第2部分 网络服务

1、第二部分 INTRANET效力INTRANET的主要效力Active Directory活动目录效力TELNET远程登录效力DNS域名解析效力FTP文件传送效力WWW万维网效力NAT地址变换效力Proxy代理效力SMTP邮件传送效力VPN远程效力DHCP动态主机分配效力网络操作系统网络操作系统的定义 网络操作系统是使网络上的计算机可以方便、高效的访问网络资源，为网络用户提供资源访问途径以及其他根本效力的操作系统。网络操作系统的功能可靠的网络通讯功能根本的网络效力硬件独立网络管理功能支持多用户、多义务、多任务站数据的平安性保证广域网衔接Windows Server简介Windows 2000引见

2、Windows 2000 Professional 称为windows2000专业版，是W2K系列的客户机或个人版本，能提供简单的效力器功能，比如web效力和FTP效力，但是功能比较弱(最多支持10个并发衔接)。最多支持两个CPU，支持FAT16,FAT32,NTFS文件系统。承继了Windows NT的先进技术，提供了高层次的平安性、稳定性和系统性能，是个人电脑的首选。 Windows 2000 Server 称为windows2000效力器版，是为效力器开发的多用途操作系统，可为部门任务小组或中小型公司用户提供文件打印、软件运用、Web功能和通讯等各种效力，是中小型企业运用程序开发、Web

3、效力器、任务组和分支部门的理想操作系统。 Windows 2000 Advanced Server 称为Windows 2000高级效力器版，是更强大的效力器，适用于大型公司或Internet效力提供者，包括Windows 2000 Server一切特性及以下特性： 支持最多8GB内存 最多4路SMP支持 群集效力 网络负荷平衡Windows 2000 Datacenter 称为Windows 2000数据中心效力器版，微软推出的这个全新版本是功能最为强大的效力器操作系统，这个操作系统适用于大型企业网。它将群集和负载平衡效力作为规范的特性，它包括Windows 2000 Advanced Se

4、rver的一切特性及以下特性： 支持最多64GB内存 最多16向SMP支持 更高级的群集效力 Windows Server简介Windows Server 2003引见 Windows Server 2003是Windows 2000的后续产品，从命名方式上就可以看出，微软曾经将台式机操作系统和效力器操作系统划到两个完全不同的方向台式机将会延续运用XP。 Windows Server 2003相比上一代的Windows 2000家族而言，扩展了本身运用的领域，并在平安性、可靠性、兼容性、扩展性等诸多领域进展了全新的设计，而不再是像Windows 2000针对Windows NT那样的强化。 W

5、indows Server 2003分成4个版本：它们分别是Web版、规范版、企业版和数据中心版，其中后两个版本将是同时支持IA32和IA64环境的超级效力器操作系统，而Web版将会走OEM渠道，直接捆绑在效力器上进展销售，并不出如今零售市场上。 Windows Server简介Windows Server 2003 规范版 Windows Server 2003 规范版是一个可靠的网络操作系统，可迅速方便地提供企业处理方案。这种灵敏的效力器是小型企业和部门运用的理想选择。Windows Server 2003 规范版： 支持文件和打印机共享。 提供平安的Internet衔接。 允许集中化的桌

6、面运用程序部署。 Windows Server 2003 企业版 Windows Server 2003 企业版是一种全功能的效力器操作系统，它是各种运用程序、Web 效力和根底构造的理想平台，特性如下： 提供企业级功能，如8节点群集、支持高达32GB内存等。 可用于基于Intel Itanium系列的计算机。 将可用于可以支持8个处置器和64GBRAM的64位计算平台。 Windows Server简介Windows Server 2003 Datacenter版 Windows Server 2003 Datacenter版是 Microsoft 迄今为止开发的功能最强大的效力器操作系统，

7、主要运用于大型的企业网： 支持高达32路的SMP和64GB的RAM。 提供8节点群集和负载平衡效力是它的规范功能。 将可用于可以支持32个处置器和128GB RAM的64位计算平台。Windows Server 2003 Web 版 Windows 操作系统系列中的新产品，Windows Server 2003 Web版用于Web效力和托管: 用于生成和承载Web运用程序、Web页面以及XML Web效力。 其主要目的是作为IIS 6.0 Web效力器运用。 提供一个快速开发和部署XML Web效力和运用程序的平台，这些效力和运用程序运用ASP.NET 技术，该技术是 .NET框架的关键部分。

8、 Windows Server简介UNIX简介 UNIX是一个强大的多用户、多义务操作系统，支持多种处置器架构，经过长期的开展和完善，目前已生长为一种主流的操作系统技术和基于这种技术的产品大家族。由于UNIX具有技术成熟、可靠性高、网络和数据库功能强、伸缩性突出和开放性好等特征，可满足各行各业的实践需求，特别能满足企业重要业务的需求，曾经成为主要的效力器操作系统的首选，占据最大市场份额。 Ken和Dennis于1969年在AT&T的贝尔实验室开发Unix系统的，以后的10年，Unix在学术机构和大型企业中得到了广泛的运用，当时的UNIX拥有者AT&T公司以低廉的答应将Unix源码授权给学术机构

9、做研讨或教学之用，许多机构在此源码根底上加以扩展和改良，构成了所谓的Unix变种。 UNIX简介 历史上UNIX有两大主流：那就是AT&T发布的UNIX操作系统SystemV与美国加州大学伯克利分校发布的UNIX版BSD。 1993年，Unix系统实验室被AT&T卖给了Novell公司，将Unix商标赠送给X/Open，一个众多Unix厂家组成的联盟，这样这个联盟内的一切成员均可运用Unix商标。从此之后Unix不再是专有产品的名字了。同时，由于BSD系统曾经非常成熟，作为对操作系统进展研讨的目的曾经到达，伯克利计算机系统研讨组CSRG在发布了4.4BSD之后就解散了。 以后严厉意义上的Uni

10、x SystemV和BSD Unix都不复存在了，存在的只是他们的各种后续版本。例如：IBM的AIX；HP的HPUX；SUN的Solaris；SGI的IRIX；BSD衍生的几个主要分支：FreeBSD，OpenBSD和NetBSD； LINUX简介 虽然UNIX在80年代曾经非常开放，但是其内核代码也不是随意就可以得到的。最容易得到的代码，用于教学目的而编写的一个系统Minix，这远不是一个成熟的系统。 1984年，黑客Richard成立了自在软件基金会FSF和开源组织GNU，并提出了著名的开源协议规范GPL，他的方案是开发出一套完好的免费、公开源代码的Unix操作系统和及其运用软件。 199

11、1年芬兰的大学生Linus决议本人编写一个独立的操作系统，在学校的ftp上发布了本人所编写的基于Minix类Unix操作系统-Linux 0.02版的源代码，这个系统在互联网众多喜好者的协助下于94年发布正式的1.0版本，宣布它遵守GPL协议，而且符合UNIX的操作系统。 GNU组织全力支持LINUX的开展。我们今天说的LINUX，现实上只是一个简称，它的正式称号是GNU/LINUX，并获得了宏大的胜利。 LINUX和其他的UNIX源码完全无关，严厉来讲只能算仿制品。但LINUX的开发者来自整个互联网，具有各种UNIX系统的背景，因此也集中了各种的UNIX优点，从性能上与商业产品毫不逊色。所以

12、从广义上来说，也可以把LINUX划分到了UNIX派系。 LINUX简介 LINUX本身是操作系统最中心的部分，它并没有任何界面，我们和它进展交流和调用是经过命令解释器shell来进展的，就是类似DOS命令行的方式。 随着计算机的开展，操作系统界面图形化成为必然。80年代美国麻省理工学院提出了X Window，这是UNIX体系的一个重要发明，它和windows不同的是，X Window没有直接嵌入到系统内核，而只是作为一个系统效力运转。 在Linux上可以安装X Window作为个人桌面操作系统；也可以只需一个最根本的命令行的shell做效力器并提供远程登录和维护；更可以进展裁减和更改，到只需几

13、百K的中心，作为智能电器如手机等的嵌入式系统中心。 如今所用的PC个人电脑Linux系统，是基于各Linux开发组织的发行版本，它除了包含LINUX系统内核外，还包括了根本的shell，X Window系统窗口管理器，以及各种运用软件。在这些根底上按照各公司理念进展开发和整合，就构成各种各样的LINUX发行版，这才是我们常说的LINUX电脑操作系统。 LINUX简介常见的LINUX发行版本Red Hat redhatRed Flag redflag-linuxSlackware cdrom SuSE suse OpenLinux caldera TurboLinux pacificUbuntu

14、 Linux Debian Mandriva Linux mandriva BluePoint LinuxINTRANET的根本概念Intranet的定义 Intranet是基于Internet的TCP/IP协议，运用WWW工具为企业内部提供效力，并有衔接Internet功能，同时采用防止外界侵入的平安措施的企业内部网络。Intranet的特点根据企业内部的需求而设置的，它的规模和功能是根据企业运营和开展的需求确定的；采用TCP/IP协议，方便地和外界衔接尤其是和Internet的衔接；根据企业的平安要求采取设置平安代理、防火墙等措施，以维护企业内部的信息平安，防止外界侵入；广泛运用WWW的工

15、具，使企业员工和用户能方便地阅读和采掘企业内部的信息以及Internet的丰富的信息资源。 本章引见WINDOWS系统提供的Intranet效力。 常用INTRANET效力的方式效力器客户机客户端程序效力器程序发送命令送回结果 大多数INTRANET效力都采用客户机/效力器方式(CS方式)。即用户经过支持某种协议的客户端程序，向远程主机支持同样协议的效力器程序发出命令，效力器程序执行用户的命令将结果前往客户机。任务组的概念 任务组采用分散管理方式，假设由网络衔接而成的计算机群组，它们的资源和管理分散在各个计算机上，称为任务组方式。 在任务组方式中，每台计算机维护着本人的目录数据库，即管理着本人

16、的用户帐号和其他平安信息以及资源共享的设置。任务组方式中，每台计算机即可以是任务站，也可以是效力器。 参与同一个任务组的计算机有着同伴关系，这种方式普通创建小型的对等网络。任务组的组成任务站任务站任务站任务站任务组任务站任务站目录数据库目录数据库目录数据库目录数据库目录数据库目录数据库域的概念 域是Windows Server中的一个重要概念。域是一个共享目录数据库的计算机与用户的集合，经过这个共享目录的数据库，可以对域中的帐号、优先权、平安性和网络资源进展一致的管理。一个域有一个独一的名字，为域管理员集中管理的用户帐号和组帐号提供访问通道。 一个Windows Server网络可以包含多个域

17、，一个域包含多台Windows Server效力器以及任务站。 Windows Server作为域中的效力器根据角色的不同分为两类： 主域控制器：包含了域中一切用户和用户组的信息，以及域中的平安战略，主要用于域帐户的创建，验证用户的登陆、维护域的平安性，任何域中都要由一个主域控制器。 成员效力器：不参与域的管理任务，都是用作公用的效力器，例如文件效力器、Web效力器等。任务站任务站Web效力器任务站主域控制器域的组成任务站域目录数据库活动目录效力 活动目录(Active Directory)的根本思想就是在一个安装了WINDOWS 2000 SERVER或WINDOWS SERVER 2003

18、的计算机上安装一个目录数据库，用于一致记录用户账号、用户权限、网络对象资源、平安设置、以便集中管理和查找。用户一次登录即能访问一切的授权资源。什么是活动目录？ 活动目录是Windows网络中的目录效力，它以树型目录的方式，显示网络上的可用资源(也称为对象，它可以是用户、计算机、共享文件夹或打印机等)，与DNS集成，对资源进展的定位，为网络资源提供对应的IP地址，从而易于网络资源的集中管理和查找。用户一次登录即能访问一切的网络资源。活动目录的逻辑构造什么是活动目录对象：活动目录存储网络对象的信息。活动目录对象代表网络资源，如：用户、组、计算机、打印机等。每一个对象都将存在于活动目录的逻辑构造中，

19、活动目录对象是活动目录的最根本的组成元素。活动目录的逻辑构造组织单元域域目录树域目录林全局目录组织单元 组织单元OU域中进展层次划分的最小容器。可将用户、组、计算机和其他单元放入活动目录的空间中。组织单元不能包括来自其他域的对象。组织单元是可以指派组战略设置或委派管理权限的最小作用单位。域 域是由多台Windows Server效力器和任务站衔接构成的一个计算机群组，域的作用主要有下面几点：1)运用域资源的用户，利用域用户帐号从域中的任何一台计算机登陆该域，就可以访问域中一切允许访问的资源。留意：域用户帐号验证是由主域控制器完成的，而不是有所运用的计算机验证的。2)一切的域成员可以运用主域控制

20、器设定的一样的软硬件资源，系统设定，帐号系统和共享资源。3处于同一个域中的任务站或者效力器，不论举例的远近只需被定义在一样的域中，彼此之间就有了同伴关系。域目录树共用延续名字空间的域组成一个域目录树，域目录树是Windows 域中的层次组织。域域树ncieba.ncieca.ncie域域域目录林目录林由一个或几个域目录树组成。目录林中的域目录树并不共用延续的名字空间(如：tech和abc)，但是共用共同的架构和全局目录。域域树niceba.nieeca.nice域域域域树betongxs.botengjy.betong域域域林域的信任关系双向、传送信任关系是Windows域之间的缺省信任关系。

21、一个域目录树中的各域自动建立起双向，可传送的信任关系，实践上就将这几个域融为了一体。传送信任：自动延展一个域的信任关系到一切信任该域的其他域。 jw0331.jw直接信任jw.jw jw0332.jw直接信任jw.jw 那么jw0331.jw直接信任jw0332.jw。双向信任：在两个域之间存在这两条彼此相反的途径。 jw0333.jw直接信任jw.jw 那么jw.jw直接信任jw0333.jw域本地组、全局组和通用组 全局组：是用来组织用户，也就是可以将多个权限想念的用户帐户参与到同一个全局内。 全局组成员来自于同一域的用户账户和全局组，在林范围内可用。也就是说可以添加到全局组的成员是本域的

22、成员或者全局组这样就构成了组的嵌套。假设在上海的域中创建了全局组A，那么能添加到A中的人只能是上海域中的对象或者是其他可信任域，如北京或大连的全局组。 域本地组：主要是被用来指派其所在域内的访问权限。以便可以访问该域内的资源 域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组。 本地组不同于域本地组。本地计算机上创建的属于本机的组称为“本地组。它的成员可以来自本地计算机或者一切的可信任域。本地组存储在本地计算机中，而域本地组存储在域控制器上。 域本地组、全局组和通用组通用组：是被用来指派在一切域内的访问权限，以便可以访问每一个域内资源。 通用组成员来自林中任何域中的用户

23、账户、全局组和其他的通用组，在全林范围内可用。通用组的成员不是保管在各自的域控制器上，而是保管在全局目录数据库中(全局编录)，当发生变化时可以全林复制。规那么的简单记忆全局组 来自本域用于全林通用组 来自全林用于全林域本地组 来自全林用于本域AGDLP规那么 A(account):用户帐户 G(Global group):全局组 DL(Domain local group):域本地组 P(Permission):答应 按照AGDLP的原那么对用户进展组织和管理起来非常有效AGDLP规那么康博公司是一个大型的软件公司。公司的业务开展很快，在北京拥有本人的办公大楼，总部也因此设在那里，在上海也有分

24、公司。公司在企业内部建立了域名为comboo的域，由于上海的分公司主营外包业务，比较独立，为其创建了子域osboo，从而构成了域树。公司管理层经过商议与另外一个物流公司协作兴办了一个电子物流公司，名为博通，总部设在大连。博通在总公司的林中创建了本人的域环境botong。为了充分利用一切的资源，在子公司和总公司之间建立了信任关系，以便可以相互访问资源，从而构成了域林。 AGDLP规那么 大连的公司财务部门出了一点问题，需求从北京、上海都找10个人援助一下，大连公司的账目资料都保管在一台财务部公用效力器上。由于是公司信息，平安性比较高，一切资料仅仅允许财务部门的人访问，按照下面的过程进展设置：上海

25、和北京的管理员分别为各自要协助大连的10个人创建帐号。上海和北京的管理员分别创建了一个全局组bjf和shf，将对应帐号参与其内，这就是A-G。 大连管理员为财务部门创建了一个域本地组dlf，在效力器上赋予dlf组权限大连的管理员仅仅添加bjf和shf到dlf即可完成权限的添加，而不需求关怀究竟是哪些人来支持财务部任务。这就是A-G-DL-P。不运用AGDLP战略的时候，我们也可以实现这个功能，就是直接把用户帐户添加到财务部资源的访问控制列表中。每条线代表一次操作，显然很繁琐；当出现变卦的时候，不运用AGDLP的情况会很糟糕，由于每次改动都会带来目的权限的重新设置。通用组来自全林用于全林，能否可

26、以取代全局组？由于通用组内部成员来自于全林，而且它信息是存储在全局编录中的，任何的变化都会导致全林复制，这个复制流量不可忽视。全局编录中普通存储一些不太经常发生变化的信息。由于用户帐户是会经常发生变化的，所以，不直接添加用户帐户到通用组。 AGDLP规那么 Telnet是一种因特网远程终端访问效力，它可以登陆远程效力器，以命令行方式访问效力器上的资源，它是最简单的网络登录远程效力器的方式。Telnet效力经过端口23任务。 效力器必需开启TELNET效力，该效力由tlntsvr.exe文件提供，XP操作系统下在“控制面板管理工具效力下启动该效力。TELNET效力启动之后，效力器就在23端口监听

27、其他主机的远程登陆恳求。 客户机要建立到远程效力器的对话，只需在命令提示符下键入： TELNET IP地址(主机名)。该命令由telnet.exe文件解析并给予执行。TELNET远程登陆效力效力器程序客户端程序 互联网的网站都是一台一台效力器的方式存在的，这就需求给每台效力器分配IP地址，互联网上的网站非常多，我们不能够记住每个网站的IP地址，利用域名标识每台效力器。域名管理系统 DNS可以把我们输入的好记的域名转换为要访问的效力器的IP地址，比如：当我们在阅读器中输入chinaitlab会自动转换成为03。域名和IP是分布存放的，DNS恳求总是发给最近的 DNS效力器，假设不能对此域名解析，

28、那么把该恳求发到更远的DNS效力器，直到被解析。DNS域名解析效力利用Windows Server系统的DNS效力可以配置DNS效力器DNS域名组织方式DNS效力器DNS效力器DNS效力器DNS效力器DNS效力器DNS效力器DNS效力器cneducomgovzzulizzulzuDNS域名解析过程 解析newhua的过程cneducomgovyahoozzusinanewhuawwwftp FTP文件传送效力主要用于在客户机和效力器之间传送文件。它的缺省端口是20(用于数据传输)和21(用于命令传输。FTP协议是非常独特的，由于命令和数据可以同时在两个端口同时传输，所以文件传送速度快。 效力器

29、端程序可以运用WINDOWS操作系统自带的FTP效力器软件，经过“控制面板 管理工具 INTERNET信息效力 FTP站点来启动FTP效力构建效力器；也可以运用第三方软件如SERVER_U构建FTP效力器。 客户端可以用IE阅读器或者命令行登陆FTP效力器来上传和下载文件。运用命令行登陆的格式为： FTP IP地址主机名 FTP文件传送效力用户名密码出现 ftp 提示符那么阐明曾经登陆效力器 dir ；查看当前目录下的文件 get 文件名 ；从当前目录下载文件 put 文件名 ；向当前目录上传文件 quit ；退出FTPFTP的命令行方式 Web效力是目前最常用的效力，运用HTTP协议，也是一

30、个阅读器/效力器系统BS方式，默许Web效力占用80端口。在Windows平台下运用操作系统自带的IIS构建Web效力器。经过“控制面板 管理工具 INTERNET信息效力启动和配置WEB效力构建效力器；客户端运用IE作为客户端软件。IE阅读器新浪效力器客户机IIS效力程序sina送回页面内容WEB网页效力 在UNIX和LINUX操作系统下，广泛运用的免费的Web效力器软件是APACHE和W3C，在Windows操作系统下运用的Web效力器是系统自带的IIS Web效力器,可以经过“控制面板 管理工具INTERNET管理效力启动WEB效力构建效力器。启动INTERNET管理效力的默许网站利用D

31、reamweaver等网页制造软件制造网站的页面并将首页命名为index.htm或Default.htm将网站页面放入IIS指定的主目录中，默许的主目录是c: inetpubwwwrootIIS的启动与设置 微软的IIS效力器可以对外提供WEB效力，在阅读器中我们是经过在IIS中设定的默许主目录来访问WEB效力器。IP地址为2的WEB效力器主目录：C:inetputwwwrootIE阅读器键入：2/report.htm就等价于访问： C:inetputwwwrootreport.htm优点是：1. 用户无需知道访问哪个目录下的文件。2. 由于IIS效力器的默许主目录可以是效力器上的恣意目录，用

32、户判别当前的目录，很难访问其他目录下的文件。IIS的默许主目录 假设攻击者知道当前IIS的默许目录，那么可以经过一定的手段去访问其他目录，例如IIS效力器默许目录是C:inetputsrcipts，系统文件夹是c:windows，在阅读器中渐入以下地址就可以进入系统文件夹：2/././WINDOWS/SYSTEN32在阅读器中渐入以下地址就可以执行命令：2/././WINDOWS/SYSTEN32/cmd.exe ?/c+dir 出于平安思索微软在解析地址的时候，假设网址里包含了./或.的字符时，会将这些字符给忽略掉，但是微软在解析Unicode编码时的破绽使这种攻击又变成了能够。Unicod

33、e编码破绽 “的编码是5C,“25,“535,“C63那么以下Unicode编码是什么： .255C , .35C , .3563IIS的默许主目录网络地址转换效力(NAT) 网络地址转换技术(NAT:Network Address Translation)就是将一个IP地址用另一个IP地址替代。运用领域:网络管理员希望隐藏内部网络的IP地址，这样互联网上的用户很难判别内网的情况。内部网络的IP地址是无效的IP地址，由于合法IP地址有限，往往很难恳求到，所以需求进展地址翻译。NAT22 发出恳求应对发给 2 发出恳求 发出恳求应对发给 应对发给 网关地址翻译：隐藏内部IP地址,没有节约有效的I

34、P地址空间源IP目的IP0源IP目的IP0源IP目的IP0源IP目的IP0外部网络网关网络地址转换效力(NAT)地址翻译：内部网地址转换成网关地址内部网络0源IP目的IP0源IP目的IP0源IP目的IP0源IP目的IP0外部网络网关内部网络0问题：一切前往数据包目的IP都是，网关如何识别并送回真正主机？正向网络地址转换1、内网主机访问外网效力器，数据包中的IP地址为2，端口号为*2、网关找一个空闲端口#，将包中的IP地址转化为30，端口号转化为#3、记录端口号#和*，以及2之间的对应关系，将包发给效力器4、效力器的应对包反给网关的端口#，查找对应表找到端口#对应的IP地址和端口*5、交换应对包

35、中的IP地址和端口号，发给内网主机。反向网络地址转换 反向NAT变换必需指明网关固定端口#和内网主机的IP地址和端口*的对应关系，经过网关把访问网关端口#的数据包交换IP地址和端口后发给目的主机，这样内网主机就可以对外提供效力了。 所谓代理效力器是指代表外网用户向内网效力器进展衔接恳求的效力程序。代理效力器运转在两个网络之间，它对于外网用户来说像是一台真的效力器，而对于内网的效力器来说，它又是一台客户机。运转代理效力的机器我们称为堡垒主机。客户代理衔接代理效力器衔接内部效力器外部客户外部内部out inTelnet 代理out in 代理 堡垒主机代理效力内部效力器外部客户外部内部客户代理衔接

36、代理效力器衔接out inTelnet 代理out in 代理 堡垒主机47 堡垒主机配有双网卡，它们之间没有路由，两块网卡各自与内部网络和外部网络衔接， 在堡垒主机上运转着必要的代理程序，把一些过滤规那么运用于代理程序，让它在运用层实现数据的过滤功能。 对于外部用户来说，堡垒主机就好似是效力器，对于内部效力器来说，堡垒主机就好似是客户机。正向代理效力 内部客户外部效力器外部内部代理效力器衔接 客户代理衔接 inoutTelnet 代理 inout 代理 堡垒主机47 对于内部用户来说，堡垒主机就好似是提供效力的效力器，而且堡垒主机上有很大的高速缓存，存放了内部用户经常访问的外部效力器的数据镜

37、像，可以极大的提高网络访问的速度，节省了网络资源。反向代理效力代理效力器 CCProxy 代理效力器CCProxy可以运用于局域网任何网络接入方式共享上网、功能非常强大，操作也相当简单，目前国内最流行的代理效力器软件。 支持多种协议的代理效力,可以阅读网页，下载文件，收发电子邮件，网络游戏，股票投资，QQ联络等。网页缓冲功能还能提高低速网络的网页阅读速度. 提供了强大的用户管理功能，包括用户登陆管理，时间管理，网站管理，日志功能可以有效的监控局域网上网记录。支持用户带宽限制功能，有效的限制客户端上网速度。代理效力软件邮件效力电子邮件的组成信信封信纸信头信体HeaderBodyFrom发件人To

38、收件人Subject主题CC抄送BCC密件抄送Date发送日期Return-Path回复地址Message-Id邮件编号SMTP协议(简单邮件传输协议)，主要义务是完成电子邮件效力器之间的邮件接纳和发送POP3协议(邮局协议)，主要义务是担任从电子邮件接纳效力器中查询、下载、删除邮件MIME协议(多用途的因特网邮件扩展协议利用编码技术处理了原来中只能发送7位ASCII字符的限制问题MIME协议使得中发送中文字符、添加各种附件成为能够电子邮件相关协议电子邮件系统构造邮件客户程序邮件效力器A邮件效力器B邮件信箱Internet邮件发送队列邮件接纳队列邮件信箱用户2用户1邮件传送相关协议邮件客户程序

39、SMTPSMTPPOP3VPN远程效力VPN概念 VPN即虚拟公用网(Virtal Private Network),是一条穿过混乱的公用网络的平安稳定的隧道。经过对网络数据的封包和加密传输，在一个公用网络通常是因特网建立一个暂时的、平安的衔接，从而实如今公网上传输私有数据、到达私有网络的平安级别。 VPN是企业网在因特网等公共网络上的延伸，VPN经过一个私有的通道来创建一个平安的私有衔接，将远程用户、公司分支机构、公司的业务同伴等跟企业网衔接起来，构成一个扩展的公司企业网，虽然VPN通讯建立在公共互联网络的根底上，但是用户在运用VPN时觉得好像在运用公用网络进展通讯，所以得名虚拟公用网络。V

40、PN远程效力远程访问Internet内部网协作同伴虚拟专网(隧道)虚拟专网(隧道)虚拟专网(隧道)分支机构VPN远程效力VPN的隧道技术 所谓隧道，实践上就是一种数据封装技术，将一种协议封装在另一个协议中传输，从而坚持被封装协议的平安性。为了透明传输网络层不同协议的数据包，可以采取两种方法：A把网络层协议(如IP，IPX等)封装到数据链路层的点对点协议PPP数据帧里，在把PPP数据帧封装到隧道协议里，这种封装方法封装的是数据链路层的数据包，称为“第二层隧道，第二层隧道协议里以Microsoft公司、3COM公司在PPP根底上开发的点对点隧道协议PPTP比较典型。B把网络层协议(如IP，IPX等

41、)直接封装到隧道协议中，这种封装方法封装的是网络层协议的数据包，称为“第三层隧道，第三层隧道协议里以Microsoft公司开发的IP层平安协议IPSec运用最为广泛，是现实上网络层平安的业界规范，同时符合IPV4和IPV6环境。VPN远程效力Internet公司BISP接入效力器VPN网关B平安通道平安通道主机必需支持IPSecGateway 必需支持IPSec非平安通道PSTNRemote User to VPNGateway方式该方式要求主机支持IPSec VPN网关必需支持IPSecVPN远程效力Internet公司BVPN网关AVPN网关B公司BHost to Host 方式： 该方式

42、要求两边主机都支持IPSec VPN网关可支持也可不支持IPSec平安通道平安通道平安通道主机必需支持IPSec主机必需支持IPSecGateway 可支持也可不支持IPSecGateway 可支持也可不支持IPSecVPN远程效力Internet公司BVPN网关AVPN网关B公司BVPNGateway to VPNGateway 方式： 该方式不要求主机支持IPSec 两边的VPN网关必需都支持IPSec非平安通道平安通道主机可以不支持IPSec主机可以不支持IPSecGateway 必需支持IPSecGateway 必需支持IPSec非平安通道VPN远程效力 IPSec经过运用两种通讯平安

43、协议：身份认证报头AH、载荷平安封装ESP实现平安性、经过运用因特网平安关联和密钥管理协议IKE提供自动建立平安关联和管理密钥的功能。 AH协议定义了认证的运用方法，提供数据源认证、完好性保证和防重放维护效力。但AH不提供任何严密性效力。 ESP协议定义了加密和可选认证的运用方法，实践上ESP提供和AH类似的效力，但是添加了两个额外的效力：数据严密和有限的数据流严密效力。 在实践进展IP通讯时，可以根据实践平安需求同时运用这两种协议或选择运用其中的一种。 下表给出了AH协议和ESP协议所提供的效力。 VPN远程效力AHESP(有加密)ESP(有加密和认证)访问控制无连接数据完整性数据来源的认证

44、对重发数据的拒绝保密性有限业务流的保密性IPsec的平安业务协议平安业务VPN远程效力 AH协议为IP通讯提供数据源认证、数据完好性和反重播保证，它能维护通讯免受篡改，但不能防止窃听，适宜用于传输非数据。AH的任务原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列，可以将其当作数字签名，此hash散列对整个数据包中的数据进展计算，因此对数据的任何更改将致使散列值无效-这样就提供了完好性维护。 AH报头位于IP报头和传输层协议报头之间 原IP抱头AH报头传输层报头TCP/UDP数据下一个报头长度安全参数索引(SPI)序列号认证数据(hash校验)VPN远程效力 AH的

45、运用方式有两种：传输方式和隧道方式传输方式：传输方式用于两台主机或者双方网关支持IPsec协议的端端的通讯。在这种情况下是把AH插到IP数据报的报头后面。 具有IPsec的主机 具有IPsec的主机数据IP报头数据AH报头IP报头 由于任何在传输中IP报头域有易变的部分 (例如被沿途的路由器修正的TTL域)，该方式对数据提招认证功能，不对IP报头提招认证功能。 Internet负 载IP头部Host AHost BVPN网关VPN网关负 载AH头部IP头部负 载AH头部IP头部负 载IP头部经过IPSec 中心处置以后经过IPSec 中心处置以后负 载AH头部IP头部传输方式下的AH认证任务原

46、理VPN远程效力 隧道方式：该方式要求具有平安关联的双方具有支持IPsec协议的网关，同时网关为IPsec封装的数据添加一个新的IP头数据IP报头新IP报头数据IP报头 具有IPsec的网关M 具有IPsec的网关NAB主机B的IP地址数据IP报头AH报头新IP报头网关N的IP地址网关N的IP地址隧道 隧道方式的优点是对被封装的数据报提供完好的认证包括IP报头，缺陷是有额外的处置开销。VPN远程效力Internet负 载IP 头Host AHost BVPN网关1VPN网关2负 载IP 头经过IPSec 中心处置以后经过IPSec 中心处置以后负 载IP头AH头新IP头负 载IP头AH头新IP

47、头负 载IP头AH头新IP头Source IP=VPN网关1Destination IP=VPN网关2Source IP=Host ADestination IP=Host B隧道方式下的AH认证任务原理VPN远程效力VPN远程效力 ESP提供和AH类似的效力，但是添加了两个额外的效力：数据严密和有限数据流严密效力。严密效力由经过运用密码算法加密IP数据报的相关部分来实现。 ESP中用来加密数据报的密码算法都毫无例外地运用了对称密钥体制。公钥密码算法采用计算量非常大的大整数模指数运算，而对称密码算法主要运用初级操作(异或、逐位与等)，无论以软件还是硬件方式执行都非常有效，ESP的缺省算法是56

48、比特的DES。该加密算法必需被实施，以保证IPSec设备间的互操作性。ESP报头位于IP报头之后，ESP报尾和认证位于负载数据之后原IP抱头ESP报头传输层报头TCP/UDP数据ESP报尾ESP认证VPN远程效力 ESP的运用方式有两种：传输方式和隧道方式传输方式：传输方式用于两台主机或者双方网关支持IPsec协议的端端的通讯。在这种情况下是把ESP插到IP数据报的报头后面，而ESP报尾和认证部分放在数据的后面。 具有IPsec的主机 具有IPsec的主机数据IP报头ESP认证数据ESP报尾数据ESP报头IP报头 由于在传输中不能对IP报头进展加密，该方式仅对数据提供加密功能。在传输中IP报头域有易变的部分 (例如被沿途的路由器修正的TTL域)，该方式仅对数据提招认证功能，此外该方式下需求双方有一个共享的密钥。共享密钥可以双方设定，也可以经过密钥管理中心或者认证中心获得。VPN远程效力Internet负 载IP头部Host AHost BVPN网关VPN网关负 载IP头部经过IPSec 中心处置以后经过IPSec 中心处置以后ESP认证ESP尾负 载ESP头IP