Transcript 幻灯片 1
楼宇智能化技术 广东工业大学自动化学院 第三章 智能化楼宇内互连网 第一节 楼宇内的信息处理平台 第二节 楼宇内的Intranet 第三节 网络的安全技术 第一节 楼宇内的信息处理平台 一、 TCP/IP 协议 二、客户/服务器方式 三、 浏览器/服务器方式 四、 Windows NT、LINUX网络平台 一、 TCP/IP 协议 TCP/IP是指一整套数据通信协议, 其名字是由这些协议中的两个协议组 成的,即传输控制协议(Transmission Control Protocol:TCP)和网间协 议(Internet Protocol:IP) TCP/IP协议分别对应于OSI模型中的传输层与网络层,参见图3-1。其中, TCP协议用于在应用程序间传输数据;IP协议用于在主机之间传输数据; 网络接口层能灵活地支持多种物理和链路层协议;网络应用层除了其原 有的一些应用层的协议外,很容易接纳其他应用层的协议。 TCP/IP ISO/OSI 5 7 4 3 2 SMTP DNS Ethernet FTP UDP TCP IP NSP ICMP ARPANET TELNET NVP ARP PDN RARP 其他 (SNA等) ⒈Internet协议(IP) IP的主要目的是为高层协议提供无连接的传递服务。这意味着在IP将数 据包递交给接收站点以前不在传输站点和接收站点之间建立对话(虚拟链 路)。它只是封装和传递数据包。但它不对发送者或接收者报告数据包的 状态,不处理所遇到的故障。 IP协议作为通信子网的最高层,提供无连接的数据报传输机制。IP协议 是点到点的,核心问题是寻径。它向上层提供统一的IP数据报,使得各 种物理帧的差异性对上层协议不复存在。 互连网协议IP是TCP/IP体系中两个最重要的协议之一。与IP协议配套使 用的还有三个协议: 地址转换协议ARP(Address Resolution Protocol) 反向地址转换协议RARP(Reverse Address Resolution Protocol) Internet控制报文协议ICMP(Internet Control Message Protcol) ⒉ IP地址 IP地址就是给每一个连接在Internet上的主机分配一个唯一的32bit 地址, 并不只是一个计算机的号码,而是指出了连接到某个网络上的某个计算 机。 为了便于对IP地址进行管理,同时还考虑到网络的差异很大,有的网络 拥有很多的主机,而有的网络上的主机则很少。因此Internet 的IP地址 分为五类,即A类到E类。这样,IP地址由三个字段组成,即:类别字段, 用来区分IP地址的类型;网络号码字段net-id;主机号码字段host-id。 位 0 1 2 4 A类 0 8 16 网络号 (7Bit) B类 1 0 网络号 C类 1 1 0 24 主机号 (24Bit) (14Bit) 网络号 net-id 主机号 (16Bit) (21Bit) D类 1 1 1 0 组播地址 E类 1 1 1 1 保留将来使用 主机号 host-id (8Bit) 31 在使用IP地址时,还要知道下列地址是保留作为特殊用途的, 一般不使用。 1)全0的网络号码,这表示“本网络”或“我不知道号码的 这个网络”。 2)全1的网络号码。 3)全0的主机号码,这表示该IP地址就是网络的地址。 4)全1的主机号码,表示广播地址,即对该网络上所有的主 机进行广播。 5)全0的IP地址,即0.0.0.0。 6)网络号码为127.X.X.X.,这里X.X.X为任何数。这样的网 络号码用作本地软件回送测试(Loopback test)之用。 7)全1地址255.255.255.255,这表示“向我的网络上的所有 主机广播”。原先是使用0.0.0.0。 表3-1 IP地址的使用范围 网络 类别 最大 网络数 第一个可 用的网络号 码 最后一个 可用的网络 号码 每个网络 中的最大主 机数 A 126 1 126 16777214 B 16382 128.1 191.254 65534 C 2097150 192.0.1 223.255.25 4 254 IP地址有一些重要的特点 1)IP地址有一些是一种非等级的地址结构。这就是说,和电话号码的结 构不一样,IP地址不能反映任何有关主机位置的地理信息。 2)一个主机同时连接到两个网络上时(作路由器用的主机即为这种情 况),该主机就必须同时具有两个相应的IP地址,其网络号码net-id是 不同的,这种主机成为多地址主机(Multihomed Host)。 3)按照Internet的观点,用转发器或网桥连接起来的若干个局域网仍为 一个网络,因此这些局域网都具有同样的网络号码net-id。 4)在IP地址中,所有分配到网络号码net-id的网络(不管是小的局域网 还是很大的广域网)都是平等的。 IP地址层次保证了两个重要性质: 1)每台计算机分配一个唯一地址(即一个地址从不分配给多台计算机)。 2)虽然网络号分配必须全球一致,但主机号可本地分配,无需全球一致 ⒊ 子网的划分 为了使IP地址的使用更加灵活,在IP地址的网络号码net-id,而后面的主 机号码host-id则是受本单位控制,由本单位进行分配。本单位所有的主 机都使用同一个网络号码, 而host-id可根据需要划分子网. TCP/IP体系 的“子网”(Subnet)是本单位网络内的一个更小些的网络,和OSI体 系中的子网(Subnetwork)不同。TCP/IP体系规定用一个32bit的子网 掩码来表示子网号字段的长度。具体的做法是:子网掩码由一连串的 “1”和一连串的“0”组成。“1”对应于网络号码和子网号码字段,而“0” 对应于主机号码字段. 本地分配 B 类地址 net-id host-id (a) 增加子网 net-id 号字段 子网号 主网号 Subnet -id host-id (b) 子网掩码 11111111 11111111 (c) 111111 00 00000000 ⒋ 地址的转换 1)IP地址中的主机地址只是主机在网络层中的地址。若要将网络层中传 送的数据报交给目的主机,必须知道该主机的物理地址。因此必须在IP 地址和主机的物理地址之间进行转换。 2)用户平时不愿意使用难于记忆的主机号码,而是愿意使用易于记忆的 主机名字。因此也需要在主机名字和IP地址之间进行转换。 在TCP/IP体系中都有这两种转换的机制 域名系统DNS(Domain Name System)完成从主机名到IP地址的转换。 DNS中的名字服务器Nameserver上面分层次放有许多主机名字到IP地址转 换的映射表。主叫主机中的名字转换软件Resolver自动找到DNS的 Nameserver来完成这种转换。域名系统DNS属于应用层软件。 IP地址到物理地址的转换由地址转换协议ARP来完成。图3-4还表示出从 IP地址209.0.0.6通过ARP得出了目的主机48bit的物理地址 08002B00EE0A(现在假设此主机连接在某个局域网上。如网络是广域网, 则转换出主机在广域网上的物理地址) 每一个主机都有一个ARP高速缓存(ARP cache),里面有IP地址到物 理地址的映射表,这些都是该主机目前知道的一些地址。当主机A欲向 本局域网上的主机B发送一个IP数据报时,就先在其ARP高速缓存中查 看有无主机B的IP地址。如有,就可查出其对应的物理地址,然后将该 数据报发往此物理地址。 主机名 net-id=209.0.0 host-a IP=209.0.0.5 目的主机名 host-b DNS 目的主机 IP 地址 主机名 host-b 209.0.06 IP=209.0.0.6 网卡 08002B00EE0A ARP 目的主机 物理地址 08002B00EE0A ARP的转换过程 1)ARP进程在本局域网上广播发送一个ARP请求分组,上面有 主机B的IP地址。 2)在本局域网上的所有主机上运行的ARP进程都收到此ARP请 求分组。 3)主机B在ARP请求分组中见到自己的IP地址,就向主机A发 送一个ARP响应分组,上面写入自己的物理映射。 4)主机A收到主机B的ARP响应分组后,就在其ARP高速缓存中 写入主机B的IP地址到物理地址的映射。 ⒌ 传输控制协议(TCP) TCP提供的服务有七个主要特征: ⑴面向连接 ⑵点对点通信 ⑶完全可靠性 ⑷全双工通信 ⑸流接口 ⑹可靠的连接建立 ⑺完美的连接终止 TCP使用各种不同的技术来实现其可靠性,其中最重要的技术叫重发。 当TCP发送数据时,发送方通过一种重发方案来补偿包的丢失,且通信 的双方都要参与。当接收方TCP收到数据时,它要回发给发送方一个确 认。当发送方发送数据时,TCP就启动一个定时器,在定时器到点之前, 如果没有收到一个确认,则发送方重发数据。 ⒍ 用户数据报文协议UDP UDP也是TCP/IP的传输层协议,它是无连接的,不可靠传输服务。当接 受数据时它不同发送方提供确认信息,它不提供输入包的顺序,如果出 现丢失包或重复包的情况,也不会向发送方发出差错报文。这一点很像 IP协议。 UDP的主要作用是分配和管理端口编号,以正确无误地识别运 行在网络站点上的个别应用程序。由于它执行功能时具有低的开销,因 而执行速度比TCP快。它多半用于不需要可靠传输的应用程序,例如网 络管理域、名字服务器等。 任何与UDP相配合作为传输层服务的应用程序必须提供确认和顺序系统, 以确保包是以发送它们的同样顺序到达。也就是说,使用UDP的应用程 序必须提供这类传输可靠性服务。 ⒎ TCP/IP应用程序 ⑴TELNET虚拟终端服务 TELNET协议规定了一个与网络无关的虚拟终 端,经过这个终端,用户能登录到具有用户帐号的远程TCP/IP主机。 ⑵文件传递协议FTP FTP是一个适合大量数据从一个远程设备向另一个 设备传送的程序。它通常使用TCP和TELNET。 ⑶简单邮件传送协议SMTP SMTP是一组适于在系统之间交换邮件报文 的标准命令。由于SMTP规定了发送和接收方必须遵守的规则和传送邮 件的格式,从而确保了文件的可靠传输。 ⑷域名字服务DNS IP协议要求使用IP地址,任何用户可以使用这种地 址连接网络上的任何服务,但无论是人还是机器记忆名字都比记忆数字 地址方便,因此产生了域名字服务(DNS)的概念。域名是有层次的,域 名中最重要的部分位于右边。域名中最左边的段(实例中的mordred)是单 台计算机的名字。域名中的其他段标识了拥有该域名的组。 二、客户/服务器方式 ⒈ 客户/服务器模式 客户(Client)和服务器(Server)的术语是指一个通信中所涉及的两个应用。 主动启动通信的应用称为客户,而被动等待通信的应用称为服务器。服 务器通常是被动的,它总是等待客户的服务请求。图3-5从概念上说明了 客户与服务器的关系,一个服务器常常可以处理多个客户。 客户1的请求 客户1 客户1请求的响应 客户2的请求 客户2请求的响应 客户2 客户3请求的响应 服务器 客户3的请求 客户3 ⑴客户端功能 ⑵服务器的种类 1)用户界面 1)数据库服务器 2)命令解释 2)文件服务器 3)数据输入 3)计算服务器 4)数据核实 4)显示服务器 5)在线帮助 6)错误恢复 ⒉ 客户与服务器的特性 客户端软件功能包括: 1)它是一个任意的应用程序,在 需要进行远程访问时临时成为客 户,同时也做其他的本地计算。 2)直接被用户调用,只运行一次。 3)在用户的个人计算机上本地运 行。 4)主动地与服务器启动通信。 5)能支持所需的多重服务,但同 时只与一个远程服务器进行主动 通信。 6)不需要特殊的硬件和高级的操 作系统。 服务器软件功能包括: 1)它是一种专门用途的、享有特 权的程序,专门用来提供某一种 服务,可以同时处理多个远程客 户的请求。 2)在系统初启时自动调用,不断 地运行许多遍。 3)在一台共享计算机上运行(即, 不是在用户的个人计算机上) 4)被动地等待来自任意客户的通 信。 5)接受来自任意客户的通信,但 只提供一种服务。 6)需要强大的硬件和高级的操作 系统支持。 ⒊ 服务器程序与服务类计算机 在服务器的术语上有时会产生一些混淆。通常地,这个术语指一个被动 地等待通信的程序,而不是运行它的计算机。然而,当一台计算机被用 来运行一个或几个服务器程序时,这台计算机本身有时也被(不正确地) 称作服务器。硬件供应商加深了这种混淆,因为他们将那类具有快速 CPU、大存储器和强大操作系统的计算机称为服务器。 我们仍然坚持科学精确的术语,并用“服务器”(Server)来指那些运行 的程序而不是计算机。用术语“服务类计算机”(Server-class Computer) 指那些运行服务器的强大的计算机。 ⒋ 请求、应答与数据流向 信息在客户与服务器之间沿任一方向或两个方向传递。典型地,客户向 服务器发送请求,服务器向客户返回应答。在一些情况下,客户向服务 器发送一系列请求,服务器返回一系列应答(如,一个数据库客户程序可 能允许用户同时查询一个以上的记录)。在另一些情况下,服务器在没有 请求的情况下不间断地输出数据,客户与服务器的通信一建立,服务器就 开始发送数据(如,一个地区气象服务器可能不间断地发送包含最新气温 和气压的天气报告)。 很重要的一点是,认识到服务器不但能够发送信息也能接收信息。比如, 大多数文件服务器都被设置成向客户发送一组文件。就是说,客户发出 一个包含文件名的请求而服务器通过发送这个文件的副本来应答。然而, 文件服务器也可被设置成输入文件,即允许客户发送一个文件副本而服务 器接收它并将其储存于磁盘。 ⒌ 客户/服务器方式种类 客户/服务器方式分成四类: (1)基于客户类应用 所有处理都由客户完成,服务器仅提供文件类服务, 如磁盘服务器,文件服务器和打印机服务器。 (2)基于服务器类应用 这类应用实质上是一个多用户系统。所有处理全 由服务器承担,客户以终端仿真方式远程注册到服务器。 (3)客户/服务器应用 这类应用是前两种应用优点的集合。它将处理分布 于客户和服务器双方,服务器相当于后台进程,集中处理作业,而客户 应用负责与用户打交道。 (4)分布式处理类应用 多个服务器协同处理,是客户/服务器应用的进一 步延伸。 ⒍二层客户机/服务器模型 二层的客户机/服务器结构将应用程序分成完全不同的两个部分,一部分 运行在客户机上,另一部分运行在服务器上。但需要注意的是,客户和 服务器的程序代码既不关心也不知道它们是在同一台计算机上运行还是 在不同的计算机上运行。因此,应用程序被客户和服务器分割开了。 客户 服务器 图形用户接口 GUI 数据库 逻辑 逻辑 通信 通信 二层客户机/服务器模型 ⒎中间件 中间件是用来描述客户与服务器之间通信的"胶合"的一个术语。应用系 统的客户部分通过API与中间件相连,中间件负责与服务器的通信。它 避免了应用程序员直接通过低层操作系统和硬件与服务器通信所必须应 付的复杂接口问题,这对于应用系统是非常重要的。 一般而言,用中间件来处理通信问题是常见的途径,它可以用于任何应 用系统。中间件通常就像是主机中负责客户通信和与服务器软件接口的 一种软件,中间件常有以下几种:TCP/IP、NetBIOS、Named Pipes、 LAN Manager。 客户 图形用户接口 GUI 逻辑 服务器 中 间 件 通信 中间件模型 中 间 件 数据库 ⒏三层客户机/服务器模型 客户机/服务器计算的最新进展是三层结构,二层应用和三层应用之间最 主要的区别是服务器上附加的软件层。二层应用侧重于将应用逻辑放入 客户端和向数据库中传送记录 (胖客户模式),或者在存储过程中向数据 库传送数据并由数据库引擎实现应用逻辑 (瘦客户模式)。三层应用侧重 于在客户与服务器的应用代码之间传送消息,由服务器部分实现应用逻 辑,然后向数据库发送记录。 客户 图形用户接口 GUI 逻辑 服务器 中 间 件 通信 中 间 件 数据库 程序逻辑 (应用服务器) 附加的第三层 三层客户机/服务器结构 三层体系的服务器部分增加了一些应用的复杂性。然而,这 对于三层客户机/服务器的性能来说是有益的。其中包括:升 级能力、低通信流量、可扩充性。 升级能力的提高是由于第三层可以将客户与服务器分离,当 系统升级时,应用服务器仍然可以在访问多个数据库的同时 为客户提供服务。三层模块的重组比在二层客户机/服务器 模式下容易得多。 低通信流量是由于应用程序中只传送少量报文而不传送整个 数据记录。 可扩充性的增加是由于客户、服务器和数据库系统可以单独 更换而不影响其他部分,同时保证接口不变。例如,将数据 库从SyBase换成Oracle,只会影响到应用中的服务器部分而 不会影响到客户;将客户程序由 VB 改为Delphi,不会影响 应用的其余部分,而且所提供的接口也是适用的。 三、 浏览器/服务器方式 ⒈Web及Web server Web是传送文档,包括文件、图形甚至是语音和视频图像给远程访问者 的平台。 Web采用的是浏览器/服务器(Browser/server)模式,与传统的 C/S模式不同的是,这里Web服务器不需要保留与客户端浏览器连接的信 息,当客户通过HTTP协议连接到Web server并提出文档请求,Web server将文档提交出来便立即关闭连接。因此Web server 负载的限制因 素不是用户数而是连接请求出现的频率。 Web采用浏览器/服务器机制进行信息的传输: 客户Web浏览器通过HTTP 协议将特定的RUL发送到Web服务器来请求页面,Web服务器使用RUL 中的信息来定位和返回页面内容。作为Web服务器,它应能支持和响应 多种请求。从Web服务器返回的页面可以是三种类型:静态HTML页面、 动态HTML页面或目录列表页面。 ⒉基于Web的信息管理模式 随着各种相关技术的不断成熟和Intranet的逐渐深入企业,未来的企业信 息管理模式将是一种分布式的基于Web的管理模式。 客户1 浏览器(如IE5) 通过HTTP与WEB服务器通信 (请求/响应) 浏览器(如IE5) 客户2 客户3 数据库 SQL server ORACLE SYBASE ... Web服务器 浏览器(如IE5) 基于Web的管理模式 这种新型信息管理模式的优点主要有以下几点:1)经济性 2)平台独立性 3)良好的开放性 4)使远程访问的实现变得简单 ⒊关键技术 浏览器可以代替专门的客户端软件而实现对数据库的存取,为了实现基 于Web的数据库访问,需要有Web server与DBMS之间的接口。常见的 Web server接口CGI。常见的DBMS接口有ODBC、JDBC。Web与数据 库连接的基本原理如下图所示,其中Web与数据库之间的CGI、API等接 口统称为Web网关。 数据库 (3) CGI 程序 (2) (4) (1) Web服务器 Web浏览器 (5) 为了实现Web服务器对数据库的访问,主要有以下4种方法 : ⑴在Web服务器端用CGI直接开发与数据库的接口模块 ⑵在Web服务器端利用各Web服务器供应商提供的专门接口(API)实现对 数据库的访问ISAPI是由 Process Software Corp. ⑶Web浏览器端作为数据库的客户 ⑷借助各数据库厂商提供的产品或开发平台实现与Web的连接 ⒋开发环境 随着Web应用的进一步深化,Web服务器已从单纯发布静态信息,发展 到能提供各种应用服务和对数据库的检索,不仅支持HTTP、也支持数 据库服务器,消息服务以及全文检索引擎。 目前比较流行的,主要的开发平台包括: 1)Lotus Notes 公司的Lotus Domino 它是该公司提供的首要的Web应用 服务器,支持多媒体和群件服务。它用Domino Action作为动态站点开发 工具,将Lotus Notes作为数据库服务器使用。 Notes虽不是关系型数据库 ,但为文字文档、多媒体文件等非结构化信息提供丰富的内存存储,所以 目前Lotus Domino用于开发办公自动化系统的较多。 2)Microsoft的IIS 与 Windows NT高度集成,并追加SQL server作为数据 库服务,其开发工具Active Server Page可以将无需编译的VB代码嵌入到 HTML标识中。 ⒌无状态记录 缺省条件下,web应用程序是没有状态记录,也就是说,服务器不保持 客户机的两次行为的连接。每次客户请求必须有登录、事务处理、退出。 以前的客户服务器应用程序需要客户建立一个会话,执行所需的事务处 理,然后明确地退出对话。这使得服务器能很容易获取当前客户机"状态 "的信息,例如访问权限、表单中字段的内容等等。无状态记录系统则要 求每个事务处理是独立的;服务器并不知道本次事务处理开始前有关客户 的状态信息。 无状态记录客户机/服务器应用程序可以简化两个问题:匿名登录和非显式 退出。服务器缺少客户状态的了解,会产生一些不必要的副作用,即增 加了服务器代码的复杂性。例如:当一个表单被提交时,服务器无法知道 表单中有些什么数据,也不知道这个表单是否是第一次提交。于是服务 器每次必须把它按第一次提交来进行事务处理。如果处理中发现有错, 整个表单将被全部送回客户机。 下面是三种处理无状态记录带来问题的解决方法: 1)在每个事务中传送全部客户状态信息。 2)使用“Cookie”把状态记录在服务器上。 3)用Java或Java script打开通往服务器的数据流。 ⒍胖服务器/瘦客户 Web客户/服务应用程序就是一个用表 单输入数据并能显示HTML的瘦型客户 机和一个能运行所有应用程序的十分 胖的服务器应用软件。当用户输入数 据时,极胖的服务器和极瘦的客户机 之间要进行大量数据传送而没有交互 作用,按下提交键,这些表单中的数 据将被送到服务器,如果有错,所有 数据将被送回客户机,同时标上出错 信息。换种说法,表单要作为一个整 体来处理。 随着Java、JavaScript和VBScript 等几种Web核心程序语言的出现, 这一切正在迅速地改变。对于要想 在客户机上实现高水平的数据正确 性检查,它们都是很理想的脚本语 言, 要检查的内容可有: 1)数据范围检查。 2)要用的字段是否填有数据。 3)与上下文相关的帮助。 4)确认联合选项的合理性。 5)检查数据合法性。 通过在客户机增加这些检查功能, 它们能: 1)显著地减少网上通信量。 2)降低服务器代码的复杂度。 3)减少服务器代码数量。 4)增强应用程序的响应能力。 ⒎浏览器/服务器应用的优缺点 基于Web的应用程序的开发优越 性如下: 缺点有: 1)许多因素影响应用程序的速度。 1)使开发所需资源最小。 2)网络传输不很理想。 2)对不同型号计算机适应能力较 强。 3)有限的客户端处理能力。 3)非常开放的解决方案。 四、 Windows NT、LINUX网络平台 ⒈Windows NT 4.0 网络操作系统 Windows NT是Microsoft公司开发的一种32位网络操作系统,充分体现 了客户/服务器的设计思想,集成了当前许多先进的技术,提供了强大的 功能和完善的结构,它采用了和Windows 95系统相一致的图形用户界面, 易于理解和操作,很容易实施管理。 Windows NT Server是面向网络服务器的网络操作系统,为网络应用提 供了功能强大的服务器平台。它不仅提供了可靠的文件和打印服务,并 且还提供了运行客户/服务器应用程序所需的体系结构。 Windows NT Server 4.0还是一种面向Internet/Intranet的网络操作系统,它内置有强 大的Internet/Intranet服务支持功能,可以很方便用来构成Internet信息服 务器,并且还内置有包括测览器在内的多种Internet访问工具。为了便于 系统的维护和管理, Windows NT Server 4.0还提供了多种内置的系统 管理工具。 Windows NT Workstation 4.0是面向网络工作组的操作系统,采用对等 式的网络通信机制,包含了Windows for Workgroups的所有功能,并且 上升到更强大的多任务环境。它既可单独作为桌面操作系统,用于对等 式通信的网络工作组环境,也可在Windows NT Server 4.0域环境中作为 工作站操作系统使用。 ⒉Windows 2000 网络操作系统 Microsoft Windows 2000产品家族是Windows NT 系列操作系统的下一 代产品, 其功能特点如下 (1)利用Internet开展业务 将业务扩展到Internet可以使得最新的信息在员 工,客户和合作伙伴之间快速传递更加容易。 (2)保证系统的高可靠性 (3)降低管理费用 (4)利用新硬件 Windows 2000包含了对网络,便携式计算机,以及外围 设备的先进的支持。 (5)逐渐增长的部署 ⒊ LINUX 网络平台 UNIX操作系统在过去的近30年里,经不断锤炼,现已成为一个在网络功 能、系统安全、系统性能等各个方面都非常优秀的操作系统。Linux作为 UNIX更新和发展的产物,是一个出于UNIX且胜于UNIX的操作系统,其 主要特点如下: 1)Linux是一个兼容各种UNIX标准的多用户、多任务的具有复杂内核的 操作系统 2)Linux是一个免费操作系统 3)Linux具有很强的适应性 4)卓越的兼容性 5)丰富的应用软件 第二节 楼宇内的Intranet 一、 Internet 二、 Intranet 三、 Web服务器 四、 HTML语言 五、 建立楼宇内的Intranet 一、 Internet ⒈ 什么是Internet Internet是第一个全球性论坛,是第一个全球性图书馆,任何人任何时候 都可以参与或使用。 Internet是人类历史上最伟大的成就之一。在历史上第一次使如此众多的 人们方便地通信和共享资源。在这里,你会发现人们能够自然地沟通和 互相帮助,你会看到Interent对人类文明、社会发展与进步所起的重要作 用。 Internet是建立在高度灵活的通信技术之上的一个己经硕果累累并正在迅 速发展的全球数字化信息库。Internet数字化信息库提供了用以创建、浏 览、访问、搜索、阅读、交流信息的形形色色的服务。其中信息所针对 的话题范围极其广泛,包括从科学实验的结果到关于娱乐活动的讨论等 许多方面。Internet数字化信息库中的信息可被记录于便签、组织成菜单、 存储为超媒体文档或保存于文本文档中。另外,能够通过这一数字化信 息库进行访问的信息是由多种数据(包括声音和视像)所构成。再者,由 于各种服务已被集成化并建立了交叉参照,因而用户可以无缝地将信息 从一台计算机上转移到另一台计算机上,还可从一种服务转移到另一种 服务上。 ⒉ Internet的发展 Internet起源于美国国防部高级研究计划署建立的实验性网络 ARPANET,这是一个较完善的分布式跨国计算机网络,建网的初衷是 帮助美国军方的研究人员通过计算机交流信息。 作为Internet的早期主干网,ARPANET奠定了Internet存在和发展的基 础,它较好地解决了异种机网络互联的一系列理论与技术问题,所产生 的资源共享、分散控制、分组交换以及使用单独的通信控制处理机与网 络通信协议分层等思想,成为当代计算机网络建设的支柱。 以美国Internet为中心的网络互联迅速向全球扩展,连入Internet的国家 和地区日益增多,流经Internet的信息量不断增长。用户及连接计算机台 数增多的主要原因是所流经的信息类型的变化,尤其是WWW(World Wide Web)的超文本服务普及是信息激增的最大原因。 ⒊ Internet提供的主要服务 ⑴远程登录服务(Telnet) ⑵文件传输服务(FTP) ⑶电子邮件服务(E-Mail) ⑷文档查询索引服务 1)Archie 2)WAIS(Wide Area Information Service) ⑸检索工具 1)Gopher服务 2)WWW服务 ⒋ 客户/服务器机制 所有的Internet服务项目都使用“客户/服务器”机制,其实学习使用 Internet就意味着学会如何使用一种客户程序。每种客户程序都有自己特 定的指令和规则,比如Gopher的一套指令就不同于Archie客户程序。 Internet上最著名的客户程序是Netscape 和IE。 二、 Intranet ⒈ Intranet概述 Intranet也称企业互联网,是传统企业网与Internet相结合的新型企业网 络。它是采用Internet技术建立的企业内部专用网络。它以TCP/IP协议 作为基础,以Web为核心,构成统一和便利的信息交换平台。 传统的企业网大多采用的是以Novell,Windows NT,Unix等操作系统为代 表的局域网技术,它在网络内部具有较强的系统管理、文件传输能力, 但是在远程管理、远程信息共享,与外界的信息交换等方面有明显的不 尽人意之处。而Internet如今已成为全球最成功的通信网络,深入到各行 各业。它提供了例如E-mail、FTP,WWW、Gopher、在线服务等诸多强 大功能,尤其是WWW以全图形化连接方式,提供了寻找其他网络资源 及工具的方便的、完整的、快捷的解决方案。 在这种情况下,一种将传统局域网的内部管理、安全优势,同Internet的 开放、资源丰富的优势相结合的新型企业网Intranet便应运而生了。 ⒉ Intranet的特点 Intranet有以下的特点: 1)Intranet归企业的内部使用,因此对用户有严格的权限控制,并设置防火 墙等安全机制。 2) Intranet的页面每天是动态的,能够实时反映数据库的内容,用户可以 查询数据,还可以增加、修改和删除数据库的内容 . 3) 在网络拓扑结构上采用传统的构网理论,但在技术上,以Internet协议 和Web技术为基础。 4)采用TCP/IP作为网络的传输协议 5)采用了浏览器/服务器(Brower/Server)结构 6)强大的远程管理、信息共享的功能。 7)系统建立容易 8)Intranet的开发是简单的 ⒊ Intranet的功能 1)内部信息发布 2)充分利用现有的数据库资源 3)理想的销售工具 4)改善内部交流和技术支持的工具 5)协同工作环境 ⒋ Intranet安全管理 网络安全措施可分为:加密技术和防火墙技术。前者对于网络中传输的 数据进行加密处理,在达到目的地址后,解密还原为原始数据,因此防止 非法用户对信息的截取和盗用。防火墙技术通过对网络的隔离和限制访 问的方法,来控制网络的访问权限,从而保护网络资源。 常用到的SSL安全措施就是利用加密技术。SSL被广泛应用于Netscate , 和Microsoft等公司的WWW服务器和浏览器软件产品中。在建立网络时 可根据需要选择具有SSL保密措施的WWW软件产品。 防火墙技术是一种访问控制技术,它用于加强两个或多个网络间的边界 防卫能力。其工作方法是在公共网络和专用网络之间设立隔离墙,在此 检查进出专用网络的信息是否被允许通过,或用户的服务请求是否被允 许,从而防止对信息资源的非法访问和非法用户的进入,它属于一种被 动型防卫技术。由于防火墙只能对跨越网络边界的信息进行监测、控 制,而对网络内部人员的攻克不具备防范能力,因此单纯依靠防火墙保 护网络的安全性是不够的,还必须与其他安全措施综合使用,才能达到 目的。 三、 Web服务器 ⒈ 组建Web Server的原则 ⑴安全性 ⑵数据库访问和集成 ⑶处理请求的能力 ⑷处理多线程的能力 ⑸远程维护和管理能力 ⒉ CGI(公共网关接口) 一般的CGI可以应用在以下几个 方面: ①通过一个HTML表格,收集有 关自已的WWW站点内容的访问 者反馈; ②在进行Web查询时,动态进行 系统文件的转换; ③对Archie或WAIS数据库进行查 询,并返回HTML文件格式的结 果。 构造一个CGI应用程序一般分为 以下四步: 1)做一个含表格(Form)的HTML 文档。用户正是通过填写Form, 才将参数传递给CGI程序,以便 实现其功能设计。 2)确定传递参数的方式:POST 或GET。两种不同的方式决定了 其处理方法的差异。 3)对传递的参数进行解码。 4)编程实现特定的功能。 ⒊ Web与数据库 ⒋ 从Web访问数据库的方法 数据库对Web的支持可以有几个 级别 : ⑴通用CGI技术 ⑵Web API应用程序接口 ⑴户通过Web来查询预先已存储 在数据库中的信息 ⑶JDBC技术和应用服务器模式 ⑵完全通过Web的形式对数据库 进行维护 ⑶通过Web实现以往传统数据库 管理系统的全部功能 四、 HTML语言 ⒈HTML语言概述 每一个包含超媒体文档的网页都 采用一个标准的表示方式。被称 作为超文本排版语言 HTML(Hyper Text Markup Language)的标准允许作者给出 一个通用的向导行来显示并说明 网页的内容。 ⒉HTML格式与表示方式 每个HTML文档分为两个主要部 分:头部后紧跟着主体。头部包 含了文档的细节,而主体则包含 了大部分信息。 五、 建立楼宇内的Intranet ⒈系统功能 ⒉应用功能 ⒊管理功能 ⒋用户操作 ⒌信息服务 ⒍数据存储 ⒎系统结构 ⒏网络操作系统 ⒐Web 服务器 ⒑邮件服务器 ⒒数据库服务器 第三节 网络的安全技术 一、网络信息的安全 二、防火墙技术 三、虚拟专用网VPN 四、Internet接入设计 一、网络信息的安全 ⒈影响网络信息安全的因素 1)非授权访问 2)冒充合法用户 3)破坏数据的完整性 4)干扰系统正常运行 5)病毒与恶意攻击。 6)线路窃听 ⒉计算机网络的安全策略 ⑴物理安全策略 ⑵访问控制策略 ⑶ 确保网络安全的措施 二、防火墙技术 采用防火墙可以满足以下功能 1)访问控制 实施企业网与外部、企业内部不同部门之间的隔离2)普通授 权与认证 提供多种认证和授权方法,控制不同的信息源。 3)内容安全 对流入企业内部的网络信息流实施内部检查,包括URL过滤 等等。 4)加密 提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传 输。 5)网络设备安全管理 目前一个企业网络可能会有多个连通外界的出口, 如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之 间可能亦会有由多级网络设备隔离的小网络。根据信息源的分布情况,有 必要对不同网络和资源实施不同的安全策略和多种级别的安全保护,如可 以在防火墙上实施路由器、交换机、访问服务器的安全管理。 6)集中管理 实施一个企业一种安全策略,实现集中管理、集中监控等。 7)提供记帐、报警功能 实施移动方式的报警功能,包括E-mail、SNMP等。 防火墙的架构与工作方式 防火墙可以使用户的网络划规划更加清晰明了,全面防止跨越权限的数 据访问(因为有些人登录后的第一件事就是试图超越权限限制)。一套 完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器 是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行 检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议 号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP 包进行过滤。代理服务器是防火墙中的一个服务器进程,它能够代替网 络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的 网关,一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP 应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用户 提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认 证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过 程可以对胜户完全透明。用户提供的用户身份及认证信息可用于用户级 的认证。最简单的情况是:它只由用户标识和口令构成。但是,如果防 火墙是通过Internet可访问的,应推荐用户使用更强的认证机制,例如 一次性口令或回应式系统等。 所有的防火墙都具有IP地址过滤 功能。这项任务要检查IP包头, 根据其IP源地址和目标地址作出 放行/丢弃决定。 当PC客户机向UNIX计算机发起 telnet请求时,PC的telnet客户 程序就产生一个TCP包并把它传 给本地的协议栈准备发送。接下 来,协议栈将这个TCP包“塞” 到一个IP包里,然后通过PC机的 TCP/IP栈所定义的路径将它发送 给UNIX计算机。在这个例子里, 这个IP包必须经过横在PC和UNIX 计算机中的防火墙才能到达UNIX 计算机。 配制防火墙把所有发给UNIX计算 机的数据包都给拒了,完成这项 工作以后,防火墙还会通知客户 程序。既然发向目标的IP数据没 法转发,那么只有和UNIX计算机 同在一个网段的用户才能访问 UNIX计算机了。 防火墙最基本的功能:根据IP地 址做转发判断。由于黑客们可以 采用IP地址欺骗技术,伪装成合 法地址的计算机就可以穿越信任 这个地址的防火墙了。不过根据 地址的转发决策机制还是最基本 和必需的 服务器TCP/UDP 端口过滤 仅仅依靠地址进行数据过滤在实际 运用中是不可行的,还有个原因就 是目标主机上往往运行着多种通信 服务,在地址之外我们还要对服务 器的TCP/ UDP端口进行过滤。 比如,默认的telnet服务连接端口 号是23。假如不许PC客户机建立对 UNIX计算机(在这时我们当它是服 务器)的telnet连接,只需命令防 火墙检查发送目标是UNIX服务器的 数据包,把其中具有23目标端口号 的包过滤就行了。 客户机也有TCP/UDP端口 TCP/IP是一种端对端协议,每 个网络节点都具有唯一的地址。 网络节点的应用层也是这样, 处于应用层的每个应用程序和 服务都具有自己的对应“地 址”,也就是端口号。地址和 端口都具备了才能建立客户机 和服务器的各种应用之间的有 效通信联系。比如,telnet服 务器在端口23侦听入站连接。 同时telnet客户机也有一个端 口号,否则客户机的IP栈怎么 知道某个数据包是属于哪个应 用程序的呢? 双向过滤 可以配置防火墙:已知服务的数 据包可以进来,其他的全部挡在 防火墙之外。比如,如果知道用 户要访问Web服务器,那就只让 具有源端口号80的数据包进入网 络。 不过新问题又出现了。首先,你 怎么知道你要访问的服务器具有 哪些正在运行的端口号呢? 象 HTTP这样的服务器本来就是可以 任意配置的,所采用的端口也可 以随意配置。如果你这样设置防 火墙,你就没法访问哪些没采用 标准端口号的的网络站点了!反 过来,你也没法保证进入网络的 数据包中具有端口号80的就一定 来自Web服务器。有些黑客就是 利用这一点制作自己的入侵工具, 并让其运行在本机的80端口! 检查ACK位 在TCP包头上设置一个专门的位就可 以完成响应功能。所以,只要产生 了响应包就要设置ACK位。连接会话 的第一个包不用于确认,所以它就 没有设置ACK位,后续会话交换的 TCP包都要设置ACK位。 举个例子,PC向远端的Web服务器发 起一个连接,它生成一个没有设置 ACK位的连接请求包。当服务器响应 该请求时,服务器就发回一个设置 了ACK位的数据包,同时在包里标记 从客户机所收到的字节数。然后客 户机就用自己的响应包再响应该数 据包,这个数据包也设置了ACK位并 标记了从服务器收到的字节数。通 过监视ACK位,就可以将进入网络的 数据限制在响应包的范围之内。 FTP带来的困难 一般的Internet服务对所有的通信都只使用一对端口 号,FTP程序在连接期间则使用两对端口号。第一对端口号 用于FTP的“命令通道”提供登录和执行命令的通信链路, 而另一对端口号则用于FTP的“数据通道”提供客户机和服 务器之间的文件传送。 在通常的FTP会话过程中,客户机首先向服务器的端口 21(命令通道)发送一个TCP连接请求,然后执行LOGIN、 DIR等各种命令。一旦用户请求服务器发送数据,FTP服务器 就用其20端口 (数据通道)向客户的数据端口发起连接。问 题来了,如果服务器向客户机发起传送数据的连接,那么它 就会发送没有设置ACK位的数据包,防火墙则按照刚才的规 则拒绝该数据包同时也就意味着数据传送没戏了。通常只有 高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服 务器的端口,然后才许可对该端口的入站连接 UDP端口过滤 最简单的办法就是不允许建立入站UDP连接。防火墙设置为 只许转发来自内部接口的UDP包,来自外部接口的UDP包则不 转发。现在的问题是,比方说,DNS名称解析请求就使用UDP, 如果你提供DNS服务,至少得允许一些内部请求穿越防火墙。 有些新型路由器可以通过“记忆”出站UDP包来解决这个问 题:如果入站UDP包匹配最近出站UDP包的目标地址和端口号 就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝 它了!但是,我们如何确信产生数据包的外部主机就是内部 客户机希望通信的服务器呢?如果黑客诈称DNS服务器的地 址,那么他在理论上当然可以从附着DNS的UDP端口发起攻击。 只要你允许DNS查询和反馈包进入网络这个问题就必然存在。 办法是采用代理服务器。 三、虚拟专用网VPN VPN(Virtual Private Network)虚拟专用网是在非安全网络上建立专用的 安全的网络连接技术,一般提供的服务有:验证、加密和保证数据完整 性。 VPN按照接入方式可以分为专线VPN和拨号VPN;按照协议类型划分: 第二层隧道协议:包括点到点隧道协议(PPTP,Point to Point Tunnel Protocol) 第二层转发协议(L2F,Layer 2 Forwarding) 第二层隧道协议(L2TP,Layer 2 Tunnel Protocol) 第三层隧道协议:包括IP安全(IPSec,Internet Protocol Secruity) ,通用 路由封装协议(GRE,General Router Encapsulation)。 ⒈VPN技术 ⑴ 隧道技术 VPN利用一种称为“隧道技术”的处理方法,在Internet 上传送加密的信息。隧道技术就是将网络数据包封装在另一个数据包中 的过程。其优点是能够隐藏实际发送者、接收者的IP地址及其他协议信 息(例如它可以隐藏数据包中是否包括Email或网页信息)。在Internet 上传送的加密数据包,只有VPN端口(或网关)的IP地址暴露在外面。 ⑵ 加密技术 加密是修改信息以使其不能被预期接收者以外的其他人读 取的技术。这些工作主要是通过数学算法(加密算法)来实现。它需要 “钥匙”(密钥)对原始数据“开锁”(解密)。使用相同密钥来对数 据进行加密或者解密的过程被称为“对称加密算法”,如DES和RC4;使 用不同密钥(公钥和私钥)来加密和解密的算法被称为“非对称加密算 法”或“公开密钥加密算法”,如RSA和Diffie-Hellman。 ⑶ 认证技术和数据完整性 除了加密和解密,VPN也需核实信息发送方 的身份,并确保信息在Internet上传送时没有被篡改。核实发送者身份 的过程被称作“认证”。认证通过用户的名字和口令来实现,或通过被 称作“电子证书”或“数字证书”的信息来完成。电子证书包括加密参 数。它是唯一被用作验证用户或主系统身份的工具。核实数据传输过程 中没有被外部人员篡改的过程称作“数据完整性检查”。完整性检查通 过数学算法来完成,即Hash函数。在数据被送出之前对数据进行处理, 当接收到数据时,使用相同的Hash函数处理,如果得到的结果相同,则 说明数据没有被篡改。 ⒉VPN的意义 1)实现远程办公VPN。对于同时连接两个或各个远程公司网络是非常理想 的。利用VPN,外地职员能够利用本地的Internet接入而安全地享受到企 业内部网站、收发Email、召开会议以及在不同地区网络之间文件共享等 好处。就是说,VPN可安全地用作将多个分公司与总公司之间连接起来。 2)实现远程用户VPN。利用VPN可允许公司之外的远程用户、合作伙伴、 供应商通过Internet安全地访问公司局域网。 3)实现各网互联VPN。可同时连接两个或多个远程公司网络,实现多网之 间安全的数据通信。 ⒊VPN产品选择和安装配置 VPN产品基本上可分成三大类:基于系统的硬件、独立的软件包和基于系 统的防火墙。 硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密 密钥,因此,较之基于软件的同类产品更不易被破坏.加密路由器的速度快, 当链路的传输速度超过T1(1.554Mbps),硬件VPN性能更好。 基于软件的VPN可能提供更多的灵活性。许多产品允许根据地址或协议打 开通道,而硬件产品则不同,它们一般为全部信息流量打开通道,而不 考虑协议要求。因流量类型不同,特定的通道在远程站点可能遇到混合 信息流时分优先级,例如有些信息流需要通过VPN进入总部的数据库,有 些信息流则是在网上冲浪。在一般情况下,如通过拨号链路连接的用户, 软件结构也许是最佳的选择。 基于防火墙的VPN则利用了防火墙安全机制的优势,可以对内部网络访问 进行限制。此外,它们还执行地址的翻译,满足严格的认证功能要求, 提供实时报警,具备广泛的登录能力。大多数商业防火墙还能通过剔除 危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操 作系统级的安全指导,因此,提供操作系统保护是这种VPN的一大优势。 四、Internet接入设计 一级防火墙:此防火墙为隔离Internet与电视台局域网的第一道屏障。 Web服务器接入:用一台10/lOOM交换机连接本系统的Web服务器和一、 二级防火墙。二级防火墙:二级防火墙的实际作用是隔离Web服务器和接 在中心交换机上的数据库服务器。冷备份服务器:建议在系统中再配置一 台冷备份服务器。 ISDN ISDN Internet 数据库服务器 路由器 一级防火墙 10/100Mbps交换机 二级防火墙 10/100Mbps交换机 Intranet WEB服务器 冷备份服务器