网络管理教案讲课教案

网络管理教案

精品文档

. 第9章 网络管理与网络安全 本章主要内容 • 网络系统管理的概念和基本功能，简单网络管理协议SNMP的组成及应用，实用网络管理系统；网络安全的基本概念，影响网络安全的因素和网络安全对策，数据加密的基本概念、常用的加密算法和鉴别技术的应用，网络防火墙的概念、技术分类和应用。 本章要求： • • • • • 了解简单网络管理协议的组成及应用 了解影响网络安全的因素和网络安全对策 了解数据加密的基本概念、常用的加密方法和鉴别技术的应用 了解网络防火墙的概念、技术和应用 掌握网络管理的基本功能、网络安全的基本概念和内涵 本章分为六小节： 9. 1 网络管理概述 9. 2 简单网络管理协议 9. 3 常用网络管理系统 9. 4 网络安全 9. 5 数据加密技术 9. 6 防火墙 9 . 1 网络管理概述 1. 网络管理的概念： • 为保证网络系统稳定、高效和可靠运行，对网络的各种软硬件设施和人员进行的综合管理。网络管理主要是要保障网络设备的正常运行、监控网络的各项功能、优化网络的拓扑结构等。 2. 网络管理的要求： • 网络管理离不开: ✓ 现代网络管理方法和技术； ✓ 网络管理工具(网管软件)； ✓ 网络管理协议。 3. 网络管理的内容： • 网络管理的基本内容包括： (1) 数据通信网中的流量控制 (2) 路由选择策略管理 (3) 网络安全保护 (4) 网络的故障诊断与修复 收集于网络，如有侵权请联系管理员删除

精品文档

4. 网络管理系统组成： • • • 网络管理系统是用于实现对网络全面、有效管理和实现网络管理目标的系统。 一个网管系统从逻辑上包括管理进程、管理代理、管理信息库和管理协议四部分。 管理对象：是指网络客户机和网络设备等，如服务器、工作站、集线器、路由器、交换机、网卡等。这些网络设备对应的具体可以操作的数据等也是网络管理的对象，如网络设备的工作状态和工作参数等数据。 • • • • • 管理进程manager：用于对网络设备和设施进行全面管理和控制的软件。它驻留在网络管理站上。 管理代理agent：驻留在网络管理对象上、配合管理进程进行网络管理的软件。 管理信息库MIB：用于记录网络中被管理对象的相关信息。 管理协议：负责在管理系统和管理对象之间传输操作命令和解释管理操作命令。 一个管理进程(manager)可以与多个管理代理(agent)进行信息交互，同时一个管理代理也可以接受来自多个管理进程的管理操作。 5. 网络管理功能： • • • 在OSI 7498-4文件定义的网络管理标准中，将网络管理功的能分为配置管理、性能管理、故障管理、安全管理和计费管理五个功能域。 网络管理是为网络管理员进行监视、控制和维护网络而设计的。 为适应和支持网络中用户、设备、系统的变化，调整软硬件运行参数，以保证网络正常运行，要进行网络的配置管理。网络配置是指网中每个设备的功能、点的连接关系和工作参数等，反映的是网络状态。 • 配置管理主要包括网络节点地址分配管理、节点接入和撤消的自动管理、远程加载与转储管理及虚拟网络节点的配置等。配置管理就是用来定义、记录、控制和检测网络中的被管理对象的集合。 (2) 性能管理 • • • • • 性能管理主要是通过收集、分析和测试网络性能参数，评价网络运行过程中的主要性能指标，为管理机构提供决策依据。 通常影响网络性能的参数有：网络吞吐量、响应时间、线路利用率、费用、负载等。 网络性能管理分为网络监控和网络控制。 网络监控是对网络工作状态信息的收集和整理； 网络控制是指为改善网络设备性能而采取的动作和措施。 (1) 配置管理 (3) 故障管理 收集于网络，如有侵权请联系管理员删除

精品文档

• • • • • • 网络故障管理是指对网络系统故障的预防、检测(诊断)、恢复或排除等操作进行管理。其目的是保证网络提供连续、可靠的服务。 网络故障管理的三步曲：预防、检测(诊断)和排除(恢复、纠正) 预防：关键数据的存储、备份，硬件的随时维护和更新等。 检测：检测被管理对象的故障现象，进行系统诊断、测试和分析，以便跟踪和识别故障，找出故障原因和故障点。 排除：隔离故障源，尽快排除故障，恢复系统运行。 网络安全管理是用来保护网络资源和网络用户的安全。安全管理主要是针对网络环境的各种人为因素对网络造成的威胁。如非法用户对网络资源的侵害(盗用、更改和破坏)、合法用户对网络资源的非法访问等。 (4) 安全管理 • 安全管理的策略有安全立法、安全行政人事管理、网络软硬件安全保护、系统访问控制、数据加密保护、采用防火墙技术和防病毒技术等。 (5) 计费管理 • • • 网络计费管理就是控制和管理用户使用的网络资源，核算用户费用等。 计费管理中要核算和计费的网络资源主要包括：硬件资源，软件和数据资源，网络服务和其他网络设施开销。 计费管理的作用有二： • • • • 对网络资源的使用情况进行统计，以便系统合理地调度和分配资源，为用户提供高效的服务。 核算资源费用，进行系统收费管理。 大部分企业网对内部用户使用的资源不收取费用，主要是达到第一个目的。 在实际网络管理过程中网络管理功能非常广泛，包括很多方面。除以上五种基本功能外还有网络规划、数据库管理、操作人员管理等。 9 . 2 简单网络管理协议 • ISO提出了网络管理协议标准CMIS (公共管理信息服务)和CMIP (公共管理信息协议) 。CMIS/CMIP 与 OSI/RM一样，未得到社会的广泛支持，几乎无产品，只有参考价值。而TCP/IP的SNMP (简单网络管理协议)得到厂商的一致支持。 1. SNMP的发展 • • SNMP是一个网络应用层协议。网络管理人员使用该协议可以较容易地管理网络，发现和解决网络问题。 1987年11月因特网工程任务组IETF (Internet Engineering Task Force)提出了简单网关管理协议SGMP，随后公布的SNMP v1即是在SGMP基础上发展起来的。 • SNMPv1是一个简单的协议，在大规模网络上也易于实现。 收集于网络，如有侵权请联系管理员删除

精品文档

• • 1993年 IETF 提出的SNMPv2 对 SNMP v1在数据的分布式管理和安全性方面进行了改进。 1999年公布的 SNMPv3 对 SNMPv2在安全和可管理体系结构方面又有了较大的改进。 2 . SNMP 网络管理模型 • • SNMP网络管理模型：管理进程(Manager Station)、管理代理(Agent)和管理信息库(MIB)。 模型如图示： (1) 管理进程： • 管理进程(Manager)是网络管理的核心软件，一般是安装在被称为“网络管理站”的主机上。在该主机上运行网络管理协议、网络管理支持工具和网络管理应用软件。 • • 每个网络中至少有一个网络管理站，它运行管理进程软件，对其它站进行管理。 Manager完成各种网络管理功能。通过各设备中的管理代理对网络中的各种资源实施检测和控制。网管操作人员通过Manager 对全网进行管理。 (2) 管理代理： • 管理代理Agent是驻留在被管理站上的一套软件，它负责执行Manager的管理操作。Agent直接操作本地信息库MIB，如果Manager需要，它可根据要求改变本地MIB或提取数据传回到Manager。 • • • Agent可从MIB中读取各种变量值；也可以在MIB中修改各种变量值；并与 Manager进行通信，以响应其管理请求。 被管理站包括主机、网关、服务器、路由器、交换机等网络设备。 管理信息库MIB是一个概念上的数据库。管理代理所收集的包括网络设备的系统信息、资源使用及各网段信息流量等管理信息都存放在MIB中。每个Agent拥有自己的本地MIB，各Agent控制的管理对象共同构成全网的管理信息库。 收集于网络，如有侵权请联系管理员删除

(3) 管理信息库 精品文档

• • • MIB包括报文分组计数、出错计数、用户访问计数、IP路由选择表等。 Manager通过查看MIB的内容实现对网络的检测，通过修改MIB的内容完成对网络的控制。 SNMP提供的是面向无连接的服务，采用轮询法进行管理。 Manager 每隔一段时间向每个Agent发出询问，以获取管理信息。当被管理对象发生紧急情况时，Agent主动向Manager汇报。 3. SNMP的命令： • • • SNMP定义了一套用于Manager和Agent之间进行通信的命令，通过这些命令来实现管理功能。 SNMP的操作主要有四类：存、取、陷阱和通知。 取(Get)操作：有get request、 get next request 、get bulk request和get response等命令，主要是从Agent那里取得指定的MIB变量值和对这些取请求的响应。 • • • 写(Set)操作： 有set request和set response命令，用于写入Agent指定的MIB变量值和对写操作的响应。 陷阱(Trap)操作：用于当网络发生错误或出现紧急情况时， Agent立即向网络管理站报警，不需等待接收方响应。 通知(Inform)操作：有Inform request和Inform response命令，用于在不同的管理进程之间发送管理信息和陷阱信息，及收到这些信息的响应。 4. SNMPv2 • SNMP的优点是简单、便捷，因此得到了广泛应用。但它还存在着诸如不能有效地传输大块数据，不能将网络管理功能分散化，安全性能不够理想等缺点。 • • 1996年推出的SNMPv2能够克服上述缺点，但在安全性方面也过于复杂。 SNMPv2采用了较好的分散化管理方法。在一个网络中可以有多个顶级管理站，每个管理站管理网络的一部分代理进程，并指派若干个代理进程使之具有管理其他代理进程的功能。 9 . 3 常用网络管理系统 常见的作为网络管理者运行的网络管理系统软件有：HP 公司的Open View，IBM 公司的NetView，SUN公司的SunNet Manager，Cabletron公司的SPECTRUM和 Novell公司的NetWare Manage Wise。 HP Open View是第一个综合的实用的网络管理系统，SunNet Manager是第一个基于UNIX的网络管理系统，但它们都不能提供对NetWare 、SNA、DECnet、X.25和无线通信交换机及其他非SNMP设备的管理功能。 • • NetWare Manage Wise提供对NetWare 操作系统的管理功能。 Cabletron SPECTRUM是一个可扩展的、智能的网络管理系统。它支持收集于网络，如有侵权请联系管理员删除

精品文档

NetWare 操作系统和Apple TalK、IPX等协议。 9．4 网络安全 1. 网络安全概述 (1) 网络安全的概念 • “网络安全”可理解为“网络系统不存在任何威胁状态”。为防范诸如病毒的破坏、黑客的入侵、计算机犯罪、人为的主动或被动攻击等威胁，而采取一些措施则可保证网络系统的安全。 • • 网络安全是指采取各种技术和管理措施防止网络中各种资源不被有意或无意地破坏和侵害等。 网络系统安全主要涉及系统的可靠性、软件和数据的完整性、可用性和保密性几方面的问题。 ①系统的可靠性：保证网络系统不因各种因素的影响而中断正常工作； ② 数据的完整性：保护网络系统中存储和传输的软件(程序)与数据不被非法操作，如删除、添加、更改等； ③数据的可用性：保证数据完整的同时还能被正常利用和操作； ④ 数据的保密性：数据的保密性主要是利用密码技术对数据进行加密处理，保证在系统中存储和网络上传输的数据不被无关人员识别。 (2) 网络安全级别： • • • 美国国防部开发的计算机安全标准《可信计算机系统标准评价准则》将安全级别分为四类七级： D1级(安全的最低级)：该级不设置任何安全保护措施，软硬件都容易被侵袭。MS-DOS、Windows 95/98等系统为D1级(缺乏保护) C1级(选择性安全保护级)：硬件采取简单安全措施(加锁)，登录认证和访问权不能控制已登录用户的访问级别。早期的Unix/Xenix、NetWare 3.x等属于该级 。 • C2级(访问控制环境级) ：比C1级增加了系统审计、跟踪记录、安全事件等特性。Unix、NetWare 4.x及以上版、Windows NT等属于该级。是保证敏感信息安全的最低级。 • • • B1级(标记安全保护级)： B1级系统拥有者为机构和防御承包商。 B2级：结构化安全级(Structured Protection) B3级：安全域级(Security Domain) 收集于网络，如有侵权请联系管理员删除

精品文档

• • • • A1级：验证设计级(Verity Design)，最高安全级。 无意威胁是在无预谋的情况下破坏了系统的安全性、可靠性或资源的完整性等 无意威胁主要是由一些偶然因素引起，如软、硬件的机能失常，不可避免的人为错误，电源故障和自然灾害等。 故意威胁实际上就是“人为攻击”。由于网络本身存在缺陷，因此总有某些人或某些组织想方设法利用网络系统达到某种目的，如从事工业、商业或军事情报的搜集工作的间谍，对相应领域的网络信息是最感兴趣的，他们对网络系统的安全构成了主要威胁。 (3) 网络系统的威胁： • 被动攻击和主动攻击：对网络系统的攻击，可从随便浏览信息到使用特殊技术对系统进行攻击以得到有针对性的信息。这些攻击又可分为被动攻击和主动攻击。 • • • • • 被动攻击是指攻击者只通过观察网络线路上的信息，而不干扰信息的正常流动，如被动地搭线窃听或非授权地阅读信息； 主动攻击是指攻击者对传输中的信息或存储的信息进行各种非法处理，如有选择地更改、插入、延迟、删除或复制信息。 被动攻击不易被发现，但较容易处理，如采用加密技术即可。 主动攻击容易被觉察，但不容易防止，可采用加密技术、签名技术和鉴别技术解决 通常，系统的故意威胁有如下四种情况： • • • • 中断：指系统资源遭到破坏或变得无法使用，是对系统可靠性的攻击； 窃取：指未被授权的实体得到了资源的访问权，是对数据保密性的攻击； 修改:指未被授权的实体不仅得到了资源的访问权，而且还篡改了资源，是对数据完整性的攻击； 捏造:指未被授权的实体向系统中插入伪造的对象，是对数据真实性的攻击。 以上四种情况除窃取属被动攻击外，其余都是主动攻击类型。 (4) 网络系统的脆弱性 • 系统脆弱性就是指网络系统中安全防护的弱点。网络本身存在着一些固有的弱点（脆弱性），非法用户利用这些脆弱性对系统进行非法访问，将使系统内数据的完整性受到威胁，也可能使信息遭到破坏而不能继续使用。 • 网络系统的脆弱性主要表现有：操作系统的脆弱、数据库系统的脆弱、电磁泄漏、数据的可访问性、通信协议和通信系统的脆弱、网络存储介质的脆弱、介质的剩磁效应、保密的困难性和信息的聚生性等。 收集于网络，如有侵权请联系管理员删除

精品文档

• 操作系统的脆弱性：网络操作系统体系结构本身就是不安全的--操作系统程序具有动态连接性；操作系统可以创建进程，这些进程可在远程节点上创建与激活，被创建的进程可以继续创建其他进程；NOS为维护方便而预留的无口令入口也是黑客的通道。 • 计算机系统本身的脆弱性：硬件和软件故障--硬盘故障、电源故障、芯片主板故障、操作系统和应用软件故障；存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。 • 通信系统和通信协议的弱点：通信线路面对各种威胁就显得非常脆弱，非法用户可对线路进行物理破坏、搭线窃听；TCP/IP及FTP、E-mail、NFS、WWW等都存在安全漏洞，E-mail中潜伏着电子、病毒等，WWW中使用的通用网关接口程序、Java Applet程序等都能成为黑客的工具，黑客采用远程访问、直接扫描等攻击防火墙。 • 通信系统和通信协议的弱点：通信线路面对各种威胁就显得非常脆弱，非法用户可对线路进行物理破坏、搭线窃听；TCP/IP及FTP、E-mail、NFS、WWW等都存在安全漏洞，E-mail中潜伏着电子、病毒等，WWW中使用的通用网关接口程序、Java Applet程序等都能成为黑客的工具，黑客采用远程访问、直接扫描等攻击防火墙。 • 数据库系统的脆弱性：由于DBMS对数据库的管理是建立在分级管理的概念上，因此，DBMS的安全也是可想而知；DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处；黑客通过探访工具可强行登录和越权使用数据库数据；数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。 • • 网络电磁泄漏：网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射，从而造成信息泄漏。 数据的可访问性：数据可容易地被拷贝而不留任何痕迹；网络用户在一定的条件下，可以访问系统中的所有数据，并可将其拷贝、删除或破坏掉。 (5) 计算机病毒 • 计算机病毒是一种能破坏计算机系统资源的特殊计算机程序。它可在系统中生存、繁殖和传播。计算机病毒具有隐蔽性、传播性、潜伏性、触发性和破坏性。它一旦发作，轻者会影响系统的工作效率，占用系统资源，重者会毁坏系统的重要信息，甚至使整个网络系统陷于瘫痪。 • 计算机病毒侵入网络系统将会造成巨大的损失。因此，计算机病毒的防护工作应成为保证网络系统安全性的一项重要内容。对付计算机病毒要以预防为主，采取消除传染源、切断传染途径、保护易感染源等措施，增强网络系统对计算机病毒的识别和抵抗力。 2 . 网络安全策略和措施 (1)安全策略模型 收集于网络，如有侵权请联系管理员删除

精品文档

• 一个常用的网络安全策略模型是PDRR模型，。PDRR是四个英文单词的字头：Protection (防护)、Detection(检测)、Response(响应)和Recovery(恢复)。  防护 • 安全策略的第一关就是防护。防护就是根据系统已知的可能安全问题采取一些预防措施，如打补丁、访问控制、数据加密等，不让攻击者顺利入侵。防护是PDRR模型中最重要的部分。防护可以预防大多数的入侵事件。防护可分为三类：系统安全防护、网络安全防护和信息安全防护。  检测 • 安全策略的第二关是检测。攻击者如果穿过防护系统，检测系统就会检测出来。防护系统可以阻止大多数的入侵事件，但不能阻止所有的入侵事件。特别是那些利用新的系统缺陷、新攻击手段的入侵。如果入侵事件发生，就启动检测系统进行检测。该系统叫IDS(入侵检测系统)。  响应 • 一旦检测出入侵，响应系统则开始响应，进行事件处理。响应工作由特殊部门(计算机紧急响应小组)负责。世界上第一个计算机紧急响应小组叫“CERT”，我国的第一个计算机紧急响应小组叫“CCERT”。上海交通大学的计算机紧急响应小组就叫“sjtu CERT”。  恢复 • • • • • • 系统恢复是指事件发生后，把系统恢复到原来状态或比原来更安全的状态。恢复也分为系统恢复和信息恢复两方面内容。 系统恢复是指修补缺陷和消除后门。 信息恢复是指恢复丢失的数据。 安全立法：设立各种法律来减少计算机犯罪案 安全行政人事管理：设立安全管理机构，制定人事安全管理、系统安全管理和行政安全管理职责。 网络实体安全：网络中的硬件、软件和数据都是系统资源。网络实体安全保护就是指采取一定措施对网络的硬件系统、数据和软件系统等资源实体进行保护和对自然与人为灾害的防护。 • 系统访问控制：设置一些系统访问控制措施和技术，保证对网络系统的所有操作是合法的、认可的。如规定哪些用户可访问网络系统，他们能访问系统的哪些资源，他们对于这些资源能使用到什么程度等问题。 • 数据加密保护：就是采取一定的技术和措施，对网络系统中存储的数据和要在线路上传输的数据进行加密变换，使得变换后的数据不能被无关的用户识别，保证数据的保密性。数据加密保护通常是采用密码技术进行信息加密、数字签名、用户验证和非否认鉴别等措施实现。 3. 网络安全机制和安全服务 收集于网络，如有侵权请联系管理员删除

(2) 网络安全策略 精品文档

• • 国际标准化组织ISO于19年2月公布的ISO7498-2“网络安全体系结构”文件，主要包括网络安全机制和网络安全服务两方面的内容。 文件中规定网络安全机制有：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公证机制。 • 文件中规定的网络安全服务有六项：对等实体鉴别服务、访问控制服务、数据保密性服务、数据完整性服务、数据源鉴别服务和非否认服务。 9．5 数据加密技术 1. 密码学的基本概念 • 密码学(Cryptology)是一门古老的学科。近年来，密码学研究之所以十分活跃，主要原因是它与计算机科学的蓬勃发展密切相连。此外，还有防止日益广泛的计算机犯罪的需要。密码技术应用于计算机网络中的实例越来越多。 • 密码学从其发展来看，可分为两大阶段：传统密码学和计算机密码学。 • • 第一阶段：传统密码学。主要是靠人工进行信息加密、传输和破译 第二阶段：计算机密码学。 • • 1. 传统方式计算机密码学 2. 现代方式计算机密码学 • • • 促进，相辅相成。 • • • • • • • • • • 密码编码学研究的是通过编码技术来改变被保护信息的形式，使得编码后的信息除指定接收者之外的其他人都不可理解 密码分析学研究的是如何攻破一个密码系统，恢复被隐藏起来的信息的本来面目 加密在网络上的作用就是防止有价值的信息在网上被窃取并识别； 基于加密技术的鉴别的作用是用来确定用户身份的真实性和数据的真实性。 加密 ：把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程 明文(Plain Text)：原来的信息(报文)、消息，就是网络中所说的报文(Message) 密文(Cipher Text)：经过加密后得到的信息 解密：将密文还原为明文的过程 密钥(Key)：加密时所使用的一种专门信息(工具) 密码算法(Algorithm)：加密和解密变换的规则(数学函数)，有加密算法和解密算法 对称密钥密码 公开密钥密码 密码学包括密码编码学和密码分析学两部分，这两部分相互对立，但也相互收集于网络，如有侵权请联系管理员删除

精品文档

• 如果加密密钥和解密密钥相同或相近，由其中一个很容易地得出另一个，这样的系统称为对称密钥系统，加密和解密密钥都是保密的；如果加密密钥与解密密钥不同，且由其中一个不容易得到另一个，则这种密码系统是非对称密钥系统，往往其中一个密钥是公开的，另一个是保密的。 • • • 前者也称为传统密钥密码，后者称为公开密钥密码。 也叫传统密钥密码，其基本思想就是“加密密钥和解密密钥相同或相近”。 典型的对称密钥密码算法是DES算法。 2. 对称密钥密码： (1) DES算法 (2) 3DES和IDEA算法 4. DES和RSA算法的特点和比较 (1) DES的特点：  可靠性较高 ；  加密/解密速度快；  算法容易实现 ，通用性强；  密钥位数少，算法具有对称性，容易被穷尽攻击；  密钥管理复杂。 (2) RSA算法的特点：  密钥管理简单 (网上每个用户仅保密一个密钥，且不需密钥配送)；  便于数字签名；  可靠性较高 (取决于分解大素数的难易程度)；  算法复杂，加密/解密速度慢, 难于实现。 5. 通信加密方式 • • • • 可采用链路加密和端--端加密的方式对网络系统中传输的信息加以保护。 链路加密(Link Encryption)是传输数据仅在数据链路层上进行加密。 端--端加密(End-to-End Encryption)是传输数据在应用层上完成加密的。 端--端加密是对两个用户之间传输的数据提供连续的安全保护。数据在初始节点上被加密，直到目的节点时才能被解密，在中间节点和链路上数据均以密文形式传输。 6. 鉴别技术 (1) 鉴别技术概述 • 网络安全系统的一个重要方面是防止非法用户对系统的主动攻击，如伪造信息、篡改信息等。 收集于网络，如有侵权请联系管理员删除

(1) 链路加密 (2) 端—端加密 精品文档

• • 鉴别(Authentication 也叫验证)是防止主动攻击的重要技术。鉴别的目的就是验证一个用户身份的合法性和用户间传输信息的完整性与真实性。 鉴别包括报文鉴别和身份验证。 • • 报文鉴别是为了确保数据的完整性和真实性，对报文的来源、时间性及目的地进行验证。 身份验证是验证进入网络系统者是否是合法用户，以防非法用户访问系统。 (2) 数字签名 • 数字签名(Digital Signature)可解决手写签名中的签字人否认签字或其他人伪造签字等问题。因此，被广泛用于银行的信用卡系统、电子商务系统、电子邮件以及其他需要验证、核对信息真伪的系统中。 (3) 身份验证 • • • 身份验证一般涉及两个过程，一个是识别，一个是验证。 识别是指要明确访问者是谁，即要对网络中的每个合法用户都有识别能力。要保证识别的有效性，必须保证能代表用户身份的识别符的惟一性。 身份验证的方法有：口令验证、个人持证验证和个人特征验证三类。 • • (4) 报文鉴别 • • 报文鉴别是指在两个建立通信联系的用户之间，每个用户对收到的信息验证其真伪，以保证所收到的信息是真实的。 报文鉴别又称完整性校验，在银行业称为消息认证，在OSI安全模型中称为封装 9 . 6 防火墙 1 . 防火墙概述 • 防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。它是一种计算机硬件和软件系统的集合，是实现网络安全策略的有效工具之一，被广泛地应用到Internet与Intranet之间。 口令法最简单，系统开销也小，但其安全性也最差； 持证为个人持有物，如钥匙、磁卡、智能卡等。它比口令法安全性好，但验证系统比较复杂。磁卡常和PIN一起使用； 收集于网络，如有侵权请联系管理员删除

精品文档

• 通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部网的不安全访问和通行安全访问。 • 防火墙是由软件和硬件组成的，可以说： • • • 所有进出内部网络的通信流都应该通过防火墙。 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。 理论上，说防火墙是穿不透的。 强化网络安全策略，集中化的网络安全管理； 记录和统计网络访问活动； 暴露用户点，控制对特殊站点的访问； 网络安全策略检查。 • 一般，防火墙具有以下功能： • • • • 2. 防火墙技术及分类 • • • • • 防火墙技术大体上分为两类：网络层防火墙技术和应用层防火墙技术。 这两个层次防火墙的具体分别叫包过滤防火墙和代理服务器滤防火墙 包过滤防火墙是最简单的防火墙，通常它只包括对源 IP 地址和目的 IP 地址及端口的检查。 包过滤防火墙通常是一个具有包过滤功能的路由器。因为路由器工作在网络层，因此包过滤防火墙又叫网络层防火墙。 包过滤是在网络的出口(如路由器上)对通过的数据包进行检测，只有满足条件的数据包才允许通过，否则被抛弃。这样可以有效地防止恶意用户利用不安全的服务对内部网进行攻击。 • • 网络上传输的每个数据包都包括两部分：数据部分和包头。包头中含有源地址和目的地址信息。 包过滤是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合(1) 包过滤防火墙 收集于网络，如有侵权请联系管理员删除

精品文档

标准的包头，过滤掉不应入站的信息(路由器将其丢弃) • • 过滤路由器与普通路由器的差别在于： 普通路由器只简单地查看每一数据包的目的地址，并选择数据包发往目标地址的最佳路径。当路由器知道如何发送数据包到目标地址，则发送该包；如果不知道如何发送数据包到目标地址，则返还数据包，通知源地址“数据包不能到达目标地址”。 • 过滤路由器将更严格地检查数据包，除了决定是否发送数据包到其目标外，还决定它是否应该发送。“应该”或“不应该”由站点的安全策略决定，并由过滤路由器强制执行。 • 放置在内部网与Internet之间的过滤路由器，不但要执行转发任务，而且它是唯一的保护系统；如果过滤路由器的安全保护失败，内部网将被暴露；如果一个服务没有提供安全的操作要求，或该服务由不安全的服务器提供，包过滤路由器则不能保护它。 • • • • 在对包作出路由决定时，普通路由器只依据包的目的地址引导包，而包过滤路由器要依据路由器中的包过滤规则作出是否引导该包的决定。 包过滤路由器以包的目标地址、包的源地址和包的传输协议为依据，确定允许或不允许某些包在网上传输。 包过滤方式有许多优点，主要优点之一就是用一个放置在重要位置上的包过滤路由器即可保护整个网络。 这样，不管内部网的站点规模多大，只要在路由器上设置合适的包过滤，各站点均可获得良好的安全保护。 (2) 代理服务器防火墙 • 代理服务是运行在防火墙主机上的特定的应用程序或服务程序。防火墙主机可以是有一个内部网接口和一个外部网接口的双穴(Duel Homed)主机，也可以是一些可以访问Internet并可被内部主机访问的堡垒主机。 • • 代理服务位于内部用户和外部服务之间。代理程序在幕后处理所有用户和Internet服务之间的通信以代替相互间的直接交谈。 对于用户，代理服务器给用户一种直接使用“真正”服务器的感觉，对于真正的服务器，代理服务器给真正服务器一种在代理主机上直接处理用户的假象。 • 用户将对“真正”服务器的请求交给代理服务器，代理服务器评价来自客户的请求，并作出认可或否认的决定。如果一个请求被认可，代理服务器就代表客户将请求转发给“真正”的服务器，并将服务器的响应返回给代理客户。 3. 防火墙应用系统 • • 一般，构成防火墙的体系结构有三种：双穴主机结构、主机过滤结构和子网过滤结构。 按照这三种体系结构构建的防火墙应用系统是双穴主机防火墙、主机过滤防收集于网络，如有侵权请联系管理员删除

精品文档

火墙和子网过滤防火墙。 (1) 双穴主机防火墙 • • 双穴主机有两个接口，它可担任与这些接口连接的网络路由器，可从一个网络向另一个网络发送 IP 数据包。 双穴主机分别与受保护的内部子网及Internet网络连接，起着监视和隔离应用层信息流的作用，彻底隔离了所有的内部主机与外部主机的可能连接。 双穴主机可与内部网系统通信，也可与外部网系统通信。借助于双穴主机，防火墙内外两网的计算机便可(间接)通信了。即内的主机不能直接交换信息，信息交换要由该双穴主机“代理”并“服务”，因此该主机也相当于代理服务器。 因而，内部子网十分安全。内部主机通过双穴主机防火墙（代理服务器）得到Internet服务，并由该主机集中进行安全检查和日志记录。双穴主机防火墙工作在OSI的最高层，它掌握着应用系统中可用作安全决策的全部信息。 (2) 主机过滤防火墙 • • 主机过滤结构中提供安全保障的主机在内部网中，加上一台单独的过滤路由器，一起构成该结构的防火墙。 堡垒主机是Internet主机连接内部网系统的桥梁。任何外部系统试图访问内部网系统或服务，都必须连接到该主机上。因此该主机需要高级别安全。 这种结构中，过滤路由器与外部网相连，再通过堡垒主机与内部网连接。来自外部网络的数据包先经过过滤路由器过滤，不符合过滤规则的数据包被过滤掉；符合规则的包则被传送到堡垒主机上。其代理服务软件将允许通过的信息传输到受保护的内部网上。 (3) 子网过滤防火墙 收集于网络，如有侵权请联系管理员删除

精品文档

• 子网过滤结构是在主机过滤体系结构中又增加了一个额外的安全层次而构成。增加的安全层次包括一台堡垒主机和一台路由器。两路由起之间是一个被称为周边网络或参数网络的安全子网，更进一步地把内部网络与Internet隔离开。 • • 这种结构就是使用两个过滤路由器和一个堡垒主机形成了一个复杂的防火墙，以进行安全控制。 堡垒主机通过内部、外部两个路由器与内部、外部网络隔开，这样可减少堡垒主机被侵袭的影响。被保护的内部子网主机置于内部包过滤路由器内，堡垒主机被置于内部和外部包过滤路由器之间 • 子网过滤体系结构的最简单的形式为两个过滤路由器，每一个都连接到参数网络上，一个位于参数网与内部网之间，另一个位于参数网与外部网之间。这是一种比较复杂的结构，它提供了比较完善的网络安全保障和较灵活的应用方式 • 参数网络是在内部和外部两网络之间另加的一层安全保护层，相当于一个应用网关，堡垒主机上运行应用代理服务器软件。同时，企业的对外信息服务器（如WWW、FTP服务器等）也可设置在参数网内。 • 在内、外部两个路由器上都设置了包过滤规则，两者的包过滤规则基本上相同。内部路由器完成防火墙的大部分包过滤工作，它的主要功能就是保护内部网免受来自外部网与周边网络的侵扰。外部路由器既可保护参数网络又保护内部网。实际上，在外部路由器上仅做一小部分包过滤 • 收集于网络，如有侵权请联系管理员删除

精品文档

收集于网络，如有侵权请联系管理员删除

精品文档

收集于网络，如有侵权请联系管理员删除