试谈电子商务系统的网络设施.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,*,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第三讲 电子商务系统网络设施,1,试谈电子商务系统的网络设施,第1页,主要内容：,1、网络设施,2、电子商务系统与Internet连接方式,3、防火墙,2,试谈电子商务系统的网络设施,第2页,1、网络设施,Internet,Intranet,Extranet,3,试谈电子商务系统的网络设施,第3页,主要内容：,1、网络设施,2、电子商务系统与Internet连接方式,3、防火墙,4,试谈电子商务系统的网络设施,第4页,2、电子商务系统与Internet连接方式,2.1 专线接入,2.2 服务器托管,2.3 虚拟主机,2.4 数据中心,5,试谈电子商务系统的网络设施,第5页,2.1 专线接入,经过专门线路将企业工作环境接入到Internet。这里专线是指全部能够连接Internet连接线路方式，包含DDN专线、帧中继FR、光纤等形式。,缺点：专线方式是全部接入方式中最昂贵，除了连接线路费用之外，还需要有自己路由器和服务器。另外依据网站访问量大小，对服务器要求也大不一样，从几万元到几十万元不等，甚至百万元以上。,6,试谈电子商务系统的网络设施,第6页,2.1 专线接入,优点：服务器在自己企业工作环境中，所以开发和维护非常方便，同时，一条专线能够连接各种服务，也就是说能够同时拥有自己E-mail服务器、SSH服务器以及代理服务器等，整个企业计算机都能够经过一条专线上网，所以对于一些内部上网需求量大单位，专线接入应该是一个最节约方式。,7,试谈电子商务系统的网络设施,第7页,2.2 服务器托管,服务器托管（主机托管）是指为了提升网站访问速度，将企业服务器及相关设备托管到含有完善机房设施、高品质网络环境、丰富带宽资源和运行经验、可对用户网络和设备进行实时监控网络数据中心内（如电信局或其它提供托管服务网络企业），以此使系统到达安全、可靠、稳定、高效运行目标。,托管服务器能够由企业自己进行维护，也能够由其它授权人进行远程维护。,8,试谈电子商务系统的网络设施,第8页,当企业有意建设自己Web、E-mail、FTP服务器，而且企业网站应用很复杂或网站访问率很高时，企业能够选择自已购置服务器，进行整机托管。,优点：收费与专线接入费用比较起来要低得多，而且能提供这项服务地方普通都有较高网络带宽，能够提供很好访问速度。,2.2 服务器托管,9,试谈电子商务系统的网络设施,第9页,2.3 虚拟主机,许多ISP不但有充裕网络带宽，而且还有剩下磁盘空间租用给用户。虚拟主机，就是在网络服务器上划分出一定磁盘空间供用户放置站点、应用组件等，提供必要站点功效与数据存放、传输功效。,优点：能够省去自己购置服务器开支，而且一样能够取得较高访问速度。,缺点：因为没有对服务器自主权，所受限制也就尤其多，比如远程管理有限、软件不便安装等。,10,试谈电子商务系统的网络设施,第10页,什么是虚拟主机？,Internet上联有上亿台计算机，这些计算机不论是什么机型、运行什么操作系统、使用什么软件，都能够归结为两大类：客户机和服务器。,客户机是访问他人信息机器。当经过电信或其它ISP上网时，电脑就被暂时分配了一个IP地址，利用这个暂时身份证，就能够在Internet上获取信息，断线后，电脑就脱离了Internet，IP地址也被收回。,服务器是提供信息让他人访问机器，通常称为主机。因为人们任何时候都可能访问它，所以作为主机必须每时每刻都连接在Internet上，拥有自己永久IP地址。为此不但得设置专用电脑硬件，还得租用昂贵数据专线，再加上各种维护费用如房租、人工、电费等，企业较难承受。,11,试谈电子商务系统的网络设施,第11页,什么是虚拟主机？,虚拟主机技术能够把一台真正主机分成许多“虚拟”主机，每一台虚拟主机都含有独立域名和IP地址（或共享IP地址），含有完整Internet服务器功效（支持WWW,FTP,E-mail等）。,在同一台硬件、同一个操作系统上，运行着为多个用户打开不一样服务器程序，互不干扰；而各个用户拥有自己一部分系统资源（IP地址、文件存放空间、内存、CPU时间等）。,虚拟主机之间完全独立，在外界看来，每一台虚拟主机和一台独立主机表现完全一样。,但一台服务器主机只能够支持一定数量虚拟主机，当超出这个数量时，用户将会感到性能急剧下降。,12,试谈电子商务系统的网络设施,第12页,什么是虚拟主机？,虚拟主机优势是费用低廉。因为多台虚拟主机共享一台真实主机资源，每个虚拟主机用户承受硬件费用、网络维护费用、线路通信费用均大幅度降低。,当前，许多企业建立网站都采取这种方法，这么不但大大节约了购置机器和租用专线费用，同时也无须为使用和维护服务器技术问题担心，更无须聘用专门管理人员。,13,试谈电子商务系统的网络设施,第13页,2.4 数据中心,为了更加好支持主机托管和虚拟主机服务，ISP建立起环境更为优越数据中心。,数据中心拥有更大机房面积，能够存放上千台主机，不但提供普通市电，还提供UPS甚至发电机组，大功率空调确保机房内恒温恒湿，另外还提供消防和保安防护系统。,14,试谈电子商务系统的网络设施,第14页,UPS（不间断电源）,UPS（Uninterruptible Power Supply）不间断电源，是能够提供连续、稳定、不间断电源供给主要外部设备。它能够保障计算机系统在停电之后继续工作一段时间以使用户能够紧急存盘，不致因停电而影响工作或丢失数据。,UPS在计算机系统和网络应用中，主要起到两个作用：一是应急使用，预防突然断电而影响正常工作，给计算机造成损害；二是消除市电上电涌、瞬间高/低电压、电线噪声等“电源污染”，改进电源质量，为计算机系统提供高质量电源。,15,试谈电子商务系统的网络设施,第15页,2.4 数据中心,网络接入方面，数据中心提供高带宽（100M以上）接入到互联主干网。为确保用户访问速度，能够在各地分别设置分数据中心或者各个数据中心进行合作，互为对方用户主机建立镜像，最大程度地提升服务质量。,为了确保网络安全，数据中心还设置了防火墙及防病毒系统，最大程度地确保用户网络软件平台安全。,16,试谈电子商务系统的网络设施,第16页,主要内容：,1、网络设施,2、电子商务系统与Internet连接方式,3、防火墙,17,试谈电子商务系统的网络设施,第17页,3、防火墙,3.1 防火墙基本概念,3.2 防火墙功效,3.3 防火墙分类,3.4 防火墙选择标准,18,试谈电子商务系统的网络设施,第18页,3.1 防火墙基本概念,防火墙是一组软、硬件设备组合，它在内部网络（专用网络）与外部网络（公用网络）之间形成一道安全保护屏障，以预防非法用户访问内部网络上资源和非法向外传递内部信息，同时也预防这类非法和恶意网络行为造成内部网络运行遭到破坏。,防火墙能增强组织内部网络安全性。防火墙系统决定了外界能够访问哪些内部服务；外界哪些人能够访问内部服务；内部人员能够访问哪些外部服务。防火墙必须只允许授权数据经过，而且防火墙本身也必须能够免于渗透。,19,试谈电子商务系统的网络设施,第19页,3.2 防火墙功效,（1）网络安全控制,防火墙能够过滤掉不安全服务和请求，从而降低网络安全风险。能够监测、限制信息流从一个安全控制点进入或离开。允许网络管理员定义一个中心点来预防非法用户进入内部网络。,（2）屏蔽内部信息,使用防火墙就是要使内部网络与外部网络隔断，让外部网络用户在未经授权情况下不能访问内部网络，尽可能隐藏内部信息、结构和运行情况。经过防火墙对内部网络划分，还能够实现对重点网络隔离。,20,试谈电子商务系统的网络设施,第20页,21,试谈电子商务系统的网络设施,第21页,3.2 防火墙功效,（3）提供日志和审计功效,经过防火墙全部访问都应该能够统计到日志文件中，同时也应该提供网络流量以及使用情况统计数据。提供计费服务。,（4）提供报警服务,当有潜在威胁访问或请求经过防火墙时，防火墙不但应该统计其动作，还应及时向系统管理报警。,（5）布署NAT,将有限IP地址动态或静态与内部IP地址对应起来，用来缓解地址空间短缺问题。,22,试谈电子商务系统的网络设施,第22页,NAT,在一个网络内部，依据需要能够随意自定义IP地址而不需要经过申请，网络内部各计算机间经过内部IP地址进行通讯。而当内部计算机要与外部Internet网络进行通讯时，含有NAT功效设备负责将其内部IP地址转换为正当IP地址进行通信。,23,试谈电子商务系统的网络设施,第23页,NAT,NAT（Network Address Translation，网络地址转换），是一个把内部网络私有IP地址（如企业内部网Intranet）翻译成正当网络IP地址（如互联网Internet）技术。,经过在内部使用非注册 IP 地址，并将它们转换为一小部分外部注册 IP 地址，从而降低IP 地址注册费用，也能够有效处理当前网络环境中IP地址短缺问题，节约当前越来越缺乏地址空间（IPv4）。同时，这也对外隐藏了内部网络结构，从而降低了内部网络受到攻击风险。,24,试谈电子商务系统的网络设施,第24页,IPv4,当前全球因特网所采取协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层协议，是TCP/IP协议族关键协议。当前IP协议版本号是4（简称为IPv4，vversion版本），关键技术属于美国。,IPv4地址位数为32位，其最大问题是网络地址资源有限，从理论上讲，IPv4技术可使用IP地址有43亿个，其中北美占有3/4，约30亿个，而人口最多亚洲只有不到4亿个，中国只有3千多万个，只相当于美国麻省理工学院数量。地址不足，严重地制约了我国及其它国家互联网应用和发展。,25,试谈电子商务系统的网络设施,第25页,IPv6,IPv6（Internet Protocol Version 6，互联网协议第6版），采取128位地址长度，按保守方法估算IPv6实际可分配地址，整个地球每平方米面积上仍可分配1000多个地址。在IPv6设计过程中除了一劳永逸地处理了地址短缺问题以外，还考虑了在IPv4中处理不好其它问题，主要有端到端IP连接、服务质量（QoS）、安全性、多播、移动性、即插即用等。,26,试谈电子商务系统的网络设施,第26页,IPv6,IPv6也会造成大量IP地址浪费。使用IPv6网络并没有2128-1个能充分利用地址。首先，要实现IP地址自动配置，局域网所使用子网前缀必须等于64，不过极少有一个局域网能容纳264个网络终端；其次，因为IPv6地址分配必须遵照聚类标准，地址浪费在所难免。,不过，如果说IPv4实现只是人机对话，而IPv6则扩展到任意事物之间对话，它不仅可认为人类服务，还将服务于众多硬件设备，如家用电器、传感器、远程摄影机、汽车等，它将是无时不在、无处不在深入社会每个角落真正宽带网，而且它所带来经济效益将非常巨大。,27,试谈电子商务系统的网络设施,第27页,NAT,NAT 应用环境：,情况1：一个企业不想让外部网络用户知道自己网络内部结构，能够经过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道经过NAT设置内部IP地址。,情况2：一个企业申请正当Internet IP地址极少，而内部网络用户很多。能够经过NAT功效实现多个用户同时公用一个正当IP与外部Internet 进行通信。,28,试谈电子商务系统的网络设施,第28页,3.3 防火墙分类,包过滤型,代理服务器型,29,试谈电子商务系统的网络设施,第29页,包过滤型防火墙,包过滤型技术依据是网络中分包传输技术。网络上数据都是以“数据包”为单位进行传输，数据被分割成一定大小数据包，每一个数据包中都包含诸如数据源地址、目标地址、TCP/UDP端口号等特定信息。,包过滤型防火墙在网络间相互连接设备上加载允许（或禁止）来自一些特定源地址、目标地址、TCP端口号等规则，经过读取数据包中信息并与系统管理员制订规则表进行对比，对经过设备数据包进行检验，限制数据包进出内部网络。,30,试谈电子商务系统的网络设施,第30页,包过滤型防火墙,优点：,廉价,逻辑简单，易于安装和使用,31,试谈电子商务系统的网络设施,第31页,包过滤型防火墙,缺点：,安全控制层次在网络层，只能依据数据包,源地址、目标地址和端口号等信息进行判断，不能判断高级协议里数据是否有害，无法识别基于应用层恶意入侵，比如,恶意Java小程序,以及现在比较流行经过电子邮件中附带病毒等。,因为数据包源地址、目标地址、端口号等信息在数据包头部，有经验黑客很轻易经过窃听和假冒，骗过包过滤型防火墙。所以包过滤型防火墙只能进行较为初步安全控制。,32,试谈电子商务系统的网络设施,第32页,代理服务器型防火墙,代理服务器作为一个为用户保密或者突破访问限制数据转发通道，在网络上应用广泛。,一个完整代理设备包含一个服务端和客户端，服务端接收来自用户请求，调用本身客户端模拟一个基于用户请求连接到目标服务器，再把目标服务器返回数据转发给用户，完成一次代理工作过程。,在一台代理设备服务端和客户端之间连接一个过滤办法思想造就了“应用代理”防火墙，这种防火墙实际上就是一台小型带有数据检测过滤功效透明代理服务器，不过它并不是单纯在一个代理设备中嵌入包过滤技术，而是一个被称为“应用协议分析”新技术。,33,试谈电子商务系统的网络设施,第33页,代理服务器型防火墙,优点：,“应用协议分析”技术工作在OSI模型最高层应用层，在这一层里能接触到全部数据都是最终形式，也就是说，代理防火墙“看到”数据和我们看到是一样，而不是一个个带着地址、端口协议等原始内容数据包，因而它能够实现更高级数据检测过程。代理防火墙不但能依据数据层提供信息判断数据，更能像管理员分析服务器日志那样“看”内容辨危害。,34,试谈电子商务系统的网络设施,第34页,因为工作在应用层，防火墙还能够实现双向限制，在过滤外部网络有害数据同时也监控着内部网络信息，管理员能够配置防火墙实现一个身份验证和连接时限功效，深入预防内部网络信息泄漏隐患。,因为代理防火墙采取代理机制进行工作，内外部网络之间通信都需先经过代理服务器审核，经过后再由代理服务器连接，根本没有给分隔在内外部网络两边计算机直接会话机会，能够防止入侵者使用“数据驱动”攻击方式（一个能经过包过滤型防火墙规则数据报文，不过当它进入计算机处理后，却变成能够修改系统设置和用户数据恶意代码）渗透内部网络，能够说，“应用代理”是比包过滤技术更完善防火墙技术。,35,试谈电子商务系统的网络设施,第35页,代理服务器型防火墙,缺点：,因为基于代理技术，经过防火墙每个连接都必须建立在为之创建代理程序进程上，代理进程本身就要消耗一定时间，更何况代理进程里还有一套复杂协议分析机制在同时工作，于是数据在经过代理防火墙时不可防止发生数据迟滞现象。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高安全性能，在网络吞吐量不是很大情况下，可能用户不会觉察到什么，不过在数据交换频繁时，代理防火墙就成了整个网络瓶颈，而且一旦防火墙硬件配置支撑不住高强度数据流量而发生罢工，整个网络可能会所以瘫痪。,所以，代理防火墙普及范围还远远不及包过滤型防火墙，而在软件防火墙方面更是几乎没见过类似产品单机并不具备代理技术所需条件，所以就当前庞大软件防火墙市场来说，代理防火墙极难有立足之地。,36,试谈电子商务系统的网络设施,第36页,3.4 防火墙选择标准,一、购置成本,其总拥有成本不应该超出受保护网络系统可能遭受最大损失。,充分考虑性能价格比，应该依据自己系统详细应用和要求来选购防火墙产品，防止大材小用，普通小型电子商务系统使用包过滤型防火墙就能够了，不过当建设一个大型电子商务系统时，就需要考虑使用代理服务器型防火墙。,37,试谈电子商务系统的网络设施,第37页,3.4 防火墙选择标准,二、服务和培训,人员培训和日常维护费用通常在总成本中占据了较大百分比，一个优异防火墙产品供给商必须为其用户提供良好培训和售后服务。,38,试谈电子商务系统的网络设施,第38页,3.4 防火墙选择标准,三、可管理性和可扩展性,防火墙产品方便易用性对一个网络安全系统来说也是极为主要，它能够大大减轻系统管理人员工作强度。,在系统建设早期，因为规模较小，遭受攻击损失不大，所以不需要购置过于复杂和昂贵防火墙产品。伴随系统规模不停扩大，风险成本随之增加，需要配置含有更高安全性防火墙产品。假如早期购置防火墙没有可扩充性或扩充性不强话，将造成投资极大浪费。好防火墙产品应该留给用户足够弹性空间，使用户能够依据自己需要选择适当产品，这么不但保护了用户投资，而且也扩大了产品覆盖面。,39,试谈电子商务系统的网络设施,第39页,3.4 防火墙选择标准,四、NAT技术,防火墙产品应能支持全部NAT技术，对内部地址进行转换，使外部网络无法了解内部网络结构。同时，使用NAT技术网络与外部网络连接只能由内部网络提出，极大提升了内部网络安全性。,40,试谈电子商务系统的网络设施,第40页,主要内容：,1、网络设施,2、电子商务系统与Internet连接方式,3、防火墙,41,试谈电子商务系统的网络设施,第41页,