《计算机网络相关技术及应用精选文档.ppt》由会员分享,可在线阅读,更多相关《计算机网络相关技术及应用精选文档.ppt(71页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机网络相关技术及应用本讲稿第一页,共七十一页9.1 9.1 计算机网络系统集成技术计算机网络系统集成技术 随着知识经济时代的到来,国内信息化进程逐步加快,随着知识经济时代的到来,国内信息化进程逐步加快,政府机关、高校及企事业单位的计算机网络信息系统的建设政府机关、高校及企事业单位的计算机网络信息系统的建设已提上议事日程。由于已提上议事日程。由于InternetInternet技术的日益成熟,使得现代技术的日益成熟,使得现代计算机网络信息系统(计算机网络信息系统(NISNIS)的概念与传统的基于局域网的信息系的概念与传统的基于局域网的信息系统概念相比有了很大改变,传统局域网信息系统仅需进行简
2、单规统概念相比有了很大改变,传统局域网信息系统仅需进行简单规划设计既可实施,而当今的网络信息系统,特别是企业级的计算划设计既可实施,而当今的网络信息系统,特别是企业级的计算机网络信息系统集成则必须进行详细、周密的规划和设计,才能机网络信息系统集成则必须进行详细、周密的规划和设计,才能使网络信息系统达到预期目的使网络信息系统达到预期目的。本讲稿第二页,共七十一页9.1.1 9.1.1 网络系统集成的原则网络系统集成的原则 开放性和标准化原则。开放性和标准化原则。实用性和先进性原则。实用性和先进性原则。可靠性和安全性原则。可靠性和安全性原则。灵活性和可扩展性原则。灵活性和可扩展性原则。本讲稿第三页
3、,共七十一页9.1.2 9.1.2 网络集成系统规划设计网络集成系统规划设计 系统总体架构系统总体架构 拓扑结构拓扑结构 主干网结构主干网结构 运行模式运行模式本讲稿第四页,共七十一页 网络硬件平台网络硬件平台 网络互连设备网络互连设备 结构化布线系统结构化布线系统 网络服务器网络服务器本讲稿第五页,共七十一页服务器的性能服务器的性能 服服务务器器的的性性能能主主要要从从可可靠靠性性和和并并发发处处理理能能力力两两方方面面来来衡量。衡量。可靠性可靠性 可可靠靠性性主主要要体体现现在在服服务务器器是是否否采采用用冗冗余余技技术术、在在线线修复技术等。修复技术等。并发处理并发处理 并并发发处处理理
4、技技术术能能够够大大幅幅度度地地提提高高系系统统的的处处理理能能力力和和系系统统响响应应时间,主要表现在:时间,主要表现在:多处理器。多处理器。多重多重 PCIPCI总线。总线。RAID5RAID5技术。技术。流量隔离。流量隔离。本讲稿第六页,共七十一页 软件支撑平台软件支撑平台 网络操作系统网络操作系统 网络操作系统是网络系统集成的核心和基础,就单一网络操作网络操作系统是网络系统集成的核心和基础,就单一网络操作系统可供选择的有系统可供选择的有UnixUnix、LinuxLinux、Windows NTWindows NT、Net WareNet Ware、OS/2OS/2等。等。应用软件平台
5、应用软件平台 数据库数据库。常用数据库系统有。常用数据库系统有OracleOracle、SybaseSybase、SQL ServerSQL Server、InformixInformix等。等。信息服务相关软件信息服务相关软件。常规信息服务工具如。常规信息服务工具如Web ServerWeb Server、Email Email SeverSever、FTPFTP、GopherGopher、TelnetTelnet、NFSNFS等等.这里主要指用户自己适用的这里主要指用户自己适用的信息服务软件,包括信息发布系统、办公自动化系统(信息服务软件,包括信息发布系统、办公自动化系统(OAOA)、)、
6、各类各类管理信息系统(管理信息系统(MISMIS)以及辅助决策相应软件。以及辅助决策相应软件。本讲稿第七页,共七十一页 安全措施设计及网络管理安全措施设计及网络管理具体表现在以下方面:具体表现在以下方面:硬件可靠性。硬件可靠性。容错方案。容错方案。数据备份方案。数据备份方案。防病毒措施。防病毒措施。环境安全性。环境安全性。访问权限设置。访问权限设置。网络互联安全。网络互联安全。网络管理网络管理。本讲稿第八页,共七十一页9.2 9.2 计算机网络管理技术计算机网络管理技术 与传统的小型局域网相比,与传统的小型局域网相比,现代企业网现代企业网(Intranet)Intranet)呈现出呈现出更大的
7、复杂性和开放性。随着网络规模的日益扩大和网络结更大的复杂性和开放性。随着网络规模的日益扩大和网络结构的日益复杂,网络失效、性能欠缺、配置不当、安全性差构的日益复杂,网络失效、性能欠缺、配置不当、安全性差等问题随之出现,因此迫切需要有效而完整的网络管理机制等问题随之出现,因此迫切需要有效而完整的网络管理机制来监测、控制和管理网络的资源和服务。从某种意义上说,来监测、控制和管理网络的资源和服务。从某种意义上说,网络系统整体运作的有效性很大程度上取决于网络系统整体运作的有效性很大程度上取决于网络管理网络管理的有效的有效性,而性,而网络管理策略网络管理策略和和网络管理技术网络管理技术是影响网络管理有效
8、性的两是影响网络管理有效性的两个重要方面。个重要方面。本讲稿第九页,共七十一页 网络管理系统的基本模型网络管理系统的基本模型 本讲稿第十页,共七十一页9.2.2 9.2.2 网络管理的功能域网络管理的功能域 OSI OSI网络管理标准对开放系统的网络管理定义了五个基本网络管理标准对开放系统的网络管理定义了五个基本的功能域:的功能域:故障(故障(FaultFault)管理管理、配置(配置(ConfigurationConfiguration)管理管理、记帐(记帐(AccountingAccounting)管理管理、性能(性能(PerformancePerformance)管理管理、安全安全(Se
9、curitySecurity)管理管理。它们只是网络管理最基本的功能。这些功。它们只是网络管理最基本的功能。这些功能都需要通过与其它开放系统交换管理信息来实现。能都需要通过与其它开放系统交换管理信息来实现。本讲稿第十一页,共七十一页1 1配置管理配置管理 网络的配置管理功能主要包括:网络资源及其活动状态、网网络的配置管理功能主要包括:网络资源及其活动状态、网络资源之间的关系、新资源的引入与旧资源的删除。从管理控制络资源之间的关系、新资源的引入与旧资源的删除。从管理控制的角度看,网络资源可以分为三个状态:可用的、不可用的与正的角度看,网络资源可以分为三个状态:可用的、不可用的与正在测试的。从网络
10、运行的角度看,网络资源又可以分为两个状态:在测试的。从网络运行的角度看,网络资源又可以分为两个状态:活动的与不活动的。活动的与不活动的。本讲稿第十二页,共七十一页2 2故障管理故障管理 故故障障管管理理是是用用来来维维持持网网络络的的正正常常运运行行的的。网网络络故故障障管管理理包包括括及及时时发发现现网网络络中中发发生生的的故故障障,找找出出网网络络产产生生故故障障的的原原因因,必必要要时时启启动动控控制制功功能能来来排排除除故故障障。故故障障管管理理的的控控制制活活动动包包括括故故障障设备的诊断测试活动、故障修复或恢复活动、启动备用设备等。设备的诊断测试活动、故障修复或恢复活动、启动备用设
11、备等。故障管理是网络管理功能中与设备故障的检测、设备故障的诊断、故障管理是网络管理功能中与设备故障的检测、设备故障的诊断、故障设备的恢复和排除有关的网络管理功能,其目的是保证网络能够提故障设备的恢复和排除有关的网络管理功能,其目的是保证网络能够提供连续、可靠的服务。供连续、可靠的服务。本讲稿第十三页,共七十一页3 3、性能管理、性能管理 网网络络性性能能管管理理是是连连续续地地评评测测网网络络运运行行中中的的主主要要性性能能指指标标,以以检检验验网网络络服服务务是是否否达达到到了了预预定定的的水水平平,找找出出已已经经发发生生或或潜潜在在的的瓶瓶颈颈,报告网络性能的变化趋势,为网络管理决策提供
12、依据。报告网络性能的变化趋势,为网络管理决策提供依据。典型的网络性能管理可以分为两部分:典型的网络性能管理可以分为两部分:性能监测性能监测与与网络控制网络控制。性能监测指网络工作状态信息的收集和整理;而网络控制则是为改性能监测指网络工作状态信息的收集和整理;而网络控制则是为改善网络设备的性能而采取的动作和措施。善网络设备的性能而采取的动作和措施。本讲稿第十四页,共七十一页4 4安全管理安全管理 安全管理功能是用来保护网络资源的安全。安全管理活动能安全管理功能是用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制,阻止非法入侵等不安全事件的够利用各种层次的安全防卫机制,阻止非法入侵
13、等不安全事件的发生。安全管理功能能够快速检测出未授权的资源使用,并查处发生。安全管理功能能够快速检测出未授权的资源使用,并查处侵入点,对非法侵入活动进行审查与追踪,能够使网络管理人员侵入点,对非法侵入活动进行审查与追踪,能够使网络管理人员恢复部分受破坏的文件。恢复部分受破坏的文件。本讲稿第十五页,共七十一页5 5计帐管理计帐管理 对对于于公公用用分分组组交交换换网网与与各各种种网网络络信信息息服服务务系系统统来来说说,用用户户必必须须为为使使用用网网络络的的服服务务而而交交费费。网网络络管管理理系系统统则则需需要要对对用用户户使使用用网网络络资资源的情况进行记录并核算费用。源的情况进行记录并核
14、算费用。用用户户使使用用网网络络资资源源的的费费用用有有许许多多不不同同的的计计算算方方法法,例例如如主主叫叫付费、被叫付费与主被叫分担费用等。付费、被叫付费与主被叫分担费用等。在大多数企业内部网中,内部用户使用网络资源并不需要交费,在大多数企业内部网中,内部用户使用网络资源并不需要交费,但是记帐功能可以用来记录用户对网络的使用时间、统计网络的利但是记帐功能可以用来记录用户对网络的使用时间、统计网络的利用率与资源使用情况等内容。因此,记帐管理功能在企业内部网中用率与资源使用情况等内容。因此,记帐管理功能在企业内部网中也是非常有用的。也是非常有用的。本讲稿第十六页,共七十一页9.2.3 9.2.
15、3 网络管理系统的体系结构网络管理系统的体系结构本讲稿第十七页,共七十一页9.2.4 9.2.4 网络管理协议(网络管理协议(SNMPSNMP)目前使用的网络管理协议主要有基于目前使用的网络管理协议主要有基于TCPTCPIPIP的简单的简单网络管理协议网络管理协议SNMPSNMP、基于基于OSIOSI的的公共管理信息协议公共管理信息协议CMIPCMIP及及桌桌面管理接口面管理接口DMIDMI。SNMPSNMP是是InternetInternet组织为适应组织为适应InternetInternet的发的发展而制定的网络管理协议,它提供的管理操作简单而实用,展而制定的网络管理协议,它提供的管理操作
16、简单而实用,采用采用“取存取存”的运作机制进行操作:即管理者可以通的运作机制进行操作:即管理者可以通过过“取取”操作从被管理对象获取所需的管理信息,也可以通过操作从被管理对象获取所需的管理信息,也可以通过“存存”操作对被管理对象的值进行修改和设置,从而达操作对被管理对象的值进行修改和设置,从而达到对被管理对象进行监视和控制的目的。目前的到对被管理对象进行监视和控制的目的。目前的SNMPSNMP在在完成一般网络管理工作的基础上朝着进一步提高安全性和进行完成一般网络管理工作的基础上朝着进一步提高安全性和进行层次化管理的方向发展,新版本的层次化管理的方向发展,新版本的SNMPSNMP(SNMP V3
17、SNMP V3)已经能够已经能够满足一般网络管理在内容和安全性上的要求。满足一般网络管理在内容和安全性上的要求。本讲稿第十八页,共七十一页9.2.59.2.5 基于基于WebWeb的网络管理模式的网络管理模式 随着随着WebWeb及其开发工具的迅速发展,及其开发工具的迅速发展,基于基于WebWeb的网络管的网络管理技术理技术也因此应运而生。基于也因此应运而生。基于WebWeb的网络管理解决方案主的网络管理解决方案主要有以下几方面的优点:要有以下几方面的优点:地理上和系统间的可移动性地理上和系统间的可移动性 统一的统一的WebWeb浏览器界面方便了用户的使用和学习浏览器界面方便了用户的使用和学习
18、 管理应用程序间的平滑链接管理应用程序间的平滑链接 利用利用 JavaJava技术能够迅速对管理软件进行升级技术能够迅速对管理软件进行升级 本讲稿第十九页,共七十一页9.2.6 9.2.6 常见的网络管理平台常见的网络管理平台 网网络络管管理理平平台台是是实实现现网网络络管管理理功功能能的的一一种种软软件件产产品品,它它运运行于一定的计算机平台上,组成一个行于一定的计算机平台上,组成一个网络管理系统(网络管理系统(NMSNMS)。目前,典型的网络管理软件主要有:目前,典型的网络管理软件主要有:HPHP公司的公司的OpenViewOpenView、IBMIBM公公司的司的NetViewNetVi
19、ew、SUNSUN公司的公司的SunNet ManagerSunNet Manager、CabletronCabletron公司的公司的SpectrumSpectrum与与DECDEC公司的公司的PloyCenterPloyCenter等。它们在支持本公司网络管理方案等。它们在支持本公司网络管理方案的同时,都可以通过的同时,都可以通过SNMPSNMP对网络设备进行管理。对网络设备进行管理。本讲稿第二十页,共七十一页9.3 9.3 计算机网络安全技术计算机网络安全技术 网络安全是指借助于网络管理,使网络环境中信息网络安全是指借助于网络管理,使网络环境中信息的机密性、完整性及可使用性受到保护,其主
20、要目标是的机密性、完整性及可使用性受到保护,其主要目标是确保经网络传输的信息到达目的计算机时没有任何改变确保经网络传输的信息到达目的计算机时没有任何改变或丢失。因此必须确保只有被授权者才可以访问网络。或丢失。因此必须确保只有被授权者才可以访问网络。本讲稿第二十一页,共七十一页信息系统的安全性信息系统的安全性 任何信息系统的安全性都可以从以下四个方面进行衡任何信息系统的安全性都可以从以下四个方面进行衡量:量:第一,第一,用户身份认证用户身份认证,指在用户访问网络前,验证,指在用户访问网络前,验证其身份是否合法;第二,其身份是否合法;第二,授权授权,指允许用户以什么方式,指允许用户以什么方式访问网
21、络资源,即用户访问网络的权限;第三,访问网络资源,即用户访问网络的权限;第三,责任责任,根据经数据检查跟踪得到的事件记录,作为证据判别访根据经数据检查跟踪得到的事件记录,作为证据判别访问者责任;第四,问者责任;第四,保证保证,指系统达到什么级别的可靠程度,指系统达到什么级别的可靠程度。本讲稿第二十二页,共七十一页9.3.29.3.2 网络安全的基本问题网络安全的基本问题1.1.网络防攻击问题网络防攻击问题2.2.网络安全漏洞与对策问题网络安全漏洞与对策问题3.3.网络中的信息安全保密问题网络中的信息安全保密问题4.4.网络内部安全防范问题网络内部安全防范问题5.5.网络防病毒问题网络防病毒问题
22、6.6.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题 本讲稿第二十三页,共七十一页1.1.网络防攻击问题网络防攻击问题 在在InternetInternet中中,对对网网络络的的攻攻击击可可以以分分为为服服务务攻攻击击与与非非服服务务攻攻击击。服服务务攻攻击击是是指指对对网网络络中中提提供供某某种种服服务务的的服服务务器器发发起起攻攻击击,造造成成该该网网络络服服务务器器的的“拒拒绝绝服服务务”,网网络络工工作作不不正正常常。例例如如,攻攻击击者者可可能能会会设设法法使使一一个个网网络络的的WWWWWW服服务务器器瘫瘫痪痪,或或修修改改它它的的主主页页,使使得得该该网网站站
23、的的WWWWWW服服务务失失效效或或不不能能正正常常工工作作。非非服服务务攻攻击击是是指指攻攻击击者者可可能能使使用用各各种种方方法法对对网网络络通通信信设设备备(如如路路由由器器、交交换换机机)发发起起攻攻击击,使使得得网网络络通通信信设设备备工工作作严严重重阻阻塞塞或瘫痪。或瘫痪。研究网络可能遭到哪些人的攻击,攻击类型和手段可能有哪些,研究网络可能遭到哪些人的攻击,攻击类型和手段可能有哪些,如何及时检测并报告网络被攻击,以及建立相应的网络安全策略与如何及时检测并报告网络被攻击,以及建立相应的网络安全策略与防护体系,是网络防攻击技术要解决的主要问题。防护体系,是网络防攻击技术要解决的主要问题
24、。本讲稿第二十四页,共七十一页2.2.网络安全漏洞与对策问题网络安全漏洞与对策问题 网络信息系统的运行涉及到计算机硬件与操作系统、网络硬件与网络信息系统的运行涉及到计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件以及网络通信协议等。这些硬网络软件、数据库管理系统、应用软件以及网络通信协议等。这些硬件与软件资源都会存在一定的安全问题,它们不可能百分之百没有缺件与软件资源都会存在一定的安全问题,它们不可能百分之百没有缺陷和漏洞。用户开发的各种应用软件可能会出现更多能被攻击者利用陷和漏洞。用户开发的各种应用软件可能会出现更多能被攻击者利用的漏洞。这些缺陷和漏洞在产品的研制与测试阶段
25、大部分会被发现和的漏洞。这些缺陷和漏洞在产品的研制与测试阶段大部分会被发现和解决,但总是会遗留下一些问题解决,但总是会遗留下一些问题.网络攻击者通过研究这些安全漏洞,网络攻击者通过研究这些安全漏洞,然后把这些安全漏洞作为攻击网络的首选目标。这就要求网络安全人然后把这些安全漏洞作为攻击网络的首选目标。这就要求网络安全人员主动去了解各种网络资源可能存在的安全问题,利用各种软件与测员主动去了解各种网络资源可能存在的安全问题,利用各种软件与测试工具主动检测网络可能存在的各种安全隐患,并及时提出解决对策试工具主动检测网络可能存在的各种安全隐患,并及时提出解决对策与措施。与措施。本讲稿第二十五页,共七十一
26、页3.3.网络中的信息安全保密问题网络中的信息安全保密问题 网网络络中中的的信信息息安安全全保保密密主主要要包包括括信信息息存存储储安安全全与与信息传输安全信息传输安全两个方面。两个方面。本讲稿第二十六页,共七十一页信息存储安全信息存储安全 信息存储安全是指如何保证静态存储在联网计算机中的信信息存储安全是指如何保证静态存储在联网计算机中的信息不会被未授权的网络用户非法使用的问题。网络中的非法用息不会被未授权的网络用户非法使用的问题。网络中的非法用户可以通过猜测用户口令或窃取口令的办法,或者设法绕过网户可以通过猜测用户口令或窃取口令的办法,或者设法绕过网络安全认证系统,冒充合法用户,非法查看、下
27、载、修改、删络安全认证系统,冒充合法用户,非法查看、下载、修改、删除未授权访问的信息,使用未授权的网络服务。信息存储安全除未授权访问的信息,使用未授权的网络服务。信息存储安全通常采用通常采用用户访问权限设置用户访问权限设置、用户口令加密用户口令加密、用户身份认证用户身份认证、数据数据加密加密与与结点地址过滤结点地址过滤等方法。等方法。本讲稿第二十七页,共七十一页信息传输安全信息传输安全 信信息息传传输输安安全全是是指指如如何何保保证证信信息息在在网网络络传传输输过过程程中中不不被被泄泄露露与与不不被被攻攻击击。信信息息在在从从信信息息源源传传输输到到信信息息目目的的结结点点的的过过程程中中,可
28、可能能会会遇遇到到四四种种可可能能的的攻攻击击类类型型:1.1.信信息息被被截截获获,信信息息从从信信息息源源结结点点传传输输出出来来,中中途途被被攻攻击击者者非非法法截截获获,信信息息的的目目的的结结点点没没有有收收到到应应该该收收到到的的信信息息,因因而而造造成成信信息息的的丢丢失失;2.2.信信息息被被窃窃听听,信信息息从从源源结结点点传传输输到到了了信信息息目目的的结结点点,但但中中途途被被攻攻击击者者非非法法窃窃听听;3.3.信信息息被被篡篡改改,信信息息从从信信息息源源结结点点传传输输到到信信息息目目的的结结点点中中途途被被攻攻击击者者非非法法截截获获,攻攻击击者者在在截截获获的的
29、信信息息中中进进行行修修改改或或插插入入欺欺骗骗性性信信息息,然然后后将将篡篡改改后后的的错错误误信信息息发发送送给给信信息息目目的的结结点点;4.4.信信息息被被伪伪造造,信信息息源源结结点点并并没没有有信信息息要要传传送送到到信信息息目目的的结结点点,攻攻击击者者冒冒充充信信息息源源结点用户,将伪造的信息发送给信息目的结点,信息目的结点收到的是伪造的信息。结点用户,将伪造的信息发送给信息目的结点,信息目的结点收到的是伪造的信息。保证网络系统中的信息安全的主要技术是数据加密和解密。目前,人们通过保证网络系统中的信息安全的主要技术是数据加密和解密。目前,人们通过加密和解密算法、身份认证、数字签
30、名等方法,来实现信息存储与传输的安全性。加密和解密算法、身份认证、数字签名等方法,来实现信息存储与传输的安全性。本讲稿第二十八页,共七十一页4.4.网络内部安全防范问题网络内部安全防范问题 一一个个问问题题是是如如何何防防止止信信息息源源结结点点用用户户对对所所发发送送的的信信息息事事后后不不承承认认,或或者者是是信信息息目目的的结结点点接接收收到到信信息息之之后后不不认认帐帐,即即出出现现抵抵赖赖问问题题。另另一一个个问问题题是是如如何何防防止止内内部部具具有有合合法法身身份份的的用用户户有有意意或或无无意意地地做做出出对对网网络络和信息安全有害的行为。和信息安全有害的行为。解解决决来来自自
31、网网络络内内部部的的不不安安全全因因素素必必须须从从技技术术与与管管理理两两个个方方面面入入手手。一一是是通通过过网网络络管管理理软软件件随随时时监监控控网网络络运运行行状状态态与与用用户户工工作作状状态态;对对重重要要资资源源使使用用状状态态进进行行记记录录与与审审记记。同同时时,制制定定和和不不断断完完善善网网络络使使用用和和管理制度,加强用户培训和管理管理制度,加强用户培训和管理。本讲稿第二十九页,共七十一页5.5.网络防病毒问题网络防病毒问题 网络病毒的危害是人们不可忽视的现实。网络防病网络病毒的危害是人们不可忽视的现实。网络防病毒是保护网络与信安全的重要问题之一。它需要从工作毒是保护
32、网络与信安全的重要问题之一。它需要从工作站与服务器两个方面的防病毒技术与用户管理技术来着站与服务器两个方面的防病毒技术与用户管理技术来着手解决。手解决。本讲稿第三十页,共七十一页6.6.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题 在在实实际际的的网网络络运运行行环环境境中中,如如果果出出现现网网络络故故障障造造成成数数据据丢丢失失,数数据据能能不不能能恢恢复复?这这是是在在网网络络信信息息系系统统安安全全设设计计中中必必须须注注意意的的问问题题。一一个个实实用用的的网网络络信信息息系系统统的的设设计计中中必必须须有有网网络络数数据据备备份份、恢恢复复手手段段和和灾灾难难恢
33、恢复复策策略略与与实实现现方方法法的的内内容容,这这也是网络安全研究的一个重要内容。也是网络安全研究的一个重要内容。本讲稿第三十一页,共七十一页9.3.29.3.2 主要的网络安全服务主要的网络安全服务网络安全服务应该提供以下基本的服务功能网络安全服务应该提供以下基本的服务功能 1.1.保密性保密性2.2.认证认证3.3.数据完整性数据完整性4.4.防抵赖防抵赖5.5.访问控制访问控制本讲稿第三十二页,共七十一页9.3.4 9.3.4 网络防火墙技术网络防火墙技术 网络防火墙是一种网络防火墙是一种访问控制技术访问控制技术,在某个机构的,在某个机构的网络(即内部网络)和外部网络之间设置屏障,用于
34、网络(即内部网络)和外部网络之间设置屏障,用于阻止对内部网络信息资源的非法访问。换句话说,防阻止对内部网络信息资源的非法访问。换句话说,防火墙是一道门槛,控制进出内部网络两个方向的通火墙是一道门槛,控制进出内部网络两个方向的通信。信。本讲稿第三十三页,共七十一页 防火墙模型防火墙模型 本讲稿第三十四页,共七十一页1 1 防火墙技术的分类防火墙技术的分类(1 1)包过滤()包过滤(Packet FilteringPacket Filtering)(2 2)应用网关)应用网关(3 3)代理服务)代理服务(4 4)数据包检查)数据包检查(5 5)自适应代理技木)自适应代理技木本讲稿第三十五页,共七十
35、一页2 2 防火墙的结构防火墙的结构 双重宿主主机双重宿主主机 一个双重宿主主机通常是一台安装了两块网络接口卡的主机一个双重宿主主机通常是一台安装了两块网络接口卡的主机系统,作为网关分别连接外部网络和被保护网络。系统,作为网关分别连接外部网络和被保护网络。被屏蔽主机被屏蔽主机 这种防火墙强迫所有的外部主机与一个位于内部网络的堡垒主这种防火墙强迫所有的外部主机与一个位于内部网络的堡垒主机相连接。机相连接。本讲稿第三十六页,共七十一页 被屏蔽子网被屏蔽子网 被屏蔽子网在本质上和被屏蔽主机是一样的,但是增被屏蔽子网在本质上和被屏蔽主机是一样的,但是增加了一层保护体系,即周边网络。加了一层保护体系,即
36、周边网络。堡垒主机堡垒主机位于周边网络位于周边网络上,周边网络和内部网络被内部屏蔽路由器分开上,周边网络和内部网络被内部屏蔽路由器分开 本讲稿第三十七页,共七十一页4 4 防火墙存在的优点和不足防火墙存在的优点和不足防火墙所具有的优点主要包括以下几个方面:防火墙所具有的优点主要包括以下几个方面:集中化的安全管理集中化的安全管理能够对透过防火墙的网络服务进行必要的限制;能够对透过防火墙的网络服务进行必要的限制;可控制对特殊站点的访问;可控制对特殊站点的访问;方便地监视网络的安全性并产生报警方便地监视网络的安全性并产生报警如如果果防防火火墙墙系系统统采采用用网网络络地地计计翻翻译译器器(NATNA
37、T)技技术术,还还可可极极大大地地缓缓和和网网络地址空间的不足络地址空间的不足。使用防火墙虽可以带来许多优点和便利,但就目前的防火墙技术水平而言使用防火墙虽可以带来许多优点和便利,但就目前的防火墙技术水平而言还存在一些缺陷和不足。主要表现在以下几个方而:防火墙极有可能封锁掉用还存在一些缺陷和不足。主要表现在以下几个方而:防火墙极有可能封锁掉用户所需的某些服务;防火墙无法防范绕过它的外来攻击,比如允许内部用户直户所需的某些服务;防火墙无法防范绕过它的外来攻击,比如允许内部用户直接拨号上网就会使得精心设计的防火墙系统失效;防火墙不能防范来自内部的接拨号上网就会使得精心设计的防火墙系统失效;防火墙不
38、能防范来自内部的安全威胁;防火墙不能防止传送已感染病毒的软件或文件等。安全威胁;防火墙不能防止传送已感染病毒的软件或文件等。本讲稿第三十八页,共七十一页9.4 9.4 代理服务器技术代理服务器技术 代理服务器本质上是一个为特定网络应用而连接两个网络的网关,代理服务器本质上是一个为特定网络应用而连接两个网络的网关,若内部网用户需访问外部网时,首先内部网用户和代理服务器之间建若内部网用户需访问外部网时,首先内部网用户和代理服务器之间建立连接,然后代理服务器再与外部网的服务器建立通信连接,它不允立连接,然后代理服务器再与外部网的服务器建立通信连接,它不允许内部网用户与外部网之间直接通信,而外部网对内
39、部网的访问也必许内部网用户与外部网之间直接通信,而外部网对内部网的访问也必须通过代理服务器才能实现。须通过代理服务器才能实现。本讲稿第三十九页,共七十一页代理服务器能实现以下几个方面的功能代理服务器能实现以下几个方面的功能 共享上网,节省共享上网,节省IPIP地址地址 减少出口流量,提高网络速度减少出口流量,提高网络速度 用户管理用户管理 防火墙的功能防火墙的功能本讲稿第四十页,共七十一页2 2 代理服务器的工作原理代理服务器的工作原理 一般局域网中,服务器软件主要集中在代理服一般局域网中,服务器软件主要集中在代理服务器上,代理服务器有时也称为务器上,代理服务器有时也称为“代理网关代理网关”。
40、代。代理服务器一般有两种结构,即:理服务器一般有两种结构,即:两块网卡两块网卡DDNDDN;MedemMedem电话线或电话线或ISDNISDN,或其它方法连接到或其它方法连接到InternetInternet上。上。本讲稿第四十一页,共七十一页代理服务器的两种结构代理服务器的两种结构 两块网卡两块网卡+DDNDDN结构模式结构模式 Modem+Modem+电话线或电话线或ISDNISDN结构模式结构模式 本讲稿第四十二页,共七十一页9.4.2 9.4.2 代理服务器软件代理服务器软件 目前市场上的代理服务器软件主要有目前市场上的代理服务器软件主要有SOCKSSOCKS系列系列WingateW
41、ingateMS Proxy ServerMS Proxy ServerSagateSagateWinrouteWinroute等等。本讲稿第四十三页,共七十一页Wingate WingateWingate作作为为代代理理服服务务器器产产品品中中的的典典型型,历历经经了了1.1.l l版版、1.31.3版版、2.02.0版版和和2.2.l l版版、3.03.0版版。以以Wingate Wingate 2.12.1专专业业版版为为例例,它它提提供供了了对对十十几几种种协协议议的的代代理理。WingateWingate对对服服务务器器性性能能的的要要求求不不高高,可可以以运运行行于于Windows
42、 Windows 95959898和和 Windows Windows NTNT平平台台上上,能能够够对对Windows Windows 3.l3.l3.23.295959898NTNT客客户提供代理,也可以实现对户提供代理,也可以实现对NOVELLNOVELL用户的代理服务。用户的代理服务。Wingate Wingate主要包含两个功能:一是主要包含两个功能:一是Wingate EngineWingate Engine,主要运行在主要运行在后台,为工作站提供代理服务;二是后台,为工作站提供代理服务;二是GateKeeperGateKeeper,它给代理服务器它给代理服务器提供了多种服务的设置
43、和管理,能够正确地记录上网的记录和流量,提供了多种服务的设置和管理,能够正确地记录上网的记录和流量,它通过为工作站提供它通过为工作站提供JavaJava登录窗口保护每个用户上网安全。登录窗口保护每个用户上网安全。本讲稿第四十四页,共七十一页MSProxy2.0 MS Proxy2.0 MS Proxy2.0 是微软公司新近推出的代理服务器产品,运是微软公司新近推出的代理服务器产品,运行在行在 Windows NTWindows NT平台之上,可以实现与平台之上,可以实现与 Windows NTWindows NT及及Internet Information ServerInternet Inf
44、ormation Server(IISIIS:InternetInternet信息服务器)的信息服务器)的无缝连接。无缝连接。MS ProxyMS Proxy对硬件的要求要比对硬件的要求要比WingateWingate高,但是其代高,但是其代理连接的无缝性要更好,由于与理连接的无缝性要更好,由于与Windows NTWindows NT良好的结合使得良好的结合使得其配置、管理、运行十分简便,客户端只须运行相应的其配置、管理、运行十分简便,客户端只须运行相应的ClientsClients软件,此后用户通过代理上网时与直接上网基本相同,软件,此后用户通过代理上网时与直接上网基本相同,不须做任何特别
45、的设置,在客户端根本无法感到代理服务器的存不须做任何特别的设置,在客户端根本无法感到代理服务器的存在。在。MS Proxy 2.0MS Proxy 2.0除了提供常用的代理外,还对当前互联除了提供常用的代理外,还对当前互联网最新的一些应用提供代理,如互联网电话(网最新的一些应用提供代理,如互联网电话(Internet Internet PhonePhone)、)、网络传呼机(网络传呼机(ICQICQ)等新颖的应用。等新颖的应用。本讲稿第四十五页,共七十一页9.5 9.5 IntranetIntranet技术技术9.5.1 9.5.1 IntranetIntranet的基本概念的基本概念 Int
46、ranet Intranet是利用是利用InternetInternet技术建立的技术建立的企业内部信息网络企业内部信息网络。IntranetIntranet是在是在InternetInternet网络基础上逐渐发展起来的一种网络技术,网络基础上逐渐发展起来的一种网络技术,它是指企业内部的它是指企业内部的InternetInternet。IntranetIntranet不仅是一种组网技术,而不仅是一种组网技术,而且还可以提供与且还可以提供与InternetInternet相同的相同的WWWWWW、E_mailE_mail、FTPFTP等服务。这方面等服务。这方面IntranetIntranet
47、与与InternetInternet是有共同之处的。但是,是有共同之处的。但是,IntranetIntranet与与InternetInternet也存在着不同之处,主要表现在也存在着不同之处,主要表现在IntranetIntranet更注意网络资更注意网络资源的安全性问题上。因为源的安全性问题上。因为InternetInternet的服务对象是面向全球的的服务对象是面向全球的InternetInternet用户,而用户,而IntranetIntranet的服务对象则更着重于某一企业内部的员的服务对象则更着重于某一企业内部的员工工。为达到信息安全的目的,在建立。为达到信息安全的目的,在建立In
48、tranetIntranet时要采取加密技术、时要采取加密技术、安全认证、防火墙技术等措施。安全认证、防火墙技术等措施。本讲稿第四十六页,共七十一页IntranetIntranet的逻辑结构的逻辑结构 本讲稿第四十七页,共七十一页9.5.3 9.5.3 IntranetIntranet的主要技术的主要技术 Intranet Intranet有许多新技术,是以往的企业内部网开发中没遇到有许多新技术,是以往的企业内部网开发中没遇到的。主要有以下四点:的。主要有以下四点:ODBCODBC技技术术(Open Open DataBase DataBase ConnectivityConnectivity
49、,开开放放数数据据库库互互连)连)2.2.ASPASP技术技术(Active Server PagesActive Server Pages,动态服务器页面)动态服务器页面)3 3利用利用ADOADO和和ASPASP访问访问WebWeb数据库技术数据库技术 Dynamic HTMLDynamic HTML(动态动态HTMLHTML)技术技术本讲稿第四十八页,共七十一页9.5.4 9.5.4 IntranetIntranet的技术特点的技术特点 具有很好的可维护性。具有很好的可维护性。通用性强、扩展性好。通用性强、扩展性好。安全性好。安全性好。查询数据的简单性、高效性。查询数据的简单性、高效性。
50、5 5容易开发。容易开发。本讲稿第四十九页,共七十一页9.5.5 9.5.5 实际的实际的IntranetIntranet的基本结构的基本结构本讲稿第五十页,共七十一页9.6 9.6 移动移动IPIP技术技术 新技术和新需求的发展迫切要求新技术和新需求的发展迫切要求InternetInternet对移动性的支持。对移动性的支持。移动终端用户也希望可以和其它桌上型电脑用户一样能够自移动终端用户也希望可以和其它桌上型电脑用户一样能够自由地接人由地接人InternetInternet,共享同样的资源和服务。所有这些都需要共享同样的资源和服务。所有这些都需要InternetInternet能够支持能够