SANGFOR+年度新员工入职培训常见应用课件

2020 4 24 1 常见应用培训 2020 4 24 2 目录 相关技术概念 认证相关 上网方式 客户端环境 客户端应用及服务 2020 4 24 3 相关技术概念 C S架构和B S架构P2S P2P P2SP超链接虚拟机 虚拟主机 2020 4 24 4 相关技术概念培训目标 2020 4 24 5 相关技术概念 C S架构和B S架构 C S架构和B S架构分别是什么 C S Client Server 结构 即客户端和服务器结构 它是软件系统体系结构 通过它可以充分利用两端硬件环境的优势 将任务合理分配到Client端和Server端来实现 降低了系统的通讯开销 请举几个常见的C S架构的例子 QQ outlook foxmail 2020 4 24 6 在特定的应用中无论是Client端还是Server端都还需要特定的软件支持 软件需要针对不同的操作系统系统开发不同版本的软件 加之产品的更新换代十分快 已经很难适应百台电脑以上局域网用户同时使用 而且代价高 效率低 如何解决这个问题 C S架构的缺陷 B S架构 2020 4 24 7 B S Browser Server 结构即浏览器和服务器结构 它是随着Internet技术的兴起 对C S结构的一种变化或者改进的结构 在这种结构下 用户工作界面是通过WWW浏览器来现 极少部分事务在前端 Browser 实现 主要事务都是在服务器端 Server 实现 这样就大大简化了客户端电脑载荷 减轻了系统维护与升级的成本和工作量 降低了用户的总体成本 它是一次性到位的开发 能实现不同的人员 从不同的地点 以不同的接入方式 比如LAN WAN Internet Intranet等 访问和操作共同的数据库 C S和B S之优缺点比较 2020 4 24 8 C S架构的优势和劣势 应用服务器运行数据负荷较轻 服务器程序被启动 就随时等待响应客户程序发来的请求 当需要对数据库中的数据进行任何操作时 客户程序就自动地寻找服务器程序 并向其发出请求 服务器程序根据预定的规则作出应答 送回结果 数据的储存管理功能较为透明 在数据库应用中 数据的储存管理功能 是由服务器程序和客户应用程序分别独立进行的 所有这些 对于工作在前台程序上的最终用户 是 透明 的 他们无须过问 通常也无法干涉 背后的过程 就可以完成自己的一切工作 劣势是高昂的维护成本且投资大 网络管理工作人员既要对服务器维护管理 又要对客户端维护和管理 这需要高昂的投资和复杂的技术支持 维护成本很高 维护任务量大 传统的C S结构的软件需要针对不同的操作系统系统开发不同版本的软件 开发成本高 2020 4 24 9 B S架构的优势和劣势 维护和升级方式简单 系统管理人员如果需要在几百甚至上千部电脑之间来回奔跑 效率和工作量是可想而知的 但B S架构的软件只需要管理服务器就行了 所有的客户端只是浏览器 根本不需要做任何的维护 无论用户的规模有多大 有多少分支机构都不会增加任何维护升级的工作量 成本降低 选择更多 B S架构的应用管理软件 只需安装在Linux服务器上即可 而且安全性高 windows在桌面电脑上几乎一统天下 浏览器成为了标准配置 比如很多人每天上 网易 只要安装了浏览器就可以了 并不需要了解 网易 的服务器用的是什么操作系统 2020 4 24 10 劣势是应用服务器运行数据负荷较重 由于B S架构管理软件只安装在服务器端 Server 上 数据处理也都在服务器上完成 所以应用服务器运行数据负荷较重 一旦发生服务器 崩溃 等问题 后果不堪设想 因此 许多单位都备有数据库存储服务器 以防万一 2020 4 24 11 相关技术概念 C S架构和B S架构P2S P2P P2SP超链接虚拟机 虚拟主机 2020 4 24 12 相关技术概念 P2S P2P P2SP P2S PeertoSever 即点对服务器技术 是最经典的一种下载形式 点 Peer 即网络节点或终端 通常可以理解为用户计算机 P2S协议又分HTTP HyperTextTransportationProtocol 译为超文本传输协议 与FTP Protocol 文件传输协议 两种类型 2020 4 24 13 P2S典型代表软件 网际快车 它在早期的时候有效地解决了下载的两个最大问题 速度和下载后的管理 通过把一个文件分成几个部分同时下载可以成倍的提高速度 下载速度可以提高100 到500 后期网际快车发展成为P2SP 缺陷 由于它是基于 P2S 所以当服务器忙 带宽吃紧或者服务器崩溃的时候 使用FlashGet的用户将因为服务器的不同状态而产生下载漫或者是无法下载的情况 2020 4 24 14 相关技术概念 P2S P2P P2SP P2P PeertoPeer 对等 技术 又被称为 点对点 PointtoPoint 是一种网络新技术 依赖网络中参与者的计算能力和带宽 而不是把依赖都聚集在较少的几台服务器上 在你自己下载的同时 自己的电脑还要继续做主机上传 这种下载方式 人越多速度越快 2020 4 24 15 P2P典型代表软件 BT BitTorrent 在BitTorrent的世界中 凡是参加下载的计算机无所谓 服务器 或者 客户机 每一台 客户机 同时也是 服务器 当它下载的时候 同时也会使用上行带宽将已经下载的部分发送到其他计算机上 这样 下载的人越多 实际网络带宽就越大 速度自然就越快 缺陷 对硬盘损伤比较大 在写的同时还要读 还有对内存占用较多 影响整机速度 由于下载源的不稳定及操作的麻烦 也影响了BT的进一步发展 2020 4 24 16 相关技术概念 P2S P2P P2SP P2SP PeertoServer Peer P2SP除了包含P2P以外 P2SP的 S 是指服务器 P2SP有效地把原本孤立的服务器和其镜像资源以及P2P资源整合到了一起 也就是说 在下载的稳定性和下载的速度上 都比传统的P2P或P2S有了非常大的提高 2020 4 24 17 P2SP典型代表软件 迅雷 互联网上存在多个服务器资源 将优先从服务器和镜像服务器下载 当没有多服务器资源的时候 用户的下载可以从单服务器和其他用户节点同时下载 这个时候 使用迅雷起到了为服务器减压作用 当服务器忙 带宽吃紧和服务器宕机的时候 用户的下载将在用户的节点之间完成 迅雷起到了恢复死链接的作用 使得不管下载服务器处于任何状态 用户都能够顺利的完成下载 缺陷 对硬盘损伤比较大 在写的同时还要读 还有对内存占用较多 影响整机速度 2020 4 24 18 相关技术概念 C S架构和B S架构P2S P2P P2SP超链接虚拟机 虚拟主机 2020 4 24 19 相关技术概念 超链接 超链接 在本质上属于一个网页的一部分 它是一种允许我们同其他网页或站点之间进行连接的元素 指从一个网页指向一个目标的连接关系 这个目标可以是另一个网页 也可以是相同网页上的不同位置 还可以是一个图片 一个电子邮件地址 一个文件 甚至是一个应用程序 2020 4 24 20 相关技术概念 超链接 超链接的3种类型 1 内部链接 指同一网站域名下的内容页面之间互相链接 如频道 栏目 终极内容页之间的链接 2 外部链接 指不同网站之间的链接 如外部网站友情链接 3 锚点链接 它是网页内部的超级链接 注意不是网站内部 可以在网页上设置一个锚点 点击相应的锚点 到达本页内相应的位置 而不必在一个很长的网页里自行寻找 如百度百科中的目录链接 2020 4 24 21 相关技术概念 C S架构和B S架构P2S P2P P2SP超链接虚拟机 虚拟主机 2020 4 24 22 相关技术概念 虚拟机 虚拟主机 虚拟机 VirtualMachine 指通过软件模拟的具有完整硬件系统功能的 运行在一个完全隔离环境中的完整计算机系统 在一台物理计算机上模拟出一台或多台虚拟的计算机 这些虚拟机完全就像真正的计算机那样进行工作 虚拟机软件 VMware和VirtualPC虚拟机服务器 Xen ESX vshpere HyperV 2020 4 24 23 相关技术概念 虚拟机 虚拟主机 虚拟机有什么用 1 演示环境 可以安装各种演示环境 便于做各种例子 2 想测试一下不熟悉的应用 在虚拟机中随便安装和彻底删除 3 可以当服务器使用 安装一个2003操作系统就等于有一个网站服务器了 你甚至可以在虚拟机上大胆的测试病毒 木马 外挂 完全没有感染本机的可能 2020 4 24 24 相关技术概念 虚拟机 虚拟主机 虚拟主机 是在网络服务器上划分出一定的磁盘空间供用户放置站点 应用组件等 提供必要的站点功能与数据存放 传输功能 虚拟主机也叫 网站空间 就是把一台运行在互联网上的服务器划分成多个 虚拟 的服务器 每一个虚拟主机都具有独立的域名和完整的Internet服务器 支持WWW FTP E mail等 功能 2020 4 24 25 相关技术概念 虚拟机 虚拟主机 虚拟主机的优势 1 费用低廉 由于多台虚拟主机共享一台真实主机的资源 每个虚拟主机用户承受的硬件费用 网络维护费用 通信线路的费用均大幅度降低 2 用户不需要承担系统的维护和管理 2020 4 24 26 目录 相关技术概念 认证相关 上网方式 客户端环境 客户端应用及服务 2020 4 24 27 认证相关 LDAP认证RADIUS认证第三方CA认证动态令牌认证 2020 4 24 28 认证相关培训目标 2020 4 24 29 LDAP的基本概念 LightweightDirectoryAccessProtocol 轻量级目录访问协议 提供一种方法 开发一个组织中的成员电子目录 使得网络上拥有访问权限的任何人都可以访问该目录 2020 4 24 30 何谓目录服务 它是一种在分布式环境中发现目标的方法按照树状信息组织模式 实现信息管理和服务接口的一种方法 包含两个主要组成部分 第一部分是数据库 第二部分则是访问和处理数据的各种协议 数据库 存储和管理信息 协议 访问协议 客户端如何去读取数据库的信息 读取哪些信息 处理数据协议 服务端如何储存数据 给予客户端什么权限 如何响应客户端请求 2020 4 24 31 在现实世界中 我们常常会看到各种各样的目录 比如人事部门的员工清单 企业的设备清单 服务公司的顾客清单等 在这些目录中 有的是公开的 比如电话黄页 对社会公开 企业的员工名单 在企业内部公开 有的是不公开的 只有授权的管理人员才可以看得到 比如公司的某些顾客名单 这些目录的管理并不复杂 但是需要有一套确定的制度和规定来保证这些目录的正确性和可用性 为什么会有目录服务 2020 4 24 32 目录服务的特征 将用户与网络上的对象隔离开 避免因为对象的变化而影响到用户的访问 目录服务的做法是 在用户与对象之间加上一层 间接性 因此用户通过名字来访问对象 而不是通过地址或者其他的标识手段 目录本身提供了从名字到对象的映射能力 将网络上的对象 或资源 组织成一种 对人极为友好 的视图 我们可以简单地将目录服务理解为 通过友好域名查询网络上的对象 的一种服务 这里网络上的对象可以是电脑 个人账户 甚至是一些服务 用户只要给出名字 就可以通过目录服务获得相应的对象信息 比如某个人的电子邮件地址和联系电话 在实现目录服务的时候 其中的对象被有序地组织起来 以便于对象的命名和查询 2020 4 24 33 几种重要的目录服务 DNS Internet范围内的分布式数据库系统 用于全球范围内从Internet域名到IP地址的映射和查询 X 500系列 ITU T和ISO联合制定的目录服务标准 包含目录服务的方方面面 可以适应大规模目录服务的需求 LDAP 轻量级的目录服务访问协议 受到工业界的广泛欢迎 适合于各种规模的企业和组织 LDAP是X 500的简化版 2020 4 24 34 LDAP的树状结构 结构图 界面管理 查询XX员工的信息 2020 4 24 35 在LDAP环境里 通常LDAP服务器上储存着用户的帐号密码信息 LDAP服务器上储存着用户的帐号密码信息 该帐号密码信息即是用户PC的帐号密码 用户登录系统输入帐号密码时 PC会将帐号密码发到LDAP服务器上校验 若校验通过则让客户就能登录系统 LDAP作为认证服务器 2020 4 24 36 单点登录 SANGFORAC 上网行为管理 与LDAP服务器结合时 通过获取LDAP服务器上的用户登录信息 来确认用户是否拥有访问网络的权限 SANGFOR设备与LDAP服务器结合 认证 SANGFORSSL AC与LDAP服务器结合时 当用户登录SANGFOR设备时 SANGFORSSL AC将用户的帐号密码发到LDAP服务器去校验 若LDAP服务器返回校验成功的信息则用户通过SANGFOR设备认证 若校验失败则认证失败 2020 4 24 37 SANGFORAC结合LDAP服务器进行单点登录 LDAP PC 旧组件是安装在LDAP服务器上的一个软件 用于截取用户登陆域的日志发给AC PC提交用户名和密码 软件截取PC成功登陆域的日志并上报给AC 域返回成功登陆信息给PC 2020 4 24 38 SANGFORAC结合LDAP服务器进行单点登录 PC请求登陆域 PC运行logon exe并上报成功登陆域的信息给AC 域返回成功登陆信息给PC 新组件是配置域服务器logon exe和logoff exe脚本 用户登陆域或从域不注销时会运行相应的脚本 并将获取的信息上报AC LDAP PC 2020 4 24 39 SANGFORAC结合LDAP服务器进行认证 LDAP PC PC提交用户名和密码 LDAP服务器返回验证信息给AC AC将用户名和密码提交到LDAP服务器验证 2020 4 24 40 SANGFORSSL结合LDAP服务器进行认证 1 2 3 2020 4 24 41 认证相关 LDAP认证RADIUS认证第三方CA认证动态令牌认证 2020 4 24 42 RADIUS是RemoteAuthenticationDialInUserService 远程用户拨号认证系统 的简称 用来管理大量分散用户的认证 授权和计费 RADIUS协议最初是由Livingston公司提出的 原先的目的是为拨号用户进行认证和计费 后来经过多次改进 形成了一项通用的认证计费协议 RADIUS目前应用最广泛的AAA协议 2020 4 24 43 什么是AAA协议 常用AAA安全协议RADIUS TACACS Kerberos Authentication 鉴别 Authorization 授权 Accounting 计费 功能背景 2020 4 24 44 2020 4 24 45 通常对Radius协议的服务端口号是1645 认证 1646 计费 或1812 认证 1813 计费 我们设备只用到了1812 2020 4 24 46 Radius认证流程图 2020 4 24 47 SANGFOR设备与RADIUS服务器结合 1 2 3 验证方式 PAP和CHAP 2020 4 24 48 远端 Radius 验证 PAP方式 PAP PasswordAuthenticationProtocol 是密码验证协议的简称 是认证协议的一种 具体过程 当用户把用户名密码传给我们设备之后 我们的设备 NAS 首先会生成一个16字节的随机数 然后对这个随机数和共享密钥做一个MD5 再把MD5的结果与密码做一个与或得到最终的安全密码 然后 我们设备会把这个安全密码 用户名 随机数发给RADIUS服务器 RADIUS服务器通过用户名去数据库查询出密码 最后RADIUS服务器会用随机数 共享密钥和密码也算一个安全密码 与从我们设备传过来的安全密码进行比较 如果一致就通过认证 如果不一致就验证失败 身份验证方式 1 2020 4 24 49 身份验证方式 2 2020 4 24 50 远端 RADIUS 验证 CHAP方式 CHAP ChallengeHandshakeAuthenticationProtocol 是查询握手验证协议的简称 是我们使用的另一种认证协议 具体过程 当用户把用户名密码传给我们设备之后 我们的设备首先会生成一个16字节的Chap challenge 同时生存一个1 256的随机数 然后我们的设备会对Chap challenge 随机数 password做一个MD5 并且将Chap challenge 随机数 用户名以及MD5的结果一起传给RADIUS服务器 RADIUS服务器通过用户名去数据库查询出密码 最后RADIUS服务器会用Chap challenge 随机数以及password算一个MD5 与从我们设备传过来的进行比较 如果一致则验证通过 否则验证失败 身份验证方式 3 2020 4 24 51 身份验证方式 4 2020 4 24 52 认证相关 LDAP认证RADIUS认证第三方CA认证动态令牌认证 2020 4 24 53 网络安全面临的挑战 4 伪造 伪造信息在网络上传送 3 篡改 故意篡改网络上传送的报文 1 截获 从网络上窃听他人的通信内容 2 中断 有意中断他人在网络上的通信 截获信息的攻击称为被动攻击 而更改信息和拒绝用户使用资源的攻击称为主动攻击 计算机网络上的通信面临以下的四种威胁 2020 4 24 54 对网络的被动攻击和主动攻击 2020 4 24 55 网络中不安全因素造成的危害显而易见 公司企业敏感信息遭到窃取 交易系统账号密码被截获 交易数据遭更改 交易双方受到欺骗等等都严重影响企业业务 使得企业个人蒙受巨大的财产损失和无法估量的非财产损失 网络威胁带来的影响 如何排除这种威胁 2020 4 24 56 CA认证详解 PKI体系 PKI PublicKeyInfrastructure 是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范 简单来说 PKI就是利用公钥理论和技术建立的提供安全服务的基础设施 用户可利用PKI平台提供的服务进行安全的电子交易 通信和互联网上的各种活动 PKI技术采用证书管理公钥 通过第三方的可信任机构 CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起 在互联网上验证用户的身份 目前 通用的办法是采用建立在PKI基础之上的数字证书 通过把要传输的数字信息进行加密和签名 保证信息传输的机密性 真实性 完整性和不可否认性 从而保证信息的安全传输 PKI是基于公钥算法和技术 为网上通信提供安全服务的基础设施 是创建 颁发 管理 注销公钥证书所涉及到的所有软件 硬件的集合体 其核心元素是数字证书 核心执行者是CA认证机构 2020 4 24 57 CA认证详解 CA中心又称CA机构 即证书授权中心 CertificateAuthority 或称证书授权机构 作为电子商务交易中受信任的第三方 承担公钥体系中公钥的合法性检验的责任 CA中心为每个使用公开密钥的用户发放一个数字证书 数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥 CA机构的数字签名使得攻击者不能伪造和篡改证书 2020 4 24 58 CA认证详解 数字证书是一段包含 1 用户身份信息2 用户公钥信息3 身份验证机构数字签名的数据从证书的用途来看 数字证书可分为签名证书和加密证书 签名证书主要用于对用户信息进行签名 以保证信息的真实性和不可否认性 加密证书主要用于对用户传送信息进行加密 以保证信息的保密性和完整性 2020 4 24 59 加密算法分为 对称加密算法非对称加密算法 公钥加密算法 CA认证详解 加密算法 2020 4 24 60 对称加密算法 明文 你好吗 密文 加密 密文 明文 你好吗 解密 对称加密算法最主要的问题 由于加解密双方都要使用相同的密钥 因此在发送 接收数据之前 必须完成密钥的分发 密钥的分发成了该加密体系中的最薄弱因而风险最大的环节 2020 4 24 61 非对称加密算法 加密和解密使用的是不同的密钥 公钥 私钥 两个密钥之间存在着相互依存关系 用其中任一个密钥加密的信息只能用另一个密钥进行解密 即用公钥加密 用私钥解密就可以得到明文 如果用私钥加密 用公钥解密也可以得到原来的明文 这使得通信双方无需事先交换密钥就可进行保密通信 其中公钥和算法是对外公开的 人人都可以通过这个密钥加密文件然后发给收信者收信者收到加密文件后 它可以使用他的私钥解密 反之亦然 这个密钥是由他自己私人掌管的 不需要分发 这就解决了密钥分发的问题 2020 4 24 62 数据加密 使用公钥加密 应用领域 私钥 公钥 明文 你好吗 加密 密文 密文 解密 明文 你好吗 公钥 2020 4 24 63 签名 使用私钥加密 私钥 公钥 明文 你好吗 加密 解密 明文 你好吗 公钥 明文 你好吗 密文 签名 密文 签名 相同 对称加密算法和非对称加密算法优缺点的比较 2020 4 24 64 数字证书背景 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据 提供了一种在Internet上验证您身份的方式 其作用类似于司机的驾驶执照或日常生活中的身份证 它是由一个由权威机构 CA机构 又称为证书授权 CertificateAuthority 中心发行的 人们可以在网上用它来识别对方的身份 数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件 最简单的证书包含一个公钥 名称以及证书授权中心的数字签名 一般情况下证书中还包括密钥的有效时间 发证机关 证书授权中心 的名称 该证书的序列号等信息 证书的格式遵循ITUTX 509国际标准 CA认证详解 2020 4 24 65 CA认证流程 双向认证 用证书登录的过程 搭建整个体系的步骤 实际认证过程 服务器端和用户端都不需要和CA做任何交互 单向认证情况参考备注 2020 4 24 66 认证相关 LDAP认证RADIUS认证第三方CA认证动态令牌认证 2020 4 24 67 随着网络技术和应用的发展 更加安全的身份认证方法需求总是被提到公司IT执行者的议程上来 多因素认证使用多种身份认证方法来弥补每一种的不足 构成了一个多层安全体系来区分合法和不合法用户 2020 4 24 68 所有权 也就是 你知道什么 的问题 如果某个人知道一个仅能被使用者和被使用者知道的秘密代码 被使用者认为使用者是合法的用户 这就是静态密码系统的前提 个人物品 也就是 你有什么 的问题 如果某人能够给出仅合法使用者具有的个人属性 被使用者认为使用者是合法的用户 这就像实际生活中检查身份识别证件 问题是怎样通过网络检测个人的属性是存在的 如 令牌 智能卡和手机 生物特征 也就是 你是谁 的问题 例如 指纹 眼角膜 声音 面部特征和笔迹等 2020 4 24 69 动态令牌认证一般采用PIN和令牌的双因素认证双因素身份认证系统 Two Factor Authentication 是采用检测密码结合其他实物两种因数实现对用户的认证 即通常检测 你知道什么 和 你有什么 and 2020 4 24 70 动态密码 PIN 2020 4 24 71 动态口令技术 到目前为止 该技术的应用成果和大体情况如下 动态口令技术主要分两种 同步口令技术 异步口令技术同步口令技术中又分为 基于时间的同步口令 基于事件的同步口令详细介绍 时间同步 基于令牌和服务器的时间同步 通过运算来生成一致的动态口令 基于时间同步的令牌在每次进行认证时 服务器端将会检测令牌的时钟偏移量 相应不断的微调自己的时间记录 从而保证了令牌和服务器的同步 确保日常的使用事件同步 基于事件同步的令牌 其原理是通过某一特定的事件次序及相同的种子值作为输入 在DES算法中运算出一致的密码 其运算机理决定了其整个工作流程同时钟无关 不受时钟的影响 令牌中不存在时间脉冲晶振 2020 4 24 72 基于时间同步技术 对于基于时间同步的服务器应较好地保护其系统时钟 不要随意更改 以免发生同步问题 从而影响全部基于此服务器进行认证的令牌 2020 4 24 73 基于事件同步技术 YesKey令牌 动态密码 每按一次产生一个动态密码 2020 4 24 74 无论是哪种认证机制都存在需要跟服务器同步的问题 时间机制需要跟服务器同步时钟 而事件机制需要跟服务器同步事件序列基于时间同步同步时 连续输入2 3次动态密码完成跟服务器时钟的同步基于事件同步同步时 系统自动完成事件序列同步动作 对用户而言完全透明 同步机制的对比 同步对比 2020 4 24 75 动态密码 每分钟变化一次每个密码只能使用一次 动态密码 每按一次按钮变化一次每个密码只能使用一次 2020 4 24 76 SSLVPN和动态令牌结合可以看作和密码策略较为丰富的Radius服务器结合 2020 4 24 77 令牌服务器结构关系 Radius服务 数据库 令牌控制服务 控制接口 关联数据库 数据库 保存帐号和静态密码 令牌控制服务 用于控制 数据库 使用的密码策略 仅用静态密码 仅用动态密码或者静态和动态结合 Radius服务 只提供Radius服务接入服务 2020 4 24 78 账号与令牌的关系 绑定 Radius用户账号 令牌 用户账号和令牌本身相互独立的 只有将两者做绑定 才能够使用高强度的密码策略 静态密码 动态密码 2020 4 24 79 目录 相关技术概念 认证相关 上网方式 客户端环境 客户端应用及服务 2020 4 24 80 上网方式 ISACMNET和CMWAP3G 2020 4 24 81 上网方式培训目标 2020 4 24 82 ISAServer Server 1 2 3 4 ISA是微软公司的产品 全名叫InternetSecurityandAcceleration ISA服务器Microsoft InternetSecurityandAcceleration ISA Server2004是可扩展的企业防火墙以及构建在MicrosoftWindowsServer 2003和Windows 2000Server操作系统安全 管理和目录上的Web缓存服务器 以实现基于策略的网际访问控制 加速和管理 ISA概述 2020 4 24 83 ISA概述 传统Internet防火墙 IP数据包筛选线路级筛选应用程序筛选 企业內部网络 Firewall 2020 4 24 84 物理层 OSI7层模型 数据链路层 网络层 传输层 会话层 表示层 应用层 传统的网络层和会话层攻击 成熟的应用层攻击 蠕虫 病毒 缓冲区溢出攻击 成熟的应用层攻击 蠕虫 病毒 缓冲区溢出攻击 ISA概述 2020 4 24 85 转内容 是一般在IE上设置代理时就使用这种方式 向代理服务器发送get post或者header请求 必须符合HTTP协议 代理服务器分析内容来转发给真正服务器 转链接 客户端向代理发送connect请求 客户端连接到代理 代理服务器在建立一个链接到真实服务器 后续客户端通过链接发送给代理的任何数据 代理服务器都转发给了正式服务器 BASIC 基础 认证 传统的用户名密码认证 ISA概述 ISA代理方式 2020 4 24 86 ISA概述 WEB代理 ISA服务器在对内网实行此方法时 需要在IE中添加代理服务器设置 Internet 工具 internet选项 连接 局域网设置 勾选代理服务器 并填上ISA服务器的内网IP地址与端口 默认为8080 这种方法只能使用浏览器上网 2020 4 24 87 防火墙代理 ISA概述 ISA服务器在对内网实行此方法时 需要安装一个防火墙代理客户端 安装完毕后 即可使用此方法让ISA代理上网 此方法适用于客户端的任何对外网的访问 此种方式的实现类似我们APP资源使用 同样是进行应用层抓包 SNAT代理 ISA服务器在对内网实行此方法时 只需要PC机将网关指向ISA的内网IP即可 2020 4 24 88 ISA概述 SANGFORSSLVPN对ISA环境的支持 2020 4 24 89 对纯ISA客户端的支持 ISA概述 APP是支持这种方式的 实现的关键在于让我们的APP控件先于ISA控件抓包 此实现方法要注意安装顺序 先安装ISA客户端 再安装APP服务控件 卸载ISA客户端 一定要卸载APP服务控件 因为手动卸载了ISA 我们是不知道的 会导致系统LSP破坏 2020 4 24 90 对纯IE代理的支持 ISA概述 IE代理属于应用层代理 在APP服务之上 所以需要通过VPN访问的资源都必须绕过IE代理 这就需要配置代理脚本或者写入排除列表中 在使用IE代理使用SSLVPN时 我们自动的配置一个代理脚本 目前只支持设置代理服务器的HTTP HTTPS代理 对socket代理不支持 而且不支持IE代理脚本方式 我们无法对代理脚本进行分析 IE代理服务器必须支持转链接的方式 如果只是转内容 那么我们的服务将无法使用 因为我们需要IE代理服务器将客户端的链接转到ssl设备上 2020 4 24 91 既使用IE代理又使用ISA客户端 ISA概述 此时我们配置的IE代理脚本将会失效 失效原因是因为一个系统函数无法返回正确的值 还无法解决这个问题 需要用户手动将代理脚本去掉 在IE排除列表中加入要访问的资源 2020 4 24 92 上网方式 ISACNWAP和CNNET3G 2020 4 24 93 上网方式 CMWAP和CMNET GPRS 通用无线分组业务 具体来讲 GPRS是一项高速数据处理的科技 CMWAP和CMNET又是什么呢 在国际上 通常只有一种GPRS接入方式 2020 4 24 94 上网方式 CMWAP和CMNET CMWAP和CMNET是中国移动人为划分的两个GPRS接入方式 CMWAP和CMNET有什么区别 CMWAP为手机WAP上网而设立的 CMNET主要是为PC 笔记本电脑 PDA等利用GPRS上网服务 定位不同 通过CMWAP只能访问WAP网站 而CMNET则适用于所有协议 它是标准的TCP IP协议 2020 4 24 95 上网方式 CMWAP和CMNET CMWAP是手机上网使用的接入点的名称 通过CMWAP只能访问WAP网站 这种访问方式具有一定的限制 WAP应用采用的实现方式是 终端 WAP网关 WAP服务器 的模式 访问百度网站 网站回应 wap网关把转换成返回给客户端 2020 4 24 96 上网方式 CMWAP和CMNET CMNET是ChinaMobileNet的缩写 它是中国移动GPRS网络的接入点的名称 通过CMNET可以获得完全的Internet访问权 NET应用采用的实现方式是 终端 服务器 的工作模式 访问百度网站 网站回应 2020 4 24 97 上网方式 CMWAP和CMNET SANGFORSSL对CMWAP和CMNET的支持 cmwap方式仅能使用web资源 cmnet方式可以支持web资源和app资源 2020 4 24 98 上网方式 ISACNWAP和CNNET3G 2020 4 24 99 上网方式 3G 手机发展史 1G 第一代手机 1G 是指模拟的移动电话 1 收讯效果不稳定 且保密性不足 无线带宽利用不充分 大哥大 2 通话是锁定在一定频率 所以使用可调频电台就可以窃听通话 2G 第二代手机 2G 是最常见的手机 使用PHS GSM或者CDMA这些十分成熟的标准 具有稳定的通话质量和合适的待机时间 支持彩信业务的GPRS和上网业务的WAP服务 2020 4 24 100 上网方式 3G 3G是第三代移动通信技术 3rd generation 3G 是指支持高速数据传输的蜂窝移动通讯技术 将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统 3G与2G的主要区别 传输声音和数据的速度上的提升 2020 4 24 101 上网方式 3G SANGFORSSL对3G的支持 PDA 3G 暂不支持 PC 3G 暂不支持windowsvista 3G可以支持windowsXP 3G 2020 4 24 102 目录 相关技术概念 认证相关 上网方式 客户端环境 客户端应用及服务 2020 4 24 103 客户端环境 操作系统浏览器 2020 4 24 104 客户端环境培训目标 2020 4 24 105 客户端环境 操作系统 操作系统 OperatingSystem 简称OS 是一管理电脑硬件与软件资源的程序 同时也是计算机系统的内核与基石 常见系统 windows Macos linux 2020 4 24 106 客户端环境 操作系统 windows是微软公司推出的视窗电脑操作系统 Windows1 0 Windows95 WindowsNT Windows98 WindowsME WindowsXP WindowsVISTA Windows7 服务器 Windows2000 Windows2003 Windows2008 客户机 2020 4 24 107 客户端环境 操作系统 SANGFORSSL对windows系统的支持 WindowsXP 各个版本都支持 WindowsVISTA M2 66版本对vista支持不好 M2 7开始支持 但 VPN专线 功能M4 2版本才支持 Windows7 M4 21开始支持 2020 4 24 108 客户端环境 操作系统 SANGFORSSL AC数据中心对windowsserver系统的支持 Windowsserver2000 各个版本都支持 Windowsserver2003 Windowsserver2008 仍未测试 不承诺支持 2020 4 24 109 客户端环境 操作系统 MacOS 是一套运行于苹果Macintosh系列电脑上的操作系统 苹果机专用系统 正常情况下在普通pc上无法安装的操作系统 现在疯狂肆虐的电脑病毒几乎都是针对Windows的 由于MAC的架构与Windows不同 所以很少受到病毒的袭击 也正式因为与windows的架构不同 所以在windows上使用的软件都无法在MAC上使用 除非重新开发 2020 4 24 110 客户端环境 操作系统 Linux 是一套免费使用和自由传播的类Unix操作系统 这个系统是由世界各地的成千上万的程序员设计和实现的 其目的是建立不受任何商品化软件的版权制约的 全世界都能自由使用的Unix兼容产品 2020 4 24 111 客户端环境 操作系统 SANGFOR对非windows系统的支持 非windows系统只能访问SANGFORSSL的web服务 非windows系统不支持任何需要在客户端安装插件或程序来实现的sangfor设备的功能 2020 4 24 112 客户端环境 操作系统浏览器 2020 4 24 113 客户端环境 浏览器 操作系统 OperatingSystem 简称OS 是一管理电脑硬件与软件资源的程序 同时也是计算机系统的内核与基石 常见系统 windows Macos linux 2020 4 24 114 客户端环境 浏览器 浏览器 IE内核 非IE内核 2020 4 24 115 客户端环境 浏览器 IE内核 具有MicrosoftInternetExplorer浏览器的核心的一种技术 优势 覆盖面广 兼容性好 很多应用都必须使用只支持IE核心的控件才能完成 不满足于IE的功能及外观 基于IE引擎的浏览器的出现 又屈于IE的兼容性 常见的几种基于IE引擎的浏览器 2020 4 24 116 客户端环境 浏览器 非IE内核 由于IE内核浏览器占用资源高 安全性低等缺点 促使非IE浏览器崛起 常见的几种非IE内核的浏览器 2020 4 24 117 客户端环境 浏览器 SANGFORSSL对浏览器的支持 IE内核浏览器 支持 其中IE8是M4 21版本才正式支持 非IE内核浏览器 只支持SSL的web资源 因为APP和IP资源都需要安装只支持IE内核的控件来实现 2020 4 24 118 目录 相关技术概念 认证相关 上网方式 客户端环境 客户端应用及服务 2020 4 24 119 客户端应用及服务 SQL数据库OA系统ERP系统Exchange 2020 4 24 120 客户端应用及服务培训目标 2020 4 24 121 客户端应用及服务 SQL数据库 SQL语言的主要功能就是同各种数据库建立联系 进行沟通 SQL是什么 SQL SQL StructuredQueryLanguage 结构化查询语言 SQL是关系型数据库管理系统的标准语言 SQL语句可以用来执行各种各样的操作 例如更新数据库中的数据 从数据库中提取数据 SQL能做什么 关系型数据库是怎么样的数据库 关系型数据库以行和列的形式存储数据 这一系列的行和列被称为表 一组表组成了数据库 2020 4 24 122 客户端应用及服务 SQL数据库 关系型数据库通常包含下列组件 客户端应用程序 Client 数据库服务器 Server 数据库 Database 1 Client用SQL来向Server端发送请求 SQL 2 Server返回Client端要求的结果 常见的关系型数据库 SQLserver mysql 2020 4 24 123 SQLServer是由Microsoft开发和推广的关系数据库管理系统 DBMS 它最初是由Microsoft Sybase和Ashton Tate三家公司共同开发的 并于1988年推出了第一个OS 2版本 SQLServer近年来不断更新版本 1996年 Microsoft推出了SQLServer6 5版本 1998年 SQLServer7 0版本和用户见面 SQLServer2000是Microsoft公司于2000年推出 SQL概述 SQLServer关系数据库简介 2020 4 24 124 1 真正的客户机 服务器体系结构 2 图形化用户界面 使系统管理和数据库管理更加直观 简单 3 丰富的编程接口工具 为用户进行程序设计提供了更大的选择余地 4 SQLServer与WindowsNT完全集成 利用了NT的许多功能 如发送和接受消息 管理登录安全性等 SQLServer也可以很好地与MicrosoftBackOffice产品集成 5 具有很好的伸缩性 可跨越从运行Windows95 98的膝上型电脑到运行Windows2000的大型多处理器等多种平台使用 6 对Web技术的支持 使用户能够很容易地将数据库中的数据发布到Web页面上 7 SQLServer提供数据仓库功能 这个功能只在Oracle和其他更昂贵的DBMS中才有 SQL概述 SQLServer的特点 2020 4 24 125 SQL概述 企业管理器可以完成的操作 管理SQLServer服务器 建立与管理数据库 建立与管理表 视图 存储过程 触发程序 角色 规则 默认值等数据库对象 以及用户定义的数据类型 备份数据库和事务日志 恢复数据库 复制数据库 设置任务调度 设置警报 提供跨服务器的拖放控制操作 管理用户帐户 建立Transact SQL命令语句以及管理和控制SQLMail 2020 4 24 126 SQL概述 企业管理器 企业管理器是基于一种新的被称为微软管理控制台 MicrosoftManagementConsole 的公共服务器管理环境 它是SQLServer中最重要的一个管理工具 企业管理器不仅能够配置系统环境和管理SQLServer 而且由于它能够以层叠列表的形式来显示所有的SQLServer对象 因而所有SQLServer对象的建立与管理都可以通过它来完成 2020 4 24 127 SQL概述 服务管理器 SQLServer服务管理器是在服务器端实际工作时最有用的实用程序 其界面如图1 21所示 服务管理器用来启动 暂停 继续和停止数据库服务器的实时服务 其提供的服务包括 SQLServer SQLServerAgent MSDTC MicrosoftDistributedTransactionCoordinator 微软分布式事务协调器 2020 4 24 128 SQL概述 查询分析器 SQLServer2000的图形化查询分析器用于输入和执行Transaction SQL语句 并且迅速查看这些语句的结果 以分析和处理数据库中的数据 这是一个非常实用的工具 对掌握SQL语言 深入理解SQLServer的管理工作有很大帮助 2020 4 24 129 MySQL是当今Unix或Linux类服务器上广泛使用的Web数据库系统 它于1996年诞生于瑞典的TcX公司 支持大部分的操作系统平台 MySQL的设计思想快捷 高效 实用 虽然它对ANSISQL标准的支持并不完善 但支持所有常用的内容 完全可以胜任一般Web数据库的工作 由于它不支持事务处理 MySQL的速度比一些商业数据库快2 3倍 并且MySQL还针对很多操作平台做了优化 完全支持多CPU系统的多线程方式 在编程方面 MySQL也提供了C C Java Perl Python和TCL等API接口 而且有MyODBC接口 任何可以使用ODBC接口的语言都可以使用它 更重要的是 MySQL的源代码是公开的 可以免费使用 MySQL概述 2020 4 24 130 MySQL概述 Mysql的特点 1 速度 MySQL运行速度很快 开发者声称MySQL可能是目前能得到的最快的数据库 可访问 MySQLWeb站点上的性能比较页 调查一下这个性能 2 容易使用 MySQL是一个高性能且相对简单的数据库系统 与一些更大系统的设置和管理相比 其复杂程度较低 3 价格 MySQL对多数个人用户来说是免费的 4 支持查询语言 MySQL可以利用SQL 结构化查询语言 SQL是一种所有现代数据库系统都选用的语言 也可以利用支持ODBC 开放式数据库连接 的应用程序 ODBC是Microsoft开发的一种数据库通信协议 2020 4 24 131 MySQL概述 Mysql的特点 5 性能 许多客户机可同时连接到服务器 多个客户机可同时使用多个数据库 可利用几个输入查询并查看结果的界面来交互式地访问MySQL 这些界面为 命令行客户机程序 Web浏览器或XWindowSystem客户机程序 此外 还有由各种语言 如C Perl Java PHP和Python 编写的界面 因此 可以选择使用已编好的客户机程序或编写自己的客户机应用程序 6 连接性和安全性 MySQL是完全网络化的 其数据库可在因特网上的任何地方访问 因此 可以和任何地方的任何人共享数据库 而且MySQL还能进行访问控制 可以控制哪些人不能看到您的数据 7 可移植性 MySQL可运行在各种版本的UNIX以及其他非UNIX的系统 如Windows和OS 2 上 MySQL可运行在从家用PC到高级的服务器上 2020 4 24 132 MySQL概述 Mysql的体系结构 因为MySQL采用的是客户机 服务器体系结构 所以你在使用MySQL时存取数据时 必须至少使用两个或者说两类