计算机网络实用技术第8章网络管理与安全

计算机网络实用技术第8章网络管理与平安本章将对网络管理的相关概念和简单网络管理协议SNMP进行讲解。并且，还要介绍网络平安方面的根底知识及一些网络平安设备。计算机网络实用技术8.1网络管理的根本概念网络管理是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。计算机网络实用技术8.1网络管理的根本概念1．网络管理的目标〔1〕网络应是有效的，能准确及时地传递信息。〔2〕网络应是可靠的，能稳定地运转。〔3〕网络要有开放性，能够接收多厂商生产的异种设备。〔4〕网络要有综合性，能够提供综合业务。〔5〕网络要有很高的平安性。〔6〕网络要有经济性，这种经济性不仅是对网络建设者、经营者而言，也是对用户而言的。计算机网络实用技术8.1网络管理的根本概念2．网络管理的任务〔1〕状态监测。通过状态监测，可以获得分析网络各种性能的原始数据。〔2〕数据收集。要了解网络的状态，还需要将分散监测到的有用数据收集到一起。〔3〕状态分析。利用各种模型，根据收集到的监测数据对网络的状态进行分析、判断。〔4〕状态控制。根据状态分析的结果对网络采取控制措施。计算机网络实用技术8.1网络管理的根本概念3．网络管理的功能〔1〕配置管理，定义、识别、初始化、控制和监测被管对象功能的集合，包括以下几项。①定义被管对象，给每个被管对象分配名字。②定义用户组。③删除不需要的被管对象。④设置被管对象的初始值。⑤处理被管对象间的关系。计算机网络实用技术8.1网络管理的根本概念3．网络管理的功能〔2〕故障管理，实时监控网络中的故障，对故障原因做出论断，对故障进行排除，保证网络的正常运行，包括以下几项。①检测被管对象的过失，或接受过失报告。②创立和维护过失日志库，并对其进行分析。③进行诊断，以跟踪和识别过失。④通过恢复措施，恢复正确的网络效劳。⑤网络实时备份。计算机网络实用技术8.1网络管理的根本概念3．网络管理的功能〔3〕计费管理，记录用户使用网络的情况并核收费用，包括以下几项。①易于更新且费率可变。②允许使用信用记账收费。③能根据用户组的不同进行不同的收费。④收费依据为“进程〞或“效劳〞。计算机网络实用技术8.1网络管理的根本概念3．网络管理的功能〔4〕平安管理，保证网络不被非法使用，包括以下几项。①与平安措施相关的信息分发。②与平安相关的事件通知。③与平安相关的设施建设、控制和删除；④涉及平安效劳的网络操作事件的记录、维护和查阅等日志管理工作。计算机网络实用技术8.1网络管理的根本概念3．网络管理的功能〔5〕性能管理，保证在最小网络消耗和网络时延下，提供最大的可靠且连续的通信能力，包括以下几项。①从被管对象中收集与网络性能有关的数据。②对收集到的数据进行统计分析，并对历史记录进行维护。③分析数据，以检测性能故障，生成报告。④预测网络的长期趋势。⑤改进网络的操作模式。计算机网络实用技术8.2简单网络管理协议

简单网络管理协议〔SimpleNetworkManageProtocol，SNMP〕，是最早提出的网络管理协议之一计算机网络实用技术8.2简单网络管理协议

8.2.1SNMP模型SNMP的网络管理模型由3个重要元素组成图8-1SNMP网络管理模型计算机网络实用技术8.2简单网络管理协议

1．管理信息库〔ManagementInformationBase，MIB〕Internet的MIB标准把管理对象分为9组，每组对象由各种变量描述。表8-1最初节点MIB管理的信息类型

类型标号信息类型system1主机或路由器的操作系统interface2各种网络接口及它们的测定通信量addresstranslation（at）3地址转换（如ARP映射）ip4Internet软件（IP分组统计）icmp5ICMP软件（已收到ICMP消息的统计）tcp6TCP软件（算法、参数和统计）udp7UDP软件（UDP通信量统计）egp8EGP软件（外部网关协议通信量统计）snmp9SNMP软件计算机网络实用技术8.2简单网络管理协议

1．管理信息库〔ManagementInformationBase，MIB〕MIB中对象的变量类型大体可分为两种：简单变量和表格。简单变量包括整型变量、字符串变量等，也包括一些类似于C语言“结构〞的数据集合，表格相当于一维数组。值得注意的是，MIB只给出每个变量的逻辑定义，每个被管的网络设备所使用的内部数据结构可能与MIB的定义不同。当代理进程收到查询请求时，先要把SNMP协议的MIB变量映射到自己的内部数据结构，再执行相应的操作。计算机网络实用技术8.2简单网络管理协议

1．管理信息库〔ManagementInformationBase，MIB〕MIB的设计比较灵活，对象和网络管理通信协议相对独立，只要有需要就可以定义新的MIB变量并标准化，而不需要改变协议。各厂商设计了新的网络设备或新的网络协议时，可以自行定义相应的MIB变量，对这些新的网络设备或新的网络协议进行管理。事实上，目前已定义了许多新的MIB变量。例如，以太网接口的MIB、网桥的MIB、FDDI的MIB、PPP的IP网络控制协议MIB等。MIB只是定义了管理对象的组织结构，使其他系统可以知道如何访问各个管理对象。对于代理如何收集MIB中管理对象的数据以及怎样使用这些数据，MIB不做规定。计算机网络实用技术8.2简单网络管理协议

2．管理信息结构〔StructureofManagementInformation，SMI〕管理信息结构是一套规那么，规定如何命名管理对象、如何定义管理对象。所有的管理对象分层次地按树型结构进行组织。某个对象的名称反映它在这个树型结构中的位置，标明了在MIB中通过怎样的路径可以访问到这个对象。计算机网络实用技术8.2简单网络管理协议

2．管理信息结构〔StructureofManagementInformation，SMI〕图8-2MIB树的顶部计算机网络实用技术8.2简单网络管理协议

2．管理信息结构〔StructureofManagementInformation，SMI〕SMI采用OSI的抽象语法表示〔AbstractSyntaxNotationOne，ANS.1〕的OBJECTIDENTIFIER类型对MIB的管理对象进行命名。例如，图8-2中的ip对象命名为{iso〔1〕org〔3〕dod〔6〕internet〔1〕mgmt〔2〕mib-2〔1〕ip〔4〕}或.2.1.4。计算机网络实用技术8.2简单网络管理协议

3．简单网络管理协议简单网络管理协议的主要设计思想是协议应尽可能简单，根本功能是监视网络性能、检测分析网络过失和配置网络设备。由于SNMP的设计是基于互联网协议的用户数据报协议UDP之上的，所以SNMP提供的是一种无连接的效劳，它不能确保其他实体一定能收到管理信息流。计算机网络实用技术8.2简单网络管理协议

8.2.2SNMP协议SNMP是TCP/IP网络的网络管理协议，现在已被广阔厂商接受，成为一种事实上的标准。随着SNMP的广泛使用，已经从SNMPv1〔第1版〕开展到SNMPv2〔第2版〕和SNMPv3〔第3版〕。计算机网络实用技术8.2简单网络管理协议

SNMP规定了5种协议数据单元〔PDU〕，即SNMP报文，用来在管理进程和代理之间进行交换，其中包括以下几项:〔1〕get-request操作：从代理进程处提取一个或多个进程值。〔2〕get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值。〔3〕set-request操作：设置代理进程一个或多个参数值。〔4〕get-response操作：返回一个或多个参数值。此操作是由代理进程发出的，是前面3种操作的响应操作。〔5〕trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。计算机网络实用技术8.2简单网络管理协议

前3种操作是由管理进程向代理进程发出的，后两个操作是代理进程向管理进程发出的。SNMP这5种报文的操作如图8-3所示。在代理进程端使用161端口来接收get或set报文，在管理进程端使用162端口来结束trap报文。图8-3SNMP的5种报文操作计算机网络实用技术8.2简单网络管理协议

封装成UDP数据报的SNMP报文格式如图8-4所示。从中可以看出，一个SNMP报文共分成3个局部：公共SNMP头部、get/set头部、trap变量和变量绑定。〔1〕公共SNMP头部共有3个字段。①版本，写入本字段的值是版本号减1。对于SNMPv1，那么应写入0。②共同体，是一个字符串，作为管理进程和代理进程之间的明文口令，通常使用的6个字符是“public〞。③PDU类型，可填入0～4中的一个数字，其对应名称如表8-2所示。计算机网络实用技术8.2简单网络管理协议

图8-3SNMP的5种报文操作PDU类型名称0get-request1get-next-request2get-response3set-request4trap计算机网络实用技术8.2简单网络管理协议

〔2〕get/set头部共有3个字段。①请求标识符〔RequestID〕，是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。请求标识符可使管理进程识别返回的响应报文对应于哪一个请求报文。计算机网络实用技术8.2简单网络管理协议

图8-4SNMP报文格式计算机网络实用技术8.2简单网络管理协议

〔2〕get/set头部共有3个字段。②过失状态〔ErrorStatus〕，由代理进程应答时填写0～5中的一个数，如表8-3所示。表8-3过失状态描述差错状态名字说明0noError一切正常1tooBig代理无法将回答装入一个SNMP报文之中2noSuchName操作指明了一个不存在的变量3badValue一个set操作指明了一个无效值或无效语法4readOnly管理进程试图修改一个只读变量5genErr其他的差错计算机网络实用技术8.2简单网络管理协议

〔2〕get/set头部共有3个字段。③过失索引〔ErrorIndex〕，当出现noSuchName、badValue或readOnly过失时，由代理进程在应答时设置一个整数，指明有过失的变量在变量列表中的偏移。计算机网络实用技术8.2简单网络管理协议

〔3〕trap头部有以下几项。①企业〔Enterprise〕，填入trap报文的网络设备的对象标识符。此对象标识符在如图8-2所示的对象命名树上的enterprise节点下面的一棵子树上。②trap类型，此字段的名称是generic-trap，共分为7种类型，如表8-4所示。当使用上述类型2、3和5时，在报文后面变量局部的第一个变量应标识响应的接口。③特定代码〔Specific-Code〕，如果trap类型为6，指明代理自定义的时间，否那么为0。④变量绑定〔Variable-Bindings〕，指明一个或多个变量的名和对应的值。在get和get-next报文中，变量的值应忽略。计算机网络实用技术8.2简单网络管理协议

〔3〕trap头部有以下几项。表8-4trap的7种类型差错状态名字说明0coldStart代理进行了初始化1warmStart代理进行了重新初始化2linkDown一个接口从工作状态变为故障状态3linkup一个接口从故障状态变为工作状态4authenticationFailure从SNMP管理进程接收到具有一个无效共同体的报文5egpNeighborLoss一个EGP相邻路由器变为故障状态6enterpriseSpecific代理自定义的事件，需要用后面的“特定代码”来指明计算机网络实用技术8.3常用网络平安技术防火墙技术当用户与Internet连接时，可在用户与Internet之间插入一个或几个中间系统的控制关联，防止通过网络进行攻击，并提供单一的平安和审计控制点，这些中间系统就是防火墙。防火墙是指设置在不同网络或网络平安域之间的一系列部件的组合。它是不同网络或网络平安域之间信息的唯一出入口，能根据企业的平安政策控制出入网络的信息流，而且本身具有较强的抗攻击能力。计算机网络实用技术8.3常用网络平安技术在逻辑上，防火墙是一个别离器，有效地监控内部网和Internet之间的任何活动，保证了内部网络的平安。防火墙技术是一种获取平安性的方法，有助于实施一个比较广泛的平安性策略，用以确定允许提供的访问和效劳。防火墙可以是路由器，也可以是个人主机、主系统或多个主系统，专门把网络或子网同那些可能被子网外的主系统滥用的协议和效劳隔绝。防火墙系统通常位于等级较高的网关，如Internet连接的网关，也可以位于等级较低的网关，以便为某些数量较少的主系统或子网提供保护。计算机网络实用技术8.3常用网络平安技术1．防火墙的类型防火墙从原理上可分为包过滤〔PacketFiltering〕型和代理效劳〔ProxyServer〕型。〔1〕包过滤型防火墙根据数据分组中头部的某些标志性的字段对数据分组进行过滤。当数据分组到达防火墙时，防火墙根据分组头部对源地址、目的地址、协议类型、端口号、ICMP类型等进行判断，决定是否接收该数据分组。通过设置包过滤规那么，可以阻塞来自或发送到特定地址的连接；从平安方面考虑，某组织的内部网可能需要阻塞所有来自外部站点的连接。但是包过滤防火墙的弱点在于其规那么的复杂性，同时过于复杂的规那么不容易进行测试。计算机网络实用技术8.3常用网络平安技术1．防火墙的类型〔2〕代理效劳器型防火墙可以解决包过滤防火墙的规那么复杂问题。所谓代理效劳，是指在防火墙上运行某种软件或程序。如果内部网需要与外部网通信，首先要建立与防火墙上代理程序的连接，然后把内部网的请求通过新连接发送到外部网相应的主机，反之亦然。内部网和外部网之间不能建立直接连接，而要通过代理效劳进行转发。一个代理程序一般只能为某种协议提供代理效劳，其他所有协议的数据分组都不能通过代理效劳程序，这样就相当于进行了一次过滤，代理程序还有自己的配置文件，其中对数据分组的一些特征进行了过滤，这种过滤能力比纯粹的包过滤防火墙的功能要大得多。计算机网络实用技术8.3常用网络平安技术1．防火墙的类型〔2〕代理效劳器型防火墙可以解决包过滤防火墙的规那么复杂问题。包过滤和代理效劳防火墙结合使用可以有效地解决规那么复杂问题。包过滤防火墙只需要让那些来自或发送到代理效劳器的分组通过，其他分组简单丢弃。其他过滤由代理效劳防火墙来完成。计算机网络实用技术8.3常用网络平安技术2．防火墙的体系结构〔1〕双穴网关。它是包过滤防火墙的一种替代。与普通的包过滤防火墙一样，双穴网关也位于Internet与内部网之间，并通过两个网络接口分别与它们相连。但是，只有特定类型的协议才能被代理效劳处理。于是，双穴网关实现了“默认拒绝〞策略，可以得到很高的平安性。计算机网络实用技术8.3常用网络平安技术2．防火墙的体系结构〔2〕屏蔽主机型防火墙。这种防火墙其实是包过滤和代理效劳功能的结合，其中代理效劳器位于包过滤网关靠近内部网的一侧。代理效劳器只安装一个网络接口，通过代理功能把一些效劳传送到主机内部，通过包过滤功能把那些天生危险的协议过滤掉，不让其到达代理效劳器。屏蔽主机型防火墙如图8-5所示。计算机网络实用技术8.3常用网络平安技术2．防火墙的体系结构图8-5屏蔽主机型防火墙计算机网络实用技术8.3常用网络平安技术2．防火墙的体系结构〔3〕屏蔽子网型防火墙。它是双穴网关和屏蔽主机型防火墙的变形。如图8-6所示，该系统中使用包过滤防火墙在内部网络和Internet之间隔离出一个屏蔽的子网，通常称为“非军事区〔DMZ〕〞。代理效劳器、邮件效劳器、各种信息效劳器、Modem池及其他需要进行访问控制的系统都放在DMZ区中。与Internet连接的是“外部路由器〞，只让与DMZ中的各效劳器相关的数据分组通过，其他所有类型的数据分组都被丢弃，从而将Internet对DMZ的访问权限限定在特定的效劳器范围内。内部路由器的情况也是这样。计算机网络实用技术8.3常用网络平安技术2．防火墙的体系结构图8-6屏蔽子网型防火墙计算机网络实用技术8.3常用网络平安技术8.3.2VPN技术虚拟专用网〔VPN〕是指在公用网络上建立专用网络的技术。使用该技术建立的虚拟网络在平安、管理及功能方面拥有与专用网络相似的特点，是原有专线式企业专用广域网的替代品。计算机网络实用技术8.3常用网络平安技术1．VPN提供的功能〔1〕数据加密，保证在公用网上传输信息不会被截取或识破。〔2〕信息认证和身份认证，保证信息的完整、合法，并能鉴别用户的身份。〔3〕提供访问控制，保证不同用户有不同访问权限。计算机网络实用技术8.3常用网络平安技术2．VPN的分类〔1〕内部网VPN，在公司总部和它的分支机构间建立VPN。这是通过公用网将一个组织的各分支机构通过VPN连接而成的网络，是公司网络的扩展。当一个数据传输通道的两个端点认为是可信的时候，公司可以选择“内部网VPN〞解决方案，其平安性主要在于加强加密和认证方法，如图8-7所示。大量数据经常需要通过VPN在局域网之间传递，可以把中心数据库或其他资源连接起来的各个局域网看成是内部网的一局部。计算机网络实用技术8.3常用网络平安技术2．VPN的分类图8-7内部网VPN计算机网络实用技术8.3常用网络平安技术2．VPN的分类〔2〕远程访问VPN，公司职员在外地或旅途中要和公司总部之间建立的VPN。如果一个职员在家里或旅途中要和公司的内部网建立一个平安连接，可以用“远程访问VPN〞来实现，如图8-8所示。这个职员通过拨号连接ISP的网络访问效劳器〔NetworkAccessServer，NAS〕，发出PPP连接请求，NAS收到请求后，在职员与NAS之间建立PPP链路。然后NAS对职员的身份进行验证，确定为合法用户后，启动远程访问的功能，与公司总部内部连接。计算机网络实用技术8.3常用网络平安技术2．VPN的分类图8-8远程访问VPN

计算机网络实用技术8.3常用网络平安技术2．VPN的分类〔3〕外部网VPN，在公司和商业伙伴、顾客等之间建立的VPN。外部网VPN为公司和商业伙伴提供平安性，如图8-9所示。它应能保证包括使用TCP和UDP协议的各种应用效劳的平安，如E-mail、HTTP、FTP和数据库的平安。因为不同公司的网络环境是不同的，一个可行的外部网VPN方案应能适用于各种操作平台、协议、认证方案和加密算法等。外部VPN应是一个由加密、认证和访问控制功能组成的集成系统。通常公司将VPN效劳放在用于隔离内外部网的防火墙上，防火墙阻止所有来历不明的信息传输。所有经过过滤后的数据通过唯一的一个入口传到VPN效劳器，VPN效劳器再根据平安策略来进一步过滤。计算机网络实用技术8.3常用网络平安技术2．VPN的分类图8-9外部网VPN

计算机网络实用技术8.3常用网络平安技术3．VPN的工作原理要实现VPN连接，就必须要在公司的网络中搭建一台VPN效劳器。这台效劳器一边与公司内部网相连，另一边与Internet相连，即VPN效劳器必须拥有一个公用的IP地址。当Internet上的客户机通过VPN连接与专用网络中的计算机通信时，先由ISP将所有的数据传送到VPN效劳，然后由VPN效劳器负责将所有的数据传送到目标计算机，如图8-10所示。计算机网络实用技术8.3常用网络平安技术3．VPN的工作原理图8-10VPN连接计算机网络实用技术8.3常用网络平安技术3．VPN的工作原理VPN使用3个技术保障通信的平安，即隧道协议、身份验证和数据加密。客户机向VPN效劳器发出请求，VPN效劳器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN效劳器，VPN根据用户数据库检查响应，如果账户有效，VPN效劳器将检查该用户是否有远程访问权限，如果该用户拥有远程访问权限，VPN效劳器接收此连接。在身份验证过程中产生的客户机与效劳器共享密钥用来对数据进行加密。计算机网络实用技术8.3常用网络平安技术4．VPN关键技术〔1〕平安隧道技术〔SecureTunnelingTechnology〕〔2〕用户认证技术〔UserAuthenticationTechnology〕〔3〕访问控制技术〔AccessControlTechnology〕计算机网络实用技术8.3常用网络平安技术8.3.3IPSec技术1．IPSec的根本原理IPSec的根本原理类似于包过滤防火墙，如图8-11所示，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据分组时，包过滤防火墙使用其头部在一个规那么表中进行匹配。当找到一个相匹配的规那么时，包过滤防火墙就按照该规那么制定的方法对接收到的IP数据分组进行处理，处理的工作包括转发和丢弃。计算机网络实用技术8.3常用网络平安技术1．IPSec的根本原理图8-11IPSec工作原理计算机网络实用技术8.3常用网络平安技术1．IPSec的根本原理IPSec通过查询平安策略数据库〔SecurityPolicyDatabase，SPD〕决定对接收到的IP数据分组的处理。IPSec不同于包过滤防火墙的是，对IP数据分组的处理方法除了丢弃和直接转发外，还有IPSec处理。这个新增的处理方法提供了比包过滤防火墙更进一步的网络平安性。计算机网络实用技术8.3常用网络平安技术1．IPSec的根本原理进行IPSec处理意味着对IP数据分组进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据分组的通过，可以拒绝来自某个外部站点IP数据分组访问内部某些站点，也可以拒绝某个内部站点对某些外部站点的访问。但是包过滤防火墙不能保证来自内部网络发送出去的数据分组不被截取，也不能保证进入内部网络的数据分组不被修改。只有在对IP数据分组实施了加密认证后，才能保证在外部网络传输的数据分组的机密性、完整性和真实性，通过Internet进行平安的通信才能成为可能。计算机网络实用技术8.3常用网络平安技术1．IPSec的根本原理IPSec既可以只对IP数据分组进行加密或只进行认证，也可以同时实施两者。无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是隧道模式，另一种是传输模式。验证头〔AuthenticationHeader，AH〕和封装平安载荷〔EncapsulatingSecurityPayload，ESP〕均可应用在这两种方式上。传输方式通常应用于主机之间端对端通信，该方式要求主机支持IPSec。隧道方式应用于网关模式中，即在主机的网关上〔路由器、防火墙〕加载IPSec，该网关同时升级为平安网关〔SecurityGateway，SG〕。计算机网络实用技术8.3常用网络平安技术1．IPSec的根本原理〔1〕在隧道模式下，整个IP分组都封装在一个新的IP分组中，并在新的IP分组头部和原来的IP分组头部之间插入IPSec头〔AH/ESP〕，其结构如图8-12所示。在隧道模式下，如果应用了ESP，原始IP分组头部是加密的，真正的源、目的IP地址是隐藏的，新IP头中制定的源、目的IP地址一般是源、目的平安网关的地址。计算机网络实用技术8.3常用网络平安技术1．IPSec的根本原理图8-12隧道模式分组头部结构计算机网络实用技术8.3常用网络平安技术1．IPSec的根本原理〔2〕传输方式，主要为上层协议提供保护。AH和ESP分组头部插入到IP分组头部和传输层协议分组头部之间，如图8-13所示。在传输模式下ESP并没有对IP分组头部加密处理。源、目的IP地址内容是可见的，而AH认证的是整个IP头部，完整性保护强于ESP。计算机网络实用技术8.3常用网络平安技术1．IPSec的根本原理图8-13传输模式分组结构计算机网络实用技术8.3常用网络平安技术2．IPSec的实现IPSec协议文档中提供了3种具体的实现方案，将IPSec在主机、平安网关或两者中同时实施和部署。无论使用哪种模式实现，对于上层协议和应用层都是透明的。与操作系统集成实施，把IPSec当作网络层的一局部来实现。这种方式需要访问IP源码、利用IP层的效劳来构建IP报头BITS方式，利用堆栈中的块〔Bump-In-The-Stack，BITS〕实现。修改通信协议栈，把IPSec插入IP协议栈和链路层之间。这种方式不需要处理IP源代码，适用于对原有系统的升级改造，通常用在主机方式中。计算机网络实用技术8.3常用网络平安技术2．IPSec的实现BITW方式，利用线缆中的块〔Bump-In-The-Wire，BITW〕实现。把IPSec作为一个插件，在一个直接接入路由器或主机的设备中实现。当用于支持一台主机时，与BITS实现非常相似，但在支持路由器或主机的设备中实现。当用于支持一台主机时，与BITS实现非常相似，但在支持路由器或防火墙时，必须起到一个平安网关的作用。计算机网络实用技术8.3常用网络平安技术2．IPSec的实现〔1〕IPSec的体系结构，IETF的IPSec工作组定义了12个RFC，IPSec是一系列标准的集合，由平安联盟〔SecurityAssociation，SA〕，平安协议包括认证头、封装平安载荷、密钥管理以及认证和加密算法构成一个完整的平安体系，如图8-14所示。计算机网络实用技术8.3常用网络平安技术2．IPSec的实现图8-14IPSec体系结构计算机网络实用技术8.3常用网络平安技术2．IPSec的实现〔2〕平安联盟，是IPSec的根底，决定通信中采用的IPSec平安协议、散列方式、加密算法和密钥等平安参数，通常用一个三元组〔平安参数索引、目的IP地址、平安协议〕唯一表示。SA总是成对出现的，对等存在于通信实体的两端，是通信双方协商的结果。SA存放在平安联盟数据库〔SecurityAssociationDatabase，SAD〕中。另外，IPSec还维护一个平安策略数据库〔SecurityPolicyDatabase，SPD〕。每个应用IPSec的网络接口都有SAD和SPD各一对，协同处理进出的IP分组。一条SAD数据库记录对应一个SA。每条SPD记录描述了一种平安策略，指定了数据分组处理动作。发送数据时，根据目的IP地址等参数先从SPD中得到相应的策略记录，当记录的动作为“应用〞时，根据记录中的SA指针从SAD中取得对应的SA，如果不存在，需要调用IKE〔InternetKeyExchange，密钥交换〕创立一个新的SA，并插入到SAD中。再利用SA指定的平安协议和认证加密算法对分组进行平安处理后发送到目的IP。接收端收到数据后通过报文中的SPI等参数找到SA，检查是否是重传数据，如果不是那么应用SA中指定的协议和算法对数据进行解密和验证。SPD对于同一IP地址可能有多条记录，这些记录可能是相互冲突的，因此它必须是排序的，查找时也必须按顺序查询，实际只应用找到的第一条策略记录。计算机网络实用技术8.3常用网络平安技术2．IPSec的实现〔3〕认证头，支持数据的完整性和IP分组的验证，数据完整性的特征可以保证再传输中不可能发生未检测的修改。身份验证功能使末端系统或网络设备可以验证用户或应用程序，并根据需要过滤通信量。它还可以防止在Internet上的地址欺骗攻击。此外，AH还能阻止在该区域的重复攻击。AH插入到IP分组头部和传输层分组头部中，如图8-15所示。其中，下一个报头字段〔8b〕标识紧跟报头类型。有效载荷属性字段〔8b〕指明整个AH的长度。SPI字段〔32b〕是一个随机值，与外部目的IP地址一起，用于指定SA。系列号字段〔32b〕标明当前IP分组在整个数据分组系列中的位置，整个字段是强制的，它提供了抗重播功能，在SA创立时初始化为0，然后依次递增，到达232时那么重新创立SA。即使某个特定的SA不要求抗重播功能。在发送端仍必须填写，只在接收端不进行重播检查。AH的最后一个字段认证数据是可变长的，但必须双字对齐，其默认长度为96b，为分组的完整性验证值〔IntegralityCheckValue，ICK〕，是SA指定的单向散列算法、对称加密算法和密钥计算出来的身份验证码的删节。计算机网络实用技术8.3常用网络平安技术2．IPSec的实现图8-15AH格式计算机网络实用技术8.3常用网络平安技术2．IPSec的实现〔4〕封装平安载荷，AH不提供任何保密性效劳，保密性效劳由ESP提供，包括消息内容的保密性和有限的通信量的保密性。作为可选的功能，ESP也可以提供AH的验证效劳。保密效劳通过使用密码算法加密IP数据分组的相关局部来实现，密码算法使用对称密码体制，如三重DES、IDEA、RC5、CAST等。ESP的根本思路是对整个IP数据分组或传输层数据进行封装，并对ESP数据的绝大局部进行加密，如图8-16所示。在ESP中，有的加密算法要求明文是某些字节的整数倍。所以ESP比AH多了一个长度为0～255B的填充字段。这个字段也用于保证密文的双字对齐，同时它还隐藏了有效载荷的真正长度，从而为传输流量提供了一定的机密保护，但这个字段也增加了传输量。计算机网络实用技术8.3常用网络平安技术2．IPSec的实现图8-16ESP分组头部格式

计算机网络实用技术8.3常用网络平安技术2．IPSec的实现〔5〕密钥交换，是一种混合型协议，沿用了ISAKMP〔InternetSecurityAssociationandKeyManagementProtocol〕的框架、Oakley的模式以及SKEME〔SecureKeyExchangeMechanism〕的共享和密钥更新技术，组合成自己的验证加密材料生成技术和协商共享策略。IKE使用了ISAKMP两阶段协商机制。在第一阶段，通信各方彼此间建立一个已通过身份验证和平安保护的通道，即ISAKMPSA。在第二阶段，利用第一阶段创立的SA，为IPSec协商具体的SA。第一阶段，IKE采用“主模式〔MainMode〕〞交换提供身份保护。而在“野蛮模式〔AggressiveMode〕〞下容许次数相对较少，而且如果采用公开密钥加密算法，“野蛮模式〞也可以提供身份保护。一个第一阶段可以创立多个第二阶段。一个第二阶段可以创立多个SA。应用这种优化机制，每个SA建立过程至少减少一次交换和一次DH〔DiffieHellman〕求幂操作。ISAKMP是框架性的，IPSec解释域〔DomainofInterpretation，DI〕对其进行了实例化处理，定义了标志的命名、载荷的解释等。IKE也是目前ISAKMP的唯一实例。计算机网络实用技术8.3常用网络平安技术2．IPSec的实现〔6〕加密和认证算法，高强度的加密和认证算法是IPSec实现平安性能的根底。IPSec规定可以使用各种加密算法，由通信双方事先协商，但所有IPSec实现都必须支持DES。由于DES强度不够，而不对称算法效率往往又低，3DES和AES等低开销高强度算法成为IPSec实现的趋势。IPSec用HMAC作为认证散列算法，用于计算机AH和ESP的完整性校验值〔IntegrityCheckValue，ICV〕。通信双方运用相同的算法和密钥对数据内容进行散列，结果一致那么认为数据分组是可信的。只要双方协商好，散列算法也可以是任意的，IPSec中定义了HMAC-SHA-1〔SecureHashAlgorithmVersion1〕和HMAC-MD5〔MessageDigestVersion5〕作为默认算法。计算机网络实用技术8.3常用网络平安技术2．IPSec的实现IPSec定义了一套用于认证、保护机密性和完整性的标准协议。它为上层协议提供了一个透明的端到端平安通道，其实现与应用不需要修改应用程序或者上层协议。它支持一系列加密和散列算法，具有较好的扩展性和互操作性。但IPSec也存在一些缺点，如客户/效劳器模式下实现需要公钥来完成。IPSec需要范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。计算机网络实用技术8.4学习指导

知识要点〔1〕掌握网络管理的目标、任务和功能。〔2〕掌握SNMP，其中包括SNMP的模型、SNMP协议。〔3〕掌握防火墙的类型及体系结构。〔4〕掌握VPN的功能、分类、原理和关键技术。计算机网络实用技术8.4学习指导

例题精讲1．网络管理的主要功能是什么？解析：〔1〕配置管理，定义、识别、初始化、控制和监测被管对象功能的集合，包括以下几项。①定义被管对象，给每个被管对象分配名字。②定义用户组。③删除不需要的被管对象。④设置被管对象的初始值。⑤处理被管对象间的关系。计算机网络实用技术8.4学习指导

1．网络管理的主要功能是什么？解析：〔2〕故障管理，实时监控网络中的故障，对故障原因做出论断，对故障进行排除，保证网络的正常运行，包括以下几项。①检测被管对象的过失，或接受过失报告。②创立和维护过失日志库，并对其进行分析。③进行诊断，以跟踪和识别过失。④通过恢复措施，恢复正确的网络效劳。⑤网络实时备份。计算机网络实用技术8.4学习指导

1．网络管理的主要功能是什么？解析：〔3〕计费管理，记录用户使用网络的情况并核收费用，包括以下几项。①易于更新且费率可变。②允许使用信用记账收费。③能根据用户组的不同进行不同的收费。④收费依据为“进程〞或“效劳〞。计算机网络实用技术8.4学习指导

1．网络管理的主要功能是什么？解析：〔4〕平安管理，保证网络不被非法使用，包括以下几项。①与平安措施相关的信息分发。②与平安相关的事件通知。③与平安相关的设施建设、控制和删除；④涉及平安效劳的网络操作事件的记录、维护和查阅等日志管理工作。计算机网络实用技术8.4学习指导

1．网络管理的主要功能是什么？解析：〔5〕性能管理，保证在最小网络消耗和网络时延下，提供最大的可靠且连续的通信能力，包括以下几项。①从被管对象中收集与网络性能有关的数据。②对收集到的数据进行统计分析，并对历史记录进行维护。③分析数据，以检测性能故障，生成报告。④预测网络的长期趋势。⑤改进网络的操作模式。计算机网络实用技术8.4学习指导

2．包过滤防火墙的原理是什么？解析：包过滤型防火墙根据数据分组头部中的某些标志性的字段对数据分组进行过滤。当数据分组到达防火墙时，防火墙根据分组头部对源地址、目的地址、协议类型、端口号、ICMP类型等进行判断，决定是否接收该数据分组。通过设置包过滤规那么，可以阻塞来自或发送到特定地址的连接。从平安方面考虑，某组织的内部网可能需要阻塞所有来自外部站点的连接，但是包过滤防火墙的弱点在于其规那么的复杂性，同时过于复杂的规那么不容易进行测试。计算机网络实用技术8.4学习指导

习题选择题1．网络平安涉及的内容主要包括〔〕。Ⅰ外部环境平安Ⅱ网络连接平安Ⅲ操作系统平安Ⅳ应用系统平安A．ⅠⅡⅢ B．ⅡⅢⅣ C．ⅢⅣ D．ⅠⅡⅢⅣ2．网络管理涉及的方面包括〔〕。Ⅰ网络设计Ⅱ网络维护Ⅲ网络处理Ⅳ网络效劳提供A．ⅠⅡⅢ B．ⅡⅢⅣ C．ⅠⅢⅣ D．ⅠⅡⅣ计算机网络实用技术8.4学习指导

选择题3．网络上的“黑客〞是指〔〕。A．总是晚上上网的人B．匿名上网的人C．不花钱上网的人D．在网上私闯他人计算机系统的人4．防火墙的作用包括〔〕。Ⅰ限制局域网内部用户对外网的访问Ⅱ限制外网用户对内部局域网的访问Ⅲ限制内部用户的操作权限Ⅳ有效防止病毒入侵A．ⅠⅡⅢ B．ⅡⅢⅣ C．ⅠⅢⅣ D．ⅠⅡⅣ计算机网络实用技术8.4学习指导

选择题5．防火墙实现〔〕。A．只能通过软件实现B．只能通过硬件实现C．既可以通过软件，又可以通过硬件实现，还可以通过两者结合来实现D．必须通过软件与硬件结合来实现6．网络管理协议是代理和网络管理软件交换信息的方式，以下〔〕属于网络管理协议。A．TCP/IP B．SNMPC．SMTP D．HTTP计算机网络实用技术8.4学习指导

选择题7．数据报过滤防火墙通常安装在〔〕。A．中继器 B．集线器 C．路由器 D．收发器8．〔〕位于互联网与局域网之间，用来保护局域网，防止来自互联网的入侵。A．防火墙 B．杀毒软件C．避雷针设备 D．网络协议9．网络管理优劣的关键在于〔〕。A．网络协议 B．网络操作系统C．网络管理员 D．网络互联设备计算机网络实用技术8.4学习指导

选择题10．以下表达中，〔〕是不正确的。A．“黑客〞是指黑色的网络病毒B．计算机病毒是一种程序C．CIH是一种病毒D．防火墙是一种被动防卫技术11．网络防火墙的作用是〔〕。A．建立内部信息和功能与外部信息和功能之间的屏蔽B．防止系统感染病毒与非法访问C．防止黑客访问D．防止内部信息外泄计算机网络实用技术8.4学习指导

选择题12．以下关于防火墙的表达中，正确的选项是〔〕。A．防火墙可通过屏蔽未授权的网络访问等手段把内部网络隔离为可信任网络B．防火墙的平安性能是根据系统平安的要求而设置的，因系统的平安级别不同而有所不同C．防火墙可以有效地查杀病毒，对网络攻击可进行监测和报警D．防火墙可以把内部可信任网络对外部网络或其他可信任网络的访问限制在规定的范围之内计算机网络实用技术8.4学习指导

选择题13．数据库过滤技术是在〔〕对数据包进行选择。A．网络层 B．传输层C．会话层 D．表示层14．设置防火墙的要素包括〔〕。Ⅰ．网络策略Ⅱ．效劳访问策略Ⅲ．防火墙设计策略Ⅳ．增强的认证A．ⅠⅢ B．ⅠⅡ C．ⅠⅡⅢ D．ⅠⅡⅢⅣ计算机网络实用技术8.4学习指导

选择题15．SNMP作为网络层管理协议，是TCP/IP协议族的〔〕协议。A．传输层 B．会话层C．表示层 D．应用层16．管理信息库又称为〔〕，是一个存放管理元素信息的数据库。A．DB B．MIBC．Hub D．NMS计算机网络实用技术8.4学习指导

选择题17．网络的不平安性因素有〔〕。A．非授权用户的非法存取和电子窃听 B．计算机病毒的入侵C．网络黑客 D．以上都是18．网络管理的功能是〔〕。A．性能分析和故障监测 B．平安性管理和记费管理C．网络规划和配置管理D．以上都是计算机网络实用技术8.4学习指导

选择题19．包过滤技术与代理效劳技术相比较，〔〕。A．包过滤技术平安性较弱，但对网络性能产生明显影响B．包过滤技术对应用和用户是绝对透明的C．代理效劳技术平安性较高，但不会对网络性能产生明显影响D．代理效劳技术平安性较高，对应用和用户透明度也很高20．以下不属于代理效劳技术优点的是〔〕。A．可以实现身份认证B．内部地址的屏蔽和转换功能C．可以实现访问控制D．可以防范数据驱动侵袭计算机网络实用技术8.4学习指导

填空题1．SNMP的中文含义是，是TCP/IP协议族的一个应用层协议，是随着TCP/IP的开展而开展起来的。SNMP的网络管理模型共有3个关键元素，分别是、、。2．防火墙通常有两种根本的设计策略，一是，二是。3．网络管理的5大功能是、、、、。4．防火墙是在被保护的和之间竖起的一道平安屏障，用于增强的平安性。5．大多数网络层防火墙的功能可以设置在内部网络与Internet相连的上。6．防火墙总体上分为、、几大类型。计算机网络实用技术8.4学习指导

简答题1．SNMP报文的格式是什么，包括哪几种报文操作？2．简述防火墙的根本功能及其分类。3．防火墙的体系结构是什么？4．什么是VPN，其功能及分类是什么？5．VPN的工作原理及关键技术是什么？计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

实训目的〔1〕理解网络平安的相关概念。〔2〕掌握杀毒软件的安装与设置。〔3〕掌握个人防火墙的安装与设置。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

实训内容1．杀毒软件的安装与设置〔1〕以瑞星杀毒软件为例，先购置或下载杀毒软件，然后进行杀毒软件的安装，安装完成后瑞星杀毒软件会自动启动“实时监控〞，保护计算机。〔2〕“手动查杀病毒〞设置。手动查杀为用户提供了手动查杀病毒的设置界面，用户可以根据实际需求，对手动查杀时的病毒处理方式和查杀文件类型进行不同的设置，也可以使用滑块调整查杀级别。在“自定义级别〞中，用户同样可以对平安级别进行设置，单击“默认级别〞按钮将恢复瑞星杀毒软件的出厂设置，单击“应用〞或“确定〞按钮保存用户的全部设置，以后程序在扫描时即根据此级别的相应参数进行病毒扫描，如图8-17所示。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

1．杀毒软件的安装与设置在处理方式设置中，可以对以下4种情况进行设置。①发现病毒时：“询问我〞、“去除病毒〞、“删除染毒文件〞和“不处理〞。②隔离失败时：“询问我〞、“删除染毒文件〞和“不处理〞。③杀毒失败时：“询问我〞、“去除病毒〞、“删除染毒文件〞和“不处理〞。④杀毒结束后：“返回〞、“退出〞、“重启〞和“关机〞。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

1．杀毒软件的安装与设置图8-17“手动查杀〞设置计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

1．杀毒软件的安装与设置查杀文件类型有以下4种：①所有文件。②仅程序文件〔EXE，COM，DLL，EML等可执行文件〕。③自定义扩展名〔多个扩展名需用英文状态的分号隔开〕。④选中“隐藏杀毒结果〞复选框后，杀毒软件主程序查杀病毒时不显示杀毒结果。〔3〕“监控状态〞设置。瑞星监控的监控状态提供了对文件、邮件和网页监控状态的显示。同时在“监控状态〞页面中，用户可以随时开启或关闭相应的监控，如图8-18所示。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

1．杀毒软件的安装与设置图8-18“监控状态〞设置计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

1．杀毒软件的安装与设置〔4〕“主动防御〞设置。主动防御是一种阻止恶意程序执行的技术。瑞星的主动防御技术提供了更开放的高级用户自定义规那么的功能，用户可以根据系统的特殊情况，制定独特的防御规那么，使主动防御可以最大限度地保护系统。主动防御是瑞星杀毒软件2021版的一项新功能，在功能设计方面脱离了病毒库，以往杀毒软件只是发现应用程序类似病毒就去病毒库中进行验证，这样判断的病毒都是已经发现的病毒，对于新病毒便失去了防御作用。主动防御具有独特的功能设计，是瑞星公司根据多年判断病毒的经验制定的一系列规那么，通过规那么过滤应用程序，当发现存在恶意行为时，便告知用户，这样将处理此恶意行为的权力交给用户，由用户决定放过还是拒绝此类危险动作，从而可以到达主动预防病毒的作用。即使遇到一个病毒库里面没有记录的新病毒，瑞星杀毒软件可以提前帮助用户发现它。在病毒肆虐的网络中，主动防御功能在病毒与计算机之间又设置了一道屏障，将病毒置之门外。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

1．杀毒软件的安装与设置〔4〕“主动防御〞设置。主动防御由系统加固、应用程序访问控制、应用程序保护、程序启动控制、恶意行为检测、隐藏进程保护、自我保护等功能组成。选择瑞星2021杀毒软件主界面的防御界面，可以应用和设置主动防御的各项功能，如图8-19所示图8-19“主动防御〞设置计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

1．杀毒软件的安装与设置〔5〕查杀病毒。①启动瑞星杀毒软件主界面，如图8-20所示，单击“全盘杀毒〞图标。图8-20瑞星杀毒软件“主界面〞计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

1．杀毒软件的安装与设置〔5〕查杀病毒。②进入到杀毒界面，如图8-21所示，还可以单击“更多信息〞链接，查看杀毒的具体情况，如图8-22所示。图8-21杀毒界面

计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置个人防火墙是为解决网络上黑客攻击问题而研制的个人信息平安产品，具有完备的规那么设置，能有效地监控任何网络连接，保护网络不受黑客的攻击。〔1〕瑞星个人防火墙具有以下主要新特性。①防火墙多账户管理。防火墙提供“管理员〞和“普通用户〞两种账户。防火墙提供切换账户功能，可以在两种账户之间进行切换。管理员可以执行防火墙的所有功能，普通用户不能修改任何设置、规那么、不能启动/停止防火墙、不能退出防火墙，并且普通用户切换到管理员用户需要输入管理员用户的密码。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置〔1〕瑞星个人防火墙具有以下主要新特性。图8-22杀毒更多信息计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置〔1〕瑞星个人防火墙具有以下主要新特性。②未知木马扫描技术。通过启发式查毒技术，当有程序进行网络活动的时候，对该进程调用未知木马扫描程序进行扫描，如果该进程为可疑的木马病毒，那么提示用户。此技术提高了对可疑程序自动识别的能力。③IE功能调用拦截。由于IE提供了公开的COM组件调用接口，有可能被恶意程序所调用。此功能是对需要调用IE接口的程序进行检查。如果检查为恶意程序，报警给用户。④反钓鱼，防木马病毒网站。提供强大的、可以升级的黑名单规那么库。库中是非法的、高风险、高危害的网站地址列表，符合该库的访问会被禁止。⑤模块检查。防火墙能够控制是否允许某个模块访问网络。当应用程序访问网络的时候，对参与访问的模块进行检查，根据模块的访问规那么决定是否允许该访问。以往的防火墙只是对应用程序进行检查，而没有对所关联的DLL做检查。进行模块检查，防止了木马模块注入到正常进程中，访问网络。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置〔2〕防火墙的安装，先下载或购置瑞星防火墙，将其安装到计算机中，安装完成后，瑞星防火墙会自动启动监控功能。〔3〕防火墙主界面，如图8-23所示，包含以下局部。图8-23瑞星杀毒软件主界面计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置〔3〕防火墙主界面，如图8-23所示，包含以下局部。①菜单栏，用于进行菜单操作的窗口，包括“操作〞、“设置〞、“帮助〞3个菜单。②操作按钮，位于主界面右侧，包括“启动/停止保护〞、“连接/断开网络〞、“软件升级〞“查看日志〞。③标签，位于主界面上部，包括“工作状态〞、“系统状态〞、“启动选项〞、“访问规那么〞、“漏洞扫描〞、“平安资讯〞6个标签。④平安级别，位于主界面右下角，拖动滑块到对应的平安级别，修改立即生效。⑤当前版本及更新日期，位于主界面下方，显示防火墙当前版本及更新日期。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置〔4〕防火墙普通设置，进入“详细设置〞→“普通〞界面，进行系统选项、日志记录种类等设置，单击“保存设置〞按钮进行保存，如图8-24所示。图8-24普通设置界面计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置〔4〕防火墙普通设置，进入“详细设置〞→“普通〞界面，进行系统选项、日志记录种类等设置，单击“保存设置〞按钮进行保存，如图8-24所示。①在“系统选项〞中包含以下局部。启动方式：包括自动方式和手动方式。选中自动方式后，防火墙随系统的启动而启动，此设置为默认设置。选中手动方式后，防火墙需要手动启动。规那么顺序：可选择访问规那么优先或IP规那么优先。当访问规那么和IP规那么有冲突的时候，防火墙将依照此规那么顺序执行。例如，访问规那么规定IE程序可以访问网络，IP规那么规定不允许访问瑞星网站，如果用户选择“访问规那么优先〞，那么可以访问瑞星网站；如果用户选择“IP规那么优先〞，由于IP规那么不允许访问瑞星网站，即使访问规那么允许IE访问网络，也无法访问瑞星网站。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置〔4〕防火墙普通设置，进入“详细设置〞→“普通〞界面，进行系统选项、日志记录种类等设置，单击“保存设置〞按钮进行保存，如图8-24所示。①在“系统选项〞中包含以下局部。启动账户：设置防火墙启动时的账户，只有在用户重新启动防火墙的时候才可以看到结果。声音报警：选中后当用户的计算机受到攻击时防火墙将会发出声音报警，可以单击“浏览〞按钮选择声音文件。状态通知：默认选中此项，假设取消选中，那么不显示提示防火墙状态的气泡通知。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

2．瑞星防火墙的安装与设置〔4〕防火墙普通设置，进入“详细设置〞→“普通〞界面，进行系统选项、日志记录种类等设置，单击“保存设置〞按钮进行保存，如图8-24所示。②“日志记录种类〞指定哪些类型的事件记录在日志中，包括“修订规那么〞、“系统动作〞、“修改配置〞、“去除木马病毒〞、“禁止应用〞。单击“更多设置〞按钮进行日志详细选项的设置，如日志文件大小、每页显示记录等。提供日志满后自动备份功能，默认选中“日志文件满后自动备份〞，用户可以设定备份文件的总大小，单击“浏览〞按钮选择备份文件路径，单击“确定〞按钮保存设置。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

③“不在访问规那么中的程序访问网络的默认动作〞中有5种模式。屏保模式：在屏保模式下对于应用程序网络访问请求的策略，默认是自动拒绝。锁定模式：在屏幕锁定状态下对于应用程序网络访问请求的策略，默认是自动拒绝。交易模式：在交易模式下对于应用程序网络访问请求的策略，默认是自动拒绝。未登录模式：在未登录模式下对于应用程序网络访问请求的策略，默认是自动拒绝。静默模式：不与用户交互的模式，在静默模式下对于应用程序网络访问请求的策略，默认是自动拒绝。在5种模式中屏保模式、未登录模式和锁定模式可根据计算机状态自动切换，其他两种模式为手动切换。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

3种默认动作如下。自动拒绝：不提示用户，自动拒绝应用程序对网络的访问请求。自动放行：不提示用户，自动放行应用程序对网络的访问请求。询问我：提示用户，由用户选择处理方式。以上普通设置修改后，单击“保存设置〞按钮确定并保存。如果要恢复默认设置，可以单击“恢复默认〞按钮。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

〔5〕防火墙高级设置：翻开防火墙主程序，在菜单中单击“设置〞→“详细设置〞命令，在左侧树型菜单中单击“选项〞下的“高级〞选项，进入高级设置，如图8-25所示。图8-25高级设置界面

计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

设置工程包括以下选项。①平安，包括以下7个复选框。启用未登录保护：假设选中此项，表示在系统未登录状态下开启防火墙保护功能，默认为选中。启动防火墙时进行木马病毒扫描：假设选中此项，表示在启动防火墙时自动扫描木马病毒。连接瑞星平安资讯中心：假设选中此项，表示在联网时切换到平安资讯页面可自动连到瑞星反病毒资讯网，显示相关信息，默认为选中。程序连接网络被拒绝时提示用户：假设选中此项，表示程序连接网络失败时会提示用户，默认为选中。启用程序防篡改功能：假设选中此项，表示可以启用应用程序防篡改保护功能。未知程序访问网络时进行木马病毒扫描：假设选中此项表示当有程序进行网络活动的时候，对该进程调用未知木马病毒进行扫描，如果该进程为可疑的木马病毒，那么对用户进行告警。默认为选中。设置管理员账户密码：用户可通过设置管理员账户密码，防止普通用户在未经允许的情况下修改防火墙配置或关闭防火墙。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

②设置提示窗口停留时间，包括以下几项。应用程序访问网络提示窗口：输入应用程序访问网络的提示窗口停留时间，默认为60s。IP数据包信息窗口：输入IP数据包信息的窗口停留时间，默认为30s。气泡通知窗口：输入气泡通知窗口的停留时间，默认为10s。以上这些提示窗口的停留时间都可以根据用户的需要自行设定。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

③漏洞扫描提醒时间，用户可以设置漏洞扫描的定时提醒，时间单位为“天〞。例如，默认提醒时间是5天，那么5天以上用户没有进行漏洞扫描，就会在“工作状态〞页的系统漏洞信息处显示提醒信息。④其他功能包括以下几项。恢复默认：将当前设置恢复为默认值。保存设置：保存当前设置。计算机网络实用技术8.5实训1：杀毒软件和防火墙的安装与设置

实训报告根据实训内容，掌握杀毒软件、防火墙的安装方法与功能设置，并详细记录实训内容的步骤。计算机网络实用技术8.6实训2：配置IPSec

实训目的〔1〕掌握在WindowsXP环境下配置IPSec的步骤。〔2〕掌握在实际中应用IPSec。计算机网络实用技术8.6实训2：配置IPSec

实训内容1．翻开IPSec配置对话框翻开“开始〞菜单，单击“设置〞中的“控制面板〞命令，选择“管理工具〞中的“本地平安策略〞快捷方式，弹出“本地平安设置〞窗口，如图8-26所示。最初的窗口显示3种预定义的策略项，分别是平安效劳器、客户端和效劳器。在每个预定义的策略描述中详细解释了该策略的操作原那么。如果想修改系统预定义的细节，可以右击该策略，并单击“属性〞命令进行修改。计算机网络实用技术8.6实训2：配置IPSec

1．翻开IPSec配置对话框图8-26“本地平安设置〞窗口计算机网络实用技术8.6实训2：配置IPSec

2．新建一个策略〔1〕右击“本地平安设置〞窗口中的“IP平安策略，在本地机器上〞选项，弹出快捷菜单，单击“创立IP平安策略〞命令，如图8-27所示。弹出“IP平安策略向导〞对话框，如图8-28所示。图8-27创立IP平安策略图8-28“IP平安策略向导〞对话框计算机网络实用技术8.6实训2：配置IPSec

2．新建一个策略〔2〕单击“下一步〞按钮，为新的IP平安策略命名，并描述该平安策略，如图8-29所示。图8-29设置IP平安策略名称计算机网络实用技术8.6实训2：配置IPSec

2．新建一个策略〔3〕单击“下一步〞按钮，选中对话框中的“激活默认响应规那么〞复选框，如图8-30所示。图8-30设置平安通讯请求计算机网络实用技术8.6实训2：配置IPSec

2．新建一个策略〔4〕单击“下一步〞按钮，选中“ActiveDirectory默认值〔KerberosV5协议〕〞单项选择按钮，使其作为默认的初始身份验证方法，如图8-31所示。图8-31设置身份验证方法

计算机网络实用技术8.6实训2：配置IPSec

2．新建一个策略〔5〕单击“下一步〞按钮，选中“编辑属性〞复选框，单击“完成〞按钮即完成了IPSec的根本配置，如图8-32所示。图8-32完成IP平安策设置计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性〔1〕完成根本配置后，弹出新IP平安策略属性对话框，如图8-33所示，可以根据用户添加自定义的“IP平安规那么〞。图8-33新IP平安策略属性计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性〔2〕取消选中“使用‘添加向导’〞复选框，单击“添加〞按钮，弹出“新规那么属性〞对话框，如图8-34所示。图8-34“新规那么属性〞对话框计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性〔3〕首先设置“IP筛选器列表〞，在“IP筛选器列表〞选项上单击“添加〞按钮，弹出“IP筛选器列表〞对话框，如图8-35所示。图8-35“IP筛选器列表〞对话框计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性〔4〕输入新IP筛选器列表的名称和描述信息，取消选中“使用‘添加向导’〞复选框，单击“添加〞按钮，弹出“筛选器属性〞对话框，如图8-36所示。图8-36“筛选器属性〞对话框计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性在“筛选器属性〞对话框中包含3个标签：寻址、协议和描述。①寻址：可以对IP数据流的源地址和目标地址进行规定。②协议：可以对数据流所使用的协议进行规定，如果选择了“TCP〞或“UDP〞选项就可以对源端和目的端使用的端口号做出规定，如图8-37所示。③描述：对新筛选器做出简单描述。计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性图8-36“筛选器属性〞对话框计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性〔5〕完成筛选器属性设置后，在IP筛选器列表中会添加新设置的IP筛选器，如图8-38所示，选中此内容。图8-38选中新设置的IP筛选策略计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性〔6〕在“新规那么属性〞对话框中，选择“筛选器操作〞选项卡。对符合IP筛选器所设定规那么的数据流进行处理，如图8-39所示。取消选中“使用‘添加向导’〞复选框，单击“添加〞按钮，弹出“新筛选器操作属性〞对话框，如图8-40所示。图8-39“筛选器操作〞选项卡图8-40“新筛选器操作属性〞对话框计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性〔7〕在这里可以对新筛选器操作的细节进行设置。其中，可以选中“许可〞或者“阻止〞单项选择按钮对符合IP筛选器所设定规那么的数据流进行过滤。由此可见，这实际上就是简单地实现了一个普通防火墙的功能。另外，选中“协商平安〞单项选择按钮，还可以对允许的通信进行进一步的平安设置。单击“添加〞按钮来添加相对应的平安措施，如图8-41所示。图8-41“新增平安措施〞对话框计算机网络实用技术8.6实训2：配置IPSec

3．配置新平安策略属性在该对话框中，有3个单项选择按钮可供选择。①加密并保持完整性：选择以最高的平安级别来保护数据。使用“封装平安措施负载量〞来实现数据加密、身份验证、防止重发和完整性，以适合高的平安级别。②仅保持完整性：使用验证报头〔AH〕协议来实现完整性、防止重发和身份验证，以适合平安方案需要的标准的平安级别。AH提供IP报头和数据的完整性，是不加密的数据。③“自定义〞，如果需要加密和地址完整性、更强大的算法或密钥寿命，那么可以指定自定义的平安措施，如图8-42所示。其中包括以下几项。“数据和地址不加密的完整性〔AH〕〞算法，主要包括两种：一种是消息摘要5算法〔MD5〕，产生128b的密钥；另一种是平安散列算法〔SHA1〕，产生160b的密钥。密钥越长越平安。“数据完整性和加密〔ESP〕〞算法，其中“完整性算法