参考:
http://blog.163.com/gign_99/blog/static/7067475620083664412571/
1、计算机系统的组成包括硬件系统和软件系统
硬件系统分为三种典型结构:
(1)单总线结构 (2)、双总线结构 (3)、采用通道的大型系统结构
中央处理器CPU包含运算器和控制器。
2、指令系统
指令由操作码和地址码组成。
3、存储系统分为 主存—辅存层次 和主存—Cache层次
Cache作为主存局部区域的副本,用来存放当前最活跃的程序和数据。
计算机中数据的表示
Cache的基本结构:Cache由存储体、地址映像和替换机构组成。
4、通道是一种通过执行通道程序管理I/O操作的控制器,它使CPU与I/O操作达到更高的并行度。
5、总线从功能上看,系统总线分为地址总线(AB)、数据总线(DB)、控制总线(CB)。
6、磁盘容量记计算
非格式化容量=面数*(磁道数/面)*内圆周长*最大位密度
格式化容量=面数*(磁道数/面)*(扇区数/道)*(字节数/扇区)
7、数据的表示方法
原码和反码
[+0]原=000…00 [-0]原=100...00 [+0]反=000…00 [-0]反=111…11
正数的原码=正数的补码=正数的反码
负数的反码:符号位不变,其余位变反。
负数的补码:符号位不变,其余位变反,最低位加1。
操作系统定义:用以控制和管理系统资源,方便用户使用计算机的程序的集合。
功能:是计算机系统的资源管理者。
特性:并行性、共享性
分类:多道批处理操作系统、分时操作系统、实时操作系统、网络操作系统。
进程:是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。
进程分为三种状态:运行状态(Running)、就绪状态(Ready)、等待状态(Blocked)。
作业分为三种状态:提交状态、后备运行、完成状态。
产生死锁的必要条件:
(1)、互斥条件:一个资源一次只能被一个进程所使用;
(2)、不可抢占条件:一个资源仅能被占有它的进程所释放,而不能被别的进程强行抢占;
(3)、部分分配条件:一个进程已占有了分给它的资源,但仍然要求其它资源;
(4)、循环等待条件:在系统中存在一个由若干进程形成的环形请求链,其中的每一个进程均占有若干种资源中的某一种,同时每一个进程还要求(链上)下一个进程所占有的资源。
死锁的预防:1、预先静态分配法 2、有序资源使用法 3、银行家算法
虚拟存储器:是指一种实际上并不以物理形式存在的虚假的存储器。
页架:把主存划分成相同大小的存储块。
页:把用户的逻辑地址空间(虚拟地址空间)划分成若干个与页架大小相同的部分,每部分称为页。
页面置换算法有:1、最佳置换算法OPT 2、先进先出置换算法FIFO 3、最近最少使用置换算法LRU 4、最近未使用置换算法NUR
虚拟设备技术:通过共享设备来模拟独占型设备的动作,使独占型设备成为共享设备,从而提高设备利用率和系统的效率。
SPOOL系统:实现虚拟设备技术的硬件和软件系统,又Spooling系统,假脱机系统。
作业调度算法:
1、 先来先服务调度算法FIFO:按照作业到达系统或进程进入就绪队列的先后次序来选择。
2、 优先级调度算法:按照进程的优先级大小来调度,使高优先级进程得到优先处理的调度策略。
3、 最高响应比优先调度算法:每个作业都有一个优先数,该优先数不但是要求的服务时间的函数,而且是该作业为得到服务所花费的等待时间的函数。
以上三种都是非抢占的调度策略。
定义:以应用为中心,计算机技术为基础,软硬件可裁剪,适应于特定应用系统,对功能、可靠性、成本、体积、功耗有严格要求的计算机系统。
特点:硬件上,体积小、重量轻、成本低、可靠性高等特点、使用专用的嵌入式CPU。软件上,代码体积小、效率高,要求响应速度快,能够处理异步并发事件,实时处理能力。
应用:从航天飞机到家用微波炉。
滑动窗口协议规定重传未被确认的分组,这种分组的数量最多可以等于滑动窗口的大小,TCP采用滑动窗口协议解决了端到端的流量控制。
传输速率 S=(1/T)log2N
T—信号脉冲重复周期或单位脉冲宽度
n—一个脉冲信号代表的有效状态数,是2的整数值
log2N--单位脉冲能表示的比特数
信道容量:表征一个信道传输数据的能力。单位:bps
信道容量的计算:
无噪声 C=2H =2Hlog2N (奈奎斯特定理)
H—信道带宽 N—一个脉冲信号代表的有效状态数
有噪声 C=Hlog2(1+S/N) (香农公式)
H—信道带宽 S—信号功率 N—噪声功率
dB=10log10S/N,当S/N=1000时,信噪比为30dB
延迟的计算
1、电路交换
总延迟=链路建立时间+线路延迟+发送时长
2、虚电路分组交换
总延迟=链路建立时间+(每个分组在交换结点延迟+每个分组线路延迟+每个分组发送时长)*分组数
3、数据报分组交换
总延迟= (每个分组在交换结点延迟+每个分组线路延迟+每个分组发送时长)*分组数
a、模拟信号à模拟传输
b、模拟信号à数字传输 需要编码解码器(Codec),模拟数据数字化分为三步:采样、量化、编码 采样:对于连续信号是通过规则的时间间隔测出波的振动幅度从而产生一系列数据。量化:采样得到的离散数据转换成计算机能够表示的数据范围的过程,即将样值 量化成一个有限幅度的集合X(nT)。编码:用一定位数的二进制数来表示采样所得脉冲的量化幅度的过程。常用编码方法有PCM脉冲编码调制。
c、数字信号—>数字传输 常用编码:归零码、不归零码、曼彻斯特码、差分曼彻斯特码
IEEE802.3以太网使用曼彻斯特编码,IEEE802.5令牌环使用差分曼彻斯特编码,两者的编码效率是50%,FDDI、100BASE-FX使用了4B/5B编码和NRZ-I(不归零码),编码效率是80%。
d、数字信号à模拟传输 需要调制和解调,调制:由发送端将数字数据信号转换成模拟数据信号的过程;解调:在接收端把模拟数据信号还原为数字数据信号的过程,调制的方法:载波的表 示--y=A(t)sin(wt+Ф) ,分为ASK振幅调制、FSK频率调制、PSK相位调制。
曼彻斯特编码:每比特的1/2周期处要发生跳变,由高电平跳到低电平表示1,由低电平跳到高电平表示0;差分曼彻斯特编码:有电平转换表示0,无电平转换表示1
CRC-CCITT G(X)=X16+X12+X5+1 HDLC的帧校验用
CRC-16 G(X)=X16+X15+X2+1
CRC-32 G(X)=X32+…+X+1 用在局域网中
海明码 m+k+1<2k 数据位m,要纠正单个错误,得出冗余位k必须取的最小值。码距为m、n中最小值,它能够发现(码距-1)位错,并可纠正(码距-1-1)位错;比如8421的码距为1。要检测出d位错,码字之间的海明距离最小值应为d+1。
CRC冗余码求法:(1)、如果信息位为K位,则其K-1次多项式可记为K(x);如信息1011001,则k(x)=x6+x4+x3+1;(2)、冗 余位为R位,其R-1位记为R(x);如冗余位为1011,则R(x)=x3+x+1;(3)、发送信息为N=K+R,多项式为T(x)=Xr*K(x) +R(x),Xr表示将K (x)向左平移r位;(4)、冗余位产生过程:已知K(x)求R(x)的过程,一般应选一特定R次多项式G(x)(生成多项式)一般先事先商定好的,用G (x)去除Xr*K(x)得余式即为R(x)。R(x)=Xr*K(x)/G(x);运算规则异或运算,相同取0,不同取1。
JPEG属于黑白文稿数据压缩系统。二维压缩技术是指在水平和垂直方向都进行了压缩,在压缩算法中属于二维压缩技术的是MR。MMR数据压缩系统是在MR 的基础上该进而来的,它主要在压缩效率和容错能力方面进行了改进和提高。下列压缩技术中,MPEG属于动态图像压缩技术。
X.25 是分组交换协议交换标准,公用数据网一般都用分组交换协议,所以X.25就是公用数据网的协议标准。
X.25分为三层:物理层—采用X.21;链路层—采用LAP-B(链路访问平衡过程),它是HDLC的子集;分组层—提供外部虚电路服务,使用X.25 PLP协议。
X.25又包括(1)HDLC协议--数据链路控制协议:面向字符的协议和面向比特的协议;HDLC定义了三种类型的站、两种链路配置和三种数据传输方式;(2)PLP协议—分组级协议。支持永久虚电路PVC和交换虚电路SVC。
本质上仍是分组交换技术,但舍去了X.25的分组层,仅保留物理层和数据链路层,以帧为单位在链路层上进行发送、接收、处理,是简化了的X.25版本,是 去掉了差错检测功能和纠错功能,只支持永久虚电路PVC,帧中继协议叫做LAP-D(Q.921),链路层用它提供可靠的数据链路控制服务。
ISDN将话音传输、图像传输、数据传输等多种业务综合到一个网络中。为分四个参考点R、S、T、U,ISDN设备有:(1)1类终端设备TE1—与 ISDN网络兼容的设备,可直接连接NT1或NT2;(2)2类终端设备TE2—与ISDN网络不兼容的设备,连接ISDN网时需要使用终端适配器TA; (3)终端适配器TA,把非ISDN设备的信号转换成符合ISDN标准的信号;(4)、1类网络终结设备NT1,用户端网络设备,可以支持连接8台 ISDN终端设备;(5)、2类网络终结设备NT2,可接大型用户的较多终端设备。
ISDN提供了一种数字化的比特管道,支持由TDM(时分多路复用)分隔的多个信道。常用的有2 种标准化信道:D信道—16kb/s数字信道,用于带外信令,传输控制信号;B信道—64kb/s数字PCM信道,用于语音或数字。ISDN比特管道主要 支持2种信道的组合:BRI—基本速率接口2B+D(N-ISDN速率达144kbps);PRI—基群速率接口(一次群,B-ISDN),北美23B+ D,1.544M(T1),欧洲30B+D,2.048M(E1)。
N-ISDN在传送信令的D通路使用分组交换,而B-ISDN则使用快速分组交换,即异步传递方式(ATM)。
ISDN分为三层,第一层处理信令分帧,第二层处理分帧协议,第三层处理D信道的呼叫建立和拆卸协议,NT2提供数字数据与模拟电话交换功能。
ATM是宽带综合业务数字网B-ISDN的核心技术,常称B-ISDN为ATM网,它是一种高速分组交换传输模式,交换单位为固定长度的信元53字节,支持永久虚电路PVC和交换虚电路SVC。
ATM各层的功能
层次 子层 功能 与OSI的对应
高层 对用户数据的控制 高层
ATM适配层 汇聚子层CS 为高层数据提供统一接口 第四层
拆装子层SAR 分割和合并用户数据
ATM层 虚通路和虚信道的管理,信元头的组装和拆分,信元的多路复用,流量控制 第三层
物理层 传输会聚子层TC 信元校验和速率控制,数据帧的组装和分拆 第二层
物理介质子层PMD 比特定时,物理网络接入 第一层
ATM信元包含5个字节的信元头—主要完成寻址功能;48个字节的数据—用来装载不同用户,不同业务的信息。信元头中包括:GFC—通用流量控制,进行接 入流量控制,用在NUI中;PTI—有效载荷,用来区分用户信息与非用户信息;HEC—首部差错控制,进行多个或单个比特的纠错。
在交换过程中,当实施 VP 交换时,其中 VPl、VCI 的变化情况是VCI不变、VPI根据需要变化。若在交换过程中出现拥塞,该信息被记录在信元的CLP中。注:VP交换是把一困VC交换,VC交换是用交换机进行的。
AAL协议 AAL1:对应于A类业务。CS子层监测丢弃和误插入的信元,平滑进来的数据,提供固定速率的输出,并且进行分段。SAR子层加上信元顺序号和及其检测号 和,以及奇偶校验位等。 AAL2:对应于B类业务。用于传输面向连接的实时数据流,不进行错误检验,只检查顺序。 AAL3/4:对应于C/D类业务。该协议用于面向连接的和无连接的服务,对信元错误和丢失敏感。AAL5:对应于C/D类业务,是计算机行业提出的协 议。
ATM局域网的优点:信道利用率高,对于突发业务延时更小。
ATM LANE—ATM局域网仿真包括四个协议:LEC局域网仿真客户端、LES局域网仿真服务器—完成MAC-to-ATM的地址转换、LECS局域网仿真配置服务器、BUS广播和未知服务器。
是一种高速的WAN技术,通常在T载波线路上实施,采用的高速总线带宽可达155Mbps。SMDS与大量基于LAN的协议兼容,在欧洲是一种非常流行的WAN技术。
传输介质、拓扑结构、介质访问控制方法(协议)
IEEE802.3以太网采用CSMA/CD协议,使用曼彻斯特编码;CSMA/CD机制特点:先听后发、边听边发、冲突停止、随机延迟后重发;CSMA/CD对以太网中数据帧的最小帧长的要求:最小帧长=两站点间最大的距离/传播速度*传输速率
令牌总线物理上为总线结构,利用802.3广播电缆的可靠性;逻辑上为环网:所有的站点组成1个环,每个站点按序分配1个逻辑地址,每个站点都知道在它前面和后面的站地址,最后一个站点后面相邻的站点是第一个站点。
令牌环是由高速数字通信信道和环接口组成,节点主机通过环接口连接到网内。
DQDB由两条单向总线(一般用光纤介质)组成,所有的计算机都连接在上面。它同时支持电路交换和分组交换两种服务,在大地理范围内提供综合服务,如数据话音、图像的高速传输等。
FDDI使用了和802.5类似的令牌环协议,是一种高性能的光纤令牌环局域网。它的令牌帧含有前导码,提供时钟同步信号。
信道利用率高,对于突发业务延时更小,但实现复杂,它利用电路交换和分组交换实现。使用53字节的固定信元进行传输。
(1)、基础设施网络,无线终端通过接入点(access point AP)访问骨干网上的设备,或者互相访问,接入点如同一个网桥,负责在802.11和802.3MAC协议之间进行转换;
(2)、特殊网络(Ad Hoc Networking),是一种点对点连接,以无线网卡连接的终端设备之间可以直接通信。
无线局域网采用802.11系列标准,主要有4个子标准:
802.11b 标准的传输速度为11MB/S
802.11a 标准的连接速度可达54MB/S,与802.11a互不兼容。
802.11g 兼容802.11b与802.11a两种标准,这样原有的802.11b和802.11a两种标准的设备都可以在同一网络中使用。
802.11z 是一种专门为了加强无线局域网安全的标准。
第六章、网络互连和互联网
TCP/IP是一组小的、专业化协议集,包括TCP、IP、UDP、ARP、ICMP,以及其它的一些被称为子协议的协议。
网络互连设备包括中继器、集线器(Hub物理层设备,相当于多端口的中继器)、网桥、路由器、网关。
网桥工作于数据链路层中的介质访问控制子层(MAC),所以它包含:流控、差错处理、寻址、媒体访问等。分为(1)透明网桥:网桥自动学习每个端口所接网 段的机器地址(MAC地址),形成一个地址映象表,网桥每次转发帧时,先查地址映象表,如查到则向相应端口转发,如查不到,则向除接收端口之外的所有端口 转发(flood)。为了防止出现循环路由,可采用生成树算法网桥。(2)、源路由网桥(SRB):在发送方知道目的机的位置,并将路径中间所经过的网桥 地址包含在帧头中发出,路径中的网桥依照帧头中的下一站网桥地址一一转发,直到到达目的地。
Internet的应用技术:域名系统(DNS)、简单网络管理协议(SNMP)、电子邮件及简单邮件传输系统(SMTP)、远程登录及TELNET协议、文件传输和FTP、网络新闻(USENET)、网络新闻传输协议(NNTP)、WWW和HTTP。
一、威胁定义为对缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。
二、传统密码系统又单钥密码系统又对称密码系统:加密解密所用的密钥是相同的或类似的,即由加密密码很容易推导出解密密码,反之亦然。常用的有DES数据加密标准,密钥为56位;后有改进型的IDEA国际数据加密算法,密钥为128位。
公钥密码系统又非对称密码系统:加密密钥和解密密钥是本质上不同的,不需要分发密钥的额外信道。有RSA密码系统,它可以实现加密和数字签名,它的一个比较知名的应用是SSL安全套接字(传输层协议)。
三、对照ISO/OSI参考模型各个层中的网络安全服务,在物理层可以采用防窃听技术加强通信线路的安全;在数据链路层,可以采用通信保密机进行链路加 密;在网络层可以采用防火墙技术来处理信息内外网络边界到进程间的加密,最常见的传输层安全技术有SSL;为了将低层安全服务进行抽象和屏弊,最有效的一 类做法是可以在传输层和应用层之间建立中间件层可实现通用的安全服务功能,通过定义统一的安全服务接口向应用层提供身份认证、访问控制和数据加密。
防火墙技术一般可以分为两类:网络级防火墙(采用报文动态分组)和应用级防火墙(采用代理服务机制),而后者又包括双穴主机网关、屏蔽主机网关、屏蔽子网网关。
防火墙定义:(1)所有的从外部到内部或从内部到外部的通信都必须经过它;(2)只有有内部访问策略的通信才能被允许通过;(3)系统本身具有很强的高可靠性。
防火墙基本组成:安全操作系统、过滤器、网关、域名服务、函件处理。
防火墙设计的主要技术:数据包过滤技术、代理服务技术。
IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH、封装安全载荷协议ESP、密钥管理协议 IKE和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数 据加密等网络安全服务。
网络安全与信息安全
主要内容:1、密码学、鉴别
2、访问控制、计算机病毒
3、网络安全技术
4、安全服务与安全机制
5、信息系统安全体系结构框架
6、信息系统安全评估准则
一、密码学
1、密码学是以研究数据保密为目的,对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。
2、对称密钥密码系统(私钥密码系统):在传统密码体制中加密和解密采用的是同一密钥。常见的算法有:DES、IDEA
3、加密模式分类:
(1)序列密码:通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流逐位加密得到密文。
(2)分组密码:在相信复杂函数可以通过简单函数迭代若干圈得到的原则,利用简单圈函数及对合等运算,充分利用非线性运算。
4、非对称密钥密码系统(公钥密码系统):现代密码体制中加密和解密采用不同的密钥。
实现的过程:每个通信双方有两个密钥,K和K',在进行保密通信时通常将加密密钥K公开(称为公钥),而保留解密密钥K'(称为私钥),常见的算法有:RSA
二、鉴别
鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程,一般通过某种复杂的身份认证协议来实现。
1、口令技术
身份认证标记:PIN保护记忆卡和挑战响应卡
分类:共享密钥认证、公钥认证和零知识认证
(1)共享密钥认证的思想是从通过口令认证用户发展来了。
(2)公开密钥算法的出现为
2、会话密钥:是指在一次会话过程中使用的密钥,一般都是由机器随机生成的,会话密钥在实际使用时往往是在一定时间内都有效,并不真正限制在一次会话过程中。
签名:利用私钥对明文信息进行的变换称为签名
封装:利用公钥对明文信息进行的变换称为封装
3、Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。客户方需要向服务器方递交自己的凭据来证明自 己的身份,该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的。凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密密钥,还 有证明客户方拥有会话密钥的身份认证者信息。身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用。时间标记是检测重放攻击。
4、数字签名:
加密过程为C=EB(DA(m)) 用户A先用自己的保密算法(解密算法DA)对数据进行加密DA(m),再用B的公开算法(加密算法EB)进行一次加密EB(DA(m))。
解密的过程为m= EA (DB (C)) 用户B先用自己的保密算法(解密算DB)对密文C进行解密DB (C),再用A的公开算法(加密算法EA)进行一次解密EA (DB (C))。只有A才能产生密文C,B是无法依靠或修改的,所以A是不得抵赖的DA(m)被称为签名。
三、访问控制
访问控制是指确定可给予哪些主体访问的权力、确定以及实施访问权限的过程。被访问的数据统称为客体。
1、访问矩阵是表示安全政策的最常用的访问控制安全模型。访问者对访问对象的权限就存放在矩阵中对应的交叉点上。
2、访问控制表(ACL)每个访问者存储有访问权力表,该表包括了他能够访问的特定对象和操作权限。引用监视器根据验证访问表提供的权力表和访问者的身份来决定是否授予访问者相应的操作权限。
3、粗粒度访问控制:能够控制到主机对象的访问控制
细粒度访问控制:能够控制到文件甚至记录的访问控制
4、防火墙作用:防止不希望、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。
防火墙的分类:IP过滤、线过滤和应用层代理
路由器过滤方式防火墙、双穴信关方式防火墙、主机过滤式防火墙、子网过滤方式防火墙
5、过滤路由器的优点:结构简单,使用硬件来降低成本;对上层协议和应用透明,无需要修改已经有的应用。缺点:在认证和控制方面粒度太粗,无法做到用户 级别的身份认证,只有针对主机IP地址,存在着假冒IP攻击的隐患;访问控制也只有控制到IP地址端口一级,不能细化到文件等具体对象;从系统管理角度来 看人工负担很重。
6、代理服务器的优点:是其用户级身份认证、日志记录和帐号管理。缺点:要想提供全面的安全保证,就要对每一项服务都建立对应的应用层网关,这就极大限制了新应用的采纳。
7、VPN:虚拟专用网,是将物理分布在不同地点的网络通过公共骨干网,尤其是internet联接而成的逻辑上的虚拟子网。
8、VPN的模式:直接模式VPN使用IP和编址来建立对VPN上传输数据的直接控制。对数据加密,采用基于用户身份的鉴别,而不是基于IP地址。隧道模式VPN是使用IP帧作为隧道的发送分组。
9、IPSEC是由IETF制订的用于VPN的协议。由三个部分组成:封装安全负载ESP主要用来处理对IP数据包的加密并对鉴别提供某种程序的支持。,鉴别报头(AP)只涉及到鉴别不涉及到加密,internet密钥交换IKE主要是对密钥交换进行管理。
四、计算机病毒
1、计算机病毒分类:操作系统型、外壳型、入侵型、源码型
2、计算机病毒破坏过程:最初病毒程序寄生在介质上的某个程序中,处于静止状态,一旦程序被引导或调用,它就被激活,变成有传染能力的动态病毒,当传染 条件满足时,病毒就侵入内存,随着作业进程的发展,它逐步向其他作业模块扩散,并传染给其他软件。在破坏条件满足时,它就由表现模块或破坏模块把病毒以特 定的方针表现出来。
五、网络安全技术
1、链路层负责建立点到点的通信,网络层负责寻径、传输层负责建立端到端的通信信道。
2、物理层可以在通信线路上采用某些技术使得搭线偷听变得不可能或者容易被检测出。数据链路层,可以采用通信保密机进行加密和解密。
3、IP层安全性
在IP加密传输信道技术方面,IETF已经指定了一个IP安全性工作小组IPSEC来制订IP安全协议IPSP和对应的internet密钥管理协议IKMP的标准。
(1)IPSEC采用了两种机制:认证头部AH,提前谁和数据完整性;安全内容封装ESP,实现通信保密。1995年8月internet工程领导小组 IESG批准了有关IPSP的RFC作为internet标准系列的推荐标准。同时还规定了用安全散列算法SHA来代替MD5和用三元DES代替DES。
4、传输层安全性
(1)传输层网关在两个通信节点之间代为传递TCP连接并进行控制,这个层次一般称作传输层安全。最常见的传输层安全技术有SSL、SOCKS和安全RPC等。
(2)在internet编程中,通常使用广义的进程信IPC机制来同不同层次的安全协议打交道。比较流行的两个IPC编程界面是BSD Sockets和传输层界面TLI。
(3)安全套接层协议SSL
在可靠的传输服务TCP/IP基础上建立,SSL版本3,SSLv3于1995年12月制定。SSL采用公钥方式进行身份认证,但是大量数据传输仍然使用对称密钥方式。通过双方协商SSL可以支持多种身份认证、加密和检验算法。
SSL协商协议:用来交换版本号、加密算法、身份认证并交换密钥SSLv3提供对Deffie-Hellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Frotezza chip上的密钥交换机制的支持。
SSL记录层协议:它涉及应用程序提供的信息的分段、压缩数据认证和加密SSLv3提供对数据认证用的MD5和SHA以及数据加密用的R4主DES等支持,用来对数据进行认证和加密的密钥可以有通过SSL的握手协议来协商。
SSL协商层的工作过程:当客户方与服务方进行通信之前,客户方发出问候;服务方收到问候后,发回一个问候。问候交换完毕后,就确定了双方采用的SSL协议的版本号、会话标志、加密算法集和压缩算法。
SSL记录层的工作过程:接收上层的数据,将它们分段;然后用协商层约定的压缩方法进行压缩,压缩后的记录用约定的流加密或块加密方式进行加密,再由传输层发送出去。
5、应用层安全性
6、WWW应用安全技术
(1)解决WWW应用安全的方案需要结合通用的internet安全技术和专门针对WWW的技术。前者主要是指防火墙技术,后者包括根据WWW技术的特点改进HTTP协议或者利用代理服务器、插入件、中间件等技术来实现的安全技术。
(2)HTTP目前三个版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本,它只定义了最基本的简单请求和简单回答; HTTP1.0较完善,也是目前使用广泛的一个版本;HTTP1.1增加了大量的报头域,并对HTTP1.0中没有严格定义的部分作了进一步的说明。
(3)HTTP1.1提供了一个基于口令基本认证方法,目前所有的WEB服务器都可以通过"基本身份认证"支持访问控制。在身份认证上,针对基本认证方法以明文传输口令这一最大弱点,补充了摘要认证方法,不再传递口令明文,而是将口令经过散列函数变换后传递它的摘要。
(4)针对HTTP协议的改进还有安全HTTP协议SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基础上,提供了数据加密、身份认证、数据完整、防止否认等能力。
(5)DEC-Web
WAND服务器是支持DCE的专用Web服务器,它可以和三种客户进行通信:第一是设置本地安全代理SLP的普通浏览器。第二种是支持SSL浏览器, 这种浏览器向一个安全网关以SSL协议发送请求,SDG再将请求转换成安全RPC调用发给WAND,收到结果后,将其转换成SSL回答,发回到浏览器。第 三种是完全没有任何安全机制的普通浏览器,WANS也接受它直接的HTTP请求,但此时通信得不到任何保护。
六、安全服务与安全与机制
1、ISO7498-2从体系结构的观点描述了5种可选的安全服务、8项特定的安全机制以及5种普遍性的安全机制。
2、5种可选的安全服务:鉴别、访问控制、数据保密、数据完整性和防止否认。
3、8种安全机制:加密机制、数据完整性机制、访问控制机制、数据完整性机制、认证机制、通信业务填充机制、路由控制机制、公证机制,它们可以在OSI参考模型的适当层次上实施。
4、5种普遍性的安全机制:可信功能、安全标号、事件检测、安全审计跟踪、安全恢复。
5、信息系统安全评估准则
(1)可信计算机系统评估准则TCSEC:是由美国国家计算机安全中心于1983年制订的,又称桔皮书。
(2)信息技术安全评估准则ITSEC:由欧洲四国于1989年联合提出的,俗称白皮书。
(3)通用安全评估准则CC:由美国国家标准技术研究所NIST和国家安全局NSA、欧洲四国以及加拿大等6国7方联合提出的。
(4)计算机信息系统安全保护等级划分准则:我国国家质量技术监督局于1999年发布的国家标准。
6、可信计算机系统评估准则
TCSEC共分为4类7级:D,C1,C2,B1,B2,B3,A1
D级,安全保护欠缺级,并不是没有安全保护功能,只是太弱。
C1级,自主安全保护级,
C2级,受控存取保护级,
B1级,结构化保护级
B3级,安全域级
A1,验证设计级。
七、评估增长的安全操作代价
为了确定网络的安全策略及解决方案:首先,应该评估风险,即确定侵入破坏的机会和危害的潜在代价;其次,应该评估增长的安全操作代价。
安全操作代价主要有以下几点:
(1)用户的方便程度
(2)管理的复杂性
(3)对现有系统的影响
(4)对不同平台的支持
主要内容:1、internet体系结构
2、internet连接的方法
3、internet地址
4、internet域名系统
5、internet地址是的扩展
一、Internet体系结构
1、自治系统:原始的Internet核心体系是在Internet权有一个主干网的那个时期开发的。但是这种体系结构存在以下一些问题:
这种体系不能适应互联网扩展到任意数量的网点;
许多网点由多个局域网组成,且用多个多路由器互连,由于一个核心路由器在每个网点上与一个网络相连,核心路由器就只知道那个网点中的一个网络的情况;
一个大型的互联网是独立的组织管理的网络的互连集合,路由选择体系结构必须为每个组织提供独立的控制路由选择和访问网络的方法,因此必须用一个单一的协议机制来构造一个由许多网点构成的互联网,同时,各个网点又是一个自治系统。
二、Internet连接的方法
1、将计算机连接到一个局域网,这个局域网的服务器是Internet的一个主机。
条件:必须连接到一个与Internet连接的网络,需要网络适配卡和ODI或NDIS驱动程序,还需要在本地计算机上运行TCP/IP,如果是Windows系统还需要Winsock支持。
2、利用串行接口协议(SLIP)或点到点协议(PPP),通过电话拨号方式进入一个Internet的主机
条件:需要一个调制解调器Modem、TCP/IP软件和SLIP或PPP软件,如果是Windows系统还需要Winsock支持。
3、通过电话拨号进入一个提供Internet服务的联机服务系统。
条件:需要一个调制解调器Modem、标准的通信软件和一个联机服务帐号。
4、用户选择连接方法的考虑因素:联网的目标和需求;用户内部配置的网络基础设施;用户支付Internet联网费用的能力;对Internet安全服务的需求。
三、Internet地址
在TCP/IP协议中,规定分配给每台主机一个32位数作为该主机IP地址。每个IP地址由两个部分组成,即网络标识netid和主机标识hostid。
IP地址的层次结构具有两个重要特性:第一,每台主机分配了一个惟一的地址;第二,网络标识号的分配必须全球统一,但主机标识号可由本地分配,不需要全球一致。
1、A类:1.0.0.1至126.255.255.254可能的网络数有126个,主机部分有1677216台(224-2)
2、B类:128.0.0.1至191.255.255.254可能的网络数有16384个,主机有65536台
3、C类:192.0.0.1至223.255.255.254可能的网络数有2097152个,主机有256台
4、D类:用于广播传送至多个目的地址用224-239
5、E类:用于保留地址240-255
RFC1918将10.0.0.至10.255.255.255、127.16.0.0至172.31.255.255、192.168.0.0至192.168.255.255的地址作为预留地址,用作内部地址,不能直接连接到公共因特网上。
四、Internet地址映射
将一台计算机的IP地址映射到物理地址的过程称地址解析。
常用的地址解析算法有以下三种:
1、查表法:将地址映射关系放在内存中的一些表里,当解析地址时,通过查表得到解析的结果。用于广域网。
2、相近形式计算法:通过简单的布尔和算术运算得出映射地址。用于可配置网络。
3、消息交换法:计算机通过网络交换信息得到映射地址。用于静态编址。
TCP/IP协议组包含一个地址解析协议(ARP)。ARP协议定义了两类基本消息,一类消息是请求消息,另一类是应答消息。
五、Internet地址空间的扩展
1、IPV6仍然支持无连接传送;允许发送方选择数据报大小;要求发送方指明数据报在到达目的站前的最大跳数。更大的地址空间;灵活的报头格式;增强的选项;支持资源分配;支持协议扩展。
2、IPV6的数据报格式:IPV6数据有一个固定的基本报头40字节其后可以允许多个扩展报头,也可以没有扩展报头,扩展报头后是数据。
IPV4的数据报格式:包括数据报报头和数据区的部分。报头:版本号、IHL、服务级别、数据单元长度、标识、标记、分段偏移、生命期、用户协议、报头检查和、源地址、目的地址、任选项+填充、数据。
3、该基本报头包含版本号、数据流标记、PAYLOAD长度、下一个报头、跳数极限、源地址、目的地址。
4、IPV4与IPV6比较:取消了报头长度字段,数据报长度字段被PAYLOAD长度字段代替;源地址和目的地址字段大小增加为每个字段占16个八位 组,128位;分段信息从基本报头的固定字段移动扩展报头;生存时间字段改为跳数极限字段;服务类型字段改为数据流标号字段;协议字段改为指明下一个报头 类型字段。
5、IPV6有三个基本地址类型,单播地址(unicast)即目的地址指明一台计算机或路由器,数据报选择一条最短的路径到达目的站;群集地址 (cluster)即目的站是共享一个网络地址的计算机的集合,数据报选择一条最短路径到达该组,然后传递给该组最近的一个成员;组播地址 (multicast)即目的站是一组计算机,它们可以在不同地方,数据报通过硬件组播或广播传递给该组的每一成员。
6、对任何地址若开始80位是全零,接着16位是全1或全零,则它的低32位就是一个IPV4地址。
主要内容:1、企业网络计算的组成和管理
2、企业网络开放系统集成技术
3、intranet定义和要素
4、intranet应用和建立
一、企业网络计算的背景和挑战
企业网是连接企业内部各部门并和企业外界相连,为企业的通信、办公自动化、经营管理、生产销售以及自动控制服务的重要信息基础设施。Intranet 是基于TCP/IP协议,使用环球网WWW工具,采用防止外界侵入的安全措施,为企业内部服务,并有连接Intranet功能的企业内部网络。
1、驱动企业网络计算的因素:用户需求,这是基本动力;先进和实用的信息技术;迅速变化中的巿场。
2、可采用两种模型:一种是可伸缩的模型,即企业网络计算的同样的软件可运行在企业内部的不同平台上;另一种是集成的模型,即企业内部不同平台上的软件的集成。
二、企业网络计算的组成和特性
1、企业网络计算的组成:客户机/服务器计算;分布式数据库;数据仓库;网络和通信;网络和系统的管理;各种网络应用。
2、企业网络计算的特性:支持客户机/服务器计算械;支持管理海量数据的能力和设施;分布数据管理的设施;国际化和本地化;功能强的通信设施;系统的灵活性;分布资源管理;开发工具和开发手段的提供。
三、开放系统
开放系统:是对一个不断发展的、厂家中立的、用于对整个系统进行有效配置、操作和替换的接口、服务、协议和格式的规范描述的实现,它的应用和组成部件可以用不同厂家的其他相同实现替代。
1、开放系统的两个特点:开放系统所采用的规范是厂家中立的,或者是与厂家无关的;开放系统允许不同厂家的产品替换,这种替换包括整个系统其组成部件。
2、专用系统:它所采用的规范是专用,而不是厂家中立的;专用系统不允许由不同厂家的产品替换;它的组成部件允许具有许可证的厂家产品替换。
3、驱动开放系统发展的因素:功能、可用性、复杂性、价格。
四、企业网络开放系统集成技术
1、FRAMWORK是应用程序的开发和运行环境,它实际上是蹭件和操作系统的组合。比较有名的产品有CICS、Windows、UNIX。
2、COSE专门制定了自己的开放系统环境规范,主要技术包括用于窗口管理的Motif、标准API接口和用于数据库管理的SQL。
3、信息系统与网络计算主要实现网络范围数据管理、通信和网络管理,主要技术有:在数据管理方面有用于数据库间通信的RDA,即远程数据访问;通信服务 DCE分布式计算环境,RPC远程过程调用,OSI开放系统互连;管理服务,DME分布管理环境,SNMP简单网络管理协议。
五、开放系统环境应用可移植框架
六、Intranet的定义和要素
1、Intranet是基于Internet TCP/IP协议,使用的环球网WWW工具、采用防止外界侵入的安全措施、为企业内部服务,并有连接Internet的功能的企业内部网络。
2、Intranet的组成:网络、电子邮件、内部环球网、邮件地址清单、新闻组Newsgroups、闲谈Chat、FTP、Telnet、Gopher
主要内容:1、TCP/IP实现的基本原理
2、Windows NT平台的联网
3、UNIX平台的联网及LINUX网络的联网
一、TCP/IP实现基本原理
1、TCP/IP的实现方式:
TSR常驻内存程序是一种安装在Windows之前在DOS上运行的程序。缺点,不能动态分配内存,TSR需要动态链接库DLL帮助,才能让Windows程序访问网络。目前只有在DOS环境下才使用TSR方式
DLL动态链接库是一个16位的Windows程序函数库,只有当用到其中的过程时才会被调用。缺点,它们不能直接与网卡通信,它们依赖于Windows的调度程序。
VxD虚拟设备是在Windows 32位保护方式下实现的,用于实现一些关键的部分,如视频、鼠标及通信端口驱动程序。它是通过硬件中断方式响应网络中的通信,可以彻底地访问Windwos和DOS程序。
2、网络配置基本参数:PC中网络适配卡基本参数,I/O端口地址、内存地址及中断号IRQ。与Microsoft相关的网络信息,主机标识、工作组 名、WINS服务器地址、DHCP服务器地址;与TCP/IP网络信息有关,IP地址、子网掩码、主机名、域名、域名服务器、默认网关IP地址。
二、Windows NT平台的TCP/IP联网
三、UNIX平台的TCP/IP联网
1、建立UNIX联网的几个步骤:设计物理和逻辑的网络结构;分配IP地址;安装网络硬件;为每个主机配置启动时候的网络接口;设立服务程序或者静态路由。
2、IP地址的获取和分配:可能通过/etc/hosts文件、DNS或者其他域名系统来实现。
3、网卡的配置:ifconfig命令可以设置网卡IP地址、子网掩码、广播地址、网卡的使能状态及其他选项参数。Ifconfig interface [family] address up option ,其中interface是指定的网卡名,可以用netstat-i来检查当前系统网卡的芯片类型。Loopback网卡通常叫lo0它是一个假想的硬 件,用来作本机内部网络包的路由,
4、路由配置:route配置静态路由,route [-f] op [type] destination gateway hop-count ,op参数如果是add就是增加一个路由表项,如果delete就是删除一个路由表项。
5、routed标准路由daemon,只支持RIP,它使用hop作为距离计数单位。Routed有两种运行方式:服务器模式和安静模式。两种模式都 要监听广播包,但只有服务器模式才能发布自己的路由信息,通常只有多网卡的机器才设置成服务器模式,如果未说明就是安静模式。
6、gated一个更好的路由daemon,gated配置文件在/etc/gated.conf的语法中加入BGP后有了很大改动,gated能细粒度地控制广播路由、广播地址、信任策略、距离向量等。
四、Linux网络的安装与配置
1、手工进行网络硬件配置:
系统启动时会自动检测网卡,有两个缺点:一个是不通正确的检查所有的网卡,特别是一些比较廉价的网卡,二是核心程序不会自动检测一个以上的网卡,这点是为了使用户可以控制将山上设置到指定的端口上。如果使用两个以上的网卡,自动检测网卡就会失败。
手动进行配置,一种方法是在核心程序的源代码的/drivers/net/space.c文件中修改或添加信息,然后重新编译内核。另一种方法在系统启动过程中将这些信息提供给内核程序。在LILO系统时可以通过lilo.conf文件中的append参数来传递给内核。
2、手工TCP/IP网络配置
设置主机名:hostname name,为接口进行IP配置:ifconfig interface ip-address
route add -net 202.112.58.0 -net的含义,因为route既可以处理到网络的路由,又可以处理到单个主机的路由。通过net来告诉它此地址是代表的一个网络,用host来告诉它此 地址是代表一个主机。如果为了方便,还可以在/etc/networks中定义网络名字,route后面直接使用网络名字就可以了。
route add default gw 2-2.112.58.254 网络名字default是0.0.0.0的简写,指示默认的路径,并不需要将这个名字加入到/etc/networks文件。
3、编辑hosts与networks文件
如果不打算使用DNS或者NIS进行地址解析时,就必须将所有的主机名字都放入hosts文件中。伴随hosts文件的还有一个/etc/networks文件,它在网络的名字和网络号之间建立映射。
4、编译内核
命令如下:cd/usr/src/linux make config
新的Linux核心版本中,对核心的配置除了上述make config命令外,还增加了字符状态下以菜单形式对核心进行配置的命令make colormenu以及在X窗口系统中运行的图形配置界面命令make xconfig
五、高级TCP/IP应用配置
1、网络配置文件:在Linux中是通过/etc/rc.d/rc.inet1和/etc/rc.d/rc.inet2两个文件实现的, /etc/rc.d/rc.inet1主要是通过ifconfig和route命令进行基本的TCP/IP接口配置,主要由两部分组成,第一部分是对回送 接口的配置,第二部分是对以太网接口的配置。/etc/rc.d/rc.inet2主要是用来启动一些网络监控的进程,inetd portmapper 等。
2、名字服务和解析器配置
运行named:大多数UNIX机器上提供域名服务的程序叫named它是一个服务器程序,用来向客户或其他名字服务器提供域名服务。它从配置文件 /etc/named.boot中获取信息,以及各种包含域名到地址映射的数据文件,后者称为"区文件"zone file。Named包含的主文named.hosts。
主要内容:1、环球信息网的服务和管理
2、动态Web文件与CGI技术
3、活动Web文件与Java技术
4、FTP服务配置和管理及广域信息服务WAIS
WWW服务器把信息组织成分布式的超文本,这些信息节点是文本、子目录或信息指针。WWW浏览器程序为用户提供基于超文本传输协议HTTP的用户界 面。WWW服务器数据文件由超文本标记语言HTML描述。HTML利用通用资源访问地址URL表示超媒体链接,并在文本内指向其他网络资源
一、环球信息网
1、环球信息网的定义:环球信息网(WWW)是基于客户机/服务器方式的信息发现技术和超文本技术的结合。
2、超文本文档包含着一些借用标题、章节本身等构造文本的命令,从而允许浏览程序格式化为一种文本类型,以获得最佳的屏幕显示效果。
3、Web任务:是使用一个起始URL来获取一个Web服务器上的Web文档,解释这个HTML,并将文档内容以用户环境所许可的效果最大限度地显示出来。
4、浏览器分类:线模式和图形界面。
lynx是线模式浏览器,使用箭头键来浏览内在HTML连接,支持书签和表格功能。特点是:在交互状态,可以将文章发布到新闻组;在非交互状态,可以将HTML过滤为纯文本。
midasWWW是基于X-windows系统浏览程序,支持更多的嵌入图形。
Mosaic是可以支持嵌入的gif和xbm图形,其他的视频影像。
Netscape页面采取边传送文档边显示的方式,增强了交互效果。
Micosoft Explorer
5、Web服务器:在目前主要3种基于UNIX的web服务器公用软件。
NCSA Web是C语言编写的,程序小,速度快,可以单独作为服务进程运行,也可以设置在inetd中运行。
CERN httpd是早期C语言编写的Web服务器,主要特点为提供proxy代理和缓存功能。
Plexus httpd是perl语言编写的,可扩展性好,易于使用和更新,但行动时开销较大。
二、环球信息网服务的建立
1、编译Web服务程序:获取源程序包;编辑修改相应的Makefile;设置选择项,修改src/config.h头文件;在每个目录中运行make 编译命令。必要时修改src/makefile,cgi-src/makefile,support/makefile三个配置文件,编译三项内容: httpd服务程序,support支持程序,cgi-bin接口程序。
2、配置Web系统服务:包括在三个配置文件,Web系统配置文件httpd.conf;Web资源文档配置文件srm.conf;Web服务访问控制配置文件access.conf,还包括如何扩充文档MIME类型。
3、http配置文件使用的一些约定:不分大小写;以#开始的为注释行;一个指令定义一行;忽略多余的安全可靠,只认为是一个空格。
4、系统配置文件httpd.conf
配置时首先需要选择httpd的运行方式(单独运行或是在inetd下运行),是否进行服务访问控制。然后以httpd.conf.dist为模板,修改各个变量。
5、文档配置文件srm.conf
指定了Web服务的文档和接口程序等所在的路径。
6、服务访问控制配置文件access.conf
定义了Web用户的访问权限。默认的定义是用户可以浏览Web服务器所能提供的所有文档。
7、访问控制策略:目前有两种方式来控制对文档目录的访问。全程访问控制配置文件,单个目录访问控制文件。
8、扩展文档MIME类型:mime.types文件中定义了httpd不能直接处理的文件类型。可以通过srm.conf设置变量AddEncoding/Addtype/Default Type来定义新的类型。
三、WWW服务管理
1、扩充WWW服务功能
CGI接口程序能够通过WWW服务执行外部程序。外部程序接收用户的输入:传送给WAIS,SQL等服务器;将查询结果以HTML文档或URL的形式返回给WWW服务;CGI接口可用多种编程语言编写,也可以自己编写
2、WWW服务与CGI的交互技术
WWW服务与CGI交互过程分为两部分:接口程序接收用户输入;从接口程序输出信息到WWW服务。
接口程序通过三个方式接收用户输入:环境变量,WWW服务在将浏览器的请求传送给接口程序时,为接口程序设置的环境变量。标准输入,在查询参数较多, 尤其在接收用户FORM表格输入方式设置为POS。命令参数,HTML的﹤ISINDEX﹥标号来输入查询关键字,浏览器遇到标号时显示。
CGI接口程序输出:CGI接口程序的执行结果以标准输出的形式传递给WWW服务。输出中包含一行描述数据类型的头信息、一个分隔行,接着是实际文档数据。
三、FTP服务的配置和管理
1、FTP传送服务主要用于存放大量的网络公用软件、常用工具和技术文档,以及一些著名的FTP镜像。传递的数据类型:ASCII,Postscript、SGML、可执行代码、图像、声音、视频动画。
2、FTP服务通过FTP服务器与FTP客户程序之间的信息交换。数据上载将数据从FTP客户程序传输到FTP服务器。数据下载FTP客户程序从FTP服务获取数据。
3、FTP服务器可提供两种访问形式
内部用户FTP:在主机上有帐号的用户,用户在输入正确的帐号和口令字后,可以访问整个文件系统中有读权限的文档,并可以任意数据到有写权限的目录。
匿名FTP:匿名FTP是internet的公共信息服务,访问范围限于匿名FTP区域(FTP服务器定义的子文件系统)。用户只需要以Anonymous/ftp登录,输入自己的电子邮件作为口令字即可访问并下载所提供的信息资源。
4、FTP包含两个部分:服务器,响应客户请求,传送文档;文件系统,服务器文档扫描调用的区域。FTP服务器命名通常是ftpd或in.ftpd。
5、FTP的运行方式:通常ftpd是在系统超级服务inetd进程下运行。使用TCP的21号端口。基本传输模式:流方式、块方式、压缩方式三种
6、FTP配置,在Inetd的配置文件中(/etc/inetd.conf)中添加相应的一行设置为ftp stream tcp nowait root /etc/ftpd 。每次更新配置后,和kill -HUP INETD进程号,重新启动INETD。
7、在Inetd下配置好FTP后,需要在主机/etc/passwd中设置用户FTP,因为ftpd在允许用户匿名访问ftp之前,首先检查ftp用户是否存在,如果不存在,ftpd拒绝匿名用户访问。
四、建立FTP服务器
1、FTP系统服务及其目录配置
.company/:存放公司本身的信息
.pub/:公用软件目录
.in-coming/:匿名FTP用户上载文件目录
.usr/,bin/,etc/:FTP系统占用的目录
(1)设置FTP server的目录:
(2)修改password和group文件内容及访问权限
(3)在FTP server中设置目录
2、建立镜像系统
文件服务器镜像系统(mirror sites)完成对远程匿名FTP服务器资源的本地镜像。在镜像描述文件中指定远程FTP服务器地址、登录名及口令、需要镜像的远程FTP服务器的目录或 文件、本地FTP服务器上的文件存放路径和权限控制码,系统就能够根据镜像描述文件使用FTP协议自动登录到远程FTP服务器,进入相应的目录,取得该目 录下的文件列表,与本地目录下的文件列表进行比较。目录流行的镜像软件是mirror-2.3,是用perl语言编写的程序,按照FTP协议,在运行它的 主机与远程主机之间,按目录和文件结构进行数据传输。
3、REAMME文件用于描述各个文件及子目录。包括以下内容:系统管理员电子邮件地址,便于用户求助;本服务的基本信息;版权的基本信息;热点透视;声明信息。
4、统计日志WU-FTPD系统定义了访问日志文件的格式,FTP访问日志统计工具有xferstats、iisstat等
5、访问控制
WU-FTP访问控制配置文件是ftpaccess、ftphosts、ftpusers、ftpgroups等。可以根据用户访问控制、CPU负载控制、用户组别控制、向用户自动显示状态信息,记录系统使用情况,文件访问快捷方式,控制文件载。
用户访问控制:可以通过fptaccess定义多种类别来控制用户的访问。类别定义由用户类型和主机地址来组合。用户类型有三种: anonymous,匿名FTP,只有访问FTP系统目录;guest,用户使用帐号和口令访问文件系统的一部分;real,系统本身的用户,可以访问整 个文件系统。
6、向用户发送提示信息:WU-FTP有四种方式可向进入系统的用户提示信息,他们是:banner,在用户登录时,将一个提示文件显示给用户; message可以控制在适当的时候提示用户,一般在用户登录或用户转移到某一目录时提示;readme可以提示用户README文件已经更新。 Shutdwon关闭FTP服务有两种方式:在ftpaccess中使用shutdown命令;使用ftpshut工具
7、一些管理工具
Ftpshutd 在系统将要关闭时,根本上新的用户访问;并关闭服务。
ftpwho 显示当前每个类别的用户当前有多少人在访问以及最多可访问数、其他一些用户使用情况。
ftpcount 显示每个类别的用户当前访问ftp服务的数目,以及最多访问数.
Fftpmail 是电子邮件与ftp的接口。
五、动态Web文档与CGI技术
1、Web文档的三种基本形式
静态文档:是一个存储于Web服务器的文件,静态文档由作者在写作时决定文档内容,它的内容不会变化。是一种排版语言,主要优点,是简单、可靠、性能好;主要缺点,是灵活性差,当信息变化时,必须重新设计文档。
动态文档:它在浏览器访问Web服务器时创建,没有预先定义的格式。内容总是变化的,每次访问都要创建新文档。可以用来显示天气预报、股巿行情等时效性很强的信息。主要缺点创建费用较高、访问的时间较长、且浏览器取得一个复制的文档后不会再改变。
活动文档:它不完全由服务器产生,一个活动文档包括一个计算和显示的程序。只要用户程序保持运行,该文档可以不断地变化。活动文档本身不包含运行所需要的软件,大部分支持软件在浏览器上。主要缺点,是创建和运行这类文档费用高,安全性差。
2、动态文档的实现
处理动态文档的服务器有三个特性:服务器必须扩展,对来自浏览器的每次请求,能执行一个创建文档的应用程序,并将产生的活动文档返回给浏览器;必须为每个动态文档写一个应用程序;服务器使用设置信息来区分动态文档和静态文档。
3、通用网关接口CGI
构建动态Web文档广泛使用的技术是通用网关接口(common gateway interface)CGI。CGI标准说明了服务器如何和应用程序交互作用,以实现一个动态文档,这种应用程序称为CGI程序。
CGI是服务器和HTML文件之间的接口程序,负责处理HTML文件与运行在服务器中的非HTML程序之间的数据交换。
CGI可以是一个编译的程序,或者是一个批处理文件,或者任何可执行的二进制文件。CGI存放在Web服务器的cgi-bin子目录下,必须要求系统 管理员开放对cgi-bin目录的访问权。CGI实现交互查询有两种方法:一种是基于文件的查询;另一种是使用FROM。
六、活动Web文档和Java技术
七、广域信息服务
1、广域信息服务WAIS(Wide Area Information Search)是一种网络信息查询系统,它可以和关键字对服务器数据库进行全文索引,获取索引所得的信息。
2、WAIS运行模式,采用客户机和服务器方式。运行方式,standalone和inetd方式。包括三部分内容,客户方软件、服务器软件和索引程序。
3、WAIS数据主要有8个文件构成,其中xx.src用于客户端服务器说明,xx.dct,xx.inv用于查询。
4、在UNIX机器上,有waisserch和xwais。在PC要上有winwais。这些客户程序和服务器之间采用Z39.50标准协议,在不同平台上,只要遵循这些协议就能和waisserver进行通信。
5、FreeWais系统组成:其软件由索引建立器、服务器和客户访问程序三部分组成。其工作过程:
(1)索引建立器从数据库中读取数据并建立索引,它为文档中出现的单词建立一个列表,并在一个表中记录单词的出现位置。
(2)服务器则根据用户指定的查询条件,使用已经有的索引进行检索。服务器首先分解出一个用户自然语言的查询条件,把每个单词作为关键词,找出包含这些单词的文档,并给出一个分数来提醒用户每篇文档的切题程序。分数越高表示切题程序越高。
(3)客户程序通过Z39.50标准协议来形成检索规则,显示服务器找到的命中文档,还允许用户查看某一文档的内容。文档的类型包括ASCII文本、二进制信息、声音文件、Post Script文件、HTML文件、JPEG、GIF文件。
主要内容:1、网络化经济的新模式
2、internet服务平台
3、计算机支持的协同工作
4、电子商务
5、远程教育以及远程医疗
一、21世纪网络发展趋向
1、摩尔定律:是Intel公司创始人莫尔于20世纪70年代提出的,其表达式D(T)=D(T0)2(T-T0)/1.5。每18个月集成电路器件数翻一番。
2、曼卡夫定律:是以太网发明者曼卡夫于20世纪90年代初提出的,其表达式为网络价值=N(N-1)/2 。N为用户数。任何通信网络的价值是以网络内用户数的平方来增长,即N个用户可能的连接数。由此可以导出网络频宽的按拉入网络的PC能力的平方增长。
二、网络化经济的新模式
1、Internet协议和WWW技术已经Internet的两个重要标准
2、IP服务平台的要求:网络安全、服务扩展、平台的扩展、网络管理、互操作性、高效的实施、各种设施的接入、国际化和本地化、可商业化应用、移动服务、开放性和易于使用。
3、采用网络中间件实现IP服务平台是行之有效的方法。中间件位于网络层之上应用层之下,为应用提供公共基础,以共享结构、框架以及公共功能。
4、中间件可分三类:通信中间件,由协议和体系结构组成,支持基本面向对象的分布系统和分布计算。安全中间件,包括认证、访问控制、数据保密和完整性以及加密等功能。集成中间件,集成计算平台和企业范围的各种应用。
三、计算机支持的协同工作
1、CSCW(computer supported cooperative work) 是研究地域分散的一个群体如何借助计算机及其网络技术支持,共同协调与协作来完成一项任务的技术领域。
2、CSCW包括协同工作体系结构、群体协作方式和模型研究、支持群众工作的相关技术研究、应用系统的开发等部分。
3、CSCW的系统体系结构:
CSCW可分为四层结构模型:第一层为开放系统互连环境,提供开放的通信网络支持环境,保证协同工作过程中有效的信息交流。第二层为协同工作支撑平 台,解决协同工作所需要的主要机制和工具。第三层协同工作应用接口,提供协同应用的编程接口API、人中接口HCI、人际接口IPI。第四层各种CSCW 应用系统,针对各种协同工作应用领域,提供所需要的协作支持工具和剪裁和集成,协同应用系统的开发。
4、群件:是指给人们提供一个访问某共享环境的界面,以支持他们去完成某个总体的目标或任务的计算机应用系统。
四、电子商务
1、电子商务EC:是一种现代商业经营方法,可满足企业、商贸、消费者的需求,以达到降低成本、改进产品和服务质量、提高服务传递速度的目的。电子商务通过计算机网络实现信息、产品、服务的交换。
2、电子商务的特征:2P+3C
以计算机网络为基础;贸易伙伴以协调和协作方式;围绕贸易或商务这个主题;对商务内容和信息计算机化处理;利润。
3、电子商务的框架:社会法规政策与隐私和电子文本、多媒体和网络协议的技术标准是两个十分重要的支柱。
4、电子商务的类型:
5、电子商务的流程:
6、电子商务的组成原理:电子商务是贸易链上的各个参与方,在计算机信息网络环境下,通过CA认证和信息安全保证的基础上,对贸易流程洽谈、销售、支付、贸易执行、客户服务全方位处理的过程。
五、远程教育
1、远程教育:是指与传统的以课堂为主体的、都是与学生面对面的教学相别的另一种教学模式,它有函授教学、广播电视教学、网络远程教学。
2、远程教育特点:访问方式的时空无限性;教育信息的共享性;教学方式的双向交互性;自学模式的多样性
3、网络远程教学的形式:远程访问;远程体验;远程辅导;远程共享;虚拟出版;虚拟教室;计算机支持的协作学习。
4、远程教学系统包括两个部分:课件开发系统和教学运行系统。
六、远程医疗
1、远程医疗系统的工作模式或服务可以分为异步非实时和同步实时两类。前者通过电子邮件信函进行医疗咨询或会诊,后者通过视频会议系统进行远程实时会诊乃至手术指导等医疗活动。
网络工程师最容易忽视的七大问题!
1.配置交换机
将交换机端口配置为100M全双工,服务器安装一块Intell00M
EISA网卡,在大流量负荷数据传输时,速度变得极慢,最后发现这款网卡不支持全双工。将交换机端口改为半双工以后,故障消失。这说明交换机的端口与 网卡的速率和双工方式必须一致。目前有许多自适应的网卡和交换机,由于品牌的不一致,往往不能正确实现全双工方式,只有手工强制设定才能解决。
2.双绞线的线序
将服务器与交换机的距离由5米改为60米,结果无论如何也连接不通,为什么呢?以太网一般使用两对双绞线,排列在1、2、3、6的位置,如果使用的不 是两对线,而是将原配对使用的线分开使用,就会形成缠绕,从而产生较大的串扰(NEXT),影响网络性能。上述故障的原因是由于3、6未使用配对线,在距 离变长的情况下连接不通。将RJ45头重新按线序做过以后,一切恢复正常。
3.网络与硬盘
基于文件访问和打印的网络的瓶颈是服务器硬盘的速度,所以配置好服务器硬盘对于网络的性能起着决定性的作用。以下提供几点意见供你参考:
·选用SCSI接口和高转速硬盘。
·硬盘阵列卡能较大幅度地提升硬盘的读写性能和安全性,建议选用。
·不要使低速SCSI设备(如CD)与硬盘共用同一SCSI通道。
4.网段与流量
某台服务器,有两台文件读写极为频繁的工作站,当服务器只安装一块网卡,形成单独网段时,这个网段上的所有设备反应都很慢,当服务器安装了两块网卡, 形成两个网段以后,将这两台文件读写极为频繁的工作站分别接在不同的网段上,网络中所有设备的反应速度都有了显著增加。这是因为增加的网段分担了原来较为 集中的数据流量,从而提高了网络的反应速度。
5.桥接与路由
安装一套微波联网设备,上网调试时服务器上总是提示当前网段号应是对方的网段号。将服务器的网段号与对方改为一致后,服务器的报警消失了。啊!原来这 是一套具有桥接性质的设备。后来与另外一个地点安装微波联网设备,换用了其他一家厂商的产品,再连接,将两边的网段号改为一致,可当装上设备以后,服务器 又出现了报警:当前路由错误。修改了一边的网段以后,报警消失了。很明显这是一套具有路由性质的设备。桥的特征是在同一网段上,而路由必须在不同网段上。
6.广播干扰
上述通过桥接设备联网的两端,分别有一套通过广播发送信息的应用软件。当它们同时运行时,两边的服务器均会发出报警:收到不完全的包。将一套应用软件 转移到另外一个网段上以后,此报警消失。这是因为网络的广播在同一网段上是没有限制的。两个广播就产生了相互干扰从而产生报警。而将一个应用软件移到另外 一个网段以后,就相当于把这个网段的广播与另外网段上的广播设置了路由,从而限制了广播的干扰,这也是路由器最重要的作用。
7.WAN与接地
无意将路由器的电源插头插在了市电的插座上,结果64KDDN就是无法联通。电信局来人检查线路都很正常,最后检查路由器电源的接地电压,发现不对, 换回到UPS的插座上,一切恢复正常。路由器的电源插头接地端坏掉,从而造成数据包经常丢失,做PING连接时,时好时坏。更换电源线后一切正常。WAN 的连接因为涉及到远程线路,所以对于接地要求较为严格,才能保证较强的抗干扰性,达到规定的连接速率,不然会出现奇怪的故障。