计算机网络安全及管理技术本章将介绍计算机网络安全、
防火墙的概念以及网络管理的协议和功能;重点讲述网络防火墙技术和网络管理技术。
计算机网络安全和防火墙技术计算机网络安全:是指通过采取各种技术的和管理的措施,确保网络数据的可用性、完整性和保密性,其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。
⑵ 计算机安全的主要内容计算机硬件的安全性软件安全性数据安全性计算机运行安全性
⑶ 破坏计算机安全的途径
窃取计算机用户口令、上机或通过网络非法访问数据、复制、删改软件和数据。
通过磁盘、网络等传播计算机病毒。
通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。
偷窃存储有重要数据的存储介质,如光盘、
磁带、硬盘、软盘等。
,黑客,通过网络非法侵入计算机系统。
2.网络安全基础
⑴ 网络安全的内涵信息的保密性( Security)、
完整性( Integrity)、
可靠性( Reliability)、
实用性( Utility)、
真实性( Authenticity)、
占有性( Possession)。
⑵ 可能受到威胁的网络资源硬件设备,如服务器、交换机、路由器、
集线器和存储设备等;
软件,如操作系统、应用软件、开发工具等;
数据或信息。
⑶ 网络安全问题日益突出的主要原因,
攻击计算机网络安全的主要途径
通过计算机辐射、接线头、传输线路截获信息。
绕过防火墙和用户口令而进入网络,获取信息或修改数据。
通过截获窃听破译数据。
,黑客,通过电话网络尝试进入计算机网络。
向计算机网络注入,病毒,,造成网络瘫痪。
(4) 计算机网络面临的安全性威胁
截获,攻击者从网络上窃听他人的通信内容
中断,攻击者有意中断他人在网络上的通信
篡改,攻击者故意篡改网络上传送的报文
伪造,攻击者伪造信息在网络上传送主动攻击与被动攻击主动攻击:指攻击者对某个连接的中的 PDU
进行各种处理(更改、删除、迟延、复制、
伪造等。)。可检测。
主动攻击分为四种:
1.更改报文流
2.拒绝报文服务
3.伪造连接初始化
4.恶意程序恶意程序蠕虫病毒特洛伊木马( Trojan horse) 简称为特洛伊( Trojan)
逻辑炸弹计算机网络安全的主要内容
1.保密性
2.安全协议的设计
3.接入控制以上计算机网络安全的内容都与密码技术紧密相关。
加密系统的组成待加密的报文,也称明文。
加密后的报文,也称密文。
加密、解密装置称算法。
加密和解密的密钥,它可以是数字,词汇或者语句。
密码通信系统的模型加密变换 E x
破译分析解密变换 D x
明文 P
发送者 A
C = E k ( P )
密文 C
密匙 K
密钥传送信道窃听者 E
信息传送信道
P = D x ( C )
接收者 B
图 6.1 密码通信系统的模型密码学与密码体制
1.常规密钥密码体制
( 1)常规密钥密码体制的加密方式,序列
(代替)密码,分组(置换)密码。
( 2)常规密钥密码体制的特点:对称密钥密码系统具有加解密速度快、使用的加密算法比较简便高效、密钥简短。
3.数据加密的实现方式
( 1)软件加密一般是用户在发送信息前,先调用信息安全模块对信息进行加密,然后发送出去,
到达接收方后,由用户用相应的解密软件进行解密,还原成明文。
( 2)硬件加密可以采用标准的网络管理协议
(比如 SNMP,CMIP等)来进行管理,也可以采用统一的自定义网络管理协议进行管理。
DES算法
DES是对称密钥加密的算法,DES算法大致可以分成四个部分:
( 1)初始置换
( 2)迭代过程
( 3)逆置换和
( 4)子密钥生成
IDEA(国际数据加密算法)算法
IDEA算法可用于加密和解密。主要有三种运算:
异或、模加、模乘,容易用软件和硬件来实现。
IDEA的速度:现在 IDEA的软件实现同 DES的速度一样块。
IDEA的密码安全分析,IDEA的密钥长度是 128
位,是 DES的密钥长度的两倍。在穷举攻击的情况下,IDEA将需要经过 2128次加密才能恢复出密钥。
网络管理计算机网络管理功能按照 OSI管理框架,把网络管理任务分为:
1.安全管理
2.配置管理
3.性能管理
4.故障管理
5.计费管理配置管理目的
配置管理的目的是为了实现某个特定功能或使网络性能达到最佳 。
配置管理监控对象
网络资源及其活动状态;
网络资源之间的关系;
新资源的引入和旧资源的删除 。
配置管理操作
( 1 ) 鉴别被管对象,标识被管对象;
( 2 ) 设置被管对象的参数;
( 3 ) 改变被管对象的操作特性,报告被管对象的状态变化;
( 4 ) 删除被管对象 。
性能管理的组成
典型的网络性能管理分成性能监测和网络控制两部分 。
性能管理以网络性能为准则收集,分析和调整被管对象的状态,其目的是保证网络可以提供可靠,连续的通信能力并使用最少的网络资源和具有最少的时延 。
性能管理的功能
( 1 ) 从被管对象中收集与性能有关的数据;
( 2 ) 被管对象的性能统计,与性能有关的历史数据的产生,记录和维护;
( 3 ) 分析当前统计数据以检测性能故障,
产生性能告警,报告性能事件;
( 4 ) 将当前统计数据的分析结果与历史模型比较以预测性能的长期变化;
( 5) 形成改进性能评价准则和性能门限;
( 6) 以保证网络的性能为目的,
对被管对象和被管对象组的控制 。
故障管理的目的
故障管理是网络管理功能中与检测设备故障,故障设备的诊断,故障设备的恢复或故障排除等措施有关的网络管理功能,其目的是保证网络能够提供连续,可靠的服务 。
故障管理的功能
( 1 ) 检测被管对象的差错,或接收被管对象的差错事件通报;
( 2 ) 当存在空闲设备或迂回路由时,提供新的网络资源用于服务;
( 3 ) 创建和维护差错日志库,并对差错日志进行分析;
( 4 ) 进行诊断和测试,以追踪和确定故障位置,
故障性质;
( 5 ) 通过资源更换或维护,以及其他恢复措施使其重新开始服务 。
计费管理的目的
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价 。 它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源 。 网络管理者还可以规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源 。
计费管理的功能
( 1 ) 统计网络的利用率等效益数据,以使网络管理人员确定不同时期和时间段的费率;
( 2 ) 根据用户使用的特定业务在若干用户之间公平,合理地分摊费用;
( 3 ) 允许采用信用记帐方式收取费用,包括提拱有关资源使用的帐单审查;
( 4 ) 当多个资源同时用来提供一项服务时,
能计算各个资源的费用 。
安全管理的目的
( 1 ) 网络数据的私有性 ( 保护网络数据不被侵入者非法获取 ) ;
( 2 ) 授权 ( 防止侵入者在网络上发送错误信息 ) ;
( 3 ) 访问控制 ( 控制对网络资源的访问 ) 。
安全管理的功能
( 1 ) 创建,删除,控制安全服务和机制;
( 2 ) 与安全相关信息的分发;
( 3 ) 与安全相关事件的通报 。
网络管理功能,系统管理功能与其他管理协议和服务之间的关系如图 6-1所示 。
管理应用软件系统管理功能域配置管理功能域对象管理日志控制安全告警报告测试报告测试管理安全审查追踪公共管理信息服务低层协议关系属性事件报告记帐表负荷监测系统管理功能告警报告状态管理性能管理功能域故障管理功能域计费管理功能域安全管理功能域图 系统管理域与系统管理功能之间的关系
SNMP设计原则
SNMP的设计原则是简单性 (Simplicity)
和扩展性 (Extensibility)。
它的设计思想十分简单:它通过 SNMP的 PDU
来与被管理的对象交互信息,这些对象有对象特有的属性和值 。
SNMP共有五种 PDU,其中两个用来读取数据,
两个用来设置数据,还有一个用来监视网络上发生的事件,如网络故障报警等等 。
SNMP设计原则由于简单,为它的扩充留下很多的余地,
为将来发展创造条件。扩展性主要是通过将管理信息模型与协议、被管理对象的详细规定 (MIB)分离实现;
简单性则是通过信息类型的限制、请求 /
响应机制而取得。由于简单,容易设立,
容易编程而且对网络不会造成很大压力。
管理信息库
S N M P 管理器
SNMP
代理管理信息库
(主机) (网关)
SNMP
代理
SNMP
代理管理信息库
(主机)
.,,,,,,,,
图 SNMP管理模型
SNMP的管理模型网络管理协议代理:为了实现与网络管理站的信息交换,必须有一个相应的软件收集、加工、
处理被管网络设施的信息,同时这个软件负责与网络管理站的通信,这样的软件被称为代理。 代理本身不是被管设施,
但是代表了被管网络设施,每一个代理都有体现相应网络设施的有关信息。
2.简单网络管理协议 SNMP的工作原理
2.SNMP的弱点
没有伸缩型,在大型网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤的情况发生。它将收集数据的负担加在网络管理控制台上,在管理几个网段时也许能轻松的收集网络信息,当它们监控许多网段时,就非常困难了。
6.网络管理工具 Cisco Works
Cisco Works是一个基于 SNMP的网络管理应用系统,它能集成到几种流行的网络管理平台,如 Sun工作站
( SunOS和 Solaris)上的 SunNet Manager,Sun或 HP系统上的 HP OpenView,以及 IBM NetView for AIX。
Cisco Works建立在工业标准平台上,能监控设备状态,
方便地维护配置信息,查找故障。
Cisco Works提供以下主要功能:
自动安装管理; 配置管理;
设备管理; 设备监控; 设备轮询;
通用命令管理器和通用命令调度器;
性能监控; 离线网络分析; 路径工具;
安全管理 ; 实时图形。
内联网的定义和发展内联网,用于组织和共享一个企业内部信息,完成企业事物数字处理的网络。一个内联网使用与因特网上类似的应用程序,
如万维网页、浏览器,E-mail、新闻组和邮件列表,但只有本组织内部的人员才能存取。
防火墙的定义
防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的,潜在破坏性的侵入 。 防火墙本身具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施 。 下图为防火墙示意图 。
内部网络防火墙外部网络图 6-1防火墙网络防火墙示意图如图 6-1所示。
图 防火墙示意图防火墙的发展简史
第一代防火墙:采用了包过滤( Packet
Filter)技术。
第二、三代防火墙,1989年,推出了电路层防火墙,和应用层防火墙的初步结构。
第四代防火墙,1992年,开发出了基于动态包过滤技术的第四代防火墙。
第五代防火墙,1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。
图 防火墙技术的简单发展历史设置防火墙的目的和功能
( 1)防火墙是网络安全的屏障
( 2)防火墙可以强化网络安全策略
( 3)对网络存取和访问进行监控审计
( 4)防止内部信息的外泄防火墙的技术分类
1.包过滤防火墙
2.代理防火墙
1.包过滤防火墙
( 1)数据包过滤技术的发展:静态包过滤、动态包过滤。
( 2)包过滤的优点:不用改动应用程序、
一个过滤路由器能协助保护整个网络、
数据包过滤对用户透明、过滤路由器速度快、效率高。
( 3)包过滤的缺点:不能彻底防止地址欺骗;
一些应用协议不适合于数据包过滤;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;安全性较差 ;
数据包工具存在很多局限性。
TCP协议 --保留端口号:
53 -- 域名服务器
69 -- 简单文件传输 tftp
111-RPC远程过程调用
UDP协议 --保留端口号:
20-- 文件传输服务器(数据连接) --ftp-data
21 -- 文件传输服务器(控制连接) --ftp
23 -- Telnet服务器 — telnet
25 -- 电子 邮 件服务器 — smtp
其他端口:
rlogin,rsh,rexec:513,514,512
2.代理防火墙
( 1)代理防火墙的原理:
代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。
代理服务防火墙如图所示。
图 代理服务器内部网络外部主机
Internet
内部主机代理服务
( 2)应用层网关型防火墙:
主要保存 Internet上那些最常用和最近访问过的内容:在 Web上,代理首先试图在本地寻找数据,如果没有,再到远程服务器上去查找。为用户提供了更快的访问速度,并且提高了网络安全性。应用层网关防火墙最突出的优点就是安全,缺点就是速度相对比较慢。
图 应用层网关防火墙防火墙的常见体系结构
1.屏蔽路由器 (如图 6.10所示 )
2.双穴主机网关 (如图 6.11所示 )
3.屏蔽主机网关 (如图 6.12所示 )
4.被屏蔽子网 (如图 6.13所示 )
图 6.10 屏蔽路由器示意图
(分组过滤路由器)
图 6-10包过滤防火墙过滤路由器
Internet Intranet
图 6.11 双穴主机网关示意图双宿主网关图 6.12 屏蔽主机网关示意图主机过滤防火墙过滤主机图 6.13 被屏蔽子网防火墙示意图子网过滤防火墙子网过滤结构如图所示防火墙的局限性
( 1)防火墙防外不防内。
( 2)防火墙难于管理和配置,易造成安全漏洞。
( 3)很难为用户在防火墙内外提供一致的安全策略。
( 4)防火墙只实现了粗粒度的访问控制。
防火墙设计实例
防火墙产品选购策略
典型防火墙产品介绍
防火墙设计策略
Windows 2000环境下防火墙及 NAT
的实现防火墙产品选购策略
1.防火墙的安全性
2.防火墙的高效性
3.防火墙的适用性
4.防火墙的可管理性
5.完善及时的售后服务体系典型防火墙产品介绍
1,3Com Office Connect Firewall
新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。
Office Connect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自 Internet的,拒绝服务,攻击,
它还可以限制局域网用户对 Internet的不恰当使用。
Office Connect Internet Firewall
DMZ可支持多达 100个局域网用户,这使局域网上的公共服务器可以被
Internet访问,又不会使局域网遭受攻击。
3Com公司所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。
它们使整个办公室可以共享 ISP提供的一个 IP地址,因而节省开支。
2,Cisco PIX防火墙
( 1)实时嵌入式操作系统。
( 2)保护方案基于自适应安全算法
( ASA),可以确保最高的安全性。
( 3)用于验证和授权的,直通代理,
技术。
( 4)最多支持 250 000个同时连接。
( 5) URL过滤。
( 6) HP Open View集成。
( 7)通过电子邮件和寻呼机提供报警和告警通知。
( 8)通过专用链路加密卡提供 VPN支持。
( 9)符合委托技术评估计划( TTAP),经过了美国安全事务处( NSA)的认证,同时通过中国公安部安全检测中心的认证
( PIX520除外)。
防火墙技术发展动态和趋势
( 1)优良的性能
( 2)可扩展的结构和功能
( 3)简化的安装与管理
( 4)主动过滤
( 5)防病毒与防黑客
防火墙的概念以及网络管理的协议和功能;重点讲述网络防火墙技术和网络管理技术。
计算机网络安全和防火墙技术计算机网络安全:是指通过采取各种技术的和管理的措施,确保网络数据的可用性、完整性和保密性,其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。
⑵ 计算机安全的主要内容计算机硬件的安全性软件安全性数据安全性计算机运行安全性
⑶ 破坏计算机安全的途径
窃取计算机用户口令、上机或通过网络非法访问数据、复制、删改软件和数据。
通过磁盘、网络等传播计算机病毒。
通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。
偷窃存储有重要数据的存储介质,如光盘、
磁带、硬盘、软盘等。
,黑客,通过网络非法侵入计算机系统。
2.网络安全基础
⑴ 网络安全的内涵信息的保密性( Security)、
完整性( Integrity)、
可靠性( Reliability)、
实用性( Utility)、
真实性( Authenticity)、
占有性( Possession)。
⑵ 可能受到威胁的网络资源硬件设备,如服务器、交换机、路由器、
集线器和存储设备等;
软件,如操作系统、应用软件、开发工具等;
数据或信息。
⑶ 网络安全问题日益突出的主要原因,
攻击计算机网络安全的主要途径
通过计算机辐射、接线头、传输线路截获信息。
绕过防火墙和用户口令而进入网络,获取信息或修改数据。
通过截获窃听破译数据。
,黑客,通过电话网络尝试进入计算机网络。
向计算机网络注入,病毒,,造成网络瘫痪。
(4) 计算机网络面临的安全性威胁
截获,攻击者从网络上窃听他人的通信内容
中断,攻击者有意中断他人在网络上的通信
篡改,攻击者故意篡改网络上传送的报文
伪造,攻击者伪造信息在网络上传送主动攻击与被动攻击主动攻击:指攻击者对某个连接的中的 PDU
进行各种处理(更改、删除、迟延、复制、
伪造等。)。可检测。
主动攻击分为四种:
1.更改报文流
2.拒绝报文服务
3.伪造连接初始化
4.恶意程序恶意程序蠕虫病毒特洛伊木马( Trojan horse) 简称为特洛伊( Trojan)
逻辑炸弹计算机网络安全的主要内容
1.保密性
2.安全协议的设计
3.接入控制以上计算机网络安全的内容都与密码技术紧密相关。
加密系统的组成待加密的报文,也称明文。
加密后的报文,也称密文。
加密、解密装置称算法。
加密和解密的密钥,它可以是数字,词汇或者语句。
密码通信系统的模型加密变换 E x
破译分析解密变换 D x
明文 P
发送者 A
C = E k ( P )
密文 C
密匙 K
密钥传送信道窃听者 E
信息传送信道
P = D x ( C )
接收者 B
图 6.1 密码通信系统的模型密码学与密码体制
1.常规密钥密码体制
( 1)常规密钥密码体制的加密方式,序列
(代替)密码,分组(置换)密码。
( 2)常规密钥密码体制的特点:对称密钥密码系统具有加解密速度快、使用的加密算法比较简便高效、密钥简短。
3.数据加密的实现方式
( 1)软件加密一般是用户在发送信息前,先调用信息安全模块对信息进行加密,然后发送出去,
到达接收方后,由用户用相应的解密软件进行解密,还原成明文。
( 2)硬件加密可以采用标准的网络管理协议
(比如 SNMP,CMIP等)来进行管理,也可以采用统一的自定义网络管理协议进行管理。
DES算法
DES是对称密钥加密的算法,DES算法大致可以分成四个部分:
( 1)初始置换
( 2)迭代过程
( 3)逆置换和
( 4)子密钥生成
IDEA(国际数据加密算法)算法
IDEA算法可用于加密和解密。主要有三种运算:
异或、模加、模乘,容易用软件和硬件来实现。
IDEA的速度:现在 IDEA的软件实现同 DES的速度一样块。
IDEA的密码安全分析,IDEA的密钥长度是 128
位,是 DES的密钥长度的两倍。在穷举攻击的情况下,IDEA将需要经过 2128次加密才能恢复出密钥。
网络管理计算机网络管理功能按照 OSI管理框架,把网络管理任务分为:
1.安全管理
2.配置管理
3.性能管理
4.故障管理
5.计费管理配置管理目的
配置管理的目的是为了实现某个特定功能或使网络性能达到最佳 。
配置管理监控对象
网络资源及其活动状态;
网络资源之间的关系;
新资源的引入和旧资源的删除 。
配置管理操作
( 1 ) 鉴别被管对象,标识被管对象;
( 2 ) 设置被管对象的参数;
( 3 ) 改变被管对象的操作特性,报告被管对象的状态变化;
( 4 ) 删除被管对象 。
性能管理的组成
典型的网络性能管理分成性能监测和网络控制两部分 。
性能管理以网络性能为准则收集,分析和调整被管对象的状态,其目的是保证网络可以提供可靠,连续的通信能力并使用最少的网络资源和具有最少的时延 。
性能管理的功能
( 1 ) 从被管对象中收集与性能有关的数据;
( 2 ) 被管对象的性能统计,与性能有关的历史数据的产生,记录和维护;
( 3 ) 分析当前统计数据以检测性能故障,
产生性能告警,报告性能事件;
( 4 ) 将当前统计数据的分析结果与历史模型比较以预测性能的长期变化;
( 5) 形成改进性能评价准则和性能门限;
( 6) 以保证网络的性能为目的,
对被管对象和被管对象组的控制 。
故障管理的目的
故障管理是网络管理功能中与检测设备故障,故障设备的诊断,故障设备的恢复或故障排除等措施有关的网络管理功能,其目的是保证网络能够提供连续,可靠的服务 。
故障管理的功能
( 1 ) 检测被管对象的差错,或接收被管对象的差错事件通报;
( 2 ) 当存在空闲设备或迂回路由时,提供新的网络资源用于服务;
( 3 ) 创建和维护差错日志库,并对差错日志进行分析;
( 4 ) 进行诊断和测试,以追踪和确定故障位置,
故障性质;
( 5 ) 通过资源更换或维护,以及其他恢复措施使其重新开始服务 。
计费管理的目的
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价 。 它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源 。 网络管理者还可以规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源 。
计费管理的功能
( 1 ) 统计网络的利用率等效益数据,以使网络管理人员确定不同时期和时间段的费率;
( 2 ) 根据用户使用的特定业务在若干用户之间公平,合理地分摊费用;
( 3 ) 允许采用信用记帐方式收取费用,包括提拱有关资源使用的帐单审查;
( 4 ) 当多个资源同时用来提供一项服务时,
能计算各个资源的费用 。
安全管理的目的
( 1 ) 网络数据的私有性 ( 保护网络数据不被侵入者非法获取 ) ;
( 2 ) 授权 ( 防止侵入者在网络上发送错误信息 ) ;
( 3 ) 访问控制 ( 控制对网络资源的访问 ) 。
安全管理的功能
( 1 ) 创建,删除,控制安全服务和机制;
( 2 ) 与安全相关信息的分发;
( 3 ) 与安全相关事件的通报 。
网络管理功能,系统管理功能与其他管理协议和服务之间的关系如图 6-1所示 。
管理应用软件系统管理功能域配置管理功能域对象管理日志控制安全告警报告测试报告测试管理安全审查追踪公共管理信息服务低层协议关系属性事件报告记帐表负荷监测系统管理功能告警报告状态管理性能管理功能域故障管理功能域计费管理功能域安全管理功能域图 系统管理域与系统管理功能之间的关系
SNMP设计原则
SNMP的设计原则是简单性 (Simplicity)
和扩展性 (Extensibility)。
它的设计思想十分简单:它通过 SNMP的 PDU
来与被管理的对象交互信息,这些对象有对象特有的属性和值 。
SNMP共有五种 PDU,其中两个用来读取数据,
两个用来设置数据,还有一个用来监视网络上发生的事件,如网络故障报警等等 。
SNMP设计原则由于简单,为它的扩充留下很多的余地,
为将来发展创造条件。扩展性主要是通过将管理信息模型与协议、被管理对象的详细规定 (MIB)分离实现;
简单性则是通过信息类型的限制、请求 /
响应机制而取得。由于简单,容易设立,
容易编程而且对网络不会造成很大压力。
管理信息库
S N M P 管理器
SNMP
代理管理信息库
(主机) (网关)
SNMP
代理
SNMP
代理管理信息库
(主机)
.,,,,,,,,
图 SNMP管理模型
SNMP的管理模型网络管理协议代理:为了实现与网络管理站的信息交换,必须有一个相应的软件收集、加工、
处理被管网络设施的信息,同时这个软件负责与网络管理站的通信,这样的软件被称为代理。 代理本身不是被管设施,
但是代表了被管网络设施,每一个代理都有体现相应网络设施的有关信息。
2.简单网络管理协议 SNMP的工作原理
2.SNMP的弱点
没有伸缩型,在大型网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤的情况发生。它将收集数据的负担加在网络管理控制台上,在管理几个网段时也许能轻松的收集网络信息,当它们监控许多网段时,就非常困难了。
6.网络管理工具 Cisco Works
Cisco Works是一个基于 SNMP的网络管理应用系统,它能集成到几种流行的网络管理平台,如 Sun工作站
( SunOS和 Solaris)上的 SunNet Manager,Sun或 HP系统上的 HP OpenView,以及 IBM NetView for AIX。
Cisco Works建立在工业标准平台上,能监控设备状态,
方便地维护配置信息,查找故障。
Cisco Works提供以下主要功能:
自动安装管理; 配置管理;
设备管理; 设备监控; 设备轮询;
通用命令管理器和通用命令调度器;
性能监控; 离线网络分析; 路径工具;
安全管理 ; 实时图形。
内联网的定义和发展内联网,用于组织和共享一个企业内部信息,完成企业事物数字处理的网络。一个内联网使用与因特网上类似的应用程序,
如万维网页、浏览器,E-mail、新闻组和邮件列表,但只有本组织内部的人员才能存取。
防火墙的定义
防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的,潜在破坏性的侵入 。 防火墙本身具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施 。 下图为防火墙示意图 。
内部网络防火墙外部网络图 6-1防火墙网络防火墙示意图如图 6-1所示。
图 防火墙示意图防火墙的发展简史
第一代防火墙:采用了包过滤( Packet
Filter)技术。
第二、三代防火墙,1989年,推出了电路层防火墙,和应用层防火墙的初步结构。
第四代防火墙,1992年,开发出了基于动态包过滤技术的第四代防火墙。
第五代防火墙,1998年,NAI公司推出了一种自适应代理技术,可以称之为第五代防火墙。
图 防火墙技术的简单发展历史设置防火墙的目的和功能
( 1)防火墙是网络安全的屏障
( 2)防火墙可以强化网络安全策略
( 3)对网络存取和访问进行监控审计
( 4)防止内部信息的外泄防火墙的技术分类
1.包过滤防火墙
2.代理防火墙
1.包过滤防火墙
( 1)数据包过滤技术的发展:静态包过滤、动态包过滤。
( 2)包过滤的优点:不用改动应用程序、
一个过滤路由器能协助保护整个网络、
数据包过滤对用户透明、过滤路由器速度快、效率高。
( 3)包过滤的缺点:不能彻底防止地址欺骗;
一些应用协议不适合于数据包过滤;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略;安全性较差 ;
数据包工具存在很多局限性。
TCP协议 --保留端口号:
53 -- 域名服务器
69 -- 简单文件传输 tftp
111-RPC远程过程调用
UDP协议 --保留端口号:
20-- 文件传输服务器(数据连接) --ftp-data
21 -- 文件传输服务器(控制连接) --ftp
23 -- Telnet服务器 — telnet
25 -- 电子 邮 件服务器 — smtp
其他端口:
rlogin,rsh,rexec:513,514,512
2.代理防火墙
( 1)代理防火墙的原理:
代理防火墙通过编程来弄清用户应用层的流量,并能在用户层和应用协议层间提供访问控制;而且,还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。
代理服务防火墙如图所示。
图 代理服务器内部网络外部主机
Internet
内部主机代理服务
( 2)应用层网关型防火墙:
主要保存 Internet上那些最常用和最近访问过的内容:在 Web上,代理首先试图在本地寻找数据,如果没有,再到远程服务器上去查找。为用户提供了更快的访问速度,并且提高了网络安全性。应用层网关防火墙最突出的优点就是安全,缺点就是速度相对比较慢。
图 应用层网关防火墙防火墙的常见体系结构
1.屏蔽路由器 (如图 6.10所示 )
2.双穴主机网关 (如图 6.11所示 )
3.屏蔽主机网关 (如图 6.12所示 )
4.被屏蔽子网 (如图 6.13所示 )
图 6.10 屏蔽路由器示意图
(分组过滤路由器)
图 6-10包过滤防火墙过滤路由器
Internet Intranet
图 6.11 双穴主机网关示意图双宿主网关图 6.12 屏蔽主机网关示意图主机过滤防火墙过滤主机图 6.13 被屏蔽子网防火墙示意图子网过滤防火墙子网过滤结构如图所示防火墙的局限性
( 1)防火墙防外不防内。
( 2)防火墙难于管理和配置,易造成安全漏洞。
( 3)很难为用户在防火墙内外提供一致的安全策略。
( 4)防火墙只实现了粗粒度的访问控制。
防火墙设计实例
防火墙产品选购策略
典型防火墙产品介绍
防火墙设计策略
Windows 2000环境下防火墙及 NAT
的实现防火墙产品选购策略
1.防火墙的安全性
2.防火墙的高效性
3.防火墙的适用性
4.防火墙的可管理性
5.完善及时的售后服务体系典型防火墙产品介绍
1,3Com Office Connect Firewall
新增的网络管理模块使技术经验有限的用户也能保障他们的商业信息的安全。
Office Connect Internet Firewall 25使用全静态数据包检验技术来防止非法的网络接入和防止来自 Internet的,拒绝服务,攻击,
它还可以限制局域网用户对 Internet的不恰当使用。
Office Connect Internet Firewall
DMZ可支持多达 100个局域网用户,这使局域网上的公共服务器可以被
Internet访问,又不会使局域网遭受攻击。
3Com公司所有的防火墙产品很容易通过 Getting Started Wizard 进行安装。
它们使整个办公室可以共享 ISP提供的一个 IP地址,因而节省开支。
2,Cisco PIX防火墙
( 1)实时嵌入式操作系统。
( 2)保护方案基于自适应安全算法
( ASA),可以确保最高的安全性。
( 3)用于验证和授权的,直通代理,
技术。
( 4)最多支持 250 000个同时连接。
( 5) URL过滤。
( 6) HP Open View集成。
( 7)通过电子邮件和寻呼机提供报警和告警通知。
( 8)通过专用链路加密卡提供 VPN支持。
( 9)符合委托技术评估计划( TTAP),经过了美国安全事务处( NSA)的认证,同时通过中国公安部安全检测中心的认证
( PIX520除外)。
防火墙技术发展动态和趋势
( 1)优良的性能
( 2)可扩展的结构和功能
( 3)简化的安装与管理
( 4)主动过滤
( 5)防病毒与防黑客
