组网技术与配置(第10章)(第2版)课件

组网技术与配置（第2版）（第10章）高等院校计算机教育系列教材第10章Intranet安全与管理7/22/20231标题添加点击此处输入相关文本内容点击此处输入相关文本内容总体概述点击此处输入相关文本内容标题添加点击此处输入相关文本内容第10章提要对防火墙技术进行分析和讨论，企业网主要是采用防火墙技术进行安全防护，防火墙的结构有哪些，各有什么特点，一般采用什么结构?讨论了基于密码理论的加密技术，涉及到加密方法、数字签名、身份认证。进一步给出网络地址转换NAT在网络安全的应用。介绍企业网中的网络管理技术、网络管理模型和网络管理协议，讨论网管代理、网管工具、网管软件的的作用和特点。7/22/20233第10章目录10.1Intranet安全10.2网络地址转换NAT用于Intranet安全10.3IIS为Intranet提供的安全性10.4Intranet管理10.5小结7/22/2023410.1Intranet安全10.1.1Intranet的安全策略10.1.2网络安全的层次划分10.1.3Internet的网络安全层次10.1.4网络防火墙技术10.1.5防火墙的结构10.1.6企业网防火墙的方案10.1.7基于密码理论的技术7/22/2023510.1.1Intranet的安全策略⑴用户身份认证，系统根据用户的私有信息确定用户身份的真实性，判断用户是否可以访问网络资源。

⑵访问控制，是对不同的用户赋予不同的对网络的访问权限，控制用户对资源的访问。

⑶数据加密，是一种主动的防御策略，是保证网络资源安全的技术基础。

⑷审计，能够记录用户对系统或网络资源的访问活动，记录内容保存在日志文件中，网络管理员查找问题时使用。

7/22/2023610.1.2网络安全的层次划分国际标准ISO7498-2定义了OSI安全体系结构的网络安全层次

7/22/2023710.1.3Internet的网络安全层次网络安全的6个层次7/22/2023810.1.4网络防火墙技术⑴防火墙所起的作用

①限制访问者进入一个被严格控制的点

②防止进攻者接近受到保护的设备

③限制人们离开一个严格控制的点。从逻辑上说，防火墙是一个分离器，是一个限制器，是一个分析器。

防火墙通常由一套硬件设备（一个路由器，或路由器的组合，一台主机）和相应的软件模块组成。构成防火墙的主要部分有：①路由器；②插有两块以上网卡的主机，具有两个以上的网络接口，一个和内部网络连接，另一个和外部网络连接；③各种代理服务器主机。

7/22/20239⑵防火墙一般分为两种基本类型①包过滤型（packetfilter），包过滤规则以IP包信息为基础，对IP源地址、IP目的地址、封装协议（TCP/UDP/ICMP/IPTUNNEL）、端口号等进行筛选，包过滤在OSI协议的网络层进行。

②代理服务型（proxyservice），代理服务通常由两部分组成：代理服务器端程序和客户端程序。客户端程序与中间节点（ProxyServer）连接，中间节点再与要访问的外部服务器实际连接。与包过滤不同的是，它使内部网与外部网之间不存在直接的连接，同时还提供日志（Log）和审计服务。

7/22/202310⑶代理服务器参数的设置方法要想访问代理服务器，要在浏览器的选项配置中设置代理服务器的参数，例如IP地址等内容。

①右击桌面上IE图标，在弹出的菜单中选择【属性】，出现【Internet属性】对话框，选择【连接】选项卡。

②单击【局域网设置】按钮，出现如图7.5所示对话框。③输入代理服务器的IP地址和端口数据，单击【高级】按钮，出现如图7.6所示对话框。

④对各种代理服务输入代理服务器的IP地址，并对不使用代理服务器的连接输入域名地址或IP地址，可以使用统配符“*”。依次单击【确定】按钮，完成代理服务设置。

7/22/202311⑷防火墙技术需要解决的问题①控制冗余信息造成网络传输效率下降，实时性降低

②防火墙对数据的内容缺少检测，从而对计算机病毒在内的数据驱动的攻击缺少有效的防范措施

③仅仅解决了内部网络的安全访问控制问题，没有从根本上解决整个Internet网络上的传输信息安全问题，而这些只能依靠密码技术解决

④无法防火墙以外的其它途径的攻击，例如，内网有一个没有限制的拨号连接存在，内网上的用户就可以直接通过PPP接入Internet⑤不能防止来自内网用户带来的威胁

7/22/20231210.1.5防火墙的结构

1.双宿主主机结构

2.屏蔽主机结构

3.屏蔽子网结构

4.壁垒主机/代理服务器构成的防火墙

7/22/20231310.1.6企业网防火墙的方案企业网防火墙有二个部分：屏蔽路由器Cisco3600代理服务器-堡垒主机屏蔽路由器提供的安全特性有：基于接口的设置；与服务无关的过滤；与服务有关的过滤。堡垒主机上安装防火墙软件，提供信息过滤、地址转换等功能，只允许特定的信息进入内部网络，提供协议过滤，可以实现数据加密和用户认证。

7/22/20231410.1.7基于密码理论的技术1.数据加密技术

密码体制可以分为两大类：对称密钥和非对称密钥。对称密钥体制的加密密钥和解密密钥相同，系统的保密性基于密钥的安全性，涉及的主要问题由两个：如何产生满足保密要求的密钥；如何将密钥安全可靠的分配给通信对方。包括密钥产生、分配、存储、销毁等和管理环节。典型的单钥算法有DES、IDEA等。

在非对称密钥体制中，每个用户有一对密码，一个公开，称为公钥，一个保密，称为密钥。主要特点是将加密和解密分开。系统的安全性在于从公钥和密文推出明文和解密密钥在计算上是不可能的。与单钥体制不同的是，双钥体制不仅可以实现保密通信，而且可以用于对消息进行数字签字。在相同密钥长度的情况下，双钥体制的安全性比单钥体制更高。典型的双钥密码有RSA、ELGAMAL、RABIN等。

7/22/2023152.数字签名技术数字签名在信息安全，包括身份认证、数据完整性、不可否认性、匿名性等方面有重要应用，也是实现密钥分配的重要工具。数字签名必须保证：

⑴接收者能够核实发送者对信息的签名

⑵发送者事后不能抵赖对信息的签名

⑶接收者不能伪造对信息的签名

一个签字体制包含两部分：签名算法和验证算法。签名算法或签名密钥是秘密的，只有签名人掌握。而验证算法应该公开，以便于进行验证。

7/22/2023163.身份认证技术身份认证技术是证明某人或某物身份的过程，它于消息认证的区别在于：消息认证部提供时间性，而身份认证一般都是实时的。与数字签名一样，身份认证也分为基于共享密钥和基于公钥的。基于共享密钥是执行一种查询问答协议，发送方发送一个随机数给接收方，接收方解密后以一种特殊形式转换它并传回结果，实现认证。该协议的关键是如何建立共享密钥，应用在大多使用Diffie-Hellman密钥交换协议。

7/22/20231710.2网络地址转换NAT用于Intranet安全10.2.1网络地址转换的用途10.2.2Intranet的专用IP地址10.2.3用路由器实现网络地址转换10.2.4用Windows2000实现网络地址转换10.2.5NAT技术用于安全的特点10.2.6NAT安全模型及实现结构7/22/20231810.2.1网络地址转换的用途网络地址转换NAT（NetworkAddressTranslator）技术的用途有2个：一个是进行内网（Intranet）和外网（因特网Internet）之间的地址转换另一个是用于网络安全NAT最主要的用途是解决IP地址紧缺的问题，可以在只有一个向外合法IP地址的Intranet中实现地址复用，与因特网（外网）进行通信，提高IP地址的利用率NAT技术可以由路由器或软件实现。

7/22/20231910.2.2Intranet的专用IP地址Internet的NIC（NetworkInformationCenter）为了组建Intranet（也称为内网）的方便，规定了Intranet专用IP地址的三个地址范围用于IntranetIP地址的使用：

⑴A类地址范围10.0.0.0-10.255.255.255⑵B类地址范围172.16.0.0-172.31.255.255⑶C类地址范围192.168.0.0-192.168.255.255由于这些地址不是合法的IP地址，分配有这些IP地址的主机不能在因特网（外网）进行信息传输，解决这一技术问题的方法是在Intranet（内网）中至少有一台主机具有合法的IP地址，将Intranet专用地址通过一个可以实现网络地址转换（NAT）的设备或软件转换为合法的IP地址，用这个合法的IP地址代理所有内网的专用网络地址。

7/22/20232010.2.3用路由器实现网络地址转换用路由器实现网络地址转换（NAT）如图10.12所示，由三个子网组成

7/22/20232110.2.4用Windows2000实现网络地址转换Windows2000提供两种方法解决IntranetIP地址转换，一种为Internet连接共享ICS(InternetConnectionSharing)，另一种为NAT，在使用时只能选择其中一种。

若Intranet上的其他计算机通过共享计算机与Internet通信，需要进行两步设置

7/22/20232210.2.5NAT技术用于安全的特点把NAT技术集成在防火墙系统内，对进出Intranet的IP包源和目的地址进行转换，外网所接收到的数据包中的地址已经被网关改写过，外网中用户看到的只是一个虚拟的主机。NAT实现过滤规则的动态化，使得外网中的主机或使用者难以了解和掌握与之通信的内网主机的真实网络地址，由于NAT技术可以用路由器或软件实现，与其它安全措施相比，NAT技术实现比较安全，属于一种系统底层的功能，对网络运行的影响很小，它对TCP/IP提供透明的服务，对网络应用没有影响，通信双方感觉不到NAT网关的存在。

7/22/20232310.2.6NAT安全模型及实现结构在具体应用时，NAT技术和其他技术结合起来，如与IP包过滤技术结合的路由器，与Proxy结合的代理服务器，可以获得较优的防护效果。

7/22/20232410.3IIS为Intranet提供的安全性10.3.1IIS的五个安全元素10.3.2验证安全10.3.3访问控制10.3.4证书安全10.3.6审核安全10.3.7执行的标准10.3.8IIS中的安全性设置10.3.9IIS安全检查表10.3.10为Web内容设置访问权限10.3.11设置计算机的访问权限7/22/20232510.4Intranet管理10.4.1企业网中的网络管理技术10.4.2SNMP管理模型10.4.3网管代理10.4.4网络管理站和SNMP规定的操作10.4.5网管工具的选取10.4.6网络管理软件的应用10.4.7实现系统管理的NET命令程序10.4.8用于网络管理的一些方法10.4.9网络管理的发展7/22/20232610.4.1企业网中的网络管理技术主要使用SNMP（SimpleNetworkManagementProtocol）和CIMP（CommonManagementInformationProtocol）协议。SNMP是与TCP/IP协议簇一起使用的，即应用在Internet中，SNMP于1988年发布，在RFC1155、RFC1157中定义，是事实上的计算机网络管理标准。

SNMP的应用由一系列协议组成，包括三个部分：

⑴管理信息库MIB，在RFC1212中说明。⑵管理信息结构SMI，在RFC1155中说明。⑶SNMP协议。

7/22/202327网络管理功能主要包括

⑴差错管理，涉及差错检测、差错定位、差错改正。管理系统定时查询网络设备的状态，以文本和图形方式把发现的问题显示出来或打印出来。⑵配置管理，是网络管理的重要功能，对网络环境的参数进行设置，也只有在有权配置整个网络时，才可能正确地管理该网络。⑶计费，对网络中用户使用网络的资源进行收费管理，可以根据通信量、通信时间规定收费标准，并定期公布计费单。计费管理软件可以放在一个特定的服务器上。⑷性能管理，包括网络性能和系统性能，网络管理实用系统应都能管理网络性能，例如某条线路的利用率，某各接点的分组排队情况等。⑸安全管理，对网络系统进行权限设置和管理，管理用户登录到特定的路由器或其它互连设备时进行的各种操作，可以给出警报检测和提示功能，对重要信息数据的访问采用防火墙技术。⑹网络资源管理，对域名注册、网络IP地址分配、代理服务器登录的管理。

7/22/202328SNMP的设计目标

⑴尽可能简单，使研制网管代理的软件成本低、周期短。⑵支持远程管理，充分利用Internet资源。⑶协议有扩充的余地。⑷保持SNMP的独立性，不依赖具体的硬件，不依赖具体的传输层协议。

7/22/202329SNMPv21996年给出SNMPv2，在RFC1901-1908中描述，解决了前两个问题。Internet任务工程组IETF已经成立制定SNMPv3的工作组W-SNMPv3，SNMPv3的目的是解决安全问题，具有三种功能：⑴鉴别。⑵加密。⑶存取控制。

7/22/20233010.4.2SNMP管理模型对网络及设备的管理有三种方式：本地终端方式、远程telnet命令方式和基于SNMP（SimpleNetworkManagementProtocol）的代理服务器方式。

7/22/20233110.4.3网管代理网管代理存在以下设备中：

⑴主机，如工作站、服务器等。⑵网络交换设备，如路由器，ATM交换机、快速以太网交换机等。⑶外部设备，如打印机、图象输入输出设备等。⑷调制解调器、桥接器及传统的网络交换机等。

7/22/20233210.4.4网络管理站和SNMP规定的操作SNMP规定的操作有4种：

⑴请求搜索和获取指定的对象get。⑵请求获取指定对象的下一个对象get_next。⑶修改和设置指定的对象set。⑷发出异常指令trap。

7/22/20233310.4.5网管工具的选取应考虑以下几点：

⑴能够对不同拓扑结构的网络，对网络中的不同物理和逻辑部分进行监控与分析。⑵可以和其它的网管平台兼容，能运行在各种开放式操作系统之上。⑶可以方便的对所管网络系统进行扩展、配置、维护，进行动态故障排除。⑷允许进行异地操作网管系统，就象在本地操作一样。⑸高安全性和自动报警，自动生成各种记录文件，随时检测网络上的无授权操作情况，报告网管人员。⑹在新的版本研制出后，原来的网管工具可以平稳、方便的升级。允许用户在一定范围进行二次开发。⑺具有友好、清晰、简便的用户界面，用户界面能够提供容错，提供物理和逻辑视图显示。7/22/20233410.4.6网络管理软件的应用1.3COMTanscendEnterpriseManager⑴应用程序层包含的应用软件有：TanscendCentral、EnterpriseVLANManager、NetworkAdminTools、DeviceView等。网络管理软件可以对整个网络进行监视、配置和维护。硬件探测器及软件代理嵌入到各种网络产品中，3COMTanscend网管软件与硬件探测器及软件代理配合起来，网管软件通过分析收集来的数据，通过查看这些数据，分析和判断网络的运行状态，进一步通过网管软件进行调整和设置。

⑵网络管理系统平台（ManagementPlatform）Tanscend网管软件使用基于工业标准的UNIX和基于Windows的SNMP管理平台HPOpenviewWorkgroupNodeManager，向高层网络管理程序提供服务。支持IP和IPX自动搜索功能，给出网络拓扑结构和网络设备的图示符号，用图形化标识网络的运行状态

7/22/2023352.C