計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用課件

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用》2本章內(nèi)容網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)攻擊防火墻技術(shù)加密、認(rèn)證和訪問控制技術(shù)網(wǎng)絡(luò)管理應(yīng)用案例——瑞星軟件防火墻第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理39.1網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全面臨的主要威脅第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理49.1.1網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全體系需要在以下幾個(gè)方面提供安全服務(wù)：保密性（Confidentiality）身份認(rèn)證（Authentication）不可抵賴性（Non-reputation）數(shù)據(jù)完整性（DataIntegrity）訪問控制（AccessControl）第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理59.1.2網(wǎng)絡(luò)安全面臨的主要威脅網(wǎng)絡(luò)安全威脅的主要類型：信息泄漏信息破壞拒絕服務(wù)第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理6網(wǎng)絡(luò)通信過程中面臨的主要威脅第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理對(duì)網(wǎng)絡(luò)通信的主動(dòng)攻擊和被動(dòng)攻擊79.2網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊概述拒絕服務(wù)攻擊惡意代碼第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理89.2.1網(wǎng)絡(luò)攻擊概述網(wǎng)絡(luò)攻擊人員系統(tǒng)漏洞遠(yuǎn)程攻擊第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理9網(wǎng)絡(luò)攻擊人員攻擊動(dòng)機(jī)：獲取利益、被關(guān)注、危害他人。攻擊人員的類型：黑客：挑戰(zhàn)網(wǎng)絡(luò)系統(tǒng)的安全性，竊取敏感數(shù)據(jù)。間諜：竊取敵對(duì)方的軍事、政治、經(jīng)濟(jì)等方面的機(jī)密信息。公司人員：入侵競(jìng)爭(zhēng)對(duì)手的網(wǎng)絡(luò)系統(tǒng)，以獲取某種經(jīng)濟(jì)利益，也可以被看做是工業(yè)間諜的一種。組織內(nèi)部人員：出于好奇、報(bào)復(fù)、自我保護(hù)、獲取經(jīng)濟(jì)利益等目的而對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行入侵。犯罪人員：主要是為了牟取經(jīng)濟(jì)利益而對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行入侵?？植乐髁x者：對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行入侵，以達(dá)到各種恐怖目的。第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理10系統(tǒng)漏洞洞漏洞是指指系統(tǒng)在在硬件、、軟件或或防護(hù)策策略上的的缺陷。。漏洞的存存在很廣廣泛，幾幾乎所有有的網(wǎng)絡(luò)絡(luò)結(jié)點(diǎn)（（如路由由器、防防火墻、、服務(wù)器器、客戶戶機(jī)等））都可能能存在漏漏洞。漏洞的發(fā)發(fā)現(xiàn)和修修正通常常存在這這樣一個(gè)個(gè)周期：：系統(tǒng)發(fā)布布和使用用→漏洞暴露露（出現(xiàn)現(xiàn)有效的的攻擊））→發(fā)布補(bǔ)丁丁進(jìn)行系系統(tǒng)修正正→新的漏洞洞出現(xiàn)（（出現(xiàn)新新的有效效攻擊））。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理11遠(yuǎn)程攻擊擊的過程程尋找目標(biāo)標(biāo)主機(jī)和和收集目目標(biāo)信息息Ping，TraceRoute，測(cè)測(cè)試目標(biāo)標(biāo)主機(jī)可可能開放放了哪些些服務(wù)和和端口。。獲取目標(biāo)標(biāo)主機(jī)的的管理權(quán)權(quán)限暴力破解解、利用用系統(tǒng)漏漏洞和使使用木馬馬程序等等。隱蔽自己己的攻擊擊行為清除日志志記錄、、隱藏進(jìn)進(jìn)程、隱隱藏連接接等。。對(duì)主機(jī)實(shí)實(shí)施破壞壞或?qū)⒅髦鳈C(jī)作為為傀儡主主機(jī)以攻攻擊其他他主機(jī)為以后的的攻擊留留出后門門修改目標(biāo)標(biāo)主機(jī)的的系統(tǒng)配配置，在在目標(biāo)主主機(jī)上安安裝各種種遠(yuǎn)程操操作程序序。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理129.2.2拒拒絕服服務(wù)攻擊擊拒絕服務(wù)攻攻擊的類型型分布式拒絕絕服務(wù)攻擊擊第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理13拒絕服務(wù)攻攻擊的類型型拒絕服務(wù)攻攻擊的類型型主要有：：洪泛攻擊擊、PingofDeath攻擊擊、SYN攻擊、淚淚滴攻擊、、Smurf攻擊等等。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理14Smurf攻擊Smurf攻擊結(jié)合合使用了ICMP回回復(fù)和IP欺騙的方方法，通過過向目標(biāo)系系統(tǒng)發(fā)送大大量網(wǎng)絡(luò)數(shù)數(shù)據(jù)，造成成目標(biāo)系統(tǒng)統(tǒng)拒絕服務(wù)務(wù)。ICMP（（網(wǎng)際控制制報(bào)文協(xié)議議）用于處處理錯(cuò)誤信信息和交換換控制信息息，通過該該協(xié)議，可可以確定網(wǎng)網(wǎng)絡(luò)中的某某臺(tái)主機(jī)是是否響應(yīng)，，從而為判判斷主機(jī)是是否出現(xiàn)故故障提供依依據(jù)。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理15Smurf攻擊的過過程（1）攻擊擊者向網(wǎng)絡(luò)絡(luò)上的路由由器發(fā)送ICMP請(qǐng)請(qǐng)求，找出出網(wǎng)絡(luò)上回回應(yīng)ICMP請(qǐng)求的的路由器。。（2）用偽偽造的IP源地址向向路由器的的廣播地址址發(fā)送ICMP消息息，這個(gè)偽偽造的IP地址是被被攻擊主機(jī)機(jī)的IP地地址。（3）路由由器將ICMP消息息廣播到網(wǎng)網(wǎng)絡(luò)上與其其相連的每每一臺(tái)主機(jī)機(jī)。（4）這些些主機(jī)進(jìn)行行ICMP回應(yīng)，向向這個(gè)偽造造的IP地地址（即目目標(biāo)主機(jī)的的IP地址址）發(fā)送大大量的響應(yīng)應(yīng)數(shù)據(jù)包，，從而影響響被攻擊主主機(jī)的性能能并導(dǎo)致被被攻擊主機(jī)機(jī)邊界的網(wǎng)網(wǎng)絡(luò)阻塞。。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理16Smurf攻擊原理理圖第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理17Smurf攻擊例如，采用用300kbps流流量的ICMPEcho(PING)包廣廣播到200臺(tái)主機(jī)機(jī)，會(huì)產(chǎn)生生200個(gè)個(gè)ping回應(yīng)，從從而產(chǎn)生60Mbps的流量量。這些流流量流向被被攻擊的主主機(jī)，會(huì)造造成該主機(jī)機(jī)的服務(wù)停停止。為了防御此此類攻擊，，應(yīng)采取以以下措施：：關(guān)閉主機(jī)或或路由器廣廣播地址對(duì)對(duì)ping請(qǐng)求的響響應(yīng)功能。。對(duì)路由器進(jìn)進(jìn)行配置，，使其不直直接將數(shù)據(jù)據(jù)包轉(zhuǎn)發(fā)給給廣播地址址。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理18分布式拒絕絕服務(wù)攻擊擊第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理199.2.3惡意意代碼惡意代碼（（MaliciousCode）又又稱為惡意意軟件（MaliciousSoftware,Malware），，是能夠在在計(jì)算機(jī)系系統(tǒng)上進(jìn)行行非授權(quán)操操作的代碼碼。惡意代碼具具有以下特特征：惡意意的目的、、本身是程程序，通過過執(zhí)行發(fā)生生作用。惡意代碼的的主要類型型包括：病病毒、蠕蟲蟲、特洛伊伊木馬、邏邏輯炸彈、、惡意網(wǎng)頁(yè)頁(yè)、流氓軟軟件和后門門程序等。。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理20計(jì)算機(jī)病毒毒《中華人民民共和國(guó)計(jì)計(jì)算機(jī)信息息系統(tǒng)安全全保護(hù)條例例》中對(duì)計(jì)計(jì)算機(jī)病毒毒給出的定定義是：““計(jì)算機(jī)病病毒是指編編制或者在在計(jì)算機(jī)程程序中插入入的破壞計(jì)計(jì)算機(jī)功能能或者毀壞壞數(shù)據(jù)，影影響計(jì)算機(jī)機(jī)使用，并并能自我復(fù)復(fù)制的一組組計(jì)算機(jī)指指令或者程程序代碼。。”從該定義可可以看出，，計(jì)算機(jī)病病毒具有兩兩大特征：：破壞性和和傳染性。。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理21計(jì)算機(jī)病毒毒計(jì)算機(jī)病毒毒代碼的結(jié)結(jié)構(gòu)包含三三個(gè)部分：：引導(dǎo)部分分、傳染部部分和表現(xiàn)現(xiàn)部分。引導(dǎo)部分負(fù)負(fù)責(zé)將病毒毒主體加載載到內(nèi)存，，為實(shí)施傳傳染做準(zhǔn)備備。傳染部分負(fù)負(fù)責(zé)將病毒毒代碼復(fù)制制到新的傳傳染目標(biāo)上上去。表現(xiàn)部分是是指在一定定的觸發(fā)條條件下進(jìn)行行病毒發(fā)作作。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理22計(jì)算機(jī)病毒毒計(jì)算機(jī)病毒毒的防治包包括防毒、、查毒和解解毒。病毒的檢測(cè)測(cè)方法主要要包括：特征代碼法法校驗(yàn)和法行為監(jiān)測(cè)法法軟件模擬法法第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理23蠕蟲代碼蠕蟲代碼主主要是通過過網(wǎng)絡(luò)漏洞洞進(jìn)行傳播播和擴(kuò)散。。蠕蟲代碼包包括三個(gè)基基本模塊：：傳播模塊塊、隱藏模模塊和操作作模塊。傳播模塊負(fù)負(fù)責(zé)通過網(wǎng)網(wǎng)絡(luò)進(jìn)行蠕蠕蟲代碼的的傳播；隱藏模塊負(fù)負(fù)責(zé)在入侵侵目標(biāo)主機(jī)機(jī)后進(jìn)行蠕蠕蟲程序的的隱藏，以以防止被發(fā)發(fā)現(xiàn)；操作模塊負(fù)負(fù)責(zé)對(duì)計(jì)算算機(jī)執(zhí)行控控制、監(jiān)視視或破壞操操作。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理24蠕蟲代碼關(guān)鍵的傳播播模塊又可可分為三個(gè)個(gè)子模塊：：掃描、攻攻擊和復(fù)制制。掃描模塊負(fù)負(fù)責(zé)在網(wǎng)絡(luò)絡(luò)上尋找存存在漏洞的的主機(jī)，將將其作為下下一步攻擊擊的對(duì)象。。攻擊模塊負(fù)負(fù)責(zé)對(duì)存在在漏洞的主主機(jī)進(jìn)行攻攻擊，獲取取該主機(jī)的的高層權(quán)限限（如管理理員權(quán)限））。復(fù)制模塊負(fù)負(fù)責(zé)將蠕蟲蟲程序通過過網(wǎng)絡(luò)復(fù)制制到目標(biāo)主主機(jī)，并在在新的主機(jī)機(jī)上啟動(dòng)蠕蠕蟲程序。。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理25蠕蟲程序與與普通病毒毒的比較第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理26特洛伊木馬馬特洛伊木馬馬程序是一一種惡意程程序，它表表面上執(zhí)行行正常功能能，實(shí)際上上隱蔽地執(zhí)執(zhí)行惡意操操作，實(shí)施施對(duì)主機(jī)的的非授權(quán)訪訪問。完整的木馬馬程序包括括兩個(gè)部分分：服務(wù)器器端程序和和控制端程程序?！爸辛四抉R馬”是指被被安裝了木木馬的服務(wù)務(wù)器端程序序，這時(shí)控控制端可以以通過與服服務(wù)器端的的連接，對(duì)對(duì)服務(wù)器端端的主機(jī)進(jìn)進(jìn)行各種控控制，如上上傳和下載載文件，竊竊取賬號(hào)和和密碼，修修改注冊(cè)表表信息，控控制鼠標(biāo)、、鍵盤，重重啟計(jì)算機(jī)機(jī)等。木馬程序在在傳播時(shí)，，往往與正正常文件綁綁定在一起起，因此很很難被發(fā)現(xiàn)現(xiàn)。例如，，某些軟件件下載網(wǎng)站站的軟件中中就有可能能被綁定了了木馬程序序。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理27木馬程序的的特點(diǎn)隱蔽性雖然它在系系統(tǒng)啟動(dòng)時(shí)時(shí)就自動(dòng)運(yùn)運(yùn)行，但是是通常不會(huì)會(huì)在任務(wù)管管理器中出出現(xiàn)，甚至至不會(huì)在服服務(wù)管理器器中出現(xiàn)。。自動(dòng)加載運(yùn)運(yùn)行木馬程序?yàn)闉榱丝刂品?wù)器端，，通常在系系統(tǒng)啟動(dòng)時(shí)時(shí)開始運(yùn)行行。與目標(biāo)建立立連接控制端木馬馬程序通常常利用TCP和UDP與目標(biāo)標(biāo)主機(jī)的指指定端口建建立連接。。許多木馬程程序在主機(jī)機(jī)上具有多多重備份，，可以相互互恢復(fù)。當(dāng)當(dāng)一個(gè)木馬馬文件被刪刪除后，其其他木馬文文件會(huì)進(jìn)行行恢復(fù)和運(yùn)運(yùn)行。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理28邏輯炸彈邏輯炸彈是是一種特殊殊的程序，，在滿足某某種邏輯條條件時(shí)，它它會(huì)被激活活，并產(chǎn)生生破壞。邏輯炸彈程程序沒有傳傳播功能，，它只針對(duì)對(duì)特定的受受害者。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理29惡意網(wǎng)頁(yè)惡意網(wǎng)頁(yè)是是指網(wǎng)頁(yè)中中含有惡意意代碼，能能夠?qū)υL問問者的電腦腦進(jìn)行非法法設(shè)置或攻攻擊。惡意意網(wǎng)頁(yè)的幾幾種典型破破壞包括：：修改IE的的起始頁(yè)。。修改IE工工具欄，如如工具按鈕鈕、地址欄欄等。修改或禁止止IE的右右鍵功能。。下載木馬程程序。禁止對(duì)注冊(cè)冊(cè)表進(jìn)行修修改。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理30流氓氓軟軟件件流氓氓軟軟件件是是一一類類特特殊殊的的軟軟件件，，一一方方面面，，它它具具有有正正常常的的功功能能（（如如下下載載、、多多媒媒體體播播放放等等）），，另另一一方方面面，，它它包包含含一一些些惡惡意意行行為為（（如如彈彈出出廣廣告告、、在在系系統(tǒng)統(tǒng)中中開開后后門門等等）），，會(huì)會(huì)對(duì)對(duì)用用戶戶帶帶來來某某種種程程度度的的危危害害。。其其特特點(diǎn)點(diǎn)包包括括：：強(qiáng)制制安安裝裝。。難以以卸卸載載。。彈出出廣廣告告。。瀏覽覽器器劫劫持持。。惡意意收收集集用用戶戶信信息息。。惡意意卸卸載載。。惡意意捆捆綁綁。。故意意妨妨礙礙其其他他同同類類軟軟件件使使用用的的行行為為。。第9章章網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全與與網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理319.3防防火火墻墻技技術(shù)術(shù)防火火墻墻的的基基本本概概念念包過過濾濾防防火火墻墻代理理服服務(wù)務(wù)器器防防火火墻墻第9章章網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全與與網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理32防火火墻墻的的基基本本概概念念第9章章網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全與與網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理33防火火墻墻的的優(yōu)優(yōu)點(diǎn)點(diǎn)和和局局限限性性防火火墻墻的的優(yōu)優(yōu)點(diǎn)點(diǎn)防火火墻墻作作為為內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)的的訪訪問問控控制制點(diǎn)點(diǎn)，，可可以以禁禁止止未未經(jīng)經(jīng)授授權(quán)權(quán)的的用用戶戶（（攻攻擊擊者者、、破破壞壞者者、、網(wǎng)網(wǎng)絡(luò)絡(luò)間間諜諜等等））通通過過外外部部網(wǎng)網(wǎng)絡(luò)絡(luò)訪訪問問內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)，，也也禁禁止止某某些些易易受受攻攻擊擊的的服服務(wù)務(wù)進(jìn)進(jìn)入入或或離離開開受受保保護(hù)護(hù)的的內(nèi)內(nèi)網(wǎng)網(wǎng)。。防火火墻墻可可以以為為內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)的的主主機(jī)機(jī)提提供供集集中中的的安安全全保保護(hù)護(hù)。。防火火墻墻可可以以記記錄錄和和統(tǒng)統(tǒng)計(jì)計(jì)網(wǎng)網(wǎng)絡(luò)絡(luò)的的使使用用情情況況。。防火火墻墻的的局局限限性性防火火墻墻不不能能防防范范來來自自內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)的的攻攻擊擊。。不能能防防范范繞繞過過防防火火墻墻的的攻攻擊擊。。不能能防防范范計(jì)計(jì)算算機(jī)機(jī)病病毒毒。。第9章章網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全與與網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理349.3.2包包過過濾濾防防火火墻墻包過過濾濾防防火火墻墻通通常常由由路路由由器器來來實(shí)實(shí)現(xiàn)現(xiàn)，，也也被被稱稱為為包包過過濾濾路路由由器器或或屏屏蔽蔽路路由由器器。。包過濾濾防火火墻對(duì)對(duì)進(jìn)出出網(wǎng)絡(luò)絡(luò)的IP包包進(jìn)行行監(jiān)視視和過過濾，，對(duì)不不安全全的包包進(jìn)行行屏蔽蔽。包過濾濾規(guī)則則的設(shè)設(shè)計(jì)是是該類類防火火墻的的關(guān)鍵鍵所在在———嚴(yán)密密的包包過濾濾規(guī)則則能夠夠加強(qiáng)強(qiáng)防火火墻的的安全全性。。第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理35包過濾濾防火火墻示示意圖圖第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理36包過濾濾路由由器包過濾濾路由由器對(duì)對(duì)進(jìn)出出的IP包包進(jìn)行行審查查，將將其與與預(yù)先先設(shè)計(jì)計(jì)好的的各種種包過過濾規(guī)規(guī)則相相匹配配，從從而決決定是是否丟丟棄或或拒絕絕某些些IP包。。包過濾濾路由由器在在審查查IP包時(shí)時(shí)，主主要是是對(duì)IP包包的包包頭信信息進(jìn)進(jìn)行分分析，，而不不考慮慮包所所攜帶帶的數(shù)數(shù)據(jù)內(nèi)內(nèi)容。。包頭信信息主主要包包括：：源IP地地址、、目的的IP地址址、封封裝的的協(xié)議議（TCP、UDP、ICMP））、TCP/UDP源端端口、、TCP/UDP目目的端端口等等。另另外，，在進(jìn)進(jìn)行包包過濾濾時(shí)，，還要要利用用路由由器的的IP包輸輸入接接口和和IP包輸輸出接接口等等信息息。第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理37某些常常用網(wǎng)網(wǎng)絡(luò)服服務(wù)使使用的的端口口第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理38包過濾濾防火火墻對(duì)對(duì)數(shù)據(jù)據(jù)包的的處理理過程程第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理39包過濾濾防火火墻過過濾規(guī)規(guī)則的的設(shè)定定下面是是一個(gè)個(gè)包過過濾防防火墻墻訪問問控制制規(guī)則則的例例子：：允許網(wǎng)網(wǎng)絡(luò)訪問問主機(jī)機(jī)的的http服務(wù)務(wù)（80端端口））；允許IP地地址為為和和的的主機(jī)機(jī)通過過Telnet（23端端口））連接接到主主機(jī)上；；允許任任意IP地地址的的主機(jī)機(jī)訪問問主機(jī)機(jī)提提供的的DNS服服務(wù)（（53端口口）；；不允許許其他他數(shù)據(jù)據(jù)包的的進(jìn)入入。第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理409.3.3代代理理服務(wù)務(wù)器防防火墻墻代理服服務(wù)器器防火火墻是是一種種特定定的服服務(wù)器器程序序，它它是基基于軟軟件的的，與與基于于路由由器的的包過過濾防防火墻墻有較較大的的不同同。代理服服務(wù)器器防火火墻位位于外外部網(wǎng)網(wǎng)絡(luò)與與內(nèi)部部網(wǎng)絡(luò)絡(luò)之間間，它它接收收客戶戶端的的請(qǐng)求求，然然后根根據(jù)已已制定定好的的安全全控制制規(guī)則則決定定是否否將其其轉(zhuǎn)發(fā)發(fā)給真真正的的服務(wù)務(wù)器。。第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理41代理服服務(wù)器器的主主要功功能接收和和解釋釋客戶戶端發(fā)發(fā)來的的請(qǐng)求求。作為新新的客客戶端端創(chuàng)建建與服服務(wù)器器的連連接。。接收服服務(wù)器器發(fā)來來的響響應(yīng)。。解釋服服務(wù)器器發(fā)來來的響響應(yīng)并并將其其轉(zhuǎn)發(fā)發(fā)給客客戶端端。第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理42代理服服務(wù)器器的工工作原原理第9章章網(wǎng)網(wǎng)絡(luò)安安全與與網(wǎng)絡(luò)絡(luò)管理理43代理服服務(wù)器器防火火墻的的優(yōu)缺缺點(diǎn)代理服服務(wù)器器的主主要優(yōu)優(yōu)點(diǎn)包包括：：與包過濾路路由器相比比，配置容容易。能夠生成各各種日志記記錄，對(duì)對(duì)流量分析析、安全檢檢查及計(jì)費(fèi)費(fèi)提供幫助助。能夠提供更更好的訪問問控制。。能夠?qū)?shù)據(jù)據(jù)內(nèi)容進(jìn)行行過濾。代理服務(wù)器器的主要缺缺點(diǎn)包括：：速度較慢。。代理服務(wù)對(duì)對(duì)用戶不透透明。對(duì)于每種應(yīng)應(yīng)用層協(xié)議議要使用不不同的代理理服務(wù)。代理服務(wù)不不能提高低低層協(xié)議的的安全性。。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理449.4加加密、認(rèn)認(rèn)證和訪問問控制技術(shù)術(shù)加密技術(shù)公開密鑰基基礎(chǔ)設(shè)施身份認(rèn)證技技術(shù)訪問控制技技術(shù)第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理459.4.1加密密技術(shù)第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理整個(gè)加密/解密過程程可表示為為：D(E(P))=P。46使用一個(gè)密密鑰的加/解密過程程第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理可表示為：：DK(EK(P))=P47使用兩個(gè)密密鑰的加/解密過程程第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理可表示為：：DK2(EK1(P))=P48對(duì)稱密鑰加加密算法對(duì)稱密鑰加加密算法的的加密密鑰鑰能夠通過過解密密鑰鑰推算出來來，反之亦亦然。大部分對(duì)稱稱密鑰加密密算法的加加密密鑰和和解密密鑰鑰是相同的的，這些算算法也被稱稱為單密鑰鑰算法。在密碼體系系中，加密密算法和解解密算法通通常是公開開的。對(duì)于對(duì)稱密密鑰加密算算法來說，，通信的發(fā)發(fā)送方和接接收方在安安全通信之之前要協(xié)商商一個(gè)共享享的密鑰，，該密鑰必必須通過一一個(gè)安全的的渠道被通通信雙方所所知悉。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理49對(duì)稱密鑰加加密算法DES（DataEncryptionStandard，，數(shù)據(jù)加密密標(biāo)準(zhǔn)）DES是典典型的對(duì)稱稱密鑰算法法，它是由由IBM公公司在20世紀(jì)70年代研究究出來的。。DES算法法使用56位的密鑰鑰，將64位的明文文塊轉(zhuǎn)換成成64位的的密文塊。。其密鑰空間間有256種組合。三重DES(TripleDES)三重DES的密鑰長(zhǎng)長(zhǎng)度是112位。加密過程分分三個(gè)主要要步驟：首首先將明文文塊用密鑰鑰的前56位進(jìn)行加加密，然后后將結(jié)果用用密鑰的后后56位進(jìn)進(jìn)行加密，，最后再用用密鑰的前前56位進(jìn)進(jìn)行加密。。其密鑰空間間有2112種組合，很很難破解。。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理50非對(duì)稱密鑰鑰加密算法法非對(duì)稱密鑰鑰加密算法法又稱為公公開密鑰算算法。它采采用不同的的加密密鑰鑰和解密密密鑰，而且且解密密鑰鑰不能通過過加密密鑰鑰計(jì)算出來來。這樣就可以以將加密密密鑰公開，，每個(gè)人都都可以使用用加密密鑰鑰進(jìn)行信息息加密，而而只有擁有有解密密鑰鑰的人才能能對(duì)加密的的信息進(jìn)行行解密。在公開密鑰鑰加密系統(tǒng)統(tǒng)中，這個(gè)個(gè)公開的加加密密鑰被被稱為公開開密鑰（簡(jiǎn)簡(jiǎn)稱公鑰））；而解密密密鑰被稱稱為秘密密密鑰（又被被稱為私有有密鑰，簡(jiǎn)簡(jiǎn)稱私鑰））。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理51使用非對(duì)稱稱密鑰的加加/解密過過程第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理52非對(duì)稱密鑰鑰加密算法法公開密鑰加加密技術(shù)較較好地解決決了密鑰的的交換問題題。自1976年公公開密鑰的的思想被提提出以來，，國(guó)際上已已出現(xiàn)了多多種公開密密鑰加密算算法。比較較流行的有有基于大整整數(shù)因子分分解問題的的RSA算算法、基于于橢圓曲線線上的離散散對(duì)數(shù)問題題的Differ-Hellman算算法等。RSA算法法與DES算法相比比，其主要要缺點(diǎn)是：：產(chǎn)生密鑰鑰的過程復(fù)復(fù)雜；由于于需要進(jìn)行行大數(shù)運(yùn)算算，計(jì)算速速度很慢。。因此，RSA算法法主要用于于少量數(shù)據(jù)據(jù)的加密，，如對(duì)DES密鑰的的加密，從從而解決DES密鑰鑰的分發(fā)問問題。而DES算法法的運(yùn)算速速度很快，，適合進(jìn)行行大量數(shù)據(jù)據(jù)的加密。。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理539.4.2公公開密密鑰基礎(chǔ)礎(chǔ)設(shè)施一個(gè)利用用對(duì)稱密密鑰和非非對(duì)稱密密鑰進(jìn)行行數(shù)據(jù)加加密通信信的例子子:Alice和Bob要要通過網(wǎng)網(wǎng)絡(luò)進(jìn)行行秘密通通信。Alice→→Bob：我我是Alice,這是是我的公公鑰Ka。你選選擇一個(gè)個(gè)會(huì)話密密鑰K（對(duì)稱密密鑰），，然后將將K用Ka加密后后發(fā)送給給我。Bob→→Alice:將將數(shù)據(jù)通通信用的的會(huì)話密密鑰K用Alice的的公鑰Ka加密后后發(fā)送給給Alice。。Alice：使使用自己己的私鑰鑰Pa解密Ka（K），得到到會(huì)話密密鑰K。Alice→→Bob:使使用會(huì)話話密鑰K加密并傳傳輸信息息。Bob→→Alice:使使用會(huì)會(huì)話密鑰鑰K加密并傳傳輸信息息。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理54中間人攻攻擊Mallory首先截截獲Alice的公鑰鑰Ka，并將將自己的的公鑰Km發(fā)送給給Bob。Bob收收到公鑰鑰Km后，會(huì)會(huì)把它當(dāng)當(dāng)作Alice的公鑰鑰Ka，他用用Km加密準(zhǔn)準(zhǔn)備用于于加密信信息的會(huì)會(huì)話密鑰鑰K，并將其其（Km（K））傳送送給Alice。當(dāng)Mallory進(jìn)一一步截獲獲到它以以后，就就會(huì)用自自己的私私鑰進(jìn)行行解密，，從而得得到會(huì)話話密鑰K，然后再再用Alice的公開開密鑰重重新加密密會(huì)話密密鑰K,并將其其傳送給給Alice。。這樣Mallory就就得悉了了Alice和和Bob用于加加密信息息的會(huì)話話密鑰K，從而可可以對(duì)Alice和Bob之之間的加加密通信信進(jìn)行竊竊聽并解解密。這這種攻擊擊方式稱稱為中間間人攻擊擊。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理55公開密鑰鑰基礎(chǔ)設(shè)設(shè)施這種攻擊擊之所以以成功的的原因在在于：Bob無(wú)無(wú)法判斷斷接收到到的公鑰鑰是否就就是Alice本人的的，即其其無(wú)法判判斷公鑰鑰所有人人的真實(shí)實(shí)身份。。這個(gè)問問題會(huì)影影響信息息傳輸?shù)牡谋Ｃ苄孕?、不可可否認(rèn)性性和信息息交換的的完整性性。為了解決決這些安安全問題題，可以以利用公公開密鑰鑰基礎(chǔ)設(shè)設(shè)施（PublicKeyInfrastructure,PKI））中的技技術(shù)。根據(jù)X.509標(biāo)準(zhǔn)給給出的定定義，PKI是是軟件、、硬件、、人員、、策略和和規(guī)程的的集合，，它通過過管理密密鑰和數(shù)數(shù)字證書書為基于于公鑰的的安全服服務(wù)提供供支持。。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理56數(shù)字證書書數(shù)字證書書用于管管理用戶戶的公鑰鑰：它將將用戶公公鑰與用用戶的其其他特征征信息（（如名稱稱、E-mail等））綁定在在一起，，并通過過可信任任的第三三方機(jī)構(gòu)構(gòu)——認(rèn)認(rèn)證機(jī)構(gòu)構(gòu)（CertificationAuthority，CA）進(jìn)行行電子簽簽名，從從而證明明公鑰和和用戶身身份的一一致性。。數(shù)字證書書的主要要類型包包括：客客戶證書書（個(gè)人人證書））、站點(diǎn)點(diǎn)證書（（服務(wù)器器證書））和軟件件開發(fā)者者證書。。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理57一個(gè)數(shù)字字證書的的例子第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理58證書認(rèn)證證機(jī)構(gòu)（（CA））證書認(rèn)證證機(jī)構(gòu)（（CA））的基本本功能是是簽發(fā)和和管理數(shù)數(shù)字證書書。它能能夠接收收用戶注注冊(cè)請(qǐng)求求，處理理、批準(zhǔn)準(zhǔn)或拒絕絕請(qǐng)求，，頒發(fā)證證書。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理59身份認(rèn)證證技術(shù)用戶名/密碼方方式智能卡方方式動(dòng)態(tài)口令令方式生物特征征認(rèn)證方方式第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理609.4.4訪訪問控控制技術(shù)術(shù)訪問控制制（AccessControl）是在在身份認(rèn)認(rèn)證的基基礎(chǔ)上，，根據(jù)用用戶的身身份決定定其能夠夠訪問哪哪些資源源以及對(duì)對(duì)這些資資源能夠夠進(jìn)行哪哪些操作作。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理61基于角色色的訪問問控制基于角色色的訪問問控制（（RBAC）中中的要素素主要包包括用戶戶、角色色和許可可。用戶是指指能夠獨(dú)獨(dú)立訪問問計(jì)算機(jī)機(jī)系統(tǒng)中中數(shù)據(jù)或或其他資資源的主主體。角色是指指根據(jù)用用戶在組組織或某某一任務(wù)務(wù)中的位位置，定定義他所所擁有的的權(quán)利和和責(zé)任。。許可是指指允許對(duì)對(duì)資源進(jìn)進(jìn)行的操操作。一個(gè)角色色可以包包含多個(gè)個(gè)用戶，，一個(gè)用用戶也可可以具有有多個(gè)角角色；每每個(gè)角色色可具有有多種操操作許可可，每種種許可也也可授權(quán)權(quán)給多個(gè)個(gè)角色。。第9章網(wǎng)網(wǎng)絡(luò)安安全與網(wǎng)網(wǎng)絡(luò)管理理629.5網(wǎng)網(wǎng)絡(luò)絡(luò)管理網(wǎng)絡(luò)管理理就是利利用各種種工具、、應(yīng)用程程序和設(shè)設(shè)備，幫幫助網(wǎng)絡(luò)絡(luò)管理員員對(duì)計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)進(jìn)行監(jiān)監(jiān)視和維維護(hù)。通過收集集網(wǎng)絡(luò)中中各種設(shè)設(shè)備的工工作狀態(tài)態(tài)、性能能參數(shù)，，可以幫幫助網(wǎng)絡(luò)絡(luò)管理員員正確地地分析網(wǎng)網(wǎng)絡(luò)工作作狀況，，從而對(duì)對(duì)各網(wǎng)絡(luò)絡(luò)設(shè)備進(jìn)進(jìn)行有效效地控制制，實(shí)現(xiàn)現(xiàn)網(wǎng)絡(luò)的的高效、、正常運(yùn)運(yùn)行。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理639.5.1網(wǎng)網(wǎng)絡(luò)管理理體系結(jié)構(gòu)主要由管理實(shí)實(shí)體、被管理理的設(shè)備和負(fù)負(fù)責(zé)實(shí)現(xiàn)兩者者之間通信的的網(wǎng)絡(luò)管理協(xié)協(xié)議構(gòu)成。典型的網(wǎng)絡(luò)管管理協(xié)議包括括：簡(jiǎn)單網(wǎng)絡(luò)絡(luò)管理協(xié)議（（SimpleNetworkManagementProtocol，，SNMP））和公共管理理信息協(xié)議（（CommonManagementInformationProtocol，CMIP）。。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理64網(wǎng)絡(luò)管理體系系結(jié)構(gòu)第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理659.5.2ISO網(wǎng)網(wǎng)絡(luò)管理模型型國(guó)際標(biāo)準(zhǔn)化組組織（ISO）提出了網(wǎng)網(wǎng)絡(luò)管理模型型，很好地闡闡述了網(wǎng)絡(luò)管管理的主要功功能。性能管理（PerformanceManagement）配置管理（ConfigurationManagement）記賬管理（AccountingManagement）故障管理（FaultManagement）安全管理（SecurityManagement）。。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理66性能管理性能管理的目目標(biāo)是通過測(cè)測(cè)量和改進(jìn)網(wǎng)網(wǎng)絡(luò)性能的各各個(gè)方面，使使得網(wǎng)絡(luò)性能能能夠滿足要要求。反映網(wǎng)絡(luò)性能能的參數(shù)包括括：網(wǎng)絡(luò)吞吐吐量、用戶響響應(yīng)時(shí)間、傳傳輸延遲、線線路利用率、、平均無(wú)故障障時(shí)間等。性能管理包括括三個(gè)主要步步驟：首先，收集反反映網(wǎng)絡(luò)性能能的數(shù)據(jù)；然后，對(duì)這些些性能數(shù)據(jù)進(jìn)進(jìn)行分析，確確定正常的網(wǎng)網(wǎng)絡(luò)性能指標(biāo)標(biāo)；最后，對(duì)每一一項(xiàng)重要的性性能參數(shù)設(shè)定定報(bào)警門限，，當(dāng)網(wǎng)絡(luò)性能能變量值超出出預(yù)設(shè)門限時(shí)時(shí)，表明網(wǎng)絡(luò)絡(luò)性能出現(xiàn)了了問題。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理67配置管理配置管理的目目的是監(jiān)視網(wǎng)網(wǎng)絡(luò)與系統(tǒng)的的配置信息，，跟蹤和管理理各種版本的的軟硬件要素素對(duì)網(wǎng)絡(luò)運(yùn)行行的影響。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理68配置管理每個(gè)網(wǎng)絡(luò)設(shè)備備都有相關(guān)聯(lián)聯(lián)的種種軟硬硬件版本信息息。例如，一一個(gè)工作站被被配置了以下下版本的軟硬硬件：操作系統(tǒng)，V3.5。以太網(wǎng)接口，，V5.6。。TCP/IP軟件，V2.0。NFS軟件件，V5.0。串行通信控制制器，V1.1。X.25軟件件，V1.1。SNMP軟軟件，V3.0。配置管理子系系統(tǒng)將配置信信息保存在數(shù)數(shù)據(jù)庫(kù)中，可可以在需要的的時(shí)候進(jìn)行方方便地查詢。。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理69記賬管理記賬管理用于于統(tǒng)計(jì)用戶對(duì)對(duì)網(wǎng)絡(luò)的使用用情況。對(duì)于網(wǎng)絡(luò)通信信服務(wù)公司和和ISP來說說，記賬管理理能夠幫助他他們實(shí)現(xiàn)對(duì)用用戶的合理收收費(fèi)以及掌握握網(wǎng)絡(luò)的利用用率情況。對(duì)于單位內(nèi)部部網(wǎng)來說，通通過統(tǒng)計(jì)用戶戶的網(wǎng)絡(luò)使用用時(shí)間、網(wǎng)絡(luò)絡(luò)資源利用率率等參數(shù)，可可以適當(dāng)?shù)乜乜刂坪驼{(diào)節(jié)用用戶對(duì)網(wǎng)絡(luò)資資源的訪問，，從而提高網(wǎng)網(wǎng)絡(luò)資源的利利用率，滿足足更多用戶的的需求。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理70記賬管理記賬管理包括括以下幾個(gè)步步驟：對(duì)所有重要網(wǎng)網(wǎng)絡(luò)資源的使使用情況進(jìn)行行測(cè)量；通過對(duì)這些測(cè)測(cè)量結(jié)果進(jìn)行行分析，得到到當(dāng)前的網(wǎng)絡(luò)絡(luò)使用模式；；進(jìn)行有效的使使用限額分配配；為了對(duì)網(wǎng)絡(luò)使使用方式進(jìn)行行優(yōu)化，需要要不斷地進(jìn)行行資源使用情情況的測(cè)量，，及時(shí)做出調(diào)調(diào)整。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理71故障管理故障管理的目目的包括檢測(cè)測(cè)、記錄和通通知用戶故障障的發(fā)生，以以及在必要時(shí)時(shí)自動(dòng)修復(fù)網(wǎng)網(wǎng)絡(luò)故障。網(wǎng)絡(luò)故障能夠夠引起網(wǎng)絡(luò)癱癱瘓或使網(wǎng)絡(luò)絡(luò)性能下降，，因此，為了了保證網(wǎng)絡(luò)的的有效運(yùn)行，，必須加強(qiáng)網(wǎng)網(wǎng)絡(luò)故障管理理。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理72故障管理故障管理的具具體內(nèi)容包括括：通過診斷測(cè)試試，發(fā)現(xiàn)網(wǎng)絡(luò)絡(luò)故障并對(duì)故故障進(jìn)行隔離離；對(duì)故障進(jìn)行修修復(fù)或通過啟啟動(dòng)備用設(shè)備備以恢復(fù)網(wǎng)絡(luò)絡(luò)的正常運(yùn)行行；記錄故障的檢檢測(cè)和解決過過程。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理73安全管理安全管理的目目的是根據(jù)本本地策略控制制對(duì)網(wǎng)絡(luò)資源源的訪問，防防止用戶對(duì)網(wǎng)網(wǎng)絡(luò)資源進(jìn)行行有意或無(wú)意意的破壞，禁禁止未授權(quán)用用戶對(duì)敏感信信息的訪問。。例如，一個(gè)安安全管理子系系統(tǒng)能夠監(jiān)視視用戶的登錄錄情況并拒絕絕登錄口令錯(cuò)錯(cuò)誤的用戶進(jìn)進(jìn)入系統(tǒng)。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理74安全管理安全管理子系系統(tǒng)可以將網(wǎng)網(wǎng)絡(luò)資源分成成兩大類：受受控資源和非非受控資源。。對(duì)于企業(yè)外部部用戶來說，，其對(duì)內(nèi)網(wǎng)中中任何資源的的訪問往往都都是不允許的的；對(duì)于大部分企企業(yè)內(nèi)部用戶戶來說，其對(duì)對(duì)某些特定資資源的訪問，，往往也是不不允許的。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理75安全管理安全管理子系系統(tǒng)需要完成成以下任務(wù)：：確定敏感的網(wǎng)網(wǎng)絡(luò)資源（包包括系統(tǒng)硬件件、軟件和數(shù)數(shù)據(jù)）；確定用戶對(duì)敏敏感網(wǎng)絡(luò)資源源的訪問權(quán)限限；在敏感網(wǎng)絡(luò)資資源的訪問點(diǎn)點(diǎn)上進(jìn)行監(jiān)視視并記錄對(duì)敏敏感網(wǎng)絡(luò)資源源的非法訪問問。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理769.5.3簡(jiǎn)簡(jiǎn)單網(wǎng)絡(luò)絡(luò)管理協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理理協(xié)議（SimpleNetworkManagementProtocol，SNMP）屬于于應(yīng)用層協(xié)議議，它用于在在網(wǎng)絡(luò)設(shè)備之之間交換管理理信息。SNMP能夠夠幫助網(wǎng)絡(luò)管管理員管理和和維護(hù)網(wǎng)絡(luò)，，提高網(wǎng)絡(luò)的的可靠性和可可用性。第9章網(wǎng)絡(luò)絡(luò)安全與網(wǎng)絡(luò)絡(luò)管理77SNMP管管理模型的的組成通過SNMP管理的的網(wǎng)絡(luò)主要要包括三個(gè)個(gè)部分：網(wǎng)網(wǎng)絡(luò)管理系系統(tǒng)（NetworkManagementSystem，，NMS））、被管理理的設(shè)備、、代理（Agent）。網(wǎng)絡(luò)管理系系統(tǒng)負(fù)責(zé)監(jiān)監(jiān)視和控制制被管理的的設(shè)備，在在被管理的的網(wǎng)絡(luò)上至至少存在一一個(gè)NMS。被管理的設(shè)設(shè)備（某個(gè)個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)點(diǎn)）通過SNMP代代理收集和和存儲(chǔ)設(shè)備備的管理信信息并通過過SNMP將信息發(fā)發(fā)給NMS。被管理理設(shè)備的具具體類型包包括路由器器、交換機(jī)機(jī)、網(wǎng)橋、、集線器、、訪問服務(wù)務(wù)器、打印印機(jī)等。代理是駐留留在被管理理設(shè)備上的的軟件模塊塊。代理負(fù)負(fù)責(zé)收集設(shè)設(shè)備管理信信息并發(fā)送送給NMS。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理78SNMP的的消息類型型NMS和代代理之間通通過消息進(jìn)進(jìn)行通信，，有5種類類型的消息息：GetRequest、、GetNextRequest、SetRequest、GetResponse和Trap。。GetRequest消息：：通過SNMP代理理獲取被管管理設(shè)備的的參數(shù)。GetNextRequest消息：：用于從代代理中獲取取緊跟當(dāng)前前參數(shù)值的的下一個(gè)參參數(shù)值。SetRequest消息：：對(duì)網(wǎng)絡(luò)設(shè)設(shè)備進(jìn)行配配置，包括括設(shè)備名、、設(shè)備屬性性等參數(shù)。。GetResponse消息息：對(duì)請(qǐng)求求消息進(jìn)行行響應(yīng)，如如提供差錯(cuò)錯(cuò)狀態(tài)、參參數(shù)值列表表等。Trap消消息：由代代理向NMS主動(dòng)發(fā)發(fā)出的消息息，用于報(bào)報(bào)告某些事事件的發(fā)生生。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理799.6應(yīng)應(yīng)用案例例——瑞星星軟件防火火墻第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理80防火墻軟件件的日志文文件事件的類型型主要分為為以下10類：防火墻系統(tǒng)統(tǒng)事件：記記錄防火墻墻的啟動(dòng)和和關(guān)閉、網(wǎng)網(wǎng)絡(luò)的連接接和斷開等等事件。攻擊事件：：記錄防火火墻受到的的攻擊事件件。IP事件：：記錄防火火墻規(guī)則要要求軟件記記錄的IP信息。TCP事件件：記錄防防火墻規(guī)則則要求軟件件記錄的TCP信息息。UDP事件件：記錄防防火墻規(guī)則則要求軟件件記錄的UDP信息息。用戶編輯IP規(guī)則事事件：記錄錄用戶對(duì)IP規(guī)則進(jìn)進(jìn)行編輯的的事件。用戶編輯訪訪問規(guī)則事事件：記錄錄用戶對(duì)訪訪問規(guī)則進(jìn)進(jìn)行編輯的的事件。用戶配置防防火墻事件件：記錄用用戶對(duì)防火火墻配置的的事件。木馬掃描事事件：記錄錄對(duì)內(nèi)存中中木馬進(jìn)行行掃描的事事件。ARP欺騙騙事件：記記錄防火墻墻軟件阻止止ARP欺欺騙的事件件。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理81規(guī)則設(shè)置黑名單設(shè)置置白名單設(shè)置置端口開關(guān)設(shè)設(shè)置可信區(qū)設(shè)置置IP規(guī)則設(shè)設(shè)置第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理82黑名單設(shè)置置黑名單指的的是禁止與與本機(jī)進(jìn)行行通信的設(shè)設(shè)備列表。。例如，曾曾對(duì)本機(jī)發(fā)發(fā)起攻擊的的計(jì)算機(jī)可可以被列入入黑名單。。對(duì)黑名單中中的記錄可可以進(jìn)行增增加、刪除除、導(dǎo)入、、導(dǎo)出操作作。增加黑黑名單記錄錄時(shí)，可對(duì)對(duì)某一特定定IP地址址的設(shè)備進(jìn)進(jìn)行限制，，也可對(duì)某某個(gè)地址范范圍內(nèi)的設(shè)設(shè)備進(jìn)行限限制。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理83白名單設(shè)置置白名單為本本機(jī)完全信信任的設(shè)備備列表。例例如，VPN服務(wù)器器就可被加加入白名單單。對(duì)白名名單的操作作與對(duì)黑名名單的操作作類似。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理84端口開關(guān)設(shè)設(shè)置設(shè)置允許或或禁止進(jìn)行行通信的本本地端口或或遠(yuǎn)程端口口。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理85可信區(qū)設(shè)置置通過對(duì)可信信區(qū)的設(shè)置置，可以將將局域網(wǎng)與與互聯(lián)網(wǎng)區(qū)區(qū)分對(duì)待。。結(jié)合可信信區(qū)服務(wù)（（如允許Ping入入、Ping出，局局域網(wǎng)中放放行敏感端端口，局域域網(wǎng)中放行行對(duì)方敏感感端口），，可以方便便局域網(wǎng)內(nèi)內(nèi)部設(shè)備之之間的通信信。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理86IP規(guī)則設(shè)設(shè)置設(shè)置IP層層的包過濾濾規(guī)則。瑞星防火墻墻采用軟件件方式進(jìn)行行IP包的的過濾，因因此，設(shè)置置的過濾規(guī)規(guī)則越多，，防火墻軟軟件的性能能就越低。。每條IP規(guī)規(guī)則具體包包括：規(guī)則則名稱、地地址、協(xié)議議、本地端端口、對(duì)方方端口、報(bào)報(bào)警方式設(shè)設(shè)置等項(xiàng)目目。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理87網(wǎng)站訪問控控制通過設(shè)置網(wǎng)網(wǎng)站訪問規(guī)規(guī)則，可以以屏蔽不適適合瀏覽的的網(wǎng)站。通通過將含有有病毒或木木馬等的惡惡意網(wǎng)站的的URL放放入黑名單單，可以有有效地過濾濾這些惡意意網(wǎng)站對(duì)本本機(jī)的侵害害。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理88ARP欺騙騙防御設(shè)置置ARP（AddressResolutionProtocol）的的中文名稱稱是地址解解析協(xié)議，，它將IP地址轉(zhuǎn)換換為物理地地址（MAC地址））。ARP欺騙騙是通過發(fā)發(fā)送虛假的的ARP包包給局域網(wǎng)網(wǎng)內(nèi)的主機(jī)機(jī)，從而冒冒充他人的的身份來欺欺騙局域網(wǎng)網(wǎng)中的其他他主機(jī)。例如，某個(gè)個(gè)中了ARP木馬的的電腦，通通過ARP欺騙將自自己偽裝成成路由器，，欺騙其他他主機(jī)與其其通信，這這樣它就可可以將修改改過的網(wǎng)絡(luò)絡(luò)數(shù)據(jù)發(fā)送送給其他主主機(jī)，而在在這個(gè)數(shù)據(jù)據(jù)中可能插插入了盜取取用戶賬戶戶信息的程程序。瑞星防火墻墻通過定時(shí)時(shí)檢查本機(jī)機(jī)ARP緩緩存、啟用用ARP靜靜態(tài)地址綁綁定規(guī)則、、拒絕IP地址沖突突攻擊等方方法進(jìn)行ARP欺騙騙防御。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理89本章小結(jié)網(wǎng)絡(luò)安全體體系需要在在以下幾個(gè)個(gè)方面提供供安全服務(wù)務(wù)：保密性性、身份認(rèn)認(rèn)證、不可可抵賴性、、數(shù)據(jù)完整整性和訪問問控制。網(wǎng)絡(luò)安全面面臨的主要要威脅：信信息泄露、、信息破壞壞和拒絕服服務(wù)。網(wǎng)絡(luò)通信過過程中面臨臨的主要威威脅：信息息被截獲、、通信被中中斷、數(shù)據(jù)據(jù)被篡改和和信息被偽偽造。網(wǎng)絡(luò)攻擊概概述：網(wǎng)絡(luò)絡(luò)攻擊人員員的類型、、系統(tǒng)漏洞洞和遠(yuǎn)程攻攻擊的概念念。拒絕服務(wù)攻攻擊和分布布式拒絕服服務(wù)攻擊。。惡意代碼：：病毒、蠕蠕蟲、特洛洛伊木馬、、邏輯炸彈彈、惡意網(wǎng)網(wǎng)頁(yè)和流氓氓軟件。防火墻的基基本概念以以及防火墻墻的優(yōu)缺點(diǎn)點(diǎn)。包過濾防火火墻和代理理服務(wù)器防防火墻。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理90本章小結(jié)加密技術(shù)：：加密/解解密過程、、對(duì)稱和非非對(duì)稱密鑰鑰加密算法法。公開密鑰基基礎(chǔ)設(shè)施的的概念、數(shù)數(shù)字證書的的概念、證證書認(rèn)證機(jī)機(jī)構(gòu)（CA）的功能能。身份認(rèn)證的的方式：用用戶名/密密碼方式、、智能卡方方式、動(dòng)態(tài)態(tài)口令方式式和生物特特征認(rèn)證方方式。訪問控制的的基本概念念和基于角角色的訪問問控制。網(wǎng)絡(luò)管理體體系結(jié)構(gòu)：：管理實(shí)體體、被管理理的設(shè)備和和網(wǎng)絡(luò)管理理協(xié)議。ISO網(wǎng)絡(luò)絡(luò)管理模型型：性能管管理、配置置管理、記記賬管理、、故障管理理和安全管管理。簡(jiǎn)單網(wǎng)絡(luò)管管理協(xié)議：：SNMP管理模型型的組成和和SNMP的消息類類型。瑞星軟件防防護(hù)墻的配配置和使用用。第9章網(wǎng)網(wǎng)絡(luò)安全與與網(wǎng)絡(luò)管理理919、靜夜夜四無(wú)無(wú)鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Wednesday,December28,202210、雨中黃黃葉樹，，燈下白白頭人。。。21:53:5321:53:5321:5312/28/20229:53:53PM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2221:53:5321:53Dec-2228-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。