服务器虚拟化和存储管理：更好的集成工具

在过去十年间，存储管理凭借自身的发展逐渐成为一门学科，不仅由于存储数据量的大幅增长的驱动，而且也由于促进共享存储的存储网络协议的增强。 同时，虚拟化也成为服务器和PC优化的最重要的技术。在这种环境下，共享存储成为一些功能不可或缺的前提，如非中断的虚拟机迁移。 不过，虚拟化在服务器和支持它的存储间增加了另一层的复杂性。在虚拟化和存储间的这一层抽象意味着将存储相关的概念如RAID组和LUN转换为虚拟对象如VMDK和虚拟硬盘是个挑战。因此，为了有效的为虚拟环境提供存储，存储管理员必须采用新的方法。 挑战 虚拟化产生了新的运营难题。因为许多虚拟机可能同时存在于一个存储LUN上，虚拟服务器的I/O配置和桌面有时变得更加随机和不可预测。通过使用诸如VMware公司的Storage vMotion和微软公司的Hyper-V Live Migration的特性来使虚拟机在存储基础设施间迁移时，当前的系统管理程序的功能可以保证大量的I/O。另外在虚拟机被拷贝、克隆和在存储间复制时，虚拟化对于存储的利用也会产生很严重的影响。 在考虑虚拟化和存储时，我们必须审视许多大型企业已建立起的运营架构。随着IT基础设施的不断发展，各部分的技术逐渐划分为不同学科，包括存储、网络、服务器和数据库等。过去，也许存储管理员还可以只处理自己的业务，而不必太多关心基础设施的其它部分的运作。如今，虚拟化改变了这种状况，使得我们必须将这些不同的学科整合，而不能再像过去那样。 选择战略 虚拟环境下的存储管理需要满足两个基本的指标：容量和性能。尽管这两者在非虚拟化环境下也会提及，但在虚拟存储设计时会主要考虑性能，因为它会更多的影响虚拟基础设施的运营。在非虚拟化环境下，对于一个LUN缓慢的响应时间只会影响到单个主机;对于一个承载多个虚拟机的较大的LUN，缓慢的响应可能引起更广泛的影响。在虚拟桌面环境(VDI)下尤其如此。对于存储管理员，有许多策略需要考虑。 使用硬件加速和API 许多厂商(包括最大的六家存储厂商：戴尔，EMC，惠普，日立数据系统，IBM和NetApp)如今都支持虚拟I/O的硬件加速。这是通过在系统管理程序中的应用编程接口(API)实现的，如阵列集成的vStorage API (VAAI)。VAAI将一些负载较重的工作从虚拟层卸载，而让存储阵列使用最适合的方式来执行这些关键操作，如次LUN级锁定，批量拷贝和数据清零。最近，VMware增加了精简盘空间回收特性，使得系统管理程序可以从精简配置的LUN中释放存储空间，而无需直接写数据到这些被删除的数据块。 将存储管理的工作卸载到磁盘阵列有诸多好处。首先，它减轻了虚拟层的工作负载，减少了CPU的负担以及存储网络中的数据流。其次，它让存储阵列来对I/O密集型的操作执行优化和优先级操作，而这些最适合于在阵列内部实现。作为领先的虚拟机监控器厂商，VMware已开发出大量的API，包括数据保护的vStorage API(VADP)和存储感知vStorage API。VASA在部署可扩展的存储环境中日益重要，它为虚拟机监控器提供了存储LUN的配置信息，如复制和性能度量标准等。 为性能而配置 在虚拟环境下执行I/O时，性能是最重要的。通常情况下，虚拟环境产生更多的随机工作负载，使得优化I/O工作负载的工作对于存储更加困难。以下的一些技术可以保证性能得到优化，包括： 宽条带 此技术将磁盘I/O尽量分布到多个物理磁盘之上。宽条带技术可以通过大型RAID组(需要注意磁盘失效后的重构时间)或者将多个RAID组连接成存储池来实现。此技术同时适用于基于文件或基于块的存储平台。 动态分层 如同其它的存储环境，虚拟服务器同样存在产生大量I/O负载的I/O“热点”。热点区域很难预测，因此支持动态分层的平台提供了一种手段，以确保最“热”的数据驻留在最快的盘上。这种技术对于许多从一个母版映像克隆的虚拟机特别有用。 使用精简配置 在虚拟环境下，由于虚拟机易于创建，存储的增长很容易失去控制。在即时需求的环境下尤其如此。精简配置确保了只有在数据由主机写往磁盘时，磁盘空间才真正的被占用，而不是为每一个虚拟机预留指定的空间。此特性可以在虚拟层实现，绝大多数的存储平台也支持这一功能。 使用厂商插件 几乎所有的企业级和中端存储平台都可为集中化的管理工具如VMware vCenter提供插件。这为虚拟化和存储系统提供了统一的视图，在许多情况下可以在vCenter控制台上直接配置存储。对于那些没有专门存储团队的企业，这可以大量减少IT管理员的工作。 为虚拟服务器而建的存储 一些新兴的存储厂商已经推出了特别为虚拟服务器环境设计的硬件和软件存储解决方案。其中包括Atlantis Computing，SolidFire，Tintri和Virsto软件公司。简而言之，这些产品被设计用来解决我们在这里描述的问题，包括随机I/O 的挑战。 使自动化 为动态变化的虚拟环境优化容量和性能可能是一件相当耗时的工作。随着虚拟环境的扩展和成熟，我们需要将手工优化的过程更多的变为自动化。虚拟机厂商开始在它们的产品中包含一些功能以允许一些半自动化特性，以减少管理员的负担，持续的优化存储环境。在vSphere 5中，VMware推出了存储动态资源调度(SDRS)功能，可提供某种程度的存储分配的自动化。SDRS提供自动的VMDK初始放置位置，自动的迁移虚拟机以满足容量，性能以及亲和规则的要求，可以保证例如高I/O的虚拟化被放置于单独的硬件上。 随着虚拟环境的扩展以及部署中更趋向于服务化，自动化的存储管理成为必需。存储厂商已经在市场中推出了提供存储供应API的新产品，以直接支持虚拟服务器自动化。 别忘了备份 备份经常认为与存储管理没有多大关系。不过，在高可用的存储环境中，它至关重要。在虚拟基础设施中，传统的备份解决方案对于备份和恢复数据并非十分有效，我们需要使用一些其它的技术来优化备份和恢复的流程。 在基于数据块存储的部署中，传统的备份使用主机本身来备份数据。这是因为存储阵列并不知道数据在LUN上的格式。主机将文件放置在LUN上，然后备份软件依赖于主机提供的文件流来备份。 在所有的虚拟化平台中，虚拟机被存储为一个或多个文件，即使是使用块级存储阵列。这使得备份过程更为简单，因为只需要简单的备份组成虚拟机的文件即可。 一些虚拟机厂商，如VMware，提供API以允许第三方软件看到虚拟机内部改变的块数据，这提供了一种非常有效的手段，我们只需备份自上次备份起变化的文件。所有的虚拟机厂商都提供虚拟机快照功能。尽管在某些情况下会导致“宕机一致”备份。由代理软件协同，通过将主机文件系统静默，可以创建出具一致性的快照。 存储工具将不断演进 存储仍将是部署可扩展虚拟基础设施的一个重要特性。随着环境的扩展和成熟，存储管理员需要利用一些工具和技术如自动化和虚拟化软件，使得他们可以迎接更加集成的IT世界的挑战。

用户关注微信公众账号；

微信公众账号提供用户请求授权页面URL；

用户点击授权页面URL，将向服务器发起请求；

服务器询问用户是否同意授权给微信公众账号；

用户同意(scope为snsapi_base时无此步骤)；

服务器将CODE通过回调传给微信公众账号；

微信公众账号获得CODE；

微信公众账号通过CODE向服务器请求Access Token；

服务器返回Access Token和OpenID给微信公众账号；

微信公众账号通过Access Token向服务器请求用户信息；

服务器将用户信息回送给微信公众账号。

文/小伊评 科技

不要看不起IOS，在后台管理这一块，苹果下的功夫要比安卓手机多得多得多，管理也更加精细和智能，否则的话IOS流畅省电的这一特性你以为是大风吹来的么？

详解IOS后台的强大之处以及和安卓系统的差别。

目前的IOS系统的后台机制一共有四种。

第一种就是无后台仅推送的模式（APNS模式） 。

这是苹果手机上最为强大的一种后台功能，至于为什么强大我们来详细谈一谈。

在安卓手机上，尤其是缺乏有效约束的国内安卓手机上，一款软件想要给目标用户推送新消息，那么就必须要常驻后台。

举个例子，譬如你的微信想要及时的获取好友给你发送的信息推送，那么就必须要把微信这个进程一直保留在内存当中，一旦微信的程序被你杀掉，那么也就意味着你再也获得不了微信的后台通知了。

而各个软件厂商为了达到给用户推送新消息的共同目的，于是乎就建立起了一个心照不宣的“黑产”联盟，弄了一个相互唤醒的SDK（软件插件），软件厂商在开发软件的时候只需要加入该SDK，就可以起到链式唤醒的神奇目的——具体表现为当你打开A软件就会在后台启动B软件，B软件又会在后台启动C软件犹如愚公移山般“子子孙孙无穷匮也”，这就是俗称的关联启动。其造成的结果就是手机后台打开了一堆没有用的软件推送，加重了对于内存资源的占用，手机卡成狗，安卓手机卡顿的根源很多时候就来源于此。

而在IOS系统上则根本不存在这种问题，因为软件服务商想要给用户发送通知，必须先将信息流传递到苹果的 APNS（苹果的服务器）， 然后再由苹果根据目标设备号进行统一的分发，所以根本不需要该软件常驻后台，而且也不用怕错过新消息。

目前国外的安卓手机得益于谷歌的强大管控力，只要是经过GooglePlay下载的软件，推送机制采用的也是类似于苹果的APNS推送，而国内你懂得。

另外，当下的IOS系统还引入了一个非常牛批的模式—— 静默推送 ，简单来说就是在用户完全无感知的情况下，软件自动在后台进行消息的更新，更新完毕后自动销毁，消费者在打开软件的时候该软件已经处于一个最新的状态，不需要长时间常驻后台。

第二种后台机制同样也是大名鼎鼎，叫做墓碑机制 ，这是在IOS4时代引入的一种后台机制，简单来说，当你把一款软件切入后台的时候，这款软件的所有进程都会被冻结，系统只保留了一个软件状态的记录，就像是墓碑上的墓志铭一样，当你再次打开该应用的时候，他会恢复到墓碑上所记录的状态，这可能就是苹果后台是“伪后台”说法的来源之一。

第三种后台机制叫做智能唤醒 ，这是在IOS7时代加入的功能，苹果对于这个功能的解释非常繁琐复杂，简单来说就是一句话，IOS系统会根据用户使用某一个APP的频次和时间智能的唤醒该APP以保证当前APP的信息处于最新的状态。

第四种就是常驻后台了 ，IOS系统上对于常驻后台的应用管理是非常严格的，目前只有一些音乐软件，苹果自家的一些服务等才拥有这样的权限，其他APP几乎都没有类似的权限。

上面就是IOS为达到更好的用户体验而做出的非常细腻而又人性化的做法。

安卓的内存管理简单粗暴但是确实是真后台

而反观安卓系统这边，由于Java应用天生缺乏退出机制，安卓对于后台的管控非常的简单粗暴，那就是看内存的阙值，简单来说就是在剩余内存达到一个固定值的时候，内存就开始清理处于后台的程序了。举一个例子，加入你的手机内存是8G，手机厂商设置的阙值是4G，那么当你打开的软件的内存

最早的时候是从软件打开的先后顺序开始清理，先进先出；而目前安卓系统同样也加入了一些智能管理的权限，会根据软件的性质以及用户的习惯选择关闭还是打开应用，但是相比于IOS非常细腻的打磨来看，安卓系统的内存机制还是过于的简单粗暴，虽然是真后台，但是体验也并不比IOS强太多，而且还会因为后台机制造成一系列卡顿的问题。

不过话说回来，也正是因为安卓系统内存管理的简单粗暴，所以造就了安卓系统的后台留存确实要比IOS强很多，只不过这种差距正在慢慢的被缩小。

前提是伪后台要优于真后台，才有你后面的假设，事实是伪后台还不如真后台呢

确实，每次切换后都要重新加载……

般地说，将分散的多台计算机、终端和外部设备用通信线路互联起来，彼此间实现互相通信，并且计算机的硬件、软件和数据资源大家都可以共同使用，实现资源共享的整个系统就叫做计算机网络。

一、计算机网络面临的威胁

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：

（一）人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

（二）人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

（三）网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。

二计算机网络的安全策略

（一）物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

（二）访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。

1．入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

2．网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3．目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

4．属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。

5．网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

6．网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。

7．网络端口和节点的安全控制

网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。

8．防火墙控制

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型；

（1）包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。

（2）代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和Proxy Server。

（3）双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。

三、信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形 色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

四、网络安全管理策略

在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。

网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

随着计算机技术和通信技术的发展，计算机网络将日益成为重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

交换机和路由器

“交换”是今天网络里出现频率最高的一个词，从桥接到路由到ATM直至电话系统，无论何种场合都可将其套用，搞不清到底什么才是真正的交换。其实交换一词最早出现于电话系统，特指实现两个不同电话机之间话音信号的交换，完成该工作的设备就是电话交换机。

所以从本意上来讲，交换只是一种技术概念，即完成信号由设备入口到出口的转发。因此，只要是和符合该定义的所有设备都可被称为交换设备。由此可见，“交换”是一个涵义广泛的词语，当它被用来描述数据网络第二层的设备时，实际指的是一个桥接设备;而当它被用来描述数据网络第三层的设备时，又指的是一个路由设备。

我们经常说到的以太网交换机实际是一个基于网桥技术的多端口第二层网络设备，它为数据帧从一个端口到另一个任意端口的转发提供了低时延、低开销的通路。

由此可见，交换机内部核心处应该有一个交换矩阵，为任意两端口间的通信提供通路，或是一个快速交换总线，以使由任意端口接收的数据帧从其他端口送出。在实际设备中，交换矩阵的功能往往由专门的芯片(ASIC)完成。另外，以太网交换机在设计思想上有一个重要的假设，即交换核心的速度非常之快，以致通常的大流量数据不会使其产生拥塞，换句话说，交换的能力相对于所传信息量而无穷大(与此相反，ATM交换机在设计上的思路是，认为交换的能力相对所传信息量而言有限)。

虽然以太网第二层交换机是基于多端口网桥发展而来，但毕竟交换有其更丰富的特性，使之不但是获得更多带宽的最好途径，而且还使网络更易管理。

而路由器是OSI协议模型的网络层中的分组交换设备(或网络层中继设备)，路由器的基本功能是把数据(IP报文)传送到正确的网络，包括:

1IP数据报的转发，包括数据报的寻径和传送;

2子网隔离，抑制广播风暴;

3维护路由表，并与其他路由器交换路由信息，这是IP报文转发的基础。

4IP数据报的差错处理及简单的拥塞控制;

5实现对IP数据报的过滤和记帐。

对于不同地规模的网络，路由器的作用的侧重点有所不同。

在主干网上，路由器的主要作用是路由选择。主干网上的路由器，必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。

在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位--园区网，同时负责下层网络之间的数据转发。

在园区网内部，路由器的主要作用是分隔子网。早期的互连网基层单位是局域网(LAN)，其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大，局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中，处个子网在逻辑上独立，而路由器就是唯一能够分隔它们的设备，它负责子网间的报文转发和广播隔离，在边界上的路由器则负责与上层网络的连接

后两个没找到，你想想办法吧

源码:

protected void Button1_Click(object sender, EventArgs e)

{

string fileName = "aaatxt";//客户端保存的文件名

string filePath = ServerMapPath("DownLoad/aaatxt");//路径

//以字符流的形式下载文件

FileStream fs = new FileStream(filePath, FileModeOpen);

byte[] bytes = new byte[(int)fsLength];

fsRead(bytes, 0, bytesLength);

fsClose();

ResponseContentType = "application/octet-stream";

//通知浏览器下载文件而不是打开

ResponseAddHeader("Content-Disposition", "attachment; filename=" + HttpUtilityUrlEncode(fileName, SystemTextEncodingUTF8));

ResponseBinaryWrite(bytes);

ResponseFlush();

ResponseEnd();

}

第二种：

//TransmitFile实现下载

protected void Button1_Click(object sender, EventArgs e)

{

ResponseContentType = "application/x-zip-compressed";

ResponseAddHeader("Content-Disposition", "attachment;filename=zzip");

string filename = ServerMapPath("DownLoad/zzip");

ResponseTransmitFile(filename);

}

hosts 文件只能实现域名跳转的指定，比如 www．baidu．com　本来是访问百度的，但如果你在　hosts　文件里添加　127．0．0．1　　baidu．com　那么　www．baidu．com　访问的就是你本地搭建的网站，如果前面的　ip　不是127．0．0．1，而是另一个网站的ip地址，比如微博的ip地址，那么你浏览器里输入　www．baidu．com，打开的就是微博。

也就是说，hosts文件只能实现将原本应该打开A网站的网址替换成打开B网站，是不能实现将单个网页替换成另一个网页的。

这个功能需要服务器支持，如果A网页的网站是你自己的网站，那么你可以在A网页里用JS实现跳转到B网页，但这个跳转过程用户是可以看到的，如果你会一些服务器环境搭建的基础，还可以使用　nginx　代理实现静默跳转，用户完全感觉不到。