B主机 7 6 5
H5 H6 H6 H6 H6 H6 数据
5 4
H4 H5 H5 H5 H5 数据
4 3
H3 H4 H4 H4 数据
3 2
H2 H3 H3 数据 数据 T2
2 1
H2 T2
1
2.2.2 OSI模型的安全服务
• 1．认证 2．访问控制 3．数据机密性 4．数据完整性 5．抗否认
2.2.3 OSI模型的安全机制
N+1 层 N/N+1 层接口 N层 N-1/N 层接口 N-1 层
2.1.2 服务、接口和协议
在某层上进行通信所使用的规则、标准或约定的 集合就称为协议(Protocol)。各层协议按层次 顺序排列而成的协议序列称为协议栈。协议主 要由下列三个要素组成： (1)语义(Semantics)。涉及用于协调与差错处理 的控制信息。 (2) 语法 (Syntax) 。涉及数据及控制信息的格式、 编码及信号电平等。 (3)定时(Timing)。涉及速度匹配和排序等。
不同系统中的对等实体是没有直接通信能 力的，它们间的通信必须通过其下各层 的通信间接完成。第N层实体向第N+1层 实体提供的在第N层上的通信能力称为第 N层的服务。 在接口处规定了下层向上层提供的服务， 以及上下层实体请求或提供服务所使用 的形式规范语句（服务原语）。
2.2 OSI模型及其安全体系
• • • • • • • • 1．加密机制 2．数字签名机制 3．访问控制机制 4．数据完整性机制 5．鉴别交换机制 6．通信流量填充机制 7．路由选择控制机制 8．公证机制
2.3 TCP/IP模型及其安全体系
1．TCP/IP参考模型的层次结构
TCP/IP 协议族 Telnet TCP FTP SMP T DNS UDP 其它 OSI 层次 5~7 4 3 ARP Enthernet ARPAN ET PDN RARP 其它 1~2
ICPM
IP
2.3.2 TCP/IP的安全体系
• • • • 1．链路层安全 2．网络层安全 3．传输层保护的网络 4． 应用层安全性
2.4 常用网络协议和服务
2.4.1 常用网络协议 1．IP协议 2．TCP协议 3．UDP协议 4．ICMP协议
IP头的结构
版本（4位） 头长度（4位） 服务类型（8位） 封包总长度（16位） 标志（3位） 校验和（16位） 片断偏移地址（13位）
1．OSI-RM的层次结构
应用层 应用层
表示层
表示层
会话层
会Hale Waihona Puke 层传输层 通信子网 网络层 网络层 网络层
传输层
网络层
数据链路层
数据链路层
数据链路层
数据链路层
物理层 主机 A
物理层 节点机
物理层 节点机
物理层 主机 B
2．OSI-RM的数据格式
A主机 7 6
H6 H7 H7 H7 H7 H7 H7 数据 对等层通信 H7 数据
• 最后的16位（2个8位组）标识可能的主机地址。每一个B 类地址能支持64,534个惟一的主机地址，这个数由2的16次 方减2得到，B类网络有16,382个。
3、C类地址
• C类地址用于支持大量的小型网络。这类地址可以认为与A类地址正好相反。 A类地址使用第一个8位组表示网络号，剩下的3个表示主机号，而C类地址 使用三个8位组表示网络地址，仅用一个8位组表示主机号。 C类地址的前3位数为110，前两位和为192(128+64)，这形成了C类地址空间 的下界。第三位等于十进制数32，这一位为0限制了地址空间的上界。不能 使用第三位限制了此8位组的最大值为255-32等于223。因此C类网络地址范 围从192.0.1.0至223.255.254.0。 最后一个8位组用于主机寻址。每一个C类地址理论上可支持最大2 5 6个主机 地址(0～255)，但是仅有254个可用，因为0和255不是有效的主机地址。可以 有2,097,150个不同的C类网络地址。 在IP地址中，0和255是保留的主机地址。IP地址中所有的主机地址为0用于 标识局域网。同样，全为1表示在此网段中的广播地址。
第2章 网络体系结构及协议基础
l l 构 l l • 学习目标 了解OSI模型及安全体系 了解TCP/IP网络模型及安全体系结 掌握常用的网络协议和网络命令 掌握协议分析工具的使用方法
2.1 网络的体系结构
2.1.1 网络的层次结构
分层就是系统分解的最好方法之一。 层次结构的好处在于使每一层实现 一种相对独立的功能，每一层向上 一层提供服务，同时接受下一层提 供的服务。每一层不必知道下面一 层是如何实现的，只要知道下层通 过层间接口提供的服务是什么，以 及本层向上层提供什么样的服务， 就能独立地设计，这就是常说的网 络层次结构
1、A类地址
• 一个A类IP地址仅使用第一个8位组表示网络地址。剩 下的3个8位组表示主机地址。A类地址的第一个位总为 0，这一点在数学上限制了A类地址的范围小于127，因 此理论上仅有127个可能的A类网络，而0.0.0.0地址又 没有分配，所以实际上只有126个A类网。技术上讲， 127.0.0.0也是一个A类地址，但是它已被保留作闭环 （Look Back）测试之用而不能分配给一个网络。 • A类地址后面的24位表示可能的主机地址，A类网络地 址的范围从1.0.0.0到126.0.0.0。每一个A类地址能支持 16,777,214个不同的主机地址，这个数是由2的24次方 再减去2得到的。减2是必要的，因为IP把全0保留为表 示网络而全1表示网络内的广播地址。
2、B类地址
• 设计B类地址的目的是支持中到大型的网络。B类网络地址 范围从128.1.0.0到191.254.0.0。B类地址蕴含的数学逻辑是 相当简单的。 • 一个B类IP地址使用两个8位组表示网络号，另外两个8位组 表示主机号。B类地址的第1个8位组的前两位总是设置为1 和0，剩下的6位既可以是0也可以是1，这样就限制其范围 小于等于191，这里的191由128+32+16+8+4 +2+1得到。
封包标识（16位） 存活时间（8位） 协议（8位） 来源IP地址（32位） 目的IP地址（32位） 选项（可选） 数据
填充（可选）
IPv4的IP地址分类
• IPv4地址在1981年9月实现标准化的。基本的IP地址是 8位一个单元的32位二进制数。为了方便人们的使用， 对机器友好的二进制地址转变为人们更熟悉的十进制 地址。 • IP地址中的每一个8位组用0～255之间的一个十进制数 表示。这些数之间用点“.”隔开，因此，最小的IPv4地 址值为0.0.0.0，最大的地址值为255.255.255.255，然而 这两个值是保留的，没有分配给任何系统。 • IP地址分成五类：A类地址、B类地址、C类地址、D类 地址和E类地址。 • 每一个IP地址包括两部分：网络地址和主机地址，上 面五类地址对所支持的网络数和主机数有不同的组合。