有关TCP/IP设置和注意事项（tcp/ip如何设置）-网络安全-知优网

TCP/IP的层次不同提供的安全性也不同，例如，在网络层提供虚拟私用网络，在传输层提供安全套接服务。下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。

TCP/IP的层次不同供给的安全性也不同，例如，在网络层供给虚拟私用网络，在传输层供给安全套接服务。下面将别离介绍TCP/IP不同层次的安全性和进步各层安全性的办法。　　

TCP/IP 的称号大解剖　　

称号解析是为用户供给易于回忆的服务器称号的进程，这样用户就无需回忆那些在 TCP/IP 网络上用于标识服务器的数字 IP 地址了。称号解析服务有 DNS 和 WINS。　　

域名体系 (DNS)　　

DNS 是一个用于在 Internet 和专用 TCP/IP 网络上定位核算机的分层命名体系。一般需求装置一个或多个 DNS 服务器。Internet 电子邮件、Web 阅读和 Active Directory 都需求 DNS。某些带有运转 Windows 2000 客户端的域也需求 DNS。当创立域操控器（或将某个服务器提升为域操控器）时，会主动装置 DNS，但当 Windows 2000 软件检测到域内已有 DNS 服务器时破例。（或许，也能够明确地将 DNS 作为装置进程中或装置之后要装置的组件。）　　

假如在服务器上装置 DNS，将需求为该服务器指定一个静态 IP 地址。此外，还需求装备 DNS 客户端，以便它们能够辨认这个 IP 地址。有关分配静态 IP 地址的信息，请参阅指定静态本地 IP 地址及 DNS 和 WINS 所需的设置。有关装备 DNS 的信息，请参阅 DNS。　　

Windows Internet 称号服务 (WINS)　　

假如要支撑运转 Windows NT 或任何前期 Microsoft 操作体系的客户端，则需求在域内的一个或几个服务器上装置 Windows Internet 称号服务 (WINS)。WINS 是一个可选的软件组件，出现在组件列表的网络服务下面。（有关装置 WINS 组件的信息，请参阅挑选要装置的组件。）假如在服务器上装置 WINS，则需求为该服务器指定一个静态 IP 地址。此外还需求装备 WINS 客户端，以便使它们辨认这个 IP 地址。　　

有关分配静态 IP 地址的信息，请参阅指定静态本地 IP 地址及 DNS 和 WINS 所需的设置。有关装备 WINS 的信息，请参阅 WINS。　　

DNS 查询的作业原理　　

当 DNS 客户机需求查询程序中运用的称号时，它会查询 DNS 服务器来解析该称号。客户机发送的每条查询音讯都包含三条信息，以指定服务器应答复的问题：　　#p#

TCP/IP的安全性　　

Internet层的安全性　　

对Internet层的安全协议进行规范化的主意早就有了。在曩昔十年里，现已提出了一些计划。例如，"安全协议3号(SP3)"便是美国国家安全局以及规范技能协会作为"安全数据网络体系(SDNS)"的一部分而拟定的。"网络层安全协议(NLSP)"是由世界规范化安排为"无衔接网络协议(CLNP)"拟定的安全协议规范。"集成化NLSP(I-NLSP)"是美国国家科技研究所提出的包含IP和CLNP在内的一致安全机制。SwIPe是另一个Intenet层的安全协议，由Ioannidis和Blaze提出并完结原型。一切这些提案的共同点多于不同点。事实上，他们用的都是IP封装技能。其本质是，纯文本的包被加密，封装在外层的IP报头里，用来对加密的包进行Internet上的路由挑选。抵达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报地址。　　

Internet工程特遣组(IETF)现已特许Internet协议安全协议(IPSEC)作业组对IP安全协议(IPSP)和对应的Internet密钥办理协议(IKMP)进行规范化作业。IPSP的首要意图是使需求安全措施的用户能够运用相应的加密安全体系。该体系不只能在现在通行的IP(IPv4)下作业，也能在IP的新版本(IPng或IPv6)下作业。该体系应该是与算法无关的，即便加密算法替换了，也不对其他部分的完结产生影响。此外，该体系有必要能实施多种安全方针，但要防止给不运用该体系的人形成晦气影响。依照这些要求，IPSEC作业组制订了一个规范：认证头(Authentication Header，AH)和封装安全有用负荷(Encapsulating Security Payload，ESP)。简言之，AH供给IP包的真实性和完整性，ESP供给机要内容。　　

IP AH指一段音讯认证代码(Message Authentication Code，MAC)，在发送IP包之前，它现已被事前核算好。发送方用一个加密密钥算出AH，接纳方用同一或另一密钥对之进行验证。假如收发两边运用的是单钥体系，那它们就运用同一密钥；假如收发两边运用的是公钥体系，那它们就运用不同的密钥。在后一种景象，AH体系能额外地供给不可否认的服务。事实上，有些在传输中可变的域，如IPv4中的time-to-live域或IPv6中的hop limit域，都是在AH的核算中有必要忽略不计的。RFC 1828初次规则了加封状况下AH的核算和验证中要选用带密钥的MD5算法。而与此一起，MD5和加封状况都被批评为加密强度太弱，并有替换的计划提出。　　

IP ESP的根本主意是整个IP包进行封装，或许只对ESP内上层协议的数据(运送状况)进行封装，并对ESP的绝大部分数据进行加密。在管道状况下，为当时已加密的ESP附加了一个新的IP头(纯文本)，它能够用来对IP包在Internet上作路由挑选。接纳方把这个IP头取掉，再对ESP进行解密，处理并取掉ESP头，再对本来的IP包或更高层协议的数据就象一般的IP包那样进行处理。RFC 1827中对ESP的格局作了规则，RFC 1829中规则了在暗码块链接(CBC)状况下ESP加密和解密要运用数据加密规范(DES)。尽管其他算法和状况也是能够运用的，但一些国家对此类产品的进出口操控也是不能不考虑的要素。有些国家甚至连私用加密都要约束。　　

装备 TCP/IP 设置　　

翻开网络衔接。　　

单击要装备的衔接，然后在“网络使命”下，单击“更改该衔接的设置”。　　

履行以下任一操作：　　

假如衔接是局域网衔接，则在“惯例”选项卡的“该衔接运用下列项目”下，单击“网际协议 (TCP/IP)”，然后单击“特点”。　　

假如是拨号、VPN 或传入衔接，请单击“网络”选项卡上。在“该衔接运用下列项目”中，单击“网际协议 (TCP/IP)”，然后单击“特点”。　　

履行以下任一操作：　　

假如要主动指使 IP 设置，请单击“主动获得 IP 地址”，然后单击“承认”。　　

假如要指定 IP 地址或 DNS 服务器地址，请履行以下进程：　　

单击“运用下面的 IP 地址”，然后在“IP 地址”中键入 IP 地址。　　

单击“运用下面的 DNS 服务器地址”，在“首选 DNS 服务器”和“备用 DNS 服务器”中，键入首选和备用 DNS 服务器的地址。　　

要装备 DNS、WINS 和 IP 设置，请单击“高档”。　　