1、9.1 9.1 计算机网络系统集成技术计算机网络系统集成技术 随着知识经济时代的到来,国内信息化进程逐步加快,随着知识经济时代的到来,国内信息化进程逐步加快,政府机关、高校及企事业单位的计算机网络信息系统的建政府机关、高校及企事业单位的计算机网络信息系统的建设已提上议事日程。由于设已提上议事日程。由于InternetInternet技术的日益成熟,使得技术的日益成熟,使得现代现代计算机网络信息系统(计算机网络信息系统(NISNIS)的概念与传统的基于局的概念与传统的基于局域网的信息系统概念相比有了很大改变,传统局域网信息域网的信息系统概念相比有了很大改变,传统局域网信息系统仅需进行简单规划设计
2、既可实施,而当今的网络信息系统仅需进行简单规划设计既可实施,而当今的网络信息系统,特别是企业级的计算机网络信息系统集成则必须进系统,特别是企业级的计算机网络信息系统集成则必须进行详细、周密的规划和设计,才能使网络信息系统达到预行详细、周密的规划和设计,才能使网络信息系统达到预期目的期目的。 9.1.1 9.1.1 网络系统集成的原则网络系统集成的原则 开放性和标准化原则。开放性和标准化原则。 实用性和先进性原则。实用性和先进性原则。 可靠性和安全性原则。可靠性和安全性原则。 灵活性和可扩展性原则。灵活性和可扩展性原则。9.1.2 9.1.2 网络集成系统规划设计网络集成系统规划设计 系统总体架
3、构系统总体架构 拓扑结构拓扑结构 主干网结构主干网结构 运行模式运行模式 网络硬件平台网络硬件平台 网络互连设备网络互连设备 结构化布线系统结构化布线系统 网络服务器网络服务器服务器的性能服务器的性能 服务器的性能主要从可靠性和并发处理能力两方服务器的性能主要从可靠性和并发处理能力两方面来衡量。面来衡量。 可靠性可靠性 可靠性主要体现在服务器是否采用冗余技术、在可靠性主要体现在服务器是否采用冗余技术、在线修复技术等。线修复技术等。 并发处理并发处理 并发处理技术能够大幅度地提高系统的处理能力并发处理技术能够大幅度地提高系统的处理能力和系统响应时间,主要表现在:和系统响应时间,主要表现在: 多处
4、理器。多处理器。 多重多重 PCIPCI总线。总线。 RAID5RAID5技术。技术。 流量隔离。流量隔离。 软件支撑平台软件支撑平台 网络操作系统网络操作系统 网络操作系统是网络系统集成的核心和基础,就单一网网络操作系统是网络系统集成的核心和基础,就单一网络操作系统可供选择的有络操作系统可供选择的有UnixUnix、LinuxLinux、Windows NTWindows NT、Net Net WareWare、OS/2OS/2等。等。 应用软件平台应用软件平台 数据库数据库。常用数据库系统有。常用数据库系统有OracleOracle、SybaseSybase、SQL SQL ServerS
5、erver、InformixInformix等。等。 信息服务相关软件信息服务相关软件。常规信息服务工具如。常规信息服务工具如Web ServerWeb Server、Email SeverEmail Sever、FTPFTP、GopherGopher、TelnetTelnet、NFSNFS等等 . .这里主要指这里主要指用户自己适用的信息服务软件,包括信息发布系统、办公自用户自己适用的信息服务软件,包括信息发布系统、办公自动化系统(动化系统(OAOA)、各类管理信息系统()、各类管理信息系统(MISMIS)以及辅助决策)以及辅助决策相应软件。相应软件。 安全措施设计及网络管理安全措施设计及网
6、络管理具体表现在以下方面:具体表现在以下方面: 硬件可靠性。硬件可靠性。 容错方案。容错方案。 数据备份方案。数据备份方案。 防病毒措施。防病毒措施。 环境安全性。环境安全性。 访问权限设置。访问权限设置。 网络互联安全。网络互联安全。 网络管理网络管理。 9.2 9.2 计算机网络管理技术计算机网络管理技术 与传统的小型局域网相比,与传统的小型局域网相比,现代企业网现代企业网( (Intranet)Intranet)呈呈现出更大的复杂性和开放性。随着网络规模的日益扩大和现出更大的复杂性和开放性。随着网络规模的日益扩大和网络结构的日益复杂,网络失效、性能欠缺、配置不当、网络结构的日益复杂,网络
7、失效、性能欠缺、配置不当、安全性差等问题随之出现,因此迫切需要有效而完整的网安全性差等问题随之出现,因此迫切需要有效而完整的网络管理机制来监测、控制和管理网络的资源和服务。从某络管理机制来监测、控制和管理网络的资源和服务。从某种意义上说,网络系统整体运作的有效性很大程度上取决种意义上说,网络系统整体运作的有效性很大程度上取决于于网络管理网络管理的有效性,而的有效性,而网络管理策略网络管理策略和和网络管理技术网络管理技术是是影响网络管理有效性的两个重要方面。影响网络管理有效性的两个重要方面。 网络管理系统的基本模型网络管理系统的基本模型 9.2.2 9.2.2 网络管理的功能域网络管理的功能域
8、OSI OSI网络管理标准对开放系统的网络管理定义了五网络管理标准对开放系统的网络管理定义了五个基本的功能域:个基本的功能域:故障(故障(FaultFault)管理)管理、配置配置(ConfigurationConfiguration)管理)管理、记帐(记帐(AccountingAccounting)管理)管理、性能(性能(PerformancePerformance)管理)管理、安全(安全(SecuritySecurity)管理)管理。它们只是网络管理最基本的功能。这些功能都需要通过它们只是网络管理最基本的功能。这些功能都需要通过与其它开放系统交换管理信息来实现。与其它开放系统交换管理信息来
9、实现。 1 1配置管理配置管理 网络的配置管理功能主要包括:网络资源及其活动网络的配置管理功能主要包括:网络资源及其活动状态、网络资源之间的关系、新资源的引入与旧资源的状态、网络资源之间的关系、新资源的引入与旧资源的删除。从管理控制的角度看,网络资源可以分为三个状删除。从管理控制的角度看,网络资源可以分为三个状态:可用的、不可用的与正在测试的。从网络运行的角态:可用的、不可用的与正在测试的。从网络运行的角度看,网络资源又可以分为两个状态:活动的与不活动度看,网络资源又可以分为两个状态:活动的与不活动的。的。 2 2故障管理故障管理 故障管理是用来维持网络的正常运行的。网络故障管理故障管理是用来
10、维持网络的正常运行的。网络故障管理包括及时发现网络中发生的故障,找出网络产生故障的原因,包括及时发现网络中发生的故障,找出网络产生故障的原因,必要时启动控制功能来排除故障。故障管理的控制活动包括必要时启动控制功能来排除故障。故障管理的控制活动包括故障设备的诊断测试活动、故障修复或恢复活动、启动备用故障设备的诊断测试活动、故障修复或恢复活动、启动备用设备等。设备等。 故障管理是网络管理功能中与设备故障的检测、设备故故障管理是网络管理功能中与设备故障的检测、设备故障的诊断、故障设备的恢复和排除有关的网络管理功能,其障的诊断、故障设备的恢复和排除有关的网络管理功能,其目的是保证网络能够提供连续、可靠
11、的服务。目的是保证网络能够提供连续、可靠的服务。 3 3、性能管理、性能管理 网络性能管理是连续地评测网络运行中的主要性能指标,网络性能管理是连续地评测网络运行中的主要性能指标,以检验网络服务是否达到了预定的水平,找出已经发生或潜以检验网络服务是否达到了预定的水平,找出已经发生或潜在的瓶颈,报告网络性能的变化趋势,为网络管理决策提供在的瓶颈,报告网络性能的变化趋势,为网络管理决策提供依据。依据。 典型的网络性能管理可以分为两部分:典型的网络性能管理可以分为两部分:性能监测性能监测与与网络网络控制控制。性能监测指网络工作状态信息的收集和整理;而网络。性能监测指网络工作状态信息的收集和整理;而网络
12、控制则是为改善网络设备的性能而采取的动作和措施。控制则是为改善网络设备的性能而采取的动作和措施。 4 4安全管理安全管理 安全管理功能是用来保护网络资源的安全。安全管理安全管理功能是用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制,阻止非法入侵等活动能够利用各种层次的安全防卫机制,阻止非法入侵等不安全事件的发生。安全管理功能能够快速检测出未授权不安全事件的发生。安全管理功能能够快速检测出未授权的资源使用,并查处侵入点,对非法侵入活动进行审查与的资源使用,并查处侵入点,对非法侵入活动进行审查与追踪,能够使网络管理人员恢复部分受破坏的文件。追踪,能够使网络管理人员恢复部分受破坏的
13、文件。 5 5计帐管理计帐管理 对于公用分组交换网与各种网络信息服务系统来说,用对于公用分组交换网与各种网络信息服务系统来说,用户必须为使用网络的服务而交费。网络管理系统则需要对用户必须为使用网络的服务而交费。网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。户使用网络资源的情况进行记录并核算费用。 用户使用网络资源的费用有许多不同的计算方法,例如用户使用网络资源的费用有许多不同的计算方法,例如主叫付费、被叫付费与主被叫分担费用等。主叫付费、被叫付费与主被叫分担费用等。 在大多数企业内部网中,内部用户使用网络资源并不需在大多数企业内部网中,内部用户使用网络资源并不需要交费,但是记帐
14、功能可以用来记录用户对网络的使用时间、要交费,但是记帐功能可以用来记录用户对网络的使用时间、统计网络的利用率与资源使用情况等内容。因此,记帐管理统计网络的利用率与资源使用情况等内容。因此,记帐管理功能在企业内部网中也是非常有用的。功能在企业内部网中也是非常有用的。 9.2.3 9.2.3 网络管理系统的体系结构网络管理系统的体系结构9.2.4 9.2.4 网络管理协议(网络管理协议(SNMPSNMP) 目前使用的网络管理协议主要有基于目前使用的网络管理协议主要有基于TCPTCPIPIP的的简单网络管理协议简单网络管理协议SNMPSNMP、基于、基于OSIOSI的的公共管理信息协公共管理信息协议
15、议CMIPCMIP及及桌面管理接口桌面管理接口DMIDMI。SNMPSNMP是是InternetInternet组织为组织为适应适应InternetInternet的发展而制定的网络管理协议,它提供的发展而制定的网络管理协议,它提供的管理操作简单而实用,采用的管理操作简单而实用,采用“取存取存”的运作机制的运作机制进行操作:即管理者可以通过进行操作:即管理者可以通过“取取”操作从被管理对操作从被管理对象获取所需的管理信息,也可以通过象获取所需的管理信息,也可以通过“存存”操作对被操作对被管理对象的值进行修改和设置,从而达到对被管理对管理对象的值进行修改和设置,从而达到对被管理对象进行监视和控制
16、的目的。目前的象进行监视和控制的目的。目前的SNMPSNMP在完成一般网在完成一般网络管理工作的基础上朝着进一步提高安全性和进行层络管理工作的基础上朝着进一步提高安全性和进行层次化管理的方向发展,新版本的次化管理的方向发展,新版本的SNMPSNMP(SNMP V3SNMP V3)已)已经能够满足一般网络管理在内容和安全性上的要求。经能够满足一般网络管理在内容和安全性上的要求。 9.2.5 9.2.5 基于基于WebWeb的网络管理模式的网络管理模式 随着随着WebWeb及其开发工具的迅速发展,及其开发工具的迅速发展,基于基于WebWeb的网的网络管理技术络管理技术也因此应运而生。基于也因此应运
17、而生。基于WebWeb的网络管理解决的网络管理解决方案主要有以下几方面的优点:方案主要有以下几方面的优点: 地理上和系统间的可移动性地理上和系统间的可移动性 统一的统一的WebWeb浏览器界面方便了用户的使用和学习浏览器界面方便了用户的使用和学习 管理应用程序间的平滑链接管理应用程序间的平滑链接 利用利用 JavaJava技术能够迅速对管理软件进行升级技术能够迅速对管理软件进行升级 9.2.6 9.2.6 常见的网络管理平台常见的网络管理平台 网络管理平台是实现网络管理功能的一种软件产品,它网络管理平台是实现网络管理功能的一种软件产品,它运行于一定的计算机平台上,组成一个运行于一定的计算机平台
18、上,组成一个网络管理系统(网络管理系统(NMSNMS)。 目前,典型的网络管理软件主要有:目前,典型的网络管理软件主要有:HPHP公司的公司的OpenViewOpenView、IBMIBM公司的公司的NetViewNetView、SUNSUN公司的公司的SunNet ManagerSunNet Manager、CabletronCabletron公司的公司的SpectrumSpectrum与与DECDEC公司的公司的PloyCenterPloyCenter等。它们在支持本公等。它们在支持本公司网络管理方案的同时,都可以通过司网络管理方案的同时,都可以通过SNMPSNMP对网络设备进行管对网络设
19、备进行管理。理。 9.3 9.3 计算机网络安全技术计算机网络安全技术 网络安全是指借助于网络管理,使网络环境网络安全是指借助于网络管理,使网络环境中信息的机密性、完整性及可使用性受到保护,中信息的机密性、完整性及可使用性受到保护,其主要目标是确保经网络传输的信息到达目的计其主要目标是确保经网络传输的信息到达目的计算机时没有任何改变或丢失。因此必须确保只有算机时没有任何改变或丢失。因此必须确保只有被授权者才可以访问网络。被授权者才可以访问网络。 信息系统的安全性信息系统的安全性 任何信息系统的安全性都可以从以下四个方面任何信息系统的安全性都可以从以下四个方面进行衡量:进行衡量: 第一,第一,用
20、户身份认证用户身份认证,指在用户访问网络前,指在用户访问网络前,验证其身份是否合法;第二,验证其身份是否合法;第二,授权授权,指允许用户以,指允许用户以什么方式访问网络资源,即用户访问网络的权限;什么方式访问网络资源,即用户访问网络的权限;第三,第三,责任责任,根据经数据检查跟踪得到的事件记录,根据经数据检查跟踪得到的事件记录,作为证据判别访问者责任;第四,作为证据判别访问者责任;第四,保证保证,指系统达,指系统达到什么级别的可靠程度到什么级别的可靠程度。 9.3.2 9.3.2 网络安全的基本问题网络安全的基本问题1.1.网络防攻击问题网络防攻击问题2.2.网络安全漏洞与对策问题网络安全漏洞
21、与对策问题3.3.网络中的信息安全保密问题网络中的信息安全保密问题4.4.网络内部安全防范问题网络内部安全防范问题5.5.网络防病毒问题网络防病毒问题6.6.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题 1.1.网络防攻击问题网络防攻击问题 在在InternetInternet中,对网络的攻击可以分为中,对网络的攻击可以分为服务攻击服务攻击与与非服务攻击非服务攻击。服务攻击是指对网络中提供某种服务的服。服务攻击是指对网络中提供某种服务的服务器发起攻击,造成该网络服务器的务器发起攻击,造成该网络服务器的“拒绝服务拒绝服务”,网,网络工作不正常。例如,攻击者可能会设法使一个网络
22、的络工作不正常。例如,攻击者可能会设法使一个网络的WWWWWW服务器瘫痪,或修改它的主页,使得该网站的服务器瘫痪,或修改它的主页,使得该网站的WWWWWW服服务失效或不能正常工作。非服务攻击是指攻击者可能使务失效或不能正常工作。非服务攻击是指攻击者可能使用各种方法对网络通信设备(如路由器、交换机)发起用各种方法对网络通信设备(如路由器、交换机)发起攻击,使得网络通信设备工作严重阻塞或瘫痪。攻击,使得网络通信设备工作严重阻塞或瘫痪。 研究网络可能遭到哪些人的攻击,攻击类型和手段研究网络可能遭到哪些人的攻击,攻击类型和手段可能有哪些,如何及时检测并报告网络被攻击,以及建可能有哪些,如何及时检测并报
23、告网络被攻击,以及建立相应的网络安全策略与防护体系,是网络防攻击技术立相应的网络安全策略与防护体系,是网络防攻击技术要解决的主要问题。要解决的主要问题。 2.2.网络安全漏洞与对策问题网络安全漏洞与对策问题 网络信息系统的运行涉及到计算机硬件与操作系统、网络信息系统的运行涉及到计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件以及网网络硬件与网络软件、数据库管理系统、应用软件以及网络通信协议等。这些硬件与软件资源都会存在一定的安全络通信协议等。这些硬件与软件资源都会存在一定的安全问题,它们不可能百分之百没有缺陷和漏洞。用户开发的问题,它们不可能百分之百没有缺陷和漏洞。用户开发的
24、各种应用软件可能会出现更多能被攻击者利用的漏洞。这各种应用软件可能会出现更多能被攻击者利用的漏洞。这些缺陷和漏洞在产品的研制与测试阶段大部分会被发现和些缺陷和漏洞在产品的研制与测试阶段大部分会被发现和解决,但总是会遗留下一些问题解决,但总是会遗留下一些问题. .网络攻击者通过研究这网络攻击者通过研究这些安全漏洞,然后把这些安全漏洞作为攻击网络的首选目些安全漏洞,然后把这些安全漏洞作为攻击网络的首选目标。这就要求网络安全人员主动去了解各种网络资源可能标。这就要求网络安全人员主动去了解各种网络资源可能存在的安全问题,利用各种软件与测试工具主动检测网络存在的安全问题,利用各种软件与测试工具主动检测网
25、络可能存在的各种安全隐患,并及时提出解决对策与措施。可能存在的各种安全隐患,并及时提出解决对策与措施。 3.3.网络中的信息安全保密问题网络中的信息安全保密问题 网络中的信息安全保密主要包括网络中的信息安全保密主要包括信息存信息存储安全储安全与与信息传输安全信息传输安全两个方面。两个方面。信息存储安全信息存储安全 信息存储安全是指如何保证静态存储在联网计算机中的信息存储安全是指如何保证静态存储在联网计算机中的信息不会被未授权的网络用户非法使用的问题。网络中的非信息不会被未授权的网络用户非法使用的问题。网络中的非法用户可以通过猜测用户口令或窃取口令的办法,或者设法法用户可以通过猜测用户口令或窃取
26、口令的办法,或者设法绕过网络安全认证系统,冒充合法用户,非法查看、下载、绕过网络安全认证系统,冒充合法用户,非法查看、下载、修改、删除未授权访问的信息,使用未授权的网络服务。信修改、删除未授权访问的信息,使用未授权的网络服务。信息存储安全通常采用息存储安全通常采用用户访问权限设置用户访问权限设置、用户口令加密用户口令加密、用用户身份认证户身份认证、数据加密数据加密与与结点地址过滤结点地址过滤等方法。等方法。 信息传输安全信息传输安全 信息传输安全是指如何保证信息在网络传输过程中不被泄露与不被信息传输安全是指如何保证信息在网络传输过程中不被泄露与不被攻击。信息在从信息源传输到信息目的结点的过程中
27、,可能会遇到四种攻击。信息在从信息源传输到信息目的结点的过程中,可能会遇到四种可能的攻击类型:可能的攻击类型:1.1.信息被截获信息被截获,信息从信息源结点传输出来,中途被,信息从信息源结点传输出来,中途被攻击者非法截获,信息的目的结点没有收到应该收到的信息,因而造成攻击者非法截获,信息的目的结点没有收到应该收到的信息,因而造成信息的丢失;信息的丢失;2.2.信息被窃听信息被窃听,信息从源结点传输到了信息目的结点,但,信息从源结点传输到了信息目的结点,但中途被攻击者非法窃听;中途被攻击者非法窃听;3.3.信息被篡改信息被篡改,信息从信息源结点传输到信息,信息从信息源结点传输到信息目的结点中途被
28、攻击者非法截获,攻击者在截获的信息中进行修改或插目的结点中途被攻击者非法截获,攻击者在截获的信息中进行修改或插入欺骗性信息,然后将篡改后的错误信息发送给信息目的结点;入欺骗性信息,然后将篡改后的错误信息发送给信息目的结点;4.4.信息信息被伪造被伪造,信息源结点并没有信息要传送到信息目的结点,攻击者冒充信,信息源结点并没有信息要传送到信息目的结点,攻击者冒充信息源结点用户,将伪造的信息发送给信息目的结点,信息目的结点收到息源结点用户,将伪造的信息发送给信息目的结点,信息目的结点收到的是伪造的信息。的是伪造的信息。 保证网络系统中的信息安全的主要技术是数据加密和解密。目前,保证网络系统中的信息安
29、全的主要技术是数据加密和解密。目前,人们通过加密和解密算法、身份认证、数字签名等方法,来实现信息存人们通过加密和解密算法、身份认证、数字签名等方法,来实现信息存储与传输的安全性。储与传输的安全性。 4.4.网络内部安全防范问题网络内部安全防范问题 一个问题是如何防止信息源结点用户对所发送的信息一个问题是如何防止信息源结点用户对所发送的信息事后不承认,或者是信息目的结点接收到信息之后不认帐,事后不承认,或者是信息目的结点接收到信息之后不认帐,即出现抵赖问题。另一个问题是如何防止内部具有合法身即出现抵赖问题。另一个问题是如何防止内部具有合法身份的用户有意或无意地做出对网络和信息安全有害的行为。份的
30、用户有意或无意地做出对网络和信息安全有害的行为。 解决来自网络内部的不安全因素必须从技术与管理两解决来自网络内部的不安全因素必须从技术与管理两个方面入手。一是通过网络管理软件随时监控网络运行状个方面入手。一是通过网络管理软件随时监控网络运行状态与用户工作状态;对重要资源使用状态进行记录与审记。态与用户工作状态;对重要资源使用状态进行记录与审记。同时,制定和不断完善网络使用和管理制度,加强用户培同时,制定和不断完善网络使用和管理制度,加强用户培训和管理训和管理。 5.5.网络防病毒问题网络防病毒问题 网络病毒的危害是人们不可忽视的现实。网网络病毒的危害是人们不可忽视的现实。网络防病毒是保护网络与
31、信安全的重要问题之一。络防病毒是保护网络与信安全的重要问题之一。它需要从工作站与服务器两个方面的防病毒技术它需要从工作站与服务器两个方面的防病毒技术与用户管理技术来着手解决。与用户管理技术来着手解决。 6.6.网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题 在实际的网络运行环境中,如果出现网络故障造成在实际的网络运行环境中,如果出现网络故障造成数据丢失,数据能不能恢复?这是在网络信息系统安全数据丢失,数据能不能恢复?这是在网络信息系统安全设计中必须注意的问题。一个实用的网络信息系统的设设计中必须注意的问题。一个实用的网络信息系统的设计中必须有计中必须有网络数据备份网络数据备份
32、、恢复手段和灾难恢复策略恢复手段和灾难恢复策略与与实现方法的内容,这也是网络安全研究的一个重要内容。实现方法的内容,这也是网络安全研究的一个重要内容。 9.3.2 9.3.2 主要的网络安全服务主要的网络安全服务网络安全服务应该提供以下基本的服务功能网络安全服务应该提供以下基本的服务功能 1.1. 保密性保密性2.2. 认证认证3.3. 数据完整性数据完整性4.4. 防抵赖防抵赖5.5. 访问控制访问控制9.3.4 9.3.4 网络防火墙技术网络防火墙技术 网络防火墙是一种网络防火墙是一种访问控制技术访问控制技术,在某个机,在某个机构的网络(即内部网络)和外部网络之间设置屏构的网络(即内部网络
33、)和外部网络之间设置屏障,用于阻止对内部网络信息资源的非法访问。障,用于阻止对内部网络信息资源的非法访问。换句话说,防火墙是一道门槛,控制进出内部换句话说,防火墙是一道门槛,控制进出内部网络两个方向的通信。网络两个方向的通信。 防火墙模型防火墙模型 1 1 防火墙技术的分类防火墙技术的分类(1 1)包过滤()包过滤( Packet FilteringPacket Filtering)(2 2)应用网关)应用网关(3 3)代理服务)代理服务(4 4)数据包检查)数据包检查(5 5)自适应代理技木)自适应代理技木2 2 防火墙的结构防火墙的结构 双重宿主主机双重宿主主机 一个双重宿主主机通常是一台
34、安装了两块网络接口一个双重宿主主机通常是一台安装了两块网络接口卡的主机系统,作为网关分别连接外部网络和被保护网卡的主机系统,作为网关分别连接外部网络和被保护网络。络。 被屏蔽主机被屏蔽主机 这种防火墙强迫所有的外部主机与一个位于内部网这种防火墙强迫所有的外部主机与一个位于内部网络的堡垒主机相连接。络的堡垒主机相连接。 被屏蔽子网被屏蔽子网 被屏蔽子网在本质上和被屏蔽主机是一样的,但被屏蔽子网在本质上和被屏蔽主机是一样的,但是增加了一层保护体系,即周边网络。是增加了一层保护体系,即周边网络。堡垒主机堡垒主机位于位于周边网络上,周边网络和内部网络被内部屏蔽路由器周边网络上,周边网络和内部网络被内部
35、屏蔽路由器分开分开 4 4 防火墙存在的优点和不足防火墙存在的优点和不足防火墙所具有的优点主要包括以下几个方面:防火墙所具有的优点主要包括以下几个方面:集中化的安全管理集中化的安全管理能够对透过防火墙的网络服务进行必要的限制;能够对透过防火墙的网络服务进行必要的限制;可控制对特殊站点的访问;可控制对特殊站点的访问;方便地监视网络的安全性并产生报警方便地监视网络的安全性并产生报警如果防火墙系统采用网络地计翻译器(如果防火墙系统采用网络地计翻译器(NATNAT)技术,还可极大地缓)技术,还可极大地缓和网络地址空间的不足和网络地址空间的不足。 使用防火墙虽可以带来许多优点和便利,但就目前的防火墙技使
36、用防火墙虽可以带来许多优点和便利,但就目前的防火墙技术水平而言还存在一些缺陷和不足。主要表现在以下几个方而:防术水平而言还存在一些缺陷和不足。主要表现在以下几个方而:防火墙极有可能封锁掉用户所需的某些服务;防火墙无法防范绕过它火墙极有可能封锁掉用户所需的某些服务;防火墙无法防范绕过它的外来攻击,比如允许内部用户直接拨号上网就会使得精心设计的的外来攻击,比如允许内部用户直接拨号上网就会使得精心设计的防火墙系统失效;防火墙不能防范来自内部的安全威胁;防火墙不防火墙系统失效;防火墙不能防范来自内部的安全威胁;防火墙不能防止传送已感染病毒的软件或文件等。能防止传送已感染病毒的软件或文件等。 9.4 9
37、.4 代理服务器技术代理服务器技术 代理服务器本质上是一个为特定网络应用而连接两个代理服务器本质上是一个为特定网络应用而连接两个网络的网关,若内部网用户需访问外部网时,首先内部网网络的网关,若内部网用户需访问外部网时,首先内部网用户和代理服务器之间建立连接,然后代理服务器再与外用户和代理服务器之间建立连接,然后代理服务器再与外部网的服务器建立通信连接,它不允许内部网用户与外部部网的服务器建立通信连接,它不允许内部网用户与外部网之间直接通信,而外部网对内部网的访问也必须通过代网之间直接通信,而外部网对内部网的访问也必须通过代理服务器才能实现。理服务器才能实现。 代理服务器能实现以下几个方面的功能
38、代理服务器能实现以下几个方面的功能 共享上网,节省共享上网,节省IPIP地址地址 减少出口流量,提高网络速度减少出口流量,提高网络速度 用户管理用户管理 防火墙的功能防火墙的功能2 2 代理服务器的工作原理代理服务器的工作原理 一般局域网中,服务器软件主要集中在代理一般局域网中,服务器软件主要集中在代理服务器上,代理服务器有时也称为服务器上,代理服务器有时也称为“代理网关代理网关”。代理服务器一般有两种结构,即:代理服务器一般有两种结构,即:两块网卡两块网卡DDNDDN;MedemMedem电话线或电话线或ISDNISDN,或其它方法连接,或其它方法连接到到InternetInternet上。
39、上。 代理服务器的两种结构代理服务器的两种结构 两块网卡两块网卡 + + DDNDDN结构模式结构模式 Modem + Modem + 电话线或电话线或ISDNISDN结构模式结构模式 9.4.2 9.4.2 代理服务器软件代理服务器软件 目前市场上的代理服务器软件主要有目前市场上的代理服务器软件主要有SOCKSSOCKS系列系列WingateWingateMS Proxy ServerMS Proxy ServerSagateSagateWinrouteWinroute等等。 Wingate Wingate Wingate作为代理服务器产品中的典型,历经了作为代理服务器产品中的典型,历经了1
40、.1.l l版、版、1.31.3版、版、2.02.0版和版和2.2.l l版、版、3.03.0版。以版。以Wingate 2.1Wingate 2.1专业版专业版为例,为例,它提供了对十几种协议的代理。它提供了对十几种协议的代理。WingateWingate对服务器性能的要求对服务器性能的要求不高,可以运行于不高,可以运行于Windows 95Windows 959898和和 Windows NTWindows NT平台上,平台上,能够对能够对Windows 3.lWindows 3.l3.23.295959898NTNT客户提供代理,也可客户提供代理,也可以实现对以实现对NOVELLNOVE
41、LL用户的代理服务。用户的代理服务。 Wingate Wingate主要包含两个功能:一是主要包含两个功能:一是Wingate EngineWingate Engine,主,主要运行在后台,为工作站提供代理服务;二是要运行在后台,为工作站提供代理服务;二是GateKeeperGateKeeper,它给代理服务器提供了多种服务的设置和管理,能够正确地它给代理服务器提供了多种服务的设置和管理,能够正确地记录上网的记录和流量,它通过为工作站提供记录上网的记录和流量,它通过为工作站提供JavaJava登录窗口登录窗口保护每个用户上网安全。保护每个用户上网安全。 MS Proxy2.0 MS Proxy
42、2.0 MS Proxy2.0 是微软公司新近推出的代理服务器产是微软公司新近推出的代理服务器产品,运行在品,运行在 Windows NTWindows NT平台之上,可以实现与平台之上,可以实现与 Windows Windows NTNT及及Internet Information ServerInternet Information Server(IISIIS:InternetInternet信信息服务器)的无缝连接。息服务器)的无缝连接。 MS ProxyMS Proxy对硬件的要求要比对硬件的要求要比WingateWingate高,但是其代理连接的无缝性要更好,由于与高,但是其代理连接
43、的无缝性要更好,由于与Windows NTWindows NT良好的结合使得其配置、管理、运行十分简良好的结合使得其配置、管理、运行十分简便,客户端只须运行相应的便,客户端只须运行相应的ClientsClients软件,此后用户通过软件,此后用户通过代理上网时与直接上网基本相同,不须做任何特别的设代理上网时与直接上网基本相同,不须做任何特别的设置,在客户端根本无法感到代理服务器的存在。置,在客户端根本无法感到代理服务器的存在。 MS MS Proxy 2.0Proxy 2.0除了提供常用的代理外,还对当前互联网最新除了提供常用的代理外,还对当前互联网最新的一些应用提供代理,如互联网电话(的一些
44、应用提供代理,如互联网电话(Internet Internet PhonePhone)、网络传呼机()、网络传呼机(ICQICQ)等新颖的应用。)等新颖的应用。 9.5 Intranet9.5 Intranet技术技术9.5.1 9.5.1 IntranetIntranet的基本概念的基本概念 Intranet Intranet是利用是利用InternetInternet技术建立的技术建立的企业内部信息网络企业内部信息网络。IntranetIntranet是在是在InternetInternet网络基础上逐渐发展起来的一种网络网络基础上逐渐发展起来的一种网络技术,它是指企业内部的技术,它是指企
45、业内部的InternetInternet。IntranetIntranet不仅是一种组不仅是一种组网技术,而且还可以提供与网技术,而且还可以提供与InternetInternet相同的相同的WWWWWW、E_mailE_mail、FTPFTP等服务。这方面等服务。这方面IntranetIntranet与与InternetInternet是有共同之处的。是有共同之处的。但是,但是,IntranetIntranet与与InternetInternet也存在着不同之处,主要表现在也存在着不同之处,主要表现在IntranetIntranet更注意网络资源的安全性问题上。因为更注意网络资源的安全性问题上
46、。因为InternetInternet的的服务对象是面向全球的服务对象是面向全球的InternetInternet用户,而用户,而IntranetIntranet的服务对的服务对象则更着重于某一企业内部的员工象则更着重于某一企业内部的员工。为达到信息安全的目的,。为达到信息安全的目的,在建立在建立IntranetIntranet时要采取加密技术、安全认证、防火墙技术时要采取加密技术、安全认证、防火墙技术等措施。等措施。 IntranetIntranet的逻辑结构的逻辑结构 9.5.3 Intranet9.5.3 Intranet的主要技术的主要技术 Intranet Intranet有许多新技
47、术,是以往的企业内部网开发中有许多新技术,是以往的企业内部网开发中没遇到的。主要有以下四点:没遇到的。主要有以下四点: ODBCODBC技术技术(Open DataBase ConnectivityOpen DataBase Connectivity,开放数据,开放数据库互连)库互连)2. 2. ASPASP技术技术(Active Server PagesActive Server Pages,动态服务器页面),动态服务器页面)3 3利用利用ADOADO和和ASPASP访问访问WebWeb数据库技术数据库技术 Dynamic HTMLDynamic HTML(动态(动态HTMLHTML)技术)
48、技术9.5.4 Intranet9.5.4 Intranet的技术特点的技术特点 具有很好的可维护性。具有很好的可维护性。 通用性强、扩展性好。通用性强、扩展性好。 安全性好。安全性好。 查询数据的简单性、高效性。查询数据的简单性、高效性。5 5容易开发。容易开发。9.5.5 9.5.5 实际的实际的IntranetIntranet的基本结构的基本结构9.6 9.6 移动移动IPIP技术技术 新技术和新需求的发展迫切要求新技术和新需求的发展迫切要求InternetInternet对移动性的对移动性的支持。移动终端用户也希望可以和其它桌上型电脑用户一支持。移动终端用户也希望可以和其它桌上型电脑用
49、户一样能够自由地接人样能够自由地接人InternetInternet,共享同样的资源和服务。所,共享同样的资源和服务。所有这些都需要有这些都需要InternetInternet能够支持能够支持移动终端漫游移动终端漫游,当它们从,当它们从一个地方移动到另一个地方,可以很方便地断开原来的连一个地方移动到另一个地方,可以很方便地断开原来的连接,建立新的连接。为了满足新业务的发展需要,接,建立新的连接。为了满足新业务的发展需要,IETFIETF设设计了计了InternetInternet新标准草案新标准草案移动移动IPIP,它具有极大的实用,它具有极大的实用性,可以提供对移动终端的无缝连接,使移动节点
50、在性,可以提供对移动终端的无缝连接,使移动节点在IPIP网网络上的移动接人成为可能。络上的移动接人成为可能。 1.1.移动移动IPIP技术的功能实体技术的功能实体 移动移动IPIP定义了三个功能实体;归属代理、拜访代定义了三个功能实体;归属代理、拜访代理和移动节点。理和移动节点。 移动节点移动节点。 当接人点从一条链路切换到另一条链路上时所有当接人点从一条链路切换到另一条链路上时所有正在进行通信的移动主机仍能保持通信。正在进行通信的移动主机仍能保持通信。 归属代理归属代理。 指移动节点本地网络上的路由器。指移动节点本地网络上的路由器。 拜访代理拜访代理。 指移动节点当前连接到的拜访网络上的路由
