第七章網(wǎng)絡(luò)安全與管理

第七章網(wǎng)絡(luò)安全與管理第1頁(yè)，共68頁(yè)，2023年，2月20日，星期三計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全：是指通過(guò)采取各種技術(shù)的和管理的措施，確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性，其目的是確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄漏等。第2頁(yè)，共68頁(yè)，2023年，2月20日，星期三⑵計(jì)算機(jī)安全的主要內(nèi)容計(jì)算機(jī)硬件的安全性

軟件安全性

數(shù)據(jù)安全性

計(jì)算機(jī)運(yùn)行安全性第3頁(yè)，共68頁(yè)，2023年，2月20日，星期三⑶破壞計(jì)算機(jī)安全的途徑竊取計(jì)算機(jī)用戶口令、上機(jī)或通過(guò)網(wǎng)絡(luò)非法訪問(wèn)數(shù)據(jù)、復(fù)制、刪改軟件和數(shù)據(jù)。通過(guò)磁盤、網(wǎng)絡(luò)等傳播計(jì)算機(jī)病毒。通過(guò)截取計(jì)算機(jī)工作時(shí)產(chǎn)生的電磁波輻射或通信線路來(lái)破譯計(jì)算機(jī)數(shù)據(jù)。偷竊存儲(chǔ)有重要數(shù)據(jù)的存儲(chǔ)介質(zhì)，如光盤、磁帶、硬盤、軟盤等?！昂诳汀蓖ㄟ^(guò)網(wǎng)絡(luò)非法侵入計(jì)算機(jī)系統(tǒng)。第4頁(yè)，共68頁(yè)，2023年，2月20日，星期三2.網(wǎng)絡(luò)安全基礎(chǔ)⑴網(wǎng)絡(luò)安全的內(nèi)涵

信息的保密性（Security）、

完整性（Integrity）、

可靠性（Reliability）、

實(shí)用性（Utility）、

真實(shí)性（Authenticity）、

占有性（Possession）。第5頁(yè)，共68頁(yè)，2023年，2月20日，星期三⑵可能受到威脅的網(wǎng)絡(luò)資源硬件設(shè)備，如服務(wù)器、交換機(jī)、路由器、集線器和存儲(chǔ)設(shè)備等；軟件，如操作系統(tǒng)、應(yīng)用軟件、開(kāi)發(fā)工具等；數(shù)據(jù)或信息。第6頁(yè)，共68頁(yè)，2023年，2月20日，星期三⑶網(wǎng)絡(luò)安全問(wèn)題日益突出的主要原因：攻擊計(jì)算機(jī)網(wǎng)絡(luò)安全的主要途徑通過(guò)計(jì)算機(jī)輻射、接線頭、傳輸線路截獲信息。繞過(guò)防火墻和用戶口令而進(jìn)入網(wǎng)絡(luò)，獲取信息或修改數(shù)據(jù)。通過(guò)截獲竊聽(tīng)破譯數(shù)據(jù)?！昂诳汀蓖ㄟ^(guò)電話網(wǎng)絡(luò)嘗試進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)。向計(jì)算機(jī)網(wǎng)絡(luò)注入“病毒”，造成網(wǎng)絡(luò)癱瘓。第7頁(yè)，共68頁(yè)，2023年，2月20日，星期三(4)計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅截獲：攻擊者從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容中斷：攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信篡改：攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文偽造：攻擊者偽造信息在網(wǎng)絡(luò)上傳送第8頁(yè)，共68頁(yè)，2023年，2月20日，星期三主動(dòng)攻擊與被動(dòng)攻擊主動(dòng)攻擊：指攻擊者對(duì)某個(gè)連接的中的PDU進(jìn)行各種處理（更改、刪除、遲延、復(fù)制、偽造等。）?？蓹z測(cè)。主動(dòng)攻擊分為四種：1.更改報(bào)文流2.拒絕報(bào)文服務(wù)3.偽造連接初始化4.惡意程序第9頁(yè)，共68頁(yè)，2023年，2月20日，星期三惡意程序蠕蟲病毒特洛伊木馬（Trojanhorse）簡(jiǎn)稱為特洛伊（Trojan）邏輯炸彈第10頁(yè)，共68頁(yè)，2023年，2月20日，星期三計(jì)算機(jī)網(wǎng)絡(luò)安全的主要內(nèi)容1.保密性2.安全協(xié)議的設(shè)計(jì)3.接入控制以上計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容都與密碼技術(shù)緊密相關(guān)。第11頁(yè)，共68頁(yè)，2023年，2月20日，星期三加密系統(tǒng)的組成 待加密的報(bào)文，也稱明文。加密后的報(bào)文，也稱密文。加密、解密裝置稱算法。加密和解密的密鑰，它可以是數(shù)字，詞匯或者語(yǔ)句。第12頁(yè)，共68頁(yè)，2023年，2月20日，星期三密碼通信系統(tǒng)的模型圖6.1密碼通信系統(tǒng)的模型第13頁(yè)，共68頁(yè)，2023年，2月20日，星期三密碼學(xué)與密碼體制 1．常規(guī)密鑰密碼體制（1）常規(guī)密鑰密碼體制的加密方式：序列（代替）密碼、分組（置換）密碼。（2）常規(guī)密鑰密碼體制的特點(diǎn)：對(duì)稱密鑰密碼系統(tǒng)具有加解密速度快、使用的加密算法比較簡(jiǎn)便高效、密鑰簡(jiǎn)短。第14頁(yè)，共68頁(yè)，2023年，2月20日，星期三3．?dāng)?shù)據(jù)加密的實(shí)現(xiàn)方式（1）軟件加密一般是用戶在發(fā)送信息前，先調(diào)用信息安全模塊對(duì)信息進(jìn)行加密，然后發(fā)送出去，到達(dá)接收方后，由用戶用相應(yīng)的解密軟件進(jìn)行解密，還原成明文。（2）硬件加密可以采用標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議（比如SNMP、CMIP等）來(lái)進(jìn)行管理，也可以采用統(tǒng)一的自定義網(wǎng)絡(luò)管理協(xié)議進(jìn)行管理。第15頁(yè)，共68頁(yè)，2023年，2月20日，星期三DES算法 DES是對(duì)稱密鑰加密的算法，DES算法大致可以分成四個(gè)部分：（1）初始置換（2）迭代過(guò)程（3）逆置換和（4）子密鑰生成第16頁(yè)，共68頁(yè)，2023年，2月20日，星期三IDEA（國(guó)際數(shù)據(jù)加密算法）算法IDEA算法可用于加密和解密。主要有三種運(yùn)算：異或、模加、模乘，容易用軟件和硬件來(lái)實(shí)現(xiàn)。IDEA的速度：現(xiàn)在IDEA的軟件實(shí)現(xiàn)同DES的速度一樣塊。IDEA的密碼安全分析：IDEA的密鑰長(zhǎng)度是128位，是DES的密鑰長(zhǎng)度的兩倍。在窮舉攻擊的情況下，IDEA將需要經(jīng)過(guò)2128次加密才能恢復(fù)出密鑰。第17頁(yè)，共68頁(yè)，2023年，2月20日，星期三網(wǎng)絡(luò)管理計(jì)算機(jī)網(wǎng)絡(luò)管理功能

按照OSI管理框架，把網(wǎng)絡(luò)管理任務(wù)分為： 1.安全管理

2.配置管理

3.性能管理

4.故障管理

5.計(jì)費(fèi)管理第18頁(yè)，共68頁(yè)，2023年，2月20日，星期三配置管理目的配置管理的目的是為了實(shí)現(xiàn)某個(gè)特定功能或使網(wǎng)絡(luò)性能達(dá)到最佳。第19頁(yè)，共68頁(yè)，2023年，2月20日，星期三配置管理監(jiān)控對(duì)象

網(wǎng)絡(luò)資源及其活動(dòng)狀態(tài)；

網(wǎng)絡(luò)資源之間的關(guān)系；

新資源的引入和舊資源的刪除。第20頁(yè)，共68頁(yè)，2023年，2月20日，星期三配置管理操作（１）

鑒別被管對(duì)象，標(biāo)識(shí)被管對(duì)象；（２）

設(shè)置被管對(duì)象的參數(shù)；（３）

改變被管對(duì)象的操作特性，報(bào)告被管對(duì)象的狀態(tài)變化；（４）

刪除被管對(duì)象。第21頁(yè)，共68頁(yè)，2023年，2月20日，星期三性能管理的組成

典型的網(wǎng)絡(luò)性能管理分成性能監(jiān)測(cè)和網(wǎng)絡(luò)控制兩部分。性能管理以網(wǎng)絡(luò)性能為準(zhǔn)則收集、分析和調(diào)整被管對(duì)象的狀態(tài)，其目的是保證網(wǎng)絡(luò)可以提供可靠、連續(xù)的通信能力并使用最少的網(wǎng)絡(luò)資源和具有最少的時(shí)延。第22頁(yè)，共68頁(yè)，2023年，2月20日，星期三性能管理的功能（１）從被管對(duì)象中收集與性能有關(guān)的數(shù)據(jù)；（２）被管對(duì)象的性能統(tǒng)計(jì)，與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生、記錄和維護(hù)；（３）分析當(dāng)前統(tǒng)計(jì)數(shù)據(jù)以檢測(cè)性能故障，產(chǎn)生性能告警、報(bào)告性能事件；第23頁(yè)，共68頁(yè)，2023年，2月20日，星期三（４）將當(dāng)前統(tǒng)計(jì)數(shù)據(jù)的分析結(jié)果與歷史模型比較以預(yù)測(cè)性能的長(zhǎng)期變化；（5）形成改進(jìn)性能評(píng)價(jià)準(zhǔn)則和性能門限；（6）以保證網(wǎng)絡(luò)的性能為目的，對(duì)被管對(duì)象和被管對(duì)象組的控制。第24頁(yè)，共68頁(yè)，2023年，2月20日，星期三故障管理的目的故障管理是網(wǎng)絡(luò)管理功能中與檢測(cè)設(shè)備故障、故障設(shè)備的診斷、故障設(shè)備的恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供連續(xù)、可靠的服務(wù)。第25頁(yè)，共68頁(yè)，2023年，2月20日，星期三故障管理的功能（１）

檢測(cè)被管對(duì)象的差錯(cuò)，或接收被管對(duì)象的差錯(cuò)事件通報(bào)；（２）

當(dāng)存在空閑設(shè)備或迂回路由時(shí)，提供新的網(wǎng)絡(luò)資源用于服務(wù)；（３）

創(chuàng)建和維護(hù)差錯(cuò)日志庫(kù)，并對(duì)差錯(cuò)日志進(jìn)行分析；（４）

進(jìn)行診斷和測(cè)試，以追蹤和確定故障位置、故障性質(zhì)；（５）

通過(guò)資源更換或維護(hù)，以及其他恢復(fù)措施使其重新開(kāi)始服務(wù)。第26頁(yè)，共68頁(yè)，2023年，2月20日，星期三計(jì)費(fèi)管理的目的計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價(jià)，以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理者還可以規(guī)定用戶可使用的最大費(fèi)用，從而控制用戶過(guò)多占用和使用網(wǎng)絡(luò)資源。第27頁(yè)，共68頁(yè)，2023年，2月20日，星期三計(jì)費(fèi)管理的功能（１）

統(tǒng)計(jì)網(wǎng)絡(luò)的利用率等效益數(shù)據(jù)，以使網(wǎng)絡(luò)管理人員確定不同時(shí)期和時(shí)間段的費(fèi)率；（２）

根據(jù)用戶使用的特定業(yè)務(wù)在若干用戶之間公平、合理地分?jǐn)傎M(fèi)用；（３）

允許采用信用記帳方式收取費(fèi)用，包括提拱有關(guān)資源使用的帳單審查；（４）

當(dāng)多個(gè)資源同時(shí)用來(lái)提供一項(xiàng)服務(wù)時(shí)，能計(jì)算各個(gè)資源的費(fèi)用。第28頁(yè)，共68頁(yè)，2023年，2月20日，星期三安全管理的目的（１）

網(wǎng)絡(luò)數(shù)據(jù)的私有性（保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取）；（２）

授權(quán)（防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息）；（３）

訪問(wèn)控制（控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)）。第29頁(yè)，共68頁(yè)，2023年，2月20日，星期三安全管理的功能（１）

創(chuàng)建、刪除，控制安全服務(wù)和機(jī)制；（２）

與安全相關(guān)信息的分發(fā)；（３）

與安全相關(guān)事件的通報(bào)。網(wǎng)絡(luò)管理功能、系統(tǒng)管理功能與其他管理協(xié)議和服務(wù)之間的關(guān)系如圖6-1所示。第30頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖系統(tǒng)管理域與系統(tǒng)管理功能之間的關(guān)系第31頁(yè)，共68頁(yè)，2023年，2月20日，星期三SNMP設(shè)計(jì)原則SNMP的設(shè)計(jì)原則是簡(jiǎn)單性(Simplicity)和擴(kuò)展性(Extensibility)。它的設(shè)計(jì)思想十分簡(jiǎn)單：它通過(guò)SNMP的PDU來(lái)與被管理的對(duì)象交互信息，這些對(duì)象有對(duì)象特有的屬性和值。SNMP共有五種PDU，其中兩個(gè)用來(lái)讀取數(shù)據(jù)，兩個(gè)用來(lái)設(shè)置數(shù)據(jù)，還有一個(gè)用來(lái)監(jiān)視網(wǎng)絡(luò)上發(fā)生的事件，如網(wǎng)絡(luò)故障報(bào)警等等。第32頁(yè)，共68頁(yè)，2023年，2月20日，星期三SNMP設(shè)計(jì)原則由于簡(jiǎn)單，為它的擴(kuò)充留下很多的余地，為將來(lái)發(fā)展創(chuàng)造條件。擴(kuò)展性主要是通過(guò)將管理信息模型與協(xié)議、被管理對(duì)象的詳細(xì)規(guī)定(MIB)分離實(shí)現(xiàn)；簡(jiǎn)單性則是通過(guò)信息類型的限制、請(qǐng)求/響應(yīng)機(jī)制而取得。由于簡(jiǎn)單，容易設(shè)立，容易編程而且對(duì)網(wǎng)絡(luò)不會(huì)造成很大壓力。第33頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖SNMP管理模型SNMP的管理模型網(wǎng)絡(luò)管理協(xié)議第34頁(yè)，共68頁(yè)，2023年，2月20日，星期三代理：為了實(shí)現(xiàn)與網(wǎng)絡(luò)管理站的信息交換，必須有一個(gè)相應(yīng)的軟件收集、加工、處理被管網(wǎng)絡(luò)設(shè)施的信息，同時(shí)這個(gè)軟件負(fù)責(zé)與網(wǎng)絡(luò)管理站的通信，這樣的軟件被稱為代理。代理本身不是被管設(shè)施，但是代表了被管網(wǎng)絡(luò)設(shè)施，每一個(gè)代理都有體現(xiàn)相應(yīng)網(wǎng)絡(luò)設(shè)施的有關(guān)信息。第35頁(yè)，共68頁(yè)，2023年，2月20日，星期三2.簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP的工作原理第36頁(yè)，共68頁(yè)，2023年，2月20日，星期三2.SNMP的弱點(diǎn)

沒(méi)有伸縮型，在大型網(wǎng)絡(luò)中，輪詢會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)管理通信量，因而導(dǎo)致通信擁擠的情況發(fā)生。它將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺(tái)上，在管理幾個(gè)網(wǎng)段時(shí)也許能輕松的收集網(wǎng)絡(luò)信息，當(dāng)它們監(jiān)控許多網(wǎng)段時(shí)，就非常困難了。第37頁(yè)，共68頁(yè)，2023年，2月20日，星期三6.網(wǎng)絡(luò)管理工具CiscoWorksCiscoWorks是一個(gè)基于SNMP的網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)，它能集成到幾種流行的網(wǎng)絡(luò)管理平臺(tái)，如Sun工作站（SunOS和Solaris）上的SunNetManager，Sun或HP系統(tǒng)上的HPOpenView，以及IBMNetViewforAIX。CiscoWorks建立在工業(yè)標(biāo)準(zhǔn)平臺(tái)上，能監(jiān)控設(shè)備狀態(tài)，方便地維護(hù)配置信息，查找故障。CiscoWorks提供以下主要功能：

自動(dòng)安裝管理；配置管理；

設(shè)備管理；設(shè)備監(jiān)控；設(shè)備輪詢； 通用命令管理器和通用命令調(diào)度器； 性能監(jiān)控；離線網(wǎng)絡(luò)分析；路徑工具；

安全管理；實(shí)時(shí)圖形。第38頁(yè)，共68頁(yè)，2023年，2月20日，星期三內(nèi)聯(lián)網(wǎng)的定義和發(fā)展內(nèi)聯(lián)網(wǎng)，用于組織和共享一個(gè)企業(yè)內(nèi)部信息，完成企業(yè)事物數(shù)字處理的網(wǎng)絡(luò)。一個(gè)內(nèi)聯(lián)網(wǎng)使用與因特網(wǎng)上類似的應(yīng)用程序，如萬(wàn)維網(wǎng)頁(yè)、瀏覽器、E-mail、新聞組和郵件列表，但只有本組織內(nèi)部的人員才能存取。第39頁(yè)，共68頁(yè)，2023年，2月20日，星期三防火墻的定義

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。下圖為防火墻示意圖。第40頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖6-1防火墻網(wǎng)絡(luò)防火墻示意圖如圖6-1所示。第41頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖防火墻示意圖第42頁(yè)，共68頁(yè)，2023年，2月20日，星期三防火墻的發(fā)展簡(jiǎn)史 第一代防火墻：采用了包過(guò)濾（PacketFilter）技術(shù)。第二、三代防火墻：1989年，推出了電路層防火墻，和應(yīng)用層防火墻的初步結(jié)構(gòu)。第四代防火墻：1992年，開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾技術(shù)的第四代防火墻。第五代防火墻：1998年，NAI公司推出了一種自適應(yīng)代理技術(shù)，可以稱之為第五代防火墻。第43頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史第44頁(yè)，共68頁(yè)，2023年，2月20日，星期三設(shè)置防火墻的目的和功能 （1）防火墻是網(wǎng)絡(luò)安全的屏障（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)（4）防止內(nèi)部信息的外泄第45頁(yè)，共68頁(yè)，2023年，2月20日，星期三防火墻的技術(shù)分類 1．包過(guò)濾防火墻2．代理防火墻第46頁(yè)，共68頁(yè)，2023年，2月20日，星期三1．包過(guò)濾防火墻（1）數(shù)據(jù)包過(guò)濾技術(shù)的發(fā)展：靜態(tài)包過(guò)濾、動(dòng)態(tài)包過(guò)濾。（2）包過(guò)濾的優(yōu)點(diǎn)：不用改動(dòng)應(yīng)用程序、一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)包過(guò)濾對(duì)用戶透明、過(guò)濾路由器速度快、效率高。第47頁(yè)，共68頁(yè)，2023年，2月20日，星期三（3）包過(guò)濾的缺點(diǎn)：不能徹底防止地址欺騙；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾；正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略；安全性較差；數(shù)據(jù)包工具存在很多局限性。第48頁(yè)，共68頁(yè)，2023年，2月20日，星期三TCP協(xié)議--保留端口號(hào)：53--域名服務(wù)器69--簡(jiǎn)單文件傳輸tftp111-RPC遠(yuǎn)程過(guò)程調(diào)用UDP協(xié)議--保留端口號(hào)：20--文件傳輸服務(wù)器（數(shù)據(jù)連接）--ftp-data21--文件傳輸服務(wù)器（控制連接）--ftp23--Telnet服務(wù)器—telnet25--電子郵件服務(wù)器—smtp其他端口：rlogin,rsh,rexec:513,514,512第49頁(yè)，共68頁(yè)，2023年，2月20日，星期三2．代理防火墻（1）代理防火墻的原理：代理防火墻通過(guò)編程來(lái)弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層間提供訪問(wèn)控制；而且，還可用來(lái)保持一個(gè)所有應(yīng)用程序使用的記錄。記錄和控制所有進(jìn)出流量的能力是應(yīng)用層網(wǎng)關(guān)的主要優(yōu)點(diǎn)之一。第50頁(yè)，共68頁(yè)，2023年，2月20日，星期三代理服務(wù)防火墻如圖所示。圖代理服務(wù)器內(nèi)部網(wǎng)絡(luò)外部主機(jī)Internet內(nèi)部主機(jī)代理服務(wù)第51頁(yè)，共68頁(yè)，2023年，2月20日，星期三（2）應(yīng)用層網(wǎng)關(guān)型防火墻：主要保存Internet上那些最常用和最近訪問(wèn)過(guò)的內(nèi)容：在Web上，代理首先試圖在本地尋找數(shù)據(jù)，如果沒(méi)有，再到遠(yuǎn)程服務(wù)器上去查找。為用戶提供了更快的訪問(wèn)速度，并且提高了網(wǎng)絡(luò)安全性。應(yīng)用層網(wǎng)關(guān)防火墻最突出的優(yōu)點(diǎn)就是安全，缺點(diǎn)就是速度相對(duì)比較慢。第52頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖應(yīng)用層網(wǎng)關(guān)防火墻第53頁(yè)，共68頁(yè)，2023年，2月20日，星期三防火墻的常見(jiàn)體系結(jié)構(gòu)

1．屏蔽路由器(如圖6.10所示)2．雙穴主機(jī)網(wǎng)關(guān)(如圖6.11所示)3．屏蔽主機(jī)網(wǎng)關(guān)(如圖6.12所示)4．被屏蔽子網(wǎng)(如圖6.13所示)第54頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖6.10屏蔽路由器示意圖（分組過(guò)濾路由器）第55頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖6-10包過(guò)濾防火墻過(guò)濾路由器InternetIntranet第56頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖6.11雙穴主機(jī)網(wǎng)關(guān)示意圖雙宿主網(wǎng)關(guān)第57頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖6.12屏蔽主機(jī)網(wǎng)關(guān)示意圖主機(jī)過(guò)濾防火墻過(guò)濾主機(jī)第58頁(yè)，共68頁(yè)，2023年，2月20日，星期三圖6.13被屏蔽子網(wǎng)防火墻示意圖子網(wǎng)過(guò)濾防火墻第59頁(yè)，共68頁(yè)，2023年，2月20日，星期三子網(wǎng)過(guò)濾結(jié)構(gòu)如圖所示第60頁(yè)，共68頁(yè)，2023年，2月20日，星期三防火墻的局限性 （1）防火墻防外不防內(nèi)。（2）防火墻難于管理和配置，易造成安全漏洞。（3）很難為用戶在防火墻內(nèi)外提供一致的安全策略。（4）防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制。第61頁(yè)，共68頁(yè)，2023年，2月20日，星期三防火墻設(shè)計(jì)實(shí)例 防火墻產(chǎn)品選購(gòu)策略 典型防火墻產(chǎn)品介紹 防火墻設(shè)計(jì)策略Windows2000環(huán)境下防火墻及NAT的實(shí)現(xiàn)第62頁(yè)，共68頁(yè)，2023年，2月20日，星期三防火墻產(chǎn)品選購(gòu)策略1．防火墻的安全性2．防火墻的高效性3．防火墻的適用性4．防火墻的可管理性5．完善及時(shí)的售后服務(wù)體系第63頁(yè)，共68頁(yè)，2023年，2月20日，星期三典型防火墻產(chǎn)品介紹 1．3ComOfficeConnectFirewall新增的