123,123,123

您當前所在位置：首頁 → 系統(tǒng)集成 → 網(wǎng)絡管理 → 有關TCP/IP設置和注意事項

有關TCP/IP設置和注意事項 時間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評論(0)

?? TCP/IP的層次不同提供的安全性也不同，例如，在網(wǎng)絡層提供虛擬私用網(wǎng)絡，在傳輸層提供安全套接服務。下面將分別介紹TCP/IP不同層次的安全性和提高各層安全性的方法。

?? TCP/IP 的名稱大解剖　　

?? 名稱解析是為用戶提供易于記憶的服務器名稱的過程，這樣用戶就無需記憶那些在 TCP/IP 網(wǎng)絡上用于標識服務器的數(shù)字 IP 地址了。名稱解析服務有 DNS 和 WINS。

?? 域名系統(tǒng) (DNS)

?? DNS 是一個用于在 Internet 和專用 TCP/IP 網(wǎng)絡上定位計算機的分層命名系統(tǒng)。通常需要安裝一個或多個 DNS 服務器。Internet 電子郵件、Web 瀏覽和 Active Directory 都需要 DNS。某些帶有運行 Windows 2000 客戶端的域也需要 DNS。當創(chuàng)建域控制器（或將某個服務器提升為域控制器）時，會自動安裝 DNS，但當 Windows 2000 軟件檢測到域內已有 DNS 服務器時例外。（或者，也可以明確地將 DNS 作為安裝過程中或安裝之后要安裝的組件。）

?? 如果在服務器上安裝 DNS，將需要為該服務器指定一個靜態(tài) IP 地址。此外，還需要配置 DNS 客戶端，以便它們能夠識別這個 IP 地址。有關分配靜態(tài) IP 地址的信息，請參閱指定靜態(tài)本地 IP 地址及 DNS 和 WINS 所需的設置。有關配置 DNS 的信息，請參閱 DNS。

?? Windows Internet 名稱服務 (WINS)

?? 如果要支持運行 Windows NT 或任何早期 Microsoft 操作系統(tǒng)的客戶端，則需要在域內的一個或幾個服務器上安裝 Windows Internet 名稱服務 (WINS)。WINS 是一個可選的軟件組件，出現(xiàn)在組件列表的網(wǎng)絡服務下面。（有關安裝 WINS 組件的信息，請參閱選擇要安裝的組件。）如果在服務器上安裝 WINS，則需要為該服務器指定一個靜態(tài) IP 地址。此外還需要配置 WINS 客戶端，以便使它們識別這個 IP 地址。

?? 有關分配靜態(tài) IP 地址的信息，請參閱指定靜態(tài)本地 IP 地址及 DNS 和 WINS 所需的設置。有關配置 WINS 的信息，請參閱 WINS。

?? DNS 查詢的工作原理　　

?? 當 DNS 客戶機需要查詢程序中使用的名稱時，它會查詢 DNS 服務器來解析該名稱?？蛻魴C發(fā)送的每條查詢消息都包括三條信息，以指定服務器應回答的問題：

?? TCP/IP的安全性

?? Internet層的安全性　　

?? 對Internet層的安全協(xié)議進行標準化的想法早就有了。在過去十年里，已經提出了一些方案。例如，"安全協(xié)議3號(SP3)"就是美國國家安全局以及標準技術協(xié)會作為"安全數(shù)據(jù)網(wǎng)絡系統(tǒng)(SDNS)"的一部分而制定的。"網(wǎng)絡層安全協(xié)議(NLSP)"是由國際標準化組織為"無連接網(wǎng)絡協(xié)議(CLNP)"制定的安全協(xié)議標準。"集成化NLSP(I-NLSP)"是美國國家科技研究所提出的包括IP和CLNP在內的統(tǒng)一安全機制。SwIPe是另一個Intenet層的安全協(xié)議，由Ioannidis和Blaze提出并實現(xiàn)原型。所有這些提案的共同點多于不同點。事實上，他們用的都是IP封裝技術。其本質是，純文本的包被加密，封裝在外層的IP報頭里，用來對加密的包進行Internet上的路由選擇。到達另一端時，外層的IP報頭被拆開，報文被解密，然后送到收報地點。

?? Internet工程特遣組(IETF)已經特許Internet協(xié)議安全協(xié)議(IPSEC)工作組對IP安全協(xié)議(IPSP)和對應的Internet密鑰管理協(xié)議(IKMP)進行標準化工作。IPSP的主要目的是使需要安全措施的用戶能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工作，也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無關的，即使加密算法替換了，也不對其他部分的實現(xiàn)產生影響。此外，該體制必須能實行多種安全政策，但要避免給不使用該體制的人造成不利影響。按照這些要求，IPSEC工作組制訂了一個規(guī)范：認證頭(Authentication Header，AH)和封裝安全有效負荷(Encapsulating Security Payload，ESP)。簡言之，AH提供IP包的真實性和完整性，ESP提供機要內容。

?? IP AH指一段消息認證代碼(Message Authentication Code，MAC)，在發(fā)送IP包之前，它已經被事先計算好。發(fā)送方用一個加密密鑰算出AH，接收方用同一或另一密鑰對之進行驗證。如果收發(fā)雙方使用的是單鑰體制，那它們就使用同一密鑰；如果收發(fā)雙方使用的是公鑰體制，那它們就使用不同的密鑰。在后一種情形，AH體制能額外地提供不可否認的服務。事實上，有些在傳輸中可變的域，如IPv4中的time-to-live域或IPv6中的hop limit域，都是在AH的計算中必須忽略不計的。RFC 1828首次規(guī)定了加封狀態(tài)下AH的計算和驗證中要采用帶密鑰的MD5算法。而與此同時，MD5和加封狀態(tài)都被批評為加密強度太弱，并有替換的方案提出。

?? IP ESP的基本想法是整個IP包進行封裝，或者只對ESP內上層協(xié)議的數(shù)據(jù)(運輸狀態(tài))進行封裝，并對ESP的絕大部分數(shù)據(jù)進行加密。在管道狀態(tài)下，為當前已加密的ESP附加了一個新的IP頭(純文本)，它可以用來對IP包在Internet上作路由選擇。接收方把這個IP頭取掉，再對ESP進行解密，處理并取掉ESP頭，再對原來的IP包或更高層協(xié)議的數(shù)據(jù)就象普通的IP包那樣進行處理。RFC 1827中對ESP的格式作了規(guī)定，RFC 1829中規(guī)定了在密碼塊鏈接(CBC)狀態(tài)下ESP加密和解密要使用數(shù)據(jù)加密標準(DES)。雖然其他算法和狀態(tài)也是可以使用的，但一些國家對此類產品的進出口控制也是不能不考慮的因素。有些國家甚至連私用加密都要限制。

?? 配置 TCP/IP 設置

?? 打開網(wǎng)絡連接。

?? 單擊要配置的連接，然后在"網(wǎng)絡任務"下，單擊"更改該連接的設置"。

?? 執(zhí)行以下任一操作：

?? 如果連接是局域網(wǎng)連接，則在"常規(guī)"選項卡的"該連接使用下列項目"下，單擊"網(wǎng)際協(xié)議 (TCP/IP)"，然后單擊"屬性"。

?? 如果是撥號、VPN 或傳入連接，請單擊"網(wǎng)絡"選項卡上。在"該連接使用下列項目"中，單擊"網(wǎng)際協(xié)議 (TCP/IP)"，然后單擊"屬性"。

?? 執(zhí)行以下任一操作：

?? 如果要自動指派 IP 設置，請單擊"自動獲得 IP 地址"，然后單擊"確定"。

?? 如果要指定 IP 地址或 DNS 服務器地址，請執(zhí)行以下步驟：

?? 單擊"使用下面的 IP 地址"，然后在"IP 地址"中鍵入 IP 地址。

?? 單擊"使用下面的 DNS 服務器地址"，在"首選 DNS 服務器"和"備用 DNS 服務器"中，鍵入首選和備用 DNS 服務器的地址。

?? 要配置 DNS、WINS 和 IP 設置，請單擊"高級"。

?? 注意　　

?? 要打開"網(wǎng)絡連接"，請單擊"開始"，指向"設置"，然后雙擊"網(wǎng)絡連接"。

?? 在任何可能的情況下都應該使用自動 IP 設置 (DHCP)，原因如下：

?? 默認情況下，會啟用 DHCP。

?? 如果您的位置更改了，可以不必修改 IP 設置。

?? 自動 IP 設置用于所有連接，并且不必配置如 DNS、WINS 等的設置

?? 安裝簡單 TCP/IP 服務

?? 在"控制面板"中打開添加/刪除程序。

?? 單擊"添加/刪除 Windows 組件"。

?? 在"組件"中，單擊"網(wǎng)絡服務"，然后單擊"詳細信息"。

?? 在"網(wǎng)絡服務的子組件"中，單擊"簡單 TCP/IP 服務"，然后單擊"確定"。

?? 單擊"下一步"。

?? 如果提示，請鍵入 Windows XP 分發(fā)文件的路徑，然后單擊"確定"。

?? 單擊"完成"，然后單擊"關閉"。

?? 注意

?? 要打開"添加/刪除程序"，請單擊"開始"，指向"設置"，單擊"控制面板"，然后雙擊"添加/刪除程序"。

?? 必須以管理員或 Administrators 組成員身份登錄才能完成該過程。如果計算機與網(wǎng)絡連接，則網(wǎng)絡策略設置也可以阻止您完成此步驟。

?? 簡單 TCP/IP 服務（用于 Windows XP）支持下表中所列的可選 TCP/IP 協(xié)議服務。協(xié)議說明 RFC

?? 字符生成器 (CHARGEN) 發(fā)送由一組 95 個可打印 ASCII 字符組成的數(shù)據(jù)。對測試或解決行式打印機的調試工具很有用。 864

?? Daytime 返回包括星期幾、月、日、年、當前時間（按照 hh:mm:ss 的格式）以及時區(qū)信息的消息。一些程序可以使用該服務的輸出來調試或監(jiān)視系統(tǒng)時鐘或不同主機上的變化。 867

?? Discard 丟棄所有在該端口接收到的沒有響應或沒有確認的消息。可以作為空端口用來在安裝和配置網(wǎng)絡期間接收和發(fā)送 TCP/IP 測試消息，或在某些情況下，可作為消息丟棄功能被程序使用。 863

?? 回聲回應從該服務器端口收到的消息數(shù)據(jù)。作為網(wǎng)絡調試和監(jiān)視工具很有用。 862

?? Quote of the Day (QUOTE) 返回消息中的一行或多行文本的引用。配額從如下文件中隨機取得：systemroot\System

關鍵詞標簽：TCP/IP

相關閱讀

文章評論

查看所有0條評論>>