【正文】 的方式，能夠及時地將諸如網(wǎng)絡端口失效、丟包數(shù)量超過警戒閥值等緊急信息報告給SNMP網(wǎng)管工作站。SNMP網(wǎng)管工作站可以訪問多個設備的SNMP代理，接收來自多個代理的Trap。因此，從操作和控制的角度看，網(wǎng)管工作站“管理”著許多代理。同時，SNMP代理程序也能對多個網(wǎng)管工作站的輪詢請求作出響應，形成一種一對多的關系。3） 管理信息庫MIBMIB是一個信息存儲庫，安裝在網(wǎng)管工作站上。它存儲了從各個網(wǎng)絡設備的代理程序那里搜集的有關配置、性能和運行參數(shù)等數(shù)據(jù)，是網(wǎng)絡監(jiān)控與管理的基礎。MIB數(shù)據(jù)庫中存儲哪些參數(shù)以及數(shù)據(jù)庫結(jié)構(gòu)的定義在[RFC1212]、[RFC1213]這樣的文件中都有詳細的說明。其中[RFC1213]是1991年制訂的新的版本，增添了許多TCP/IP方面的參數(shù)。4） SNMP通訊協(xié)議SNMP通訊協(xié)議規(guī)定了網(wǎng)管工作站與設備中的SNMP代理程序之間的通訊格式，網(wǎng)管工作站與設備中的SNMP代理程序之間通過SNMP報文的形式來交換信息。SNMP協(xié)議的通訊分為：讀操作Get、寫操作Set、和報告操作Trap三種功能共五種報文。SNMP報文類型編號SNMP報文名稱用途0Getrequest網(wǎng)管工作站發(fā)出的論詢請求1Getnext request網(wǎng)管工作站發(fā)出的論詢請求2GetresponseSNMP代理程序向網(wǎng)管工作站傳送的配置參數(shù)和運行參數(shù)3Setrequest網(wǎng)管工作站向設備發(fā)出的設置命令4Trap設備中的SNMP代理程序向網(wǎng)管工作站報告緊急事件網(wǎng)管工作站在輪詢時，使用Getrequest和Getnext request報文請求SNMP代理程序報告設備的配置參數(shù)和運行參數(shù)，SNMP代理程序使用Getresponse包向網(wǎng)管工作站傳送這些參數(shù)。當出現(xiàn)緊急情況時，設備中的SNMP代理程序使用Trap包向網(wǎng)管工作站報告緊急事件。 圖 SNMP的5種通訊包SNMP協(xié)議使用周期性（如每10分鐘）的輪詢以維持對網(wǎng)絡的時實監(jiān)控，同時也使用Trap包來報告緊急事件，使SNMP協(xié)議成為一種有效的網(wǎng)絡管理協(xié)議。網(wǎng)絡設備中的代理程序為了識別真實的網(wǎng)管工作站，避免偽裝的或未授權的數(shù)據(jù)索取，使用了“共同體”的概念。從真實網(wǎng)管工作站發(fā)往代理的報文都必須包含共同體名，它起著口令的作用。只要SNMP請求報文的發(fā)送方知道口令，該報文就被認為是可信的。不過，這也并不是很安全的方式。所以，很多網(wǎng)絡管理員僅僅提供網(wǎng)絡監(jiān)視的功能（get和trap操作），屏蔽掉了網(wǎng)絡控制功能（set操作）。 當一個機構(gòu)將其內(nèi)部網(wǎng)絡與Internet連接之后，所關心的一個主要問題就是安全。內(nèi)部網(wǎng)絡上不斷增加的用戶需要訪問Internet服務，如WWW、電子郵件、Telnet和FTP服務器。當機構(gòu)的內(nèi)部數(shù)據(jù)和網(wǎng)絡設施暴露在Internet上的時候，網(wǎng)絡管理員越來越關心網(wǎng)絡的安全。事實上，對一個內(nèi)部網(wǎng)絡已經(jīng)連接到Internet上的機構(gòu)來說，重要的問題并不是網(wǎng)絡是否會受到攻擊，而是何時會受到攻擊。為了提供所需級別的保護，機構(gòu)需要有安全策略來防止非法用戶訪問內(nèi)部網(wǎng)絡上的資源和非法向外傳遞內(nèi)部信息。即使一個機構(gòu)沒有連接到Internet上，它也需要建立內(nèi)部的安全策略來管理用戶對部分網(wǎng)絡的訪問并對敏感或秘密數(shù)據(jù)提供保護。 什么是防火墻防火墻是這樣的系統(tǒng)，它能用來屏蔽、阻攔數(shù)據(jù)報，只允許授權的數(shù)據(jù)報通過，以保護網(wǎng)絡的安全性。網(wǎng)絡在防火墻上可以很方便的監(jiān)視網(wǎng)絡的安全性，并產(chǎn)生報警。防火墻負責管理外部網(wǎng)絡和機構(gòu)內(nèi)部網(wǎng)絡之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡上的每個節(jié)點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡的安全性要由每一個主機的堅固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。防火墻允許網(wǎng)絡管理員定義一個中心“扼制點”來防止非法用戶，如黑客、網(wǎng)絡破壞者等進入內(nèi)部網(wǎng)絡。禁止存在安全脆弱性的服務進出網(wǎng)絡，并抗擊來自各種路線的攻擊。防火墻的安裝能夠簡化安全管理，網(wǎng)絡安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡的所有主機上。網(wǎng)絡管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡管理員不能及時響應報警并審查常規(guī)記錄，防火墻就形同虛設。在這種情況下，網(wǎng)絡管理員永遠不會知道防火墻是否受到攻擊。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻必須只允許授權的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。通常，防火墻可以分為以下幾種類型：1） 包過濾防火墻這種防火墻是在路由器中建立一種稱為訪問控制列表的方法，讓路由器識別哪些數(shù)據(jù)報是允許穿越路由器的，哪些是需要阻截的。 圖 包過濾防火墻2） 代理服務器這種防火墻方案要求所有內(nèi)網(wǎng)的主機需要使用代理服務器與外網(wǎng)的主機通訊。代理服務器會象真墻一樣擋在內(nèi)部用戶和外部主機之間，從外部只能看見代理服務器，而看不到內(nèi)部主機。外界的滲透，要從代理服務器開始，因此增加了攻擊內(nèi)網(wǎng)主機的難度。3） 攻擊探測防火墻這種防火墻通過分析進入內(nèi)網(wǎng)數(shù)據(jù)報中報頭和報文中的攻擊特征來識別需要攔截的數(shù)據(jù)報，以對付SYN Flood、IP spoofing這樣的已知的網(wǎng)絡攻擊手段。攻擊探測防火墻可以安裝在代理服務器上，也可以做成獨立的設備，串接在與外網(wǎng)連接的鏈路，裝在邊界路由器的后面。包過濾防火墻的核心是稱作“訪問控制列表”的配置文件，由網(wǎng)絡管理員在路由器中建立。包過濾路由器根據(jù)“訪問控制列表”審查每個數(shù)據(jù)包的報頭，來決定該數(shù)據(jù)包是否要被拒絕還是被轉(zhuǎn)發(fā)。報頭信息中包括IP源地址、IP目標地址、協(xié)議類型（如TCP、UDP、ICMP等）、TCP端口號等。 圖 包過濾路由器防火墻的建立下面我們利用實例來介紹如何建立一個包過濾防火墻。，我們?nèi)绻枰獙崿F(xiàn)：。我們可以用下面的命令來建立一個訪問控制列表：(config) accesslist 101 deny ip any (config) accesslist 101 permit ip (config) accesslist 101 deny ip any any(config) interface e1(configif) ip accessgroup 101 (configif) exit (config)上面六條命令，前三個命令建立了一個編號為101的訪問控制列表。第四個命令進入到路由器的e1端口，并在第五個命令時把第101號訪問控制列表捆綁到e1端口。前三個命令所建立的訪問控制列表中創(chuàng)建了三條語句。其語法格式為：“accesslist”：創(chuàng)建訪問控制列表語句的命令“deny”： 表示拒絕滿足后面條件的數(shù)據(jù)報“IP”： 表示本語句針對IP數(shù)據(jù)報“any”： 源主機。Any表示所有源主機“”：目標主機“”： ，條件才算成立。其語法格式為：“accesslist”：創(chuàng)建訪問控制列表語句的命令“permit”： 表示允許滿足后面條件的數(shù)據(jù)報通過“IP”： 表示本語句針對IP數(shù)據(jù)報“”：源主機?！啊保?，條件才算成立。最低的字節(jié)不需要考慮?！啊保耗繕酥鳈C“”：，條件才算成立?！?55”表示最低的字節(jié)不需要考慮。通過上面的例子我們可以看出，包過濾路由器對所接收的每個數(shù)據(jù)包做允許拒絕的決定。路由器審查每個數(shù)據(jù)報以便確定其是否與某一條訪問控制列表中的包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過程的包頭信息。包頭信息中包括IP源地址、IP目標地址、TCP/UDP目標端口、ICMP消息類型。包的進入接口和出接口,如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。如果沒有找到與訪問控制列表中某條語句的條件匹配，這個數(shù)據(jù)包也會被丟棄。包過濾路由器的優(yōu)點：已部署的防火墻系統(tǒng)多數(shù)只使用了包過濾器路由器。除了花費時間去規(guī)劃過濾器和配置路由器之外，因為訪問控制列表的功能在標準的路由器軟件中已經(jīng)免費，實現(xiàn)包過濾幾乎不需要額外的費用。由于Internet訪問一般都是在WAN接口上提供，因此在流量適中并定義較少過濾器時對路由器的速度性能幾乎沒有影響。另外，包過濾路由器對用戶和應用來講是透明的，所以不必對用戶進行特殊的培訓和在每臺主機上安裝特定的軟件。 包過濾路由器的缺點：定義數(shù)據(jù)包過濾器會比較復雜，因為網(wǎng)絡管理員需要對各種Internet服務、包頭格式、以及每個域的意義有非常深入的理解。如果必須支持非常復雜的過濾，過濾規(guī)則集合會非常的大和復雜，因而難于管理和理解。另外，在路由器上進行規(guī)則配置之后，幾乎沒有什么工具可以用來審核過濾規(guī)則的正確性，因此會成為一個脆弱點。任何直接經(jīng)過路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅(qū)動式攻擊的潛在危險。我們已經(jīng)知道數(shù)據(jù)驅(qū)動式攻擊從表面上來看是由路由器轉(zhuǎn)發(fā)到內(nèi)部主機上沒有害處的數(shù)據(jù)。該數(shù)據(jù)包括了一些隱藏的指令，能夠讓主機修改訪問控制和與安全有關的文件，使得入侵者能夠獲得對系統(tǒng)的訪問權。一般來說，隨著過濾器數(shù)目的增加，路由器的吞吐量會下降?？梢詫β酚善鬟M行這樣的優(yōu)化抽取每個數(shù)據(jù)包的目的IP地址，進行簡單的路由表查詢，然后將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的接口上去傳輸。如果打開過濾功能，路由器不僅必須對每個數(shù)據(jù)包作出轉(zhuǎn)發(fā)決定，還必須將所有的過濾器規(guī)則施用給每個數(shù)據(jù)包。這樣就消耗了CPU時間并影響系統(tǒng)的性能。IP包過濾器可能無法對網(wǎng)絡上流動的信息提供全面的控制。包過濾路由器能夠允許或拒絕特定的服務，但是不能理解特定服務的上下文環(huán)境/數(shù)據(jù)。例如，網(wǎng)絡管理員可能需要在應用層過濾信息以便將訪問限制在可用的FTP或Telnet命令的子集之內(nèi)，或者阻塞郵件的進入及特定話題的新聞進入。這種控制最好在高層由代理服務和應用層網(wǎng)關來完成。
 網(wǎng)絡地址轉(zhuǎn)換 圖 在邊界路由器上加裝地址轉(zhuǎn)換，如果在邊界路由器上加裝地址轉(zhuǎn)換程序NAT(Network Address Translation)，每當在內(nèi)部網(wǎng)絡的主機需要連接外網(wǎng)時，NAT就會隱藏其源IP地址，并動態(tài)分配一個外部IP地址來取代。這樣，外部用戶就無法得知你的內(nèi)部網(wǎng)絡的地址，這個轉(zhuǎn)換內(nèi)部網(wǎng)絡IP地址的動作就叫做網(wǎng)絡地址轉(zhuǎn)換NAT。，數(shù)據(jù)報在流經(jīng)路由器時。，。從外網(wǎng)來的數(shù)據(jù)報，路由器中的NAT程序通過查NAT表，再發(fā)送到內(nèi)網(wǎng)里來。 NAT表。可見，地址轉(zhuǎn)換NAT技術的使用，也為網(wǎng)絡提供了一種安全手段。地址轉(zhuǎn)換NAT技術不僅為網(wǎng)絡提供了一種安全機制，也常用于沒有足夠的公開IP地址。例如一個單位只申請到100個公開IP地址，可是內(nèi)網(wǎng)中有1000臺主機需要連接到互聯(lián)網(wǎng)。使用NAT技術，就可以在內(nèi)網(wǎng)中使用內(nèi)部IP地址。當數(shù)據(jù)報需要流出內(nèi)網(wǎng)時，由NAT負責將源IP地址更換為互聯(lián)網(wǎng)中合法的公開IP地址。當連接結(jié)束后，公開IP地址將被NAT程序收回，以備其它主機在與互聯(lián)網(wǎng)通訊時使用。NAT程序的工作，需要在路由器上為其配置一定的公開IP地址。當公開IP地址被全部占用的時候，無法分到公開IP地址的數(shù)據(jù)報將被終止傳輸。一種稱為端口地址轉(zhuǎn)換PAT(Port Address Translation)的技術可以使有限的公開IP地址，為更多的內(nèi)網(wǎng)主機同時提供與外網(wǎng)的通訊支持。極限的情況，可以用一個公開IP地址為數(shù)百臺內(nèi)網(wǎng)主機提供支持。 PAT地址轉(zhuǎn)換。內(nèi)網(wǎng)的主機只能以這一個地址連接互聯(lián)網(wǎng)。，但是PAT能夠很好地用端口號來判斷是哪一個主機的報文包。寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。是狼就要練好牙，是羊就要練好腿。什么是奮斗？奮斗就是每天很難，可一年一年卻越來越容易。不奮斗就是每天都很容易，可一年一年越來越難。能干的人，不在情緒上計較，只在做事上認真；無能的人！不在做事上認真，只在情緒上計較。拼一個春夏秋冬！贏一個無悔人生！早安！—————獻給所有努力的人. 學習好