詹姆斯-邦

TCP/IP基础文章

CP/IP的层次不同提供的安全性也不同，例如，在网络层提供虚拟私用网络，在 传输层提供安全套接服务。下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。

　　一、Internet层的安全性

　　对Internet层的安全协议进行标准化的想法早就有了。在过去十年里，已经提出 了一些方案。例如，“安全协议3号(SP3)”就是美国国家安全局以及标准技术协 会作为“安全数据网络系统(SDNS)”的一部分而制定的。“网络层安全协议(NLS P)”是由国际标准化组织为“无连接网络协议(CLNP)”制定的安全协议标准。 “集成化NLSP(I-NLSP)”是美国国家科技研究所提出的包括IP和CLNP在内的统一 安全机制。SwIPe是另一个Intenet层的安全协议，由Ioannidis和Blaze提出并实 现原型。所有这些提案的共同点多于不同点。事实上，他们用的都是IP封装技术。 其本质是，纯文本的包被加密，封装在外层的IP报头里，用来对加密的包进行In ternet上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后 送到收报地点。

　　Internet工程特遣组(IETF)已经特许Internet协议安全协议(IPSEC)工作组对IP安 全协议(IPSP)和对应的Internet密钥管理协议(IKMP)进行标准化工作。IPSP的主 要目的是使需要安全措施的用户能够使用相应的加密安全体制。该体制不仅能在 目前通行的IP(IPv4)下工作，也能在IP的新版本(IPng或IPv6)下工作。该体制应 该是与算法无关的，即使加密算法替换了，也不对其他部分的实现产生影响。此 外，该体制必须能实行多种安全政策，但要避免给不使用该体制的人造成不利影 响。按照这些要求，IPSEC工作组制订了一个规范：认证头(Authentication Hea der，AH)和封装安全有效负荷(Encapsulating Security Payload，ESP)。简言之， AH提供IP包的真实性和完整性，ESP提供机要内容。

　　IP AH指一段消息认证代码(Message Authentication Code，MAC)，在发送IP包之 前，它已经被事先计算好。发送方用一个加密密钥算出AH，接收方用同一或另一 密钥对之进行验证。如果收发双方使用的是单钥体制，那它们就使用同一密钥； 如果收发双方使用的是公钥体制，那它们就使用不同的密钥。在后一种情形，AH 体制能额外地提供不可否认的服务。事实上，有些在传输中可变的域，如IPv4中 的time-to-live域或IPv6中的hop limit域，都是在AH的计算中必须忽略不计的。 RFC 1828首次规定了加封状态下AH的计算和验证中 捎么

詹姆斯-邦

配置 TCP/IP 设置

打开 网络连接。
单击要配置的连接，然后在“网络任务”下，单击“更改该连接的设置”。
执行以下任一操作：
如果连接是局域网连接，则在“常规”选项卡的“该连接使用下列项目”下，单击“网际协议 (TCP/IP)”，然后单击“属性”。
如果是拨号、VPN 或传入连接，请单击“网络”选项卡上。在“该连接使用下列项目”中，单击“网际协议 (TCP/IP)”，然后单击“属性”。
执行以下任一操作：
如果要自动指派 IP 设置，请单击“自动获得 IP 地址”，然后单击“确定”。
如果要指定 IP 地址或 DNS 服务器地址，请执行以下步骤：
单击“使用下面的 IP 地址”，然后在“IP 地址”中键入 IP 地址。
单击“使用下面的 DNS 服务器地址”，在“首选 DNS 服务器”和“备用 DNS 服务器”中，键入首选和备用 DNS 服务器的地址。
要配置 DNS、WINS 和 IP 设置，请单击“高级”。
注意

要打开“网络连接”，请单击“开始”，指向“设置”，然后双击“网络连接”。
在任何可能的情况下都应该使用自动 IP 设置 (DHCP)，原因如下：
默认情况下，会启用 DHCP。
如果您的位置更改了，可以不必修改 IP 设置。
自动 IP 设置用于所有连接，并且不必配置如 DNS、WINS 等的设置

安装简单 TCP/IP 服务

在“控制面板”中打开 添加/删除程序。
单击“添加/删除 Windows 组件”。
在“组件”中，单击“网络服务”，然后单击“详细信息”。
在“网络服务的子组件”中，单击“简单 TCP/IP 服务”，然后单击“确定”。
单击“下一步”。
如果提示，请键入 Windows XP 分发文件的路径，然后单击“确定”。
单击“完成”，然后单击“关闭”。
注意

要打开“添加/删除程序”，请单击“开始”，指向“设置”，单击“控制面板”，然后双击“添加/删除程序”。
必须以管理员或 Administrators 组成员身份登录才能完成该过程。如果计算机与网络连接，则网络策略设置也可以阻止您完成此步骤。
简单 TCP/IP 服务（用于 Windows XP）支持下表中所列的可选 TCP/IP 协议服务。 协议 说明 RFC
字符生成器 (CHARGEN) 发送由一组 95 个可打印 ASCII 字符组成的数据。对测试或解决行式打印机的调试工具很有用。 864
Daytime 返回包括星期几、月、日、年、当前时间（按照 hh:mm:ss 的格式）以及时区信息的消息。一些程序可以使用该服务的输出来调试或监视系统时钟或不同主机上的变化。 867
Discard 丢弃所有在该端口接收到的没有响应或没有确认的消息。可以作为空端口用来在安装和配置网络期间接收和发送 TCP/IP 测试消息，或在某些情况下，可作为消息丢弃功能被程序使用。 863
回声 回应从该服务器端口收到的消息数据。作为网络调试和监视工具很有用。 862
Quote of the Day (QUOTE) 返回消息中的一行或多行文本的引用。配额从如下文件中随机取得：systemroot\System32\Drivers\Etc\Quotes。作为范例的引用文件和简单 TCP/IP 服务一起安装。如果该文件丢失，则引用服务失败。 865

所有这些协议服务可以作为可选的 Internet 标准分类，在指定的 RFC 文档中有定义和描述，该文档在表中列出。有关这些协议服务的详细信息，请参阅 RFC。
除非特别需要该计算机支持与其他使用这些协议服务的系统进行通讯，否则请不要安装简单 TCP/IP 服务。
安装简单 TCP/IP 服务后，就不能单独启用或禁用某个服务。

TCP/IP 概述传输控制协议/网际协议 (TCP/IP) 是最流行的网络协议，也是 Internet 的基础。它的路由功能为企业范围的网络提供了最大的灵活性。In Windows XP TCP/IP 是自动安装的。

在 TCP/IP 网络上，您必须给客户提供 IP 地址。客户可能还需要命名服务或名称解析方法。这部分解释 TCP/IP 网络上的“网络连接”的 IP 寻址和名称解析。同时还描述了 TCP/IP 提供的 FTP 和 Telnet 工具。

将 IP 地址指派给拨号连接和虚拟专用网络 (VPN) 连接
在 Windows TCP/IP 网络上每台连接到远程访问服务器的远程计算机都将由远程访问服务器提供一个 IP 地址。

如果要使用特定的 IP 地址，则必须配置远程访问服务器以允许用户请求特定的地址。

网络和拨号连接的名称解析
除了需要 IP 地址以外，TCP/IP 网络上的网络和拨号连接还可能需要将计算机名映射到 IP 地址的机制。有下面四个名称解析选项可以使用：DNS、WINS、广播名称解析以及 Hosts 和 Lmhost 文件。

在不更改 IP 地址的小型网络中，网络和拨号连接可以将 Hosts 或 Lmhosts 文件用于名称解析。通过在本地驱动器上使用这些文件，您不需要向 WINS 或 DNS 服务器发送名称解析请求并等待响应。

Internet 工具
TCP/IP 提供了文件传输协议 (FTP) 和 Telnet。FTP 是基于字符的实用程序，它允许连接到 FTP 服务器并传送文件。Telnet 是图形应用程序，它允许您登录到远程计算机并发布命令，就象是在该计算机的键盘上操作一样。FTP、Telnet 和其他基于早期 Internet 标准的程序的多个版本也可以从 Internet 或通过购买获得

詹姆斯-邦

太阳

好文章～～幽默和镜子可以来看看

雨田三石

那么点东西，怎么说的那么复杂

詹姆斯-邦

嘿嘿