1.5 计算机网络基础
1.5.1 计算机网络概述
1.计算机网络的定义
计算机网络是计算机技术和通信技术发展的产物,是随着社会对信息共享、信息传递的要求而发展起来的。所谓计算机网络就是利用通信设备和线路将地理位置不同的、功能独立的多个计算机系统互相连接起来,以功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)实现网络中的资源共享和信息传递的系统。
2.计算机网络的组成
总体来说计算机网络的组成基本上包括计算机、网络操作系统、传输介质(可以是有形的,也可以是无形的,如无线网络的传输介质就是空气)以及相应的应用软件四部分。
3.计算机网络的分类
要学习网络,首先就要了解目前的主要网络类型,分清哪些是我们初级学者必须掌握的,哪些是目前的主流网络类型。
虽然网络类型的划分标准各式各样,但是从地理范围划分是一种大家都认可的通用网络划分标准。按这种标准可以把各种网络类型划分为局域网、城域网、广域网和因特网四种。局域网一般来说只能是一个较小区域内,城域网是不同地区的网络互联,不过在此要说明的一点就是这里的网络划分并没有严格意义上地理范围的区分,只能是一个定性的概念。下面简要介绍这几种计算机网络。
(1)局域网(Local Area Network,LAN)
通常我们常见的“LAN”就是指局域网,这是我们最常见、应用最广的一种网络。现在局域网随着整个计算机网络技术的发展和提高得到充分的应用和普及,几乎每个单位都有自己的局域网,有的甚至家庭中都有自己的小型局域网。很明显,所谓局域网,那就是在局部地区范围内的网络,它所覆盖的地区范围较小。局域网在计算机数量配置上没有太多的限制,少的可以只有两台,多的可达几百台。一般来说在企业局域网中,工作站的数量在几十到两百台左右。在网络所涉及的地理距离上一般来说可以是几米至10千米以内。局域网一般位于一个建筑物或一个单位内,不存在寻径问题,不包括网络层的应用。
这种网络的特点就是:连接范围窄、用户数少、配置容易、连接速率高。目前局域网最快的速率要算现今的10Gbps以太网了。IEEE的802标准委员会定义了多种主要的LAN网:以太网(Ethernet)、令牌环网(Token Ring)、光纤分布式接口网络(FDDI)、异步传输模式网(ATM)以及最新的无线局域网(WLAN)。这些都将在后面详细介绍。
(2)城域网(Metropolitan Area Network,MAN)
这种网络一般来说是在一个城市,但不在同一地理小区范围内的计算机互联。这种网络的连接距离可以在10~100千米,它采用的是IEEE802.6标准。MAN与LAN相比扩展的距离更长,连接的计算机数量更多,在地理范围上可以说是LAN网络的延伸。在一个大型城市或都市地区,一个MAN网络通常连接着多个LAN网。如连接政府机构的LAN、医院的LAN、电信的LAN、公司企业的LAN等。由于光纤连接的引入,使MAN中高速的LAN互联成为可能。
城域网多采用ATM技术做骨干网。ATM是一个用于数据、语音、视频以及多媒体应用程序的高速网络传输方法。ATM包括一个接口和一个协议,该协议能够在一个常规的传输信道上,在比特率不变及变化的通信量之间进行切换。ATM也包括硬件、软件以及与ATM协议标准一致的介质。ATM提供一个可伸缩的主干基础设施,以便能够适应不同规模、速度以及寻址技术的网络。ATM的最大缺点就是成本太高,所以一般在政府城域网中应用,如邮政、银行、医院等。
(3)广域网(Wide Area Network,WAN)
这种网络又称为远程网,所覆盖的范围比城域网(MAN)更广,它一般是在不同城市之间的LAN或者MAN网络互联,地理范围可从几百千米到几千千米。因为距离较远,信息衰减比较严重,所以这种网络一般是要租用专线,通过IMP(接口信息处理)协议和线路连接起来,构成网状结构,解决循径问题。这种城域网因为所连接的用户多,总出口带宽有限,所以用户的终端连接速率一般较低,通常为9.6kbps~45Mbps如邮电部的CHINANET,CHINAPAC,和CHINADDN网。
(4)因特网(Internet)
在因特网应用如此发展的今天,它已是我们每天都要打交道的一种网络,无论从地理范围,还是从网络规模来讲它都是最大的一种网络,就是我们常说的“Web”、“WWW”和“万维网”等多种叫法。从地理范围来说,它可以是全球计算机的互联,这种网络的最大特点就是不定性,整个网络的计算机每时每刻随着人们网络的接入在不断的变化。当您连在因特网上的时候,您的计算机可以算是因特网的一部分,但一旦当您断开因特网的连接时,您的计算机就不属于因特网了。但它的优点也是非常明显的,就是信息量大,传播广,无论你身处何地,只要联上因特网,你就可以对任何可以联网用户发出你的信函和广告。因为这种网络的复杂性,所以这种网络实现的技术也是非常复杂的,这一点我们可以通过后面要讲的几种因特网接入设备详细了解。
此外,随着笔记本电脑(Notebook Computer)和个人数字助理(Personal Digital Assistant,PDA)等便携式计算机的日益普及和发展,人们经常要在路途中接听电话、发送传真和电子邮件阅读网上信息以及登录到远程机器等。然而在汽车或飞机上是不可能通过有线介质与单位的网络相连接的,这时候可能会对无线网感兴趣了。无线网的特点是使用户可以在任何时间、任何地点接入计算机网络,而这一特性使其具有强大的应用前景。当前已经出现了许多基于无线网络的产品,如个人通信系统(Personal Communication System,PCS)电话、无线数据终端、便携式可视电话、个人数字助理等。无线网络的发展依赖于无线通信技术的支持。目前无线通信系统主要有:低功率的无绳电话系统、模拟蜂窝系统、数字蜂窝系统、移动卫星系统、无线LAN和无线WA N等。
4.计算机网络的功能
计算机网络的功能主要表现在硬件资源共享、软件资源共享和用户间信息交换三个方面。
(1)硬件资源共享。可以在全网范围内提供对处理资源、存储资源、输入/输出资源等昂贵设备的共享,使用户节省投资,也便于集中管理和均衡分担负荷。
(2)软件资源共享。允许因特网上的用户远程访问各类大型数据库,可以得到网络文件传送服务、远地进程管理服务和远程文件访问服务,从而避免软件研制上的重复劳动以及数据资源的重复存储,也便于集中管理。
(3)用户间信息交换。计算机网络为分布在各地的用户提供了强有力的通信手段。用户可以通过计算机网络传送电子邮件、发布新闻消息和进行电子商务活动。
1.5.2 网络信息安全与防控
1.计算机网络安全的定义
网络技术的普及,使人们对网络的依赖程度加大,对网络的破坏造成的损失和混乱会比以往任何时候都大。这也就使得需要对网络安全做更高的要求,也使得网络安全的地位将越来越重要,网络安全必然会随着网络应用的发展而不断发展。
关于“计算机安全”,国际标准化组织给出的定义为:“为数据处理系统建立和采取的技术和治理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。
“计算机安全”包含物理安全和逻辑安全两方面的内容,其中:逻辑安全可理解为我们常说的信息安全,指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的熟悉和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
2.计算机网络安全现状
网络系统中的硬、软件及系统中的数据得以保护,不因偶然或恶意原因受到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断,这是计算机网络安全最基本的要求。
计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
在Internet网络上,因为因特网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在很短时间内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、Rootkits、DoS和Sniffer是大家熟悉的几种黑客攻击手段。时至今日,借助网络途径进行攻击的势头越演越烈。攻击的手段也不断产生新的变种,更加智能化,攻击目标直指因特网基础协议和操作系统层次、从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
3.计算机网络安全的防范措施
(1)加强内部网络治理人员以及使用人员的安全意识
很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最轻易和最经济的方法之一。网络治理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和治理方式是十分关键的,它不仅关系到网络维护治理的效率和质量,而且涉及网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络治理员集中设置和治理,它会与操作系统及其他安全措施紧密地结合在一起,成为网络安全治理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
(2)网络防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其他途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
(3)安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
(4)网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输入提供给入侵检测子系统。入侵检测子系统根据一定的规则判定是否有入侵事件发生,假如有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
总之,网络安全是一个综合性的课题,涉及技术、治理、使用等许多方面,既有信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。