《計(jì)算機(jī)組網(wǎng)技術(shù)》省公開課金獎全國賽課一等獎微課獲獎?wù)n件

第9章

網(wǎng)絡(luò)安全與管理技術(shù)1/63本章主要內(nèi)容9.1網(wǎng)絡(luò)安全問題概述

9.1.1網(wǎng)絡(luò)安全概念

9.1.2網(wǎng)絡(luò)安全控制模型

9.1.3安全威脅9.2網(wǎng)絡(luò)安全技術(shù)

9.2.1加密與認(rèn)證技術(shù)

9.2.2數(shù)字署名技術(shù)

9.2.3入侵檢測技術(shù)

9.2.4防火墻技術(shù)

9.2.5訪問控制列表9.3網(wǎng)絡(luò)管理技術(shù)9.4計(jì)算機(jī)病毒習(xí)題與思索題九2/639.1網(wǎng)絡(luò)安全問題概述安全問題正日益突出，要求提升網(wǎng)絡(luò)安全性呼聲也日益高漲。所以，為了確保網(wǎng)絡(luò)信息安全必須采取對應(yīng)技術(shù)。當(dāng)前網(wǎng)絡(luò)中采取安全技術(shù)，主要包含物理安全、數(shù)據(jù)加密、網(wǎng)絡(luò)認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測、網(wǎng)絡(luò)安全協(xié)議和網(wǎng)絡(luò)管理。3/639.1.1網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)受到保護(hù)，不會因?yàn)榕既换驉阂庠蚨獾狡茐?、更改、泄露等意外發(fā)生。網(wǎng)絡(luò)安全是一個包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等各種學(xué)科邊緣學(xué)科。網(wǎng)絡(luò)安全普通能夠了解為：（1）運(yùn)行系統(tǒng)安全，即確保信息處理和傳輸系統(tǒng)安全。（2）網(wǎng)絡(luò)上系統(tǒng)信息安全。（3）網(wǎng)絡(luò)上信息內(nèi)容安全。4/63圖9-1網(wǎng)絡(luò)安全組成操作安全通信安全TEMPEST信息安全物理安全工業(yè)安全計(jì)算機(jī)安全人員安全網(wǎng)絡(luò)安全5/639.1.2網(wǎng)絡(luò)安全控制模型可信任第三方（比如保密信息仲裁者、公布者）信息通道主體消息秘密

信息主體消息秘密

信息安全性相關(guān)轉(zhuǎn)換安全性相關(guān)轉(zhuǎn)換對手圖9-2網(wǎng)絡(luò)安全模型6/63確保安全性全部機(jī)制包含以下兩部分：（1）對被傳送信息進(jìn)行與安全相關(guān)轉(zhuǎn)換。圖9-2中包含了消息加密和以消息內(nèi)容為基礎(chǔ)補(bǔ)充代碼。加密消息使對手無法閱讀，補(bǔ)充代碼能夠用來驗(yàn)證發(fā)送方身份。（2）兩個主體共享不希望對手得知保密信息。比如，使用密鑰連接，在發(fā)送前對信息進(jìn)行轉(zhuǎn)換，在接收后再轉(zhuǎn)換過來。7/63這種通用模型指出了設(shè)計(jì)特定安全服務(wù)4個基本任務(wù)：（1）設(shè)計(jì)執(zhí)行與安全性相關(guān)轉(zhuǎn)換算法，該算法必須使對手不能破壞算法以實(shí)現(xiàn)其目標(biāo)。（2）生成算法使用保密信息。（3）開發(fā)分發(fā)和共享保密信息方法。（4）指定兩個主體要使用協(xié)議，并利用安全算法和保密信息來實(shí)現(xiàn)特定安全服務(wù)。8/639.1.3安全威脅針對網(wǎng)絡(luò)安全威脅主要有三種：（1）人為無意失誤。（2）人為惡意攻擊。（3）網(wǎng)絡(luò)軟件漏洞和“后門”。9/631．安全攻擊信源信宿（a）正常流動信源信宿信源信宿（d）修改（e）捏造信源信宿信源信宿（b）中止（c）截取10/63以上攻擊可分為被動攻擊和主動攻擊兩種。被動攻擊特點(diǎn)是偷聽或監(jiān)視傳送，其目標(biāo)是取得正在傳送消息。被動攻擊有：泄露信息內(nèi)容和通信量分析等。主動攻擊包括修改數(shù)據(jù)或創(chuàng)建錯誤數(shù)據(jù)流，包含假冒、重放、修改消息和拒絕服務(wù)等。主動攻擊含有與被動攻擊相反特點(diǎn)。即使極難檢測出被動攻擊，但能夠采取辦法預(yù)防它成功。相反，極難絕對預(yù)防主動攻擊，因?yàn)檫@么需要在任何時候?qū)θ客ㄐ殴ぞ吆吐窂竭M(jìn)行完全保護(hù)。預(yù)防主動攻擊做法是對攻擊進(jìn)行檢測，并從它引發(fā)中止或延遲中恢復(fù)過來。因?yàn)闄z測含有威懾效果，它也能夠?qū)︻A(yù)防做出貢獻(xiàn)。11/63另外，從網(wǎng)絡(luò)高層協(xié)議角度，攻擊方法能夠概括地分為兩大類：服務(wù)攻擊與非服務(wù)攻擊。服務(wù)攻擊（ApplicationDependentAttack）是針對某種特定網(wǎng)絡(luò)服務(wù)攻擊，如針對E-mail、Telnet、FTP、HTTP等服務(wù)專門攻擊。非服務(wù)攻擊（ApplicationIndependentAttack）不針對某項(xiàng)詳細(xì)應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議進(jìn)行。與服務(wù)攻擊相比，非服務(wù)攻擊與特定服務(wù)無關(guān)，往往利用協(xié)議或操作系統(tǒng)實(shí)現(xiàn)協(xié)議時漏洞來到達(dá)攻擊目標(biāo)，更為隱蔽，而且當(dāng)前也是經(jīng)常被忽略方面，因而被認(rèn)為是一個更為有效攻擊伎倆。12/632．基本威脅網(wǎng)絡(luò)安全基本目標(biāo)是實(shí)現(xiàn)信息機(jī)密性、完整性、可用性和正當(dāng)性。4個基本安全威脅直接反應(yīng)了這4個安全目標(biāo)。普通認(rèn)為，當(dāng)前網(wǎng)絡(luò)存在威脅主要表現(xiàn)在：（1）信息泄漏或丟失。（2）破壞數(shù)據(jù)完整性。（3）拒絕服務(wù)攻擊。（4）非授權(quán)訪問。13/633．主要可實(shí)現(xiàn)威脅這些威脅能夠使基本威脅成為可能，所以十分主要。它包含兩類：滲透威脅和植入威脅。（1）主要滲透威脅有：假冒、旁路控制、授權(quán)侵犯。（2）主要植入威脅有：特洛伊木馬、陷門。14/634．潛在威脅對基本威脅或主要可實(shí)現(xiàn)威脅進(jìn)行分析，能夠發(fā)覺一些特定潛在威脅，而任意一個潛在威脅都可能造成發(fā)生一些更基本威脅。15/639.2網(wǎng)絡(luò)安全技術(shù)

9.2.1加密與認(rèn)證技術(shù)1．密碼學(xué)基本概念密碼學(xué)（或稱密碼術(shù)）是保密學(xué)一部分。保密學(xué)是研究密碼系統(tǒng)或通信安全科學(xué)，它包含兩個分支：密碼學(xué)和密碼分析學(xué)。密碼學(xué)是對信息進(jìn)行編碼實(shí)現(xiàn)隱蔽信息一門學(xué)問。密碼分析學(xué)是研究分析破譯密碼學(xué)問。二者相互獨(dú)立，又相互促進(jìn)。采取密碼技術(shù)能夠隱藏和保護(hù)需要保密消息，使未授權(quán)者不能提取信息。需要隱藏消息稱為明文。明文被變換成另一個隱藏形式稱為密文。這種變換稱為加密。加密逆過程，即從密文恢復(fù)出明文過程稱為解密。對明文進(jìn)行加密時采取一組規(guī)則稱為加密算法，加密算法所使用密鑰稱為加密秘鑰。對密文解密時采取一組規(guī)則稱為解密算法，解密算法所使用密鑰稱為解密密鑰。16/63密碼系統(tǒng)通常從三個獨(dú)立方面進(jìn)行分類。（1）按將明文轉(zhuǎn)換成密文操作類型可分為置換密碼和易位密碼。（2）按明文處理方法可分為分組密碼和序列密碼。（3）按密鑰使用個數(shù)可分為對稱密碼體制和非對稱密碼體制。17/632．加密技術(shù)數(shù)據(jù)加密技術(shù)能夠分為三類，即對稱型加密、非對稱型加密和不可逆加密。對稱型加密使用單個密鑰對數(shù)據(jù)進(jìn)行加密或解密，其特點(diǎn)是計(jì)算量小、加密效率高。不過這類算法在分布式系統(tǒng)上使用較為困難，主要是密鑰管理困難，從而使用成本較高，安全性能也不易確保。這類算法代表是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中廣泛使用DES算法（DigitalEncryptionStandard）。當(dāng)前經(jīng)常使用一些對稱加密算法有數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）、三重DES（3DES，或稱TDEA）、RivestCipher5（RC-5）、國際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm，IDEA）。18/63公開密鑰算法不對稱型加密算法也稱為公開密鑰算法，其特點(diǎn)是有兩個密鑰（即公用密鑰和私有密鑰），只有二者搭配使用才能完成加密和解密全過程。因?yàn)椴粚ΨQ算法擁有兩個密鑰，它尤其適合用于分布式系統(tǒng)中數(shù)據(jù)加密，在Internet中得到廣泛應(yīng)用。其中公用密鑰在網(wǎng)上公布，由數(shù)據(jù)發(fā)送方對數(shù)據(jù)加密時使用，而用于解密對應(yīng)私有密鑰則由數(shù)據(jù)接收方妥善保管。不對稱加密另一使用方法稱為數(shù)字署名（DigitalSignature），即數(shù)據(jù)源使用其私有密鑰對數(shù)據(jù)校驗(yàn)和（Checksum）或其它與數(shù)據(jù)內(nèi)容相關(guān)變量進(jìn)行加密，數(shù)據(jù)接收方則用對應(yīng)公用密鑰解讀數(shù)字簽字，并將解讀結(jié)果用于對數(shù)據(jù)完整性檢驗(yàn)。在網(wǎng)絡(luò)系統(tǒng)中得到應(yīng)用不常規(guī)加密算法有RSA算法和美國國家標(biāo)準(zhǔn)局提出DSA算法（DigitalSignatureAlgorithm）。不常規(guī)加密法在分布式系統(tǒng)中應(yīng)用時需注意問題是怎樣管理和確認(rèn)公用密鑰正當(dāng)性。19/63不可逆加密算法和特征是加密過程不需要密鑰，而且經(jīng)過加密數(shù)據(jù)無法被解密，只有一樣輸入數(shù)據(jù)經(jīng)過一樣不可逆加密算法才能得到相同加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問題，適合于在分布式網(wǎng)絡(luò)系統(tǒng)上使用，不過其加密時計(jì)算機(jī)工作量相當(dāng)可觀，所以通慣用于數(shù)據(jù)量有限情形下加密，比如計(jì)算機(jī)系統(tǒng)中口令就是利用不可逆算法加密。最近伴隨計(jì)算機(jī)系統(tǒng)性能不停改進(jìn)，不可逆加密應(yīng)用逐步增加。在計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用較多有RSA企業(yè)創(chuàng)造MD5算法和由美國國家標(biāo)準(zhǔn)局提議可靠不可逆加密標(biāo)準(zhǔn)（SecureHashStandard，SHS）。20/63加密技術(shù)用于網(wǎng)絡(luò)安全通常有兩種形式：面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)服務(wù)加密技術(shù)經(jīng)過工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過加密數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其它網(wǎng)絡(luò)協(xié)議所需信息，從而確保網(wǎng)絡(luò)連通性和可用性不受損害。在網(wǎng)絡(luò)層上實(shí)現(xiàn)加密技術(shù)對于網(wǎng)絡(luò)應(yīng)用層用戶通常是透明。另外，經(jīng)過適當(dāng)密鑰管理機(jī)制，使用這一方法還能夠在公用互聯(lián)網(wǎng)絡(luò)上建立虛擬專用網(wǎng)絡(luò)并保障虛擬專用網(wǎng)上信息安全性。面向網(wǎng)絡(luò)應(yīng)用服務(wù)加密技術(shù)使用則是當(dāng)前較為流行加密技術(shù)使用方法，比如使用Kerberos服務(wù)Telnet、NFS、Rlogin等，以及用作電子郵件加密PEM（PrivacyEnhancedMail）和PGP（PrettyGoodPrivacy）。這類加密技術(shù)優(yōu)點(diǎn)在于實(shí)現(xiàn)相對較為簡單，不需要對電子信息（數(shù)據(jù)包）所經(jīng)過網(wǎng)絡(luò)安全性能提出特殊要求，對電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端安全保障。21/63從通信網(wǎng)絡(luò)傳輸方面，數(shù)據(jù)加密技術(shù)還能夠分為以下三類：鏈路加密方式、節(jié)點(diǎn)到節(jié)點(diǎn)方式和端到端方式。鏈路加密方式是普通網(wǎng)絡(luò)通信安全主要采取方式。它對網(wǎng)絡(luò)上傳輸數(shù)據(jù)報(bào)文進(jìn)行加密。不但對數(shù)據(jù)報(bào)文正文進(jìn)行加密，而且把路由信息、校驗(yàn)碼等控制信息全部加密。節(jié)點(diǎn)到節(jié)點(diǎn)加密方式是為了處理在節(jié)點(diǎn)中數(shù)據(jù)是明文缺點(diǎn)，在中間節(jié)點(diǎn)中裝有加密、解密保護(hù)裝置，由這個裝置來完成一個密鑰向另一個密鑰交換。在端到端加密方式中，由發(fā)送方加密數(shù)據(jù)在沒有抵達(dá)最終目標(biāo)節(jié)點(diǎn)之前是不被解密。加密、解密只在源、宿節(jié)點(diǎn)進(jìn)行，所以，這種方式能夠?qū)崿F(xiàn)按各種通信對象要求改變加密密鑰以及按應(yīng)用程序進(jìn)行密鑰管理等，而且采取這種方式能夠處理文件加密問題。22/633．認(rèn)證技術(shù)認(rèn)證技術(shù)是實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)之一，認(rèn)證主要是指對某個實(shí)體身份加以判別、確認(rèn)，從而證實(shí)是否名副其實(shí)或者是否是有效過程。認(rèn)證基本思想是驗(yàn)證某一實(shí)體一個或多個參數(shù)真實(shí)性和有效性。網(wǎng)絡(luò)用戶身份認(rèn)證能夠經(jīng)過下述三種基本路徑之一或它們組合來實(shí)現(xiàn)：①所知（Knowledge），個人所掌握密碼、口令等；②全部（Possesses），個人身份認(rèn)證、護(hù)照、信用卡、鑰匙等；③個人特征（Characteristics），人指紋、聲音、筆記、手型、血型、視網(wǎng)膜、DNA以及個人動作方面特征等。23/639.2.2數(shù)字署名技術(shù)數(shù)字署名提供了一個判別方法，普遍用于銀行、電子商業(yè)等，以處理以下問題：（1）偽造：接收者偽造一份文件，聲稱是對方發(fā)送。（2）冒充：網(wǎng)上某個用戶冒充另一個用戶發(fā)送或接收文件。（3）篡改：接收者對收到文件進(jìn)行局部修改。（4）抵賴：發(fā)送者或接收者最終不認(rèn)可自己發(fā)送或接收文件。24/63數(shù)字署名數(shù)字署名普通經(jīng)過公開密鑰來實(shí)現(xiàn)。在公開密鑰體制下，加密密鑰是公開，加密和解密算法也是公開，保密性完全取決于解密密鑰秘密。只知道加密密鑰不可能計(jì)算出解密密鑰，只有知道解密密鑰正當(dāng)解密者才能正確解密，將密文還原成明文。從另一角度，保密解密密鑰代表解密者身份特征，能夠作為身份識別參數(shù)。所以，能夠用解密密鑰進(jìn)行數(shù)字署名，并發(fā)送給對方。接收者接收到信息后，只要利用發(fā)信方公開密鑰進(jìn)行解密運(yùn)算，如能還原出明文來，就可證實(shí)接收者信息是經(jīng)過發(fā)信方署名。接收者和第三者不能偽造署名文件，因?yàn)橹挥邪l(fā)信方才知道自己解密密鑰，其它人是不可能推導(dǎo)出發(fā)信方私人解密密鑰。這就符合數(shù)字署名唯一性、不可仿冒、不可否定特征和要求。25/639.2.3入侵檢測技術(shù)入侵檢測（IntrusionDetection）是對入侵行為檢測。它經(jīng)過搜集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)信息，檢驗(yàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略行為和被攻擊跡象。入侵檢測作為一個主動主動安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。進(jìn)行入侵檢測軟件與硬件組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）。26/63圖9-4入侵檢測/響應(yīng)流程圖27/631．入侵檢測分類按照檢測類型劃分，入侵檢測有兩種檢測模型。（1）異常檢測模型（AnomalyDetection）：檢測與可接收行為之間偏差。假如能夠定義每項(xiàng)可接收行為，那么每項(xiàng)不可接收行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該含有特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時就被認(rèn)為是入侵。這種檢測模型漏報(bào)率低，誤報(bào)率高。因?yàn)椴恍枰獙γ糠N入侵行為進(jìn)行定義，所以能有效檢測未知入侵。（2）誤用檢測模型（MisuseDetection）：檢測與已知不可接收行為之間匹配程度。假如能夠定義全部不可接收行為，那么每種能夠與之匹配行為都會引發(fā)告警。搜集非正常操作行為特征，建立相關(guān)特征庫，當(dāng)監(jiān)測用戶或系統(tǒng)行為與庫中統(tǒng)計(jì)相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測模型誤報(bào)率低，漏報(bào)率高。對于已知攻擊，它能夠詳細(xì)、準(zhǔn)確地匯報(bào)出攻擊類型，不過對未知攻擊卻效果有限，而且特征庫必須不停更新。28/63按照檢測對象劃分，有基于主機(jī)、基于網(wǎng)絡(luò)和混合型三種類型。（1）基于主機(jī)：系統(tǒng)分析數(shù)據(jù)是計(jì)算機(jī)操作系統(tǒng)事件日志、應(yīng)用程序事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)統(tǒng)計(jì)。主機(jī)型入侵檢測系統(tǒng)保護(hù)普通是所在主機(jī)系統(tǒng)。是由代理（agent）來實(shí)現(xiàn)，代理是運(yùn)行在目標(biāo)主機(jī)上小可執(zhí)行程序，它們與命令控制臺（console）通信。（2）基于網(wǎng)絡(luò)：系統(tǒng)分析數(shù)據(jù)是網(wǎng)絡(luò)上數(shù)據(jù)包。網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段任務(wù)?；诰W(wǎng)絡(luò)入侵檢測系統(tǒng)由遍布網(wǎng)絡(luò)傳感器（sensor）組成，傳感器是一臺將以太網(wǎng)卡置于混雜模式計(jì)算機(jī)，用于嗅探網(wǎng)絡(luò)上數(shù)據(jù)包。（3）混合型：基于網(wǎng)絡(luò)和基于主機(jī)入侵檢測系統(tǒng)都有不足之處，會造成防御體系不全方面。綜合了基于網(wǎng)絡(luò)和基于主機(jī)混合型入侵檢測系統(tǒng)既能夠發(fā)覺網(wǎng)絡(luò)中攻擊信息，也能夠從系統(tǒng)日志中發(fā)覺異常情況。29/632．入侵檢測過程分析入侵檢測過程分析分為三部分：信息搜集、信息分析和結(jié)果處理。（1）信息搜集。入侵檢測第一步是信息搜集，搜集內(nèi)容包含系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動狀態(tài)和行為。由放置在不一樣網(wǎng)段傳感器或不一樣主機(jī)代理來搜集信息，包含系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常目錄和文件改變、非正常程序執(zhí)行。（2）信息分析。搜集到相關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，普通經(jīng)過三種技術(shù)伎倆進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。（3）結(jié)果處理。控制臺按照告警產(chǎn)生預(yù)先定義響應(yīng)采取對應(yīng)辦法，能夠是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也能夠只是簡單告警。30/633．檢測和訪問控制技術(shù)將共存共榮以IDS為代表檢測技術(shù)和以防火墻為代表訪問控制技術(shù)從根本上來說是兩種截然不一樣技術(shù)行為。（1）防火墻是網(wǎng)關(guān)形式，要求高性能和高可靠性。所以防火墻重視吞吐率、延時、HA等方面要求。防火墻最主要特征應(yīng)該是通（傳輸）和斷（阻隔）兩個功效，所以其傳輸要求是非常高。（2）IDS是一個以檢測和發(fā)覺為特征技術(shù)行為，其追求是漏報(bào)率和誤報(bào)率降低。其對性能追求主要表現(xiàn)在：抓包不能漏、分析不能錯，而不是微秒級快速結(jié)果。因?yàn)镮DS較高技術(shù)特征，所以其計(jì)算復(fù)雜度是非常高。31/639.2.4防火墻技術(shù)普通來說，防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間一道屏障，以預(yù)防發(fā)生不可預(yù)測、潛在破壞性侵入。它能夠經(jīng)過監(jiān)測、限制、更改跨越防火墻數(shù)據(jù)流，盡可能地對外部屏蔽內(nèi)部網(wǎng)絡(luò)信息、結(jié)構(gòu)和運(yùn)行情況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)。防火墻能夠是一個實(shí)現(xiàn)安全功效路由器、個人計(jì)算機(jī)、主機(jī)或主機(jī)集合等，通常位于一個受保護(hù)網(wǎng)絡(luò)對外連接處，若這個網(wǎng)絡(luò)到外界有多個連接，那么需要安裝多個防火墻系統(tǒng)。32/63防火墻能有效地對網(wǎng)絡(luò)進(jìn)行保護(hù)，預(yù)防其它網(wǎng)絡(luò)入侵，歸納起來，防火墻含有以下作用：（1）控制進(jìn)出網(wǎng)絡(luò)信息流向和信息包。（2）提供對系統(tǒng)訪問控制。（3）提供使用和流量日志和審計(jì)。（4）增強(qiáng)保密性。使用防火墻能夠阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)有用信息。（5）隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)細(xì)節(jié)。（6）統(tǒng)計(jì)和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)。33/631．防火墻系統(tǒng)結(jié)構(gòu)防火墻系統(tǒng)結(jié)構(gòu)普通分為以下幾個：（1）屏蔽路由器。（2）雙目主機(jī)結(jié)構(gòu)。（3）屏蔽主機(jī)結(jié)構(gòu)。（4）屏蔽子網(wǎng)結(jié)構(gòu)。34/63圖9-5屏蔽路由器實(shí)現(xiàn)防火墻屏蔽路由器Internet內(nèi)部主機(jī)代理服務(wù)器35/63圖9-6雙目主機(jī)實(shí)現(xiàn)防火墻Internet包過濾路由器代理服務(wù)器內(nèi)部主機(jī)Web服務(wù)器36/63圖9-7屏蔽主機(jī)實(shí)現(xiàn)防火墻Internet包過濾路由器代理服務(wù)器路由器內(nèi)部主機(jī)37/63圖9-8屏蔽子網(wǎng)防火墻Internet外部屏蔽路由器內(nèi)部主機(jī)內(nèi)部屏蔽路由器壁壘主機(jī)對外服務(wù)器DMZ區(qū)38/632．防火墻分類從組成上能夠?qū)⒎阑饓Ψ譃橐韵聨最悾海?）硬件防火墻。（2）軟件防火墻。（3）軟硬結(jié)合防火墻。39/633．防火墻設(shè)計(jì)策略防火墻設(shè)計(jì)策略基于特定防火墻，定義完成服務(wù)訪問策略規(guī)則。通常有兩種基本設(shè)計(jì)策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一個特點(diǎn)是“在被判有罪之前，任何嫌疑人都是無罪”，它好用但不安全。第二種特點(diǎn)是“寧可錯殺一千，也不放過一個”，它安全但不好用。在實(shí)際應(yīng)用中防火墻通常采取第二種設(shè)計(jì)策略，但多數(shù)防火墻都會在兩種策略之間采取折衷。40/63（1）防火墻實(shí)現(xiàn)站點(diǎn)安全策略技術(shù)。1）服務(wù)控制。2）方向控制。3）用戶控制。4）行為控制。41/63（2）防火墻在大型網(wǎng)絡(luò)系統(tǒng)中布署。1）在局域網(wǎng)內(nèi)VLAN之間控制信息流向時加入防火墻。2）Internet與Internet之間連接時加入防火墻。3）在廣域網(wǎng)系統(tǒng)中，因?yàn)榘踩枰?，總部局域網(wǎng)能夠?qū)⒏鞣种C(jī)構(gòu)局域網(wǎng)看成不安全系統(tǒng)，總部局域網(wǎng)和各分支機(jī)構(gòu)連接時，普通經(jīng)過公網(wǎng)ChinaPac、ChinaDD和NFrameRelay等連接，需要采取防火墻隔離，并利用一些軟件提供功效組成虛擬專網(wǎng)VPN。4）總部局域網(wǎng)和分支機(jī)構(gòu)局域網(wǎng)是經(jīng)過Internet連接，需要各自安裝防火墻，并組成虛擬專網(wǎng)。42/635）在遠(yuǎn)程用戶撥號訪問時，加入虛擬專網(wǎng)。6）利用一些防火墻軟件提供負(fù)載平衡功效，ISP可在公共訪問服務(wù)器和客戶端間加入防火墻進(jìn)行負(fù)載分擔(dān)、存取控制、用戶認(rèn)證、流量控制和日志統(tǒng)計(jì)等功效。7）兩網(wǎng)對接時，可利用硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換（NAT）、地址映射（MAP）、網(wǎng)絡(luò)隔離（DMZ，De-MilitarizedZone，非軍事區(qū)，其名稱起源于朝鮮戰(zhàn)爭三八線）及存取安全控制，消除傳統(tǒng)軟件防火墻瓶頸問題。43/639.2.5訪問控制列表訪問控制列表（AccessControlList，ACL），也稱為訪問列表（AccessList），最直接功效就是包過濾。經(jīng)過訪問控制列表ACL能夠在路由器、三層交換機(jī)上進(jìn)行網(wǎng)絡(luò)安全屬性配置，能夠?qū)崿F(xiàn)對進(jìn)入到路由器、三層交換機(jī)輸入數(shù)據(jù)流進(jìn)行過濾。訪問控制列表主要作用有以下兩個：（1）限制路由更新?？刂坡酚筛滦畔l(fā)往什么地方，同時希望在什么地方收到路由更新信息。（2）限制網(wǎng)絡(luò)訪問。為了確保網(wǎng)絡(luò)安全，經(jīng)過定義規(guī)則限制用戶訪問一些服務(wù)（如只需要訪問WWW和電子郵件服務(wù)，其它服務(wù)如Telnet則禁止），或只允許一些主機(jī)訪問網(wǎng)絡(luò)等。44/63過濾輸入數(shù)據(jù)流定義能夠基于網(wǎng)絡(luò)地址、TCP/UDP應(yīng)用等。能夠選擇對于符合過濾標(biāo)準(zhǔn)流是丟棄還是轉(zhuǎn)發(fā)，所以必須知道網(wǎng)絡(luò)是怎樣設(shè)計(jì)，以及路由器接口是怎樣在過濾設(shè)備上使用。要經(jīng)過ACL配置網(wǎng)絡(luò)安全屬性，只有經(jīng)過命令完成配置。創(chuàng)建訪問列表時，定義準(zhǔn)則將應(yīng)用于路由器上全部分組報(bào)文，路由器經(jīng)過判斷分組是否與準(zhǔn)則匹配來決定是否轉(zhuǎn)發(fā)或阻斷分組報(bào)文。45/63ACL類型主要分為IP標(biāo)準(zhǔn)訪問控制列表（StandardIPACL）和IP擴(kuò)展訪問控制列表（ExtendedIPACL），每一條ACL必須指定唯一名稱或編號，標(biāo)準(zhǔn)訪問控制列表編號范圍為1～99；擴(kuò)展列表編號范圍為100～199。主要動作為允許（Permit）和拒絕（Deny）；主要應(yīng)用方法是入棧（In）應(yīng)用和出棧（Out）應(yīng)用。46/63訪問列表中定義經(jīng)典準(zhǔn)則主要以下：源地址。目標(biāo)地址。上層協(xié)議。47/63標(biāo)準(zhǔn)IP訪問列表主要是依據(jù)源地址進(jìn)行轉(zhuǎn)發(fā)或阻斷分組；擴(kuò)展IP訪問列表使用以上三種組合進(jìn)行轉(zhuǎn)發(fā)或阻斷分組；其它類型訪問列表依據(jù)相關(guān)代碼來轉(zhuǎn)發(fā)或阻斷分組。對于單一訪問列表來說，能夠使用多條獨(dú)立訪問列表語句來定義各種準(zhǔn)則，其中全部語句引用同一個編號，方便將這些語句綁定到同一個訪問列表。但使用語句越多，閱讀和了解訪問列表就越困難。48/63在每個訪問列表末尾隱含一條“拒絕全部數(shù)據(jù)流”準(zhǔn)則語句，所以假如分組與任何準(zhǔn)則都不匹配，將被拒絕。加入每條準(zhǔn)則都被追加到訪問列表最終，語句被創(chuàng)建后，就無法單獨(dú)刪除它，而只能刪除整個訪問列表。所以訪問列表語句次序非常主要。路由器在決定轉(zhuǎn)發(fā)還是阻斷分組時，路由器按語句創(chuàng)建次序?qū)⒎纸M與語句進(jìn)行比較，找到匹配語句后，便不再檢驗(yàn)其它準(zhǔn)則語句。49/639.3網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)管理包含五個功效：配置管理、故障管理、性能管理、安全管理、計(jì)費(fèi)管理。網(wǎng)絡(luò)管理是控制一個復(fù)雜計(jì)算機(jī)網(wǎng)絡(luò)，使它含有最高效率和生產(chǎn)力過程。依據(jù)進(jìn)行網(wǎng)絡(luò)管理系統(tǒng)能力，這一過程通常包含數(shù)據(jù)搜集、數(shù)據(jù)處理、數(shù)據(jù)分析和產(chǎn)生用于管理網(wǎng)絡(luò)匯報(bào)。50/63第一個使用網(wǎng)絡(luò)管理（簡稱網(wǎng)管）協(xié)議稱為簡單網(wǎng)絡(luò)管理協(xié)議（SNMP，又稱SNMP第一版或SNMPv1），當(dāng)初這個協(xié)議被認(rèn)為是暫時、簡單、處理當(dāng)初急需處理問題協(xié)議，而復(fù)雜、功效強(qiáng)大網(wǎng)絡(luò)管理協(xié)議需要深入設(shè)計(jì)。到20世紀(jì)80年代，在SNMP基礎(chǔ)上設(shè)計(jì)了兩個網(wǎng)絡(luò)管理協(xié)議：一個稱為SNMP第二版（簡稱SNMPv2），它包含了原有特征，這些特征當(dāng)前被廣泛使用，同時增加了很多新特征以克服原先SNMP缺點(diǎn)；第二個網(wǎng)絡(luò)管理協(xié)議稱為公共管理信息協(xié)議（簡稱CMIP），它是一個組織得更加好，而且比SNMPv1和SNMPv2有更多特征網(wǎng)絡(luò)管理協(xié)議。對用戶而言，要求網(wǎng)絡(luò)管理協(xié)議含有好安全性、簡單用戶界面、價格相對低廉而且對網(wǎng)絡(luò)管理是有效。因?yàn)镮nternet大規(guī)模發(fā)展以及用戶要求，使得SNMPv1和SNMPv2成為業(yè)界實(shí)際上標(biāo)準(zhǔn)而被廣泛使用。51/631．ISO網(wǎng)絡(luò)管理模式當(dāng)前國際標(biāo)準(zhǔn)化組織ISO在網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化上做了許多工作，它尤其定義了網(wǎng)絡(luò)管理五個功效域。配置管理：管理全部網(wǎng)絡(luò)設(shè)備，包含各設(shè)備參數(shù)配置與設(shè)備賬目標(biāo)管理。故障管理：找出故障位置并進(jìn)行恢復(fù)。性能管理：統(tǒng)計(jì)網(wǎng)絡(luò)使用情況，依據(jù)網(wǎng)絡(luò)使用情況進(jìn)行擴(kuò)充，確定設(shè)置規(guī)劃。安全管理：限制非法用戶竊取或修改網(wǎng)絡(luò)中主要數(shù)據(jù)等。計(jì)費(fèi)管理：統(tǒng)計(jì)用戶使用網(wǎng)絡(luò)資源數(shù)據(jù)，調(diào)整用戶使用網(wǎng)絡(luò)資源配額和記賬收費(fèi)。52/632．公共管理信息協(xié)議CMIP在網(wǎng)絡(luò)管理模型中，網(wǎng)絡(luò)管理者和代理之間需要交換大量管理信息。這一過程必須遵照統(tǒng)一通信規(guī)范，我們把這個通信規(guī)范稱為網(wǎng)絡(luò)管理協(xié)議。網(wǎng)絡(luò)管理協(xié)議是高層網(wǎng)絡(luò)應(yīng)用協(xié)議，它建立在個體物理網(wǎng)絡(luò)及其基礎(chǔ)通信協(xié)議基礎(chǔ)之上，為網(wǎng)絡(luò)管理平臺服務(wù)。網(wǎng)絡(luò)管理協(xié)議提供了訪問任何生產(chǎn)廠商生產(chǎn)任何網(wǎng)絡(luò)設(shè)備，并取得一系列標(biāo)準(zhǔn)值一致性方式。對網(wǎng)絡(luò)設(shè)備查詢包含設(shè)備名字、設(shè)備中軟件版本、設(shè)備中接口數(shù)、設(shè)備中一個接口每秒包數(shù)等。用于設(shè)置網(wǎng)絡(luò)設(shè)備參數(shù)包含設(shè)備名字、網(wǎng)絡(luò)接口地址、網(wǎng)絡(luò)接口運(yùn)行狀態(tài)、設(shè)備運(yùn)行狀態(tài)等。53/63當(dāng)前使用標(biāo)準(zhǔn)網(wǎng)絡(luò)管理協(xié)議包含簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）、公共管理信息服務(wù)/協(xié)議（CMIS/CMIP）和局域網(wǎng)個人管理協(xié)議（LMMP）等。CMIS/CMIP是ISO定義網(wǎng)絡(luò)管理協(xié)議，它制訂受到了政府和工業(yè)界支持。CMIP優(yōu)點(diǎn)是安全性高，功效強(qiáng)大，不但可用于傳輸管理數(shù)據(jù)，而且可執(zhí)行一定任務(wù)。但因?yàn)镃MIP對系統(tǒng)處理能力要求過高，操作復(fù)雜，覆蓋范圍廣，因而難以實(shí)現(xiàn)，限制了它使用范圍。CMIP采取管理者/代理模型，當(dāng)對網(wǎng)絡(luò)實(shí)體進(jìn)行監(jiān)控時，管理者只需向代剪發(fā)出一個監(jiān)控請求，代理會自動監(jiān)視指定對象，并在異常事件（如線路故障）發(fā)生時向管理者發(fā)出指示。CMIP這種管理監(jiān)控方式稱為委托監(jiān)控，委托監(jiān)控主要優(yōu)點(diǎn)是開銷小、反應(yīng)及時，缺點(diǎn)是對代理資源要求高。54/633．簡單網(wǎng)絡(luò)管理協(xié)議SNMPSNMP是由因特網(wǎng)工程任務(wù)組IETF（InternetEngineeringTaskForce）提出面向Internet管理