網(wǎng)絡安全和網(wǎng)絡管理技術課件

網(wǎng)絡安全和網(wǎng)絡管理技術2022/12/21網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全和網(wǎng)絡管理技術2022/12/18網(wǎng)絡安全和網(wǎng)絡管理1學習內(nèi)容:網(wǎng)絡安全的重要性及其研究的主要問題。密碼體制的基本概念及應用。防火墻的基本概念。網(wǎng)絡入侵檢測與防攻擊的基本概念與方法。網(wǎng)絡文件備份與恢復的基本方法。網(wǎng)絡病毒防治的基本方法。網(wǎng)絡管理的基本概念與方法。

網(wǎng)絡安全和網(wǎng)絡管理技術學習內(nèi)容:網(wǎng)絡安全的重要性及其研究的主要問題。網(wǎng)絡安全和網(wǎng)絡29.1網(wǎng)絡安全研究的主要問題

網(wǎng)絡安全的重要性非法獲取重要信息，信息欺詐，破壞與網(wǎng)絡攻擊，法律與道德問題；網(wǎng)絡安全涉及到技術、管理與法制環(huán)境等多個方面；網(wǎng)絡安全問題已經(jīng)成為信息化社會的一個焦點問題；每個國家只能立足于本國，研究自己的網(wǎng)絡安全技術，培養(yǎng)自己的專門人才，發(fā)展自己的網(wǎng)絡安全產(chǎn)業(yè)，才能構筑本國的網(wǎng)絡與信息安全防范體系。

網(wǎng)絡安全和網(wǎng)絡管理技術9.1網(wǎng)絡安全研究的主要問題

網(wǎng)絡安全的重要性非法獲取重要3網(wǎng)絡安全技術研究的主要問題

目的：確保信息在網(wǎng)絡環(huán)境中存儲、處理和傳輸安全；網(wǎng)絡防攻擊問題；網(wǎng)絡安全漏洞與對策問題；網(wǎng)絡中的信息安全保密問題；防抵賴問題；

網(wǎng)絡內(nèi)部安全防范問題；網(wǎng)絡防病毒問題；網(wǎng)絡數(shù)據(jù)備份與恢復、災難恢復問題。網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全技術研究的主要問題目的：確保信息在網(wǎng)絡環(huán)境中存儲、41.網(wǎng)絡防攻擊技術服務攻擊（applicationdependentattack）:對網(wǎng)絡提供某種服務的服務器發(fā)起攻擊，造成該網(wǎng)絡的“拒絕服務”，使網(wǎng)絡工作不正常;非服務攻擊（applicationindependentattack）:不針對某項具體應用服務，而是基于網(wǎng)絡層等低層協(xié)議而進行的，使得網(wǎng)絡通信設備工作嚴重阻塞或癱瘓。網(wǎng)絡安全和網(wǎng)絡管理技術1.網(wǎng)絡防攻擊技術服務攻擊（applicationdepe5網(wǎng)絡防攻擊主要問題需要研究的幾個問題網(wǎng)絡可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網(wǎng)絡被攻擊？如何采取相應的網(wǎng)絡安全策略與網(wǎng)絡安全防護體系？解決：加強對網(wǎng)絡系統(tǒng)的管理網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡防攻擊主要問題需要研究的幾個問題網(wǎng)絡可能遭到哪些人的攻擊62.網(wǎng)絡安全漏洞與對策的研究網(wǎng)絡信息系統(tǒng)的運行涉及：計算機硬件與操作系統(tǒng)；網(wǎng)絡硬件與網(wǎng)絡軟件；數(shù)據(jù)庫管理系統(tǒng)；應用軟件；網(wǎng)絡通信協(xié)議。網(wǎng)絡安全漏洞也會表現(xiàn)在以上幾個方面。解決：主動檢測網(wǎng)絡安全漏洞。

網(wǎng)絡安全和網(wǎng)絡管理技術2.網(wǎng)絡安全漏洞與對策的研究網(wǎng)絡信息系統(tǒng)的運行涉及：網(wǎng)絡安全73.網(wǎng)絡中的信息安全問題信息存儲安全如何保證靜態(tài)存儲在連網(wǎng)計算機中的信息不會被未授權的網(wǎng)絡用戶非法使用；信息傳輸安全如何保證信息在網(wǎng)絡傳輸?shù)倪^程中不被泄露與不被攻擊；

網(wǎng)絡安全和網(wǎng)絡管理技術3.網(wǎng)絡中的信息安全問題網(wǎng)絡安全和網(wǎng)絡管理技術8信息傳輸安全問題的四種基本類型網(wǎng)絡安全和網(wǎng)絡管理技術信息傳輸安全問題的四種基本類型網(wǎng)絡安全和網(wǎng)絡管理技術9解決網(wǎng)絡中的信息安全問題的方法加密與解密加密過程明文密文信息源結(jié)點解密過程密文明文信息目的結(jié)點數(shù)據(jù)加密與解密過程網(wǎng)絡安全和網(wǎng)絡管理技術解決網(wǎng)絡中的信息安全問題的方法加密與解密加密過程明文密文信息104.防抵賴問題防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不承認;或者是信息目的結(jié)點用戶接收到信息之后不認賬；通過身份認證、數(shù)字簽名、數(shù)字信封、第三方確認等方法，來確保網(wǎng)絡信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵賴”現(xiàn)象出現(xiàn)。網(wǎng)絡安全和網(wǎng)絡管理技術4.防抵賴問題防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不115.網(wǎng)絡內(nèi)部安全防范網(wǎng)絡內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有意或無意地做出對網(wǎng)絡與信息安全有害的行為；對網(wǎng)絡與信息安全有害的行為包括：

?有意或無意地泄露網(wǎng)絡用戶或網(wǎng)絡管理員口令；

?違反網(wǎng)絡安全規(guī)定，繞過防火墻，私自和外部網(wǎng)絡連接，造成系統(tǒng)安全漏洞；

?違反網(wǎng)絡使用規(guī)定，越權查看、修改和刪除系統(tǒng)文件、應用程序及數(shù)據(jù)；

?違反網(wǎng)絡使用規(guī)定，越權修改網(wǎng)絡系統(tǒng)配置，造成網(wǎng)絡工作不正常；解決來自網(wǎng)絡內(nèi)部的不安全因素必須從技術與管理兩個方面入手。網(wǎng)絡安全和網(wǎng)絡管理技術5.網(wǎng)絡內(nèi)部安全防范網(wǎng)絡內(nèi)部安全防范是防止內(nèi)部具有合法身份的126.網(wǎng)絡防病毒

引導型病毒可執(zhí)行文件病毒宏病毒混合病毒特洛伊木馬型病毒Internet語言病毒

網(wǎng)絡安全和網(wǎng)絡管理技術6.網(wǎng)絡防病毒引導型病毒網(wǎng)絡安全和網(wǎng)絡管理技術13微軟的應對發(fā)布對應的清除工具和清除方法/security發(fā)布新的安全工具中下載相應的補丁程序，為避免流量花費，可在“北大天網(wǎng)”搜索國內(nèi)的FTP下載，如沒有出國帳號可上網(wǎng)查免費出國代理地址，速度可能會慢點。網(wǎng)絡安全和網(wǎng)絡管理技術微軟的應對發(fā)布對應的清除工具和清除方法網(wǎng)絡安全和網(wǎng)絡管理技術14網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全和網(wǎng)絡管理技術15病毒監(jiān)控:網(wǎng)上傳播的大量文件都攜帶有病毒。上網(wǎng)同時最好實時運行病毒檢測程序。下載的軟件在運行之前要先殺一次毒。新病毒不斷出現(xiàn)，病毒庫要經(jīng)常更新。不要打開來歷不明帶附件的電子郵件。網(wǎng)絡安全和網(wǎng)絡管理技術病毒監(jiān)控:網(wǎng)絡安全和網(wǎng)絡管理技術16建議:只裝一個TCP/IP協(xié)議，IPX/SPX和NetBEUI協(xié)議能不裝就不裝。硬盤共享不要設成完全訪問，或共享完后立即停止。收發(fā)E-mail時盡量采用文本形式，避免.doc，.exe附件。不要從ftp站點下載運行不明用途的軟件。不運行端口掃描程序，端口掃描會嚴重影響其它網(wǎng)絡用戶的使用。網(wǎng)絡安全和網(wǎng)絡管理技術建議:網(wǎng)絡安全和網(wǎng)絡管理技術17“紅色代碼”病毒的工作原理

病毒利用IIS的.ida漏洞進入系統(tǒng)并獲得SYSTEM權限

(微軟在2001年6月份已發(fā)布修復程序MS01-033)病毒產(chǎn)生100個新的線程99個線程用于感染其它的服務器第100個線程用于檢查本機,并修改當前首頁在7/20/01時所有被感染的機器回參與對白宮網(wǎng)站的自動攻擊.網(wǎng)絡安全和網(wǎng)絡管理技術“紅色代碼”病毒的工作原理病毒利用IIS的.ida漏洞18尼母達Nimada的工作原理4種不同的傳播方式IE瀏覽器:利用IE的一個安全漏洞

(微軟在2001年3月份已發(fā)布修復程序MS01-020)IIS服務器:和紅色代碼病毒相同,或直接利用它留下的木馬程序.

(微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復程序和解決方案)電子郵件附件:

(已被使用過無數(shù)次的攻擊方式)文件共享:針對所有未做安全限制的共享網(wǎng)絡安全和網(wǎng)絡管理技術尼母達Nimada的工作原理4種不同的傳播方式網(wǎng)絡安全和19特洛伊木馬現(xiàn)在互聯(lián)網(wǎng)上有許多特洛伊木馬程序，像著名的BO、Backdoor、Netbus及國內(nèi)的Netspy等等。嚴格地說，它們屬于（Client/Sever）程序，因為它們往往帶有一個用于駐留在用戶機器上的服務器程序，以及一個用于訪問用戶機器的客戶端程序。所以不要運行來歷不明的程序。網(wǎng)絡安全和網(wǎng)絡管理技術特洛伊木馬網(wǎng)絡安全和網(wǎng)絡管理技術20一、人工備份：如右圖所示，進行備份操作，系統(tǒng)管理員最重要的工作就是做好備份備份網(wǎng)絡安全和網(wǎng)絡管理技術一、人工備份：如右圖所示，進行備份操作，系統(tǒng)管理員最重要的工21二、自動備份：對重要的數(shù)據(jù)要定期備份，比如WEBMAIL上對E盤網(wǎng)站的數(shù)據(jù)每星期備份一次網(wǎng)絡安全和網(wǎng)絡管理技術二、自動備份：對重要的數(shù)據(jù)要定期備份，比如WEBMAIL上對22A、選擇不同的備份向?qū)О凑掌聊坏奶崾具M行操作即可B、還原向?qū)、緊急修復磁盤舉例對E盤的一個文件夾進行備份和恢復網(wǎng)絡安全和網(wǎng)絡管理技術A、選擇不同的備份向?qū)О凑掌聊坏奶崾具M行操作即可網(wǎng)絡安全和網(wǎng)23網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全和網(wǎng)絡管理技術24網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全和網(wǎng)絡管理技術257.網(wǎng)絡數(shù)據(jù)備份與恢復、災難恢復問題如果出現(xiàn)網(wǎng)絡故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復？如果出現(xiàn)網(wǎng)絡因某種原因被損壞，重新購買設備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復？網(wǎng)絡安全和網(wǎng)絡管理技術7.網(wǎng)絡數(shù)據(jù)備份與恢復、災難恢復問題如果出現(xiàn)網(wǎng)絡故障造成數(shù)據(jù)26網(wǎng)絡安全服務與安全標準

網(wǎng)絡安全服務應該提供以下基本的服務功能：數(shù)據(jù)保密（dataconfidentiality）認證（authentication）數(shù)據(jù)完整（dataintegrity）

防抵賴（non-repudiation）

訪問控制（accesscontrol）網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全服務與安全標準

網(wǎng)絡安全服務應該提供以下基本的服務功27網(wǎng)絡安全標準

國內(nèi)：《電子計算機系統(tǒng)安全規(guī)范》，1987年10月《計算機軟件保護條例》，1991年5月《計算機軟件著作權登記辦法》，1992年4月《中華人民共和國計算機信息與系統(tǒng)安全保護條例》，1994年2月《計算機信息系統(tǒng)保密管理暫行規(guī)定》，1998年2月《關于維護互聯(lián)網(wǎng)安全決定》，全國人民代表大會常務委員會通過，2000年12月網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全標準國內(nèi)：網(wǎng)絡安全和網(wǎng)絡管理技術28國外：可信計算機系統(tǒng)評估準則TC-SEC-NCSC是1983年公布的，1985年公布了可信網(wǎng)絡說明（TNI）；可信計算機系統(tǒng)評估準則將計算機系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。網(wǎng)絡安全和網(wǎng)絡管理技術國外：網(wǎng)絡安全和網(wǎng)絡管理技術299.2加密與認證技術

密碼算法與密碼體制的基本概念

密碼體制是指一個系統(tǒng)所采用的基本工作方式以及它的兩個基本構成要素，即加密/解密算法和密鑰；傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對稱密碼體制；如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制；網(wǎng)絡安全和網(wǎng)絡管理技術9.2加密與認證技術

密碼算法與密碼體制的基本概念密30密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數(shù)學函數(shù)關系；在設計加密系統(tǒng)時，加密算法是可以公開的，真正需要保密的是密鑰。網(wǎng)絡安全和網(wǎng)絡管理技術密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學的角度來看，改變了31什么是密碼

密碼是含有一個參數(shù)k的數(shù)學變換，即

C=Ek（m）m是未加密的信息（明文），C是加密后的信息（密文），E是加密算法，參數(shù)k稱為密鑰加密算法可以公開，而密鑰只能由通信雙方來掌握。網(wǎng)絡安全和網(wǎng)絡管理技術什么是密碼密碼是含有一個參數(shù)k的數(shù)學變換，即網(wǎng)絡安全和網(wǎng)絡32密鑰長度密鑰長度與密鑰個數(shù)密鑰長度（位）組合個數(shù)40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×1038密鑰的位數(shù)越長，破譯的困難也越大，安全性也越好。網(wǎng)絡安全和網(wǎng)絡管理技術密鑰長度密鑰長度與密鑰個數(shù)密鑰長度（位）組合個數(shù)40240=33對稱密鑰密碼體系

對稱加密的特點

密鑰在通信中要嚴格保密，如何安全傳遞密鑰？密鑰管理？網(wǎng)絡安全和網(wǎng)絡管理技術對稱密鑰密碼體系對稱加密的特點密鑰在通信中要嚴格保密，如34典型對稱加密算法

數(shù)據(jù)加密標準（dataencryptionstandard,DES）是典型的對稱加密算法，由IBM公司提出，經(jīng)過ISO認證；目前廣泛應用育銀行業(yè)中的電子資金轉(zhuǎn)帳領域；64位密鑰長度，其中8位用于奇偶校驗，用戶使用其余的56位，不是非常安全；其它一些對稱加密算法：IDEA算法，RC2算法、RC4算法與Skipjack算法等。網(wǎng)絡安全和網(wǎng)絡管理技術典型對稱加密算法數(shù)據(jù)加密標準（dataencryptio35非對稱密鑰密碼體系

非對稱密鑰密碼體系的特點加密的公鑰可以公開，而解密的私鑰必須保密，網(wǎng)絡安全和網(wǎng)絡管理技術非對稱密鑰密碼體系非對稱密鑰密碼體系的特點加密的公鑰可以公36非對稱加密的標準

公鑰和私鑰數(shù)學相關，成對出現(xiàn)，但是不能通過公鑰計算出私鑰；可以解決身份認證和防抵賴問題；和對稱加密算法相比，簡化了密鑰的數(shù)目；公鑰加密技術的缺點：加密算法法雜，加密和解密的速度慢；RSA體制被認為是目前為止理論上最為成熟的一種公鑰密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認證等方面；Elgamal公鑰體制是一種基于離散對數(shù)的公鑰密碼體制，密文依賴于隨機數(shù)，又稱概率加密體制；目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie－Hellman密鑰交換、數(shù)據(jù)簽名標準DSS、橢圓曲線密碼等。網(wǎng)絡安全和網(wǎng)絡管理技術非對稱加密的標準公鑰和私鑰數(shù)學相關，成對出現(xiàn)，但是不能通過37數(shù)字信封技術

數(shù)字信封技術的工作原理發(fā)送數(shù)據(jù)：對稱加密算法對稱加密的密鑰：非對稱加密算法網(wǎng)絡安全和網(wǎng)絡管理技術數(shù)字信封技術數(shù)字信封技術的工作原理發(fā)送數(shù)據(jù)：對稱加密的密鑰38數(shù)字簽名技術

確定發(fā)送人身份，防抵賴網(wǎng)絡安全和網(wǎng)絡管理技術數(shù)字簽名技術確定發(fā)送人身份，防抵賴網(wǎng)絡安全和網(wǎng)絡管理技術39身份認證技術的發(fā)展

身份認證可以通過3種基本途徑之一或它們的組合實現(xiàn)：所知:個人所掌握的密碼、口令；所有:個人身份證、護照、信用卡、鑰匙；個人特征:人的指紋、聲紋、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個人動作方面的特征；新的、廣義的生物統(tǒng)計學是利用個人所特有的生理特征來設計的；生物統(tǒng)計學與網(wǎng)絡安全、身份認證結(jié)合起來是目前網(wǎng)絡安全研究中的一個重要課題。網(wǎng)絡安全和網(wǎng)絡管理技術身份認證技術的發(fā)展身份認證可以通過3種基本途徑之一或它們的409.3防火墻技術

防火墻的基本概念防火墻是在網(wǎng)絡之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件；設置防火墻的目的是保護內(nèi)部網(wǎng)絡資源不被外部非授權用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。

網(wǎng)絡安全和網(wǎng)絡管理技術9.3防火墻技術

防火墻的基本概念防火墻是在網(wǎng)絡之間執(zhí)41防火墻通過檢查所有進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網(wǎng)絡安全構成威脅，為內(nèi)部網(wǎng)絡建立安全邊界；構成防火墻系統(tǒng)的兩個基本部件是包過濾路由器和應用級網(wǎng)關；最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統(tǒng)由包過濾路由器和應用級網(wǎng)關組合而成；由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構也有多種形式。網(wǎng)絡安全和網(wǎng)絡管理技術防火墻通過檢查所有進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，42包過濾路由器

包過濾路由器的結(jié)構

網(wǎng)絡安全和網(wǎng)絡管理技術包過濾路由器包過濾路由器的結(jié)構網(wǎng)絡安全和網(wǎng)絡管理技術43路由器按照系統(tǒng)內(nèi)部設置的分組過濾規(guī)則（即訪問控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應該轉(zhuǎn)發(fā)；包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。例如，對于TCP報頭信息可以是：?源IP地址；

?目的IP地址；?協(xié)議類型；

?IP選項內(nèi)容；

?源TCP端口號；

?目的TCP端口號；

?TCPACK標識。

網(wǎng)絡安全和網(wǎng)絡管理技術路由器按照系統(tǒng)內(nèi)部設置的分組過濾規(guī)則（即訪問控制表），檢查每44包過濾的工作流程關鍵：制定包過濾規(guī)則網(wǎng)絡安全和網(wǎng)絡管理技術包過濾的工作流程關鍵：制定包過濾規(guī)則網(wǎng)絡安全和網(wǎng)絡管理技術45包過濾路由器作為防火墻的結(jié)構

網(wǎng)絡安全和網(wǎng)絡管理技術包過濾路由器作為防火墻的結(jié)構網(wǎng)絡安全和網(wǎng)絡管理技術46假設網(wǎng)絡安全策略規(guī)定：內(nèi)部網(wǎng)絡的E-mail服務器（IP地址為，TCP端口號為25）可以接收來自外部網(wǎng)絡用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡用戶傳送到與外部電子郵件服務器的電子郵件；拒絕所有與外部網(wǎng)絡中名字為TESTHOST主機的連接。

網(wǎng)絡安全和網(wǎng)絡管理技術假設網(wǎng)絡安全策略規(guī)定：網(wǎng)絡安全和網(wǎng)絡管理技術47包過濾規(guī)則表

包過濾在網(wǎng)絡層、傳輸層對進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包進行監(jiān)控，但是網(wǎng)絡用戶對網(wǎng)絡資源和服務的訪問發(fā)生在應用層，必須在應用層對用戶身份認證和訪問操作分類檢查和過濾，這個功能是由應用級網(wǎng)關完成的。網(wǎng)絡安全和網(wǎng)絡管理技術包過濾規(guī)則表包過濾在網(wǎng)絡層、傳輸層對進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包進489.3.3應用級網(wǎng)關的概念

多歸屬主機（網(wǎng)關）：多個網(wǎng)絡接口卡

典型的多歸屬主機結(jié)構

網(wǎng)絡安全和網(wǎng)絡管理技術9.3.3應用級網(wǎng)關的概念多歸屬主機（網(wǎng)關）：多個網(wǎng)絡49應用級網(wǎng)關雙歸屬主機可以用于網(wǎng)絡安全與網(wǎng)絡服務的代理在應用層過濾進出內(nèi)部網(wǎng)絡特定服務的用戶請求與響應網(wǎng)絡安全和網(wǎng)絡管理技術應用級網(wǎng)關雙歸屬主機可以用于網(wǎng)絡安全與網(wǎng)絡服務的代理在應用層50應用代理應用級網(wǎng)關：在應用層“轉(zhuǎn)發(fā)”合法的應用請求應用代理：隔離了用戶主機與被訪問服務器之間的數(shù)據(jù)包交換通道網(wǎng)絡安全和網(wǎng)絡管理技術應用代理應用級網(wǎng)關：在應用層“轉(zhuǎn)發(fā)”合法的應用請求網(wǎng)絡安全和51一、代理服務器的工作機制

代理服務器的使用ABC二、代理服務器存在的理由

1、局域局內(nèi)沒有與外網(wǎng)相連的機器通過內(nèi)網(wǎng)的代理服務器連接到

外網(wǎng)2、為了獲得更大的速度，通過頻寬較大的proxy與目標主機連接3、同一地區(qū)未互聯(lián)的不同網(wǎng)絡通過代理建立連接4、可以免費訪問因特網(wǎng)

網(wǎng)絡安全和網(wǎng)絡管理技術一、代理服務器的工作機制

代理服務器的使用ABC二、代理服52三、誰架設了代理服務器1、是大型機關、企業(yè)事業(yè)、教育機構2、ISP

四、局域網(wǎng)連接共享實現(xiàn)代理(配置最簡單)19414141網(wǎng)絡安全和網(wǎng)絡管理技術三、誰架設了代理服務器四、局域網(wǎng)連接共享實現(xiàn)代理(配置最53WinRoute共享代理上網(wǎng)詳解（網(wǎng)上有更詳細的幫助文件）㈠主要功能1、DNS緩存和轉(zhuǎn)發(fā)DNS域名查詢信息2、可以端口映射實現(xiàn)反向代理功能，讓外部訪問受NAT保護的內(nèi)部

網(wǎng)絡所提供的一些功能網(wǎng)絡安全和網(wǎng)絡管理技術WinRoute共享代理上網(wǎng)詳解（網(wǎng)上有更詳細的幫助文件）543、它具有路由器的尋徑功能，讓局域網(wǎng)里的多臺計算機使用同一

個IP地址訪問因特網(wǎng)，還能自動保護內(nèi)部網(wǎng)絡不受到外部的攻擊4、該軟件支持基于IP地址的過濾和限制，提供限制可訪問的URL

的安全功能５、利用該軟件提供的DHCP服務器功能，可以動態(tài)分配局域網(wǎng)上

的計算機的TCP/IP地址。６、為保證安全，用戶可以通過該軟件定義一個過濾規(guī)則，對經(jīng)

過代理服務器的數(shù)據(jù)信息進行過濾７、它能提供代理服務器功能，并且可以設置緩存這樣就可以大

幅度提高游覽的速度。(這個功能是非常有用的)８、它還可以作為電子郵件服務器來使用，利用它來接受和發(fā)送

電子郵件。（基本不用）

網(wǎng)絡安全和網(wǎng)絡管理技術3、它具有路由器的尋徑功能，讓局域網(wǎng)里的多臺計算機使用同一

55㈡winroute的安裝1、安裝前：在安裝WinRoute4.1代理服務器軟件之前，必須要求所在的機器應既能連接到因特網(wǎng)又能被局域網(wǎng)內(nèi)的機器訪問2、安裝：到站點下載后，雙擊“wrp41en.exe”進行安裝，安裝完后不要重新啟動網(wǎng)絡安全和網(wǎng)絡管理技術㈡winroute的安裝網(wǎng)絡安全和網(wǎng)絡管理技術563、漢化：雙擊“HBC-WinRoutePro4127-Ronnier.exe”彈出如下窗

口，選擇winroute的安裝路徑，漢化成中文，重新啟動即可使用4、初始化設置：右鍵點擊任務欄上的winroute圖標，選啟動參數(shù)

設置，彈出如下如圖所示的窗口，點選所需的選項網(wǎng)絡安全和網(wǎng)絡管理技術3、漢化：雙擊“HBC-WinRoutePro4127-Ro57㈢參數(shù)設置1、登錄：右鍵點擊任務欄上的winroute圖標，選winroute管理，彈

出如左圖所示的界面，新安裝的winroute4。1的admin用戶密碼是

沒有你可以直接按確定就可以了。

2、改變管理員密碼：單擊“設置”——賬號，在右圖所示的窗口中

點擊“編輯”按鈕，改變Admin的密碼網(wǎng)絡安全和網(wǎng)絡管理技術㈢參數(shù)設置2、改變管理員密碼：單擊“設置”——賬號，在右圖所583、撥號設置：因現(xiàn)在基本是寬帶，用時可參考教材4、雙網(wǎng)卡設置：在網(wǎng)絡屬性中對兩塊網(wǎng)卡的Tcp/ip屬性進行設置網(wǎng)卡1：ip地址6 掩碼： 網(wǎng)關： Dns:6 網(wǎng)卡1直接與internet相連網(wǎng)卡2：ip地址 掩碼： 網(wǎng)關：空 Dns:6 網(wǎng)卡2與內(nèi)部局域網(wǎng)相連網(wǎng)絡安全和網(wǎng)絡管理技術3、撥號設置：因現(xiàn)在基本是寬帶，用時可參考教材網(wǎng)絡安全和網(wǎng)絡595、接口表設置：設置——接口表，如左圖所示，為了啟用地址

轉(zhuǎn)換功能，需打開連接外網(wǎng)網(wǎng)卡的NAT功能。選中下面的網(wǎng)卡，

點屬性，彈出右圖，選中上面的復選框。是否對本機進行特殊處理網(wǎng)絡安全和網(wǎng)絡管理技術5、接口表設置：設置——接口表，如左圖所示，為了啟用地址

轉(zhuǎn)606、代理服務器設置：設置——代理服務器本機的代理端口本機上一級代理的IP地址和

端口網(wǎng)絡安全和網(wǎng)絡管理技術6、代理服務器設置：設置——代理服務器本機的代理端口本機上一61在訪問界面中可設置使用代理的情況下，限制用戶對外網(wǎng)的訪問

比如：所有用戶都可訪問*.*. 只有imacbl和yyyhan可以訪問*.*網(wǎng)址網(wǎng)絡安全和網(wǎng)絡管理技術在訪問界面中可設置使用代理的情況下，限制用戶對外網(wǎng)的訪問

比627、DHCP服務器設置：設置——DHCP服務器，彈出左圖所示窗口，查看已有的租用，可點擊“新建范圍”彈出右圖所示窗口，添加新的租用范圍：比如：添加IP：----54 掩碼： DNS:6 網(wǎng)關：(連接局域網(wǎng)網(wǎng)卡的IP地址)網(wǎng)絡安全和網(wǎng)絡管理技術7、DHCP服務器設置：設置——DHCP服務器，彈出左圖所示63在上頁左圖中點擊“添加租用”，可彈出下圖，可以為一些機器保留固定的IP地址在上頁左圖中點擊“編輯”，可對已有的一此設置進行修改網(wǎng)絡安全和網(wǎng)絡管理技術在上頁左圖中點擊“添加租用”，可彈出下圖，可以為一些機器保留648、DNS服務器設置——DNS服務器，啟用DNS轉(zhuǎn)發(fā)網(wǎng)絡安全和網(wǎng)絡管理技術8、DNS服務器網(wǎng)絡安全和網(wǎng)絡管理技術65㈣winroute的高級設置1、數(shù)據(jù)包過濾器：如圖所示打開數(shù)據(jù)包過濾器網(wǎng)絡安全和網(wǎng)絡管理技術㈣winroute的高級設置網(wǎng)絡安全和網(wǎng)絡管理技術66數(shù)據(jù)包過濾器配置舉例，如下的配置將強制除之外的

所有局域網(wǎng)計算機必須通過代理對外界的WEB服務器進行訪問

可直接對外

進行訪問6

可直接對外進行

訪問所有的計算機不允許對外界的80端口（即WEB）進行訪問選擇對內(nèi)的網(wǎng)卡進行配置網(wǎng)絡安全和網(wǎng)絡管理技術數(shù)據(jù)包過濾器配置舉例，如下的配置將強制除672、端口映射：對249.16的web訪問轉(zhuǎn)向

內(nèi)網(wǎng)中對代理機器FTP的訪問轉(zhuǎn)向

內(nèi)網(wǎng)中對249.17的web訪問轉(zhuǎn)向

內(nèi)網(wǎng)中類似上述描述：3389端口為WIN2K的終端服務4899端口為下節(jié)課要講的遠程控制軟件所用44333為WINROUTE的遠程管理所用端口網(wǎng)絡安全和網(wǎng)絡管理技術2、端口映射：對249.16的web訪問轉(zhuǎn)向

內(nèi)網(wǎng)中10.1683、遠程管理:A、設置——高級——遠程管理，如圖1B、設置——高級——端口映射，如圖2C、將WrAdmin.exe文件拷貝到遠程要管理的計算機上，執(zhí)行后，再圖3的winroute主機處輸入被管理的Winroute主機IP地址選中這一條必須加上網(wǎng)絡安全和網(wǎng)絡管理技術3、遠程管理:選中這一條必須加上網(wǎng)絡安全和網(wǎng)絡管理技術69防火墻的系統(tǒng)結(jié)構

堡壘主機的概念

一個雙歸屬主機作為應用級網(wǎng)關可以起到防火墻作用；處于防火墻關鍵部位、運行應用級網(wǎng)關軟件的計算機系統(tǒng)叫做堡壘主機。需要注意的問題可靠的操作系統(tǒng)；刪除不必要的服務和應用軟件，保留必需的服務；安裝代理軟件；配置資源保護、用戶身份鑒別與訪問控制，設置審計與日志功能；設計堡壘主機防攻擊方法，以及破壞后的應急方案。網(wǎng)絡安全和網(wǎng)絡管理技術防火墻的系統(tǒng)結(jié)構堡壘主機的概念網(wǎng)絡安全和網(wǎng)絡管理技術70典型防火墻系統(tǒng)系統(tǒng)結(jié)構分析

采用一個過濾路由器與一個堡壘主機組成的S-B1防火墻系統(tǒng)結(jié)構網(wǎng)絡安全和網(wǎng)絡管理技術典型防火墻系統(tǒng)系統(tǒng)結(jié)構分析采用一個過濾路由器與一個堡壘主機71包過濾路由器的轉(zhuǎn)發(fā)過程網(wǎng)絡安全和網(wǎng)絡管理技術包過濾路由器的轉(zhuǎn)發(fā)過程網(wǎng)絡安全和網(wǎng)絡管理技術72S-B1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程

網(wǎng)絡安全和網(wǎng)絡管理技術S-B1配置的防火墻系統(tǒng)中數(shù)據(jù)傳輸過程網(wǎng)絡安全和網(wǎng)絡管理技73采用多級結(jié)構的防火墻系統(tǒng)（

S-B1-S-B1配置）結(jié)構示意圖安全緩沖區(qū)（非軍事區(qū)）網(wǎng)絡安全和網(wǎng)絡管理技術采用多級結(jié)構的防火墻系統(tǒng)（S-B1-S-B1配置）結(jié)構示意749.4網(wǎng)絡防攻擊與入侵檢測技術

網(wǎng)絡攻擊方法分析

目前黑客攻擊大致可以分為8種基本的類型：

入侵系統(tǒng)類攻擊；緩沖區(qū)溢出攻擊；欺騙類攻擊；拒絕服務攻擊；對防火墻的攻擊；利用病毒攻擊；木馬程序攻擊；后門攻擊。網(wǎng)絡安全和網(wǎng)絡管理技術9.4網(wǎng)絡防攻擊與入侵檢測技術

網(wǎng)絡攻擊方法分析目前75入侵檢測的基本概念入侵檢測系統(tǒng)是對計算機和網(wǎng)絡資源的惡意使用行為進行識別的系統(tǒng)；它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權行為，并且采取相應的防護手段。網(wǎng)絡安全和網(wǎng)絡管理技術入侵檢測的基本概念入侵檢測系統(tǒng)是對計算機和網(wǎng)絡資源的惡意使用76入侵檢測系統(tǒng)IDS的基本功能：監(jiān)控、分析用戶和系統(tǒng)的行為；檢查系統(tǒng)的配置和漏洞；評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡管理人員報警；

對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權的用戶活動。網(wǎng)絡安全和網(wǎng)絡管理技術入侵檢測系統(tǒng)IDS的基本功能：網(wǎng)絡安全和網(wǎng)絡管理技術77入侵檢測系統(tǒng)框架結(jié)構網(wǎng)絡安全和網(wǎng)絡管理技術入侵檢測系統(tǒng)框架結(jié)構網(wǎng)絡安全和網(wǎng)絡管理技術78入侵檢測的基本方法

對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能；入侵檢測系統(tǒng)按照所采用的檢測技術可以分為：

?異常檢測?誤用檢測

?兩種方式的結(jié)合網(wǎng)絡安全和網(wǎng)絡管理技術入侵檢測的基本方法對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略799.5網(wǎng)絡文件備份與恢復技術

網(wǎng)絡文件備份與恢復的重要性網(wǎng)絡數(shù)據(jù)可以進行歸檔與備份；歸檔是指在一種特殊介質(zhì)上進行永久性存儲；網(wǎng)絡數(shù)據(jù)備份是一項基本的網(wǎng)絡維護工作；備份數(shù)據(jù)用于網(wǎng)絡系統(tǒng)的恢復。網(wǎng)絡安全和網(wǎng)絡管理技術9.5網(wǎng)絡文件備份與恢復技術

網(wǎng)絡文件備份與恢復的重要性80網(wǎng)絡文件備份的基本方法

選擇備份設備選擇備份程序建立備份制度

在考慮備份方法時需要注意的問題：如果系統(tǒng)遭到破壞需要多長時間才能恢復？

怎樣備份才可能在恢復系統(tǒng)時數(shù)據(jù)損失最少？

網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡文件備份的基本方法選擇備份設備網(wǎng)絡安全和網(wǎng)絡管理技術819.6網(wǎng)絡防病毒技術

造成網(wǎng)絡感染病毒的主要原因70%的病毒發(fā)生在網(wǎng)絡上；將用戶家庭微型機軟盤帶到網(wǎng)絡上運行而使網(wǎng)絡感染上病毒的事件約占41%左右；從網(wǎng)絡電子廣告牌上帶來的病毒約占7%；從軟件商的演示盤中帶來的病毒約占6%；從系統(tǒng)維護盤中帶來的病毒約占6%；從公司之間交換的軟盤帶來的病毒約占2%；其他未知因素約占27%；從統(tǒng)計數(shù)據(jù)中可以看出，引起網(wǎng)絡病毒感染的主要原因在于網(wǎng)絡用戶自身。網(wǎng)絡安全和網(wǎng)絡管理技術9.6網(wǎng)絡防病毒技術

造成網(wǎng)絡感染病毒的主要原因70%82網(wǎng)絡病毒的危害

網(wǎng)絡病毒感染一般是從用戶工作站開始的，而網(wǎng)絡服務器是病毒潛在的攻擊目標，也是網(wǎng)絡病毒潛藏的重要場所；網(wǎng)絡服務器在網(wǎng)絡病毒事件中起著兩種作用：它可能被感染，造成服務器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒；網(wǎng)絡病毒的傳染與發(fā)作過程與單機基本相同，它將本身拷貝覆蓋在宿主程序上；當宿主程序執(zhí)行時，病毒也被啟動，然后再繼續(xù)傳染給其他程序。如果病毒不發(fā)作，宿主程序還能照常運行；當符合某種條件時，病毒便會發(fā)作，它將破壞程序與數(shù)據(jù)。網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡病毒的危害網(wǎng)絡病毒感染一般是從用戶工作站開始的，而網(wǎng)絡83典型網(wǎng)絡防病毒軟件的應用

網(wǎng)絡防病毒可以從以下兩方面入手：一是工作站，二是服務器；網(wǎng)絡防病毒軟件的基本功能是：對文件服務器和工作站進行查毒掃描、檢查、隔離、報警，當發(fā)現(xiàn)病毒時，由網(wǎng)絡管理員負責清除病毒；網(wǎng)絡防病毒軟件一般允許用戶設置三種掃描方式：實時掃描、預置掃描與人工掃描；一個完整的網(wǎng)絡防病毒系統(tǒng)通常由以下幾個部分組成：客戶端防毒軟件、服務器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。

網(wǎng)絡安全和網(wǎng)絡管理技術典型網(wǎng)絡防病毒軟件的應用網(wǎng)絡防病毒可以從以下兩方面入手：一84網(wǎng)絡工作站防病毒方法

采用無盤工作站使用單機防病毒卡

使用網(wǎng)絡防病毒卡網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡工作站防病毒方法采用無盤工作站網(wǎng)絡安全和網(wǎng)絡管理技術85網(wǎng)絡防病毒建議1、關于病毒的十誡2、合理設置殺毒軟件3、合理設置電子郵件工具4、合理設置瀏覽器的安全級別5、慎重對待郵件附件6、不要隨便點擊不明鏈接7、不要隨意接收文件8、盡量從大型的專業(yè)網(wǎng)站下載軟件9、設置始終顯示文件的擴展名10、及時升級郵件程序和操作系統(tǒng)11、啟用網(wǎng)絡防火墻網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡防病毒建議1、關于病毒的十誡網(wǎng)絡安全和網(wǎng)絡管理技術861、關于病毒的十誡(1)對于從因特網(wǎng)上下載的可執(zhí)行文件和WORD／EXECEL文件一定要非常小心，在打開這些東西之前一定要進行非常仔細的檢查。不要相信任何人發(fā)來的郵件，即使是來自你的朋友，即使郵件的主題是“我愛你”，因為你的朋友很可能已經(jīng)被病毒感染，打開郵件的附件之前一定要三思而后行。網(wǎng)絡安全和網(wǎng)絡管理技術1、關于病毒的十誡(1)對于從因特網(wǎng)上下載的可執(zhí)行文件和WO87關于病毒的十誡（2）局域網(wǎng)的管理員應該特別注意的是，將所有共享目錄的可執(zhí)行文件設置成只讀文件，限制普通權限的用戶對這些目錄的文件擁有寫權限。在運行新的軟件之前一定要使用反病毒軟件進行仔細的檢測，最好在一臺和局域網(wǎng)隔離的電腦上首先安裝和運行新的軟件以防止出現(xiàn)病毒或其他對局域網(wǎng)的破壞。最好是購買正版的軟件，不要購買盜版軟件，特別是那種將多個正版軟件放在一張光盤上的所謂合集軟件。在網(wǎng)上下載軟件使用時一定要小心，到有大量用戶的知名站點下載，這樣下載的軟件中包括病毒的可能性相對要小一些。網(wǎng)絡安全和網(wǎng)絡管理技術關于病毒的十誡（2）局域網(wǎng)的管理員應該特別注意的是，將所有共88關于病毒的十誡（3）在任何時候都不要禁止你的病毒防火墻，如果病毒防火墻和你要使用的軟件有沖突，那么使用另外一種病毒防火墻代替它。定期備份你的數(shù)據(jù)，這是最重要的防患于未然的方法，在發(fā)生病毒感染時，備份你的數(shù)據(jù)可以最大限度的減小你的損失。網(wǎng)絡安全和網(wǎng)絡管理技術關于病毒的十誡（3）在任何時候都不要禁止你的病毒防火墻，如果89關于病毒的十誡（4）將你的電腦的引導順序設置為“C：A：”，這樣可以防止軟盤中的引導病毒感染你的硬盤。發(fā)現(xiàn)機器有異常表現(xiàn)，立即關機，然后進行殺毒處理。如果沒有殺毒軟件，可在備份了數(shù)據(jù)之后重新安裝軟件，注意一定要使用一張確信沒有病毒的引導磁盤來引導機器之后在安裝軟件。網(wǎng)絡安全和網(wǎng)絡管理技術關于病毒的十誡（4）將你的電腦的引導順序設置為“C：A：”，90關于病毒的十誡（5）及時升級你的殺毒軟件，一周一次的升級頻率已經(jīng)無法滿足需要，或許具有主動才病毒代碼發(fā)送的升級方式是你的選擇。不要過于相信廠商的宣傳，發(fā)現(xiàn)最多病毒的軟件不一定是最好的軟件，掌握足夠的病毒知識，擁有自己的判斷才能真正保護自己的電腦安全。網(wǎng)絡安全和網(wǎng)絡管理技術關于病毒的十誡（5）及時升級你的殺毒軟件，一周一次的升級頻率912、合理設置殺毒軟件如果安裝的殺毒軟件具備掃描電子郵件的功能，比如瑞星的“POP3掃描”，“注冊表監(jiān)控”，盡量將這些功能全部打開，其它的殺毒軟件也必須打開類似的網(wǎng)絡過濾掃描功能。另外，現(xiàn)在的病毒發(fā)展速度越來越快，通過網(wǎng)絡傳播的時間越來越短，因此必須及時升級更新殺毒軟件的病毒庫和掃描引擎。

網(wǎng)絡安全和網(wǎng)絡管理技術2、合理設置殺毒軟件如果安裝的殺毒軟件具備掃描電子郵件的功能923、合理設置電子郵件工具如果是使用OutlookExpress作為郵件的收發(fā)程序，為了盡量避免郵件病毒的威脅，建議在“選項”中的“發(fā)送”設置中，選擇使用“純文本”格式發(fā)送電子郵件，要知道，現(xiàn)在大部分流行的郵件收發(fā)工具都支持以HTML方式撰寫新郵件，而使用“純文本”格式發(fā)送郵件，不但可以有效防止無意中被植入惡意的HTML代碼，同時也可以減少郵件體積，加快發(fā)送速度。網(wǎng)絡安全和網(wǎng)絡管理技術3、合理設置電子郵件工具如果是使用OutlookExpre934、合理設置瀏覽器的安全級別在控制面板中的“Internet選項”中，進行合理的“安全”設置，不要隨意降低安全級別，以減少來自惡意代碼和ActiveX控件的威脅，在系統(tǒng)推薦的默認設置級別“中”的基礎上，點擊“自定義級別”按鈕，可以進一步進行更嚴格的設置，建議嘗試著每次只更改一兩個項目，如果導致不能正常上網(wǎng)，或者上網(wǎng)不方便了，則適當?shù)亟档桶踩O置，多試幾次直到找到適合自己的最佳安全設置組合。網(wǎng)絡安全和網(wǎng)絡管理技術4、合理設置瀏覽器的安全級別在控制面板中的“Internet945、慎重對待郵件附件如果收到郵件附件中有可執(zhí)行文件（如.EXE、.COM等）或者帶有“宏”的文檔（.doc等），不要直接打開，最好先用“另存為”把文件保存到磁盤上，然后用殺毒軟件查殺一遍，確認沒有病毒后再打開。不要打開擴展名為VBS、SHS或者PIF的附件，因為這類文件幾乎不會作為正常的附件發(fā)送，卻經(jīng)常地被病毒或蠕蟲所利用。另外，絕對不要打開帶有雙擴展名的附件，如“.BMP.EXE”或者“.TXT.VBS”等。網(wǎng)絡安全和網(wǎng)絡管理技術5、慎重對待郵件附件如果收到郵件附件中有可執(zhí)行文件（如.EX956、不要隨便點擊不明鏈接如果收到不明郵件，一定不要隨便點擊其中的鏈接，防止其帶有惡意代碼，同樣我們在上網(wǎng)的時候，也不要經(jīng)不住一些無聊話語的誘惑，隨便輕意點擊一些無名小站的不明鏈接，因為它們經(jīng)常被用來引誘用戶去執(zhí)行該文件。網(wǎng)絡安全和網(wǎng)絡管理技術6、不要隨便點擊不明鏈接如果收到不明郵件，一定不要隨便點擊其967、不要隨意接收文件除非對方是你絕對信得過的朋友，且已經(jīng)約定好了要發(fā)送文件，否則，不要隨意接收從在線聊天系統(tǒng)（Oicq、IRC等）發(fā)送過來的文件，無論對方用什么樣的花言巧語也不要輕易上當。網(wǎng)絡安全和網(wǎng)絡管理技術7、不要隨意接收文件除非對方是你絕對信得過的朋友，且已經(jīng)約定978、盡量從大型的專業(yè)網(wǎng)站下載軟件一些BBS或者公共新聞組常常是病毒制造者發(fā)布新病毒的地方，盡量不要從這些地方下載軟件，要下載軟件的話，到大家都比較熟悉的專業(yè)網(wǎng)站進行下載，有效保證下載軟件的安全。網(wǎng)絡安全和網(wǎng)絡管理技術8、盡量從大型的專業(yè)網(wǎng)站下載軟件一些BBS或者公共新聞組常常989、設置始終顯示文件的擴展名在資源管理器中，選擇“工具”|“文件夾選項”|“查看”，去掉“隱藏已知文件類型的擴展名”前的對號，這樣就可以使那些想偽裝成正常文件的病毒文件原形畢露，發(fā)現(xiàn)有什么異常擴展名的文件，應該禁止使用或者直接刪除。網(wǎng)絡安全和網(wǎng)絡管理技術9、設置始終顯示文件的擴展名在資源管理器中，選擇“工具”|“9910、及時升級郵件程序和操作系統(tǒng)大多數(shù)的蠕蟲類病毒是通過MicrosoftOutlook或OutlookExpress進行傳播的，如果你用的正是Outlook，建議最好到微軟站點下載最新的安全補丁，以便有效地提升系統(tǒng)的安全性。必要時可以使用第三方郵件程序取代OutlookExpress，如Foxmail、TheBat!等，由于它們的地址薄與OutlookExpress不同，所以被病毒利用的可能性比較小。網(wǎng)絡安全和網(wǎng)絡管理技術10、及時升級郵件程序和操作系統(tǒng)大多數(shù)的蠕蟲類病毒是通過Mi1009.7網(wǎng)絡管理技術

網(wǎng)絡管理的基本概念網(wǎng)絡管理涉及以下三個方面：網(wǎng)絡服務提供是指向用戶提供新的服務類型、增加網(wǎng)絡設備、提高網(wǎng)絡性能；網(wǎng)絡維護是指網(wǎng)絡性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復；網(wǎng)絡處理是指網(wǎng)絡線路、設備利用率數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡利用率的各種控制。

網(wǎng)絡安全和網(wǎng)絡管理技術9.7網(wǎng)絡管理技術

網(wǎng)絡管理的基本概念網(wǎng)絡管理涉及以下101OSI管理功能域

配置管理（configurationmanagement）故障管理（faultmanagement）

性能管理（performancemanagement）

安全管理（securitymanagement）記賬管理（accountingmanagement）網(wǎng)絡安全和網(wǎng)絡管理技術OSI管理功能域配置管理（configurationma102簡單網(wǎng)絡管理協(xié)議SNMP

Internet網(wǎng)絡管理模型

網(wǎng)絡安全和網(wǎng)絡管理技術簡單網(wǎng)絡管理協(xié)議SNMPInternet網(wǎng)絡管理模型網(wǎng)絡103簡單網(wǎng)絡管理協(xié)議SNMP

網(wǎng)絡安全和網(wǎng)絡管理技術簡單網(wǎng)絡管理協(xié)議SNMP網(wǎng)絡安全和網(wǎng)絡管理技術104小結(jié)要使網(wǎng)絡有序、安全的運行，必須加強網(wǎng)絡使用方法、網(wǎng)絡安全技術與道德教育，完善網(wǎng)絡管理，研究與開發(fā)新的網(wǎng)絡安全技術與產(chǎn)品；網(wǎng)絡安全技術研究基本問題包括：網(wǎng)絡防攻擊、網(wǎng)絡安全漏洞與對策、網(wǎng)絡中的信息安全保密、網(wǎng)絡內(nèi)部安全防范、網(wǎng)絡防病毒、網(wǎng)絡數(shù)據(jù)備份與災難恢復；網(wǎng)絡安全服務應該提供保密性、認證、數(shù)據(jù)完整性、防抵賴與訪問控制服務；密碼學包括密碼編碼學與密碼分析學，密碼體制由兩個基本構成要素：加密/解密算法和密鑰，加密技術可以分為對稱加密與非對稱加密，密碼體制的關鍵問題是密鑰管理.網(wǎng)絡安全和網(wǎng)絡管理技術小結(jié)要使網(wǎng)絡有序、安全的運行，必須加強網(wǎng)絡使用方法、網(wǎng)絡安全105防火墻是根據(jù)一定的安全規(guī)定來檢查、過濾網(wǎng)絡之間傳送的數(shù)據(jù)包，以確定這些報文分組的合法性；對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能；一個實用的局域網(wǎng)應用系統(tǒng)設計中必須有網(wǎng)絡數(shù)據(jù)備份、恢復手段和災難恢復計劃；對待網(wǎng)絡病毒的態(tài)度應該是：高度重視，采取嚴格的防病毒技術與嚴格的防范措施，將病毒的影響減小到最低程度；一個有效而且實用的網(wǎng)絡每時每刻都離不開網(wǎng)絡管理。網(wǎng)絡管理包括配置管理、故障管理、性能管理、安全管理、記賬管理。網(wǎng)絡安全和網(wǎng)絡管理技術防火墻是根據(jù)一定的安全規(guī)定來檢查、過濾網(wǎng)絡之間傳送的數(shù)據(jù)包，106系統(tǒng)優(yōu)化：1、桌面整潔系統(tǒng)桌面干凈2、啟動程序少啟動程序不可以太多，只要必需的就可以了3、文件存放有序文件存放一定要有計劃，不可以隨意存放，否則麻煩的是自己，推薦使用Google桌面搜索網(wǎng)絡安全和網(wǎng)絡管理技術系統(tǒng)優(yōu)化：1、桌面整潔網(wǎng)絡安全和網(wǎng)絡管理技術107演講完畢，謝謝聽講!再見，seeyouagain3rew2022/12/21網(wǎng)絡安全和網(wǎng)絡管理技術演講完畢，謝謝聽講!再見，seeyouagain3rew108網(wǎng)絡安全和網(wǎng)絡管理技術2022/12/21網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全和網(wǎng)絡管理技術2022/12/18網(wǎng)絡安全和網(wǎng)絡管理109學習內(nèi)容:網(wǎng)絡安全的重要性及其研究的主要問題。密碼體制的基本概念及應用。防火墻的基本概念。網(wǎng)絡入侵檢測與防攻擊的基本概念與方法。網(wǎng)絡文件備份與恢復的基本方法。網(wǎng)絡病毒防治的基本方法。網(wǎng)絡管理的基本概念與方法。

網(wǎng)絡安全和網(wǎng)絡管理技術學習內(nèi)容:網(wǎng)絡安全的重要性及其研究的主要問題。網(wǎng)絡安全和網(wǎng)絡1109.1網(wǎng)絡安全研究的主要問題

網(wǎng)絡安全的重要性非法獲取重要信息，信息欺詐，破壞與網(wǎng)絡攻擊，法律與道德問題；網(wǎng)絡安全涉及到技術、管理與法制環(huán)境等多個方面；網(wǎng)絡安全問題已經(jīng)成為信息化社會的一個焦點問題；每個國家只能立足于本國，研究自己的網(wǎng)絡安全技術，培養(yǎng)自己的專門人才，發(fā)展自己的網(wǎng)絡安全產(chǎn)業(yè)，才能構筑本國的網(wǎng)絡與信息安全防范體系。

網(wǎng)絡安全和網(wǎng)絡管理技術9.1網(wǎng)絡安全研究的主要問題

網(wǎng)絡安全的重要性非法獲取重要111網(wǎng)絡安全技術研究的主要問題

目的：確保信息在網(wǎng)絡環(huán)境中存儲、處理和傳輸安全；網(wǎng)絡防攻擊問題；網(wǎng)絡安全漏洞與對策問題；網(wǎng)絡中的信息安全保密問題；防抵賴問題；

網(wǎng)絡內(nèi)部安全防范問題；網(wǎng)絡防病毒問題；網(wǎng)絡數(shù)據(jù)備份與恢復、災難恢復問題。網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全技術研究的主要問題目的：確保信息在網(wǎng)絡環(huán)境中存儲、1121.網(wǎng)絡防攻擊技術服務攻擊（applicationdependentattack）:對網(wǎng)絡提供某種服務的服務器發(fā)起攻擊，造成該網(wǎng)絡的“拒絕服務”，使網(wǎng)絡工作不正常;非服務攻擊（applicationindependentattack）:不針對某項具體應用服務，而是基于網(wǎng)絡層等低層協(xié)議而進行的，使得網(wǎng)絡通信設備工作嚴重阻塞或癱瘓。網(wǎng)絡安全和網(wǎng)絡管理技術1.網(wǎng)絡防攻擊技術服務攻擊（applicationdepe113網(wǎng)絡防攻擊主要問題需要研究的幾個問題網(wǎng)絡可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網(wǎng)絡被攻擊？如何采取相應的網(wǎng)絡安全策略與網(wǎng)絡安全防護體系？解決：加強對網(wǎng)絡系統(tǒng)的管理網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡防攻擊主要問題需要研究的幾個問題網(wǎng)絡可能遭到哪些人的攻擊1142.網(wǎng)絡安全漏洞與對策的研究網(wǎng)絡信息系統(tǒng)的運行涉及：計算機硬件與操作系統(tǒng)；網(wǎng)絡硬件與網(wǎng)絡軟件；數(shù)據(jù)庫管理系統(tǒng)；應用軟件；網(wǎng)絡通信協(xié)議。網(wǎng)絡安全漏洞也會表現(xiàn)在以上幾個方面。解決：主動檢測網(wǎng)絡安全漏洞。

網(wǎng)絡安全和網(wǎng)絡管理技術2.網(wǎng)絡安全漏洞與對策的研究網(wǎng)絡信息系統(tǒng)的運行涉及：網(wǎng)絡安全1153.網(wǎng)絡中的信息安全問題信息存儲安全如何保證靜態(tài)存儲在連網(wǎng)計算機中的信息不會被未授權的網(wǎng)絡用戶非法使用；信息傳輸安全如何保證信息在網(wǎng)絡傳輸?shù)倪^程中不被泄露與不被攻擊；

網(wǎng)絡安全和網(wǎng)絡管理技術3.網(wǎng)絡中的信息安全問題網(wǎng)絡安全和網(wǎng)絡管理技術116信息傳輸安全問題的四種基本類型網(wǎng)絡安全和網(wǎng)絡管理技術信息傳輸安全問題的四種基本類型網(wǎng)絡安全和網(wǎng)絡管理技術117解決網(wǎng)絡中的信息安全問題的方法加密與解密加密過程明文密文信息源結(jié)點解密過程密文明文信息目的結(jié)點數(shù)據(jù)加密與解密過程網(wǎng)絡安全和網(wǎng)絡管理技術解決網(wǎng)絡中的信息安全問題的方法加密與解密加密過程明文密文信息1184.防抵賴問題防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不承認;或者是信息目的結(jié)點用戶接收到信息之后不認賬；通過身份認證、數(shù)字簽名、數(shù)字信封、第三方確認等方法，來確保網(wǎng)絡信息傳輸?shù)暮戏ㄐ詥栴}，防止“抵賴”現(xiàn)象出現(xiàn)。網(wǎng)絡安全和網(wǎng)絡管理技術4.防抵賴問題防抵賴是防止信息源結(jié)點用戶對他發(fā)送的信息事后不1195.網(wǎng)絡內(nèi)部安全防范網(wǎng)絡內(nèi)部安全防范是防止內(nèi)部具有合法身份的用戶有意或無意地做出對網(wǎng)絡與信息安全有害的行為；對網(wǎng)絡與信息安全有害的行為包括：

?有意或無意地泄露網(wǎng)絡用戶或網(wǎng)絡管理員口令；

?違反網(wǎng)絡安全規(guī)定，繞過防火墻，私自和外部網(wǎng)絡連接，造成系統(tǒng)安全漏洞；

?違反網(wǎng)絡使用規(guī)定，越權查看、修改和刪除系統(tǒng)文件、應用程序及數(shù)據(jù)；

?違反網(wǎng)絡使用規(guī)定，越權修改網(wǎng)絡系統(tǒng)配置，造成網(wǎng)絡工作不正常；解決來自網(wǎng)絡內(nèi)部的不安全因素必須從技術與管理兩個方面入手。網(wǎng)絡安全和網(wǎng)絡管理技術5.網(wǎng)絡內(nèi)部安全防范網(wǎng)絡內(nèi)部安全防范是防止內(nèi)部具有合法身份的1206.網(wǎng)絡防病毒

引導型病毒可執(zhí)行文件病毒宏病毒混合病毒特洛伊木馬型病毒Internet語言病毒

網(wǎng)絡安全和網(wǎng)絡管理技術6.網(wǎng)絡防病毒引導型病毒網(wǎng)絡安全和網(wǎng)絡管理技術121微軟的應對發(fā)布對應的清除工具和清除方法/security發(fā)布新的安全工具中下載相應的補丁程序，為避免流量花費，可在“北大天網(wǎng)”搜索國內(nèi)的FTP下載，如沒有出國帳號可上網(wǎng)查免費出國代理地址，速度可能會慢點。網(wǎng)絡安全和網(wǎng)絡管理技術微軟的應對發(fā)布對應的清除工具和清除方法網(wǎng)絡安全和網(wǎng)絡管理技術122網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全和網(wǎng)絡管理技術123病毒監(jiān)控:網(wǎng)上傳播的大量文件都攜帶有病毒。上網(wǎng)同時最好實時運行病毒檢測程序。下載的軟件在運行之前要先殺一次毒。新病毒不斷出現(xiàn)，病毒庫要經(jīng)常更新。不要打開來歷不明帶附件的電子郵件。網(wǎng)絡安全和網(wǎng)絡管理技術病毒監(jiān)控:網(wǎng)絡安全和網(wǎng)絡管理技術124建議:只裝一個TCP/IP協(xié)議，IPX/SPX和NetBEUI協(xié)議能不裝就不裝。硬盤共享不要設成完全訪問，或共享完后立即停止。收發(fā)E-mail時盡量采用文本形式，避免.doc，.exe附件。不要從ftp站點下載運行不明用途的軟件。不運行端口掃描程序，端口掃描會嚴重影響其它網(wǎng)絡用戶的使用。網(wǎng)絡安全和網(wǎng)絡管理技術建議:網(wǎng)絡安全和網(wǎng)絡管理技術125“紅色代碼”病毒的工作原理

病毒利用IIS的.ida漏洞進入系統(tǒng)并獲得SYSTEM權限

(微軟在2001年6月份已發(fā)布修復程序MS01-033)病毒產(chǎn)生100個新的線程99個線程用于感染其它的服務器第100個線程用于檢查本機,并修改當前首頁在7/20/01時所有被感染的機器回參與對白宮網(wǎng)站的自動攻擊.網(wǎng)絡安全和網(wǎng)絡管理技術“紅色代碼”病毒的工作原理病毒利用IIS的.ida漏洞126尼母達Nimada的工作原理4種不同的傳播方式IE瀏覽器:利用IE的一個安全漏洞

(微軟在2001年3月份已發(fā)布修復程序MS01-020)IIS服務器:和紅色代碼病毒相同,或直接利用它留下的木馬程序.

(微軟在紅色代碼爆發(fā)后已在其網(wǎng)站上公布了所有的修復程序和解決方案)電子郵件附件:

(已被使用過無數(shù)次的攻擊方式)文件共享:針對所有未做安全限制的共享網(wǎng)絡安全和網(wǎng)絡管理技術尼母達Nimada的工作原理4種不同的傳播方式網(wǎng)絡安全和127特洛伊木馬現(xiàn)在互聯(lián)網(wǎng)上有許多特洛伊木馬程序，像著名的BO、Backdoor、Netbus及國內(nèi)的Netspy等等。嚴格地說，它們屬于（Client/Sever）程序，因為它們往往帶有一個用于駐留在用戶機器上的服務器程序，以及一個用于訪問用戶機器的客戶端程序。所以不要運行來歷不明的程序。網(wǎng)絡安全和網(wǎng)絡管理技術特洛伊木馬網(wǎng)絡安全和網(wǎng)絡管理技術128一、人工備份：如右圖所示，進行備份操作，系統(tǒng)管理員最重要的工作就是做好備份備份網(wǎng)絡安全和網(wǎng)絡管理技術一、人工備份：如右圖所示，進行備份操作，系統(tǒng)管理員最重要的工129二、自動備份：對重要的數(shù)據(jù)要定期備份，比如WEBMAIL上對E盤網(wǎng)站的數(shù)據(jù)每星期備份一次網(wǎng)絡安全和網(wǎng)絡管理技術二、自動備份：對重要的數(shù)據(jù)要定期備份，比如WEBMAIL上對130A、選擇不同的備份向?qū)О凑掌聊坏奶崾具M行操作即可B、還原向?qū)、緊急修復磁盤舉例對E盤的一個文件夾進行備份和恢復網(wǎng)絡安全和網(wǎng)絡管理技術A、選擇不同的備份向?qū)О凑掌聊坏奶崾具M行操作即可網(wǎng)絡安全和網(wǎng)131網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全和網(wǎng)絡管理技術132網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全和網(wǎng)絡管理技術1337.網(wǎng)絡數(shù)據(jù)備份與恢復、災難恢復問題如果出現(xiàn)網(wǎng)絡故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復？如果出現(xiàn)網(wǎng)絡因某種原因被損壞，重新購買設備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復？網(wǎng)絡安全和網(wǎng)絡管理技術7.網(wǎng)絡數(shù)據(jù)備份與恢復、災難恢復問題如果出現(xiàn)網(wǎng)絡故障造成數(shù)據(jù)134網(wǎng)絡安全服務與安全標準

網(wǎng)絡安全服務應該提供以下基本的服務功能：數(shù)據(jù)保密（dataconfidentiality）認證（authentication）數(shù)據(jù)完整（dataintegrity）

防抵賴（non-repudiation）

訪問控制（accesscontrol）網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全服務與安全標準

網(wǎng)絡安全服務應該提供以下基本的服務功135網(wǎng)絡安全標準

國內(nèi)：《電子計算機系統(tǒng)安全規(guī)范》，1987年10月《計算機軟件保護條例》，1991年5月《計算機軟件著作權登記辦法》，1992年4月《中華人民共和國計算機信息與系統(tǒng)安全保護條例》，1994年2月《計算機信息系統(tǒng)保密管理暫行規(guī)定》，1998年2月《關于維護互聯(lián)網(wǎng)安全決定》，全國人民代表大會常務委員會通過，2000年12月網(wǎng)絡安全和網(wǎng)絡管理技術網(wǎng)絡安全標準國內(nèi)：網(wǎng)絡安全和網(wǎng)絡管理技術136國外：可信計算機系統(tǒng)評估準則TC-SEC-NCSC是1983年公布的，1985年公布了可信網(wǎng)絡說明（TNI）；可信計算機系統(tǒng)評估準則將計算機系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。網(wǎng)絡安全和網(wǎng)絡管理技術國外：網(wǎng)絡安全和網(wǎng)絡管理技術1379.2加密與認證技術

密碼算法與密碼體制的基本概念

密碼體制是指一個系統(tǒng)所采用的基本工作方式以及它的兩個基本構成要素，即加密/解密算法和密鑰；傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，也稱為對稱密碼體制；如果加密密鑰和解密密鑰不相同，則稱為非對稱密碼體制；網(wǎng)絡安全和網(wǎng)絡管理技術9.2加密與認證技術

密碼算法與密碼體制的基本概念密138密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數(shù)學函數(shù)關系；在設計加密系統(tǒng)時，加密算法是可以公開的，真正需要保密的是密鑰。網(wǎng)絡安全和網(wǎng)絡管理技術密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學的角度來看，改變了139什么是密碼

密碼是含有一個參數(shù)k的數(shù)學變換，即

C=Ek（m）m是未加密的信息（明文），C是加密后的信息（密文），E是加密算法，參數(shù)k稱為密鑰加密算法可以公開，而密鑰只能由通信雙方來掌握。網(wǎng)絡安全和網(wǎng)絡管理技術什么是密碼密碼是含有一個參數(shù)k的數(shù)學變換，即網(wǎng)絡安全和網(wǎng)絡140密鑰長度密鑰長度與密鑰個數(shù)密鑰長度（位）組合個數(shù)40240=109951162777656256=7.205759403793×101664264=1.844674407371×10191122112=5.192296858535×10331282128=3.402823669209×1038密鑰的位數(shù)越長，破譯的困難也越大，安全性也越好。網(wǎng)絡安全和網(wǎng)絡管理技術密鑰長度密鑰長度與密鑰個數(shù)密鑰長度（位）組合個數(shù)40240=141對稱密鑰密碼體系

對稱加密的特點

密鑰在通信中要嚴格保密，如何安全傳遞密鑰？密鑰管理？網(wǎng)絡安全和網(wǎng)絡管理技術對稱密鑰密碼體系對稱加密的特點密鑰在通信中要嚴格保密，如142典型對稱加密算法

數(shù)據(jù)加密標準（dataencryptionstandard,DES）是典型的對稱加密算法，由IBM公司提出，經(jīng)過ISO認證；目前廣泛應用育銀行業(yè)中的電子資金轉(zhuǎn)帳領域；64位密鑰長度，其中8位用于奇偶校驗，用戶使用其余的56位，不是非常安全；其它一些對稱加密算法：IDEA算法，RC2算法、RC4算法與Skipjack算法等。網(wǎng)絡安全和網(wǎng)絡管理技術典型對稱加密算法數(shù)據(jù)加密標準（dataencryptio143非對稱密鑰密碼體系

非對稱密鑰密碼體系的特點加密的公鑰可以公開，而解密的私鑰必須保密，網(wǎng)絡安全和網(wǎng)絡管理技術非對稱密鑰密碼體系非對稱密鑰密碼體系的特點加密的公鑰可以公144非對稱加密的標準

公鑰和私鑰數(shù)學相關，成對出現(xiàn)，但是不能通過公鑰計算出私鑰；可以解決身份認證和防抵賴問題；和對稱加密算法相比，簡化了密鑰的數(shù)目；公鑰加密技術的缺點：加密算法法雜，加密和解密的速度慢；RSA體制被認為是目前為止理論上最為成熟的一種公鑰密碼體制。RSA體制多用在數(shù)字簽名、密鑰管理和認證等方面；Elgamal公鑰體制是一種基于離散對數(shù)的公鑰密碼體制，密文依賴于隨機數(shù)，又稱概率加密體制；目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie－Hellman密鑰交換、數(shù)據(jù)簽名標準DSS、橢圓曲線密碼等。網(wǎng)絡安全和網(wǎng)絡管理技術非對稱加密的標準公鑰和私鑰數(shù)學相關，成對出現(xiàn)，但是不能通過145數(shù)字信封技術

數(shù)字信封技術的工作原理發(fā)送數(shù)據(jù)：對稱加密算法對稱加密的密鑰：非對稱加密算法網(wǎng)絡安全和網(wǎng)絡管理技術數(shù)字信封技術數(shù)字信封技術的工作原理發(fā)送數(shù)據(jù)：對稱加密的密鑰146數(shù)字簽名技術

確定發(fā)送人身份，防抵賴網(wǎng)絡安全和網(wǎng)絡管理技術數(shù)字簽名技術確定發(fā)送人身份，防抵賴網(wǎng)絡安全和網(wǎng)絡管理技術147身份認證技術的發(fā)展

身份認證可以通過3種基本途徑之一或它們的組合實現(xiàn)：所知:個人所掌握的密碼、口令；所有:個人身份證、護照、信用卡、鑰匙；個人特征:人的指紋、聲紋、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個人動作方面的特征；新的、廣義的生物統(tǒng)計學是利用個人所特有的生理特征來設計的；生物統(tǒng)計學與網(wǎng)絡安全、身份認證結(jié)合起來是目前網(wǎng)絡安全研究中的一個重要課題。網(wǎng)絡安全和網(wǎng)絡管理技術身份認證技術的發(fā)展身份認證可以通過3種基本途徑之一或它們的1489.3防火墻技術

防火墻的基本概念防火墻是在網(wǎng)絡之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件；設置防火墻的目的是保護內(nèi)部網(wǎng)絡資源不被外部非授權用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。

網(wǎng)絡安全和網(wǎng)絡管理技術9.3防火墻技術

防火墻的基本概念防火墻是在網(wǎng)絡之間執(zhí)149防火墻通過檢查所有進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網(wǎng)絡安全構成威脅，為內(nèi)部網(wǎng)絡建立安全邊界；構成防火墻系統(tǒng)的兩個基本部件是包過濾路由器和應用級網(wǎng)關；最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統(tǒng)由包過濾路由器和應用級網(wǎng)關組合而成；由于組合方式有多種，因此防火墻系統(tǒng)的結(jié)構也有多種形式。網(wǎng)絡安全和網(wǎng)絡管理技術防火墻通過檢查所有進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，150包過濾路由器

包過濾路由器的結(jié)構

網(wǎng)絡安全和網(wǎng)絡管理技術包過濾路由器包過濾路由器的結(jié)構網(wǎng)絡安全和網(wǎng)絡管理技術151路由器按照系統(tǒng)內(nèi)部設置的分組過濾規(guī)則（即訪問控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應該轉(zhuǎn)發(fā)；包過濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。例如，對于TCP報頭信息可以是：?源IP地址；

?目的IP地址；?協(xié)議類型；

?IP選項內(nèi)容；

?源TCP端口號；

?目的TCP端口號；

?TCPACK標識。

網(wǎng)絡安全和網(wǎng)絡管理技術路由器按照系統(tǒng)內(nèi)部設置的分組過濾規(guī)則（即訪問控制表），檢查每152包過濾的工作流程關鍵：制定包過濾規(guī)則網(wǎng)絡安全和網(wǎng)絡管理技術包過濾的工作流程關鍵：制定包過濾規(guī)則網(wǎng)絡安全和網(wǎng)絡管理技術153包過濾路由器作為防火墻的結(jié)構

網(wǎng)絡安全和網(wǎng)絡管理技術包過濾路由器作為防火墻的結(jié)構網(wǎng)絡安全和網(wǎng)絡管理技術154假設網(wǎng)絡安全策略規(guī)定：內(nèi)部網(wǎng)絡的E-mail服務器（IP地址為，TCP端口號為25）可以接收來自外部網(wǎng)絡用戶的所有電子郵件；允許內(nèi)部網(wǎng)絡用戶傳送到與外部電子郵件服務器的電子郵件；拒絕所有與外部網(wǎng)絡中名字為TESTHOST主機的連接。

網(wǎng)絡安全和網(wǎng)絡管理技術假設網(wǎng)絡安全策略規(guī)定：網(wǎng)絡安全和網(wǎng)絡管理技術155包過濾規(guī)則表

包過濾在網(wǎng)絡層、傳輸層對進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包進行監(jiān)控，但是網(wǎng)絡用戶對網(wǎng)絡資源和服務的訪問發(fā)生在應用層，必須在應用層對用戶身份認證和訪問操作分類檢查和過濾，這個功能是由應用級網(wǎng)關完成的。網(wǎng)絡安全和網(wǎng)絡管理技術包過濾規(guī)則表包過濾在網(wǎng)絡層、傳輸層對進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包進1569.3.3應用級網(wǎng)關的概念

多歸屬主機（網(wǎng)關）：多個網(wǎng)絡接口卡

典型的多歸屬主機結(jié)構

網(wǎng)絡安全和網(wǎng)絡管理技術9.3.3應用級網(wǎng)關的概念多歸屬主機（網(wǎng)關）：多個網(wǎng)絡157應用級網(wǎng)關雙歸屬主機可以用于網(wǎng)絡安全與網(wǎng)絡服務的代理在應用層過濾進出內(nèi)部網(wǎng)絡特定服務的用戶請求與響應網(wǎng)絡安全和網(wǎng)絡管理技術應用級網(wǎng)關雙歸屬主機可以用于網(wǎng)絡安全與網(wǎng)絡服務的代理在應用層158應用代理應用級網(wǎng)關：在應用層“轉(zhuǎn)發(fā)”合法的應用請求應用代理：隔離了用戶主機與被訪問服務器之間的數(shù)據(jù)包交換通道網(wǎng)絡安全和網(wǎng)絡管理技術應用代理應用級網(wǎng)關：在應用層“轉(zhuǎn)發(fā)”合法的應用請求網(wǎng)絡安全和159一、代理服務器的工作機制

代理服務器的使用ABC二、代理服務器存在的理由

1、局域局內(nèi)沒有與外網(wǎng)相連的機器通過內(nèi)網(wǎng)的代理服務器連接到

外網(wǎng)2、為了獲得更大的速度，通過頻寬較大的proxy與目標主機連接3、同一地區(qū)未互聯(lián)的不同網(wǎng)絡通過代理建立連接4、可以免費訪問因特網(wǎng)

網(wǎng)絡安全和網(wǎng)絡管理技術一、代理服務器的工作機制

代理服務器的使用ABC二、代理服160三、誰架設了代理服務器1、是大型機關、企業(yè)事業(yè)、教育機構2、ISP

四、局域網(wǎng)連接共享實現(xiàn)代理(配置最簡單)19414141網(wǎng)絡安全和網(wǎng)絡管理技術三、誰架設了代理服務器四、局域網(wǎng)連接共享實現(xiàn)代理(配置最161WinRoute共享代理上網(wǎng)詳解（網(wǎng)上有更詳細的幫助文件）㈠主要功能1、DNS緩存和轉(zhuǎn)發(fā)DNS域名查詢信息2、可以端口映射實現(xiàn)反向代理功能，讓外部訪問受NAT保護的內(nèi)部

網(wǎng)絡所提供的一些功能網(wǎng)絡安全和網(wǎng)絡管理技術WinRoute共享代理上網(wǎng)詳解（網(wǎng)上有更詳細的幫助文件）1623、它具有路由器的尋徑功能，讓局域網(wǎng)里的多臺計算機使用同一

個IP地址訪問因特網(wǎng)，還能自動保護內(nèi)部網(wǎng)絡不受到外部的攻擊4、該軟件支持基于IP地址的過濾和限制，提供限制可訪問的URL

的安全功能５、利用該軟件提供的DHCP服務器功能，可以動態(tài)分配局域網(wǎng)上

的計算機的TCP/IP地址。６、為保證安全，用戶可以通過該軟件定義一個過濾規(guī)則，對經(jīng)

過代理服務器的數(shù)據(jù)信息進行過濾７、它能提供代理服務器功能，并且可以設置緩存這樣就可以大

幅度提高游覽的速度。(這個功能是非常有用的)８、它還可以作為電子郵件服務器來使用，利用它來接受和發(fā)送

電子郵件。（基本不用）

網(wǎng)絡安全和網(wǎng)絡管理技術3、它具有路由器的尋徑功能，讓局域網(wǎng)里的多臺計算機使用同一

163㈡winroute的安裝1、安裝前：在安裝WinRoute4.1代理服務器軟件之前，必須要求所在的機器應既能連接到因特網(wǎng)又能被局域網(wǎng)內(nèi)的機器訪問2、安裝：到站點下載后，雙擊“wrp41en.exe”進行安裝，安裝完后不要重新啟動網(wǎng)絡安全和網(wǎng)絡管理技術㈡winroute的安裝網(wǎng)絡安全和網(wǎng)絡管理技術1643、漢化：雙擊“HBC-WinRoutePro4127-Ronnier.exe”彈出如下窗

口，選擇winroute的安裝路徑，漢化成中文，重新啟動即可使用4、初始化設置：右鍵點擊任務欄上的winroute圖標，選啟動參數(shù)

設置，彈出如下如圖所示的窗口，點選所需的選項網(wǎng)絡安全和網(wǎng)絡管理技術3、漢化：雙擊“HBC-WinRoutePro4127-Ro165㈢參數(shù)設置1、登錄：右鍵點擊任務欄上的winroute圖標，選winroute管理，彈

出如左圖所示的界面，新安裝的winroute4。1的admin用戶密碼是

沒有你可以直接按確定就可以了。

2、改變管理員密碼：單擊“設置”——賬號，在右圖所示的窗口中

點擊“編輯”按鈕，改變Admin的密碼網(wǎng)絡安全和網(wǎng)絡管理技術㈢參數(shù)設置2、改變管理員密碼：單擊“設置”——賬號，在右圖所1663、撥號設置：因現(xiàn)在基本是寬帶，用時可參考教材4、雙網(wǎng)卡設置：在網(wǎng)絡屬性中對兩塊網(wǎng)卡的Tcp/ip屬性進行設置網(wǎng)卡1：ip地址6 掩碼： 網(wǎng)關： Dns:6 網(wǎng)卡1直接與internet相連網(wǎng)卡2：ip地址 掩碼： 網(wǎng)關：空 Dns:6 網(wǎng)卡2與內(nèi)部局域網(wǎng)相連網(wǎng)絡安全和網(wǎng)絡管理技術3、撥號設置：因現(xiàn)在基本是寬帶，用時可參考教材網(wǎng)絡安全和網(wǎng)絡1675、接口表設置：設置——接口表，如左圖所示，為了啟用地址

轉(zhuǎn)換功能，需打開連接外網(wǎng)網(wǎng)卡的NAT功能。選中下面的網(wǎng)卡，

點屬性，彈出右圖，選中上面的復選框。是否對本機進行特殊處理網(wǎng)絡安全和網(wǎng)絡管理技術5、接口表設置：設置——接口表，如左圖所示，為了啟用地址

轉(zhuǎn)1686、代理服務器設置：設置——代理服務器本機的代理端口本機上一級代理的IP地址和

端口網(wǎng)絡安全和網(wǎng)絡管理技術6、代理服務器設置：設置——代理服務器本機的代理端口本機上一169在訪問界面中可設置使用代理的情況下，限制用戶對外網(wǎng)的訪問

比如：所有用戶都可訪問*.*. 只有imacbl和yyyhan可以訪問*.*網(wǎng)址網(wǎng)絡安全和網(wǎng)絡管理技術在訪問界面中可設置使用代理的情況下，限制用戶對外網(wǎng)的訪問

比1707、DHCP服務器設置：設置——DHCP服務器，彈出左圖所示窗口，查看已有的租用，可點擊“新建范圍”彈出右圖所示窗口，添加新的租用范圍：比如：添加IP：----54 掩碼： DNS:6 網(wǎng)關：(連接局域網(wǎng)網(wǎng)卡的IP地址)網(wǎng)絡安全和網(wǎng)絡管理技術7、DHCP服務器設置：設置——DHCP服務器，彈出左圖所示171在上頁左圖中點擊“添加租用”，可彈出下圖，可以為一些機器保留固定的IP地址在上頁左