2013

計算機網(wǎng)絡(luò)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)容概述計算機網(wǎng)絡(luò)基礎(chǔ)局域網(wǎng)技術(shù)及解決方案廣域網(wǎng)技術(shù)及解決方案網(wǎng)絡(luò)安全相關(guān)技術(shù)及解決方案網(wǎng)絡(luò)基礎(chǔ)架構(gòu)計算機網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)什么是計算機網(wǎng)絡(luò)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)ARPAnet網(wǎng)絡(luò)基礎(chǔ)架構(gòu)線纜網(wǎng)絡(luò)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)網(wǎng)卡網(wǎng)絡(luò)基礎(chǔ)架構(gòu)交換機網(wǎng)絡(luò)基礎(chǔ)架構(gòu)路由器網(wǎng)絡(luò)基礎(chǔ)架構(gòu)OSI七層參考模型ApplicationPresentationSessionTransportNetworkDataLinkPhysicalDataLinkNetworkTransportSessionPresentationApplicationPhysical比特流幀（Frame）包（Packet）分段（Segment）會話流代碼流數(shù)據(jù)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)TCP/IP協(xié)議簇傳輸層數(shù)據(jù)連路層網(wǎng)絡(luò)層物理層應(yīng)用層會話層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層物理層HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RARP等Ethernet、ATM、FDDI、X.25、ISDN等內(nèi)容分發(fā)負(fù)載均衡路由器交換機網(wǎng)絡(luò)基礎(chǔ)架構(gòu)TCP會話連接SYNreceived主機A：客戶端主機B：服務(wù)端發(fā)送TCPSYN分段(seq=100ctl=SYN)1發(fā)送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)3網(wǎng)絡(luò)基礎(chǔ)架構(gòu)TCP連接的終止主機B：服務(wù)端主機A：客戶端1發(fā)送TCPFIN分段2發(fā)送TCPACK分段3發(fā)送TCPFIN分段4發(fā)送TCPACK分段關(guān)閉A到B的連接關(guān)閉A到B的連接網(wǎng)絡(luò)基礎(chǔ)架構(gòu)局域網(wǎng)技術(shù)及解決方案網(wǎng)絡(luò)基礎(chǔ)架構(gòu)局域網(wǎng)技術(shù)1、局域網(wǎng)（LAN）的定義：LAN是一個覆蓋地理位置相對較小的高速數(shù)據(jù)網(wǎng)絡(luò)，通過電纜將服務(wù)器、工作站、打印機和其它設(shè)備連接到一起。這種網(wǎng)絡(luò)通常位于一個比較集中的建筑群內(nèi)。2、LAN拓?fù)浣Y(jié)構(gòu)：

電腦連接的方式叫“網(wǎng)絡(luò)拓?fù)洹?，常見的LAN物理拓?fù)浣Y(jié)構(gòu)有三種：總線型、環(huán)型和星型。而邏輯拓?fù)浣Y(jié)構(gòu)只有總線型和環(huán)型兩種。邏輯總線型和環(huán)型拓?fù)浣Y(jié)構(gòu)通?？梢栽谛切臀锢硗?fù)浣Y(jié)構(gòu)中實現(xiàn)。圖一總線型（以太網(wǎng)）圖二環(huán)型（令牌環(huán)、FDDI）圖三星型圖四星型網(wǎng)絡(luò)基礎(chǔ)架構(gòu)局域網(wǎng)技術(shù)3、以太網(wǎng)類型：

1）標(biāo)準(zhǔn)以太網(wǎng)：速率為10Mbps，傳輸介質(zhì)為同軸電纜或雙絞線；

2）快速以太網(wǎng)：速率為100Mbps，傳輸介質(zhì)為雙絞線或光纖；3）千兆以太網(wǎng)：速率為1000Mbps，傳輸介質(zhì)為雙絞線或光纖；4）萬兆以太網(wǎng)：速率為10000Mbps,傳輸介質(zhì)為雙絞線或光纖.4、局域網(wǎng)（以太網(wǎng)）設(shè)備：

1）網(wǎng)絡(luò)線纜：同軸電纜、雙絞線、光纖。

2）網(wǎng)卡：一種電腦輔助板卡，一面插入電腦母板的擴展槽，另一面與網(wǎng)絡(luò)線纜相連。網(wǎng)卡完成網(wǎng)絡(luò)通信所需的各種功能。只有通過網(wǎng)卡，電腦才能通過網(wǎng)絡(luò)進(jìn)行通信。目前常用的以太網(wǎng)卡：10M、10/100M自適應(yīng)、1000M。

3）集線器：是一種連接多個用戶節(jié)點的物理層設(shè)備，每個經(jīng)集線器連接的節(jié)點都需要一條專用電纜，用集線器可以建立一個物理的星型網(wǎng)絡(luò)結(jié)構(gòu)。常用的集線器按速率分有10M、100M、10/100M自適應(yīng)三種，支持的端口數(shù)從8口到24口不等。集線器令所有端口共享10M（或100M）帶寬。

網(wǎng)絡(luò)基礎(chǔ)架構(gòu)4、局域網(wǎng)（以太網(wǎng)）設(shè)備：

4）交換機：是數(shù)據(jù)鏈路層設(shè)備，它將較大的局域網(wǎng)分解成較小的子網(wǎng)，另每個端口下連接的單個設(shè)備或子網(wǎng)獨享10M（或100M）分段，然后再實現(xiàn)分段間通信。

交換機對大網(wǎng)進(jìn)行細(xì)分，減少了從一個分段到另一個分段時不必要的網(wǎng)絡(luò)信息流，從而解決了網(wǎng)絡(luò)擁塞問題，提高網(wǎng)絡(luò)整體性能。

常見交換機類型：10M、10/100M、1000M，端口從8口到48口不等。

交換機還有可堆疊、不可堆疊，可網(wǎng)管、不可網(wǎng)管以及是否帶三層路由功能之分。交換機集線器子網(wǎng)A集線器子網(wǎng)B網(wǎng)絡(luò)基礎(chǔ)架構(gòu)5、子網(wǎng)掩碼分段：子網(wǎng)掩碼是一個應(yīng)用于TCP/IP網(wǎng)絡(luò)的32位二進(jìn)制值，它可以屏蔽掉ip地址中的一部分，從而分離出ip地址中的網(wǎng)絡(luò)部分與主機部分，基于子網(wǎng)掩碼，管理員可以將網(wǎng)絡(luò)進(jìn)一步劃分為若干子網(wǎng)。缺省子網(wǎng)掩碼：即未劃分子網(wǎng)，對應(yīng)的網(wǎng)絡(luò)號的位都置1，主機號都置0。A類網(wǎng)絡(luò)缺省子網(wǎng)掩碼：B類網(wǎng)絡(luò)缺省子網(wǎng)掩碼：C類網(wǎng)絡(luò)缺省子網(wǎng)掩碼：網(wǎng)絡(luò)基礎(chǔ)架構(gòu)6、虛擬局域網(wǎng)（VLAN）簡介：1）所謂VLAN，是指一個由多個段組成的物理網(wǎng)絡(luò)中的結(jié)點的邏輯分組，利用VLAN，工作組應(yīng)用可以象所有工作組成員都連接到同一個物理網(wǎng)段上一樣進(jìn)行工作，而不必關(guān)心用戶實際連接到哪個網(wǎng)段上。VLAN是交換式LAN的最大特點。交換機信息中心交換機A樓交換機B樓部門A部門B部門A部門B網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的產(chǎn)生原因－廣播風(fēng)暴廣播域……廣播網(wǎng)絡(luò)基礎(chǔ)架構(gòu)廣播域廣播域通過路由器將網(wǎng)絡(luò)分段……廣播網(wǎng)絡(luò)基礎(chǔ)架構(gòu)廣播域廣播域通過VLAN劃分廣播域……廣播Port1:VLAN-1Port2:VLAN-2網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的優(yōu)點相對與傳統(tǒng)的LAN技術(shù)，VLAN具有如下優(yōu)勢：隔離廣播域，抑制廣播報文.減少移動和改變的代價創(chuàng)建虛擬工作組，超越傳統(tǒng)網(wǎng)絡(luò)的工作方式增強通訊的安全性增強網(wǎng)絡(luò)的健壯性網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的劃分方法—基于端口的VLAN主機A主機B主機C主機DVLAN表Port1Port2Port7Port10端口所屬VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的劃分方法—基于MAC地址的VLANVLAN表MAC地址所屬VLANMACAVLAN5MACBVLAN10MACCVLAN5MACDVLAN10主機A主機B主機C主機D網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的劃分方法—基于協(xié)議的VLANVLAN表協(xié)議類型所屬VLANIPX協(xié)議VLAN5IP協(xié)議VLAN10…………主機A主機B主機C主機D網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的劃分方法—基于子網(wǎng)的VLANVLAN表IP網(wǎng)絡(luò)所屬VLANIP/24VLAN5IP/24VLAN10…………主機A主機B主機C主機D網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的可跨越性VLAN3VLAN5VLAN3VLAN5VLAN數(shù)據(jù)可以跨越多臺交換機被轉(zhuǎn)遞SWASWB網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的鏈路類型接入鏈路Access-Link干道鏈路Trunk-LinkSWASWB網(wǎng)絡(luò)基礎(chǔ)架構(gòu)以太網(wǎng)交換機的端口分類Access端口：一般用于接用戶計算機的端口，access端口只能屬于1個VLAN。Trunk端口：一般用于交換機之間連接的端口，trunk端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文。Hybrid端口：可以用于交換機之間連接，也可以用于接用戶的計算機，hybrid端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)端口的缺省ID（PVID）Access端口只屬于一個VLAN，所以它的缺省ID就是它所在的VLAN，不用設(shè)置。Hybrid端口和Trunk端口屬于多個VLAN，所以需要設(shè)置缺省VLANID，缺省情況下為VLAN1。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)Trunk-Link配置負(fù)責(zé)傳輸多個VLAN的數(shù)據(jù)Trunk-Link端口PVID默認(rèn)為1\\配置端口類型[Switch-Ethernet0/3]portlink-typetrunk\\配置Trunk-Link所允許傳遞的VLAN[Switch-Ethernet0/3]porttrunkpermitvlanall\\配置Trunk-Link端口PVID[Switch-Ethernet0/3]porttrunkpvidvlan1Port-0/3Port-0/3SWASWB網(wǎng)絡(luò)基礎(chǔ)架構(gòu)Access-Link配置默認(rèn)情況下，交換機所有端口都是Access-Link端口，并屬于VLAN-1，即PVID(PortVLANID)為1Port-0/1:VLAN-3Port-0/2:VLAN-5\\配置端口類型[Switch-Ethernet0/1]portlink-typeaccess[Switch-Ethernet0/2]portlink-typeaccess\\創(chuàng)建VLAN，并向VLAN中添加端口[Switch]vlan3[Switch-vlan1]portethernet0/1[Switch]vlan5[Switch-vlan2]portethernet0/2\\另外的一種向VLAN中添加端口的方法[Switch-Ethernet0/1]portaccessvlan3[Switch-Ethernet0/2]portaccessvlan5SWA網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN的缺點VLAN隔離了二層廣播域，也就嚴(yán)格地隔離了各個VLAN之間的任何流量，分屬于不同VLAN的用戶不能互相通信。VLAN100VLAN200Port1Port2網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN互通的實現(xiàn)——每個VLAN一個物理連接在二層交換機上配置VLAN，每一個VLAN使用一條獨占的物理連接連接到路由器的一個接口上。VLAN100VLAN300Ethernet2Ethernet0VLAN200Ethernet1網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN互通的實現(xiàn)——使用VLANTrunking二層交換機上和路由器上配置他們之間相連的端口使用VLANTrunking，使多個VLAN共享同一條物理連接到路由VLAN100VLAN300VLAN200TrunkEthernet0.300Ethernet0.200Ethernet0.100網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VLAN互通的實現(xiàn)——交換和路由的集成二層交換機和路由器在功能上的集成構(gòu)成了三層交換機，三層交換機在功能上實現(xiàn)了VLAN的劃分、VLAN內(nèi)部的二層交換和VLAN間路由的功能。VLAN300VLAN100VLAN200VLAN100VLAN200VLAN300二層交換機三層交換機網(wǎng)絡(luò)基礎(chǔ)架構(gòu)三層交換機功能模型13/24GW:549/24GW:548/24GW:5400/24GW:54VLAN10054/24VLAN20054/24VLAN30054/24網(wǎng)絡(luò)基礎(chǔ)架構(gòu)局域網(wǎng)絡(luò)的設(shè)計需求

更高的可靠性冗余的網(wǎng)絡(luò)結(jié)構(gòu)：STP，PVST高速故障鏈路切換：Uplinkfast,Backbonefast,Portfast更高的安全性完整的網(wǎng)絡(luò)安全策略：VLAN,基于交換機端口的安全性，……

更高的性能基于光纖和UTP的千兆以太網(wǎng)及以太網(wǎng)通道高效的第三層交換更好的可管理性強大的網(wǎng)絡(luò)管理工具：CiscoWorks2000支持未來業(yè)務(wù)的發(fā)展網(wǎng)絡(luò)基礎(chǔ)架構(gòu)大型局域網(wǎng)網(wǎng)絡(luò)解決方案CiscoWorksforWindows或CiscoWorks2000網(wǎng)管郵件服務(wù)器4GBGEC中心兩臺Catalyst4506/4507，配置千兆模塊，支持VLAN和高速三層交換1000M10/100M10/100M業(yè)務(wù)服務(wù)器10/100M10/100MCatalyst2950T1000M1000MOA服務(wù)器Catalyst3550工作站10/100M接入

1000M1000MCatalyst3550網(wǎng)絡(luò)基礎(chǔ)架構(gòu)大型局域網(wǎng)網(wǎng)絡(luò)解決方案特點1.系統(tǒng)穩(wěn)定可靠；采用雙中心，且鏈路冗余；2.高性能全交換、千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運行需求；中心交換機備板64Gbps，二層和三層交換性能為48MPPS;3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能；4.邊緣交換機采用10/100M端口連接終端用戶，千兆上聯(lián)，可堆疊擴展用戶數(shù)目，節(jié)省上聯(lián)鏈路；5.系統(tǒng)安全,保密性高;ACL，VLAN等網(wǎng)絡(luò)安全策略6.管理簡單，瀏覽器方式無需專門培訓(xùn)7.良好的擴充性網(wǎng)絡(luò)基礎(chǔ)架構(gòu)廣域網(wǎng)技術(shù)及解決方案網(wǎng)絡(luò)基礎(chǔ)架構(gòu)廣域網(wǎng)綜述廣域網(wǎng)綜述：

廣域網(wǎng)是地理位置較為分散的局域網(wǎng)之間鏈接通道的集合。廣域網(wǎng)的出現(xiàn)是為了解決局域網(wǎng)與一臺遠(yuǎn)程工作站或另一個局域網(wǎng)鏈接的問題，在這種情況下，需要鏈接的距離已超過了線纜媒體的規(guī)格，或者不可能進(jìn)行物理性的線纜連接，為了實現(xiàn)廣域網(wǎng)，需要用到下面這些傳輸媒體：普通電話網(wǎng)（PSTN）X.25專線一線通ISDNDDN專線幀中繼業(yè)務(wù)國際互聯(lián)網(wǎng)(Internet)高速光纜衛(wèi)星鏈路微波傳輸鏈路無線廣播媒體網(wǎng)絡(luò)基礎(chǔ)架構(gòu)一線通ISDN

一線通ISDN：

ISDN是一種建立在全數(shù)字化網(wǎng)絡(luò)基礎(chǔ)上的綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)，中國電信稱之為“一線通”。它有以下特點：

1）通過一根普通電話線您可以進(jìn)行多種業(yè)務(wù)通信，如用于電話、上網(wǎng)、傳真、會議電視、局域網(wǎng)互連等；2）因為ISDN提供2B+D服務(wù)（B信道傳輸速率為64K，D信道為“服務(wù)信道”傳輸速率16K），通過一根普通電話線您可以同時進(jìn)行兩路通信，比如邊上國際互聯(lián)網(wǎng)邊打電話，或兩部電話同時通話等；3）可以同時使用兩個B信道來進(jìn)行數(shù)據(jù)傳輸，從而獲得128K的總體傳輸速率，當(dāng)一個B信道用于語音傳送時，另一個B信道上的傳輸速率就會降回原始的64K，當(dāng)語音停止傳送時，數(shù)據(jù)傳送速率就會立即恢復(fù)成128K。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)數(shù)據(jù)專線

DDN專線：

DDN是數(shù)字?jǐn)?shù)據(jù)網(wǎng)的簡稱，主要是為用戶提供永久的出租數(shù)字電路。DDN為用戶開放多種形式的業(yè)務(wù)：點對點的專線、一點對多點的連接、同點對多點的圖像通信等。速率從9.6K、19.2K、64K一直2M。

幀中繼業(yè)務(wù)：幀中繼提供了高速度、高效率、大吞吐量、低時延的數(shù)據(jù)服務(wù)。幀中繼利用永久性虛電路（PVC）建立可靠的端到端回路。

對于低速幀中繼業(yè)務(wù)可通過DDN網(wǎng)內(nèi)以幀中繼OVERDDN的方式或經(jīng)由DDN網(wǎng)接入寬帶ATM網(wǎng)；對于高速用戶可使用光纖或HDSL直接接入ATM網(wǎng)。

相對于DDN電路，幀中繼更適合于點到多點的業(yè)務(wù)。DDN的點到多點業(yè)務(wù)只能提供輪詢方式（在一段時間內(nèi)，主點只能與一個從點進(jìn)行通信）。幀中繼業(yè)務(wù)采用PVC方式，可提供與所有從站并發(fā)雙工通信。另外，由于幀中繼支持突發(fā)數(shù)據(jù)，也比較適合于局域網(wǎng)互連或業(yè)務(wù)突發(fā)量較大的應(yīng)用。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)VPN技術(shù)使用戶可以通過國際互聯(lián)網(wǎng)為企業(yè)構(gòu)筑安全可靠、方便快捷的企業(yè)私有網(wǎng)絡(luò)。

根據(jù)業(yè)務(wù)類型，VPN業(yè)務(wù)大致可分為兩類，撥號VPN與專線VPN。所謂撥號VPN，指企業(yè)員工或企業(yè)的小分支機構(gòu)通過當(dāng)?shù)豂SP撥號入公網(wǎng)的方式而構(gòu)筑的虛擬網(wǎng)。專線VPN是指企業(yè)的分支機構(gòu)通過租用當(dāng)?shù)貙＞€入公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信。它采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被竊聽。工作過程：

局域網(wǎng)中被保護(hù)的主機發(fā)明文信息到VPN設(shè)備，VPN對數(shù)據(jù)加密后通過路由器送到互聯(lián)網(wǎng)上，加密的數(shù)據(jù)從互聯(lián)網(wǎng)到達(dá)另一個局域網(wǎng)的路由器，然后由路由器后面的VPN設(shè)備將數(shù)據(jù)解密后送到VPN后面被保護(hù)的主機上。通過國際互聯(lián)網(wǎng)建立虛擬專用網(wǎng)（VPN）：VPN技術(shù)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)當(dāng)?shù)貙＞€隧道從一個VPN設(shè)備開始到另一個VPN設(shè)備結(jié)束。當(dāng)?shù)貙＞€撥當(dāng)?shù)豂SP撥長途號租長途專線專用網(wǎng)虛擬專用網(wǎng)國際互聯(lián)網(wǎng)分支機構(gòu)總部局域網(wǎng)路由器VPN設(shè)備VPN設(shè)備路由器帶VPN軟件的遠(yuǎn)程站點VPN技術(shù)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)防火墻Checkpoint&FortiGate400出口路由器CISCO3620INTERNETSDH

128KDDN專線XXX單位網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D2M數(shù)字電路中心交換機Catalyst4006股份公司防火墻PIX515-R出口路由器CISCO3640內(nèi)部路由器CISCO37454M數(shù)字電路PSTN

財務(wù)信息系統(tǒng)DMZ防火墻撥號路由器財務(wù)客戶端財務(wù)客戶端財務(wù)客戶端DB*2Switch*2RAIDAPP*2TAPEDB=數(shù)據(jù)庫服務(wù)器APP=應(yīng)用服務(wù)器RAID=磁盤陣列TAPE=磁盤陣列2Gb/s光纖通道WEBWEB=WWW服務(wù)器應(yīng)用實例一：網(wǎng)絡(luò)基礎(chǔ)架構(gòu)總部網(wǎng)絡(luò)擁有靜態(tài)IP地址的分公司網(wǎng)絡(luò)

擁有動態(tài)IP地址的分公司網(wǎng)絡(luò)

備用VPN通道DDN專用線路公司外地出差人員

公司外地出差人員

擁有靜態(tài)IP地址的分公司所屬各經(jīng)營部

擁有動態(tài)IP地址的分公司所屬各經(jīng)營FortiGate-100FortiGate-50兩網(wǎng)關(guān)設(shè)備間IPSecVPN通道FortiNetSSH軟件IPSecVPN通道L2TP/PPTPVPN通道XXX集團(tuán)銷售公司VPN專網(wǎng)應(yīng)用實例二：VPN網(wǎng)絡(luò)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)安全技術(shù)及相關(guān)解決方案網(wǎng)絡(luò)基礎(chǔ)架構(gòu)防火墻技術(shù)防火墻：是加載于可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的安全設(shè)備，是網(wǎng)絡(luò)安全政策的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理。防火墻可以是軟件、硬件和軟硬件結(jié)合的發(fā)展歷經(jīng)簡單包過濾、應(yīng)用代理、狀態(tài)檢測（狀態(tài)包過濾）防火墻最新技術(shù)是具有數(shù)據(jù)流過濾功能的防火墻對于一個網(wǎng)絡(luò)來說，所有通過“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上網(wǎng)絡(luò)基礎(chǔ)架構(gòu)防火墻的控制能力服務(wù)控制，確定哪些服務(wù)可以被訪問方向控制，對于特定的服務(wù)，可以確定允許哪個方向能夠通過防火墻用戶控制，根據(jù)用戶來控制對服務(wù)的訪問行為控制，控制一個特定的服務(wù)的行為網(wǎng)絡(luò)基礎(chǔ)架構(gòu)防火墻主要功能過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄通過防火墻的信息內(nèi)容和活動對網(wǎng)絡(luò)攻擊進(jìn)行檢測和報警網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問控制進(jìn)行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進(jìn)日志文件合法請求則允許對外訪問發(fā)起訪問請求防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問控制3、對工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)DMZ區(qū)域與外網(wǎng)的訪問控制

Internet區(qū)域Internet邊界路由器進(jìn)行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進(jìn)日志文件禁止對外發(fā)起連結(jié)請求發(fā)起訪問請求防火墻在此處的功能：1、DMZ網(wǎng)段與外部子網(wǎng)的物理隔離2、訪問控制3、對DMZ子網(wǎng)做MAP映射4、日志記錄DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)部子網(wǎng)與DMZ區(qū)的訪問控制進(jìn)行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進(jìn)日志文件禁止對工作子網(wǎng)發(fā)起連結(jié)請求發(fā)起訪問請求

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)撥號用戶對內(nèi)部網(wǎng)的訪問控制撥號服務(wù)器Cisco2620移動用戶PSTNModemModem進(jìn)行一次性口令認(rèn)證認(rèn)證通過后允許訪問內(nèi)網(wǎng)將訪問記錄寫進(jìn)日志文件內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)下屬機構(gòu)對總部的訪問控制撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNSFW+VPNFW+VPN進(jìn)行規(guī)則檢查將訪問記錄寫進(jìn)日志文件防火墻在此處的功能：1、將內(nèi)部子網(wǎng)與連接下屬機構(gòu)的公網(wǎng)隔離開2、控制下屬機構(gòu)子網(wǎng)用戶對總部內(nèi)網(wǎng)的訪問3、對下屬機構(gòu)網(wǎng)絡(luò)與總部子網(wǎng)之間的通訊做日志和審計網(wǎng)絡(luò)基礎(chǔ)架構(gòu)基于時間的訪問控制HostCHostD在防火墻上制定基于時間的訪問控制策略上班時間不允許訪問Internet上班時間可以訪問公司的網(wǎng)絡(luò)Internet網(wǎng)絡(luò)基礎(chǔ)架構(gòu)用戶級權(quán)限控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶root123root123Yesadmin883No不管那臺電腦都可以用相同的用戶名來登陸防火墻只需在防火墻設(shè)置該用戶的規(guī)則即可網(wǎng)絡(luò)基礎(chǔ)架構(gòu)高層協(xié)議控制

應(yīng)用控制可以對常用的高層應(yīng)用做更細(xì)的控制

如HTTP的GET、POST、HEAD

如FTP的GET、PUT等物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)防火墻內(nèi)部接口外部接口根據(jù)策略檢查應(yīng)用層的數(shù)據(jù)符合策略應(yīng)用層應(yīng)用層應(yīng)用層網(wǎng)絡(luò)基礎(chǔ)架構(gòu)IP與MAC綁定InternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBindTo00-50-04-BB-71-A6BindTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)流量控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)HostA的流量已達(dá)到10MHostA的流量已達(dá)到極限值30M阻斷HostA的連接Internet網(wǎng)絡(luò)基礎(chǔ)架構(gòu)端口映射Internet

公開服務(wù)器可以使用私有地址

隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTPMAILDNS：80——：80：21——：21：25——：25：53——：53網(wǎng)絡(luò)基礎(chǔ)架構(gòu)NAT網(wǎng)關(guān)和IP復(fù)用Internet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭源地址：1目地址：4源地址：目地址：4

隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)

內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址

公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能網(wǎng)絡(luò)基礎(chǔ)架構(gòu)透明接入受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機的配置不用調(diào)整HostAHostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變網(wǎng)絡(luò)基礎(chǔ)架構(gòu)信息系統(tǒng)審計與日志HostAHostBHostCHostDInternet安全網(wǎng)域HostGHostH···TCP8：302001-02-07···TCP9：102001-02-07寫入日志寫入日志一旦出現(xiàn)安全事故可以查詢此日志網(wǎng)絡(luò)基礎(chǔ)架構(gòu)身份鑒別功能HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶rootasdasdf驗證通過則允許訪問root123Yesadmin883No

用戶身份認(rèn)證

根據(jù)用戶控制訪問網(wǎng)絡(luò)基礎(chǔ)架構(gòu)防火墻的類型包過濾路由器應(yīng)用層網(wǎng)關(guān)電路層網(wǎng)關(guān)這僅是一種防火墻分類方法，所著眼的視角不同，得到的類型劃分也不一樣網(wǎng)絡(luò)基礎(chǔ)架構(gòu)包過濾防火墻基本的思想很簡單對于每個進(jìn)來的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的如何過濾過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ)，包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定網(wǎng)絡(luò)基礎(chǔ)架構(gòu)包過濾路由器示意圖網(wǎng)絡(luò)層鏈路層物理層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)包過濾HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包進(jìn)行分析根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包控制策略

基于源IP地址

基于目的IP地址

基于源端口

基于目的端口

基于時間基于用戶

基于流量基于數(shù)據(jù)流可以靈活的制定的控制策略網(wǎng)絡(luò)基礎(chǔ)架構(gòu)包過濾防火墻的優(yōu)缺點在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測并沒有考慮連接狀態(tài)信息通常在路由器上實現(xiàn)實際上是一種網(wǎng)絡(luò)的訪問控制機制優(yōu)點實現(xiàn)簡單對用戶透明效率高缺點正確制定規(guī)則并不容易不可能引入認(rèn)證機制網(wǎng)絡(luò)基礎(chǔ)架構(gòu)針對包過濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址對策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由對策：禁止這樣的選項小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中對策：丟棄分片太小的分片利用復(fù)雜協(xié)議和管理員的配置失誤進(jìn)入防火墻例如，利用ftp協(xié)議對內(nèi)部進(jìn)行探查網(wǎng)絡(luò)基礎(chǔ)架構(gòu)應(yīng)用層網(wǎng)關(guān)也稱為代理服務(wù)器特點所有的連接都通過防火墻，防火墻作為網(wǎng)關(guān)在應(yīng)用層上實現(xiàn)可以監(jiān)視包的內(nèi)容可以實現(xiàn)基于用戶的認(rèn)證所有的應(yīng)用需要單獨實現(xiàn)可以提供理想的日志功能非常安全，但是開銷比較大網(wǎng)絡(luò)基礎(chǔ)架構(gòu)應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點優(yōu)點允許用戶“直接”訪問Internet易于記錄日志缺點新的服務(wù)不能及時地被代理每個被代理的服務(wù)都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務(wù)要求建立直接連接，無法使用代理代理服務(wù)不能避免協(xié)議本身的缺陷或者限制網(wǎng)絡(luò)基礎(chǔ)架構(gòu)電路層網(wǎng)關(guān)工作于OSI/RM的會話層充當(dāng)屏蔽路由器，將內(nèi)外網(wǎng)徹底隔離網(wǎng)絡(luò)基礎(chǔ)架構(gòu)防火墻設(shè)計規(guī)則保持設(shè)計的簡單性計劃好防火墻被攻破時的應(yīng)急響應(yīng)考慮以下問題雙機熱備安全的遠(yuǎn)程管理入侵監(jiān)測的集成數(shù)據(jù)保護(hù)功能網(wǎng)絡(luò)基礎(chǔ)架構(gòu)雙機熱備內(nèi)部網(wǎng)外網(wǎng)或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳線ActiveFirewallStandbyFirewall檢測ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作網(wǎng)絡(luò)基礎(chǔ)架構(gòu)安全遠(yuǎn)程管理安全網(wǎng)域HostCHostDInternet管理員黑客如何實現(xiàn)安全管理呢采用一次性口令認(rèn)證來實現(xiàn)安全管理用戶名，口令用戶名，口令網(wǎng)絡(luò)基礎(chǔ)架構(gòu)數(shù)據(jù)機密性保護(hù)撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸網(wǎng)絡(luò)基礎(chǔ)架構(gòu)數(shù)據(jù)完整性保護(hù)內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗證數(shù)據(jù)的完整性網(wǎng)絡(luò)基礎(chǔ)架構(gòu)數(shù)據(jù)源身份驗證內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對方驗證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗證通過網(wǎng)絡(luò)基礎(chǔ)架構(gòu)IDSIDS（IntrusionDetectionSystem）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報文，分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動阻止可能的破壞。

網(wǎng)絡(luò)基礎(chǔ)架構(gòu)監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)入侵檢測系統(tǒng)FirewallInternetServersDMZIDSAgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警IDSAgent網(wǎng)絡(luò)基礎(chǔ)架構(gòu)入侵檢測系統(tǒng)的作用實時檢測實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文安全審計對系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應(yīng)主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)典型部署－企業(yè)內(nèi)部安裝IntranetIDSAgentIDSAgentFirewallInternetServersDMZIDSAgent監(jiān)控中心router網(wǎng)絡(luò)基礎(chǔ)架構(gòu)典型部署－廣域網(wǎng)應(yīng)用Internet監(jiān)控中心（輔）IDSAgentIDSAgentIDSAgentIDSAgentIDSAgentIDSAgent監(jiān)控中心（主）網(wǎng)絡(luò)基礎(chǔ)架構(gòu)病毒新概念病毒感染不僅是一個文件，而是一個系統(tǒng)病毒文件會替換操作系統(tǒng)文件不是所有病毒都可以修復(fù)的！殺蠕蟲和特洛伊木馬的方法就是刪除整個文件網(wǎng)絡(luò)基礎(chǔ)架構(gòu)完整的防毒規(guī)劃七大要素多層次、全方位、跨平臺的技術(shù)及強大功能簡易快速的網(wǎng)絡(luò)安裝集中管理警報和報表系統(tǒng)自動化服務(wù)機制合理的預(yù)算規(guī)劃對企業(yè)用戶的服務(wù)與支持網(wǎng)絡(luò)基礎(chǔ)架構(gòu)防毒產(chǎn)品的剖析選購防毒產(chǎn)品的考慮防毒解毒能力－最重要的基本能力管理能力針對中國用戶的病毒庫升級服務(wù)選擇的標(biāo)準(zhǔn)廠商提供的比較表－最不可靠單一產(chǎn)品評比－僅在當(dāng)發(fā)有效(產(chǎn)品版本不斷更新)專業(yè)防毒認(rèn)證－具公信力，需要持續(xù)送測主要認(rèn)證單位ICSA(基本認(rèn)證)Check-Mark(Level2確保修復(fù)能力)VirusBulletin(最嚴(yán)格)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)計算機安全產(chǎn)品認(rèn)證Datasource:ICSA–InternationalComputerSecurityAssociation CheckMark認(rèn)證：http://Level1、Level2LevelTrojanICSA認(rèn)證：

On-Demand/On-Access,Cleaning網(wǎng)絡(luò)基礎(chǔ)架構(gòu)InternetInternetEmail網(wǎng)關(guān)防火墻網(wǎng)關(guān)級群件服務(wù)器-NotesandExchangeNetWareServerNTServer服務(wù)器級MacintoshWindows95/98WinXPWindowsNT/2000客戶端級3.第三是通過優(yōu)盤和盜版光盤傳播病毒1.第一是電子郵件帶來的病毒2.第二是通過Internet瀏覽、下載（HTTP、FTP）病毒--多層感染途徑只要有可能感染和傳播病毒的途徑和方式都應(yīng)有相應(yīng)的解決方案網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)器客戶端網(wǎng)關(guān)防病毒入侵檢測風(fēng)險管理內(nèi)容過濾內(nèi)容過濾入侵檢測防病毒防火墻內(nèi)容過濾入侵檢測防病毒防火墻安全市場的現(xiàn)狀：多層次；多供應(yīng)商網(wǎng)絡(luò)基礎(chǔ)架構(gòu)Internet病毒網(wǎng)關(guān)應(yīng)用DMZEmailHTTP財務(wù)部市場部研發(fā)部RouterExe/doc/zip病毒庫網(wǎng)絡(luò)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)安全的重點網(wǎng)絡(luò)安全一直無法落實的主因就在于，不知道漏洞的存在，甚至不去實時修補漏洞，那黑客鐵定比你清楚如何利用它。正確的網(wǎng)絡(luò)安全觀念并不是一昧的購置網(wǎng)絡(luò)安全產(chǎn)品，更重要的是主動正視安全漏洞的問題，做好入侵預(yù)防，并且實時做好漏洞修補的工作，讓黑客根本就不得其門而入。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)常用安全工具防火墻入侵檢測工具snort端口掃描工具nmap系統(tǒng)工具netstat、lsof網(wǎng)絡(luò)嗅探器tcpdump、sniffer綜合工具X-Scanner、流光、Nessus網(wǎng)絡(luò)基礎(chǔ)架構(gòu)十大最佳網(wǎng)絡(luò)安全工具NessusNetcatTcpdumpSnortSaintEtherealWhiskerInternetSecurityScannerAbacusPortsentryDsniff網(wǎng)絡(luò)基礎(chǔ)架構(gòu)安全站點綠盟科技綠色兵團(tuán)網(wǎng)絡(luò)安全評估中心安全焦點網(wǎng)絡(luò)安全響應(yīng)中心國外：網(wǎng)絡(luò)基礎(chǔ)架構(gòu)問題&應(yīng)答網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)器系統(tǒng)安全管理和數(shù)據(jù)安全北京華勝天成科技股份有限公司售前技術(shù)部：王超2005年1月網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)容概述服務(wù)器產(chǎn)品基礎(chǔ)服務(wù)器系統(tǒng)安全管理數(shù)據(jù)安全管理問題&應(yīng)答網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)器產(chǎn)品基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)器產(chǎn)品分類按CPU類型分類：RISC服務(wù)器、IA架構(gòu)服務(wù)器

典型的RISC服務(wù)器：SUN、HP、IBM等UNIX服務(wù)器

典型的IA架構(gòu)服務(wù)器：PC服務(wù)器（基于Intel至強處理器）

新興的基于安騰處理器和AMDOpteron處理器的64位服務(wù)器按服務(wù)器物理規(guī)格分類：塔式服務(wù)器、機架式服務(wù)器、刀片服務(wù)器

各個主流服務(wù)器廠商均有相應(yīng)的產(chǎn)品按照操作系統(tǒng)分類：Windows服務(wù)器、Linux服務(wù)器、UNIX服務(wù)器按照應(yīng)用分類：WEB服務(wù)器、FTP服務(wù)器、EMail服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器等等…網(wǎng)絡(luò)基礎(chǔ)架構(gòu)小型機RISC系統(tǒng)結(jié)構(gòu)指令系統(tǒng)結(jié)構(gòu)操作簡單數(shù)據(jù)：Load-Store結(jié)構(gòu)，尋址方式簡單編碼：定長實現(xiàn)與使用方式簡化硬件，提高主頻指令流水線技術(shù)：寄存器操作容易解決相關(guān)編譯技術(shù)性能及兼容性性能：每條指令周期數(shù)差不多，主頻高，CPI高指令流水線技術(shù)：寄存器操作容易解決相關(guān)流水及多發(fā)射技術(shù)在提高性能的前提下不影響兼容性網(wǎng)絡(luò)基礎(chǔ)架構(gòu)常見的小型機廠商及RISC處理器分類Sun:UltraSPARCV9IBM:PowerHP:PA-RISC2.0、安騰Alpha:MIPSIV網(wǎng)絡(luò)基礎(chǔ)架構(gòu)小型機發(fā)展（一)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)小型機發(fā)展（二）Power2Power3(64位）Power4Power5UltraSPARCVHPSunIBM網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)器應(yīng)用類型網(wǎng)絡(luò)基礎(chǔ)架構(gòu)最優(yōu)化的系統(tǒng)設(shè)計水平擴展垂直擴展I/O連續(xù)的緩存,共享內(nèi)存多處理器單操作系統(tǒng)緊密的內(nèi)部互連集群,多處理器,非共享內(nèi)存多操作系統(tǒng)松散的外部互連Memory

SwitchNetworkSwitchVERTICALHORIZONTALCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OI/OCPUMEMCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OI/OCPUCPUMEMMEMI/OI/OCPUCPUMEMMEMI/OCPUCPUMEMMEMI/O網(wǎng)絡(luò)基礎(chǔ)架構(gòu)水平擴展-最優(yōu)化系統(tǒng)負(fù)載流媒體J2EE應(yīng)用服務(wù)負(fù)載均衡內(nèi)容緩存文件和打印協(xié)作計算Web服務(wù)目錄和身份管理安全本地內(nèi)容緩存網(wǎng)絡(luò)基礎(chǔ)架構(gòu)DirectoryServers垂直擴展系統(tǒng)的業(yè)務(wù)負(fù)載OLTPDatabasesDW/BI網(wǎng)絡(luò)基礎(chǔ)架構(gòu)影響系統(tǒng)性能的關(guān)鍵因素處理器Processor性能Performance吞吐能力Throughput系統(tǒng)內(nèi)部互連SystemInterconnect延遲Latency訪問內(nèi)存數(shù)據(jù)塊所需的時間內(nèi)部帶寬InternalbandwidthI/O,Memory與CPU間的數(shù)據(jù)傳送操作系統(tǒng)OperatingSystem可擴展性Scalability可靠性Reliability應(yīng)用優(yōu)化Optimizedapplications網(wǎng)絡(luò)基礎(chǔ)架構(gòu)可靠性、可用性、可服務(wù)性（RAS）設(shè)備本身的RAS完全冗余部件熱交換部件動態(tài)重配置系統(tǒng)自動恢復(fù)系統(tǒng)故障自動跟蹤動態(tài)系統(tǒng)域系統(tǒng)架構(gòu)負(fù)載均衡替換雙通道HA/Cluster網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)器系統(tǒng)安全管理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)外網(wǎng)信息安全控制系統(tǒng)

2000年1月1日國家保密局頒布了《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，以確保國家機密信息的安全。規(guī)定：“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相聯(lián)接，必須實行物理隔離?！睘橛脩籼峁┝艘粋€以物理隔離為基礎(chǔ)的安全的網(wǎng)絡(luò)環(huán)境能夠根據(jù)用戶需要對Internet信息資源進(jìn)行有效采集和控制網(wǎng)絡(luò)基礎(chǔ)架構(gòu)內(nèi)外網(wǎng)信息安全控制系統(tǒng)

網(wǎng)絡(luò)基礎(chǔ)架構(gòu)平臺方案網(wǎng)絡(luò)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)Win2K安全子系統(tǒng)WindowsNT的設(shè)計從最初就考慮了安全問題：獲得了TCSECC2認(rèn)證，這在競爭激烈的商業(yè)操作系統(tǒng)市場中是一個不錯的業(yè)績Windows2000正處于一個類似的標(biāo)準(zhǔn)評估過程中，使用通用標(biāo)準(zhǔn)(CommonCriteria,CC)為了獲得更高的級別(B級)，Windows2000需要在它的設(shè)計中融入一些關(guān)鍵的元素，包括(但不限于)：

用于認(rèn)證的安全登錄工具

可自由設(shè)定的訪問控制

審核網(wǎng)絡(luò)基礎(chǔ)架構(gòu)SRM(SecurityRefrenceMonitor)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)針對Win2K的攻擊SMB攻擊權(quán)限提升獲得交互擴大影響清除痕跡網(wǎng)絡(luò)基礎(chǔ)架構(gòu)攻擊手段猜測用戶名和密碼獲取密碼散列利用脆弱的網(wǎng)絡(luò)服務(wù)或客戶端獲取對系統(tǒng)的物理訪問網(wǎng)絡(luò)基礎(chǔ)架構(gòu)對策實施密碼復(fù)雜性要求賬戶鎖定啟用登錄失敗事件的審核查看事件日志鎖定真正的Administrator賬戶并創(chuàng)建一個假目標(biāo)禁用閑置賬戶仔細(xì)核