《第10章 网络管理与网络安全(10)》由会员分享,可在线阅读,更多相关《第10章 网络管理与网络安全(10)(36页珍藏版)》请在金锄头文库上搜索。
1、第第10章章 网络管理与网络安全网络管理与网络安全 10.1 网络管理网络管理10.2 网络安全网络安全西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础10.1 网络管理网络管理一、网络管理的定义和目标一、网络管理的定义和目标1. 网络管理的定义网络管理的定义n网络管理网络管理,简称网管,简单地说就是为保证网络系,简称网管,简单地说就是为保证网络系统能够持续、稳定、安全、可靠和高效地运行,对统能够持续、稳定、安全、可靠和高效地运行,对网络实施的一系列方法和措施。网络实施的一系列方法和措施。n网络管理的任务网络管理的任务就是收集、监控网络中各种设备和就是收集、
2、监控网络中各种设备和设施的工作参数、工作状态信息,将结果显示给管设施的工作参数、工作状态信息,将结果显示给管理员并进行处理,从而控制网络中的设备、设施,理员并进行处理,从而控制网络中的设备、设施,工作参数和工作状态,以实现对网络的管理。工作参数和工作状态,以实现对网络的管理。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础一、网络管理的定义和目标一、网络管理的定义和目标2. 网络管理的目标网络管理的目标n减少停机时间,改进响应时间,提高设备利用率;减少停机时间,改进响应时间,提高设备利用率;n减少运行费用,提高效率;减少运行费用,提高效率;n减少或消除网络瓶
3、颈;减少或消除网络瓶颈;n适应新技术;适应新技术;n使网络更容易使用;使网络更容易使用;n安全。安全。3.3.网络管理的对象网络管理的对象n包括对网络硬件资源和软件资源的管理包括对网络硬件资源和软件资源的管理西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础二、网络管理的基本功能二、网络管理的基本功能l在在OSI网络管理标准中定义了网络管理的网络管理标准中定义了网络管理的5个基本功能:个基本功能:n配置管理配置管理n性能管理性能管理n故障管理故障管理n安全管理安全管理n计费管理计费管理西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机
4、网络基础1.1.故障管理故障管理 l故障管理的主要任务是发现和排除网络故障故障管理的主要任务是发现和排除网络故障 。其其典型功能包括:典型功能包括:(1 1)维护并检查错误日志)维护并检查错误日志(2 2)接受错误检测报告并做出响应)接受错误检测报告并做出响应(3 3)跟踪、辨认错误)跟踪、辨认错误(4 4)执行诊断测试)执行诊断测试(5 5)纠正错误)纠正错误西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础2.2.配置管理配置管理l配配置置管管理理:监监视视网网络络和和系系统统的的配配置置信信息息,以以便便跟跟踪踪和和管管理理不不同同的的软软硬硬件件元元素
5、素对对网网络络操操作作的的作作用用,提提高高整整个个网网络的性能。主要包括:络的性能。主要包括:n网网络资源的配置及其活源的配置及其活动状状态的的监视n网网络资源之源之间的关系的的关系的监视与控制与控制n新新资源的加入,旧源的加入,旧资源的源的删除除n定定义新的管理新的管理对象象n识别管理管理对象,象,给每个每个对象分配名字象分配名字n初始化初始化对象,启象,启动、关、关闭对象象n管理各个管理各个对象之象之间的关系的关系n改改变管理管理对象的参数象的参数西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础3.3.计费管理计费管理l计费管理计费管理用于记录用户对网
6、络业务的使用情况以确定用于记录用户对网络业务的使用情况以确定使用这些业务的费用。包括:使用这些业务的费用。包括:n建立和维护一个目标机器地址数据库,能对该数据库中的任建立和维护一个目标机器地址数据库,能对该数据库中的任意一台机器(一个意一台机器(一个IPIP地址)进行计费;地址)进行计费;n能够对指定能够对指定IPIP地址进行流量限制,当超过使用限额时,即可地址进行流量限制,当超过使用限额时,即可将其封锁,禁止其使用;将其封锁,禁止其使用;n能够按天、按月、按能够按天、按月、按IPIP地址或按单位提供网络的使用情况,地址或按单位提供网络的使用情况,在规定的时间到来(比如一个月)的时候,根据本机
7、数据库在规定的时间到来(比如一个月)的时候,根据本机数据库中的中的E-mailE-mail地址向有关单位或个人发送帐单;地址向有关单位或个人发送帐单;n可以将安装有网络计费软件的计算机配置成可以将安装有网络计费软件的计算机配置成WebWeb服务器,允服务器,允许使用单位和个人随时进行查询。许使用单位和个人随时进行查询。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础4.4.性能管理性能管理 l性能管理的目的是维护网络服务质量性能管理的目的是维护网络服务质量(QoS)和网络和网络运营效率。典型功能包括:运营效率。典型功能包括:(1 1)收集统计信息;)收集统计
8、信息;(2 2)维护并检查系统状态日志;)维护并检查系统状态日志;(3 3)分析这些数据,以判断是否处于正常(基线)分析这些数据,以判断是否处于正常(基线)水平并产生相应的报告水平并产生相应的报告(4 4)改变系统操作模式以进行系统性能管理的操作。)改变系统操作模式以进行系统性能管理的操作。 西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础5.5.安全管理安全管理 l网网络络安安全全管管理理主主要要是是控控制制对对网网络络资资源源的的访访问问,以以保保证证网网络络不不被被有有意意或或无无意意地地侵侵害害,并并保保证证敏感信息不被那些未授权的用户访问。敏感信息
9、不被那些未授权的用户访问。n包包括括对对授授权权机机制制、访访问问控控制制、加加密密和和加加密密关关键键字字的的管管理理,数数据据安安全全管管理理,另另外外还还要要维护和检查安全日志,灾难恢复等。维护和检查安全日志,灾难恢复等。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础三、网络管理体系结构三、网络管理体系结构 1.网络管理者网络管理者网管代理模型网管代理模型 西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础三、网络管理体系结构三、网络管理体系结构 l网络管理者网络管理者:网络管理者是指实施网络管理的处理实网络管理者是
10、指实施网络管理的处理实体,网络管理者驻留在管理工作站上,管理工作站通体,网络管理者驻留在管理工作站上,管理工作站通常是指那些工作站、微机等,一般位于网络系统的主常是指那些工作站、微机等,一般位于网络系统的主干或接近于主干的位置,它负责发出管理操作的指令,干或接近于主干的位置,它负责发出管理操作的指令,并接收来自网管代理的信息。并接收来自网管代理的信息。l网管代理网管代理:网管代理是一个软件模块,它驻留在被管:网管代理是一个软件模块,它驻留在被管设备上它的功能是把来自网络管理者的命令或信息的设备上它的功能是把来自网络管理者的命令或信息的请求转换成本设备特有的指令,完成网络管理者的批请求转换成本设
11、备特有的指令,完成网络管理者的批示或把所在设备的信息返回到网络管理者。网管代理示或把所在设备的信息返回到网络管理者。网管代理实际所起的作用就是充当网络管理者与网管代理所驻实际所起的作用就是充当网络管理者与网管代理所驻留的设备之间的信息中介。留的设备之间的信息中介。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础三、网络管理体系结构三、网络管理体系结构l管管理理站站和和网网管管代代理理者者之之间间通通过过网网络络管管理理协协议议通通信信,网网络管理者进程通过网络管理协议来完成网络管理。络管理者进程通过网络管理协议来完成网络管理。n目目前前最最有有影影响响的的网
12、网络络管管理理协协议议是是SNMP和和CMIP。其其中中SNMP流流传传最最广广,获获得得支支持持也也最最广广泛泛,已已经经成成为为事实上的工业标准。事实上的工业标准。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础三、网络管理体系结构三、网络管理体系结构l管管理理信信息息库库(MIB)是是一一个个信信息息存存储储库库,它它是是网网络络管管理理系系统统中中的的一一个个非非常常重重要要的的部部分分。MIB定定义义了了一一种种对对象数据库,由系统内的许多被管对象及其属性组成。象数据库,由系统内的许多被管对象及其属性组成。n在在MIB中中的的数数据据可可大大体体分
13、分为为3类类:感感测测数数据据、结结构构数数据和控制数据。据和控制数据。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础四、网络管理协议四、网络管理协议l 网络管理系统中最重要的部分就是网络协议,它定义网络管理系统中最重要的部分就是网络协议,它定义了网络管理者与网管代理间的通信方法。了网络管理者与网管代理间的通信方法。 1.SNMP协议协议 2.CMIP协议协议 西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础1.SNMP1.SNMP协议协议 lSNMP是是由由一一系系列列协协议议组组和和规规范范组组成成的的,它它们们提提
14、供供了了一一种种从从网网络络上上的的设设备备中中收收集集网网络络管管理理信信息息的的方方法法。它它的的前前身身是是简简单单网网关关管管理理协协议议(SGMP),用用来来对对通通信信线线路路进进行行管管理理。随随后后,人人们们对对SGMP进进行行了了很很大大的的修修改改,特特别别是是加加入入了了符符合合Internet定定义义的的SMI和和MIB体系结构,改进后的协议就是著名的体系结构,改进后的协议就是著名的SNMP。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础1.SNMP1.SNMP协议协议lSNMP使用嵌入到网络设施中的代理软件来收集网络使用嵌入到网络
15、设施中的代理软件来收集网络的通信信息和有关网络设备的统计数据。代理软件不的通信信息和有关网络设备的统计数据。代理软件不断地收集统计数据,并把这些数据记录到一个管理信断地收集统计数据,并把这些数据记录到一个管理信息库(息库(MIB)中,网络管理员(简称网管员)通过向代)中,网络管理员(简称网管员)通过向代理的理的MIB发出查询信号可以得到这些信息,这个过程发出查询信号可以得到这些信息,这个过程就叫就叫轮询(轮询(polling)。)。lSNMP是是Internet组织来管理组织来管理TCP/IP互联网和以太网互联网和以太网的,由于实现、理解和排错很简单,所以受到很多产的,由于实现、理解和排错很简
16、单,所以受到很多产品的广泛支持,但是安全性较差。品的广泛支持,但是安全性较差。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础2.CMIP2.CMIP协议协议 lISOISO制定的公共管理信息协议制定的公共管理信息协议(CMIPCMIP),),主要是针对主要是针对OSIOSI七层协议模型的传输环境而设计的。七层协议模型的传输环境而设计的。CMIPCMIP是一个更是一个更为有效的网络管理协议。为有效的网络管理协议。n一方面,一方面,CMIPCMIP采用了事件报告机制,具有及时性的采用了事件报告机制,具有及时性的特点;特点;n另一方面,另一方面,CMIPCMIP
17、把更多的工作交给管理者去做,减把更多的工作交给管理者去做,减轻了终端用户的工作负担。轻了终端用户的工作负担。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础10.2 网络安全网络安全一、网一、网络安全概述安全概述二、数据加密二、数据加密三、网三、网络安全技安全技术四、防火四、防火墙技技术西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础一、网络安全概述一、网络安全概述1.网络安全的定义网络安全的定义l 网络安全从其本质上来讲就是网络上的信息安全,是网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中
18、的数据受到保护,指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。系统连续可靠正常地运行,网络服务不中断。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础2.针对网络安全的威胁主要有三种针对网络安全的威胁主要有三种 (1)人为的无意失误:人为的无意失误: n如操作员安全配置不当造成的安全漏洞,用户安全意识不如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人强,用户口令选择不慎,
19、用户将自己的帐号随意转借他人或与别人共享或与别人共享 (2)人为的恶意攻击:所面临的最大威胁人为的恶意攻击:所面临的最大威胁 n主动攻击:主动攻击:以各种方式有选择地破坏信息的有效性和完整以各种方式有选择地破坏信息的有效性和完整性性n被动攻击:被动攻击:在不影响网络正常工作的情况下,进行在不影响网络正常工作的情况下,进行截获、截获、窃取、破译以获得重要机密信息窃取、破译以获得重要机密信息。 (3)网络软件的漏洞和网络软件的漏洞和“后门后门” :黑客进行攻击的首选目标:黑客进行攻击的首选目标 西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础3.计算机网络安全等
20、级计算机网络安全等级l绝对安全的计算机网络不存在,安全是相对的。绝对安全的计算机网络不存在,安全是相对的。l1985年美国国防部发表年美国国防部发表可信计算机系统评估准则可信计算机系统评估准则(橘皮书)(橘皮书),依据处理的信息等级和采取相应对策将计算机系统安全性划,依据处理的信息等级和采取相应对策将计算机系统安全性划分为:分为:A、B、C、D四个等级,其中较高等级的安全范围涵盖四个等级,其中较高等级的安全范围涵盖较低等级的安全范围,而每个大等级又依安全性高低分成数个较低等级的安全范围,而每个大等级又依安全性高低分成数个小等级,即:小等级,即:nD最低保护(最低保护(Minimal Prote
21、ction)nC自定式保护(自定式保护(Discretionary Protection)nB强制式保护(强制式保护(Mandatory Protection)nA可验证之保护(可验证之保护(Verified Protection)西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础4.计算机网络的安全体系计算机网络的安全体系l包括:物理安全、访问控制安全、系统安全、用户安包括:物理安全、访问控制安全、系统安全、用户安全、信息安全、安全传输、管理安全等全、信息安全、安全传输、管理安全等l实现技术:主机安全、身份认证、访问控制、密码、实现技术:主机安全、身份认证、
22、访问控制、密码、防火墙、安全审计、安全管理、系统漏洞检测、黑客防火墙、安全审计、安全管理、系统漏洞检测、黑客跟踪等。跟踪等。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础二、数据加密二、数据加密l 密码技术是对存储或者传输的信息采取秘密交换以防密码技术是对存储或者传输的信息采取秘密交换以防止第三者对信息窃取的技术。止第三者对信息窃取的技术。l密码技术分为密码技术分为加密加密和和解密解密两部分。加密是把需要加密两部分。加密是把需要加密的报文(简称明文)按照密钥参数进行变换,产生密的报文(简称明文)按照密钥参数进行变换,产生密码文件(简称密文)。解密是按照密钥
23、把密文还原成码文件(简称密文)。解密是按照密钥把密文还原成明文的过程。密钥是一个数值,它和加密算法一起生明文的过程。密钥是一个数值,它和加密算法一起生成特别的密文。成特别的密文。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础1.对称密码体制对称密码体制l 私钥密码体制是从传统的简单换位、代替密码发展而来的,也私钥密码体制是从传统的简单换位、代替密码发展而来的,也称为对称密钥密码体制。对称密钥密码体制使用相同的密钥加称为对称密钥密码体制。对称密钥密码体制使用相同的密钥加密和解密信息,即通信双方建立并共享一个密钥。密和解密信息,即通信双方建立并共享一个密钥。l
24、对称密钥密码体制的工作原理为:用户对称密钥密码体制的工作原理为:用户A要传送机密信息给要传送机密信息给B,则则A和和B必须共享一个预先由人工分配或由一个密钥分发中心分必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥发的密钥K,于是,于是A用密钥用密钥K和加密算法和加密算法E对明文对明文P加密得到密文加密得到密文C=EK(P),并将密文),并将密文C发送给发送给B;B 用同样一密钥用同样一密钥K和解密算和解密算法法D对密文解密,得到明文对密文解密,得到明文P=DK(EK(P)。)。l按加密模式来分,对称密钥密码体制可以分为流密码和分组密按加密模式来分,对称密钥密码体制可以分为流密码和分组
25、密码两大类。典型的分组密码:码两大类。典型的分组密码:DES、AESl缺点缺点:由于至少有两个人持有钥匙,所以任何一方都不能完全:由于至少有两个人持有钥匙,所以任何一方都不能完全确定对方手中的钥匙是否已经透露给第三者。确定对方手中的钥匙是否已经透露给第三者。 西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础2.公钥密码体制公钥密码体制l公用钥匙加密法又称非对称式(公用钥匙加密法又称非对称式(asymmetric)加密,是近代密)加密,是近代密码学新兴的一个领域。如码学新兴的一个领域。如RSA密码系统。密码系统。l 公用钥匙加密法的特色是完成一次加、解密操作时
26、,需要使用公用钥匙加密法的特色是完成一次加、解密操作时,需要使用一对钥匙。假定这两个钥匙分别为一对钥匙。假定这两个钥匙分别为A和和B,则用,则用A加密明文后形加密明文后形成的密文,必须用成的密文,必须用B方可解回明文,反之,用方可解回明文,反之,用B加密后形成的密加密后形成的密文必须用文必须用A解密。解密。l 通常,将其中的一个钥匙称为私有钥匙(通常,将其中的一个钥匙称为私有钥匙(private key),由),由个人妥善收藏,不外泄于人,与之成对的另一把钥匙称为公用个人妥善收藏,不外泄于人,与之成对的另一把钥匙称为公用钥匙,公用钥匙可以像电话号码一样被公之于众。钥匙,公用钥匙可以像电话号码一
27、样被公之于众。 l缺点:利用公用钥匙加密虽然可避免钥匙共享而带来的问题,缺点:利用公用钥匙加密虽然可避免钥匙共享而带来的问题,但其使用时,需要的计算量较大。但其使用时,需要的计算量较大。 西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础三、网络安全技术三、网络安全技术1.数字签名技术数字签名技术n数字签名数字签名数字签名是通过一个单向函数对要传送的信息进数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。数字签名提供了对信息是否发生变化的一
28、个字母数字串。数字签名提供了对信息来源的确定并能检测信息是否被篡改。来源的确定并能检测信息是否被篡改。 n数字签名与手书签名的区别在于,手书签名是模拟的,且数字签名与手书签名的区别在于,手书签名是模拟的,且因人而异。而数字签名是因人而异。而数字签名是0和和1的数字串,因消息而异。的数字串,因消息而异。n数字签名有两种:数字签名有两种:一种是对整体消息的签名,即消息经过一种是对整体消息的签名,即消息经过密码变换后被签名的消息整体。一种是对压缩消息的签名,密码变换后被签名的消息整体。一种是对压缩消息的签名,即附加在被签名消息之后或某一特定位置上的一段签名图即附加在被签名消息之后或某一特定位置上的一
29、段签名图样。样。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础2.访问控制技术访问控制技术l确保主体对客体的访问只能是授权的,未经授权的访确保主体对客体的访问只能是授权的,未经授权的访问是不允许的,而且操作是无效的。问是不允许的,而且操作是无效的。l授权授权控制是访问控制的核心,通过安全控制策略和保控制是访问控制的核心,通过安全控制策略和保护机制,将非法入侵者拒之门外。护机制,将非法入侵者拒之门外。3.认证技术认证技术l认证是对网络中的主体进行验证的过程,用户必须提认证是对网络中的主体进行验证的过程,用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、
30、供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如交易过程)等。某个软件过程(如交易过程)等。l主要有:身份认证、消息认证主要有:身份认证、消息认证西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础4.虚拟专用网技术(虚拟专用网技术(VPN)l是利用公共网络资源为用户建立的专用网。它穿过公是利用公共网络资源为用户建立的专用网。它穿过公共网为用户建立起的一条安全、稳定的连接,是企业共网为用户建立起的一条安全、稳定的连接,是企业内部网的扩展。内部网的扩展。l主要提供:加密、认证和访问控制功能。主要提供:加密、认证和访问控制功能。l采用隧道技术实现。采用
31、隧道技术实现。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础5.防病毒和反病毒技术防病毒和反病毒技术l计算机病毒的定义计算机病毒的定义n计算机病毒是指能够通过某种途径潜伏在计算机存计算机病毒是指能够通过某种途径潜伏在计算机存储介质或程序里,当达到一定条件即可激活的、具储介质或程序里,当达到一定条件即可激活的、具有对计算机资源进行破坏作用的一组程序或指令集有对计算机资源进行破坏作用的一组程序或指令集合。合。l计算机病毒通常具有如下特点计算机病毒通常具有如下特点(1)破坏性)破坏性(2)寄生性)寄生性(3)传染性)传染性(4)潜伏性)潜伏性(5)针对性)针对性
32、 西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础l预防病毒技术预防病毒技术:常驻内存,优先获得系统的控制权,:常驻内存,优先获得系统的控制权,监视、判断系统中是否有病毒存在。监视、判断系统中是否有病毒存在。l检测病毒技术检测病毒技术:对计算机病毒的特征来进行判断。:对计算机病毒的特征来进行判断。l消除病毒技术消除病毒技术:清除系统感染的病毒。:清除系统感染的病毒。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础三、防火墙技术三、防火墙技术 l防火墙(防火墙(Firewall)是一道介于开放的、不安全的公共网与信)是一道介
33、于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障,由一个或一组系统组成。息、资源汇集的内部网之间的屏障,由一个或一组系统组成。狭义的防火墙指安装了防火墙软件的主机或路由器系统,广义狭义的防火墙指安装了防火墙软件的主机或路由器系统,广义的防火墙还包括整个网络的安全策略和安全行为。的防火墙还包括整个网络的安全策略和安全行为。l功能:功能:n综合技术。综合技术。n简单的结构和管理界面。简单的结构和管理界面。n支持加密和支持加密和VPN。n内部信息完全隐藏。内部信息完全隐藏。n增加强制访问控制。增加强制访问控制。n支持多种认证方式。支持多种认证方式。n网络安全监控和内容过滤。网络安全监控和内
34、容过滤。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础1、包过滤技术:、包过滤技术:l是一种基于网络层的防火墙技术,一般由路由器充当。是一种基于网络层的防火墙技术,一般由路由器充当。根据设置好的规则,通过检查根据设置好的规则,通过检查IP数据包来确定是否允数据包来确定是否允许该数据包通过。许该数据包通过。l包过滤依据:包过滤依据:IP 源地址、源地址、IP目的地址、封装协议目的地址、封装协议(TCP、UDP、或、或IP Tunnel)、TCP/UDP源端口、源端口、TCP/UDP目的端口、目的端口、ICMP包类型、包类型、TCP报头的报头的ACK位、包输位
35、、包输入接口和包输出接口等。入接口和包输出接口等。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础2.代理技术代理技术 l代理服务代理服务:是运行在防火墙主机上的一些特定的应用:是运行在防火墙主机上的一些特定的应用程序或者服务器程序。也称为应用层网关。程序或者服务器程序。也称为应用层网关。l该技术它能够将所有跨越防火墙的网络通信链路分为该技术它能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接,由两两段。防火墙内外计算机系统间应用层的连接,由两个代理服务器之间的连接来实现,外部计算机的网络个代理服务器之间的连接来实现,外部计算机的
36、网络链路只能到达代理服务器,从而起到隔离防火墙内外链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。计算机系统的作用。l此外,代理服务器也对过往的数据包进行分析、记录、此外,代理服务器也对过往的数据包进行分析、记录、形成报告,当发现攻击迹象时会向网络管理员发出警形成报告,当发现攻击迹象时会向网络管理员发出警告,并保留攻击痕迹。告,并保留攻击痕迹。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础2.代理技术代理技术西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础3.状态监视技术状态监视技术l状态包检测技术状态包
37、检测技术(stateful inspection):是在传统包过滤技术:是在传统包过滤技术基础上发展起来的一项过滤技术,与传统包过滤技术只检查单基础上发展起来的一项过滤技术,与传统包过滤技术只检查单个、独立的数据包不同,状态包过滤将数据包的上下文联系起个、独立的数据包不同,状态包过滤将数据包的上下文联系起来,建立一种基于连接状态的包过滤机制来,建立一种基于连接状态的包过滤机制l原理:通过在内存中动态地建立和维护一个状态表,当数据包原理:通过在内存中动态地建立和维护一个状态表,当数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包到达时,对该数据包的处理方式将综合静态安全规则和数据包所处
38、的连接状态进行。所处的连接状态进行。n已建立的连接:已建立的连接:检查状态表,参考数据流上下文决定当前数检查状态表,参考数据流上下文决定当前数据包通过与否据包通过与否n新建连接:新建连接:检查静态表,允许符合规则的连接通过,并在内检查静态表,允许符合规则的连接通过,并在内存状态表中记录下该连接的相关信息存状态表中记录下该连接的相关信息西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础防火墙的不足防火墙的不足l 防火墙并非万能,影响网络安全的因素很多,对于以防火墙并非万能,影响网络安全的因素很多,对于以下情况它无能为力:下情况它无能为力:(1)不能防范绕过防火墙的攻击。)不能防范绕过防火墙的攻击。 (2)一般的防火墙不能防止受到病毒感染的软件或)一般的防火墙不能防止受到病毒感染的软件或文件的传输。文件的传输。 (3)不能防止数据驱动式攻击。)不能防止数据驱动式攻击。 (4)难以避免来自内部的攻击。)难以避免来自内部的攻击。西南科技大学经管学院:周中林西南科技大学经管学院:周中林计算机网络基础计算机网络基础
