《計算機組網(wǎng)技術》省公開課金獎全國賽課一等獎微課獲獎課件

第9章

網(wǎng)絡安全與管理技術1/63本章主要內容9.1網(wǎng)絡安全問題概述

9.1.1網(wǎng)絡安全概念

9.1.2網(wǎng)絡安全控制模型

9.1.3安全威脅9.2網(wǎng)絡安全技術

9.2.1加密與認證技術

9.2.2數(shù)字署名技術

9.2.3入侵檢測技術

9.2.4防火墻技術

9.2.5訪問控制列表9.3網(wǎng)絡管理技術9.4計算機病毒習題與思索題九2/639.1網(wǎng)絡安全問題概述安全問題正日益突出，要求提升網(wǎng)絡安全性呼聲也日益高漲。所以，為了確保網(wǎng)絡信息安全必須采取對應技術。當前網(wǎng)絡中采取安全技術，主要包含物理安全、數(shù)據(jù)加密、網(wǎng)絡認證技術、防火墻技術、入侵檢測、網(wǎng)絡安全協(xié)議和網(wǎng)絡管理。3/639.1.1網(wǎng)絡安全概念網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)受到保護，不會因為偶然或惡意原因而遭到破壞、更改、泄露等意外發(fā)生。網(wǎng)絡安全是一個包括計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論和信息論等各種學科邊緣學科。網(wǎng)絡安全普通能夠了解為：（1）運行系統(tǒng)安全，即確保信息處理和傳輸系統(tǒng)安全。（2）網(wǎng)絡上系統(tǒng)信息安全。（3）網(wǎng)絡上信息內容安全。4/63圖9-1網(wǎng)絡安全組成操作安全通信安全TEMPEST信息安全物理安全工業(yè)安全計算機安全人員安全網(wǎng)絡安全5/639.1.2網(wǎng)絡安全控制模型可信任第三方（比如保密信息仲裁者、公布者）信息通道主體消息秘密

信息主體消息秘密

信息安全性相關轉換安全性相關轉換對手圖9-2網(wǎng)絡安全模型6/63確保安全性全部機制包含以下兩部分：（1）對被傳送信息進行與安全相關轉換。圖9-2中包含了消息加密和以消息內容為基礎補充代碼。加密消息使對手無法閱讀，補充代碼能夠用來驗證發(fā)送方身份。（2）兩個主體共享不希望對手得知保密信息。比如，使用密鑰連接，在發(fā)送前對信息進行轉換，在接收后再轉換過來。7/63這種通用模型指出了設計特定安全服務4個基本任務：（1）設計執(zhí)行與安全性相關轉換算法，該算法必須使對手不能破壞算法以實現(xiàn)其目標。（2）生成算法使用保密信息。（3）開發(fā)分發(fā)和共享保密信息方法。（4）指定兩個主體要使用協(xié)議，并利用安全算法和保密信息來實現(xiàn)特定安全服務。8/639.1.3安全威脅針對網(wǎng)絡安全威脅主要有三種：（1）人為無意失誤。（2）人為惡意攻擊。（3）網(wǎng)絡軟件漏洞和“后門”。9/631．安全攻擊信源信宿（a）正常流動信源信宿信源信宿（d）修改（e）捏造信源信宿信源信宿（b）中止（c）截取10/63以上攻擊可分為被動攻擊和主動攻擊兩種。被動攻擊特點是偷聽或監(jiān)視傳送，其目標是取得正在傳送消息。被動攻擊有：泄露信息內容和通信量分析等。主動攻擊包括修改數(shù)據(jù)或創(chuàng)建錯誤數(shù)據(jù)流，包含假冒、重放、修改消息和拒絕服務等。主動攻擊含有與被動攻擊相反特點。即使極難檢測出被動攻擊，但能夠采取辦法預防它成功。相反，極難絕對預防主動攻擊，因為這么需要在任何時候對全部通信工具和路徑進行完全保護。預防主動攻擊做法是對攻擊進行檢測，并從它引發(fā)中止或延遲中恢復過來。因為檢測含有威懾效果，它也能夠對預防做出貢獻。11/63另外，從網(wǎng)絡高層協(xié)議角度，攻擊方法能夠概括地分為兩大類：服務攻擊與非服務攻擊。服務攻擊（ApplicationDependentAttack）是針對某種特定網(wǎng)絡服務攻擊，如針對E-mail、Telnet、FTP、HTTP等服務專門攻擊。非服務攻擊（ApplicationIndependentAttack）不針對某項詳細應用服務，而是基于網(wǎng)絡層等低層協(xié)議進行。與服務攻擊相比，非服務攻擊與特定服務無關，往往利用協(xié)議或操作系統(tǒng)實現(xiàn)協(xié)議時漏洞來到達攻擊目標，更為隱蔽，而且當前也是經(jīng)常被忽略方面，因而被認為是一個更為有效攻擊伎倆。12/632．基本威脅網(wǎng)絡安全基本目標是實現(xiàn)信息機密性、完整性、可用性和正當性。4個基本安全威脅直接反應了這4個安全目標。普通認為，當前網(wǎng)絡存在威脅主要表現(xiàn)在：（1）信息泄漏或丟失。（2）破壞數(shù)據(jù)完整性。（3）拒絕服務攻擊。（4）非授權訪問。13/633．主要可實現(xiàn)威脅這些威脅能夠使基本威脅成為可能，所以十分主要。它包含兩類：滲透威脅和植入威脅。（1）主要滲透威脅有：假冒、旁路控制、授權侵犯。（2）主要植入威脅有：特洛伊木馬、陷門。14/634．潛在威脅對基本威脅或主要可實現(xiàn)威脅進行分析，能夠發(fā)覺一些特定潛在威脅，而任意一個潛在威脅都可能造成發(fā)生一些更基本威脅。15/639.2網(wǎng)絡安全技術

9.2.1加密與認證技術1．密碼學基本概念密碼學（或稱密碼術）是保密學一部分。保密學是研究密碼系統(tǒng)或通信安全科學，它包含兩個分支：密碼學和密碼分析學。密碼學是對信息進行編碼實現(xiàn)隱蔽信息一門學問。密碼分析學是研究分析破譯密碼學問。二者相互獨立，又相互促進。采取密碼技術能夠隱藏和保護需要保密消息，使未授權者不能提取信息。需要隱藏消息稱為明文。明文被變換成另一個隱藏形式稱為密文。這種變換稱為加密。加密逆過程，即從密文恢復出明文過程稱為解密。對明文進行加密時采取一組規(guī)則稱為加密算法，加密算法所使用密鑰稱為加密秘鑰。對密文解密時采取一組規(guī)則稱為解密算法，解密算法所使用密鑰稱為解密密鑰。16/63密碼系統(tǒng)通常從三個獨立方面進行分類。（1）按將明文轉換成密文操作類型可分為置換密碼和易位密碼。（2）按明文處理方法可分為分組密碼和序列密碼。（3）按密鑰使用個數(shù)可分為對稱密碼體制和非對稱密碼體制。17/632．加密技術數(shù)據(jù)加密技術能夠分為三類，即對稱型加密、非對稱型加密和不可逆加密。對稱型加密使用單個密鑰對數(shù)據(jù)進行加密或解密，其特點是計算量小、加密效率高。不過這類算法在分布式系統(tǒng)上使用較為困難，主要是密鑰管理困難，從而使用成本較高，安全性能也不易確保。這類算法代表是在計算機網(wǎng)絡系統(tǒng)中廣泛使用DES算法（DigitalEncryptionStandard）。當前經(jīng)常使用一些對稱加密算法有數(shù)據(jù)加密標準（DataEncryptionStandard，DES）、三重DES（3DES，或稱TDEA）、RivestCipher5（RC-5）、國際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm，IDEA）。18/63公開密鑰算法不對稱型加密算法也稱為公開密鑰算法，其特點是有兩個密鑰（即公用密鑰和私有密鑰），只有二者搭配使用才能完成加密和解密全過程。因為不對稱算法擁有兩個密鑰，它尤其適合用于分布式系統(tǒng)中數(shù)據(jù)加密，在Internet中得到廣泛應用。其中公用密鑰在網(wǎng)上公布，由數(shù)據(jù)發(fā)送方對數(shù)據(jù)加密時使用，而用于解密對應私有密鑰則由數(shù)據(jù)接收方妥善保管。不對稱加密另一使用方法稱為數(shù)字署名（DigitalSignature），即數(shù)據(jù)源使用其私有密鑰對數(shù)據(jù)校驗和（Checksum）或其它與數(shù)據(jù)內容相關變量進行加密，數(shù)據(jù)接收方則用對應公用密鑰解讀數(shù)字簽字，并將解讀結果用于對數(shù)據(jù)完整性檢驗。在網(wǎng)絡系統(tǒng)中得到應用不常規(guī)加密算法有RSA算法和美國國家標準局提出DSA算法（DigitalSignatureAlgorithm）。不常規(guī)加密法在分布式系統(tǒng)中應用時需注意問題是怎樣管理和確認公用密鑰正當性。19/63不可逆加密算法和特征是加密過程不需要密鑰，而且經(jīng)過加密數(shù)據(jù)無法被解密，只有一樣輸入數(shù)據(jù)經(jīng)過一樣不可逆加密算法才能得到相同加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問題，適合于在分布式網(wǎng)絡系統(tǒng)上使用，不過其加密時計算機工作量相當可觀，所以通慣用于數(shù)據(jù)量有限情形下加密，比如計算機系統(tǒng)中口令就是利用不可逆算法加密。最近伴隨計算機系統(tǒng)性能不停改進，不可逆加密應用逐步增加。在計算機網(wǎng)絡中應用較多有RSA企業(yè)創(chuàng)造MD5算法和由美國國家標準局提議可靠不可逆加密標準（SecureHashStandard，SHS）。20/63加密技術用于網(wǎng)絡安全通常有兩種形式：面向網(wǎng)絡或面向應用服務。面向網(wǎng)絡服務加密技術經(jīng)過工作在網(wǎng)絡層或傳輸層，使用經(jīng)過加密數(shù)據(jù)包傳送、認證網(wǎng)絡路由及其它網(wǎng)絡協(xié)議所需信息，從而確保網(wǎng)絡連通性和可用性不受損害。在網(wǎng)絡層上實現(xiàn)加密技術對于網(wǎng)絡應用層用戶通常是透明。另外，經(jīng)過適當密鑰管理機制，使用這一方法還能夠在公用互聯(lián)網(wǎng)絡上建立虛擬專用網(wǎng)絡并保障虛擬專用網(wǎng)上信息安全性。面向網(wǎng)絡應用服務加密技術使用則是當前較為流行加密技術使用方法，比如使用Kerberos服務Telnet、NFS、Rlogin等，以及用作電子郵件加密PEM（PrivacyEnhancedMail）和PGP（PrettyGoodPrivacy）。這類加密技術優(yōu)點在于實現(xiàn)相對較為簡單，不需要對電子信息（數(shù)據(jù)包）所經(jīng)過網(wǎng)絡安全性能提出特殊要求，對電子郵件數(shù)據(jù)實現(xiàn)了端到端安全保障。21/63從通信網(wǎng)絡傳輸方面，數(shù)據(jù)加密技術還能夠分為以下三類：鏈路加密方式、節(jié)點到節(jié)點方式和端到端方式。鏈路加密方式是普通網(wǎng)絡通信安全主要采取方式。它對網(wǎng)絡上傳輸數(shù)據(jù)報文進行加密。不但對數(shù)據(jù)報文正文進行加密，而且把路由信息、校驗碼等控制信息全部加密。節(jié)點到節(jié)點加密方式是為了處理在節(jié)點中數(shù)據(jù)是明文缺點，在中間節(jié)點中裝有加密、解密保護裝置，由這個裝置來完成一個密鑰向另一個密鑰交換。在端到端加密方式中，由發(fā)送方加密數(shù)據(jù)在沒有抵達最終目標節(jié)點之前是不被解密。加密、解密只在源、宿節(jié)點進行，所以，這種方式能夠實現(xiàn)按各種通信對象要求改變加密密鑰以及按應用程序進行密鑰管理等，而且采取這種方式能夠處理文件加密問題。22/633．認證技術認證技術是實現(xiàn)計算機網(wǎng)絡安全關鍵技術之一，認證主要是指對某個實體身份加以判別、確認，從而證實是否名副其實或者是否是有效過程。認證基本思想是驗證某一實體一個或多個參數(shù)真實性和有效性。網(wǎng)絡用戶身份認證能夠經(jīng)過下述三種基本路徑之一或它們組合來實現(xiàn)：①所知（Knowledge），個人所掌握密碼、口令等；②全部（Possesses），個人身份認證、護照、信用卡、鑰匙等；③個人特征（Characteristics），人指紋、聲音、筆記、手型、血型、視網(wǎng)膜、DNA以及個人動作方面特征等。23/639.2.2數(shù)字署名技術數(shù)字署名提供了一個判別方法，普遍用于銀行、電子商業(yè)等，以處理以下問題：（1）偽造：接收者偽造一份文件，聲稱是對方發(fā)送。（2）冒充：網(wǎng)上某個用戶冒充另一個用戶發(fā)送或接收文件。（3）篡改：接收者對收到文件進行局部修改。（4）抵賴：發(fā)送者或接收者最終不認可自己發(fā)送或接收文件。24/63數(shù)字署名數(shù)字署名普通經(jīng)過公開密鑰來實現(xiàn)。在公開密鑰體制下，加密密鑰是公開，加密和解密算法也是公開，保密性完全取決于解密密鑰秘密。只知道加密密鑰不可能計算出解密密鑰，只有知道解密密鑰正當解密者才能正確解密，將密文還原成明文。從另一角度，保密解密密鑰代表解密者身份特征，能夠作為身份識別參數(shù)。所以，能夠用解密密鑰進行數(shù)字署名，并發(fā)送給對方。接收者接收到信息后，只要利用發(fā)信方公開密鑰進行解密運算，如能還原出明文來，就可證實接收者信息是經(jīng)過發(fā)信方署名。接收者和第三者不能偽造署名文件，因為只有發(fā)信方才知道自己解密密鑰，其它人是不可能推導出發(fā)信方私人解密密鑰。這就符合數(shù)字署名唯一性、不可仿冒、不可否定特征和要求。25/639.2.3入侵檢測技術入侵檢測（IntrusionDetection）是對入侵行為檢測。它經(jīng)過搜集和分析計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點信息，檢驗網(wǎng)絡或系統(tǒng)中是否存在違反安全策略行為和被攻擊跡象。入侵檢測作為一個主動主動安全防護技術，提供了對內部攻擊、外部攻擊和誤操作實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。進行入侵檢測軟件與硬件組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）。26/63圖9-4入侵檢測/響應流程圖27/631．入侵檢測分類按照檢測類型劃分，入侵檢測有兩種檢測模型。（1）異常檢測模型（AnomalyDetection）：檢測與可接收行為之間偏差。假如能夠定義每項可接收行為，那么每項不可接收行為就應該是入侵。首先總結正常操作應該含有特征（用戶輪廓），當用戶活動與正常行為有重大偏離時就被認為是入侵。這種檢測模型漏報率低，誤報率高。因為不需要對每種入侵行為進行定義，所以能有效檢測未知入侵。（2）誤用檢測模型（MisuseDetection）：檢測與已知不可接收行為之間匹配程度。假如能夠定義全部不可接收行為，那么每種能夠與之匹配行為都會引發(fā)告警。搜集非正常操作行為特征，建立相關特征庫，當監(jiān)測用戶或系統(tǒng)行為與庫中統(tǒng)計相匹配時，系統(tǒng)就認為這種行為是入侵。這種檢測模型誤報率低，漏報率高。對于已知攻擊，它能夠詳細、準確地匯報出攻擊類型，不過對未知攻擊卻效果有限，而且特征庫必須不停更新。28/63按照檢測對象劃分，有基于主機、基于網(wǎng)絡和混合型三種類型。（1）基于主機：系統(tǒng)分析數(shù)據(jù)是計算機操作系統(tǒng)事件日志、應用程序事件日志、系統(tǒng)調用、端口調用和安全審計統(tǒng)計。主機型入侵檢測系統(tǒng)保護普通是所在主機系統(tǒng)。是由代理（agent）來實現(xiàn)，代理是運行在目標主機上小可執(zhí)行程序，它們與命令控制臺（console）通信。（2）基于網(wǎng)絡：系統(tǒng)分析數(shù)據(jù)是網(wǎng)絡上數(shù)據(jù)包。網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段任務?；诰W(wǎng)絡入侵檢測系統(tǒng)由遍布網(wǎng)絡傳感器（sensor）組成，傳感器是一臺將以太網(wǎng)卡置于混雜模式計算機，用于嗅探網(wǎng)絡上數(shù)據(jù)包。（3）混合型：基于網(wǎng)絡和基于主機入侵檢測系統(tǒng)都有不足之處，會造成防御體系不全方面。綜合了基于網(wǎng)絡和基于主機混合型入侵檢測系統(tǒng)既能夠發(fā)覺網(wǎng)絡中攻擊信息，也能夠從系統(tǒng)日志中發(fā)覺異常情況。29/632．入侵檢測過程分析入侵檢測過程分析分為三部分：信息搜集、信息分析和結果處理。（1）信息搜集。入侵檢測第一步是信息搜集，搜集內容包含系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動狀態(tài)和行為。由放置在不一樣網(wǎng)段傳感器或不一樣主機代理來搜集信息，包含系統(tǒng)和網(wǎng)絡日志文件、網(wǎng)絡流量、非正常目錄和文件改變、非正常程序執(zhí)行。（2）信息分析。搜集到相關系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，普通經(jīng)過三種技術伎倆進行分析：模式匹配、統(tǒng)計分析和完整性分析。當檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。（3）結果處理。控制臺按照告警產(chǎn)生預先定義響應采取對應辦法，能夠是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也能夠只是簡單告警。30/633．檢測和訪問控制技術將共存共榮以IDS為代表檢測技術和以防火墻為代表訪問控制技術從根本上來說是兩種截然不一樣技術行為。（1）防火墻是網(wǎng)關形式，要求高性能和高可靠性。所以防火墻重視吞吐率、延時、HA等方面要求。防火墻最主要特征應該是通（傳輸）和斷（阻隔）兩個功效，所以其傳輸要求是非常高。（2）IDS是一個以檢測和發(fā)覺為特征技術行為，其追求是漏報率和誤報率降低。其對性能追求主要表現(xiàn)在：抓包不能漏、分析不能錯，而不是微秒級快速結果。因為IDS較高技術特征，所以其計算復雜度是非常高。31/639.2.4防火墻技術普通來說，防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間一道屏障，以預防發(fā)生不可預測、潛在破壞性侵入。它能夠經(jīng)過監(jiān)測、限制、更改跨越防火墻數(shù)據(jù)流，盡可能地對外部屏蔽內部網(wǎng)絡信息、結構和運行情況，以此來實現(xiàn)網(wǎng)絡安全保護。防火墻能夠是一個實現(xiàn)安全功效路由器、個人計算機、主機或主機集合等，通常位于一個受保護網(wǎng)絡對外連接處，若這個網(wǎng)絡到外界有多個連接，那么需要安裝多個防火墻系統(tǒng)。32/63防火墻能有效地對網(wǎng)絡進行保護，預防其它網(wǎng)絡入侵，歸納起來，防火墻含有以下作用：（1）控制進出網(wǎng)絡信息流向和信息包。（2）提供對系統(tǒng)訪問控制。（3）提供使用和流量日志和審計。（4）增強保密性。使用防火墻能夠阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)有用信息。（5）隱藏內部IP地址及網(wǎng)絡結構細節(jié)。（6）統(tǒng)計和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)。33/631．防火墻系統(tǒng)結構防火墻系統(tǒng)結構普通分為以下幾個：（1）屏蔽路由器。（2）雙目主機結構。（3）屏蔽主機結構。（4）屏蔽子網(wǎng)結構。34/63圖9-5屏蔽路由器實現(xiàn)防火墻屏蔽路由器Internet內部主機代理服務器35/63圖9-6雙目主機實現(xiàn)防火墻Internet包過濾路由器代理服務器內部主機Web服務器36/63圖9-7屏蔽主機實現(xiàn)防火墻Internet包過濾路由器代理服務器路由器內部主機37/63圖9-8屏蔽子網(wǎng)防火墻Internet外部屏蔽路由器內部主機內部屏蔽路由器壁壘主機對外服務器DMZ區(qū)38/632．防火墻分類從組成上能夠將防火墻分為以下幾類：（1）硬件防火墻。（2）軟件防火墻。（3）軟硬結合防火墻。39/633．防火墻設計策略防火墻設計策略基于特定防火墻，定義完成服務訪問策略規(guī)則。通常有兩種基本設計策略：允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。第一個特點是“在被判有罪之前，任何嫌疑人都是無罪”，它好用但不安全。第二種特點是“寧可錯殺一千，也不放過一個”，它安全但不好用。在實際應用中防火墻通常采取第二種設計策略，但多數(shù)防火墻都會在兩種策略之間采取折衷。40/63（1）防火墻實現(xiàn)站點安全策略技術。1）服務控制。2）方向控制。3）用戶控制。4）行為控制。41/63（2）防火墻在大型網(wǎng)絡系統(tǒng)中布署。1）在局域網(wǎng)內VLAN之間控制信息流向時加入防火墻。2）Internet與Internet之間連接時加入防火墻。3）在廣域網(wǎng)系統(tǒng)中，因為安全需要，總部局域網(wǎng)能夠將各分支機構局域網(wǎng)看成不安全系統(tǒng)，總部局域網(wǎng)和各分支機構連接時，普通經(jīng)過公網(wǎng)ChinaPac、ChinaDD和NFrameRelay等連接，需要采取防火墻隔離，并利用一些軟件提供功效組成虛擬專網(wǎng)VPN。4）總部局域網(wǎng)和分支機構局域網(wǎng)是經(jīng)過Internet連接，需要各自安裝防火墻，并組成虛擬專網(wǎng)。42/635）在遠程用戶撥號訪問時，加入虛擬專網(wǎng)。6）利用一些防火墻軟件提供負載平衡功效，ISP可在公共訪問服務器和客戶端間加入防火墻進行負載分擔、存取控制、用戶認證、流量控制和日志統(tǒng)計等功效。7）兩網(wǎng)對接時，可利用硬件防火墻作為網(wǎng)關設備實現(xiàn)地址轉換（NAT）、地址映射（MAP）、網(wǎng)絡隔離（DMZ，De-MilitarizedZone，非軍事區(qū)，其名稱起源于朝鮮戰(zhàn)爭三八線）及存取安全控制，消除傳統(tǒng)軟件防火墻瓶頸問題。43/639.2.5訪問控制列表訪問控制列表（AccessControlList，ACL），也稱為訪問列表（AccessList），最直接功效就是包過濾。經(jīng)過訪問控制列表ACL能夠在路由器、三層交換機上進行網(wǎng)絡安全屬性配置，能夠實現(xiàn)對進入到路由器、三層交換機輸入數(shù)據(jù)流進行過濾。訪問控制列表主要作用有以下兩個：（1）限制路由更新。控制路由更新信息發(fā)往什么地方，同時希望在什么地方收到路由更新信息。（2）限制網(wǎng)絡訪問。為了確保網(wǎng)絡安全，經(jīng)過定義規(guī)則限制用戶訪問一些服務（如只需要訪問WWW和電子郵件服務，其它服務如Telnet則禁止），或只允許一些主機訪問網(wǎng)絡等。44/63過濾輸入數(shù)據(jù)流定義能夠基于網(wǎng)絡地址、TCP/UDP應用等。能夠選擇對于符合過濾標準流是丟棄還是轉發(fā)，所以必須知道網(wǎng)絡是怎樣設計，以及路由器接口是怎樣在過濾設備上使用。要經(jīng)過ACL配置網(wǎng)絡安全屬性，只有經(jīng)過命令完成配置。創(chuàng)建訪問列表時，定義準則將應用于路由器上全部分組報文，路由器經(jīng)過判斷分組是否與準則匹配來決定是否轉發(fā)或阻斷分組報文。45/63ACL類型主要分為IP標準訪問控制列表（StandardIPACL）和IP擴展訪問控制列表（ExtendedIPACL），每一條ACL必須指定唯一名稱或編號，標準訪問控制列表編號范圍為1～99；擴展列表編號范圍為100～199。主要動作為允許（Permit）和拒絕（Deny）；主要應用方法是入棧（In）應用和出棧（Out）應用。46/63訪問列表中定義經(jīng)典準則主要以下：源地址。目標地址。上層協(xié)議。47/63標準IP訪問列表主要是依據(jù)源地址進行轉發(fā)或阻斷分組；擴展IP訪問列表使用以上三種組合進行轉發(fā)或阻斷分組；其它類型訪問列表依據(jù)相關代碼來轉發(fā)或阻斷分組。對于單一訪問列表來說，能夠使用多條獨立訪問列表語句來定義各種準則，其中全部語句引用同一個編號，方便將這些語句綁定到同一個訪問列表。但使用語句越多，閱讀和了解訪問列表就越困難。48/63在每個訪問列表末尾隱含一條“拒絕全部數(shù)據(jù)流”準則語句，所以假如分組與任何準則都不匹配，將被拒絕。加入每條準則都被追加到訪問列表最終，語句被創(chuàng)建后，就無法單獨刪除它，而只能刪除整個訪問列表。所以訪問列表語句次序非常主要。路由器在決定轉發(fā)還是阻斷分組時，路由器按語句創(chuàng)建次序將分組與語句進行比較，找到匹配語句后，便不再檢驗其它準則語句。49/639.3網(wǎng)絡管理技術網(wǎng)絡管理包含五個功效：配置管理、故障管理、性能管理、安全管理、計費管理。網(wǎng)絡管理是控制一個復雜計算機網(wǎng)絡，使它含有最高效率和生產(chǎn)力過程。依據(jù)進行網(wǎng)絡管理系統(tǒng)能力，這一過程通常包含數(shù)據(jù)搜集、數(shù)據(jù)處理、數(shù)據(jù)分析和產(chǎn)生用于管理網(wǎng)絡匯報。50/63第一個使用網(wǎng)絡管理（簡稱網(wǎng)管）協(xié)議稱為簡單網(wǎng)絡管理協(xié)議（SNMP，又稱SNMP第一版或SNMPv1），當初這個協(xié)議被認為是暫時、簡單、處理當初急需處理問題協(xié)議，而復雜、功效強大網(wǎng)絡管理協(xié)議需要深入設計。到20世紀80年代，在SNMP基礎上設計了兩個網(wǎng)絡管理協(xié)議：一個稱為SNMP第二版（簡稱SNMPv2），它包含了原有特征，這些特征當前被廣泛使用，同時增加了很多新特征以克服原先SNMP缺點；第二個網(wǎng)絡管理協(xié)議稱為公共管理信息協(xié)議（簡稱CMIP），它是一個組織得更加好，而且比SNMPv1和SNMPv2有更多特征網(wǎng)絡管理協(xié)議。對用戶而言，要求網(wǎng)絡管理協(xié)議含有好安全性、簡單用戶界面、價格相對低廉而且對網(wǎng)絡管理是有效。因為Internet大規(guī)模發(fā)展以及用戶要求，使得SNMPv1和SNMPv2成為業(yè)界實際上標準而被廣泛使用。51/631．ISO網(wǎng)絡管理模式當前國際標準化組織ISO在網(wǎng)絡管理標準化上做了許多工作，它尤其定義了網(wǎng)絡管理五個功效域。配置管理：管理全部網(wǎng)絡設備，包含各設備參數(shù)配置與設備賬目標管理。故障管理：找出故障位置并進行恢復。性能管理：統(tǒng)計網(wǎng)絡使用情況，依據(jù)網(wǎng)絡使用情況進行擴充，確定設置規(guī)劃。安全管理：限制非法用戶竊取或修改網(wǎng)絡中主要數(shù)據(jù)等。計費管理：統(tǒng)計用戶使用網(wǎng)絡資源數(shù)據(jù)，調整用戶使用網(wǎng)絡資源配額和記賬收費。52/632．公共管理信息協(xié)議CMIP在網(wǎng)絡管理模型中，網(wǎng)絡管理者和代理之間需要交換大量管理信息。這一過程必須遵照統(tǒng)一通信規(guī)范，我們把這個通信規(guī)范稱為網(wǎng)絡管理協(xié)議。網(wǎng)絡管理協(xié)議是高層網(wǎng)絡應用協(xié)議，它建立在個體物理網(wǎng)絡及其基礎通信協(xié)議基礎之上，為網(wǎng)絡管理平臺服務。網(wǎng)絡管理協(xié)議提供了訪問任何生產(chǎn)廠商生產(chǎn)任何網(wǎng)絡設備，并取得一系列標準值一致性方式。對網(wǎng)絡設備查詢包含設備名字、設備中軟件版本、設備中接口數(shù)、設備中一個接口每秒包數(shù)等。用于設置網(wǎng)絡設備參數(shù)包含設備名字、網(wǎng)絡接口地址、網(wǎng)絡接口運行狀態(tài)、設備運行狀態(tài)等。53/63當前使用標準網(wǎng)絡管理協(xié)議包含簡單網(wǎng)絡管理協(xié)議（SNMP）、公共管理信息服務/協(xié)議（CMIS/CMIP）和局域網(wǎng)個人管理協(xié)議（LMMP）等。CMIS/CMIP是ISO定義網(wǎng)絡管理協(xié)議，它制訂受到了政府和工業(yè)界支持。CMIP優(yōu)點是安全性高，功效強大，不但可用于傳輸管理數(shù)據(jù)，而且可執(zhí)行一定任務。但因為CMIP對系統(tǒng)處理能力要求過高，操作復雜，覆蓋范圍廣，因而難以實現(xiàn)，限制了它使用范圍。CMIP采取管理者/代理模型，當對網(wǎng)絡實體進行監(jiān)控時，管理者只需向代剪發(fā)出一個監(jiān)控請求，代理會自動監(jiān)視指定對象，并在異常事件（如線路故障）發(fā)生時向管理者發(fā)出指示。CMIP這種管理監(jiān)控方式稱為委托監(jiān)控，委托監(jiān)控主要優(yōu)點是開銷小、反應及時，缺點是對代理資源要求高。54/633．簡單網(wǎng)絡管理協(xié)議SNMPSNMP是由因特網(wǎng)工程任務組IETF（InternetEngineeringTaskForce）提出面向Internet管理