第7章-網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理要點課件

第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.2數(shù)字加密技術(shù)

7.3電子郵件的安全性

7.4防火墻技術(shù)簡介

7.5傳統(tǒng)局域網(wǎng)管理

7.6網(wǎng)絡(luò)管理功能

7.7網(wǎng)絡(luò)管理協(xié)議

7.8簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)7.9網(wǎng)絡(luò)管理系統(tǒng)

7.10網(wǎng)絡(luò)管理和維護

7.11小結(jié)

計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的基本概念7.1.2網(wǎng)絡(luò)安全威脅7.1.3安全服務(wù)7.1.4安全機制計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的基本概念計廣義上說用戶角度網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)硬件資源和信息資源的安全性。網(wǎng)絡(luò)安全主要是保障個人數(shù)據(jù)或企業(yè)的信息在網(wǎng)絡(luò)中的保密性、完整性、不可否認性，防止信息的泄露和破壞，防止信息資源的非授權(quán)訪問。信息安全通信線路通信設(shè)備主機系統(tǒng)軟件、應(yīng)用軟件、用戶信息數(shù)據(jù)計算機網(wǎng)絡(luò)廣義上說用戶角度網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)安全主要是保障個人信通信線路

在此，對網(wǎng)絡(luò)安全下一個通用的定義：

網(wǎng)絡(luò)安全是指保護網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄漏，保證網(wǎng)絡(luò)系統(tǒng)的正常運行、網(wǎng)絡(luò)服務(wù)不中斷。

計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)實體(人、事件、程序等)資源機密性完整性可用性可控性

安全威脅是指某個實體對某一資源在合法使用時造成的危害。

計算機網(wǎng)絡(luò)實體資源安全威脅是指某個實體對某一資源計算機網(wǎng)絡(luò)安全威脅故意的(如系統(tǒng)入侵)偶然的(如將信息發(fā)到錯誤地址)被動威脅：只對信息進行監(jiān)聽，而不對其修改和破壞。

主動威脅：則是對信息進行故意修改和破壞，使合法用戶得不到可用信息。

計算機網(wǎng)絡(luò)安故意的偶然的被動威脅：主動威脅：計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全具備四個方面的特征：

機密性、完整性、可用性及可控性

基本的安全威脅：

⑴信息泄露：信息泄露給某個未經(jīng)授權(quán)的實體。

⑵完整性破壞：數(shù)據(jù)的一致性由于受到未經(jīng)授權(quán)的修改、創(chuàng)建、破壞而損害。

⑶拒絕服務(wù)：對資源的合法訪問被拒絕。

⑷非法使用：某一資源被非授權(quán)人或以非授權(quán)方式使用。

計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全具備四個方面的特征：計算機網(wǎng)絡(luò)實現(xiàn)威脅可以直接導(dǎo)致某一基本威脅的實現(xiàn)，主要包括滲入威脅和植入威脅。主要的滲入威脅有：

⑴假冒：即某個實體假裝成另外一個不同的實體。⑵旁路：攻擊者通過各種手段發(fā)現(xiàn)一些系統(tǒng)安全缺陷，并利用這些安全缺陷繞過系統(tǒng)防線滲入到系統(tǒng)內(nèi)部。

⑶授權(quán)侵犯：對某一資源具有一定權(quán)限的實體，將此權(quán)限用于未被授權(quán)的目的，也稱“內(nèi)部威脅”。主要的植入威脅有：

⑴特洛伊木馬：它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。⑵陷門：即“后門”程序，它是在某個系統(tǒng)或某個文件中預(yù)先設(shè)置的“機關(guān)”，使得當提供特定的軟件時，允許違反安全策略。計算機網(wǎng)絡(luò)實現(xiàn)威脅可以直接導(dǎo)致某一基本主要的滲入威脅有：主要的植入威

安全服務(wù)是指計算機網(wǎng)絡(luò)提供的安全防護措施。

國際標準化組織(ISO)定義了以下幾種基本的安全服務(wù)：認證服務(wù)、訪問控制、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認服務(wù)。

計算機網(wǎng)絡(luò)安全服務(wù)是指計算機網(wǎng)絡(luò)提供的安全防護措施。計算機網(wǎng)絡(luò)⑴認證服務(wù)確保某個實體身份的可靠性，分為兩種類型。一種類型是認證實體本身的身份，確保其真實性，稱為實體認證。實體認證中一種最常見的方式，就是通過口令來認證訪問者的身份。另一種認證是證明某個信息是否來自于某個特定的實體，這種認證叫做數(shù)據(jù)源認證。數(shù)據(jù)源認證在現(xiàn)實生活中的典型例子就是簽字，如銀行支票和文件上的簽名。在計算機系統(tǒng)中也有相應(yīng)的數(shù)據(jù)簽名技術(shù)。

計算機網(wǎng)絡(luò)⑴認證服務(wù)確保某個實體身份的可靠性，分為兩種類型。計算機網(wǎng)絡(luò)⑵訪問控制

訪問控制的目標是防止對任何資源的非授權(quán)訪問，確保只有經(jīng)過授權(quán)的實體才能訪問受保護的資源。

計算機網(wǎng)絡(luò)⑵訪問控制訪問控制的目標是防止對任何資源的非授⑶數(shù)據(jù)機密性服務(wù)

數(shù)據(jù)機密性服務(wù)確保只有經(jīng)過授權(quán)的實體才能理解受保護的信息。在信息安全中主要區(qū)分兩種機密性服務(wù)：數(shù)據(jù)機密性服務(wù)和業(yè)務(wù)流機密性服務(wù)。數(shù)據(jù)機密性服務(wù)主要是采用加密手段使得攻擊者即使竊取了加密的數(shù)據(jù)也很難推出有用的信息；業(yè)務(wù)流機密性服務(wù)則要使監(jiān)聽者很難從網(wǎng)絡(luò)流量的變化上推出敏感信息。

計算機網(wǎng)絡(luò)⑶數(shù)據(jù)機密性服務(wù)數(shù)據(jù)機密性服務(wù)確保只有經(jīng)過授權(quán)⑷數(shù)據(jù)完整性服務(wù)

防止對數(shù)據(jù)未經(jīng)授權(quán)的修改和破壞。完整性服務(wù)使消息的接收者能夠發(fā)現(xiàn)消息是否被修改，是否被攻擊者用假消息換掉。

計算機網(wǎng)絡(luò)⑷數(shù)據(jù)完整性服務(wù)防止對數(shù)據(jù)未經(jīng)授權(quán)的修改和破壞⑸不可否認服務(wù)

根據(jù)ISO的標準，不可否認服務(wù)要防止對數(shù)據(jù)源以及數(shù)據(jù)提交的否認。它有兩種可能：數(shù)據(jù)發(fā)送的不可否認性和數(shù)據(jù)接收的不可否認性。這兩種服務(wù)需要比較復(fù)雜的基礎(chǔ)設(shè)施的支持，如數(shù)字簽名技術(shù)。計算機網(wǎng)絡(luò)⑸不可否認服務(wù)根據(jù)ISO的標準，不可否認

安全機制是用來實施安全服務(wù)的機制。

安全機制既可以是具體的、特定的，也可以是通用的。主要的安全機制有以下幾種：加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、認證交換機制、流量填充機制、路由控制機制及公證機制等。計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)⑴加密機制用于保護數(shù)據(jù)的機密性。⑵數(shù)字簽名機制是保證數(shù)據(jù)完整性及不可否認性的一種重要手段。⑶訪問控制機制與實體認證密切相關(guān)。⑷數(shù)據(jù)完整性機制用于保護數(shù)據(jù)免受未經(jīng)授權(quán)的修改。⑸流量填充機制針對的是對網(wǎng)絡(luò)流量進行分析的攻擊。⑹路由控制機制可以指定數(shù)據(jù)通過網(wǎng)絡(luò)的路徑。⑺公證機制由通信各方都信任的第三方提供。計算機網(wǎng)絡(luò)⑴加密機制用于保護數(shù)據(jù)的機密性。計算機網(wǎng)絡(luò)7.2數(shù)字加密技術(shù)7.2.1數(shù)據(jù)加密模型7.2.2常規(guī)密鑰密碼體制7.2.3公開密鑰密碼體制計算機網(wǎng)絡(luò)7.2數(shù)字加密技術(shù)7.2.1數(shù)據(jù)加密模型計算機網(wǎng)7.2.1數(shù)據(jù)加密模型

如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來唯一地確定出對應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。在無任何限制的條件下，目前幾乎所有的密碼體制均是可破的。如果一個密碼體制中的密碼不能被可以使用的計算資源破譯，則這一密碼體制稱為在計算上是安全的。

計算機網(wǎng)絡(luò)7.2.1數(shù)據(jù)加密模型如果不論截取者獲得了圖7-1一般數(shù)據(jù)加密模型

計算機網(wǎng)絡(luò)圖7-1一般數(shù)據(jù)加密模型計算機網(wǎng)絡(luò)明文X用加密算法E和加密密鑰K得到密文Y=Ek(X)。在傳送過程中可能出現(xiàn)密文截取者。到了收端，利用解密算法D和解密密鑰K解出明文為Dk(Y)=Dk(Ek(X))=X。其中，截者也可稱為攻擊者或侵入者。在這里，我們假定加密密鑰和解密密鑰都是一樣的。計算機網(wǎng)絡(luò)明文X用加密算法E和加密密鑰K得到密文Y=Ek(密碼編碼學(xué)是密碼體制的設(shè)計學(xué)。密碼分析學(xué)則是在未知密鑰的情況下，從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)。

早在幾千年前人類就已經(jīng)有了思想和方法。但直到1949年，創(chuàng)始人香農(nóng)(C.E.Shannon)發(fā)表著名論文“CommunicationTheoryofSecrecySystems”，論證了一般經(jīng)典加密方法得到的密文幾乎都是可破的。

計算機網(wǎng)絡(luò)密碼編碼學(xué)是密碼體制的設(shè)計學(xué)。計算機網(wǎng)絡(luò)密碼學(xué)的研究曾面臨著危機，但從20世紀60年代起，隨著電子技術(shù)和計算技術(shù)的迅速發(fā)展以及結(jié)構(gòu)代數(shù)、可計算性和計算復(fù)雜性理論等學(xué)科的研究，密碼學(xué)又進入了一個新的發(fā)展時期。在20世紀70年代后期，美國的數(shù)據(jù)加密標準DES(DataEncryptionStandard)和公開密鑰密碼體制(publickeycrypto-system)的出現(xiàn)，成為近代密碼學(xué)發(fā)展史上的兩個重要里程碑。

計算機網(wǎng)絡(luò)密碼學(xué)的研究曾面臨著危機，但從20世紀60年代起，隨著電子技7.2.2常規(guī)密鑰密碼體制

所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰相同的密碼體制。

替代密碼與轉(zhuǎn)換密碼

序列密碼與分組密碼

分組密碼算法之一：數(shù)據(jù)加密標準DES分組密碼算法之二：國際數(shù)據(jù)加密算法IDEA計算機網(wǎng)絡(luò)7.2.2常規(guī)密鑰密碼體制所謂常規(guī)密鑰密碼體制，即替代密碼(substitutioncipher)將字母a，b，c，d…，w，x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，…，X，A，B，C分別對應(yīng)(即相差3個)。若明文為caesarcipher，則對應(yīng)的密文為FDHVDUFLSKHU(此時密鑰為3)。計算機網(wǎng)絡(luò)替代密碼(substitutioncipher)轉(zhuǎn)換密碼(transpositioncipher)

轉(zhuǎn)換密碼則是按照某一規(guī)則重新排列消息中的字符的順序。例如，以CIPHER這個字為規(guī)則。在此密鑰中的英文字母順序，C為第1，E為第2，……，R為第6，于是得出密鑰的順序為145326。按如下規(guī)則來形成密文，首先讀取第1列的字符，然后讀取第5列、第4列、第2列、第3列和第6列，明文也以6個字符為一組寫在密鑰下。計算機網(wǎng)絡(luò)轉(zhuǎn)換密碼(transpositioncipher)轉(zhuǎn)如：密鑰CIPHER順序145326(此順序與密鑰等價，但不如密鑰便于記憶。)明文attackbeginsattwo(注：明文的意思是"二時開始進攻"。)得出密文為abacnwaittettgkso。接收者按密鑰中的字母順序按列寫下按行讀出，即得明文。計算機網(wǎng)絡(luò)如：計算機網(wǎng)絡(luò)2.序列密碼與分組密碼

從得到的密文序列的結(jié)構(gòu)來劃分，則有序列密碼與分組密碼兩種不同的密碼體制。序列密碼體制是將明文X看成是連續(xù)的比特流(或字符流)x1x2…，并且用密鑰序列K=k1k2…中的第i個元素ki對明文中的xi進行加密，即Ek(X)=Ek1(x1)Ek2(x2)…計算機網(wǎng)絡(luò)2.序列密碼與分組密碼從得到的密文序列的結(jié)構(gòu)來劃分，則有圖7-2序列密碼框圖計算機網(wǎng)絡(luò)圖7-2序列密碼框圖計算機網(wǎng)絡(luò)圖7-3分組密碼體制

計算機網(wǎng)絡(luò)圖7-3分組密碼體制計算機網(wǎng)絡(luò)圖7-4DES加密算法

計算機網(wǎng)絡(luò)圖7-4DES加密算法計算機網(wǎng)絡(luò)圖7-5加密(解密)的分組鏈接方法

計算機網(wǎng)絡(luò)圖7-5加密(解密)的分組鏈接方法計算機網(wǎng)絡(luò)(a)IDEA采用8次圖7-6IDEA加密框圖

計算機網(wǎng)絡(luò)(a)IDEA采用8次圖7-6IDEA加密框圖計(b)每次迭代的計算圖7-6IDEA加密框圖

計算機網(wǎng)絡(luò)(b)每次迭代的計算圖7-6IDEA加密框圖計算機網(wǎng)絡(luò)圖7-7公開密鑰密碼算法

計算機網(wǎng)絡(luò)圖7-7公開密鑰密碼算法計算機網(wǎng)絡(luò)7.3電子郵件的安全性7.3.1電子郵件系統(tǒng)安全問題7.3.2.郵件安全協(xié)議計算機網(wǎng)絡(luò)7.3電子郵件的安全性7.3.1電子郵件系統(tǒng)安全問題7.3.1電子郵件系統(tǒng)安全問題

1.匿名轉(zhuǎn)發(fā)

2.電子郵件欺騙

3.E-mail炸彈

計算機網(wǎng)絡(luò)7.3.1電子郵件系統(tǒng)安全問題1.匿名轉(zhuǎn)發(fā)計算機網(wǎng)電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，從一個機器傳輸?shù)搅硪粋€機器，整個過程中的電子郵件都是明文的方式傳輸?shù)模陔娮余]件所經(jīng)過網(wǎng)路上的任一系統(tǒng)管理員或黑客都有可能截獲并更改該郵件，甚至偽造某人的電子郵件。一些信息，如商務(wù)計劃、合同、賬單等敏感信息很容易被人看見。因此，電子郵件的安全保密問題已越來越引起人們的擔憂。主要講解電子郵件面臨的一些安全問題。計算機網(wǎng)絡(luò)電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，從一個機1.匿名轉(zhuǎn)發(fā)一般情況下，一封完整的E-mail應(yīng)該包含有收件人和發(fā)件人的信息。沒有發(fā)件人信息的郵件就是這里所說的匿名郵件，郵件的發(fā)件人刻意隱瞞自己的電子郵箱地址和其他信息，或者通過某些方法給你一些錯誤的發(fā)件人信息。計算機網(wǎng)絡(luò)1.匿名轉(zhuǎn)發(fā)一般情況下，一封完整的E-mail2.電子郵件欺騙

電子郵件“欺騙”是在電子郵件中改變名字，使之看起來是從某地或某人發(fā)來的行為。

例如，攻擊者佯稱自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同)，給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序，

計算機網(wǎng)絡(luò)2.電子郵件欺騙電子郵件“欺騙”是在電子郵件中執(zhí)行電子郵件欺騙常用的三種基本方法：

(1)相似的電子郵件地址

(2)修改郵件客戶

(3)遠程聯(lián)系，登錄到端口25計算機網(wǎng)絡(luò)執(zhí)行電子郵件欺騙常用的三種基本方法：(1)相似的電子郵件地3.E-mail炸彈

現(xiàn)在介紹一些針對E-Mail炸彈的解救方法:(1)向ISP求助

(2)用軟件清除

(3)借用Outlook的阻止發(fā)件人功能

(4)用郵件程序的email-notify功能來過濾信件

計算機網(wǎng)絡(luò)3.E-mail炸彈現(xiàn)在介紹一些針對E-Mail炸彈的7.3.2.郵件安全協(xié)議

安全電子郵件能解決郵件的加密傳輸問題，驗證發(fā)送者的身份問題，錯發(fā)用戶的收件無效問題。保證電子郵件的安全常用到兩種端到端的安全技術(shù)：PGP(PrettyGoodPrivacy)和S/MIME(SecureMulti-PartIntermailMailExtension)。它們的主要功能就是身份的認證和傳輸數(shù)據(jù)的加密。

計算機網(wǎng)絡(luò)7.3.2.郵件安全協(xié)議安全電子郵件能解決郵件的加密傳輸1.PGP(1)PGP簡介PGP是一個基于公開密鑰加密算法的應(yīng)用程序，該程序創(chuàng)造性在于把RSA公鑰體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來，并在數(shù)字簽名和密鑰認證管理機制上有巧妙的設(shè)計。

特點：加密速度快，可移植性出色，源代碼是免費的，計算機網(wǎng)絡(luò)1.PGP(1)PGP簡介PGP是一個基于公開密鑰加密2PGP加密算法

PGP加密算法包括四個方面

一個單鑰加密算法(IDEA)一個公鑰加密算法(RSA)一個單向散列算法(MD5)一個隨機數(shù)產(chǎn)生器

計算機網(wǎng)絡(luò)2PGP加密算法PGP加密算法包括四個方面計算機網(wǎng)絡(luò)PGP的出現(xiàn)和應(yīng)用很好地解決了電子郵件的安全傳輸問題，它將傳統(tǒng)的對稱性加密與公開密鑰加密方法結(jié)合起來，兼?zhèn)淞藘蛇\行時的優(yōu)點，可以支持1024位的公開密鑰與128位的傳統(tǒng)加密，達到軍事級別的標準，完全能夠滿足電子郵件對于安全性能的要求。

計算機網(wǎng)絡(luò)PGP的出現(xiàn)和應(yīng)用很好地解決了電子郵件的安全傳輸問題3.S/MIME協(xié)議

MIME(MultipurposeInternetMailExtensions，多用途因特網(wǎng)郵件擴展)是一種因特網(wǎng)郵件標準化的格式，它允許以標準化的格式在電子郵件消息中包含增強文本、音頻、圖形、視頻和類似的信息。然而，MIME不提供任何安全性元素——S/MIME則添加了這些元素。計算機網(wǎng)絡(luò)3.S/MIME協(xié)議MIME(Multipurpose3.S/MIME協(xié)議S/MIME(Secure/MIME，安全的多用途Internet電子郵件擴充)是由RSA公司于1995年提出的電子郵件安全協(xié)議，與較為傳統(tǒng)的PEM不同，由于其內(nèi)部采用了MIME的消息格式，因此不僅能發(fā)送文本，還可以攜帶各種附加文檔，如包含國際字符集、HTML、音頻、語音郵件、圖像、多媒體等不同類型的數(shù)據(jù)內(nèi)容，目前大多數(shù)電子郵件產(chǎn)品都包含了對S/MIME的內(nèi)部支持。

計算機網(wǎng)絡(luò)3.S/MIME協(xié)議S/MIME(Secure/M7.4防火墻技術(shù)簡介7.4.1防火墻技術(shù)簡介7.4.2防火墻功能基本指標7.4.3新型防火墻技術(shù)7.4.4防火墻的選購7.5.5防火墻技術(shù)發(fā)展趨勢計算機網(wǎng)絡(luò)7.4防火墻技術(shù)簡介7.4.1防火墻技術(shù)簡介計算7.4.1防火墻技術(shù)簡介

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為最甚。

計算機網(wǎng)絡(luò)7.4.1防火墻技術(shù)簡介防火墻技術(shù)是建立在現(xiàn)什么是防火墻？

2.防火墻能做什么？

3.防火墻的種類

4.分組過濾型防火墻

5.應(yīng)用代理型防火墻

6.復(fù)合型防火墻

7.防火墻操作系統(tǒng)

8.NAT技術(shù)

9.防火墻的抗攻擊能力

10.防火墻的局限性

計算機網(wǎng)絡(luò)什么是防火墻？計算機網(wǎng)絡(luò)1.什么是防火墻？

7-8防火墻邏輯位置示意圖

計算機網(wǎng)絡(luò)1.什么是防火墻？7-8防火墻邏輯位置示意圖計算機防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

計算機網(wǎng)絡(luò)防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

計算機網(wǎng)絡(luò)在邏輯上，防火墻是一個分離器，一個限制器，也是一2.防火墻能做什么？

防火墻是網(wǎng)絡(luò)安全的屏障：

防火墻可以強化網(wǎng)絡(luò)安全策略：

對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計：

防止內(nèi)部信息的外泄：

計算機網(wǎng)絡(luò)2.防火墻能做什么？防火墻是網(wǎng)絡(luò)安全的屏障：計算機網(wǎng)3.防火墻的種類

分組過濾(Packetfiltering)：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

計算機網(wǎng)絡(luò)3.防火墻的種類分組過濾(Packetfilteri3.防火墻的種類應(yīng)用代理(ApplicationProxy)：也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway)，

它作用在應(yīng)用層，其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。

計算機網(wǎng)絡(luò)3.防火墻的種類應(yīng)用代理(ApplicationPro4.分組過濾型防火墻

分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式；之所以廉價，因為大多數(shù)路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業(yè)的安全要求。

計算機網(wǎng)絡(luò)4.分組過濾型防火墻分組過濾或包過濾，是一種通用、廉價、5.應(yīng)用代理型防火墻

圖7-9應(yīng)用代理防火墻

計算機網(wǎng)絡(luò)5.應(yīng)用代理型防火墻圖7-9應(yīng)用代理防火墻計算機網(wǎng)絡(luò)6.復(fù)合型防火墻

由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。

屏蔽主機防火墻體系結(jié)構(gòu)：

屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：

計算機網(wǎng)絡(luò)6.復(fù)合型防火墻計算機網(wǎng)絡(luò)7.防火墻操作系統(tǒng)

取消危險的系統(tǒng)調(diào)用限制命令的執(zhí)行權(quán)限；取消IP的轉(zhuǎn)發(fā)功能；檢查每個分組的接口；

對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進行：采用隨機連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內(nèi)核等。計算機網(wǎng)絡(luò)7.防火墻操作系統(tǒng)取消危險的系統(tǒng)調(diào)用對安全操作系統(tǒng)內(nèi)核的8.NAT技術(shù)

NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。

計算機網(wǎng)絡(luò)8.NAT技術(shù)NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換9.防火墻的抗攻擊能力

作為一種安全防護設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。

計算機網(wǎng)絡(luò)9.防火墻的抗攻擊能力作為一種安全防護設(shè)備，防火墻在網(wǎng)絡(luò)10.防火墻的局限性

存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。

計算機網(wǎng)絡(luò)10.防火墻的局限性存在著一些防火墻不能防范的安全威脅，7.4.2防火墻功能基本指標

產(chǎn)品類型2.LAN接口

3.協(xié)議支持4.加密支持

5.認證支持6.訪問控制

7.防御功能8.安全特性

9.管理功能10.記錄和報表功能

計算機網(wǎng)絡(luò)7.4.2防火墻功能基本指標產(chǎn)品類型1.產(chǎn)品類型

基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。

計算機網(wǎng)絡(luò)1.產(chǎn)品類型基于路由器的包過濾防火墻、計算機網(wǎng)絡(luò)2.LAN接口

支持的LAN接口類型：如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺：防火墻所運行的操作系統(tǒng)平臺(如Linux、UNIX、WinNT、專用安全操作系統(tǒng)等)。計算機網(wǎng)絡(luò)2.LAN接口支持的LAN接口類型：如以太網(wǎng)、快速以太3.協(xié)議支持

支持的非IP協(xié)議：除支持IP協(xié)議之外，還支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。建立VPN通道的協(xié)議：構(gòu)建VPN通道所使用的協(xié)議，如密鑰分配等，主要分為IPSec，PPTP、專用協(xié)議等?？梢栽赩PN中使用的協(xié)議：在VPN中使用的協(xié)議，一般是指TCP/IP協(xié)議。計算機網(wǎng)絡(luò)3.協(xié)議支持支持的非IP協(xié)議：除支持IP協(xié)議之外，還支4.加密支持

支持的VPN加密標準：VPN中支持的加密算法，例如數(shù)據(jù)加密標準DES、3DES、RC4以及國內(nèi)專用的加密算法。除了VPN之外，加密的其他用途：加密除用于保護傳輸數(shù)據(jù)以外，還應(yīng)用于其他領(lǐng)域，如身份認證、報文完整性認證，密鑰分配等。提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密強度。計算機網(wǎng)絡(luò)4.加密支持支持的VPN加密標準：VPN中支持的加密算5.認證支持

支持的認證類型：是指防火墻支持的身份認證協(xié)議，一般情況下具有一個或多個認證方案，如RADIUS、Kerberos、TACACS/TACACS＋、口令方式、數(shù)字證書等。防火墻能夠為本地或遠程用戶提供經(jīng)過認證與授權(quán)的對網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認證。計算機網(wǎng)絡(luò)5.認證支持支持的認證類型：是指防火墻支持的身份認證6.訪問控制

通過防火墻的包內(nèi)容設(shè)置：

在應(yīng)用層提供代理支持：

在傳輸層提供代理支持：

允許FTP命令防止某些類型文件通過防火墻：

用戶操作的代理類型：

支持硬件口令、智能卡：計算機網(wǎng)絡(luò)6.訪問控制通過防火墻的包內(nèi)容設(shè)置：計算機網(wǎng)絡(luò)7.防御功能

支持病毒掃描：

提供內(nèi)容過濾：

能防御的DoS攻擊類型：

阻止ActiveX、Java、Cookies、Javascript侵入：

計算機網(wǎng)絡(luò)7.防御功能支持病毒掃描：計算機網(wǎng)絡(luò)8.安全特性

支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議(ICMP代理)：

提供入侵實時警告：

提供實時入侵防范：

識別/記錄/防止企圖進行IP地址欺騙：

計算機網(wǎng)絡(luò)8.安全特性支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議(ICMP代理9.管理功能

通過集成策略集中管理多個防火墻：

提供基于時間的訪問控制：

支持SNMP監(jiān)視和配置：

本地管理：

遠程管理：

支持帶寬管理：

負載均衡特性：

失敗恢復(fù)特性(failover)：

計算機網(wǎng)絡(luò)9.管理功能通過集成策略集中管理多個防火墻：計算機網(wǎng)絡(luò)10.記錄和報表功能

防火墻處理完整日志的方法：

提供自動日志掃描：

提供自動報表、日志報告書寫器：

警告通知機制：

提供簡要報表(按照用戶ID或IP地址)：

提供實時統(tǒng)計：

列出獲得的國內(nèi)有關(guān)部門許可證類別及號碼：

計算機網(wǎng)絡(luò)10.記錄和報表功能防火墻處理完整日志的方法：計算機網(wǎng)7.4.3新型防火墻技術(shù)

1.包過濾的優(yōu)缺點

2.代理技術(shù)的優(yōu)缺點

3.新型防火墻技術(shù)

計算機網(wǎng)絡(luò)7.4.3新型防火墻技術(shù)1.包過濾的優(yōu)缺點計算機網(wǎng)1.包過濾的優(yōu)缺點優(yōu)點：一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)；數(shù)據(jù)包過濾對用戶透明；過濾路由器速度快、效率高。缺點：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾；正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。計算機網(wǎng)絡(luò)1.包過濾的優(yōu)缺點優(yōu)點：一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò)；2.代理技術(shù)的優(yōu)缺點

優(yōu)點：代理易于配置；代理能生成各項記錄；代理能靈活、完全地控制進出的流量、內(nèi)容；代理能過濾數(shù)據(jù)內(nèi)容；代理能為用戶提供透明的加密機制；代理可以方便地與其他安全手段集成。缺點：代理速度較路由器慢；代理對用戶不透明；對于每項服務(wù)代理可能要求不同的服務(wù)器；代理服務(wù)不能保證你免受所有協(xié)議弱點的限制；代理不能改進底層協(xié)議的安全性。計算機網(wǎng)絡(luò)2.代理技術(shù)的優(yōu)缺點優(yōu)點：代理易于配置；代理能生成各項記3.新型防火墻技術(shù)

⑴新型防火墻的設(shè)計目標設(shè)計新型防火墻的目標是綜合包過濾和代理技術(shù)，克服二者在安全方面的缺陷；能夠從數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制；實現(xiàn)TCP/IP協(xié)議的微內(nèi)核，從而在TCP/IP協(xié)議層能進行各項安全控制；基于上述微內(nèi)核，使速度超過傳統(tǒng)的包過濾防火墻；提供透明代理模式，減輕客戶端的配置工作；支持數(shù)據(jù)加密、解密(DES和RSA)，提供對虛擬網(wǎng)VPN的強大支持；內(nèi)部信息完全隱藏；從而產(chǎn)生一個新的防火墻理論。計算機網(wǎng)絡(luò)3.新型防火墻技術(shù)⑴新型防火墻的設(shè)計目標計算機網(wǎng)絡(luò)3.新型防火墻技術(shù)

⑵TCP/IP協(xié)議處理TCP/IP協(xié)議處理非常復(fù)雜而龐大，實現(xiàn)TCP/IP的第一步必須要能夠正確地理解定義、實現(xiàn)TCP/IP各協(xié)議的數(shù)據(jù)包格式。計算機網(wǎng)絡(luò)3.新型防火墻技術(shù)⑵TCP/IP協(xié)議處理計算機網(wǎng)絡(luò)7.4.4防火墻的選購

1.防火墻自身的安全性

2.系統(tǒng)的穩(wěn)定性

3.是否高效

4.是否可靠

5.是否功能靈活

6.是否配置方便

7.是否管理簡便

8.是否可以抵抗拒絕服務(wù)攻擊

9.是否可以針對用戶身份過濾

10.是否可擴展、可升級

計算機網(wǎng)絡(luò)7.4.4防火墻的選購1.防火墻自身的安全性計算機網(wǎng)7.5.5防火墻技術(shù)發(fā)展趨勢

當前防火墻技術(shù)分類

2.防火墻發(fā)展的技術(shù)趨勢計算機網(wǎng)絡(luò)7.5.5防火墻技術(shù)發(fā)展趨勢當前防火墻技術(shù)分類計算機網(wǎng)1.當前防火墻技術(shù)分類

㈠

包過濾技術(shù)

包過濾防火墻具有根本的缺陷：

⑴

不能防范黑客攻擊。

⑵

不支持應(yīng)用層協(xié)議。

⑶

不能處理新的安全威脅。

㈡

應(yīng)用代理網(wǎng)關(guān)技術(shù)

⑴難于配置。

⑵處理速度非常慢。

㈢

狀態(tài)檢測技術(shù)

計算機網(wǎng)絡(luò)1.當前防火墻技術(shù)分類㈠包過濾技術(shù)計算機網(wǎng)絡(luò)2.防火墻發(fā)展的技術(shù)趨勢

1.新需求引發(fā)的技術(shù)走向

(1)遠程辦公的增長。

⑵內(nèi)部網(wǎng)絡(luò)“包廂化”(Compartmentalizing)。

2.黑客攻擊引發(fā)的技術(shù)走向

80端口的關(guān)閉。

⑴數(shù)據(jù)包的深度檢測。

⑵協(xié)同性。

計算機網(wǎng)絡(luò)2.防火墻發(fā)展的技術(shù)趨勢1.新需求引發(fā)的技術(shù)走向計算7.5傳統(tǒng)局域網(wǎng)管理7.5.1了解網(wǎng)絡(luò)7.5.2網(wǎng)絡(luò)運行7.5.3網(wǎng)絡(luò)維護計算機網(wǎng)絡(luò)7.5傳統(tǒng)局域網(wǎng)管理7.5.1了解網(wǎng)絡(luò)計算機網(wǎng)絡(luò)傳統(tǒng)的局域網(wǎng)管理主要針對一定范圍的局域網(wǎng)絡(luò)，在這樣的局域網(wǎng)絡(luò)中包括的主要管理對象有：服務(wù)器、客戶機、各種網(wǎng)絡(luò)線路與集線器以及各種網(wǎng)絡(luò)操作系統(tǒng)。由于在這樣規(guī)模的局域網(wǎng)中，網(wǎng)絡(luò)管理的對象有限，網(wǎng)絡(luò)管理一般包括三個方面：了解網(wǎng)絡(luò)，網(wǎng)絡(luò)運行以及網(wǎng)絡(luò)維護。

計算機網(wǎng)絡(luò)傳統(tǒng)的局域網(wǎng)管理主要針對一定范圍的局域網(wǎng)絡(luò)，在這樣的局域網(wǎng)絡(luò)7.5.1了解網(wǎng)絡(luò)

1.識別網(wǎng)絡(luò)對象的硬件情況

2.判別局域網(wǎng)的拓撲結(jié)構(gòu)

3.確定網(wǎng)絡(luò)的互聯(lián)

4.確定用戶負載和定位

計算機網(wǎng)絡(luò)7.5.1了解網(wǎng)絡(luò)1.識別網(wǎng)絡(luò)對象的硬件情況計算機網(wǎng)絡(luò)7.5.2網(wǎng)絡(luò)運行

1.配置網(wǎng)絡(luò)

2.配置網(wǎng)絡(luò)服務(wù)器

3.網(wǎng)絡(luò)安全控制

計算機網(wǎng)絡(luò)7.5.2網(wǎng)絡(luò)運行1.配置網(wǎng)絡(luò)計算機網(wǎng)絡(luò)7.5.3網(wǎng)絡(luò)維護

1.常見網(wǎng)絡(luò)的故障和修復(fù)

2.網(wǎng)絡(luò)檢查

3.網(wǎng)絡(luò)升級

計算機網(wǎng)絡(luò)7.5.3網(wǎng)絡(luò)維護1.常見網(wǎng)絡(luò)的故障和修復(fù)計算機網(wǎng)絡(luò)7.6網(wǎng)絡(luò)管理功能7.6.1配置管理7.6.2性能管理7.6.3故障管理7.6.4安全管理7.6.5計費管理計算機網(wǎng)絡(luò)7.6網(wǎng)絡(luò)管理功能7.6.1配置管理計算機網(wǎng)絡(luò)在實際網(wǎng)絡(luò)管理過程中，網(wǎng)絡(luò)管理具有的功能非常廣泛，包括了很多方面。在OSI網(wǎng)絡(luò)管理標準中定義了網(wǎng)絡(luò)管理的五大功能，它們分別是配置管理、性能管理、故障管理、安全管理和計費管理，這五個功能是網(wǎng)絡(luò)管理最基本的功能。

計算機網(wǎng)絡(luò)在實際網(wǎng)絡(luò)管理過程中，網(wǎng)絡(luò)管理具有的功能非常廣泛，包括了很多7.6.1配置管理自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，構(gòu)造和維護網(wǎng)絡(luò)系統(tǒng)的配置。監(jiān)測網(wǎng)絡(luò)被管對象的狀態(tài)，完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語法檢查，配置自動生成和自動配置備份系統(tǒng)，對于配置的一致性進行嚴格的檢驗。

1.配置信息的自動獲?。?/p>

2.自動配置、自動備份及相關(guān)技術(shù)：

3.配置一致性檢查：

4.用戶操作記錄功能：

計算機網(wǎng)絡(luò)7.6.1配置管理自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，構(gòu)造7.6.2性能管理

采集、分析網(wǎng)絡(luò)對象的性能數(shù)據(jù)，監(jiān)測網(wǎng)絡(luò)對象的性能，對網(wǎng)絡(luò)線路質(zhì)量進行分析。同時，統(tǒng)計網(wǎng)絡(luò)運行狀態(tài)信息，對網(wǎng)絡(luò)的使用發(fā)展作出評測、估計，為網(wǎng)絡(luò)進一步規(guī)劃與調(diào)整提供依據(jù)。性能監(jiān)控：2.閾值控制：3.性能分析：4.可視化的性能報告：

5.實時性能監(jiān)控：6.網(wǎng)絡(luò)對象性能查詢：

計算機網(wǎng)絡(luò)7.6.2性能管理采集、分析網(wǎng)絡(luò)對象的性能數(shù)據(jù)7.6.3故障管理

過濾、歸并網(wǎng)絡(luò)事件，有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障，給出排錯建議與排錯工具，形成整套的故障發(fā)現(xiàn)、告警與處理機制。

1.故障監(jiān)測：

2.故障報警：

3.故障信息管理：

4.排錯支持工具：

5.檢索／分析故障信息：

計算機網(wǎng)絡(luò)7.6.3故障管理過濾、歸并網(wǎng)絡(luò)事件，有效地發(fā)現(xiàn)、定7.6.4安全管理

結(jié)合使用用戶認證、訪問控制、數(shù)據(jù)傳輸、存儲的保密與完整性機制，以保障網(wǎng)絡(luò)管理系統(tǒng)本身的安全。維護系統(tǒng)日志，使系統(tǒng)的使用和網(wǎng)絡(luò)對象的修改有據(jù)可查。控制對網(wǎng)絡(luò)資源的訪問。

安全管理的功能分為兩部分，首先是網(wǎng)絡(luò)管理本身的安全，其次是被管網(wǎng)絡(luò)對象的安全。

計算機網(wǎng)絡(luò)7.6.4安全管理結(jié)合使用用戶認證、訪問控制、數(shù)據(jù)傳輸、7.6.5計費管理

1.計費數(shù)據(jù)采集：

2.數(shù)據(jù)管理與數(shù)據(jù)維護：

3.計費政策制定；

4.政策比較與決策支持：

5.數(shù)據(jù)分析與費用計算：

6.數(shù)據(jù)查詢：

計算機網(wǎng)絡(luò)7.6.5計費管理1.計費數(shù)據(jù)采集：計算機網(wǎng)絡(luò)7.7網(wǎng)絡(luò)管理協(xié)議7.7.1SNMP7.7.2CMIS/CMIP7.7.3CMOT7.7.4LMMP計算機網(wǎng)絡(luò)7.7網(wǎng)絡(luò)管理協(xié)議7.7.1SNMP計算機網(wǎng)絡(luò)7.7.1SNMP

簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的前身是1987年發(fā)布的簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP)。SGMP給出了監(jiān)控網(wǎng)關(guān)(OSI第三層路由器)的直接手段，SNMP則是在其基礎(chǔ)上發(fā)展而來。最初，SNMP是作為一種可提供最小網(wǎng)絡(luò)管理功能的臨時方法開發(fā)的，它具有以下兩個優(yōu)點：1.與SNMP相關(guān)的管理信息結(jié)構(gòu)(SMI)以及管理信息庫(MIB)非常簡單，從而能夠迅速、簡便地實現(xiàn)；2.SNMP是建立在SGMP基礎(chǔ)上的，而對于SGMP，人們積累了大量的操作經(jīng)驗。計算機網(wǎng)絡(luò)7.7.1SNMP簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的前身是17.7.2CMIS/CMIP

公共管理信息服務(wù)／公共管理信息協(xié)議(CMIS/CMIP)是OSI提供的網(wǎng)絡(luò)管理協(xié)議簇。CMIS定義了每個網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù)，這些服務(wù)在本質(zhì)上是很普通的，CMIP則是實現(xiàn)CMIS服務(wù)的協(xié)議。

計算機網(wǎng)絡(luò)7.7.2CMIS/CMIP公共管理信息服務(wù)／公共管理信7.7.3CMOT

公共管理信息服務(wù)與協(xié)議(CMOT)是在TCP/IP協(xié)議簇上實現(xiàn)CMIS服務(wù)，這是一種過渡性的解決方案，直到OSI網(wǎng)絡(luò)管理協(xié)議被廣泛采用。計算機網(wǎng)絡(luò)7.7.3CMOT公共管理信息服務(wù)與協(xié)議(CMOT)是在7.7.4LMMP

局域網(wǎng)個人管理協(xié)議(LMMP)試圖為LAN環(huán)境提供一個網(wǎng)絡(luò)管理方案。LMMP以前被稱為IEEE802邏輯鏈路控制上的公共管理信息服務(wù)與協(xié)議(CMOL)。由于該協(xié)議直接位于IEEE802邏輯鏈路層(LLC)上，它可以不依賴于任何特定的網(wǎng)絡(luò)層協(xié)議進行網(wǎng)絡(luò)傳輸。

計算機網(wǎng)絡(luò)7.7.4LMMP局域網(wǎng)個人管理協(xié)議(LMMP)試圖為L7.8簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)7.8.1SNMP概述7.8.2

SNMP管理控制框架與實現(xiàn)計算機網(wǎng)絡(luò)7.8簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)7.8.1SNM7.8.1SNMP概述

SNMP的前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP)，用來對通信線路進行管理。隨后，人們對SGMP進行了很大的修改，特別是加入了符合Internet定義的SMI和MIB：體系結(jié)構(gòu)，改進后的協(xié)議就是著名的SNMP。

計算機網(wǎng)絡(luò)7.8.1SNMP概述SNMP的前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SNMP的體系結(jié)構(gòu)是圍繞著以下四個概念和目標進行設(shè)計的：保持管理代理(agent)的軟件成本盡可能低；最大限度地保持遠程管理的功能，以便充分利用Internet的網(wǎng)絡(luò)資源；體系結(jié)構(gòu)必須有擴充的余地；保持SNMP的獨立性，不依賴于具體的計算機、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。在最近的改進中，又加入了保證SNMP體系本身安全性的目標。

計算機網(wǎng)絡(luò)SNMP的體系結(jié)構(gòu)是圍繞著以下四個概念和目標進行設(shè)計的：保持另外，SNMP中提供了四類管理操作：get操作用來提取特定的網(wǎng)絡(luò)管理信息；get-next操作通過遍歷活動來提供強大的管理信息提取能力；set操作用來對管理信息進行控制(修改、設(shè)置)；trap操作用來報告重要的事件。

計算機網(wǎng)絡(luò)另外，SNMP中提供了四類管理操作：get操作用來提取特定的7.8.2

SNMP管理控制框架與實現(xiàn)

1．SNMP管理控制框架

2．SNMP實現(xiàn)方式為了提供遍歷管理信息庫的手段

計算機網(wǎng)絡(luò)7.8.2SNMP管理控制框架與實現(xiàn)1．SNMP管理控7.9網(wǎng)絡(luò)管理系統(tǒng)7.9.1HP的0penView7.9.2IBM的NetView7.9.3SUN的SUNNetManager7.9.4Cabletron的SPECTRUM計算機網(wǎng)絡(luò)7.9網(wǎng)絡(luò)管理系統(tǒng)7.9.1HP的0penView計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)7.10網(wǎng)絡(luò)管理和維護7.10.1VLAN管理7.10.2WAN接入管理7.10.3網(wǎng)絡(luò)故障診斷和排除7.10.4網(wǎng)絡(luò)管理工具計算機網(wǎng)絡(luò)7.10網(wǎng)絡(luò)管理和維護7.10.1VLAN管理計7.10.1VLAN管理

1．VLANView2．TrafficView計算機網(wǎng)絡(luò)7.10.1VLAN管理1．VLANView計算機網(wǎng)絡(luò)7.10.2WAN接入管理

在網(wǎng)絡(luò)管理的解決方案中，我們知道一個大型網(wǎng)絡(luò)，一般是WAN，是通過分層進行管理的。比如在一個全國性的網(wǎng)絡(luò)中心之下有許多地區(qū)性的網(wǎng)絡(luò)中心，一般全國性的網(wǎng)絡(luò)中心主要保證這個WAN的主干網(wǎng)正常運轉(zhuǎn)，而地區(qū)性網(wǎng)絡(luò)中心則主要負責各個網(wǎng)絡(luò)用戶的接入管理。

計算機網(wǎng)絡(luò)7.10.2WAN接入管理在網(wǎng)絡(luò)管理的解決方案中，我們知7.10.3網(wǎng)絡(luò)故障診斷和排除

1．物理故障

2.邏輯故障

計算機網(wǎng)絡(luò)7.10.3網(wǎng)絡(luò)故障診斷和排除1．物理故障計算機網(wǎng)絡(luò)7.10.4網(wǎng)絡(luò)管理工具

1．連通性測試程序

2.路由跟蹤程序

3．MIB變量瀏覽計算機網(wǎng)絡(luò)7.10.4網(wǎng)絡(luò)管理工具1．連通性測試程序計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.2數(shù)字加密技術(shù)

7.3電子郵件的安全性

7.4防火墻技術(shù)簡介

7.5傳統(tǒng)局域網(wǎng)管理

7.6網(wǎng)絡(luò)管理功能

7.7網(wǎng)絡(luò)管理協(xié)議

7.8簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)7.9網(wǎng)絡(luò)管理系統(tǒng)

7.10網(wǎng)絡(luò)管理和維護

7.11小結(jié)

計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的基本概念7.1.2網(wǎng)絡(luò)安全威脅7.1.3安全服務(wù)7.1.4安全機制計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的基本概念計廣義上說用戶角度網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)硬件資源和信息資源的安全性。網(wǎng)絡(luò)安全主要是保障個人數(shù)據(jù)或企業(yè)的信息在網(wǎng)絡(luò)中的保密性、完整性、不可否認性，防止信息的泄露和破壞，防止信息資源的非授權(quán)訪問。信息安全通信線路通信設(shè)備主機系統(tǒng)軟件、應(yīng)用軟件、用戶信息數(shù)據(jù)計算機網(wǎng)絡(luò)廣義上說用戶角度網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)安全主要是保障個人信通信線路

在此，對網(wǎng)絡(luò)安全下一個通用的定義：

網(wǎng)絡(luò)安全是指保護網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄漏，保證網(wǎng)絡(luò)系統(tǒng)的正常運行、網(wǎng)絡(luò)服務(wù)不中斷。

計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)實體(人、事件、程序等)資源機密性完整性可用性可控性

安全威脅是指某個實體對某一資源在合法使用時造成的危害。

計算機網(wǎng)絡(luò)實體資源安全威脅是指某個實體對某一資源計算機網(wǎng)絡(luò)安全威脅故意的(如系統(tǒng)入侵)偶然的(如將信息發(fā)到錯誤地址)被動威脅：只對信息進行監(jiān)聽，而不對其修改和破壞。

主動威脅：則是對信息進行故意修改和破壞，使合法用戶得不到可用信息。

計算機網(wǎng)絡(luò)安故意的偶然的被動威脅：主動威脅：計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全具備四個方面的特征：

機密性、完整性、可用性及可控性

基本的安全威脅：

⑴信息泄露：信息泄露給某個未經(jīng)授權(quán)的實體。

⑵完整性破壞：數(shù)據(jù)的一致性由于受到未經(jīng)授權(quán)的修改、創(chuàng)建、破壞而損害。

⑶拒絕服務(wù)：對資源的合法訪問被拒絕。

⑷非法使用：某一資源被非授權(quán)人或以非授權(quán)方式使用。

計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全具備四個方面的特征：計算機網(wǎng)絡(luò)實現(xiàn)威脅可以直接導(dǎo)致某一基本威脅的實現(xiàn)，主要包括滲入威脅和植入威脅。主要的滲入威脅有：

⑴假冒：即某個實體假裝成另外一個不同的實體。⑵旁路：攻擊者通過各種手段發(fā)現(xiàn)一些系統(tǒng)安全缺陷，并利用這些安全缺陷繞過系統(tǒng)防線滲入到系統(tǒng)內(nèi)部。

⑶授權(quán)侵犯：對某一資源具有一定權(quán)限的實體，將此權(quán)限用于未被授權(quán)的目的，也稱“內(nèi)部威脅”。主要的植入威脅有：

⑴特洛伊木馬：它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。⑵陷門：即“后門”程序，它是在某個系統(tǒng)或某個文件中預(yù)先設(shè)置的“機關(guān)”，使得當提供特定的軟件時，允許違反安全策略。計算機網(wǎng)絡(luò)實現(xiàn)威脅可以直接導(dǎo)致某一基本主要的滲入威脅有：主要的植入威

安全服務(wù)是指計算機網(wǎng)絡(luò)提供的安全防護措施。

國際標準化組織(ISO)定義了以下幾種基本的安全服務(wù)：認證服務(wù)、訪問控制、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認服務(wù)。

計算機網(wǎng)絡(luò)安全服務(wù)是指計算機網(wǎng)絡(luò)提供的安全防護措施。計算機網(wǎng)絡(luò)⑴認證服務(wù)確保某個實體身份的可靠性，分為兩種類型。一種類型是認證實體本身的身份，確保其真實性，稱為實體認證。實體認證中一種最常見的方式，就是通過口令來認證訪問者的身份。另一種認證是證明某個信息是否來自于某個特定的實體，這種認證叫做數(shù)據(jù)源認證。數(shù)據(jù)源認證在現(xiàn)實生活中的典型例子就是簽字，如銀行支票和文件上的簽名。在計算機系統(tǒng)中也有相應(yīng)的數(shù)據(jù)簽名技術(shù)。

計算機網(wǎng)絡(luò)⑴認證服務(wù)確保某個實體身份的可靠性，分為兩種類型。計算機網(wǎng)絡(luò)⑵訪問控制

訪問控制的目標是防止對任何資源的非授權(quán)訪問，確保只有經(jīng)過授權(quán)的實體才能訪問受保護的資源。

計算機網(wǎng)絡(luò)⑵訪問控制訪問控制的目標是防止對任何資源的非授⑶數(shù)據(jù)機密性服務(wù)

數(shù)據(jù)機密性服務(wù)確保只有經(jīng)過授權(quán)的實體才能理解受保護的信息。在信息安全中主要區(qū)分兩種機密性服務(wù)：數(shù)據(jù)機密性服務(wù)和業(yè)務(wù)流機密性服務(wù)。數(shù)據(jù)機密性服務(wù)主要是采用加密手段使得攻擊者即使竊取了加密的數(shù)據(jù)也很難推出有用的信息；業(yè)務(wù)流機密性服務(wù)則要使監(jiān)聽者很難從網(wǎng)絡(luò)流量的變化上推出敏感信息。

計算機網(wǎng)絡(luò)⑶數(shù)據(jù)機密性服務(wù)數(shù)據(jù)機密性服務(wù)確保只有經(jīng)過授權(quán)⑷數(shù)據(jù)完整性服務(wù)

防止對數(shù)據(jù)未經(jīng)授權(quán)的修改和破壞。完整性服務(wù)使消息的接收者能夠發(fā)現(xiàn)消息是否被修改，是否被攻擊者用假消息換掉。

計算機網(wǎng)絡(luò)⑷數(shù)據(jù)完整性服務(wù)防止對數(shù)據(jù)未經(jīng)授權(quán)的修改和破壞⑸不可否認服務(wù)

根據(jù)ISO的標準，不可否認服務(wù)要防止對數(shù)據(jù)源以及數(shù)據(jù)提交的否認。它有兩種可能：數(shù)據(jù)發(fā)送的不可否認性和數(shù)據(jù)接收的不可否認性。這兩種服務(wù)需要比較復(fù)雜的基礎(chǔ)設(shè)施的支持，如數(shù)字簽名技術(shù)。計算機網(wǎng)絡(luò)⑸不可否認服務(wù)根據(jù)ISO的標準，不可否認

安全機制是用來實施安全服務(wù)的機制。

安全機制既可以是具體的、特定的，也可以是通用的。主要的安全機制有以下幾種：加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、認證交換機制、流量填充機制、路由控制機制及公證機制等。計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)⑴加密機制用于保護數(shù)據(jù)的機密性。⑵數(shù)字簽名機制是保證數(shù)據(jù)完整性及不可否認性的一種重要手段。⑶訪問控制機制與實體認證密切相關(guān)。⑷數(shù)據(jù)完整性機制用于保護數(shù)據(jù)免受未經(jīng)授權(quán)的修改。⑸流量填充機制針對的是對網(wǎng)絡(luò)流量進行分析的攻擊。⑹路由控制機制可以指定數(shù)據(jù)通過網(wǎng)絡(luò)的路徑。⑺公證機制由通信各方都信任的第三方提供。計算機網(wǎng)絡(luò)⑴加密機制用于保護數(shù)據(jù)的機密性。計算機網(wǎng)絡(luò)7.2數(shù)字加密技術(shù)7.2.1數(shù)據(jù)加密模型7.2.2常規(guī)密鑰密碼體制7.2.3公開密鑰密碼體制計算機網(wǎng)絡(luò)7.2數(shù)字加密技術(shù)7.2.1數(shù)據(jù)加密模型計算機網(wǎng)7.2.1數(shù)據(jù)加密模型

如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來唯一地確定出對應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。在無任何限制的條件下，目前幾乎所有的密碼體制均是可破的。如果一個密碼體制中的密碼不能被可以使用的計算資源破譯，則這一密碼體制稱為在計算上是安全的。

計算機網(wǎng)絡(luò)7.2.1數(shù)據(jù)加密模型如果不論截取者獲得了圖7-1一般數(shù)據(jù)加密模型

計算機網(wǎng)絡(luò)圖7-1一般數(shù)據(jù)加密模型計算機網(wǎng)絡(luò)明文X用加密算法E和加密密鑰K得到密文Y=Ek(X)。在傳送過程中可能出現(xiàn)密文截取者。到了收端，利用解密算法D和解密密鑰K解出明文為Dk(Y)=Dk(Ek(X))=X。其中，截者也可稱為攻擊者或侵入者。在這里，我們假定加密密鑰和解密密鑰都是一樣的。計算機網(wǎng)絡(luò)明文X用加密算法E和加密密鑰K得到密文Y=Ek(密碼編碼學(xué)是密碼體制的設(shè)計學(xué)。密碼分析學(xué)則是在未知密鑰的情況下，從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)。

早在幾千年前人類就已經(jīng)有了思想和方法。但直到1949年，創(chuàng)始人香農(nóng)(C.E.Shannon)發(fā)表著名論文“CommunicationTheoryofSecrecySystems”，論證了一般經(jīng)典加密方法得到的密文幾乎都是可破的。

計算機網(wǎng)絡(luò)密碼編碼學(xué)是密碼體制的設(shè)計學(xué)。計算機網(wǎng)絡(luò)密碼學(xué)的研究曾面臨著危機，但從20世紀60年代起，隨著電子技術(shù)和計算技術(shù)的迅速發(fā)展以及結(jié)構(gòu)代數(shù)、可計算性和計算復(fù)雜性理論等學(xué)科的研究，密碼學(xué)又進入了一個新的發(fā)展時期。在20世紀70年代后期，美國的數(shù)據(jù)加密標準DES(DataEncryptionStandard)和公開密鑰密碼體制(publickeycrypto-system)的出現(xiàn)，成為近代密碼學(xué)發(fā)展史上的兩個重要里程碑。

計算機網(wǎng)絡(luò)密碼學(xué)的研究曾面臨著危機，但從20世紀60年代起，隨著電子技7.2.2常規(guī)密鑰密碼體制

所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰相同的密碼體制。

替代密碼與轉(zhuǎn)換密碼

序列密碼與分組密碼

分組密碼算法之一：數(shù)據(jù)加密標準DES分組密碼算法之二：國際數(shù)據(jù)加密算法IDEA計算機網(wǎng)絡(luò)7.2.2常規(guī)密鑰密碼體制所謂常規(guī)密鑰密碼體制，即替代密碼(substitutioncipher)將字母a，b，c，d…，w，x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，…，X，A，B，C分別對應(yīng)(即相差3個)。若明文為caesarcipher，則對應(yīng)的密文為FDHVDUFLSKHU(此時密鑰為3)。計算機網(wǎng)絡(luò)替代密碼(substitutioncipher)轉(zhuǎn)換密碼(transpositioncipher)

轉(zhuǎn)換密碼則是按照某一規(guī)則重新排列消息中的字符的順序。例如，以CIPHER這個字為規(guī)則。在此密鑰中的英文字母順序，C為第1，E為第2，……，R為第6，于是得出密鑰的順序為145326。按如下規(guī)則來形成密文，首先讀取第1列的字符，然后讀取第5列、第4列、第2列、第3列和第6列，明文也以6個字符為一組寫在密鑰下。計算機網(wǎng)絡(luò)轉(zhuǎn)換密碼(transpositioncipher)轉(zhuǎn)如：密鑰CIPHER順序145326(此順序與密鑰等價，但不如密鑰便于記憶。)明文attackbeginsattwo(注：明文的意思是"二時開始進攻"。)得出密文為abacnwaittettgkso。接收者按密鑰中的字母順序按列寫下按行讀出，即得明文。計算機網(wǎng)絡(luò)如：計算機網(wǎng)絡(luò)2.序列密碼與分組密碼

從得到的密文序列的結(jié)構(gòu)來劃分，則有序列密碼與分組密碼兩種不同的密碼體制。序列密碼體制是將明文X看成是連續(xù)的比特流(或字符流)x1x2…，并且用密鑰序列K=k1k2…中的第i個元素ki對明文中的xi進行加密，即Ek(X)=Ek1(x1)Ek2(x2)…計算機網(wǎng)絡(luò)2.序列密碼與分組密碼從得到的密文序列的結(jié)構(gòu)來劃分，則有圖7-2序列密碼框圖計算機網(wǎng)絡(luò)圖7-2序列密碼框圖計算機網(wǎng)絡(luò)圖7-3分組密碼體制

計算機網(wǎng)絡(luò)圖7-3分組密碼體制計算機網(wǎng)絡(luò)圖7-4DES加密算法

計算機網(wǎng)絡(luò)圖7-4DES加密算法計算機網(wǎng)絡(luò)圖7-5加密(解密)的分組鏈接方法

計算機網(wǎng)絡(luò)圖7-5加密(解密)的分組鏈接方法計算機網(wǎng)絡(luò)(a)IDEA采用8次圖7-6IDEA加密框圖

計算機網(wǎng)絡(luò)(a)IDEA采用8次圖7-6IDEA加密框圖計(b)每次迭代的計算圖7-6IDEA加密框圖

計算機網(wǎng)絡(luò)(b)每次迭代的計算圖7-6IDEA加密框圖計算機網(wǎng)絡(luò)圖7-7公開密鑰密碼算法

計算機網(wǎng)絡(luò)圖7-7公開密鑰密碼算法計算機網(wǎng)絡(luò)7.3電子郵件的安全性7.3.1電子郵件系統(tǒng)安全問題7.3.2.郵件安全協(xié)議計算機網(wǎng)絡(luò)7.3電子郵件的安全性7.3.1電子郵件系統(tǒng)安全問題7.3.1電子郵件系統(tǒng)安全問題

1.匿名轉(zhuǎn)發(fā)

2.電子郵件欺騙

3.E-mail炸彈

計算機網(wǎng)絡(luò)7.3.1電子郵件系統(tǒng)安全問題1.匿名轉(zhuǎn)發(fā)計算機網(wǎng)電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，從一個機器傳輸?shù)搅硪粋€機器，整個過程中的電子郵件都是明文的方式傳輸?shù)?，在電子郵件所經(jīng)過網(wǎng)路上的任一系統(tǒng)管理員或黑客都有可能截獲并更改該郵件，甚至偽造某人的電子郵件。一些信息，如商務(wù)計劃、合同、賬單等敏感信息很容易被人看見。因此，電子郵件的安全保密問題已越來越引起人們的擔憂。主要講解電子郵件面臨的一些安全問題。計算機網(wǎng)絡(luò)電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，從一個機1.匿名轉(zhuǎn)發(fā)一般情況下，一封完整的E-mail應(yīng)該包含有收件人和發(fā)件人的信息。沒有發(fā)件人信息的郵件就是這里所說的匿名郵件，郵件的發(fā)件人刻意隱瞞自己的電子郵箱地址和其他信息，或者通過某些方法給你一些錯誤的發(fā)件人信息。計算機網(wǎng)絡(luò)1.匿名轉(zhuǎn)發(fā)一般情況下，一封完整的E-mail2.電子郵件欺騙

電子郵件“欺騙”是在電子郵件中改變名字，使之看起來是從某地或某人發(fā)來的行為。

例如，攻擊者佯稱自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同)，給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序，

計算機網(wǎng)絡(luò)2.電子郵件欺騙電子郵件“欺騙”是在電子郵件中執(zhí)行電子郵件欺騙常用的三種基本方法：

(1)相似的電子郵件地址

(2)修改郵件客戶

(3)遠程聯(lián)系，登錄到端口25計算機網(wǎng)絡(luò)執(zhí)行電子郵件欺騙常用的三種基本方法：(1)相似的電子郵件地3.E-mail炸彈

現(xiàn)在介紹一些針對E-Mail炸彈的解救方法:(1)向ISP求助

(2)用軟件清除

(3)借用Outlook的阻止發(fā)件人功能

(4)用郵件程序的email-notify功能來過濾信件

計算機網(wǎng)絡(luò)3.E-mail炸彈現(xiàn)在介紹一些針對E-Mail炸彈的7.3.2.郵件安全協(xié)議

安全電子郵件能解決郵件的加密傳輸問題，驗證發(fā)送者的身份問題，錯發(fā)用戶的收件無效問題。保證電子郵件的安全常用到兩種端到端的安全技術(shù)：PGP(PrettyGoodPrivacy)和S/MIME(SecureMulti-PartIntermailMailExtension)。它們的主要功能就是身份的認證和傳輸數(shù)據(jù)的加密。

計算機網(wǎng)絡(luò)7.3.2.郵件安全協(xié)議安全電子郵件能解決郵件的加密傳輸1.PGP(1)PGP簡介PGP是一個基于公開密鑰加密算法的應(yīng)用程序，該程序創(chuàng)造性在于把RSA公鑰體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來，并在數(shù)字簽名和密鑰認證管理機制上有巧妙的設(shè)計。

特點：加密速度快，可移植性出色，源代碼是免費的，計算機網(wǎng)絡(luò)1.PGP(1)PGP簡介PGP是一個基于公開密鑰加密2PGP加密算法

PGP加密算法包括四個方面

一個單鑰加密算法(IDEA)一個公鑰加密算法(RSA)一個單向散列算法(MD5)一個隨機數(shù)產(chǎn)生器

計算機網(wǎng)絡(luò)2PGP加密算法PGP加密算法包括四個方面計算機網(wǎng)絡(luò)PGP的出現(xiàn)和應(yīng)用很好地解決了電子郵件的安全傳輸問題，它將傳統(tǒng)的對稱性加密與公開密鑰加密方法結(jié)合起來，兼?zhèn)淞藘蛇\行時的優(yōu)點，可以支持1024位的公開密鑰與128位的傳統(tǒng)加密，達到軍事級別的標準，完全能夠滿足電子郵件對于安全性能的要求。

計算機網(wǎng)絡(luò)PGP的出現(xiàn)和應(yīng)用很好地解決了電子郵件的安全傳輸問題3.S/MIME協(xié)議

MIME(MultipurposeInternetMailExtensions，多用途因特網(wǎng)郵件擴展)是一種因特網(wǎng)郵件標準化的格式，它允許以標準化的格式在電子郵件消息中包含增強文本、音頻、圖形、視頻和類似的信息。然而，MIME不提供任何安全性元素——S/MIME則添加了這些元素。計算機網(wǎng)絡(luò)3.S/MIME協(xié)議MIME(Multipurpose3.S/MIME協(xié)議S/MIME(Secure/MIME，安全的多用途Internet電子郵件擴充)是由RSA公司于1995年提出的電子郵件安全協(xié)議，與較為傳統(tǒng)的PEM不同，由于其內(nèi)部采用了MIME的消息格式，因此不僅能發(fā)送文本，還可以攜帶各種附加文檔，如包含國際字符集、HTML、音頻、語音郵件、圖像、多媒體等不同類型的數(shù)據(jù)內(nèi)容，目前大多數(shù)電子郵件產(chǎn)品都包含了對S/MIME的內(nèi)部支持。

計算機網(wǎng)絡(luò)3.S/MIME協(xié)議S/MIME(Secure/M7.4防火墻技術(shù)簡介7.4.1防火墻技術(shù)簡介7.4.2防火墻功能基本指標7.4.3新型防火墻技術(shù)7.4.4防火墻的選購7.5.5防火墻技術(shù)發(fā)展趨勢計算機網(wǎng)絡(luò)7.4防火墻技術(shù)簡介7.4.1防火墻技術(shù)簡介計算7.4.1防火墻技術(shù)簡介

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為最甚。

計算機網(wǎng)絡(luò)7.4.1防火墻技術(shù)簡介防火墻技術(shù)是建立在現(xiàn)什么是防火墻？

2.防火墻能做什么？

3.防火墻的種類

4.分組過濾型防火墻

5.應(yīng)用代理型防火墻

6.復(fù)合型防火墻

7.防火墻操作系統(tǒng)

8.NAT技術(shù)

9.防火墻的抗攻擊能力

10.防火墻的局限性

計算機網(wǎng)絡(luò)什么是防火墻？計算機網(wǎng)絡(luò)1.什么是防火墻？

7-8防火墻邏輯位置示意圖

計算機網(wǎng)絡(luò)1.什么是防火墻？7-8防火墻邏輯位置示意圖計算機防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

計算機網(wǎng)絡(luò)防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

計算機網(wǎng)絡(luò)在邏輯上，防火墻是一個分離器，一個限制器，也是一2.防火墻能做什么？

防火墻是網(wǎng)絡(luò)安全的屏障：

防火墻可以強化網(wǎng)絡(luò)安全策略：

對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計：

防止內(nèi)部信息的外泄：

計算機網(wǎng)絡(luò)2.防火墻能做什么？防火墻是網(wǎng)絡(luò)安全的屏障：計算機網(wǎng)3.防火墻的種類

分組過濾(Packetfiltering)：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

計算機網(wǎng)絡(luò)3.防火墻的種類分組過濾(Packetfilteri3.防火墻的種類應(yīng)用代理(ApplicationProxy)：也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway)，

它作用在應(yīng)用層，其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。

計算機網(wǎng)絡(luò)3.防火墻的種類應(yīng)用代理(ApplicationPro4.分組過濾型防火墻

分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式；之所以廉價，因為大多數(shù)路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業(yè)的安全要求。

計算機網(wǎng)絡(luò)4.分組過濾型防火墻分組過濾或包過濾，是一種通用、廉價、5.應(yīng)用代理型防火墻

圖7-9應(yīng)用代理防火墻

計算機網(wǎng)絡(luò)5.應(yīng)用代理型防火墻圖7-9應(yīng)用代理防火墻計算機網(wǎng)絡(luò)6.復(fù)合型防火墻

由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復(fù)合型防火墻產(chǎn)品。

屏蔽主機防火墻體系結(jié)構(gòu)：

屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：

計算機網(wǎng)絡(luò)6.復(fù)合型防火墻計算機網(wǎng)絡(luò)7.防火墻操作系統(tǒng)

取消危險的系統(tǒng)調(diào)用限制命令的執(zhí)行權(quán)限；取消IP的轉(zhuǎn)發(fā)功能；檢查每個分組的接口；

對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進行：采用隨機連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內(nèi)核等。計算機網(wǎng)絡(luò)7.防火墻操作系統(tǒng)取消危險的系統(tǒng)調(diào)用對安全操作系統(tǒng)內(nèi)核的8.NAT技術(shù)

NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。

計算機網(wǎng)絡(luò)8.NAT技術(shù)NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換9.防火墻的抗攻擊能力

作為一種安全防護設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。

計算機網(wǎng)絡(luò)9.防火墻的抗攻擊能力作為一種安全防護設(shè)備，防火墻在網(wǎng)絡(luò)10.防火墻的局限性

存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過防火墻的攻擊。例如，如果允許從受保護的網(wǎng)絡(luò)內(nèi)部向外撥號，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。

計算機網(wǎng)絡(luò)10.防火墻的局限性存在著一些防火墻不能防范的安全威脅，7.4.2防火墻功能基本指標

產(chǎn)品類型2.LAN接口

3.協(xié)議支持4.加密支持

5.認證支持6.訪問控制

7.防御功能8.安全特性

9.管理功能10.記錄和報表功能

計算機網(wǎng)絡(luò)7.4.2防火墻功能基本指標產(chǎn)品類型1.產(chǎn)品類型

基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。

計算機網(wǎng)絡(luò)1.產(chǎn)品類型基于路由器的包過濾防火墻、計算機網(wǎng)絡(luò)2.LAN接口

支持的LAN接口類型：如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺：防火墻所運行的操作系統(tǒng)平臺(如