《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》課件-第9章

第9章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理9.1網(wǎng)絡(luò)安全概述9.2網(wǎng)絡(luò)安全研究的課題9.3防火墻技術(shù)9.4計(jì)算機(jī)病毒9.5網(wǎng)絡(luò)文件的備份與恢復(fù)9.6網(wǎng)絡(luò)管理本章小結(jié)

9.1網(wǎng)絡(luò)安全概述

一、網(wǎng)絡(luò)安全的重要性隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展與廣泛應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)經(jīng)濟(jì)、文化、教育、科學(xué)等各個(gè)領(lǐng)域產(chǎn)生了重要的影響，同時(shí)也不可避免地帶來(lái)了一些新的社會(huì)、道德與法律等問(wèn)題。Internet技術(shù)的發(fā)展促進(jìn)了電子商務(wù)技術(shù)的成熟，大量的商業(yè)信息與資金通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)在世界各地流通，這對(duì)世界經(jīng)濟(jì)發(fā)展產(chǎn)生了重要的影響。

政府上網(wǎng)工程的實(shí)施使各級(jí)政府、部門(mén)之間利用網(wǎng)絡(luò)進(jìn)行信息交互。遠(yuǎn)程教育使得數(shù)以千萬(wàn)計(jì)的學(xué)生可以在不同的地方，通過(guò)網(wǎng)絡(luò)進(jìn)行課堂學(xué)習(xí)、查閱資料與提交作業(yè)。網(wǎng)絡(luò)正在改變著人們的工作、生活與思維方式，對(duì)提高人們的生活質(zhì)量有著重要的作用。因此，發(fā)展網(wǎng)絡(luò)技術(shù)已成為國(guó)民經(jīng)濟(jì)現(xiàn)代化建設(shè)的重要任務(wù)。

計(jì)算機(jī)網(wǎng)絡(luò)對(duì)社會(huì)發(fā)展有著正面作用，但同時(shí)也必須注意到它帶來(lái)的負(fù)面影響。用戶可以通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)快速地獲取、傳輸與處理各種信息，所接觸的信息范圍覆蓋面十分全面，涉及政治、經(jīng)濟(jì)、教育、科學(xué)與文化等領(lǐng)域。

計(jì)算機(jī)犯罪正在引起整個(gè)社會(huì)的廣泛關(guān)注，而計(jì)算機(jī)網(wǎng)絡(luò)則是犯罪分子攻擊的重點(diǎn)。計(jì)算機(jī)犯罪是一種高技術(shù)型犯罪，對(duì)網(wǎng)絡(luò)安全構(gòu)成了很大的威脅，且具有隱蔽性。

黑客(Hacker)的大量出現(xiàn)是網(wǎng)絡(luò)社會(huì)不容輕視的現(xiàn)象。黑客一度被認(rèn)為是計(jì)算機(jī)狂熱者的代名詞，他們一般是對(duì)計(jì)算機(jī)有著狂熱愛(ài)好的學(xué)生。后來(lái)，人們對(duì)黑客有了進(jìn)一步的認(rèn)識(shí)，黑客中的大部分不傷害別人，但是也會(huì)做一些不應(yīng)該做的事情，還有部分黑客不顧法律道德的約束，由于尋求刺激、被非法組織收買或?qū)δ硞€(gè)企業(yè)、組織存在報(bào)復(fù)心理，而肆意攻擊與破壞一些企業(yè)、組織的計(jì)算機(jī)網(wǎng)絡(luò)，這部分黑客對(duì)網(wǎng)絡(luò)安全有很大的危害。因此研究黑客行為與防止受攻擊是網(wǎng)絡(luò)安全研究的一個(gè)重要內(nèi)容。

計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，它包括技術(shù)、管理與法制環(huán)境等多方面因素。只有不斷健全有關(guān)網(wǎng)絡(luò)與信息安全的法律、法規(guī)，提高網(wǎng)絡(luò)管理人員的素質(zhì)、法律意識(shí)與技術(shù)水平，提高用戶自覺(jué)遵守網(wǎng)絡(luò)使用規(guī)則的自覺(jué)性，提高網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)的技術(shù)水平，才可能不斷改善網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況。人類社會(huì)靠道德與法律來(lái)維系，同樣，要保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，必須加強(qiáng)網(wǎng)絡(luò)使用方法、網(wǎng)絡(luò)安全與道德的教育。研究與開(kāi)發(fā)各種網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品，同樣要重視“網(wǎng)絡(luò)社會(huì)”中的“道德”與“法律”，這對(duì)于人類來(lái)說(shuō)是個(gè)新的研究課題。

目前，網(wǎng)絡(luò)安全問(wèn)題已成為信息化社會(huì)的焦點(diǎn)問(wèn)題。每個(gè)國(guó)家必須立足于本國(guó)的網(wǎng)絡(luò)安全狀況，研究自己的網(wǎng)絡(luò)安全技術(shù)，培養(yǎng)自己的網(wǎng)絡(luò)安全人才，發(fā)展自己的網(wǎng)絡(luò)安全產(chǎn)業(yè)，才能構(gòu)筑本國(guó)的網(wǎng)絡(luò)與信息安全防范體系。因此，我國(guó)的網(wǎng)絡(luò)與信息安全技術(shù)的自主研究與產(chǎn)業(yè)發(fā)展，是關(guān)系到國(guó)計(jì)民生與國(guó)家安全的關(guān)鍵問(wèn)題。同時(shí)，研究網(wǎng)絡(luò)安全技術(shù)與學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，也是計(jì)算機(jī)網(wǎng)絡(luò)學(xué)習(xí)的一項(xiàng)重要內(nèi)容。

二、網(wǎng)絡(luò)安全的定義

從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。它是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因遭到破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

三、網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)

1.主要的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

保證網(wǎng)絡(luò)安全只依靠技術(shù)來(lái)解決是遠(yuǎn)遠(yuǎn)不夠的，還必須依靠政府、立法機(jī)構(gòu)制定完善的法律法規(guī)來(lái)約束。目前，我國(guó)與世界各國(guó)都很重視計(jì)算機(jī)、網(wǎng)絡(luò)與信息安全方面的立法問(wèn)題。

2.安全級(jí)別的分類

1983年誕生了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TC-SEC-NCSC，1985年誕生了可信網(wǎng)絡(luò)說(shuō)明(TNI)。TC-SEC-NCSC準(zhǔn)則將計(jì)算機(jī)系統(tǒng)安全等級(jí)分為4類7個(gè)等級(jí)，即D、C1、C2、B1、B2、B3與A1。其中，D級(jí)系統(tǒng)的安全要求最低，A1級(jí)系統(tǒng)的安全要求最高。

1)D類系統(tǒng)

D類系統(tǒng)的安全要求最低，只有一個(gè)級(jí)別，屬于非安全保護(hù)類，不能用于多用戶環(huán)境下的重要信息處理。

2)C類系統(tǒng)

C類系統(tǒng)是用戶能定義訪問(wèn)控制要求的自主型保護(hù)類，它可以分為兩個(gè)級(jí)別：Cl級(jí)與C2級(jí)。

3)B類系統(tǒng)

B類系統(tǒng)屬于強(qiáng)制型安全保護(hù)類，用戶不能分配權(quán)限，只有網(wǎng)絡(luò)管理員可以為用戶分配訪問(wèn)權(quán)限。B類系統(tǒng)分為三個(gè)級(jí)別：Bl級(jí)、B2級(jí)與B3級(jí)。

B3級(jí)系統(tǒng)又稱為安全域(SecurityDomain)級(jí)系統(tǒng)，它要求系統(tǒng)通過(guò)硬件方法去保護(hù)某個(gè)域的安全，如通過(guò)內(nèi)存管理硬件去限制非授權(quán)用戶對(duì)文件系統(tǒng)的訪問(wèn)。B3級(jí)要求系統(tǒng)在出現(xiàn)故障后能夠自動(dòng)恢復(fù)到原狀態(tài)。如果現(xiàn)在的操作系統(tǒng)不重新進(jìn)行系統(tǒng)結(jié)構(gòu)的設(shè)計(jì)，很難通過(guò)B3級(jí)系統(tǒng)安全要求的測(cè)試。

4)A類系統(tǒng)

Al級(jí)系統(tǒng)要求提供的安全服務(wù)功能與B3級(jí)系統(tǒng)基本一致。A1級(jí)系統(tǒng)在安全審計(jì)、安全測(cè)試、配置管理等方面提出更高的要求。Al級(jí)系統(tǒng)在系統(tǒng)安全模型設(shè)計(jì)和軟硬件實(shí)現(xiàn)上都要通過(guò)認(rèn)證，要求達(dá)到更高的安全可信度。

9.2網(wǎng)絡(luò)安全研究的課題

一、威脅網(wǎng)絡(luò)安全的主要因素計(jì)算機(jī)網(wǎng)絡(luò)是為了將單獨(dú)的計(jì)算機(jī)互連起來(lái)，提供一個(gè)可以將資源或信息共享的通信環(huán)境。網(wǎng)絡(luò)安全技術(shù)就是通過(guò)解決網(wǎng)絡(luò)安全存在的問(wèn)題，保護(hù)信息在網(wǎng)絡(luò)環(huán)境中存儲(chǔ)、處理與傳輸?shù)陌踩?。在研究網(wǎng)絡(luò)安全技術(shù)問(wèn)題之前，首先要研究威脅網(wǎng)絡(luò)安全的主要因素，其大致可以歸納為以下六個(gè)課題：

1.網(wǎng)絡(luò)防攻擊

網(wǎng)絡(luò)安全技術(shù)研究的第一個(gè)課題是網(wǎng)絡(luò)防攻擊技術(shù)。

2.網(wǎng)絡(luò)安全漏洞與對(duì)策

網(wǎng)絡(luò)安全技術(shù)研究的第二個(gè)課題是網(wǎng)絡(luò)安全漏洞與對(duì)策。

3.網(wǎng)絡(luò)中信息的安全保密

網(wǎng)絡(luò)安全技術(shù)研究的第三個(gè)課題是如何保證網(wǎng)絡(luò)系統(tǒng)中的信息安全。網(wǎng)絡(luò)中的信息安全保密主要包括兩個(gè)方面：信息存儲(chǔ)安全與信息傳輸安全。

信息傳輸安全是指保證信息在網(wǎng)絡(luò)傳輸過(guò)程中不被泄露或攻擊。信息在網(wǎng)絡(luò)傳輸中被攻擊的形式可以分為四種類型：截獲、竊聽(tīng)、篡改與偽造信息。圖9.1給出了信息在網(wǎng)絡(luò)傳輸中被攻擊的類型。圖9.1信息在網(wǎng)絡(luò)傳輸中被攻擊的類型

圖9.2為數(shù)據(jù)加密與解密的過(guò)程示意圖。密碼學(xué)是介于通信技術(shù)、計(jì)算機(jī)技術(shù)與應(yīng)用數(shù)學(xué)之間的交叉學(xué)科。傳統(tǒng)的密碼學(xué)有很悠久的歷史，自1976年公開(kāi)密鑰密碼體系誕生以來(lái)，密碼學(xué)得到了快速的發(fā)展，并在網(wǎng)絡(luò)中獲得了廣泛的應(yīng)用。目前，人們通過(guò)加密與解密算法、身份認(rèn)證、數(shù)字簽名等方法來(lái)解決信息在存儲(chǔ)與傳輸中的安全問(wèn)題。圖9.2數(shù)據(jù)加密與解密過(guò)程．

4.網(wǎng)絡(luò)內(nèi)部的安全防范

網(wǎng)絡(luò)安全技術(shù)研究的第四個(gè)課題是如何從網(wǎng)絡(luò)系統(tǒng)內(nèi)部保證信息的安全。除了上述可能對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的因素之外，還有一些威脅來(lái)自網(wǎng)絡(luò)內(nèi)部，主要表現(xiàn)在以下兩個(gè)方面：

(1)如何防止源結(jié)點(diǎn)用戶發(fā)送信息后不承認(rèn)，或是目的結(jié)點(diǎn)接收信息后不承認(rèn)，即出現(xiàn)抵賴問(wèn)題?！胺赖仲嚒笔蔷W(wǎng)絡(luò)信息傳輸安全保障的重要內(nèi)容之一，如何防抵賴也是電子商務(wù)應(yīng)用必須解決的重要問(wèn)題。網(wǎng)絡(luò)安全技術(shù)需要通過(guò)身份認(rèn)證、數(shù)字簽名、第三方認(rèn)證等方法，來(lái)確保信息傳輸?shù)暮戏ㄐ院头乐钩霈F(xiàn)抵賴現(xiàn)象。

(2)如何防止合法用戶有意或無(wú)意做出對(duì)網(wǎng)絡(luò)、信息安全有害的行為，這些行為主要包括：有意或無(wú)意泄露網(wǎng)絡(luò)管理員或用戶口令；違反網(wǎng)絡(luò)安全規(guī)定，繞過(guò)防火墻私自與外部網(wǎng)絡(luò)連接，造成系統(tǒng)安全漏洞；超越權(quán)限查看、修改與刪除系統(tǒng)文件、應(yīng)用程序與數(shù)據(jù)；超越權(quán)限修改網(wǎng)絡(luò)系統(tǒng)配置，造成網(wǎng)絡(luò)工作不正常；私自將帶有病毒的存儲(chǔ)介質(zhì)等拿到內(nèi)部網(wǎng)絡(luò)中使用等，這類問(wèn)題經(jīng)常出現(xiàn)并且危害性極大。

5.網(wǎng)絡(luò)病毒防御

網(wǎng)絡(luò)安全技術(shù)研究的第五個(gè)課題是網(wǎng)絡(luò)病毒防御。網(wǎng)絡(luò)病毒的危害是不可忽視的。據(jù)統(tǒng)計(jì)，目前70%左右的病毒發(fā)生在網(wǎng)絡(luò)中，聯(lián)網(wǎng)計(jì)算機(jī)的病毒傳播速度是單機(jī)的20倍，網(wǎng)絡(luò)服務(wù)器殺毒花費(fèi)的時(shí)間是單機(jī)的40倍。電子郵件炸彈可以使用戶的計(jì)算機(jī)癱瘓，有些網(wǎng)絡(luò)病毒甚至?xí)茐挠?jì)算機(jī)的系統(tǒng)硬件。有些網(wǎng)絡(luò)設(shè)計(jì)人員在目錄結(jié)構(gòu)、用戶組織、數(shù)據(jù)安全性、備份與恢復(fù)方法以及系統(tǒng)容錯(cuò)技術(shù)上都采取了嚴(yán)格的措施，但是沒(méi)有重視網(wǎng)絡(luò)病毒的防御問(wèn)題。

6.網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)

網(wǎng)絡(luò)安全技術(shù)研究的第六個(gè)課題是數(shù)據(jù)備份與恢復(fù)。在實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，數(shù)據(jù)備份與恢復(fù)功能是非常重要的。網(wǎng)絡(luò)安全可以從預(yù)防、檢查、反應(yīng)等方面著手，以減少網(wǎng)絡(luò)信息系統(tǒng)的不安全因素，但要完全保證不出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題是不可能的。如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能恢復(fù)則成為很重要的問(wèn)題。

一個(gè)實(shí)用的網(wǎng)絡(luò)信息系統(tǒng)設(shè)計(jì)中必須考慮數(shù)據(jù)備份與恢復(fù)手段，這也是網(wǎng)絡(luò)安全研究的一個(gè)重要內(nèi)容。

二、網(wǎng)絡(luò)安全服務(wù)的主要內(nèi)容

網(wǎng)絡(luò)安全包括三個(gè)方面內(nèi)容：安全攻擊(SecurityAttack)、安全機(jī)制(SecurityMechanism)與安全服務(wù)(SecurityService)。其中，安全攻擊是指有損于網(wǎng)絡(luò)信息安全的操作；安全機(jī)制是指用于檢測(cè)、預(yù)防或從安全攻擊中恢復(fù)的機(jī)制；安全服務(wù)是指提高網(wǎng)絡(luò)系統(tǒng)中的信息傳輸安全性的服務(wù)。網(wǎng)絡(luò)安全服務(wù)應(yīng)提供以下幾種基本功能。

1.保密性服務(wù)

保密性(Confidentiality)服務(wù)是指對(duì)網(wǎng)絡(luò)中的信息進(jìn)行加密，防止信息在傳輸過(guò)程中被攻擊。

2.認(rèn)證服務(wù)

認(rèn)證(Authentication)服務(wù)是指對(duì)網(wǎng)絡(luò)中信息的源結(jié)點(diǎn)與目的結(jié)點(diǎn)的身份進(jìn)行確認(rèn)，防止出現(xiàn)假冒或偽裝成合法用戶的現(xiàn)象。

3.數(shù)據(jù)完整性服務(wù)

數(shù)據(jù)完整性(DataIntegrity)服務(wù)是指保證目的結(jié)點(diǎn)接收的信息與源結(jié)點(diǎn)發(fā)送的信息一致，防止信息在傳輸過(guò)程中被復(fù)制、修改等情況出現(xiàn)。

4.防抵賴服務(wù)

防抵賴(Non-repudiation)服務(wù)是指保證源結(jié)點(diǎn)與目的結(jié)點(diǎn)不能否認(rèn)自己收或發(fā)過(guò)的信息。

5.訪問(wèn)控制服務(wù)

訪問(wèn)控制(AccessControl)服務(wù)是指控制與限定網(wǎng)絡(luò)用戶對(duì)主機(jī)、應(yīng)用與服務(wù)的訪問(wèn)。

9.3防?火?墻?技?術(shù)

一、防火墻的基本概念1.防火墻的定義和功能防火墻的概念源于歐洲中世紀(jì)的城堡防衛(wèi)系統(tǒng)。為了保護(hù)城堡的安全，封建領(lǐng)主在城堡周圍挖一條護(hù)城河，每個(gè)進(jìn)入城堡的人都要經(jīng)過(guò)吊橋，并且要接受城門(mén)守衛(wèi)的檢查。研究人員借鑒這種防護(hù)思想，設(shè)計(jì)了一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，即防火墻(Firewall)。防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的安全系統(tǒng)，它通常包括硬件與軟件兩個(gè)組成部分。

在設(shè)計(jì)防火墻時(shí)有一個(gè)假設(shè)：防火墻保護(hù)的內(nèi)部網(wǎng)絡(luò)是可信賴的網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)是不可信賴的網(wǎng)絡(luò)。圖9.3給出了防火墻的基本結(jié)構(gòu)示意圖，設(shè)置防火墻是為了保護(hù)內(nèi)部網(wǎng)絡(luò)不被外部用戶非法訪問(wèn)，因此防火墻的位置一定在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。防火墻的主要功能包括：檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)分組；檢查所有從內(nèi)部網(wǎng)絡(luò)傳輸?shù)酵獠烤W(wǎng)絡(luò)的分組；限制所有不符合安全策略要求的分組通過(guò)；具有防攻擊能力，保證自身的安全性。圖9.3網(wǎng)絡(luò)防火墻的基本結(jié)構(gòu)

2.防火墻的優(yōu)缺點(diǎn)

1)防火墻的優(yōu)點(diǎn)

(1)保護(hù)脆弱的網(wǎng)絡(luò)服務(wù)；

(2)控制對(duì)系統(tǒng)的訪問(wèn)；

(3)集中的安全管理；

(4)增強(qiáng)系統(tǒng)數(shù)據(jù)的保密性；

(5)記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法數(shù)據(jù)；

(6)策略執(zhí)行。

2)防火墻的缺點(diǎn)

(1)無(wú)法阻止繞過(guò)防火墻的攻擊；

(2)無(wú)法阻止來(lái)自內(nèi)部的威脅；

(3)無(wú)法防止病毒感染程序或文件的傳輸。

二、防火墻的分類

防火墻可以分為兩種基本類型：分組過(guò)濾路由器(PacketFilteringRoute)與應(yīng)用級(jí)網(wǎng)關(guān)(ApplicationGateway)。最簡(jiǎn)單的防火墻可以僅由分組過(guò)濾路由器組成，而復(fù)雜的防火墻系統(tǒng)是由分組過(guò)濾路由器與應(yīng)用級(jí)網(wǎng)關(guān)共同構(gòu)成的。由于分組過(guò)濾路由器與應(yīng)用級(jí)網(wǎng)關(guān)的組合方式有多種，因此防火墻系統(tǒng)的結(jié)構(gòu)也有多種形式。

1.分組過(guò)濾路由器

分組過(guò)濾路由器是基于路由器技術(shù)的防火墻。路由器根據(jù)內(nèi)部設(shè)置的分組過(guò)濾規(guī)則(即路由表)，檢查每個(gè)進(jìn)入路由器的分組的源地址、目的地址，以便決定該分組是否應(yīng)該轉(zhuǎn)發(fā)及如何轉(zhuǎn)發(fā)。普通路由器只對(duì)分組的網(wǎng)絡(luò)層頭部進(jìn)行處理，并不會(huì)對(duì)分組的傳輸層頭部進(jìn)行處理。分組過(guò)濾路由器需要檢查傳輸層頭部的端口號(hào)字段。通常，分組過(guò)濾路由器是被保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道防線，也被稱為屏蔽路由器。

實(shí)現(xiàn)分組過(guò)濾的關(guān)鍵是制定分組過(guò)濾規(guī)則。分組過(guò)濾路由器需要分析接收到的每個(gè)分組，按照每條分組過(guò)濾的規(guī)則加以判斷，將符合包轉(zhuǎn)發(fā)規(guī)則的分組轉(zhuǎn)發(fā)出去，將不符合包轉(zhuǎn)發(fā)規(guī)則的分組丟棄。通常，分組過(guò)濾規(guī)則基于頭部的全部或部分內(nèi)容，如源地址、目的地址、協(xié)議類型、源端口號(hào)、目的端口號(hào)等。圖9.4給出了分組過(guò)濾路由器的工作原理示意圖。分組過(guò)濾是實(shí)現(xiàn)防火墻功能的基本方法。圖9.4分組過(guò)濾路由器的工作原理

分組過(guò)濾方法的主要優(yōu)點(diǎn)是：結(jié)構(gòu)簡(jiǎn)單，便于管理，造價(jià)低廉。由于分組過(guò)濾在網(wǎng)絡(luò)層與傳輸層操作，因此這種操作對(duì)應(yīng)用層是透明的，不要求客戶與服務(wù)器程序做任何修改。分組過(guò)濾方法的缺點(diǎn)是：配置分組過(guò)濾規(guī)則比較困難；分組過(guò)濾只能工作在假定內(nèi)部主機(jī)可靠的判斷上，它只能控制到主機(jī)級(jí)而不能達(dá)到用戶級(jí)；分組過(guò)濾對(duì)某些服務(wù)(如FTP)的效果不明顯。與其他防火墻技術(shù)相比，欺騙分組過(guò)濾路由器比較容易。

2.應(yīng)用級(jí)網(wǎng)關(guān)

分組過(guò)濾路由器在網(wǎng)絡(luò)層與傳輸層監(jiān)控進(jìn)出網(wǎng)絡(luò)的分組。用戶對(duì)網(wǎng)絡(luò)資源與服務(wù)的訪問(wèn)發(fā)生在應(yīng)用層，因此應(yīng)在應(yīng)用層進(jìn)行用戶身份認(rèn)證與訪問(wèn)控制，這個(gè)功能需要由應(yīng)用級(jí)網(wǎng)關(guān)來(lái)完成。在討論應(yīng)用級(jí)網(wǎng)關(guān)時(shí)，首先需要討論的是多歸屬主機(jī)。

1)多歸屬主機(jī)

多歸屬主機(jī)又稱多宿主主機(jī)，它是具有多個(gè)網(wǎng)絡(luò)接口的主機(jī)，每個(gè)網(wǎng)絡(luò)接口與一個(gè)網(wǎng)絡(luò)連接。由于具有在不同網(wǎng)絡(luò)之間交換數(shù)據(jù)的能力，因此多歸屬主機(jī)也被稱為網(wǎng)關(guān)(Gateway)。

如果多歸屬主機(jī)只是連接兩個(gè)網(wǎng)絡(luò)，則可以將它稱為雙歸屬主機(jī)。雙歸屬主機(jī)可以用于網(wǎng)絡(luò)安全與網(wǎng)絡(luò)服務(wù)的代理，只要能確定應(yīng)用程序的訪問(wèn)控制規(guī)則，就可以采用雙歸屬主機(jī)作為應(yīng)用級(jí)網(wǎng)關(guān)，在應(yīng)用層過(guò)濾進(jìn)出網(wǎng)絡(luò)的特定服務(wù)的用戶請(qǐng)求。

圖9.5給出了應(yīng)用級(jí)網(wǎng)關(guān)的工作原理示意圖。例如，內(nèi)部網(wǎng)絡(luò)中的FTP服務(wù)器只能被內(nèi)部用戶訪問(wèn)，則所有外部用戶對(duì)FTP服務(wù)的訪問(wèn)都被認(rèn)為是非法的。應(yīng)用級(jí)網(wǎng)關(guān)的應(yīng)用程序訪問(wèn)控制軟件接收到外部用戶對(duì)FTP服務(wù)的訪問(wèn)請(qǐng)求時(shí)，會(huì)認(rèn)為該訪問(wèn)請(qǐng)求非法并將相應(yīng)的分組丟棄。同樣，如果確定內(nèi)部用戶只能訪問(wèn)外部網(wǎng)絡(luò)中某些特定的WWW服務(wù)器，則凡是不在允許范圍內(nèi)的訪問(wèn)請(qǐng)求將一律被拒絕。圖9.5應(yīng)用級(jí)網(wǎng)關(guān)的工作原理

2)應(yīng)用級(jí)代理

應(yīng)用級(jí)代理(ApplicationProxy)是應(yīng)用級(jí)網(wǎng)關(guān)的另一種形式。應(yīng)用級(jí)網(wǎng)關(guān)以存儲(chǔ)轉(zhuǎn)發(fā)方式檢查服務(wù)請(qǐng)求的用戶身份是否合法，決定是轉(zhuǎn)發(fā)還是丟棄該服務(wù)請(qǐng)求，因此應(yīng)用級(jí)網(wǎng)關(guān)是在應(yīng)用層轉(zhuǎn)發(fā)合法的服務(wù)請(qǐng)求。應(yīng)用級(jí)代理與應(yīng)用級(jí)網(wǎng)關(guān)的不同點(diǎn)是：應(yīng)用級(jí)代理完全接管用戶與服務(wù)器之間的訪問(wèn)，隔離用戶主機(jī)與被訪問(wèn)服務(wù)器之間的分組交換通道。在實(shí)際應(yīng)用中，應(yīng)用級(jí)代理由代理服務(wù)器(ProxyServer)實(shí)現(xiàn)。

圖9.6給出了應(yīng)用級(jí)代理的工作原理示意圖。圖9.6應(yīng)用級(jí)代理的工作原理

三、典型防火墻系統(tǒng)的結(jié)構(gòu)

防火墻系統(tǒng)是由軟件和硬件組成的系統(tǒng)，由于不同內(nèi)部網(wǎng)的安全策略與要求不同，防火墻系統(tǒng)的配置與實(shí)現(xiàn)方法有很大的區(qū)別。

1.屏蔽路由器

屏蔽路由器是防火墻系統(tǒng)中最基本的一種，它通常是帶有分組過(guò)濾功能的路由器。

2.堡壘主機(jī)結(jié)構(gòu)

堡壘主機(jī)也是防火墻系統(tǒng)中最基本的一種，它通常是有兩個(gè)網(wǎng)絡(luò)接口的雙歸屬主機(jī)，每個(gè)網(wǎng)絡(luò)接口與它對(duì)應(yīng)的網(wǎng)絡(luò)進(jìn)行通信，因此雙歸屬主機(jī)也具有路由器的作用。

3.屏蔽主機(jī)網(wǎng)關(guān)結(jié)構(gòu)

屏蔽主機(jī)網(wǎng)關(guān)由屏蔽路由器與堡壘主機(jī)組成，屏蔽路由器被設(shè)置在堡壘主機(jī)與外部網(wǎng)絡(luò)之間，其結(jié)構(gòu)如圖9.7所示。屏蔽主機(jī)網(wǎng)關(guān)既具有堡壘主機(jī)結(jié)構(gòu)的優(yōu)點(diǎn)，圖9.7屏蔽主機(jī)網(wǎng)關(guān)的結(jié)構(gòu)

9.4計(jì)?算?機(jī)?病?毒

一、計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒(ComputerVirus)是指會(huì)破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)，并能自我復(fù)制、影響計(jì)算機(jī)使用的應(yīng)用程序，計(jì)算機(jī)病毒與生物病毒同樣具有傳染與破壞作用。計(jì)算機(jī)病毒是人為編寫(xiě)的具有一定長(zhǎng)度的程序，它能適應(yīng)所在系統(tǒng)或網(wǎng)絡(luò)環(huán)境。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展與普及，出現(xiàn)了傳播范圍更廣、危害更大的新型病毒，這就是在網(wǎng)絡(luò)環(huán)境下流行的網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒是利用網(wǎng)絡(luò)漏洞設(shè)計(jì)與傳播的。例如，隨著電子郵件的廣泛應(yīng)用，出現(xiàn)了附著在郵件附件中的病毒，以及大家所熟悉的CIH病毒等。從前的計(jì)算機(jī)病毒是以磁盤(pán)方式傳播，計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)改變了病毒的傳播方式，Internet成為網(wǎng)絡(luò)病毒傳播的主要途徑，圖9.8給出了網(wǎng)絡(luò)病毒的傳染途徑示意圖。至今，全世界發(fā)現(xiàn)的計(jì)算機(jī)病毒已超過(guò)30萬(wàn)種，并且這個(gè)數(shù)字仍在高速增長(zhǎng)中。圖9.8網(wǎng)絡(luò)病毒的傳染途徑

二、計(jì)算機(jī)病毒的分類

計(jì)算機(jī)病毒主要分為三種類型：宏病毒、引導(dǎo)型病毒與蠕蟲(chóng)病毒。

(1)宏病毒。宏病毒是由宏構(gòu)成的寄生型病毒，能夠感染W(wǎng)ord系統(tǒng)中的文檔與模板。

(2)引導(dǎo)型病毒。引導(dǎo)型病毒能感染硬盤(pán)引導(dǎo)程序。

(3)蠕蟲(chóng)病毒。蠕蟲(chóng)病毒是通過(guò)某種網(wǎng)絡(luò)服務(wù)(如電子郵件)，將自身從一臺(tái)計(jì)算機(jī)復(fù)制到其他計(jì)算機(jī)的程序。

三、計(jì)算機(jī)病毒的特點(diǎn)

計(jì)算機(jī)病毒具有以下幾個(gè)特點(diǎn)：

(1)寄生性。

(2)傳染性。

(3)潛伏性。

(4)隱蔽性。

(5)破壞性。

(6)可觸發(fā)性。

四、典型網(wǎng)絡(luò)防病毒軟件的應(yīng)用

面對(duì)當(dāng)前網(wǎng)絡(luò)病毒傳播日趨泛濫的情況，利用網(wǎng)絡(luò)防病毒軟件進(jìn)行防護(hù)是必要的，很多軟件商都提供成熟的網(wǎng)絡(luò)防病毒軟件。網(wǎng)絡(luò)防病毒軟件是專門(mén)針對(duì)網(wǎng)絡(luò)病毒設(shè)計(jì)的，它具有單機(jī)防病毒軟件無(wú)法勝任的網(wǎng)絡(luò)防護(hù)功能，一個(gè)優(yōu)秀的單機(jī)反病毒產(chǎn)品在單機(jī)環(huán)境下能防治成千上萬(wàn)種病毒，但在網(wǎng)絡(luò)環(huán)境中可能無(wú)法控制病毒通過(guò)網(wǎng)絡(luò)傳播，因此不能僅用查殺病毒數(shù)量來(lái)衡量網(wǎng)絡(luò)反病毒方案的效果。

目前，網(wǎng)絡(luò)防病毒軟件多數(shù)運(yùn)行在文件服務(wù)器中，可以同時(shí)檢查和清除服務(wù)器與工作站中的病毒。由于實(shí)際的局域網(wǎng)中可能有多個(gè)服務(wù)器，為了方便進(jìn)行多個(gè)服務(wù)器的網(wǎng)絡(luò)防病毒工作，通常將多個(gè)服務(wù)器組織在一個(gè)域中，網(wǎng)絡(luò)管理員只需要在域中的主服務(wù)器設(shè)置掃描方式，就可以檢查多個(gè)服務(wù)器或工作站中的病毒，圖9.9舉例了一款網(wǎng)絡(luò)防病毒軟件。網(wǎng)絡(luò)防病毒軟件的基本功能是對(duì)服務(wù)器或工作站的內(nèi)存與磁盤(pán)進(jìn)行掃描，發(fā)現(xiàn)病毒時(shí)采取報(bào)警、隔離或清除等操作，通常由網(wǎng)絡(luò)管理員負(fù)責(zé)清除發(fā)現(xiàn)的病毒。圖9.9一款網(wǎng)絡(luò)防病毒軟件

網(wǎng)絡(luò)防病毒軟件通常會(huì)提供三種掃描方式：實(shí)時(shí)掃描、預(yù)置掃描與人工掃描。其中，實(shí)時(shí)掃描要求連續(xù)不斷地掃描文件服務(wù)器讀/寫(xiě)的文件是否攜帶病毒；預(yù)置掃描可以預(yù)先選擇掃描服務(wù)器的日期與時(shí)間，預(yù)置的掃描頻度可以是每天、每周或每月一次，時(shí)間最好選擇在網(wǎng)絡(luò)工作不繁忙的時(shí)候；人工掃描可以在任何時(shí)候要求掃描指定的卷、目錄與文件。當(dāng)網(wǎng)絡(luò)防病毒軟件在服務(wù)器中發(fā)現(xiàn)有病毒時(shí)，會(huì)將病毒感染情況保存在掃描記錄日志中，并采用隔離或清除的方法來(lái)處理感染不同病毒的文件。

五、IT史上的典型病毒

1)ElkCloner(1982年)

ElkCloner被看作攻擊個(gè)人計(jì)算機(jī)的第一款全球病毒，也是令人頭痛的所有安全問(wèn)題的先驅(qū)者。它通過(guò)蘋(píng)果AppleⅡ軟盤(pán)進(jìn)行傳播。

2)Brain(1986年)

Brain是第一款攻擊DOS操作系統(tǒng)的病毒，它可以感染軟盤(pán)，并且會(huì)填滿軟盤(pán)上的未用空間，從而導(dǎo)致軟盤(pán)不能再被使用。

3)Morris(1988年)

Morris病毒程序利用了系統(tǒng)存在的弱點(diǎn)進(jìn)行入侵。

4)CIH(1998年)

CIH病毒是迄今為止破壞性最嚴(yán)重的病毒，也是世界上首例破壞硬件的病毒。

5)Melissa(1999年)

Melissa是最早通過(guò)電子郵件傳播的病毒之一，當(dāng)用戶打開(kāi)電子郵件的附件時(shí)，病毒會(huì)自動(dòng)發(fā)送到用戶通訊簿中的前50個(gè)地址的郵箱中，因此這個(gè)病毒可以在數(shù)小時(shí)之內(nèi)傳遍全球。

6)Lovebug(2000年)

Lovebug也通過(guò)電子郵件附件傳播，它把自己偽裝成一封求愛(ài)信來(lái)欺騙收件人打開(kāi)。

7)沖擊波(2003年)

沖擊波病毒的英文名稱是Blaster，還被稱為L(zhǎng)ovsan或Lovesan，它利用微軟軟件中的一個(gè)缺陷對(duì)系統(tǒng)端口進(jìn)行瘋狂攻擊，導(dǎo)致系統(tǒng)崩潰。

8)震蕩波(2004年)

震蕩波是又一個(gè)利用Windows缺陷的蠕蟲(chóng)病毒，可以導(dǎo)致計(jì)算機(jī)崩潰并不斷重啟。

9)熊貓燒香(2006年)

熊貓燒香是一個(gè)用Delphi工具編寫(xiě)的蠕蟲(chóng)，會(huì)終止大量的反病毒軟件和防火墻軟件進(jìn)程。

10)ARP欺騙病毒(2007年)

ARP地址欺騙類病毒是一類特殊的病毒，該病毒一般屬于木馬病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。

11)磁碟機(jī)病毒(2008年)

磁碟機(jī)病毒會(huì)下載大量木馬，瘋狂盜竊網(wǎng)游賬號(hào)、QQ號(hào)、用戶隱私數(shù)據(jù)，幾乎無(wú)所不為。

12)木馬下載器(2009年)

計(jì)算機(jī)被木馬下載器感染后會(huì)產(chǎn)生1000～2000個(gè)木馬病毒，導(dǎo)致系統(tǒng)崩潰。

13)鬼影病毒(2010年)

鬼影病毒運(yùn)行后，在進(jìn)程和系統(tǒng)啟動(dòng)加載項(xiàng)中都找不到任何異常，即使格式化重裝系統(tǒng)，也無(wú)法徹底清除該病毒，猶如“鬼影”一般“陰魂不散”，因此被稱為“鬼影”病毒。

14)寶馬病毒(2011年)

計(jì)算機(jī)中寶馬病毒后，殺毒軟件和安全類軟件會(huì)被自動(dòng)關(guān)閉。

9.5網(wǎng)絡(luò)文件的備份與恢復(fù)

一、網(wǎng)絡(luò)文件備份的重要性在實(shí)際的網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境中，數(shù)據(jù)備份與恢復(fù)功能是非常重要的。網(wǎng)絡(luò)系統(tǒng)的硬件與軟件都可以用錢買來(lái)，但數(shù)據(jù)是多年積累的結(jié)果并且可能價(jià)值連城，因此它可以說(shuō)是一個(gè)企業(yè)的生命。

網(wǎng)絡(luò)數(shù)據(jù)可以進(jìn)行歸檔與備份兩種操作。歸檔與備份操作是有區(qū)別的：歸檔是指將數(shù)據(jù)在某種存儲(chǔ)介質(zhì)中進(jìn)行永久性存儲(chǔ)，歸檔的數(shù)據(jù)可能包括文件服務(wù)器不再需要的數(shù)據(jù)，但是這些數(shù)據(jù)由于某種原因需要保存若干年。備份是指將數(shù)據(jù)在某種存儲(chǔ)介質(zhì)中定期存儲(chǔ)，備份的數(shù)據(jù)是文件服務(wù)器等需要使用的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)備份是一項(xiàng)基本的網(wǎng)絡(luò)維護(hù)工作，歸檔或備份的數(shù)據(jù)需要存儲(chǔ)在安全的地方。

二、網(wǎng)絡(luò)文件備份的基本方法

網(wǎng)絡(luò)文件備份是指將需要的文件復(fù)制到光盤(pán)、磁帶或磁盤(pán)等存儲(chǔ)介質(zhì)中，并將它們保存在遠(yuǎn)離服務(wù)器的安全地方。要想完成日常的網(wǎng)絡(luò)備份工作，首先需要解決以下三個(gè)問(wèn)題。

1.選擇備份設(shè)備

選擇備份設(shè)備需要根據(jù)網(wǎng)絡(luò)文件系統(tǒng)的規(guī)模與文件的重要性來(lái)決定。

2.選擇備份程序

備份程序可以由網(wǎng)絡(luò)操作系統(tǒng)或第三方開(kāi)發(fā)的軟件來(lái)提供。

3.建立備份制度

在安裝備份設(shè)備與備份程序后，還需要建立一整套完善的備份制度，包括規(guī)定多長(zhǎng)時(shí)間做一次網(wǎng)絡(luò)備份，以及是否每次都要備份所有文件。建立備份制度的第一件事情是選擇需要備份的文件和備份的時(shí)間。

制訂備份計(jì)劃應(yīng)考慮采用多少個(gè)備份版本，常見(jiàn)方法是網(wǎng)絡(luò)管理員備有3～4盤(pán)磁帶，循環(huán)使用這些磁帶進(jìn)行備份。同時(shí)，應(yīng)該注意把備份介質(zhì)存放在安全的地方，這一點(diǎn)是至關(guān)重要的。用戶要了解備份的目地是為了恢復(fù)系統(tǒng)，因此，用戶一定要知道當(dāng)系統(tǒng)遭到破壞時(shí)，需要經(jīng)過(guò)多長(zhǎng)時(shí)間才能恢復(fù)系統(tǒng)，只有備份才能使在恢復(fù)系統(tǒng)時(shí)數(shù)據(jù)損失最小。

9.6網(wǎng)絡(luò)管理

一、網(wǎng)絡(luò)管理的基本概念隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)也變得越來(lái)越復(fù)雜，企業(yè)用戶對(duì)網(wǎng)絡(luò)性能、運(yùn)行狀況與安全性更加重視。一個(gè)有效、實(shí)用的網(wǎng)絡(luò)任何時(shí)候都離不開(kāi)網(wǎng)絡(luò)管理，網(wǎng)絡(luò)管理是網(wǎng)絡(luò)設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行與維護(hù)等的關(guān)鍵問(wèn)題。

1.網(wǎng)絡(luò)管理的定義

網(wǎng)絡(luò)管理可以分為狹義的網(wǎng)絡(luò)管理與廣義的網(wǎng)絡(luò)管理。狹義的網(wǎng)絡(luò)管理是指對(duì)網(wǎng)絡(luò)交通量(Traffic)等網(wǎng)絡(luò)性能的管理；而廣義的網(wǎng)絡(luò)管理是指對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的管理。這里討論的網(wǎng)絡(luò)管理(NetworkManagement)涉及三個(gè)方面：

(1)網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)服務(wù)是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備與提高網(wǎng)絡(luò)性能。

(2)網(wǎng)絡(luò)維護(hù)。網(wǎng)絡(luò)維護(hù)是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、診斷、隔離與恢復(fù)。

(3)網(wǎng)絡(luò)處理。網(wǎng)絡(luò)處理是指對(duì)網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)的采集和分析，以及提高網(wǎng)絡(luò)利用率的各種控制方法。

2.網(wǎng)絡(luò)管理系統(tǒng)的基本結(jié)構(gòu)

網(wǎng)絡(luò)管理系統(tǒng)從邏輯上可以分為以下三個(gè)部分：

(1)管理對(duì)象(ManagedObject)。它是經(jīng)過(guò)抽象的網(wǎng)絡(luò)元素，對(duì)應(yīng)網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù)，如網(wǎng)絡(luò)性能統(tǒng)計(jì)參數(shù)、網(wǎng)絡(luò)設(shè)備狀態(tài)變量與工作參數(shù)等。

(2)管理進(jìn)程(ManagementProcess)。它是負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理與控制的軟件。

(3)管理協(xié)議(ManagementProtocol)。它負(fù)責(zé)在管理系統(tǒng)與管理對(duì)象之間傳輸操作命令。

3.管理信息庫(kù)

管理信息庫(kù)(MIB，Management

Information

Base)是管理進(jìn)程的一部分，用來(lái)記錄網(wǎng)絡(luò)中被管理對(duì)象的狀態(tài)參數(shù)。一個(gè)網(wǎng)絡(luò)管理系統(tǒng)中只能有一個(gè)管理信息庫(kù)，管理信息庫(kù)既可以集中存儲(chǔ)在一臺(tái)計(jì)算機(jī)中，也可以由各個(gè)網(wǎng)絡(luò)設(shè)備記錄本地參數(shù)。網(wǎng)絡(luò)管理員通過(guò)查詢管理信息庫(kù)獲得網(wǎng)絡(luò)設(shè)備的工作狀態(tài)與參數(shù)。如何使管理信息庫(kù)中的數(shù)據(jù)與實(shí)際網(wǎng)絡(luò)設(shè)備的狀態(tài)、工作參數(shù)相一致，是網(wǎng)絡(luò)管理系統(tǒng)需要解決的重要問(wèn)題。保證管理信息庫(kù)一致性有兩種方法。

1)事件驅(qū)動(dòng)方法

事件驅(qū)動(dòng)方法中，由網(wǎng)絡(luò)監(jiān)控設(shè)備來(lái)監(jiān)控各自的被管對(duì)象，發(fā)現(xiàn)被管對(duì)象的狀態(tài)、參數(shù)發(fā)生變化時(shí)及時(shí)地向管理進(jìn)程報(bào)告，這種報(bào)告稱為事件報(bào)告。事件報(bào)告并不意味著發(fā)生嚴(yán)重的問(wèn)題。

2)輪詢驅(qū)動(dòng)方法

輪詢驅(qū)動(dòng)方法中，由管理進(jìn)程主動(dòng)輪流查詢網(wǎng)絡(luò)設(shè)備的工作狀態(tài)與參數(shù)。如果返回結(jié)果正常，則不做處理；如果返回結(jié)果表明網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，或根本就沒(méi)有結(jié)果返回，則說(shuō)明網(wǎng)絡(luò)設(shè)備存在難以克服的故障，需要管理進(jìn)程采取措施才能恢復(fù)。輪詢驅(qū)動(dòng)方法雖然能保證在網(wǎng)絡(luò)設(shè)備發(fā)生故障后的一段時(shí)間內(nèi)發(fā)現(xiàn)故障，但是故障的檢測(cè)時(shí)間延遲一般比較長(zhǎng)。

二、網(wǎng)絡(luò)管理的內(nèi)容

網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化是要滿足不同網(wǎng)絡(luò)管理系統(tǒng)之間互相操作的需求。為了支持各種互聯(lián)網(wǎng)絡(luò)的管理要求，網(wǎng)絡(luò)管理需要有一個(gè)國(guó)際性的標(biāo)準(zhǔn)。目前，國(guó)際上很多機(jī)構(gòu)與團(tuán)體在為制定網(wǎng)絡(luò)管理標(biāo)準(zhǔn)而努力。國(guó)際標(biāo)準(zhǔn)化組織ISO做了大量工作并制定出相應(yīng)標(biāo)準(zhǔn)，即OSI。OSI網(wǎng)絡(luò)管理標(biāo)準(zhǔn)將開(kāi)放系統(tǒng)的網(wǎng)絡(luò)管理功能劃分成五個(gè)功能模塊。

1.配置管理的功能

網(wǎng)絡(luò)配置是網(wǎng)絡(luò)中每個(gè)設(shè)備的功能相互間的連接關(guān)系與參數(shù)，它反映了網(wǎng)絡(luò)的狀態(tài)。網(wǎng)絡(luò)是需要經(jīng)常變化的，調(diào)整網(wǎng)絡(luò)配置的原因很多，主要有以下幾點(diǎn)：網(wǎng)絡(luò)必須根據(jù)用戶的需求變化而變化，通過(guò)增加新的設(shè)備來(lái)調(diào)整網(wǎng)絡(luò)規(guī)模，以增強(qiáng)網(wǎng)絡(luò)的服務(wù)能力；網(wǎng)絡(luò)管理系統(tǒng)檢測(cè)到某個(gè)設(shè)備或線路發(fā)生故障，在故障排除過(guò)程中將會(huì)影響到部分網(wǎng)絡(luò)的結(jié)構(gòu)；通信子網(wǎng)中某個(gè)節(jié)點(diǎn)故障會(huì)造成節(jié)點(diǎn)減少與路由改變。

網(wǎng)絡(luò)配置的改變可能是臨時(shí)性或永久性的。網(wǎng)絡(luò)管理系統(tǒng)需要有足夠的手段來(lái)支持這些改變，不論這些改變是臨時(shí)性的還是永久性的，有時(shí)甚至要求在短期內(nèi)自動(dòng)修改網(wǎng)絡(luò)配置以適應(yīng)突發(fā)性需要。配置管理(ConfigurationManagement)用來(lái)識(shí)別、定義、初始化、控制與監(jiān)控被管理對(duì)象。配置管理需要監(jiān)控的內(nèi)容主要有：網(wǎng)絡(luò)資源與活動(dòng)狀態(tài)、網(wǎng)絡(luò)資源之間的關(guān)系、新資源引入與舊資源刪除。從網(wǎng)絡(luò)管理的角度來(lái)看，網(wǎng)絡(luò)資源可以分為三個(gè)狀態(tài)：可用、不可用與正在測(cè)試。從網(wǎng)絡(luò)運(yùn)行的角度來(lái)看，網(wǎng)絡(luò)資源可以分為兩個(gè)狀態(tài)：活動(dòng)與不活動(dòng)。

2.故障管理的功能

故障管理(FaultManagement)用來(lái)維持網(wǎng)絡(luò)的正常運(yùn)行。故障管理包括及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的故障，找出網(wǎng)絡(luò)故障產(chǎn)生的原因，以及必要時(shí)啟動(dòng)控制功能排除故障?？刂苹顒?dòng)包括診斷測(cè)試，故障修復(fù)或恢復(fù)，以及啟動(dòng)備用設(shè)備等。所有網(wǎng)絡(luò)設(shè)備(包括通話設(shè)備與線路)都可能成為網(wǎng)絡(luò)通信的瓶頸，事先進(jìn)行性能分析有助于避免出現(xiàn)網(wǎng)絡(luò)瓶頸。性能分析主要是對(duì)網(wǎng)絡(luò)的各項(xiàng)性能參數(shù)(如可靠性、延時(shí)、吞吐量、利用率、平均無(wú)故障時(shí)間等)進(jìn)行定量評(píng)價(jià)。

3.性能管理的功能

性能管理(Performance

Management)是指持續(xù)評(píng)測(cè)網(wǎng)絡(luò)運(yùn)行中的主要性能指標(biāo)，檢驗(yàn)網(wǎng)絡(luò)服務(wù)是否達(dá)到預(yù)定水平，找出已經(jīng)發(fā)生或潛在的瓶頸，報(bào)告網(wǎng)絡(luò)性能的變化趨勢(shì)，以便為網(wǎng)絡(luò)管理決策提供依據(jù)。典型的性能管理可以分為兩部分：性能監(jiān)測(cè)與網(wǎng)絡(luò)控制。性能監(jiān)測(cè)是指搜集與整理網(wǎng)絡(luò)狀態(tài)信息；網(wǎng)絡(luò)控制是指為改善網(wǎng)絡(luò)設(shè)備性能而采取的動(dòng)作與措施。OSI管理功能域定義網(wǎng)絡(luò)與用戶對(duì)性能管理的需求，用于度量網(wǎng)絡(luò)負(fù)荷、吞吐量、響應(yīng)時(shí)間、傳輸延時(shí)、資源可用性等參數(shù)。

4.安全管理的功能

安全管理(SecurityManagement)用來(lái)保護(hù)網(wǎng)絡(luò)資源的安全。安全管理需要利用各層次的安全防衛(wèi)機(jī)制來(lái)盡量減少非法入侵事件，檢測(cè)未授權(quán)的資源使用，查出入侵點(diǎn)，并對(duì)非法活動(dòng)進(jìn)行審查與追蹤。安全管理需要制定判斷非法入侵的條件與規(guī)則。非法入侵活動(dòng)包括用戶企圖修改未授權(quán)訪問(wèn)的文件、硬件或軟件配置、訪問(wèn)優(yōu)先權(quán)，以及任何其他對(duì)敏感數(shù)據(jù)的訪問(wèn)企圖。安全管理進(jìn)程對(duì)搜集到的信息進(jìn)行分析與存儲(chǔ)，并根據(jù)入侵活動(dòng)的情況采取相應(yīng)的措施，如給入侵用戶以警告信息、取消網(wǎng)絡(luò)訪問(wèn)權(quán)限等。

5.記賬管理的功能

記賬管理(Accounting

Management)用來(lái)統(tǒng)計(jì)網(wǎng)絡(luò)資源或服務(wù)的使用情況。對(duì)于公用分組交換網(wǎng)與各種網(wǎng)絡(luò)服務(wù)系統(tǒng)，用戶必須為使用的網(wǎng)絡(luò)資源或服務(wù)付費(fèi)，網(wǎng)管系統(tǒng)需要記錄用戶使用網(wǎng)絡(luò)資源的情況并核算費(fèi)用。

三、簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議

Internet網(wǎng)絡(luò)管理模型是Internet環(huán)境中的網(wǎng)絡(luò)管理框架。圖9.10為Internet網(wǎng)絡(luò)管理模型。管理對(duì)象表示一種接受管理的網(wǎng)絡(luò)資源。每個(gè)管理對(duì)象中有一個(gè)管理代理(Agent)，負(fù)責(zé)執(zhí)行對(duì)管理對(duì)象的實(shí)際管理操作。網(wǎng)絡(luò)中可以有一個(gè)或多個(gè)實(shí)施集中式的管理進(jìn)程，網(wǎng)絡(luò)管理標(biāo)準(zhǔn)用來(lái)定義網(wǎng)絡(luò)管理中心與管理代理之間的通信。圖9.10Internet網(wǎng)絡(luò)管理模型

除了標(biāo)準(zhǔn)化組織制定的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)外，有些廠商還制定了應(yīng)用在各自網(wǎng)絡(luò)中的網(wǎng)管標(biāo)準(zhǔn)。例如，IBM公司、Internet組織都有各自的網(wǎng)管標(biāo)準(zhǔn)，有些已經(jīng)成為事實(shí)上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，如簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP，SimpleNetworkManagementProtocol)。圖9.11給出了SNMP網(wǎng)絡(luò)管理模型的結(jié)構(gòu)。SNMP網(wǎng)絡(luò)管理模型包括三個(gè)組成部分：管理進(jìn)程(Manager)、管理代理(Agent)與管理信息庫(kù)(MIB)。圖9.11SNMP網(wǎng)絡(luò)管理模型

四、網(wǎng)絡(luò)故障排除

1.網(wǎng)絡(luò)故障診斷的方法

網(wǎng)絡(luò)故障診斷的目的是確定網(wǎng)絡(luò)的故障點(diǎn)，恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行；發(fā)現(xiàn)網(wǎng)絡(luò)規(guī)劃和配置中的欠佳之處，改善和優(yōu)化網(wǎng)絡(luò)的性能；觀察網(wǎng)絡(luò)的運(yùn)行狀況，及時(shí)預(yù)測(cè)網(wǎng)絡(luò)通信質(zhì)量。

網(wǎng)絡(luò)診斷可以使用多種工具，常用的是路由器診斷命令、網(wǎng)絡(luò)管理工具和其他故障診斷工具。故障排除的一般步驟是：

(1)確定故障現(xiàn)象。

(2)收集需要的、用于幫助隔離可能產(chǎn)生故障的信息。

(3)根據(jù)收集到的情況考慮可能的故障原因。

(4)根據(jù)最后推斷出的故障原因建立一個(gè)診斷計(jì)劃。

(5)執(zhí)行診斷計(jì)劃。

(6)每改變一個(gè)參數(shù)都要確認(rèn)其結(jié)果。

2.常見(jiàn)的網(wǎng)絡(luò)故障的現(xiàn)象及解決的辦法

【實(shí)例1】一個(gè)有120臺(tái)計(jì)算機(jī)的機(jī)房，全部計(jì)算機(jī)在啟動(dòng)WindowsXP時(shí)一直停留在啟動(dòng)界面不能進(jìn)入系統(tǒng)。

【維修過(guò)程】首先懷疑是計(jì)算機(jī)病毒的原因，經(jīng)過(guò)查毒，沒(méi)有發(fā)現(xiàn)問(wèn)題。測(cè)試時(shí)發(fā)現(xiàn)使用安全模式可以進(jìn)入，但普通模式不能進(jìn)入。偶然發(fā)現(xiàn)機(jī)房中有兩臺(tái)計(jì)算機(jī)可以進(jìn)入，把這兩臺(tái)計(jì)算機(jī)替換到其他位置也出現(xiàn)相同問(wèn)題，開(kāi)始懷疑網(wǎng)絡(luò)問(wèn)題。

本機(jī)房使用了九個(gè)集線器和一個(gè)交換機(jī)，集線器全部連接到交換機(jī)上，交換機(jī)連接到校園網(wǎng)。把一個(gè)集線器和交換機(jī)的連接線斷開(kāi)，再實(shí)驗(yàn)，發(fā)現(xiàn)此集線器連接的計(jì)算機(jī)工作正常。因此，確定故障在交換機(jī)上。仔細(xì)檢查交換機(jī)，發(fā)現(xiàn)交換機(jī)和校園網(wǎng)連接的網(wǎng)線兩頭都插在交換機(jī)的不同端上，拔開(kāi)后整個(gè)機(jī)房恢復(fù)正常。原來(lái)是老師為阻止學(xué)生上課時(shí)上網(wǎng)，把外網(wǎng)網(wǎng)線拔掉后插到交換機(jī)上，引起了網(wǎng)絡(luò)全部廣播數(shù)據(jù)包回傳，網(wǎng)卡無(wú)法完成測(cè)試網(wǎng)絡(luò)狀態(tài)，造成WindowsXP停止在開(kāi)機(jī)界面。

【實(shí)例2】校園網(wǎng)訪問(wèn)外部網(wǎng)絡(luò)速度極慢，有時(shí)甚至完全中斷，但內(nèi)部網(wǎng)絡(luò)訪問(wèn)正常。

【維修過(guò)程】ping外部網(wǎng)絡(luò)，發(fā)現(xiàn)有大量的丟包，但一直可以連通。經(jīng)監(jiān)控，發(fā)現(xiàn)有大流量數(shù)據(jù)包通過(guò)校園網(wǎng)流向外網(wǎng)，而正常情況下，校園網(wǎng)向外的流量相對(duì)較小，判斷內(nèi)部