电子商务系统的网络设施

1第三讲电子商务系统的网络设施2主要内容：1、网络设施2、电子商务系统与Internet的连接方式3、防火墙31、网络设施InternetIntranetExtranet4主要内容：1、网络设施2、电子商务系统与Internet的连接方式3、防火墙52、电子商务系统与Internet的连接方式2.1专线接入2.2服务器托管2.3虚拟主机2.4数据中心62.1专线接入通过专门的线路将企业的工作环境接入到Internet。这里的专线是指所有能够连接Internet的连接线路方式，包括DDN专线、帧中继FR、光纤等形式。缺点：专线方式是所有的接入方式中最昂贵的，除了连接线路的费用之外，还需要有自己的路由器和服务器。此外根据网站访问量的大小，对服务器的要求也大不一样，从几万元到几十万元不等，甚至百万元以上。72.1专线接入优点：服务器在自己企业的工作环境中，所以开发和维护非常方便，同时，一条专线可以连接多种服务，也就是说可以同时拥有自己的E-mail服务器、SSH服务器以及代理服务器等，整个企业的计算机都可以通过一条专线上网，所以对于某些内部上网需求量大的单位，专线接入应该是一种最节约的方式。82.2服务器托管服务器托管（主机托管）是指为了提高网站的访问速度，将企业的服务器及相关设备托管到具有完善机房设施、高品质网络环境、丰富带宽资源和运营经验、可对用户的网络和设备进行实时监控的网络数据中心内（如电信局或其他提供托管服务的网络公司），以此使系统达到安全、可靠、稳定、高效运行的目的。托管的服务器可以由企业自己进行维护，也可以由其它的授权人进行远程维护。9当企业有意建设自己的Web、E-mail、FTP服务器，并且企业网站的应用很复杂或网站的访问率很高时，企业可以选择自已购买服务器，进行整机托管。优点：收费与专线接入的费用比较起来要低得多，而且能提供这项服务的地方一般都有较高的网络带宽，可以提供很好的访问速度。2.2服务器托管102.3虚拟主机许多ISP不仅有富余的网络带宽，而且还有剩余磁盘空间租用给用户。虚拟主机，就是在网络服务器上划分出一定的磁盘空间供用户放置站点、应用组件等，提供必要的站点功能与数据存放、传输功能。优点：可以省去自己购买服务器的开支，并且同样可以获得较高的访问速度。缺点：由于没有对服务器的自主权，所受的限制也就特别多，例如远程管理有限、软件不便安装等。11★什么是虚拟主机？Internet上联有上亿台计算机，这些计算机不管是什么机型、运行什么操作系统、使用什么软件，都可以归结为两大类：客户机和服务器。客户机是访问别人信息的机器。当通过电信或其他ISP上网时，电脑就被临时分配了一个IP地址，利用这个临时身份证，就可以在Internet上获取信息，断线后，电脑就脱离了Internet，IP地址也被收回。服务器是提供信息让别人访问的机器，通常称为主机。由于人们任何时候都可能访问它，因此作为主机必须每时每刻都连接在Internet上，拥有自己永久的IP地址。为此不仅得设置专用的电脑硬件，还得租用昂贵的数据专线，再加上各种维护费用如房租、人工、电费等，企业较难承受。12★什么是虚拟主机？虚拟主机技术可以把一台真正的主机分成许多“虚拟”的主机，每一台虚拟主机都具有独立的域名和IP地址（或共享的IP地址），具有完整的Internet服务器功能（支持WWW,FTP,E-mail等）。在同一台硬件、同一个操作系统上，运行着为多个用户打开的不同的服务器程序，互不干扰；而各个用户拥有自己的一部分系统资源（IP地址、文件存储空间、内存、CPU时间等）。虚拟主机之间完全独立，在外界看来，每一台虚拟主机和一台独立的主机的表现完全一样。但一台服务器主机只能够支持一定数量的虚拟主机，当超过这个数量时，用户将会感到性能急剧下降。13★什么是虚拟主机？虚拟主机的优势是费用低廉。由于多台虚拟主机共享一台真实主机的资源，每个虚拟主机用户承受的硬件费用、网络维护费用、线路通信费用均大幅度降低。目前，许多企业建立网站都采用这种方法，这样不仅大大节省了购买机器和租用专线的费用，同时也不必为使用和维护服务器的技术问题担心，更不必聘用专门的管理人员。142.4数据中心为了更好的支持主机托管和虚拟主机服务，ISP建立起环境更为优越的数据中心。数据中心拥有更大的机房面积，可以存放上千台主机，不仅提供普通市电，还提供UPS甚至发电机组，大功率的空调保证机房内恒温恒湿，另外还提供消防和保安防护系统。15★UPS（不间断电源）UPS（UninterruptiblePowerSupply）不间断电源，是能够提供持续、稳定、不间断的电源供应的重要外部设备。它可以保障计算机系统在停电之后继续工作一段时间以使用户能够紧急存盘，不致因停电而影响工作或丢失数据。UPS在计算机系统和网络应用中，主要起到两个作用：一是应急使用，防止突然断电而影响正常工作，给计算机造成损害；二是消除市电上的电涌、瞬间高/低电压、电线噪声等“电源污染”，改善电源质量，为计算机系统提供高质量的电源。162.4数据中心网络接入方面，数据中心提供高带宽（100M以上）接入到互联主干网。为保证用户的访问速度，可以在各地分别设立分数据中心或者各个数据中心进行合作，互为对方用户主机建立镜像，最大限度地提高服务质量。为了保证网络安全，数据中心还设立了防火墙及防病毒系统，最大限度地保证用户网络软件平台的安全。17主要内容：1、网络设施2、电子商务系统与Internet的连接方式3、防火墙183、防火墙3.1防火墙的基本概念3.2防火墙的功能3.3防火墙的分类3.4防火墙的选择原则193.1防火墙的基本概念防火墙是一组软、硬件设备的组合，它在内部网络（专用网络）与外部网络（公用网络）之间形成一道安全保护屏障，以防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。防火墙能增强组织内部网络的安全性。防火墙系统决定了外界可以访问哪些内部服务；外界的哪些人可以访问内部服务；内部人员可以访问哪些外部服务。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。203.2防火墙的功能（1）网络安全控制防火墙能够过滤掉不安全的服务和请求，从而降低网络安全的风险。能够监测、限制信息流从一个安全控制点进入或离开。允许网络管理员定义一个中心点来防止非法用户进入内部网络。（2）屏蔽内部信息使用防火墙就是要使内部网络与外部网络隔断，让外部网络的用户在未经授权的情况下不能访问内部网络，尽可能的隐藏内部的信息、结构和运行情况。通过防火墙对内部网络的划分，还可以实现对重点网络的隔离。21223.2防火墙的功能（3）提供日志和审计功能通过防火墙的所有访问都应该能够记录到日志文件中，同时也应该提供网络流量以及使用情况的统计数据。提供计费服务。（4）提供报警服务当有潜在的威胁的访问或请求经过防火墙时，防火墙不仅应该记录其动作，还应及时向系统管理报警。（5）部署NAT将有限的IP地址动态或静态的与内部的IP地址对应起来，用来缓解地址空间短缺的问题。23★NAT在一个网络内部，根据需要可以随意自定义IP地址而不需要经过申请，网络内部各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部Internet网络进行通讯时，具有NAT功能的设备负责将其内部的IP地址转换为合法的IP地址进行通信。24★NATNAT（NetworkAddressTranslation，网络地址转换），是一种把内部网络的私有IP地址（如企业内部网Intranet）翻译成合法网络IP地址（如互联网Internet）的技术。通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少IP地址注册的费用，也可以有效解决目前网络环境中IP地址短缺的问题，节省目前越来越缺乏的地址空间（IPv4）。同时，这也对外隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。25IPv4目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议，是TCP/IP协议族的核心协议。目前IP协议的版本号是4（简称为IPv4，v－version版本），核心技术属于美国。IPv4的地址位数为32位，其最大问题是网络地址资源有限，从理论上讲，IPv4技术可使用的IP地址有43亿个，其中北美占有3/4，约30亿个，而人口最多的亚洲只有不到4亿个，中国只有3千多万个，只相当于美国麻省理工学院的数量。地址不足，严重地制约了我国及其他国家互联网的应用和发展。26IPv6IPv6（InternetProtocolVersion6，互联网协议第6版），采用128位地址长度，按保守方法估算IPv6实际可分配的地址，整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外，还考虑了在IPv4中解决不好的其它问题，主要有端到端IP连接、服务质量（QoS）、安全性、多播、移动性、即插即用等。27IPv6IPv6也会造成大量的IP地址浪费。使用IPv6的网络并没有2128-1个能充分利用的地址。首先，要实现IP地址的自动配置，局域网所使用的子网的前缀必须等于64，但是很少有一个局域网能容纳264个网络终端；其次，由于IPv6的地址分配必须遵循聚类的原则，地址的浪费在所难免。但是，如果说IPv4实现的只是人机对话，而IPv6则扩展到任意事物之间的对话，它不仅可以为人类服务，还将服务于众多硬件设备，如家用电器、传感器、远程照相机、汽车等，它将是无时不在、无处不在的深入社会每个角落的真正的宽带网，而且它所带来的经济效益将非常巨大。28★NATNAT的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。情况2：一个企业申请的合法InternetIP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。293.3防火墙的分类包过滤型代理服务器型30包过滤型防火墙包过滤型的技术依据是网络中的分包传输技术。网络上的数据都是以“数据包”为单位进行传输的，数据被分割成一定大小的数据包，每一个数据包中都包含诸如数据源地址、目标地址、TCP/UDP端口号等特定信息。包过滤型防火墙在网络间相互连接的设备上加载允许（或禁止）来自某些特定的源地址、目标地址、TCP端口号等规则，通过读取数据包中的信息并与系统管理员制定的规则表进行对比，对通过设备的数据包进行检查，限制数据包进出内部网络。31包过滤型防火墙优点：廉价逻辑简单，易于安装和使用32包过滤型防火墙缺点：安全控制层次在网络层，只能根据数据包的源地址、目标地址和端口号等信息进行判断，不能判断高级协议里的数据是否有害，无法识别基于应用层的恶意入侵，例如恶意的Java小程序以及现在比较流行的通过电子邮件中附带病毒等。因为数据包的源地址、目标地址、端口号等信息在数据包的头部，有经验的黑客很容易通过窃听和假冒，骗过包过滤型的防火墙。所以包过滤型防火墙只能进行较为初步的安全控制。33代理服务器型防火墙代理服务器作为一个为用户保密或者突破访问限制的数据转发通道，在网络上应用广泛。一个完整的代理设备包含一个服务端和客户端，服务端接收来自用户的请求，调用自身的客户端模拟一个基于用户请求的连接到目标服务器，再把目标服务器返回的数据转发给用户，完成一次代理工作过程。在一台代理设备的服务端和客户端之间连接一个过滤措施的思想造就了“应用代理”防火墙，这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器，但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为“应用协议分析”的新技术。34代理服务器型防火墙优