[psac]

TCP/IP應該是個傳輸協定集，根據OS的七層理論，TCP/IP分為四層．分別是套用，傳輸，Interne和網路界面．

我們一般說TCP在傳輸層，而IP在Internet層．

TCP/IP的應用程式包括我們平時經常用到的Ping,Telnet,Ftp,Finger等等

配置TCP/IP包括IP位址，子網掩碼和預設網關

正確檢測TCP/IP的四個步驟：PIng 127.0.0.1（迴環位址）如果通表示TCP/IP已經裝入，Ping自己表明客戶端機正常（主要是網路卡），Ping網關表示區域網路正常，Ping路由外位址表示完全正常，當然你也可以直接進行第四步，一般來說沒這麼麻煩的，但理論是基礎:-)

IP位址是四段八位的二進制陣列成的，IP分為A,B,C,D,E五類位址

A類高端為0,從1.x.y.z~126.x.y.z　.B類高端為10,從128.x.y.z~191.x.y.z　C類高端為110，從192.x.y.z~223.x.y.z　D類高端為1110是保留的IP位址　E類高端為1111，是科研用的IP位址

其中255是廣播位址，127是內部回送函數

以上算是開頭，以後一點點增加，實在是現在還有很多事情等著去做，不好意思了　：－）

以下內容是子網的設定

若公司不上Internet,那一定不會煩惱IPAddress的問題,因 為可以任意使用所有的IPAddress,不管是AClass或是BClass, 這個時候不會想到要用SubNet,但若是上Internet那IPAddress 便彌足珍貴了,目前全球一陣Internet熱,IPAddress已經愈 來愈少了,而所申請的IPAddress目前也趨保守,而且只有 經申請的IPAddress能在Internet使用,但對某些公司只能申 請到一個CCLass的IPAddress,但又有多個點需要使用,那這 時便需要使用到Subnet,這篇短文說明Subnet的原理及如 何規劃。

SubnetMask的介紹
設定任何網路上的任何設備不管是主機、PC、Router等 皆需要設定IPAddress,而跟隨著IPAddress的是所謂的NetMask, 這個NetMask主要的目的是由IPAddress中也能獲得NetworkNumber ,也就是說IPAddress和NetMask作AND而得到NetworkNumber,如下所 示

IPAddress 192.10.10.611000000.00001010.00001010.00000110
NetMask 255.255.255.011111111.11111111.11111111.00000000
AND -------------------------------------------------------------------
etworkNumber 192.10.10.011000000.00001010.00001010.00000000

NetMask有所謂的預設值,如下所顯示

ClassIPAddress範圍NetMask
A　1.0.0.0-126.255.255.255255.0.0.0
B　128.0.0.0-191.255.255.255255.255.0.0
C　192.0.0.0-223.255.255.255255.255.255.0

在預設的NetMask都只有255的值,在談到SubnetMask時這個值 便不一定是255了。
在完整一組CClass中如203.67.10.0-203.67.10.255NetMask255.255.255.0, 203.67.10.0稱之NetworkNumber(將IPAddress和Netmask作AND),而 203.67.10.255是Broadcast的IPAddress,所以這?兩者皆不能使用,實 際只能使用203.67.10.1--203.67.10.254等254個IPAddress,這是以 255.255.255.0作NetMask的結果,而所謂SubnetMsk尚可將整組C Class分成陣列NetworkNumber,這要在NEtMask作手腳,若是要將 整組CCLass分成2個NetworkNumber那NetMask設定為255.255.255.192, 若是要將整組CCLass分成8組NetworkNumber則NetMask要為 255.255.255.224,這是怎麼來的,由以上知道NetworkNumber是由IP Address和NetMask作AND而來的,而且將NetMask以二進位表示 法知道是1的會保留,而為0的去掉

192.10.10.193--11000000.00001010.00001010.10000001
255.255.255.0--11111111.11111111.11111111.00000000
--------------------------------------------------------------
192.10.10.0--11000000.00001010.00001010.00000000

以上是以255.255.255.0為NetMask的結果,NetworkNumber是192.10.10.0, 若是使用255.255.255.224作NetMask結果便有所不同

192.10.10.193--11000000.00001010.00001010.10000000
255.255.255.224--11111111.11111111.11111111.11100000
--------------------------------------------------------------
192.10.10.192--11000000.00001010.00001010.10000000

此時NetworkNumber變成了192.10.10.192,這便是Subnet。
那要如何決定所使用的NetMask,255.255.255.224以二進位表示 法為11111111.11111111.11111111.11100000,變化是在最後一組,11100000 便是224,以三個Bit可表示2的3次方便是8個NetworkNumber

NetMask二進位表示法可分幾個Network

255.255.255.0 11111111.11111111.11111111.000000001
255.255.255.128 11111111.11111111.11111111.100000002
255.255.255.192 11111111.11111111.11111111.110000004
255.255.255.224 11111111.11111111.11111111.111000008
255.255.255.240 11111111.11111111.11111111.1111000016
255.255.255.248 11111111.11111111.11111111.1111100032
255.255.255.252 11111111.11111111.11111111.1111110064

以下使用255.255.255.224將C　Class203.67.10.0分成8組NetworkNumber,各 個NetworkNumber及其BroadcastIPAddress及可使用之IPAddress

序號NetworkNumberBroadcast可使用之IPAddress

1 203.67.10.0 203.67.10.31 203.67.10.1-203.67.10.30
2 203.67.10.32 203.67.10.63 203.67.10.33-203.67.10.62
3 203.67.10.64 203.67.10.95 203.67.10.65-203.67.10.94
4 203.67.10.96 203.67.10.127 203.67.10.97-203.67.10.126
5 203.67.10.128 203.67.10.159 203.67.10.129-203.67.10.158
6 203.67.10.160 203.67.10.191 203.67.10.161-203.67.10.190
7 203.67.10.192 203.67.10.223 203.67.10.193-203.67.10.222
8 203.67.10.224 203.67.10.255 203.67.10.225-203.67.10.254

可驗證所使用的IPAddress是否如上表所顯示

203.67.10.115--11001011.01000011.00001010.01110011
255.255.255.224--11111111.11111111.11111111.11100000
--------------------------------------------------------------
203.67.10.96--11001011.01000011.00001010.01100000

203.67.10.55--11001011.01000011.00001010.00110111
255.255.255.224--11111111.11111111.11111111.11100000
--------------------------------------------------------------
203.67.10.32--11001011.01000011.00001010.00100000

其他的NetMask所分成的NetworkNumber可自行以上述方法自行推演出來。

Subnet的套用
使用Subnet是要解決只有一組CClass但需要數個NetworkNumber的問題,並不是解決IPAddress不夠用的問題,因為使用 Subnet反而能使用的IPAddress會變少,Subnet通常是使用在總公司在台北,但分公司在台中,兩者之間使用Router連線 ,同時也上Internet,但只申請到一組CCLassIPAddress,過Router又需不同的Network,所以此時就必須使用到Subnet,當然二 辦公司間可以RemoteBridge連接,那便沒有使用Subnet的問題,這點在此不討論,所以在以上情況下的網路連線架 構及IPAddress的使用

TCP/IP（傳輸控制傳輸協定/網間傳輸協定）是一種網路通信傳輸協定，它規範了網路上的所有通信設備，尤其是一個主機與另一個主機之間的資料往來格式以及傳送方式。TCP/IP是INTERNET的基礎傳輸協定，也是一種電腦資料打包和尋址的標準方法。在資料傳送中，可以形象地理解為有兩個信封，TCP和IP就像是信封，要傳遞的信息被劃分成若干段，每一段塞入一個TCP信封，並在該信封面上記錄有分段號的信息，再將TCP信封塞入IP大信封，傳送上網。在接受端，一個TCP軟體包收集信封，抽出資料，按傳送前的順序還原，並加以校驗，若發現差錯，TCP將會要求重發。因此，TCP/IP在INTERNET中幾乎可以無差錯地傳送資料。

在任何一個物理網路中,各站點都有一個機器可識別的位址,該位址叫做物理位址.物理位址有兩個

特點:
物理位址的長度,格式等是物理網路技術的一部分,物理網路不同,物理位址也不同.
同一類型不同網路上的站點可能擁有相同的物理位址.
以上兩點決定了,不能用物理網路進行網間網通訊.

在網路術語中，傳輸協定中，傳輸協定是為了在兩台電腦之間交換資料而預先規定的標準。TCP/IP並不是一個而是許多傳輸協定，這就是為什麼你經常聽到它代表一個傳輸協定集的原因，而TCP和IP只是其中兩個基本傳輸協定而已。

你裝在電腦-的TCP/IP軟體提供了一個包括TCP、IP以及TCP/IP傳輸協定集中其它傳輸協定的工具平台。特別是它包括一些高層次的應用程式和FTP(文件傳輸傳輸協定)，它允許用戶在指令行上進行網路文件傳輸。

TCP/IP是美國政府資助的進階研究計劃署(ARPA)在二十世紀七十年代的一個研究成果，用來使全球的研究網路聯在一起形成一個虛擬網路，也就是國際網際網路。原始的

Internet通過將已有的網路如ARPAnet轉換到TCP/IP上來而形成，而這個Internet最終成為如今的國際網際網路的骨幹網。

如今TCP/IP如此重要的原因，在於它允許獨立的網格加入到Internet或組織在一起形成私有的內部網（Intranet）。構成內部網的每個網路通過一種-做路由器或IP路由器的設備在物理上聯接在一起。路由器是一台用來從一個網路到另一個網路傳輸資料包的電腦。在一個使用TCP/IP的內部網中，信息通過使用一種獨立的叫做IP包（IPpacket）或IP資料報(IPdatagrams)的資料單元進--傳輸。TCP/IP軟體使得每台聯到網路上的電腦同其它電腦「看」起來一模一樣，事實上它隱藏了路由器和基本的網路體系結構並使其各方面看起來都像一個大網。如同聯入乙太網時需要驗證一個48位的乙太網位址一樣，聯入一個內部網也需要驗證一個32位的IP位址。我們將它用帶點的十進制數表示，如128.10.2.3。給定一個遠端電腦的IP位址，在某個內部網或Internet上的本機電腦就可以像處在同一個物理網路中的兩台電腦那樣向遠端電腦傳送資料。

TCP/IP提供了一個方案用來解決屬於同一個內部網而分屬不同物理網的兩台電腦之間怎樣交換資料的問題。這個方案包括許多部分，而TCP/IP傳輸協定集的每個成員則用來解決問題的某一部分。如TCP/IP傳輸協定集中最基本的傳輸協定-IP傳輸協定用來在內部網中交換資料並且執行一項重要的功能：路由選項－－選項資料報從A主機到B主機將要經過的路徑以及利用合適的路由器完成不同網路之間的跨越（hop）。

TCP是一個更高層次的它允許執行在在不同主機上的應用程式相互交換資料流。TCP將資料流分成小段叫做TCP資料段（TCPsegments），並利用IP傳輸協定進行傳輸。在大多數情況下，每個TCP資料段裝在一個IP資料報中進行傳送。但如需要的話，TCP將把資料段分成多個資料報，而IP資料報則與同一網路不同主機間傳輸位流和字元流的物理資料畫格相容。由於IP並不能保證接收的資料報的順序相一致，TCP會在收信端裝配TCP資料段並形成一個不間斷的資料流。FTP和Telnet就是兩個非常流行的依靠TCP的TCP/IP應用程式。

另一個重要的TCP/IP傳輸協定集的成員是用戶資料報傳輸協定(UDP)，它同TCP相似但比TCP原始許多。TCP是一個可靠的傳輸協定，因為它有錯誤檢查和握手驗證來保證資料完整的到達目的地。UDP是一個「不可靠」的傳輸協定，因為它不能保證資料報的接收順序同傳送順序相同，甚至不能保證它們是否全部到達。如果有可靠性要求，則應用程式避免使用它。同許多TCP/IP工具同時提供的SNMP(簡單網路管理傳輸協定)就是一個使用UDP傳輸協定的套用例子。

其它TCP/IP傳輸協定在TCP/IP網路中工作在幕後，但同樣也發揮著重要作用。例如位址轉換傳輸協定(ARP)將IP位址轉換為物理網路位址如乙太網位址。而與其對應的反向位址轉換傳輸協定(RARP)做相反的工作，即將物理網路位址轉換為IP位址。網際控制報文傳輸協定(ICMP)則是一個支持性傳輸協定，它利用IP完成IP資料報在傳輸時的控制信息和錯誤信息的傳輸。例如，如果一個路由器不能向前傳送一個IP資料報，它就會利用ICMP來告訴傳送者這裡出現了問題。

網路設計者在解決網路體系結構時經常使用ISO/OSI（ 國際標準化組織/開放系統互連）七層模型，該模型每 一層代表一定層次的網路功能。最下面是物理層，它 代表著進行資料轉輸的物理CD片，換句話說，即網路 電纜。其上是資料鏈路層，它通過網路接頭卡提供服 務。最上層是套用層，這裡執行著使用網路服務的應 用程序。

TCP/IP是同ISO/OSI模型等價的。當一個資料單元 從網路應用程式下流到網路接頭卡，它通過了一列的TCP/IP 模組。這其中的每一步，資料單元都會同網路另一端 對等TCP/IP模組所需的信息一起打成包。這樣當資料最 終傳到網路卡時，它成了一個標準的以太畫格(假設物理 網路是乙太網)。而接收端的TCP/IP軟體通過剝去乙太網 畫格並將資料向上傳輸過TCP/IP棧來為處於接收狀態的應 用程序重新恢復原始資料(一種最好的瞭解TCP/IP工作實 質的方法，是使用探測程序來觀察網路中的到處流動 的畫格中被不同TCP/IP模組所加上的信息)。

為了勾勒TCP/IP在現實網路世界中所扮演的角色， 請考慮當使用HTTP(超文本傳輸傳輸協定)的Web瀏覽器從連接 在Internet上的Web伺服器上獲取一頁HTML資料時所發生的情 況。為形成同Web伺服器的虛鏈路，瀏覽器使用一種被 抽像地稱為套接頭(socket)的高層軟體。為了獲 取Web頁，它通過向套接頭向套接頭寫入HTTPGET指令來向Web 伺服器發出該指令。接下來套接頭軟體使用TCP傳輸協定向 Web伺服器發出包含GET指令的字元流和位流，TCP將資料 分段並將各獨立段傳到IP模組，該模組將資料段轉換 成資料報並傳送給Web伺服器。

如果瀏覽器和伺服器運--在不同物理網路的計 算機上(一般情況如此)，資料報從一個網路傳到另一 個網路，直到抵達伺服器所在的那個網。最終，資料 被傳輸到目的位址並被重新裝配，這樣Web伺服器通過 讀自己的套接頭來獲得資料主幹，並進而檢視連續的 資料流。對瀏覽器和伺服器來說，資料在這一端寫入 套接頭而在另一端出現如同魔術一般，但這只是底 下發生的各種複雜的交互，它創造了資料經過網路無 縫傳輸的假象。

這就是TCP/IP所做的：將許多小網聯成一個大網。 並在這個大網也就是Internet上提供應用程式所需要的 相互通信的服務。

評論：

對於TCP/IP有許多可談的，但這裡僅講三個關鍵 點：

·TCP/IP是一族用來把不同的物理網路聯在一 起構成網際網的傳輸協定。TCP/IP聯接獨立的網路形成一個 虛擬的網，在網內用來驗證各種獨立的不是物理網路 位址，而是IP位址。

·TCP/IP使用多層體系結構，該結構清晰定義了 每個傳輸協定的責任。TCP和UDP向網路應用程式提供了高層 的資料傳輸服務，並都需要IP來傳輸資料包。IP有責任 為資料包到達目的地選項合適的路由。

·在Internet主機上，兩個執行著的應用程式之 間傳送要通過主機的TCP/IP堆棧上下移動。在傳送端TCP/IP 模組加在資料上的信息將在接收端對應的TCP/IP模組上 濾掉，並將最終恢復原始資料。

如果你有興趣學習更多的TCP/IP知識，這裡有兩個 較高層次的信息源RFC(RequestforComment)1180——叫做「TCP/IP Tutorial」的我的文件，你可以從許多普及的RFC的Internet節點上 下載。另一個是InternetworkingwithTCP/IP的第一磁碟區：Principles，Protocols，and Architectures，作者DouglasE.Comer(1995，Prentice-Hall)。作為該系三部 曲中的第一部分，許多人把看成是一本TCP/IP聖經。（原 文刊載於Vol.15No.20）

二、傳輸層的安全性

在Internet套用編程序中，通常使用廣義的工作間通信(IPC)機制來與不同層次的安全傳輸協定打交道。比較流行的兩個IPC編程界面是BSD Sockets和傳輸層界面(TLI)，在Unix系統V指令裡可以找到。

在Internet中提供安全服務的首先一個想法便是強化它的IPC界面，如BSD Sockets等，具體做法包括雙端實體的認證，資料加密密鑰的交換等。Netscape通信公司遵循了這個思路，制定了建立在可靠的傳輸服務(如TCP/IP所提供)基礎上的安全套接層傳輸協定(SSL)。SSL版本3(SSL v3)於1995年12月制定。它主要包含以下兩個傳輸協定：

SSL記錄傳輸協定 它涉及應用程式提供的信息的分段、壓縮、資料認證和加密。SSL v3提供對資料認證用的MD5和SHA以及資料加密用的R4和DES等的支持，用來對資料進行認證和加密的密鑰可以通過SSL的握手傳輸協定來協商。
SSL握手傳輸協定 用來交換版本號、加密算法、(相互)身份認證並交換密鑰。SSL v3 提供對Deffie-Hellman密鑰交換算法、關於RSA的密鑰交換機制和另一種實現在 Fortezza chip上的密鑰交換機制的支持。
Netscape通信公司已經向公眾推出了SSL的參考實現(稱為SSLref)。另一免費的SSL實現叫做SSLeay。SSLref和SSLeay均可給任何TCP/IP套用提供SSL功能。Internet號碼分配當局(IANA)已經為具備SSL功能的套用分配了類BIOS連接埠號，例如，帶SSL的 HTTP(https)被分配的連接埠號為443，帶SSL的SMTP(ssmtp)被分配的連接埠號為465，帶SSL的NNTP(snntp)被分配的連接埠號為563。

微軟推出了SSL2的改進版本稱為PCT(私人通信技術)。至少從它使用的記錄格式來看，SSL和PCT是十分相似的。它們的主要差別是它們在版本號字段的最顯著位(The Most Significant Bit)上的取值有所不同: SSL該位取0，PCT該位取1。這樣區分之後，就可以對這兩個傳輸協定都給以支持。

1996年4月，IETF授權一個傳輸層安全(TLS)工作組著手制定一個傳輸層安全傳輸協定(TLSP)，以便作為標準提案向IESG正式提交。TLSP將會在許多地方酷似SSL。

前面已介紹Internet層安全機制的主要優點是它的透明性，即安全服務的提供不要求套用層做任何改變。這對傳輸層來說是做不到的。原則上，任何TCP/IP套用，只要套用傳輸層安全傳輸協定，比如說SSL或PCT，就必定要進行若干修改以增加相應的功能，並使用(稍微)不同的IPC界面。於是，傳輸層安全機制的主要缺點就是要對傳輸層IPC界面和應用程式兩端都進行修改。可是，比起Internet層和套用層的安全機制來，這裡的修改還是相當小的。另一個缺點是，關於UDP的通信很難在傳輸層建立起安全機制來。同網路層安全機制相比，傳輸層安全機制的主要優點是它提供關於工作對工作的(而不是主機對主機的)安全服務。這一成就如果再加上套用級的安全服務，就可以再向前跨越一大步了。

三、套用層的安全性
必須牢記(且須仔細品味): 網路層(傳輸層)的安全傳輸協定允許為主機(工作)之間的資料通道增加安全內容。本質上，這意味著真正的(或許再加上機密的)資料通道還是建立在主機(或工作)之間，但卻不可能區分在同一通道上傳輸的一個具體文件的安全性要求。比如說，如果一個主機與另一個主機之間建立起一條安全的IP通道，那麼所有在這條通道上傳輸的IP包就都要自動地被加密。同樣，如果一個工作和另一個工作之間通過傳輸層安全傳輸協定建立起了一條安全的資料通道，那麼兩個工作間傳輸的所有消息就都要自動地被加密。

如果確實想要區分一個具體文件的不同的安全性要求，那就必須借助於套用層的安全性。提供套用層的安全服務實際上是最靈活的處理單個文件安全性的手段。例如一個電子郵件系統可能需要對要發出的郵件的個別段落實施資料簽名。較低層的傳輸協定提供的安全功能一般不會知道任何要發出的郵件的段落結構，從而不可能知道該對哪一部分進行簽名。只有套用層是唯一能夠提供這種安全服務的層次。

一般來說，在套用層提供安全服務有幾種可能的做法，第一個想到的做法大概就是對每個套用(及套用傳輸協定)分別進行修改。一些重要的TCP/IP套用已經這樣做了。在RFC 1421至1424中，IETF規定了私用強化郵件(PEM)來為關於SMTP的電子郵件系統提供安全服務。由於種種理由，Internet業界採納PEM的步子還是太慢，一個主要的原因是PEM依賴於一個既存的、完全可操作的PKI(公鑰基礎結構)。PEM PKI是按層次組織的，由下述三個層次構成:

頂層為Internet安全政策登記機構(IPRA)
次層為安全政策證書頒發機構(PCA)
底層為證書頒發機構(CA)
建立一個符合PEM規範的PKI也是一個政治性的程序，因為它需要多方在一個共同點上達成信任。不幸的是，歷史表明，政治性的程序總是需要時間的，作為一個中間步驟，Phil Zimmermann開發了一個軟體包，叫做PGP(pretty Good Privacy)。PGP符合PEM的絕大多數規範，但不必要求PKI的存在。相反，它採用了分佈式的信任模型，即由每個用戶自己決定該信任哪些其他用戶。因此，PGP不是去推廣一個全局的PKI，而是讓用戶自己建立自己的信任之網。這就立刻產生一個問題，就是分佈式的信任模型下，密鑰廢除了怎麼辦。

S-HTTP是Web上使用的超文本傳輸傳輸協定(HTTP)的安全增強版本，由企業集成技術公司設計。S-HTTP提供了文件級的安全機制，因此每個文件都可以被設成私人/簽字狀態。用作加密及簽名的算法可以由參與通信的收發雙方協商。S-HTTP提供了對多種單向散列(Hash)函數的支持，如: MD2，MD5及SHA; 對多種單鑰體制的支持，如：DES，三元DES，RC2，RC4，以及CDMF; 對數字簽名體制的支持，如: RSA和DSS。

目前還沒有Web安全性的公認標準。這樣的標準只能由WWW Consortium，IETF或其他有關的標準化組織來制定。而正式的標準化程序是漫長的，可能要拖上好幾年，直到所有的標準化組織都充分認識到Web安全的重要性。S-HTTP和SSL是從不同角度提供Web的安全性的。S-HTTP對單個文件作"私人/簽字"之區分，而SSL則把參與通信的相應工作之間的資料通道按"私用"和"已認證"進行監管。Terisa公司的SecureWeb工具軟體包可以用來為任何Web套用提供安全功能。該工具軟體包提供有 RSA資料安全公司的加密算法庫，並提供對SSL和S-HTTP的全面支持。

另一個重要的套用是電子商務，尤其是信用卡交易。為使Internet上的信用卡交易安全起見，MasterCard公司(同IBM，Netscape，GTE和Cybercash一道) 制定了安全電子付費傳輸協定(SEPP)，Visa國際公司和微軟(和其他一些公司一道)制定了安全交易技術(STT)傳輸協定。同時，MasterCard，Visa國際和微軟已經同意聯手推出Internet上的安全信用卡交易服務。他們發佈了相應的安全電子交易(SET)傳輸協定，其中規定了信用卡持卡人用其信用卡通過Internet進行付費的方法。這套機制的後台有一個證書頒發的基礎結構，提供對X.509證書的支持。

上面提到的所有這些加安全功能的套用都會面臨一個主要的問題，就是每個這樣的套用都要單獨進行相應的修改。因此，如果能有一個統一的修改手段，那就好多了。通往這個方向的一個步驟就是赫爾辛基大學的Tatu Yloenen開發的安全shell(SSH)。SSH允許其用戶安全地登入到遠端主機上，執行指令，傳輸文件。它實現了一個密鑰交換傳輸協定，以及主機及客戶端認證傳輸協定。SSH有當今流行的多種Unix系統平台上的免費版本，也有由Data Fellows公司包裝上市的商品化版本。

把SSH的思路再往前推進一步，就到了認證和密鑰分配系統。本質上，認證和密鑰分配系統提供的是一個套用編程界面(API)，它可以用來為任何網路應用程式提供安全服務，例如: 認證、資料機密性和完整性、訪問控制以及非否認服務。目前已經有一些實用的認證和密鑰分配系統，如: MIT的Kerberos(V4與V5)，IBM的CryptoKnight和Netwrok Security Program，DEC的SPX，Karlsruhe大學的指數安全系統(TESS)等，都是得到廣泛採用的實例。甚至可以見到對有些認證和密鑰分配系統的修改和擴充。例如，SESAME和OSF DCE對Kerberos V5作了增加訪問控制服務的擴充，Yaksha對Kerberos V5作了增加非否認服務的擴充。

關於認證和密鑰分配系統的一個經常遇到的問題是關於它們在Internet上所受到的冷遇。一個原因是它仍要求對套用本身做出改動。考慮到這一點，對一個認證和密鑰分配系統來說，提供一個標準化的安全API就顯得格外重要。能做到這一點，開發人員就不必再為增加很少的安全功能而對整個應用程式大動手術了。因此，認證系統設計領域內最主要的進展之一就是制定了標準化的安全API，即通用安全服務API(GSS-API)。GSS-API(v1及v2)對於一個非安全專家的編程人員來說可能仍顯得過於技術化了些，但德州Austin大學的研究者們開發的安全網路編程(SNP)，把界面做到了比GSS-API更高的層次，使同網路安全性有關的編程更加方便了。

區域網路在網路層有什麼不安全的地方？

NAI公司 供稿

不安全的地方

由於區域網路中採用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就對可以對信息包進行分析，那麼本廣播域的信息傳遞都會暴露在黑客面前。

網路分段

網路分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想在於將非法用戶與網路資源相互隔離，從而達到限制用戶非法訪問的目的。

網路分段可分為物理分段和邏輯分段兩種方式：
物理分段通常是指將網路從物理層和資料鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網段，各網段相互之間無法進行直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現對網路的物理分段。邏輯分段則是指將整個系統在網路層（ISO/OSI模型中的第三層）上進行分段。例如，對於TCP/IP網路，可把網路分成若干IP子網，各子網間必須通過路由器、路由交換機、網關或防火牆等設備進行連接，利用這些中間設備（含軟體、硬體）的安全機制來控制各子網間的訪問。在實際套用程序中，通常採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性控制。

VLAN的實現

虛擬網技術主要關於近年發展的區域網路交換技術(ATM和乙太網交換)。交換技術將傳統的關於廣播的區域網路技術發展為面向連接的技術。因此，網管系統有能力限制區域網路通訊的範圍而無需通過預先配置很大的路由器。

乙太網從本質上關於廣播機制，但套用了交換器和VLAN技術後，實際上轉變為點到點通訊，除非設定了監聽口，信息交換也不會存在監聽和插入（改變）問題。

由以上執行機制帶來的網路安全的好處是顯而易見的：
信息只到達應該到達的地點。因此、防止了大部分關於網路監聽的入侵手段。
通過虛擬網設定的訪問控制，使在虛擬網外的網路節點不能直接訪問虛擬網內節點。

但是，虛擬網技術也帶來了新的安全問題：
執行虛擬網交換的設備越來越複雜，從而成為被攻擊的對象。關於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設定。關於MAC的VLAN不能防止MAC欺騙攻擊。
採用關於MAC的VLAN劃分將面臨假冒MAC位址的攻擊。因此，VLAN的劃分最好關於交換機連接埠。但這要求整個網路桌面使用交換連接埠或每個交換連接埠所在的網段機器均屬於相同的VLAN。

VLAN之間的劃分原則

VLAN的劃分方式的目的是保證系統的安全性。因此，可以按照系統的安全性來劃分VLAN;可以將總部中的伺服器系統單獨劃作一個VLAN,如資料庫伺服器、電子郵件伺服器等。也可以按照機構的設定來劃分VLAN，如將領導所在的網路單獨作為一個Leader VLAN(LVLAN), 其他司局（或下級機構）分別作為一個VLAN,並且控制LVLAN與其他VLAN之間的單向信息流向，即允許LVLAN檢視其他VLAN的相關資訊，其他VLAN不能訪問LVLAN的信息。VLAN之內的連接採用交換實現， VLAN與VLAN之間採用路由實現。由於路由控制的能力有限，不能實現LVLAN與其他VLAN之間的單向信息流動，需要在LVLAN與其他VLAN之間設定一個Gauntlet防火牆作為安全隔離設備，控制VLAN與VLAN之間的信息交流