第9章网络安全与网络管理.ppt

1、计算机网络技术与应用,2,第9章 网络安全与网络管理,计算机网络技术与应用,3,本章内容,网络安全基础 网络攻击 防火墙技术 加密、认证和访问控制技术 网络管理 应用案例瑞星软件防火墙,第9章 网络安全与网络管理,4,9.1 网络安全基础,网络安全概述 网络安全面临的主要威胁,第9章 网络安全与网络管理,5,9.1.1 网络安全概述,网络安全体系需要在以下几个方面提供安全服务 ： 保密性（Confidentiality） 身份认证（Authentication） 不可抵赖性（Non-reputation） 数据完整性（Data Integrity） 访问控制（Access Control）,第

2、9章 网络安全与网络管理,6,9.1.2 网络安全面临的主要威胁,网络安全威胁的主要类型 ： 信息泄漏 信息破坏 拒绝服务,第9章 网络安全与网络管理,7,网络通信过程中面临的主要威胁,第9章 网络安全与网络管理,对网络通信的主动攻击和被动攻击,8,9.2 网络攻击,网络攻击概述 拒绝服务攻击 恶意代码,第9章 网络安全与网络管理,9,9.2.1 网络攻击概述,网络攻击人员 系统漏洞 远程攻击,第9章 网络安全与网络管理,10,网络攻击人员,攻击动机：获取利益、被关注、危害他人 。 攻击人员的类型： 黑客：挑战网络系统的安全性，窃取敏感数据。 间谍：窃取敌对方的军事、政治、经济等方面的机密信息

3、。 公司人员：入侵竞争对手的网络系统，以获取某种经济利益，也可以被看做是工业间谍的一种。 组织内部人员：出于好奇、报复、自我保护、获取经济利益等目的而对内部网络进行入侵。 犯罪人员：主要是为了牟取经济利益而对目标网络进行入侵。 恐怖主义者：对计算机网络进行入侵，以达到各种恐怖目的。,第9章 网络安全与网络管理,11,系统漏洞,漏洞是指系统在硬件、软件或防护策略上的缺陷。 漏洞的存在很广泛，几乎所有的网络结点（如路由器、防火墙、服务器、客户机等）都可能存在漏洞。 漏洞的发现和修正通常存在这样一个周期： 系统发布和使用 漏洞暴露（出现有效的攻击） 发布补丁进行系统修正 新的漏洞出现（出现新的有效攻

4、击）。,第9章 网络安全与网络管理,12,远程攻击的过程,寻找目标主机和收集目标信息 Ping ，TraceRoute ，测试目标主机可能开放了哪些服务和端口。 获取目标主机的管理权限 暴力破解、利用系统漏洞和使用木马程序等 。 隐蔽自己的攻击行为 清除日志记录、隐藏进程、隐藏连接等 。 对主机实施破坏或将主机作为傀儡主机以攻击其他主机 为以后的攻击留出后门 修改目标主机的系统配置，在目标主机上安装各种远程操作程序 。,第9章 网络安全与网络管理,13,9.2.2 拒绝服务攻击,拒绝服务攻击的类型 分布式拒绝服务攻击,第9章 网络安全与网络管理,14,拒绝服务攻击的类型,拒绝服务攻击的类型主要

5、有：洪泛攻击、Ping of Death攻击、SYN攻击、泪滴攻击、Smurf攻击等。,第9章 网络安全与网络管理,15,Smurf攻击,Smurf攻击结合使用了ICMP回复和IP欺骗的方法，通过向目标系统发送大量网络数据，造成目标系统拒绝服务。 ICMP（网际控制报文协议）用于处理错误信息和交换控制信息，通过该协议，可以确定网络中的某台主机是否响应，从而为判断主机是否出现故障提供依据。,第9章 网络安全与网络管理,16,Smurf攻击的过程,（1）攻击者向网络上的路由器发送ICMP请求，找出网络上回应ICMP请求的路由器。 （2）用伪造的IP源地址向路由器的广播地址发送ICMP消息，这个伪造

6、的IP地址是被攻击主机的IP地址。 （3）路由器将ICMP消息广播到网络上与其相连的每一台主机。 （4）这些主机进行ICMP回应，向这个伪造的IP地址（即目标主机的IP地址）发送大量的响应数据包，从而影响被攻击主机的性能并导致被攻击主机边界的网络阻塞。,第9章 网络安全与网络管理,17,Smurf攻击原理图,第9章 网络安全与网络管理,18,Smurf攻击,例如，采用300kbps流量的ICMP Echo (PING)包广播到200台主机，会产生200个ping回应，从而产生60Mbps的流量。这些流量流向被攻击的主机，会造成该主机的服务停止。 为了防御此类攻击，应采取以下措施： 关闭主机或路

7、由器广播地址对ping请求的响应功能。 对路由器进行配置，使其不直接将数据包转发给广播地址。,第9章 网络安全与网络管理,19,分布式拒绝服务攻击,第9章 网络安全与网络管理,20,9.2.3 恶意代码,恶意代码（Malicious Code）又称为恶意软件（Malicious Software, Malware），是能够在计算机系统上进行非授权操作的代码。 恶意代码具有以下特征：恶意的目的、本身是程序，通过执行发生作用。 恶意代码的主要类型包括：病毒、蠕虫、特洛伊木马、逻辑炸弹、恶意网页、流氓软件和后门程序等。,第9章 网络安全与网络管理,21,计算机病毒,中华人民共和国计算机信息系统安全保

8、护条例中对计算机病毒给出的定义是：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 从该定义可以看出，计算机病毒具有两大特征：破坏性和传染性。,第9章 网络安全与网络管理,22,计算机病毒,计算机病毒代码的结构包含三个部分：引导部分、传染部分和表现部分。 引导部分负责将病毒主体加载到内存，为实施传染做准备。 传染部分负责将病毒代码复制到新的传染目标上去。 表现部分是指在一定的触发条件下进行病毒发作。,第9章 网络安全与网络管理,23,计算机病毒,计算机病毒的防治包括防毒、查毒和解毒。 病毒的检测方法主要包括：

9、特征代码法 校验和法 行为监测法 软件模拟法,第9章 网络安全与网络管理,24,蠕虫代码,蠕虫代码主要是通过网络漏洞进行传播和扩散。 蠕虫代码包括三个基本模块：传播模块、隐藏模块和操作模块。 传播模块负责通过网络进行蠕虫代码的传播； 隐藏模块负责在入侵目标主机后进行蠕虫程序的隐藏，以防止被发现； 操作模块负责对计算机执行控制、监视或破坏操作。,第9章 网络安全与网络管理,25,蠕虫代码,关键的传播模块又可分为三个子模块：扫描、攻击和复制。 扫描模块负责在网络上寻找存在漏洞的主机，将其作为下一步攻击的对象。 攻击模块负责对存在漏洞的主机进行攻击，获取该主机的高层权限（如管理员权限）。 复制模块负

10、责将蠕虫程序通过网络复制到目标主机，并在新的主机上启动蠕虫程序。,第9章 网络安全与网络管理,26,蠕虫程序与普通病毒的比较,第9章 网络安全与网络管理,27,特洛伊木马,特洛伊木马程序是一种恶意程序，它表面上执行正常功能，实际上隐蔽地执行恶意操作，实施对主机的非授权访问。 完整的木马程序包括两个部分：服务器端程序和控制端程序。 “中了木马”是指被安装了木马的服务器端程序，这时控制端可以通过与服务器端的连接，对服务器端的主机进行各种控制，如上传和下载文件，窃取账号和密码，修改注册表信息，控制鼠标、键盘，重启计算机等。 木马程序在传播时，往往与正常文件绑定在一起，因此很难被发现。例如，某些软件下

11、载网站的软件中就有可能被绑定了木马程序。,第9章 网络安全与网络管理,28,木马程序的特点,隐蔽性 虽然它在系统启动时就自动运行，但是通常不会在任务管理器中出现，甚至不会在服务管理器中出现。 自动加载运行 木马程序为了控制服务器端，通常在系统启动时开始运行。 与目标建立连接 控制端木马程序通常利用TCP和UDP与目标主机的指定端口建立连接。 许多木马程序在主机上具有多重备份，可以相互恢复。当一个木马文件被删除后，其他木马文件会进行恢复和运行。,第9章 网络安全与网络管理,29,逻辑炸弹,逻辑炸弹是一种特殊的程序，在满足某种逻辑条件时，它会被激活，并产生破坏。 逻辑炸弹程序没有传播功能，它只针对

12、特定的受害者。,第9章 网络安全与网络管理,30,恶意网页,恶意网页是指网页中含有恶意代码，能够对访问者的电脑进行非法设置或攻击。恶意网页的几种典型破坏包括： 修改IE的起始页。 修改IE工具栏，如工具按钮、地址栏等。 修改或禁止IE的右键功能。 下载木马程序。 禁止对注册表进行修改。,第9章 网络安全与网络管理,31,流氓软件,流氓软件是一类特殊的软件，一方面，它具有正常的功能（如下载、多媒体播放等），另一方面，它包含一些恶意行为（如弹出广告、在系统中开后门等），会对用户带来某种程度的危害。其特点包括： 强制安装。 难以卸载。 弹出广告。 浏览器劫持。 恶意收集用户信息。 恶意卸载。 恶意捆

13、绑。 故意妨碍其他同类软件使用的行为。,第9章 网络安全与网络管理,32,9.3 防火墙技术,防火墙的基本概念 包过滤防火墙 代理服务器防火墙,第9章 网络安全与网络管理,33,防火墙的基本概念,第9章 网络安全与网络管理,34,防火墙的优点和局限性,防火墙的优点 防火墙作为内部网络的访问控制点，可以禁止未经授权的用户（攻击者、破坏者、网络间谍等）通过外部网络访问内部网络，也禁止某些易受攻击的服务进入或离开受保护的内网。 防火墙可以为内部网络的主机提供集中的安全保护。 防火墙可以记录和统计网络的使用情况。 防火墙的局限性 防火墙不能防范来自内部网络的攻击。 不能防范绕过防火墙的攻击。 不能防范

14、计算机病毒。,第9章 网络安全与网络管理,35,9.3.2 包过滤防火墙,包过滤防火墙通常由路由器来实现，也被称为包过滤路由器或屏蔽路由器。 包过滤防火墙对进出网络的IP包进行监视和过滤，对不安全的包进行屏蔽。 包过滤规则的设计是该类防火墙的关键所在严密的包过滤规则能够加强防火墙的安全性。,第9章 网络安全与网络管理,36,包过滤防火墙示意图,第9章 网络安全与网络管理,37,包过滤路由器,包过滤路由器对进出的IP包进行审查，将其与预先设计好的各种包过滤规则相匹配，从而决定是否丢弃或拒绝某些IP包。 包过滤路由器在审查IP包时，主要是对IP包的包头信息进行分析，而不考虑包所携带的数据内容。 包

15、头信息主要包括：源IP地址、目的IP地址、封装的协议（TCP、UDP、ICMP）、TCP/UDP源端口、TCP/UDP目的端口等。另外，在进行包过滤时，还要利用路由器的IP包输入接口和IP包输出接口等信息。,第9章 网络安全与网络管理,38,某些常用网络服务使用的端口,第9章 网络安全与网络管理,39,包过滤防火墙对数据包的处理过程,第9章 网络安全与网络管理,40,包过滤防火墙过滤规则的设定,下面是一个包过滤防火墙访问控制规则的例子： 允许网络访问主机的http服务（80端口）； 允许IP地址为和202.206.2

16、15.8的主机通过Telnet（23端口）连接到主机上； 允许任意IP地址的主机访问主机提供的DNS服务（53端口）； 不允许其他数据包的进入。,第9章 网络安全与网络管理,41,9.3.3 代理服务器防火墙,代理服务器防火墙是一种特定的服务器程序，它是基于软件的，与基于路由器的包过滤防火墙有较大的不同。 代理服务器防火墙位于外部网络与内部网络之间，它接收客户端的请求，然后根据已制定好的安全控制规则决定是否将其转发给真正的服务器。,第9章 网络安全与网络管理,42,代理服务器的主要功能,接收和解释客户端发来的请求。 作为新的客户端创建与服务器

17、的连接。 接收服务器发来的响应。 解释服务器发来的响应并将其转发给客户端。,第9章 网络安全与网络管理,43,代理服务器的工作原理,第9章 网络安全与网络管理,44,代理服务器防火墙的优缺点,代理服务器的主要优点包括： 与包过滤路由器相比，配置容易。 能够生成各种日志记录 ，对流量分析、安全检查及计费提供帮助。 能够提供更好的访问控制 。 能够对数据内容进行过滤。 代理服务器的主要缺点包括： 速度较慢。 代理服务对用户不透明。 对于每种应用层协议要使用不同的代理服务。 代理服务不能提高低层协议的安全性 。,第9章 网络安全与网络管理,45,9.4 加密、认证和访问控制技术,加密技术 公开密钥基

18、础设施 身份认证技术 访问控制技术,第9章 网络安全与网络管理,46,9.4.1 加密技术,第9章 网络安全与网络管理,整个加密/解密过程可表示为：D(E(P)=P。,47,使用一个密钥的加/解密过程,第9章 网络安全与网络管理,可表示为：DK(EK(P)=P,48,使用两个密钥的加/解密过程,第9章 网络安全与网络管理,可表示为：DK2(EK1(P)=P,49,对称密钥加密算法,对称密钥加密算法的加密密钥能够通过解密密钥推算出来，反之亦然。 大部分对称密钥加密算法的加密密钥和解密密钥是相同的，这些算法也被称为单密钥算法。 在密码体系中，加密算法和解密算法通常是公开的。 对于对称密钥加密算法来

19、说，通信的发送方和接收方在安全通信之前要协商一个共享的密钥，该密钥必须通过一个安全的渠道被通信双方所知悉。,第9章 网络安全与网络管理,50,对称密钥加密算法,DES（Data Encryption Standard，数据加密标准） DES是典型的对称密钥算法，它是由IBM公司在20世纪70年代研究出来的。 DES算法使用56位的密钥，将64位的明文块转换成64位的密文块。 其密钥空间有256种组合。 三重DES(Triple DES) 三重DES的密钥长度是112位。 加密过程分三个主要步骤：首先将明文块用密钥的前56位进行加密，然后将结果用密钥的后56位进行加密，最后再用密钥的前56位进行

20、加密。 其密钥空间有2112种组合，很难破解。,第9章 网络安全与网络管理,51,非对称密钥加密算法,非对称密钥加密算法又称为公开密钥算法。它采用不同的加密密钥和解密密钥，而且解密密钥不能通过加密密钥计算出来。 这样就可以将加密密钥公开，每个人都可以使用加密密钥进行信息加密，而只有拥有解密密钥的人才能对加密的信息进行解密。 在公开密钥加密系统中，这个公开的加密密钥被称为公开密钥（简称公钥）；而解密密钥被称为秘密密钥（又被称为私有密钥，简称私钥）。,第9章 网络安全与网络管理,52,使用非对称密钥的加/解密过程,第9章 网络安全与网络管理,53,非对称密钥加密算法,公开密钥加密技术较好地解决了密

21、钥的交换问题。自1976年公开密钥的思想被提出以来，国际上已出现了多种公开密钥加密算法。比较流行的有基于大整数因子分解问题的RSA算法、基于椭圆曲线上的离散对数问题的Differ-Hellman算法等。 RSA算法与DES算法相比，其主要缺点是：产生密钥的过程复杂；由于需要进行大数运算，计算速度很慢。因此，RSA算法主要用于少量数据的加密，如对DES密钥的加密，从而解决DES密钥的分发问题。而DES算法的运算速度很快，适合进行大量数据的加密。,第9章 网络安全与网络管理,54,9.4.2 公开密钥基础设施,一个利用对称密钥和非对称密钥进行数据加密通信的例子: Alice和Bob要通过网络进行秘

22、密通信。 Alice Bob：我是Alice,这是我的公钥Ka。你选择一个会话密钥K（对称密钥），然后将K用Ka加密后发送给我。 Bob Alice:将数据通信用的会话密钥K用Alice的公钥Ka加密后发送给Alice。 Alice：使用自己的私钥Pa解密Ka（K），得到会话密钥K。 Alice Bob:使用会话密钥K加密并传输信息。 Bob Alice: 使用会话密钥K加密并传输信息。,第9章 网络安全与网络管理,55,中间人攻击,Mallory首先截获Alice的公钥Ka，并将自己的公钥Km发送给Bob。 Bob收到公钥Km后，会把它当作Alice的公钥Ka，他用Km加密准备用于加密信息的

23、会话密钥K，并将其（Km（K）传送给Alice。 当Mallory进一步截获到它以后，就会用自己的私钥进行解密，从而得到会话密钥K，然后再用Alice的公开密钥重新加密会话密钥K,并将其传送给Alice。 这样Mallory就得悉了Alice和Bob用于加密信息的会话密钥K，从而可以对Alice和Bob之间的加密通信进行窃听并解密。这种攻击方式称为中间人攻击。,第9章 网络安全与网络管理,56,公开密钥基础设施,这种攻击之所以成功的原因在于：Bob无法判断接收到的公钥是否就是Alice本人的，即其无法判断公钥所有人的真实身份。这个问题会影响信息传输的保密性、不可否认性和信息交换的完整性。 为了

24、解决这些安全问题，可以利用公开密钥基础设施（Public Key Infrastructure, PKI）中的技术。 根据X.509标准给出的定义，PKI是软件、硬件、人员、策略和规程的集合，它通过管理密钥和数字证书为基于公钥的安全服务提供支持。,第9章 网络安全与网络管理,57,数字证书,数字证书用于管理用户的公钥：它将用户公钥与用户的其他特征信息（如名称、E-mail等）绑定在一起，并通过可信任的第三方机构认证机构（Certification Authority，CA）进行电子签名，从而证明公钥和用户身份的一致性。 数字证书的主要类型包括：客户证书（个人证书）、站点证书（服务器证书）和软件

25、开发者证书。,第9章 网络安全与网络管理,58,一个数字证书的例子,第9章 网络安全与网络管理,59,证书认证机构（CA）,证书认证机构（CA）的基本功能是签发和管理数字证书。它能够接收用户注册请求，处理、批准或拒绝请求，颁发证书。,第9章 网络安全与网络管理,60,身份认证技术,用户名/密码方式 智能卡方式 动态口令方式 生物特征认证方式,第9章 网络安全与网络管理,61,9.4.4 访问控制技术,访问控制（Access Control）是在身份认证的基础上，根据用户的身份决定其能够访问哪些资源以及对这些资源能够进行哪些操作。,第9章 网络安全与网络管理,62,基于角色的访问控制,基于角色的

26、访问控制（RBAC）中的要素主要包括用户、角色和许可。 用户是指能够独立访问计算机系统中数据或其他资源的主体。 角色是指根据用户在组织或某一任务中的位置，定义他所拥有的权利和责任。 许可是指允许对资源进行的操作。 一个角色可以包含多个用户，一个用户也可以具有多个角色；每个角色可具有多种操作许可，每种许可也可授权给多个角色。,第9章 网络安全与网络管理,63,9.5 网络管理,网络管理就是利用各种工具、应用程序和设备，帮助网络管理员对计算机网络进行监视和维护。 通过收集网络中各种设备的工作状态、性能参数，可以帮助网络管理员正确地分析网络工作状况，从而对各网络设备进行有效地控制，实现网络的高效、正

27、常运行。,第9章 网络安全与网络管理,64,9.5.1 网络管理体系结构,主要由管理实体、被管理的设备和负责实现两者之间通信的网络管理协议构成。 典型的网络管理协议包括：简单网络管理协议（Simple Network Management Protocol，SNMP）和公共管理信息协议（Common Management Information Protocol，CMIP）。,第9章 网络安全与网络管理,65,网络管理体系结构,第9章 网络安全与网络管理,66,9.5.2 ISO网络管理模型,国际标准化组织（ISO）提出了网络管理模型，很好地阐述了网络管理的主要功能。 性能管理（Perform

28、ance Management） 配置管理（Configuration Management） 记账管理（Accounting Management） 故障管理（Fault Management） 安全管理（Security Management）。,第9章 网络安全与网络管理,67,性能管理,性能管理的目标是通过测量和改进网络性能的各个方面，使得网络性能能够满足要求。 反映网络性能的参数包括：网络吞吐量、用户响应时间、传输延迟、线路利用率、平均无故障时间等。 性能管理包括三个主要步骤： 首先，收集反映网络性能的数据； 然后，对这些性能数据进行分析，确定正常的网络性能指标； 最后，对每一项重要

29、的性能参数设定报警门限，当网络性能变量值超出预设门限时，表明网络性能出现了问题。,第9章 网络安全与网络管理,68,配置管理,配置管理的目的是监视网络与系统的配置信息，跟踪和管理各种版本的软硬件要素对网络运行的影响。,第9章 网络安全与网络管理,69,配置管理,每个网络设备都有相关联的种种软硬件版本信息。例如，一个工作站被配置了以下版本的软硬件： 操作系统，V3.5。 以太网接口，V5.6。 TCP/IP软件，V2.0。 NFS 软件，V5.0。 串行通信控制器，V1.1。 X.25软件，V1.1。 SNMP 软件，V3.0。 配置管理子系统将配置信息保存在数据库中，可以在需要的时候进行方便地

30、查询。,第9章 网络安全与网络管理,70,记账管理,记账管理用于统计用户对网络的使用情况。 对于网络通信服务公司和ISP来说，记账管理能够帮助他们实现对用户的合理收费以及掌握网络的利用率情况。 对于单位内部网来说，通过统计用户的网络使用时间、网络资源利用率等参数，可以适当地控制和调节用户对网络资源的访问，从而提高网络资源的利用率，满足更多用户的需求。,第9章 网络安全与网络管理,71,记账管理,记账管理包括以下几个步骤： 对所有重要网络资源的使用情况进行测量； 通过对这些测量结果进行分析，得到当前的网络使用模式； 进行有效的使用限额分配； 为了对网络使用方式进行优化，需要不断地进行资源使用情况

31、的测量，及时做出调整。,第9章 网络安全与网络管理,72,故障管理,故障管理的目的包括检测、记录和通知用户故障的发生，以及在必要时自动修复网络故障。 网络故障能够引起网络瘫痪或使网络性能下降，因此，为了保证网络的有效运行，必须加强网络故障管理。,第9章 网络安全与网络管理,73,故障管理,故障管理的具体内容包括： 通过诊断测试，发现网络故障并对故障进行隔离； 对故障进行修复或通过启动备用设备以恢复网络的正常运行； 记录故障的检测和解决过程。,第9章 网络安全与网络管理,74,安全管理,安全管理的目的是根据本地策略控制对网络资源的访问，防止用户对网络资源进行有意或无意的破坏，禁止未授权用户对敏感

32、信息的访问。 例如，一个安全管理子系统能够监视用户的登录情况并拒绝登录口令错误的用户进入系统。,第9章 网络安全与网络管理,75,安全管理,安全管理子系统可以将网络资源分成两大类：受控资源和非受控资源。 对于企业外部用户来说，其对内网中任何资源的访问往往都是不允许的； 对于大部分企业内部用户来说，其对某些特定资源的访问，往往也是不允许的。,第9章 网络安全与网络管理,76,安全管理,安全管理子系统需要完成以下任务： 确定敏感的网络资源（包括系统硬件、软件和数据）； 确定用户对敏感网络资源的访问权限； 在敏感网络资源的访问点上进行监视并记录对敏感网络资源的非法访问。,第9章 网络安全与网络管理,

33、77,9.5.3 简单网络管理协议,简单网络管理协议（Simple Network Management Protocol，SNMP）属于应用层协议，它用于在网络设备之间交换管理信息。 SNMP能够帮助网络管理员管理和维护网络，提高网络的可靠性和可用性。,第9章 网络安全与网络管理,78,SNMP管理模型的组成,通过SNMP管理的网络主要包括三个部分：网络管理系统（Network Management System，NMS）、被管理的设备、代理（Agent）。 网络管理系统负责监视和控制被管理的设备，在被管理的网络上至少存在一个NMS。 被管理的设备（某个网络结点）通过SNMP代理收集和存储设

34、备的管理信息并通过SNMP将信息发给NMS。被管理设备的具体类型包括路由器、交换机、网桥、集线器、访问服务器、打印机等。 代理是驻留在被管理设备上的软件模块。代理负责收集设备管理信息并发送给NMS。,第9章 网络安全与网络管理,79,SNMP的消息类型,NMS和代理之间通过消息进行通信，有5种类型的消息：GetRequest、GetNextRequest、SetRequest 、GetResponse和Trap。 GetRequest消息：通过SNMP代理获取被管理设备的参数。 GetNextRequest消息：用于从代理中获取紧跟当前参数值的下一个参数值。 SetRequest消息：对网络设

35、备进行配置，包括设备名、设备属性等参数。 GetResponse消息：对请求消息进行响应，如提供差错状态、参数值列表等。 Trap消息：由代理向NMS主动发出的消息，用于报告某些事件的发生。,第9章 网络安全与网络管理,80,9.6 应用案例瑞星软件防火墙,第9章 网络安全与网络管理,81,防火墙软件的日志文件,事件的类型主要分为以下10类： 防火墙系统事件：记录防火墙的启动和关闭、网络的连接和断开等事件。 攻击事件：记录防火墙受到的攻击事件。 IP事件：记录防火墙规则要求软件记录的IP信息。 TCP事件：记录防火墙规则要求软件记录的TCP信息。 UDP事件：记录防火墙规则要求软件记录的UDP

36、信息。 用户编辑IP规则事件：记录用户对IP规则进行编辑的事件。 用户编辑访问规则事件：记录用户对访问规则进行编辑的事件。 用户配置防火墙事件：记录用户对防火墙配置的事件。 木马扫描事件：记录对内存中木马进行扫描的事件。 ARP欺骗事件：记录防火墙软件阻止ARP欺骗的事件。,第9章 网络安全与网络管理,82,规则设置,黑名单设置 白名单设置 端口开关设置 可信区设置 IP规则设置,第9章 网络安全与网络管理,83,黑名单设置,黑名单指的是禁止与本机进行通信的设备列表。例如，曾对本机发起攻击的计算机可以被列入黑名单。 对黑名单中的记录可以进行增加、删除、导入、导出操作。增加黑名单记录时，可对某一特定IP地址的设备进行限制，也可对某个地址范围内的设备进行限制。,第9章 网络安全与网络管理,84,白名单设置,白名单为本机完全信任的设备列表。例如，VPN服务器就可被加入白名单。对白名单的操作与对黑