TCP/IP的層次不同提供的安全性也不同，例如，在網(wǎng)絡(luò)層提供虛擬私用網(wǎng)絡(luò)，在 傳輸層提供安全套接服務(wù)。下面將分別介紹TCP/IP不同層次的安全性和提高各層安全性的方法?！　?/P>

TCP/IP 的名稱大解剖　　

名稱解析是為用戶提供易于記憶的服務(wù)器名稱的過程，這樣用戶就無需記憶那些在 TCP/IP 網(wǎng)絡(luò)上用于標(biāo)識(shí)服務(wù)器的數(shù)字 IP 地址了。名稱解析服務(wù)有 DNS 和 WINS?！　?/P>

域名系統(tǒng) (DNS)　　

DNS 是一個(gè)用于在 Internet 和專用 TCP/IP 網(wǎng)絡(luò)上定位計(jì)算機(jī)的分層命名系統(tǒng)。通常需要安裝一個(gè)或多個(gè) DNS 服務(wù)器。Internet 電子郵件、Web 瀏覽和 Active Directory 都需要 DNS。某些帶有運(yùn)行 Windows 2000 客戶端的域也需要 DNS。當(dāng)創(chuàng)建域控制器（或?qū)⒛硞€(gè)服務(wù)器提升為域控制器）時(shí)，會(huì)自動(dòng)安裝 DNS，但當(dāng) Windows 2000 軟件檢測到域內(nèi)已有 DNS 服務(wù)器時(shí)例外。（或者，也可以明確地將 DNS 作為安裝過程中或安裝之后要安裝的組件。）　　

如果在服務(wù)器上安裝 DNS，將需要為該服務(wù)器指定一個(gè)靜態(tài) IP 地址。此外，還需要配置 DNS 客戶端，以便它們能夠識(shí)別這個(gè) IP 地址。有關(guān)分配靜態(tài) IP 地址的信息，請(qǐng)參閱指定靜態(tài)本地 IP 地址及 DNS 和 WINS 所需的設(shè)置。有關(guān)配置 DNS 的信息，請(qǐng)參閱 DNS?！　?/P>

Windows Internet 名稱服務(wù) (WINS)　　

如果要支持運(yùn)行 Windows NT 或任何早期 Microsoft 操作系統(tǒng)的客戶端，則需要在域內(nèi)的一個(gè)或幾個(gè)服務(wù)器上安裝 Windows Internet 名稱服務(wù) (WINS)。WINS 是一個(gè)可選的軟件組件，出現(xiàn)在組件列表的網(wǎng)絡(luò)服務(wù)下面。（有關(guān)安裝 WINS 組件的信息，請(qǐng)參閱選擇要安裝的組件。）如果在服務(wù)器上安裝 WINS，則需要為該服務(wù)器指定一個(gè)靜態(tài) IP 地址。此外還需要配置 WINS 客戶端，以便使它們識(shí)別這個(gè) IP 地址。　　

有關(guān)分配靜態(tài) IP 地址的信息，請(qǐng)參閱指定靜態(tài)本地 IP 地址及 DNS 和 WINS 所需的設(shè)置。有關(guān)配置 WINS 的信息，請(qǐng)參閱 WINS。　　

DNS 查詢的工作原理　　

當(dāng) DNS 客戶機(jī)需要查詢程序中使用的名稱時(shí)，它會(huì)查詢 DNS 服務(wù)器來解析該名稱?？蛻魴C(jī)發(fā)送的每條查詢消息都包括三條信息，以指定服務(wù)器應(yīng)回答的問題：　　#p#

TCP/IP的安全性　　

TCP/IP的層次不同提供的安全性也不同，例如，在網(wǎng)絡(luò)層提供虛擬私用網(wǎng)絡(luò)，在傳輸層提供安全套接服務(wù)。下面將分別介紹TCP/IP不同層次的安全性和提高各層安全性的方法?！　?/P>

Internet層的安全性　　

對(duì)Internet層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化的想法早就有了。在過去十年里，已經(jīng)提出了一些方案。例如，"安全協(xié)議3號(hào)(SP3)"就是美國國家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為"安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)(SDNS)"的一部分而制定的。"網(wǎng)絡(luò)層安全協(xié)議(NLSP)"是由國際標(biāo)準(zhǔn)化組織為"無連接網(wǎng)絡(luò)協(xié)議(CLNP)"制定的安全協(xié)議標(biāo)準(zhǔn)。"集成化NLSP(I-NLSP)"是美國國家科技研究所提出的包括IP和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。SwIPe是另一個(gè)Intenet層的安全協(xié)議，由Ioannidis和Blaze提出并實(shí)現(xiàn)原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，他們用的都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報(bào)頭里，用來對(duì)加密的包進(jìn)行Internet上的路由選擇。到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開，報(bào)文被解密，然后送到收?qǐng)?bào)地點(diǎn)?！　?/P>

Internet工程特遣組(IETF)已經(jīng)特許Internet協(xié)議安全協(xié)議(IPSEC)工作組對(duì)IP安全協(xié)議(IPSP)和對(duì)應(yīng)的Internet密鑰管理協(xié)議(IKMP)進(jìn)行標(biāo)準(zhǔn)化工作。IPSP的主要目的是使需要安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工作，也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無關(guān)的，即使加密算法替換了，也不對(duì)其他部分的實(shí)現(xiàn)產(chǎn)生影響。此外，該體制必須能實(shí)行多種安全政策，但要避免給不使用該體制的人造成不利影響。按照這些要求，IPSEC工作組制訂了一個(gè)規(guī)范：認(rèn)證頭(Authentication Header，AH)和封裝安全有效負(fù)荷(Encapsulating Security Payload，ESP)。簡言之，AH提供IP包的真實(shí)性和完整性，ESP提供機(jī)要內(nèi)容?！　?/P>

IP AH指一段消息認(rèn)證代碼(Message Authentication Code，MAC)，在發(fā)送IP包之前，它已經(jīng)被事先計(jì)算好。發(fā)送方用一個(gè)加密密鑰算出AH，接收方用同一或另一密鑰對(duì)之進(jìn)行驗(yàn)證。如果收發(fā)雙方使用的是單鑰體制，那它們就使用同一密鑰；如果收發(fā)雙方使用的是公鑰體制，那它們就使用不同的密鑰。在后一種情形，AH體制能額外地提供不可否認(rèn)的服務(wù)。事實(shí)上，有些在傳輸中可變的域，如IPv4中的time-to-live域或IPv6中的hop limit域，都是在AH的計(jì)算中必須忽略不計(jì)的。RFC 1828首次規(guī)定了加封狀態(tài)下AH的計(jì)算和驗(yàn)證中要采用帶密鑰的MD5算法。而與此同時(shí)，MD5和加封狀態(tài)都被批評(píng)為加密強(qiáng)度太弱，并有替換的方案提出?！　?/P>

IP ESP的基本想法是整個(gè)IP包進(jìn)行封裝，或者只對(duì)ESP內(nèi)上層協(xié)議的數(shù)據(jù)(運(yùn)輸狀態(tài))進(jìn)行封裝，并對(duì)ESP的絕大部分?jǐn)?shù)據(jù)進(jìn)行加密。在管道狀態(tài)下，為當(dāng)前已加密的ESP附加了一個(gè)新的IP頭(純文本)，它可以用來對(duì)IP包在Internet上作路由選擇。接收方把這個(gè)IP頭取掉，再對(duì)ESP進(jìn)行解密，處理并取掉ESP頭，再對(duì)原來的IP包或更高層協(xié)議的數(shù)據(jù)就象普通的IP包那樣進(jìn)行處理。RFC 1827中對(duì)ESP的格式作了規(guī)定，RFC 1829中規(guī)定了在密碼塊鏈接(CBC)狀態(tài)下ESP加密和解密要使用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)。雖然其他算法和狀態(tài)也是可以使用的，但一些國家對(duì)此類產(chǎn)品的進(jìn)出口控制也是不能不考慮的因素。有些國家甚至連私用加密都要限制?！　?/P>

配置 TCP/IP 設(shè)置　　

打開 網(wǎng)絡(luò)連接?！　?/P>

單擊要配置的連接，然后在“網(wǎng)絡(luò)任務(wù)”下，單擊“更改該連接的設(shè)置”?！　?/P>

執(zhí)行以下任一操作：　　

如果連接是局域網(wǎng)連接，則在“常規(guī)”選項(xiàng)卡的“該連接使用下列項(xiàng)目”下，單擊“網(wǎng)際協(xié)議 (TCP/IP)”，然后單擊“屬性”?！　?/P>

如果是撥號(hào)、VPN 或傳入連接，請(qǐng)單擊“網(wǎng)絡(luò)”選項(xiàng)卡上。在“該連接使用下列項(xiàng)目”中，單擊“網(wǎng)際協(xié)議 (TCP/IP)”，然后單擊“屬性”。　　

執(zhí)行以下任一操作：　　

如果要自動(dòng)指派 IP 設(shè)置，請(qǐng)單擊“自動(dòng)獲得 IP 地址”，然后單擊“確定”?！　?/P>

如果要指定 IP 地址或 DNS 服務(wù)器地址，請(qǐng)執(zhí)行以下步驟：　　

單擊“使用下面的 IP 地址”，然后在“IP 地址”中鍵入 IP 地址?！　?/P>

單擊“使用下面的 DNS 服務(wù)器地址”，在“首選 DNS 服務(wù)器”和“備用 DNS 服務(wù)器”中，鍵入首選和備用 DNS 服務(wù)器的地址?！　?/P>

要配置 DNS、WINS 和 IP 設(shè)置，請(qǐng)單擊“高級(jí)”?！　?/P>

注意　　

要打開“網(wǎng)絡(luò)連接”，請(qǐng)單擊“開始”，指向“設(shè)置”，然后雙擊“網(wǎng)絡(luò)連接”?！　?/P>

在任何可能的情況下都應(yīng)該使用自動(dòng) IP 設(shè)置 (DHCP)，原因如下：　　

默認(rèn)情況下，會(huì)啟用 DHCP?！　?/P>

如果您的位置更改了，可以不必修改 IP 設(shè)置。　　

自動(dòng) IP 設(shè)置用于所有連接，并且不必配置如 DNS、WINS 等的設(shè)置　　

安裝簡單 TCP/IP 服務(wù)　　

在“控制面板”中打開 添加/刪除程序。　　

單擊“添加/刪除 Windows 組件”。　　

在“組件”中，單擊“網(wǎng)絡(luò)服務(wù)”，然后單擊“詳細(xì)信息”?！　?/P>

在“網(wǎng)絡(luò)服務(wù)的子組件”中，單擊“簡單 TCP/IP 服務(wù)”，然后單擊“確定”。　　

單擊“下一步”?！　?/P>

如果提示，請(qǐng)鍵入 Windows XP 分發(fā)文件的路徑，然后單擊“確定”?！　?/P>

單擊“完成”，然后單擊“關(guān)閉”。　　

注意　　

要打開“添加/刪除程序”，請(qǐng)單擊“開始”，指向“設(shè)置”，單擊“控制面板”，然后雙擊“添加/刪除程序”?！　?/P>

必須以管理員或 Administrators 組成員身份登錄才能完成該過程。如果計(jì)算機(jī)與網(wǎng)絡(luò)連接，則網(wǎng)絡(luò)策略設(shè)置也可以阻止您完成此步驟?！　?/P>

簡單 TCP/IP 服務(wù)（用于 Windows XP）支持下表中所列的可選 TCP/IP 協(xié)議服務(wù)。 協(xié)議 說明 RFC　　

字符生成器 (CHARGEN) 發(fā)送由一組 95 個(gè)可打印 ASCII 字符組成的數(shù)據(jù)。對(duì)測試或解決行式打印機(jī)的調(diào)試工具很有用。 864　　

Daytime 返回包括星期幾、月、日、年、當(dāng)前時(shí)間（按照 hh:mm:ss 的格式）以及時(shí)區(qū)信息的消息。一些程序可以使用該服務(wù)的輸出來調(diào)試或監(jiān)視系統(tǒng)時(shí)鐘或不同主機(jī)上的變化。 867　　

Discard 丟棄所有在該端口接收到的沒有響應(yīng)或沒有確認(rèn)的消息?？梢宰鳛榭斩丝谟脕碓诎惭b和配置網(wǎng)絡(luò)期間接收和發(fā)送 TCP/IP 測試消息，或在某些情況下，可作為消息丟棄功能被程序使用。 863　　

回聲 回應(yīng)從該服務(wù)器端口收到的消息數(shù)據(jù)。作為網(wǎng)絡(luò)調(diào)試和監(jiān)視工具很有用。 862　　

Quote of the Day (QUOTE) 返回消息中的一行或多行文本的引用。配額從如下文件中隨機(jī)取得：systemroot\System32\Drivers\Etc\Quotes。作為范例的引用文件和簡單 TCP/IP 服務(wù)一起安裝。如果該文件丟失，則引用服務(wù)失敗。 865　　

所有這些協(xié)議服務(wù)可以作為可選的 Internet 標(biāo)準(zhǔn)分類，在指定的 RFC 文檔中有定義和描述，該文檔在表中列出。有關(guān)這些協(xié)議服務(wù)的詳細(xì)信息，請(qǐng)參閱 RFC。　　

除非特別需要該計(jì)算機(jī)支持與其他使用這些協(xié)議服務(wù)的系統(tǒng)進(jìn)行通訊，否則請(qǐng)不要安裝簡單 TCP/IP 服務(wù)?！　?/P>

安裝簡單 TCP/IP 服務(wù)后，就不能單獨(dú)啟用或禁用某個(gè)服務(wù)。<　TCP/IP 概述傳輸控制協(xié)議/網(wǎng)際協(xié)議 (TCP/IP) 是最流行的網(wǎng)絡(luò)協(xié)議，也是 Internet 的基礎(chǔ)。它的路由功能為企業(yè)范圍的網(wǎng)絡(luò)提供了最大的靈活性。In Windows XP TCP/IP 是自動(dòng)安裝的?！　?/P>

在 TCP/IP 網(wǎng)絡(luò)上，您必須給客戶提供 IP 地址?？蛻艨赡苓€需要命名服務(wù)或名稱解析方法。這部分解釋 TCP/IP 網(wǎng)絡(luò)上的“網(wǎng)絡(luò)連接”的 IP 尋址和名稱解析。同時(shí)還描述了 TCP/IP 提供的 FTP 和 Telnet 工具?！　?/P>

將 IP 地址指派給撥號(hào)連接和虛擬專用網(wǎng)絡(luò) (VPN) 連接　　

在 Windows TCP/IP 網(wǎng)絡(luò)上每臺(tái)連接到遠(yuǎn)程訪問服務(wù)器的遠(yuǎn)程計(jì)算機(jī)都將由遠(yuǎn)程訪問服務(wù)器提供一個(gè) IP 地址。

【編輯推薦】

1. 都是協(xié)議惹的禍TCP/IP安裝配置實(shí)驗(yàn)錯(cuò)誤
2. TCP-IP網(wǎng)絡(luò)設(shè)計(jì)實(shí)例參考