Menu
Jest wolny
rejestracja
Dom  /  Rada/ Ogólne informacje o interakcjach w sieci. Usługi sieciowe i standardy sieciowe

Ogólne informacje o sieci. Usługi sieciowe i standardy sieciowe

Zadaniem warstwy transferu danych jest dostarczanie usług do warstwy sieciowej. Główną usługą jest transfer danych z warstwy sieciowej maszyny wysyłającej do warstwy sieciowej maszyny odbierającej. Na maszynie transmitującej istnieje pewna jednostka lub proces, który przesyła bity z warstwy sieciowej do warstwy przesyłania danych, aby przesłać je do miejsca przeznaczenia. Zadaniem warstwy danych jest wysłanie tych bitów do maszyny odbiorczej, aby mogły być przesłane do warstwy sieciowej maszyny odbiorczej, jak pokazano na rys. 3.2, za. W rzeczywistości dane są przesyłane ścieżką pokazaną na ryc. 3.2,b łatwiej jednak wyobrazić sobie dwa poziomy transmisji danych komunikujące się ze sobą za pomocą protokołu transmisji danych. Z tego powodu w całym tym rozdziale będziemy korzystać z modelu pokazanego na ryc. 3.2, za.

Warstwa transferu danych może zapewnić różne usługi... Ich zestaw może różnić się w różne systemy... Zwykle możliwe są następujące opcje.

1. Usługa bez potwierdzenia, bez nawiązywania połączenia.

2. Usługa z potwierdzeniami, bez nawiązywania połączenia.

3. Usługa zorientowana na połączenie z potwierdzeniami.

Rozważmy kolejno te opcje.

Usługa niepotwierdzona i niepodłączona oznacza, że ​​maszyna wysyłająca wysyła niezależne ramki do maszyny odbierającej, a maszyna odbierająca nie wysyła potwierdzeń odebranych ramek. Żadne połączenia nie są wstępnie ustanawiane ani przerywane po przesłaniu ramek. Jeśli ramka zostanie utracona z powodu szumu linii, warstwa danych nie podejmuje żadnych prób jej odzyskania. Ta klasa usług jest akceptowalna przy bardzo niskich wskaźnikach błędów. W takim przypadku można pozostawić pytania związane z odzyskiwaniem danych utraconych podczas transmisji górne poziomy... Wykorzystywany jest również w łączach komunikacyjnych w czasie rzeczywistym, takich jak transmisja głosu, gdzie lepiej jest odbierać zniekształcone dane niż odbierać je z dużymi opóźnieniami. Usługa bez potwierdzenia i bez nawiązania połączenia jest wykorzystywana w warstwie transmisji danych w większości sieci lokalnych.

Kolejnym krokiem w kierunku zwiększenia niezawodności jest usługa z potwierdzeniami, bez nawiązywania połączenia. Podczas korzystania z niego połączenie również nie jest nawiązywane, ale odbiór każdej ramki jest potwierdzany. Dzięki temu nadawca wie, czy ramka dotarła do miejsca docelowego w stanie nienaruszonym. Jeśli w ustawionym przedziale czasu nie zostanie odebrane potwierdzenie, ramka zostanie ponownie wysłana. Taka usługa jest przydatna w przypadku korzystania z kanałów o dużym prawdopodobieństwie wystąpienia błędów, np. w systemach bezprzewodowych.

Należy prawdopodobnie zauważyć, że dostarczanie potwierdzeń jest raczej optymalizacją niż wymogiem. Warstwa sieciowa zawsze może wysłać pakiet i czekać na potwierdzenie jego dostarczenia. Jeżeli w określonym czasie potwierdzenie nie zostanie odebrane przez nadawcę, wiadomość może zostać wysłana ponownie. Problem z tą strategią polega na tym, że ramki zwykle mają sztywny limit maksymalnej długości ze względu na wymagania sprzętowe. Pakiety warstwy sieciowej nie mają takich ograniczeń. Jeśli więc przeciętny komunikat jest podzielony na 10 ramek i 20% z nich ginie po drodze, to transmisja komunikatu w ten sposób może trwać bardzo długo.

Jeśli potwierdzisz odbiór poszczególnych ramek i wyślesz je ponownie w przypadku błędu, przesłanie całej wiadomości zajmie znacznie mniej czasu. W tak niezawodnych kanałach, jak np. światłowód, narzut na potwierdzenie w warstwie transmisji danych zmniejszy się tylko wydajność kanał, ale dla bezprzewodowy taki wydatek zwróci się i skróci czas transmisji długich wiadomości.

Najbardziej zaawansowaną usługą, jaką może zapewnić warstwa przesyłania danych, jest usługa zorientowana na połączenie z potwierdzeniami. Dzięki tej metodzie źródło i miejsce docelowe nawiązują połączenie przed przesłaniem danych do siebie. Każda wysłana ramka jest ponumerowana i warstwa łącza zapewnia, że ​​każda wysłana ramka jest faktycznie odbierana po drugiej stronie kanału komunikacyjnego. Ponadto gwarantuje się, że każda ramka została odebrana tylko raz i że wszystkie ramki zostały odebrane we właściwej kolejności. W przeciwieństwie do tego, w przypadku usługi bezpołączeniowej możliwe jest, że w przypadku utraty potwierdzenia ta sama ramka zostanie wysłana wiele razy, a zatem odebrana wielokrotnie. Usługa zorientowana na połączenie zapewnia przetwarzanie warstwy sieciowej równoważne niezawodnemu strumieniowi bitów.

W przypadku korzystania z usługi zorientowanej na połączenie transmisja danych składa się z trzech różnych faz. W pierwszej fazie nawiązywane jest połączenie, w którym obie strony inicjują zmienne i liczniki potrzebne do śledzenia, które ramki zostały już odebrane, a które jeszcze nie zostały odebrane. W drugiej fazie transmitowane są ramki danych. Wreszcie w trzeciej fazie połączenie zostaje zerwane, a wszystkie zmienne, bufory i inne zasoby wykorzystywane podczas połączenia zostają zwolnione.

Rozważmy typowy przykład: sieć globalna składający się z routerów połączonych od węzła do węzła za pomocą dedykowanych linii telefonicznych. Gdy ramka dociera do routera, sprzęt sprawdza ją pod kątem błędów (za pomocą metody, którą omówimy nieco później) i przekazuje ramkę do oprogramowania warstwy danych (które można osadzić w chipie karta sieciowa). Program płaszczyzny danych sprawdza, czy jest to oczekiwana ramka, a jeśli tak, przesyła pakiet przechowywany w polu ładunku ramki do programu routingu. Program routingu wybiera żądaną linię wychodzącą i przekazuje pakiet z powrotem do programu warstwy danych, który przekazuje go w sieci. Przejście wiadomości przez dwa routery pokazano na rys. 3.3.

Programy routingu często muszą dobrze wykonać zadanie, to znaczy potrzebują niezawodnego połączenia z sekwencjonowanymi pakietami na wszystkich liniach łączących routery. Takie programy są zwykle nielubiane, jeśli zbyt często musisz się martwić o utracone pakiety. Sprawienie, by zawodne linie były wiarygodne, a przynajmniej całkiem dobre, to zadanie warstwy przesyłania danych, pokazanej na rysunku przerywanym prostokątem. Należy zauważyć, że chociaż rysunek pokazuje kilka kopii programu warstwy danych, w rzeczywistości wszystkie linie komunikacyjne są obsługiwane przez jedną kopię programu z różnymi tabelami i strukturami danych dla każdej linii.

Więcej na temat Usługi świadczone w warstwie sieciowej:

  1. Nasza populacja skurczyła się teraz do punktu, w którym coraz trudniej jest nam zapewnić ochronę Zachodniego Wybrzeża, którą zapewnialiśmy do tej pory, podczas gdy w niedalekiej przyszłości będziecie potrzebować znacznie skuteczniejszej ochrony.

Dzielą się na czytanie interaktywne, bezpośrednie i odroczone. Usługi należące do klasy odroczonego czytania (off-line) są najbardziej rozpowszechnione, najbardziej wszechstronne i najmniej wymagające pod względem zasobów komputerowych i łączy komunikacyjnych. Główną cechą tej grupy jest to, że żądanie i otrzymanie informacji można dość mocno oddzielić czasowo (e-mail). Usługi dostępu bezpośredniego charakteryzują się tym, że informacje na żądanie zwracane są natychmiast. Jednak natychmiastowa odpowiedź (ftp) nie jest wymagana od odbiorcy informacji. Usługi wymagające natychmiastowej odpowiedzi na otrzymane informacje, tj. otrzymane informacje są w rzeczywistości wnioskiem, odnoszą się do usług interaktywnych (on-line) (www).

E-mail(e-mail) - pierwsza z usług internetowych, najbardziej rozpowszechniona i wydajna z nich. Jest to typowa usługa odroczonego odczytu. E-mail ( mi elektroniczny Poczta) - elektroniczny odpowiednik poczty. List zwykły składa się z koperty, na której zapisany jest adres odbiorcy i znajdują się znaczki urzędów pocztowych trasy, a zawartość - sam list. E-mail składa się również z nagłówków zawierających informacje serwisowe (o autorze listu, adresacie, ścieżce w sieci itp.), pełniące rolę koperty oraz rzeczywistą treść listu. Korzystając z poczty e-mail możesz wysyłać i odbierać wiadomości, wysyłać kopie listu do kilku odbiorców jednocześnie, przekazywać otrzymany list na inny adres, dołączać pliki do listu itp.

Wiadomości sieciowe Usenet lub, jak powszechnie nazywa się je w rosyjskich sieciach, telekonferencje, jest prawdopodobnie drugą najbardziej rozpowszechnioną usługą internetową. Podczas gdy wiadomości e-mail rozsyłają wiadomości w trybie jeden do jednego, wiadomości sieciowe emitują wiadomości jeden do wielu. Mechanizm transmisji każdej wiadomości jest podobny do przesyłania plotek: każdy węzeł sieci, który nauczył się czegoś nowego (tj. otrzymał nową wiadomość), przekazuje wiadomość do wszystkich znanych węzłów, tj. do wszystkich tych węzłów, z którymi wymienia wiadomości. W ten sposób raz wysłana wiadomość rozprzestrzenia się wielokrotnie, powielając się w sieci, docierając w dość krótkim czasie do wszystkich uczestników grup dyskusyjnych Usenet na całym świecie. W takim przypadku w dyskusji może uczestniczyć wiele osób, niezależnie od tego, gdzie fizycznie się znajdują. Liczba użytkowników Usenetu jest dość duża – według technologii UUNET, liczba nowych wiadomości na grupach dyskusyjnych każdego dnia wynosi około miliona.

Kolejny prosty, ale jednocześnie bardzo użyteczna usługa Internet - listy mailingowe (listy mailingowe). Jest to praktycznie jedyna usługa, która nie posiada własnego protokołu i programu klienckiego i działa wyłącznie za pośrednictwem poczty elektronicznej. Ideą listy mailingowej jest to, że istnieje adres e-mail, który jest w rzeczywistości powszechnym adresem wielu osób, które subskrybują listę mailingową. Wszystkie osoby zapisane na tej liście mailingowej otrzymają wiadomość e-mail wysłaną na ten adres. Powody korzystania z list mailingowych: Po pierwsze, wiadomości rozsyłane przez e-mail zawsze będą czytane przez subskrybenta po oczekiwaniu na niego w skrzynka pocztowa, natomiast artykuły w wiadomościach online są usuwane po pewnym czasie i stają się niedostępne. Po drugie, listy mailingowe są łatwiejsze w zarządzaniu i bardziej poufne: administrator list ma pełną kontrolę nad zbiorem subskrybentów i może śledzić treść wiadomości. Każda lista mailingowa jest prowadzona przez organizację i ma pełną kontrolę nad listą, w przeciwieństwie do grup dyskusyjnych Usenet, które nie są własnością i są mniej kontrolowane. Po trzecie, do pracy z listą dyskusyjną wystarczy dostęp do poczty e-mail, a subskrybentami mogą być osoby, które nie mają dostępu do newsów Usenetu ani żadnej z tych grup dyskusyjnych. Po czwarte, ta metoda przesyłania wiadomości może być po prostu szybsza, o ile wiadomości są wysyłane bezpośrednio do subskrybentów, a nie między serwerami Usenetu.



File Transfer Protocol (ftp) - zdalny dostęp do plików, protokół definiujący zasady przesyłania plików z jednego komputera na drugi. Aby pracować z ftp, musisz mieć uprawnienia do wejścia na zdalną maszynę, z której chcesz pobierać pliki do siebie, tj. mieć login i znać odpowiednie hasło. Pomimo swojego rozpowszechnienia, ftp ma wiele wad. Programy klienckie FTP mogą nie zawsze być przyjazne dla użytkownika lub łatwe w użyciu. Nie zawsze można zrozumieć, jaki plik znajduje się przed tobą. Nie ma prostego i uniwersalnego narzędzia wyszukiwania na anonimowych serwerach ftp (oznacza to, że połączenie z serwerem ftp nie może odbywać się pod własną nazwą). Programy FTP są dość stare, a niektóre z ich funkcji, które były przydatne od urodzenia, nie są dobrze rozumiane i są potrzebne dzisiaj. Serwery FTP nie są scentralizowane, co stwarza własne problemy.

Być może najbardziej „sieciową” usługą internetową jest zdalne logowanie, telnet) - jest to praca na zdalnym komputerze w trybie emulacji terminala wymaganego węzła sieci, tj. wykonywanie wszystkich (lub prawie wszystkich) akcji, które można wykonać ze zwykłego terminala serwera telnet. Ruch związany z tego typu sieciami stanowi średnio około 19% całego ruchu sieciowego. Telnet to protokół emulacji terminala, który zapewnia obsługę zdalny dostęp w Internecie. Aby korzystać z tej usługi, musisz mieć dostęp do Internetu klasy przynajmniej dostęp wdzwaniany.

WAIS(wymawiane weiss) to kolejna usługa internetowa, która oznacza System informacyjny szeroki profil, ale w rzeczywistości jest to zestaw programów przeznaczonych do indeksowania dużych ilości nieustrukturyzowanych, zwykle tylko tekstu, informacji, wyszukiwania takich dokumentów i ich wyodrębniania. Istnieją programy do indeksowania, dla wyszukiwanie lokalne według uzyskanych indeksów, a także programów serwera i klienta, które komunikują się ze sobą za pomocą specjalnego protokołu.


Suseł- to jest system rozproszony eksport uporządkowanych informacji. Pracując z nim jesteś w systemie podmenu, z którego dostępne są pliki różnego typu - z reguły proste teksty, ale mogą to być grafiki, dźwięki i dowolne inne typy plików. W ten sposób pliki z informacjami są eksportowane do publicznego dostępu, ale nie w formie system plików jak w ftp, ale jako struktura drzewa z adnotacjami. Gopher jest usługą bezpośredniego dostępu i wymaga pełnego połączenia serwera i klienta z Internetem.

Powłoka Gopher jest jednym z integratorów Możliwości internetowe... W nim dostępne są telnet, ftp, e-mail itp. Ta powłoka zawiera również interfejsy do takich serwerów, które nie mogą być obsługiwane ręcznie ze względu na ich protokół zorientowany na maszynę.

Inną opcją integracji internetowych usług sieciowych jest „ Sieć ogólnoświatowa„(World Wide Web, w skrócie WWW Obecnie najbardziej rozpowszechniony jest WWW. Główną jednostką prezentacji informacji sieciowych w WWW jest tzw. dokument hipertekstowy.

ruch (ruch): ruch, przepływ danych w medium transmisyjnym, ilość przepływających danych w sieci lokalnej lub globalnej.

Uniwersalna Identyfikacja Zasobów (URI) to uniwersalna forma adresowania zasoby informacji, jest systemem dość spójnym, uwzględniającym doświadczenie adresowania i identyfikacji e-maili, Gopher, WAIS, telnet, ftp itp. Ale w rzeczywistości ze wszystkiego, co jest opisane w URI, tylko Universal Resource Locator (URL) jest wymagany do organizowania baz danych w sieci WWW. Bez tej specyfikacji cała moc HTML byłaby bezużyteczna. Adres URL jest używany w łączach hipertekstowych i zapewnia dostęp do rozproszonych zasobów sieciowych. W adresie URL można adresować zarówno inne dokumenty hipertekstowe w formacie HTML, jak i zasoby e-mail, telnet, ftp, Gopher. Użycie adresów URL nakłada dwa ograniczenia na adresowanie zasobów: pierwszym i najważniejszym jest to, że w adresie URL nie może być spacji, a drugim jest to, że adresy URL rozróżniają wielkie i małe litery, nawet w systemach, w których zwykle się nie różnią.

Protokół sieciowy zapewnia komunikację komputery lokalne ze zdalnymi serwerami.

Common Gateway Interface - przeznaczony do rozszerzenia możliwości WWW poprzez podłączenie zewnętrznego oprogramowania. Pozwoliło to na kontynuację zasady rozgłosu, łatwości rozwoju. Zaproponowany i opisany w CGI sposób połączenia nie wymagał dodatkowych bibliotek, serwer komunikował się z programami za pomocą standardowych strumieni wejścia/wyjścia, co upraszczało programowanie. Głównym celem interfejsu Common Gateway Interface jest zapewnienie jednolitego przepływu danych między serwerem a program aplikacyjny który działa spod serwera. CGI definiuje protokół komunikacyjny między serwerem a programem.

Pojęcie bramy CGI. Różnica w stosunku do zwykłego programu CGI.

Stosowany oprogramowanie praca z serwerem jest podzielona na zwykłe programy CGI i bramy. Zwykły program CGI jest uruchamiany przez serwer HTTP w celu wykonania pewnej pracy, zwraca wyniki do serwera i kończy działanie. Brama działa w taki sam sposób, jak zwykły program CGI, tylko w rzeczywistości inicjuje interakcję jako klient z trzecim programem.

Hot Java umożliwia korzystanie z programów napisanych w Javie i osadzonych w dokumencie WWW. Programy te nazywane są apletami.

Główne postanowienia międzynarodowej normy ISO/IEC 17799.

Część 19: Kontrola dostępu. Kontynuacja.

Kontrola dostępu do sieci komputerowej

Należy kontrolować dostęp zarówno do wewnętrznych, jak i zewnętrznych usług sieciowych. Pomoże to zapewnić, że użytkownicy, którzy mają dostęp do sieci i usług sieciowych, nie narażają bezpieczeństwa tych usług. W tym celu stosuje się następujące środki:

    odpowiednie interfejsy między siecią organizacji a sieciami publicznymi i sieciami należącymi do innych organizacji;

    odpowiednie mechanizmy uwierzytelniania użytkowników i sprzętu;

    kontrola dostępu użytkowników do usług informacyjnych.

Polityka usług sieciowych

Niezabezpieczone połączenia z usługami sieciowymi mogą mieć wpływ na bezpieczeństwo całej organizacji. Użytkownicy powinni mieć bezpośredni dostęp tylko do tych usług, na które otrzymali specjalne pozwolenie. Jest to szczególnie ważne w przypadku połączeń sieciowych z aplikacjami poufnymi lub krytycznymi dla firmy oraz dla użytkowników pracujących w obszarach wysokiego ryzyka, takich jak miejsca publiczne i obszary zewnętrzne poza zakresem kontroli bezpieczeństwa organizacji.

Należy opracować politykę dotyczącą korzystania z sieci i usług sieciowych. Polityka ta powinna obejmować:

    sieci i usługi sieciowe, do których dozwolony jest dostęp;

    zasady administracyjne i środki ochrony dostępu do połączeń sieciowych i usług sieciowych.

Polityka ta powinna być zgodna z polityką kontroli dostępu organizacji.

Uwierzytelnianie użytkownika dla połączeń zewnętrznych

Połączenia zewnętrzne (na przykład połączenia telefoniczne) stwarzają możliwość nieautoryzowanego dostępu do informacji organizacji. Dlatego do zdalnego dostępu użytkownika należy użyć uwierzytelniania.

Istnieją różne metody uwierzytelniania. Niektóre z tych metod zapewniają lepsze zabezpieczenia niż inne — na przykład metody oparte na szyfrowaniu mogą zapewnić silniejsze uwierzytelnianie. W ocenie ryzyka należy określić wymagany poziom ochrony. Informacje te będą wymagane przy wyborze odpowiedniej metody uwierzytelniania.

Do uwierzytelnienia użytkowników zdalnych można użyć na przykład metod kryptograficznych, sprzętu lub protokołów typu wyzwanie i potwierdzenie. Ponadto można użyć dedykowanych linii prywatnych lub walidatorów, aby zapewnić prawidłowe pochodzenie połączenia. adresy sieciowe użytkowników.

Organizacje mogą korzystać z narzędzi oddzwaniania, takich jak modemy oddzwaniania, aby chronić przed nieautoryzowanymi i niechcianymi połączeniami z obiektami przetwarzania informacji. Ta metoda kontroli służy do uwierzytelniania użytkowników próbujących połączyć się z siecią organizacji ze zdalnej lokalizacji. Korzystając z tej metody, nie należy korzystać z usług sieciowych, które zapewniają przekazywanie połączeń. Jeśli masz przekierowanie połączeń, należy je wyłączyć, aby uniknąć powiązanych z nim luk w zabezpieczeniach. Ponadto proces oddzwaniania musi koniecznie obejmować sprawdzenie, czy połączenie zostało faktycznie zakończone przez organizację. W przeciwnym razie zdalny użytkownik może pozostać na linii, symulując sprawdzenie wywołania zwrotnego. Funkcje oddzwaniania należy dokładnie sprawdzić pod kątem tej funkcji.

Uwierzytelnianie hosta

Sposoby automatycznego łączenia się ze zdalnym komputerem mogą zostać wykorzystane przez cyberprzestępców do uzyskania nieautoryzowanego dostępu do aplikacji biznesowych. W związku z tym połączenia ze zdalnym systemy komputerowe musi wymagać uwierzytelnienia. Jest to szczególnie ważne, jeśli połączenie korzysta z sieci, która jest poza kontrolą organizacji.

Uwierzytelnianie hosta może służyć jako alternatywny sposób uwierzytelniania grup użytkowników zdalnych podczas łączenia się z udostępnionymi, bezpiecznymi usługami komputerowymi.

Zdalna ochrona portu diagnostycznego

Dostęp do portów diagnostycznych musi być dokładnie kontrolowany. Wiele komputerów i systemów komunikacyjnych posiada zdalną diagnostykę dial-up, z której korzystają inżynierowie serwisu. Jeśli nie są zabezpieczone, te porty diagnostyczne mogą być używane do nieautoryzowanego dostępu. Dlatego muszą być zabezpieczone odpowiednim mechanizmem ochronnym (np. kłódką). Należy wprowadzić zasady zapewniające, że te porty będą dostępne wyłącznie na podstawie umowy między osobą odpowiedzialną za system komputerowy a personelem serwisowym, który potrzebuje dostępu.

Separacja sieci komputerowych

W miarę pojawiania się partnerstw, które wymagają tworzenia sieci lub współdzielenia sieci i narzędzi przetwarzania informacji, sieci coraz częściej wychodzą poza tradycyjne granice organizacji. Takie rozszerzenie może zwiększyć ryzyko nieuprawnionego dostępu do systemów informatycznych podłączonych do sieci, z których część może wymagać ochrony przed innymi użytkownikami sieci ze względu na ich krytyczność lub poufność. W takich okolicznościach zaleca się rozważenie wdrożenia kontroli sieciowych do wydzielonych grup usług informacyjnych, użytkowników i systemów informatycznych.

Jedną z metod kontroli bezpieczeństwa w dużych sieciach jest podzielenie takich sieci na oddzielne logiczne strefy sieci, na przykład wewnętrzne strefy sieci organizacji i zewnętrzne strefy sieci. Każdy taki obszar jest chroniony przez określony obwód bezpieczeństwa. Taką granicę można osiągnąć, instalując bezpieczną bramę między dwiema połączonymi sieciami, aby kontrolować dostęp i przesyłać informacje między dwiema domenami. Ta brama powinna być skonfigurowana do filtrowania ruchu między tymi domenami i blokowania nieautoryzowanego dostępu zgodnie z polityką kontroli dostępu organizacji.

Dobrym przykładem takiej bramy jest to, co powszechnie nazywa się zaporą ogniową.

wymagania dostępu. Ponadto podczas wdrażania routingu sieciowego i bramek należy wziąć pod uwagę względny koszt i wpływ na wydajność.

Monitorowanie połączeń sieciowych

Zasady kontroli dostępu w sieciach współdzielonych, zwłaszcza poza organizacją, mogą wymagać wdrożenia środków ograniczających łączność użytkowników. Takie narzędzia można wdrożyć za pomocą bram sieciowych, które filtrują ruch zgodnie z daną tabelą lub zestawem reguł. Nałożone ograniczenia powinny być oparte na polityce dostępu i potrzebach organizacji. Ograniczenia te muszą być utrzymywane i aktualizowane w odpowiednim czasie.

Oto przykłady obszarów, dla których należy nałożyć ograniczenia:

    E-mail;

    jednokierunkowy transfer plików;

    dwukierunkowy transfer plików;

    dostęp interaktywny;

    dostęp do sieci w odniesieniu do pory dnia lub daty.

Kontrolowanie routingu sieciowego

W sieciach współdzielonych, zwłaszcza poza organizacją, może być konieczne ustanowienie kontroli routingu, aby zapewnić, że: połączenia komputerowe a przepływy danych nie naruszają polityki kontroli dostępu organizacji. Ta kontrola jest często wymagana w przypadku sieci udostępnianych innym użytkownikom spoza organizacji.

Kontrole routingu powinny opierać się na określonych mechanizmach sprawdzania adresów źródłowych i docelowych. Ponadto mechanizm translacji adresów sieciowych jest bardzo wygodny w izolowaniu sieci i zapobieganiu występowaniu tras między dwiema sieciami różnych organizacji. Narzędzia te można zaimplementować zarówno programowo, jak i sprzętowo. Przy wdrażaniu należy wziąć pod uwagę moc wybranych mechanizmów.

Materiały normy są dostarczane przez firmę

Centrum danych to fizyczna lokalizacja, w której gromadzone są ważne zasoby obliczeniowe. Centrum zaprojektowano z myślą o obsłudze aplikacji o znaczeniu krytycznym dla firmy i powiązanych zasobów obliczeniowych, takich jak komputery mainframe, serwery i grupy serwerów.

Aplikacje biznesowe obejmują finanse, HR, e-commerce oraz aplikacje typu business-to-business. Oprócz grup serwerów obsługujących aplikacje biznesowe istnieją inne grupy serwerów obsługujące usługi sieciowe i aplikacje sieciowe. Usługi sieciowe obejmują NTP, Telnet, FTP, DNS, DHCP, SNMP, TFTP i NFS. Aplikacje sieciowe, takie jak telefonia IP, wideo przez IP, systemy wideokonferencyjne itp.

Aplikacje biznesowe obejmują każdą aplikację, która wykonuje funkcje niezbędne dla biznesu, co ogólnie oznacza bardzo dużą liczbę takich aplikacji. Niektóre aplikacje korporacyjne są logicznie zorganizowane w kilka warstw, które różnią się funkcjami, które pełnią.

Niektóre poziomy są przeznaczone do obsługi połączeń klientów lub funkcji zewnętrznych, takich jak obsługa stron internetowych lub utrzymywanie interfejsu wiersz poleceń(CLI) dla aplikacji. W niektórych przypadkach funkcje zewnętrzne mogą być oparte na sieci WWW. Inne funkcje przetwarzają żądania użytkowników i konwertują je do formatu zrozumiałego dla takich warstw jak warstwa serwera czy baza danych.

Takie wielopoziomowe podejście nazywa się modelem N-poziomowym, ponieważ oprócz poziomów zewnętrznego i wewnętrznego, może być między nimi kilka innych poziomów. Takie poziomy związane są z zarządzaniem obiektami, ich relacjami, kontrolują interakcję z bazą danych, oferują niezbędne interfejsy aplikacjom.

Aplikacje korporacyjne zazwyczaj należą do jednego z następujących podstawowych obszarów biznesowych:

  • Zarządzanie relacjami z klientami (CRM).
  • Planowanie zasobów przedsiębiorstwa (ERP).
  • Zarządzanie łańcuchem dostaw (SCM).
  • Automatyzacja sił sprzedaży (SFA).
  • Przetwarzanie zamówienia.
  • Handel elektroniczny.

Źródło: Cisco

Należy zauważyć, że warstwa zewnętrzna obsługująca wywołania klienta do serwera obsługuje aplikacje dostępowe. Obecnie istnieją aplikacje, zarówno z własnym, jak iz interfejsem internetowym, i istnieje tendencja do przechodzenia na aplikacje webowe.

Trend ten implikuje, że do pracy z klientami wykorzystywany jest interfejs sieciowy, ale jednocześnie aplikacje mają warstwę pośrednią, która na żądanie klienta odbiera informacje z wewnętrznej bazy danych i przekazuje je na poziom zewnętrzny, np. do serwer WWW, dzięki czemu odpowiedź należy do klienta.

Ta środkowa warstwa aplikacji i systemu baz danych to logicznie oddzielona część, która wykonuje określone funkcje. Logiczne rozdzielenie tych funkcji umożliwia rozdzielenie fizyczne. Wniosek jest taki, że serwery aplikacji i serwery WWW nie muszą już fizycznie znajdować się w tym samym miejscu.

Ta separacja poprawia skalowalność usług i upraszcza zarządzanie dużymi grupami serwerów. Z punktu widzenia sieci takie grupy serwerów wykonujące różne funkcje, można fizycznie rozbić różne poziomy sieci ze względów bezpieczeństwa i łatwości zarządzania. Na ryc. 10 warstwy środkowej i warstwy bazy danych zapewniają połączenie internetowe z każdą grupą serwerów.

Możliwości centrum danych

Ponieważ szczególnie ważne zasoby obliczeniowe znajdują się w wymienionych miejscach, wymagane jest podjęcie specjalnych środków w celu przeszkolenia personelu i środki techniczne aby zapewnić wsparcie 24/7. Przedmiotem wsparcia są zasoby obliczeniowe i sieciowe. Specyfika tych zasobów i ich znaczenie dla prowadzenia biznesu wymagają szczególnej uwagi w następujących obszarach:

  • Zasilacz
  • Chłodzenie
  • Okablowanie kablowe
  • Kontrola temperatury i wilgotności
  • Systemy przeciwpożarowe i dymowe
  • Ochrona fizyczna: systemy odmowy dostępu i nadzoru
  • Przestrzeń fizyczna instalacji i podłogi podniesione

Personel operacyjny powinien składać się ze specjalistów, którzy dokładnie przestudiowali wymagania dotyczące zarządzania centrum i kontroli jego pracy. Poza wyżej wymienionymi obszarami usług należy wspomnieć o:

  • Zasoby serwera, w tym sprzęt, oprogramowanie i systemy operacyjne.
  • Infrastruktura sieciowa wspierająca zasoby serwerowe

Infrastruktura sieci

Infrastruktura wymagana do obsługi zasobów obliczeniowych jest w dużej mierze zdeterminowana przez zestaw usług centrum danych, które służą celom architektury. Główne elementy infrastruktury sieciowej są następnie grupowane według tych samych usług. Lista elementów infrastruktury sieciowej definiuje zestaw usług, ale sama w sobie jest bardzo obszerna i wygodniej jest ją wyznaczyć, opisując szczegóły każdej usługi.

Korzyści z budowy centrów danych

Korzyści z centrów danych można podsumować jednym zdaniem: „Centrum danych konsoliduje krytyczne zasoby obliczeniowe w bezpiecznym środowisku do scentralizowanego zarządzania, umożliwiając przedsiębiorstwu samodzielne działanie, w tym 24/7”.

Dla wszystkich usług wspierających centrum danych zakłada się działanie 24/7. Aplikacje o krytycznym znaczeniu dla biznesu wspierają normalną działalność biznesową, w przypadku braku której firma albo poważnie ucierpi, albo całkowicie się zatrzyma.

Do budowy centrum wymagane jest poważne planowanie. Strategie dotyczące wydajności, skalowalności, bezpieczeństwa i zarządzania muszą być zrozumiałe i wyraźnie dostosowane do wymagań biznesowych.

Utrata dostępu do ważna informacja można określić ilościowo, ponieważ wpływa to na wynik - dochód. Istnieją firmy, które są zobowiązane przez prawo do planowania ciągłości swojej działalności: agencje federalne, instytucje finansowe, opieka zdrowotna itp.

Destrukcyjne konsekwencje ewentualnej utraty dostępu do informacji zmuszają przedsiębiorstwa do szukania sposobów na ograniczenie tego ryzyka i jego wpływu na biznes. Znaczna część planów uwzględnia wykorzystanie centrów danych, które obejmują krytyczne zasoby obliczeniowe.

Michaił Kader / Cisco

Rozpoczęcie rozmowy o budowaniu sieci korporacyjne, najpierw musisz zdecydować o podstawowych pojęciach, które będą używane później.

Pierwszym z nich jest pojęcie „sieci” (sieci lub sieci). To słowo w języku rosyjskim ma wiele różnych znaczeń i służy do określania różnych interakcji. Sieć może być telefoniczna lub wędkarska, może to być transmisja komputerowa lub radiowa. Porozmawiamy o budowaniu sieci korporacyjnych, które łączą komputery organizacji, które najczęściej nazywane są sieciami komputerowymi lub obliczeniowymi. Co to jest sieć komputerowa? Prawdopodobnie najprostsza i najbardziej ogólna byłaby następująca definicja: sieć pojawia się, gdy dwa lub więcej komputerów (a w rzeczywistości użytkownicy tych komputerów) mają coś do udostępnienia. Współdzielenie odnosi się do współdzielenia zasobów. Proces współdzielenia (udostępniania) zasobów sieciowych nazywa się networkingiem.

Udostępnianie zasobów można zrobić różne sposoby w zależności od dostępnego sprzętu komputerowego.

Pierwszy sposób interakcji zakłada całkowicie scentralizowane przetwarzanie informacje i ich przechowywanie, zapewniające pracę użytkowników z terminali. Ten model komunikacji jest często określany jako terminal-host.

Użytkownik wchodzi w interakcję z zasobami komputera centralnego, wykorzystując swój procesor, pamięć RAM i pamięć dyskową do rozwiązywania swoich zadań, a także urządzenia peryferyjne... W tym przypadku bardzo często użytkownik nie pracuje sam, ale razem z innymi użytkownikami, czyli zasoby komputera centralnego są wykorzystywane w trybie dzielonym. Komputer centralny musi być uruchomiony system operacyjny który wspiera ten rodzaj interakcji, który nazywa się scentralizowanym przetwarzaniem.

Dalszy rozwój branży komputerowej przebiegał na różne sposoby, moc obliczeniowa komputerów przeznaczonych do pracy na interakcji „terminal-host” wzrosła, pojawiły się i zaczęły szybko rozwijać się komputery osobiste. Komputery osobiste całkowicie kontrolowane przez użytkownika, wszystkie zasoby komputera są wykorzystywane w trybie wyłączności do rozwiązywania zadań użytkownika. Pomimo wzrostu mocy obliczeniowej procesorów, nie cały zakres zadań może być rozwiązany przez jeden komputer. Konieczne stało się stworzenie nowej interakcji, nowej struktury ukierunkowanej na przetwarzanie rozproszone. W tym modelu interakcji każdy z komputerów może rozwiązywać własne problemy i pojawia się specjalizacja komputera.

Komputery są połączone w sieć komputerową. Zadania są rozdzielone pomiędzy komputery w sieci, co umożliwia rozbudowę funkcjonalność każdy z nich poprzez współdzielenie dostępu do innych komputerów.

Obecnie pilnym i szybko rozwijającym się zadaniem jest łączenie rozproszonych zasobów komputerowych w celu wykonania (rozwiązania) wspólnego zadania. Ten model interakcji nazywa się przetwarzaniem zespołowym. W tym przypadku zadanie jest rozdzielone między komputery, komputery wymieniają ze sobą wspólne dane, wzrasta całkowita moc obliczeniowa i dostępne zasoby (pamięć RAM i pamięć dyskowa) oraz wzrasta odporność na awarie całego systemu jako całości w zakresie rozwiązywania problem. Z reguły wykonywanie zadań rozproszonych jest kontrolowane przez specjalny System sterowania, który w przypadku awarii jednego z komputerów przenosi wykonanie swojej części pracy na pozostałe komputery.

Stosunkowo nowy model interakcje sieciowe to organizacja interakcji użytkowników sieci z usługami sieciowymi. Z punktu widzenia użytkownika, jego związek z wieloma komputerami mieści się w definicji „sieci klienta” (sieć klienta). Dla użytkownika sieci na ogół nie jest istotne, gdzie dokładnie w sieci znajdują się przydzielone mu zasoby, powinien mieć możliwość ich adresowania jedynie za pomocą systemu połączeń przyjmowanych w sieci. Dzięki takiemu podejściu praca wszystkich użytkowników sieci jest znacznie uproszczona, a same zasoby i usługi sieciowe muszą być dostępne dla użytkownika w dowolnym momencie. Zwiększenie dostępności usług sieciowych wymaga odpowiednich rozwiązań technicznych, takich jak zwiększenie odporności na awarie czy powielanie usług.

V śieć komputerowa istnieje wiele różnych elementów. Najbardziej widoczne dla internautów są dwa. Jest serwerem i klientem sieciowym. Serwer (serwer - dosłownie w tłumaczeniu z angielskiego oznacza „ten, który obsługuje”) sieci jest przeznaczony do obsługi żądań pochodzących od klienta (klienta) sieci. Innymi słowy, klient zawsze żąda usługi, a serwer zawsze obsługuje klienta. W niektórych przypadkach klient może również działać jako serwer, obsługując żądania od innych klientów i żądając usługi od innych serwerów. Sposób interakcji serwerów i klientów definiuje dwa rodzaje sieci: „klient / serwer” (klient-serwer) i „każdy z każdym”. Ponieważ klientem sieci jest użytkownik pracujący na komputerze, on sam komputer użytkownika podłączony do sieci jest określany jako stacja robocza. Termin ten jest używany zamiennie z terminem „komputer”.

Często modele klient/serwer i peer-to-peer mogą współistnieć w tej samej sieci. Sieci peer-to-peer nazywane są również sieciami peer-to-peer, w których wszystkie komputery mają ten sam status - rangę.

Za klasyczne usługi w sieci uważane są: plik, druk, wiadomości, aplikacje i bazy danych. Najważniejszymi z nich były i pozostają usługi plików i druku.

Usługa plików udostępnia zadania organizowania zdalnego dostępu, udostępniania, szybkiego przesyłania i replikacji, Zarezerwuj kopię pliki. Ta usługa zapewnia obecność scentralizowanych nośnik danych, efektywne wykorzystanie ich systemy dyskowe.

Usługa drukowania umożliwia użytkownikom zbiorowy dostęp do urządzeń drukujących za pośrednictwem ograniczonej liczby interfejsów (z reguły urządzenie drukujące ma jeden, rzadko dwa), współdzielenie drogiego specjalistycznego sprzętu drukującego, usuwanie ograniczeń odległości między komputerem użytkownika a urządzeniem drukującym, organizowanie i przetwarzać kolejki wniosków o pieczęć.

Usługa przesyłania wiadomości umożliwia organizowanie wymiany wiadomości między użytkownikami sieci, operując informacjami tekstowymi, graficznymi, dźwiękowymi i wideo, umożliwiając nie tylko przesyłanie, ale także zapisywanie wszystkich wiadomości. W niektórych przypadkach usługa ta jest wykorzystywana przez komputery (serwery sieciowe) do powiadamiania użytkowników o wystąpieniu jakichkolwiek zdarzeń. E-mail to jedna z implementacji usługi przesyłania wiadomości.

Usługa aplikacji zapewnia użytkownikom możliwość udostępniania nie tylko danych (jak w usłudze plików), ale także moc obliczeniowa serwer do wykonywania zadań. W takim przypadku zadanie użytkownika jest wykonywane na procesorze serwera. Serwer aplikacji jest wyspecjalizowany, zoptymalizowany do działania specyficzne zadania i musi wspierać zdolność do dalszego zwiększania swojej mocy obliczeniowej.

Usługa bazy danych ma na celu organizowanie scentralizowanego przechowywania, wyszukiwania i ochrony danych. Usługa ta realizowana jest przez serwery baz danych, systemy sprzętowe i programowe, zoptymalizowane pod kątem wykonywania wymienionych zadań, skrócenia czasu dostępu użytkownika do informacji oraz zarządzania terytorialną lokalizacją informacji w sieci.

Ogólne informacje o urządzeniach sieciowych...

Inne elementy sieci są sposobem na zorganizowanie kanału transmisji danych między klientami a serwerami w sieci. Ogólnie rzecz biorąc, kanał transmisji danych zbudowany jest z następujących elementów: nośniki transmisji danych - przewodowe (przewodowe) lub bezprzewodowe (bezprzewodowe) - oraz karty interfejsowe (karta sieciowa, NIC), które zapewniają interakcję komputera z transmisją danych średni. Nie są to jednak jedyne sposoby łączenia komputerów i tworzenia się śieć komputerowa... Sprzęt i sprzęt/oprogramowanie sieciowe pomagają połączyć komputery z siecią i zapewnić ich interakcję. Narzędzia te można podzielić na grupy według ich głównego przeznaczenia funkcjonalnego: złącza, repeatery, adaptery, modemy, mosty, koncentratory, przełączniki, routery (routery).

Najczęściej wykorzystywane w budowie sieci przewodowe media transmisji danych tworzone są za pomocą połączeń kablowych, które wykorzystują albo metalowy przewodnik sygnałów elektrycznych, albo światłowodowy przewodnik sygnałów świetlnych.

Media bezprzewodowe zapewniają organizację interakcji między komputerami poprzez transmisję sygnałów świetlnych (podczerwień) i częstotliwości radiowych.

Za pomocą nośników transmisji danych oraz sprzętu i oprogramowania do interakcji między komputerami tworzona jest fizyczna topologia sieci, wykonywane są fizyczne połączenia wszystkich komputerów i innych urządzeń sieciowych.

Prasa komputerowa 3 "1999