計算機網絡技術

整體概述THEFIRSTPARTOFTHEOVERALLOVERVIEW,PLEASESUMMARIZETHECONTENT第一部分第8章網絡安全與網絡管理學習內容：網絡安全的定義和面臨的威脅病毒的定義、分類、特點及防治黑客的概念、攻擊目的和防范措施防火墻的概念和功能特點網絡管理的基本概念簡單網絡管理協(xié)議SNMP8.1網絡安全概述網絡安全問題已經成為信息化社會的一個焦點問題；每個國家只能立足于本國，研究自己的網絡安全技術，培養(yǎng)自己的專門人才，發(fā)展自己的網絡安全產業(yè)，才能構筑本國的網絡與信息安全防范體系。網絡安全的概念網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)的數(shù)據(jù)不受到偶然的或者惡意的因素而遭到破壞、更改和泄露，系統(tǒng)連續(xù)可靠的正常地運行，網絡服務不中斷。網絡安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。機密性：是指網絡信息的內容不會被未授權的第三方所知。完整性：指信息在存儲或傳輸時不被篡改、破壞，不出現(xiàn)信息包的丟失、亂序等?？捎眯裕旱玫绞跈嗟膶嶓w在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權者的工作?？煽匦裕嚎梢钥刂剖跈喾秶鷥鹊男畔⒘飨蚣靶袨榉绞??？蓪彶樾裕簩Τ霈F(xiàn)的網絡安全問題提供調查的依據(jù)和手段。構成對網絡安全威脅的主要因素與相關技術的研究網絡防攻擊問題網絡安全漏洞與對策問題網絡中的信息安全保密問題網絡內部安全防范問題網絡防病毒問題網絡數(shù)據(jù)備份與恢復、災難恢復問題網絡防攻擊問題服務攻擊:對網絡提供某種服務的服務器發(fā)起攻擊，造成該網絡的“拒絕服務”，使網絡工作不正常;非服務攻擊:不針對某項具體應用服務，而是基于網絡層等低層協(xié)議而進行的，使得網絡通信設備工作嚴重阻塞或癱瘓。網絡防攻擊主要問題需要研究的幾個問題網絡可能遭到哪些人的攻擊？攻擊類型與手段可能有哪些？如何及時檢測并報告網絡被攻擊？如何采取相應的網絡安全策略與網絡安全防護體系？網絡安全漏洞與對策的研究網絡信息系統(tǒng)的運行涉及到：計算機硬件與操作系統(tǒng)網絡硬件與網絡軟件數(shù)據(jù)庫管理系統(tǒng)應用軟件網絡通信協(xié)議網絡安全漏洞也會表現(xiàn)在以上幾個方面。網絡中的信息安全保密信息存儲安全與信息傳輸安全

信息存儲安全

如何保證靜態(tài)存儲在連網計算機中的信息不會被未授權的網絡用戶非法使用；信息傳輸安全

如何保證信息在網絡傳輸?shù)倪^程中不被泄露與不被攻擊；

網絡中的信息安全保密問題

數(shù)據(jù)加密與解密將明文變換成密文的過程稱為加密；將密文經過逆變換恢復成明文的過程稱為解密。網絡內部安全防范問題網絡內部安全防范是防止內部具有合法身份的用戶有意或無意地做出對網絡與信息安全有害的行為；對網絡與信息安全有害的行為包括：有意或無意地泄露網絡用戶或網絡管理員口令；違反網絡安全規(guī)定，繞過防火墻，私自和外部網絡連接，造成系統(tǒng)安全漏洞；違反網絡使用規(guī)定，越權查看、修改和刪除系統(tǒng)文件、應用程序及數(shù)據(jù)；違反網絡使用規(guī)定，越權修改網絡系統(tǒng)配置，造成網絡工作不正常；解決來自網絡內部的不安全因素必須從技術與管理兩個方面入手。網絡防病毒問題

目前，70%的病毒發(fā)生在計算機網絡上；連網微型機病毒的傳播速度是單機的20倍，網絡服務器消除病毒所花的時間是單機的40倍；電子郵件病毒可以輕易地使用戶的計算機癱瘓，有些網絡病毒甚至會破壞系統(tǒng)硬件。網絡數(shù)據(jù)備份與恢復、災難恢復問題如果出現(xiàn)網絡故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復？如果出現(xiàn)網絡因某種原因被損壞，重新購買設備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復？網絡安全機制：網絡安全機制（securitymechanisms）可分為兩類：一類與安全服務有關，另一類與管理功能有關。ISO7498-2建議了以下八種機制。（1）加密機制：加密是確保數(shù)據(jù)保密性。（2）數(shù)字簽名機制：數(shù)字簽名用來確保數(shù)據(jù)真實性和進行身份驗證。（3）訪問控制機制：訪問控制按照事先確定的規(guī)則來決定主體對客體的訪問是否合法。（4）數(shù)據(jù)完整性機制：數(shù)據(jù)完整性是保證數(shù)據(jù)不被修改。（5）認證機制：計算機網絡中認證機制主要有站點認證、報文認證、用戶和進程的認證。（6）信息流填充機制：信息流填充使攻擊者不知道哪些是有用信息，哪些是無用信息，從而挫敗信息流分析攻擊。（7）路由控制機制：路由控制機制可根據(jù)信息發(fā)送者的申請選擇安全路徑，以確保數(shù)據(jù)安全。（8）公正機制：主要是在發(fā)生糾紛時進行公正仲裁用。8.2計算機病毒及黑客入侵1、計算機病毒特點靈活性傳播性隱蔽性潛伏性破壞性2、計算機病毒的類型引導型病毒可執(zhí)行文件病毒宏病毒混合型病毒3、造成網絡感染病毒的主要原因

70%的病毒發(fā)生在網絡上；將用戶家庭微型機軟盤帶到網絡上運行而使網絡感染上病毒的事件約占41%左右；從網絡電子廣告牌上帶來的病毒約占7%；從軟件商的演示盤中帶來的病毒約占6%；從系統(tǒng)維護盤中帶來的病毒約占6%；從公司之間交換的軟盤帶來的病毒約占2%；其他未知因素約占27%；從統(tǒng)計數(shù)據(jù)中可以看出，引起網絡病毒感染的主要原因在于網絡用戶自身。4、網絡病毒的危害

網絡病毒感染一般是從用戶工作站開始的，而網絡服務器是病毒潛在的攻擊目標，也是網絡病毒潛藏的重要場所；網絡服務器在網絡病毒事件中起著兩種作用：它可能被感染，造成服務器癱瘓；它可以成為病毒傳播的代理人，在工作站之間迅速傳播與蔓延病毒；網絡病毒的傳染與發(fā)作過程與單機基本相同，它將本身拷貝覆蓋在宿主程序上；當宿主程序執(zhí)行時，病毒也被啟動，然后再繼續(xù)傳染給其他程序。如果病毒不發(fā)作，宿主程序還能照常運行；當符合某種條件時，病毒便會發(fā)作，它將破壞程序與數(shù)據(jù)。5、網絡病毒的防治措施不使用或下載來源不明的軟件。不輕易上一些不正規(guī)的網站。提防電子郵件病毒的傳播。一些郵件病毒會利用ActiveX控件技術，當以HTML方式打開郵件時，病毒可能就會被激活。經常關注一些網站、BBS發(fā)布的病毒報告，這樣可以在未感染病毒時做到預先防范。及時更新操作系統(tǒng)，為系統(tǒng)漏洞打上補丁。對于重要文件、數(shù)據(jù)做到定期備份。6、典型網絡防病毒軟件的應用

網絡防病毒可以從以下兩方面入手：一是工作站，二是服務器；網絡防病毒軟件的基本功能是：對文件服務器和工作站進行查毒掃描、檢查、隔離、報警，當發(fā)現(xiàn)病毒時，由網絡管理員負責清除病毒；網絡防病毒軟件一般允許用戶設置三種掃描方式：實時掃描、預置掃描與人工掃描；一個完整的網絡防病毒系統(tǒng)通常由以下幾個部分組成：客戶端防毒軟件、服務器端防毒軟件、針對群件的防毒軟件、針對黑客的防毒軟件。常用殺毒軟件

瑞星殺毒軟件金山殺毒軟件諾頓殺毒軟件7、黑客的概念及特征黑客群體擴大化黑客的組織化和集團化黑客行為的商業(yè)化黑客行為的政治化黑客是指為那些利用計算機某種技術或其他手段，善意或惡意地進入其非授權范圍以內的計算機或網絡空間的人。8、常見的黑客攻擊方法Web欺騙技術放置特洛伊木馬程序口令攻擊 （1）暴力破解 （2）密碼控測 （3）網絡監(jiān)聽 （4）登錄界面攻擊法電子郵件攻擊網絡監(jiān)聽端口掃描攻擊緩沖區(qū)溢出9、防范黑客的措施提高安全意識使用防火墻使用反黑客軟件盡量不暴露自己的IP安裝殺毒軟件做好數(shù)據(jù)的備份8.3網絡防火墻技術

8.3.1防火墻的基本概念防火墻是在網絡之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件；設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部非法用戶的攻擊。

防火墻的功能及作用防火墻實際上是一種保護裝置，防止非法入侵，以保護網絡數(shù)據(jù),在互聯(lián)網服務中可實現(xiàn)多個目的。 1)限定訪問控制點。 2)防止侵人者侵入。 3)限定離開控制點。 4)有效地阻止破壞者對計算機系統(tǒng)進行破壞。 總之，防火墻在互聯(lián)網中是分離器、限制器、分析器。防火墻的位置與作用

防火墻通過檢查所有進出內部網絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網絡安全構成威脅，為內部網絡建立安全邊界；構成防火墻系統(tǒng)的兩個基本部件是：包過濾路由器和應用級網關；最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統(tǒng)由包過濾路由器和應用級網關組合而成；由于組合方式有多種，因此防火墻系統(tǒng)的結構也有多種形式。8.3.2防火墻的主要類型

包過濾防火墻包過濾防火墻工作在OSI參考模型的網絡層,根據(jù)數(shù)據(jù)包包頭源地址、目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地點出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。包過濾防火墻的工作原理代理防火墻

代理防火墻又稱應用層網關級防火墻，它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互聯(lián)，并對數(shù)據(jù)進行嚴格選擇,然后將篩選過的數(shù)據(jù)傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用，其功能類似一個數(shù)據(jù)轉發(fā)器，它主要控制哪些用戶能訪問哪些服務類型。應用級網關的結構

應用代理的工作原理雙穴主機防火墻該防火墻是用主機來執(zhí)行安全控制功能。一臺雙穴主機配有多個網卡，分別連接不同的網絡。雙穴主機從一個網絡收集數(shù)據(jù)，并且有選擇地把它發(fā)送到另一個網絡上。網絡服務由雙空主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數(shù)據(jù)區(qū)傳遞數(shù)據(jù)，從而保護內部網絡不被非法訪問。8.3.3主要的防火墻產品

Checkpoint公司的Firewall-1防火墻SonicSystem公司的Sonicwall防火墻NetScreen公司的NetScreen防火墻Alkatel公司的InternetDevice防火墻NAI公司的Gauntlet防火墻中國的“天網”、“網絡衛(wèi)士”、“藍盾”天網防火墻天網防火墻安全規(guī)則設置這是系統(tǒng)最重要，也是最復雜的地方?？梢苑浅ｌ`活的設計合適自己使用的規(guī)則。規(guī)則是一系列的比較條件和一個對數(shù)據(jù)包的動作，就是根據(jù)數(shù)據(jù)包的每一個部分來與設置的條件比較，當符合條件時，就可以確定對該包放行或者阻擋。通過合理的設置規(guī)則就可以把有害的數(shù)據(jù)包擋在你的機器之外。

工具條：點擊上面的按鈕來導入，增加，修改，刪除規(guī)則。由于規(guī)則判斷是由上而下的，可以通過點擊調“規(guī)則上下移動”按鈕調整規(guī)則的順序，當調整好順序后，可按保存按鈕保存修改。當規(guī)則增加或修改后，為了讓這些規(guī)則生效，還要點擊”應用新規(guī)則“按鈕。規(guī)則列表：列出了所有的規(guī)則的名稱，該規(guī)則所對應的數(shù)據(jù)包的方向，該規(guī)則所控制的協(xié)議，本機端口，對方地址和對方端口，以及當數(shù)據(jù)包滿足本規(guī)則時所采取的策略。在列表的左邊為該規(guī)則是否有效的標志，標記為鉤表示改規(guī)則有效，否則表示無效。當改變這些標志后，按保存鍵。8.4網絡管理技術8.4.1網絡管理的基本概念網絡管理涉及以下三個方面：網絡服務提供是指向用戶提供新的服務類型、增加網絡設備、提高網絡性能；網絡維護是指網絡性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復；網絡處理是指網絡線路、設備利用率數(shù)據(jù)的采集、分析，以及提高網絡利用率的各種控制。網絡管理系統(tǒng)的基本結構：管理對象

管理對象是經過抽象的網絡元素，對應于網絡中具體可以操作的數(shù)據(jù)。管理進程

管理進程是負責對網絡設備進行全面的管理與控制的軟件。管理協(xié)議

管理協(xié)議負責在管理系統(tǒng)與被管理對象之間傳遞與負責操作命令。管理信息庫管理信息庫（MIB）是管理進程的一部分，用于記錄網絡中被管理對象的狀態(tài)參數(shù)值；一個網絡的管理系統(tǒng)只能有一個管理信息庫，但管理信息庫可以是集中存儲的，也可以由各個網絡設備記錄本地工作參數(shù)；網絡管理員只要查詢有關的管理信息庫，就可獲得有關網絡設備的工作狀態(tài)和工作參數(shù)；在網絡管理過程中，使網絡管理信息庫中數(shù)據(jù)與實際網絡設備的狀態(tài)、參數(shù)保持一致的方法主要有兩種：事件驅動與輪詢驅動方法。8.4.2OSI管理功能域

配置管理（configurationmanagement）故障管理（faultmanagement）性能管理（performancemanagement）安全管理（securitymanagement）記賬管理（accountingmanagement）配置管理 配置管理是最基本的網絡管理功能，主要用于配置和優(yōu)化網絡。配置管理就是在網絡建立、擴充、改造以及業(yè)務的開展過程中，對網絡的拓撲結構、資源配備、使用狀態(tài)等配置信息進行定義、監(jiān)測和修改。故障管理 故障管理的功能是迅速發(fā)展和糾正故障，動態(tài)維護網絡