計(jì)算機(jī)管理與網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)安全的基本概念網(wǎng)絡(luò)防火墻本章知識(shí)點(diǎn)本章導(dǎo)讀計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的發(fā)展速度越快，人們對(duì)網(wǎng)絡(luò)的依賴程度越高，那么網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全技術(shù)就顯得尤為重要。本章將系統(tǒng)地討論網(wǎng)絡(luò)管理技術(shù)、網(wǎng)絡(luò)安全的基本概念、網(wǎng)絡(luò)安全策略以及網(wǎng)絡(luò)防火墻技術(shù)。9.1網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)管理的重要性網(wǎng)絡(luò)管理的分類OSI管理功能域典型的網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理的重要性隨著網(wǎng)絡(luò)在社會(huì)生活中的廣泛應(yīng)用，特別是在金融、商務(wù)、政府機(jī)關(guān)、軍事、信息處理等方面的應(yīng)用，支持各種信息系統(tǒng)的網(wǎng)絡(luò)的地位變得越來(lái)越嚴(yán)重。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)也變得越來(lái)越復(fù)雜。用戶對(duì)網(wǎng)絡(luò)應(yīng)用的需求不斷提高，企業(yè)和用戶對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度越來(lái)越高。在這種情況下，企業(yè)的管理者和用戶對(duì)網(wǎng)絡(luò)的性能、運(yùn)行狀況以及安全性也越來(lái)越重視。因此，網(wǎng)絡(luò)管理已經(jīng)成為現(xiàn)代網(wǎng)絡(luò)技術(shù)中最重要的問(wèn)題之一，也是網(wǎng)絡(luò)設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行與維護(hù)等各個(gè)環(huán)節(jié)中的關(guān)鍵問(wèn)題之一。一個(gè)有效而且實(shí)用的網(wǎng)絡(luò)每時(shí)每刻都離不開(kāi)網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理的分類1．網(wǎng)絡(luò)管理的定義網(wǎng)絡(luò)管理有廣義與狹義之分。廣義的網(wǎng)絡(luò)管理是指對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的管理。狹義的網(wǎng)絡(luò)管理僅指網(wǎng)絡(luò)通信量等網(wǎng)絡(luò)參考性能的管理。我們?cè)谶@里所討論的網(wǎng)絡(luò)管理（NetWareManagement）涉及三個(gè)方面。（1）網(wǎng)絡(luò)服務(wù)提供（networkserviceprovisioning），是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能。（2）網(wǎng)絡(luò)維護(hù)（networkmaintenance），是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、故障診斷、故障隔離與恢復(fù)。（3）網(wǎng)絡(luò)處理（networkadministration），是指網(wǎng)絡(luò)線路，設(shè)備利用率，數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。2．網(wǎng)絡(luò)管理系統(tǒng)的基本結(jié)構(gòu)一個(gè)網(wǎng)絡(luò)管理系統(tǒng)從邏輯上可以分為以下三個(gè)部分：管理對(duì)象（managedobject）、管理進(jìn)程（managerprocess）、管理協(xié)議（managementprotocol）。（1）管理對(duì)象是經(jīng)過(guò)抽象的網(wǎng)絡(luò)元素，對(duì)應(yīng)于網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù)，如記錄網(wǎng)絡(luò)設(shè)備工作狀態(tài)的狀態(tài)變量、網(wǎng)絡(luò)設(shè)備內(nèi)部的工作參數(shù)、網(wǎng)絡(luò)性能的統(tǒng)計(jì)參數(shù)。（2）管理進(jìn)程是負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行全面的管理與控制的軟件。（3）管理協(xié)議則負(fù)責(zé)在管理系統(tǒng)與被管理對(duì)象之間傳遞操作命令，負(fù)責(zé)解釋管理操作命令。管理協(xié)議保證了管理信息庫(kù)中的數(shù)據(jù)與具體網(wǎng)絡(luò)設(shè)備實(shí)際狀態(tài)、工作參數(shù)的一致性。3．管理信息庫(kù)從概念上說(shuō)，一個(gè)網(wǎng)絡(luò)的管理系統(tǒng)只能有一個(gè)管理信息庫(kù)，但管理信息庫(kù)可以是集中存儲(chǔ)的，也可以由各個(gè)網(wǎng)絡(luò)設(shè)備記錄本地工作參數(shù)。網(wǎng)絡(luò)管理員只要查詢有關(guān)的管理信息庫(kù)，就可獲得有關(guān)網(wǎng)絡(luò)設(shè)備的工作狀態(tài)和工作參數(shù)。OSI管理功能域OSI管理標(biāo)準(zhǔn)中定義的5個(gè)功能域是：配置管理（configurationmanagement）、故障管理（faultmanagement）、性能管理（performancemanagement）、安全管理（securitymanagement）、記賬管理（accountingmanagement）。下面我們具體介紹這5個(gè)功能域。1．配置功能網(wǎng)絡(luò)配置是指網(wǎng)絡(luò)中每個(gè)設(shè)備的功能、相互間的連接關(guān)系與工作參數(shù)，它反映了網(wǎng)絡(luò)的狀態(tài)。網(wǎng)絡(luò)是經(jīng)常需要變化的，需要調(diào)整網(wǎng)絡(luò)配置的原因很多。2．故障管理故障管理是用來(lái)維護(hù)網(wǎng)絡(luò)正常運(yùn)行的。網(wǎng)絡(luò)故障管理包括及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的故障，找出網(wǎng)絡(luò)故障產(chǎn)生的原因，必要時(shí)啟動(dòng)控制功能來(lái)排除故障?？刂苹顒?dòng)包括診斷測(cè)試活動(dòng)、故障修復(fù)或恢復(fù)活動(dòng)、啟動(dòng)備用設(shè)備等。3．性能管理網(wǎng)絡(luò)性能管理活動(dòng)是持續(xù)地評(píng)測(cè)網(wǎng)絡(luò)運(yùn)行中的主要性能指標(biāo)，以檢驗(yàn)網(wǎng)絡(luò)服務(wù)是否達(dá)到了預(yù)定的水平，找出已經(jīng)發(fā)生或潛在的瓶頸，報(bào)告網(wǎng)絡(luò)性能的變化趨勢(shì)，為網(wǎng)絡(luò)管理決策提供依據(jù)。4．安全管理安全管理是用來(lái)保護(hù)網(wǎng)絡(luò)資源的安全。安全管理活動(dòng)能夠利用各個(gè)層次的安全防衛(wèi)機(jī)制，使非法入侵事件盡可能少發(fā)生；能夠快速檢測(cè)未授權(quán)的資源使用，并檢查出入侵點(diǎn)，對(duì)非法活動(dòng)進(jìn)行審查與追蹤；能夠使網(wǎng)絡(luò)管理人員恢復(fù)部分受保護(hù)的文件。5．記賬管理對(duì)于公用分組交換網(wǎng)與各種網(wǎng)絡(luò)信息服務(wù)系統(tǒng)來(lái)說(shuō)，用戶必須為使用網(wǎng)絡(luò)的服務(wù)而交費(fèi)，網(wǎng)絡(luò)管理系統(tǒng)則需要對(duì)用戶使用網(wǎng)絡(luò)資源的情況進(jìn)行記錄并核算費(fèi)用。典型的網(wǎng)絡(luò)管理

1．Internet網(wǎng)絡(luò)管理模型在Internet網(wǎng)絡(luò)中，“網(wǎng)絡(luò)元素”被用來(lái)表示任何一種接受管理的網(wǎng)絡(luò)資源。“網(wǎng)絡(luò)元素”與前面所說(shuō)的“管理對(duì)象”的含義是類似的。在Internet的網(wǎng)絡(luò)管理模型中，每個(gè)網(wǎng)絡(luò)元素上都有一個(gè)負(fù)責(zé)執(zhí)行管理任務(wù)的管理代理（agent），整個(gè)網(wǎng)絡(luò)有多個(gè)網(wǎng)絡(luò)實(shí)施集中式管理的管理進(jìn)程。那么，網(wǎng)絡(luò)管理標(biāo)準(zhǔn)用來(lái)定義網(wǎng)絡(luò)控制中心與各管理代理之間的通信。Internet的簡(jiǎn)單網(wǎng)絡(luò)管理模型如下圖所示。被管理的網(wǎng)絡(luò)實(shí)體與它的管理代理一起構(gòu)成完整的網(wǎng)絡(luò)元素。網(wǎng)絡(luò)管理模型

2．簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP除了專門(mén)的標(biāo)準(zhǔn)化組織制定了一些標(biāo)準(zhǔn)外，一些網(wǎng)絡(luò)發(fā)展比較早的機(jī)構(gòu)與廠商也制定了一些應(yīng)用在各自網(wǎng)絡(luò)上的管理標(biāo)準(zhǔn)。例如，IBM公司、DEC公司與Internet組織都有各自的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，有的已經(jīng)成為事實(shí)上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。其中，應(yīng)用最廣泛的是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP，simplenetworkmanagementprotocol）。（1）管理進(jìn)程管理進(jìn)程是一個(gè)或一組軟件程序，它一般運(yùn)行在網(wǎng)絡(luò)管理站（或網(wǎng)絡(luò)管理中心）的主機(jī)上，可以在SNMP的支持下由管理代理來(lái)執(zhí)行各種管理操作。（2）管理代理管理代理是一種被管理的網(wǎng)絡(luò)設(shè)備中運(yùn)行的軟件，它負(fù)責(zé)執(zhí)行管理進(jìn)程的管理操作。（3）管理理信息庫(kù)管理信息庫(kù)庫(kù)是一個(gè)概概念上的數(shù)數(shù)據(jù)庫(kù)，它它是由管理理對(duì)象組成成的。每個(gè)個(gè)管理代理理管理信息息庫(kù)中屬于于本地的管管理對(duì)象，，各管理代代理控制的的管理對(duì)象象共同構(gòu)成成全網(wǎng)的管管理信息庫(kù)庫(kù)。3．典型的的網(wǎng)絡(luò)管理理軟件網(wǎng)絡(luò)管理軟軟件用于監(jiān)監(jiān)視與控制制網(wǎng)絡(luò)的運(yùn)運(yùn)行情況，，包括設(shè)備備與線路的的破壞、網(wǎng)網(wǎng)絡(luò)流量與與擁擠程度度等。對(duì)于于大型的網(wǎng)網(wǎng)絡(luò)系統(tǒng)來(lái)來(lái)說(shuō)，使用用網(wǎng)絡(luò)管理理軟件是十十分必要的的，否則在在網(wǎng)絡(luò)出現(xiàn)現(xiàn)故障或性性能下降時(shí)時(shí)無(wú)從解決決。9.2網(wǎng)網(wǎng)絡(luò)安全的的基本概念念網(wǎng)絡(luò)的重要要性網(wǎng)絡(luò)安全的的基本問(wèn)題題網(wǎng)絡(luò)安全服服務(wù)的主要要內(nèi)容網(wǎng)絡(luò)安全標(biāo)標(biāo)準(zhǔn)主要的網(wǎng)絡(luò)絡(luò)安全技術(shù)術(shù)計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)的廣泛應(yīng)應(yīng)用對(duì)社會(huì)會(huì)經(jīng)濟(jì)、科科學(xué)研究、、文化的發(fā)發(fā)展產(chǎn)生了了重大影響響，同時(shí)也也不可避免免地會(huì)帶來(lái)來(lái)一些新的的社會(huì)、道道德、政治治與法律等等問(wèn)題?，F(xiàn)現(xiàn)在許多企企業(yè)在推行行電子商務(wù)務(wù)，這些企企業(yè)往往是是通過(guò)Internet與合合作伙伴和和顧客交流流溝通，通通過(guò)Internet發(fā)展?jié)摑撛诳蛻?。。根?jù)調(diào)查查Internet上連接了了7200多萬(wàn)個(gè)主主機(jī)，我們們知道還有有許多的計(jì)計(jì)算機(jī)通過(guò)過(guò)各種方式式與Internet連接。?？梢赃@樣樣估計(jì)，大大概有十億億的人們是是你的網(wǎng)絡(luò)絡(luò)鄰居。政政府上網(wǎng)工工程的實(shí)施施，使得各各級(jí)政府與與各個(gè)部門(mén)門(mén)之間越來(lái)來(lái)越多地利利用網(wǎng)絡(luò)進(jìn)進(jìn)行信息交交互，實(shí)現(xiàn)現(xiàn)辦公自動(dòng)動(dòng)化。遠(yuǎn)程程教育使得得數(shù)以萬(wàn)計(jì)計(jì)的學(xué)生可可以在不同同的地方，，通過(guò)網(wǎng)絡(luò)絡(luò)進(jìn)行課堂堂教學(xué)、查查閱資料以以及傳送作作業(yè)等。所所有這一切切都說(shuō)明，，網(wǎng)絡(luò)的應(yīng)應(yīng)用正在改改變?nèi)藗兊牡墓ぷ鞣绞绞?、生活方方式與思維維方式，對(duì)對(duì)提高人們們的生活質(zhì)質(zhì)量產(chǎn)生了了重要影響響。網(wǎng)絡(luò)已已成為一個(gè)個(gè)國(guó)家政治治、經(jīng)濟(jì)、、文化、科科技、軍事事與綜合國(guó)國(guó)力的重要要標(biāo)志。網(wǎng)絡(luò)的重要要性1．網(wǎng)絡(luò)防防攻擊問(wèn)題題要保證運(yùn)行行在網(wǎng)絡(luò)環(huán)環(huán)境中的信信息系統(tǒng)的的安全，首首要問(wèn)題是是保證網(wǎng)絡(luò)絡(luò)自身能夠夠正常工作作。2．網(wǎng)絡(luò)安安全漏洞與與對(duì)策的研研究網(wǎng)絡(luò)信息系系統(tǒng)的運(yùn)行行一定要涉涉及計(jì)算機(jī)機(jī)硬件與操操作系統(tǒng)、、網(wǎng)絡(luò)硬件件與網(wǎng)絡(luò)軟軟件、數(shù)據(jù)據(jù)庫(kù)管理系系統(tǒng)、應(yīng)用用軟件、各各種網(wǎng)絡(luò)通通信協(xié)議，，以及各種種計(jì)算機(jī)硬硬件與操作作系統(tǒng)、應(yīng)應(yīng)用軟件都都會(huì)存在一一定的安全全問(wèn)題，它它們不可能能是百分之之百無(wú)缺陷陷或無(wú)漏洞洞的。3．網(wǎng)絡(luò)中中的信息安安全問(wèn)題網(wǎng)絡(luò)安全技技術(shù)研究的的第三個(gè)問(wèn)問(wèn)題就是如如何保證網(wǎng)網(wǎng)絡(luò)系統(tǒng)中中信息的安安全問(wèn)題，，即網(wǎng)絡(luò)信信息的安全全保密問(wèn)題題。網(wǎng)絡(luò)安全全的基本本問(wèn)題4．網(wǎng)絡(luò)絡(luò)內(nèi)部安安全防范范問(wèn)題除了以上上列出的的幾種可可能對(duì)網(wǎng)網(wǎng)絡(luò)安全全構(gòu)成威威脅的因因素外，，還有一一些威脅脅可能來(lái)來(lái)自網(wǎng)絡(luò)絡(luò)內(nèi)部。。5．網(wǎng)絡(luò)絡(luò)防病毒毒問(wèn)題網(wǎng)絡(luò)病毒毒的危害害是人們們不可忽忽視的現(xiàn)現(xiàn)實(shí)。據(jù)據(jù)國(guó)際計(jì)計(jì)算機(jī)安安全協(xié)會(huì)會(huì)（ICSA，，InternationalComputerSecurityAssociation）統(tǒng)統(tǒng)計(jì)的2000年度病病毒傳播播趨勢(shì)報(bào)報(bào)告：電電子郵件件成為計(jì)計(jì)算機(jī)病病毒主要要傳播媒媒介，感感染率竄竄升至87％。。6．網(wǎng)絡(luò)絡(luò)數(shù)據(jù)備備份與恢恢復(fù)、災(zāi)災(zāi)難恢復(fù)復(fù)問(wèn)題隨著信息息技術(shù)的的不斷發(fā)發(fā)展，近近年來(lái)在在世界范范圍內(nèi)掀掀起了興興建網(wǎng)絡(luò)絡(luò)環(huán)境、、傳播數(shù)數(shù)據(jù)信息息的熱潮潮。隨著著計(jì)算機(jī)機(jī)存儲(chǔ)信信息量的的不斷增增長(zhǎng)，數(shù)數(shù)據(jù)備份份和災(zāi)難難恢復(fù)也也成為引引人關(guān)注注的話題題。網(wǎng)絡(luò)安全全服務(wù)的的主要內(nèi)內(nèi)容網(wǎng)絡(luò)安全全服務(wù)應(yīng)應(yīng)該提供供以下這這些基本本的服務(wù)務(wù)功能。。（1）保保密性（（confidentiality）保密性服服務(wù)是為為了防止止被攻擊擊而對(duì)網(wǎng)網(wǎng)絡(luò)傳輸輸?shù)男畔⑾⑦M(jìn)行保保護(hù)。（2）認(rèn)認(rèn)證（authentication）認(rèn)證服務(wù)務(wù)是用來(lái)來(lái)確定網(wǎng)網(wǎng)絡(luò)中信信息傳送送的源節(jié)節(jié)點(diǎn)用戶戶與目的的結(jié)點(diǎn)用用戶的身身份是真真實(shí)的，，不出現(xiàn)現(xiàn)假冒、、偽裝等等現(xiàn)象，，保證信信息的真真實(shí)性。。（3）數(shù)數(shù)據(jù)完整整性（dataintegrity）數(shù)據(jù)完整整性服務(wù)務(wù)可以保保證信息息流、單單個(gè)信息息或信息息中指定定的字段段，保證證接收方方所接收收的信息息與發(fā)送送方發(fā)送送的信息息是一致致的。（4）防防抵賴（（nonrepudiation））防抵賴服服務(wù)是用用來(lái)保證證收發(fā)雙雙方不能能對(duì)已發(fā)發(fā)送或已已接收的的信息予予以否認(rèn)認(rèn)。（5）訪訪問(wèn)控制制（accesscontrol）訪問(wèn)控制制服務(wù)是是控制與與限定網(wǎng)網(wǎng)絡(luò)用戶戶對(duì)主機(jī)機(jī)、應(yīng)用用與網(wǎng)絡(luò)絡(luò)服務(wù)的的訪問(wèn)。。網(wǎng)絡(luò)安全全標(biāo)準(zhǔn)可信計(jì)算算機(jī)系統(tǒng)統(tǒng)TC-SEC-NCSC是是1983年公公布的，，1985年公公布了可可信網(wǎng)絡(luò)絡(luò)說(shuō)明（（TNI）?？煽尚庞?jì)算算機(jī)系統(tǒng)統(tǒng)TC-SEC-NCSC評(píng)評(píng)估準(zhǔn)則則將計(jì)算算機(jī)系統(tǒng)統(tǒng)安全等等級(jí)分為為4類7個(gè)等級(jí)級(jí)，依照照各類、、級(jí)的安安全要求求從低到到高，依依次是D、C1、C2、B1、B2、B3和A1級(jí)。D類系統(tǒng)統(tǒng)的安全全級(jí)別最最低，屬屬于非安安全保護(hù)護(hù)類。它它不能用用于多用用戶環(huán)境境下的重重要信息息處理。。D類只只有一個(gè)個(gè)級(jí)別。。C類系統(tǒng)統(tǒng)為用戶戶定義訪訪問(wèn)控制制要求的的自主型型保護(hù)類類。它分分為兩個(gè)個(gè)級(jí)別：：C1級(jí)級(jí)別系統(tǒng)統(tǒng)具有一一定的自自主型訪訪問(wèn)控制制機(jī)制，，它只要要求用戶戶與數(shù)據(jù)據(jù)分離。。大部分分UNIX系統(tǒng)統(tǒng)可以滿滿足C1級(jí)標(biāo)準(zhǔn)準(zhǔn)的要求求。C2級(jí)別別系統(tǒng)則則要求用用戶定義義訪問(wèn)控控制機(jī)制制，通過(guò)過(guò)注冊(cè)認(rèn)認(rèn)證、對(duì)對(duì)用戶啟啟動(dòng)系統(tǒng)統(tǒng)、打開(kāi)開(kāi)文件的的權(quán)限檢檢查，防防止非法法用戶與與越權(quán)訪訪問(wèn)信息息資源的的安全保保護(hù)。UNIX系統(tǒng)通通常能滿滿足C2標(biāo)準(zhǔn)的的大部分分要求，，有一些些廠商的的最新版版本可以以全部滿滿足C2級(jí)別系系統(tǒng)要求求。B類系統(tǒng)統(tǒng)屬于強(qiáng)強(qiáng)制型安安全保護(hù)護(hù)類，即即用戶沒(méi)沒(méi)有分配配權(quán)限，，只有網(wǎng)網(wǎng)絡(luò)管理理員可以以為用戶戶分配權(quán)權(quán)限。B類系統(tǒng)統(tǒng)分為三三個(gè)級(jí)別別：B1級(jí)別系系統(tǒng)要求求能滿足強(qiáng)制制型保護(hù)護(hù)類，它它要求系系統(tǒng)的安安全模型型符合標(biāo)標(biāo)準(zhǔn)，對(duì)對(duì)保密數(shù)數(shù)據(jù)打印印需要經(jīng)經(jīng)過(guò)認(rèn)定定，系統(tǒng)統(tǒng)管理員員的權(quán)限限要很明明確。一一些滿足足C2級(jí)級(jí)的UNIX系系統(tǒng)，可可能滿足足某些B1級(jí)標(biāo)標(biāo)準(zhǔn)的要要求；也也有些軟軟件公司司的UNIX能能夠滿足足B1級(jí)級(jí)標(biāo)準(zhǔn)的的要求。。B2級(jí)系系統(tǒng)對(duì)安安全性的的要求很很高，它它屬于結(jié)結(jié)構(gòu)保護(hù)護(hù)級(jí)。B2級(jí)除除了滿足足B級(jí)系系統(tǒng)的要要求之外外，還需需要滿足足：對(duì)所所有與信信息系統(tǒng)統(tǒng)直接或或間接連連接的計(jì)計(jì)算機(jī)與與外設(shè)均均要由系系統(tǒng)管理理員來(lái)分分配訪問(wèn)問(wèn)權(quán)限；；用戶及及信息系系統(tǒng)的通通信線路路與設(shè)備備都要可可靠，并并能夠防防御外界界的電磁磁干擾；；系統(tǒng)管管理員與與操作員員的職能能與權(quán)限限要明確確。B3級(jí)系系統(tǒng)又稱稱為安全全域級(jí)系系統(tǒng)，它它要求系系統(tǒng)通過(guò)過(guò)硬件的的方法去去保護(hù)某某個(gè)域的的安全，，例如通通過(guò)內(nèi)存存管理的的硬件去去限制非非授權(quán)用用戶對(duì)文文件系統(tǒng)統(tǒng)的訪問(wèn)問(wèn)企圖。。B3級(jí)級(jí)要求系系統(tǒng)在出出現(xiàn)故障障后能夠夠自動(dòng)恢恢復(fù)到原原來(lái)的狀狀態(tài)。A1級(jí)系系統(tǒng)的安安全要求求最高。。A1級(jí)級(jí)系統(tǒng)要要求提供供的安全全服務(wù)功功能與B3級(jí)系系統(tǒng)基本本一致。。A1級(jí)級(jí)系統(tǒng)在在安全審審計(jì)、安安全測(cè)試試、配置置管理等等方面提提出了更更高的要要求。A1級(jí)系系統(tǒng)在系系統(tǒng)安全全模式設(shè)設(shè)計(jì)與軟軟、硬件件實(shí)現(xiàn)上上要通過(guò)過(guò)認(rèn)證，，要求達(dá)達(dá)到更高高的安全全可信度度。主要的網(wǎng)網(wǎng)絡(luò)安全全技術(shù)1．防火火墻技術(shù)術(shù)防火墻技技術(shù)是指指選用一一種適合合的網(wǎng)絡(luò)絡(luò)協(xié)議和和應(yīng)用系系統(tǒng)，可可以和單單位外部部的網(wǎng)絡(luò)絡(luò)相連通通，也可可以是不不和外界界連通的的封閉式式內(nèi)部網(wǎng)網(wǎng)絡(luò)。2．加密密技術(shù)信息交換換加密技技術(shù)分為為兩類，，即對(duì)稱稱加密和和非對(duì)稱稱加密。。3．虛擬擬專用網(wǎng)網(wǎng)技術(shù)近年來(lái)隨隨著Internet的發(fā)展展而迅速速發(fā)展起起來(lái)了另另一種技技術(shù)，即即是虛擬擬專用網(wǎng)網(wǎng)（VirtualPrivateNetwork，VPN）?！，F(xiàn)代企企業(yè)越來(lái)來(lái)越多地地利用Internet資源源來(lái)進(jìn)行行促銷、、銷售、、售后服服4．安全全隔離網(wǎng)絡(luò)的安安全威脅脅和風(fēng)險(xiǎn)險(xiǎn)主要存存在于三三大層次次，即物物理層、、協(xié)議層層和應(yīng)用用層。9.3網(wǎng)網(wǎng)絡(luò)防防火墻防火墻的的基本概概念防火墻的的基本結(jié)結(jié)構(gòu)防火墻的的作用防火墻的的概念起起源于中中世紀(jì)的的城堡防防衛(wèi)系統(tǒng)統(tǒng)。那時(shí)時(shí)人們?yōu)闉榱吮Ｗo(hù)護(hù)城堡的的安全，，在城堡堡的周圍圍挖了一一條護(hù)城城河，每每個(gè)進(jìn)入入城堡的的人都要要經(jīng)過(guò)一一個(gè)吊橋橋，接受受城門(mén)守守衛(wèi)的檢檢查。在在網(wǎng)絡(luò)中中，人們們借鑒了了這種思思想，設(shè)設(shè)計(jì)了一一種網(wǎng)絡(luò)絡(luò)安全防防護(hù)系統(tǒng)統(tǒng)（即網(wǎng)網(wǎng)絡(luò)防火火墻）。。防火墻墻（Firewall）就是是在網(wǎng)絡(luò)絡(luò)之間執(zhí)執(zhí)行控制制策略的的系統(tǒng)，，它包括括硬件與與軟件。。防火墻墻用來(lái)檢檢查通過(guò)過(guò)企業(yè)內(nèi)內(nèi)部網(wǎng)與與外部網(wǎng)網(wǎng)的分組組，典型型的防火火墻結(jié)構(gòu)構(gòu)如下圖圖所示。。防火墻的的基本概概念防火墻結(jié)結(jié)構(gòu)防火墻的的基本結(jié)結(jié)構(gòu)一般來(lái)說(shuō)說(shuō)，防火火墻可以以由以下下兩個(gè)部部分組成成：包過(guò)過(guò)濾路由由器（packetfilteringrouter）與與應(yīng)用級(jí)級(jí)網(wǎng)關(guān)（（applicationgateway）。。1．包過(guò)過(guò)濾的基基本概念念包過(guò)濾技技術(shù)是基基于路由由器技術(shù)術(shù)的。如如下圖所所示給出出了包過(guò)過(guò)濾路由由器的結(jié)結(jié)構(gòu)示意意圖。包過(guò)濾路路由器的的結(jié)構(gòu)示示意圖2．應(yīng)用用級(jí)網(wǎng)關(guān)關(guān)應(yīng)用級(jí)防防火墻能能夠檢查查進(jìn)出的的數(shù)據(jù)包包，透視視應(yīng)用層層協(xié)議，，與既定定的安全全策略進(jìn)進(jìn)行比較較。該類類型防火火墻能夠夠進(jìn)行更更加細(xì)化化復(fù)雜的的安全訪訪問(wèn)控制制，并做做精細(xì)的的注冊(cè)和和稽核。。根據(jù)是是否允許許兩側(cè)通通信主機(jī)機(jī)直接建建立鏈路路，又可可以分為為網(wǎng)關(guān)和和代理兩兩種。前前者允許許兩側(cè)建建立直接接連接，，用某種種算法來(lái)來(lái)識(shí)別進(jìn)進(jìn)出的應(yīng)應(yīng)用層數(shù)數(shù)據(jù)，這這些算法法通過(guò)已已知合法法數(shù)據(jù)包包的模式式來(lái)比較較進(jìn)出數(shù)數(shù)據(jù)包。。而后者者通過(guò)特特定的代代理程序序（如FTP代代理、Telnet代代理、SMTP代理等等）在兩兩側(cè)主機(jī)機(jī)間復(fù)制制傳遞數(shù)數(shù)據(jù)，不不允許建建立直接接連接。。每一種種應(yīng)用需需要相應(yīng)應(yīng)的代理理軟件。。在這里里我們就就不對(duì)它它做詳細(xì)細(xì)介紹了了。防火墻的的作用最初的防防火墻主主要用于于Internet服服務(wù)控制制，但隨隨著研究究工作的的深入，，已經(jīng)擴(kuò)擴(kuò)展為提提供以下下4種基基本服務(wù)務(wù)。（1）服服務(wù)控制制。防火火墻可以以控制外外部網(wǎng)絡(luò)絡(luò)與內(nèi)部部網(wǎng)絡(luò)用用戶相互互訪問(wèn)的的Internet服服務(wù)類型型。（2）方方向控制制。處于于某種安安全考慮慮，我們們可以通通過(guò)防火火墻的設(shè)設(shè)置，來(lái)來(lái)限制允允許企業(yè)業(yè)內(nèi)部網(wǎng)網(wǎng)的用戶戶訪問(wèn)外外部Internet，而不不允許外外部Internet用戶訪訪問(wèn)企業(yè)業(yè)內(nèi)部網(wǎng)網(wǎng)，反之之亦然（3）用用戶控制制。處于于某種安安全，我我們可以以確定防防火墻的的設(shè)置，，只允許許企業(yè)內(nèi)內(nèi)部網(wǎng)的的哪些用用戶訪問(wèn)問(wèn)外部Internet的服服務(wù)，而而其他用用戶不能能訪問(wèn)外外部Internet的服務(wù)務(wù)；同樣樣也可以以限制外外部Internet的特定定用戶訪訪問(wèn)企業(yè)業(yè)內(nèi)部網(wǎng)網(wǎng)的服務(wù)務(wù)。（4）行行為控制制。通過(guò)過(guò)防火墻墻的設(shè)置置，可以以控制如如何使用用某種特特定的服服務(wù)。2．防火火墻的局局限性盡管防火火墻是在在內(nèi)部網(wǎng)網(wǎng)與外部部網(wǎng)之間間實(shí)施安安全防范范的系統(tǒng)統(tǒng)，但還還存在一一定的局局限性：：（1）不不能防范范外部刻刻意的人人為攻擊擊。（2）不不能防范范內(nèi)部用用戶攻擊擊。（3）不不能防止止內(nèi)部用用戶因誤誤操作而而造成口口令失密密受到的的攻擊。。（4）很很難防止止病毒或或者受病病毒感染染文件的的傳輸。。由于兩種種類型的的防火墻墻系統(tǒng)各各有優(yōu)缺缺點(diǎn),因因而在實(shí)實(shí)際的使使用中常常常根據(jù)據(jù)實(shí)際需需求結(jié)合合起來(lái)使使用。Internet的迅迅猛發(fā)展展將帶動(dòng)動(dòng)防火墻墻技術(shù)的的進(jìn)一步步完善。。9、靜夜四無(wú)鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Wednesday,December28,202210、雨中黃葉樹(shù)樹(shù)，燈下白頭頭人。。21:53:2521:53:2521:5312/28/20229:53:25PM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見(jiàn)見(jiàn)頻頻。。。。12月月-2221:53:2521:53Dec-2228-Dec-2212、故人江江海別，，幾度隔隔山川。。。21:53:2521:53:2521:53Wednesday,December28,202213、乍見(jiàn)見(jiàn)翻疑疑夢(mèng)，，相悲悲各問(wèn)問(wèn)年。。。12月月-2212月月-2221:53:2521:53:25December28,202214、他鄉(xiāng)生生白發(fā)，，舊國(guó)見(jiàn)見(jiàn)青山。。。28十十二月20229:53:25下午午21:53:2512月-2215、比不了得就就不比，得不不到的就不要要。。。十二月229:53下下午12月-2221:53December28,202216、行動(dòng)動(dòng)出成成果，，工作作出財(cái)財(cái)富。。。2022/12/2821:53:2521:53:2528December202217、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時(shí)時(shí)，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點(diǎn)點(diǎn)的的射射線線向向前前。。。。9:53:26下下午午9:53下下午午21:53:2612月月-229、沒(méi)有失失敗，只只有暫時(shí)時(shí)停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事情努努力了未必有有結(jié)果，但是是不努力卻什什么改變也沒(méi)沒(méi)有。。21:53:2621:53:2621:5312/28/20229:53:26PM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點(diǎn)點(diǎn)點(diǎn)點(diǎn)小小小小努努力力的的積積累累。。。。12月月-2221:53:2621:53Dec-2228-Dec-2212、世間成事，，不求其絕對(duì)對(duì)圓滿，留一一份不足，可可得無(wú)限完美美。。21:53:2621:53:2621:53Wednesday,December28,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2221:53:2621:53:26December28,202214、意志堅(jiān)堅(jiān)強(qiáng)的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。28十十二月20229:53:26下午午21:53:2612月-2215、楚塞三湘湘接，荊