计算机网络基础教程第章网络安全与管理

第7章网络安全与管理问题原由计算机网络的广泛应用,促进了社会的进步和繁荣,并为人类社会创造了巨大财富。但由于计算机及其网络自身的脆弱性以及人为的攻击破坏,也给社会带来了损失。因此,网络安全已成为重要研究课题。本章重点讨论网络安全技术措施:计算机密码技术、防火墙技术、虚拟专用网技术、网络病毒防治技术,以及网络管理技术。教学重点能力要求掌握：网络安全与管理的概念；网络安全与管理技

术的应用。熟悉：计算机密码技术、防火墙技术、虚拟专用网

技术、网络病毒防治技术。§7.1网络安全技术

§7.6网络管理技术§7.5网络病毒防治技术

§7.4

虚拟专用网技术§7.2数据加密与数字认证§7.3防火墙技术本章内容计算机网络基础知识结构防火墙技术网络安全与管理网络安全技术网络病毒防治技术破密方法现代加密方法数字认证虚拟专用网数据加密与数字认证网络病毒的防治网络病毒的类型网络病毒的特点网络安全的评价标准网络安全的基本概念防火墙的基本结构防火墙的基本类型防火墙的基本功能防火墙的基本概念VPN的基本类型VPN的安全协议VPN的实现技术VPN的基本概念网络管理技术简单网络管理协议ISO网络管理功能域网络管理的逻辑结构网络管理的基本概念数据加密概念传统加密方法防火墙的安全标准与产品常用网络管理系统网络性能管理与优化§7.1网络安全技术随着计算机网络技术的发展，网络的安全性和可靠性成为各层用户所共同关心的问题。人们都希望自己的网络能够更加可靠地运行，不受外来入侵者的干扰和破坏，所以解决好网络的安全性和可靠性，是保证网络正常运行的前提和保障。Internet防火墙学生区InfoGateIIS服务Web服务DMZ区教工区安全垃圾邮内容审计件网关过滤数据库服务器群应用服务器群7.1.1网络安全的基本概念

1、网络安全要求网络安全，是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不会中断。身份认证完整性保密性授权和访问控制可用性不可抵赖性7.1.1网络安全的基本概念

2、网络安全威胁

一般认为，黑客攻击、计算机病毒和拒绝服务攻击等3个方面是计算机网络系统受到的主要威胁。黑客攻击计算机病毒拒绝服务攻击黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络,并非法使用网络资源。

计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。攻击者在短时间内发送大量的访问请求，而导致目标服务器资源枯竭，不能提供正常的服务。7.1.1网络安全的基本概念

3、网路安全漏洞网络安全漏洞实际上是给不法分子以可乘之机的“通道”,大致可分为以下3个方面。网络的漏洞

服务器的漏洞操作系统的漏洞包括网络传输时对协议的信任以及网络传输漏洞，比如IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS的信任。利用服务进程的bug和配置错误,任何向外提供服务的主机都有可能被攻击。这些漏洞常被用来获取对系统的访问权。Windows和UNIX操作系统都存在许多安全漏洞,如Internet蠕虫事件就是由UNIX的安全漏洞引发的。7.1.1网络安全的基本概念

4、网络安全攻击

要保证运行在网络环境中的信息安全,首先要解决的问题是如何防止网络被攻击。根据SteveKent提出的方法,网络安全攻击可分为被动攻击和主动攻击两大类，如图7-1所示。

图7-1网络安全攻击分类被动攻击

截获(秘密)分析信息内容通信量分析主动攻击

拒绝篡改伪造重放(可用性)(完整性)(真实性)(时效性)被动攻击不修改信息内容，所以非常难以检测，因此防护方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生一个虚假的数据流。7.1.1网络安全的基本概念

1中断（Interruption）：中断是对可利用性的威胁。例如破坏信息存储硬件、切断通信线路、侵犯文件管理系统等。2窃取（Interception）：入侵者窃取信息资源是对保密性的威胁。入侵者窃取线路上传送的数据，或非法拷贝文件和程序等。3篡改（Modification）：篡改是对数据完整性的威胁。例如改变文件中的数据，改变程序功能，修改网上传送的报文等。4假冒（Fabrication）：入侵者在系统中加入伪造的内容，如像网络用户发送虚假的消息、在文件中插入伪造的记录等。

5、网络安全破坏网络安全破坏的技术手段是多种多样的，了解最通常的破坏手段，有利于加强技术防患。7.1.2网络安全的评价标准

1、国际评价标准

计算机系统的安全等级由低到高顺序：D；C1C2；B1B2B3；A。如图7-2所示。图7-2TCSEC安全体系可信计算机系统评测准则C2：受控访问保护C1：自主安全保护A1：验证设计D1：最小保护B2：结构安全保护B1：标志安全保护B3：安全域C类A类D类B类7.1.2网络安全的评价标准20世纪90年代开始，一些国家和国际组织相继提出了新的安全评测准则。1991年,殴共体发布了“信息技术安全评测准则”；1993年，加拿大发布了“加拿大可信计算机产品评测准则”；1993年6月,上述国家共同起草了一份通用准则,并将CC推广为国际标准。国际安全评测标准的发展如图7-3所示。1993年加拿大可信计算机产品评测准则1991年欧洲信息技术安全评测准则1991年美国联邦政府评测标准1983年美国国防部可信计算机评测准则1996年国际通用准则（CC）1999年CC成为国际标准图7-3国际安全评测标准的发展与联系7.1.2网络安全的评价标准2、我国评价标准分如下五个级别

1级用户自主保护级：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。2级系统审计保护级：除具备第一级外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。3级安全标记保护级：除具备上一级外，要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。4级结构化保护级：在继承前面功能基础上，将安全保护机制划分为关键部分和非关键部分，从而加强系统的抗渗透能力。5级访问验证保护级：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。7.1.3网络安全措施在网络设计和运行中应考虑一些必要的安全措施，以便使网络得以正常运行。网络的安全措施主要从物理安全、访问控制、传输安全和网络安全管理等4个方面进行考虑。

1、物理安全措施

物理安全性包括机房的安全、所有网络的网络设备（包括服务器、工作站、通信线路、路由器、网桥、磁盘、打印机等）的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外，还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。

2、访问控制措施

访问控制措施的主要任务是保证网络资源不被非法使用和非常规访问。其包括以下８个方面：7.1.3网络安全措施

1入网访问控制：控制哪些用户能够登录并获取网络资源，控制准许用户入网的时间和入网的范围。2网络的权限控制：是针对网络非法操作所提出的一种安全保护措施，用户和用户组被授予一定的权限。3目录级安全控制：系统管理权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和存取控制权限8种。4属性安全控制：网络管理员给文件、目录等指定访问属性，将给定的属性与网络服务器的文件、目录和网络设备联系起来。5网络服务器安全控制：包括设置口令锁定服务器控制台，设定登录时间限制、非法访问者检测和关闭的时间间隔等。7.1.3网络安全措施

6网络检测和锁定控制：网络管理员对网络实施监控，服务器应记录用户对网络资源的访问，对于非法访问应报警。7

网络端口和节点的安全控制：网络服务器端口使用自动回呼设备、静默调制解调器加以保护,并以加密形式识别节点的身份。8防火墙控制：防火墙成为是互连网络上的首要安全技术，是设置在网络与外部之间的一道屏障。

3、网络通信安全措施

⑴建立物理安全的传输媒介

⑵对传输数据进行加密：保密数据在进行数据通信时应加密，包括链路加密和端到端加密。7.哥1.士3网络腾安全巷措施4、腊网络亡安全均管理汇措施除了坝技术减措施丛外，忘加强穿网络违的安巴全管拘理，暮制定软相关躺配套检查糕和互协渗透毙测试安全码设计设备狼配置安全洁漏洞分析安全凡策略安全炎需求安全修结构安全培评估安全验评估安全筹评估的规苦章制俊度、而确定盛安全肃管理矛等级犁、明渐确安投全管越理范羽围、他采取毒系统腊维护美方法令和应扯急措薯施等,对网体络安乎全、墙可靠辜地运凝行，冶将起偏到很餐重要污的作尿用。崖实际该上，盏网络坏安全捏策略阀是一职个综醉合,要从教可用威性、疑实用恢性、蜻完整督性、悲可靠戚性和批保密仗性等尘方面逢综合伸考虑叉，才燃能得坚到有氏效的捉安全甩策略。§7.剩2数据才加密绵与数舅字认像证数据热加密煌和数体字认铃证是锡网络座信息率安全仪的核衣心技协术。身其中圾，数扎据加蓄密是祝保护绩数据芝免遭差攻击历的一泰种主绳要方爹法；做数字纽奉认证辆是解似决网锄络通干信过匙程中加双方喂身份毙的认劈燕可，快以防妹止各楼种敌胳手对辛信息蒙进行剑篡改鞋的一盐种重匙要技胶术。数据座加密阿和数旷字认棉证的尝联合包使用框，是袭确保孟信息赤安全厚的有引效措晴施。Internet加密数据流供应商采购单位SSL安全论证网关Web服务器7.椒2.乓1数据唇加密此概念1、纲密码服学与伪密码岔技术计算欲机密迅码学构是研暖究计辞算机潜信息乏加密巷、解止密及起其变歌换的牵新兴丸科学,密码草技术赖是密孟码学询的具纠体实傍现,它包肚括4个方免面：谦保密(机密)、消象息验兔证、贴消息聪完整键和不荒可否辱认性辰。

1保密（privacy）：在通信中消息发送方与接收方都希望保密，只有消息的发送者和接收者才能理解消息的内容。2验证（authentication）：安全通信仅仅靠消息的机密性是不够的，必须加以验证，即接收者需要确定消息发送者的身份。3完整（integrity）：保密与认证只是安全通信中的两个基本要素，还必须保持消息的完整,即消息在传送过程中不发生改变。4不可否认（nonrepudiation）：安全通信的一个基本要素就是不可否认性，防止发送者抵赖（否定）。7.码2.壶1数据观加密药概念2、漂加密踢和解巧密密码杯技术零包括拿数据牛加密持和解能密两绘部分。加密耀是把蛾需要灯加密舱的报勇文按谁照以魄密码网钥匙枪（简营称密我钥）偿为参纽奉数的酸函数拿进行崭转换辩，产竖生密秋码文疗件；起解密朝是按笑照密化钥参桨数进蔬行解丹密,还原爱成原批文件。数据恋加密粪和解党密过购程是见在信颈源发买出与暴进入吴通信估之间输进行鲁加密诉，经到过信熊道传时输,到信慰宿接恒收时膨进行斗解密,以实疼现数蚕据通背信保符密。鹿数据起加密永和解鼓密过愧程如棵图7-章4所示梦。加规密密钥报堤文解锄密原报避文图7-4加密抛解密司模型明文密文屠传输明文信源加密要单元解密记单元信宿7.筝2.酱1数据升加密昆概念3、引密钥贡体系加密摘和解童密是早通过身密钥煤来实讲现的况。如雹果把宅密钥邀作为蔬加密厘体系雹标准肯，则掀可将屋密码伤系统燃分为至单钥锅密码派（又桃称对托称密头码或橡私钥并密码即）体止系和践双钥砍密码恳（又蛮称非裤对称尾密码挖或公逆钥密冠码）画体系伐。在单毛钥密桃码体母制下焦，加律密密匹钥和拴解密存密钥洋是一帅样的歌。在犁这种伐情况忙下，评由于网加密象和解乒密使举用同仪一密抛钥（葛密钥茂经密服钥信铃道传抢给对血方）郊，所烦以密犯码体春制的臭安全说完全翁取决获于密藏钥的惠安全杰。双钥震密码队体制嗓是19保76年W.踢Di长ff融ie和M.壶E.驱He近il垮in循an提出烟的一机种新旷型密颗码体青制。19缸77年Ri暗ve船st,Sh秩am场ir和Ad简le粗ma岗n提出RS蚕A密码玻体制献。在有双钥遇密码段体制捐下,加密卡密钥萄与解婶密密僻钥是流不同胞的,它不悲需要踩安全柴信道窑来传语送密围钥，蜓可以哨公开华加密恳密钥凉，仅板需保惑密解挎密密手钥。7.场2.摸2传统游加密双方法1、代惰换密挖码法⑴栽单字桂母加浇密方徒法：是用语一个缠字母仗代替株另一听个字爸母,它把A变成E，B变成F，C变为G，D变为H。⑵睛多字踪蝶母加计密方低法：密钥纽奉是简亿短且荡便于医记忆谋的词杀组。2、转低换密扣码法保持皇明文住的次西序，帮而把叛明文勤字符换隐藏馅起来速。转刺换密粮码法存不是呆隐藏忍它们语，而毯是靠玻重新陵安排前字母经的次锡序。3、变楼位加凤密法把明校文中座的字径母重养新排触列,字母刃本身占不变渐，但过位置磨变了因。常及见的耽有简联单变隙位法宽、列辽变位魔法和痕矩阵灰变位浙法。4、一嫩次性动密码岩簿加洽密法就是篮用一仓页上航的代隐码来围加密两一些聪词，察再用政另一镰页上胳的代落码加王密另上一些童词，流直到竟全部既的明四文都品被加锡密。7.康2.勇3现代忙加密甲方法1、DE论S加密际算法DE犹S加密不算法凝是一墓种通禾用的纠现代生加密吗方法,该标藏准是污在56位密病钥控查制下,将每64位为备一个话单元挣的明婶文变挂成64位的邮密码掘。采植用多床层次佳复杂左数据越函数焦替换献算法轿，使奴密码晚被破个译的血可能于性几酿乎没尸有。2、ID魔EA加密骨算法相对典于DE申S的56位密比钥，杨它使绿用12毅8位的姜密钥籍，每狂次加锻密一阳个64位的挣块。逢这个吴算法歼被加矩强以岸防止刑一种裹特殊功类型条的攻潮击,称为驻微分窗密码想密钥腾。ID君EA的特夕点是棚用了采混乱淹和扩酒散等蛇操作,主要泼有三荷种运净算：观异或源、模委加、其模乘标，并鼻且容名易用者软件顿和硬罩件来劈燕实现涛。ID喝EA算法次被认歼为是耍现今正最好周的、饮最安并全的邀分组飞密码甚算法帜，该梁算法杂可用映于加笼密和温解密畅。7.汁2.乏3现代笔加密娃方法邮件宣内容CH=欺MD夕S(袄C)S=揉ENRS乐A(H瓶)KSM=爸C+零S随机每加密招密钥E1揭=E芹NID食EA(M今)E2丈=E么NRS烟A(K傍)KR避P将E1飘+E希2寄出发送季邮件收到E1跃+E排2K=规DERS送A(E就2)KR恒SM=御DEID绳EA(E爪1)K将M分离村成C和SH1居=M市D5劣(C像)取得坛收信蝴人的分开件密钥KPS1幻玉=D浙ERS诞A(H谊1)KPS1垃=S格?NoYe换s接收木此邮灿件拒绝碧此邮虏件接收博邮件3、RS们A公开拐密钥犬算法RS亩A是屹趴今为鲁止最蒸著名、最完霞善、离使用齐最广串泛的玩一种宋公匙刚密码说体制。RS光A算法脂的要滨点在俘于它肚可以紫产生升一对污密钥,一个沉人可痕以用撇密钥吸对中岩的一泥个加箭密消烈息，敌另一葬个人庸则可钉以用今密钥话对中监的另酿一个桥解密派消息老。任夹何人淘都无各法通班过公咏匙确封定私府匙，论只有当密钥蓄对中粒的另影一把包可以寇解密弟消息燃。取得霞收信氏人的分开抬密钥KRP7.盘2.榴3现代投加密睡方法4、Ha稼sh船－M论D5加密俘算法Ha济sh函数蚕又名叨信息宴摘要裤（Me峰ss昏ag糊e慕Di默ge吐st）函擦数，每是基井于因茎子分烤解或唐离散巷对数谢问题饿的函瘦数，纯可将顾任意脾长度客的信圆息浓脑缩为练较短吊的固同定长创度的戚数据鸦。这伸组数押据能身够反悔映源侨信息念的特灶征，动因此辛又可至称为茶信息北指纹得（Me爱ss场ag匀e溉Fi震ng挽er进pr崭in昌t)。Ha烟sh函数变具有趟很好榆的密台码学性性质,且满母足Ha双sh函数稍的单疲向、无碰坝撞基溪本要碌求。5、量赌子加喷密系稼统量子亦加密踪蝶系统勺是加碰密技筹术的全新突笼破。守量子龙加密宵法的肺先进却之处铺在于决这种责方法葵依赖储的是晶量子烦力学算定律话。传演输的略光量说子只论允许厉有一驰个接霉收者狱，如写果有翻人窃蛮听，可窃听挤动作撞将会矮对通斑信系唤统造堤成干叫扰。丘通信铁系统催一旦俭发现辛有人余窃听补，随胶即结猴束通伏信，怪生成恢新的萍密钥观。7.垃2.系4破密嗓方法1.盗密钥萄穷尽贿搜索就是望尝试忆所有宾可能涛的密旗钥组导合，找虽然溜这种奶密钥辜尝试妥通常衬是失葱败的骡，但爆最终戏总会罢有一召个密迁钥让晨破译奥者得卵到原贴文。2.密码阳分析密码巨分析葛是在倦不知泡密钥忠的情骡况下峰利用宝数学猜方法箱破译硬密文志或找范到秘航密密那钥。滔常见巨的密风码分良析有董如下氧两种飞：⑴醉已知集明文捡的破木译方呀法：是当露密码牢分析政员掌尼握了赠一段幅明文伶和对匀应的尸密文,目的伞是发助现加睡密的样密钥谅。在堂实际处应用忧中,获得蓝某些叛密文武所对转应的谁明文洁是可鸽能的偿。⑵露选定蔬明文两的破乓译方唱法：密码火分析词员设伶法让饺对手严加密是一段闭分析亭员选掠定的任明文悔，并横获得敌加密漂后的村结果,以获堡得确奏定加屋密的耀密钥凤。7.钞2.倚4破密撒方法3、袋防止篇密码昨破译诞的措坑施为了狡防止狡密码床破译,可以选采取盼一些射相应肠的技寻术措壶施。趣目前漆通常灭采用挨的技贼术措喂施以软下3种。⑴级好的辽加密货算法浸：一个猴好的春加密咳算法叨往往双只有苦用穷执举法祖才能本得到解密钥急，所概以只增要密闪钥足技够长郊就会樱比较怀安全学。20世纪70～80年代速密钥铺长通协常为48～64位，90年代,由于晓发达候国家雄不准担许出爬口64位加吓密产跟品，彼所以场国内魂大力姿研制12奴8位产纠品。⑵勤保护隔关键赵密钥（KC阀K：KE藏Y劈燕CN输CR渗YP时TI料ON拣K处EY）。⑶父动态津会话协密钥工：每次觉会话狼的密摘钥不特同。动态孤或定敏期变缠换会崇话密匆钥是朱有好倚处的朴，因等为这谈些密丢钥是含用来申加密善会话返密钥取的，忠一旦旷泄漏慎，被角他人瓜窃取姨重要袍信息凯，将暮引起暗灾难月性的猾后果壶。7.雪2.恩5数字惠认证数字须认证裹是一序种安蒸全防沉护技梢术，服它既心可用畅于对摄用户胡身份牌进行荒确认请和鉴浮别,也可刻对信直息的驶真实脆可靠枪性进诊行确倚认和粥鉴别,以防时止冒炒充、访抵赖篮、伪如造、亦篡改冬等问灿题。贝数字念认证捆技术城包括剧数字迷签名姿、数隐字时芝间戳沙、数蜓字证富书和锡认证棕中心狐等。1、系数字坛签名“数比字签圣名”仅是数兔字认拉证技标术中跑其中糟最常嗽用的魔认证惩技术杂。在删日常晃工作级和生驶活中拐，人钢们对稿书信印或文絮件的担验收学是根获据亲砌笔签暂名或仇盖章拌来证报实接牙收者亏的真搂实身苏份。阁在书弦面文数件上产签名援有两横个作谎用：碌一是默因为饺自己献的签迷名难雁以否洲认，输从而立确定陷了文拦件已见签署调这一避事实坟；二铲是因袭为签厘名不算易伪测冒，怕从而昨确定替了文腿件是嚷真实公的这寨一事情实。庆但是劲，在岗计算祝机网洋络中弄传送花的报睬文又帽如何除签名斗盖章陶呢，利这就朵是数把字签昼名所眼要解德决的它问题邮。Key数字签名初始文件签名文件加密的签名文件数字签名初始文件数字摘要数字摘要正确初始文件HASH编码一致KeyKeyKey数字摘要初始文件7.课2.渗5数字饭认证在网射络传诸输中懂如果河发送湿方和否接收己方的雕加密啊、解暑密处密理两堆者的哀信息卡一致絮，则沸说明钢发送私的信旁息原走文在原传送哑过程深中没谱有被拳破坏细或篡制改,从而爆得到区准确沸的原就文。橡传送饮过程洪如图7-程7所示。图7-绪7数字恩签名惹的验民证及磨文件倒的窜桑送过廉程7.围2.纽奉5数字跟认证2、自数字普时间酬戳（DT猪S）在电脆子交广易中,同样话需要详对交跟易文螺件的险日期立和时谣间信俱息采快取安侵全措虽施，改数字样时间迫戳就周是为能电子笑文件判发表涌的时谋间提弱供安痕全保幕护和炕证明惠的。DT堆S是网烤上安绣全服谋务项渠目,由专银门的资机构雁提供泡。数伴字时秧间戳敞是一腔个加练密后渗形成赏的凭皆证文漠档,它包检括三坚个部宗分：◆需兰要加保时间利戳的恭文件驾的摘碌要◆DT睁S机构家收到蹈文件条的日姨期和窝时间◆DT孤A机构站的数邀字签倦名数字纽奉时间钉戳的仪产生授过程虽：用畜户首葬先将架需要情加时逼间戳射的文混件用HA亿SH编码仍加密仙形成调摘要筋，然槐后将隶这个睛摘要笑发送浪到DT疮S机构着，DT慎S机构痛在加尘入了紧收到傲文件束摘要伪的日蹄期和析时间笔信息僻后，肢再对榆这个耳文件刚加密委（数师字签特名）有，然相后发后送给奋用户励。7.仔2.牢5数字蜜认证3、切数字袋证书数字夸认证狼从某阳个功及能上堵来说览很像娱是密某码，镜是用燥来证挺实你虎的身衰份或画对网仁络资记源访昌问的踏权限寸等可肯出示驳的一息个凭讲证。奶数字随证书帜包括精：

1客户证书：以证明他（她）在网上的有效身份。该证书一般是由金融机构进行数字签名发放的，不能被其它第三方所更改。2商家证书：是由收单银行批准、由金融机构颁发、对商家是否具有信用卡支付交易资格的一个证明。3网关证书：通常由收单银行或其它负责进行认证和收款的机构持有。客户对帐号等信息加密的密码由网关证书提供。4CA系统证书：是各级各类发放数字证书的机构所持有的数字证书，即用来证明他们有权发放数字证书的证书。7.耐2.浓5数字杠认证持卡盾人CC谢A持卡粱证件商家MC飞A商家瓣证件支持唇网关PC饭A支付磨网关谈证件根CA品牌CA地方CA图7-汁8CA认证穷体系随的层扶次结钳构4、驰认证窝中心啊（CA泄）认证障中心屠是承声担网诞上安绒全电抢子交但易认介证服失务、暮签发圆数字璃证书昂并能秀确认桂用户著身份辛的服炸务机程构。秤它的胜主要险任务闭是受必理数饱字凭刻证的决申请露，签坝发数刊字证隔书及窗对数撒字证度书进既行管洋理。CA认证靠体系屑由根CA、品千牌CA、地夏方CA以及担持卡恐人CA、商死家CA、支粮付网即关CA等不洪同层供次构顶成，远上一芽级CA负责榴下一志级CA数字久证书垫的申晌请签代发及届管理概工作牺。图7-劈燕9防火股墙的晴逻辑许结构役示意瞒图1、正什么笨是防遭火墙为了祥防止胜病毒钉和黑惯客，婚可在笑该网安络和In迟te番rn纤et之间旁插入拳一个旨中介割系统别，竖踏起一社道用既来阻嫌断来苹自外凉部通旗过网私络对欢本网而络的俭威胁炮和入乡丰侵的抹安全垒屏障鸽，其驶作用乓与古逐代防文火砖面墙有黎类似线之处肉，人馒们把烫这个迷屏障龄就叫炭做“呀防火孕墙”醋，其跃逻辑棵结构册如图7-袋9所示酿。7.展3.盈1防火瓶墙的躬基本免概念§7.杆3防火意墙技康术外部网络内部网络7.挽3.殃1防火江墙的滴基本键概念2、葵防火昂墙的正基本越特性①饭所有演内部薪和外霉部网氧络之赶间传拾输的液数据胡必须冒通过弊防火槐墙。②贯只有聋被授宝权的正合法够数据霸即防乐火墙敲系统字中安辰全策兽略允河许的数最据可沾以通卵过防够火墙纺。③如防火报墙本国身不涉受各征种攻占击的咬影响检。3、纸防火篮墙的腊基本怒准则⑴首过滤奸不安齿全服苹务：防火扔墙应包封锁悟所有贞的信枕息流,然后链对希森望提葬供的映安全劫服务陡逐项考开放曲，把角不安臂全的齐服务赵或可窃能有围安全痛隐患姥的服肌务一乱律扼凤杀在肺萌芽临之中抵。⑵凯过滤敢非法晌用户恶和访迫问特爱殊站丸点：防火莫墙允膀许所锋有用美户和站责点对弄内部禽网络理进行猫访问语，然天后网塑络管糕理员熔按照IP地址抱对未纺授权系的用绒户或扎不信丑任的呢站点咱进行絮逐项胀屏蔽惠。7.畏3.撞2防火趁墙的贼基本窄功能1、作端为网装络安堵全的升屏障防火峰墙作悠为阻稍塞点娘、控俘制点牢，能武极大者地提哭高一涝个内栋部网管络的迎安全圆性，渣并通体过过投滤不即安全证的服液务而袄降低惨风险答。2、可冶以强傅化网膨络安眨全策饮略通过糊以防绩火墙虾为中驰心的诉安全面方案桨配置尿，能牙将所擦有安刮全软甚件（岸口令捷、加替密、菌身份阴认证辈、审示计等缝）配妙置在店防火灰墙上逮。3、对场网络喘存取屑和访忆问进痰行监桑控审戚计所有纵的外圈部访证问都糟经过京防火穴墙时吧，防急火墙数就能婶记录忘下这储些访胀问，颤为网窄络使千用情限况提鹿供统波计数萍据。远当发懂生可择疑信肆息时穗防火咐墙能枣发出弊报警嫂，并奸提供医网络潜是否集受到扁监测昏和攻嘱击的淡详细恼信息挑。4、可下以防抛止内去部信机息的衡外泄利用繁防火叉墙可泰以实志现内盈部网臣重点震网段肯的隔锤离，题从而皆限制浓了局渣部重课点或判敏感比网络知安全霜问题渡对全损局网猫络造朽成的磁影响懂。7.较3.瞧3防火倾墙的亡基本课类型1、网及络级堡防火垂墙（Ne华tw饲or捏k奔Ga甜te听wa基y）网络吓级防浪火墙剖主要致用来宋防止伏整个团网络屋出现墨外来步非法歇的入况侵。图7-池10包过奶滤路垃由器境的工渐作原家理示通意图内部萝网络物理层分组过滤规则数据链跑层Internet外部精网络网络层物理层数据链跑层网络层包过汗滤路浆由器7.挡3.雾3防火斯墙的烛基本汗类型2、资应用捎级防上火墙予（Ap桑pl肾ic旁at屋io有n据Ga坚te默wa洪y）这种线类型袖的防出火墙障被网招络安画全专俗家和随媒体登公认禾为是抄最安民全的充防火低墙。晓它的婚核心辩技术灭就是爸代理顿服务圆器技舅术。齐在外镇部网雪络向粗内部睬网络靠申请矮服务骂时发山挥了甚中间漏转接屋的作现用。赏代理功防火沉墙的咸最大阀缺点茅是速腔度相剃对比虹较慢昆。应酬用级组代理勉工作赢原理钩图7-洋11所示祝。图7-喘11应用敏级代附理工已作原走理示蒜意图内部堆网络真正骑服务张器代理成服务隔器实际保的连浊接实际来的连绣接外部顷网络客户虚拟须的连煌接Internet防火替墙7.炕3.量3防火知墙的领基本快类型3、仙电路巷级防景火墙技（Ga来te喜wa冠y）电路捞级防亭火墙贸也称躬电路金层网培关,是一捧个具伞有特伤殊功谷能的劝防火言墙。拼电路保级网股关只栽依赖嗓于TC月P连接湾，并码不进厚行任皮何附舱加的碌包处寺理或漆过滤驶。与坝应用吐级防销火墙臂相似,电路沸级防段火墙稠也是尽代理孔服务解器,只是暮它不菠需要稼用户停配备奶专门剖的代园理客粘户应泛用程文序。另外,电路牧级防框火墙镜在客生户与促服务朗器间越创建肺了一糊条电内路,双方忽应用而程序元都不勿知道制有关厦代理蝴服务野的信赢息。4、仿状态贼监测沟防火畜墙（St针at精ef槽u没in巾sp服ec棉ti波on岭G妄at鱼ew逢ay合）状态邮检测聪是比看包过跌滤更孤为有煎效的丸安全醒控制融方法。对新毁建的纱应用滚连接,状态袍检测把检查今预先蹄设置仅的安金全规蓄则,允许诉符合锻规则啊的连沙接通告过,并在抢内存学中记社录下绸该连子接的短相关凭信息,生成时状态绘表。伯对该汪连接板的后莲续数扮据包,只要唐符合她状态猪表就鉴可以铲通过树。7.喷3.骨4防火阅墙的达基本登结构1、紫双宿顽主机讲网关心（Du盟al味H朽om侦ed尾G阅at各ew岸ay倡）双宿逐主机许网关搂是用贤一台汪装有效两个蜻网络项适配务器的剥双宿尚主机负做防北火墙,其中悄一个巨是网腾卡,与内既网相溜连；拜另一最个可诱以是希网卡派、调略制解肉调器屈或IS蚀DN卡。优双宿节主机耳网关序的弱碰点是旱一旦车入侵饰者攻便入堡米垒主勉机并霸使其俭具有依路由革功能兔，则触外网缴用户孩均可督自由嫁访问系内网费。双厉宿主殖机网括关工炉作原日理图装如图7-意13所示湾。图7-蜂13双宿陕堡垒革主机Internet双宿敢堡垒烈主机内网7.堡3.鬼4防火沃墙的啊基本表结构2、鸣屏蔽搬主机途网关今（Sc弃re饭en链ed棚H勇os筑t堡Ga富te叠wa藏y）⑴蚀单宿茧堡垒雹主机炸：是屏决蔽主拌机网像关的重一种忘简单群形式,单宿须堡垒饼主机森只有户一个钓网卡砌，并廊与内斩部网约络连玻接。厌通常造在路衡由器坏上设焰立过闯滤规锋则，织并使坐这个顽单宿分堡垒亩主机丢成为竞可以怒从In芳te岸rn师et上访龙问的浊唯一狐主机柱。而In条tr疼an板et内部义的客赶户机鸽，可帆以受社控地相通过折屏蔽救主机坛和路跌由器扶访问In幕te臣rn清et视,其工患作原氧理图窄如图7-宾14所示。图7-向14屏蔽绘主机谜网关凤单宿葛堡垒共主机Internet双宿四堡垒速主机内网7.蹈3.丑4防火必墙的瞧基本犁结构⑵屈双宿部堡垒晌主机您：是屏孕蔽主蔬机网博关的地另一执种形经式,与单子宿堡丈垒主双机相秘比，霜双宿样堡垒剧主机伟有两章块网咱卡，段一块坦连接化内部紫网络韵，一舟块连靠接路纷由器曲。双饿宿堡当垒主狼机在剖应用烂层提址供代毫理服补务比钩单宿鸽堡垒拍主机叙更加禽安全塘。屏舒蔽主腐机网款关双幻玉宿堡胜垒主某机工痛作原企理图耳如图7-异15所示数。图7-法15屏蔽纯主机欲网关捐双宿妻堡垒祥主机Internet双宿艳堡垒穿主机内网7.锅3.送4防火工墙的森基本疯结构3、不屏蔽狸子网痕（Sc联re寸en搬ed段S娱ub坏ne林t随Ga普te提wa叠y）屏蔽岩子网闭是在勿内部偿网络爹与外之部网抗络之段间建竭立一丝式个起蚊隔离珍作用颂的子律网。印内部膜网络携和外栽部网庭络均避可访洽问屏泼蔽子膛网，运它们泊不能妹直接钥通信箭，但刃可根掠据需泰要在追屏蔽如子网翻中安锄装堡调垒主攀机，裁为内蓝部网窗络和形外部淡网络浪之间煮的互教访提道供代乓理服卖务。盛屏蔽锤子网芳工作斯原理久图如纠图7-盗16所示钻。图7-信16屏蔽印子网容防火驶墙内网屏蔽往子网In冰te宪rn凳et7.扎3.厨5防火握墙的死安全怪标准炼与产屯品1、析防火坐墙的产安全曾标准⑴Se搏cu化re惧/W灭AN（S/笼WA存N）标幸准⑵FW朵PD（Fi线re计W仆al课l剪Pr束od拍uc蔽t谜De途ve你lo础pe笑r）联移盟制液订的防火庙墙测悔试标冲准2、洁常见赵的防神火墙谢产品1、事什么怪是虚佣拟专求用网防火蛇墙用缘瑞来将犯局域放网与In讲te区rn汪et分隔苦开来盗，阻周止来杀自外锋部网排络的压损坏绍。随轿着企础业网脑应用绝的不血断扩温大，骡企业漏网的产范围傍也不胖断扩务大，堪从一收个本培地网屋络发北展到艳一个纤跨地庭区跨支城市厌甚至忍跨国认家的闷网络,为保纤证区埋域间燥流通造的企拴业信姓息安瞒全,通过江租用夏昂贵凡的跨挨地区找数字寻专线托方式遵建立选物理般上的鼻专用蚁网非絮常困骂难。随着质计算争机网乖络应斑用技翠术的抵发展纺，现川在可终通过In总te外rn羞et提供弃的虚粥拟专洽用网(V屋ir闻tu俯al疮P父ri驴va教te睁N塌et两wo暖rk，VP洒N)技术屈，使伍家庭齿办公乐、移闸动用沾户或在其它营用户摩主机建可以窜很方剩便地扔访问趣企业骡服务伸器。五用户昌就像勾通过饥专线横连接哀一样史，而朴感觉邪不到睡公网已的存米在，液这种吉网络冲被称滥为VP扣N的基培本结滤构如饰图7-赚17所示搜。§7.抖4虚拟贝专用网技季术7.锋4.概1在V狠PN的基牢本概贴念7.迹4.扰1VP仰N的基捷本概慰念VP也N是通讯过一弃个公肆用网堤络建陆立的狮一个线临时搜、安圈全的茧连接算方式,是一牌条穿图越混只乱的形公用织网络血的安凑全、驻稳定玻的隧翁道，内其目臣标是午在不叮安全尸的公修用网援络上识建立逝一个索安全玩的专持用通宋信网绒络。VP养N的最维大优遥点是饲无需慈租用虏电信车部门恰的专鹿用线鉴路，呜而由列本地IS奏P所提筑供的VP隙N服务蚂所替挺代。筒因此吃，人盲们越蚁来越盟关注胖基于In隶te上rn副et的VP吹N技术恰及其包应用彻。图7-行17虚拟唉专用到网示村意图VPN服务器明文共用网络密文VPN隧道数据分组

VPN连接明文VPN服务器2、翅虚拟纤专用植网的鉴安全苏性VP雷N实际冲上是品一种稀服务爆，是肢企业第内部贴网的吧扩展涛。VP求N中传足输的煎是企咏事业英或公胸司的湖内部粘信息壮，因岔此数狭据的戒安全激性非勒常重的要。VP阔N保证呆数据拘的安辰全性裤主要碧包括矮以下3个方吼面。⑴据数据咳保密吸性（Co疗nf旬id垒en回ti供al党it杀y）：通过哪数据朱加密兽来确条保数贤据通握过公狱网传榆输时灵外人叶无法真看到歼或截激获，明即使恐被他于人看默到也坏不会暗泄露率。⑵愧身份流验证(A糊ut尖he党nt殿ic阅at闪io萌n）：对通趟信实窑体的芽身份营认证城和信佩息的卸完整踢性检计查，饲能够港对于洒不同匆的用继户必私须授团予不新同的佩访问迎权限,确保患数据宇是从六正确羡的发级送方抗传输沙来的喊。⑶堆数据公完整猾性（In肌te华gr羽it叨y）：确保凭数据爽在传胀输过醋程中旬没有上被非淋法改廊动，惩保持绳数据拖信息谷原样姿地到看达目尺的地绪。7.盛4.蛋1VP眨N的基外本概拿念3、VP宁N的特暂点VP恰N最终僚用户彼提供美类似少于专什用网掀络性赤能的欲网络而服务师技术,并具稠有以悟下特翼点。⑴时安全姻性高贺：VP雷N可以饿帮助栽远程迫用户钻、公拉司分加支机微构、帆商业物伙伴摄同公李司内签部网均之间拣建立爪可信仓的安秀全连携接，苦并保享证数杆据的为安全朝传输贸。⑵骑降低毕成本假：VP般N是建惰立在柿现有昆网络忌硬件绿设施屑基础遇上，安因此旁可以妙保护帐用户定现有桨的网滋络设法施投般资；敌大幅哑度地给减少粉用户孟在WA椒N和远误程连望接上奥的费滥用；抹降低去企业顶内部贺网络吗的建灾设成泼本。⑶脱优化渣管理董：采用VP碰N方案制可以肯简化窄网络窜设计冈和管享理，宵加速种连接眠新的巾用户裂和网植站。居同时做，能瘦够极塌大地艰提高圈用户造网络容运营慨和管掀理的教灵活雀性。7.镇4.漫1VP锈N的基曾本概询念7.需4.未2VP株N的实便现技杆术1、隧道狭技术隧道萍技术贩是一石种通妄过使懒用互荣联网乒络的装基础局设施阁在网萌络之汤间传肆递数们据的艰方式,是VP扎N的核帖心。澡隧道端技术残是在灵公用行网建轻立一总条专矛用数详据“乘通道鼠”，饺以实瓜现点断对点还的连往接，镰让来谊自不佳同数满据源堂的网斧络业售务经调由不胀同的付“通萌道”呀在相许同的星网络壳体系陕结构探上传辰输，砌并且验允许邮网络邪协议偶穿越求不兼楚容的供体系体结构锄。隧恳道的舟组成彩如图7-或18所示骂。图7-18隧道的组成ISP接入集线器MobilePC隧道终结器交换机ISPVPNGateway互联网7.盖4.选2VP稍N的实棕现技雄术2、加棕解密正技术喂（En回cr笨yp聪ti摩on披&堆D太ec友ry遮pt比io乎n）对通射过公镇用互苍联网令络传班递的绑数据贪必须嗽经过菠加密教，确赤保网乏络其侮它未孤授权来的用搅户无眯法读拦取该尘信息钱。3、密易钥管非理技岗术（Ke胳y堪Ma营na臂ge罩me挪nt）密钥味管理的技术缴的主款要任退务是抹如何前在公看用数钟据网主上安披全地服传递司密钥牧而不季被窃斤取。敏现行辣常用音密钥垫管理助技术卖可分川为SK粉IP与IS门AK蔽MP／Oa桃kl箭ey两种嫌。4、身浩份认有证技哄术（Au浙th雕en质ti爬ca聚ti压on）公用书网络经上有挪众多铁的使涂用者贪与设宜备，捎如何邮正确戴地辨有认合具法的秘使用瞧者与税设备著，使颈属于缎本单肾位的犹人员剧与设抗备能呆互通啄，构智成一蹈个VP盖N并让肾未授离权者惧无法菠进人榨系统,这就咽是使列用者蝴与设务备身紧份认芹证技振术要肾解决述的问迹题。7.勾4.晋2VP冻N的实相现技奶术5、VP唤N的应羞用平演台VP慌N设备息选择齐的标战准主圣要取鞋决于顾应用墓程序房诚运行孝的安坊全级易别和色性能宿要求赛，而跌在技里术方看法上VP接N是通春过平僻台来长实现他的。之目前VP闯N的应流用平伟台可骂分为3种类挥型。⑴复基于评软件伸的VP精N：当数护据连系接速调度较醋低，疾对性迅能和济安全缩慧性要锣求不衡高时押，利侨用一华些软寻件提练供的密功能叉便可家实现止简单恼的VP鞭N功能友。⑵惧基于伟专用剂硬件恼平台岩的VP需N：当企庸业和采用户灾对数摧据安案全与至通信唇性能妙要求位很高幸时，吼可采推用专列用硬键件平符台实马现VP疏N功能里。⑶卷辅助迅硬件产平台臂的VP逆N：以现两有网矿络设脸备为告基础爽，在戏添加是适当津的VP矩N软件她的情疤况下午实现VP条N功能模。网凉络安嫁全性缓和通井信性颠能介遍于上梅述两游者之混间。7.旱4.彼3VP俭N的安胃全协路议网络抢隧道杨协议胀有两张种：值一种桌是二知层隧跑道协盼议，很用于脂传输谎二层陆网络螺协议匪数据坦，以代构建川远程剥访问劝虚拟群专用休网；缠另一钟种是限三层岁隧道弹协议杯，用牲于传上输三位层网禾络协捧议，满以构百建企余业内绣部虚饱拟专猪用网害和扩秒展的薪企业与内部VP葛N。1、二争层隧芹道协勤议（PP卫TP／P2谨TP）⑴PP丝式TP：是点臣对点剖隧道倒协议约，它颜是由Mi糠cr奋os熊of去t公司桥提出强的、主被嵌寇入到Wi疏nd碗ow蚂s中的哲、用情于路驻由和雾远程赏服务瓦的数浪据链互路层纸协议麦。PP如TP用IP包来薪封装PP佩P数据呈帧，胜用简站单的顿包过训滤和架域控碑制来没实现欠访问窄控制欢。⑵L2伶TP：是第列二层断隧道器转发毁协议虽，它妇是由PP券TP和L2锋F组合学而成帖，可访用于芳基于In手te寒rn滤et的远刺程拨婆号访幻玉问。纵还可翅以为膏使用PP攻P的客糊户端索建立跃拨号么方式假的VP药N连接萄。L2制TP可用劫于传咐输多教种协浴议，答如Ne容tB们IO蹄S等。7.吨4.庆3VP亩N的安盐全协真议2、三刷层隧贴道协拾议（IP晴Se涉c）IP机Se损c是一凶组开樱放性巡寿协议袜的总垄称，拆它包氏括认偷证头(A净H）、In岭te启rn挖et安全划协会应与密惊钥管抚理协的议（IS塞AK肾MP）和可安全证封装卵载荷民（ES婚P）三刃个子瓶协议箱。IP胃Se鸟c具有困以下勤三个叠特性雀。⑴住保密啄性：IP婆Se躁c在数驻据传楼输之公前先申进行惹加密矮，以宋确保筛的私控有性剪。⑵承可靠捕性：数据振到达运目标群方之到后进手行验啊证,保证群数据厅在传堵输过泛程中腊没有触被修透改或赌替换壳。⑶惑真实茅性：对主倘机和馆端点棕进行艺身份淡鉴别山。IP迅Se侮c有两宇种工残作模稍式,即运凭输模蔽式和取隧道却模式六。在训隧道穿模式怨下,I培PS题ec把IP分组嗽封装尿在一锤个安气全的周数据龙报中迷，确斤保从节一个现防火严墙到桐另一荣个防财火墙睁的通探信安镇全性胆。7.妈4.婶4VP净N的基糊本类像型图7-膀19VP若N的三璃种服埋务类寺型公用摧网络Ac管ce服ss绍V阁PNEx酷tr黑an重et级V严PNIn长te耕rn伏et支V予PN合作袭伙伴子公司总公司根据渔业务帐类型经和和斤组网详方式夸的不绪同，VP聋N业务哨大致半可分犬为3类，士如图7-驴19所示坛。7.铃4.烦4VP撕N的基犁本类够型1、内亡部网VP高N（In缩慧tr谈an杂et挨V坦PN）内部唇网是隙指企臂业的屑总部浑与分戒支机景构间以通过料公网抓构筑展的虚舞拟网,它通蹈过公竖用网熔络将燃一个万组织荒的各煎分支俘机构抚的LA滚N连接灶而成局的网袖络，脉即In雄tr闷an脚et，它习是公倦司内繁部网内络的严扩展倡。内部忧网VP均N用于农公司蜡远程悼分支异机构接的LA板N之间君或公宜司远观程分狱支机怒构的LA湖N与公割司总腔部LA将N之间朗进行痒互联办，以畜便公绢司内泰部的除资源中共享覆、文合件传行递等音，可鄙节省DD滑N等专蚀线所言带来卵的高向额费逢用。劈燕内部画网VP工N的配错置如若图7-尾20所示。VP介N摆Se围rv付erInternet外部网络内部网络Ro腾ut灶erRo蛇ut疏erVP拦N爷Se寺rv愉er图7-盲20内部祝网VP帜N的配送置7.猪4.逆4VP烦N的基呆本类聋型2、远叶程访廊问VP概N（Ac尿ce围ss慈V真PN）远程视访问用也称赶为拨仍号VP矩N，是窑指企狗业员涨工或橡企业番的小灭分支常机构榴通过约公网稳远程舞拨号月的方服式构幸筑的馋虚拟赌网，丸用于姥在远泥程用属户或扎移动挡雇员劈燕和公幸司内悠部网殃之间舰进行落互联壮。远程煌访问VP还N的优肌点是丝式可以青实现乒“透获明访均问策滨略”送，即嫌远程贿用户讨可以贪与主蒸机如坚同在掠同一杜个LA净N中一位样自夕由地显访问LA御N上的秩资源糕。远程凑网VP蚀N的配柏置如屋图7-秘21所示散。图7-词21远程店网VP看N的配什置VP辆N专Se呜rv叼erInternet内部网络Fi飘re哗wa挖llMo痕bi浴le虏P冰CDe撒sk台to猛p诉PC7.蔽4.号4VP宗N的基说本类挣型3、外旺联网VP押N（Ex途tr泻an融et毛V下PN）外联隔网是形指企挺业间权发生炭收购墨、兼追并或将企业柄间的费战略镇联盟,使不库同企胶业网讲通过晶公网母来构晚筑的殿虚拟鬼网，蜜用于正在供择应商漠、商绵业合目作伙俊伴的LA惜N和公鲜司的LA亦N之间纱进行谋互联辽。外血联网VP寄N通过坡一个乖共享叔基础打设施芳将客典户、功供应富商、卵合作蒙伙伴区等连文接到油企业碰内部赴网，螺既可松以向挽外提款供有袋效的杠信息朱服务挠，又剥可以宣保证晓自身润的内级部网乒络的躲安全乔。外俩连网VP皇N的配兼置如惠图7-阳22所示施。图7-盖22外联刮网VP嫂N的配鞋置WW遣W雾Se元rv吃erInternet内部网络内部网络VP贷N垃Se顿rv贿erFi脑re厦wa蒙llVP留N单Se职rv祸erFi追re浪wa铸ll§7.死5网络宰病毒今防治份技术计算沸机病津毒是贺由计陵算机颂黑客命编写塞的有底害程橡序,具有羞自我付传播锈和繁全殖的书能力届，破抛坏计嫩算机礼的正版常工洗作。In犁te再rn扔et惧/I槐nt蛾ra姐ne与t的迅谋速发位展和充广泛薪应用雀给病崖毒提糟供了帜新的敌传播惭途径尚，网央络将蠢正逐集渐成动为病余毒的击第一示传播杂途径愁。In杯te时rn惰et双/I崖nt物ra贼ne糠t带来某了两辞种不汪同的仿安全饿威胁倒：一铺种威向胁来尚自文预件下咬载，追这些额被浏临览的凯或是托通过FT满P下载弓的文敞件中