第二讲监测监控网络技术及应用

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第二讲：监测监控系统网络技术基础及应用,第二节：计算机及网络基本知识,一、计算机的基本组成及网络概念：,1、计算机的基本组成：,2、计算机网络概念：,现代通信技术与计算机技术相结合的产物。所谓计算机网络，就是把分布在不同地理区域的计算机与专门的外部设备用通信线路互联成一个规模大、功能强的网络系统，从而使众多的计算机可以方便地互相传递信息，共享硬件、软件、数据信息等资源。通俗来说，网络就是通过电缆、电话线、或无线通讯等互联的计算机的集合。,1,二、计算机网络的形成：,从某种意义上，Internet可以说是美苏冷战的产物。在美国，20世纪60年代是一个很特殊的时代。60年代初，古巴核导弹危机发生，美国和原苏联之间的冷战状态随之升温，核毁灭的威胁成了人们日常生活的话题。在美国对古巴封锁的同时，越南战争爆发，许多第三世界国家发生政治危机。由于美国联邦经费的刺激和公众恐惧心理的影响，“实验室冷战”也开始了。人们认为，能否保持科学技术上的领先地位，将决定战争的胜负。而科学技术的进步依赖于电脑领域的发展。到了60年代末，每一个主要的联邦基金研究中心，包括纯商业性组织、大学，都有了由美国新兴电脑工业提供的最新技术装备的电脑设备。电脑中心互联以共享数据的思想得到了迅速发展。 1983年，ARPA和美国国防部通信局研制成功了用于异构网络的,TCP/IP协议,，美国加利福尼亚伯克莱分校把该协议作为其BSD UNIX的一部分，使得该协议得以在社会上流行起来，从而诞生了真正的Internet。 1989年，由CERN开发成功,WWW,，为Internet 实现广域超媒体信息截取/检索奠定了基础。,2,三、计算机网络的发展：,分四个阶段：第一阶段是20世纪50年代，数据通信技术的研究与发展；第二阶段是20世纪60年代，ARPAnet与分组交换技术的研究与发展；第三阶段是20世纪70年代，网络体系结构与协议标准化的研究，广域网、局域网与分组交换技术的研究与应用；第四阶段是20世纪90年代，Interent技术的广泛应用，网络计算技术的应用与发展，宽带城域网与接入网技术的研究与发展，网络与信息安全技术的研究与发展。,四、网络的功能：,通过网络，您可以和其他连到网络上的用户一起共享网络资源，如磁盘上的文件及打印机、调制解调器等，也可以和他们互相交换数据信息。,五、网络的分类：,按计算机连网的区域大小，我们可以把网络分为局域网（LAN，Local Area Network）和广域网（WAN，Wide Area Network）。,局域网（LAN）：是指在一个较小地理范围内的各种计算机网络设备互联在一起的通信网络，可以包含一个或多个子网，通常局限在几千米的范围之内。如在一个房间、一座大楼，或是在一个校园内的网络就称为局域网。,城域网（,MAN）：介于局域网与广域网之间的高速网络。,广域网（WAN）：连接地理范围较大，常常是一个国家或是一个洲。其目的是为了让分布较远的各局域网互联。我们平常讲的Internet就是最大最典型的广域网。,六、网络协议：,象我们说话用某种语言一样，在网络上的各台计算机之间也有一种语言，这就是网络协议，不同的计算机之间必须使用相同的网络协议才能进行通信。当然了，网络协议也有很多种，具体选择哪一种协议则要看情况而定。Internet上的计算机使用的是TCP/IP协议。,3,七、 Internet：,从广义上讲，Internet是遍布全球的联络各个计算机平台的总网络，是成千上万信息资源的总称；从本质上讲，Internet是一个使世界上不同类型的计算机能交换各类数据的通信媒介。从Internet提供的资源及对人类的作用这方面来理解，Internet是建立在高灵活性的通信技术之上的一个已硕果累累，正迅猛发展的全球数字化数据库。,八、 Internet的工作：,1、地址和协议的概念：,Internet的本质是电脑与电脑之间互相通信并交换信息，只不过大多是小电脑从大电脑获取各类信息。这种通信跟人与人之间信息交流一样必须具备一些条件，比如：您给一位美国朋友写信，首先必须使用一种对方也能看懂的语言，然后还得知道对方的通信地址，才能把信发出去。同样，电脑与电脑之间通信，首先也得使用一种双方都能接受的语言-通信协议，然后还得知道电脑彼此的地址，通过协议和地址，电脑与电脑之间就能交流信息，这就形成了网络。,1）TCP/IP协议,：Internet就是由许多小的网络构成的国际性大网络，在各个小网络内部使用不同的协议，正如不同的国家使用不同的语言，那如何使它们之间能进行信息交流呢？这就要靠网络上的世界语-TCP/IP协议。,2）IP地址：,语言（协议）我们是有了，那地址怎么办呢？没关系，用网际协议地址（即IP地址）就可解决这个问题。它是为标识Internet上主机位置而设置的。Internet上的每一台计算机都被赋予一个世界上唯一的32位Internet地址（Internet Protocol Address，简称IP Address），这一地址可用于与该计算机机有关的全部通信。为了方便起见，在应用上我们以8bit为一单位，组成四组十进制数字来表示每一台主机的位置。,一般的IP地址由4组数字组成，每组数字介于0-255之间，如某一台电脑的IP地址可为：202.206.65.115，但不能为202.206.259.3。,4,2、域名地址：,尽管IP地址能够唯一地标识网络上的计算机，但IP地址是数字型的，用户记忆这类数字十分不方便，于是人们又发明了另一套字符型的地址方案即所谓的域名地址。IP地址和域名是一一对应的，我们来看一个IP地址对应域名地址的例子，譬如：河北科技大学的IP地址是202.206.64.33，对应域名地址为。这份域名地址的信息存放在一个叫域名服务器（DNS，Domain Name Server）的主机内，使用者只需了解易记的域名地址，其对应转换工作就留给了域名服务器DNS。DNS就是提供IP地址和域名之间的转换服务的服务器。,九、Internet所提供的服务,： Internet是一个涵盖极广的信息库，它存贮的信息上至天文，下至地理，三教九流，无所不包，以商业、科技和娱乐信息为主。除此之外，Internet还是一个覆盖全球的枢纽中心，通过它，您可以了解来自世界各地的信息；收发电子邮件；和朋友聊天；进行网上购物；观看影片片断；阅读网上杂志；还可以聆听音乐会；当然，我们还可以做很多很多其他的事。我们可以简单概括如下功能：1、,信息传播：,你或他人都可以把各种信息任意输入到网络中，进行交流传播。 Internet上传播的信息形式多种多样，世界各地用它传播信息的机构和个人越来越多，网上的信息资料内容也越来越广泛和复杂。目前， Internet己成为世界上最大的广告系统、信息网络和新闻媒体。现在，Internet除商用外，许多国家的政府、政党、团体还用它进行政治宣传。2、,通信联络：,Internet有电子函件通信系统，你和他人之间可以利用电子函件取代邮政信件和传真进行联络。甚至你可以在网上通电话，乃至召开电话会议。3、,专题讨论：,Internet中设有专题论坛组，一些相同专业、行业或兴趣相投的人可以在网上提出专题展开讨论，论文可长期存储在网上，供人调阅或补充。4、,资料检索：,由于有很多人不停地向网上输入各种资料，特别是美国等许多国家的著名数据库和信息系统纷纷上网，Internet己成为目前世界上资料最多、门类最全、规模最大的资料库你可以自由在网上检索所需资料。,5,第二节：局域网知识,一、,构成局域网的基本构件,要构成LAN,必须有其基本部件。个人计算机是一种必不可少的构件。计算机互联在一起 ,当然也不可能没有传输媒体，这种媒体可以是同轴电缆、双绞线、光缆或辐射性媒体。第三个构件是任何一台独立计算机通常都不配备的网卡,也称为网络适配器,但在构成LAN时,则是不可少的部件。第四个构件是将计算机与传输媒体相连的各种连接设备,如RJ-45插头座等。具备了上述四种网络构件,便可将LAN工作的各种设备用媒体互联在一起搭成一个基本的LAN硬件平台。,有了LAN硬件环境,还需要控制和管理LAN正常运行的软件,即谓NOS是在每个PC机原有操作系统上增加网络所需的功能。例如,当需要在LAN上使用字处理程序时,用户的感觉犹如没有组成LAN一样,这正是LAN操作发挥了对字处理程序访问的管理。在LAN情况下,字处理程序的一个拷贝通常保存在文件服务器中,并由LAN上的任何一个用户共享。由上面介绍的情况可知,组成LAN需要下述5种基本结构: 计算机(特别是PC机); 传输媒体; 网络适配器; 网络连接设备; 网络操作系统。,6,二、,局域网的传输媒体,常用的媒体有同轴电缆、双绞线和光缆，以及在无线情况下使用的辐射媒体。技术在发展过程中，首先使用的是粗同轴电缆，其直径近似13 mm（1/2英寸），特性阻抗为50欧姆。由于这种电缆很重，缺乏挠性以及价格高等问题，随后出现了细缆，其直径为6.4mm（1/4英寸），特性阻抗也是欧姆。使用粗缆构成的Ethernet称为粗缆Ethernet，使用细缆的Ethernet称为细缆Ethernet。在80年代后期广泛采用了双绞线作为传输媒体的技术，既10Base-T以及其他实现技术。为将的范围进一步扩大，随后又出现了10Base-F这种技术是使用光纤构成链路段，使用距离可延长到km但速率仍为10Mbps。FDDI则是与IEEE802.3、802.4和802.5完全不同的新技术,构成FDDI的媒体，不仅是光纤，而且访问媒体的机制有了新的提高,传输速率可达100Mbps。下面就这些实现技术所用的媒体逐一进行讨论。,.同轴电缆,同轴电缆可分为两类：粗缆和细缆，这种电缆在实际应用中很广，比如有线电视网，就是使用同轴电缆。不论是粗缆还是细缆，其中央都是一根铜线，外面包有绝缘层。同轴电缆由内部导体环绕绝缘层以及绝缘层外的金属屏蔽网和最外层的护套组成，这种结构的金属屏蔽网可防止中心导体向外辐射电磁场，也可用来防止外界电磁场干扰中心导体的信号。,1）细缆连接设备及技术参数,采用细缆组网，除需要电缆外，还需要BNC头、型头及终端匹配器等。,下面是细缆组网的技术参数： 最大的干线段长度；185米 最大网络干线电缆长度：925米 每条干线段支持的最大结点数：30 BNC、T型连接器之间的最小距离：0.5米,7,2）粗缆连接设备 粗缆连接设备包括转换器、DIX连接器及电缆、N系列插头、N系列匹配器。 下面是采用粗缆组网的技术参数： .最大的干线长度：500米 .最大网络干线电缆长度：2500米 .每条干线段支持的最大结点数：100 .收发器之间的最小距离：2.5米 .收发器电缆的最大长度：50米,.双绞线,双绞线(TP:Twisted Pairwire)是布线工程中最常用的一种传输介质。双绞线是由相互按一定扭距绞合在一起的类似于电话线的传输媒体，每根线加绝缘层并有色标来标记，成对线的扭绞旨在使电磁辐射和外部电磁干扰减到最小。目前,双绞线可分为非屏蔽双绞线(UTP:Unshilded Twisted Pair)和屏蔽双绞线(STP:Shielded Twisted Pair)。我们平时一般接触比较多的就是UTP线。,8,目前 EIA/TIA（电气工业协会电信工业协会）为双绞线电缆定义了五种不同质量的型号。这五种型号如下：1）第一类：主要用于传输语音（一类标准主要用于八十年代初之前的电话线缆），该类用于电话线，不用于数据传输。2）第二类：该类包括用于低速网络的电缆，这些电缆能够支持最高4Mbps的实施方案，这两类双绞线在LAN中很少使用。,3）第三类:这种在以前的以太网中（10M）比较流行，最高支持16Mmbps的容量，但大多数通常用于10Mbps的以太网，主要用于10base-T。4）第四类:该类双绞线在性能上比第三类有一定改进,用于语音传输和最高传输速率16Mbps的数据传输。4类电缆用于比3类距离更长且速度更高的网络环境。它可以支持最高20Mbps的容量。主要用于基于令牌的局域网和10base-T/100base-T。这类双绞线可以是UTP，也可以是STP。5）第五类:该类电缆增加了绕线密度,外套一种高质量的绝缘材料,传输频率为100MHz,用于语音传输和最高传输速率为100Mbps的数据传输，这种电缆用于高性能的数据通信。它可以支持高达100Mbps的容量。主要用于100base-T和10base-T网络，这是最常用的以太网电缆。,最近又出现了超5类线缆，它是一个非屏蔽双绞线(UTP)布线系统,通过对它的“链接”和“信道”性能的测试表明,它超过5类线标准TIA/EIA568的要求。与普通的5类UTP比较,性能得到了很大提高。,使用双绞线组网，双绞线和其他网络设备（例如网卡）连接必须是RJ45接头（也叫水晶头）。,9,双绞线（10BASE-T）以太网技术规范可归结为5-4-3-2-1规则: 允许5个网段，每网段最大长度100米 在同一信道上允许连接4个中继器或集线器 在其中的三个网段上可以增加节点 在另外两个网段上，除做中继器链路外，不能接任何节点 上述将组建一个大型的冲突域，最大站点数1024，网络直径达2500米 上述规则只是一个粗略的设计指南，实际的数据因厂家不同而异。利用双绞线组网，可以获得良好的稳定性，在实际应用中越来越多。尤其是近年来，快速以太网的发展，利用双绞线组建不须再增加其它设备，因此被业界人士看好。,10,.光缆,光缆不仅是目前可用的媒体，而且是今后若干年后将会继续使用的媒体，其主要原因是这种媒体具有很大的带宽。光缆是由许多细如发丝的塑胶或玻璃纤维外加绝缘护套组成，光束在玻璃纤维内传输，防磁防电，传输稳定，质量高，适于高速网络和骨干网。光纤与电导体构成的传输媒体最基本的差别是，它的传输信息是光束，而非电气信号。因此，光纤传输的信号不受电磁的干扰。利用光缆连接网络，每端必须连接光/电转换器，另外还需要一些其它辅助设备。 基于光缆的网络，国际标准化组织ISO制定了许多规范，具体如下： 10BASE-FL 10BASE-FB 10BASE-FP 其中10BASE-FL是使用最广泛的数据格式，下面是其组网规则： 最大段长： 2000M 每段最大节点（NODE）数：2 每网络最大节点（NODE）数： 1024 每链的最大HUB数：4,11,4无线媒体,上述三种传输媒体的有一个共同的缺点，那便是都需要一根线缆连接电脑，这在很多场合下是不方便的。无线媒体不使用电子或光学导体。大多数情况下地球的大气便是数据的物理性通路。从理论上讲，无线媒体最好应用于难以布线的场合或远程通信。无线媒体有三种主要类型：无线电、微波及红外线。下面我们主要介绍无线电传输介质。 无线电的频率范围在10KHz-16KHz之间。在电磁频谱里，属于对频。使用无线电的时候，需要考虑的一个重要问题是电磁波频率的范围（频谱）是相当有限的。其中大部分都已被电视、广播以及重要的政府和军队系统占用。因此，只有很少一部分留给网络电脑使用，而且这些频率也大部分都由国内无线电管理委员会（无委会）统一管制。要使用一个受管制的频率必须向无委会申请许可证，这在一定程度上会相当不便。如果设备使用的是未经管制的频率，则功率必须在1W以下，这种管制目的是限制设备的作用范围，从而限制对其它信号的干扰。用网络术语来说，这相当于限制了未管制无线电的通信带宽。下面这些频率是未受管制的： 902 925MHz 2.4GHz(全球通用) 5.72 5.85 GHz 无线电波可以穿透墙壁，也可以到达普通网络线缆无法到达的地方。针对无线电链路连接的网络，现在已有相当坚实的工业基础，在业界也得到迅速发展。,12,三、,网络适配器,网络适配器又称网卡或网络接口卡（NIC），英文名NetworkInterfaceCard。它是使计算机联网的设备。平常所说的网卡就是将PC机和LAN连接的网络适配器。网卡（NIC） 插在计算机主板插槽中，负责将用户要传递的数据转换为网络上其它设备能够识别的格式，通过网络介质传输。,主要技术参数：带宽、总线方式、电气接口方式等。,基本功能：从并行到串行的数据转换，包的装配和拆装，网络存取控制，数据缓存和网络信号。目前主要是8位和16位网卡。,网卡必须具备两大技术：网卡驱动程序和I/O技术。驱动程序使网卡和网络操作系统兼容，实现PC机与网络的通信。I/O技术可以通过数据总线实现PC和网卡之间的通信。网卡是计算机网络中最基本的元素。,网卡的不同分类：根据网络技术的不同，网卡的分类也有所不同，如大家所熟知的ATM网卡、令牌环网卡和以太网网卡等。,网卡的接口类型：根据传输介质的不同，网卡出现了AUI接口（粗缆接口）、BNC接口（细缆接口）和RJ-45接口（双绞线接口）三种接口类型。,13,四、,局域网连接设备,1、,集线器,集线器（HUB）是对网络进行集中管理的最小单元，像树的主干一样，它是各分枝的汇集点。HUB是一个共享设备，其实质是一个中继器，而中继器的主要功能是对接收到的信号进行再生放大，以扩大网络的传输距离。正是因为HUB只是一个信号放大和中转的设备，所以它不具备自动寻址能力，即不具备交换作用。所有传到HUB的数据均被广播到之相连的各个端口，容易形成数据堵塞，因此有人称集线器为“傻HUB”。依据总线带宽的不同，HUB分为10M，100M和10/100M自适应三种 。,2、,交换机,交换技术是一个具有简化、低价、高性能和高端口密集特点的交换产品，交换机按每一个包中的MAC地址相对简单地决策信息转发。而这种转发决策一般不考虑包中隐藏的更深的其他信息。交换技术允许共享型和专用型的局域网段进行带宽调整，现在已有以太网、快速以太网、FDDI和ATM技术的交换产品。,14,局域网交换机的种类和选择 ： 局域网交换机根据使用的网络技术可以分为：以大网交换机；令牌环交换机；FDDI交换机；ATM交换机；快速以太网交换机等。如果按交换机应用领域来划分，可分为：台式交换机；工作组交换机；主干交换机；企业交换机；分段交换机；端口交换机；网络交换机等。 局域网交换机是组成网络系统的核心设备。对用户而言，局域网交换机最主要的指标是端口的配置、数据交换能力、包交换速度等因素。因此，在选择交换机时要注意以下事项：（1）交换端口的数量；（2）交换端口的类型；（3）系统的扩充能力；（4）主干线连接手段；（5）交换机总交换能力；（6）是否需要路由选择能力；（7）是否需要热切换能力；（8）是否需要容错能力；（9）能否与现有设备兼容，顺利衔接；（10）网络管理能力。,15,3、,路由器,路由器是一种网络设备，路由器是互联网的枢纽、“交通警察”。路由器的定义是：用来实现路由选择功能的一种媒介系统设备。所谓路由就是指通过相互联接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。,路由和交换对比：路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息，所以两者实现各自功能的方式是不同的。,路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。,路由器具有四个要素：输入端口、输出端口、交换开关和路由处理器。,16,4、,调制解调器（Modem）,调制解调器（Modem） 作为末端系统和通信系统之间信号转换的设备，是广域网中必不可少的设备之一。分为同步和异步两种，分别用来与路由器的同步和异步串口相连接，同步可用于专线、帧中继、X.25等，异步用于PSTN的连接。,五、,网络拓扑结构,网络拓扑结构是指用传输媒体互联各种设备的物理布局。将参与LAN工作的各种设备用媒体互联在一起有多种方法,实际上只有几种方式能适合LAN的工作。 1） 星行拓扑结构;2） 环行拓扑结构;3） 总线型拓扑结构;,4） 复合型拓扑结构。,17,六、,网络互联的方式,由于互联网络的规模不一样，网络互联有以下几种形式：,1 局域网的互联。由于局域网种类较多（如今牌环网、以太网等），使用的软件也较多，因此局域网的互联较为复杂。对不同标准的异种局域网来讲，既可实现从低层到高层的互联，也可只实现低层（在数据链路层上，例如网桥）上的互联；,2 局域网与广域网的互联。不同地方（可能相隔很远）的局域网要借助于广域网互联。这时每个独立工作的局域网都能相当于广域网的互联常用网络接入、网络服务和协议功能；,3 广域网与广域网的互联。这种互联相对以上两种互联要容易些。这是因为广域网的协议层次常处于OSI七层模型的低层，不涉及高层协议。著名的X.25标准就是实现X.25网、连的协议。帧中继与X.25网、DDN均为广域网。它们之间的互联属于广域网的互联，目前没有公开的统一标准。我们下面所要说的网络互联的方式就是针对上述的网络互联来说的。,目前常见的上网方式通常有以下几种： 1、（综合业务数字网）,2、专线（数字数据网 ）,3、异步传输方式 （采用基于信元的异步传输模式和虚电路结构 ）,4、（不对称数字用户服务线）,5、有线电视网,6、（虚拟专用网络）,18,七、网络互连,OSI参考模型,在计算机网络产生之初，每个计算机厂商都有一套自己的网络体系结构的概念，它们之间互不相容。为此，国际标准化组织（ISO）在年建立了一个分委员会来专门研究一种用于开放系统互联的体系结构(Open Systems Interconnection)简称OSI，开放这个词表示：只要遵循OSI标准，一个系统可以和位于世界上任何地方的、也遵循OSI标准的其他任何系统进行连接。这个分委员提出了开放系统互联，即OSI参考模型，它定义了连接异种计算机的标准框架。OSI参考模型分为层，分别是物理层，数据链路层，网络层，传输层，会话层，表示层和应用层。各层的主要功能及其相应的数据单位如下：, 物 理 层(Physical Layer),我们知道，要传递信息就要利用一些物理媒体，如双纽线、同轴电缆等，但具体的物理媒体并不在OSI的7层之内，有人把物理媒体当作第0层，物理层的任务就是为它的上一层提供一个物理连接，以及它们的机械、电气、功能和过程特性。 如规定使用电缆和接头 的类型，传送信号的电压等。在这一层，数据还没有被组织，仅作为原始的位流或电气电压处理，单位是比特。, 数 据 链 路 层(Data Link Layer),数据链路层负责在两个相邻结点间的线路上，无差错的传送以帧为单位的数据。每一帧包括一定数量的数据和一些必要的控制信息。和物理层相似，数据链路层要负责建立、维持和释放数据链路的连接。在传送数据时，如果接收点检测到所传数据中有差错，就要通知发方重发这一帧。,19, 网 络 层(Network Layer),在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路，也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换结点， 确保数据及时传送。网络层将数据链路层提供的帧组成数据包，包中封装有网络层包头，其中含有逻辑地址信息- -源站点和目的站点地址的网络地址。, 传 输 层(Transport Layer),该层的任务时根据通信子网的特性最佳的利用网络资源，并以可靠和经济的方式，为两个端系统（也就是源站和目的站）的会话层之间，提供建立、维护和取消传输连接的功能，负责可靠地传输数据。在这一层，信息的传送单位是报文。, 会 话 层(Session Layer),这一层也可以称为会晤层或对话层，在会话层及以上的高层次中，数据传送的单位不再另外命名，统称为报文。会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。, 表 示 层(Presentation Layer),这一层主要解决拥护信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象语法，转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。数据的压缩和解压缩， 加密和解密等工作都由表示层负责。, 应 用 层(Application Layer),应用层确定进程之间通信的性质以满足用户需要以及提供网络与用户应用软件之间的接口服务。,20,第三节、,网络安全的重要性,不管公司内部连接的是至关重要的公司数据库，还是仅仅承担公司内部的电话呼叫与e-mail 的传输服务，保证网络上的数据传输都是非常重要的工作。试想，一个公司通过WAN连接到Internet上进行销售或采购时，每一分钟的掉线都将给公司带来成千上万的损失。网络存在的问题主要有三类：,一是机房安全。机房是网络设备运行的关键地，如果发生安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。,二是病毒的侵入和黑客的攻击。Internet开拓性的发展使病毒可能成为灾难。据美国国家计算机安全协会(NCSA)最近一项调查发现,几乎100%的美国大公司都曾在他们的网络或台式机上经历过计算机病毒的危害。黑客对计算机网络构成的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。以各种方式有选择地破坏信息的有效性和完整性；进行截获、窃取、破译，以获得重要机密信息。,三是管理不健全而造成的安全漏洞。从广泛的网络安全意义范围来看，网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。因此要解决网络安全问题，必须要有综合的解决方案。,21,一、,网络病毒与防治,1、 什么是网络病毒,病毒本身已是令人头痛的问题。但随着Internet开拓性的发展，网络病毒出现了，它是在网络上传播的病毒，为网络带来灾难性后果。,网络病毒的来源主要有两种：,一种威胁是来自文件下载。这些被浏览的或是通过FTP下载的文件中可能存在病毒。而共享软件（public shareware）和各种可执行的文件，如格式化的介绍性文件（formatted presentation）已经成为病毒传播的重要途径。并且，Internet上还出现了Java和Active X形式的恶意小程序。,另一种主要威胁来自于电子邮件。大多数的Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能。只要简单地敲敲键盘，邮件就可以发给一个或一组收信人。因此，受病毒感染的文档或文件就可能通过网关和邮件服务器涌入企业网络。,2、 网络病毒的防治,网络病毒防治必须考虑安装病毒防治软件。,安装的病毒防治软件应具备四个特性：,集成性：所有的保护措施必须在逻辑上是统一的和相互配合的。,单点管理：作为一个集成的解决方案，最基本的一条是必须有一个安全管理的聚焦点。,自动化：系统需要有能自动更新病毒特征码数据库和其它相关信息的功能。,多层分布：这个解决方案应该是多层次的，适当的防毒部件在适当的位置分发出去，最大限度地发挥作用，而又不会影响网络负担。防毒软件应该安装在服务器工作站和邮件系统上。,22,二、网络黑客与防范措施,1、 什么是网络黑客,提起黑客，总是那么神秘莫测。在人们眼中，黑客是一群聪明绝顶，精力旺盛的年轻人，一门心思地破译各种密码，以便偷偷地、未经允许地打入政府、企业或他人的计算机系统，窥视他人的隐私。那么，什么是黑客哪？,首先我们来了解一下黑客的定义-黑客是那些检查（网洛）系统完整性和完全性的人。黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。在日本新黑客词典中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中，我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。,另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作（如用暴力法破解口令），他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。,23,2、 网络黑客攻击方法,许多上网的用户对网络安全可能抱着无所谓的态度，认为最多不过是被“黑客”盗用账号，他们往往会认为“安全”只是针对那些大中型企事业单位的，而且黑客与自己无怨无仇，干嘛要攻击自己呢？其实，在一无法纪二无制度的虚拟网络世界中，现实生活中所有的阴险和卑鄙都表现得一览无余，在这样的信息时代里，几乎每个人都面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题，那些平时不注意安全的人，往往在受到安全方面的攻击时，付出惨重的代价时才会后悔不已。同志们要记住啊！防人之心不可无呀！,为了把损失降低到最低限度，我们一定要有安全观念，并掌握一定的安全防范措施，禁绝让黑客无任何机会可趁。下面我们就来研究一下那些黑客是如何找到你计算机中的安全漏洞的，只有了解了他们的攻击手段，我们才能采取准确的对策对付这些黑客。,1）获取口令,2）放置特洛伊木马程序,3)WWW的欺骗技术,4)电子邮件攻击,5)通过一个节点来攻击其他节点,6)网络监听,7)寻找系统漏洞,8)利用帐号进行攻击,9)偷取特权,24,3、防范措施,l) 经常做telnet、ftp等需要传送口令的重要机密信息应用的主机应该单独设立一个网段, 以避免某一台个人机被攻破，被攻击者装上sniffer, 造成整个网段通信全部暴露。有条件的情况下, 重要主机装在交换机上，这样可以避免sniffer偷听密码。,2 )专用主机只开专用功能，如运行网管、数据库重要进程的主机上不应该运行如sendmail这种bug比较多的程序。网管网段路由器中的访问控制应该限制在最小限度，研究清楚各进程必需的进程端口号, 关闭不必要的端口。,3) 对用户开放的各个主机的日志文件全部定向到一个syslogd server上, 集中管理。该服务器可以由一台拥有大容量存贮设备的Unix或NT主机承当。定期检查备份日志主机上的数据。,4 )网管不得访问Internet。并建议设立专门机器使用下载工具和资料。,5) 提供电子邮件、的主机不安装任何开发工具，避免攻击者编译攻击程序。,6 )网络配置原则是“用户权限最小化，如关闭不必要或不了解的网络服务， 不用电子邮件寄送密码。,7 )下载安装最新的操作系统及其它应用软件的安全和升级补丁，安装几种必要的安全加强工具，限制对主机的访问，加强日志记录，对系统进行完整性检查，定期检查用户的脆弱口令，并通知用户尽快修改。重要用户的口令应该定期修改（不长于三个月），不同主机使用不同的口令。,8) 定期检查系统日志文件，在备份设备上及时备份。制定完整的系统备份计划，并严格实施。,9 )定期检查关键配置文件（最长不超过一个月）。,l0 ) 制定详尽的入侵应急措施以及汇报制度。发现入侵迹象，立即打开进程记录功能，同时保存内存中的进程列表以及网络连接状态，保护当前的重要日志文件，有条件的话，立即打开网段上另外一台主机监听网络流量，尽力定位入侵者的位置。如有必要，断开网络连接。在服务主机不能继续服务的情况下，应该有能力从备份磁带中恢复服务到备份主机上。,25,三、,防火墙技术,1、防火墙原理,防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。,2、防火墙的种类,从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。,3、使用防火墙,在具体应用防火墙技术时，还要考虑到两个方面：,1）防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。,2）防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。,26,第四节：网络的应用,一、Internet服务方式,1、远程登录（Remote Login）,2、电子邮件（E-mail）,3、文件传输（FTP）,4、网络新闻,5、全球信息网（WWW）,6、信息查询,二、Internet Explorer浏览因特网,1、 Internet连接,2、 Internet Explorer,3、浏览Web站点,27,