网络操作系统除具有一般操作系统的特征外,还具有自己独特的特征。
1.硬件无关性
多数网络操作系统都可运行于不同的硬件平台之上。UNIX类的网络操作系统所支持的计算机“族谱”最广,从大、中、小型计算机一直到微型计算机。Windows NT则次之,它主要运行在一些RISC类型的计算机和80X86系列的微型计算机上。另外,网络操作系统能支持多种网卡和调制解调器,如3Com、D-Link、Intel以 及其他厂家的产品。网络具有不同的拓扑结构,如总线型、环形、星形、混合型和点对点的连接,网络操作系统也应独立于网络的拓扑结构。此外,网络操作系统还支持多种不同类型的网络,如广域网的点对点链路、X.25网络等,局域网的以太网、令牌环网、FDDI及ATM等。
由于网络的普及,网络的硬件安装逐渐从专业转变成一般技术性工作。为了方便这些硬件的安装,一些普及性网络操作系统开发了所谓即插即用(Plug and Play,PnP)的功能。使用PnP功能需要具备4个条件:支持PnP的硬件设备,支持PnP的操作系统,支持PnP的基本输人/输出系统(BIOS)和支持PnP的硬件设备驱动程序。注意这4个条件中的最后一个,硬件设备驱动程序一般可以从两个渠道获取,第一个渠道是网络操作系统的安装盘,由于名牌的硬件厂商一般与操作系统厂商有密切的合作关系,其系列产品的驱动程序一般都直接集成到了操作系统中。但是,由于商业操作系统的更新周期较长,在新老版本问世之间出现的许多新产品往往在操作系统安装盘中找不到,这时就需要从第二个渠道寻找。第二个渠道是硬件厂商随硬件提供的产品驱动程序,一般硬件产品附带有常见操作系统下的驱动程序(但不一定都是支持PnP)。Windows系列的操作系统一般都支持PnP,UNIX类系统中的Linux家族中也有一些产品支持PnP,例如Redhat 7.X。
当然,任何一种网络操作系统都不可能支持所有的联网传输层硬件,包括那些新开发出来的硬件设备。从而联网传输层硬件的支持能力也就成了选择网络操作系统时的一个考虑因素。
2.广域网连接
一个功能齐全的网络操作系统可以通过广域网卡、网桥、路由器等设备与其他网络实现连接,并支持DHCP(动态主机配置协议)、IP路由、DNS(域名服务)等广域网功能。在20世纪90年代后,一些局域网的操作系统纷纷涌现,例如Microsoft公司的Windows for Workgroup,Novell公司NetWare 3.X系列等,这些系统主要提供小型网络的联网功能,主要的联网协议为NETBEUI和IP/SPX,它们需要通过一些专门的网关产品才能接入广域网(广域网采用的协议以TCP/IP为主)。目前,Microsoft公司和Novell公司所提供的网络操作系统产品都支持TCP/IP,可以直接支持广域网的接入。而由于TCP/IP原来就是UNIX通信软件的基本构件,所以UNIX类的操作系统对广域网的接入和服务功能一向作为操作系统默认的组成部分。
3.支持不同类型的客户端
用户总是希望在一台计算机上访问不同类型的网络。一个网络操作系统支持的网络类型越多,它就越容易得到普及,其使用价值就越大。典型的例子如Microsoft Windows 2000Server可 支持DOS、OS/2、Windows 3.1、Windows 9x/Me、Windows for Workgroup、Windows2000 Professional、UNIX等多种客户端,这为网络用户提供了极大的方便。
作为常用的桌面操作系统,Windows 9x/Me为各种网络资源的访问提供了方便的接入手段,通过配置“Microsoft网络客户端”和“Novell网络客户端”,用户可通过Windows 9x/Me直接访问Microsoft网络的Windows NT服务器和Novell网络的Netware服务器。通过配置TCP/IP,用户可通过Windows 9x/Me直接访问因特网,通过Telnet可访问IP网络上的UNIX类主机。
4.目录服务
使用目录服务的网络具有两个组件:目录和目录服务。目录指的是存储了各种网络对象(用户账户、网络上的计算机、服务器、网络打印机、容器、组)及其属性的全局数据库。目录服务则是提供一种存储、更新、定位和保护目录中信息的方法。
访问网络资源的传统方法中,共享资源位于单独的工作站或服务器上。要想连接到共享资源上,用户必须知道它的位置。而通过目录服务,用户就无需了解网络中每一个共享资源的位置,只需通过一次登录就可以定位和访问它们。这意味着用户仅需一次登录就可以访问所有共享资源,而不用每次访问一个共享资源就要在提供资源的那个计算机上登录一次。
作为对比,目录和目录服务类似于电信局发行的电话号码本(黄页),但与电话号码本服务不同的是,目录服务的内容更新过程是实时的、动态的。
目前流行的目录服务包括Novell的NDS(Novell Directory Service,Novell网络目录服务)和Windows 2000提 供的活动目录(Active Directory)。
5.多用户、多任务支持
既然网络的主要目的是共享资源,而资源的主要提供者是服务器,服务器又在网络操作系统的控制下运行,所以网络操作系统应能同时支持多个用户对网络的实时访问,对每个系统用户可以提供前后台的多道任务处理。
网络操作系统为网络用户提供的直接服务可以分为两大类:
一类是操作系统级的服务。主要包括用户注册与登录,文件服务(不是FTP,这里的文件服务的表现形式是可以把网络上的文件资源映射成本地的文件资源来使用),打印服务,远程访问接入(不是Telnet,而是指远程计算机通过电话拨号入网来访问网络资源)等。这些服务的特点是需要用户进行系统登录,登录后对网络资源的使用往往使用户感觉不到,似乎是本地操作系统的功能延伸。此类服务对操作系统和系统资源的消耗较大,一般只向本地或有限的用户提供。
另一类是所谓的增值服务。诸如万维网(WWW)、电子邮件(E-mail)、文件传输(FTP)、远程终端访问(Telnet)。此类服务一般是开放给社会公众的,用户较多,甚至可能有极大的用户访问量。为满足这种类型的服务,除了要采用高性能的硬件外,网络操作系统的设计和配置也要考虑如何满足大容量访问的需求,这时系统效率对网络访问响应时间的影响极大。一些著名的大型网站,如Google和Yahoo等门户网站,需要组成一个服务器集群(Cluster)来应付大容量的访问。大多数网络操作系统都支持这种集群应用。
6.网络管理
网络操作系统能支持用户注册、系统备份、服务器性能控制、网络状态监视等一些最基本的网络管理功能。
在网络操作系统中,用户注册普遍使用“组管理”的策略,也就是把网络资源(一般情况下为服务器或主机上的文件资源的使用权和某些特定操作命令的使用权)按需要分配给若干组(在企业可以按职能部门分组,在科研机构可以按课题分组,在学校可以按班级分组)。对需要注册的用户,只要将用户注册标志(ID)放入某个特定的组,该用户在系统中登录后将自动享有该组所有成员同等的网络资源访问权限。这样,可大大减轻网络管理员的工作负担。
系统备份功能是指将计算机硬盘中的数据按一定的周期和预先制订好的计划进行后备,以便在发生故障时可以使系统恢复到备份前的状态。
由于网络主机和服务器的工作效率与网络服务响应时间的关系极大,所以,根据具体的主要服务对象设置相应的系统参数可以大大提高服务效率。可供选择的参数包括前后台进程的时间分配比例、虚拟内存的大小、磁盘分块的大小、通信协议参数等。例如,对磁盘存储单位的设置,如果是小型、高频率访问的应用(如WWW服务、E-mail服务),可以将磁盘数据的存储块划分得较小,典型的为16 KB/块;对于较大型的网络应用(如数据库服务、图像存储、视频服务),则可以将磁盘数据的存储块划分得大一些,128 KB/块,甚至更大。再例如,信息传送单元MTU的大小可根据主要访问类型是局域网还是广域网分别设置为1500和576。
通过监视网络的工作状态,网络管理员可以了解网络运行是否正常。监视的内容主要包括服务器资源(如CPU利用率、内存使用情况、各种缓冲区的命中率等)和通信资源(如收发的数据包个数、网络冲突情况、收发错误率、连接的用户数、用户占用的资源等)两大类。当然,不同的网络操作系统能够提供的统计数据各不相同,有些甚至要借助于第三方软件来实现。
最后要提及的是,网络操作系统本身仅提供了最基本的网络管理功能。对小型网络来说,网络操作系统提供的网络管理功能一般就能满足要求。但对于大型的复杂网络,一般来说需要更复杂的网络管理功能,这通常是由专用的网管软件来提供的。
7.安全性和存取控制
网络操作系统所提供的安全管理功能是其区别于一般所谓“桌面操作系统”的重要特征。这种安全管理的实现,体现在诸多方面,除了上面提及的用户注册和登录外,一个突出的安全管理措施是对系统内的文件资源设置访问控制表(ACL),使得不同类型的用户对同一资源的访问可以受到控制。这里要强调一点,网络操作系统的安全性只是网络安全这个话题中的一小部分内容。
对于网络操作系统的安全性可以从登录安全性、资源访问权限的控制及文件服务器安全性3个方面来讨论。
(1)登录安全性
在使用网络资源前,需要进行登录,输入用户标识和口令,这个过程对一般网络用户来说并不陌生。
登录安全性所包含的内容,却要比一般用户的理解要丰富得多。除了控制对网络的访问,决定哪些用户能登录到主机或服务器(对Windows网络用户来说,是登录到域中)外,什么时候可以登录入网,能从哪些工作站上登录,入网后能使用哪些网络资源等也是属于登录安全性所管理的内容。(www.xing528.com)
网络管理员创建用户账户(包括用户名、口令、入网限制等),这样就形成了最初的登录安全性。用户名提供了最基本的安全性,没有账户,用户就无法进行登录。一般只有网络管理员(即超级用户)和工作组管理员(Windows 2000系统中为OU管理员)才能创建用户。用户要访问文件服务器,必须预先注册(让网络管理员为其创建用户账户)并获取用户名及其口令。
用户口令是用户进入系统的钥匙,但如果使用不当,则可能被他人越权使用,并造成不良后果。为了增强口令的安全性,应允许用户定期或不定期地自选改变其口令的内容。大部分网络操作系统为了方便用户对口令进行保护,可以对口令进行限制条件的设置,这些限制条件可以包括:
1)口令的最小长度。如设置默认值是5个字符,也可以设置为更长一些(最大20个字符)以防止别人猜测口令的内容。
2)口令改变的周期。如设置默认值是40天。经常改变口令有利于保密。
3)宽限登录的次数。口令过期之后,用户还能使用该失效的口令登录,这叫宽限登录。但对宽限登录的次数必须给予限制(如设置默认值是6次)。这样在口令过期之后既给了用户改变口令的机会,也防止用户无限期地使用失效的口令。
4)被封锁的时间。用户一旦输错了口令,通常系统允许用户再次输入,但重新输入的次数应有所限制,比如最多只允许3次。若连续3次都输入错误,基本上可认为该企图登录的是一个非法用户。因为一个合法用户连续3次口令输入错误的概率是微乎其微的。为了防止非法用户用连续登录的方法来猜测口令,当连续若干次口令输入错误时应在一段时间内禁止该用户再次登录。
设立入网限制是为了控制用户入网的时间和站点以及阻止非法闯入者入网。因而有3种类型的限制条件:
1)站点限制。限制用户可以从哪个工作站入网,以及用户可以同时登录的工作站数目(此项功能一般只能在LAN内实施,因为往往需要用到计算机的MAC地址)。
2)时间限制。限制用户在哪一天几时至几时可以登录入网。
3)账号限制。当账号过期失效,或账面余额耗尽,或使用不正确的口令试探登录的次数超过限制时,账号自动封锁,任何人都不能再利用该用户名登录入网。
(2)资源访问权限
资源访问权限决定了一个用户可访问哪些目录(子目录)和文件以及用户对于这些资源可以进行哪些具体操作。
例如在UNIX系统中,将系统中的所有资源归纳为文件。而对文件的访问又归纳为对3类用户(u代表文件属主,g代表同组用户,o代表其他用户)分别进行3种操作(r为读,w为写,X为执行)。文件属主可以使用Chmod(Change Mode)命令改变文件的访问权限,系统管理员可以使用Chown(Change Owner)命令改变文件的属主。需要注意的是,文件操作对不同的文件对象来说其含义可能不同。例如在UNIX系统中,对普通文件的读、写、执行的操作权限是什么含义并不难理解,但对于文件目录的读、写、执行的操作权限又如何理解呢?实际上,对文件目录的读、写、执行的操作权限意味着以下内容。
1)目录读权限。允许察看目录里有什么文件(使用ls等命令列出文件)。
2)目录写权限。允许在目录中增加或删除文件(使用mv等命令移动和删除文件)。
3)目录执行权限。允许将目录设为当前目录,可在其中查找、复制文件(可使用cd命令进入相应的目录,使用find、grep和cp命令)。
相对于UNIX这样的“老牌”网络操作系统,现代网络操作系统的权限安全性控制要复杂得多,以NetWare为例,其对文件系统资源的访问权限控制有8种,如表5-1所示。
表5-1 NetWare文件系统中文件的访问权限控制
NetWare文件系统中资源的访问权限作用在目录上与作用在文件上二者效果是不一样的。作用于目录时,叫做目录管理权,如表5-2所示。
表5-2 Netware文件系统中目录的访问权限控制
(3)主机及网络服务器的安全性
主机或网络服务器是运行网络操作系统的核心设备,主机或网络服务器被破坏会使整个网络瘫痪或受到严重影响。
一些网络主机或服务器控制台上可以用命令控制打印机、磁盘驱动器、向用户发送消息、设置系统时钟和查看文件服务器的信息,也可以键入命令控制用户的连接,进行各种文件操作以及关闭文件服务器等。这些操作关系到整个网络是否能正常工作,也关系到网络主机或网络服务器中信息的安全性。因此对控制台操作必须加以限制,避免未经授权者通过控制台访问网络造成灾难性的影响。
在UNIX主机中设置某些命令必须通过控制台执行。例如Adduser命令可以用来注册新用户,但这条命令如果设置成只能从控制台上发布,那就可以防止他人通过网络登录到系统中来增加新用户(从网络登录的用户即便使用了超级用户的ID也不行)。还有一些UNIX类的操作系统为防止非法入侵,干脆禁止任何人从网络上用超级用户的ID登录系统。
在Windows NT系统中,可以将磁盘格式化成FAT和NTFS两种不同的格式。前者不支持控制台安全性,而后者支持。无论使用FAT还是使用NTFS格式,对从网络上登录系统的用户都可以进行文件资源的访问控制,而使用NTFS格式的磁盘,对在本机登录的用户也可以进行文件资源的访问控制。但对于使用FAT格式的磁盘,如果使用Guest用户身份(通常为一般用户设立的账户)能够登录入控制台,就可以访问该主机上的所有文件资源,这显然是不安全的。所以Windows NT建议若要增强安全性,应尽量采用NTFS格式。
NetWare操作系统运行在专用服务器上,用户在服务器控制台上只能进行服务器的特殊管理操作。例如管理磁盘分区和卷、加载驱动程序和NLM模块、关闭服务器、安装协议栈等。为加强控制台的安全,NetWare服务器允许在控制台上加上口令,防止非法用户执行一些“敏感”的操作。
还有一些系统支持所谓的远程访问服务(Remote Access Service)。远程访问服务,是使用普通电话网络,进行对服务器或主机的拨号访问。由于拨号访问存在一定的风险,所以需要采取一些安全措施,最常见的措施包括身份认证和对来电号码进行识别及回拨处理。
8.互操作性
互操作性是现代计算机网络的内在属性,它允许不同类型的网络操作系统和厂商的产品共享相同的网络电缆系统,并且彼此之间可以跨平台访问。这种互操作性在大多数情况下可以由网络操作系统或特殊的服务器软件来实现。例如,NT中提供的NetWare网关功能使得Windows NT系统下的客户可方便地访问NetWare服务器。Samba服务器可以实现Microsoft的Windows类操作系统与UNIX类操作系统的互联和资源共享。
一些第三方厂商开发的应用软件也可以填补网络操作系统在某些功能上的空白。例如,Windows NT类的操作系统不支持Telnet功能,但一些厂商开发的第三方软件却可以在Win-dows NT中实现此项功能。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。