻塞,因为查看记录发现没建立 连接,无正当理由发出结束会话信息。
31
包过滤的特点
• 优点: – 实现简单 – 对用户透明,无需改变用户的操作 – 容易获得 • 缺点: – 不能实现基于用户的规则 – 无法(很困难)对文件内容进行过滤 – 需较高专业人才 – 遵循“未经禁止的就允许通过原则”对有些服务不合适
•
43
VPN的工作原理
远程网络
远程LAN路由器
中心网络
NSP网络
专线或FR、 X.25虚电路
中心网络
R
WAN网络
IP隧道