網路學習提要,真是太全了
轉自:http://blog.csdn.net/shuibaiz/article/details/8924326
目錄:
- 第1章 交換技術
- 第2章 網路體系結構及協議
- 第3章區域網技術
- 第4章廣域網技術
- 第5章網路互連技術
- 第6章網路作業系統
- 第7章網路管理
- 第8章網路安全與資訊保安
- 第9章 Internet
- 第10章 企業網與Intranet
- 第11章 TCP/IP聯網
- 第12章Internet與Intranet資訊服務
- 第13章 網路應用
第一章 計算機基礎知識
一、硬體知識
1、計算機系統的組成包括硬體系統和軟體系統
硬體系統分為三種典型結構:
(1)單匯流排結構 (2)、雙匯流排結構 (3)、採用通道的大型系統結構
中央處理器CPU包含運算器和控制器。
2、指令系統
指令由操作碼和地址碼組成。
3、儲存系統分為 主存—輔存層次 和主存—Cache層次
Cache作為主存區域性區域的副本,用來存放當前最活躍的程式和資料。
計算機中資料的表示
Cache的基本結構:Cache由儲存體、地址映像和替換機構組成。
4、通道是一種通過執行通道程式管理I/O操作的控制器,它使CPU與I/O操作達到更高的並行度。
5、匯流排從功能上看,系統匯流排分為地址匯流排(AB)、資料匯流排(DB)、控制匯流排(CB)。
6、磁碟容量記計算
非格式化容量=面數*(磁軌數/面)*內圓周長*最大位密度
格式化容量=面數*(磁軌數/面)*(扇區數/道)*(位元組數/扇區)
7、資料的表示方法
原碼和反碼
[+0]原=000…00 [-0]原=100...00 [+0]反=000…00 [-0]反=111…11
正數的原碼=正數的補碼=正數的反碼
負數的反碼:符號位不變,其餘位變反。
負數的補碼:符號位不變,其餘位變反,最低位加1。
二、作業系統
作業系統定義:用以控制和管理系統資源,方便使用者使用計算機的程式的集合。
功能:是計算機系統的資源管理者。
特性:並行性、共享性
分類:多道批處理作業系統、分時作業系統、實時作業系統、網路作業系統。
程序:是一個具有一定獨立功能的程式關於某個資料集合的一次執行活動。
程序分為三種狀態:執行狀態(Running)、就緒狀態(Ready)、等待狀態(Blocked)。
作業分為三種狀態:提交狀態、後備執行、完成狀態。
產生死鎖的必要條件:
(1)、互斥條件:一個資源一次只能被一個程序所使用;
(2)、不可搶佔條件:一個資源僅能被佔有它的程序所釋放,而不能被別的程序強行搶佔;
(3)、部分分配條件:一個程序已佔有了分給它的資源,但仍然要求其它資源;
(4)、迴圈等待條件:在系統中存在一個由若干程序形成的環形請求鏈,其中的每一個程序均佔有若干種資源中的某一種,同時每一個程序還要求(鏈上)下一個程序所佔有的資源。
死鎖的預防:1、預先靜態分配法 2、有序資源使用法 3、銀行家演算法
虛擬儲存器:是指一種實際上並不以物理形式存在的虛假的儲存器。
頁架:把主存劃分成相同大小的儲存塊。
頁:把使用者的邏輯地址空間(虛擬地址空間)劃分成若干個與頁架大小相同的部分,每部分稱為頁。
頁面置換演算法有:1、最佳置換演算法OPT 2、先進先出置換演算法FIFO 3、最近最少使用置換演算法LRU 4、最近未使用置換演算法NUR
虛擬裝置技術:通過共享裝置來模擬獨佔型裝置的動作,使獨佔型裝置成為共享裝置,從而提高裝置利用率和系統的效率。
SPOOL系統:實現虛擬裝置技術的硬體和軟體系統,又Spooling系統,假離線系統。
作業排程演算法:
1、 先來先服務排程演算法FIFO:按照作業到達系統或程序進入就緒佇列的先後次序來選擇。
2、 優先順序排程演算法:按照程序的優先順序大小來排程,使高優先順序程序得到優先處理的排程策略。
3、 最高響應比優先排程演算法:每個作業都有一個優先數,該優先數不但是要求的服務時間的函式,而且是該作業為得到服務所花費的等待時間的函式。
以上三種都是非搶佔的排程策略。
三、嵌入式系統基本知識
定義:以應用為中心,計算機技術為基礎,軟硬體可裁剪,適應於特定應用系統,對功能、可靠性、成本、體積、功耗有嚴格要求的計算機系統。
特點:硬體上,體積小、重量輕、成本低、可靠性高等特點、使用專用的嵌入式CPU。軟體上,程式碼體積小、效率高,要求響應速度快,能夠處理非同步併發事件,實時處理能力。
應用:從太空梭到家用微波爐。
第二章、計算機網路概論
滑動視窗協議規定重傳未被確認的分組,這種分組的數量最多可以等於滑動視窗的大小,TCP採用滑動視窗協議解決了端到端的流量控制。
第三章 資料通訊基礎
一、 資料通訊的主要技術指標
傳輸速率 S=(1/T)log2N
T—訊號脈衝重複週期或單位脈衝寬度
n—一個脈衝訊號代表的有效狀態數,是2的整數值
log2N--單位脈衝能表示的位元數
通道容量:表徵一個通道傳輸資料的能力。單位:bps
通道容量的計算:
無噪聲 C=2H =2Hlog2N (奈奎斯特定理)
H—通道頻寬 N—一個脈衝訊號代表的有效狀態數
有噪聲 C=Hlog2(1+S/N) (夏農公式)
H—通道頻寬 S—訊號功率 N—噪聲功率
dB=10log10S/N,當S/N=1000時,信噪比為30dB
二、 資料交換方式
延遲的計算
1、電路交換
總延遲=鏈路建立時間+線路延遲+傳送時長
2、虛電路分組交換
總延遲=鏈路建立時間+(每個分組在交換結點延遲+每個分組線路延遲+每個分組傳送時長)*分組數
3、資料報分組交換
總延遲= (每個分組在交換結點延遲+每個分組線路延遲+每個分組傳送時長)*分組數
三、
a、模擬訊號à模擬傳輸
b、模擬訊號à數字傳輸 需要編碼解碼器(Codec),模擬資料數字化分為三步:取樣、量化、編碼 取樣:對於連續訊號是通過規則的時間間隔測出波的振動幅度從而產生一系列資料。量化:取樣得到的離散資料轉換成計算機能夠表示的資料範圍的過程,即將樣值 量化成一個有限幅度的集合X(nT)。編碼:用一定位數的二進位制數來表示取樣所得脈衝的量化幅度的過程。常用編碼方法有PCM脈衝編碼調製。
c、數字訊號—>數字傳輸 常用編碼:歸零碼、不歸零碼、曼徹斯特碼、差分曼徹斯特碼
IEEE802.3乙太網使用曼徹斯特編碼,IEEE802.5令牌環使用差分曼徹斯特編碼,兩者的編碼效率是50%,FDDI、100BASE-FX使用了4B/5B編碼和NRZ-I(不歸零碼),編碼效率是80%。
d、數字訊號à模擬傳輸 需要調製和解調,調製:由傳送端將數字資料訊號轉換成模擬資料訊號的過程;解調:在接收端把模擬資料訊號還原為數字資料訊號的過程,調製的方法:載波的表 示--y=A(t)sin(wt+Ф) ,分為ASK振幅調製、FSK頻率調製、PSK相位調製。
曼徹斯特編碼:每位元的1/2週期處要發生跳變,由高電平跳到低電平表示1,由低電平跳到高電平表示0;差分曼徹斯特編碼:有電平轉換表示0,無電平轉換表示1
四、 差錯控制
CRC-CCITT G(X)=X16+X12+X5+1 HDLC的幀校驗用
CRC-16 G(X)=X16+X15+X2+1
CRC-32 G(X)=X32+…+X+1 用在區域網中
海明碼 m+k+1<2k 資料位m,要糾正單個錯誤,得出冗餘位k必須取的最小值。碼距為m、n中最小值,它能夠發現(碼距-1)位錯,並可糾正(碼距-1-1)位錯;比如8421的碼距為1。要檢測出d位錯,碼字之間的海明距離最小值應為d+1。
CRC冗餘碼求法:(1)、如果資訊位為K位,則其K-1次多項式可記為K(x);如資訊1011001,則k(x)=x6+x4+x3+1;(2)、冗 餘位為R位,其R-1位記為R(x);如冗餘位為1011,則R(x)=x3+x+1;(3)、傳送資訊為N=K+R,多項式為T(x)=Xr*K(x) +R(x),Xr表示將K (x)向左平移r位;(4)、冗餘位產生過程:已知K(x)求R(x)的過程,一般應選一特定R次多項式G(x)(生成多項式)一般先事先商定好的,用G (x)去除Xr*K(x)得餘式即為R(x)。R(x)=Xr*K(x)/G(x);運算規則異或運算,相同取0,不同取1。
五、 壓縮和解壓縮方法
JPEG屬於黑白文稿資料壓縮系統。二維壓縮技術是指在水平和垂直方向都進行了壓縮,在壓縮演算法中屬於二維壓縮技術的是MR。MMR資料壓縮系統是在MR 的基礎上該進而來的,它主要在壓縮效率和容錯能力方面進行了改進和提高。下列壓縮技術中,MPEG屬於動態影象壓縮技術。
第四章、廣域通訊網
一、
在電氣效能方面EIA-RS232-C與CCITT的V.28建議致,在功能特性方面與CCITT的V.24建議書一致,RS-449則與CCITT的V.35建議書一致,它採用37引腳的插頭座。
二、X.25公用資料網
X.25 是分組交換協議交換標準,公用資料網一般都用分組交換協議,所以X.25就是公用資料網的協議標準。
X.25分為三層:物理層—採用X.21;鏈路層—採用LAP-B(鏈路訪問平衡過程),它是HDLC的子集;分組層—提供外部虛電路服務,使用X.25 PLP協議。
X.25又包括(1)HDLC協議--資料鏈路控制協議:面向字元的協議和麵向位元的協議;HDLC定義了三種類型的站、兩種鏈路配置和三種資料傳輸方式;(2)PLP協議—分組級協議。支援永久虛電路PVC和交換虛電路SVC。
三、幀中繼網F.R
本質上仍是分組交換技術,但捨去了X.25的分組層,僅保留物理層和資料鏈路層,以幀為單位在鏈路層上進行傳送、接收、處理,是簡化了的X.25版本,是 去掉了差錯檢測功能和糾錯功能,只支援永久虛電路PVC,幀中繼協議叫做LAP-D(Q.921),鏈路層用它提供可靠的資料鏈路控制服務。
四、ISDN和ATM
ISDN將話音傳輸、影象傳輸、資料傳輸等多種業務綜合到一個網路中。為分四個參考點R、S、T、U,ISDN裝置有:(1)1類終端裝置TE1—與 ISDN網路相容的裝置,可直接連線NT1或NT2;(2)2類終端裝置TE2—與ISDN網路不相容的裝置,連線ISDN網時需要使用終端介面卡TA; (3)終端介面卡TA,把非ISDN裝置的訊號轉換成符合ISDN標準的訊號;(4)、1類網路終結裝置NT1,使用者端網路裝置,可以支援連線8臺 ISDN終端裝置;(5)、2類網路終結裝置NT2,可接大型使用者的較多終端裝置。
ISDN提供了一種數字化的位元管道,支援由TDM(時分多路複用)分隔的多個通道。常用的有2 種標準化通道:D通道—16kb/s數字通道,用於帶外信令,傳輸控制訊號;B通道—64kb/s數字PCM通道,用於語音或數字。ISDN位元管道主要 支援2種通道的組合:BRI—基本速率介面2B+D(N-ISDN速率達144kbps);PRI—基群速率介面(一次群,B-ISDN),北美23B+ D,1.544M(T1),歐洲30B+D,2.048M(E1)。
N-ISDN在傳送信令的D通路使用分組交換,而B-ISDN則使用快速分組交換,即非同步傳遞方式(ATM)。
ISDN分為三層,第一層處理信令分幀,第二層處理分幀協議,第三層處理D通道的呼叫建立和拆卸協議,NT2提供數字資料與模擬電話交換功能。
ATM是寬頻綜合業務數字網B-ISDN的核心技術,常稱B-ISDN為ATM網,它是一種高速分組交換傳輸模式,交換單位為固定長度的信元53位元組,支援永久虛電路PVC和交換虛電路SVC。
ATM各層的功能
層次 子層 功能 與OSI的對應
高層 對使用者資料的控制 高層
ATM適配層 匯聚子層CS 為高層資料提供統一介面 第四層
拆裝子層SAR 分割和合並用戶資料
ATM層 虛通路和虛通道的管理,信元頭的組裝和拆分,信元的多路複用,流量控制 第三層
物理層 傳輸會聚子層TC 信元校驗和速率控制,資料幀的組裝和分拆 第二層
物理介質子層PMD 位元定時,物理網路接入 第一層
ATM信元包含5個位元組的信元頭—主要完成定址功能;48個位元組的資料—用來裝載不同使用者,不同業務的資訊。信元頭中包括:GFC—通用流量控制,進行接 入流量控制,用在NUI中;PTI—有效載荷,用來區分使用者資訊與非使用者資訊;HEC—首部差錯控制,進行多個或單個位元的糾錯。
在交換過程中,當實施 VP 交換時,其中 VPl、VCI 的變化情況是VCI不變、VPI根據需要變化。若在交換過程中出現擁塞,該資訊被記錄在信元的CLP中。注:VP交換是把一困VC交換,VC交換是用交換機進行的。
AAL協議 AAL1:對應於A類業務。CS子層監測丟棄和誤插入的信元,平滑進來的資料,提供固定速率的輸出,並且進行分段。SAR子層加上信元順序號和及其檢測號 和,以及奇偶校驗位等。 AAL2:對應於B類業務。用於傳輸面向連線的實時資料流,不進行錯誤檢驗,只檢查順序。 AAL3/4:對應於C/D類業務。該協議用於面向連線的和無連線的服務,對信元錯誤和丟失敏感。AAL5:對應於C/D類業務,是計算機行業提出的協 議。
ATM區域網的優點:通道利用率高,對於突發業務延時更小。
ATM LANE—ATM區域網模擬包括四個協議:LEC區域網模擬客戶端、LES區域網模擬伺服器—完成MAC-to-ATM的地址轉換、LECS區域網模擬配置伺服器、BUS廣播和未知伺服器。
五、SMDS交換式多兆位資料服務
是一種高速的WAN技術,通常在T載波線路上實施,採用的高速匯流排頻寬可達155Mbps。SMDS與大量基於LAN的協議相容,在歐洲是一種非常流行的WAN技術。
第五章、區域網和都會網路
一、決定區域網特性的三種主要技術:
傳輸介質、拓撲結構、介質訪問控制方法(協議)
二、
IEEE802.3乙太網採用CSMA/CD協議,使用曼徹斯特編碼;CSMA/CD機制特點:先聽後發、邊聽邊發、衝突停止、隨機延遲後重發;CSMA/CD對乙太網中資料幀的最小幀長的要求:最小幀長=兩站點間最大的距離/傳播速度*傳輸速率
三、IEEE802.4使用令牌匯流排
令牌匯流排物理上為匯流排結構,利用802.3廣播電纜的可靠性;邏輯上為環網:所有的站點組成1個環,每個站點按序分配1個邏輯地址,每個站點都知道在它前面和後面的站地址,最後一個站點後面相鄰的站點是第一個站點。
四、IEEE802.5使用令牌環
令牌環是由高速數字通訊通道和環介面組成,節點主機通過環介面連線到網內。
五、IEEE802.6使用分佈佇列雙匯流排DQDB
DQDB由兩條單向匯流排(一般用光纖介質)組成,所有的計算機都連線在上面。它同時支援電路交換和分組交換兩種服務,在大地理範圍內提供綜合服務,如資料話音、影象的高速傳輸等。
六、FDDI光纖分佈資料介面
FDDI使用了和802.5類似的令牌環協議,是一種高效能的光纖令牌環區域網。它的令牌幀含有前導碼,提供時鐘同步訊號。
七、ATM區域網
通道利用率高,對於突發業務延時更小,但實現複雜,它利用電路交換和分組交換實現。使用53位元組的固定信元進行傳輸。
八、IEEE802.11的兩種無線網路拓撲結構:
(1)、基礎設施網路,無線終端通過接入點(access point AP)訪問骨幹網上的裝置,或者互相訪問,接入點如同一個網橋,負責在802.11和802.3MAC協議之間進行轉換;
(2)、特殊網路(Ad Hoc Networking),是一種點對點連線,以無線網絡卡連線的終端裝置之間可以直接通訊。
無線區域網採用802.11系列標準,主要有4個子標準:
802.11b 標準的傳輸速度為11MB/S
802.11a 標準的連線速度可達54MB/S,與802.11a互不相容。
802.11g 相容802.11b與802.11a兩種標準,這樣原有的802.11b和802.11a兩種標準的裝置都可以在同一網路中使用。
802.11z 是一種專門為了加強無線區域網安全的標準。
第六章、網路互連和網際網路
TCP/IP是一組小的、專業化協議集,包括TCP、IP、UDP、ARP、ICMP,以及其它的一些被稱為子協議的協議。
網路互連裝置包括中繼器、集線器(Hub物理層裝置,相當於多埠的中繼器)、網橋、路由器、閘道器。
網橋工作於資料鏈路層中的介質訪問控制子層(MAC),所以它包含:流控、差錯處理、定址、媒體訪問等。分為(1)透明網橋:網橋自動學習每個埠所接網 段的機器地址(MAC地址),形成一個地址映象表,網橋每次轉發幀時,先查地址映象表,如查到則向相應埠轉發,如查不到,則向除接收埠之外的所有埠 轉發(flood)。為了防止出現迴圈路由,可採用生成樹演算法網橋。(2)、源路由網橋(SRB):在傳送方知道目的機的位置,並將路徑中間所經過的網橋 地址包含在幀頭中發出,路徑中的網橋依照幀頭中的下一站網橋地址一一轉發,直到到達目的地。
Internet的應用技術:域名系統(DNS)、簡單網路管理協議(SNMP)、電子郵件及簡單郵件傳輸系統(SMTP)、遠端登入及TELNET協議、檔案傳輸和FTP、網路新聞(USENET)、網路新聞傳輸協議(NNTP)、WWW和HTTP。
第七章、網路安全
一、威脅定義為對缺陷的潛在利用,這些缺陷可能導致非授權訪問、資訊洩露、資源耗盡、資源被盜或者被破壞等。
二、傳統密碼系統又單鑰密碼系統又對稱密碼系統:加密解密所用的金鑰是相同的或類似的,即由加密密碼很容易推匯出解密密碼,反之亦然。常用的有DES資料加密標準,金鑰為56位;後有改進型的IDEA國際資料加密演算法,金鑰為128位。
公鑰密碼系統又非對稱密碼系統:加密金鑰和解密金鑰是本質上不同的,不需要分發金鑰的額外通道。有RSA密碼系統,它可以實現加密和數字簽名,它的一個比較知名的應用是SSL安全套接字(傳輸層協議)。
三、對照ISO/OSI參考模型各個層中的網路安全服務,在物理層可以採用防竊聽技術加強通訊線路的安全;在資料鏈路層,可以採用通訊保密機進行鏈路加 密;在網路層可以採用防火牆技術來處理資訊內外網路邊界到程序間的加密,最常見的傳輸層安全技術有SSL;為了將低層安全服務進行抽象和屏弊,最有效的一 類做法是可以在傳輸層和應用層之間建立中介軟體層可實現通用的安全服務功能,通過定義統一的安全服務介面嚮應用層提供身份認證、訪問控制和資料加密。
防火牆技術一般可以分為兩類:網路級防火牆(採用報文動態分組)和應用級防火牆(採用代理服務機制),而後者又包括雙穴主機閘道器、遮蔽主機閘道器、遮蔽子網閘道器。
防火牆定義:(1)所有的從外部到內部或從內部到外部的通訊都必須經過它;(2)只有有內部訪問策略的通訊才能被允許通過;(3)系統本身具有很強的高可靠性。
防火牆基本組成:安全作業系統、過濾器、閘道器、域名服務、函件處理。
防火牆設計的主要技術:資料包過濾技術、代理服務技術。
IPSec協議不是一個單獨的協議,它給出了應用於IP層上網路資料安全的一整套體系結構,包括網路認證協議AH、封裝安全載荷協議ESP、金鑰管理協議 IKE和用於網路認證及加密的一些演算法等。IPSec規定了如何在對等層之間選擇安全協議、確定安全演算法和金鑰交換,向上提供了訪問控制、資料來源認證、數 據加密等網路安全服務。
網路安全與資訊保安
主要內容:1、密碼學、鑑別
2、訪問控制、計算機病毒
3、網路安全技術
4、安全服務與安全機制
5、資訊系統安全體系結構框架
6、資訊系統安全評估準則
一、密碼學
1、密碼學是以研究資料保密為目的,對儲存或者傳輸的資訊採取祕密的交換以防止第三者對資訊的竊取的技術。
2、對稱金鑰密碼系統(私鑰密碼系統):在傳統密碼體制中加密和解密採用的是同一金鑰。常見的演算法有:DES、IDEA
3、加密模式分類:
(1)序列密碼:通過有限狀態機產生效能優良的偽隨機序列,使用該序列加密資訊流逐位加密得到密文。
(2)分組密碼:在相信複雜函式可以通過簡單函式迭代若干圈得到的原則,利用簡單圈函式及對合等運算,充分利用非線性運算。
4、非對稱金鑰密碼系統(公鑰密碼系統):現代密碼體制中加密和解密採用不同的金鑰。
實現的過程:每個通訊雙方有兩個金鑰,K和K',在進行保密通訊時通常將加密金鑰K公開(稱為公鑰),而保留解密金鑰K'(稱為私鑰),常見的演算法有:RSA
二、鑑別
鑑別是指可靠地驗證某個通訊參與方的身份是否與他所聲稱的身份一致的過程,一般通過某種複雜的身份認證協議來實現。
1、口令技術
身份認證標記:PIN保護記憶卡和挑戰響應卡
分類:共享金鑰認證、公鑰認證和零知識認證
(1)共享金鑰認證的思想是從通過口令認證使用者發展來了。
(2)公開金鑰演算法的出現為
2、會話金鑰:是指在一次會話過程中使用的金鑰,一般都是由機器隨機生成的,會話金鑰在實際使用時往往是在一定時間內都有效,並不真正限制在一次會話過程中。
簽名:利用私鑰對明文資訊進行的變換稱為簽名
封裝:利用公鑰對明文資訊進行的變換稱為封裝
3、Kerberos鑑別:是一種使用對稱金鑰加密演算法來實現通過可信第三方金鑰分發中心的身份認證系統。客戶方需要向伺服器方遞交自己的憑據來證明自 己的身份,該憑據是由KDC專門為客戶和伺服器方在某一階段內通訊而生成的。憑據中包括客戶和伺服器方的身份資訊和在下一階段雙方使用的臨時加密金鑰,還 有證明客戶方擁有會話金鑰的身份認證者資訊。身份認證資訊的作用是防止攻擊者在將來將同樣的憑據再次使用。時間標記是檢測重放攻擊。
4、數字簽名:
加密過程為C=EB(DA(m)) 使用者A先用自己的保密演算法(解密演算法DA)對資料進行加密DA(m),再用B的公開演算法(加密演算法EB)進行一次加密EB(DA(m))。
解密的過程為m= EA (DB (C)) 使用者B先用自己的保密演算法(解密算DB)對密文C進行解密DB (C),再用A的公開演算法(加密演算法EA)進行一次解密EA (DB (C))。只有A才能產生密文C,B是無法依靠或修改的,所以A是不得抵賴的DA(m)被稱為簽名。
三、訪問控制
訪問控制是指確定可給予哪些主體訪問的權力、確定以及實施訪問許可權的過程。被訪問的資料統稱為客體。
1、訪問矩陣是表示安全政策的最常用的訪問控制安全模型。訪問者對訪問物件的許可權就存放在矩陣中對應的交叉點上。
2、訪問控制表(ACL)每個訪問者儲存有訪問權力表,該表包括了他能夠訪問的特定物件和操作許可權。引用監視器根據驗證訪問表提供的權力表和訪問者的身份來決定是否授予訪問者相應的操作許可權。
3、粗粒度訪問控制:能夠控制到主機物件的訪問控制
細粒度訪問控制:能夠控制到檔案甚至記錄的訪問控制
4、防火牆作用:防止不希望、未經授權的通訊進出被保護的內部網路,通過邊界控制強化內部網路的安全政策。
防火牆的分類:IP過濾、線過濾和應用層代理
路由器過濾方式防火牆、雙穴信關方式防火牆、主機過濾式防火牆、子網過濾方式防火牆
5、過濾路由器的優點:結構簡單,使用硬體來降低成本;對上層協議和應用透明,無需要修改已經有的應用。缺點:在認證和控制方面粒度太粗,無法做到使用者 級別的身份認證,只有針對主機IP地址,存在著假冒IP攻擊的隱患;訪問控制也只有控制到IP地址埠一級,不能細化到檔案等具體物件;從系統管理角度來 看人工負擔很重。
6、代理伺服器的優點:是其使用者級身份認證、日誌記錄和帳號管理。缺點:要想提供全面的安全保證,就要對每一項服務都建立對應的應用層閘道器,這就極大限制了新應用的採納。
7、VPN:虛擬專用網,是將物理分佈在不同地點的網路通過公共骨幹網,尤其是internet聯接而成的邏輯上的虛擬子網。
8、VPN的模式:直接模式VPN使用IP和編址來建立對VPN上傳輸資料的直接控制。對資料加密,採用基於使用者身份的鑑別,而不是基於IP地址。隧道模式VPN是使用IP幀作為隧道的傳送分組。
9、IPSEC是由IETF制訂的用於VPN的協議。由三個部分組成:封裝安全負載ESP主要用來處理對IP資料包的加密並對鑑別提供某種程式的支援。,鑑別報頭(AP)只涉及到鑑別不涉及到加密,internet金鑰交換IKE主要是對金鑰交換進行管理。
四、計算機病毒
1、計算機病毒分類:作業系統型、外殼型、入侵型、原始碼型
2、計算機病毒破壞過程:最初病毒程式寄生在介質上的某個程式中,處於靜止狀態,一旦程式被引導或呼叫,它就被啟用,變成有傳染能力的動態病毒,當傳染 條件滿足時,病毒就侵入記憶體,隨著作業程序的發展,它逐步向其他作業模組擴散,並傳染給其他軟體。在破壞條件滿足時,它就由表現模組或破壞模組把病毒以特 定的方針表現出來。
五、網路安全技術
1、鏈路層負責建立點到點的通訊,網路層負責尋徑、傳輸層負責建立端到端的通訊通道。
2、物理層可以在通訊線路上採用某些技術使得搭線偷聽變得不可能或者容易被檢測出。資料鏈路層,可以採用通訊保密機進行加密和解密。
3、IP層安全性
在IP加密傳輸通道技術方面,IETF已經指定了一個IP安全性工作小組IPSEC來制訂IP安全協議IPSP和對應的internet金鑰管理協議IKMP的標準。
(1)IPSEC採用了兩種機制:認證頭部AH,提前誰和資料完整性;安全內容封裝ESP,實現通訊保密。1995年8月internet工程領導小組 IESG批准了有關IPSP的RFC作為internet標準系列的推薦標準。同時還規定了用安全雜湊演算法SHA來代替MD5和用三元DES代替DES。
4、傳輸層安全性
(1)傳輸層閘道器在兩個通訊節點之間代為傳遞TCP連線並進行控制,這個層次一般稱作傳輸層安全。最常見的傳輸層安全技術有SSL、SOCKS和安全RPC等。
(2)在internet程式設計中,通常使用廣義的程序信IPC機制來同不同層次的安全協議打交道。比較流行的兩個IPC程式設計介面是BSD Sockets和傳輸層介面TLI。
(3)安全套接層協議SSL
在可靠的傳輸服務TCP/IP基礎上建立,SSL版本3,SSLv3於1995年12月制定。SSL採用公鑰方式進行身份認證,但是大量資料傳輸仍然使用對稱金鑰方式。通過雙方協商SSL可以支援多種身份認證、加密和檢驗演算法。
SSL協商協議:用來交換版本號、加密演算法、身份認證並交換金鑰SSLv3提供對Deffie-Hellman金鑰交換演算法、基於RSA的金鑰交換機制和另一種實現在Frotezza chip上的金鑰交換機制的支援。
SSL記錄層協議:它涉及應用程式提供的資訊的分段、壓縮資料認證和加密SSLv3提供對資料認證用的MD5和SHA以及資料加密用的R4主DES等支援,用來對資料進行認證和加密的金鑰可以有通過SSL的握手協議來協商。
SSL協商層的工作過程:當客戶方與服務方進行通訊之前,客戶方發出問候;服務方收到問候後,發回一個問候。問候交換完畢後,就確定了雙方採用的SSL協議的版本號、會話標誌、加密演算法集和壓縮演算法。
SSL記錄層的工作過程:接收上層的資料,將它們分段;然後用協商層約定的壓縮方法進行壓縮,壓縮後的記錄用約定的流加密或塊加密方式進行加密,再由傳輸層傳送出去。
5、應用層安全性
6、WWW應用安全技術
(1)解決WWW應用安全的方案需要結合通用的internet安全技術和專門針對WWW的技術。前者主要是指防火牆技術,後者包括根據WWW技術的特點改進HTTP協議或者利用代理伺服器、插入件、中介軟體等技術來實現的安全技術。
(2)HTTP目前三個版本:HTTP0.9、HTTP1.0、HTTP1.1。HTTP0.9是最早的版本,它只定義了最基本的簡單請求和簡單回答; HTTP1.0較完善,也是目前使用廣泛的一個版本;HTTP1.1增加了大量的報頭域,並對HTTP1.0中沒有嚴格定義的部分作了進一步的說明。
(3)HTTP1.1提供了一個基於口令基本認證方法,目前所有的WEB伺服器都可以通過"基本身份認證"支援訪問控制。在身份認證上,針對基本認證方法以明文傳輸口令這一最大弱點,補充了摘要認證方法,不再傳遞口令明文,而是將口令經過雜湊函式變換後傳遞它的摘要。
(4)針對HTTP協議的改進還有安全HTTP協議SHTTP。最新版本的SHTTP1.3它建立在HTTP1.1基礎上,提供了資料加密、身份認證、資料完整、防止否認等能力。
(5)DEC-Web
WAND伺服器是支援DCE的專用Web伺服器,它可以和三種客戶進行通訊:第一是設定本地安全代理SLP的普通瀏覽器。第二種是支援SSL瀏覽器, 這種瀏覽器向一個安全閘道器以SSL協議傳送請求,SDG再將請求轉換成安全RPC呼叫發給WAND,收到結果後,將其轉換成SSL回答,發回到瀏覽器。第 三種是完全沒有任何安全機制的普通瀏覽器,WANS也接受它直接的HTTP請求,但此時通訊得不到任何保護。
六、安全服務與安全與機制
1、ISO7498-2從體系結構的觀點描述了5種可選的安全服務、8項特定的安全機制以及5種普遍性的安全機制。
2、5種可選的安全服務:鑑別、訪問控制、資料保密、資料完整性和防止否認。
3、8種安全機制:加密機制、資料完整性機制、訪問控制機制、資料完整性機制、認證機制、通訊業務填充機制、路由控制機制、公證機制,它們可以在OSI參考模型的適當層次上實施。
4、5種普遍性的安全機制:可信功能、安全標號、事件檢測、安全審計跟蹤、安全恢復。
5、資訊系統安全評估準則
(1)可信計算機系統評估準則TCSEC:是由美國國家電腦保安中心於1983年制訂的,又稱桔皮書。
(2)資訊科技安全評估準則ITSEC:由歐洲四國於1989年聯合提出的,俗稱白皮書。
(3)通用安全評估準則CC:由美國國家標準技術研究所NIST和國家安全域性NSA、歐洲四國以及加拿大等6國7方聯合提出的。
(4)計算機資訊系統安全保護等級劃分準則:我國國家質量技術監督局於1999年釋出的國家標準。
6、可信計算機系統評估準則
TCSEC共分為4類7級:D,C1,C2,B1,B2,B3,A1
D級,安全保護欠缺級,並不是沒有安全保護功能,只是太弱。
C1級,自主安全保護級,
C2級,受控存取保護級,
B1級,結構化保護級
B3級,安全域級
A1,驗證設計級。
七、評估增長的安全操作代價
為了確定網路的安全策略及解決方案:首先,應該評估風險,即確定侵入破壞的機會和危害的潛在代價;其次,應該評估增長的安全操作代價。
安全操作代價主要有以下幾點:
(1)使用者的方便程度
(2)管理的複雜性
(3)對現有系統的影響
(4)對不同平臺的支援
第11章 Internet
主要內容:1、internet體系結構
2、internet連線的方法
3、internet地址
4、internet域名系統
5、internet地址是的擴充套件
一、Internet體系結構
1、自治系統:原始的Internet核心體系是在Internet權有一個主幹網的那個時期開發的。但是這種體系結構存在以下一些問題:
這種體系不能適應網際網路擴充套件到任意數量的網點;
許多網點由多個區域網組成,且用多個多路由器互連,由於一個核心路由器在每個網點上與一個網路相連,核心路由器就只知道那個網點中的一個網路的情況;
一個大型的網際網路是獨立的組織管理的網路的互連集合,路由選擇體系結構必須為每個組織提供獨立的控制路由選擇和訪問網路的方法,因此必須用一個單一的協議機制來構造一個由許多網點構成的網際網路,同時,各個網點又是一個自治系統。
二、Internet連線的方法
1、將計算機連線到一個區域網,這個區域網的伺服器是Internet的一個主機。
條件:必須連線到一個與Internet連線的網路,需要網路適配卡和ODI或NDIS驅動程式,還需要在本地計算機上執行TCP/IP,如果是Windows系統還需要Winsock支援。
2、利用序列介面協議(SLIP)或點到點協議(PPP),通過電話撥號方式進入一個Internet的主機
條件:需要一個調變解調器Modem、TCP/IP軟體和SLIP或PPP軟體,如果是Windows系統還需要Winsock支援。
3、通過電話撥號進入一個提供Internet服務的聯機服務系統。
條件:需要一個調變解調器Modem、標準的通訊軟體和一個聯機服務帳號。
4、使用者選擇連線方法的考慮因素:聯網的目標和需求;使用者內部配置的網路基礎設施;使用者支付Internet聯網費用的能力;對Internet安全服務的需求。
三、Internet地址
在TCP/IP協議中,規定分配給每臺主機一個32位數作為該主機IP地址。每個IP地址由兩個部分組成,即網路標識netid和主機標識hostid。
IP地址的層次結構具有兩個重要特性:第一,每臺主機分配了一個惟一的地址;第二,網路標識號的分配必須全球統一,但主機標識號可由本地分配,不需要全球一致。
1、A類:1.0.0.1至126.255.255.254可能的網路數有126個,主機部分有1677216臺(224-2)
2、B類:128.0.0.1至191.255.255.254可能的網路數有16384個,主機有65536臺
3、C類:192.0.0.1至223.255.255.254可能的網路數有2097152個,主機有256臺
4、D類:用於廣播傳送至多個目的地址用224-239
5、E類:用於保留地址240-255
RFC1918將10.0.0.至10.255.255.255、127.16.0.0至172.31.255.255、192.168.0.0至192.168.255.255的地址作為預留地址,用作內部地址,不能直接連線到公共因特網上。
四、Internet地址對映
將一臺計算機的IP地址對映到實體地址的過程稱地址解析。
常用的地址解析演算法有以下三種:
1、查表法:將地址對映關係放在記憶體中的一些表裡,當解析地址時,通過查表得到解析的結果。用於廣域網。
2、相近形式計演算法:通過簡單的布林和算術運算得出對映地址。用於可配置網路。
3、訊息交換法:計算機通過網路交換資訊得到對映地址。用於靜態編址。
TCP/IP協議組包含一個地址解析協議(ARP)。ARP協議定義了兩類基本訊息,一類訊息是請求訊息,另一類是應答訊息。
五、Internet地址空間的擴充套件
1、IPV6仍然支援無連線傳送;允許傳送方選擇資料報大小;要求傳送方指明資料報在到達目的站前的最大跳數。更大的地址空間;靈活的報頭格式;增強的選項;支援資源分配;支援協議擴充套件。
2、IPV6的資料報格式:IPV6資料有一個固定的基本報頭40位元組其後可以允許多個擴充套件報頭,也可以沒有擴充套件報頭,擴充套件報頭後是資料。
IPV4的資料報格式:包括資料報報頭和資料區的部分。報頭:版本號、IHL、服務級別、資料單元長度、標識、標記、分段偏移、生命期、使用者協議、報頭檢查和、源地址、目的地址、任選項+填充、資料。
3、該基本報頭包含版本號、資料流標記、PAYLOAD長度、下一個報頭、跳數極限、源地址、目的地址。
4、IPV4與IPV6比較:取消了報頭長度欄位,資料報長度欄位被PAYLOAD長度欄位代替;源地址和目的地址欄位大小增加為每個欄位佔16個八位 組,128位;分段資訊從基本報頭的固定欄位移動擴充套件報頭;生存時間欄位改為跳數極限欄位;服務型別欄位改為資料流標號欄位;協議欄位改為指明下一個報頭 型別欄位。
5、IPV6有三個基本地址型別,單播地址(unicast)即目的地址指明一臺計算機或路由器,資料報選擇一條最短的路徑到達目的站;群集地址 (cluster)即目的站是共享一個網路地址的計算機的集合,資料報選擇一條最短路徑到達該組,然後傳遞給該組最近的一個成員;組播地址 (multicast)即目的站是一組計算機,它們可以在不同地方,資料報通過硬體組播或廣播傳遞給該組的每一成員。
6、對任何地址若開始80位是全零,接著16位是全1或全零,則它的低32位就是一個IPV4地址。
第12章 企業網與Intranet
主要內容:1、企業網路計算的組成和管理
2、企業網路開放系統整合技術
3、intranet定義和要素
4、intranet應用和建立
一、企業網路計算的背景和挑戰
企業網是連線企業內部各部門並和企業外界相連,為企業的通訊、辦公自動化、經營管理、生產銷售以及自動控制服務的重要資訊基礎設施。Intranet 是基於TCP/IP協議,使用環球網WWW工具,採用防止外界侵入的安全措施,為企業內部服務,並有連線Intranet功能的企業內部網路。
1、驅動企業網路計算的因素:使用者需求,這是基本動力;先進和實用的資訊科技;迅速變化中的巿場。
2、可採用兩種模型:一種是可伸縮的模型,即企業網路計算的同樣的軟體可執行在企業內部的不同平臺上;另一種是整合的模型,即企業內部不同平臺上的軟體的整合。
二、企業網路計算的組成和特性
1、企業網路計算的組成:客戶機/伺服器計算;分散式資料庫;資料倉庫;網路和通訊;網路和系統的管理;各種網路應用。
2、企業網路計算的特性:支援客戶機/伺服器計算械;支援管理海量資料的能力和設施;分佈資料管理的設施;國際化和本地化;功能強的通訊設施;系統的靈活性;分佈資源管理;開發工具和開發手段的提供。
三、開放系統
開放系統:是對一個不斷髮展的、廠家中立的、用於對整個系統進行有效配置、操作和替換的介面、服務、協議和格式的規範描述的實現,它的應用和組成部件可以用不同廠家的其他相同實現替代。
1、開放系統的兩個特點:開放系統所採用的規範是廠家中立的,或者是與廠家無關的;開放系統允許不同廠家的產品替換,這種替換包括整個系統其組成部件。
2、專用系統:它所採用的規範是專用,而不是廠家中立的;專用系統不允許由不同廠家的產品替換;它的組成部件允許具有許可證的廠家產品替換。
3、驅動開放系統發展的因素:功能、可用性、複雜性、價格。
四、企業網路開放系統整合技術
1、FRAMWORK是應用程式的開發和執行環境,它實際上是蹭件和作業系統的組合。比較有名的產品有CICS、Windows、UNIX。
2、COSE專門制定了自己的開放系統環境規範,主要技術包括用於視窗管理的Motif、標準API介面和用於資料庫管理的SQL。
3、資訊系統與網路計算主要實現網路範圍資料管理、通訊和網路管理,主要技術有:在資料管理方面有用於資料庫間通訊的RDA,即遠端資料訪問;通訊服務 DCE分散式計算環境,RPC遠端過程呼叫,OSI開放系統互連;管理服務,DME分佈管理環境,SNMP簡單網路管理協議。
五、開放系統環境應用可移植框架
六、Intranet的定義和要素
1、Intranet是基於Internet TCP/IP協議,使用的環球網WWW工具、採用防止外界侵入的安全措施、為企業內部服務,並有連線Internet的功能的企業內部網路。
2、Intranet的組成:網路、電子郵件、內部環球網、郵件地址清單、新聞組Newsgroups、閒談Chat、FTP、Telnet、Gopher
第13章 TCP/IP聯網
主要內容:1、TCP/IP實現的基本原理
2、Windows NT平臺的聯網
3、UNIX平臺的聯網及LINUX網路的聯網
一、TCP/IP實現基本原理
1、TCP/IP的實現方式:
TSR常駐記憶體程式是一種安裝在Windows之前在DOS上執行的程式。缺點,不能動態分配記憶體,TSR需要動態連結庫DLL幫助,才能讓Windows程式訪問網路。目前只有在DOS環境下才使用TSR方式
DLL動態連結庫是一個16位的Windows程式函式庫,只有當用到其中的過程時才會被呼叫。缺點,它們不能直接與網絡卡通訊,它們依賴於Windows的排程程式。
VxD虛擬裝置是在Windows 32位保護方式下實現的,用於實現一些關鍵的部分,如視訊、滑鼠及通訊埠驅動程式。它是通過硬體中斷方式響應網路中的通訊,可以徹底地訪問Windwos和DOS程式。
2、網路配置基本引數:PC中網路適配卡基本引數,I/O埠地址、記憶體地址及中斷號IRQ。與Microsoft相關的網路資訊,主機標識、工作組 名、WINS伺服器地址、DHCP伺服器地址;與TCP/IP網路資訊有關,IP地址、子網掩碼、主機名、域名、域名伺服器、預設閘道器IP地址。
二、Windows NT平臺的TCP/IP聯網
三、UNIX平臺的TCP/IP聯網
1、建立UNIX聯網的幾個步驟:設計物理和邏輯的網路結構;分配IP地址;安裝網路硬體;為每個主機配置啟動時候的網路介面;設立服務程式或者靜態路由。
2、IP地址的獲取和分配:可能通過/etc/hosts檔案、DNS或者其他域名系統來實現。
3、網絡卡的配置:ifconfig命令可以設定網絡卡IP地址、子網掩碼、廣播地址、網絡卡的使能狀態及其他選項引數。Ifconfig interface [family] address up option ,其中interface是指定的網絡卡名,可以用netstat-i來檢查當前系統網絡卡的晶片型別。Loopback網絡卡通常叫lo0它是一個假想的硬 件,用來作本機內部網路包的路由,
4、路由配置:route配置靜態路由,route [-f] op [type] destination gateway hop-count ,op引數如果是add就是增加一個路由表項,如果delete就是刪除一個路由表項。
5、routed標準路由daemon,只支援RIP,它使用hop作為距離計數單位。Routed有兩種執行方式:伺服器模式和安靜模式。兩種模式都 要監聽廣播包,但只有伺服器模式才能釋出自己的路由資訊,通常只有多網絡卡的機器才設定成伺服器模式,如果未說明就是安靜模式。
6、gated一個更好的路由daemon,gated配置檔案在/etc/gated.conf的語法中加入BGP後有了很大改動,gated能細粒度地控制廣播路由、廣播地址、信任策略、距離向量等。
四、Linux網路的安裝與配置
1、手工進行網路硬體配置:
系統啟動時會自動檢測網絡卡,有兩個缺點:一個是不通正確的檢查所有的網絡卡,特別是一些比較廉價的網絡卡,二是核心程式不會自動檢測一個以上的網絡卡,這點是為了使使用者可以控制將山上設定到指定的埠上。如果使用兩個以上的網絡卡,自動檢測網絡卡就會失敗。
手動進行配置,一種方法是在核心程式的原始碼的/drivers/net/space.c檔案中修改或新增資訊,然後重新編譯核心。另一種方法在系統啟動過程中將這些資訊提供給核心程式。在LILO系統時可以通過lilo.conf檔案中的append引數來傳遞給核心。
2、手工TCP/IP網路配置
設定主機名:hostname name,為介面進行IP配置:ifconfig interface ip-address
route add -net 202.112.58.0 -net的含義,因為route既可以處理到網路的路由,又可以處理到單個主機的路由。通過net來告訴它此地址是代表的一個網路,用host來告訴它此 地址是代表一個主機。如果為了方便,還可以在/etc/networks中定義網路名字,route後面直接使用網路名字就可以了。
route add default gw 2-2.112.58.254 網路名字default是0.0.0.0的簡寫,指示預設的路徑,並不需要將這個名字加入到/etc/networks檔案。
3、編輯hosts與networks檔案
如果不打算使用DNS或者NIS進行地址解析時,就必須將所有的主機名字都放入hosts檔案中。伴隨hosts檔案的還有一個/etc/networks檔案,它在網路的名字和網路號之間建立對映。
4、編譯核心
命令如下:cd/usr/src/linux make config
新的Linux核心版本中,對核心的配置除了上述make config命令外,還增加了字元狀態下以選單形式對核心進行配置的命令make colormenu以及在X視窗系統中執行的圖形配置介面命令make xconfig
五、高階TCP/IP應用配置
1、網路配置檔案:在Linux中是通過/etc/rc.d/rc.inet1和/etc/rc.d/rc.inet2兩個檔案實現的, /etc/rc.d/rc.inet1主要是通過ifconfig和route命令進行基本的TCP/IP介面配置,主要由兩部分組成,第一部分是對回送 介面的配置,第二部分是對乙太網介面的配置。/etc/rc.d/rc.inet2主要是用來啟動一些網路監控的程序,inetd portmapper 等。
2、名字服務和解析器配置
執行named:大多數UNIX機器上提供域名服務的程式叫named它是一個伺服器程式,用來向客戶或其他名字伺服器提供域名服務。它從配置檔案 /etc/named.boot中獲取資訊,以及各種包含域名到地址對映的資料檔案,後者稱為"區檔案"zone file。Named包含的主文named.hosts。
第14章Internet與Intranet資訊服務
主要內容:1、環球資訊網的服務和管理
2、動態Web檔案與CGI技術
3、活動Web檔案與Java技術
4、FTP服務配置和管理及廣域資訊服務WAIS
WWW伺服器把資訊組織成分散式的超文字,這些資訊節點是文字、子目錄或資訊指標。WWW瀏覽器程式為使用者提供基於超文字傳輸協議HTTP的使用者界 面。WWW伺服器資料檔案由超文字標記語言HTML描述。HTML利用通用資源訪問地址URL表示超媒體連結,並在文字內指向其他網路資源
一、環球資訊網
1、環球資訊網的定義:環球資訊網(WWW)是基於客戶機/伺服器方式的資訊發現技術和超文字技術的結合。
2、超文字文件包含著一些借用標題、章節本身等構造文字的命令,從而允許瀏覽程式格式化為一種文字型別,以獲得最佳的螢幕顯示效果。
3、Web任務:是使用一個起始URL來獲取一個Web伺服器上的Web文件,解釋這個HTML,並將文件內容以使用者環境所許可的效果最大限度地顯示出來。
4、瀏覽器分類:線模式和圖形介面。
lynx是線模式瀏覽器,使用箭頭鍵來瀏覽內在HTML連線,支援書籤和表格功能。特點是:在互動狀態,可以將文章釋出到新聞組;在非互動狀態,可以將HTML過濾為純文字。
midasWWW是基於X-windows系統瀏覽程式,支援更多的嵌入圖形。
Mosaic是可以支援嵌入的gif和xbm圖形,其他的視訊影像。
Netscape頁面採取邊傳送文件邊顯示的方式,增強了互動效果。
Micosoft Explorer
5、Web伺服器:在目前主要3種基於UNIX的web伺服器公用軟體。
NCSA Web是C語言編寫的,程式小,速度快,可以單獨作為服務程序執行,也可以設定在inetd中執行。
CERN httpd是早期C語言編寫的Web伺服器,主要特點為提供proxy代理和快取功能。
Plexus httpd是perl語言編寫的,可擴充套件性好,易於使用和更新,但行動時開銷較大。
二、環球資訊網服務的建立
1、編譯Web服務程式:獲取源程式包;編輯修改相應的Makefile;設定選擇項,修改src/config.h標頭檔案;在每個目錄中執行make 編譯命令。必要時修改src/makefile,cgi-src/makefile,support/makefile三個配置檔案,編譯三項內容: httpd服務程式,support支援程式,cgi-bin介面程式。
2、配置Web系統服務:包括在三個配置檔案,Web系統配置檔案httpd.conf;Web資源文件配置檔案srm.conf;Web服務訪問控制配置檔案access.conf,還包括如何擴充文件MIME型別。
3、http配置檔案使用的一些約定:不分大小寫;以#開始的為註釋行;一個指令定義一行;忽略多餘的安全可靠,只認為是一個空格。
4、系統配置檔案httpd.conf
配置時首先需要選擇httpd的執行方式(單獨執行或是在inetd下執行),是否進行服務訪問控制。然後以httpd.conf.dist為模板,修改各個變數。
5、文件配置檔案srm.conf
指定了Web服務的文件和介面程式等所在的路徑。
6、服務訪問控制配置檔案access.conf
定義了Web使用者的訪問許可權。預設的定義是使用者可以瀏覽Web伺服器所能提供的所有文件。
7、訪問控制策略:目前有兩種方式來控制對文件目錄的訪問。全程訪問控制配置檔案,單個目錄訪問控制檔案。
8、擴充套件文件MIME型別:mime.types檔案中定義了httpd不能直接處理的檔案型別。可以通過srm.conf設定變數AddEncoding/Addtype/Default Type來定義新的型別。
三、WWW服務管理
1、擴充WWW服務功能
CGI介面程式能夠通過WWW服務執行外部程式。外部程式接收使用者的輸入:傳送給WAIS,SQL等伺服器;將查詢結果以HTML文件或URL的形式返回給WWW服務;CGI介面可用多種程式語言編寫,也可以自己編寫
2、WWW服務與CGI的互動技術
WWW服務與CGI互動過程分為兩部分:介面程式接收使用者輸入;從介面程式輸出資訊到WWW服務。
介面程式通過三個方式接收使用者輸入:環境變數,WWW服務在將瀏覽器的請求傳送給介面程式時,為介面程式設定的環境變數。標準輸入,在查詢引數較多, 尤其在接收使用者FORM表格輸入方式設定為POS。命令引數,HTML的﹤ISINDEX﹥標號來輸入查詢關鍵字,瀏覽器遇到標號時顯示。
CGI介面程式輸出:CGI介面程式的執行結果以標準輸出的形式傳遞給WWW服務。輸出中包含一行描述資料型別的頭資訊、一個分隔行,接著是實際文件資料。
三、FTP服務的配置和管理
1、FTP傳送服務主要用於存放大量的網路公用軟體、常用工具和技術文件,以及一些著名的FTP映象。傳遞的資料型別:ASCII,Postscript、SGML、可執行程式碼、影象、聲音、視訊動畫。
2、FTP服務通過FTP伺服器與FTP客戶程式之間的資訊交換。資料上載將資料從FTP客戶程式傳輸到FTP伺服器。資料下載FTP客戶程式從FTP服務獲取資料。
3、FTP伺服器可提供兩種訪問形式
內部使用者FTP:在主機上有帳號的使用者,使用者在輸入正確的帳號和口令字後,可以訪問整個檔案系統中有讀許可權的文件,並可以任意資料到有寫許可權的目錄。
匿名FTP:匿名FTP是internet的公共資訊服務,訪問範圍限於匿名FTP區域(FTP伺服器定義的子檔案系統)。使用者只需要以Anonymous/ftp登入,輸入自己的電子郵件作為口令字即可訪問並下載所提供的資訊資源。
4、FTP包含兩個部分:伺服器,響應客戶請求,傳送文件;檔案系統,伺服器文件掃描呼叫的區域。FTP伺服器命名通常是ftpd或in.ftpd。
5、FTP的執行方式:通常ftpd是在系統超級服務inetd程序下執行。使用TCP的21號埠。基本傳輸模式:流方式、塊方式、壓縮方式三種
6、FTP配置,在Inetd的配置檔案中(/etc/inetd.conf)中新增相應的一行設定為ftp stream tcp nowait root /etc/ftpd 。每次更新配置後,和kill -HUP INETD程序號,重新啟動INETD。
7、在Inetd下配置好FTP後,需要在主機/etc/passwd中設定使用者FTP,因為ftpd在允許使用者匿名訪問ftp之前,首先檢查ftp使用者是否存在,如果不存在,ftpd拒絕匿名使用者訪問。
四、建立FTP伺服器
1、FTP系統服務及其目錄配置
.company/:存放公司本身的資訊
.pub/:公用軟體目錄
.in-coming/:匿名FTP使用者上載檔案目錄