版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.2數(shù)字加密技術(shù)
7.3電子郵件的安全性
7.4防火墻技術(shù)簡介
7.5傳統(tǒng)局域網(wǎng)管理
7.6網(wǎng)絡(luò)管理功能
7.7網(wǎng)絡(luò)管理協(xié)議
7.8簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)7.9網(wǎng)絡(luò)管理系統(tǒng)
7.10網(wǎng)絡(luò)管理和維護
7.11小結(jié)
計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的基本概念7.1.2網(wǎng)絡(luò)安全威脅7.1.3安全服務(wù)7.1.4安全機制計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的基本概念計廣義上說用戶角度網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)硬件資源和信息資源的安全性。網(wǎng)絡(luò)安全主要是保障個人數(shù)據(jù)或企業(yè)的信息在網(wǎng)絡(luò)中的保密性、完整性、不可否認性,防止信息的泄露和破壞,防止信息資源的非授權(quán)訪問。信息安全通信線路通信設(shè)備主機系統(tǒng)軟件、應(yīng)用軟件、用戶信息數(shù)據(jù)計算機網(wǎng)絡(luò)廣義上說用戶角度網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)安全主要是保障個人信通信線路
在此,對網(wǎng)絡(luò)安全下一個通用的定義:
網(wǎng)絡(luò)安全是指保護網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源,使之免受偶然或惡意的破壞、篡改和泄漏,保證網(wǎng)絡(luò)系統(tǒng)的正常運行、網(wǎng)絡(luò)服務(wù)不中斷。
計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)實體(人、事件、程序等)資源機密性完整性可用性可控性
安全威脅是指某個實體對某一資源在合法使用時造成的危害。
計算機網(wǎng)絡(luò)實體資源安全威脅是指某個實體對某一資源計算機網(wǎng)絡(luò)安全威脅故意的(如系統(tǒng)入侵)偶然的(如將信息發(fā)到錯誤地址)被動威脅:只對信息進行監(jiān)聽,而不對其修改和破壞。
主動威脅:則是對信息進行故意修改和破壞,使合法用戶得不到可用信息。
計算機網(wǎng)絡(luò)安故意的偶然的被動威脅:主動威脅:計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全具備四個方面的特征:
機密性、完整性、可用性及可控性
基本的安全威脅:
⑴信息泄露:信息泄露給某個未經(jīng)授權(quán)的實體。
⑵完整性破壞:數(shù)據(jù)的一致性由于受到未經(jīng)授權(quán)的修改、創(chuàng)建、破壞而損害。
⑶拒絕服務(wù):對資源的合法訪問被拒絕。
⑷非法使用:某一資源被非授權(quán)人或以非授權(quán)方式使用。
計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全具備四個方面的特征:計算機網(wǎng)絡(luò)實現(xiàn)威脅可以直接導(dǎo)致某一基本威脅的實現(xiàn),主要包括滲入威脅和植入威脅。主要的滲入威脅有:
⑴假冒:即某個實體假裝成另外一個不同的實體。⑵旁路:攻擊者通過各種手段發(fā)現(xiàn)一些系統(tǒng)安全缺陷,并利用這些安全缺陷繞過系統(tǒng)防線滲入到系統(tǒng)內(nèi)部。
⑶授權(quán)侵犯:對某一資源具有一定權(quán)限的實體,將此權(quán)限用于未被授權(quán)的目的,也稱“內(nèi)部威脅”。主要的植入威脅有:
⑴特洛伊木馬:它是一種基于遠程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點。⑵陷門:即“后門”程序,它是在某個系統(tǒng)或某個文件中預(yù)先設(shè)置的“機關(guān)”,使得當提供特定的軟件時,允許違反安全策略。計算機網(wǎng)絡(luò)實現(xiàn)威脅可以直接導(dǎo)致某一基本主要的滲入威脅有:主要的植入威
安全服務(wù)是指計算機網(wǎng)絡(luò)提供的安全防護措施。
國際標準化組織(ISO)定義了以下幾種基本的安全服務(wù):認證服務(wù)、訪問控制、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認服務(wù)。
計算機網(wǎng)絡(luò)安全服務(wù)是指計算機網(wǎng)絡(luò)提供的安全防護措施。計算機網(wǎng)絡(luò)⑴認證服務(wù)確保某個實體身份的可靠性,分為兩種類型。一種類型是認證實體本身的身份,確保其真實性,稱為實體認證。實體認證中一種最常見的方式,就是通過口令來認證訪問者的身份。另一種認證是證明某個信息是否來自于某個特定的實體,這種認證叫做數(shù)據(jù)源認證。數(shù)據(jù)源認證在現(xiàn)實生活中的典型例子就是簽字,如銀行支票和文件上的簽名。在計算機系統(tǒng)中也有相應(yīng)的數(shù)據(jù)簽名技術(shù)。
計算機網(wǎng)絡(luò)⑴認證服務(wù)確保某個實體身份的可靠性,分為兩種類型。計算機網(wǎng)絡(luò)⑵訪問控制
訪問控制的目標是防止對任何資源的非授權(quán)訪問,確保只有經(jīng)過授權(quán)的實體才能訪問受保護的資源。
計算機網(wǎng)絡(luò)⑵訪問控制訪問控制的目標是防止對任何資源的非授⑶數(shù)據(jù)機密性服務(wù)
數(shù)據(jù)機密性服務(wù)確保只有經(jīng)過授權(quán)的實體才能理解受保護的信息。在信息安全中主要區(qū)分兩種機密性服務(wù):數(shù)據(jù)機密性服務(wù)和業(yè)務(wù)流機密性服務(wù)。數(shù)據(jù)機密性服務(wù)主要是采用加密手段使得攻擊者即使竊取了加密的數(shù)據(jù)也很難推出有用的信息;業(yè)務(wù)流機密性服務(wù)則要使監(jiān)聽者很難從網(wǎng)絡(luò)流量的變化上推出敏感信息。
計算機網(wǎng)絡(luò)⑶數(shù)據(jù)機密性服務(wù)數(shù)據(jù)機密性服務(wù)確保只有經(jīng)過授權(quán)⑷數(shù)據(jù)完整性服務(wù)
防止對數(shù)據(jù)未經(jīng)授權(quán)的修改和破壞。完整性服務(wù)使消息的接收者能夠發(fā)現(xiàn)消息是否被修改,是否被攻擊者用假消息換掉。
計算機網(wǎng)絡(luò)⑷數(shù)據(jù)完整性服務(wù)防止對數(shù)據(jù)未經(jīng)授權(quán)的修改和破壞⑸不可否認服務(wù)
根據(jù)ISO的標準,不可否認服務(wù)要防止對數(shù)據(jù)源以及數(shù)據(jù)提交的否認。它有兩種可能:數(shù)據(jù)發(fā)送的不可否認性和數(shù)據(jù)接收的不可否認性。這兩種服務(wù)需要比較復(fù)雜的基礎(chǔ)設(shè)施的支持,如數(shù)字簽名技術(shù)。計算機網(wǎng)絡(luò)⑸不可否認服務(wù)根據(jù)ISO的標準,不可否認
安全機制是用來實施安全服務(wù)的機制。
安全機制既可以是具體的、特定的,也可以是通用的。主要的安全機制有以下幾種:加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、認證交換機制、流量填充機制、路由控制機制及公證機制等。計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)⑴加密機制用于保護數(shù)據(jù)的機密性。⑵數(shù)字簽名機制是保證數(shù)據(jù)完整性及不可否認性的一種重要手段。⑶訪問控制機制與實體認證密切相關(guān)。⑷數(shù)據(jù)完整性機制用于保護數(shù)據(jù)免受未經(jīng)授權(quán)的修改。⑸流量填充機制針對的是對網(wǎng)絡(luò)流量進行分析的攻擊。⑹路由控制機制可以指定數(shù)據(jù)通過網(wǎng)絡(luò)的路徑。⑺公證機制由通信各方都信任的第三方提供。計算機網(wǎng)絡(luò)⑴加密機制用于保護數(shù)據(jù)的機密性。計算機網(wǎng)絡(luò)7.2數(shù)字加密技術(shù)7.2.1數(shù)據(jù)加密模型7.2.2常規(guī)密鑰密碼體制7.2.3公開密鑰密碼體制計算機網(wǎng)絡(luò)7.2數(shù)字加密技術(shù)7.2.1數(shù)據(jù)加密模型計算機網(wǎng)7.2.1數(shù)據(jù)加密模型
如果不論截取者獲得了多少密文,但在密文中都沒有足夠的信息來唯一地確定出對應(yīng)的明文,則這一密碼體制稱為無條件安全的,或稱為理論上是不可破的。在無任何限制的條件下,目前幾乎所有的密碼體制均是可破的。如果一個密碼體制中的密碼不能被可以使用的計算資源破譯,則這一密碼體制稱為在計算上是安全的。
計算機網(wǎng)絡(luò)7.2.1數(shù)據(jù)加密模型如果不論截取者獲得了圖7-1一般數(shù)據(jù)加密模型
計算機網(wǎng)絡(luò)圖7-1一般數(shù)據(jù)加密模型計算機網(wǎng)絡(luò)明文X用加密算法E和加密密鑰K得到密文Y=Ek(X)。在傳送過程中可能出現(xiàn)密文截取者。到了收端,利用解密算法D和解密密鑰K解出明文為Dk(Y)=Dk(Ek(X))=X。其中,截者也可稱為攻擊者或侵入者。在這里,我們假定加密密鑰和解密密鑰都是一樣的。計算機網(wǎng)絡(luò)明文X用加密算法E和加密密鑰K得到密文Y=Ek(密碼編碼學(xué)是密碼體制的設(shè)計學(xué)。密碼分析學(xué)則是在未知密鑰的情況下,從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)。
早在幾千年前人類就已經(jīng)有了思想和方法。但直到1949年,創(chuàng)始人香農(nóng)(C.E.Shannon)發(fā)表著名論文“CommunicationTheoryofSecrecySystems”,論證了一般經(jīng)典加密方法得到的密文幾乎都是可破的。
計算機網(wǎng)絡(luò)密碼編碼學(xué)是密碼體制的設(shè)計學(xué)。計算機網(wǎng)絡(luò)密碼學(xué)的研究曾面臨著危機,但從20世紀60年代起,隨著電子技術(shù)和計算技術(shù)的迅速發(fā)展以及結(jié)構(gòu)代數(shù)、可計算性和計算復(fù)雜性理論等學(xué)科的研究,密碼學(xué)又進入了一個新的發(fā)展時期。在20世紀70年代后期,美國的數(shù)據(jù)加密標準DES(DataEncryptionStandard)和公開密鑰密碼體制(publickeycrypto-system)的出現(xiàn),成為近代密碼學(xué)發(fā)展史上的兩個重要里程碑。
計算機網(wǎng)絡(luò)密碼學(xué)的研究曾面臨著危機,但從20世紀60年代起,隨著電子技7.2.2常規(guī)密鑰密碼體制
所謂常規(guī)密鑰密碼體制,即加密密鑰與解密密鑰相同的密碼體制。
替代密碼與轉(zhuǎn)換密碼
序列密碼與分組密碼
分組密碼算法之一:數(shù)據(jù)加密標準DES分組密碼算法之二:國際數(shù)據(jù)加密算法IDEA計算機網(wǎng)絡(luò)7.2.2常規(guī)密鑰密碼體制所謂常規(guī)密鑰密碼體制,即替代密碼(substitutioncipher)將字母a,b,c,d…,w,x,y,z的自然順序保持不變,但使之與D,E,F(xiàn),G,…,X,A,B,C分別對應(yīng)(即相差3個)。若明文為caesarcipher,則對應(yīng)的密文為FDHVDUFLSKHU(此時密鑰為3)。計算機網(wǎng)絡(luò)替代密碼(substitutioncipher)轉(zhuǎn)換密碼(transpositioncipher)
轉(zhuǎn)換密碼則是按照某一規(guī)則重新排列消息中的字符的順序。例如,以CIPHER這個字為規(guī)則。在此密鑰中的英文字母順序,C為第1,E為第2,……,R為第6,于是得出密鑰的順序為145326。按如下規(guī)則來形成密文,首先讀取第1列的字符,然后讀取第5列、第4列、第2列、第3列和第6列,明文也以6個字符為一組寫在密鑰下。計算機網(wǎng)絡(luò)轉(zhuǎn)換密碼(transpositioncipher)轉(zhuǎn)如:密鑰CIPHER順序145326(此順序與密鑰等價,但不如密鑰便于記憶。)明文attackbeginsattwo(注:明文的意思是"二時開始進攻"。)得出密文為abacnwaittettgkso。接收者按密鑰中的字母順序按列寫下按行讀出,即得明文。計算機網(wǎng)絡(luò)如:計算機網(wǎng)絡(luò)2.序列密碼與分組密碼
從得到的密文序列的結(jié)構(gòu)來劃分,則有序列密碼與分組密碼兩種不同的密碼體制。序列密碼體制是將明文X看成是連續(xù)的比特流(或字符流)x1x2…,并且用密鑰序列K=k1k2…中的第i個元素ki對明文中的xi進行加密,即Ek(X)=Ek1(x1)Ek2(x2)…計算機網(wǎng)絡(luò)2.序列密碼與分組密碼從得到的密文序列的結(jié)構(gòu)來劃分,則有圖7-2序列密碼框圖計算機網(wǎng)絡(luò)圖7-2序列密碼框圖計算機網(wǎng)絡(luò)圖7-3分組密碼體制
計算機網(wǎng)絡(luò)圖7-3分組密碼體制計算機網(wǎng)絡(luò)圖7-4DES加密算法
計算機網(wǎng)絡(luò)圖7-4DES加密算法計算機網(wǎng)絡(luò)圖7-5加密(解密)的分組鏈接方法
計算機網(wǎng)絡(luò)圖7-5加密(解密)的分組鏈接方法計算機網(wǎng)絡(luò)(a)IDEA采用8次圖7-6IDEA加密框圖
計算機網(wǎng)絡(luò)(a)IDEA采用8次圖7-6IDEA加密框圖計(b)每次迭代的計算圖7-6IDEA加密框圖
計算機網(wǎng)絡(luò)(b)每次迭代的計算圖7-6IDEA加密框圖計算機網(wǎng)絡(luò)圖7-7公開密鑰密碼算法
計算機網(wǎng)絡(luò)圖7-7公開密鑰密碼算法計算機網(wǎng)絡(luò)7.3電子郵件的安全性7.3.1電子郵件系統(tǒng)安全問題7.3.2.郵件安全協(xié)議計算機網(wǎng)絡(luò)7.3電子郵件的安全性7.3.1電子郵件系統(tǒng)安全問題7.3.1電子郵件系統(tǒng)安全問題
1.匿名轉(zhuǎn)發(fā)
2.電子郵件欺騙
3.E-mail炸彈
計算機網(wǎng)絡(luò)7.3.1電子郵件系統(tǒng)安全問題1.匿名轉(zhuǎn)發(fā)計算機網(wǎng)電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò),從一個機器傳輸?shù)搅硪粋€機器,整個過程中的電子郵件都是明文的方式傳輸?shù)模陔娮余]件所經(jīng)過網(wǎng)路上的任一系統(tǒng)管理員或黑客都有可能截獲并更改該郵件,甚至偽造某人的電子郵件。一些信息,如商務(wù)計劃、合同、賬單等敏感信息很容易被人看見。因此,電子郵件的安全保密問題已越來越引起人們的擔憂。主要講解電子郵件面臨的一些安全問題。計算機網(wǎng)絡(luò)電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò),從一個機1.匿名轉(zhuǎn)發(fā)一般情況下,一封完整的E-mail應(yīng)該包含有收件人和發(fā)件人的信息。沒有發(fā)件人信息的郵件就是這里所說的匿名郵件,郵件的發(fā)件人刻意隱瞞自己的電子郵箱地址和其他信息,或者通過某些方法給你一些錯誤的發(fā)件人信息。計算機網(wǎng)絡(luò)1.匿名轉(zhuǎn)發(fā)一般情況下,一封完整的E-mail2.電子郵件欺騙
電子郵件“欺騙”是在電子郵件中改變名字,使之看起來是從某地或某人發(fā)來的行為。
例如,攻擊者佯稱自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同),給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序,
計算機網(wǎng)絡(luò)2.電子郵件欺騙電子郵件“欺騙”是在電子郵件中執(zhí)行電子郵件欺騙常用的三種基本方法:
(1)相似的電子郵件地址
(2)修改郵件客戶
(3)遠程聯(lián)系,登錄到端口25計算機網(wǎng)絡(luò)執(zhí)行電子郵件欺騙常用的三種基本方法:(1)相似的電子郵件地3.E-mail炸彈
現(xiàn)在介紹一些針對E-Mail炸彈的解救方法:(1)向ISP求助
(2)用軟件清除
(3)借用Outlook的阻止發(fā)件人功能
(4)用郵件程序的email-notify功能來過濾信件
計算機網(wǎng)絡(luò)3.E-mail炸彈現(xiàn)在介紹一些針對E-Mail炸彈的7.3.2.郵件安全協(xié)議
安全電子郵件能解決郵件的加密傳輸問題,驗證發(fā)送者的身份問題,錯發(fā)用戶的收件無效問題。保證電子郵件的安全常用到兩種端到端的安全技術(shù):PGP(PrettyGoodPrivacy)和S/MIME(SecureMulti-PartIntermailMailExtension)。它們的主要功能就是身份的認證和傳輸數(shù)據(jù)的加密。
計算機網(wǎng)絡(luò)7.3.2.郵件安全協(xié)議安全電子郵件能解決郵件的加密傳輸1.PGP(1)PGP簡介PGP是一個基于公開密鑰加密算法的應(yīng)用程序,該程序創(chuàng)造性在于把RSA公鑰體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來,并在數(shù)字簽名和密鑰認證管理機制上有巧妙的設(shè)計。
特點:加密速度快,可移植性出色,源代碼是免費的,計算機網(wǎng)絡(luò)1.PGP(1)PGP簡介PGP是一個基于公開密鑰加密2PGP加密算法
PGP加密算法包括四個方面
一個單鑰加密算法(IDEA)一個公鑰加密算法(RSA)一個單向散列算法(MD5)一個隨機數(shù)產(chǎn)生器
計算機網(wǎng)絡(luò)2PGP加密算法PGP加密算法包括四個方面計算機網(wǎng)絡(luò)PGP的出現(xiàn)和應(yīng)用很好地解決了電子郵件的安全傳輸問題,它將傳統(tǒng)的對稱性加密與公開密鑰加密方法結(jié)合起來,兼?zhèn)淞藘蛇\行時的優(yōu)點,可以支持1024位的公開密鑰與128位的傳統(tǒng)加密,達到軍事級別的標準,完全能夠滿足電子郵件對于安全性能的要求。
計算機網(wǎng)絡(luò)PGP的出現(xiàn)和應(yīng)用很好地解決了電子郵件的安全傳輸問題3.S/MIME協(xié)議
MIME(MultipurposeInternetMailExtensions,多用途因特網(wǎng)郵件擴展)是一種因特網(wǎng)郵件標準化的格式,它允許以標準化的格式在電子郵件消息中包含增強文本、音頻、圖形、視頻和類似的信息。然而,MIME不提供任何安全性元素——S/MIME則添加了這些元素。計算機網(wǎng)絡(luò)3.S/MIME協(xié)議MIME(Multipurpose3.S/MIME協(xié)議S/MIME(Secure/MIME,安全的多用途Internet電子郵件擴充)是由RSA公司于1995年提出的電子郵件安全協(xié)議,與較為傳統(tǒng)的PEM不同,由于其內(nèi)部采用了MIME的消息格式,因此不僅能發(fā)送文本,還可以攜帶各種附加文檔,如包含國際字符集、HTML、音頻、語音郵件、圖像、多媒體等不同類型的數(shù)據(jù)內(nèi)容,目前大多數(shù)電子郵件產(chǎn)品都包含了對S/MIME的內(nèi)部支持。
計算機網(wǎng)絡(luò)3.S/MIME協(xié)議S/MIME(Secure/M7.4防火墻技術(shù)簡介7.4.1防火墻技術(shù)簡介7.4.2防火墻功能基本指標7.4.3新型防火墻技術(shù)7.4.4防火墻的選購7.5.5防火墻技術(shù)發(fā)展趨勢計算機網(wǎng)絡(luò)7.4防火墻技術(shù)簡介7.4.1防火墻技術(shù)簡介計算7.4.1防火墻技術(shù)簡介
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為最甚。
計算機網(wǎng)絡(luò)7.4.1防火墻技術(shù)簡介防火墻技術(shù)是建立在現(xiàn)什么是防火墻?
2.防火墻能做什么?
3.防火墻的種類
4.分組過濾型防火墻
5.應(yīng)用代理型防火墻
6.復(fù)合型防火墻
7.防火墻操作系統(tǒng)
8.NAT技術(shù)
9.防火墻的抗攻擊能力
10.防火墻的局限性
計算機網(wǎng)絡(luò)什么是防火墻?計算機網(wǎng)絡(luò)1.什么是防火墻?
7-8防火墻邏輯位置示意圖
計算機網(wǎng)絡(luò)1.什么是防火墻?7-8防火墻邏輯位置示意圖計算機防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
計算機網(wǎng)絡(luò)防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。
計算機網(wǎng)絡(luò)在邏輯上,防火墻是一個分離器,一個限制器,也是一2.防火墻能做什么?
防火墻是網(wǎng)絡(luò)安全的屏障:
防火墻可以強化網(wǎng)絡(luò)安全策略:
對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:
防止內(nèi)部信息的外泄:
計算機網(wǎng)絡(luò)2.防火墻能做什么?防火墻是網(wǎng)絡(luò)安全的屏障:計算機網(wǎng)3.防火墻的種類
分組過濾(Packetfiltering):作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
計算機網(wǎng)絡(luò)3.防火墻的種類分組過濾(Packetfilteri3.防火墻的種類應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway),
它作用在應(yīng)用層,其特點是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的代理程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。
計算機網(wǎng)絡(luò)3.防火墻的種類應(yīng)用代理(ApplicationPro4.分組過濾型防火墻
分組過濾或包過濾,是一種通用、廉價、有效的安全手段。之所以通用,因為它不針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式;之所以廉價,因為大多數(shù)路由器都提供分組過濾功能;之所以有效,因為它能很大程度地滿足企業(yè)的安全要求。
計算機網(wǎng)絡(luò)4.分組過濾型防火墻分組過濾或包過濾,是一種通用、廉價、5.應(yīng)用代理型防火墻
圖7-9應(yīng)用代理防火墻
計算機網(wǎng)絡(luò)5.應(yīng)用代理型防火墻圖7-9應(yīng)用代理防火墻計算機網(wǎng)絡(luò)6.復(fù)合型防火墻
由于對更高安全性的要求,常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來,形成復(fù)合型防火墻產(chǎn)品。
屏蔽主機防火墻體系結(jié)構(gòu):
屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):
計算機網(wǎng)絡(luò)6.復(fù)合型防火墻計算機網(wǎng)絡(luò)7.防火墻操作系統(tǒng)
取消危險的系統(tǒng)調(diào)用限制命令的執(zhí)行權(quán)限;取消IP的轉(zhuǎn)發(fā)功能;檢查每個分組的接口;
對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進行:采用隨機連接序號;駐留分組過濾模塊;取消動態(tài)路由功能;采用多個安全內(nèi)核等。計算機網(wǎng)絡(luò)7.防火墻操作系統(tǒng)取消危險的系統(tǒng)調(diào)用對安全操作系統(tǒng)內(nèi)核的8.NAT技術(shù)
NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時使用NAT的網(wǎng)絡(luò),與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起,極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。
計算機網(wǎng)絡(luò)8.NAT技術(shù)NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換9.防火墻的抗攻擊能力
作為一種安全防護設(shè)備,防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標,故抗攻擊能力也是防火墻的必備功能。
計算機網(wǎng)絡(luò)9.防火墻的抗攻擊能力作為一種安全防護設(shè)備,防火墻在網(wǎng)絡(luò)10.防火墻的局限性
存在著一些防火墻不能防范的安全威脅,如防火墻不能防范不經(jīng)過防火墻的攻擊。例如,如果允許從受保護的網(wǎng)絡(luò)內(nèi)部向外撥號,一些用戶就可能形成與Internet的直接連接。另外,防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。
計算機網(wǎng)絡(luò)10.防火墻的局限性存在著一些防火墻不能防范的安全威脅,7.4.2防火墻功能基本指標
產(chǎn)品類型2.LAN接口
3.協(xié)議支持4.加密支持
5.認證支持6.訪問控制
7.防御功能8.安全特性
9.管理功能10.記錄和報表功能
計算機網(wǎng)絡(luò)7.4.2防火墻功能基本指標產(chǎn)品類型1.產(chǎn)品類型
基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。
計算機網(wǎng)絡(luò)1.產(chǎn)品類型基于路由器的包過濾防火墻、計算機網(wǎng)絡(luò)2.LAN接口
支持的LAN接口類型:如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。支持的最大LAN接口數(shù):指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目,也是其能夠保護的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺:防火墻所運行的操作系統(tǒng)平臺(如Linux、UNIX、WinNT、專用安全操作系統(tǒng)等)。計算機網(wǎng)絡(luò)2.LAN接口支持的LAN接口類型:如以太網(wǎng)、快速以太3.協(xié)議支持
支持的非IP協(xié)議:除支持IP協(xié)議之外,還支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。建立VPN通道的協(xié)議:構(gòu)建VPN通道所使用的協(xié)議,如密鑰分配等,主要分為IPSec,PPTP、專用協(xié)議等??梢栽赩PN中使用的協(xié)議:在VPN中使用的協(xié)議,一般是指TCP/IP協(xié)議。計算機網(wǎng)絡(luò)3.協(xié)議支持支持的非IP協(xié)議:除支持IP協(xié)議之外,還支4.加密支持
支持的VPN加密標準:VPN中支持的加密算法,例如數(shù)據(jù)加密標準DES、3DES、RC4以及國內(nèi)專用的加密算法。除了VPN之外,加密的其他用途:加密除用于保護傳輸數(shù)據(jù)以外,還應(yīng)用于其他領(lǐng)域,如身份認證、報文完整性認證,密鑰分配等。提供基于硬件的加密:是否提供硬件加密方法,硬件加密可以提供更快的加密速度和更高的加密強度。計算機網(wǎng)絡(luò)4.加密支持支持的VPN加密標準:VPN中支持的加密算5.認證支持
支持的認證類型:是指防火墻支持的身份認證協(xié)議,一般情況下具有一個或多個認證方案,如RADIUS、Kerberos、TACACS/TACACS+、口令方式、數(shù)字證書等。防火墻能夠為本地或遠程用戶提供經(jīng)過認證與授權(quán)的對網(wǎng)絡(luò)資源的訪問,防火墻管理員必須決定客戶以何種方式通過認證。計算機網(wǎng)絡(luò)5.認證支持支持的認證類型:是指防火墻支持的身份認證6.訪問控制
通過防火墻的包內(nèi)容設(shè)置:
在應(yīng)用層提供代理支持:
在傳輸層提供代理支持:
允許FTP命令防止某些類型文件通過防火墻:
用戶操作的代理類型:
支持硬件口令、智能卡:計算機網(wǎng)絡(luò)6.訪問控制通過防火墻的包內(nèi)容設(shè)置:計算機網(wǎng)絡(luò)7.防御功能
支持病毒掃描:
提供內(nèi)容過濾:
能防御的DoS攻擊類型:
阻止ActiveX、Java、Cookies、Javascript侵入:
計算機網(wǎng)絡(luò)7.防御功能支持病毒掃描:計算機網(wǎng)絡(luò)8.安全特性
支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議(ICMP代理):
提供入侵實時警告:
提供實時入侵防范:
識別/記錄/防止企圖進行IP地址欺騙:
計算機網(wǎng)絡(luò)8.安全特性支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議(ICMP代理9.管理功能
通過集成策略集中管理多個防火墻:
提供基于時間的訪問控制:
支持SNMP監(jiān)視和配置:
本地管理:
遠程管理:
支持帶寬管理:
負載均衡特性:
失敗恢復(fù)特性(failover):
計算機網(wǎng)絡(luò)9.管理功能通過集成策略集中管理多個防火墻:計算機網(wǎng)絡(luò)10.記錄和報表功能
防火墻處理完整日志的方法:
提供自動日志掃描:
提供自動報表、日志報告書寫器:
警告通知機制:
提供簡要報表(按照用戶ID或IP地址):
提供實時統(tǒng)計:
列出獲得的國內(nèi)有關(guān)部門許可證類別及號碼:
計算機網(wǎng)絡(luò)10.記錄和報表功能防火墻處理完整日志的方法:計算機網(wǎng)7.4.3新型防火墻技術(shù)
1.包過濾的優(yōu)缺點
2.代理技術(shù)的優(yōu)缺點
3.新型防火墻技術(shù)
計算機網(wǎng)絡(luò)7.4.3新型防火墻技術(shù)1.包過濾的優(yōu)缺點計算機網(wǎng)1.包過濾的優(yōu)缺點優(yōu)點:一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò);數(shù)據(jù)包過濾對用戶透明;過濾路由器速度快、效率高。缺點:不能徹底防止地址欺騙;一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾;正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略。計算機網(wǎng)絡(luò)1.包過濾的優(yōu)缺點優(yōu)點:一個過濾路由器能協(xié)助保護整個網(wǎng)絡(luò);2.代理技術(shù)的優(yōu)缺點
優(yōu)點:代理易于配置;代理能生成各項記錄;代理能靈活、完全地控制進出的流量、內(nèi)容;代理能過濾數(shù)據(jù)內(nèi)容;代理能為用戶提供透明的加密機制;代理可以方便地與其他安全手段集成。缺點:代理速度較路由器慢;代理對用戶不透明;對于每項服務(wù)代理可能要求不同的服務(wù)器;代理服務(wù)不能保證你免受所有協(xié)議弱點的限制;代理不能改進底層協(xié)議的安全性。計算機網(wǎng)絡(luò)2.代理技術(shù)的優(yōu)缺點優(yōu)點:代理易于配置;代理能生成各項記3.新型防火墻技術(shù)
⑴新型防火墻的設(shè)計目標設(shè)計新型防火墻的目標是綜合包過濾和代理技術(shù),克服二者在安全方面的缺陷;能夠從數(shù)據(jù)鏈路層一直到應(yīng)用層施加全方位的控制;實現(xiàn)TCP/IP協(xié)議的微內(nèi)核,從而在TCP/IP協(xié)議層能進行各項安全控制;基于上述微內(nèi)核,使速度超過傳統(tǒng)的包過濾防火墻;提供透明代理模式,減輕客戶端的配置工作;支持數(shù)據(jù)加密、解密(DES和RSA),提供對虛擬網(wǎng)VPN的強大支持;內(nèi)部信息完全隱藏;從而產(chǎn)生一個新的防火墻理論。計算機網(wǎng)絡(luò)3.新型防火墻技術(shù)⑴新型防火墻的設(shè)計目標計算機網(wǎng)絡(luò)3.新型防火墻技術(shù)
⑵TCP/IP協(xié)議處理TCP/IP協(xié)議處理非常復(fù)雜而龐大,實現(xiàn)TCP/IP的第一步必須要能夠正確地理解定義、實現(xiàn)TCP/IP各協(xié)議的數(shù)據(jù)包格式。計算機網(wǎng)絡(luò)3.新型防火墻技術(shù)⑵TCP/IP協(xié)議處理計算機網(wǎng)絡(luò)7.4.4防火墻的選購
1.防火墻自身的安全性
2.系統(tǒng)的穩(wěn)定性
3.是否高效
4.是否可靠
5.是否功能靈活
6.是否配置方便
7.是否管理簡便
8.是否可以抵抗拒絕服務(wù)攻擊
9.是否可以針對用戶身份過濾
10.是否可擴展、可升級
計算機網(wǎng)絡(luò)7.4.4防火墻的選購1.防火墻自身的安全性計算機網(wǎng)7.5.5防火墻技術(shù)發(fā)展趨勢
當前防火墻技術(shù)分類
2.防火墻發(fā)展的技術(shù)趨勢計算機網(wǎng)絡(luò)7.5.5防火墻技術(shù)發(fā)展趨勢當前防火墻技術(shù)分類計算機網(wǎng)1.當前防火墻技術(shù)分類
㈠
包過濾技術(shù)
包過濾防火墻具有根本的缺陷:
⑴
不能防范黑客攻擊。
⑵
不支持應(yīng)用層協(xié)議。
⑶
不能處理新的安全威脅。
㈡
應(yīng)用代理網(wǎng)關(guān)技術(shù)
⑴難于配置。
⑵處理速度非常慢。
㈢
狀態(tài)檢測技術(shù)
計算機網(wǎng)絡(luò)1.當前防火墻技術(shù)分類㈠包過濾技術(shù)計算機網(wǎng)絡(luò)2.防火墻發(fā)展的技術(shù)趨勢
1.新需求引發(fā)的技術(shù)走向
(1)遠程辦公的增長。
⑵內(nèi)部網(wǎng)絡(luò)“包廂化”(Compartmentalizing)。
2.黑客攻擊引發(fā)的技術(shù)走向
80端口的關(guān)閉。
⑴數(shù)據(jù)包的深度檢測。
⑵協(xié)同性。
計算機網(wǎng)絡(luò)2.防火墻發(fā)展的技術(shù)趨勢1.新需求引發(fā)的技術(shù)走向計算7.5傳統(tǒng)局域網(wǎng)管理7.5.1了解網(wǎng)絡(luò)7.5.2網(wǎng)絡(luò)運行7.5.3網(wǎng)絡(luò)維護計算機網(wǎng)絡(luò)7.5傳統(tǒng)局域網(wǎng)管理7.5.1了解網(wǎng)絡(luò)計算機網(wǎng)絡(luò)傳統(tǒng)的局域網(wǎng)管理主要針對一定范圍的局域網(wǎng)絡(luò),在這樣的局域網(wǎng)絡(luò)中包括的主要管理對象有:服務(wù)器、客戶機、各種網(wǎng)絡(luò)線路與集線器以及各種網(wǎng)絡(luò)操作系統(tǒng)。由于在這樣規(guī)模的局域網(wǎng)中,網(wǎng)絡(luò)管理的對象有限,網(wǎng)絡(luò)管理一般包括三個方面:了解網(wǎng)絡(luò),網(wǎng)絡(luò)運行以及網(wǎng)絡(luò)維護。
計算機網(wǎng)絡(luò)傳統(tǒng)的局域網(wǎng)管理主要針對一定范圍的局域網(wǎng)絡(luò),在這樣的局域網(wǎng)絡(luò)7.5.1了解網(wǎng)絡(luò)
1.識別網(wǎng)絡(luò)對象的硬件情況
2.判別局域網(wǎng)的拓撲結(jié)構(gòu)
3.確定網(wǎng)絡(luò)的互聯(lián)
4.確定用戶負載和定位
計算機網(wǎng)絡(luò)7.5.1了解網(wǎng)絡(luò)1.識別網(wǎng)絡(luò)對象的硬件情況計算機網(wǎng)絡(luò)7.5.2網(wǎng)絡(luò)運行
1.配置網(wǎng)絡(luò)
2.配置網(wǎng)絡(luò)服務(wù)器
3.網(wǎng)絡(luò)安全控制
計算機網(wǎng)絡(luò)7.5.2網(wǎng)絡(luò)運行1.配置網(wǎng)絡(luò)計算機網(wǎng)絡(luò)7.5.3網(wǎng)絡(luò)維護
1.常見網(wǎng)絡(luò)的故障和修復(fù)
2.網(wǎng)絡(luò)檢查
3.網(wǎng)絡(luò)升級
計算機網(wǎng)絡(luò)7.5.3網(wǎng)絡(luò)維護1.常見網(wǎng)絡(luò)的故障和修復(fù)計算機網(wǎng)絡(luò)7.6網(wǎng)絡(luò)管理功能7.6.1配置管理7.6.2性能管理7.6.3故障管理7.6.4安全管理7.6.5計費管理計算機網(wǎng)絡(luò)7.6網(wǎng)絡(luò)管理功能7.6.1配置管理計算機網(wǎng)絡(luò)在實際網(wǎng)絡(luò)管理過程中,網(wǎng)絡(luò)管理具有的功能非常廣泛,包括了很多方面。在OSI網(wǎng)絡(luò)管理標準中定義了網(wǎng)絡(luò)管理的五大功能,它們分別是配置管理、性能管理、故障管理、安全管理和計費管理,這五個功能是網(wǎng)絡(luò)管理最基本的功能。
計算機網(wǎng)絡(luò)在實際網(wǎng)絡(luò)管理過程中,網(wǎng)絡(luò)管理具有的功能非常廣泛,包括了很多7.6.1配置管理自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu),構(gòu)造和維護網(wǎng)絡(luò)系統(tǒng)的配置。監(jiān)測網(wǎng)絡(luò)被管對象的狀態(tài),完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語法檢查,配置自動生成和自動配置備份系統(tǒng),對于配置的一致性進行嚴格的檢驗。
1.配置信息的自動獲?。?/p>
2.自動配置、自動備份及相關(guān)技術(shù):
3.配置一致性檢查:
4.用戶操作記錄功能:
計算機網(wǎng)絡(luò)7.6.1配置管理自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu),構(gòu)造7.6.2性能管理
采集、分析網(wǎng)絡(luò)對象的性能數(shù)據(jù),監(jiān)測網(wǎng)絡(luò)對象的性能,對網(wǎng)絡(luò)線路質(zhì)量進行分析。同時,統(tǒng)計網(wǎng)絡(luò)運行狀態(tài)信息,對網(wǎng)絡(luò)的使用發(fā)展作出評測、估計,為網(wǎng)絡(luò)進一步規(guī)劃與調(diào)整提供依據(jù)。性能監(jiān)控:2.閾值控制:3.性能分析:4.可視化的性能報告:
5.實時性能監(jiān)控:6.網(wǎng)絡(luò)對象性能查詢:
計算機網(wǎng)絡(luò)7.6.2性能管理采集、分析網(wǎng)絡(luò)對象的性能數(shù)據(jù)7.6.3故障管理
過濾、歸并網(wǎng)絡(luò)事件,有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障,給出排錯建議與排錯工具,形成整套的故障發(fā)現(xiàn)、告警與處理機制。
1.故障監(jiān)測:
2.故障報警:
3.故障信息管理:
4.排錯支持工具:
5.檢索/分析故障信息:
計算機網(wǎng)絡(luò)7.6.3故障管理過濾、歸并網(wǎng)絡(luò)事件,有效地發(fā)現(xiàn)、定7.6.4安全管理
結(jié)合使用用戶認證、訪問控制、數(shù)據(jù)傳輸、存儲的保密與完整性機制,以保障網(wǎng)絡(luò)管理系統(tǒng)本身的安全。維護系統(tǒng)日志,使系統(tǒng)的使用和網(wǎng)絡(luò)對象的修改有據(jù)可查。控制對網(wǎng)絡(luò)資源的訪問。
安全管理的功能分為兩部分,首先是網(wǎng)絡(luò)管理本身的安全,其次是被管網(wǎng)絡(luò)對象的安全。
計算機網(wǎng)絡(luò)7.6.4安全管理結(jié)合使用用戶認證、訪問控制、數(shù)據(jù)傳輸、7.6.5計費管理
1.計費數(shù)據(jù)采集:
2.數(shù)據(jù)管理與數(shù)據(jù)維護:
3.計費政策制定;
4.政策比較與決策支持:
5.數(shù)據(jù)分析與費用計算:
6.數(shù)據(jù)查詢:
計算機網(wǎng)絡(luò)7.6.5計費管理1.計費數(shù)據(jù)采集:計算機網(wǎng)絡(luò)7.7網(wǎng)絡(luò)管理協(xié)議7.7.1SNMP7.7.2CMIS/CMIP7.7.3CMOT7.7.4LMMP計算機網(wǎng)絡(luò)7.7網(wǎng)絡(luò)管理協(xié)議7.7.1SNMP計算機網(wǎng)絡(luò)7.7.1SNMP
簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的前身是1987年發(fā)布的簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP)。SGMP給出了監(jiān)控網(wǎng)關(guān)(OSI第三層路由器)的直接手段,SNMP則是在其基礎(chǔ)上發(fā)展而來。最初,SNMP是作為一種可提供最小網(wǎng)絡(luò)管理功能的臨時方法開發(fā)的,它具有以下兩個優(yōu)點:1.與SNMP相關(guān)的管理信息結(jié)構(gòu)(SMI)以及管理信息庫(MIB)非常簡單,從而能夠迅速、簡便地實現(xiàn);2.SNMP是建立在SGMP基礎(chǔ)上的,而對于SGMP,人們積累了大量的操作經(jīng)驗。計算機網(wǎng)絡(luò)7.7.1SNMP簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的前身是17.7.2CMIS/CMIP
公共管理信息服務(wù)/公共管理信息協(xié)議(CMIS/CMIP)是OSI提供的網(wǎng)絡(luò)管理協(xié)議簇。CMIS定義了每個網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù),這些服務(wù)在本質(zhì)上是很普通的,CMIP則是實現(xiàn)CMIS服務(wù)的協(xié)議。
計算機網(wǎng)絡(luò)7.7.2CMIS/CMIP公共管理信息服務(wù)/公共管理信7.7.3CMOT
公共管理信息服務(wù)與協(xié)議(CMOT)是在TCP/IP協(xié)議簇上實現(xiàn)CMIS服務(wù),這是一種過渡性的解決方案,直到OSI網(wǎng)絡(luò)管理協(xié)議被廣泛采用。計算機網(wǎng)絡(luò)7.7.3CMOT公共管理信息服務(wù)與協(xié)議(CMOT)是在7.7.4LMMP
局域網(wǎng)個人管理協(xié)議(LMMP)試圖為LAN環(huán)境提供一個網(wǎng)絡(luò)管理方案。LMMP以前被稱為IEEE802邏輯鏈路控制上的公共管理信息服務(wù)與協(xié)議(CMOL)。由于該協(xié)議直接位于IEEE802邏輯鏈路層(LLC)上,它可以不依賴于任何特定的網(wǎng)絡(luò)層協(xié)議進行網(wǎng)絡(luò)傳輸。
計算機網(wǎng)絡(luò)7.7.4LMMP局域網(wǎng)個人管理協(xié)議(LMMP)試圖為L7.8簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)7.8.1SNMP概述7.8.2
SNMP管理控制框架與實現(xiàn)計算機網(wǎng)絡(luò)7.8簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)7.8.1SNM7.8.1SNMP概述
SNMP的前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP),用來對通信線路進行管理。隨后,人們對SGMP進行了很大的修改,特別是加入了符合Internet定義的SMI和MIB:體系結(jié)構(gòu),改進后的協(xié)議就是著名的SNMP。
計算機網(wǎng)絡(luò)7.8.1SNMP概述SNMP的前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SNMP的體系結(jié)構(gòu)是圍繞著以下四個概念和目標進行設(shè)計的:保持管理代理(agent)的軟件成本盡可能低;最大限度地保持遠程管理的功能,以便充分利用Internet的網(wǎng)絡(luò)資源;體系結(jié)構(gòu)必須有擴充的余地;保持SNMP的獨立性,不依賴于具體的計算機、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。在最近的改進中,又加入了保證SNMP體系本身安全性的目標。
計算機網(wǎng)絡(luò)SNMP的體系結(jié)構(gòu)是圍繞著以下四個概念和目標進行設(shè)計的:保持另外,SNMP中提供了四類管理操作:get操作用來提取特定的網(wǎng)絡(luò)管理信息;get-next操作通過遍歷活動來提供強大的管理信息提取能力;set操作用來對管理信息進行控制(修改、設(shè)置);trap操作用來報告重要的事件。
計算機網(wǎng)絡(luò)另外,SNMP中提供了四類管理操作:get操作用來提取特定的7.8.2
SNMP管理控制框架與實現(xiàn)
1.SNMP管理控制框架
2.SNMP實現(xiàn)方式為了提供遍歷管理信息庫的手段
計算機網(wǎng)絡(luò)7.8.2SNMP管理控制框架與實現(xiàn)1.SNMP管理控7.9網(wǎng)絡(luò)管理系統(tǒng)7.9.1HP的0penView7.9.2IBM的NetView7.9.3SUN的SUNNetManager7.9.4Cabletron的SPECTRUM計算機網(wǎng)絡(luò)7.9網(wǎng)絡(luò)管理系統(tǒng)7.9.1HP的0penView計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)7.10網(wǎng)絡(luò)管理和維護7.10.1VLAN管理7.10.2WAN接入管理7.10.3網(wǎng)絡(luò)故障診斷和排除7.10.4網(wǎng)絡(luò)管理工具計算機網(wǎng)絡(luò)7.10網(wǎng)絡(luò)管理和維護7.10.1VLAN管理計7.10.1VLAN管理
1.VLANView2.TrafficView計算機網(wǎng)絡(luò)7.10.1VLAN管理1.VLANView計算機網(wǎng)絡(luò)7.10.2WAN接入管理
在網(wǎng)絡(luò)管理的解決方案中,我們知道一個大型網(wǎng)絡(luò),一般是WAN,是通過分層進行管理的。比如在一個全國性的網(wǎng)絡(luò)中心之下有許多地區(qū)性的網(wǎng)絡(luò)中心,一般全國性的網(wǎng)絡(luò)中心主要保證這個WAN的主干網(wǎng)正常運轉(zhuǎn),而地區(qū)性網(wǎng)絡(luò)中心則主要負責各個網(wǎng)絡(luò)用戶的接入管理。
計算機網(wǎng)絡(luò)7.10.2WAN接入管理在網(wǎng)絡(luò)管理的解決方案中,我們知7.10.3網(wǎng)絡(luò)故障診斷和排除
1.物理故障
2.邏輯故障
計算機網(wǎng)絡(luò)7.10.3網(wǎng)絡(luò)故障診斷和排除1.物理故障計算機網(wǎng)絡(luò)7.10.4網(wǎng)絡(luò)管理工具
1.連通性測試程序
2.路由跟蹤程序
3.MIB變量瀏覽計算機網(wǎng)絡(luò)7.10.4網(wǎng)絡(luò)管理工具1.連通性測試程序計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.2數(shù)字加密技術(shù)
7.3電子郵件的安全性
7.4防火墻技術(shù)簡介
7.5傳統(tǒng)局域網(wǎng)管理
7.6網(wǎng)絡(luò)管理功能
7.7網(wǎng)絡(luò)管理協(xié)議
7.8簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)7.9網(wǎng)絡(luò)管理系統(tǒng)
7.10網(wǎng)絡(luò)管理和維護
7.11小結(jié)
計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的基本概念7.1.2網(wǎng)絡(luò)安全威脅7.1.3安全服務(wù)7.1.4安全機制計算機網(wǎng)絡(luò)7.1網(wǎng)絡(luò)安全概述7.1.1網(wǎng)絡(luò)安全的基本概念計廣義上說用戶角度網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)硬件資源和信息資源的安全性。網(wǎng)絡(luò)安全主要是保障個人數(shù)據(jù)或企業(yè)的信息在網(wǎng)絡(luò)中的保密性、完整性、不可否認性,防止信息的泄露和破壞,防止信息資源的非授權(quán)訪問。信息安全通信線路通信設(shè)備主機系統(tǒng)軟件、應(yīng)用軟件、用戶信息數(shù)據(jù)計算機網(wǎng)絡(luò)廣義上說用戶角度網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)安全主要是保障個人信通信線路
在此,對網(wǎng)絡(luò)安全下一個通用的定義:
網(wǎng)絡(luò)安全是指保護網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源,使之免受偶然或惡意的破壞、篡改和泄漏,保證網(wǎng)絡(luò)系統(tǒng)的正常運行、網(wǎng)絡(luò)服務(wù)不中斷。
計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)實體(人、事件、程序等)資源機密性完整性可用性可控性
安全威脅是指某個實體對某一資源在合法使用時造成的危害。
計算機網(wǎng)絡(luò)實體資源安全威脅是指某個實體對某一資源計算機網(wǎng)絡(luò)安全威脅故意的(如系統(tǒng)入侵)偶然的(如將信息發(fā)到錯誤地址)被動威脅:只對信息進行監(jiān)聽,而不對其修改和破壞。
主動威脅:則是對信息進行故意修改和破壞,使合法用戶得不到可用信息。
計算機網(wǎng)絡(luò)安故意的偶然的被動威脅:主動威脅:計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全具備四個方面的特征:
機密性、完整性、可用性及可控性
基本的安全威脅:
⑴信息泄露:信息泄露給某個未經(jīng)授權(quán)的實體。
⑵完整性破壞:數(shù)據(jù)的一致性由于受到未經(jīng)授權(quán)的修改、創(chuàng)建、破壞而損害。
⑶拒絕服務(wù):對資源的合法訪問被拒絕。
⑷非法使用:某一資源被非授權(quán)人或以非授權(quán)方式使用。
計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全具備四個方面的特征:計算機網(wǎng)絡(luò)實現(xiàn)威脅可以直接導(dǎo)致某一基本威脅的實現(xiàn),主要包括滲入威脅和植入威脅。主要的滲入威脅有:
⑴假冒:即某個實體假裝成另外一個不同的實體。⑵旁路:攻擊者通過各種手段發(fā)現(xiàn)一些系統(tǒng)安全缺陷,并利用這些安全缺陷繞過系統(tǒng)防線滲入到系統(tǒng)內(nèi)部。
⑶授權(quán)侵犯:對某一資源具有一定權(quán)限的實體,將此權(quán)限用于未被授權(quán)的目的,也稱“內(nèi)部威脅”。主要的植入威脅有:
⑴特洛伊木馬:它是一種基于遠程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點。⑵陷門:即“后門”程序,它是在某個系統(tǒng)或某個文件中預(yù)先設(shè)置的“機關(guān)”,使得當提供特定的軟件時,允許違反安全策略。計算機網(wǎng)絡(luò)實現(xiàn)威脅可以直接導(dǎo)致某一基本主要的滲入威脅有:主要的植入威
安全服務(wù)是指計算機網(wǎng)絡(luò)提供的安全防護措施。
國際標準化組織(ISO)定義了以下幾種基本的安全服務(wù):認證服務(wù)、訪問控制、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、不可否認服務(wù)。
計算機網(wǎng)絡(luò)安全服務(wù)是指計算機網(wǎng)絡(luò)提供的安全防護措施。計算機網(wǎng)絡(luò)⑴認證服務(wù)確保某個實體身份的可靠性,分為兩種類型。一種類型是認證實體本身的身份,確保其真實性,稱為實體認證。實體認證中一種最常見的方式,就是通過口令來認證訪問者的身份。另一種認證是證明某個信息是否來自于某個特定的實體,這種認證叫做數(shù)據(jù)源認證。數(shù)據(jù)源認證在現(xiàn)實生活中的典型例子就是簽字,如銀行支票和文件上的簽名。在計算機系統(tǒng)中也有相應(yīng)的數(shù)據(jù)簽名技術(shù)。
計算機網(wǎng)絡(luò)⑴認證服務(wù)確保某個實體身份的可靠性,分為兩種類型。計算機網(wǎng)絡(luò)⑵訪問控制
訪問控制的目標是防止對任何資源的非授權(quán)訪問,確保只有經(jīng)過授權(quán)的實體才能訪問受保護的資源。
計算機網(wǎng)絡(luò)⑵訪問控制訪問控制的目標是防止對任何資源的非授⑶數(shù)據(jù)機密性服務(wù)
數(shù)據(jù)機密性服務(wù)確保只有經(jīng)過授權(quán)的實體才能理解受保護的信息。在信息安全中主要區(qū)分兩種機密性服務(wù):數(shù)據(jù)機密性服務(wù)和業(yè)務(wù)流機密性服務(wù)。數(shù)據(jù)機密性服務(wù)主要是采用加密手段使得攻擊者即使竊取了加密的數(shù)據(jù)也很難推出有用的信息;業(yè)務(wù)流機密性服務(wù)則要使監(jiān)聽者很難從網(wǎng)絡(luò)流量的變化上推出敏感信息。
計算機網(wǎng)絡(luò)⑶數(shù)據(jù)機密性服務(wù)數(shù)據(jù)機密性服務(wù)確保只有經(jīng)過授權(quán)⑷數(shù)據(jù)完整性服務(wù)
防止對數(shù)據(jù)未經(jīng)授權(quán)的修改和破壞。完整性服務(wù)使消息的接收者能夠發(fā)現(xiàn)消息是否被修改,是否被攻擊者用假消息換掉。
計算機網(wǎng)絡(luò)⑷數(shù)據(jù)完整性服務(wù)防止對數(shù)據(jù)未經(jīng)授權(quán)的修改和破壞⑸不可否認服務(wù)
根據(jù)ISO的標準,不可否認服務(wù)要防止對數(shù)據(jù)源以及數(shù)據(jù)提交的否認。它有兩種可能:數(shù)據(jù)發(fā)送的不可否認性和數(shù)據(jù)接收的不可否認性。這兩種服務(wù)需要比較復(fù)雜的基礎(chǔ)設(shè)施的支持,如數(shù)字簽名技術(shù)。計算機網(wǎng)絡(luò)⑸不可否認服務(wù)根據(jù)ISO的標準,不可否認
安全機制是用來實施安全服務(wù)的機制。
安全機制既可以是具體的、特定的,也可以是通用的。主要的安全機制有以下幾種:加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、認證交換機制、流量填充機制、路由控制機制及公證機制等。計算機網(wǎng)絡(luò)計算機網(wǎng)絡(luò)⑴加密機制用于保護數(shù)據(jù)的機密性。⑵數(shù)字簽名機制是保證數(shù)據(jù)完整性及不可否認性的一種重要手段。⑶訪問控制機制與實體認證密切相關(guān)。⑷數(shù)據(jù)完整性機制用于保護數(shù)據(jù)免受未經(jīng)授權(quán)的修改。⑸流量填充機制針對的是對網(wǎng)絡(luò)流量進行分析的攻擊。⑹路由控制機制可以指定數(shù)據(jù)通過網(wǎng)絡(luò)的路徑。⑺公證機制由通信各方都信任的第三方提供。計算機網(wǎng)絡(luò)⑴加密機制用于保護數(shù)據(jù)的機密性。計算機網(wǎng)絡(luò)7.2數(shù)字加密技術(shù)7.2.1數(shù)據(jù)加密模型7.2.2常規(guī)密鑰密碼體制7.2.3公開密鑰密碼體制計算機網(wǎng)絡(luò)7.2數(shù)字加密技術(shù)7.2.1數(shù)據(jù)加密模型計算機網(wǎng)7.2.1數(shù)據(jù)加密模型
如果不論截取者獲得了多少密文,但在密文中都沒有足夠的信息來唯一地確定出對應(yīng)的明文,則這一密碼體制稱為無條件安全的,或稱為理論上是不可破的。在無任何限制的條件下,目前幾乎所有的密碼體制均是可破的。如果一個密碼體制中的密碼不能被可以使用的計算資源破譯,則這一密碼體制稱為在計算上是安全的。
計算機網(wǎng)絡(luò)7.2.1數(shù)據(jù)加密模型如果不論截取者獲得了圖7-1一般數(shù)據(jù)加密模型
計算機網(wǎng)絡(luò)圖7-1一般數(shù)據(jù)加密模型計算機網(wǎng)絡(luò)明文X用加密算法E和加密密鑰K得到密文Y=Ek(X)。在傳送過程中可能出現(xiàn)密文截取者。到了收端,利用解密算法D和解密密鑰K解出明文為Dk(Y)=Dk(Ek(X))=X。其中,截者也可稱為攻擊者或侵入者。在這里,我們假定加密密鑰和解密密鑰都是一樣的。計算機網(wǎng)絡(luò)明文X用加密算法E和加密密鑰K得到密文Y=Ek(密碼編碼學(xué)是密碼體制的設(shè)計學(xué)。密碼分析學(xué)則是在未知密鑰的情況下,從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來即為密碼學(xué)。
早在幾千年前人類就已經(jīng)有了思想和方法。但直到1949年,創(chuàng)始人香農(nóng)(C.E.Shannon)發(fā)表著名論文“CommunicationTheoryofSecrecySystems”,論證了一般經(jīng)典加密方法得到的密文幾乎都是可破的。
計算機網(wǎng)絡(luò)密碼編碼學(xué)是密碼體制的設(shè)計學(xué)。計算機網(wǎng)絡(luò)密碼學(xué)的研究曾面臨著危機,但從20世紀60年代起,隨著電子技術(shù)和計算技術(shù)的迅速發(fā)展以及結(jié)構(gòu)代數(shù)、可計算性和計算復(fù)雜性理論等學(xué)科的研究,密碼學(xué)又進入了一個新的發(fā)展時期。在20世紀70年代后期,美國的數(shù)據(jù)加密標準DES(DataEncryptionStandard)和公開密鑰密碼體制(publickeycrypto-system)的出現(xiàn),成為近代密碼學(xué)發(fā)展史上的兩個重要里程碑。
計算機網(wǎng)絡(luò)密碼學(xué)的研究曾面臨著危機,但從20世紀60年代起,隨著電子技7.2.2常規(guī)密鑰密碼體制
所謂常規(guī)密鑰密碼體制,即加密密鑰與解密密鑰相同的密碼體制。
替代密碼與轉(zhuǎn)換密碼
序列密碼與分組密碼
分組密碼算法之一:數(shù)據(jù)加密標準DES分組密碼算法之二:國際數(shù)據(jù)加密算法IDEA計算機網(wǎng)絡(luò)7.2.2常規(guī)密鑰密碼體制所謂常規(guī)密鑰密碼體制,即替代密碼(substitutioncipher)將字母a,b,c,d…,w,x,y,z的自然順序保持不變,但使之與D,E,F(xiàn),G,…,X,A,B,C分別對應(yīng)(即相差3個)。若明文為caesarcipher,則對應(yīng)的密文為FDHVDUFLSKHU(此時密鑰為3)。計算機網(wǎng)絡(luò)替代密碼(substitutioncipher)轉(zhuǎn)換密碼(transpositioncipher)
轉(zhuǎn)換密碼則是按照某一規(guī)則重新排列消息中的字符的順序。例如,以CIPHER這個字為規(guī)則。在此密鑰中的英文字母順序,C為第1,E為第2,……,R為第6,于是得出密鑰的順序為145326。按如下規(guī)則來形成密文,首先讀取第1列的字符,然后讀取第5列、第4列、第2列、第3列和第6列,明文也以6個字符為一組寫在密鑰下。計算機網(wǎng)絡(luò)轉(zhuǎn)換密碼(transpositioncipher)轉(zhuǎn)如:密鑰CIPHER順序145326(此順序與密鑰等價,但不如密鑰便于記憶。)明文attackbeginsattwo(注:明文的意思是"二時開始進攻"。)得出密文為abacnwaittettgkso。接收者按密鑰中的字母順序按列寫下按行讀出,即得明文。計算機網(wǎng)絡(luò)如:計算機網(wǎng)絡(luò)2.序列密碼與分組密碼
從得到的密文序列的結(jié)構(gòu)來劃分,則有序列密碼與分組密碼兩種不同的密碼體制。序列密碼體制是將明文X看成是連續(xù)的比特流(或字符流)x1x2…,并且用密鑰序列K=k1k2…中的第i個元素ki對明文中的xi進行加密,即Ek(X)=Ek1(x1)Ek2(x2)…計算機網(wǎng)絡(luò)2.序列密碼與分組密碼從得到的密文序列的結(jié)構(gòu)來劃分,則有圖7-2序列密碼框圖計算機網(wǎng)絡(luò)圖7-2序列密碼框圖計算機網(wǎng)絡(luò)圖7-3分組密碼體制
計算機網(wǎng)絡(luò)圖7-3分組密碼體制計算機網(wǎng)絡(luò)圖7-4DES加密算法
計算機網(wǎng)絡(luò)圖7-4DES加密算法計算機網(wǎng)絡(luò)圖7-5加密(解密)的分組鏈接方法
計算機網(wǎng)絡(luò)圖7-5加密(解密)的分組鏈接方法計算機網(wǎng)絡(luò)(a)IDEA采用8次圖7-6IDEA加密框圖
計算機網(wǎng)絡(luò)(a)IDEA采用8次圖7-6IDEA加密框圖計(b)每次迭代的計算圖7-6IDEA加密框圖
計算機網(wǎng)絡(luò)(b)每次迭代的計算圖7-6IDEA加密框圖計算機網(wǎng)絡(luò)圖7-7公開密鑰密碼算法
計算機網(wǎng)絡(luò)圖7-7公開密鑰密碼算法計算機網(wǎng)絡(luò)7.3電子郵件的安全性7.3.1電子郵件系統(tǒng)安全問題7.3.2.郵件安全協(xié)議計算機網(wǎng)絡(luò)7.3電子郵件的安全性7.3.1電子郵件系統(tǒng)安全問題7.3.1電子郵件系統(tǒng)安全問題
1.匿名轉(zhuǎn)發(fā)
2.電子郵件欺騙
3.E-mail炸彈
計算機網(wǎng)絡(luò)7.3.1電子郵件系統(tǒng)安全問題1.匿名轉(zhuǎn)發(fā)計算機網(wǎng)電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò),從一個機器傳輸?shù)搅硪粋€機器,整個過程中的電子郵件都是明文的方式傳輸?shù)?,在電子郵件所經(jīng)過網(wǎng)路上的任一系統(tǒng)管理員或黑客都有可能截獲并更改該郵件,甚至偽造某人的電子郵件。一些信息,如商務(wù)計劃、合同、賬單等敏感信息很容易被人看見。因此,電子郵件的安全保密問題已越來越引起人們的擔憂。主要講解電子郵件面臨的一些安全問題。計算機網(wǎng)絡(luò)電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò),從一個機1.匿名轉(zhuǎn)發(fā)一般情況下,一封完整的E-mail應(yīng)該包含有收件人和發(fā)件人的信息。沒有發(fā)件人信息的郵件就是這里所說的匿名郵件,郵件的發(fā)件人刻意隱瞞自己的電子郵箱地址和其他信息,或者通過某些方法給你一些錯誤的發(fā)件人信息。計算機網(wǎng)絡(luò)1.匿名轉(zhuǎn)發(fā)一般情況下,一封完整的E-mail2.電子郵件欺騙
電子郵件“欺騙”是在電子郵件中改變名字,使之看起來是從某地或某人發(fā)來的行為。
例如,攻擊者佯稱自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同),給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序,
計算機網(wǎng)絡(luò)2.電子郵件欺騙電子郵件“欺騙”是在電子郵件中執(zhí)行電子郵件欺騙常用的三種基本方法:
(1)相似的電子郵件地址
(2)修改郵件客戶
(3)遠程聯(lián)系,登錄到端口25計算機網(wǎng)絡(luò)執(zhí)行電子郵件欺騙常用的三種基本方法:(1)相似的電子郵件地3.E-mail炸彈
現(xiàn)在介紹一些針對E-Mail炸彈的解救方法:(1)向ISP求助
(2)用軟件清除
(3)借用Outlook的阻止發(fā)件人功能
(4)用郵件程序的email-notify功能來過濾信件
計算機網(wǎng)絡(luò)3.E-mail炸彈現(xiàn)在介紹一些針對E-Mail炸彈的7.3.2.郵件安全協(xié)議
安全電子郵件能解決郵件的加密傳輸問題,驗證發(fā)送者的身份問題,錯發(fā)用戶的收件無效問題。保證電子郵件的安全常用到兩種端到端的安全技術(shù):PGP(PrettyGoodPrivacy)和S/MIME(SecureMulti-PartIntermailMailExtension)。它們的主要功能就是身份的認證和傳輸數(shù)據(jù)的加密。
計算機網(wǎng)絡(luò)7.3.2.郵件安全協(xié)議安全電子郵件能解決郵件的加密傳輸1.PGP(1)PGP簡介PGP是一個基于公開密鑰加密算法的應(yīng)用程序,該程序創(chuàng)造性在于把RSA公鑰體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來,并在數(shù)字簽名和密鑰認證管理機制上有巧妙的設(shè)計。
特點:加密速度快,可移植性出色,源代碼是免費的,計算機網(wǎng)絡(luò)1.PGP(1)PGP簡介PGP是一個基于公開密鑰加密2PGP加密算法
PGP加密算法包括四個方面
一個單鑰加密算法(IDEA)一個公鑰加密算法(RSA)一個單向散列算法(MD5)一個隨機數(shù)產(chǎn)生器
計算機網(wǎng)絡(luò)2PGP加密算法PGP加密算法包括四個方面計算機網(wǎng)絡(luò)PGP的出現(xiàn)和應(yīng)用很好地解決了電子郵件的安全傳輸問題,它將傳統(tǒng)的對稱性加密與公開密鑰加密方法結(jié)合起來,兼?zhèn)淞藘蛇\行時的優(yōu)點,可以支持1024位的公開密鑰與128位的傳統(tǒng)加密,達到軍事級別的標準,完全能夠滿足電子郵件對于安全性能的要求。
計算機網(wǎng)絡(luò)PGP的出現(xiàn)和應(yīng)用很好地解決了電子郵件的安全傳輸問題3.S/MIME協(xié)議
MIME(MultipurposeInternetMailExtensions,多用途因特網(wǎng)郵件擴展)是一種因特網(wǎng)郵件標準化的格式,它允許以標準化的格式在電子郵件消息中包含增強文本、音頻、圖形、視頻和類似的信息。然而,MIME不提供任何安全性元素——S/MIME則添加了這些元素。計算機網(wǎng)絡(luò)3.S/MIME協(xié)議MIME(Multipurpose3.S/MIME協(xié)議S/MIME(Secure/MIME,安全的多用途Internet電子郵件擴充)是由RSA公司于1995年提出的電子郵件安全協(xié)議,與較為傳統(tǒng)的PEM不同,由于其內(nèi)部采用了MIME的消息格式,因此不僅能發(fā)送文本,還可以攜帶各種附加文檔,如包含國際字符集、HTML、音頻、語音郵件、圖像、多媒體等不同類型的數(shù)據(jù)內(nèi)容,目前大多數(shù)電子郵件產(chǎn)品都包含了對S/MIME的內(nèi)部支持。
計算機網(wǎng)絡(luò)3.S/MIME協(xié)議S/MIME(Secure/M7.4防火墻技術(shù)簡介7.4.1防火墻技術(shù)簡介7.4.2防火墻功能基本指標7.4.3新型防火墻技術(shù)7.4.4防火墻的選購7.5.5防火墻技術(shù)發(fā)展趨勢計算機網(wǎng)絡(luò)7.4防火墻技術(shù)簡介7.4.1防火墻技術(shù)簡介計算7.4.1防火墻技術(shù)簡介
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡(luò)為最甚。
計算機網(wǎng)絡(luò)7.4.1防火墻技術(shù)簡介防火墻技術(shù)是建立在現(xiàn)什么是防火墻?
2.防火墻能做什么?
3.防火墻的種類
4.分組過濾型防火墻
5.應(yīng)用代理型防火墻
6.復(fù)合型防火墻
7.防火墻操作系統(tǒng)
8.NAT技術(shù)
9.防火墻的抗攻擊能力
10.防火墻的局限性
計算機網(wǎng)絡(luò)什么是防火墻?計算機網(wǎng)絡(luò)1.什么是防火墻?
7-8防火墻邏輯位置示意圖
計算機網(wǎng)絡(luò)1.什么是防火墻?7-8防火墻邏輯位置示意圖計算機防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
計算機網(wǎng)絡(luò)防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。
計算機網(wǎng)絡(luò)在邏輯上,防火墻是一個分離器,一個限制器,也是一2.防火墻能做什么?
防火墻是網(wǎng)絡(luò)安全的屏障:
防火墻可以強化網(wǎng)絡(luò)安全策略:
對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:
防止內(nèi)部信息的外泄:
計算機網(wǎng)絡(luò)2.防火墻能做什么?防火墻是網(wǎng)絡(luò)安全的屏障:計算機網(wǎng)3.防火墻的種類
分組過濾(Packetfiltering):作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
計算機網(wǎng)絡(luò)3.防火墻的種類分組過濾(Packetfilteri3.防火墻的種類應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway),
它作用在應(yīng)用層,其特點是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的代理程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。
計算機網(wǎng)絡(luò)3.防火墻的種類應(yīng)用代理(ApplicationPro4.分組過濾型防火墻
分組過濾或包過濾,是一種通用、廉價、有效的安全手段。之所以通用,因為它不針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式;之所以廉價,因為大多數(shù)路由器都提供分組過濾功能;之所以有效,因為它能很大程度地滿足企業(yè)的安全要求。
計算機網(wǎng)絡(luò)4.分組過濾型防火墻分組過濾或包過濾,是一種通用、廉價、5.應(yīng)用代理型防火墻
圖7-9應(yīng)用代理防火墻
計算機網(wǎng)絡(luò)5.應(yīng)用代理型防火墻圖7-9應(yīng)用代理防火墻計算機網(wǎng)絡(luò)6.復(fù)合型防火墻
由于對更高安全性的要求,常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來,形成復(fù)合型防火墻產(chǎn)品。
屏蔽主機防火墻體系結(jié)構(gòu):
屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):
計算機網(wǎng)絡(luò)6.復(fù)合型防火墻計算機網(wǎng)絡(luò)7.防火墻操作系統(tǒng)
取消危險的系統(tǒng)調(diào)用限制命令的執(zhí)行權(quán)限;取消IP的轉(zhuǎn)發(fā)功能;檢查每個分組的接口;
對安全操作系統(tǒng)內(nèi)核的固化與改造主要從以下幾方面進行:采用隨機連接序號;駐留分組過濾模塊;取消動態(tài)路由功能;采用多個安全內(nèi)核等。計算機網(wǎng)絡(luò)7.防火墻操作系統(tǒng)取消危險的系統(tǒng)調(diào)用對安全操作系統(tǒng)內(nèi)核的8.NAT技術(shù)
NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時使用NAT的網(wǎng)絡(luò),與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起,極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。NAT的另一個顯而易見的用途是解決IP地址匱乏問題。
計算機網(wǎng)絡(luò)8.NAT技術(shù)NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換9.防火墻的抗攻擊能力
作為一種安全防護設(shè)備,防火墻在網(wǎng)絡(luò)中自然是眾多攻擊者的目標,故抗攻擊能力也是防火墻的必備功能。
計算機網(wǎng)絡(luò)9.防火墻的抗攻擊能力作為一種安全防護設(shè)備,防火墻在網(wǎng)絡(luò)10.防火墻的局限性
存在著一些防火墻不能防范的安全威脅,如防火墻不能防范不經(jīng)過防火墻的攻擊。例如,如果允許從受保護的網(wǎng)絡(luò)內(nèi)部向外撥號,一些用戶就可能形成與Internet的直接連接。另外,防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。
計算機網(wǎng)絡(luò)10.防火墻的局限性存在著一些防火墻不能防范的安全威脅,7.4.2防火墻功能基本指標
產(chǎn)品類型2.LAN接口
3.協(xié)議支持4.加密支持
5.認證支持6.訪問控制
7.防御功能8.安全特性
9.管理功能10.記錄和報表功能
計算機網(wǎng)絡(luò)7.4.2防火墻功能基本指標產(chǎn)品類型1.產(chǎn)品類型
基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。
計算機網(wǎng)絡(luò)1.產(chǎn)品類型基于路由器的包過濾防火墻、計算機網(wǎng)絡(luò)2.LAN接口
支持的LAN接口類型:如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。支持的最大LAN接口數(shù):指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目,也是其能夠保護的不同內(nèi)網(wǎng)數(shù)目。服務(wù)器平臺:防火墻所運行的操作系統(tǒng)平臺(如
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 產(chǎn)品三維造型(UG NX12.0) 課件 5.1創(chuàng)建工程圖
- 小學(xué)數(shù)學(xué)蘇教版六上試題庫
- 2024年智能真空斷路器項目合作計劃書
- 北師大版八年級下冊生物復(fù)習(xí)全攻略
- 初中地理人教版教學(xué)講座
- 人教版圓柱教學(xué)設(shè)計中的數(shù)學(xué)史料
- 蘇教版二年級科學(xué)上冊期中試卷真題及答案解析
- 三年級下冊數(shù)學(xué)北師大版
- 詳細解析北師大版光合作用課件
- 礦泉水教學(xué)在北師大的實踐
- 再生資源回收利用商業(yè)計劃書
- 聞王昌齡左遷龍標遙有此寄優(yōu)秀課件
- 二年級 看圖寫話公開課一等獎省優(yōu)質(zhì)課大賽獲獎?wù)n件
- 曹思雪小學(xué)體育課仰臥起坐教案
- 高中數(shù)學(xué)必修一必修二綜合測試題(含答案)
- 2022版新修訂小學(xué)數(shù)學(xué)新課程標準的解讀與梳理培訓(xùn)課件
- 2022年安徽省合肥市46中學(xué)九年級物理第一學(xué)期期中經(jīng)典模擬試題含解析
- 抗生素的濫用課件
- 選擇性必修1第6課 西方的文官制度 課件(16張PPT)
- ACLS-PC-SA課前自我測試試題及答案
- 袁行霈:中國古典詩歌的意象
評論
0/150
提交評論