第2部分 網(wǎng)絡(luò)服務(wù)

1、第二部分 INTRANET效力INTRANET的主要效力Active Directory活動(dòng)目錄效力TELNET遠(yuǎn)程登錄效力DNS域名解析效力FTP文件傳送效力WWW萬維網(wǎng)效力NAT地址變換效力Proxy代理效力SMTP郵件傳送效力VPN遠(yuǎn)程效力DHCP動(dòng)態(tài)主機(jī)分配效力網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)的定義 網(wǎng)絡(luò)操作系統(tǒng)是使網(wǎng)絡(luò)上的計(jì)算機(jī)可以方便、高效的訪問網(wǎng)絡(luò)資源，為網(wǎng)絡(luò)用戶提供資源訪問途徑以及其他根本效力的操作系統(tǒng)。網(wǎng)絡(luò)操作系統(tǒng)的功能可靠的網(wǎng)絡(luò)通訊功能根本的網(wǎng)絡(luò)效力硬件獨(dú)立網(wǎng)絡(luò)管理功能支持多用戶、多義務(wù)、多任務(wù)站數(shù)據(jù)的平安性保證廣域網(wǎng)銜接Windows Server簡介Windows 2000引見

2、Windows 2000 Professional 稱為windows2000專業(yè)版，是W2K系列的客戶機(jī)或個(gè)人版本，能提供簡單的效力器功能，比如web效力和FTP效力，但是功能比較弱(最多支持10個(gè)并發(fā)銜接)。最多支持兩個(gè)CPU，支持FAT16,FAT32,NTFS文件系統(tǒng)。承繼了Windows NT的先進(jìn)技術(shù)，提供了高層次的平安性、穩(wěn)定性和系統(tǒng)性能，是個(gè)人電腦的首選。 Windows 2000 Server 稱為windows2000效力器版，是為效力器開發(fā)的多用途操作系統(tǒng)，可為部門任務(wù)小組或中小型公司用戶提供文件打印、軟件運(yùn)用、Web功能和通訊等各種效力，是中小型企業(yè)運(yùn)用程序開發(fā)、Web

3、效力器、任務(wù)組和分支部門的理想操作系統(tǒng)。 Windows 2000 Advanced Server 稱為Windows 2000高級(jí)效力器版，是更強(qiáng)大的效力器，適用于大型公司或Internet效力提供者，包括Windows 2000 Server一切特性及以下特性： 支持最多8GB內(nèi)存 最多4路SMP支持 群集效力 網(wǎng)絡(luò)負(fù)荷平衡Windows 2000 Datacenter 稱為Windows 2000數(shù)據(jù)中心效力器版，微軟推出的這個(gè)全新版本是功能最為強(qiáng)大的效力器操作系統(tǒng)，這個(gè)操作系統(tǒng)適用于大型企業(yè)網(wǎng)。它將群集和負(fù)載平衡效力作為規(guī)范的特性，它包括Windows 2000 Advanced Se

4、rver的一切特性及以下特性： 支持最多64GB內(nèi)存 最多16向SMP支持 更高級(jí)的群集效力 Windows Server簡介Windows Server 2003引見 Windows Server 2003是Windows 2000的后續(xù)產(chǎn)品，從命名方式上就可以看出，微軟曾經(jīng)將臺(tái)式機(jī)操作系統(tǒng)和效力器操作系統(tǒng)劃到兩個(gè)完全不同的方向臺(tái)式機(jī)將會(huì)延續(xù)運(yùn)用XP。 Windows Server 2003相比上一代的Windows 2000家族而言，擴(kuò)展了本身運(yùn)用的領(lǐng)域，并在平安性、可靠性、兼容性、擴(kuò)展性等諸多領(lǐng)域進(jìn)展了全新的設(shè)計(jì)，而不再是像Windows 2000針對(duì)Windows NT那樣的強(qiáng)化。 W

5、indows Server 2003分成4個(gè)版本：它們分別是Web版、規(guī)范版、企業(yè)版和數(shù)據(jù)中心版，其中后兩個(gè)版本將是同時(shí)支持IA32和IA64環(huán)境的超級(jí)效力器操作系統(tǒng)，而Web版將會(huì)走OEM渠道，直接捆綁在效力器上進(jìn)展銷售，并不出如今零售市場上。 Windows Server簡介Windows Server 2003 規(guī)范版 Windows Server 2003 規(guī)范版是一個(gè)可靠的網(wǎng)絡(luò)操作系統(tǒng)，可迅速方便地提供企業(yè)處理方案。這種靈敏的效力器是小型企業(yè)和部門運(yùn)用的理想選擇。Windows Server 2003 規(guī)范版： 支持文件和打印機(jī)共享。 提供平安的Internet銜接。 允許集中化的桌

6、面運(yùn)用程序部署。 Windows Server 2003 企業(yè)版 Windows Server 2003 企業(yè)版是一種全功能的效力器操作系統(tǒng)，它是各種運(yùn)用程序、Web 效力和根底構(gòu)造的理想平臺(tái)，特性如下： 提供企業(yè)級(jí)功能，如8節(jié)點(diǎn)群集、支持高達(dá)32GB內(nèi)存等。 可用于基于Intel Itanium系列的計(jì)算機(jī)。 將可用于可以支持8個(gè)處置器和64GBRAM的64位計(jì)算平臺(tái)。 Windows Server簡介Windows Server 2003 Datacenter版 Windows Server 2003 Datacenter版是 Microsoft 迄今為止開發(fā)的功能最強(qiáng)大的效力器操作系統(tǒng)，

7、主要運(yùn)用于大型的企業(yè)網(wǎng)： 支持高達(dá)32路的SMP和64GB的RAM。 提供8節(jié)點(diǎn)群集和負(fù)載平衡效力是它的規(guī)范功能。 將可用于可以支持32個(gè)處置器和128GB RAM的64位計(jì)算平臺(tái)。Windows Server 2003 Web 版 Windows 操作系統(tǒng)系列中的新產(chǎn)品，Windows Server 2003 Web版用于Web效力和托管: 用于生成和承載Web運(yùn)用程序、Web頁面以及XML Web效力。 其主要目的是作為IIS 6.0 Web效力器運(yùn)用。 提供一個(gè)快速開發(fā)和部署XML Web效力和運(yùn)用程序的平臺(tái)，這些效力和運(yùn)用程序運(yùn)用ASP.NET 技術(shù)，該技術(shù)是 .NET框架的關(guān)鍵部分。

8、 Windows Server簡介UNIX簡介 UNIX是一個(gè)強(qiáng)大的多用戶、多義務(wù)操作系統(tǒng)，支持多種處置器架構(gòu)，經(jīng)過長期的開展和完善，目前已生長為一種主流的操作系統(tǒng)技術(shù)和基于這種技術(shù)的產(chǎn)品大家族。由于UNIX具有技術(shù)成熟、可靠性高、網(wǎng)絡(luò)和數(shù)據(jù)庫功能強(qiáng)、伸縮性突出和開放性好等特征，可滿足各行各業(yè)的實(shí)踐需求，特別能滿足企業(yè)重要業(yè)務(wù)的需求，曾經(jīng)成為主要的效力器操作系統(tǒng)的首選，占據(jù)最大市場份額。 Ken和Dennis于1969年在AT&T的貝爾實(shí)驗(yàn)室開發(fā)Unix系統(tǒng)的，以后的10年，Unix在學(xué)術(shù)機(jī)構(gòu)和大型企業(yè)中得到了廣泛的運(yùn)用，當(dāng)時(shí)的UNIX擁有者AT&T公司以低廉的答應(yīng)將Unix源碼授權(quán)給學(xué)術(shù)機(jī)構(gòu)

9、做研討或教學(xué)之用，許多機(jī)構(gòu)在此源碼根底上加以擴(kuò)展和改良，構(gòu)成了所謂的Unix變種。 UNIX簡介 歷史上UNIX有兩大主流：那就是AT&T發(fā)布的UNIX操作系統(tǒng)SystemV與美國加州大學(xué)伯克利分校發(fā)布的UNIX版BSD。 1993年，Unix系統(tǒng)實(shí)驗(yàn)室被AT&T賣給了Novell公司，將Unix商標(biāo)贈(zèng)送給X/Open，一個(gè)眾多Unix廠家組成的聯(lián)盟，這樣這個(gè)聯(lián)盟內(nèi)的一切成員均可運(yùn)用Unix商標(biāo)。從此之后Unix不再是專有產(chǎn)品的名字了。同時(shí)，由于BSD系統(tǒng)曾經(jīng)非常成熟，作為對(duì)操作系統(tǒng)進(jìn)展研討的目的曾經(jīng)到達(dá)，伯克利計(jì)算機(jī)系統(tǒng)研討組CSRG在發(fā)布了4.4BSD之后就解散了。 以后嚴(yán)厲意義上的Uni

10、x SystemV和BSD Unix都不復(fù)存在了，存在的只是他們的各種后續(xù)版本。例如：IBM的AIX；HP的HPUX；SUN的Solaris；SGI的IRIX；BSD衍生的幾個(gè)主要分支：FreeBSD，OpenBSD和NetBSD； LINUX簡介 雖然UNIX在80年代曾經(jīng)非常開放，但是其內(nèi)核代碼也不是隨意就可以得到的。最容易得到的代碼，用于教學(xué)目的而編寫的一個(gè)系統(tǒng)Minix，這遠(yuǎn)不是一個(gè)成熟的系統(tǒng)。 1984年，黑客Richard成立了自在軟件基金會(huì)FSF和開源組織GNU，并提出了著名的開源協(xié)議規(guī)范GPL，他的方案是開發(fā)出一套完好的免費(fèi)、公開源代碼的Unix操作系統(tǒng)和及其運(yùn)用軟件。 199

11、1年芬蘭的大學(xué)生Linus決議本人編寫一個(gè)獨(dú)立的操作系統(tǒng)，在學(xué)校的ftp上發(fā)布了本人所編寫的基于Minix類Unix操作系統(tǒng)-Linux 0.02版的源代碼，這個(gè)系統(tǒng)在互聯(lián)網(wǎng)眾多喜好者的協(xié)助下于94年發(fā)布正式的1.0版本，宣布它遵守GPL協(xié)議，而且符合UNIX的操作系統(tǒng)。 GNU組織全力支持LINUX的開展。我們今天說的LINUX，現(xiàn)實(shí)上只是一個(gè)簡稱，它的正式稱號(hào)是GNU/LINUX，并獲得了宏大的勝利。 LINUX和其他的UNIX源碼完全無關(guān)，嚴(yán)厲來講只能算仿制品。但LINUX的開發(fā)者來自整個(gè)互聯(lián)網(wǎng)，具有各種UNIX系統(tǒng)的背景，因此也集中了各種的UNIX優(yōu)點(diǎn)，從性能上與商業(yè)產(chǎn)品毫不遜色。所以

12、從廣義上來說，也可以把LINUX劃分到了UNIX派系。 LINUX簡介 LINUX本身是操作系統(tǒng)最中心的部分，它并沒有任何界面，我們和它進(jìn)展交流和調(diào)用是經(jīng)過命令解釋器shell來進(jìn)展的，就是類似DOS命令行的方式。 隨著計(jì)算機(jī)的開展，操作系統(tǒng)界面圖形化成為必然。80年代美國麻省理工學(xué)院提出了X Window，這是UNIX體系的一個(gè)重要發(fā)明，它和windows不同的是，X Window沒有直接嵌入到系統(tǒng)內(nèi)核，而只是作為一個(gè)系統(tǒng)效力運(yùn)轉(zhuǎn)。 在Linux上可以安裝X Window作為個(gè)人桌面操作系統(tǒng)；也可以只需一個(gè)最根本的命令行的shell做效力器并提供遠(yuǎn)程登錄和維護(hù)；更可以進(jìn)展裁減和更改，到只需幾

13、百K的中心，作為智能電器如手機(jī)等的嵌入式系統(tǒng)中心。 如今所用的PC個(gè)人電腦Linux系統(tǒng)，是基于各Linux開發(fā)組織的發(fā)行版本，它除了包含LINUX系統(tǒng)內(nèi)核外，還包括了根本的shell，X Window系統(tǒng)窗口管理器，以及各種運(yùn)用軟件。在這些根底上按照各公司理念進(jìn)展開發(fā)和整合，就構(gòu)成各種各樣的LINUX發(fā)行版，這才是我們常說的LINUX電腦操作系統(tǒng)。 LINUX簡介常見的LINUX發(fā)行版本Red Hat redhatRed Flag redflag-linuxSlackware cdrom SuSE suse OpenLinux caldera TurboLinux pacificUbuntu

14、 Linux Debian Mandriva Linux mandriva BluePoint LinuxINTRANET的根本概念I(lǐng)ntranet的定義 Intranet是基于Internet的TCP/IP協(xié)議，運(yùn)用WWW工具為企業(yè)內(nèi)部提供效力，并有銜接Internet功能，同時(shí)采用防止外界侵入的平安措施的企業(yè)內(nèi)部網(wǎng)絡(luò)。Intranet的特點(diǎn)根據(jù)企業(yè)內(nèi)部的需求而設(shè)置的，它的規(guī)模和功能是根據(jù)企業(yè)運(yùn)營和開展的需求確定的；采用TCP/IP協(xié)議，方便地和外界銜接尤其是和Internet的銜接；根據(jù)企業(yè)的平安要求采取設(shè)置平安代理、防火墻等措施，以維護(hù)企業(yè)內(nèi)部的信息平安，防止外界侵入；廣泛運(yùn)用WWW的工

15、具，使企業(yè)員工和用戶能方便地閱讀和采掘企業(yè)內(nèi)部的信息以及Internet的豐富的信息資源。 本章引見WINDOWS系統(tǒng)提供的Intranet效力。 常用INTRANET效力的方式效力器客戶機(jī)客戶端程序效力器程序發(fā)送命令送回結(jié)果 大多數(shù)INTRANET效力都采用客戶機(jī)/效力器方式(CS方式)。即用戶經(jīng)過支持某種協(xié)議的客戶端程序，向遠(yuǎn)程主機(jī)支持同樣協(xié)議的效力器程序發(fā)出命令，效力器程序執(zhí)行用戶的命令將結(jié)果前往客戶機(jī)。任務(wù)組的概念 任務(wù)組采用分散管理方式，假設(shè)由網(wǎng)絡(luò)銜接而成的計(jì)算機(jī)群組，它們的資源和管理分散在各個(gè)計(jì)算機(jī)上，稱為任務(wù)組方式。 在任務(wù)組方式中，每臺(tái)計(jì)算機(jī)維護(hù)著本人的目錄數(shù)據(jù)庫，即管理著本人

16、的用戶帳號(hào)和其他平安信息以及資源共享的設(shè)置。任務(wù)組方式中，每臺(tái)計(jì)算機(jī)即可以是任務(wù)站，也可以是效力器。 參與同一個(gè)任務(wù)組的計(jì)算機(jī)有著同伴關(guān)系，這種方式普通創(chuàng)建小型的對(duì)等網(wǎng)絡(luò)。任務(wù)組的組成任務(wù)站任務(wù)站任務(wù)站任務(wù)站任務(wù)組任務(wù)站任務(wù)站目錄數(shù)據(jù)庫目錄數(shù)據(jù)庫目錄數(shù)據(jù)庫目錄數(shù)據(jù)庫目錄數(shù)據(jù)庫目錄數(shù)據(jù)庫域的概念 域是Windows Server中的一個(gè)重要概念。域是一個(gè)共享目錄數(shù)據(jù)庫的計(jì)算機(jī)與用戶的集合，經(jīng)過這個(gè)共享目錄的數(shù)據(jù)庫，可以對(duì)域中的帳號(hào)、優(yōu)先權(quán)、平安性和網(wǎng)絡(luò)資源進(jìn)展一致的管理。一個(gè)域有一個(gè)獨(dú)一的名字，為域管理員集中管理的用戶帳號(hào)和組帳號(hào)提供訪問通道。 一個(gè)Windows Server網(wǎng)絡(luò)可以包含多個(gè)域

17、，一個(gè)域包含多臺(tái)Windows Server效力器以及任務(wù)站。 Windows Server作為域中的效力器根據(jù)角色的不同分為兩類： 主域控制器：包含了域中一切用戶和用戶組的信息，以及域中的平安戰(zhàn)略，主要用于域帳戶的創(chuàng)建，驗(yàn)證用戶的登陸、維護(hù)域的平安性，任何域中都要由一個(gè)主域控制器。 成員效力器：不參與域的管理任務(wù)，都是用作公用的效力器，例如文件效力器、Web效力器等。任務(wù)站任務(wù)站W(wǎng)eb效力器任務(wù)站主域控制器域的組成任務(wù)站域目錄數(shù)據(jù)庫活動(dòng)目錄效力 活動(dòng)目錄(Active Directory)的根本思想就是在一個(gè)安裝了WINDOWS 2000 SERVER或WINDOWS SERVER 2003

18、的計(jì)算機(jī)上安裝一個(gè)目錄數(shù)據(jù)庫，用于一致記錄用戶賬號(hào)、用戶權(quán)限、網(wǎng)絡(luò)對(duì)象資源、平安設(shè)置、以便集中管理和查找。用戶一次登錄即能訪問一切的授權(quán)資源。什么是活動(dòng)目錄？ 活動(dòng)目錄是Windows網(wǎng)絡(luò)中的目錄效力，它以樹型目錄的方式，顯示網(wǎng)絡(luò)上的可用資源(也稱為對(duì)象，它可以是用戶、計(jì)算機(jī)、共享文件夾或打印機(jī)等)，與DNS集成，對(duì)資源進(jìn)展的定位，為網(wǎng)絡(luò)資源提供對(duì)應(yīng)的IP地址，從而易于網(wǎng)絡(luò)資源的集中管理和查找。用戶一次登錄即能訪問一切的網(wǎng)絡(luò)資源?；顒?dòng)目錄的邏輯構(gòu)造什么是活動(dòng)目錄對(duì)象：活動(dòng)目錄存儲(chǔ)網(wǎng)絡(luò)對(duì)象的信息?；顒?dòng)目錄對(duì)象代表網(wǎng)絡(luò)資源，如：用戶、組、計(jì)算機(jī)、打印機(jī)等。每一個(gè)對(duì)象都將存在于活動(dòng)目錄的邏輯構(gòu)造中，

19、活動(dòng)目錄對(duì)象是活動(dòng)目錄的最根本的組成元素?；顒?dòng)目錄的邏輯構(gòu)造組織單元域域目錄樹域目錄林全局目錄組織單元 組織單元OU域中進(jìn)展層次劃分的最小容器。可將用戶、組、計(jì)算機(jī)和其他單元放入活動(dòng)目錄的空間中。組織單元不能包括來自其他域的對(duì)象。組織單元是可以指派組戰(zhàn)略設(shè)置或委派管理權(quán)限的最小作用單位。域 域是由多臺(tái)Windows Server效力器和任務(wù)站銜接構(gòu)成的一個(gè)計(jì)算機(jī)群組，域的作用主要有下面幾點(diǎn)：1)運(yùn)用域資源的用戶，利用域用戶帳號(hào)從域中的任何一臺(tái)計(jì)算機(jī)登陸該域，就可以訪問域中一切允許訪問的資源。留意：域用戶帳號(hào)驗(yàn)證是由主域控制器完成的，而不是有所運(yùn)用的計(jì)算機(jī)驗(yàn)證的。2)一切的域成員可以運(yùn)用主域控制

20、器設(shè)定的一樣的軟硬件資源，系統(tǒng)設(shè)定，帳號(hào)系統(tǒng)和共享資源。3處于同一個(gè)域中的任務(wù)站或者效力器，不論舉例的遠(yuǎn)近只需被定義在一樣的域中，彼此之間就有了同伴關(guān)系。域目錄樹共用延續(xù)名字空間的域組成一個(gè)域目錄樹，域目錄樹是Windows 域中的層次組織。域域樹ncieba.ncieca.ncie域域域目錄林目錄林由一個(gè)或幾個(gè)域目錄樹組成。目錄林中的域目錄樹并不共用延續(xù)的名字空間(如：tech和abc)，但是共用共同的架構(gòu)和全局目錄。域域樹niceba.nieeca.nice域域域域樹betongxs.botengjy.betong域域域林域的信任關(guān)系雙向、傳送信任關(guān)系是Windows域之間的缺省信任關(guān)系。

21、一個(gè)域目錄樹中的各域自動(dòng)建立起雙向，可傳送的信任關(guān)系，實(shí)踐上就將這幾個(gè)域融為了一體。傳送信任：自動(dòng)延展一個(gè)域的信任關(guān)系到一切信任該域的其他域。 jw0331.jw直接信任jw.jw jw0332.jw直接信任jw.jw 那么jw0331.jw直接信任jw0332.jw。雙向信任：在兩個(gè)域之間存在這兩條彼此相反的途徑。 jw0333.jw直接信任jw.jw 那么jw.jw直接信任jw0333.jw域本地組、全局組和通用組 全局組：是用來組織用戶，也就是可以將多個(gè)權(quán)限想念的用戶帳戶參與到同一個(gè)全局內(nèi)。 全局組成員來自于同一域的用戶賬戶和全局組，在林范圍內(nèi)可用。也就是說可以添加到全局組的成員是本域的

22、成員或者全局組這樣就構(gòu)成了組的嵌套。假設(shè)在上海的域中創(chuàng)建了全局組A，那么能添加到A中的人只能是上海域中的對(duì)象或者是其他可信任域，如北京或大連的全局組。 域本地組：主要是被用來指派其所在域內(nèi)的訪問權(quán)限。以便可以訪問該域內(nèi)的資源 域本地組成員來自林中任何域中的用戶賬戶、全局組和通用組以及本域中的域本地組。 本地組不同于域本地組。本地計(jì)算機(jī)上創(chuàng)建的屬于本機(jī)的組稱為“本地組。它的成員可以來自本地計(jì)算機(jī)或者一切的可信任域。本地組存儲(chǔ)在本地計(jì)算機(jī)中，而域本地組存儲(chǔ)在域控制器上。 域本地組、全局組和通用組通用組：是被用來指派在一切域內(nèi)的訪問權(quán)限，以便可以訪問每一個(gè)域內(nèi)資源。 通用組成員來自林中任何域中的用戶

23、賬戶、全局組和其他的通用組，在全林范圍內(nèi)可用。通用組的成員不是保管在各自的域控制器上，而是保管在全局目錄數(shù)據(jù)庫中(全局編錄)，當(dāng)發(fā)生變化時(shí)可以全林復(fù)制。規(guī)那么的簡單記憶全局組 來自本域用于全林通用組 來自全林用于全林域本地組 來自全林用于本域AGDLP規(guī)那么 A(account):用戶帳戶 G(Global group):全局組 DL(Domain local group):域本地組 P(Permission):答應(yīng) 按照AGDLP的原那么對(duì)用戶進(jìn)展組織和管理起來非常有效AGDLP規(guī)那么康博公司是一個(gè)大型的軟件公司。公司的業(yè)務(wù)開展很快，在北京擁有本人的辦公大樓，總部也因此設(shè)在那里，在上海也有分

24、公司。公司在企業(yè)內(nèi)部建立了域名為comboo的域，由于上海的分公司主營外包業(yè)務(wù)，比較獨(dú)立，為其創(chuàng)建了子域osboo，從而構(gòu)成了域樹。公司管理層經(jīng)過商議與另外一個(gè)物流公司協(xié)作興辦了一個(gè)電子物流公司，名為博通，總部設(shè)在大連。博通在總公司的林中創(chuàng)建了本人的域環(huán)境botong。為了充分利用一切的資源，在子公司和總公司之間建立了信任關(guān)系，以便可以相互訪問資源，從而構(gòu)成了域林。 AGDLP規(guī)那么 大連的公司財(cái)務(wù)部門出了一點(diǎn)問題，需求從北京、上海都找10個(gè)人援助一下，大連公司的賬目資料都保管在一臺(tái)財(cái)務(wù)部公用效力器上。由于是公司信息，平安性比較高，一切資料僅僅允許財(cái)務(wù)部門的人訪問，按照下面的過程進(jìn)展設(shè)置：上海

25、和北京的管理員分別為各自要協(xié)助大連的10個(gè)人創(chuàng)建帳號(hào)。上海和北京的管理員分別創(chuàng)建了一個(gè)全局組bjf和shf，將對(duì)應(yīng)帳號(hào)參與其內(nèi)，這就是A-G。 大連管理員為財(cái)務(wù)部門創(chuàng)建了一個(gè)域本地組dlf，在效力器上賦予dlf組權(quán)限大連的管理員僅僅添加bjf和shf到dlf即可完成權(quán)限的添加，而不需求關(guān)懷究竟是哪些人來支持財(cái)務(wù)部任務(wù)。這就是A-G-DL-P。不運(yùn)用AGDLP戰(zhàn)略的時(shí)候，我們也可以實(shí)現(xiàn)這個(gè)功能，就是直接把用戶帳戶添加到財(cái)務(wù)部資源的訪問控制列表中。每條線代表一次操作，顯然很繁瑣；當(dāng)出現(xiàn)變卦的時(shí)候，不運(yùn)用AGDLP的情況會(huì)很糟糕，由于每次改動(dòng)都會(huì)帶來目的權(quán)限的重新設(shè)置。通用組來自全林用于全林，能否可

26、以取代全局組？由于通用組內(nèi)部成員來自于全林，而且它信息是存儲(chǔ)在全局編錄中的，任何的變化都會(huì)導(dǎo)致全林復(fù)制，這個(gè)復(fù)制流量不可忽視。全局編錄中普通存儲(chǔ)一些不太經(jīng)常發(fā)生變化的信息。由于用戶帳戶是會(huì)經(jīng)常發(fā)生變化的，所以，不直接添加用戶帳戶到通用組。 AGDLP規(guī)那么 Telnet是一種因特網(wǎng)遠(yuǎn)程終端訪問效力，它可以登陸遠(yuǎn)程效力器，以命令行方式訪問效力器上的資源，它是最簡單的網(wǎng)絡(luò)登錄遠(yuǎn)程效力器的方式。Telnet效力經(jīng)過端口23任務(wù)。 效力器必需開啟TELNET效力，該效力由tlntsvr.exe文件提供，XP操作系統(tǒng)下在“控制面板管理工具效力下啟動(dòng)該效力。TELNET效力啟動(dòng)之后，效力器就在23端口監(jiān)聽

27、其他主機(jī)的遠(yuǎn)程登陸懇求。 客戶機(jī)要建立到遠(yuǎn)程效力器的對(duì)話，只需在命令提示符下鍵入： TELNET IP地址(主機(jī)名)。該命令由telnet.exe文件解析并給予執(zhí)行。TELNET遠(yuǎn)程登陸效力效力器程序客戶端程序 互聯(lián)網(wǎng)的網(wǎng)站都是一臺(tái)一臺(tái)效力器的方式存在的，這就需求給每臺(tái)效力器分配IP地址，互聯(lián)網(wǎng)上的網(wǎng)站非常多，我們不能夠記住每個(gè)網(wǎng)站的IP地址，利用域名標(biāo)識(shí)每臺(tái)效力器。域名管理系統(tǒng) DNS可以把我們輸入的好記的域名轉(zhuǎn)換為要訪問的效力器的IP地址，比如：當(dāng)我們在閱讀器中輸入chinaitlab會(huì)自動(dòng)轉(zhuǎn)換成為03。域名和IP是分布存放的，DNS懇求總是發(fā)給最近的 DNS效力器，假設(shè)不能對(duì)此域名解析，

28、那么把該懇求發(fā)到更遠(yuǎn)的DNS效力器，直到被解析。DNS域名解析效力利用Windows Server系統(tǒng)的DNS效力可以配置DNS效力器DNS域名組織方式DNS效力器DNS效力器DNS效力器DNS效力器DNS效力器DNS效力器DNS效力器cneducomgovzzulizzulzuDNS域名解析過程 解析newhua的過程cneducomgovyahoozzusinanewhuawwwftp FTP文件傳送效力主要用于在客戶機(jī)和效力器之間傳送文件。它的缺省端口是20(用于數(shù)據(jù)傳輸)和21(用于命令傳輸。FTP協(xié)議是非常獨(dú)特的，由于命令和數(shù)據(jù)可以同時(shí)在兩個(gè)端口同時(shí)傳輸，所以文件傳送速度快。 效力器

29、端程序可以運(yùn)用WINDOWS操作系統(tǒng)自帶的FTP效力器軟件，經(jīng)過“控制面板 管理工具 INTERNET信息效力 FTP站點(diǎn)來啟動(dòng)FTP效力構(gòu)建效力器；也可以運(yùn)用第三方軟件如SERVER_U構(gòu)建FTP效力器。 客戶端可以用IE閱讀器或者命令行登陸FTP效力器來上傳和下載文件。運(yùn)用命令行登陸的格式為： FTP IP地址主機(jī)名 FTP文件傳送效力用戶名密碼出現(xiàn) ftp 提示符那么闡明曾經(jīng)登陸效力器 dir ；查看當(dāng)前目錄下的文件 get 文件名 ；從當(dāng)前目錄下載文件 put 文件名 ；向當(dāng)前目錄上傳文件 quit ；退出FTPFTP的命令行方式 Web效力是目前最常用的效力，運(yùn)用HTTP協(xié)議，也是一

30、個(gè)閱讀器/效力器系統(tǒng)BS方式，默許Web效力占用80端口。在Windows平臺(tái)下運(yùn)用操作系統(tǒng)自帶的IIS構(gòu)建Web效力器。經(jīng)過“控制面板 管理工具 INTERNET信息效力啟動(dòng)和配置WEB效力構(gòu)建效力器；客戶端運(yùn)用IE作為客戶端軟件。IE閱讀器新浪效力器客戶機(jī)IIS效力程序sina送回頁面內(nèi)容WEB網(wǎng)頁效力 在UNIX和LINUX操作系統(tǒng)下，廣泛運(yùn)用的免費(fèi)的Web效力器軟件是APACHE和W3C，在Windows操作系統(tǒng)下運(yùn)用的Web效力器是系統(tǒng)自帶的IIS Web效力器,可以經(jīng)過“控制面板 管理工具INTERNET管理效力啟動(dòng)WEB效力構(gòu)建效力器。啟動(dòng)INTERNET管理效力的默許網(wǎng)站利用D

31、reamweaver等網(wǎng)頁制造軟件制造網(wǎng)站的頁面并將首頁命名為index.htm或Default.htm將網(wǎng)站頁面放入IIS指定的主目錄中，默許的主目錄是c: inetpubwwwrootIIS的啟動(dòng)與設(shè)置 微軟的IIS效力器可以對(duì)外提供WEB效力，在閱讀器中我們是經(jīng)過在IIS中設(shè)定的默許主目錄來訪問WEB效力器。IP地址為2的WEB效力器主目錄：C:inetputwwwrootIE閱讀器鍵入：2/report.htm就等價(jià)于訪問： C:inetputwwwrootreport.htm優(yōu)點(diǎn)是：1. 用戶無需知道訪問哪個(gè)目錄下的文件。2. 由于IIS效力器的默許主目錄可以是效力器上的恣意目錄，用

32、戶判別當(dāng)前的目錄，很難訪問其他目錄下的文件。IIS的默許主目錄 假設(shè)攻擊者知道當(dāng)前IIS的默許目錄，那么可以經(jīng)過一定的手段去訪問其他目錄，例如IIS效力器默許目錄是C:inetputsrcipts，系統(tǒng)文件夾是c:windows，在閱讀器中漸入以下地址就可以進(jìn)入系統(tǒng)文件夾：2/././WINDOWS/SYSTEN32在閱讀器中漸入以下地址就可以執(zhí)行命令：2/././WINDOWS/SYSTEN32/cmd.exe ?/c+dir 出于平安思索微軟在解析地址的時(shí)候，假設(shè)網(wǎng)址里包含了./或.的字符時(shí)，會(huì)將這些字符給忽略掉，但是微軟在解析Unicode編碼時(shí)的破綻使這種攻擊又變成了能夠。Unicod

33、e編碼破綻 “的編碼是5C,“25,“535,“C63那么以下Unicode編碼是什么： .255C , .35C , .3563IIS的默許主目錄網(wǎng)絡(luò)地址轉(zhuǎn)換效力(NAT) 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT:Network Address Translation)就是將一個(gè)IP地址用另一個(gè)IP地址替代。運(yùn)用領(lǐng)域:網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址，這樣互聯(lián)網(wǎng)上的用戶很難判別內(nèi)網(wǎng)的情況。內(nèi)部網(wǎng)絡(luò)的IP地址是無效的IP地址，由于合法IP地址有限，往往很難懇求到，所以需求進(jìn)展地址翻譯。NAT22 發(fā)出懇求應(yīng)對(duì)發(fā)給 2 發(fā)出懇求 發(fā)出懇求應(yīng)對(duì)發(fā)給 應(yīng)對(duì)發(fā)給 網(wǎng)關(guān)地址翻譯：隱藏內(nèi)部IP地址,沒有節(jié)約有效的I

34、P地址空間源IP目的IP0源IP目的IP0源IP目的IP0源IP目的IP0外部網(wǎng)絡(luò)網(wǎng)關(guān)網(wǎng)絡(luò)地址轉(zhuǎn)換效力(NAT)地址翻譯：內(nèi)部網(wǎng)地址轉(zhuǎn)換成網(wǎng)關(guān)地址內(nèi)部網(wǎng)絡(luò)0源IP目的IP0源IP目的IP0源IP目的IP0源IP目的IP0外部網(wǎng)絡(luò)網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)0問題：一切前往數(shù)據(jù)包目的IP都是，網(wǎng)關(guān)如何識(shí)別并送回真正主機(jī)？正向網(wǎng)絡(luò)地址轉(zhuǎn)換1、內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)效力器，數(shù)據(jù)包中的IP地址為2，端口號(hào)為*2、網(wǎng)關(guān)找一個(gè)空閑端口#，將包中的IP地址轉(zhuǎn)化為30，端口號(hào)轉(zhuǎn)化為#3、記錄端口號(hào)#和*，以及2之間的對(duì)應(yīng)關(guān)系，將包發(fā)給效力器4、效力器的應(yīng)對(duì)包反給網(wǎng)關(guān)的端口#，查找對(duì)應(yīng)表找到端口#對(duì)應(yīng)的IP地址和端口*5、交換應(yīng)對(duì)包

35、中的IP地址和端口號(hào)，發(fā)給內(nèi)網(wǎng)主機(jī)。反向網(wǎng)絡(luò)地址轉(zhuǎn)換 反向NAT變換必需指明網(wǎng)關(guān)固定端口#和內(nèi)網(wǎng)主機(jī)的IP地址和端口*的對(duì)應(yīng)關(guān)系，經(jīng)過網(wǎng)關(guān)把訪問網(wǎng)關(guān)端口#的數(shù)據(jù)包交換IP地址和端口后發(fā)給目的主機(jī)，這樣內(nèi)網(wǎng)主機(jī)就可以對(duì)外提供效力了。 所謂代理效力器是指代表外網(wǎng)用戶向內(nèi)網(wǎng)效力器進(jìn)展銜接懇求的效力程序。代理效力器運(yùn)轉(zhuǎn)在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于外網(wǎng)用戶來說像是一臺(tái)真的效力器，而對(duì)于內(nèi)網(wǎng)的效力器來說，它又是一臺(tái)客戶機(jī)。運(yùn)轉(zhuǎn)代理效力的機(jī)器我們稱為堡壘主機(jī)?？蛻舸磴暯哟硇Яζ縻暯觾?nèi)部效力器外部客戶外部內(nèi)部out inTelnet 代理out in 代理 堡壘主機(jī)代理效力內(nèi)部效力器外部客戶外部內(nèi)部客戶代理銜接

36、代理效力器銜接out inTelnet 代理out in 代理 堡壘主機(jī)47 堡壘主機(jī)配有雙網(wǎng)卡，它們之間沒有路由，兩塊網(wǎng)卡各自與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)銜接， 在堡壘主機(jī)上運(yùn)轉(zhuǎn)著必要的代理程序，把一些過濾規(guī)那么運(yùn)用于代理程序，讓它在運(yùn)用層實(shí)現(xiàn)數(shù)據(jù)的過濾功能。 對(duì)于外部用戶來說，堡壘主機(jī)就好似是效力器，對(duì)于內(nèi)部效力器來說，堡壘主機(jī)就好似是客戶機(jī)。正向代理效力 內(nèi)部客戶外部效力器外部內(nèi)部代理效力器銜接 客戶代理銜接 inoutTelnet 代理 inout 代理 堡壘主機(jī)47 對(duì)于內(nèi)部用戶來說，堡壘主機(jī)就好似是提供效力的效力器，而且堡壘主機(jī)上有很大的高速緩存，存放了內(nèi)部用戶經(jīng)常訪問的外部效力器的數(shù)據(jù)鏡

37、像，可以極大的提高網(wǎng)絡(luò)訪問的速度，節(jié)省了網(wǎng)絡(luò)資源。反向代理效力代理效力器 CCProxy 代理效力器CCProxy可以運(yùn)用于局域網(wǎng)任何網(wǎng)絡(luò)接入方式共享上網(wǎng)、功能非常強(qiáng)大，操作也相當(dāng)簡單，目前國內(nèi)最流行的代理效力器軟件。 支持多種協(xié)議的代理效力,可以閱讀網(wǎng)頁，下載文件，收發(fā)電子郵件，網(wǎng)絡(luò)游戲，股票投資，QQ聯(lián)絡(luò)等。網(wǎng)頁緩沖功能還能提高低速網(wǎng)絡(luò)的網(wǎng)頁閱讀速度. 提供了強(qiáng)大的用戶管理功能，包括用戶登陸管理，時(shí)間管理，網(wǎng)站管理，日志功能可以有效的監(jiān)控局域網(wǎng)上網(wǎng)記錄。支持用戶帶寬限制功能，有效的限制客戶端上網(wǎng)速度。代理效力軟件郵件效力電子郵件的組成信信封信紙信頭信體HeaderBodyFrom發(fā)件人To

38、收件人Subject主題CC抄送BCC密件抄送Date發(fā)送日期Return-Path回復(fù)地址Message-Id郵件編號(hào)SMTP協(xié)議(簡單郵件傳輸協(xié)議)，主要義務(wù)是完成電子郵件效力器之間的郵件接納和發(fā)送POP3協(xié)議(郵局協(xié)議)，主要義務(wù)是擔(dān)任從電子郵件接納效力器中查詢、下載、刪除郵件MIME協(xié)議(多用途的因特網(wǎng)郵件擴(kuò)展協(xié)議利用編碼技術(shù)處理了原來中只能發(fā)送7位ASCII字符的限制問題MIME協(xié)議使得中發(fā)送中文字符、添加各種附件成為能夠電子郵件相關(guān)協(xié)議電子郵件系統(tǒng)構(gòu)造郵件客戶程序郵件效力器A郵件效力器B郵件信箱Internet郵件發(fā)送隊(duì)列郵件接納隊(duì)列郵件信箱用戶2用戶1郵件傳送相關(guān)協(xié)議郵件客戶程序

39、SMTPSMTPPOP3VPN遠(yuǎn)程效力VPN概念 VPN即虛擬公用網(wǎng)(Virtal Private Network),是一條穿過混亂的公用網(wǎng)絡(luò)的平安穩(wěn)定的隧道。經(jīng)過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在一個(gè)公用網(wǎng)絡(luò)通常是因特網(wǎng)建立一個(gè)暫時(shí)的、平安的銜接，從而實(shí)如今公網(wǎng)上傳輸私有數(shù)據(jù)、到達(dá)私有網(wǎng)絡(luò)的平安級(jí)別。 VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，VPN經(jīng)過一個(gè)私有的通道來創(chuàng)建一個(gè)平安的私有銜接，將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)同伴等跟企業(yè)網(wǎng)銜接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，雖然VPN通訊建立在公共互聯(lián)網(wǎng)絡(luò)的根底上，但是用戶在運(yùn)用VPN時(shí)覺得好像在運(yùn)用公用網(wǎng)絡(luò)進(jìn)展通訊，所以得名虛擬公用網(wǎng)絡(luò)。V

40、PN遠(yuǎn)程效力遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)協(xié)作同伴虛擬專網(wǎng)(隧道)虛擬專網(wǎng)(隧道)虛擬專網(wǎng)(隧道)分支機(jī)構(gòu)VPN遠(yuǎn)程效力VPN的隧道技術(shù) 所謂隧道，實(shí)踐上就是一種數(shù)據(jù)封裝技術(shù)，將一種協(xié)議封裝在另一個(gè)協(xié)議中傳輸，從而堅(jiān)持被封裝協(xié)議的平安性。為了透明傳輸網(wǎng)絡(luò)層不同協(xié)議的數(shù)據(jù)包，可以采取兩種方法：A把網(wǎng)絡(luò)層協(xié)議(如IP，IPX等)封裝到數(shù)據(jù)鏈路層的點(diǎn)對(duì)點(diǎn)協(xié)議PPP數(shù)據(jù)幀里，在把PPP數(shù)據(jù)幀封裝到隧道協(xié)議里，這種封裝方法封裝的是數(shù)據(jù)鏈路層的數(shù)據(jù)包，稱為“第二層隧道，第二層隧道協(xié)議里以Microsoft公司、3COM公司在PPP根底上開發(fā)的點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP比較典型。B把網(wǎng)絡(luò)層協(xié)議(如IP，IPX等

41、)直接封裝到隧道協(xié)議中，這種封裝方法封裝的是網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)包，稱為“第三層隧道，第三層隧道協(xié)議里以Microsoft公司開發(fā)的IP層平安協(xié)議IPSec運(yùn)用最為廣泛，是現(xiàn)實(shí)上網(wǎng)絡(luò)層平安的業(yè)界規(guī)范，同時(shí)符合IPV4和IPV6環(huán)境。VPN遠(yuǎn)程效力Internet公司BISP接入效力器VPN網(wǎng)關(guān)B平安通道平安通道主機(jī)必需支持IPSecGateway 必需支持IPSec非平安通道PSTNRemote User to VPNGateway方式該方式要求主機(jī)支持IPSec VPN網(wǎng)關(guān)必需支持IPSecVPN遠(yuǎn)程效力Internet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BHost to Host 方式： 該方式

42、要求兩邊主機(jī)都支持IPSec VPN網(wǎng)關(guān)可支持也可不支持IPSec平安通道平安通道平安通道主機(jī)必需支持IPSec主機(jī)必需支持IPSecGateway 可支持也可不支持IPSecGateway 可支持也可不支持IPSecVPN遠(yuǎn)程效力Internet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BVPNGateway to VPNGateway 方式： 該方式不要求主機(jī)支持IPSec 兩邊的VPN網(wǎng)關(guān)必需都支持IPSec非平安通道平安通道主機(jī)可以不支持IPSec主機(jī)可以不支持IPSecGateway 必需支持IPSecGateway 必需支持IPSec非平安通道VPN遠(yuǎn)程效力 IPSec經(jīng)過運(yùn)用兩種通訊平安

43、協(xié)議：身份認(rèn)證報(bào)頭AH、載荷平安封裝ESP實(shí)現(xiàn)平安性、經(jīng)過運(yùn)用因特網(wǎng)平安關(guān)聯(lián)和密鑰管理協(xié)議IKE提供自動(dòng)建立平安關(guān)聯(lián)和管理密鑰的功能。 AH協(xié)議定義了認(rèn)證的運(yùn)用方法，提供數(shù)據(jù)源認(rèn)證、完好性保證和防重放維護(hù)效力。但AH不提供任何嚴(yán)密性效力。 ESP協(xié)議定義了加密和可選認(rèn)證的運(yùn)用方法，實(shí)踐上ESP提供和AH類似的效力，但是添加了兩個(gè)額外的效力：數(shù)據(jù)嚴(yán)密和有限的數(shù)據(jù)流嚴(yán)密效力。 在實(shí)踐進(jìn)展IP通訊時(shí)，可以根據(jù)實(shí)踐平安需求同時(shí)運(yùn)用這兩種協(xié)議或選擇運(yùn)用其中的一種。 下表給出了AH協(xié)議和ESP協(xié)議所提供的效力。 VPN遠(yuǎn)程效力AHESP(有加密)ESP(有加密和認(rèn)證)訪問控制無連接數(shù)據(jù)完整性數(shù)據(jù)來源的認(rèn)證

44、對(duì)重發(fā)數(shù)據(jù)的拒絕保密性有限業(yè)務(wù)流的保密性IPsec的平安業(yè)務(wù)協(xié)議平安業(yè)務(wù)VPN遠(yuǎn)程效力 AH協(xié)議為IP通訊提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完好性和反重播保證，它能維護(hù)通訊免受篡改，但不能防止竊聽，適宜用于傳輸非數(shù)據(jù)。AH的任務(wù)原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)頭。此報(bào)頭包含一個(gè)帶密鑰的hash散列，可以將其當(dāng)作數(shù)字簽名，此hash散列對(duì)整個(gè)數(shù)據(jù)包中的數(shù)據(jù)進(jìn)展計(jì)算，因此對(duì)數(shù)據(jù)的任何更改將致使散列值無效-這樣就提供了完好性維護(hù)。 AH報(bào)頭位于IP報(bào)頭和傳輸層協(xié)議報(bào)頭之間 原IP抱頭AH報(bào)頭傳輸層報(bào)頭TCP/UDP數(shù)據(jù)下一個(gè)報(bào)頭長度安全參數(shù)索引(SPI)序列號(hào)認(rèn)證數(shù)據(jù)(hash校驗(yàn))VPN遠(yuǎn)程效力 AH的

45、運(yùn)用方式有兩種：傳輸方式和隧道方式傳輸方式：傳輸方式用于兩臺(tái)主機(jī)或者雙方網(wǎng)關(guān)支持IPsec協(xié)議的端端的通訊。在這種情況下是把AH插到IP數(shù)據(jù)報(bào)的報(bào)頭后面。 具有IPsec的主機(jī) 具有IPsec的主機(jī)數(shù)據(jù)IP報(bào)頭數(shù)據(jù)AH報(bào)頭IP報(bào)頭 由于任何在傳輸中IP報(bào)頭域有易變的部分 (例如被沿途的路由器修正的TTL域)，該方式對(duì)數(shù)據(jù)提招認(rèn)證功能，不對(duì)IP報(bào)頭提招認(rèn)證功能。 Internet負(fù) 載IP頭部Host AHost BVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù) 載AH頭部IP頭部負(fù) 載AH頭部IP頭部負(fù) 載IP頭部經(jīng)過IPSec 中心處置以后經(jīng)過IPSec 中心處置以后負(fù) 載AH頭部IP頭部傳輸方式下的AH認(rèn)證任務(wù)原

46、理VPN遠(yuǎn)程效力 隧道方式：該方式要求具有平安關(guān)聯(lián)的雙方具有支持IPsec協(xié)議的網(wǎng)關(guān)，同時(shí)網(wǎng)關(guān)為IPsec封裝的數(shù)據(jù)添加一個(gè)新的IP頭數(shù)據(jù)IP報(bào)頭新IP報(bào)頭數(shù)據(jù)IP報(bào)頭 具有IPsec的網(wǎng)關(guān)M 具有IPsec的網(wǎng)關(guān)NAB主機(jī)B的IP地址數(shù)據(jù)IP報(bào)頭AH報(bào)頭新IP報(bào)頭網(wǎng)關(guān)N的IP地址網(wǎng)關(guān)N的IP地址隧道 隧道方式的優(yōu)點(diǎn)是對(duì)被封裝的數(shù)據(jù)報(bào)提供完好的認(rèn)證包括IP報(bào)頭，缺陷是有額外的處置開銷。VPN遠(yuǎn)程效力Internet負(fù) 載IP 頭Host AHost BVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù) 載IP 頭經(jīng)過IPSec 中心處置以后經(jīng)過IPSec 中心處置以后負(fù) 載IP頭AH頭新IP頭負(fù) 載IP頭AH頭新IP

47、頭負(fù) 載IP頭AH頭新IP頭Source IP=VPN網(wǎng)關(guān)1Destination IP=VPN網(wǎng)關(guān)2Source IP=Host ADestination IP=Host B隧道方式下的AH認(rèn)證任務(wù)原理VPN遠(yuǎn)程效力VPN遠(yuǎn)程效力 ESP提供和AH類似的效力，但是添加了兩個(gè)額外的效力：數(shù)據(jù)嚴(yán)密和有限數(shù)據(jù)流嚴(yán)密效力。嚴(yán)密效力由經(jīng)過運(yùn)用密碼算法加密IP數(shù)據(jù)報(bào)的相關(guān)部分來實(shí)現(xiàn)。 ESP中用來加密數(shù)據(jù)報(bào)的密碼算法都毫無例外地運(yùn)用了對(duì)稱密鑰體制。公鑰密碼算法采用計(jì)算量非常大的大整數(shù)模指數(shù)運(yùn)算，而對(duì)稱密碼算法主要運(yùn)用初級(jí)操作(異或、逐位與等)，無論以軟件還是硬件方式執(zhí)行都非常有效，ESP的缺省算法是56

48、比特的DES。該加密算法必需被實(shí)施，以保證IPSec設(shè)備間的互操作性。ESP報(bào)頭位于IP報(bào)頭之后，ESP報(bào)尾和認(rèn)證位于負(fù)載數(shù)據(jù)之后原IP抱頭ESP報(bào)頭傳輸層報(bào)頭TCP/UDP數(shù)據(jù)ESP報(bào)尾ESP認(rèn)證VPN遠(yuǎn)程效力 ESP的運(yùn)用方式有兩種：傳輸方式和隧道方式傳輸方式：傳輸方式用于兩臺(tái)主機(jī)或者雙方網(wǎng)關(guān)支持IPsec協(xié)議的端端的通訊。在這種情況下是把ESP插到IP數(shù)據(jù)報(bào)的報(bào)頭后面，而ESP報(bào)尾和認(rèn)證部分放在數(shù)據(jù)的后面。 具有IPsec的主機(jī) 具有IPsec的主機(jī)數(shù)據(jù)IP報(bào)頭ESP認(rèn)證數(shù)據(jù)ESP報(bào)尾數(shù)據(jù)ESP報(bào)頭IP報(bào)頭 由于在傳輸中不能對(duì)IP報(bào)頭進(jìn)展加密，該方式僅對(duì)數(shù)據(jù)提供加密功能。在傳輸中IP報(bào)頭域有易變的部分 (例如被沿途的路由器修正的TTL域)，該方式僅對(duì)數(shù)據(jù)提招認(rèn)證功能，此外該方式下需求雙方有一個(gè)共享的密鑰。共享密鑰可以雙方設(shè)定，也可以經(jīng)過密鑰管理中心或者認(rèn)證中心獲得。VPN遠(yuǎn)程效力Internet負(fù) 載IP頭部Host AHost BVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù) 載IP頭部經(jīng)過IPSec 中心處置以后經(jīng)過IPSec 中心處置以后ESP認(rèn)證ESP尾負(fù) 載ESP頭IP