网络信息安全管理员1.ppt

第一讲 网络安全概论,第一讲 计算机网络安全概论,一、计算机网络安全认识,二、计算机网络面临的威胁,三、计算机网络安全的目标,四、计算机网络安全相关内容,一、计算机网络安全的认识,计算机网络安全是指“人机网”复杂系统中：硬件、软件的稳定性；数据不被破坏、篡改、泄露；网络服务的可靠性等。计算机网络安全=硬件安全+软件安全+数据安全 网络安全涉及计算机科学、计算机网络技术、密码技术、信息论、数学以及法律、管理等学科的综合科学技术。,二、计算机网络面临的威胁,安全威胁=恶意攻击+使用失误+设计缺陷+代码错误恶意攻击：主动攻击，被动攻击使用失误：安全意识，技术水平，简短密码设计缺陷：匿名帐户，恶意后门等代码错误：缓冲区溢出等动态错误破坏计算机系统：计算机病毒；窃取信息、控制计算机系统：木马；堵塞消耗网络资源：蠕虫,三、计算机网络安全的目标,信息的保密性，完整性，服务可用性，系统可控性，身份的真实性，行为不可否认性，可审计性。,四、计算机网络安全的相关内容,网络安全法律、教育；网络安全标准、测评；网络安全体系结构、设计；网络安全检测，审计；网络安全设备；网络攻击手段与防护措施；网络犯罪、侦察与取证。,第二讲 密码技术,第二讲 加密技术,一、简史二、基本概念三、对称密码体制四、公钥密码体制五、数字签名与Hash函数六、密码新技术,一、简史,古典密码：第一次世界大战结束(1918)，手工、机械，简单算法；近代密码：19181949，香农“保密系统中的 数学理论发表”；现代密码：1949，密码成为一门学科理论，公钥密码技术的诞生。未来密码：量子密码实用化及量子、生物计算机诞生,二、基本概念（1）,1、基本术语：信源消息的发送处 信宿消息的目的地 明文没有加密的消息 密文加密后的消息 密钥加密时用的（关键的）参数 信道传递信息的通道,二、基本概念（2）,2、经典通信模型：,二、基本概念（3）,3、信息攻击：主动攻击恶意删除、篡改、重播、堵塞、干扰等 被动攻击从信道上偷窃信息。无意攻击错误操作、机器故障等。,二、基本概念（4）,4、密码体制：可能的明文集合P称为明文空间 可能的密文集合C称为密文空间 可能的密钥集合K称为密钥空间 一组加密变换：Dk：PC，kK 一组解密变换：Ek：CP，kK满足：对任意的密钥k，Ek(Dk(m)=m。则五元组（P，C，K，Ek，Dk）称为 一个密码体制。,二、基本概念（5）,5、密码体制分类：按密钥个数：对称(私钥,单钥)体制，公钥(非对称,双钥)体制；对称密码体制：加密密钥与解密密钥相同或可以在有效时间内相互推导。公钥密码体制：加密密钥与解密密钥不同或不可以在有效时间内相互推导。按分组长度：分组密码体制，序列密码体制。分组密码体制：明、密文分组长度及密钥长度有限且固定 序列密码体制：明、密文不分组，密钥长度无限按安全原理：数学密码，其他密码 数学密码：基于数学上NP问题 其他密码：基于物理定理测不准原理，等按安全程度：计算安全，绝对安全,二、基本概念（6）,6、密码学科分类,密码学,二、基本概念（7）,7、密码应用技术分类,密码技术,二、基本概念（8）,8、密码分析：穷举法、统计法、系统分析法 唯密文攻击、已知明文攻击、选择明文攻击 算法分析、旁路攻击技术9、计算安全性：称一个密码体制是安全的是指计算上安全的，即：密码分析者为了破译密码，穷尽其时间、存储资源仍不可得，或破译所耗资材已超出因破译而得到的利益。,三、对称密码体制（1）,1、美国数据加密标准DES概述：1977年2月15日，DES被宣布采用作为美国非国家机关使用的数据加密标准；NSA大约每五年对DES审查一次，1992年是最后一次审查，1998年后不再审查了；DES差分分析、短密钥与Internet分布式攻击 DES是一种分组密码，分组长度为64比特，实际密钥长度为56比特。,三、对称密码体制（2）,2、DES算法：DES由一个初始置换，16轮变换，初始置换的逆置换构成。初始置换记为IP，16轮变换记为T1，.，T16。加密算法：DES=IP-1 T16.T1 IP 解密算法：DES-1=IP-1 T1.T16 IP Ti(Li-1，Ri-1)=(Ri-1，Li-1 f(Ri-1,ki)，i=1,2,.,16(L，R)=(R，L),三、对称密码体制（3）,3、DES算法框图,三、对称密码体制（4）,4、f 函数：f(Ri-1,ki)=P(E(Ri-1)ki,三、对称密码体制（5）,5、S盒：Si(h1h2h3h4h5h6)=Tablei(h1h6,h2h3h4h5),三、对称密码体制（6）,6、美国高级数据加密标准AES：2001年2月29日，Rijndael算法被正式确定为美国非国家机关数据加密标准AES。明、密文分组为128比特，按密钥长度可分为：AES-128，AES-192，AES-256 解密算法与加密算法相同，子密钥作简单变换后顺序颠倒,三、对称密码体制（7）,7、AES算法：,三、对称密码体制（8）,8、AES的S-盒,三、对称密码体制（9）,9、IDEA,IDEA(International Data Encryption Algorithm国际数据加密算法)1990年由我国密码学者来学嘉博士和瑞士著名密码学家马赛（James Massey）提出，1992年正式确立，企图取代DES成为真正的国际数据加密标准。它克服了DES短密钥，具有差分缺陷。明密文分组64比特，密钥128比特。加解密算法相同，加解密子密钥按照一定的规则倒序并做简单的变换，共52个子密钥，8轮。,（1）基本概念,三、对称密码体制（10）,（2）核心算法,按位 mod 2 加，记为mod 216(65536）整数加，记为mod(216+1)整数乘，记为,（3）基本构件：乘加非线性S盒,三、对称密码体制（11）,（4）IDEA加密过程,2)用128Bit密钥生成52个子密钥：Z1，Z2，.，Z52。,3)用4个明文子块和前6个子密钥作首轮变换；,4)用前一轮4个输出作为输入，和剩下的子密钥中的前 6个做下一轮变换；,5)如此下去，共进行8轮；,6)最后，用前一轮的4个输出及最后4个子密钥作一轮输 出处理。,1)将64Bit明文分解16Bit的子块4个：X1，X2，X3，X4；,三、对称密码体制（12）,（5）IDEA框图,三、对称密码体制（13）,（6）IDEA单轮变换框图,三、对称密码体制（14）,（7）IDEA密钥生成,B1.B16 B17.B25.B32 B33.B40.B48 B49.B64 B65.B80 B81.B96 B97.B112 B113.B128,子密钥：Z1，Z2，Z3，Z4，Z5，Z6，Z7，Z8；,三、对称密码体制（15）,子密钥：Z9，Z10，Z11，Z12，Z13，Z14，Z15，Z16；,同理，可得子密钥：Z17，.Z52,三、对称密码体制（16）,8、IDEA解密子密钥,四、公钥密码体制（1）,1、公钥密码体制：1976年：Diffie，Hellman 在“密码学新方向”一文中首次提出公开密钥密码体制的思想。提出了 Diffie-Hellman 公钥密码协议。1977年：Rivest，Shamir，Adleman第一次有效地实现了公开密钥密码体制，现称为RSA公钥密码体制。,四、公钥密码体制（1）,1、（公钥）保密通信模型,公钥,四、公钥密码体制（2）,2、邮箱科学：,公钥，加密,100081北京大学物理系 X X X 收 南京大学计算机系,100081北京大学物理系 X X X 收 南京大学计算机系,私钥，解密,四、公钥密码体制（4）4、Diffie-Hellman协议：,秘密书信,四、公钥密码体制（5）,5、RSA公钥密码体制,体制的发布：加密密钥：b 公开，模数 n 公开；解密密钥：a 保密，加密算法：Ek(x)xb mod n，解密算法：Dk(x)ya mod n。,体制的构造：选取合数 n=pq，p,q 是素数；选取 ab1 mod(n)，,五、数字签名（1）,1、数字签名概念,（二）传统签名形式（1）手工签名（2）纸质文件的不可拷贝与唯一性（3）文件内容与签名分割（4）比对识别与不精确性,（三）电子信息的认证（1）电磁形式（2）电子文件的可拷贝特性与重复使用（3）消息与内容一体（4）签名认证与精确性（5）特别应用,（1）证明文件的合法性（2）约束签名人遵守文件内容,（一）签名的目的,五、数字签名（2）,2、数字签名方案,设P是消息集合，K是密钥集合，S是签名的集合，签名算法是一个映射：sig：PKS，sig：(x,k)y=sigk(x)验证算法是一个映射：ver：P S true,false，ver(x,y)=true y=sigk(x).(P,A,K,sig,ver)称为一个签名方案,五、数字签名（3）,3、（公钥）数字签名模型,公钥,五、数字签名（4）,4、RSA数字签名方案,方案的发布：签名密钥：a 保密，签名算法：Ea(y)ya mod n。认证密钥：b 公开，模数n公开；认证算法：Db(m)mb mod n，,方案的构造：选取合数 n=pq，p,q 是素数；选取 ab1 mod(p-1)(q-1)，,五、数字签名（5）,5、其他数字签名方案,1991年，美国NIST公布了数字签名标准DSS。盲签名：Chaum盲签名方案不可否认签名方案：Chaum-Antwerpen不可否认签名方案群组签名方案环签名方案,五、数字签名（6）,6、散列（杂碎，Hash）函数,MD4，MD5SHA-0，SHA-1，SHA-256，SHA-384，SHA-512碰撞的概念。王小云的工作。,六、身份认证,1、基于秘密信息的身份认证 a、基于口令，b、基于数字签名，c、CA技术，d、零知识证明2、基于物理、生物特征的身份认证 a、智能卡，b、指纹，虹膜3、身份认证应用实例 Kerberos,七、密码新技术,1、混沌密码学2、椭圆曲线密码学3、量子密码学,END,3、量子公钥分配方案,Heisenberg测不准原理：,不可能同时准确地测量量子的两个特征值（态）,量子状态(值)可展开成量子算子(观测量)A的本征态的正交级数,即：以概率出现在本征态 j,以概率 测得为 j，同时以概率 转移到j。,如果=j，则概率=1，则系统值以概率 1 测得为 j，同时概率1转移到j。这就是量子密钥分配协议的原理。,70年代初，Wiesner,Bennett,Brassard等提出了一种基于量子传递的公钥的思想和方案。此后，美、英等国相继进行了基于光量子的有关试验。,#,量子方案不但可以解决一次一密的密钥分配瓶颈，而且可以发现窃听行为，人们认为它可以抗无限计算能力密码分析，从而，可能成为未来唯一密码技术。,二元量子信道及BB2协议,将观测量（量子算符）可能状态分成两类，用二进制进行编码。,如果A，B双方要传递密钥，双方首先商定（公开）编码方案,A生成一个随机比特流，按照比特流设置本征状态设备（接收设备）序列，发射量子脉冲,#,无窃听量子信道,#,有窃听量子信道,#,第 1章 网络安全概论,Communication to Win,1.1 网络安全认识,涉及的学科概念涉及的因素,涉及的学科,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。,概念,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，网络服务不中断。,涉及的因素,网络安全涉及法律、管理和技术等诸多因素，是-人-机-网复杂的系统问题。构筑网络安全防护体系固然离不开技术基础，但是，仅仅凭借技术解决网络安全问题是不现实的，人员的网络安全意识与安全素质是网络安全的核心，比网络安全技术更重要。,1、人为的无意失误：安全配置不当造成的安全漏洞、用户安全意识不强、口令选择不慎、帐号随意转借他人或与别人共享。2、人为的恶意攻击：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。3、网络软件的漏洞和“后门”：软件的“后门”都是软件公司的设计编程人员为了方便自己而设置的。,1.2 计算机网络面临的威胁,1.3 网络安全所涉及的内容,网络安全体系结构；网络的攻击手段与防范措施；网络安全设计；网络安全标准制定，安全评测及认证；网络安全检测技术；网络安全设备；安全管理，安全审计；网络犯罪侦查；网络安全理论与政策；网络安全教育；网络安全法律等。,1.4 网络安全策略,安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。安全策略的要求：,1、先进的网络安全技术是网络安全的根本保证。2、严格的安全管理。3、制订严格的法律、法规。,1.5 网络安全的目标,身份真实性信息保密性信息完整性服务可用性,不可否认性系统可控性系统易用性可审查性,Windows操作系统基础及其安全配置,第2章,Windows操作系统是一个为个人电脑和服务器用户设计的操作系统。它的第一版本由Microsoft公司发行于1985年，经过近二十年发展，其系统所具有的界面图形化、多用户多任务、网络支持良好、出色的多媒体功能、硬件支持良好、众多的应用程序等特点，最终获得了世界个人电脑操作系统软件的垄断地位，成为了完全独立操作系统。本章将介绍目前最为流行的Windows操作系统及其安全配置。,2.2 Windows 2000操作系统安全配置,内置组帐户策略本地策略访问事件日志的设置及本地用户与组系统服务确保文件系统的安全,内置组,Windows2000附带了许多内置组。“控制面板”管理工具”计算机管理”Administrators：所有权力Power User：不能更改注册表，升级系统组件，不能修改 Administrators和Backup Operators Backup Operators不能修改安全设置Users：可以创建/修改本地组，不能Shut Down Server；不能创建共享文件夹，不能创建本地打印机 特殊身份组：(组成员由系统自动维护，不能更改)Everyone 包括Guests Authenticated User 被身份验证成功的用户 不包括Guests 后者在Professional中缺省属于Power Users组；在Server中缺省属于User组。Backup Operators、Power Users、Replicator这三个组也是为维护系统而设置的。他们的权限要比Administrator低。,帐户策略,帐户策略是控制以下三个重要帐户身份验证功能的规则：密码策略：该策略决定了密码的设置，如强制和生存期。帐户锁定策略：该策略决定了何时将帐户锁定在系统之外，以及锁定多久。Kerberos策略,本地策略,本地策略管理应用于各台计算机或各个用户的安全设置。本地策略部分可用于配置：审核策略 审核策略用于确定计算机的安全性事件日志中记录了哪些安全事件（如成功的尝试、失败的尝试或两者都记录）。安全性日志是通过事件查看器MMC管理单元进行管理的。登录权限和特权 用户权限管理各个用户或组可以执行的操作的类型。在较早版本的Microsoft Windows NT中，它们被称为“特权”。登录权限和特权负责管理用户在目标系统上的权限。它们用于授权执行某些操作进行，如通过网络或本地登录，还用于执行管理性工作，如生成新的登录令牌。修改安全选项 这些选项用于管理计算机的各种基于注册表的安全设置，如数据的数字签名、管理员和来宾帐户名称、软盘驱动器和光盘访问、驱动程序安装以及登录尝试。默认情况下，本节所讨论的几种设置在文中描述的工具中不可见。要在用户界面中查看并管理这些设置，管理员必须首先应用一个自定义模板，以修改界面中所显示的设置。,访问事件日志的设置及本地用户与组,访问事件日志的设置查看事件日志的当前设置以及允许编辑域和域控制器策略查看事件日志的当前设置以及允许独立工作站和服务器的编辑,访问事件日志的设置及本地用户与组,默认组帐户 默认Windows2000操作系统安装中内置组的默认组成员的必需更改和建议更改。这些内置组具有用户权限和特权以及组成员的预定义集合。五个内置组类型如下：全局组、域本地组、通用组、本地组、系统组 更改帐户的主要组成员身份 为了进行一些必需的组成员身份更改，必须从特定组删除帐户。为了与其他网络协议（例如AppleTalk）兼容，帐户必须在域中有主要组分配。因此，当计算机加入域时，可能必须更改默认设置的帐户的主要组成员身份。如果尝试从“ActiveDirectory计算机和用户”GUI中的帐户主要组删除帐户，则操作将被拒绝。,访问事件日志的设置及本地用户与组,默认用户帐户 默认Windows2000操作系统安装中内置帐户包括Administrator、Guest和TsInternetUser。对这些内置用户帐户的必需更改，更改建议如下：检查/修改域的默认用户帐户本地检查/修改默认用户帐户,系统服务,要在域中所有或一组Windows2000平台上启用或禁用服务，需要设置域安全策略。对于域控制器上的设置，使用域控制器安全策略界面。可以通过计算机管理界面、本地安全策略界面或应用使用secedit.exe的安全模板，设置单独Windows2000平台上的本地设置。1、在域计算机上禁用不需要的系统服务 2、本地禁用不需要的系统服务 3、最低系统服务 4、启用自动屏幕锁定保护 对于已评估的配置，应该启用密码保护的屏幕保护程序。这样可以使用户桌面因安全原因而锁定，方法是设置在已设置的非活动时间段后通过屏幕保护程序启动来自动屏幕锁定。一旦调用计算机屏幕锁定，只允许当前登录计算机的用户或经过授权的管理员来访问计算机。,确保文件系统的安全,Windows 2000包括使用随机访问控制列表(DACL)（有时都称为权限）保护文件的能力。一旦应用ServicePack3，文件和目录权限的默认集合将为大多数应用程序环境提供合理级别的安全性。但是，可以基于这些默认设置改进某些DACL。在操作系统安装过程中，通过“setupsecurity.inf”安全模板文件（此文件被描述为包含“全新默认安全设置”）设置默认文件和目录的权限。,确保文件系统的安全,要确保更强的安全性，应该在安装操作系统以及使用最新ServicePack和此ServicePack后发布的所有修补程序对操作系统进行更新后，立即修改文件、目录和子目录权限。使用Windows2000中的继承功能，在目录树中尽可能高地设置权限。这可以极大简化权限管理。下面建议的权限更改应用于所有Windows2000操作系统。使用组策略在域中的所有或一组Windows2000平台上实现权限。最好在与域级别相对的OU级别设置权限。OU可以轻松地构建成包含所有具有特定安全要求的机器。可以使用包括的模板，通过安全配置编辑器界面，在单独的Windows2000平台上设置本地权限。,确保文件系统的安全,通过域策略设置权限通过安全配置编辑器本地设置权限共享文件夹权限 使用基于SMB的服务器和重定向器服务提供本机Windows 2000文件共享服务。即使只有管理员可以创建共享，在共享上添加的默认安全也允许Everyone组具有完全控制访问权。这些权限允许对网络可视共享本身进行访问。通过共享显示的文件夹和子文件夹的访问权由共享映射的基本文件夹中设置的NTFS权限控制。因此，用户应该通过NTFS权限将适当的安全性应用于共享所映射的任何文件和文件夹。事实上，为Everyone设置完全控制权限相当于只在基本文件系统上（而不是在共享本身上）设置管理权限。,确保文件系统的安全,确保注册表的安全 除了考虑本模块中描述的标准安全，安全管理员还要对Windows 2000注册表中的某些项加强保护。默认情况下，在提供标准级别安全的同时，对注册表的各种组件设置了保护，以便使工作得以完成。在操作系统安装过程中，通过“setupsecurity.inf”安全模板文件（此文件被描述为包含“全新默认安全设置”）设置注册表项权限。要在域中的所有或一组Windows 2000平台上实现权限，需设置域安全策略。对于域控制器上的设置，使用域控制器安全策略界面。可以通过Regedt32.exe界面或使用安全模板和secedit.exe实用工具，在单独Windows 2000平台上设置本地权限。通过域策略设置注册表权限通过Regedt32.exe设置注册表权限,确保文件系统的安全,对文件系统加密 Windows2000操作系统提供通过使用加密文件系统(EFS)对NTFS卷上的文件和文件夹加密的基本功能。EFS使用私钥加密机制，以加密形式存储网络上的数据。EFS作为文件系统驱动程序运行，同时使用对称密钥加密和公钥加密来保护文件。如果想要从此功能中获得最大安全收益，则需要其他配置。对于IPSec，EFS的管理本节不做介绍。,2.3 Windows XP安装与配置,Windows XP作为一款至今为止最优秀的个人电脑操作平台，不但界面华丽美观，而且功能强大操作简便。WindowsXP有专业版和家庭版两个版本。WindowsXP集成了增强的安全特性使用户的在线活动更加安全，提高了用户对系统安全的管理能力。,3、配置 Windows XP Professional,登录计算机创建帐户连接到网络,2.4 Microsoft Windows server 2003 RC2安装问 题 的 类 型,Windows server 2003的安装Windows server 2003的配置 Windows server 2003的维护 Windows server 2003中的IIS Windows server 2003中内置的微软新技术,WindowsServer2003安装程序将搜集以下必要信息：,在WindowsServer2003的硬件要求上，强烈建议采用PIII550，256M以上硬件配置的计算机。WindowsServer2003汲取了前台产品WindowsXP的安装技术、安装界面中的优点，从安装光盘启动计算机，开始基于文本阶段的安装，在这个阶段，除了需要同意微软产品协议声明与选择安装分区之外，整个过程基本保持自动化，甚至包括自动重新启动。,区域与语言选项个人注册信息，即用户名称，组织WindowsServer2003产品序列号计算机名与本地管理员密码,WindowsServer2003安装程序将搜集以下必要信息：,2、WINDOWS SERVER 2003的配置,WindowsServer2003的配置较方便。一个改进的配置你的服务器向导包含了Server中所需要配置的关键服务，如DNS，WINS，DHCP等等。,3、WINDOWSSERVER2003的维护,4、WINDOWS SERVER 2003中的IIS,WindowsServer2003中的IIS完全不同于以往版本的IIS，相信大家已经听说过，IIS6.0是一个被重新设计的系统。最明显的，IIS6.0取消了传统的配置文件格式MetaDatabase，而是采用全新的XML文件存储格式。其实，IIS6.0只是“应用程序服务器”其中的一个组件，应用程序服务器是WindowsServer2003产品线中新添加的服务器角色，这个可以从图2-10所示的IIS的配置界面上看出来。,5、WINDOWS SERVER 2003中内置的微软新技术,作为一个Server级的产品，Windows Server 2003提供的新技术任务管理列表内置的POP3/SMTP服务内置的.NET服务更多的服务器专用角色配置。,第3章,网络的组建与配置,随着计算机网络的发展和宽带接入的普及，计算机网络早已渗透到普通百姓的日常工作和生活之中，了解和学习计算机网络的基础知识不仅是工作所需，同时也将成为休闲娱乐之必备。本章针对网络初级管理者，在介绍网络基础知识基础上，从操作入手提高管理者在网络的组建与配置上基本技能。,3.1 计算机网络分类,计算机网络主要功能计算机网络的主要分类局域网的分类,1、计算机网络主要功能,数据通信 数据通信即实现计算机与终端、计算机与计算机间的数据传输，是计算机网络的最基本的功能，也是实现其他功能的基础。如电子邮件、传真、远程数据交换等。资源共享 实现计算机网络的主要目的是共享资源。一般情况下，网络中可共享的资源有硬件资源、软件资源和数据资源，其中共享数据资源最为重要。远程传输 计算机已经由科学计算向数据处理方面发展，由单机向网络方面发展，且发展的速度很快。分布在很远的用户可以互相传输数据信息，互相交流，协同工作。,1、计算机网络主要功能,集中管理 计算机网络技术的发展和应用，已使得现代办公、经营管理等发生了很大的变化。目前，已经有了许多MIS系统、OA系统等，通过这些系统可以实现日常工作的集中管理，提高工作效率，增加经济效益。实现分布式处理 网络技术的发展，使得分布式计算成为可能。对于大型的课题，可以分为许许多多的小题目，由不同的计算机分别完成，然后再集中起来解决问题。,1、计算机网络主要功能,负载平衡 负载平衡是指工作被均匀地分配给网络上的各台计算机。网络控制中心负责分配和检测，当某台计算机负载过重时，系统会自动转移部分工作到负载较轻的计算机中去处理。,2、主要分类,1.按网络节点分布(局域网、城域网、广域网、互联网)2.按传输介质（有线网、光纤网、无线网）3.按交换方式（线路交换、报文交换、分组交换）4.按逻辑（通信子网、资源子网）5.按通信方式（点对点传输网、广播式传输网）6.按服务方式（客户机/服务器网络、对等网）,3、局域网的分类,以太网（标准以太网、快速以太网、千兆以太网）令牌环网FDDI网（Fiber Distributed Data Interface）ATM网无线局域网,3.2 常见局域网拓扑及操作系统,网络拓扑常见局域网操作系统局域网的几种工作模式,1、网络拓扑,网络拓扑是指网络中各个端点相互连接的方法和形式。网络拓扑结构反映了组网的一种几何形式。局域网的拓扑结构主要有总线型、星型、环型以及星型和总线型结合的复合型结构拓扑结构。,网络拓扑,总线型拓扑结构,总线型拓扑结构采用单根数据传输线作为通信介质，所有的站点都通过相应的硬件接口直接连接到通信介质，而且能被所有其他的站点接受。总线型网络结构中的节点为服务器或工作站，通信介质为同轴电缆。由于所有的节点共享一条公用的传输链路，所以一次只能由一个设备传输。这样就需要某种形式的访问控制策略，来决定下一次哪一个节点可以发送。一般情况下，总线型网络采用载波监听多路访问/冲突检测(CSMA/CD)控制策略。总线型网络信息发送的过程为：发送时，发送节点对报文进行分组，然后一次一个地址依次发送这些分组，有时要与其他工作站传来的分组交替地在通信介质上传输。当分组经过各节点时，目标节点将识别分组的地址，然后将属于自己的分组内容复制下来。,总线型拓扑结构,布线容易、电缆用量小。总线型网络中的节点都连接在一个公共的通信介质上，所以需要的电缆长度短，减少了安装费用，易于布线和维护。可靠性高。总线结构简单，从硬件观点来看，十分可靠。易于扩充。在总线型网络中，如果要增加长度，可通过中继器加上一个附加段；如果需要增加新节点，只需要在总线的任何点将其接入。易于安装。总线型网络的安装比较简单，对技术要求不是很高。,总线型拓扑结构在局域网中得到广泛的应用，主要优点有：,故障诊断困难。虽然总线拓扑简单，可靠性高，但故障检测却不容易。因为具有总线拓扑结构的网络不是集中控制，故障检测需要在网上各个节点进行。故障隔离困难。对于介质的故障，不能简单地撤消某工作站，这样会切断整段网络。中继器配置。在总线的干线基础上扩充时，可利用中继器，需要重新设置，包括电缆长度的裁剪，终端匹配器的调整等。通信介质或中间某一接口点出现故障，整个网络随即瘫痪。终端必须是智能的。因为接在总线上的节点有介质访问控制功能，处理对共享介质的访问，因此必须具有智能，从而增加了站点的硬件和软件费用。,总线型拓扑结构虽然有许多优点，但也有自己的局限性：,星型拓扑结构,星型拓扑结构是中央节点和通过点到点链路连接到中央节点的各节点组成。利用星型拓扑结构的交换方式有电路交换和报文交换，尤以电路交换更为普遍。一旦建立了通道连接，可以没有延迟地在连通的两个节点之间传送数据。工作站到中央节点的线路是专用的，不会出现拥挤的瓶颈现象。星型拓扑结构中，中央节点为集线器(HUB)，其他外围节点为服务器或工作站；通信介质为双绞线或光纤。星型拓扑结构被广泛的应用于网络中智能主要集中于中央节点的场合。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。星型拓扑结构信息发送的过程为：某一工作站有信息发送时，将向中央节点申请，中央节点响应该工作站，并将该工作站与目的工作站或服务器建立会话。此时，就可以进行无延时的会话了。,星型拓扑结构,星型拓扑结构的优点为：,可靠性高。在星型拓扑的结构中，每个连接只与一个设备相连，因此，单个连接的故障只影响一个设备，不会影响全网。方便服务。中央节点和中间接线都有一批集中点，可方便地提供服务和进行网络重新配置。故障诊断容易。如果网络中的节点或者通信介质出现问题，只会影响到该节点或者通信介质相连的节点，不会涉及整个网络，从而比较容易判断故障的位置。,星型拓扑结构虽有许多优点，但也有缺点：,扩展困难、安装费用高。增加网络新节点时，无论有多远，都需要与中央节点直接连接，布线困难且费用高。对中央节点的依赖性强。星型拓扑结构网络中的外围节点对中央节点的依赖性强，如果中央节点出现故障，则全部网络不能正常工作。,环型拓扑结构,这种结构的网络形式主要应用于令牌网中，在这种网络结构中各设备是直接通过电缆来串接的，最后形成一个闭环，整个网络发送的信息就是在这个环中传递，通常把这类网络称之为“令牌环网”。环型拓扑结构的交换方式采用分组交换。由于多个工作站共享同一环，因此需要对此进行控制，以便决定每个站在什么时候可以把分组放在环上。一般情况下，环型拓扑结构网络采用令牌环(Token Ring)的介质访问控制。,环型拓扑结构,信息发送的过程为：如果某一站点希望将报文发送到另一目的站点，那么它需要将这个报文分成若干个分组。每个分组包括一段数据再加上一些控制信息，其中控制信息包括目的站点的地点。发送信息的站点依次把每个分组放到环上之后，通过其他中继器进行循环；环中的所有中继器都将分组的地址与该中继器连接的节点的地址相比较，当地址符合时，该站点就接收该分组。,环型拓扑结构,环型拓扑结构具有以下优点：,电缆长度短。环型拓扑结构所需的电缆长度与总线型相当，但比星型要短。适用于光纤。光纤传输速度高，环型拓扑网络是单向传输，十分适用于光纤通信介质。如果在环型拓扑网络中把光纤作为通信介质，将大大提高网络的速度和加强抗干扰的能力。无差错传输。由于采用点到点通信链路，被传输的信号在每一节点上再生，因此，传输信息误码率可减到最少。,环型拓扑结构的缺点,可靠性差。在环上传输数据是通过接在环上的每个中继器完成的，所以任何两个节点间的电缆或者中继器故障都会导致全网故障。故障诊断困难。因为环上的任一点出现故障都会引起全网的故障，所以难于对故障进行定位。调整网络比较困难。要调整网络中的配置，例如扩大或缩小，都是比较困难的。,星型与总线型相结合型拓扑结构,星型与总线型相结合型拓扑结构优点,解决星型网络在传输距离上的局限，而同时又解决了总线型网络在连接用户数量的限制。这种网络拓扑结构同时兼顾了星型网与总线型网络的优点，在缺点方面得到了一定的弥补。,星型与总线型相结合型拓扑结构特点,应用相当广泛:这主要是因它解决了星型和总线型拓扑结构的不足，满足了大公司组网的实际需求;扩展相当灵活:这主要是继承了星型拓扑结构的优点。但由于仍采用广播式的消息传送方式，所以在总线长度和节点数量上也会受到限制，不过在局域网中不存在太大的问题;同样具有总线型网络结构的网络速率会随着用户的增多而下降的弱点;较难维护，这主要受到总线型网络拓扑结构的制约，如果总线断，则整个网络也就瘫痪了，但是如果是分支网段出了故障，则仍不影响整个网络的正常运作。再一个整个网络非常复杂，维护起来不容易;速度较快:因为其骨干网采用高速的同轴电缆或光缆，所以整个网络在速度上应不受太多的限制。,2、常见局域网操作系统,网络操作系统(NOS，Network Operating System)是使网络中各计算机能方便而有效地共享网络资源，为网络用户提供所需的各种服务的软件和有关规则的集合。通常的操作系统具有处理机管理、存储器管理、设备管理及文件管理，而网络操作系统除了具有上述的功能外，还具有提供高效、可靠的网络通信能力和提供多种网络服务的功能。在现今市场上，用得最广泛的网络操作系统主要有：WINDOWS 系统 NETWARE系统 UNIX系统 Linux系统,WINDOWS 系统,Windows 是网络最广泛的应用的操作系统，属于Cilent/Server模式(客户/服务器模式)。所谓客户/服务器运行模式是指：服务器检查是否有客户要求服务的请求，在满足客户的请求后将结果返回；客户机(可以为一个应用程序或另一个服务器)如果需要系统的服务，就向服务器发出请求服务的信息，服务器根据客户请求执行相应的操作，并将结果返回给客户。,NETWARE系统,NetWare是20世纪90年代最流行的网络操作系统，它属于层次式的网络操作系统，但其霸主的地位正受到Windows NT 的威胁。NetWare 是32位实时、多任务网络系统，是基于模块设计思想的开放式系统结构。NetWare由两部分组成：NetWare核心部件运行在文件服务器上，包括内存管理程序、文件系统管理程序、进程调度程序等。NetWare Shell 外壳程序，它作为用户的接口，运行在用户工作站上。它对用户命令进行解释，是DOS命令则进入DOS，执行本地DOS功能；是网络请求则将其转换后送到文件服务器。同时，它也接收并解释来自网络服务器的信息，并把它变为用户所需要的形式。,UNIX系统,Unix从诞生至今已有28年左右的历史了，它是一个多用户、多任务的网络操作系统。Unix系统长期受到计算机界的支持和欢迎。20世纪80年代，它在商业中也获得了成功。Unix的确是一种优秀的网络操作系统，其内部采用的是一种层次结构。Unix网络操作系统不仅可在微型计算机上运行，而且也支持在大、中、小型机上运行。在微型计算机上运行主要采用的是Unix System V版本，而在大、中、小型机上运行主要采用Unix BSD版本。虽然从版本上看，Unix只有两个重要的分支，但从实际的Unix产品来看，却有许多类型：Linux、Solaris、SCO Unix、Digital、Unix、HP Unix、IBM AIX、Beliant Unix等。Unix系统的功能主要体现在：实现网络内点到点的邮件传送、文件管理、用户程序的分配和执行。正是Unix系统的强大功能和可依赖的稳定性，使得其在市场上一直占有主导地位。虽然Internet开始风靡于1995年，但是，Unix正是Internet的起源，所以要建立Internet/Intranet应用项目，Unix网络操作系统仍是主要的选择对象。,Linux系统,Linux是Unix的自由发布版本，由Linus Torvalds和上千名分布在世界各地的程序员开发。Linux中已经不再是那个曾经陌生又遥远的名字，大家提起Linux时，不再是把它当做与微软抗衡的一面大旗或自由软件爱好者的精神支柱。如果说几年前的Linux是星星之火的话，今天的它已经真正地形成了燎原之势。现在已经发展成为了一个可更新换代的、稳定的操作系统，而且有丰富的应用程序集和工具来使得它既适合个人使用也适合商业目的。随着越来越多成熟的Linux发行版的推出以及Linux推广的许多问题