计算机网络实用技术第8章网络管理与安全

资源描述

《计算机网络实用技术第8章网络管理与安全》由会员分享，可在线阅读，更多相关《计算机网络实用技术第8章网络管理与安全（158页珍藏版）》请在金锄头文库上搜索。

1、计算机网络实用技术计算机网络实用技术第第8章章网络管理与安全网络管理与安全本章将对网络管理的相关概念和简单网络管理协议SNMP进行讲解。并且，还要介绍网络安全方面的基础知识及一些网络安全设备。计算机网络实用技术计算机网络实用技术8.1 网络管理的基本概念网络管理是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。计算机网络实用技术计算机网络实用技术8.1 网络管理的基本概念 1网络管理的目标 l（1）网络应是有效的，能准确及时地传递信息。 l（2）网络应

2、是可靠的，能稳定地运转。 l（3）网络要有开放性，能够接收多厂商生产的异种设备。 l（4）网络要有综合性，能够提供综合业务。 l（5）网络要有很高的安全性。 l（6）网络要有经济性，这种经济性不仅是对网络建设者、经营者而言，也是对用户而言的。计算机网络实用技术计算机网络实用技术8.1 网络管理的基本概念 2网络管理的任务 l（1）状态监测。通过状态监测，可以获得分析网络各种性能的原始数据。 l（2）数据收集。要了解网络的状态，还需要将分散监测到的有用数据收集到一起。 l（3）状态分析。利用各种模型，根据收集到的监测数据对网络的状态进行分析、判断。 l（4）状态控制。根据状态分析的结果对网络采

3、取控制措施。计算机网络实用技术计算机网络实用技术8.1 网络管理的基本概念 3网络管理的功能 l（1）配置管理，定义、识别、初始化、控制和监测被管对象功能的集合，包括以下几项。定义被管对象，给每个被管对象分配名字。定义用户组。删除不需要的被管对象。设置被管对象的初始值。处理被管对象间的关系。计算机网络实用技术计算机网络实用技术8.1 网络管理的基本概念 3网络管理的功能 l（2）故障管理，实时监控网络中的故障，对故障原因做出论断，对故障进行排除，保证网络的正常运行，包括以下几项。检测被管对象的差错，或接受差错报告。创建和维护差错日志库，并对其进行分析。进行诊断，以跟踪和识别

4、差错。通过恢复措施，恢复正确的网络服务。网络实时备份。计算机网络实用技术计算机网络实用技术8.1 网络管理的基本概念 3网络管理的功能 l（3）计费管理，记录用户使用网络的情况并核收费用，包括以下几项。易于更新且费率可变。允许使用信用记账收费。能根据用户组的不同进行不同的收费。收费依据为“进程”或“服务”。计算机网络实用技术计算机网络实用技术8.1 网络管理的基本概念 3网络管理的功能 l（4）安全管理，保证网络不被非法使用，包括以下几项。与安全措施相关的信息分发。与安全相关的事件通知。与安全相关的设施建设、控制和删除；涉及安全服务的网络操作事件的记录、维护和查阅等日志

5、管理工作。计算机网络实用技术计算机网络实用技术8.1 网络管理的基本概念 3网络管理的功能 l（5）性能管理，保证在最小网络消耗和网络时延下，提供最大的可靠且连续的通信能力，包括以下几项。从被管对象中收集与网络性能有关的数据。对收集到的数据进行统计分析，并对历史记录进行维护。分析数据，以检测性能故障，生成报告。预测网络的长期趋势。改进网络的操作模式。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议简单网络管理协议（Simple Network Manage Protocol，SNMP），是最早提出的网络管理协议之一计算机网络实用技术计算机网络实用技术8.2 简单网

6、络管理协议 l8.2.1 SNMP模型 SNMP的网络管理模型由3个重要元素组成图图8-1 8-1 SNMPSNMP网络管理模型网络管理模型计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 1管理信息库（Management Information Base，MIB） lInternet的MIB标准把管理对象分为9组，每组对象由各种变量描述。表表8-1 最初节点最初节点MIB管理的信息类型管理的信息类型类型标号信息类型system1主机或路由器的操作系统interface2各种网络接口及它们的测定通信量address translation（at）3地址转换（如ARP映射

7、）ip4Internet软件（IP分组统计）icmp5ICMP软件（已收到ICMP消息的统计）tcp6TCP软件（算法、参数和统计）udp7UDP软件（UDP通信量统计）egp8EGP软件（外部网关协议通信量统计）snmp9SNMP软件计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 1管理信息库（Management Information Base，MIB） lMIB中对象的变量类型大体可分为两种：简单变量和表格。简单变量包括整型变量、字符串变量等，也包括一些类似于C语言“结构”的数据集合，表格相当于一维数组。值得注意的是，MIB只给出每个变量的逻辑定义，每个被管的网络设备所使

8、用的内部数据结构可能与MIB的定义不同。当代理进程收到查询请求时，先要把SNMP协议的MIB变量映射到自己的内部数据结构，再执行相应的操作。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 1管理信息库（Management Information Base，MIB） lMIB的设计比较灵活，对象和网络管理通信协议相对独立，只要有需要就可以定义新的MIB变量并标准化，而不需要改变协议。各厂商设计了新的网络设备或新的网络协议时，可以自行定义相应的MIB变量，对这些新的网络设备或新的网络协议进行管理。事实上，目前已定义了许多新的MIB变量。例如，以太网接口的MIB、网桥的MIB、FD

9、DI的MIB、PPP的IP网络控制协议MIB等。 lMIB只是定义了管理对象的组织结构，使其他系统可以知道如何访问各个管理对象。对于代理如何收集MIB中管理对象的数据以及怎样使用这些数据，MIB不做规定。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 2管理信息结构（Structure of Management Information，SMI） l管理信息结构是一套规则，规定如何命名管理对象、如何定义管理对象。所有的管理对象分层次地按树型结构进行组织。某个对象的名称反映它在这个树型结构中的位置，标明了在MIB中通过怎样的路径可以访问到这个对象。计算机网络实用技术计算机网络实

10、用技术8.2 简单网络管理协议 2管理信息结构（Structure of Management Information，SMI）图图8-2 8-2 MIBMIB树的顶部树的顶部计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 2管理信息结构（Structure of Management Information，SMI） lSMI采用OSI的抽象语法表示（Abstract Syntax Notation One，ANS.1）的OBJECT IDENTIFIER类型对MIB的管理对象进行命名。例如，图8-2中的ip对象命名为iso（1）org（3）dod（6）internet（1）

11、mgmt（2）mib-2（1）ip（4）或1.3.6.1.2.1.4。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 3简单网络管理协议 l简单网络管理协议的主要设计思想是协议应尽可能简单，基本功能是监视网络性能、检测分析网络差错和配置网络设备。由于SNMP的设计是基于互联网协议的用户数据报协议UDP之上的，所以SNMP提供的是一种无连接的服务，它不能确保其他实体一定能收到管理信息流。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 l8.2.2 SNMP协议 SNMP是TCP/IP网络的网络管理协议，现在已被广大厂商接受，成为一种事实上的标准。随着SNMP的广泛

12、使用，已经从SNMPv1（第1版）发展到SNMPv2（第2版）和SNMPv3（第3版）。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 SNMP规定了5种协议数据单元（PDU），即SNMP报文，用来在管理进程和代理之间进行交换，其中包括以下几项 :l（1）get-request操作：从代理进程处提取一个或多个进程值。l（2）get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值。 l（3）set-request操作：设置代理进程一个或多个参数值。 l（4）get-response操作：返回一个或多个参数值。此操作是由代理进程发出的，是前面3种操作的响

13、应操作。 l（5）trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议前3种操作是由管理进程向代理进程发出的，后两个操作是代理进程向管理进程发出的。SNMP这5种报文的操作如图8-3所示。在代理进程端使用161端口来接收get或set报文，在管理进程端使用162端口来结束trap报文。图图8-3 8-3 SNMPSNMP的的5 5种报文操作种报文操作计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议封装成UDP数据报的SNMP报文格式如图8-4所示。从中可以看出，一个SNMP报文共分成3个部分：公共SN

14、MP头部、get/set头部、trap变量和变量绑定。 l（1）公共SNMP头部共有3个字段。版本，写入本字段的值是版本号减1。对于SNMPv1，则应写入0。共同体，是一个字符串，作为管理进程和代理进程之间的明文口令，通常使用的6个字符是“public”。 PDU类型，可填入04中的一个数字，其对应名称如表8-2所示。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议图图8-3 8-3 SNMPSNMP的的5 5种报文操作种报文操作PDU类型名称0get-request1get-next-request2get-response3set-request4trap计算机网络实

15、用技术计算机网络实用技术8.2 简单网络管理协议 l（2）get/set头部共有3个字段。请求标识符（Request ID），是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。请求标识符可使管理进程识别返回的响应报文对应于哪一个请求报文。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议图图8-4 8-4 SNMPSNMP报文格式报文格式计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 l（2）get/set头部共有3个字段。差错状

16、态（Error Status），由代理进程应答时填写05中的一个数，如表8-3所示。表表8-3 差错状态描述差错状态描述差错状态名字说明0noError一切正常1tooBig代理无法将回答装入一个SNMP报文之中2noSuchName操作指明了一个不存在的变量3badValue一个set操作指明了一个无效值或无效语法4readOnly管理进程试图修改一个只读变量5genErr其他的差错计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 l（2）get/set头部共有3个字段。差错索引（Error Index），当出现noSuchName、badValue或readOnly差

17、错时，由代理进程在应答时设置一个整数，指明有差错的变量在变量列表中的偏移。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 l（3）trap头部有以下几项。企业（Enterprise），填入trap报文的网络设备的对象标识符。此对象标识符在如图8-2所示的对象命名树上的enterprise节点下面的一棵子树上。 trap类型，此字段的名称是generic-trap，共分为7种类型，如表8-4所示。当使用上述类型2、3和5时，在报文后面变量部分的第一个变量应标识响应的接口。特定代码（Specific-Code），如果trap类型为6，指明代理自定义的时间，否则为0。变量绑定（

18、Variable-Bindings），指明一个或多个变量的名和对应的值。在get和get-next报文中，变量的值应忽略。计算机网络实用技术计算机网络实用技术8.2 简单网络管理协议 l（3）trap头部有以下几项。表表8-4 trap的的7种类型种类型差错状态名字说明0coldStart代理进行了初始化1warmStart代理进行了重新初始化2linkDown一个接口从工作状态变为故障状态3linkup一个接口从故障状态变为工作状态4authenticationFailure从SNMP管理进程接收到具有一个无效共同体的报文5egpNeighborLoss一个EGP相邻路由器变为故障状

19、态6enterpriseSpecific代理自定义的事件，需要用后面的“特定代码”来指明计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 l8.3.1 防火墙技术当用户与Internet连接时，可在用户与Internet之间插入一个或几个中间系统的控制关联，防止通过网络进行攻击，并提供单一的安全和审计控制点，这些中间系统就是防火墙。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制出入网络的信息流，而且本身具有较强的抗攻击能力。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术在逻辑上

20、，防火墙是一个分离器，有效地监控内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙技术是一种获取安全性的方法，有助于实施一个比较广泛的安全性策略，用以确定允许提供的访问和服务。防火墙可以是路由器，也可以是个人主机、主系统或多个主系统，专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关，如Internet连接的网关，也可以位于等级较低的网关，以便为某些数量较少的主系统或子网提供保护。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1防火墙的类型 l防火墙从原理上可分为包过滤（Packet Filtering）型和代

21、理服务（Proxy Server）型。 l（1）包过滤型防火墙根据数据分组中头部的某些标志性的字段对数据分组进行过滤。当数据分组到达防火墙时，防火墙根据分组头部对源地址、目的地址、协议类型、端口号、ICMP类型等进行判断，决定是否接收该数据分组。 l通过设置包过滤规则，可以阻塞来自或发送到特定地址的连接；从安全方面考虑，某组织的内部网可能需要阻塞所有来自外部站点的连接。但是包过滤防火墙的弱点在于其规则的复杂性，同时过于复杂的规则不容易进行测试。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1防火墙的类型 l（2）代理服务器型防火墙可以解决包过滤防火墙的规则复杂问题。 l所谓代

22、理服务，是指在防火墙上运行某种软件或程序。如果内部网需要与外部网通信，首先要建立与防火墙上代理程序的连接，然后把内部网的请求通过新连接发送到外部网相应的主机，反之亦然。内部网和外部网之间不能建立直接连接，而要通过代理服务进行转发。 l一个代理程序一般只能为某种协议提供代理服务，其他所有协议的数据分组都不能通过代理服务程序，这样就相当于进行了一次过滤，代理程序还有自己的配置文件，其中对数据分组的一些特征进行了过滤，这种过滤能力比纯粹的包过滤防火墙的功能要大得多。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1防火墙的类型 l（2）代理服务器型防火墙可以解决包过滤防火墙的规则复杂

23、问题。 l包过滤和代理服务防火墙结合使用可以有效地解决规则复杂问题。包过滤防火墙只需要让那些来自或发送到代理服务器的分组通过，其他分组简单丢弃。其他过滤由代理服务防火墙来完成。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2防火墙的体系结构 l（1）双穴网关。它是包过滤防火墙的一种替代。与普通的包过滤防火墙一样，双穴网关也位于Internet与内部网之间，并通过两个网络接口分别与它们相连。但是，只有特定类型的协议才能被代理服务处理。于是，双穴网关实现了“默认拒绝”策略，可以得到很高的安全性。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2防火墙的体系结构 l

24、（2）屏蔽主机型防火墙。这种防火墙其实是包过滤和代理服务功能的结合，其中代理服务器位于包过滤网关靠近内部网的一侧。代理服务器只安装一个网络接口，通过代理功能把一些服务传送到主机内部，通过包过滤功能把那些天生危险的协议过滤掉，不让其到达代理服务器。屏蔽主机型防火墙如图8-5所示。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2防火墙的体系结构图图8-5 8-5 屏蔽主机型防火墙屏蔽主机型防火墙计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2防火墙的体系结构 l（3）屏蔽子网型防火墙。它是双穴网关和屏蔽主机型防火墙的变形。如图8-6所示，该系统中使用包过滤防火墙

25、在内部网络和Internet之间隔离出一个屏蔽的子网，通常称为“非军事区（DMZ）”。代理服务器、邮件服务器、各种信息服务器、Modem池及其他需要进行访问控制的系统都放在DMZ区中。 l与Internet连接的是“外部路由器”，只让与DMZ中的各服务器相关的数据分组通过，其他所有类型的数据分组都被丢弃，从而将Internet对DMZ的访问权限限定在特定的服务器范围内。内部路由器的情况也是这样。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2防火墙的体系结构图图8-6 8-6 屏蔽子网型防火墙屏蔽子网型防火墙计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 l8

26、.3.2 VPN技术虚拟专用网（VPN）是指在公用网络上建立专用网络的技术。使用该技术建立的虚拟网络在安全、管理及功能方面拥有与专用网络相似的特点，是原有专线式企业专用广域网的替代品。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1VPN提供的功能 l（1）数据加密，保证在公用网上传输信息不会被截取或识破。 l（2）信息认证和身份认证，保证信息的完整、合法，并能鉴别用户的身份。 l（3）提供访问控制，保证不同用户有不同访问权限。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2VPN的分类 l（1）内部网VPN，在公司总部和它的分支机构间建立VPN。这是通过

27、公用网将一个组织的各分支机构通过VPN连接而成的网络，是公司网络的扩展。当一个数据传输通道的两个端点认为是可信的时候，公司可以选择“内部网VPN”解决方案，其安全性主要在于加强加密和认证方法，如图8-7所示。大量数据经常需要通过VPN在局域网之间传递，可以把中心数据库或其他资源连接起来的各个局域网看成是内部网的一部分。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2VPN的分类图图8-7 8-7 内部网内部网VPNVPN计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2VPN的分类 l（2）远程访问VPN，公司职员在外地或旅途中要和公司总部之间建立的VPN。如

28、果一个职员在家里或旅途中要和公司的内部网建立一个安全连接，可以用“远程访问VPN”来实现，如图8-8所示。这个职员通过拨号连接ISP的网络访问服务器（Network Access Server，NAS），发出PPP连接请求，NAS收到请求后，在职员与NAS之间建立PPP链路。然后NAS对职员的身份进行验证，确定为合法用户后，启动远程访问的功能，与公司总部内部连接。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2VPN的分类图图8-8 远程访问远程访问VPN 计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2VPN的分类l（3）外部网VPN，在公司和商业伙伴、顾

29、客等之间建立的VPN。外部网VPN为公司和商业伙伴提供安全性，如图8-9所示。它应能保证包括使用TCP和UDP协议的各种应用服务的安全，如E-mail、HTTP、FTP和数据库的安全。因为不同公司的网络环境是不同的，一个可行的外部网VPN方案应能适用于各种操作平台、协议、认证方案和加密算法等。 l外部VPN应是一个由加密、认证和访问控制功能组成的集成系统。通常公司将VPN服务放在用于隔离内外部网的防火墙上，防火墙阻止所有来历不明的信息传输。所有经过过滤后的数据通过唯一的一个入口传到VPN服务器，VPN服务器再根据安全策略来进一步过滤。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技

30、术 2VPN的分类图图8-9 外部网外部网VPN 计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 3VPN的工作原理 l要实现VPN连接，就必须要在公司的网络中搭建一台VPN服务器。这台服务器一边与公司内部网相连，另一边与Internet相连，即VPN服务器必须拥有一个公用的IP地址。当Internet上的客户机通过VPN连接与专用网络中的计算机通信时，先由ISP将所有的数据传送到VPN服务，然后由VPN服务器负责将所有的数据传送到目标计算机，如图8-10所示。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 3VPN的工作原理图图8-10 8-10 VPNVPN

31、连接连接计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 3VPN的工作原理 lVPN使用3个技术保障通信的安全，即隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN根据用户数据库检查响应，如果账户有效，VPN服务器将检查该用户是否有远程访问权限，如果该用户拥有远程访问权限，VPN服务器接收此连接。在身份验证过程中产生的客户机与服务器共享密钥用来对数据进行加密。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 4VPN关键技术 l（1）安全隧道技术（Secure Tu

32、nneling Technology） l（2）用户认证技术（User Authentication Technology） l（3）访问控制技术（Access Control Technology）计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 l8.3.3 IPSec技术 1IPSec的基本原理lIPSec的基本原理类似于包过滤防火墙，如图8-11所示，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据分组时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据分组进行处理，处理的工作包括转发和丢

33、弃。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1IPSec的基本原理图图8-11 8-11 IPSecIPSec工作原理工作原理计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1IPSec的基本原理lIPSec通过查询安全策略数据库（Security Policy Database，SPD）决定对接收到的IP数据分组的处理。IPSec不同于包过滤防火墙的是，对IP数据分组的处理方法除了丢弃和直接转发外，还有IPSec处理。这个新增的处理方法提供了比包过滤防火墙更进一步的网络安全性。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1IPSec的

34、基本原理l进行IPSec处理意味着对IP数据分组进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据分组的通过，可以拒绝来自某个外部站点IP数据分组访问内部某些站点，也可以拒绝某个内部站点对某些外部站点的访问。但是包过滤防火墙不能保证来自内部网络发送出去的数据分组不被截取，也不能保证进入内部网络的数据分组不被修改。只有在对IP数据分组实施了加密认证后，才能保证在外部网络传输的数据分组的机密性、完整性和真实性，通过Internet进行安全的通信才能成为可能。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1IPSec的基本原理lIPSec既可以只对IP数据分组进行加密

35、或只进行认证，也可以同时实施两者。无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是隧道模式，另一种是传输模式。验证头（Authentication Header，AH）和封装安全载荷（Encapsulating Security Payload，ESP）均可应用在这两种方式上。传输方式通常应用于主机之间端对端通信，该方式要求主机支持IPSec。隧道方式应用于网关模式中，即在主机的网关上（路由器、防火墙）加载IPSec，该网关同时升级为安全网关（Security Gateway，SG）。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1IPSec的基本原理l（1）在

36、隧道模式下，整个IP分组都封装在一个新的IP分组中，并在新的IP分组头部和原来的IP分组头部之间插入IPSec头（AH/ESP），其结构如图8-12所示。 l在隧道模式下，如果应用了ESP，原始IP分组头部是加密的，真正的源、目的IP地址是隐藏的，新IP头中制定的源、目的IP地址一般是源、目的安全网关的地址。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1IPSec的基本原理图图8-12 8-12 隧道模式分组头部结构隧道模式分组头部结构计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1IPSec的基本原理l（2）传输方式，主要为上层协议提供保护。AH和ESP分

37、组头部插入到IP分组头部和传输层协议分组头部之间，如图8-13所示。在传输模式下ESP并没有对IP分组头部加密处理。源、目的IP地址内容是可见的，而AH认证的是整个IP头部，完整性保护强于ESP。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 1IPSec的基本原理图图8-13 8-13 传输模式分组结构传输模式分组结构计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现lIPSec协议文档中提供了3种具体的实现方案，将IPSec在主机、安全网关或两者中同时实施和部署。无论使用哪种模式实现，对于上层协议和应用层都是透明的。与操作系统集成实施，把IPS

38、ec当作网络层的一部分来实现。这种方式需要访问IP源码、利用IP层的服务来构建IP报头 BITS方式，利用堆栈中的块（Bump-In-The-Stack，BITS）实现。修改通信协议栈，把IPSec插入IP协议栈和链路层之间。这种方式不需要处理IP源代码，适用于对原有系统的升级改造，通常用在主机方式中。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现BITW方式，利用线缆中的块（Bump-In-The-Wire，BITW）实现。把IPSec作为一个插件，在一个直接接入路由器或主机的设备中实现。当用于支持一台主机时，与BITS实现非常相似，但在支持路由器或主机的

39、设备中实现。当用于支持一台主机时，与BITS实现非常相似，但在支持路由器或防火墙时，必须起到一个安全网关的作用。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现l（1）IPSec的体系结构，IETF的IPSec工作组定义了12个RFC，IPSec是一系列规范的集合，由安全联盟（Security Association，SA），安全协议包括认证头、封装安全载荷、密钥管理以及认证和加密算法构成一个完整的安全体系，如图8-14所示。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现图图8-14 8-14 IPSecIPSec体系结构体

40、系结构计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现l（2）安全联盟，是IPSec的基础，决定通信中采用的IPSec安全协议、散列方式、加密算法和密钥等安全参数，通常用一个三元组（安全参数索引、目的IP地址、安全协议）唯一表示。SA总是成对出现的，对等存在于通信实体的两端，是通信双方协商的结果。SA存放在安全联盟数据库（Security Association Database，SAD）中。另外，IPSec还维护一个安全策略数据库（Security Policy Database，SPD）。每个应用IPSec的网络接口都有SAD和SPD各一对，协同处理进出的I

41、P分组。一条SAD数据库记录对应一个SA。每条SPD记录描述了一种安全策略，指定了数据分组处理动作。发送数据时，根据目的IP地址等参数先从SPD中得到相应的策略记录，当记录的动作为“应用”时，根据记录中的SA指针从SAD中取得对应的SA，如果不存在，需要调用IKE（Internet Key Exchange，密钥交换）创建一个新的SA，并插入到SAD中。再利用SA指定的安全协议和认证加密算法对分组进行安全处理后发送到目的IP。接收端收到数据后通过报文中的SPI等参数找到SA，检查是否是重传数据，如果不是则应用SA中指定的协议和算法对数据进行解密和验证。SPD对于同一IP地址可能有多条记录，这些

42、记录可能是相互冲突的，因此它必须是排序的，查找时也必须按顺序查询，实际只应用找到的第一条策略记录。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现l（3）认证头，支持数据的完整性和IP分组的验证，数据完整性的特征可以保证再传输中不可能发生未检测的修改。身份验证功能使末端系统或网络设备可以验证用户或应用程序，并根据需要过滤通信量。它还可以防止在Internet上的地址欺骗攻击。此外，AH还能阻止在该区域的重复攻击。AH插入到IP分组头部和传输层分组头部中，如图8-15所示。 l其中，下一个报头字段（8b）标识紧跟报头类型。有效载荷属性字段（8b）指明整个AH的长

43、度。SPI字段（32b）是一个随机值，与外部目的IP地址一起，用于指定SA。系列号字段（32b）标明当前IP分组在整个数据分组系列中的位置，整个字段是强制的，它提供了抗重播功能，在SA创建时初始化为0，然后依次递增，达到232时则重新创建SA。即使某个特定的SA不要求抗重播功能。在发送端仍必须填写，只在接收端不进行重播检查。AH的最后一个字段认证数据是可变长的，但必须双字对齐，其默认长度为96b，为分组的完整性验证值（Integrality Check Value，ICK），是SA指定的单向散列算法、对称加密算法和密钥计算出来的身份验证码的删节。计算机网络实用技术计算机网络实用技术8.3 常

44、用网络安全技术 2IPSec的实现图图8-15 8-15 AHAH格式格式计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现l（4）封装安全载荷，AH不提供任何保密性服务，保密性服务由ESP提供，包括消息内容的保密性和有限的通信量的保密性。作为可选的功能，ESP也可以提供AH的验证服务。保密服务通过使用密码算法加密IP数据分组的相关部分来实现，密码算法使用对称密码体制，如三重DES、IDEA、RC5、CAST等。ESP的基本思路是对整个IP数据分组或传输层数据进行封装，并对ESP数据的绝大部分进行加密，如图8-16所示。 l在ESP中，有的加密算法要求明文是某些字

45、节的整数倍。所以ESP比AH多了一个长度为0255B的填充字段。这个字段也用于保证密文的双字对齐，同时它还隐藏了有效载荷的真正长度，从而为传输流量提供了一定的机密保护，但这个字段也增加了传输量。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现图图8-16 ESP分组头部格式分组头部格式计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现l（5）密钥交换，是一种混合型协议，沿用了ISAKMP（Internet Security Association and Key Management Protocol）的框架、Oakley的模式

46、以及SKEME（Secure Key Exchange Mechanism）的共享和密钥更新技术，组合成自己的验证加密材料生成技术和协商共享策略。IKE使用了ISAKMP两阶段协商机制。在第一阶段，通信各方彼此间建立一个已通过身份验证和安全保护的通道，即ISAKMP SA。在第二阶段，利用第一阶段创建的SA，为IPSec协商具体的SA。第一阶段，IKE采用“主模式（Main Mode）”交换提供身份保护。而在“野蛮模式（Aggressive Mode）”下答应次数相对较少，而且如果采用公开密钥加密算法，“野蛮模式”也可以提供身份保护。一个第一阶段可以创建多个第二阶段。一个第二阶段可以创建多个S

47、A。应用这种优化机制，每个SA建立过程至少减少一次交换和一次DH（Diffie Hellman）求幂操作。ISAKMP是框架性的，IPSec解释域（Domain of Interpretation，DI）对其进行了实例化处理，定义了标志的命名、载荷的解释等。IKE也是目前ISAKMP的唯一实例。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现l（6）加密和认证算法，高强度的加密和认证算法是IPSec实现安全性能的基础。IPSec规定可以使用各种加密算法，由通信双方事先协商，但所有IPSec实现都必须支持DES。由于DES强度不够，而不对称算法效率往往又低，3D

48、ES和AES等低开销高强度算法成为IPSec实现的趋势。IPSec用HMAC作为认证散列算法，用于计算机AH和ESP的完整性校验值（Integrity Check Value，ICV）。通信双方运用相同的算法和密钥对数据内容进行散列，结果一致则认为数据分组是可信的。只要双方协商好，散列算法也可以是任意的，IPSec中定义了HMAC-SHA-1（Secure Hash Algorithm Version 1）和HMAC-MD5（Message Digest Version 5）作为默认算法。计算机网络实用技术计算机网络实用技术8.3 常用网络安全技术 2IPSec的实现lIPSec定义了一套用

49、于认证、保护机密性和完整性的标准协议。它为上层协议提供了一个透明的端到端安全通道，其实现与应用不需要修改应用程序或者上层协议。它支持一系列加密和散列算法，具有较好的扩展性和互操作性。但IPSec也存在一些缺点，如客户/服务器模式下实现需要公钥来完成。IPSec需要已知范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。计算机网络实用技术计算机网络实用技术8.4 学习指导 l8.4.1 知识要点（1）掌握网络管理的目标、任务和功能。（2）掌握SNMP，其中包括SNMP的模型、SNMP协议。（3）掌握防火墙的类型及体系结构。（4）掌握VPN的功能、分类、原理和关键技术。

50、计算机网络实用技术计算机网络实用技术8.4 学习指导 l8.4.2 例题精讲 1网络管理的主要功能是什么？解析： l（1）配置管理，定义、识别、初始化、控制和监测被管对象功能的集合，包括以下几项。定义被管对象，给每个被管对象分配名字。定义用户组。删除不需要的被管对象。设置被管对象的初始值。处理被管对象间的关系。计算机网络实用技术计算机网络实用技术8.4 学习指导 1网络管理的主要功能是什么？解析： l（2）故障管理，实时监控网络中的故障，对故障原因做出论断，对故障进行排除，保证网络的正常运行，包括以下几项。检测被管对象的差错，或接受差错报告。创建和维护差错日志库，

51、并对其进行分析。进行诊断，以跟踪和识别差错。通过恢复措施，恢复正确的网络服务。网络实时备份。计算机网络实用技术计算机网络实用技术8.4 学习指导 1网络管理的主要功能是什么？解析： l（3）计费管理，记录用户使用网络的情况并核收费用，包括以下几项。易于更新且费率可变。允许使用信用记账收费。能根据用户组的不同进行不同的收费。收费依据为“进程”或“服务”。计算机网络实用技术计算机网络实用技术8.4 学习指导 1网络管理的主要功能是什么？解析： l（4）安全管理，保证网络不被非法使用，包括以下几项。与安全措施相关的信息分发。与安全相关的事件通知。与安全相关的设施

52、建设、控制和删除；涉及安全服务的网络操作事件的记录、维护和查阅等日志管理工作。计算机网络实用技术计算机网络实用技术8.4 学习指导 1网络管理的主要功能是什么？解析： l（5）性能管理，保证在最小网络消耗和网络时延下，提供最大的可靠且连续的通信能力，包括以下几项。从被管对象中收集与网络性能有关的数据。对收集到的数据进行统计分析，并对历史记录进行维护。分析数据，以检测性能故障，生成报告。预测网络的长期趋势。改进网络的操作模式。计算机网络实用技术计算机网络实用技术8.4 学习指导 2包过滤防火墙的原理是什么？ l解析：包过滤型防火墙根据数据分组头部中的某些标志性的字段对数

53、据分组进行过滤。当数据分组到达防火墙时，防火墙根据分组头部对源地址、目的地址、协议类型、端口号、ICMP类型等进行判断，决定是否接收该数据分组。l通过设置包过滤规则，可以阻塞来自或发送到特定地址的连接。从安全方面考虑，某组织的内部网可能需要阻塞所有来自外部站点的连接，但是包过滤防火墙的弱点在于其规则的复杂性，同时过于复杂的规则不容易进行测试。计算机网络实用技术计算机网络实用技术8.4 学习指导 l8.4.3 习题选择题l1网络安全涉及的内容主要包括（）。l 外部环境安全网络连接安全操作系统安全应用系统安全 A B C D l2网络管理涉及的方面包括（）。 l网络设计网络维

54、护网络处理网络服务提供 A B C D 计算机网络实用技术计算机网络实用技术8.4 学习指导选择题l3网络上的“黑客”是指（）。 A总是晚上上网的人 B匿名上网的人C不花钱上网的人 D在网上私闯他人计算机系统的人l 4防火墙的作用包括（）。 l 限制局域网内部用户对外网的访问l 限制外网用户对内部局域网的访问 l 限制内部用户的操作权限 l 有效防止病毒入侵 A B C D 计算机网络实用技术计算机网络实用技术8.4 学习指导选择题l5防火墙实现（）。 A只能通过软件实现 B只能通过硬件实现 C既可以通过软件，又可以通过硬件实现，还可以通过两者结合来实现 D必须通过软

55、件与硬件结合来实现 l6网络管理协议是代理和网络管理软件交换信息的方式，下列（）属于网络管理协议。 ATCP/IPBSNMPCSMTPDHTTP 计算机网络实用技术计算机网络实用技术8.4 学习指导选择题l7数据报过滤防火墙通常安装在（）。 A中继器 B集线器 C路由器 D收发器 l8（）位于互联网与局域网之间，用来保护局域网，避免来自互联网的入侵。 A防火墙 B杀毒软件C避雷针设备 D网络协议l 9网络管理优劣的关键在于（）。 A网络协议 B网络操作系统C网络管理员 D网络互联设备计算机网络实用技术计算机网络实用技术8.4 学习指导选择题l10下列叙述中，（）是不

56、正确的。 A“黑客”是指黑色的网络病毒 B计算机病毒是一种程序 CCIH是一种病毒D防火墙是一种被动防卫技术 l11网络防火墙的作用是（）。 A建立内部信息和功能与外部信息和功能之间的屏蔽 B防止系统感染病毒与非法访问 C防止黑客访问 D防止内部信息外泄计算机网络实用技术计算机网络实用技术8.4 学习指导选择题l12下列关于防火墙的叙述中，正确的是（）。 A防火墙可通过屏蔽未授权的网络访问等手段把内部网络隔离为可信任网络 B防火墙的安全性能是根据系统安全的要求而设置的，因系统的安全级别不同而有所不同 C防火墙可以有效地查杀病毒，对网络攻击可进行监测和报警 D防火墙可以把内部可信任

57、网络对外部网络或其他可信任网络的访问限制在规定的范围之内计算机网络实用技术计算机网络实用技术8.4 学习指导选择题l13数据库过滤技术是在（）对数据包进行选择。 A网络层 B传输层 C会话层 D表示层 l14设置防火墙的要素包括（）。 l网络策略服务访问策略 l防火墙设计策略增强的认证 A BCD 计算机网络实用技术计算机网络实用技术8.4 学习指导选择题l15SNMP作为网络层管理协议，是TCP/IP协议族的（）协议。 A传输层B会话层 C表示层 D应用层 l16管理信息库又称为（），是一个存放管理元素信息的数据库。 ADB BMIB CHub DNMS 计算机

58、网络实用技术计算机网络实用技术8.4 学习指导选择题l17网络的不安全性因素有（）。 A非授权用户的非法存取和电子窃听 B计算机病毒的入侵 C网络黑客 D以上都是 l18网络管理的功能是（）。 A性能分析和故障监测 B安全性管理和记费管理 C网络规划和配置管理 D以上都是计算机网络实用技术计算机网络实用技术8.4 学习指导选择题l19包过滤技术与代理服务技术相比较，（）。 A包过滤技术安全性较弱，但对网络性能产生明显影响 B包过滤技术对应用和用户是绝对透明的 C代理服务技术安全性较高，但不会对网络性能产生明显影响 D代理服务技术安全性较高，对应用和用户透明度也很高 l2

59、0以下不属于代理服务技术优点的是（）。 A可以实现身份认证 B内部地址的屏蔽和转换功能 C可以实现访问控制 D可以防范数据驱动侵袭计算机网络实用技术计算机网络实用技术8.4 学习指导填空题 l1SNMP的中文含义是，是TCP/IP协议族的一个应用层协议，是随着TCP/IP的发展而发展起来的。SNMP的网络管理模型共有3个关键元素，分别是、、。 l2防火墙通常有两种基本的设计策略，一是，二是。 l3网络管理的5大功能是、、、、。 l4防火墙是在被保护的和之间竖起的一道安全屏障，用于增强的安全性。 l5大多数网络层防火墙的功能可以设置在内部网络与Intern

60、et相连的上。 l6防火墙总体上分为、、几大类型。计算机网络实用技术计算机网络实用技术8.4 学习指导简答题 l1SNMP报文的格式是什么，包括哪几种报文操作？ l2简述防火墙的基本功能及其分类。 l3防火墙的体系结构是什么？ l4什么是VPN，其功能及分类是什么？ l5VPN的工作原理及关键技术是什么？计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 l8.5.1 实训目的（1）理解网络安全的相关概念。（2）掌握杀毒软件的安装与设置。（3）掌握个人防火墙的安装与设置。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火

61、墙的安装与设置 l8.5.2 实训内容 1杀毒软件的安装与设置 l（1）以瑞星杀毒软件为例，先购买或下载杀毒软件，然后进行杀毒软件的安装，安装完成后瑞星杀毒软件会自动启动“实时监控”，保护计算机。l（2）“手动查杀病毒”设置。 l手动查杀为用户提供了手动查杀病毒的设置界面，用户可以根据实际需求，对手动查杀时的病毒处理方式和查杀文件类型进行不同的设置，也可以使用滑块调整查杀级别。在“自定义级别”中，用户同样可以对安全级别进行设置，单击“默认级别”按钮将恢复瑞星杀毒软件的出厂设置，单击“应用”或“确定”按钮保存用户的全部设置，以后程序在扫描时即根据此级别的相应参数进行病毒扫描，如图8-17所示。

62、计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 1杀毒软件的安装与设置 l在处理方式设置中，可以对以下4种情况进行设置。发现病毒时：“询问我”、“清除病毒”、“删除染毒文件”和“不处理”。隔离失败时：“询问我”、“删除染毒文件”和“不处理”。杀毒失败时：“询问我”、“清除病毒”、“删除染毒文件”和“不处理”。杀毒结束后：“返回”、“退出”、“重启”和“关机”。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 1杀毒软件的安装与设置图图8-17 8-17 “手动查杀手动查杀”设置设置计算机网络实用技术计算机网络实用技术8

63、.5 实训1：杀毒软件和防火墙的安装与设置 1杀毒软件的安装与设置l查杀文件类型有以下4种：所有文件。仅程序文件（EXE，COM，DLL，EML等可执行文件）。自定义扩展名（多个扩展名需用英文状态的分号隔开）。选中“隐藏杀毒结果”复选框后，杀毒软件主程序查杀病毒时不显示杀毒结果。l（3）“监控状态”设置。瑞星监控的监控状态提供了对文件、邮件和网页监控状态的显示。同时在“监控状态”页面中，用户可以随时开启或关闭相应的监控，如图8-18所示。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 1杀毒软件的安装与设置图图8-18 8-18 “监控状态监控状态

64、”设置设置计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 1杀毒软件的安装与设置l（4）“主动防御”设置。主动防御是一种阻止恶意程序执行的技术。瑞星的主动防御技术提供了更开放的高级用户自定义规则的功能，用户可以根据系统的特殊情况，制定独特的防御规则，使主动防御可以最大限度地保护系统。主动防御是瑞星杀毒软件2008版的一项新功能，在功能设计方面脱离了病毒库，以往杀毒软件只是发现应用程序类似病毒就去病毒库中进行验证，这样判断的病毒都是已经发现的病毒，对于新病毒便失去了防御作用。主动防御具有独特的功能设计，是瑞星公司根据多年判断病毒的经验制定的一系列规则，通过规则

65、过滤应用程序，当发现存在恶意行为时，便告知用户，这样将处理此恶意行为的权力交给用户，由用户决定放过还是拒绝此类危险动作，从而可以达到主动预防病毒的作用。即使遇到一个病毒库里面没有记录的新病毒，瑞星杀毒软件可以提前帮助用户发现它。在病毒肆虐的网络中，主动防御功能在病毒与计算机之间又设置了一道屏障，将病毒置之门外。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 1杀毒软件的安装与设置l（4）“主动防御”设置。主动防御由系统加固、应用程序访问控制、应用程序保护、程序启动控制、恶意行为检测、隐藏进程保护、自我保护等功能组成。选择瑞星2008杀毒软件主界面的防御界面

66、，可以应用和设置主动防御的各项功能，如图8-19所示图图8-19 8-19 “主动防御主动防御”设置设置计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 1杀毒软件的安装与设置l（5）查杀病毒。启动瑞星杀毒软件主界面，如图8-20所示，单击“全盘杀毒”图标。图图8-20 8-20 瑞星杀毒软件瑞星杀毒软件“主界面主界面”计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 1杀毒软件的安装与设置l（5）查杀病毒。进入到杀毒界面，如图8-21所示，还可以单击“更多信息”链接，查看杀毒的具体情况，如图8-22所示。图图8-21

67、杀毒界面杀毒界面计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l个人防火墙是为解决网络上黑客攻击问题而研制的个人信息安全产品，具有完备的规则设置，能有效地监控任何网络连接，保护网络不受黑客的攻击。 l（1）瑞星个人防火墙具有以下主要新特性。防火墙多账户管理。防火墙提供“管理员”和“普通用户”两种账户。防火墙提供切换账户功能，可以在两种账户之间进行切换。管理员可以执行防火墙的所有功能，普通用户不能修改任何设置、规则、不能启动/停止防火墙、不能退出防火墙，并且普通用户切换到管理员用户需要输入管理员用户的密码。计算机网络实用技术计算

68、机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l（1）瑞星个人防火墙具有以下主要新特性。图图8-22 8-22 杀毒更多信息杀毒更多信息计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l（1）瑞星个人防火墙具有以下主要新特性。未知木马扫描技术。通过启发式查毒技术，当有程序进行网络活动的时候，对该进程调用未知木马扫描程序进行扫描，如果该进程为可疑的木马病毒，则提示用户。此技术提高了对可疑程序自动识别的能力。 IE功能调用拦截。由于IE提供了公开的COM组件调用接口，有可能被恶意程序所调用。此功

69、能是对需要调用IE接口的程序进行检查。如果检查为恶意程序，报警给用户。反钓鱼，防木马病毒网站。提供强大的、可以升级的黑名单规则库。库中是非法的、高风险、高危害的网站地址列表，符合该库的访问会被禁止。模块检查。防火墙能够控制是否允许某个模块访问网络。当应用程序访问网络的时候，对参与访问的模块进行检查，根据模块的访问规则决定是否允许该访问。以往的防火墙只是对应用程序进行检查，而没有对所关联的DLL做检查。进行模块检查，防止了木马模块注入到正常进程中，访问网络。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l（2）防火墙的安装，先下

70、载或购买瑞星防火墙，将其安装到计算机中，安装完成后，瑞星防火墙会自动启动监控功能。l（3）防火墙主界面，如图8-23所示，包含以下部分。图图8-23 8-23 瑞星杀毒软件主界面瑞星杀毒软件主界面计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l（3）防火墙主界面，如图8-23所示，包含以下部分。菜单栏，用于进行菜单操作的窗口，包括“操作”、“设置”、“帮助”3个菜单。操作按钮，位于主界面右侧，包括“启动/停止保护”、“连接/断开网络”、“软件升级”“查看日志”。标签，位于主界面上部，包括“工作状态”、“系统状态”、“启动选项

71、”、“访问规则”、“漏洞扫描”、“安全资讯”6个标签。安全级别，位于主界面右下角，拖动滑块到对应的安全级别，修改立即生效。当前版本及更新日期，位于主界面下方，显示防火墙当前版本及更新日期。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l（4）防火墙普通设置，进入“详细设置”“普通”界面，进行系统选项、日志记录种类等设置，单击“保存设置”按钮进行保存，如图8-24所示。图图8-24 8-24 普通设置界面普通设置界面计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l（

72、4）防火墙普通设置，进入“详细设置”“普通”界面，进行系统选项、日志记录种类等设置，单击“保存设置”按钮进行保存，如图8-24所示。在“系统选项”中包含以下部分。 l启动方式：包括自动方式和手动方式。选中自动方式后，防火墙随系统的启动而启动，此设置为默认设置。选中手动方式后，防火墙需要手动启动。 l规则顺序：可选择访问规则优先或IP规则优先。当访问规则和IP规则有冲突的时候，防火墙将依照此规则顺序执行。例如，访问规则规定IE程序可以访问网络，IP规则规定不允许访问瑞星网站，如果用户选择“访问规则优先”，则可以访问瑞星网站；如果用户选择“IP规则优先”，由于IP规则不允许访问瑞星网站，即使访问

73、规则允许 IE 访问网络，也无法访问瑞星网站。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l（4）防火墙普通设置，进入“详细设置”“普通”界面，进行系统选项、日志记录种类等设置，单击“保存设置”按钮进行保存，如图8-24所示。在“系统选项”中包含以下部分。 l启动账户：设置防火墙启动时的账户，只有在用户重新启动防火墙的时候才可以看到结果。 l声音报警：选中后当用户的计算机受到攻击时防火墙将会发出声音报警，可以单击“浏览”按钮选择声音文件。 l状态通知：默认选中此项，若取消选中，则不显示提示防火墙状态的气泡通知。计算机网络实用

74、技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 2瑞星防火墙的安装与设置 l（4）防火墙普通设置，进入“详细设置”“普通”界面，进行系统选项、日志记录种类等设置，单击“保存设置”按钮进行保存，如图8-24所示。 “日志记录种类”指定哪些类型的事件记录在日志中，包括“修订规则”、“系统动作”、“修改配置”、“清除木马病毒”、“禁止应用”。单击“更多设置”按钮进行日志详细选项的设置，如日志文件大小、每页显示记录等。提供日志满后自动备份功能，默认选中“日志文件满后自动备份”，用户可以设定备份文件的总大小，单击“浏览”按钮选择备份文件路径，单击“确定”按钮保存设置。计算机网络实

75、用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 “不在访问规则中的程序访问网络的默认动作”中有5种模式。 l屏保模式：在屏保模式下对于应用程序网络访问请求的策略，默认是自动拒绝。l锁定模式：在屏幕锁定状态下对于应用程序网络访问请求的策略，默认是自动拒绝。 l交易模式：在交易模式下对于应用程序网络访问请求的策略，默认是自动拒绝。 l未登录模式：在未登录模式下对于应用程序网络访问请求的策略，默认是自动拒绝。 l静默模式：不与用户交互的模式，在静默模式下对于应用程序网络访问请求的策略，默认是自动拒绝。在5种模式中屏保模式、未登录模式和锁定模式可根据计算机状态自动切换，其他两种

76、模式为手动切换。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 3种默认动作如下。 l自动拒绝：不提示用户，自动拒绝应用程序对网络的访问请求。 l自动放行：不提示用户，自动放行应用程序对网络的访问请求。 l询问我：提示用户，由用户选择处理方式。以上普通设置修改后，单击“保存设置”按钮确定并保存。如果要恢复默认设置，可以单击“恢复默认”按钮。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 l（5）防火墙高级设置：打开防火墙主程序，在菜单中单击“设置”“详细设置”命令，在左侧树型菜单中单击“选项”下的“高级”选项，进入高级设

77、置，如图8-25所示。图图8-25 高级设置界面高级设置界面计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 l设置项目包括以下选项。安全，包括以下7个复选框。 l启用未登录保护：若选中此项，表示在系统未登录状态下开启防火墙保护功能，默认为选中。 l启动防火墙时进行木马病毒扫描：若选中此项，表示在启动防火墙时自动扫描木马病毒。 l连接瑞星安全资讯中心：若选中此项，表示在联网时切换到安全资讯页面可自动连到瑞星反病毒资讯网，显示相关信息，默认为选中。 l程序连接网络被拒绝时提示用户：若选中此项，表示程序连接网络失败时会提示用户，默认为选中。 l启用程序防篡改功能

78、：若选中此项，表示可以启用应用程序防篡改保护功能。 l未知程序访问网络时进行木马病毒扫描：若选中此项表示当有程序进行网络活动的时候，对该进程调用未知木马病毒进行扫描，如果该进程为可疑的木马病毒，则对用户进行告警。默认为选中。 l设置管理员账户密码：用户可通过设置管理员账户密码，防止普通用户在未经允许的情况下修改防火墙配置或关闭防火墙。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置设置提示窗口停留时间，包括以下几项。 l应用程序访问网络提示窗口：输入应用程序访问网络的提示窗口停留时间，默认为60s。 lIP数据包信息窗口：输入IP数据包信息的窗口停留时间，默

79、认为30s。 l气泡通知窗口：输入气泡通知窗口的停留时间，默认为10s。以上这些提示窗口的停留时间都可以根据用户的需要自行设定。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置漏洞扫描提醒时间，用户可以设置漏洞扫描的定时提醒，时间单位为“天”。例如，默认提醒时间是5天，则5天以上用户没有进行漏洞扫描，就会在“工作状态”页的系统漏洞信息处显示提醒信息。其他功能包括以下几项。 l恢复默认：将当前设置恢复为默认值。 l保存设置：保存当前设置。计算机网络实用技术计算机网络实用技术8.5 实训1：杀毒软件和防火墙的安装与设置 l8.5.3 实训报告根据实训内容

80、，掌握杀毒软件、防火墙的安装方法与功能设置，并详细记录实训内容的步骤。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec l8.6.1 实训目的（1）掌握在Windows XP环境下配置IPSec的步骤。（2）掌握在实际中应用IPSec。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec l8.6.2 实训内容 1打开IPSec配置对话框 l打开“开始”菜单，单击“设置”中的“控制面板”命令，选择“管理工具”中的“本地安全策略”快捷方式，弹出“本地安全设置”窗口，如图8-26所示。 l最初的窗口显示3种预定义的策略项，分别是安全服务器、客户端和服务器。在

81、每个预定义的策略描述中详细解释了该策略的操作原则。如果想修改系统预定义的细节，可以右击该策略，并单击“属性”命令进行修改。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 1打开IPSec配置对话框图图8-26 8-26 “本地安全设置本地安全设置”窗口窗口计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 2新建一个策略 l（1）右击“本地安全设置”窗口中的“IP安全策略，在本地机器上”选项，弹出快捷菜单，单击“创建IP安全策略”命令，如图8-27所示。弹出“IP安全策略向导”对话框，如图8-28所示。图图8-27 创建创建IP安全策略安全策略图图8

82、-28 “IP安全策略向导安全策略向导”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 2新建一个策略 l（2）单击“下一步”按钮，为新的IP安全策略命名，并描述该安全策略，如图8-29所示。图图8-29 设置设置IP安全策略名称安全策略名称计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 2新建一个策略 l（3）单击“下一步”按钮，选中对话框中的“激活默认响应规则”复选框，如图8-30所示。图图8-30 设置安全通讯请求设置安全通讯请求计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 2新建一个策略 l（4）单击“

83、下一步”按钮，选中“Active Directory默认值（Kerberos V5协议）”单选按钮，使其作为默认的初始身份验证方法，如图8-31所示。图图8-31设置身份验证方法设置身份验证方法计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 2新建一个策略 l（5）单击“下一步”按钮，选中“编辑属性”复选框，单击“完成”按钮即完成了IPSec的基本配置，如图8-32所示。图图8-32 完成完成IP安全策设置安全策设置计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l（1）完成基本配置后，弹出新IP安全策略属性对话框，如图8-

84、33所示，可以根据用户添加自定义的“IP安全规则”。图图8-33 新新IP安全策略属性安全策略属性计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l（2）取消选中“使用添加向导”复选框，单击“添加”按钮，弹出“新规则属性”对话框，如图8-34所示。图图8-34 “新规则新规则属性属性”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l（3）首先设置“IP筛选器列表”，在“IP筛选器列表”选项上单击“添加”按钮，弹出“IP筛选器列表”对话框，如图8-35所示。图图8-35 “IP 筛选器

85、列表筛选器列表”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l（4）输入新IP筛选器列表的名称和描述信息，取消选中“使用添加向导”复选框，单击“添加”按钮，弹出“筛选器属性”对话框，如图8-36所示。图图8-36 “筛选器筛选器属性属性”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l在“筛选器属性”对话框中包含3个标签：寻址、协议和描述。寻址：可以对IP数据流的源地址和目标地址进行规定。协议：可以对数据流所使用的协议进行规定，如果选择了“TCP”或“UDP”选项就

86、可以对源端和目的端使用的端口号做出规定，如图8-37所示。描述：对新筛选器做出简单描述。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性图图8-36 “筛选器筛选器属性属性”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l（5）完成筛选器属性设置后，在IP筛选器列表中会添加新设置的IP筛选器，如图8-38所示，选中此内容。图图8-38 选中新设置的选中新设置的IP筛选策略筛选策略计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l（6）在“新规则

87、属性”对话框中，选择“筛选器操作”选项卡。对符合IP筛选器所设定规则的数据流进行处理，如图8-39所示。取消选中“使用添加向导”复选框，单击“添加”按钮，弹出“新筛选器操作属性”对话框，如图8-40所示。图图8-39 “筛选器操作筛选器操作”选项卡选项卡图图8-40 “新筛选器操作新筛选器操作属性属性”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l（7）在这里可以对新筛选器操作的细节进行设置。其中，可以选中“许可”或者“阻止”单选按钮对符合IP筛选器所设定规则的数据流进行过滤。由此可见，这实际上就是简单地实现了一个普通防火墙

88、的功能。另外，选中“协商安全”单选按钮，还可以对允许的通信进行进一步的安全设置。单击“添加”按钮来添加相对应的安全措施，如图8-41所示。图图8-41 “新增安全措施新增安全措施”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性 l在该对话框中，有3个单选按钮可供选择。加密并保持完整性：选择以最高的安全级别来保护数据。使用“封装安全措施负载量”来实现数据加密、身份验证、防止重发和完整性，以适合高的安全级别。仅保持完整性：使用验证报头（AH）协议来实现完整性、防止重发和身份验证，以适合安全计划需要的标准的安全级别。AH提供IP报头和数据

89、的完整性，是不加密的数据。 “自定义”，如果需要加密和地址完整性、更强大的算法或密钥寿命，则可以指定自定义的安全措施，如图8-42所示。其中包括以下几项。 l“数据和地址不加密的完整性（AH）”算法，主要包括两种：一种是消息摘要5算法（MD5），产生128b的密钥；另一种是安全散列算法（SHA1），产生160b的密钥。密钥越长越安全。 l“数据完整性和加密（ESP）”算法，其中“完整性算法”包括MD5、SHA1算法；“加密算法”包括3DES、DES。 l“会话密钥设置”，包括“生成新密钥间隔”，可以用千字节数和秒数指定密钥生成期。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPS

90、ec 3配置新安全策略属性图图8-42 “自定义安全措施设置自定义安全措施设置”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性l（8）如果添加了多个安全措施，可以通过“上移”、“下移”按钮来调整与另一台计算机协商时采取的安全措施的顺序，如图8-43所示。图图8-43 调整安全措施的顺序调整安全措施的顺序计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性l在“安全措施”选项卡中包含3个复选框。接受不安全的通迅，但总是用IPSec响应：接受由其他计算机初始化的不受保护的通信，但在本机应答或初始化时

91、总是使用安全的通信。允许和不支持IPSec的计算机进行不安全的通迅：允许来自或到其他计算机的不受保护的通信。会话密钥完全向前保密：确保会话密钥和密钥材料不被重复使用。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性l（9）设置结束后，返回新规则属性对话框，在“筛选器操作”选项卡中选中“新筛选器操作”单选按钮，如图8-44所示。图图8-44 选中新设置的筛选器操作选中新设置的筛选器操作计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性l（10）选择“身份验证方法”选项卡，在“身份验证方法”选项卡中定义向每一位

92、用户保证其他计算机或用户的身份的方法，如图8-45所示。每种身份验证方法提供必要的手段来保证身份的正确和安全。单击“添加”按钮，设置身份验证方法。Windows XP支持3种验证方法：KerberosV5协议、使用证书和使用预共享的密钥，如图8-46所示。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性图图8-45 “身份验证方法身份验证方法”选项卡选项卡图图8-46 “新身份验证方法新身份验证方法属性属性”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性l（11）选择“隧道设置”选项卡，当只与

93、特定的计算机进行通信并知道该计算机的IP地址时，选中“隧道终点由此IP地址指定”单选按钮，并输入目标计算机的IP地址，如图8-47所示。图图8-47 “隧道设置隧道设置”选项瞳选项瞳计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性l（12）选择“连接类型”选项卡，为每个规则指定的连接类型可以决定计算机的连接是否接收IPSec策略的影响。每个规则拥有一种连接类型，该类型指定规则是否应用到“局域网连接”、远程访问连接或所有网络连接上，如图8-48所示。图图8-48 “连接类型连接类型”选项卡选项卡计算机网络实用技术计算机网络实用技术8.6 实训2：配

94、置IPSec 3配置新安全策略属性l（13）另外，新IP安全策略属性对话框中还有“常规”选项卡。在这个选项卡中可以输入新IP安全策略的名称和描述，还可以更改“检查策略更改间隔”的值，如图8-49所示。另外，单击“高级”按钮，弹出“密钥交换设置”对话框，在这里对密钥交换进行高级设置，如图8-50所示。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性图图8-49 “常规常规”标签标签图图8-50 “密钥交换设置密钥交换设置”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性在“密钥交换设置”对话框中，设

95、置选项包括以下几项。 l 主密钥完全向前保密：保证没有重用以前使用的密钥材料或密钥来生成其他主密钥。 l 身份验证和生成新密钥间隔：其中可以确定在其后将生成新密钥的时间间隔，还可以限制主密钥可以被当作会话密钥的密钥材料而重复使用的次数。如果已经启用了“主密钥完全向前保密”，则会忽略该参数。 l 用这些安全措施保护身份：单击“方法”按钮，弹出“密钥交换安全措施”对话框，可以对安全措施首选顺序以及IKE安全算法细节做出选择，如图8-51所示。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性图图8-51 “密钥交换安全措施密钥交换安全措施”标签标签计算机网

96、络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性l（14）单击“添加”按钮，弹出“IKE安全算法”对话框，其中可以设置“完整性算法”、“加密算法”和“DiffieHellman小组”3个选项，如图8-52所示。图图8-52 “IKE安全算法安全算法”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 3配置新安全策略属性l（15）设置完成后，右击新建立的IP安全策略，并单击“指派”命令，使该IP安全策略启动，如图8-53所示。图图8-53 指派新指派新IP安全策略安全策略计算机网络实用技术计算机网络实用技术8.6 实训2：配置

97、IPSec 3配置新安全策略属性l（16）右击“IP安全策略，在本地机器”选项，单击“管理IP筛选器表和筛选器操作”命令，弹出“管理IP筛选器表和筛选器操作”对话框，可以对IP安全策略进行修改，如图8-54所示。图图8-54 “管理管理IP筛选器表和筛选器操作筛选器表和筛选器操作”对话框对话框计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 4配置两台主机通过IPSec进行通信 l（1）准备两台主机，采用直连方式进行连接，拓扑结构如图8-55所示，为两台主机设置相应的IP地址。图图8-55 两台主机的拓扑结构两台主机的拓扑结构计算机网络实用技术计算机网络实用技术8.6

98、实训2：配置IPSec 4配置两台主机通过IPSec进行通信 l（2）配置两台主机的IPSec。l先配置主机A，步骤如下：建立新的IPSec策略，接受默认的“Active Directory默认值（Kerberos V5协议）”选项作为默认响应规则身份验证方法。添加新规则，取消选中“使用添加向导”复选框，单击“添加”按钮，弹出“新规则属性”对话框。添加新过滤器，单击“添加”按钮，弹出“IP筛选器列表”对话框，再单击“添加”按钮，弹出“筛选器属性”对话框。在“寻址”选项卡中将“源地址”改为“一个特定的IP地址”，并输入主机A的IP地址。将“目标地址”改为“一个特定的IP地址”，输入

99、主机B的IP地址。在“协议”选项卡中选择“协议类型”为ICMP。设置完成后，返回“新规则属性”对话框。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 4配置两台主机通过IPSec进行通信选中新添加的过滤器旁边的单选按钮激活新设置的过滤器。单击“新规则属性”对话框中的“筛选器操作”标签，取消选中“使用添加向导”复选框，单击“添加”按钮，弹出“新筛选器操作属性”对话框。选中“协商安全”单选按钮，单击“添加”按钮选择安全方法。选择“数据和地址不加密的完整性（AH）”项后，返回“新筛选器操作属性”对话框。选中新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。选择

100、“新规则属性”中的“身份验证方法”选项卡，单击“添加”按钮，弹出“新身份验证方法属性”对话框。选中“使用此字串（预共享密钥）”单选按钮，并输入预共享密钥字串“ABCD”，返回“身份验证方法”选项卡，单击“上移”按钮，使“预共享的密钥”成为首选项。选择“新规则属性”对话框中的“隧道设置”选项卡，选中“此规则不指定IPSec隧道”单选按钮。选择“新规则属性”对话框中的“连接类型”选项卡，选中“所有网络连接”单选按钮。设置完毕后回到“本地安全策略”设置。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 4配置两台主机通过IPSec进行通信 l配置主机B的步骤和配置主机

101、A的步骤相同，只是在配置过滤器时对IP地址进行交换。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 4配置两台主机通过IPSec进行通信 l（3）测试IPSec。l在不激活主机A和主机B的IPSec时进行测试。在主机A中执行命令“ping 192.168.0.2”，观察屏幕提示。在主机B中执行命令“ping 192.168.0.1”，观察屏幕提示。 l在一方激活IPSec后进行测试。在主机A新建的IP安全策略上右击，单击“指派”命令，激活该IP安全策略。在主机A中执行命令“ping 192.168.0.2”，观察屏幕提示。在主机B中执行命令“ping 192.1

102、68.0.1”，观察屏幕提示。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec 4配置两台主机通过IPSec进行通信 l（3）测试IPSec。l在双方激活IPSec后进行测试。在主机A新建的IP安全策略上右击，单击“指派”命令，激活该IP安全策略。在主机B新建的IP安全策略上右击，单击“指派”命令，激活该IP安全策略。在主机A中执行命令“ping 192.168.0.2”，观察屏幕提示。在主机B中执行命令“ping 192.168.0.1”，观察屏幕提示。计算机网络实用技术计算机网络实用技术8.6 实训2：配置IPSec l8.6.3 实验报告根据实训内容，熟悉实训中设置的方法，并详细记录这些步骤，写出测试IPSec后的结果。计算机网络实用技术计算机网络实用技术

展开阅读全文

计算机网络实用技术第8章网络管理与安全

最新文档