計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)第8章網(wǎng)絡(luò)管理與安全

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)第8章網(wǎng)絡(luò)管理與平安本章將對(duì)網(wǎng)絡(luò)管理的相關(guān)概念和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP進(jìn)行講解。并且，還要介紹網(wǎng)絡(luò)平安方面的根底知識(shí)及一些網(wǎng)絡(luò)平安設(shè)備。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.1網(wǎng)絡(luò)管理的根本概念網(wǎng)絡(luò)管理是指網(wǎng)絡(luò)管理員通過(guò)網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作，包括配置管理、性能和記賬管理、問(wèn)題管理、操作管理和變化管理等。一臺(tái)設(shè)備所支持的管理程度反映了該設(shè)備的可管理性及可操作性。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.1網(wǎng)絡(luò)管理的根本概念1．網(wǎng)絡(luò)管理的目標(biāo)〔1〕網(wǎng)絡(luò)應(yīng)是有效的，能準(zhǔn)確及時(shí)地傳遞信息?！?〕網(wǎng)絡(luò)應(yīng)是可靠的，能穩(wěn)定地運(yùn)轉(zhuǎn)?！?〕網(wǎng)絡(luò)要有開(kāi)放性，能夠接收多廠商生產(chǎn)的異種設(shè)備。〔4〕網(wǎng)絡(luò)要有綜合性，能夠提供綜合業(yè)務(wù)。〔5〕網(wǎng)絡(luò)要有很高的平安性?！?〕網(wǎng)絡(luò)要有經(jīng)濟(jì)性，這種經(jīng)濟(jì)性不僅是對(duì)網(wǎng)絡(luò)建設(shè)者、經(jīng)營(yíng)者而言，也是對(duì)用戶而言的。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.1網(wǎng)絡(luò)管理的根本概念2．網(wǎng)絡(luò)管理的任務(wù)〔1〕狀態(tài)監(jiān)測(cè)。通過(guò)狀態(tài)監(jiān)測(cè)，可以獲得分析網(wǎng)絡(luò)各種性能的原始數(shù)據(jù)。〔2〕數(shù)據(jù)收集。要了解網(wǎng)絡(luò)的狀態(tài)，還需要將分散監(jiān)測(cè)到的有用數(shù)據(jù)收集到一起?！?〕狀態(tài)分析。利用各種模型，根據(jù)收集到的監(jiān)測(cè)數(shù)據(jù)對(duì)網(wǎng)絡(luò)的狀態(tài)進(jìn)行分析、判斷?！?〕狀態(tài)控制。根據(jù)狀態(tài)分析的結(jié)果對(duì)網(wǎng)絡(luò)采取控制措施。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.1網(wǎng)絡(luò)管理的根本概念3．網(wǎng)絡(luò)管理的功能〔1〕配置管理，定義、識(shí)別、初始化、控制和監(jiān)測(cè)被管對(duì)象功能的集合，包括以下幾項(xiàng)。①定義被管對(duì)象，給每個(gè)被管對(duì)象分配名字。②定義用戶組。③刪除不需要的被管對(duì)象。④設(shè)置被管對(duì)象的初始值。⑤處理被管對(duì)象間的關(guān)系。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.1網(wǎng)絡(luò)管理的根本概念3．網(wǎng)絡(luò)管理的功能〔2〕故障管理，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的故障，對(duì)故障原因做出論斷，對(duì)故障進(jìn)行排除，保證網(wǎng)絡(luò)的正常運(yùn)行，包括以下幾項(xiàng)。①檢測(cè)被管對(duì)象的過(guò)失，或接受過(guò)失報(bào)告。②創(chuàng)立和維護(hù)過(guò)失日志庫(kù)，并對(duì)其進(jìn)行分析。③進(jìn)行診斷，以跟蹤和識(shí)別過(guò)失。④通過(guò)恢復(fù)措施，恢復(fù)正確的網(wǎng)絡(luò)效勞。⑤網(wǎng)絡(luò)實(shí)時(shí)備份。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.1網(wǎng)絡(luò)管理的根本概念3．網(wǎng)絡(luò)管理的功能〔3〕計(jì)費(fèi)管理，記錄用戶使用網(wǎng)絡(luò)的情況并核收費(fèi)用，包括以下幾項(xiàng)。①易于更新且費(fèi)率可變。②允許使用信用記賬收費(fèi)。③能根據(jù)用戶組的不同進(jìn)行不同的收費(fèi)。④收費(fèi)依據(jù)為“進(jìn)程〞或“效勞〞。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.1網(wǎng)絡(luò)管理的根本概念3．網(wǎng)絡(luò)管理的功能〔4〕平安管理，保證網(wǎng)絡(luò)不被非法使用，包括以下幾項(xiàng)。①與平安措施相關(guān)的信息分發(fā)。②與平安相關(guān)的事件通知。③與平安相關(guān)的設(shè)施建設(shè)、控制和刪除；④涉及平安效勞的網(wǎng)絡(luò)操作事件的記錄、維護(hù)和查閱等日志管理工作。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.1網(wǎng)絡(luò)管理的根本概念3．網(wǎng)絡(luò)管理的功能〔5〕性能管理，保證在最小網(wǎng)絡(luò)消耗和網(wǎng)絡(luò)時(shí)延下，提供最大的可靠且連續(xù)的通信能力，包括以下幾項(xiàng)。①?gòu)谋还軐?duì)象中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)。②對(duì)收集到的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，并對(duì)歷史記錄進(jìn)行維護(hù)。③分析數(shù)據(jù)，以檢測(cè)性能故障，生成報(bào)告。④預(yù)測(cè)網(wǎng)絡(luò)的長(zhǎng)期趨勢(shì)。⑤改進(jìn)網(wǎng)絡(luò)的操作模式。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議〔SimpleNetworkManageProtocol，SNMP〕，是最早提出的網(wǎng)絡(luò)管理協(xié)議之一計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

8.2.1SNMP模型SNMP的網(wǎng)絡(luò)管理模型由3個(gè)重要元素組成圖8-1SNMP網(wǎng)絡(luò)管理模型計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

1．管理信息庫(kù)〔ManagementInformationBase，MIB〕Internet的MIB標(biāo)準(zhǔn)把管理對(duì)象分為9組，每組對(duì)象由各種變量描述。表8-1最初節(jié)點(diǎn)MIB管理的信息類型

類型標(biāo)號(hào)信息類型system1主機(jī)或路由器的操作系統(tǒng)interface2各種網(wǎng)絡(luò)接口及它們的測(cè)定通信量addresstranslation（at）3地址轉(zhuǎn)換（如ARP映射）ip4Internet軟件（IP分組統(tǒng)計(jì)）icmp5ICMP軟件（已收到ICMP消息的統(tǒng)計(jì)）tcp6TCP軟件（算法、參數(shù)和統(tǒng)計(jì)）udp7UDP軟件（UDP通信量統(tǒng)計(jì)）egp8EGP軟件（外部網(wǎng)關(guān)協(xié)議通信量統(tǒng)計(jì)）snmp9SNMP軟件計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

1．管理信息庫(kù)〔ManagementInformationBase，MIB〕MIB中對(duì)象的變量類型大體可分為兩種：簡(jiǎn)單變量和表格。簡(jiǎn)單變量包括整型變量、字符串變量等，也包括一些類似于C語(yǔ)言“結(jié)構(gòu)〞的數(shù)據(jù)集合，表格相當(dāng)于一維數(shù)組。值得注意的是，MIB只給出每個(gè)變量的邏輯定義，每個(gè)被管的網(wǎng)絡(luò)設(shè)備所使用的內(nèi)部數(shù)據(jù)結(jié)構(gòu)可能與MIB的定義不同。當(dāng)代理進(jìn)程收到查詢請(qǐng)求時(shí)，先要把SNMP協(xié)議的MIB變量映射到自己的內(nèi)部數(shù)據(jù)結(jié)構(gòu)，再執(zhí)行相應(yīng)的操作。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

1．管理信息庫(kù)〔ManagementInformationBase，MIB〕MIB的設(shè)計(jì)比較靈活，對(duì)象和網(wǎng)絡(luò)管理通信協(xié)議相對(duì)獨(dú)立，只要有需要就可以定義新的MIB變量并標(biāo)準(zhǔn)化，而不需要改變協(xié)議。各廠商設(shè)計(jì)了新的網(wǎng)絡(luò)設(shè)備或新的網(wǎng)絡(luò)協(xié)議時(shí)，可以自行定義相應(yīng)的MIB變量，對(duì)這些新的網(wǎng)絡(luò)設(shè)備或新的網(wǎng)絡(luò)協(xié)議進(jìn)行管理。事實(shí)上，目前已定義了許多新的MIB變量。例如，以太網(wǎng)接口的MIB、網(wǎng)橋的MIB、FDDI的MIB、PPP的IP網(wǎng)絡(luò)控制協(xié)議MIB等。MIB只是定義了管理對(duì)象的組織結(jié)構(gòu)，使其他系統(tǒng)可以知道如何訪問(wèn)各個(gè)管理對(duì)象。對(duì)于代理如何收集MIB中管理對(duì)象的數(shù)據(jù)以及怎樣使用這些數(shù)據(jù)，MIB不做規(guī)定。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

2．管理信息結(jié)構(gòu)〔StructureofManagementInformation，SMI〕管理信息結(jié)構(gòu)是一套規(guī)那么，規(guī)定如何命名管理對(duì)象、如何定義管理對(duì)象。所有的管理對(duì)象分層次地按樹(shù)型結(jié)構(gòu)進(jìn)行組織。某個(gè)對(duì)象的名稱反映它在這個(gè)樹(shù)型結(jié)構(gòu)中的位置，標(biāo)明了在MIB中通過(guò)怎樣的路徑可以訪問(wèn)到這個(gè)對(duì)象。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

2．管理信息結(jié)構(gòu)〔StructureofManagementInformation，SMI〕圖8-2MIB樹(shù)的頂部計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

2．管理信息結(jié)構(gòu)〔StructureofManagementInformation，SMI〕SMI采用OSI的抽象語(yǔ)法表示〔AbstractSyntaxNotationOne，ANS.1〕的OBJECTIDENTIFIER類型對(duì)MIB的管理對(duì)象進(jìn)行命名。例如，圖8-2中的ip對(duì)象命名為{iso〔1〕org〔3〕dod〔6〕internet〔1〕mgmt〔2〕mib-2〔1〕ip〔4〕}或.2.1.4。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

3．簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的主要設(shè)計(jì)思想是協(xié)議應(yīng)盡可能簡(jiǎn)單，根本功能是監(jiān)視網(wǎng)絡(luò)性能、檢測(cè)分析網(wǎng)絡(luò)過(guò)失和配置網(wǎng)絡(luò)設(shè)備。由于SNMP的設(shè)計(jì)是基于互聯(lián)網(wǎng)協(xié)議的用戶數(shù)據(jù)報(bào)協(xié)議UDP之上的，所以SNMP提供的是一種無(wú)連接的效勞，它不能確保其他實(shí)體一定能收到管理信息流。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

8.2.2SNMP協(xié)議SNMP是TCP/IP網(wǎng)絡(luò)的網(wǎng)絡(luò)管理協(xié)議，現(xiàn)在已被廣闊廠商接受，成為一種事實(shí)上的標(biāo)準(zhǔn)。隨著SNMP的廣泛使用，已經(jīng)從SNMPv1〔第1版〕開(kāi)展到SNMPv2〔第2版〕和SNMPv3〔第3版〕。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

SNMP規(guī)定了5種協(xié)議數(shù)據(jù)單元〔PDU〕，即SNMP報(bào)文，用來(lái)在管理進(jìn)程和代理之間進(jìn)行交換，其中包括以下幾項(xiàng):〔1〕get-request操作：從代理進(jìn)程處提取一個(gè)或多個(gè)進(jìn)程值?！?〕get-next-request操作：從代理進(jìn)程處提取緊跟當(dāng)前參數(shù)值的下一個(gè)參數(shù)值。〔3〕set-request操作：設(shè)置代理進(jìn)程一個(gè)或多個(gè)參數(shù)值?！?〕get-response操作：返回一個(gè)或多個(gè)參數(shù)值。此操作是由代理進(jìn)程發(fā)出的，是前面3種操作的響應(yīng)操作。〔5〕trap操作：代理進(jìn)程主動(dòng)發(fā)出的報(bào)文，通知管理進(jìn)程有某些事情發(fā)生。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

前3種操作是由管理進(jìn)程向代理進(jìn)程發(fā)出的，后兩個(gè)操作是代理進(jìn)程向管理進(jìn)程發(fā)出的。SNMP這5種報(bào)文的操作如圖8-3所示。在代理進(jìn)程端使用161端口來(lái)接收get或set報(bào)文，在管理進(jìn)程端使用162端口來(lái)結(jié)束trap報(bào)文。圖8-3SNMP的5種報(bào)文操作計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

封裝成UDP數(shù)據(jù)報(bào)的SNMP報(bào)文格式如圖8-4所示。從中可以看出，一個(gè)SNMP報(bào)文共分成3個(gè)局部：公共SNMP頭部、get/set頭部、trap變量和變量綁定?！?〕公共SNMP頭部共有3個(gè)字段。①版本，寫入本字段的值是版本號(hào)減1。對(duì)于SNMPv1，那么應(yīng)寫入0。②共同體，是一個(gè)字符串，作為管理進(jìn)程和代理進(jìn)程之間的明文口令，通常使用的6個(gè)字符是“public〞。③PDU類型，可填入0～4中的一個(gè)數(shù)字，其對(duì)應(yīng)名稱如表8-2所示。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

圖8-3SNMP的5種報(bào)文操作PDU類型名稱0get-request1get-next-request2get-response3set-request4trap計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

〔2〕get/set頭部共有3個(gè)字段。①請(qǐng)求標(biāo)識(shí)符〔RequestID〕，是由管理進(jìn)程設(shè)置的一個(gè)整數(shù)值。代理進(jìn)程在發(fā)送get-response報(bào)文時(shí)也要返回此請(qǐng)求標(biāo)識(shí)符。管理進(jìn)程可同時(shí)向許多代理發(fā)出get報(bào)文，這些報(bào)文都使用UDP傳送，先發(fā)送的有可能后到達(dá)。請(qǐng)求標(biāo)識(shí)符可使管理進(jìn)程識(shí)別返回的響應(yīng)報(bào)文對(duì)應(yīng)于哪一個(gè)請(qǐng)求報(bào)文。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

圖8-4SNMP報(bào)文格式計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

〔2〕get/set頭部共有3個(gè)字段。②過(guò)失狀態(tài)〔ErrorStatus〕，由代理進(jìn)程應(yīng)答時(shí)填寫0～5中的一個(gè)數(shù)，如表8-3所示。表8-3過(guò)失狀態(tài)描述差錯(cuò)狀態(tài)名字說(shuō)明0noError一切正常1tooBig代理無(wú)法將回答裝入一個(gè)SNMP報(bào)文之中2noSuchName操作指明了一個(gè)不存在的變量3badValue一個(gè)set操作指明了一個(gè)無(wú)效值或無(wú)效語(yǔ)法4readOnly管理進(jìn)程試圖修改一個(gè)只讀變量5genErr其他的差錯(cuò)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

〔2〕get/set頭部共有3個(gè)字段。③過(guò)失索引〔ErrorIndex〕，當(dāng)出現(xiàn)noSuchName、badValue或readOnly過(guò)失時(shí)，由代理進(jìn)程在應(yīng)答時(shí)設(shè)置一個(gè)整數(shù)，指明有過(guò)失的變量在變量列表中的偏移。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

〔3〕trap頭部有以下幾項(xiàng)。①企業(yè)〔Enterprise〕，填入trap報(bào)文的網(wǎng)絡(luò)設(shè)備的對(duì)象標(biāo)識(shí)符。此對(duì)象標(biāo)識(shí)符在如圖8-2所示的對(duì)象命名樹(shù)上的enterprise節(jié)點(diǎn)下面的一棵子樹(shù)上。②trap類型，此字段的名稱是generic-trap，共分為7種類型，如表8-4所示。當(dāng)使用上述類型2、3和5時(shí)，在報(bào)文后面變量局部的第一個(gè)變量應(yīng)標(biāo)識(shí)響應(yīng)的接口。③特定代碼〔Specific-Code〕，如果trap類型為6，指明代理自定義的時(shí)間，否那么為0。④變量綁定〔Variable-Bindings〕，指明一個(gè)或多個(gè)變量的名和對(duì)應(yīng)的值。在get和get-next報(bào)文中，變量的值應(yīng)忽略。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

〔3〕trap頭部有以下幾項(xiàng)。表8-4trap的7種類型差錯(cuò)狀態(tài)名字說(shuō)明0coldStart代理進(jìn)行了初始化1warmStart代理進(jìn)行了重新初始化2linkDown一個(gè)接口從工作狀態(tài)變?yōu)楣收蠣顟B(tài)3linkup一個(gè)接口從故障狀態(tài)變?yōu)楣ぷ鳡顟B(tài)4authenticationFailure從SNMP管理進(jìn)程接收到具有一個(gè)無(wú)效共同體的報(bào)文5egpNeighborLoss一個(gè)EGP相鄰路由器變?yōu)楣收蠣顟B(tài)6enterpriseSpecific代理自定義的事件，需要用后面的“特定代碼”來(lái)指明計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)防火墻技術(shù)當(dāng)用戶與Internet連接時(shí)，可在用戶與Internet之間插入一個(gè)或幾個(gè)中間系統(tǒng)的控制關(guān)聯(lián)，防止通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊，并提供單一的平安和審計(jì)控制點(diǎn)，這些中間系統(tǒng)就是防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)企業(yè)的平安政策控制出入網(wǎng)絡(luò)的信息流，而且本身具有較強(qiáng)的抗攻擊能力。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)在邏輯上，防火墻是一個(gè)別離器，有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的平安。防火墻技術(shù)是一種獲取平安性的方法，有助于實(shí)施一個(gè)比較廣泛的平安性策略，用以確定允許提供的訪問(wèn)和效勞。防火墻可以是路由器，也可以是個(gè)人主機(jī)、主系統(tǒng)或多個(gè)主系統(tǒng)，專門把網(wǎng)絡(luò)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和效勞隔絕。防火墻系統(tǒng)通常位于等級(jí)較高的網(wǎng)關(guān)，如Internet連接的網(wǎng)關(guān)，也可以位于等級(jí)較低的網(wǎng)關(guān)，以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．防火墻的類型防火墻從原理上可分為包過(guò)濾〔PacketFiltering〕型和代理效勞〔ProxyServer〕型?！?〕包過(guò)濾型防火墻根據(jù)數(shù)據(jù)分組中頭部的某些標(biāo)志性的字段對(duì)數(shù)據(jù)分組進(jìn)行過(guò)濾。當(dāng)數(shù)據(jù)分組到達(dá)防火墻時(shí)，防火墻根據(jù)分組頭部對(duì)源地址、目的地址、協(xié)議類型、端口號(hào)、ICMP類型等進(jìn)行判斷，決定是否接收該數(shù)據(jù)分組。通過(guò)設(shè)置包過(guò)濾規(guī)那么，可以阻塞來(lái)自或發(fā)送到特定地址的連接；從平安方面考慮，某組織的內(nèi)部網(wǎng)可能需要阻塞所有來(lái)自外部站點(diǎn)的連接。但是包過(guò)濾防火墻的弱點(diǎn)在于其規(guī)那么的復(fù)雜性，同時(shí)過(guò)于復(fù)雜的規(guī)那么不容易進(jìn)行測(cè)試。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．防火墻的類型〔2〕代理效勞器型防火墻可以解決包過(guò)濾防火墻的規(guī)那么復(fù)雜問(wèn)題。所謂代理效勞，是指在防火墻上運(yùn)行某種軟件或程序。如果內(nèi)部網(wǎng)需要與外部網(wǎng)通信，首先要建立與防火墻上代理程序的連接，然后把內(nèi)部網(wǎng)的請(qǐng)求通過(guò)新連接發(fā)送到外部網(wǎng)相應(yīng)的主機(jī)，反之亦然。內(nèi)部網(wǎng)和外部網(wǎng)之間不能建立直接連接，而要通過(guò)代理效勞進(jìn)行轉(zhuǎn)發(fā)。一個(gè)代理程序一般只能為某種協(xié)議提供代理效勞，其他所有協(xié)議的數(shù)據(jù)分組都不能通過(guò)代理效勞程序，這樣就相當(dāng)于進(jìn)行了一次過(guò)濾，代理程序還有自己的配置文件，其中對(duì)數(shù)據(jù)分組的一些特征進(jìn)行了過(guò)濾，這種過(guò)濾能力比純粹的包過(guò)濾防火墻的功能要大得多。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．防火墻的類型〔2〕代理效勞器型防火墻可以解決包過(guò)濾防火墻的規(guī)那么復(fù)雜問(wèn)題。包過(guò)濾和代理效勞防火墻結(jié)合使用可以有效地解決規(guī)那么復(fù)雜問(wèn)題。包過(guò)濾防火墻只需要讓那些來(lái)自或發(fā)送到代理效勞器的分組通過(guò)，其他分組簡(jiǎn)單丟棄。其他過(guò)濾由代理效勞防火墻來(lái)完成。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．防火墻的體系結(jié)構(gòu)〔1〕雙穴網(wǎng)關(guān)。它是包過(guò)濾防火墻的一種替代。與普通的包過(guò)濾防火墻一樣，雙穴網(wǎng)關(guān)也位于Internet與內(nèi)部網(wǎng)之間，并通過(guò)兩個(gè)網(wǎng)絡(luò)接口分別與它們相連。但是，只有特定類型的協(xié)議才能被代理效勞處理。于是，雙穴網(wǎng)關(guān)實(shí)現(xiàn)了“默認(rèn)拒絕〞策略，可以得到很高的平安性。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．防火墻的體系結(jié)構(gòu)〔2〕屏蔽主機(jī)型防火墻。這種防火墻其實(shí)是包過(guò)濾和代理效勞功能的結(jié)合，其中代理效勞器位于包過(guò)濾網(wǎng)關(guān)靠近內(nèi)部網(wǎng)的一側(cè)。代理效勞器只安裝一個(gè)網(wǎng)絡(luò)接口，通過(guò)代理功能把一些效勞傳送到主機(jī)內(nèi)部，通過(guò)包過(guò)濾功能把那些天生危險(xiǎn)的協(xié)議過(guò)濾掉，不讓其到達(dá)代理效勞器。屏蔽主機(jī)型防火墻如圖8-5所示。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．防火墻的體系結(jié)構(gòu)圖8-5屏蔽主機(jī)型防火墻計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．防火墻的體系結(jié)構(gòu)〔3〕屏蔽子網(wǎng)型防火墻。它是雙穴網(wǎng)關(guān)和屏蔽主機(jī)型防火墻的變形。如圖8-6所示，該系統(tǒng)中使用包過(guò)濾防火墻在內(nèi)部網(wǎng)絡(luò)和Internet之間隔離出一個(gè)屏蔽的子網(wǎng)，通常稱為“非軍事區(qū)〔DMZ〕〞。代理效勞器、郵件效勞器、各種信息效勞器、Modem池及其他需要進(jìn)行訪問(wèn)控制的系統(tǒng)都放在DMZ區(qū)中。與Internet連接的是“外部路由器〞，只讓與DMZ中的各效勞器相關(guān)的數(shù)據(jù)分組通過(guò)，其他所有類型的數(shù)據(jù)分組都被丟棄，從而將Internet對(duì)DMZ的訪問(wèn)權(quán)限限定在特定的效勞器范圍內(nèi)。內(nèi)部路由器的情況也是這樣。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．防火墻的體系結(jié)構(gòu)圖8-6屏蔽子網(wǎng)型防火墻計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)8.3.2VPN技術(shù)虛擬專用網(wǎng)〔VPN〕是指在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。使用該技術(shù)建立的虛擬網(wǎng)絡(luò)在平安、管理及功能方面擁有與專用網(wǎng)絡(luò)相似的特點(diǎn)，是原有專線式企業(yè)專用廣域網(wǎng)的替代品。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．VPN提供的功能〔1〕數(shù)據(jù)加密，保證在公用網(wǎng)上傳輸信息不會(huì)被截取或識(shí)破?！?〕信息認(rèn)證和身份認(rèn)證，保證信息的完整、合法，并能鑒別用戶的身份。〔3〕提供訪問(wèn)控制，保證不同用戶有不同訪問(wèn)權(quán)限。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．VPN的分類〔1〕內(nèi)部網(wǎng)VPN，在公司總部和它的分支機(jī)構(gòu)間建立VPN。這是通過(guò)公用網(wǎng)將一個(gè)組織的各分支機(jī)構(gòu)通過(guò)VPN連接而成的網(wǎng)絡(luò)，是公司網(wǎng)絡(luò)的擴(kuò)展。當(dāng)一個(gè)數(shù)據(jù)傳輸通道的兩個(gè)端點(diǎn)認(rèn)為是可信的時(shí)候，公司可以選擇“內(nèi)部網(wǎng)VPN〞解決方案，其平安性主要在于加強(qiáng)加密和認(rèn)證方法，如圖8-7所示。大量數(shù)據(jù)經(jīng)常需要通過(guò)VPN在局域網(wǎng)之間傳遞，可以把中心數(shù)據(jù)庫(kù)或其他資源連接起來(lái)的各個(gè)局域網(wǎng)看成是內(nèi)部網(wǎng)的一局部。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．VPN的分類圖8-7內(nèi)部網(wǎng)VPN計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．VPN的分類〔2〕遠(yuǎn)程訪問(wèn)VPN，公司職員在外地或旅途中要和公司總部之間建立的VPN。如果一個(gè)職員在家里或旅途中要和公司的內(nèi)部網(wǎng)建立一個(gè)平安連接，可以用“遠(yuǎn)程訪問(wèn)VPN〞來(lái)實(shí)現(xiàn)，如圖8-8所示。這個(gè)職員通過(guò)撥號(hào)連接ISP的網(wǎng)絡(luò)訪問(wèn)效勞器〔NetworkAccessServer，NAS〕，發(fā)出PPP連接請(qǐng)求，NAS收到請(qǐng)求后，在職員與NAS之間建立PPP鏈路。然后NAS對(duì)職員的身份進(jìn)行驗(yàn)證，確定為合法用戶后，啟動(dòng)遠(yuǎn)程訪問(wèn)的功能，與公司總部?jī)?nèi)部連接。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．VPN的分類圖8-8遠(yuǎn)程訪問(wèn)VPN

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．VPN的分類〔3〕外部網(wǎng)VPN，在公司和商業(yè)伙伴、顧客等之間建立的VPN。外部網(wǎng)VPN為公司和商業(yè)伙伴提供平安性，如圖8-9所示。它應(yīng)能保證包括使用TCP和UDP協(xié)議的各種應(yīng)用效勞的平安，如E-mail、HTTP、FTP和數(shù)據(jù)庫(kù)的平安。因?yàn)椴煌镜木W(wǎng)絡(luò)環(huán)境是不同的，一個(gè)可行的外部網(wǎng)VPN方案應(yīng)能適用于各種操作平臺(tái)、協(xié)議、認(rèn)證方案和加密算法等。外部VPN應(yīng)是一個(gè)由加密、認(rèn)證和訪問(wèn)控制功能組成的集成系統(tǒng)。通常公司將VPN效勞放在用于隔離內(nèi)外部網(wǎng)的防火墻上，防火墻阻止所有來(lái)歷不明的信息傳輸。所有經(jīng)過(guò)過(guò)濾后的數(shù)據(jù)通過(guò)唯一的一個(gè)入口傳到VPN效勞器，VPN效勞器再根據(jù)平安策略來(lái)進(jìn)一步過(guò)濾。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．VPN的分類圖8-9外部網(wǎng)VPN

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)3．VPN的工作原理要實(shí)現(xiàn)VPN連接，就必須要在公司的網(wǎng)絡(luò)中搭建一臺(tái)VPN效勞器。這臺(tái)效勞器一邊與公司內(nèi)部網(wǎng)相連，另一邊與Internet相連，即VPN效勞器必須擁有一個(gè)公用的IP地址。當(dāng)Internet上的客戶機(jī)通過(guò)VPN連接與專用網(wǎng)絡(luò)中的計(jì)算機(jī)通信時(shí)，先由ISP將所有的數(shù)據(jù)傳送到VPN效勞，然后由VPN效勞器負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)，如圖8-10所示。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)3．VPN的工作原理圖8-10VPN連接計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)3．VPN的工作原理VPN使用3個(gè)技術(shù)保障通信的平安，即隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密?？蛻魴C(jī)向VPN效勞器發(fā)出請(qǐng)求，VPN效勞器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN效勞器，VPN根據(jù)用戶數(shù)據(jù)庫(kù)檢查響應(yīng)，如果賬戶有效，VPN效勞器將檢查該用戶是否有遠(yuǎn)程訪問(wèn)權(quán)限，如果該用戶擁有遠(yuǎn)程訪問(wèn)權(quán)限，VPN效勞器接收此連接。在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)與效勞器共享密鑰用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)4．VPN關(guān)鍵技術(shù)〔1〕平安隧道技術(shù)〔SecureTunnelingTechnology〕〔2〕用戶認(rèn)證技術(shù)〔UserAuthenticationTechnology〕〔3〕訪問(wèn)控制技術(shù)〔AccessControlTechnology〕計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)8.3.3IPSec技術(shù)1．IPSec的根本原理IPSec的根本原理類似于包過(guò)濾防火墻，如圖8-11所示，可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)分組時(shí)，包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)那么表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)那么時(shí)，包過(guò)濾防火墻就按照該規(guī)那么制定的方法對(duì)接收到的IP數(shù)據(jù)分組進(jìn)行處理，處理的工作包括轉(zhuǎn)發(fā)和丟棄。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．IPSec的根本原理圖8-11IPSec工作原理計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．IPSec的根本原理IPSec通過(guò)查詢平安策略數(shù)據(jù)庫(kù)〔SecurityPolicyDatabase，SPD〕決定對(duì)接收到的IP數(shù)據(jù)分組的處理。IPSec不同于包過(guò)濾防火墻的是，對(duì)IP數(shù)據(jù)分組的處理方法除了丟棄和直接轉(zhuǎn)發(fā)外，還有IPSec處理。這個(gè)新增的處理方法提供了比包過(guò)濾防火墻更進(jìn)一步的網(wǎng)絡(luò)平安性。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．IPSec的根本原理進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)分組進(jìn)行加密和認(rèn)證。包過(guò)濾防火墻只能控制來(lái)自或去往某個(gè)站點(diǎn)的IP數(shù)據(jù)分組的通過(guò)，可以拒絕來(lái)自某個(gè)外部站點(diǎn)IP數(shù)據(jù)分組訪問(wèn)內(nèi)部某些站點(diǎn)，也可以拒絕某個(gè)內(nèi)部站點(diǎn)對(duì)某些外部站點(diǎn)的訪問(wèn)。但是包過(guò)濾防火墻不能保證來(lái)自內(nèi)部網(wǎng)絡(luò)發(fā)送出去的數(shù)據(jù)分組不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)分組不被修改。只有在對(duì)IP數(shù)據(jù)分組實(shí)施了加密認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)分組的機(jī)密性、完整性和真實(shí)性，通過(guò)Internet進(jìn)行平安的通信才能成為可能。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．IPSec的根本原理IPSec既可以只對(duì)IP數(shù)據(jù)分組進(jìn)行加密或只進(jìn)行認(rèn)證，也可以同時(shí)實(shí)施兩者。無(wú)論是進(jìn)行加密還是進(jìn)行認(rèn)證，IPSec都有兩種工作模式，一種是隧道模式，另一種是傳輸模式。驗(yàn)證頭〔AuthenticationHeader，AH〕和封裝平安載荷〔EncapsulatingSecurityPayload，ESP〕均可應(yīng)用在這兩種方式上。傳輸方式通常應(yīng)用于主機(jī)之間端對(duì)端通信，該方式要求主機(jī)支持IPSec。隧道方式應(yīng)用于網(wǎng)關(guān)模式中，即在主機(jī)的網(wǎng)關(guān)上〔路由器、防火墻〕加載IPSec，該網(wǎng)關(guān)同時(shí)升級(jí)為平安網(wǎng)關(guān)〔SecurityGateway，SG〕。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．IPSec的根本原理〔1〕在隧道模式下，整個(gè)IP分組都封裝在一個(gè)新的IP分組中，并在新的IP分組頭部和原來(lái)的IP分組頭部之間插入IPSec頭〔AH/ESP〕，其結(jié)構(gòu)如圖8-12所示。在隧道模式下，如果應(yīng)用了ESP，原始IP分組頭部是加密的，真正的源、目的IP地址是隱藏的，新IP頭中制定的源、目的IP地址一般是源、目的平安網(wǎng)關(guān)的地址。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．IPSec的根本原理圖8-12隧道模式分組頭部結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．IPSec的根本原理〔2〕傳輸方式，主要為上層協(xié)議提供保護(hù)。AH和ESP分組頭部插入到IP分組頭部和傳輸層協(xié)議分組頭部之間，如圖8-13所示。在傳輸模式下ESP并沒(méi)有對(duì)IP分組頭部加密處理。源、目的IP地址內(nèi)容是可見(jiàn)的，而AH認(rèn)證的是整個(gè)IP頭部，完整性保護(hù)強(qiáng)于ESP。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)1．IPSec的根本原理圖8-13傳輸模式分組結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)IPSec協(xié)議文檔中提供了3種具體的實(shí)現(xiàn)方案，將IPSec在主機(jī)、平安網(wǎng)關(guān)或兩者中同時(shí)實(shí)施和部署。無(wú)論使用哪種模式實(shí)現(xiàn)，對(duì)于上層協(xié)議和應(yīng)用層都是透明的。與操作系統(tǒng)集成實(shí)施，把IPSec當(dāng)作網(wǎng)絡(luò)層的一局部來(lái)實(shí)現(xiàn)。這種方式需要訪問(wèn)IP源碼、利用IP層的效勞來(lái)構(gòu)建IP報(bào)頭BITS方式，利用堆棧中的塊〔Bump-In-The-Stack，BITS〕實(shí)現(xiàn)。修改通信協(xié)議棧，把IPSec插入IP協(xié)議棧和鏈路層之間。這種方式不需要處理IP源代碼，適用于對(duì)原有系統(tǒng)的升級(jí)改造，通常用在主機(jī)方式中。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)BITW方式，利用線纜中的塊〔Bump-In-The-Wire，BITW〕實(shí)現(xiàn)。把IPSec作為一個(gè)插件，在一個(gè)直接接入路由器或主機(jī)的設(shè)備中實(shí)現(xiàn)。當(dāng)用于支持一臺(tái)主機(jī)時(shí)，與BITS實(shí)現(xiàn)非常相似，但在支持路由器或主機(jī)的設(shè)備中實(shí)現(xiàn)。當(dāng)用于支持一臺(tái)主機(jī)時(shí)，與BITS實(shí)現(xiàn)非常相似，但在支持路由器或防火墻時(shí)，必須起到一個(gè)平安網(wǎng)關(guān)的作用。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)〔1〕IPSec的體系結(jié)構(gòu)，IETF的IPSec工作組定義了12個(gè)RFC，IPSec是一系列標(biāo)準(zhǔn)的集合，由平安聯(lián)盟〔SecurityAssociation，SA〕，平安協(xié)議包括認(rèn)證頭、封裝平安載荷、密鑰管理以及認(rèn)證和加密算法構(gòu)成一個(gè)完整的平安體系，如圖8-14所示。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)圖8-14IPSec體系結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)〔2〕平安聯(lián)盟，是IPSec的根底，決定通信中采用的IPSec平安協(xié)議、散列方式、加密算法和密鑰等平安參數(shù)，通常用一個(gè)三元組〔平安參數(shù)索引、目的IP地址、平安協(xié)議〕唯一表示。SA總是成對(duì)出現(xiàn)的，對(duì)等存在于通信實(shí)體的兩端，是通信雙方協(xié)商的結(jié)果。SA存放在平安聯(lián)盟數(shù)據(jù)庫(kù)〔SecurityAssociationDatabase，SAD〕中。另外，IPSec還維護(hù)一個(gè)平安策略數(shù)據(jù)庫(kù)〔SecurityPolicyDatabase，SPD〕。每個(gè)應(yīng)用IPSec的網(wǎng)絡(luò)接口都有SAD和SPD各一對(duì)，協(xié)同處理進(jìn)出的IP分組。一條SAD數(shù)據(jù)庫(kù)記錄對(duì)應(yīng)一個(gè)SA。每條SPD記錄描述了一種平安策略，指定了數(shù)據(jù)分組處理動(dòng)作。發(fā)送數(shù)據(jù)時(shí)，根據(jù)目的IP地址等參數(shù)先從SPD中得到相應(yīng)的策略記錄，當(dāng)記錄的動(dòng)作為“應(yīng)用〞時(shí)，根據(jù)記錄中的SA指針從SAD中取得對(duì)應(yīng)的SA，如果不存在，需要調(diào)用IKE〔InternetKeyExchange，密鑰交換〕創(chuàng)立一個(gè)新的SA，并插入到SAD中。再利用SA指定的平安協(xié)議和認(rèn)證加密算法對(duì)分組進(jìn)行平安處理后發(fā)送到目的IP。接收端收到數(shù)據(jù)后通過(guò)報(bào)文中的SPI等參數(shù)找到SA，檢查是否是重傳數(shù)據(jù)，如果不是那么應(yīng)用SA中指定的協(xié)議和算法對(duì)數(shù)據(jù)進(jìn)行解密和驗(yàn)證。SPD對(duì)于同一IP地址可能有多條記錄，這些記錄可能是相互沖突的，因此它必須是排序的，查找時(shí)也必須按順序查詢，實(shí)際只應(yīng)用找到的第一條策略記錄。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)〔3〕認(rèn)證頭，支持?jǐn)?shù)據(jù)的完整性和IP分組的驗(yàn)證，數(shù)據(jù)完整性的特征可以保證再傳輸中不可能發(fā)生未檢測(cè)的修改。身份驗(yàn)證功能使末端系統(tǒng)或網(wǎng)絡(luò)設(shè)備可以驗(yàn)證用戶或應(yīng)用程序，并根據(jù)需要過(guò)濾通信量。它還可以防止在Internet上的地址欺騙攻擊。此外，AH還能阻止在該區(qū)域的重復(fù)攻擊。AH插入到IP分組頭部和傳輸層分組頭部中，如圖8-15所示。其中，下一個(gè)報(bào)頭字段〔8b〕標(biāo)識(shí)緊跟報(bào)頭類型。有效載荷屬性字段〔8b〕指明整個(gè)AH的長(zhǎng)度。SPI字段〔32b〕是一個(gè)隨機(jī)值，與外部目的IP地址一起，用于指定SA。系列號(hào)字段〔32b〕標(biāo)明當(dāng)前IP分組在整個(gè)數(shù)據(jù)分組系列中的位置，整個(gè)字段是強(qiáng)制的，它提供了抗重播功能，在SA創(chuàng)立時(shí)初始化為0，然后依次遞增，到達(dá)232時(shí)那么重新創(chuàng)立SA。即使某個(gè)特定的SA不要求抗重播功能。在發(fā)送端仍必須填寫，只在接收端不進(jìn)行重播檢查。AH的最后一個(gè)字段認(rèn)證數(shù)據(jù)是可變長(zhǎng)的，但必須雙字對(duì)齊，其默認(rèn)長(zhǎng)度為96b，為分組的完整性驗(yàn)證值〔IntegralityCheckValue，ICK〕，是SA指定的單向散列算法、對(duì)稱加密算法和密鑰計(jì)算出來(lái)的身份驗(yàn)證碼的刪節(jié)。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)圖8-15AH格式計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)〔4〕封裝平安載荷，AH不提供任何保密性效勞，保密性效勞由ESP提供，包括消息內(nèi)容的保密性和有限的通信量的保密性。作為可選的功能，ESP也可以提供AH的驗(yàn)證效勞。保密效勞通過(guò)使用密碼算法加密IP數(shù)據(jù)分組的相關(guān)局部來(lái)實(shí)現(xiàn)，密碼算法使用對(duì)稱密碼體制，如三重DES、IDEA、RC5、CAST等。ESP的根本思路是對(duì)整個(gè)IP數(shù)據(jù)分組或傳輸層數(shù)據(jù)進(jìn)行封裝，并對(duì)ESP數(shù)據(jù)的絕大局部進(jìn)行加密，如圖8-16所示。在ESP中，有的加密算法要求明文是某些字節(jié)的整數(shù)倍。所以ESP比AH多了一個(gè)長(zhǎng)度為0～255B的填充字段。這個(gè)字段也用于保證密文的雙字對(duì)齊，同時(shí)它還隱藏了有效載荷的真正長(zhǎng)度，從而為傳輸流量提供了一定的機(jī)密保護(hù)，但這個(gè)字段也增加了傳輸量。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)圖8-16ESP分組頭部格式

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)〔5〕密鑰交換，是一種混合型協(xié)議，沿用了ISAKMP〔InternetSecurityAssociationandKeyManagementProtocol〕的框架、Oakley的模式以及SKEME〔SecureKeyExchangeMechanism〕的共享和密鑰更新技術(shù)，組合成自己的驗(yàn)證加密材料生成技術(shù)和協(xié)商共享策略。IKE使用了ISAKMP兩階段協(xié)商機(jī)制。在第一階段，通信各方彼此間建立一個(gè)已通過(guò)身份驗(yàn)證和平安保護(hù)的通道，即ISAKMPSA。在第二階段，利用第一階段創(chuàng)立的SA，為IPSec協(xié)商具體的SA。第一階段，IKE采用“主模式〔MainMode〕〞交換提供身份保護(hù)。而在“野蠻模式〔AggressiveMode〕〞下容許次數(shù)相對(duì)較少，而且如果采用公開(kāi)密鑰加密算法，“野蠻模式〞也可以提供身份保護(hù)。一個(gè)第一階段可以創(chuàng)立多個(gè)第二階段。一個(gè)第二階段可以創(chuàng)立多個(gè)SA。應(yīng)用這種優(yōu)化機(jī)制，每個(gè)SA建立過(guò)程至少減少一次交換和一次DH〔DiffieHellman〕求冪操作。ISAKMP是框架性的，IPSec解釋域〔DomainofInterpretation，DI〕對(duì)其進(jìn)行了實(shí)例化處理，定義了標(biāo)志的命名、載荷的解釋等。IKE也是目前ISAKMP的唯一實(shí)例。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)〔6〕加密和認(rèn)證算法，高強(qiáng)度的加密和認(rèn)證算法是IPSec實(shí)現(xiàn)平安性能的根底。IPSec規(guī)定可以使用各種加密算法，由通信雙方事先協(xié)商，但所有IPSec實(shí)現(xiàn)都必須支持DES。由于DES強(qiáng)度不夠，而不對(duì)稱算法效率往往又低，3DES和AES等低開(kāi)銷高強(qiáng)度算法成為IPSec實(shí)現(xiàn)的趨勢(shì)。IPSec用HMAC作為認(rèn)證散列算法，用于計(jì)算機(jī)AH和ESP的完整性校驗(yàn)值〔IntegrityCheckValue，ICV〕。通信雙方運(yùn)用相同的算法和密鑰對(duì)數(shù)據(jù)內(nèi)容進(jìn)行散列，結(jié)果一致那么認(rèn)為數(shù)據(jù)分組是可信的。只要雙方協(xié)商好，散列算法也可以是任意的，IPSec中定義了HMAC-SHA-1〔SecureHashAlgorithmVersion1〕和HMAC-MD5〔MessageDigestVersion5〕作為默認(rèn)算法。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.3常用網(wǎng)絡(luò)平安技術(shù)2．IPSec的實(shí)現(xiàn)IPSec定義了一套用于認(rèn)證、保護(hù)機(jī)密性和完整性的標(biāo)準(zhǔn)協(xié)議。它為上層協(xié)議提供了一個(gè)透明的端到端平安通道，其實(shí)現(xiàn)與應(yīng)用不需要修改應(yīng)用程序或者上層協(xié)議。它支持一系列加密和散列算法，具有較好的擴(kuò)展性和互操作性。但I(xiàn)PSec也存在一些缺點(diǎn)，如客戶/效勞器模式下實(shí)現(xiàn)需要公鑰來(lái)完成。IPSec需要范圍的IP地址，因此在動(dòng)態(tài)分配IP地址時(shí)不太適合于IPSec。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

知識(shí)要點(diǎn)〔1〕掌握網(wǎng)絡(luò)管理的目標(biāo)、任務(wù)和功能?！?〕掌握SNMP，其中包括SNMP的模型、SNMP協(xié)議?！?〕掌握防火墻的類型及體系結(jié)構(gòu)。〔4〕掌握VPN的功能、分類、原理和關(guān)鍵技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

例題精講1．網(wǎng)絡(luò)管理的主要功能是什么？解析：〔1〕配置管理，定義、識(shí)別、初始化、控制和監(jiān)測(cè)被管對(duì)象功能的集合，包括以下幾項(xiàng)。①定義被管對(duì)象，給每個(gè)被管對(duì)象分配名字。②定義用戶組。③刪除不需要的被管對(duì)象。④設(shè)置被管對(duì)象的初始值。⑤處理被管對(duì)象間的關(guān)系。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

1．網(wǎng)絡(luò)管理的主要功能是什么？解析：〔2〕故障管理，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的故障，對(duì)故障原因做出論斷，對(duì)故障進(jìn)行排除，保證網(wǎng)絡(luò)的正常運(yùn)行，包括以下幾項(xiàng)。①檢測(cè)被管對(duì)象的過(guò)失，或接受過(guò)失報(bào)告。②創(chuàng)立和維護(hù)過(guò)失日志庫(kù)，并對(duì)其進(jìn)行分析。③進(jìn)行診斷，以跟蹤和識(shí)別過(guò)失。④通過(guò)恢復(fù)措施，恢復(fù)正確的網(wǎng)絡(luò)效勞。⑤網(wǎng)絡(luò)實(shí)時(shí)備份。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

1．網(wǎng)絡(luò)管理的主要功能是什么？解析：〔3〕計(jì)費(fèi)管理，記錄用戶使用網(wǎng)絡(luò)的情況并核收費(fèi)用，包括以下幾項(xiàng)。①易于更新且費(fèi)率可變。②允許使用信用記賬收費(fèi)。③能根據(jù)用戶組的不同進(jìn)行不同的收費(fèi)。④收費(fèi)依據(jù)為“進(jìn)程〞或“效勞〞。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

1．網(wǎng)絡(luò)管理的主要功能是什么？解析：〔4〕平安管理，保證網(wǎng)絡(luò)不被非法使用，包括以下幾項(xiàng)。①與平安措施相關(guān)的信息分發(fā)。②與平安相關(guān)的事件通知。③與平安相關(guān)的設(shè)施建設(shè)、控制和刪除；④涉及平安效勞的網(wǎng)絡(luò)操作事件的記錄、維護(hù)和查閱等日志管理工作。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

1．網(wǎng)絡(luò)管理的主要功能是什么？解析：〔5〕性能管理，保證在最小網(wǎng)絡(luò)消耗和網(wǎng)絡(luò)時(shí)延下，提供最大的可靠且連續(xù)的通信能力，包括以下幾項(xiàng)。①?gòu)谋还軐?duì)象中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)。②對(duì)收集到的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，并對(duì)歷史記錄進(jìn)行維護(hù)。③分析數(shù)據(jù)，以檢測(cè)性能故障，生成報(bào)告。④預(yù)測(cè)網(wǎng)絡(luò)的長(zhǎng)期趨勢(shì)。⑤改進(jìn)網(wǎng)絡(luò)的操作模式。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

2．包過(guò)濾防火墻的原理是什么？解析：包過(guò)濾型防火墻根據(jù)數(shù)據(jù)分組頭部中的某些標(biāo)志性的字段對(duì)數(shù)據(jù)分組進(jìn)行過(guò)濾。當(dāng)數(shù)據(jù)分組到達(dá)防火墻時(shí)，防火墻根據(jù)分組頭部對(duì)源地址、目的地址、協(xié)議類型、端口號(hào)、ICMP類型等進(jìn)行判斷，決定是否接收該數(shù)據(jù)分組。通過(guò)設(shè)置包過(guò)濾規(guī)那么，可以阻塞來(lái)自或發(fā)送到特定地址的連接。從平安方面考慮，某組織的內(nèi)部網(wǎng)可能需要阻塞所有來(lái)自外部站點(diǎn)的連接，但是包過(guò)濾防火墻的弱點(diǎn)在于其規(guī)那么的復(fù)雜性，同時(shí)過(guò)于復(fù)雜的規(guī)那么不容易進(jìn)行測(cè)試。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

習(xí)題選擇題1．網(wǎng)絡(luò)平安涉及的內(nèi)容主要包括〔〕。Ⅰ外部環(huán)境平安Ⅱ網(wǎng)絡(luò)連接平安Ⅲ操作系統(tǒng)平安Ⅳ應(yīng)用系統(tǒng)平安A．ⅠⅡⅢ B．ⅡⅢⅣ C．ⅢⅣ D．ⅠⅡⅢⅣ2．網(wǎng)絡(luò)管理涉及的方面包括〔〕。Ⅰ網(wǎng)絡(luò)設(shè)計(jì)Ⅱ網(wǎng)絡(luò)維護(hù)Ⅲ網(wǎng)絡(luò)處理Ⅳ網(wǎng)絡(luò)效勞提供A．ⅠⅡⅢ B．ⅡⅢⅣ C．ⅠⅢⅣ D．ⅠⅡⅣ計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題3．網(wǎng)絡(luò)上的“黑客〞是指〔〕。A．總是晚上上網(wǎng)的人B．匿名上網(wǎng)的人C．不花錢上網(wǎng)的人D．在網(wǎng)上私闖他人計(jì)算機(jī)系統(tǒng)的人4．防火墻的作用包括〔〕。Ⅰ限制局域網(wǎng)內(nèi)部用戶對(duì)外網(wǎng)的訪問(wèn)Ⅱ限制外網(wǎng)用戶對(duì)內(nèi)部局域網(wǎng)的訪問(wèn)Ⅲ限制內(nèi)部用戶的操作權(quán)限Ⅳ有效防止病毒入侵A．ⅠⅡⅢ B．ⅡⅢⅣ C．ⅠⅢⅣ D．ⅠⅡⅣ計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題5．防火墻實(shí)現(xiàn)〔〕。A．只能通過(guò)軟件實(shí)現(xiàn)B．只能通過(guò)硬件實(shí)現(xiàn)C．既可以通過(guò)軟件，又可以通過(guò)硬件實(shí)現(xiàn)，還可以通過(guò)兩者結(jié)合來(lái)實(shí)現(xiàn)D．必須通過(guò)軟件與硬件結(jié)合來(lái)實(shí)現(xiàn)6．網(wǎng)絡(luò)管理協(xié)議是代理和網(wǎng)絡(luò)管理軟件交換信息的方式，以下〔〕屬于網(wǎng)絡(luò)管理協(xié)議。A．TCP/IP B．SNMPC．SMTP D．HTTP計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題7．?dāng)?shù)據(jù)報(bào)過(guò)濾防火墻通常安裝在〔〕。A．中繼器 B．集線器 C．路由器 D．收發(fā)器8．〔〕位于互聯(lián)網(wǎng)與局域網(wǎng)之間，用來(lái)保護(hù)局域網(wǎng)，防止來(lái)自互聯(lián)網(wǎng)的入侵。A．防火墻 B．殺毒軟件C．避雷針設(shè)備 D．網(wǎng)絡(luò)協(xié)議9．網(wǎng)絡(luò)管理優(yōu)劣的關(guān)鍵在于〔〕。A．網(wǎng)絡(luò)協(xié)議 B．網(wǎng)絡(luò)操作系統(tǒng)C．網(wǎng)絡(luò)管理員 D．網(wǎng)絡(luò)互聯(lián)設(shè)備計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題10．以下表達(dá)中，〔〕是不正確的。A．“黑客〞是指黑色的網(wǎng)絡(luò)病毒B．計(jì)算機(jī)病毒是一種程序C．CIH是一種病毒D．防火墻是一種被動(dòng)防衛(wèi)技術(shù)11．網(wǎng)絡(luò)防火墻的作用是〔〕。A．建立內(nèi)部信息和功能與外部信息和功能之間的屏蔽B．防止系統(tǒng)感染病毒與非法訪問(wèn)C．防止黑客訪問(wèn)D．防止內(nèi)部信息外泄計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題12．以下關(guān)于防火墻的表達(dá)中，正確的選項(xiàng)是〔〕。A．防火墻可通過(guò)屏蔽未授權(quán)的網(wǎng)絡(luò)訪問(wèn)等手段把內(nèi)部網(wǎng)絡(luò)隔離為可信任網(wǎng)絡(luò)B．防火墻的平安性能是根據(jù)系統(tǒng)平安的要求而設(shè)置的，因系統(tǒng)的平安級(jí)別不同而有所不同C．防火墻可以有效地查殺病毒，對(duì)網(wǎng)絡(luò)攻擊可進(jìn)行監(jiān)測(cè)和報(bào)警D．防火墻可以把內(nèi)部可信任網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)或其他可信任網(wǎng)絡(luò)的訪問(wèn)限制在規(guī)定的范圍之內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題13．?dāng)?shù)據(jù)庫(kù)過(guò)濾技術(shù)是在〔〕對(duì)數(shù)據(jù)包進(jìn)行選擇。A．網(wǎng)絡(luò)層 B．傳輸層C．會(huì)話層 D．表示層14．設(shè)置防火墻的要素包括〔〕。Ⅰ．網(wǎng)絡(luò)策略Ⅱ．效勞訪問(wèn)策略Ⅲ．防火墻設(shè)計(jì)策略Ⅳ．增強(qiáng)的認(rèn)證A．ⅠⅢ B．ⅠⅡ C．ⅠⅡⅢ D．ⅠⅡⅢⅣ計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題15．SNMP作為網(wǎng)絡(luò)層管理協(xié)議，是TCP/IP協(xié)議族的〔〕協(xié)議。A．傳輸層 B．會(huì)話層C．表示層 D．應(yīng)用層16．管理信息庫(kù)又稱為〔〕，是一個(gè)存放管理元素信息的數(shù)據(jù)庫(kù)。A．DB B．MIBC．Hub D．NMS計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題17．網(wǎng)絡(luò)的不平安性因素有〔〕。A．非授權(quán)用戶的非法存取和電子竊聽(tīng) B．計(jì)算機(jī)病毒的入侵C．網(wǎng)絡(luò)黑客 D．以上都是18．網(wǎng)絡(luò)管理的功能是〔〕。A．性能分析和故障監(jiān)測(cè) B．平安性管理和記費(fèi)管理C．網(wǎng)絡(luò)規(guī)劃和配置管理D．以上都是計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

選擇題19．包過(guò)濾技術(shù)與代理效勞技術(shù)相比較，〔〕。A．包過(guò)濾技術(shù)平安性較弱，但對(duì)網(wǎng)絡(luò)性能產(chǎn)生明顯影響B(tài)．包過(guò)濾技術(shù)對(duì)應(yīng)用和用戶是絕對(duì)透明的C．代理效勞技術(shù)平安性較高，但不會(huì)對(duì)網(wǎng)絡(luò)性能產(chǎn)生明顯影響D．代理效勞技術(shù)平安性較高，對(duì)應(yīng)用和用戶透明度也很高20．以下不屬于代理效勞技術(shù)優(yōu)點(diǎn)的是〔〕。A．可以實(shí)現(xiàn)身份認(rèn)證B．內(nèi)部地址的屏蔽和轉(zhuǎn)換功能C．可以實(shí)現(xiàn)訪問(wèn)控制D．可以防范數(shù)據(jù)驅(qū)動(dòng)侵襲計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

填空題1．SNMP的中文含義是，是TCP/IP協(xié)議族的一個(gè)應(yīng)用層協(xié)議，是隨著TCP/IP的開(kāi)展而開(kāi)展起來(lái)的。SNMP的網(wǎng)絡(luò)管理模型共有3個(gè)關(guān)鍵元素，分別是、、。2．防火墻通常有兩種根本的設(shè)計(jì)策略，一是，二是。3．網(wǎng)絡(luò)管理的5大功能是、、、、。4．防火墻是在被保護(hù)的和之間豎起的一道平安屏障，用于增強(qiáng)的平安性。5．大多數(shù)網(wǎng)絡(luò)層防火墻的功能可以設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet相連的上。6．防火墻總體上分為、、幾大類型。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.4學(xué)習(xí)指導(dǎo)

簡(jiǎn)答題1．SNMP報(bào)文的格式是什么，包括哪幾種報(bào)文操作？2．簡(jiǎn)述防火墻的根本功能及其分類。3．防火墻的體系結(jié)構(gòu)是什么？4．什么是VPN，其功能及分類是什么？5．VPN的工作原理及關(guān)鍵技術(shù)是什么？計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

實(shí)訓(xùn)目的〔1〕理解網(wǎng)絡(luò)平安的相關(guān)概念?！?〕掌握殺毒軟件的安裝與設(shè)置?！?〕掌握個(gè)人防火墻的安裝與設(shè)置。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

實(shí)訓(xùn)內(nèi)容1．殺毒軟件的安裝與設(shè)置〔1〕以瑞星殺毒軟件為例，先購(gòu)置或下載殺毒軟件，然后進(jìn)行殺毒軟件的安裝，安裝完成后瑞星殺毒軟件會(huì)自動(dòng)啟動(dòng)“實(shí)時(shí)監(jiān)控〞，保護(hù)計(jì)算機(jī)?！?〕“手動(dòng)查殺病毒〞設(shè)置。手動(dòng)查殺為用戶提供了手動(dòng)查殺病毒的設(shè)置界面，用戶可以根據(jù)實(shí)際需求，對(duì)手動(dòng)查殺時(shí)的病毒處理方式和查殺文件類型進(jìn)行不同的設(shè)置，也可以使用滑塊調(diào)整查殺級(jí)別。在“自定義級(jí)別〞中，用戶同樣可以對(duì)平安級(jí)別進(jìn)行設(shè)置，單擊“默認(rèn)級(jí)別〞按鈕將恢復(fù)瑞星殺毒軟件的出廠設(shè)置，單擊“應(yīng)用〞或“確定〞按鈕保存用戶的全部設(shè)置，以后程序在掃描時(shí)即根據(jù)此級(jí)別的相應(yīng)參數(shù)進(jìn)行病毒掃描，如圖8-17所示。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

1．殺毒軟件的安裝與設(shè)置在處理方式設(shè)置中，可以對(duì)以下4種情況進(jìn)行設(shè)置。①發(fā)現(xiàn)病毒時(shí)：“詢問(wèn)我〞、“去除病毒〞、“刪除染毒文件〞和“不處理〞。②隔離失敗時(shí)：“詢問(wèn)我〞、“刪除染毒文件〞和“不處理〞。③殺毒失敗時(shí)：“詢問(wèn)我〞、“去除病毒〞、“刪除染毒文件〞和“不處理〞。④殺毒結(jié)束后：“返回〞、“退出〞、“重啟〞和“關(guān)機(jī)〞。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

1．殺毒軟件的安裝與設(shè)置圖8-17“手動(dòng)查殺〞設(shè)置計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

1．殺毒軟件的安裝與設(shè)置查殺文件類型有以下4種：①所有文件。②僅程序文件〔EXE，COM，DLL，EML等可執(zhí)行文件〕。③自定義擴(kuò)展名〔多個(gè)擴(kuò)展名需用英文狀態(tài)的分號(hào)隔開(kāi)〕。④選中“隱藏殺毒結(jié)果〞復(fù)選框后，殺毒軟件主程序查殺病毒時(shí)不顯示殺毒結(jié)果?！?〕“監(jiān)控狀態(tài)〞設(shè)置。瑞星監(jiān)控的監(jiān)控狀態(tài)提供了對(duì)文件、郵件和網(wǎng)頁(yè)監(jiān)控狀態(tài)的顯示。同時(shí)在“監(jiān)控狀態(tài)〞頁(yè)面中，用戶可以隨時(shí)開(kāi)啟或關(guān)閉相應(yīng)的監(jiān)控，如圖8-18所示。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

1．殺毒軟件的安裝與設(shè)置圖8-18“監(jiān)控狀態(tài)〞設(shè)置計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

1．殺毒軟件的安裝與設(shè)置〔4〕“主動(dòng)防御〞設(shè)置。主動(dòng)防御是一種阻止惡意程序執(zhí)行的技術(shù)。瑞星的主動(dòng)防御技術(shù)提供了更開(kāi)放的高級(jí)用戶自定義規(guī)那么的功能，用戶可以根據(jù)系統(tǒng)的特殊情況，制定獨(dú)特的防御規(guī)那么，使主動(dòng)防御可以最大限度地保護(hù)系統(tǒng)。主動(dòng)防御是瑞星殺毒軟件2021版的一項(xiàng)新功能，在功能設(shè)計(jì)方面脫離了病毒庫(kù)，以往殺毒軟件只是發(fā)現(xiàn)應(yīng)用程序類似病毒就去病毒庫(kù)中進(jìn)行驗(yàn)證，這樣判斷的病毒都是已經(jīng)發(fā)現(xiàn)的病毒，對(duì)于新病毒便失去了防御作用。主動(dòng)防御具有獨(dú)特的功能設(shè)計(jì)，是瑞星公司根據(jù)多年判斷病毒的經(jīng)驗(yàn)制定的一系列規(guī)那么，通過(guò)規(guī)那么過(guò)濾應(yīng)用程序，當(dāng)發(fā)現(xiàn)存在惡意行為時(shí)，便告知用戶，這樣將處理此惡意行為的權(quán)力交給用戶，由用戶決定放過(guò)還是拒絕此類危險(xiǎn)動(dòng)作，從而可以到達(dá)主動(dòng)預(yù)防病毒的作用。即使遇到一個(gè)病毒庫(kù)里面沒(méi)有記錄的新病毒，瑞星殺毒軟件可以提前幫助用戶發(fā)現(xiàn)它。在病毒肆虐的網(wǎng)絡(luò)中，主動(dòng)防御功能在病毒與計(jì)算機(jī)之間又設(shè)置了一道屏障，將病毒置之門外。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

1．殺毒軟件的安裝與設(shè)置〔4〕“主動(dòng)防御〞設(shè)置。主動(dòng)防御由系統(tǒng)加固、應(yīng)用程序訪問(wèn)控制、應(yīng)用程序保護(hù)、程序啟動(dòng)控制、惡意行為檢測(cè)、隱藏進(jìn)程保護(hù)、自我保護(hù)等功能組成。選擇瑞星2021殺毒軟件主界面的防御界面，可以應(yīng)用和設(shè)置主動(dòng)防御的各項(xiàng)功能，如圖8-19所示圖8-19“主動(dòng)防御〞設(shè)置計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

1．殺毒軟件的安裝與設(shè)置〔5〕查殺病毒。①啟動(dòng)瑞星殺毒軟件主界面，如圖8-20所示，單擊“全盤殺毒〞圖標(biāo)。圖8-20瑞星殺毒軟件“主界面〞計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

1．殺毒軟件的安裝與設(shè)置〔5〕查殺病毒。②進(jìn)入到殺毒界面，如圖8-21所示，還可以單擊“更多信息〞鏈接，查看殺毒的具體情況，如圖8-22所示。圖8-21殺毒界面

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置個(gè)人防火墻是為解決網(wǎng)絡(luò)上黑客攻擊問(wèn)題而研制的個(gè)人信息平安產(chǎn)品，具有完備的規(guī)那么設(shè)置，能有效地監(jiān)控任何網(wǎng)絡(luò)連接，保護(hù)網(wǎng)絡(luò)不受黑客的攻擊?！?〕瑞星個(gè)人防火墻具有以下主要新特性。①防火墻多賬戶管理。防火墻提供“管理員〞和“普通用戶〞兩種賬戶。防火墻提供切換賬戶功能，可以在兩種賬戶之間進(jìn)行切換。管理員可以執(zhí)行防火墻的所有功能，普通用戶不能修改任何設(shè)置、規(guī)那么、不能啟動(dòng)/停止防火墻、不能退出防火墻，并且普通用戶切換到管理員用戶需要輸入管理員用戶的密碼。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置〔1〕瑞星個(gè)人防火墻具有以下主要新特性。圖8-22殺毒更多信息計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置〔1〕瑞星個(gè)人防火墻具有以下主要新特性。②未知木馬掃描技術(shù)。通過(guò)啟發(fā)式查毒技術(shù)，當(dāng)有程序進(jìn)行網(wǎng)絡(luò)活動(dòng)的時(shí)候，對(duì)該進(jìn)程調(diào)用未知木馬掃描程序進(jìn)行掃描，如果該進(jìn)程為可疑的木馬病毒，那么提示用戶。此技術(shù)提高了對(duì)可疑程序自動(dòng)識(shí)別的能力。③IE功能調(diào)用攔截。由于IE提供了公開(kāi)的COM組件調(diào)用接口，有可能被惡意程序所調(diào)用。此功能是對(duì)需要調(diào)用IE接口的程序進(jìn)行檢查。如果檢查為惡意程序，報(bào)警給用戶。④反釣魚，防木馬病毒網(wǎng)站。提供強(qiáng)大的、可以升級(jí)的黑名單規(guī)那么庫(kù)。庫(kù)中是非法的、高風(fēng)險(xiǎn)、高危害的網(wǎng)站地址列表，符合該庫(kù)的訪問(wèn)會(huì)被禁止。⑤模塊檢查。防火墻能夠控制是否允許某個(gè)模塊訪問(wèn)網(wǎng)絡(luò)。當(dāng)應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)的時(shí)候，對(duì)參與訪問(wèn)的模塊進(jìn)行檢查，根據(jù)模塊的訪問(wèn)規(guī)那么決定是否允許該訪問(wèn)。以往的防火墻只是對(duì)應(yīng)用程序進(jìn)行檢查，而沒(méi)有對(duì)所關(guān)聯(lián)的DLL做檢查。進(jìn)行模塊檢查，防止了木馬模塊注入到正常進(jìn)程中，訪問(wèn)網(wǎng)絡(luò)。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置〔2〕防火墻的安裝，先下載或購(gòu)置瑞星防火墻，將其安裝到計(jì)算機(jī)中，安裝完成后，瑞星防火墻會(huì)自動(dòng)啟動(dòng)監(jiān)控功能。〔3〕防火墻主界面，如圖8-23所示，包含以下局部。圖8-23瑞星殺毒軟件主界面計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置〔3〕防火墻主界面，如圖8-23所示，包含以下局部。①菜單欄，用于進(jìn)行菜單操作的窗口，包括“操作〞、“設(shè)置〞、“幫助〞3個(gè)菜單。②操作按鈕，位于主界面右側(cè)，包括“啟動(dòng)/停止保護(hù)〞、“連接/斷開(kāi)網(wǎng)絡(luò)〞、“軟件升級(jí)〞“查看日志〞。③標(biāo)簽，位于主界面上部，包括“工作狀態(tài)〞、“系統(tǒng)狀態(tài)〞、“啟動(dòng)選項(xiàng)〞、“訪問(wèn)規(guī)那么〞、“漏洞掃描〞、“平安資訊〞6個(gè)標(biāo)簽。④平安級(jí)別，位于主界面右下角，拖動(dòng)滑塊到對(duì)應(yīng)的平安級(jí)別，修改立即生效。⑤當(dāng)前版本及更新日期，位于主界面下方，顯示防火墻當(dāng)前版本及更新日期。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置〔4〕防火墻普通設(shè)置，進(jìn)入“詳細(xì)設(shè)置〞→“普通〞界面，進(jìn)行系統(tǒng)選項(xiàng)、日志記錄種類等設(shè)置，單擊“保存設(shè)置〞按鈕進(jìn)行保存，如圖8-24所示。圖8-24普通設(shè)置界面計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置〔4〕防火墻普通設(shè)置，進(jìn)入“詳細(xì)設(shè)置〞→“普通〞界面，進(jìn)行系統(tǒng)選項(xiàng)、日志記錄種類等設(shè)置，單擊“保存設(shè)置〞按鈕進(jìn)行保存，如圖8-24所示。①在“系統(tǒng)選項(xiàng)〞中包含以下局部。啟動(dòng)方式：包括自動(dòng)方式和手動(dòng)方式。選中自動(dòng)方式后，防火墻隨系統(tǒng)的啟動(dòng)而啟動(dòng)，此設(shè)置為默認(rèn)設(shè)置。選中手動(dòng)方式后，防火墻需要手動(dòng)啟動(dòng)。規(guī)那么順序：可選擇訪問(wèn)規(guī)那么優(yōu)先或IP規(guī)那么優(yōu)先。當(dāng)訪問(wèn)規(guī)那么和IP規(guī)那么有沖突的時(shí)候，防火墻將依照此規(guī)那么順序執(zhí)行。例如，訪問(wèn)規(guī)那么規(guī)定IE程序可以訪問(wèn)網(wǎng)絡(luò)，IP規(guī)那么規(guī)定不允許訪問(wèn)瑞星網(wǎng)站，如果用戶選擇“訪問(wèn)規(guī)那么優(yōu)先〞，那么可以訪問(wèn)瑞星網(wǎng)站；如果用戶選擇“IP規(guī)那么優(yōu)先〞，由于IP規(guī)那么不允許訪問(wèn)瑞星網(wǎng)站，即使訪問(wèn)規(guī)那么允許IE訪問(wèn)網(wǎng)絡(luò)，也無(wú)法訪問(wèn)瑞星網(wǎng)站。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置〔4〕防火墻普通設(shè)置，進(jìn)入“詳細(xì)設(shè)置〞→“普通〞界面，進(jìn)行系統(tǒng)選項(xiàng)、日志記錄種類等設(shè)置，單擊“保存設(shè)置〞按鈕進(jìn)行保存，如圖8-24所示。①在“系統(tǒng)選項(xiàng)〞中包含以下局部。啟動(dòng)賬戶：設(shè)置防火墻啟動(dòng)時(shí)的賬戶，只有在用戶重新啟動(dòng)防火墻的時(shí)候才可以看到結(jié)果。聲音報(bào)警：選中后當(dāng)用戶的計(jì)算機(jī)受到攻擊時(shí)防火墻將會(huì)發(fā)出聲音報(bào)警，可以單擊“瀏覽〞按鈕選擇聲音文件。狀態(tài)通知：默認(rèn)選中此項(xiàng)，假設(shè)取消選中，那么不顯示提示防火墻狀態(tài)的氣泡通知。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

2．瑞星防火墻的安裝與設(shè)置〔4〕防火墻普通設(shè)置，進(jìn)入“詳細(xì)設(shè)置〞→“普通〞界面，進(jìn)行系統(tǒng)選項(xiàng)、日志記錄種類等設(shè)置，單擊“保存設(shè)置〞按鈕進(jìn)行保存，如圖8-24所示。②“日志記錄種類〞指定哪些類型的事件記錄在日志中，包括“修訂規(guī)那么〞、“系統(tǒng)動(dòng)作〞、“修改配置〞、“去除木馬病毒〞、“禁止應(yīng)用〞。單擊“更多設(shè)置〞按鈕進(jìn)行日志詳細(xì)選項(xiàng)的設(shè)置，如日志文件大小、每頁(yè)顯示記錄等。提供日志滿后自動(dòng)備份功能，默認(rèn)選中“日志文件滿后自動(dòng)備份〞，用戶可以設(shè)定備份文件的總大小，單擊“瀏覽〞按鈕選擇備份文件路徑，單擊“確定〞按鈕保存設(shè)置。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

③“不在訪問(wèn)規(guī)那么中的程序訪問(wèn)網(wǎng)絡(luò)的默認(rèn)動(dòng)作〞中有5種模式。屏保模式：在屏保模式下對(duì)于應(yīng)用程序網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的策略，默認(rèn)是自動(dòng)拒絕。鎖定模式：在屏幕鎖定狀態(tài)下對(duì)于應(yīng)用程序網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的策略，默認(rèn)是自動(dòng)拒絕。交易模式：在交易模式下對(duì)于應(yīng)用程序網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的策略，默認(rèn)是自動(dòng)拒絕。未登錄模式：在未登錄模式下對(duì)于應(yīng)用程序網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的策略，默認(rèn)是自動(dòng)拒絕。靜默模式：不與用戶交互的模式，在靜默模式下對(duì)于應(yīng)用程序網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的策略，默認(rèn)是自動(dòng)拒絕。在5種模式中屏保模式、未登錄模式和鎖定模式可根據(jù)計(jì)算機(jī)狀態(tài)自動(dòng)切換，其他兩種模式為手動(dòng)切換。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

3種默認(rèn)動(dòng)作如下。自動(dòng)拒絕：不提示用戶，自動(dòng)拒絕應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問(wèn)請(qǐng)求。自動(dòng)放行：不提示用戶，自動(dòng)放行應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問(wèn)請(qǐng)求。詢問(wèn)我：提示用戶，由用戶選擇處理方式。以上普通設(shè)置修改后，單擊“保存設(shè)置〞按鈕確定并保存。如果要恢復(fù)默認(rèn)設(shè)置，可以單擊“恢復(fù)默認(rèn)〞按鈕。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

〔5〕防火墻高級(jí)設(shè)置：翻開(kāi)防火墻主程序，在菜單中單擊“設(shè)置〞→“詳細(xì)設(shè)置〞命令，在左側(cè)樹(shù)型菜單中單擊“選項(xiàng)〞下的“高級(jí)〞選項(xiàng)，進(jìn)入高級(jí)設(shè)置，如圖8-25所示。圖8-25高級(jí)設(shè)置界面

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

設(shè)置工程包括以下選項(xiàng)。①平安，包括以下7個(gè)復(fù)選框。啟用未登錄保護(hù)：假設(shè)選中此項(xiàng)，表示在系統(tǒng)未登錄狀態(tài)下開(kāi)啟防火墻保護(hù)功能，默認(rèn)為選中。啟動(dòng)防火墻時(shí)進(jìn)行木馬病毒掃描：假設(shè)選中此項(xiàng)，表示在啟動(dòng)防火墻時(shí)自動(dòng)掃描木馬病毒。連接瑞星平安資訊中心：假設(shè)選中此項(xiàng)，表示在聯(lián)網(wǎng)時(shí)切換到平安資訊頁(yè)面可自動(dòng)連到瑞星反病毒資訊網(wǎng)，顯示相關(guān)信息，默認(rèn)為選中。程序連接網(wǎng)絡(luò)被拒絕時(shí)提示用戶：假設(shè)選中此項(xiàng)，表示程序連接網(wǎng)絡(luò)失敗時(shí)會(huì)提示用戶，默認(rèn)為選中。啟用程序防篡改功能：假設(shè)選中此項(xiàng)，表示可以啟用應(yīng)用程序防篡改保護(hù)功能。未知程序訪問(wèn)網(wǎng)絡(luò)時(shí)進(jìn)行木馬病毒掃描：假設(shè)選中此項(xiàng)表示當(dāng)有程序進(jìn)行網(wǎng)絡(luò)活動(dòng)的時(shí)候，對(duì)該進(jìn)程調(diào)用未知木馬病毒進(jìn)行掃描，如果該進(jìn)程為可疑的木馬病毒，那么對(duì)用戶進(jìn)行告警。默認(rèn)為選中。設(shè)置管理員賬戶密碼：用戶可通過(guò)設(shè)置管理員賬戶密碼，防止普通用戶在未經(jīng)允許的情況下修改防火墻配置或關(guān)閉防火墻。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

②設(shè)置提示窗口停留時(shí)間，包括以下幾項(xiàng)。應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)提示窗口：輸入應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)的提示窗口停留時(shí)間，默認(rèn)為60s。IP數(shù)據(jù)包信息窗口：輸入IP數(shù)據(jù)包信息的窗口停留時(shí)間，默認(rèn)為30s。氣泡通知窗口：輸入氣泡通知窗口的停留時(shí)間，默認(rèn)為10s。以上這些提示窗口的停留時(shí)間都可以根據(jù)用戶的需要自行設(shè)定。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

③漏洞掃描提醒時(shí)間，用戶可以設(shè)置漏洞掃描的定時(shí)提醒，時(shí)間單位為“天〞。例如，默認(rèn)提醒時(shí)間是5天，那么5天以上用戶沒(méi)有進(jìn)行漏洞掃描，就會(huì)在“工作狀態(tài)〞頁(yè)的系統(tǒng)漏洞信息處顯示提醒信息。④其他功能包括以下幾項(xiàng)?；謴?fù)默認(rèn)：將當(dāng)前設(shè)置恢復(fù)為默認(rèn)值。保存設(shè)置：保存當(dāng)前設(shè)置。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.5實(shí)訓(xùn)1：殺毒軟件和防火墻的安裝與設(shè)置

實(shí)訓(xùn)報(bào)告根據(jù)實(shí)訓(xùn)內(nèi)容，掌握殺毒軟件、防火墻的安裝方法與功能設(shè)置，并詳細(xì)記錄實(shí)訓(xùn)內(nèi)容的步驟。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

實(shí)訓(xùn)目的〔1〕掌握在WindowsXP環(huán)境下配置IPSec的步驟?！?〕掌握在實(shí)際中應(yīng)用IPSec。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

實(shí)訓(xùn)內(nèi)容1．翻開(kāi)IPSec配置對(duì)話框翻開(kāi)“開(kāi)始〞菜單，單擊“設(shè)置〞中的“控制面板〞命令，選擇“管理工具〞中的“本地平安策略〞快捷方式，彈出“本地平安設(shè)置〞窗口，如圖8-26所示。最初的窗口顯示3種預(yù)定義的策略項(xiàng)，分別是平安效勞器、客戶端和效勞器。在每個(gè)預(yù)定義的策略描述中詳細(xì)解釋了該策略的操作原那么。如果想修改系統(tǒng)預(yù)定義的細(xì)節(jié)，可以右擊該策略，并單擊“屬性〞命令進(jìn)行修改。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

1．翻開(kāi)IPSec配置對(duì)話框圖8-26“本地平安設(shè)置〞窗口計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

2．新建一個(gè)策略〔1〕右擊“本地平安設(shè)置〞窗口中的“IP平安策略，在本地機(jī)器上〞選項(xiàng)，彈出快捷菜單，單擊“創(chuàng)立IP平安策略〞命令，如圖8-27所示。彈出“IP平安策略向?qū)Ж晫?duì)話框，如圖8-28所示。圖8-27創(chuàng)立IP平安策略圖8-28“IP平安策略向?qū)Ж晫?duì)話框計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

2．新建一個(gè)策略〔2〕單擊“下一步〞按鈕，為新的IP平安策略命名，并描述該平安策略，如圖8-29所示。圖8-29設(shè)置IP平安策略名稱計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

2．新建一個(gè)策略〔3〕單擊“下一步〞按鈕，選中對(duì)話框中的“激活默認(rèn)響應(yīng)規(guī)那么〞復(fù)選框，如圖8-30所示。圖8-30設(shè)置平安通訊請(qǐng)求計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

2．新建一個(gè)策略〔4〕單擊“下一步〞按鈕，選中“ActiveDirectory默認(rèn)值〔KerberosV5協(xié)議〕〞單項(xiàng)選擇按鈕，使其作為默認(rèn)的初始身份驗(yàn)證方法，如圖8-31所示。圖8-31設(shè)置身份驗(yàn)證方法

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

2．新建一個(gè)策略〔5〕單擊“下一步〞按鈕，選中“編輯屬性〞復(fù)選框，單擊“完成〞按鈕即完成了IPSec的根本配置，如圖8-32所示。圖8-32完成IP平安策設(shè)置計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性〔1〕完成根本配置后，彈出新IP平安策略屬性對(duì)話框，如圖8-33所示，可以根據(jù)用戶添加自定義的“IP平安規(guī)那么〞。圖8-33新IP平安策略屬性計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性〔2〕取消選中“使用‘添加向?qū)А晱?fù)選框，單擊“添加〞按鈕，彈出“新規(guī)那么屬性〞對(duì)話框，如圖8-34所示。圖8-34“新規(guī)那么屬性〞對(duì)話框計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性〔3〕首先設(shè)置“IP篩選器列表〞，在“IP篩選器列表〞選項(xiàng)上單擊“添加〞按鈕，彈出“IP篩選器列表〞對(duì)話框，如圖8-35所示。圖8-35“IP篩選器列表〞對(duì)話框計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性〔4〕輸入新IP篩選器列表的名稱和描述信息，取消選中“使用‘添加向?qū)А晱?fù)選框，單擊“添加〞按鈕，彈出“篩選器屬性〞對(duì)話框，如圖8-36所示。圖8-36“篩選器屬性〞對(duì)話框計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性在“篩選器屬性〞對(duì)話框中包含3個(gè)標(biāo)簽：尋址、協(xié)議和描述。①尋址：可以對(duì)IP數(shù)據(jù)流的源地址和目標(biāo)地址進(jìn)行規(guī)定。②協(xié)議：可以對(duì)數(shù)據(jù)流所使用的協(xié)議進(jìn)行規(guī)定，如果選擇了“TCP〞或“UDP〞選項(xiàng)就可以對(duì)源端和目的端使用的端口號(hào)做出規(guī)定，如圖8-37所示。③描述：對(duì)新篩選器做出簡(jiǎn)單描述。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性圖8-36“篩選器屬性〞對(duì)話框計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性〔5〕完成篩選器屬性設(shè)置后，在IP篩選器列表中會(huì)添加新設(shè)置的IP篩選器，如圖8-38所示，選中此內(nèi)容。圖8-38選中新設(shè)置的IP篩選策略計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性〔6〕在“新規(guī)那么屬性〞對(duì)話框中，選擇“篩選器操作〞選項(xiàng)卡。對(duì)符合IP篩選器所設(shè)定規(guī)那么的數(shù)據(jù)流進(jìn)行處理，如圖8-39所示。取消選中“使用‘添加向?qū)А晱?fù)選框，單擊“添加〞按鈕，彈出“新篩選器操作屬性〞對(duì)話框，如圖8-40所示。圖8-39“篩選器操作〞選項(xiàng)卡圖8-40“新篩選器操作屬性〞對(duì)話框計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性〔7〕在這里可以對(duì)新篩選器操作的細(xì)節(jié)進(jìn)行設(shè)置。其中，可以選中“許可〞或者“阻止〞單項(xiàng)選擇按鈕對(duì)符合IP篩選器所設(shè)定規(guī)那么的數(shù)據(jù)流進(jìn)行過(guò)濾。由此可見(jiàn)，這實(shí)際上就是簡(jiǎn)單地實(shí)現(xiàn)了一個(gè)普通防火墻的功能。另外，選中“協(xié)商平安〞單項(xiàng)選擇按鈕，還可以對(duì)允許的通信進(jìn)行進(jìn)一步的平安設(shè)置。單擊“添加〞按鈕來(lái)添加相對(duì)應(yīng)的平安措施，如圖8-41所示。圖8-41“新增平安措施〞對(duì)話框計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)8.6實(shí)訓(xùn)2：配置IPSec

3．配置新平安策略屬性在該對(duì)話框中，有3個(gè)單項(xiàng)選擇按鈕可供選擇。①加密并保持完整性：選擇以最高的平安級(jí)別來(lái)保護(hù)數(shù)據(jù)。使用“封裝平安措施負(fù)載量〞來(lái)實(shí)現(xiàn)數(shù)據(jù)加密、身份驗(yàn)證、防止重發(fā)和完整性，以適合高的平安級(jí)別。②僅保持完整性：使用驗(yàn)證報(bào)頭〔AH〕協(xié)議來(lái)實(shí)現(xiàn)完整性、防止重發(fā)和身份驗(yàn)證，以適合平安方案需要的標(biāo)準(zhǔn)的平安級(jí)別。AH提供IP報(bào)頭和數(shù)據(jù)的完整性，是不加密的數(shù)據(jù)。③“自定義〞，如果需要加密和地址完整性、更強(qiáng)大的算法或密鑰壽命，那么可以指定自定義的平安措施，如圖8-42所示。其中包括以下幾項(xiàng)。“數(shù)據(jù)和地址不加密的完整性〔AH〕〞算法，主要包括兩種：一種是消息摘要5算法〔MD5〕，產(chǎn)生128b的密鑰；另一種是平安散列算法〔SHA1〕，產(chǎn)生160b的密鑰。密鑰越長(zhǎng)越平安?！皵?shù)據(jù)完整性和加密〔ESP〕〞算法，其中“完整性算法