网络与网络安全

《网络与网络安全》由会员分享，可在线阅读，更多相关《网络与网络安全（139页珍藏版）》请在金锄头文库上搜索。

1、网络管理与网络安全网络管理与网络安全本章主要内容本章主要内容网络管理的目标、内容网络管理的目标、内容网络故障排除、管理方法网络故障排除、管理方法网络安全及实现方法简介网络安全及实现方法简介第七章第七章 网络管理与网络安全网络管理与网络安全本章理论要求本章理论要求 了解：网络管理的五大功能域及网络脆弱性的原因了解：网络管理的五大功能域及网络脆弱性的原因深入了解：数据加密技术及常见的加密算法深入了解：数据加密技术及常见的加密算法掌握：常见的网络管理方法掌握：常见的网络管理方法掌握：防火墙的功能及局限性掌握：防火墙的功能及局限性 运用：网管软件的使用，防火墙配置运用：网管软件的使用，防火墙配置 第七

2、章第七章 网络管理与网络安全网络管理与网络安全WWW.YOUR-COMPANY-URL.COM第七章第七章 网络管理与网络安全网络管理与网络安全本章实训要求本章实训要求防火墙的安装与配置防火墙的安装与配置常见网络安全管理软件的使用常见网络安全管理软件的使用7.1 7.1 网络管理网络管理7.2 7.2 网络安全网络安全7.3 7.3 防火墙技术防火墙技术7.4 7.4 计算机病毒计算机病毒 第七章第七章 网络管理与网络安全网络管理与网络安全7.1.1 7.1.1 网络管理的目标网络管理的目标7.1.2 7.1.2 网络管理的内容网络管理的内容7.1.3 7.1.3 网络故障排除网络故障排除7.

3、1.4 7.1.4 常用的网络管理方法常用的网络管理方法 7.1 7.1 网络管理网络管理 任何事物都是一个矛盾体，计算机网络也不例外。任何事物都是一个矛盾体，计算机网络也不例外。网络只要运行，就会有这样或那样的问题，网络管理网络只要运行，就会有这样或那样的问题，网络管理的质量也会直接影响网络的运行质量。的质量也会直接影响网络的运行质量。7.1 7.1 网络管理网络管理 网络管理是指对通信网上的通信设备及传输系统进行有网络管理是指对通信网上的通信设备及传输系统进行有效的监视、控制、诊断和测试效的监视、控制、诊断和测试 所采用的技术和方法。所采用的技术和方法。也就是指规划、监督、控制网络资源的使

4、用和网络的各也就是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。种活动，以使网络的性能达到最优。网络管理的目的在于提供对计算机网络进行规划、设计网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务。靠、有效和友好的服务。 7.1 7.1 网络管理网络管理 网络管理包含两个任务：网络管理包含两个任务：一是对网络的运行状态进行监测，通过监测了解当前状一是对网络的运行

5、状态进行监测，通过监测了解当前状态是否正常，是否存在瓶颈问题和潜在的危机。态是否正常，是否存在瓶颈问题和潜在的危机。二是对网络的运行状态进行控制，通过控制对网络状态二是对网络的运行状态进行控制，通过控制对网络状态进行合理调节，提高性能，保证服务。监测是控制的前进行合理调节，提高性能，保证服务。监测是控制的前提，控制是监测的结果提，控制是监测的结果。 7.1.17.1.1 网络管理的目标网络管理的目标网络管理的目标是：网络管理的目标是：1 1网络应是可靠的，即减少停机时间，改进响应时间，网络应是可靠的，即减少停机时间，改进响应时间，提高设备利用率。提高设备利用率。2 2网络的经济性，减少运行费用

6、，提高效率。网络的经济性，减少运行费用，提高效率。3 3网络应是有效的，减少网络应是有效的，减少/ /消除网络瓶颈。消除网络瓶颈。4 4适应新技术，现代网络要有综合性，即网络业务不适应新技术，现代网络要有综合性，即网络业务不能单一化。能单一化。 7.1.17.1.1 网络管理的目标网络管理的目标 5 5使网络更容易使用，现代网络要有开放性，即网络使网络更容易使用，现代网络要有开放性，即网络要能够接受多厂商生产的异种设备。要能够接受多厂商生产的异种设备。6 6安全，现代网络要有很高的安全性。安全，现代网络要有很高的安全性。总之，络管理的根本目标是满足运营者及用户对网络的总之，络管理的根本目标是满

7、足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的有效性、可靠性、开放性、综合性、安全性和经济性的要求。要求。7.1.17.1.1 网络管理的目标网络管理的目标国际标准化组织（国际标准化组织（ISOISO）在）在 ISO/IEC 7498-4 ISO/IEC 7498-4 文档中定文档中定义了网络管理的五大功能，并被广泛接受。义了网络管理的五大功能，并被广泛接受。这五大基本功能是：这五大基本功能是：配置管理、配置管理、故障管理、故障管理、性能管理、性能管理、安全管理、安全管理、计费管理。计费管理。7.1.27.1.2 网络管理的内容网络管理的内容1 1配置管理的功能配置管理

8、的功能（1 1）设置并修改与网络组建和）设置并修改与网络组建和OSIOSI层软件有关的参数。层软件有关的参数。（2 2）被管对象和被管对象组名字的管理，将名字与一）被管对象和被管对象组名字的管理，将名字与一个或一组对象联系起来。个或一组对象联系起来。（3 3）初始化、启动和关闭被管理对象。）初始化、启动和关闭被管理对象。7.1.27.1.2 网络管理的内容网络管理的内容2 2故障管理的功能故障管理的功能（1 1）创建、维护故障数据库，并对错误日志进行分析。）创建、维护故障数据库，并对错误日志进行分析。 （2 2）接受错误检测报告并响应。）接受错误检测报告并响应。 （3 3）跟踪并确定错误的位置

9、与性质。）跟踪并确定错误的位置与性质。 7.1.27.1.2 网络管理的内容网络管理的内容7.1.27.1.2 网络管理的内容网络管理的内容3性能管理的功能性能管理的功能（1）收集和传送被管理对象的统计信息，报告网络当前）收集和传送被管理对象的统计信息，报告网络当前的性能。的性能。 （2）维护并检查系统状态日志，以进行分析和计划。）维护并检查系统状态日志，以进行分析和计划。 （3）确定自然和人工状态下系统的性能。）确定自然和人工状态下系统的性能。 （4）形成并调整性能评价标准，根据实际测试值与标准）形成并调整性能评价标准，根据实际测试值与标准值的差异改变系统操作模式，调整网络管理对象的配置，值

10、的差异改变系统操作模式，调整网络管理对象的配置，以进行系统性能管理的操作。以进行系统性能管理的操作。7.1.27.1.2 网络管理的内容网络管理的内容4安全管理的功能安全管理的功能（1）授权机制，控制对网络资源访问的权限。）授权机制，控制对网络资源访问的权限。 （2）访问机制，防止入侵者非法入侵。）访问机制，防止入侵者非法入侵。 （3）加密机制，保证数据的私有性，防止数据被非）加密机制，保证数据的私有性，防止数据被非法获取。法获取。 （4）防火墙机制，阻止外界入侵。）防火墙机制，阻止外界入侵。 （5）维护和检查安全日志。）维护和检查安全日志。7.1.27.1.2 网络管理的内容网络管理的内容5

11、记帐管理（计费管理）记帐管理（计费管理） （1）计费管理的计费方式：按流量计费，按月收）计费管理的计费方式：按流量计费，按月收取月租费，动态设计收费。取月租费，动态设计收费。 （2）控制使用网络资源。）控制使用网络资源。 （3）通知用户有关的费用。）通知用户有关的费用。 （4）对帐号进行管理）对帐号进行管理7.1.37.1.3 网络故障排除网络故障排除网络故障往往与许多因素相关，网络管理人员要认网络故障往往与许多因素相关，网络管理人员要认真学习有关网络技术理论；清楚网络的结构设计，真学习有关网络技术理论；清楚网络的结构设计，包括网络拓朴、设备连接、系统参数设置及软件使包括网络拓朴、设备连接、系

12、统参数设置及软件使用；了解网络正常运行状况、注意收集网络正常运用；了解网络正常运行状况、注意收集网络正常运行时的各种状态和报告输出参数；熟悉常用的诊断行时的各种状态和报告输出参数；熟悉常用的诊断工具，准确的描述故障现象。工具，准确的描述故障现象。7.1.37.1.3 网络故障排除网络故障排除1 网络故障诊断的方法网络故障诊断的方法网络故障诊断从故障现象出发，以网络诊断工具为手网络故障诊断从故障现象出发，以网络诊断工具为手段获取诊断信息，确定网络故障点，查找问题的根源，段获取诊断信息，确定网络故障点，查找问题的根源，排除故障，恢复网络正常运行。网络故障通常有以下排除故障，恢复网络正常运行。网络故

13、障通常有以下几种可能：物理层中物理设备相互连接失败或者硬件几种可能：物理层中物理设备相互连接失败或者硬件及线路本身的问题；及线路本身的问题；7.1.37.1.3 网络故障排除网络故障排除故障排除的一般步骤：故障排除的一般步骤：第一步，当分析网络故障时，首先要清楚故障现象。应该详细说明故障第一步，当分析网络故障时，首先要清楚故障现象。应该详细说明故障的症侯和潜在的原因。的症侯和潜在的原因。第二步，收集需要的用于帮助隔离可能故障原因的信息。第二步，收集需要的用于帮助隔离可能故障原因的信息。第三步，根据收集到的情况考虑可能的故障原因。第三步，根据收集到的情况考虑可能的故障原因。第四步，根据最后的可能

14、的故障原因，建立一个诊断计划。第四步，根据最后的可能的故障原因，建立一个诊断计划。第五步，执行诊断计划，认真做好每一步测试和观察，直到故障症状消第五步，执行诊断计划，认真做好每一步测试和观察，直到故障症状消失。失。第六步，每改变一个参数都要确认其结果。分析结果确定问题是否解决，第六步，每改变一个参数都要确认其结果。分析结果确定问题是否解决，如果没有解决，继续下去，直到解决。如果没有解决，继续下去，直到解决。7.1.37.1.3 网络故障排除网络故障排除2常见的网络故障的现象及解决的办法常见的网络故障的现象及解决的办法【实例实例1】一个一个120台计算机的机房全部机器在启动台计算机的机房全部机器

15、在启动Windows Xp时一直停留在启动画面不能进入系统。时一直停留在启动画面不能进入系统。7.1.37.1.3 网络故障排除网络故障排除维修过程维修过程首先怀疑是计算机病毒的原因，经过首先怀疑是计算机病毒的原因，经过查毒，发现没有问题。测试时发现使用安全模式可查毒，发现没有问题。测试时发现使用安全模式可以进入，但普通模式不能进入。偶然发现机房中有以进入，但普通模式不能进入。偶然发现机房中有2台机器可以进入，把这台机器可以进入，把这2台计算机替换到其它位置台计算机替换到其它位置也出现相同问题，开始怀疑网络问题。也出现相同问题，开始怀疑网络问题。 7.1.3 7.1.3 网络故障排除网络故障排

16、除本机房使用了本机房使用了9个集线器和一个交换机，集线器全个集线器和一个交换机，集线器全部连接到交换机上，交换机连接到校园网。把一个部连接到交换机上，交换机连接到校园网。把一个集线器和交换机的连接线断开，再实验，发现此集集线器和交换机的连接线断开，再实验，发现此集线器连接的计算机工作正常。因此确定故障在交换线器连接的计算机工作正常。因此确定故障在交换机上。机上。7.1.37.1.3 网络故障排除网络故障排除仔细检查交换机，发现交换机和校园网连接的网线仔细检查交换机，发现交换机和校园网连接的网线两头都插在计算机的不同端口上，拔开后整个机房两头都插在计算机的不同端口上，拔开后整个机房恢复正常。原来

17、是上课老师为阻止学生上课时间上恢复正常。原来是上课老师为阻止学生上课时间上网，把外网网线拔掉，顺手插到交换机上，引起网网，把外网网线拔掉，顺手插到交换机上，引起网络全部广播数据包回传，网卡无法完成测试网络状络全部广播数据包回传，网卡无法完成测试网络状态，态，Windows Xp停止在开机画面。停止在开机画面。7.1.37.1.3 网络故障排除网络故障排除【实例实例2】一台局域网中的计算机，可以通过局域一台局域网中的计算机，可以通过局域网访问因特网，也可以看到网上邻居，但是其它计网访问因特网，也可以看到网上邻居，但是其它计算机在网上邻居不能看到此计算机，机房管理系统算机在网上邻居不能看到此计算机

18、，机房管理系统也不能管理此机器。也不能管理此机器。7.1.37.1.3 网络故障排除网络故障排除【实例实例2】维修过程维修过程能上网，说明网络连通和能上网，说明网络连通和TCP/IP没没有问题，有问题，ping不通又说明不通又说明TCP/IP有问题。打开网络有问题。打开网络属性的属性的IP配置，检查网卡的配置，检查网卡的IP地址配置没有错误。地址配置没有错误。无意打开了无意打开了“拨号网络适配器拨号网络适配器”的的TCP/IP属性，属性，发现已设置了固定发现已设置了固定IP地址，将此地址，将此IP地址设置为地址设置为“自自动获得动获得IP地址地址”后，机器恢复正常。后，机器恢复正常。7.1.3

19、7.1.3 网络故障排除网络故障排除【实例实例3】局域网中的计算机局域网中的计算机IP地址测试全部正常，地址测试全部正常，但不能访问因特网。但不能访问因特网。维修过程维修过程此计算机通过代理服务器上网，打开此计算机通过代理服务器上网，打开IE的的“Internet选项选项”中的连接属性，发现选中的中的连接属性，发现选中的连接为一个拨号连接，没有设置代理服务器。原来，连接为一个拨号连接，没有设置代理服务器。原来，此计算机是原先通过拨号上网的，加入局域网后只此计算机是原先通过拨号上网的，加入局域网后只修改了修改了IP地址，但没有在地址，但没有在IE中设置代理服务器。安中设置代理服务器。安装代理服务

20、器的客户端软件后正常。装代理服务器的客户端软件后正常。7.1.37.1.3 网络故障排除网络故障排除【实例实例4】一台拨号上网的计算机，拨号网络连接一台拨号上网的计算机，拨号网络连接正常，可以看到连通后任务栏上的两个计算机的小正常，可以看到连通后任务栏上的两个计算机的小图标，但使用图标，但使用IE不能打开任何网页。不能打开任何网页。7.1.37.1.3 网络故障排除网络故障排除维修过程维修过程因为拨号连接正常，所以先怀疑因为拨号连接正常，所以先怀疑ISP问问题，经咨询和与邻居计算机比较，排除题，经咨询和与邻居计算机比较，排除ISP不正常。不正常。又重新安装系统和又重新安装系统和IE，还更换了一

21、个，还更换了一个Modem，有时，有时可以打开网页，但还是不正常。偶然，用户说最近可以打开网页，但还是不正常。偶然，用户说最近电信局重新调整了电话线路，赶紧打开室外的接线电信局重新调整了电话线路，赶紧打开室外的接线盒，发现固定螺丝松拖，上紧后故障排除。原来，盒，发现固定螺丝松拖，上紧后故障排除。原来，线路质量不好，对正常打电话影响不大，但数据传线路质量不好，对正常打电话影响不大，但数据传输会出现大量丢包，造成无法浏览。输会出现大量丢包，造成无法浏览。7.1.37.1.3 网络故障排除网络故障排除【实例实例5】所有连接到光纤连接网段上的工作站网络所有连接到光纤连接网段上的工作站网络速度变慢。速度

22、变慢。维修过程维修过程在正常的网络使用时，将网络测试仪在正常的网络使用时，将网络测试仪连接到集线器，在光纤连接的两端产生流量，测试连接到集线器，在光纤连接的两端产生流量，测试每端正常状况。在某一时刻断开或接上光纤，每当每端正常状况。在某一时刻断开或接上光纤，每当光纤联入网段时，就会观察到大量的错误帧。光纤联入网段时，就会观察到大量的错误帧。7.1.37.1.3 网络故障排除网络故障排除因为劣质的光纤链路连接会在其附属的网段中产生因为劣质的光纤链路连接会在其附属的网段中产生大量垃圾帧，迫使工作站重发帧，网络速度变慢。大量垃圾帧，迫使工作站重发帧，网络速度变慢。清洁或重新安装好光纤连接器，复位所有

23、的连接器，清洁或重新安装好光纤连接器，复位所有的连接器，再次检查网络健康状况，此时只有很少的错误帧，再次检查网络健康状况，此时只有很少的错误帧，网络工作正常。网络工作正常。7.1.37.1.3 网络故障排除网络故障排除【实例实例6】校园网访问外部网络速度极慢，有时甚至校园网访问外部网络速度极慢，有时甚至完全中断。内部网络访问正常。完全中断。内部网络访问正常。维修过程维修过程ping外部网络，发现有大量的丢包，外部网络，发现有大量的丢包，但一直可以连通。经监控，发现有大流量数据包通但一直可以连通。经监控，发现有大流量数据包通过校园网流向外网，而正常情况下，校园网向外的过校园网流向外网，而正常情况

24、下，校园网向外的流量相对较小，判断内部网络有问题。流量相对较小，判断内部网络有问题。7.1.37.1.3 网络故障排除网络故障排除本网络出口没有安全网关，临时在网络出口串连一本网络出口没有安全网关，临时在网络出口串连一个共享式集线器，将连接外网的光电转换器和连接个共享式集线器，将连接外网的光电转换器和连接内网核心交换机的双绞线都接到此集线器上，在集内网核心交换机的双绞线都接到此集线器上，在集线器一个端口连接一台计算机，安装网络检测软件线器一个端口连接一台计算机，安装网络检测软件snaffer，此软件可以检测本地网络的各个地址的流，此软件可以检测本地网络的各个地址的流量情况。检测发现，局域网中有

25、一个量情况。检测发现，局域网中有一个IP地址发出将地址发出将近近60M的数据流量，完全把网络出口堵塞。的数据流量，完全把网络出口堵塞。7.1.37.1.3 网络故障排除网络故障排除检查这个检查这个IP的计算机，原来此机器安装了的计算机，原来此机器安装了SQL Server，但没有升级，但没有升级Microsoft的补丁程序，被感染的补丁程序，被感染了利用了利用SQL Server漏洞向网络发布数据包的病毒，漏洞向网络发布数据包的病毒，进行安全处理后，系统恢复正常。进行安全处理后，系统恢复正常。7.1.37.1.3 网络故障排除网络故障排除【实例实例7】一台计算机，网络配置正常，但不能连通一台计

26、算机，网络配置正常，但不能连通网络。网络。维修过程维修过程本机通过信息插座和局域网连接，经本机通过信息插座和局域网连接，经确认网络配置和网卡没有问题后，怀疑是连接计算确认网络配置和网卡没有问题后，怀疑是连接计算机和信息插座的网线问题。把此网线换到其它计算机和信息插座的网线问题。把此网线换到其它计算机上，工作正常。又怀疑信息插座到交换机的线路机上，工作正常。又怀疑信息插座到交换机的线路问题，经检测也没有问题，至此陷入没有头绪之中。问题，经检测也没有问题，至此陷入没有头绪之中。7.1.37.1.3 网络故障排除网络故障排除无意使用测线仪再测网线，发现无意使用测线仪再测网线，发现3线有时不通，仔细线

27、有时不通，仔细检查，原来检查，原来3线在制作网线时被网线钳已经快要压断，线在制作网线时被网线钳已经快要压断，使用网线时，因为曲折的原因，这条线偶然会通。使用网线时，因为曲折的原因，这条线偶然会通。重新做网线故障排除。重新做网线故障排除。7.1.37.1.3 网络故障排除网络故障排除使用网线钳剥双绞线的外皮时，非常容易出现这种使用网线钳剥双绞线的外皮时，非常容易出现这种现象，有些线被压得快要断开，但还能使用，长时现象，有些线被压得快要断开，但还能使用，长时间使用后会引起网络不通的故障。本人已遇到多起间使用后会引起网络不通的故障。本人已遇到多起这种故障，所以制作网线时一定要仔细检查，不能这种故障，

28、所以制作网线时一定要仔细检查，不能做完后测通了事。做完后测通了事。 7.1.37.1.3 网络故障排除网络故障排除【实例实例8】计算机无法浏览计算机无法浏览Internet，E-mail服务器服务器无法对外发送和接收邮件。无法对外发送和接收邮件。维修过程维修过程Tracert某域名，马上被告之失败，但某域名，马上被告之失败，但Tracert其其IP地址又是正常的。这说明地址又是正常的。这说明DNS有问题，有问题，检查检查DNS服务器，原来是杀毒软件发现病毒，自动服务器，原来是杀毒软件发现病毒，自动弹出报警窗口，引起系统资源全部被占用，服务停弹出报警窗口，引起系统资源全部被占用，服务停止。查杀病

29、毒后系统恢复正常。止。查杀病毒后系统恢复正常。7.1.37.1.3 网络故障排除网络故障排除【实例实例9】Windows98网上邻居中找不到域服务器，但网上邻居中找不到域服务器，但可找到其他的上网工作站。可找到其他的上网工作站。维修过程维修过程在网上邻居中虽然找不到服务器，但是通在网上邻居中虽然找不到服务器，但是通过过“开始开始”菜单中的计算机菜单中的计算机“查找查找”项来查寻服务器的项来查寻服务器的计算机名，却可以找到，此时打开资源管理器可以对服计算机名，却可以找到，此时打开资源管理器可以对服务器上的共享资源进行操作。使用务器上的共享资源进行操作。使用“控制面板控制面板”“网网络络”“Mic

30、rosoft网络客户网络客户”打开网络客户属性，将打开网络客户属性，将“网络登录网络登录”改为快速登录后机器工作正常。改为快速登录后机器工作正常。7.1.37.1.3 网络故障排除网络故障排除【实例实例10】一个网吧的部分计算机不能连网。一个网吧的部分计算机不能连网。维修过程维修过程经检查，这些计算机都连接在同一个经检查，这些计算机都连接在同一个集线器上，因此判断与此集线器相关的系统有问题。集线器上，因此判断与此集线器相关的系统有问题。首先检查此集线器与其它集线器的级联网线，结果首先检查此集线器与其它集线器的级联网线，结果网线良好。更换集线器，网络正常，断定集线器有网线良好。更换集线器，网络正

31、常，断定集线器有问题，打开外壳，其中的一个芯片已经出现涨包。问题，打开外壳，其中的一个芯片已经出现涨包。7.1.37.1.3 网络故障排除网络故障排除【实例实例11】一个大型计算机房，大量计算机出现一个大型计算机房，大量计算机出现“本机的计算机名已经被使用本机的计算机名已经被使用”、“IP地址冲突地址冲突”等等提示。提示。维修过程维修过程此机房使用网络复制安装系统，因为此机房使用网络复制安装系统，因为安装了保护卡，后来手工修改计算机名和安装了保护卡，后来手工修改计算机名和IP地址时，地址时，有些机器忘记取消保护。有些机器忘记取消保护。7.1.37.1.3 网络故障排除网络故障排除由于机房较大，

32、查找发生冲突的计算机有些困难，由于机房较大，查找发生冲突的计算机有些困难，这时注意出现冲突提示时，会同时出现发生冲突的这时注意出现冲突提示时，会同时出现发生冲突的计算机的网卡的计算机的网卡的MAC地址。利用这些地址。利用这些MAC地址，可地址，可以很容易找到冲突的机器。建议机房管理人员最好以很容易找到冲突的机器。建议机房管理人员最好事先把所有计算机的事先把所有计算机的MAC地址先统计一遍，对以后地址先统计一遍，对以后查找网络故障和配置安全机制十分有用查找网络故障和配置安全机制十分有用。7.1.37.1.3 网络故障排除网络故障排除网络故障成千上万，这里举的是一些常见故障，希网络故障成千上万，这

33、里举的是一些常见故障，希望大家能够举一反三，多实践，多积累，多总结，望大家能够举一反三，多实践，多积累，多总结，增长自己的处理问题的实际能力增长自己的处理问题的实际能力。7.1.47.1.4 常用网络管理方法常用网络管理方法1网络管理方法的演变网络管理方法的演变 （1）最早基于）最早基于ICMP的网络管理的网络管理通过电信网直接访问被管理的设备或者使用简单的通过电信网直接访问被管理的设备或者使用简单的互联网控制信息协议（互联网控制信息协议（ICMP）来实现的。随后出现）来实现的。随后出现了北欧广泛采用的了北欧广泛采用的TL 1（Transaction Language 1），），基于基于ASC

34、II的网络管理协议。的网络管理协议。7.1.47.1.4 常用网络管理方法常用网络管理方法该协议主要用于大型电信设备的管理，所有管理信该协议主要用于大型电信设备的管理，所有管理信息都采用纯息都采用纯ASCII文本表示，其特点是简单、易读、文本表示，其特点是简单、易读、易开发和使用，但智能化程度较差。随着易开发和使用，但智能化程度较差。随着TCPIP协议及其网络的快速发展，出现了简单网络管理协协议及其网络的快速发展，出现了简单网络管理协议（议（SNMP）。）。7.1.47.1.4 常用网络管理方法常用网络管理方法它是一种基于轮询的通信协议，由于该协议在代理它是一种基于轮询的通信协议，由于该协议在

35、代理侧的开销很小，因此功能有限，但其简单易用的特侧的开销很小，因此功能有限，但其简单易用的特点却得到了许多网络设备厂商的支持，已成为计算点却得到了许多网络设备厂商的支持，已成为计算机网络管理流行的行业标准。机网络管理流行的行业标准。ITU制定的通用管理信制定的通用管理信息协议（息协议（CMIP）主要应用在电信网络管理中，实现）主要应用在电信网络管理中，实现了管理者与代理的互联和互操作。了管理者与代理的互联和互操作。CMIP提供了一种提供了一种紧耦合紧耦合的管理控制，具有许多管理功能。的管理控制，具有许多管理功能。7.1.47.1.4 常用网络管理方法常用网络管理方法（2）TMN框架下的网络管理

36、框架下的网络管理为了提供完整的网络管理解决方案，尤其是针对多为了提供完整的网络管理解决方案，尤其是针对多厂商的混合网络的环境下，如何实现电信网络管理厂商的混合网络的环境下，如何实现电信网络管理的目标？的目标？ITUT在在M3010建议中提出了建议中提出了TMN的概的概念和体系结构。念和体系结构。TMN提供了有组织的网络结构，供提供了有组织的网络结构，供各种类型的操作系统（各种类型的操作系统（OS）之间、操作系统与电信）之间、操作系统与电信设备之间的互联。设备之间的互联。7.1.47.1.4 常用网络管理方法常用网络管理方法TMN是采用商定的、具有标准协议和信息接口、进是采用商定的、具有标准协议

37、和信息接口、进行信息交换的体系结构。行信息交换的体系结构。TMN的体系结构可用于支的体系结构可用于支撑电信网和电信业务的组织、规划、配置、安装、操撑电信网和电信业务的组织、规划、配置、安装、操作、运作、运 营和维护。营和维护。TMN为电信网络及电信业务提供为电信网络及电信业务提供性能管理、配置管理、账务管理、故障管理和安全管性能管理、配置管理、账务管理、故障管理和安全管理等理等5种主要管理功能。种主要管理功能。TMN有有Qx、Q3、X、F4种接种接口，目前的标准化主要集中在口，目前的标准化主要集中在Q3接口上。接口上。7.1.47.1.4 常用网络管理方法常用网络管理方法众所周知，开放系统互联

38、（众所周知，开放系统互联（ISI）参考模型是完整地）参考模型是完整地反映系统互联的技术产物，它不仅引导了计算机网反映系统互联的技术产物，它不仅引导了计算机网络的发展，也推动了整个电信网络的发展。络的发展，也推动了整个电信网络的发展。Q3接口接口协议就是基于协议就是基于OSI设计的，设计的，Q3接口涵盖了整个接口涵盖了整个OSI的的7层模型。层模型。7.1.47.1.4 常用网络管理方法常用网络管理方法Q3接口应用层接口应用层CMIP适用于交互操作和少量数据传适用于交互操作和少量数据传送，对于大量数据文件的传送以采用文件传送访问送，对于大量数据文件的传送以采用文件传送访问管理（管理（FTAM）协

39、议为宜。这里需要指出的）协议为宜。这里需要指出的Q3是是TMN的一项重要接口，但的一项重要接口，但Q3不等于就是不等于就是TMN。TMN是一种开放式的网络结构，也是一个提供管理是一种开放式的网络结构，也是一个提供管理型业务的专业网。型业务的专业网。TMN提供了软件重用机制及网络提供了软件重用机制及网络管理系统平滑过渡的有效技术手段。在管理系统平滑过渡的有效技术手段。在TMN的框架的框架下，将进一步规划网络管理的发展。下，将进一步规划网络管理的发展。7.1.47.1.4 常用网络管理方法常用网络管理方法（3）基于）基于SLM的网络管理的网络管理近年来，公司网络已不仅仅限于集线器、交换机和近年来，

40、公司网络已不仅仅限于集线器、交换机和路由器等一些设备路由器等一些设备还逐步融入了企业资源规划还逐步融入了企业资源规划（ERP）和客户关系管理（）和客户关系管理（CRM）系统。电子商务）系统。电子商务在公司网络上的应用与增长，使核心服务器及在公司网络上的应用与增长，使核心服务器及Internet上的业务量不断增加。公司网络的一些重要上的业务量不断增加。公司网络的一些重要应用需要网络的高可靠与可伸缩。应用需要网络的高可靠与可伸缩。7.1.47.1.4 常用网络管理方法常用网络管理方法SLM可以使网络管理人员评估其网络的花费和管理可以使网络管理人员评估其网络的花费和管理对客户有影响的业务及应用。对客

41、户有影响的业务及应用。SLM涵盖了应用服务涵盖了应用服务管理和网络服务管理；可为企业提供虚拟专用网管理和网络服务管理；可为企业提供虚拟专用网（VPN）管理。）管理。SLM不是不是SNMP、RMON的替代，的替代，而是新的发展。网络管理者采用了而是新的发展。网络管理者采用了SLM将能更优化将能更优化地为客户和一些重要、关键的应用服务。地为客户和一些重要、关键的应用服务。7.1.47.1.4 常用网络管理方法常用网络管理方法2几种新的公司网络的网络管理解决方案几种新的公司网络的网络管理解决方案在网络管理协议中，我们是一定要知道在网络管理协议中，我们是一定要知道SNMP这个网络这个网络管理协议的。管

42、理协议的。SNMP是简单网络管理协议是简单网络管理协议(Simple Network Management Protocol)的缩写的缩写,它的突出优点就它的突出优点就是使用简单，消耗系统资源较少。是使用简单，消耗系统资源较少。7.1.47.1.4 常用网络管理方法常用网络管理方法SNMP的基本功能包括监视网络性能、检测分析网的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。如果网络工作正常，那络差错和配置网络设备等。如果网络工作正常，那么可以利用么可以利用SNMP实现统计、配置和测试等功能。实现统计、配置和测试等功能。如果网络出现故障，那么可以通过错误报告实现错如果网络出现故障，

43、那么可以通过错误报告实现错误检测和恢复功能。误检测和恢复功能。7.1.47.1.4 常用网络管理方法常用网络管理方法 目前大多数网络管理软件产品都支持目前大多数网络管理软件产品都支持SNMP标准，标准，但能提供但能提供SNMP管理者的产品并不多管理者的产品并不多,大多数只是作大多数只是作为网络管理的代理。常见的能作为网络管理者运行为网络管理的代理。常见的能作为网络管理者运行的网络管理软件有：的网络管理软件有：HP公司的公司的HP Open View ,Cisco公司的公司的Cisco Works和和SUN公司的公司的SunNet Manager等。等。7.1.47.1.4 常用网络管理方法常用

44、网络管理方法SunNet Manager是基于是基于Unix平台的网络管理软件系平台的网络管理软件系统，它能实现分布式网络管理与检测。它的委托代统，它能实现分布式网络管理与检测。它的委托代理理(Proxy Agent)和协同控制核心和协同控制核心(Cooperative Console)充分体现了它的分布性。充分体现了它的分布性。 （1）SunNet Manager(SUN公司开发公司开发)7.1.47.1.4 常用网络管理方法常用网络管理方法2. HP OpenView（HP公司开发）公司开发）HP OpenView是第一个真正兼容的、跨平台的网络是第一个真正兼容的、跨平台的网络管理系统，它

45、可在多个厂家的硬件平台和操作系统管理系统，它可在多个厂家的硬件平台和操作系统上运行，如上运行，如HP9000、IBM RS/6000、SUN SPARC和和Windows NT等，已经得到了最广泛的市场应用和第等，已经得到了最广泛的市场应用和第三方应用系统开发商的接受与支持。三方应用系统开发商的接受与支持。7.1.47.1.4 常用网络管理方法常用网络管理方法HP OpenView的主要功能与特点包括：的主要功能与特点包括：（1）自动发现网络拓扑）自动发现网络拓扑（2）性能和吞吐量分析）性能和吞吐量分析（3）历史数据分析）历史数据分析（4）可扩展性强）可扩展性强（5）多厂商支持）多厂商支持7.

46、27.2 网络安全网络安全7.2.1 网络安全概述网络安全概述7.2.2 计算机网络面临的安全性威胁计算机网络面临的安全性威胁7.2.3 网络的不安全因素网络的不安全因素7.2.4 数据加密技术数据加密技术7.2.5 网络安全协议网络安全协议 7.27.2 网络安全网络安全 随着人类社会生活对随着人类社会生活对Internet需求的日益增长，网络需求的日益增长，网络安全逐渐成为各项网络服务和应用进一步发展的关键问安全逐渐成为各项网络服务和应用进一步发展的关键问题，特别是题，特别是Internet商用化后，通过商用化后，通过Internet进行的各种进行的各种电子商务业务日益增多，加之电子商务业

47、务日益增多，加之Internet/Intranet技术日技术日趋成熟，很多组织和企业都建立了自己的内部网络并将趋成熟，很多组织和企业都建立了自己的内部网络并将之与之与Internet联通。电子商务应用和企业网络中的商业联通。电子商务应用和企业网络中的商业秘密成为攻击者的主要目标。秘密成为攻击者的主要目标。7.2.17.2.1 网络安全概述网络安全概述网络安全问题是目前网络管理中最重要的问题，这是一网络安全问题是目前网络管理中最重要的问题，这是一个很复杂的问题，不仅是技术的问题，还涉及人的心理个很复杂的问题，不仅是技术的问题，还涉及人的心理、社会环境以及法律等多方面的内容。、社会环境以及法律等多

48、方面的内容。7.2.17.2.1 网络安全概述网络安全概述1网络安全的定义网络安全的定义网络安全从其本质上来讲就是网络上的信息安全，是指网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断统连续可靠正常地运行，网络服务不中断。7.2.17.2.1 网络安全概述网络安全概述 为了帮助用户区分和解决计算机网络的安全问题，美为了帮助用户区分和解决计算机网络的安全问题，美国国防部制

49、订了国国防部制订了“可信计算机系统标准评估准则可信计算机系统标准评估准则”（习（习惯称为惯称为“桔黄皮书桔黄皮书”），将多用户计算机系统的安全级），将多用户计算机系统的安全级别从低到高划分为四类七级，即别从低到高划分为四类七级，即D1C1C2B1B2B3A1。7.2.17.2.1 网络安全概述网络安全概述 D1级是不具备最低安全限度的等级，如级是不具备最低安全限度的等级，如DOS、Windows3.X系统；系统；C1是具备最低安全限度的等级，如是具备最低安全限度的等级，如Windows95/98；C2级是具备基本保护能力的等级，可级是具备基本保护能力的等级，可以满足一般应用的安全要求，一般的网

50、络操作系统如以满足一般应用的安全要求，一般的网络操作系统如Windows2000/NT、Netware基本上属于这一等级。基本上属于这一等级。7.2.17.2.1 网络安全概述网络安全概述 B1级和级和B2级是具有中等安全保护能力的等级，基本级是具有中等安全保护能力的等级，基本可以满足一般的重要应用的安全要求；可以满足一般的重要应用的安全要求；B3级和级和A1级属级属于最高安全等级，只有极其重要的应用才需要使用。于最高安全等级，只有极其重要的应用才需要使用。 7.2.17.2.1 网络安全概述网络安全概述3.安全策略安全策略（1）威严的法律）威严的法律（2）先进的技术）先进的技术（3）严格的管

51、理）严格的管理7.2.27.2.2 计算机网络面临的安全性威胁计算机网络面临的安全性威胁计算机网络上的通信面临以下的四种威胁：计算机网络上的通信面临以下的四种威胁：1.截获截获从网络上窃听他人的通信内容；从网络上窃听他人的通信内容；2.中断中断有意中断他人在网络上的通信；有意中断他人在网络上的通信；3.篡改篡改故意篡改网络上传送的报文；故意篡改网络上传送的报文；4.伪造伪造伪造信息在网络上传送伪造信息在网络上传送。WWW.YOUR-COMPANY-URL.COM7.2.27.2.2 计算机网络面临的安全性威胁计算机网络面临的安全性威胁截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源截获

52、信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。各种攻击所发生的时间段可用图的攻击称为主动攻击。各种攻击所发生的时间段可用图7 7表示。表示。7.2.37.2.3 网络的不安全性因素网络的不安全性因素网络不安全的原因是多方面的，涉及到平台的各个方面网络不安全的原因是多方面的，涉及到平台的各个方面,按按照网络照网络OSI的七层模型，网络安全贯穿于网络的各个层次。的七层模型，网络安全贯穿于网络的各个层次。7.2.37.2.3 网络的不安全性因素网络的不安全性因素1.物理层物理层物理安全策略的目的是保护计算机系统、网络服务器、打物理安全策略的目的是保护计算机系统、网络服务器、

53、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作线攻击；验证用户的身份和使用权限、防止用户越权操作等等7.2.37.2.3 网络的不安全性因素网络的不安全性因素2.链路层链路层链路层的网络安全需要保证通过网络链路传送的数据不被链路层的网络安全需要保证通过网络链路传送的数据不被窃听，主要采用划分窃听，主要采用划分VLAN(局域网局域网)、加密通信、加密通信(远程网远程网)等等手段。手段。7.2.37.2.3 网络的不安全性因素网络的不安全性因素3.网络层网络层网络层的安全需要保证网络只给授权的

54、客户提供授权的服网络层的安全需要保证网络只给授权的客户提供授权的服务，保证网络路由正确，避免被拦截或监听，设置防火墙。务，保证网络路由正确，避免被拦截或监听，设置防火墙。7.2.37.2.3 网络的不安全性因素网络的不安全性因素4.操作系统操作系统操作系统安全指保证客户资料、操作系统访问控制的安全，操作系统安全指保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。同时能够对该操作系统上的应用进行审计。7.2.37.2.3 网络的不安全性因素网络的不安全性因素5.应用平台应用平台应用平台指建立在网络系统之上的应用软件服务，如数据应用平台指建立在网络系统之上的应用软件服务，

55、如数据库服务器、电子邮件服务器、库服务器、电子邮件服务器、Web服务器等，由于应用平服务器等，由于应用平台的系统非常复杂，通常采用多种技术台的系统非常复杂，通常采用多种技术(如如SSL等等)来增强来增强应用平台的安全性应用平台的安全性。 7.2.37.2.3 网络的不安全性因素网络的不安全性因素6.应用系统应用系统应用系统完成网络系统的最终目的应用系统完成网络系统的最终目的为用户服务。为用户服务。应用系统通过应用平台提供的安全服务来保证基本安应用系统通过应用平台提供的安全服务来保证基本安全，如通信内容安全、通信双方的认证、审计等。全，如通信内容安全、通信双方的认证、审计等。 7.2.47.2.

56、4 数据加密技术数据加密技术 数据加密技术就是对信息进行重新编码，从而达数据加密技术就是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取信息真实内容到隐藏信息内容，使非法用户无法获取信息真实内容的一种技术手段。它不仅用于对网的一种技术手段。它不仅用于对网上传送数据的加上传送数据的加解密，而且还在用户鉴定、数字签名、签名验证等方解密，而且还在用户鉴定、数字签名、签名验证等方面起关键作用。面起关键作用。7.2.47.2.4 数据加密技术数据加密技术加密的基本思想是改变数据排列方式，以掩盖其信息加密的基本思想是改变数据排列方式，以掩盖其信息含义，使得只有合法的接收方才能读懂含义，使得只有

57、合法的接收方才能读懂。7.2.47.2.4 数据加密技术数据加密技术数据加密技术通常使用一组密码与被加密的数据进行数据加密技术通常使用一组密码与被加密的数据进行混合运算。未加密的数据称为明文，将明文映射成不混合运算。未加密的数据称为明文，将明文映射成不可读、但仍不失其原信息的密文的过程称为加密，而可读、但仍不失其原信息的密文的过程称为加密，而相反过程即为解密。根据密钥的特点不同，数据加密相反过程即为解密。根据密钥的特点不同，数据加密技术分为两大类：对称密钥加密和非对称密钥加密。技术分为两大类：对称密钥加密和非对称密钥加密。7.2.47.2.4 数据加密技术数据加密技术1对称密钥加密对称密钥加密

58、消息发送方和消息接收方必须使用相同的密钥，该密消息发送方和消息接收方必须使用相同的密钥，该密钥必须保密。钥必须保密。常见的有：常见的有： 古代的凯撒密码和现代的古代的凯撒密码和现代的DES，AES等。等。7.2.47.2.4 数据加密技术数据加密技术对称密钥加密特点是加密方法的安全性依赖于密钥的对称密钥加密特点是加密方法的安全性依赖于密钥的秘密性。秘密性。如何将对称密钥从发送方传给接收方如何将对称密钥从发送方传给接收方,是对称密钥机制是对称密钥机制自身无法解决的问题，是其发展的一大瓶颈。自身无法解决的问题，是其发展的一大瓶颈。7.2.47.2.4 数据加密技术数据加密技术对称密钥加密优点是加密

59、解密速度较快，缺点是密钥对称密钥加密优点是加密解密速度较快，缺点是密钥的分发和管理非常复杂、代价高昂。假设有的分发和管理非常复杂、代价高昂。假设有n个用户的个用户的网络，则需要网络，则需要n(n1)/2个密钥，对于用户数目很大的个密钥，对于用户数目很大的大型网络，密钥的分配和保存就成了很大的问题。其大型网络，密钥的分配和保存就成了很大的问题。其加密和解密的过程可图加密和解密的过程可图7-1表示表示。WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术7.2.47.2.4 数据加密技术数据加密技术20世纪世纪70年代中期，出现了公共密钥技术，又称非对年代中期，出现了公共密钥技

60、术，又称非对称密钥体制。它给每个用户分配一对密钥一个是私有称密钥体制。它给每个用户分配一对密钥一个是私有密钥，另一个是公共密钥。密钥，另一个是公共密钥。7.2.47.2.4 数据加密技术数据加密技术一对密钥的含义是：用公共密钥加密的消息只有使用一对密钥的含义是：用公共密钥加密的消息只有使用相应的私有密钥才能解密；同样，用私有密钥加密的相应的私有密钥才能解密；同样，用私有密钥加密的消息也只有相应的公共密钥才能解密。消息也只有相应的公共密钥才能解密。7.2.47.2.4 数据加密技术数据加密技术只要消息发送方使用消息接收方的公共密钥来加密待只要消息发送方使用消息接收方的公共密钥来加密待发消息，就只

61、有消息接收方才能够读懂该消息，因为发消息，就只有消息接收方才能够读懂该消息，因为要解密必须要知道接收方的私有密钥。要解密必须要知道接收方的私有密钥。常见的非对称密钥体制是常见的非对称密钥体制是RSA。WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术7.2.47.2.4 数据加密技术数据加密技术加密明文可使用收件人的公用密钥，然后使用收件人加密明文可使用收件人的公用密钥，然后使用收件人的私人密钥解密密文，这将保证只有指定的收件人的私人密钥解密密文，这将保证只有指定的收件人(假假设他是收件人密钥的唯一拥有者设他是收件人密钥的唯一拥有者)才能解密密文。才能解密密文。加密明文也

62、可使用发件人的私人密钥进行加密，并使加密明文也可使用发件人的私人密钥进行加密，并使用发件人的公开密钥解密。这种方法为数字签名提供用发件人的公开密钥解密。这种方法为数字签名提供了基础。了基础。7.2.47.2.4 数据加密技术数据加密技术3数字信封数字信封对需传送的信息（如电子合同、支付指令）的采用速对需传送的信息（如电子合同、支付指令）的采用速度较快的私有密钥（对称密钥）加密法；但密钥不先度较快的私有密钥（对称密钥）加密法；但密钥不先由双方约定，而是在加密前由发送方随机产生；用私由双方约定，而是在加密前由发送方随机产生；用私有密钥有密钥P对信息进行加密，形成密文对信息进行加密，形成密文M，传送

63、给接受方。，传送给接受方。7.2.47.2.4 数据加密技术数据加密技术将刚才生成的较短的私有密钥将刚才生成的较短的私有密钥P利用接受方的公开密钥利用接受方的公开密钥进行加密，形成私有密钥进行加密，形成私有密钥P密文，定点发送给接受方。密文，定点发送给接受方。可以断定只有接受方能解密。可以断定只有接受方能解密。7.2.47.2.4 数据加密技术数据加密技术接受方收到发送方传来的私有密钥接受方收到发送方传来的私有密钥P的密文后，用自己的密文后，用自己的私人密钥解密，取出私有密钥的私人密钥解密，取出私有密钥P。用私有密钥。用私有密钥P对原对原来收到的信息密文来收到的信息密文M进行解密，得到信息明文

64、。这就进行解密，得到信息明文。这就好比用安全的好比用安全的“信封信封”把私有密钥把私有密钥P封装起来，所以称封装起来，所以称作数字信封（封装的是里面的对称密钥）。作数字信封（封装的是里面的对称密钥）。7.2.47.2.4 数据加密技术数据加密技术其实现原理可用图其实现原理可用图7-4表示表示：7.2.47.2.4 数据加密技术数据加密技术4数字签名数字签名数字签名是目前实现认证的一种重要工具，它在身份数字签名是目前实现认证的一种重要工具，它在身份认证、数据完整性的鉴别及不可否认性等方面有着重认证、数据完整性的鉴别及不可否认性等方面有着重要的应用。要的应用。7.2.47.2.4 数据加密技术数据

65、加密技术数字签名必须保证以下三点：数字签名必须保证以下三点：（1）接收者能够核实发送者对报文的签名；）接收者能够核实发送者对报文的签名；（2）发送者事后不能抵赖对报文的签名；）发送者事后不能抵赖对报文的签名；（3）接收者不能伪造对报文的签名。）接收者不能伪造对报文的签名。WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术7.2.47.2.4 数据加密技术数据加密技术 这可以实现防止抵赖，因签名能用这可以实现防止抵赖，因签名能用A的签名公钥解密，的签名公钥解密，说明是用说明是用A的签名私钥加密的，而的签名私钥加密的，而A的签名私钥只有的签名私钥只有A拥有，拥有，所有所有A不

66、能抵赖他的签名。如何用非对称密码体制实现完不能抵赖他的签名。如何用非对称密码体制实现完整性的鉴别呢？保证数据的完整性，即防篡改。其实篡改整性的鉴别呢？保证数据的完整性，即防篡改。其实篡改是很难防的，几乎防不了，我们能做的是被篡改了能及时是很难防的，几乎防不了，我们能做的是被篡改了能及时发现，然后让对方重传数据。图发现，然后让对方重传数据。图7表示了该思想。表示了该思想。WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术7.2.47.2.4 数据加密技术数据加密技术其传送过程如下：其传送过程如下：（1）

67、甲准备好要传送的数字信息（明文）。）甲准备好要传送的数字信息（明文）。（2）甲对数字信息进行哈希（）甲对数字信息进行哈希（hash）运算，得到）运算，得到一个信息摘要。一个信息摘要。（3）甲用自己的私钥（）甲用自己的私钥（SK）对信息摘要进行加密）对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上。得到甲的数字签名，并将其附在数字信息上。7.2.47.2.4 数据加密技术数据加密技术（4）甲随机产生一个加密密钥（）甲随机产生一个加密密钥（DES密钥），并用此密密钥），并用此密钥对要发送的信息进行加密，形成密文。钥对要发送的信息进行加密，形成密文。（5）甲用乙的公钥（）甲用乙的公钥（PK）

68、对刚才随机产生的加密密钥进）对刚才随机产生的加密密钥进行加密，将加密后的行加密，将加密后的DES密钥连同密文一起传送给乙。密钥连同密文一起传送给乙。（6）乙收到甲传送过来的密文和加过密的）乙收到甲传送过来的密文和加过密的DES密钥，先密钥，先用自己的私钥（用自己的私钥（SK）对加密的）对加密的DES密钥进行解密，得到密钥进行解密，得到DES密钥。密钥。7.2.47.2.4 数据加密技术数据加密技术（7）乙然后用）乙然后用DES密钥对收到的密文进行解密，得到明密钥对收到的密文进行解密，得到明文的数字信息，然后将文的数字信息，然后将DES密钥抛弃（即密钥抛弃（即DES密钥作废）。密钥作废）。（8）

69、乙用甲的公钥（）乙用甲的公钥（PK）对甲的数字签名进行解密，得）对甲的数字签名进行解密，得到信息摘要。到信息摘要。 乙用相同的乙用相同的hash算法对收到的明文再进行算法对收到的明文再进行一次一次hash运算，得到一个新的信息摘要。运算，得到一个新的信息摘要。7.2.47.2.4 数据加密技术数据加密技术（9）乙将收到的信息摘要和新产生的信息摘要进行比较，）乙将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。如果一致，说明收到的信息没有被修改过。在非对称密钥体制中，公钥可以象你的电话号码或手机号在非对称密钥体制中，公钥可以象你的电话号码或手机号码一样可公开出去，

70、想与你秘密通信的人只需知道你的公码一样可公开出去，想与你秘密通信的人只需知道你的公钥即可，它解决了对称密钥算法中密钥分发难的问题；同钥即可，它解决了对称密钥算法中密钥分发难的问题；同时也是数字签名的理论基础。公钥是否会有假的呢？这就时也是数字签名的理论基础。公钥是否会有假的呢？这就是是CA认证中心要解决的问题。认证中心要解决的问题。7.2.47.2.4 数据加密技术数据加密技术5CA（认证中心）（认证中心）CA(Certification Authority，认证中心，认证中心)是证书的签发机构，是证书的签发机构，主要负责产生及分发公钥；因此它必须具有极高的权威性，主要负责产生及分发公钥；因此

71、它必须具有极高的权威性，相当于现实世界中的公安机关。由它所签发的相当于现实世界中的公安机关。由它所签发的CA证书能证书能证明某一主体（如：人、服务器、网关等）的身份及其公证明某一主体（如：人、服务器、网关等）的身份及其公开密钥开密钥PK（Public Key）的合法性。数字证书的格式一般）的合法性。数字证书的格式一般采用采用X.509国际标准。国际标准。7.2.47.2.4 数据加密技术数据加密技术一个标准的一个标准的X.509数字证书包含以下一些内容：数字证书包含以下一些内容：（1）证书的版本信息；）证书的版本信息；（2）证书的序列号，每个用户都有一个）证书的序列号，每个用户都有一个 唯一的

72、证书序列号；唯一的证书序列号；（3）证书所使用的签名算法；）证书所使用的签名算法；7.2.47.2.4 数据加密技术数据加密技术（4）证书的发行机构名称，命名规则一般采）证书的发行机构名称，命名规则一般采 用用X.400格式；格式；（5）证书的有效期，现在通用的证书一般采）证书的有效期，现在通用的证书一般采 用用UTC时间格式，它的计时范围为时间格式，它的计时范围为 19502049；（6）证书所有人的名称，命名规则一般采用）证书所有人的名称，命名规则一般采用 X.400格式；格式；（7）证书所有人的公开密钥；）证书所有人的公开密钥；7.2.47.2.4 数据加密技术数据加密技术（8）证书发行

73、者对证书的签名。）证书发行者对证书的签名。使用数字证书可以建立起一套严密的身份认证系统，使用数字证书可以建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其他人窃取；从而保证：信息除发送方和接收方外不被其他人窃取；信息在传输过程中不被篡改；发送方能够通过数字证信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己发送的信息书来确认接收方的身份；发送方对于自己发送的信息不能抵赖。不能抵赖。7.2.47.2.4 数据加密技术数据加密技术（8）对于一个大型的应用环境，认证中心往往采用）对于一个大型的应用环境，认证中心往往采用种种多层次的分级结构，各级的认证

74、中心类似于各级行政机关，多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。一级的认证中心直接面向最终用户。7.2.5 7.2.5 网络安全协议网络安全协议加密传输数据有以下几种方法：在非安全的网络中传输加加密传输数据有以下几种方法：在非安全的网络中传输加密文档在传输之前加密整个文档，传输的数据由底层协议密文档在传输之前加密整个文档，传输的数据由底层协议加密加密(SSL)。此种方式不必改变应用层协议，也不必改变。此种方式不必改变应用层协议，也不必改变传输层协议，它

75、是在应用层与传输层之间加一层安全加密传输层协议，它是在应用层与传输层之间加一层安全加密协议，达到安全传输的目的。协议，达到安全传输的目的。7.2.5 7.2.5 网络安全协议网络安全协议由于由于SSL只能实现两方的安全认证，不能支持只能实现两方的安全认证，不能支持多方身份认证，而且只能保证数据在传输过程多方身份认证，而且只能保证数据在传输过程中的安全，对数据到达本地后的安全没有规定。中的安全，对数据到达本地后的安全没有规定。所以，所以，SSL在在线交易领域的应用受到了一些在在线交易领域的应用受到了一些限制。限制。7.2.5 7.2.5 网络安全协议网络安全协议SET(Secure Electr

76、onic Transaction安全电子交易安全电子交易)是是为了在为了在Internet上进行在线交易时，保证信用卡支付上进行在线交易时，保证信用卡支付的安全而设立的一个开放的规范。由于它得到了的安全而设立的一个开放的规范。由于它得到了IBM、HP、Microsoft、Netscape、GTE、VeriSign等很多等很多大公司的支持，它已成为事实上的工业标准，目前它大公司的支持，它已成为事实上的工业标准，目前它已获得已获得IETF标准机构的认可。标准机构的认可。7.2.5 7.2.5 网络安全协议网络安全协议SET协议标准的主要内容包括：加密算法、证书信息协议标准的主要内容包括：加密算法、

77、证书信息及格式、购买信息及格式、认可信息及格式、划帐信及格式、购买信息及格式、认可信息及格式、划帐信息及格式、实体之间消息的传输协议等。息及格式、实体之间消息的传输协议等。SET协议的协议的工作流程与实际购物流程非常接近，但一切操作都是工作流程与实际购物流程非常接近，但一切操作都是通过通过Internet完成的。完成的。7.2.5 7.2.5 网络安全协议网络安全协议SET提供对交易者的认证，确保交易数据的安全性、完整提供对交易者的认证，确保交易数据的安全性、完整性和交易的不可抵赖性，特别是保证了不会将持卡人的帐性和交易的不可抵赖性，特别是保证了不会将持卡人的帐号信息泄露给商家，这些都保证了号

78、信息泄露给商家，这些都保证了SET协议的安全性。协议的安全性。7.3 7.3 防火墙技术防火墙技术7.3.1 防火墙的概念防火墙的概念7.3.2 防火墙的功能与分类防火墙的功能与分类7.3 7.3 防火墙技术防火墙技术它是一种隔离控制技术，在某个机构的网络和不安全的网它是一种隔离控制技术，在某个机构的网络和不安全的网络络(如如 Internet)之间设置屏障，阻止对信息资源的非法访之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。法输出。7.3.1 7.3.1 防火墙的概念防火墙的概念 防火墙（防火墙

79、（Firewall）是一种将内部网络和外部公共网）是一种将内部网络和外部公共网络（络（Internet）分开的软件或设备。它检查到达防火墙两）分开的软件或设备。它检查到达防火墙两端的所有数据包端的所有数据包(无论是输入还是输出无论是输入还是输出)，从而决定拦截这，从而决定拦截这个包还是将其放行个包还是将其放行。7.3.1 7.3.1 防火墙的概念防火墙的概念 防火墙在被保护网络和外部网络之间形成一道屏障，防火墙在被保护网络和外部网络之间形成一道屏障，使公共网络与内部网络之间建立起一个安全网关使公共网络与内部网络之间建立起一个安全网关（Security Gateway）。防火墙通过监测、限制、更

80、改跨）。防火墙通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。防火墙的结构和运行状况，以此来实现网络的安全保护。防火墙的概念模型如下页图示。概念模型如下页图示。WWW.YOUR-COMPANY-URL.COM7.3.1 防火墙的概念7.3.2 7.3.2 防火墙的功能与分防火墙的功能与分1防火墙的功能防火墙的功能（1）忠实执行安全策略，限制他人进入内部）忠实执行安全策略，限制他人进入内部 网络，过滤掉不安全服务和非法用户。网络，过滤掉不安全服务和非法用户。（2）限定内部网络用

81、户访问特殊网络站点，）限定内部网络用户访问特殊网络站点， 接纳外网对本地公共信息的访问。接纳外网对本地公共信息的访问。（3）具有记录和审计功能，为监视互联网安）具有记录和审计功能，为监视互联网安 全提供方便。全提供方便。7.3.2 7.3.2 防火墙的功能与分类防火墙的功能与分类2防火墙分类防火墙分类防火墙的主要技术类型包括数据包过滤、应用代理服务器防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类型。即包过滤防火墙，应用代理服务器，和状态检测三种类型。即包过滤防火墙，应用代理服务器，状态检测防火墙。状态检测防火墙。7.3.2 7.3.2 防火墙的功能与分类防火墙的功能与分类（

82、1）包过滤防火墙）包过滤防火墙包过滤防火墙的主要功能是接收被保护网络和外部网络之包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进行过间的数据包，根据防火墙的访问控制策略对数据包进行过滤，只准许授权的数据包通行。滤，只准许授权的数据包通行。WWW.YOUR-COMPANY-URL.COM7.3.2 防火墙的功能与分类7.3.2 7.3.2 防火墙的功能与分类防火墙的功能与分类 数据包过滤防火墙的优点是速度快，逻辑简单，成本数据包过滤防火墙的优点是速度快，逻辑简单，成本低，易于安装和使用，网络性能和透明度好。其缺点是配低，易于安装和使用，网络性能和透

83、明度好。其缺点是配置困难，容易出现漏洞，而且为特定服务开放的端口也存置困难，容易出现漏洞，而且为特定服务开放的端口也存在着潜在危险。在着潜在危险。7.3.2 7.3.2 防火墙的功能与分类防火墙的功能与分类（2）应用代理服务器）应用代理服务器应用代理服务器是防火墙的第二代产品，应用代理服务器应用代理服务器是防火墙的第二代产品，应用代理服务器技术能够将所有跨越防火墙的网络通信链路分为两段，使技术能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。在防火墙得网络内部的客户不直接与外部的服务器通信。在防火墙技术中，应用层网关通常由代理服务器来实现。技术中，应用层网

84、关通常由代理服务器来实现。7.3.2 7.3.2 防火墙的功能与分类防火墙的功能与分类 除代理服务器外，除代理服务器外，Socks服务器也是一种应用层网关，服务器也是一种应用层网关，通过定制客户端软件的方法来提供代理服务。外部计算机通过定制客户端软件的方法来提供代理服务。外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。通过代理服务器通信的缺点是执行外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢，操作系统容易遭到攻击。应用级网关的工速度明显变慢，操作系统容易遭到攻击。应用级网关的工作原理可用图作原理

85、可用图 表示，应用代理的基本工作原理可用图表示，应用代理的基本工作原理可用图 表表示。示。WWW.YOUR-COMPANY-URL.COM7.3.2 防火墙的功能与分类WWW.YOUR-COMPANY-URL.COM7.3.2 防火墙的功能与分类7.3.2 7.3.2 防火墙的功能与分类防火墙的功能与分类（3）状态检测防火墙）状态检测防火墙状态检测防火墙又称动态包过滤防火墙，在网络层由一个状态检测防火墙又称动态包过滤防火墙，在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，检查引擎截获数据包并抽取出与应用层状态有关的信息，然后以此决定对该数据包是接受还是拒绝。检查引擎维护然后以此

86、决定对该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被中止。发现任何连接的参数有意外变化，该连接就被中止。7.3.2 7.3.2 防火墙的功能与分类防火墙的功能与分类（3）状态检测防火墙）状态检测防火墙状态检测防火墙克服了包过滤防火墙和应用代理服务器的状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，根据协议、端口号及源地址、目的地址的具体情局限性，根据协议、端口号及源地址、目的地址的具体情况确定数据包是否可以通过，执行速度很快。况确定数据包是否可以通过，执行

87、速度很快。7.3.2 7.3.2 防火墙的功能与分类防火墙的功能与分类3. 防火墙的局限性防火墙的局限性（1）防火墙不能防备全部威胁）防火墙不能防备全部威胁（2）防火墙一般没有配置防病毒的功能）防火墙一般没有配置防病毒的功能（3）防火墙不能防范不通过它的连接，网络内部的攻击，）防火墙不能防范不通过它的连接，网络内部的攻击，内部用户直接拨号连接到外部网络等。内部用户直接拨号连接到外部网络等。（4）防火墙不能完全防范内外部恶意的知情者。）防火墙不能完全防范内外部恶意的知情者。7.4 7.4 计算机病毒计算机病毒7.4.1 计算机病毒计算机病毒(Computer Virus)的定义的定义7.4.2

88、计算机病毒的特点计算机病毒的特点7.4.3 典型病毒的特点及防范典型病毒的特点及防范7.4.4 IT史上的典型病毒史上的典型病毒 7.4 7.4 计算机病毒计算机病毒当前计算科学技术迅猛发展，计算机应用日益广泛，当前计算科学技术迅猛发展，计算机应用日益广泛，另一方面计算机维护滞后，这一不平衡导致了计算另一方面计算机维护滞后，这一不平衡导致了计算机病毒的出现和迅速传播机病毒的出现和迅速传播,给我们日常工作带来了严给我们日常工作带来了严重危害。重危害。7.4.1 7.4.1 计算机病毒计算机病毒（computer viruscomputer virus）定义）定义 在在中华人民共和国计算机信息系统

89、安全保护中华人民共和国计算机信息系统安全保护条例条例中被明确定义，病毒中被明确定义，病毒“指编制或者在计算机指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或计算机使用并且能够自我复制的一组计算机指令或者程序代码者程序代码”。7.4.2 7.4.2 计算机病毒的特点计算机病毒的特点计算机病毒具有以下几个特点：计算机病毒具有以下几个特点：1寄生性寄生性2传染性传染性3潜伏性潜伏性4隐蔽性隐蔽性5破坏性破坏性6可触发性可触发性7自杀性自杀性7.4.3 7.4.3 典型病毒的特点及防范典型病毒的特点及

90、防范1特洛伊木马特洛伊木马(Trojan)病毒及其防范病毒及其防范2邮件病毒及其防范邮件病毒及其防范 3蠕虫病毒蠕虫病毒 7.4.4 IT7.4.4 IT史上的典型病毒史上的典型病毒1 1Elk ClonerElk Cloner（19821982年）年）2 2BrainBrain（19861986年）年）3 3MorrisMorris（19881988年）年）4 4CIHCIH（19981998）5 5MelissaMelissa（19991999年）年）6 6Love bugLove bug（20002000年）年）7.4.4 IT7.4.4 IT史上的典型病毒史上的典型病毒7.4.4 IT

91、7.4.4 IT史上的典型病毒史上的典型病毒7“红色代码红色代码”（2001年）年）8 8“ “冲击波冲击波” ”（20032003年）年）9“震荡波震荡波”（2004年）年）10熊猫烧香（熊猫烧香（2006年）年）11ARP欺骗病毒（欺骗病毒（2007）12“磁碟机磁碟机”病毒（病毒（2008）WWW.YOUR-COMPANY-URL.COM7.4.4 IT史上的典型病毒本章小结本章小结本章对网络管理的目标，内容及加密技术进行了说本章对网络管理的目标，内容及加密技术进行了说明，尤其对常见的网络故障及排除进行了重点阐述。明，尤其对常见的网络故障及排除进行了重点阐述。对网络管理的方法做了介绍。对网络为什么不安全对网络管理的方法做了介绍。对网络为什么不安全以及如何实现安全进行了较为详实的讲解，尤其对以及如何实现安全进行了较为详实的讲解，尤其对防火墙技术、病毒技术做了重点说明。防火墙技术、病毒技术做了重点说明。本章小结本章小结通过本章的学习读者应在宏观上对网络管理和安全通过本章的学习读者应在宏观上对网络管理和安全有总体的了解，对常见的网络故障应该能够进行有有总体的了解，对常见的网络故障应该能够进行有效地维护，能够配置简单的防火墙，熟练运用常见效地维护，能够配置简单的防火墙，熟练运用常见的杀毒软件。的杀毒软件。