《计算机网络相关技术及应用优秀PPT.ppt》由会员分享,可在线阅读,更多相关《计算机网络相关技术及应用优秀PPT.ppt(71页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机网络相关技术及应用现在学习的是第1页,共71页9.1 9.1 计算机网络系统集成技术计算机网络系统集成技术 随着知识经济时代的到来,国内信息化进程逐步加快,政府随着知识经济时代的到来,国内信息化进程逐步加快,政府机关、高校及企事业单位的计算机网络信息系统的建设已提上议机关、高校及企事业单位的计算机网络信息系统的建设已提上议事日程。由于事日程。由于InternetInternet技术的日益成熟,使得现代技术的日益成熟,使得现代计算机网络信计算机网络信息系统(息系统(NISNIS)的概念与传统的基于局域网的信息系统概念相比有的概念与传统的基于局域网的信息系统概念相比有了很大改变,传统局域网信
2、息系统仅需进行简单规划设计既可实了很大改变,传统局域网信息系统仅需进行简单规划设计既可实施,而当今的网络信息系统,特别是企业级的计算机网络信息系施,而当今的网络信息系统,特别是企业级的计算机网络信息系统集成则必须进行详细、周密的规划和设计,才能使网络信息系统集成则必须进行详细、周密的规划和设计,才能使网络信息系统达到预期目的统达到预期目的。现在学习的是第2页,共71页9.1.1 9.1.1 网络系统集成的原则网络系统集成的原则 开放性和标准化原则。开放性和标准化原则。实用性和先进性原则。实用性和先进性原则。可靠性和安全性原则。可靠性和安全性原则。灵活性和可扩展性原则。灵活性和可扩展性原则。现在
3、学习的是第3页,共71页9.1.2 9.1.2 网络集成系统规划设计网络集成系统规划设计 系统总体架构系统总体架构 拓扑结构拓扑结构 主干网结构主干网结构 运行模式运行模式现在学习的是第4页,共71页 网络硬件平台网络硬件平台 网络互连设备网络互连设备 结构化布线系统结构化布线系统 网络服务器网络服务器现在学习的是第5页,共71页服务器的性能服务器的性能 服务器的性能主要从可靠性和并发处理能力两方面来衡量。服务器的性能主要从可靠性和并发处理能力两方面来衡量。可靠性可靠性 可可靠靠性性主主要要体体现现在在服服务务器器是是否否采采用用冗冗余余技技术术、在在线线修修复复技技术术等。等。并发处理并发处
4、理 并并发发处处理理技技术术能能够够大大幅幅度度地地提提高高系系统统的的处处理理能能力力和和系系统统响应时间,主要表现在:响应时间,主要表现在:多处理器。多处理器。多重多重 PCIPCI总线。总线。RAID5RAID5技术。技术。流量隔离。流量隔离。现在学习的是第6页,共71页 软件支撑平台软件支撑平台 网络操作系统网络操作系统 网络操作系统是网络系统集成的核心和基础,就单一网络操作网络操作系统是网络系统集成的核心和基础,就单一网络操作系统可供选择的有系统可供选择的有UnixUnix、LinuxLinux、Windows NTWindows NT、Net WareNet Ware、OS/2OS
5、/2等。等。应用软件平台应用软件平台 数据库数据库。常用数据库系统有。常用数据库系统有OracleOracle、SybaseSybase、SQL ServerSQL Server、InformixInformix等。等。信息服务相关软件信息服务相关软件。常规信息服务工具如。常规信息服务工具如Web ServerWeb Server、Email Email SeverSever、FTPFTP、GopherGopher、TelnetTelnet、NFSNFS等等.这里主要指用户自己适用的信这里主要指用户自己适用的信息服务软件,包括信息发布系统、办公自动化系统(息服务软件,包括信息发布系统、办公自动
6、化系统(OAOA)、)、各类管理信各类管理信息系统(息系统(MISMIS)以及辅助决策相应软件。以及辅助决策相应软件。现在学习的是第7页,共71页 安全措施设计及网络管理安全措施设计及网络管理具体表现在以下方面:具体表现在以下方面:硬件可靠性。硬件可靠性。容错方案。容错方案。数据备份方案。数据备份方案。防病毒措施。防病毒措施。环境安全性。环境安全性。访问权限设置。访问权限设置。网络互联安全。网络互联安全。网络管理网络管理。现在学习的是第8页,共71页9.2 9.2 计算机网络管理技术计算机网络管理技术 与传统的小型局域网相比,与传统的小型局域网相比,现代企业网现代企业网(Intranet)In
7、tranet)呈现出更大呈现出更大的复杂性和开放性。随着网络规模的日益扩大和网络结构的日的复杂性和开放性。随着网络规模的日益扩大和网络结构的日益复杂,网络失效、性能欠缺、配置不当、安全性差等问题随益复杂,网络失效、性能欠缺、配置不当、安全性差等问题随之出现,因此迫切需要有效而完整的网络管理机制来监测、控之出现,因此迫切需要有效而完整的网络管理机制来监测、控制和管理网络的资源和服务。从某种意义上说,网络系统整体制和管理网络的资源和服务。从某种意义上说,网络系统整体运作的有效性很大程度上取决于运作的有效性很大程度上取决于网络管理网络管理的有效性,而的有效性,而网络管理网络管理策略策略和和网络管理技
8、术网络管理技术是影响网络管理有效性的两个重要方面。是影响网络管理有效性的两个重要方面。现在学习的是第9页,共71页 网络管理系统的基本模型网络管理系统的基本模型 现在学习的是第10页,共71页9.2.2 9.2.2 网络管理的功能域网络管理的功能域 OSI OSI网络管理标准对开放系统的网络管理定义了五个基本的功网络管理标准对开放系统的网络管理定义了五个基本的功能域:能域:故障(故障(FaultFault)管理管理、配置(配置(ConfigurationConfiguration)管理管理、记记帐(帐(AccountingAccounting)管理管理、性能(性能(PerformancePer
9、formance)管理管理、安全安全(SecuritySecurity)管理管理。它们只是网络管理最基本的功能。这些功能。它们只是网络管理最基本的功能。这些功能都需要通过与其它开放系统交换管理信息来实现。都需要通过与其它开放系统交换管理信息来实现。现在学习的是第11页,共71页1 1配置管理配置管理 网络的配置管理功能主要包括:网络资源及其活动状网络的配置管理功能主要包括:网络资源及其活动状态、网络资源之间的关系、新资源的引入与旧资源的删除。态、网络资源之间的关系、新资源的引入与旧资源的删除。从管理控制的角度看,网络资源可以分为三个状态:可用从管理控制的角度看,网络资源可以分为三个状态:可用的
10、、不可用的与正在测试的。从网络运行的角度看,网络的、不可用的与正在测试的。从网络运行的角度看,网络资源又可以分为两个状态:活动的与不活动的。资源又可以分为两个状态:活动的与不活动的。现在学习的是第12页,共71页2 2故障管理故障管理 故故障障管管理理是是用用来来维维持持网网络络的的正正常常运运行行的的。网网络络故故障障管管理理包包括括及及时时发发现现网网络络中中发发生生的的故故障障,找找出出网网络络产产生生故故障障的的原原因因,必必要要时时启启动动控控制制功功能能来来排排除除故故障障。故故障障管管理理的的控控制制活活动动包包括括故故障障设备的诊断测试活动、故障修复或恢复活动、启动备用设备等。
11、设备的诊断测试活动、故障修复或恢复活动、启动备用设备等。故障管理是网络管理功能中与设备故障的检测、设备故障的故障管理是网络管理功能中与设备故障的检测、设备故障的诊断、故障设备的恢复和排除有关的网络管理功能,其目的是保诊断、故障设备的恢复和排除有关的网络管理功能,其目的是保证网络能够提供连续、可靠的服务。证网络能够提供连续、可靠的服务。现在学习的是第13页,共71页3 3、性能管理、性能管理 网网络络性性能能管管理理是是连连续续地地评评测测网网络络运运行行中中的的主主要要性性能能指指标标,以以检检验验网网络络服服务务是是否否达达到到了了预预定定的的水水平平,找找出出已已经经发发生生或或潜潜在在的
12、的瓶瓶颈,报告网络性能的变化趋势,为网络管理决策提供依据。颈,报告网络性能的变化趋势,为网络管理决策提供依据。典型的网络性能管理可以分为两部分:典型的网络性能管理可以分为两部分:性能监测性能监测与与网络控制网络控制。性能监测指网络工作状态信息的收集和整理;而网络控制则是为性能监测指网络工作状态信息的收集和整理;而网络控制则是为改善网络设备的性能而采取的动作和措施。改善网络设备的性能而采取的动作和措施。现在学习的是第14页,共71页4 4安全管理安全管理 安全管理功能是用来保护网络资源的安全。安全管理活动安全管理功能是用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制,阻止非法入
13、侵等不安全事能够利用各种层次的安全防卫机制,阻止非法入侵等不安全事件的发生。安全管理功能能够快速检测出未授权的资源使用,件的发生。安全管理功能能够快速检测出未授权的资源使用,并查处侵入点,对非法侵入活动进行审查与追踪,能够使网络并查处侵入点,对非法侵入活动进行审查与追踪,能够使网络管理人员恢复部分受破坏的文件。管理人员恢复部分受破坏的文件。现在学习的是第15页,共71页5 5计帐管理计帐管理 对对于于公公用用分分组组交交换换网网与与各各种种网网络络信信息息服服务务系系统统来来说说,用用户户必必须须为为使使用用网网络络的的服服务务而而交交费费。网网络络管管理理系系统统则则需需要要对对用用户户使使
14、用网络资源的情况进行记录并核算费用。用网络资源的情况进行记录并核算费用。用用户户使使用用网网络络资资源源的的费费用用有有许许多多不不同同的的计计算算方方法法,例例如如主主叫叫付付费费、被叫付费与主被叫分担费用等。被叫付费与主被叫分担费用等。在大多数企业内部网中,内部用户使用网络资源并不需要交在大多数企业内部网中,内部用户使用网络资源并不需要交费,但是记帐功能可以用来记录用户对网络的使用时间、统计网费,但是记帐功能可以用来记录用户对网络的使用时间、统计网络的利用率与资源使用情况等内容。因此,记帐管理功能在企业络的利用率与资源使用情况等内容。因此,记帐管理功能在企业内部网中也是非常有用的。内部网中
15、也是非常有用的。现在学习的是第16页,共71页9.2.3 9.2.3 网络管理系统的体系结构网络管理系统的体系结构现在学习的是第17页,共71页9.2.4 9.2.4 网络管理协议(网络管理协议(SNMPSNMP)目前使用的网络管理协议主要有基于目前使用的网络管理协议主要有基于TCPTCPIPIP的简单网络的简单网络管理协议管理协议SNMPSNMP、基于基于OSIOSI的的公共管理信息协议公共管理信息协议CMIPCMIP及及桌面管桌面管理接口理接口DMIDMI。SNMPSNMP是是InternetInternet组织为适应组织为适应InternetInternet的发展而的发展而制定的网络管理
16、协议,它提供的管理操作简单而实用,采制定的网络管理协议,它提供的管理操作简单而实用,采用用“取存取存”的运作机制进行操作:即管理者可以通过的运作机制进行操作:即管理者可以通过“取取”操作从被管理对象获取所需的管理信息,也可以通过操作从被管理对象获取所需的管理信息,也可以通过“存存”操作对被管理对象的值进行修改和设置,从而达到对被管操作对被管理对象的值进行修改和设置,从而达到对被管理对象进行监视和控制的目的。目前的理对象进行监视和控制的目的。目前的SNMPSNMP在完成一般网在完成一般网络管理工作的基础上朝着进一步提高安全性和进行层次化络管理工作的基础上朝着进一步提高安全性和进行层次化管理的方向
17、发展,新版本的管理的方向发展,新版本的SNMPSNMP(SNMP V3SNMP V3)已经能够满足已经能够满足一般网络管理在内容和安全性上的要求。一般网络管理在内容和安全性上的要求。现在学习的是第18页,共71页9.2.59.2.5 基于基于WebWeb的网络管理模式的网络管理模式 随着随着WebWeb及其开发工具的迅速发展,及其开发工具的迅速发展,基于基于WebWeb的网络管理技的网络管理技术术也因此应运而生。基于也因此应运而生。基于WebWeb的网络管理解决方案主要有的网络管理解决方案主要有以下几方面的优点:以下几方面的优点:地理上和系统间的可移动性地理上和系统间的可移动性 统一的统一的W
18、ebWeb浏览器界面方便了用户的使用和学习浏览器界面方便了用户的使用和学习 管理应用程序间的平滑链接管理应用程序间的平滑链接 利用利用 JavaJava技术能够迅速对管理软件进行升级技术能够迅速对管理软件进行升级 现在学习的是第19页,共71页9.2.6 9.2.6 常见的网络管理平台常见的网络管理平台 网网络络管管理理平平台台是是实实现现网网络络管管理理功功能能的的一一种种软软件件产产品品,它它运运行行于于一一定定的的计算机平台上,组成一个计算机平台上,组成一个网络管理系统(网络管理系统(NMSNMS)。目前,典型的网络管理软件主要有:目前,典型的网络管理软件主要有:HPHP公司的公司的Op
19、enViewOpenView、IBMIBM公司的公司的NetViewNetView、SUNSUN公司的公司的SunNet ManagerSunNet Manager、CabletronCabletron公司的公司的SpectrumSpectrum与与DECDEC公司的公司的PloyCenterPloyCenter等。它们在支持本公司网络管理方等。它们在支持本公司网络管理方案的同时,都可以通过案的同时,都可以通过SNMPSNMP对网络设备进行管理。对网络设备进行管理。现在学习的是第20页,共71页9.3 9.3 计算机网络安全技术计算机网络安全技术 网络安全是指借助于网络管理,使网络环境网络安全
20、是指借助于网络管理,使网络环境中信息的机密性、完整性及可使用性受到保护,中信息的机密性、完整性及可使用性受到保护,其主要目标是确保经网络传输的信息到达目的计其主要目标是确保经网络传输的信息到达目的计算机时没有任何改变或丢失。因此必须确保只有算机时没有任何改变或丢失。因此必须确保只有被授权者才可以访问网络。被授权者才可以访问网络。现在学习的是第21页,共71页信息系统的安全性信息系统的安全性 任何信息系统的安全性都可以从以下四个方面进行衡任何信息系统的安全性都可以从以下四个方面进行衡量:量:第一,第一,用户身份认证用户身份认证,指在用户访问网络前,验证,指在用户访问网络前,验证其身份是否合法;第
21、二,其身份是否合法;第二,授权授权,指允许用户以什么方式访,指允许用户以什么方式访问网络资源,即用户访问网络的权限;第三,问网络资源,即用户访问网络的权限;第三,责任责任,根据经,根据经数据检查跟踪得到的事件记录,作为证据判别访问者责任;数据检查跟踪得到的事件记录,作为证据判别访问者责任;第四,第四,保证保证,指系统达到什么级别的可靠程度,指系统达到什么级别的可靠程度。现在学习的是第22页,共71页9.3.29.3.2 网络安全的基本问题网络安全的基本问题1.1.网络防攻击问题网络防攻击问题2.2.网络安全漏洞与对策问题网络安全漏洞与对策问题3.3.网络中的信息安全保密问题网络中的信息安全保密
22、问题4.4.网络内部安全防范问题网络内部安全防范问题5.5.网络防病毒问题网络防病毒问题6.6.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题 现在学习的是第23页,共71页1.1.网络防攻击问题网络防攻击问题 在在InternetInternet中中,对对网网络络的的攻攻击击可可以以分分为为服服务务攻攻击击与与非非服服务务攻攻击击。服服务务攻攻击击是是指指对对网网络络中中提提供供某某种种服服务务的的服服务务器器发发起起攻攻击击,造造成成该该网网络络服服务务器器的的“拒拒绝绝服服务务”,网网络络工工作作不不正正常常。例例如如,攻攻击击者者可可能能会会设设法法使使一一个个网网络
23、络的的WWWWWW服服务务器器瘫瘫痪痪,或或修修改改它它的的主主页页,使使得得该该网网站站的的WWWWWW服服务务失失效效或或不不能能正正常常工工作作。非非服服务务攻攻击击是是指指攻攻击击者者可可能能使使用用各各种种方方法法对对网网络络通通信信设设备备(如如路路由由器器、交交换换机机)发发起起攻攻击击,使使得得网网络络通通信信设设备备工工作作严严重阻塞或瘫痪。重阻塞或瘫痪。研究网络可能遭到哪些人的攻击,攻击类型和手段可能有哪些,研究网络可能遭到哪些人的攻击,攻击类型和手段可能有哪些,如何及时检测并报告网络被攻击,以及建立相应的网络安全策略与如何及时检测并报告网络被攻击,以及建立相应的网络安全策
24、略与防护体系,是网络防攻击技术要解决的主要问题。防护体系,是网络防攻击技术要解决的主要问题。现在学习的是第24页,共71页2.2.网络安全漏洞与对策问题网络安全漏洞与对策问题 网络信息系统的运行涉及到计算机硬件与操作系统、网络网络信息系统的运行涉及到计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件以及网络通信协硬件与网络软件、数据库管理系统、应用软件以及网络通信协议等。这些硬件与软件资源都会存在一定的安全问题,它们不议等。这些硬件与软件资源都会存在一定的安全问题,它们不可能百分之百没有缺陷和漏洞。用户开发的各种应用软件可能可能百分之百没有缺陷和漏洞。用户开发的各种应用软件可能
25、会出现更多能被攻击者利用的漏洞。这些缺陷和漏洞在产品的会出现更多能被攻击者利用的漏洞。这些缺陷和漏洞在产品的研制与测试阶段大部分会被发现和解决,但总是会遗留下一些研制与测试阶段大部分会被发现和解决,但总是会遗留下一些问题问题.网络攻击者通过研究这些安全漏洞,然后把这些安全漏洞网络攻击者通过研究这些安全漏洞,然后把这些安全漏洞作为攻击网络的首选目标。这就要求网络安全人员主动去了解作为攻击网络的首选目标。这就要求网络安全人员主动去了解各种网络资源可能存在的安全问题,利用各种软件与测试工具各种网络资源可能存在的安全问题,利用各种软件与测试工具主动检测网络可能存在的各种安全隐患,并及时提出解决对策主动
26、检测网络可能存在的各种安全隐患,并及时提出解决对策与措施。与措施。现在学习的是第25页,共71页3.3.网络中的信息安全保密问题网络中的信息安全保密问题 网网络络中中的的信信息息安安全全保保密密主主要要包包括括信信息息存存储储安安全全与与信息传输安全信息传输安全两个方面。两个方面。现在学习的是第26页,共71页信息存储安全信息存储安全 信息存储安全是指如何保证静态存储在联网计算机中的信信息存储安全是指如何保证静态存储在联网计算机中的信息不会被未授权的网络用户非法使用的问题。网络中的非法用息不会被未授权的网络用户非法使用的问题。网络中的非法用户可以通过猜测用户口令或窃取口令的办法,或者设法绕过网
27、户可以通过猜测用户口令或窃取口令的办法,或者设法绕过网络安全认证系统,冒充合法用户,非法查看、下载、修改、删络安全认证系统,冒充合法用户,非法查看、下载、修改、删除未授权访问的信息,使用未授权的网络服务。信息存储安全除未授权访问的信息,使用未授权的网络服务。信息存储安全通常采用通常采用用户访问权限设置用户访问权限设置、用户口令加密用户口令加密、用户身份认证用户身份认证、数据加数据加密密与与结点地址过滤结点地址过滤等方法。等方法。现在学习的是第27页,共71页信息传输安全信息传输安全 信信息息传传输输安安全全是是指指如如何何保保证证信信息息在在网网络络传传输输过过程程中中不不被被泄泄露露与与不不
28、被被攻攻击击。信信息息在在从从信信息息源源传传输输到到信信息息目目的的结结点点的的过过程程中中,可可能能会会遇遇到到四四种种可可能能的的攻攻击击类类型型:1.1.信信息息被被截截获获,信信息息从从信信息息源源结结点点传传输输出出来来,中中途途被被攻攻击击者者非非法法截截获获,信信息息的的目目的的结结点点没没有有收收到到应应该该收收到到的的信信息息,因因而而造造成成信信息息的的丢丢失失;2.2.信信息息被被窃窃听听,信信息息从从源源结结点点传传输输到到了了信信息息目目的的结结点点,但但中中途途被被攻攻击击者者非非法法窃窃听听;3.3.信信息息被被篡篡改改,信信息息从从信信息息源源结结点点传传输输
29、到到信信息息目目的的结结点点中中途途被被攻攻击击者者非非法法截截获获,攻攻击击者者在在截截获获的的信信息息中中进进行行修修改改或或插插入入欺欺骗骗性性信信息息,然然后后将将篡篡改改后后的的错错误误信信息息发发送送给给信信息息目目的的结结点点;4.4.信信息息被被伪伪造造,信信息息源源结结点点并并没没有有信信息息要要传传送送到到信信息息目目的的结结点点,攻攻击击者者冒冒充充信信息息源源结结点点用用户户,将将伪伪造造的的信信息息发发送送给给信信息息目目的的结结点点,信信息息目目的的结结点点收收到到的的是伪造的信息。是伪造的信息。保证网络系统中的信息安全的主要技术是数据加密和解密。目前,人们保证网络
30、系统中的信息安全的主要技术是数据加密和解密。目前,人们通过加密和解密算法、身份认证、数字签名等方法,来实现信息存储与传输通过加密和解密算法、身份认证、数字签名等方法,来实现信息存储与传输的安全性。的安全性。现在学习的是第28页,共71页4.4.网络内部安全防范问题网络内部安全防范问题 一一个个问问题题是是如如何何防防止止信信息息源源结结点点用用户户对对所所发发送送的的信信息息事事后后不不承承认认,或或者者是是信信息息目目的的结结点点接接收收到到信信息息之之后后不不认认帐帐,即即出出现现抵抵赖赖问问题题。另另一一个个问问题题是是如如何何防防止止内内部部具具有有合合法法身身份份的的用用户户有有意意
31、或或无无意意地地做做出出对网络和信息安全有害的行为。对网络和信息安全有害的行为。解解决决来来自自网网络络内内部部的的不不安安全全因因素素必必须须从从技技术术与与管管理理两两个个方方面面入入手手。一一是是通通过过网网络络管管理理软软件件随随时时监监控控网网络络运运行行状状态态与与用用户户工工作作状状态态;对对重重要要资资源源使使用用状状态态进进行行记记录录与与审审记记。同同时时,制制定定和和不不断断完完善善网网络络使用和管理制度,加强用户培训和管理使用和管理制度,加强用户培训和管理。现在学习的是第29页,共71页5.5.网络防病毒问题网络防病毒问题 网络病毒的危害是人们不可忽视的现实。网络防网络
32、病毒的危害是人们不可忽视的现实。网络防病毒是保护网络与信安全的重要问题之一。它需要从病毒是保护网络与信安全的重要问题之一。它需要从工作站与服务器两个方面的防病毒技术与用户管理技工作站与服务器两个方面的防病毒技术与用户管理技术来着手解决。术来着手解决。现在学习的是第30页,共71页6.6.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题 在在实实际际的的网网络络运运行行环环境境中中,如如果果出出现现网网络络故故障障造造成成数数据据丢丢失失,数数据据能能不不能能恢恢复复?这这是是在在网网络络信信息息系系统统安安全全设设计计中中必必须须注注意意的的问问题题。一一个个实实用用的的网网络
33、络信信息息系系统统的的设设计计中中必必须须有有网网络络数数据据备备份份、恢恢复复手手段段和和灾灾难难恢恢复复策策略略与与实实现现方方法法的的内内容容,这这也也是是网络安全研究的一个重要内容。网络安全研究的一个重要内容。现在学习的是第31页,共71页9.3.29.3.2 主要的网络安全服务主要的网络安全服务网络安全服务应该提供以下基本的服务功能网络安全服务应该提供以下基本的服务功能 1.1.保密性保密性2.2.认证认证3.3.数据完整性数据完整性4.4.防抵赖防抵赖5.5.访问控制访问控制现在学习的是第32页,共71页9.3.4 9.3.4 网络防火墙技术网络防火墙技术 网络防火墙是一种网络防火
34、墙是一种访问控制技术访问控制技术,在某个机构的,在某个机构的网络(即内部网络)和外部网络之间设置屏障,用网络(即内部网络)和外部网络之间设置屏障,用于阻止对内部网络信息资源的非法访问。换句话说,于阻止对内部网络信息资源的非法访问。换句话说,防火墙是一道门槛,控制进出内部网络两个方向防火墙是一道门槛,控制进出内部网络两个方向的通信。的通信。现在学习的是第33页,共71页 防火墙模型防火墙模型 现在学习的是第34页,共71页1 1 防火墙技术的分类防火墙技术的分类(1 1)包过滤()包过滤(Packet FilteringPacket Filtering)(2 2)应用网关)应用网关(3 3)代理
35、服务)代理服务(4 4)数据包检查)数据包检查(5 5)自适应代理技木)自适应代理技木现在学习的是第35页,共71页2 2 防火墙的结构防火墙的结构 双重宿主主机双重宿主主机 一个双重宿主主机通常是一台安装了两块网络接口卡一个双重宿主主机通常是一台安装了两块网络接口卡的主机系统,作为网关分别连接外部网络和被保护网络。的主机系统,作为网关分别连接外部网络和被保护网络。被屏蔽主机被屏蔽主机 这种防火墙强迫所有的外部主机与一个位于内部网络这种防火墙强迫所有的外部主机与一个位于内部网络的堡垒主机相连接。的堡垒主机相连接。现在学习的是第36页,共71页 被屏蔽子网被屏蔽子网 被屏蔽子网在本质上和被屏蔽主
36、机是一样的,但是增加被屏蔽子网在本质上和被屏蔽主机是一样的,但是增加了一层保护体系,即周边网络。了一层保护体系,即周边网络。堡垒主机堡垒主机位于周边网络上,位于周边网络上,周边网络和内部网络被内部屏蔽路由器分开周边网络和内部网络被内部屏蔽路由器分开 现在学习的是第37页,共71页4 4 防火墙存在的优点和不足防火墙存在的优点和不足防火墙所具有的优点主要包括以下几个方面:防火墙所具有的优点主要包括以下几个方面:集中化的安全管理集中化的安全管理能够对透过防火墙的网络服务进行必要的限制;能够对透过防火墙的网络服务进行必要的限制;可控制对特殊站点的访问;可控制对特殊站点的访问;方便地监视网络的安全性并
37、产生报警方便地监视网络的安全性并产生报警如如果果防防火火墙墙系系统统采采用用网网络络地地计计翻翻译译器器(NATNAT)技技术术,还还可可极极大大地地缓缓和和网网络络地地址址空间的不足空间的不足。使用防火墙虽可以带来许多优点和便利,但就目前的防火墙技术水平使用防火墙虽可以带来许多优点和便利,但就目前的防火墙技术水平而言还存在一些缺陷和不足。主要表现在以下几个方而:防火墙极有可能而言还存在一些缺陷和不足。主要表现在以下几个方而:防火墙极有可能封锁掉用户所需的某些服务;防火墙无法防范绕过它的外来攻击,比如允封锁掉用户所需的某些服务;防火墙无法防范绕过它的外来攻击,比如允许内部用户直接拨号上网就会使
38、得精心设计的防火墙系统失效;防火墙不许内部用户直接拨号上网就会使得精心设计的防火墙系统失效;防火墙不能防范来自内部的安全威胁;防火墙不能防止传送已感染病毒的软件或文能防范来自内部的安全威胁;防火墙不能防止传送已感染病毒的软件或文件等。件等。现在学习的是第38页,共71页9.4 9.4 代理服务器技术代理服务器技术 代理服务器本质上是一个为特定网络应用而连接两个网代理服务器本质上是一个为特定网络应用而连接两个网络的网关,若内部网用户需访问外部网时,首先内部网用户络的网关,若内部网用户需访问外部网时,首先内部网用户和代理服务器之间建立连接,然后代理服务器再与外部网的和代理服务器之间建立连接,然后代
39、理服务器再与外部网的服务器建立通信连接,它不允许内部网用户与外部网之间直服务器建立通信连接,它不允许内部网用户与外部网之间直接通信,而外部网对内部网的访问也必须通过代理服务器才接通信,而外部网对内部网的访问也必须通过代理服务器才能实现。能实现。现在学习的是第39页,共71页代理服务器能实现以下几个方面的功能代理服务器能实现以下几个方面的功能 共享上网,节省共享上网,节省IPIP地址地址 减少出口流量,提高网络速度减少出口流量,提高网络速度 用户管理用户管理 防火墙的功能防火墙的功能现在学习的是第40页,共71页2 2 代理服务器的工作原理代理服务器的工作原理 一般局域网中,服务器软件主要集中在
40、代理服一般局域网中,服务器软件主要集中在代理服务器上,代理服务器有时也称为务器上,代理服务器有时也称为“代理网关代理网关”。代。代理服务器一般有两种结构,即:理服务器一般有两种结构,即:两块网卡两块网卡DDNDDN;MedemMedem电话线或电话线或ISDNISDN,或其它方法连接到或其它方法连接到InternetInternet上。上。现在学习的是第41页,共71页代理服务器的两种结构代理服务器的两种结构 两块网卡两块网卡+DDNDDN结构模式结构模式 Modem+Modem+电话线或电话线或ISDNISDN结构模式结构模式 现在学习的是第42页,共71页9.4.2 9.4.2 代理服务器
41、软件代理服务器软件 目前市场上的代理服务器软件主要有目前市场上的代理服务器软件主要有SOCKSSOCKS系列系列WingateWingateMS Proxy ServerMS Proxy ServerSagateSagateWinrouteWinroute等等。现在学习的是第43页,共71页Wingate WingateWingate作作为为代代理理服服务务器器产产品品中中的的典典型型,历历经经了了1.1.l l版版、1.31.3版版、2.02.0版版和和2.2.l l版版、3.03.0版版。以以Wingate Wingate 2.12.1专专业业版版为为例例,它它提提供供了了对对十十几几种种
42、协协议议的的代代理理。WingateWingate对对服服务务器器性性能能的的要要求求不不高高,可可以以运运行行于于Windows Windows 95959898和和 Windows Windows NTNT平平台台上上,能能够够对对Windows Windows 3.l3.l3.23.295959898NTNT客客户户提提供供代代理理,也也可可以以实实现现对对NOVELLNOVELL用用户户的的代代理理服务。服务。Wingate Wingate主要包含两个功能:一是主要包含两个功能:一是Wingate EngineWingate Engine,主要运行在主要运行在后台,为工作站提供代理服务
43、;二是后台,为工作站提供代理服务;二是GateKeeperGateKeeper,它给代理服务器提它给代理服务器提供了多种服务的设置和管理,能够正确地记录上网的记录和流量,它供了多种服务的设置和管理,能够正确地记录上网的记录和流量,它通过为工作站提供通过为工作站提供JavaJava登录窗口保护每个用户上网安全。登录窗口保护每个用户上网安全。现在学习的是第44页,共71页MSProxy2.0 MS Proxy2.0 MS Proxy2.0 是微软公司新近推出的代理服务器产品,运是微软公司新近推出的代理服务器产品,运行在行在 Windows NTWindows NT平台之上,可以实现与平台之上,可以
44、实现与 Windows NTWindows NT及及Internet Information ServerInternet Information Server(IISIIS:InternetInternet信息服务器)的信息服务器)的无缝连接。无缝连接。MS ProxyMS Proxy对硬件的要求要比对硬件的要求要比WingateWingate高,但是其高,但是其代理连接的无缝性要更好,由于与代理连接的无缝性要更好,由于与Windows NTWindows NT良好的结合使得良好的结合使得其配置、管理、运行十分简便,客户端只须运行相应的其配置、管理、运行十分简便,客户端只须运行相应的Clie
45、ntsClients软件,此后用户通过代理上网时与直接上网基本相同,不软件,此后用户通过代理上网时与直接上网基本相同,不须做任何特别的设置,在客户端根本无法感到代理服务器的存在。须做任何特别的设置,在客户端根本无法感到代理服务器的存在。MS Proxy 2.0MS Proxy 2.0除了提供常用的代理外,还对当前互联网最新除了提供常用的代理外,还对当前互联网最新的一些应用提供代理,如互联网电话(的一些应用提供代理,如互联网电话(Internet PhoneInternet Phone)、)、网络传呼机(网络传呼机(ICQICQ)等新颖的应用。等新颖的应用。现在学习的是第45页,共71页9.5
46、9.5 IntranetIntranet技术技术9.5.1 9.5.1 IntranetIntranet的基本概念的基本概念 Intranet Intranet是利用是利用InternetInternet技术建立的技术建立的企业内部信息网络企业内部信息网络。IntranetIntranet是在是在InternetInternet网络基础上逐渐发展起来的一种网络技网络基础上逐渐发展起来的一种网络技术,它是指企业内部的术,它是指企业内部的InternetInternet。IntranetIntranet不仅是一种组网技术,不仅是一种组网技术,而且还可以提供与而且还可以提供与InternetInte
47、rnet相同的相同的WWWWWW、E_mailE_mail、FTPFTP等服务。这等服务。这方面方面IntranetIntranet与与InternetInternet是有共同之处的。但是,是有共同之处的。但是,IntranetIntranet与与InternetInternet也存在着不同之处,主要表现在也存在着不同之处,主要表现在IntranetIntranet更注意网络资源更注意网络资源的安全性问题上。因为的安全性问题上。因为InternetInternet的服务对象是面向全球的的服务对象是面向全球的InternetInternet用用户,而户,而IntranetIntranet的服务对
48、象则更着重于某一企业内部的员工的服务对象则更着重于某一企业内部的员工。为。为达到信息安全的目的,在建立达到信息安全的目的,在建立IntranetIntranet时要采取加密技术、安全认时要采取加密技术、安全认证、防火墙技术等措施。证、防火墙技术等措施。现在学习的是第46页,共71页IntranetIntranet的逻辑结构的逻辑结构 现在学习的是第47页,共71页9.5.3 9.5.3 IntranetIntranet的主要技术的主要技术 Intranet Intranet有许多新技术,是以往的企业内部网开发中没有许多新技术,是以往的企业内部网开发中没遇到的。主要有以下四点:遇到的。主要有以下
49、四点:ODBCODBC技技术术(Open Open DataBase DataBase ConnectivityConnectivity,开开放放数数据据库库互互连)连)2.2.ASPASP技术技术(Active Server PagesActive Server Pages,动态服务器页面)动态服务器页面)3 3利用利用ADOADO和和ASPASP访问访问WebWeb数据库技术数据库技术 Dynamic HTMLDynamic HTML(动态动态HTMLHTML)技术技术现在学习的是第48页,共71页9.5.4 9.5.4 IntranetIntranet的技术特点的技术特点 具有很好的可维
50、护性。具有很好的可维护性。通用性强、扩展性好。通用性强、扩展性好。安全性好。安全性好。查询数据的简单性、高效性。查询数据的简单性、高效性。5 5容易开发。容易开发。现在学习的是第49页,共71页9.5.5 9.5.5 实际的实际的IntranetIntranet的基本结构的基本结构现在学习的是第50页,共71页9.6 9.6 移动移动IPIP技术技术 新技术和新需求的发展迫切要求新技术和新需求的发展迫切要求InternetInternet对移动性的支持。对移动性的支持。移动终端用户也希望可以和其它桌上型电脑用户一样能够自移动终端用户也希望可以和其它桌上型电脑用户一样能够自由地接人由地接人Int