第5章 網(wǎng)絡(luò)安全與管理-教材課件_第1頁(yè)
第5章 網(wǎng)絡(luò)安全與管理-教材課件_第2頁(yè)
第5章 網(wǎng)絡(luò)安全與管理-教材課件_第3頁(yè)
第5章 網(wǎng)絡(luò)安全與管理-教材課件_第4頁(yè)
第5章 網(wǎng)絡(luò)安全與管理-教材課件_第5頁(yè)
已閱讀5頁(yè),還剩54頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、目錄目錄: :5.15.1網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理5.2 5.2 網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的重要性5.35.3網(wǎng)絡(luò)安全機(jī)制網(wǎng)絡(luò)安全機(jī)制5.45.4防火墻技術(shù)防火墻技術(shù)第第5 5章章 網(wǎng)絡(luò)管理與安全網(wǎng)絡(luò)管理與安全重點(diǎn)重點(diǎn): :l網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理l網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的重要性l網(wǎng)絡(luò)安全機(jī)制網(wǎng)絡(luò)安全機(jī)制l防火墻技術(shù)防火墻技術(shù)難點(diǎn)難點(diǎn): : u 網(wǎng)絡(luò)故障排除基礎(chǔ)網(wǎng)絡(luò)故障排除基礎(chǔ) u 網(wǎng)絡(luò)安全防范體系網(wǎng)絡(luò)安全防范體系 u 網(wǎng)絡(luò)安全防范技術(shù)網(wǎng)絡(luò)安全防范技術(shù)5.1 5.1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 5.1.1 5.1.1 網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理概述 局域網(wǎng)建成并投入使用后,如何管好、用好網(wǎng)絡(luò),使網(wǎng)絡(luò)保持在一個(gè)穩(wěn)定的工作狀

2、態(tài),盡量發(fā)揮其最大效益,就成為網(wǎng)絡(luò)管理員的一項(xiàng)基本工作。網(wǎng)絡(luò)系統(tǒng)的管理涉及從網(wǎng)絡(luò)軟硬件系統(tǒng)管理、輔助設(shè)施管理到用戶管理等方面的因素,工作復(fù)雜而又十分重要。 隨著網(wǎng)絡(luò)事業(yè)的蓬勃發(fā)展,網(wǎng)絡(luò)對(duì)于人們的意義越來(lái)越重要。網(wǎng)絡(luò)環(huán)境已經(jīng)成為一個(gè)現(xiàn)代化企事業(yè)單位的工作基礎(chǔ),成為維持業(yè)務(wù)正常運(yùn)轉(zhuǎn)的基本條件。人們對(duì)網(wǎng)絡(luò)的依賴程度不斷增加的同時(shí),網(wǎng)絡(luò)本身的功能及結(jié)構(gòu)也變得越來(lái)越復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)由一系列的計(jì)算機(jī)、數(shù)據(jù)通信設(shè)備等硬件系統(tǒng),以及應(yīng)用、管理軟件系統(tǒng)所構(gòu)成。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大,以及網(wǎng)絡(luò)資源的種類(lèi)和數(shù)量的增多,網(wǎng)絡(luò)管理工作也顯得尤為重要。網(wǎng)絡(luò)需要人們進(jìn)行管理和維護(hù),才能保持網(wǎng)絡(luò)的正常運(yùn)行,才能為用戶提供更好的網(wǎng)

3、絡(luò)服務(wù)。 5.1.2 5.1.2 網(wǎng)絡(luò)管理中心與網(wǎng)絡(luò)管理功能網(wǎng)絡(luò)管理中心與網(wǎng)絡(luò)管理功能 1、網(wǎng)絡(luò)管理中心 網(wǎng)絡(luò)管理中心,通常由一組功能不同的控制設(shè)備組成,它們指揮和控制網(wǎng)絡(luò)中心的其他設(shè)備一起完成網(wǎng)絡(luò)管理的任務(wù)。網(wǎng)絡(luò)管理中心向網(wǎng)絡(luò)中心的各種設(shè)備發(fā)出各種控制命令,這些設(shè)備執(zhí)行命令并返回結(jié)果。除此之外,網(wǎng)絡(luò)管理中心還可以直接收集其他設(shè)備周期或隨時(shí)發(fā)來(lái)的各種統(tǒng)計(jì)信息和報(bào)警報(bào)告,對(duì)其進(jìn)行分析,并確定進(jìn)一步的控制操作。 網(wǎng)絡(luò)管理中心的配置通常與網(wǎng)絡(luò)管理方式及網(wǎng)絡(luò)規(guī)模密切相關(guān),網(wǎng)絡(luò)管理的方式主要有集中式管理和分布式管理兩類(lèi),前者適合于網(wǎng)絡(luò)管理中心或者直接使某臺(tái)設(shè)備兼含網(wǎng)管功能時(shí)使用;當(dāng)網(wǎng)絡(luò)規(guī)模較大、網(wǎng)絡(luò)設(shè)備

4、分布較廣時(shí),由于管理信息量的增多,通常采用后者管理,并用一組網(wǎng)絡(luò)管理中心協(xié)同進(jìn)行管理。每個(gè)網(wǎng)絡(luò)管理中心負(fù)責(zé)實(shí)施一定區(qū)域和一定層次的網(wǎng)絡(luò)管理任務(wù)。 當(dāng)網(wǎng)絡(luò)中需要設(shè)置網(wǎng)絡(luò)管理中心時(shí),其核心設(shè)備是一臺(tái)或幾臺(tái)網(wǎng)管服務(wù)器,網(wǎng)管服務(wù)器配置有海量存儲(chǔ)設(shè)備,保存必要的系統(tǒng)軟件映像、數(shù)據(jù)庫(kù)信息和實(shí)用開(kāi)發(fā)軟件等。網(wǎng)管服務(wù)器通過(guò)與其他網(wǎng)絡(luò)設(shè)備進(jìn)行通信,自動(dòng)執(zhí)行網(wǎng)絡(luò)的管理和控制,同時(shí)還向操作人員顯示網(wǎng)絡(luò)運(yùn)行狀態(tài),進(jìn)行報(bào)警信息和統(tǒng)計(jì)信息的顯示和打印等。鑒于網(wǎng)絡(luò)管理中心所處的重要地位,其中的設(shè)備通常采用雙機(jī)切換工作方式,以確保網(wǎng)絡(luò)管理的高可靠性。 2.網(wǎng)絡(luò)管理功能 一個(gè)功能完善的網(wǎng)絡(luò)管理系統(tǒng),對(duì)網(wǎng)絡(luò)的使用有著極為重要的意

5、義。它通常具有以下五個(gè)方面的功能。 (1)配置管理 配置管理,是指對(duì)網(wǎng)絡(luò)中每個(gè)設(shè)備的功能、相互間的連接關(guān)系和工作參數(shù)進(jìn)行監(jiān)測(cè)、控制和配置調(diào)整,它反映了網(wǎng)絡(luò)的狀態(tài)的變化。網(wǎng)絡(luò)是經(jīng)常需要變化的,需要調(diào)整網(wǎng)絡(luò)配置的原因很多,主要有以下幾點(diǎn): 為向用戶提供滿意的服務(wù),網(wǎng)絡(luò)必須根據(jù)用戶需求的變化,增加新的資源與設(shè)備,調(diào)整網(wǎng)絡(luò)的規(guī)模,以增強(qiáng)網(wǎng)絡(luò)的服務(wù)能力。 網(wǎng)絡(luò)管理系統(tǒng)在檢測(cè)到某個(gè)設(shè)備或線路發(fā)生故障時(shí),以及在故障排除過(guò)程中都將會(huì)影響到部分網(wǎng)絡(luò)的結(jié)構(gòu)。 通信子網(wǎng)中某個(gè)節(jié)點(diǎn)的故障會(huì)造成網(wǎng)絡(luò)上節(jié)點(diǎn)的減少與路由的改變。 對(duì)網(wǎng)絡(luò)配置的改變可能是臨時(shí)性的,也可能是永久性的。網(wǎng)絡(luò)管理系統(tǒng)必須有足夠的手段來(lái)支持這些改變,

6、不論這些改變是長(zhǎng)期的還是短期的。有時(shí)甚至要求在短期內(nèi)自動(dòng)修改網(wǎng)絡(luò)配置,以適應(yīng)突發(fā)性事件的需要。 (2)故障管理 故障管理是用來(lái)維持網(wǎng)絡(luò)的正常運(yùn)行的。網(wǎng)絡(luò)故障管理包括及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的故障和找出網(wǎng)絡(luò)故障產(chǎn)生的原因,必要時(shí)啟動(dòng)控制功能來(lái)排除故障。控制功能包括診斷測(cè)試、故障修復(fù)或恢復(fù)、啟動(dòng)備用設(shè)備等。 故障管理是網(wǎng)絡(luò)功能中與檢測(cè)設(shè)備故障、差錯(cuò)設(shè)備的診斷、故障設(shè)備的恢復(fù)或故障排除有關(guān)的網(wǎng)絡(luò)管理功能,其目的是保證網(wǎng)絡(luò)能夠提供連續(xù)、可靠的服務(wù)。 常用的故障管理工具有網(wǎng)絡(luò)系統(tǒng)、協(xié)議分析器、電纜測(cè)試儀、冗余系統(tǒng)、數(shù)據(jù)檔案和備份設(shè)備等。 (3)性能管理 網(wǎng)絡(luò)性能管理活動(dòng)是持續(xù)地評(píng)測(cè)網(wǎng)絡(luò)運(yùn)行中的主要性能指標(biāo),以

7、檢驗(yàn)網(wǎng)絡(luò)服務(wù)是否達(dá)到了預(yù)定的水平,找出已經(jīng)發(fā)生或潛在的瓶頸,報(bào)告網(wǎng)絡(luò)性能的變化趨勢(shì),為網(wǎng)絡(luò)管理決策提供依據(jù)。性能管理指標(biāo)通常包括網(wǎng)絡(luò)響應(yīng)時(shí)間、吞吐量、費(fèi)用和網(wǎng)絡(luò)負(fù)載。 對(duì)于性能管理,通過(guò)使用網(wǎng)絡(luò)性能監(jiān)視器(硬件和軟件),能夠給出一定性能指示的直方圖。利用這一信息,預(yù)測(cè)將來(lái)對(duì)硬件和軟件的需求、潛在的需要改善的區(qū)域,以及潛在的網(wǎng)絡(luò)故障。 (4)記賬管理 記賬管理主要是對(duì)用戶使用網(wǎng)絡(luò)資源的情況進(jìn)行記錄并核算費(fèi)用。 在企內(nèi)部網(wǎng)中,內(nèi)部用戶使用網(wǎng)絡(luò)資源并不需要交費(fèi),但是記賬功能可以用來(lái)記錄用戶對(duì)網(wǎng)絡(luò)的使用時(shí)間、統(tǒng)計(jì)網(wǎng)絡(luò)的利用率與資源使用等內(nèi)容。 通過(guò)記賬管理,可以了解網(wǎng)絡(luò)的真實(shí)用途,定義它的能力和制定策

8、略,使網(wǎng)絡(luò)更有效。 (5)安全管理 安全管理功能是用來(lái)保護(hù)網(wǎng)絡(luò)資源安全的。安全管理活動(dòng)能夠利用各種層次的安全防衛(wèi)機(jī)制,使非法入侵事件盡可能少發(fā)生;能夠快速檢測(cè)未授權(quán)的資源使用,并查出侵入點(diǎn),對(duì)非法活動(dòng)進(jìn)行審查與追蹤;能夠使網(wǎng)絡(luò)管理人員恢復(fù)部分受破壞的文件。5.1.35.1.3簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 SNMPSNMP 1. SNMP的概念 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)的體系結(jié)構(gòu)是從早期的簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP)發(fā)展而來(lái)的,是Internet組織用來(lái)管理采用TCP/IP協(xié)議的互聯(lián)網(wǎng)和以太網(wǎng)的。SNMP的兩個(gè)最顯著的特點(diǎn)是: 雖然SNMP 是為在TCP/IP 之上使用而開(kāi)發(fā)的,但它的監(jiān)

9、測(cè)和控制活動(dòng)是獨(dú)立于TCP/IP的; SNMP 僅僅需要TCP/IP 提供無(wú)鏈接的數(shù)據(jù)報(bào)傳輸服務(wù)。所以,SNMP 很容易應(yīng)用到其他網(wǎng)絡(luò)上去。 2. SNMP 的目標(biāo) SNMP 的目標(biāo)是管理Internet中眾多廠家生產(chǎn)的軟、硬件平臺(tái),其提供了5類(lèi)管理操作。 get操作:用于提取特定的網(wǎng)絡(luò)管理信息。 get-next操作:通過(guò)遍歷活動(dòng)來(lái)提供強(qiáng)大的管理信息提取能力。 set操作:用來(lái)對(duì)管理信息進(jìn)行控制。 get response處理:用于響應(yīng)get、get-next及set操作,返回它們的操作結(jié)果。 trap(陷阱)操作:用來(lái)報(bào)告重要事件。 SNMP 的體系結(jié)構(gòu)是圍繞以下4個(gè)概念和目標(biāo)進(jìn)行設(shè)計(jì)的:

10、 保持管理代理agent的軟件成本盡可能低。 最大限度地保持遠(yuǎn)程管理的功能,以便充分利用Internet的網(wǎng)絡(luò)資源。 體系結(jié)構(gòu)必須能在將來(lái)需要時(shí)有擴(kuò)充的余地。 保持SNMP 的獨(dú)立性,不依賴于具體的計(jì)算機(jī)、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。 3. SNMP的基本組成 SNMP 管理模型中有三個(gè)基本組成部分:管理代理(Agent)、管理進(jìn)程(Manager)和管理信息庫(kù)(MIB) (1)管理代理(Agent) 管理代理是一種軟件,在被管理的網(wǎng)絡(luò)設(shè)備中運(yùn)行,負(fù)責(zé)執(zhí)行管理進(jìn)程的管理操作。管理代理直接操作本地信息庫(kù)(MIB),如果管理進(jìn)程需要,它可以根據(jù)要求改變本地信息庫(kù)或提取數(shù)據(jù)傳回到管理進(jìn)程。 每個(gè)管理代理?yè)碛?/p>

11、自己的本地MIB,一個(gè)管理代理管理的本地MIB不一定具有Internet定義的MIB的全部?jī)?nèi)容,而只需要包括與本地設(shè)備或設(shè)施有關(guān)的管理對(duì)象。管理代理具有兩個(gè)基本管理功能: 從MIB 中讀取各種變量值。 在MIB 中修改各種變量值。 這里的變量也就是管理對(duì)象。 (2)管理進(jìn)程(Manager) 管理進(jìn)程是一個(gè)或一組軟件程序,一般運(yùn)行在網(wǎng)絡(luò)管理站(或網(wǎng)絡(luò)管理中心)的主機(jī)上,它可以在SNMP 的支持下命令管理代理執(zhí)行各種管理操作。 管理進(jìn)程完成各種網(wǎng)絡(luò)管理功能,通過(guò)各設(shè)備中的管理代理對(duì)網(wǎng)絡(luò)內(nèi)的各種設(shè)備、設(shè)施和資源實(shí)施監(jiān)測(cè)和控制。另外,操作人員通過(guò)管理進(jìn)程對(duì)全網(wǎng)進(jìn)行管理。因而管理進(jìn)程也經(jīng)常配有圖形用戶

12、接口,以容易操作的方式顯示各種網(wǎng)絡(luò)信息,如給出網(wǎng)絡(luò)中各管理代理有配置圖等。有時(shí)管理進(jìn)程也會(huì)對(duì)各管理代理中的數(shù)據(jù)集中存檔,以備事后分析。 (3)管理信息庫(kù)(MIB) 管理信息庫(kù)(MIB)是一個(gè)概念上的數(shù)據(jù)庫(kù),由管理對(duì)象組成,每個(gè)管理代理管理MIB中屬于本地的管理對(duì)象,各管理代理控制的管理對(duì)象共同構(gòu)成全網(wǎng)的管理信息庫(kù)。 管理信息庫(kù)(MIB)的結(jié)構(gòu)必須符合使用TCP/IP的Internet的管理自信結(jié)構(gòu)(SMI)。這個(gè)SMI 實(shí)際上是參照OSI 的管理信息結(jié)構(gòu)制訂的。盡管兩個(gè)SMI 基本一致,但SNMP和OSI的MIB中定義的管理對(duì)象卻并不相同。Internet的SMI 和相應(yīng)的MIB 是獨(dú)立于具體

13、的管理協(xié)議(包括SNMP)的。5.1.45.1.4網(wǎng)絡(luò)故障排除基礎(chǔ)網(wǎng)絡(luò)故障排除基礎(chǔ) 1.網(wǎng)絡(luò)故障的分類(lèi) 根據(jù)網(wǎng)絡(luò)故障對(duì)網(wǎng)絡(luò)應(yīng)用的影響程度,網(wǎng)絡(luò)故障一般分為連通性故障和性能故障兩大類(lèi)。連通性故障是指網(wǎng)絡(luò)中斷,業(yè)務(wù)無(wú)法進(jìn)行,它是最嚴(yán)重的網(wǎng)絡(luò)故障;性能故障指網(wǎng)絡(luò)的性能下降,傳輸速率變慢,業(yè)務(wù)受到一定程度的影響,但并未中斷。 不同的網(wǎng)絡(luò)故障類(lèi)型具有不同的故障原因。 (1)連通性故障 連通性故障的表現(xiàn)形式主要有以下幾種。 硬件、介質(zhì)、電源故障:硬件故障是引起連通性故障的最常見(jiàn)原因。網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備是由主機(jī)設(shè)備、板卡、電源等硬件組成,并由電纜等介質(zhì)所連接起來(lái)的。如果設(shè)備遭到撞擊,安裝板卡時(shí)有靜電,電纜使用

14、錯(cuò)誤,都可能會(huì)引起硬件損壞,從而導(dǎo)致網(wǎng)絡(luò)無(wú)法連通。另外,人為性的電源中斷,如交換機(jī)的電源線連接松脫,也是引起硬件連通性故障的常見(jiàn)原因。 配置錯(cuò)誤:設(shè)備的正常運(yùn)行離不開(kāi)軟件的正確配置。如果軟件配置錯(cuò)誤,則很可能導(dǎo)致網(wǎng)絡(luò)連通性故障。目前網(wǎng)絡(luò)協(xié)議種類(lèi)眾多且配置復(fù)雜。如果某一種協(xié)議的某一個(gè)參數(shù)沒(méi)有正確配置,都很有可能導(dǎo)致網(wǎng)絡(luò)連通問(wèn)題。 設(shè)備間兼容性問(wèn)題:計(jì)算機(jī)網(wǎng)絡(luò)的構(gòu)建需要許多網(wǎng)絡(luò)設(shè)備,從終端PC到網(wǎng)絡(luò)核心的路由器、交換機(jī),同時(shí)網(wǎng)絡(luò)也很可能是由多個(gè)廠商的網(wǎng)絡(luò)設(shè)備組成的,這時(shí),網(wǎng)絡(luò)設(shè)備的互操作性顯得十分必要。如果網(wǎng)絡(luò)設(shè)備不能很好兼容,設(shè)備間的協(xié)議報(bào)文交互有問(wèn)題,也會(huì)導(dǎo)致網(wǎng)絡(luò)連通性故障。 (2)性能故障

15、也許網(wǎng)絡(luò)連通性沒(méi)有問(wèn)題,但是可能某一天網(wǎng)絡(luò)維護(hù)人員突然發(fā)現(xiàn),網(wǎng)絡(luò)訪問(wèn)速度慢了下來(lái),或者某些業(yè)務(wù)的流量阻塞,而其他業(yè)務(wù)流量正常。這時(shí),則意味著網(wǎng)絡(luò)就出現(xiàn)了性能故障。一般來(lái)說(shuō),計(jì)算機(jī)網(wǎng)絡(luò)性能故障主要原因如下: 網(wǎng)絡(luò)擁塞:如果網(wǎng)絡(luò)中某一節(jié)點(diǎn)的性能出現(xiàn)問(wèn)題,都會(huì)導(dǎo)致網(wǎng)絡(luò)擁塞。這時(shí)需要查找到網(wǎng)絡(luò)的瓶頸節(jié)點(diǎn),并進(jìn)行優(yōu)化,解決問(wèn)題。 到目的地不是最佳路由:如果在網(wǎng)絡(luò)中使用了某種路由協(xié)議,但在部署協(xié)議時(shí)并沒(méi)有仔細(xì)規(guī)劃,則可能會(huì)導(dǎo)致數(shù)據(jù)經(jīng)次優(yōu)路線到達(dá)目的網(wǎng)絡(luò)。 供電不足:確保網(wǎng)絡(luò)設(shè)備電源達(dá)到規(guī)定的電壓水平,否則會(huì)導(dǎo)致設(shè)備處理性能問(wèn)題,從而影響整個(gè)網(wǎng)絡(luò)。 網(wǎng)絡(luò)環(huán)路:交換網(wǎng)絡(luò)中如果有物理環(huán)路存在,則可能引發(fā)廣播風(fēng)暴

16、,降低網(wǎng)絡(luò)性能。而距離矢量路由協(xié)議也可能會(huì)產(chǎn)生路由環(huán)路。因此要交換網(wǎng)絡(luò)中,一定要避免環(huán)路的產(chǎn)生,而在網(wǎng)絡(luò)中應(yīng)用路由協(xié)議時(shí),也要選擇沒(méi)有路由環(huán)路的協(xié)議或采取措施來(lái)避免路由環(huán)路發(fā)生。 網(wǎng)絡(luò)故障的發(fā)生時(shí),維護(hù)人員首先要判斷是通連性故障還是性能故障,然后根據(jù)故障類(lèi)型進(jìn)行相應(yīng)的檢查。連通性故障首先檢查網(wǎng)絡(luò)設(shè)備的硬件,看電源是否正常,電纜是否正確等。如果是性能問(wèn)題,則重點(diǎn)從以上幾個(gè)方面來(lái)考慮,查找具體的故障原因。 2.網(wǎng)絡(luò)故障的一般解決步驟 (1)故障現(xiàn)象觀察。要想對(duì)網(wǎng)絡(luò)故障做出準(zhǔn)確的分析,首先應(yīng)該能夠完清晰地描述網(wǎng)絡(luò)故障現(xiàn)象,標(biāo)示故障發(fā)生時(shí)間地點(diǎn),故障所導(dǎo)致的后果,然后才能確定可能產(chǎn)生這些現(xiàn)象的故障根源

17、或癥結(jié)。因此,準(zhǔn)確觀察故障現(xiàn)象,對(duì)網(wǎng)絡(luò)故障做出完整、清晰的的描述是重要的一步。 (2)故障相關(guān)信息收集。本步驟是搜集有助于查找故障原因的更詳細(xì)的信息,主要有以下3種途徑。 向受影響的用戶、網(wǎng)絡(luò)人員或其他關(guān)鍵人員提出問(wèn)題。 根據(jù)故障描述性質(zhì),使用各種工具搜集情況,如網(wǎng)絡(luò)管理系統(tǒng)、協(xié)議分析儀、相關(guān)display和debugging命令等。 測(cè)試目前網(wǎng)絡(luò)性能,將測(cè)試結(jié)果與網(wǎng)絡(luò)基線進(jìn)行比較。 (3)經(jīng)驗(yàn)判斷和理論分析。利用前兩個(gè)步驟收集到的數(shù)據(jù),并根據(jù)自己以往的故障排除經(jīng)驗(yàn)和所掌握的網(wǎng)絡(luò)設(shè)備與協(xié)議的知識(shí),來(lái)確定一個(gè)排錯(cuò)范圍。通過(guò)范圍的劃分,就只需注意某一故障或與故障情況相關(guān)的那一部分產(chǎn)品、介質(zhì)和主機(jī)。

18、 (4)各種可能原因列表。根據(jù)潛在癥結(jié)制訂故障的排除計(jì)劃,依據(jù)故障可能性高低的順序,列出每一種認(rèn)為可能的故障原因。從最有可能的癥結(jié)入手,每次只做一次改動(dòng),然后觀察改動(dòng)的效果。之所以每次只做一次改動(dòng),是因?yàn)檫@樣有助于確定針對(duì)特定故障的解決方法。如果同時(shí)做了兩處或更多處改動(dòng),也許能夠解決故障,但是難以確定最終是哪些改動(dòng)消除了故障的癥狀,而且對(duì)日后解決同樣的故障也沒(méi)有太大的幫助。 (5)對(duì)每一原因?qū)嵤┡佩e(cuò)方案。根據(jù)制訂的故障排除計(jì)劃,對(duì)每一個(gè)可能故障原因,逐步實(shí)施排除方案。在故障排除過(guò)程中,如果某一可能原因經(jīng)驗(yàn)證無(wú)效,務(wù)必恢復(fù)到故障排除前的狀態(tài),然后再驗(yàn)證下一個(gè)可能原因。如果列出的所有可能原因都驗(yàn)證

19、無(wú)效,那么就說(shuō)明沒(méi)有收集到足夠的故障信息,沒(méi)有找到故障發(fā)生點(diǎn),則返回到第(2)步,繼續(xù)收集故障相關(guān)信息,分析故障原因,再重復(fù)此過(guò)程,直到找出故障原因并且排除網(wǎng)絡(luò)故障。 (6)觀察故障排除結(jié)果。當(dāng)對(duì)某一原因執(zhí)行了排錯(cuò)方案后,需要對(duì)結(jié)果進(jìn)行分析,判斷問(wèn)題是否解決,是否引入了新的問(wèn)題。如果問(wèn)題解決,那么就可以直接進(jìn)入文化過(guò)程;如果沒(méi)有解決問(wèn)題,那么就需要再次循環(huán)進(jìn)行故障排除過(guò)程。 (7)循環(huán)進(jìn)行故障排除過(guò)程。當(dāng)一個(gè)方案的實(shí)施沒(méi)有達(dá)到預(yù)期的排錯(cuò)目的時(shí),便進(jìn)入該步驟。這是一個(gè)努力縮小可能原因的故障排除過(guò)程。 在進(jìn)行下一循環(huán)之前必須做的事情就是將網(wǎng)絡(luò)恢復(fù)到實(shí)施上一方案前的狀態(tài)。如果保留上一方案對(duì)網(wǎng)絡(luò)的改動(dòng)

20、,很可能導(dǎo)致新的問(wèn)題。例如,假設(shè)修改了訪問(wèn)列表但沒(méi)有產(chǎn)生預(yù)期的結(jié)果,此時(shí)如果不將訪問(wèn)列表恢復(fù)到原始狀態(tài),就會(huì)導(dǎo)致出現(xiàn)不可預(yù)期的結(jié)果。 循環(huán)排錯(cuò)可以有兩個(gè)切入點(diǎn)。 當(dāng)針對(duì)某一可能原因的排錯(cuò)方案沒(méi)有達(dá)到預(yù)期目的,循環(huán)進(jìn)入下一可能原因制訂排錯(cuò)方案并實(shí)施。 當(dāng)所有可能原因列表的排錯(cuò)方案均沒(méi)有達(dá)到排錯(cuò)目的,重新進(jìn)行故障相關(guān)信息收集以分析新的可能故障原因。 (8)故障排除過(guò)程文檔化。當(dāng)最終排除了網(wǎng)絡(luò)故障后,那么排除流程的最后一步就是對(duì)所做的工作進(jìn)行文字記錄。文檔化過(guò)程絕不是一個(gè)可有可無(wú)的工作,原因如下: 文檔是排錯(cuò)寶貴經(jīng)驗(yàn)的總結(jié),是“經(jīng)驗(yàn)判斷和理論分析”這一過(guò)程中最重要的參考資料。 文檔記錄了這次排錯(cuò)中網(wǎng)

21、絡(luò)參數(shù)所做的修改,這也是下一次網(wǎng)絡(luò)故障應(yīng)收集的相關(guān)信息。 文檔記錄主要包括以下幾個(gè)方面。 故障現(xiàn)象描述及收集的相關(guān)信息。 網(wǎng)絡(luò)拓?fù)鋱D繪制。 網(wǎng)絡(luò)中使用的設(shè)備清單和介質(zhì)清單。 網(wǎng)絡(luò)中使用的協(xié)議清單和應(yīng)用清單。 故障發(fā)生的可能原因。 對(duì)每一可能原因制訂的方案和實(shí)施結(jié)果。 本次排錯(cuò)的心得體會(huì)。 其他。如排錯(cuò)中使用的參考資料列表等。5.1.5 5.1.5 故障排除常用方法故障排除常用方法 1.分層故障排除法 基本所有的網(wǎng)絡(luò)技術(shù)模型是分層的。當(dāng)模型的所有低層結(jié)構(gòu)工作正常時(shí),它的高層結(jié)構(gòu)才能正常工作。層次化的網(wǎng)絡(luò)故障分析方法有利于快速及準(zhǔn)確進(jìn)行故障定位。 在使用分層故障排除法進(jìn)行故障排除時(shí),具體每一層次的

22、關(guān)注點(diǎn)有所不同。 (1)物理層:物理層負(fù)責(zé)通過(guò)某種介質(zhì)提供到另一設(shè)備的物理連接,包括端點(diǎn)間的二進(jìn)制流的發(fā)送與接收,完成與數(shù)據(jù)鏈路層的交互操作等功能。 物理層需要關(guān)注電纜、連接頭、信號(hào)電平、編碼、時(shí)鐘和組幀,這些都是導(dǎo)致端口處于DOWN狀態(tài)的因素。 (2)數(shù)據(jù)鏈路層:數(shù)據(jù)鏈路層負(fù)責(zé)在網(wǎng)絡(luò)層與物理層之間進(jìn)行信息傳輸;規(guī)定了介質(zhì)如何接入和共享;站點(diǎn)如何進(jìn)行標(biāo)識(shí);如果根據(jù)物理層接收的二進(jìn)制數(shù)據(jù)建立幀。 (3)網(wǎng)絡(luò)層:網(wǎng)絡(luò)層負(fù)責(zé)實(shí)現(xiàn)數(shù)據(jù)的分段封裝與重組以及差錯(cuò)報(bào)告,更重要的是它負(fù)責(zé)信息通過(guò)網(wǎng)絡(luò)的最佳路徑的選擇。 地址錯(cuò)誤和子網(wǎng)掩碼錯(cuò)誤是引起網(wǎng)絡(luò)層故障最常見(jiàn)的原因;網(wǎng)絡(luò)地址重復(fù)是網(wǎng)絡(luò)故障的另一個(gè)可能原因;

23、另外,路由協(xié)議是網(wǎng)絡(luò)層的一部分,也是排錯(cuò)重點(diǎn)關(guān)注的內(nèi)容。 排除網(wǎng)絡(luò)層故障的基本方法是:沿著從源到目的地的路徑查看路由器上的路由表,同時(shí)檢查那些路由器接口的IP地址是否正確。如果所需路由沒(méi)有在路由表中出現(xiàn),就應(yīng)該檢查路由器上相關(guān)配置,然后手動(dòng)添加靜態(tài)路由或排除動(dòng)態(tài)路由協(xié)議的故障以使路由表更新。 (4)傳輸層、應(yīng)用層:傳輸層負(fù)責(zé)端到端的數(shù)據(jù)傳輸;應(yīng)用層是各種網(wǎng)絡(luò)應(yīng)用軟件工作的地方。如果確保網(wǎng)絡(luò)層以下沒(méi)有出現(xiàn)問(wèn)題,而傳輸層或應(yīng)用層出現(xiàn)問(wèn)題,那么很可能就是網(wǎng)絡(luò)終端軟件出現(xiàn)故障,這時(shí)應(yīng)該檢查網(wǎng)絡(luò)中的計(jì)算機(jī)、服務(wù)器等網(wǎng)絡(luò)終端,確保應(yīng)用程序正常工作,終端設(shè)備軟硬件運(yùn)行良好。 2.分塊故障排除法 各系列路由器

24、和交換機(jī)等網(wǎng)絡(luò)設(shè)備的配置文件中包括如下部分。(1)管理部分(路由器名稱、口令、服務(wù)、日志等)(2)端口部分(地址、封裝、cost、認(rèn)證等)(3)路由協(xié)議部分(靜態(tài)路由、RIP、OSPF、BGP、路由引入等)(4)策略部分(路由策略、策略路由、安全配置)(5)接入部分(主控制臺(tái)、Telnet登錄或啞終端、撥號(hào)等)(6)其他應(yīng)用部分(語(yǔ)言配置、VPN配置、QOS配置等)。 3.分段故障排除法 當(dāng)一個(gè)故障涉及的范圍較大,可以通過(guò)分段故障排除法來(lái)將故障范圍縮小。例如,如果兩臺(tái)路由器跨越電信部門(mén)提供的線路而不能相互通信時(shí),可以按照如下分段,依次進(jìn)行故障排除。 (1)主機(jī)到路由器LAN接口的一段。 (2)

25、路由器到CSU/DSU接口的一段。 (3)CSU/DSU到電信部門(mén)接口的一段。 (4)WAN電路 (5)CSU/DSU本身問(wèn)題。 (6)路由器本身問(wèn)題。 在實(shí)際網(wǎng)絡(luò)故障排錯(cuò)時(shí),可以先采用分段法確定故障點(diǎn),再通過(guò)分層或其他方法排除故障。 4.替換法 這是檢查硬件是否存在問(wèn)題最常用的方法。例如,當(dāng)懷疑是網(wǎng)線問(wèn)題時(shí),更換一根確定是好的網(wǎng)線試一試;當(dāng)懷疑是接口模塊有問(wèn)題時(shí),更換一個(gè)其他接口模塊試一試。5.2 5.2 網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的重要性 5.2.1 5.2.1 網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全,是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因

26、而遭到破壞、更改、泄露,系統(tǒng)連續(xù)、可靠、正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。 從廣義來(lái)說(shuō),凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。 國(guó)際標(biāo)準(zhǔn)化組織(ISO)引用ISO 74982文獻(xiàn)中對(duì)安全的定義是:“安全就是最大程度地減少數(shù)據(jù)和資源被攻擊的可能性”。Internet的最大特點(diǎn)就是開(kāi)放性,對(duì)于安全來(lái)說(shuō),這又是它致命的弱點(diǎn)。5.2.2 5.2.2 網(wǎng)絡(luò)安全關(guān)注的范圍網(wǎng)絡(luò)安全關(guān)注的范圍 網(wǎng)絡(luò)安全是網(wǎng)絡(luò)必須面對(duì)的一個(gè)實(shí)際問(wèn)題,同時(shí)網(wǎng)

27、絡(luò)安全又是一個(gè)綜合性的技術(shù)。網(wǎng)絡(luò)安全關(guān)注的范圍如下: (1)保護(hù)網(wǎng)絡(luò)物理線路不會(huì)輕易遭受攻擊。物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和鏈路免受自然災(zāi)害、人為破壞和搭線攻擊,確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷窺、破壞活動(dòng)的發(fā)生。 (2)有效識(shí)別合法的和非法的用戶。驗(yàn)證用戶的身份和使用權(quán)限,防止用戶越權(quán)操作。 (3)實(shí)現(xiàn)有效的訪問(wèn)控制。訪問(wèn)控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,其目的是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。訪問(wèn)控制策略包括入網(wǎng)訪問(wèn)控制、操作權(quán)限控制策略和防火墻控制策略等方面的內(nèi)容。 (4)保

28、證內(nèi)部的隱蔽性。通過(guò)NAT或ASPF技術(shù)保護(hù)網(wǎng)絡(luò)的隱蔽性。 (5)有效的防偽手段,重要的數(shù)據(jù)重點(diǎn)保護(hù)。采用IPSec技術(shù)對(duì)傳輸數(shù)據(jù)加密。 (6)對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾?。部署網(wǎng)管軟件對(duì)全網(wǎng)設(shè)備進(jìn)行監(jiān)控。 (7)病毒防范。加強(qiáng)對(duì)網(wǎng)絡(luò)中病毒的實(shí)時(shí)防御。 (8)提高安全防范意識(shí)。制定信息安全管理制度,賞罰分明,提高全員安全防范意識(shí)。5.2.3 5.2.3 網(wǎng)絡(luò)安全的目標(biāo)網(wǎng)絡(luò)安全的目標(biāo) 網(wǎng)絡(luò)安全的目標(biāo)應(yīng)當(dāng)滿足:n身份真實(shí)性:能對(duì)通信實(shí)體身份的真實(shí)性進(jìn)行鑒別。n信息機(jī)密性:保證機(jī)密信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。n信息完整性:保證數(shù)據(jù)的一致性,能夠防止數(shù)據(jù)被非受權(quán)用戶或?qū)嶓w建立、修改和破壞。n服務(wù)

29、可用性:保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^。n不可否認(rèn)性:建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為。n系統(tǒng)可控性:能夠控制使用資源的人或?qū)嶓w的使用方式。n系統(tǒng)易用性:在滿足安全要求的條件下,系統(tǒng)應(yīng)當(dāng)操作簡(jiǎn)單,維護(hù)方便。n可審查性:對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。 網(wǎng)絡(luò)安全的惟一真正目標(biāo)是通過(guò)技術(shù)手段保證信息的安全。5.2.4 5.2.4 網(wǎng)絡(luò)安全防范體系網(wǎng)絡(luò)安全防范體系 全方位的、整體的網(wǎng)絡(luò)安全防范體系是分層次的,不同層次反映了不同的安全問(wèn)題,根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu),可將安全防范體系分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和管理層安全5個(gè)層次。 1.

30、 物理層安全 物理層次的安全包括通信線路的安全、物理設(shè)備的安全和機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性、軟/硬件設(shè)備的安全性、設(shè)備的備份、防災(zāi)害能力、防干擾能力、設(shè)備的運(yùn)行環(huán)境和不間斷電源的保障等。 2. 系統(tǒng)層安全 系統(tǒng)層次的安全問(wèn)題來(lái)自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全,主要表現(xiàn)在3個(gè)方面:一是操作系統(tǒng)本身的缺陷所帶來(lái)的不安全因素,主要包括身份認(rèn)證、訪問(wèn)控制和系統(tǒng)漏洞等;二是對(duì)操作系統(tǒng)的安全配置問(wèn)題;三是病毒對(duì)操作系統(tǒng)的威脅。 3. 網(wǎng)絡(luò)層安全 網(wǎng)絡(luò)層次的安全問(wèn)題包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問(wèn)控制、數(shù)據(jù)傳輸?shù)谋C芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測(cè)的

31、手段和網(wǎng)絡(luò)設(shè)施防毒等。 4. 應(yīng)用層安全 應(yīng)用層次的安全問(wèn)題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生,主要包括Web服務(wù)、電子郵件系統(tǒng)和DNS等,此外,還包括病毒對(duì)系統(tǒng)的威脅。 5. 管理層安全 管理層次的安全包括安全技術(shù)和設(shè)備管理、安全管理制度、部門(mén)與人員的組織規(guī)則等。管理的制度化極大程度上影響著整個(gè)網(wǎng)絡(luò)的安全,嚴(yán)格的安全管理制度、明確的部門(mén)安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低其他層次的安全漏洞。5.2.5 5.2.5 網(wǎng)絡(luò)中存在的威脅網(wǎng)絡(luò)中存在的威脅 1. 黑客攻擊 談到網(wǎng)絡(luò)安全,很容易聯(lián)想到網(wǎng)絡(luò)中的黑客。黑客的名詞來(lái)自于英文hacker的發(fā)音,也被翻譯不駭客?,F(xiàn)

32、在對(duì)黑客這個(gè)名詞的普遍解釋是:具有一定計(jì)算機(jī)和硬件方面的知識(shí),通過(guò)各種技術(shù)手段,對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全構(gòu)成威脅的人或組織。 常見(jiàn)的黑客攻擊行為有:入侵系統(tǒng)、篡改網(wǎng)站、設(shè)置后門(mén)以便以后隨時(shí)侵入、設(shè)置邏輯炸彈和木馬、竊取和破壞資料、竊取賬號(hào)、進(jìn)行網(wǎng)絡(luò)竊聽(tīng)、進(jìn)行地址欺騙、進(jìn)行拒絕服務(wù)攻擊造成服務(wù)器癱瘓等。 2. 病毒 計(jì)算機(jī)病毒是指那些具有自我復(fù)制能力的特殊計(jì)算機(jī)程序,它能影響計(jì)算機(jī)軟、硬件的正常運(yùn)行,破壞數(shù)據(jù)的正確與完整,影響網(wǎng)絡(luò)的正常運(yùn)行。病毒常常是附著于正常程序或文件中的一小段代碼,隨著宿主程序在計(jì)算機(jī)之間的復(fù)制不斷傳播,并在傳播途中感染計(jì)算機(jī)上所有符合條件的文件。 計(jì)算機(jī)病毒也是程序,程序

33、要發(fā)揮作用必須要運(yùn)行,病毒要獲得復(fù)制自身、感染其他文件并最后發(fā)作的能力,首先要將自身激活,并駐留內(nèi)存,這個(gè)過(guò)程稱為病毒的引導(dǎo)。 3.蠕蟲(chóng) 蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性、隱蔽性、破壞性等,同時(shí)具有自己的一些特證,如不利用文件寄生(有的只存在于內(nèi)存中),以及與部分黑客技術(shù)相結(jié)合等。 蠕蟲(chóng)可以通過(guò)已知的操作系統(tǒng)后門(mén)主動(dòng)攻擊一臺(tái)主機(jī),然后設(shè)法感染這臺(tái)主機(jī)并使其成為一個(gè)新的攻擊源,去攻擊其他主機(jī)。通過(guò)這種模式,網(wǎng)絡(luò)上所有未設(shè)防的主機(jī)都將很快感染蠕蟲(chóng),薩滿教清除它們卻很麻煩,只要網(wǎng)絡(luò)中仍存在一臺(tái)主機(jī)被感染,病毒就很可能會(huì)卷土重來(lái)。 蠕蟲(chóng)已經(jīng)成為網(wǎng)絡(luò)中最大的威脅之一,是網(wǎng)

34、絡(luò)安全防護(hù)工作的重點(diǎn)。 4木馬 完整的木馬程序一般由兩個(gè)部分組成:一個(gè)是被控制端(服務(wù)器)程序,另一個(gè)是控制端(客戶端)程序。 木馬的通常目的是竊取信息(如網(wǎng)絡(luò)帳號(hào)、信用卡密碼、重要文檔等)、監(jiān)視和控制被感染主機(jī)。 木馬相比病毒更隱蔽,更難以排查和清除,如不加以重視會(huì)給企業(yè)和個(gè)人造成不可估量的損失。 .流氓軟件 流氓軟件是對(duì)利用網(wǎng)絡(luò)進(jìn)行散播的一類(lèi)惡意軟件的統(tǒng)稱,這些軟件或在不知不覺(jué)中偷偷安裝在用戶的系統(tǒng)中,或采用某種手段強(qiáng)行進(jìn)行安裝,也有隨某種軟件一起安裝到用戶的系統(tǒng)中。 流氓軟件一般以牟利為目的,強(qiáng)行更改用戶計(jì)算機(jī)軟件設(shè)置,如瀏覽器選項(xiàng),軟件自動(dòng)啟動(dòng)選項(xiàng),安全選項(xiàng)等。流氓軟件常常在用戶瀏覽網(wǎng)

35、頁(yè)過(guò)程中不斷彈出廣告頁(yè)面,影響用戶正常上網(wǎng)。流氓軟件常常未經(jīng)用戶許可,秘密收集用戶個(gè)人信息和隱私,有侵害用戶信息和財(cái)產(chǎn)安全的潛在因素或者隱患。 流氓軟件常抵制卸載,即使當(dāng)時(shí)卸載成功,過(guò)一段時(shí)間系統(tǒng)中殘留的程序又會(huì)偷偷地自動(dòng)安裝,使得用戶不勝其煩。5.2.6 5.2.6 網(wǎng)絡(luò)安全防范技術(shù)網(wǎng)絡(luò)安全防范技術(shù) 1 1、網(wǎng)絡(luò)連接故障診斷命令、網(wǎng)絡(luò)連接故障診斷命令-PING-PING 使用使用PINGPING可以測(cè)試計(jì)算機(jī)名和計(jì)算機(jī)的可以測(cè)試計(jì)算機(jī)名和計(jì)算機(jī)的IPIP地址,驗(yàn)證與遠(yuǎn)程計(jì)算機(jī)的連接,通地址,驗(yàn)證與遠(yuǎn)程計(jì)算機(jī)的連接,通過(guò)將過(guò)將ICMPICMP回顯數(shù)據(jù)包發(fā)送到計(jì)算機(jī)并偵聽(tīng)回顯回復(fù)數(shù)據(jù)包來(lái)驗(yàn)證與一

36、臺(tái)或多臺(tái)遠(yuǎn)程回顯數(shù)據(jù)包發(fā)送到計(jì)算機(jī)并偵聽(tīng)回顯回復(fù)數(shù)據(jù)包來(lái)驗(yàn)證與一臺(tái)或多臺(tái)遠(yuǎn)程計(jì)算機(jī)的連接,該命令只有在安裝了計(jì)算機(jī)的連接,該命令只有在安裝了TCP/IPTCP/IP協(xié)議后才可以使用。協(xié)議后才可以使用。 現(xiàn)在在現(xiàn)在在WINDOWSWINDOWS系統(tǒng)下選擇系統(tǒng)下選擇“開(kāi)始開(kāi)始”“”“運(yùn)行運(yùn)行”命令命令輸入輸入cmd.execmd.exe命令回車(chē),命令回車(chē),下面我們來(lái)看看該命令:下面我們來(lái)看看該命令:Ping -t-a -n count -r count -f-i ttl-v tos-r count-j Ping -t-a -n count -r count -f-i ttl-v tos-r cou

37、nt-j computer-list|-k computer-list-w timeoutdestination-listcomputer-list|-k computer-list-w timeoutdestination-list 參數(shù): -t Ping指定的計(jì)算機(jī)直到中斷?!癈trl+C”停止 -a 將地址解析為計(jì)算機(jī)NetBIOS名。例:c:ping a 127.0.0.1 如圖5-2所示:pinging localhost 127.0.0.1 with 32 bytes of data:(china-hacker就是他的計(jì)算機(jī)名) -n count 發(fā)送count指定的echo數(shù)據(jù)包

38、數(shù)。默認(rèn)值為4 -r count 在“記錄路由” 字段中記錄傳出和返回?cái)?shù)據(jù)包的路由。通常情況下,發(fā)送的數(shù)據(jù)包是通過(guò)一系列路由才到達(dá)的目標(biāo)地址的,通過(guò)此參數(shù)可以設(shè)定探測(cè)經(jīng)過(guò)路由的個(gè)數(shù),限定能夠跟蹤9個(gè)路由。如圖53所示 -f 在數(shù)據(jù)包中發(fā)送“不要分段”標(biāo)志。數(shù)據(jù)包就不會(huì)被路由上的網(wǎng)關(guān)分段。 -i ttl 將“生存時(shí)間”字段設(shè)置為ttl指定的值 -v tos 將“服務(wù)類(lèi)型”字段設(shè)置為tos指定的值 -r count 在“記錄路由”字段中記錄傳出和返回?cái)?shù)據(jù)包的路由。Count可以指定最少一臺(tái),最多9臺(tái)計(jì)算機(jī)。 -j computer-list 利用computer-list指定的計(jì)算機(jī)列表路由數(shù)據(jù)包

39、。連續(xù)計(jì)算機(jī)可以被中間網(wǎng)關(guān)分隔(路由稀疏源)IP允許的最大數(shù)量為9. -k computer-list 利用computer-list指定的計(jì)算機(jī)列表路由數(shù)據(jù)包。連續(xù)計(jì)算機(jī)不能被中間網(wǎng)關(guān)分隔(路由嚴(yán)格源)IP允許的最大量為9. -w timeout 指定超時(shí)間隔,單位為毫秒(ms)。 destination-list 指定要ping的遠(yuǎn)程計(jì)算機(jī)。 2、網(wǎng)絡(luò)狀態(tài)查看-Netstat Netstat是Windows操作系統(tǒng)提供用于查看與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計(jì)數(shù)據(jù)的網(wǎng)絡(luò)工具,能檢驗(yàn)本機(jī)各端口的網(wǎng)絡(luò)連接情況。一般通過(guò)Netstat來(lái)檢查各類(lèi)協(xié)議統(tǒng)計(jì)數(shù)據(jù)及當(dāng)前端口使用情況,這些情況

40、對(duì)我們檢查和處理計(jì)算機(jī)是否在網(wǎng)絡(luò)安全隱患有很大的幫助。 Netstat命令支持參數(shù)很多,比較常用的有以下幾個(gè)參數(shù)?!?s”參數(shù)用來(lái)顯示IP、TCP、UDP和ICMP的協(xié)議統(tǒng)計(jì)數(shù)據(jù),經(jīng)常與“-p”命令組合來(lái)查看指定協(xié)議的統(tǒng)計(jì)數(shù)據(jù),當(dāng)我們發(fā)現(xiàn)瀏覽器打開(kāi)頁(yè)面速度很慢,甚至根本無(wú)法打開(kāi)頁(yè)面,或是電子郵件軟件無(wú)法收發(fā)郵件時(shí),很可能是TCP連接的問(wèn)題,通過(guò)命令“Netstat s p tcp”可以查看TCP協(xié)議統(tǒng)計(jì)數(shù)據(jù),判斷問(wèn)題所在(見(jiàn)圖 5-4)?!?e”參數(shù)用來(lái)看關(guān)于以太網(wǎng)的統(tǒng)計(jì)數(shù)據(jù)(如圖5-5所示)。它列出的項(xiàng)目包括傳送的數(shù)據(jù)包的總字節(jié)數(shù)、錯(cuò)誤數(shù)、數(shù)據(jù)報(bào)的數(shù)量和廣播的數(shù)量。如果使用“netstat

41、e”命令發(fā)現(xiàn)大量接收錯(cuò)誤,則可能是網(wǎng)絡(luò)整體擁塞、主機(jī)過(guò)載或是本地物理連接故障;如果發(fā)現(xiàn)大量發(fā)送錯(cuò)誤,則可能是本地網(wǎng)絡(luò)擁塞或是本地物理連接故障;如果發(fā)現(xiàn)廣播和多數(shù)量過(guò)大,那么很可能網(wǎng)絡(luò)正遭受廣播風(fēng)暴的侵襲。 3.本地路由 管理在計(jì)算機(jī)內(nèi)存中,也存在著路由表,而且從條目格式、工作原理到所發(fā)揮的作用都與路由器上的路由表很相似,區(qū)別主要在于路由器的路由表管理不同子網(wǎng)之間的轉(zhuǎn)發(fā),而主機(jī)上的路由表主要用來(lái)指示主機(jī)向外發(fā)送數(shù)據(jù)包時(shí),不同目的地通過(guò)哪些指定接口發(fā)送。當(dāng)然,如果一臺(tái)主機(jī)擁有多個(gè)網(wǎng)絡(luò)接口,且連接著不同的子網(wǎng),主機(jī)上同時(shí)啟動(dòng)著IP路由轉(zhuǎn)發(fā),它就成為一臺(tái)真正的路由器。 對(duì)于本地計(jì)算機(jī)進(jìn)行路由管理,首先

42、要了解本地計(jì)算機(jī)是否開(kāi)啟了IP路由轉(zhuǎn)發(fā)功能。所謂IP路由轉(zhuǎn)發(fā),是指主機(jī)是否能充當(dāng)路由器的身份在不同子網(wǎng)間轉(zhuǎn)發(fā)數(shù)據(jù)包。除了用于擔(dān)當(dāng)路由器身份的主機(jī)、遠(yuǎn)程接入服務(wù)器、VPN服務(wù)器、NAT服務(wù)器等專門(mén)配置的服務(wù)器主機(jī)外,一般的計(jì)算機(jī)不應(yīng)開(kāi)啟IP路由轉(zhuǎn)發(fā)服務(wù),否則很可能是感染了木馬,結(jié)合著ARP欺騙和IP數(shù)據(jù)包轉(zhuǎn)發(fā)進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)操作。 檢查計(jì)算機(jī)是否開(kāi)啟IP路由轉(zhuǎn)發(fā)最簡(jiǎn)單的方法是使用“ipconfig/all”命令,查看命令顯示結(jié)果中的“IP Routing Enabled”參考取值,如果為“No”表示路由轉(zhuǎn)發(fā)沒(méi)有開(kāi)啟,如果為“Yes”表示已經(jīng)開(kāi)啟IP路由轉(zhuǎn)發(fā),需要檢查是否有問(wèn)題(見(jiàn)圖5-7) 如果要查

43、看完整本地路由表,使用“route print”命令,也可以使用“netstat -r”命令,顯示的結(jié)果完全一樣,顯示信息如圖5-8所示,分為三個(gè)部分,第一部分是本地網(wǎng)絡(luò)接口信息,即網(wǎng)卡基本信息,其中包括網(wǎng)卡的MAC地址和名稱;第二部分是處于激活(工作)狀態(tài)的路由表,分為5列,分別是Network Destination(目標(biāo)網(wǎng)絡(luò))、Netmask( 子網(wǎng)掩碼)、Gateway Address(網(wǎng)關(guān)地址)和Metric(度量)。目標(biāo)網(wǎng)絡(luò)與子網(wǎng)掩碼共同描述了目標(biāo)的網(wǎng)絡(luò)地址信息,即目的地;網(wǎng)關(guān)表示到達(dá)目的地的下一站或本地出口地址;接口說(shuō)明發(fā)送到這個(gè)目標(biāo)網(wǎng)絡(luò)需要使用哪個(gè)網(wǎng)絡(luò)接口(網(wǎng)卡);度量描述了到

44、達(dá)目的地開(kāi)銷(xiāo),當(dāng)?shù)竭_(dá)目的地存在多條路由時(shí),根據(jù)它來(lái)判斷優(yōu)選哪條路由。 4.本地ARP緩存管理 在TCP/IP局域網(wǎng)通信過(guò)程中,廣泛使用的是能體現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)、便于管理和理解的網(wǎng)絡(luò)層地址-IP地址,但我們已經(jīng)了解,在網(wǎng)卡上固化的地址是物理地址-MAC地址,網(wǎng)卡只能通過(guò)MAC地址來(lái)判斷是否接收并處理網(wǎng)絡(luò)上的數(shù)據(jù)幀,因此,在進(jìn)行通信時(shí),必須通過(guò)先ARP協(xié)議將IP地址轉(zhuǎn)換MAC地址。 ARP是一個(gè)在局域網(wǎng)通信中廣泛使用的協(xié)議,使用廣播包發(fā)送,網(wǎng)絡(luò)中的每臺(tái)主機(jī)都是ARP協(xié)議數(shù)據(jù)包的接收者和發(fā)送者。 由于計(jì)算機(jī)之間的通信頻繁,如果每次通信都通過(guò)ARP協(xié)議來(lái)獲取MAC地址信息會(huì)造成網(wǎng)絡(luò)和主機(jī)資源的浪費(fèi),操作系統(tǒng)

45、會(huì)在主機(jī)上建立一個(gè)本地ARP緩沖區(qū)(ARP Cache),在緩沖區(qū)中保存近期使用的IP地址與MAC地址映射記錄。 使用“arp -a”命令可以查看整個(gè)ARP緩存表,如圖5-9所示。命令顯示結(jié)果分為三列,分別是Internet地址(Internet Address,IP地址)、物理地址(Physial Address,MAC地址)及記錄類(lèi)型(Type)。記錄類(lèi)型分為動(dòng)態(tài)記錄(dynami)和靜態(tài)記錄(stati)兩種,動(dòng)態(tài)記錄擇指通過(guò)ARP協(xié)議了解到的記錄(如果一段時(shí)間不被刷新會(huì)自動(dòng)刪除),而靜態(tài)記錄指通過(guò)的記錄(只要系統(tǒng)不重新啟動(dòng)就不會(huì)被清除)。 如果發(fā)現(xiàn)確有ARP欺騙,可以利用arp工具定義

46、靜態(tài)ARP緩存記錄,使本地主機(jī)暫時(shí)不受ARP欺騙的影響,命令格式是:“arp s ip 地址MAC地址”,如圖5-10所示,定義了一條IP地址為10.10.10.10,MAC地址為00-11-22-33-44-55的靜態(tài)記錄,需要注意的是:靜態(tài)記錄重新啟動(dòng)系統(tǒng)后會(huì)清除,需要重新定義。5.3 5.3 網(wǎng)絡(luò)安全機(jī)制網(wǎng)絡(luò)安全機(jī)制 隨著TCP/IP協(xié)議群在互聯(lián)網(wǎng)上的廣泛采用,信息技術(shù)與網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展。隨之而來(lái)的是安全風(fēng)險(xiǎn)問(wèn)題的急劇增加。為了保護(hù)國(guó)家公眾信息網(wǎng)以及企業(yè)內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)信息和數(shù)據(jù)的安全,要大力發(fā)展基于信息網(wǎng)絡(luò)的安全技術(shù)。 網(wǎng)絡(luò)安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織(ISO)在開(kāi)放系統(tǒng)互聯(lián)參考模型

47、(OSI/RM)的基礎(chǔ)上,于1989年制定了在OSI環(huán)境下解決網(wǎng)絡(luò)安全的規(guī)則:安全體系結(jié)構(gòu)。它擴(kuò)充了基本參考模型,加入了安全問(wèn)題的各個(gè)方面,為開(kāi)放系統(tǒng)的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個(gè)層次:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。5.3.1 5.3.1 加密技術(shù)加密技術(shù) 在計(jì)算機(jī)網(wǎng)絡(luò)中,加密可分為“通信加密”(即傳輸過(guò)程中的數(shù)據(jù)加密)和“文件加密”(即存儲(chǔ)數(shù)據(jù)的加密)。而通信加密又分為鏈路加密、節(jié)點(diǎn)加密和端端加密三種方式。 1、節(jié)點(diǎn)加密 節(jié)點(diǎn)加密就是對(duì)相鄰兩節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密。在這種方式中,加密僅對(duì)報(bào)文實(shí)施,而不對(duì)報(bào)頭加密,以便

48、于傳輸路由的選擇。這種方式易被某種形式的報(bào)務(wù)分析所發(fā)覺(jué),破壞者據(jù)此可獲取與一個(gè)給定點(diǎn)收/發(fā)信息有關(guān)的統(tǒng)計(jì)資料。 2、鏈路加密 鏈路加密位于數(shù)據(jù)鏈路層,它是對(duì)相鄰節(jié)點(diǎn)之間的鏈路上所傳輸?shù)臄?shù)據(jù)進(jìn)行加密,包括對(duì)數(shù)據(jù)和所有的報(bào)頭都加密。這種方式能有效地抵抗線路串?dāng)_、主動(dòng)或被動(dòng)地搭線竊聽(tīng)所造成的威脅。 3、端端加密 端端加密是對(duì)用戶之間傳送的數(shù)據(jù)提供連續(xù)的保護(hù)。在初始節(jié)點(diǎn)上實(shí)施加密,在中間節(jié)點(diǎn)以密文形式傳輸,僅在目的節(jié)點(diǎn)才能解密。但加密時(shí),報(bào)頭仍為明碼形式。這種方式對(duì)于防止線路串?dāng)_、搭線竊聽(tīng)、把網(wǎng)絡(luò)中間節(jié)點(diǎn)數(shù)據(jù)轉(zhuǎn)儲(chǔ)到不同的主機(jī)是很有效的。同時(shí)對(duì)于實(shí)行故障修復(fù)和網(wǎng)絡(luò)監(jiān)控,以及防止復(fù)制網(wǎng)絡(luò)軟件和軟件泄漏等情

49、況也十分有效。由于加密位于表示層,雖然提供了靈活性,但卻增加了主機(jī)的負(fù)擔(dān)。 5.3.2 5.3.2 安全認(rèn)證技術(shù)安全認(rèn)證技術(shù) 1、身份認(rèn)證技術(shù) 認(rèn)證(Authentication)是證實(shí)實(shí)體身份的過(guò)程,是保證系統(tǒng)安全的重要措施之一。當(dāng)服務(wù)器提供服務(wù)時(shí),需要確認(rèn)來(lái)訪者的身份,訪問(wèn)者有時(shí)也需要確認(rèn)服務(wù)提供都的身份。 身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)虛擬的數(shù)字世界。在這個(gè)數(shù)字世界中,一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來(lái)表示的,計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份,所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。 2、消息認(rèn)證技術(shù) 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,對(duì)網(wǎng)絡(luò)傳輸過(guò)

50、程中信息的保密性提出了更高的要求,這些要求主要包括:(1)對(duì)敏感的文件進(jìn)行加密,即使別人截取文件也無(wú)法得到其內(nèi)容。(2)保證數(shù)據(jù)的完整性,防止截獲人在文件中加入其他信息。(3)對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行驗(yàn)證,以確保發(fā)信人的身份。5.4 5.4 防火墻技術(shù)防火墻技術(shù) 5.4.1 5.4.1 防火墻的概念防火墻的概念 防火墻(firewall)在計(jì)算機(jī)界是指一種邏輯裝置,用來(lái)保護(hù)內(nèi)部的網(wǎng)絡(luò)不受來(lái)自外界的侵害,是近年來(lái)日趨成熟的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要措施。防火墻是一種隔離控制技術(shù),它的作用是在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障,阻止對(duì)信息資源的非法訪問(wèn),防火墻也可以被用來(lái)阻

51、止保密信息從企業(yè)的網(wǎng)絡(luò)上被非法傳出。 防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,它能允許網(wǎng)絡(luò)管理人員“同意”的人和數(shù)據(jù)進(jìn)入他的網(wǎng)絡(luò),同時(shí)將網(wǎng)絡(luò)管理人員“不同意”的人和數(shù)據(jù)拒之門(mén)外,阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)企業(yè)的網(wǎng)絡(luò),防止他們更改、復(fù)制或毀壞企業(yè)的重要信息。5.4.25.4.2 防火墻的作用防火墻的作用 防火墻的主要作用如下: 過(guò)濾信息,保護(hù)網(wǎng)絡(luò)上的服務(wù)。通過(guò)過(guò)濾掉一些先天就不安全的服務(wù),防火墻能夠極大地增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性,降低內(nèi)部網(wǎng)絡(luò)中主機(jī)被攻擊的危險(xiǎn)性。 控制對(duì)網(wǎng)絡(luò)中系統(tǒng)的訪問(wèn)。防火墻具有控制訪問(wèn)網(wǎng)絡(luò)中系統(tǒng)的能力。例如,來(lái)自外部網(wǎng)絡(luò)的請(qǐng)求可以到達(dá)內(nèi)部網(wǎng)絡(luò)的指定機(jī)器,而無(wú)法到達(dá)內(nèi)部網(wǎng)絡(luò)的

52、其他機(jī)器,保證了內(nèi)部網(wǎng)絡(luò)安全。 集中和簡(jiǎn)化安全管理。使用防火墻可以使得網(wǎng)絡(luò)管理無(wú)須針對(duì)內(nèi)部網(wǎng)絡(luò)的每臺(tái)主機(jī)去專門(mén)配置安全策略,只需要針對(duì)防火墻做合理的配置,就可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的保護(hù)。當(dāng)安全策略需要調(diào)整時(shí)也只需修改防火墻即可,實(shí)現(xiàn)了對(duì)內(nèi)部網(wǎng)絡(luò)的集中和簡(jiǎn)化安全管理。 方便監(jiān)視網(wǎng)絡(luò)的安全性。對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)而言,重要的問(wèn)題并不是網(wǎng)絡(luò)是否受到攻擊,而是何時(shí)會(huì)受到攻擊。防火墻可以在受到攻擊時(shí)通過(guò)E-mail、短信等方式及時(shí)通知網(wǎng)絡(luò)管理員作出響應(yīng)和處理。 增強(qiáng)網(wǎng)絡(luò)的保密性。所謂保密性是指保證信息不會(huì)被泄露與擴(kuò)散。保密性在一些網(wǎng)絡(luò)中是首先要考慮的問(wèn)題,因此通常被認(rèn)為是無(wú)害的信息實(shí)際上包含著對(duì)攻擊者有用的線索。

53、 對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控、審計(jì)。例如,防火墻會(huì)將內(nèi)外網(wǎng)絡(luò)之間的數(shù)據(jù)訪問(wèn)加以記錄,并提供關(guān)于網(wǎng)絡(luò)使用的有價(jià)值的統(tǒng)計(jì)信息,供網(wǎng)絡(luò)管理員分析。 強(qiáng)化網(wǎng)絡(luò)安全策略。防火墻提供了實(shí)現(xiàn)和加強(qiáng)網(wǎng)絡(luò)安全策略的手段。實(shí)際上,防火墻向用戶提供了對(duì)服務(wù)的訪問(wèn)控制方式,趕到了強(qiáng)化網(wǎng)絡(luò)對(duì)用戶訪問(wèn)控制策略的作用。5.4.35.4.3 防火墻的分類(lèi)及實(shí)現(xiàn)技術(shù)防火墻的分類(lèi)及實(shí)現(xiàn)技術(shù) 1、防火墻的分類(lèi) 防火墻的分類(lèi)有多種方式。按照實(shí)現(xiàn)方式可以分為軟件防火墻和硬件防火墻。 (1)軟件防火墻 軟件防火墻以軟件方式提供給客戶,要求安裝于特定的計(jì)算機(jī)和操作系統(tǒng)之上。安裝完成后的計(jì)算機(jī)就成為防火墻,需要進(jìn)行各項(xiàng)必要的配置,并部署于網(wǎng)絡(luò)

54、的恰當(dāng)位置才能發(fā)揮其作用。 (2)硬件防火墻 硬件防火墻是以硬件形式提供給客戶的,有些防火墻產(chǎn)品為了提高產(chǎn)品和穩(wěn)定性,常常定制了計(jì)算機(jī)硬件,這些計(jì)算機(jī)硬件與普通的PC沒(méi)有本質(zhì)區(qū)別,可能對(duì)體積和散熱裝置進(jìn)行了改造,這類(lèi)PC架構(gòu)的硬件防火墻常常采用經(jīng)過(guò)優(yōu)化和裁減的Linux與UNIX操作系統(tǒng),穩(wěn)定性比較高。 這樣的硬件防火墻與軟件防火墻并無(wú)本質(zhì)區(qū)別,只是提高了設(shè)備的穩(wěn)定性、簡(jiǎn)化了系統(tǒng)的安裝過(guò)程。 2、防火墻的實(shí)現(xiàn)技術(shù) 根據(jù)防火墻的工作方式可分為包過(guò)濾型防火墻、代理服務(wù)型防火墻和狀態(tài)監(jiān)測(cè)防火墻。 (1)包過(guò)濾型防火墻 包過(guò)濾型防火墻也稱分組過(guò)濾型防火墻,這是一種通用型防火墻,因?yàn)檫@種防火墻不針對(duì)各個(gè)

55、具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式;同時(shí)絕大多數(shù)防火墻均提供包過(guò)濾功能,且滿足大多數(shù)的安全需求。包過(guò)濾型防火墻的特點(diǎn)是: 有選擇地允許數(shù)據(jù)分組穿過(guò)防火墻,實(shí)現(xiàn)內(nèi)部主機(jī)和外部主機(jī)之間的數(shù)據(jù)交換。 作用于網(wǎng)絡(luò)層和傳輸層 根據(jù)分組的源地址、目的地址、端口號(hào)、協(xié)議類(lèi)型等確定是否讓數(shù)據(jù)包通過(guò)。滿足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā),否則丟棄。 (2)代理服務(wù)型防火墻 代理服務(wù)型防火墻也稱應(yīng)用網(wǎng)關(guān)防火墻,采用代理服務(wù)器(Proxy Server)的方式來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。所謂代理服務(wù),是指防火墻充當(dāng)了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)用層通信的代理,內(nèi)網(wǎng)主機(jī)與外網(wǎng)服務(wù)器建立的應(yīng)用層鏈接實(shí)際上是先建立與代理服務(wù)器的鏈接,然后由代理服務(wù)器

56、與外網(wǎng)主機(jī)建立應(yīng)用層鏈接,這樣便成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。 (3)狀態(tài)監(jiān)測(cè)防火墻 狀態(tài)監(jiān)測(cè)技術(shù)結(jié)合了包過(guò)濾與代理技術(shù)的特點(diǎn),具有最佳的安全特性。狀態(tài)監(jiān)測(cè)防火墻采用了一個(gè)網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎,稱為檢測(cè)模塊。檢測(cè)模塊在不影響網(wǎng)絡(luò)正常工作的前提下,采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測(cè),抽取的部分?jǐn)?shù)據(jù)被稱為狀態(tài)信息。檢測(cè)模塊將獲取的狀態(tài)信息動(dòng)態(tài)地保存起來(lái)作為今后制訂安全決策的參考。檢測(cè)模塊支持多種協(xié)議和應(yīng)用程序,并可以很容易地實(shí)現(xiàn)應(yīng)用服務(wù)的擴(kuò)充。與其他安全方案不同,當(dāng)用戶訪問(wèn)到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前,狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析,結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕

57、、鑒定或給該通信加密等決定。一旦某個(gè)訪問(wèn)違反安全規(guī)定,安全報(bào)警器就會(huì)拒絕該訪問(wèn),并記錄下來(lái)向系統(tǒng)管理器報(bào)告網(wǎng)絡(luò)狀態(tài)。5.4.45.4.4 防火墻的部署防火墻的部署 實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。而且通過(guò)代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體

58、性能的影響上。 那么究竟應(yīng)該在哪些地方部署防火墻呢? 首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;再次,通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。5.4.55.4.5 防火墻系統(tǒng)的局限性防火墻系統(tǒng)的局限性 防火墻系統(tǒng)存在著如下局限性: 防火墻把外部網(wǎng)絡(luò)當(dāng)成不可信網(wǎng)絡(luò),主要是用來(lái)預(yù)防來(lái)自外部網(wǎng)絡(luò)的攻擊。它把內(nèi)部網(wǎng)絡(luò)當(dāng)成可信任網(wǎng)絡(luò)。然而事實(shí)證明,50%以上的黑客入侵來(lái)自

59、于內(nèi)部網(wǎng)絡(luò),但是對(duì)此防火墻卻無(wú)能為力。這此可以把內(nèi)部網(wǎng)分成多個(gè)子網(wǎng),用內(nèi)部路由器安裝防火墻的方法以保護(hù)一些內(nèi)部關(guān)鍵區(qū)域。這種方法維護(hù)成本和設(shè)備成本都會(huì)很高,同時(shí)也容易產(chǎn)生一些安全盲點(diǎn),但畢竟比不對(duì)內(nèi)部進(jìn)行安全防范要好。 常常需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)支持,對(duì)網(wǎng)絡(luò)安全功能的加強(qiáng)往往以網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開(kāi)放性為代價(jià)。 防火墻系統(tǒng)防范的對(duì)象是來(lái)自網(wǎng)絡(luò)外部的攻擊,而不能防范不經(jīng)由防火墻的攻擊。比如通過(guò)SLIP或PPP的撥號(hào)攻擊,繞過(guò)了防火墻系統(tǒng)而直接撥號(hào)進(jìn)入內(nèi)部網(wǎng)絡(luò)。防火墻系統(tǒng)對(duì)這樣的攻擊很難防范。 防火墻只允許來(lái)自外部網(wǎng)絡(luò)的一些規(guī)則允許的服務(wù)通過(guò),這樣反而會(huì)抑制一些正常的信息通信,

60、從某種意義上說(shuō)大大削弱了Internet應(yīng)用的功能,特別是對(duì)電子商務(wù)發(fā)展較快的今天,防火墻的作用很容易錯(cuò)失商機(jī)。5.4.65.4.6 病毒、木馬與流氓軟件的防治病毒、木馬與流氓軟件的防治 1、病毒及其防治 計(jì)算機(jī)病毒具有的特點(diǎn): (1)破壞性 (2)隱蔽性 (3)潛伏性 (4)傳染性 2、木馬及其防治 木馬是一種在遠(yuǎn)程計(jì)算機(jī)之間建立起連接,使遠(yuǎn)程計(jì)算機(jī)能夠通過(guò)網(wǎng)絡(luò)控制本地計(jì)算機(jī)的程序,它的運(yùn)行遵照TCP/IP協(xié)議,它像間諜一樣潛入用戶的計(jì)算機(jī),為其他人的攻擊打開(kāi)后門(mén)。 木馬程序一般由兩部分組成的,分別是Server(服務(wù))端程序和Client(客戶)端程序。其中Server端程序安裝在被控制計(jì)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論