E18　Web基础设施

18.1 About Internet
因特网概述
因特网是计算机网络发展的划时代结果，利用因特网，任何人均可以使用网络浏览器（web browser）来浏览互联网上的超文本文件等各种信息。因特网为人们提供了几乎是无穷无尽的信息资源，但与此同时，如何在如此众多的信息中找到最好的信息源也成了使用因特网的最大困难
因特网除了能提供各类信息外，还为人们的交流提供了各种手段和场所，如电子邮件（E-mail）、远程登录（telnet）、文件传输（FtP）、万维网（WWW）、专题论坛（usenet）、电子公告牌（BBS）等。
专题论坛（usenet）是用户可以张贴问题，并由其他专家用户回答问题的专题小组。
电子公告牌（BBS）是一种计算机系统，具有特殊兴趣的小组可以在BBS上发布和阅读信息，进行交流。
内联网（Intranet）和外联网（Extranet）：内联网是企业基于因特网技术建立的面向其内部职员的网络，企业职员可以通过内联网远程访问公司内部网络；外联网则将服务对象扩展到了企业的合作伙伴（客户、供应商、各类机构）。显然，无论是内联网还是外联网都需有设置适当的访问控制措施以防止用户滥用网络资源。
18.2 Internet Basics
因特网基础
因特网的网络架构
因特网的基础是一个由主干网、次级网和园区网构成的覆盖全球的通信网络。
主干网：由代表国家或者行业的有限个中心结点通过专线连接形成，覆盖到国家一级；连接各个国家的因特网互联中心（如中国互联网信息中心CNNIC）。主干网节点之间通过主干线路连接，主干线路通常由长途电话公司或政府管理。
次级网（区域网）：若干个作为中心结点代理的次中心结点组成。次中心节点之间通过区域性线路连接，通常由区域电话或电信公司经营，这些通信公司将其信道带宽租给因特网服务提供商（ISP）经营。次级网和主干网之间的连接点称为网络接入点（NAPs）。
园区网（校园网、企业网）：直接面向用户的网络（最后一公里），常见的连接手段有入户光纤、有线电视、DSL及电话拨号等。
与因特网的基础通信网络不同，因特网（资源网）本身是一个松散的网络，它既不属于任何组织，也不被任何机构所管理。正因为如此，有些国家严格控制甚至完全禁止其国民使用因特网。
因特网的工作原理：
因特网采用TCP/IP协议簇作为其通信协议。 TCP（传输控制协议）和IP（网间传输协议）是其中的两个核心协议。
TCP/IP协议中用于唯一确定网络节点地址的是IP地址，IP V4（版本4）地址由32位二进制（4个字节）组成，通常用4个十进制来表示，如：202.119.2.199
由于IP地址难于理解和记忆，采用了一套有助于记忆的符号化“域名地址”来表示网络节点，域名也采用层次命名结构：域.子域（.子域（.子域）），体现了一种隶属关系.如：
seu.edu.cn中国.教育科研网.东南大学
域名管理系统（DNS）负责域名和IP地址之间的转换。
因特网上的节点可分为服务节点（服务器）和访问节点（终端），访问节点也称为网络终端或浏览器终端，服务节点则可能是运行各种操作系统和应用服务的设备。
一个服务节点可以提供多种服务，通过服务端口号来区分，可以为每个服务端口号赋予一个名称，多数著名的服务均有默认的端口号和名称，如：WWW（万维网）的默认端口号为80。
因特网术语：
HTTP／HTTPS（超文本传输协议／安全的超文本传输协议）：实现因特网消息格式化和传输的标准协议，其中HTTPS是其加密版本。
IP地址/域名：唯一标识因特网上设备的数字似符号化地址。
域名管理系统（DNS）：负责域名和IP地址之间转换的层次化服务系统。
URL（统一资源定位符）：唯一地表示因特网上的任一资源，由传输协议、域名、服务名、目录路径、文件名和参数构成。例如：http://www..sina.com：80/finance/index.php?id=29 &id=30
FTP（文件传输协议）：TCP／IP协议簇中包含的一种应用层协议，用于通过网络传输各种文件。
Telnet（远程登录协议）：TCP／IP协议簇中包含的一种应用层协议，用于通过网络远程登录主机。
IM（即时消息传递）：一种服务，可通过网络实现文本消息的实时传递。
CGI（通用网关脚本语言）：一种标准的编程语言，服务例程可通过调用它们动态访问服务器上的资源。其它常用的类似语言还有：perl，php，asp
Cookies（小甜饼）：是由Internet站点创建的并存储在本地计算机上的一段文本信息，例如访问站点时的首选项和个人可识别信息等，其作用是简化网页访问过程。
Applets（小应用程序）：浏览器在访问网页时动态从服务器下载并执行的一段小程序，通常由JAVA编写。
SMTP（简单邮件传输协议）：规定怎样将个人计算机连接到Internet的邮件服务器和发送电子邮件的协议。
POP3（邮局协议版本3）：规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的协议。
18.3 E-MAIL Security
电子邮件安全
电子邮件是因特网上应用最广泛的功能之一，随着电子邮件的广泛使用，其安全控制也变得越来越重要。常见的控制措施包括：
公司应该规定雇员不能用电子邮件发送高度敏感或机密的信息。
对敏感电子邮件要进行加密。
限制使用电子邮件软件的种类。
在工作终端上的一些商务电子邮件需要保存以备公司查阅。
保密性电子邮件不能储存在邮件服务器中。
雇员离职后，应保留其电子邮件以备查阅。
在较大的公司，可以在安全程度不等的不同地点由几人同时负责管理电子邮件的安全性。
电子邮件系统的密码可以有效防止电子邮件被其他人随便接触，包括防止有人企图以用户的名义随意访问用户的个人数据。但电子邮件不可能比它赖以运行的计算机环境更安全，当计算机操作系统的安全得不到保障时，电子邮件的密码很容易被绕过。
18.4 Navigator Security
浏览器安全控制
浏览器的安全缺陷是很多攻击的根源。与其它应用程序一样，即使是最新版本的浏览器也会存在各种程序故障，需要通过 补丁包进行升级。一般来说，管理员应该关闭所有不需要的浏览器特性，如动态页面和插件。虽然实现这些特性的编程语言（Active X或JAVA）是在一个受控的环境中运行，不能直接访问系统的其它部分，但这种保护很可能被黑客攻破，因此很多企业规定只允许浏览静态页面。Cookies（小甜饼）是浏览器的另一个特性，它是Web站点在用户计算机中生成的，存放用户登录信息等参数，以便用户再次访问时无需重复输入相关信息。但这也会带来安全隐患，通常应该禁用cookies或只允许在访问可信站点时使用。
弹出窗口（如广告）有可能引入恶意代码，因此也应该阻断。对于外部站点，管理员应该将其安全控制属性设为“高”，在该设置下，管理员需要定义“可信”站点，即允许正常访问的站点，而其它站点则只能在受控方式下浏览或根本禁止访问。
18.5 Service-Oriented Architecture（SOA）
面向服务的体系结构
SOA是目前非常有发展潜力的一种IT体系结构样式，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的，它独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在这样的系统中的各种服务可以以一种统一和通用的方式进行交互。
这种具有中立的接口定义（没有强制绑定到特定的实现上）的特征称为服务之间的松耦合。松耦合系统的好处有两点，一点是它的灵活性，另一点是，当组成整个应用程序的每个服务的内部结构和实现逐渐地发生改变时，它能够继续存在。而另一方面，紧耦合意味着应用程序的不同组件之间的接口与其功能和结构是紧密相连的，因而当需要对部分或整个应用程序进行某种形式的更改时，它们就显得非常脆弱。
对松耦合的系统的需要来源于业务应用程序要根据业务的需要变得更加灵活，以适应不断变化的环境，比如经常改变的政策、业务级别、业务重点、合作伙伴关系、行业地位以及其他与业务有关的因素，这些因素甚至会影响业务的性质。这种能够灵活地适应环境变化的业务被称为按需（On demand）业务，在按需业务中，一旦需要，就可以对完成或执行任务的方式进行必要的更改。
SOA可以说是更传统的面向对象的模型的替代模型。面向对象的模型是紧耦合的，而基于SOA的系统虽然并不排除使用面向对象的设计来构建单个服务，但是其整体设计却是面向服务的。
18.6 Web infrastructure
环球网基础设施
WEB基础设施是指构成当今电子商务应用中间层的基础资源——运行在操作系统平台上的网络服务器和应用服务器。如IBM的Websphere Application Server、Oracle的Application Server、BEA的WebLogic等。因为这些资源经常是面向客户的应用，所以它是所有要求具有高性能和可用性的网络应用的公共基础。不良的性能不仅会影响到终端用户的工作效率，也会影响到提供应用的组织的形象。网络基础设施必须得到有效的管理。