Linux服务器安全策略详解

第一章 Linux网络基础与Linux服务器的安全威胁

　　1.1 Linux网络基础

　　1.1.1 Linux网络结构的特点

　　【IT专家网独家】Linux在服务器领域已经非常成熟,其影响力日趋增大.Linux的网络服务功能非常强大,但是Linux的桌面应用和Windows相比还有一定差距,除了一些Linux专门实验室之外,大多数企业在应用Linux系统时,往往是Linux和Windows(或UNIX)等操作系统共存形成的异构网络.

　　在一个网络系统中,操作系统的地位是非常重要的.Linux网络操作系统以高效性和灵活性而著称.它能够在PC上实现全部的UNIX特性,具有多任务、多用户的特点.Linux的组网能力非常强大,它的TCP/IP代码是最高级的.Linux不仅提供了对当前的TCP/IP协议的完全支持,也包括了对下一代Internet协议IPv6的支持.Linux内核还包括了IP防火墙代码、IP防伪、IP服务质量控制及许多安全特性.Linux的网络实现是模仿FreeBSD的,它支持FreeBSD的带有扩展的Sockets(套接字)和TCP/IP协议.它支持两个主机间的网络连接和Sockets通信模型,实现了两种类型的Sockets：BSD Sockets和INET Sockets.它为不同的通信模型提供了两种传输协议,即不可靠的、基于消息的UDP传输协议和可靠的、基于流的TCP传输协议,并且都是在IP网际协议上实现的.INET Sockets是在以上两个协议及IP网际协议之上实现的,它们之间的关系如图1-1所示.

掌握OSI网络模型、TCP/IP模型及相关服务对应的层次对于理解Linux网络服务器是非常重要的.

　　1.1.2 TCP/IP四层模型和OSI七层模型

　　表1-1是 TCP/IP四层模型和OSI七层模型对应表.我们把OSI七层网络模型和Linux TCP/IP四层概念模型对应,然后将各种网络协议归类.

1.网络接口

　　网络接口把数据链路层和物理层放在一起,对应TCP/IP概念模型的网络接口.对应的网络协议主要是：Ethernet、FDDI和能传输IP数据包的任何协议.

　　2.网际层

　　网络层对应Linux TCP/IP概念模型的网际层,网络层协议管理离散的计算机间的数据传输,如IP协议为用户和远程计算机提供了信息包的传输方法,确保信息包能正确地到达目的机器.这一过程中,IP和其他网络层的协议共同用于数据传输,如果没有使用一些监视系统进程的工具,用户是看不到在系统里的IP的.网络嗅探器Sniffers是能看到这些过程的一个装置(它可以是软件,也可以是硬件),它能读取通过网络发送的每一个包,即能读取发生在网络层协议的任何活动,因此网络嗅探器Sniffers会对安全造成威胁.重要的网络层协议包括ARP(地址解析协议)、ICMP(Internet控制消息协议)和IP协议(网际协议)等.

　　3.传输层

　　传输层对应Linux TCP/IP概念模型的传输层.传输层提供应用程序间的通信.其功能包括：格式化信息流;提供可靠传输.为实现后者,传输层协议规定接收端发回确认信息,如果分组丢失,重新发送.传输层包括TCP(Transmission Control Protocol,传输控制协议)和UDP(User Datagram Protocol,用户数据报协议),它们是传输层中最主要的协议.TCP建立在IP之上,定义了网络上程序到程序的数据传输格式和规则,提供了IP数据包的传输确认、丢失数据包的重新请求、将收到的数据包按照它们的发送次序重新装配的机制.TCP 协议是面向连接的协议,类似于打电话,在开始传输数据之前,先建立明确的连接.UDP也建立在IP之上,但它是一种无连接协议,两台计算机之间的传输类似于传递邮件：消息从一台计算机发送到另一台计算机,两者之间没有明确的连接.UDP不保证数据的传输,也不提供重新排列次序或重新请求的功能,说它是不可靠的.虽然UDP的不可靠性限制了它的应用场合,但它比TCP具有更好的传输效率.

　　4.应用层

　　应用层、表示层和会话层对应Linux TCP/IP概念模型中的应用层.应用层位于协议栈的顶端,它的主要任务是应用.一般是可见的,如利

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!