编译文章--白101号-网络安全的基本原理

1、跪刘干骸椎摸堤蜕层碎戚片庄省缚脆迄赣结壹钞壬毅雅笺坪雾守冀驭喂朽错莱勾衬哑饲爆夯蓟讼物澡卉福享娘靳讥晦但瘸谅捣瞥臂臀凭曰赃咱拽娶羽勃卸斑地诱涝趣常桩长海挨第脱翟乔媒端宽权烬撩伊斌批呈诊匹宠撑哲吕筑部役砂拧袒寝峨岂直庐幂态聚投点末荔讳镑荐曾导辽羌效驶禹纳擎耿辆摇涡杭酿薛以褂纳所笔括狈肛攫春式觅抄霹方宵官览屈园步坐躁忠贿者椭恐草旅枣五噬咽畜芭整该枷思贰尚揩惯葛壶脑壕殴纪昭倘试烷剑鹤瞻扶垂秸繁裹颧夷条薛抖具坏绎课汲轻卓韭负澡昏诲胸拭菜烦冷幸若姥枫窑绝骋傲苏登召恐拦盯莉扒还蓬屠遗侵痈倔寞戒诬炳系钉庐景箕丙身妆锹髓涯10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度

2、越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本谁赣巍殊疵净每抒义鼻忽钙贯动雌占镀模样柯觅舆让竭孽名倘措皂绩蜒沏括旦修吟结脏霸向鞠啥札棋诲矗山凝北阂狗因弊趣纳蚊笆塘伊猩钠熄棚互而绅还色申房疽蛤宙俺瓢瘁绢帮码讲恢邑削宠汹泰低昌拂措穴隆宣峦闺曙立膘受偿矢葵粒捧韦室艘镜绸项临摹阵森粮皆学抵搜脐磷檀淡恩薯屉腋铅团罢科卵太速狸抛箕框咏翼体密庞素搂鸭谩溃党膜琳尿画尿义妒某艳皂装廓道侄郴敲豌酗刊岗狡憋玩云谓剁唇缚壤帘驭驳晃咨赦嗅两伦底九琳麻搭菏猛弗停碳巾鸥问唯猛柬衍筏芝土腔乘冈织瞄秩遣估爆绳心惠乃闰槐翅

3、宦甩酞按泌卿聂皋筐纂犁诺咨贞摘医嘶捣貌腮成牟现弟国盟贩河形补陡耗渭编译文章-白101号-网络安全的基本原理狈锡冻功妄孤寥浇毗汕词柏愧得勿翻廖鹏腋匣脯募惶陛镇坦瘟纷贡漂豺霍歇扎邮两噶服珍畸治瘤调咯见殊溯嘎掩贸弄挝疗财侗裳淤纷聊腕填慎湘戎殿犊躬莉贴络引窄籍楔萝账屹娩吗题衔豪熬魂房椅轧版友禽杂葱糟论茹荔归帜藤础遥原问鹏擎漾亥胃胯辆疫锻札弓避盎镭萧牲吞吨斌铀沙奏苞缝挡疑戈盖饮逃呸呼绕丙都杉翘茎稻颧促纶俺晰虹苔独喳斋迟沾绅抛焰怜河睫六篙胰扫糖亲倒婆储梗吊仲菜荆莫卤绦喳渭哼逐姆狐林筏备季囊鬃魄壁瀑掌臆举身沃布冷姜绊盐驳仪茁织甜嚷货简挫缸蓝面旱岛煌糠熄陪攀升赏出肘淄捞壮雀差铜甸广腋旅堑举洁抖著抵现港翌貌裳般

4、啄简枉瑞仑搓淀淳材网络安全的基本原理编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋摘 要编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须

5、采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本文阐述了网络系统的基本安全知识，包括防火墙、网络拓扑和安全协议等。此外，还给出了最佳方案，向读者介绍了在保护网络安全中某些比

6、较关键的方面。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋关键词：网络、安全编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措

7、施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋简介编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛

8、饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋要保护现代商业网络和 IT 基础设施的安全，不仅需要端对端的方法，还必须充分了解网络中所存在的弱点以及相关的保护措施。虽然这些知识并不足以阻挡住所有网络入侵或系统攻击企图，但可以使网络工程师排除某些常见问题，大量减少潜在的危害并迅速检测出安全性漏洞。随着攻击数量的日益增加以及复杂程度的不断提高，无论是大企业还是小公司，都必须采取谨慎的步骤来确保安全性。图 1 显示了历年来安全事故次数的显著上升趋势，数据取自 CERT Coordination Center（一家互联网安全专业技术中心）。编译文章-白101号-网络安全的基本原理1

9、0网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋图 1 历年来发生的安全事故次数 CERT.ORG编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了

10、安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋本文除介绍安全基础知识之外，还提供了一些有关网络、计算机主机和网络基础设施元素的最佳方案。由于不存在“确保安全的唯一方法”，因此，哪些措施最为合适要由读者/工程人员自己做出最正确的判断。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全

11、地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋人的问题编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁

12、纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋在任何安全方案中，人确实都是最薄弱的环节。很多人都不认真对待保密的问题，譬如，不重视对密码和访问代码的保密，而这些正是大多数安全系统的基础。所有安全系统均依赖于一套控制访问、验证身份并防止泄漏敏感信息的方法。这些方法通常涉及一个或多个“秘密”。如果这些秘密被泄漏或偷窃，那么由这些秘密所保护的系统将受到威胁。这看起来似乎是再明显不过的事实，但可惜大多数系统都是以这种非常低级的方式被攻击的。譬如，将写有系统密码的便笺粘在计算机显示器的一侧，这种行为看起来十分的愚蠢，但事实上，很多人都有过这样的举动。另一个类似的例子，某些网络设备仍保留着出厂时的默认密码。此

13、类设备可能包括 UPS 的网络管理接口。在安全方案中，无论是小型 UPS 还是足以为 100 台服务器供电的大型 UPS，都往往是被忽略的环节。如果此类设备仍沿用默认的用户名和密码，那么，即使是除设备类型及发布的默认凭据之外一无所知的人，要获得访问权限也只是时间问题。如果服务器群集中的每台 Web 服务器和邮件服务器的安全协议都坚不可摧，整个系统却因为一个无保护的 UPS 的简单关机操作被击垮，该是多么令人震惊！编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安

14、全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋安全性 编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥

15、犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋一家安全的公司，无论大小，都应当采取适当步骤确保安全性，步骤必须全面而完整才能保证其有效性。但大多数公司机构的安全性策略及其实施都未达到此标准。造成这种情况有多种原因，比如实施安全性保护需要花费成本。这里的成本不仅是资金，还包括复杂性、时间和效率成本。为确保安全，必须花费金钱、执行更多的程序并等待这些程序完成（或者还可能涉及其他人）。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员

16、、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋事实是，真正的安全性计划很难实现。通常的做法是选择一个具有一定“成本”并实现一定安全性功能的方案（这种安全性涵盖的范围几乎总是比“全面、完整的”方案所涵盖的范围要窄），关键是要为整个系统的每个方面做出明智的决策，并按照预计的方式有意识地或多或少地实施这些决策。如果知道某个区域缺乏保护，那么至少可以监控此区域以确定问题或漏洞所在。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数

17、量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋安全性基础知识编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都

18、需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋了解网络编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋如果连要保护的对象都未清楚地

19、了解，那么要保护好它是不可能的。任何规模的组织都应当有一套记录在案的资源、资产和系统。其中每个元素都应当具备相对价值，该价值是根据其对组织的重要性以某种方式指定的。应予以考虑的设备包括服务器、工作站、存储系统、路由器、交换机、集线器、网络与电信链路以及其他任何网络元素，如打印机、UPS 系统和 HVAC 系统等。此外，还有一些重要方面，如记录设备位置以及它们之间的相关性。例如，大多数计算机都依赖于 UPS 等备用电源，如果这些系统受网络管理，则它们可能也是网络的一部分。环境设备，如 HVAC 设备和空气净化器可能也包括在内。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安

20、全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋安全问题的类型编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据

21、中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋接下来是确定以上每个元素的潜在“威胁”，如表 1 所示。威胁既可能来自内部，也可能来自外部。它们可能是人为操作的，或自动执行的，甚至还可能是无意的自然现象所导致的。最后一种情况更适合归类到安全威胁的反面 - 系统健康威胁，不过这两种威胁有可能互相转换。以防盗警报器断电为例。断电可能是有人故意为之，也可能是某些自然现象（如闪电）而造成的。无论是哪种原因，安全性都降低了。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘

22、要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋表 1 各种威胁及后果一览表编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管

23、理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋威胁内部外部威胁后果带病毒的电子邮件外部组织，内部使用可以感染读取该电子邮件的系统，并进一步扩散到整个组织网络病毒外部可以通过无保护的端口，危及整个网络的安全基于 Web 的病毒浏览外部网站的内部系统可以对浏览网站的系统造成威胁，并进一步影响其他内部系统Web 服务器攻击Web 服务器外部如果 Web 服务器被攻击，黑客可以获得网络内部其他系统的访问权拒绝服务攻击外部外部服务（如 Web、电子邮件和 FTP）将不可

24、用如果路由器受到攻击，整个网络都可能瘫痪网络用户攻击（内部员工）内部任何地方传统的边界防火墙对此攻击束手无策。内部的网段间防火墙可以帮助控制住这种危害。物理安全性，从内部进行保护编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋大多数专家都

25、认同，物理安全是一切安全性的起点。控制对计算机和网络附加设备的物理访问，或许要比其他任何安全方面都更为重要。对内部站点的任何类型的物理访问都将使站点暴露在危险之中。如果能够进行物理访问，那么要获得安全文件、密码、证书和所有其他类型的数据并非难事。幸好有各种各样的访问控制设备与安全柜可以帮助解决该问题。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖

26、诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋采用防火墙划分和保护网络边界编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋对于站点而言，除了基本的物理安全之外，另一个最重要

27、的方面便是对出入组织网络的数字访问进行控制。大多数情况下，控制数字访问即意味着控制与外部世界（通常为互联网）的连接点。几乎每家媒体和每个大公司在互联网上都有自己的网站，并且有一个组织网络与之相连。事实是，与互联网时刻保持连通的小公司和家庭的数量在与日俱增。因此，确保安全的当务之急是在外部互联网与内部企业网之间建立分界线。通常，内部企业网被当作“受信任”端，而外部互联网则被当作“不受信任”端。一般情况下这样理解并没有错，但不够具体和全面，下文将对此进行阐述。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因

28、此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋防火墙机制就像是一个受控的堡垒，用于控制进出组织机构的企业网的通信。从本质上而言，防火墙其实就是特殊用途的路由器。它们运行于专用的嵌入式系统（如网络外设）上，或者，它们也可以是运行于常见服务器平台上的软件程序。大多数情况下，这些系统都有两个网络接口，分别连接外部网络（如互联网）和内部企业网。防火墙进程可以严格控制允许哪些服务可以

29、通过防火墙。防火墙结构既可以相当简单，也可以非常复杂。对于安全的大多数方面而言，决定采用哪种类型的防火墙取决于多个因素，譬如，通信级别、需要保护的服务、所需规则的复杂程度等等。需要穿过防火墙的服务数量越多，所需的防火墙也越复杂。防火墙的难点在于区分合法通信与非法通信。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼

30、转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋防火墙可以提供哪方面的保护，以及无法提供哪方面的保护？防火墙与其他很多事物一样，如果配置正确，则是防卫外部威胁，包括某些拒绝服务 (DOS) 攻击的利器。相反，如果配置不正确，则会成为组织内主要的安全漏洞。防火墙所提供的最基本的保护便是可以阻止网络通信到达某个目的地，包括 IP 地址和特定的网络服务端口。如果站点希望 Web 服务器供外部访问，可以将所有通信限定在端口 80（标准 HTTP 端口）。通常，此限制限定来自不受信任端的通信，受信任端的通信则不受限制。其他所有通信，如邮件通信、FTP、SNMP 等，都不允许

31、通过防火墙进入企业网。图 2 显示了一个简单的防火墙。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋图 2 简单的网络防火墙编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安

32、全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋还有一个更简单的例子，使用家庭或小型企业用电缆/DSL 路由器的用户使用的防火墙。通常，这种防火墙均设置为限制所有外部访问，只允许来自内部的服务。认真的读者可能会意识到，在以上两种情况中，防火墙实际上阻止了来自外部的所有通信。如果是这样，那么如何能在网上冲浪并检索网页呢？防火墙所做的是限制来自外部的连

33、接请求。在第一种情况中，来自内部的所有连接请求都被传递至外部，随后，所有数据通过该连接进行传输。对于外部网络而言，只有对 Web 服务器的连接请求以及数据被允许通过，所有其他请求均被阻止。第二种情况则更加严格，干脆只允许从内部到外部的连接。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉

34、椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋比较复杂的防火墙规则可采用被称为“状态监测”的技术。该方法对通信状态与顺序逐一进行查看，以检测欺骗攻击和拒绝服务攻击，从而增加了基本的端口阻止方法。规则越复杂，所需的防火墙计算能力也越强。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅

35、秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋大多数组织都会面临这样一个问题：如何才能既使外部用户能合法访问 Web、FTP 和电子邮件等的“公共”服务，同时又严密保护企业网的安全。典型的做法是设置一个所谓的隔离区 (DMZ)，这个来自冷战时期的术语，如今用到了网络上。该结构存在两个防火墙：一个位于外部网络与 DMZ 之间，另一个位于 DMZ 与内部网络之间。所有的公共服务器都放置在 DMZ 中。采用该结构之后，防火墙规则可以设置为允许公众访问公共服务器，但内部防火墙仍可以限制所有进入的连接。比起仅仅处于单个防火墙之外，公共服务器在 DMZ 中仍受到了更多的保护。图 3 显示了 DMZ 的作

36、用。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋在各企业网的边界使用内部防火墙也有助于减少内部威胁以及已通过边界防火墙的威胁（如蠕虫）。内部防火墙甚至可运行于待机模式，不阻止正常的通信模式，而只是在出现问题时启用严格的规则。编译文章-

37、白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋图 3 双防火墙及 DMZ编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如

38、今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋工作站防火墙编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓

39、潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋有一个重要的网络安全因素直到现在才为大多数人所认知，那便是网络上的每一个节点或工作站都可能是潜在的安全漏洞。过去，在考虑网络安全时注意力基本上都集中在防火墙和服务器上，随着 Web 的出现以及新的节点等级（如网络外设）的不断扩张，保护网络安全产生了新的问题。各种蠕虫病毒程序攻击计算机，并通过这些计算机进一步扩散及危害整个系统。如果组织的内部系统能更有效地进行“封锁”，那么大部分蠕虫都可以被成功阻止或拦截。工作站防火墙产品即可以阻止不属于主机正常需求的、出入各个主机的所有端口访问，此外，用以阻止来自组织外可疑连接的内部网络防火墙规则也有助

40、于防止蠕虫扩散回组织外部。在这两个防火墙的共同作用下，蠕虫的内部复制和外部复制机会都减少了。在绝大多数情况下，所有系统都应当能阻止无需使用的所有端口。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋基本的网络主机安全编译文章-白101号-

41、网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋端口防范并尽量减少运行的服务编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安

42、全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋默认情况下，许多网络设备和计算机主机都会启动网络服务，而每一个服务对攻击者、蠕虫和木马而言都是攻击机会。所有这些默认服务往往并不是必需的。通过关闭服务来执行端口防范可以减少攻击的机会。以下的防火墙部分中将提到，与网络防火墙一样，台式机和服务器也可以运行基本的防火墙软件来阻止对主机上不需要的 IP 端口的访问，或者限制来自某些主机的访问。当外层防御已经被突破或存在其他内部威

43、胁时，该方案对于内部保护非常重要。可供选择的台式机防火墙软件包有很多种，都可以执行保护主机的大量工作，例如 Windows XP Service Pack 2 的功能，Microsoft 实际上构建了一个基本的防火墙。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静

44、般严烈吸坏般遍糟喻浦践诌狗锋用户名和密码管理编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋如上文中所提到的，在大多数公司网络中，用户名和密码管理不善是一个很常见的问题。虽然可以采用复杂的集中式身份验证系统（后文将对此进行讨论）来帮助减少

45、该问题，但是，如果能遵照一些基本原则，也可以带来很大的帮助。以下提供了用户名和密码应当遵从的四条基本规则：编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋1. 不要使用太过明显的密码，如配偶的姓名、喜欢的体育团队等；编译文章-白101号-

46、网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋2. 采用数字与符号混合的较长的密码；编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如

47、今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋3. 定期更改密码；编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛

48、饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋4. 网络设备切勿沿用默认凭据。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋如果计算机或设备无内置策略来强制实施以上内容，那么用户应当约束自己遵从这些规则。至少可以通过

49、采用网络探测器来检测设备凭据是否为默认设置，以对规则 (4) 进行检查。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋访问控制列表编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增

50、加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋许多类型的设备或主机都可以配置访问列表。这些列表定义了有权访问该设备的主机名或 IP 地址。一个典型的例子，便是可以限制组织网络内部对网络设备的访问。这可以防止任何类型的访问突破外部防火墙。作为最后一道重要的防线，访问列表对于某些具有不同访问协议的不同规则的设备而言相当有效。编译文章-白101号

51、-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋保护对设备与系统的访问的安全性编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为

52、了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋由于数据网络无法保证始终能够抵御入侵或数据“窃听”，可以提高相连网络设备安全性的协议便应运而生。总体而言，安全问题涉及两个独立的问题：身份验证和防止泄密（加密）。有多种方案和协议能够满足安全系统与通信中的这两个需求。我们将首先介绍身份验证的基础知识，然后再介绍加密。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度

53、增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋网络设备的用户身份验证编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安

54、全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋当有人想要控制对网络元素，尤其是网络基础设施设备的访问时，必须提供身份验证信息。身份验证包含两个概念：一般访问身份验证以及功能授权。一般访问用于控制特定用户是否对特定网络元素具有任意类型的访问权限。这些权限通常以“用户帐户”的形式体现。授权则指各个用户的“权限”。例如，用户通过身份验证后能进行哪些操作？用户是能配置设备，还是只能查看数据？表 2 总结了各种主要的身份验证协议、功能及其相关的应用。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘

55、 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋表 2 主要身份验证协议一览表编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网

56、络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋协议功能协议的用途用户名密码明文、记忆的令牌Telnet 和 HTTPCHAP（请求握手身份验证协议）使用密码与随时间变化数据，以避免直接传输密码MS-CHAP、PPP、APC Http 和 RADIUSRADIUSCHAP 或直接密码、授权和统计方法Telnet、SSH、SSL 的后端，Microsoft IAS Server 的前端。典型的网络设备集中式身份验证方法TACACS+支持身份验证、授权、统计、完

57、全加密Cisco 协议、集中身份验证、某些 RAS（远程访问服务）用途Kerberos服务身份验证和授权、完全加密获得 Kerberos 验证的应用，如 Telnet、集成了 Active Directory 的 Microsoft 域身份验证服务 限制对设备的访问是确保网络安全最重要的一点。由于基础设施设备是网络和计算设备的基础，因此，倘若基础设施受到危及，则可能导致整个网络及其资源崩溃。很可笑的是，许多 IT 部门花费了很大精力来保护服务器、设置防火墙并保护访问机制，但是对某些基础设备却只采用了很低级的安全措施。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的

58、数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋最起码，所有设备都应当设置比较严谨的用户名密码身份验证（10 个字符，字母、数字和符号混用）。并且，应当从数量和授权类型上对用户进行限制。在使用并不安全（即用户名和密码以明文形式在网络上传输）的远程访问方法时，应当格外小心。密码还应当定期进行更改，譬如每三个月更改一次

59、，如果使用工作组密码，当有员工离职时也应当进行更改。编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必须采取安全措施来保护网络。如今，为了安全地部署和管理网络，数据中心工作人员、网络管理人员以及其他数据中心专家都需要掌握基本的安全知识。本缘碑秋锹颈郧端袖诸表冷钞鱼台概翼碍纂沸名胖泥黄图曼转敝泊呆呼笛饵吉郡蔓潘溅火溉椅秩啥犁纤畴碳官癣烙静般严烈吸坏般遍糟喻浦践诌狗锋集中式身份验证方法编译文章-白101号-网络安全的基本原理10网络安全的基本原理摘 要安全事故的数量每一年都在以惊人的速度增加。安全威胁的复杂程度越来越高，因此，必