本文介绍了企业建立Intranet的主要技术原理和特点,包括Intranet的基本技术、数据库访问技术和安全控制技术,并给出了建设Intranet的基本步骤。
随着Internet(因特网)网络规模的不断扩大,应用系统越来越丰富,网络用户越来越普及,Internet的各种技术正在迅猛发展,越来越多的企业已经意识到Internet是一种全球商用信息交换的有效手段。长期以来,教育和科研部门已经利用Internet作为教学科研的一种先进工具,近几年Internet服务提供者(ISP)也开始为企业提供域名服务(DNS)、电子函件(E-mail)、万维网(WWW)浏览等极具商业价值的多种服务。Internet的发展不但为企业网络提供了全球信息交换和信息发布的能力,而且Internet的技术以其开放性、标准性、成熟性和实用性为企业网络的建设、应用开发、管理和维护等带来了很好的借鉴,给传统的企业MIS的网络和应用模型带来巨大的冲击。于是,将Internet的技术模式和成熟技术应用到企业网络环境中就形成了所谓的“Intranet”的概念。
1 Intranet的基本 2 Intranet的基本技术
概念和特点
1.1 Intranet的基本概念
Intranet可以看作是一种“专用Internet”。一般称为内联网络、企业内部网络,或企内网络等。它是在统一行政管理和安全控制管理之下,采用Internet的标准技术和应用系统建设成的网络,并使用与Internet相协调的技术开发企业内部的各种应用系统。通常Intranet还要与Internet相连,以获得全球信息交换的能力。
企业利用Intranet技术构建企内网络,连接雇员、合作伙伴以及客户,对外提供广告宣传、技术支持等服务,同时还充分利用Interent提供的信息资源;对内则用于企业内部事务处理、信息交换、信息共享、信息获取以及网上通信、网上讨论等方面。
从功能上来看,除了具有Internet已有的各种功能之外,Intranet最重要的特点是网络安全功能和企业多种应用信息系统的功能。
与Internet的开放性和学术性不同,企业信息的共享和交换往往具有多种安全控制的需要,Intranet应当满足这些需求。
Intranet除了能提供Internet上提供的基本服务(例如:DNS、E-mail、WWW、FTP等)外,还应增添企业计算机应用需要的一些功能,例如数据库系统、事务处理,以及CAD、GIS等应用。
1.2 Intranet的特点
(1)Intranet成熟、稳定、风险小
Intranet是在Internet长期发展的基础上采用其成熟技术而发展起来的。由于Internet的技术已被广泛使用,并得到多方的验证及认可,而且Internet拥有一批雄厚的技术力量作为其技术发展支持,因此在Internet基础上形成与发展的Intranet具有成熟、稳定,并且风险小的特点。
(2)Intranet是一种很好的快速原型(rapidprotyping)方法
借助Internet中各种模块化技术和近年来迅速发展的各种快速开发工具(RAD),用Intranet技术建设企业网络,便于从小到大、从少到多地逐步发展,并能随着Internet的技术进步而不断升级,所以Intranet是一种很好的快速原型方法。
(3)Intranet建设周期短,开发工作量小由于Intranet大量借用Internet的成熟技术,因此建设周期短,开发工作量校这也是快速原型法能够得以实际应用的重要基础。
2.1 Intranet的网络技术
(1)TCP/IP协议
TCP/IP协议簇是70年代中期由美国国防部(DOD)为其广域网ARPANET建立的网络体系结构和协议标准,当ARPANET演变成目前国际上规模最大的Internet时,TCP/IP成了Internet的协议体系。现在TCP/IP协议簇标准由1ETF以RFC文档的形式发布。
TCP/IP装机范围广,从个人计算机到巨型机均可。TCP/IP既可用于广域网(WAN),也可用于局域网(LAN),TCP/IP的协议和软件已经经受了长期应用的考验,是Internet的基础协议。所以,Intranet也使用TCP/IP协议作为其主要网络通信协议。
TCP/IP是一簇协议,其中最有名的当然是TCP协议和IP协议。由于对网络通信最重要的是IP协议,所以采用TCP/IP协议簇的网络也称为IP网络。
(2)IP地址
IP网络中每一个可寻址设备,包括计算机、路由器以及所有可管理的网络设备和通信设备都必须有自身的IP地址,有些设备(如路由器)还可能有多个IP地址。
Intranet中使用的IP
授权的IP地址同Internet上的IP地址一样,由全球统一管理的有关机构进行地址分配。这种IP地址具有全球唯一性。在Intranet中与外界具有直接通信能力的主机或网络设备必须使用授权的IP地址。
非授权的IP地址仅在Intranet内部使用,由管理该Intranet的运行机构在本Intranet内部的统一管理下进行地址分配。这种IP地址在Intranet内部是唯一的,可以与外部的IP地址重复。具有非授权IP地址的主机或网络设备没有直接对外通信的权限,它们的对外通信可通过proxy服务器进行,或者根本不允许对外通信。在Intranet内部使用非授权的IP地址,可大大节省现有的IP地址资源,也便于Intranet的安全管理。
(3)域名系统(DNS)
IP网络上用于标注主机和其它网络设备的IP地址不便于用户记忆和使用。因此目前在Internet上,采用了一种具有直观含义的名字来代替以数字方式表示的IP地址,这种名字形式的地址称为域名地址,整个分层的域名地址体系即是域名系统(DNS)。
域名系统是当前网络
(4)路由器
路由器是Intranet中非常重要的网络设备。Internet的广域网是一个基于路由器的广域网,Internet的局域网是一个用路由器分隔子网的局域网。所以,Intranet在广域建网时也是一个基于路由器的网络,这样可以借用Internet成熟的技术和设备。Intranet在局域建网时通常也是采用路由器分隔各个子网,以便于子网管理和安全控制。不过目前已经有一些具有路由功能的新型网络设备,具有更好的性能和更合理的价格,在今后Intranet的建设中也会得到更多的应用。
2.2 Intranet提供的基本功能
Intranet提供的基本功能就是Internet中可以提供的所有基本功能,如DNS、E-mail、www、FTP等基本功能。Intranet实现这些基本功能都采用Internet中流行的标准C/S模式,并利用标准的软件实现。有一些新的标准扩展了这些功能,如:LDAP(轻型目录协议,Light Directory Access Protocol)、IMAP(遵循CCITT X.400规范的消息访问协议,Internet Message Access Protocol)和S/MIME(安全的电子函件协议)等。这些新标准正开始在Intranet中得到应用。
3 Intranet中的应用系统
3.1 基于浏览器的应用开发技术
WWW(Wold Wide Web)是Internet中最受欢迎的一种技术,也是市场竞争最激烈、发展最快的一种技术。
WWW也采用C/S模式,服务器软件是Web Server软件,客户端软件就是浏览器(Browser)。由于WWW的流行,浏览器作为用户界面非常受欢迎,浏览器软件的发展也很快。近来推出的浏览器软件除了可以访问Web服务器外,还集成了电子函件、FTP等多种应用,浏览器正在成为访问Internet的标准界面。
浏览器的广为流行推动了浏览器在Intranet中的应用。采用浏览器作为集成的客户界面软件已经成为当前Intranet发展的一个趋势。作为Intranet统一用户界面的浏览器软件,除了可以访问WWW、电子函件、FTP外,还可以访问企业网络的数据库等。
以浏览器作为Intranet中统一用户界面开发各种应用的技术,称为基于浏览器的应用开发技术。基于浏览器的应用开发技术具有以下几个优点:
(1)无需开发用户界面软件各种应用的前端软件借用现成的浏览器,如Netscape公司的Navigator和Microsoft公司的Explorer,大大减少了应用开发的工作量。
(2)开发简单
利用浏览器访问Web服务器,通过Web服务器访问各种应用系统,这种方式的开发标准统一、成熟,可以使用CGI、JDBC等与厂商无关的标准,也可以使用由厂商提供的各种高效软件。
(3)独立于平台
使用浏览器和Web服务器的C/S模式是一种独立于平台的模式,可以通用于各种小型机、工作站、微机。
3.2 Intranet数据库访问的实现技术
数据库访问是Intranet中最重要的专有应用。通过浏览器访问各种商用DBMS系统管理的数据库,在技术上关键是通过Web服务器与DB服务器相连接。下面简单介绍常用的方法。
(1)CGI
CGI(Common Gateway Interface,公共
CGI的可移植性好、标准,但编程困难、性能较低。在数据库应用中已经使用不多。
(2)服务器API
服务器API包括Web服务器API和DB服务器API,均是对服务器功能的一种扩展。Web服务器API由Web服务器软件厂商提供,DB服务器API由DBMS软件厂商提供。这些服务器API由于与服务器核心软件结合较好,通常性能都比较高。例如Web服务器API,其基本功能与CGI相当,但性能较高,提供了基于API的数据库接口以简化编程。典型的产品有Microsoft公司的IDC(Internet Database Connectivity)和Netscape公司的LiveWire等。
(3)JDBC
JDBC(Java Database Connectivity)是由Java-Soft公司制定的Java语言的数据库访问APi,其移植性和性能均较好,编程难度不算大大,是一种很有前途的技术。
4 Intranet的安全控制技术
为了保护
4.1 intranet的安全需求
(1)出入站点的控制
Intranet一般通过防火墙(Firewall)与Internet相联,由防火墙将内部的Intranet与外部的Internet相隔,控制外部站点访问内部网络和内部站点将信息送到外部网络。
(2)身份验证
通过鉴别证实连接访问请求的合法性,识别发出访问请求用户的身份。这是防止对方欺骗的重要手段,也是对用户资源访问进行控制的基础。
(3)资源访问控制由于Intranet中的大部分信息并非对所有用户开放,用户访问这些信息必须经过授权。资源访问控制系统就是授权各种用户可以合法访问那些资源。
(4)数据加密
数据加密是在数据传输过程中防止非法截获信息的有效手段,也是提高资源访问控制能力的重要补充手段。通过使用一定的数学算法替换数据,打乱数据排列顺序,实现对数据的加密;通过使用对应算法将替换重排后的数据恢复成明文,实现数据解密。
4.2 Intranet安全控制的实现方法
(1)分组过滤
路由器作为网络互联的主要设备,提供了对进出的数据分组进行过滤的能力,近年来路由器的分组过滤能力不断加强。分组过滤在IP层可以允许或拒绝某个(或某些)主机的数据进出内部网络。因此,分组过滤是实现将内部网络与外部不可信任网络分隔的重要基础手段。
(2)应用级网关
路由器主要完成IP层数据分组的转发工作,为了不对性能带来过大的影响,其分组过滤功能不宜过细,因此出现了应用级网关。通过应用级网关实现更为细致更为强大的安全控制功能,例如可以对电子函件服务器进行细致的过滤控制等。
(3)代理服务器
代理服务器(Proxy Server,也称托管服务器)受网络管理者的委托对某子网的某些功能进行代管,常常用于将内部网络与外部网络分离。内部网络中使用未经授权的IP地址的主机,所有进出内部网的数据分组都经过代理服务器进行,对这些主机上的用户使用的各种服务进行控制和转换。代理服务器的安全控制功能可以做得十分强大,但也给代理服务器带来很大的开销。
(4)访问控制系统
访问控制系统实现对用户的授权。由访问控制系统对用户发出的请求进行鉴别和证实,与其它安全机制共同作用,对用户能够访问的资源作出授权。
(5)数据加密
现行的数据加密方法主要有两类:数据加密标准(DES)和公开密钥加密体制(RSA)。RSA是一种密码体制,也可作为DES的补充。在网络环境下,通常用DES将数据加密,在使用公开信道发送消息前,用RSA将DES密钥加密。再将经DES加密的数据和经RSA加密的DES密钥一同发送。在建立联接阶段,用RSA实现认证和密钥交换。
5 Intranet的建设步骤
Intranet是企业的信息基础设施,对企业在21世纪占领竞争的制高点起着关键的支撑作用。Internet的建设涉及面广、建设周期较低,应当遵循总体规划、分步实施的原则。
下面介绍Intranet建设中的三个重要阶段的要点。这三个阶段是:建设需求的分析、建设的前期工作和建设的具体阶段。
5.1 建设需求的分析
建设需求的分析包括连接方式、服务类型、信息量分析、管理需求、运行分析、建设步骤和投资预算等方面。
(1)连接方式
Intranet的连接方式包括:对上与Internet或其它公共网络的连接,以及对下
(2)服务类型
Intranet的服务类型可分为:基本服务、可选服务和特殊服务。Intranet提供的基本服务包括DNS、E-mail、和WWW服务;提供的可选服务包括FTP、Telnet等,用于网络文件的传输、网络的远程管理操作;某些企业构建的Intranet还提供一些为本企业服务的特殊服务,如:数据库、事务处理、CIS、CAD、视频会议、网络电话、网络FAX、远程教育等。
(3)信息量分析
在建设Intranet前,要对网络中的信息量进行必要的基本分析,例如:信息量的类型、实时性、时延、吞吐量、存储量和时效等,便于网络的设计与实现。
(4)管理需求分析
Intranet的管理可分为:设备管理、系统管理、和应用管理。
(5)运行分析
运行分析主要是指系统运行维护的环境和人员的分析,包括通信、NOC(网络运行中心)、NIC(网络信息中心)、信息资源建设、安全管理、用户管理和开发等所需的环境和人员安排。
5.2 前期工作
Intranet建设的前期工作主要有:ISP的选择、域名申请、用户规划、组织机构、人员培训、规划建网步骤和编制投资预算等。
(1)选择ISP
ISP(Internet Service Provider,Internet服务提供者)主要提供Internet网络服务,包括IAP(Internet Access Provider)和ICP(Internet Content Provider)两种服务提供商。其中,IAP主要提供网络的接人服务(包括再次接入服务),ICP提供网络信息服务(包括信息链接服务)。此外,ISP还提供其它增值服务,例如FAX转发、IP话音等。目前,国内发展了很多ISP,四大互联网络:CHINANET、ChinaGBN、CERNET、CSTN(CASnet)是国内最大的ISP,此外还有其它一些中小型的ISP为用户提供多种网络服务。这些ISP按照国务院信息办、公安机关和电信业务管理部门的相关规定进行各自的网络服务。
ISP的选择要从以下几个方面来考虑:
•服务能力和服务保证能力
网络能力:信道速率、接入类型和再次接入能力、三要素(IP地址、域名和路由)的提供。
信息能力:信息数量、信息类型、信息链接等级。
•服务类型
基本服务/增值服务、基本连接/再次连接、直接信息/链接信息。
向ISP申请接入,首先要决定接入方式、速率,然后办理相应手续并调试、开通。在这期间,可能要涉及好几个部门。
(2)申请域名
理论上,TCP/IP域名语法只是一种抽象的标准,其中各标号值可任意填写,只要原则上符合层次型名字空间的要求。因此,任何组织均可根据域名语法构造本组织内部的域名,但这些域名的使用当然也仅限于系统内部。
为保证域名系统的通用性,Internet规定了一组正式的通用标准号,作为其第一级域的域名。在域名系统中,每个域分别由不同的组织进行管理。这样一种管理方式往往使得域名成为企业在网上的标志,因此人们又把域名称为企业的“网上商标”。但与此同时也带来了“抢注域名”的问题。
目前,我国的所有域名都存在于“cn’域下,意为China。用户要获得自己的域名可以向自己的ISP提出申请,由ISP代其申请域名,也可以直接向ChinaNIC申请。
(3)用户规划
在用户规划中要考虑以下几个问题:
•用户数量及它们对服务的需求
•用户权限分配和用户分组
•用户管理制度的建立
在用户规划的过程中,不仅要作好各种调研、分析和文档工作,同时还要广泛对用户进行宣传并进行用户登记。
(4)组织机构
Intranet在建设中的组织机构建设主要是要确定主管领导以及网络运行部门,并开始配备必要的工作人员。
(5)人员培训
人员培训是Intranet建设中最重要、最难办、也是最易忽视的环节。需要培训和培养的人员包括:系统管理人员和最终用户。通常还需要培养一定的应用开发人员。
5.3 建设阶段
在进行完建设目标分析和前期工作后,即进入具体的建设阶段。下面谈一谈建
(1)快速连入网络
在决定建设Intranet之后,应当尽快连入Internet。快速连入网络可以为网络建设作好前期技术准备和人员准备,还可以方便工作联系。一般采用单机拨号人网方式,大概在一个月之内完成。
(2)试验小网建设
试验性的小型网络建设可以提供基本的网络服务,逐步取得网络运行的经验,并建立基本网络工作环境。在试验小网建设中还要完成各种外部手续(如:ISP、线路、IP地址、域名等)的办理,开始进行简单的应用开发,并可以考核集成商的网络方案和应用方案。
试验小网可采用简单的LAN入网方式,时间应该在四个月到半年之内完成。
LAN入网配置如附图所示。
单LAN入网为用户提供DNS、E-mail和WWW等基本服务,内部用户可以通过拨号入网,并可逐步开发、试验多种应用。其硬件设备有Hub和带同步口(DDN)、可选异步口(拨号口)的路由器等网络设备,以及UNIX服务器、PC服务器和网络工作站(PC机)。软件主要有服务器操作系统(UNIX和NT)、工作站软件(WIN3.1、WFW3.11、WIN95、PWIN3.2、PWIN95)和DBMS(例如SQL
应该说明的是,这个小型网络中的所有设备都不会浪费。实际上,这些设备都是今后网络中心设备有机组成的一部分。
(3)信息资源建设
从建设小型网络开始,就应该抓紧信息资源的建设。如果等到网络全面建设基本完成才开始建设信息资源,就会严重贻误企业在信息竞争中的时机。
信息资源建设可以为企业建立网络形象,通过网络扩大商业联系,并可以培养一批信息资源制作人员。
信息资源建设首先通过建立企业网络主页(Homepage)的方式开始进行。
(4)应用系统开发
应用系统开发的几个要点是:考核技术、评估方案、模拟试验、验证方案、培养人员等,应用系统的开发包括数据库、事务处理等应用系统的开发。
5)全面网络建设
全面的网络建设起始于系统需求说明书(RFP,Request For Proposal)的制定,根据系统需求说明书征求系统集成商并进行方案评定。
对网络、主机、主要软件及应用软件系统应该相互配合进行建设。在建设过程中还必须充分注意网络管理体制和服务体制的建立。