系统架构设计师教程|第七讲

Posted 2021-03-28 高级软考必修课堂

写在前面：

人活着就应该像齐天大圣，疯过，爱过，恨过，闯过，拼过，努力过，但从没有退缩害怕过。

~~~~~~~~~~~~~~~~~~~

2.33 网络管理与网络安全

1.网络管理

网络管理是对计算机网络的配置、运行状态和计费等进行的管理。它提供了监控、协调和测试各种网络资源以及网络运行状况的手段，还可提供安全字处理和计费等功能。在OSI网络管理标准中定义了网络管理的五大基本功能：配置管理、性能管理、故障管理、安全管理和计费管理。事实上，网络管理还应该包括其他一些功能，如网络规划、网络操作人员的管理等。

2.计算机网络安全

计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护不因偶然的或恶意的原因而遭到破坏、更改、泄露，确保系统能连续和可靠地运行，使网络服务不中断。网络安全从本质上讲就是网络上的信息安全。信息安全是在分布式计算环境中对信息的传输、存储、访问提供安全保护，以防止信息被窃取、篡改和非法操作。信息安全的基本要素是保密性、完整性、可用性、真实性和可控性。完整的信息安全保障体系应包括保护、检测、响应和恢复等4个方面。信息安全术语有密码学、鉴别、Kerberos鉴别、公钥基础设施、数字签名、访问控制。

网络威胁：是对网络安全缺陷的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全威胁的种类有窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用、陷门和特洛伊木马、病毒、诽谤等。

网络安全漏洞：通常，入侵者首先寻找网络存在的安全弱点，然后从缺口处无声无息地进入网络。因而开发黑客反击武器的思想是找出现行网络中的安全弱点，演示、测试这些安全漏洞，然后指出应如何堵住安全漏洞。当前，信息系统的安全性非常脆弱，主要体现在操作系统、计算机网络和数据库管理系统都存在安全隐患，这些安全隐患表现在：物理安全性、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理。

网络攻击是指任何的非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到完全破坏或控制服务器。在网络上成功实施的攻击级别依赖于用户采取的安全措施。网络攻击有被动攻击、主动攻击、物理临近攻击、内部人员攻击和分发攻击。

任何形式的互联网络服务都会导致安全方面的风险，问题是如何将风险降低到最低程序。目前的网络安全措施有数据加密、数字签名、身份认证、防火墙和入侵检测等。

3. VPN

所谓虚拟专用网( Virtual Private Network，VPN)是建立在公用网上的、由某一组织或某一群用户专用的通信网络，其虚拟性表现在任意一对VPN用户之间没有专用的物理连接，而是通过( Internet Services Provider，ISP)提供的公用网络来实现通信；其专用性表现在VPN之外的用户无法访问VPN内部的网络资源，VPN内部用户之间可以实现安全通信。这里讲的VPN是指在Internet上建立的、由用户(组织或个人)自行管理的VPN，而不涉及一般电信网中的VPN。

实现VPN的关键技术有隧道技术( Tunneling)、加解密技术( Encryption ＆ Decryption)、密钥管理技术( Key Management)和身份认证技术( Authentication)。

VPN的解决方案有三种：内联网VPN( Intranet VPN)、外联网VPN( Extranet VPN)和远程接入VPN( Access VPN)。

2.3.4 网络工程

网络工程是根据用户单位的需求及具体情况，结合现时网络技术的发展水平及产品化程序，经过充分需求分析和市场调研，从而确定网络建设方案，依据方案有步骤、有计划实施的网络建设活动。网络工程建设是一项复杂的系统工程，一般可分为网络规划和网络设计阶段、工程组织和实施阶段以及系统运行维护阶段。

2.3.5 存储及负载均衡技术

1.RAID技术

RAID( Redundant Array of Inexpensive Disks，磁盘阵列)是一种由多块廉价磁盘构成的冗余阵列。使用磁盘阵列的目的是建立数据冗余、增强容错、提高容量、增进性能。

RAID技术主要包含RAID 0～RAID 7等规范，以及复合RAID模式RAID 0+1、5+1等。在RAID家族里，RAID 0和RAID 1在个人电脑上得到了广泛的应用。

硬件RAID的实现：一般使用SCSI或者IDE/ATA作为硬盘系统的接口。硬件RAID实现分为两种：一种是内置(或集成)RAID控制器，一种是外置RAID控制器。

软件RAID的实现：除了使用RAID卡或者主板所带的芯片实现磁盘阵列外，在一些操作系统中可以直接利用软件方式实现RAID功能，例如在 Windows 2000/XP中就已经内置了RAID功能， Linux用Raidtools来实现RAID功能。

2.网络存储技术

网络存储采用面向网络的存储体系结构，使数据处理和数据存储分离，由专门的系统负责数据处理，存储设备或子系统负责数据的存储。网络存储结构通过网络连接服务器和存储资源，具有灵活的网络寻址能力和远距离数据传输能力。实现了在一个或多个位置简单而可靠的数据存储、恢复和不同主机不同存储设备之间的资源共享。

网络存储体系结构大致分为三种：直连式存储( Direct Attached Storage，DAS)、网络连接存储( Network Attached Storage，NAS)和存储区域存储( Storage Area Network，SAN)。

3.负载均衡技术

负载均衡( Load Balance)是由多台服务器以对称的方式组成一个服务器集合，每台服务器都具有等价的地位，都可以单独对外提供服务而无须其他服务器的辅助。

负载均衡是在现有的网络结构的基础上，通过扩展网络设备和服务器的带宽，来增加吞吐量，提升网络的数据处理能力，提高网络的灵活性、可靠性、可用性和可维护性，最终目的是加快服务器的响应速度，从而提高用户的体验度。负载均衡从结构上分为本地负载均衡( Local Server Load Balance)和全局负载均衡(Global Server Load Balance)。

负载均衡的实现方法有两种：第一种方法是把大量的并发访问或数据流量分配到多个设备上分别处理，以减少用户等待响应的时间；第二种方法是将单个的重负载的运算分摊到多个设备上做并行处理，再将每个设备的运行结果汇总后返回给用户。

一个网络的负载均衡，一般情况下从传输链路聚合、采用更高层网络交换技术和设置服务器群集策略三个角度来实现。常用的负均衡技术有操作系统自带的负载均衡服务、基于特定服务器软件的负载均衡、基于DNS的负載均衡、反向代理负载均衡、基于NAT的负均衡技术、扩展的负载均衡技术以及硬件方式。

4.服务器集群技术

集群( Cluster)是一组相互独立的服务器在网络中表现为单一的系统，并以单一系统的模式加以管理。此单一系统为客户端提供高可靠性的服务，并大幅提高了服务器的安全性。

一个Cluster包含多台(至少二台)拥有共享数据存储空间的服务器，任何一台服务器在运行一个应用时，应用数据被存储在共享的数据空间内。每台服务器的操作系统和应用程序文件存储在各自的本地存储空间上。

大多数模式下，集群中所有的计算机拥有一个共同的名称，各节点服务器通过一内部局域网相互通讯，集群内任一系统上运行的服务都可被所有的网络客户所使用，当一台节点服务器发生故障时，这台服务器上所运行的应用程序将在另一节点服务器上被自动接管，客户也能很快地自动地连接到新的应用服务器上。

集群服务在部署关键业务、电子商务、商务流程中的作用将日益重要起来。

（第二章完~）