® Powered by APN GW Architecture 培训教材 APNGW培训教材
声 明
本公司对本手册的内容保留在不通知用户的情况下更改的权利。未经本公司书面许可,本手册的任何部分不得以任何形式手段复制或传播。
Version 1.0.1
【Text Part Number: T03-09-03-G12】
Document Status: Approved
Data: 07/Aug/2003
Documentation also available on the Website
APN GW网络维护工程师培训教材
2
APNGW培训教材
目 录
第一章 网络技术基础 ..................................................................................................................... 5
第一节 因特网简介 ............................................................................................................... 5
Internet历史 ............................................................................................................ 5 Internet简单原理 .................................................................................................... 5 Internet趣事 ............................................................................................................ 6 第二节 网络知识 ..................................................................................................................... 6
协议简介 ................................................................................................................... 6 网线 ........................................................................................................................... 7 集线器,交换机简介 .................................................................................................. 9 路由器 ....................................................................................................................... 9 ADSL简介 ............................................................................................................. 10 网卡,MAC地址 ...................................................................................................... 11 IP地址 .................................................................................................................... 12 DHCP服务 ............................................................................................................ 13 DNS ........................................................................................................................ 13 局域网 ..................................................................................................................... 14
第二章 VPN相关技术 ................................................................................................................. 15
第一节 VPN简介 ................................................................................................................ 15
VPN简介 ............................................................................................................... 15 IPSec协议简介 ..................................................................................................... 16 IPSec中的三个主要协议 ..................................................................................... 17 第二节 密码技术 ................................................................................................................. 18
对称加密 ................................................................................................................. 19 非对称加密 ............................................................................................................. 19 Hash加密 .............................................................................................................. 19 第三节 防火墙相关技术 ....................................................................................................... 19
数据包过滤型防火墙 ............................................................................................. 20 应用级网关型防火墙 ............................................................................................. 21 代理服务型防火墙 ................................................................................................. 21 复合型防火墙 ......................................................................................................... 21 端口基础知识 ......................................................................................................... 21 关于木马的基本知识 ............................................................................................. 22
第三章 APNGW使用和维护 ....................................................................................................... 24
第一节 使用console配置APN .......................................................................................... 24
外观接口 ................................................................................................................. 24 连接Console线 .................................................................................................... 24 连接局域网 ............................................................................................................. 25 连接广域网 ............................................................................................................. 25 使用console线管理apn设备 ............................................................................ 25
APN GW网络维护工程师培训教材
3
APNGW培训教材
第二节 使用浏览器配置APN ............................................................................................ 29
基本配置 ................................................................................................................. 30 打开外网访问许可 ................................................................................................. 30 设置网络参数 ......................................................................................................... 30 防火墙配置 ............................................................................................................. 30 VPN网络访问控制................................................................................................ 31 提供远程登录服务 ................................................................................................. 31 提供DNS服务 ...................................................................................................... 31 提供DHCP服务 ........................................................................................................... 31 第三节 APN产品维护 .......................................................................................................... 32
检测流程图 ............................................................................................................. 32 使用ping命令 ....................................................................................................... 33 使用apnping命令................................................................................................. 33 使用traceroute命令 ............................................................................................. 33 使用ifconfig命令 .................................................................................................. 33 使用route命令 ...................................................................................................... 34 使用ipsec命令 ..................................................................................................... 35 重建所有隧道 ......................................................................................................... 35 查看最后的输出日志 ............................................................................................. 35 如何判断内网故障 ................................................................................................. 35 如何判断外网故障 ................................................................................................. 36 如何判断机器硬件(或系统)故障 ..................................................................... 36
APN GW网络维护工程师培训教材
4
APNGW培训教材
第一章 网络技术基础
第一节 因特网简介
Internet是世界各地的计算机相互间通信的方法和手段,是信息的载体和传输系统,是连接全世界计算机的纽带,是一个功能强大的工具。
Internet网络目前正受到了越来越多人的欢迎,其原因是Internet是目前世界上覆盖范围最大,用户最多,资源最丰富、最实用的一种计算机网络。它集通信、娱乐、资源共享于一体,是现代社会进行信息交流的高速公路。
Internet丰富的联机信息,几乎已覆盖了所有领域,一旦与Internet网连接,就可以进行:共享资源,交流信息,信息的获取与发布。
Internet历史
Internet的历史要追溯到20世纪60年代末70年代初的ARPAnet,当时苏联发射了人类第一颗人造地球卫星\"Sputnik\"。作为响应,美国国防部(DoD)组建了高级研究计划局(ARPA),这是美国国防部高级研究计划局建立的,世界上最早出现的计算机网络。现代计算机网络的许多概念和方法,如分组交换技术都来自ARPAnet。ARPAnet不仅进行了租用线互联的分组交换技术研究,而且做了无线、卫星网的分组交换技术研究-其结果导致了TCP/IP问世。1977-1979年,ARPAnet推出了目前形式的TCP/IP体系结构和协议。
1980年前后,ARPAnet上的所有计算机开始了TCP/IP协议的转换工作,并以ARPAnet为主干网建立了初期的Internet。1983年,ARPAnet的全部计算机完成了向TCP/IP的转换,并在UNIX(BSD4.1)上实现了TCP/IP。ARPAnet在技术上最大的贡献就是TCP/IP协议族的开发和应用。1985年,美国国家科学基金组织NSF采用TCP/IP协议将分布在美国各地的6个为科研教育服务的超级计算机中心互联,并支持地区网络,形成NSFnet。1986年,NSFnet替代ARPAnet成为Internet的主干网。1988年Internet开始对外开放。1991年6月,在连通Internet的计算机中,商业用户首次超过了学术界用户,这是Internet发展史上的一个里程碑,从此Internet成长速度一发不可收拾。
1994年是中国人值得纪念的一年,该年4月,中国首次加入了Internet。
美国国家科学基金会1996年设立下一代\"Internet2\"研究计划NGI,进行高速计算机网络及其应用研究。 1999年2月,Internet2主干网的重要组成部分在美国华盛顿开始试运行。
Internet简单原理
你一旦启用Internet,你可把信息传递给网络上任何一个人,甚至可以把信息传递给与Internet相连的其它网络上的人们。使那些原本昂贵或维护困难的资源能被网络中任何人使用。在Internet上,我们共享的是信息资源,而不是共享硬件。局域网(LAN) 是由某种类型的电缆把计算机直接连在一起的网络。把局域网连在一起所组成的网络叫广域网(WAN)。大多数的广域网是通过电话线路连接的, 少数的也采用其它类型的技术,如卫星通讯。Internet
APN GW网络维护工程师培训教材
5
APNGW培训教材
中大多数广域网连接是通过电话系统。实际上,在发展中国家建立Internet服务的瓶颈通常是缺乏快速可靠的通信系统。
下面就是一个很典型的网络例子,设想你坐在一所大学的社会科学计算中心房间里,里面放满了计算机。你的计算机在这一局域网中,与房间中所有其它的计算机相连,也与整栋建筑内的办公室的计算机相连。
在一个学校,有很多的局域网。例如,心理学系有自己的计算机网络,数学系、计算机科学系等等也有。这些局域网中的每一台机器都连在一个作为主干的高速通路上,构成一个校园的广域网。
以上是一个大学的例子,很多其它的机构,如公司、政府机关、研究单位、其它种类的学校等,其实也是相似的。如果是小机构,可以只要一个局域网,大机构可把多个局域网连成一个或多个复杂的广域网,紧接着大量的局域网和广域网再组合起来。
换句话说,我们可以认为:Internet就是通过大量的路由器将无数局域网和广域网组成的巨大网络。
Internet趣事
1992—World Wide Web诞生。 在创造了 We b 后仅仅两年,国家科学基金会就放弃了它加在 I n t e r n e t 上的商业限制。这个举动导致了一次实际的大爆发。商务活动乘机大举进攻,在 I n t e r m e t 网上攻城掠地。此时, A R PANET 已经退役多时。第一根横跨大西洋的电缆怎么样了呢?这根伟大的跨大西洋电缆在 3 0 年前发送了最后一条报文,然后被送进了博物馆。
在 A R PA 为最初的连网研究提供经费时,任何人也不会想到 I n t e r n e t 会发展得如此之快。从1960年的 4 个用户发展到现在的几个亿用户,几乎是每 1 . 7 5 秒就增加一个新用户。
1987年9月20日,钱天白教授发出我国第一封电子邮件\"越过长城,通向世界\",揭开了中国人使用Internet的序幕。钱天白教授负责的CANET(Chinese Academic Network)国际联网项目是在1986年由北京市计算机应用研究所实施的科研项目,其合作伙伴是原西德的卡尔斯鲁厄KARLSRUHE)大学。钱天白教授发出的这封电子邮件是通过意大利公用分组网ITAPAC设在北京侧的PAD机,经由意大利ITAPAC和德国DATEX―P分组网,实现了和德国卡尔斯鲁厄大学的连接,通讯速率最初为300bps。
第二节 网络知识
网络之间的通讯,主要是由于各种协议。协议,就象一种语言。不同种族、不同国家的人,可以通过同样的语言进行交流。TCP/IP就像现实时间的英语那样,是一种通用的、也是流行的交流手段。
协议简介
TCP/IP是用于计算机通信的一组协议,我们通常称它为TCP/IP协议族。它是70年代中期美国国防部为其ARPANET广域网开发的网络体系结构和协议标准,以它为基础组建的INTERNET是目前国际上规模最大的计算机网络,正因为INTERNET的广泛使用,使得
APN GW网络维护工程师培训教材
6
APNGW培训教材
TCP/IP成了事实上的标准。之所以说TCP/IP是一个协议族,是因为TCP/IP协议包括TCP、IP、UDP、ICMP、RIP、TELNETFTP、SMTP、ARP、TFTP等许多协议,这些协议一起称为TCP/IP协议。以下我们对协议族中一些常用协议英文名称和用途作一介绍:
TCP(Transport Control Protocol)传输控制协议 IP(Internetworking Protocol)网间网协议
UDP(User Datagram Protocol)用户数据报协议
ICMP(Internet Control Message Protocol)互联网控制信息协议 SMTP(Simple Mail Transfer Protocol)简单邮件传输协议 SNMP(Simple Network manage Protocol)简单网络管理协议 FTP(File Transfer Protocol)文件传输协议
ARP(Address Resolation Protocol)地址解析协议
从协议分层模型方面来讲,TCP/IP由四个层次组成:网络接口层、网间网层、传输层、应用层。
网络接口层:
这是TCP/IP软件的最低层,负责接收IP数据报并通过网络发送之,或者从网络上接收物理帧,抽出IP数据报,交给IP层。 网间网层:
负责相邻计算机之间的通信。其功能包括三方面。一、处理来自传输层的分组发送请求,收到请求后,将分组装入IP数据报,填充报头,选择去往信宿机的路径,然后将数据报发往适当的网络接口。二、处理输入数据报:首先检查其合法性,然后进行寻径——假如该数据报已到达信宿机,则去掉报头,将剩下部分交给适当的传输协议;假如该数据报尚未到达信宿,则转发该数据报。三、处理路径、流控、拥塞等问题。 传输层:
提供应用程序间的通信。其功能包括:一、格式化信息流;二、提供可靠传输。为实现后者,传输层协议规定接收端必须发回确认,并且假如分组丢失,必须重新发送。 应用层:
向用户提供一组常用的应用程序,比如电子邮件、文件传输访问、远程登录等。远程登录TELNET使用TELNET协议提供在网络其它主机上注册的接口。TELNET会话提供了基于字符的虚拟终端。文件传输访问FTP使用FTP协议来提供网络内机器间的文件拷贝功能。
网线
选择一个网线系统要考虑到很多因素﹐比如﹐您的网络架构 --- 您需要什么样的物理形态和逻辑形态﹖什么样的网线既不会超支预算又可以符合传输要求(速度和距离)﹖您需要什么样的接头来连接它们﹖等等。同时﹐不同类型的数据要求(如纯文字﹑大量的图片﹑影像﹑和语音等)﹐以及计算机之间的距离长短﹐也会影响到网线的取材。
网线也有分好几种类型,这里我们只简单说说我们的产品所使用也是局域网最常使用的双绞线(Twisted Pair Cable)和所用的接头。
双绞线通常由两对或四对相互缠绕的铜线组成。为什么要把线缠绕着呢﹖因为任何电流流经导体都会产生电波干扰 (RFI﹐ Radio Frequency Interference),在网络传输中,我们
APN GW网络维护工程师培训教材
7
APNGW培训教材
称这类干扰为 \"串音\" (Cross Talk)。若是相邻的导体的电流方向是一致的话,那彼此的干扰就会重叠﹔但若是电流方向相反的话,则彼此抵消。因此,将两条线相互的旋转缠绕着的话﹐一来可以更容易确保其电流方向是相反的,同时彼此产生的干扰也会因其缠扰而抵消得更彻底。双绞线还分为屏蔽双绞线(STP﹐Shielded Twisted Pair) 和非屏蔽双绞线(UTP﹐Unshielded Twisted Pair)。其唯一分别是 STP 有一层导电金属膜将每对双绞线包裹起来﹐提供更透彻的抗干扰能力。当然﹐STP 比 UTP 要贵多了﹐但在一些 UTP 实在应付不来的场合里﹐还是物有所值的。它们的外观分别如图﹕
网线接头
RJ-45 接头通常是给双绞线使用的。其形状很似我们日常使用的电话接头﹐不过体积比较大些而已。仔细数数接头﹐上面应该有 8 根铜脚﹔其另一边是个可压式的塑料卡荀﹐当您把它插进网卡或墙跟的插座﹐这个卡荀就会把接头锁好在插座里面﹐要取出来把卡口按下则可。从下图您可以看出 RJ-45 接头的模样﹕
使用 RJ-45 的联机﹐必须使用集线器(HUB)或 SWITCH﹐所有的计算机都必须先接到 HUB 上面才可以彼此沟通。如果只是两台计算机之间的联机﹐您也可以不要 HUB﹐但您得为您的 RJ-45 接头动动手术﹕将一端的第 1 线接到另一端的第 3 线﹑一端的第 2 线接到另一端的第 6 线。方向是网线在接头左边﹐铜线向自己(如上图)﹐从上到下数。
实践:网线的标准和网线的制作
APN GW网络维护工程师培训教材
8
APNGW培训教材
集线器,交换机简介
集线器的工作原理很简单,以上图为例,图中是一个具备8个端口的集线器,共连接了8台电脑。集线器处于网络的―中心‖,通过集线器对信号进行转发,8台电脑之间可以互连互通。具体通信过程是这样的:假如计算机1要将一条信息发送给计算机8,当计算机1的网卡将信息通过双绞线送到集线器上时,集线器并不会直接将信息送给计算机8,它会将信息进行―广播‖——将信息同时发送给8个端口,当8个端口上的计算机接收到这条广播信息时,会对信息进行检查,如果发现该信息是发给自己的,则接收,否则不予理睬。由于该信息是计算机1发给计算机8的,因此最终计算机8会接收该信息,而其它7台电脑看完信息后,会因为信息不是自己的而不接收该信息。
在计算机网络系统中,交换机是针对共享工作模式的弱点而推出的。集线器是采用共享工作模式的代表,如果把集线器比作一个邮递员,那么这个邮递员是个不认识字的―傻瓜‖——要他去送信,他不知道直接根据信件上的地址将信件送给收信人,只会拿着信分发给所有的人,然后让接收的人根据地址信息来判断是不是自己的!而交换机则是一个―聪明‖的邮递员——交换机拥有一条高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,当控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。目的MAC若不存在,交换机才广播到所有的端口,接收端口回应后交换机会―学习‖新的地址,并把它添加入内部地址表中。
可见,交换机在收到某个网卡发过来的―信件‖时,会根据上面的地址信息,以及自己掌握的―常住居民户口簿‖快速将信件送到收信人的手中。万一收信人的地址不在―户口簿‖上,交换机才会像集线器一样将信分发给所有的人,然后从中找到收信人。而找到收信人之后,交换机会立刻将这个人的信息登记到―户口簿‖上,这样以后再为该客户服务时,就可以迅速将信件送达了。
路由器
路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行―翻译‖,以使它们能够相互―读‖懂对方的数据,从而构成一个更大的网络。
APN GW网络维护工程师培训教材
9
APNGW培训教材
路由器有两大主要功能,即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。
我们通过一个例子来说明路由器工作原理。
例:工作站A需要向工作站B传送信息(并假定工作站B的IP地址为120.0.5),它们之间需要通过多个路由器的接力传递,路由器的分布如图2所示。
其工作原理如下:
(1)工作站A将工作站B的地址120.0.5连同数据信息以数据帧的形式发送给路由器1。
(2)路由器1收到工作站A的数据帧后,先从报头中取出地址120.0.5,并根据路径表计算出发往工作站B的最佳路径:R1->R2->R5->B;并将数据帧发往路由器2。
(3)路由器2重复路由器1的工作,并将数据帧转发给路由器5。
(4)路由器5同样取出目的地址,发现120.0.5就在该路由器所连接的网段上,于是将该数据帧直接交给工作站B。
(5)工作站B收到工作站A的数据帧,一次通信过程宣告结束。
事实上,路由器除了上述的路由选择这一主要功能外,还具有网络流量控制功能。有的路由器仅支持单一协议,但大部分路由器可以支持多种协议的传输,即多协议路由器。由于每一种协议都有自己的规则,要在一个路由器中完成多种协议的算法,势必会 降低路由器的性能。因此,我们以为,支持多协议的路由器性能相对较低。用户购买路由器时,需要根据自己的实际情况,选择自己需要的网络协议的路由器。
ADSL简介
ADSL其E文全称为Asymmetric Digital Subscriber Line——非对称数字用户专线。它能够在现有的双绞线,既普通电话线上根据当地线路状况提供2-8Mbit/s下行速率和64-640Kbit/s的上行速率。这种下行速率远大于上行速率的非对称结构特别适合internet高速冲浪,宽带视频点播,远程局域网络等下行速率需求大于上行速率需求的应用。ADSL充分利用了现有电话线路,不需要改造和重新建设网络,在电话线两端加装ADSL设备即可,降低了成本减少了用户上网费用。ADSL传输距离可达3-5公里,根据现在电话网的状况,城镇居民中90%的用户均能享用ADSL为您带来的高质量的网络服务。
目前被广泛应用的ADSL调制解调技术有两种:CAP、DMT。其中DMT调制解调技术是目前最具前景的调制解调技术,在DMT调制解调技术中一对铜制电话线上0-4KHz频段
APN GW网络维护工程师培训教材
10
APNGW培训教材
用来传输电话音频,用26KHz-1.1MHz频段传送数据,并把它以4KHz的宽度划分为25个上行子通道和249个下行子通道。输入的数据经过比特分配和缓存变为比特块,再经TCM编码及QAM调制后送上子通道,理论上每赫兹可以传输15bits数据,所以ADSL的理论上行速度为1.5Mbps,而理论下行速度为14.9Mbps。此外DMT还具有良好的抗干扰能力,它可以根据实际中线路及外界环境干扰的情况,动态地调整子通道的传输速率。即在有干扰存在的子通道上的传输速率可能降为8bits/Hz,而未受干扰或干扰较小的地方仍可保持较高的速率,同时DMT还可以把受干扰较大的子通道内的数据流转移到其它通道上。这样既保证了传输数据的高速性又保证了其完整性。
首先ADSL具有具有很高的传输速率,其下行2-8Mbit/s,上行64K-640kbit/s的传输速度,为普通拨号modem的百倍以上;
其次ADSL上网和打电话互不干扰,ADSL数据信号和电话音频信号以频分复用原理调制于各自频段互不干扰,您上网的同时可以使用电话,避免了拨号上网的烦恼;
其三ADSL独享带宽安全可靠,cable modem下行虽然可达到20Mbit/s,但由于是一种粗糙的总线型广播网络,结点下的几千上万用户挣抢20Mbit/s的带宽,其效果就可想而知了,更为严重的是由于总线型网络先天的广播特性,造成了信息传输的不安全性,ADSL利用中国电信深入千家万户的电话网络,先天形成星型结构的网络拓扑构造,骨干网络采用中国电信遍布全城全国的光纤传输,各结点采用ATM宽带交换机处理交换信息,您独享2-8Mbit/s带宽,信息传递快速可靠安全;
其四ADSL费用低廉,虽然电话线同时传递电话语音和数据,但数据并不通过电话交换机,因此您不用拨号,一直在线,属于专线上网方式,这意味着使用ADSL上网不需要缴纳拨号上网的电话费用,为您省下一笔资金;其五ADSL安装快捷方便,在现有电话线上安装ADSL,只需在用户侧安装一台ADSLmodem和一只电话分离器[由电信部门免费提供],用户线路不用改动,极其方便;最后也是最最重要的是ADSL能提供多种先进服务,ADSL可提供多种以前家用网络不敢想也没能真正实现的先进服务,如建立个人网站,提供真正的视频点播VOD,网上游戏,交互电视,网上购物等等宽带多媒体服务,远程LAN接入,远地办公室,在家工作等等高速数据应用,远程医疗,远程教学,远地可视会议,体育比赛现场既时传送等等。
网卡,MAC地址
稍有些组网经验的人都知道,网卡在使用中有两类地址需要注意:一类是MAC地址,即网卡的物理地址。这是网卡自身的唯一标识,就像我们的身份证一样,一般不能随意更改;另一类就是IP地址,亦称为逻辑地址,可以视情况随意更改。
MAC地址是Ethernet协议使用的地址,工作于局域网中,其为48位长,一般由6位00~0FFH之间的十六进制数中间用―-‖隔开表示,如―52-54-AB-22-40-87‖。其中前面数位为生产厂商代码,每个Ethernet NIC厂家都必须申请一组专用的MAC地址,后面数位为产品序号,MAC地址在生产NIC时编程于NIC卡上的EEPROM中。由于网卡根据MAC地址发送和接受数据包,所以原则上任何两个NIC的MAC地址,不管是哪一个厂家生产的都不应相同。但由于种种原因,个别产品还会出现同号的现象,但一般要相应销售于不同的地区。
IP地址是Internet协议地址,地址现为32位长,通常用4位―.‖分隔的0~255之间的十进制数的形式表示,如―192.168.0.1‖。IP地址有 A、B、C三类:
APN GW网络维护工程师培训教材
11
APNGW培训教材
A类: 1字节的网络地址和3字节的主机地址,地址范围0.0.0.0—127.255.255.255, 有126个网络结点,每个网络结点可接主机16777214台,特大公司使用,几乎全由美国公司拥有。
B类: 2字节的网络地址和2字节的主机地址,地址范围128.0.0.0—191.255.255.255, 有16382个网络结点,每个网络结点可接主机65534台,中型公司使用。
C类: 3字节的网络地址和1字节的主机地址,地址范围192.0.0.0—233.255.255.255,有2097150个网络结点,每个网络结点可接主机254台,小型公司使用。
其中:不能在任何部分使用0和255,它们被保留以作特殊用途,127.0.0.1被称为回送地址,可以用来测试主机网络协议是否安装正确,192.168.0.0~192.168.255.255在Internet上保留起来并不使用,所以组建接入Internet的局域网时,一般都使用这些地址。
那么,怎样获取MAC地址呢? 1.WINIPCFG
从中我们可以得到非常详细的网卡信息,而且还是图形界面。使用时只要在―开始——运行‖中敲WINIPCFG即可,适配器地址即MAC地址。点―详细信息‖,会出现更多的网络信息。
2.IPCONFIG /all
windows NT和以上操作系统的命令行模式下可以输入这个命令查看各个网卡的mac地址。
IP地址
众所周知,在电话通讯中,电话用户是靠电话号码来识别的。同样,在网络中为了区别不同的计算机,也需要给计算机指定一个号码,这个号码就是―IP地址‖。
什么是IP地址
所谓IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。
按照TCP/IP(Transport Control Protocol/Internet Protocol,传输控制协议/Internet协议)协议规定,IP地址用二进制来表示,每个IP地址长32bit,比特换算成字节,就是4个字节。例如一个采用二进制形式的IP地址是―00001010000000000000000000000001‖,这么长的地址,人们处理起来也太费劲了。为了方便人们的使用,IP地址经常被写成十进制的形式,中间使用符号―.‖分开不同的字节。于是,上面的IP地址可以表示为―10.0.0.1‖。IP地址的这种表示法叫做―点分十进制表示法‖,这显然比1和0容易记忆得多。
有人会以为,一台计算机只能有一个IP地址,这种观点是错误的。我们可以指定一台计算机具有多个IP地址,因此在访问互联网时,不要以为一个IP地址就是一台计算机;另外,通过特定的技术,也可以使多台服务器共用一个IP地址,这些服务器在用户看起来就像一台主机似的。
如何分配IP地址
TCP/IP协议需要针对不同的网络进行不同的设置,且每个节点一般需要一个―IP地址‖、一个―子网掩码‖、一个―默认网关‖。不过,可以通过动态主机配置协议(DHCP),给客户端自动分配一个IP地址,避免了出错,也简化了TCP/IP协议的设置。
那么,局域网怎么分配IP地址呢?互联网上的IP地址统一由一个叫―IANA‖(Internet Assigned Numbers Authority,互联网网络号分配机构)的组织来管理。
附表:局域网使用的ip地址范围
APN GW网络维护工程师培训教材
12
APNGW培训教材
由于分配不合理以及IPv4协议本身存在的局限,现在互联网的IP地址资源越来越紧张,为了解决这一问题,IANA将A、B、C类IP地址的一部分保留下来,留作局域网使用的IP地址空间,保留IP的范围如附表所示。
保留的IP地址段不会在互联网上使用,因此与广域网相连的路由器在处理保留IP地址时,只是将该数据包丢弃处理,而不会路由到广域网上去,从而将保留IP地址产生的数据隔离在局域网内部。
在局域网内计算机数量少于254台的情况下,一般在C类IP地址段里选择IP地址范围就可以了,如从―192.168.1.1‖到―192.168.1. 254‖。
如何设置IP地址
那么如何来设置IP地址呢?以Windows 2000 Server为例,在桌面的―网上邻居‖上右击,在弹出的菜单中点击―属性‖,出现―网络和拨号连接‖窗口,在―本地连接‖上右击,在弹出的菜单中点击―属性‖,出现―本地连接属性‖窗口(请见下图),双击―Internet协议(TCP/IP)‖,出现―Internet协议(TCP/IP)属性‖窗口,在―使用下面的IP地址‖中输入IP地址,此处我们输入―192.168.12.145‖,子网掩码是―255.255.255.0‖。
DHCP服务
提供主机 IP 地址的动态租用配置、并将其他配置参数分发给合法网络客户端的 TCP/IP 服务协议。DHCP 提供了安全、可靠、简便的 TCP/IP 网络配置,能避免地址冲突,并且有助于保留网络上客户端 IP 地址的使用。
DHCP 使用客户端/服务器模型,通过这种模式,DHCP 服务器集中维持网络上使用的 IP 地址的管理。然后,支持 DHCP 的客户端就可以向 DHCP 服务器请求和租用 IP 地址,作为它们网络启动过程的一部分。
DNS
IP不便于记忆,为了便于人们记忆使用,因此将IP地址进行符号化,符号后的INTERNET地址是域名。域名地址的定义采用了层次型的结构: 第n级子域名·„·第2级子域名·第 1级子域名(2 13 APNGW培训教材 名字 从左向右构造,表示的范围由小到大,一个层次称为子域名,子域名之间用“·”分隔。长度小于255字符。 DNS 可以用来按友好用户名称查找计算机和服务的位置,而不用记忆IP地址。 局域网 一、局域网的特征: 局域网分布范围小,投资少,配置简单等,具有如下特征: 1.传输速率高:一般为1Mbps--20Mbps,光纤高速网可达100Mbps,1000MbpS 2.支持传输介质种类多。 3.通信处理一般由网卡完成。 4.传输质量好,误码率低。 5.有规则的拓扑结构。 传输介质:目前常用的传输介质有双绞线,同轴电缆,光纤等。 双绞线(TP): 将一对以上的双绞线封装在一个绝缘外套中,为了降低干扰,每对相互扭绕而成。分为非屏蔽双绞线(UTP)和屏蔽双绞线(STP).局域网中UTP分为3类,4类,5类和超5类四种。 以AMP公司为例: 3类:10Mbps,皮薄,皮上注“cat3’,箱上注“3类”,305米/箱,400元/箱 4类:网络中用的不多 5类:(超5类)100Mbps,10Mbps,皮厚,匝密,皮上注“cat5”,箱上注5类,305米/箱,600—700元/箱(每段100米,接4个中继器,最大500米) 接线顺序: 508B: 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕 1 2 3 4 5 6 7 8 508A: 白绿 绿 白橙 蓝 白蓝 橙 白棕 棕 1 2 3 4 5 6 7 8 光纤: 应用光学原理,由光发送机产生光束,将电信号变为光信号,再把光信号导入光纤,在另一端由光接收机接收光纤上传来的光信号,并把它变为电信号,经解码后再处理。分为单模光纤和多模光纤。绝缘保密性好。 单模光纤:由激光作光源,仅有一条光通路,传输距离长,2公里以上。 多模光纤:由二极管发光,低速短距离,2公里以内。 APN GW网络维护工程师培训教材 14 APNGW培训教材 第二章 VPN相关技术 第一节 VPN简介 VPN简介 利用公共网络来构建的私人专用网络称为虚拟私有网络(VPN,Virtual Private Network)。能够用于构建 VPN 的公共网络包括 Internet 和服务提供商所提供的帧中继、ATM 等,构建在这些公共网络上的 VPN 将象当前企业私有的网络一样提供安全性、可靠性和可管理性等。 ―虚拟‖的概念是相对传统私人专用网络的构建方式而言的,对于广域网连接,传统的组网方式是通过远程拨号和专线连接来实现的,而 VPN 是利用服务提供商所提供的公共网络来实现远程的广域连接。通过 VPN 如图所示,企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。 APN GW网络维护工程师培训教材 15 APNGW培训教材 IPSec协议简介 IPSec(1P Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。 最初的一组有关IPSec标准由IETF在1995年制定,但由于其中存在一些未解决的问题,从1997年开始IETF又开展了新一轮的IPSec的制定工作,截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来IETF又会进行下一轮IPSec的修订工作。 3.1 IPSec基本工作原理 类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种:丢弃或转发。 IPSec工作原理示意图 IPSec通过查询SPD(Security P01icy Database安全策略数据库)决定对接收到的IP APN GW网络维护工程师培训教材 16 APNGW培训教材 数据包的处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外,还有一种,即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。 进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,.也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性,真实性,完整性,通过Internet进新安全的通信才成为可能。 IPSec既可以只对IP数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是与其前一节提到的协议工作方式类似的隧道模式,另一种是传输模式。 传输模式,只对IP数据包的有效负载进行加密或认证。此时,继续使用以前的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到IP头部和传输层头部之间。 隧道模式,对整个IP数据色进行加密或认证。此时,需要新产生一个IP头部,IPSec头部被放在新产生的IP头部和以前的IP数据包之间,从而组成一个新的IP头部。 IPSec中的三个主要协议 前面已经提到IPSec主要功能为加密和认证,为了进行加密和认证IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语棗SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个―连接‖。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。 通信双方如果要用IPSec建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接,可以由AH或ESP提供。当给定了一个SA,就确定了IPSec要执行的处理,如加密,认证等。SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。 1)ESP(Encapsulating Secuity Fayload) ESP协议主要用来处理对IP数据包的加密,此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的,几乎可以支持各种对称密钥加密算法,例如DES,TripleDES,RC5等。为了保证各种IPSec实现间的互操作性,目前ESP必须提供对56位DES算法的支持。 ESP协议数据单元格式三个部分组成,除了头部、加密数据部分外,在实施认证时还包含一个可选尾部。头部有两个域:安全策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行安全通信之前,通信双方需要先协商好一组将要采用的加密策略,包括使用的算法、密钥以及密钥的有效期等。―安全策略索引‖使用来标识发送方是使用哪组加密策略来处理IP数据包的,当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。―序列号‖用来区分使用同一组加密策略的不同数 APN GW网络维护工程师培训教材 17 APNGW培训教材 据包。加密数据部分除了包含原IP数据包的有效负载,填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中―下一个头部(Next Header)‖用来指出有效负载部分使用的协议,可能是传输层协议(TCP或UDP),也可能还是IPSec协议(ESP或AH)。 通常,ESP可以作为IP的有效负载进行传输,这JFIP的头UKB指出下广个协议是ESP,而非TCP和UDP。由于采用了这种封装形式,所以ESP可以使用旧有的网络进行传输。 前面已经提到用IPSec进行加密是可以有两种工作模式,意味着ESP协议有两种工作模式:传输模式(Transport Mode)和隧道模式(TunnelMode)。当ESP工作在传输模式时,采用当前的IP头部。而在隧道模式时,侍整个IP数据包进行加密作为ESP的有效负载,并在ESP头部前增添以网关地址为源地址的新的IP头部,此时可以起到NAT的作用。 2)AH(Authentication Header) AH只涉及到认证,不涉及到加密。AH虽然在功能上和ESP有些重复,但AH除了对可以对IP的有效负载进行认证外,还可以对IP头部实施认证。主要是处理数据对,可以对IP头部进行认证,而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性,AH必须包含对HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。 AH既可以单独使用,也可在隧道模式下,或和ESP联用。 3)IKE(Internet Key Exchange) IKE协议主要是对密钥交换进行管理,它主要包括三个功能: ● 对使用的协议、加密算法和密钥进行协商。 ● 方便的密钥交换机制(这可能需要周期性的进行)。 ● 跟踪对以上这些约定的实施。 第二节 密码技术 密码算法可以追溯到2000多年前。最早的加密算法是把26个字母分别移动一个固定的值来完成。 IBM在20世纪60年代推出DES算法,成为世界上最流行的算法之一; 1997年,用70000多台电脑通过Internet花费了96天攻破了DES算法;而到1998年,一个25万美元的机器不到3天攻破了DES; 在新的加密算法推广之前,NIST(NBS美国标准局)用3DES作为标准; 2000年10月2日,NIST选择了AES作为新的标准。 其实这些解密是怎么样的呢?B—加密—B’ ,在已知 B 和B’的情况下,用穷举方法运算求出加密的KEY。128位的加密,需要3.4028236692093846346337460743177e+38次运算;而在不知明文和密文和加密算法的情况下,解密几乎是不可能的。 APN GW网络维护工程师培训教材 18 APNGW培训教材 对称加密 只使用了一个密钥进行加密解密,所以也可以叫做单密钥加密。它对密钥本身没有特殊的要求,通信双方只要有一个相同的密钥就行,一个用户把自己需要发送的数据通过密钥加密成混乱的信息,接受方使用相同的密钥把接受到的信息还原成原始数据,这个方法可以在极短的时间内对大量信息进行加密解密。但是如果密钥在传输过程中就被截获,那么以后的加密过程就形同虚设。 目前使用对称密钥算法的是DES、RC5、RC6、AES、Blowfish和Twofish等,其中最后两种算法位数长,而且加密解密速度很快。 非对称加密 在加密和解密中使用了一对密钥,一个是公用密钥,它对外公开发布,另一个是私有密钥,由用户自己保存。从理论上讲,这种加密方式只要是用户的私有密钥没有丢失或者被窃,那么他们之间加密的信息是绝对不会被破解的。但是它的缺点也非常明显,就是加密速度非常缓慢。由于要进行大量的数学运算,即使加密少量的信息也需要花费大量的时间。例如RSA。 在非对称(公开)密钥密钥体制中,公钥是可以向外公布的,私钥是保密的。加密和解密算法是相同或者不同(但互补)的。当一方要向另一方传送敏感信息的时候,使用对方的公钥对数据进行加密,接收者收到加密信息后,用自己的私钥进行解密。由于私钥是保密的,因此其他截获信息的人无法进行解密,而由于公钥是对外公布的,因此很好地解决了密钥的发放问题。 由于这种体制,加密速度很慢,一般用于身份认证。 Hash加密 是通过数学运算,把不同长度的信息转化到128位编码中,形成Hash值,通过比较这个数值是否正确,来确定通信双方的合法性。这也可以说是数字签名,在数据传输后,可以通过比较Hash值来判断信息途中是否被截获修改,是否由合法的发送人发送或者合法的接收人接收等。用这种方法,可以防止密钥丢失的问题,因为它的加密部分是随机生成的,如果没有正确的Hash值根本就无法解开加密部分,而且它还具备了数字签名的能力,可以证明发送方和接收方的合法身份,具有不可抵赖性,很适用于商业信息的传递。目前使用的有MD4、MD5和SHA。 第三节 防火墙相关技术 Internet的日益普及,互联网上的浏览访问,不仅使数据传输量增加,网络被攻击的可能性增大,而且由于Internet的开放性,网络安全防护的方式发生了根本变化,使得安全问题更为复杂。传统的网络强调统一而集中的安全管理和控制,可采取加密、认证、访问控制、审计以及日志等多种技术手段,且它们的实施可由通信双方共同完成;而由于Internet是一 APN GW网络维护工程师培训教材 19 APNGW培训教材 个开放的全球网络,其网络结构错综复杂,因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术,且主要是用来解决如何利用Internet进行安全通信,同时保护内部网络免受外部攻击。在此情形下,防火墙技术应运而生。 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费 用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。 所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 APN GW网络维护工程师培训教材 20 APNGW培训教材 应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 \\\" 链接 \\\",由两个终止代理服务器上的 \\\" 链接 \\\"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。 此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。 复合型防火墙 由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的 方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。 屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。 屏蔽子 网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。 端口基础知识 端口可分为3大类: 1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。 2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就 APN GW网络维护工程师培训教材 21 APNGW培训教材 是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。 3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。 关于木马的基本知识 木马,也称特伊洛木马,名称源于古希腊的特伊洛马神话,此词语来源于古希腊的神话故事,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。 尽管资深的黑客不屑于使用木马,但在对以往网络安全事件的分析统计里,我们发现,有相当部分的网络入侵是通过木马来进行的,包括去年微软被黑一案,据称该黑客是通过一种普通的蠕虫木马侵入微软的系统的,并且窃取了微软部分产品的源码。 木马的危害性在于它对电脑系统强大的控制和破坏能力,窃取密码、控制系统操作、进行文件操作等等,一个功能强大的木马一旦被植入你的机器,攻击者就可以象操作自己的机器一样控制你的机器,甚至可以远程监控你的所有操作。 木马是如何侵入的? 一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。 目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,如邮件、下载等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这是个木马执行文件是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。 一般的木马执行文件非常小,大到都是几K到几十K,如果把木马捆绑到其它正常文件上,你很难发现的,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,在你执行这些下载的文件,也同时运行了木马。 木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传皤病毒和木马,甚至直接对浏览者电脑进行文件操作等控制,前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的Html页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制Cgi程序在攻击主机上执行木马目录. 木马还可以利用系统的一些漏洞进行植入,如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即在把IIS服务器崩溃,并且同时在攻击服务器执行远程木马执行文件。 木马如何将入侵主机信息发送给攻击者? 木马在被植入攻击主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制攻击主机。 在早期的木马里面,大多都是通过发送电子邮件的方式把入侵主机信息告诉攻击者,有一些 APN GW网络维护工程师培训教材 22 APNGW培训教材 木马文件干脆把主机所有的密码用邮件的形式通知给攻击者,这样攻击都就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马即是如此。 使用电子邮件的方式对攻击者来说并不是最好的一种选择,因为如果木马被发现,可以能过这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。 APN GW网络维护工程师培训教材 23 APNGW培训教材 第三章 APNGW使用和维护 第一节 使用console配置APN 外观接口 APN GW2000背板图 APN GW 2000面板图 连接Console线 用通过APN随机带的RS-232通讯电缆,把APN的系统配置/监控接与控制终端进行互联。 一般用普通电脑作为控制终端。把Console电缆一端直接接在APN GW 1000/2000背面的Console接口上,另外一端连接到电脑的COM口上。接线完成后,按下APN GW电源开关,配置好终端参数,会看到有关APN GW的启动信息和登录提示。 APN GW网络维护工程师培训教材 24 APNGW培训教材 连接局域网 使用标准RJ-45插口的以太网接口。 将APN 的Eth0 端口用RJ45网线连接到本地局域网中。 连接广域网 如使用ADSL上网,用双绞线与ADSL CABLE MODEM上的LAN接口连接到APN GW产品上标注Wan1的接口进行互联。 如使用DDN、Cable Modem、宽带上网的,用双绞线与APN GW WAN1端口相连。 如使用拨号、ISDN等方式上网,您需要把拨号或ISDN的Modem连接在APN的WAN0上。 如果是APNGW2500以上型号设备,还支持DMZ区。您可以把您用于对外服务的WEB服务器、EMAIL服务器连接到DMZ的接口。 使用console线管理apn设备 我们以Windows 98为例。在开始――程序――附件――中,有一个超级终端的软件。您需要启动它。在APN和电脑之间,您需要用console线连接起来。如果您的console线连在电脑的com1口上,在超级终端中就需要选择com1口。 选择端口后,选择确定,您需要设置通讯的 波特率为9600 数据位 8 奇偶校验 无 停止位 1 数据流控制 无 APN GW网络维护工程师培训教材 25 APNGW培训教材 基本设置 系统正常引导启动(接电源开关并等待约40秒左右时间)后。输入配置系统帐号: Login:root Password:gw1admin 系统提示符为APNGW#。 此时输入help可以看到系统帮助。 设置Licence 输入:setup 此时会启动设置菜单,如下所示: APN GW网络维护工程师培训教材 26 APNGW培训教材 APN GW CONFIG AUTHCYBER.COM APN GW1 CONFIG Copyright (C) 2001-2016, All right reserved You should read the INSTALL MANUAL first, Enter: setup for this If you are first time to config it on the step 1,2,3,4 The APN GW configuration choices are: 1 - APN GW LICENSE (VDOMAIN/VHOST/LICENCE/VPUBKEY) 2 - APN LAN NETWORK (LAN IP/MASK) 3 - WAN LINK (ADSL/DDN/ISDN/Dial-up) 4 - SAVE RUN_CONFIG TO START_UP_CONFIG 0 - EXIT CONFIGURATION: Exit to system prompt. Your choice? 选择1配置VDOMAIN, VHOST及VDOMAIN及VHOST对应用的Licenses项几项参数。每个APN GW机都要其唯一的License。由APN GW提供商提供。 配置内容: APN GW VDOMAIN(Default:unkonw): your domain(域) APN GW VHOST(Default: unknow): your host (主机) APN GW LICENCE (Default: APNLICECESNUST24BYTES):your license(许可证) Authenticate PSK(Default: public):pre-share Key (共享密匙) Accept these settings and adjust configuration files (y/n)? y (接受以上设置) 以上设置完成后,选择―4‖保存修改。 设置内网地址 在#提示符下输入setup,选择2进入内网地址设置。 配置内容: APN GW IP Address Enter the IP address of the Internal network(default 192.168.0.63): 192.168.250.10(内网IP地址) APN GW IP Address Netmask Enter the IP Netmask of connected to the internal network(default 255.255.255.0): 255.255.255.0(子网掩码) Accept these settings and adjust configuration files (y/n)? y(接受以上设置) 以上设置完成后,选择―4‖保存修改。 设置外网上网方式 在#提示符下输入setup,选择3进入内网地址设置。 APN GW网络维护工程师培训教材 27 APNGW培训教材 选取1 —Dialup, 进行拨号上网方式的有关配置。 配置内容: Enter the phone number of your ISP Phone Number: 163 Enter your dial-up username Username: 163uid Enter your dial-up Password Password : 163passwd ** Summary of what you entered ** Dial Up Number : 163 Dial Username : 163uid Dial Password : 163passwd Accept these settings and adjust configuration files (y/n)? y 注意:上面文件中如下的内容是用户输入内容。是拨号的对端电话号码及分配的帐号。对于是通过分机上网的,要在被拨的电话号码前加,拨外线的号码及一个―,‖号。如拨外线的号为―9‖,拨163的电话可以拨:―9,163‖。 选取2 —ISDN ,与ISDN TA进行互联的方式。 同1。 选取3 —ADSL,与ADSL Cable Modem进行联接的方式。 Enter your PPPoE user name Username: (default uid@163.gd): your_username@163.gd Enter your ADSL Password Password : password ** Summary of what you entered ** PPPoE User name : your_username@163.gd Password : passwdhere Accept these settings and adjust configuration files (y/n)?y 选取4 —DDN, 通过Ethernet的联接方式。 系统接线为:APN GW的标有ADSL/DDN字样的接口通过标准交叉双绞线Route的局域网联接,或是通过以太网接入可上互联网的HUB。此接口与ADSL接口共用一个物理RJ45接口。 配置内容: DDN IP Address Enter the IP address of the Internal network (default 172.168.250.250): 202.104.177.177 APN GW网络维护工程师培训教材 28 APNGW培训教材 APN GW IP Address Netmask Enter the IP Netmask of connected to the internal network(default 255.255.255.0): 255.255.255.240 ** Summary of what you entered ** DDN IP Address: 202.104.177.177 Netmask: 255.255.255.240 Accept these settings and adjust configuration files (y/n)? y 选取5 —Save Run_Config to Start_up_Config ,保存外网地址配置。 第二节 使用浏览器配置APN 如果您的电脑连接到APN的局域网接口,您可以在浏览器中输入以下内容: http://192.168.32.200/ 注意:配置之前,必须让您的电脑与APN在同一个网段。即您应该配置您的电脑的IP地址为192.168.32.X,子网掩码为255.255.255.0。 APN GW网络维护工程师培训教材 29 APNGW培训教材 基本配置 您可以选择中文或英文来配置APN。进入主配置界面。 可以看到有以下配置内容: 访问管理:主要配置是否可以打开外网接口,以便可以从外网上来管理防火墙;以 及系统登录的用户名和密码; 基本网络:用于设置防火墙的以太网地址、广域网连接方式、DMZ接口的信息。 VPN网络:用于设置建立VPN时候所采用的加密算法、验证方式等。 防火墙:用于配置防火墙策略。NAT/DMZ等。 主机服务:用于设置防火墙的主机服务。例如DHCP、DNS等。 日志审计:用于查看系统日志或配置日志的存储位置。 打开外网访问许可 选择广域管理,把“允许从广域网访问本机”激活。(出厂是关闭的)这样可以通过外网或DMZ访问本机。 提交之后,您可以从外网(例如Internet)访问和配置APN。 本项配置之目的,在于给APN加一个外网访问的开关。缺省设置为关闭,您如需要远程调试,可以把它启用。如果您的配置已经完毕,建议您关闭此选项,它不会影响VPN隧道的通讯。 设置网络参数 可以设置 局域网IP:设置本机与局域网相连的IP地址。 DMZ IP:设置DMZ区的IP地址。(部分型号) 广域网连接方式:设置广域网连接的方式。例如固定IP地址,或ADSL拨号等。 设置了基本的信息,您就可以让APN工作了。如果您已经成功完成以上的设置,您就可以在APN的防火墙的保护之下,安全的上网了。 防火墙配置 可以看到以下几个功能: 公网访问控制:设置内网对公网的访问控制。 VPN网络访问控制:设置VPN隧道之内的访问控制。 DMZ访问控制:设置DMZ区的访问控制。 自定制组:设置自己定义组的防火墙策略,可以把这个策略加载在隧道里面和对公网的访问之中; 网络地址转换:设置NAT的相关信息。 攻击防范:内置常见攻击的防范。如PING洪水(Ping-of-death),同步包洪水(SYN Flood) APN GW网络维护工程师培训教材 30 APNGW培训教材 等。 设置的思路主要是有两种: 1. 先拒绝所有的;再定制可以接受的; 2. 先接受所有的;再定制需要拒绝的; 例如:您设置只有192.168.0.230这个电脑可以上网,可以先拒绝所有的:缺省策略配置DROP,然后在访问控制中添加192.168.0.230这个地址。 VPN网络访问控制 本项设置主要是对VPN隧道的访问的许可。 其设置的方法类似于外网设置。也支持组策略,不同的是,其设置的规则只能用在VPN隧道之中。 提供远程登录服务 您可以让APN提供Telnet,用于远程的调试。在telnet进入系统中,您可以获得更多的配置选择。 一旦选中,提交之后,就启动了APN的telnet服务。确省情况下,您只是能从局域网中远程登录过去。如果在“访问管理”中打开了公网的访问控制,您可以从公网上登录到防火墙。 提供DNS服务 一般情况下,我们并不推荐用户启动DNS服务。但是用户在启动DHCP配置的情况下,为了设置的方便,可以启动DNS。直接在页面中提交就可以启动DNS。 提供DHCP服务 APN GW可以作为DHCP服务器。可以为内网的地址提供动态IP地址分配。这样可以避免手工设置地址的麻烦。 APN GW网络维护工程师培训教材 31 APNGW培训教材 第三节 APN产品维护 检测流程图 APN GW网络维护工程师培训教材 32 APNGW培训教材 使用ping命令 ping命令是使用于检查apn设备是否能其他IP地址通信的工具。 用法: ping [选项]... 主机 发送ICMP 回应请求包到网络主机 可用选项: -c COUNT 只发送COUNT个ICMP包 -s SIZE 发送SIZE数据字节的数据包 (default=56) -q 只显示结果 例子: a. 需要检查apn设备是否可以跟外网的一个IP地址(202.96.134.133)通信 命令:ping –c 10 202.96.134.133 b. 需要检查apn设备是否可以跟内网的一台主机(192.168.1.100)通信 命令:ping –c 10 192.168.1.100 使用apnping命令 apnping命令是使用于检查apn设备是否已经跟对端结点(apn)成功建立隧道的工具。 用法:apnping <对端apn设备内网IP地址/对端内网IP地址> 例子: 需要检查本apn设备是否跟对端apn设备(内网IP为172.16.133.1)成功建立隧道 命令:apnping 172.16.133.1 使用traceroute命令 traceroute命令是使用于跟踪目的IP所经过的路由设备的IP地址以及其延时大小的工具。 用法: traceroute [-dnrv] [-m max_ttl] [-p port#] [-q nqueries] [-s src_addr] [-t tos] [-w wait] host [data size] 主要选项: -n 只显示IP地址,不尝试将IP地址解析为主机名称 例子: 需要检查apn设备到达IP 202.96.134.133所经过的路由器IP和延时 命令:traceroute 202.96.134.133 –n 使用ifconfig命令 ifconfig命令是使用于查看网络接口信息的工具。 用法: ifconfig [-a] [-i] [-v] interface APN GW网络维护工程师培训教材 33 APNGW培训教材 [[family] address] [add address[/prefixlen]] [del address[/prefixlen]] [tunnel aa.bb.cc.dd] [[-]broadcast [aa.bb.cc.dd]] [[-]pointopoint [aa.bb.cc.dd]] [netmask aa.bb.cc.dd] [dstaddr aa.bb.cc.dd] [hw class address] [metric NN] [mtu NN] [[-]trailers] [[-]arp] [[-]allmulti] [[-]promisc] [multicast] [mem_start NN] [io_addr NN] [irq NN] [media type] [up] [down] ... 例子: a. 检查所有接口的状态 命令:ifconfig b. 检查某个接口的状态 命令: ifconfig eth0 或ifconfig eth1 或ifconfig ppp0 或ifconfig ipsec0 c. 修改接口eth0的mac地址 命令: ifconfig eth0 down ifconfig eth0 hw ether 11:22:33:44:55:66 ifconfig eth0 up d. 修改接口eth0的IP地址为192.168.133.44,网络掩码为255.255.255.0 命令:ifconfig eth0 192.168.133.44 netmask 255.255.255.0 使用route命令 route命令是用于查看APN设备的路由表信息,添加、删除静态路由的工具。 用法: route [-nNvee] [-FC] [Address_families] List kernel routing tables route {-V|--version} Display command version and exit. route {-h|--help} [Address_family] Usage Syntax for specified AF. route [-v] [-FC] {add|del|flush} ... Modify routing table for AF. 例子: a. 查看当前设备的路由表信息 命令:route -n b. 假设当前内网IP地址是192.168.133.1,需要增加一条静态路由到 APN GW网络维护工程师培训教材 34 APNGW培训教材 192.168.134.0/24网段,网关是192.168.133.254 命令:route add –net 192.168.134.0 netmask 255.255.255.0 gw 192.168.133.254 c. 删除b增加的静态路由 命令:route del –net 192.168.134.0 netmask 255.255.255.0 gw 192.168.133.254 d. 增加、删除缺省路由(假设apn公网IP为10.10.10.1缺省路由是10.10.10.254) 命令: route add default gw 10.10.10.254 route del default gw 10.10.10.254 使用ipsec命令 ipsec命令在维护中主要用户查看隧道情况。 主要用法:查看当前隧道、查看总隧道数目、查看所有隧道情况 例子: a. 查看当前隧道 命令:ipsec eroute b. 查看隧道总数目 命令:ipsec eroute |wc c. 查看所有隧道的情况 命令:ipsec auto status |more 重建所有隧道 当所有的隧道或者部分隧道断开后,可以重建所有隧道。 命令:advconf apngw restart 查看最后的输出日志 命令:fwconf log tail 如何判断内网故障 当出现以下情况时,可以判断为内网发生故障: a. 在内网的计算机不能ping通apn的内网IP地址; b. 重启apn设备,在内网的计算机仍不能ping通apn的内网IP地址; c. 使用超级终端通过console线进入apn设备命令行模式,不能ping通内网的任何 一台机器; 处理: a. 检查apn的lan口指示灯是否正常; b. 检查局域网的计算机跟集线器(或交换机)的连线是否都插稳,网卡灯和集线器上 的灯是否正常; APN GW网络维护工程师培训教材 35 APNGW培训教材 c. 重启局域网的集线器(或交换机) 如何判断外网故障 当出现以下情况时,可以判断为外网发生故障: d. 局域网的计算机不能上互联网,不能跟对方的局域网通信,但可以通过web方式管 理apn设备,可以ping通apn的内网地址; e. 重启apn设备,局域网的计算机仍然不能上互联网,不能跟对方的局域网通信; 处理: a. 检查apn设备跟外网连接的设备的连线是否正常,外网指示灯是否正常; b. 如果上网方式为adsl,重启adsl设备,等5分钟以后在试; f. 把外网的连线接到计算机上,单独用一台计算机来测试外网是否正常; g. 要求运营商为你检查上网线路。 如何判断机器硬件(或系统)故障 当出现以下情况时,可以判断为机器硬件(或系统)故障: a. 设备的电源指示灯不亮; b. 设备的自检灯不亮; c. 设备的网口灯不亮; d. 在内网的计算机不能ping通apn的内网IP地址; e. 重启apn设备,在内网的计算机仍不能ping通apn的内网IP地址; f. 使用超级终端通过console线不能进入apn设备命令行模式。 处理: a. 请求供应商更换设备。 APN GW网络维护工程师培训教材 36 因篇幅问题不能全部显示,请点此查看更多更全内容