购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

第4章

计算机网络及安全

4.1 计算机网络

4.1.1 计算机网络概述

1.定义

计算机网络指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统、网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。

计算机网络最简单定义是:一些相互连接的、以共享资源为目的的、自治的计算机的集合。从广义上看,计算机网络是以传输信息为基础目的,用通信线路将多个计算机连接起来的计算机系统的集合。从用户角度看,计算机网络是可以调用用户所需资源的系统。

2.功能

计算机网络的主要功能是硬件资源共享、软件资源共享和用户间信息交换3个方面。

(1)硬件资源共享。可以在全网范围内提供对处理资源、存储资源、输入输出资源等昂贵设备的共享,使用户节省投资,也便于集中管理和均衡分担负荷。

(2)软件资源共享。允许互联网上的用户远程访问各类大型数据库,可以得到网络文件传送服务、远地进程管理服务和远程文件访问服务,从而避免软件研制上的重复劳动以及数据资源的重复存储,也便于集中管理。

(3)用户间信息交换。计算机网络为分布在各地的用户提供了强有力的通信手段。用户可以通过计算机网络传送电子邮件、发布新闻消息和进行电子商务活动。

3.协议

协议是用来描述进程之间信息交换数据时的规则术语。在计算机网络中,为了使不同结构、不同型号的计算机之间能够正确地传送信息,必须有一套关于信息传输顺序、信息格式和信息内容等的约定,这一整套约定称为协议。在计算机网络中,两个相互通信的实体处在不同的地理位置,其上的两个进程相互通信,需要通过交换信息来协调它们的动作和达到同步,而信息的交换必须按照预先共同约定好的过程进行。网络协议一般是由网络系统决定的。网络系统不同,网络协议也就不同。

4.1.2 计算机网络结构

1.层次结构

OSI(Open System Interconnection,开放系统互连)七层网络模型称为开放式系统互联参考模型,是一个逻辑上的定义,一个规范,它把网络从逻辑上分为了7层。图4-1所示为OSI网络模型。

图4-1 OSI网络模型

(1)物理层(Physical Layer)。该层包括物理联网媒介,如电缆连线连接器。物理层的协议产生并检测电压以便发送和接收携带数据的信号。物理层的任务就是为它的上一层提供一个物理连接,以及它们的机械、电气、功能和过程特性,如规定使用电缆和接头的类型、传送信号的电压等。在这一层,数据还没有被组织,仅作为原始的位流或电气电压处理。

(2)数据链路层(Datalink Layer)。其功能是如何在不可靠的物理线路上进行数据的可靠传递。为了保证传输,从网络层接收到的数据被分割成特定的可被物理层传输的帧。帧是用来移动数据的结构包,它不仅包括原始数据,还包括发送方和接收方的物理地址以及纠错和控制信息。其中的地址确定了帧将发送到何处,而纠错和控制信息则确保帧无差错到达。如果在传送数据时,接收点检测到所传数据中有差错,就要通知发送方重发这一帧。

(3)网络层(Network Layer)。其主要功能是将网络地址翻译成对应的物理地址,并决定如何将数据从发送方路由到接收方。网络层通过综合考虑发送优先权、网络拥塞程度、服务质量以及可选路由的花费来决定从一个网络中节点A到另一个网络中节点B的最佳路径。由于网络层处理路由,而路由器连接网络各段,并智能指导数据传送,属于网络层。在网络中,“路由”是基于编址方案、使用模式以及可达性来指引数据的发送。网络层负责在源机器和目标机器之间建立它们所使用的路由。这一层本身没有任何错误检测和修正机制,因此,网络层必须依赖于端端之间的由DLL提供的可靠传输服务。

(4)传输层(Transport Layer)。传输协议同时进行流量控制或是基于接收方可接收数据的快慢程度规定适当的发送速率。此外,传输层按照网络能处理的最大尺寸将较长的数据包进行强制分割。发送方节点的传输层将数据分割成较小的数据片,同时对每一数据片安排一序列号,以便数据到达接收方节点的传输层时能以正确的顺序重组。该过程即被称为排序。

(5)会话层(Session Layer)。负责在网络中的两节点之间建立、维持和终止通信。会话层的功能包括:建立通信链接,保持会话过程通信链接的畅通,同步两个节点之间的对话,决定通信是否被中断以及通信中断时决定从何处重新发送。当通过拨号向你的ISP(因特网服务提供商)请求连接到因特网时,ISP服务器上的会话层向你与你的PC客户机上的会话层进行协商连接。若你的电话线偶然从墙上插孔脱落时,你终端机上的会话层将检测到连接中断并重新发起连接。会话层通过决定节点通信的优先级和通信时间的长短来设置通信期限。

(6)表示层(Presentation Layer)。应用程序和网络之间的翻译官。在表示层,数据将按照网络能理解的方案进行格式化,这种格式化也因所使用网络的类型不同而不同。表示层管理数据的解密与加密,如系统口令的处理。例如,在Internet上查询你银行账户,使用的即是一种安全连接。你的账户数据在发送前被加密,在网络的另一端,表示层将对接收到的数据解密。此外,表示层协议还对图片和文件格式信息进行解码和编码。

(7)应用层(Application Layer)。负责对软件提供接口以使程序能使用网络服务。术语“应用层”并不是指运行在网络上的某个特别应用程序,应用层提供的服务包括文件传输、文件管理以及电子邮件的信息处理。

2.拓扑结构

网络拓扑结构指的是网络上的通信链路以及各个计算机之间的相互连接的几何排列或物理布局形式。网络拓扑就是指网络形状,即网络中各个节点相互连接的方法和形式。拓扑结构通常有5种主要类型,即星型、环型、总线型、树型和网状型,如图4-2所示。

图4-2 网络拓扑结构

(1)星型拓扑结构。其中央节点到各站之间呈辐射状连接,由中央节点完成集中式通信控制。星型拓扑结构的节点有两类,即中心节点和外围节点。中心节点只有一个,每个外围节点都通过独立的通信线路与中心节点相连,外围节点之间没有连线。星型结构的优点是结构简单,访问协议简单,单个故障不影响整个网络;缺点是可靠性较低,中央节点有故障,整个网络就无法工作,全网将瘫痪,且系统扩展较困难。

(2)环型拓扑结构。其中每个节点连接形成一个闭合回路,数据可以沿环单向传输,也可以设置两个环路实现双向通信。环型拓扑结构的扩充方便,传输率较高,但网络中一旦有某个节点发生故障,则可能导致整个网络停止工作。

(3)总线型拓扑结构。其中所有工作站点都连在一条总线上,通过这条总线实现通信。总线结构是目前局域网采用最多的一种拓扑结构。它连接简单,易于扩充节点和删除节点,节点的故障不会引起系统的瘫痪,但是总线出问题会使整个网络停止工作,故障检测困难。

(4)树型拓扑结构。其中有一个根节点和若干个枝节点,最末端是叶节点。形状像倒立树“根”。它与总线型比较,总线型没有“根”。根节点的功能较强,常常是高档微机,或小、中型机,叶节点可以是微型机。这种结构的优点是扩展容易,易分离故障节点,易维护,特别适合等级严格的行业或部门;缺点是整个网络对根节点的依赖性较大,这对整个网络系统的安全性是一个障碍,若根节点发生故障,整个网络的工作就受到致命影响。

(5)网状型结构。实际上是由上述4种拓扑结构中的两种或多种简单组合而成,形状像网一样;网状结构中计算机之间的通信有多条线路可供选择。它继承了各种结构的优点,但是其结构复杂,维护难度加大。

4.1.3 计算机网络发展历史

计算机网络的发展大致可划分为4个阶段。

1.第一阶段:诞生阶段

20世纪60年代中期之前的第一代计算机网络是以单个计算机为中心的远程联机系统。典型应用是由一台计算机和全美范围内2000多个终端组成的飞机订票系统。终端是一台计算机的外部设备,包括显示器和键盘,无CPU和内存。随着远程终端的增多,在主机前增加了前端机(FEP)。当时人们把计算机网络定义为“以传输信息为目的而连接起来,实现远程信息处理或进一步达到资源共享的系统”,但这样的通信系统已具备了网络的雏形。

2.第二阶段:形成阶段

20世纪60年代中期至70年代的第二代计算机网络是以多个主机通过通信线路互联起来的,为用户提供服务,兴起于60年代后期,典型代表是美国国防部高级研究计划局协助开发的ARPANET。主机之间不是直接用线路相连,而是由接口报文处理机(IMP)转接后互联的。IMP和它们之间互联的通信线路一起负责主机间的通信任务,构成了通信子网。通信子网互联的主机负责运行程序,提供资源共享,组成了资源子网。这个时期,网络概念为“以能够相互共享资源为目的互联起来的具有独立功能的计算机的集合体”,形成了计算机网络的基本概念。

3.第三阶段:互联互通阶段

20世纪70年代末至90年代的第三代计算机网络是具有统一的网络体系结构并遵循国际标准的开放式和标准化的网络。ARPANET兴起后,计算机网络发展迅猛,各大计算机公司相继推出自己的网络体系结构及实现这些结构的软硬件产品。由于没有统一的标准,不同厂商的产品之间互联很困难,人们迫切需要一种开放性的标准化实用网络环境,这样应运而生了两种国际通用的最重要的体系结构,即TCP/IP体系结构和国际标准化组织的OSI体系结构。

4.第四阶段:高速网络技术阶段

20世纪90年代末至今的第四代计算机网络,由于局域网技术发展成熟,出现光纤及高速网络技术、多媒体网络、智能网络,整个网络就像一个对用户透明的大的计算机系统,发展为以Internet为代表的互联网。

4.1.4 万兆以太网与全光网

1.万兆以太网

在近20年中,以太网由最初10Base-5 10M粗缆总线发展为10Base-2 10M细缆,其后是一个短暂的后退:1Base-5的1兆以太网,随后以太网技术发展成为大家熟悉的星型的双绞线10Base-T。随着对带宽要求的提高以及器件能力的增强出现了快速以太网:五类线传输的100Base-TX、三类线传输的100Base-T4和光纤传输的100Base-FX。随着带宽的进一步提高,千兆位以太网接口也随之出现:包括短波长光传输1000Base-SX、长波长光传输1000Base-LX以及五类线传输1000Base-T。2002年7月18日,IEEE通过了802.3ae:10Gb/s以太网又称万兆位以太网。在以太网技术中,100Base-T是一个里程碑,确立了以太网技术在桌面的统治地位。千兆位以太网以及随后出现的万兆位以太网标准是两个比较重要的标准,以太网技术通过这两个标准从桌面的局域网技术延伸到校园网以及城域网的汇聚和骨干。

万兆位以太网技术已经成熟,适用领域十分广阔。各种迅速增长的带宽密集型项目,像高带宽园区骨干、数据中心汇聚、集群和网格计算、合一(语音、视频、图像和数据)的通信、存储组网、金融交易以及政府、医疗卫生领域、研究单位和大学的超级计算研究等,都离不开万兆位以太网技术。

2.全光网概述

随着Internet应用的快速发展,网络的业务量正在以指数级的速度迅速膨胀,这就要求网络必须具有高比特率数据传输能力和大吞吐量的交叉能力。光纤通信技术出现以后,其近30THz的巨大潜在带宽容量给通信领域带来了蓬勃发展的机遇,特别是在提出信息高速公路以来,光技术开始渗透于整个通信网,光纤通信有向全光网推进的趋势。

全光网(All optical network;All-optical network;All-optical networks)指光信息流在网中的传输及交换时始终以光的形式存在,而不需要经过光/电、电/光转换。

全光网的主要技术有光纤技术、SDH(同步数字传输体制)、WDM(波分复用)、光交换技术、OXC、无源光网技术、光纤放大器技术等。为此,网络的交换功能应当直接在光层中完成,这样的网络称为全光网。它需要新型的全光交换器件,如光交叉连接(OXC)、光分插复用(OADM)和光保护倒换等。全光网是以光节点取代现有网络的电节点,并用光线将光节点互联成网,采用光波完成信号的传输、交换等功能,克服了现有网络在传输和交换时的瓶颈,减少信息传输的拥塞延时,提高网络的吞吐量。

4.2 Internet

4.2.1 Internet概述

1.定义

Internet(因特网)又称为国际互联网。它是由使用公用语言互相通信的计算机连接而成的全球网络。一旦连接到它的任何一个节点上,就意味着您的计算机已经连入Internet网上了。Internet目前的用户已经遍及全球,有超过几亿人在使用Internet,并且它的用户数还在以等比级数上升。

Internet是一组全球信息资源的总汇,由许多小的网络(子网)互联而成的一个逻辑网,每个子网中连接着若干台计算机(主机)。Internet以相互交流信息资源为目的,基于一些共同的协议,并通过许多路由器和公共互联网而成,它是一个信息资源和资源共享的集合。计算机网络只是传播信息的载体,而Internet的优越性和实用性则在于其本身。因特网最高层域名分为机构性域名和地理性域名两大类,目前主要有14种机构性域名。

2.Internet功能

(1)WWW服务。在Web方式下,可以浏览、搜索、查询各种信息,可以发布自己的信息,可以与他人进行实时或者非实时的交流,可以游戏、娱乐、购物等。

(2)电子邮件E-mail服务。可以通过E-mail系统同世界上任何地方的朋友交换电子邮件。不论对方在哪个地方,只要他也可以连入Internet,那么你发送的信息只需要几分钟的时间就可以到达对方的手中了。

(3)远程登录Telnet服务。远程登录就是通过Internet进入和使用远距离的计算机系统,就像使用本地计算机一样。远端的计算机可以在同一间屋子里,也可以远在数千公里之外。它使用的工具是Telnet。它在接到远程登录的请求后,就试图把你所在的计算机同远端计算机连接起来。一旦连通,你的计算机就成为远端计算机的终端。你可以正式注册(Login)进入系统成为合法用户,执行操作命令,提交作业,使用系统资源。在完成操作任务后,通过注销(Logout)退出远端计算机系统,同时也退出Telnet。

(4)文件传输FTP服务。FTP(文件传输协议)是Internet上最早使用的文件传输程序。它同Telnet一样,使用户能登录到Internet的一台远程计算机,把其中的文件传送回自己的计算机系统;或者反过来把本地计算机上的文件传送并装载到远方的计算机系统。利用这个协议,可以下载免费软件或者上传主页。

3.Internet历史

20世纪60年代开始,美国国防部的高级研究计划局ARPA(Advance Research Projects Agency)建立阿帕网ARPANET,向美国国内大学和一些公司提供经费,以促进计算机网络和分组交换技术的研究。1969年12月,ARPANET投入运行,建成了一个实验性的由4个节点连接的网络。到1983年,ARPANET已连接了300多台计算机,供美国各研究机构和政府部门使用。1983年,ARPANET分为ARPANET和军用MILNET(Military Network),两个网络之间可以进行通信和资源共享。由于这两个网络都是由许多网络互连而成的,因此它们都被称为Internet, ARPANET就是Internet的前身。1986年,NSF(National Science Foundation,美国国家科学基金会)建立了自己的计算机通信网络。NSFnet将美国各地的科研人员连接到分布在美国不同地区的超级计算机中心,并将按地区划分的计算机广域网与超级计算机中心相连(实际上它是一个三级计算机网络,分为主干网、地区网和校园网,覆盖了全美国主要的大学和研究所)。

4.2.2 TCP/IP协议

1.定义

TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)又叫网络通信协议,这个协议是Internet最基本的协议、Internet国际互联网络的基础,简单地说,就是由网络层的IP协议和传输层的TCP协议组成的。TCP/IP定义了电子设备(如计算机)如何连入因特网,以及数据如何在它们之间传输的标准。TCP/IP是一个四层的分层体系结构。高层为传输控制协议,它负责聚集信息或把文件拆分成更小的包。低层是网际协议,它处理每个包的地址部分,使这些包正确地到达目的地。

2.层次

从协议分层模型方面来讲,TCP/IP由4个层次组成,即网络接口层、网络层、传输层、应用层。

(1)网络接口层包括物理层和数据链路层。物理层是定义物理介质的各种特性,如机械特性、电子特性、功能特性、规程特性。数据链路层是负责接收IP数据报并通过网络发送之,或者从网络上接收物理帧,抽出IP数据报,交给IP层。

(2)网络层负责相邻计算机之间的通信。其功能包括3个方面:①处理来自传输层的分组发送请求,收到请求后将分组装入IP数据报,填充报头,选择去往信宿机的路径,然后将数据报发往适当的网络接口;②处理输入数据报,首先检查其合法性,然后进行寻径,假如该数据报已到达信宿机,则去掉报头,将剩下部分交给适当的传输协议;假如该数据报尚未到达信宿,则转发该数据报;③处理路径、流控、拥塞等问题。

(3)传输层提供应用程序间的通信。其功能包括:①格式化信息流;②提供可靠传输。为实现后者,传输层协议规定接收端必须发回确认,并且假如分组丢失,必须重新发送。传输层协议主要是:传输控制协议(Transmission Control Protocol, TCP)和用户数据报协议(User Datagram Protocol, UDP)。

(4)应用层向用户提供一组常用的应用程序,如电子邮件、文件传输访问、远程登录等。远程登录Telnet使用Telnet协议提供在网络其他主机上注册的接口。Telnet会话提供了基于字符的虚拟终端。文件传输访问FTP使用FTP协议来提供网络内机器间的文件复制功能。应用层一般是面向用户的服务,如FTP、Telnet、DNS、SMTP、POP3。

4.2.3 IP地址

1.定义

IP地址就是给每个连接在Internet上的主机分配的一个32位地址。按照TCP/IP协议规定,IP地址用二进制来表示,每个IP地址长32位,比特换算成字节,就是4个字节。例如,一个采用二进制形式的IP地址是“00001010000000000000000000000001”,这么长的地址人们处理起来也太费劲了。为了方便使用,IP地址经常被写成十进制的形式,中间使用符号“.”分开不同的字节。于是,上面的IP地址可以表示为“10.0.0.1”。IP地址的这种表示法叫作“点分十进制表示法”,这显然比1和0容易记忆得多。

2.IP构成

Internet上的每台主机(Host)都有一个唯一的IP地址。IP协议就是使用这个地址在主机之间传递信息,这是Internet能够运行的基础。IP地址的长度为32位,分为4段,每段8位,用十进制数字表示,每段数字范围为0~255,段与段之间用句点隔开,如159.226.1.1。

3.IP地址分类

最初设计互联网络时,为了便于寻址以及层次化构造网络,每个IP地址包括两个标识码(ID),即网络ID和主机ID。同一个物理网络上的所有主机都使用同一个网络ID,网络上的一个主机(包括网络上工作站、服务器和路由器等)有一个主机ID与其对应。Internet委员会定义了5种IP地址类型以适合不同容量的网络,即A~E类。其中A、B、C这3类(表4-1)由Internet NIC在全球范围内统一分配,D、E类为特殊地址。

表4-1 IP地址分类

一个A类IP地址是指,在IP地址的四段号码中,第一段号码为网络号码,剩下的三段号码为本地计算机的号码。如果用二进制表示IP地址,A类IP地址就由1字节的网络地址和3字节主机地址组成,网络地址的最高位必须是“0”。A类IP地址中网络的标识长度为7位,主机标识的长度为24位,A类网络地址数量较少,可以用于主机数达1600多万台的大型网络。A类IP地址的地址范围为1.0.0.1~126.255.255.254(二进制表示为00000001 00000000 00000000 00000001~01111110 11111111 11111111 11111110)。A类IP地址的子网掩码为255.0.0.0,每个网络支持的最大主机数为256 3 -2=16 777 214台。

一个B类IP地址是指,在IP地址的四段号码中,前两段号码为网络号码。如果用二进制表示IP地址,B类IP地址就由2B的网络地址和2B主机地址组成,网络地址的最高位必须是10。B类IP地址中网络的标识长度为14位,主机标识的长度为16位,B类网络地址适用于中等规模的网络,每个网络所能容纳的计算机数为6万多台。B类IP地址的地址范围为128.1.0.1~191.255.255.254(二进制表示为10000000 00000001 00000000 00000001~10111111 11111111 11111111 11111110)。B类IP地址的子网掩码为255.255.0.0,每个网络支持的最大主机数为256 2 -2=65 534台。

一个C类IP地址是指,在IP地址的四段号码中,前三段号码为网络号码,剩下的一段号码为本地计算机的号码。如果用二进制表示IP地址,C类IP地址就由3字节的网络地址和1字节主机地址组成,网络地址的最高位必须是110。C类IP地址中网络的标识长度为21位,主机标识的长度为8位,C类网络地址数量较多,适用于小规模的局域网络,每个网络最多只能包含254台计算机。C类IP地址范围为192.0.1.1~223.255.254.254(二进制表示为11000000 00000000 00000001 00000001~11011111 11111111 11111110 11111110)。C类IP地址的子网掩码为255.255.255.0,每个网络支持的最大主机数为256-2=254台。

D类IP地址第一个字节以1110开始,它是一个专门保留的地址。它并不指向特定的网络,目前这一类地址被用在多点广播(Multicast)中。多点广播地址用来一次寻址一组计算机,它标识共享同一协议的一组计算机。地址范围为224.0.0.1~239.255.255.254。E类IP地址以11110开始,保留用于将来和实验使用。

4.2.4 第二代Internet

1.Internet 2概述

Internet 2是美国参与开发该项目的184所大学和70多家研究机构给未来网络起的名字,旨在为美国的大学和科研群体建立并维持一个技术领先的互联网,以满足大学之间进行网上科学研究和教学的需求。与传统的互联网相比,Internet 2的传输速率可达2.4Gb/s,比标准拨号调制解调器快8.5万倍。其应用将更为广泛,从医疗保健、国家安全、远程教学、能源研究、生物医学、环境监测、制造工程到紧急情况下的应急反应、危机管理等项目。

2.超高速网络技术

1)IPv6协议

全世界广泛使用的是第一代国际互联网,相应的IP地址协议是IPv4,即第4版。IPv4设定的网络地址编码是32位,共提供的IP地址为2 32 ,大约43亿个。目前,它所提供的网址资源已近枯竭。下一代互联网采用的是IPv6协议,它设定的地址是128位编码,能产生2 128 个IP地址,地址资源极端丰富。

2)Internet 2的结构

1996年10月,美国政府宣布启动“下一代互联网NGI”研究计划,其核心是互联网协议和路由器。它的主要目标是:建设高性能的边缘网络,为科研提供基础设施;开发具有革命性的Internet应用技术;促进新的网络服务及应用在Internet上的推广。

3)主要部分

(1)先进网络基础设施(Advanced Network Infrastructure)。

(2)光网络(Optical Networking)。

(3)中间件与安全(Middleware and Security)。

(4)核心中间件。

(5)中间件整合项目。

(6)先进应用(Advanced Applications)。

3.超高速网络历史与现状

1996年美国政府的下一代Internet/研究计划NGI和美国UCAID从事的Internet 2研究计划,都是在高速计算机试验网上开展下一代高速计算机网络及其典型应用的研究,构造一个全新概念的新一代计算机互连网络,为美国的教育和科研提供世界最先进的信息基础设施,并保持美国在高速计算机网络及其应用领域的技术优势,从而保证21世纪美国在科学和经济领域的竞争力。英、德、法、日、加等发达国家目前除了拥有政府投资建设和运行的大规模教育和科研网络以外,也都建立了研究高速计算机网络及其典型应用技术的高速网试验床。2007年10月10日,Internet 2项目的首席负责人道格·冯·豪维灵说:“现在可以为单独的计算机工作站提供10G的接入带宽,我们需要开发一种方法使得这种高需求的应用与普通应用能够同时运行,互不干扰。”运营商利用Internet 2网络开始向科研机构提供一种“临时按需获得10Gb/s带宽”的服务。豪维灵说,通常每个研究所以10Gb/s的速度连接到100Gb/s的Internet 2骨干网,另外有一个10Gb/s的接入口作为备份,以备突发流量之需。

4.3 计算机网络与安全

4.3.1 网络安全威胁

1.网络安全概述

计算机网络安全指利用网络管理控制和技术措施,保证在一个网络环境里数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源、快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。

2.潜在威胁

对计算机信息构成不安全的因素很多,其中包括人为因素和自然因素。其中,人为因素是指一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。

3.计算机网络的脆弱性

互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项。

(1)网络的开放性。网络的技术是全开放的,使得网络所面临的攻击来自多方面,或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。

(2)网络的国际性。意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以网络的安全面临着国际化的挑战。

(3)网络的自由性。大多数的网络对用户的使用没有技术上的约束,用户可以自由地上网,发布和获取各类信息。

4.3.2 网络安全策略

1.技术层面对策

对于技术方面。计算机网络安全技术主要有实时扫描、实时监测、防火墙、完整性检验保护、病毒情况分析报告和系统安全管理。综合起来,技术层面可以采取以下对策。

(1)建立安全管理制度。提高包括系统管理员和用户在内人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒和及时备份数据。

(2)网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

(3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。

(4)应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。

(5)切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。

(6)提高网络反病毒技术能力。通过安装病毒防火墙进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中限制只能由服务器才允许执行的文件。

(7)研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。

2.管理层面对策

计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。

计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰是十分重要的措施。

4.3.3 VPN技术

1.VPN定义

虚拟专用网络(Virtual Private Network, VPN)指在公用网络上建立专用网络的技术。之所以称之为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如,公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用它作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通信数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网,即VPN实质上就是利用加密技术在公网上封装出一个数据通信隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是VPN在企业中应用得如此广泛的原因,如图4-3所示。

在传统的企业网络配置中,要进行异地局域网之间的互联,传统的方法是租用DSN(数字数据网)专线或帧中继。这样的通信方案必然导致高昂的网络通信/维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。

图4-3 VPN的原理

2.虚拟专用网的优点

(1)使用VPN可降低成本。通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。

(2)传输数据安全可靠。虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。

(3)连接方便灵活。用户如果想与合作伙伴联网,但没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。

(4)完全控制。虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

3.VPN技术

基于公共网的VPN通过隧道技术、数据加密技术及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代的VPN路由器、交换机发展到第二代的VPN集中器,性能不断提高。

(1)隧道技术,简单地说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation, GRE)、L2TP和PPTP。

(2)加解密技术。VPN可直接利用现有技术实现加解密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。

(3)QoS技术。在网络中,服务质量(QoS)是指所能提供的带宽级别。将QoS融入一个VPN,使得管理员可以在网络中完全控制数据流。

通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。

4.3.4 网络安全与隔离

1.网络隔离

网络隔离技术指两个或两个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享。也就是说,通过网络隔离技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。

面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,网络隔离技术应运而生。网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。

网络隔离技术的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内进行安全交互。目前,一般的网络隔离技术都是以访问控制思想为策略,物理隔离为基础,并定义相关约束和规则来保障网络的安全强度。

2.发展历程

网络隔离(Network Isolation)主要是指把两个或两个以上可路由的网络(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。

第一代隔离技术是完全隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。

第二代隔离技术是硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。

第三代隔离技术是数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。

第四代隔离技术是空气开关隔离。它是通过使用单刀双掷开关,使得内、外部网络分时访问临时缓存器来完成数据交换的,其在安全和性能上存在许多问题。

第五代隔离技术是安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内、外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内、外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。

3.技术原理

网络隔离技术的核心是物理隔离,并通过专用硬件和安全协议来确保两个链路层断开的网络能够实现数据信息在可信网络环境中进行交互、共享。一般情况下,网络隔离技术主要包括内网处理单元、外网处理单元和专用隔离交换单元三部分内容。其中,内网处理单元和外网处理单元都具备一个独立的网络接口和网络地址来分别对应连接内网和外网,而专用隔离交换单元则是通过硬件电路控制高速切换连接内网或外网。网络隔离技术的基本原理通过专用物理硬件和安全协议在内网和外网之间架构起安全隔离网墙,使两个系统在空间上物理隔离,同时又能过滤数据交换过程中的病毒、恶意代码等信息,以保证数据信息在可信的网络环境中进行交换、共享,同时还要通过严格的身份认证机制来确保用户获取所需的数据信息。网络隔离技术的关键点是如何有效控制网络通信中的数据信息,即通过专用硬件和安全协议来完成内、外网间的数据交换,以及利用访问控制、身份认证、加密签名等安全机制来实现交换数据的机密性、完整性、可用性、可控性,所以如何尽量提高不同网络间数据交换速度,以及能够透明支持交互数据的安全性将是未来网络隔离技术发展的趋势。

4.网络隔离技术方案

网络隔离技术主要有以下几种类型。

(1)双机双网。双机双网隔离技术方案是指通过配置两台计算机来分别连接内网和外网环境,再利用移动存储设备来完成数据交互操作,然而这种技术方案会给后期系统维护带来诸多不便,同时还存在成本上升、占用资源等缺点,而且通常效率也无法达到用户的要求。

(2)双硬盘隔离。双硬盘隔离技术方案的基本思想是通过在原有客户机上添加一块硬盘和隔离卡来实现内网和外网的物理隔离,并通过选择启动内网硬盘或外网硬盘来连接内网或外网网络。由于这种隔离技术方案需要多添加一块硬盘,所以对那些配置要求高的网络而言,就造成了成本浪费,同时频繁地关闭、启动硬盘容易造成硬盘的损坏。

(3)单硬盘隔离。单硬盘隔离技术方案的实现原理是从物理层上将客户端的单个硬盘分割为公共和安全分区,并分别安装两套系统来实现内网和外网的隔离,这样就具有了较好的可扩展性,但是也存在数据是否安全界定困难、不能同时访问内、外两个网络等缺陷。

(4)集线器级隔离。集线器级隔离技术方案的一个主要特征在客户端只需使用一条网络线就可以部署内网和外网,然后通过远端切换器来选择连接内、外双网,避免了客户端要用两条网络线来连接内、外网络。

(5)服务器端隔离。服务器端隔离技术方案的关键内容是在物理上没有数据连通的内、外网络下,如何快速、分时地处理和传递数据信息,该方案主要是通过采用复杂的软、硬件技术手段来在服务器端实现数据信息过滤和传输任务,以达到隔离内、外网的目的。

典型案例

网络风暴

暴风影音事件,也称暴风门事件(Storm Scandal;Storm Gate Event),是发生于2009年5月19日的一次大范围网络故障事件。这次故障的起点在于北京暴风科技公司的域名BAOFENG.COM被人恶意大流量攻击。

18日免费DNS服务提供商的6台服务器开始受到攻击。18日20点33分59秒。在大流量攻击下DNSPod的6台解析服务器开始失效,大量网站开始间歇性无法访问。第一波攻击的流量在21点30分左右达到高峰,达10Gb/s,而一个电信核心机房的带宽最多只有几十G。18日当晚,由于DNSPod消耗整个机房近1/3的带宽,为了不影响机房其他用户,DNSPod的电信主力DNS服务器被迫离线。

19日晚上,在另一轮高强度攻击下,DNSPod服务完全中断,由于暴风影音播放器客户端无法解析服务器IP,而不断向网络供应商的DNS服务器发送解析请求,造成当地运营商的DNS服务器堵塞。19日21点左右,浙江电信DNS瘫痪,之后的两个小时内天津、北京、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的DNS陆续瘫痪。在零点之前,部分地区运营商进行了处理,将暴风影音的服务器IP加入DNS缓存或者禁止了这个域名的解析,网络开始恢复。

后经了解,此次事故的罪魁祸首竟然仅仅是同样在使用DNSPod服务的一个私服网站,这个网站的“同行”在对其Web服务器攻击不成的情况下动用大量肉鸡对其DNS服务商DNSPod进行了丧心病狂的攻击,其规模之大让人心惊。本次网络瘫痪的重要原因是,DNSPod遭遇网络攻击,遭到电信运营商断网处理,致使其托管数十万域名无法正常解析。通常情况下,如果是网民在地址栏输入“BAOFENG.COM”等托管域名,因为无法访问,网民就不会再次输入相关域名请求解析。但是,本次网络瘫痪中发起请求的不仅是网民,更多的是安装网民计算机中的暴风影音软件,它不像人是有智慧的,在访问不成功后会自动放弃,程序的设计导致其无法访问时会持续不断发起访问请求,而且这些请求全部拥塞在本地域名服务器中,无法传送到DNSPod完成BAOFENG.COM解析,大量拥塞的请求占用了大量的服务器处理性能,进而导致本地域名服务器无法对其他的正常请求进行解析,并最终酿成大规模的网络故障。

思考题

4-1 什么是计算机网络?

4-2 计算机网络拓扑结构有几种?

4-3 简述计算机网络发展历史。

4-4 什么是Internet?什么是第二代Internet?

4-5 简述TCP/IP协议。

4-6 什么是IP地址?

4-7 什么是万兆位以太网?什么是全光网?

4-8 什么是网络安全?

4-9 网络安全有哪几个方面的威胁?

4-10 什么是网络安全策略?

4-11 什么是VPN?

4-12 什么是网络安全隔离? r9Ska8kqY7Pan1YaPq/gYsVpWMvjr8zb1fL3TwJ/dyfV1OXt6boyhCHEUhV7GOiZ

点击中间区域
呼出菜单
上一章
目录
下一章
×