第68章 计算机网络传播(5)

3.网络安全

（1）网络上的不安全因素

随着全球信息化的飞速发展，各种信息化系统已经成为国家和政府的关键基础设施，其中许多业务都是国际性的，如电信、电子商务、金融网络等。网络信息安全已成为亟待解决、影响国家全局和长远利益的关键问题。

计算机犯罪是一种高技术型犯罪，其犯罪具有隐蔽性，对网络安全构成极大威胁，已经引起全社会的普遍关注。随着因特网的广泛应用，采用C/S模式的Intranet纷纷建成，这使网络用户可以方便地访问和共享网络资源。但同时给企业的重要信息安全埋下了致命的威胁。这些威胁可分为两类：故意危害和无意危害。

故意危害因特网安全的主要有三种人：故意破坏者又称黑客（Hackers）、不遵守规则者（Vandals）和刺探秘密者（Crackers）。故意破坏者企图通过各种手段去破坏网络资源与信息，例如涂抹别人的主页、修改系统配置、造成系统瘫痪；不遵守规则者企图访问不允许访问的系统，这种人可能仅仅是到网中看看、找些资料，也可能想盗用别人的计算机资源；刺探秘密者的企图是通过非法手段侵入他人系统，以窃取重要秘密和个人资料。

除了泄露信息对企业网构成威胁之外，还有一种危险是有害信息的侵入，除了有人在网上传播一些不健康的或不负责任的消息，更主要的是病毒进入网络，轻则造成信息出误，严重时会造成网络瘫痪。

（2）防火墙（Firewall）技术

防火墙是在Intranet与Internet之间竖起的一道安全屏障，用以确定哪些服务可以被因特网上的用户访问，外部的哪些人可以访问内部的服务以及外部服务是否可以被内部人员访问等。

典型的防火墙系统由一个或多个构件组成，其主要部分是：包过滤路由器也称分组过滤路由器、应用层网关、电路层网关。

包过滤路由器对IP地址、TCP或UDP分组头信息进行检查与过滤，以确定是否与设备的过滤规则匹配，继而决定此数据包是按照路由表中的信息被转发还是被丢弃。这种方式主要优点是仅在关键位置设置一个包过滤路由器就可以保护整个网络，而且包过滤对用户是透明的，不必在用户机上再安装特定的软件。包过滤也有它的局限性，如包过滤规则配置比较复杂，而且几乎没有什么工具能对过滤规则的正确性进行测试；包过滤也没法查出具有数据驱动攻击这一类潜在危险的数据包；另外，随着过滤数目的增加，路由器的吞吐量会下降，从而影响网络性能。

应用层网关即通常所说的代理服务器。代理服务器运行在Internet和Intranet之间，当收到用户对某站点的访问请求后，会检查请求是否符合规则。若规则允许用户访问该站，代理服务器便会以客户身份去那个站点取回所需信息再发回给客户，因此从外部只能看到该代理服务器而无法获知任何内部资料（如用户的IP地址等）。应用层网关比单一的包过滤更可靠，而且会详细记录所有的访问状态。但是应用层网关也存在一些不足之处，首先它不允许用户直接访问网络，使访问速度变慢；而且应用层网关需要对每一个特定的Internet服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，对每一类服务要使用特定的客户端软件；而且并不是所有的Internet应用软件都可以使用代理服务器。

电路层网关是一种特殊功能，它也可以由应用层网关来完成。电路层网关只依赖于TCP连接，并不进行任何的包处理或过滤。在Telnet的连接中，电路层网关简单地进行了中继，并不做任何审查、过滤或协议管理。它只在内部连接和外部连接之间来回拷贝字节，但隐藏受保护网络的有关信息。电路层网关常用于对外连接，此时假设网络管理员对其内部用户是信任的。它的优点是主机可以被设置成混合网关，对于内连接它支持应用层或代理服务，而对于外连接支持电路层功能。这样，防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便，同时又能提供保护内部网络免于外部攻击的防火墙功能。

目前的防火墙技术可以起到以下安全作用：

①集中的网络安全。防火墙可以防止非法用户进入内部网络，禁止存在不安全因素的访问进出网络，并抗击来自各种线路的攻击。防火墙技术能够简化网络的安全管理、提高网络的安全性。

②安全警报。通过防火墙可以方便地监视网络的安全性，并产生报警信号。网络管理员必须审查并记录所有通过防火墙的重要信息。

③网络地址转换（NAT）。因特网的迅速发展使可分配的IP地址越来越少，进入因特网的机构可能申请不到足够的IP地址来满足内部网络用户的需要，这时可以通过NAT来完成内部地址到外部地址的映射。防火墙是部署NAT的理想位置。

④监视因特网的使用。防火墙也是审查和记录内部人员对因特网使用的一个最佳位置，可以在此对内部访问因特网的情况进行记录。

⑤向外发布信息。防火墙除了起到安全屏障的作用外，也是部署WWW服务器和FTP服务器的理想位置。允许因特网访问上述服务器，而禁止对内部受保护的其他系统进行访问。

但是，防火墙也有自身的局限性，它无法防范来自防火墙以外的其他途径进行的攻击。如在一个被保护的网络上有一个没有限制的拨号访问存在，这样就为从后门进行攻击留下了可能性；另外，防火墙也不能防止来自内部变节者或不经心的用户带来的威胁；同时防火墙也不能解决进入防火墙的数据带来的所有安全问题，如果用户抓来一个程序在本地运行，那个程序可能就包含一段恶意代码，从而导致敏感信息泄露或遭到破坏。

七、网络技术的最新发展

1.宽带网络技术

视频通信的关键是宽带网络技术，其最新发展有以下几个方面：

（1）利用自由空间光通信（FSO）传输视频信息

目前，能传输视频业务的宽带无线接入技术有多种，如VSAT宽带卫星广域接入、以IEEE802.16为代表的宽带无线接入系统（BWA，包括MMDS、LMDS）、中距离的无线本地环路技术、以IEEE802.11系列和HiperLAN为代表的无线局域网接入、IEEE802.15无线个人域网WPAN，还有蓝牙、红外线、超宽频以及Home RF为代表的短距离无线互联技术。最近，作为一种解决“最后一公里”瓶颈的方案，自由空间光通信（Free Space Optical Communication）技术也开始进入应用。

自由空间光通信是光纤通信与无线通信相结合的创新产物，它以大气为媒质，通过激光或光脉冲来传送数据信号。FSO网络有点到点、点到多点和网状三种组网方式。目前，当采用点到点的组网方式、传输距离在2～4公里之间时，FSO能支持155Mbps～10Gbps的传输速率；当采用点到多点的组网方式、传输距离为1～2公里时，FSO同样能支持155Mbps～10Gbps的传输速率；当采用网状组网方式、传输距离为200～400米时，FSO支持622Mbps的传输速率。其缺点是传输质量受飞物遮挡、大气环境等影响。FSO主要用于无线宽带接入，还可作为光纤通信系统的备份、城域网的扩展，FSO还非常适用于企业网、校园网等局域网，实现各局域网网段之间的互联。

（2）采用无源光网络（PON）传输视频信息

无源光网络技术是一种点对多点的光纤传输和接入技术，在光分支点不需要节点设备，只需要安装一个简单的光分支器，因此具有节省光缆资源、带宽资源共享、节省机房投资、设备安全性高、建网速度快、综合建网成本低等优点。

PON技术是实现FTTX最理想的宽带接入方式。PON包括ATM-PON（APON）和Ethernet-PON（EPON）两种形式。ATM-PON代表了宽带接入技术的最新发展方向，被认为是实现FTTB/C和FTTH的一种较好方法，并可以实现宽带数据业务与CATV业务的共网传送。EPON不仅能综合现有的有线电视、数据和话音业务，还能兼容未来业务如数字电视、VoIP、电视会议和VOD等等，实现综合业务接入。随着多协议标签交换（MPLS）等新的IP服务质量（QoS）技术的采用，高层协议与EPON MAC（介质访问控制子层）协议相配合，EPON已完全可能以相对较低的成本提供足够的QoS保证。加之EPON的价格优势明显，因而被认为是解决电信接入瓶颈问题、最终实现FTTH的优秀过渡方案。

2.NGN技术

下一代网络（Next Generation Network，简称NGN）是一种新兴的技术。所谓NGN是一个松散定义的术语，泛指一个不同于目前一代的、以数据为中心的融合网络。NGN是一个广义的概念，它包含了正在发生的网络构建方式的多种变革。

尽管对于下一代网络仍然争议颇多，但对NGN的研究步伐一直没有停滞，变革是一定的，但是如何演进和实施仍需深入研究和探讨。一般认为，NGN是可以提供包括语音、数据和多媒体等各种业务在内的综合开放的网络构架，具有以下特征：首先，下一代网络体系采用开放的网络构架体系，其特点有：将传统交换机的功能模块分离成为独立的网络部件，各个部件可以按相应的功能划分各自独立发展；部件间的协议接口基于相应的标准；部件化使得原有的电信网络逐步走向开放，运营商可以根据业务的需要自由组合各部分的功能产品来组建网络；部件间协议接口的标准化可以实现各种异构网的互通。

其次，下一代网络是业务驱动的网络，其功能特点是：业务与呼叫控制分离；呼叫与承载分离。分离的目标是使业务真正独立于网络，灵活有效地实现业务的提供。用户可以自行配置和定义自己的业务特征，不必关心承载业务的网络形式以及终端类型。使得业务和应用的提供有较大的灵活性。

再次，NGN是一个分组网络，它提供包括电信业务在内的多种业务，能够利用多种带宽和具有QoS能力的传送技术，实现业务功能与底层传送技术的分离；它允许用户对不同业务提供商网络的自由接入，并支持通用移动性，实现用户对业务使用的一致性和统一性。

另外，NGN是全业务的网络，包括电话和因特网接入业务、数据业务、视频流媒体业务、数字TV广播业务和移动业务；NGN的网络特征和技术特征是分组化传送（IP、MPLS、ATM、Ethernet）、支持移动管理功能、可管理的智能化网络。

第二节　网络设备和工具

常用网络设备和工具有客户端多媒体计算机、服务器、软件（WEB、FTP、EMAIL、DNS、数据库）、网络安全设备、路由器、交换机、集线器（HUB）、网卡、调制解调器（MODEM）以及布线系统，内容十分庞杂，本节仅简要介绍部分设备。

一、多媒体计算机

多媒体信息主要包括文本（Text）、图形（Graphics）、图像（Image）、音频（Audio）、视频（Video）和动画（Animation）等。多媒体计算机指以数字技术为基础，生成、存储、处理和传送多媒体信息的计算机。

1.多媒体计算机的产生和发展

多媒体计算机产生于20世纪八十年代中期。1984年美国Apple公司在苹果机Macintosh（也称为Mac）上引入了位图（Bitmap）概念进行图形处理，并使用了窗口（Windows）和图标（Icon）作为用户界面，加上引入鼠标（Mouse）作为交互设备，大大方便了用户的操作，标志着多媒体及多媒体技术的产生和应用。在这个基础上进一步发展，增加了语音压缩和真彩色图形系统等，使苹果机成为当时最好的多媒体计算机。

例如Macromedia公司著名的多媒体创作系统Director最早的版本只支持苹果机。

1985年，Commodore公司展示首台多媒体计算机系统，名称为Amiga。

尽管还没有考证出“多媒体”这个名词是由谁和什么时候开始第一次运用的，但是，1985年10月IEEE计算机杂志首次出版了完备的“多媒体通信”的专集，是文献中可以找到的最早的出处。

1985年，Microsoft公司推出了Windows图形操作系统。Windows使用鼠标驱动的图形菜单，从Windows1.x、3.x、NT、9x，到Windows2000、XP、vista等，是一个具有多媒体功能、用户界面友好的多层窗口操作系统。