《网络安全与网络管理.ppt》由会员分享,可在线阅读,更多相关《网络安全与网络管理.ppt(55页珍藏版)》请在金锄头文库上搜索。
1、电子科技大学电子科技大学计算机网络教程计算机网络教程1计算机网络教程计算机网络教程(第三版(第三版)电子科技大学电子科技大学计算机网络教程计算机网络教程2第第9章章 网络安全与网络管理网络安全与网络管理电子科技大学电子科技大学计算机网络教程计算机网络教程3本章学习要求本章学习要求:了解了解:网络安全的重要性网络安全的重要性 掌握掌握:网络安全技术研究的基本问题:网络安全技术研究的基本问题 掌握:网络安全策略制定的方法与基本内容掌握:网络安全策略制定的方法与基本内容 了解了解:网络安全问题的鉴别的基本概念网络安全问题的鉴别的基本概念 掌握:网络防火墙的基本概念掌握:网络防火墙的基本概念 了解:网
2、络文件的备份与恢复的基本方法了解:网络文件的备份与恢复的基本方法 了解:网络防病毒的基本方法了解:网络防病毒的基本方法 掌握:网络管理的基本概念掌握:网络管理的基本概念 电子科技大学电子科技大学计算机网络教程计算机网络教程49.1 网络安全的重要性网络安全的重要性 网络安全问题已经成为信息化社会的一个焦点问题;网络安全问题已经成为信息化社会的一个焦点问题;每个国家只能立足于本国,研究自己的网络安全技术,每个国家只能立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,才培养自己的专门人才,发展自己的网络安全产业,才能构筑本国的网络与信息安全防范体系。能构筑本国的网络与
3、信息安全防范体系。电子科技大学电子科技大学计算机网络教程计算机网络教程59.2 网络安全技术研究的基本问题网络安全技术研究的基本问题 9.2.1 构成对网络安全威胁的主要因素与相关技术的研究构成对网络安全威胁的主要因素与相关技术的研究网络防攻击问题网络防攻击问题 网络安全漏洞与对策问题网络安全漏洞与对策问题网络中的信息安全保密问题网络中的信息安全保密问题网络内部安全防范问题网络内部安全防范问题 网络防病毒问题网络防病毒问题 网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题电子科技大学电子科技大学计算机网络教程计算机网络教程6网络防攻击问题网络防攻击问题服务攻击服务攻击: : 对
4、网络提供某种服务的服务器发起攻击,造成该网络对网络提供某种服务的服务器发起攻击,造成该网络的的“拒绝服务拒绝服务”,使网络工作不正常,使网络工作不正常; ;非服务攻击非服务攻击: : 不针对某项具体应用服务,而是基于网络层等低层协不针对某项具体应用服务,而是基于网络层等低层协议而进行的,使得网络通信设备工作严重阻塞或瘫痪。议而进行的,使得网络通信设备工作严重阻塞或瘫痪。电子科技大学电子科技大学计算机网络教程计算机网络教程7网络防攻击主要问题需要研究的几个问题网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击?网络可能遭到哪些人的攻击?攻击类型与手段可能有哪些?攻击类型与手段可能有哪些
5、?如何及时检测并报告网络被攻击?如何及时检测并报告网络被攻击?如何采取相应的网络安全策略与网络安全防护体系?如何采取相应的网络安全策略与网络安全防护体系?电子科技大学电子科技大学计算机网络教程计算机网络教程8网络安全漏洞与对策的研究网络安全漏洞与对策的研究网络信息系统的运行涉及到:网络信息系统的运行涉及到:计算机硬件与操作系统计算机硬件与操作系统网络硬件与网络软件网络硬件与网络软件数据库管理系统数据库管理系统应用软件应用软件网络通信协议网络通信协议网络安全漏洞也会表现在以上几个方面。网络安全漏洞也会表现在以上几个方面。 电子科技大学电子科技大学计算机网络教程计算机网络教程9网络中的信息安全保密
6、信息存储安全与信息传输安全 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用;信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被攻击; 电子科技大学电子科技大学计算机网络教程计算机网络教程10网络中的信息安全保密问题网络中的信息安全保密问题 电子科技大学电子科技大学计算机网络教程计算机网络教程11数据加密与解密数据加密与解密将明文变换成密文的过程称为加密;将明文变换成密文的过程称为加密;将密文经过逆变换恢复成明文的过程称为解密。将密文经过逆变换恢复成明文的过程称为解密。 电子科技大学电子科技大学计算机网络教程计算机网络教程12网络内部安全防范问题网络内
7、部安全防范问题网络内部安全防范是防止内部具有合法身份的用户有网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为;意或无意地做出对网络与信息安全有害的行为;对网络与信息安全有害的行为包括:有意或无意地泄对网络与信息安全有害的行为包括:有意或无意地泄露网络用户或网络管理员口令;违反网络安全规定,露网络用户或网络管理员口令;违反网络安全规定,绕过防火墙,私自和外部网络连接,造成系统安全漏绕过防火墙,私自和外部网络连接,造成系统安全漏洞;违反网络使用规定,越权查看、修改和删除系统洞;违反网络使用规定,越权查看、修改和删除系统文件、应用程序及数据;违反网络使用规定,越
8、权修文件、应用程序及数据;违反网络使用规定,越权修改网络系统配置,造成网络工作不正常;改网络系统配置,造成网络工作不正常;解决来自网络内部的不安全因素必须从技术与管理两解决来自网络内部的不安全因素必须从技术与管理两个方面入手。个方面入手。电子科技大学电子科技大学计算机网络教程计算机网络教程13网络防病毒问题网络防病毒问题 目前,目前,70%的病毒发生在计算机网络上;的病毒发生在计算机网络上;连网微型机病毒的传播速度是单机的连网微型机病毒的传播速度是单机的20倍,网络服倍,网络服务器消除病毒所花的时间是单机的务器消除病毒所花的时间是单机的40倍;倍;电子邮件病毒可以轻易地使用户的计算机瘫痪,有电
9、子邮件病毒可以轻易地使用户的计算机瘫痪,有些网络病毒甚至会破坏系统硬件。些网络病毒甚至会破坏系统硬件。 电子科技大学电子科技大学计算机网络教程计算机网络教程14网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据丢失,数据能不能被恢复如果出现网络故障造成数据丢失,数据能不能被恢复?如果出现网络因某种原因被损坏,重新购买设备的资如果出现网络因某种原因被损坏,重新购买设备的资金可以提供,但是原有系统的数据能不能恢复?金可以提供,但是原有系统的数据能不能恢复?电子科技大学电子科技大学计算机网络教程计算机网络教程159.2.2 网络安全服务的主要内容网络安全服务的主
10、要内容 网络安全服务应该提供的基本服务功能网络安全服务应该提供的基本服务功能:数据保密(数据保密(data confidentiality)认证(认证(authentication) 数据完整(数据完整(data integrity) 防抵赖防抵赖(non-repudiation) 访问控制(访问控制(access control)电子科技大学电子科技大学计算机网络教程计算机网络教程169.2.3 网络安全标准网络安全标准 电子计算机系统安全规范电子计算机系统安全规范,1987年年10月月计算机软件保护条例计算机软件保护条例,1991年年5月月计算机软件著作权登记办法计算机软件著作权登记办法,
11、1992年年4月月中华人民共和国计算机信息与系统安全保护条例中华人民共和国计算机信息与系统安全保护条例, 1994年年2月月计算机信息系统保密管理暂行规定计算机信息系统保密管理暂行规定,1998年年2月月关于维护互联网安全决定关于维护互联网安全决定,全国人民代表大会常,全国人民代表大会常 务委员会通过,务委员会通过,2000年年12月月电子科技大学电子科技大学计算机网络教程计算机网络教程17安全级别的分类安全级别的分类 可信计算机系统评估准则可信计算机系统评估准则TC-SEC-NCSC是是1983年公布年公布的,的,1985年公布了可信网络说明(年公布了可信网络说明(TNI););可信计算机系
12、统评估准则将计算机系统安全等级分为可信计算机系统评估准则将计算机系统安全等级分为4类类7个等级,即个等级,即D、C1、C2、B1、B2、B3与与A1;D级系统的安全要求最低,级系统的安全要求最低,A1级系统的安全要求最高。级系统的安全要求最高。电子科技大学电子科技大学计算机网络教程计算机网络教程189.3 网络安全策略的设计网络安全策略的设计 企业内部网有哪些网络资源与服务需要提供给外部用企业内部网有哪些网络资源与服务需要提供给外部用户访问?户访问?企业内部用户有哪些需要访问外部网络资源与服务?企业内部用户有哪些需要访问外部网络资源与服务?可能对网络资源与服务安全性构成威胁的因素有哪些可能对网
13、络资源与服务安全性构成威胁的因素有哪些?哪些资源需要重点保护?哪些资源需要重点保护?可以采取什么方法进行保护?可以采取什么方法进行保护?发现网络受到攻击之后如何处理?发现网络受到攻击之后如何处理?电子科技大学电子科技大学计算机网络教程计算机网络教程199.3.1 网络安全策略与网络用户的关系网络安全策略与网络用户的关系 网络安全策略包括技术与制度两个方面。只有将二者网络安全策略包括技术与制度两个方面。只有将二者结合起来,才能有效保护网络资源不受破坏;结合起来,才能有效保护网络资源不受破坏; 在制定网络安全策略时,一定要注意限制的范围;在制定网络安全策略时,一定要注意限制的范围;网络安全策略首先
14、要保证用户能有效地完成各自的任网络安全策略首先要保证用户能有效地完成各自的任务同时,也不要引发用户设法绕过网络安全系统,钻务同时,也不要引发用户设法绕过网络安全系统,钻网络安全系统空子的现象;网络安全系统空子的现象;一个好的网络安全策略应能很好地解决网络使用与网一个好的网络安全策略应能很好地解决网络使用与网络安全的矛盾,应该使网络管理员与网络用户都乐于络安全的矛盾,应该使网络管理员与网络用户都乐于接受与执行。接受与执行。 电子科技大学电子科技大学计算机网络教程计算机网络教程209.3.2 制定网络安全策略的两种思想制定网络安全策略的两种思想 制定网络安全策略的两种思想:一是凡是没有明确表制定网
15、络安全策略的两种思想:一是凡是没有明确表示允许的就要被禁止,二是凡是没有明确表示禁止的示允许的就要被禁止,二是凡是没有明确表示禁止的就要被允许;就要被允许;在网络安全策略上一般采用第一种方法,明确地限定在网络安全策略上一般采用第一种方法,明确地限定用户在网络中访问的权限与能够使用的服务;用户在网络中访问的权限与能够使用的服务;符合于规定用户在网络访问符合于规定用户在网络访问“最小权限最小权限”的原则,给的原则,给予用户能完成任务所予用户能完成任务所“必要必要”的访问权限与可以使用的访问权限与可以使用的服务类型,又便于网络的管理。的服务类型,又便于网络的管理。 电子科技大学电子科技大学计算机网络
16、教程计算机网络教程219.3.3 网络用户组成、网点结构与网络安全策略的关系网络用户组成、网点结构与网络安全策略的关系 要维护网络系统的有序运行,还必须规定网络管理员要维护网络系统的有序运行,还必须规定网络管理员与网络用户各自的责任;与网络用户各自的责任;网络安全问题来自外部、内部两个方面;网络安全问题来自外部、内部两个方面;任何一个网点的内部网络安全策略的变化都会影响到任何一个网点的内部网络安全策略的变化都会影响到另一个相关网点用户的使用,这就存在多个网点之间另一个相关网点用户的使用,这就存在多个网点之间的网络安全与管理的协调问题;的网络安全与管理的协调问题;多个网点之间要相互访问,因此带来
17、了内部用户与外多个网点之间要相互访问,因此带来了内部用户与外部用户两方面的管理问题。部用户两方面的管理问题。 电子科技大学电子科技大学计算机网络教程计算机网络教程229.3.4 网络安全教育与网络安全策略网络安全教育与网络安全策略 要求网络管理员与网络用户能够严格地遵守网络管理规要求网络管理员与网络用户能够严格地遵守网络管理规定与网络使用方法,正确地使用网络;定与网络使用方法,正确地使用网络;要求从技术上对网络资源进行保护;要求从技术上对网络资源进行保护;如果网络管理员与网络用户不能严格遵守网络管理条例如果网络管理员与网络用户不能严格遵守网络管理条例与使用方法,再严密的防火墙、加密技术也无济于
18、事;与使用方法,再严密的防火墙、加密技术也无济于事;必须正确地解决网络安全教育与网络安全制度之间的关必须正确地解决网络安全教育与网络安全制度之间的关系,切实做好网络管理人员与网络用户的正确管理与使系,切实做好网络管理人员与网络用户的正确管理与使用网络的培训,从正面加强网络安全教育。用网络的培训,从正面加强网络安全教育。 电子科技大学电子科技大学计算机网络教程计算机网络教程239.3.5 网络安全策略的修改、完善与网络安全制度的发布网络安全策略的修改、完善与网络安全制度的发布 Internet网点与网点与Intranet网点的网络管理中心的网络管网点的网络管理中心的网络管理员,对网点的日常网络管
19、理、网络安全策略与使用理员,对网点的日常网络管理、网络安全策略与使用制度的修改和发布负有全部责任;制度的修改和发布负有全部责任;当网点的网络安全策略的修改涉及其他网点时,相关当网点的网络安全策略的修改涉及其他网点时,相关网点的网络管理员之间需要通过协商,协调网络管理、网点的网络管理员之间需要通过协商,协调网络管理、网络安全策略与使用制度的修改问题;网络安全策略与使用制度的修改问题;网络管理中心应该定期或不定期地发布网点的网络安网络管理中心应该定期或不定期地发布网点的网络安全策略、网络资源、网络服务与网络使用制度的变化全策略、网络资源、网络服务与网络使用制度的变化情况。情况。 电子科技大学电子科
20、技大学计算机网络教程计算机网络教程249.4 网络安全策略制定的方法与基本内容网络安全策略制定的方法与基本内容 设计网络安全策略设计网络安全策略需要回答以下问题需要回答以下问题:打算要保护哪些网络资源?打算要保护哪些网络资源? 哪类网络资源可以被哪些用户使用?哪类网络资源可以被哪些用户使用?什么样的人可能对网络构成威胁?什么样的人可能对网络构成威胁?如何保证能可靠及时地实现对重要资源的保护?如何保证能可靠及时地实现对重要资源的保护?在网络状态变化时,谁来负责调整网络安全策略?在网络状态变化时,谁来负责调整网络安全策略?电子科技大学电子科技大学计算机网络教程计算机网络教程259.4.1 网络资源
21、的定义网络资源的定义 分析网络中有哪些资源是重要的,什么人可以使用这分析网络中有哪些资源是重要的,什么人可以使用这些资源,哪些人可能会对资源构成威胁,以及如何保些资源,哪些人可能会对资源构成威胁,以及如何保护这些资源;护这些资源;对可能对网络资源构成威胁的因素下定义,以确定可对可能对网络资源构成威胁的因素下定义,以确定可能造成信息丢失和破坏的潜在因素,确定威胁的类型;能造成信息丢失和破坏的潜在因素,确定威胁的类型;了解对网络资源安全构成威胁的来源与类型,才能针了解对网络资源安全构成威胁的来源与类型,才能针对这些问题提出保护方法。对这些问题提出保护方法。电子科技大学电子科技大学计算机网络教程计算
22、机网络教程269.4.2 网络使用与责任的定义网络使用与责任的定义 定义网络使用与责任定义需要回答以下问题定义网络使用与责任定义需要回答以下问题: 允许哪些用户使用网络资源;允许哪些用户使用网络资源;允许用户对网络资源进行哪些操作;允许用户对网络资源进行哪些操作;谁来批准用户的访问权限;谁来批准用户的访问权限;谁具有系统用户的访问权限;谁具有系统用户的访问权限;网络用户与网络管理员的权利、责任是什么。网络用户与网络管理员的权利、责任是什么。 电子科技大学电子科技大学计算机网络教程计算机网络教程279.4.3 用户责任的定义用户责任的定义 网络攻击者要入侵网络,第一关是要通过网络访问控网络攻击者
23、要入侵网络,第一关是要通过网络访问控制的用户身份认证系统;制的用户身份认证系统;保护用户口令主要需要注意两个问题。一是选择口令,保护用户口令主要需要注意两个问题。一是选择口令,二是保证口令不被泄露,并且不容易被破译;二是保证口令不被泄露,并且不容易被破译;网络用户在选择自己的口令时,应该尽量避免使用自网络用户在选择自己的口令时,应该尽量避免使用自己与亲人的名字、生日、身份证号、电话号码等容易己与亲人的名字、生日、身份证号、电话号码等容易被攻击者猜测的字符或数字序列。被攻击者猜测的字符或数字序列。电子科技大学电子科技大学计算机网络教程计算机网络教程28用户责任主要包括以下基本内容用户责任主要包括
24、以下基本内容:用户只使用允许使用的网络资源与服务,不能采用不正当手段使用户只使用允许使用的网络资源与服务,不能采用不正当手段使用不应使用的资源;用不应使用的资源; 用户了解在不经允许让其他用户使用他的账户后可能造成的危害用户了解在不经允许让其他用户使用他的账户后可能造成的危害与他应该承担的责任;与他应该承担的责任; 用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造用户了解告诉他人自己的账户密码或无意泄露账户密码后可能造成的后果以及用户要承担的责任;成的后果以及用户要承担的责任; 用户了解为什么需要定期或不定期地更换账户密码;用户了解为什么需要定期或不定期地更换账户密码;明确用户数据是用
25、户自己负责备份,还是由网络管理员统一备份,明确用户数据是用户自己负责备份,还是由网络管理员统一备份,凡属于用户自己负责备份的数据,用户必须按规定执行备份操作;凡属于用户自己负责备份的数据,用户必须按规定执行备份操作;明白泄露信息可能危及网络系统安全,了解个人行为与系统安全明白泄露信息可能危及网络系统安全,了解个人行为与系统安全的关系。的关系。 电子科技大学电子科技大学计算机网络教程计算机网络教程299.4.4 网络管理员责任的定义网络管理员责任的定义 网络管理员对网络系统安全负有重要的责任;网络管理员对网络系统安全负有重要的责任;网络管理员需要对网络结构、网络资源分布、网络用网络管理员需要对网
26、络结构、网络资源分布、网络用户类型与权限以及网络安全检测方法有更多知识。户类型与权限以及网络安全检测方法有更多知识。电子科技大学电子科技大学计算机网络教程计算机网络教程30网络管理员应该注意的几个问题网络管理员应该注意的几个问题:对网络管理员的口令严格保密对网络管理员的口令严格保密 网络管理员在建立网络文件系统、用户系统、管理系统与安全系网络管理员在建立网络文件系统、用户系统、管理系统与安全系统方面有特殊的权力,网络管理员口令的泄露对网络安全会构成统方面有特殊的权力,网络管理员口令的泄露对网络安全会构成极其严重的威胁。极其严重的威胁。 对网络系统运行状态要随时进行严格的监控对网络系统运行状态要
27、随时进行严格的监控 网络管理员必须利用各种网络运行状态监测软件与设备,对网络网络管理员必须利用各种网络运行状态监测软件与设备,对网络系统运行状态进行监视、记录与处理。系统运行状态进行监视、记录与处理。 对网络系统安全状况进行严格的监控对网络系统安全状况进行严格的监控 了解网络系统所使用的系统软件、应用软件,以及硬件中可能存了解网络系统所使用的系统软件、应用软件,以及硬件中可能存在的安全漏洞,了解在其他网络系统中出现的各种新的安全事件,在的安全漏洞,了解在其他网络系统中出现的各种新的安全事件,监视网络关键设备、网络文件系统与各种网络服务的工作状态,监视网络关键设备、网络文件系统与各种网络服务的工
28、作状态,审计状态记录,发现疑点问题与不安全因素立即处理。审计状态记录,发现疑点问题与不安全因素立即处理。电子科技大学电子科技大学计算机网络教程计算机网络教程319.4.5 网络安全受到威胁时的行动方案网络安全受到威胁时的行动方案 保护方式保护方式 当网络管理员发现网络安全遭到破坏时,立即制止非当网络管理员发现网络安全遭到破坏时,立即制止非法入侵者的活动,恢复网络的正常工作状态,并进一法入侵者的活动,恢复网络的正常工作状态,并进一步分析这次安全事故的性质与原因,尽量减少这次安步分析这次安全事故的性质与原因,尽量减少这次安全事故造成的损害;全事故造成的损害;跟踪方式跟踪方式 发现网络存在非法入侵者
29、的活动时,不是立即制止入发现网络存在非法入侵者的活动时,不是立即制止入侵者的活动,而是采取措施跟踪非法入侵者的活动,侵者的活动,而是采取措施跟踪非法入侵者的活动,检测非法入侵者的来源、目的、非法访问的网络资源,检测非法入侵者的来源、目的、非法访问的网络资源,判断非法入侵的危害,确定处理此类非法入侵活动的判断非法入侵的危害,确定处理此类非法入侵活动的方法。方法。电子科技大学电子科技大学计算机网络教程计算机网络教程329.5 网络安全问题的鉴别网络安全问题的鉴别 鉴别网络安全问题可以从鉴别网络安全问题可以从5个方面进行个方面进行:访问点(访问点(access points)系统配置(系统配置(sy
30、stem configuration)软件缺陷(软件缺陷(software bugs)内部威胁(内部威胁(insider threats)物理安全性(物理安全性(physical security) 电子科技大学电子科技大学计算机网络教程计算机网络教程33网络访问点的结构网络访问点的结构 电子科技大学电子科技大学计算机网络教程计算机网络教程349.6 网络防火墙技术网络防火墙技术 9.6.1 防火墙的基本概念防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统,它包防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件;括硬件和软件;设置防火墙的目的是保护内部网络资源不被外部非授设置防
31、火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。权用户使用,防止内部受到外部非法用户的攻击。 电子科技大学电子科技大学计算机网络教程计算机网络教程35防火墙的位置与作用防火墙的位置与作用 电子科技大学电子科技大学计算机网络教程计算机网络教程36防火墙通过检查所有进出内部网络的数据包,检查数防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界内部网络建立安全边界;构成防火墙系统的两个基本部件是:包过滤路由器构成防火墙系统的两个基本部件是:包过滤路由器(pa
32、cket filtering router)和应用级网关和应用级网关(application gateway););最简单的防火墙由一个包过滤路由器组成,而复杂的最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成;防火墙系统由包过滤路由器和应用级网关组合而成;由于组合方式有多种,因此防火墙系统的结构也有多由于组合方式有多种,因此防火墙系统的结构也有多种形式种形式。电子科技大学电子科技大学计算机网络教程计算机网络教程379.6.2 防火墙的主要类型防火墙的主要类型 包过滤路由器包过滤路由器 包过滤路由器按照系统内部设置的包过滤规则(即访包过滤路由器按照系统
33、内部设置的包过滤规则(即访问控制表),检查每个分组的源问控制表),检查每个分组的源IP地址、目的地址、目的IP地址,地址,决定该分组是否应该转发;决定该分组是否应该转发;包过滤规则一般是基于部分或全部报头的内容。例如,包过滤规则一般是基于部分或全部报头的内容。例如,对于对于TCP报头信息可以是:源报头信息可以是:源IP地址地址、目的目的IP地址、地址、协议类型协议类型 、IP选项内容选项内容 、源源TCP端口号端口号 、目的目的TCP端口号端口号 、TCP ACK标识等。标识等。电子科技大学电子科技大学计算机网络教程计算机网络教程38包过滤路由器的结构包过滤路由器的结构电子科技大学电子科技大学
34、计算机网络教程计算机网络教程39应用级网关应用级网关 多归属主机又称为多宿主主机,它具有两个或两个以多归属主机又称为多宿主主机,它具有两个或两个以上的网络接口,每个网络接口与一个网络连接,具有上的网络接口,每个网络接口与一个网络连接,具有在不同网络之间交换数据的路由能力。在不同网络之间交换数据的路由能力。如果多归属主机连接了两个网络,它可以叫做双归属如果多归属主机连接了两个网络,它可以叫做双归属主机。只要能确定应用程序访问控制规则,就可以采主机。只要能确定应用程序访问控制规则,就可以采用双归属主机作为应用级网关,在应用层过滤进出内用双归属主机作为应用级网关,在应用层过滤进出内部网络特定服务的用
35、户请求与响应。部网络特定服务的用户请求与响应。应用代理是应用级网关的另一种形式,它是以存储转应用代理是应用级网关的另一种形式,它是以存储转发方式检查和确定网络服务请求的用户身份是否合法,发方式检查和确定网络服务请求的用户身份是否合法,决定是转发还是丢弃该服务请求。决定是转发还是丢弃该服务请求。 电子科技大学电子科技大学计算机网络教程计算机网络教程40应用级网关的结构应用级网关的结构 电子科技大学电子科技大学计算机网络教程计算机网络教程41应用代理的工作原理应用代理的工作原理电子科技大学电子科技大学计算机网络教程计算机网络教程429.6.3 主要的防火墙产品主要的防火墙产品 Checkpoint
36、公司的公司的Firewall-1防火墙防火墙Sonic System公司的公司的Sonicwall防火墙防火墙NetScreen公司的公司的NetScreen防火墙防火墙Alkatel公司的公司的Internet Device防火墙防火墙NAI公司的公司的Gauntlet防火墙防火墙 电子科技大学电子科技大学计算机网络教程计算机网络教程439.7 网络文件的备份与恢复网络文件的备份与恢复 9.7.1 网络文件备份与恢复的重要性网络文件备份与恢复的重要性网络数据可以进行归档与备份;网络数据可以进行归档与备份;归档是指在一种特殊介质上进行永久性存储;归档是指在一种特殊介质上进行永久性存储;网络数据
37、备份是一项基本的网络维护工作;网络数据备份是一项基本的网络维护工作;备份数据用于网络系统的恢复。备份数据用于网络系统的恢复。电子科技大学电子科技大学计算机网络教程计算机网络教程449.7.2 网络文件备份的基本方法网络文件备份的基本方法 选择备份设备选择备份设备选择备份程序选择备份程序建立备份制度建立备份制度在考虑备份方法时需要注意的问题在考虑备份方法时需要注意的问题:如果系统遭到破坏需要多长时间才能恢复?如果系统遭到破坏需要多长时间才能恢复? 怎样备份才可能在恢复系统时数据损失最少?怎样备份才可能在恢复系统时数据损失最少? 电子科技大学电子科技大学计算机网络教程计算机网络教程459.8 网络
38、防病毒技术网络防病毒技术 9.8.1 造成网络感染病毒的主要原因造成网络感染病毒的主要原因 70%的病毒发生在网络上;的病毒发生在网络上;将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占件约占41%左右;左右;从网络电子广告牌上带来的病毒约占从网络电子广告牌上带来的病毒约占7%;从软件商的演示盘中带来的病毒约占从软件商的演示盘中带来的病毒约占6%;从系统维护盘中带来的病毒约占从系统维护盘中带来的病毒约占6%;从公司之间交换的软盘带来的病毒约占从公司之间交换的软盘带来的病毒约占2%;其他未知因素约占其他未知因素约占27%;从统
39、计数据中可以看出,引起网络病毒感染的主要原因在于网络从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。用户自身。 电子科技大学电子科技大学计算机网络教程计算机网络教程469.8.2 网络病毒的危害网络病毒的危害 网络病毒感染一般是从用户工作站开始的,而网络服网络病毒感染一般是从用户工作站开始的,而网络服务器是病毒潜在的攻击目标,也是网络病毒潜藏的重务器是病毒潜在的攻击目标,也是网络病毒潜藏的重要场所;要场所;网络服务器在网络病毒事件中起着两种作用:它可能网络服务器在网络病毒事件中起着两种作用:它可能被感染,造成服务器瘫痪;它可以成为病毒传播的代被感染,造成服务器瘫痪;它可以成为
40、病毒传播的代理人,在工作站之间迅速传播与蔓延病毒;理人,在工作站之间迅速传播与蔓延病毒;网络病毒的传染与发作过程与单机基本相同,它将本网络病毒的传染与发作过程与单机基本相同,它将本身拷贝覆盖在宿主程序上;身拷贝覆盖在宿主程序上;当宿主程序执行时,病毒也被启动,然后再继续传染当宿主程序执行时,病毒也被启动,然后再继续传染给其他程序。如果病毒不发作,宿主程序还能照常运给其他程序。如果病毒不发作,宿主程序还能照常运行;当符合某种条件时,病毒便会发作,它将破坏程行;当符合某种条件时,病毒便会发作,它将破坏程序与数据。序与数据。 电子科技大学电子科技大学计算机网络教程计算机网络教程479.8.3 典型网
41、络防病毒软件的应用典型网络防病毒软件的应用 网络防病毒可以从以下两方面入手:一是工作站,二网络防病毒可以从以下两方面入手:一是工作站,二是服务器;是服务器;网络防病毒软件的基本功能是:对文件服务器和工作网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒;由网络管理员负责清除病毒; 网络防病毒软件一般允许用户设置三种扫描方式:实网络防病毒软件一般允许用户设置三种扫描方式:实时扫描、预置扫描与人工扫描;时扫描、预置扫描与人工扫描;一个完整的网络防病毒系统通常由以下几个部分组成:一个完
42、整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。毒软件、针对黑客的防毒软件。 电子科技大学电子科技大学计算机网络教程计算机网络教程489.8.4 网络工作站防病毒方法网络工作站防病毒方法 采用无盘工作站采用无盘工作站使用单机防病毒卡使用单机防病毒卡 使用网络防病毒卡使用网络防病毒卡 电子科技大学电子科技大学计算机网络教程计算机网络教程499.9 网络管理技术网络管理技术 9.9.1 网络管理的基本概念网络管理的基本概念 网络管理涉及以下三个方面网络管理涉及以下三个方面:网络服务提供
43、是指向用户提供新的服务类型、增加网网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能;络设备、提高网络性能;网络维护是指网络性能监控、故障报警、故障诊断、网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复;故障隔离与恢复;网络处理是指网络线路、设备利用率数据的采集、分网络处理是指网络线路、设备利用率数据的采集、分析,以及提高网络利用率的各种控制。析,以及提高网络利用率的各种控制。 电子科技大学电子科技大学计算机网络教程计算机网络教程50网络管理系统的基本结构网络管理系统的基本结构: 管理对象管理对象 管理对象是经过抽象的网络元素,对应于网络中具体管理对象是经过抽象的网
44、络元素,对应于网络中具体可以操作的数据。可以操作的数据。 管理进程管理进程 管理进程是负责对网络设备进行全面的管理与控制的管理进程是负责对网络设备进行全面的管理与控制的软件。软件。管理协议管理协议 管理协议负责在管理系统与被管理对象之间传递与负管理协议负责在管理系统与被管理对象之间传递与负责操作命令。责操作命令。 电子科技大学电子科技大学计算机网络教程计算机网络教程51管理信息库管理信息库管理信息库(管理信息库(MIB)是管理进程的一部分,用于记录是管理进程的一部分,用于记录网络中被管理对象的状态参数值;网络中被管理对象的状态参数值;一个网络的管理系统只能有一个管理信息库,但管理一个网络的管理
45、系统只能有一个管理信息库,但管理信息库可以是集中存储的,也可以由各个网络设备记信息库可以是集中存储的,也可以由各个网络设备记录本地工作参数;录本地工作参数;网络管理员只要查询有关的管理信息库,就可获得有网络管理员只要查询有关的管理信息库,就可获得有关网络设备的工作状态和工作参数;关网络设备的工作状态和工作参数;在网络管理过程中,使网络管理信息库中数据与实际在网络管理过程中,使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种:网络设备的状态、参数保持一致的方法主要有两种:事件驱动与轮询驱动方法。事件驱动与轮询驱动方法。 电子科技大学电子科技大学计算机网络教程计算机网络教程5
46、29.9.2 OSI管理功能域管理功能域 配置管理(配置管理(configuration management)故障管理(故障管理(fault management) 性能管理(性能管理(performance management) 安全管理(安全管理(security management) 记账管理(记账管理(accounting management) 电子科技大学电子科技大学计算机网络教程计算机网络教程539.9.3 简单网络管理协议简单网络管理协议SNMP InternetInternet网络管理模型网络管理模型 电子科技大学电子科技大学计算机网络教程计算机网络教程54SNMP管理
47、模型的结构管理模型的结构 电子科技大学电子科技大学计算机网络教程计算机网络教程559.10 小结小结网网络络安安全全技技术术研研究究的的基基本本问问题题包包括括:网网络络防防攻攻击击、网网络络安安全全漏漏洞洞与与对对策策、网网络络的的信信息息安安全全保保密密、网网络络内内部部安全防范、网络防病毒、网络数据备份与灾难恢复;安全防范、网络防病毒、网络数据备份与灾难恢复; 网网络络安安全全服服务务应应该该提提供供保保密密性性、认认证证、数数据据完完整整性性、防抵赖与访问控制服务;防抵赖与访问控制服务; 制制定定网网络络安安全全策策略略就就是是研研究究造造成成信信息息丢丢失失、系系统统损损坏坏的各种可能,并提出对网络资源与系统的保护方法;的各种可能,并提出对网络资源与系统的保护方法; 防防火火墙墙是是根根据据一一定定的的安安全全规规定定来来检检查查、过过滤滤网网络络之之间间传送的报文分组,以便确定这些报文分组的合法性;传送的报文分组,以便确定这些报文分组的合法性; 网网络络管管理理则则是是指指对对网网络络应应用用系系统统的的管管理理,它它包包括括配配置置管管理理、故故障障管管理理、性性能能管管理理、安安全全管管理理、记记账账管管理理等等部分。部分。
