计算机网络相关技术及应用课件.ppt

9.1 计算机网络系统集成技术,随着知识经济时代的到来，国内信息化进程逐步加快，政府机关、高校及企事业单位的计算机网络信息系统的建设已提上议事日程。由于Internet技术的日益成熟，使得现代计算机网络信息系统（NIS）的概念与传统的基于局域网的信息系统概念相比有了很大改变，传统局域网信息系统仅需进行简单规划设计既可实施，而当今的网络信息系统，特别是企业级的计算机网络信息系统集成则必须进行详细、周密的规划和设计，才能使网络信息系统达到预期目的。,9.1.1 网络系统集成的原则,开放性和标准化原则。实用性和先进性原则。可靠性和安全性原则。灵活性和可扩展性原则。,9.1.2 网络集成系统规划设计,系统总体架构 拓扑结构 主干网结构 运行模式,网络硬件平台,网络互连设备 结构化布线系统 网络服务器,服务器的性能,服务器的性能主要从可靠性和并发处理能力两方面来衡量。可靠性 可靠性主要体现在服务器是否采用冗余技术、在线修复技术等。并发处理 并发处理技术能够大幅度地提高系统的处理能力和系统响应时间，主要表现在：多处理器。多重 PCI总线。RAID5技术。流量隔离。,软件支撑平台,网络操作系统 网络操作系统是网络系统集成的核心和基础，就单一网络操作系统可供选择的有Unix、Linux、Windows NT、Net Ware、OS/2等。应用软件平台 数据库。常用数据库系统有Oracle、Sybase、SQL Server、Informix等。信息服务相关软件。常规信息服务工具如Web Server、Email Sever、FTP、Gopher、Telnet、NFS等.这里主要指用户自己适用的信息服务软件，包括信息发布系统、办公自动化系统（OA）、各类管理信息系统（MIS）以及辅助决策相应软件。,安全措施设计及网络管理,具体表现在以下方面：硬件可靠性。容错方案。数据备份方案。防病毒措施。环境安全性。访问权限设置。网络互联安全。网络管理。,9.2 计算机网络管理技术,与传统的小型局域网相比，现代企业网(Intranet)呈现出更大的复杂性和开放性。随着网络规模的日益扩大和网络结构的日益复杂，网络失效、性能欠缺、配置不当、安全性差等问题随之出现，因此迫切需要有效而完整的网络管理机制来监测、控制和管理网络的资源和服务。从某种意义上说，网络系统整体运作的有效性很大程度上取决于网络管理的有效性，而网络管理策略和网络管理技术是影响网络管理有效性的两个重要方面。,网络管理系统的基本模型,9.2.2 网络管理的功能域,OSI网络管理标准对开放系统的网络管理定义了五个基本的功能域：故障（Fault）管理、配置（Configuration）管理、记帐（Accounting）管理、性能（Performance）管理、安全（Security）管理。它们只是网络管理最基本的功能。这些功能都需要通过与其它开放系统交换管理信息来实现。,1配置管理,网络的配置管理功能主要包括：网络资源及其活动状态、网络资源之间的关系、新资源的引入与旧资源的删除。从管理控制的角度看，网络资源可以分为三个状态：可用的、不可用的与正在测试的。从网络运行的角度看，网络资源又可以分为两个状态：活动的与不活动的。,2故障管理,故障管理是用来维持网络的正常运行的。网络故障管理包括及时发现网络中发生的故障，找出网络产生故障的原因，必要时启动控制功能来排除故障。故障管理的控制活动包括故障设备的诊断测试活动、故障修复或恢复活动、启动备用设备等。故障管理是网络管理功能中与设备故障的检测、设备故障的诊断、故障设备的恢复和排除有关的网络管理功能，其目的是保证网络能够提供连续、可靠的服务。,3、性能管理,网络性能管理是连续地评测网络运行中的主要性能指标，以检验网络服务是否达到了预定的水平，找出已经发生或潜在的瓶颈，报告网络性能的变化趋势，为网络管理决策提供依据。典型的网络性能管理可以分为两部分：性能监测与网络控制。性能监测指网络工作状态信息的收集和整理；而网络控制则是为改善网络设备的性能而采取的动作和措施。,4安全管理,安全管理功能是用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制，阻止非法入侵等不安全事件的发生。安全管理功能能够快速检测出未授权的资源使用，并查处侵入点，对非法侵入活动进行审查与追踪，能够使网络管理人员恢复部分受破坏的文件。,5计帐管理,对于公用分组交换网与各种网络信息服务系统来说，用户必须为使用网络的服务而交费。网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。用户使用网络资源的费用有许多不同的计算方法，例如主叫付费、被叫付费与主被叫分担费用等。在大多数企业内部网中，内部用户使用网络资源并不需要交费，但是记帐功能可以用来记录用户对网络的使用时间、统计网络的利用率与资源使用情况等内容。因此，记帐管理功能在企业内部网中也是非常有用的。,9.2.3 网络管理系统的体系结构,9.2.4 网络管理协议（SNMP）,目前使用的网络管理协议主要有基于TCPIP的简单网络管理协议SNMP、基于OSI的公共管理信息协议CMIP及桌面管理接口DMI。SNMP是Internet组织为适应Internet的发展而制定的网络管理协议，它提供的管理操作简单而实用，采用“取存”的运作机制进行操作：即管理者可以通过“取”操作从被管理对象获取所需的管理信息，也可以通过“存”操作对被管理对象的值进行修改和设置，从而达到对被管理对象进行监视和控制的目的。目前的SNMP在完成一般网络管理工作的基础上朝着进一步提高安全性和进行层次化管理的方向发展，新版本的SNMP（SNMP V3）已经能够满足一般网络管理在内容和安全性上的要求。,9.2.5 基于Web的网络管理模式,随着Web及其开发工具的迅速发展，基于Web的网络管理技术也因此应运而生。基于Web的网络管理解决方案主要有以下几方面的优点：地理上和系统间的可移动性 统一的Web浏览器界面方便了用户的使用和学习 管理应用程序间的平滑链接 利用 Java技术能够迅速对管理软件进行升级,9.2.6 常见的网络管理平台,网络管理平台是实现网络管理功能的一种软件产品，它运行于一定的计算机平台上，组成一个网络管理系统（NMS）。目前，典型的网络管理软件主要有：HP公司的OpenView、IBM公司的NetView、SUN公司的SunNet Manager、Cabletron公司的Spectrum与DEC公司的PloyCenter等。它们在支持本公司网络管理方案的同时，都可以通过SNMP对网络设备进行管理。,9.3 计算机网络安全技术,网络安全是指借助于网络管理，使网络环境中信息的机密性、完整性及可使用性受到保护，其主要目标是确保经网络传输的信息到达目的计算机时没有任何改变或丢失。因此必须确保只有被授权者才可以访问网络。,信息系统的安全性,任何信息系统的安全性都可以从以下四个方面进行衡量：第一，用户身份认证，指在用户访问网络前，验证其身份是否合法；第二，授权，指允许用户以什么方式访问网络资源，即用户访问网络的权限；第三，责任，根据经数据检查跟踪得到的事件记录，作为证据判别访问者责任；第四，保证，指系统达到什么级别的可靠程度。,9.3.2 网络安全的基本问题,1.网络防攻击问题2.网络安全漏洞与对策问题3.网络中的信息安全保密问题4.网络内部安全防范问题5.网络防病毒问题6.网络数据备份与恢复、灾难恢复问题,1.网络防攻击问题,在Internet中，对网络的攻击可以分为服务攻击与非服务攻击。服务攻击是指对网络中提供某种服务的服务器发起攻击，造成该网络服务器的“拒绝服务”，网络工作不正常。例如，攻击者可能会设法使一个网络的WWW服务器瘫痪，或修改它的主页，使得该网站的WWW服务失效或不能正常工作。非服务攻击是指攻击者可能使用各种方法对网络通信设备（如路由器、交换机）发起攻击，使得网络通信设备工作严重阻塞或瘫痪。研究网络可能遭到哪些人的攻击，攻击类型和手段可能有哪些，如何及时检测并报告网络被攻击，以及建立相应的网络安全策略与防护体系，是网络防攻击技术要解决的主要问题。,2.网络安全漏洞与对策问题,网络信息系统的运行涉及到计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件以及网络通信协议等。这些硬件与软件资源都会存在一定的安全问题，它们不可能百分之百没有缺陷和漏洞。用户开发的各种应用软件可能会出现更多能被攻击者利用的漏洞。这些缺陷和漏洞在产品的研制与测试阶段大部分会被发现和解决，但总是会遗留下一些问题.网络攻击者通过研究这些安全漏洞，然后把这些安全漏洞作为攻击网络的首选目标。这就要求网络安全人员主动去了解各种网络资源可能存在的安全问题，利用各种软件与测试工具主动检测网络可能存在的各种安全隐患，并及时提出解决对策与措施。,3.网络中的信息安全保密问题,网络中的信息安全保密主要包括信息存储安全与信息传输安全两个方面。,信息存储安全,信息存储安全是指如何保证静态存储在联网计算机中的信息不会被未授权的网络用户非法使用的问题。网络中的非法用户可以通过猜测用户口令或窃取口令的办法，或者设法绕过网络安全认证系统，冒充合法用户，非法查看、下载、修改、删除未授权访问的信息，使用未授权的网络服务。信息存储安全通常采用用户访问权限设置、用户口令加密、用户身份认证、数据加密与结点地址过滤等方法。,信息传输安全,信息传输安全是指如何保证信息在网络传输过程中不被泄露与不被攻击。信息在从信息源传输到信息目的结点的过程中，可能会遇到四种可能的攻击类型：1.信息被截获，信息从信息源结点传输出来，中途被攻击者非法截获，信息的目的结点没有收到应该收到的信息，因而造成信息的丢失；2.信息被窃听，信息从源结点传输到了信息目的结点，但中途被攻击者非法窃听；3.信息被篡改，信息从信息源结点传输到信息目的结点中途被攻击者非法截获，攻击者在截获的信息中进行修改或插入欺骗性信息，然后将篡改后的错误信息发送给信息目的结点；4.信息被伪造，信息源结点并没有信息要传送到信息目的结点，攻击者冒充信息源结点用户，将伪造的信息发送给信息目的结点，信息目的结点收到的是伪造的信息。保证网络系统中的信息安全的主要技术是数据加密和解密。目前，人们通过加密和解密算法、身份认证、数字签名等方法，来实现信息存储与传输的安全性。,4.网络内部安全防范问题,一个问题是如何防止信息源结点用户对所发送的信息事后不承认，或者是信息目的结点接收到信息之后不认帐，即出现抵赖问题。另一个问题是如何防止内部具有合法身份的用户有意或无意地做出对网络和信息安全有害的行为。解决来自网络内部的不安全因素必须从技术与管理两个方面入手。一是通过网络管理软件随时监控网络运行状态与用户工作状态；对重要资源使用状态进行记录与审记。同时，制定和不断完善网络使用和管理制度，加强用户培训和管理。,5.网络防病毒问题,网络病毒的危害是人们不可忽视的现实。网络防病毒是保护网络与信安全的重要问题之一。它需要从工作站与服务器两个方面的防病毒技术与用户管理技术来着手解决。,6.网络数据备份与恢复、灾难恢复问题,在实际的网络运行环境中，如果出现网络故障造成数据丢失，数据能不能恢复？这是在网络信息系统安全设计中必须注意的问题。一个实用的网络信息系统的设计中必须有网络数据备份、恢复手段和灾难恢复策略与实现方法的内容，这也是网络安全研究的一个重要内容。,9.3.2 主要的网络安全服务,网络安全服务应该提供以下基本的服务功能 保密性认证数据完整性防抵赖访问控制,9.3.4 网络防火墙技术,网络防火墙是一种访问控制技术，在某个机构的网络（即内部网络）和外部网络之间设置屏障，用于阻止对内部网络信息资源的非法访问。换句话说，防火墙是一道门槛，控制进出内部网络两个方向的通信。,防火墙模型,1 防火墙技术的分类,（1）包过滤（Packet Filtering）（2）应用网关（3）代理服务（4）数据包检查（5）自适应代理技木,2 防火墙的结构,双重宿主主机 一个双重宿主主机通常是一台安装了两块网络接口卡的主机系统，作为网关分别连接外部网络和被保护网络。被屏蔽主机 这种防火墙强迫所有的外部主机与一个位于内部网络的堡垒主机相连接。,被屏蔽子网,被屏蔽子网在本质上和被屏蔽主机是一样的，但是增加了一层保护体系，即周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开,4 防火墙存在的优点和不足,防火墙所具有的优点主要包括以下几个方面：集中化的安全管理能够对透过防火墙的网络服务进行必要的限制；可控制对特殊站点的访问；方便地监视网络的安全性并产生报警如果防火墙系统采用网络地计翻译器（NAT）技术，还可极大地缓和网络地址空间的不足。使用防火墙虽可以带来许多优点和便利，但就目前的防火墙技术水平而言还存在一些缺陷和不足。主要表现在以下几个方而：防火墙极有可能封锁掉用户所需的某些服务；防火墙无法防范绕过它的外来攻击，比如允许内部用户直接拨号上网就会使得精心设计的防火墙系统失效；防火墙不能防范来自内部的安全威胁；防火墙不能防止传送已感染病毒的软件或文件等。,9.4 代理服务器技术,代理服务器本质上是一个为特定网络应用而连接两个网络的网关，若内部网用户需访问外部网时，首先内部网用户和代理服务器之间建立连接，然后代理服务器再与外部网的服务器建立通信连接，它不允许内部网用户与外部网之间直接通信，而外部网对内部网的访问也必须通过代理服务器才能实现。,代理服务器能实现以下几个方面的功能,共享上网，节省IP地址 减少出口流量，提高网络速度 用户管理 防火墙的功能,2 代理服务器的工作原理,一般局域网中，服务器软件主要集中在代理服务器上，代理服务器有时也称为“代理网关”。代理服务器一般有两种结构，即：两块网卡DDN；Medem电话线或ISDN，或其它方法连接到Internet上。,代理服务器的两种结构,两块网卡+DDN结构模式 Modem+电话线或ISDN结构模式,9.4.2 代理服务器软件,目前市场上的代理服务器软件主要有SOCKS系列WingateMS Proxy ServerSagateWinroute等。,Wingate,Wingate作为代理服务器产品中的典型，历经了1.l版、1.3版、2.0版和2.l版、3.0版。以Wingate 2.1专业版为例，它提供了对十几种协议的代理。Wingate对服务器性能的要求不高，可以运行于Windows 9598和 Windows NT平台上，能够对Windows 3.l3.29598NT客户提供代理，也可以实现对NOVELL用户的代理服务。Wingate主要包含两个功能：一是Wingate Engine，主要运行在后台，为工作站提供代理服务；二是GateKeeper，它给代理服务器提供了多种服务的设置和管理，能够正确地记录上网的记录和流量，它通过为工作站提供Java登录窗口保护每个用户上网安全。,MS Proxy2.0,MS Proxy2.0 是微软公司新近推出的代理服务器产品，运行在 Windows NT平台之上，可以实现与 Windows NT及Internet Information Server（IIS：Internet信息服务器）的无缝连接。MS Proxy对硬件的要求要比Wingate高，但是其代理连接的无缝性要更好，由于与Windows NT良好的结合使得其配置、管理、运行十分简便，客户端只须运行相应的Clients软件，此后用户通过代理上网时与直接上网基本相同，不须做任何特别的设置，在客户端根本无法感到代理服务器的存在。MS Proxy 2.0除了提供常用的代理外，还对当前互联网最新的一些应用提供代理，如互联网电话（Internet Phone）、网络传呼机（ICQ）等新颖的应用。,9.5 Intranet技术,9.5.1 Intranet的基本概念 Intranet是利用Internet技术建立的企业内部信息网络。Intranet是在Internet网络基础上逐渐发展起来的一种网络技术，它是指企业内部的Internet。Intranet不仅是一种组网技术，而且还可以提供与Internet相同的WWW、E_mail、FTP等服务。这方面Intranet与Internet是有共同之处的。但是，Intranet与Internet也存在着不同之处，主要表现在Intranet更注意网络资源的安全性问题上。因为Internet的服务对象是面向全球的Internet用户，而Intranet的服务对象则更着重于某一企业内部的员工。为达到信息安全的目的，在建立Intranet时要采取加密技术、安全认证、防火墙技术等措施。,Intranet的逻辑结构,9.5.3 Intranet的主要技术,Intranet有许多新技术，是以往的企业内部网开发中没遇到的。主要有以下四点：ODBC技术（Open DataBase Connectivity，开放数据库互连）2.ASP技术（Active Server Pages，动态服务器页面）3利用ADO和ASP访问Web数据库技术 Dynamic HTML（动态HTML）技术,9.5.4 Intranet的技术特点,具有很好的可维护性。通用性强、扩展性好。安全性好。查询数据的简单性、高效性。5容易开发。,9.5.5 实际的Intranet的基本结构,9.6 移动IP技术,新技术和新需求的发展迫切要求Internet对移动性的支持。移动终端用户也希望可以和其它桌上型电脑用户一样能够自由地接人Internet，共享同样的资源和服务。所有这些都需要Internet能够支持移动终端漫游，当它们从一个地方移动到另一个地方，可以很方便地断开原来的连接，建立新的连接。为了满足新业务的发展需要，IETF设计了Internet新标准草案移动IP，它具有极大的实用性，可以提供对移动终端的无缝连接，使移动节点在IP网络上的移动接人成为可能。,1.移动IP技术的功能实体,移动IP定义了三个功能实体；归属代理、拜访代理和移动节点。移动节点。当接人点从一条链路切换到另一条链路上时所有正在进行通信的移动主机仍能保持通信。归属代理。指移动节点本地网络上的路由器。拜访代理。指移动节点当前连接到的拜访网络上的路由器。,2.移动IP技术的工作机制,3.移动IP校求中的几项关键技术,隧道技术 隧道技术把原先发往归属地址的数据包，封装在发向转交地址的数据包中，并在拜访代理中解包，然后传向移动节点。,代理搜索,代理搜索通过两种消息来实现：代理请求消息和代理广播消息。代理搜索基于ICMP协议。代理请求消息是在移动节点没有耐心等待代理广播消息时发送的，它的目的是为了让链路上的所有代理发送一个代理广播消息，该消息比较简单。代理广播消息用来实现代理搜索的所有功能。,注册,当移动节点发现它的网络接入点从一条链路切换到另一条链路上时，它就要进行注册。注册过程如下：移动节点可以通过注册得到外部链路上的拜访代理的路由服务。移动节点可以通知归属代理它的转交地址。可以使一个要过期的注册重新生效。在先前不知道归属代理的情况下，移动节点可以通过注册动态地得到一个可能的归属代理的地址。,9.7 网站建设,一般来说，企业网站建设有四种方案可供选择：企业投资建设所有软硬件实体，主机托管，虚拟主机，企业自助建站。,9.7.1 企业投资建设所有软硬件实体,1网站硬件2申请专线3软件4防火墙5申请域名和域名主机6网络系统集成7网站制作及网络应用系统开发8网络维护,9.7.2主机托管,企业只购置一台或几台服务器，不购置其他网络设备，不租用专线，将服务器托管在ISP（Internet服务提供者）处，由ISP提供其他网络设备和网络环境，并提供服务器的维护，这样就节省了其他各类网络设备的购置费用、专线的租用费用及网络维护人员的工资费用。企业可以将自己网站的内容存储在托管的服务器上，并通过远程控制来更新网站的内容。,9.7.3虚拟主机,虚拟主机的意思是企业不具备实体网络软硬件，而是租用ISP的服务器空间，企业的网站存放在ISP提供的服务器空间中，网站的管理可通过ISP提供的用户名与密码访问虚拟主机。虚拟主机方式下企业同样可以申请自己独立的域名，对于外人来说，一点也看不出是虚拟主机还是实体主机。,9.7.4企业自助建站,企业自助建站，就是由其他大网站开发出一套自动生成企业网站的服务。自助建站的网站格式一般比较固定，多数有几种模板可供选择，可以选择其中的一种进行选择和定制，在输入相关资料后，就可由系统自动生成公司的网站。自动建站系统虽然简单，但一般不具有独立的域名，用户很难通过直接输入网址来访问网站，但可以起到宣传企业，促进销售等作用。所以建议可以作为一种推广企业和产品的方法使用，但作为企业的门户网站不值得推荐。,9.8 计算机网络应用举例,目前计算机网络主要应用在办公自动化、网络信息服务和工业控制等方面。其中，在办公自动化、网络信息服务方面应用最多。如Internet/Intranet是应用范围最为广泛的网络信息服务。本节我们主要以电子商务、网上教育为例，举例说明计算机网络的应用。,9.8.1 电子商务,电子商务（EC，Electronic Commerce）就是利用Web提供的通信手段在网上进行的交易。但这里的电子商务定义，只是一个狭义的定义，又称为电子交易（E-Commerce）。广义的电于商务是指包括电于交易在内的利用计算机网络技术进行的全部商业活动，如市场分析、客户联系、物资调配、内部管理、公司间合作等，亦称作电子商务（E-Business）。,电于商务应用范围,电子购物电子商场、商品展示、网上订购；网络拍卖；电子钱包电子现金（Electronic Cash）、电子支票（Electronic Check）；网络银行网络转帐、帐单查询、服务申请、开户、金融产品介绍；网络广告。企业与企业之间则有商品资料库、电子资料交换、生产供求、商务洽谈、帐目清算、技术合作、资金拆借等应用。,电子商务安全技术,为了保证电子商务安全性的顺利实现，在电子商务中使用了各种安全技术 加密技术 密钥管理技术 数字签名 防火墙技术 CA（Certification Authority，认证中心）技术,9.8.2 远程教育,远程教育主要有两种形式：一种是Internet网络教学形式；另一种是基于宽带网的远程实时可视化教学形式。远程实时可视化教学系统通过卫星和地面线路实现图像、声音实时双向传送，可以非常完善地实现授课、答疑（老师和学生“面对面”）、考试等教学活动；而Internet网络教学则可以很方便地给学生提供许多参考资料、布置作业、批改作业、非实时地回答学生疑难问题等。两种形式各有优缺点，它们可以相互依托、相互补充，共同实现远程教学,9.9 计算机网络的发展趋势下一代网络（NGN）,NGN（Next Generation Network)是下一代网络的简称，泛指出以IP为核心，可以支持语音、数据和多媒体业务的融合的全业务网络。2004年初国际电联NGN会议上，经过激烈辩论，给出了NGN的定义：NGN是基于分组的网络，能够提供电信业务；利用多种宽带能力和QoS保证的传送技术；其业务相关功能与其传送技术相独立；NGN使用户可以自由接入到不同的业务提供商；NGN支持通用移动性。,NGN的主要特点,（1）支持业务的多样话（2）NGN应是以IP为基础的分组交换网络。（3）网络具有服务质量保证和安全保证（4）网络融合是发展方向,9.9.3 NGN的分层结构,下一代网络采用全开放的完全分层的体系结构，共分为四层：接入层、传送层、控制层和业务层。其中，业务与控制分离，控制与承载分离，承载与接入分离。(1)接入层：在用户端支持多种业务的接入，接入设备应能向上连接高速传输线路，向下支持多种业务的接口。(2)传送层：面向用户端支持透明的TDM线路的接入，在网络核心提供大带宽的数据传输能力，构建灵活和可重用的长途传输网络，一般指全光网。(3)控制层：主要指网络为完成端到端的数据传输进行的路由转发功能，它是网络交换的核心，目的在传送层的基础上构建端到端的通信过程。(4)业务层：一个开放、综合的业务接入平台，在电信网络环境中，智能地接入各种业务，提供各种增值服务。,9.9.4 NGN的主要技术,软交换技术作为业务/控制与传送/接入分离思想的体现，是NGN体系结构中的核心技术。IPv6技术是计算机互联网、传统电话网和有线电视三网融合的关键技术，IP与光融合是下一代网络的主要发展方向。软交换、光交换是下一代网络的基石。,NGN的主要技术,（1）IPv6。（2）宽带接入 xDSL的典型技术 光纤接入技术（3）智能光网（4）软交换（5）网络安全技术,