試談電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)施

第三講電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)施1主要內(nèi)容：1、網(wǎng)絡(luò)設(shè)施2、電子商務(wù)系統(tǒng)與Internet的連接方式3、防火墻21、網(wǎng)絡(luò)設(shè)施InternetIntranetExtranet3主要內(nèi)容：1、網(wǎng)絡(luò)設(shè)施2、電子商務(wù)系統(tǒng)與Internet的連接方式3、防火墻42、電子商務(wù)系統(tǒng)與Internet的連接方式2.1專線接入2.2服務(wù)器托管2.3虛擬主機2.4數(shù)據(jù)中心52.1專線接入通過專門的線路將企業(yè)的工作環(huán)境接入到Internet。這里的專線是指所有能夠連接Internet的連接線路方式，包括DDN專線、幀中繼FR、光纖等形式。缺點：專線方式是所有的接入方式中最昂貴的，除了連接線路的費用之外，還需要有自己的路由器和服務(wù)器。此外根據(jù)網(wǎng)站訪問量的大小，對服務(wù)器的要求也大不一樣，從幾萬元到幾十萬元不等，甚至百萬元以上。62.1專線接入優(yōu)點：服務(wù)器在自己企業(yè)的工作環(huán)境中，所以開發(fā)和維護(hù)非常方便，同時，一條專線可以連接多種服務(wù)，也就是說可以同時擁有自己的E-mail服務(wù)器、SSH服務(wù)器以及代理服務(wù)器等，整個企業(yè)的計算機都可以通過一條專線上網(wǎng)，所以對于某些內(nèi)部上網(wǎng)需求量大的單位，專線接入應(yīng)該是一種最節(jié)約的方式。72.2服務(wù)器托管服務(wù)器托管（主機托管）是指為了提高網(wǎng)站的訪問速度，將企業(yè)的服務(wù)器及相關(guān)設(shè)備托管到具有完善機房設(shè)施、高品質(zhì)網(wǎng)絡(luò)環(huán)境、豐富帶寬資源和運營經(jīng)驗、可對用戶的網(wǎng)絡(luò)和設(shè)備進(jìn)行實時監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)（如電信局或其他提供托管服務(wù)的網(wǎng)絡(luò)公司），以此使系統(tǒng)達(dá)到安全、可靠、穩(wěn)定、高效運行的目的。托管的服務(wù)器可以由企業(yè)自己進(jìn)行維護(hù)，也可以由其它的授權(quán)人進(jìn)行遠(yuǎn)程維護(hù)。8當(dāng)企業(yè)有意建設(shè)自己的Web、E-mail、FTP服務(wù)器，并且企業(yè)網(wǎng)站的應(yīng)用很復(fù)雜或網(wǎng)站的訪問率很高時，企業(yè)可以選擇自已購買服務(wù)器，進(jìn)行整機托管。優(yōu)點：收費與專線接入的費用比較起來要低得多，而且能提供這項服務(wù)的地方一般都有較高的網(wǎng)絡(luò)帶寬，可以提供很好的訪問速度。2.2服務(wù)器托管92.3虛擬主機許多ISP不僅有富余的網(wǎng)絡(luò)帶寬，而且還有剩余磁盤空間租用給用戶。虛擬主機，就是在網(wǎng)絡(luò)服務(wù)器上劃分出一定的磁盤空間供用戶放置站點、應(yīng)用組件等，提供必要的站點功能與數(shù)據(jù)存放、傳輸功能。優(yōu)點：可以省去自己購買服務(wù)器的開支，并且同樣可以獲得較高的訪問速度。缺點：由于沒有對服務(wù)器的自主權(quán)，所受的限制也就特別多，例如遠(yuǎn)程管理有限、軟件不便安裝等。10★什么是虛擬主機？Internet上聯(lián)有上億臺計算機，這些計算機不管是什么機型、運行什么操作系統(tǒng)、使用什么軟件，都可以歸結(jié)為兩大類：客戶機和服務(wù)器。客戶機是訪問別人信息的機器。當(dāng)通過電信或其他ISP上網(wǎng)時，電腦就被臨時分配了一個IP地址，利用這個臨時身份證，就可以在Internet上獲取信息，斷線后，電腦就脫離了Internet，IP地址也被收回。服務(wù)器是提供信息讓別人訪問的機器，通常稱為主機。由于人們?nèi)魏螘r候都可能訪問它，因此作為主機必須每時每刻都連接在Internet上，擁有自己永久的IP地址。為此不僅得設(shè)置專用的電腦硬件，還得租用昂貴的數(shù)據(jù)專線，再加上各種維護(hù)費用如房租、人工、電費等，企業(yè)較難承受。11★什么是虛擬主機？虛擬主機技術(shù)可以把一臺真正的主機分成許多“虛擬”的主機，每一臺虛擬主機都具有獨立的域名和IP地址（或共享的IP地址），具有完整的Internet服務(wù)器功能（支持WWW,FTP,E-mail等）。在同一臺硬件、同一個操作系統(tǒng)上，運行著為多個用戶打開的不同的服務(wù)器程序，互不干擾；而各個用戶擁有自己的一部分系統(tǒng)資源（IP地址、文件存儲空間、內(nèi)存、CPU時間等）。虛擬主機之間完全獨立，在外界看來，每一臺虛擬主機和一臺獨立的主機的表現(xiàn)完全一樣。但一臺服務(wù)器主機只能夠支持一定數(shù)量的虛擬主機，當(dāng)超過這個數(shù)量時，用戶將會感到性能急劇下降。12★什么是虛擬主機？虛擬主機的優(yōu)勢是費用低廉。由于多臺虛擬主機共享一臺真實主機的資源，每個虛擬主機用戶承受的硬件費用、網(wǎng)絡(luò)維護(hù)費用、線路通信費用均大幅度降低。目前，許多企業(yè)建立網(wǎng)站都采用這種方法，這樣不僅大大節(jié)省了購買機器和租用專線的費用，同時也不必為使用和維護(hù)服務(wù)器的技術(shù)問題擔(dān)心，更不必聘用專門的管理人員。132.4數(shù)據(jù)中心為了更好的支持主機托管和虛擬主機服務(wù)，ISP建立起環(huán)境更為優(yōu)越的數(shù)據(jù)中心。數(shù)據(jù)中心擁有更大的機房面積，可以存放上千臺主機，不僅提供普通市電，還提供UPS甚至發(fā)電機組，大功率的空調(diào)保證機房內(nèi)恒溫恒濕，另外還提供消防和保安防護(hù)系統(tǒng)。14★UPS（不間斷電源）UPS（UninterruptiblePowerSupply）不間斷電源，是能夠提供持續(xù)、穩(wěn)定、不間斷的電源供應(yīng)的重要外部設(shè)備。它可以保障計算機系統(tǒng)在停電之后繼續(xù)工作一段時間以使用戶能夠緊急存盤，不致因停電而影響工作或丟失數(shù)據(jù)。UPS在計算機系統(tǒng)和網(wǎng)絡(luò)應(yīng)用中，主要起到兩個作用：一是應(yīng)急使用，防止突然斷電而影響正常工作，給計算機造成損害；二是消除市電上的電涌、瞬間高/低電壓、電線噪聲等“電源污染”，改善電源質(zhì)量，為計算機系統(tǒng)提供高質(zhì)量的電源。152.4數(shù)據(jù)中心網(wǎng)絡(luò)接入方面，數(shù)據(jù)中心提供高帶寬（100M以上）接入到互聯(lián)主干網(wǎng)。為保證用戶的訪問速度，可以在各地分別設(shè)立分?jǐn)?shù)據(jù)中心或者各個數(shù)據(jù)中心進(jìn)行合作，互為對方用戶主機建立鏡像，最大限度地提高服務(wù)質(zhì)量。為了保證網(wǎng)絡(luò)安全，數(shù)據(jù)中心還設(shè)立了防火墻及防病毒系統(tǒng)，最大限度地保證用戶網(wǎng)絡(luò)軟件平臺的安全。16主要內(nèi)容：1、網(wǎng)絡(luò)設(shè)施2、電子商務(wù)系統(tǒng)與Internet的連接方式3、防火墻173、防火墻3.1防火墻的基本概念3.2防火墻的功能3.3防火墻的分類3.4防火墻的選擇原則183.1防火墻的基本概念防火墻是一組軟、硬件設(shè)備的組合，它在內(nèi)部網(wǎng)絡(luò)（專用網(wǎng)絡(luò)）與外部網(wǎng)絡(luò)（公用網(wǎng)絡(luò)）之間形成一道安全保護(hù)屏障，以防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時也防止這類非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)的運行遭到破壞。防火墻能增強組織內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了外界可以訪問哪些內(nèi)部服務(wù)；外界的哪些人可以訪問內(nèi)部服務(wù)；內(nèi)部人員可以訪問哪些外部服務(wù)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，而且防火墻本身也必須能夠免于滲透。193.2防火墻的功能（1）網(wǎng)絡(luò)安全控制防火墻能夠過濾掉不安全的服務(wù)和請求，從而降低網(wǎng)絡(luò)安全的風(fēng)險。能夠監(jiān)測、限制信息流從一個安全控制點進(jìn)入或離開。允許網(wǎng)絡(luò)管理員定義一個中心點來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。（2）屏蔽內(nèi)部信息使用防火墻就是要使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔斷，讓外部網(wǎng)絡(luò)的用戶在未經(jīng)授權(quán)的情況下不能訪問內(nèi)部網(wǎng)絡(luò)，盡可能的隱藏內(nèi)部的信息、結(jié)構(gòu)和運行情況。通過防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，還可以實現(xiàn)對重點網(wǎng)絡(luò)的隔離。20213.2防火墻的功能（3）提供日志和審計功能通過防火墻的所有訪問都應(yīng)該能夠記錄到日志文件中，同時也應(yīng)該提供網(wǎng)絡(luò)流量以及使用情況的統(tǒng)計數(shù)據(jù)。提供計費服務(wù)。（4）提供報警服務(wù)當(dāng)有潛在的威脅的訪問或請求經(jīng)過防火墻時，防火墻不僅應(yīng)該記錄其動作，還應(yīng)及時向系統(tǒng)管理報警。（5）部署NAT

將有限的IP地址動態(tài)或靜態(tài)的與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題。22★NAT在一個網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義IP地址而不需要經(jīng)過申請，網(wǎng)絡(luò)內(nèi)部各計算機間通過內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計算機要與外部Internet網(wǎng)絡(luò)進(jìn)行通訊時，具有NAT功能的設(shè)備負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址進(jìn)行通信。

23★NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換），是一種把內(nèi)部網(wǎng)絡(luò)的私有IP地址（如企業(yè)內(nèi)部網(wǎng)Intranet）翻譯成合法網(wǎng)絡(luò)IP地址（如互聯(lián)網(wǎng)Internet）的技術(shù)。通過在內(nèi)部使用非注冊的IP地址，并將它們轉(zhuǎn)換為一小部分外部注冊的IP地址，從而減少IP地址注冊的費用，也可以有效解決目前網(wǎng)絡(luò)環(huán)境中IP地址短缺的問題，節(jié)省目前越來越缺乏的地址空間（IPv4）。同時，這也對外隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險。24IPv4目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP協(xié)議族。IP是TCP/IP協(xié)議族中網(wǎng)絡(luò)層的協(xié)議，是TCP/IP協(xié)議族的核心協(xié)議。目前IP協(xié)議的版本號是4（簡稱為IPv4，v－version版本），核心技術(shù)屬于美國。IPv4的地址位數(shù)為32位，其最大問題是網(wǎng)絡(luò)地址資源有限，從理論上講，IPv4技術(shù)可使用的IP地址有43億個，其中北美占有3/4，約30億個，而人口最多的亞洲只有不到4億個，中國只有3千多萬個，只相當(dāng)于美國麻省理工學(xué)院的數(shù)量。地址不足，嚴(yán)重地制約了我國及其他國家互聯(lián)網(wǎng)的應(yīng)用和發(fā)展。25IPv6IPv6（InternetProtocolVersion6，互聯(lián)網(wǎng)協(xié)議第6版），采用128位地址長度，按保守方法估算IPv6實際可分配的地址，整個地球的每平方米面積上仍可分配1000多個地址。在IPv6的設(shè)計過程中除了一勞永逸地解決了地址短缺問題以外，還考慮了在IPv4中解決不好的其它問題，主要有端到端IP連接、服務(wù)質(zhì)量（QoS）、安全性、多播、移動性、即插即用等。26IPv6IPv6也會造成大量的IP地址浪費。使用IPv6的網(wǎng)絡(luò)并沒有2128-1個能充分利用的地址。首先，要實現(xiàn)IP地址的自動配置，局域網(wǎng)所使用的子網(wǎng)的前綴必須等于64，但是很少有一個局域網(wǎng)能容納264個網(wǎng)絡(luò)終端；其次，由于IPv6的地址分配必須遵循聚類的原則，地址的浪費在所難免。但是，如果說IPv4實現(xiàn)的只是人機對話，而IPv6則擴展到任意事物之間的對話，它不僅可以為人類服務(wù)，還將服務(wù)于眾多硬件設(shè)備，如家用電器、傳感器、遠(yuǎn)程照相機、汽車等，它將是無時不在、無處不在的深入社會每個角落的真正的寬帶網(wǎng)，而且它所帶來的經(jīng)濟效益將非常巨大。27★NATNAT的應(yīng)用環(huán)境：情況1：一個企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開，則外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。情況2：一個企業(yè)申請的合法InternetIP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多。可以通過NAT功能實現(xiàn)多個用戶同時公用一個合法IP與外部Internet進(jìn)行通信。283.3防火墻的分類包過濾型代理服務(wù)器型29包過濾型防火墻包過濾型的技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“數(shù)據(jù)包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都包含諸如數(shù)據(jù)源地址、目標(biāo)地址、TCP/UDP端口號等特定信息。包過濾型防火墻在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許（或禁止）來自某些特定的源地址、目標(biāo)地址、TCP端口號等規(guī)則，通過讀取數(shù)據(jù)包中的信息并與系統(tǒng)管理員制定的規(guī)則表進(jìn)行對比，對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。30包過濾型防火墻優(yōu)點：廉價邏輯簡單，易于安裝和使用31包過濾型防火墻缺點：安全控制層次在網(wǎng)絡(luò)層，只能根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址和端口號等信息進(jìn)行判斷，不能判斷高級協(xié)議里的數(shù)據(jù)是否有害，無法識別基于應(yīng)用層的惡意入侵，例如惡意的Java小程序以及現(xiàn)在比較流行的通過電子郵件中附帶病毒等。因為數(shù)據(jù)包的源地址、目標(biāo)地址、端口號等信息在數(shù)據(jù)包的頭部，有經(jīng)驗的黑客很容易通過竊聽和假冒，騙過包過濾型的防火墻。所以包過濾型防火墻只能進(jìn)行較為初步的安全控制。32代理服務(wù)器型防火墻代理服務(wù)器作為一個為用戶保密或者突破訪問限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道，在網(wǎng)絡(luò)上應(yīng)用廣泛。一個完整的代理設(shè)備包含一個服務(wù)端和客戶端，服務(wù)端接收來自用戶的請求，調(diào)用自身的客戶端模擬一個基于用戶請求的連接到目標(biāo)服務(wù)器，再把目標(biāo)服務(wù)器返回的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶，完成一次代理工作過程。在一臺代理設(shè)備的服務(wù)端和客戶端之間連接一個過濾措施的思想造就了“應(yīng)用代理”防火墻，這種防火墻實際上就是一臺小型的帶有數(shù)據(jù)檢測過濾功能的透明代理服務(wù)器，但是它并不是單純的在一個代理設(shè)備中嵌入包過濾技術(shù)，而是一種被稱為“應(yīng)用協(xié)議分析”的新技術(shù)。33代理服務(wù)器型防火墻優(yōu)點：“應(yīng)用協(xié)議分析”技術(shù)工作在OSI模型的最高層——應(yīng)用層，在這一層里能接觸到的所有數(shù)據(jù)都是最終形式，也就是說，代理防火墻“看到”的數(shù)據(jù)和我們看到的是一樣的，而不是一個個帶著地址、端口協(xié)議等原始內(nèi)容的數(shù)據(jù)包，因而它可以實現(xiàn)更高級的數(shù)據(jù)檢測過程。代理防火墻不僅能根據(jù)數(shù)據(jù)層提供的信息判斷數(shù)據(jù)，更能像管理員分析服務(wù)器日志那樣“看”內(nèi)容辨危害。34由于工作在應(yīng)用層，防火墻還可以實現(xiàn)雙向限制，在過濾外部網(wǎng)絡(luò)有害數(shù)據(jù)的同時也監(jiān)控著內(nèi)部網(wǎng)絡(luò)的信息，管理員可以配置防火墻實現(xiàn)一個身份驗證和連接時限的功能，進(jìn)一步防止內(nèi)部網(wǎng)絡(luò)信息泄漏的隱患。由于代理防火墻采取代理機制進(jìn)行工作，內(nèi)外部網(wǎng)絡(luò)之間的通信都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器連接，根本沒有給分隔在內(nèi)外部網(wǎng)絡(luò)兩邊的計算機直接會話的機會，可以避免入侵者使用“數(shù)據(jù)驅(qū)動”攻擊方式（一種能通過包過濾型防火墻規(guī)則的數(shù)據(jù)報文，但是當(dāng)它進(jìn)入計算機處理后，卻變成能夠修改系統(tǒng)設(shè)置和用戶數(shù)據(jù)的惡意代碼）滲透內(nèi)部網(wǎng)絡(luò)，可以說，“應(yīng)用代理”是比包過濾技術(shù)更完善的防火墻技術(shù)。35代理服務(wù)器型防火墻缺點：由于基于代理技術(shù)，通過防火墻的每個連接都必須建立在為之創(chuàng)建的代理程序進(jìn)程上，代理進(jìn)程自身就要消耗一定時間，更何況代理進(jìn)程里還有一套復(fù)雜的協(xié)議分析機制在同時工作，于是數(shù)據(jù)在通過代理防火墻時不可避免的發(fā)生數(shù)據(jù)遲滯現(xiàn)象。代理防火墻是以犧牲速度為代價換取了比包過濾防火墻更高的安全性能，在網(wǎng)絡(luò)吞吐量不是很大的情況下，也許用戶不會察覺到什么，但是在數(shù)據(jù)交換頻繁時，代理防火墻就成了整個網(wǎng)絡(luò)的瓶頸，而且一旦防火墻的硬件配置支撐不住高強度的數(shù)據(jù)流量而發(fā)生罷工，整個網(wǎng)絡(luò)可能會因此癱瘓。所以，代理防火墻的普及范圍還遠(yuǎn)遠(yuǎn)不及包過濾型防火墻，而在軟件防火墻方面更是幾乎沒見過類似產(chǎn)品——單機并不具備代理技術(shù)所需的條件，所以就目前龐大的軟件防火墻市場來說，代理防火墻很難有立足之地。363.4