SANGFOR+年度新员工入职培训常见应用课件

SANGFOR+年度新员工入职培训常见应用,常见应用培训,SANGFOR+年度新员工入职培训常见应用,目录,相关技术概念,认证相关,上网方式,客户端环境,客户端应用及服务,SANGFOR+年度新员工入职培训常见应用,相关技术概念,C/S架构和B/S架构P2S,P2P,P2SP超链接虚拟机、虚拟主机,SANGFOR+年度新员工入职培训常见应用,相关技术概念培训目标,SANGFOR+年度新员工入职培训常见应用,相关技术概念-C/S架构和B/S架构,C/S架构和B/S架构分别是什么,C/S（Client/Server）结构，即客户端和服务器结构,它是软件系统体系结构，通过它可以充分利用两端硬件环境的优势，将任务合理分配到Client端和Server端来实现，降低了系统的通讯开销。,请举几个常见的C/S架构的例子,QQ,outlook,foxmail,SANGFOR+年度新员工入职培训常见应用,在特定的应用中无论是Client端还是Server端都还需要特定的软件支持，软件需要针对不同的操作系统系统开发不同版本的软件，加之产品的更新换代十分快，已经很难适应百台电脑以上局域网用户同时使用。而且代价高，效率低。,如何解决这个问题？,C/S架构的缺陷：,B/S架构,SANGFOR+年度新员工入职培训常见应用,B/S（Browser/Server）结构即浏览器和服务器结构,它是随着Internet技术的兴起，对C/S结构的一种变化或者改进的结构。在这种结构下，用户工作界面是通过WWW浏览器来现，极少部分事务在前端（Browser）实现，主要事务都是在服务器端（Server）实现，这样就大大简化了客户端电脑载荷，减轻了系统维护与升级的成本和工作量，降低了用户的总体成本。,它是一次性到位的开发，能实现不同的人员，从不同的地点，以不同的接入方式（比如LAN,WAN,Internet/Intranet等）访问和操作共同的数据库,C/S和B/S之优缺点比较,SANGFOR+年度新员工入职培训常见应用,C/S架构的优势和劣势,应用服务器运行数据负荷较轻,服务器程序被启动，就随时等待响应客户程序发来的请求；当需要对数据库中的数据进行任何操作时，客户程序就自动地寻找服务器程序，并向其发出请求，服务器程序根据预定的规则作出应答，送回结果,数据的储存管理功能较为透明,在数据库应用中，数据的储存管理功能，是由服务器程序和客户应用程序分别独立进行的，所有这些，对于工作在前台程序上的最终用户，是“透明”的，他们无须过问（通常也无法干涉）背后的过程，就可以完成自己的一切工作。,劣势是高昂的维护成本且投资大,网络管理工作人员既要对服务器维护管理，又要对客户端维护和管理，这需要高昂的投资和复杂的技术支持，维护成本很高，维护任务量大；传统的C/S结构的软件需要针对不同的操作系统系统开发不同版本的软件，开发成本高,SANGFOR+年度新员工入职培训常见应用,B/S架构的优势和劣势,维护和升级方式简单,系统管理人员如果需要在几百甚至上千部电脑之间来回奔跑，效率和工作量是可想而知的，但B/S架构的软件只需要管理服务器就行了，所有的客户端只是浏览器，根本不需要做任何的维护。无论用户的规模有多大，有多少分支机构都不会增加任何维护升级的工作量,成本降低，选择更多,B/S架构的应用管理软件，只需安装在Linux服务器上即可，而且安全性高。windows在桌面电脑上几乎一统天下，浏览器成为了标准配置，比如很多人每天上“网易”，只要安装了浏览器就可以了，并不需要了解“网易”的服务器用的是什么操作系统,SANGFOR+年度新员工入职培训常见应用,劣势是应用服务器运行数据负荷较重,由于B/S架构管理软件只安装在服务器端（Server）上，数据处理也都在服务器上完成，所以应用服务器运行数据负荷较重，一旦发生服务器“崩溃”等问题，后果不堪设想，因此，许多单位都备有数据库存储服务器，以防万一。,SANGFOR+年度新员工入职培训常见应用,相关技术概念,C/S架构和B/S架构P2S,P2P,P2SP超链接虚拟机、虚拟主机,SANGFOR+年度新员工入职培训常见应用,相关技术概念-P2S,P2P,P2SP,P2S（PeertoSever）,即点对服务器技术，是最经典的一种下载形式。“点”（Peer）即网络节点或终端，通常可以理解为用户计算机。P2S协议又分HTTP（HyperTextTransportationProtocol，译为超文本传输协议）与FTP（Protocol，文件传输协议）两种类型。,SANGFOR+年度新员工入职培训常见应用,P2S典型代表软件,网际快车：它在早期的时候有效地解决了下载的两个最大问题：速度和下载后的管理，通过把一个文件分成几个部分同时下载可以成倍的提高速度，下载速度可以提高100%到500%。后期网际快车发展成为P2SP。,缺陷：由于它是基于（P2S）,所以当服务器忙、带宽吃紧或者服务器崩溃的时候，使用FlashGet的用户将因为服务器的不同状态而产生下载漫或者是无法下载的情况。,SANGFOR+年度新员工入职培训常见应用,相关技术概念-P2S,P2P,P2SP,P2P（PeertoPeer）,“对等”技术，又被称为“点对点”（PointtoPoint）。是一种网络新技术，依赖网络中参与者的计算能力和带宽，而不是把依赖都聚集在较少的几台服务器上。在你自己下载的同时，自己的电脑还要继续做主机上传，这种下载方式，人越多速度越快。,SANGFOR+年度新员工入职培训常见应用,P2P典型代表软件,BT（BitTorrent）：在BitTorrent的世界中，凡是参加下载的计算机无所谓“服务器”或者“客户机”，每一台“客户机”同时也是“服务器”，当它下载的时候，同时也会使用上行带宽将已经下载的部分发送到其他计算机上。这样，下载的人越多，实际网络带宽就越大，速度自然就越快。,缺陷：对硬盘损伤比较大（在写的同时还要读），还有对内存占用较多，影响整机速度。由于下载源的不稳定及操作的麻烦，也影响了BT的进一步发展。,SANGFOR+年度新员工入职培训常见应用,相关技术概念-P2S,P2P,P2SP,P2SP（PeertoServer&Peer）,P2SP除了包含P2P以外，P2SP的“S”是指服务器。P2SP有效地把原本孤立的服务器和其镜像资源以及P2P资源整合到了一起。也就是说，在下载的稳定性和下载的速度上，都比传统的P2P或P2S有了非常大的提高。,SANGFOR+年度新员工入职培训常见应用,P2SP典型代表软件,迅雷：互联网上存在多个服务器资源，将优先从服务器和镜像服务器下载。当没有多服务器资源的时候，用户的下载可以从单服务器和其他用户节点同时下载，这个时候，使用迅雷起到了为服务器减压作用；当服务器忙、带宽吃紧和服务器宕机的时候，用户的下载将在用户的节点之间完成，迅雷起到了恢复死链接的作用，使得不管下载服务器处于任何状态，用户都能够顺利的完成下载。,缺陷：对硬盘损伤比较大（在写的同时还要读），还有对内存占用较多，影响整机速度。,SANGFOR+年度新员工入职培训常见应用,相关技术概念,C/S架构和B/S架构P2S,P2P,P2SP超链接虚拟机、虚拟主机,SANGFOR+年度新员工入职培训常见应用,相关技术概念超链接,超链接：在本质上属于一个网页的一部分，它是一种允许我们同其他网页或站点之间进行连接的元素。,指从一个网页指向一个目标的连接关系,这个目标可以是另一个网页,也可以是相同网页上的不同位置，还可以是一个图片，一个电子邮件地址，一个文件，甚至是一个应用程序。,SANGFOR+年度新员工入职培训常见应用,相关技术概念超链接,超链接的3种类型,1.内部链接：指同一网站域名下的内容页面之间互相链接。如频道、栏目、终极内容页之间的链接,2.外部链接：指不同网站之间的链接。如外部网站友情链接。,3.锚点链接：它是网页内部的超级链接（注意不是网站内部）。可以在网页上设置一个锚点，点击相应的锚点，到达本页内相应的位置，而不必在一个很长的网页里自行寻找。如百度百科中的目录链接。,SANGFOR+年度新员工入职培训常见应用,相关技术概念,C/S架构和B/S架构P2S,P2P,P2SP超链接虚拟机、虚拟主机,SANGFOR+年度新员工入职培训常见应用,相关技术概念虚拟机、虚拟主机,虚拟机（VirtualMachine）：指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。,在一台物理计算机上模拟出一台或多台虚拟的计算机，这些虚拟机完全就像真正的计算机那样进行工作。,虚拟机软件：VMware和VirtualPC虚拟机服务器：Xen、ESX（vshpere)、HyperV,SANGFOR+年度新员工入职培训常见应用,相关技术概念虚拟机、虚拟主机,虚拟机有什么用？,1.演示环境，可以安装各种演示环境，便于做各种例子,2.想测试一下不熟悉的应用，在虚拟机中随便安装和彻底删除,3.可以当服务器使用。安装一个2003操作系统就等于有一个网站服务器了,你甚至可以在虚拟机上大胆的测试病毒、木马、外挂，完全没有感染本机的可能,SANGFOR+年度新员工入职培训常见应用,相关技术概念虚拟机、虚拟主机,虚拟主机：是在网络服务器上划分出一定的磁盘空间供用户放置站点、应用组件等，提供必要的站点功能与数据存放、传输功能。,虚拟主机也叫“网站空间”就是把一台运行在互联网上的服务器划分成多个“虚拟”的服务器，每一个虚拟主机都具有独立的域名和完整的Internet服务器（支持WWW、FTP、E-mail等）功能。,SANGFOR+年度新员工入职培训常见应用,相关技术概念虚拟机、虚拟主机,虚拟主机的优势？,1.费用低廉，由于多台虚拟主机共享一台真实主机的资源，每个虚拟主机用户承受的硬件费用、网络维护费用、通信线路的费用均大幅度降低,2.用户不需要承担系统的维护和管理,SANGFOR+年度新员工入职培训常见应用,目录,相关技术概念,认证相关,上网方式,客户端环境,客户端应用及服务,SANGFOR+年度新员工入职培训常见应用,认证相关,LDAP认证RADIUS认证第三方CA认证动态令牌认证,SANGFOR+年度新员工入职培训常见应用,认证相关培训目标,SANGFOR+年度新员工入职培训常见应用,LDAP的基本概念：LightweightDirectoryAccessProtocol（轻量级目录访问协议）提供一种方法，开发一个组织中的成员电子目录，使得网络上拥有访问权限的任何人都可以访问该目录。,SANGFOR+年度新员工入职培训常见应用,何谓目录服务,它是一种在分布式环境中发现目标的方法按照树状信息组织模式，实现信息管理和服务接口的一种方法。包含两个主要组成部分：第一部分是数据库；第二部分则是访问和处理数据的各种协议。,数据库：存储和管理信息。,协议：访问协议客户端如何去读取数据库的信息，读取哪些信息；处理数据协议服务端如何储存数据，给予客户端什么权限，如何响应客户端请求,SANGFOR+年度新员工入职培训常见应用,在现实世界中，我们常常会看到各种各样的目录，比如人事部门的员工清单、企业的设备清单、服务公司的顾客清单等。在这些目录中，有的是公开的，比如电话黄页（对社会公开）、企业的员工名单（在企业内部公开）；有的是不公开的，只有授权的管理人员才可以看得到，比如公司的某些顾客名单。这些目录的管理并不复杂，但是需要有一套确定的制度和规定来保证这些目录的正确性和可用性。,为什么会有目录服务,SANGFOR+年度新员工入职培训常见应用,目录服务的特征,将用户与网络上的对象隔离开,避免因为对象的变化而影响到用户的访问。目录服务的做法是，在用户与对象之间加上一层“间接性”，因此用户通过名字来访问对象，而不是通过地址或者其他的标识手段。目录本身提供了从名字到对象的映射能力。,将网络上的对象（或资源）组织成一种“对人极为友好”的视图,我们可以简单地将目录服务理解为“通过友好域名查询网络上的对象”的一种服务，这里网络上的对象可以是电脑、个人账户，甚至是一些服务。用户只要给出名字，就可以通过目录服务获得相应的对象信息，比如某个人的电子邮件地址和联系电话。在实现目录服务的时候，其中的对象被有序地组织起来，以便于对象的命名和查询。,SANGFOR+年度新员工入职培训常见应用,几种重要的目录服务,DNSInternet范围内的分布式数据库系统，用于全球范围内从Internet域名到IP地址的映射和查询。,X.500系列ITU-T和ISO联合制定的目录服务标准，包含目录服务的方方面面，可以适应大规模目录服务的需求。,LDAP轻量级的目录服务访问协议，受到工业界的广泛欢迎，适合于各种规模的企业和组织。LDAP是X.500的简化版,SANGFOR+年度新员工入职培训常见应用,LDAP的树状结构,结构图,界面管理,查询XX员工的信息,SANGFOR+年度新员工入职培训常见应用,在LDAP环境里，通常LDAP服务器上储存着用户的帐号密码信息，LDAP服务器上储存着用户的帐号密码信息，该帐号密码信息即是用户PC的帐号密码。用户登录系统输入帐号密码时，PC会将帐号密码发到LDAP服务器上校验，若校验通过则让客户就能登录系统。,LDAP作为认证服务器,SANGFOR+年度新员工入职培训常见应用,单点登录：SANGFORAC（上网行为管理）与LDAP服务器结合时，通过获取LDAP服务器上的用户登录信息，来确认用户是否拥有访问网络的权限。,SANGFOR设备与LDAP服务器结合,认证：SANGFORSSL/AC与LDAP服务器结合时，当用户登录SANGFOR设备时，SANGFORSSL/AC将用户的帐号密码发到LDAP服务器去校验，若LDAP服务器返回校验成功的信息则用户通过SANGFOR设备认证，若校验失败则认证失败。,SANGFOR+年度新员工入职培训常见应用,SANGFORAC结合LDAP服务器进行单点登录,LDAP,PC,旧组件是安装在LDAP服务器上的一个软件，用于截取用户登陆域的日志发给AC,PC提交用户名和密码,软件截取PC成功登陆域的日志并上报给AC,域返回成功登陆信息给PC,SANGFOR+年度新员工入职培训常见应用,SANGFORAC结合LDAP服务器进行单点登录,PC请求登陆域,PC运行logon.exe并上报成功登陆域的信息给AC,域返回成功登陆信息给PC,新组件是配置域服务器logon.exe和logoff.exe脚本，用户登陆域或从域不注销时会运行相应的脚本，并将获取的信息上报AC。,LDAP,PC,SANGFOR+年度新员工入职培训常见应用,SANGFORAC结合LDAP服务器进行认证,LDAP,PC,PC提交用户名和密码,LDAP服务器返回验证信息给AC,AC将用户名和密码提交到LDAP服务器验证,SANGFOR+年度新员工入职培训常见应用,SANGFORSSL结合LDAP服务器进行认证,1,2,3,SANGFOR+年度新员工入职培训常见应用,认证相关,LDAP认证RADIUS认证第三方CA认证动态令牌认证,SANGFOR+年度新员工入职培训常见应用,RADIUS是RemoteAuthenticationDialInUserService（远程用户拨号认证系统）的简称，用来管理大量分散用户的认证、授权和计费。,RADIUS协议最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。,RADIUS目前应用最广泛的AAA协议,SANGFOR+年度新员工入职培训常见应用,什么是AAA协议？,常用AAA安全协议RADIUS，TACACS+，Kerberos,Authentication(鉴别)，Authorization(授权)，Accounting(计费),功能背景：,SANGFOR+年度新员工入职培训常见应用,SANGFOR+年度新员工入职培训常见应用,通常对Radius协议的服务端口号是1645（认证）、1646（计费）或1812（认证）、1813（计费）。我们设备只用到了1812。,SANGFOR+年度新员工入职培训常见应用,Radius认证流程图,SANGFOR+年度新员工入职培训常见应用,SANGFOR设备与RADIUS服务器结合,1,2,3,验证方式：PAP和CHAP,SANGFOR+年度新员工入职培训常见应用,远端（Radius）验证PAP方式：PAP（PasswordAuthenticationProtocol）是密码验证协议的简称，是认证协议的一种。具体过程：当用户把用户名密码传给我们设备之后，我们的设备（NAS）首先会生成一个16字节的随机数。然后对这个随机数和共享密钥做一个MD5，再把MD5的结果与密码做一个与或得到最终的安全密码。然后，我们设备会把这个安全密码、用户名、随机数发给RADIUS服务器，RADIUS服务器通过用户名去数据库查询出密码。最后RADIUS服务器会用随机数、共享密钥和密码也算一个安全密码，与从我们设备传过来的安全密码进行比较，如果一致就通过认证，如果不一致就验证失败。,身份验证方式（1）,SANGFOR+年度新员工入职培训常见应用,身份验证方式（2）,SANGFOR+年度新员工入职培训常见应用,远端（RADIUS）验证CHAP方式：CHAP（ChallengeHandshakeAuthenticationProtocol）是查询握手验证协议的简称，是我们使用的另一种认证协议。具体过程：当用户把用户名密码传给我们设备之后，我们的设备首先会生成一个16字节的Chap-challenge，同时生存一个1-256的随机数。然后我们的设备会对Chap-challenge、随机数、password做一个MD5，并且将Chap-challenge、随机数，用户名以及MD5的结果一起传给RADIUS服务器。RADIUS服务器通过用户名去数据库查询出密码。最后RADIUS服务器会用Chap-challenge、随机数以及password算一个MD5，与从我们设备传过来的进行比较，如果一致则验证通过，否则验证失败。,身份验证方式（3）,SANGFOR+年度新员工入职培训常见应用,身份验证方式（4）,SANGFOR+年度新员工入职培训常见应用,认证相关,LDAP认证RADIUS认证第三方CA认证动态令牌认证,SANGFOR+年度新员工入职培训常见应用,网络安全面临的挑战,(4)伪造伪造信息在网络上传送。,(3)篡改故意篡改网络上传送的报文。,(1)截获从网络上窃听他人的通信内容。,(2)中断有意中断他人在网络上的通信。,截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。,计算机网络上的通信面临以下的四种威胁：,SANGFOR+年度新员工入职培训常见应用,对网络的被动攻击和主动攻击,SANGFOR+年度新员工入职培训常见应用,网络中不安全因素造成的危害显而易见；公司企业敏感信息遭到窃取，交易系统账号密码被截获，交易数据遭更改，交易双方受到欺骗等等都严重影响企业业务，使得企业个人蒙受巨大的财产损失和无法估量的非财产损失。,网络威胁带来的影响,如何排除这种威胁,SANGFOR+年度新员工入职培训常见应用,CA认证详解,PKI体系,PKI（PublicKeyInfrastructure）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的各种活动。PKI技术采用证书管理公钥，通过第三方的可信任机构-CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起，在互联网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。,SANGFOR+年度新员工入职培训常见应用,CA认证详解,CA中心又称CA机构，即证书授权中心(CertificateAuthority)，或称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。,CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。,SANGFOR+年度新员工入职培训常见应用,CA认证详解,数字证书是一段包含：1，用户身份信息2，用户公钥信息3，身份验证机构数字签名的数据从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的真实性和不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的保密性和完整性。,SANGFOR+年度新员工入职培训常见应用,加密算法分为：对称加密算法非对称加密算法（公钥加密算法）,CA认证详解,加密算法,SANGFOR+年度新员工入职培训常见应用,对称加密算法,明文：你好吗？,密文：！#￥&*￥#？,+,加密,密文：！#￥&*￥#？,明文：你好吗？,+,解密,对称加密算法最主要的问题：由于加解密双方都要使用相同的密钥，因此在发送、接收数据之前，必须完成密钥的分发。密钥的分发成了该加密体系中的最薄弱因而风险最大的环节。,SANGFOR+年度新员工入职培训常见应用,非对称加密算法,加密和解密使用的是不同的密钥（公钥、私钥），两个密钥之间存在着相互依存关系：用其中任一个密钥加密的信息只能用另一个密钥进行解密（即用公钥加密，用私钥解密就可以得到明文；如果用私钥加密，用公钥解密也可以得到原来的明文）。这使得通信双方无需事先交换密钥就可进行保密通信。其中公钥和算法是对外公开的，人人都可以通过这个密钥加密文件然后发给收信者收信者收到加密文件后,它可以使用他的私钥解密（反之亦然），这个密钥是由他自己私人掌管的，不需要分发，这就解决了密钥分发的问题。,SANGFOR+年度新员工入职培训常见应用,数据加密（使用公钥加密）,应用领域：,私钥,公钥,明文：你好吗？,+,加密,密文：！#￥&*￥#？,密文：！#￥&*￥#？,+,解密,明文：你好吗？,公钥,SANGFOR+年度新员工入职培训常见应用,签名（使用私钥加密）,私钥,公钥,明文：你好吗？,加密,+,解密,明文：你好吗？,公钥,明文：你好吗？,密文（签名）：#￥&*￥#,密文（签名）：#￥&*￥#,相同,+,对称加密算法和非对称加密算法优缺点的比较,SANGFOR+年度新员工入职培训常见应用,数字证书背景,数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA机构，又称为证书授权(CertificateAuthority)中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件。最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUTX.509国际标准。,CA认证详解,SANGFOR+年度新员工入职培训常见应用,CA认证流程（双向认证）,用证书登录的过程,搭建整个体系的步骤,实际认证过程，服务器端和用户端都不需要和CA做任何交互,单向认证情况参考备注,SANGFOR+年度新员工入职培训常见应用,认证相关,LDAP认证RADIUS认证第三方CA认证动态令牌认证,SANGFOR+年度新员工入职培训常见应用,随着网络技术和应用的发展，更加安全的身份认证方法需求总是被提到公司IT执行者的议程上来，多因素认证使用多种身份认证方法来弥补每一种的不足，构成了一个多层安全体系来区分合法和不合法用户。,SANGFOR+年度新员工入职培训常见应用,所有权：也就是“你知道什么”的问题，如果某个人知道一个仅能被使用者和被使用者知道的秘密代码，被使用者认为使用者是合法的用户，这就是静态密码系统的前提。,个人物品：也就是“你有什么”的问题，如果某人能够给出仅合法使用者具有的个人属性，被使用者认为使用者是合法的用户，这就像实际生活中检查身份识别证件，问题是怎样通过网络检测个人的属性是存在的，如：令牌、智能卡和手机。,生物特征：也就是“你是谁”的问题，例如：指纹、眼角膜、声音、面部特征和笔迹等。,SANGFOR+年度新员工入职培训常见应用,动态令牌认证一般采用PIN和令牌的双因素认证双因素身份认证系统(Two-Factor-Authentication)是采用检测密码结合其他实物两种因数实现对用户的认证，即通常检测“你知道什么”和“你有什么”。,and,SANGFOR+年度新员工入职培训常见应用,动态密码,PIN,SANGFOR+年度新员工入职培训常见应用,动态口令技术，到目前为止，该技术的应用成果和大体情况如下：动态口令技术主要分两种：同步口令技术,异步口令技术同步口令技术中又分为：基于时间的同步口令,基于事件的同步口令详细介绍：时间同步：基于令牌和服务器的时间同步，通过运算来生成一致的动态口令。基于时间同步的令牌在每次进行认证时，服务器端将会检测令牌的时钟偏移量，相应不断的微调自己的时间记录，从而保证了令牌和服务器的同步，确保日常的使用事件同步：基于事件同步的令牌，其原理是通过某一特定的事件次序及相同的种子值作为输入，在DES算法中运算出一致的密码，其运算机理决定了其整个工作流程同时钟无关，不受时钟的影响，令牌中不存在时间脉冲晶振。,SANGFOR+年度新员工入职培训常见应用,基于时间同步技术,对于基于时间同步的服务器应较好地保护其系统时钟,不要随意更改,以免发生同步问题,从而影响全部基于此服务器进行认证的令牌。,SANGFOR+年度新员工入职培训常见应用,基于事件同步技术,YesKey令牌,动态密码：每按一次产生一个动态密码,SANGFOR+年度新员工入职培训常见应用,无论是哪种认证机制都存在需要跟服务器同步的问题，时间机制需要跟服务器同步时钟，而事件机制需要跟服务器同步事件序列基于时间同步同步时，连续输入23次动态密码完成跟服务器时钟的同步基于事件同步同步时，系统自动完成事件序列同步动作，对用户而言完全透明,同步机制的对比同步对比,SANGFOR+年度新员工入职培训常见应用,动态密码（每分钟变化一次每个密码只能使用一次）,动态密码（每按一次按钮变化一次每个密码只能使用一次）,SANGFOR+年度新员工入职培训常见应用,SSLVPN和动态令牌结合可以看作和密码策略较为丰富的Radius服务器结合,SANGFOR+年度新员工入职培训常见应用,令牌服务器结构关系,Radius服务,数据库,令牌控制服务,控制接口,关联数据库,“数据库”保存帐号和静态密码。“令牌控制服务”用于控制“数据库”使用的密码策略（仅用静态密码、仅用动态密码或者静态和动态结合）。“Radius服务”只提供Radius服务接入服务。,SANGFOR+年度新员工入职培训常见应用,账号与令牌的关系,绑定,Radius用户账号,令牌,用户账号和令牌本身相互独立的，只有将两者做绑定，才能够使用高强度的密码策略（静态密码+动态密码）,SANGFOR+年度新员工入职培训常见应用,目录,相关技术概念,认证相关,上网方式,客户端环境,客户端应用及服务,SANGFOR+年度新员工入职培训常见应用,上网方式,ISACMNET和CMWAP3G,SANGFOR+年度新员工入职培训常见应用,上网方式培训目标,SANGFOR+年度新员工入职培训常见应用,ISAServer,Server,1,2,3,4,ISA是微软公司的产品，全名叫InternetSecurityandAcceleration，ISA服务器MicrosoftInternetSecurityandAcceleration(ISA)Server2004是可扩展的企业防火墙以及构建在MicrosoftWindowsServer2003和Windows2000Server操作系统安全、管理和目录上的Web缓存服务器，以实现基于策略的网际访问控制、加速和管理,ISA概述,SANGFOR+年度新员工入职培训常见应用,ISA概述,传统Internet防火墙,IP数据包筛选线路级筛选应用程序筛选,企业內部网络,Firewall,SANGFOR+年度新员工入职培训常见应用,物理层,OSI7层模型,数据链路层,网络层,传输层,会话层,表示层,应用层,传统的网络层和会话层攻击,成熟的应用层攻击(蠕虫、病毒、缓冲区溢出攻击),成熟的应用层攻击(蠕虫、病毒、缓冲区溢出攻击),ISA概述,SANGFOR+年度新员工入职培训常见应用,转内容：是一般在IE上设置代理时就使用这种方式，向代理服务器发送get、post或者header请求，必须符合HTTP协议。代理服务器分析内容来转发给真正服务器。转链接：客户端向代理发送connect请求，客户端连接到代理，代理服务器在建立一个链接到真实服务器，后续客户端通过链接发送给代理的任何数据，代理服务器都转发给了正式服务器。BASIC（基础）认证：传统的用户名密码认证。,ISA概述,ISA代理方式,SANGFOR+年度新员工入职培训常见应用,ISA概述,WEB代理,ISA服务器在对内网实行此方法时，需要在IE中添加代理服务器设置。Internet-工具-internet选项-连接-局域网设置-勾选代理服务器，并填上ISA服务器的内网IP地址与端口，默认为8080。这种方法只能使用浏览器上网。,SANGFOR+年度新员工入职培训常见应用,防火墙代理,ISA概述,ISA服务器在对内网实行此方法时，需要安装一个防火墙代理客户端。安装完毕后，即可使用此方法让ISA代理上网，此方法适用于客户端的任何对外网的访问，此种方式的实现类似我们APP资源使用，同样是进行应用层抓包。,SNAT代理,ISA服务器在对内网实行此方法时，只需要PC机将网关指向ISA的内网IP即可。,SANGFOR+年度新员工入职培训常见应用,ISA概述,SANGFORSSLVPN对ISA环境的支持,SANGFOR+年度新员工入职培训常见应用,对纯ISA客户端的支持,ISA概述,APP是支持这种方式的，实现的关键在于让我们的APP控件先于ISA控件抓包。此实现方法要注意安装顺序：先安装ISA客户端，再安装APP服务控件；卸载ISA客户端，一定要卸载APP服务控件，因为手动卸载了ISA，我们是不知道的，会导致系统LSP破坏。,SANGFOR+年度新员工入职培训常见应用,对纯IE代理的支持,ISA概述,IE代理属于应用层代理，在APP服务之上，所以需要通过VPN访问的资源都必须绕过IE代理，这就需要配置代理脚本或者写入排除列表中。在使用IE代理使用SSLVPN时，我们自动的配置一个代理脚本。,目前只支持设置代理服务器的HTTP/HTTPS代理，对socket代理不支持，而且不支持IE代理脚本方式。我们无法对代理脚本进行分析。IE代理服务器必须支持转链接的方式，如果只是转内容，那么我们的服务将无法使用，因为我们需要IE代理服务器将客户端的链接转到ssl设备上。,SANGFOR+年度新员工入职培训常见应用,既使用IE代理又使用ISA客户端,ISA概述,此时我们配置的IE代理脚本将会失效，失效原因是因为一个系统函数无法返回正确的值，还无法解决这个问题。需要用户手动将代理脚本去掉，在IE排除列表中加入要访问的资源。,SANGFOR+年度新员工入职培训常见应用,上网方式,ISACNWAP和CNNET3G,SANGFOR+年度新员工入职培训常见应用,上网方式CMWAP和CMNET,GPRS：通用无线分组业务，具体来讲，GPRS是一项高速数据处理的科技。,CMWAP和CMNET又是什么呢？,在国际上，通常只有一种GPRS接入方式,SANGFOR+年度新员工入职培训常见应用,上网方式CMWAP和CMNET,CMWAP和CMNET是中国移动人为划分的两个GPRS接入方式,CMWAP和CMNET有什么区别,CMWAP为手机WAP上网而设立的,CMNET主要是为PC、笔记本电脑、PDA等利用GPRS上网服务,定位不同,通过CMWAP只能访问WAP网站，而CMNET则适用于所有协议，它是标准的TCP/IP协议。,SANGFOR+年度新员工入职培训常见应用,上网方式CMWAP和CMNET,CMWAP是手机上网使用的接入点的名称。通过CMWAP只能访问WAP网站。这种访问方式具有一定的限制。,WAP应用采用的实现方式是“终端WAP网关WAP服务器”的模式,访问百度网站,网站回应,wap网关把转换成返回给客户端,SANGFOR+年度新员工入职培训常见应用,上网方式CMWAP和CMNET,CMNET是ChinaMobileNet的缩写，它是中国移动GPRS网络的接入点的名称，通过CMNET可以获得完全的Internet访问权。,NET应用采用的实现方式是“终端服务器”的工作模式,访问百度网站,网站回应,SANGFOR+年度新员工入职培训常见应用,上网方式CMWAP和CMNET,SANGFORSSL对CMWAP和CMNET的支持,cmwap方式仅能使用web资源；cmnet方式可以支持web资源和app资源。,SANGFOR+年度新员工入职培训常见应用,上网方式,ISACNWAP和CNNET3G,SANGFOR+年度新员工入职培训常见应用,上网方式3G,手机发展史,1G-第一代手机（1G）是指模拟的移动电话,1.收讯效果不稳定，且保密性不足，无线带宽利用不充分,大哥大,2.通话是锁定在一定频率，所以使用可调频电台就可以窃听通话,2G-第二代手机（2G）是最常见的手机，使用PHS，GSM或者CDMA这些十分成熟的标准，具有稳定的通话质量和合适的待机时间,支持彩信业务的GPRS和上网业务的WAP服务,SANGFOR+年度新员工入职培训常见应用,上网方式3G,3G是第三代移动通信技术（3rd-generation，3G），是指支持高速数据传输的蜂窝移动通讯技术。,将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统,3G与2G的主要区别,传输声音和数据的速度上的提升,SANGFOR+年度新员工入职培训常见应用,上网方式3G,SANGFORSSL对3G的支持,PDA+3G,暂不支持,PC+3G,暂不支持windowsvista+3G可以支持windowsXP+3G,SANGFOR+年度新员工入职培训常见应用,目录,相关技术概念,认证相关,上网方式,客户端环境,客户端应用及服务,SANGFOR+年度新员工入职培训常见应用,客户端环境,操作系统浏览器,SANGFOR+年度新员工入职培训常见应用,客户端环境培训目标,SANGFOR+年度新员工入职培训常见应用,客户端环境操作系统,操作系统（OperatingSystem，简称OS）是一管理电脑硬件与软件资源的程序，同时也是计算机系统的内核与基石。,常见系统：,windows,Macos,linux,SANGFOR+年度新员工入职培训常见应用,客户端环境操作系统,windows是微软公司推出的视窗电脑操作系统。,Windows1.0,Windows95,WindowsNT,Windows98,WindowsME,WindowsXP,WindowsVISTA,Windows7,服务器,Windows2000,Windows2003,Windows2008,客户机,SANGFOR+年度新员工入职培训常见应用,客户端环境操作系统,SANGFORSSL对windows系统的支持,WindowsXP,各个版本都支持,WindowsVISTA,M2.66版本对vista支持不好，M2.7开始支持，但“VPN专线”功能M4.2版本才支持,Windows7,M4.21开始支持,SANGFOR+年度新员工入职培训常见应用,客户端环境操作系统,SANGFORSSL/AC数据中心对windowsserver系统的支持,Windowsserver2000,各个版本都支持,Windowsserver2003,Windowsserver2008,仍未测试，不承诺支持,SANGFOR+年度新员工入职培训常见应用,客户端环境操作系统,MacOS：是一套运行于苹果Macintosh系列电脑上的操作系统,苹果机专用系统，正常情况下在普通pc上无法安装的操作系统,现在疯狂肆虐的电脑病毒几乎都是针对Windows的，由于MAC的架构与Windows不同，所以很少受到病毒的袭击，也正式因为与windows的架构不同，所以在windows上使用的软件都无法在MAC上使用，除非重新开发。,SANGFOR+年度新员工入职培训常见应用,客户端环境操作系统,Linux：是一套免费使用和自由传播的类Unix操作系统，这个系统是由世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。,SANGFOR+年度新员工入职培训常见应用,客户端环境操作系统,SANGFOR对非windows系统的支持,非windows系统只能访问SANGFORSSL的web服务,非windows系统不支持任何需要在客户端安装插件或程序来实现的sangfor设备的功能,SANGFOR+年度新员工入职培训常见应用,客户端环境,操作系统浏览器,SANGFOR+年度新员工入职培训常见应用,客户端环境浏览器,操作系统（OperatingSystem，简称OS）是一管理电脑硬件与软件资源的程序，同时也是计算机系统的内核与基石。,常见系统：,windows,Macos,linux,SANGFOR+年度新员工入职培训常见应用,客户端环境浏览器,浏览器,IE内核,非IE内核,SANGFOR+年度新员工入职培训常见应用,客户端环境浏览器,IE内核：具有MicrosoftInternetExplorer浏览器的核心的一种技术。,优势：覆盖面广，兼容性好，很多应用都必须使用只支持IE核心的控件才能完成,不满足于IE的功能及外观,基于IE引擎的浏览器的出现,又屈于IE的兼容性,常见的几种基于IE引擎的浏览器,SANGFOR+年度新员工入职培训常见应用,客户端环境浏览器,非IE内核：由于IE内核浏览器占用资源高、安全性低等缺点，促使非IE浏览器崛起。,常见的几种非IE内核的浏览器,SANGFOR+年度新员工入职培训常见应用,客户端环境浏览器,SANGFORSSL对浏览器的支持,IE内核浏览器,支持，其中IE8是M4.21版本才正式支持,非IE内核浏览器,只支持SSL的web资源，因为APP和IP资源都需要安装只支持IE内核的控件来实现。,SANGFOR+年度新员工入职培训常见应用,目录,相关技术概念,认证相关,上网方式,客户端环境,客户端应用及服务,SANGFOR+年度新员工入职培训常见应用,客户端应用及服务,SQL数据库OA系统ERP系统Exchange,SANGFOR+年度新员工入职培训常见应用,客户端应用及服务培训目标,SANGFOR+年度新员工入职培训常见应用,客户端应用及服务SQL数据库,SQL语言的主要功能就是同各种数据库建立联系，进行沟通。,SQL是什么？,SQL：SQL(StructuredQueryLanguage)，结构化查询语言。,SQL是关系型数据库管理系统的标准语言。,SQL语句可以用来执行各种各样的操作，例如更新数据库中的数据，从数据库中提取数据,SQL能做什么？,关系型数据库是怎么样的数据库？,关系型数据库以行和列的形式存储数据，这一系列的行和列被称为表，一组表组成了数据库。,SANGFOR+年度新员工入职培训常见应用,客户端应用及服务SQL数据库,关系型数据库通常包含下列组件：,客户端应用程序(Client),数据库服务器(Server),数据库(Database),1.Client用SQL来向Server端发送请求,SQL,2.Server返回Client端要求的结果,常见的关系型数据库？,SQLserver,mysql,SANGFOR+年度新员工入职培训常见应用,SQLServer是由Microsoft开发和推广的关系数据库管理系统（DBMS）,它最初是由Microsoft、Sybase和Ashton-Tate三家公司共同开发的，并于1988年推出了第一个OS/2版本。SQLServer近年来不断更新版本，1996年，Microsoft推出了SQLServer6.5版本；1998年，SQLServer7.0版本和用户见面；SQLServer2000是Microsoft公司于2000年推出。,SQL概述,SQLServer关系数据库简介,SANGFOR+年度新员工入职培训常见应用,1真正的客户机/服务器体系结构。2图形化用户界面，使系统管理和数据库管理更加直观、简单。3丰富的编程接口工具，为用户进行程序设计提供了更大的选择余地。4SQLServer与WindowsNT完全集成，利用了NT的许多功能，如发送和接受消息，管理登录安全性等。SQLServer也可以很好地与MicrosoftBackOffice产品集成。5具有很好的伸缩性，可跨越从运行Windows95/98的膝上型电脑到运行Windows2000的大型多处理器等多种平台使用。6对Web技术的支持，使用户能够很容易地将数据库中的数据发布到Web页面上。7SQLServer提供数据仓库功能，这个功能只在Oracle和其他更昂贵的DBMS中才有。,SQL概述,SQLServer的特点,SANGFOR+年度新员工入职培训常见应用,SQL概述,企业管理器可以完成的操作,管理SQLServer服务器；建立与管理数据库；建立与管理表、视图、存储过程、触发程序、角色、规则、默认值等数据库对象，以及用户定义的数据类型；备份数据库和事务日志、恢复数据库；复制数据库；设置任务调度；设置警报；提供跨服务器的拖放控制操作；管理用户帐户；建立Transact-SQL命令语句以及管理和控制SQLMail。,SANGFOR+年度新员工入职培训常见应用,SQL概述,企业管理器,企业管理器是基于一种新的被称为微软管理控制台（MicrosoftManagementConsole）的公共服务器管理环境，它是SQLServer中最重要