有關TCP/IP設置和注意事項
TCP/IP的層次不同提供的安全性也不同,例如,在網絡層提供虛擬私用網絡,在 傳輸層提供安全套接服務。下面將分別介紹TCP/IP不同層次的安全性和提高各層安全性的方法。
TCP/IP 的名稱大解剖
名稱解析是為用戶提供易于記憶的服務器名稱的過程,這樣用戶就無需記憶那些在 TCP/IP 網絡上用于標識服務器的數字 IP 地址了。名稱解析服務有 DNS 和 WINS。
域名系統 (DNS)
DNS 是一個用于在 Internet 和專用 TCP/IP 網絡上定位計算機的分層命名系統。通常需要安裝一個或多個 DNS 服務器。Internet 電子郵件、Web 瀏覽和 Active Directory 都需要 DNS。某些帶有運行 Windows 2000 客戶端的域也需要 DNS。當創建域控制器(或將某個服務器提升為域控制器)時,會自動安裝 DNS,但當 Windows 2000 軟件檢測到域內已有 DNS 服務器時例外。(或者,也可以明確地將 DNS 作為安裝過程中或安裝之后要安裝的組件。)
如果在服務器上安裝 DNS,將需要為該服務器指定一個靜態 IP 地址。此外,還需要配置 DNS 客戶端,以便它們能夠識別這個 IP 地址。有關分配靜態 IP 地址的信息,請參閱指定靜態本地 IP 地址及 DNS 和 WINS 所需的設置。有關配置 DNS 的信息,請參閱 DNS。
Windows Internet 名稱服務 (WINS)
如果要支持運行 Windows NT 或任何早期 Microsoft 操作系統的客戶端,則需要在域內的一個或幾個服務器上安裝 Windows Internet 名稱服務 (WINS)。WINS 是一個可選的軟件組件,出現在組件列表的網絡服務下面。(有關安裝 WINS 組件的信息,請參閱選擇要安裝的組件。)如果在服務器上安裝 WINS,則需要為該服務器指定一個靜態 IP 地址。此外還需要配置 WINS 客戶端,以便使它們識別這個 IP 地址。
有關分配靜態 IP 地址的信息,請參閱指定靜態本地 IP 地址及 DNS 和 WINS 所需的設置。有關配置 WINS 的信息,請參閱 WINS。
DNS 查詢的工作原理
當 DNS 客戶機需要查詢程序中使用的名稱時,它會查詢 DNS 服務器來解析該名稱。客戶機發送的每條查詢消息都包括三條信息,以指定服務器應回答的問題: #p#
TCP/IP的安全性
TCP/IP的層次不同提供的安全性也不同,例如,在網絡層提供虛擬私用網絡,在傳輸層提供安全套接服務。下面將分別介紹TCP/IP不同層次的安全性和提高各層安全性的方法。
Internet層的安全性
對Internet層的安全協議進行標準化的想法早就有了。在過去十年里,已經提出了一些方案。例如,"安全協議3號(SP3)"就是美國國家安全局以及標準技術協會作為"安全數據網絡系統(SDNS)"的一部分而制定的。"網絡層安全協議(NLSP)"是由國際標準化組織為"無連接網絡協議(CLNP)"制定的安全協議標準。"集成化NLSP(I-NLSP)"是美國國家科技研究所提出的包括IP和CLNP在內的統一安全機制。SwIPe是另一個Intenet層的安全協議,由Ioannidis和Blaze提出并實現原型。所有這些提案的共同點多于不同點。事實上,他們用的都是IP封裝技術。其本質是,純文本的包被加密,封裝在外層的IP報頭里,用來對加密的包進行Internet上的路由選擇。到達另一端時,外層的IP報頭被拆開,報文被解密,然后送到收報地點。
Internet工程特遣組(IETF)已經特許Internet協議安全協議(IPSEC)工作組對IP安全協議(IPSP)和對應的Internet密鑰管理協議(IKMP)進行標準化工作。IPSP的主要目的是使需要安全措施的用戶能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工作,也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無關的,即使加密算法替換了,也不對其他部分的實現產生影響。此外,該體制必須能實行多種安全政策,但要避免給不使用該體制的人造成不利影響。按照這些要求,IPSEC工作組制訂了一個規范:認證頭(Authentication Header,AH)和封裝安全有效負荷(Encapsulating Security Payload,ESP)。簡言之,AH提供IP包的真實性和完整性,ESP提供機要內容。
IP AH指一段消息認證代碼(Message Authentication Code,MAC),在發送IP包之前,它已經被事先計算好。發送方用一個加密密鑰算出AH,接收方用同一或另一密鑰對之進行驗證。如果收發雙方使用的是單鑰體制,那它們就使用同一密鑰;如果收發雙方使用的是公鑰體制,那它們就使用不同的密鑰。在后一種情形,AH體制能額外地提供不可否認的服務。事實上,有些在傳輸中可變的域,如IPv4中的time-to-live域或IPv6中的hop limit域,都是在AH的計算中必須忽略不計的。RFC 1828首次規定了加封狀態下AH的計算和驗證中要采用帶密鑰的MD5算法。而與此同時,MD5和加封狀態都被批評為加密強度太弱,并有替換的方案提出。
IP ESP的基本想法是整個IP包進行封裝,或者只對ESP內上層協議的數據(運輸狀態)進行封裝,并對ESP的絕大部分數據進行加密。在管道狀態下,為當前已加密的ESP附加了一個新的IP頭(純文本),它可以用來對IP包在Internet上作路由選擇。接收方把這個IP頭取掉,再對ESP進行解密,處理并取掉ESP頭,再對原來的IP包或更高層協議的數據就象普通的IP包那樣進行處理。RFC 1827中對ESP的格式作了規定,RFC 1829中規定了在密碼塊鏈接(CBC)狀態下ESP加密和解密要使用數據加密標準(DES)。雖然其他算法和狀態也是可以使用的,但一些國家對此類產品的進出口控制也是不能不考慮的因素。有些國家甚至連私用加密都要限制。
配置 TCP/IP 設置
打開 網絡連接。
單擊要配置的連接,然后在“網絡任務”下,單擊“更改該連接的設置”。
執行以下任一操作:
如果連接是局域網連接,則在“常規”選項卡的“該連接使用下列項目”下,單擊“網際協議 (TCP/IP)”,然后單擊“屬性”。
如果是撥號、VPN 或傳入連接,請單擊“網絡”選項卡上。在“該連接使用下列項目”中,單擊“網際協議 (TCP/IP)”,然后單擊“屬性”。
執行以下任一操作:
如果要自動指派 IP 設置,請單擊“自動獲得 IP 地址”,然后單擊“確定”。
如果要指定 IP 地址或 DNS 服務器地址,請執行以下步驟:
單擊“使用下面的 IP 地址”,然后在“IP 地址”中鍵入 IP 地址。
單擊“使用下面的 DNS 服務器地址”,在“首選 DNS 服務器”和“備用 DNS 服務器”中,鍵入首選和備用 DNS 服務器的地址。
要配置 DNS、WINS 和 IP 設置,請單擊“高級”。
注意
要打開“網絡連接”,請單擊“開始”,指向“設置”,然后雙擊“網絡連接”。
在任何可能的情況下都應該使用自動 IP 設置 (DHCP),原因如下:
默認情況下,會啟用 DHCP。
如果您的位置更改了,可以不必修改 IP 設置。
自動 IP 設置用于所有連接,并且不必配置如 DNS、WINS 等的設置
安裝簡單 TCP/IP 服務
在“控制面板”中打開 添加/刪除程序。
單擊“添加/刪除 Windows 組件”。
在“組件”中,單擊“網絡服務”,然后單擊“詳細信息”。
在“網絡服務的子組件”中,單擊“簡單 TCP/IP 服務”,然后單擊“確定”。
單擊“下一步”。
如果提示,請鍵入 Windows XP 分發文件的路徑,然后單擊“確定”。
單擊“完成”,然后單擊“關閉”。
注意
要打開“添加/刪除程序”,請單擊“開始”,指向“設置”,單擊“控制面板”,然后雙擊“添加/刪除程序”。
必須以管理員或 Administrators 組成員身份登錄才能完成該過程。如果計算機與網絡連接,則網絡策略設置也可以阻止您完成此步驟。
簡單 TCP/IP 服務(用于 Windows XP)支持下表中所列的可選 TCP/IP 協議服務。 協議 說明 RFC
字符生成器 (CHARGEN) 發送由一組 95 個可打印 ASCII 字符組成的數據。對測試或解決行式打印機的調試工具很有用。 864
Daytime 返回包括星期幾、月、日、年、當前時間(按照 hh:mm:ss 的格式)以及時區信息的消息。一些程序可以使用該服務的輸出來調試或監視系統時鐘或不同主機上的變化。 867
Discard 丟棄所有在該端口接收到的沒有響應或沒有確認的消息。可以作為空端口用來在安裝和配置網絡期間接收和發送 TCP/IP 測試消息,或在某些情況下,可作為消息丟棄功能被程序使用。 863
回聲 回應從該服務器端口收到的消息數據。作為網絡調試和監視工具很有用。 862
Quote of the Day (QUOTE) 返回消息中的一行或多行文本的引用。配額從如下文件中隨機取得:systemroot\System32\Drivers\Etc\Quotes。作為范例的引用文件和簡單 TCP/IP 服務一起安裝。如果該文件丟失,則引用服務失敗。 865
所有這些協議服務可以作為可選的 Internet 標準分類,在指定的 RFC 文檔中有定義和描述,該文檔在表中列出。有關這些協議服務的詳細信息,請參閱 RFC。
除非特別需要該計算機支持與其他使用這些協議服務的系統進行通訊,否則請不要安裝簡單 TCP/IP 服務。
安裝簡單 TCP/IP 服務后,就不能單獨啟用或禁用某個服務。< TCP/IP 概述傳輸控制協議/網際協議 (TCP/IP) 是最流行的網絡協議,也是 Internet 的基礎。它的路由功能為企業范圍的網絡提供了最大的靈活性。In Windows XP TCP/IP 是自動安裝的。
在 TCP/IP 網絡上,您必須給客戶提供 IP 地址。客戶可能還需要命名服務或名稱解析方法。這部分解釋 TCP/IP 網絡上的“網絡連接”的 IP 尋址和名稱解析。同時還描述了 TCP/IP 提供的 FTP 和 Telnet 工具。
將 IP 地址指派給撥號連接和虛擬專用網絡 (VPN) 連接
在 Windows TCP/IP 網絡上每臺連接到遠程訪問服務器的遠程計算機都將由遠程訪問服務器提供一個 IP 地址。
【編輯推薦】
