IP技术讲座1

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,信息技术讲座,海,宁富盛房地产有限公司,（一）,Information technology lectures (1),Haining,FuSheng,Real Estate Co., Ltd.,1,讲座内容,企业网络架构,企业信息安全,2,一、,企业网络架构,网络：定义、简单历史、拓扑结构、类型。,企业网络架构：类型与特点、本公司的网络、基本硬件和软件。,C-S,模式下的客户端：服务与限制、,Roaming Profile,（漫游配置文件）。,3,计算机网络：是指分布在地理位置不同而又具有独立功能的多个计算机单机系统，通过通信设备和通信线路相互连接起来，在计算机网络操作系统的管理下实现资源共享和信息传递的系统。,1969,年美国,Arpanet,的诞生标志计算机网络的兴起。,1980,年，,TCP/IP,协议研制成功。,1983,年网络国际标准,ISO7498,颁布。,1986,年美国国家科学基金会,NSF,资助建成了基于,TCP/IP,技术的主干网,NSFNET,，连接美国的若干超级计算中心、主要大学和研究机构，世界上第一个互联网产生。,计算机网络拓朴结构有：星型、总线型、环型、树型、网型五种。如下图：,总线型,4,星型,环型,树型,网型,5,按,分布和距离划分，可分为局域网（,LAN,）、,城域网（,MAN,）、,广域网（,WAN,）。,象我们机房里的是局域网，海宁市政府网是城域网，国家主干网如中国教育和科研计算机网是广域网。,构建一个局域网的硬件有：服务器、工作站、集线器（,HUB,）、,交换机、路由器、网卡、网关、网桥，还有传输介质如双绞线、同轴电缆、光纤等。访问互联网还需调制解调器，电信设备、电话线。,网络软件有：网络操作系统、通信协议等。,网络操作系统有：,Unix,，,Linux,，,Windows 2003,等。通信协议有：,TCP/IP,，,OSI,、,PPP,、,SLIP,、,X.25,等。网络操作系统是管理网络资源的，通信协议是处理数据的传输。用户要访问互联网，就要安装,TCP/IP,协议。,6,Internet,即互联网是以,TCP/IP,通信协议连接各个国家、各个部门、各个机构计算机网络的数据通信网。至今联在网上的主机已近亿台，它甚至改变的我们的生活和工作方式，也推动了其它行业的发展。,IP,地址：即,Internet,协议地址，是连接互联网上主机的唯一标识。由,32,位二进制码组成，内含网络号、主机号二部分。由网络号、主机号各占比例的不同，又分为,A,、,B,、,C,三类。,A,类多用于主干网，,C,类常用于局域网，,B,类居中。,IP,地址又常用,4,组,0255,的十进制数表示，组之间用小园点,.,分割，如：,222.46.48.175,，这是海宁市政府网的,IP,地址。,7,域名：由于,IP,地址难记，又有了一套用英文形式表示的地址，即域名。如北大图书馆的,IP,地址是,61.172.201.194,，而域名是：,。,域名还反映了互联网上的一种组织级别，从右向左看：,cn,表示中国，,edu,表示教育机构，,pku,表示,一个部门，,pul2,是主机名。域名和,IP,地址的转换由域名服务器完成。常用的地理域代码：,au,澳大利亚,ca,加拿大,cn,中国,fr,法国,jp,日本,tw,台湾,uk,英国,hk,香港,us,美国,8,常用的组织机构代码有：,com,商业机构,org,非赢利法人机构,edu,教育机构,gov,政府机构,int,国际组织,net,网络资源,Internet,的基本服务：,1,、电子邮件（,e-mail,），,使用前，先要有一个帐号（地址），可以向当地的电信局申请，或在大网站上申请。帐号的格式是：,用户名,域名。如,：,mzji123,2,、,文件传输（,FTP,），,可传输大容量的文件。,3,、远程登录（,Telnet,），,用户计算机可以连接到远程计算机并运行上面的应用程序。,9,4,、万维网（,www,）,又称信息服务，可向我们提供无限的信息资源。平时我们“上网”，就是享用这种服务。,我们上网浏览时，凡是光标上去变成手形的地方，都可以用鼠标单击进入下一页，十分方便。这是因为这个地方隐含了一个超级链接。实际上是提供了一个,URL,（,统一资源定位器）。网站的,URL,就叫网址。,URL,可以表达出某网站的某网页上的某一个文件在该网上主机中的存放路径。如：, to peer),Internet,Internet,客户机,/,服务器,(C/S),路由器,PC,PC,交换机,服务器,客户机,12,Internet,浏览器,/,服务器,(B/S),代理服务器,数据库服务器,13,Internet,本公司网络系统硬件,VoIP,监控,门禁,四合一,14,本公司网络系统软件,服务器软件,：,1.Windows server 2003,服务器操作系统,2.Microsoft ISA server,企业路由级防火墙,3.Microsoft Exchange server,邮件服务器,4.Microsoft SQL server 2005,数据库管理系统,5.Symantec,AntiVirus,诺顿防病毒软件,6.Symantec,pcAnywhere,远程控制管理,文件传输,7.Symantec Backup Exec for windows servers,数据备份和恢复,15,客户机软件：,1.Windows XP,客户机操作系统,2.Symantec client,Security(AntiVirus,),防病毒软件,3.Symantec,pcAnywhere,远程控制管理,文件传输,4.HP Backup & Recovery,数据备份和恢复,5.Office 2003,办公自动化软件,6.AutoCAD,Revit,Architecture Suite2009,计算机辅助设计,(,建筑学,),套件,7.Acrobat9.0,能把文档、电子表格、演示文稿、视频、音频甚至,3D,模型等等各种多媒体类型集成压缩在一个,PDF,文档里，用户可以选择专业模板或使用自定义模板快速整合内容、定义导航、增加特效和品牌元素。,16,C-S,模式下的客户端,服务与限制,:,1.,客户端可以向服务器发出访问某,Web,页的申请,由服务器代理连接,Internet,并传回该,Web,页。,2.,客户端可以访问服务器上共享的文件、文件夹和数据，还可以共享打印机、光盘机等硬件。,.,客户端可以使用服务器上建立的邮箱进行邮件收发。,.,客户端可以利用局域网举办网络电话电视会议，可以进行分布式协同工作。,.,服务器上的防火墙可以拦截黑客的攻击、计算机病毒，过滤有害数据包，保证网络和客户机的安全。,17,.,服务器具有很好的数据备份作恢复功能，客户可把重要的数据和文件复制到服务器而得到保护。,.,客户机必须入域，用户必须经登录验证才能用机。客户机开机时间有所延长，上网的速度会有所降低。,.,某些网页、站点打不开，某些端口被封。,9.,用户受到严格的权限的约束。,10.,客户机可能受到网络监控。,服务与限制是对立的统一：要有良好的服务就必须有怡当的限制。目的一个是为了企业的经营。,18,Roaming Profile,（漫游配置文件）,它主要用来统一桌面设置，客户端一些重要的文件可以上传到服务器。它的实现需要（,active directory,的缩写，即活动目录,）的支持。它的实现过程如下：用户第一次登录成功；在本机生成,Local Profile,（也就是将,Default Profile,转成,Local Profile,）；在这其间如果用户修改了桌面设置则会将设置保存到,Local Profile,；当用户注销时，它将本机的,Local Profile,上传至（,Domain Controller,的缩写，即域控制器）上；当用户再户登录时，它会从上将,Roaming Profile,下载到本机的,Local Profile,。,19,二、企业信息安全,信息安全：不安全因素、信息安全的重要性、安全等级、防范措施。,C-S,模式下的安全策略：身份验证、授权、文件级安全。,Internet,的安全策略：防火墙、,Intranet,、数字签名和加密、认证与许可、,VPN,（虚拟网）。,计算机病毒的防治：定义、危害性、病毒种类与特点、感染症状、防治方法。,20,不安全因素,1,、,自然灾害造成：火灾、水淹、地震、雷击、污染等。,2,、人为的或偶然事故：网络设计中的缺陷、工作人员的操作失误使系统出错；软、硬件故障引起安全策略失效；环境因素突然变化，如高温或低温、电源突然断电或冲击造成系统信息出错、丢失或破坏。,3,、违法犯罪的计算机活动对网络构成的威胁：,“,黑客,”,攻击；,“,逻辑炸弹,”,；计算机病毒的侵入；网关欺骗；,IP,地址欺骗；,“,特洛伊木马,”,程序；流量攻击等。,4,、内部窃密和破坏：非法复制、篡改文件或数据；泄露保密的信息等。,5,、信息战,21,信息安全的重要性,1,、信息安全性的含义主要是指信息的完整性、可用性、保密性、不可否认性和可控性。,2,、对国家来说信息安全关系到国家的主权和安全。,3,、对企业来说信息安全关系到到企业的利益和发展。,4,、对个人来说信息安全关系到个人的权益和隐私。,22,安全等级,美国的计算机系统安全等级分为,4,等,8,级,:,A,（,A2,、,A1,），,B,（,B3,、,B2,、,B1,），,C,（,C2,、,C1,），,D,我国计算机系统安全划分为,5,类：,1,B3,访问验证保护级,2,B2,结构化保护级,3,B1,安全标记保护级,4,C2,系统审计保护级,5,C1,用户自主保护级,Windows NT,是,C2,级，,WindowsXP/2003,是,B2,级。,高,低,23,防范措施,采用先进的网络安全技术,实施严格的安全管理,提高每个人的安全意识,制定完善的法律规范体系,国务院,1994/2/18,中华人民共和国计算机信息系统安全保护条例,公安部经国务院批准,1997/12/30,计算机信息网络国际联网安全保护管理办法,公安部,2000/4/26,计算机病毒防治管理办法,24,C-S,模式下的安全策略,企业账户保护安全策略,企业系统监控安全策略,提高密码的破解难度,启用系统审核机制,启用账户锁定策略,日志监视,限制用户登录,监视开放的端口和连接,限制外部连接,监视共享,限制特权组成员,监视进程和系统信息,防范网络嗅探,25,C-S,模式下对用户来说必须经过三道防线：身份验证、授权、文件级安全。,身份验证是指服务器只有在对用户提供的用户名和密码认定一致下充许进入局域网。,授权是系统对用户划分为系统管理员、超级用户、一般用户等，并分别规定其操作的权限。,文件级安全是对某些文件、文件夹设定打开或共享的权限和密码。,密码设置四原则：,1,、不要含有用户账户名中的全部或部分字符。,2,、长度至少,7,个字符。,3,、含有下面,3,种中至少,1,个字符：,（,1,）,AZ,（,2,）,az,（,3,）,09,（,4,）！, # % $ * &,例如：,PsswOrd,4,、最后,10,个密码被记忆并且不能再重新使用。,26,Internet,的安全策略,构筑内外网之间的防火墙：软件防火墙，硬件防火墙,27,防火墙的优缺点,优点：,1,、保护网络中脆弱的服务,2,、实现网络安全性监视和实时报警,3,、增强保密性和强化私有权,4,、实现网络地址转换,5,、实现安全性失效和自动故障恢复,缺点：,1,、不能防范恶毒的知情者（内网用户和内外串通）,2,、不能防范不经过它的连接,3,、不能防备全部的威胁，特别是新产生的威胁,4,、不能有效地防范病毒的攻击,28,Intranet,Intranet,又称为企业内部网,是,Internet,技术在企业内部的应用,.,它实际上是采用,Internet,技术建立的企业内部网络,它的核心技术是基于,Web,的计,.Intranet,的基本思想是,:,在内部网络上采用,TCP/IP,作为通信协议,利用,Internet,的,Web,模型作为标准信息平台,同时建立防火墙把内部网和,Internet,分开,.,当然,Intranet,并非一定要和,Internet,连接在一起,它完全可以自成一体作为一个独立的网络,.,建立,Intranet,的一项重要工作是配置,Web,服务器，,Web,服务是,Internet,上最热门的服务，有,Intranet,八项核心服务（,Web,出版、目录、电子邮件、安全性、广域互连、文件、打印和文件管理）。,29,数字签名,所谓,数字签名,就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证而无法比拟的。,数字签名,是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。,30,下面介绍二则简单的数字签名应用,1,、使用,Office2003,的数字签名保护,Office,文档,2,、使用,Adobe Acrobat,数字签名,PDF,文档,31,数据加密,数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障其安全性，这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。,原始数据（也称为明文，,plaintext),被加密设备,(,硬件或软件,),和密钥加密而产生的经过编码的数据称为密文（,ciphertext,）。将密文还原为原始明文的过程称为解密，它是加密的反向处理，但解密者必须利用相同类型的加密设备和密钥对密文进行解密。,32,认证与许可,所谓认证主要是指,CA,认证, CA,英文全称,Certificate Authority(,认证授权,),，是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。,CA,的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。,证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的,CA,的数字签名及证书的有效期等内容。数字证书的作用是使网上交易的双方互相验证身份，保证电子商务的安全进行。,例如下图是,GTE,的一个证书,:,33,许可,(,licence,):,准许生产或使用某产品的权利，例如驾驶证，这里主要指软件产品使用的许可。凡正版软件的使用都必须获得许可，否则就是盗用，侵害了所有者的权益。,Microsoft,公司的产品许可分九种模式：,1,、桌面应用程序,2,、桌面操作系统,3,、开发人员工具,4,、在线服务,5,、服务器,-,操作系统,6,、服务器,-,管理服务器,7,、服务器,-,服务器,/CAL,8,、服务器,-,每处理器,9,、服务器,-,专业服务器,34,VPN,（虚拟网）,虚拟专用网（,VPN,virtual private network,）,虚拟专用网是穿越专用网络或公用网络（如,Internet,）的、安全的、点对点连接的产物。虚拟专用网客户端使用特定的，称为隧道协议的基于,TCP/IP,的协议，来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。,远程访问服务器应答虚拟呼叫，验证呼叫方身份，并在虚拟专用网客户端和企业网络之间传送数据。与拨号网络相比，虚拟专用网始终是通过公用网络（如,Internet,）在虚拟专用网客户端和虚拟专用网服务器之间的一种逻辑的、非直接的连接。并加密在连接上传送的数据，保证隐私权，,虚拟专用网（,VPN,）代表了当今网络发展的新趋势。,35,计算机病毒的防治,当今计算机所面临的最大威胁是计算机病毒和黑客的攻击。,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,计算机病毒的特征：隐蔽性、潜伏性、破坏性、传染性。,计算机病毒的类型：程序型病毒、引导型病毒、宏病毒、特洛伊木马、蠕虫病毒等。,计算机病毒的传播途径：磁盘、光盘、,U,盘、网络。,36,传染上计算机病毒的一些征状,1,、开机越来越慢。,2,、常,“,死机,”,。,3,、不能打开文件。,4,、打开文件不多，系统却跳出警告：内存严重不足。,5,、帐户名和口令被盗。,6,、文件或数据被破坏。,7,、网速明显下降，有大量丢包现象。,8,、自动向外发邮件。,9,、硬盘不停地读写。,10,、计算机自动地重新启动,37,计算机病毒的防治,1,、不明邮件不要轻易打开。,2,、别人的磁盘、光盘、,U,盘要小心使用。,3,、不随便下载免费软件，不浏览不良网站。,4,、局域网要设代理服务器并安装防火墙。,5,、安装杀毒软件。,6,、重要文件、数据作好备份。,7,、及时更新操作系统。,8,、发现病毒要及时处理：查杀、系统还原、重装系统。,38,介绍国内外的一些杀毒软件,按反病毒软件部署的目标来分类，可以分为：,1),单机,/,个人用户： 金山、瑞星、江民、趋势,(,Pccillin,),、卡巴斯基、,Bitdefender,、,Nod32,、,Symantec,、,Avast,2),服务器：,Mcafee,、,F-secure,、,AVG,、,Symantec,3),办公网络环境：,Symantec,、,Mcafee,、,CA,eTrust,、 趋势,(,Officescan,),39,VoIP,是,Voice over Internet Protocol,的缩写，指的是将模拟的声音讯号经过压缩与封包之后，以数据封包的形式在,IP,网络的环境进行语音讯号的传输，通俗来说也就是互联网电话、网络电话或者简称,IP,电话的意思。,VoIP,技术是目前互联网应用领域的一个热门话题，成为,2004,年全球互联网与电子商务十大趋势之一,VoIP,的基本原理是：通过语音的压缩算法对语音数据编码进行压缩处理，然后把这些语音数据按,TCP/IP,标准进行打包，经过,IP,网络把数据包送至接收地，再把这些语音数据包串起来，经过解压处理后，恢复成原来的语音信号，从而达到由互联网传送语音的目的。,IP,电话的核心与关键设备是,IP,网关，它把各地区电话区号映射为相应的地区网关,IP,地址。这些信息存放在一个数据库中，数据接续处理软件将完成呼叫处理、数字语音打包、路由管理等功能。,40,网路钓鱼,为窃取个人身分资讯（最终目的为窃取金钱）意图所进行的通过电话、电子邮件、即时通讯,(QQ,MSN),或传真取得您个人身分资讯的行为。网路钓鱼大部分会以合法的目的做掩饰；它们乍看之下合法，实际上却是由不法的企业组织所为。典型的电子网路钓鱼攻击包含两种元件：几可乱真的电子邮件和诈骗网页。这让网路钓鱼成为特别难以察觉对付的危险犯罪行为，因为犯罪者善于将其用来诱骗受害者，使他们认同其合法性。采用,HTML,格式的电子邮件通常包含公司标志、色彩、图形、字型样式和其他网页素材，且主旨通常为帐户问题、帐户验证、安全性升级，及新产品或服务赠送等。这些电子邮件中的,Web,连结大都具有复制自合法网站的外观，使诈骗行为几乎无法被侦测出来。,41,网址嫁接,类似网路钓鱼。但是网址嫁接不会直接骗取个人或企业资讯，而是挟持合法的网站，如,），然后透过网域名称伺服器,(DNS),将网站重新导向到看似与原始网站无异的错误,IP,位址。这些假冒的网站会透过图形使用者介面来收集受到保护的资讯，使用者根本不会发现有异样。因为要进行网址嫁接必须具备非常高超的技术，再加上,DNS,非常难操控，所以网址嫁接远比网路钓鱼少见。不过，网址嫁接在不久的将来还是有可能成为不小的威胁。,42,如何分辨您是否已遭网路钓鱼或网址嫁接攻击锁定,现今，若出现任何要求私密资料的状况，应视为可疑行为。合法的公司企业，包括银行、信用卡公司、线上拍卖网站、航空里程酬宾计划等都不会以电子邮件要求或验证个人资讯。此外，除非您已开始要求进行此类资讯的电话对谈，否则应将此类要求视为诈骗行为。,如何保护您的电脑和行动装置不受网路钓鱼和网址嫁接的威胁,保持警戒。不要依赖个人判断力来分辨此私密资料的要求是否合法。从事网路钓鱼和网址转嫁的人都是十分狡猾的犯罪者，他们善于诈骗，即便是最精明的使用者也可能会上当。绝对不要向陌生的个人或公司透露个人资讯,-,尤其是在您并未启动通讯时。,删除所有要求私密资料的电子邮件。如果您确信此为合法要求，请使用已建立的电话号码确认该要求；仅透过电话告知此资讯。,购买并安装网路钓鱼防护程式和网址嫁接防护软件。,43,请建议提问，谢谢各位！,Questions ?,44,