计算机应用专业系列教材

计算机应用专业系列教材

计算机网络

乐清电大网络信息中心

陶静烽 2

第五章计算机网络应用开发与相关技术

1.掌握网络管理主要内容。 2.掌握网络运行时的安全知识。 3.理解网络数据库接口。 4.理解代理服务器技术。 5.理解有关网络的法律法规。 6.了解知识产权知识。 7.了解电子商务。 8.了解网上教育和网上办公。


陶静烽 3

5.1 计算机网络管理技术

当前计算机网络具有以下几个特点： 1.地理分散性 2.网络体系结构的复杂性 3.网络通信容量大幅度增加 4.网络的变动性增加


陶静烽 4


网络管理是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。网络管理的基本目标是将所有的管理子系统集成在一起，向管理员提供单一的控制方式。为此，网络管理建立了相应的网络管理模型：

1.功能模型； 2.体系结构模型； 3.信息模型； 4.组织模型。


陶静烽 5


网络管理涉及以下三个方面：网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能；

网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；

网络处理是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。


陶静烽 6

网络管理方法的演变

传统的人工分散管理→计算机化的集中管理传统的人工分散管理 : 局限于本地计算机化的集中管理 : 全网设置一个或多个网络管理中心

NMC NMC负责收集各地交换局的状态数据 ,然后对采集到的网络数据汇总并加以分析与综合 ,找出各地、各个交换局之间的相关性，统一调度和使用网络资源，实现了几乎实时的网络管理

分离的多系统管理→电信管理网综合管理电信管理网 TMN，目的：寻求一种统一而简便的方法——尚在探索中

传统网络→主动网络（ active network）传统网络：被动的传输字节主动网络：一种可编程的网络。

具有提供使用者输入定制程序到网络中的能力。网络节点解释这些程序后，对流经网络节点的数据进行所需的操作如：在视频多路广播中，每个节点的视频压缩方式都会基于对每个节点的计算和网络有效带宽而进行相应的调整


陶静烽 7

5.1.2 网络管理的功能

网络管理的五大功能：一、配置管理二、故障管理三、性能管理四、安全管理五、计费管理


陶静烽 8

配置管理

最基本的网络管理功能。它负责网络的建立、业务的展开、以及网络的配置，并由此建立管理资源信息库，为其它网络管理功能所用。其主要功能包括：

资源清单管理功能资源开通功能业务开通功能网络拓扑服务功能：网络布局有三种形式：物理布局、逻辑布局和电气布局


陶静烽 9

故障管理

目的就是迅速发现和纠正网络故障，动态维护网络的有效性。其主要功能有：

告警监测功能：包括网络状态监督和故障检测两方面。

故障定位功能：目的在于确定故障的位置，其手段主要有诊断、试运行和软件检查等。

测试业务恢复维护故障日志


陶静烽 10

性能管理

目的是维护网络服务质量和网络运行效率。主要提供性能监测功能、性能分析功能、以及性能管理控制功能。同时，还要提供性能数据库的维护和在发现性能故障时启动故障管理系统的功能。

网络性能指标：性能管理中需要一组能够迅速、准确、全面地反映网络性能的指标。这些指标分为面向服务质量的和面向网络效率的两大类。面向服务质量的指标包括：有效性、响应时间和差错率。面向网络效率的指标包括：网络吞吐量和利用率。

性能监测功能：对网络的性能数据进行连续的采集。性能分析功能：一是对监测到的性能数据进行统计和处理；二是负责维护性能数据库；三是获得性能的变化趋势；四是在网络性能异常时向网络管理员告警。

性能控制功能：包括监测网络中的业务量，优化网络的利用。


陶静烽 11

安全管理

网络的薄弱环节之一。网络中主要有以下几大安全问题：网络数据的

私有性，授权，访问控制。相应的网络安全管理应该包括对授权机制、访

问机制、加密和加密关键字的管理，另外还要维护和检查安全日志。


陶静烽 12

计费管理

计费管理一般分为四个模块：（ 1）服务事件监测功能：负责从管理信息流中捕捉用户使用网络服务的事件。

（ 2）资费管理功能：按照资费政策，计算为用户提供的网络服务应收取的费用。

（ 3）服务管理功能：根据资费管理功能模块和计费控制模块的控制信息，限制用户可使用的业务种类。

（ 4）计费控制功能：负责管理用户帐号和服务管理规则等。


陶静烽 13

5.1.3 网络管理的体系结构

基于 TCP/IP网络的管理信息结构（ SMI）其基本指导思想是支持 MIB的简单性和可扩充性，避免复杂的数据类型和结构。

基于 TCP/IP网络的管理信息库（MIB）是网络管理数据的标准，在这个标准中详细规定了网络元素必须保存的数据项目，数据类型以及每个数据项目中的操作。

简单网络管理协议（ SNMP）提供了管理系统的授权管理。所有的操作可用

“取——存”模式表示，而没有定义大量的操作。主要优点是稳定性，简单和灵活性。


陶静烽 14

管理信息库

管理信息库（MIB）是管理进程的一部分，用于记录网络中被管理对象的状态参数值；

一个网络的管理系统只能有一个管理信息库，但管理信息库可以是集中存储的，也可以由各个网络设备记录本地工作参数；

网络管理员只要查询有关的管理信息库，就可获得有关网络设备的工作状态和工作参数；

在网络管理过程中，使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种：事件驱动与轮询驱动方法。


陶静烽 15

简单网络管理协议 SNMP

SNMP：事实上的网络管理工业标准基于 TCP/IP

SNMP管理模型分为三部分：被管理系统：被管理的所有网络上的设备—分布在不同的地理位置代理（ agent）管理数据库MIB

网络管理系统 NMS: 在 LAN上选定的一个工作站装上网管软件构成

SNMP管理协议 : 定义了管理者和代理之间的通信方法


陶静烽 16

SNMP 管理模型的结构

MIB

...

网络管理员

管理进程

管理代理

主机

MIB

管理代理

网关

MIB

管理代理

终端服务器

用户界面

管理应用程序

管理者 (manager ）

网络管理系统

NM

S

网管工作站

被管理系统

SNMP 协议 SNMP 协议 SNMP 协议


陶静烽 17

代理 Agent

代理（ agent）—在各个可管理的网络设备中（包括网卡）都有一个可管理软件 Agent实现对被管理设备的自身管理 Agent能监听所在网络设备及其周围的局部网络的工作状况 ,收集网络信息

Agent 响应来自网络管理系统的定期轮询 Agent接受管理者的指令 Agent在某些紧急事件 (设定有阈值 ) 发生时 ,主动向 NMS 发起报警


陶静烽 18

5.1.4 网络管理系统介绍

以主机厂商为主开发的： HP公司的 OpenView、 SUN公司的 NetMan

ager、 IBM公司的 NetView 以网络厂商为主开发的： Cisco公司的 Cisco Works、 Cabletron公司的 Spectrum

第三方出品的网络管理工具： CA公司的 Unicenter TNG和 NetworkIT、Mi

rcrosoft公司的 System Management Server


陶静烽 19

HP OpenView 特点

（ 1）自动搜索网络拓扑图： OpenView一启动，缺省的网段就能被自动发现。（ 2）性能和吞吐量分析：其中的一个应用系统 HP LAN Probe可用于性能分析。（ 3）历史数据分析：任何指标的数据报告都可以实时地以图表的形式显示出来。

（ 4）多厂商支持：任何厂商的MIB定义都能很容易地集成到 OpenView中。


陶静烽 20

Cisco Works 功能

（ 1）自动安装管理器（ 2）图形管理界面（ 3）配置管理：访问网络中本地与远程设备的配置文件，并在必要时分析和编

辑它们。能够比较数据库中两个配置文件的内容。（ 4）设备管理：创建和维护 MIB数据库。


陶静烽 21

CA 的 NetworkIT

（ 1）预测管理（ 2）以业务为核心进行管理（ 3）支持广泛的协议：支持更多协议与网络，并能够跨网络实现可视化、关联与管理。

（ 4）支持现代网络基础结构：比其它平台更广阔，涵盖更多的现代网络基础结构设备，包括交换机、帧中继和 ATM。

（ 5）性能管理：提供了性能与响应时间管理的所有相关功能。


陶静烽 22

网络管理系统的各种实现结构

常见的三种方式：集中式分布式分层结构


陶静烽 23

网络管理系统的各种实现结构集中式扩展能力受限

网络代理

节点

MIB 代理 MIB

节点节点节点

节点

代理

节点

管理者

MIB

管理者

应用程序应用程序

公共 API 接口


陶静烽 24

网络管理系统的各种实现结构分布式每个域设立一个管理者

扩展能力好

网络代理

节点

MIB 代理 MIB

节点节点节点

节点

代理

节点

管理者 1

MIB

管理者N

…管理域 1 管理域

N


陶静烽 25

网络管理系统的各种实现结构分层结构每个域设立一个管理者扩展能力很好较容易开发综合应用程序

网络代理

节点

MIB 代理 MIB

节点节点节点

节点

代理

节点

管理者 1

MIB

管理者N

…管理域 1 管理域

N

管理者的管理系统 MoM


陶静烽 26

5.2 计算机网络安全技术

网络安全技术的重要性网络安全问题已经成为信息化社会的一个焦点

问题；每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。


陶静烽 27

计算机安全

计算机安全是指为了保护数据处理系统而采取的技术的和管理的安全措施，保护计算机硬件、软件和数据不会因偶尔或故意的原因而遭到破坏、更改和泄密。

绝对安全的计算机是根本不存在的。 Siyan： [要想让自己的计算机安全，首先要让它与

外界隔离，不允许任何其他人使用，还要放在保险柜里，用防炸弹的钢板保护。这样还不够安全，要在房间的内部放入化学毒气，还要在门外站有一个连的士兵，整个这样的计算机仍然不让人感到安全。 ]


陶静烽 28

计算机安全的主要内容

计算机硬件的安全性软件安全性数据安全性计算机运行安全性


陶静烽 29

网络安全

网络安全是指通过采取各种技术的和管理的安全措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络厂商和交换的数据不会发生增加、修改、丢失和泄漏等。可概括为以下几个方面：

保密性完整性可靠性实用性可用性占有性


陶静烽 30

网络安全技术研究的基本问题

构成对网络安全威胁的主要因素与相关技术的研究

网络防攻击问题网络安全漏洞与对策问题网络中的信息安全保密问题网络内部安全防范问题网络防病毒问题网络数据备份与恢复、灾难恢复问题

可以在 OSI模型的每个层次上都采取一定的措施全方位的：物理、网络、系统、数据、用户


陶静烽 31

网络中的信息安全保密

信息存储安全与信息传输安全信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用；信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击


陶静烽 32

5.2.2 网络安全策略

1. 保护办公地点2. 保护工作站3. 保护服务器4. 保护电缆


陶静烽 33

网络安全服务的主要内容

网络安全服务应该提供的基本服务功能：

数据保密（ data confidentiality）认证（ authentication）数据完整（ data integrity）防抵赖（ non-repudiation）访问控制（ access control）


陶静烽 34

代表性安全技术

访问控制与口令技术防火墙技术加密技术数字签名技术身份认证


陶静烽 35

5.2.3 访问控制与口令技术

网络的访问控制可以分为两个方面。一方面是控制来自于外部不知名的用户通过网络服务对主机的访问。另一方面是控制组织内部人员对网络系统的访问。

口令是访问控制简单而有效的方法，只要口令保护机密，非授权用户就无法使用该帐号。


陶静烽 36

口令的选择

选择长的口令，口令越长，被破译的几率就越低。

好的口令包括英文字母和数字、标点符号、控制字符的组合。

取用个人信息，普通的英语单词不好。用户若可以访问多个系统，则不要使用相同的口令。

使用 Unix安全程序，如 passwd+和 npasswd程序来测试口令的安全性。


陶静烽 37

口令的管理

用户应该定期更换自己的口令。最好不要用电子邮件传送口令，如果一定这么做，则最好对电子邮件进行加密。

如果某帐号长期不用，应将其暂停。根据场所安全策略，确保除了 root 外没有任何公共的用户帐号。

定期检查日志文件，以便检查登录成功或不成功的消息日志。


陶静烽 38

密码学基本概念

密码学：研究如何实现秘密通信的科学密码编码学密码分析学

矛与盾，孰固之？！

这真是个难题！！


陶静烽 39

题外话：密码和政府

十一世纪的《武经总要》详细记载了一个军用密码本十七世纪欧洲各国的密码机构：黑屋；奥地利最好：秘密内阁办公厅

1722年，康熙的九阿哥争皇位败给四阿哥雍正，流放到西宁，九阿哥用拉丁文作为和他儿子的通信密码

一次世界大战期间，英国的“四十号房间“破译”了 1万 5千多份德国密码电报

现代：各国政府试图读出敌对国家和友好国家的加密信息→一次例外： 1929年新任美国国防部长史汀生：绅士不看他人信件！取消对美国黑屋的财政津贴，→建立的军方的密码机构→美国国家安全局 NSA，多年来秘密存在，约 4万职员，云集了大量数学家→据传 NSA能进入世界各国的银行数据库！

现在：德国、俄罗斯 -- 密码被视为一种武器，使用它需要得到特别允许；美国 -- 允许任何人使用，但限制出口。


陶静烽 40

数据加密与解密

将明文变换成密文的过程称为加密；将密文经过逆变换恢复成明文的过程称为解密。

加密过程密文明文

信息源结点

解密过程密文明文

信息目的结点


陶静烽 41

密码学的基本概念单钥密码的加密、解密过程

双钥密码的加密、解密过程保密通信

数字签名

密文加密算法解密算法

明文还原出来的明文K K


明文还原出来的明文K1 K2


明文还原出来的明文K2 K1


陶静烽 42

单密钥算法

现代密码使用极为复杂的加密算法 ,使破译者无法找出破译秘文的方法。

DES算法框图如右：作用： DES 算法的核

心，是数据扩散和混淆

输入 64 比特明文数据

初始置换 IP

在密钥控制下进行 16 轮迭代

交换左右 32 比特

初始逆置换 IP-1

输入 64 比特密文数据


陶静烽 43

56 比特密钥→密钥量 256≈1017 个，难以对付穷举攻击：

1977 年构思的 VLSI 芯片：•估计造价： $2000 万 / 芯片•搜索时间： 24 小时

1993 年设计的密钥搜索机器：•估计造价： $17.36/ 芯片•搜索时间： 35 小时→代价约： $10 万

3.5 小时→代价约： $100万•1997 年 RSA 数据安全公司的“密钥挑战赛”：

•程序员 Verser + 万名自愿者 + 分布式计算 + 穷举法 +96 天→破译 DES ，奖金$1 万

•1999 年 1 月 EFF ： 22.25 小时破译 DES

•1998 年 7 月 EFF ： $25 万电脑一台 +56 小时→破译 DES

但是：目前除了穷举法外，还没有找到破译 DES 的捷径

单密钥算法 -DES 算法


陶静烽 44

公钥密码体制的基本原理

经典密码体制和对称密码体制中：如果一个密码分析者知道了加密变换，则他会很容易知道解密变换。所以加密变换不可公开（密钥要受保护）

• 可否制作一种不同的系统呢？：可以安全的公开加密方法，即密码分析者也会知道加密变换，但是他（她）仍然无法解密你的密文→这就是公钥密码学想要做到的：公开加密变换！ →这就是 1976 年， Diffie 和 Hellman 提出的思想：《密码学新方向》《 New Directions in Cryptography 》


陶静烽 45

公钥密码体制的基本原理 : RSA 算法

1977~1978年由MIT计算机研究实验室的 Rivest, Shamir, Adleman 研制、发表

标志着公钥密码思想的实现对于一个非常简单的数论（研究整数的规律性）思想的一个聪明应用：很容易将两个素数乘起来，但是分解该乘积却非常困难故：该乘积可公开且可作为加密公钥，

要解密则必须使用这两个素数


陶静烽 46

RSA 算法：密码体制的构建

选择两个大素数 p和 q（一般要在 128 位以上）令 : n=p×q， φ（ n） =（ p-1） ×（ q-1）

其中 φ是欧拉函数找一随机正整数 e，使得 e与 φ （ n）的最大公因数为

1 令： d × e≡1［ mod φ （ n）］令： k= ｛ n, p, q, d， e｝以｛ e， n｝为公开密钥以｛ p， q， d｝为私有密钥加密变换：Me ≡ C ( mod n), M为明文， C为密文解密变换： Cd ≡ M ( mod n)


陶静烽 47

RSA 算法：密码体制的构建

1977~1978年，MIT计算机研究实验室的 Rivest, Shamir, Adleman做了以下演示：

取出两个素数： p=47, q=59 →N=p×q=2773 取 E=17，→ D=157 明文是恺撒大帝： its all greek to me →转换为明文数字：

0920 2900 0112 1200 0718 0505 1100 2015 0013 0500 取第一个信息组： 0920， E次方，即： 92017，每次相乘后只保留余数模 2773，最终得到： 948，即第一组密文。

最终的密文为：0948 2342 1084 1444 2663 2390 0778 0774 0219 1655

收信人解密：取第一个密文组： 0948， D次方，即： 948157，每次相乘后只保留余数模 2773，最终得到： 920，即第一组明文。


陶静烽 48

RSA 算法：素数传奇

素数（质数，常用 q表示）：＞ 1且没有真因数的自然数（例如２、３、５、７、１１等，注意： 1不是素数）

素数有无穷多２５００年前，希腊数学家欧几里德证明了素数是无限的

梅森素数欧几里德提出少量素数可写成“２的ｎ次方减１”的形式，这里ｎ也是一个素数。此后许多数学家曾对这种素数进行研究，１７世纪的法国教士马丁·梅森是其中成果较为卓著的一位，因此后人将“２的ｎ次方减１”形式的素数称为梅森素数。


陶静烽 49


因特网梅森素数大搜索１９９５年，美国程序设计师乔治 · 沃特曼整理有关梅

森素数的资料，编制了一个梅森素数计算程序，并将其放置在因特网上供数学爱好者使用，这就是“因特网梅森素数大搜索”计划。

目前有６万多名志愿者、超过２０万台计算机参与这项计划。该计划采取分布式计算方式，利用大量普通计算机的闲置时间，获得相当于超级计算机的运算能力

第３７、３８和３９个梅森素数都是用这种方法找到的。

美国一家基金会还专门设立了１０万美元的奖金，鼓励第一个找到超过千万位素数的人。

目前发现（ 2003 年）的最大的素数：２的２０９９６０１１次方减１，拥有６３２０４３０位数，是第 40 个梅森素数。发现者：美国密歇根州立大学２６岁的研究生迈克尔 ·

谢弗耗时：两年多


陶静烽 50


与素数相关的两大疑问： “歌德巴赫猜想”：每个大于 2 的偶数是两个素数

之和素数的乘法：两个素数相乘很简单但：对于很大的数，就难以从其结果中看出

它是由什么素数组成的了！如： 85=5×17 容易但：如已知 1009961 、 49048499 是两个素

数的乘积，能猜出是那两个素数相乘吗？！实际上：目前人们还无法在遇到一个由两个

素数相乘得到的 200 位的数时，重建这两个素数


陶静烽 51

RSA 算法：素数传奇 RSA小组中的 S和 A， 1977年 8月在《科学的美国人》杂

志上刊登了一个长 129 位的数字，奖赏 $100: 寻找构成该数的两个素数因子：

N=114381625757888876692305971235639587050505898907514759929002687954354177997614661201021829672124236256256184293570693524573889783

如果有人收到用该 N以及相应的 E编写的密文，但是只要构成 N的两个素数未被知晓，那么 D 就不知晓，密文将无法破译

17年过去了， $100奖励无人能动 1994年 4月 26 日，四位科学家 +25个国家的 600名自愿者

+Internet→集体劳动的结果是找到了 p，一个 64 位长的素数，每人得奖金 17美分

不过 1977年时有人预测需要 850万年才能破解该悬赏


陶静烽 52

网络防攻击问题

服务攻击 : 对网络提供某种服务的服务器发起攻击，造成

该网络的“拒绝服务”，使网络工作不正常 ;非服务攻击 : 不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。


陶静烽 53

网络防攻击主要问题需要研究的几个问题

网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？


陶静烽 54

网络安全漏洞与对策的研究

网络信息系统的运行涉及到：计算机硬件与操作系统网络硬件与网络软件数据库管理系统应用软件网络通信协议

网络安全漏洞也会表现在以上几个方面。


陶静烽 55

网络内部安全防范问题

网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；

对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；

解决来自网络内部的不安全因素必须从技术与管理两个方面入手。


陶静烽 56

网络防病毒问题

目前， 70%的病毒发生在计算机网络上；连网微型机病毒的传播速度是单机的 20倍，网络服务器消除病毒所花的时间是单机的 40倍；

电子邮件病毒可以轻易地使用户的计算机瘫痪，有些网络病毒甚至会破坏系统硬件。


陶静烽 57

安全级别的分类

可信计算机系统评估准则 TC-SEC-NCSC是 1983年公布的， 1985年公布了可信网络说明（ TNI）；

可信计算机系统评估准则将计算机系统安全等级分为 4类 7个等级，即 D、 C1、 C2、 B1、B2、 B3与 A1；

D级系统的安全要求最低， A1级系统的安全要求最高。


陶静烽 58

网络安全策略与网络用户的关系

网络安全策略包括技术与制度两个方面。只有将二者结合起来，才能有效保护网络资源不受破坏；

在制定网络安全策略时，一定要注意限制的范围；

网络安全策略首先要保证用户能有效地完成各自的任务同时，也不要引发用户设法绕过网络安全系统，钻网络安全系统空子的现象；

一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾，应该使网络管理员与网络用户都乐于接受与执行。


陶静烽 59

制定网络安全策略的两种思想

制定网络安全策略的两种思想：一是凡是没有明确表示允许的就要被禁止，二是凡是没有明确表示禁止的就要被允许；

在网络安全策略上一般采用第一种方法，明确地限定用户在网络中访问的权限与能够使用的服务；

符合于规定用户在网络访问“最小权限”的原则，给予用户能完成任务所“必要”的访问权限与可以使用的服务类型，又便于网络的管理。


陶静烽 60

网络安全受到威胁时的行动方案

保护方式当网络管理员发现网络安全遭到破坏时，立即制止非法入侵者的活动，恢复网络的正常工作状态，并进一步分析这次安全事故的性质与原因，尽量减少这次安全事故造成的损害；

跟踪方式发现网络存在非法入侵者的活动时，不是立即制止入侵者的活动，而是采取措施跟踪非法入侵者的活动，检测非法入侵者的来源、目的、非法访问的网络资源，判断非法入侵的危害，确定处理此类非法入侵活动的方法。


陶静烽 61

5.2.4 防火墙技术

防火墙的基本概念

防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。是在网络之间执行安全控制策略的系统，它包括硬件和软件；

防火墙服务于多个目的：限制人们从一个特别的控制点进入；防止侵入者接近你的其它防御设施；限定人们从一个特别的点离开；有效地阻止破坏者对你的计算机系统进行破坏。

设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。


陶静烽 62

防火墙的位置与作用

服务器

外部网络

防火墙

服务器

内部网络


陶静烽 63

防火墙技术

防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界；

构成防火墙系统的两个基本部件是：包过滤路由器（ packet filtering router）和应用级网关（ application gateway）；

最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；

由于组合方式有多种，因此防火墙系统的结构也有多种形式。


陶静烽 64

防火墙的主要类型

数据包过滤防火墙

包过滤防火墙按照系统内部设置的包过滤规则（即访问控制表），检查每个分组的源 IP地址、目的 IP地址，决定该分组是否应该转发；

包过滤规则一般是基于部分或全部报头的内容。例如，对于 TCP报头信息可以是：源 IP地址、目的 IP地址、协议类型、 IP 选项内容、源 TCP端口号、目的 TCP端口号、 TCP ACK标识等。


陶静烽 65

包过滤防火墙的结构

Internet

内部网络

服务器工作站

网络层

数据链路层

物理层

网络层

数据链路层

物理层

包过滤规则

包过滤路由器

外部网络防火墙


陶静烽 66

应用级网关

多归属主机又称为多宿主主机，它具有两个或两个以上的网络接口，每个网络接口与一个网络连接，具有在不同网络之间交换数据的路由能力。

如果多归属主机连接了两个网络，它可以叫做双归属主机。只要能确定应用程序访问控制规则，就可以采用双归属主机作为应用级网关，在应用层过滤进出内部网络特定服务的用户请求与响应。

应用代理是应用级网关的另一种形式，它是以存储转发方式检查和确定网络服务请求的用户身份是否合法，决定是转发还是丢弃该服务请求。


陶静烽 67

应用级网关的结构

I nternet

内部网络

服务器工作站

网络接口

应用程序访问控制

外部网络

网络接口

应用级网关

防火墙


陶静烽 68

代理服务

代理服务，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。

防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。


陶静烽 69

应用代理的工作原理

外部网络

代理服务器

防火墙内部网络

真正服务器

I nternet

客户

实际的连接

虚拟的连接

实际的连接


陶静烽 70

防火墙的分类

上述三种方式中，应用级网关和代理服务方式的防火墙大多是基于主机的，价格比较贵，安装和使用也比数据包过滤的防火墙复杂，但性能好。


陶静烽 71

网络防病毒技术

造成网络感染病毒的主要原因

70%的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占 41%左右；

从网络电子广告牌上带来的病毒约占 7%；从软件商的演示盘中带来的病毒约占 6%；从系统维护盘中带来的病毒约占 6%；从公司之间交换的软盘带来的病毒约占 2%；其他未知因素约占 27%；从统计数据中可以看出，引起网络病毒感染的主要原因在于网络用户自身。


陶静烽 72

网络病毒的危害

网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所；

网络服务器在网络病毒事件中起着两种作用：它可能被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒；

网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上；

当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种条件时，病毒便会发作，它将破坏程序与数据。


陶静烽 73

典型网络防病毒软件的应用

网络防病毒可以从以下两方面入手：一是工作站，二是服务器；

网络防病毒软件的基本功能是：对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒；

网络防病毒软件一般允许用户设置三种扫描方式：实时扫描、预置扫描与人工扫描；

一个完整的网络防病毒系统通常由以下几个部分组成：客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。


陶静烽 74

5.3 网络数据库接口技术

WWW与数据库的结合不仅能大大扩展Web服务器的功能，也是数据库技术发展的需要。Web与数据库的接口技术已成为当前网络开发的热点。


陶静烽 75

5.3.1 常用网络数据库

Foxpro Sybase Oracle Informix MS-SQL Server


陶静烽 76

5.3.2 常用接口技术

CGI（公共网关接口）技术优点：工作原理简单，多种语言支持，标准开放，几乎被所有服务器支持。

缺点：效率低，交互性差，安全性差。 WebAPI（Web应用编程接口）技术

运行效率显著高于 CGI程序，但是平台兼容性和交互性较差。

JDBC（ Java数据库连接）技术和 ASP技术是 Intranet和 Internet 环境下访问异构数据库的一种

较优方式。 Asp技术

编程简单，支持广泛


陶静烽 77

5.4 代理服务器技术

所谓代理服务器是指处理代表内部客户的外部服务器的程序。代理服务器一端连接 Internet，另一端连接 Intranet。两个网络之间的数据传输全部由代理服务器进行转发和控制。

是防火墙技术的一种类型，是网络管理者用于加强网络访问控制，进行信息流量计费等的常用手段。


陶静烽 78

使用代理服务器技术的优点

1．通过一个 IP地址或一个 Internet 帐户供多个用户同时访问 2．内部网络和外部网络之间构筑起防火墙3．通过缓存区的使用降低网络通信费用4．对局域网用户进行访问权限和信息流量计费管理5．对进入局域网的 Internet信息实现访问内容控制6．逆向代理服务


陶静烽 79

通过代理服务器接入 Internet 的结构

用户局域网

通过代理服务器接入 Internet

ISP

Internet

TCP/IP

代理服务器


陶静烽 80

MS Proxy Server

MS Proxy Server的缓存性能：（ 1）分布式阵列缓存（ 2）层次型缓存（ 3）阵列缓存路由协议 CARP


陶静烽 81

MS Proxy Server

MS Proxy Server的防火墙性能动态数据包过滤报警与日志功能

MS Proxy Server的Web代理服务与 CERN标准兼容的代理服务 HTTP与 FTP缓存基于协议的用户级安全保护信息访问控制与过滤 IP地址集合客户因特网信息访问日志

MS Proxy Server的 Socks代理服务在内部网上支持 TCP/IP 协议与常用的客户计算机操作系统与硬件平台兼容对客户的 SOCKS 访问请求信息提供日志记录


陶静烽 82

电子商务技术

电子商务的基本概念

电子商务就是指贸易活动各环节的电子化，它覆盖与商务活动有关的所有方面；

从涵盖范围方面可以定义为：交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易；

从技术方面可以定义为：电子商务是一种多技术的集合体，包括交换数据、获得数据以及自动捕获数据。


陶静烽 83

电子商务技术

电子商务主要包括三方面内容：政府贸易管理的电子化，企业级电子商务，电子购物；

电子商务可以分为两大类别：一类是企业与企业之间（ B to B）的电子商务，另一类是企业与个人之间（ B to C）的电子商务。

IBM：当代电子商务开山祖师


陶静烽 84

现阶段电子商务发展的主要特征

电子商务首先会在标准化商品或服务领域中获得发展；

支付系统成为影响电子商务发展的主要因素之一；

网络费用构成了制约电子商务发展的主要因素。


陶静烽 85

电子商务的基本工作模式

电子商务改变了企业竞争方式；电子商务改变了企业的竞争格局；电子商务改变了企业形象的竞争模式。


陶静烽 86

电子商务中的网络技术

电子商务需要有支付工具来支持，而支付工具正由现金逐步向信用卡转移，这就要保证信用卡与银行账号必须是真的，还要保证使用信用卡与银行账号的人身份合法；

在进行电子商务活动时，网络上传输的是信用卡与银行账号信息，如果这些信息没有被加密，就有可能被人偷取、破坏或修改，这时需要实现三个目标：保密、完整与防止抵赖；

在电子商务中，网络安全保密技术（例如身份确认、数据加密、数字签名、内容检查与第三方确认技术）将起到重要的作用。


陶静烽 87

5.5.3 电子商务的网上技术难题

电子商务所面临的问题保密性安全性运行机制界面的友好性面对的客户类型所能够承受的业务流量消费者需求服务的平均响应周期检索软件的设计连网方式数据的备份电子支付方式

Web服务应解决的问题各种秘密目录、文件和数据的保护如何避免信息被不法分子非法拦截防止Web 站点本身遭受黑客的袭击注意解决 CGI方面的安全问题给主机造成系统危害


陶静烽 88

通过 Web 网提供的商业的前景

什么样的人上网最多，Web 站点就卖什么。但目前社会的主体消费群还不在网上。

卖方能够自信地操纵技术系统，不受制于人。因特网是否安全可靠？


陶静烽 89

因特网的安全性

保密性鉴权性完整性非拒绝性合法系统的支持


陶静烽 90

安全设施与公共密钥设施

对接纳电子商务某系统的用户提供：可以有效进行安全管理的设施可靠的风险管理以及得到确认、充分被理解的责任。

证书授权机构的可靠程度取决于：系统的保密结构，包括运营程序以及由证书授权机构提供的机械和电子保护措施。

用于确认申请证书的用户身份的政策和方法。


陶静烽 91

电子商务系统的基本结构

认证中心

客户

物流中心

网上商店

收单银行

发卡银行

I nternet 银行网络


陶静烽 92

5.6 网上办公

网上办公自动化（ OA）是目前网上应用的主要领域之一。网上办公主要建立在 LAN的技术基础之上，在上层构架各种应用。

一些部门已指定将 Domino/Notes R5作为 OA的标准平台。


陶静烽 93

5.6.1 Lotus Domino/Notes R5

Domino——是业界第一个交互式的动态Web应用服务器。

Notes/Domino分为三条产品线，即：服务器—— Domino，客户机—— Notes，开发工具—— Designer。


陶静烽 94

5.6.2 信息化社会对通讯基础设施的要求

高品质的电子邮件系统。安全可靠是“使命攸关”的通讯基础设施的重要特性。高可用性。跨平台的支撑能力。灵活适应体系结构，符合因特网环境下“客户机 /应用服务层 /数据服务层”的三层体系结构。

可伸缩性。可扩展的体系结构。对快速应用开发的支持能力。强大的信息集成能力。可扩展、可复制和灵活的目录机制。系统监控和管理。低廉的总体拥有成本。


陶静烽 95

Domino R5—— 集成的通讯平台、群件、 Web 应用服务器

1. 适应各种规模企业和机构的电子邮件服务器 2. 开放、安全的 Internet/Intranet应用服务器 3. 可靠、可用、可伸缩性 4. 简单、灵活、直观的管理 5. 创新——以知识为中心的协同工作


陶静烽 96

Notes R5—— 集成的协同工作环境

1. 与任何服务器工作 2. 最易用的因特网客户机软件 3. 业界领先的应用支持 4. 移动办公支持、实话简便 5. 创新——以知识为中心的协同工作


陶静烽 97

Domino Designer R5—— 集成的应用开发环境

1. 开放和直观的开发环境 2. 更方便地访问企业数据和应用 3. 支持工业标准 4. 开发工具的选择 5. 应用可以支持多种客户机


陶静烽 98

5.7 远程教育

远程教育需要完善的解决方案分布式教学环境——借助于Web技术支持和分布式数据库技术，可以将这种教学模式推广到任何地域的一个学员。

异步教学——在协作技术的基础条件支撑下，提供异步的协作的学习空间。

同步教学——通过同步实时技术，学员可实时获得教师的指导，并与其他在线学生进行讨论。

自我安排——参照课程表，所有学生可以不受地域和时间的限制安排自己的学习计划。


陶静烽 99

5.7.2 异步交互式教学软件的要求

一、完全支持 Internet标准的通讯平台二、可伸缩的目录服务三、管理非结构化数据的文档数据库四、用于信息共享的复制技术五、行业标准的安全机制

验证存取控制字段级加密电子签名

六、对非本体系客户机和浏览器以及多平台支持的支持七、可靠、可用、可伸缩的服务器结构八、简单、方便的系统管理


陶静烽 100

5.7.3 远程教育实现的功能

一、学生和教师的认证访问控制权限学生和教师的注册 Internet 访问权限

二、课件点播三、交互式学习

每门教学课程都需要指定一个教师提供了一个网上的虚拟教室学生可以在网上提交作业网上考试和练习

四、上网学习

五、下载或提交作业六、提问解答与讨论七、具备完善的教学辅助管理系统八、具备多种教学辅助功能九、与其它远程教学系统的互联和互通性十、远程教育的信道性能


陶静烽 101

多种教学辅助功能

1. 音频和视频流的传输 2. 电子白板功能 3. 应用程序共享 4. 跟我学 5. 网上答题 6. 上网学习人员列表 7. 实时交谈


陶静烽 102

远程教育的信道性能

远程教育与一般网络的信道租用方式的不同之处是：

必须保证提供稳定的信道带宽来满足教学实时传送的需求，一般是通过租用专线信道，如点到点的专线传送、一点对多点的广播方式。比较典型的是使用卫星信道的传输方法。


陶静烽 103

5.8 上网常识

连接网络的三大类方法：拨号入网。专线入网。代理入网。


陶静烽 104

5.8.2 网上礼节

电脑伦理十诫

1. 在公开发布的主页上，不谈意识形态方面较为敏感的政治话题。

2. 不可干扰他人在电脑上的工作。 3. 不可偷看他人的档案。 4. 不可利用电脑偷窃财务。 5. 不可使用电脑造假。 6. 不可拷贝或使用未付费的软件。 7. 未经授权，不可使用他人的电脑资源。 8. 不可侵占他人的智慧成果。 9. 在设计程序之前，先衡量其对社会的影响。 10. 使用电脑时必须表现出对他人的尊重与体谅。


陶静烽 105

5.8.3 网上法律法规

一、《中华人民共和国计算机信息系统安全保护条例》

二、《中华人民共和国计算机信息网络国际联网管理暂行规定》


陶静烽 106

实验 5-1 ：网络安全实验

要求：选择一台服务器，选择一种代理服务器的软件产品，安装代理服务器软件，配置常用的代理服务。设置安全内容，进行报文的过滤，访问站点的限制等。在客户机上通过代理服务器进行上网实验，验证代理服务的有效性和安全性。

上交实验报告（以 E-mail 形式提交）内容：写出选择何种代理服务器软件，选择的理由，以及该软件的简介。写出此代理服务器的一般用法。分析代理服务器提供的安全性能。写出在客户机上进行代理实验的结果。


陶静烽 107

实验 5-2 ：网络安全实验

要求： 1. 利用一些网站提供的软件下载项，寻找并下载有关口令解密软件，用它对自己设置的口令或同学设置的口令进行破译（例如破译QQ 密码等，可在Windows 平台进行）。 2. 在一台机器上成功安装 linux系统。

上交实验报告（以 E-mail 形式提交）内容：比较各种口令，指出一种你认为较好的口令密码算法，并说明原因； Linux系统大致安装情况；总结网络安全的必要性以及网络安全的主要因素。

计算机应用专业系列教材

Documents