網(wǎng)絡(luò)管理教案講課教案

1、網(wǎng)絡(luò)管理教案精品文檔第9章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全本章主要內(nèi)容? 網(wǎng)絡(luò)系統(tǒng)管理的概念和基本功能，簡單網(wǎng)絡(luò)管理協(xié)議SNMP的組成及應(yīng)用,實(shí)用網(wǎng)絡(luò)管理系統(tǒng)；網(wǎng)絡(luò)安全的基本概念，影響網(wǎng)絡(luò)安全的因素和網(wǎng)絡(luò)安全 對策，數(shù)據(jù)加密的基本概念、常用的加密算法和鑒別技術(shù)的應(yīng)用，網(wǎng)絡(luò)防火 墻的概念、技術(shù)分類和應(yīng)用。本章要求：? 了解簡單網(wǎng)絡(luò)管理協(xié)議的組成及應(yīng)用? 了解影響網(wǎng)絡(luò)安全的因素和網(wǎng)絡(luò)安全對策? 了解數(shù)據(jù)加密的基本概念、常用的加密方法和鑒別技術(shù)的應(yīng)用? 了解網(wǎng)絡(luò)防火墻的概念、技術(shù)和應(yīng)用? 掌握網(wǎng)絡(luò)管理的基本功能、網(wǎng)絡(luò)安全的基本概念和內(nèi)涵本章分為六小節(jié)：9. 1網(wǎng)絡(luò)管理概述9. 2簡單網(wǎng)絡(luò)管理協(xié)議9. 3常用網(wǎng)絡(luò)管

2、理系統(tǒng)9. 4網(wǎng)絡(luò)安全9. 5數(shù)據(jù)加密技術(shù)9. 6防火墻1網(wǎng)絡(luò)管理概述.網(wǎng)絡(luò)管理的概念：? 為保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定、高效和可靠運(yùn)行，對網(wǎng)絡(luò)的各種軟硬件設(shè)施和人員進(jìn) 行的綜合管理。網(wǎng)絡(luò)管理主要是要保障網(wǎng)絡(luò)設(shè)備的正常運(yùn)行、監(jiān)控網(wǎng)絡(luò)的各 項(xiàng)功能、優(yōu)化網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等。.網(wǎng)絡(luò)管理的要求：? 網(wǎng)絡(luò)管理離不開：?現(xiàn)代網(wǎng)絡(luò)管理方法和技術(shù)；?網(wǎng)絡(luò)管理工具(網(wǎng)管軟件)；?網(wǎng)絡(luò)管理協(xié)議。.網(wǎng)絡(luò)管理的內(nèi)容：? 網(wǎng)絡(luò)管理的基本內(nèi)容包括：(1)數(shù)據(jù)通信網(wǎng)中的流量控制(2)路由選擇策略管理(3)網(wǎng)絡(luò)安全保護(hù)(4)網(wǎng)絡(luò)的故障診斷與修復(fù)收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔.網(wǎng)絡(luò)管理系統(tǒng)組成：? 網(wǎng)絡(luò)管理系統(tǒng)是用于實(shí)現(xiàn)對網(wǎng)

3、絡(luò)全面、有效管理和實(shí)現(xiàn)網(wǎng)絡(luò)管理目標(biāo)的系 統(tǒng)。? 一個(gè)網(wǎng)管系統(tǒng)從邏輯上包括管理進(jìn)程、管理代理、管理信息庫和管理協(xié)議四部分。? 管理對象：是指網(wǎng)絡(luò)客戶機(jī)和網(wǎng)絡(luò)設(shè)備等，如服務(wù)器、工作站、集線器、路 由器、交換機(jī)、網(wǎng)卡等。這些網(wǎng)絡(luò)設(shè)備對應(yīng)的具體可以操作的數(shù)據(jù)等也是網(wǎng) 絡(luò)管理的對象，如網(wǎng)絡(luò)設(shè)備的工作狀態(tài)和工作參數(shù)等數(shù)據(jù)。? 管理進(jìn)程manager ：用于對網(wǎng)絡(luò)設(shè)備和設(shè)施進(jìn)行全面管理和控制的軟件。它 駐留在網(wǎng)絡(luò)管理站上。? 管理代理agent ：駐留在網(wǎng)絡(luò)管理對象上、配合管理進(jìn)程進(jìn)行網(wǎng)絡(luò)管理的軟 件。? 管理信息庫MIB :用于記錄網(wǎng)絡(luò)中被管理對象的相關(guān)信息。? 管理協(xié)議：負(fù)責(zé)在管理系統(tǒng)和管理對象之間傳輸

4、操作命令和解釋管理操作命 令。? 一個(gè)管理進(jìn)程(manager)可以與多個(gè)管理代理 (agent)進(jìn)行信息交互，同時(shí)一個(gè) 管理代理也可以接受來自多個(gè)管理進(jìn)程的管理操作。.網(wǎng)絡(luò)管理功能：? 在OSI 7498-4文件定義的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中，將網(wǎng)絡(luò)管理功的能分為配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理五個(gè)功能域。? 網(wǎng)絡(luò)管理是為網(wǎng)絡(luò)管理員進(jìn)行監(jiān)視、控制和維護(hù)網(wǎng)絡(luò)而設(shè)計(jì)的。(1)配置管理? 為適應(yīng)和支持網(wǎng)絡(luò)中用戶、設(shè)備、系統(tǒng)的變化，調(diào)整軟硬件運(yùn)行參數(shù)，以保 證網(wǎng)絡(luò)正常運(yùn)行，要進(jìn)行網(wǎng)絡(luò)的配置管理。網(wǎng)絡(luò)配置是指網(wǎng)中每個(gè)設(shè)備的功 能、點(diǎn)的連接關(guān)系和工作參數(shù)等，反映的是網(wǎng)絡(luò)狀態(tài)。? 配置管理主要包括網(wǎng)

5、絡(luò)節(jié)點(diǎn)地址分配管理、節(jié)點(diǎn)接入和撤消的自動(dòng)管理、遠(yuǎn) 程加載與轉(zhuǎn)儲(chǔ)管理及虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的配置等。配置管理就是用來定義、記 錄、控制和檢測網(wǎng)絡(luò)中的被管理對象的集合。(2)性能管理? 性能管理主要是通過收集、分析和測試網(wǎng)絡(luò)性能參數(shù)，評(píng)價(jià)網(wǎng)絡(luò)運(yùn)行過程中 的主要性能指標(biāo)，為管理機(jī)構(gòu)提供決策依據(jù)。? 通常影響網(wǎng)絡(luò)性能的參數(shù)有：網(wǎng)絡(luò)吞吐量、響應(yīng)時(shí)間、線路利用率、費(fèi)用、 負(fù)載等。? 網(wǎng)絡(luò)性能管理分為網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)控制。? 網(wǎng)絡(luò)監(jiān)控是對網(wǎng)絡(luò)工作狀態(tài)信息的收集和整理；? 網(wǎng)絡(luò)控制是指為改善網(wǎng)絡(luò)設(shè)備性能而采取的動(dòng)作和措施。(3)故障管理收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 網(wǎng)絡(luò)故障管理 是指對網(wǎng)絡(luò)系統(tǒng)故P的預(yù)

6、防、檢測（診斷）、恢復(fù)或排除等操作進(jìn)行管理。其目的是保證網(wǎng)絡(luò)提供連續(xù)、可靠的服務(wù)。? 網(wǎng)絡(luò)故障管理的三步曲：預(yù)防、檢測（診斷）和排除（恢復(fù)、糾正）? 預(yù)防：關(guān)鍵數(shù)據(jù)的存儲(chǔ)、備份，硬件的隨時(shí)維護(hù)和更新等。? 檢測：檢測被管理對象的故障現(xiàn)象，進(jìn)行系統(tǒng)診斷、測試和分析，以便跟蹤 和識(shí)別故障，找出故障原因和故障點(diǎn)。? 排除：隔離故障源，盡快排除故障，恢復(fù)系統(tǒng)運(yùn)行。（4）安全管理? 網(wǎng)絡(luò)安全管理是用來保護(hù)網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶的安全。安全管理主要是針對 網(wǎng)絡(luò)環(huán)境的各種人為因素對網(wǎng)絡(luò)造成的威脅。如非法用戶對網(wǎng)絡(luò)資源的侵害 （盜用、更改和破壞卜合法用戶對網(wǎng)絡(luò)資源的非法訪問等。? 安全管理的策略有安全立法、安全行

7、政人事管理、網(wǎng)絡(luò)軟硬件安全保護(hù)、系 統(tǒng)訪問控制、數(shù)據(jù)加密保護(hù)、采用防火墻技術(shù)和防病毒技術(shù)等。（5）計(jì)費(fèi)管理? 網(wǎng)絡(luò)計(jì)費(fèi)管理 就是控制和管理用戶使用的網(wǎng)絡(luò)資源，核算用戶費(fèi)用等。? 計(jì)費(fèi)管理中要核算和計(jì)費(fèi)的網(wǎng)絡(luò)資源主要包括：硬件資源，軟件和數(shù)據(jù)資 源，網(wǎng)絡(luò)服務(wù)和其他網(wǎng)絡(luò)設(shè)施開銷。? 計(jì)費(fèi)管理的作用有二：? 對網(wǎng)絡(luò)資源的使用情況進(jìn)行統(tǒng)計(jì)，以便系統(tǒng)合理地調(diào)度和分配資源， 為用戶提供高效的服務(wù)。? 核算資源費(fèi)用，進(jìn)行系統(tǒng)收費(fèi)管理。? 大部分企業(yè)網(wǎng)對內(nèi)部用戶使用的資源不收取費(fèi)用，主要是達(dá)到第一個(gè)目的。? 在實(shí)際網(wǎng)絡(luò)管理過程中網(wǎng)絡(luò)管理功能非常廣泛，包括很多方面。除以上五種 基本功能外還有網(wǎng)絡(luò)規(guī)劃、數(shù)據(jù)庫管理

8、、操作人員管理等。.2簡單網(wǎng)絡(luò)管理協(xié)議? ISO提出了網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)CMIS （公共管理信息服務(wù)）和CMIP （公共管理信息協(xié)議）。CMIS/CMIP 與OSI/RM 一樣，未得到社會(huì)的廣泛支持，幾乎無產(chǎn) 品，只有參考價(jià)值。而 TCP/IP的SNMP （簡單網(wǎng)絡(luò)管理協(xié)議）得到廠商的一致 支持。. SNMP的發(fā)展? SNMP是一個(gè)網(wǎng)絡(luò)應(yīng)用層協(xié)議。網(wǎng)絡(luò)管理人員使用該協(xié)議可以較容易地管理 網(wǎng)絡(luò)，發(fā)現(xiàn)和解決網(wǎng)絡(luò)問題。?1987 年 11 月因特網(wǎng)工程任務(wù)組 IETF （Internet Engineering Task Force）提出了簡單網(wǎng)關(guān)管理協(xié)議 SGMP,隨后公布的 SNMP v1即是在S

9、GMP基礎(chǔ)上發(fā)展起 來的。? SNMPv1是一個(gè)簡單的協(xié)議，在大規(guī)模網(wǎng)絡(luò)上也易于實(shí)現(xiàn)。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔?1993年IETF提出的SNMPv2對SNMP v1在數(shù)據(jù)的分布式管理和安全性方面進(jìn)行了改進(jìn)。?1999年公布的SNMPv3對SNMPv2在安全和可管理體系結(jié)構(gòu)方面又有了較大的改進(jìn)。. SNMP網(wǎng)絡(luò)管理模型? SNMP網(wǎng)絡(luò)管理模型：管理進(jìn)程 (Manager Station) 管理代理(Agent)和管理信 息庫(MIB )。? 模型如圖示：河格甘町砧廠M生(1)管理進(jìn)程：? 管理進(jìn)程(Manager )是網(wǎng)絡(luò)管理的核心軟件，一般是安裝在被稱為網(wǎng)絡(luò)管理站”的主機(jī)上

10、。在該主機(jī)上運(yùn)行網(wǎng)絡(luò)管理協(xié)議、網(wǎng)絡(luò)管理支持工具和網(wǎng)絡(luò)管理 應(yīng)用軟件。? 每個(gè)網(wǎng)絡(luò)中至少有一個(gè)網(wǎng)絡(luò)管理站，它運(yùn)行管理進(jìn)程軟件，對其它站進(jìn)行管 理。? Manager完成各種網(wǎng)絡(luò)管理功能。通過各設(shè)備中的管理代理對網(wǎng)絡(luò)中的各種 資源實(shí)施檢測和控制。網(wǎng)管操作人員通過 Manager對全網(wǎng)進(jìn)行管理。(2)管理代理：? 管理代理Agent是駐留在被管理站上的一套軟件，它負(fù)責(zé)執(zhí)行Manager的管理操作。Agent直接操作本地信息庫 MIB ,如果Manager需要，它可根據(jù)要 求改變本地 MIB或提取數(shù)據(jù)傳回到 Manager。? Agent可從MIB中讀取各種變量值；也可以在MIB中修改各種變量值；并與

11、Manager進(jìn)行通信，以響應(yīng)其管理請求。? 被管理站包括主機(jī)、網(wǎng)關(guān)、服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備。(3)管理信息庫? 管理信息庫MIB是一個(gè)概念上的數(shù)據(jù)庫。管理代理所收集的包括網(wǎng)絡(luò)設(shè)備的系統(tǒng)信息、資源使用及各網(wǎng)段信息流量等管理信息都存放在MIB中。每個(gè)Agent擁有自己的本地 MIB ,各Agent控制的管理對象共同構(gòu)成全網(wǎng)的管理 信息庫。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? MIB包括報(bào)文分組計(jì)數(shù)、出錯(cuò)計(jì)數(shù)、用戶訪問計(jì)數(shù)、IP路由選擇表等。? Manager通過查看MIB的內(nèi)容實(shí)現(xiàn)對網(wǎng)絡(luò)的檢測，通過修改 MIB的內(nèi)容完 成對網(wǎng)絡(luò)的控制。? SNMP提供的是面向無連接的服務(wù)，采

12、用輪詢法進(jìn)行管理。Manager每隔一段時(shí)間向每個(gè)Agent發(fā)出詢問，以獲取管理信息。當(dāng)被管理對象發(fā)生緊急情 況時(shí)，Agent主動(dòng)向Manager匯報(bào)。. SNMP的命令：? SNMP定義了一套用于 Manager和Agent之間進(jìn)行通信的命令，通過這些命 令來實(shí)現(xiàn)管理功能。? SNMP的操作主要有四類：存、取、陷阱和通知。? ?。℅et）操作： 有 get request get next request get bulk request 和 get response 等命令，主要是從 Agent那里取得指定的 MIB變量值和對這些取請求的響 應(yīng)。? 寫（Set）操作： 有set reque

13、st和set response命令，用于寫入 Agent指定的MIB 變量值和對寫操作的響應(yīng)。? 陷阱（Trap）操作：用于當(dāng)網(wǎng)絡(luò)發(fā)生錯(cuò)誤或出現(xiàn)緊急情況時(shí)，Agent立即向網(wǎng)絡(luò)管理站報(bào)警，不需等待接收方響應(yīng)。? 通知（Inform ）操作：有Inform request和Inform response命令，用于在不同的 管理進(jìn)程之間發(fā)送管理信息和陷阱信息，及收到這些信息的響應(yīng)。SNMPv2? SNMP的優(yōu)點(diǎn)是簡單、便捷，因此得到了廣泛應(yīng)用。但它還存在著諸如不能 有效地傳輸大塊數(shù)據(jù)，不能將網(wǎng)絡(luò)管理功能分散化，安全性能不夠理想等缺 點(diǎn)。?1996年推出的SNMPv2能夠克服上述缺點(diǎn)，但在安全性方面

14、也過于復(fù)雜。? SNMPv2采用了較好的分散化管理方法。在一個(gè)網(wǎng)絡(luò)中可以有多個(gè)頂級(jí)管理 站，每個(gè)管理站管理網(wǎng)絡(luò)的一部分代理進(jìn)程，并指派若干個(gè)代理進(jìn)程使之具 有管理其他代理進(jìn)程的功能。3常用網(wǎng)絡(luò)管理系統(tǒng)常見的作為網(wǎng)絡(luò)管理者運(yùn)行的網(wǎng)絡(luò)管理系統(tǒng)軟件有：HP公司的Open View ,IBM 公司的 NetView , SUN 公司的 SunNet Manager , Cabletron 公司的 SPECTRUM 和 Novell 公司的 NetWare Manage Wise 。HP Open View 是第一個(gè)綜合的實(shí)用的網(wǎng)絡(luò)管理系統(tǒng)，SunNet Manager是第一個(gè)基于UNIX的網(wǎng)絡(luò)管理系統(tǒng)

15、，但它們都不能提供對NetWare、SNA、DECnet、X.25和無線通信交換機(jī)及其他非SNMP設(shè)備的管理功能。? NetWare Manage Wise 提供對 NetWare操作系統(tǒng)的管理功能。? Cabletron SPECTRUM 是一個(gè)可擴(kuò)展的、智能的網(wǎng)絡(luò)管理系統(tǒng)。它支持收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔NetWare操作系統(tǒng)和 Apple TalK、IPX等協(xié)議。. 4網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全概述（1）網(wǎng)絡(luò)安全的概念?網(wǎng)絡(luò)安全”可理解為 網(wǎng)絡(luò)系統(tǒng)不存在任何威脅狀態(tài)”。為防范諸如病毒的破壞、黑客的入侵、計(jì)算機(jī)犯罪、人為的主動(dòng)或被動(dòng)攻擊等威脅，而采取一些 措施則可保證網(wǎng)絡(luò)系統(tǒng)的安全

16、。? 網(wǎng)絡(luò)安全是指采取各種技術(shù)和管理措施防止網(wǎng)絡(luò)中各種資源不被有意或無意 地破壞和侵害等。? 網(wǎng)絡(luò)系統(tǒng)安全主要涉及系統(tǒng)的可靠性、軟件和數(shù)據(jù)的完整性、可用性和保密 性幾方面的問題。系統(tǒng)的可靠性：保證網(wǎng)絡(luò)系統(tǒng)不因各種因素的影響而中斷正常工作；數(shù)據(jù)的完整性：保護(hù)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)和傳輸?shù)能浖ǔ绦颍┡c數(shù)據(jù)不被非法操作，如刪除、添加、更改等；數(shù)據(jù)的可用性：保證數(shù)據(jù)完整的同時(shí)還能被正常利用和操作；數(shù)據(jù)的保密性：數(shù)據(jù)的保密性主要是利用密碼技術(shù)對數(shù)據(jù)進(jìn)行加密處理，保證在系統(tǒng)中存儲(chǔ)和網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被無關(guān)人員識(shí)別。（2）網(wǎng)絡(luò)安全級(jí)別：? 美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)可信計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則將安全 級(jí)別分為四

17、類七級(jí)：? D1級(jí)（安全的最低級(jí)）：該級(jí)不設(shè)置任何安全保護(hù)措施，軟硬件都容易被侵襲。MS-DOS、Windows 95/98等系統(tǒng)為 D1級(jí)（缺乏保護(hù)）? C1級(jí)（選擇性安全保護(hù)級(jí)）：硬件采取簡單安全措施（加鎖），登錄認(rèn)證和訪問權(quán)限制不能控制已登錄用戶的訪問級(jí)別。早期的Unix/Xenix、NetWare 3.x等屬于該級(jí)。? C2級(jí)（訪問控制環(huán)境級(jí)）：比C1級(jí)增加了系統(tǒng)審計(jì)、跟蹤記錄、安全事件等 特性。Unix、NetWare 4.x及以上版、Windows NT等屬于該級(jí)。是保證敏感 信息安全的最低級(jí)。? B1級(jí)（標(biāo)記安全保護(hù)級(jí)）：B1級(jí)系統(tǒng)擁有者為政府機(jī)構(gòu)和防御承包商。? B2 級(jí)：結(jié)構(gòu)

18、化安全級(jí)（Structured Protection）? B3 級(jí)：安全域級(jí)（Security Domain）收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? A1級(jí)：驗(yàn)證設(shè)計(jì)級(jí)(Verity Design),最高安全級(jí)。網(wǎng)絡(luò)系統(tǒng)的威脅：? 無意威脅是在無預(yù)謀的情況下破壞了系統(tǒng)的安全性、可靠性或資源的完整性 等? 無意威脅主要是由一些偶然因素引起，如軟、硬件的機(jī)能失常，不可避免的 人為錯(cuò)誤，電源故障和自然災(zāi)害等。? 故意威脅實(shí)際上就是 人為攻擊由于網(wǎng)絡(luò)本身存在缺陷，因此總有某些人 或某些組織想方設(shè)法利用網(wǎng)絡(luò)系統(tǒng)達(dá)到某種目的，如從事工業(yè)、商業(yè)或軍事 情報(bào)的搜集工作的間諜，對相應(yīng)領(lǐng)域的網(wǎng)絡(luò)信息是最感

19、興趣的，他們對網(wǎng)絡(luò) 系統(tǒng)的安全構(gòu)成了主要威脅。? 被動(dòng)攻擊和主動(dòng)攻擊：對網(wǎng)絡(luò)系統(tǒng)的攻擊，可從隨便瀏覽信息到使用特殊技術(shù)對系統(tǒng)進(jìn)行攻擊以得到有針對性的信息。這些攻擊又可分為被動(dòng)攻擊和主 動(dòng)攻擊。? 被動(dòng)攻擊是指攻擊者只通過觀察網(wǎng)絡(luò)線路上的信息，而/、十?dāng)_信息的正常流 動(dòng)，如被動(dòng)地搭線竊聽或非授權(quán)地閱讀信息；? 主動(dòng)攻擊 是指攻擊者對傳輸中的信息或存儲(chǔ)的信息進(jìn)行各種非法處理，如有 選擇地更改、插入、延遲、刪除或復(fù)制信息。? 被動(dòng)攻擊不易被發(fā)現(xiàn)，但較容易處理，如采用加密技術(shù)即可。? 主動(dòng)攻擊容易被覺察，但不容易防止，可采用加密技術(shù)、簽名技術(shù)和鑒別技 術(shù)解決? 通常，系統(tǒng)的故意威脅有如下四種情況：?

20、中斷：指系統(tǒng)資源遭到破壞或變得無法使用，是對系統(tǒng)可靠性的攻 擊；? 竊?。褐肝幢皇跈?quán)的實(shí)體得到了資源的訪問權(quán)，是對數(shù)據(jù)保密性的攻 擊；? 修改：指未被授權(quán)的實(shí)體不僅得到了資源的訪問權(quán)，而且還篡改了資 源，是對數(shù)據(jù)完整性的攻擊；? 捏造：指未被授權(quán)的實(shí)體向系統(tǒng)中插入偽造的對象，是對數(shù)據(jù)真實(shí)性的 攻擊。以上四種情況除竊取屬被動(dòng)攻擊外，其余都是主動(dòng)攻擊類型。(4)網(wǎng)絡(luò)系統(tǒng)的脆弱性? 系統(tǒng)脆弱性就是指網(wǎng)絡(luò)系統(tǒng)中安全防護(hù)的弱點(diǎn)。網(wǎng)絡(luò)本身存在著一些固有的 弱點(diǎn)(脆弱性)，非法用戶利用這些脆弱性對系統(tǒng)進(jìn)行非法訪問，將使系統(tǒng) 內(nèi)數(shù)據(jù)的完整性受到威脅，也可能使信息遭到破壞而/、能繼續(xù)使用。? 網(wǎng)絡(luò)系統(tǒng)的脆弱性主

21、要表現(xiàn)有：操作系統(tǒng)的脆弱、數(shù)據(jù)庫系統(tǒng)的脆弱、電磁泄漏、數(shù)據(jù)的可訪問性、通信協(xié)議和通信系統(tǒng)的脆弱、網(wǎng)絡(luò)存儲(chǔ)介質(zhì)的脆 弱、介質(zhì)的剩磁效應(yīng)、保密的困難性和信息的聚生性等。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 操作系統(tǒng)的脆弱性：網(wǎng)絡(luò)操作系統(tǒng)體系結(jié)構(gòu)本身就是不安全的-操作系統(tǒng)程序具有動(dòng)態(tài)連接性；操作系統(tǒng)可以創(chuàng)建進(jìn)程，這些進(jìn)程可在遠(yuǎn)程節(jié)點(diǎn)上創(chuàng)建與 激活，被創(chuàng)建的進(jìn)程可以繼續(xù)創(chuàng)建其他進(jìn)程；NOS為維護(hù)方便而預(yù)留的無口令入口也是黑客的通道。? 計(jì)算機(jī)系統(tǒng)本身的脆弱性：硬件和軟件故障-硬盤故障、電源故障、芯片主板故障、操作系統(tǒng)和應(yīng)用軟件故障；存在超級(jí)用戶，如果入侵者得到了超級(jí)用 戶口令，整個(gè)系統(tǒng)將完全

22、受控于入侵者。? 通信系統(tǒng)和通信協(xié)議的弱點(diǎn)：通信線路面對各種威脅就顯得非常脆弱，非法用戶可對線路進(jìn)行物理破壞、搭線竊聽；TCP/IP及FTP、E-mail、NFS、WWW 等都存在安全漏洞，E-mail中潛伏著電子炸彈、病毒等，WWW 中使用的通用網(wǎng)關(guān)接口程序、Java Applet程序等都能成為黑客的工具，黑客采用遠(yuǎn)程訪問、直接掃描等攻擊防火墻。? 通信系統(tǒng)和通信協(xié)議的弱點(diǎn)：通信線路面對各種威脅就顯得非常脆弱，非法用戶可對線路進(jìn)行物理破壞、搭線竊聽；TCP/IP及FTP、E-mail、NFS、WWW 等都存在安全漏洞，E-mail中潛伏著電子炸彈、病毒等，WWW 中使用的通用網(wǎng)關(guān)接口程序、J

23、ava Applet程序等都能成為黑客的工具，黑客采用遠(yuǎn)程訪問、直接掃描等攻擊防火墻。? 數(shù)據(jù)庫系統(tǒng)的脆弱性：由于DBMS對數(shù)據(jù)庫的管理是建立在分級(jí)管理的概念上，因此，DBMS的安全也是可想而知；DBMS的安全必須與操作系統(tǒng)的安全配套，這無疑是一個(gè)先天的不足之處；黑客通過探訪工具可強(qiáng)行登錄和越 權(quán)使用數(shù)據(jù)庫數(shù)據(jù)；數(shù)據(jù)加密往往與DBMS的功能發(fā)生沖突或影響數(shù)據(jù)庫的運(yùn)行效率。? 網(wǎng)絡(luò)電磁泄漏：網(wǎng)絡(luò)端口、傳輸線路和處理機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽 而造成電磁信息輻射，從而造成信息泄漏。? 數(shù)據(jù)的可訪問性：數(shù)據(jù)可容易地被拷貝而不留任何痕跡；網(wǎng)絡(luò)用戶在一定的條件下，可以訪問系統(tǒng)中的所有數(shù)據(jù)，并可將其拷貝

24、、刪除或破壞掉。(5)計(jì)算機(jī)病毒? 計(jì)算機(jī)病毒是一種能破壞計(jì)算機(jī)系統(tǒng)資源的特殊計(jì)算機(jī)程序。它可在系統(tǒng)中 生存、繁殖和傳播。計(jì)算機(jī)病毒具有隱蔽性、傳播性、潛伏性、觸發(fā)性和破 壞性。它一旦發(fā)作，輕者會(huì)影響系統(tǒng)的工作效率，占用系統(tǒng)資源，重者會(huì)毀 壞系統(tǒng)的重要信息，甚至使整個(gè)網(wǎng)絡(luò)系統(tǒng)陷于癱瘓。? 計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)系統(tǒng)將會(huì)造成巨大的損失。因此，計(jì)算機(jī)病毒的防護(hù)工 作應(yīng)成為保證網(wǎng)絡(luò)系統(tǒng)安全性的一項(xiàng)重要內(nèi)容。對付計(jì)算機(jī)病毒要以預(yù)防為 主，采取消除傳染源、切斷傳染途徑、保護(hù)易感染源等措施，增強(qiáng)網(wǎng)絡(luò)系統(tǒng) 對計(jì)算機(jī)病毒的識(shí)別和抵抗力。網(wǎng)絡(luò)安全策略和措施(1)安全策略模型收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文

25、檔? 一個(gè)常用的網(wǎng)絡(luò)安全策略模型是 PDRR模型，。PDRR是四個(gè)英文單詞的字 頭：Protection （防護(hù)）、Detection（檢測）、Response（響應(yīng)）和 Recovery（恢復(fù)）。防護(hù)? 安全策略的第一關(guān)就是防護(hù)。防護(hù)就是根據(jù)系統(tǒng)已知的可能安全問題采取一 些預(yù)防措施，如打補(bǔ)丁、訪問控制、數(shù)據(jù)加密等，不讓攻擊者順利入侵。防 護(hù)是PDRR模型中最重要的部分。防護(hù)可以預(yù)防大多數(shù)的入侵事件。防護(hù)可 分為三類：系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)和信息安全防護(hù)。檢測? 安全策略的第二關(guān)是檢測。攻擊者如果穿過防護(hù)系統(tǒng)，檢測系統(tǒng)就會(huì)檢測出 來。防護(hù)系統(tǒng)可以阻止大多數(shù)的入侵事件，但不能阻止所有的入侵事

26、件。特 別是那些利用新的系統(tǒng)缺陷、新攻擊手段的入侵。如果入侵事件發(fā)生，就啟 動(dòng)檢測系統(tǒng)進(jìn)行檢測。該系統(tǒng)叫IDS（入侵檢測系統(tǒng)）。響應(yīng)? 一旦檢測出入侵，響應(yīng)系統(tǒng)則開始響應(yīng)，進(jìn)行事件處理。響應(yīng)工作由特殊部門（計(jì)算機(jī)緊急響應(yīng)小組）負(fù)責(zé)。世界上第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組叫 “CERT,我國的第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組叫“CCERT。上海交通大學(xué)的計(jì)算機(jī)緊急響應(yīng)小組就叫 “ sjtu CERT?；謴?fù)? 系統(tǒng)恢復(fù)是指事件發(fā)生后，把系統(tǒng)恢復(fù)到原來狀態(tài)或比原來更安全的狀態(tài)?；謴?fù)也分為系統(tǒng)恢復(fù)和信息恢復(fù)兩方面內(nèi)容。? 系統(tǒng)恢復(fù)是指修補(bǔ)缺陷和消除后門。? 信息恢復(fù)是指恢復(fù)丟失的數(shù)據(jù)。（2）網(wǎng)絡(luò)安全策略? 安全立法：

27、設(shè)立各種法律來減少計(jì)算機(jī)犯罪案? 安全行政人事管理：設(shè)立安全管理機(jī)構(gòu)，制定人事安全管理、系統(tǒng)安全管理和行政安全管理職責(zé)。? 網(wǎng)絡(luò)實(shí)體安全：網(wǎng)絡(luò)中的硬件、軟件和數(shù)據(jù)都是系統(tǒng)資源。網(wǎng)絡(luò)實(shí)體安全保 護(hù)就是指采取一定措施對網(wǎng)絡(luò)的硬件系統(tǒng)、數(shù)據(jù)和軟件系統(tǒng)等資源實(shí)體進(jìn)行 保護(hù)和對自然與人為災(zāi)害的防護(hù)。? 系統(tǒng)訪問控制：設(shè)置一些系統(tǒng)訪問控制措施和技術(shù)，保證對網(wǎng)絡(luò)系統(tǒng)的所有 操作是合法的、認(rèn)可的。如規(guī)定哪些用戶可訪問網(wǎng)絡(luò)系統(tǒng)，他們能訪問系統(tǒng) 的哪些資源，他們對于這些資源能使用到什么程度等問題。? 數(shù)據(jù)加密保護(hù)：就是采取一定的技術(shù)和措施，對網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)和要 在線路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密變換，使得變換后的數(shù)

28、據(jù)不能被無關(guān)的用戶識(shí) 另L保證數(shù)據(jù)的保密性。數(shù)據(jù)加密保護(hù)通常是采用密碼技術(shù)進(jìn)行信息加密、 數(shù)字簽名、用戶驗(yàn)證和非否認(rèn)鑒別等措施實(shí)現(xiàn)。網(wǎng)絡(luò)安全機(jī)制和安全服務(wù)收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 國際標(biāo)準(zhǔn)化組織ISO于1989年2月公布的ISO7498-2網(wǎng)絡(luò)安全體系結(jié)構(gòu)”文 件，主要包括網(wǎng)絡(luò)安全機(jī)制和網(wǎng)絡(luò)安全服務(wù)兩方面的內(nèi)容。? 文件中規(guī)定 網(wǎng)絡(luò)安全機(jī)制 有八項(xiàng)：加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī) 制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、信息量填充機(jī)制、路由控制機(jī)制和公 證機(jī)制。? 文件中規(guī)定的網(wǎng)絡(luò)安全服務(wù)有六項(xiàng)：對等實(shí)體鑒別服務(wù)、訪問控制服務(wù)、數(shù) 據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源鑒別服

29、務(wù)和非否認(rèn)服務(wù)。9. 5數(shù)據(jù)加密技術(shù).密碼學(xué)的基本概念? 密碼學(xué)(Cryptology)是一門古老的學(xué)科。近年來，密碼學(xué)研究之所以十分活 躍，主要原因是它與計(jì)算機(jī)科學(xué)的蓬勃發(fā)展密切相連。此外，還有防止日益 廣泛的計(jì)算機(jī)犯罪的需要。密碼技術(shù)應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)中的實(shí)例越來越多。? 密碼學(xué)從其發(fā)展來看，可分為兩大階段：傳統(tǒng)密碼學(xué)和計(jì)算機(jī)密碼學(xué)。? 第一階段：傳統(tǒng)密碼學(xué)。主要是靠人工進(jìn)行信息加密、傳輸和破譯? 第二階段：計(jì)算機(jī)密碼學(xué)。?1.傳統(tǒng)方式計(jì)算機(jī)密碼學(xué)? 2.現(xiàn)代方式計(jì)算機(jī)密碼學(xué)? 對稱密鑰密碼體制? 公開密鑰密碼體制? 密碼學(xué) 包括密碼編碼學(xué)和密碼分析學(xué)兩部分，這兩部分相互對立，但也相互 促進(jìn)

30、，相輔相成。? 密碼編碼學(xué)研究的是通過編碼技術(shù)來改變被保護(hù)信息的形式，使得編 碼后的信息除指定接收者之外的其他人都不可理解? 密碼分析學(xué)研究的是如何攻破一個(gè)密碼系統(tǒng)，恢復(fù)被隱藏起來的信息 的本來面目? 加密在網(wǎng)絡(luò)上的作用就是防止有價(jià)值的信息在網(wǎng)上被竊取并識(shí)別；? 基于加密技術(shù)的鑒別的作用是用來確定用戶身份的真實(shí)性和數(shù)據(jù)的真實(shí)性。? 加密：把信息從一個(gè)可理解的明文形式變換成一個(gè)錯(cuò)亂的、不可理解的密文 形式的過程? 明文(Plain Text):原來的信息(報(bào)文)、消息，就是網(wǎng)絡(luò)中所說的報(bào)文 (Message)? 密文(Cipher Text):經(jīng)過加密后得到的信息? 解密：將密文還原為明文的過程

31、? 密鑰(Key)：加密時(shí)所使用的一種專門信息(工具)? 密碼算法(Algorithm):加密和解密變換的規(guī)則(數(shù)學(xué)函數(shù))，有加密算法和解密 算法收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 如果加密密鑰和解密密鑰相同或相近，由其中一個(gè)很容易地得出另一個(gè)，這 樣的系統(tǒng)稱為 對稱密鑰系統(tǒng)，加密和解密密鑰都是保密的；如果加密密鑰與 解密密鑰不同，且由其中一個(gè)不容易得到另一個(gè)，則這種密碼系統(tǒng)是非對稱密鑰系統(tǒng)，往往其中一個(gè)密鑰是公開的，另一個(gè)是保密的。? 前者也稱為 傳統(tǒng)密鑰密碼體制，后者稱為 公開密鑰密碼體制。.對稱密鑰密碼體制：? 也叫傳統(tǒng)密鑰密碼體制，其基本思想就是加密密鑰和解密密鑰相同或相近

32、”。? 典型的對稱密鑰密碼體制算法是DES算法。DES算法2) 3DES 和 IDEA 算法4. DES和RSA算法的特點(diǎn)和比較DES的特點(diǎn)：可靠性較高；加密/解密速度快；算法容易實(shí)現(xiàn)，通用性強(qiáng)；密鑰位數(shù)少，算法具有對稱性，容易被窮盡攻擊； 密鑰管理復(fù)雜。RSA算法的特點(diǎn)：密鑰管理簡單(網(wǎng)上每個(gè)用戶僅保密一個(gè)密鑰，且不需密鑰配送)；便于數(shù)字簽名；可靠性較高(取決于分解大素?cái)?shù)的難易程度 )； 算法復(fù)雜，加密/解密速度慢，難于實(shí)現(xiàn)。.通信加密方式? 可采用鏈路加密和端-端加密的方式對網(wǎng)絡(luò)系統(tǒng)中傳輸?shù)男畔⒓右员Ｗo(hù)。(1)鏈路加密? 鏈路加密(Link Encryption)是傳輸數(shù)據(jù)僅在數(shù)據(jù)鏈路層上

33、進(jìn)行加密。(2)端一端加密? 端-端加密(End-to-End Encryption)是傳輸數(shù)據(jù)在應(yīng)用層上完成加密的。? 端-端加密是對兩個(gè)用戶之間傳輸?shù)臄?shù)據(jù)提供連續(xù)的安全保護(hù)。數(shù)據(jù)在初始節(jié) 點(diǎn)上被加密，直到目的節(jié)點(diǎn)時(shí)才能被解密，在中間節(jié)點(diǎn)和鏈路上數(shù)據(jù)均以密 文形式傳輸。.鑒別技術(shù)(1)鑒別技術(shù)概述? 網(wǎng)絡(luò)安全系統(tǒng)的一個(gè)重要方面是防止非法用戶對系統(tǒng)的主動(dòng)攻擊，如偽造信 息、篡改信息等。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 鑒別(Authentication也叫驗(yàn)證)是防止主動(dòng)攻擊的重要技術(shù)。鑒別的目的就是 驗(yàn)證一個(gè)用戶身份的合法性和用戶間傳輸信息的完整性與真實(shí)性。? 鑒別包括報(bào)文鑒別

34、和身份驗(yàn)證。? 報(bào)文鑒別 是為了確保數(shù)據(jù)的完整性和真實(shí)性，對報(bào)文的來源、時(shí)間性 及目的地進(jìn)行驗(yàn)證。? 身份驗(yàn)證是驗(yàn)證進(jìn)入網(wǎng)絡(luò)系統(tǒng)者是否是合法用戶，以防非法用戶訪問 系統(tǒng)。(2)數(shù)字簽名? 數(shù)字簽名(Digital Signature)可解決手寫簽名中的簽字人否認(rèn)簽字或其他人偽造 簽字等問題。因此，被廣泛用于銀行的信用卡系統(tǒng)、電子商務(wù)系統(tǒng)、電子郵 件以及其他需要驗(yàn)證、核對信息真?zhèn)蔚南到y(tǒng)中。身份驗(yàn)證? 身份驗(yàn)證一般涉及兩個(gè)過程，一個(gè)是識(shí)別，一個(gè)是驗(yàn)證。? 識(shí)別是指要明確訪問者是誰，即要對網(wǎng)絡(luò)中的每個(gè)合法用戶都有識(shí)別能力。 要保證識(shí)別的有效性，必須保證能代表用戶身份的識(shí)別符的惟一性。? 身份驗(yàn)證的方

35、法有：口令驗(yàn)證、個(gè)人持證驗(yàn)證和個(gè)人特征驗(yàn)證三類。? 令法最簡單，系統(tǒng)開銷也小，但其安全性也最差；? 持證為個(gè)人持有物，如鑰匙、磁卡、智能卡等。它比口令法安全性 好，但驗(yàn)證系統(tǒng)比較復(fù)雜。磁卡常和PIN 一起使用；(4)報(bào)文鑒別? 報(bào)文鑒別是指在兩個(gè)建立通信聯(lián)系的用戶之間，每個(gè)用戶對收到的信息驗(yàn)證 其真?zhèn)?，以保證所收到的信息是真實(shí)的。? 報(bào)文鑒別又稱完整性校驗(yàn)，在銀行業(yè)稱為消息認(rèn)證，在 OSI安全模型中稱為 封裝9.6防火墻.防火墻概述? 防火墻(Firewall)是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組安全系 統(tǒng)。它是一種計(jì)算機(jī)硬件和軟件系統(tǒng)的集合，是實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的有效工 具之一，被廣?

36、地應(yīng)用到Internet與Intranet之間。收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔? 通常防火墻建立在內(nèi)部網(wǎng)和Internet之間的一個(gè)路由器或計(jì)算機(jī)上，該計(jì)算機(jī)也叫堡壘主機(jī)。它就如同一堵帶有安全門的墻，可以阻止外 界對內(nèi)部網(wǎng)資源的非法訪問和通行合法訪問，也可以防止內(nèi)部對外部 網(wǎng)的不安全訪問和通行安全訪問。? 防火墻是由軟件和硬件組成的，可以說：? 所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻。? 所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)。? 理論上，說防火墻是穿不透的。? 一般，防火墻具有以下功能：? 強(qiáng)化網(wǎng)絡(luò)安全策略，集中化的網(wǎng)絡(luò)安全管理；? 記錄和統(tǒng)計(jì)網(wǎng)絡(luò)訪問活動(dòng)；

37、? 限制暴露用戶點(diǎn)，控制對特殊站點(diǎn)的訪問；? 網(wǎng)絡(luò)安全策略檢查。.防火墻技術(shù)及分類? 防火墻技術(shù)大體上分為兩類：網(wǎng)絡(luò)層防火墻技術(shù)和應(yīng)用層防火墻技術(shù)。? 這兩個(gè)層次防火墻的具體分別叫包過濾防火墻和代理服務(wù)器濾防火墻(1)包過濾防火墻? 包過濾防火墻是最簡單的防火墻，通常它只包括對源IP地址和目的IP地址及端口的檢查。? 包過濾防火墻通常是一個(gè)具有包過濾功能的路由器。因?yàn)槁酚善鞴ぷ髟诰W(wǎng)絡(luò)層，因此包過濾防火墻又叫網(wǎng)絡(luò)層防火墻。? 包過濾是在網(wǎng)絡(luò)的出口 (如路由器上)對通過的數(shù)據(jù)包進(jìn)行檢測，只有滿足條件 的數(shù)據(jù)包才允許通過，否則被拋棄。這樣可以有效地防止惡意用戶利用不安 全的服務(wù)對內(nèi)部網(wǎng)進(jìn)行攻擊。?

38、網(wǎng)絡(luò)上傳輸?shù)拿總€(gè)數(shù)據(jù)包都包括兩部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目的地址信息。? 包過濾是一種簡單而有效的方法。通過攔截?cái)?shù)據(jù)包，讀出并拒絕那些不符合收集于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系管理員刪除精品文檔標(biāo)準(zhǔn)的包頭，過濾掉不應(yīng)入站的信息(路由器將其丟棄)? 過濾路由器與普通路由器的差別在于：? 普通路由器只簡單地查看每一數(shù)據(jù)包的目的地址，并選擇數(shù)據(jù)包發(fā)往目標(biāo)地 址的最佳路徑。當(dāng)路由器知道如何發(fā)送數(shù)據(jù)包到目標(biāo)地址，則發(fā)送該包；如 果不知道如何發(fā)送數(shù)據(jù)包到目標(biāo)地址，則返還數(shù)據(jù)包，通知源地址數(shù)據(jù)包不能到達(dá)目標(biāo)地址”。? 過濾路由器將更嚴(yán)格地檢查數(shù)據(jù)包，除了決定是否發(fā)送數(shù)據(jù)包到其目標(biāo)外， 還決定它是否應(yīng)該發(fā)

39、送。應(yīng)該”或 不應(yīng)該”由站點(diǎn)的安全策略決定，并由過濾路由器強(qiáng)制執(zhí)行。? 放置在內(nèi)部網(wǎng)與Internet之間的過濾路由器，不但要執(zhí)行轉(zhuǎn)發(fā)任務(wù)，而且它是 唯一的保護(hù)系統(tǒng)；如果過濾路由器的安全保護(hù)失敗，內(nèi)部網(wǎng)將被暴露；如果 一個(gè)服務(wù)沒有提供安全的操作要求，或該服務(wù)由不安全的服務(wù)器提供，包過 濾路由器則不能保護(hù)它。? 在對包作出路由決定時(shí)，普通路由器只依據(jù)包的目的地址引導(dǎo)包，而包過濾 路由器要依據(jù)路由器中的包過濾規(guī)則作出是否引導(dǎo)該包的決定。? 包過濾路由器以包的目標(biāo)地址、包的源地址和包的傳輸協(xié)議為依據(jù)，確定允 許或不允許某些包在網(wǎng)上傳輸。? 包過濾方式有許多優(yōu)點(diǎn)，主要優(yōu)點(diǎn)之一就是用一個(gè)放置在重要位置上

40、的包過 濾路由器即可保護(hù)整個(gè)網(wǎng)絡(luò)。? 這樣，不管內(nèi)部網(wǎng)的站點(diǎn)規(guī)模多大，只要在路由器上設(shè)置合適的包過濾，各 站點(diǎn)均可獲得良好的安全保護(hù)。(2)代理服務(wù)器防火墻? 代理服務(wù)是運(yùn)行在防火墻主機(jī)上的特定的應(yīng)用程序或服務(wù)程序。防火墻主機(jī) 可以是有一個(gè)內(nèi)部網(wǎng)接口和一個(gè)外部網(wǎng)接口的雙穴(Duel Homed)主機(jī)，也可以是一些可以訪問Internet并可被內(nèi)部主機(jī)訪問的堡壘主機(jī)。? 代理服務(wù)位于內(nèi)部用戶和外部服務(wù)之間。代理程序在幕后處理所有用戶和 Internet服務(wù)之間的通信以代替相互間的直接交談。? 對于用戶，代理服務(wù)器給用戶一種直接使用真正”服務(wù)器的感覺，對于真正的服務(wù)器，代理服務(wù)器給真正服務(wù)器一種在代理主機(jī)上直接處理用戶的假 象。? 用戶將對真正”服務(wù)器的請求交給代理服務(wù)器，代理服務(wù)器評(píng)價(jià)來自客戶的 請求，并作出認(rèn)可或否認(rèn)的決定。如果一個(gè)請求被認(rèn)可，代理服務(wù)器就代表 客戶將請求轉(zhuǎn)發(fā)給 真正”的服務(wù)器，并將服務(wù)器的響應(yīng)返回給代理客戶。.防火墻應(yīng)用系統(tǒng)? 一般，構(gòu)成防火墻的體系結(jié)構(gòu)有