第9章

計算機網絡安全問題原由計算機網絡廣泛應用，促進了社會的進步和繁榮,并為人類社會創(chuàng)造了巨大財富。但由于計算機及其網絡自身的脆弱性以及人為的攻擊破壞，也給社會帶來了損失。因此，網絡安全已成為重要研究課題。本章重點討論網絡安全技術措施：計算機密碼技術、防火墻技術、虛擬專用網技術、網絡病毒防治技術，以及網絡管理技術。教學重點能力要求掌握：網絡安全與管理的概念；網絡安全與管理技

術的應用。熟悉：計算機密碼技術、防火墻技術、虛擬專用網

技術、網絡病毒防治技術?！?.1網絡安全問題概述

§9.5網絡管理§9.3網絡安全的攻擊與防衛(wèi)

§9.4防火墻的安裝調試與設置§9.2計算機網絡安全技術本章內容計算機網絡技術知識結構計算機網絡安全技術計算機網絡安全防火墻的安裝調試與設置網絡安全的層次模型

網絡管理

網絡安全問題概述

瑞星殺毒軟件和個人防火墻的防治天網防火墻防火墻技術

數字簽名加密技術網絡管理協(xié)議與網絡管理工具網絡管理功能網絡管理概述網絡安全的攻擊與防衛(wèi)病毒信息竊取郵件炸彈特洛伊木馬網絡所面臨的安全威脅

網絡安全的內容

訪問控制技術實時監(jiān)視技術自動解壓縮技§9.1網絡安全問題概述

隨著計算機網絡技術的發(fā)展，網絡的安全性和可靠性成為各層用戶所共同關心的問題。人們都希望自己的網絡能夠更加可靠地運行，不受外來入侵者的干擾和破壞，所以解決好網絡的安全性和可靠性，是保證網絡正常運行的前提和保障。Internet防火墻學生區(qū)InfoGateIIS服務Web服務DMZ區(qū)教工區(qū)安全垃圾郵內容審計件網關過濾數據庫服務器群應用服務器群9.1.1網絡所面臨的安全威脅

1、網絡安全要求網絡安全，是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護,不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不會中斷。身份認證完整性保密性授權和訪問控制可用性不可抵賴性

2、網絡安全威脅

一般認為，黑客攻擊、計算機病毒和拒絕服務攻擊等3個方面是計算機網絡系統(tǒng)受到的主要威脅。黑客攻擊計算機病毒拒絕服務攻擊黑客使用專用工具和采取各種入侵手段非法進入網絡、攻擊網絡,并非法使用網絡資源。

計算機病毒侵入網絡，對網絡資源進行破壞，使網絡不能正常工作，甚至造成整個網絡的癱瘓。攻擊者在短時間內發(fā)送大量的訪問請求，而導致目標服務器資源枯竭，不能提供正常的服務。9.1.1網絡所面臨的安全威脅

3、網路安全漏洞網絡安全漏洞實際上是給不法分子以可乘之機的“通道”,大致可分為以下3個方面。網絡的漏洞

服務器的漏洞操作系統(tǒng)的漏洞包括網絡傳輸時對協(xié)議的信任以及網絡傳輸漏洞，比如IP欺騙和信息腐蝕就是利用網絡傳輸時對IP和DNS的信任。利用服務進程的bug和配置錯誤,任何向外提供服務的主機都有可能被攻擊。這些漏洞常被用來獲取對系統(tǒng)的訪問權。Windows和UNIX操作系統(tǒng)都存在許多安全漏洞,如Internet蠕蟲事件就是由UNIX的安全漏洞引發(fā)的。9.1.1網絡所面臨的安全威脅

4、網絡安全攻擊

要保證運行在網絡環(huán)境中的信息安全,首先要解決的問題是如何防止網絡被攻擊。根據SteveKent提出的方法,網絡安全攻擊可分為被動攻擊和主動攻擊兩大類，如下圖所示。

網絡安全攻擊分類被動攻擊

截獲(秘密)分析信息內容通信量分析主動攻擊

拒絕篡改偽造重放(可用性)(完整性)(真實性)(時效性)被動攻擊不修改信息內容，所以非常難以檢測，因此防護方法重點是加密。主動攻擊是對數據流進行破壞、篡改或產生一個虛假的數據流。9.1.1網絡所面臨的安全威脅

1中斷（Interruption）：中斷是對可利用性的威脅。例如破壞信息存儲硬件、切斷通信線路、侵犯文件管理系統(tǒng)等。2竊?。↖nterception）：入侵者竊取信息資源是對保密性的威脅。入侵者竊取線路上傳送的數據，或非法拷貝文件和程序等。3篡改（Modification）：篡改是對數據完整性的威脅。例如改變文件中的數據，改變程序功能，修改網上傳送的報文等。4假冒（Fabrication）：入侵者在系統(tǒng)中加入偽造的內容，如像網絡用戶發(fā)送虛假的消息、在文件中插入偽造的記錄等。

5、網絡安全破壞網絡安全破壞的技術手段是多種多樣的，了解最通常的破壞手段，有利于加強技術防患。9.1.1網絡所面臨的安全威脅9.1.2網絡安全內容國際標準化組織（ISO）對網絡安全的定義是：為數據處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。簡單說，安全的目的是保證網絡數據的三個特性：可用性、完整性和機密性。由此可以將計算機網絡的安全理解為：通過采用各種技術和管理措施，使網絡系統(tǒng)正常運行，從而確保網絡數據的可用性、完整性和保密性。所以，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發(fā)生增加、修改、丟失和泄露等。9.1.3網絡安全全的層次次模型1、安全體體系框架架為了系統(tǒng)統(tǒng)的、科科學地分分析網絡絡安全所所涉及的的各種問問題，我我們從安安全服務務特性、、系統(tǒng)單單元、開開放系統(tǒng)統(tǒng)互連參參考模型型安全特特性三個個方面研研究網絡絡安全，，并提出出了一個個三維的的安全體體系框架架，如下下圖所示示。三維安全全框架體體系9.1.3網絡安全全的層次次模型2、安全服服務特性性（1）身份認認證身身份認認證是訪訪問控制制的基礎礎。身份份認證必必須做到到準確無無誤地將將對方辨辨別出來來，同時時還應該該提供雙雙向的認認證，即即互相證證明自己己的身份份。（2）訪問控控制控控制不不同用戶戶對信息息資源訪訪問的權權限，防防止非授授權使用用資源或或以非授授權的方方式使用用資源。。（3）數據加密密保證證數據安全全通信的手手段，指在在數據存儲儲和傳輸時時進行加密密，防止數數據在傳輸輸過程中被被竊聽。（4）數據的完完整性指指防止數數據在傳輸輸過程中被被篡改、刪刪除、插入入替換或重重發(fā)，以保保證合法用用戶接收和和使用該數數據的真實實性。（5）不可否認認性防防止發(fā)送方方企圖否認認所發(fā)送的的信息，同同時也防止止接受方企企圖否認接接收到信息息。（6）安全審計計設置置安全、可可靠的審計計記錄措施施，便于事事后的分析析審計。9.1.3網絡安全的的層次模型型3、系統(tǒng)單元元（1）通信平臺臺信息息網絡的通通信設備、、通信網絡絡平臺；（2）網絡平臺臺信息息網絡的網網絡系統(tǒng)；；（3）系統(tǒng)平臺臺信息息網絡的操操作系統(tǒng)平平臺；（4）應用平臺臺信息息網絡各種種應用的開開發(fā)、運行行平臺：（5）物理環(huán)境境信息息網絡運行行的物理環(huán)環(huán)境及人員員管理。9.1.3網絡安全的的層次模型型4、層次模型型（1）物理層在在通信信線路上采采用電磁屏屏蔽技術、、干擾及跳跳頻等技術術，來防止止電磁輻射射造成的信信息外泄，，保證在線線路上不被被搭線偷聽聽，或者輕輕易的檢測測出信息。。但由于網網絡分布廣廣，物理層層的安全很很難保證。。（2）數據鏈鏈路層點點對點的的鏈路可以以采用數據據通信保密密機制，對對數據采用用加密和解解密，保證證通信的安安全。（3）網絡層層采用用加密、路路由控制、、訪問控制制、審計、、防火墻技技術和IP加密傳輸信信道技術，，保證信息息的機密性性。防火墻墻被用來處處理信息在在內外網絡絡邊界的流流動，它可可以確定來來自哪些地地址的信息息可以或者者禁止訪問問哪些目的的地址的主主機。IP加密傳輸信信道技術是是在兩個網網絡結點間間建立透明明的安全加加密信道。。這種技術術對應用透透明，提供供主機對主主機的安全全服務。適適用于在公公共通信設設施上建立立虛擬的專專用網。（4）應用層層針對對用戶身份份進行認證證并建立起起安全的通通信信道。?！?.2數據加密與與數字認證證數據加密和和數字簽名名是網絡信信息安全的的核心技術術。其中，，數據加密密是保護數數據免遭攻攻擊的一種種主要方法法；數字認認證是解決決網絡通信信過程中雙雙方身份的的認可，以以防止各種種敵手對信信息進行篡篡改的一種種重要技術術。數據加密和和數字簽名名的聯(lián)合使使用，是確確保信息安安全的有效效措施。Internet加密數據流供應商采購單位SSL安全論證網關Web服務器9.2.1加密技術9.2.1加密技術1、密碼學學與密碼技技術計算機密碼碼學是研究究計算機信信息加密、、解密及其其變換的新新興科學,密碼技術是是密碼學的的具體實現(xiàn)現(xiàn),它包括4個方面：保保密(機密)、消息驗證證、消息完完整和不可可否認性。。

1保密（privacy）：在通信中消息發(fā)送方與接收方都希望保密，只有消息的發(fā)送者和接收者才能理解消息的內容。2驗證（authentication）：安全通信僅僅靠消息的機密性是不夠的，必須加以驗證，即接收者需要確定消息發(fā)送者的身份。3完整（integrity）：保密與認證只是安全通信中的兩個基本要素，還必須保持消息的完整,即消息在傳送過程中不發(fā)生改變。4不可否認（nonrepudiation）：安全通信的一個基本要素就是不可否認性，防止發(fā)送者抵賴（否定）。2、加密和和解密密碼技術包包括數據加加密和解密密兩部分。加密是把需需要加密的的報文按照照以密碼鑰鑰匙（簡稱稱密鑰）為為參數的函函數進行轉轉換，產生生密碼文件件；解密是是按照密鑰鑰參數進行行解密,還原成原文文件。數據加密和和解密過程程是在信源源發(fā)出與進進入通信之之間進行加加密，經過過信道傳輸輸,到信宿接收收時進行解解密,以實現(xiàn)數據據通信保密密。數據加加密和解密密過程如下下圖所示。。加密密鑰報文解密原報文加密解密模模型明文密文傳輸明文信源加密單元解密單元信宿9.2.1加密技術3、密鑰體體系加密和解密密是通過密密鑰來實現(xiàn)現(xiàn)的。如果果把密鑰作作為加密體體系標準，，則可將密密碼系統(tǒng)分分為單鑰密密碼（又稱稱對稱密碼碼或私鑰密密碼）體系系和雙鑰密密碼（又稱稱非對稱密密碼或公鑰鑰密碼）體體系。在單鑰密碼碼體制下，，加密密鑰鑰和解密密密鑰是一樣樣的。在這這種情況下下，由于加加密和解密密使用同一一密鑰（密密鑰經密鑰鑰信道傳給給對方），，所以密碼碼體制的安安全完全取取決于密鑰鑰的安全。。雙鑰密碼體體制是1976年W.Diffie和M.E.Heilinan提出的一種種新型密碼碼體制。1977年Rivest,Shamir和Adleman提出RSA密碼體制。。在雙鑰密密碼體制下下,加密密鑰與與解密密鑰鑰是不同的的,它不需要安安全信道來來傳送密鑰鑰，可以公公開加密密密鑰，僅需需保密解密密密鑰。9.2.1加密技術傳統(tǒng)加密方方法1、代換密碼碼法⑴單字母母加密方法法：是用一個字字母代替另另一個字母母,它把A變成E，B變成F，C變?yōu)镚，D變?yōu)镠。⑵多字母母加密方法法：密鑰是簡短短且便于記記憶的詞組組。2、轉換密碼碼法保持明文的的次序，而而把明文字字符隱藏起起來。轉換換密碼法不不是隱藏它它們，而是是靠重新安安排字母的的次序。3、變位加密密法把明文中的的字母重新新排列,字母本身不不變，但位位置變了。。常見的有有簡單變位位法、列變變位法和矩矩陣變位法法。4、一次性密密碼簿加密密法就是用一頁頁上的代碼碼來加密一一些詞，再再用另一頁頁上的代碼碼加密另一一些詞，直直到全部的的明文都被被加密。9.2.1加密技術現(xiàn)代加密方方法1、DES加密算法DES加密算法是是一種通用用的現(xiàn)代加加密方法,該標準是在在56位密鑰控制制下,將每64位為一個單單元的明文文變成64位的密碼。。采用多層層次復雜數數據函數替替換算法，，使密碼被被破譯的可可能性幾乎乎沒有。2、IDEA加密算法相對于DES的56位密鑰，它它使用128位的密鑰，，每次加密密一個64位的塊。這這個算法被被加強以防防止一種特特殊類型的的攻擊,稱為微分密密碼密鑰。。IDEA的特點是用用了混亂和和擴散等操操作,主要有三種種運算：異異或、模加加、模乘，，并且容易易用軟件和和硬件來實實現(xiàn)。IDEA算法被認為為是現(xiàn)今最最好的、最最安全的分分組密碼算算法，該算算法可用于于加密和解解密。9.2.1加密技術郵件內容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機機加加密密密密鑰鑰E1=ENIDEA(M)E2=ENRSA(K)KRP將E1+E2寄出出發(fā)送送郵郵件件收到到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K將M分離離成成C和SH1=MD5(C)取得得收收信信人人的的分開開密密鑰鑰KPS1=DERSA(H1)KPS1=S?NoYes接收收此此郵郵件件拒絕絕此此郵郵件件接收收郵郵件件3、、RSA公開開密密鑰鑰算算法法RSA是屹屹今今為為止止最最著著名名、最完完善善、、使使用用最最廣廣泛泛的的一一種種公公匙匙密密碼碼體體制制。RSA算法法的的要要點點在在于于它它可可以以產產生生一一對對密密鑰鑰,一個個人人可可以以用用密密鑰鑰對對中中的的一一個個加加密密消消息息，，另另一一個個人人則則可可以以用用密密鑰鑰對對中中的的另另一一個個解解密密消消息息。。任任何何人人都都無無法法通通過過公公匙匙確確定定私私匙匙，，只只有有密密鑰鑰對對中中的的另另一一把把可可以以解解密密消消息息。。取得得收收信信人人的的分開開密密鑰鑰KRP9.2.1加密密技技術術4、Hash－－MD5加密密算算法法Hash函數數又又名名信信息息摘摘要要（（MessageDigest）函函數數，，是是基基于于因因子子分分解解或或離離散散對對數數問問題題的的函函數數，，可可將將任任意意長長度度的的信信息息濃濃縮縮為為較較短短的的固固定定長長度度的的數數據據。。這這組組數數據據能能夠夠反反映映源源信信息息的的特特征征，，因因此此又又可可稱稱為為信信息息指指紋紋（（MessageFingerprint)。Hash函數數具具有有很很好好的的密密碼碼學學性性質質,且滿滿足足Hash函數數的的單單向向、無碰碰撞撞基基本本要要求求。。5、量量子子加加密密系系統(tǒng)統(tǒng)量子子加加密密系系統(tǒng)統(tǒng)是是加加密密技技術術的的新新突突破破。。量量子子加加密密法法的的先先進進之之處處在在于于這這種種方方法法依依賴賴的的是是量量子子力力學學定定律律。。傳傳輸輸的的光光量量子子只只允允許許有有一一個個接接收收者者，，如如果果有有人人竊竊聽聽，，竊竊聽聽動動作作將將會會對對通通信信系系統(tǒng)統(tǒng)造造成成干干擾擾。。通通信信系系統(tǒng)統(tǒng)一一旦旦發(fā)發(fā)現(xiàn)現(xiàn)有有人人竊竊聽聽，，隨隨即即結結束束通通信信，，生生成成新新的的密密鑰鑰。。9.2.1加密密技技術術解密密方方法法1.密密鑰鑰窮窮盡盡搜搜索索就是是嘗嘗試試所所有有可可能能的的密密鑰鑰組組合合，，雖雖然然這這種種密密鑰鑰嘗嘗試試通通常常是是失失敗敗的的，，但但最最終終總總會會有有一一個個密密鑰鑰讓讓破破譯譯者者得得到到原原文文。。2.密碼碼分分析析密碼碼分分析析是是在在不不知知密密鑰鑰的的情情況況下下利利用用數數學學方方法法破破譯譯密密文文或或找找到到秘秘密密密密鑰鑰。。常常見見的的密密碼碼分分析析有有如如下下兩兩種種：：⑴已已知知明明文文的的破破譯譯方方法法：：是當當密密碼碼分分析析員員掌掌握握了了一一段段明明文文和和對對應應的的密密文文,目的的是是發(fā)發(fā)現(xiàn)現(xiàn)加加密密的的密密鑰鑰。。在在實實際際應應用用中中,獲得得某某些些密密文文所所對對應應的的明明文文是是可可能能的的。。⑵選選定定明明文文的的破破譯譯方方法法：：密碼碼分分析析員員設設法法讓讓對對手手加加密密一一段段分分析析員員選選定定的的明明文文，，并并獲獲得得加加密密后后的的結結果果,以獲獲得得確確定定加加密密的的密密鑰鑰。。9.2.1加密密技技術術3、、防防止止密密碼碼破破譯譯的的措措施施為了了防防止止密密碼碼破破譯譯,可以以采采取取一一些些相相應應的的技技術術措措施施。。目目前前通通常常采采用用的的技技術術措措施施以以下下3種。。⑴好好的的加加密密算算法法：：一個個好好的的加加密密算算法法往往往往只只有有用用窮窮舉舉法法才才能能得得到到密密鑰鑰，，所所以以只只要要密密鑰鑰足足夠夠長長就就會會比比較較安安全全。。20世紀紀70～80年代密密鑰長長通常常為48～64位，90年代,由于發(fā)發(fā)達國國家不不準許許出口口64位加密密產品品，所所以國國內大大力研研制128位產品品。⑵保保護關關鍵密密鑰（KCK：KEYCNCRYPTIONKEY）。⑶動動態(tài)會會話密密鑰：：每次會會話的的密鑰鑰不同同。動態(tài)或或定期期變換換會話話密鑰鑰是有有好處處的，，因為為這些些密鑰鑰是用用來加加密會會話密密鑰的的，一一旦泄泄漏，，被他他人竊竊取重重要信信息，，將引引起災災難性性的后后果。。9.2.1加密技技術9.2.2數字簽簽名對文件件進行行加密密只是是解決決了傳傳送信信息的的保密密問題題，而而防止止他人人對傳傳輸的的文件件進行行破壞壞、如如何確確定發(fā)發(fā)信人人的身身份還還需要要采用用其他他的手手段，，這一一手段段就是是數字字簽名名。一一個完完整的的數字字簽名名應該具具有不不可抵抵賴性性、不不可偽偽造性性、不不可重重用性性等。。“數字字簽名名”是是數字字認證技技術中中其中中最常常用的的認證證技術術。在在日常常工作作和生生活中中，人人們對對書信信或文文件的的驗收收是根根據親親筆簽簽名或或蓋章章來證證實接接收者者的真真實身身份。。在書書面文文件上上簽名名有兩兩個作作用：：一是是因為為自己己的簽簽名難難以否否認，，從而而確定定了文文件已已簽署署這一一事實實；二二是因因為簽簽名不不易偽偽冒，，從而而確定定了文文件是是真實實的這這一事事實。。但是是，在在計算算機網網絡中中傳送送的報報文又又如何何簽名名蓋章章呢，，這就就是數數字簽簽名所所要解解決的的問題題。Key數字簽名初始文件簽名文件加密的簽名文件數字簽名初始文件數字摘要數字摘要正確初始文件HASH編碼一致KeyKeyKey數字摘要初始文件在網絡絡傳輸輸中如如果發(fā)發(fā)送方方和接接收方方的加加密、、解密密處理理兩者者的信信息一一致，，則說說明發(fā)發(fā)送的的信息息原文文在傳傳送過過程中中沒有有被破破壞或或篡改改,從而得得到準準確的的原文文。傳傳送過過程如如下圖圖所示示。數字簽簽名的的驗證證及文文件的的傳送送過程程9.2.2數字簽簽名9.2.3防火墻墻技術術防火墻墻技術術是一一種成成熟可可靠的的網絡絡安全全技術術，應應用于于內部部網絡絡與外外部網網絡之之間，，是保保護內內部網網絡不不受到到侵入入的一一道屏屏障。。目前前，防防火墻墻產品品是世世界上上使用用最多多的網網絡安安全產產品之之一，，其功功能也也在不不斷的的增加加。1、防防火墻墻的概概念為了防防止病病毒和和黑客客，可可在該該網絡絡和Internet之間插插入一一個中中介系系統(tǒng)，，豎起起一道道用來來阻斷斷來自自外部部通過過網絡絡對本本網絡絡的威威脅和和入侵侵的安安全屏屏障，，其作作用與與古代代防火火磚墻墻有類類似之之處，，人們們把這這個屏屏障就就叫做做“防防火墻墻”，，其邏邏輯結結構如如下頁頁圖所所示。。防火墻墻的邏邏輯結結構示示意圖圖外部網絡內部網絡9.2.3防火墻墻技術術2、防防火墻墻的基基本特特性①所所有內內部和和外部部網絡絡之間間傳輸輸的數數據必必須通通過防防火墻墻。②只只有被被授權權的合合法數數據即即防火火墻系系統(tǒng)中中安全全策略略允許許的數據據可以以通過過防火火墻。。③防防火墻墻本身身不受受各種種攻擊擊的影影響。。3、防防火墻墻的基基本準準則⑴過過濾不不安全全服務務：防火墻墻應封封鎖所所有的的信息息流,然后對對希望望提供供的安安全服服務逐逐項開開放，，把不不安全全的服服務或或可能能有安安全隱隱患的的服務務一律律扼殺殺在萌萌芽之之中。。⑵過過濾非非法用用戶和和訪問問特殊殊站點點：防火墻墻允許許所有有用戶戶和站點點對內內部網網絡進進行訪訪問，，然后后網絡絡管理理員按按照IP地址對對未授授權的的用戶戶或不不信任任的站站點進進行逐逐項屏屏蔽。。9.2.3防火墻墻技術術防火墻墻的基基本功功能1、作為為網絡絡安全全的屏屏障防火墻墻作為為阻塞塞點、、控制制點，，能極極大地地提高高一個個內部部網絡絡的安安全性性，并并通過過過濾濾不安安全的的服務務而降降低風風險。。2、可以以強化化網絡絡安全全策略略通過以以防火火墻為為中心心的安安全方方案配配置，，能將將所有有安全全軟件件（口口令、、加密密、身身份認認證、、審計計等））配置置在防防火墻墻上。。3、對網網絡存存取和和訪問問進行行監(jiān)控控審計計所有的的外部部訪問問都經經過防防火墻墻時，，防火火墻就就能記記錄下下這些些訪問問，為為網絡絡使用用情況況提供供統(tǒng)計計數據據。當當發(fā)生生可疑疑信息息時防防火墻墻能發(fā)發(fā)出報報警，，并提提供網網絡是是否受受到監(jiān)監(jiān)測和和攻擊擊的詳詳細信信息。。4、可以以防止止內部部信息息的外外泄利用防防火墻墻可以以實現(xiàn)現(xiàn)內部部網重重點網網段的的隔離離，從從而限限制了了局部部重點點或敏敏感網網絡安安全問問題對對全局局網絡絡造成成的影影響。。防火墻墻的分分類1、網絡絡級防防火墻墻（NetworkGateway）網絡級級防火火墻主主要用用來防防止整整個網網絡出出現(xiàn)外外來非非法的的入侵侵。包過濾濾路由由器的的工作作原理理示意意圖內部網網絡物理層分組過濾規(guī)則數據鏈跑層Internet外部網網絡網絡層物理層數據鏈跑層網絡層包過濾濾路由由器防火墻墻的分分類2、應應用級級防火火墻（（ApplicationGateway）這種類類型的的防火火墻被被網絡絡安全全專家家和媒媒體公公認為為是最最安全全的防防火墻墻。它它的核核心技技術就就是代代理服服務器器技術術。在在外部部網絡絡向內內部網網絡申申請服服務時時發(fā)揮揮了中中間轉轉接的的作用用。代代理防防火墻墻的最最大缺缺點是是速度度相對對比較較慢。。應用用級代代理工工作原原理圖圖所示示。應用級級代理理工作作原理理示意意圖內部網網絡真正服服務器器代理服服務器器實際的的連接接實際的的連接接外部網網絡客戶虛擬的的連接接Internet防火墻墻防火墻墻的分分類3、電電路級級防火火墻（（Gateway）電路級級防火火墻也也稱電電路層層網關關,是一個個具有有特殊殊功能能的防防火墻墻。電電路級級網關關只依依賴于于TCP連接，，并不不進行行任何何附加加的包包處理理或過過濾。。與應應用級級防火火墻相相似,電路級級防火火墻也也是代代理服服務器器,只是它它不需需要用用戶配配備專專門的的代理理客戶戶應用用程序序。另外,電路級級防火火墻在在客戶戶與服服務器器間創(chuàng)創(chuàng)建了了一條條電路路,雙方應應用程程序都都不知知道有有關代代理服服務的的信息息。4、狀狀態(tài)監(jiān)監(jiān)測防防火墻墻（StatefuinspectionGateway））狀態(tài)檢檢測是是比包包過濾濾更為為有效效的安安全控控制方方法。對新建建的應應用連連接,狀態(tài)檢檢測檢檢查預預先設設置的的安全全規(guī)則則,允許符符合規(guī)規(guī)則的的連接接通過過,并在內內存中中記錄錄下該該連接接的相相關信信息,生成狀狀態(tài)表表。對對該連連接的的后續(xù)續(xù)數據據包,只要符符合狀狀態(tài)表表就可可以通通過。。防火墻墻的基基本結結構1、雙雙宿主主機網網關（（DualHomedGateway））雙宿主主機網網關是是用一一臺裝裝有兩兩個網網絡適適配器器的雙雙宿主主機做做防火火墻,其中一一個是是網卡卡,與內網網相連連；另另一個個可以以是網網卡、、調制制解調調器或或ISDN卡。雙雙宿主主機網網關的的弱點點是一一旦入入侵者者攻入入堡壘壘主機機并使使其具具有路路由功功能，，則外外網用用戶均均可自自由訪訪問內內網。。雙宿宿主機機網關關工作作原理理圖如如下圖圖所示示。雙宿堡壘主主機Internet雙宿堡壘主主機內網防火墻的基基本結構2、屏蔽主主機網關（（ScreenedHostGateway）⑴單宿堡堡壘主機：：是屏蔽主機機網關的一一種簡單形形式,單宿堡壘主主機只有一一個網卡，，并與內部部網絡連接接。通常在在路由器上上設立過濾濾規(guī)則，并并使這個單單宿堡壘主主機成為可可以從Internet上訪問的唯唯一主機。。而Intranet內部的客戶戶機，可以以受控地通通過屏蔽主主機和路由由器訪問Internet,其工作原理理圖如下圖圖所示。屏蔽主機網網關單宿堡堡壘主機Internet雙宿堡壘主主機內網防火墻的基基本結構⑵雙宿堡堡壘主機：：是屏蔽主機機網關的另另一種形式式,與單宿堡壘壘主機相比比，雙宿堡堡壘主機有有兩塊網卡卡，一塊連連接內部網網絡，一塊塊連接路由由器。雙宿宿堡壘主機機在應用層層提供代理理服務比單單宿堡壘主主機更加安安全。屏蔽蔽主機網關關雙宿堡壘壘主機工作作原理圖如如下圖所示示。屏蔽主機網網關雙宿堡堡壘主機Internet雙宿堡壘主主機內網防火墻的基基本結構3、屏蔽子子網（ScreenedSubnetGateway）屏蔽子網是是在內部網網絡與外部部網絡之間間建立一個個起隔離作作用的子網網。內部網網絡和外部部網絡均可可訪問屏蔽蔽子網，它它們不能直直接通信，，但可根據據需要在屏屏蔽子網中中安裝堡壘壘主機，為為內部網絡絡和外部網網絡之間的的互訪提供供代理服務務。屏蔽子子網工作原原理圖如下下圖所示。。屏蔽子網防防火墻內網屏蔽子網Internet9.2.4訪問控制技技術訪問控制是是指可以限限制對關鍵鍵資源的訪訪問，防止止非法用戶戶進入系統(tǒng)統(tǒng)及合法用用戶對系統(tǒng)統(tǒng)資源的非非法使用。。它是網絡絡安全防范范和保護的的主要策略略，也是安安全機制的的核心內容容。訪問控制是是保證對所所有的直接接存取活動動進行授權權的重要手手段，控制制著讀出、、寫入、修修改、刪除除、執(zhí)行等等操作，可可以防止非非法用戶進進人計算機機系統(tǒng)和合合法用戶對對系統(tǒng)資源源的非法使使用。實施施訪問控制制是維護系系統(tǒng)運行安安全，保護護系統(tǒng)資源源的一項重重要技術。。目前的主流流訪問控制制技術有：：自主訪問問控制（DAC）、強制訪訪問控制（（MAC）、基于角角色的訪問問控制（RBAC）。§9.3網絡安全的的攻擊與防防衛(wèi)9.3.1特洛伊木馬馬“特洛伊木木馬”（trojanhorse）簡稱“木木馬”，據據說這個名名稱來源于于希臘神話話《木馬屠城記記》。如今黑客客程序借用用其名，有有“一經潛潛入，后患患無窮”之之意。完整的木馬馬程序一般般由兩個部部份組成：：一個是服服務器程序序，一個是是控制器程程序。“中中了木馬””就是指安安裝了木馬馬的服務器器程序，如如果計算機機被安裝了了服務器程程序，則擁擁有控制器器程序的人人就可以通通過網絡控控制這臺計計算機，這這時計算機機上的各種種文件、程程序，以及及在這臺計計算機上使使用的帳號號、密碼就就無安全可可言了?，F(xiàn)在市面面上有很很多新版版殺毒軟軟件都可可以自動動清除木木馬，但但它們并并不能防防范新出出現(xiàn)的木木馬程序序。如果果發(fā)現(xiàn)有有木馬存存在，首首先就是是馬上將將計算機機與網絡絡斷開，，防止黑黑客通過過網絡進進行攻擊擊。9.3.2郵件炸彈彈郵件炸彈彈(E-mailBomb)是使得攻攻擊目標標主機收收到超量量的電子子郵件,使得主機機無法承承受導致致郵件系系統(tǒng)崩潰潰，是黑黑客常用用的一種種攻擊手手段。現(xiàn)現(xiàn)在網上上的郵件件炸彈程程序很多多，雖然然它們的的安全性性不盡相相同，但但基本上上都能保保證攻擊擊者的不不被發(fā)現(xiàn)現(xiàn)。收到郵件件炸彈的的攻擊后后，可以以在不影影響郵箱箱內的正正常郵件件的情況況下，把把這些大大量的垃垃圾郵件件刪除掉掉。此外外，還有有一些專專門的郵郵件炸彈彈刪除軟軟件，它它可以幫幫助我們們迅速刪刪除炸彈彈郵件。。另外，，各免費費郵箱提提供商也也通過使使用郵件件過濾器器等措施施加強了了這方面面的防護護，通過過使用系系統(tǒng)提供供的郵件件過濾器器系統(tǒng)來來拒絕接接收此類類郵件。。但是，，目前對對于解決決郵件炸炸彈的困困擾還沒沒有特別別好的方方法，還還是應該該以預防防為主。。9.3.3信息竊取取隨著網絡絡技術的的發(fā)展，，利用網網絡來竊竊取信息息的顯現(xiàn)現(xiàn)也越來來頻繁。。竊取手手段越來來越多，，但歸結結起來本本質一樣樣：都是是通過程程序，尋尋找或記記錄種植植（程序序）者需需要的信信息，并并將其發(fā)發(fā)送到他他們手中中。信息息竊取可可以分為為兩種：：一種是是所謂偷偷取智能能財產；；而另一一種則是是所謂產產業(yè)諜報報活動。。安裝非法法入侵的的檢測系系統(tǒng)，可可以補足足防火墻墻的功能能，使兩兩者達到到監(jiān)控網網絡、執(zhí)執(zhí)行立即即的攔截截動作以以及分析析過濾封封包和內內容的動動作，當當竊取者者入侵時時便可以以立刻有有效終止止。這些些相關防防護措施施的應用用可以完完全做到到在面臨臨攻擊、、或者是是信息遭遭濫用時時立即做做出多樣樣性適當當的報警警。一般最普通基基本的安全管管理服務可包包括有防火墻墻、入侵偵測測及報警系統(tǒng)統(tǒng)、遠程訪問問保全、在網網絡上將使用用資料加密等等。9.3.4病毒網絡病毒的特點1.感染方式多2.感染速度快3.清除難度大4.破壞性強5.激發(fā)形式多樣樣6.潛在性特點：計算機網絡的的主要特點是是資源共享。。那么，一旦旦共享資源染染上病毒，網網絡各結點間間信息的頻繁繁傳輸將把病病毒感染到共共享的所有機機器上，從而而形成多種共共享資源的交交叉感染。在在網絡環(huán)境中中的病毒具有有以下6個方面的特點點：類型：1、GPI（GetPasswordI）病毒GPI病毒是由歐美美地區(qū)興起的的專攻網絡的的一類病毒，，該病毒的威威力在于“自自上而下”，，可以“逆流流而上”的傳傳播。2、電子郵件病病毒由于電子郵件件的廣泛使用用，E-mail已成為病毒傳傳播的主要途途徑之一。3、網頁病毒網頁病毒主要要指Java及ActiveX病毒，它們大大部分都保存存在網頁中，，所以網頁也也會感染病毒毒。4、網絡蠕蟲程程序是一種通過間間接方式復制制自身的非感感染型病毒，，它的傳播速速度相當驚人人，給人們帶帶來難以彌補補的損失。9.3.4病毒防治：1、病毒的預防防引起網絡病毒毒感染的主要要原因在于網網絡用戶本身身。因此,防范網絡病毒毒應從兩方面著手。第第一，對內部部網與外界進進行的數據交交換進行有效效的控制和管管理,同時堅決抵制制盜版軟件；；第二，以網網為本，多層層防御，有選選擇地加載保保護計算機網絡安全的網網絡防病毒產產品。2、病毒清除可靠、有效地地清除病毒,并保證數據的的完整性是一一件非常必要要和復雜的工工作。優(yōu)秀的的防毒軟件應該不僅能夠夠正確識別已已有的病毒變變種，同時也應該該能夠識別被被病毒感染的的文件。然而，防毒軟軟件并不是萬萬能的，對付付計算機病毒毒的最好方法法是要積極地地做好預防工工作,而不能寄托于于病毒工具軟件。9.3.4病毒這個技術為計計算機構筑起起一道動態(tài)、、實時的反病病毒防線，通通過修改操作作系統(tǒng)，使操操作系統(tǒng)本身身具備反病毒毒功能，拒病病毒于計算機機系統(tǒng)之門外外。時刻監(jiān)視視系統(tǒng)當中的的病毒活動，，時刻監(jiān)視系系統(tǒng)狀況，時時刻監(jiān)視軟盤盤、光盤、因因特網、電子子郵件上的病病毒傳染，將將病毒阻止在在操作系統(tǒng)外外部。且優(yōu)秀秀的反病毒軟軟件由于采用用了與操作系系統(tǒng)的底層無無縫連接技術術，實時監(jiān)視視器占用的系系統(tǒng)資源極小小，用戶一方方面完全感覺覺不到對機器器性能的影響響，一方面根根本不用考慮慮病毒的問題題。只要實時時反病毒軟件件實時地在系系統(tǒng)中工作，，病毒就無法法侵入我們的的計算機系統(tǒng)統(tǒng)?？梢员ＷC證反病毒軟件件只需一次安安裝，今后計計算機運行的的每一秒鐘都都會執(zhí)行嚴格格的反病毒檢檢查，使因特特網、光盤、、軟盤等途徑徑進入計算機機的每一個文文件都安全無無毒，如有毒毒則進行自動動殺除。9.3.5實時監(jiān)視技術術目前網絡用戶戶在因特網、、光盤以及WINDOWS中接觸到的大大多數文件都都是以壓縮狀狀態(tài)存放，以以便節(jié)省傳輸輸時間或節(jié)約約存放空間，，這就使得各各類壓縮文件件已成為了計計算機病毒傳傳播的溫床。。如中國計算算機報光盤InfoCD染上CIH病毒事件，就就是3個壓縮文件內內部中含有病病毒。如果用戶從網網上下載了一一個帶病毒的的壓縮文件包包，或從光盤盤里運行一個個壓縮過的帶帶毒文件，用用戶會放心地地使用這個壓壓縮文件包，，然后自己的的系統(tǒng)就會不不知不覺地被被壓縮文件包包中的病毒感感染。而且現(xiàn)現(xiàn)在流行的壓壓縮標準有很很多種，相互互之間有些還還并不兼容，，全面覆蓋各各種各樣的壓壓縮格式，就就要求了解各各種壓縮格式式的算法和數數據模型，這這就必須和壓壓縮軟件的生生產廠商有很很密切的技術術合作關系，，否則，解壓壓縮就會出問問題。9.3.6自動解壓縮技技術§9.4防火墻的安裝裝調試與設置置天網防火墻是是由廣州眾達達天網技術有有限公司開發(fā)發(fā)的給個人計計算機使用的的網絡安全工工具。它根據據系統(tǒng)管理者者設定的安全全規(guī)則把守網網絡，提供強強大的訪問控控制、應用選選通、信息過過濾等功能。。它可以幫助助網絡用戶抵抵擋網絡入侵侵和攻擊，防防止信息泄露露，保障用戶戶機器的網絡絡安全。天網網防火墻把網網絡分為本地地網和互聯(lián)網網，可以針對對來自不同網網絡的信息，，設置不同的的安全方案，，它適合于任任何方式連接接上網的個人人用戶。1、天網防火墻墻的安裝2、防火墻的設設置9.4.1天網防火墻隨著網絡的日日益普及，越越來越多的用用戶通過網絡絡進行即時通通訊和下載文件，，而這也越來來越成為病毒毒傳播的主要要途徑之一。。為此，瑞星星殺毒軟件專專門提供了嵌嵌入式殺毒工工具。瑞星殺殺毒軟件嵌入入式殺毒工具具是在用戶使使用即時通訊訊軟件（如MSNMessenger）、壓縮工具具（如WinZip）和下載工具具（如FlashGet）時，會自自動調用瑞瑞星殺毒軟軟件對接收收的文件件進行查殺殺病毒，防防止病毒通通過外來文文件傳播到到本地。在“查殺目目標”欄中中顯示了待待查殺病毒毒的目標，，默認狀態(tài)態(tài)下，所有有本地磁盤盤、內存、、引導區(qū)和和郵箱都為為選中狀態(tài)態(tài)；2）單擊瑞星星殺毒軟件件主程序界界面上的““殺毒”按按鈕，即開開始掃描所所選目標，，發(fā)現(xiàn)病毒毒時程序會會提示用戶戶如何處理理。掃描過過程中可隨隨時選擇““暫?！卑窗粹o暫停當當前操作，，按“繼續(xù)續(xù)”可繼續(xù)續(xù)當前操作作，也可以以選擇“停停止”按鈕鈕結束當當前掃描。。對掃描中中發(fā)現(xiàn)的病病毒，病毒毒文件的文文件名、所所在文件夾夾、病毒名名稱和狀態(tài)態(tài)都將顯示在在病毒列表表窗口中。。9.4.2瑞星殺毒軟軟件和個人人防火墻§9.5網絡管理1、網絡管理理的定義網絡管理是是一項復雜雜的系統(tǒng)工工程,它涉及到以以下3個方面。⑴網絡服服務提供：：是指向用戶戶提供新的的服務類型型、增加網網絡設備、、提高網絡絡性能等。。⑵網絡維維護：是指網絡性性能監(jiān)控、故障報警、故障診斷、故障隔離與與恢復等。。⑶網絡處處理：是指網絡線線路、設備利用率率、數據的采集集、分析，以及及提高網絡絡利用率的的各種控制制。2、網絡管理理標準化在ISO的OSI-RM的基礎上，，由AT&T、英國電信信等100多著名大公公司組成的的OSI/NMF(網絡管理論壇）定定義了OSI網絡管理框框架下的5個管理功能能區(qū)域，并并形成了多多項協(xié)議。9.5.1網絡管理概概述配置管理性能管理計費管理安全管理故障管理系統(tǒng)管理功功能：對象管理狀態(tài)管理關系屬性日志控制負荷荷監(jiān)監(jiān)測測告警警報報告告事件件報報告告測試試管管理理/測測試試報報告告記賬賬表表安全全審審查查追追蹤蹤等等OSI網絡絡管管理理功功能能模模塊塊之之間間的的關關系系為了了實實現(xiàn)現(xiàn)對對網網絡絡中中的的所所有有對對象象進進行行管管理理，，OSI定義義了了網網絡絡管管理理統(tǒng)統(tǒng)一一的的國國際際性性標標準準（（5個基基本本功功能能域域）），，基基本本模模塊塊的的相相互互關關系系如如下下圖圖所所示示。。9.5.2網絡絡管管理理功功能能1、配配置置管管理理（（ConfigurationManagement，CM）配置置管管理理是是ISO網絡絡管管理理功功能能域域中中的的第第一一個個管管理理模模塊塊,它具具有有以以下下4項基基本本功功能能。。

1配置信息具有自動獲取功能：一個大型網絡需要管理的設備很多，因此，網絡管理系統(tǒng)應該具有配置信息自動獲取的功能。2具有自動配置功能：通過網絡管理協(xié)議標準設置配置信息、自動登錄到設備進行配置的信息、修改管理性能配置信息。3配置一次性檢查：在網絡配置中，對網絡正常運行影響最大的主要是路由器端口配置和路由器信息配置和檢查。4用戶操作記錄功能：在配置管理中對用戶操作進行記錄并保存,以便管理人員隨時查看用戶在特定時間進行特定配置操作。9.5.2網絡絡管管理理功功能能2、性性能能管管理理（（PerformanceManagement，PM）性能能管管理理的的功功能能是是負負責責監(jiān)監(jiān)視視整整個個網網絡絡的的性性能能，，性性能能管管理理的的目目標標是是收收集集和和統(tǒng)統(tǒng)計計數數據據。。性性能能管管理理主主要要包包括括以以下下內內容容：：

1

信息收集：要實現(xiàn)性能管理，首先必須要從被管對象中收集與性能有關的那些數據，然后進行信息統(tǒng)計、分析和監(jiān)測。2信息統(tǒng)計：統(tǒng)計被管對象與性能有關的歷史數據的產生、記錄和維護。3信息分析：分析被管的性能數據和網絡線路質量，以判斷是否處于正常水平，為網絡進一步規(guī)劃與調整提供依據。4信息監(jiān)測：監(jiān)測網絡對象的性能，為每個重要的變量決定一個合適的性能閥值，超過該限值時將報警發(fā)送到網絡管理系統(tǒng)。9.5.2網絡絡管管理理功功能能3、故故障障管管理理（（FaultManagement，F(xiàn)M）故障障管管理理是是在在系系統(tǒng)統(tǒng)出出現(xiàn)現(xiàn)異異常常情情況況下下的的管管理理操操作作，，找找出出故故障障的的位位置置并并進進行行恢恢復復。。故故障障管管理理包包括括以以下下4個步步驟驟。。

1檢測故障：通過檢測來判斷故障類型或被動接收網絡上的各種事件信息，對其中的關鍵部分保持跟蹤,并生成網絡故障記錄。2隔離故障：通過診斷、測試，識別故障根源，對根源故障進行隔離。3修復故障：對不嚴重的簡單故障由網絡設備進行檢測、診斷和恢復；對于嚴重的故障，報警提醒管理者進行維修和更換。4記錄故障監(jiān)測結果：記錄排除故障的步驟和與故障相關的值班員日志，構造排錯行記錄，以反映故障整個過程的各個方面。9.5.2網絡絡管管理理功功能能4、安安全全管管理理（（SecurityManagement，SM）安全全管管理理模模塊塊的的功功能能分分為為網網絡絡管管理理本本身身的的安安全全和和被被管管網網絡絡對對象象的的安安全全。。安安全全管管理理的的功功能能主主要要包包括括以以下下4個方方面面：：1授權權管管理理：：分配配權權限限給給所所請請求求的的實實體體。。2訪問問控控制制管管理理：：訪問問控控制制管管理理：：分分配配口口令令、、進進入入或或修修改改訪訪問問控控制制表表和和能能力力表表。。3安全全管管理理：：安全全檢檢查查跟跟蹤蹤和和事事件件處處理理。。4密鑰鑰管管理理：：進行行密密鑰鑰分分配配。。9.5.2網絡絡管管理理功功能能5、計計費費管管理理（（AccountingManagement，AM）計費費管管理理模模塊塊的的功功能能是是在在有有償償使使用用的的網網絡絡上上統(tǒng)統(tǒng)計計有有哪哪些些用用戶戶，，使使用用何何種種信信道道，，傳傳輸輸多多少少數數據據，，訪訪問問什什么么資資源源信信息息，，即即統(tǒng)統(tǒng)計計不不同同線線路路和和各各類類資資源源的的利利用用情情況況。。計費管理理的目標標是提高高網絡資資源的利利用率，，以便使使一個或或一組用用戶可以以按規(guī)則則利用網網絡資源源。由于于網絡資資源可以以根據其其能力的的大小而而合理地地分配，，這樣的的規(guī)則使使網絡故故障降低低到最小小限度，，也可以以使所有有用戶對對網絡的的訪問更更加公平平。為了了實現(xiàn)合合理計費費，計費費管理必必須和性性能管理理相結合合。計費管理理包括：：計費數數據采集集、數據據管理與與數據維維護、政政策比較較與決策策支持、、數據分分析與費費用計算算等。9.5.2網絡管理理功能9.5.3網絡管理理協(xié)議與與網絡管管理工具具一、簡單單網絡管管理協(xié)議議為了更好好地進行行網絡管管理，許許多國際際標準化化組織都都提出了了自己的的網絡管管理標準準和網絡絡管理方方案，網網絡管理理協(xié)議主主要有CMIP、SNMP和CMOT三種。目目前使用用最廣泛泛的網絡絡管理協(xié)協(xié)議是簡簡單網絡絡管理協(xié)協(xié)議（SNMP）。1、SNMP的結構為了提高高網絡管管理系統(tǒng)統(tǒng)的效率率，SNMP在傳輸層層采用了了用戶數數據報協(xié)協(xié)議（UDP)，針對Internet飛速發(fā)展展和協(xié)議議的不斷斷擴充和和完善，，SNMP盡可能地地降低管管理代理理的軟件件成本和和資源要要求,提供較強強的遠程程管理,以適應對對Internet資源的管管理。并并且,SNMP結構具有有可擴充充性,以適應網網絡系統(tǒng)統(tǒng)的發(fā)展展。SNMP的結構如如下頁圖圖所示。。SNMP的功能結結構主機管理代理理MIB網關MIB終端服務務器管理代理理MIB管理進程程管理代理理⑴管理理進程（（manager）：協(xié)助網絡絡管理員員對整個個網絡或或網絡中中的設備備進行日日常管理理的一組組軟件，，一般運運行在網網絡管理理站（網網絡管理理中心））的主機機上。⑵管理理代理（（agent）：是一種在在被管理理的網絡絡設備中中運行的的軟件，，負責執(zhí)執(zhí)行管理理進程的的管理操操作。⑶管理理信息庫庫：是一個概概念上的的數據庫庫,由管理對對象組成成,每個管理理代理屬屬于本地地的管理理對象，，各管理理代理控控制的管管理對象象共同組組成全網網管理信信息庫。。9.5.3網絡管理理協(xié)議與與網絡管管理工具具SNMP工作方式式示意圖圖中心MIB本地MIB本地MIB應答應答請求請求AgentManagerAgent2、SNMP的工作方方式管理進程程（Manager）和管理理代理（（Agent）之間主主要以請請求/應答方式式工作。。Manager向Agent發(fā)出請求求命令，，獲取或或設置網網絡元素素（被管管設備））參數；；Agent向Manager返回“應應答”響響應，報報告“請請求”的的執(zhí)行結結果。Internet網絡管理理的工作作方式如如下圖所所示。9.5.3網絡管理理協(xié)議與與網絡管管理工具具3、SNMP的報文格格式SNMP使用UDP作為第四四層(傳輸層)協(xié)議,進行無連連接操作作。管理進程程和代理理進程之之間的每每個消息息都是一一個單獨獨的數據據報。SNMP消息報文文包含兩兩個部分分：SNMP報頭和協(xié)協(xié)議數據據單元PDU。⑴版本本識別符符（VersionIdentifier)：用來確保保SNMP代理使用用相同的的協(xié)議，，每個SNMP代理都直直接拋棄棄與自己己協(xié)議版版本不同同的數據據報。⑵團體體名（CommunityName)：用于SNMP代理對SNMP管理站進進行認證證。⑶協(xié)議議數據單單元（PDN）：指明SNMP的消息類類型及其其相關參參數。9.5.3網絡管理理協(xié)議與與網絡管管理工具具常用網絡絡管理系系統(tǒng)1、HPOpenViewHPOpenView是第一個個綜合的的、實用用的網絡絡管理系系統(tǒng)。2、CAUnicenterTNG通過UnicenterTNG，用戶可可以獲得得的功能能和特性性包括：：Web服務器管管理、改改進服務務水平、、全面的的企業(yè)安安全管理理、實現(xiàn)現(xiàn)網絡智智能化、、簡化桌桌面系統(tǒng)統(tǒng)和服務務器管理理、將可可管理性性用于應應用等。。3、IBMTivoliTivoli管理環(huán)環(huán)境是是一個個用于于網絡絡計算算機管管理的的集成成的產產品家家族，，可以以為各各種系系統(tǒng)平平臺提