第7章計(jì)算機(jī)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理最終版

第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理主要內(nèi)容網(wǎng)絡(luò)安全與管理問(wèn)題的產(chǎn)生1網(wǎng)絡(luò)安全技術(shù)2網(wǎng)絡(luò)管理技術(shù)37.1網(wǎng)絡(luò)安全與管理及相關(guān)的法律法規(guī)實(shí)例回顧計(jì)算機(jī)網(wǎng)絡(luò)主要特征計(jì)算機(jī)網(wǎng)絡(luò)的各項(xiàng)技術(shù)都是全開放的計(jì)算機(jī)網(wǎng)絡(luò)是自由的，網(wǎng)絡(luò)對(duì)用戶的使用不存在技術(shù)上的約束，用戶可以自由的上網(wǎng)，發(fā)布和獲取各類信息對(duì)于校園網(wǎng)而言，訪問(wèn)網(wǎng)絡(luò)的不只是學(xué)校內(nèi)部的成員，還包括外部網(wǎng)的其他身份不明確的匿名用戶。隨著接入網(wǎng)絡(luò)的終端的增加，網(wǎng)絡(luò)規(guī)模逐漸增大，用戶進(jìn)行數(shù)據(jù)訪問(wèn)傳輸?shù)炔僮餍枰褂玫耐ㄐ沛溌芬沧冮L(zhǎng)。7.1.2網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理的概念與內(nèi)容網(wǎng)絡(luò)管理：網(wǎng)絡(luò)管理員通過(guò)網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作。網(wǎng)絡(luò)管理包括對(duì)硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對(duì)網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測(cè)試、配置、分析、評(píng)價(jià)和控制，這樣就能以合理的價(jià)格滿足網(wǎng)絡(luò)的一些需求，如實(shí)時(shí)運(yùn)行性能，服務(wù)質(zhì)量等7.1.2網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理主要是針對(duì)：（1）對(duì)網(wǎng)路的管理，即針對(duì)交換機(jī)、路由器等主干網(wǎng)絡(luò)進(jìn)行管理；（2）對(duì)接入設(shè)備的管理，即對(duì)內(nèi)部PC、服務(wù)器、交換機(jī)等進(jìn)行管理；（3）對(duì)行為的管理。即針對(duì)用戶的使用進(jìn)行管理；對(duì)資產(chǎn)的管理，即統(tǒng)計(jì)IT軟硬件的信息等7.1.1網(wǎng)絡(luò)安全的內(nèi)容外部環(huán)境安全：地震、水災(zāi)、火災(zāi)、電源故障、設(shè)備被盜被毀、電磁干擾等。網(wǎng)絡(luò)連接安全：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)路由狀況等。操作系統(tǒng)安全：利用操作系統(tǒng)加強(qiáng)對(duì)用戶登錄的認(rèn)證等。應(yīng)用系統(tǒng)安全：采用多層次的訪問(wèn)控制與權(quán)限控制手段、加密技術(shù)等。管理制度安全：加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系等。人為因素影響：黑客攻擊、惡意代碼、不滿的內(nèi)部員工等。

網(wǎng)絡(luò)管理

所謂網(wǎng)絡(luò)管理，是指用軟件手段對(duì)網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)視、控制、診斷和測(cè)試所采用的技術(shù)和方法。網(wǎng)絡(luò)網(wǎng)絡(luò)涉及三個(gè)方面：網(wǎng)絡(luò)服務(wù)提供、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)處理。一個(gè)網(wǎng)絡(luò)管理系統(tǒng)下從邏輯上可以分為：管理對(duì)象、管理進(jìn)程、管理協(xié)議。被管理的網(wǎng)絡(luò)設(shè)備包括交換機(jī)、網(wǎng)關(guān)、路由器、網(wǎng)橋、通信線路、網(wǎng)卡、服務(wù)器以及工作站等。7.1.2網(wǎng)絡(luò)管理的功能OSI管理功能域

OSI網(wǎng)絡(luò)管理標(biāo)準(zhǔn)將開放系統(tǒng)的網(wǎng)絡(luò)管理功能劃分成五個(gè)功能域：配置管理、故障管理、性能管理、安全管理、記賬管理，這個(gè)功能域分別用來(lái)完成不同的網(wǎng)絡(luò)管理功能。7.1.2網(wǎng)絡(luò)管理的功能從技術(shù)角度來(lái)說(shuō)，網(wǎng)絡(luò)安全的目標(biāo)可歸納為4個(gè)方面：可用性:網(wǎng)絡(luò)中的信息或者信息系統(tǒng)只能夠被合法用戶訪問(wèn)，并能夠迅速地按其要求運(yùn)行的特性機(jī)密性：系統(tǒng)把對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限制在那些經(jīng)授權(quán)的個(gè)人或?qū)嶓w，只有他們才能查看和使用數(shù)據(jù)7.1.2網(wǎng)絡(luò)管理的功能完整性：防止系統(tǒng)中的信息或程序未經(jīng)授權(quán)或意外改動(dòng)，包括數(shù)據(jù)插入、刪除和修改等指保證系統(tǒng)在未受損的方式下執(zhí)行預(yù)期的功能，避免對(duì)系統(tǒng)進(jìn)行有意或無(wú)意的非授權(quán)操作不可抵賴性：也叫不可否認(rèn)性，即防止個(gè)人否認(rèn)先前已執(zhí)行的動(dòng)作，其目標(biāo)是確保數(shù)據(jù)的接收方能夠確信發(fā)送方的身份7.1.2網(wǎng)絡(luò)管理的功能2000年12月28日第九屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十九次會(huì)議通過(guò)了《維護(hù)互聯(lián)網(wǎng)安全的決定》，它是我國(guó)第一部經(jīng)全國(guó)人民代表大會(huì)常務(wù)委員會(huì)審議通過(guò)的有關(guān)網(wǎng)絡(luò)安全的法律性文件。信息產(chǎn)業(yè)部2000年11月7日發(fā)布實(shí)施的《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》信息產(chǎn)業(yè)部1999年9月7日發(fā)布實(shí)施的《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》教育部2000年6月29日發(fā)布實(shí)施的《教育網(wǎng)站和網(wǎng)校暫行管理辦法》7.1.2與網(wǎng)絡(luò)安全與管理相關(guān)的法律法規(guī)7.1.2與網(wǎng)絡(luò)安全與管理相關(guān)的法律法規(guī)7.2網(wǎng)絡(luò)資源管理的方法網(wǎng)絡(luò)資源的表示網(wǎng)絡(luò)環(huán)境下資源的表示是網(wǎng)絡(luò)管理的一個(gè)關(guān)鍵問(wèn)題。在網(wǎng)絡(luò)管理協(xié)議中采用面向?qū)ο蟮母拍顏?lái)描述被管網(wǎng)絡(luò)元素的屬性。網(wǎng)絡(luò)資源主要包括：硬件、軟件、數(shù)據(jù)、用戶、支持設(shè)備。網(wǎng)絡(luò)管理的目的和方法

網(wǎng)絡(luò)管理可以分為廣義和狹義兩個(gè)層面。廣義的管理內(nèi)容涉及網(wǎng)絡(luò)安全的方方面面；狹義的網(wǎng)絡(luò)管理是指從技術(shù)角度出發(fā)，了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況并加以監(jiān)控、優(yōu)化。1、網(wǎng)絡(luò)管理的目的

用戶設(shè)計(jì)并實(shí)施檢測(cè)方案，提供資源優(yōu)化和系統(tǒng)規(guī)劃的建議。2、網(wǎng)絡(luò)管理的使命發(fā)現(xiàn)問(wèn)題、解決問(wèn)題、常規(guī)監(jiān)視。7.2網(wǎng)絡(luò)資源管理的方法網(wǎng)絡(luò)管理協(xié)議是道理和網(wǎng)絡(luò)管理軟件交換信息的方式，它定義使用使命傳輸機(jī)制，代理上存在何種信息以及信息格式的編排方式。1、SNMP協(xié)議

SNMP是“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議”，是TCP/IP協(xié)議簇的一個(gè)應(yīng)用層協(xié)議。SNMP作為一種算了管理協(xié)議，它使網(wǎng)絡(luò)設(shè)備彼此之間可以交換管理信息，使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)的性能，定位和解決網(wǎng)絡(luò)故障，進(jìn)行網(wǎng)絡(luò)規(guī)劃。SNMP的網(wǎng)絡(luò)管理模型有三個(gè)關(guān)鍵元素組成：不給力的設(shè)備（網(wǎng)元）、代理、網(wǎng)絡(luò)管理系統(tǒng)（NMS）。MIB是管理信息庫(kù)7.3網(wǎng)絡(luò)管理協(xié)議RMON

遠(yuǎn)程監(jiān)控（RMON）是關(guān)于通信量管理的標(biāo)準(zhǔn)化規(guī)定，RMON的目的就是要測(cè)定、收集網(wǎng)絡(luò)的性能，為網(wǎng)絡(luò)管理員提供復(fù)雜的網(wǎng)絡(luò)錯(cuò)誤診斷和性能調(diào)整信息。有RMON構(gòu)成的通信量觀測(cè)和SNMP一樣，也是有管理程序和代理程序構(gòu)成。RMON是觀測(cè)網(wǎng)絡(luò)的關(guān)鍵點(diǎn)的，具有報(bào)警功能。7.3網(wǎng)絡(luò)管理協(xié)議7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻1、網(wǎng)絡(luò)與病毒網(wǎng)絡(luò)化帶來(lái)了病毒傳染的高效率，從而加重了病毒的威脅。例如：“紅色代碼”、“尼姆達(dá)”2、網(wǎng)絡(luò)病毒的防范基于網(wǎng)絡(luò)的多層次的病毒防護(hù)策略是保障信息安全、保證網(wǎng)絡(luò)安全運(yùn)行的重要手段。從網(wǎng)絡(luò)系統(tǒng)的各組成環(huán)節(jié)來(lái)看，多層防御的網(wǎng)絡(luò)防毒體系應(yīng)該有用戶桌面、服務(wù)器、Internet網(wǎng)關(guān)和防火墻組成。桌面系統(tǒng)和遠(yuǎn)程PC是主要的病毒感染源。群件和電子郵件是網(wǎng)絡(luò)中重要的通信聯(lián)絡(luò)線。先進(jìn)的多層病毒防護(hù)策略具有三個(gè)特點(diǎn)：層次性、集成性、自動(dòng)化。7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻黑客，常常在未經(jīng)許可的情況下通過(guò)技術(shù)手段登錄到他人的網(wǎng)絡(luò)服務(wù)器甚至是連接在網(wǎng)絡(luò)上的單機(jī)，并對(duì)網(wǎng)絡(luò)進(jìn)行一些未經(jīng)授權(quán)的操作。攻擊手段：非授權(quán)訪問(wèn)、信息泄露或丟失、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、利用網(wǎng)絡(luò)傳播病毒。防范手段：法律手段、技術(shù)手段、管理手段7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻能有效地防止外來(lái)的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：（1）控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包（2）提供使用和流量的日志和審計(jì)。（3）隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)。（4）提供VPN功能。7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻防火墻的技術(shù)防火墻總體上分為：包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)（安裝在專用工作站系統(tǒng)）和代理服務(wù)器等設(shè)置防火墻的要素：網(wǎng)絡(luò)策略服務(wù)訪問(wèn)策略防火墻設(shè)計(jì)策略增強(qiáng)的認(rèn)證7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻防火墻的分類基于具體實(shí)現(xiàn)防范分類，可以分為三種類型：軟件防火墻、硬件防火墻、專用防火墻。根據(jù)防火墻采用的核心技術(shù)：可分為包過(guò)濾型和應(yīng)用代理型兩大類。根據(jù)防火墻的結(jié)構(gòu)，可分為單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。按防火墻的應(yīng)用部署位置分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。7.4網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)黑客入侵的防范、防火墻網(wǎng)絡(luò)故障的診斷：重現(xiàn)故障——分析故障現(xiàn)象——定位故障范圍——隔離故障——排除故障網(wǎng)絡(luò)常用測(cè)試命令

1、IP測(cè)試工具pingping127.0.0.1測(cè)試本機(jī)TCP/IP安裝是完整，本機(jī)的網(wǎng)卡是否正確安裝ping本機(jī)的Ip地址測(cè)試本地的網(wǎng)卡工作是否正常pingDNS判斷該網(wǎng)是否能夠連通ping網(wǎng)關(guān)測(cè)試本機(jī)到網(wǎng)關(guān)的線路是否出現(xiàn)故障7.5網(wǎng)絡(luò)故障的診斷與排除7.5網(wǎng)絡(luò)故障的診斷與排除2、測(cè)試TCP/IP協(xié)議配置工具ipconfig和winipcfgipconfig若不帶參數(shù)，可獲得的信息有IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。winipcfg的功能與ipconfig基本相同。3、網(wǎng)絡(luò)協(xié)議統(tǒng)計(jì)工具netstat和nbstat使用netstat命令可以顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計(jì)信息以及當(dāng)前的連接情況，以得到非常詳細(xì)的統(tǒng)計(jì)結(jié)果，有助于了解網(wǎng)絡(luò)的整體使用情況。nbtstat是解決NETBIOS名稱解析問(wèn)題的有用工具。4、跟蹤工具tracert和pathpingtracert命令用來(lái)顯示數(shù)據(jù)包到達(dá)目標(biāo)主機(jī)所經(jīng)過(guò)的路徑，并顯示到達(dá)每個(gè)節(jié)點(diǎn)的時(shí)間。pathping命令是一個(gè)路由跟蹤工具，它將ping和tracert命令的功能和這兩個(gè)工具所不提供的其他信息結(jié)合起來(lái)。7.2.2對(duì)稱加密技術(shù)——數(shù)據(jù)加密標(biāo)準(zhǔn)（DES，DataEncryptionStandard）DES對(duì)明文進(jìn)行分組，每組明文長(zhǎng)度為64位，然后使用56位長(zhǎng)度的密鑰以及附加的8位奇偶校驗(yàn)位，將分組后的明文組和56位的密鑰按位替代或交換的方法，產(chǎn)生64位長(zhǎng)度的密文分組DES的主要特點(diǎn)是：分組比較短、密鑰太短、密碼生命周期短、運(yùn)算速度較慢攻擊DES的主要形式被稱為蠻力攻擊或徹底密鑰搜索（窮舉攻擊），即重復(fù)嘗試各種密鑰直到有一個(gè)符合為止7.2.2數(shù)據(jù)加密標(biāo)準(zhǔn)（DES，DataEncryptionStandard）7.2.2數(shù)據(jù)加密標(biāo)準(zhǔn)（DES，DataEncryptionStandard）三重DES算法其本質(zhì)實(shí)際上是重復(fù)基本的DES算法三次，是使用168位的密鑰對(duì)資料進(jìn)行三次加密的一種機(jī)制其加解密運(yùn)算可以表示為：加密：C=Ek3(Dk2(Ek1(M))

解密：M=Dk1(Ek2(Dk3(C))三重DES的主要缺點(diǎn)在于其計(jì)算量是DES的三倍，用軟件實(shí)現(xiàn)算法速度比較慢7.2.2三重DES算法7.2.2流密碼(streamcipher)技術(shù)流密碼的原理實(shí)際上是對(duì)輸入的明文串按比特進(jìn)行連續(xù)變換，加密和解密每次只處理一個(gè)比特，進(jìn)而產(chǎn)生連續(xù)的密文輸出7.2.2公鑰加密技術(shù)公鑰加密算法也稱非對(duì)稱密鑰算法，它要求加密過(guò)程中密鑰成對(duì)出現(xiàn)，一個(gè)為加密密鑰(e)，另一個(gè)為解密密鑰(d)，兩個(gè)密鑰互不相同且不可能從其中一個(gè)推導(dǎo)出另一個(gè)整個(gè)公鑰體制涉及到三個(gè)重要的概念：密鑰對(duì)數(shù)字證書電子簽證機(jī)關(guān)7.2.2公鑰加密技術(shù)公鑰加密體制具有以下優(yōu)點(diǎn)：（1）公鑰算法不需要聯(lián)機(jī)密鑰服務(wù)器，密鑰分配協(xié)議簡(jiǎn)單，所以極大簡(jiǎn)化了密鑰管理；（2）密鑰的保存量少，私鑰和公鑰是分別存儲(chǔ)的；（3）可以完成互不相識(shí)的人之間的私人通信的保密性要求，同時(shí)可以提供通信雙方的數(shù)字簽名和身份鑒別7.2.2RSA算法①產(chǎn)生密鑰公開密鑰（即加密密鑰）PK=（e，n）秘密密鑰（即解密密鑰）SK=（d，n）②加密對(duì)應(yīng)的密文是：ci≡mie(modn)③解密解密時(shí)作如下計(jì)算：mi≡cid(modn)7.2.2RSA算法RSA算法的缺點(diǎn)主要有：（1）產(chǎn)生密鑰很麻煩，受到素?cái)?shù)產(chǎn)生技術(shù)的限制，因而難以做到一次一密（2）分組長(zhǎng)度太大，為保證安全性，n至少也要600bits以上，使運(yùn)算代價(jià)很高，尤其是速度較慢7.2.2數(shù)字簽名數(shù)字簽名利用私有密鑰進(jìn)行加密認(rèn)證利用公開密鑰進(jìn)行正確的解密由于公開密鑰無(wú)法推算出私有密鑰，所以公開密鑰無(wú)需保密，可以公開傳播私有密鑰一定是個(gè)人秘密持有的，其他人的公開密鑰不可能正確解密被私有密鑰加密過(guò)的信息7.2.2數(shù)字簽名7.2.2身份認(rèn)證如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者？身份認(rèn)證：（1）靜態(tài)密碼：在網(wǎng)絡(luò)中使用你知道的信息來(lái)證明你的身份（2）智能卡認(rèn)證：使用你持有的物品，比如電子IC卡、USBKey、動(dòng)態(tài)口令牌等（3）生物識(shí)別技術(shù)：使用你自身的不可更改的特征（指紋識(shí)別）7.2.2數(shù)據(jù)備份技術(shù)不同的網(wǎng)絡(luò)，網(wǎng)絡(luò)中的不同用戶，均需要根據(jù)自己的實(shí)際情況來(lái)制定不同的備份策略目前被采用最多的備份策略主要有以下三種：（1）完全備份（fullbackup）將用戶指定的數(shù)據(jù)甚至是整個(gè)系統(tǒng)的數(shù)據(jù)進(jìn)行完全的備份（2）增量備份(incrementalbackup)只有那些在上次完全或者增量備份后被修改了的文件才會(huì)被備份（3）差分備份(differentialbackup)將最近一次完全備份后產(chǎn)生的所有數(shù)據(jù)更新進(jìn)行備份7.2.3訪問(wèn)控制技術(shù)訪問(wèn)控制的主要功能：（1）防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源（如：學(xué)生進(jìn)入老師才可以訪問(wèn)的成績(jī)頁(yè)面）；（2）允許合法用戶訪問(wèn)受保護(hù)的網(wǎng)絡(luò)資源（如：老師經(jīng)許可訪問(wèn)成績(jī)登錄頁(yè)面）；（3）防止合法的用戶對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問(wèn)（如：合法的教師用戶未經(jīng)許可直接訪問(wèn)了成績(jī)登錄頁(yè)面）7.2.3訪問(wèn)控制技術(shù)訪問(wèn)控制基本元素（1）主體：網(wǎng)絡(luò)中發(fā)出訪問(wèn)操作、存取要求的發(fā)起者（2）客體：被調(diào)用的程序或欲存取的數(shù)據(jù)，即必須進(jìn)行控制的資源或目標(biāo)（3）訪問(wèn)權(quán)：實(shí)際上是對(duì)主體訪問(wèn)客體的方式進(jìn)行的描述7.2.3訪問(wèn)控制技術(shù)訪問(wèn)控制主要策略（1）自主訪問(wèn)控制（2）強(qiáng)制訪問(wèn)控制（3）基于角色的訪問(wèn)控制7.2.4防火墻與病毒防護(hù)防火墻技術(shù)7.2.4防火墻與病毒防護(hù)防火墻的組成和特征兩個(gè)網(wǎng)絡(luò)之間的所有通信數(shù)據(jù)流都要通過(guò)防火墻；防火墻本身不會(huì)影響信息的流通，也不會(huì)更改流通的信息內(nèi)容；只有被防火墻安全策略（如服務(wù)訪問(wèn)政策、應(yīng)用網(wǎng)關(guān)、過(guò)濾規(guī)則）允許授權(quán)的信息才能夠通過(guò)防火墻（其他惡意信息不被允許）；防火墻本身是穿不透的7.2.4防火墻與病毒防護(hù)防火墻的基本類型網(wǎng)絡(luò)級(jí)防火墻7.2.4防火墻與病毒防護(hù)應(yīng)用代理防火墻7.2.4防火墻與病毒防護(hù)電路級(jí)網(wǎng)關(guān)型防火墻7.2.4防火墻與病毒防護(hù)規(guī)則檢查防火墻7.2.4防火墻與病毒防護(hù)防火墻的體系結(jié)構(gòu)防火墻可以置于網(wǎng)絡(luò)架構(gòu)中的應(yīng)用層、網(wǎng)絡(luò)層或傳輸層，作為一個(gè)阻塞點(diǎn)，來(lái)監(jiān)視和拋棄對(duì)應(yīng)層的網(wǎng)絡(luò)流量雙重/多重宿主主機(jī)體系結(jié)構(gòu)有兩個(gè)或多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng)，這類系統(tǒng)可以連接多個(gè)網(wǎng)絡(luò)，實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)之間的訪問(wèn)控制7.2.4防火墻與病毒防護(hù)7.2.4防火墻與病毒防護(hù)屏蔽主機(jī)體系結(jié)構(gòu)使用一個(gè)單獨(dú)的路由器，該路由器提供來(lái)自堡壘主機(jī)的服務(wù)7.2.4防火墻與病毒防護(hù)屏蔽子網(wǎng)體系結(jié)構(gòu)通過(guò)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)，通過(guò)添加周邊網(wǎng)絡(luò)（DMZ）更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開7.2.4防火墻與病毒防護(hù)防火墻的部署和配置目前網(wǎng)絡(luò)的防火墻部署多采用分布式混合防火墻，這類部署涉及在一個(gè)中心管理員控制下協(xié)同工作的獨(dú)立防火墻設(shè)備和基于主機(jī)的防火墻7.2.4計(jì)算機(jī)病毒及防護(hù)計(jì)算機(jī)病毒(ComputerVirus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義為“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”常見(jiàn)定義：利用計(jì)算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼7.2.4計(jì)算機(jī)病毒及防護(hù)病毒的組成感染機(jī)制：病毒傳播和使病毒能夠自我復(fù)制的方法，通常包括感染標(biāo)記和感染模塊兩部分觸發(fā)條件：激活或控制病毒感染和破壞活動(dòng)的事件或條件破壞模塊：主要負(fù)責(zé)病毒的破壞工作7.2.4計(jì)算機(jī)病毒及防護(hù)病毒的分類按照感染目標(biāo)分類：感染引導(dǎo)扇區(qū)病毒感染可執(zhí)行文件病毒一般應(yīng)用型病毒按照寄生方式分類：操作系統(tǒng)型病毒入侵型病毒外殼型病毒7.2.4計(jì)算機(jī)病毒及防護(hù)病毒的防范——IBM公司

數(shù)字免疫系統(tǒng)7.2.5入侵檢測(cè)入侵檢測(cè)技術(shù)（IntrusionDetection）就是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象并作出響應(yīng)的技術(shù)入侵檢測(cè)系統(tǒng)（IDS）則可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為（包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為）進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)7.2.5入侵檢測(cè)入侵檢測(cè)系統(tǒng)的組成其檢測(cè)過(guò)程主要通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：（1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；

（2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；

（3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；

（4）異常行為模式的統(tǒng)計(jì)分析；

（5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

（6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為7.2.5入侵檢測(cè)入侵檢測(cè)系統(tǒng)主要包括以下三個(gè)邏輯組件：（1）傳感器：傳感器主要負(fù)責(zé)收集數(shù)據(jù)，是提供系統(tǒng)事件記錄的信息源，其輸入可以是包含入侵證據(jù)的系統(tǒng)的任何一部分（2）分析器：分析器主要負(fù)責(zé)確定是否發(fā)生了入侵，起輸入來(lái)自于一個(gè)或多個(gè)傳感器或者其他的分析器（3）用戶接口：可以認(rèn)為是對(duì)分析器結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件7.2.5入侵檢測(cè)入侵檢測(cè)系統(tǒng)的基本工作步驟：7.2.5入侵檢測(cè)入侵檢測(cè)系統(tǒng)的分類（1）按照輸入數(shù)據(jù)對(duì)象劃分基于主機(jī)（Host-Based）的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)（Network-Based）的入侵檢測(cè)系統(tǒng)混合型入侵檢測(cè)系統(tǒng)7.2.5入侵檢測(cè)按照技術(shù)劃分：異常檢測(cè)模型（AnomalyDetection）異常檢測(cè)首先假設(shè)入侵者活動(dòng)必定異常于正常主體的活動(dòng)誤用檢測(cè)模型（MisuseDetection）這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式7.2.5入侵檢測(cè)——系統(tǒng)代表：蜜罐7.2.6網(wǎng)絡(luò)安全協(xié)議安全套接層協(xié)議SSL安全套接層（SSL，SecureSocketLayer）是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議。它是在傳輸通信協(xié)議（TCP／IP）上實(shí)現(xiàn)的一種安全協(xié)議，采用公開密鑰技術(shù)，是以一組協(xié)議的方式實(shí)現(xiàn)的一個(gè)通用服務(wù)，被廣泛支持各種類型的網(wǎng)絡(luò)7.2.6安全套接層協(xié)議SSLSSL的體系結(jié)構(gòu)：二層協(xié)議體系結(jié)構(gòu)7.2.6安全套接層協(xié)議SSLSSL記錄協(xié)議SSL記錄協(xié)議為SSL連接提供兩種服務(wù)：

機(jī)密性：握手協(xié)議定義了共享的、可用于對(duì)SSL有效載荷進(jìn)行常規(guī)加密的密鑰。

報(bào)文完整性：握手協(xié)議還定義了共享的、可用來(lái)形成報(bào)文的鑒別碼（MAC）的密鑰7.2.6安全套接層協(xié)議SSL7.2.6安全套接層協(xié)議SSL修改密文規(guī)約協(xié)議用于從一種加密算法轉(zhuǎn)變?yōu)榱硪环N加密算法報(bào)警協(xié)議用于將SSL有關(guān)的報(bào)警傳送給對(duì)方實(shí)體握手協(xié)議用于建立會(huì)話，它允許客戶端和服務(wù)器之間相互鑒別對(duì)方的身份、協(xié)商加密和MAC算法以及用來(lái)保護(hù)在SSL記錄中發(fā)送數(shù)據(jù)的加密密鑰在傳輸任何應(yīng)用數(shù)據(jù)之前，都必須使用握手協(xié)議。它由一系列在客戶和服務(wù)器之間交換的報(bào)文組成7.2.6VPN相關(guān)協(xié)議VPN基于隧道技術(shù)來(lái)傳輸數(shù)據(jù)根據(jù)VPN實(shí)現(xiàn)的層次，隧道協(xié)議可以分為二層隧道協(xié)議：點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）三層隧道協(xié)議：通用路由封裝協(xié)議（GRE）、IP安全協(xié)議（IPSec）IPSec（IPSecurity）是InternetEngineeringTaskForce（IETF）制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的一組框架協(xié)議的總稱7.2.6VPN相關(guān)協(xié)議VPN基于隧道技術(shù)來(lái)傳輸數(shù)據(jù)根據(jù)VPN實(shí)現(xiàn)的層次，隧道協(xié)議可以分為二層隧道協(xié)議：點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）三層隧道協(xié)議：通用路由封裝協(xié)議（GRE）、IP安全協(xié)議（IPSec）IPSec（IPSecurity）是InternetEngineeringTaskForce（IETF）制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的一組框架協(xié)議的總稱7.2.6IPSec（1）認(rèn)證報(bào)頭協(xié)議（AH，AuthenticationHeader）7.2.6IPSec（2）封裝安全有效載荷協(xié)議（ESP，EncapsulationSecurityPayload）7.2.6IPSec（3）因特網(wǎng)密鑰交換協(xié)議（IKE，InternetKeyExchange）7.3網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)管理：網(wǎng)絡(luò)管理員通過(guò)網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作，包括對(duì)硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對(duì)網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測(cè)試、配置、分析、評(píng)價(jià)和控制，這樣就能以合理的價(jià)格滿足網(wǎng)絡(luò)的一些需求，如實(shí)時(shí)運(yùn)行性能、服務(wù)質(zhì)量等7.3.1網(wǎng)絡(luò)管理功能和模型網(wǎng)絡(luò)管理功能網(wǎng)絡(luò)管理技術(shù)需要提供如下五大功能：（1）故障管理(FaultManagement)當(dāng)網(wǎng)絡(luò)中某個(gè)組成失效時(shí)，網(wǎng)絡(luò)管理器能夠迅速查找到故障并及時(shí)排除故障監(jiān)測(cè)故障報(bào)警故障信息管理排錯(cuò)支持工具檢索/分析故障信息7.3.1網(wǎng)絡(luò)管理功能和模型（2）計(jì)費(fèi)管理(AccountingManagement)計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)計(jì)費(fèi)數(shù)據(jù)采集數(shù)據(jù)管理與數(shù)據(jù)維護(hù)計(jì)費(fèi)政策制定政策比較與決策支持?jǐn)?shù)據(jù)分析與費(fèi)用計(jì)算數(shù)據(jù)查詢7.3.1網(wǎng)絡(luò)管理功能和模型（3）配置管理(ConfigurationManagement)配置管理主要是對(duì)網(wǎng)絡(luò)初始化并配置網(wǎng)絡(luò)，以使其提供網(wǎng)絡(luò)服務(wù)配置信息的自動(dòng)獲取自動(dòng)配置、自動(dòng)備份及相關(guān)技術(shù)配置一致性檢查用戶操作記錄功能7.3.1網(wǎng)絡(luò)管理功能和模型（4）性能管理(PerformanceManagement)性能管理主要是對(duì)網(wǎng)絡(luò)系統(tǒng)中資源的運(yùn)行狀況及通信效率等系統(tǒng)性能進(jìn)行估價(jià)，其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機(jī)制性能監(jiān)控閾值控制性能分析可視化的性能報(bào)告實(shí)時(shí)性能監(jiān)控網(wǎng)絡(luò)對(duì)象性能查詢7.3.1網(wǎng)絡(luò)管理功能和模型（5）安全管理(SecurityManagement)越來(lái)越多的網(wǎng)絡(luò)安全技術(shù)出現(xiàn)并升級(jí)，要管理協(xié)調(diào)并有機(jī)地組合這些相關(guān)的安全技術(shù)，網(wǎng)絡(luò)安全管理不可獲取性能監(jiān)控網(wǎng)絡(luò)資源的訪問(wèn)控制告警事件分析主機(jī)系統(tǒng)的安全漏洞檢測(cè)網(wǎng)絡(luò)管理本身的安全需要由以下機(jī)制來(lái)保證：管理員身份認(rèn)證管理信息存儲(chǔ)和傳輸?shù)募用芘c完整性網(wǎng)絡(luò)管理用戶分組管理與訪問(wèn)控制系統(tǒng)日志分析7.3.2網(wǎng)絡(luò)管理模型網(wǎng)絡(luò)管理包括對(duì)硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對(duì)網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測(cè)試、配置、分析、評(píng)價(jià)和控制，這樣就能以合理的價(jià)格滿足網(wǎng)絡(luò)的一些需求，如實(shí)時(shí)運(yùn)行性能，服務(wù)質(zhì)量等。網(wǎng)絡(luò)管理常簡(jiǎn)稱為網(wǎng)管。7.3.2網(wǎng)絡(luò)管理模型管理站因特網(wǎng)網(wǎng)絡(luò)管理員

被管設(shè)備——管理程序（運(yùn)行SNMP客戶程序）——代理程序（運(yùn)行SNMP服務(wù)器程序）AAAAM

被管設(shè)備

被管設(shè)備

被管設(shè)備MAA

被管設(shè)備網(wǎng)管協(xié)議7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件管理站也常稱為網(wǎng)絡(luò)運(yùn)行中心

NOC(NetworkOperationsCenter)，是網(wǎng)絡(luò)管理系統(tǒng)的核心管理站的關(guān)鍵構(gòu)件是管理程序，在運(yùn)行時(shí)就成為管理進(jìn)程管理站（硬件）或管理程序（軟件）都可稱為管理者(manager)。Manager不是指人而是指機(jī)器或軟件。網(wǎng)絡(luò)管理員(administrator)指的是人。大型網(wǎng)絡(luò)往往實(shí)行多級(jí)管理，因而有多個(gè)管理者，而一個(gè)管理者一般只管理本地網(wǎng)絡(luò)的設(shè)備。7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件網(wǎng)絡(luò)管理協(xié)議，簡(jiǎn)稱為網(wǎng)管協(xié)議。需要注意的是，并不是網(wǎng)管協(xié)議本身來(lái)管理網(wǎng)絡(luò)。網(wǎng)管協(xié)議就是管理程序和代理程序之間進(jìn)行通信的規(guī)則。網(wǎng)絡(luò)管理員利用網(wǎng)管協(xié)議通過(guò)管理站對(duì)網(wǎng)絡(luò)中的被管設(shè)備進(jìn)行管理。7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件網(wǎng)絡(luò)管理信息庫(kù)：網(wǎng)絡(luò)中被管理對(duì)象必須維持可供管理程序讀寫的若干控制和狀態(tài)信息。這些信息構(gòu)成的數(shù)據(jù)庫(kù)被總稱為管理信息庫(kù)MIB(ManagementInformationBase)管理程序使用MIB中這些信息的值對(duì)網(wǎng)絡(luò)進(jìn)行管理（如讀取或重新設(shè)置這些值）7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件被管代理在每一個(gè)被管設(shè)備中都要運(yùn)行一個(gè)程序以便和管理站中的管理程序進(jìn)行通信。這些運(yùn)行著的程序叫做網(wǎng)絡(luò)管理代理程序，或簡(jiǎn)稱為代理代理程序在管理程序的命令和控制下在被管設(shè)備上采取本地的行動(dòng)。駐留在用戶主機(jī)和網(wǎng)絡(luò)互連設(shè)備等所有被管理7.3.2網(wǎng)絡(luò)管理模型中的主要構(gòu)件7.3.2網(wǎng)絡(luò)管理系統(tǒng)主要體系結(jié)構(gòu)（1）集中式網(wǎng)絡(luò)管理7.3.2網(wǎng)絡(luò)管理系統(tǒng)主要體系結(jié)構(gòu)（2）層次化網(wǎng)絡(luò)管理7.3.2網(wǎng)絡(luò)管理系統(tǒng)主要體系結(jié)構(gòu)（3）分布式網(wǎng)絡(luò)管理7.3.2網(wǎng)絡(luò)管理協(xié)議SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP，SimpleNetWorkManagementProtocol）是最早提出的網(wǎng)絡(luò)管理協(xié)議之一，其前身是簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP），主要用來(lái)對(duì)通信線路進(jìn)行管理7.3.2SNMPSNMP的體系結(jié)構(gòu)是圍繞著四個(gè)概念和目標(biāo)進(jìn)行設(shè)計(jì)的：（1）保持管理代理（agent）的軟件成本盡可能低；（2）最大限度保持遠(yuǎn)程管理的功能，以便充分利用Internet的網(wǎng)絡(luò)資源；（3）體系結(jié)構(gòu)必須有擴(kuò)充的余地；（4）保持SNMP的獨(dú)立性，不依賴于具體的計(jì)算機(jī)、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。在最近的改進(jìn)中，又加入了保證SNMP體系本身安全性的目標(biāo)7.3.2SNMPSNMP協(xié)議的工作機(jī)制:主要通過(guò)各種不同類型的消息，即PDU（協(xié)議數(shù)據(jù)單位）實(shí)現(xiàn)網(wǎng)絡(luò)信息的交換PDU：一種變量對(duì)象，其中每一個(gè)變量都是由標(biāo)題和變量值兩部分組成：（1）標(biāo)題：SNMP對(duì)應(yīng)的共同體名，加上發(fā)送方的一些標(biāo)識(shí)信息(附加信息)，用以驗(yàn)證發(fā)送方確實(shí)是共同體中的成員，共同體實(shí)際上就是用來(lái)實(shí)現(xiàn)管理應(yīng)用實(shí)體之間身份鑒別的；

（2）變量值：即數(shù)據(jù)，就是兩個(gè)管理應(yīng)用實(shí)體之間真正需要交換的信息7.3.2CMIS/CMIPCMIS/CMIP公共管理信息服務(wù)/公共管理信息協(xié)議（CMIS/CMIP，CommonManagementInformationService/Protocol）是OSI提供的網(wǎng)絡(luò)管理協(xié)議簇。CMIS定義了每個(gè)網(wǎng)絡(luò)組成部件提供的網(wǎng)絡(luò)管理服務(wù)，CMIP則是實(shí)現(xiàn)CIMS服務(wù)的協(xié)議，包括一個(gè)接口支持ISO和用戶定義（user-defined）管理協(xié)議7.3.2CMIS/CMIPCMIP治理模型可以用3種模型進(jìn)行描述：組織模型用于描述治理任務(wù)如何分配；功能模型描述了各種網(wǎng)絡(luò)治理功能和它們之間的關(guān)系；信息模型提供了描述被管對(duì)象和相關(guān)治理信息的準(zhǔn)則7.3.2