轉自:http://blog.csdn.net/shuibaiz/article/details/8924326
目錄:
- 第1章 交換技術
- 第2章 網絡體系結構及協議
- 第3章局域網技術
- 第4章廣域網技術
- 第5章網絡互連技術
- 第6章網絡操作系統
- 第7章網絡管理
- 第8章網絡安全與信息安全
- 第9章 Internet
- 第10章 企業網與Intranet
- 第11章 TCP/IP聯網
- 第12章Internet與Intranet信息服務
- 第13章 網絡應用
第一章 計算機基礎知識
一、硬件知識
1、計算機系統的組成包括硬件系統和軟件系統
硬件系統分爲三種典型結構:
(1)單總線結構 (2)、雙總線結構 (3)、採用通道的大型系統結構
中央處理器CPU包含運算器和控制器。
2、指令系統
指令由操作碼和地址碼組成。
3、存儲系統分爲 主存—輔存層次 和主存—Cache層次
Cache作爲主存局部區域的副本,用來存放當前最活躍的程序和數據。
計算機中數據的表示
Cache的基本結構:Cache由存儲體、地址映像和替換機構組成。
4、通道是一種通過執行通道程序管理I/O操作的控制器,它使CPU與I/O操作達到更高的並行度。
5、總線從功能上看,系統總線分爲地址總線(AB)、數據總線(DB)、控制總線(CB)。
6、磁盤容量記計算
非格式化容量=面數*(磁道數/面)*內圓周長*最大位密度
格式化容量=面數*(磁道數/面)*(扇區數/道)*(字節數/扇區)
7、數據的表示方法
原碼和反碼
[+0]原=000…00 [-0]原=100...00 [+0]反=000…00 [-0]反=111…11
正數的原碼=正數的補碼=正數的反碼
負數的反碼:符號位不變,其餘位變反。
負數的補碼:符號位不變,其餘位變反,最低位加1。
二、操作系統
操作系統定義:用以控制和管理系統資源,方便用戶使用計算機的程序的集合。
功能:是計算機系統的資源管理者。
特性:並行性、共享性
分類:多道批處理操作系統、分時操作系統、實時操作系統、網絡操作系統。
進程:是一個具有一定獨立功能的程序關於某個數據集合的一次運行活動。
進程分爲三種狀態:運行狀態(Running)、就緒狀態(Ready)、等待狀態(Blocked)。
作業分爲三種狀態:提交狀態、後備運行、完成狀態。
產生死鎖的必要條件:
(1)、互斥條件:一個資源一次只能被一個進程所使用;
(2)、不可搶佔條件:一個資源僅能被佔有它的進程所釋放,而不能被別的進程強行搶佔;
(3)、部分分配條件:一個進程已佔有了分給它的資源,但仍然要求其它資源;
(4)、循環等待條件:在系統中存在一個由若干進程形成的環形請求鏈,其中的每一個進程均佔有若干種資源中的某一種,同時每一個進程還要求(鏈上)下一個進程所佔有的資源。
死鎖的預防:1、預先靜態分配法 2、有序資源使用法 3、銀行家算法
虛擬存儲器:是指一種實際上並不以物理形式存在的虛假的存儲器。
頁架:把主存劃分成相同大小的存儲塊。
頁:把用戶的邏輯地址空間(虛擬地址空間)劃分成若干個與頁架大小相同的部分,每部分稱爲頁。
頁面置換算法有:1、最佳置換算法OPT 2、先進先出置換算法FIFO 3、最近最少使用置換算法LRU 4、最近未使用置換算法NUR
虛擬設備技術:通過共享設備來模擬獨佔型設備的動作,使獨佔型設備成爲共享設備,從而提高設備利用率和系統的效率。
SPOOL系統:實現虛擬設備技術的硬件和軟件系統,又Spooling系統,假脫機系統。
作業調度算法:
1、 先來先服務調度算法FIFO:按照作業到達系統或進程進入就緒隊列的先後次序來選擇。
2、 優先級調度算法:按照進程的優先級大小來調度,使高優先級進程得到優先處理的調度策略。
3、 最高響應比優先調度算法:每個作業都有一個優先數,該優先數不但是要求的服務時間的函數,而且是該作業爲得到服務所花費的等待時間的函數。
以上三種都是非搶佔的調度策略。
三、嵌入式系統基本知識
定義:以應用爲中心,計算機技術爲基礎,軟硬件可裁剪,適應於特定應用系統,對功能、可靠性、成本、體積、功耗有嚴格要求的計算機系統。
特點:硬件上,體積小、重量輕、成本低、可靠性高等特點、使用專用的嵌入式CPU。軟件上,代碼體積小、效率高,要求響應速度快,能夠處理異步併發事件,實時處理能力。
應用:從航天飛機到家用微波爐。
第二章、計算機網絡概論
滑動窗口協議規定重傳未被確認的分組,這種分組的數量最多可以等於滑動窗口的大小,TCP採用滑動窗口協議解決了端到端的流量控制。
第三章 數據通信基礎
一、 數據通信的主要技術指標
傳輸速率 S=(1/T)log2N
T—信號脈衝重複週期或單位脈衝寬度
n—一個脈衝信號代表的有效狀態數,是2的整數值
log2N--單位脈衝能表示的比特數
信道容量:表徵一個信道傳輸數據的能力。單位:bps
信道容量的計算:
無噪聲 C=2H =2Hlog2N (奈奎斯特定理)
H—信道帶寬 N—一個脈衝信號代表的有效狀態數
有噪聲 C=Hlog2(1+S/N) (香農公式)
H—信道帶寬 S—信號功率 N—噪聲功率
dB=10log10S/N,當S/N=1000時,信噪比爲30dB
二、 數據交換方式
延遲的計算
1、電路交換
總延遲=鏈路建立時間+線路延遲+發送時長
2、虛電路分組交換
總延遲=鏈路建立時間+(每個分組在交換結點延遲+每個分組線路延遲+每個分組發送時長)*分組數
3、數據報分組交換
總延遲= (每個分組在交換結點延遲+每個分組線路延遲+每個分組發送時長)*分組數
三、
a、模擬信號à模擬傳輸
b、模擬信號à數字傳輸 需要編碼解碼器(Codec),模擬數據數字化分爲三步:採樣、量化、編碼 採樣:對於連續信號是通過規則的時間間隔測出波的振動幅度從而產生一系列數據。量化:採樣得到的離散數據轉換成計算機能夠表示的數據範圍的過程,即將樣值 量化成一個有限幅度的集合X(nT)。編碼:用一定位數的二進制數來表示採樣所得脈衝的量化幅度的過程。常用編碼方法有PCM脈衝編碼調製。
c、數字信號—>數字傳輸 常用編碼:歸零碼、不歸零碼、曼徹斯特碼、差分曼徹斯特碼
IEEE802.3以太網使用曼徹斯特編碼,IEEE802.5令牌環使用差分曼徹斯特編碼,兩者的編碼效率是50%,FDDI、100BASE-FX使用了4B/5B編碼和NRZ-I(不歸零碼),編碼效率是80%。
d、數字信號à模擬傳輸 需要調製和解調,調製:由發送端將數字數據信號轉換成模擬數據信號的過程;解調:在接收端把模擬數據信號還原爲數字數據信號的過程,調製的方法:載波的表 示--y=A(t)sin(wt+Ф) ,分爲ASK振幅調製、FSK頻率調製、PSK相位調製。
曼徹斯特編碼:每比特的1/2週期處要發生跳變,由高電平跳到低電平表示1,由低電平跳到高電平表示0;差分曼徹斯特編碼:有電平轉換表示0,無電平轉換表示1
四、 差錯控制
CRC-CCITT G(X)=X16+X12+X5+1 HDLC的幀校驗用
CRC-16 G(X)=X16+X15+X2+1
CRC-32 G(X)=X32+…+X+1 用在局域網中
海明碼 m+k+1<2k 數據位m,要糾正單個錯誤,得出冗餘位k必須取的最小值。碼距爲m、n中最小值,它能夠發現(碼距-1)位錯,並可糾正(碼距-1-1)位錯;比如8421的碼距爲1。要檢測出d位錯,碼字之間的海明距離最小值應爲d+1。
CRC冗餘碼求法:(1)、如果信息位爲K位,則其K-1次多項式可記爲K(x);如信息1011001,則k(x)=x6+x4+x3+1;(2)、冗 餘位爲R位,其R-1位記爲R(x);如冗餘位爲1011,則R(x)=x3+x+1;(3)、發送信息爲N=K+R,多項式爲T(x)=Xr*K(x) +R(x),Xr表示將K (x)向左平移r位;(4)、冗餘位產生過程:已知K(x)求R(x)的過程,一般應選一特定R次多項式G(x)(生成多項式)一般先事先商定好的,用G (x)去除Xr*K(x)得餘式即爲R(x)。R(x)=Xr*K(x)/G(x);運算規則異或運算,相同取0,不同取1。
五、 壓縮和解壓縮方法
JPEG屬於黑白文稿數據壓縮系統。二維壓縮技術是指在水平和垂直方向都進行了壓縮,在壓縮算法中屬於二維壓縮技術的是MR。MMR數據壓縮系統是在MR 的基礎上該進而來的,它主要在壓縮效率和容錯能力方面進行了改進和提高。下列壓縮技術中,MPEG屬於動態圖像壓縮技術。
第四章、廣域通信網
一、
在電氣性能方面EIA-RS232-C與CCITT的V.28建議致,在功能特性方面與CCITT的V.24建議書一致,RS-449則與CCITT的V.35建議書一致,它採用37引腳的插頭座。
二、X.25公用數據網
X.25 是分組交換協議交換標準,公用數據網一般都用分組交換協議,所以X.25就是公用數據網的協議標準。
X.25分爲三層:物理層—採用X.21;鏈路層—採用LAP-B(鏈路訪問平衡過程),它是HDLC的子集;分組層—提供外部虛電路服務,使用X.25 PLP協議。
X.25又包括(1)HDLC協議--數據鏈路控制協議:面向字符的協議和麪向比特的協議;HDLC定義了三種類型的站、兩種鏈路配置和三種數據傳輸方式;(2)PLP協議—分組級協議。支持永久虛電路PVC和交換虛電路SVC。
三、幀中繼網F.R
本質上仍是分組交換技術,但捨去了X.25的分組層,僅保留物理層和數據鏈路層,以幀爲單位在鏈路層上進行發送、接收、處理,是簡化了的X.25版本,是 去掉了差錯檢測功能和糾錯功能,只支持永久虛電路PVC,幀中繼協議叫做LAP-D(Q.921),鏈路層用它提供可靠的數據鏈路控制服務。
四、ISDN和ATM
ISDN將話音傳輸、圖像傳輸、數據傳輸等多種業務綜合到一個網絡中。爲分四個參考點R、S、T、U,ISDN設備有:(1)1類終端設備TE1—與 ISDN網絡兼容的設備,可直接連接NT1或NT2;(2)2類終端設備TE2—與ISDN網絡不兼容的設備,連接ISDN網時需要使用終端適配器TA; (3)終端適配器TA,把非ISDN設備的信號轉換成符合ISDN標準的信號;(4)、1類網絡終結設備NT1,用戶端網絡設備,可以支持連接8臺 ISDN終端設備;(5)、2類網絡終結設備NT2,可接大型用戶的較多終端設備。
ISDN提供了一種數字化的比特管道,支持由TDM(時分多路複用)分隔的多個信道。常用的有2 種標準化信道:D信道—16kb/s數字信道,用於帶外信令,傳輸控制信號;B信道—64kb/s數字PCM信道,用於語音或數字。ISDN比特管道主要 支持2種信道的組合:BRI—基本速率接口2B+D(N-ISDN速率達144kbps);PRI—基羣速率接口(一次羣,B-ISDN),北美23B+ D,1.544M(T1),歐洲30B+D,2.048M(E1)。
N-ISDN在傳送信令的D通路使用分組交換,而B-ISDN則使用快速分組交換,即異步傳遞方式(ATM)。
ISDN分爲三層,第一層處理信令分幀,第二層處理分幀協議,第三層處理D信道的呼叫建立和拆卸協議,NT2提供數字數據與模擬電話交換功能。
ATM是寬帶綜合業務數字網B-ISDN的核心技術,常稱B-ISDN爲ATM網,它是一種高速分組交換傳輸模式,交換單位爲固定長度的信元53字節,支持永久虛電路PVC和交換虛電路SVC。
ATM各層的功能
層次 子層 功能 與OSI的對應
高層 對用戶數據的控制 高層
ATM適配層 匯聚子層CS 爲高層數據提供統一接口 第四層
拆裝子層SAR 分割和合並用戶數據
ATM層 虛通路和虛信道的管理,信元頭的組裝和拆分,信元的多路複用,流量控制 第三層
物理層 傳輸會聚子層TC 信元校驗和速率控制,數據幀的組裝和分拆 第二層
物理介質子層PMD 比特定時,物理網絡接入 第一層
ATM信元包含5個字節的信元頭—主要完成尋址功能;48個字節的數據—用來裝載不同用戶,不同業務的信息。信元頭中包括:GFC—通用流量控制,進行接 入流量控制,用在NUI中;PTI—有效載荷,用來區分用戶信息與非用戶信息;HEC—首部差錯控制,進行多個或單個比特的糾錯。
在交換過程中,當實施 VP 交換時,其中 VPl、VCI 的變化情況是VCI不變、VPI根據需要變化。若在交換過程中出現擁塞,該信息被記錄在信元的CLP中。注:VP交換是把一困VC交換,VC交換是用交換機進行的。
AAL協議 AAL1:對應於A類業務。CS子層監測丟棄和誤插入的信元,平滑進來的數據,提供固定速率的輸出,並且進行分段。SAR子層加上信元順序號和及其檢測號 和,以及奇偶校驗位等。 AAL2:對應於B類業務。用於傳輸面向連接的實時數據流,不進行錯誤檢驗,只檢查順序。 AAL3/4:對應於C/D類業務。該協議用於面向連接的和無連接的服務,對信元錯誤和丟失敏感。AAL5:對應於C/D類業務,是計算機行業提出的協 議。
ATM局域網的優點:信道利用率高,對於突發業務延時更小。
ATM LANE—ATM局域網仿真包括四個協議:LEC局域網仿真客戶端、LES局域網仿真服務器—完成MAC-to-ATM的地址轉換、LECS局域網仿真配置服務器、BUS廣播和未知服務器。
五、SMDS交換式多兆位數據服務
是一種高速的WAN技術,通常在T載波線路上實施,採用的高速總線帶寬可達155Mbps。SMDS與大量基於LAN的協議兼容,在歐洲是一種非常流行的WAN技術。
第五章、局域網和城域網
一、決定局域網特性的三種主要技術:
傳輸介質、拓撲結構、介質訪問控制方法(協議)
二、
IEEE802.3以太網採用CSMA/CD協議,使用曼徹斯特編碼;CSMA/CD機制特點:先聽後發、邊聽邊發、衝突停止、隨機延遲後重發;CSMA/CD對以太網中數據幀的最小幀長的要求:最小幀長=兩站點間最大的距離/傳播速度*傳輸速率
三、IEEE802.4使用令牌總線
令牌總線物理上爲總線結構,利用802.3廣播電纜的可靠性;邏輯上爲環網:所有的站點組成1個環,每個站點按序分配1個邏輯地址,每個站點都知道在它前面和後面的站地址,最後一個站點後面相鄰的站點是第一個站點。
四、IEEE802.5使用令牌環
令牌環是由高速數字通信信道和環接口組成,節點主機通過環接口連接到網內。
五、IEEE802.6使用分佈隊列雙總線DQDB
DQDB由兩條單向總線(一般用光纖介質)組成,所有的計算機都連接在上面。它同時支持電路交換和分組交換兩種服務,在大地理範圍內提供綜合服務,如數據話音、圖像的高速傳輸等。
六、FDDI光纖分佈數據接口
FDDI使用了和802.5類似的令牌環協議,是一種高性能的光纖令牌環局域網。它的令牌幀含有前導碼,提供時鐘同步信號。
七、ATM局域網
信道利用率高,對於突發業務延時更小,但實現複雜,它利用電路交換和分組交換實現。使用53字節的固定信元進行傳輸。
八、IEEE802.11的兩種無線網絡拓撲結構:
(1)、基礎設施網絡,無線終端通過接入點(access point AP)訪問骨幹網上的設備,或者互相訪問,接入點如同一個網橋,負責在802.11和802.3MAC協議之間進行轉換;
(2)、特殊網絡(Ad Hoc Networking),是一種點對點連接,以無線網卡連接的終端設備之間可以直接通信。
無線局域網採用802.11系列標準,主要有4個子標準:
802.11b 標準的傳輸速度爲11MB/S
802.11a 標準的連接速度可達54MB/S,與802.11a互不兼容。
802.11g 兼容802.11b與802.11a兩種標準,這樣原有的802.11b和802.11a兩種標準的設備都可以在同一網絡中使用。
802.11z 是一種專門爲了加強無線局域網安全的標準。
第六章、網絡互連和互聯網
TCP/IP是一組小的、專業化協議集,包括TCP、IP、UDP、ARP、ICMP,以及其它的一些被稱爲子協議的協議。
網絡互連設備包括中繼器、集線器(Hub物理層設備,相當於多端口的中繼器)、網橋、路由器、網關。
網橋工作於數據鏈路層中的介質訪問控制子層(MAC),所以它包含:流控、差錯處理、尋址、媒體訪問等。分爲(1)透明網橋:網橋自動學習每個端口所接網 段的機器地址(MAC地址),形成一個地址映象表,網橋每次轉發幀時,先查地址映象表,如查到則向相應端口轉發,如查不到,則向除接收端口之外的所有端口 轉發(flood)。爲了防止出現循環路由,可採用生成樹算法網橋。(2)、源路由網橋(SRB):在發送方知道目的機的位置,並將路徑中間所經過的網橋 地址包含在幀頭中發出,路徑中的網橋依照幀頭中的下一站網橋地址一一轉發,直到到達目的地。
Internet的應用技術:域名系統(DNS)、簡單網絡管理協議(SNMP)、電子郵件及簡單郵件傳輸系統(SMTP)、遠程登錄及TELNET協議、文件傳輸和FTP、網絡新聞(USENET)、網絡新聞傳輸協議(NNTP)、WWW和HTTP。
第七章、網絡安全
一、威脅定義爲對缺陷的潛在利用,這些缺陷可能導致非授權訪問、信息泄露、資源耗盡、資源被盜或者被破壞等。
二、傳統密碼系統又單鑰密碼系統又對稱密碼系統:加密解密所用的密鑰是相同的或類似的,即由加密密碼很容易推導出解密密碼,反之亦然。常用的有DES數據加密標準,密鑰爲56位;後有改進型的IDEA國際數據加密算法,密鑰爲128位。
公鑰密碼系統又非對稱密碼系統:加密密鑰和解密密鑰是本質上不同的,不需要分發密鑰的額外信道。有RSA密碼系統,它可以實現加密和數字簽名,它的一個比較知名的應用是SSL安全套接字(傳輸層協議)。
三、對照ISO/OSI參考模型各個層中的網絡安全服務,在物理層可以採用防竊聽技術加強通信線路的安全;在數據鏈路層,可以採用通信保密機進行鏈路加 密;在網絡層可以採用防火牆技術來處理信息內外網絡邊界到進程間的加密,最常見的傳輸層安全技術有SSL;爲了將低層安全服務進行抽象和屏弊,最有效的一 類做法是可以在傳輸層和應用層之間建立中間件層可實現通用的安全服務功能,通過定義統一的安全服務接口嚮應用層提供身份認證、訪問控制和數據加密。
防火牆技術一般可以分爲兩類:網絡級防火牆(採用報文動態分組)和應用級防火牆(採用代理服務機制),而後者又包括雙穴主機網關、屏蔽主機網關、屏蔽子網網關。
防火牆定義:(1)所有的從外部到內部或從內部到外部的通信都必須經過它;(2)只有有內部訪問策略的通信才能被允許通過;(3)系統本身具有很強的高可靠性。
防火牆基本組成:安全操作系統、過濾器、網關、域名服務、函件處理。
防火牆設計的主要技術:數據包過濾技術、代理服務技術。
IPSec協議不是一個單獨的協議,它給出了應用於IP層上網絡數據安全的一整套體系結構,包括網絡認證協議AH、封裝安全載荷協議ESP、密鑰管理協議 IKE和用於網絡認證及加密的一些算法等。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換,向上提供了訪問控制、數據源認證、數 據加密等網絡安全服務。
網絡安全與信息安全
主要內容:1、密碼學、鑑別
2、訪問控制、計算機病毒
3、網絡安全技術
4、安全服務與安全機制
5、信息系統安全體系結構框架
6、信息系統安全評估準則
一、密碼學
1、密碼學是以研究數據保密爲目的,對存儲或者傳輸的信息採取祕密的交換以防止第三者對信息的竊取的技術。
2、對稱密鑰密碼系統(私鑰密碼系統):在傳統密碼體制中加密和解密採用的是同一密鑰。常見的算法有:DES、IDEA
3、加密模式分類:
(1)序列密碼:通過有限狀態機產生性能優良的僞隨機序列,使用該序列加密信息流逐位加密得到密文。
(2)分組密碼:在相信複雜函數可以通過簡單函數迭代若干圈得到的原則,利用簡單圈函數及對合等運算,充分利用非線性運算。
4、非對稱密鑰密碼系統(公鑰密碼系統):現代密碼體制中加密和解密採用不同的密鑰。
實現的過程:每個通信雙方有兩個密鑰,K和K',在進行保密通信時通常將加密密鑰K公開(稱爲公鑰),而保留解密密鑰K'(稱爲私鑰),常見的算法有:RSA
二、鑑別
鑑別是指可靠地驗證某個通信參與方的身份是否與他所聲稱的身份一致的過程,一般通過某種複雜的身份認證協議來實現。
1、口令技術
身份認證標記:PIN保護記憶卡和挑戰響應卡
分類:共享密鑰認證、公鑰認證和零知識認證
(1)共享密鑰認證的思想是從通過口令認證用戶發展來了。
(2)公開密鑰算法的出現爲
2、會話密鑰:是指在一次會話過程中使用的密鑰,一般都是由機器隨機生成的,會話密鑰在實際使用時往往是在一定時間內都有效,並不真正限制在一次會話過程中。
簽名:利用私鑰對明文信息進行的變換稱爲簽名
封裝:利用公鑰對明文信息進行的變換稱爲封裝
3、Kerberos鑑別:是一種使用對稱密鑰加密算法來實現通過可信第三方密鑰分發中心的身份認證系統。客戶方需要向服務器方遞交自己的憑據來證明自 己的身份,該憑據是由KDC專門爲客戶和服務器方在某一階段內通信而生成的。憑據中包括客戶和服務器方的身份信息和在下一階段雙方使用的臨時加密密鑰,還 有證明客戶方擁有會話密鑰的身份認證者信息。身份認證信息的作用是防止攻擊者在將來將同樣的憑據再次使用。時間標記是檢測重放攻擊。
4、數字簽名:
加密過程爲C=EB(DA(m)) 用戶A先用自己的保密算法(解密算法DA)對數據進行加密DA(m),再用B的公開算法(加密算法EB)進行一次加密EB(DA(m))。
解密的過程爲m= EA (DB (C)) 用戶B先用自己的保密算法(解密算DB)對密文C進行解密DB (C),再用A的公開算法(加密算法EA)進行一次解密EA (DB (C))。只有A才能產生密文C,B是無法依靠或修改的,所以A是不得抵賴的DA(m)被稱爲簽名。
三、訪問控制
訪問控制是指確定可給予哪些主體訪問的權力、確定以及實施訪問權限的過程。被訪問的數據統稱爲客體。
1、訪問矩陣是表示安全政策的最常用的訪問控制安全模型。訪問者對訪問對象的權限就存放在矩陣中對應的交叉點上。
2、訪問控制表(ACL)每個訪問者存儲有訪問權力表,該表包括了他能夠訪問的特定對象和操作權限。引用監視器根據驗證訪問表提供的權力表和訪問者的身份來決定是否授予訪問者相應的操作權限。
3、粗粒度訪問控制:能夠控制到主機對象的訪問控制
細粒度訪問控制:能夠控制到文件甚至記錄的訪問控制
4、防火牆作用:防止不希望、未經授權的通信進出被保護的內部網絡,通過邊界控制強化內部網絡的安全政策。
防火牆的分類:IP過濾、線過濾和應用層代理
路由器過濾方式防火牆、雙穴信關方式防火牆、主機過濾式防火牆、子網過濾方式防火牆
5、過濾路由器的優點:結構簡單,使用硬件來降低成本;對上層協議和應用透明,無需要修改已經有的應用。缺點:在認證和控制方面粒度太粗,無法做到用戶 級別的身份認證,只有針對主機IP地址,存在着假冒IP攻擊的隱患;訪問控制也只有控制到IP地址端口一級,不能細化到文件等具體對象;從系統管理角度來 看人工負擔很重。
6、代理服務器的優點:是其用戶級身份認證、日誌記錄和帳號管理。缺點:要想提供全面的安全保證,就要對每一項服務都建立對應的應用層網關,這就極大限制了新應用的採納。
7、VPN:虛擬專用網,是將物理分佈在不同地點的網絡通過公共骨幹網,尤其是internet聯接而成的邏輯上的虛擬子網。
8、VPN的模式:直接模式VPN使用IP和編址來建立對VPN上傳輸數據的直接控制。對數據加密,採用基於用戶身份的鑑別,而不是基於IP地址。隧道模式VPN是使用IP幀作爲隧道的發送分組。
9、IPSEC是由IETF制訂的用於VPN的協議。由三個部分組成:封裝安全負載ESP主要用來處理對IP數據包的加密並對鑑別提供某種程序的支持。,鑑別報頭(AP)只涉及到鑑別不涉及到加密,internet密鑰交換IKE主要是對密鑰交換進行管理。
四、計算機病毒
1、計算機病毒分類:操作系統型、外殼型、入侵型、源碼型
2、計算機病毒破壞過程:最初病毒程序寄生在介質上的某個程序中,處於靜止狀態,一旦程序被引導或調用,它就被激活,變成有傳染能力的動態病毒,當傳染 條件滿足時,病毒就侵入內存,隨着作業進程的發展,它逐步向其他作業模塊擴散,並傳染給其他軟件。在破壞條件滿足時,它就由表現模塊或破壞模塊把病毒以特 定的方針表現出來。
五、網絡安全技術
1、鏈路層負責建立點到點的通信,網絡層負責尋徑、傳輸層負責建立端到端的通信信道。
2、物理層可以在通信線路上採用某些技術使得搭線偷聽變得不可能或者容易被檢測出。數據鏈路層,可以採用通信保密機進行加密和解密。
3、IP層安全性
在IP加密傳輸信道技術方面,IETF已經指定了一個IP安全性工作小組IPSEC來制訂IP安全協議IPSP和對應的internet密鑰管理協議IKMP的標準。
(1)IPSEC採用了兩種機制:認證頭部AH,提前誰和數據完整性;安全內容封裝ESP,實現通信保密。1995年8月internet工程領導小組 IESG批准了有關IPSP的RFC作爲internet標準系列的推薦標準。同時還規定了用安全散列算法SHA來代替MD5和用三元DES代替DES。
4、傳輸層安全性
(1)傳輸層網關在兩個通信節點之間代爲傳遞TCP連接並進行控制,這個層次一般稱作傳輸層安全。最常見的傳輸層安全技術有SSL、SOCKS和安全RPC等。
(2)在internet編程中,通常使用廣義的進程信IPC機制來同不同層次的安全協議打交道。比較流行的兩個IPC編程界面是BSD Sockets和傳輸層界面TLI。
(3)安全套接層協議SSL
在可靠的傳輸服務TCP/IP基礎上建立,SSL版本3,SSLv3於1995年12月制定。SSL採用公鑰方式進行身份認證,但是大量數據傳輸仍然使用對稱密鑰方式。通過雙方協商SSL可以支持多種身份認證、加密和檢驗算法。
SSL協商協議:用來交換版本號、加密算法、身份認證並交換密鑰SSLv3提供對Deffie-Hellman密鑰交換算法、基於RSA的密鑰交換機制和另一種實現在Frotezza chip上的密鑰交換機制的支持。
SSL記錄層協議:它涉及應用程序提供的信息的分段、壓縮數據認證和加密SSLv3提供對數據認證用的MD5和SHA以及數據加密用的R4主DES等支持,用來對數據進行認證和加密的密鑰可以有通過SSL的握手協議來協商。
SSL協商層的工作過程:當客戶方與服務方進行通信之前,客戶方發出問候;服務方收到問候後,發回一個問候。問候交換完畢後,就確定了雙方採用的SSL協議的版本號、會話標誌、加密算法集和壓縮算法。
SSL記錄層的工作過程:接收上層的數據,將它們分段;然後用協商層約定的壓縮方法進行壓縮,壓縮後的記錄用約定的流加密或塊加密方式進行加密,再由傳輸層發送出去。
5、應用層安全性
6、WWW應用安全技術
(1)解決WWW應用安全的方案需要結合通用的internet安全技術和專門針對WWW的技術。前者主要是指防火牆技術,後者包括根據WWW技術的特點改進HTTP協議或者利用代理服務器、插入件、中間件等技術來實現的安全技術。
(2)HTTP目前三個版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本,它只定義了最基本的簡單請求和簡單回答; HTTP1.0較完善,也是目前使用廣泛的一個版本;HTTP1.1增加了大量的報頭域,並對HTTP1.0中沒有嚴格定義的部分作了進一步的說明。
(3)HTTP1.1提供了一個基於口令基本認證方法,目前所有的WEB服務器都可以通過"基本身份認證"支持訪問控制。在身份認證上,針對基本認證方法以明文傳輸口令這一最大弱點,補充了摘要認證方法,不再傳遞口令明文,而是將口令經過散列函數變換後傳遞它的摘要。
(4)針對HTTP協議的改進還有安全HTTP協議SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基礎上,提供了數據加密、身份認證、數據完整、防止否認等能力。
(5)DEC-Web
WAND服務器是支持DCE的專用Web服務器,它可以和三種客戶進行通信:第一是設置本地安全代理SLP的普通瀏覽器。第二種是支持SSL瀏覽器, 這種瀏覽器向一個安全網關以SSL協議發送請求,SDG再將請求轉換成安全RPC調用發給WAND,收到結果後,將其轉換成SSL回答,發回到瀏覽器。第 三種是完全沒有任何安全機制的普通瀏覽器,WANS也接受它直接的HTTP請求,但此時通信得不到任何保護。
六、安全服務與安全與機制
1、ISO7498-2從體系結構的觀點描述了5種可選的安全服務、8項特定的安全機制以及5種普遍性的安全機制。
2、5種可選的安全服務:鑑別、訪問控制、數據保密、數據完整性和防止否認。
3、8種安全機制:加密機制、數據完整性機制、訪問控制機制、數據完整性機制、認證機制、通信業務填充機制、路由控制機制、公證機制,它們可以在OSI參考模型的適當層次上實施。
4、5種普遍性的安全機制:可信功能、安全標號、事件檢測、安全審計跟蹤、安全恢復。
5、信息系統安全評估準則
(1)可信計算機系統評估準則TCSEC:是由美國國家計算機安全中心於1983年制訂的,又稱桔皮書。
(2)信息技術安全評估準則ITSEC:由歐洲四國於1989年聯合提出的,俗稱白皮書。
(3)通用安全評估準則CC:由美國國家標準技術研究所NIST和國家安全局NSA、歐洲四國以及加拿大等6國7方聯合提出的。
(4)計算機信息系統安全保護等級劃分準則:我國國家質量技術監督局於1999年發佈的國家標準。
6、可信計算機系統評估準則
TCSEC共分爲4類7級:D,C1,C2,B1,B2,B3,A1
D級,安全保護欠缺級,並不是沒有安全保護功能,只是太弱。
C1級,自主安全保護級,
C2級,受控存取保護級,
B1級,結構化保護級
B3級,安全域級
A1,驗證設計級。
七、評估增長的安全操作代價
爲了確定網絡的安全策略及解決方案:首先,應該評估風險,即確定侵入破壞的機會和危害的潛在代價;其次,應該評估增長的安全操作代價。
安全操作代價主要有以下幾點:
(1)用戶的方便程度
(2)管理的複雜性
(3)對現有系統的影響
(4)對不同平臺的支持
第11章 Internet
主要內容:1、internet體系結構
2、internet連接的方法
3、internet地址
4、internet域名系統
5、internet地址是的擴展
一、Internet體系結構
1、自治系統:原始的Internet核心體系是在Internet權有一個主幹網的那個時期開發的。但是這種體系結構存在以下一些問題:
這種體系不能適應互聯網擴展到任意數量的網點;
許多網點由多個局域網組成,且用多個多路由器互連,由於一個核心路由器在每個網點上與一個網絡相連,核心路由器就只知道那個網點中的一個網絡的情況;
一個大型的互聯網是獨立的組織管理的網絡的互連集合,路由選擇體系結構必須爲每個組織提供獨立的控制路由選擇和訪問網絡的方法,因此必須用一個單一的協議機制來構造一個由許多網點構成的互聯網,同時,各個網點又是一個自治系統。
二、Internet連接的方法
1、將計算機連接到一個局域網,這個局域網的服務器是Internet的一個主機。
條件:必須連接到一個與Internet連接的網絡,需要網絡適配卡和ODI或NDIS驅動程序,還需要在本地計算機上運行TCP/IP,如果是Windows系統還需要Winsock支持。
2、利用串行接口協議(SLIP)或點到點協議(PPP),通過電話撥號方式進入一個Internet的主機
條件:需要一個調制解調器Modem、TCP/IP軟件和SLIP或PPP軟件,如果是Windows系統還需要Winsock支持。
3、通過電話撥號進入一個提供Internet服務的聯機服務系統。
條件:需要一個調制解調器Modem、標準的通信軟件和一個聯機服務帳號。
4、用戶選擇連接方法的考慮因素:聯網的目標和需求;用戶內部配置的網絡基礎設施;用戶支付Internet聯網費用的能力;對Internet安全服務的需求。
三、Internet地址
在TCP/IP協議中,規定分配給每臺主機一個32位數作爲該主機IP地址。每個IP地址由兩個部分組成,即網絡標識netid和主機標識hostid。
IP地址的層次結構具有兩個重要特性:第一,每臺主機分配了一個惟一的地址;第二,網絡標識號的分配必須全球統一,但主機標識號可由本地分配,不需要全球一致。
1、A類:1.0.0.1至126.255.255.254可能的網絡數有126個,主機部分有1677216臺(224-2)
2、B類:128.0.0.1至191.255.255.254可能的網絡數有16384個,主機有65536臺
3、C類:192.0.0.1至223.255.255.254可能的網絡數有2097152個,主機有256臺
4、D類:用於廣播傳送至多個目的地址用224-239
5、E類:用於保留地址240-255
RFC1918將10.0.0.至10.255.255.255、127.16.0.0至172.31.255.255、192.168.0.0至192.168.255.255的地址作爲預留地址,用作內部地址,不能直接連接到公共因特網上。
四、Internet地址映射
將一臺計算機的IP地址映射到物理地址的過程稱地址解析。
常用的地址解析算法有以下三種:
1、查表法:將地址映射關係放在內存中的一些表裏,當解析地址時,通過查表得到解析的結果。用於廣域網。
2、相近形式計算法:通過簡單的布爾和算術運算得出映射地址。用於可配置網絡。
3、消息交換法:計算機通過網絡交換信息得到映射地址。用於靜態編址。
TCP/IP協議組包含一個地址解析協議(ARP)。ARP協議定義了兩類基本消息,一類消息是請求消息,另一類是應答消息。
五、Internet地址空間的擴展
1、IPV6仍然支持無連接傳送;允許發送方選擇數據報大小;要求發送方指明數據報在到達目的站前的最大跳數。更大的地址空間;靈活的報頭格式;增強的選項;支持資源分配;支持協議擴展。
2、IPV6的數據報格式:IPV6數據有一個固定的基本報頭40字節其後可以允許多個擴展報頭,也可以沒有擴展報頭,擴展報頭後是數據。
IPV4的數據報格式:包括數據報報頭和數據區的部分。報頭:版本號、IHL、服務級別、數據單元長度、標識、標記、分段偏移、生命期、用戶協議、報頭檢查和、源地址、目的地址、任選項+填充、數據。
3、該基本報頭包含版本號、數據流標記、PAYLOAD長度、下一個報頭、跳數極限、源地址、目的地址。
4、IPV4與IPV6比較:取消了報頭長度字段,數據報長度字段被PAYLOAD長度字段代替;源地址和目的地址字段大小增加爲每個字段佔16個八位 組,128位;分段信息從基本報頭的固定字段移動擴展報頭;生存時間字段改爲跳數極限字段;服務類型字段改爲數據流標號字段;協議字段改爲指明下一個報頭 類型字段。
5、IPV6有三個基本地址類型,單播地址(unicast)即目的地址指明一臺計算機或路由器,數據報選擇一條最短的路徑到達目的站;羣集地址 (cluster)即目的站是共享一個網絡地址的計算機的集合,數據報選擇一條最短路徑到達該組,然後傳遞給該組最近的一個成員;組播地址 (multicast)即目的站是一組計算機,它們可以在不同地方,數據報通過硬件組播或廣播傳遞給該組的每一成員。
6、對任何地址若開始80位是全零,接着16位是全1或全零,則它的低32位就是一個IPV4地址。
第12章 企業網與Intranet
主要內容:1、企業網絡計算的組成和管理
2、企業網絡開放系統集成技術
3、intranet定義和要素
4、intranet應用和建立
一、企業網絡計算的背景和挑戰
企業網是連接企業內部各部門並和企業外界相連,爲企業的通信、辦公自動化、經營管理、生產銷售以及自動控制服務的重要信息基礎設施。Intranet 是基於TCP/IP協議,使用環球網WWW工具,採用防止外界侵入的安全措施,爲企業內部服務,並有連接Intranet功能的企業內部網絡。
1、驅動企業網絡計算的因素:用戶需求,這是基本動力;先進和實用的信息技術;迅速變化中的巿場。
2、可採用兩種模型:一種是可伸縮的模型,即企業網絡計算的同樣的軟件可運行在企業內部的不同平臺上;另一種是集成的模型,即企業內部不同平臺上的軟件的集成。
二、企業網絡計算的組成和特性
1、企業網絡計算的組成:客戶機/服務器計算;分佈式數據庫;數據倉庫;網絡和通信;網絡和系統的管理;各種網絡應用。
2、企業網絡計算的特性:支持客戶機/服務器計算械;支持管理海量數據的能力和設施;分佈數據管理的設施;國際化和本地化;功能強的通信設施;系統的靈活性;分佈資源管理;開發工具和開發手段的提供。
三、開放系統
開放系統:是對一個不斷髮展的、廠家中立的、用於對整個系統進行有效配置、操作和替換的接口、服務、協議和格式的規範描述的實現,它的應用和組成部件可以用不同廠家的其他相同實現替代。
1、開放系統的兩個特點:開放系統所採用的規範是廠家中立的,或者是與廠家無關的;開放系統允許不同廠家的產品替換,這種替換包括整個系統其組成部件。
2、專用系統:它所採用的規範是專用,而不是廠家中立的;專用系統不允許由不同廠家的產品替換;它的組成部件允許具有許可證的廠家產品替換。
3、驅動開放系統發展的因素:功能、可用性、複雜性、價格。
四、企業網絡開放系統集成技術
1、FRAMWORK是應用程序的開發和運行環境,它實際上是蹭件和操作系統的組合。比較有名的產品有CICS、Windows、UNIX。
2、COSE專門制定了自己的開放系統環境規範,主要技術包括用於窗口管理的Motif、標準API接口和用於數據庫管理的SQL。
3、信息系統與網絡計算主要實現網絡範圍數據管理、通信和網絡管理,主要技術有:在數據管理方面有用於數據庫間通信的RDA,即遠程數據訪問;通信服務 DCE分佈式計算環境,RPC遠程過程調用,OSI開放系統互連;管理服務,DME分佈管理環境,SNMP簡單網絡管理協議。
五、開放系統環境應用可移植框架
六、Intranet的定義和要素
1、Intranet是基於Internet TCP/IP協議,使用的環球網WWW工具、採用防止外界侵入的安全措施、爲企業內部服務,並有連接Internet的功能的企業內部網絡。
2、Intranet的組成:網絡、電子郵件、內部環球網、郵件地址清單、新聞組Newsgroups、閒談Chat、FTP、Telnet、Gopher
第13章 TCP/IP聯網
主要內容:1、TCP/IP實現的基本原理
2、Windows NT平臺的聯網
3、UNIX平臺的聯網及LINUX網絡的聯網
一、TCP/IP實現基本原理
1、TCP/IP的實現方式:
TSR常駐內存程序是一種安裝在Windows之前在DOS上運行的程序。缺點,不能動態分配內存,TSR需要動態鏈接庫DLL幫助,才能讓Windows程序訪問網絡。目前只有在DOS環境下才使用TSR方式
DLL動態鏈接庫是一個16位的Windows程序函數庫,只有當用到其中的過程時纔會被調用。缺點,它們不能直接與網卡通信,它們依賴於Windows的調度程序。
VxD虛擬設備是在Windows 32位保護方式下實現的,用於實現一些關鍵的部分,如視頻、鼠標及通信端口驅動程序。它是通過硬件中斷方式響應網絡中的通信,可以徹底地訪問Windwos和DOS程序。
2、網絡配置基本參數:PC中網絡適配卡基本參數,I/O端口地址、內存地址及中斷號IRQ。與Microsoft相關的網絡信息,主機標識、工作組 名、WINS服務器地址、DHCP服務器地址;與TCP/IP網絡信息有關,IP地址、子網掩碼、主機名、域名、域名服務器、默認網關IP地址。
二、Windows NT平臺的TCP/IP聯網
三、UNIX平臺的TCP/IP聯網
1、建立UNIX聯網的幾個步驟:設計物理和邏輯的網絡結構;分配IP地址;安裝網絡硬件;爲每個主機配置啓動時候的網絡接口;設立服務程序或者靜態路由。
2、IP地址的獲取和分配:可能通過/etc/hosts文件、DNS或者其他域名系統來實現。
3、網卡的配置:ifconfig命令可以設置網卡IP地址、子網掩碼、廣播地址、網卡的使能狀態及其他選項參數。Ifconfig interface [family] address up option ,其中interface是指定的網卡名,可以用netstat-i來檢查當前系統網卡的芯片類型。Loopback網卡通常叫lo0它是一個假想的硬 件,用來作本機內部網絡包的路由,
4、路由配置:route配置靜態路由,route [-f] op [type] destination gateway hop-count ,op參數如果是add就是增加一個路由表項,如果delete就是刪除一個路由表項。
5、routed標準路由daemon,只支持RIP,它使用hop作爲距離計數單位。Routed有兩種運行方式:服務器模式和安靜模式。兩種模式都 要監聽廣播包,但只有服務器模式才能發佈自己的路由信息,通常只有多網卡的機器才設置成服務器模式,如果未說明就是安靜模式。
6、gated一個更好的路由daemon,gated配置文件在/etc/gated.conf的語法中加入BGP後有了很大改動,gated能細粒度地控制廣播路由、廣播地址、信任策略、距離向量等。
四、Linux網絡的安裝與配置
1、手工進行網絡硬件配置:
系統啓動時會自動檢測網卡,有兩個缺點:一個是不通正確的檢查所有的網卡,特別是一些比較廉價的網卡,二是核心程序不會自動檢測一個以上的網卡,這點是爲了使用戶可以控制將山上設置到指定的端口上。如果使用兩個以上的網卡,自動檢測網卡就會失敗。
手動進行配置,一種方法是在覈心程序的源代碼的/drivers/net/space.c文件中修改或添加信息,然後重新編譯內核。另一種方法在系統啓動過程中將這些信息提供給內核程序。在LILO系統時可以通過lilo.conf文件中的append參數來傳遞給內核。
2、手工TCP/IP網絡配置
設置主機名:hostname name,爲接口進行IP配置:ifconfig interface ip-address
route add -net 202.112.58.0 -net的含義,因爲route既可以處理到網絡的路由,又可以處理到單個主機的路由。通過net來告訴它此地址是代表的一個網絡,用host來告訴它此 地址是代表一個主機。如果爲了方便,還可以在/etc/networks中定義網絡名字,route後面直接使用網絡名字就可以了。
route add default gw 2-2.112.58.254 網絡名字default是0.0.0.0的簡寫,指示默認的路徑,並不需要將這個名字加入到/etc/networks文件。
3、編輯hosts與networks文件
如果不打算使用DNS或者NIS進行地址解析時,就必須將所有的主機名字都放入hosts文件中。伴隨hosts文件的還有一個/etc/networks文件,它在網絡的名字和網絡號之間建立映射。
4、編譯內核
命令如下:cd/usr/src/linux make config
新的Linux核心版本中,對核心的配置除了上述make config命令外,還增加了字符狀態下以菜單形式對核心進行配置的命令make colormenu以及在X窗口系統中運行的圖形配置界面命令make xconfig
五、高級TCP/IP應用配置
1、網絡配置文件:在Linux中是通過/etc/rc.d/rc.inet1和/etc/rc.d/rc.inet2兩個文件實現的, /etc/rc.d/rc.inet1主要是通過ifconfig和route命令進行基本的TCP/IP接口配置,主要由兩部分組成,第一部分是對回送 接口的配置,第二部分是對以太網接口的配置。/etc/rc.d/rc.inet2主要是用來啓動一些網絡監控的進程,inetd portmapper 等。
2、名字服務和解析器配置
運行named:大多數UNIX機器上提供域名服務的程序叫named它是一個服務器程序,用來向客戶或其他名字服務器提供域名服務。它從配置文件 /etc/named.boot中獲取信息,以及各種包含域名到地址映射的數據文件,後者稱爲"區文件"zone file。Named包含的主文named.hosts。
第14章Internet與Intranet信息服務
主要內容:1、環球信息網的服務和管理
2、動態Web文件與CGI技術
3、活動Web文件與Java技術
4、FTP服務配置和管理及廣域信息服務WAIS
WWW服務器把信息組織成分佈式的超文本,這些信息節點是文本、子目錄或信息指針。WWW瀏覽器程序爲用戶提供基於超文本傳輸協議HTTP的用戶界 面。WWW服務器數據文件由超文本標記語言HTML描述。HTML利用通用資源訪問地址URL表示超媒體鏈接,並在文本內指向其他網絡資源
一、環球信息網
1、環球信息網的定義:環球信息網(WWW)是基於客戶機/服務器方式的信息發現技術和超文本技術的結合。
2、超文本文檔包含着一些借用標題、章節本身等構造文本的命令,從而允許瀏覽程序格式化爲一種文本類型,以獲得最佳的屏幕顯示效果。
3、Web任務:是使用一個起始URL來獲取一個Web服務器上的Web文檔,解釋這個HTML,並將文檔內容以用戶環境所許可的效果最大限度地顯示出來。
4、瀏覽器分類:線模式和圖形界面。
lynx是線模式瀏覽器,使用箭頭鍵來瀏覽內在HTML連接,支持書籤和表格功能。特點是:在交互狀態,可以將文章發佈到新聞組;在非交互狀態,可以將HTML過濾爲純文本。
midasWWW是基於X-windows系統瀏覽程序,支持更多的嵌入圖形。
Mosaic是可以支持嵌入的gif和xbm圖形,其他的視頻影像。
Netscape頁面採取邊傳送文檔邊顯示的方式,增強了交互效果。
Micosoft Explorer
5、Web服務器:在目前主要3種基於UNIX的web服務器公用軟件。
NCSA Web是C語言編寫的,程序小,速度快,可以單獨作爲服務進程運行,也可以設置在inetd中運行。
CERN httpd是早期C語言編寫的Web服務器,主要特點爲提供proxy代理和緩存功能。
Plexus httpd是perl語言編寫的,可擴展性好,易於使用和更新,但行動時開銷較大。
二、環球信息網服務的建立
1、編譯Web服務程序:獲取源程序包;編輯修改相應的Makefile;設置選擇項,修改src/config.h頭文件;在每個目錄中運行make 編譯命令。必要時修改src/makefile,cgi-src/makefile,support/makefile三個配置文件,編譯三項內容: httpd服務程序,support支持程序,cgi-bin接口程序。
2、配置Web系統服務:包括在三個配置文件,Web系統配置文件httpd.conf;Web資源文檔配置文件srm.conf;Web服務訪問控制配置文件access.conf,還包括如何擴充文檔MIME類型。
3、http配置文件使用的一些約定:不分大小寫;以#開始的爲註釋行;一個指令定義一行;忽略多餘的安全可靠,只認爲是一個空格。
4、系統配置文件httpd.conf
配置時首先需要選擇httpd的運行方式(單獨運行或是在inetd下運行),是否進行服務訪問控制。然後以httpd.conf.dist爲模板,修改各個變量。
5、文檔配置文件srm.conf
指定了Web服務的文檔和接口程序等所在的路徑。
6、服務訪問控制配置文件access.conf
定義了Web用戶的訪問權限。默認的定義是用戶可以瀏覽Web服務器所能提供的所有文檔。
7、訪問控制策略:目前有兩種方式來控制對文檔目錄的訪問。全程訪問控制配置文件,單個目錄訪問控制文件。
8、擴展文檔MIME類型:mime.types文件中定義了httpd不能直接處理的文件類型。可以通過srm.conf設置變量AddEncoding/Addtype/Default Type來定義新的類型。
三、WWW服務管理
1、擴充WWW服務功能
CGI接口程序能夠通過WWW服務執行外部程序。外部程序接收用戶的輸入:傳送給WAIS,SQL等服務器;將查詢結果以HTML文檔或URL的形式返回給WWW服務;CGI接口可用多種編程語言編寫,也可以自己編寫
2、WWW服務與CGI的交互技術
WWW服務與CGI交互過程分爲兩部分:接口程序接收用戶輸入;從接口程序輸出信息到WWW服務。
接口程序通過三個方式接收用戶輸入:環境變量,WWW服務在將瀏覽器的請求傳送給接口程序時,爲接口程序設置的環境變量。標準輸入,在查詢參數較多, 尤其在接收用戶FORM表格輸入方式設置爲POS。命令參數,HTML的﹤ISINDEX﹥標號來輸入查詢關鍵字,瀏覽器遇到標號時顯示。
CGI接口程序輸出:CGI接口程序的執行結果以標準輸出的形式傳遞給WWW服務。輸出中包含一行描述數據類型的頭信息、一個分隔行,接着是實際文檔數據。
三、FTP服務的配置和管理
1、FTP傳送服務主要用於存放大量的網絡公用軟件、常用工具和技術文檔,以及一些著名的FTP鏡像。傳遞的數據類型:ASCII,Postscript、SGML、可執行代碼、圖像、聲音、視頻動畫。
2、FTP服務通過FTP服務器與FTP客戶程序之間的信息交換。數據上載將數據從FTP客戶程序傳輸到FTP服務器。數據下載FTP客戶程序從FTP服務獲取數據。
3、FTP服務器可提供兩種訪問形式
內部用戶FTP:在主機上有帳號的用戶,用戶在輸入正確的帳號和口令字後,可以訪問整個文件系統中有讀權限的文檔,並可以任意數據到有寫權限的目錄。
匿名FTP:匿名FTP是internet的公共信息服務,訪問範圍限於匿名FTP區域(FTP服務器定義的子文件系統)。用戶只需要以Anonymous/ftp登錄,輸入自己的電子郵件作爲口令字即可訪問並下載所提供的信息資源。
4、FTP包含兩個部分:服務器,響應客戶請求,傳送文檔;文件系統,服務器文檔掃描調用的區域。FTP服務器命名通常是ftpd或in.ftpd。
5、FTP的運行方式:通常ftpd是在系統超級服務inetd進程下運行。使用TCP的21號端口。基本傳輸模式:流方式、塊方式、壓縮方式三種
6、FTP配置,在Inetd的配置文件中(/etc/inetd.conf)中添加相應的一行設置爲ftp stream tcp nowait root /etc/ftpd 。每次更新配置後,和kill -HUP INETD進程號,重新啓動INETD。
7、在Inetd下配置好FTP後,需要在主機/etc/passwd中設置用戶FTP,因爲ftpd在允許用戶匿名訪問ftp之前,首先檢查ftp用戶是否存在,如果不存在,ftpd拒絕匿名用戶訪問。
四、建立FTP服務器
1、FTP系統服務及其目錄配置
.company/:存放公司本身的信息
.pub/:公用軟件目錄
.in-coming/:匿名FTP用戶上載文件目錄
.usr/,bin/,etc/:FTP系統佔用的目錄
(1)設置FTP server的目錄:
(2)修改password和group文件內容及訪問權限
(3)在FTP server中設置目錄
2、建立鏡像系統
文件服務器鏡像系統(mirror sites)完成對遠程匿名FTP服務器資源的本地鏡像。在鏡像描述文件中指定遠程FTP服務器地址、登錄名及口令、需要鏡像的遠程FTP服務器的目錄或 文件、本地FTP服務器上的文件存放路徑和權限控制碼,系統就能夠根據鏡像描述文件使用FTP協議自動登錄到遠程FTP服務器,進入相應的目錄,取得該目 錄下的文件列表,與本地目錄下的文件列表進行比較。目錄流行的鏡像軟件是mirror-2.3,是用perl語言編寫的程序,按照FTP協議,在運行它的 主機與遠程主機之間,按目錄和文件結構進行數據傳輸。
3、REAMME文件用於描述各個文件及子目錄。包括以下內容:系統管理員電子郵件地址,便於用戶求助;本服務的基本信息;版權的基本信息;熱點透視;聲明信息。
4、統計日誌WU-FTPD系統定義了訪問日誌文件的格式,FTP訪問日誌統計工具有xferstats、iisstat等
5、訪問控制
WU-FTP訪問控制配置文件是ftpaccess、ftphosts、ftpusers、ftpgroups等。可以根據用戶訪問控制、CPU負載控制、用戶組別控制、向用戶自動顯示狀態信息,記錄系統使用情況,文件訪問快捷方式,控制文件載。
用戶訪問控制:可以通過fptaccess定義多種類別來控制用戶的訪問。類別定義由用戶類型和主機地址來組合。用戶類型有三種: anonymous,匿名FTP,只有訪問FTP系統目錄;guest,用戶使用帳號和口令訪問文件系統的一部分;real,系統本身的用戶,可以訪問整 個文件系統。
6、向用戶發送提示信息:WU-FTP有四種方式可向進入系統的用戶提示信息,他們是:banner,在用戶登錄時,將一個提示文件顯示給用戶; message可以控制在適當的時候提示用戶,一般在用戶登錄或用戶轉移到某一目錄時提示;readme可以提示用戶README文件已經更新。 Shutdwon關閉FTP服務有兩種方式:在ftpaccess中使用shutdown命令;使用ftpshut工具
7、一些管理工具
Ftpshutd 在系統將要關閉時,根本上新的用戶訪問;並關閉服務。
ftpwho 顯示當前每個類別的用戶當前有多少人在訪問以及最多可訪問數、其他一些用戶使用情況。
ftpcount 顯示每個類別的用戶當前訪問ftp服務的數目,以及最多訪問數.
Fftpmail 是電子郵件與ftp的接口。
五、動態Web文檔與CGI技術
1、Web文檔的三種基本形式
靜態文檔:是一個存儲於Web服務器的文件,靜態文檔由作者在寫作時決定文檔內容,它的內容不會變化。是一種排版語言,主要優點,是簡單、可靠、性能好;主要缺點,是靈活性差,當信息變化時,必須重新設計文檔。
動態文檔:它在瀏覽器訪問Web服務器時創建,沒有預先定義的格式。內容總是變化的,每次訪問都要創建新文檔。可以用來顯示天氣預報、股巿行情等時效性很強的信息。主要缺點創建費用較高、訪問的時間較長、且瀏覽器取得一個複製的文檔後不會再改變。
活動文檔:它不完全由服務器產生,一個活動文檔包括一個計算和顯示的程序。只要用戶程序保持運行,該文檔可以不斷地變化。活動文檔本身不包含運行所需要的軟件,大部分支持軟件在瀏覽器上。主要缺點,是創建和運行這類文檔費用高,安全性差。
2、動態文檔的實現
處理動態文檔的服務器有三個特性:服務器必須擴展,對來自瀏覽器的每次請求,能執行一個創建文檔的應用程序,並將產生的活動文檔返回給瀏覽器;必須爲每個動態文檔寫一個應用程序;服務器使用設置信息來區分動態文檔和靜態文檔。
3、通用網關接口CGI
構建動態Web文檔廣泛使用的技術是通用網關接口(common gateway interface)CGI。CGI標準說明了服務器如何和應用程序交互作用,以實現一個動態文檔,這種應用程序稱爲CGI程序。
CGI是服務器和HTML文件之間的接口程序,負責處理HTML文件與運行在服務器中的非HTML程序之間的數據交換。
CGI可以是一個編譯的程序,或者是一個批處理文件,或者任何可執行的二進制文件。CGI存放在Web服務器的cgi-bin子目錄下,必須要求系統 管理員開放對cgi-bin目錄的訪問權。CGI實現交互查詢有兩種方法:一種是基於文件的查詢;另一種是使用FROM。
六、活動Web文檔和Java技術
七、廣域信息服務
1、廣域信息服務WAIS(Wide Area Information Search)是一種網絡信息查詢系統,它可以和關鍵字對服務器數據庫進行全文索引,獲取索引所得的信息。
2、WAIS運行模式,採用客戶機和服務器方式。運行方式,standalone和inetd方式。包括三部分內容,客戶方軟件、服務器軟件和索引程序。
3、WAIS數據主要有8個文件構成,其中xx.src用於客戶端服務器說明,xx.dct,xx.inv用於查詢。
4、在UNIX機器上,有waisserch和xwais。在PC要上有winwais。這些客戶程序和服務器之間採用Z39.50標準協議,在不同平臺上,只要遵循這些協議就能和waisserver進行通信。
5、FreeWais系統組成:其軟件由索引建立器、服務器和客戶訪問程序三部分組成。其工作過程:
(1)索引建立器從數據庫中讀取數據並建立索引,它爲文檔中出現的單詞建立一個列表,並在一個表中記錄單詞的出現位置。
(2)服務器則根據用戶指定的查詢條件,使用已經有的索引進行檢索。服務器首先分解出一個用戶自然語言的查詢條件,把每個單詞作爲關鍵詞,找出包含這些單詞的文檔,並給出一個分數來提醒用戶每篇文檔的切題程序。分數越高表示切題程序越高。
(3)客戶程序通過Z39.50標準協議來形成檢索規則,顯示服務器找到的命中文檔,還允許用戶查看某一文檔的內容。文檔的類型包括ASCII文本、二進制信息、聲音文件、Post Script文件、HTML文件、JPEG、GIF文件。
第15章 網絡應用
主要內容:1、網絡化經濟的新模式
2、internet服務平臺
3、計算機支持的協同工作
4、電子商務
5、遠程教育以及遠程醫療
一、21世紀網絡發展趨向
1、摩爾定律:是Intel公司創始人莫爾於20世紀70年代提出的,其表達式D(T)=D(T0)2(T-T0)/1.5。每18個月集成電路器件數翻一番。
2、曼卡夫定律:是以太網發明者曼卡夫於20世紀90年代初提出的,其表達式爲網絡價值=N(N-1)/2 。N爲用戶數。任何通信網絡的價值是以網絡內用戶數的平方來增長,即N個用戶可能的連接數。由此可以導出網絡頻寬的按拉入網絡的PC能力的平方增長。
二、網絡化經濟的新模式
1、Internet協議和WWW技術已經Internet的兩個重要標準
2、IP服務平臺的要求:網絡安全、服務擴展、平臺的擴展、網絡管理、互操作性、高效的實施、各種設施的接入、國際化和本地化、可商業化應用、移動服務、開放性和易於使用。
3、採用網絡中間件實現IP服務平臺是行之有效的方法。中間件位於網絡層之上應用層之下,爲應用提供公共基礎,以共享結構、框架以及公共功能。
4、中間件可分三類:通信中間件,由協議和體系結構組成,支持基本面向對象的分佈系統和分佈計算。安全中間件,包括認證、訪問控制、數據保密和完整性以及加密等功能。集成中間件,集成計算平臺和企業範圍的各種應用。
三、計算機支持的協同工作
1、CSCW(computer supported cooperative work) 是研究地域分散的一個羣體如何藉助計算機及其網絡技術支持,共同協調與協作來完成一項任務的技術領域。
2、CSCW包括協同工作體系結構、羣體協作方式和模型研究、支持羣衆工作的相關技術研究、應用系統的開發等部分。
3、CSCW的系統體系結構:
CSCW可分爲四層結構模型:第一層爲開放系統互連環境,提供開放的通信網絡支持環境,保證協同工作過程中有效的信息交流。第二層爲協同工作支撐平 臺,解決協同工作所需要的主要機制和工具。第三層協同工作應用接口,提供協同應用的編程接口API、人中接口HCI、人際接口IPI。第四層各種CSCW 應用系統,針對各種協同工作應用領域,提供所需要的協作支持工具和剪裁和集成,協同應用系統的開發。
4、羣件:是指給人們提供一個訪問某共享環境的界面,以支持他們去完成某個總體的目標或任務的計算機應用系統。
四、電子商務
1、電子商務EC:是一種現代商業經營方法,可滿足企業、商貿、消費者的需求,以達到降低成本、改進產品和服務質量、提高服務傳遞速度的目的。電子商務通過計算機網絡實現信息、產品、服務的交換。
2、電子商務的特徵:2P+3C
以計算機網絡爲基礎;貿易伙伴以協調和協作方式;圍繞貿易或商務這個主題;對商務內容和信息計算機化處理;利潤。
3、電子商務的框架:社會法規政策與隱私和電子文本、多媒體和網絡協議的技術標準是兩個十分重要的支柱。
4、電子商務的類型:
5、電子商務的流程:
6、電子商務的組成原理:電子商務是貿易鏈上的各個參與方,在計算機信息網絡環境下,通過CA認證和信息安全保證的基礎上,對貿易流程洽談、銷售、支付、貿易執行、客戶服務全方位處理的過程。
五、遠程教育
1、遠程教育:是指與傳統的以課堂爲主體的、都是與學生面對面的教學相別的另一種教學模式,它有函授教學、廣播電視教學、網絡遠程教學。
2、遠程教育特點:訪問方式的時空無限性;教育信息的共享性;教學方式的雙向交互性;自學模式的多樣性
3、網絡遠程教學的形式:遠程訪問;遠程體驗;遠程輔導;遠程共享;虛擬出版;虛擬教室;計算機支持的協作學習。
4、遠程教學系統包括兩個部分:課件開發系統和教學運行系統。
六、遠程醫療
1、遠程醫療系統的工作模式或服務可以分爲異步非實時和同步實時兩類。前者通過電子郵件信函進行醫療諮詢或會診,後者通過視頻會議系統進行遠程實時會診乃至手術指導等醫療活動。
網絡工程師最容易忽視的七大問題!
1.配置交換機
將交換機端口配置爲100M全雙工,服務器安裝一塊Intell00M
EISA網卡,在大流量負荷數據傳輸時,速度變得極慢,最後發現這款網卡不支持全雙工。將交換機端口改爲半雙工以後,故障消失。這說明交換機的端口與 網卡的速率和雙工方式必須一致。目前有許多自適應的網卡和交換機,由於品牌的不一致,往往不能正確實現全雙工方式,只有手工強制設定才能解決。
2.雙絞線的線序
將服務器與交換機的距離由5米改爲60米,結果無論如何也連接不通,爲什麼呢?以太網一般使用兩對雙絞線,排列在1、2、3、6的位置,如果使用的不 是兩對線,而是將原配對使用的線分開使用,就會形成纏繞,從而產生較大的串擾(NEXT),影響網絡性能。上述故障的原因是由於3、6未使用配對線,在距 離變長的情況下連接不通。將RJ45頭重新按線序做過以後,一切恢復正常。
3.網絡與硬盤
基於文件訪問和打印的網絡的瓶頸是服務器硬盤的速度,所以配置好服務器硬盤對於網絡的性能起着決定性的作用。以下提供幾點意見供你參考:
·選用SCSI接口和高轉速硬盤。
·硬盤陣列卡能較大幅度地提升硬盤的讀寫性能和安全性,建議選用。
·不要使低速SCSI設備(如CD)與硬盤共用同一SCSI通道。
4.網段與流量
某臺服務器,有兩臺文件讀寫極爲頻繁的工作站,當服務器只安裝一塊網卡,形成單獨網段時,這個網段上的所有設備反應都很慢,當服務器安裝了兩塊網卡, 形成兩個網段以後,將這兩臺文件讀寫極爲頻繁的工作站分別接在不同的網段上,網絡中所有設備的反應速度都有了顯著增加。這是因爲增加的網段分擔了原來較爲 集中的數據流量,從而提高了網絡的反應速度。
5.橋接與路由
安裝一套微波聯網設備,上網調試時服務器上總是提示當前網段號應是對方的網段號。將服務器的網段號與對方改爲一致後,服務器的報警消失了。啊!原來這 是一套具有橋接性質的設備。後來與另外一個地點安裝微波聯網設備,換用了其他一家廠商的產品,再連接,將兩邊的網段號改爲一致,可當裝上設備以後,服務器 又出現了報警:當前路由錯誤。修改了一邊的網段以後,報警消失了。很明顯這是一套具有路由性質的設備。橋的特徵是在同一網段上,而路由必須在不同網段上。
6.廣播干擾
上述通過橋接設備聯網的兩端,分別有一套通過廣播發送信息的應用軟件。當它們同時運行時,兩邊的服務器均會發出報警:收到不完全的包。將一套應用軟件 轉移到另外一個網段上以後,此報警消失。這是因爲網絡的廣播在同一網段上是沒有限制的。兩個廣播就產生了相互干擾從而產生報警。而將一個應用軟件移到另外 一個網段以後,就相當於把這個網段的廣播與另外網段上的廣播設置了路由,從而限制了廣播的干擾,這也是路由器最重要的作用。
7.WAN與接地
無意將路由器的電源插頭插在了市電的插座上,結果64KDDN就是無法聯通。電信局來人檢查線路都很正常,最後檢查路由器電源的接地電壓,發現不對, 換回到UPS的插座上,一切恢復正常。路由器的電源插頭接地端壞掉,從而造成數據包經常丟失,做PING連接時,時好時壞。更換電源線後一切正常。WAN 的連接因爲涉及到遠程線路,所以對於接地要求較爲嚴格,才能保證較強的抗干擾性,達到規定的連接速率,不然會出現奇怪的故障。