【正文】 ?子網(wǎng)過濾防火墻 網(wǎng)絡(luò)管理基本知識(shí) 上一個(gè) 章首 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展特點(diǎn)是：網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大 ， 復(fù)雜性不斷增加 ， 網(wǎng)絡(luò)的異構(gòu)性越來越高 。 通常我們所討論的網(wǎng)絡(luò)管理主要是指計(jì)算機(jī)網(wǎng)絡(luò)管理 ， 但廣義而言 ， 它還包括電信網(wǎng)絡(luò)管理 。 網(wǎng)絡(luò)管理的基本功能 網(wǎng)絡(luò)的 “ 運(yùn)行 ” 包括網(wǎng)絡(luò)的記費(fèi)和通信量管理；“ 處理 ” 包括收集和分析設(shè)備利用率 、 通信量等數(shù)據(jù) ，并作出相應(yīng)控制優(yōu)化網(wǎng)絡(luò)資源的使用效率； “ 維護(hù) ” 包括報(bào)警和性能監(jiān)控 、 測試及故障修復(fù)等； “ 服務(wù)提供 ”包括向用戶提供新業(yè)務(wù)和通過增加網(wǎng)絡(luò)設(shè)備和設(shè)施來提高網(wǎng)絡(luò)性能 。在系統(tǒng)管理中， OSI提出了計(jì)算機(jī)網(wǎng)絡(luò)管理的五個(gè)基本功能域（ FCAPS） . 網(wǎng)絡(luò)管理的基本功能 （ 1）性能管理 （ 2）故障管理 （ 3）配置管理 （ 4）記帳管理 （ 5）安全管理 （ 1）性能管理 自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置的變化，實(shí)時(shí)監(jiān)測設(shè)備狀態(tài)進(jìn)行網(wǎng)絡(luò)及相關(guān)設(shè)備的性能統(tǒng)計(jì)，包括網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的可用率、網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的 CPU利用率、網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的故障率、中繼線路流量統(tǒng)計(jì)、網(wǎng)絡(luò)上各種業(yè)務(wù)量的統(tǒng)計(jì)、網(wǎng)絡(luò)時(shí)延統(tǒng)計(jì)等。 （ 5）安全管理 保護(hù)網(wǎng)絡(luò)資源與設(shè)備不被非法訪問 ，以及對加密機(jī)構(gòu)中的密鑰進(jìn)行管理 。 網(wǎng)絡(luò)管理系統(tǒng) ： 網(wǎng)絡(luò)管理模型是從管理什么、由誰管理和如何管理等不同的側(cè)面或觀點(diǎn)來考察整個(gè)系統(tǒng)，而對原始系統(tǒng)的不同角度的抽象。 通常管理進(jìn)程可扮演三種角色：管理者 (Manager)、 代理 (Agent)和委托代理 (Proxy Agent)。 網(wǎng)管系統(tǒng)工作原理 在管理者和代理之間可存在一對多的關(guān)系 ， 即某一管理者可與若干個(gè)代理交換；反之 ， 某一代理也可與若干個(gè)管理者交換信息進(jìn)行信息 。 是網(wǎng)元之間交換管理信息的規(guī)則 。 每一個(gè)對象或表項(xiàng)都有以下四個(gè)屬性： 1） 對象類型 （ Object Type） 2） 語法 （ Syntax） 3） 存取 （ Access） 4） 狀態(tài) （ Status） 網(wǎng)絡(luò)管理 協(xié)議 上一個(gè) 章首 MIB以樹型結(jié)構(gòu)描述 ， 每一個(gè)數(shù)據(jù)項(xiàng)就是樹型結(jié)構(gòu)的葉子 ， 對象標(biāo)識(shí)符唯一地標(biāo)識(shí)樹型結(jié)構(gòu)中的一個(gè) MIB對象 。 由于集成化網(wǎng)管平臺(tái)可提供面向?qū)ο蟮臉?biāo)準(zhǔn)應(yīng)用編程接口 (API)， 因此網(wǎng)絡(luò)設(shè)備廠商和用戶可以利用 API接口開發(fā)自己的網(wǎng)管應(yīng)用軟件 。 在建設(shè) SNMP網(wǎng)管系統(tǒng)中主要存在如下問題需要考慮： 1． 網(wǎng)絡(luò)管理系統(tǒng)的規(guī)模 .網(wǎng)管系統(tǒng)的規(guī)模遵循公式：N≦T/D 其中： N為代理數(shù) ， 它代表了網(wǎng)絡(luò)及網(wǎng)絡(luò)管理系統(tǒng)的規(guī)模； T為輪詢周期 ， 即對同一個(gè)代理的期望輪詢間隔 ， 它在一定程度上決定了網(wǎng)絡(luò)管理系統(tǒng)的性能； D為執(zhí)行一個(gè)完整的操作所需的平均時(shí)間 。 ? 集中式管理，它建立一個(gè)管理整個(gè)網(wǎng)絡(luò)的集中系統(tǒng)，負(fù)責(zé)全網(wǎng)的主機(jī)系統(tǒng)的管理、網(wǎng)絡(luò)設(shè)備管理及網(wǎng)絡(luò)應(yīng)用的管理。輪詢可以是自動(dòng)的或由用戶發(fā)起。 SNMP屬于網(wǎng)絡(luò)管理平臺(tái)，它為網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)和被管的網(wǎng)絡(luò)設(shè)備之間的交互提供了標(biāo)準(zhǔn)的界面。設(shè)備與服務(wù)器有兩種通信方式：輪詢及中斷。 Intra用戶可以在任何一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)或是網(wǎng)絡(luò)平臺(tái)上使用友好的、易操作的 Web瀏覽器與服務(wù)器通信。 2) 針對服務(wù)的管理 。 網(wǎng)絡(luò)管理發(fā)展前景 1) End to End(端到端 )的管理 。一般Intra都運(yùn)行于 TCP/IP協(xié)議之上并且由防火墻將其與外部 Inter隔離。 3） 簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)：受管理的對象與服務(wù)器間的通信方法。 管理應(yīng)用軟件 配置管理 性能管理 安全管理 故障管理 計(jì)費(fèi)管理 公共管理信息服務(wù) CMIS 對象管理 日志管理 關(guān)系管理 狀態(tài)管理 告警管理 測試管理 安全告警 事件管理 追蹤管理 總結(jié)功能 負(fù)載監(jiān)測 計(jì)費(fèi)管理 系 統(tǒng) 管 理 功 能 系統(tǒng)管理功能域 底層協(xié)議支持 計(jì)算機(jī)網(wǎng)絡(luò)管理的體系結(jié)構(gòu) 上一個(gè) 章首 Inter網(wǎng)管結(jié)構(gòu)就是基于 SNMP的結(jié)構(gòu)。 計(jì)算機(jī)網(wǎng)絡(luò)管理的體系結(jié)構(gòu) 上一個(gè) 章首 網(wǎng)絡(luò)管理協(xié)議 網(wǎng)絡(luò) 管理數(shù)據(jù) 管理數(shù)據(jù) 被管設(shè)備 代理 代理 被管設(shè)備 被管設(shè)備 網(wǎng)絡(luò)管理系統(tǒng)（ NMS 管理實(shí)體 Proxies agent 代理 管理數(shù)據(jù) 計(jì)算機(jī)網(wǎng)絡(luò)管理的體系結(jié)構(gòu) 被管設(shè)備可以是計(jì)算機(jī)系統(tǒng)或其它網(wǎng)絡(luò)設(shè)備，它們所運(yùn)行的軟件能夠識(shí)別設(shè)備的問題，及問題所在的位置及原因，并發(fā)出相應(yīng)的告警信息。通信子網(wǎng)是資源子網(wǎng)的基礎(chǔ)，屬于基礎(chǔ)設(shè)施，通信子網(wǎng)的管理則由提供通信子網(wǎng)設(shè)施的公共部門負(fù)責(zé)。 基于 CMIP的網(wǎng)絡(luò)管理系統(tǒng)由 ISO提出并被 ITUT的TMN所采用 ， 它的主要標(biāo)準(zhǔn)由 ISO9595/9596及 ITUT ， 其特點(diǎn)為面向?qū)ο?、 分布控制 、協(xié)議復(fù)雜和支持較少 。 網(wǎng)管系統(tǒng)的集成方法主要有層次化集成和集成化網(wǎng)管平臺(tái)兩種 。 如對一個(gè)路由器來說 ， MIB庫可能包含關(guān)于路由選擇表 、 接收包和發(fā)送包的總數(shù)等信息；而對于一個(gè)交換機(jī)來說 ， MIB庫可能包含關(guān)于轉(zhuǎn)發(fā)包的數(shù)目和過濾表等信息 。 ? 第四 ， 要了解廠家的支持及服務(wù) ， 包括廠家是否有很好的技術(shù)培訓(xùn)及售后服務(wù) ， 其合作伙伴是否能有效地提供服務(wù) ， 在當(dāng)?shù)厥欠裼腥藛T來支持等等 。 也就是說 ， 每次網(wǎng)管活動(dòng)都是通過網(wǎng)管請求的發(fā)起者 (網(wǎng)管中心的管理者進(jìn)程 )和網(wǎng)管請求的接收者 (代理系統(tǒng)中的代理進(jìn)程 )之間的交互式會(huì)話實(shí)現(xiàn)的 。 MIB(Management Information Base)， MIB僅是一個(gè)概念上的數(shù)據(jù)庫，實(shí)際中并不存在這樣一個(gè)數(shù)據(jù)庫。 ? 帶外網(wǎng)管是指通過專門的網(wǎng)管通道實(shí)現(xiàn)對網(wǎng)絡(luò)的管理，將網(wǎng)管數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分開，為網(wǎng)管數(shù)據(jù)建立獨(dú)立的通道。 以及通過插入 、 修改和刪除操作來修改網(wǎng)絡(luò)資源的配置 (重構(gòu)網(wǎng)絡(luò)資源 )等 。 ISO將網(wǎng)絡(luò)管理分為系統(tǒng)管理、層管理和層操作三個(gè)層次。 有時(shí)也狹義地只考慮前三項(xiàng) ， 即把網(wǎng)絡(luò)管理的功能歸結(jié)為 OAM。 網(wǎng)絡(luò)管理基本知識(shí) 到底什么叫網(wǎng)絡(luò)管理 ， 目前還沒有嚴(yán)格統(tǒng)一的定義 。 ? 應(yīng)用層防火墻：控制對應(yīng)用程序的訪問，即允許訪問某些應(yīng)用程序而阻止訪問其他應(yīng)用程序，辦法是安裝代理軟件。 例如 ， 如果站點(diǎn)允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問 ， 那么防火墻絕對沒有辦法阻止入侵者進(jìn)行撥號(hào)入侵 。 Finger能列出當(dāng)前用戶 ， 上次登錄時(shí)間 ， 以及是否讀過郵件等 。 可以防護(hù)基于路由選擇的攻擊 ， 如源路由選擇和企圖通過 ICMP改向把發(fā)送路徑轉(zhuǎn)向遭致?lián)p害的網(wǎng)點(diǎn) 。 一、防火墻的用途 1） 作為 “ 扼制點(diǎn) ” ， 限制信息的進(jìn)入或離開； 2） 防止侵入者接近并破壞你的內(nèi)部設(shè)施； 3） 監(jiān)視 、 記錄 、 審查重要的業(yè)務(wù)流； 4） 實(shí)施網(wǎng)絡(luò)地址轉(zhuǎn)換 ， 緩解地址短缺矛盾 。 6. 系統(tǒng)中只保存口令的加密形式 口令猜測與防止 （ OTP： One Time Password） 在登錄過程中加入不確定因素 ， 使每次登錄過程中傳送的信息都不相同 ， 以對付重放攻擊 。 ? 增加可能口令的數(shù)目 ， 即提高口令的字符個(gè)數(shù) 。 如果用戶的密碼較短 ，很容易被窮舉出來 ， 因而很多系統(tǒng)都建議用戶使用長口令 。 口令攻擊的種類 計(jì)算資源依靠口令的方式來保護(hù)是很脆弱的 1） 網(wǎng)絡(luò)數(shù)據(jù)流竊聽 由于認(rèn)證信息要通過網(wǎng)絡(luò)傳遞 ， 并且很多認(rèn)證系統(tǒng)的口令是未經(jīng)加密的明文 ， 攻擊者通過竊聽網(wǎng)絡(luò)數(shù)據(jù) ， 就很容易分辨出某種特定系統(tǒng)的認(rèn)證數(shù)據(jù) ， 并提取出用戶名和口令 。 (4)使用常用的英文單詞作為口令 。 2) 大小寫字母混合 。 ? 一是只有該主體了解的秘密，如口令、密鑰； ? 二是主體攜帶的物品，如智能卡； ? 三是只有該主體具有的獨(dú)一無二的特征或能力，如指紋、聲音、視網(wǎng)膜血管分布圖或簽字等。 身份認(rèn)證 1 身份認(rèn)證基本原理 身份認(rèn)證是對網(wǎng)絡(luò)中的主體進(jìn)行驗(yàn)證的過程，用戶必須提供他是誰的證明。 收方有一個(gè)同樣的亂碼本 ， 并依次使用亂碼本上的每個(gè)密鑰去解密密文的每個(gè)字符 ， 然后銷毀亂碼本中用過的一頁 。 在 m1和 m2之間加一個(gè)無效字母 。 每一對明文字母 m1和 m2， 都根據(jù)下面的 6條規(guī)則進(jìn)行加密 。 （ 3）多字母組代替密碼：字符塊被成組加密，例如 “ ABA”可能對應(yīng) “ RTQ”， ABB可能對應(yīng) “ SLL”等。 4 傳統(tǒng)密碼學(xué) 換位加密是將明文字母互相換位 ， 明文的字母保持相同 ，但順序被打亂了 。 1）對稱算法 ? 序列密碼一直是作為軍事和外交場合使用的主要密碼技術(shù)之一 ， 通過有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)序列 ， 使用該序列加密信息流 ， 逐比特加密得到密文序列 ， 所以 ， 序列密碼算法的安全強(qiáng)度完全決定于它所產(chǎn)生的偽隨機(jī)序列的好壞 。 密碼系統(tǒng)由加密算法 、 解密算法 、 明文空間 、 密文空間和密鑰組成 。用某種方法偽裝消息以隱藏它的內(nèi)容的過程稱為加密，加了密的消息稱為密文，而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密。 包括標(biāo)準(zhǔn) 、 備忘錄和組織內(nèi)部的電話記錄本等 。 確保信息的完整性 、 保密性 ， 可用性和可控性 。 物理安全 （ 環(huán)境 、 設(shè)備 、 媒體 ） 防雷電；門禁系統(tǒng) ， 防盜 、 防火 、 防有害氣體；防電磁泄漏 。 3. 網(wǎng)絡(luò)安全的基本要素 此外信息系統(tǒng)還應(yīng)提供 認(rèn)證 、 訪問控制 、 抗抵賴 安全服務(wù) 。 可用性：得到授權(quán)的實(shí)體可獲得服務(wù) ， 攻擊者不能占用所有的資源而阻礙授權(quán)者的工作 。 據(jù)權(quán)威資料片 《 筑起網(wǎng)上長城 》 介紹 ， 互聯(lián)網(wǎng)上的計(jì)算機(jī)犯罪 、 黑客攻擊等非法行為７０ ％ 來自于內(nèi)部網(wǎng)絡(luò) 。 間接攻擊是依據(jù)一種或多種統(tǒng)計(jì)值推斷出結(jié)果 。 操作系統(tǒng)存在隱蔽信道：進(jìn)程間通過不受強(qiáng)制訪問控制保護(hù)的通信途徑 。 安全隱患 b)操作系統(tǒng)安全隱患 計(jì)算機(jī)操作系統(tǒng)歷來被美國一些大公司所壟斷 ， 但這些操作系統(tǒng)的源程序都是不公開的 ，在安全機(jī)制方面存在著諸多漏洞和隱患 。 駭客（ cracker）：以破壞系統(tǒng)為目標(biāo)。脆弱性是指系統(tǒng)的任何弱點(diǎn)。 安全隱患 a) 硬件 的安全隱患； b) 操作系統(tǒng)安全隱患； c) 網(wǎng)絡(luò)協(xié)議的安全隱患； d) 數(shù)據(jù)庫系統(tǒng)安全隱患； e) 計(jì)算機(jī)病毒； f) 管理疏漏 ， 內(nèi)部作案 。 安全隱患 b)操作系統(tǒng)安全隱患 —— OS的體系結(jié)構(gòu)造成其本身不安全 I/O、 系統(tǒng)服務(wù)程序等都可用打補(bǔ)丁方式進(jìn)行動(dòng)態(tài)連接 。Inter應(yīng)用協(xié)議中缺乏認(rèn)證 、 保密等措施 ， 也使攻擊者比較容易得手 。 病毒運(yùn)行后可能損壞文件 、 使系統(tǒng)癱瘓 ， 造成各種難以預(yù)料的后果 。 機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程 。 防中斷 3. 網(wǎng)絡(luò)安全的基本要素 可控性 ： 可控性主要指對危害國家信息 （ 包括利用加密的非法通信活動(dòng) ） 的監(jiān)視審計(jì) 。（ 是否有權(quán)使用該資源 ） 抗抵賴：這種服務(wù)可取二種形式 。 計(jì)算機(jī)信息系統(tǒng)常見的風(fēng)險(xiǎn)有：設(shè)計(jì)者有意建立或因偶然故障而存在