計算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)與應(yīng)用第八講網(wǎng)絡(luò)安全與管理課件

網(wǎng)絡(luò)安全與管理問題原由計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,促進(jìn)了社會的進(jìn)步和繁榮,并為人類社會創(chuàng)造了巨大財富。但由于計算機(jī)及其網(wǎng)絡(luò)自身的脆弱性以及人為的攻擊破壞,也給社會帶來了損失。因此,網(wǎng)絡(luò)安全已成為重要研究課題。本章重點(diǎn)討論網(wǎng)絡(luò)安全技術(shù)措施:計算機(jī)密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)技術(shù)、網(wǎng)絡(luò)病毒防治技術(shù),以及網(wǎng)絡(luò)管理技術(shù)。教學(xué)重點(diǎn)能力要求掌握：網(wǎng)絡(luò)安全與管理的概念；網(wǎng)絡(luò)安全與管理技

術(shù)的應(yīng)用。熟悉：計算機(jī)密碼技術(shù)、防火墻技術(shù)、虛擬專用網(wǎng)

技術(shù)、網(wǎng)絡(luò)病毒防治技術(shù)。網(wǎng)絡(luò)安全與管理問題計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用,促進(jìn)了社會的進(jìn)步和繁§8.1網(wǎng)絡(luò)安全技術(shù)

§8.6網(wǎng)絡(luò)管理技術(shù)§8.5虛擬專用網(wǎng)技術(shù)

§8.4網(wǎng)絡(luò)病毒防治技術(shù)§8.2數(shù)據(jù)加密與數(shù)字認(rèn)證§8.3防火墻技術(shù)本章內(nèi)容計算機(jī)網(wǎng)絡(luò)基礎(chǔ)§8.1網(wǎng)絡(luò)安全技術(shù)§8.6網(wǎng)絡(luò)管理技術(shù)§8.知識結(jié)構(gòu)防火墻技術(shù)網(wǎng)絡(luò)安全與管理網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)病毒防治技術(shù)破密方法現(xiàn)代加密方法數(shù)字認(rèn)證虛擬專用網(wǎng)數(shù)據(jù)加密與數(shù)字認(rèn)證網(wǎng)絡(luò)病毒的防治網(wǎng)絡(luò)病毒的類型網(wǎng)絡(luò)病毒的特點(diǎn)網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)網(wǎng)絡(luò)安全的基本概念防火墻的基本結(jié)構(gòu)防火墻的基本類型防火墻的基本功能防火墻的基本概念VPN的基本類型VPN的安全協(xié)議VPN的實(shí)現(xiàn)技術(shù)VPN的基本概念網(wǎng)絡(luò)管理技術(shù)簡單網(wǎng)絡(luò)管理協(xié)議ISO網(wǎng)絡(luò)管理功能域網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)網(wǎng)絡(luò)管理的基本概念數(shù)據(jù)加密概念傳統(tǒng)加密方法防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品常用網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)性能管理與優(yōu)化知識結(jié)構(gòu)防火墻技術(shù)網(wǎng)絡(luò)安全與管理網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)病毒防治技術(shù)§8.1網(wǎng)絡(luò)安全技術(shù)隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全性和可靠性成為各層用戶所共同關(guān)心的問題。人們都希望自己的網(wǎng)絡(luò)能夠更加可靠地運(yùn)行，不受外來入侵者的干擾和破壞，所以解決好網(wǎng)絡(luò)的安全性和可靠性，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。Internet防火墻學(xué)生區(qū)InfoGateIIS服務(wù)Web服務(wù)DMZ區(qū)教工區(qū)安全垃圾郵內(nèi)容審計件網(wǎng)關(guān)過濾數(shù)據(jù)庫服務(wù)器群應(yīng)用服務(wù)器群§8.1網(wǎng)絡(luò)安全技術(shù)隨著計算機(jī)網(wǎng)絡(luò)技術(shù)8.1.1網(wǎng)絡(luò)安全的基本概念

1、網(wǎng)絡(luò)安全要求網(wǎng)絡(luò)安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不會中斷。身份認(rèn)證完整性保密性授權(quán)和訪問控制可用性不可抵賴性8.1.1網(wǎng)絡(luò)安全的基本概念1、網(wǎng)絡(luò)安全要求身份8.1.1網(wǎng)絡(luò)安全的基本概念

2、網(wǎng)絡(luò)安全威脅

一般認(rèn)為，黑客攻擊、計算機(jī)病毒和拒絕服務(wù)攻擊等3個方面是計算機(jī)網(wǎng)絡(luò)系統(tǒng)受到的主要威脅。黑客攻擊計算機(jī)病毒拒絕服務(wù)攻擊黑客使用專用工具和采取各種入侵手段非法進(jìn)入網(wǎng)絡(luò)、攻擊網(wǎng)絡(luò),并非法使用網(wǎng)絡(luò)資源。

計算機(jī)病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。攻擊者在短時間內(nèi)發(fā)送大量的訪問請求，而導(dǎo)致目標(biāo)服務(wù)器資源枯竭，不能提供正常的服務(wù)。8.1.1網(wǎng)絡(luò)安全的基本概念2、網(wǎng)絡(luò)安全威脅黑客8.1.1網(wǎng)絡(luò)安全的基本概念

3、網(wǎng)路安全漏洞網(wǎng)絡(luò)安全漏洞實(shí)際上是給不法分子以可乘之機(jī)的“通道”,大致可分為以下3個方面。網(wǎng)絡(luò)的漏洞

服務(wù)器的漏洞操作系統(tǒng)的漏洞包括網(wǎng)絡(luò)傳輸時對協(xié)議的信任以及網(wǎng)絡(luò)傳輸漏洞，比如IP欺騙和信息腐蝕就是利用網(wǎng)絡(luò)傳輸時對IP和DNS的信任。利用服務(wù)進(jìn)程的bug和配置錯誤,任何向外提供服務(wù)的主機(jī)都有可能被攻擊。這些漏洞常被用來獲取對系統(tǒng)的訪問權(quán)。Windows和UNIX操作系統(tǒng)都存在許多安全漏洞,如Internet蠕蟲事件就是由UNIX的安全漏洞引發(fā)的。8.1.1網(wǎng)絡(luò)安全的基本概念3、網(wǎng)路安全漏洞網(wǎng)絡(luò)的8.1.1網(wǎng)絡(luò)安全的基本概念

4、網(wǎng)絡(luò)安全攻擊

要保證運(yùn)行在網(wǎng)絡(luò)環(huán)境中的信息安全,首先要解決的問題是如何防止網(wǎng)絡(luò)被攻擊。根據(jù)SteveKent提出的方法,網(wǎng)絡(luò)安全攻擊可分為被動攻擊和主動攻擊兩大類，如圖7-1所示。

圖7-1網(wǎng)絡(luò)安全攻擊分類被動攻擊

截獲(秘密)分析信息內(nèi)容通信量分析主動攻擊

拒絕篡改偽造重放(可用性)(完整性)(真實(shí)性)(時效性)被動攻擊不修改信息內(nèi)容，所以非常難以檢測，因此防護(hù)方法重點(diǎn)是加密。主動攻擊是對數(shù)據(jù)流進(jìn)行破壞、篡改或產(chǎn)生一個虛假的數(shù)據(jù)流。8.1.1網(wǎng)絡(luò)安全的基本概念4、網(wǎng)絡(luò)安全攻擊圖8.1.1網(wǎng)絡(luò)安全的基本概念

1中斷（Interruption）：中斷是對可利用性的威脅。例如破壞信息存儲硬件、切斷通信線路、侵犯文件管理系統(tǒng)等。2竊?。↖nterception）：入侵者竊取信息資源是對保密性的威脅。入侵者竊取線路上傳送的數(shù)據(jù)，或非法拷貝文件和程序等。3篡改（Modification）：篡改是對數(shù)據(jù)完整性的威脅。例如改變文件中的數(shù)據(jù)，改變程序功能，修改網(wǎng)上傳送的報文等。4假冒（Fabrication）：入侵者在系統(tǒng)中加入偽造的內(nèi)容，如像網(wǎng)絡(luò)用戶發(fā)送虛假的消息、在文件中插入偽造的記錄等。

5、網(wǎng)絡(luò)安全破壞網(wǎng)絡(luò)安全破壞的技術(shù)手段是多種多樣的，了解最通常的破壞手段，有利于加強(qiáng)技術(shù)防患。8.1.1網(wǎng)絡(luò)安全的基本概念8.1.2網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)

1、國際評價標(biāo)準(zhǔn)

計算機(jī)系統(tǒng)的安全等級由低到高順序：D；C1C2；B1B2B3；A。如圖7-2所示。圖7-2TCSEC安全體系可信計算機(jī)系統(tǒng)評測準(zhǔn)則C2：受控訪問保護(hù)C1：自主安全保護(hù)A1：驗(yàn)證設(shè)計D1：最小保護(hù)B2：結(jié)構(gòu)安全保護(hù)B1：標(biāo)志安全保護(hù)B3：安全域C類A類D類B類8.1.2網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)1、國際評價標(biāo)準(zhǔn)圖8.1.2網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)20世紀(jì)90年代開始，一些國家和國際組織相繼提出了新的安全評測準(zhǔn)則。1991年,毆共體發(fā)布了“信息技術(shù)安全評測準(zhǔn)則”；1993年，加拿大發(fā)布了“加拿大可信計算機(jī)產(chǎn)品評測準(zhǔn)則”；1993年6月,上述國家共同起草了一份通用準(zhǔn)則,并將CC推廣為國際標(biāo)準(zhǔn)。國際安全評測標(biāo)準(zhǔn)的發(fā)展如圖7-3所示。1993年加拿大可信計算機(jī)產(chǎn)品評測準(zhǔn)則1991年歐洲信息技術(shù)安全評測準(zhǔn)則1991年美國聯(lián)邦政府評測標(biāo)準(zhǔn)1983年美國國防部可信計算機(jī)評測準(zhǔn)則1996年國際通用準(zhǔn)則（CC）1999年CC成為國際標(biāo)準(zhǔn)圖7-3國際安全評測標(biāo)準(zhǔn)的發(fā)展與聯(lián)系8.1.2網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)20世紀(jì)90年代開始8.1.2網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)2、我國評價標(biāo)準(zhǔn)分如下五個級別

1級用戶自主保護(hù)級：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫破壞。2級系統(tǒng)審計保護(hù)級：除具備第一級外，要求創(chuàng)建和維護(hù)訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負(fù)責(zé)。3級安全標(biāo)記保護(hù)級：除具備上一級外，要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限，實(shí)現(xiàn)對訪問對象的強(qiáng)制保護(hù)。4級結(jié)構(gòu)化保護(hù)級：在繼承前面功能基礎(chǔ)上，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力。5級訪問驗(yàn)證保護(hù)級：這一個級別特別增設(shè)了訪問驗(yàn)證功能，負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動。8.1.2網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)2、我國評價標(biāo)準(zhǔn)分如下五個級別8.1.3網(wǎng)絡(luò)安全措施在網(wǎng)絡(luò)設(shè)計和運(yùn)行中應(yīng)考慮一些必要的安全措施，以便使網(wǎng)絡(luò)得以正常運(yùn)行。網(wǎng)絡(luò)的安全措施主要從物理安全、訪問控制、傳輸安全和網(wǎng)絡(luò)安全管理等4個方面進(jìn)行考慮。

1、物理安全措施

物理安全性包括機(jī)房的安全、所有網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備（包括服務(wù)器、工作站、通信線路、路由器、網(wǎng)橋、磁盤、打印機(jī)等）的安全性以及防火、防水、防盜、防雷等。網(wǎng)絡(luò)物理安全性除了在系統(tǒng)設(shè)計中需要考慮之外，還要在網(wǎng)絡(luò)管理制度中分析物理安全性可能出現(xiàn)的問題及相應(yīng)的保護(hù)措施。

2、訪問控制措施

訪問控制措施的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。其包括以下８個方面：8.1.3網(wǎng)絡(luò)安全措施在網(wǎng)絡(luò)設(shè)計和運(yùn)行中應(yīng)考慮一8.1.3網(wǎng)絡(luò)安全措施

1入網(wǎng)訪問控制：控制哪些用戶能夠登錄并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和入網(wǎng)的范圍。2網(wǎng)絡(luò)的權(quán)限控制：是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施，用戶和用戶組被授予一定的權(quán)限。3目錄級安全控制：系統(tǒng)管理權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和存取控制權(quán)限8種。4屬性安全控制：網(wǎng)絡(luò)管理員給文件、目錄等指定訪問屬性，將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。5網(wǎng)絡(luò)服務(wù)器安全控制：包括設(shè)置口令鎖定服務(wù)器控制臺，設(shè)定登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔等。8.1.3網(wǎng)絡(luò)安全措施8.1.3網(wǎng)絡(luò)安全措施

6網(wǎng)絡(luò)檢測和鎖定控制：網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對于非法訪問應(yīng)報警。7

網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制：網(wǎng)絡(luò)服務(wù)器端口使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù),并以加密形式識別節(jié)點(diǎn)的身份。8防火墻控制：防火墻成為是互連網(wǎng)絡(luò)上的首要安全技術(shù)，是設(shè)置在網(wǎng)絡(luò)與外部之間的一道屏障。

3、網(wǎng)絡(luò)通信安全措施

⑴建立物理安全的傳輸媒介

⑵對傳輸數(shù)據(jù)進(jìn)行加密：保密數(shù)據(jù)在進(jìn)行數(shù)據(jù)通信時應(yīng)加密，包括鏈路加密和端到端加密。8.1.3網(wǎng)絡(luò)安全措施8.1.3網(wǎng)絡(luò)安全措施

4、網(wǎng)絡(luò)安全管理措施除了技術(shù)措施外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定相關(guān)配套檢查和互協(xié)滲透測試安全設(shè)計設(shè)備配置安全漏洞分析安全策略安全需求安全結(jié)構(gòu)安全評估安全評估安全評估的規(guī)章制度、確定安全管理等級、明確安全管理范圍、采取系統(tǒng)維護(hù)方法和應(yīng)急措施等,對網(wǎng)絡(luò)安全、可靠地運(yùn)行，將起到很重要的作用。實(shí)際上，網(wǎng)絡(luò)安全策略是一個綜合,要從可用性、實(shí)用性、完整性、可靠性和保密性等方面綜合考慮，才能得到有效的安全策略。8.1.3網(wǎng)絡(luò)安全措施4、網(wǎng)絡(luò)安全管理措施檢查和§8.2數(shù)據(jù)加密與數(shù)字認(rèn)證數(shù)據(jù)加密和數(shù)字認(rèn)證是網(wǎng)絡(luò)信息安全的核心技術(shù)。其中，數(shù)據(jù)加密是保護(hù)數(shù)據(jù)免遭攻擊的一種主要方法；數(shù)字認(rèn)證是解決網(wǎng)絡(luò)通信過程中雙方身份的認(rèn)可，以防止各種敵手對信息進(jìn)行篡改的一種重要技術(shù)。數(shù)據(jù)加密和數(shù)字認(rèn)證的聯(lián)合使用，是確保信息安全的有效措施。Internet加密數(shù)據(jù)流供應(yīng)商采購單位SSL安全論證網(wǎng)關(guān)Web服務(wù)器§8.2數(shù)據(jù)加密與數(shù)字認(rèn)證數(shù)據(jù)加密和數(shù)字認(rèn)證是8.2.1數(shù)據(jù)加密概念

1、密碼學(xué)與密碼技術(shù)計算機(jī)密碼學(xué)是研究計算機(jī)信息加密、解密及其變換的新興科學(xué),密碼技術(shù)是密碼學(xué)的具體實(shí)現(xiàn),它包括4個方面：保密(機(jī)密)、消息驗(yàn)證、消息完整和不可否認(rèn)性。

1保密（privacy）：在通信中消息發(fā)送方與接收方都希望保密，只有消息的發(fā)送者和接收者才能理解消息的內(nèi)容。2驗(yàn)證（authentication）：安全通信僅僅靠消息的機(jī)密性是不夠的，必須加以驗(yàn)證，即接收者需要確定消息發(fā)送者的身份。3完整（integrity）：保密與認(rèn)證只是安全通信中的兩個基本要素，還必須保持消息的完整,即消息在傳送過程中不發(fā)生改變。4不可否認(rèn)（nonrepudiation）：安全通信的一個基本要素就是不可否認(rèn)性，防止發(fā)送者抵賴（否定）。8.2.1數(shù)據(jù)加密概念1、密碼學(xué)與密碼技術(shù)8.2.1數(shù)據(jù)加密概念2、加密和解密

密碼技術(shù)包括數(shù)據(jù)加密和解密兩部分。加密是把需要加密的報文按照以密碼鑰匙（簡稱密鑰）為參數(shù)的函數(shù)進(jìn)行轉(zhuǎn)換，產(chǎn)生密碼文件；解密是按照密鑰參數(shù)進(jìn)行解密,還原成原文件。數(shù)據(jù)加密和解密過程是在信源發(fā)出與進(jìn)入通信之間進(jìn)行加密，經(jīng)過信道傳輸,到信宿接收時進(jìn)行解密,以實(shí)現(xiàn)數(shù)據(jù)通信保密。數(shù)據(jù)加密和解密過程如圖7-4所示。加密密鑰報文解密原報文圖7-4加密解密模型明文密文傳輸明文信源加密單元解密單元信宿8.2.1數(shù)據(jù)加密概念2、加密和解密加密密鑰報8.2.1數(shù)據(jù)加密概念

3、密鑰體系

加密和解密是通過密鑰來實(shí)現(xiàn)的。如果把密鑰作為加密體系標(biāo)準(zhǔn)，則可將密碼系統(tǒng)分為單鑰密碼（又稱對稱密碼或私鑰密碼）體系和雙鑰密碼（又稱非對稱密碼或公鑰密碼）體系。在單鑰密碼體制下，加密密鑰和解密密鑰是一樣的。在這種情況下，由于加密和解密使用同一密鑰（密鑰經(jīng)密鑰信道傳給對方），所以密碼體制的安全完全取決于密鑰的安全。雙鑰密碼體制是1976年W.Diffie和M.E.Heilinan提出的一種新型密碼體制。1977年Rivest,Shamir和Adleman提出RSA密碼體制。在雙鑰密碼體制下,加密密鑰與解密密鑰是不同的,它不需要安全信道來傳送密鑰，可以公開加密密鑰，僅需保密解密密鑰。8.2.1數(shù)據(jù)加密概念3、密鑰體系8.2.2傳統(tǒng)加密方法

1、代換密碼法

⑴單字母加密方法：是用一個字母代替另一個字母,它把A變成E，B變成F，C變?yōu)镚，D變?yōu)镠。

⑵多字母加密方法：密鑰是簡短且便于記憶的詞組。

2、轉(zhuǎn)換密碼法保持明文的次序，而把明文字符隱藏起來。轉(zhuǎn)換密碼法不是隱藏它們，而是靠重新安排字母的次序。

3、變位加密法把明文中的字母重新排列,字母本身不變，但位置變了。常見的有簡單變位法、列變位法和矩陣變位法。

4、一次性密碼簿加密法就是用一頁上的代碼來加密一些詞，再用另一頁上的代碼加密另一些詞，直到全部的明文都被加密。8.2.2傳統(tǒng)加密方法1、代換密碼法8.2.3現(xiàn)代加密方法

1、DES加密算法DES加密算法是一種通用的現(xiàn)代加密方法,該標(biāo)準(zhǔn)是在56位密鑰控制下,將每64位為一個單元的明文變成64位的密碼。采用多層次復(fù)雜數(shù)據(jù)函數(shù)替換算法，使密碼被破譯的可能性幾乎沒有。

2、IDEA加密算法相對于DES的56位密鑰，它使用128位的密鑰，每次加密一個64位的塊。這個算法被加強(qiáng)以防止一種特殊類型的攻擊,稱為微分密碼密鑰。IDEA的特點(diǎn)是用了混亂和擴(kuò)散等操作,主要有三種運(yùn)算：異或、模加、模乘，并且容易用軟件和硬件來實(shí)現(xiàn)。IDEA算法被認(rèn)為是現(xiàn)今最好的、最安全的分組密碼算法，該算法可用于加密和解密。8.2.3現(xiàn)代加密方法1、DES加密算法8.2.3現(xiàn)代加密方法郵件內(nèi)容CH=MDS(C)S=ENRSA(H)KSM=C+S隨機(jī)加密密鑰E1=ENIDEA(M)E2=ENRSA(K)KRP將E1+E2寄出發(fā)送郵件收到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K將M分離成C和SH1=MD5(C)取得收信人的分開密鑰KPS1=DERSA(H1)KPS1=S?NoYes接收此郵件拒絕此郵件接收郵件3、RSA公開密鑰算法

RSA是屹今為止最著名、最完善、使用最廣泛的一種公匙密碼體制。RSA算法的要點(diǎn)在于它可以產(chǎn)生一對密鑰,一個人可以用密鑰對中的一個加密消息，另一個人則可以用密鑰對中的另一個解密消息。任何人都無法通過公匙確定私匙，只有密鑰對中的另一把可以解密消息。取得收信人的分開密鑰KRP8.2.3現(xiàn)代加密方法郵件內(nèi)容CH=MDS(C)S=EN8.2.3現(xiàn)代加密方法4、Hash－MD5加密算法

Hash函數(shù)又名信息摘要（MessageDigest）函數(shù)，是基于因子分解或離散對數(shù)問題的函數(shù)，可將任意長度的信息濃縮為較短的固定長度的數(shù)據(jù)。這組數(shù)據(jù)能夠反映源信息的特征，因此又可稱為信息指紋（MessageFingerprint)。Hash函數(shù)具有很好的密碼學(xué)性質(zhì),且滿足Hash函數(shù)的單向、無碰撞基本要求。5、量子加密系統(tǒng)量子加密系統(tǒng)是加密技術(shù)的新突破。量子加密法的先進(jìn)之處在于這種方法依賴的是量子力學(xué)定律。傳輸?shù)墓饬孔又辉试S有一個接收者，如果有人竊聽，竊聽動作將會對通信系統(tǒng)造成干擾。通信系統(tǒng)一旦發(fā)現(xiàn)有人竊聽，隨即結(jié)束通信，生成新的密鑰。8.2.3現(xiàn)代加密方法4、Hash－MD5加密算8.2.4破密方法

1.密鑰窮盡搜索就是嘗試所有可能的密鑰組合，雖然這種密鑰嘗試通常是失敗的，但最終總會有一個密鑰讓破譯者得到原文。

2.密碼分析密碼分析是在不知密鑰的情況下利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。常見的密碼分析有如下兩種：

⑴已知明文的破譯方法：是當(dāng)密碼分析員掌握了一段明文和對應(yīng)的密文,目的是發(fā)現(xiàn)加密的密鑰。在實(shí)際應(yīng)用中,獲得某些密文所對應(yīng)的明文是可能的。

⑵選定明文的破譯方法：密碼分析員設(shè)法讓對手加密一段分析員選定的明文，并獲得加密后的結(jié)果,以獲得確定加密的密鑰。

8.2.4破密方法1.密鑰窮盡搜索8.2.4破密方法

3、防止密碼破譯的措施為了防止密碼破譯,可以采取一些相應(yīng)的技術(shù)措施。目前通常采用的技術(shù)措施以下3種。

⑴好的加密算法：一個好的加密算法往往只有用窮舉法才能得到密鑰，所以只要密鑰足夠長就會比較安全。20世紀(jì)70～80年代密鑰長通常為48～64位，90年代,由于發(fā)達(dá)國家不準(zhǔn)許出口64位加密產(chǎn)品，所以國內(nèi)大力研制128位產(chǎn)品。

⑵保護(hù)關(guān)鍵密鑰（KCK：KEYCNCRYPTIONKEY）。

⑶動態(tài)會話密鑰：每次會話的密鑰不同。動態(tài)或定期變換會話密鑰是有好處的，因?yàn)檫@些密鑰是用來加密會話密鑰的，一旦泄漏，被他人竊取重要信息，將引起災(zāi)難性的后果。8.2.4破密方法3、防止密碼破譯的措施8.2.5數(shù)字認(rèn)證數(shù)字認(rèn)證是一種安全防護(hù)技術(shù)，它既可用于對用戶身份進(jìn)行確認(rèn)和鑒別,也可對信息的真實(shí)可靠性進(jìn)行確認(rèn)和鑒別,以防止冒充、抵賴、偽造、篡改等問題。數(shù)字認(rèn)證技術(shù)包括數(shù)字簽名、數(shù)字時間戳、數(shù)字證書和認(rèn)證中心等。

1、數(shù)字簽名

“數(shù)字簽名”是數(shù)字認(rèn)證技術(shù)中其中最常用的認(rèn)證技術(shù)。在日常工作和生活中，人們對書信或文件的驗(yàn)收是根據(jù)親筆簽名或蓋章來證實(shí)接收者的真實(shí)身份。在書面文件上簽名有兩個作用：一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確定了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰讉蚊?，從而確定了文件是真實(shí)的這一事實(shí)。但是，在計算機(jī)網(wǎng)絡(luò)中傳送的報文又如何簽名蓋章呢，這就是數(shù)字簽名所要解決的問題。8.2.5數(shù)字認(rèn)證數(shù)字認(rèn)證是一種安全防護(hù)技術(shù)，它Key數(shù)字簽名初始文件簽名文件加密的簽名文件數(shù)字簽名初始文件數(shù)字摘要數(shù)字摘要正確初始文件HASH編碼一致KeyKeyKey數(shù)字摘要初始文件8.2.5數(shù)字認(rèn)證

在網(wǎng)絡(luò)傳輸中如果發(fā)送方和接收方的加密、解密處理兩者的信息一致，則說明發(fā)送的信息原文在傳送過程中沒有被破壞或篡改,從而得到準(zhǔn)確的原文。傳送過程如圖7-7所示。

圖7-7數(shù)字簽名的驗(yàn)證及文件的竄送過程Key數(shù)字簽名初始文件簽名文件加密的簽名文件數(shù)字簽名初始文件8.2.5數(shù)字認(rèn)證

2、數(shù)字時間戳（DTS）

在電子交易中,同樣需要對交易文件的日期和時間信息采取安全措施，數(shù)字時間戳就是為電子文件發(fā)表的時間提供安全保護(hù)和證明的。DTS是網(wǎng)上安全服務(wù)項(xiàng)目,由專門的機(jī)構(gòu)提供。數(shù)字時間戳是一個加密后形成的憑證文檔,它包括三個部分：

◆需要加時間戳的文件的摘要

◆DTS機(jī)構(gòu)收到文件的日期和時間

◆DTA機(jī)構(gòu)的數(shù)字簽名數(shù)字時間戳的產(chǎn)生過程：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將這個摘要發(fā)送到DTS機(jī)構(gòu)，DTS機(jī)構(gòu)在加入了收到文件摘要的日期和時間信息后，再對這個文件加密（數(shù)字簽名），然后發(fā)送給用戶。8.2.5數(shù)字認(rèn)證2、數(shù)字時間戳（DTS）8.2.5數(shù)字認(rèn)證3、數(shù)字證書

數(shù)字認(rèn)證從某個功能上來說很像是密碼，是用來證實(shí)你的身份或?qū)W(wǎng)絡(luò)資源訪問的權(quán)限等可出示的一個憑證。數(shù)字證書包括：

1客戶證書：以證明他（她）在網(wǎng)上的有效身份。該證書一般是由金融機(jī)構(gòu)進(jìn)行數(shù)字簽名發(fā)放的，不能被其它第三方所更改。2商家證書：是由收單銀行批準(zhǔn)、由金融機(jī)構(gòu)頒發(fā)、對商家是否具有信用卡支付交易資格的一個證明。3網(wǎng)關(guān)證書：通常由收單銀行或其它負(fù)責(zé)進(jìn)行認(rèn)證和收款的機(jī)構(gòu)持有。客戶對帳號等信息加密的密碼由網(wǎng)關(guān)證書提供。4CA系統(tǒng)證書：是各級各類發(fā)放數(shù)字證書的機(jī)構(gòu)所持有的數(shù)字證書，即用來證明他們有權(quán)發(fā)放數(shù)字證書的證書。8.2.5數(shù)字認(rèn)證3、數(shù)字證書8.2.5數(shù)字認(rèn)證持卡人CCA持卡證件商家MCA商家證件支持網(wǎng)關(guān)PCA支付網(wǎng)關(guān)證件根CA品牌CA地方CA圖7-8CA認(rèn)證體系的層次結(jié)構(gòu)

4、認(rèn)證中心（CA）

認(rèn)證中心是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。它的主要任務(wù)是受理數(shù)字憑證的申請，簽發(fā)數(shù)字證書及對數(shù)字證書進(jìn)行管理。

CA認(rèn)證體系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付網(wǎng)關(guān)CA等不同層次構(gòu)成，上一級CA負(fù)責(zé)下一級CA數(shù)字證書的申請簽發(fā)及管理工作。8.2.5數(shù)字認(rèn)證持卡人CCA持卡證件商家MCA商家證件圖7-9防火墻的邏輯結(jié)構(gòu)示意圖

1、什么是防火墻

為了防止病毒和黑客，可在該網(wǎng)絡(luò)和Internet之間插入一個中介系統(tǒng)，豎起一道用來阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵的安全屏障，其作用與古代防火磚墻有類似之處，人們把這個屏障就叫做“防火墻”，其邏輯結(jié)構(gòu)如圖7-9所示。8.3.1防火墻的基本概念

§8.3防火墻技術(shù)

外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)圖7-9防火墻的邏輯結(jié)構(gòu)示意圖1、什么是防火墻8.3.1防火墻的基本概念2、防火墻的基本特性

①所有內(nèi)部和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻。②只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻。③防火墻本身不受各種攻擊的影響。3、防火墻的基本準(zhǔn)則

⑴過濾不安全服務(wù)：防火墻應(yīng)封鎖所有的信息流,然后對希望提供的安全服務(wù)逐項(xiàng)開放，把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。

⑵過濾非法用戶和訪問特殊站點(diǎn)：防火墻允許所有用戶和站點(diǎn)對內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，然后網(wǎng)絡(luò)管理員按照IP地址對未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。8.3.1防火墻的基本概念2、防火墻的基本特性8.3.2防火墻的基本功能1、作為網(wǎng)絡(luò)安全的屏障

防火墻作為阻塞點(diǎn)、控制點(diǎn)，能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。

2、可以強(qiáng)化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認(rèn)證、審計等）配置在防火墻上。

3、對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計

所有的外部訪問都經(jīng)過防火墻時，防火墻就能記錄下這些訪問，為網(wǎng)絡(luò)使用情況提供統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑信息時防火墻能發(fā)出報警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。

4、可以防止內(nèi)部信息的外泄

利用防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。8.3.2防火墻的基本功能1、作為網(wǎng)絡(luò)安全的屏障8.3.3防火墻的基本類型1、網(wǎng)絡(luò)級防火墻（NetworkGateway）網(wǎng)絡(luò)級防火墻主要用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。圖7-10包過濾路由器的工作原理示意圖內(nèi)部網(wǎng)絡(luò)物理層分組過濾規(guī)則數(shù)據(jù)鏈跑層Internet外部網(wǎng)絡(luò)網(wǎng)絡(luò)層物理層數(shù)據(jù)鏈跑層網(wǎng)絡(luò)層包過濾路由器8.3.3防火墻的基本類型1、網(wǎng)絡(luò)級防火墻（Network8.3.3防火墻的基本類型

2、應(yīng)用級防火墻（ApplicationGateway）

這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接的作用。代理防火墻的最大缺點(diǎn)是速度相對比較慢。應(yīng)用級代理工作原理圖7-11所示。圖7-11應(yīng)用級代理工作原理示意圖內(nèi)部網(wǎng)絡(luò)真正服務(wù)器代理服務(wù)器實(shí)際的連接實(shí)際的連接外部網(wǎng)絡(luò)客戶虛擬的連接Internet防火墻8.3.3防火墻的基本類型2、應(yīng)用級防火墻（App8.3.3防火墻的基本類型

3、電路級防火墻（Gateway）

電路級防火墻也稱電路層網(wǎng)關(guān),是一個具有特殊功能的防火墻。電路級網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過濾。與應(yīng)用級防火墻相似,電路級防火墻也是代理服務(wù)器,只是它不需要用戶配備專門的代理客戶應(yīng)用程序。另外,電路級防火墻在客戶與服務(wù)器間創(chuàng)建了一條電路,雙方應(yīng)用程序都不知道有關(guān)代理服務(wù)的信息。

4、狀態(tài)監(jiān)測防火墻（StatefuinspectionGateway）

狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應(yīng)用連接,狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則,允許符合規(guī)則的連接通過,并在內(nèi)存中記錄下該連接的相關(guān)信息,生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表就可以通過。8.3.3防火墻的基本類型3、電路級防火墻（Gat8.3.4防火墻的基本結(jié)構(gòu)

1、雙宿主機(jī)網(wǎng)關(guān)（DualHomedGateway）雙宿主機(jī)網(wǎng)關(guān)是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻,其中一個是網(wǎng)卡,與內(nèi)網(wǎng)相連；另一個可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN卡。雙宿主機(jī)網(wǎng)關(guān)的弱點(diǎn)是一旦入侵者攻入堡壘主機(jī)并使其具有路由功能，則外網(wǎng)用戶均可自由訪問內(nèi)網(wǎng)。雙宿主機(jī)網(wǎng)關(guān)工作原理圖如圖7-13所示。圖7-13雙宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)8.3.4防火墻的基本結(jié)構(gòu)1、雙宿主機(jī)網(wǎng)關(guān)（Du8.3.4防火墻的基本結(jié)構(gòu)

2、屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway）

⑴單宿堡壘主機(jī)：是屏蔽主機(jī)網(wǎng)關(guān)的一種簡單形式,單宿堡壘主機(jī)只有一個網(wǎng)卡，并與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機(jī)成為可以從Internet上訪問的唯一主機(jī)。而Intranet內(nèi)部的客戶機(jī)，可以受控地通過屏蔽主機(jī)和路由器訪問Internet,其工作原理圖如圖7-14所示。圖7-14屏蔽主機(jī)網(wǎng)關(guān)單宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)8.3.4防火墻的基本結(jié)構(gòu)2、屏蔽主機(jī)網(wǎng)關(guān)（Sc8.3.4防火墻的基本結(jié)構(gòu)

⑵雙宿堡壘主機(jī)：是屏蔽主機(jī)網(wǎng)關(guān)的另一種形式,與單宿堡壘主機(jī)相比，雙宿堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)比單宿堡壘主機(jī)更加安全。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)工作原理圖如圖

7-15所示。圖7-15屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)8.3.4防火墻的基本結(jié)構(gòu)⑵雙宿堡壘主機(jī)8.3.4防火墻的基本結(jié)構(gòu)

3、屏蔽子網(wǎng)（ScreenedSubnetGateway）屏蔽子網(wǎng)是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間建立一個起隔離作用的子網(wǎng)。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，它們不能直接通信，但可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的互訪提供代理服務(wù)。屏蔽子網(wǎng)工作原理圖如圖7-16所示。圖7-16屏蔽子網(wǎng)防火墻內(nèi)網(wǎng)屏蔽子網(wǎng)Internet8.3.4防火墻的基本結(jié)構(gòu)3、屏蔽子網(wǎng)（Scree8.3.5防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品1、防火墻的安全標(biāo)準(zhǔn)

⑴Secure/WAN（S/WAN）標(biāo)準(zhǔn)⑵FWPD（FireWallProductDeveloper）聯(lián)盟制訂的防火墻測試標(biāo)準(zhǔn)

2、常見的防火墻產(chǎn)品8.3.5防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品1、防火墻的安全標(biāo)準(zhǔn)§8.4網(wǎng)絡(luò)病毒防治技術(shù)計算機(jī)病毒是由計算機(jī)黑客編寫的有害程序,具有自我傳播和繁殖的能力，破壞計算機(jī)的正常工作。Internet/Intranet的迅速發(fā)展和廣泛應(yīng)用給病毒提供了新的傳播途徑，網(wǎng)絡(luò)將正逐漸成為病毒的第一傳播途徑。

Internet/Intranet帶來了兩種不同的安全威脅：一種威脅來自文件下載，這些被瀏覽的或是通過FTP下載的文件中可能存在病毒；另一種威脅來自電子郵件。網(wǎng)絡(luò)使用的簡易性和開放性使得這種威脅越來越嚴(yán)重。正因?yàn)槿绱?，網(wǎng)絡(luò)病毒的防治技術(shù)顯得越來越重要。因此，網(wǎng)絡(luò)病毒的傳播、再生、發(fā)作將造成比單機(jī)病毒更大危害。§8.4網(wǎng)絡(luò)病毒防治技術(shù)計算機(jī)病毒是由計算機(jī)黑8.4.1網(wǎng)絡(luò)病毒的特點(diǎn)網(wǎng)絡(luò)病毒的特點(diǎn)1.感染方式多2.感染速度快3.清除難度大4.破壞性強(qiáng)5.激發(fā)形式多樣6.潛在性

計算機(jī)網(wǎng)絡(luò)的主要特點(diǎn)是資源共享。那么，一旦共享資源染上病毒，網(wǎng)絡(luò)各結(jié)點(diǎn)間信息的頻繁傳輸將把病毒感染到共享的所有機(jī)器上，從而形成多種共享資源的交叉感染。在網(wǎng)絡(luò)環(huán)境中的病毒具有以下6個方面的特點(diǎn)：8.4.1網(wǎng)絡(luò)病毒的特點(diǎn)網(wǎng)絡(luò)病毒1.感染方式多網(wǎng)絡(luò)病毒的類型

1、GPI（GetPasswordI）病毒GPI病毒是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)的一類病毒，該病毒的威力在于“自上而下”，可以“逆流而上”的傳播。

2、電子郵件病毒由于電子郵件的廣泛使用，E-mail已成為病毒傳播的主要途徑之一。

3、網(wǎng)頁病毒網(wǎng)頁病毒主要指Java及ActiveX病毒，它們大部分都保存在網(wǎng)頁中，所以網(wǎng)頁也會感染病毒。

4、網(wǎng)絡(luò)蠕蟲程序是一種通過間接方式復(fù)制自身的非感染型病毒，它的傳播速度相當(dāng)驚人，給人們帶來難以彌補(bǔ)的損失。8.4.2網(wǎng)絡(luò)病毒的類型1、GPI（G8.4.3網(wǎng)絡(luò)病毒的防治

1、病毒的預(yù)防引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶本身。因此,防范網(wǎng)絡(luò)病毒應(yīng)從兩方面著手。第一，對內(nèi)部網(wǎng)與外界進(jìn)行的數(shù)據(jù)交換進(jìn)行有效的控制和管理,同時堅決抵制盜版軟件；第二，以網(wǎng)為本，多層防御，有選擇地加載保護(hù)計算機(jī)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)防病毒產(chǎn)品。

2、病毒清除可靠、有效地清除病毒,并保證數(shù)據(jù)的完整性是一件非常必要和復(fù)雜的工作。優(yōu)秀的防毒軟件應(yīng)該不僅能夠正確識別已有的病毒變種，同時也應(yīng)該能夠識別被病毒感染的文件。然而，防毒軟件并不是萬能的，對付計算機(jī)病毒的最好方法是要積極地做好預(yù)防工作,而不能寄托于病毒工具軟件。8.4.3網(wǎng)絡(luò)病毒的防治1、病毒的預(yù)防8.4.4殺毒軟件瑞星殺毒軟件卡巴斯基360金山毒霸諾頓個人防火墻8.4.4殺毒軟件瑞星殺毒軟件8.4.4殺毒軟件金山毒霸8.4.4殺毒軟件金山毒霸8.4.4殺毒軟件病毒查殺8.4.4殺毒軟件病毒查殺8.4.4殺毒軟件查殺病毒8.4.4殺毒軟件查殺病毒8.4.4殺毒軟件實(shí)時監(jiān)控：一開機(jī)，反病毒程序就一刻不停地工作，它實(shí)時地監(jiān)測著計算機(jī)工作，一旦發(fā)現(xiàn)可疑現(xiàn)象，立即給出警告。8.4.4殺毒軟件實(shí)時監(jiān)控：8.4.5系統(tǒng)備份GhostGhost安裝8.4.5系統(tǒng)備份GhostGhost安裝8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost點(diǎn)擊確定以后電腦會自動重啟，在開機(jī)時會有4秒選項(xiàng)無需操作電腦將自動備份8.4.5系統(tǒng)備份Ghost點(diǎn)擊確定以后電腦會自動重啟，在8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份Ghost8.4.5系統(tǒng)備份GhostGhost還原雙擊一鍵ghost點(diǎn)擊恢復(fù)確定8.4.5系統(tǒng)備份GhostGhost還原8.4.5系統(tǒng)備份Ghost點(diǎn)擊確定以后電腦會自動重啟，重啟時會有4秒選項(xiàng)無需操作電腦將自動恢復(fù)8.4.5系統(tǒng)備份Ghost點(diǎn)擊確定以后電腦會自動重啟，重8.4.5系統(tǒng)備份Ghost等待恢復(fù)完成8.4.5系統(tǒng)備份Ghost等待恢復(fù)完成8.4.5系統(tǒng)備份GhostGhost8.3使用一、預(yù)備知識：認(rèn)識單詞

Disk：不用我說你也知道，磁盤的意思；

Partition：即分區(qū)，在操作系統(tǒng)里，每個硬盤盤符（C盤以后）對應(yīng)著一個分區(qū)；

Image：鏡像，鏡像是Ghost的一種存放硬盤或分區(qū)內(nèi)容的文件格式，擴(kuò)展名為.gho；

To：到，在ghost里，簡單理解to即為“備份到”的意思；

From：從，在ghost里，簡單理解from即為“從……還原”的意思。

（一）Partition菜單簡介

其下有三個子菜單：

ToPartion：將一個分區(qū)（稱源分區(qū)）直接復(fù)制到另一個分區(qū)（目標(biāo)分區(qū)），注意操作時，目標(biāo)分區(qū)空間不能小于源分區(qū)；

ToImage：將一個分區(qū)備份為一個鏡像文件，注意存放鏡像文件的分區(qū)不能比源分區(qū)小，最好是比源分區(qū)大；

FromImage：從鏡像文件中恢復(fù)分區(qū)（將備份的分區(qū)還原）。

8.4.5系統(tǒng)備份GhostGhost系統(tǒng)備份Ghost

（二）分區(qū)鏡像文件的制作

1、運(yùn)行g(shù)host后，用光標(biāo)方向鍵將光標(biāo)從“Local”經(jīng)“Disk”、“Partition”移動到“ToImage”菜單項(xiàng)上，如下圖，然后按回車。2、出現(xiàn)選擇本地硬盤窗口，如圖3，再按回車鍵。

8.4.5系統(tǒng)備份Ghost（二）分區(qū)鏡像文件的制作8.4.5系統(tǒng)備份Ghost3、出現(xiàn)選擇源分區(qū)窗口（源分區(qū)就是你要把它制作成鏡像文件的那個分區(qū)），如圖用上下光標(biāo)鍵將藍(lán)色光條定位到我們要制作鏡像文件的分區(qū)上，按回車鍵確認(rèn)我們要選擇的源分區(qū)，再按一下Tab鍵將光標(biāo)定位到OK鍵上（此時OK鍵變?yōu)榘咨鐖D，再按回車鍵8.4.5系統(tǒng)備份Ghost3、出現(xiàn)選擇源分區(qū)窗口（源分8.4.5系統(tǒng)備份Ghost4、進(jìn)入鏡像文件存儲目錄，默認(rèn)存儲目錄是ghost文件所在的目錄，在Filename處輸入鏡像文件的文件名，也可帶路徑輸入文件名（此時要保證輸入的路徑是存在的，否則會提示非法路徑），如輸入D:\sysbak\cwin98，表示將鏡像文件cwin98.gho保存到D:\sysbak目錄下，如圖，輸好文件名后，再回車。8.4.5系統(tǒng)備份Ghost4、進(jìn)入鏡像文件存儲目錄，默5、接著出現(xiàn)“是否要壓縮鏡像文件”窗口，如圖7，有“No（不壓縮）、Fast（快速壓縮）、High（高壓縮比壓縮）”，壓縮比越低，保存速度越快。一般選Fast即可，用向右光標(biāo)方向鍵移動到Fast上，回車確定6、接著又出現(xiàn)一個提示窗口，如圖8所示，用光標(biāo)方向鍵移動到“Yes”上，回車確定。5、接著出現(xiàn)“是否要壓縮鏡像文件”窗口，如圖7，有“No（8.4.5系統(tǒng)備份Ghost7、Ghost開始制作鏡像文件，如圖9所示：8、建立鏡像文件成功后，會出現(xiàn)提示創(chuàng)建成功窗口，如圖8.4.5系統(tǒng)備份Ghost7、Ghost開始制作鏡像文8.4.5系統(tǒng)備份Ghost二、從鏡像文件還原分區(qū)

制作好鏡像文件，我們就可以在系統(tǒng)崩潰后還原，這樣又能恢復(fù)到制作鏡像文件時的系統(tǒng)狀態(tài)。下面介紹鏡像文件的還原。

（一）在DOS狀態(tài)下，進(jìn)入Ghost所在目錄，輸入Ghost回車，即可運(yùn)行Ghost。

（二）出現(xiàn)Ghost主菜單后，用光標(biāo)方向鍵移動到菜單“Local－Partition－FromImage”，如圖所示，然后回車。8.4.5系統(tǒng)備份Ghost二、從鏡像文件還原分區(qū)

8.4.5系統(tǒng)備份Ghost（三）出現(xiàn)“鏡像文件還原位置窗口”，如圖12所示，在Filename處輸入鏡像文件的完整路徑及文件名（你也可以用光標(biāo)方向鍵配合Tab鍵分別選擇鏡像文件所在路徑、輸入文件名，但比較麻煩），如d:\sysbak\cwin98.gho，再回車。8.4.5系統(tǒng)備份Ghost（三）出現(xiàn)“鏡像文件還原位置8.4.5系統(tǒng)備份Ghost（四）出現(xiàn)從鏡像文件中選擇源分區(qū)窗口，直接回車。

（五）又出現(xiàn)選擇本地硬盤窗口，如圖13所示，再回車。（六）出現(xiàn)選擇從硬盤選擇目標(biāo)分區(qū)窗口，我們用光標(biāo)鍵選擇目標(biāo)分區(qū)（即要還原到哪個分區(qū)），回車。

（七）出現(xiàn)提問窗口，如圖14所示，選Yes回車確定，ghost開始還原分區(qū)信息。8.4.5系統(tǒng)備份Ghost（四）出現(xiàn)從鏡像文件中選擇源8.4.5系統(tǒng)備份Ghost（八）很快就還原完畢，出現(xiàn)還原完畢窗口，如圖15所示，選ResetComputer回車重啟電腦。注意：選擇目標(biāo)分區(qū)時一定要注意選對，否則：（，后果是目標(biāo)分區(qū)原來的數(shù)據(jù)將全部消失……8.4.5系統(tǒng)備份Ghost（八）很快就還原完畢，出現(xiàn)還8.4.5系統(tǒng)備份Ghost三、硬盤的備份及還原

Ghost的Disk菜單下的子菜單項(xiàng)可以實(shí)現(xiàn)硬盤到硬盤的直接對拷（Disk－To

Disk）、硬盤到鏡像文件（Disk－To

Image）、從鏡像文件還原硬盤內(nèi)容（Disk－FromImage）。

在多臺電腦的配置完全相同的情況下，我們可以先在一臺電腦上安裝好操作系統(tǒng)及軟件，然后用ghost的硬盤對拷功能將系統(tǒng)完整地“復(fù)制”一份到其它電腦，這樣裝操作系統(tǒng)可比傳統(tǒng)方法快多了哦：）。

Ghost的Disk菜單各項(xiàng)使用與Partition大同小異，而且使用也不是很多，在此就不贅述了。8.4.5系統(tǒng)備份Ghost三、硬盤的備份及還原

1、什么是虛擬專用網(wǎng)

防火墻用來將局域網(wǎng)與Internet分隔開來，阻止來自外部網(wǎng)絡(luò)的損壞。隨著企業(yè)網(wǎng)應(yīng)用的不斷擴(kuò)大，企業(yè)網(wǎng)的范圍也不斷擴(kuò)大，從一個本地網(wǎng)絡(luò)發(fā)展到一個跨地區(qū)跨城市甚至跨國家的網(wǎng)絡(luò),為保證區(qū)域間流通的企業(yè)信息安全,通過租用昂貴的跨地區(qū)數(shù)字專線方式建立物理上的專用網(wǎng)非常困難。隨著計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)的發(fā)展，現(xiàn)在可通過Internet提供的虛擬專用網(wǎng)(VirtualPrivateNetwork，VPN)技術(shù)，使家庭辦公、移動用戶或其它用戶主機(jī)可以很方便地訪問企業(yè)服務(wù)器。用戶就像通過專線連接一樣，而感覺不到公網(wǎng)的存在，這種網(wǎng)絡(luò)被稱為VPN的基本結(jié)構(gòu)如圖7-17所示?！?.5虛擬專用網(wǎng)技術(shù)8.5.1VPN的基本概念

1、什么是虛擬專用網(wǎng)§8.5虛擬專用網(wǎng)技術(shù)88.5.1VPN的基本概念VPN是通過一個公用網(wǎng)絡(luò)建立的一個臨時、安全的連接方式,是一條穿越混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，其目標(biāo)是在不安全的公用網(wǎng)絡(luò)上建立一個安全的專用通信網(wǎng)絡(luò)。VPN的最大優(yōu)點(diǎn)是無需租用電信部門的專用線路，而由本地ISP所提供的VPN服務(wù)所替代。因此，人們越來越關(guān)注基于Internet的VPN技術(shù)及其應(yīng)用。圖7-17虛擬專用網(wǎng)示意圖VPN服務(wù)器明文共用網(wǎng)絡(luò)密文VPN隧道數(shù)據(jù)分組

VPN連接明文VPN服務(wù)器8.5.1VPN的基本概念VPN是通過一個公用

2、虛擬專用網(wǎng)的安全性VPN實(shí)際上是一種服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。VPN中傳輸?shù)氖瞧笫聵I(yè)或公司的內(nèi)部信息，因此數(shù)據(jù)的安全性非常重要。VPN保證數(shù)據(jù)的安全性主要包括以下3個方面。

⑴數(shù)據(jù)保密性（Confidentiality）：通過數(shù)據(jù)加密來確保數(shù)據(jù)通過公網(wǎng)傳輸時外人無法看到或截獲，即使被他人看到也不會泄露。

⑵身份驗(yàn)證(Authentication）：對通信實(shí)體的身份認(rèn)證和信息的完整性檢查，能夠?qū)τ诓煌挠脩舯仨毷谟璨煌脑L問權(quán)限,確保數(shù)據(jù)是從正確的發(fā)送方傳輸來的。

⑶數(shù)據(jù)完整性（Integrity）：確保數(shù)據(jù)在傳輸過程中沒有被非法改動，保持?jǐn)?shù)據(jù)信息原樣地到達(dá)目的地。8.5.1VPN的基本概念

2、虛擬專用網(wǎng)的安全性8.5.1VPN的基本概念3、VPN的特點(diǎn)VPN最終用戶提供類似于專用網(wǎng)絡(luò)性能的網(wǎng)絡(luò)服務(wù)技術(shù),并具有以下特點(diǎn)。

⑴安全性高：VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴同公司內(nèi)部網(wǎng)之間建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。

⑵降低成本：VPN是建立在現(xiàn)有網(wǎng)絡(luò)硬件設(shè)施基礎(chǔ)上，因此可以保護(hù)用戶現(xiàn)有的網(wǎng)絡(luò)設(shè)施投資；大幅度地減少用戶在WAN和遠(yuǎn)程連接上的費(fèi)用；降低企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)成本。

⑶優(yōu)化管理：采用VPN方案可以簡化網(wǎng)絡(luò)設(shè)計和管理，加速連接新的用戶和網(wǎng)站。同時，能夠極大地提高用戶網(wǎng)絡(luò)運(yùn)營和管理的靈活性。8.5.1VPN的基本概念

3、VPN的特點(diǎn)8.5.1VPN的基本概念8.5.2VPN的實(shí)現(xiàn)技術(shù)

1、隧道技術(shù)隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式,是VPN的核心。隧道技術(shù)是在公用網(wǎng)建立一條專用數(shù)據(jù)“通道”，以實(shí)現(xiàn)點(diǎn)對點(diǎn)的連接，讓來自不同數(shù)據(jù)源的網(wǎng)絡(luò)業(yè)務(wù)經(jīng)由不同的“通道”在相同的網(wǎng)絡(luò)體系結(jié)構(gòu)上傳輸，并且允許網(wǎng)絡(luò)協(xié)議穿越不兼容的體系結(jié)構(gòu)。隧道的組成如圖7-18所示。圖7-18隧道的組成ISP接入集線器MobilePC隧道終結(jié)器交換機(jī)ISPVPNGateway互聯(lián)網(wǎng)8.5.2VPN的實(shí)現(xiàn)技術(shù)1、隧道技術(shù)圖7-8.5.2VPN的實(shí)現(xiàn)技術(shù)

2、加解密技術(shù)（Encryption&Decryption）對通過公用互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其它未授權(quán)的用戶無法讀取該信息。

3、密鑰管理技術(shù)（KeyManagement）密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行常用密鑰管理技術(shù)可分為SKIP與ISAKMP／Oakley兩種。

4、身份認(rèn)證技術(shù)（Authentication）公用網(wǎng)絡(luò)上有眾多的使用者與設(shè)備，如何正確地辨認(rèn)合法的使用者與設(shè)備，使屬于本單位的人員與設(shè)備能互通，構(gòu)成一個VPN并讓未授權(quán)者無法進(jìn)人系統(tǒng),這就是使用者與設(shè)備身份認(rèn)證技術(shù)要解決的問題。

8.5.2VPN的實(shí)現(xiàn)技術(shù)2、加解密技術(shù)（Enc8.5.2VPN的實(shí)現(xiàn)技術(shù)

5、VPN的應(yīng)用平臺

VPN設(shè)備選擇的標(biāo)準(zhǔn)主要取決于應(yīng)用程序運(yùn)行的安全級別和性能要求，而在技術(shù)方法上VPN是通過平臺來實(shí)現(xiàn)的。目前VPN的應(yīng)用平臺可分為3種類型。

⑴基于軟件的VPN：當(dāng)數(shù)據(jù)連接速度較低，對性能和安全性要求不高時，利用一些軟件提供的功能便可實(shí)現(xiàn)簡單的VPN功能。

⑵基于專用硬件平臺的VPN：當(dāng)企業(yè)和用戶對數(shù)據(jù)安全與通信性能要求很高時，可采用專用硬件平臺實(shí)現(xiàn)VPN功能。

⑶輔助硬件平臺的VPN：以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，在添加適當(dāng)?shù)腣PN軟件的情況下實(shí)現(xiàn)VPN功能。網(wǎng)絡(luò)安全性和通信性能介于上述兩者之間。8.5.2VPN的實(shí)現(xiàn)技術(shù)5、VPN的應(yīng)用平臺8.5.3VPN的安全協(xié)議網(wǎng)絡(luò)隧道協(xié)議有兩種：一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議數(shù)據(jù)，以構(gòu)建遠(yuǎn)程訪問虛擬專用網(wǎng)；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，以構(gòu)建企業(yè)內(nèi)部虛擬專用網(wǎng)和擴(kuò)展的企業(yè)內(nèi)部VPN。

1、二層隧道協(xié)議（PPTP／P2TP）

⑴PPTP：是點(diǎn)對點(diǎn)隧道協(xié)議，它是由

Microsoft公司提出的、被嵌入到Windows中的、用于路由和遠(yuǎn)程服務(wù)的數(shù)據(jù)鏈路層協(xié)議。PPTP用IP包來封裝PPP數(shù)據(jù)幀，用簡單的包過濾和域控制來實(shí)現(xiàn)訪問控制。

⑵L2TP：是第二層隧道轉(zhuǎn)發(fā)協(xié)議，它是由PPTP和L2F組合而成，可用于基于Internet的遠(yuǎn)程撥號訪問。還可以為使用PPP的客戶端建立撥號方式的VPN連接。L2TP可用于傳輸多種協(xié)議，如NetBIOS等。8.5.3VPN的安全協(xié)議網(wǎng)絡(luò)隧道協(xié)議有兩種：一8.5.3VPN的安全協(xié)議2、三層隧道協(xié)議（IPSec）IPSec是一組開放性協(xié)議的總稱，它包括認(rèn)證頭(AH）、Internet安全協(xié)會與密鑰管理協(xié)議（ISAKMP）和安全封裝載荷（ESP）三個子協(xié)議。IPSec具有以下三個特性。

⑴保密性：IPSec在數(shù)據(jù)傳輸之前先進(jìn)行加密，以確保的私有性。

⑵可靠性：數(shù)據(jù)到達(dá)目標(biāo)方之后進(jìn)行驗(yàn)證,保證數(shù)據(jù)在傳輸過程中沒有被修改或替換。

⑶真實(shí)性：對主機(jī)和端點(diǎn)進(jìn)行身份鑒別。IPSec有兩種工作模式,即運(yùn)輸模式和隧道模式。在隧道模式下,IPSec把IP分組封裝在一個安全的數(shù)據(jù)報中，確保從一個防火墻到另一個防火墻的通信安全性。8.5.3VPN的安全協(xié)議2、三層隧道協(xié)議（IP8.5.4VPN的基本類型圖7-19VPN的三種服務(wù)類型公用網(wǎng)絡(luò)AccessVPNExtranetVPNInternetVPN合作伙伴子公司總公司根據(jù)業(yè)務(wù)類型和和組網(wǎng)方式的不同，VPN業(yè)務(wù)大致可分為3類，如圖7-19所示。8.5.4VPN的基本類型圖7-19VPN的三種服務(wù)8.5.4VPN的基本類型

1、內(nèi)部網(wǎng)VPN（IntranetVPN）內(nèi)部網(wǎng)是指企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng),它通過公用網(wǎng)絡(luò)將一個組織的各分支機(jī)構(gòu)的LAN連接而成的網(wǎng)絡(luò)，即Intranet，它是公司內(nèi)部網(wǎng)絡(luò)的擴(kuò)展。內(nèi)部網(wǎng)VPN用于公司遠(yuǎn)程分支機(jī)構(gòu)的LAN之間或公司遠(yuǎn)程分支機(jī)構(gòu)的LAN與公司總部LAN之間進(jìn)行互聯(lián)，以便公司內(nèi)部的資源共享、文件傳遞等，可節(jié)省DDN等專線所帶來的高額費(fèi)用。內(nèi)部網(wǎng)VPN的配置如圖7-20所示。VPNServerInternet外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)RouterRouterVPNServer圖7-20內(nèi)部網(wǎng)VPN的配置8.5.4VPN的基本類型1、內(nèi)部網(wǎng)VPN（In8.5.4VPN的基本類型2、遠(yuǎn)程訪問VPN（AccessVPN）

遠(yuǎn)程訪問也稱為撥號VPN，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)，用于在遠(yuǎn)程用戶或移動雇員和公司內(nèi)部網(wǎng)之間進(jìn)行互聯(lián)。遠(yuǎn)程訪問VPN的優(yōu)點(diǎn)是可以實(shí)現(xiàn)“透明訪問策略”，即遠(yuǎn)程用戶可以與主機(jī)如同在同一個LAN中一樣自由地訪問LAN上的資源。

遠(yuǎn)程網(wǎng)VPN的配置如圖7-21所示。圖7-21遠(yuǎn)程網(wǎng)VPN的配置VPNServerInternet內(nèi)部網(wǎng)絡(luò)FirewallMobilePCDesktopPC8.5.4VPN的基本類型2、遠(yuǎn)程訪問VPN（A8.5.4VPN的基本類型3、外聯(lián)網(wǎng)VPN（ExtranetVPN）外聯(lián)網(wǎng)是指企業(yè)間發(fā)生收購、兼并或企業(yè)間的戰(zhàn)略聯(lián)盟,使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)，用于在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間進(jìn)行互聯(lián)。外聯(lián)網(wǎng)VPN通過一個共享基礎(chǔ)設(shè)施將客戶、供應(yīng)商、合作伙伴等連接到企業(yè)內(nèi)部網(wǎng)，既可以向外提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。外連網(wǎng)VPN的配置如圖7-22所示。圖7-22外聯(lián)網(wǎng)VPN的配置WWWServerInternet內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)VPNServerFirewallVPNServerFirewall8.5.4VPN的基本類型3、外聯(lián)網(wǎng)VPN（Ex§8.6網(wǎng)絡(luò)管理技術(shù)

1、網(wǎng)絡(luò)管理的定義網(wǎng)絡(luò)管理是一項(xiàng)復(fù)雜的系統(tǒng)工程,它涉及到以下3個方面。

⑴網(wǎng)絡(luò)服務(wù)提供：是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能等。

⑵網(wǎng)絡(luò)維護(hù)：是指網(wǎng)絡(luò)性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復(fù)等。

⑶網(wǎng)絡(luò)處理：是指網(wǎng)絡(luò)線路、設(shè)備利用率、數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。

2、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化

在ISO的OSI-RM的基礎(chǔ)上，由AT&T、英國電信等100多著名大公司組成的OSI/NMF(網(wǎng)絡(luò)管理論壇）定義了OSI網(wǎng)絡(luò)管理框架下的5個管理功能區(qū)域，并形成了多項(xiàng)協(xié)議。8.6.1網(wǎng)絡(luò)管理的基本概念§8.6網(wǎng)絡(luò)管理技術(shù)1、網(wǎng)絡(luò)管理的定義88.6.2網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)被管系統(tǒng)管理信息庫進(jìn)程管理代理被管對象管理系統(tǒng)管理協(xié)議通知執(zhí)行管理操作通知操作圖7-24網(wǎng)絡(luò)管理系統(tǒng)邏輯模型1、網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型

⑴被管對象：經(jīng)過抽象的網(wǎng)絡(luò)元素，對應(yīng)于網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù)。⑵管理進(jìn)程：負(fù)責(zé)對網(wǎng)絡(luò)設(shè)備進(jìn)行全面管理與控制的軟件。⑶管理信息庫：可看作為管理進(jìn)程的一部分,用于記錄網(wǎng)絡(luò)中被管理對象的狀態(tài)參數(shù)值。⑷管理協(xié)議：負(fù)責(zé)在管理系統(tǒng)與被管對象之間傳遞命令和負(fù)責(zé)解釋管理操作命令。8.6.2網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)被管系統(tǒng)管理信息庫進(jìn)程管理8.6.2網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)圖7-25Internet網(wǎng)絡(luò)管理邏輯模型2、Internet網(wǎng)絡(luò)管理邏輯模型由于TCP/IP的廣泛使用，Internet網(wǎng)絡(luò)管理模型也受到了廣泛的重視，幾乎成了事實(shí)上的國際標(biāo)準(zhǔn)。Internet的網(wǎng)絡(luò)管理模型如圖7-25所示。這種管理機(jī)構(gòu)能為管理進(jìn)程提供透明的管理環(huán)境,一個外部代理能夠管理多個網(wǎng)絡(luò)資源。網(wǎng)絡(luò)管理進(jìn)程（網(wǎng)控中心）管理代理被管對象管理代理被管對象外部代理被管對象8.6.2網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)圖7-25Intern8.6.3

ISO網(wǎng)路管理功能域配置管理性能管理計費(fèi)管理安全管理故障管理系統(tǒng)管理功能：對象管理狀態(tài)管理關(guān)系屬性日志控制負(fù)荷監(jiān)測告警報告事件報告測試管理/測試報告記賬表安全審查追蹤等圖7-26OSI網(wǎng)絡(luò)管理功能模塊之間的關(guān)系為了實(shí)現(xiàn)對網(wǎng)絡(luò)中的所有對象進(jìn)行管理，OSI定義了網(wǎng)絡(luò)管理統(tǒng)一的國際性標(biāo)準(zhǔn)（5個基本功能域），基本模塊的相互關(guān)系如圖7-26所示。8.6.3ISO網(wǎng)路管理功能域配置性能計費(fèi)安全故障系統(tǒng)管8.6.3

ISO網(wǎng)路管理功能域

1、配置管理（ConfigurationManagement，CM）配置管理是ISO網(wǎng)絡(luò)管理功能域中的第一個管理模塊,它具有以下4項(xiàng)基本功能。

1配置信息具有自動獲取功能：一個大型網(wǎng)絡(luò)需要管理的設(shè)備很多，因此，網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動獲取的功能。2具有自動配置功能：通過網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)設(shè)置配置信息、自動登錄到設(shè)備進(jìn)行配置的信息、修改管理性能配置信息。3配置一次性檢查：在網(wǎng)絡(luò)配置中，對網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由器信息配置和檢查。4用戶操作記錄功能：在配置管理中對用戶操作進(jìn)行記錄并保存,以便管理人員隨時查看用戶在特定時間進(jìn)行特定配置操作。8.6.3ISO網(wǎng)路管理功能域1、配置管理（Co8.6.3

ISO網(wǎng)路管理功能域

2、性能管理（PerformanceManagement，PM）性能管理的功能是負(fù)責(zé)監(jiān)視整個網(wǎng)絡(luò)的性能，性能管理的目標(biāo)是收集和統(tǒng)計數(shù)據(jù)。性能管理主要包括以下內(nèi)容：

1

信息收集：要實(shí)現(xiàn)性能管理，首先必須要從被管對象中收集與性能有關(guān)的那些數(shù)據(jù)，然后進(jìn)行信息統(tǒng)計、分析和監(jiān)測。2信息統(tǒng)計：統(tǒng)計被管對象與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生、記錄和維護(hù)。3信息分析：分析被管的性能數(shù)據(jù)和網(wǎng)絡(luò)線路質(zhì)量，以判斷是否處于正常水平，為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)。4信息監(jiān)測：監(jiān)測網(wǎng)絡(luò)對象的性能，為每個重要的變量決定一個合適的性能閥值，超過該限值時將報警發(fā)送到網(wǎng)絡(luò)管理系統(tǒng)。8.6.3ISO網(wǎng)路管理功能域2、性能管理（Per8.6.3

ISO網(wǎng)路管理功能域

3、故障管理（FaultManagement，F(xiàn)M）故障管理是在系統(tǒng)出現(xiàn)異常情況下的管理操作，找出故障的位置并進(jìn)行恢復(fù)。故障管理包括以下4個步驟。

1檢測故障：通過檢測來判斷故障類型或被動接收網(wǎng)絡(luò)上的各種事件信息，對其中的關(guān)鍵部分保持跟蹤,并生成網(wǎng)絡(luò)故障記錄。2隔離故障：通過診斷、測試，識別故障根源，對根源故障進(jìn)行隔離。3修復(fù)故障：對不嚴(yán)重的簡單故障由網(wǎng)絡(luò)設(shè)備進(jìn)行檢測、診斷和恢復(fù)；對于嚴(yán)重的故障，報警提醒管理者進(jìn)行維修和更換。4記錄故障監(jiān)測結(jié)果：記錄排除故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯行記錄，以反映故障整個過程的各個方面。8.6.3ISO網(wǎng)路管理功能域3、故障管理（Fau8.6.3

ISO網(wǎng)路管理功能域

4、安全管理（SecurityManagement，SM）安全管理模塊的功能分為網(wǎng)絡(luò)管理本身的安全和被管網(wǎng)絡(luò)對象的安全。安全管理的功能主要包括以下4個方面：

1授權(quán)管理：分配權(quán)限給所請求的實(shí)體。2訪問控制管理：訪問控制管理：分配口令、進(jìn)入或修改訪問控制表和能力表。3安全管理：安全檢查跟蹤和事件處理。4密鑰管理：進(jìn)行密鑰分配。8.6.3ISO網(wǎng)路管理功能域4、安全管理（Sec8.6.3

ISO網(wǎng)路管理功能域

5、計費(fèi)管理（AccountingManagement，AM）計費(fèi)管理模塊的功能是在有償使用的網(wǎng)絡(luò)上統(tǒng)計有哪些用戶，使用何種信道，傳輸多少數(shù)據(jù)，訪問什么資源信息，即統(tǒng)計不同線路和各類資源的利用情況。計費(fèi)管理的目標(biāo)是提高網(wǎng)絡(luò)資源的利用率，以便使一個或一組用戶可以按規(guī)則利用網(wǎng)絡(luò)資源。由于網(wǎng)絡(luò)資源可以根據(jù)其能力的大小而合理地分配，這樣的規(guī)則使網(wǎng)絡(luò)故障降低到最小限度，也可以使所有用戶對網(wǎng)絡(luò)的訪問更加公平。為了實(shí)現(xiàn)合理計費(fèi)，計費(fèi)管理必須和性能管理相結(jié)合。計費(fèi)管理包括：計費(fèi)數(shù)據(jù)采集、數(shù)據(jù)管理與數(shù)據(jù)維護(hù)、政策比較與決策支持、數(shù)據(jù)分析與費(fèi)用計算等。8.6.3ISO網(wǎng)路管理功能域5、計費(fèi)管理（Ac8.6.4簡單網(wǎng)絡(luò)管理協(xié)議為了更好地進(jìn)行網(wǎng)絡(luò)管理，許多國際標(biāo)準(zhǔn)化組織都提出了自己的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理方案，網(wǎng)絡(luò)管理協(xié)議主要有CMIP、SNMP和CMOT三種。目前使用最廣泛的網(wǎng)絡(luò)管理協(xié)議是簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）。

1、SNMP的結(jié)構(gòu)為了提高網(wǎng)絡(luò)管理系統(tǒng)的效率，SNMP在傳輸層采用了用戶數(shù)據(jù)報協(xié)議（UDP)，針對Internet飛速發(fā)展和協(xié)議的不斷擴(kuò)充和完善，SNMP盡可能地降低管理代理的軟件成本和資源要求,提供較強(qiáng)的遠(yuǎn)程管理,以適應(yīng)對Internet資源的管理。并且,SNMP結(jié)構(gòu)具有可擴(kuò)充性,以適應(yīng)網(wǎng)絡(luò)系統(tǒng)的發(fā)展。SNMP的結(jié)構(gòu)如圖7-27所示。8.6.4簡單網(wǎng)絡(luò)管理協(xié)議為了更好地進(jìn)行網(wǎng)絡(luò)管8.6.4簡單網(wǎng)絡(luò)管理協(xié)議圖7-27SNMP的功能結(jié)構(gòu)主機(jī)管理代理MIB網(wǎng)關(guān)MIB終端服務(wù)器管理代理MIB管理進(jìn)程管理代理

⑴管理進(jìn)程（manager）：協(xié)助網(wǎng)絡(luò)管理員對整個網(wǎng)絡(luò)或網(wǎng)絡(luò)中的設(shè)備進(jìn)行日常管理的一組軟件，一般運(yùn)行在網(wǎng)絡(luò)管理站（網(wǎng)絡(luò)管理中心）的主機(jī)上。

⑵管理代理（agent）：是一種在被管理的網(wǎng)絡(luò)設(shè)備中運(yùn)行的軟件，負(fù)責(zé)執(zhí)行管理進(jìn)程的管理操作。

⑶管理信息庫：是一個概念上的數(shù)據(jù)庫,由管理對象組成,每個管理代理屬于本地的管理對象，各管理代理控制的管理對象共同組成全網(wǎng)管理信息庫。8.6.4簡單網(wǎng)絡(luò)管理協(xié)議圖7-27SNMP的功能8.6.4簡單網(wǎng)絡(luò)管理協(xié)議圖7-28SNMP工作方式示意圖中心MIB本地MIB本地MIB應(yīng)答應(yīng)答請求請求AgentManagerAgent2、SNMP的工作方式管理進(jìn)程（Manager）和管理代理（Agent）之間主要以請求/應(yīng)答方式工作。Manager向Agent發(fā)出請求命令，獲取或設(shè)置網(wǎng)絡(luò)元素（被管設(shè)備）參數(shù)；Agent向Manager返回“應(yīng)答”響應(yīng)，報告“請求”的執(zhí)行結(jié)果。Internet網(wǎng)絡(luò)管理的工作方式如圖7-28所示。8.6.4簡單網(wǎng)絡(luò)管理協(xié)議圖7-28SNMP工作方式8.6.4簡單網(wǎng)絡(luò)管理協(xié)議3、SNMP的報文格式

SNMP使用UDP作為第四層(傳輸層)協(xié)議,進(jìn)行無連接操作。管理進(jìn)程和代理進(jìn)程之間的每個消息都是一個單獨(dú)的數(shù)據(jù)報。SNMP消息報文包含兩個部分：SNMP報頭和協(xié)議數(shù)據(jù)單元PDU。

⑴版本識別符（VersionIdentifier)：用來確保SNMP代理使用相同的協(xié)議，每個SNMP代理都直接拋棄與自己協(xié)議版本不同的數(shù)據(jù)報。

⑵團(tuán)體名（CommunityName)：用于SNMP代理對SNMP管理站進(jìn)行認(rèn)證。

⑶協(xié)議數(shù)據(jù)單元（PDN）：指明SNMP的消息類型及其相關(guān)參數(shù)。8.6.4簡單網(wǎng)絡(luò)管理協(xié)議3、SNMP的報文格式8.6.5常用網(wǎng)絡(luò)管理系統(tǒng)1、HPOpenView

HPOpenView是第一個綜合的、實(shí)用的網(wǎng)絡(luò)管理系統(tǒng)。2、IBMNetView／6000IBM從HP處取得了OpenView3.1源代碼的使用許可，在此基礎(chǔ)上開發(fā)了NetView。3、CiscoWorksCiscoWorks是一個基于SNMP的網(wǎng)絡(luò)管理應(yīng)用系統(tǒng),它建立在工業(yè)標(biāo)準(zhǔn)平臺上,能集成到幾種流行的網(wǎng)絡(luò)管理平臺中。

4、