【正文】 置 ,大大增加了系統管理的復雜性 . 監(jiān)測型 監(jiān)測型防火墻是新一代的產品 ,這一技術實際已經超越了最初的防火墻定義 .監(jiān)測型防火墻能夠對各層 的數據進行主動的 ,實時的監(jiān)測 ,在對這些數據加以分析的基礎上 ,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入 .同時 ,這種檢測型防火墻產品一般還帶有分布式探測器 ,這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中 ,不僅能夠檢測來自網絡外部的攻擊 ,同時對來自內部的惡意破壞也有極強的防范作用 .據權威機構統計 ,在針對網絡系統的攻擊中 ,有相當比例的攻擊來自網絡內部 .因此 ,監(jiān)測型防火墻不僅超越了傳統防火墻的定義 ,而且在安全性上也超越了前兩代產品 雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻 ,但由于監(jiān)測 型防火墻技術的實現成本較高 ,也不易管理 ,所以目前在實用中的防火墻產品仍然以第二代代理型產品為主 ,但在某些方面也已經開始使用監(jiān)測型防火墻 .基于對系統成本與安全技術成本的綜合考慮 ,用戶可以選擇性地使用某些監(jiān)測型技術 .這樣既能夠保證網絡系統的安全性需求 ,同時也能有效地控制安全系統的總擁有成本 . 實際上 ,作為當前防火墻產品的主流趨勢 ,大多數代理服務器 (也稱應用網關 )也集成了包過濾技術 ,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢 .由于這種產品是基于應用的 ,應用網關能提供對協議的過濾 .例如 ,它可以過濾掉FTP 連接中的 PUT 命令 ,而且通過代理應用 ,應用網關能夠有效地避免內部網絡的信息外泄 .正是由于應用網關的這些特點 ,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上 防火墻體系結構 篩選路由式體系結構 SHAPE \* MERGEFORMAT 屏蔽子網式結構 雙網主機式體系結構 SHAPE \* MERGEFORMAT 屏蔽主機式體系結構 入侵檢測系統 1 概念 當前，平均每 20 秒就發(fā)生一次入侵計算機網絡的事件，超過 1/3 的互聯網防火墻被攻破！面對接 2 連 3 的安全問題，人們不禁要問：到底是安全問題本身太復雜，以至于不可能被徹底解決，還的仍然可以有更大的改善，只不過我們所采取的安全措施中缺少了某些重要的環(huán)節(jié)。 第一章 網絡安全技術 概述 網絡安全技術是指致力于解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理的安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，以及其他的安全服務和安全機制策略。 隨著計算機的廣泛應用和網絡的日趨流行，功能獨立的多個計算機系統互聯起來，互聯形成日漸龐大的網絡系統。網絡管理就是指監(jiān)督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。就網絡中常見故障進行分類，并對各種常見網絡故障提出相應的解決方法。 網絡管理與維護（一） 論文關鍵詞：計算機網絡 安全策略 網絡故障 維護網絡 解決辦法 論文摘要：網絡攻擊行為已經蔓延的越來越廣，網絡的安全問題日趨嚴重。宗上所述，網絡管理就尤為重要，隨看計算機網絡規(guī)模的擴大和復雜性的增加，網絡管理在計算機網絡系統中的地位越來越重要。其目標是確保計算機網絡的持續(xù)正常運行，并在計算機網絡運行出現異常時能及時響應和排除故障。計算機網絡系統的穩(wěn)定運轉已與功能完善的網絡軟件密不可分。 21 世紀全世界的計算機都將通過 Inter 聯到一起 ,信息安全的內涵也就發(fā)生了根本的變化 .它不僅從一般性的防衛(wèi)變成了一種非常普通的防范 ,而且還從一種專門的領域變成了 無處不在 .當人類步入 21 世紀這一信息社會 ,網絡社會的時候 ,我國將建立起一套完整的網絡安全體系 ,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系 . 一個國家的信息安全體系實際上包括國家的法規(guī)和政策 ,以及技術與市場的發(fā)展平臺 .我國在構建信息防衛(wèi)系統時 ,應著力發(fā)展自己獨特的安全產品 ,我國要想真正解決網絡安全問題 ,最終的辦法就是通過發(fā)展民族的安全產業(yè) ,帶動我國網絡安全技術的整體提高 . 網絡安全產品有以下幾大特點 :第一 ,網絡安全來源于安全策略與技術的多樣化 ,如果采用一種統一的技術和策略也就不安全了 。有關數據表明，后一種解釋更說明問題。 入侵檢測系統（ Intrusion detection system,簡稱 IDS）是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制你的系統或者網絡資源的行為的系統。它從計算機網絡系統中的若干個關鍵點收集信息，并分析這些信息，檢測網絡中是否有違反安全策略的行為和遭到襲擊的跡象。發(fā)現可疑情況，立即通知有關人員。門鎖可以防止小偷進入大樓，但不能保證小偷 100%地被拒之門外，更不能防止大樓內部個別人員的不良企圖。 簽名分析法 名分析法主要用來檢測有無對系統的已知弱點進行的攻擊行為。 統計分析法 統計分析法是以系統正常使用情況下觀察到的動作為基礎，如果某個操作偏離了正常的軌道，此操作就值得懷疑。 3 侵檢測系統的分類： 現有的 IDS 的分類，大都基于信息源和分析方法。在集中式 IDS 中，一個中央節(jié)點控制系統中所有的監(jiān)視、檢測和報告。按照同步技中，信息源是以文件的形式傳給分析器，一次只處理特定時間段內產生的信息，并在入侵發(fā)生時將結果反饋給用戶。 按照信息源分類 按照信息源分類是目前最通用的劃分方法，它分為基于主機的 IDS、基于網絡的 IDS 和分布式 IDS。 按照分析方法分類 按照分析方法 IDS 劃分為濫用檢測型 IDS 和異常檢測型 IDS。所以它需要一個記錄合法活動的數據庫，由于庫的有限性使得虛警率比較高。 4 IDS 的評價標準 目前的入侵檢測技術發(fā)展迅速，應用的技術也很廣泛，如何來評價 IDS 的優(yōu)缺點 就顯得非常重要。IDS 的性能是指處理審計事件的速度。（ 4）故障容 錯（ fault tolerance）。因為多數對目標系統的攻擊都是采用首先用 “ 拒絕服務 ” 攻擊摧毀 IDS，再實施對系統的攻擊。 5 IDS 的發(fā)展趨 隨著入侵檢測技術的發(fā)展，成型的產品已陸續(xù)應用到實踐中。 人們在完善原有技術的基礎上，又在研究新的檢測方法，如數據融合技術，主動的自主代理方法，智能技術以及免疫學原理的應用等。 （ 2）寬帶高速網絡的實時入侵檢測技術。首先，目前的技術還不能對付訓練有素的黑客的復雜的攻擊。 （ 4）與網絡安全技術相結合。網絡管理就是指監(jiān)督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目的很明確，就是使網絡中的資源得到更加有效的利用。通常對一個網絡管理系統需要定義以下內容： ○ 系統的功能。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。網絡管理信息應如何表示、怎樣傳遞、傳送的協議是什么 ?這都是一個網絡管理系統必須考慮的問題。當前，網絡管理技術主要有以下三種：誕生于 Internte 家族的SNMP 是專門用于對 Inter 進行管理的，雖然它有簡單適用等特點，已成為當前網絡界的實際標準，但由于 Inter 本身發(fā)展的不規(guī)范性，使 SNMP 有先天性的不足，難以用于復雜的網絡管理，只適用于 TCP/IP 網絡，在安全方面也有欠缺。 網絡管理系統通常由管理者 (Manager)和代理 ( Agent)組成，管理者從各代理那兒采集管理信息，進行加工處理，從而提供相應的網絡管理功能，達到對代理管理之目的。SNMP 的特點主要是采用輪詢監(jiān)控，管理者按一定時間間隔向代理者請求管理信息，根據管理信息判斷是否有異常事件發(fā)生。 CMIP 的特點是采用委托監(jiān)控，當對網絡進行監(jiān)控時，管理者只需向代理發(fā)出一個監(jiān)控請求，代理會自動監(jiān)視指定的管理對象，并且只是在異常事件 (如設備、線路故障 )發(fā)生時才向管理者發(fā)出告警，