第9章：網(wǎng)絡(luò)安全與管理

1、教育科學(xué)學(xué)院教育科學(xué)學(xué)院Foshan University網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全1病毒及防治措施病毒及防治措施2防火墻技術(shù)防火墻技術(shù)34網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理了解網(wǎng)絡(luò)安全的相關(guān)知識(shí)了解網(wǎng)絡(luò)安全的相關(guān)知識(shí)1 了解病毒的概念及危害了解病毒的概念及危害2掌握防火墻的相關(guān)知識(shí)掌握防火墻的相關(guān)知識(shí)45了解網(wǎng)絡(luò)管理的相關(guān)知識(shí)了解網(wǎng)絡(luò)管理的相關(guān)知識(shí)3掌握病毒的常用防治措施掌握病毒的常用防治措施網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全1病毒及防治措施病毒及防治措施2防火墻技術(shù)防火墻技術(shù)34網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理v網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為信息化社會(huì)的網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為信息化社會(huì)的一個(gè)焦點(diǎn)問(wèn)題；一個(gè)焦點(diǎn)問(wèn)題； v每個(gè)國(guó)家只能立足于本國(guó)，研究自己每個(gè)國(guó)家只能

2、立足于本國(guó)，研究自己的網(wǎng)絡(luò)安全技術(shù)，培養(yǎng)自己的專(zhuān)門(mén)人的網(wǎng)絡(luò)安全技術(shù)，培養(yǎng)自己的專(zhuān)門(mén)人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè)，才能才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè)，才能構(gòu)筑本國(guó)的網(wǎng)絡(luò)與信息安全防范體系；構(gòu)筑本國(guó)的網(wǎng)絡(luò)與信息安全防范體系；v網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源軟件、硬件及信息資源，使之免受，使之免受偶然或者惡意的破環(huán)、篡改和泄露，偶然或者惡意的破環(huán)、篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。務(wù)不中斷。v網(wǎng)絡(luò)防攻擊網(wǎng)絡(luò)防攻擊v網(wǎng)絡(luò)安全漏洞與對(duì)策網(wǎng)絡(luò)安全漏洞與對(duì)策v網(wǎng)絡(luò)中的信息安全網(wǎng)絡(luò)中的信息安全v防抵賴問(wèn)題防抵賴問(wèn)題 v網(wǎng)

3、絡(luò)內(nèi)部安全防范網(wǎng)絡(luò)內(nèi)部安全防范v網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防病毒v垃圾郵件與灰色軟件垃圾郵件與灰色軟件v網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)網(wǎng)絡(luò)安全攻防體系網(wǎng)絡(luò)安全攻防體系v 數(shù)據(jù)報(bào)嗅探數(shù)據(jù)報(bào)嗅探v IPIP脆弱性脆弱性v 口令攻擊口令攻擊v “拒絕服務(wù)拒絕服務(wù)”攻擊攻擊v “中間人中間人”攻擊攻擊v 應(yīng)用層的攻擊應(yīng)用層的攻擊v 信任機(jī)制的利用信任機(jī)制的利用v 端口重定向端口重定向v 病毒病毒v 木馬木馬v Layer2 Layer2 攻擊攻擊v .v訪問(wèn)控制策略訪問(wèn)控制策略v網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制v目錄級(jí)安全控制目錄級(jí)安全控制v屬性安全控制屬性安全控制v網(wǎng)絡(luò)服務(wù)安全控制網(wǎng)絡(luò)服務(wù)

4、安全控制v網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制v網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制v防火墻控制防火墻控制v信息加密策略信息加密策略v有效備份策略有效備份策略 v信息存儲(chǔ)安全與信息傳輸安全信息存儲(chǔ)安全與信息傳輸安全 信息存儲(chǔ)安全信息存儲(chǔ)安全 如何保證靜態(tài)存儲(chǔ)在連網(wǎng)計(jì)算機(jī)中的信息不會(huì)被如何保證靜態(tài)存儲(chǔ)在連網(wǎng)計(jì)算機(jī)中的信息不會(huì)被未授權(quán)的網(wǎng)絡(luò)用戶非法使用；未授權(quán)的網(wǎng)絡(luò)用戶非法使用； 信息傳輸安全信息傳輸安全 如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中不被泄露與不如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中不被泄露與不被攻擊；被攻擊； 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全1病毒及防治措施病毒及防治措施2防火墻技術(shù)防火墻技術(shù)34網(wǎng)絡(luò)管理

5、網(wǎng)絡(luò)管理“計(jì)算機(jī)病毒計(jì)算機(jī)病毒”最早是由美國(guó)計(jì)算機(jī)病毒研最早是由美國(guó)計(jì)算機(jī)病毒研究專(zhuān)家究專(zhuān)家F.CohenF.Cohen博士提出的。博士提出的?！安《静《尽币辉~一詞來(lái)源于生物學(xué)，因?yàn)橥ㄟ^(guò)分析研究，人們來(lái)源于生物學(xué)，因?yàn)橥ㄟ^(guò)分析研究，人們發(fā)現(xiàn)計(jì)算機(jī)病毒在很多方面與生物病毒有發(fā)現(xiàn)計(jì)算機(jī)病毒在很多方面與生物病毒有著相似之處。著相似之處。v國(guó)外最流行的定義為：計(jì)算機(jī)病毒，是一國(guó)外最流行的定義為：計(jì)算機(jī)病毒，是一段附著在其他程序上的可以實(shí)現(xiàn)段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖自我繁殖的的程序代碼程序代碼v“編制或者在計(jì)算機(jī)程序中插入的編制或者在計(jì)算機(jī)程序中插入的破壞破壞計(jì)計(jì)算機(jī)功能或者破壞數(shù)據(jù)，算機(jī)功能

6、或者破壞數(shù)據(jù)，影響影響計(jì)算機(jī)計(jì)算機(jī)使用使用并且能夠并且能夠自我復(fù)制自我復(fù)制的一組計(jì)算機(jī)的一組計(jì)算機(jī)指令指令或者或者程序代碼程序代碼”。v可執(zhí)行性可執(zhí)行性v傳染性傳染性v破壞性破壞性v潛伏性潛伏性v隱蔽性隱蔽性v自我復(fù)制能力自我復(fù)制能力v網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒 計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件 v文件病毒文件病毒 感染計(jì)算機(jī)中的文件感染計(jì)算機(jī)中的文件 v引導(dǎo)型病毒引導(dǎo)型病毒 感染啟動(dòng)扇區(qū)（感染啟動(dòng)扇區(qū)（BootBoot）和硬盤(pán)的系統(tǒng)引導(dǎo)扇區(qū)）和硬盤(pán)的系統(tǒng)引導(dǎo)扇區(qū)v駐留型病毒駐留型病毒 駐留內(nèi)存，并一直處于激活狀態(tài)駐留內(nèi)存，并一直處于激活狀態(tài) v非駐留型病毒非駐留

7、型病毒 在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存v無(wú)害型無(wú)害型 減少磁盤(pán)的可用空間減少磁盤(pán)的可用空間 ，不影響系統(tǒng)，不影響系統(tǒng)v無(wú)危險(xiǎn)型無(wú)危險(xiǎn)型 減少內(nèi)存、顯示圖像、發(fā)出聲音等減少內(nèi)存、顯示圖像、發(fā)出聲音等 v危險(xiǎn)型危險(xiǎn)型 造成嚴(yán)重的錯(cuò)誤造成嚴(yán)重的錯(cuò)誤 v非常危險(xiǎn)型非常危險(xiǎn)型 刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息系統(tǒng)中重要的信息v可執(zhí)行文件?？蓤?zhí)行文件。v引導(dǎo)扇區(qū)。引導(dǎo)扇區(qū)。v表格和文檔表格和文檔vJavaJava小程序和小程序和ActiveXActiveX控件控件。 v感染感染是指病毒自我復(fù)制并傳播給其他

8、程序；是指病毒自我復(fù)制并傳播給其他程序； v潛伏潛伏是指病毒等非法程序?yàn)榱颂颖苡脩艉头朗侵覆《镜确欠ǔ绦驗(yàn)榱颂颖苡脩艉头啦《拒浖谋O(jiān)視而隱藏自身行蹤的行為；病毒軟件的監(jiān)視而隱藏自身行蹤的行為； v繁殖繁殖是病毒程序不斷地由一部計(jì)算機(jī)向其他是病毒程序不斷地由一部計(jì)算機(jī)向其他計(jì)算機(jī)進(jìn)行傳播的狀態(tài)；計(jì)算機(jī)進(jìn)行傳播的狀態(tài)； v發(fā)作發(fā)作是非法程序所實(shí)施的各種惡意行動(dòng)。是非法程序所實(shí)施的各種惡意行動(dòng)。v攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊系統(tǒng)數(shù)據(jù)區(qū)v攻擊文件攻擊文件v攻擊內(nèi)存攻擊內(nèi)存v干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降v干擾鍵盤(pán)、喇叭或屏幕干擾鍵盤(pán)、喇叭或屏幕v攻擊攻擊CMOSCMOSv干擾打印機(jī)干擾

9、打印機(jī)v網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)計(jì)算機(jī)病毒實(shí)際上是一個(gè)籠統(tǒng)的概念網(wǎng)絡(luò)計(jì)算機(jī)病毒實(shí)際上是一個(gè)籠統(tǒng)的概念一種情況是，網(wǎng)絡(luò)計(jì)算機(jī)病毒專(zhuān)指在一種情況是，網(wǎng)絡(luò)計(jì)算機(jī)病毒專(zhuān)指在網(wǎng)絡(luò)網(wǎng)絡(luò)上傳播上傳播、并對(duì)網(wǎng)絡(luò)進(jìn)行破壞的病毒；另一、并對(duì)網(wǎng)絡(luò)進(jìn)行破壞的病毒；另一種情況是指種情況是指HTMLHTML病毒、病毒、E-mailE-mail病毒、病毒、JavaJava病毒病毒等與等與InternetInternet有關(guān)的病毒。有關(guān)的病毒。 v感染方式多感染方式多v感染速度快感染速度快 v清除難度大清除難度大v破壞性強(qiáng)破壞性強(qiáng)v可激發(fā)性可激發(fā)性v潛在性潛在性v電子郵件電子郵件v移動(dòng)存儲(chǔ)設(shè)備移動(dòng)存儲(chǔ)設(shè)

10、備v網(wǎng)絡(luò)共享網(wǎng)絡(luò)共享v網(wǎng)頁(yè)網(wǎng)頁(yè)Host AHost BRouter A Router B v無(wú)線通訊設(shè)備無(wú)線通訊設(shè)備v即時(shí)通訊軟件即時(shí)通訊軟件vIRCIRC聊天軟件聊天軟件vP2PP2P軟件軟件v屏幕出現(xiàn)異常圖形或畫(huà)面屏幕出現(xiàn)異常圖形或畫(huà)面v提示硬盤(pán)空間不夠提示硬盤(pán)空間不夠v硬盤(pán)不能引導(dǎo)系統(tǒng)硬盤(pán)不能引導(dǎo)系統(tǒng)v磁盤(pán)上的文件或程序丟失磁盤(pán)上的文件或程序丟失v揚(yáng)聲器發(fā)出與正常操作無(wú)關(guān)的聲音揚(yáng)聲器發(fā)出與正常操作無(wú)關(guān)的聲音v磁盤(pán)讀磁盤(pán)讀/ /寫(xiě)文件明顯變慢，訪問(wèn)時(shí)間加長(zhǎng)寫(xiě)文件明顯變慢，訪問(wèn)時(shí)間加長(zhǎng)v系統(tǒng)引導(dǎo)變慢或出現(xiàn)問(wèn)題系統(tǒng)引導(dǎo)變慢或出現(xiàn)問(wèn)題v系統(tǒng)經(jīng)常死機(jī)或出現(xiàn)異常的重啟動(dòng)現(xiàn)象系統(tǒng)經(jīng)常死機(jī)或出現(xiàn)異常的重

11、啟動(dòng)現(xiàn)象v原來(lái)運(yùn)行的程序突然不能運(yùn)行，總是出現(xiàn)原來(lái)運(yùn)行的程序突然不能運(yùn)行，總是出現(xiàn)出錯(cuò)提示出錯(cuò)提示v經(jīng)常報(bào)告內(nèi)存不夠經(jīng)常報(bào)告內(nèi)存不夠v打印機(jī)不能正常啟動(dòng)打印機(jī)不能正常啟動(dòng) 病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，即病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，即使是良性病毒，至少也要占用少量的系統(tǒng)空使是良性病毒，至少也要占用少量的系統(tǒng)空間影響系統(tǒng)的正常運(yùn)行，特別是通過(guò)網(wǎng)絡(luò)傳間影響系統(tǒng)的正常運(yùn)行，特別是通過(guò)網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。因此，用戶要做到損失。因此，用戶要做到“先防后

12、除先防后除”的方法。的方法。v防毒防毒 采取安全措施預(yù)防病毒侵入計(jì)算機(jī)采取安全措施預(yù)防病毒侵入計(jì)算機(jī) v查毒查毒 在指定環(huán)境中準(zhǔn)確地報(bào)出病毒名稱在指定環(huán)境中準(zhǔn)確地報(bào)出病毒名稱v解毒解毒 根據(jù)病毒類(lèi)型對(duì)感染對(duì)象的修改，并按照病毒根據(jù)病毒類(lèi)型對(duì)感染對(duì)象的修改，并按照病毒的感染特性所進(jìn)行的恢復(fù)。的感染特性所進(jìn)行的恢復(fù)。 但恢復(fù)過(guò)程不能破壞未被病毒修改的內(nèi)容但恢復(fù)過(guò)程不能破壞未被病毒修改的內(nèi)容 v計(jì)算機(jī)安裝完操作系統(tǒng)后，不要馬上連接網(wǎng)絡(luò)。計(jì)算機(jī)安裝完操作系統(tǒng)后，不要馬上連接網(wǎng)絡(luò)。v馬上安裝防病毒軟件，更新升級(jí)防毒軟件，啟馬上安裝防病毒軟件，更新升級(jí)防毒軟件，啟 動(dòng)防病毒軟件的實(shí)時(shí)監(jiān)控和自動(dòng)防護(hù)功能動(dòng)防

13、病毒軟件的實(shí)時(shí)監(jiān)控和自動(dòng)防護(hù)功能v安裝個(gè)人防火墻軟件，阻止遭受網(wǎng)絡(luò)蠕蟲(chóng)的攻擊。安裝個(gè)人防火墻軟件，阻止遭受網(wǎng)絡(luò)蠕蟲(chóng)的攻擊。v對(duì)進(jìn)入計(jì)算機(jī)的文件都要使用防病毒軟件進(jìn)行掃描對(duì)進(jìn)入計(jì)算機(jī)的文件都要使用防病毒軟件進(jìn)行掃描查毒工作，不要輕易就運(yùn)行。查毒工作，不要輕易就運(yùn)行。v定期文件備份。對(duì)于重要的文件資料應(yīng)經(jīng)常備份定期文件備份。對(duì)于重要的文件資料應(yīng)經(jīng)常備份 v注意電腦異常。如果發(fā)覺(jué)有異常癥狀出現(xiàn)，應(yīng)立即注意電腦異常。如果發(fā)覺(jué)有異常癥狀出現(xiàn)，應(yīng)立即進(jìn)行病毒的查殺進(jìn)行病毒的查殺 引導(dǎo)型病毒引導(dǎo)型病毒 感染磁盤(pán)的引導(dǎo)扇區(qū)感染磁盤(pán)的引導(dǎo)扇區(qū)BOOTBOOT區(qū)區(qū) 感染后引導(dǎo)記錄會(huì)發(fā)生變化感染后引導(dǎo)記錄會(huì)發(fā)生變化

14、v 從不帶病毒的硬盤(pán)引導(dǎo)系統(tǒng)從不帶病毒的硬盤(pán)引導(dǎo)系統(tǒng)v 安裝能夠?qū)崟r(shí)監(jiān)控引導(dǎo)扇區(qū)安裝能夠?qū)崟r(shí)監(jiān)控引導(dǎo)扇區(qū) 的防殺病毒軟件的防殺病毒軟件v 經(jīng)常用能夠查殺引導(dǎo)型病毒經(jīng)常用能夠查殺引導(dǎo)型病毒 的防殺病毒軟件進(jìn)行檢查的防殺病毒軟件進(jìn)行檢查v只傳染磁盤(pán)上的可執(zhí)行文件（只傳染磁盤(pán)上的可執(zhí)行文件（COMCOM，EXEEXE），），并駐留內(nèi)存伺機(jī)傳染其他文件并駐留內(nèi)存伺機(jī)傳染其他文件 v修改修改COMCOM、EXEEXE或或OVLOVL等文件的結(jié)構(gòu)等文件的結(jié)構(gòu)v感染后長(zhǎng)度、日期和時(shí)間多發(fā)生變化感染后長(zhǎng)度、日期和時(shí)間多發(fā)生變化 v隱型病毒長(zhǎng)度、日期和時(shí)間不發(fā)生變化隱型病毒長(zhǎng)度、日期和時(shí)間不發(fā)生變化 v安裝并使

15、用有實(shí)時(shí)監(jiān)控文件系安裝并使用有實(shí)時(shí)監(jiān)控文件系 統(tǒng)功能的防殺病毒軟件統(tǒng)功能的防殺病毒軟件 v及時(shí)更新查殺計(jì)算機(jī)病毒引擎及時(shí)更新查殺計(jì)算機(jī)病毒引擎 v經(jīng)常使用防殺計(jì)算機(jī)病毒軟件經(jīng)常使用防殺計(jì)算機(jī)病毒軟件 對(duì)系統(tǒng)進(jìn)行計(jì)算機(jī)病毒檢查對(duì)系統(tǒng)進(jìn)行計(jì)算機(jī)病毒檢查 v對(duì)系統(tǒng)文件、保密的數(shù)據(jù)在沒(méi)對(duì)系統(tǒng)文件、保密的數(shù)據(jù)在沒(méi) 有計(jì)算機(jī)病毒的環(huán)境下經(jīng)常備份有計(jì)算機(jī)病毒的環(huán)境下經(jīng)常備份v在不影響系統(tǒng)正常工作的情況下在不影響系統(tǒng)正常工作的情況下 對(duì)系統(tǒng)文件設(shè)置最低的訪問(wèn)權(quán)限對(duì)系統(tǒng)文件設(shè)置最低的訪問(wèn)權(quán)限 v修改文件夾窗口中的缺省屬性要修改文件夾窗口中的缺省屬性要 求顯示所有文件求顯示所有文件 v一種寄存在文檔或模板的宏中的

16、計(jì)算一種寄存在文檔或模板的宏中的計(jì)算 機(jī)病毒機(jī)病毒v宏病毒被激活后駐留在宏病毒被激活后駐留在NormalNormal模板上模板上v傳染性較強(qiáng)傳染性較強(qiáng)提示保存提示保存NormalNormal模板模板清理模板和加載項(xiàng)清理模板和加載項(xiàng)v修改修改Normal.dotNormal.dot文文件件屬性為只讀屬性為只讀v使用防病毒軟件，使用防病毒軟件，啟動(dòng)該軟件的實(shí)時(shí)啟動(dòng)該軟件的實(shí)時(shí)掃描的功能掃描的功能 v盡量不打開(kāi)提示有盡量不打開(kāi)提示有“是否啟用宏是否啟用宏”的的文檔文檔v電子郵件是病毒主要的傳播途徑電子郵件是病毒主要的傳播途徑v不要輕易打開(kāi)不明來(lái)歷的郵件不要輕易打開(kāi)不明來(lái)歷的郵件v不要設(shè)置不要設(shè)置“自

17、動(dòng)回信自動(dòng)回信”功能功能 v設(shè)置郵件過(guò)濾功能設(shè)置郵件過(guò)濾功能 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全1病毒及防治措施病毒及防治措施2防火墻技術(shù)防火墻技術(shù)34網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理v 防火墻防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包括是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件；硬件和軟件；v 設(shè)置設(shè)置防火墻的目的防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。v 在邏輯上，防火墻是一個(gè)在邏輯上，防火墻是一個(gè)分離器分離器，一個(gè)，一個(gè)限制器限制器，也是一，也是一個(gè)個(gè)分析器。分析器。v防火墻防火墻通過(guò)檢查

18、所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢通過(guò)檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成查數(shù)據(jù)包的合法性，判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界（威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界（security security perimeterperimeter）；）；v構(gòu)成防火墻系統(tǒng)的兩個(gè)基本部件是：構(gòu)成防火墻系統(tǒng)的兩個(gè)基本部件是： 包過(guò)濾路由器（包過(guò)濾路由器（packet filtering routerpacket filtering router） 應(yīng)用級(jí)網(wǎng)關(guān)（應(yīng)用級(jí)網(wǎng)關(guān)（application gatewayapplication gateway）v最簡(jiǎn)單的防火墻由

19、一個(gè)包過(guò)濾路由器組成，而復(fù)最簡(jiǎn)單的防火墻由一個(gè)包過(guò)濾路由器組成，而復(fù)雜的防火墻系統(tǒng)由包過(guò)濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)組雜的防火墻系統(tǒng)由包過(guò)濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)組合而成。合而成。v由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。有多種形式。v防火墻防外不防內(nèi)防火墻防外不防內(nèi)v防火墻不能防范病毒防火墻不能防范病毒v防火墻難于管理和配置，易造成安全漏洞防火墻難于管理和配置，易造成安全漏洞v很難為用戶在防火墻內(nèi)外提供一致的安全很難為用戶在防火墻內(nèi)外提供一致的安全策略策略v防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過(guò)濾

20、規(guī)則（即訪問(wèn)控制表），路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過(guò)濾規(guī)則（即訪問(wèn)控制表），檢查每個(gè)分組的源檢查每個(gè)分組的源IP地址、目的地址、目的IP地址，決定該分組是否應(yīng)該地址，決定該分組是否應(yīng)該轉(zhuǎn)發(fā)；轉(zhuǎn)發(fā)；代理防火墻代理防火墻v 一個(gè)雙重宿主主機(jī)作為應(yīng)用級(jí)網(wǎng)關(guān)可以起到防火墻作用；一個(gè)雙重宿主主機(jī)作為應(yīng)用級(jí)網(wǎng)關(guān)可以起到防火墻作用；v 處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)系統(tǒng)處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級(jí)網(wǎng)關(guān)軟件的計(jì)算機(jī)系統(tǒng)叫做堡壘主機(jī)叫做堡壘主機(jī). . 網(wǎng)絡(luò)管理是指規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源網(wǎng)絡(luò)管理是指規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動(dòng)，以使網(wǎng)絡(luò)的性的使用和網(wǎng)絡(luò)的各種活動(dòng)，以使網(wǎng)絡(luò)的性

21、能達(dá)到最優(yōu)。網(wǎng)絡(luò)管理的目的在于提供對(duì)能達(dá)到最優(yōu)。網(wǎng)絡(luò)管理的目的在于提供對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行規(guī)劃、設(shè)計(jì)、操作運(yùn)行、計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行規(guī)劃、設(shè)計(jì)、操作運(yùn)行、管理、監(jiān)視、分析、控制、評(píng)估和擴(kuò)展的管理、監(jiān)視、分析、控制、評(píng)估和擴(kuò)展的手段，從而合理地組織和利用系統(tǒng)資源，手段，從而合理地組織和利用系統(tǒng)資源，提供安全、可靠、有效和友好的服務(wù)。提供安全、可靠、有效和友好的服務(wù)。v必須盡可能快地找出故障發(fā)生的確切置；必須盡可能快地找出故障發(fā)生的確切置；v將網(wǎng)絡(luò)其它部分與故障部分隔離，以確保網(wǎng)將網(wǎng)絡(luò)其它部分與故障部分隔離，以確保網(wǎng)絡(luò)其它部分能不受干擾繼續(xù)運(yùn)行；絡(luò)其它部分能不受干擾繼續(xù)運(yùn)行；v重新配置或重組網(wǎng)絡(luò)重新配置或重

22、組網(wǎng)絡(luò), ,盡可能降低由于隔離故盡可能降低由于隔離故障后對(duì)網(wǎng)絡(luò)帶來(lái)的影響障后對(duì)網(wǎng)絡(luò)帶來(lái)的影響; ;v修復(fù)或替換故障部分修復(fù)或替換故障部分, ,將網(wǎng)絡(luò)恢復(fù)為初始狀態(tài)將網(wǎng)絡(luò)恢復(fù)為初始狀態(tài) 在商業(yè)有償使用的網(wǎng)絡(luò)上，計(jì)費(fèi)管理功能在商業(yè)有償使用的網(wǎng)絡(luò)上，計(jì)費(fèi)管理功能統(tǒng)計(jì)哪些用戶、使用何信道、傳輸多少數(shù)統(tǒng)計(jì)哪些用戶、使用何信道、傳輸多少數(shù)據(jù)、訪問(wèn)什么資源等信息；另一方面，計(jì)據(jù)、訪問(wèn)什么資源等信息；另一方面，計(jì)費(fèi)管理功能還可以統(tǒng)計(jì)不同線路和各類(lèi)資費(fèi)管理功能還可以統(tǒng)計(jì)不同線路和各類(lèi)資源的利用情況源的利用情況 配置管理功能至少應(yīng)包括識(shí)別被管理網(wǎng)配置管理功能至少應(yīng)包括識(shí)別被管理網(wǎng)絡(luò)的拓樸結(jié)構(gòu)、標(biāo)識(shí)網(wǎng)絡(luò)中的各種現(xiàn)象

23、、絡(luò)的拓樸結(jié)構(gòu)、標(biāo)識(shí)網(wǎng)絡(luò)中的各種現(xiàn)象、自動(dòng)修改指定設(shè)備的配置、動(dòng)態(tài)維護(hù)網(wǎng)自動(dòng)修改指定設(shè)備的配置、動(dòng)態(tài)維護(hù)網(wǎng)絡(luò)配置數(shù)據(jù)庫(kù)等內(nèi)容絡(luò)配置數(shù)據(jù)庫(kù)等內(nèi)容 性能管理的目的是在使用最少的網(wǎng)絡(luò)資性能管理的目的是在使用最少的網(wǎng)絡(luò)資源和具有最小延遲的前提下，確保網(wǎng)絡(luò)源和具有最小延遲的前提下，確保網(wǎng)絡(luò)能提供可靠、連接的通信能力，并使網(wǎng)能提供可靠、連接的通信能力，并使網(wǎng)絡(luò)資源的使用達(dá)到最優(yōu)化的程度絡(luò)資源的使用達(dá)到最優(yōu)化的程度 其主要內(nèi)容包括：與安全措施有關(guān)的信息分其主要內(nèi)容包括：與安全措施有關(guān)的信息分發(fā)發(fā)( (如密鑰的分發(fā)和訪問(wèn)權(quán)設(shè)置等如密鑰的分發(fā)和訪問(wèn)權(quán)設(shè)置等) )，與安全，與安全的通知的通知( (如網(wǎng)絡(luò)有非法侵入

24、、無(wú)權(quán)用戶對(duì)特定如網(wǎng)絡(luò)有非法侵入、無(wú)權(quán)用戶對(duì)特定信息的訪問(wèn)個(gè)圖等信息的訪問(wèn)個(gè)圖等) )，安全服務(wù)措施的創(chuàng)建、，安全服務(wù)措施的創(chuàng)建、控制和刪除，與安全有關(guān)的網(wǎng)絡(luò)操作事件的控制和刪除，與安全有關(guān)的網(wǎng)絡(luò)操作事件的記錄、維護(hù)和查詢?nèi)罩竟芾砉ぷ饔涗?、維護(hù)和查詢?nèi)罩竟芾砉ぷ?v多個(gè)被管代理多個(gè)被管代理(Managed Agents),(Managed Agents),也稱管也稱管 理代理；理代理；v至少一個(gè)網(wǎng)絡(luò)管理器至少一個(gè)網(wǎng)絡(luò)管理器(Network Manager),(Network Manager),也稱管理工作站；也稱管理工作站；v一個(gè)通用的網(wǎng)絡(luò)管理協(xié)議一個(gè)通用的網(wǎng)絡(luò)管理協(xié)議(Network (Network Management Protocol);Management Protocol);v一個(gè)或多個(gè)管理信息庫(kù)一個(gè)或多個(gè)管理信息庫(kù)(MIB-Management (MIB-Management Information BaseInformation Base 基于基于SNMPSNMP基于基于RMONRMON基于基于WEBWEB123目前最有影響的網(wǎng)絡(luò)