网络管理教案讲课教案

1、网络管理教案精品文档第9章网络管理与网络安全本章主要内容? 网络系统管理的概念和基本功能，简单网络管理协议SNMP的组成及应用,实用网络管理系统；网络安全的基本概念，影响网络安全的因素和网络安全 对策，数据加密的基本概念、常用的加密算法和鉴别技术的应用，网络防火 墙的概念、技术分类和应用。本章要求：? 了解简单网络管理协议的组成及应用? 了解影响网络安全的因素和网络安全对策? 了解数据加密的基本概念、常用的加密方法和鉴别技术的应用? 了解网络防火墙的概念、技术和应用? 掌握网络管理的基本功能、网络安全的基本概念和内涵本章分为六小节：9. 1网络管理概述9. 2简单网络管理协议9. 3常用网络管

2、理系统9. 4网络安全9. 5数据加密技术9. 6防火墙1网络管理概述.网络管理的概念：? 为保证网络系统稳定、高效和可靠运行，对网络的各种软硬件设施和人员进 行的综合管理。网络管理主要是要保障网络设备的正常运行、监控网络的各 项功能、优化网络的拓扑结构等。.网络管理的要求：? 网络管理离不开：?现代网络管理方法和技术；?网络管理工具(网管软件)；?网络管理协议。.网络管理的内容：? 网络管理的基本内容包括：(1)数据通信网中的流量控制(2)路由选择策略管理(3)网络安全保护(4)网络的故障诊断与修复收集于网络，如有侵权请联系管理员删除精品文档.网络管理系统组成：? 网络管理系统是用于实现对网

3、络全面、有效管理和实现网络管理目标的系 统。? 一个网管系统从逻辑上包括管理进程、管理代理、管理信息库和管理协议四部分。? 管理对象：是指网络客户机和网络设备等，如服务器、工作站、集线器、路 由器、交换机、网卡等。这些网络设备对应的具体可以操作的数据等也是网 络管理的对象，如网络设备的工作状态和工作参数等数据。? 管理进程manager ：用于对网络设备和设施进行全面管理和控制的软件。它 驻留在网络管理站上。? 管理代理agent ：驻留在网络管理对象上、配合管理进程进行网络管理的软 件。? 管理信息库MIB :用于记录网络中被管理对象的相关信息。? 管理协议：负责在管理系统和管理对象之间传输

4、操作命令和解释管理操作命 令。? 一个管理进程(manager)可以与多个管理代理 (agent)进行信息交互，同时一个 管理代理也可以接受来自多个管理进程的管理操作。.网络管理功能：? 在OSI 7498-4文件定义的网络管理标准中，将网络管理功的能分为配置管理、性能管理、故障管理、安全管理和计费管理五个功能域。? 网络管理是为网络管理员进行监视、控制和维护网络而设计的。(1)配置管理? 为适应和支持网络中用户、设备、系统的变化，调整软硬件运行参数，以保 证网络正常运行，要进行网络的配置管理。网络配置是指网中每个设备的功 能、点的连接关系和工作参数等，反映的是网络状态。? 配置管理主要包括网

5、络节点地址分配管理、节点接入和撤消的自动管理、远 程加载与转储管理及虚拟网络节点的配置等。配置管理就是用来定义、记 录、控制和检测网络中的被管理对象的集合。(2)性能管理? 性能管理主要是通过收集、分析和测试网络性能参数，评价网络运行过程中 的主要性能指标，为管理机构提供决策依据。? 通常影响网络性能的参数有：网络吞吐量、响应时间、线路利用率、费用、 负载等。? 网络性能管理分为网络监控和网络控制。? 网络监控是对网络工作状态信息的收集和整理；? 网络控制是指为改善网络设备性能而采取的动作和措施。(3)故障管理收集于网络，如有侵权请联系管理员删除精品文档? 网络故障管理 是指对网络系统故P的预

6、防、检测（诊断）、恢复或排除等操作进行管理。其目的是保证网络提供连续、可靠的服务。? 网络故障管理的三步曲：预防、检测（诊断）和排除（恢复、纠正）? 预防：关键数据的存储、备份，硬件的随时维护和更新等。? 检测：检测被管理对象的故障现象，进行系统诊断、测试和分析，以便跟踪 和识别故障，找出故障原因和故障点。? 排除：隔离故障源，尽快排除故障，恢复系统运行。（4）安全管理? 网络安全管理是用来保护网络资源和网络用户的安全。安全管理主要是针对 网络环境的各种人为因素对网络造成的威胁。如非法用户对网络资源的侵害 （盗用、更改和破坏卜合法用户对网络资源的非法访问等。? 安全管理的策略有安全立法、安全行

7、政人事管理、网络软硬件安全保护、系 统访问控制、数据加密保护、采用防火墙技术和防病毒技术等。（5）计费管理? 网络计费管理 就是控制和管理用户使用的网络资源，核算用户费用等。? 计费管理中要核算和计费的网络资源主要包括：硬件资源，软件和数据资 源，网络服务和其他网络设施开销。? 计费管理的作用有二：? 对网络资源的使用情况进行统计，以便系统合理地调度和分配资源， 为用户提供高效的服务。? 核算资源费用，进行系统收费管理。? 大部分企业网对内部用户使用的资源不收取费用，主要是达到第一个目的。? 在实际网络管理过程中网络管理功能非常广泛，包括很多方面。除以上五种 基本功能外还有网络规划、数据库管理

8、、操作人员管理等。.2简单网络管理协议? ISO提出了网络管理协议标准CMIS （公共管理信息服务）和CMIP （公共管理信息协议）。CMIS/CMIP 与OSI/RM 一样，未得到社会的广泛支持，几乎无产 品，只有参考价值。而 TCP/IP的SNMP （简单网络管理协议）得到厂商的一致 支持。. SNMP的发展? SNMP是一个网络应用层协议。网络管理人员使用该协议可以较容易地管理 网络，发现和解决网络问题。?1987 年 11 月因特网工程任务组 IETF （Internet Engineering Task Force）提出了简单网关管理协议 SGMP,随后公布的 SNMP v1即是在S

9、GMP基础上发展起 来的。? SNMPv1是一个简单的协议，在大规模网络上也易于实现。收集于网络，如有侵权请联系管理员删除精品文档?1993年IETF提出的SNMPv2对SNMP v1在数据的分布式管理和安全性方面进行了改进。?1999年公布的SNMPv3对SNMPv2在安全和可管理体系结构方面又有了较大的改进。. SNMP网络管理模型? SNMP网络管理模型：管理进程 (Manager Station) 管理代理(Agent)和管理信 息库(MIB )。? 模型如图示：河格甘町砧厂M生(1)管理进程：? 管理进程(Manager )是网络管理的核心软件，一般是安装在被称为网络管理站”的主机上

10、。在该主机上运行网络管理协议、网络管理支持工具和网络管理 应用软件。? 每个网络中至少有一个网络管理站，它运行管理进程软件，对其它站进行管 理。? Manager完成各种网络管理功能。通过各设备中的管理代理对网络中的各种 资源实施检测和控制。网管操作人员通过 Manager对全网进行管理。(2)管理代理：? 管理代理Agent是驻留在被管理站上的一套软件，它负责执行Manager的管理操作。Agent直接操作本地信息库 MIB ,如果Manager需要，它可根据要 求改变本地 MIB或提取数据传回到 Manager。? Agent可从MIB中读取各种变量值；也可以在MIB中修改各种变量值；并与

11、Manager进行通信，以响应其管理请求。? 被管理站包括主机、网关、服务器、路由器、交换机等网络设备。(3)管理信息库? 管理信息库MIB是一个概念上的数据库。管理代理所收集的包括网络设备的系统信息、资源使用及各网段信息流量等管理信息都存放在MIB中。每个Agent拥有自己的本地 MIB ,各Agent控制的管理对象共同构成全网的管理 信息库。收集于网络，如有侵权请联系管理员删除精品文档? MIB包括报文分组计数、出错计数、用户访问计数、IP路由选择表等。? Manager通过查看MIB的内容实现对网络的检测，通过修改 MIB的内容完 成对网络的控制。? SNMP提供的是面向无连接的服务，采

12、用轮询法进行管理。Manager每隔一段时间向每个Agent发出询问，以获取管理信息。当被管理对象发生紧急情 况时，Agent主动向Manager汇报。. SNMP的命令：? SNMP定义了一套用于 Manager和Agent之间进行通信的命令，通过这些命 令来实现管理功能。? SNMP的操作主要有四类：存、取、陷阱和通知。? 取（Get）操作： 有 get request get next request get bulk request 和 get response 等命令，主要是从 Agent那里取得指定的 MIB变量值和对这些取请求的响 应。? 写（Set）操作： 有set reque

13、st和set response命令，用于写入 Agent指定的MIB 变量值和对写操作的响应。? 陷阱（Trap）操作：用于当网络发生错误或出现紧急情况时，Agent立即向网络管理站报警，不需等待接收方响应。? 通知（Inform ）操作：有Inform request和Inform response命令，用于在不同的 管理进程之间发送管理信息和陷阱信息，及收到这些信息的响应。SNMPv2? SNMP的优点是简单、便捷，因此得到了广泛应用。但它还存在着诸如不能 有效地传输大块数据，不能将网络管理功能分散化，安全性能不够理想等缺 点。?1996年推出的SNMPv2能够克服上述缺点，但在安全性方面

14、也过于复杂。? SNMPv2采用了较好的分散化管理方法。在一个网络中可以有多个顶级管理 站，每个管理站管理网络的一部分代理进程，并指派若干个代理进程使之具 有管理其他代理进程的功能。3常用网络管理系统常见的作为网络管理者运行的网络管理系统软件有：HP公司的Open View ,IBM 公司的 NetView , SUN 公司的 SunNet Manager , Cabletron 公司的 SPECTRUM 和 Novell 公司的 NetWare Manage Wise 。HP Open View 是第一个综合的实用的网络管理系统，SunNet Manager是第一个基于UNIX的网络管理系统

15、，但它们都不能提供对NetWare、SNA、DECnet、X.25和无线通信交换机及其他非SNMP设备的管理功能。? NetWare Manage Wise 提供对 NetWare操作系统的管理功能。? Cabletron SPECTRUM 是一个可扩展的、智能的网络管理系统。它支持收集于网络，如有侵权请联系管理员删除精品文档NetWare操作系统和 Apple TalK、IPX等协议。. 4网络安全网络安全概述（1）网络安全的概念?网络安全”可理解为 网络系统不存在任何威胁状态”。为防范诸如病毒的破坏、黑客的入侵、计算机犯罪、人为的主动或被动攻击等威胁，而采取一些 措施则可保证网络系统的安全

16、。? 网络安全是指采取各种技术和管理措施防止网络中各种资源不被有意或无意 地破坏和侵害等。? 网络系统安全主要涉及系统的可靠性、软件和数据的完整性、可用性和保密 性几方面的问题。系统的可靠性：保证网络系统不因各种因素的影响而中断正常工作；数据的完整性：保护网络系统中存储和传输的软件（程序）与数据不被非法操作，如删除、添加、更改等；数据的可用性：保证数据完整的同时还能被正常利用和操作；数据的保密性：数据的保密性主要是利用密码技术对数据进行加密处理，保证在系统中存储和网络上传输的数据不被无关人员识别。（2）网络安全级别：? 美国国防部开发的计算机安全标准可信计算机系统标准评价准则将安全 级别分为四

17、类七级：? D1级（安全的最低级）：该级不设置任何安全保护措施，软硬件都容易被侵袭。MS-DOS、Windows 95/98等系统为 D1级（缺乏保护）? C1级（选择性安全保护级）：硬件采取简单安全措施（加锁），登录认证和访问权限制不能控制已登录用户的访问级别。早期的Unix/Xenix、NetWare 3.x等属于该级。? C2级（访问控制环境级）：比C1级增加了系统审计、跟踪记录、安全事件等 特性。Unix、NetWare 4.x及以上版、Windows NT等属于该级。是保证敏感 信息安全的最低级。? B1级（标记安全保护级）：B1级系统拥有者为政府机构和防御承包商。? B2 级：结构

18、化安全级（Structured Protection）? B3 级：安全域级（Security Domain）收集于网络，如有侵权请联系管理员删除精品文档? A1级：验证设计级(Verity Design),最高安全级。网络系统的威胁：? 无意威胁是在无预谋的情况下破坏了系统的安全性、可靠性或资源的完整性 等? 无意威胁主要是由一些偶然因素引起，如软、硬件的机能失常，不可避免的 人为错误，电源故障和自然灾害等。? 故意威胁实际上就是 人为攻击由于网络本身存在缺陷，因此总有某些人 或某些组织想方设法利用网络系统达到某种目的，如从事工业、商业或军事 情报的搜集工作的间谍，对相应领域的网络信息是最感

19、兴趣的，他们对网络 系统的安全构成了主要威胁。? 被动攻击和主动攻击：对网络系统的攻击，可从随便浏览信息到使用特殊技术对系统进行攻击以得到有针对性的信息。这些攻击又可分为被动攻击和主 动攻击。? 被动攻击是指攻击者只通过观察网络线路上的信息，而/、十扰信息的正常流 动，如被动地搭线窃听或非授权地阅读信息；? 主动攻击 是指攻击者对传输中的信息或存储的信息进行各种非法处理，如有 选择地更改、插入、延迟、删除或复制信息。? 被动攻击不易被发现，但较容易处理，如采用加密技术即可。? 主动攻击容易被觉察，但不容易防止，可采用加密技术、签名技术和鉴别技 术解决? 通常，系统的故意威胁有如下四种情况：?

20、中断：指系统资源遭到破坏或变得无法使用，是对系统可靠性的攻 击；? 窃取：指未被授权的实体得到了资源的访问权，是对数据保密性的攻 击；? 修改：指未被授权的实体不仅得到了资源的访问权，而且还篡改了资 源，是对数据完整性的攻击；? 捏造：指未被授权的实体向系统中插入伪造的对象，是对数据真实性的 攻击。以上四种情况除窃取属被动攻击外，其余都是主动攻击类型。(4)网络系统的脆弱性? 系统脆弱性就是指网络系统中安全防护的弱点。网络本身存在着一些固有的 弱点(脆弱性)，非法用户利用这些脆弱性对系统进行非法访问，将使系统 内数据的完整性受到威胁，也可能使信息遭到破坏而/、能继续使用。? 网络系统的脆弱性主

21、要表现有：操作系统的脆弱、数据库系统的脆弱、电磁泄漏、数据的可访问性、通信协议和通信系统的脆弱、网络存储介质的脆 弱、介质的剩磁效应、保密的困难性和信息的聚生性等。收集于网络，如有侵权请联系管理员删除精品文档? 操作系统的脆弱性：网络操作系统体系结构本身就是不安全的-操作系统程序具有动态连接性；操作系统可以创建进程，这些进程可在远程节点上创建与 激活，被创建的进程可以继续创建其他进程；NOS为维护方便而预留的无口令入口也是黑客的通道。? 计算机系统本身的脆弱性：硬件和软件故障-硬盘故障、电源故障、芯片主板故障、操作系统和应用软件故障；存在超级用户，如果入侵者得到了超级用 户口令，整个系统将完全

22、受控于入侵者。? 通信系统和通信协议的弱点：通信线路面对各种威胁就显得非常脆弱，非法用户可对线路进行物理破坏、搭线窃听；TCP/IP及FTP、E-mail、NFS、WWW 等都存在安全漏洞，E-mail中潜伏着电子炸弹、病毒等，WWW 中使用的通用网关接口程序、Java Applet程序等都能成为黑客的工具，黑客采用远程访问、直接扫描等攻击防火墙。? 通信系统和通信协议的弱点：通信线路面对各种威胁就显得非常脆弱，非法用户可对线路进行物理破坏、搭线窃听；TCP/IP及FTP、E-mail、NFS、WWW 等都存在安全漏洞，E-mail中潜伏着电子炸弹、病毒等，WWW 中使用的通用网关接口程序、J

23、ava Applet程序等都能成为黑客的工具，黑客采用远程访问、直接扫描等攻击防火墙。? 数据库系统的脆弱性：由于DBMS对数据库的管理是建立在分级管理的概念上，因此，DBMS的安全也是可想而知；DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处；黑客通过探访工具可强行登录和越 权使用数据库数据；数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。? 网络电磁泄漏：网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽 而造成电磁信息辐射，从而造成信息泄漏。? 数据的可访问性：数据可容易地被拷贝而不留任何痕迹；网络用户在一定的条件下，可以访问系统中的所有数据，并可将其拷贝

24、、删除或破坏掉。(5)计算机病毒? 计算机病毒是一种能破坏计算机系统资源的特殊计算机程序。它可在系统中 生存、繁殖和传播。计算机病毒具有隐蔽性、传播性、潜伏性、触发性和破 坏性。它一旦发作，轻者会影响系统的工作效率，占用系统资源，重者会毁 坏系统的重要信息，甚至使整个网络系统陷于瘫痪。? 计算机病毒侵入网络系统将会造成巨大的损失。因此，计算机病毒的防护工 作应成为保证网络系统安全性的一项重要内容。对付计算机病毒要以预防为 主，采取消除传染源、切断传染途径、保护易感染源等措施，增强网络系统 对计算机病毒的识别和抵抗力。网络安全策略和措施(1)安全策略模型收集于网络，如有侵权请联系管理员删除精品文

25、档? 一个常用的网络安全策略模型是 PDRR模型，。PDRR是四个英文单词的字 头：Protection （防护）、Detection（检测）、Response（响应）和 Recovery（恢复）。防护? 安全策略的第一关就是防护。防护就是根据系统已知的可能安全问题采取一 些预防措施，如打补丁、访问控制、数据加密等，不让攻击者顺利入侵。防 护是PDRR模型中最重要的部分。防护可以预防大多数的入侵事件。防护可 分为三类：系统安全防护、网络安全防护和信息安全防护。检测? 安全策略的第二关是检测。攻击者如果穿过防护系统，检测系统就会检测出 来。防护系统可以阻止大多数的入侵事件，但不能阻止所有的入侵事

26、件。特 别是那些利用新的系统缺陷、新攻击手段的入侵。如果入侵事件发生，就启 动检测系统进行检测。该系统叫IDS（入侵检测系统）。响应? 一旦检测出入侵，响应系统则开始响应，进行事件处理。响应工作由特殊部门（计算机紧急响应小组）负责。世界上第一个计算机紧急响应小组叫 “CERT,我国的第一个计算机紧急响应小组叫“CCERT。上海交通大学的计算机紧急响应小组就叫 “ sjtu CERT。恢复? 系统恢复是指事件发生后，把系统恢复到原来状态或比原来更安全的状态。恢复也分为系统恢复和信息恢复两方面内容。? 系统恢复是指修补缺陷和消除后门。? 信息恢复是指恢复丢失的数据。（2）网络安全策略? 安全立法：

27、设立各种法律来减少计算机犯罪案? 安全行政人事管理：设立安全管理机构，制定人事安全管理、系统安全管理和行政安全管理职责。? 网络实体安全：网络中的硬件、软件和数据都是系统资源。网络实体安全保 护就是指采取一定措施对网络的硬件系统、数据和软件系统等资源实体进行 保护和对自然与人为灾害的防护。? 系统访问控制：设置一些系统访问控制措施和技术，保证对网络系统的所有 操作是合法的、认可的。如规定哪些用户可访问网络系统，他们能访问系统 的哪些资源，他们对于这些资源能使用到什么程度等问题。? 数据加密保护：就是采取一定的技术和措施，对网络系统中存储的数据和要 在线路上传输的数据进行加密变换，使得变换后的数

28、据不能被无关的用户识 另L保证数据的保密性。数据加密保护通常是采用密码技术进行信息加密、 数字签名、用户验证和非否认鉴别等措施实现。网络安全机制和安全服务收集于网络，如有侵权请联系管理员删除精品文档? 国际标准化组织ISO于1989年2月公布的ISO7498-2网络安全体系结构”文 件，主要包括网络安全机制和网络安全服务两方面的内容。? 文件中规定 网络安全机制 有八项：加密机制、数字签名机制、访问控制机 制、数据完整性机制、鉴别交换机制、信息量填充机制、路由控制机制和公 证机制。? 文件中规定的网络安全服务有六项：对等实体鉴别服务、访问控制服务、数 据保密性服务、数据完整性服务、数据源鉴别服

29、务和非否认服务。9. 5数据加密技术.密码学的基本概念? 密码学(Cryptology)是一门古老的学科。近年来，密码学研究之所以十分活 跃，主要原因是它与计算机科学的蓬勃发展密切相连。此外，还有防止日益 广泛的计算机犯罪的需要。密码技术应用于计算机网络中的实例越来越多。? 密码学从其发展来看，可分为两大阶段：传统密码学和计算机密码学。? 第一阶段：传统密码学。主要是靠人工进行信息加密、传输和破译? 第二阶段：计算机密码学。?1.传统方式计算机密码学? 2.现代方式计算机密码学? 对称密钥密码体制? 公开密钥密码体制? 密码学 包括密码编码学和密码分析学两部分，这两部分相互对立，但也相互 促进

30、，相辅相成。? 密码编码学研究的是通过编码技术来改变被保护信息的形式，使得编 码后的信息除指定接收者之外的其他人都不可理解? 密码分析学研究的是如何攻破一个密码系统，恢复被隐藏起来的信息 的本来面目? 加密在网络上的作用就是防止有价值的信息在网上被窃取并识别；? 基于加密技术的鉴别的作用是用来确定用户身份的真实性和数据的真实性。? 加密：把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文 形式的过程? 明文(Plain Text):原来的信息(报文)、消息，就是网络中所说的报文 (Message)? 密文(Cipher Text):经过加密后得到的信息? 解密：将密文还原为明文的过程

31、? 密钥(Key)：加密时所使用的一种专门信息(工具)? 密码算法(Algorithm):加密和解密变换的规则(数学函数)，有加密算法和解密 算法收集于网络，如有侵权请联系管理员删除精品文档? 如果加密密钥和解密密钥相同或相近，由其中一个很容易地得出另一个，这 样的系统称为 对称密钥系统，加密和解密密钥都是保密的；如果加密密钥与 解密密钥不同，且由其中一个不容易得到另一个，则这种密码系统是非对称密钥系统，往往其中一个密钥是公开的，另一个是保密的。? 前者也称为 传统密钥密码体制，后者称为 公开密钥密码体制。.对称密钥密码体制：? 也叫传统密钥密码体制，其基本思想就是加密密钥和解密密钥相同或相近

32、”。? 典型的对称密钥密码体制算法是DES算法。DES算法2) 3DES 和 IDEA 算法4. DES和RSA算法的特点和比较DES的特点：可靠性较高；加密/解密速度快；算法容易实现，通用性强；密钥位数少，算法具有对称性，容易被穷尽攻击； 密钥管理复杂。RSA算法的特点：密钥管理简单(网上每个用户仅保密一个密钥，且不需密钥配送)；便于数字签名；可靠性较高(取决于分解大素数的难易程度 )； 算法复杂，加密/解密速度慢，难于实现。.通信加密方式? 可采用链路加密和端-端加密的方式对网络系统中传输的信息加以保护。(1)链路加密? 链路加密(Link Encryption)是传输数据仅在数据链路层上

33、进行加密。(2)端一端加密? 端-端加密(End-to-End Encryption)是传输数据在应用层上完成加密的。? 端-端加密是对两个用户之间传输的数据提供连续的安全保护。数据在初始节 点上被加密，直到目的节点时才能被解密，在中间节点和链路上数据均以密 文形式传输。.鉴别技术(1)鉴别技术概述? 网络安全系统的一个重要方面是防止非法用户对系统的主动攻击，如伪造信 息、篡改信息等。收集于网络，如有侵权请联系管理员删除精品文档? 鉴别(Authentication也叫验证)是防止主动攻击的重要技术。鉴别的目的就是 验证一个用户身份的合法性和用户间传输信息的完整性与真实性。? 鉴别包括报文鉴别

34、和身份验证。? 报文鉴别 是为了确保数据的完整性和真实性，对报文的来源、时间性 及目的地进行验证。? 身份验证是验证进入网络系统者是否是合法用户，以防非法用户访问 系统。(2)数字签名? 数字签名(Digital Signature)可解决手写签名中的签字人否认签字或其他人伪造 签字等问题。因此，被广泛用于银行的信用卡系统、电子商务系统、电子邮 件以及其他需要验证、核对信息真伪的系统中。身份验证? 身份验证一般涉及两个过程，一个是识别，一个是验证。? 识别是指要明确访问者是谁，即要对网络中的每个合法用户都有识别能力。 要保证识别的有效性，必须保证能代表用户身份的识别符的惟一性。? 身份验证的方

35、法有：口令验证、个人持证验证和个人特征验证三类。? 令法最简单，系统开销也小，但其安全性也最差；? 持证为个人持有物，如钥匙、磁卡、智能卡等。它比口令法安全性 好，但验证系统比较复杂。磁卡常和PIN 一起使用；(4)报文鉴别? 报文鉴别是指在两个建立通信联系的用户之间，每个用户对收到的信息验证 其真伪，以保证所收到的信息是真实的。? 报文鉴别又称完整性校验，在银行业称为消息认证，在 OSI安全模型中称为 封装9.6防火墙.防火墙概述? 防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系 统。它是一种计算机硬件和软件系统的集合，是实现网络安全策略的有效工 具之一，被广?

36、地应用到Internet与Intranet之间。收集于网络，如有侵权请联系管理员删除精品文档? 通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外 界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部 网的不安全访问和通行安全访问。? 防火墙是由软件和硬件组成的，可以说：? 所有进出内部网络的通信流都应该通过防火墙。? 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。? 理论上，说防火墙是穿不透的。? 一般，防火墙具有以下功能：? 强化网络安全策略，集中化的网络安全管理；? 记录和统计网络访问活动；

37、? 限制暴露用户点，控制对特殊站点的访问；? 网络安全策略检查。.防火墙技术及分类? 防火墙技术大体上分为两类：网络层防火墙技术和应用层防火墙技术。? 这两个层次防火墙的具体分别叫包过滤防火墙和代理服务器滤防火墙(1)包过滤防火墙? 包过滤防火墙是最简单的防火墙，通常它只包括对源IP地址和目的IP地址及端口的检查。? 包过滤防火墙通常是一个具有包过滤功能的路由器。因为路由器工作在网络层，因此包过滤防火墙又叫网络层防火墙。? 包过滤是在网络的出口 (如路由器上)对通过的数据包进行检测，只有满足条件 的数据包才允许通过，否则被抛弃。这样可以有效地防止恶意用户利用不安 全的服务对内部网进行攻击。?

38、网络上传输的每个数据包都包括两部分：数据部分和包头。包头中含有源地址和目的地址信息。? 包过滤是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合收集于网络，如有侵权请联系管理员删除精品文档标准的包头，过滤掉不应入站的信息(路由器将其丢弃)? 过滤路由器与普通路由器的差别在于：? 普通路由器只简单地查看每一数据包的目的地址，并选择数据包发往目标地 址的最佳路径。当路由器知道如何发送数据包到目标地址，则发送该包；如 果不知道如何发送数据包到目标地址，则返还数据包，通知源地址数据包不能到达目标地址”。? 过滤路由器将更严格地检查数据包，除了决定是否发送数据包到其目标外， 还决定它是否应该发

39、送。应该”或 不应该”由站点的安全策略决定，并由过滤路由器强制执行。? 放置在内部网与Internet之间的过滤路由器，不但要执行转发任务，而且它是 唯一的保护系统；如果过滤路由器的安全保护失败，内部网将被暴露；如果 一个服务没有提供安全的操作要求，或该服务由不安全的服务器提供，包过 滤路由器则不能保护它。? 在对包作出路由决定时，普通路由器只依据包的目的地址引导包，而包过滤 路由器要依据路由器中的包过滤规则作出是否引导该包的决定。? 包过滤路由器以包的目标地址、包的源地址和包的传输协议为依据，确定允 许或不允许某些包在网上传输。? 包过滤方式有许多优点，主要优点之一就是用一个放置在重要位置上

40、的包过 滤路由器即可保护整个网络。? 这样，不管内部网的站点规模多大，只要在路由器上设置合适的包过滤，各 站点均可获得良好的安全保护。(2)代理服务器防火墙? 代理服务是运行在防火墙主机上的特定的应用程序或服务程序。防火墙主机 可以是有一个内部网接口和一个外部网接口的双穴(Duel Homed)主机，也可以是一些可以访问Internet并可被内部主机访问的堡垒主机。? 代理服务位于内部用户和外部服务之间。代理程序在幕后处理所有用户和 Internet服务之间的通信以代替相互间的直接交谈。? 对于用户，代理服务器给用户一种直接使用真正”服务器的感觉，对于真正的服务器，代理服务器给真正服务器一种在代理主机上直接处理用户的假 象。? 用户将对真正”服务器的请求交给代理服务器，代理服务器评价来自客户的 请求，并作出认可或否认的决定。如果一个请求被认可，代理服务器就代表 客户将请求转发给 真正”的服务器，并将服务器的响应返回给代理客户。.防火墙应用系统? 一般，构成防火墙的体系结构有