1. 計算機網路的組成和體系結構
一、計算機網路的基本組成
計算機網路是一個很復雜的系統,它由許多計算機軟體、硬體和通信設備組合而成。下面對一個計算機網路所需的主要部分,即伺服器、工作站、外圍設備、網路軟體作簡要介紹。
1.伺服器(Server)
在計算機網路中,伺服器是整個網路系統的核心,一般是指分散在不同地點擔負一定數據處理任務和提供資源的計算機,它為網路用戶提供服務並管理整個網路,它影響著網路的整體性能。一般在大型網路中採用大型機、中型機和小型機作為網路伺服器,可保證網路的可靠性。對於網點不多,網路通信量不大,數據安全性要求不太高的網路,可以選用高檔微機作網路伺服器。根據伺服器在網路中擔負的網路功能的不同,又可分為文件伺服器、通信伺服器和列印伺服器等。在小型區域網中,最常用的是文件伺服器。一般來說網路越大、用戶越多、伺服器負荷越大,對伺服器性能要求越高。
2.工作站(Workstation)
工作站有時也稱為「節點」或「客戶機(Client)」,是指通過網路適配器和線纜連接到網路上的計算機,是網路用戶進行信息處理的個人計算機。它和伺服器不同,伺服器是為整個網路提供服務並管理整個網路,而工作站只是一個接入網路的設備,它保持原有計算機的功能,作為獨立的計算機為用戶服務,同時又可按一定的許可權訪問伺服器,享用網路資源。
工作站通常都是普通的個人計算機,有時為了節約經費,不配軟、硬碟,稱為「無盤工作站」。
3.網路外圍設備
是指連接伺服器和工作站的一些連線或連接設備,如同軸電纜、雙絞線、光纖等傳輸介質,網卡(NIC)、中繼器(Repeater)、集線器(Hub)、交換機(Switch)、網橋(Bridge)等,又如用於廣域網的設備:數據機(Modem)、路由器(Router)、網關(Gateway)等,介面設備:T型頭、BNC連接器、終端匹配器、RJ45頭、ST頭、SC頭、FC頭等。
4.網路軟體
前面介紹的都是網路硬體設備。要想網路能很好地運行,還必須有網路軟體。
通常網路軟體包括網路操作系統(NOS)、網路協議軟體和網路通信軟體等。其中,網路操作系統是為了使計算機具備正常運行和連接上網的能力,常見的網路操作系統有UNIX、Linux、Novell Netware、Windows NT、Windows 2000 Server、Windows XP等;網路協議軟體是為了各台計算能使用統一的協議,可以看成是計算機之間相互會話使用的語言;而運用協議進行實際的通信則是由通信軟體完成的。
網路軟體功能的強弱直接影響到網路的性能,因為網路中的資源共享、相互通信、訪問控制和文件管理等都是通過網路軟體實現的。
二、計算機網路的拓撲結構
所謂計算機網路的拓撲結構是指網路中各結點(包括連接到網路中的設備、計算機)的地理分布和互連關系的幾何構形,即網路中結點的互連模式。
網路的拓撲結構影響著整個網路的設計、功能、可靠性和通信費用等指標,常見的網路拓撲結構有匯流排型、星型、環型等,通過使用路由器和交換機等互連設備,可在此基礎上構建一個更大網路。
1.匯流排型
在匯流排型結構中,將所有的入網計算機接入到一條通信傳輸線上,為防止信號反射,一般在匯流排兩端連有終端匹配器如圖6-1(a)。匯流排型結構的優點是信道利用率高,可擴充性好,結構簡單,價格便宜。當數據在匯流排上傳遞時,會不斷地「廣播」,第一節點均可收到此信息,各節點會對比數據送達的地址與自己的地址是否相同,若相同,則接收該數據,否則不必理會該數據。缺點是同一時刻只能有兩個網路結點在相互通信,網路延伸距離有限,網路容納的節點數有限。在匯流排上只要有一個結點連接出現問題,會影響整個網路運行,且不易找到故障點。
圖6-1 網路拓撲結構
2.星型
在星型結構中,以中央結點為中心,其他結點都與中央結點相連。每台計算機通過單獨的通信線路連接到中央結點,由該中央結點向目的結點傳送信息,如圖6-1(b),因此,中央結點必須有較強的功能和較高的可靠性。
在已實現的網路拓撲結構中,這是最流行的一種。跟匯流排型拓撲結構相比,它的主要的優勢是一旦某一個電纜線段被損壞了,只有連接到那個電纜段的主機才會受到影響,結構簡單,建網容易,便於管理。缺點是該拓撲是以點對點方式布線的,故所需線材較多,成本相對較高,此外中央結點易成為系統的「瓶頸」,且一旦發生故障,將導致全網癱瘓。
3.環型
在環型結構中,如圖6-1(c)所示,各網路結點連成封閉環路,數據只能是單向傳遞,每個收到數據包的結點都向它的下一結點轉發該數據包,環游一圈後由發送結點回收。當數據包經過目標結點時,目標結點根據數據包中的目標地址判斷出是自己接收,並把該數據包拷貝到自己的接收緩沖中。
環型拓撲結構的優點是:結構簡單,網路管理比較簡單,實時性強。缺點是:成本較高,可靠性差,網路擴充復雜,網路中若有任一結點發生故障都會使整個網路癱瘓。
三、計算機網路的體系結構
要弄清網路的體系結構,需先弄清網路協議是什麼。
網路協議是兩台網路上的計算機進行通信時使用的語言,是通信的規則和約定。為了在網路上傳輸數據,網路協議定義了數據應該如何被打成包、並且定義了在接收數據時接收計算機如何解包。在同一網路中的兩台計算機為了相互通信,必須運行同一協議,就如同兩個人交談時,必須採用對方聽得懂的語言和語速。
由於網路結點之間的連接可能是很復雜的,因此,為了減少協議設計的復雜性,在制定協議時,一般把復雜成分分解成一些簡單成分,再將它們復合起來,而大多數網路都按層來組織,並且規定:(1)一般是將用戶應用程序作為最高層,把物理通信線路作為最低層,將其間再分為若干層,規定每層處理的任務,也規定每層的介面標准;(2)每一層向上一層提供服務,而與再上一層不發生關系;(3)每一層可以調用下一層的服務傳輸信息,而與再下一層不發生關系。(4)相鄰兩層有明顯的介面。
除最低層可水平通信外,其他層只能垂直通信。
層和協議的集合被稱為網路的體系結構。為了幫助大家理解,我們從現實生活中的一個例子來理解網路的層次關系。假如一個只懂得法語的法國文學家和一個只懂得中文的中國文學家要進行學術交流,那麼他們可將論文翻譯成英語或某一種中間語言,然後交給各自的秘書選一種通信方式發給對方,如圖6-2所示。
圖6-2 中法文學家學術交流方式
下面介紹兩個重要的網路體系結構:OSI參考模型和TCP/IP參考模型。
1.OSI參考模型
由於世界各大型計算機廠商推出各自的網路體系結構,不同計算機廠商的設備相互通信困難。為建立更大范圍內的計算機網路,必然要解決異構網路的互連,因而國際標准化組織ISO於1977年提出「開放系統互連參考模型」,即著名的OSI(Open system interconnection/Reference Model)。它將計算機網路規定為物理層、數據鏈路層、網路層、傳輸層、會話層、表示層、應用層等七層,受到計算機界和通信界的極大關注。
2.TCP/IP參考模型
TCP/IP(Transmission Control Protocol/Internet protocol)協議是Internet使用的通信協議,由ARPANET研究中心開發。TCP/IP是一組協議集(Internet protocol suite),而TCP、IP是該協議中最重要最普遍使用的兩個協議,所以用TCP/IP來泛指該組協議。
TCP/IP協議的體系結構被分為四層:
(1)網路介面層 是該模型的最低層,其作用是負責接收IP數據報,並通過網路發送出去,或者從網路上接收網路幀,分離IP數據報。
(2)網路層 IP協議被定義駐留在這一層中,它負責將信息從一台主機傳到指定接收的另一台主機。主要功能是:定址、打包和路由選擇。
(3)傳輸層 提供了兩個協議用於數據傳輸,即傳輸控制協議TCP和通用數據協議UDP,負責提供准確可靠和高效的數據傳送服務。
(4)應用層 位於TCP/IP最高層,為用戶提供一組常用的應用程序協議。例如:簡單郵件傳輸協議SMTP、文件傳協議FTP、遠程登錄協議Telnet、超文本傳輸協議HTTP(該協議是後來擴充的)等。隨著Internet的發展,又開發了許多實用的應用層協議。
圖6-3是TCP/IP模型和OSI模型的簡單比較:
圖6-3 TCP/IP模型和OSI模型的對比
2. 典型的計算機網路體系結構有哪些
OSI七層模型、TCP/IP四層模型、五層體系結構
一、OSI七層模型
OSI七層協議模型主要是:應用層(Application)、表示層(Presentation)、會話層(Session)、傳輸層(Transport)、網路層(Network)、數據鏈路層(DataLink)、物理層(Physical)。
二、TCP/IP四層模型
TCP/IP是一個四層的體系結構,主要包括:應用層、運輸層、網際層和網路介面層。從實質上講,只有上邊三層,網路介面層沒有什麼具體的內容。
三、五層體系結構
五層體系結構包括:應用層、運輸層、網路層、數據鏈路層和物理層。五層協議只是OSI和TCP/IP的綜合,實際應用還是TCP/IP的四層結構。為了方便可以把下兩層稱為網路介面層。
(2)計算機網路的體系結構擴展閱讀:
世界上第一個網路體系結構是美國IBM公司於1974年提出的,它取名為系統網路體系結構SNA(System Network Architecture)。凡是遵循SNA的設備就稱為SNA設備。這些SNA設備可以很方便地進行互連。此後,很多公司也紛紛建立自己的網路體系結構,這些體系結構大同小異,都採用了層次技術。
3. 計算機網路體系結構的體系結構
計算機網路是一個復雜的具有綜合性技術的系統,為了允許不同系統實體互連和互操作,不同系統的實體在通信時都必須遵從相互均能接受的規則,這些規則的集合稱為協議(Protocol)。
系統指計算機、終端和各種設備。
實體指各種應用程序,文件傳輸軟體,資料庫管理系統,電子郵件系統等。
互連指不同計算機能夠通過通信子網互相連接起來進行數據通信。
互操作指不同的用戶能夠在通過通信子網連接的計算機上,使用相同的命令或操作,使用其它計算機中的資源與信息,就如同使用本地資源與信息一樣。
計算機網路體系結構為不同的計算機之間互連和互操作提供相應的規范和標准。
4. 計算機網路體系結構里,包括哪些內容
一、 需求與安全
信息——信息是資源,信息是財富。信息化的程度已經成為衡量一個國家,一個單位綜合技術水平,綜合能力的主要標志。從全球范圍來看,發展信息技術和發展信息產業也是當今競爭的一個制高點。
計算機信息技術的焦點集中在網路技術,開放系統,小型化,多媒體這四大技術上。
安全——internet的發展將會對社會、經濟、文化和科技帶來巨大推動和沖擊。但同時,internet在全世界迅速發展也引起了一系列問題。由於internet強調它的開放性和共享性,其採用的tcp/ip、snmp等技術的安全性很弱,本身並不為用戶提供高度的安全保護,internet自身是一個開放系統,因此是一個不設防的網路空間。隨著internet網上用戶的日益增加,網上的犯罪行為也越來越引起人們的重視。
對信息安全的威脅主要包括:
內部泄密
內部工作人員將內部保密信息通過e-mail發送出去或用ftp的方式送出去。
「黑客」入侵
「黑客」入侵是指黑客通過非法連接、非授權訪問、非法得到服務、病毒等方式直接攻入內部網,對其進行侵擾。這可直接破壞重要系統、文件、數據,造成系統崩潰、癱瘓,重要文件與數據被竊取或丟失等嚴重後果。
電子諜報
外部人員通過業務流分析、竊取,獲得內部重要情報。這種攻擊方式主要是通過一些日常社會交往獲取有用信息,從而利用這些有用信息進行攻擊。如通過竊聽別人的談話,通過看被攻擊對象的公報等獲取一些完整或不完整的有用信息,再進行攻擊。
途中侵擾
外部人員在外部線路上進行信息篡改、銷毀、欺騙、假冒。
差錯、誤操作與疏漏及自然災害等。
信息戰——信息系統面臨的威脅大部分來源於上述原因。對於某些組織,其威脅可能有所變化。全球范圍 內的競爭興起,將我們帶入了信息戰時代。
現代文明越來越依賴於信息系統,但也更易遭受信息戰。信息戰是對以下方面數據的蓄意攻擊:
?機密性和佔有性
?完整性和真實性
?可用性與佔用性
信息戰將危及個體、團體;政府部門和機構;國家和國家聯盟組織。信息戰是延伸進和經過cyberspace進行的戰爭新形式。
如果有必要的話,也要考慮到信息戰對網路安全的威脅。一些外國政府和有組織的恐怖分子、間諜可能利用「信息戰」技術來破壞指揮和控制系統、公用交換網和其它國防部依靠的系統和網路以達到破壞軍事行動的目的。造成災難性損失的可能性極大。從防禦角度出發,不僅要考慮把安全策略制定好,而且也要考慮到信息基礎設施應有必要的保護和恢復機制。
經費——是否投資和投資力度
信息系統是指社會賴以對信息進行管理、控制及應用的計算機與網路。其信息受損或丟失的後果將影響到社會各個方面。
在管理中常常視安全為一種保障措施,它是必要的,但又令人討厭。保障措施被認為是一種開支而非一種投資。相反地,基於這樣一個前提,即系統安全可以防止災難。因此它應是一種投資,而不僅僅是為恢復所付出的代價。
二、 風險評估
建網定位的原則:國家利益,企業利益,個人利益。
信息安全的級別:
1.最高級為安全不用
2.秘密級:絕密,機密,秘密
3.內部
4.公開
建網的安全策略,應以建網定位的原則和信息安全級別選擇的基礎上制定。
網路安全策略是網路安全計劃的說明,是設計和構造網路的安全性,以防禦來自內部和外部入侵者的行動 計劃及阻止網上泄密的行動計劃。
保險是對費用和風險的一種均衡。首先,要清楚了解你的系統對你的價值有多大,信息值須從兩方面考慮:它有多關鍵,它有多敏感。其次,你還須測定或者經常的猜測面臨威脅的概率,才有可能合理地制定安全策略和進程。
風險分析法可分為兩類:定量風險分析和定性風險分析。定量風險分析是建立在事件的測量和統計的基礎上,形成概率模型。定量風險分析最難的部分是評估概率。我們不知道事件何時發生,我們不知道這些攻擊的代價有多大或存在多少攻擊;我們不知道外部人員造成的人為威脅的比重為多少。最近,利用適當的概率分布,應用monte carlo(蒙特卡羅)模擬技術進行模塊風險分析。但實用性不強,較多的使用定性風險。
風險分析關心的是信息受到威脅、信息對外的暴露程度、信息的重要性及敏感度等因素,根據這些因素進行綜合評價。
一般可將風險分析列成一個矩陣:
將以上權重組合,即:
得分 = ( 威脅 × 透明 ) + ( 重要性 × 敏感度 )
= ( 3 × 3 ) + ( 5 × 3) = 24
根據風險分析矩陣可得出風險等級為中風險。
網路安全策略開發必須從詳盡分析敏感性和關鍵性上開始。風險分析,在信息戰時代,人為因素也使風險分析變得更難了。
三、體系結構
應用系統工程的觀點、方法來分析網路的安全,根據制定的安全策略,確定合理的網路安全體系結構。
網路劃分:
1、公用網
2、專用網:
(1)保密網
(2)內部網
建網的原則:
從原則上考慮:例如選取國家利益。
從安全級別上:1,最高級為安全不用,無論如何都是不可取的。2,3,4 全部要考慮。
因此按保密網、內部網和公用網或按專用網和公用網來建設,採用在物理上絕對分開,各自獨立的體系結構。
四、公用網
舉例說明(僅供參考),建網初期的原則:
1、任何內部及涉密信息不準上網。
2、以外用為主,獲取最新相關的科技資料,跟蹤前沿科技。
3、只開發e-mail,ftp,www功能,而telnet,bbs不開發,telnet特殊需要的經批准給予臨時支持。說明一下,建網時,www功能還沒有正常使用。
4、撥號上網嚴格控制,除領導,院士,專家外,一般不批准。原因是,撥號上網的隨意性和方便性使得網路安全較難控制。
5、網路用戶嚴格經領導、保密辦及網路部三個部門審批上網。
6、單位上網機器與辦公機器截然分開,定期檢查。
7、簽定上網保證書,確定是否非政治,非保密,非黃毒信息的上網,是否侵犯知識產權,是否嚴格守法。
8、對上網信息的內容進行審查、審批手續。
為了使更多的科技人員及其他需要的人員上網,採用逐步分階段實施,在安全設施配齊後,再全面開放。
五、公用網路安全設施的考慮
1. 信息稽查:從國家利益考慮,對信息內容進行審查、審批手續。
信息截獲,稽查後,再傳輸是最好的辦法。由於機器速度慢,決定了不可能實時地進行信息交流,因而難於實時稽查。
信息復制再分析是可行的辦法。把信件及文件復制下來,再按涉密等關鍵片語檢索進行檢查,防止無意識泄密時有據可查。起到威懾作用和取證作用。
2. 防火牆:常規的安全設施。
3. 網路安全漏洞檢查:各種設備、操作系統、應用軟體都存在安全漏洞,起到堵和防的兩種作用。
4. 信息代理:
(1)主要從保密上考慮。如果一站點的某一重要信息,被某一單位多人次的訪問,按概率分析,是有必然的聯系,因此是否暴露自己所從事的事業。
(2)可以提高信息的交換速度。
(3)可以解決ip地址不足的問題。
5. 入侵網路的安全檢查設施,應該有。但是,由於事件和手法的多樣性、隨機性,難度很大,目前還不具備,只能使用常規辦法,加上人員的分析。
六、 專用網路及單機安全設施的考慮,重點是保密網
1,專用屏蔽機房;
2,低信息輻射泄露網路;
3,低信息輻射泄露單機。
七、安全設備的選擇原則
不能讓外國人給我們守大門
1、按先進國家的經驗,考慮不安全因素,網路介面設備選用本國的,不使用外國貨。
2、網路安全設施使用國產品。
3、自行開發。
網路的拓撲結構:重要的是確定信息安全邊界
1、一般結構:外部區、公共服務區、內部區。
2、考慮國家利益的結構:外部區、公共服務區、內部區及稽查系統和代理伺服器定位。
3、重點考慮撥號上網的安全問題:遠程訪問伺服器,放置在什麼位置上,能滿足安全的需求。
八、 技術和管理同時並舉
為了從技術上保證網路的安全性,除對自身面臨的威脅進行風險評估外,還應決定所需要的安全服務種類,並選擇相應的安全機制,集成先進的安全技術。
歸納起來,考慮網路安全策略時,大致有以下步驟:
? 明確安全問題:明確目前和近期、遠期的網路應用和需求;
? 進行風險分析,形成風險評估報告,決定投資力度;
? 制定網路安全策略;
? 主管安全部門審核;
? 制定網路安全方案,選擇適當的網路安全設備,確定網路安全體系結構;
? 按實際使用情況,檢查和完善網路安全方案。
5. 計算機網路體系結構的概念是什麼
計算機網路體系結構是指計算機網路層次結構模型,它是各層的協議以及層次之間的埠的集合。在計算機網路中實現通信必須依靠網路通信協議,目前廣泛採用的是國際標准化組織(ISO)1997年提出的開放系統互聯(Open System Interconnection,OSI)參考模型,習慣上稱為ISO/OSI參考模型。
計算機網路體系結構的標准
由國際化標准組織ISO制定的網路體系結構國際標準是 OSI七層模型,但實際中應用最廣泛的是 TCP/IP體系結構。換句話說,OSI七層模型只是理論上的、官方制定的國際標准,而TCP/IP體系結構才是事實上的國際標准。這看起來是不可理喻的,但這卻是實際存在的,是一些歷史原因造成的,無疑這些原因又是復雜的。
OSI標準的制定者以專家、學者為主,他們缺乏實際經驗和商業驅動力,並且OSI標准自身運行效率也不怎麼好。與此同時,由於Inernet在全世界覆蓋了相當大的范圍,並且佔領市場的標準是TCP/IP體系結構,因此導致OSI標准沒有市場背景,也就只是理論上的成果,並沒有過多地應用於實踐。