【文章內(nèi)容簡介】 層次功能明確，相互獨立；層間接口清晰，穿越接口的信息量盡量少；層次適中。雖然模型系統(tǒng)在結構上是分層的，但這并不要求現(xiàn)實系統(tǒng)在工程實現(xiàn)時也采用同樣的層次結構。它們可以由實現(xiàn)者按其選擇的任何方式來構造，只要這種實現(xiàn)的最終性能與模型系統(tǒng)所定義的性能相吻合即可。通常人們將網(wǎng)絡的層次結構、協(xié)議棧和相鄰層間的接口以及服務統(tǒng)稱為網(wǎng)絡體系結構。三 網(wǎng)絡參考模型目前最有代表性的網(wǎng)絡參考模型是OSI參考模型和TCP/IP參考模型，但TCP/IP參考模型更流行。以下簡要介紹這兩種參考模型[5]。（一）OSI參考模型OSI(Open System Interconnection，開放系統(tǒng)互聯(lián)) OSI參考模型分為七層，由低到高依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。OSI參考模型只是規(guī)定了網(wǎng)絡的層次劃分，以及每一層上所實現(xiàn)的功能，但它沒有規(guī)定每一層上所實現(xiàn)的服務和協(xié)議，因此它本身并不是一個網(wǎng)絡體系結構。各層的主要功能如下： OSI參考模型1 應用層是OSI參考模型的最高層，它的作用是為應用進程提供訪問OSI環(huán)境的方法；2 表示層為上層用戶提供數(shù)據(jù)或信息語法的表示轉換；3 會話層是進程進程層，進程間的通信也稱為會話，會話層組織和管理不同主機上各進程間的對話；4 傳輸層是第一個端端層，也稱為主機主機層，它為上層用戶提供不依賴具體網(wǎng)絡的高效、經(jīng)濟、透明的端端數(shù)據(jù)傳輸服務（所謂端端是描述網(wǎng)絡傳輸中對等實體之間關系的一個概念。在端端系統(tǒng)中，初始信源機上某實體與最終信宿機的對等實體直接通信，彼此之間就像有一條直接線路，而不管傳輸過程中要經(jīng)過多少接口報文處理機（IMP）。與端端對應的另一個概念是點點。在點點系統(tǒng)中，對等實體間的通信由一段一段的直接相連的機器間的通信組成）；5 網(wǎng)絡層的作用是將數(shù)據(jù)分成一定長度的分組，將分組穿過通信子網(wǎng)從信源送到信宿；6 數(shù)據(jù)鏈路層的作用就是通過一定的手段，將有差錯的物理鏈路轉化成對網(wǎng)絡層來說是沒有傳輸錯誤的數(shù)據(jù)鏈路；7 物理層的作用是在物理媒介上傳輸原始的數(shù)據(jù)比特流，這一層的設計同具體的物理媒介有關，如用什么信號表示“1”，用什么信號表示“0”，信號電平多少，收發(fā)雙方如何同步。由以上幾點可知，只有最低三層涉及通過通信子網(wǎng)的數(shù)據(jù)傳輸，高三層是端到端的層次，因而通信子網(wǎng)只包括第三層的功能。從實際的觀點出發(fā)，OSI分層可以按照以下幾點來考慮：1 依賴于應用的協(xié)議；2與特定媒體相關的協(xié)議；3 在1與2之間的橋接功能。（二）TCP/IP參考模型TCP/IP參考模型沒有明確區(qū)分開服務、接口和協(xié)議這三個概念，并且它是專門用來描述TCP/IP協(xié)議棧的，無法用來描述其它非TCP/IP網(wǎng)絡。因此，盡管TCP/IP模型在工業(yè)上得到了廣泛的應用，但人們在討論網(wǎng)絡時常常使用OSI參考模型，因為它更具有一般性。TCP/IP草靠模型分為四層，它們是應用層、傳輸層、網(wǎng)絡互聯(lián)層和網(wǎng)絡接口層。各層功能如下： TCP/IP參考模型1 應用層將OSI的高層應用層、表示層和會話層的功能結合了起來，常見的協(xié)議有文件傳輸協(xié)(FTP)、遠程終端協(xié)議(TELNET)、簡單電子郵件傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)、簡單網(wǎng)絡管理協(xié)議(SNMP)、訪問WWW站點的HTTP等；2 傳輸層在功能上等價于OSI的傳輸層。在這一層上主要定義了兩個傳輸協(xié)議，一個是可靠的面向連接的協(xié)議，稱為傳輸控制協(xié)議(TCP)，另一個是不可靠的無連接協(xié)議，稱為用戶數(shù)據(jù)報協(xié)議(UDP)；3 網(wǎng)絡互聯(lián)層在功能上等價與OSI網(wǎng)絡層中與子網(wǎng)無關的部分。網(wǎng)絡互聯(lián)層是TCP/IP參考模型的核心，這一層上的協(xié)議稱為IP。TCP和IP是非常重要的兩個協(xié)議，以至于TCP/IP參考模型和TCP/IP協(xié)議族就以這兩個的名稱來命名；4網(wǎng)絡接口層在功能上等價于OSI的子網(wǎng)絡技術功能層。它包括OSI模型中的網(wǎng)絡層中與子網(wǎng)有關的下部子層、數(shù)據(jù)鏈路層和物理層。負責將IP分組封裝成適合在物理網(wǎng)絡上傳輸?shù)膸袷讲鬏?，或將從物理網(wǎng)絡接收到的幀解封，取出IP分組交給網(wǎng)絡互聯(lián)層。第二節(jié) 網(wǎng)絡安全模型消息將通過某種類型的互聯(lián)網(wǎng)從一方傳輸?shù)搅硪环?。這兩方都是事務的主體，必須合作以便進行消息交換?？梢酝ㄟ^在互聯(lián)網(wǎng)上定義一條從信息源到信息目的地之間的路由以及兩個信息主體之間使用的某種通信協(xié)議(例如，TCP/IP)，來建立一條邏輯信息通道。[6]：當需要或者希望防范可能對信息機密性、真實性等產(chǎn)生威脅的攻擊者的時候，安全方面的因素便會起作用。所有用于提供安全性的技術都包含以下兩個主要部分：第一 對待發(fā)送信息進行與安全相關的轉換。其示例包括：消息加密，使得對于攻擊者而言該消息不可讀；建立在消息內(nèi)容上面的附加碼，它可以用來驗證發(fā)送者的身份。第二 兩個主體共享一些不希望被攻擊者所知的秘密信息。其示例包括與消息變化一起使用的加密密鑰，它在傳輸之前用于打亂消息而在接收之后用于恢復消息。 網(wǎng)絡安全模型為了達到安全傳輸可能需要可信的第三方。例如，第三方可能需要負責分發(fā)秘密信息給兩個主體，同時對攻擊者隱藏這些信息。通用模型表明設計特定的安全服務時有四個基本的任務：第一 設計用來執(zhí)行與安全相關的轉換的算法，這種算法應該是不會被攻擊者擊破的。第二 生成用于該算法的秘密信息。第三 開發(fā)分發(fā)和共享秘密信息的方法。第四 指定一種能被兩個主體使用的協(xié)議，這種協(xié)議使用安全算法和秘密信息以便獲得特定的安全服務。另一種有害訪問是利用計算機系統(tǒng)邏輯上的弱點，這不僅能夠影響應用程序，而且還能夠影響實用程序，例如編輯器和編譯器。程序存在兩種形式的威脅：第一，信息訪問威脅：本不該訪問某些數(shù)據(jù)用戶截取或修改數(shù)據(jù)。第二，服務威脅：利用計算機的服務缺陷阻止合法用戶的使用。病毒和蠕蟲是軟件攻擊的兩個具體示例。由于磁盤的有用軟件可能隱藏著有害邏輯，因此可以通過這些磁盤小系統(tǒng)引入這種攻擊。他們同樣可以通過網(wǎng)絡進入到系統(tǒng)中；后一種機制在網(wǎng)絡安全中更受關注。解決有害訪問的安全機制主要有兩大范疇。第一類范疇是看門人功能。它包含基于口令的登錄過程，它們設計成拒絕除授權用戶外的所有訪問，另一類安全機制是屏蔽邏輯，它們設計用來檢測和拒絕蠕蟲、病毒以及其他類似的攻擊。一旦任意一個有害的用戶或者有害的軟件獲得訪問權，第二道防線包含各種檢測活動的內(nèi)部控制，能夠檢視和分析存儲的信息，以此來檢測有害入侵者的存在。 網(wǎng)絡訪問安全模型第三節(jié) 局域網(wǎng)安全防范措施一 防火墻系統(tǒng)（一）防火墻概述防火墻是一種用來增強內(nèi)部網(wǎng)絡安全性的系統(tǒng)，它將網(wǎng)絡隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計算機構成，它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進行分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權的訪問進出內(nèi)部計算機網(wǎng)，從而達到保護內(nèi)部網(wǎng)資源和信息的目的。防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、