中国教育和科研计算机网

网络信息中心

中国教育和科研计算机网网络信息中心（China Education and Research Network Information Center，简称CERNIC）是一个面向全国教育和科研单位的Internet资源注册和管理部门 。负责中国教育和科研计算机网CERNET的IP网络地址分配、网络域名注册和网络资源注册，并为CERNET用户提供网络技术支持，对外定期发布CERNET的最新信息等。

   CERNIC提供的主要服务如下：

注册服务（URL： http://www.nic.edu.cn/RS/cindex.html）

     为CERNET用户提供网络资源分配、注册和管理等服务。

IP地址分配

欲加入CERNET的单位用户应首先与相应的CERNET地区网络中心取得联系，根据本单位的实际需求，如实填写“IP地址申请表”（URL：http://www.nic.edu.cn/RS/templates/ipform），以电子邮件的方式发至CERNET地区网络中心，各地区网络中心所负责的省、自治区和直辖市及相应IP地址申请受理的e-mail地址如表1所示，再由CERNET地区网络中心转交CERNIC进行处理。CERNIC一般在两周内发出IP地址分配结果。

域名注册

CERNET用户在申请到IP地址，并已经正式与CERNET联网以后，即可以申请EDU.CN下的域名。用户可从CERNIC主页（URL：http://www.nic.edu.cn/RS/templates/domainform）下载域名申请表格，填写后以电子邮件的方式发给CERNET的本地区网络中心，由地区网络中心审核后转交CERNIC处理。在填写表格前请认真阅读“中国教育和科研计算机网EDU.CN网络域名注册办法”（URL：http://www.nic.edu.cn/RS/policy/ policy1.txt）。域名注册的处理周期一般为两周。

网络资源注册

CERNET用户在从CERNIC申请到域名，并建立自己的局域网和信息资源后，可以通过填写“网络资源注册表格”（URL：http://www.nic.edu.cn/RS/ service.html），申请在CERNET主页上加入此信息资源的链接。

目录服务（URL：http://www.nic.edu.cn/DS/cindex.html）

提供网络资源的目录查询和数据库检索服务。用户可以在CERNET范围内查询有关域名、IP地址空间、人员、主机等信息。

出版刊物（URL： http://www.edu.cn/cernet/news/）

     出版季刊《CERNET导报》，定期发布CERNET网络进展。

信息发布和信息资源建设

建立和维护CERNET的信息服务器，如CERNET主页（URL： http://www.edu.cn）、中国SunSITE（URL：http://sunsite.edu.cn）等。

服务联系

热线电话： (010)62784049

服务/咨询电子邮件信箱：webmaster@net.edu.cn

CERNIC通信地址： 北京清华大学中央主楼224房间（100084）

　

表1：CERNET各地区网络中心所负责的省、自治区和直辖市:

CERNET 2000 年第一季度新增用户表

CERNIC size=4>累计域名注册月统计图（1995年12月－2000年3月）

CERNIC size=4>累计IP size=4>地址分配月统计图（1993 size=4>年9 size=4>月－2000 size=4>年3 size=4>月）

Internet 20世纪的重大科学贡献

吴建平

　　吴建平 清华大学计算机科学与技术系教授，博士生导师，清华大学信息网络研究中心主任，中国教育和科研计算机网CERNET专家委员会主任、网络中心主任，任国家高技术研究计划“863?/FONT>智能计算机主题专家组成员。研究兴趣包括计算机网络体系结构、高速网络互连技术、协议工程学及协议测试技术、Internet网络管理和安全等。

　　Internet是20世纪对人类进步影响最大的科学贡献之一。虽然Internet的历史还不到半个世纪，但是它的发展速度之快，对人类进步的影响之大，却是本世纪其他重大科学技术所不可比拟的。回顾它的发展历史，认识其成功的重要技术因素，总结其成功的宝贵经验，可以使我们深刻地理解其技术本质，更好地开发和应用Internet，使其更好地为人类进步服务。

Internet概念的形成

　　1961年MIT的LeonardKleinrock发表了第一篇介绍“分组交换理论”的学术论文，形成了今天Internet的理论基础。这种理论完全不同于多少年来在电话通信中采用的“电路交换理论”，具有革命性的进步。以此为基础，从60年代中期开始，世界上有三个研究小组几乎同时研究基于这种“分组交换理论”的计算机网络，并且形成了基本相同的分组交换计算机网络概念。它们是MIT（1961～1967）、RAND公司（1962～1965）和英国国家物理实验室NPL（1964～1967）。1968年，美国国防部高级计划研究局DARPA开始资助计算机互联网的研究工作。1969年，在美国建成了世界上第一个采用分组交换技术的计算机网络――ARPANET，将4所大学连接起来，基本上实现了分组交换计算机网络的构想。同年，第一个Internet的标准性文件RFC产生。

Internet技术的实现

　　70年代，世界上许多国家的通信部门看到计算机网络的巨大应用前景，纷纷开始建立提供X.25服务的分组交换通信网络。各计算机公司也都提出以连接本公司计算机系统为目的的计算机网络体系结构，例如IBM的SNA和DEC的DNA等。在此期间，ARPANET的技术和规模得到了不断发展，各种各样的网络技术和应用也不断产生。人们深刻地认识到，必须设计一种标准的、开放性的计算机网络互连结构，连接各种各样的计算机网络体系结构。1974年Stanford大学的VintCerf和BobKanh发表了第一篇关于分组交换网络互连协议的学术论文，提出采用传送控制协议(TCP)和网络间互连协议(IP)来实现计算机网络之间的互连。随后，DARPA长期支持使用TCP/IP协议的ARPANET以及分组无线网和分组卫星网等一系列研究项目，从此开始了Internet研究的历史性进程。在此期间，美国Hawaii大学还在1970年发明了著名的无线通信网络ALOHAnet，提出了多路共享传输介质的基本控制算法，奠定了分组无线通信和卫星通信的理论基础。1973年，Harvard大学的BobMetcalfe在其博士论文中首次提出了Ethernet的基本原理，并且在同年5月实现了第一个Ethernet网络，称为AltoAloha系统。至此，Internet的基本技术已经得到实现。

Internet功能的完善

　　80年代，随着微处理器技术的迅速推广应用，以Ethernet为代表的计算机局域网络(LAN)技术得到很大的发展。国际标准化组织ISO提出的开放系统互连OSI参考模型的研究也非常热烈。从1983年开始，ARPANET正式采用TCP/IP协议。在此期间，产生了许多影响Internet发展的技术和相应的计算机网络，使Internet的功能不断完善。1979年，基于UUCP的Usenet开始运行，人们在它上面开发了非常著名的Newsgroup功能。1981年，建立了BITNET，并且提供电子邮件、文件传送和Listserv服务。同时还发明了第一个计算机网络的Gateway，把BITNET与ARPANET相连接并提供Email转换。同年，美国国家科学基金会(NSF)支持美国一些大学的计算机系建立了CSNET。1984年，域名服务系统DNS开始运行，实现了使用用户域名的网络服务。1986年，NSF支持建立NSFNET，形成了Internet的第一个主干网，当时的传输速率只有56kbps。在NSFNET上，用IBM的RS6000作为互连设备，形成了路由器的雏形。这时，Internet的Email、FTP和Telnet功能已经开始实现统一的命令格式。1989年发明了Archie系统，实现了网络上文件信息的查询。1991年发明了WAIS系统，实现了网络上全文本文件信息的索引。1991年发明了“客户－服务器”方式的网络应用软件体系结构，并用此结构实现了gopher系统。

Internet规模的扩展

　　欧洲粒子实验室的TimBerners Lee于1991年发明了超文本链接的WWW技术。MarcAndreessen在1993年开发成功图形界面的Mosaic浏览器系统，从此Internet的应用方式被更多的人们接受。另外，1995年Sun公司宣布了网络程序设计语言Java，使得开发网络应用更加容易和方便。1996年，人们发明了Internet电话，使Internet向传统电信业务和技术提出了全面挑战。于是人们对Internet传输速度的要求越来越高，Internet商业化时机日渐成熟。从1995年开始，NSF鼓励企业投资建设Internet主干网，并逐步减少对Internet主干网NSFNET的资助。由于TCP/IP及其应用技术的逐步发展，再加上企业资本的大量投入，Internet以空前的速度得到发展和应用，成为当今世界信息基础设施的重要组成部分。Internet在发展和应用过程中，逐步形成了自己的主要技术特点，其中包括：分组交换技术把要传送的网络信息分成较小的分组在网络各结点上进行存储转发，成为近30年计算机网络通信的核心技术。网络间互连协议(IP)技术在庞大的网络IP地址空间中，用IP协议携带信息分组跨越网络中的一系列结点，独立进行路由选择，直至到达目的地。它是一种非连接的网间协议，具有非常好的联网适应能力，可以方便地互连任何类型的计算机网络，是以IP协议的不变去适应底层网络技术发展的万变。路由器加专线连接的技术进行路由选择的网络结点称为路由器，路由器之间的连接可以是(或可以看成是)一条通信专线。各种路由器技术和路由选择算法以及适应于实现这种通信专线功能的各种网络连接，是Internet技术的重要组成部分。端到端的网络连接技术用基于连接的可靠网络传送协议TCP和无连接的网络传送协议UDP为各种网络应用提供统一方便的支撑平台。层次结构的网络域名管理技术实现难以记忆的IP地址与具有层次结构的网络主机名之间的解析管理，使得网络的访问变得相对容易。开放通用的应用技术Internet的基本应用技术不仅是开放的，也是通用的。

Internet成功经验

　　通过Internet的成功至少可以总结出以下经验：长期不断的政府支持美国政府长期支持Internet技术的研究达20多年之久，终于获得了世界范围内的巨大成功，使美国的计算机网络及其应用技术领先于世界其他任何国家，同时也产生了十分巨大的经济利益回报。具有远见的政府决策在Internet发展的许多关键时刻，政府的正确决策起了至关重要的作用。例如TCP/IP实验网研究、NSFNET的建立以及Internet的商业化。另外，在支持Internet的研究过程中，给各研究单位创造公平竞争、鼓励发展的政策环境也是十分重要的因素。美国在通信基础设施建设方面先期进行了公平竞争的改革，为Internet的迅速商业化奠定了很好的基础。技术先导的示范工程纵观Internet的发展历史，我们发现不同时期的实验研究性示范网络都建立在大学和研究单位。这样做的原因，除了因为大学和研究单位有最强的研究实力外，也因为大学是为社会培养网络及其应用人才的场所。开放公开的技术标准Internet的技术和标准从一开始就是开放的，也是公开的。这为人们了解、参与和开发这种技术奠定了较好的基础。坚持不懈的相互合作在Internet技术的发展历史中，无论是Internet技术研究本身，还是Internet的组织和管理，研究人员之间的相互合作和相互协调达到了空前的程度。

　　充满活力的企业参与企业的积极参与和支持在Internet技术的发展过程中扮演了十分重要的角色。从NSFNET建设过程中通信公司的积极参与，到Internet商业化时许多企业大量投资，充当提供主干网服务的网络服务提供商(NSP)或提供Internet接入服务的Internet服务提供商(ISP)，反映出现代信息产业中高风险投资的重要趋势。

　　进入90年代后，新一代计算机信息网络及其应用的研究引起各发达国家的特别关注。其中，最有影响力的是美国政府于1992年提出的NII计划和随后由西方七国提出的GII计划。美国政府又于1996年10月宣布启动“下一代Internet?NGI)研究计划，其目的是研究21世纪计算机信息网络的基本理论，构造全新概念的新一代计算机互连网络体系结构，为美国的教育和科研提供世界最先进的基础设施，从而保证21世纪美国在科学和经济领域的竞争力。作为NGI计划的一个补充部分，美国100多所大学和企业于1996年底联合发起了Internet2研究计划，其目的是利用现有的网络技术来探索高速信息网络环境下新一代网络应用，例如实现远程教育、虚拟实验室和数字化图书馆等应用系统的可能性。这不仅为新的网络应用取得了经验，同时也暴露出现有网络体系结构理论的缺陷和不适应部分，为新的信息网络理论研究提供了需求依据。

　　在信息网络及其安全性方面，美国政府自1993年以来颁布了一系列的法律法规，每年投入数十亿美元进行有关的研究和开发。欧盟在信息网络及其安全方面的典型研究计划是1995年10月提出的“欧洲安全电子市场”SEMPER项目。其目标是为全球性市场建立一个开放和通用的安全体系结构，为推广电子商贸提供所需的关键技术和法律依据，增强欧盟各国与美、日等国开展商业竞争的能力。

　　计算机网络技术及其应用的产生和发展，与计算机技术（包括微电子及微处理器技术）和通信技术的科技进步密切相关。由于计算机网络技术，特别是Internet/Intranet技术的不断进步，又使各种计算机应用系统跨越了主机/终端式、客户/服务器式、浏览器/服务器式这样几个不同阶段。今天的计算机应用系统实际上是一个网络环境下的计算系统。

　　世界上的有识之士都认为，21世纪是亚洲的世纪，中国的崛起是历史的必然。我国已经有着世界上最多的电视观众，并且即将具有世界上最多的电话用户和计算机信息网络用户。中国的国家信息基础设施必将是世界上规模最大的。只要我们抓住机遇，迎接挑战，就有可能用较短的时间赶上世界发达国家的水平，在未来信息技术和信息产业的世界竞争中占据有利的地位。

　　 （摘自2000年1月10日《计算机世界》）

关于加强对教育网站和网校进行管理的公告

　　为进一步加强中国网络教育的管理，规范网络教育活动，保证网络教育的健康发展和现代远程教育工程的顺利实施，根据国家有关法规，现将有关事项公告如下：

　　（1）凡在中华人民共和国境内，举办冠以中小学名义及面向中小学生的网校和教育网站，必须经省教育行政部门同意，并报国家教育行政部门核准。已经和正在举办的网校，要重新办理报批手续；未予批准的应立即停止网上教学活动。

　　（2）未经国家教育行政部门批准，单位和机构不得冠以“网络大学”的名义或在网上以学校名义注册域名，建立相应的网站，进行招生和开展相应的教学活动；不得以远程教育的名义建立和利用卫星网络开展远程教育。已经和正在开展上述工作的，要重新办理报批手续；未经批准的应立即停止网上教学和其他有关活动。

　　凡违反上述规定，未经省级教育行政部门同意和国家教育行政部门批准，擅自以学校或机构名义建立教育教学网站、注册域名、举办网校和网络大学的，将按照国家有关学校设置的法律和规定追究有关单位和有关人员的责任。

本公告自发布之日起生效。

教育部

2000年4月20日

强强联手 铸造辉煌

“清华－北电计算机网络体系结构联合实验室”近日揭幕

　　2000年5月24日，清华大学与加拿大北电网络公司合建的“清华－北电计算机网络体系结构联合实验室”正式建成并投入使用。教育部科技司谢焕忠副司长，清华大学校务委员会副主任陈希教授，北电网络公司高新技术研究中心副总裁Dan Pitt先生，北电网络企业网系统部大中国区副总裁、总经理徐成达先生，清华大学信息网络工程研究中心主任、网络结构实验室主任吴建平教授，清华大学信息网络工程研究中心副主任李星教授，来自清华大学各系所的代表以及新闻界40多位记者出席了实验室的揭幕仪式，并参观了实验室的演示环境。

　　“清华－北电计算机网络体系结构联合实验室”主要在计算机网络技术领域内从事基础研究。

　　揭幕仪式上，陈希教授与Dan Pitt先生为实验室建成揭幕。陈希教授、Dan Pitt先生、谢焕忠副司长、徐成达总经理、吴建平教授等先后发表讲话，对实验室的建成表示祝贺。在“清华－北电计算机网络体系结构联合实验室”揭幕仪式上，清华大学信息网络工程研究中心主任、网络结构实验室主任吴建平教授说：“‘清华－北电计算机网络体系结构联合实验室’的建成将进一步推动清华大学与北电网络在更为广阔的领域内开展合作。”北电网络公司高新技术研究中心副总裁Dan Pitt先生也指出：“清华－北电计算机网络体系结构联合实验室的建成，为清华大学与北电网络建立战略伙伴关系、开展广泛的合作开辟了广阔的前景。”会后Dan Pitt先生、吴建平教授等还就实验室的具体情况、清华与北电网络公司的合作等问题回答了记者的提问。

（CERNET网络中心 李海元）

管理复杂网络的“高手”

长云

　　许多网络系统越来越复杂，作用越来越重要；然而如何解决系统管理与人力资源日益昂贵之间的矛盾，成为网络大户的紧迫课题。针对这一现象，华南理工大学信息网络工程研究中心日前推出“综合网络管理系统软件――――Dcampus SNMS"。经初步试用，管理效益显著。预计将得到多对象复杂网络系统运营商的欢迎。

　　据介绍，该系统软件的研制，基于多年网络运行管理的实际经验。它以大型数据库系统为核心数据库，管理重点突出，能可靠、高效地支持用户数量多、管理对象多的复杂系统。JAVA、CORBA及INTERNET开放标准在该软件中的采用，使它具有工程化程度高、面向对象的系 统设计扩充性能好等优点。该系统软件可为大型企业网、校园网，提供安全可靠的用户管理、计费管理和网络运行管理等功能。

　　华工网络中心的主要研究方向，是基于INTERNET的网络管理和系统管理，高性能IP网络技术，内容管理以及电子商务、远程教育支撑技术等。华南地区的各类教育、科研机构、学校，均可经该中心接入CERNET，即中国教育和科研计算机网华南地区网络中心。　　

　（摘自《通信产业报》2000.04.19）

EOL全面进军教育产业

　　清华大学近日在CERNET支持下正式推出了经过精心打造的教育航母-中国教育热线（WWW.EOL.COM.CN），试图利用清华大学的品牌效应及务实的全方位服务，挺进网络市场与教育产业，拿下教育网站的第一把交椅。

　　中国教育热线1999年5月即开始筹备，在经过半年多的精心准备后才于今日正式推出。翔实的栏目几乎涵盖了整个教育领域，有为提供各种教育信息的"教育资源"、热门新闻，焦点话题，还有分类的创业、MBA、留学、远程教育、就业、升学考试等各专向内容。在网络泡沫不绝于耳的今天，中国教育热线将实用摆在了第一位，特别强调服务的到位及实用性，提倡个别化服务。每一栏目都站在网友及其他部门需求的角度，不仅提供最为详尽的信息、服务，还利用各种手段了解每一个用户的需求，安排专门的值班人员，提供最直接的服务。如MBA栏目中将提供中国的MBA人才库；MBA考试、面试和就业咨询；考前辅导、分数查询；案例分析，制定创业计划；与MBA相关的教育产品与服务市场。专门的用户服务部门还将分析用户的需求，以及时调整网站内容，解答用户疑问，组织网员活动。有关人士评价说，"网络泡沫"将淘汰掉那些务虚的网站，这种能为网民提供切实服务的网站将会在"网络泡沫"中脱颖而出。

　　近日，许多高校都看好教育网站，试图利用自己的优势，在网络市场分一杯羹。此前北京师范大学及中国人民大学等高校已创办了各自的商业网站。据悉，北京大学也在积极筹备"北大在线"。在回答记者关于中国教育热线的优势及特点时，中国教育热线总裁金勤献说，互联网与教育的结合将带动教育产业新的发展，高校进军互联网的独特优势是资源与文化优势。你可以在几个月内炒热一个网站，但真正对教育有所影响还有很长的路要走。中国教育热线将依托清华的资源优势，秉承清华求真务实的作风，满足用户各种类型的教育需求，提供互动学习、合作创造的平台。同时，EOL将与提供教育服务的机构与厂商合作，共同推进互联网时代教育产业的发展。E-learning是当前互联网发展的主流，我希望中国教育热线能通过创造性的艰苦努力，倡导一种理念，引导教育网站向务实，注重服务，面向素质教育，实现合作创新的方向发展。

摘自《人民日报》4月11日

（声明：以上所摘录文章仅限内部交流）

TCP_wrapper：Unix安全软件

一鸣

　　随着网络的快速发展，Unix操作平台越来越多地用于电信、政府部门以及大型商业网站等应用领域。这些部门选用Unix的原因之一是Unix具有很好的可靠性和稳定性。但近年来越来越多的黑客入侵事件也令Unix系统的安全受到威胁。

　　系统管理员是否可以从软件方面找到一些解决办法呢？回答是肯定的。实际上，Internet上有很多非常优秀的Unix安全软件，虽然这些软件大部分是免费的，但其功能却非常强大。如果能对它们加以利用，就会大大缓解网站面临的安全压力。

　　想知道什么时间、什么来源的IP试图访问过你的系统吗？访问是成功还是失败？想限制他人访问你的主机吗？你需要TCP_wrapper。该软件的作用是在Unix平台上过滤TCP/UDP服务，它目前已被广泛用于监视并过滤发生在主机上的ftp、telnet、rsh、rlogin、tftp、finger等标准TCP/UDP服务。

　　如果有一台名为yiming的主机安装了该软件，你可能得到如下日志报告：

　　Mar 30 15:55:58 yiming in.telnetd[9128]:

　　refused connect from 11.22.33.44

　　Mar 31 14:31:40 yiming in.telnetd[9722]:

　　connect from love.yiming.com

　　Apr 2 13:18:03 yiming in.rshd[1748]:

　　refused connect from hacker.yiming.com

　　Apr 2 13:20:30 yiming in.ftpd[1763]:

　　refused connect from 11.33.44.55

　　Apr 2 13:21:36 yiming in.telnetd[1769]:

　　connect from 11.22.33.44

　　从该报告可以看出，TCP_wrapper的作用就是根据预先设置的访问控制权限，接受或拒绝各种TCP/UDP网络服务，并将发出连接请求的客户端IP和连接时间等信息记录在案。

　　工作原理

　　Unix系统有一个系统守护程序inetd，它在系统引导时启动并驻留在内存中，随时监听外部的服务请求。当有外部请求时，inetd进行判断并根据配置文件指定的程序启动相应服务。成功启动之后，inetd转入后台并进入睡眠状态，直至下一次请求发生。在这个意义上，inetd很像DOS 和Windows环境中的驻留内存程序。例如，A机用户欲远程登录B机，则B机的守护程序inetd在接收到A机的telnet要求后，会在inetd的配置文件in.conf中寻找启动telnet所需的程序。in.conf中相关行的内容如下：

　　telnet stream TCP nowait

　　root /usr/sbin/in.telnetd in.telnetd

　　因此，inetd在接收到客户端telnet要求后，会将请求送给in.telnetd程序，由in.telnetd启动一个远程登录实例，并开始本次连接。值得注意的是，从 inetd到in.telnetd之间的传递没有任何形式的验证，inetd会响应每一次连接请求，并将请求直接送到in.telnetd，且这种连接并不产生日志文件。

　　当系统安装TCP_wrapper之后，in.conf文件中/usr/sbin/in.telnetd的in.telnetd会被TCP_wrapper附带的tcpd程序取代。该程序截获来自客户端的服务请求、记录请求发生的时间和IP地址，并按访问控制进行检查。当本次连接的用户、请求源的IP等信息符合管理员的预设值时，才将该次请求传递给系统in.telnetd，由系统in.telnetd完成后续工作；若连接不符合要求，该连接请求将被拒绝。同样，ftp、rsh等TCP/UDP服务均可被tcpd取代，由tcpd充当二传手。

　　主要功能

　　从以上分析可以看出，TCP_wrapper的主要功能是记录连接事件、设置访问控制、防止DNS欺骗或IP欺骗，同时还可以采集用户名、设置登录标题等。

　　1.记录连接事件

　　通常，Unix操作系统本身不带记录网络访问的功能，尽管某些操作系统可以通过设置记录失败的服务请求，但其功能太有限。TCP_wrapper则不然，它尽职尽责地截获每次TCP/UDP连接请求，并记录下每次连接的时间、IP地址、用户名等。

　　TCP_wrapper的记录功能是借助Unix系统的Syslog守护进程实现的，因此在安装时TCP_wrapper默认通过Syslog的Mail精灵发送INFO级别以上的消息。建议用户在安装时修改Makefile文件，使TCP_wrapper拥有独立的日志，方便日后的观察维护。

　　2.访问控制

　　安装了TCP_wrapper的主机可以对来自单个或多个IP地址的网络服务进行控制。访问控制选项在编译时的默认值是“打开”，通过编写TCP_wrapper的配置文件host.deny和hosts.allow，系统管理员可以轻松控制网络服务。编写这两个文件的语法很简单，举例如下：

　　more hosts.allow

　　in.telnetd:.yiming.com EXCEPT

　　hacker.yiming.com : allow

　　in.ftpd : 11.22.33.0/255.255.255.0 : allow

　　in.ftpd : 22.33.44.55 : allow

　　in.rshd : 11.22.33. : allow

　　more hosts.deny

　　all: all

　　TCP_wrapper首先读hosts.allow文件，第一行的意思是：除hacker.yiming.com主机外，yiming.com域中的所有主机都可远程登录本机。注意在 yiming.com前的标点符号“.?/FONT>，它是统配符，表示所有属于yiming.com这个域的主机。第二行表示从11.22.33.0开始的主机均可ftp本机。第三行表示允许22.33.44.55这个IP地址 ftp本机。

　　下载及安装

　　TCP_wrapper可从站点：ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz下载，并按所附readme文档步骤安装即可。安装的主要工作是编辑Makefile文件，编译结束后分别对log和inetd做相应设置，并重启相关进程，TCP_wrapper 就可以正常工作了。有兴趣的朋友不妨一试。

（摘自《计算机世界》2000年6月5日 限内部交流）

中小型网络计费系统的比较

谷耀

　　随着政府上网和企业上网工程的全面展开，各个政府部门及企事业单位Internet应用越来 越走向深入。各单位除了建网的一次性投资外，更多面临的是日常网络的使用费用问题，这其中除专线月租费、端口费、IP地址费等固定费用外，长期、不确定的费用便是ISP 收取的专线网络数据流量费。

　　对专线用户而言，计费一般有包月收费和按流量收费两种方式。后者还可细分为固定金额限定每月流量基数、超过部分按每兆字节加收费用，以及无固定流量基数、完全按流量收费等不同计费方法。

　　专线用户在使用网络时经常面临这样一种情况，由于上级ISP通常不提供网上流量统计查询手段，而是每月提供一张收费单，因此在收到上级ISP 的流量收费清单之前，专线用户单位往往不清楚自己的网络使用及费用情况，无法控制每月的网络使用费用。然而，即使是包月收费，专线用户单位也应对其内部各个部门或IP地址的网络使用情况做到心中有数。

　　如此看来，按照“谁使用，谁付费”的原则，建立自己的网络统计计费系统，随时掌握本单位各个部门及用户的网络使用情况，收取适当的网络使用费用，将有利于加强网络管理，保证网络的合理、有效利用。

　　网络计费系统通常包括数据采集、数据统计、计费信息查询、计费规则管理和用户管理等方面，从技术上讲，其核心和基础是数据采集。根据流量数据采集方式的不同，专线网络计费系统大体可划分为四种类型：

　　1. 基于路由器的数据流量统计

　　路由器本身具备流量统计功能，因此利用路由器进行网络数据流量统计是普遍采用的计费方法。流量数据采集工作由管理站（SNMP manager）定时读取路由器（SNMP agent）MIB管理信息库中IP计费表，并将这些采集到的数据处理后装入数据库中，在此数据库基础上进行统计计费等管理工作。

　　这种计费方式的数据采集只需在一台工作站或服务器上安装相应软件即可。由于技术成熟、可靠，因而得到广泛采用。但是，增加流量统计任务必然会加重路由器的工作负载，并且IP计费表也必然会占用路由器的RAM，而且，与计费相关的数据变量如不及时读取就会溢出，造成数据丢失。因此数据采集周期通常很短（大致为10～30分钟），这样，越是网络流量大的路由器就越是要频繁传递采集数据，如此会使网络带宽更为拥挤。

　　此外，由于这种计费方式是按IP地址统计流量，因此在采用DHCP进行IP地址动态分配时，无法分辨是哪台机器或哪个用户产生的流量。这对经代理服务器做网络地址变换的情况同样也无能为力。

　　2. 基于防火墙的数据流量统计

　　防火墙位于外部网与内部网之间，它对进出的数据包进行过滤，因此有些防火墙产品带有流量统计功能，可以利用其监控记录产生流量统计报表进而实现计费管理。

一般而言，在功能上，基于防火墙的流量统计比基于路由器的流量统计方式更为灵活，例如可以实现限制部门或IP网段最大网络流量的功能，一旦达到预定的流量限额，路由器就会停止该网段与外部网络的数据传输。

　　3. 基于以太网广播特性的数据流量统计

　　此方法利用了以太网的广播传输特性，使以太网适配器NIC工作在混合模式，以捕获局域网上每个以太网数据帧。通过分析每一帧，将表示帧长度的字段抽取出来，进而统计以太网上各个IP地址的网络流量（当然也可统计IPX协议 或其他网络协议的流量）。

　　此方法要求以太网帧捕获采集工作站与网络出口路由器或边界路由器必须处在同一网段上，即必须将路由器LAN端口与数据捕获采集工作站连接在同一个共享式集线器上。对于小型网络，如果IP地址不足，数据捕获采集工作站可以不占用IP地址，因为其数据捕获工作发生在数据链路层。

　　由于此方法（通常也称为Sniffer技术）只接收不发送， 因此不占用网络带宽，不增加路由器的工作负荷，对网络和路由器工作无任何影响。

　　采用此方法还可根据需要查看网络数据包的源/目的 MAC地址及IP地址，应用的网络协议（如：HTTP、DNS、FTP、Telnet、SMTP、 POP3、IMAP、News、NNTP、Gopher、DHCP、ICMP等）可对网络运行进行实时监视（包括IP地址盗用）等。

　　4. 基于代理服务器的数据流量统计

　　大多数代理服务器软件产品具有登记内部网用户访问外部网的日志记录，有些产品还可以直接将日志记录到数据库中。日志记录包括用户标识、客户机IP地址、建立连接的时间、传送字节数、请求连接远程站点的URL等信息。根据日志记录文件或数据库，可以统计内部网每个用户的网络流量以及上网时间，甚至可以按服务网络类型（如: HTTP、SMTP、FTP等）分别进行统计。当然，基于代理服务器 的数据流量统计方法同样也适用于局域网拨号上网的情况。

　　实现专线网络计费有多种方式，选择何种方式应该根据各单位的实际情况。总的来说，网络计费系统应该结合各单位的网络结构整体设计。

　　一般情况下，专线网络都有路由器，所以基于路由器的方式被普遍采用，其费用也较低。如果一个单位的网络解决方案中采用了防火墙，就应该选择基于防火墙的计费方式，在防火墙产品的选型时增鹎讲返难⌒褪痹鲳墙产品的选型时增加对计费功能的要求，将防火墙的网络安全功能与网络计费功能综合考虑。如果单位使用Proxy服务器建立Intranet，那么应该将网络计费功能集成到Proxy服务器中。有的情况下甚至可以根据具体的需求与可能，将上述方式结合起来，构成更加完备的网络计费系统。

（摘自《计算机世界日报》 5月 29日 限内部交流）