计算机网络-乐清电大网络信息中心

计算机应用专业系列教材,计算机网络,乐清电大网络信息中心,陶静烽,2,第五章 计算机网络应用开发与相关技术,1.掌握网络管理主要内容。2.掌握网络运行时的安全知识。3.理解网络数据库接口。4.理解代理服务器技术。5.理解有关网络的法律法规。6.了解知识产权知识。7.了解电子商务。8.了解网上教育和网上办公。,乐清电大网络信息中心,陶静烽,3,5.1 计算机网络管理技术,当前计算机网络具有以下几个特点：1.地理分散性2.网络体系结构的复杂性3.网络通信容量大幅度增加4.网络的变动性增加,乐清电大网络信息中心,陶静烽,4,5.1 计算机网络管理技术,网络管理是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。网络管理的基本目标是将所有的管理子系统集成在一起，向管理员提供单一的控制方式。为此，网络管理建立了相应的网络管理模型：1.功能模型；2.体系结构模型；3.信息模型；4.组织模型。,乐清电大网络信息中心,陶静烽,5,5.1 计算机网络管理技术,网络管理涉及以下三个方面：网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能；网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；网络处理是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。,乐清电大网络信息中心,陶静烽,6,网络管理方法的演变,传统的人工分散管理计算机化的集中管理传统的人工分散管理: 局限于本地计算机化的集中管理: 全网设置一个或多个网络管理中心NMCNMC负责收集各地交换局的状态数据,然后对采集到的网络数据汇总并加以分析与综合,找出各地、各个交换局之间的相关性，统一调度和使用网络资源，实现了几乎实时的网络管理分离的多系统管理电信管理网综合管理电信管理网TMN，目的：寻求一种统一而简便的方法尚在探索中传统网络主动网络（active network）传统网络：被动的传输字节主动网络：一种可编程的网络。具有提供使用者输入定制程序到网络中的能力。网络节点解释这些程序后，对流经网络节点的数据进行所需的操作如：在视频多路广播中，每个节点的视频压缩方式都会基于对每个节点的计算和网络有效带宽而进行相应的调整,乐清电大网络信息中心,陶静烽,7,5.1.2 网络管理的功能,网络管理的五大功能：一、配置管理二、故障管理三、性能管理四、安全管理五、计费管理,乐清电大网络信息中心,陶静烽,8,配置管理,最基本的网络管理功能。它负责网络的建立、业务的展开、以及网络的配置，并由此建立管理资源信息库，为其它网络管理功能所用。其主要功能包括：资源清单管理功能资源开通功能业务开通功能网络拓扑服务功能：网络布局有三种形式：物理布局、逻辑布局和电气布局,乐清电大网络信息中心,陶静烽,9,故障管理,目的就是迅速发现和纠正网络故障，动态维护网络的有效性。其主要功能有：告警监测功能：包括网络状态监督和故障检测两方面。故障定位功能：目的在于确定故障的位置，其手段主要有诊断、试运行和软件检查等。测试业务恢复维护故障日志,乐清电大网络信息中心,陶静烽,10,性能管理,目的是维护网络服务质量和网络运行效率。主要提供性能监测功能、性能分析功能、以及性能管理控制功能。同时，还要提供性能数据库的维护和在发现性能故障时启动故障管理系统的功能。网络性能指标：性能管理中需要一组能够迅速、准确、全面地反映网络性能的指标。这些指标分为面向服务质量的和面向网络效率的两大类。面向服务质量的指标包括：有效性、响应时间和差错率。面向网络效率的指标包括：网络吞吐量和利用率。性能监测功能：对网络的性能数据进行连续的采集。性能分析功能：一是对监测到的性能数据进行统计和处理；二是负责维护性能数据库；三是获得性能的变化趋势；四是在网络性能异常时向网络管理员告警。性能控制功能：包括监测网络中的业务量，优化网络的利用。,乐清电大网络信息中心,陶静烽,11,安全管理,网络的薄弱环节之一。网络中主要有以下几大安全问题：网络数据的私有性，授权，访问控制。相应的网络安全管理应该包括对授权机制、访问机制、加密和加密关键字的管理，另外还要维护和检查安全日志。,乐清电大网络信息中心,陶静烽,12,计费管理,计费管理一般分为四个模块：（1）服务事件监测功能：负责从管理信息流中捕捉用户使用网络服务的事件。（2）资费管理功能：按照资费政策，计算为用户提供的网络服务应收取的费用。（3）服务管理功能：根据资费管理功能模块和计费控制模块的控制信息，限制用户可使用的业务种类。（4）计费控制功能：负责管理用户帐号和服务管理规则等。,乐清电大网络信息中心,陶静烽,13,5.1.3 网络管理的体系结构,基于TCP/IP网络的管理信息结构（SMI）其基本指导思想是支持MIB的简单性和可扩充性，避免复杂的数据类型和结构。基于TCP/IP网络的管理信息库（MIB）是网络管理数据的标准，在这个标准中详细规定了网络元素必须保存的数据项目，数据类型以及每个数据项目中的操作。简单网络管理协议（SNMP）提供了管理系统的授权管理。所有的操作可用“取存”模式表示，而没有定义大量的操作。主要优点是稳定性，简单和灵活性。,乐清电大网络信息中心,陶静烽,14,管理信息库,管理信息库（MIB）是管理进程的一部分，用于记录网络中被管理对象的状态参数值；一个网络的管理系统只能有一个管理信息库，但管理信息库可以是集中存储的，也可以由各个网络设备记录本地工作参数；网络管理员只要查询有关的管理信息库，就可获得有关网络设备的工作状态和工作参数；在网络管理过程中，使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种：事件驱动与轮询驱动方法。,乐清电大网络信息中心,陶静烽,15,简单网络管理协议SNMP,SNMP： 事实上的网络管理工业标准基于TCP/IPSNMP管理模型分为三部分：被管理系统：被管理的所有网络上的设备分布在不同的地理位置代理（agent）管理数据库MIB网络管理系统NMS: 在LAN上选定的一个工作站装上网管软件构成SNMP管理协议: 定义了管理者和代理之间的通信方法,乐清电大网络信息中心,陶静烽,16,SNMP管理模型的结构,网络管理系统NMS,网管工作站,被管理系统,SNMP协议,SNMP协议,SNMP协议,乐清电大网络信息中心,陶静烽,17,代理Agent,代理（agent）在各个可管理的网络设备中（包括网卡）都有一个可管理软件Agent实现对被管理设备的自身管理Agent能监听所在网络设备及其周围的局部网络的工作状况,收集网络信息Agent响应来自网络管理系统的定期轮询Agent接受管理者的指令Agent在某些紧急事件(设定有阈值)发生时,主动向NMS发起报警,乐清电大网络信息中心,陶静烽,18,5.1.4 网络管理系统介绍,以主机厂商为主开发的：HP公司的OpenView、SUN公司的NetManager、IBM公司的NetView以网络厂商为主开发的：Cisco公司的Cisco Works、Cabletron公司的Spectrum第三方出品的网络管理工具：CA公司的Unicenter TNG和NetworkIT、Mircrosoft公司的System Management Server,乐清电大网络信息中心,陶静烽,19,HP OpenView特点,（1）自动搜索网络拓扑图：OpenView一启动，缺省的网段就能被自动发现。（2）性能和吞吐量分析：其中的一个应用系统HP LAN Probe可用于性能分析。（3）历史数据分析：任何指标的数据报告都可以实时地以图表的形式显示出来。（4）多厂商支持：任何厂商的MIB定义都能很容易地集成到OpenView中。,乐清电大网络信息中心,陶静烽,20,Cisco Works功能,（1）自动安装管理器（2）图形管理界面（3）配置管理：访问网络中本地与远程设备的配置文件，并在必要时分析和编辑它们。能够比较数据库中两个配置文件的内容。（4）设备管理：创建和维护MIB数据库。,乐清电大网络信息中心,陶静烽,21,CA的NetworkIT,（1）预测管理（2）以业务为核心进行管理（3）支持广泛的协议：支持更多协议与网络，并能够跨网络实现可视化、关联与管理。（4）支持现代网络基础结构：比其它平台更广阔，涵盖更多的现代网络基础结构设备，包括交换机、帧中继和ATM。（5）性能管理：提供了性能与响应时间管理的所有相关功能。,乐清电大网络信息中心,陶静烽,22,网络管理系统的各种实现结构,常见的三种方式：集中式分布式分层结构,乐清电大网络信息中心,陶静烽,23,网络管理系统的各种实现结构,集中式扩展能力受限,网络,代理,节点,MIB,代理,MIB,节点,节点,节点,节点,代理,节点,管理者,MIB,管理者,应用程序,应用程序,公共API接口,乐清电大网络信息中心,陶静烽,24,网络管理系统的各种实现结构,分布式每个域设立一个管理者扩展能力好,网络,代理,节点,MIB,代理,MIB,节点,节点,节点,节点,代理,节点,管理者1,MIB,管理者N,管理域1,管理域N,乐清电大网络信息中心,陶静烽,25,网络管理系统的各种实现结构,分层结构每个域设立一个管理者扩展能力很好较容易开发综合应用程序,网络,代理,节点,MIB,代理,MIB,节点,节点,节点,节点,代理,节点,管理者1,MIB,管理者N,管理域1,管理域N,管理者的管理系统MoM,乐清电大网络信息中心,陶静烽,26,5.2 计算机网络安全技术,网络安全技术的重要性网络安全问题已经成为信息化社会的一个焦点问题；每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。,乐清电大网络信息中心,陶静烽,27,计算机安全,计算机安全是指为了保护数据处理系统而采取的技术的和管理的安全措施，保护计算机硬件、软件和数据不会因偶尔或故意的原因而遭到破坏、更改和泄密。绝对安全的计算机是根本不存在的。Siyan：要想让自己的计算机安全，首先要让它与外界隔离，不允许任何其他人使用，还要放在保险柜里，用防炸弹的钢板保护。这样还不够安全，要在房间的内部放入化学毒气，还要在门外站有一个连的士兵，整个这样的计算机仍然不让人感到安全。,乐清电大网络信息中心,陶静烽,28,计算机安全的主要内容,计算机硬件的安全性软件安全性数据安全性计算机运行安全性,乐清电大网络信息中心,陶静烽,29,网络安全,网络安全是指通过采取各种技术的和管理的安全措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络厂商和交换的数据不会发生增加、修改、丢失和泄漏等。可概括为以下几个方面：保密性完整性可靠性实用性可用性占有性,乐清电大网络信息中心,陶静烽,30,网络安全技术研究的基本问题,构成对网络安全威胁的主要因素与相关技术的研究网络防攻击问题 网络安全漏洞与对策问题网络中的信息安全保密问题网络内部安全防范问题 网络防病毒问题 网络数据备份与恢复、灾难恢复问题可以在OSI模型的每个层次上都采取一定的措施全方位的：物理、网络、系统、数据、用户,乐清电大网络信息中心,陶静烽,31,网络中的信息安全保密,信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用；信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击,乐清电大网络信息中心,陶静烽,32,5.2.2 网络安全策略,1.保护办公地点2.保护工作站3.保护服务器4.保护电缆,乐清电大网络信息中心,陶静烽,33,网络安全服务的主要内容,网络安全服务应该提供的基本服务功能：数据保密（data confidentiality）认证（authentication） 数据完整（data integrity） 防抵赖（non-repudiation） 访问控制（access control）,乐清电大网络信息中心,陶静烽,34,代表性安全技术,访问控制与口令技术防火墙技术加密技术数字签名技术身份认证,乐清电大网络信息中心,陶静烽,35,5.2.3 访问控制与口令技术,网络的访问控制可以分为两个方面。一方面是控制来自于外部不知名的用户通过网络服务对主机的访问。另一方面是控制组织内部人员对网络系统的访问。口令是访问控制简单而有效的方法，只要口令保护机密，非授权用户就无法使用该帐号。,乐清电大网络信息中心,陶静烽,36,口令的选择,选择长的口令，口令越长，被破译的几率就越低。好的口令包括英文字母和数字、标点符号、控制字符的组合。取用个人信息，普通的英语单词不好。用户若可以访问多个系统，则不要使用相同的口令。使用Unix安全程序，如passwd+和npasswd程序来测试口令的安全性。,乐清电大网络信息中心,陶静烽,37,口令的管理,用户应该定期更换自己的口令。最好不要用电子邮件传送口令，如果一定这么做，则最好对电子邮件进行加密。如果某帐号长期不用，应将其暂停。根据场所安全策略，确保除了root外没有任何公共的用户帐号。定期检查日志文件，以便检查登录成功或不成功的消息日志。,乐清电大网络信息中心,陶静烽,38,密码学基本概念,密码学：研究如何实现秘密通信的科学密码编码学密码分析学,矛与盾，孰固之？！这真是个难题！,乐清电大网络信息中心,陶静烽,39,题外话：密码和政府,十一世纪的武经总要详细记载了一个军用密码本十七世纪欧洲各国的密码机构：黑屋；奥地利最好：秘密内阁办公厅1722年，康熙的九阿哥争皇位败给四阿哥雍正，流放到西宁，九阿哥用拉丁文作为和他儿子的通信密码一次世界大战期间，英国的“四十号房间“破译”了1万5千多份德国密码电报现代：各国政府试图读出敌对国家和友好国家的加密信息一次例外：1929年新任美国国防部长史汀生：绅士不看他人信件！取消对美国黑屋的财政津贴，建立的军方的密码机构美国国家安全局NSA，多年来秘密存在，约4万职员，云集了大量数学家据传NSA能进入世界各国的银行数据库！现在：德国、俄罗斯-密码被视为一种武器，使用它需要得到特别允许；美国-允许任何人使用，但限制出口。,乐清电大网络信息中心,陶静烽,40,数据加密与解密,将明文变换成密文的过程称为加密；将密文经过逆变换恢复成明文的过程称为解密。,乐清电大网络信息中心,陶静烽,41,密码学的基本概念,单钥密码的加密、解密过程,双钥密码的加密、解密过程,保密通信,数字签名,乐清电大网络信息中心,陶静烽,42,单密钥算法,现代密码使用极为复杂的加密算法,使破译者无法找出破译秘文的方法。DES算法框图如右：作用：DES算法的核心，是数据扩散和混淆,输入64比特明文数据,在密钥控制下进行16轮迭代,输入64比特密文数据,乐清电大网络信息中心,陶静烽,43,56比特密钥密钥量2561017个，难以对付穷举攻击：,1977年构思的VLSI芯片：估计造价：$2000万/芯片搜索时间：24小时,1993年设计的密钥搜索机器：估计造价：$17.36/芯片搜索时间：35小时代价约：$10万 3.5小时代价约：$100万,1997年RSA数据安全公司的“密钥挑战赛”：程序员Verser +万名自愿者+分布式计算+穷举法+96天破译DES，奖金$1万,1999年1月EFF：22.25小时破译DES,1998年7月EFF：$25万电脑一台+56小时破译DES,但是：目前除了穷举法外，还没有找到破译DES的捷径,单密钥算法-DES算法,乐清电大网络信息中心,陶静烽,44,公钥密码体制的基本原理,经典密码体制和对称密码体制中：如果一个密码分析者知道了加密变换，则他会很容易知道解密变换。所以加密变换不可公开（密钥要受保护）,可否制作一种不同的系统呢？：可以安全的公开加密方法，即密码分析者也会知道加密变换，但是他（她）仍然无法解密你的密文这就是公钥密码学想要做到的：公开加密变换！ 这就是1976年，Diffie 和Hellman提出的思想：密码学新方向 New Directions in Cryptography,乐清电大网络信息中心,陶静烽,45,公钥密码体制的基本原理: RSA算法,19771978年由MIT计算机研究实验室的Rivest, Shamir, Adleman研制、发表标志着公钥密码思想的实现对于一个非常简单的数论（研究整数的规律性）思想的一个聪明应用：很容易将两个素数乘起来，但是分解该乘积却非常困难故：该乘积可公开且可作为加密公钥，要解密则必须使用这两个素数,乐清电大网络信息中心,陶静烽,46,RSA算法：密码体制的构建,选择两个大素数p和q（一般要在128位以上）令: n=pq，（n）=（p-1）（q-1）其中是欧拉函数找一随机正整数e，使得e与 （n）的最大公因数为1令： d e1mod （n） 令：k= n, p, q, d，e以e，n为公开密钥以p，q，d为私有密钥加密变换：Me C ( mod n), M为明文，C为密文解密变换：Cd M ( mod n),乐清电大网络信息中心,陶静烽,47,RSA算法：密码体制的构建,19771978年，MIT计算机研究实验室的Rivest, Shamir, Adleman做了以下演示：取出两个素数：p=47, q=59N=pq=2773取E=17， D=157明文是恺撒大帝：its all greek to me转换为明文数字：0920 2900 0112 1200 0718 0505 1100 2015 0013 0500取第一个信息组：0920，E次方，即：92017，每次相乘后只保留余数模2773，最终得到：948，即第一组密文。最终的密文为：0948 2342 1084 1444 2663 2390 0778 0774 0219 1655收信人解密：取第一个密文组：0948，D次方，即：948157，每次相乘后只保留余数模2773，最终得到：920，即第一组明文。,乐清电大网络信息中心,陶静烽,48,RSA算法：素数传奇,素数（质数，常用q表示）：1且没有真因数的自然数（例如、等，注意：1不是素数）素数有无穷多年前，希腊数学家欧几里德证明了素数是无限的梅森素数欧几里德提出少量素数可写成“的次方减”的形式，这里也是一个素数。此后许多数学家曾对这种素数进行研究，世纪的法国教士马丁梅森是其中成果较为卓著的一位，因此后人将“的次方减”形式的素数称为梅森素数。,乐清电大网络信息中心,陶静烽,49,RSA算法：素数传奇,因特网梅森素数大搜索年，美国程序设计师乔治沃特曼整理有关梅森素数的资料，编制了一个梅森素数计算程序，并将其放置在因特网上供数学爱好者使用，这就是“因特网梅森素数大搜索”计划。目前有万多名志愿者、超过万台计算机参与这项计划。该计划采取分布式计算方式，利用大量普通计算机的闲置时间，获得相当于超级计算机的运算能力第、和个梅森素数都是用这种方法找到的。美国一家基金会还专门设立了万美元的奖金，鼓励第一个找到超过千万位素数的人。目前发现（2003年）的最大的素数：的次方减，拥有位数 ，是第40个梅森素数。发现者：美国密歇根州立大学岁的研究生迈克尔谢弗耗时：两年多,乐清电大网络信息中心,陶静烽,50,RSA算法：素数传奇,与素数相关的两大疑问：“歌德巴赫猜想”：每个大于2的偶数是两个素数之和素数的乘法：两个素数相乘很简单但：对于很大的数，就难以从其结果中看出它是由什么素数组成的了！如：85=517 容易但：如已知1009961、49048499是两个素数的乘积，能猜出是那两个素数相乘吗？！实际上：目前人们还无法在遇到一个由两个素数相乘得到的200位的数时，重建这两个素数,乐清电大网络信息中心,陶静烽,51,RSA算法：素数传奇,RSA小组中的S和A，1977年8月在科学的美国人杂志上刊登了一个长129位的数字，奖赏$100: 寻找构成该数的两个素数因子：N=114381625757888876692305971235639587050505898907514759929002687954354177997614661201021829672124236256256184293570693524573889783如果有人收到用该N以及相应的E编写的密文，但是只要构成N的两个素数未被知晓，那么D就不知晓，密文将无法破译17年过去了，$100奖励无人能动1994年4月26日，四位科学家+25个国家的600名自愿者+Internet集体劳动的结果是找到了p，一个64位长的素数，每人得奖金17美分,不过1977年时有人预测需要850万年才能破解该悬赏,乐清电大网络信息中心,陶静烽,52,网络防攻击问题,服务攻击: 对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务”，使网络工作不正常;非服务攻击: 不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。,乐清电大网络信息中心,陶静烽,53,网络防攻击主要问题需要研究的几个问题,网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？,乐清电大网络信息中心,陶静烽,54,网络安全漏洞与对策的研究,网络信息系统的运行涉及到：计算机硬件与操作系统网络硬件与网络软件数据库管理系统应用软件网络通信协议网络安全漏洞也会表现在以上几个方面。,乐清电大网络信息中心,陶静烽,55,网络内部安全防范问题,网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决来自网络内部的不安全因素必须从技术与管理两个方面入手。,乐清电大网络信息中心,陶静烽,56,网络防病毒问题,目前，70%的病毒发生在计算机网络上；连网微型机病毒的传播速度是单机的20倍，网络服务器消除病毒所花的时间是单机的40倍；电子邮件病毒可以轻易地使用户的计算机瘫痪，有些网络病毒甚至会破坏系统硬件。,乐清电大网络信息中心,陶静烽,57,安全级别的分类,可信计算机系统评估准则TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）；可信计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1；D级系统的安全要求最低，A1级系统的安全要求最高。,乐清电大网络信息中心,陶静烽,58,网络安全策略与网络用户的关系,网络安全策略包括技术与制度两个方面。只有将二者结合起来，才能有效保护网络资源不受破坏； 在制定网络安全策略时，一定要注意限制的范围；网络安全策略首先要保证用户能有效地完成各自的任务同时，也不要引发用户设法绕过网络安全系统，钻网络安全系统空子的现象；一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾，应该使网络管理员与网络用户都乐于接受与执行。,乐清电大网络信息中心,陶静烽,59,制定网络安全策略的两种思想,制定网络安全策略的两种思想：一是凡是没有明确表示允许的就要被禁止，二是凡是没有明确表示禁止的就要被允许；在网络安全策略上一般采用第一种方法，明确地限定用户在网络中访问的权限与能够使用的服务；符合于规定用户在网络访问“最小权限”的原则，给予用户能完成任务所“必要”的访问权限与可以使用的服务类型，又便于网络的管理。,乐清电大网络信息中心,陶静烽,60,网络安全受到威胁时的行动方案,保护方式 当网络管理员发现网络安全遭到破坏时，立即制止非法入侵者的活动，恢复网络的正常工作状态，并进一步分析这次安全事故的性质与原因，尽量减少这次安全事故造成的损害；跟踪方式 发现网络存在非法入侵者的活动时，不是立即制止入侵者的活动，而是采取措施跟踪非法入侵者的活动，检测非法入侵者的来源、目的、非法访问的网络资源，判断非法入侵的危害，确定处理此类非法入侵活动的方法。,乐清电大网络信息中心,陶静烽,61,5.2.4 防火墙技术,防火墙的基本概念防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。是在网络之间执行安全控制策略的系统，它包括硬件和软件；防火墙服务于多个目的：限制人们从一个特别的控制点进入；防止侵入者接近你的其它防御设施；限定人们从一个特别的点离开；有效地阻止破坏者对你的计算机系统进行破坏。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。,乐清电大网络信息中心,陶静烽,62,防火墙的位置与作用,乐清电大网络信息中心,陶静烽,63,防火墙技术,防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界；构成防火墙系统的两个基本部件是：包过滤路由器（packet filtering router）和应用级网关（application gateway）；最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；由于组合方式有多种，因此防火墙系统的结构也有多种形式。,乐清电大网络信息中心,陶静烽,64,防火墙的主要类型,数据包过滤防火墙 包过滤防火墙按照系统内部设置的包过滤规则（即访问控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址、目的IP地址、协议类型 、IP选项内容 、源TCP端口号 、目的TCP端口号 、TCP ACK标识等。,乐清电大网络信息中心,陶静烽,65,包过滤防火墙的结构,乐清电大网络信息中心,陶静烽,66,应用级网关,多归属主机又称为多宿主主机，它具有两个或两个以上的网络接口，每个网络接口与一个网络连接，具有在不同网络之间交换数据的路由能力。如果多归属主机连接了两个网络，它可以叫做双归属主机。只要能确定应用程序访问控制规则，就可以采用双归属主机作为应用级网关，在应用层过滤进出内部网络特定服务的用户请求与响应。应用代理是应用级网关的另一种形式，它是以存储转发方式检查和确定网络服务请求的用户身份是否合法，决定是转发还是丢弃该服务请求。,乐清电大网络信息中心,陶静烽,67,应用级网关的结构,乐清电大网络信息中心,陶静烽,68,代理服务,代理服务，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。,乐清电大网络信息中心,陶静烽,69,应用代理的工作原理,乐清电大网络信息中心,陶静烽,70,防火墙的分类,上述三种方式中，应用级网关和代理服务方式的防火墙大多是基于主机的，价格比较贵，安装和使用也比数据包过滤的防火墙复杂，但性能好。,乐清电大网络信息中心,陶静烽,71,网络防病毒技术,造成网络感染病毒的主要原因 70%的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占41%左右；从网络电子广告牌上带来的病毒约占7%；从软件商的演示盘中带来的病毒约占6%；从系统维护盘中带来的病毒约占6%；从公司之间交换的软盘带来的病毒约占2%；其他未知因素约占27%；从统计数据中可以看出，引起网络病毒感染的主要原因在于网络用户自身。,乐清电大网络信息中心,陶静烽,72,网络病毒的危害,网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所；网络服务器在网络病毒事件中起着两种作用：它可能被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒；网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上；当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种条件时，病毒便会发作，它将破坏程序与数据。,乐清电大网络信息中心,陶静烽,73,典型网络防病毒软件的应用,网络防病毒可以从以下两方面入手：一是工作站，二是服务器；网络防病毒软件的基本功能是：对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒； 网络防病毒软件一般允许用户设置三种扫描方式：实时扫描、预置扫描与人工扫描；一个完整的网络防病毒系统通常由以下几个部分组成：客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。,乐清电大网络信息中心,陶静烽,74,5.3 网络数据库接口技术,WWW与数据库的结合不仅能大大扩展Web服务器的功能，也是数据库技术发展的需要。Web与数据库的接口技术已成为当前网络开发的热点。,乐清电大网络信息中心,陶静烽,75,5.3.1 常用网络数据库,FoxproSybaseOracleInformixMS-SQL Server,乐清电大网络信息中心,陶静烽,76,5.3.2 常用接口技术,CGI（公共网关接口）技术优点：工作原理简单，多种语言支持，标准开放，几乎被所有服务器支持。缺点：效率低，交互性差，安全性差。WebAPI（Web应用编程接口）技术运行效率显著高于CGI程序，但是平台兼容性和交互性较差。JDBC（Java数据库连接）技术和ASP技术是Intranet和Internet环境下访问异构数据库的一种较优方式。Asp技术编程简单，支持广泛,乐清电大网络信息中心,陶静烽,77,5.4 代理服务器技术,所谓代理服务器是指处理代表内部客户的外部服务器的程序。代理服务器一端连接Internet，另一端连接Intranet。两个网络之间的数据传输全部由代理服务器进行转发和控制。是防火墙技术的一种类型，是网络管理者用于加强网络访问控制，进行信息流量计费等的常用手段。,乐清电大网络信息中心,陶静烽,78,使用代理服务器技术的优点,1通过一个IP地址或一个Internet帐户供多个用户同时访问 2内部网络和外部网络之间构筑起防火墙3通过缓存区的使用降低网络通信费用4对局域网用户进行访问权限和信息流量计费管理5对进入局域网的Internet信息实现访问内容控制6逆向代理服务,乐清电大网络信息中心,陶静烽,79,通过代理服务器接入Internet的结构,乐清电大网络信息中心,陶静烽,80,MS Proxy Server,MS Proxy Server的缓存性能：（1）分布式阵列缓存（2）层次型缓存（3）阵列缓存路由协议CARP,乐清电大网络信息中心,陶静烽,81,MS Proxy Server,MS Proxy Server的防火墙性能动态数据包过滤报警与日志功能MS Proxy Server的Web代理服务与CERN标准兼容的代理服务HTTP与FTP缓存基于协议的用户级安全保护信息访问控制与过滤IP地址集合客户因特网信息访问日志MS Proxy Server的Socks代理服务在内部网上支持TCP/IP协议与常用的客户计算机操作系统与硬件平台兼容对客户的SOCKS访问请求信息提供日志记录,乐清电大网络信息中心,陶静烽,82,电子商务技术,电子商务的基本概念 电子商务就是指贸易活动各环节的电子化，它覆盖与商务活动有关的所有方面；从涵盖范围方面可以定义为：交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易；从技术方面可以定义为：电子商务是一种多技术的集合体，包括交换数据、获得数据以及自动捕获数据。,乐清电大网络信息中心,陶静烽,83,电子商务技术,电子商务主要包括三方面内容：政府贸易管理的电子化，企业级电子商务，电子购物；电子商务可以分为两大类别：一类是企业与企业之间（B to B）的电子商务，另一类是企业与个人之间（B to C）的电子商务。IBM：当代电子商务开山祖师,乐清电大网络信息中心,陶静烽,84,现阶段电子商务发展的主要特征,电子商务首先会在标准化商品或服务领域中获得发展；支付系统成为影响电子商务发展的主要因素之一；网络费用构成了制约电子商务发展的主要因素。,乐清电大网络信息中心,陶静烽,85,电子商务的基本工作模式,电子商务改变了企业竞争方式；电子商务改变了企业的竞争格局；电子商务改变了企业形象的竞争模式。,乐清电大网络信息中心,陶静烽,86,电子商务中的网络技术,电子商务需要有支付工具来支持，而支付工具正由现金逐步向信用卡转移，这就要保证信用卡与银行账号必须是真的，还要保证使用信用卡与银行账号的人身份合法；在进行电子商务活动时，网络上传输的是信用卡与银行账号信息，如果这些信息没有被加密，就有可能被人偷取、破坏或修改，这时需要实现三个目标：保密、完整与防止抵赖；在电子商务中，网络安全保密技术（例如身份确认、数据加密、数字签名、内容检查与第三方确认技术）将起到重要的作用。,乐清电大网络信息中心,陶静烽,87,5.5.3 电子商务的网上技术难题,电子商务所面临的问题保密性安全性运行机制界面的友好性面对的客户类型所能够承受的业务流量消费者需求服务的平均响应周期检索软件的设计连网方式数据的备份电子支付方式Web服务应解决的问题各种秘密目录、文件和数据的保护如何避免信息被不法分子非法拦截防止Web站点本身遭受黑客的袭击注意解决CGI方面的安全问题给主机造成系统危害,乐清电大网络信息中心,陶静烽,88,通过Web网提供的商业的前景,什么样的人上网最多，Web站点就卖什么。但目前社会的主体消费群还不在网上。卖方能够自信地操纵技术系统，不受制于人。因特网是否安全可靠？,乐清电大网络信息中心,陶静烽,89,因特网的安全性,保密性鉴权性完整性非拒绝性合法系统的支持,乐清电大网络信息中心,陶静烽,90,安全设施与公共密钥设施,对接纳电子商务某系统的用户提供：可以有效进行安全管理的设施可靠的风险管理以及得到确认、充分被理解的责任。证书授权机构的可靠程度取决于：系统的保密结构，包括运营程序以及由证书授权机构提供的机械和电子保护措施。用于确认申请证书的用户身份的政策和方法。,乐清电大网络信息中心,陶静烽,91,电子商务系统的基本结构,乐清电大网络信息中心,陶静烽,92,5.6 网上办公,网上办公自动化（OA）是目前网上应用的主要领域之一。网上办公主要建立在LAN的技术基础之上，在上层构架各种应用。一些部门已指定将Domino/Notes R5作为OA的标准平台。,乐清电大网络信息中心,陶静烽,93,5.6.1 Lotus Domino/Notes R5,Domino是业界第一个交互式的动态Web应用服务器。Notes/Domino分为三条产品线，即：服务器Domino，客户机Notes，开发工具Designer。,乐清电大网络信息中心,陶静烽,94,5.6.2 信息化社会对通讯基础设施的要求,高品质的电子邮件系统。安全可靠是“使命攸关”的通讯基础设施的重要特性。高可用性。跨平台的支撑能力。灵活适应体系结构，符合因特网环境下“客户机/应用服务层/数据服务层”的三层体系结构。可伸缩性。可扩展的体系结构。对快速应用开发的支持能力。强大的信息集成能力。可扩展、可复制和灵活的目录机制。系统监控和管理。低廉的总体拥有成本。,乐清电大网络信息中心,陶静烽,95,Domino R5集成的通讯平台、群件、Web应用服务器,1. 适应各种规模企业和机构的电子邮件服务器2. 开放、安全的Internet/Intranet应用服务器3. 可靠、可用、可伸缩性4. 简单、灵活、直观的管理5. 创新以知识为中心的协同工作,乐清电大网络信息中心,陶静烽,96,Notes R5集成的协同工作环境,1. 与任何服务器工作2. 最易用的因特网客户机软件3. 业界领先的应用支持4. 移动办公支持、实话简便5. 创新以知识为中心的协同工作,乐清电大网络信息中心,陶静烽,97,Domino Designer R5集成的应用开发环境,1. 开放和直观的开发环境2. 更方便地