楼宇智能化技术广东工业大学自动化学院

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,楼宇智能化技术,广东工业大学自动化学院,第三章 智能化楼宇内互连网,第一节 楼宇内的信息处理平台,第二节 楼宇内的Intranet,第三节 网络的安全技术,第一节 楼宇内的信息处理平台,一、 TCP/IP 协议,二、客户/服务器方式,三、 浏览器/服务器方式,四、 Windows NT、LINUX网络平台,一、 TCP/IP 协议,TCP/IP是指一整套数据通信协议, 其名字是由这些协议中的两个协议组成的,即传输控制协议（Transmission Control Protocol:TCP）和网间协议（Internet Protocol:IP）,TCP/IP协议分别对应于OSI模型中的传输层与网络层,参见图3-1。其中，TCP协议用于在应用程序间传输数据；IP协议用于在主机之间传输数据；网络接口层能灵活地支持多种物理和链路层协议；网络应用层除了其原有的一些应用层的协议外，很容易接纳其他应用层的协议。,Internet协议(IP),IP的主要目的是为高层协议提供无连接的传递服务。这意味着在IP将数,据包递交给接收站点以前不在传输站点和接收站点之间建立对话(虚拟链,路)。它只是封装和传递数据包。但它不对发送者或接收者报告数据包的,状态，不处理所遇到的故障。,IP协议作为通信子网的最高层，提供无连接的数据报传输机制。IP协议,是点到点的，核心问题是寻径。它向上层提供统一的IP数据报，使得各,种物理帧的差异性对上层协议不复存在。,互连网协议IP是TCP/IP体系中两个最重要的协议之一。与IP协议配套使,用的还有三个协议：,地址转换协议ARP（Address Resolution Protocol）,反向地址转换协议RARP（Reverse Address Resolution Protocol）,Internet控制报文协议ICMP（Internet Control Message Protcol）, IP地址,IP地址就是给每一个连接在Internet上的主机分配一个唯一的32bit 地址, 并不只是一个计算机的号码，而是指出了连接到某个网络上的某个计算机。,为了便于对IP地址进行管理，同时还考虑到网络的差异很大，有的网络拥有很多的主机，而有的网络上的主机则很少。因此Internet 的IP地址分为五类，即A类到E类。这样，IP地址由三个字段组成，即：,类别字段,，用来区分IP地址的类型;网络号码字段net-id;主机号码字段host-id。,在使用IP地址时，还要知道下列地址是保留作为特殊用途的，一般不使用。,1)全0的网络号码，这表示“本网络”或“我不知道号码的这个网络”。,2)全1的网络号码。,3)全0的主机号码，这表示该IP地址就是网络的地址。,4)全1的主机号码，表示广播地址，即对该网络上所有的主机进行广播。,5)全0的IP地址，即0.0.0.0。,6)网络号码为127.X.X.X.，这里为任何数。这样的网络号码用作本地软件回送测试（Loopback test）之用。,7)全1地址255.255.255.255，这表示“向我的网络上的所有主机广播”。原先是使用0.0.0.0。,表3-1 IP地址的使用范围,网络,类别,最大,网络数,第一个可用的网络号码,最后一个可用的网络号码,每个网络中的最大主机数,A,126,1,126,16777214,B,16382,128.1,191.254,65534,C,2097150,192.0.1,223.255.254,254,IP地址有一些重要的特点,1)IP地址有一些是一种非等级的地址结构。这就是说，和 号码的结构不一样，IP地址不能反映任何有关主机位置的地理信息。,2)一个主机同时连接到两个网络上时（作路由器用的主机即为这种情况），该主机就必须同时具有两个相应的IP地址，其网络号码net-id是不同的，这种主机成为多地址主机（Multihomed Host）。,3)按照Internet的观点，用转发器或网桥连接起来的若干个局域网仍为一个网络，因此这些局域网都具有同样的网络号码net-id。,4)在IP地址中，所有分配到网络号码net-id的网络（不管是小的局域网还是很大的广域网）都是平等的。,IP地址层次保证了两个重要性质:,1)每台计算机分配一个唯一地址(即一个地址从不分配给多台计算机)。,2)虽然网络号分配必须全球一致，但主机号可本地分配，无需全球一致, 子网的划分,为了使IP地址的使用更加灵活，在IP地址的网络号码net-id，而后面的主机号码host-id则是受本单位控制，由本单位进行分配。本单位所有的主机都使用同一个网络号码, 而host-id可根据需要划分子网. TCP/IP体系的“子网”（Subnet）是本单位网络内的一个更小些的网络，和OSI体系中的子网（Subnetwork）不同。TCP/IP体系规定用一个32bit的子网掩码来表示子网号字段的长度。具体的做法是：子网掩码由一连串的“1”和一连串的“0”组成。“1”对应于网络号码和子网号码字段，而“0”对应于主机号码字段., 地址的转换,1)IP地址中的主机地址只是主机在网络层中的地址。若要将网络层中传送的数据报交给目的主机，必须知道该主机的物理地址。因此必须在IP地址和主机的物理地址之间进行转换。,2)用户平时不愿意使用难于记忆的主机号码，而是愿意使用易于记忆的 主机名字。因此也需要在主机名字和IP地址之间进行转换。,在TCP/IP体系中都有这两种转换的机制,域名系统DNS（Domain Name System）,完成从主机名到IP地址的转换。DNS中的,名字服务器Nameserver上面分层次放有许多主机名字到IP地址转换的映射表。主叫主机中的名字转换软件Resolver自动找到DNS的Nameserver来完成这种转换。域名系统DNS属于应用层软件。,IP地址到物理地址的转换由地址转换协议ARP来完成。图3-4还表示出从IPARP得出了目的主机48bit的物理地址 08002B00EE0A（现在假设此主机连接在某个局域网上。如网络是广域网，则转换出主机在广域网上的物理地址）,每一个主机都有一个ARP高速缓存（ARP cache），里面有IP地址到物理地址的映射表，这些都是该主机目前知道的一些地址。当主机A欲向本局域网上的主机B发送一个IP数据报时，就先在其ARP高速缓存中查看有无主机B的IP地址。如有，就可查出其对应的物理地址，然后将该数据报发往此物理地址。,ARP的转换过程,1)ARP进程在本局域网上广播发送一个ARP请求分组，上面有主机B的IP地址。,2)在本局域网上的所有主机上运行的ARP进程都收到此ARP请求分组。,3)主机B在ARP请求分组中见到自己的IP地址，就向主机A发送一个ARP响应分组，上面写入自己的物理映射。,4)主机A收到主机B的ARP响应分组后，就在其ARP高速缓存中写入主机B的IP地址到物理地址的映射,。, 传输控制协议(TCP),TCP提供的服务有七个主要特征：,面向连接,点对点通信,完全可靠性,全双工通信,流接口,可靠的连接建立,完美的连接终止,TCP使用各种不同的技术来实现其可靠性，其中最重要的技术叫重发。当TCP发送数据时，发送方通过一种重发方案来补偿包的丢失，且通信的双方都要参与。当接收方TCP收到数据时，它要回发给发送方一个确认。当发送方发送数据时，TCP就启动一个定时器，在定时器到点之前，如果没有收到一个确认，则发送方重发数据。, 用户数据报文协议UDP,UDP也是TCP/IP的传输层协议，它是无连接的，不可靠传输服务。当接受数据时它不同发送方提供确认信息，它不提供输入包的顺序，如果出现丢失包或重复包的情况，也不会向发送方发出差错报文。这一点很像IP协议。 UDP的主要作用是分配和管理端口编号，以正确无误地识别运行在网络站点上的个别应用程序。由于它执行功能时具有低的开销，因而执行速度比TCP快。它多半用于不需要可靠传输的应用程序，例如网络管理域、名字服务器等。,任何与UDP相配合作为传输层服务的应用程序必须提供确认和顺序系统，以确保包是以发送它们的同样顺序到达。也就是说，使用UDP的应用程序必须提供这类传输可靠性服务。, TCP/IP应用程序,TELNET虚拟终端服务 TELNET协议规定了一个与网络无关的虚拟终,端，经过这个终端，用户能登录到具有用户帐号的远程TCP/IP主机。,文件传递协议FTP FTP是一个适合大量数据从一个远程设备向另一个,设备传送的程序。它通常使用TCP和TELNET。,简单邮件传送协议SMTP SMTP是一组适于在系统之间交换邮件报文,的标准命令。由于SMTP规定了发送和接收方必须遵守的规则和传送邮,件的格式，从而确保了文件的可靠传输。,域名字服务DNS IP协议要求使用IP地址，任何用户可以使用这种地,址连接网络上的任何服务，但无论是人还是机器记忆名字都比记忆数字,地址方便，因此产生了域名字服务(DNS)的概念。域名是有层次的，域,名中最重要的部分位于右边。域名中最左边的段(实例中的mordred)是单,台计算机的名字。域名中的其他段标识了拥有该域名的组。,二、客户/服务器方式, 客户/服务器模式,客户(Client)和服务器(Server)的术语是指一个通信中所涉及的两个应用。主动启动通信的应用称为客户，而被动等待通信的应用称为服务器。服务器通常是被动的，它总是等待客户的服务请求。图3-5从概念上说明了客户与服务器的关系，一个服务器常常可以处理多个客户。,客户端功能,1)用户界面,2)命令解释,3)数据输入,4)数据核实,5)在线帮助,6)错误恢复,服务器的种类,1)数据库服务器,2)文件服务器,3)计算服务器,4)显示服务器, 客户与服务器的特性,客户端软件功能包括:,1)它是一个任意的应用程序，在需要进行远程访问时临时成为客户，同时也做其他的本地计算。,2)直接被用户调用，只运行一次。,3)在用户的个人计算机上本地运行。,4)主动地与服务器启动通信。,5)能支持所需的多重服务，但同时只与一个远程服务器进行主动通信。,6)不需要特殊的硬件和高级的操作系统。,服务器软件功能包括:,1)它是一种专门用途的、享有特权的程序，专门用来提供某一种服务，可以同时处理多个远程客户的请求。,2)在系统初启时自动调用，不断地运行许多遍。,3)在一台共享计算机上运行(即，不是在用户的个人计算机上),4)被动地等待来自任意客户的通信。,5)接受来自任意客户的通信，但只提供一种服务。,6)需要强大的硬件和高级的操作系统支持。, 服务器程序与服务类计算机,在服务器的术语上有时会产生一些混淆。通常地，这个术语指一个被动地等待通信的程序，而不是运行它的计算机。然而，当一台计算机被用来运行一个或几个服务器程序时，这台计算机本身有时也被(不正确地)称作服务器。硬件供应商加深了这种混淆，因为他们将那类具有快速CPU、大存储器和强大操作系统的计算机称为服务器。,我们仍然坚持科学精确的术语，并用“服务器”(Server)来指那些运行的程序而不是计算机。用术语“服务类计算机”(Server-class Computer)指那些运行服务器的强大的计算机。, 请求、应答与数据流向,信息在客户与服务器之间沿任一方向或两个方向传递。典型地，客户向服务器发送请求，服务器向客户返回应答。在一些情况下，客户向服务器发送一系列请求，服务器返回一系列应答(如，一个数据库客户程序可能允许用户同时查询一个以上的记录)。在另一些情况下，服务器在没有请求的情况下不间断地输出数据,客户与服务器的通信一建立，服务器就开始发送数据(如，一个地区气象服务器可能不间断地发送包含最新气温和气压的天气报告)。,很重要的一点是，认识到服务器不但能够发送信息也能接收信息。比如，大多数文件服务器都被设置成向客户发送一组文件。就是说，客户发出一个包含文件名的请求而服务器通过发送这个文件的副本来应答。然而，文件服务器也可被设置成输入文件,即允许客户发送一个文件副本而服务器接收它并将其储存于磁盘。, 客户/服务器方式种类,客户/服务器方式分成四类：,(1)基于客户类应用 所有处理都由客户完成，服务器仅提供文件类服务，如磁盘服务器，文件服务器和打印机服务器。,(2)基于服务器类应用 这类应用实质上是一个多用户系统。所有处理全由服务器承担，客户以终端仿真方式远程注册到服务器。,(3)客户/服务器应用 这类应用是前两种应用优点的集合。它将处理分布于客户和服务器双方，服务器相当于后台进程，集中处理作业，而客户应用负责与用户打交道。,(4)分布式处理类应用 多个服务器协同处理，是客户/服务器应用的进一步延伸。,二层客户机/服务器模型,二层的客户机/服务器结构将应用程序分成完全不同的两个部分，一部分运行在客户机上，另一部分运行在服务器上。但需要注意的是，客户和服务器的程序代码既不关心也不知道它们是在同一台计算机上运行还是在不同的计算机上运行。因此，应用程序被客户和服务器分割开了。,二层客户机/服务器模型,中间件,中间件是用来描述客户与服务器之间通信的胶合的一个术语。应用系统的客户部分通过API与中间件相连，中间件负责与服务器的通信。它避免了应用程序员直接通过低层操作系统和硬件与服务器通信所必须应付的复杂接口问题，这对于应用系统是非常重要的。,一般而言，用中间件来处理通信问题是常见的途径，它可以用于任何应用系统。中间件通常就像是主机中负责客户通信和与服务器软件接口的一种软件，中间件常有以下几种:TCP/IP、NetBIOS、Named Pipes、LAN Manager。,中间件模型,三层客户机/服务器模型,客户机/服务器计算的最新进展是三层结构，二层应用和三层应用之间最主要的区别是服务器上附加的软件层。二层应用侧重于将应用逻辑放入客户端和向数据库中传送记录 (胖客户模式)，或者在存储过程中向数据库传送数据并由数据库引擎实现应用逻辑 (瘦客户模式)。三层应用侧重于在客户与服务器的应用代码之间传送消息，由服务器部分实现应用逻辑，然后向数据库发送记录。,三层客户机/服务器结构,三层体系的服务器部分增加了一些应用的复杂性。然而，这对于三层客户机/服务器的性能来说是有益的。其中包括:升级能力、低通信流量、可扩充性。,升级能力的提高是由于第三层可以将客户与服务器分离，当系统升级时，应用服务器仍然可以在访问多个数据库的同时为客户提供服务。三层模块的重组比在二层客户机/服务器模式下容易得多。,低通信流量是由于应用程序中只传送少量报文而不传送整个数据记录。,可扩充性的增加是由于客户、服务器和数据库系统可以单独更换而不影响其他部分，同时保证接口不变。例如，将数据库从SyBase换成Oracle，只会影响到应用中的服务器部分而不会影响到客户;将客户程序由 VB 改为Delphi，不会影响应用的其余部分，而且所提供的接口也是适用的。,三、 浏览器/服务器方式,Web及Web server,Web是传送文档，包括文件、图形甚至是语音和视频图像给远程访问者的平台。 Web采用的是浏览器/服务器(Browser/server)模式，与传统的C/S模式不同的是,这里Web服务器不需要保留与客户端浏览器连接的信息，当客户通过HTTP协议连接到Web server并提出文档请求，Web server将文档提交出来便立即关闭连接。因此Web server 负载的限制因素不是用户数而是连接请求出现的频率。,Web采用浏览器/服务器机制进行信息的传输: 客户Web浏览器通过HTTP协议将特定的RUL发送到Web服务器来请求页面，Web服务器使用RUL中的信息来定位和返回页面内容。作为Web服务器，它应能支持和响应多种请求。从Web服务器返回的页面可以是三种类型:静态HTML页面、动态HTML页面或目录列表页面,。,基于Web的信息管理模式,随着各种相关技术的不断成熟和Intranet的逐渐深入企业,未来的企业信息管理模式将是一种分布式的基于Web的管理模式。,基于Web的管理模式,这种新型信息管理模式的优点主要有以下几点：1)经济性 2)平台独立性 3)良好的开放性 4)使远程访问的实现变得简单,关键技术,浏览器可以代替专门的客户端软件而实现对数据库的存取，为了实现基于Web的数据库访问，需要有Web server与DBMS之间的接口。常见的Web server接口CGI。常见的DBMS接口有ODBC、JDBC。Web与数据库连接的基本原理如下图所示，其中Web与数据库之间的CGI、API等接口统称为Web网关。,为了实现Web服务器对数据库的访问，主要有以下4种方法,:,在Web服务器端用CGI直接开发与数据库的接口模块,在Web服务器端利用各Web服务器供应商提供的专门接口(API)实现对数据库的访问ISAPI是由 Process Software Corp.,Web浏览器端作为数据库的客户,借助各数据库厂商提供的产品或开发平台实现与Web的连接,开发环境,随着Web应用的进一步深化，Web服务器已从单纯发布静态信息，发展,到能提供各种应用服务和对数据库的检索，不仅支持HTTP、也支持数,据库服务器，消息服务以及全文检索引擎。,目前比较流行的，主要的开发平台包括:,1)Lotus Notes 公司的Lotus Domino 它是该公司提供的首要的Web应用,服务器，支持多媒体和群件服务。它用Domino Action作为动态站点开发,工具,将Lotus Notes作为数据库服务器使用。 Notes虽不是关系型数据库,但为文字文档、多媒体文件等非结构化信息提供丰富的内存存储，所以,目前Lotus Domino用于开发办公自动化系统的较多。,2)Microsoft的IIS 与 Windows NT高度集成,并追加SQL server作为数据,库服务,其开发工具Active Server Page可以将无需编译的VB代码嵌入到,HTML标识中。,无状态记录,缺省条件下，web应用程序是没有状态记录，也就是说，服务器不保持客户机的两次行为的连接。每次客户请求必须有登录、事务处理、退出。以前的客户服务器应用程序需要客户建立一个会话，执行所需的事务处理，然后明确地退出对话。这使得服务器能很容易获取当前客户机状态的信息，例如访问权限、表单中字段的内容等等。无状态记录系统则要求每个事务处理是独立的;服务器并不知道本次事务处理开始前有关客户的状态信息。,无状态记录客户机/服务器应用程序可以简化两个问题:匿名登录和非显式退出。服务器缺少客户状态的了解，会产生一些不必要的副作用，即增加了服务器代码的复杂性。例如:当一个表单被提交时，服务器无法知道表单中有些什么数据，也不知道这个表单是否是第一次提交。于是服务器每次必须把它按第一次提交来进行事务处理。如果处理中发现有错，整个表单将被全部送回客户机。,下面是三种处理无状态记录带来问题的解决方法:,1)在每个事务中传送全部客户状态信息。,2)使用“Cookie”把状态记录在服务器上。,3)用Java或Java script打开通往服务器的数据流。,胖服务器/瘦客户,Web客户/服务应用程序就是一个用表单输入数据并能显示HTML的瘦型客户机和一个能运行所有应用程序的十分胖的服务器应用软件。当用户输入数据时，极胖的服务器和极瘦的客户机之间要进行大量数据传送而没有交互作用，按下提交键，这些表单中的数据将被送到服务器，如果有错，所有数据将被送回客户机，同时标上出错信息。换种说法，表单要作为一个整体来处理。,随着Java、JavaScript和VBScript等几种Web核心程序语言的出现，这一切正在迅速地改变。对于要想在客户机上实现高水平的数据正确性检查，它们都是很理想的脚本语言，,要检查的内容可有:,1)数据范围检查。,2)要用的字段是否填有数据。,3)与上下文相关的帮助。,4)确认联合选项的合理性。,5)检查数据合法性。,通过在客户机增加这些检查功能,它们能:,1)显著地减少网上通信量。,2)降低服务器代码的复杂度。,3)减少服务器代码数量。,4)增强应用程序的响应能力。,浏览器/服务器应用的优缺点,基于Web的应用程序的开发优越性如下:,1)使开发所需资源最小。,2)对不同型号计算机适应能力较强。,3)非常开放的解决方案。,缺点有:,1)许多因素影响应用程序的速度。,2)网络传输不很理想。,3)有限的客户端处理能力。,四、 Windows NT、LINUX网络平台,Windows NT 4.0 网络操作系统,Windows NT是Microsoft公司开发的一种32位网络操作系统，充分体现了客户/服务器的设计思想，集成了当前许多先进的技术，提供了强大的功能和完善的结构，它采用了和Windows 95系统相一致的图形用户界面，易于理解和操作，很容易实施管理。,Windows NT Server是面向网络服务器的网络操作系统，为网络应用提供了功能强大的服务器平台。它不仅提供了可靠的文件和打印服务，并且还提供了运行客户/服务器应用程序所需的体系结构。 还是一种面向Internet/Intranet的网络操作系统，它内置有强大的Internet/Intranet服务支持功能，可以很方便用来构成Internet信息服务器，并且还内置有包括测览器在内的多种Internet访问工具。为了便于系统的维护和管理， 还提供了多种内置的系统管理工具。,是面向网络工作组的操作系统，采用对等式的网络通信机制，包含了Windows for Workgroups的所有功能，并且上升到更强大的多任务环境。它既可单独作为桌面操作系统，用于对等式通信的网络工作组环境，也可在域环境中作为工作站操作系统使用,。,Windows 2000 网络操作系统,Microsoft Windows 2000产品家族是Windows NT 系列操作系统的下一代产品, 其功能特点如下,(1)利用Internet开展业务 将业务扩展到Internet可以使得最新的信息在员工，客户和合作伙伴之间快速传递更加容易。,(2)保证系统的高可靠性,(3)降低管理费用,(4)利用新硬件 Windows 2000包含了对网络，便携式计算机，以及外围设备的先进的支持。,(5)逐渐增长的部署, LINUX 网络平台,UNIX操作系统在过去的近30年里，经不断锤炼，现已成为一个在网络功能、系统安全、系统性能等各个方面都非常优秀的操作系统。Linux作为UNIX更新和发展的产物，是一个出于UNIX且胜于UNIX的操作系统，其主要特点如下:,1)Linux是一个兼容各种UNIX标准的多用户、多任务的具有复杂内核的操作系统,2)Linux是一个免费操作系统,3)Linux具有很强的适应性,4)卓越的兼容性,5)丰富的应用软件,第二节 楼宇内的Intranet,一、 Internet,二、 Intranet,三、 Web服务器,四、 HTML语言,五、 建立楼宇内的Intranet,一、 Internet, 什么是Internet,Internet是第一个全球性论坛，是第一个全球性图书馆，任何人任何时候都可以参与或使用。,Internet是人类历史上最伟大的成就之一。在历史上第一次使如此众多的人们方便地通信和共享资源。在这里，你会发现人们能够自然地沟通和互相帮助，你会看到Interent对人类文明、社会发展与进步所起的重要作用。,Internet是建立在高度灵活的通信技术之上的一个己经硕果累累并正在迅速发展的全球数字化信息库。Internet数字化信息库提供了用以创建、浏览、访问、搜索、阅读、交流信息的形形色色的服务。其中信息所针对的话题范围极其广泛，包括从科学实验的结果到关于娱乐活动的讨论等许多方面。Internet数字化信息库中的信息可被记录于便签、组织成菜单、存储为超媒体文档或保存于文本文档中。另外，能够通过这一数字化信息库进行访问的信息是由多种数据(包括声音和视像)所构成。再者，由于各种服务已被集成化并建立了交叉参照，因而用户可以无缝地将信息从一台计算机上转移到另一台计算机上，还可从一种服务转移到另一种服务上。, Internet的发展,Internet起源于美国国防部高级研究计划署建立的实验性网络,ARPANET，这是一个较完善的分布式跨国计算机网络，建网的初衷是帮助美国军方的研究人员通过计算机交流信息。,作为Internet的早期主干网，ARPANET奠定了Internet存在和发展的基,础，它较好地解决了异种机网络互联的一系列理论与技术问题，所产生,的资源共享、分散控制、分组交换以及使用单独的通信控制处理机与网,络通信协议分层等思想，成为当代计算机网络建设的支柱。,以美国Internet为中心的网络互联迅速向全球扩展，连入Internet的国家,和地区日益增多，流经Internet的信息量不断增长。用户及连接计算机台,数增多的主要原因是所流经的信息类型的变化，尤其是WWW(World,Wide Web)的超文本服务普及是信息激增的最大原因。, Internet提供的主要服务,远程登录服务(Telnet),文件传输服务(FTP),电子邮件服务(E-Mail),文档查询索引服务,1)Archie,2)WAIS(Wide Area Information Service),检索工具,1)Gopher服务,2)WWW服务, 客户/服务器机制,所有的Internet服务项目都使用“客户/服务器”机制，其实学习使用Internet就意味着学会如何使用一种客户程序。每种客户程序都有自己特定的指令和规则，比如Gopher的一套指令就不同于Archie客户程序。Internet上最著名的客户程序是Netscape 和IE。,二、 Intranet, Intranet概述,Intranet也称企业互联网，是传统企业网与Internet相结合的新型企业网,络。它是采用Internet技术建立的企业内部专用网络。它以TCP/IP协议,作为基础,以Web为核心，构成统一和便利的信息交换平台。,传统的企业网大多采用的是以Novell,Windows NT,Unix等操作系统为代,表的局域网技术，它在网络内部具有较强的系统管理、文件传输能力，,但是在远程管理、远程信息共享，与外界的信息交换等方面有明显的不,尽人意之处。而Internet如今已成为全球最成功的通信网络,深入到各行,各业。它提供了例如E-mail、FTP,WWW、Gopher、在线服务等诸多强,大功能，尤其是WWW以全图形化连接方式，提供了寻找其他网络资源,及工具的方便的、完整的、快捷的解决方案。,在这种情况下，一种将传统局域网的内部管理、安全优势，同Internet的,开放、资源丰富的优势相结合的新型企业网Intranet便应运而生了。, Intranet的特点,Intranet有以下的特点：,1)Intranet归企业的内部使用，因此对用户有严格的权限控制,并设置防火墙等安全机制。,2) Intranet的页面每天是动态的，能够实时反映数据库的内容,用户可以查询数据，还可以增加、修改和删除数据库的内容 .,3) 在网络拓扑结构上采用传统的构网理论，但在技术上,以Internet协议和Web技术为基础。,4)采用TCP/IP作为网络的传输协议,5)采用了浏览器/服务器(Brower/Server)结构,6)强大的远程管理、信息共享的功能。,7)系统建立容易,8)Intranet的开发是简单的, Intranet的功能,1)内部信息发布,2)充分利用现有的数据库资源,3)理想的销售工具,4)改善内部交流和技术支持的工具,5)协同工作环境, Intranet安全管理,网络安全措施可分为：加密技术和防火墙技术。前者对于网络中传输的,数据进行加密处理，在达到目的地址后,解密还原为原始数据,因此防止,非法用户对信息的截取和盗用。防火墙技术通过对网络的隔离和限制访问的方法，来控制网络的访问权限，从而保护网络资源。,常用到的SSL安全措施就是利用加密技术。SSL被广泛应用于Netscate ,和Microsoft等公司的WWW服务器和浏览器软件产品中。在建立网络时,可根据需要选择具有SSL保密措施的WWW软件产品。,防火墙技术是一种访问控制技术，它用于加强两个或多个网络间的边界,防卫能力。其工作方法是在公共网络和专用网络之间设立隔离墙，在此,检查进出专用网络的信息是否被允许通过，或用户的服务请求是否被允,许，从而防止对信息资源的非法访问和非法用户的进入，它属于一种被,动型防卫技术。由于防火墙只能对跨越网络边界的信息进行监测、控,制，而对网络内部人员的攻克不具备防范能力，因此单纯依靠防火墙保,护网络的安全性是不够的，还必须与其他安全措施综合使用，才能达到目的。,三、 Web服务器, 组建Web Server的原则,安全性,数据库访问和集成,处理请求的能力,处理多线程的能力,远程维护和管理能力, CGI(公共网关接口),一般的CGI可以应用在以下几个方面:,通过一个HTML表格，收集有关自已的WWW站点内容的访问者反馈;,在进行Web查询时，动态进行系统文件的转换;,对Archie或WAIS数据库进行查询，并返回HTML文件格式的结果。,构造一个CGI应用程序一般分为以下四步：,1)做一个含表格(Form)的HTML文档。用户正是通过填写Form，才将参数传递给CGI程序，以便实现其功能设计。,2)确定传递参数的方式：POST或GET。两种不同的方式决定了其处理方法的差异。,3)对传递的参数进行解码。,4)编程实现特定的功能。, Web与数据库 从Web访问数据库的方法,数据库对Web的支持可以有几个级别 :,户通过Web来查询预先已存储在数据库中的信息,完全通过Web的形式对数据库进行维护,通过Web实现以往传统数据库管理系统的全部功能,通用CGI技术,Web API应用程序接口,JDBC技术和应用服务器模式,四、 HTML语言,HTML语言概述,每一个包含超媒体文档的网页都采用一个标准的表示方式。被称作为超文本排版语言HTML(Hyper Text Markup Language)的标准允许作者给出一个通用的向导行来显示并说明网页的内容。,HTML格式与表示方式,每个HTML文档分为两个主要部分：头部后紧跟着主体。头部包含了文档的细节，而主体则包含了大部分信息。,五、 建立楼宇内的Intranet,系统功能,应用功能,管理功能,用户操作,信息服务,数据存储,系统结构,网络操作系统,Web 服务器,邮件服务器,数据库服务器,第三节 网络的安全技术,一、网络信息的安全,二、防火墙技术,三、虚拟专用网VPN,四、Internet接入设计,一、网络信息的安全,影响网络信息安全的因素,1)非授权访问,2)冒充合法用户,3)破坏数据的完整性,4)干扰系统正常运行,5)病毒与恶意攻击。,6)线路窃听,计算机网络的安全策略,物理安全策略,访问控制策略, 确保网络安全的措施,二、防火墙技术,采用防火墙可以满足以下功能,1)访问控制 实施企业网与外部、企业内部不同部门之间的隔离2)普通授,权与认证 提供多种认证和授权方法,控制不同的信息源。,3)内容安全 对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。,4)加密 提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。,5)网络设备安全管理 目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之,间可能亦会有由多级网络设备隔离的小网络。根据信息源的分布情况,有,必要对不同网络和资源实施不同的安全策略和多种级别的安全保护,如可,以在防火墙上实施路由器、交换机、访问服务器的安全管理。,6)集中管理 实施一个企业一种安全策略,实现集中管理、集中监控等。,7)提供记帐、报警功能 实施移动方式的报警功能,包括E-mail、SNMP等。,防火墙的架构与工作方式,防火墙可以使用户的网络划规划更加清晰明了，全面防止跨越权限的数据访问（因为有些人登录后的第一件事就是试图超越权限限制）。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对胜户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。最简单的情况是：它只由用户标识和口令构成。但是，如果防火墙是通过Internet可访问的，应推荐用户使用更强的认证机制，例如一次性口令或回应式系统等。,所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。,当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。,配制防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，防火墙还会通知客户程序。既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。,防火墙最基本的功能：根据IP地址做转发判断。由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的,服务器TCP/UDP 端口过滤,仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。,比如，默认的telnet服务连接端口号是23。假如不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。,客户机也有TCP/UDP端口,TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？,双向过滤,可以配置防火墙：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络。,不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！,检查ACK位,在TCP包头上设置一个专门的位就可以完成响应功能。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包都要设置ACK位。,举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，就可以将进入网络的数据限制在响应包的范围之内。,FTP带来的困难,一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。,在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接,UDP端口过滤,最简单的办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。,有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器,。,三、虚拟专用网VPN,VPN(Virtual Private Network)虚拟专用网是在非安全网络上建立专用的安全的网络连接技术，一般提供的服务有：验证、加密和保证数据完整性。,VPN按照接入方式可以分为专线VPN和拨号VPN；按照协议类型划分:,第二层隧道协议：包括点到点隧道协议(PPTP,Point to Point Tunnel Protocol),第二层转发协议(L2F,Layer 2 Forwarding),第二层隧道协议(L2TP,Layer 2 Tunnel Protocol),第三层隧道协议：包括IP安全(IPSec,Internet Protocol Secruity) ，通用路由封装协议(GRE,General Router Encapsulation)。,VPN技术, 隧道技术 VPN利用一种称为“隧道技术”的处理方法，在Internet上传送加密的信息。隧道技术就是将网络数据包封装在另一个数据包中的过程。其优点是能够隐藏实际发送者、接收者的IP地址及其他协议信息（例如它可以隐藏数据包中是否包括Email或网页信息）。在Internet上传送的加密数据包，只有VPN端口（或网关）的IP地址暴露在外面。, 加密技术 加密是修改信息以使其不能被预期接收者以外的其他人读取的技术。这些工作主要是通过数学算法（加密算法）来实现。它需要“钥匙”（密钥）对原始数据“开锁”（解密）。使用相同密钥来对数据进行加密或者解密的过程被称为“对称加密算法”，如DES和RC4；使用不同密钥（公钥和私钥）来加密和解密的算法被称为“非对称加密算法”或“公开密钥加密算法”，如RSA和Diffie-Hellman。, 认证技术和数据完整性 除了加密和解密，VPN也需核实信息发送方的身份，并确保信息在Internet上传送时没有被篡改。核实发送者身份的过程被称作“认证”。认证通过用户的名字和口令来实现，或通过被称作“电子证书”或“数字证书”的信息来完成。电子证书包括加密参数。它是唯一被用作验证用户或主系统身份的工具。核实数据传输过程中没有被外部人员篡改的过程称作“数据完整性检查”。完整性检查通过数学算法来完成，即Hash函数。在数据被送出之前对数据进行处理，当接收到数据时，使用相同的Hash函数处理，如果得到的结果相同，则说明数据没有被篡改。,VPN的意义,1)实现远程办公VPN。对于同时连接两个或各个远程公司网络是非常理想的。利用VPN，外地职员能够利用本地的Internet接入而安全地享受到企业内部网站、收发Email、召开会议以及在不同地区网络之间文件共享等好处。就是说，VPN可安全地用作将多个分公司与总公司之间连接起来。,2)实现远程用户VPN。利用VPN可允许公司之外的远程用户、合作伙伴、供应商通过Internet安全地访问公司局域网。,3)实现各网互联VPN。可同时连接两个或多个远程公司网络，实现多网之间安全的数据通信。,VPN产品选择和安装配置,VPN产品基本上可分成三大类：基于系统的硬件、独立的软件包和基于系统的防火墙。,硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.加密路由器的速度快， 当链路的传输速度超过T1(1.554Mbps),硬件VPN性能更好。,基于软件的VPN可能提供更多的灵活性。许多产品允许根据地址或协议打开通道，而硬件产品则不同，它们一般为全部信息流量打开通道，而不考虑协议要求。因流量类型不同，特定的通道在远程站点可能遇到混合信息流时分优先级，例如有些信息流需要通过VPN进入总部的数据库，有些信息流则是在网上冲浪。在一般情况下，如通过拨号链路连接的用户，软件结构也许是最佳的选择。,基于防火墙的VPN则利用了防火墙安全机制的优势，可以对内部网络访问进行限制。此外，它们还执行地址的翻译，满足严格的认证功能要求，提供实时报警，具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操作系统级的安全指导，因此，提供操作系统保护是这种VPN的一大优势。,四、Internet接入设计,一级防火墙:此防火墙为隔离Internet与电视台局域网的第一道屏障。,Web服务器接入:用一台10/lOOM交换机连接本系统的Web服务器和一、二级防火墙。二级防火墙:二级防火墙的实际作用是隔离Web服务器和接在中心交换机上的数据库服务器。冷备份服务器:建议在系统中再配置一台冷备份服务器。,