IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 有關(guān)TCP/IP設(shè)置和注意事項

有關(guān)TCP/IP設(shè)置和注意事項

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

?? TCP/IP的層次不同提供的安全性也不同,例如,在網(wǎng)絡(luò)層提供虛擬私用網(wǎng)絡(luò),在 傳輸層提供安全套接服務(wù)。下面將分別介紹TCP/IP不同層次的安全性和提高各層安全性的方法。

?? TCP/IP 的名稱大解剖  

?? 名稱解析是為用戶提供易于記憶的服務(wù)器名稱的過程,這樣用戶就無需記憶那些在 TCP/IP 網(wǎng)絡(luò)上用于標識服務(wù)器的數(shù)字 IP 地址了。名稱解析服務(wù)有 DNS 和 WINS。

?? 域名系統(tǒng) (DNS)

?? DNS 是一個用于在 Internet 和專用 TCP/IP 網(wǎng)絡(luò)上定位計算機的分層命名系統(tǒng)。通常需要安裝一個或多個 DNS 服務(wù)器。Internet 電子郵件、Web 瀏覽和 Active Directory 都需要 DNS。某些帶有運行 Windows 2000 客戶端的域也需要 DNS。當創(chuàng)建域控制器(或?qū)⒛硞€服務(wù)器提升為域控制器)時,會自動安裝 DNS,但當 Windows 2000 軟件檢測到域內(nèi)已有 DNS 服務(wù)器時例外。(或者,也可以明確地將 DNS 作為安裝過程中或安裝之后要安裝的組件。)

?? 如果在服務(wù)器上安裝 DNS,將需要為該服務(wù)器指定一個靜態(tài) IP 地址。此外,還需要配置 DNS 客戶端,以便它們能夠識別這個 IP 地址。有關(guān)分配靜態(tài) IP 地址的信息,請參閱指定靜態(tài)本地 IP 地址及 DNS 和 WINS 所需的設(shè)置。有關(guān)配置 DNS 的信息,請參閱 DNS。

?? Windows Internet 名稱服務(wù) (WINS)

?? 如果要支持運行 Windows NT 或任何早期 Microsoft 操作系統(tǒng)的客戶端,則需要在域內(nèi)的一個或幾個服務(wù)器上安裝 Windows Internet 名稱服務(wù) (WINS)。WINS 是一個可選的軟件組件,出現(xiàn)在組件列表的網(wǎng)絡(luò)服務(wù)下面。(有關(guān)安裝 WINS 組件的信息,請參閱選擇要安裝的組件。)如果在服務(wù)器上安裝 WINS,則需要為該服務(wù)器指定一個靜態(tài) IP 地址。此外還需要配置 WINS 客戶端,以便使它們識別這個 IP 地址。

?? 有關(guān)分配靜態(tài) IP 地址的信息,請參閱指定靜態(tài)本地 IP 地址及 DNS 和 WINS 所需的設(shè)置。有關(guān)配置 WINS 的信息,請參閱 WINS。

?? DNS 查詢的工作原理  

?? 當 DNS 客戶機需要查詢程序中使用的名稱時,它會查詢 DNS 服務(wù)器來解析該名稱??蛻魴C發(fā)送的每條查詢消息都包括三條信息,以指定服務(wù)器應(yīng)回答的問題:

?

?? TCP/IP的安全性

?? TCP/IP的層次不同提供的安全性也不同,例如,在網(wǎng)絡(luò)層提供虛擬私用網(wǎng)絡(luò),在傳輸層提供安全套接服務(wù)。下面將分別介紹TCP/IP不同層次的安全性和提高各層安全性的方法。

?? Internet層的安全性  

?? 對Internet層的安全協(xié)議進行標準化的想法早就有了。在過去十年里,已經(jīng)提出了一些方案。例如,"安全協(xié)議3號(SP3)"就是美國國家安全局以及標準技術(shù)協(xié)會作為"安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)(SDNS)"的一部分而制定的。"網(wǎng)絡(luò)層安全協(xié)議(NLSP)"是由國際標準化組織為"無連接網(wǎng)絡(luò)協(xié)議(CLNP)"制定的安全協(xié)議標準。"集成化NLSP(I-NLSP)"是美國國家科技研究所提出的包括IP和CLNP在內(nèi)的統(tǒng)一安全機制。SwIPe是另一個Intenet層的安全協(xié)議,由Ioannidis和Blaze提出并實現(xiàn)原型。所有這些提案的共同點多于不同點。事實上,他們用的都是IP封裝技術(shù)。其本質(zhì)是,純文本的包被加密,封裝在外層的IP報頭里,用來對加密的包進行Internet上的路由選擇。到達另一端時,外層的IP報頭被拆開,報文被解密,然后送到收報地點。

?? Internet工程特遣組(IETF)已經(jīng)特許Internet協(xié)議安全協(xié)議(IPSEC)工作組對IP安全協(xié)議(IPSP)和對應(yīng)的Internet密鑰管理協(xié)議(IKMP)進行標準化工作。IPSP的主要目的是使需要安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工作,也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無關(guān)的,即使加密算法替換了,也不對其他部分的實現(xiàn)產(chǎn)生影響。此外,該體制必須能實行多種安全政策,但要避免給不使用該體制的人造成不利影響。按照這些要求,IPSEC工作組制訂了一個規(guī)范:認證頭(Authentication Header,AH)和封裝安全有效負荷(Encapsulating Security Payload,ESP)。簡言之,AH提供IP包的真實性和完整性,ESP提供機要內(nèi)容。

?? IP AH指一段消息認證代碼(Message Authentication Code,MAC),在發(fā)送IP包之前,它已經(jīng)被事先計算好。發(fā)送方用一個加密密鑰算出AH,接收方用同一或另一密鑰對之進行驗證。如果收發(fā)雙方使用的是單鑰體制,那它們就使用同一密鑰;如果收發(fā)雙方使用的是公鑰體制,那它們就使用不同的密鑰。在后一種情形,AH體制能額外地提供不可否認的服務(wù)。事實上,有些在傳輸中可變的域,如IPv4中的time-to-live域或IPv6中的hop limit域,都是在AH的計算中必須忽略不計的。RFC 1828首次規(guī)定了加封狀態(tài)下AH的計算和驗證中要采用帶密鑰的MD5算法。而與此同時,MD5和加封狀態(tài)都被批評為加密強度太弱,并有替換的方案提出。

?? IP ESP的基本想法是整個IP包進行封裝,或者只對ESP內(nèi)上層協(xié)議的數(shù)據(jù)(運輸狀態(tài))進行封裝,并對ESP的絕大部分數(shù)據(jù)進行加密。在管道狀態(tài)下,為當前已加密的ESP附加了一個新的IP頭(純文本),它可以用來對IP包在Internet上作路由選擇。接收方把這個IP頭取掉,再對ESP進行解密,處理并取掉ESP頭,再對原來的IP包或更高層協(xié)議的數(shù)據(jù)就象普通的IP包那樣進行處理。RFC 1827中對ESP的格式作了規(guī)定,RFC 1829中規(guī)定了在密碼塊鏈接(CBC)狀態(tài)下ESP加密和解密要使用數(shù)據(jù)加密標準(DES)。雖然其他算法和狀態(tài)也是可以使用的,但一些國家對此類產(chǎn)品的進出口控制也是不能不考慮的因素。有些國家甚至連私用加密都要限制。

?

?? 配置 TCP/IP 設(shè)置

?? 打開 網(wǎng)絡(luò)連接。

?? 單擊要配置的連接,然后在"網(wǎng)絡(luò)任務(wù)"下,單擊"更改該連接的設(shè)置"。

?? 執(zhí)行以下任一操作:

?? 如果連接是局域網(wǎng)連接,則在"常規(guī)"選項卡的"該連接使用下列項目"下,單擊"網(wǎng)際協(xié)議 (TCP/IP)",然后單擊"屬性"。

?? 如果是撥號、VPN 或傳入連接,請單擊"網(wǎng)絡(luò)"選項卡上。在"該連接使用下列項目"中,單擊"網(wǎng)際協(xié)議 (TCP/IP)",然后單擊"屬性"。

?? 執(zhí)行以下任一操作:

?? 如果要自動指派 IP 設(shè)置,請單擊"自動獲得 IP 地址",然后單擊"確定"。

?? 如果要指定 IP 地址或 DNS 服務(wù)器地址,請執(zhí)行以下步驟:

?? 單擊"使用下面的 IP 地址",然后在"IP 地址"中鍵入 IP 地址。

?? 單擊"使用下面的 DNS 服務(wù)器地址",在"首選 DNS 服務(wù)器"和"備用 DNS 服務(wù)器"中,鍵入首選和備用 DNS 服務(wù)器的地址。

?? 要配置 DNS、WINS 和 IP 設(shè)置,請單擊"高級"。

?? 注意  

?? 要打開"網(wǎng)絡(luò)連接",請單擊"開始",指向"設(shè)置",然后雙擊"網(wǎng)絡(luò)連接"。

?? 在任何可能的情況下都應(yīng)該使用自動 IP 設(shè)置 (DHCP),原因如下:

?? 默認情況下,會啟用 DHCP。

?? 如果您的位置更改了,可以不必修改 IP 設(shè)置。

?? 自動 IP 設(shè)置用于所有連接,并且不必配置如 DNS、WINS 等的設(shè)置

?? 安裝簡單 TCP/IP 服務(wù)

?? 在"控制面板"中打開 添加/刪除程序。

?? 單擊"添加/刪除 Windows 組件"。

?? 在"組件"中,單擊"網(wǎng)絡(luò)服務(wù)",然后單擊"詳細信息"。

?

?? 在"網(wǎng)絡(luò)服務(wù)的子組件"中,單擊"簡單 TCP/IP 服務(wù)",然后單擊"確定"。

?? 單擊"下一步"。

?? 如果提示,請鍵入 Windows XP 分發(fā)文件的路徑,然后單擊"確定"。

?? 單擊"完成",然后單擊"關(guān)閉"。

?? 注意

?? 要打開"添加/刪除程序",請單擊"開始",指向"設(shè)置",單擊"控制面板",然后雙擊"添加/刪除程序"。

?? 必須以管理員或 Administrators 組成員身份登錄才能完成該過程。如果計算機與網(wǎng)絡(luò)連接,則網(wǎng)絡(luò)策略設(shè)置也可以阻止您完成此步驟。

?? 簡單 TCP/IP 服務(wù)(用于 Windows XP)支持下表中所列的可選 TCP/IP 協(xié)議服務(wù)。 協(xié)議 說明 RFC

?? 字符生成器 (CHARGEN) 發(fā)送由一組 95 個可打印 ASCII 字符組成的數(shù)據(jù)。對測試或解決行式打印機的調(diào)試工具很有用。 864

?? Daytime 返回包括星期幾、月、日、年、當前時間(按照 hh:mm:ss 的格式)以及時區(qū)信息的消息。一些程序可以使用該服務(wù)的輸出來調(diào)試或監(jiān)視系統(tǒng)時鐘或不同主機上的變化。 867

?? Discard 丟棄所有在該端口接收到的沒有響應(yīng)或沒有確認的消息??梢宰鳛榭斩丝谟脕碓诎惭b和配置網(wǎng)絡(luò)期間接收和發(fā)送 TCP/IP 測試消息,或在某些情況下,可作為消息丟棄功能被程序使用。 863

?? 回聲 回應(yīng)從該服務(wù)器端口收到的消息數(shù)據(jù)。作為網(wǎng)絡(luò)調(diào)試和監(jiān)視工具很有用。 862

?? Quote of the Day (QUOTE) 返回消息中的一行或多行文本的引用。配額從如下文件中隨機取得:systemroot\System

關(guān)鍵詞標簽:TCP/IP

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程 ADSL雙線負載均衡設(shè)置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量