1計算機網絡基礎教程

2網絡管理與網絡安全本章要點網絡管理的基本概念；網絡安全的基本概念；數據加密的基本概念及常用的加密方法；網絡防火墻的概念及應用；黑客的攻擊及其防范；常見網絡病毒的危害及其預防；3隨著網絡技術的發展，網絡的組成日益復雜，多廠商、異構網、跨技術領域的復雜的網絡環境，對網絡管理的要求也愈來愈高。但由于網絡應用環境、管理制度和文化背景的不同，造成管理需求的差異很大。任何供應廠商都難于提供一個完整的解決方案，尤其是對于各種新的網絡技術，仍需要有自己的專家進行管理和維護。20世紀80年代以來，網絡的增長速度很快，不同類型的網絡設備驟增，因此能夠管理各類異構網絡，并能在不同的環境中自動進行網絡管理與規劃，成為一種新的迫切需求。9.1網絡管理49.1網絡管理9.1.1網絡管理概述1.網絡管理任務網絡管理，簡單地說就是為了保證網絡系統能夠持續、穩定、高效和可靠地運行，對組成網絡的各種軟硬件設施和人員進行的綜合管理。網絡管理的任務就是收集、分析和檢測監控網絡中各種設備的工作參數和工作狀態信息，將結果顯示給網絡管理員，并進行處理，從而控制網絡中的設備、設施的工作參數和工作狀態，以實現對網絡的管理。59.1網絡管理2.網絡管理的基本內容（1）數據通信網的流量控制。（2）路由選擇策略管理。（3）網絡安全保護。（4）網絡的故障診斷。69.1網絡管理3.網絡管理系統構成計算機網絡是一個開放式系統，每個網絡都可以與遵循同一體系結構的不同軟、硬件設備連接。因此，這要求網絡管理系統一是要遵守被管理網絡的體系結構；二是要能夠管理同廠商的軟、硬件計算機產品。要做到這樣，就既要有一個在網絡管理系統和被管對象之間進行通信的、并基于同一體系結構的網絡管理協議，又要有記錄被管理對象和狀態的數據信息。除此之外，運行一個大的網絡還要有相應的管理機構。網絡管理系統是用于實現對網絡的全面有效的管理、實現網絡管理目標的系統。在一個網絡的運行管理中，網絡管理人員通過網絡管理系統對整個網絡進行管理。一個網絡管理系統從邏輯上包括管理對象、管理進程、管理信息庫和管理協議四部分。9.1網絡管理4.網絡管理功能網絡管理功能是為網絡管理員進行監視、控制和維護網絡而設計的。在OSI管理標準中，將網絡系統管理功能分為配置管理、故障管理、性能管理、安全管理和計費管理。這5種管理功能只是網絡管理的基本功能，諸如網絡規劃、數據庫管理、操作人員管理等均未包括在內。79.1網絡管理

9.1.2簡單網絡管理協議由于歷史和現實的原因，國際標準化組織ISO很早就制定了網絡管理標準，如公共管理信息服務協議CMIS和公共管理信息協議CMIP，但它們與ISO的OSI參考模型標準一樣，通常在電信網（如SDH）中得到應用，而在局域網中始終未得到用戶（廠商）的廣泛支持。相反，廣泛應用于TCP/IP網絡的簡單網絡管理協議（SimpleNetworkManagementProtocol，SNMP）卻得到絕大部分網絡廠商的一致支持。89.1網絡管理1.SNMP模型SNMP是TCP/IP協議集中的一個應用層協議。該協議設計的主要目的是為網絡設備之間提供管理信息交換的設施。采用SNMP協議訪問網絡管理信息，網絡管理人員可以更加容易地管理網絡，發現和解決網絡問題。SNMP模型如圖9.1所示。該模型組成的4個要素：網絡管理站（管理進程）、被管理者（管理代理）、管理信息庫（MIB）和網絡管理協議（SNMP）。99.1網絡管理109.1網絡管理2.SNMP協議及其發展過程SNMP的發展主要包括SNMPv1，SNMPv2和SNMPv3三個版本。119.2網絡安全概述隨著計算機和網絡技術的飛速發展，信息和網絡已經涉及國家、政府、軍事、文教等諸多領域，在人們的生活中已經占有非常重要的地位，網絡的安全問題伴隨著信息化步伐的加快而變得越來越重要。計算機犯罪、黑客、有害程序和后門問題等嚴重威脅著網絡的安全。目前，網絡安全問題成為當今網絡技術的一個重要研究課題。同時，網絡的規模也越來越大，越來越復雜，所有這一切也都要求有一種端到端的網絡管理措施，使得系統和網絡故障時間減到最小，管理員可以通過網管工具檢測系統和網絡的運行狀況，進行網絡流量分析與統計，從而為網絡安全策略的制定提供有力的依據。129.2網絡安全概述9.2.1網絡安全概念計算機網絡安全是指計算機及其網絡資源不受自然和人為有害因素的威脅和危害，即是指計算機、網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然或者惡意的原因而受到破壞、更改和泄露，確保系統能連續可靠而又正常地運行，使網絡提供的服務不中斷。網絡安全包括5個基本要素：完整性、機密性、可用性、可控性與不可否認性，如表9.1所示。139.2網絡安全概述149.2網絡安全概述9.2.2網絡安全的內容計算機網絡的安全工作主要集中在以下方面：（1）保密。保密指信息系統防止信息非法泄露的特性，信息只限于授權用戶使用，保密性主要通過信息加密、身份認證、訪問控制、安全通信協議等技術實現，信息加密是防止信息非法泄露的最基本手段。（2）鑒別。鑒別允許數字信息的接收者確認發送人的身份和信息的完整性。鑒別是授權的基礎，用于識別是否是合法的用戶以及是否具有相應的訪問權限，口令認證和數字簽名是最常用的鑒別技術。159.2網絡安全概述（3）訪問控制。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。（4）病毒防范。病毒是一種具有自我繁殖能力的破壞性程序，影響計算機的正常運行甚至導致網絡癱瘓，利用殺毒軟件和建立相應的管理制度可以有效地防范病毒。169.2網絡安全概述9.2.3網絡安全的意義迅速發展的互聯網給人們的生活、工作帶來了巨大的方便，人們可以坐在家里通過互聯網收發電子郵件、打電話、網上購物、銀行轉賬等，一個網絡化社會的雛形已經展現在我們的面前。但是，在網絡給人們帶來巨大便利的同時，也帶來了一些不容忽視的問題，網絡信息安全問題就是其中之一。179.2網絡安全概述網絡的開放性和黑客攻擊是造成網絡不安全的主要原因。科學家在設計互聯網之初就缺乏對安全性的總體構想和設計，所用的TCP/IP是建立在可信的環境之上，主要考慮的是網絡互聯，在安全方面則缺乏考慮。這種基于地址的TCP/IP本身就會泄露口令，而且該協議是公開的，遠程訪問使許多攻擊者無須到現場就能夠得手，連接的主機是基于互相信任的原則等這些性質使網絡更加不安全。189.2網絡安全概述伴隨著計算機與通信技術的迅猛發展，網絡攻擊與防御技術的對峙局面越來越復雜，網絡的開放互聯性使信息的安全問題變得越來越棘手，只要是接入因特網中的主機都有可能成為被攻擊或入侵的對象。沒有安全保障的信息資產是無法實現自身價值的。作為信息的載體，網絡亦然。互聯網不僅是金融證券、貿易商務運作的平臺，也成為交流、學習、辦公、娛樂的新場所，更是國家基礎設施建設的重要組成部分。信息網絡安全體系建設在當代網絡經濟生活中具有重要的戰略意義。199.2網絡安全概述從用戶的角度來說，他們希望涉及個人隱私和商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改和抵賴等手段對用戶的利益和隱私造成損害和侵犯，同時也希望當用戶的信息保存在某個計算機系統上時，不受其他非法用戶的非授權訪問和破壞。209.2網絡安全概述對網絡運行和管理者來說，他們希望對本地網絡信息的訪問受到保護和控制，避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用及非法控制等威脅，制止和防御網絡黑客的攻擊。對安全保密部門來說，對非法的、有害的或涉及國家機密的信息必須進行過濾和防堵，避免其通過網絡泄露，對社會產生危害，給國家造成損失甚至威脅國家安全。219.2網絡安全概述從社會教育和意識形態角度來講，網絡上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。總之，網絡安全的本質是在信息的安全期內保證其在網絡上流動時和靜態存放時不被非授權用戶非法訪問，但必須保證授權用戶的合法訪問。229.2.4網絡安全的發展前景隨著計算機網絡技術的迅速發展和進步，計算機網絡已經成為社會發展的重要基石。信息與網絡涉及國家的政治、軍事、文化等諸多領域，在計算機網絡中存儲、傳輸和處理的信息有各種政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證劵、能源資源數據、高科技科研數據等重要信息，其中有很多是國家敏感信息和國家機密，所以難免會吸引來自世界各地的各種網絡黑客的人為攻擊（例如，信息竊取、信息泄漏、數據刪除和篡改、計算機病毒等）。23網絡黑客攻擊方式的不斷增加和攻擊手段的不斷簡單化，意味著對計算機網絡系統安全的威脅也不斷增加。由于計算機網絡系統應用范圍的不斷擴大，人們對網絡系統依賴的程度增大，對網絡系統的破壞造成的損失和混亂就會比以往任何時候都大。這樣，對計算機網絡系統信息的安全保護就要提出更高的要求，計算機網絡系統安全學科的地位也顯得更加重要，網絡安全技術必然隨著計算機網絡系統應用的發展而不斷的發展。249.3網絡安全的威脅與策略9.3.1網絡所面臨的安全威脅1.網絡安全威脅所謂的網絡安全威脅，是指某個實體（人、事件、程序等）對某一資源的機密性、完整性、可用性、真實性在合法使用時可能造成的危害。這些可能出現的危害，是某些別有用心的人通過一定的攻擊手段來實現的。259.3網絡安全的威脅與策略網絡安全威脅可分成故意的（如系統入侵）和偶然的（如將信息發到錯誤地址）兩類。故意威脅又可進一步分成被動威脅和主動威脅兩類。被動威脅即被動攻擊，是指在傳輸中偷聽/監視，目的是從傳輸中獲取信息，只對信息進行監聽，而不對其修改和破壞。當截獲了信息后，如果信息未進行加密則可以直接得到消息的內容即析出消息內容，但如果加密了則要通過對信息的通信量和數據報的特性信息進行分析，得到相關信息，最后析出消息的內容，如圖9.2所示。269.3網絡安全的威脅與策略279.3網絡安全的威脅與策略主動威脅即主動攻擊，是指對信息進行故意篡改和破壞，使合法用戶得不到可用信息，有3種方式，中斷是對信息的可用性進行攻擊，使其不能到達目的地；篡改是針對信息的完整性，使其被修改后失去本來的含義；偽造是針對信息的真實性，假冒他人制造一個虛假的信息流以達到個人目的，如圖9.3所示。289.3網絡安全的威脅與策略299.3網絡安全的威脅與策略2.攻擊方式（1）竊取機密攻擊。是指未經授權的攻擊者非法訪問網絡、竊取信息的情況，一般可以通過在不安全的傳輸通道上截取正在傳輸的信息或利用協議和網絡的弱點來實現。（2）電子欺騙。偽造源于一個可信任的地址的數據包使機器信任另一臺機器的電子攻擊手段，包含IP地址欺騙、ARP欺騙、DNS欺騙等方式。309.3網絡安全的威脅與策略（3）拒絕服務攻擊。目的是拒絕服務訪問，破壞組織的正常運行，最終使系統的部分Internet連接和網絡系統失效。（4）社會工程。是利用說服或欺騙的方式，讓網絡內部的人員提供必要的信息從而獲得對系統的訪問。攻擊對象一般是安全意識薄弱的公司職員。（5）惡意代碼攻擊。惡意代碼攻擊是對信息系統威脅最大的攻擊，包括計算機病毒、蠕蟲、特洛伊木馬、移動代碼及間諜軟件等。319.3網絡安全的威脅與策略3.攻擊類型通常情況下信息能夠很順利地到達目的地，如圖9.4所示。但有時會遭到黑客的攻擊，下面介紹具體的攻擊類型。329.3網絡安全的威脅與策略339.3網絡安全的威脅與策略（1）中斷：是對信息可用性的攻擊，使用各種方法使信息不能到達目的地，如圖9.5所示。349.3網絡安全的威脅與策略（2）截獲：是對信息機密性的攻擊，在信息的發送者和接收者都不知道的情況下，通過非法手段獲得不應該獲得的信息。這對信息的發送者和接收者將帶來巨大的損失，如圖9.6所示。359.3網絡安全的威脅與策略（3）篡改：是對信息完整性的攻擊，非法用戶首先截獲其他用戶的信息，然后對信息進行修改以達到自己目的，再發送給該信息的接收者，該信息的發送者和接收者都不知道該信息已經被修改，所以該種攻擊的危害是巨大的，如圖9.7所示。369.3網絡安全的威脅與策略（4）偽造：是對信息的真實性的攻擊，非法用戶偽造他人向目標用戶發送信息達到欺騙目標用戶的目的，如圖9.8所示。379.3網絡安全的威脅與策略9.3.2黑客攻擊與防范從嚴格意義上講，黑客（hacker）和入侵者是有區別的。一般來說，黑客的行為沒有惡意，是熱衷于電腦程序的設計者，是對任何計算機操作系統的奧秘都有強烈興趣的人。而入侵者的行為具有惡意，是指那些強行闖入遠端系統或者以某種惡意的目的干擾遠端系統完整性的人。他們利用非法獲得的訪問權，破壞重要數據，拒絕合法用戶的服務請求，或為了達到自己的目的而制造一些麻煩。389.3網絡安全的威脅與策略黑客攻擊的主要目的是竊取信息、獲取口令、控制中間站點、獲取超級用戶權限等。由于網絡的互聯共享，來自企業內部和全世界各個地方不懷好意的計算機專業人員和黑客都有可能實施攻擊。黑客自己開發或利用已有的工具尋找計算機系統和網絡的缺陷及漏洞，并利用這些缺陷實施攻擊。這里所說的缺陷，包括軟件缺陷、硬件缺陷、網絡協議缺陷、管理缺陷和人為的失誤。399.3網絡安全的威脅與策略黑客最常用的手段是獲得超級用戶口令，他們總是先分析目標系統正在運行哪些應用程序，目前可以獲得哪些權限，有哪些漏洞可加以利用，并最終利用這些漏洞獲取超級用戶權限，再達到他們的目的。黑客攻擊系統一般有3個階段：①

確定目標。②

搜集與攻擊目標有關的信息，并找出系統漏洞和攻擊方法。③

實施攻擊。409.3網絡安全的威脅與策略要想有效地防范黑客的攻擊，必須有相應的發現黑客和對付黑客的方法。1.了解黑客入侵后特征黑客入侵用戶的計算機后總會有某種動作，這樣就會留下蛛絲馬跡，用戶就可以發現其存在。2.尋找防范黑客對策面對黑客的襲擊，首先應該考慮這將對網絡或用戶產生什么影響，然后考慮如何阻止黑客進一步入侵。419.3網絡安全的威脅與策略9.3.3計算機病毒計算機病毒一詞最早是由美國計算機病毒研究專家F.Cohen博士提出的。“病毒”一詞是借用生物學中的病毒，因為它與生物病毒有著相似之處，計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或數據并影響計算機使用，能夠自我復制的一組計算機指令或者程序代碼。計算機病毒在結構上有共同性，一般包括引導部分、傳染部分和表現部分。429.3網絡安全的威脅與策略1.病毒的基本特性（1）傳染性。對于絕大多數病毒來講，傳染是它的一個重要特性。病毒可以通過各種渠道從已被感染的計算機擴散到未被感染的計算機，病毒一旦進入計算機并得以執行，便會搜尋符合其傳染條件的程序和存儲介質，它通過修改其他程序，并將自己全部代碼復制在外殼中，從而達到擴散的目的。（2）隱蔽性。有些病毒是編程技巧極高的短小精悍的程序，一般只有幾百個字節或1KB～2KB，并巧妙地隱藏在正常程序或磁盤的隱蔽部位，若不經過代碼分析，病毒程序與正常程序無法區分開來。439.3網絡安全的威脅與策略（3）破壞性。凡是軟件手段能觸及到計算機資源的地方均可能受到病毒的破壞。任何病毒只要侵入計算機，一旦發作，都會對系統及應用程序產生不同程度的破壞。輕者降低計算機性能，重者可導致系統崩潰，破壞數據，造成無法挽回的損失。其表現包括：占用CPU時間和內存開銷，從而造成進程堵塞；對數據或文件進行破壞；打亂屏幕的顯示等。（4）潛伏性。很多病毒在感染計算機后，一般不會馬上發作，需要等一段時間，它可長期隱藏在計算機中，當滿足其發揮條件時才發揮其破壞作用。449.3網絡安全的威脅與策略2.病毒的分類（1）引導型病毒。（2）文件型病毒。（3）混合型病毒。459.3網絡安全的威脅與策略3.病毒的技術防范病毒的技術預防措施一般包括如下幾個方面：（1）新購置的計算機硬件和軟件系統都要經過測試。（2）計算機系統盡量使用硬盤啟動。（3）對重點保護的計算機系統應做到專機、專盤、專人、專用，封閉的使用環境中是不會自然產生計算機病毒的。469.3網絡安全的威脅與策略（4）重要數據文件定期備份。（5）不要隨便直接運行或直接打開電子郵件中夾帶的附件文件，不要隨意下載軟件，尤其是一些可執行文件和Office文檔。即使下載了，也要先用最新的殺毒軟件來檢查。（6）安裝正版殺毒軟件，并經常進行升級。（7）安裝病毒防火墻，從網絡出入口保護整個網絡不受計算機病毒的侵害。479.3網絡安全的威脅與策略9.3.4蠕蟲和特洛伊木馬蠕蟲（worm）和特洛伊木馬（trojanhorse）都是網絡環境下出現的惡意程序。它們利用網絡傳播，可能使Internet速度變慢，甚至可以傳播給中毒機器用戶的朋友、家人、同事以及Web的其它地方，是特殊形式的病毒。489.3.5系統的修復一旦遇到計算機病毒破壞了系統也不必驚慌失措，采取一些簡單的辦法可以殺除大多數的計算機病毒，恢復被計算機病毒破壞的系統。一般修復處理方法如下：（1）首先必須對系統破壞程度有一個全面的了解，并根據破壞的程度來決定采用何種有效的計算機病毒清除方法和對策。（2）修復前，盡可能再次備份重要的數據文件。49（3）啟動殺毒軟件，并對整個硬盤進行掃描。（4）發現計算機病毒后，一般應利用殺毒軟件清除文件中的計算機病毒，如果可執行文件中的計算機病毒不能被清除，一般應將其刪除，然后重新安裝相應的應用程序。（5）殺毒完成后，重啟計算機，再次用殺毒軟件檢查系統中是否還存在計算機病毒，并確定被感染破壞的數據確實被完全恢復。509.4防火墻目前保護網絡安全最主要的手段之一是構筑防火墻，防火墻（Firewall）是一種特殊編程的路由器，實施訪問控制策略來保護內部的網絡不受來自外界的侵害，是近年來日趨成熟的保護計算機網絡安全的重要措施。防火墻是一種隔離控制技術，它的作用是在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，防火墻也可以被用來阻止保密信息從企業的網絡上被非法傳出。519.4防火墻9.4.1防火墻的作用防火墻主要用于實現網絡路由的安全性。網絡路由的安全性包括兩方面：（1）限制外部網對內部網的訪問，從而保護內部網特定資源免受非法侵犯。529.4防火墻（2）限制內部網對外部網的訪問，主要是針對一些不健康信息及敏感信息的訪問。防火墻在內部網與外部網之間的界面上構造了一個保護層，并強制所有的連接都必須經過此保護層，在此進行檢查和連接。只有被授權的通信才能通過此保護層，從而保護內部網及外部網的訪問。防火墻技術已成為實現網絡安全策略的最有效的工具之一，并被廣泛地應用到網絡安全管理上。539.4防火墻9.4.2防火墻的安全控制管理為網絡建立防火墻，首先需要決定它將采取何種安全控制模型。通常有兩種模型可供選擇：（1）沒有被列為允許訪問的服務都是被禁止的。（2）沒有被列為禁止訪問的服務都是被允許的。549.4防火墻9.4.3防火墻的主要技術1.包過濾包過濾（PacketFiltering）在網絡層依據系統的過濾規則，對數據包進行選擇和過濾，這種規則又稱為訪問控制表（ACL）。該技術通過檢查數據流中的每個數據包的源地址、目標地址、源端口、目的端口及協議狀態或它們的組合來確定是否允許該數據包通過。這種防火墻通常安裝在路由器上。559.4防火墻2.代理型代理服務技術（應用層網關防火墻）是防火墻技術中使用得較多的技術，也是一種安全性能較高的技術，它的安全性要高于包過濾技術，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。569.4防火墻從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。579.4防火墻3.監測型監測型（狀態檢測防火墻）防火墻是新一代產品，監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品。各類防火墻的對比如表9.2所示。589.4防火墻599.4防火墻9.4.4常見的防火墻設計方案最簡單的防火墻配置，就是直接在內部網和外部網之間加裝一個包過濾路由器或者應用網關。為更好地實現網絡安全，有時還要將幾種防火墻技術組合起來構建防火墻系統。目前，比較流行的有以下三種防火墻配置方案。609.4防火墻1.雙重宿主主機體系結構雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網絡接口。這樣主機可以充當與這些接口相連的網絡之間的路由器，它能夠從一個網絡到另一個網絡發送IP數據包。然而，實現雙重宿主主機的防火墻體系結構禁止這種發送功能。因而，IP數據包從一個網絡（例如，因特網）并不是直接發送到其他網絡（例如，內部的被保護的網絡）。619.4防火墻防火墻內部的系統能與雙重宿主主機通信，但是這些系統不能直接互相通信，它們之間的IP通信被完全阻止。雙重宿主主機的防火墻體系結構是相當簡單的：雙重宿主主機位于兩者之間，并且被連接到因特網和內部的網絡，這種體系結構如圖9.9所示。629.4防火墻639.4防火墻2.屏蔽主機體系結構雙重宿主主機體系結構提供來自與多個網絡相連的主機的服務（但是路由關閉），而屏蔽主機體系結構使用一個單獨的路由器提供來自僅僅與內部的網絡相連的主機的服務。在這種體系結構中，主要的安全由數據包負責，其結構如圖9.10所示。649.4防火墻在圖9.10中堡壘主機位于內部的網絡上。從圖中可以看出，在屏蔽的路由器上的數據包過濾是按這樣一種方法設置的：即堡壘主機是因特網上的主機連接到內部網絡上的系統的橋梁（例如，傳送進來的電子郵件）。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統試圖訪問內部的系統或者服務將必須連接到這臺堡壘主機上。因此，堡壘主機需要擁有高等級的安全。659.4防火墻數據包過濾也允許堡壘主機開放可允許的連接（“可允許”由用戶站點的安全策略決定）到外部世界。669.4防火墻3.屏蔽子網體系結構屏蔽子網體系結構添加額外的安全層到屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡與因特網隔離開。679.4防火墻9.4.5典型的Internet防火墻現在已經了解了防火墻的基本概念，通常情況下，包過濾防火墻與應用網關常常一起配合使用，這樣既為內部的主機訪問外部信息提供了一個安全的數據通道，同時又能有效地防止外部主機對內部網絡的非法訪問。一個典型的防火墻的示意圖如圖9.12所示。689.4防火墻699.4防火墻9.4.6分布式防火墻傳統的防火墻如包過濾型和代理型，它們都有各自的缺點與局限性。隨著計算機安全技術的發展和用戶對防火墻功能要求的提高，目前出現了一種新型防火墻，那就是“分布式防火墻”，英文名為DistributedFirewalls，它是在傳統的邊界式防火墻基礎上開發的。由于其優越的安全防護體系符合未來的發展趨勢，所以這一技術一出現便得到許多用戶的認可和接受。下面重點介紹這種新型的防火墻技術。709.4防火墻1.分布式防火墻的產生因為傳統的防火墻設置在網絡邊界，處于內、外部計算機網絡之間，所以也稱為“邊界防火墻”。隨著人們對網絡安全防護要求的提高，邊界防火墻明顯已不能滿足需求，因為給網絡帶來安全威脅的不僅是外部網絡，更多的是內部網絡。但邊界防火墻無法對內部網絡實現有效的保護，除非對每一臺主機都安裝防火墻，這是不可能的。719.4防火墻基于這種需求，一種新型的防火墻技術即分布式防火墻技術產生了。它可以很好地解決邊界防火墻的不足，不用為每臺主機安裝防火墻而能夠把防火墻的安全防護系統延伸到網絡中的每臺主機。一方面有效地保證了用戶的投資不會很高，另一方面給網絡帶來了非常全面的安全防護。分布式防火墻負責對網絡邊界、各子網和網絡內部各節點之間的安全防護，所以“分布式防火墻”是一個完整的系統，而不是單一的產品。根據其所需完成的功能，新的防火墻體系結構包含如下部分：729.4防火墻（1）網絡防火墻（NetworkFirewall）。網絡防火墻是用于內部網與外部網之間，以及內部網各子網之間的防護產品。與傳統邊界防火墻相比，它多了一種用于對內部子網之間的安全防護層，這樣整個網絡間的安全防護體系就顯得更加安全可靠。（2）主機防火墻（HostFirewall）。主機防火墻駐留在主機中，負責策略的實施。它對網絡中的服務器和桌面機進行防護，這些主機的物理位置可能在內部網中，也可能在內部網外。這樣防火墻的作用不僅是用于內部與外部網之間的防護，還可應用于內部網各子網之間、同一子網內部工作站與服務器之間。可以說達到了應用層的安全防護，比起網絡層更加徹底。739.4防火墻（3）中心管理（CentralManagerment）。中心管理服務器負責安全策略的制定、管理、分發及日志的匯總，中心策略是分布式防火墻系統的核心和重要特征之一。這是一個防火墻服務器管理軟件，負責總體安全策略的策劃、管理、分發及日志的匯總。這是以前傳統邊界防火墻所不具有的新的防火墻的管理功能。這樣防火墻就可進行智能管理，提高了防火墻的安全防護靈活性，使其具備可管理性。749.4防火墻2.分布式防火墻的主要特點綜合起來這種新的防火墻技術具有以下幾個主要特點：（1）保護全面性。分布式防火墻把互聯網和內部網絡均視為“不友好的”，它們對個人計算機進行保護的方式如同邊界防火墻對整個網絡進行保護一樣。對于Web服務器來說，分布式防火墻進行配置后能夠阻止一些非必要的協議（如HTTP和HTTPS之外的協議）通過，從而阻止了非法入侵的發生，同時還具有入侵檢測及防護功能。759.4防火墻（2）適用于服務器托管。不同的托管用戶有不同數量的服務器在數據中心托管，服務器上也有不同的應用。對于安裝了中心管理系統的管理終端，數據中心安全服務部門的技術人員可以對所有在數據中心委托安全服務的服務器的安全狀況進行監控，并提供有關的安全日志記錄。對于這類用戶，他們通常所采用的防火墻方案是采用虛擬防火墻方案，但這種配置相當復雜，非一般網管人員能勝任。769.4防火墻而針對服務器的主機防火墻解決方案則是其一個典型應用。對于純軟件式的分布式防火墻，用戶只需在該服務器上安裝上主機防火墻軟件，并根據該服務器的應用設置安全策略即可，還可以利用中心管理軟件對該服務器進行遠程監控，不需租用額外的空間放置邊界防火墻。對于硬件式的分布式防火墻因其通常采用PCI卡式的，通常兼顧網卡作用，所以可以直接插在服務器機箱里面，也就無需單獨的空間托管費了，對于企業來說更加實惠。779.4防火墻在新的安全體系結構下，分布式防火墻代表新一代防火墻技術的潮流，它可以在計算機網絡的任何交界和節點處設置屏障，從而形成了一個多層次、多協議、內外皆防的全方位安全體系，在增強系統安全性、提高系統性能和系統擴展性等方面都有著很好的優勢。因為分布式防火墻采用了軟件形式（有的采用了軟件+硬件形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現在以下6個方面：789.4防火墻（1）Internet訪問控制：依據工作站名稱、設備指紋等屬性，使用“Internet訪問規則”，控制該工作站或工作站組在指定的時間段內是否允許/禁止訪問模板或網址列表中所規定的InternetWeb服務器，某個用戶可否基于某工作站訪問WWW服務器，同時當某個工作站/用戶達到規定流量后是否斷網。799.4防火墻（2）應用訪問控制：通過對網絡通信從鏈路層、網絡層、傳輸層、應用層基于源地址、目標地址、端口、協議的逐層包過濾與入侵監測，控制來自局域網/Internet的應用服務請求，如SQL數據庫訪問、IPX協議訪問等。（3）網絡狀態監控：實時動態報告當前網絡中所有的用戶登錄、Internet訪問、內部網訪問、網絡入侵事件等信息。809.4防火墻（4）黑客攻擊的防御：抵御包括Smurf的拒絕服務攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等近百種來自網絡內部以及來自Internet的黑客攻擊手段。（5）日志管理：管理對工作站協議規則日志、用戶登錄事件日志、用戶Internet訪問日志、指紋驗證規則日志、入侵檢測規則日志的記錄與查詢分析。（6）系統工具：包括系統層參數的設定、規則等配置信息的備份與恢復、流量統計、模板設置、工作站管理等。819.5其他安全技術9.5.1數據加密技術與防火墻配合使用的安全技術還有數據加密技術，它是對存儲或者傳輸的信息采取秘密的交換以防止第三者對信息的竊取。被交換的信息被稱為明文（Plaintext），變換過后的形式被稱為密文（Ciphertext），從明文到密文的變換過程被稱為加密（Encryption），從密文到明文的變換過程被稱為解密（Decryption）。829.5其他安全技術對明文進行加密時采用的一組規則稱為加密算法，對密文解密時采用的一組規則稱為解密算法。加密算法和解密算法通常都是在一組密鑰控制下進行的，密鑰決定了從明文到密文的映射，加密算法所使用的密鑰稱為加密密鑰，解密算法所使用的密鑰稱為解密密鑰。加密技術的要點是加密算法，加密算法可以分為對稱加密、非對稱加密和不可逆加密3類算法。839.5其他安全技術1.對稱加密算法對稱加密算法是應用較早的加密算法，技術成熟。在對稱加密算法中，數據發信方將明文（原始數據）和加密密鑰一起經過特殊加密算法處理后，使其變成復雜的加密密文發送出去。收信方收到密文后，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對密文進行解密，才能使其恢復成可讀明文。對稱加密算法的示意圖如圖9.13所示。849.5其他安全技術859.5其他安全技術2.非對稱加密算法非對稱加密算法使用兩把完全不同但又是完全匹配的一對鑰匙——

公鑰和私鑰。在使用非對稱加密算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。加密明文時采用公鑰加密，解密密文時使用私鑰才能完成，而且發信方（加密者）知道收信方的公鑰，只有收信方（解密者）才是惟一知道自己私鑰的人。其示意圖參見圖9.14所示。869.5其他安全技術如果發信方想發送只有收信方才能解讀的加密信息，發信方必須首先知道收信方的公鑰，然后利用收信方的公鑰來加密原文。收信方收到加密密文后，使用自己的私鑰才能解密密文。879.5其他安全技術3.不可逆加密算法不可逆加密算法的特征是：加密過程中不需要使用密鑰，輸入明文后，由系統直接經過加密算法處理成密文，這種加密后的數據是無法被解密的，只有重新輸入明文，并再次經過同樣不可逆的加密算法處理，得到相同的加密密文并被系統重新識別后，才能真正解密。顯然，在這類加密過程中，加密是自己，解密還得是自己，而所謂解密，實際上就是重新加一次密，所應用的“密碼”也就是輸入的明文。889.5其他安全技術在網絡傳輸信息過程中所采用的加密技術主要有以下三類：鏈路加密方式、結點到結點加密方式和端到端加密方式。（1）鏈路加密方式。該方式對網絡上傳輸的數據報文進行加密。不但對數據報文進行加密，而且把路由信息、校驗碼等控制信息全部加密。（2）結點到結點加密方式。該方式是為了解決結點中數據是明文的缺點。在網絡中間結點里裝有加、解密的保護裝置，由這個裝置來完成一個密鑰向另一個密鑰的變換。899.5其他安全技術（3）端到端加密方式。由發送方加密的數據在沒有到達最終目的結點之前是不被解密的。加、解密只在源、宿結點進行。909.5其他安全技術9.5.2入侵檢測技術入侵檢測是對防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。919.5其他安全技術入侵檢測系統（IntrusionDetectionSystem，IDS）主要通過以下幾種活動來完成任務：監視、分析用戶及系統活動；對系統配置和弱點進行審計；識別與已知的攻擊模式匹配的活動；對異常活動模式進行統計分析；評估重要系統和數據文件的完整性；對操作系統進行審計跟蹤管理并識別用戶違反安全策略的行為。入侵檢測技術可分為4種：929.5其他安全技術（1）基于應用的監控技術。主要使用監控傳感器在應用層收集信息。（2）基于主機的監控技術。主要使用主機傳感器監控本系統的信息。（3）基于目標的監控技術。主要針對專有系統屬性、文件屬性、敏感數據等進行監控。（4）基于網絡的監控技術。主要利用網絡監控傳感器監控收集的信息。綜合以上4種方法進行監控，其特點是提高了偵測性能，但會產生非常復雜的網絡安全方案。939.5其他安全技術9.5.3報文摘要用于差錯控制的報文檢驗是根據冗余位檢查報文是否受到信道干擾的影響，與之類似的報文摘要方案是計算密碼檢驗和，即固定長度的認證碼，附加在消息后面發送，根據認證碼檢驗報文是否被篡改。設M是可變長的報文，K是發送者和接收者共享的密鑰，令

，這就是算出的報文摘要。由于報文摘要是原報文唯一的壓縮表示，代表了原報文的特征，所以也叫做數字指紋。949.5其他安全技術散列（Hash）算法將任意長度的二進制串映射為固定長度的二進制串，這個長度較小的二進制串稱為散列值。散列值是一段數據唯一的、緊湊的表示形式。如果對一段明文只更改其中一個字母，隨后的散列變換都將產生不同的散列值。要找到散列值相同的兩個不同的輸人在計算上是不可能的，所以數據的散列值可以檢驗數據的完整性。通常的實現方案是對任意長的明文M進行單向散列變換，計算固定長度的比特串，作為報文摘要。959.5其他安全技術對Hash函數

的要求如下：（1）可用于任意大小的數據塊。（2）能產生固定大小的輸出。（3）軟/硬件容易實現。（4）對于任意m，找出x，滿足

，是不可計算的。（5）對于任意x，找出

，使得

，是不可計算的。（6）找出（x，y），使得

，是不可計算的。969.5其他安全技術前3項要求顯而易見是實際應用和實現的需要。第4項要求是所謂的單向性，這個條件使得攻擊者不能由竊聽到的m得到原來x。第5項要求是為了防止偽造攻擊，使得攻擊者不能用自己制造的假消息Y冒充原來的消息x。979.5其他安全技術如圖9.15所示為報文摘要使用的過程。在發送端，明文M通過報文摘要算法H，得到報文摘要MD，報文摘要MD經過共享密鑰K進行加密，附在明文M的后面發送。在接收端，首先將明文M和報文摘要MD分離，將加密過的報文摘要進行解密，得出原始MD。后將明文M通過報文摘要算法H得到報文摘要，與原始MD進行比較，如果一致，說明明文M沒有被篡改，反之，說明明文M被篡改。989.5其他安全技術999.5其他安全技術當前使用最廣泛的報文摘要算法是MDT。安全散列算法（SecureHashAlgorithm，SHA）是另一個眾所周知的報文摘要函數。所有這些函數做的工作幾乎一樣，即由任意長度的輸人消息計算出固定長度的加密檢驗和。1009.5其他安全技術9.5.4訪問控制技術1.訪問控制技術抵御入侵的最重要防線之一是訪問控制。一般來說，訪問控制的作用是對想訪問系統和其數據的用戶進行識別，并檢驗其身份。這里包括兩個主要的問題：（1）用戶是誰？（2）身份是否真實？1012.設備安全（1）通信介質的物理安全。網絡各部分之間的通信介質的安全連接非常重要，因為信息有可能從這些地方泄露。（2）網絡設備的物理安全。計算機安全的另一方面是計算機與網絡設備的安全，也包括通信連接、計算機和存儲介質的安全。讓各種計算機及其相關設備保持安全也是計算機網絡安全所面對的另一個重要方面。102（3）調制解調器的安全。調制解調器安全的主要目的是防止對網絡撥號設備的非授權訪問，并限制只有授權用戶才可以訪問系統。有許多實用技術可以增強調制解調器的安全性，并使非法用戶很難獲得對系統的訪問。1039.5.5網絡安全認證技術1.網絡安全認證技術的概況網絡安全認證技術是網絡安全技術的重要組成部分之一。認證指的是證實被認證對象是否屬實和是否有效的一個過程，其基本思想是通過驗證被認證對象的屬性，來達到確認被認證對象是否真實有效的目的。被認證對象的屬性可以是口令、數字簽名或指紋、聲音、視網膜這樣的生理特征。1049.5其他安全技術2.身份認證技術隨著網絡技術的發展，如何辨識網絡另一端的用戶身份成為一個很迫切的問題。在許多情況下都有對身份識別認證的要求，例如使用6位密碼在自動柜員機（ATM）上取錢、通過計算機網絡登錄遠程計算機，必須給出用戶名和口令、保密通信雙方交換密鑰時需要確保對方的身份等。1059.5其他安全技術3.消息認證技術在計算機網絡中，用戶A將消息送給用戶B，用戶B需要確定收到的消息是否來自A，而且還要確定來自A的消息有沒有被別人修改過，有時用戶A也要知道發送出去的消息是否正確的到達了目的地。消息認證就是使消息的接收者能夠檢驗收到的消息是否真實的方法。1069.5其他安全技術4.數字證書數字證書由權威公正的第三方機構即CA中心簽發，以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性、簽名信息的不可否認性，從而保障網絡應用的安全性。1079.5其他安全技術數字證書可用于發送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。以數字證書為核心的身份認證、數字簽名、數字信封等數字加密技術是目前通用可行的安全問題解決方案。1089.5其他安全技術5.數字簽名數字簽名機制提供了一種身份鑒別方法，以解決偽造、抵賴、冒充和篡改等問題。數字簽名一般采用非對稱加密技術（如RSA），通過對整個明文進行某種變換，得到一個值作