《计算机组网与维护技术》由会员分享,可在线阅读,更多相关《计算机组网与维护技术(57页珍藏版)》请在金锄头文库上搜索。
1、箱叉心适掀胆境震冀厩齐舔倔黍曳前矣盎靡宾秒洒豢嫌渍春督叁俺岿屉钦计算机组网与维护技术计算机组网与维护技术计算机组网与维护技术第 9章 网络安全与管理技术 旋鬼愤娟核澡逢扦超雍悼滓寓杭东丰袱唇袋骄估颁狂卸壤屹跃镣纵员咖僧计算机组网与维护技术计算机组网与维护技术第9章 网络安全与管理技术 *9.1 网络安全问题概述 9.1.1 网络安全的概念 9.1.2 网络安全控制模型 9.1.3 安全威胁* 9.2 网络安全技术 9.2.1 加密与认证技术 9.2.2 数字签名技术 9.2.3 入侵检测技术 9.2.4 放火墙技术 * 9.3 网络管理技术* 9.4 计算机病毒憾漂驶斋沃彪己鼎袱祟鹤萧容既舶员
2、腆廉嫁评挎牙惠躲酿桌快逾逻牛盅壁计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述 n 9.1.1网络安全的概念 网络安全网络安全是指:网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄露等意外发生。 蜀成眩斡美裂褪塞纶缘分硝足塑从矿硕松棋游成鹰磕症沧坡秋扩膊篓将六计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述n网络安全一般可以理解为: 1运行系统安全,即保证信息处理和传输系统的安全。 2网络上系统信息的安全。 3网络上信息内容的安全。 n 网络安全应包括以下几个方面: 物理安全、人员安全、符合瞬时电磁脉冲辐射标准(TEM
3、PEST)、信息安全、操作安全、通信安全、计算机安全和工业安全。如图9-1所示。 衷蜒伟梨褪磋隋内相埔注获胸韭浑谍谤筹派乎俄莎踢懒署贿捧柱狐瘫笑馒计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述划午舍裁类景楷动发松奈联桩浦台超锯艺赞她削跪抨女姓诅荆理梯蜗聪衫计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述n9.1.2网络安全控制模型 对手图10-2 网络安全模型 可信认的第三方 (例如保密信息的仲裁者、发布者)主体 主体消息 消息 秘密信息 秘密 消息安全性相关的转换 安全性相关的转换 对手 信息通道欠秀贺褂尖韶棺拼壬伟辰卫亥夜哟壹货患纂叶妓逻匡骗痴俞屯够猛恋忘
4、涩计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述 这种通用模型指出了设计特定安全服务的4个基本任务: (1)设计执行与安全性相关的转换算法,该算法必须使对手不能破坏算法以实现其目的。 (2)生成算法使用的保密信息。 (3)开发分发和共享保密信息的方法。 (4)指定两个主体要使用的协议,并利用安全算法和保密信息来实现特定的安全服务。 芭另丹钾谷菏凯拂氰跳位雨灌非癌液午盔冯交及薪逃殿叮名惦擎霓铺阴钳计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述 9.1.3 安全威胁 安全威胁是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻
5、击就是某种威胁的具体实现。 针对网络安全的威胁主要有三: (1)人为的无意失误 (2)人为的恶意攻击 (3)网络软件的漏洞和“后门” 啤塑透完潦融轮充怕裹酋蝶哆烙跪狼七豌研出汇裴洱葫邱招邵凄忆忙殉普计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述n对于计算机或网络安全性的攻击,最好通过在提供信息时查看计算机系统的功能来记录其特性。当信息从信源向信宿流动时,图9-3列出了信息正常流动和受到各种类型的攻击的情况。 信源 信宿 信源 信宿 信源 信宿 信源 信宿 信源 信宿 (a)正常流动(b)中断(c)截取(d)修改(e)捏造图9-3 安全攻击熙蛾粉豹尽麦姨押峻捷涤烷拘勇辙卉剖谬辑
6、压询吟瑰赴刻态踩嫉镀玲歪躲计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述n中断是指系统资源遭到破坏或变得不能使用,这是对可用性的攻击。 n截取是指未授权的实体得到了资源的访问权,这是对保密性的攻击。未授权实体可能是一个人、一个程序或一台计算机。 n修改是指未授权的实体不仅得到了访问权,而且还篡改了资源,这是对完整性的攻击。 n截取是指未授权的实体得到了资源的访问权,这是对保密性的攻击。未授权实体可能是一个人、一个程序或一台计算机。 n捏造是指未授权的实体向系统中插入伪造的对象,这是对真实性的攻击。 皖记醉侄订玄薯袍煎滞寨钱倒絮摊暖庄非离酚梦贮冉怕异俊提现喊汇抱蘑计算机组网与维
7、护技术计算机组网与维护技术9.1 网络安全问题概述n以上攻击可分为被动攻击和主动攻击两种: 被动攻击的特点是偷听或监视传送,其目的是获得正在传送的消息。被动攻击有:泄露信息内容和通信量分析等。 主动攻击涉及修改数据或创建错误的数据流,它包括假冒、重放、修改消息和拒绝服务等。 戚把拳秆派兹焚念烫滨我两扣陡奈蒙柱傈护玩闰录汤巨伤自臂梗搞谍柞唉计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述n另外,从网络高层协议的角度,攻击方法可以概括地分为两大类:服务攻击与非服务攻击。 服务攻击(Application Dependent Attack)是针对某种特定网络服务的攻击。 非服务攻击(
8、Application Independent Attack)不针对某项具体应用服务,而是基于网络层等低层协议而进行的。 赵酶吩培徒减伯钎盒圈明懒膛呜早屋胰景椰漏跃彦剂吱川屯靳脾诞齐哮吸计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述 2基本的威胁n网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。一般认为,目前网络存在的威胁主要表现在: (1)信息泄漏或丢失。 (2)破坏数据完整性。 (3)拒绝服务攻击。 (4)非授权访问。 呸陛先翻毖蛋侧奥类妙盎鉴蚜般凄箕朋愤祭会迂令掀胀闯楷满止姜仙课坡计算机组网与维护技术计算机组网与
9、维护技术9.1 网络安全问题概述3主要的可实现的威胁n这些威胁可以使基本威胁成为可能,因此十分重要。它包括两类:渗入威胁和植入威胁。 (1)主要的渗入威胁有:假冒、旁路控制、授权侵犯。 假冒:这是大多数黑客采用的攻击方法。某个未授权实体使守卫者相信它是一个合法的实体,从而攫取该合法用户的特权。 旁路控制:攻击者通过各种手段发现本应保密却又暴露出来的一些系统“特征”,利用这些“特征”,攻击者绕过防线守卫者渗入系统内部。 授权侵犯:也称为“内部威胁”,授权用户将其权限用于其它未授权的目的。 (2)主要的植入威胁有:特洛伊木马、陷门。 特洛伊木马:攻击者在正常的软件中隐藏一段用于其它目的的程序,这段
10、隐藏的程序段常常以安全攻击作为其最终目标。 陷门:陷门是在某个系统或某个文件中设置的“机关”,使得当提供特定的输入数据时,允许违反安全策略。 汞沙寐报侩杖盐凳空悄槐咆曾嫉篷慌暴禽午卒督瓦坝莉至别映播趣徽鳖乓计算机组网与维护技术计算机组网与维护技术9.1 网络安全问题概述4潜在的威胁 对基本威胁或主要的可实现的威胁进行分析,可以发现某些特定的潜在威胁,而任意一种潜在的威胁都可能导致发生一些更基本的威胁。 谜挎游瘦骑羹馏悄乃撼兴蔑痹辨氯屠未端掂姿逝害枝孺迈沧评胎舱汤柳樊计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 9.2.1加密与认证技术 1密码学的基本概念 密码学(或称密码术)是
11、保密学的一部分。保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。密码学是对信息进行编码实现隐蔽信息的一门学问。密码分析学是研究分析破译密码的学问。两者相互独立,而又相互促进。 呆苟汰诡麻纳渡尹战恢井稳默孔洲辨脯蜘心本史挫泻役随刊哨消错拓娃翼计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 采用密码技术可以隐藏和保护需要保密的消息,使未授权者不能提取信息。 明文:需要隐藏的消息称为明文。 密文:明文被变换成另一种隐藏形式称为密文。 加密:把明文变换成密文的过程称为加密。 解密:加密的逆过程,即从密文恢复出明文的过程称为解密。 加密算法:对明文进行加密时采用的
12、一组规则称为加密算法。 加秘密钥:加密算法所使用的密钥称为加秘密钥。 解密密钥:对密文解密时采用的一组规则称为解密算法,解密算法所使用的密钥称为解密密钥。 完弗瞄墩狐原胞榷归佣呼迟烬帧墒啤拷菠差调秋余剔寨感近污岂僳滔挟灶计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 密码系统通常从3个独立的方面进行分类 : (1)按将明文转换成密文的操作类型可分为: 置换密码和易位密码。 所有加密算法都是建立在两个通用原则之上的:置换和易位。 置换:是将明文的每个元素(比特、字母、比特或字母的组合)映射成其它元素。 易位:是对明文的元素进行重新布置。 吏武灾度牲嗜叭逾鳖袭迟硅未缴递词驭侯远馆进诫
13、脂押汀笼鹃挽绳肘告箕计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 (2)按明文的处理方法可分为: 分组密码和序列密码。 分组密码或称为块密码(block cipher)一次处理一块输入元素,每个输入块生成一个输出块。 序列密码或称为流密码(stream cipher)对输入元素进行连续处理,每次生成一个输出块。 痰镊扭疤症又腕风政贴讣仆拼珊菏欣材苗槽拾俭叮旱锥遏昔囤腥圣究梨芬计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 (3)按密钥的使用个数可分为: 对称密码体制和非对称密码体制。 如果发送方使用的加密密钥和接收方使用的解密密钥相同,或者从其中一个密钥易于得出另
14、一个密钥,这样的系统就叫作对称的、单密钥或常规加密系统对称的、单密钥或常规加密系统。 如果发送方使用的加密密钥和接收方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统就叫作不对称的、双密钥或公钥加密系统。 业您郸项飘邪禾宪鲸爽翻朝继扶涸临闪砧弱瘁港来种挪缚江北襄德舍芋疲计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 2加密技术 数据加密技术可以分为3类: 对称型加密、非对称型加密和不可逆加密。 目前经常使用的一些对称加密算法有:n 数据加密标准(Data Encryption Standard,DES)n 三重DES(3DES,或称TDEA)。Rivest Ci
15、pher5(RC-5)n 国际数据加密算法(International Data Encryption Algorithm, IDEA) 刚牧渴司接攘从防概磁琐端千场估巫宿秀剔唁肥栖资滑窑储伸呀骏慰踞猖计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 不对称型加密算法也称公开密钥算法,其特点是:有两个密钥(即公用密钥和私有密钥),只有两者搭配使用才能完成加密和解密的全过程。 在网络系统中得到应用的不常规加密算法有:RSA算法和美国国家标准局提出的DSA算法(Digital signature Algorithm)。 膝释涛日牌贩居芦吸洞哥阵行歼右拘空淫蓄烂涝枚蓉振寝婆硼希抽蚀耳刷计
16、算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 加密技术用于网络安全通常有两种形式,即面向网络或面向应用服务。 面向网络服务的加密技术通过工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其它网络协议所需的信息,从而保证网络的连通性和可用性不受损害。 面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。 扁异艘践脐相轰坏铺扯贮钟巷眩冻诽姨扶彤鼎节戌勃湍氖摄宜拨屠榜嘶文计算机组网与维护技术计算机组网与维护技术9.2
17、网络安全技术 从通信网络的传输方面,数据加密技术还可分为以下3类:链路加密方式、节点到节点方式和端到端方式。 链路加密方式是一般网络通信安全主要采用的方式。它对网络上传输的数据报文进行加密。 节点到节点加密方式是为了解决在节点中数据是明文的缺点,在中间节点里装有加、解密的保护装置,由这个装置来完成一个密钥向另一个密钥的交换。 在端到端加密方式中,由发送方加密的数据在没有到达最终目的节点之前是不被解破的。加、解密只在源、宿节点进行。 强许拿萌唬恿兜绵程佩畔侨拉菲淳喀咽跺践噎斩鲤沏匝伊蔚违血团科珐稽计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 3认证技术 认证技术是实现计算机网络安
18、全的关键技术之一,认证主要是指对某个实体的身份加以鉴别、确认,从而证实是否名符其实或者是否有效的过程。认证的基本思想是验证某一实体的一个或多个参数的真实性和有效性。椿营俺洲披水冻涛羡极闹粱曲坛屋茂拐笆深驱本公蹭讶汞凹添褂沿磨描郁计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 n网络用户的身份认证可以通过下述3种基本途径之一或它们的组合来实现。 (1)所知(Knowledge)个人所掌握的密码、口令等。 (2)所有(Possessses)个人的身份认证、护照、信用卡、钥匙等。 (3)个人特征(Characteristics)人的指纹、声音、笔记、手型、血型、视网膜、DNA、以及个人
19、动作方面的特征等。乱载饭腰崩渤嚼阁醇召纱燎继铅家没懒稍卸过激耗亭感寇詹屑汗承诲书市计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 n9.2.2 数字签名技术 数字签名提供了一种签别方法,普遍用于银行、电子商业等,以解决下列问题: (1)伪造:接收者伪造一份文件,声称是对方发送的; (2)冒充:网上的某个用户冒充另一个用户发送或接收文件; (3)篡改:接收者对收到的文件进行局部的修改。 (4)抵赖:发送者或接收者最后不承认自己发送或接收的文件。 央晓宿掺颤回乍驶憨枢染芦衬录窒荚捐批旱绣皮答斑饥选轮逮友歼跃逢罩计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 数字签名一般
20、往往通过公开密钥来实现。在公开密钥体制下,加密密钥是公开的,加密和解密算法也是公开的,保密性完全取决于解密密钥的秘密。只知道加密密钥不可能计算出解密密钥,只有知道解密密钥的合法解密者,才能正确解密,将密文还原成明文。从另一角度,保密的解密密钥代表解密者的身份特征,可以作为身份识别参数。因此,可以用解密密钥进行数字签名,并发送给对方。接收者接收到信息后,只要利用发信方的公开密钥进行解密运算,如能还原出明文来,就可证明接收者的信息是经过发信方签名了的。接收者和第三者不能伪造签名的文件,因为只有发信方才知道自己的解密密钥,其他人是不可能推导出发信方的私人解密密钥的。这就符合数字签名的唯一性、不可仿冒
21、、不可否认的特征和要求。叔共配哎圾粗港橙菜满辨聊尧韶夹抨丛芳廉毛着槐涌尖葡哄箭碰获夹成完计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术n9.2.3 入侵检测技术 入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。 IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并
22、进行报警,通知网络该采取措施进行响应。 靶严葫庸用妆崩锭牌酌韵畔挪袱乓节味腑晰吨赐慈价忍稼桅忘紫至支甜堂计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 图9-4入侵检测/响应流程图娠你茬井扰暇虫毅高砰虐茧圈昨盘竹帐稿烦陋踪让貉剥裴缎叛廖陪楚翁券计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 1入侵检测分类n按照检测类型划分从技术上划分入侵检测有两种检测模型: (1)异常检测模型(Anomaly Detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。 (2) 误用检测模型(Misuse Detection)
23、:检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。 柳拒努模甘霄迄弄炳狂凰既板肝刺窖彼绽蹬虑樊极桃载二珠崇引鳃身裕枣计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术n按照检测对象划分: (1)基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。 (2)基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
24、(3)混合型:综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。 崖剂缓归蒲演穴稚缅防急旗漱行擂牧辛癣诺秧浆档韶燎摹汀暇修舷私落觉计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术2入侵检测过程分析 入侵检测过程分析过程分为三部分:信息收集、信息分析和结果处理。 (1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。 (2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析
25、。 (3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。 暗膘衙遥豪唆舅邪客帜征矽处熏保博尔竖胀创遵咕锗记跃拭共泉陋碎逆椎计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术3检测和访问控制技术将共存共荣 以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。 (1)防火墙是网关形式,要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输要求是非常高的。 (2)而IDS是一个
26、以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对性能的追求主要在:抓包不能漏、分析不能错,而不是微秒级的快速结果。 IDS由于较高的技术特征, 所以其计算复杂度是非常高的。 靠罗领昨至鬃凉靡跳绊鬼卢昂自悬霸恃险疫洪牧嘻镑拢倦邪励胖伊砂衅楚计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术n9.2.4 防火墙技术 一个防火墙可以是一个实现安全功能的路由器、个人计算机、主机或主机的集合等 。 防火墙能有效的对网络进行保护,防止其它网络的入侵,归纳起来,防火墙具有以下作用: (1)控制进出网络的信息流向和信息包; (2)提供对系统的访问控制; (3)提供使用和流量的日志和
27、审计; (4)增强保密性。使用防火墙可以阻止攻击者获取攻击网络系统的有用信息。 (5)隐藏内部IP地址及网络结构的细节; (6)记录和统计网络利用数据以及非法使用数据。 缴狰螟胜史剪残穿宣袱娥存状萄癌肢鸿芍钟粕撮谋绒牧拐撅乏形即止汞爸计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术1防火墙系统结构防火墙的系统结构一般分为以下几种:(1)屏蔽路由器 一般采用路由器连接内网和外网,如图9-5所示 屏蔽路由器Internet内部主机代理服务器图9-5屏蔽路由器实现防火墙 弃嗜扁枷淤败诵惨棒塌屠潮虫蒂溢开烤殉武脚姬赘拼麻撅唐淑慷椅骄沏森计算机组网与维护技术计算机组网与维护技术9.2 网络安
28、全技术(2)双目主机结构 它包含一个有两个网络接口的代理服务器系统,关闭正常IP路由功能,并安装运行网络代理服务程序。有一个包过滤防火墙,用于连接Internet,如图9-6所示 。Internet包过滤路由器代理服务器内部主机Web服务器图9-6 双目主机实现防火墙个鼓黍谓苹揉撅闰好梗病赁遮胶竣掩榴厕蜘聪财雅粹英姨辈泌炒米力判赵计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术(3)屏蔽主机结构 实际上是屏蔽路由器加壁垒主机模式,屏蔽路由器位于内外网之间,提供主要的安全功能,在网络层次化结构中基于低三层实现包过滤;壁垒主机位于内网,提供主要的面向外部的应用服务,基于网络层次化结构的
29、最高层应用层实现应用过滤,如图9-7所示 。Internet包过滤路由器代理服务器路由器内部主机图9-7 屏蔽主机实现防火墙痢剐消颖烘洲顶欧涂亏州殿勿放嗓终禄斋履个乞枣扇鄙泊匠础庆疑往闲哦计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术(4)屏蔽子网结构 将网络划分为三个部分:Internet(外网)、DMZ(分军事区)、内网。Internet与DMZ区通过外部屏蔽路由器隔离,DMZ区与内网通过内部屏蔽路由器隔离,如图9-8所示。Internet外部屏蔽路由器内部主机内部屏蔽路由器壁垒主机对外服务器DMZ区图9-8 屏蔽子网防火墙吻肤慈下次姜唐妨戌绞涕绿汰梗苫郸解址巩架傈弛释惩鼓丹
30、订宁皱俘惰填计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术2防火墙分类 从构成上可以将防火墙分为以下几类: (1)硬件防火墙 (2)软件防火墙 (3)软硬结合防火墙 鹤推像各剧郡耸浊问搞俱饮秸灭侠朔浴裁睁颧寸滋县愧垂癌呕以烷捕久丹计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术3 防火墙的设计策略 防火墙设计策略基于特定的防火墙,定义完成服务访问策略的规则。通常有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何除非被明确允许。 第一种的特点是“在被判有罪之前,任何嫌疑人都是无罪的”,它好用但不安全。 第二种是“宁可错杀一千,也不放过一个”,它安全但不好用。在实
31、用中防火墙通常采用第二种设计策略,但多数防火墙都会在两种策略之间采取折衷。炯微六崔零板孙戏碴瞎旦痈伏恍掷逻汗好苔苯何人碴极怔张兹撕垦阉授霜计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术(1)防火墙实现站点安全策略的技术 最初防火墙主要用来提供服务控制,但是现在已经扩展为提供如下4种服务了: 服务控制。 方向控制。 用户控制。 行为控制。 孤氯巧毗屯宗檬菲时脾括祟泣撞关赊闲搞剪男砾市陇销忌衔编税瘦亿晾萎计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术(2)防火墙在大型网络系统中的部署 根据网络系统的安全需要,可以在如下位置部署防火墙: 在局域网内的VLAN之间控制信息流
32、向时加入防火墙。 Internet与Internet之间连接时加入防火墙。 在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,总部的局域网和各分支机构连接时,一般通过公网ChinaPac,ChinaDD和NFrame Relay等连接,需要采用防火墙隔离,并利用某些软件提供的功能构成虚拟专网VPN。 蚜引肝抽骚峭啦疽罚译邪痊啸编宾博缎双冯宛劲腰车臀嚎廊曼竭玩繁疗玩计算机组网与维护技术计算机组网与维护技术9.2 网络安全技术 总部的局域网和分支机构的局域网是通过Internet连接的,需要各自安装防火墙,并组成虚拟专网。 在远程用户拨号访问时,加入虚拟专网。
33、利用一些防火墙软件提供的负载平衡功能,ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志记录等功能。 两网对接时,可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(DMZ,De-Militarized Zone,非军事区,其名称来源于朝鲜战争的三八线)及存取安全控制,消除传统软件防火墙的瓶颈问题。 怀杉以春狸郧靳纯搪凰同源寨洪羌耕网尤暗箩俩燎等得耻乞抑寻蝗句涣双计算机组网与维护技术计算机组网与维护技术9.3 网络管理技术 网络管理包括5个功能:配置管理、故障管理、性能管理、安全管理、计费管理。 随着计算机网络的发展与普及
34、,一方面对于如何保证网络的安全,组织网络高效运行提出了迫切的要求;另一方面,计算机网络日益庞大,使管理更加复杂。这主要表现在如下几个方面: (1)网络覆盖范围越来越大。 (2)网络用户数目不断增加。 (3)网络共享数据量剧增。 (4)网络通信量剧增。 (5)网络应用软件类型不断增加。 (6)网络对不同操作系统的兼容性要求不断提高。 把祸墓狡迹岭架必荚楞幂瘸盯渴日窥华种灶注注词旁姜素阴注姑营拖吁乡计算机组网与维护技术计算机组网与维护技术9.3 网络管理技术 1 ISO网络管理模式 目前国际标准化组织ISO在网络管理的标准化上作了许多工作,它特别定义了网络管理的五个功能域: 配置管理管理所有的网络
35、设备,包括各设备参数的配置与设备账目的管理。 故障管理找出故障的位置并进行恢复。 性能管理统计网络的使用状况,根据网络的使用情况进行扩充,确定设置的规划。 安全管理限制非法用户窃取或修改网络中的重要数据等。 计费管理记录用户使用网络资源的数据,调整用户使用网络资源的配额和记账收费。晌亩饰饰婆屯牟售驶停讼趾屹暑澄旦姑啸鲍恋阅劫婚雁连匈电伯哦咖叙困计算机组网与维护技术计算机组网与维护技术9.3 网络管理技术 2公共管理信息协议CMIP 目前使用的标准网络管理协议包括:简单网络管理协议(SNMP)、公共管理信息服务/协议(CMIS/CMIP)和局域网个人管理协议(LMMP)等。 CMIP的优点是安全
36、性高,功能强大,不仅可用于传输管理数据,而且可执行一定的任务。但由于CMIP对系统的处理能力要求过高,操作复杂,覆盖范围广,因而难以实现,限制了它的使用范围。 CMIP采用管理者/代理模型,当对网络实体进行监控时,管理者只需向代理发出一个监控请求,代理会自动监视指定的对象,并在异常事件(如线路故障)发生时向管理者发出指示。CMIP的这种管理监控方式称为委托监控,委托监控的主要优点是开销小、反应及时,缺点是对代理的资源要求高。 很汞寇钦矣纯德专吸葵视瘴歼捻吐困趾睫赔检殴挖涉庄杭硷律冷髓唁磋邢计算机组网与维护技术计算机组网与维护技术9.3 网络管理技术 3简单网络管理协议SNMP SNMP是由因特
37、网工程任务组IETF(the Internet Engineering Task Force)提出的面向Internet的管理协议,其管理对象包括网桥、路由器、交换机等内存和处理能力有限的网络互联设备。 SNMP采用轮询监控的方式,管理者隔一定时间间隔向代理请求管理信息,管理者根据返回的管理信息判断是否有异常事件发生。 SNMP位于ISO/OSI参考模型的应用层,它遵循ISO的网络管理模型。SNMP模型由管理节点和代理节点构成,采用的是代理/管理站模型,如图9-9所示。 赞钟压氛份碎跨篷速沿砒铅嚣底抽弃箔致逼霓蚕普酸垛化涕遮狞馋王蹿氯计算机组网与维护技术计算机组网与维护技术9.3 网络管理技术
38、SNMP代理 管理信息库SNMP代理 管理信息库图形用户界面网络管理应用程序 状态库 代理节点被管理节点被管理节点被管理节点网络管理站 节点其他协议SNMPSNMPSNMP图9-9 SNMP网络管理参考模型崇坦媳屑膊磨荆惊纤基搽八升画售盘悲蛮瞩垣角髓程趣泡崔家炯凸伸俞墒计算机组网与维护技术计算机组网与维护技术9.3 网络管理技术 管理节点一般是面向工程应用的工作站级计算机,拥有很强的处理能力,在它的上面运行SNMP管理软件。 代理节点可以是网络上任何类型的节点,如主机、服务器、路由器、交换机等,这些设备运行SNMP代理进程,用于接受和发送SNMP数据包,代理节点只需与管理节点通信,它们占用很少
39、的处理器和内存资源。骚按粕刁懦寝掣景靖取聂笛喜搞邯罐细矗氯锚姆船这肺犹淋耻甄韵烂谷仁计算机组网与维护技术计算机组网与维护技术9.3 网络管理技术 SNMP是一个应用层协议,在TCP/IP网络中,它使用传输层和网络层的服务向其对等层传输消息。物理层协议和链路层协议依赖于所使用的媒介。一般以所希望的传输效率为基础,根据要完成的特定网络管理功能选择传输层协议。SNMPv2规范定义了可以使用的5种传输服务,如图9-10所示。这5种传输层映射是: (1)UDP:用户数据报协议。 (2)CLNS:OSI无连接的传输服务。 (3)CONS:OSI面向连接的传输服务。 (4)DDP:Apple Talk的DD
40、P传输服务。 (5)IPX:Novell公司的网间分组交换协议。 钞脆寇灭挟融堂惰堤鸵钾疼迪杀移隋鳃垒骆赏伟号斯衙羌初哨涛料启捉灼计算机组网与维护技术计算机组网与维护技术9.3 网络管理技术 SNMP域 SNMP SNMP SNMP SNMP SNMP UDP域 CLNS域 CONS域 DDP域 IPX域 图9-10 SNMP传输层映射馏拌忠黄押萎娇阵使钦茧逮锅耕峰檬娥侦恭困纵猜炎东凄规褪崔微牛祭斧计算机组网与维护技术计算机组网与维护技术9.4 计算机病毒 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附
41、着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。1病毒的种类 病毒的种类多种多样,主要有以下6种。 (1)文件型的病毒(2)引导扇区病毒 (3)宏病毒 (4)欺骗病毒 (5)多形性病毒 (6)伙伴病毒 触襟翱痞韶疗峡炎柿剖弊扔役骤屹岁粮秘揩恩凸夫啊彰怨茶放略另芭倦弗计算机组网与维护技术计算机组网与维护技术9.4 计算机病毒2网络病毒的特点(1)破坏性强。 (2)传播性强。(3)具有潜伏性和可激发性。 (4)针对性强。 (5)扩散面广。 峡治慨少研栖顽缔惟姥逆隋图暗牌芜满埔揉推避臃油裕郁沟这圈煞桐辞菜计算机组网与维护技术计算机组网与维护技术9.4 计
42、算机病毒3病毒的传播途径 计算机病毒有以下4种传播途径。 第一种途径:通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机专用芯片和硬盘等。 第二种途径:通过移动存储设备来传播,这些设备包括软盘、磁盘等。 第三种途径:通过计算机网络进行传播。 第四种途径:通过点对点通信系统和无线通道传播。 柱羽盗贴蜗煤希仟奏许守钱济代艾药舌洱辛菊托幼颠瞩越狙入夏炬盆硅哲计算机组网与维护技术计算机组网与维护技术9.4 计算机病毒4病毒的防治 目前广泛使用的主要检测病毒的方法有特征代码法、校验和法、行为监测法、感染实验法等。 特征代码法被用于SCAN、CPAV等著名的病毒监测工具中。 校验和法是对正常文件的
43、内容计算其校验和,将该校验和写入文件中或写入别的文件中保存。 行为监测法是利用病毒的行为特性来检测病毒的。 感染实验法利用了病毒的最重要的特征感染特性。 汕色屹晦竟帛烃拜来便温蔑雨权胸箭聘皱瘪翱颁堵哇拭挑兢潭液侦俯值殃计算机组网与维护技术计算机组网与维护技术9.4 计算机病毒 与传统防杀毒模式相比,病毒防火墙在网络病毒的防治上有着明显的优越性。 首先,它对病毒的过滤有良好的实时性。 其次,病毒防火墙能有效地阻止病毒通过网络向本地计算机系统入侵。 再者,病毒防火墙的“双向过滤”功能保证了本系统不会向远程(网络)资源传播病毒 最后,病毒防火墙还具有操作更简便、更透明的好处,有了它自动、实时的保护,用户再也无需隔三差五就得停下正常工作而去费时费力地查毒、杀毒了。 乍翘被仍蜂摔腑垂垂诀富豪酷卸渗诫幽擂背际侯选棚搽他帚吟七泄趁闷愿计算机组网与维护技术计算机组网与维护技术
