【計算機網路基礎概念】4網路作業系統、網路管理與網路安全
目錄
一、網路作業系統
1、網路作業系統概述
1. 網路作業系統的基本概念
網路作業系統(NOS,Network Operating System)也是程式的組合,是在網路環境下,使用者與網路資源之間的介面,用以實現對網路資源的管理和控制。
網路作業系統是使聯網計算機能夠方便而有效地共享網路資源,為網路使用者提供所需的各種服務的軟體與協議的集合
計算機網路系統是通過通訊媒體將多個獨立的計算機連線起來的系統,每個連線起來的計算機各自獨立擁有獨立的作業系統。網路作業系統是建立在這些獨立的作業系統之上,為網路使用者提供使用網路系統資源的橋樑。。
2. 網路作業系統的型別
網路作業系統一般可以分為兩類:面向任務型與通用型。面向任務型網路作業系統是為某一種特殊網路應用要求設計的;通用型網路作業系統能提供基本的網路服務功能,支援使用者在各個領域應用的需求。
通用型網路作業系統也可以分為兩類:變形系統與基礎級系統。
3. 網路作業系統的功能
1. 檔案服務(File Service)
2. 列印服務(Print Service)
3. 資料庫服務(Database Service)
4. 通訊服務(Communication Service)
5. 資訊服務(Message Service)
6. 分散式服務(Distributed Service)
7. 網路管理服務(Network Management Service)
8. Internet/Intranet服務(Internet/Intranet Service)
4. 典型的網路作業系統
1. Windows類
2. NetWare
3. Unix
4. Linux
2、Windows系列作業系統
1. Windows 2003作業系統
1. 體系結構
Windows 2003體系結構包含兩個主要的層次:使用者模式和核心模式。
2.Windows Server 2003的特點
(1)全面的Internet及應用軟體服務。
(2)具有強大的電子商務及資訊管理功能。
(3)增強的可靠性和可擴充套件性。
(4)具有整體系統可靠性和規模性。
(5)強大的端對端管理。
(6)支援對稱的多處理器結構,支援多種型別的CPU
2. Windows 2008作業系統
Windows Server 2008的新增功能:
(1) Server Core;
(2) PowerShell命令列。
(3)虛擬化。
(4)Windows硬體錯誤架構(WHEA)。
(5)隨機地址空間分佈(ASLR)。
(6)SMB2網路檔案系統。
(7)核心事務管理器(KTM)。
(8)快速關機服務。
(9)並行Session建立。
(10)自修復NTFS檔案系統。
3. IIS簡介
IIS(Internet Information Server)是一個資訊服務系統,主要是建立在伺服器一方。伺服器接收從客戶傳送來的請求並處理它們的請求,而客戶機的任務是提出與伺服器的對話。只有實現了伺服器與客戶機之間資訊的交流與傳遞,Internet/Intranet的目標才可能實現。
Web伺服器是IIS提供的非常有用的服務,使用者可以使用瀏覽器來檢視Web站點的網頁內容。
檔案傳輸協議(FTP)是IIS提供的另外一種非常有用的服務。
3、Unix作業系統
1. Unix作業系統的組成結構
Unix作業系統由下列幾部分組成。
核心程式(Kernel):負責排程任務和管理資料儲存。
外圍程式(Shell):接受並解釋使用者命令。
實用性程式(Utility Program):完成各種系統維護功能。
應用程式(Application):在Unix作業系統上開發的實用工具程式。
Unix系統提供了命令語言、文字編輯程式、字處理程式、編譯程式、檔案列印服務、圖形處理程式、記賬服務、系統管理
服務等設計工具,以及其他大量系統程式,是一個典型的多使用者、多工、互動式的分時作業系統。
Unix的核心與外殼是分開的。
2. Unix作業系統的特點
(1) 可移植性好。
(2) 多使用者和多工。
(3) 層次式的檔案系統,檔案按目錄組織,目錄構成一個層次結構。
(4) 檔案、裝置統一管理。
(5) 功能強大的Shell。
(6) 方便的系統呼叫。
(7) 有豐富的軟體工具。
(8) 支援電子郵件和網路通訊,系統還提供在使用者程序之間進行通訊的功能。
4、Linux作業系統
1. Linux作業系統的組成
Linux由3個主要部分組成:核心、shell環境和檔案結構。
核心是執行程式和管理諸如磁碟和印表機之類硬體裝置的核心程式。
shell環境提供了作業系統與使用者之間的介面,它接收來自使用者的命令並將命令送到核心去執行。
檔案結構決定了檔案在磁碟等儲存裝置上的組織方式。
2. Linux作業系統的特點
(1)與傳統網路作業系統相比,Linux作業系統主要有以下特點。
(2)不限制應用程式可用記憶體大小。
(3)具有虛擬記憶體的能力,可以利用硬碟來擴充套件記憶體。
(4)允許在同一時間內執行多個應用程式。
(5)支援多使用者,在同一時間內可以有多個使用者使用主機。
(6)具有先進的網路能力,可以通過TCP/IP協議與其他計算機連線,通過網路進行分散式處理。
(7)符合Unix標準,可以將Linux上完成的程式移植到Unix主機上去執行。
(8)是免費軟體,可以通過匿名FTP服務在“sunsite.ucn.edu”的“pub/Linux”目錄下獲得。
二、網路管理與網路安全
1、網路安全概述
1. 計算機網路安全的定義
為資料處理系統建立和採用的技術和管理的安全保護,保護計算機硬體、軟體和資料不因偶然和惡意的原因遭到破壞、更改和洩露。
計算機網路由計算機和通訊網路兩個部分組成,其中計算機是通訊網路的終端或信源,通訊網路提供資料傳輸和交換的必要手段,最終實現儲存在計算機中的資源共享。
因此計算機網路安全可以理解為:通過採取各種技術和管理措施,使網路系統正常執行,從而確保網路資料的可用性、完整性和保密性。其目的是確保經過網路傳輸和交換的資料不會發生增加、修改、丟失和洩露等問題。
2. 影響網路安全的因素
(1)網路硬體裝置和線路的安全問題;
(2)網路系統和軟體的安全問題;
(3)網路管理人員的安全意識問題;
(4)環境的安全因素。
3. Internet網路存在的安全缺陷
1. 薄弱的認證環節
2. 系統的易被監視性
3. 網路系統易被欺騙性
4. 有缺陷的區域網服務和相互信任的主機
5. 複雜的裝置和控制
6. 無法估計主機的安全性
2、資料加密技術
1. 什麼是密碼技術
密碼技術是對儲存或者傳輸的資訊採取祕密交換以防止第三者對資訊竊取的技術。
密碼技術分為加密和解密兩部分。加密是把需要加密的報文(簡稱明文)按照金鑰引數進行變換,產生密碼檔案(簡稱密文)。解密是按照金鑰把密文還原成明文的過程。金鑰是一個數值,它和加密演算法一起生成特別的密文。
2. 私鑰密碼技術
私鑰密碼體制是從傳統的簡單換位、代替密碼發展而來的,也稱為對稱金鑰密碼體制。
對稱金鑰密碼體制使用相同的金鑰加密和解密資訊,即通訊雙方建立並共享一個金鑰。對稱金鑰密碼體制的工作原理為:使用者A要傳送機密資訊給B,則A和B必須共享一個預先由人工分配或由一個金鑰分發中心分發的金鑰K,於是A用金鑰K和加密演算法E對明文P加密得到密文C=EK(P),並將密文C傳送給B;B 用同樣一金鑰K和解密演算法D對密文解密,得到明文P=DK(EK(P))。
按加密模式來分,對稱金鑰密碼體制可以分為流密碼和分組密碼兩大類。
1. 流密碼
流密碼的工作原理是,通過有限狀態機產生效能優良的偽隨機序列,使用該序列加密資訊流,逐位元加密得到密文序列。流密碼對輸入元素進行連續處理,同時產生連續單個輸出元素。所以,流密碼的安全強度完全取決於它所產生的偽隨機序列的好壞。
流密碼的優點是錯誤擴充套件小、速度快、同步容易和安全程度高。對流密碼的攻擊主要手段有代數方法和概率統計方法,兩者的結合可以達到較好的效果。
2. 分組密碼
分組密碼的工作方式是將明文分成固定的塊,用同一金鑰演算法對每一塊加密,輸出也是固定長度的密文,即每一個輸入塊生成一個輸出塊。
分組密碼是將明文訊息編碼表示後的數字序列x1,x2,…,x3,…,劃分成長為m的組x=(x0,x1,…,xm-1),各組分別在金鑰k=(k0,k1,…,kl-1)控制下變換成等長的輸出數字序列y=(y0,y1,…,yn-1),其加密函式E:Vn×K→Vn,Vn是n維向量空間,K為金鑰空間。它與流密碼不同之處在於輸出的每一位數字不僅與相應時刻輸入的明文數字有關,還與一組長為m的明文數字有關。
3.DES和AES
DES (Data Encryption Standard)是使用最為廣泛的一種加密方案,一般認為是很難破解的私鑰。它以64bit的塊來加密,即通過對64位的明文塊加密得到64位的密文塊。加密和解密都使用相同的金鑰和演算法,只是在金鑰次序中有些區別。56位的金鑰表示為64位的數,而每個第8位都用於奇偶較驗。DES可用於ECB、CBC、CFB和OFB等模式。但是,一般DES只用於CBC模式和CFB模式。
從NIST釋出的文件可以看出AES應滿足如下條件:
(1) 演算法必須是對稱密碼或私有密碼。
(2) 演算法必須是類似DES的塊密碼,而不是流密碼。
(3) 演算法支援金鑰長度範圍從128到256位,而且演算法還應支援不同塊數的資料。
(4) 演算法應該用C或Java程式語言設計。
3. 公鑰密碼技術
以公開金鑰作為加密金鑰,以使用者專用金鑰作為解密金鑰,實現多個使用者加密的訊息只能由一個使用者解讀。以使用者專用金鑰作為加密金鑰而以公開金鑰作為解密金鑰,可實現由一個使用者加密的訊息而多個使用者解讀。前者用於保密通訊,後者用於數字簽名。
4. 數字簽名
數字簽名是使用某人的私鑰加密特定訊息摘要雜湊值而得到的結果,通過這種方法把人同特定訊息聯絡起來,類似於手書籤名。
數字簽名與手書籤名的區別在於,手書籤名是模擬的,且因人而異。而數字簽名是0和1的數字串,因訊息而異。
數字簽名有兩種:一種是對整體訊息的簽名,即訊息經過密碼變換後被簽名的訊息整體。一種是對壓縮訊息的簽名,即附加在被簽名訊息之後或某一特定位置上的一段簽名圖樣。
3、防火牆技術
1. 防火牆主要技術
防火牆(Firewall)是一道介於開放的、不安全的公共網與資訊、資源彙集的內部網之間的屏障,由一個或一組系統組成。狹義的防火牆指安裝了防火牆軟體的主機或路由器系統,廣義的防火牆還包括整個網路的安全策略和安全行為。
防火牆技術包括:包過濾技術、網路地址翻譯、應用級代理。
2. 防火牆分類
1. 按技術分類
根據防火牆採用的技術,防火牆分為3種基本型別,即包過濾型、代理型和監測型。
2. 按結構分類
目前,防火牆按結構可分為簡單型和複合型。簡單型包括只使用遮蔽路由器或者作為代理伺服器的雙目主機結構;複合結構一般包括遮蔽主機和遮蔽子網。
3. 防火牆主要功能
(1)綜合技術
(2)簡單的結構和管理介面
(3)支援加密和VPN
(4)內部資訊完全隱藏
(5)增加強制訪問控制
(6)支援多種認證方式
(7)網路安全監控和內容過濾
4. 選擇防火牆標準
(1)總擁有成本。防火牆產品作為網路系統的安全屏障,其總擁有成本不應該超過受保護網路系統可能遭受最大損失的成本。
(2)防火牆本身的安全。作為資訊系統安全產品,防火牆本身應該是安全的,不給外部入侵者可乘之機。
(3)管理與培訓。管理和培訓是評價一個防火牆好壞的重要方面。人員的培訓和日常維護費用通常會在總擁有成本中佔據較大的比例。
(4)可擴充性。好產品應該留給使用者足夠的彈性空間,在安全水平要求不高的情況下,只選購基本系統,而隨著要求的提高,使用者仍然有進一步增加選件的餘地,這樣能夠保護使用者的投資。
(5)防火牆的安全效能。防火牆產品最難評估的是防火牆的安全效能,即防火牆是否能夠有效地阻擋外部入侵。
3. 防火牆發展趨勢
為了有效抵禦網路攻擊,適應Internet的發展勢頭,防火牆表現出智慧化、高速度、分散式、複合型、專業化等發展趨勢。
(1)智慧化的發展。防火牆將從目前的靜態防禦策略向具備人工智慧的智慧化方向發展。
(2)速度的發展。隨著網路速率的不斷提高,防火牆必須提高運算速度及包轉發速度,否則成為網路的瓶頸。
(3)體系結構的發展。分散式並行處理的防火牆是防火牆的另一發展趨勢。在這種概念下,將有多個物理防火牆協同工作,共同組成一個強大的、具備並行處理能力和負載均衡能力的邏輯防火牆。
(4)功能的發展。未來網路防火牆將在現有的基礎上繼續完善其功能並不斷增加新的功能,具體表現在:保密性、過濾、服務、管理、安全等方面。
(5)專業化的發展。單向防火牆、電子郵件防火牆、FTP防火牆等針對特定服務的專業化防火牆將作為一種產品門類出現
4、計算機病毒
1. 計算機病毒的定義
計算機病毒是指能夠通過某種途徑潛伏在計算機儲存介質或程式裡,當達到一定條件即可啟用的、具有對計算機資源進行破壞作用的一組程式或指令集合。
2. 計算機病毒的特點
(1)破壞性
(2)寄生性
(3)傳染性
(4)潛伏性
(5)針對性
3. 計算機病毒的型別
1. 按計算機病毒的破壞作用
從計算機病毒的設計者的意圖和病毒程式對計算機系統的破壞作用看,可以把病毒分為良性病毒和惡性病毒。
(1)良性病毒
良性病毒是一段惡作劇形式的病毒程式。在病毒發作時,往往在螢幕上顯示特殊的圖形或者要求使用者鍵入特定字串,如小球病毒發作時,螢幕上出現小白球無規則的跳動。這類病毒除了佔用一定的系統開銷外,它對系統的其他方面不產生破壞性或破壞性較小。
(2)惡性病毒
病毒程式發作時明顯地破壞系統的資料,常見的有刪除資料、刪除執行檔案和格式化磁碟,甚至擦除BIOS晶片。它的破壞力和危害性都是很大的。
2. 按計算機病毒攻擊的目標
計算機病毒按其攻擊的目標可以分為四種類型:
(1)系統引導病毒
系統引導病毒又稱引導區型病毒。直到20世紀90年代中期,引導區型病毒是最流行的病毒型別,主要通過軟盤在DOS作業系統裡傳播。引導區型病毒侵染軟盤中的引導區,蔓延到使用者硬碟,並能侵染到使用者硬碟中的“主引導記錄”。一旦硬碟中的引導區被病毒感染,病毒就試圖侵染每一個插入計算機的從事訪問的軟盤的引導區。例如小球病毒、大麻病毒(Stone)、Brain病毒、64病毒等。
(2)檔案型病毒
此類病毒專門感染副檔名為EXE、COM和OVL等可執行檔案,並寄生在這些檔案中。只要執行這些帶病毒的檔案,就會將檔案型病毒引入記憶體。當執行其他可執行程式時,如果滿足感染條件,病毒就會將其感染,使之成為新的帶病毒檔案。
當然,還有一些專門攻擊非可執行檔案的病毒,如專門攻擊裝置驅動檔案的DIR-II病毒和專門攻擊副檔名為DOC字表檔案的病毒。
(3)混合型病毒
此類病毒既攻擊載入程式也攻擊可執行檔案,集引導型病毒和檔案型病毒的特點於一身。混合型病毒的結構複雜、傳染性強、攻擊力和破壞力大。
(4)巨集病毒
巨集病毒一般是指用 Word Basic書寫的病毒程式,寄存在 Microsoft Office文件上的巨集程式碼。它影響對文件的各種操作,如開啟、儲存、關閉或清除等。當開啟Office文件時,巨集病毒程式就會被執行,即巨集病毒處於活動狀態,當觸發條件滿足時,巨集病毒才開始傳染、表現和破壞。
5、計算機網路管理與維護
1. 網路管理的定義
網路管理,簡稱網管,簡單地說就是為保證網路系統能夠持續、穩定、安全、可靠和高效地執行,對網路實施的一系列方法和措施。
網路管理的任務就是收集、監控網路中各種裝置和設施的工作引數、工作狀態資訊,將結果顯示給管理員並進行處理,從而控制網路中的裝置、設施,工作引數和工作狀態,以實現對網路的管理。
2. 網路管理的目標
(1)網路管理的目標可能各有不同,但主要的目標有以下幾條:
(2)減少停機時間,改進響應時間,提高裝置利用率;
(3)減少執行費用,提高效率;
(4)減少或消除網路瓶頸;
(5)適應新技術;
(6)使網路更容易使用;
(7)安全
3. 網路管理的基本功能
在OSI網路管理標準中定義了網路管理的5個基本功能: 配置管理、效能管理、故障管理、安全管理和計費管理。
4. 網路管理模型
5.簡單網路管理協議(SNMP)
簡單網路管理協議(SNMP,Simple Network Management Protocol)是在應用層上進行網路裝置間通訊的管理,它可以進行網路狀態監視、網路引數設定、網路流量的統計與分析、發現網路故障等等。