NET09_网络安全与网络管理ppt课件

1、第九章网络平安及网络管理 中 北 大 学 电 子 与 计 算 机 科 学 技 术 学 院School of Electronics and Computer Science and Technology . NUC 交换今日汗水，路由明朝辉煌9 网络平安及网络管理 本章内容网络平安概述容错技术加密与认证网络管理黑客文化与平安对策课程议题网络平安概述网络平安概述“平安一词在字典中被定义为“远离危险的形状或特性和“为防备间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。随着经济信息化的迅速开展，计算机网络对平安要求越来越高，尤其自InternetIntranet运用开展以来，网络的平安曾经涉及到国

2、家主权等许多艰苦问题。随着“黑客工具技术的日益开展，运用这些工具所需具备的各种技巧和知识在不断减少，从而呵斥的全球范围内“黑客行为的泛滥，导致了一个全新战争方式的出现，即网络平安技术的大战。网络平安的概念网络平安从其本质上来讲就是网络上的信息平安。它涉及的领域相当广泛。这是由于在目前的公用通讯网络中存在着各种各样的平安破绽和要挟。从广义来说，凡是涉及到网络上信息的严密性、完好性、可用性、真实性和可控性的相关技术和实际，都是网络平安所要研讨的领域。下面给出网络平安的一个通用定义： 网络平安是指网络系统的硬件、软件及其系统中的数据遭到维护，不受偶尔的或者恶意的缘由而遭到破坏、更改、泄露，系统延续可

3、靠正常地运转，网络效力不中断。网络平安的定义计算机实体平安系统运转平安信息平安对于网络平安，目前国际上还没有一个一致的定义，它经常与计算平安和计算机信息系统平安两个术语混淆。狭义上以为，计算机网络平安是指经过网络的拓扑构造，构造和网络协议来保证计算机网络系统的可靠、稳定和延续的正常任务。这一定义的重点在于计算机网络系统的设计上，经过技术手段提高网络系统的平安性。广义上的网络平安，那么包含计算机平安和计算机信息系统平安。(1) 物理平安计算机实体平安设备、环境在一定的环境下，对网络系统中的设备的平安维护。包括设备的防毁、防盗、防电磁辐射或干扰，以及电源维护。是网络平安的前提(2) 系统运转平安容

4、错性、平安审计等网络系统运转平安是指计算机实体平安的前提下，保证网络系统不受偶尔的和恶意的要挟的影响，可以正常延续任务。网络系统的拓扑构造、构造硬件、OS和协议是影响网络系统运转平安的直接要素。计算机病毒、黑客入侵是影响网络系统运转平安的外在要素。采用有效的技术和管理手段，保证网络系统运转平安是网络平安维护最重要的环节之一。(3) 信息平安计算机网络信息平安是指防治网络上的信息资源被故意的或偶尔的泄露、更改、破坏，确保信息的严密性、完好性和可用性。保密性 Confidentiality 指防止信息在未授权的方式下被泄露完整性 Integrity 指信息不能被非法（未授权）更改或破坏可用性 Av

5、ailability 指在授权的任何情况下，信息必须是可用的，防止延时或拒绝访问网络面临的平安风险与人有关的风险与硬件和网络设计有关的风险与协议和软件有关的风险与Internet访问有关的风险网络系统本身内部要素系统外部外部要素(1)非授权访问 (2)信息泄露 (3)回绝效力网络平安措施容错性和数据备份防火墙技术监视、检测程序加密和认证文件访问限制对系统错误和性能趋势跟踪，发现处理问题坚持备份、引导盘及紧急修复盘制定实施平安管理的政策和灾难恢复政策课程议题容错技术容错技术容错技术是保证网络系统平安运转的关键技术之一。具有容错性的系统可以做到部分系统缺点不影响整个系统的运转。容错性在实现的程度上

6、是不同的。对实施冗余容错措施需求额外的网络开销，因此需求了解网络中容易出错的关键点以及它们的缺点对于整个网络的影响是如何产生的。1、环境物理环境：温度湿度自然灾祸设备间：空调、温度、湿度监视2、供电常见供电问题：浪涌线扰电磁干扰电力缺乏彻底断电功率、时间、线动摇、本钱参考目的：UPS 发电机 柴油、汽油、天然气、蒸汽后备式交换式在线式继续式3、拓扑构造星型、总线、环型、网状、层次FDDIAB缺点点ABCD缺点点4、衔接网络设备：路由器、防火墙、网桥、交换机、Hub建立冗余的电源、冷却风扇、接口以及I/O模块提供热切换才干 网络衔接： 接入网、骨干网建立冗余链路思索负载平衡5、效力器廉价冗余磁盘

7、阵列 RAID所谓磁盘阵列是指一组硬盘或驱动器以RAID方式构成的驱动器集合效力器镜像效力事务和数据存储互为副本，建立同步效力器集群 Cluster将多台效力器连起来使它们像一台效力器那样任务的一种容错技术RAIDRedundant Array of Inexpensive Disks6 levels redundancy, 0-5 RAID 0 Stripes data across multiple disks, no parity, so there is no redundancy. RAID 1 Disk mirroring (disk duplexing) writes data

8、to two identical partitions on separate hard disks. Disk duplexing uses two hard disk controller cardsRAID 2 Writes data across multiple hard disks, with error checking. RAID 3 Stripes data one byte at a time and has a dedicated parity drive. RAID 4 Stripes data one sector at a time and has a dedica

9、ted parity drive. RAID 5 Stripes data and parity across multiple disks (require a minimum of 3 drives). By mixing the parity across all of the disks, a separate parity disk is not required and yet full data redundancy is achieved.RAID0：磁盘条带化192K64K64K64KDisk 1 Disk 2 Disk 3RAID1：磁盘镜像Disk I/ODisk mir

10、roring softwareRAID5:带奇偶校验的磁盘条带化Disk 1 Disk 2Disk 3 Disk 4 Disk 5Parityinformation课程议题加密与认证加密的历史作为保证数据平安的一种方式，数据加密来源于公元前2000年。埃及人是最先运用特别的象形文字作为信息编码的人。随着时间推移，巴比伦、美索不达米亚和希腊都开场运用一些方法来维护他们的书面信息。密码学的开展密码学的开展可以分为两个阶段：第一个阶段是计算机出现之前的四千年，这是传统密码学阶段，根本上靠人工对音讯加密、传输和防破译。第二阶段是计算码学阶段：常规密钥密码体制 解密是加密的简单逆过程，两者所用的密钥是可

11、以简单地相互推导的，因此无论加密密钥还是解密密钥都必需严厉严密。公开密钥密码体制重要概念 密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)那么是在未知密钥的情况下从密文推上演明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。假设不论截取者获得了多少密文，但在密文中都没有足够的信息来独一地确定出对应的明文，那么这一密码体制称为无条件平安的，或称为实际上是不可破的。假设密码体制中的密码不能被可运用的计算资源破译，那么这一密码体制称为在计算上是平安的。 普通的数据加密模型 E加密算法D解密算法加密密钥 K解密密钥 K

12、明文 X明文 X密文 Y = EK(X)截取者截获篡改密钥源平安信道常规密钥密码体制 所谓常规密钥密码体制，即加密密钥与解密密钥是一样的密码体制。这种加密系统又称为对称密钥系统。替代密码替代密码(substitution cipher)的原理可用一个例子来阐明。密钥是 3 abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesar cipherFDHVDU FLSKHU明文密文明文 c 变成了密文 F替代密码替代密码(substitution cipher)的原理可用一个例子来阐明。密钥是 3 abcdefghijklmnopqrstu

13、vwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesar cipherFDHVDU FLSKHU明文密文明文 a 变成了密文 D替代密码替代密码(substitution cipher)的原理可用一个例子来阐明。密钥是 3 abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesar cipherFDHVDU FLSKHU明文密文明文 e 变成了密文 H置换密码置换密码(transposition cipher)那么是按照某一规那么重新陈列音讯中的比特或字符顺序。 根据英文字母在 26 个字母中的先后顺序，我们可以得出密

14、钥中的每一个字母的相对先后顺序。由于密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。 CIPHER145326attackbeginsatfour密钥顺序明文置换密码置换密码(transposition cipher)那么是按照某一规那么重新陈列音讯中的比特或字符顺序。 根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。由于密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。

15、 CIPHER145326attackbeginsatfour密钥顺序明文置换密码置换密码(transposition cipher)那么是按照某一规那么重新陈列音讯中的比特或字符顺序。 根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。由于密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。 CIPHER145326attackbeginsatfour密钥顺序明文置换密码置换密码(transposition cipher)那么是按照某一规那么重新陈列音讯中的比特或字

16、符顺序。 根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。由于密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。 CIPHER145326attackbeginsatfour密钥顺序明文置换密码置换密码(transposition cipher)那么是按照某一规那么重新陈列音讯中的比特或字符顺序。 根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。由于密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3

17、,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。 CIPHER145326attackbeginsatfour密钥顺序明文置换密码置换密码(transposition cipher)那么是按照某一规那么重新陈列音讯中的比特或字符顺序。 根据英文字母在 26 个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。由于密钥中没有 A 和 B，因此 C 为第 1。同理，E 为第 2，H 为第 3,，R 为第 6。于是得出密钥字母的相对先后顺序为 145326。 CIPHER145326attackbeginsatfour密钥顺序明文密文的得出先读顺序为 1 的明文列，即

18、 aba CIPHER145326attackbeginsatfour密钥顺序明文密文aba密文的得出先读顺序为 1 的明文列，即 cnu CIPHER145326attackbeginsatfour密钥顺序明文密文abacnu密文的得出先读顺序为 1 的明文列，即 aio CIPHER145326attackbeginsatfour密钥顺序明文密文abacnuaio密文的得出先读顺序为 1 的明文列，即 tet CIPHER145326attackbeginsatfour密钥顺序明文密文abacnuaiotet密文的得出先读顺序为 1 的明文列，即 tgf CIPHER145326attac

19、kbeginsatfour密钥顺序明文密文abacnuaiotettgf密文的得出先读顺序为 1 的明文列，即 ksr CIPHER145326attackbeginsatfour密钥顺序明文密文abacnuaiotettgfksr接纳端的解密收到的密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文先写下第 1 列密文 aba 接纳端的解密收到的密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文先写下第 1 列密文 aba 再写下第 2 列密文 cnu 接纳端的解密收到的

20、密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文先写下第 1 列密文 aba 再写下第 2 列密文 cnu 再写下第 3 列密文 aio 接纳端的解密收到的密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文先写下第 1 列密文 aba 再写下第 2 列密文 cnu 再写下第 3 列密文 aio 再写下第 4 列密文 tet 接纳端的解密收到的密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文先写下第 1 列密

21、文 aba 再写下第 2 列密文 cnu 再写下第 3 列密文 aio 再写下第 4 列密文 tet 再写下第 5 列密文 tgf 接纳端的解密收到的密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文先写下第 1 列密文 aba 再写下第 2 列密文 cnu 再写下第 3 列密文 aio 再写下第 4 列密文 tet 再写下第 5 列密文 tgf 最后写下第 6 列密文 ksr 接纳端的解密收到的密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文最后按行读出明文明文att

22、ackbeginsatfour接纳端的解密收到的密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文最后按行读出明文明文attackbeginsatfour接纳端的解密收到的密文abacnuaiotettgfksrCIPHER145326attackbeginsatfour密钥顺序明文最后按行读出明文明文attackbeginsatfour序列密码序列码体制是将明文 X 看成是延续的比特流(或字符流) x1x2 ，并且用密钥序列K k1k2中的第 i 个元素 ki对明文中的xi进展加密，即 序列密码体制 密钥序列产生器种子 I0发端k

23、i密钥序列产生器种子 I0收端ki密文序列明文序列明文序列xixiyiyi在开场任务时种子 I0 对密钥序列产生器进展初始化。按照模 2加 进展运算，得出： 序列密码体制 密钥序列产生器种子 I0发端ki密钥序列产生器种子 I0收端ki密文序列明文序列明文序列xixiyiyi序列密码又称为密钥流密码在收端，对 yi 的解密算法为：序列密码体制的严密性 序列密码体制的严密性完全在于密钥的随机性。假设密钥是真正的随机数，那么这种体制就是实际上不可破的。这也可称为一次一密乱码本体制。严厉的一次一密乱码本体制所需的密钥量不存在上限，很难适用化。密码学家试图模拟这种一次一密乱码本体制。目前常运用伪随机序

24、列作为密钥序列。关键是序列的周期要足够长，且序列要有很好的随机性这很难寻觅。 分组密码它将明文划分成固定的 n 比特的数据组，然后以组为单位，在密钥的控制下进展一系列的线性或非线性的变化而得到密文。这就是分组密码。分组密码一次变换一组数据。分组密码算法的一个重要特点就是：当给定一个密钥后，假设明文分组一样，那么所变换出密文分组也一样。分组密码的一个重要优点是不需求同步 分组密码体制 输入输出加密算法密钥明文输入输出解密算法密钥明文n bitn bitn bitn bit密文密文数据加密规范 DES数据加密规范 DES 属于常规密钥密码体制，是一种分组密码。在加密前，先对整个明文进展分组。每一个

25、组长为 64 bit。然后对每一个 64 bit 二进制数据进展加密处置，产生一组 64 bit 密文数据。最后将各组密文串接起来，即得出整个的密文。运用的密钥为 64 bit实践密钥长度为 56 bit，有 8 bit 用于奇偶校验)。 数据加密规范 DESDES 的明显缺陷 DES 实践上就是一种单字符替代，而这种字符的长度是 64 bit。也就是说，对于 DES 算法，一样的明文就产生一样的密文。这对 DES 的平安性来说是不利的。为了提高 DES 的平安性，可采用加密分组链接的方法。 加密分组的链接 X0Y0X1Y1X2Y2X3Y3X0Y0X1Y1X2Y2X3Y3初始向量初始向量密钥密

26、钥明文明文密文密文加密解密EEEEDDDDDES 的严密性DES 的严密性仅取决于对密钥的严密，而算法是公开的。虽然人们在破译 DES 方面获得了许多进展，但至今仍未能找到比穷举搜索密钥更有效的方法。DES 是世界上第一个公认的适用密码算法规范，它曾对密码学的开展做出了艰苦奉献。目前较为严重的问题是 DES 的密钥的长度。如今曾经设计出来搜索 DES 密钥的公用芯片。 三重 DES (Triple DES) 三重 DES 运用两个密钥，执行三次 DES 算法。以下图中的方框 E 和 D 分别表示执行加密和解密算法。因此加密时是 E-D-E，解密时是 D-E-D。EDEK1K2K1明文密文DED

27、K1K2K1密文明文加密解密公开密钥密码体制公开密钥密码体制运用不同的加密密钥与解密密钥，是一种“由知加密密钥推导出解密密钥在计算上是不可行的密码体制。 公开密钥密码体制的产生主要是由于两个方面的缘由，一是由于常规密钥密码体制的密钥分配问题，另一是由于对数字签名的需求。现有三种公开密钥密码体制，其中最著名的是RSA 体制，它基于数论中大数分解问题的体制，由美国三位科学家 Rivest, Shamir 和 Adleman 于 1976 年提出并在 1978 年正式发表的。加密密钥与解密密钥 在公开密钥密码体制中，加密密钥(即公开密钥) PK 是公开信息，而解密密钥(即密钥) SK 是需求严密的。

28、加密算法 E 和解密算法 D 也都是公开的。虽然密钥 SK 是由公开密钥 PK 决议的，但却不能根据 PK 计算出 SK。 明文密文加密私钥加密程序明文解密公钥解密程序该当留意 任何加密方法的平安性取决于密钥的长度，以及攻破密文所需的计算量。在这方面，公开密钥密码体制并不具有比传统加密体制更加优越之处。 由于目前公开密钥加密算法的开销较大，在可见的未来还看不出来要放弃传统的加密方法。公开密钥还需求密钥分配协议，详细的分配过程并不比采用传统加密方法时更为简单。 加密算法按照密钥和相关加密程序的类型可以把加密分为三类：散列编码散列编码是用散列算法求出某个消息的散列值的过程。散列值相当于消息的指纹，

29、因而对于每条消息都是唯一的。具有不可逆性。非对称（公开密钥）加密用两个数学上相关的密钥对信息进行处理。在此系统中，其中一个为公开密钥，可以发给期望进行安全通信的人，另一个为私有密钥，属于密钥持有人。1977年，麻省理工学院，RSA。对称（共享密钥）加密只用一个密钥对信息进行加密和解密。由于加密和解密使用统一密钥，所以发送者和接收者必须都知道该密钥。美国政府信息标准DES/国际数据加密IDEA。信息在传输中能够泄密数据被黑客窃听总 部分支机构挪动用户A黑 客我的密码是CAF我的密码是CAF数据性维护挪动用户BInternet信息在传输中能够失真总 部分支机构挪动用户A黑 客赞同2000元成交数据

30、完好性维护挪动用户BInternet黑客篡改数据赞同 5000 元成交信息的来源能够伪造的总 部分支机构黑 客买卖效力器数据源发性维护挪动用户Internet谁是真的Bob？我是Bob，恳求买卖“我是Bob，恳求买卖数据性维护的实现1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文保证数据在传输途中不被窃取发起方接受方密文#￥&(%#%$%&*(!#$%*(_%$#$%*&*)%$#数据完好性维护的实现发起方接受方10010001

31、01010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010能否一样？防止数据被篡改100010101001000101010010100001000000110110001010数据源发性维护的实现BobAlice冒充的“Bob冒充VPNInternet101011011110100110010100验证签名，证明数据来源私钥签名私钥签名10101101111010011001010

32、0平安传输私有密钥共享密钥明文私有密钥摘要算法加密算法加密算法签名算法已加密的密钥已签名的摘要密文组 包紧缩解 包 解紧缩网络传输已加密的密钥已签名的摘要密文解密算法签名算法公开密钥共享密钥明文公开密钥摘要算法摘要比解密算法用户验证和证明权威如何知道在每次通讯或买卖中所运用的密钥对实践上就是用户的密钥对呢？这就需求一种验证公用密钥和用户之间的关系的方法。处理这一问题的方法是引入一种叫做证书或凭证的特种签名信息。证书包含识别用户的信息：特异的名字、公用密钥和有效期，全都由一个叫做证明权威CA的可靠网络实体进展数字签名。数字证书首先，用户产生密钥对，并把该密钥对的公用部分以及其它识别信息提交给CA

33、。当CA一旦对用户的身份人员、机构或主计算机表示称心，就取下用户的公用密钥，并对它制造信息摘要。然后，信息摘要用CA的公用密钥进行加密，制造用户公用密钥的CA签名。最后，用户的公用密钥和验证用户公用密钥的CA签名组合在一同制造证书。CA构造证明权威，即CA，它签发并管理正式运用公用密钥与用户相关联的证书。证书只在某一时间内有效，因此CA保管一份有效证书及其有效期清单。有时，证书或许要求及早废除，因此CA保管一份废除的证书以及有效证书的清单。CA把其有效证书、废除证书或过期证书的清单提供应任何一个要获得这种清单的人。证书有两种常用的方法：CA的分级系统和信任网。在分级证明中，顶部即根CA，它验证

34、它下面的CA，第二级CA再验证用户和它下属的CA，依此类推。口令和权限控制NO ACCESSREADREADEXECUTEWRITEDELETENO ACCESSUser 3User 2User 1用户名/口令用户名/口令方式最常见的访问控制方法用户名：明文口令：密文时间段登录总时间源地址不胜利登录次数关于口令维护不要将口令通知他人，也不要几个人共享一个口令，不要把它记在本子上或计算机周围。不要用系统指定的口令，如 root、demo和test等，第一次进入系统就修正口令，不要沿用系统给用户的缺省口令，封锁掉随操作系统配备的一切缺省账号，这个操作也要在每次系统晋级或系统安装之后来进展。最好不要

35、用电子邮件传送口令，假设一定需求这样做，那么最好对电子邮件进展加密处置。假设账户长期不用，管理员应将其暂停。假设雇员分开公司，那么管理员应及时把他的账户消除，不要保管一些不用的账号，这是很危险的。关于口令维护管理员也可以限制用户的登录时间，比如说只需在任务时间，用户才干登录到计算机上。限制登录次数。为了防止对账户多次尝试口令以闯入系统，系统可以限制登记企图的次数，这样可以防止有人不断地尝试运用不同的口令和登录名。最后一次登录，该方法报告最后一次系统登录的时间、日期，以及在最后一次登录后发生过多少次未胜利的登录企图。这样可以提供线索了解能否有人非法访问。经过运用TFTP获取口令文件。为了检验系统

36、的平安性，经过TFTP命令衔接到系统上，然后获取/etc/passwd文件。假设用户可以完成这种操作，那么网络上的任何人都能获取用户的passwd文件。关于口令维护定期地查看日志文件，以便检查登录胜利和不胜利的运用，一定要定期地查看登录末胜利的音讯日志文件。根据场所平安战略，确保除了必要之外没有任何公共的用户账号。也就是说，一个账号不能被两个或两个以上的用户知道。去掉guest账号，或者更平安的方法是，根本就不创建guest账号。 身份鉴别身份鉴别是对网络中的主体进展验证的过程，通常有三类方法：只需该主体了解的，如口令、密钥。一次密码、基于时间的密码等主体携带的物品，如智能卡和令牌卡。 只需该

37、主体具有的独一无二的特征或能 力，如指纹、声音、视网膜或签字等。课程议题防火墙技术防火墙防火墙位于内部网络和Internet之间，阻断来自外部经过网络对本网络的要挟和入侵， 提供扼守本网络的平安和审计的关卡。一切来自和去往Internet的信息都必需经过防火墙，接受防火墙的检查；防火墙必需只允许授权的数据经过，并且防火墙本身也必需可以免于浸透；内部网外部网防火墙防火墙的根本功能从逻辑上讲，防火墙是分别器、限制器和分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备，即路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合。防火墙可以强化平安战略防火墙能

38、有效地记录因特网上的活动防火墙限制暴露用户点防火墙是一个平安战略的检查站网络战略 防火墙的功能实现功能分类为：包过滤路由器代理效力运用级网关 一切未被允许的就是制止的防火墙封锁一切信息流，然后对希望提供的效力逐项开放 一切未被制止的就是允许的 防火墙就转发一切信息流，然后逐项屏蔽能够有害的效力 包过滤每个数据包都包含有特定信息的一组报头，其主要信息是：1IP协议类型TCP、UDP，ICMP等；2IP源地址；3IP目的地址；4IP选择域的内容；5TCP或UDP源端口号；6TCP或UDP目的端口号；7ICMP音讯类型。路由器也会得到一些在数据包头部信息中没有得到的关于数据包的其他信息。代理效力代理

39、效力是运转在防火墙主机上的一些特定的运用程序或者效力程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。防火墙体系构造参数网络中介子网堡垒主机代理效力器双重宿主主机内部路由器外部路由器双重宿主主机双重宿主主机的防火墙体系构造是相当简单的，双重宿主主机位于两者之间，并且被衔接到因特网和内部的网络。主机过滤体系构造在主机过滤体系构造中提供平安维护的主机仅仅与内部网相连；在这种体系构造中，主要的平安由数据包过滤提供子网过滤体系构造子网过滤体系构造添加了额外的平安层到主机过滤体系构造中，即经过添加参数网络，更进一步地把内部网

40、络与因特网隔分开。子网过滤体系构造的最简单的方式为两个过滤路由器，每一个都衔接到参数网，一个位于参数网与内部的网络之间，另一个位于参数网与外部网络之间。防火墙的缺乏之处由软件和硬件组成的防火墙应该具有以下功能：一切进出网络的信息流都应该经过防火墙；一切穿过防火墙的信息流都必需有平安战略和方案确实认和授权；实际上防火墙是穿不透的，但实践中存在如下问题：不能防备恶意的知情者防火墙不能防备不经过它的衔接防火墙不能防备全部的要挟防火墙不能防备病毒课程议题网络管理网络管理的定义按照国际规范化组织ISO的定义，网络管理是指规划、监视、设计和控制网络资源的运用和网络的各种活动，以使网络的性能到达最优。通俗的

41、讲，网络管理就是经过某种方式对网络形状进展调整，使网络可以正常、高效地运转，使网络中的各种资源得到更高效的利用，当网络出现缺点时能及时做出报告和处置，并协调、坚持网络的高效运转。网络管理的目的网络管理的根本目的就是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、平安性和经济性的要求。 有效性 网络要能准确而及时地传送信息，并且网络的效力要有质量保证。可靠性 网络必需保证可以稳定地运转，不能时断时续，要对各种缺点以及自然灾祸有较强的抵御才干和有一定的自愈才干。开放性 网络要可以接受多厂商消费的异种设备。网络管理的目的网络管理的根本目的就是满足运营者及用户对网络的有效性、可靠性、开放性、综

42、合性、平安性和经济性的要求。 综合性 网络业务不能单一化。平安性 网络传输信息的平安性要高。经济性 网络管理者而言，网络的建立、运营、维护等费用要求尽能够少。网络管理的规范化进程ISO网络管理规范公共管理信息效力CMIS：支持管理进程和管理代理之间的通讯要求公共管理信息协议CMIP：提供管理信息传输效力的运用层协议 IETF的网络管理规范 简单网络管理协议SNMPv1/v2/v3电信网络管理规范网络管理的体系构造网络管理者网管代理模型网络管理的五大功能国际规范化组织在ISO/IEC7498- 4文档中定义了网络管理的五大功能：缺点管理计费管理配置管理性能管理平安管理 缺点管理缺点管理的主要义务

43、是发现和排除网络缺点 。典型功能包括：1维护并检查错误日志2接受错误检测报告并做出呼应3跟踪、识别错误4执行诊断测试5纠正错误Fault Management缺点管理的普通步骤1发现网络缺点；2查找、分析和分别缺点缘由；3如有能够，自动排除缺点，或者给管理者提供排除缺点的协助。缺点管理系统功能组成缺点监测缺点报警缺点信息过滤及关联检索、分析缺点信息排错支持工具缺点管理配置 配置管理配置管理主要用于配置网络、优化网络，包括区分、定义、控制和监视详细网络对象的相关措施。配置管理包括：1设置开放系统中有关路由操作的参数2被管对象和被管对象组名字的管理3初始化或封锁被管对象4根据要求搜集系统当前形状的

44、有关信息5获取系统重要变化的信息6更改系统的配置Configuration Management网络配置信息网络设备的拓扑关系存在性和联接关系网络设备的域名、IP地址设备标识，寻址信息网络设备的运转特性运转参数设备的备份操作条件能否有备份、备份启用条件设备的配置更改条件配置管理子系统总体构造 性能管理性能管理的目的是维护网络效力质量QoS和网络运营效率。典型功能包括：1搜集统计信息；2维护并检查系统形状日志；3确定自然和人工情况下系统的性能4改动系统操作方式以进展系统性能管理的操作Performance Management性能管理的任务搜集网络管理者感兴趣的那些变量的性能数据；分析这些数据，

45、以判别能否处于正常基线程度并产生相应的报告；为每个重要的变量确定一个适宜的性能阈值，超越该阈值就意味着出现了应该留意的网络缺点；性能管理衡量和呈现网络特性的各个方面，使网络性能维持在一个可以被接受的程度上。性能管理子系统总体构造 平安管理网络平安管理应包括对授权机制、访问控制、加密和加密关键字的管理，另外还要维护和检查平安日志。详细包括以下3项内容：1创建、删除、控制平安效力和机制；2分布与平安相关的信息；3报告与平安相关的事件。Security Management平安管理的普经过程确定要维护的敏感信息找出网络访问点对有关设备和主机进展相应的配置，维护访问点；对涉及网络平安的访问点进展定期检

46、查，维护网络平安性维护访问点平安的技术数据加密技术包过滤技术主机认证用户认证密钥认证 计费管理计费管理包括以下几个主要功能：1计算网络建立及运营本钱，主要本钱包括网络设备器材本钱、网络效力本钱、人工费用等2统计网络及其所包含的资源的利用率。为确定各种业务在不同时间段的计费规范提供根据3联机搜集计费数据。这是向用户收取网络效力费用的根据4计算用户应支付的网络效力费用5账单管理。保管收费账单及必要的原始数据，以备用户查询和置疑Accounting Management网络管理技术的开展趋势网络管理正在向智能化、综合化、规范化的方向开展。WBMWebBased Management是网络开展的产物，是基于Web的网络管理方式：1基于代理的处理方案2嵌入式处理方案 智能化网络管理：1基于专家系统的网络管理2基于智能agent的网络管理3基于计算智能的宽带网络管理课程议题黑