第七章網(wǎng)絡(luò)安全與管理oweroinresen

第七章 網(wǎng)絡(luò)安全與管理7.1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述統(tǒng)計(jì)表明全球87%的電子郵件被病毒染率、90%以上的網(wǎng)站受過(guò)攻擊、有著超過(guò)六萬(wàn)種不同類型的病毒，并且每天還在產(chǎn)生新的品種。網(wǎng)絡(luò)犯罪也遵循摩爾定律，每18個(gè)月翻一番。面對(duì)這樣的網(wǎng)絡(luò)安全環(huán)境，我們的計(jì)算機(jī)，計(jì)算機(jī)網(wǎng)絡(luò)如何才能自保？如何才能降低被攻擊的風(fēng)險(xiǎn)？本章重點(diǎn)了解目前計(jì)算機(jī)安全的概況了解計(jì)算機(jī)安全的主動(dòng)保障技術(shù)，如加密、防火墻、授權(quán)等掌握計(jì)算機(jī)病毒的防治策略與技術(shù)掌握網(wǎng)絡(luò)管理在計(jì)算機(jī)安全策略中起到額作用7.1.1 網(wǎng)絡(luò)安全含義網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然的或者惡意的破壞、篡改、泄露，保證系統(tǒng)能連續(xù)、可靠的正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。其目的是確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄漏等。網(wǎng)絡(luò)安全包含四個(gè)方面：運(yùn)行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。網(wǎng)絡(luò)上系統(tǒng)信息的安全，即系統(tǒng)信息不被泄漏，不被非法利用。網(wǎng)絡(luò)上信息傳播的安全，即信息傳播后果的安全。網(wǎng)絡(luò)上信息內(nèi)容的安全，即我們討論的狹義的“信息安全”。解決網(wǎng)絡(luò)安全的主要技術(shù)身份認(rèn)證技術(shù)訪問(wèn)控制技術(shù)密碼技術(shù)防火墻技術(shù)病毒防治技術(shù)。7.1.2 網(wǎng)絡(luò)不安全的原因計(jì)算機(jī)網(wǎng)絡(luò)自身的缺陷開(kāi)放性人為的威脅計(jì)算機(jī)網(wǎng)絡(luò)自身的缺陷計(jì)算機(jī)硬件系統(tǒng)的安全隱患計(jì)算機(jī)操作系統(tǒng)的安全隱患數(shù)據(jù)庫(kù)的安全隱患應(yīng)用軟件的安全隱患通信傳輸協(xié)議的安全隱患開(kāi)放性因特網(wǎng)是開(kāi)放性的，所提供的服務(wù)都是基于公開(kāi)的協(xié)議，毫無(wú)保密性可言。同時(shí)任何人都可以從任意一臺(tái)聯(lián)上網(wǎng)的計(jì)算機(jī)進(jìn)入網(wǎng)絡(luò)，訪問(wèn)另一個(gè)國(guó)家的計(jì)算機(jī)，即各種攻擊無(wú)需到現(xiàn)場(chǎng)就可進(jìn)行，而且誰(shuí)也不知道他的真實(shí)身份，因此讓某些人可以亳無(wú)顧及地攻擊他人的計(jì)算機(jī)。人為的威脅人為的威脅又分為誤操作和惡意攻擊。誤操作 由于用戶不會(huì)或不小心造成網(wǎng)絡(luò)系統(tǒng)受損，信息被破壞的操作。惡意攻擊又分為內(nèi)部人員和外部人員對(duì)網(wǎng)絡(luò)的攻擊。7.1.3 網(wǎng)絡(luò)安安全需求如何才是一一個(gè)安全的的網(wǎng)絡(luò)？一一個(gè)完善的的安全網(wǎng)絡(luò)絡(luò)在保證其其計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)硬件平平臺(tái)和系統(tǒng)統(tǒng)軟件平臺(tái)臺(tái)安全的基基礎(chǔ)上，應(yīng)應(yīng)該還具備備以下安全全屬性:機(jī)密性完整性有效性授權(quán)性審查性機(jī)密性機(jī)密性又稱稱保密性，，是指信息息在產(chǎn)生、、傳送、處處理和存貯貯過(guò)程中不不泄露給非非授權(quán)的個(gè)個(gè)人或組織織。機(jī)密性性一般是通通過(guò)加密技技術(shù)對(duì)信息息進(jìn)行加密密處理來(lái)實(shí)實(shí)現(xiàn)的，經(jīng)經(jīng)過(guò)加密處處理后的加加密信息，，即使被非非授權(quán)者截截取，也由由于非授權(quán)權(quán)者無(wú)法解解密而不能能了解其內(nèi)內(nèi)容。完整性是指信息在在傳送和存存貯過(guò)程中中保持一致致，沒(méi)有被被非授權(quán)人人員改變。。完整性一一般可以通通過(guò)提取信信息的數(shù)字字摘要的方方式來(lái)實(shí)現(xiàn)現(xiàn)。有效性有效性又稱稱可用性，，是指授權(quán)權(quán)用戶在正正常訪問(wèn)信信息和資源源時(shí)不被拒拒絕，可以以及時(shí)獲取取服務(wù)，即即保證為用用戶提供穩(wěn)穩(wěn)定的服務(wù)務(wù)。授權(quán)性授權(quán)性又稱稱訪問(wèn)控制制，控制誰(shuí)誰(shuí)能夠訪問(wèn)問(wèn)網(wǎng)絡(luò)上的的信息并且且能夠進(jìn)行行何種操作作，防止非非授權(quán)使用用資源或控控制資源，，有助于信信息的機(jī)密密性、完整整性。審查性是指對(duì)每個(gè)個(gè)經(jīng)授權(quán)的的用戶的活活動(dòng)和進(jìn)行行的操作內(nèi)內(nèi)容進(jìn)行審審計(jì)、跟蹤蹤和記錄。。有助于信信息的機(jī)密密性、完整整性，及時(shí)時(shí)發(fā)現(xiàn)非法法操作。7.2加加密技術(shù)加密的概念念對(duì)稱密鑰加加密技術(shù)非對(duì)稱密鑰鑰加密技術(shù)術(shù)數(shù)字摘要技技術(shù)數(shù)字信封技技術(shù)7.2.1 加密的的概念所謂信息加加密技術(shù)，，就是采用用數(shù)學(xué)方法法對(duì)原始信信息（通常常稱為“明明文”）進(jìn)進(jìn)行再組織織，將明文文轉(zhuǎn)換成為為無(wú)意義的的文字（稱稱為“密文文”），阻阻止非法用用戶了解原原始數(shù)據(jù)，，從而確保保數(shù)據(jù)的保保密性。信信息的接收收者收到密密文之后，，需要用相相關(guān)的算法法重新把密密文恢復(fù)成成明文。信息加密把明文轉(zhuǎn)變變成密文的的過(guò)程稱為為加密，所所使用的計(jì)計(jì)算方法叫叫做加密算算法；由密密文還原為為明文的過(guò)過(guò)程稱為解解密，所使使用的計(jì)算算方法叫做做解密算法法。7.2.2 對(duì)稱密密鑰加密技技術(shù)對(duì)稱密鑰加加密又稱常常規(guī)密鑰加加密/傳統(tǒng)統(tǒng)密鑰加密密/私鑰加加密/專用用密鑰加密密，即信息息的發(fā)送方方和接收方方用同一個(gè)個(gè)密鑰去加加密和解密密數(shù)據(jù)。使用對(duì)稱密密鑰加密技技術(shù)進(jìn)行通通信者都必必須完全信信任且彼此此了解，而而每一位參參與者都保保有一把密密鑰復(fù)本。。使用對(duì)稱稱加密方法法簡(jiǎn)化了加加密的處理理，每個(gè)通通信方都不不必彼此研研究和交換換專用的加加密算法，，而是采用用相同的加加密算法并并只交換共共享的專用用密鑰。例如DES算法DES算法法的入口參參數(shù)有三個(gè)個(gè)：Key、Data、Mode其中Key為8個(gè)字字節(jié)共64位，是DES算法法的工作密密鑰Data也也為8個(gè)字字節(jié)64位位，是要被被加密或被被解密的數(shù)數(shù)據(jù)Mode為DES的工作作方式，有兩兩種：加密或或解密。DES算法具具有極高安全全性，到目前前為止，除了了用窮舉搜索索法對(duì)DES算法進(jìn)行攻攻擊外，還沒(méi)沒(méi)有發(fā)現(xiàn)更有有效的辦法。。如果一臺(tái)計(jì)計(jì)算機(jī)的速度度是每一秒種種檢測(cè)一百萬(wàn)萬(wàn)個(gè)密鑰，則則它搜索完全全部密鑰就需需要將近2285年的時(shí)時(shí)間，可見(jiàn)，，這是難以實(shí)實(shí)現(xiàn)的。隨著科學(xué)技術(shù)術(shù)的發(fā)展，當(dāng)當(dāng)出現(xiàn)超高速速計(jì)算機(jī)后，，我們可考慮慮把DES密密鑰的長(zhǎng)度再再增長(zhǎng)一些，，以此來(lái)達(dá)到到更高的保密密程度。對(duì)稱密鑰加密密優(yōu)點(diǎn)：加/解解密速度快，，適合對(duì)大量量數(shù)據(jù)進(jìn)行加加密。問(wèn)題：對(duì)稱加密技術(shù)術(shù)存在著在通通信方之間確確保密鑰安全全交換的問(wèn)題題。在公眾網(wǎng)網(wǎng)絡(luò)上通信方方之間的密鑰鑰分配(密鑰鑰產(chǎn)生、傳送送和儲(chǔ)存)很很麻煩。當(dāng)某一通信方方有"n"個(gè)個(gè)通信關(guān)系，，那么他就要要維護(hù)"n"個(gè)專用密鑰鑰(即每把密密鑰對(duì)應(yīng)一通通信方)。對(duì)稱密鑰加密密常用對(duì)稱密鑰鑰加密方法有有：數(shù)據(jù)加密標(biāo)準(zhǔn)準(zhǔn)DESRC5圖7-2對(duì)稱密鑰加密7.2.3非非對(duì)稱密鑰鑰加密技術(shù)非對(duì)稱密鑰加加密又稱公開(kāi)開(kāi)密鑰加密（（PublicKeyEncryption），由美美國(guó)斯坦福大大學(xué)赫爾曼教教授于1977年提出。。它最主要的的特點(diǎn)就是加加密和解密使使用不同的密密鑰，每個(gè)用用戶保存著一一對(duì)密鑰：公公鑰和私鑰，，公鑰對(duì)外公公開(kāi)，私鑰由由個(gè)人秘密保保存；用其中中一把密鑰來(lái)來(lái)加密，就只只能用另一把把密鑰來(lái)解密密。公開(kāi)密鑰加密密技術(shù)解決了了密鑰的發(fā)布布和管理問(wèn)題題，通信雙方方無(wú)須事先交交換密鑰就可可以建立安全全通信，廣泛泛應(yīng)用于身份份認(rèn)證、數(shù)字字簽名等信息息交換領(lǐng)域。。例如商戶可以以公開(kāi)其公鑰鑰，而保留其其私鑰；客戶戶可以用商戶戶的公鑰對(duì)發(fā)發(fā)送的信息進(jìn)進(jìn)行加密，安安全地傳送到到商戶，然后后由商戶用自自己的私鑰進(jìn)進(jìn)行解密，從從而保證了客客戶的信息機(jī)機(jī)密性。因此此，公開(kāi)密鑰鑰體制的建設(shè)設(shè)是開(kāi)展電子子商務(wù)的前提提。公開(kāi)密鑰算法法的特點(diǎn)加密算法和解解密算法都是是公開(kāi)的。不能根據(jù)公鑰鑰計(jì)算出私鑰鑰。公鑰和私鑰均均可以作為加加密密鑰，用用其中一把密密鑰來(lái)加密，，就只能用另另一把密鑰來(lái)來(lái)解密，具有有對(duì)應(yīng)關(guān)系。。加密密鑰不能能用來(lái)解密。。在計(jì)算機(jī)上可可以容易地產(chǎn)產(chǎn)生成對(duì)的公公鑰和私鑰。。公開(kāi)密鑰算法法公開(kāi)密鑰加密密技術(shù)解決了了密鑰的發(fā)布布和管理問(wèn)題題，通信雙方方無(wú)須事先交交換密鑰就可可以建立安全全通信。公開(kāi)密鑰加密密法加解密計(jì)計(jì)算較費(fèi)時(shí)間間，比較適合合用來(lái)加密摘摘要數(shù)據(jù)，或或者采用混合合加密法提升升加解密之速速度。非對(duì)稱加密體體系一般是建建立在某些已已知的數(shù)學(xué)難難題之上，是是計(jì)算機(jī)復(fù)雜雜性理論發(fā)展展的必然結(jié)果果。我們常說(shuō)數(shù)字字證書(shū)采用512位，1024位等等，指的就是是公鑰的長(zhǎng)度度。位數(shù)越大大，計(jì)算量越越大，解密也也更困難。7.2.4數(shù)數(shù)字摘要技技術(shù)對(duì)信息進(jìn)行加加密可以保證證信息的機(jī)密密性，同樣利利用加密技術(shù)術(shù)可以保證信信息的完整性性，即確認(rèn)信信息在傳送或或存儲(chǔ)過(guò)程中中未被篡改過(guò)過(guò)，這種技術(shù)術(shù)稱作數(shù)字摘摘要技術(shù)。數(shù)字摘要技術(shù)術(shù)數(shù)字摘要又稱稱報(bào)文摘要/消息摘要，，它對(duì)要發(fā)送送的信息進(jìn)行行某種變換運(yùn)運(yùn)算，提取信信息的特征，，得到固定長(zhǎng)長(zhǎng)度的密文，，此即摘要，，亦稱為數(shù)字字指紋。實(shí)際操作時(shí)，，先提取發(fā)送送信息的數(shù)字字摘要，并在在傳輸信息時(shí)時(shí)將之加入文文件一同送給給接收方接收方收到文文件后，用相相同的方法對(duì)對(duì)接收的信息息進(jìn)行變換運(yùn)運(yùn)算得到另一一個(gè)摘要然后將自己運(yùn)運(yùn)算得到的摘摘要與發(fā)送過(guò)過(guò)來(lái)的摘要進(jìn)進(jìn)行比較，從從而驗(yàn)證數(shù)據(jù)據(jù)的完整性。。數(shù)字摘要技術(shù)術(shù)數(shù)字摘要技術(shù)術(shù)提取數(shù)據(jù)的特特征的算法叫叫做單向散列列函數(shù)（HASH函數(shù)）），單向散列列函數(shù)還必須須具有以下幾幾個(gè)性質(zhì)：能處理任意大大小的信息，，生成的消息息摘要數(shù)據(jù)塊塊長(zhǎng)度總是具具有固定的大大小，對(duì)同一一個(gè)源數(shù)據(jù)反反復(fù)執(zhí)行該函函數(shù)得到的消消息摘要相同同；對(duì)給定的信息息，很容易計(jì)計(jì)算出數(shù)字摘摘要；給定數(shù)字摘要要和公開(kāi)的散散列函數(shù)算法法，要推導(dǎo)出出信息是極其其困難的；想要偽造另外外一個(gè)信息，，使它的數(shù)字字摘要和原信信息的數(shù)字摘摘要一樣，也也是極其困難難的。7.2.5數(shù)數(shù)字信封技技術(shù)數(shù)字信封是為為了解決傳送送、更換密鑰鑰問(wèn)題而產(chǎn)生生的技術(shù)。如如上所述對(duì)稱稱加密技術(shù)速速度快，但存存在如何傳送送密鑰的問(wèn)題題，而非對(duì)稱稱加密技術(shù)不不存在傳送密密鑰的問(wèn)題，，但它的加密密速度慢。因因此我們經(jīng)常常是將這兩種種加密技術(shù)結(jié)結(jié)合起來(lái)，從從而產(chǎn)生了數(shù)數(shù)字信封技術(shù)術(shù)。數(shù)字信封技術(shù)術(shù)數(shù)字信封技術(shù)術(shù)數(shù)字信封技術(shù)術(shù)結(jié)合了秘密密密鑰加密和和公開(kāi)密鑰加加密技術(shù)的優(yōu)優(yōu)點(diǎn)，可克服服秘密密鑰加加密中秘密密密鑰分發(fā)困難難和公開(kāi)密鑰鑰加密中加密密時(shí)間長(zhǎng)的缺缺陷。它在外層使用用靈活的公開(kāi)開(kāi)密鑰加密技技術(shù)，在內(nèi)層層使用秘密密密鑰加密技術(shù)術(shù)。數(shù)字信封用加加密技術(shù)來(lái)保保證只有特定定的收信人才才能閱讀信的的內(nèi)容。7.3 訪問(wèn)問(wèn)控制訪問(wèn)控制是對(duì)對(duì)進(jìn)入計(jì)算機(jī)機(jī)系統(tǒng)的控制制，如進(jìn)入Windows操作系統(tǒng)統(tǒng)需輸入用戶戶名和密碼。。它的作用是是對(duì)需要訪問(wèn)問(wèn)系統(tǒng)及其資資源的用戶進(jìn)進(jìn)行識(shí)別，檢檢驗(yàn)其合法身身份，并對(duì)合合法用戶所能能進(jìn)行的操作作進(jìn)行管理。。7.3.1用用戶標(biāo)識(shí)用戶標(biāo)識(shí)與后后面的認(rèn)證是是一種用于防防止非授權(quán)用用戶進(jìn)入系統(tǒng)統(tǒng)的常規(guī)技術(shù)術(shù)措施。用戶戶只有通過(guò)了了身份認(rèn)證，，才能操作計(jì)計(jì)算機(jī)系統(tǒng)，，訪問(wèn)網(wǎng)絡(luò)資資源。因此身身份認(rèn)證是安安全系統(tǒng)的第第一道關(guān)卡。。用戶標(biāo)識(shí)用用于用戶向系系統(tǒng)聲明自己己的身份，用用戶標(biāo)識(shí)應(yīng)具具有唯一性，，其最常用形形式的為用戶戶ID。系統(tǒng)統(tǒng)必須根據(jù)安安全策略，維維護(hù)所有用戶戶標(biāo)識(shí)。7.3.2認(rèn)認(rèn)證認(rèn)證用于驗(yàn)證證用戶向系統(tǒng)統(tǒng)聲明的身份份的有效性，，確認(rèn)訪問(wèn)者者是否是用戶戶本人。通常常有三種方法法：用戶個(gè)人所掌掌握的秘密信信息（如口令令字、電子簽簽名密鑰、個(gè)個(gè)人標(biāo)識(shí)號(hào)PIN等）；；用戶個(gè)人所擁?yè)碛械奈锲罚ǎㄈ绱趴?、IC卡等）；；用戶個(gè)人的生生理特征（如如聲音、動(dòng)態(tài)態(tài)手寫(xiě)輸入的的特征模式、、指紋等）。。7.3.3授授權(quán)授權(quán)是基于系系統(tǒng)的安全機(jī)機(jī)制，以確定定某人或某個(gè)個(gè)進(jìn)程對(duì)于特特定系統(tǒng)資源源訪問(wèn)權(quán)限。。計(jì)算機(jī)系統(tǒng)管管理員會(huì)根據(jù)據(jù)用戶的身份份來(lái)設(shè)置用戶戶對(duì)資源的訪訪問(wèn)權(quán)限，當(dāng)當(dāng)用戶通過(guò)身身份認(rèn)證后，，其對(duì)系統(tǒng)資資源的訪問(wèn)由由系統(tǒng)訪問(wèn)監(jiān)監(jiān)控器按授權(quán)權(quán)數(shù)據(jù)庫(kù)中的的設(shè)置來(lái)決定定是否允許、、其在系統(tǒng)中中的操作由審審計(jì)系統(tǒng)來(lái)記記錄，同時(shí)入入侵檢測(cè)系統(tǒng)統(tǒng)會(huì)檢測(cè)是否否有入侵行為為。身份認(rèn)證在安安全系統(tǒng)中的的地位極其重重要，是最基基本的安全服服務(wù)，其它的的安全服務(wù)都都要依賴于它它，一旦身份份認(rèn)證系統(tǒng)被被攻破，那么么系統(tǒng)的所有有安全措施形形同虛設(shè)。7.4 防火火墻技術(shù)防火墻的基本本概念防火墻的類型型防火墻的配置置7.4.1防防火墻的基基本概念在計(jì)算機(jī)系統(tǒng)統(tǒng)中，防火墻墻是指隔離被被保護(hù)網(wǎng)絡(luò)（（通常指內(nèi)部部網(wǎng)）和外界界（包括外部部網(wǎng)、互聯(lián)網(wǎng)網(wǎng)），防止內(nèi)內(nèi)部網(wǎng)受到外外界的侵犯的的軟硬件系統(tǒng)統(tǒng)，可被認(rèn)為為是一種訪問(wèn)問(wèn)控制機(jī)制。。防火墻圖7-6防火墻的邏輯位置結(jié)構(gòu)示意圖7.4.2防防火墻的類類型包過(guò)濾型代理型監(jiān)測(cè)型。包過(guò)濾型包過(guò)濾型產(chǎn)品品是防火墻的的初級(jí)產(chǎn)品,其技術(shù)依據(jù)據(jù)是網(wǎng)絡(luò)中的的分包傳輸技技術(shù)。包過(guò)濾技術(shù)的的優(yōu)點(diǎn)是簡(jiǎn)單單實(shí)用,實(shí)現(xiàn)現(xiàn)成本較低,在應(yīng)用環(huán)境境比較簡(jiǎn)單的的情況下,能能夠以較小的的代價(jià)在一定定程度上保證證系統(tǒng)的安全全。包過(guò)濾技術(shù)是是一種完全基基于網(wǎng)絡(luò)層的的安全技術(shù),只能根據(jù)數(shù)數(shù)據(jù)包的來(lái)源源、目標(biāo)和端端口等網(wǎng)絡(luò)信信息進(jìn)行判斷斷,無(wú)法識(shí)別別基于應(yīng)用層層的惡意侵入入。代理型代理型防火墻墻又稱應(yīng)用層層網(wǎng)關(guān)級(jí)防火火墻，也可以以被稱為代理理服務(wù)器,它它的安全性要要高于包過(guò)濾濾型產(chǎn)品,并并已經(jīng)開(kāi)始向向應(yīng)用層發(fā)展展。代理服務(wù)器位位于客戶機(jī)與與服務(wù)器之間間,完全阻擋擋了二者間的的數(shù)據(jù)交流。。代理型防火墻墻的優(yōu)點(diǎn)是安安全性較高,可以針對(duì)應(yīng)應(yīng)用層進(jìn)行偵偵測(cè)和掃描,對(duì)付基于應(yīng)應(yīng)用層的侵入入和病毒都十十分有效。監(jiān)測(cè)型監(jiān)測(cè)型防火墻墻能夠?qū)Ω鲗訉拥臄?shù)據(jù)進(jìn)行行主動(dòng)的、實(shí)實(shí)時(shí)的監(jiān)測(cè)。。并在對(duì)這些些數(shù)據(jù)分析的的基礎(chǔ)上，它它能夠有效地地判斷出各層層中的非法入入侵。這種檢測(cè)型防防火墻產(chǎn)品一一般還帶有分分布式探測(cè)器器，這些探測(cè)測(cè)器安置在各各種應(yīng)用服務(wù)務(wù)器和其他網(wǎng)網(wǎng)絡(luò)的節(jié)點(diǎn)之之中，不僅能能夠檢測(cè)來(lái)自自網(wǎng)絡(luò)外部的的攻擊，還對(duì)對(duì)來(lái)自內(nèi)部的的惡意破壞也也有極強(qiáng)的防防范作用。7.4.3防防火墻的配配置安裝防火墻的的位置是內(nèi)部部網(wǎng)絡(luò)與外部部網(wǎng)絡(luò)的接口口處,以阻擋擋來(lái)自外部網(wǎng)網(wǎng)絡(luò)的入侵；；如果內(nèi)部網(wǎng)絡(luò)絡(luò)規(guī)模較大,并且設(shè)置有有虛擬局域網(wǎng)網(wǎng)(VLAN),則應(yīng)該該在各個(gè)VLAN之間設(shè)設(shè)置防火墻；；通過(guò)公網(wǎng)連接接的總部與各各分支機(jī)構(gòu)之之間也應(yīng)該設(shè)設(shè)置防火墻。。防火墻配置結(jié)結(jié)構(gòu)屏蔽路由器雙宿主主機(jī)結(jié)結(jié)構(gòu)屏蔽主機(jī)結(jié)構(gòu)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)構(gòu)屏蔽路由器也叫安全路由由器，可以由由專門的路由由器實(shí)現(xiàn)，也也可以用主機(jī)機(jī)來(lái)實(shí)現(xiàn)。屏屏蔽路由器實(shí)實(shí)現(xiàn)包過(guò)濾功功能，其中一一個(gè)路由器的的接口外部網(wǎng)網(wǎng)絡(luò)；而另一一個(gè)則連接內(nèi)內(nèi)部網(wǎng)。雙宿主主機(jī)結(jié)結(jié)構(gòu)這種防火墻稱稱為雙宿主網(wǎng)網(wǎng)關(guān)，又稱堡堡壘主機(jī)或應(yīng)應(yīng)用層網(wǎng)關(guān)，，主要由一臺(tái)臺(tái)雙宿主主機(jī)機(jī)構(gòu)成，具有有兩個(gè)網(wǎng)絡(luò)接接口，分別連連接到內(nèi)部網(wǎng)網(wǎng)和外部網(wǎng)，，充當(dāng)轉(zhuǎn)發(fā)器器。屏蔽主機(jī)結(jié)構(gòu)構(gòu)這種防火墻稱稱為屏蔽主機(jī)機(jī)網(wǎng)關(guān)，這種種配置一方面面用路由器將將內(nèi)部網(wǎng)與外外部網(wǎng)隔開(kāi)，，另一方面在在互聯(lián)網(wǎng)和內(nèi)內(nèi)部網(wǎng)之間安安裝堡壘主機(jī)機(jī)。堡壘主機(jī)裝在在內(nèi)部網(wǎng)上，，通過(guò)路由器器的配置，使使該堡壘主機(jī)機(jī)成為內(nèi)部網(wǎng)網(wǎng)與互聯(lián)網(wǎng)進(jìn)進(jìn)行通信的唯唯一系統(tǒng)。在這種安全體體系結(jié)構(gòu)中，，主要的安全全措施是數(shù)據(jù)據(jù)包過(guò)濾。屏蔽主機(jī)結(jié)構(gòu)構(gòu)數(shù)據(jù)包過(guò)濾配配置可以按下下列某種方式式執(zhí)行：允許其他的內(nèi)內(nèi)部主機(jī)為了了某些服務(wù)與與因特網(wǎng)上的的主機(jī)連接，，即允許那些些經(jīng)過(guò)數(shù)據(jù)包包過(guò)濾的服務(wù)務(wù)。不允許來(lái)自內(nèi)內(nèi)部主機(jī)的所所有連接，即即強(qiáng)迫內(nèi)部主主機(jī)通過(guò)壁壘壘主機(jī)使用代代理服務(wù)。屏蔽主機(jī)結(jié)構(gòu)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)構(gòu)防火墻是通通過(guò)在內(nèi)外網(wǎng)網(wǎng)之間添加邊邊界網(wǎng)絡(luò)，為為屏蔽主機(jī)結(jié)結(jié)構(gòu)增添另一一個(gè)安全層，，這個(gè)邊界網(wǎng)網(wǎng)絡(luò)有時(shí)候稱稱為非軍事區(qū)區(qū)。壁壘主機(jī)是最最脆弱的、最最易受攻擊的的部位，通過(guò)過(guò)隔離壁壘主主機(jī)的邊界網(wǎng)網(wǎng)絡(luò)，便可減減輕壁壘主機(jī)機(jī)被攻破所造造成的后果。。最簡(jiǎn)單的屏蔽蔽子網(wǎng)有兩個(gè)個(gè)屏蔽路由器器，一個(gè)接外外部網(wǎng)與邊界界網(wǎng)絡(luò)，另一一個(gè)連接邊界界網(wǎng)絡(luò)與內(nèi)部部網(wǎng)。這樣為為了攻進(jìn)內(nèi)部部網(wǎng)，入侵者者必須通過(guò)兩兩個(gè)屏蔽路由由器。屏蔽子網(wǎng)結(jié)構(gòu)構(gòu)7.5 黑客客攻擊與防御御黑客攻擊黑客攻擊的防防御7.5.1黑黑客攻擊什么是黑客黑客攻擊的目目的黑客攻擊的步步驟黑客工具什么是黑客“黑客”是英英文“hacker”的的譯音，hacker曾曾被人們用來(lái)來(lái)描述計(jì)算機(jī)機(jī)狂的代名詞詞，hacker以計(jì)算算機(jī)為生，是是熱衷于電腦腦程序的設(shè)計(jì)計(jì)者，是對(duì)于于任何計(jì)算機(jī)機(jī)操作系統(tǒng)的的奧秘都有強(qiáng)強(qiáng)烈興趣的人人?！，F(xiàn)在人們所說(shuō)說(shuō)的“黑客””在大多數(shù)情情況下并不是是指這樣一類類人，而是指指行為具有惡惡意的入侵者者。入侵者是是指那些強(qiáng)行行闖入遠(yuǎn)端系系統(tǒng)或者以某某種惡意的目目的破壞遠(yuǎn)端端系統(tǒng)完整性性的人。對(duì)這這些人，英文文的正確叫法法是“cracker””，可譯為““駭客”。黑客攻擊的目目的竊取信息篡改和泄露信信息獲取目標(biāo)系統(tǒng)統(tǒng)的非法訪問(wèn)問(wèn)權(quán)限控制中間站點(diǎn)點(diǎn)黑客攻擊的步步驟確定目標(biāo)搜集與攻擊目目標(biāo)相關(guān)的信信息，并找出出系統(tǒng)的安全全漏洞實(shí)施攻擊清除入侵記錄錄黑客工具掃描器利用系統(tǒng)和軟軟件漏洞的工工具軟件木馬程序監(jiān)聽(tīng)程序網(wǎng)絡(luò)工具黑客自己編寫(xiě)寫(xiě)的工具7.5.2黑黑客攻擊的的防御提高安全意識(shí)識(shí)系統(tǒng)安全設(shè)置置定期對(duì)網(wǎng)絡(luò)進(jìn)進(jìn)行安全檢查查使用防火墻安裝殺毒軟件件隱藏自己的IP地址作好數(shù)據(jù)備份份7.6 網(wǎng)絡(luò)絡(luò)病毒防治計(jì)算機(jī)病毒的的概念計(jì)算機(jī)病毒的的結(jié)構(gòu)與分類類計(jì)算機(jī)病毒的的防治7.6.1計(jì)計(jì)算機(jī)病毒毒的概念目前，在計(jì)算算機(jī)上流行的的病毒及其變變種已有數(shù)萬(wàn)萬(wàn)種之多，新新的病毒還層層出不窮。總總之，計(jì)算機(jī)機(jī)病毒產(chǎn)生速速度之快，傳傳播范圍之廣廣，生命力之之強(qiáng)，破壞力力之大，令全全世界震驚。。如何保證數(shù)數(shù)據(jù)的安全性性，防止病毒毒的破壞，已已成為計(jì)算機(jī)機(jī)專業(yè)人員和和廣大用戶所所面臨的重大大問(wèn)題。什么是計(jì)算機(jī)機(jī)病毒1994年出出臺(tái)的《中華華人民共和國(guó)國(guó)計(jì)算機(jī)安全全保護(hù)條例》》中，對(duì)病毒毒的定義如下下：計(jì)算機(jī)病病毒，是指編編制或者在計(jì)計(jì)算機(jī)程序中中插入的破壞壞計(jì)算機(jī)功能能或者毀壞數(shù)數(shù)據(jù)，影響計(jì)計(jì)算機(jī)使用，，并能自我復(fù)復(fù)制的一組計(jì)計(jì)算機(jī)指令或或者程序代碼碼。計(jì)算機(jī)病毒的的特性計(jì)算機(jī)病毒是是未經(jīng)授權(quán)而而執(zhí)行一段程程序代碼。。傳染性。計(jì)算算機(jī)病毒可以以在計(jì)算機(jī)與與計(jì)算機(jī)之間間、程序與程程序之間、網(wǎng)網(wǎng)絡(luò)與網(wǎng)絡(luò)之之間相互進(jìn)行行傳染。破壞性。計(jì)算算機(jī)系統(tǒng)被計(jì)計(jì)算機(jī)病毒感感染后，一旦旦病毒發(fā)作條條件滿足時(shí)，，就在計(jì)算機(jī)機(jī)上表現(xiàn)出一一定的癥狀。。潛伏性。病毒毒一般是具有有很高編程技技巧、短小精精悍的程序，，通常附在正正常程序中或或磁盤中較隱隱蔽的地方，，目的是不讓讓用戶發(fā)現(xiàn)它它的存在。變種性。某些些病毒可以在在傳播的過(guò)程程中自動(dòng)改變變自己的形態(tài)態(tài)，從而衍生生出另一種不不同于原版病病毒的新病毒毒，這種新病病毒稱為病毒毒變種。計(jì)算機(jī)病病毒的危危害破壞硬盤盤的主引引導(dǎo)扇區(qū)區(qū)，使計(jì)計(jì)算機(jī)無(wú)無(wú)法啟動(dòng)動(dòng)。破壞文件件中的數(shù)數(shù)據(jù)，刪刪除文件件。對(duì)磁盤或或磁盤特特定扇區(qū)區(qū)進(jìn)行格格式化，，使磁盤盤中信息息丟失。。產(chǎn)生垃圾圾文件，，占據(jù)磁磁盤空間間，使磁磁盤空間間逐漸減減少。占用CPU運(yùn)行行時(shí)間，，使運(yùn)行行效率降降低。破壞屏幕幕正常顯顯示，破破壞鍵盤盤輸入程程序，干干擾用戶戶操作。。破壞計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)中的資資源，使使網(wǎng)絡(luò)系系統(tǒng)癱瘓瘓。破壞系統(tǒng)統(tǒng)設(shè)置或或?qū)ο到y(tǒng)統(tǒng)信息加加密，使使用戶系系統(tǒng)紊亂亂。7.6.2計(jì)算算機(jī)病毒毒的結(jié)構(gòu)構(gòu)與分類類計(jì)算機(jī)病病毒的結(jié)結(jié)構(gòu)計(jì)算機(jī)病病毒分類類蠕蟲(chóng)病毒毒計(jì)算機(jī)病病毒的結(jié)結(jié)構(gòu)引導(dǎo)部分分。其作作用是將將病毒主主體加載載到內(nèi)存存，為傳傳染部分分做準(zhǔn)備備傳染部分分。其作作用是將將病毒代代碼復(fù)制制到傳染染目標(biāo)上上去。表現(xiàn)部分分。是病病毒間差差異最大大的部分分，前兩兩個(gè)部分分也是為為這部分分服務(wù)的的。大部部分病毒毒都是在在一定條條件下才才會(huì)觸發(fā)發(fā)其表現(xiàn)現(xiàn)部分的的。計(jì)算機(jī)病病毒分類類按感染方方式可分分為引導(dǎo)型病病毒文件型病病毒宏病毒腳本病毒毒蠕蟲(chóng)病毒毒計(jì)算機(jī)病病毒分類類按寄生方方式可分分為操作系統(tǒng)統(tǒng)型病毒毒外殼型病病毒入侵型病病毒源碼型病病毒計(jì)算機(jī)病病毒分類類按破壞情情況可分分為良性病毒毒惡性病毒毒蠕蟲(chóng)病毒毒蠕蟲(chóng)（WORM）病毒毒是一種種通過(guò)網(wǎng)網(wǎng)絡(luò)傳播播的惡性性病毒，，它具有有病毒的的一些共共性，如如傳播性性、隱蔽蔽性、破破壞性等等等，同同時(shí)具有有自己的的一些特特征，如如不利用用文件寄寄生（有有的只存存在于內(nèi)內(nèi)存中）），對(duì)網(wǎng)網(wǎng)絡(luò)造成成拒絕服服務(wù)等等等。蠕蟲(chóng)病毒毒“蠕蟲(chóng)””病毒由由兩部分分組成：：一個(gè)主主程序和和另一個(gè)個(gè)是引導(dǎo)導(dǎo)程序。。“蠕蟲(chóng)””病毒程程序能夠夠常駐于于一臺(tái)或或多臺(tái)機(jī)機(jī)器中，，并有自自動(dòng)重新新定位的的能力。。在網(wǎng)絡(luò)環(huán)環(huán)境下，，蠕蟲(chóng)病病毒可以以按指數(shù)數(shù)增長(zhǎng)模模式進(jìn)行行傳染。。蠕蟲(chóng)病毒毒在網(wǎng)絡(luò)環(huán)環(huán)境中，，蠕蟲(chóng)病病毒具有有一些新新的特性性：傳染方式式多傳播速度度快清除難度度大破壞性強(qiáng)強(qiáng)7.6.3計(jì)計(jì)算機(jī)病病毒的防防治計(jì)算機(jī)病病毒的防防治包括括計(jì)算機(jī)機(jī)病毒的的預(yù)防、、檢測(cè)和和清除。。為了““防患于于未然””，把病病毒發(fā)生生的可能能性壓到到最低程程度，防防治計(jì)算算機(jī)病毒毒應(yīng)采取取以預(yù)防防為主的的方針。。病毒的預(yù)預(yù)防采用抗病病毒的硬硬件裝防病毒毒卡使用硬盤盤保護(hù)卡卡安裝防病病毒軟件件養(yǎng)成良好好的用機(jī)機(jī)習(xí)慣病毒的檢檢測(cè)采用觀察察異常現(xiàn)現(xiàn)象和利利用專用用的病毒毒診斷軟軟件進(jìn)行行檢測(cè)相相結(jié)合的的方法。。當(dāng)出現(xiàn)現(xiàn)下列異異常現(xiàn)象象時(shí)，則則有可能能是感染染了病毒毒并已發(fā)發(fā)作。病毒的檢檢測(cè)計(jì)算機(jī)的的運(yùn)行速速度明顯顯減慢。。突然增加加一些從從未見(jiàn)過(guò)過(guò)的文件件。用戶未對(duì)對(duì)磁盤進(jìn)進(jìn)行讀寫(xiě)寫(xiě)操作，，而磁盤盤驅(qū)動(dòng)器器的燈卻卻發(fā)亮。。磁盤可用用空間不不正常地地變小。?？蓤?zhí)行程程序的長(zhǎng)長(zhǎng)度增大大(文件件字節(jié)數(shù)數(shù)增多)。程序或數(shù)數(shù)據(jù)莫名名其妙地地丟失。。程序運(yùn)行行不了，，或原來(lái)來(lái)運(yùn)行正正常的程程序，提提示內(nèi)存存不夠。。屏幕顯示示異常及及機(jī)器的的喇叭亂亂鳴。突然死機(jī)機(jī)。系統(tǒng)有時(shí)時(shí)會(huì)突然然重新啟啟動(dòng)。病毒的清清除一旦發(fā)現(xiàn)現(xiàn)計(jì)算機(jī)機(jī)感染了了病毒，，要立即即采用有有效措施施將病毒毒清除。。清除病病毒的方方法有很很多，目目前最常常用、最最有效的的方法是是采用殺殺病毒軟軟件來(lái)殺殺滅病毒毒。在使用殺殺病毒軟軟件時(shí)，，要選用用已成熟熟的流行行的正版版軟件；；同時(shí)，，由于計(jì)計(jì)算機(jī)病病毒的種種類太多多，且不不斷有新新病毒出出現(xiàn)，因因此，能能殺滅一一切病毒毒的萬(wàn)能能軟件是是不存在在的。7.7網(wǎng)網(wǎng)絡(luò)管管理技術(shù)術(shù)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)的管管理可以以說(shuō)是伴伴隨著ARPANET的產(chǎn)生生而產(chǎn)生生的，人人們需要要檢測(cè)網(wǎng)網(wǎng)絡(luò)的運(yùn)運(yùn)行狀況況，需要要保證網(wǎng)網(wǎng)絡(luò)安全全、可靠靠、高效效地運(yùn)行行，但隨隨著計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)的高速速發(fā)展，，規(guī)模不不斷擴(kuò)大大，節(jié)點(diǎn)點(diǎn)數(shù)從幾幾十到幾幾千，復(fù)復(fù)雜性不不斷增加加，設(shè)備備類型增增多、功功能增強(qiáng)強(qiáng)，再加加上不同同的操作作系統(tǒng)、、不同的的通信協(xié)協(xié)議等，，使人們們意識(shí)到到單靠人人力是無(wú)無(wú)法勝任任這項(xiàng)工工作的，，必須使使用自動(dòng)動(dòng)的網(wǎng)絡(luò)絡(luò)管理工工具。網(wǎng)絡(luò)管理理的定義義網(wǎng)絡(luò)管理理，簡(jiǎn)稱稱網(wǎng)管，，是為保保證網(wǎng)絡(luò)絡(luò)系統(tǒng)能能夠持續(xù)續(xù)、穩(wěn)定定、安全全、可靠靠和高效效地運(yùn)行行，對(duì)網(wǎng)網(wǎng)絡(luò)上的的通信設(shè)設(shè)備及傳傳輸系統(tǒng)統(tǒng)進(jìn)行監(jiān)監(jiān)測(cè)和控控制的方方法和措措施。網(wǎng)絡(luò)管理理的任務(wù)務(wù)就是收收集、監(jiān)監(jiān)控網(wǎng)絡(luò)絡(luò)中各種種設(shè)備和和設(shè)施的的工作參參數(shù)、工工作狀態(tài)態(tài)信息，，將結(jié)果果顯示給給管理員員并進(jìn)行行處理，，從而控控制網(wǎng)絡(luò)絡(luò)中的設(shè)設(shè)備、設(shè)設(shè)施、工工作參數(shù)數(shù)和工作作狀態(tài)，，使其可可靠運(yùn)行行。網(wǎng)絡(luò)管理理的定義義網(wǎng)絡(luò)管理理通常主主要關(guān)注注與硬件件相關(guān)問(wèn)問(wèn)題的管管理，包包括工作作站、服服務(wù)器、、網(wǎng)卡、、路由器器、網(wǎng)橋橋和集線線器等等等。網(wǎng)絡(luò)管理理系統(tǒng)是是一種特特殊的軟軟件程序序，它的的主要功功能是維維護(hù)網(wǎng)絡(luò)絡(luò)正常高高效率地地運(yùn)行，，即它是是實(shí)現(xiàn)網(wǎng)網(wǎng)絡(luò)的程程序。網(wǎng)絡(luò)管理理標(biāo)準(zhǔn)ISO網(wǎng)網(wǎng)絡(luò)管理理標(biāo)準(zhǔn)IETF的網(wǎng)絡(luò)絡(luò)管理標(biāo)標(biāo)準(zhǔn)網(wǎng)絡(luò)管理理的功能能配置管理理性能管理理故障管理理安全管理理計(jì)費(fèi)管理理網(wǎng)絡(luò)管理理模型網(wǎng)絡(luò)管理實(shí)體代理管理數(shù)據(jù)庫(kù)代理管理數(shù)據(jù)庫(kù)代理管理數(shù)據(jù)庫(kù)Proxy網(wǎng)絡(luò)管理協(xié)議被管設(shè)備被管設(shè)備被管設(shè)備網(wǎng)絡(luò)管理理模型網(wǎng)絡(luò)管理理實(shí)體管理代理理管理信息