CISSP要点-第七章网络安全(共16页).docx

《CISSP要点-第七章网络安全(共16页).docx》由会员分享，可在线阅读，更多相关《CISSP要点-第七章网络安全(共16页).docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上表示层（Presentation Layer),第六层，从应用层协议接收信息，然后将信息变成所有遵守OSI模型的计算机都能理解的格式。这一层提供了一种能被末端系统正确处理的用一个结构表示数据的方式。表示层不管数据的含义，只关心数据的格式和语法。它像一个翻译器那样工作，将应用程序使用的格式翻译成能在网络上用于消息传递的标准格式。这一层也处理数据压缩和加密。如果应用层的一个程序请求在将某个文件传送至网络之前，对其进行压缩和加密，这时，表示层就可以向目标计算机提供必要的信息。这些信息包括有关加密或所使用的压缩类型的指令,以及如何向用户正确呈现这个文件。指令被添加到数据包中，

2、用于告知接收系统如何正确地解密或解压缩数据。会话层(Session Layer),第五层，负责在两台计算机间建立连接，在传送数据的过程中保持连接并控制连接的释放。与电话电路系统的工作方式相似，会话层的工作分三个阶段：建立连接，数据传输，释放连接。如果需要的话，还能提供会话的重新开始和恢复，以及完整会话的维持。当会话结束时，路径被拆除并且所有参数恢复到初始设置。这一过程被称为对话管理（Dialog Management。工作在这一层的协议有网络文件系统(NFS)、结构化查询语言（SQL)、NetBIOS和远程过程调用（RPC)。会话层协议使得两台计算机能以三种不同的模式通信：单向模式通信只能是单

3、方向的。半双工模式通信能在两个方向进行，但是一次只能有一个系统发送信息。全双工模式通信能在两个方向进行，而且两个系统能同时发送信息。会话层协议控制应用程序之间的通信；而传输层协议处理计算机之间的通信。表示层表示层中的服务用于处理标准格式的转译、数据压缩与解压，以及数据加密与解密。这个层中没有协议工作，只有服务。下面是表示层中的一些标准：美国信息交换标准编码（ASCII)扩展二进制编码十进制交换模式（EBCDIC)标签图像文件格式（TIFF)联合影像专家组（JPEG)活动图像专家组（MPEG)乐器数字接口（MIDI)会话层会话层协议在应用程序之间建立连接：维持会话控制，并协商、建立、维持和撤销通

4、信通道。以下为在这个层中工作的一些协议：网络文件系统（NFS)NetBIOS结构化查询语言（SQL)远程过程调用（RPC)两个设备可以通过异步和同步的方式通信，这取决于通信的种类和两个系统是否通过某种方式进行同步。异步通信（Asynchronous Communication)在两个设备不进行同步时使用。发送者可以在任何时刻发送数据，接收者必须总是准备好的。相反，同步通信(Synchronous Communication)发生在两个同步的设备之间，通常通过一种时钟机制(Clocking Mechanism )。当两个设备有大量的数据需要传输时，它们会采用同步传输：而小置的数据，它们会采用异步

5、传输。异步通信的一个例子发生在终端和终端服务器之间。调制解调器也使用异步数据传输。因为数据可能在任何时候发送，而且可能以任何长度，必须有一个结束和开始的分隔标志，告诉接收端何时开始处理一个请求，何时结束。每个字符实际上是1和0的串，在字符的前后有字符开始位和结束位。这产生了大量的开销和额外的比特位，但是这在异步通信中是必须的。同步通信以比特流的方式传输数据，而不是用开始位和结束位组织数据。同步可以发生在采用同种时钟机制的两个系统之间，或者信息被编码在数据流中，让接收端同步发送端的消息。这种同步必须在第一个消息发送之前完成。发送系统可以发出一个数字时钟脉冲到接收系统，它可以翻译成“我们现在开始，

6、用这种同步方案工作。”基带占用整条电缆传输，但是宽带（Baseband)通常将电缆分为通道，以便不同的数据能同时发送。基带只允许同时发送一个信号，而宽带在不同的通道上携带多个信号。以太网是一次只能发送一个信号的基带网络。LAN介质访问技术与WAN相比，对LAN的定义关注得更多的是物理介质、封装协议和功能。这些技术的差别大多在数据链路层。以太网定义有以下特征：共事介质（所有设备必须轮流使用相同的介质并检测冲突)。使用广播和冲突域采用带有冲突检测的载波监听多路访问（CSMA/CD)技术。在双绞线实现上支持全双工。能使用同轴电缆或双绞线介质。由IEEE 802.3标准定义。光纤分布式数据接白(Fib

7、er Distributed Data Interface, FDDI)技术是由美国国家标准协会(ANSI)提出，它是高速令牌传递介质访问技术。FDDI拥有100 Mb/s的数据传输速率，通常使用光缆作为主千网络。FDDI同时通过第二个反向旋转光纤环路实现容错。主环以顺时针传送数据，用于常规的数据传输。副环以逆时针传送数据，它在主环出故障时才会被激活。传感器监视主环，如果它出现故障，这些传感器激活环回（Ring Wrap),以便数据转到副环。FDDI网络上的每个节点都有中继，连到两个外环上，因此如果环上出现断裂，两个环还能够接起来。FDDI有一个能工作在UTP布线上的版本：铜缆数据分布接口（C

8、DDI)。如果说FDDI更多地用于主干的话，CDDI能用于LAN环境中连接系统。内核代理（Kernel Proxy)防火墙被认为是第五代防火墙，和以往的所有防火墙技术不同，一旦需要处理数据包，它会建立动态的、定制（Customized)的TCP/IP栈。网络操作系统（NOS)是一种特殊的软件，它旨在控制网络资源访问和提供必要的服务，帮助一台计算机与周围的网络进行交互。NOS不同于单用户操作系统。NOS在客户机/服务器模式下工作，它对资源、文件和应用程序进行集中控制，所有用户在服务器上访问它们（而不畢在每个工作站上都保存这些资源的单个备份） NOS对系统和组件之间的连接和链接进行管理。NOS也有

9、网络环境和审计功能所必需的内置验证机制。单用户操作系统能够在一个对等环境（一种工作组）下运行，并执行资源和文件共享。但是，对等环境并不提供多数环境所必需的安全、集中管理和访问控制。网络信息系统（NIS)主要用于分配网络资源。NIS通过一个中央NIS服务器，帮助用户和应用程序定位和访问网络上的文件和程序。NIS般用于“追踪”密码文件、电子邮件别名和主机表。NIS在一个客户机/服务器构架下工作。工作站运行一个客户端进程（ypbind),它通过一个广播识别NIS服务器进程（ypserv)。为安全起见，开发人员实际上只增加了安全远程过程调用（S-RPC)。RPC是一个协议，将在第11章详细讨论；但现在

10、，你只需要知道它允许客户端和服务器在客户机/服务器模式下进行通信。当NIS客户端需要与NIS服务器建立通信，以及NIS服务器需要与NIS客户端进行通信时，它们的通信在会话层RPC协议上进行。通过应用S-RPC, NIS+具备了验证、授权和加密功能。可以对NIS+进行配置，使它在下面三种安全模式下运行:0级：不安全，任何系统或用户都能访问所有的NIS+对象。只能用于配置与测试过程。1级:提供低级安全，但不需要验证。仅用于测试过程。2级：默认等级，激活验证和授权功能。如果有人没有证书就提出请求，就将其放入nobody授权类中，限制他的所有行为。目录服务（Directory Service)是一个由

11、用户、计算机、打印机、资源和它们的属性组成的等级数据库。该目录主要用于查询操作，使用户能够方便地追踪资源和其他用户，从而加快访问速度。大多数目录服务数据库是基于X.500模型，并使用轻量级目录访问协议(LDAP)来访问目录数据库。目录本身使用对象类和对象子类为组织提供目录仓库，这个仓库通常为一个数据库。在使用几个目录时，它们之间需要建立一种通信方式;这可以通过元目录来实现。元数据（Metadata)是数据的数据。元目录（Meta directory)中保存和目录有关的顶级信息，它使目录中的用户能够快速定位他在一个完全不同的目录中寻找的对象。这个模式为目录仓库提供一个结构，定义对象和它们之间关系

12、的表述方式。每个目录服务向量有一个基线模式，它帮助管理员定义他们自己的对象和相应的属性。目录服务为用户、管理员和网络提供丰富的服务。它们帮助管理员维护和控制环境中的所有资源和用户。目录服务就像是一个储藏场所，其中保存了几乎所有网络重要信息，帮助用户方便快速地追踪所需的服务或资源。微软活动目录（Active Directory)和Novell目录服务（NDS)是目录服务的两个典型例子。虽然它们都基于X.500模型，但它们彼此之间不能方便地建立通信。轻量级目录访问协议（LDAP)是一种用来访问网络目录，如微软活动目录（Active Directory)或NDS的客户机/服务器协议。这些目录遵循X.

13、500标准。这个协议的第一个迭代目录访问协议（DAP) 作为一个提供X.500目录服务的前台客户端而建立。LDAP与组织其数据库的目录在一个等级树结构下共同运行。这个树结构有具有唯一标识名（DN)的树叶（条目）。这些名称呈等级结构，描述对象在树结构中的位置。例如，如果条目为一台打印机，那么属性可能为IP地址、打印机名称、MAC地址和一段描述。公司为集中商业信息（如雇员电话号码、策略、活动、新闻和操作指示）而设立内部网。当公司在它们的网络中采用基于因特网或Web的技术时，它们就是正在使用内部网(Intranet).内部网是一个使用因特网技术（如TCP/IP)的“私有”网络。公司有Web服务器，装

14、有Web浏览器的客户端，使用TCP/IP协议族。Web页面用超文本标记语言(HTML)或可扩展标记语言（XML)编写，通过HTTP访问。外联网（Extranet)往外扩展了公司网络的边界，使得两个或更多公司能共享通用的信息和资源。商业伙伴常常设立外联网，以进行生意上的交流。外联网（Extranet)往外扩展了公司网络的边界，使得两个或更多公司能共享通用的信息和资源。商业伙伴常常设立外联网，以进行生意上的交流。今天的MAN大多数都是远程通信服务提供商提供的同步光网络（Synchronous Optical Network, SONET)或FDDI环。SONET实际是光缆上远程通信传输的标准。电信

15、和电话公司己在北美铺设了 SONET网络，如果它们正确地遵循SONET标准，那么不同的网络之间通信将极为方便。SONET是自我恢复的（Self-Healing),意辱是说它能利用备份的冗余环保证通信的继续。所有的SONET线路和环全部冗余。冗余线路在旁守候以防主环或线路发生什么事故。SONET网络能在光网络上传输语音、视频和数据。大多数LAN MAC协议为非连接协议，而大多数WAN通信协议则是面向连接的协议.面向连接的协议可提供可靠的传输，因为它们能够检测和纠正错误。多路电话呼叫被隔开并放在同一条线路上，叫做多路复用（Multiplexing)。多路复用是将多个通道的数据合并到一条传输线路上的

16、方法。ATM将数据封装入固定的信元(Cell),能在SONET网络上传送数据。ATM是高速网络技术，电信运营商、ISP和电话公司把它应用在LAN和WAN的实现中。ATM使用固定的信元大小，而不是原来的可变的数据帧大小。这种固定大小提供了更好的性能，减少了错误处理的耗费。SONET在美国开发，它的速率达到50 Mb/s,可以支持来自Tl( 1.544 Mb/s)和T3(44.736Mb/s)线路的数据流量。数据以电信号的形式从这些T载波传到SONET网络的边缘。然后这些电信号必须转换成光信号，在光纤，即光载波(OC)线路上传输。每个OC-1帧的传输速率为51.84 Mb/s,吞吐量为44.738

17、 Mb/s。这些线路通过时分多路复用（rune-Division Multiplexing，TDM)完成多路复用功能。以T1线为例，它能多路复用最多24个通道HSSI高速串行接口（High-Speed Serial Interface, HSSI)是将多路复用器和路由器连接到如ATM和帧中继等高速通信服务的接口。它支持T3 WAN连接，速度最高达52 Mb/s，通常集成到路由器和多路复用设备中，以提供到WAN的串行接口。这些接口定义了供DTE/DCE设备使用的电子的和物理的接口；因而，HSSI工作在物理层。接口由 Cisco 和 T3plus Networking 开发。多服务访问（Multi

18、service Access)技术将不同的通信种类（数据、语音、视频）合并到一条传输线上。这种技术提供了更高的性能、降低了运作成本，为管理员提供更大的机动性、集成能力和控制能力。打电话时，必须先建立连接，控制信号，然后撤销会话。这通过信令系统7号（Signaling System 7, SS7)协议完成。当使用IP语音（VoIP)时，它釆用会话初始化协议（SIP)建立和撤销呼叫会话，就像SS7处理非IP电话一样。SIP是一种能够在TCP或UDP上工作的应用层协议。高质量压缩已在VoIP技术中使用，身份认证号码（电话号码）是IP地址。因为是面向包交换的技术，所以它可能会有反应的迟延。VoIP需要

19、四个主要的组件：IP电话设备、呼叫处理器、语音邮件系统和语音网关。使用VoIP意味着公司只需投资和维护一个网络，而不是用一个网络传输数据，另一个网络传输语音。H.232ITU-T建议包括很多多媒体通信服务。H.323是这个建议家族的一部分，也是处理视频、实时音频和基于数据包的传输这些可能有许多用户进行数据交换的服务的标准。H.323环境涉及终端（可以是电话机或装有电话软件的计算机)、将这个环境连接到公共电话网的网关、多点控制单元、处理呼叫和事务的网关守卫（Gatekeeper)。和其他任何类型的网关相似，H.323网关连接不同的系统和设备，提供必要的转换功能。H.323终端连接到这些网关，而网

20、关连接到PSTN。这些网关转换用于基于电路电话网络和基于包的VoIP网络的协议。需要时，网关也将电路转换成数据包，同时将数据包转换成电路。现在需要实现能让新技术和老技术通信的网关了，但是不久也许老的电话网络就会过时，所有的通信可能以数据包而不是电路进行。因而最好的方法是在ATM或帧中继上合并IP，这就能够在面向连接的网络上提供面向包的通信。因为帧中继和ATM利用了 PVC和SVC,它们都有用SVC进行电话呼叫的能力。记住，PVC用于公司想要保证他们始终有可用的一定带宽时。远程访问绝大多数时候，这些用户首先要通过ISP访问因特网，然后建立到目标网络的连接。到NAS时采取什么行动。通常会要求提供用

21、户名和密码，由NAS将呼叫挂起，目的是反过来按照预先给定的电话号码呼叫用户。这是一种安全的做法，它努力确保只有经过认证的用户能够访问网络。远程访问通常是通过连接到一个网络访问服务器（NAS)来获得的。NAS是网关和到PPP会话的终点。用户若拨号进入远程访问服务（RAS)服务器，服务器通过将用户提供的证书和它维护的一个证书数据库进行比较来进行认证。从远程访问安全的角度看，你必须执行以下3个最重要的规则：远程访问设备上的所有用户必须经过完全认证才能使用该设备。禁止对通信电路的隐蔽或不适当的访问。通过认证后，用户只能访问他们有资格访问的授权服务；不能赋予他们更多权限。ISDN综合业务数字网（Inte

22、grated Services Digital Network，ISDN)是电话公司和ISP提供的通信协议。ISDN使用与模拟拨号技术相同的线路和传输介质，但是以数字的方式工作。基本速率接口(BRI)和主速率接口（PRI)。BRI有两个B通道（用于传输数据）和一个D通道（提供呼叫的建立、网络管理、错误控制、呼叫者代号等)。BRI可用的带宽为144 Kb/s，而最好的调制解调器只能提供56 Kb/s。BRI服务常用于住宅区；而PRI拥有23个B通道和一个D通道，它更常用于企业。DSLDSL可提供更快的传输速率，因为它利用一条语音级UTP线路上的所有可用频率。电缆调制解调器电缆调制解调器提供最高5

23、0 Mb/s的高速访问，通过同轴电缆或光纤访问因特网。电缆调制解调器提供上行和下行之间的转换。WAN技术通道服务单元/数据服务单元（Channel Service Unit/Data Service Unit, CSU/DSU)在采用数字设备将LAN网络连接到WAN网络时要用到这种连接可以通过T1和T3线。这是必须的，因为LAN设备与服务供应商的WAN设备之间的信号和数据帧截然不同。DSU设备将从路由器、桥接器、多路复用器来的数字信号转变为能在电话公司的数字线路上传输的信号。DSU是确保在转换过程中电压的正确性及信息不被丢失的设备。CSU是将网络直接连到电话公司线路的单元。CSU/DSU并不总

24、是独立的设备，有时可能是网络设备的一部分。CSU/DSU为数据终端设备（DTE)，如终端、多路复用器、路由器提供了一个数字接口，并通过另一个接口到达数据电路终端设备（DCE),如电信公司的交换机。CSU/DSU基本上作为一个转换器工作，有时也是线路调节装置。交换专用链路需要跨越单条路径；因而决定数据包如何到达目标时，并不复杂。只有两个参考点可以选择，从一点离开，朝另一点走。但当上千个网络连接在一起时，事情就变得复杂得多，这是交换机派上用场的时候。有两类主要的交换：电路交换和数据包交换。电路交换（Circuit Switching)是建立一个虚连接，在两个系统之间如同专用链路那么工作。ISDN和

25、电话呼叫是电路交换的例子。当源系统和目标系统建立一个连接时，需要建立通信通道。如果两个系统是在本地，那么建立这个通道所需的设备会少一些。两个系统距离越远，建立通道和连接系统所需的设备就越多。电路交换系统的一个例子是日常电话应用。当一个人晬叫另一个人时，同类型的专用虚拟通信链路就建立起来了。一旦连接建立，支持通信通道的设备就不会将这个呼叫动态地在不同的设备间移动，这种动态移动而是在包交换中发生。这个由原先的设备维护的通道一直保持，直到呼叫或连接被撤销。数据包交换（Packet Switching)不建立专用虚拟链路，从一个连接来的数据包会通过许多不同的独立的设备，而不是所有的包相继通过相同的设备

26、。包交换技术的例子有因特网、X.25和帧中继。支持这些方法的底层结构是不同类型的路由器和交换机的使用。它们提供到同一个目标的多条路径，这些路径存在高度的冗余。在包交换网络中，数据被打散成含有序列号的数据包。这些数据包会通过不同的设备，它们的路径会被路由器或交换机动态地改变，使特定的数据包走到达目标的更好的路由。旦目标计算机接收到数据包，它们又被按顺序重新组装起来，并且进行解释。在包交换环境中一个数据包走的路径不是事先确定的，与电路交换技术相比，不同的包就可能有不同的迟延。因为包交换网络通常携带数据而非语音，所以这是允许的。因为语音连接能清楚地感受到这种类型的迟延，所以许多场合电路交换网络对语音

27、连接更合适。语音呼叫通常提供持续的信息流，而数据连接在本质上是爆发式的。当你在电话中交谈时，对话会保持一定的节奏。你和你的朋友不会一会儿讲得极快，然后几分钟对话中插入一段完全的沉默。然而，数据连接却恰好是这样的。许多数据一会从一端送到另一端，然后停下来，然后又送更多的数据。帧中继帧中继（Frame Relay)是工作在数据链路层的WAN协议。主要有两类设备用于帧中继连接：数据终端设备（DTE)和数据电路终端设备（DCE)。DTE通常是客户拥有的设备，如提供公司自己的网络和帧中继网络之间连接的路由器和交换机。DCE是服务供应商或电信公司的设备，在帧中继云团（Frame Relay Cloud)中

28、完成实际的数据传输和交换。帧中继云团是提供交换和数据通信功能的DCE的集合。帧中继是被许多用户共享的任意到任意（any-to-any)的服务。虚电路帧中继（和X.25)通过虚电路转发数据帧。这些电路可以是永的是指它们事先设定，或者是交换式的是指它们在需要时迅速建立，在不窬要时立即撤销。永久虚电路（Permanent Virtual Circuit, PVC)和与客户事先约定的可用带宽的专用线路同样工作。当客户决定为承诺的信息速率付钱时，一个PVC就已设定好，确保那个客户始终得到一定数量的带宽。与PVC不同，交换式虚电路（Switched Virtual Circuit, SVC)需要与拨号和连

29、接相似的步骤。这是因为为PVC数据帧建立了永久的通路，但是使用SVC时，需要临时建立一个电路。这和在公共网络上打个电话是一样的。在建立电路的过程中，请求需要的带宽，联系目标计算机（它必须接收呼叫），决定通路，转发信息在SVC路径的每个交换机中的设定。SVC适用于电话会议、到远程站点的临时连接、数据复制和语音电话。一旦连接不再需要，电路就被撤销，交换机就会忘了它曾经存在过。虽然PVC提供了保证的带宽水平，但它没有SVC的灵活性。如果一个客户想用PVC建立临时连接，如前面提到的，客户必须叫电信公司来建立，这要花费几个小时的时间。X.25X.25是一个更老的WAN协议，定义了设备和网络如何建立与维护

30、连接。和帧中继相似，X.25是使用载波交换的交换技术，能为许多不同的网络提供连接。数据被分割成128字节的单位，封装入髙级数据链路控制（HDLC)数据帧。然后数据帧被编址并在载波交换机上转发。ATM异步传输模式（Asynchronous Transfer Mode, ATM)是另一种交换技术，但是它没有使用包交换方法，而是使用信元交换（Cell-Switching)方法。ATM是在LAN、WAN和服务供应商连接中使用的高速网络技术。如同帧中继一样，它是面向连接的交换技术。ATM是一种信元交换技术而非包交换技术。这是说数据被分片成固定大小的信元，53|字节，而不是大小可变的数据包。这提供了更有效

31、和更快的通信路径应用。ATM建立虚电路与在源和目标之间的专用链路一样。这个虚电路能保证带宽和QoS。由于这些原因，ATM是语音和视频传输的很好的载体。服务质量固定比特率（CBR)种面向连接的通道，可为时效性应用，如语音和视频应用，提供一致的数据处理能力。客户在连接设置时需指定必要的带宽要求。可变比特率（VBR)种面向连接的通道，最适用于对延迟不敏感的应用，因为它的数据流量是不平衡的。客户指定他们所需的高峰和持续的数据传输率。无保证比特率（UBR) 种无连接的通道，它并不提供特定的数据传输率。客户不能，也不必控制他们的流量速率可用比特率（ABR) 种面向连接的通道，可以调节比特率。在满足保证的传

32、输速率后，客户获得不变的带宽。DSU设备用于连接LAN与公共ATM网络。如果需要通过路由器或桥接器将公司网络连接到ATM网络，则可以釆用这种体系架构。必须使用DSU设备将数字信号转换成ATM网络能够理解的信号类型。在传输过程中，ATM会为所有数据建立一个固定的通道。固定的通道与特殊的通信路径编程到交换机中。QoS有3种基本的等级：尽力服务对处理能力、延迟或传输没有保证。具有优先分级的流量比分配有这种分级的流量先发送。因特网上的大多数流量都拥有这种分级。差分服务与尽力服务相比，分配这种分级的流量拥有更大的带宽、更短的延迟，丢失的帧也更少。保证服务以有保证的速度确保特定数据的处理能力。时效性流量（

33、语音和视频）分配有这种分级。SMDS交换式多兆位数据服务（Switched Mutimegabit Data Service, SMDS)是高速包交换技术，用于用户将他们的LAN扩展到MAN和WAN。SDLC同步数据链路控制（Synchronous Data Link Control, SDLC)协议是基于使用专用租用链路以及永久物理连接的网络的。它主要用在系统网络体系（SNA)中和IBM主机通信。它是面向位的同步协议，已经演化成其他通信协议，诸如HDLC,链路访问规程（Link Access Procedure，LAP)和平衡型链路接入规程(Link Access Procedure-Bal

34、anced, LAPB )。提出SDLC是为了能让主机系统和远程的地方通信。使用SDLC的环境通常有控制从站系统的主系统。SDLC提供轮询介质访问技术，它是使从站能在网络上通信的机制。HDLC高级数据链路控制（High-level Data Link Control, HDLC)协议也是面向位的链路层协议，用于同步线路上的传输。HDLC是SDLC的扩展，后者主要用在SNA环境中。HDLC提供高吞吐量，因为它支持全双工传输，用于点到点和多点连接。和SDLC 样，HDLC用主站联系从站来建立数据传输。虚拟专用网（Virtual Private Network，VPN)是公共网络或其他不安全环境中的

35、安全专用连接。之所以是专用连接是因为采用加密和隧道协议来保证传输中数据的保密和完整性。需要记住的是，VPN技术需要隧道才能运行；它同时还进行加密。用于VPN的协议有点到点隧道协议（PPTP)、IPSec和L2TP。隧道（Tunnel)是跨过网络的虚拟通路，传送封装的甚至可能被加密的数据包。封装是指给帧添加一个额外的报头或报尾。隧道协议添加这些报头和报尾，以便包能够在某种网络上传输。点对点协议（PPP)并不是真正的隧道协议，而是一种封装协议。PPP用于封装消息，并且通过串行线在网络上传输。因此，PPP被用于允许TCP/IP及其他协议在拨号线路上传输。PPP用于在路由器之间、用户到路由器和用户之间

36、建立拨号连接。PPP还用于在计算机和因特网接入点（Point of Presence，PoP)之间建立因特网连接。PoP通常是ISP站点的一组调制解调器和接入服务器。用户通过拨号线路拨入PoP,用PPP协议通信。T1线是一个串行连接，即传完一个比特再传下一个比特。流量在传输到串行连接之前需要封装，这个封装过程由PPP协议完成。PPP把来自网络和计算机的数据封装成一个能在电话线上传输的格式。PPP使用起始和结束比特处理我们的数据，以便另一端知道如何处理数据。PPP允许我们配置和创建因特网连接。建立连接后，用户需要在ISP的网络认证服务器进行身份认证。PPP可以使用密码认证协议（PAP)、质询握手

37、认证协议（CHAP),或可扩展认证协议（EAP)来进行身份认证。目前用来建立VPN的三个主要隧道协议是IPSec、PPTP和L2TP。PPTP是微软公司设计的一种协议。它允许远程用户和本地ISP建立PPP连接，然后建立一个到达目的地的安全VPN。这些年来，PPPT已经成为事实上的行业标准隧道协议。尽管隧道协议默认并不加密用户数据，但是大多数情况下是加密的。使用PPTP时，PPP载荷用微软点对点加密协议(MPPE)进行加密,MPPE中使用了 MS-CHAP或EAP-TLS加密算法。用于数据加密的密钥，是在用户和认证服务器之间的认证过程中产生的。加密之后，数据帧还要经过封装。PPTP技术需要一系列

38、的封装。用户数据首先用PPP数据格式进行封装，然后这一数据帧由PPTP协议增加一个通用路由封装（GRE)头和一个IP头。这样封装以后产生的帧可以通过公共网络传输，如因特网。PPTP的一个限制是它只能工作在IP网络上，所以必须使用其他协议来传输数据，比如帧中继、X.25和ATM链路。Cisco公司开发了一个第二层转发协议（L2F)，可以通过其他类型的网络传输PPP流量,但是IETF要求Cisco结合PPTP协议以便实现互操作。最后，Cisco结合PPTP和L2F的优点开发了 L2TP协议。L2TP提供了PPTP的功能，但是它可以工作在IP以外的网络上，而且结合IPSec提供了更高的安全性。L2T

39、P不提供任何的加密和认证服务，因此在需要这些服务的时候必须和IPSec结合使用。L2TP的封装过程与PPTP类似，PPP帧用L2TP进行封装。当目标系统收到一个L2TP帧时，它首先处理头信息。一旦遇到IPSec的尾部，它首先验证数据帧的完整性和真实性，然后用ESP的头信息解密剩下的头信息和载荷数据。下面列出PPTP和L2TP的区别：PPTP只能运行在IP网络中。L2TP正相反，能运行在使用其他协议（如帧中继、X.25和ATM)的网络中，在网络中建立隧道。PPTP是一种加密协议而L2TP不是；因而，L2TP不能称为真正的VPN解决方案，它缺少安全机制。许多时候L2TP与IPSec结合，提供必要的

40、加密。L2TP 支持 TACACS+和 RADIUS, PPTP 不能。密码验证协议（PAP)是远程用户在PPP线路上使用的验证协议。PAP是最不安全的验证方法之一，因为它以明文形式发送证书，这使得它很容易被网络窃听者截获。虽然并不推荐使用，但如果一些系统无法应用任何其他的验证协议，此时还是得依赖PAP。质询握手验证协议（CHAP)解决了 PAP的一些弱点。它采用一种质询/响应机制对用户进行验证，而不用发送密码。当用户希望建立一个PPP连接，双方同意使用CHAP进行验证时，用户的计算机就向验证服务器发送一个登录请求。服务器向用户送出一个质询，即一个随机值。这个质询使用预先定义的密码作为加密密钥

41、进行加密，加密后的质询值返回给服务器。验证服务器也使用预先定义的密码作为加密密钥对质询值进行解密，并将它和送出的原始值进行比较。如果两个值相同，验证服务器认为用户一定输入了正确的密码，并批准验证。PPP还支持可扩展验证协议（EAP)。事实上，EAP并不像PAP和CHAP 样属于特殊的验证机制；相反，它提供一个框架，使得许多类型的验证技巧能够在PPP连接中使用。顾名思义，它对验证方法进行扩展，从常规方法（PAP和CHAP)扩展到其他方法，如一次性密码、令牌卡、生物识别、Kerberos等机制。因此，当用户连接一个验证服务器，且双方都拥有EAP功能，它们就能协调使用更多可能的验证方法。信号以频率和

42、振幅为测量标准。信号频率规定所传送数据的数量与距离。频率越高，传送的数据越大；但频率越高，信号越容易受到环境的干扰。虽然频率越高，传输的数据越多，但能传输的距离却越短。在美国，联邦通信委员会（FCC)负责频率分配并实施自己的限制。扩频是指以某种方式超越分配的频率给单独信号分配频率。在使用扩频技术时，发射机会扩张数据以允许通信的频率。因为发射系统一次能够使用不只一个频率，这样可以实现对有效带宽的高效利用。我们从连续通信与平行通信两方面进行对比。在连续通信中，所有数据必须先后进入一条通道：在平行通信中，数据可经由几条通道到达目的地。因为一次可使用多条通道，平行通信是一种更加快捷的通信方法。跳频扩频

43、（FHSS)利用整个带宽（频谱）并将它分割成更小的子通道。直接序列扩频直接序列扩频（DSSS)采用一种将子比特用于信息中的不同方法。在传输数据前，发射系统用子比特生成一种不同的数据格式。接收端应用这些子比特将信号重新组合成原始数据格式。这些子比特叫做碎片，它们的应用顺序则被称之为碎码。子比特提供错误校正指示，就像是RAID技术中的奇偶校正一样。如果应用FHSS的数据遭到破坏，就必须重新发送；但应用DSSS，即使信息出现某种程度的扭曲，信号仍然能够还原，因为我们能够从碎码比特中复原它。因此这种模式具有抗干扰的特点，并能够跟踪多条传输通道，保证了数据的安全。FHSS VS. DSSS FHSS任何

44、时候都只使用了一部分有效带宽，而DSS技术连续应用所有有效带宽。DSSS将信号扩散到一个更大的频率波段上，而FHSS仅使用窄波段载波。WLAN组件信道（Channel）指一个给定频率段中的某个频率。用户需要访问各种资源、具有不同的业务功能或拥有不同的信任级别。AP可以用两种方式对无线设备进行验证：开放系统验证（OSA)和共享密钥验证(SKA)。OSA并不需要无线设备向AP证明它有一个实现验证的加密密钥。在许多情况下，无线设备只需要提供正确的SSID值。在OSA中，所有传输都以明文形式进行，并没有使用加密方法。因此入侵者能够窃听流量，截获必要的验证步骤，只要按照相同的步骤通过AP的验证即可建立连

45、接。当AP被配置使用SKA时，AP会向无线设备发送一个随机值。设备用它的加密密钥对这个值进行加密，再将结果返回。AP解密并提取响应，如果这个值和原始值相同，设备即通过验证。在这种方法中，无线设备证明它拥有必要的加密密钥，从而获得网络的验证。这种方法基于有线等效加密（WEP)协议，它也能对数据传输进行加密。802.11标准概括说明无线客户端和AP如何进行通信、列出界面的规范、规定信号的传输方式，并描述如何执行验证、合作和安全。802.11b提供高达11 Mb/s的传输率，并在2.4GHz频率范围内工作。它使用DSSS,与802.11标准向后兼容。但802.1 la使用OFDM并在5 GHz频率段

46、下工作。OFDM是一种调制方案（FHSS和DSSS是另外两种调制方案），它分解几个窄带信道上的一个信号：然后信道被调制并通过特定的频率发送。通过对经由这些不同信道（频谱）数据的划分，任何环境干扰只会衰减一小部分信号。这样就可实现更大的吞吐量。和FHSS和DSSS 样，OFDM也是一个物理层规范，可用它来传输高清晰的声频和视频广播及WLAN流量。这种技术具有两个方面的优点：速度和频率。802.1 la支持高达54 GHz的传输率，开且不占用己经非常拥挤的2.4 GHz频谱。2.4 GHz频率段被称作“脏乱”频率，因为己经有几种设备在那里工作微波、无绳电话、婴儿监护器等。在许多情况下，这意味着访问

47、和使用这个频率可能造成数据丢失或服务不充分。但因为802.11a在更高频率下工作，它并不像802.11b和802.11g标准一样提供相同的频率范围。与AP距离较短（长达25英尺）时，802.11a能够获得最大速度。使用5 GHz频率范围的一个缺陷在于其他国家不一定分配这个波段用于WLAN传输。因此802.Ua产品可在美国使用，但不一定能够在世界其他国家使用。802.11e这个工作小组己提供QoS和多媒体流量支持。在数据传输方面，多媒体和其他类型的时间敏感应用程序不能容忍太长的时间延迟。QoS提供流量优化功能和有保证的传输。这个规范和它的功能为不同类型的数据通过无线连接传输打开方便之门。802.

48、11f当用户进入WLAN网络时，他的无线设备需要与不同的AP建立通信。每个AP只能覆盖一定的范围，当用户移出第一个AP的范围时，需要由另一个AP接替和维持信号来保证网络连接：这种情况叫做漫游。要支持无缝漫游，AP之间需要彼此通信。如果第二个AP需要接替用户的通信，它必须确信用户通过适当的验证，并必须了解用户连接的必要设置。这表示第一个AP需要能够把这些信息传送给第二个AP。在漫游过程中，不同AP间的信息传送由802.11f负责处理，它概括了这些数据的合理共享方式。802.11h标准建立在802.11a规范之上，以满足欧洲无线规则的要求，因此在这个范围内工作的产品能够在欧洲国家应用。在核心标准，以及这个技术的各种应用中都发现了一些缺陷。为解决这些问题，IEEE成立了一个新的工作小组以对标准进行改进，并修复当前无线应用中存在的漏洞。原始802.11标准中存在的缺陷包括：没有用户验证、没有无线设备和AP间的相互验证、加密协议存在缺陷等。新WLAN标准802.1 li整合可扩展验证协议（EAP)和802.IX (在本节后面介绍）来执行用户验证和相互验证。为检测传输过程中比特是否遭到修改，它还整合了消息完整性代码（MIC)。暂时密钥完整性协议（TKIP)生成加密过程中用到的随机值，这使得攻击者更难破解流