1
第 7章
网络管理与网络安全
2
本章内容
7.1 网络管理
7.2 网络安全
7.3 Windows NT,2000的安全与管理
7.4 防火墙
3
7.1 网络管理
?ISO网络管理模型
?性能管理
7.1.1 网络管理体系的基本结构
性能管理包括网络吞吐量、用户响应时间和线
路利用率
性能管理包括 3个主要步骤
?收集网络管理员指定的性能变量数据
?分析数据,确定正常标准
?确定每一个重要性能变量的临界值,一旦超
出,表明网络出现问题,需要注意
4
?配置管理
?记账管理
监控网络和系统的配置信息,以便跟踪和管理不
同版本的硬件和软件对网络的影响
通过测量网络资源利用率,来调节网络资源的使用
?故障管理
尽可能自动修复网络故障,确保网络的正常运行
?安全管理
根据局部规则来控制对网络资源的访问,使网络不
会遭受无意或有意的破坏,并防止非授权用户访问
网络
5
7.1.2 简单网络管理协议
?简单网络管理协议
是 TCP/IP应用层一个协议,用于在网络设备之间
交换管理信息。
?被管理的设备
?代理
?网络管理系统
?SNMP管理信息库
是一个信息集合,分层组织
6
7.2.1 影响网络安全的因素和可以采
取的措施
?影响网络安全的因素
?内部因素
7.2 网络安全
有一定级别权限的用户有可能威胁网络安全
?外部威胁
外部的非法访问和攻击会威胁网络安全
7
?硬件安全
?软件故障
?信息安全
?病毒的攻击
硬件本身可能会损坏,电压、电流的突变,事故和
灾害的发生,日常的消耗和磨损
硬件故障或病毒发作而引起的程序出错,软件本身
的缺陷,软件被删除、更改
数据文件被删除或丢失,数据被篡改、盗用,或者
在传输过程中被窃取
病毒是一种影响广泛的威胁,能通过网络广泛传播,
最终影响整个网络的正常运行
8
?可以采取的安全措施
?提高安全意识
?采用身份认证和控制访问
遵守安全法规,加强管理,经常检查及时发现不
安全的隐患,堵塞漏洞
在传输和下载信息和邮件时警惕病毒的传播,注
意自身口令的安全
通过口令、注册等手段,可以保证只有指定的合
法用户才能进入特定的系统
使用授权的方法可以控制用户能够获得的服务的
种类和资源的使用权限
9
?使用防火墙
?采用信息加密技术
防火墙是隔离内部网络与外部网络的安全措施,用
来保护内部网不受外界的非法侵害
防火墙可以限制和过滤访问的来源和访问的目标,
也可限制访问者使用的服务,阻止非法用户侵入
?做好故障恢复和网络数据备分工作
为防止信息被窃取和篡改,应对关键信息进行加密
必须具有数据备份、恢复手段,以及产生严重故障
后的系统恢复功能
?做好硬件设备的防泄漏处理
对重要信息存储、转发等设备进行屏蔽,抑制传
输线路的辐射,对终端设备辐射进行必要的防范
10
7.2.2 安全技术基础
?认证、授权和访问控制
?认证
验证一个最终用户和设备的声明身份
?授权
把访问权授予一个用户、用户组或指定系统
?访问控制
限制系统资源中的信息流向,规定资源信息
只能流到网中已授权的用户和系统
11
?计算机网络的安全策略
?物理安全策略
目的是保护计算机系统、网络服务器和打印机
等硬件实体和通信链路免受破坏或攻击
?访问控制策略
是网络安全防范和保护的主要策略,主要任务
是保证网络资源不被非法使用和访问
?TCP/IP中的安全
TCP/IP协议不同层中对应不同的安全协议
12
?传输层
?安全套接字层 SSL协议
指定了在应用程序协议和 TCP/IP之间提供数据
安全性分层的机制,为 TCP/IP连接提供数据加
密、服务器认证、消息完整性以及可选的客户机
认证
?安全外壳 SSH协议
用于远程登录和其它网络服务安全的协议,提供
对远程安全登录、安全文件传输,TCP/IP与各
种 Window系统通信量进行转发的支持
?套接字安全性 SOCKS协议
基于传输层的网络代理协议,用于 TCP和 UDP领
域,为客户机、服务器应用程序提供一个框架,
以便安全地使用网络防火墙的服务
13
?应用层
安全超文本传输协议 SHTTP。是面向消息的通信
协议,用于保护使用 HTTP协议的消息的安全
?网络层
IP安全 Ipsec。在 IP层提供保密性和认证服务,
提供的安全服务有访问控制、无连接完整性、
数据源认证、拒绝重放包、加密性和有限的流
量保密性
14
?“桔皮书”和“红皮书”
“桔皮书” 的用途是提供专门的硬件、固件和软
件的安全规范和有关的技术评价方法来支持综合
自动数据处理系统的安全模型策略。
“红皮书”是美国家计算机安全中心发表的“可
信计算机系统评价规范的可信网络描述”。“红
皮书”是解释“桔皮书”的一个手册,将 C2规范
的各个方面都从网络角度加以描述,惟一重要的
不同的是规定了网络发起人的作用。
15
7.3 Windows NT,2000的
安全与管理
7.3.1 Windows NT安全模式
?Windows NT提供的安全措施
Windows NT提供了 6层的安全措施,其中第二至
第五保护层构成 Windows NT安全模式的基础
16
?第二层 操作系统中的安全机制和特性保护层
?安全的体系结构
可防止外部人员改动系统中的代码或数据结构
?无条件访问控制
将对象的控制权分配给系统的用户
?用户识别
鉴定用户登录的合法性
?审核
审核系统中所有对象的防卫,监视系统、应用程序和
安全事件
?加密
在服务器和线路上自动为用户密码口令加密
?事务跟踪
防止未完成的事务毁掉服务器上的数据
?磁盘镜像和 RAID分条
将不同类型的磁盘结合变成容错镜像和磁盘阵列
17
?第三层 管理层安全措施
?对象重用
系统使用的任何对象在重新放置到系统重用前,清除原
先该对象附带的所有访问权限
?域结构
能更好地利用系统的管理能力,合理选择安全策略和
操作
?账户属性
系统可以设置用户账户(或组)的访问权
?委托关系
通过委托建立多个逻辑计算机组之间的安全连路
?用户配置文件
为网络用户规定用户环境变量
?登录脚本
用户登录上网后用来运行应用程序、设置环境变量
18
?第四层 Windows登录 ID保护层
?主目录
可分配给用户,也可与配置文件一起用来制定用户环境
?本地账户和全局账户
规定用户账户如何与网络进行交互操作
?用户 ID与口令
要求用户有一个账户和密码口令
?用户组
将拥有同样访问权限的用户统一管理
?第五层 Windows资源访问权保护层
?远程访问安全性
规定用户是否可以使用远程访问特性来访问网络资源
?共享级访问保护
设置共享参数,规定用户访问和使用共享网络资源的方法
?NTFS层上保护
进一步限制用户对 NTFS分区上的目录和文件的访问
19
7.3.2 Windows 2000的管理
?Windows 2000的用户管理
?用户账户和用户密码的管理
账户和密码有一定的规则,包括账户长度,密
码的有效期,登录失败的锁定,登录的历史记
录等等,通过对这些信息的修改可以保证用户
账户的安全使用
?域名管理
凡在共享域范围内的用户都使用公共的安全机
制和用户账户信息。每个用户有一个账户,每
次登录的是整个域,而不是某一个服务器
20
?用户组权限
?共享资源权限
一般根据用户访问网络的类型和等级给用户分组
组分为“全局组”和“本地组”,有相应的资源
权力和权限的授予规则
允许用户指定他人共享其资源
资源共享后,可以限制某些用户对他的访问权限,
这称为共享权限的限制
针对不同的用户,可以利用资源共享及资源权限
来创建不同的资源安全级别
21
?Windows 2000的日常维护
应定期备份关键数据,以备系统故障时恢复,数据有
?用户账号数据
?安全策略数据
?注册库文件等
?监视系统、网络运行状况的工具
?事件察看器
与审核功能结合,可以纪录非法用户的侵入、
攻击,普通用户的未经许可的访问
?网络监视器
捕获和显示计算机从局域网上接收的帧,诊断
硬件和软件问题
?系统性能监视器
可以收集和查看大量有关管理的计算机中硬件
资源使用和系统服务活动的数据
22
?Windows 2000微软管理控制台 (MMC)
是一个基于 Windows的多文档接口应用程序,是
为管理应用程序而设计的通用的控制台框架
?MMC可实现的目标
?为所有的管理工具提供单一的管理框架
?方便任务的委派
?降低了系统的总成本
23
7.3.3 Windows 2000网络打印机管理
?打印机有两种连接方式
?通过服务器的打印端口直接连接打印机
?通过网络直接连接网络型打印机或其它计算
机共享出来的打印机
?打印机的安装
24
7.4 防火墙
7.4.1 防火墙的概念
防火墙是一种将内部网和公众网分开的方法,是一
种隔离技术,是用来控制网络通信流的手段
?堡垒主机
高度暴露于 Internet的设备。设计思想是把整个
网络的安全问题集中在某个主机点上解决,让
它吸引所有攻击,达到保护其它主机的目的
?双宿主机
有两个网络接口的计算机系统,一个接内部网,
一个接外部网
25
?屏蔽路由器
一种根据过滤原则对数据包进行阻塞和转发的路由器,也
叫过滤路由器
?屏蔽子网
位于屏蔽路由器后面的子网,它能被访问的程度取决于
路由器的屏蔽原则
?代理服务器
一种代表客户和真正服务器通信的程序,在应用层实现
?隧道路由器
一种特殊的路由器,可以对数据包进行加密,让数据通
过非信任网,然后在另一端用同样的方法对所加密包进
行解密
? UTM(统一威胁管理 )
采用多种技术组合的方式来完成维护网络安全的工作,实
现对病毒和入侵的扫描和保护
26
7.4.2 防火墙技术
?包过滤技术
对数据包的源地址、目的地址和 TCP端口号等信
息进行检查,过滤掉被禁止的数据包,从而限制
数据包进出内部网络
?状态检查技术
采用一个在网关上执行网络安全策略的软件引擎,
(检查模块),抽取相关数据对网络通信的各层
实施监测,抽取的数据构成状态信息并动态存储,
作为制订安全决策的参考
27
?地址翻译技术 (NAT )
将一个 IP地址用另一个 IP地址代替
主要模式
?静态翻译
按照固定的翻译表,将主机的内部地址翻译成防火墙的
外网接口地址
?动态翻译
一个大的用户群共享一个或一组小的 Internet IP地址
?负载平衡翻译
一个 IP地址和端口被翻译为同等配置的多个服务器,
防火墙按照一个算法来平衡所有连接到内部的服务器
?网络冗余翻译
多个连接被附加在一个 NAT防火墙上,防火墙根据负
载和可用性对连接进行选择和使用
28
?主动检测技术
基于一种主动监测的程序,监控整个网络,同时
维护一个用来记录各种攻击模式的数据库。当发
现网络中存在与数据库中的某一模式匹配的情况,
并推断可能遭受的攻击时,则立即报警或切断相
关连接,以保护内部网络的安全
新一代的防火墙中采用了主动检测技术
?代理技术(应用层网关)
在应用层实现防火墙功能,针对每一个特定应用
都有一个程序
29
7.4.3 防火墙策略
?网络服务访问策略
一种高层次、具体到事件的策略,用于定义网络
中允许的或禁止的网络服务,且包括对拨号访问
等连接的限制
?防火墙设计策略
针对具体的规则来实施的网络服务访问策略。防
火墙一般执行下面两种基本设计策略中的一种
?未禁止的都是允许的服务
?未允许的都是禁止的服务
30
7.4.4 防火墙的设置和使用
?过滤型防火墙
?包过滤防火墙
能够根据单个包的 TCP,UDP,ICMP,IP
报头来决定允许或拒绝通信,它审查每一个
数据包以确定其是否与某一条包过滤规则匹
配,可以综合考虑通信流量的方向,IP源地
址和目的地址、以及 TCP或 UDP的源端口号
和目的端口号
31
?屏蔽主机防火墙
将所有的外部主机与一台堡垒主机相连接,再设置
一个过滤路由器作为桥梁,就构成了屏蔽主机防火墙
提供的安全等级比包过滤防火墙系统要高,实现了
网络层安全(包过滤)和应用层安全(代理服务)
?屏蔽子网防火墙
屏蔽子网本质上与屏蔽主机一样,但增加了周边网
络一层保护
周边网络用了两个包过滤路由器和一台堡垒主机
32
?清华紫光 UniSecure系列 UF3500防火墙
是一个为局域网连接到 Internet网及内部网间连接
服务的网络安全解决方案,兼有防火墙和流量控
制等功能,无丢包数据通过率为 70Mbps
?综合网络级包过滤、应用级代理服务器等技
术可根据 IP地址和 TCP/IP协议制定相应的
防火墙安全策略
?可根据实际网络情况制定或修改防火墙安全
策略
?具有网络地址转换功能
33
?UF3500的连接
?硬件接口
?管理端口 用户通过此端口对防火墙进行管理
?内部接口 用于连接内部重点保护的网络或网段
?中立接口 用于连接安全管制相对可以放松的网络
或网段
?外部接口 用于连接外部网络或网段
?连线方式
接口 连接交换机 /集线器 连接路由器 /主机
外部 直接连接 交叉连接
内部 直接连接 交叉连接
中立 直接连接 交叉连接
34
?配置方法
通过防火墙的前面板上的管理口进行配置以外,
还可以通过网络使用 HTTP协议进行连接
?配置操
作的步骤
①单击菜单
中的系统按
钮,出现系
统项包含的
内容
日期和时间:设置防
火墙系统时间
重启:列出相应
动作,如 恢复,
关闭和重启
配置:配置文件
的上载、下载、
查看和打印
升级:通过 Web管
理界面升级
DNS:为防火墙
配置 DNS服务,
输入相应的地址网络接口:根据实际网络配置相应的内部,外部、中立
区的 IP地址及其掩码
35
② 单击菜单中的“管理”按钮,弹出管理项对话框
管理员:列出管
理员信息及密码
透明模式:列出透明
模式的内容
当需要保护同一子网
上的两个分离的局域
网时使用透明模式
Web管理:管理员设
定外部、中立区上的
计算机是否能够访问
页面管理界面的权利报警邮件:可输入两
个邮件地址,当防火
墙攻击保护触发时,
向此地址发出警告
36
③ 单击菜单中的防火墙按钮,出现防火墙项包含的内容。
保护:列出可阻止的
攻击类。当检测到有
表中的攻击时会向
“警告电子邮件设置”
的地址发送邮件
绑定:列出本网络
将 Mac地址与 IP地
址进行的绑定情况
地址簿:列出 IP地
址和网络的定义
服务:列出常见的
服务,不能删除
时间表:列出指定的
时间范围。在范围以
外将被禁止执行
37
④ 单击
菜单中
的策略
按钮,
弹出策
略项对
话框,
这里采
用透明
模式,
只有一
个内部
到外部
项
允许或拒绝内部、外部或
中立区上的入与出的连接。
可以编辑已经建立的策略,
也可以建立新的策略
38
⑤ 单击菜单中的监视按钮,出现监视项包含的内容。
监测设置:选择是否将
监测信息进行远程发送,
选择是否使用安全、事
件和传输监测
安全日志:列出防
火墙记录的所有攻
击监测信息
安全日志:列出防
火墙记录的所有攻
击监测信息
安全日志:列出防
火墙记录的所有攻
击监测信息
事件日志:列出所
有对防火墙配置的
修改记录,有事件
的描述和时间
第 7章
网络管理与网络安全
2
本章内容
7.1 网络管理
7.2 网络安全
7.3 Windows NT,2000的安全与管理
7.4 防火墙
3
7.1 网络管理
?ISO网络管理模型
?性能管理
7.1.1 网络管理体系的基本结构
性能管理包括网络吞吐量、用户响应时间和线
路利用率
性能管理包括 3个主要步骤
?收集网络管理员指定的性能变量数据
?分析数据,确定正常标准
?确定每一个重要性能变量的临界值,一旦超
出,表明网络出现问题,需要注意
4
?配置管理
?记账管理
监控网络和系统的配置信息,以便跟踪和管理不
同版本的硬件和软件对网络的影响
通过测量网络资源利用率,来调节网络资源的使用
?故障管理
尽可能自动修复网络故障,确保网络的正常运行
?安全管理
根据局部规则来控制对网络资源的访问,使网络不
会遭受无意或有意的破坏,并防止非授权用户访问
网络
5
7.1.2 简单网络管理协议
?简单网络管理协议
是 TCP/IP应用层一个协议,用于在网络设备之间
交换管理信息。
?被管理的设备
?代理
?网络管理系统
?SNMP管理信息库
是一个信息集合,分层组织
6
7.2.1 影响网络安全的因素和可以采
取的措施
?影响网络安全的因素
?内部因素
7.2 网络安全
有一定级别权限的用户有可能威胁网络安全
?外部威胁
外部的非法访问和攻击会威胁网络安全
7
?硬件安全
?软件故障
?信息安全
?病毒的攻击
硬件本身可能会损坏,电压、电流的突变,事故和
灾害的发生,日常的消耗和磨损
硬件故障或病毒发作而引起的程序出错,软件本身
的缺陷,软件被删除、更改
数据文件被删除或丢失,数据被篡改、盗用,或者
在传输过程中被窃取
病毒是一种影响广泛的威胁,能通过网络广泛传播,
最终影响整个网络的正常运行
8
?可以采取的安全措施
?提高安全意识
?采用身份认证和控制访问
遵守安全法规,加强管理,经常检查及时发现不
安全的隐患,堵塞漏洞
在传输和下载信息和邮件时警惕病毒的传播,注
意自身口令的安全
通过口令、注册等手段,可以保证只有指定的合
法用户才能进入特定的系统
使用授权的方法可以控制用户能够获得的服务的
种类和资源的使用权限
9
?使用防火墙
?采用信息加密技术
防火墙是隔离内部网络与外部网络的安全措施,用
来保护内部网不受外界的非法侵害
防火墙可以限制和过滤访问的来源和访问的目标,
也可限制访问者使用的服务,阻止非法用户侵入
?做好故障恢复和网络数据备分工作
为防止信息被窃取和篡改,应对关键信息进行加密
必须具有数据备份、恢复手段,以及产生严重故障
后的系统恢复功能
?做好硬件设备的防泄漏处理
对重要信息存储、转发等设备进行屏蔽,抑制传
输线路的辐射,对终端设备辐射进行必要的防范
10
7.2.2 安全技术基础
?认证、授权和访问控制
?认证
验证一个最终用户和设备的声明身份
?授权
把访问权授予一个用户、用户组或指定系统
?访问控制
限制系统资源中的信息流向,规定资源信息
只能流到网中已授权的用户和系统
11
?计算机网络的安全策略
?物理安全策略
目的是保护计算机系统、网络服务器和打印机
等硬件实体和通信链路免受破坏或攻击
?访问控制策略
是网络安全防范和保护的主要策略,主要任务
是保证网络资源不被非法使用和访问
?TCP/IP中的安全
TCP/IP协议不同层中对应不同的安全协议
12
?传输层
?安全套接字层 SSL协议
指定了在应用程序协议和 TCP/IP之间提供数据
安全性分层的机制,为 TCP/IP连接提供数据加
密、服务器认证、消息完整性以及可选的客户机
认证
?安全外壳 SSH协议
用于远程登录和其它网络服务安全的协议,提供
对远程安全登录、安全文件传输,TCP/IP与各
种 Window系统通信量进行转发的支持
?套接字安全性 SOCKS协议
基于传输层的网络代理协议,用于 TCP和 UDP领
域,为客户机、服务器应用程序提供一个框架,
以便安全地使用网络防火墙的服务
13
?应用层
安全超文本传输协议 SHTTP。是面向消息的通信
协议,用于保护使用 HTTP协议的消息的安全
?网络层
IP安全 Ipsec。在 IP层提供保密性和认证服务,
提供的安全服务有访问控制、无连接完整性、
数据源认证、拒绝重放包、加密性和有限的流
量保密性
14
?“桔皮书”和“红皮书”
“桔皮书” 的用途是提供专门的硬件、固件和软
件的安全规范和有关的技术评价方法来支持综合
自动数据处理系统的安全模型策略。
“红皮书”是美国家计算机安全中心发表的“可
信计算机系统评价规范的可信网络描述”。“红
皮书”是解释“桔皮书”的一个手册,将 C2规范
的各个方面都从网络角度加以描述,惟一重要的
不同的是规定了网络发起人的作用。
15
7.3 Windows NT,2000的
安全与管理
7.3.1 Windows NT安全模式
?Windows NT提供的安全措施
Windows NT提供了 6层的安全措施,其中第二至
第五保护层构成 Windows NT安全模式的基础
16
?第二层 操作系统中的安全机制和特性保护层
?安全的体系结构
可防止外部人员改动系统中的代码或数据结构
?无条件访问控制
将对象的控制权分配给系统的用户
?用户识别
鉴定用户登录的合法性
?审核
审核系统中所有对象的防卫,监视系统、应用程序和
安全事件
?加密
在服务器和线路上自动为用户密码口令加密
?事务跟踪
防止未完成的事务毁掉服务器上的数据
?磁盘镜像和 RAID分条
将不同类型的磁盘结合变成容错镜像和磁盘阵列
17
?第三层 管理层安全措施
?对象重用
系统使用的任何对象在重新放置到系统重用前,清除原
先该对象附带的所有访问权限
?域结构
能更好地利用系统的管理能力,合理选择安全策略和
操作
?账户属性
系统可以设置用户账户(或组)的访问权
?委托关系
通过委托建立多个逻辑计算机组之间的安全连路
?用户配置文件
为网络用户规定用户环境变量
?登录脚本
用户登录上网后用来运行应用程序、设置环境变量
18
?第四层 Windows登录 ID保护层
?主目录
可分配给用户,也可与配置文件一起用来制定用户环境
?本地账户和全局账户
规定用户账户如何与网络进行交互操作
?用户 ID与口令
要求用户有一个账户和密码口令
?用户组
将拥有同样访问权限的用户统一管理
?第五层 Windows资源访问权保护层
?远程访问安全性
规定用户是否可以使用远程访问特性来访问网络资源
?共享级访问保护
设置共享参数,规定用户访问和使用共享网络资源的方法
?NTFS层上保护
进一步限制用户对 NTFS分区上的目录和文件的访问
19
7.3.2 Windows 2000的管理
?Windows 2000的用户管理
?用户账户和用户密码的管理
账户和密码有一定的规则,包括账户长度,密
码的有效期,登录失败的锁定,登录的历史记
录等等,通过对这些信息的修改可以保证用户
账户的安全使用
?域名管理
凡在共享域范围内的用户都使用公共的安全机
制和用户账户信息。每个用户有一个账户,每
次登录的是整个域,而不是某一个服务器
20
?用户组权限
?共享资源权限
一般根据用户访问网络的类型和等级给用户分组
组分为“全局组”和“本地组”,有相应的资源
权力和权限的授予规则
允许用户指定他人共享其资源
资源共享后,可以限制某些用户对他的访问权限,
这称为共享权限的限制
针对不同的用户,可以利用资源共享及资源权限
来创建不同的资源安全级别
21
?Windows 2000的日常维护
应定期备份关键数据,以备系统故障时恢复,数据有
?用户账号数据
?安全策略数据
?注册库文件等
?监视系统、网络运行状况的工具
?事件察看器
与审核功能结合,可以纪录非法用户的侵入、
攻击,普通用户的未经许可的访问
?网络监视器
捕获和显示计算机从局域网上接收的帧,诊断
硬件和软件问题
?系统性能监视器
可以收集和查看大量有关管理的计算机中硬件
资源使用和系统服务活动的数据
22
?Windows 2000微软管理控制台 (MMC)
是一个基于 Windows的多文档接口应用程序,是
为管理应用程序而设计的通用的控制台框架
?MMC可实现的目标
?为所有的管理工具提供单一的管理框架
?方便任务的委派
?降低了系统的总成本
23
7.3.3 Windows 2000网络打印机管理
?打印机有两种连接方式
?通过服务器的打印端口直接连接打印机
?通过网络直接连接网络型打印机或其它计算
机共享出来的打印机
?打印机的安装
24
7.4 防火墙
7.4.1 防火墙的概念
防火墙是一种将内部网和公众网分开的方法,是一
种隔离技术,是用来控制网络通信流的手段
?堡垒主机
高度暴露于 Internet的设备。设计思想是把整个
网络的安全问题集中在某个主机点上解决,让
它吸引所有攻击,达到保护其它主机的目的
?双宿主机
有两个网络接口的计算机系统,一个接内部网,
一个接外部网
25
?屏蔽路由器
一种根据过滤原则对数据包进行阻塞和转发的路由器,也
叫过滤路由器
?屏蔽子网
位于屏蔽路由器后面的子网,它能被访问的程度取决于
路由器的屏蔽原则
?代理服务器
一种代表客户和真正服务器通信的程序,在应用层实现
?隧道路由器
一种特殊的路由器,可以对数据包进行加密,让数据通
过非信任网,然后在另一端用同样的方法对所加密包进
行解密
? UTM(统一威胁管理 )
采用多种技术组合的方式来完成维护网络安全的工作,实
现对病毒和入侵的扫描和保护
26
7.4.2 防火墙技术
?包过滤技术
对数据包的源地址、目的地址和 TCP端口号等信
息进行检查,过滤掉被禁止的数据包,从而限制
数据包进出内部网络
?状态检查技术
采用一个在网关上执行网络安全策略的软件引擎,
(检查模块),抽取相关数据对网络通信的各层
实施监测,抽取的数据构成状态信息并动态存储,
作为制订安全决策的参考
27
?地址翻译技术 (NAT )
将一个 IP地址用另一个 IP地址代替
主要模式
?静态翻译
按照固定的翻译表,将主机的内部地址翻译成防火墙的
外网接口地址
?动态翻译
一个大的用户群共享一个或一组小的 Internet IP地址
?负载平衡翻译
一个 IP地址和端口被翻译为同等配置的多个服务器,
防火墙按照一个算法来平衡所有连接到内部的服务器
?网络冗余翻译
多个连接被附加在一个 NAT防火墙上,防火墙根据负
载和可用性对连接进行选择和使用
28
?主动检测技术
基于一种主动监测的程序,监控整个网络,同时
维护一个用来记录各种攻击模式的数据库。当发
现网络中存在与数据库中的某一模式匹配的情况,
并推断可能遭受的攻击时,则立即报警或切断相
关连接,以保护内部网络的安全
新一代的防火墙中采用了主动检测技术
?代理技术(应用层网关)
在应用层实现防火墙功能,针对每一个特定应用
都有一个程序
29
7.4.3 防火墙策略
?网络服务访问策略
一种高层次、具体到事件的策略,用于定义网络
中允许的或禁止的网络服务,且包括对拨号访问
等连接的限制
?防火墙设计策略
针对具体的规则来实施的网络服务访问策略。防
火墙一般执行下面两种基本设计策略中的一种
?未禁止的都是允许的服务
?未允许的都是禁止的服务
30
7.4.4 防火墙的设置和使用
?过滤型防火墙
?包过滤防火墙
能够根据单个包的 TCP,UDP,ICMP,IP
报头来决定允许或拒绝通信,它审查每一个
数据包以确定其是否与某一条包过滤规则匹
配,可以综合考虑通信流量的方向,IP源地
址和目的地址、以及 TCP或 UDP的源端口号
和目的端口号
31
?屏蔽主机防火墙
将所有的外部主机与一台堡垒主机相连接,再设置
一个过滤路由器作为桥梁,就构成了屏蔽主机防火墙
提供的安全等级比包过滤防火墙系统要高,实现了
网络层安全(包过滤)和应用层安全(代理服务)
?屏蔽子网防火墙
屏蔽子网本质上与屏蔽主机一样,但增加了周边网
络一层保护
周边网络用了两个包过滤路由器和一台堡垒主机
32
?清华紫光 UniSecure系列 UF3500防火墙
是一个为局域网连接到 Internet网及内部网间连接
服务的网络安全解决方案,兼有防火墙和流量控
制等功能,无丢包数据通过率为 70Mbps
?综合网络级包过滤、应用级代理服务器等技
术可根据 IP地址和 TCP/IP协议制定相应的
防火墙安全策略
?可根据实际网络情况制定或修改防火墙安全
策略
?具有网络地址转换功能
33
?UF3500的连接
?硬件接口
?管理端口 用户通过此端口对防火墙进行管理
?内部接口 用于连接内部重点保护的网络或网段
?中立接口 用于连接安全管制相对可以放松的网络
或网段
?外部接口 用于连接外部网络或网段
?连线方式
接口 连接交换机 /集线器 连接路由器 /主机
外部 直接连接 交叉连接
内部 直接连接 交叉连接
中立 直接连接 交叉连接
34
?配置方法
通过防火墙的前面板上的管理口进行配置以外,
还可以通过网络使用 HTTP协议进行连接
?配置操
作的步骤
①单击菜单
中的系统按
钮,出现系
统项包含的
内容
日期和时间:设置防
火墙系统时间
重启:列出相应
动作,如 恢复,
关闭和重启
配置:配置文件
的上载、下载、
查看和打印
升级:通过 Web管
理界面升级
DNS:为防火墙
配置 DNS服务,
输入相应的地址网络接口:根据实际网络配置相应的内部,外部、中立
区的 IP地址及其掩码
35
② 单击菜单中的“管理”按钮,弹出管理项对话框
管理员:列出管
理员信息及密码
透明模式:列出透明
模式的内容
当需要保护同一子网
上的两个分离的局域
网时使用透明模式
Web管理:管理员设
定外部、中立区上的
计算机是否能够访问
页面管理界面的权利报警邮件:可输入两
个邮件地址,当防火
墙攻击保护触发时,
向此地址发出警告
36
③ 单击菜单中的防火墙按钮,出现防火墙项包含的内容。
保护:列出可阻止的
攻击类。当检测到有
表中的攻击时会向
“警告电子邮件设置”
的地址发送邮件
绑定:列出本网络
将 Mac地址与 IP地
址进行的绑定情况
地址簿:列出 IP地
址和网络的定义
服务:列出常见的
服务,不能删除
时间表:列出指定的
时间范围。在范围以
外将被禁止执行
37
④ 单击
菜单中
的策略
按钮,
弹出策
略项对
话框,
这里采
用透明
模式,
只有一
个内部
到外部
项
允许或拒绝内部、外部或
中立区上的入与出的连接。
可以编辑已经建立的策略,
也可以建立新的策略
38
⑤ 单击菜单中的监视按钮,出现监视项包含的内容。
监测设置:选择是否将
监测信息进行远程发送,
选择是否使用安全、事
件和传输监测
安全日志:列出防
火墙记录的所有攻
击监测信息
安全日志:列出防
火墙记录的所有攻
击监测信息
安全日志:列出防
火墙记录的所有攻
击监测信息
事件日志:列出所
有对防火墙配置的
修改记录,有事件
的描述和时间