第5章 網(wǎng)絡安全與管理-教材課件

1、目錄目錄: :5.15.1網(wǎng)絡管理網(wǎng)絡管理5.2 5.2 網(wǎng)絡安全的重要性網(wǎng)絡安全的重要性5.35.3網(wǎng)絡安全機制網(wǎng)絡安全機制5.45.4防火墻技術防火墻技術第第5 5章章 網(wǎng)絡管理與安全網(wǎng)絡管理與安全重點重點: :l網(wǎng)絡管理網(wǎng)絡管理l網(wǎng)絡安全的重要性網(wǎng)絡安全的重要性l網(wǎng)絡安全機制網(wǎng)絡安全機制l防火墻技術防火墻技術難點難點: : u 網(wǎng)絡故障排除基礎網(wǎng)絡故障排除基礎 u 網(wǎng)絡安全防范體系網(wǎng)絡安全防范體系 u 網(wǎng)絡安全防范技術網(wǎng)絡安全防范技術5.1 5.1 網(wǎng)絡管理網(wǎng)絡管理 5.1.1 5.1.1 網(wǎng)絡管理概述網(wǎng)絡管理概述 局域網(wǎng)建成并投入使用后，如何管好、用好網(wǎng)絡，使網(wǎng)絡保持在一個穩(wěn)定的工作狀

2、態(tài)，盡量發(fā)揮其最大效益，就成為網(wǎng)絡管理員的一項基本工作。網(wǎng)絡系統(tǒng)的管理涉及從網(wǎng)絡軟硬件系統(tǒng)管理、輔助設施管理到用戶管理等方面的因素，工作復雜而又十分重要。 隨著網(wǎng)絡事業(yè)的蓬勃發(fā)展，網(wǎng)絡對于人們的意義越來越重要。網(wǎng)絡環(huán)境已經(jīng)成為一個現(xiàn)代化企事業(yè)單位的工作基礎，成為維持業(yè)務正常運轉的基本條件。人們對網(wǎng)絡的依賴程度不斷增加的同時，網(wǎng)絡本身的功能及結構也變得越來越復雜。計算機網(wǎng)絡由一系列的計算機、數(shù)據(jù)通信設備等硬件系統(tǒng)，以及應用、管理軟件系統(tǒng)所構成。隨著網(wǎng)絡規(guī)模的擴大，以及網(wǎng)絡資源的種類和數(shù)量的增多，網(wǎng)絡管理工作也顯得尤為重要。網(wǎng)絡需要人們進行管理和維護，才能保持網(wǎng)絡的正常運行，才能為用戶提供更好的網(wǎng)

3、絡服務。 5.1.2 5.1.2 網(wǎng)絡管理中心與網(wǎng)絡管理功能網(wǎng)絡管理中心與網(wǎng)絡管理功能 1、網(wǎng)絡管理中心 網(wǎng)絡管理中心，通常由一組功能不同的控制設備組成，它們指揮和控制網(wǎng)絡中心的其他設備一起完成網(wǎng)絡管理的任務。網(wǎng)絡管理中心向網(wǎng)絡中心的各種設備發(fā)出各種控制命令，這些設備執(zhí)行命令并返回結果。除此之外，網(wǎng)絡管理中心還可以直接收集其他設備周期或隨時發(fā)來的各種統(tǒng)計信息和報警報告，對其進行分析，并確定進一步的控制操作。 網(wǎng)絡管理中心的配置通常與網(wǎng)絡管理方式及網(wǎng)絡規(guī)模密切相關，網(wǎng)絡管理的方式主要有集中式管理和分布式管理兩類，前者適合于網(wǎng)絡管理中心或者直接使某臺設備兼含網(wǎng)管功能時使用；當網(wǎng)絡規(guī)模較大、網(wǎng)絡設備

4、分布較廣時，由于管理信息量的增多，通常采用后者管理，并用一組網(wǎng)絡管理中心協(xié)同進行管理。每個網(wǎng)絡管理中心負責實施一定區(qū)域和一定層次的網(wǎng)絡管理任務。 當網(wǎng)絡中需要設置網(wǎng)絡管理中心時，其核心設備是一臺或幾臺網(wǎng)管服務器，網(wǎng)管服務器配置有海量存儲設備，保存必要的系統(tǒng)軟件映像、數(shù)據(jù)庫信息和實用開發(fā)軟件等。網(wǎng)管服務器通過與其他網(wǎng)絡設備進行通信，自動執(zhí)行網(wǎng)絡的管理和控制，同時還向操作人員顯示網(wǎng)絡運行狀態(tài)，進行報警信息和統(tǒng)計信息的顯示和打印等。鑒于網(wǎng)絡管理中心所處的重要地位，其中的設備通常采用雙機切換工作方式，以確保網(wǎng)絡管理的高可靠性。 2.網(wǎng)絡管理功能 一個功能完善的網(wǎng)絡管理系統(tǒng)，對網(wǎng)絡的使用有著極為重要的意

5、義。它通常具有以下五個方面的功能。 （1）配置管理 配置管理，是指對網(wǎng)絡中每個設備的功能、相互間的連接關系和工作參數(shù)進行監(jiān)測、控制和配置調整，它反映了網(wǎng)絡的狀態(tài)的變化。網(wǎng)絡是經(jīng)常需要變化的，需要調整網(wǎng)絡配置的原因很多，主要有以下幾點： 為向用戶提供滿意的服務，網(wǎng)絡必須根據(jù)用戶需求的變化，增加新的資源與設備，調整網(wǎng)絡的規(guī)模，以增強網(wǎng)絡的服務能力。 網(wǎng)絡管理系統(tǒng)在檢測到某個設備或線路發(fā)生故障時，以及在故障排除過程中都將會影響到部分網(wǎng)絡的結構。 通信子網(wǎng)中某個節(jié)點的故障會造成網(wǎng)絡上節(jié)點的減少與路由的改變。 對網(wǎng)絡配置的改變可能是臨時性的，也可能是永久性的。網(wǎng)絡管理系統(tǒng)必須有足夠的手段來支持這些改變，

6、不論這些改變是長期的還是短期的。有時甚至要求在短期內自動修改網(wǎng)絡配置，以適應突發(fā)性事件的需要。 （2）故障管理 故障管理是用來維持網(wǎng)絡的正常運行的。網(wǎng)絡故障管理包括及時發(fā)現(xiàn)網(wǎng)絡中發(fā)生的故障和找出網(wǎng)絡故障產(chǎn)生的原因，必要時啟動控制功能來排除故障?？刂乒δ馨ㄔ\斷測試、故障修復或恢復、啟動備用設備等。 故障管理是網(wǎng)絡功能中與檢測設備故障、差錯設備的診斷、故障設備的恢復或故障排除有關的網(wǎng)絡管理功能，其目的是保證網(wǎng)絡能夠提供連續(xù)、可靠的服務。 常用的故障管理工具有網(wǎng)絡系統(tǒng)、協(xié)議分析器、電纜測試儀、冗余系統(tǒng)、數(shù)據(jù)檔案和備份設備等。 （3）性能管理 網(wǎng)絡性能管理活動是持續(xù)地評測網(wǎng)絡運行中的主要性能指標，以

7、檢驗網(wǎng)絡服務是否達到了預定的水平，找出已經(jīng)發(fā)生或潛在的瓶頸，報告網(wǎng)絡性能的變化趨勢，為網(wǎng)絡管理決策提供依據(jù)。性能管理指標通常包括網(wǎng)絡響應時間、吞吐量、費用和網(wǎng)絡負載。 對于性能管理，通過使用網(wǎng)絡性能監(jiān)視器（硬件和軟件），能夠給出一定性能指示的直方圖。利用這一信息，預測將來對硬件和軟件的需求、潛在的需要改善的區(qū)域，以及潛在的網(wǎng)絡故障。 （4）記賬管理 記賬管理主要是對用戶使用網(wǎng)絡資源的情況進行記錄并核算費用。 在企內部網(wǎng)中，內部用戶使用網(wǎng)絡資源并不需要交費，但是記賬功能可以用來記錄用戶對網(wǎng)絡的使用時間、統(tǒng)計網(wǎng)絡的利用率與資源使用等內容。 通過記賬管理，可以了解網(wǎng)絡的真實用途，定義它的能力和制定策

8、略，使網(wǎng)絡更有效。 （5）安全管理 安全管理功能是用來保護網(wǎng)絡資源安全的。安全管理活動能夠利用各種層次的安全防衛(wèi)機制，使非法入侵事件盡可能少發(fā)生；能夠快速檢測未授權的資源使用，并查出侵入點，對非法活動進行審查與追蹤；能夠使網(wǎng)絡管理人員恢復部分受破壞的文件。5.1.35.1.3簡單網(wǎng)絡管理協(xié)議簡單網(wǎng)絡管理協(xié)議 SNMPSNMP 1. SNMP的概念 簡單網(wǎng)絡管理協(xié)議（SNMP）的體系結構是從早期的簡單網(wǎng)關監(jiān)控協(xié)議（SGMP）發(fā)展而來的,是Internet組織用來管理采用TCP/IP協(xié)議的互聯(lián)網(wǎng)和以太網(wǎng)的。SNMP的兩個最顯著的特點是： 雖然SNMP 是為在TCP/IP 之上使用而開發(fā)的，但它的監(jiān)

9、測和控制活動是獨立于TCP/IP的； SNMP 僅僅需要TCP/IP 提供無鏈接的數(shù)據(jù)報傳輸服務。所以，SNMP 很容易應用到其他網(wǎng)絡上去。 2. SNMP 的目標 SNMP 的目標是管理Internet中眾多廠家生產(chǎn)的軟、硬件平臺，其提供了5類管理操作。 get操作：用于提取特定的網(wǎng)絡管理信息。 get-next操作：通過遍歷活動來提供強大的管理信息提取能力。 set操作：用來對管理信息進行控制。 get response處理：用于響應get、get-next及set操作，返回它們的操作結果。 trap（陷阱）操作：用來報告重要事件。 SNMP 的體系結構是圍繞以下4個概念和目標進行設計的：

10、 保持管理代理agent的軟件成本盡可能低。 最大限度地保持遠程管理的功能，以便充分利用Internet的網(wǎng)絡資源。 體系結構必須能在將來需要時有擴充的余地。 保持SNMP 的獨立性，不依賴于具體的計算機、網(wǎng)關和網(wǎng)絡傳輸協(xié)議。 3. SNMP的基本組成 SNMP 管理模型中有三個基本組成部分：管理代理（Agent）、管理進程（Manager）和管理信息庫（MIB） （1）管理代理（Agent） 管理代理是一種軟件，在被管理的網(wǎng)絡設備中運行，負責執(zhí)行管理進程的管理操作。管理代理直接操作本地信息庫（MIB），如果管理進程需要，它可以根據(jù)要求改變本地信息庫或提取數(shù)據(jù)傳回到管理進程。 每個管理代理擁有

11、自己的本地MIB，一個管理代理管理的本地MIB不一定具有Internet定義的MIB的全部內容，而只需要包括與本地設備或設施有關的管理對象。管理代理具有兩個基本管理功能： 從MIB 中讀取各種變量值。 在MIB 中修改各種變量值。 這里的變量也就是管理對象。 （2）管理進程（Manager） 管理進程是一個或一組軟件程序，一般運行在網(wǎng)絡管理站（或網(wǎng)絡管理中心）的主機上，它可以在SNMP 的支持下命令管理代理執(zhí)行各種管理操作。 管理進程完成各種網(wǎng)絡管理功能，通過各設備中的管理代理對網(wǎng)絡內的各種設備、設施和資源實施監(jiān)測和控制。另外，操作人員通過管理進程對全網(wǎng)進行管理。因而管理進程也經(jīng)常配有圖形用戶

12、接口，以容易操作的方式顯示各種網(wǎng)絡信息，如給出網(wǎng)絡中各管理代理有配置圖等。有時管理進程也會對各管理代理中的數(shù)據(jù)集中存檔，以備事后分析。 （3）管理信息庫（MIB） 管理信息庫（MIB）是一個概念上的數(shù)據(jù)庫，由管理對象組成，每個管理代理管理MIB中屬于本地的管理對象，各管理代理控制的管理對象共同構成全網(wǎng)的管理信息庫。 管理信息庫（MIB）的結構必須符合使用TCP/IP的Internet的管理自信結構（SMI）。這個SMI 實際上是參照OSI 的管理信息結構制訂的。盡管兩個SMI 基本一致，但SNMP和OSI的MIB中定義的管理對象卻并不相同。Internet的SMI 和相應的MIB 是獨立于具體

13、的管理協(xié)議（包括SNMP）的。5.1.45.1.4網(wǎng)絡故障排除基礎網(wǎng)絡故障排除基礎 1.網(wǎng)絡故障的分類 根據(jù)網(wǎng)絡故障對網(wǎng)絡應用的影響程度，網(wǎng)絡故障一般分為連通性故障和性能故障兩大類。連通性故障是指網(wǎng)絡中斷，業(yè)務無法進行，它是最嚴重的網(wǎng)絡故障；性能故障指網(wǎng)絡的性能下降，傳輸速率變慢，業(yè)務受到一定程度的影響，但并未中斷。 不同的網(wǎng)絡故障類型具有不同的故障原因。 （1）連通性故障 連通性故障的表現(xiàn)形式主要有以下幾種。 硬件、介質、電源故障：硬件故障是引起連通性故障的最常見原因。網(wǎng)絡中的網(wǎng)絡設備是由主機設備、板卡、電源等硬件組成，并由電纜等介質所連接起來的。如果設備遭到撞擊，安裝板卡時有靜電，電纜使用

14、錯誤，都可能會引起硬件損壞，從而導致網(wǎng)絡無法連通。另外，人為性的電源中斷，如交換機的電源線連接松脫，也是引起硬件連通性故障的常見原因。 配置錯誤：設備的正常運行離不開軟件的正確配置。如果軟件配置錯誤，則很可能導致網(wǎng)絡連通性故障。目前網(wǎng)絡協(xié)議種類眾多且配置復雜。如果某一種協(xié)議的某一個參數(shù)沒有正確配置，都很有可能導致網(wǎng)絡連通問題。 設備間兼容性問題：計算機網(wǎng)絡的構建需要許多網(wǎng)絡設備，從終端PC到網(wǎng)絡核心的路由器、交換機，同時網(wǎng)絡也很可能是由多個廠商的網(wǎng)絡設備組成的，這時，網(wǎng)絡設備的互操作性顯得十分必要。如果網(wǎng)絡設備不能很好兼容，設備間的協(xié)議報文交互有問題，也會導致網(wǎng)絡連通性故障。 (2)性能故障

15、也許網(wǎng)絡連通性沒有問題，但是可能某一天網(wǎng)絡維護人員突然發(fā)現(xiàn)，網(wǎng)絡訪問速度慢了下來，或者某些業(yè)務的流量阻塞，而其他業(yè)務流量正常。這時，則意味著網(wǎng)絡就出現(xiàn)了性能故障。一般來說，計算機網(wǎng)絡性能故障主要原因如下： 網(wǎng)絡擁塞：如果網(wǎng)絡中某一節(jié)點的性能出現(xiàn)問題，都會導致網(wǎng)絡擁塞。這時需要查找到網(wǎng)絡的瓶頸節(jié)點，并進行優(yōu)化，解決問題。 到目的地不是最佳路由：如果在網(wǎng)絡中使用了某種路由協(xié)議，但在部署協(xié)議時并沒有仔細規(guī)劃，則可能會導致數(shù)據(jù)經(jīng)次優(yōu)路線到達目的網(wǎng)絡。 供電不足：確保網(wǎng)絡設備電源達到規(guī)定的電壓水平，否則會導致設備處理性能問題，從而影響整個網(wǎng)絡。 網(wǎng)絡環(huán)路：交換網(wǎng)絡中如果有物理環(huán)路存在，則可能引發(fā)廣播風暴

16、，降低網(wǎng)絡性能。而距離矢量路由協(xié)議也可能會產(chǎn)生路由環(huán)路。因此要交換網(wǎng)絡中，一定要避免環(huán)路的產(chǎn)生，而在網(wǎng)絡中應用路由協(xié)議時，也要選擇沒有路由環(huán)路的協(xié)議或采取措施來避免路由環(huán)路發(fā)生。 網(wǎng)絡故障的發(fā)生時，維護人員首先要判斷是通連性故障還是性能故障，然后根據(jù)故障類型進行相應的檢查。連通性故障首先檢查網(wǎng)絡設備的硬件，看電源是否正常，電纜是否正確等。如果是性能問題，則重點從以上幾個方面來考慮，查找具體的故障原因。 2.網(wǎng)絡故障的一般解決步驟 （1）故障現(xiàn)象觀察。要想對網(wǎng)絡故障做出準確的分析，首先應該能夠完清晰地描述網(wǎng)絡故障現(xiàn)象，標示故障發(fā)生時間地點，故障所導致的后果，然后才能確定可能產(chǎn)生這些現(xiàn)象的故障根源

17、或癥結。因此，準確觀察故障現(xiàn)象，對網(wǎng)絡故障做出完整、清晰的的描述是重要的一步。 （2）故障相關信息收集。本步驟是搜集有助于查找故障原因的更詳細的信息，主要有以下3種途徑。 向受影響的用戶、網(wǎng)絡人員或其他關鍵人員提出問題。 根據(jù)故障描述性質，使用各種工具搜集情況，如網(wǎng)絡管理系統(tǒng)、協(xié)議分析儀、相關display和debugging命令等。 測試目前網(wǎng)絡性能，將測試結果與網(wǎng)絡基線進行比較。 (3）經(jīng)驗判斷和理論分析。利用前兩個步驟收集到的數(shù)據(jù)，并根據(jù)自己以往的故障排除經(jīng)驗和所掌握的網(wǎng)絡設備與協(xié)議的知識，來確定一個排錯范圍。通過范圍的劃分，就只需注意某一故障或與故障情況相關的那一部分產(chǎn)品、介質和主機。

18、 (4）各種可能原因列表。根據(jù)潛在癥結制訂故障的排除計劃，依據(jù)故障可能性高低的順序，列出每一種認為可能的故障原因。從最有可能的癥結入手，每次只做一次改動，然后觀察改動的效果。之所以每次只做一次改動，是因為這樣有助于確定針對特定故障的解決方法。如果同時做了兩處或更多處改動，也許能夠解決故障，但是難以確定最終是哪些改動消除了故障的癥狀，而且對日后解決同樣的故障也沒有太大的幫助。 （5）對每一原因實施排錯方案。根據(jù)制訂的故障排除計劃，對每一個可能故障原因，逐步實施排除方案。在故障排除過程中，如果某一可能原因經(jīng)驗證無效，務必恢復到故障排除前的狀態(tài)，然后再驗證下一個可能原因。如果列出的所有可能原因都驗證

19、無效，那么就說明沒有收集到足夠的故障信息，沒有找到故障發(fā)生點，則返回到第（2）步，繼續(xù)收集故障相關信息，分析故障原因，再重復此過程，直到找出故障原因并且排除網(wǎng)絡故障。 （6）觀察故障排除結果。當對某一原因執(zhí)行了排錯方案后，需要對結果進行分析，判斷問題是否解決，是否引入了新的問題。如果問題解決，那么就可以直接進入文化過程；如果沒有解決問題，那么就需要再次循環(huán)進行故障排除過程。 （7）循環(huán)進行故障排除過程。當一個方案的實施沒有達到預期的排錯目的時，便進入該步驟。這是一個努力縮小可能原因的故障排除過程。 在進行下一循環(huán)之前必須做的事情就是將網(wǎng)絡恢復到實施上一方案前的狀態(tài)。如果保留上一方案對網(wǎng)絡的改動

20、，很可能導致新的問題。例如，假設修改了訪問列表但沒有產(chǎn)生預期的結果，此時如果不將訪問列表恢復到原始狀態(tài)，就會導致出現(xiàn)不可預期的結果。 循環(huán)排錯可以有兩個切入點。 當針對某一可能原因的排錯方案沒有達到預期目的，循環(huán)進入下一可能原因制訂排錯方案并實施。 當所有可能原因列表的排錯方案均沒有達到排錯目的，重新進行故障相關信息收集以分析新的可能故障原因。 （8）故障排除過程文檔化。當最終排除了網(wǎng)絡故障后，那么排除流程的最后一步就是對所做的工作進行文字記錄。文檔化過程絕不是一個可有可無的工作，原因如下： 文檔是排錯寶貴經(jīng)驗的總結，是“經(jīng)驗判斷和理論分析”這一過程中最重要的參考資料。 文檔記錄了這次排錯中網(wǎng)

21、絡參數(shù)所做的修改，這也是下一次網(wǎng)絡故障應收集的相關信息。 文檔記錄主要包括以下幾個方面。 故障現(xiàn)象描述及收集的相關信息。 網(wǎng)絡拓撲圖繪制。 網(wǎng)絡中使用的設備清單和介質清單。 網(wǎng)絡中使用的協(xié)議清單和應用清單。 故障發(fā)生的可能原因。 對每一可能原因制訂的方案和實施結果。 本次排錯的心得體會。 其他。如排錯中使用的參考資料列表等。5.1.5 5.1.5 故障排除常用方法故障排除常用方法 1.分層故障排除法 基本所有的網(wǎng)絡技術模型是分層的。當模型的所有低層結構工作正常時，它的高層結構才能正常工作。層次化的網(wǎng)絡故障分析方法有利于快速及準確進行故障定位。 在使用分層故障排除法進行故障排除時，具體每一層次的

22、關注點有所不同。 （1）物理層：物理層負責通過某種介質提供到另一設備的物理連接，包括端點間的二進制流的發(fā)送與接收，完成與數(shù)據(jù)鏈路層的交互操作等功能。 物理層需要關注電纜、連接頭、信號電平、編碼、時鐘和組幀，這些都是導致端口處于DOWN狀態(tài)的因素。 （2）數(shù)據(jù)鏈路層：數(shù)據(jù)鏈路層負責在網(wǎng)絡層與物理層之間進行信息傳輸；規(guī)定了介質如何接入和共享；站點如何進行標識；如果根據(jù)物理層接收的二進制數(shù)據(jù)建立幀。 （3）網(wǎng)絡層：網(wǎng)絡層負責實現(xiàn)數(shù)據(jù)的分段封裝與重組以及差錯報告，更重要的是它負責信息通過網(wǎng)絡的最佳路徑的選擇。 地址錯誤和子網(wǎng)掩碼錯誤是引起網(wǎng)絡層故障最常見的原因；網(wǎng)絡地址重復是網(wǎng)絡故障的另一個可能原因；

23、另外，路由協(xié)議是網(wǎng)絡層的一部分，也是排錯重點關注的內容。 排除網(wǎng)絡層故障的基本方法是：沿著從源到目的地的路徑查看路由器上的路由表，同時檢查那些路由器接口的IP地址是否正確。如果所需路由沒有在路由表中出現(xiàn)，就應該檢查路由器上相關配置，然后手動添加靜態(tài)路由或排除動態(tài)路由協(xié)議的故障以使路由表更新。 （4）傳輸層、應用層：傳輸層負責端到端的數(shù)據(jù)傳輸；應用層是各種網(wǎng)絡應用軟件工作的地方。如果確保網(wǎng)絡層以下沒有出現(xiàn)問題，而傳輸層或應用層出現(xiàn)問題，那么很可能就是網(wǎng)絡終端軟件出現(xiàn)故障，這時應該檢查網(wǎng)絡中的計算機、服務器等網(wǎng)絡終端，確保應用程序正常工作，終端設備軟硬件運行良好。 2.分塊故障排除法 各系列路由器

24、和交換機等網(wǎng)絡設備的配置文件中包括如下部分。（1）管理部分（路由器名稱、口令、服務、日志等）（2）端口部分（地址、封裝、cost、認證等）（3）路由協(xié)議部分（靜態(tài)路由、RIP、OSPF、BGP、路由引入等）（4）策略部分（路由策略、策略路由、安全配置）（5）接入部分（主控制臺、Telnet登錄或啞終端、撥號等）（6）其他應用部分（語言配置、VPN配置、QOS配置等）。 3.分段故障排除法 當一個故障涉及的范圍較大，可以通過分段故障排除法來將故障范圍縮小。例如，如果兩臺路由器跨越電信部門提供的線路而不能相互通信時，可以按照如下分段，依次進行故障排除。 （1）主機到路由器LAN接口的一段。 （2）

25、路由器到CSU/DSU接口的一段。 （3）CSU/DSU到電信部門接口的一段。 （4）WAN電路 （5）CSU/DSU本身問題。 （6）路由器本身問題。 在實際網(wǎng)絡故障排錯時，可以先采用分段法確定故障點，再通過分層或其他方法排除故障。 4.替換法 這是檢查硬件是否存在問題最常用的方法。例如，當懷疑是網(wǎng)線問題時，更換一根確定是好的網(wǎng)線試一試；當懷疑是接口模塊有問題時，更換一個其他接口模塊試一試。5.2 5.2 網(wǎng)絡安全的重要性網(wǎng)絡安全的重要性 5.2.1 5.2.1 網(wǎng)絡安全概述網(wǎng)絡安全概述 網(wǎng)絡安全就是網(wǎng)絡上的信息安全，是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因

26、而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。 從廣義來說，凡是涉及網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。 國際標準化組織（ISO）引用ISO 74982文獻中對安全的定義是：“安全就是最大程度地減少數(shù)據(jù)和資源被攻擊的可能性”。Internet的最大特點就是開放性，對于安全來說，這又是它致命的弱點。5.2.2 5.2.2 網(wǎng)絡安全關注的范圍網(wǎng)絡安全關注的范圍 網(wǎng)絡安全是網(wǎng)絡必須面對的一個實際問題，同時網(wǎng)

27、絡安全又是一個綜合性的技術。網(wǎng)絡安全關注的范圍如下： （1）保護網(wǎng)絡物理線路不會輕易遭受攻擊。物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和鏈路免受自然災害、人為破壞和搭線攻擊，確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷窺、破壞活動的發(fā)生。 （2）有效識別合法的和非法的用戶。驗證用戶的身份和使用權限，防止用戶越權操作。 （3）實現(xiàn)有效的訪問控制。訪問控制策略是網(wǎng)絡安全防范和保護的主要策略，其目的是保證網(wǎng)絡資源不被非法使用和非法訪問。訪問控制策略包括入網(wǎng)訪問控制、操作權限控制策略和防火墻控制策略等方面的內容。 （4）保

28、證內部的隱蔽性。通過NAT或ASPF技術保護網(wǎng)絡的隱蔽性。 （5）有效的防偽手段，重要的數(shù)據(jù)重點保護。采用IPSec技術對傳輸數(shù)據(jù)加密。 （6）對網(wǎng)絡設備、網(wǎng)絡拓撲的安全管理。部署網(wǎng)管軟件對全網(wǎng)設備進行監(jiān)控。 （7）病毒防范。加強對網(wǎng)絡中病毒的實時防御。 （8）提高安全防范意識。制定信息安全管理制度，賞罰分明，提高全員安全防范意識。5.2.3 5.2.3 網(wǎng)絡安全的目標網(wǎng)絡安全的目標 網(wǎng)絡安全的目標應當滿足：n身份真實性：能對通信實體身份的真實性進行鑒別。n信息機密性：保證機密信息不會泄露給非授權的人或實體。n信息完整性：保證數(shù)據(jù)的一致性，能夠防止數(shù)據(jù)被非受權用戶或實體建立、修改和破壞。n服務

29、可用性：保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^。n不可否認性：建立有效的責任機制，防止實體否認其行為。n系統(tǒng)可控性：能夠控制使用資源的人或實體的使用方式。n系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應當操作簡單，維護方便。n可審查性：對出現(xiàn)的網(wǎng)絡安全問題提供調查的依據(jù)和手段。 網(wǎng)絡安全的惟一真正目標是通過技術手段保證信息的安全。5.2.4 5.2.4 網(wǎng)絡安全防范體系網(wǎng)絡安全防范體系 全方位的、整體的網(wǎng)絡安全防范體系是分層次的，不同層次反映了不同的安全問題，根據(jù)網(wǎng)絡的應用現(xiàn)狀情況和網(wǎng)絡的結構，可將安全防范體系分為物理層安全、系統(tǒng)層安全、網(wǎng)絡層安全、應用層安全和管理層安全5個層次。 1.

30、 物理層安全 物理層次的安全包括通信線路的安全、物理設備的安全和機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性、軟/硬件設備的安全性、設備的備份、防災害能力、防干擾能力、設備的運行環(huán)境和不間斷電源的保障等。 2. 系統(tǒng)層安全 系統(tǒng)層次的安全問題來自網(wǎng)絡內使用的操作系統(tǒng)的安全，主要表現(xiàn)在3個方面：一是操作系統(tǒng)本身的缺陷所帶來的不安全因素，主要包括身份認證、訪問控制和系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。 3. 網(wǎng)絡層安全 網(wǎng)絡層次的安全問題包括網(wǎng)絡層身份認證、網(wǎng)絡資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測的

31、手段和網(wǎng)絡設施防毒等。 4. 應用層安全 應用層次的安全問題主要由提供服務所采用的應用軟件和數(shù)據(jù)的安全性產(chǎn)生，主要包括Web服務、電子郵件系統(tǒng)和DNS等，此外，還包括病毒對系統(tǒng)的威脅。 5. 管理層安全 管理層次的安全包括安全技術和設備管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度上影響著整個網(wǎng)絡的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其他層次的安全漏洞。5.2.5 5.2.5 網(wǎng)絡中存在的威脅網(wǎng)絡中存在的威脅 1. 黑客攻擊 談到網(wǎng)絡安全，很容易聯(lián)想到網(wǎng)絡中的黑客。黑客的名詞來自于英文hacker的發(fā)音，也被翻譯不駭客。現(xiàn)

32、在對黑客這個名詞的普遍解釋是：具有一定計算機和硬件方面的知識，通過各種技術手段，對計算機和網(wǎng)絡系統(tǒng)的安全構成威脅的人或組織。 常見的黑客攻擊行為有：入侵系統(tǒng)、篡改網(wǎng)站、設置后門以便以后隨時侵入、設置邏輯炸彈和木馬、竊取和破壞資料、竊取賬號、進行網(wǎng)絡竊聽、進行地址欺騙、進行拒絕服務攻擊造成服務器癱瘓等。 2. 病毒 計算機病毒是指那些具有自我復制能力的特殊計算機程序，它能影響計算機軟、硬件的正常運行，破壞數(shù)據(jù)的正確與完整，影響網(wǎng)絡的正常運行。病毒常常是附著于正常程序或文件中的一小段代碼，隨著宿主程序在計算機之間的復制不斷傳播，并在傳播途中感染計算機上所有符合條件的文件。 計算機病毒也是程序，程序

33、要發(fā)揮作用必須要運行，病毒要獲得復制自身、感染其他文件并最后發(fā)作的能力，首先要將自身激活，并駐留內存，這個過程稱為病毒的引導。 3.蠕蟲 蠕蟲是一種通過網(wǎng)絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等，同時具有自己的一些特證，如不利用文件寄生（有的只存在于內存中），以及與部分黑客技術相結合等。 蠕蟲可以通過已知的操作系統(tǒng)后門主動攻擊一臺主機，然后設法感染這臺主機并使其成為一個新的攻擊源，去攻擊其他主機。通過這種模式，網(wǎng)絡上所有未設防的主機都將很快感染蠕蟲，薩滿教清除它們卻很麻煩，只要網(wǎng)絡中仍存在一臺主機被感染，病毒就很可能會卷土重來。 蠕蟲已經(jīng)成為網(wǎng)絡中最大的威脅之一，是網(wǎng)

34、絡安全防護工作的重點。 4木馬 完整的木馬程序一般由兩個部分組成：一個是被控制端（服務器）程序，另一個是控制端（客戶端）程序。 木馬的通常目的是竊取信息（如網(wǎng)絡帳號、信用卡密碼、重要文檔等）、監(jiān)視和控制被感染主機。 木馬相比病毒更隱蔽，更難以排查和清除，如不加以重視會給企業(yè)和個人造成不可估量的損失。 .流氓軟件 流氓軟件是對利用網(wǎng)絡進行散播的一類惡意軟件的統(tǒng)稱，這些軟件或在不知不覺中偷偷安裝在用戶的系統(tǒng)中，或采用某種手段強行進行安裝，也有隨某種軟件一起安裝到用戶的系統(tǒng)中。 流氓軟件一般以牟利為目的，強行更改用戶計算機軟件設置，如瀏覽器選項，軟件自動啟動選項，安全選項等。流氓軟件常常在用戶瀏覽網(wǎng)

35、頁過程中不斷彈出廣告頁面，影響用戶正常上網(wǎng)。流氓軟件常常未經(jīng)用戶許可，秘密收集用戶個人信息和隱私，有侵害用戶信息和財產(chǎn)安全的潛在因素或者隱患。 流氓軟件常抵制卸載，即使當時卸載成功，過一段時間系統(tǒng)中殘留的程序又會偷偷地自動安裝，使得用戶不勝其煩。5.2.6 5.2.6 網(wǎng)絡安全防范技術網(wǎng)絡安全防范技術 1 1、網(wǎng)絡連接故障診斷命令、網(wǎng)絡連接故障診斷命令-PING-PING 使用使用PINGPING可以測試計算機名和計算機的可以測試計算機名和計算機的IPIP地址，驗證與遠程計算機的連接，通地址，驗證與遠程計算機的連接，通過將過將ICMPICMP回顯數(shù)據(jù)包發(fā)送到計算機并偵聽回顯回復數(shù)據(jù)包來驗證與一

36、臺或多臺遠程回顯數(shù)據(jù)包發(fā)送到計算機并偵聽回顯回復數(shù)據(jù)包來驗證與一臺或多臺遠程計算機的連接，該命令只有在安裝了計算機的連接，該命令只有在安裝了TCP/IPTCP/IP協(xié)議后才可以使用。協(xié)議后才可以使用。 現(xiàn)在在現(xiàn)在在WINDOWSWINDOWS系統(tǒng)下選擇系統(tǒng)下選擇“開始開始”“”“運行運行”命令命令輸入輸入cmd.execmd.exe命令回車，命令回車，下面我們來看看該命令：下面我們來看看該命令：Ping -t-a -n count -r count -f-i ttl-v tos-r count-j Ping -t-a -n count -r count -f-i ttl-v tos-r cou

37、nt-j computer-list|-k computer-list-w timeoutdestination-listcomputer-list|-k computer-list-w timeoutdestination-list 參數(shù)： -t Ping指定的計算機直到中斷?！癈trl+C”停止 -a 將地址解析為計算機NetBIOS名。例：c:ping a 127.0.0.1 如圖5-2所示：pinging localhost 127.0.0.1 with 32 bytes of data:(china-hacker就是他的計算機名) -n count 發(fā)送count指定的echo數(shù)據(jù)包

38、數(shù)。默認值為4 -r count 在“記錄路由” 字段中記錄傳出和返回數(shù)據(jù)包的路由。通常情況下，發(fā)送的數(shù)據(jù)包是通過一系列路由才到達的目標地址的，通過此參數(shù)可以設定探測經(jīng)過路由的個數(shù)，限定能夠跟蹤9個路由。如圖53所示 -f 在數(shù)據(jù)包中發(fā)送“不要分段”標志。數(shù)據(jù)包就不會被路由上的網(wǎng)關分段。 -i ttl 將“生存時間”字段設置為ttl指定的值 -v tos 將“服務類型”字段設置為tos指定的值 -r count 在“記錄路由”字段中記錄傳出和返回數(shù)據(jù)包的路由。Count可以指定最少一臺，最多9臺計算機。 -j computer-list 利用computer-list指定的計算機列表路由數(shù)據(jù)包

39、。連續(xù)計算機可以被中間網(wǎng)關分隔（路由稀疏源）IP允許的最大數(shù)量為9. -k computer-list 利用computer-list指定的計算機列表路由數(shù)據(jù)包。連續(xù)計算機不能被中間網(wǎng)關分隔（路由嚴格源）IP允許的最大量為9. -w timeout 指定超時間隔，單位為毫秒（ms）。 destination-list 指定要ping的遠程計算機。 2、網(wǎng)絡狀態(tài)查看-Netstat Netstat是Windows操作系統(tǒng)提供用于查看與IP、TCP、UDP和ICMP協(xié)議相關的統(tǒng)計數(shù)據(jù)的網(wǎng)絡工具，能檢驗本機各端口的網(wǎng)絡連接情況。一般通過Netstat來檢查各類協(xié)議統(tǒng)計數(shù)據(jù)及當前端口使用情況，這些情況

40、對我們檢查和處理計算機是否在網(wǎng)絡安全隱患有很大的幫助。 Netstat命令支持參數(shù)很多，比較常用的有以下幾個參數(shù)。“-s”參數(shù)用來顯示IP、TCP、UDP和ICMP的協(xié)議統(tǒng)計數(shù)據(jù)，經(jīng)常與“-p”命令組合來查看指定協(xié)議的統(tǒng)計數(shù)據(jù)，當我們發(fā)現(xiàn)瀏覽器打開頁面速度很慢，甚至根本無法打開頁面，或是電子郵件軟件無法收發(fā)郵件時，很可能是TCP連接的問題，通過命令“Netstat s p tcp”可以查看TCP協(xié)議統(tǒng)計數(shù)據(jù)，判斷問題所在（見圖 5-4）。“-e”參數(shù)用來看關于以太網(wǎng)的統(tǒng)計數(shù)據(jù)（如圖5-5所示）。它列出的項目包括傳送的數(shù)據(jù)包的總字節(jié)數(shù)、錯誤數(shù)、數(shù)據(jù)報的數(shù)量和廣播的數(shù)量。如果使用“netstat

41、e”命令發(fā)現(xiàn)大量接收錯誤，則可能是網(wǎng)絡整體擁塞、主機過載或是本地物理連接故障；如果發(fā)現(xiàn)大量發(fā)送錯誤，則可能是本地網(wǎng)絡擁塞或是本地物理連接故障；如果發(fā)現(xiàn)廣播和多數(shù)量過大，那么很可能網(wǎng)絡正遭受廣播風暴的侵襲。 3.本地路由 管理在計算機內存中，也存在著路由表，而且從條目格式、工作原理到所發(fā)揮的作用都與路由器上的路由表很相似，區(qū)別主要在于路由器的路由表管理不同子網(wǎng)之間的轉發(fā)，而主機上的路由表主要用來指示主機向外發(fā)送數(shù)據(jù)包時，不同目的地通過哪些指定接口發(fā)送。當然，如果一臺主機擁有多個網(wǎng)絡接口，且連接著不同的子網(wǎng)，主機上同時啟動著IP路由轉發(fā)，它就成為一臺真正的路由器。 對于本地計算機進行路由管理，首先

42、要了解本地計算機是否開啟了IP路由轉發(fā)功能。所謂IP路由轉發(fā)，是指主機是否能充當路由器的身份在不同子網(wǎng)間轉發(fā)數(shù)據(jù)包。除了用于擔當路由器身份的主機、遠程接入服務器、VPN服務器、NAT服務器等專門配置的服務器主機外，一般的計算機不應開啟IP路由轉發(fā)服務，否則很可能是感染了木馬，結合著ARP欺騙和IP數(shù)據(jù)包轉發(fā)進行網(wǎng)絡監(jiān)聽操作。 檢查計算機是否開啟IP路由轉發(fā)最簡單的方法是使用“ipconfig/all”命令，查看命令顯示結果中的“IP Routing Enabled”參考取值，如果為“No”表示路由轉發(fā)沒有開啟，如果為“Yes”表示已經(jīng)開啟IP路由轉發(fā)，需要檢查是否有問題（見圖5-7） 如果要查

43、看完整本地路由表，使用“route print”命令，也可以使用“netstat -r”命令，顯示的結果完全一樣，顯示信息如圖5-8所示，分為三個部分，第一部分是本地網(wǎng)絡接口信息，即網(wǎng)卡基本信息，其中包括網(wǎng)卡的MAC地址和名稱；第二部分是處于激活（工作）狀態(tài)的路由表，分為5列，分別是Network Destination(目標網(wǎng)絡)、Netmask( 子網(wǎng)掩碼)、Gateway Address（網(wǎng)關地址）和Metric（度量）。目標網(wǎng)絡與子網(wǎng)掩碼共同描述了目標的網(wǎng)絡地址信息，即目的地；網(wǎng)關表示到達目的地的下一站或本地出口地址；接口說明發(fā)送到這個目標網(wǎng)絡需要使用哪個網(wǎng)絡接口（網(wǎng)卡）；度量描述了到

44、達目的地開銷，當?shù)竭_目的地存在多條路由時，根據(jù)它來判斷優(yōu)選哪條路由。 4.本地ARP緩存管理 在TCP/IP局域網(wǎng)通信過程中，廣泛使用的是能體現(xiàn)網(wǎng)絡結構、便于管理和理解的網(wǎng)絡層地址-IP地址，但我們已經(jīng)了解，在網(wǎng)卡上固化的地址是物理地址-MAC地址，網(wǎng)卡只能通過MAC地址來判斷是否接收并處理網(wǎng)絡上的數(shù)據(jù)幀，因此，在進行通信時，必須通過先ARP協(xié)議將IP地址轉換MAC地址。 ARP是一個在局域網(wǎng)通信中廣泛使用的協(xié)議，使用廣播包發(fā)送，網(wǎng)絡中的每臺主機都是ARP協(xié)議數(shù)據(jù)包的接收者和發(fā)送者。 由于計算機之間的通信頻繁，如果每次通信都通過ARP協(xié)議來獲取MAC地址信息會造成網(wǎng)絡和主機資源的浪費，操作系統(tǒng)

45、會在主機上建立一個本地ARP緩沖區(qū)（ARP Cache），在緩沖區(qū)中保存近期使用的IP地址與MAC地址映射記錄。 使用“arp -a”命令可以查看整個ARP緩存表，如圖5-9所示。命令顯示結果分為三列，分別是Internet地址（Internet Address，IP地址）、物理地址（Physial Address，MAC地址）及記錄類型（Type）。記錄類型分為動態(tài)記錄（dynami）和靜態(tài)記錄（stati）兩種，動態(tài)記錄擇指通過ARP協(xié)議了解到的記錄（如果一段時間不被刷新會自動刪除），而靜態(tài)記錄指通過的記錄（只要系統(tǒng)不重新啟動就不會被清除）。 如果發(fā)現(xiàn)確有ARP欺騙，可以利用arp工具定義

46、靜態(tài)ARP緩存記錄，使本地主機暫時不受ARP欺騙的影響，命令格式是：“arp s ip 地址MAC地址”，如圖5-10所示，定義了一條IP地址為10.10.10.10,MAC地址為00-11-22-33-44-55的靜態(tài)記錄，需要注意的是：靜態(tài)記錄重新啟動系統(tǒng)后會清除，需要重新定義。5.3 5.3 網(wǎng)絡安全機制網(wǎng)絡安全機制 隨著TCP/IP協(xié)議群在互聯(lián)網(wǎng)上的廣泛采用，信息技術與網(wǎng)絡技術得到了飛速發(fā)展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網(wǎng)以及企業(yè)內聯(lián)網(wǎng)和外聯(lián)網(wǎng)信息和數(shù)據(jù)的安全，要大力發(fā)展基于信息網(wǎng)絡的安全技術。 網(wǎng)絡安全體系結構國際標準化組織（ISO）在開放系統(tǒng)互聯(lián)參考模型

47、（OSI/RM）的基礎上，于1989年制定了在OSI環(huán)境下解決網(wǎng)絡安全的規(guī)則：安全體系結構。它擴充了基本參考模型，加入了安全問題的各個方面，為開放系統(tǒng)的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個層次：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。5.3.1 5.3.1 加密技術加密技術 在計算機網(wǎng)絡中，加密可分為“通信加密”（即傳輸過程中的數(shù)據(jù)加密）和“文件加密”（即存儲數(shù)據(jù)的加密）。而通信加密又分為鏈路加密、節(jié)點加密和端端加密三種方式。 1、節(jié)點加密 節(jié)點加密就是對相鄰兩節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密。在這種方式中，加密僅對報文實施，而不對報頭加密，以便

48、于傳輸路由的選擇。這種方式易被某種形式的報務分析所發(fā)覺，破壞者據(jù)此可獲取與一個給定點收/發(fā)信息有關的統(tǒng)計資料。 2、鏈路加密 鏈路加密位于數(shù)據(jù)鏈路層，它是對相鄰節(jié)點之間的鏈路上所傳輸?shù)臄?shù)據(jù)進行加密，包括對數(shù)據(jù)和所有的報頭都加密。這種方式能有效地抵抗線路串擾、主動或被動地搭線竊聽所造成的威脅。 3、端端加密 端端加密是對用戶之間傳送的數(shù)據(jù)提供連續(xù)的保護。在初始節(jié)點上實施加密，在中間節(jié)點以密文形式傳輸，僅在目的節(jié)點才能解密。但加密時，報頭仍為明碼形式。這種方式對于防止線路串擾、搭線竊聽、把網(wǎng)絡中間節(jié)點數(shù)據(jù)轉儲到不同的主機是很有效的。同時對于實行故障修復和網(wǎng)絡監(jiān)控，以及防止復制網(wǎng)絡軟件和軟件泄漏等情

49、況也十分有效。由于加密位于表示層，雖然提供了靈活性，但卻增加了主機的負擔。 5.3.2 5.3.2 安全認證技術安全認證技術 1、身份認證技術 認證（Authentication）是證實實體身份的過程，是保證系統(tǒng)安全的重要措施之一。當服務器提供服務時，需要確認來訪者的身份，訪問者有時也需要確認服務提供都的身份。 身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。計算機網(wǎng)絡系統(tǒng)是一個虛擬的數(shù)字世界。在這個數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權也是針對用戶數(shù)字身份的授權。 2、消息認證技術 隨著網(wǎng)絡技術的發(fā)展，對網(wǎng)絡傳輸過

50、程中信息的保密性提出了更高的要求，這些要求主要包括：（1）對敏感的文件進行加密，即使別人截取文件也無法得到其內容。（2）保證數(shù)據(jù)的完整性，防止截獲人在文件中加入其他信息。（3）對數(shù)據(jù)和信息的來源進行驗證，以確保發(fā)信人的身份。5.4 5.4 防火墻技術防火墻技術 5.4.1 5.4.1 防火墻的概念防火墻的概念 防火墻（firewall）在計算機界是指一種邏輯裝置，用來保護內部的網(wǎng)絡不受來自外界的侵害，是近年來日趨成熟的保護計算機網(wǎng)絡安全的重要措施。防火墻是一種隔離控制技術，它的作用是在某個機構的網(wǎng)絡和不安全的網(wǎng)絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，防火墻也可以被用來阻

51、止保密信息從企業(yè)的網(wǎng)絡上被非法傳出。 防火墻是在兩個網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度，它能允許網(wǎng)絡管理人員“同意”的人和數(shù)據(jù)進入他的網(wǎng)絡，同時將網(wǎng)絡管理人員“不同意”的人和數(shù)據(jù)拒之門外，阻止網(wǎng)絡中的黑客來訪問企業(yè)的網(wǎng)絡，防止他們更改、復制或毀壞企業(yè)的重要信息。5.4.25.4.2 防火墻的作用防火墻的作用 防火墻的主要作用如下： 過濾信息，保護網(wǎng)絡上的服務。通過過濾掉一些先天就不安全的服務，防火墻能夠極大地增強內部網(wǎng)絡的安全性，降低內部網(wǎng)絡中主機被攻擊的危險性。 控制對網(wǎng)絡中系統(tǒng)的訪問。防火墻具有控制訪問網(wǎng)絡中系統(tǒng)的能力。例如，來自外部網(wǎng)絡的請求可以到達內部網(wǎng)絡的指定機器，而無法到達內部網(wǎng)絡的

52、其他機器，保證了內部網(wǎng)絡安全。 集中和簡化安全管理。使用防火墻可以使得網(wǎng)絡管理無須針對內部網(wǎng)絡的每臺主機去專門配置安全策略，只需要針對防火墻做合理的配置，就可以實現(xiàn)對整個網(wǎng)絡的保護。當安全策略需要調整時也只需修改防火墻即可，實現(xiàn)了對內部網(wǎng)絡的集中和簡化安全管理。 方便監(jiān)視網(wǎng)絡的安全性。對一個內部網(wǎng)絡而言，重要的問題并不是網(wǎng)絡是否受到攻擊，而是何時會受到攻擊。防火墻可以在受到攻擊時通過E-mail、短信等方式及時通知網(wǎng)絡管理員作出響應和處理。 增強網(wǎng)絡的保密性。所謂保密性是指保證信息不會被泄露與擴散。保密性在一些網(wǎng)絡中是首先要考慮的問題，因此通常被認為是無害的信息實際上包含著對攻擊者有用的線索。

53、 對網(wǎng)絡存取和訪問進行監(jiān)控、審計。例如，防火墻會將內外網(wǎng)絡之間的數(shù)據(jù)訪問加以記錄，并提供關于網(wǎng)絡使用的有價值的統(tǒng)計信息，供網(wǎng)絡管理員分析。 強化網(wǎng)絡安全策略。防火墻提供了實現(xiàn)和加強網(wǎng)絡安全策略的手段。實際上，防火墻向用戶提供了對服務的訪問控制方式，趕到了強化網(wǎng)絡對用戶訪問控制策略的作用。5.4.35.4.3 防火墻的分類及實現(xiàn)技術防火墻的分類及實現(xiàn)技術 1、防火墻的分類 防火墻的分類有多種方式。按照實現(xiàn)方式可以分為軟件防火墻和硬件防火墻。 （1）軟件防火墻 軟件防火墻以軟件方式提供給客戶，要求安裝于特定的計算機和操作系統(tǒng)之上。安裝完成后的計算機就成為防火墻，需要進行各項必要的配置，并部署于網(wǎng)絡

54、的恰當位置才能發(fā)揮其作用。 （2）硬件防火墻 硬件防火墻是以硬件形式提供給客戶的，有些防火墻產(chǎn)品為了提高產(chǎn)品和穩(wěn)定性，常常定制了計算機硬件，這些計算機硬件與普通的PC沒有本質區(qū)別，可能對體積和散熱裝置進行了改造，這類PC架構的硬件防火墻常常采用經(jīng)過優(yōu)化和裁減的Linux與UNIX操作系統(tǒng)，穩(wěn)定性比較高。 這樣的硬件防火墻與軟件防火墻并無本質區(qū)別，只是提高了設備的穩(wěn)定性、簡化了系統(tǒng)的安裝過程。 2、防火墻的實現(xiàn)技術 根據(jù)防火墻的工作方式可分為包過濾型防火墻、代理服務型防火墻和狀態(tài)監(jiān)測防火墻。 （1）包過濾型防火墻 包過濾型防火墻也稱分組過濾型防火墻，這是一種通用型防火墻，因為這種防火墻不針對各個

55、具體的網(wǎng)絡服務采取特殊的處理方式；同時絕大多數(shù)防火墻均提供包過濾功能，且滿足大多數(shù)的安全需求。包過濾型防火墻的特點是： 有選擇地允許數(shù)據(jù)分組穿過防火墻，實現(xiàn)內部主機和外部主機之間的數(shù)據(jù)交換。 作用于網(wǎng)絡層和傳輸層 根據(jù)分組的源地址、目的地址、端口號、協(xié)議類型等確定是否讓數(shù)據(jù)包通過。滿足過濾條件的數(shù)據(jù)包才被轉發(fā)，否則丟棄。 （2）代理服務型防火墻 代理服務型防火墻也稱應用網(wǎng)關防火墻，采用代理服務器（Proxy Server）的方式來保護內部網(wǎng)絡。所謂代理服務，是指防火墻充當了內部網(wǎng)絡與外部網(wǎng)絡應用層通信的代理，內網(wǎng)主機與外網(wǎng)服務器建立的應用層鏈接實際上是先建立與代理服務器的鏈接，然后由代理服務器

56、與外網(wǎng)主機建立應用層鏈接，這樣便成功地實現(xiàn)了防火墻內外計算機系統(tǒng)的隔離。 （3）狀態(tài)監(jiān)測防火墻 狀態(tài)監(jiān)測技術結合了包過濾與代理技術的特點，具有最佳的安全特性。狀態(tài)監(jiān)測防火墻采用了一個網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱為檢測模塊。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，抽取的部分數(shù)據(jù)被稱為狀態(tài)信息。檢測模塊將獲取的狀態(tài)信息動態(tài)地保存起來作為今后制訂安全決策的參考。檢測模塊支持多種協(xié)議和應用程序，并可以很容易地實現(xiàn)應用服務的擴充。與其他安全方案不同，當用戶訪問到達網(wǎng)關的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關數(shù)據(jù)進行分析，結合網(wǎng)絡配置和安全規(guī)定作出接納、拒絕

57、、鑒定或給該通信加密等決定。一旦某個訪問違反安全規(guī)定，安全報警器就會拒絕該訪問，并記錄下來向系統(tǒng)管理器報告網(wǎng)絡狀態(tài)。5.4.45.4.4 防火墻的部署防火墻的部署 實際上，作為當前防火墻產(chǎn)品的主流趨勢，大多數(shù)代理服務器（也稱應用網(wǎng)關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的，應用網(wǎng)關能提供對協(xié)議的過濾。而且通過代理應用，應用網(wǎng)關能夠有效地避免內部網(wǎng)絡的信息外泄。正是由于應用網(wǎng)關的這些特點，使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用的信息外泄。正是由于應用網(wǎng)關的這些特點，使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體

58、性能的影響上。 那么究竟應該在哪些地方部署防火墻呢？ 首先，應該安裝防火墻的位置是公司內部網(wǎng)絡與外部Internet的接口處，以阻擋來自外部網(wǎng)絡的入侵；其次，如果公司內部網(wǎng)絡規(guī)模較大，并且設置有虛擬局域網(wǎng)（VLAN），則應該在各個VLAN之間設置防火墻；再次，通過公網(wǎng)連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網(wǎng)（VPN）。5.4.55.4.5 防火墻系統(tǒng)的局限性防火墻系統(tǒng)的局限性 防火墻系統(tǒng)存在著如下局限性： 防火墻把外部網(wǎng)絡當成不可信網(wǎng)絡，主要是用來預防來自外部網(wǎng)絡的攻擊。它把內部網(wǎng)絡當成可信任網(wǎng)絡。然而事實證明，50%以上的黑客入侵來自

59、于內部網(wǎng)絡，但是對此防火墻卻無能為力。這此可以把內部網(wǎng)分成多個子網(wǎng)，用內部路由器安裝防火墻的方法以保護一些內部關鍵區(qū)域。這種方法維護成本和設備成本都會很高，同時也容易產(chǎn)生一些安全盲點，但畢竟比不對內部進行安全防范要好。 常常需要有特殊的較為封閉的網(wǎng)絡拓撲結構來支持，對網(wǎng)絡安全功能的加強往往以網(wǎng)絡服務的靈活性、多樣性和開放性為代價。 防火墻系統(tǒng)防范的對象是來自網(wǎng)絡外部的攻擊，而不能防范不經(jīng)由防火墻的攻擊。比如通過SLIP或PPP的撥號攻擊，繞過了防火墻系統(tǒng)而直接撥號進入內部網(wǎng)絡。防火墻系統(tǒng)對這樣的攻擊很難防范。 防火墻只允許來自外部網(wǎng)絡的一些規(guī)則允許的服務通過，這樣反而會抑制一些正常的信息通信，

60、從某種意義上說大大削弱了Internet應用的功能，特別是對電子商務發(fā)展較快的今天，防火墻的作用很容易錯失商機。5.4.65.4.6 病毒、木馬與流氓軟件的防治病毒、木馬與流氓軟件的防治 1、病毒及其防治 計算機病毒具有的特點： （1）破壞性 （2）隱蔽性 （3）潛伏性 （4）傳染性 2、木馬及其防治 木馬是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡控制本地計算機的程序，它的運行遵照TCP/IP協(xié)議，它像間諜一樣潛入用戶的計算機，為其他人的攻擊打開后門。 木馬程序一般由兩部分組成的，分別是Server（服務）端程序和Client（客戶）端程序。其中Server端程序安裝在被控制計