【文档说明】计算机网络技术-第9章_计算机网络安全课件.ppt，共(61)页，1.395 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-76982.html

以下为本文档部分文字说明：

1第9章计算机网络安全问题原由计算机网络广泛应用，促进了社会的进步和繁荣,并为人类社会创造了巨大财富。但由于计算机及其网络自身的脆弱性以及人为的攻击破坏，也给社会带来了损失。因此，网络安全已成为重要研究课题。本章重点讨论网络安全技术措施：计算机密码技术、防火墙技术、虚拟专

用网技术、网络病毒防治技术，以及网络管理技术。教学重点能力要求掌握：网络安全与管理的概念；网络安全与管理技术的应用。熟悉：计算机密码技术、防火墙技术、虚拟专用网技术、网络病毒防治技术。2§9.1网络安全问题概述§9.5网络管理§9.3网络安全的攻击与防卫§9.4防火墙的安装调试与设置§

9.2计算机网络安全技术本章内容3知识结构计算机网络安全技术计算机网络安全防火墙的安装调试与设置网络安全的层次模型网络管理网络安全问题概述瑞星杀毒软件和个人防火墙的防治天网防火墙防火墙技术数字签名加密技术网络管理协议与网络管理工具网络管理功能网络管理概述网络安全的攻击与

防卫病毒信息窃取邮件炸弹特洛伊木马网络所面临的安全威胁网络安全的内容访问控制技术实时监视技术自动解压缩技4§9.1网络安全问题概述随着计算机网络技术的发展，网络的安全性和可靠性成为各层用户所共同关心的问题。人们都希望自己的网络能够更加可靠地

运行，不受外来入侵者的干扰和破坏，所以解决好网络的安全性和可靠性，是保证网络正常运行的前提和保障。Internet防火墙学生区InfoGateIIS服务Web服务DMZ区教工区安全垃圾邮内容审计件网关过滤数据库服务器群应用服务器群59.1.1网络所面临的安全威胁1

、网络安全要求网络安全，是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不会中断。身份认证完整性保密性授权和访问控制可用性不

可抵赖性62、网络安全威胁一般认为，黑客攻击、计算机病毒和拒绝服务攻击等3个方面是计算机网络系统受到的主要威胁。黑客攻击计算机病毒拒绝服务攻击黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络,并非法使用网络资源。计算机病毒侵入网络，对网络资源

进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。攻击者在短时间内发送大量的访问请求，而导致目标服务器资源枯竭，不能提供正常的服务。9.1.1网络所面临的安全威胁73、网路安全漏洞网络安全漏洞实际上是给不法分子以可乘之机的“通道”,大致可分为以下3个方面。网络的漏洞服务器的漏洞操

作系统的漏洞包括网络传输时对协议的信任以及网络传输漏洞，比如IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS的信任。利用服务进程的bug和配置错误,任何向外提供服务的主机都有可能被攻击。这些漏洞常被用来获取对系统的访问权。Windows和UNIX操作系统都存在许多

安全漏洞,如Internet蠕虫事件就是由UNIX的安全漏洞引发的。9.1.1网络所面临的安全威胁84、网络安全攻击要保证运行在网络环境中的信息安全,首先要解决的问题是如何防止网络被攻击。根据SteveKent提出的方法,网络安全攻击可分为被动攻击和主动攻击两大类，如下图所示。网

络安全攻击分类被动攻击截获(秘密)分析信息内容通信量分析主动攻击拒绝篡改伪造重放(可用性)(完整性)(真实性)(时效性)被动攻击不修改信息内容，所以非常难以检测，因此防护方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生一个虚假的数据流。9.1.1网络所面

临的安全威胁91中断（Interruption）：中断是对可利用性的威胁。例如破坏信息存储硬件、切断通信线路、侵犯文件管理系统等。2窃取（Interception）：入侵者窃取信息资源是对保密性的威胁。入侵者窃取线路

上传送的数据，或非法拷贝文件和程序等。3篡改（Modification）：篡改是对数据完整性的威胁。例如改变文件中的数据，改变程序功能，修改网上传送的报文等。4假冒（Fabrication）：入侵者在系统中加入伪造的内容，如像网络用户发送

虚假的消息、在文件中插入伪造的记录等。5、网络安全破坏网络安全破坏的技术手段是多种多样的，了解最通常的破坏手段，有利于加强技术防患。9.1.1网络所面临的安全威胁109.1.2网络安全内容国际标准化组织（ISO）对网络安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件

、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。简单说，安全的目的是保证网络数据的三个特性：可用性、完整性和机密性。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是

确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。119.1.3网络安全的层次模型1、安全体系框架为了系统的、科学地分析网络安全所涉及的各种问题，我们从安全服务特性、系统单元、开放系统互连参考模型安全特性三个方面研究网络安全，并提出了一个三维的安全体系框架，

如下图所示。三维安全框架体系129.1.3网络安全的层次模型2、安全服务特性（1）身份认证身份认证是访问控制的基础。身份认证必须做到准确无误地将对方辨别出来，同时还应该提供双向的认证，即互相证明自己的身份。（2）访问控制控制不同用户对信息资源访问的权限，防止

非授权使用资源或以非授权的方式使用资源。（3）数据加密保证数据安全通信的手段，指在数据存储和传输时进行加密，防止数据在传输过程中被窃听。（4）数据的完整性指防止数据在传输过程中被篡改、删除、插入替换或重发，以保证合法

用户接收和使用该数据的真实性。（5）不可否认性防止发送方企图否认所发送的信息，同时也防止接受方企图否认接收到信息。（6）安全审计设置安全、可靠的审计记录措施，便于事后的分析审计。139.1.3网络安全的层次模型3、系

统单元（1）通信平台信息网络的通信设备、通信网络平台；（2）网络平台信息网络的网络系统；（3）系统平台信息网络的操作系统平台；（4）应用平台信息网络各种应用的开发、运行平台：（5）物理环境信息网络运行的物理环境及人

员管理。149.1.3网络安全的层次模型4、层次模型（1）物理层在通信线路上采用电磁屏蔽技术、干扰及跳频等技术，来防止电磁辐射造成的信息外泄，保证在线路上不被搭线偷听，或者轻易的检测出信息。但由于网络分布广，物理层的安全很难保证。（2）数据链路层点对点的链路可以采用数据通信保密机制，

对数据采用加密和解密，保证通信的安全。（3）网络层采用加密、路由控制、访问控制、审计、防火墙技术和IP加密传输信道技术，保证信息的机密性。防火墙被用来处理信息在内外网络边界的流动，它可以确定来自哪些地址的信息可以或者禁止访问哪些目的地址的

主机。IP加密传输信道技术是在两个网络结点间建立透明的安全加密信道。这种技术对应用透明，提供主机对主机的安全服务。适用于在公共通信设施上建立虚拟的专用网。（4）应用层针对用户身份进行认证并建立起安全的通信信道。15§9.2数据加密与数字认证数据加密和数字签名是网络信息安全的

核心技术。其中，数据加密是保护数据免遭攻击的一种主要方法；数字认证是解决网络通信过程中双方身份的认可，以防止各种敌手对信息进行篡改的一种重要技术。数据加密和数字签名的联合使用，是确保信息安全的有效措施。Internet加密数据流供应商采购

单位SSL安全论证网关Web服务器9.2.1加密技术169.2.1加密技术1、密码学与密码技术计算机密码学是研究计算机信息加密、解密及其变换的新兴科学,密码技术是密码学的具体实现,它包括4个方面：保密(机

密)、消息验证、消息完整和不可否认性。1保密（privacy）：在通信中消息发送方与接收方都希望保密，只有消息的发送者和接收者才能理解消息的内容。2验证（authentication）：安全通信仅仅靠消息的机密性是不够的，必须加以验证，即接收者需

要确定消息发送者的身份。3完整（integrity）：保密与认证只是安全通信中的两个基本要素，还必须保持消息的完整,即消息在传送过程中不发生改变。4不可否认（nonrepudiation）：安全通信的一个基本要

素就是不可否认性，防止发送者抵赖（否定）。172、加密和解密密码技术包括数据加密和解密两部分。加密是把需要加密的报文按照以密码钥匙（简称密钥）为参数的函数进行转换，产生密码文件；解密是按照密钥参数进行解密,还

原成原文件。数据加密和解密过程是在信源发出与进入通信之间进行加密，经过信道传输,到信宿接收时进行解密,以实现数据通信保密。数据加密和解密过程如下图所示。加密密钥报文解密原报文加密解密模型明文密文传输明文信源加密单元解密单元信宿9.2.1加密技术183、密钥体系加密和解密是通过密钥来实现的。如果把

密钥作为加密体系标准，则可将密码系统分为单钥密码（又称对称密码或私钥密码）体系和双钥密码（又称非对称密码或公钥密码）体系。在单钥密码体制下，加密密钥和解密密钥是一样的。在这种情况下，由于加密和解密使用同一密钥（密钥经密钥信道传给对方），所以密码体制的安全

完全取决于密钥的安全。双钥密码体制是1976年W.Diffie和M.E.Heilinan提出的一种新型密码体制。1977年Rivest,Shamir和Adleman提出RSA密码体制。在双钥密码体制下,加密密钥与解密密钥是不同的

,它不需要安全信道来传送密钥，可以公开加密密钥，仅需保密解密密钥。9.2.1加密技术19传统加密方法1、代换密码法⑴单字母加密方法：是用一个字母代替另一个字母,它把A变成E，B变成F，C变为G，D变为H。⑵多字母加密方法：密钥是简短且便于记忆的词组。2、转换密码法保

持明文的次序，而把明文字符隐藏起来。转换密码法不是隐藏它们，而是靠重新安排字母的次序。3、变位加密法把明文中的字母重新排列,字母本身不变，但位置变了。常见的有简单变位法、列变位法和矩阵变位法。4、一次性密码簿加密法就是

用一页上的代码来加密一些词，再用另一页上的代码加密另一些词，直到全部的明文都被加密。9.2.1加密技术20现代加密方法1、DES加密算法DES加密算法是一种通用的现代加密方法,该标准是在56位密钥控制下,将每64位为一个单元的明文变成64位的密码。

采用多层次复杂数据函数替换算法，使密码被破译的可能性几乎没有。2、IDEA加密算法相对于DES的56位密钥，它使用128位的密钥，每次加密一个64位的块。这个算法被加强以防止一种特殊类型的攻击,称为微分密码密钥。IDEA的特点是用了混

乱和扩散等操作,主要有三种运算：异或、模加、模乘，并且容易用软件和硬件来实现。IDEA算法被认为是现今最好的、最安全的分组密码算法，该算法可用于加密和解密。9.2.1加密技术21邮件内容CH=MDS(C

)S=ENRSA(H)KSM=C+S随机加密密钥E1=ENIDEA(M)E2=ENRSA(K)KRP将E1+E2寄出发送邮件收到E1+E2K=DERSA(E2)KRSM=DEIDEA(E1)K将M分离成C和SH1=MD5(C)取得收信人的分开密钥KPS1=DER

SA(H1)KPS1=S?NoYes接收此邮件拒绝此邮件接收邮件3、RSA公开密钥算法RSA是屹今为止最著名、最完善、使用最广泛的一种公匙密码体制。RSA算法的要点在于它可以产生一对密钥,一个人可以用密钥对中的一个加密消息，另一个人则可以用密钥对中的另一个解密消息。任何人都

无法通过公匙确定私匙，只有密钥对中的另一把可以解密消息。取得收信人的分开密钥KRP9.2.1加密技术224、Hash－MD5加密算法Hash函数又名信息摘要（MessageDigest）函数，是基于因子分解或离散对数问题的函数，可将任意长度的信息浓缩为较短的固定

长度的数据。这组数据能够反映源信息的特征，因此又可称为信息指纹（MessageFingerprint)。Hash函数具有很好的密码学性质,且满足Hash函数的单向、无碰撞基本要求。5、量子加密系统量子加密系统是加密技术的新突破。量子加密法的先进之处在于这种方法依赖的是量子力

学定律。传输的光量子只允许有一个接收者，如果有人窃听，窃听动作将会对通信系统造成干扰。通信系统一旦发现有人窃听，随即结束通信，生成新的密钥。9.2.1加密技术23解密方法1.密钥穷尽搜索就是尝试所有可能的密钥组合，虽然这种

密钥尝试通常是失败的，但最终总会有一个密钥让破译者得到原文。2.密码分析密码分析是在不知密钥的情况下利用数学方法破译密文或找到秘密密钥。常见的密码分析有如下两种：⑴已知明文的破译方法：是当密码分析员掌握了一段明文和对应的密文,目的是发现加密的密钥。在实际应用中,获得某些密文所对应的明文是可能

的。⑵选定明文的破译方法：密码分析员设法让对手加密一段分析员选定的明文，并获得加密后的结果,以获得确定加密的密钥。9.2.1加密技术243、防止密码破译的措施为了防止密码破译,可以采取一些相应的技术措施。目前

通常采用的技术措施以下3种。⑴好的加密算法：一个好的加密算法往往只有用穷举法才能得到密钥，所以只要密钥足够长就会比较安全。20世纪70～80年代密钥长通常为48～64位，90年代,由于发达国家不准许出口64

位加密产品，所以国内大力研制128位产品。⑵保护关键密钥（KCK：KEYCNCRYPTIONKEY）。⑶动态会话密钥：每次会话的密钥不同。动态或定期变换会话密钥是有好处的，因为这些密钥是用来加密会话密钥的，一旦泄漏，被他人窃取重要

信息，将引起灾难性的后果。9.2.1加密技术259.2.2数字签名对文件进行加密只是解决了传送信息的保密问题，而防止他人对传输的文件进行破坏、如何确定发信人的身份还需要采用其他的手段，这一手段就是数字签名。一个完整的数字签名应该具

有不可抵赖性、不可伪造性、不可重用性等。“数字签名”是数字认证技术中其中最常用的认证技术。在日常工作和生活中，人们对书信或文件的验收是根据亲笔签名或盖章来证实接收者的真实身份。在书面文件上签名有两个作用：一是因为自己的签名难以否认，从而确定了

文件已签署这一事实；二是因为签名不易伪冒，从而确定了文件是真实的这一事实。但是，在计算机网络中传送的报文又如何签名盖章呢，这就是数字签名所要解决的问题。26Key数字签名初始文件签名文件加密的签名文件数字签名初始文件数字摘要数字摘要正确初始文件HASH编码一致KeyKeyK

ey数字摘要初始文件在网络传输中如果发送方和接收方的加密、解密处理两者的信息一致，则说明发送的信息原文在传送过程中没有被破坏或篡改,从而得到准确的原文。传送过程如下图所示。数字签名的验证及文件的传送过程9.2.2数字签名279.2.3防火墙技术防火墙技术是一种成熟可靠的网络安全技

术，应用于内部网络与外部网络之间，是保护内部网络不受到侵入的一道屏障。目前，防火墙产品是世界上使用最多的网络安全产品之一，其功能也在不断的增加。1、防火墙的概念为了防止病毒和黑客，可在该网络和Internet之间插入一个中介系统，竖起一道用来阻断

来自外部通过网络对本网络的威胁和入侵的安全屏障，其作用与古代防火砖墙有类似之处，人们把这个屏障就叫做“防火墙”，其逻辑结构如下页图所示。28防火墙的逻辑结构示意图外部网络内部网络9.2.3防火墙技术292、防火墙的基本特性①所有内部和

外部网络之间传输的数据必须通过防火墙。②只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。③防火墙本身不受各种攻击的影响。3、防火墙的基本准则⑴过滤不安全服务：防火墙应封锁所有的信息流,然后对希望提供的安全服务逐项开放，把不安全的服务或可能有安全隐患的服务一律扼杀在

萌芽之中。⑵过滤非法用户和访问特殊站点：防火墙允许所有用户和站点对内部网络进行访问，然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。9.2.3防火墙技术30防火墙的基本功能1、作为网络安

全的屏障防火墙作为阻塞点、控制点，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。2、可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（口令、加密、身份认证、审计等）配置在防火墙上。3、对网络存取和访问进行监控审

计所有的外部访问都经过防火墙时，防火墙就能记录下这些访问，为网络使用情况提供统计数据。当发生可疑信息时防火墙能发出报警，并提供网络是否受到监测和攻击的详细信息。4、可以防止内部信息的外泄利用防火墙可以实现内部网重点网段的隔离，从而限制了局部重点或

敏感网络安全问题对全局网络造成的影响。31防火墙的分类1、网络级防火墙（NetworkGateway）网络级防火墙主要用来防止整个网络出现外来非法的入侵。包过滤路由器的工作原理示意图内部网络物理层分组过滤规则数据链跑层Internet外部网络网络层物理层数据链跑层网络层包过滤

路由器32防火墙的分类2、应用级防火墙（ApplicationGateway）这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。在外部网络向内部网络申请服务时发挥了中间转接的作用。代理防火墙的最大

缺点是速度相对比较慢。应用级代理工作原理图所示。应用级代理工作原理示意图内部网络真正服务器代理服务器实际的连接实际的连接外部网络客户虚拟的连接Internet防火墙33防火墙的分类3、电路级防火墙（Gateway）电路级防火墙也称电路层网关,是一个具有特殊功能的

防火墙。电路级网关只依赖于TCP连接，并不进行任何附加的包处理或过滤。与应用级防火墙相似,电路级防火墙也是代理服务器,只是它不需要用户配备专门的代理客户应用程序。另外,电路级防火墙在客户与服务器间创建了一条电路,双方应用程序都不知道有关代理服务的信息。4、状态监测防火墙（State

fuinspectionGateway）状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表就可以通过。34防火墙的基本结构1、双宿主机网关（Dua

lHomedGateway）双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙,其中一个是网卡,与内网相连；另一个可以是网卡、调制解调器或ISDN卡。双宿主机网关的弱点是一旦入侵者攻入堡垒主机并使其具有路由功能，则外网用户均可自由访问内网。双宿主机网关工作原理图如下图所示。双宿堡垒主

机Internet双宿堡垒主机内网35防火墙的基本结构2、屏蔽主机网关（ScreenedHostGateway）⑴单宿堡垒主机：是屏蔽主机网关的一种简单形式,单宿堡垒主机只有一个网卡，并与内部网络连接。通常在路

由器上设立过滤规则，并使这个单宿堡垒主机成为可以从Internet上访问的唯一主机。而Intranet内部的客户机，可以受控地通过屏蔽主机和路由器访问Internet,其工作原理图如下图所示。屏蔽主机网关单宿堡垒主机Internet双宿堡垒主机内网36防火墙的基本结构

⑵双宿堡垒主机：是屏蔽主机网关的另一种形式,与单宿堡垒主机相比，双宿堡垒主机有两块网卡，一块连接内部网络，一块连接路由器。双宿堡垒主机在应用层提供代理服务比单宿堡垒主机更加安全。屏蔽主机网关双宿堡垒主机工作原理图如下图所示。屏

蔽主机网关双宿堡垒主机Internet双宿堡垒主机内网37防火墙的基本结构3、屏蔽子网（ScreenedSubnetGateway）屏蔽子网是在内部网络与外部网络之间建立一个起隔离作用的子网。内部网络和外部网络均可访问屏蔽子网，它们不能直接

通信，但可根据需要在屏蔽子网中安装堡垒主机，为内部网络和外部网络之间的互访提供代理服务。屏蔽子网工作原理图如下图所示。屏蔽子网防火墙内网屏蔽子网Internet389.2.4访问控制技术访问控制是指可以限制对关键资源的访问，防止非法用户进入系

统及合法用户对系统资源的非法使用。它是网络安全防范和保护的主要策略，也是安全机制的核心内容。访问控制是保证对所有的直接存取活动进行授权的重要手段，控制着读出、写入、修改、删除、执行等操作，可以防止非法用户进人计算机系统和合法用户对系统资源的非法使用。实施访问控制是维护系统运行安

全，保护系统资源的一项重要技术。目前的主流访问控制技术有：自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）。39§9.3网络安全的攻击与防卫9.3.1特洛伊木马“特洛伊木马”（

trojanhorse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，如

果计算机被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制这台计算机，这时计算机上的各种文件、程序，以及在这台计算机上使用的帐号、密码就无安全可言了。现在市面上有很多新版杀毒软件都可以自动清除木马，但它们并不能防范新出现的木马程序。如果发现有木马

存在，首先就是马上将计算机与网络断开，防止黑客通过网络进行攻击。409.3.2邮件炸弹邮件炸弹(E-mailBomb)是使得攻击目标主机收到超量的电子邮件,使得主机无法承受导致邮件系统崩溃，是黑客常用的一种攻击手段。现在网上的邮件炸弹程序很多，

虽然它们的安全性不尽相同，但基本上都能保证攻击者的不被发现。收到邮件炸弹的攻击后，可以在不影响邮箱内的正常邮件的情况下，把这些大量的垃圾邮件删除掉。此外，还有一些专门的邮件炸弹删除软件，它可以帮助我们迅速删除炸弹邮件。另外，各免费邮箱提供商也通过使用邮件过滤器等措施加强了这方面的防

护，通过使用系统提供的邮件过滤器系统来拒绝接收此类邮件。但是，目前对于解决邮件炸弹的困扰还没有特别好的方法，还是应该以预防为主。419.3.3信息窃取随着网络技术的发展，利用网络来窃取信息的显现也越来频繁。窃取手段越来越多，但归

结起来本质一样：都是通过程序，寻找或记录种植（程序）者需要的信息，并将其发送到他们手中。信息窃取可以分为两种：一种是所谓偷取智能财产；而另一种则是所谓产业谍报活动。安装非法入侵的检测系统，可以补足防火墙的功能，使两者达到监控网络、执行立即的拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时便

可以立刻有效终止。这些相关防护措施的应用可以完全做到在面临攻击、或者是信息遭滥用时立即做出多样性适当的报警。一般最普通基本的安全管理服务可包括有防火墙、入侵侦测及报警系统、远程访问保全、在网络上将使用资

料加密等。429.3.4病毒网络病毒的特点1.感染方式多2.感染速度快3.清除难度大4.破坏性强5.激发形式多样6.潜在性特点：计算机网络的主要特点是资源共享。那么，一旦共享资源染上病毒，网络各结点间信息

的频繁传输将把病毒感染到共享的所有机器上，从而形成多种共享资源的交叉感染。在网络环境中的病毒具有以下6个方面的特点：43类型：1、GPI（GetPasswordI）病毒GPI病毒是由欧美地区兴起的专攻网络的一类病毒，该病毒的威力在于“自上而下”，可以“逆流而上”的传播。2、电子邮

件病毒由于电子邮件的广泛使用，E-mail已成为病毒传播的主要途径之一。3、网页病毒网页病毒主要指Java及ActiveX病毒，它们大部分都保存在网页中，所以网页也会感染病毒。4、网络蠕虫程序是一种通过间接方式复制自身的非感染型病毒，它的传播速度相当惊人，给人们带来难以弥

补的损失。9.3.4病毒44防治：1、病毒的预防引起网络病毒感染的主要原因在于网络用户本身。因此,防范网络病毒应从两方面着手。第一，对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件；第二，以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品。2、病毒清除可靠、有

效地清除病毒,并保证数据的完整性是一件非常必要和复杂的工作。优秀的防毒软件应该不仅能够正确识别已有的病毒变种，同时也应该能够识别被病毒感染的文件。然而，防毒软件并不是万能的，对付计算机病毒的最好方法是

要积极地做好预防工作,而不能寄托于病毒工具软件。9.3.4病毒45这个技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动，时刻监视系统状况，时刻监视软盘

、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统的底层无缝连接技术，实时监视器占用的系统资源极小，用户一方面完全感觉不到对机器性能的影响，一方面根本不用考虑病毒的问题。只

要实时反病毒软件实时地在系统中工作，病毒就无法侵入我们的计算机系统。可以保证反病毒软件只需一次安装，今后计算机运行的每一秒钟都会执行严格的反病毒检查，使因特网、光盘、软盘等途径进入计算机的每一个文件都安全无毒，如有毒则进行自动杀除。9.3.5实时监视技术46目前网络用户

在因特网、光盘以及WINDOWS中接触到的大多数文件都是以压缩状态存放，以便节省传输时间或节约存放空间，这就使得各类压缩文件已成为了计算机病毒传播的温床。如中国计算机报光盘InfoCD染上CIH病毒事件，

就是3个压缩文件内部中含有病毒。如果用户从网上下载了一个带病毒的压缩文件包，或从光盘里运行一个压缩过的带毒文件，用户会放心地使用这个压缩文件包，然后自己的系统就会不知不觉地被压缩文件包中的病毒感染。而且现在流行的压缩标准有很多种，相互之间有些还并不兼容，全面覆盖各种各样的压缩格式，就要

求了解各种压缩格式的算法和数据模型，这就必须和压缩软件的生产厂商有很密切的技术合作关系，否则，解压缩就会出问题。9.3.6自动解压缩技术47§9.4防火墙的安装调试与设置天网防火墙是由广州众达天网技术有限公司开发的给个人计算机使用的网络安全工具。它根据系统管

理者设定的安全规则把守网络，提供强大的访问控制、应用选通、信息过滤等功能。它可以帮助网络用户抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，它适合于任何方式连

接上网的个人用户。1、天网防火墙的安装2、防火墙的设置9.4.1天网防火墙48随着网络的日益普及，越来越多的用户通过网络进行即时通讯和下载文件，而这也越来越成为病毒传播的主要途径之一。为此，瑞星杀毒软件专门提供了嵌入式杀毒工具。瑞星杀毒软件嵌入式杀毒工具是在用户使用即时通讯软件（如M

SNMessenger）、压缩工具（如WinZip）和下载工具（如FlashGet）时，会自动调用瑞星杀毒软件对接收的文件进行查杀病毒，防止病毒通过外来文件传播到本地。在“查杀目标”栏中显示了待查杀病毒的目标，默认状态下，所有本地磁盘、内存、引导区和邮箱都为选中状态；2）单击瑞星杀

毒软件主程序界面上的“杀毒”按钮，即开始扫描所选目标，发现病毒时程序会提示用户如何处理。扫描过程中可随时选择“暂停”按钮暂停当前操作，按“继续”可继续当前操作，也可以选择“停止”按钮结束当前扫描。对扫描中发现的病毒，病毒文件的文件名、所在文件夹、病毒名称和状态都将显示在病毒列表窗口中。9.4.2

瑞星杀毒软件和个人防火墙49§9.5网络管理1、网络管理的定义网络管理是一项复杂的系统工程,它涉及到以下3个方面。⑴网络服务提供：是指向用户提供新的服务类型、增加网络设备、提高网络性能等。⑵网络维护：是指网络性能监控、故障报警、故障诊断、故障隔离与恢复等。⑶网络处理：是

指网络线路、设备利用率、数据的采集、分析，以及提高网络利用率的各种控制。2、网络管理标准化在ISO的OSI-RM的基础上，由AT&T、英国电信等100多著名大公司组成的OSI/NMF(网络管理论坛）定义了OSI网络管理框架下的

5个管理功能区域，并形成了多项协议。9.5.1网络管理概述50配置管理性能管理计费管理安全管理故障管理系统管理功能：对象管理状态管理关系属性日志控制负荷监测告警报告事件报告测试管理/测试报告记账表安全审查追踪等O

SI网络管理功能模块之间的关系为了实现对网络中的所有对象进行管理，OSI定义了网络管理统一的国际性标准（5个基本功能域），基本模块的相互关系如下图所示。9.5.2网络管理功能511、配置管理（ConfigurationManagemen

t，CM）配置管理是ISO网络管理功能域中的第一个管理模块,它具有以下4项基本功能。1配置信息具有自动获取功能：一个大型网络需要管理的设备很多，因此，网络管理系统应该具有配置信息自动获取的功能。2具有自动配置功能：

通过网络管理协议标准设置配置信息、自动登录到设备进行配置的信息、修改管理性能配置信息。3配置一次性检查：在网络配置中，对网络正常运行影响最大的主要是路由器端口配置和路由器信息配置和检查。4用户操作记录功能：在配置管理中对用户操作进行记录并保存,以便管理人员随

时查看用户在特定时间进行特定配置操作。9.5.2网络管理功能522、性能管理（PerformanceManagement，PM）性能管理的功能是负责监视整个网络的性能，性能管理的目标是收集和统计数据。性能管理主要包括以下内容：1信息收集：要实现性能管理，首先必须要从被管对象中收

集与性能有关的那些数据，然后进行信息统计、分析和监测。2信息统计：统计被管对象与性能有关的历史数据的产生、记录和维护。3信息分析：分析被管的性能数据和网络线路质量，以判断是否处于正常水平，为网络进一步规划与调整提供依据。4信息监测

：监测网络对象的性能，为每个重要的变量决定一个合适的性能阀值，超过该限值时将报警发送到网络管理系统。9.5.2网络管理功能533、故障管理（FaultManagement，FM）故障管理是在系统出现异常情况下的管理操作，找出故障的位置

并进行恢复。故障管理包括以下4个步骤。1检测故障：通过检测来判断故障类型或被动接收网络上的各种事件信息，对其中的关键部分保持跟踪,并生成网络故障记录。2隔离故障：通过诊断、测试，识别故障根源，对根源故障进行隔离。3修复故障：对不严重的简单故障由网络设备进行检测、诊

断和恢复；对于严重的故障，报警提醒管理者进行维修和更换。4记录故障监测结果：记录排除故障的步骤和与故障相关的值班员日志，构造排错行记录，以反映故障整个过程的各个方面。9.5.2网络管理功能544、安全管理（SecurityManagement，

SM）安全管理模块的功能分为网络管理本身的安全和被管网络对象的安全。安全管理的功能主要包括以下4个方面：1授权管理：分配权限给所请求的实体。2访问控制管理：访问控制管理：分配口令、进入或修改访问控制表和能力表。3安全管理：安全检查跟踪和事件处理。4密钥管理：

进行密钥分配。9.5.2网络管理功能555、计费管理（AccountingManagement，AM）计费管理模块的功能是在有偿使用的网络上统计有哪些用户，使用何种信道，传输多少数据，访问什么资源信息，即统计不同线路和各类资源的

利用情况。计费管理的目标是提高网络资源的利用率，以便使一个或一组用户可以按规则利用网络资源。由于网络资源可以根据其能力的大小而合理地分配，这样的规则使网络故障降低到最小限度，也可以使所有用户对网络的访问更加公平。为了

实现合理计费，计费管理必须和性能管理相结合。计费管理包括：计费数据采集、数据管理与数据维护、政策比较与决策支持、数据分析与费用计算等。9.5.2网络管理功能569.5.3网络管理协议与网络管理工具一、简单网络管理协议为了更好地进行网络管理，许多国际标准化组织都提出了自己的网络管理标准和网络管理

方案，网络管理协议主要有CMIP、SNMP和CMOT三种。目前使用最广泛的网络管理协议是简单网络管理协议（SNMP）。1、SNMP的结构为了提高网络管理系统的效率，SNMP在传输层采用了用户数据报协议（UDP)，针对Internet飞速发展和协议的不断

扩充和完善，SNMP尽可能地降低管理代理的软件成本和资源要求,提供较强的远程管理,以适应对Internet资源的管理。并且,SNMP结构具有可扩充性,以适应网络系统的发展。SNMP的结构如下页图所示。57SNMP的功能结构主机管理代理MIB网关MIB终端服务器管理代

理MIB管理进程管理代理⑴管理进程（manager）：协助网络管理员对整个网络或网络中的设备进行日常管理的一组软件，一般运行在网络管理站（网络管理中心）的主机上。⑵管理代理（agent）：是一种在被管理的网络设备中运行的软件，负责执行管理进程的管理操作。⑶管理信息库：是一个概念上的

数据库,由管理对象组成,每个管理代理属于本地的管理对象，各管理代理控制的管理对象共同组成全网管理信息库。9.5.3网络管理协议与网络管理工具58SNMP工作方式示意图中心MIB本地MIB本地MIB应答应答请求请求AgentMana

gerAgent2、SNMP的工作方式管理进程（Manager）和管理代理（Agent）之间主要以请求/应答方式工作。Manager向Agent发出请求命令，获取或设置网络元素（被管设备）参数；Agent向Manager返回“应答”响应，报告“请求”的执行结果。In

ternet网络管理的工作方式如下图所示。9.5.3网络管理协议与网络管理工具593、SNMP的报文格式SNMP使用UDP作为第四层(传输层)协议,进行无连接操作。管理进程和代理进程之间的每个消息都是一个单独的数据报。SNMP消息报文包含两个部分：SNMP报头和协议数据单元PDU。⑴版本识别符（V

ersionIdentifier)：用来确保SNMP代理使用相同的协议，每个SNMP代理都直接抛弃与自己协议版本不同的数据报。⑵团体名（CommunityName)：用于SNMP代理对SNMP管理站进行认证。⑶

协议数据单元（PDN）：指明SNMP的消息类型及其相关参数。9.5.3网络管理协议与网络管理工具60常用网络管理系统1、HPOpenViewHPOpenView是第一个综合的、实用的网络管理系统。2、CAUnicenterTNG通过Unice

nterTNG，用户可以获得的功能和特性包括：Web服务器管理、改进服务水平、全面的企业安全管理、实现网络智能化、简化桌面系统和服务器管理、将可管理性用于应用等。3、IBMTivoliTivoli管理环境是一个用于网络计算机管理的集成的产品家族，可以为各种系统平台提供管理。4、cisc

oworks2000网管方案ciscoworks2000是Cisco公司的网络维护产品系列，它将路由器和交换机管理功能与Web的最新技术结合在一起。总共包括四个解决方案：LAN管理方案、RoutedWAN管理方案、服务管理方案和VPN/安全方案9.5.3网络管理协议与网络管理

工具61本章小结计算机网络安全是研究在不安全的网络上进行安全通信的技术，也是网络通信的基本要求。计算机病毒的种类很多，但如果我们了解病毒的特征、病毒的传播、病毒的症状等，就能很好地预防与检测。计算机黑客是计算机网络安全技术中的热门话题之一。作为计算机

用户，发现黑客，制止黑客入侵是十分重要的问题。防火墙技术是当前计算机网络安全技术中另一个热门话题。防火墙是保证内部网络安全的一种手段。21