計算機(jī)網(wǎng)絡(luò)安全與管理基礎(chǔ)

計算機(jī)網(wǎng)絡(luò)安全與管理基礎(chǔ)第一頁，共四十七頁，2022年，8月28日第一節(jié)計算機(jī)網(wǎng)絡(luò)安全與管理一、計算機(jī)網(wǎng)絡(luò)安全的定義1、計算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠地正常運行網(wǎng)絡(luò)服務(wù)不中斷。從安全主體的角度來分，網(wǎng)絡(luò)安全包括兩個方面的內(nèi)容，一個是網(wǎng)絡(luò)設(shè)備安全，一個是網(wǎng)絡(luò)信息(數(shù)據(jù))安全。第二頁，共四十七頁，2022年，8月28日網(wǎng)絡(luò)設(shè)備安全是指人為的或自然的因素導(dǎo)致網(wǎng)絡(luò)設(shè)備被破壞，進(jìn)而導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓和數(shù)據(jù)流失。網(wǎng)絡(luò)信息安全一般是指網(wǎng)絡(luò)信息的機(jī)密性、完整性、可用性及真實性。第三頁，共四十七頁，2022年，8月28日2、網(wǎng)絡(luò)安全策略物理安全策略：物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器和打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊。訪問控制策略：訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制，以及防火墻控制等，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問。信息加密策略：信息加密策略的目的是保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)、文件、密碼和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。信息加密過程是由形形色色的加密算法來具體實施，它以很小的代價提供很大的安全保護(hù)。網(wǎng)絡(luò)安全管理策略：在網(wǎng)絡(luò)安全中，除了采用上述技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)安全可靠地運行將起到十分有效的作用。第四頁，共四十七頁，2022年，8月28日3、網(wǎng)絡(luò)安全的特征保密性：信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實體訪問并按需求使用的特性，即當(dāng)需要時應(yīng)能存取所需的信息。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊?？煽匦裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力。第五頁，共四十七頁，2022年，8月28日4、網(wǎng)絡(luò)安全防范措施選擇性能優(yōu)良的服務(wù)器。服務(wù)器是網(wǎng)絡(luò)的核心；它的故障意味著整個網(wǎng)絡(luò)的癱瘓，因此，要求的服務(wù)應(yīng)具有：容錯能力，帶電熱插拔技術(shù)，智能I／O技術(shù)，以及具有良好的擴(kuò)展性。采用服務(wù)器備份。服務(wù)器備份方式分為冷備份與熱備份二種，熱備份方式由于實時性好，可以保證數(shù)據(jù)的完整性和連續(xù)性，得以廣泛采用的一種備份方式。對重要網(wǎng)絡(luò)設(shè)備、通信線路備份。通信故障就意味著正常工作無法進(jìn)行。所以，對于交換機(jī)、路由器以及通信線路最好都要有相應(yīng)的備份措施。第六頁，共四十七頁，2022年，8月28日二、網(wǎng)絡(luò)安全的威脅1、網(wǎng)絡(luò)安全受到威脅的主要表現(xiàn)非授權(quán)訪問，這主要的是指對網(wǎng)絡(luò)設(shè)備以及信息資源進(jìn)行非正常使用或超越權(quán)限使用；假冒合法用戶，主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)，以達(dá)到占用合法用戶資源的目的；數(shù)據(jù)完整性受破壞；干擾系統(tǒng)的正常運行，改變系統(tǒng)正常運行的方向，以及延時系統(tǒng)的響應(yīng)時間；病毒；通信線路被竊聽等。第七頁，共四十七頁，2022年，8月28日2、威脅網(wǎng)絡(luò)安全的因素計算機(jī)系統(tǒng)的脆弱性協(xié)議安全的脆弱性數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性人為的因素各種外部威脅第八頁，共四十七頁，2022年，8月28日三、攻擊網(wǎng)絡(luò)的主要途徑

1、計算機(jī)犯罪的定義一是政法大學(xué)信息技術(shù)立法課題組從學(xué)術(shù)角度所作的定義，即“與計算機(jī)相關(guān)的危害社會并應(yīng)當(dāng)處以刑罰的行為”；一是我們提出的定義，即“以計算機(jī)為工具或以計算機(jī)資產(chǎn)為對象實施的犯罪行為”。這里所說的工具是指計算機(jī)信息系統(tǒng)(包括大、中、小、微型系統(tǒng))，也包括在犯罪進(jìn)程中計算機(jī)技術(shù)知識所起的作用和非技術(shù)知識的犯罪行為。立法通常定義計算機(jī)犯罪為通過專門的計算機(jī)知識來完成的犯罪行為。第九頁，共四十七頁，2022年，8月28日2、網(wǎng)絡(luò)犯罪分子進(jìn)行網(wǎng)絡(luò)攻擊的主要途徑數(shù)據(jù)欺騙：非法篡改數(shù)據(jù)或輸入假數(shù)據(jù)；特洛伊木馬術(shù)：非法裝入秘密指令或程序，由計算機(jī)執(zhí)行犯罪活動；香腸術(shù)：利用計算機(jī)從金融銀行信息系統(tǒng)上一點點竊取存款，如竊取各戶頭上的利息尾數(shù)，積少成多；邏輯炸彈:輸入犯罪指令，以便在指定的時間或條件下抹除數(shù)據(jù)文卷，或者破壞系統(tǒng)功能；第十頁，共四十七頁，2022年，8月28日網(wǎng)絡(luò)犯罪分子進(jìn)行網(wǎng)絡(luò)攻擊的主要途徑（2）線路截收：從系統(tǒng)通信線路上截取信息；陷阱術(shù)：利用程序中用于調(diào)試或修改、增加程序功能而特設(shè)的斷點，插入犯罪指令或在硬件中相應(yīng)的地方增設(shè)某種供犯罪用的裝置，總之是利用軟件和硬件的某些斷點或接口插入犯罪指令或裝置；寄生術(shù)：用某種方式緊跟有特權(quán)的用戶打入系統(tǒng)，或者在系統(tǒng)中裝入“寄生蟲”；超級沖殺：用共享程序突破系統(tǒng)防護(hù)，進(jìn)行非法存取或破壞數(shù)據(jù)及系統(tǒng)功能；異步攻擊：將犯罪指令混雜在正常作業(yè)程序中，以獲取數(shù)據(jù)文件；第十一頁，共四十七頁，2022年，8月28日網(wǎng)絡(luò)犯罪分子進(jìn)行網(wǎng)絡(luò)攻擊的主要途徑（3）電腦病毒：將具有破壞系統(tǒng)功能和系統(tǒng)服務(wù)與破壞或抹除數(shù)據(jù)文卷的犯罪程序裝入系統(tǒng)某個功能程序中，讓系統(tǒng)在運行期間將犯罪程序自動拷貝給其它系統(tǒng)，這就好像傳染性病毒一樣四處蔓延。黑客入侵。搭線竊聽或線路干擾：將先進(jìn)的電子設(shè)備連入網(wǎng)絡(luò)，利用專門的工具軟件對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行分析，獲取有用信息。竊?。喝肭终呃眯湃侮P(guān)系，冒充一方與另一方連網(wǎng)，以竊取信息。會話劫奪：入侵者首先在網(wǎng)絡(luò)上窺探現(xiàn)有的會話，發(fā)現(xiàn)有攻擊價值的會話后，便將參與會話的一方截斷，并頂替被截斷方繼續(xù)與另一方連接，以獲取信息。利用操作系統(tǒng)漏洞：任何操作系統(tǒng)都有不可避免的漏洞存在，網(wǎng)絡(luò)犯罪分子利用操作系統(tǒng)本身的漏洞，對其進(jìn)行攻擊。第十二頁，共四十七頁，2022年，8月28日

第二節(jié)、數(shù)據(jù)加密一、數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密。數(shù)據(jù)傳輸加密技術(shù)主要是對傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有鏈路加密、節(jié)點加密和端到端加密三種方式。鏈路加密，是傳輸數(shù)據(jù)僅在物理層前的數(shù)據(jù)鏈路層進(jìn)行加密，不考慮信源和信宿，信息在每臺節(jié)點機(jī)內(nèi)都要被解密和再加密，依次進(jìn)行，直至到達(dá)目的地。節(jié)點加密方法，是在節(jié)點處采用一個與節(jié)點機(jī)相連的密碼裝置，密文在該裝置中被解密并被重新加密，明文不通過節(jié)點機(jī)。端到端加密是發(fā)送端加密，接收端解密，在應(yīng)用層完成，對用戶可見。第十三頁，共四十七頁，2022年，8月28日二、公開密鑰密碼技術(shù)數(shù)據(jù)加密技術(shù)通常使用一組密碼與被加密的數(shù)據(jù)進(jìn)行混合運算。未加密的數(shù)據(jù)稱為明文，將明文映射成不可讀、但仍不失其原信息的密文的過程稱為加密，而相反過程即為解密。對數(shù)據(jù)信息的加解密，密鑰是安全的關(guān)鍵。通常有兩種方法，即私人密鑰法和公用密鑰法。私人密鑰法也稱對稱加密法，加密和解密信息使用相同的密鑰。70年代中期，出現(xiàn)了公共密鑰技術(shù)，又稱非對稱加密法。通過公共密鑰加密，每個人可有一對密鑰，一個是公共的，一個是私人的。每人的公共密鑰將對外發(fā)行，而私人密鑰被秘密保管。當(dāng)A想要送給B一個秘密報文時，他就使用B的公共密鑰將它加密發(fā)送。當(dāng)B得到該報文時，他用自己的私人密鑰進(jìn)行解密。這樣，發(fā)送者和接收者在進(jìn)行秘密通信時，就不必非得共同擁有秘密密鑰第十四頁，共四十七頁，2022年，8月28日公開密鑰密碼技術(shù)第十五頁，共四十七頁，2022年，8月28日三、常用的認(rèn)證方法1、口令認(rèn)證口令認(rèn)證基本思想是每一個用戶都有一個標(biāo)識和口令，當(dāng)用戶想進(jìn)入系統(tǒng)時，他必須先提供其標(biāo)識和口令，系統(tǒng)就可以檢驗用戶的合法性。因此口令認(rèn)證具有價格低廉、容易實現(xiàn)且用戶界面友好的特點。口令認(rèn)證被人們稱為“知道即可”的認(rèn)證方法，其安全性較低，現(xiàn)在很多地方開始轉(zhuǎn)向一種名為“拿到方可”的認(rèn)證方法，即用戶必須使用智能卡之類的設(shè)備才能認(rèn)證自己。第十六頁，共四十七頁，2022年，8月28日2、數(shù)字簽名數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)的加、解密算法體制來實現(xiàn)對報文的數(shù)字簽名。數(shù)字簽名能夠?qū)崿F(xiàn)以下功能。1)收方能夠證實發(fā)方的真實身份；2)發(fā)方事后不能否認(rèn)所發(fā)送過的報文；3)收方或非法者不能偽造、篡改報文。實現(xiàn)數(shù)字簽名的方法較多，常用的數(shù)字簽名技術(shù)有兩種：私人密鑰的數(shù)字簽名：對稱式加密公用密鑰的數(shù)字簽名：非對稱式加密第十七頁，共四十七頁，2022年，8月28日3、認(rèn)證中心數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，其作用類似于現(xiàn)實生活中的身份證。它是由一個權(quán)威機(jī)構(gòu)發(fā)行的，人們可以在交往中用它來識別對方的身份。數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)。發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份；發(fā)送方對于自己發(fā)送的信息不能抵賴。認(rèn)證中心就是一個負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)。對于一個大型的應(yīng)用環(huán)境，認(rèn)證中心往往采用—種多層次的分級結(jié)構(gòu)，各級的認(rèn)證中心類似于各級行政機(jī)關(guān)，上級認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級認(rèn)證中心的證書，最下一級的認(rèn)證中心直接面向最終用戶。第十八頁，共四十七頁，2022年，8月28日四、數(shù)據(jù)加解密的典型工具加密狗，它包含一個安裝在計算機(jī)并行口或USB口上的硬件，及一套適用于各種語言的接口軟件和工具軟件。加密狗基于硬件加密技術(shù)，其目的是通過對軟件與數(shù)據(jù)的加密防止知識產(chǎn)權(quán)被非法使用。光盤加密大師是一款光盤加密制作工具，可以用它對光盤鏡像文件（ISO）進(jìn)行可視化修改，將光盤鏡像文件中的目錄和文件特別隱藏，將普通文件變?yōu)槌笪募?，將普通目錄變?yōu)槲募夸?。它可以修改多種格式的ISO文件系統(tǒng)，輕松制作自己的個性化加密光盤。Winzip與WinRAR，兩個通用的壓縮工具，可以在壓縮文件的過程中，設(shè)置加密的密碼，是小巧簡單的數(shù)據(jù)加密工具。Office自帶的加密，在微軟的office中，都帶有安全工具，通過“工具/選項/安全性”可以設(shè)置打開與修改文檔的密碼。第十九頁，共四十七頁，2022年，8月28日四、數(shù)據(jù)加解密的典型工具解密工具：針對不同的加密工具，有相應(yīng)的解密軟件針對不同的加密狗，有一系列相應(yīng)的破解軟件，俗稱打狗棒；針對加密光盤有超級加密光盤破解器等工具；針對winzip有ZipKey等工具；針對WinRAR的密碼破解工具AdvancedRARPasswordRecovery；針對Office的AOPR等。第二十頁，共四十七頁，2022年，8月28日第三節(jié)病毒基本原理與防火墻一、計算機(jī)病毒計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。第二十一頁，共四十七頁，2022年，8月28日1、病毒的工作原理病毒是一個程序，一段人為編制的計算機(jī)程序代碼。它通過想辦法在正常程序運行之前運行，并處于特權(quán)級狀態(tài)。這段程序代碼一旦進(jìn)入計算機(jī)并得以執(zhí)行，對計算機(jī)的某些資源進(jìn)行監(jiān)視。它會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺計算機(jī)染毒，如不及時處理，那么病毒會在這臺機(jī)子上迅速擴(kuò)散，其中的大量文件（一般是可執(zhí)行文件）會被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會繼續(xù)進(jìn)行傳染。

病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。第二十二頁，共四十七頁，2022年，8月28日2、病毒的分類引導(dǎo)型病毒：在BIOS之后，系統(tǒng)引導(dǎo)時出現(xiàn)的病毒，先于操作系統(tǒng)，隱藏在系統(tǒng)中伺機(jī)發(fā)作文件型病毒一般只傳染磁盤上的可執(zhí)行文件（COM，EXE）。混合型病毒兼有以上兩種病毒的特點，既染引導(dǎo)區(qū)又染文件，因此擴(kuò)大了這種病毒的傳染途徑。宏病毒是一種寄存在文檔或模板的宏中的計算機(jī)病毒。腳本病毒是使用VBScript或者JavaScript腳本語言編寫而成，可以在Winword、網(wǎng)頁、電子郵件中。第二十三頁，共四十七頁，2022年，8月28日三、病毒檢測技術(shù)病毒碼掃描法：根據(jù)病毒特征編寫病毒碼，加入病毒庫加總比對法:文件名稱、大小、日期、內(nèi)容加總為一個檢查碼人工智能陷阱：內(nèi)存檢查軟件模擬掃描法：在虛擬機(jī)下執(zhí)行、使病毒顯露本來面目先知掃描法：病毒碼歸納成專家知識系統(tǒng)庫，分析出新病毒碼即時I/O掃描：做病毒碼比對，希望在執(zhí)行之前防堵下來。第二十四頁，共四十七頁，2022年，8月28日二、網(wǎng)絡(luò)黑客黑客是那些檢查網(wǎng)絡(luò)系統(tǒng)完整性和完全性的人，他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。“黑客”能使更多的網(wǎng)絡(luò)趨于完善和安全，他們以保護(hù)網(wǎng)絡(luò)為目的，而以不正當(dāng)侵入為手段找出網(wǎng)絡(luò)漏洞。入侵者只不過是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人，他們往往做一些重復(fù)的工作（如用暴力法破解口令），與黑客不同的是他們以破壞為目的，這些群體稱為“駭客”。第二十五頁，共四十七頁，2022年，8月28日1、網(wǎng)絡(luò)黑客攻擊手段獲取口令：網(wǎng)絡(luò)監(jiān)聽、暴利破解特洛伊木馬：誘使用戶打開，產(chǎn)生報告后，黑客可控制計算機(jī)WWW的欺騙：瀏覽的網(wǎng)頁是黑客編寫的或篡改過的電子郵件攻擊：垃圾郵件、電子郵件欺騙帳戶密碼通過一個節(jié)點來攻擊其他節(jié)點：IP欺騙網(wǎng)絡(luò)監(jiān)聽：監(jiān)聽工具截取包括包括口令帳戶的信息尋找系統(tǒng)漏洞：沒打補(bǔ)丁、或系統(tǒng)管理員配置錯誤利用賬號進(jìn)行攻擊：系統(tǒng)提供缺省帳戶和密碼進(jìn)行攻擊偷取特權(quán)：利用木馬、后門程序、自己編寫的程序攻擊，獲取完全的控制權(quán)第二十六頁，共四十七頁，2022年，8月28日2、黑客攻擊防范措施經(jīng)常做Telnet、Ftp等需要傳送口令的重要機(jī)密信息應(yīng)用的主機(jī)應(yīng)該單獨設(shè)立一個網(wǎng)段，以避免某一臺個人機(jī)被攻破，被攻擊者裝上sniffer，造成整個網(wǎng)段通信全部暴露。有條件的情況下，重要主機(jī)裝在交換機(jī)上，這樣可以避免sniffer偷聽密碼。專用主機(jī)只開專用功能，如運行網(wǎng)管、數(shù)據(jù)庫重要進(jìn)程的主機(jī)上不應(yīng)該運行如Sendmail這種bug比較多的程序。網(wǎng)管網(wǎng)段路由器中的訪問控制應(yīng)該限制在最小限度，研究清楚各進(jìn)程必需的進(jìn)程端口號，關(guān)閉不必要的端口。對用戶開放的各個主機(jī)的日志文件全部定向到一個服務(wù)器上，集中管理。該服務(wù)器可以由一臺擁有大容量存貯設(shè)備的Unix或NT主機(jī)承當(dāng)。定期檢查備份日志主機(jī)上的數(shù)據(jù)。網(wǎng)管不得訪問Internet。并建議設(shè)立專門機(jī)器使用ftp或WWW下載工具和資料。第二十七頁，共四十七頁，2022年，8月28日黑客攻擊防范措施（2）提供電子郵件、WWW、DNS的主機(jī)不安裝任何開發(fā)工具，避免攻擊者編譯攻擊程序。網(wǎng)絡(luò)配置原則是“用戶權(quán)限最小化”，例如關(guān)閉不必要或者不了解的網(wǎng)絡(luò)服務(wù)，不用電子郵件寄送密碼。修改。重要用戶的口令應(yīng)該定期修改（不長于三個月下載安裝最新的操作系統(tǒng)及其它應(yīng)用軟件的安全和升級補(bǔ)丁，安裝幾種必要的安全加強(qiáng)工具，限制對主機(jī)的訪問，加強(qiáng)日志記錄，對系統(tǒng)進(jìn)行完整性檢查，定期檢查用戶的脆弱口令，并通知用戶盡快），不同主機(jī)使用不同的口令。第二十八頁，共四十七頁，2022年，8月28日黑客攻擊防范措施（3）期檢查系統(tǒng)日志文件，在備份設(shè)備上及時備份。制定完整的系統(tǒng)備份計劃，并嚴(yán)格實施。定期檢查關(guān)鍵配置文件（最長不超過一個月）。制定詳盡的入侵應(yīng)急措施以及匯報制度。發(fā)現(xiàn)入侵跡象，立即打開進(jìn)程記錄功能，同時保存內(nèi)存中的進(jìn)程列表以及網(wǎng)絡(luò)連接狀態(tài)，保護(hù)當(dāng)前的重要日志文件，有條件的話，立即打開網(wǎng)段上另外一臺主機(jī)監(jiān)聽網(wǎng)絡(luò)流量，盡力定位入侵者的位置。如有必要，斷開網(wǎng)絡(luò)連接。在服務(wù)主機(jī)不能繼續(xù)服務(wù)的情況下，應(yīng)該有能力從備份磁帶中恢復(fù)服務(wù)到備份主機(jī)上。第二十九頁，共四十七頁，2022年，8月28日三、殺毒的基本原理目前的大多數(shù)殺病毒軟件采用的方法主要是特征碼查毒方案與人工解毒并行，亦即在查病毒時采用特征碼查毒，在殺病毒時采用人工編制解毒代碼。如特征碼技術(shù)，它是基于對已知病毒分析、查解的反病毒技術(shù)。第三十頁，共四十七頁，2022年，8月28日常用的殺毒軟件瑞星金山毒霸江民殺毒卡巴斯基諾頓第三十一頁，共四十七頁，2022年，8月28日四、防火墻的工作原理1、計算機(jī)網(wǎng)絡(luò)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入，如黑客供給、病毒破壞、資源被盜用或文件被篡改等。盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。第三十二頁，共四十七頁，2022年，8月28日2、防火墻的類型數(shù)據(jù)包過濾防火墻應(yīng)用級網(wǎng)關(guān)代理服務(wù)器防火墻混合型防火墻第三十三頁，共四十七頁，2022年，8月28日防火墻的實現(xiàn)方式分組過濾路由器雙穴防范網(wǎng)關(guān)過濾主機(jī)網(wǎng)關(guān)過濾子網(wǎng)防火墻吊帶式防火墻第三十四頁，共四十七頁，2022年，8月28日防火墻軟件天網(wǎng)防火墻瑞星個人防火墻金山網(wǎng)鏢第三十五頁，共四十七頁，2022年，8月28日第四節(jié)、計算機(jī)網(wǎng)絡(luò)管理基礎(chǔ)1、計算機(jī)網(wǎng)絡(luò)管理功能1）故障管理(FaultManagement)2）配置管理(ConfigurationManagement)3）計費管理(AccountingManagement)4）性能管理(PerformanceManagement)5）安全管理(SecurityManagement)第三十六頁，共四十七頁，2022年，8月28日2、網(wǎng)絡(luò)管理體系結(jié)構(gòu)研究單個網(wǎng)管系統(tǒng)內(nèi)部的結(jié)構(gòu)及其成員間的關(guān)系研究多個網(wǎng)管系統(tǒng)如何連接構(gòu)成管理網(wǎng)絡(luò)以管理復(fù)雜的網(wǎng)絡(luò)。第三十七頁，共四十七頁，2022年，8月28日3、網(wǎng)絡(luò)管理協(xié)議簡單網(wǎng)絡(luò)管理協(xié)議SNMP(SimpleNet-workManagementProtocol)；公共管理信息服務(wù)和公共管理信息協(xié)議CMIS/CMIP(CoommonManagementInformationSever/CommonMaagementInformationProtocol)。第三十八頁，共四十七頁，2022年，8月28日SNMPSNMP協(xié)議的工作機(jī)制非常簡單，主要通過各種不同類型的消息，即PDU（協(xié)議數(shù)據(jù)單位）實現(xiàn)網(wǎng)絡(luò)信息的交換。PDU實際上就是一種變量對象，其中每一個變量都是由標(biāo)題和變量值兩部分組成。SNMP主要使用5種類型的PDU對網(wǎng)絡(luò)實施監(jiān)控，兩種用于讀取終端信息，兩種可以設(shè)置終端數(shù)據(jù)，最后一種被用來監(jiān)視各種終端事件，如終端的啟動和關(guān)閉等。第三十九頁，共四十七頁，2022年，8月28日SNMP協(xié)議的優(yōu)點設(shè)計簡單，既不需要復(fù)雜的實現(xiàn)過程，也不會占用太多的網(wǎng)絡(luò)資源，非常便于使用。使用廣泛，幾乎所有的網(wǎng)絡(luò)管理人員都使用簡單的SNMP來完成工作操作。這就促使各大網(wǎng)絡(luò)硬件產(chǎn)品商在設(shè)計和生產(chǎn)網(wǎng)橋、路由器等網(wǎng)絡(luò)設(shè)備時都加入了對SNMP協(xié)議的支持。良好的可擴(kuò)展性，因為協(xié)議本身非常簡單，所以對協(xié)議的任何升級或擴(kuò)展也非常方便，從而能夠滿足今后網(wǎng)絡(luò)的發(fā)展需求。第四十頁，共四十七頁，2022年，8月28日SNMP協(xié)議的缺點SNMP協(xié)議存在一些安全漏洞，網(wǎng)絡(luò)入侵者很容易獲取正在通過網(wǎng)絡(luò)傳遞的各種信息，設(shè)置可以關(guān)閉某些終端。對此，SNMP提出了自己的解決方案，在新版本SNMPv2中增加了一些安全機(jī)制，可以有效的解決一些安全性問題SNMP太過簡單而無法處理各種細(xì)節(jié)信息，無法滿足當(dāng)今日益膨脹的網(wǎng)絡(luò)的發(fā)展需要。同樣，SNMPv2對這一問題也進(jìn)行了改進(jìn)，也有人認(rèn)為SNMPv2已經(jīng)喪失了原先的簡單性，但是從另一方面來說，對SNMP的改造也是必需的，在網(wǎng)絡(luò)飛速發(fā)展了幾十年之后，SNMP必須能夠適應(yīng)新時代的網(wǎng)絡(luò)要求。第四十一頁，共四十七頁，2022年，8月28日CMIPCMIP在設(shè)計上以SNMP為基礎(chǔ)，對SNMP的缺陷進(jìn)行了改進(jìn)，是一種更加復(fù)雜，更加詳細(xì)的網(wǎng)絡(luò)管理協(xié)議。第四十二頁，共四十七頁，2022年，8月28日CMIP的特點協(xié)議所使用的變量不僅可以象SNMP那樣在網(wǎng)絡(luò)管理系統(tǒng)和終端之間傳遞信息，還可以被用來執(zhí)行各種在SNMP中不可能實現(xiàn)的任務(wù)。CMIP可以說是一種更加有效的網(wǎng)絡(luò)管理系統(tǒng)，可以大大簡化用戶對網(wǎng)絡(luò)的人工監(jiān)控。解決了SNMP協(xié)議中所存在的許多問題。例如，CMIP內(nèi)置了安全管理設(shè)備，支持驗證、訪問控制和安全日志等安全防范措施，從而使CMIP協(xié)議本身成為一種安全的系統(tǒng)，不必再象SNMP那樣需要進(jìn)行安全升級。CMIP的不足在于，CMIP協(xié)議所占用的網(wǎng)絡(luò)系統(tǒng)資源相當(dāng)于SNMP的十倍。也就是說，如果不進(jìn)行大規(guī)模的改造，很少有網(wǎng)絡(luò)系統(tǒng)能夠全面的支持CMIP。第四十三頁，共四十七頁，2022年，8月28日SNMP簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是最早