网络安全教程 教学课件 田园 第1章 绪论.pptVIP

第1章 绪论 ;1.1 网络安全概论 ; 本书第Ⅲ部分以网络安全协议为核心内容。 第Ⅳ部分是前面几部分内容的综合应用和提升，包括网络安全协议的分析与验证技术和更高级的网络安全应用。 ;1.2 因特网及TCP/IP ;1.2.1 IP ;图1-1 网络互连; 在因特网上，所有数据以统一的形式，即IP分组，从一台计算机传输到另一台计算机。 每个IP分组明确标识出其源计算机和目标计算机。 路由器（实际上是一种专用计算机）用来连接多个网络，对IP分组起着“中转”作用，即对从邻接网络来的每个IP分组，路由器能按照该IP分组所标识的目标计算机找到正确的路径，将该IP分组“中转”到该路径的“下一站”。; 即使连接源计算机和目标计算机的路径发生变化，甚至原来的路径因某段链路发生故障而失效，路由器仍然有能力自动“发现”一条新的路径，将IP分组送达目的地。 因此，路由器是因特网的一个重要组成部分。 ; IP有以下几个最显著的特点，它们也是IP的主要设计原则。 ◇ 非可靠的分组传输（unreliable delivery） ◇ 分组交换（packet switch） ◇ 尽力而为式服务（best-effort delivery） IP最基本的功能是将每个IP分组传输到目标计算机，无论源计算机和目标计算机在网络上处于何种位置。 ; IP的第2个特点，即分组交换，指IP在实际发送、接收，特别是中转IP分组时，将每个IP分组单独作为一个独立单元进行处理。 IP的第3个特点，即尽力而为式服务，指IP在实现分组的传输功能时，并不保证该分组一定可靠、无误地到达对方（即使到达，也不保证内容完整、顺序正确）。 ; 在实际数据传输时，IP分组总是由特定的数据链路帧所承载，一段链路一段链路地在因特网上传输。 ;IP分组的格式如图1-4所示。 ; IP分组在传输过程中如何跨越MTU值不同的链路？ IP解决这一问题的方式简洁明了：在IP分组从大MTU的链路向小MTU的链路传输前，对IP分组进行切割，使切割出的每个新IP分组的大小与小MTU匹配，同时在每个新IP分组的首部加入必要的信息，使得最终能重新组成原来的IP分组。 用来存储这些切割—重组信息的首部域，就是前面详细解释的分组标识号域（16位）、分段标志域（3位）和分段位置域（13位，以8字节为单位）。; 因为IP是分组交换机制，因此每个切割出的分组都被独立地传输，而且在后续的传输过程中还可能被继续切割。 IP分组切割的最后一条规则是，IP分组的重构过程永远只在目标计算机上发生。 关于IP的最后一个要点是：要使网络互连能真正工作，仅有IP是不够的，还需要一些辅助性协议，其中最重要的就是地址解析协议（ARP）和因特网控制消息协议（ICMP），前者用于自动将IP地址翻译为MAC地址，后者用来探测和报告网络中的各种状态，特别是故障状态。事实上，这两个协议是IP协议簇不可或缺的组成部分，IP协议簇实际上是IP+ICMP+ARP+各种路由协议。;1.2.2 TCP ; TCP的信息传输单元通常称为段（Segment），它由段首部和负载组成，其中段首部的各个域含义如下（见图1-6）。; TCP是一个面向连接的协议，因此使用TCP来进行通信需要有连接建立和连接终止的过程。 1．建立连接 TCP的连接建立是一个三次握手过程，即需要经过三步TCP段的交换（见图1-7）。;2．关闭连接 TCP的连接关闭一般要经过四步的TCP段交换，可以由客户机或服务器中的任意一方首先发起。;3．连接状态及状态迁移 TCP对连接建立和连接终止这两??过程的管理通过一个有限状态自动机（FSM）来实现。在这个FSM中，一共有11个状态。; 图1-9所示为TCP在这11个状态之间进行转换的条件和所发生的动作。 ;1.3 客户机/服务器系统和对等系统