文章标签 ‘network’
发布:国家信息中心信息安全研究与服务中心企业网的应用正在向深度发展,已经成为多业务、多需求的综合承载平台,企业的运作越来越多地受益和依赖于网络和信息系统。企业网用户已不仅仅满足于网络的吞吐能力,而越来越注重网络安全与可靠,对网络安全功能也变得越来越重视,以以太网为代表的企业网技术很好地解决了网络整体的互联功能和网络层的安全问题。
网络安全是一项系统工程,通常的网络信息安全模型具备系统单元、网络层次、安全特性三个维度,其中安全特性包括网络的可用与可靠性、用户身份的真实性、用户访问的可控性、网络的可监控性、数据的完整性与网络操纵的机密性、可追溯性、抵御攻击能力、安全审计。
可用与可靠性
可用性指系统可以稳定运行的能力,包括系统可靠性设计和防止网络攻击等内容。除了选择设备时考虑系统可靠性和冗余性外,在网络拓扑结构设计中要考虑冗余路由,包括传输线路的冗余及拓扑结构上的冗余,在骨干设计中采用多局向。例如神州数码网络的DCRS-7500交换机,支持冗余结构,包括冗余管理模块、多个负载均衡冗余电源、冗余系统文件的配置等软硬件的冗余配置;在二层协议上,支持IEEE802.1d/802.1w、802.1ad等标准链路冗余功能特性;在三层协议上,支持VRRP和多路由负载均衡;在物理特性上,DCRS-7500系列交换机的每个模块均配备温度传感功能,可根据设备运行的温度状态采取相应措施。
用户身份的真实性
主要通过各种用户认证技术对网络用户身份的真实性进行检验,阻止非法用户对网络资源的访问。
802.1x接入认证:该协议适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。主要功能是限制未授权设备(如用户计算机)通过以太网交换机的公共端口访问网络。802.1x系统将交换机端口分为非授权端口和授权端口。非授权端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终可以发送或接收认证。授权端口只有在认证通过后才打开,用于传递网络资源和服务。
MAC地址端口验证:用户可以在三层交换机的一个端口上配置有限数量的“安全”MAC地址,这样交换机只转发源地址与安全MAC地址匹配的包。安全MAC地址可以配置,更可由交换机自动学习。对于该端口收到的非法包(源地址不在安全MAC地址表中),交换机会自动生成Syslog和SNMP陷阱,并且用户可以指定交换机丢弃包含非法的数据包或者将相应端口关闭。
用户访问的可控性
根据用户身份、IP地址、VLANID等用户识别方式,针对不同用户设置不同的网络资源访问权限,并进行访问控制。在企业网内部,通常采用的访问控制方式有IP包过滤、应用代理和基于状态检测的包过滤等多种手段。在交换机的实现上,包过滤是一种重要的访问控制手段。很多三层交换机可以实现基于L2/L3/L4包过滤机制的访问控制,能够根据源或目的IP地址、IP协议类型、TCP或UDP端口、IP优先次序或服务类型值等来识别数据流并实现访问控制。神州数码网络的DCRS-7500,访问控制完全通过硬件实现,这使得交换机在实现安全的访问控制的同时,丝毫不影响其线速的转发能力。
网络的可监控性
传统的网络监控手段SNMPTRAP和RMON,在目前的企业网环境下,已远远不能满足需要,独特的SFLOW技术可以为网络的流量和安全提供有效的监控手段。SFLOW可对企业内部网内的流量进行统计,并可分析企业不同部门间网络使用状况,预先估算部门的网络流量增长,为网络的容量规划提供可靠的数据,以达到优化网络结构和降低投资费用的目的。SFLOW可实现安全审核,它是在网络内的“安全监视器”,可以查看、监控和管理从第二层到第四层的网络流量,可识别和记录MAC地址、VLAN(802.1q)、,服务级别(802.1p)、IP地址、IP服务(TCP和UDP)以及服务类型(TOS位),并可识别并监控网络安全策略的实施。SFLOW同样可实现实时的性能和故障管理,可预先发现网络性能和故障,确保识别网络瓶颈,避免网络流量增长导致系统性能下降。
数据完整性与操纵机密性
数据完整性是指数据在存储和传输的过程中不被篡改和破坏,数据机密性是指数据在存储和传输的过程中通过加密的方式确保机密不会泄露。很多三层核心交换机支持加密的配置管理方式,确保远程管理的安全。
可追溯性
可追溯性是指能够在网络访问和操作过程中留下相应记录,为恶意访问和攻击的相应处理提供依据。具备SNMPtraps和系统日志功能的三层交换机,以及后台网管系统完善的系统日志功能可以对此提供很好的支持。SFLOW技术由于可以查看、监控和管理从第二层到第四层的网络流量,也可进一步提供信息。
抵御攻击能力
当发生DoS攻击时,企业网设备被无用的数据包淹没,无法正常工作。三层交换机的Smurf攻击和TCPSYN攻击可以防范这两种DoS攻击。例如,用户可以通过配置神州数码DCRS-7500交换机来防止其成为Smurf攻击的受害者。设置发送到交换机或交换机某一端口的ICMP包的阀值,当ICMP包的数量超过阀值时,丢弃ICMP包。
安全审计和管理
网络的安全不能单靠技术手段一劳永逸地解决,没有一种技术可以绝对保证网络安全,人的因素很重要。据Yankee集团对229家公司与政府机构的网络管理员(他们管理着50%以上的网络设备)的调查结果,2001年有31%的网络故障是由于人为错误造成的,其中有一半是用户对网络做了未经授权的更改。所以,采用网管系统与设备互动的方式,对用户、主机、时间、地址、URL的安全进行审计和管理尤为重要。
要实现网络分段,可以使用路由器、防火墙、带有虚拟局域网(VIAN)功能的三层交换机。如果没有这些设备该怎样实现网络分段呢?这里介绍三种在没有以上设备的情况下能够实现网络分段的经济、可靠的方法。
随着校园网中计算机数量的迅速增长,计算机管理和计算机安全问题越来越突出。在网络使用初期,由于信息点少,我们只需设置成一个子网,不存在网络的分段问题,而随着用户的增加,就必须要采取措施来加强网络分段的管理。对网络进行分段管理,不仅便于网络维护,而且可以缩小冲突域的范围,隔离网段内部的广播风暴,使其不至影响其他网段中的用户,提高了网络的稳定性和实际可用带宽。
多网卡主机软路由方式
这是通过在Windows 2000 Server上安装多块网卡,利用Windows 2000 Server自带的路由器功能实现网络的分段管理。
下面就以建立两个网段为例(多个网段的实现方法也一样),介绍一下实现方法。假设我们要建立两个网段:网段A的地址为192.168.1.0;网段B的地址为192.168.2.0。它们都是C类子网(IP地址前三段固定,最后一段为任意),子网掩码是255.255.255.0。现在通过安装在主机上的两块网卡将两个网段连接在一起。网络连接示意图如图1所示。
一、主机设置
以主机运行Windows 2000 Server为例,具体实现步骤如下。
1. 安装、设置网卡
安装好两块网卡,第一块网卡的IP地址设置为192.168.1.1;第二网卡的IP地址设置为192.168.2.1。子网掩码均设为255.255.255.0。
2. 设置路由器
(1)在“开始”菜单中依次选择“程序→管理工具→路由和远程访问”。
(2)在弹出的“路由和远程访问”窗口左侧的“树”栏目中,右击“Server”项,在弹出的快捷菜单中选择“配置并启用路由和远程访问”项。
(3)在弹出的“路由和远程访问服务器安装向导”中依次点击[下一步]按钮,当出现“公共设置”这一步时,你需要选择“网络路由器”一项,再单击[下一步]按钮。
(4)在接下来的“路由的协议”中,你应该确定在“协议”列表框中有“TCP/IP”一项,若有此协议,可点击“是,所有可用的协议都在列表上”,然后点击[下一步]按钮继续。
(5)接下来系统会提示:“您想通过请求拨号来访问远程网络吗?”,点选“否”,然后点击[下一步]按钮,路由器的配置工作就完成了。
二、客户机设置
如果想要实现192.168.1.0和192.168.2.0两个IP地址段的计算机之间的互访,在安装并设置好IP路由后,还必须对客户机做相应的设置。对于192.168.1.0IP地址段中的计算机,需将其默认网关设置为192.168.1.1;而对于192.168.2.0IP地址段中的计算机,则需将其默认网关设置为192.168.2.1。网络内的计算机都分别设置默认网关后,即可实现不同网段计算机之间的互访。
三、注意事项
1. TCP/IP、IPX/SPX协议支持路由功能,而NetBEUI协议不支持路由功能。
2. Windows 2000 Server 能支持4块网卡之间的路由连接。
基于第二层交换的多网卡路由方式
实现这种路由方式的前提是每一网段有一台主机需装两块网卡(这种方式适合于学校各机房之间分段),主机运行操作系统可以是Windows 98或Windows 2000,下面还是以建立两个网段为例,网段地址与上例同。网络连接示意图如图2所示。
一、网段A主机设置
安装好两块网卡,第一块网卡的IP地址设置为192.168.1.1,不设置网关;第二网卡的IP地址设置为192.168.2.254,网关设置为192.168.1.10。子网掩码均设为“255.255.255.0”。
二、网段B主机设置
安装好两块网卡,第一块网卡的IP地址设置为192.168.2.1,不设置网关;第二网卡的IP地址设置为192.168.1.10,网关设置为192.168.2.254。子网掩码均设为“255.255.255.0”。
三、客户机的设置
与上例的客户机的设置相同。
四、说明
用双网卡方式实现网络分段,实现的方式比较多,用户可以根据自己的情况加以选择。这种方式最大的优点是简单、实用、成本低,但在网络规模稍大时,这种方式就不易于管理了,而且会出现网络阻塞现象。
IP转发方式
用第一种方式实现网络互连,必须在每两个网段之间使用一台主机(两块网卡)才能将两个不同的网段进行连接。如果网络规模稍大、网段多,这种方式使网络维护和管理变得比较复杂,因此我们可以设一台主机做IP转发器,一个网段上的计算机要想访问另外网段上的计算机,通过该主机进行IP转发。
IP转发是指某一网络接口接收的IP包转发至另一个网络接口的过程。这意味着执行IP转发的主机既非数据来源,也非接收方。这种主机本质上是与两个或更多的网络连接。该主机接收来自某一网络的IP包,分析IP包,以决定使用路由机制向哪个网络转发IP包,然后使用其他网络接口把IP包发送至目的地。下面以具体的实例来讲述如何实现IP转发。
一、网络结构及配置方法
为了方便起见,这里设计了一个简单的网络模型(如图3所示)。假设网络分三个网段(202.100.204.152,子网掩码为为255.255.255.248,为服务器区子网;192.168.2.0为教师子网;192.168.3.0为学生机房子网)。另外,内网接通了DDN专线,路由器对内的以太口地址为202.100.204.158,IP转发主机的IP地址为192.168.2.254。教师子网和学生机房子网的计算机能够访问服务器区子网上的内部服务器,还能直接访问Internet。
二、Windows 2000 Server主机和客户机的设置
1. 给主机绑定三个IP地址,使主机能够访问上述三个网段。首先给主机的网络适配器设置IP为202.100.204.153,子网掩码为225.225.225.248,然后给它绑定两个虚拟IP,分别是192.168.2.1和192.168.3.1。完成这步操作后,三个子网上的计算机都能访问该主机,但子网间还不能进行IP通讯。
2. 启动主机路由转发服务,在Windows 2000中启动Routing and Remote Access服务。
3. 设置好主机路由后,还必须对客户机做相应的设置。对于192.168.2.0地址段中的计算机,需将其默认网关设置为192.168.2.1;而对于192.168.3.0地址段中的计算机,则需将其默认网关设置为192.168.3.1。网络内的计算机都分别设置默认网关后,即可实现不同网段计算机之间的互访。
4. 如果教师子网和学生子网上的计算机需要访问Internet,还需给主机配置一个默认网关,使其指向路由器对内的以太口地址202.100.204.158。
三、说明
虽然使用IP转发方式可以很方便地实现网络之间的通讯,但它不能有效地防止网络风暴,同时主机也可能成为通讯瓶颈。
在网络服务器中,通常都会存有好多并不公开或提供下载的文件或程序,这些资料多数是某个公司或是政府机关的机密文件,也可能是某个程序员的程序源代码。由此可以看出,一台服务器的安全是十分重要的。
许多上网用户可能不太明白网络服务器的具体用途,其实用户在网络里浏览网站、收发电子邮件、玩网络游戏等,都是由网络服务器提供的服务。当一个用户浏览某个网站时,首先会在地址栏里输入一个网址(例如http://www.123.com),这时,浏览器会向一台域名服务器发送请求,而这台域名服务器将在数据库内找到这个域名所对应的IP地址,随后向这条IP所对应的服务器转送请求,并把其位置告诉网站服务器。当网站服务器收到信息后,将会把用户所需要的资料反馈给用户的浏览器,这样用户便可以浏览被反馈回来的内容。如果网络服务器没有在数据库中找到域名所对应的IP或没有找到可以反馈的资料,那么网络服务器将向浏览器发送一条指令,随后用户的浏览器会在本地找到相对应的出错显示页面(如:该页无法显示)。这就是网络服务器最常见的作用。
常用手段
很多时候黑客都会把网络服务器当作他们的攻击目标,通过进入网络服务器来达到他们的目的。要进行有效地阻止,就需要先了那些黑客是用什么手段来进入网络服务器的,知道他们的攻击方法后,才能有效地解决这些安全隐患。
先来介绍一下黑客常用的手段:
1. 网络扫描——在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。
2. 网络嗅探程序——查看通过Internet的数据包,以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令。
3. 拒绝服务——通过反复向某个Web站点的设备发送过多的信息请求,导致该设备无法完成应有的网络服务项目(例如电子邮件系统或联机功能),称为“拒绝服务”问题。
4. 欺骗用户——伪造电子邮件地址或Web页地址,从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统,使之认为信息是来自或发向其所相信的目的的过程。欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等)。当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信,利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。
5. 特洛伊木马——一种用户察觉不到的程序,其中含有可利用一些软件中已知弱点的指令。
6. 后门——为防原来的进入点被探测到,留几个隐藏的路径以方便再次进入。
7. 恶意小程序——微型程序,修改硬盘上的文件,发送虚假电子邮件或窃取口令。
8. 竞争拨号程序——能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹是计算机程序中的一条指令,能触发恶意操作。
9. 缓冲器溢出——向计算机内存缓冲器发送过多的数据,以摧毁计算机控制系统或获得计算机控制权。
10. 口令破译——用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式。
11. 社交工程——与公司雇员谈话,套出有价值的信息。
12. 垃圾桶潜水——仔细检查公司的垃圾,以发现能帮助进入公司计算机的信息。
攻击过程
以上知道了黑客是用什么手段来得到情报,下面介绍黑客攻击服务器的常用过程:
1. 隐藏黑客的位置
典型的黑客会使用如下技术隐藏他们真实的IP地址:
利用被侵入的主机作为跳板;在安装Windows的计算机内利用Wingate软件作为跳板;利用配置不当的Proxy作为跳板。更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800电话的私人转接服务联接ISP,然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。
使用这种在电话网络上的“三级跳”方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。
2. 网络探测和资料收集
黑客通常利用以下手段得知位于内部网和外部网的主机名。
使用nslookup 程序的ls命令;通过访问公司主页找到其他主机;阅读FTP服务器上的文挡;连接至mailserver并发送expn请求;Finger 外部主机上的用户名。
在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。
3. 找出被信任的主机
黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。首先,他会检查所有运行nfsd或mountd主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。
如果用户经常从某台特定的主机上登录,Finger daemon也可以被用来寻找被信任的主机和用户。黑客还会检查其他方式的信任关系。比如,可以利用CGI的漏洞,读取/etc/hosts.allow 文件等。
分析完上述的各种检查结果,黑客就可以大致了解主机间的信任关系。下一步,就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。
4. 找出有漏洞的网络成员
当黑客得到公司内外部主机的清单后,就可以利用一些Linux扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux主机运行这些扫描程序。
所有这些扫描程序都会进行下列检查: TCP端口扫描;RPC服务列表;NFS输出列表;共享(如samba、netbiox)列表;缺省账号检查;Sendmail、IMAP、POP3、RPC status和RPC mountd有缺陷版本检测。
进行完这些扫描,黑客对哪些主机有漏洞便有了一定的了解。如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP扫描程序进行尝试,或者使用“蛮力式”程序去猜测这些设备的公共和私有community strings。
5. 利用漏洞
当黑客找到了所有被信任的外部主机,也找到了外部主机所有可能存在的漏洞,那么他的下一步就会开始入侵主机。
首先,黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部网络。但这种方法能否成功要看该公司内部主机和外部主机间的过滤策略。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。
6. 获得控制权
黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp传递这些文件,以便不留下FTP记录。一但确认自己是安全的,黑客就会开始侵袭公司的整个内部网。
7. 窃取网络资源和特权
黑客找到攻击目标后,一般会继续进行如下攻击:
· 下载敏感信息
如果黑客的目的是从某机构内部的FTP或WWW服务器上下载敏感信息,他可以利用已经被侵入的某台外部主机轻而易举地得到这些资料。
· 攻击其他被信任的主机和网络
大多数的黑客入侵后仅仅为了探测内部网上的主机并取得控制权,只有那些“雄心勃勃”的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。 那些希望从关键服务器上下载数据的黑客,常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机,安排好几条备用通道。
· 安装sniffers
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用“sniffer”程序。黑客会使用上面提到的方法,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。
· 瘫痪网络
如果黑客已经侵入了运行数据库、网络操作系统等关键应用程序的服务器,使网络瘫痪一段时间是轻而易举的事。如果黑客已经进入了公司的内部网,他可以利用许多路由器的弱点重新启动、甚至关闭路由器。如果他们能够找到最关键的几个路由器的漏洞,则可以使公司的网络彻底瘫痪一段时间。
如何防止
接下来介绍一种防止黑客的入侵的简单方法。(现在大部分服务器使用的都是Windows 2000服务器系统。所以本文以Windows 2000系统为例进行介绍。)
由于Windows 2000 Server非常人性化,于是很多服务器都采用了这种易于操作的系统。可是用的人越多,它的漏洞暴露的也就越多,从而使Windows 2000 Server操作系统不再安全。例如:利用Windows 2000的客户端连接管理器和Windows 2000中文简体版存在的输入法漏洞,便可以绕过身分验证机制进入系统内部。
Windows 2000的终端服务功能,能使系统管理员对Windows 2000进行远程操作,采用的是图形界面,能使用户在远程控制计算机时功能与在本地使用一样,其默认端口为3389,用户只要安装了Windows 2000客户端连接管理器就能与开启了该服务的计算机相联。因此这一漏洞使终端服务成为Windows 2000的合法木马。填补这个漏洞可以使用打补丁或删除输入法来达到。也可以手动解除这个隐患:运行regedit,展开HKEY_USERS\.DEFAULT\Keyboard Layout\Preload,以下键值对应输入法为:
00000804 英文
E00E0804 微软拼音
E0010804 全拼
E0030804 郑码
E0040804 智能ABC
将除英文和智能ABC外的其他输入法全部删除,然后重启电脑或注销,这样在登录时就只能切换英文和智能ABC了。如果不需在登录时输入中文,可以直接将HKEY_USERS\.DEFAULT\Keyboard Layout\Preload删除,在登录时就只能用英文。这样黑客便无法利用输入法中的漏洞了。
注意事项
Windows 2000 Server的漏洞有数千个,本文不能一一列出。以下是使用Windows 2000系统时的注意事宜,仅供服务器管理员参考:
1. 经常到微软官方网站去查看是否有新的系统补丁,如果有的话,请在第一时间里升级系统。
2. 去大型的黑客网站查看是否有一些微软尚未发现的漏洞。因为服务器的漏洞多数是黑客们先发现的。
3. 定期用各种安全扫描工具自我扫描。
4. 尽量少开端口,没有必要开的端口不要开启。
5. 服务器里不要安装任何游戏软件或其他软件。因为一些黑客会利用那些软件的漏洞进入服务器。
6. 保护好服务器Administrator密码。经常更换密码,且密码最好是12~16位的数字加字母的不规则排列组合.
随着中国入世对银行业带来的的巨大冲击,我国各家银行机构都在不断的进行业务创新,从而极大的促进了计算机及网络技术在银行业务领域的广泛应用,也使得各家银行机构的电子化水平及服务水平都得到了不断提高,不论是在服务层面或是管理层面都在逐步与世界接轨。
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有Windows98、WindowsNT、UNIX、OS/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。
一、银行业计算机及网络风险的表现形式
所谓银行计算机及网络风险是指银行业在进行技术创新和实现银行电子化过程中广泛使用计算机技术、网络通信技术,而计算机本身(包括硬件、软件、操作系统等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。主要表现为计算机系统故障、安全事故和计算机犯罪。银行计算机及网络风险具有突发性强、范围广、影响大等特点。结合银行业务的特点,银行计算机及网络风险可粗分为实体风险、硬件风险、软件风险、信息管理风险和计算机犯罪五大类。
(一)实体风险。
实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。银行计算机系统存储了大量金融和国民经济活动的信息,对银行组织的管理决策和整个国家宏观调控起着重要作用。据媒体报道,在国外,曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们,对银行信息中心计算机设备实体的安全和风险防范就应当引起足够的重视。尤其是商业银行基层计算机网点,有相当一部分机房设计简陋,防护装置达不到规定标准,人为助长了计算机实体风险。
(二)硬件风险。
硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。
1、硬件在外风险。计算机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的安全隐患;人为在计算上设置发射装置、通过在高频电波上增大发射功率,把电波传送到外部的无线电接收机上,因电磁波安全风险造成信息泄漏;由于不可抗力,如火灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对银行计算机系统资源带来的损害;供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断而带来的损害;计算机及网络设计没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。
2、硬件内在风险。短路、断线、接触不良、设备老化、电脑超期服役、损坏性的使用计算机去做非法业务性活动,人为减少计算机运行寿命等由计算机本身及相关设备、部件或元件带来的风险。
3、网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道,它的防卫能力和抗攻击性较弱,网络风险就是当电子信息在网络上传输时,由于网络设备的故障或没有将内部网络与国际互联网进行物理隔断导致遭受外界侵袭造成的风险。
(三)软件风险。
软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作而带来的风险。
1、软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现应用系统在超级用户下运行、文件权限设置不正确、业务数据以明码形式存放、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现账务错乱、数据信息受损,更有甚者导致整个系统崩溃。这种应用软件如果一旦遭受病毒侵害,就更容易引发风险。
2、软件操作风险。软件操作风险指的是在银行电子化业务中,由于某些业务操作人员素质跟不上调整发展的银行电子化建设的步伐,对银行推出的硬件设备以及银行电子化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。其主要表现为:(1)业务人员操作权限界定不清,密码使用混乱,基本上处于透明状态。在计算机安全管理中,权限和密码作为两个非常重要的概念,都应该有严格的规定。但在实际业务操作中,系统管理员往往可以操作业务管理系统,而操作员之间代号混用,密码没有进行定期更换,甚至有的操作员以系统管理员的身份登录业务系统,这些现象的存在都导致风险的发生。(2)操作不当或操作失误风险。业务人员操作结束或临时离开柜台没有退出操作画面,给非法操作者提供可乘之机,使其很方便地进入业务系统进行非法操作,在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪,造成了不必要的经济损失。(3)自然消失风险。也就是因磁存储介质保管不当,使其存储在其上的信息丢失或者无法读取造成的风险。这在基层行表现得尤其突出。基层行因缺少有效的数据备份或数据备份不及时,而数据备份则是故障恢复和账务安全的重要保证;如果没有有效、完整的备份数据,当数据库一旦发生损坏则无法将所有数据完全恢复。
(四)信息管理风险。
管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。
1、体制风险。所谓体制风险,主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机在银行电子化业务中的应用,过分强调科技的服务职能,而忽略了计算机安全管理工作,忽视金融科技监管。科技人员单兵作战,除了承担业务软件的推广应用,还要负责全行设备的维护与管理,往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓,计算机风险管理几乎是一片空白。
2、制度风险。所谓制度风险,主要是指在银行电子化业务中,由于制度制定有漏洞或执行不到位所造成的潜在风险。当前基层行建立的计算机安全管理制度难以适应银行计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是内控制度的落实情况更是各行银行电子化建设中一项薄弱环节。随着金融体制的改革逐步深入,各家银行机构都在精简机构、精简网点人员,一人多网、一人持有多个操作员号的现象时有发生。形成了人员少、业务集中、基本内控制度难以执行的状况。
3、人员素质风险。所谓人员素质风险,主要是指因人员素质参差不齐而引发计算机及网络系统的风险。当前我国银行业普遍存在缺乏专业高素质人员,一般银行从业人员尤其是基层行员工素质还不能与先进的管理手段、先进的管理工具的要求相适应;在具体的业务操作中更是无法有效的利用现有的资源。也正因此,人员素质的滞后对计算及网络的安全同样是一个潜在的风险。
(五)计算机及网络犯罪。
计算机及网络犯罪主要是指针对计算机及网络的犯罪或不正当使用计算机及网络的犯罪。其主要特征是以有关计算机及网络技术知识作为必不可少的要素的犯罪。在银行计算机及网络犯罪中,常见的有两种情况:一是把计算机及网络作为诈骗、侵占、盗窃资金工具使用而引起的犯罪;二是把计算机及网络本身作为犯罪的目标,如对数据、系统的有意破、消除和改变等。
二、银行计算机及网络风险防范的对策
认真分析计算机及网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故的发生,确保银行资产的完整性,有针对性的提出计算机安全管理和风险防范的对策十分必要。围绕银行计算机网络风险表现形式,应从实体、硬件、软件、管理四个层面采取措施:
(一)实体方面。
在银行业安全经营中,强调最多的是金库的守卫、库款押运安全、营业网点安全防范等方面。而对计算机中心或机房的安全防卫却相对薄弱。各银行机构的安全保卫部门要把本行的计算机及网络的安全纳入自己的视野,要像保卫金库安全一样保卫计算机中心或机房。各行对机房重地也要严格的进出制度,明确非本中心人员进出应履行批准手续,同时要对中心工作人员加强安全保密觉悟的教育,尤其是同本中心以外的人员接触要严守中心及机房的安全布局及运行情况的秘密。
(二)硬件方面。
1、改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。重点防止计算机机房靠近各种无线电发射台或电视转播发射点,避免计算机信息传递出错。尤其是总行和省、市分行的计算机中心,一定要测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁、防鼠害等设备,如果有条件可以安装电视监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。
2、做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。
3、加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽(静电屏蔽、磁屏蔽和电磁屏蔽)处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,内部网络与国际互联网络要进行物理隔断,以提高其物理安全性;如确需互连时,则需要采用防火墙技术,对进入内部网的数据包进行过滤,以防止银行的有关信息数据在网上被窃听、篡改。
(三)软件方面。
1、重视应用软件的开发研制工作。在银行各种应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的缜密、周全;编程过程中要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。
2、操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份,双机备份要求主机型号必须相同,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对涉及机密的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
(四)信息管理方面。
1、建立计算机风险防范组织体系。各级行政领导要重视计算机安全工作,将计算机风险防范纳入行长的工作日程。成立计算机安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。各相关职能部门要形成合力加大对计算机风险管理力度,并从领导到职工签定层层负责的安全责任状,营造出“科技安全,人人有责”的良好氛围。
2、整章建制,落实内控制度。对现有的计算机安全制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,各操作人员必须定期更换密码;业务与非业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管上机操作记录(操作日志)。
3、解决人员素质对计算机及网络风险的影响。对科技人员要及时“充电、加油”提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、法制观念、敬业精神、计算机业务操作水平和安全防范综合能力。在工作实践中,既要重视专业人员的素质,又要重视计算机管理领导人的素质。做到各类人员人数要有合适的比例;各类人员职责分明不扯皮;建立专业人员与领导者良好的协作关系。在具体的工作中,尤其要克服领导者不能借口技术不懂而不承担相应的责任,也不允许技术人员借口领导者不懂具体某种技术而抵制领导的监督管理。
(五)计算机及网络犯罪方面。
防止银行业计算机犯罪已是一个刻不容缓的任务。近几年来,银行业利用计算机及网络技术犯罪呈上升趋势,而我国目前的法律条款尚不能准确全面的对其量罪定刑。在司法实践中,往往以不正当获得资金和情报的性质而定罪,相应的法规已经严重滞后于计算机及网络的发展。在目前信息立法滞后的情况下,银行业防止计算犯罪应重点从以下几方面入手:一是要严格内控制度建设,在管理上不给犯罪分以可乘之机;二是强化技术上的安全措施,在系统计算的安全性、先进性和加密的不易破解性上下功夫;三是从国家技术信息安全的战略高度,促进国家加快相关信息立法,以法律保护计算机及网络使风险降到最小限度。
通俗地说,网络协议就是网络之间沟通、交流的桥梁,只有相同网络协议的计算机才能进行信息的沟通与交流。这就好比人与人之间交流所使用的各种语言,只有使用相同语言才能正常地、顺利进行交流。从专业角度定义,网络协议是计算机在网络中实现通信时必须遵守的约定,也即通信协议。主要是对信息传输的速率、传输代码、代码结构、传输控制步骤、出错控制等作出规定,制定标准。我们把这些文章进行整理形成一个全集希望对初学者有所帮助。
网络沟通的桥梁--协议X档案(一)
一、网络协议是什么?
通俗地说,网络协议就是网络之间沟通、交流的桥梁,只有相同网络协议的计算机才能进行信息的沟通与交流。这就好比人与人之间交流所使用的各种语言,只有使用相同语言才能正常地、顺利进行交流。从专业角度定义,网络协议是计算机在网络中实现通信时必须遵守的约定,也即通信协议。主要是对信息传输的速率、传输代码、代码结构、传输控制步骤、出错控制等作出规定,制定标准。
二、网络协议的选择
面对众多网络协议,我们可能无从选择。不过要是事先了解到网络协议的主要用途,就可以有针对性的选择了。比如我们熟悉的TCP/IP协议是Internet的标准协议,要通过局域网访问Internet、拨号上网就必须使用该协议。NetBEUI协议主要用于有1~200台电脑的局域网中,主要用于MS-DOS、Windows环境中。其他的网络协议,我们将在下面的连载中一一介绍。
三、常见网络协议的安装
在Windows 98/2000/XP/Server 2003中,安装网络协议的方法大致相同。下面以安装NetBEUI协议为例,分别介绍在Windows 98和Windows 2000/XP中安装的方法。
1. Windows 98
首先要打开“控制面板”,双击“网络”,在打开的窗口中单击“添加”按钮;接着在选择网络组件类型中选择“协议”,单击“添加”按钮;在打开的窗口中我们可以选择安装各个厂商的网络通讯协议,比如Microsoft的NetBEUI协议(如图1),然后单击“确定”按钮就可以安装该协议。安装完成之后,在网络窗口的组件中就可以看到该协议。在重新启动之后,设置生效。
2. Windows 2000/XP
在Windows 2000/XP中要安装NetBEUI协议相对比较麻烦,首先,需要将Windows XP安装光盘中“VALUEADD\MSFT\NET\NETBEUI”目录下的“nbf.sys”文件拷贝到%SYSTEMROOT%\SYSTEM32\DRIVERS\目录中,另外还要将“netnbf.inf”文件拷贝到%SYSTEMROOT%\INF\目录中。然后,打开“控制面板”,双击“网络连接”;然后右键单击“本地连接”,选择“属性”打开本地连接属性窗口;单击“安装”按钮(如图2),在网络组件类型窗口中选择“协议”,单击“添加”;在下面的窗口中选择“NetBEUI协议”,单击“确定”按钮就可以安装该协议。
提示:如果在弹出的窗口中没有你要安装的协议,你可以在“选择网络协议”窗口单击“从磁盘安装”按钮来选择从其他位置安装。
本文介绍下面几个问题:网络协议是什么?二、网络协议的选择?三、常见网络协议的安装?
网络协议X档案(二)
上网的朋友应该非常熟悉什么是IP地址了,不管是登录Internet的设置,还是局域网设置,都或多或少要接触到IP地址。其实IP本身是一种网络协议,目前我们常用的IP协议严格说为IPv4。下面我们将解释关于IP、IPv6、TCP以及TCP/IP协议的内容。
IP协议
说明:全称Internet Protocol(互联网协议),主要用于负责IP寻址、路由选择和IP数据包的分割和组装。通常我们所说的IP地址可以理解为符合IP协议的地址。目前,我们常用的IP协议是IP协议的第四版本,即IPv4,是互联网中最基础的协议,于1981年在RFC 791中定义。
应用:IPv4使用了32位地址,通常使用圆点分隔的4个十进制数字表示,比如192.168.0.1。目前,IPv4最多支持4294967296(2的32次方)个地址连接到Internet。随着互联网的迅猛发展,IP地址的需求越来越大,在未来几年有被用完的危机。
IPv6协议
说明:全称Internet Protocol Version 6,即IP协议的6.0版本,通常又称为下一代互联网协议,IPv6是Internet工程任务组(IETF)开发设计的用来替代现行IPv4协议的一种新IP协议。IPv6和IPv4作用大致相同,开发的目的主要是为了缓解IPv4地址空间的压力,另外还弥补了IPv4协议的一些问题,包括端对端IP连接、服务质量(QoS)、安全性、扩展性以及即插即用等。
应用:
1. 安装IPv6
IPv6使用了128位地址,理论上可以提供2的128次方地址。在Windows XP中要安装IPv6,可以依次“开始→运行”,输入“cmd”回车打开“命令提示符”窗口;接着键入:ipv6 install(如图),回车后就可以进行IPv6的安装。
2. 配置IPv6
同样是在“命令提示符”窗口中,键入:ipv6 if,回车后可以获取接口索引,通过该接口来添加收到地址;键入:ipv6 adu [InterfaceIndex]/[Address],其中InterfaceIndex表示该接口的接口号,Address表示IPv6地址。另外,还可以使用ping6命令进行IPv6配置和连接的测试,具体的命令用法,大家可以在命令后加/?参阅相关帮助文件。
TCP协议
说明:全称Transmission Control Protocol(传输控制协议),该协议主要用于在主机间建立一个虚拟连接,以实现高可靠性的数据包交换。
应用:上面我们介绍的IP协议可以进行IP数据包的分割和组装,但是通过IP协议并不能清楚地了解到数据包是否顺利地发送给目标计算机。而使用TCP协议就不同了,在该协议传输模式中在将数据包成功发送给目标计算机后,TCP会要求发送一个确认;如果在某个时限内没有收到确认,那么TCP将重新发送数据包。另外,在传输的过程中,如果接收到无序、丢失以及被破坏的数据包,TCP还可以负责恢复。
TCP/IP协议
说明:TCP/IP协议其实就是TCP以及IP等协议组合,即传输控制协议/互联网协议,该协议在互联网上使用的非常广泛,主要用于在安装了不同的硬件和不同的操作系统的计算机之间实现可靠的网络通信。其中,TCP协议可以保证数据包传输的可靠性;IP协议可以保证数据包能被传到目标计算机。除了TCP、IP协议外,TCP/IP协议组合还包括有FTP、Telnet、SMTP等协议。
应用:目前,几乎所有的网络通信设备和操作系统都支持TCP/IP协议。
IP协议:明:全称Internet Protocol(互联网协议),主要用于负责IP寻址、路由选择和IP数据包的分割和组装。
IPv6是Internet工程任务组(IETF)开发设计的用来替代现行IPv4协议的一种新IP协议。IPv6和IPv4作用大致相同,开发的目的主要是为了缓解IPv4地址空间的压力,另外还弥补了IPv4协议的一些问题,包括端对端IP连接、服务质量(QoS)、安全性、扩展性以及即插即用等。
TCP协议 :该协议主要用于在主机间建立一个虚拟连接,以实现高可靠性的数据包交换。
网络沟通的桥梁--协议X档案(三)
在上一期,我们介绍了大家熟悉的TCP/IP协议以及IP、IPv6、TCP协议的内容。本期,将介绍与Netware服务器、游戏密切相关的IPX/SPX协议,以及IPX路由协议、SPX协议的内容。
IPX协议
说明:全称Internetwork Packet Exchange(网间数据包交换),IPX协议是Novell NetWare自带的最底层网络协议,主要用来控制局域网内或局域网之间数据包的寻址和路由,只负责数据包在局域网中的传送,并不保证消息的完整性,也不提供纠错服务。
应用:在局域网中传输数据包时,如果接收节点在同一网段内,通过IPX协议就直接按该节点的ID将数据传给它;如果接收节点不在同一网段内,那么通过IPX协议可以将数据包交给NetWare服务器,再继续传输。在使用过程中,网络管理员可以通过使用相应的IPX路由命令,比如“routing ipx add/set staticroute”表示在IPX路由表中添加或配置静态IPX路由,“routing ipx set global”表示配置全局IPX路由设置。
SPX协议
说明:全称Sequences Packet Exchange(顺序包交换),SPX协议是基于施乐的Xerox SPP(Sequences Packet Protocol,顺序包协议)协议,同样是由Novell公司开发的一种用于局域网的网络协议。在局域网中,SPX协议主要负责对整个传输的数据进行无差错处理,即纠错。
应用:SPX协议一般和上面介绍的IPX协议组合成IPX/SPX协议来使用,多用于Netware网络环境以及联网游戏。
IPX/SPX协议
说明:IPX/SPX协议即IPX与SPX协议的组合,它是Novell公司为了适应网络的发展而开发的通信协议,具有很强的适应性,安装方便,同时还具有路由功能,可以实现多网段间的通信。其中,IPX协议负责数据包的传送;SPX负责数据包传输的完整性。在微软的NT操作系统中,一般使用NWLink IPX/SPX兼容协议和NWLink NetBIOX两种IPX/SPX的兼容协议,即NWLink协议,该兼容协议继承了IPX/SPX协议的优点,更适应Windows的网络环境。
应用:IPX/SPX协议一般可以应用于大型网络(比如Novell)和局域网游戏环境中(比如反恐精英、星际争霸)。不过,如果不是在Novell网络环境中,一般不使用IPX/SPX协议,而是使用IPX/SPX兼容协议,尤其是在Windows 9x/2000组成的对等网中。
在Windows中安装IPX/SPX兼容协议的方法大致如下:比如在Windows XP中,首先打开“网络连接”窗口,右击“本地连接”,选择“属性”打开本地连接属性窗口;接着,单击“安装”按钮,选择“协议”组件,单击“添加”按钮;在打开的窗口中选择“NWLink IPX/SPX/NetBIOS Compatible Transport Protocol”(如图),最后,单击“确定”按钮即可进行安装。安装之后,不需要进行什么设置就可以使用。
IPX协议:IPX协议是Novell NetWare自带的最底层网络协议,主要用来控制局域网内或局域网之间数据包的寻址和路由,只负责数据包在局域网中的传送,并不保证消息的完整性,也不提供纠错服务。
SPX协议 :SPX协议是基于施乐的Xerox SPP(Sequences Packet Protocol,顺序包协议)协议,同样是由Novell公司开发的一种用于局域网的网络协议
网络沟通的桥梁--协议X档案(四)
NetBIOS协议
说明:全称NetWork Basic Input/Output System(网络基本输入/输出系统),该协议是由IBM公司开发,主要用于数十台计算机的小型局域网。NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能,几乎所有的局域网都是在NetBIOS协议的基础上工作的。
应用:在Windows操作系统中,默认情况下在安装TCP/IP协议后会自动安装NetBIOS。比如在Windows 2000/XP中,当选择“自动获得IP”后会启用DHCP服务器,从该服务器使用NetBIOS设置;如果使用静态IP地址或DHCP服务器不提供NetBIOS设置,则启用TCP/IP上的NetBIOS。具体的设置方法如下:首先打开“控制面板”,双击“网络连接”图标,打开本地连接属性。接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮。然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中就可以相应的NetBIOS设置(如图1)。
NetBEUI协议
说明:全称NetBIOS Extend User Interface(NetBIOS用户扩展接口),同样是由IBM于1985年提出的主要用于20到200台计算机的小型局域网中,比如早期的DOS、LAN Manager、Windows 3.x等等。NetBEUI协议可以看作是NetBIOS协议的延伸、改良版本,具有体积小、效率高以及速度快等特点。NetBEUI可以看作是一种传输协议,而NetBIOS仅仅是通过一组命令来让系统使用网络而已。
应用:NetBEUI协议主要用于本地局域网中,一般不能用于与其他网络的计算机进行沟通,不同于我们前面介绍的TCP/IP、IPX/SPX协议。在Windows中,要安装NetBEUI协议的方法不尽相同。比如在Windows 98/ME中,只要在“控制面板”中双击“网络”,在打开的属性窗口中“添加”协议,选择Microsoft的NetBEUI协议安装即可。而在Windows XP中,将安装光盘中的“VALUEADD\MSFT\NET\NETBEUI”目录下的“nbf.sys”文件拷贝到%SYSTEMROOT%\SYSTEM32\DRIVERS\目录中,再将“netnbf.inf”文件拷贝到%SYSTEMROOT%\INF\目录中;这样在安装“协议”的时候,在选择窗口中就可以看到“NetBEUI协议”了(如图2)。
图1 启用NetBIOS协议
图2 安装NetBEUI协议
NetBIOS协议:NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能,几乎所有的局域网都是在NetBIOS协议的基础上工作的。
NetBEUI协议 :NetBEUI协议可以看作是NetBIOS协议的延伸、改良版本,具有体积小、效率高以及速度快等特点。NetBEUI可以看作是一种传输协议,而NetBIOS仅仅是通过一组命令来让系统使用网络而已。
网络沟通的桥梁--协议X档案(五)
BOOTP协议
说明:全称Bootstrap Protocol(自举协议),该协议是一个基于TCP/IP协议的协议,它可以让无盘站从一个中心服务器上获得IP地址,为局域网中的无盘工作站分配动态IP地址,并不需要每个用户去设置静态IP地址。使用BOOTP协议的时候,一般包括Bootstrap Protocol Server(自举协议服务端)和Bootstrap Protocol Client(自举协议客户端)两部分。
应用:该协议主要用于有无盘工作站的局域网中,客户端获取IP地址的过程如下:首先,由BOOTP启动代码启动客户端,这个时候客户端还没有IP地址,使用广播形式以IP地址0.0.0.0向网络中发出IP地址查询要求。接着,运行BOOTP协议的服务器接收到这个请求,会根据请求中提供的MAC地址找到客户端,并发送一个含有IP地址、服务器IP地址、网关等信息的FOUND帧。最后,客户端会根据该FOUND帧来通过专用TFTP服务器下载启动镜像文件,模拟成磁盘启动。
TFTP协议
说明:全称Trivial File Transfer Protocol(简单文件传输协议或零碎文件传输协议),TFTP协议的作用和我们经常使用的FTP大致相同,都是用于文件的传输,可以实现网络中两台计算机之间的文件上传与下载。可以将TFTP协议看做是FTP协议的简化版本,两者的区别主要在于:一、TFTP协议不需要认证客户端的权限,FTP需要进行客户端认证;二、TFTP协议一般多用于局域网以及远程UNIX计算机中,而常见的FTP协议则多用于互联网中。
应用:Windows 2000/XP/Server 2003中就内置TFTP命令,我们可以在“命令提示符”窗口中键入TFTP命令来将本地计算机文件传送到远程计算机中。比如要将本地计算机上的一个abc.txt文件传送到远程smile计算机上的abc1.txt,我们可以键入:tftp smile put abc.txt abc1.txt。具体的命令使用方法,可以在“命令提示符”窗口中键入:tftp /?可以看到相应的提示信息。
DHCP协议
说明:全称Dynamic Host Configuration Protocol(动态主机配置协议),该协议可以自动为局域网中的每一台计算机自动分配IP地址,并完成每台计算机的TCP/IP协议配置,包括IP地址、子网掩码、网关,以及DNS服务器等。这样在局域网中特别是大型局域网中,管理员就不必为每一台计算机手工配置TCP/IP协议了,也避免了IP地址重复的问题。
应用:在Windows中要启用DHCP协议,只要将IP地址设置为“自动获得IP地址”即可。具体的方法如下:以Windows XP为例,打开“本地连接”属性,双击“Internet协议(TCP/IP)”打开属性窗口。接着,在“常规”选项卡中选中“自动获得IP地址”,单击右下角的“高级”。下面在打开窗口的“IP设置”选项卡中,就可以看到“DHCP被启用”。
Bootstrap Protocol(自举协议),该协议是一个基于TCP/IP协议的协议,它可以让无盘站从一个中心服务器上获得IP地址,为局域网中的无盘工作站分配动态IP地址,并不需要每个用户去设置静态IP地址。
TFTP协议的作用和我们经常使用的FTP大致相同,都是用于文件的传输,可以实现网络中两台计算机之间的文件上传与下载。
Dynamic Host Configuration Protocol(动态主机配置协议),该协议可以自动为局域网中的每一台计算机自动分配IP地址,并完成每台计算机的TCP/IP协议配置,包括IP地址、子网掩码、网关,以及DNS服务器等。
网络沟通的桥梁-协议X档案(六)
上次我们介绍了用于无盘工作站自动获得IP地址的BOOTP协议、用于简单文件传输的TFTP协议以及用于自动分配IP地址的DHCP协议。本期,我们将介绍Internet控制消息协议(ICMP)、Internet组管理协议(IGMP)以及路由信息协议(RIP)。
ICMP协议
说明:全称Internet Control Message Protocol(Internet控制消息协议),该协议是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。我们可以通过Ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息,通过这些消息来对网络或主机的故障提供参考依据。
应用:要使用该协议,我们可以进行相应的ICMP设置,比如在Windows XP中,首先打开“网络连接”,右键单击启用Internet连接防火墙的“网络连接”,选择“属性”打开属性窗口。接着,选择“高级”选项卡,单击右下角“设置”按钮。然后,在高级设置窗口中选择“ICMP”选项卡(如图),在其中就可以进行相应的设置,包括允许传入的回显请求等。
IGMP协议
说明:全称Internet Group Management Protocol(Internet组管理协议),该协议运行于主机和与主机直接相连的组播路由器之间,是IP主机用来报告多址广播组成员身份的协议。通过IGMP协议,一方面可以通过IGMP协议主机通知本地路由器希望加入并接收某个特定组播组的信息;另一方面,路由器通过IGMP协议周期性地查询局域网内某个已知组的成员是否处于活动状态。
应用:IGMP协议的主要作用是解决网络上广播时占用带宽的问题。在网络中,当给所有客户端发出广播信息时,支持IGMP的交换机会将广播信息不经过滤地发给所有客户端。但是这些信息只需要通过组播的方式传输给某一个部分的客户端。
RIP协议
说明:全称Routing Information Protocol(路由信息协议),该协议是施乐公司20世纪80年代推出的,主要适用于小规模的网络环境。RIP协议主要用于一个AS(自治系统)内的路由信息的传递,每30秒发送一次路由信息更新,RIP协议提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目,RIP最多支持的跳跃数为15。
应用:在Windows中,我们可以通过启用“RIP侦听”功能来侦听RIP消息,这样计算机可以了解其他路由,然后向路由表中添加它们的IP地址。以Windows XP为例,具体的启用“RIP侦听”功能方法如下:首先,打开“控制面板”,双击“添加或删除程序”。接着,单击“添加或删除Windows组件”,单击“网络服务”,然后单击“详细信息”。选中“RIP 侦听器”复选框,然后单击“确定”按钮安装该组件。
ICMP协议: 该协议是TCP/IP协议集中的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。
IGMP协议 :该协议运行于主机和与主机直接相连的组播路由器之间,是IP主机用来报告多址广播组成员身份的协议。
RIP协议 : 该协议是施乐公司20世纪80年代推出的,主要适用于小规模的网络环境。RIP协议主要用于一个AS(自治系统)内的路由信息的传递,每30秒发送一次路由信息更新,RIP协议提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目,RIP最多支持的跳跃数为15。
网络沟通的桥梁-协议X档案(七)
上次,我们介绍了用于传递Internet控制消息的协议(ICMP)、Internet组管理协议(IGMP)以及路由信息协议(RIP)。本期我们将介绍与文件传递/邮件发送相关的网络协议。
FTP协议
说明:全称File Transfer Protocol(文件传输协议),这是大家非常熟悉的网络协议之一,也是Internet中使用最多的文件传输协议。主要用于在两台计算机之间实现文件的上传与下载,其中一台计算机作为FTP的客户端,另一台作为FTP的服务器端。通过FTP协议可以上传、下载几乎所有的文件类型,比如TXT、EXE、DOC、MP3、ZIP、RAR等等。
应用:在实际应用中,FTP不仅可以作为网络文件下载的主要格式,还可以作为单独的命令来使用。比如我们在下MP3的时候,经常遇到ftp://www.xxx.com/1.mp3,其中,ftp://表示文件传输格式,www.xxx.com表示远程计算机域名,1.mp3就是要下载的文件。另外,在Windows中还集成了ftp命令,比如在Windows XP的“命令提示符”中键入“ftp www.xxx.com”,就可以打开www.xxx.com远程计算机,具体的命令参数可以键入“ftp/?”。
Telnet协议
说明:全称远程登录协议,该协议也是Internet上普遍采用的仿真网络协议,同时Telnet也是从远程位置登录常用的程序。通过Telnet协议可以把自己的计算机作为远程计算机的一个终端,通过Telnet程序登录远程Telnet计算机,一般采用授权的用户名和密码登录。登录之后,就如同使用本地计算机一样使用远程计算机的硬盘、运行应用程序等。
应用:在Windows中,我们可以通过Telnet命令来进行远程登录,比如键入“telnet www.xxx.com”就可以连接www.xxx.com远程计算机,另外还可以通过设置参数指定登录用户名、终端类型以及端口号等,具体的命令参数可以键入“telnet/?”查看(如图)。
NEWS协议
说明:全称网络新闻组协议,通过该协议可以访问Internet中各种各样的新闻组,从新闻组中获取你所需要的信息、资源,包括政治、经济、文化、人文、地理、科技等等,也可以在新闻组发布一些信息。
应用:该协议的使用格式为:news:newsgroup,newsgroup表示网络新闻组地址,比如微软中文新闻组服务器地址为:msnews.microsoft.com,那么在IE浏览器地址栏键入:news:msnews.microsoft.com,回车后就可以打开OE访问该新闻组。
Mailto协议
说明:表示电子邮件协议,通过该协议可以创建一个指向电子邮件地址的超级链接,通过该链接可以在Internet中发送电子邮件。
应用:比如在网页代码中插入一段A href="mailto:abc@xxx.com",那么点击该超链接就会打开OE等邮件客户端程序,输入相应的内容后就可以向abc@xxx.com发送邮件。另外,在IE浏览器的地址栏中输入mailto:abc@xxx.com,回车后同样可以达到这样的效果。
File协议
说明:表示本地文件传输协议,File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。
应用:要使用File协议,基本的格式如下:file:///文件路径,比如要打开F:盘flash文件夹中的1.swf文件,那么可以在资源管理器或IE地址栏中键入:file:///f:/flash/1.swf并回车。
FTP协议 :要用于在两台计算机
之间实现文件的上传与下载,其中一台计算机作为FTP的客户端,另一台作为FTP的服务器端。
Telnet协议 :通过Telnet协议可以把自己的计算机作为远程计算机的一个终端,通过Telnet程序登录远程Telnet计算机,一般采用授权的用户名和密码登录。登录之后,就如同使用本地计算机一样使用远程计算机的硬盘、运行应用程序等。
NEWS协议:全称网络新闻组协议,通过该协议可以访问Internet中各种各样的新闻组,从新闻组中获取你所需要的信息、资源,包括政治、经济、文化、人文、地理、科技等等,也可以在新闻组发布一些信息。
Mailto协议 :表示电子邮件协议,通过该协议可以创建一个指向电子邮件地址的超级链接,通过该链接可以在Internet中发送电子邮件。
File协议 :表示本地文件传输协议,File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。
网络沟通的桥梁-协议X档案八
在拨号上网以及ADSL宽带上网的时候,我们经常要使用SLIP、PPP以及PPPoE等协议来创建拨号连接,本期我们将介绍与网络传输相关的SLIP、PPP、PPPoE、L2TP以及PPTP协议。
SLIP协议
说明:全称Serial Line Internet Protocol(串行线路网际协议),该协议是Windows远程访问的一种旧工业标准,主要在Unix远程访问服务器中使用。因为SLIP协议是面向低速串行线路的,可以用于专用线路,也可以用于拨号线路,Modem的传输速率在1200bps到19200bps。
应用:在Windows中要设置SLIP协议,比如在Windows 98中,假设已经创建了“拨号连接”,右键单击该连接,选择“属性”。接着,在打开的属性窗口中,选择“服务器类型”选项卡,在“拨号网络服务器类型”中选择“SLIP:Unix连接”。最后,单击“确定”按钮即可。
PPP协议
说明:全称Point to Point Protocol(点对点协议),是TCP/IP网络协议集合中的一个子协议,主要用来创建电话线路以及ISDN拨号接入ISP的连接,具有多种身份验证方法、数据压缩和加密以及通知IP地址等功能。PPP协议是SLIP协议的替代协议,在功能上没有太大的区别。
应用:假设同样是在Windows 98,并且已经创建好“拨号连接”。那么可以通过下面的方法来设置PPP协议:首先,打开“拨号连接”属性,同样选择“服务器类型”选项卡;然后,选择默认的“PPP:Internet,Windows NT Server,Windows 98”(如图1),在高级选项中可以设置该协议其它功能选项;最后,单击“确定”按钮即可。
PPPoE协议
说明:全称Point to Point Protocol over Ethernet(以太网上的点对点协议),简单地说,就是将以太网和PPP协议结合后的协议,目前广泛应用在ADSL接入方式中。通过PPPoE技术和宽带调制解调器(比如ADSL Modem)我们就可以实现高速宽带网的个人身份验证访问,为每个用户创建虚拟拨号连接,这样就可以高速连接到Internet。
应用:在Windows XP中,自带了PPPoE协议的虚拟拨号工具,具体的创建方法如下:首先,打开“网络连接”;接着单击窗口左侧“网络任务”下的“创建一个新的连接”打开“新建连接向导”,单击“下一步”;在网络连接类型中选择“连接到Internet”,单击“下一步”;然后在出现的窗口中选择“手动设置我的连接”,单击“下一步”;在Internet连接窗口中选择“用要求用户名和密码的宽带连接来连接”(如图2),单击“下一步”;输入ISP名称,比如“ADSL”,单击“下一步”;依次输入用户名、密码、确认密码,单击“下一步”;最后,单击“完成”即可。
PPTP协议
说明:全称Point-to-Point Tunneling Protocol(点对点隧道协议),该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码身份验证协议(PAP)、可扩展身份验证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。
应用:在使用VPN的时候可以使用PPTP协议,也可以使用L2TP协议,具体设置方法如下:比如在Windows XP中,首先,在“网络连接”窗口中右键单击某个VPN连接,选择“属性”。接着,在打开的属性窗口中选择“网络”选项卡。然后在“VPN类型”中选择“PPTP VPN”(如图3),单击“确定”按钮即可。
L2TP协议
说明:全称Layer 2 Tunneling Protocol(第二层隧道协议),该协议是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
应用:在VPN连接中要设置L2TP连接,方法同PPTP VPN设置,同样是在VPN连接属性窗口的“网络”选项卡中,将VPN类型设置为“L2TP IPSec VPN”即可。
图1 设置PPP协议
图2 添加PPPoE协议
图3 选择PPTP安全协议
SLIP协议 :协议是Windows远程访问的一种旧工业标准,主要在Unix远程访问服务器中使用。 PPP协议 :是TCP/IP网络协议集合中的一个子协议,主要用来创建电话线路以及ISDN拨号接入ISP的连接,具有多种身份验证方法、数据压缩和加密以及通知IP地址等功能。PPP协议是SLIP协议的替代协议,在功能上没有太大的区别。
PPPoE协议 :就是将以太网和PPP协议结合后的协议,目前广泛应用在ADSL接入方式中。通过PPPoE技术和宽带调制解调器(比如ADSL Modem)我们就可以实现高速宽带网的个人身份验证访问,为每个用户创建虚拟拨号连接,这样就可以高速连接到Internet。
PPTP协议 :该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码身份验证协议(PAP)、可扩展身份验证协议(EAP)等方法增强安全性。
L2TP协议 :该协议是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。
网络沟通的桥梁-协议X档案九
本文中我们将依次介绍DNS、ARP、RARP以及MAC协议。
DNS协议
说明:全称Domain Name Server(域名解析系统),简单地说,该协议主要负责将域名转换成网络可以识别的IP地址,比如将www.cce.com.cn转换成221.122.32.15,域名和IP地址之间是一一对应的。因为访问网站的时候,最终都是转换成IP地址进行访问的,如果直接设置DNS服务器那么可以提高网络的访问速度,而且可以保证访问的正确性。
应用:在Windows中要使用DNS协议,只要设置相应的DNS服务器地址即可。具体的方法同IP地址的设置:比如在Windows XP中,首先,打开“本地连接”属性窗口,在“常规”选项卡中双击“Internet协议(TCP/IP)”;然后在打开的属性窗口中,选中“使用下面的IP地址”设置IP地址、子网掩码以及默认网关,选中“使用下面的DNS服务器地址”(如图),在首选DNS服务器和备用DNS服务器中输入相应的DNS服务器地址;最后,连续单击“确定”按钮即可。
ARP协议
说明:全称Address Resolution Protocol(地址解析协议),简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。
应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容;键入“arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp /?”查看到。
RARP协议
说明:全称Reverse Address Resolution Protocol(逆向地址解析协议),顾名思义就是将局域网中某个主机的物理地址转换为IP地址,比如局域网中有一台主机只知道物理地址而不知道IP地址,那么可以通过RARP协议发出征求自身IP地址的广播请求,然后由RARP服务器负责回答。
应用:RARP协议广泛用于获取无盘工作站的IP地址。
MAC协议
说明:全称Media Access Control(媒体访问控制子层),该协议位于OSI七层协议中数据链路层的下半部分,主要负责控制与连接物理层的物理介质。在发送数据的时候,MAC协议可以事先判断是否可以发送数据,如果可以发送将给数据加上一些控制信息,最终将数据以及控制信息以规定的格式发送到物理层;在接收数据的时候,MAC协议首先判断输入的信息并是否发生传输错误,如果没有错误,则去掉控制信息发送至LLC层。
应用:不管是在传统的有线局域网(LAN)中还是在目前流行的无线局域网(WLAN)中,MAC协议都被广泛地应用。在传统局域网中,各种传输介质的物理层对应到相应的MAC层,目前普遍使用的网络采用的是IEEE 802.3的MAC层标准,采用CSMA/CD访问控制方式;而在无线局域网中,MAC所对应的标准为IEEE 802.11,其工作方式采用DCF(分布控制)和PCF(中心控制)。
DNS协议: 该协议主要负责将域名转换成网络可以识别的IP地址。
ARP协议:ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址。
RARP协议 :顾名思义就是将局域网中某个主机的物理地址转换为IP地址。
MAC协议 :该协议位于OSI七层协议中数据链路层的下半部分,主要负责控制与连接物理层的物理介质。
网络沟通的桥梁-协议X档案十
无线局域网(WLAN)作为2004年最大的热点,已经被越来越多的人所使用了。与我们经常使用的有线局域网不同,无线局域网所使用的协议主要包括802.11b、802.11a、802.11g以及WEP安全协议。
802.11b协议
说明:802.11b协议是由IEEE(电气电子工程师学会)于1999年9月批准的,该协议的无线网络工作在2.4GHz频率下,最大传输速率可以达到11Mbps,可以实现在1Mbps、2Mbps、5.5Mbps以及11Mbps之间的自动切换;采用DSSS(直接序列展频技术),理论上在室内的最大传输距离可以达到100米,室外可以达到300米。目前,也称802.11b为Wi-Fi。
应用:目前,802.11b协议凭借其价格低廉、高开放性的特点被广泛应用于无线局域网领域,是目前使用最多的无线局域网协议之一。在无线局域网中,802.11b协议主要支持Ad Hoc(点对点)和Infrastructure(基本结构)两种工作模式,前者可以在无线网卡之间实现无线连接,后者可以借助于无线AP,让所有的无线网卡与之无线连接。
802.11a协议
说明:802.11a协议同样是在1999年制定完成的,其主要工作在5GHz的频率下,数据传输速率可以达到54Mbps,传输距离在10米~100米之间;采用了OFDM(正交频分多路复用)调制技术,可以支持语音、数据、图像的传输,不过与802.11b协议不兼容。
应用:802.11a协议凭借传输速度快,还因为使用了5GHz工作频率,所以受干扰比较少的特点,也被应用于无线局域网。但是因为价格比较昂贵,且相下不兼容,所以目前市场上并不普及。
802.11g协议
说明:802.11g协议于2003年6月正式推出,它是在802.11b协议的基础上改进的协议,支持2.4GHz工作频率以及DSSS技术,并结合了802.11a协议高速的特点以及OFDM技术。这样802.11g协议即可以实现11Mbps传输速率,保持对802.11b的兼容,又可以实现54Mbps高传输速率。
应用:随着人们对无线局域网数据传输的要求,802.11g协议也已经慢慢普及到无线局域网中,和802.11b协议的产品一起占据了无线局域网市场的大部分。而且,部分加强型的802.11g产品已经步入无线百兆时代。
WEP协议
说明:全称Wired Equivalent Protocol(有线等效协议),是为了保证802.11b协议数据传输的安全性而推出的安全协议,该协议可以通过对传输的数据进行加密,这样可以保证无线局域网中数据传输的安全性。目前,在市场上一般的无线网络产品支持64/128甚至256位WEP加密,未来还会慢慢普及WEP的改进版本——WEP2。
应用:在无线局域网中,要使用WEP协议,如果使用了无线AP首先要启用WEP功能,并记下密钥,然后在每个无线客户端启用WEP,并输入该密钥,这样就可以保证安全连接。在无线客户端启用的方法如下:比如在Windows XP中,首先,右键单击任务栏无线网络连接图标,选择“查看可用的无线连接”,在打开的窗口中单击“高级”按钮;接着,在打开的属性窗口中选择“无线网络配置”选项卡,在“首选网络”中选择搜索到的无线网络连接,单击“属性”按钮。然后,在打开的属性窗口中选中“数据加密(WEP启用)”(如图),去掉“自动为我提供此密钥”,在“网络密钥”中输入在无线AP中创建的一个密钥。最后,连续单击两次“确定”按钮即可。
802.11b协议 : 协议的无线网络工作在2.4GHz频率下,最大传输速率可以达到11Mbps,可以实现在1Mbps、2Mbps、5.5Mbps以及11Mbps之间的自动切换。
802.11a协议 :该协议的无线网络工作在2.4GHz频率下,最大传输速率可以达到11Mbps,可以实现在1Mbps、2Mbps、5.5Mbps以及11Mbps之间的自动切换。
802.11a协议 :802.11a协议同样是在1999年制定完成的,其主要工作在5GHz的频率下,数据传输速率可以达到54Mbps,传输距离在10米~100米之间;采用了OFDM(正交频分多路复用)调制技术,可以支持语音、数据、图像的传输,不过与802.11b协议不兼容。
802.11g协议 :它是在802.11b协议的基础上改进的协议,支持2.4GHz工作频率以及DSSS技术,并结合了802.11a协议高速的特点以及OFDM技术。
WEP协议 :该协议是为了保证802.11b协议数据传输的安全性而推出的,可以通过对传输的数据进行加密,这样可以保证无线局域网中数据传输的安全性。
