【正文】 的方式，能夠及時(shí)地將諸如網(wǎng)絡(luò)端口失效、丟包數(shù)量超過(guò)警戒閥值等緊急信息報(bào)告給SNMP網(wǎng)管工作站。SNMP網(wǎng)管工作站可以訪問(wèn)多個(gè)設(shè)備的SNMP代理，接收來(lái)自多個(gè)代理的Trap。因此，從操作和控制的角度看，網(wǎng)管工作站“管理”著許多代理。同時(shí)，SNMP代理程序也能對(duì)多個(gè)網(wǎng)管工作站的輪詢請(qǐng)求作出響應(yīng)，形成一種一對(duì)多的關(guān)系。3） 管理信息庫(kù)MIBMIB是一個(gè)信息存儲(chǔ)庫(kù)，安裝在網(wǎng)管工作站上。它存儲(chǔ)了從各個(gè)網(wǎng)絡(luò)設(shè)備的代理程序那里搜集的有關(guān)配置、性能和運(yùn)行參數(shù)等數(shù)據(jù)，是網(wǎng)絡(luò)監(jiān)控與管理的基礎(chǔ)。MIB數(shù)據(jù)庫(kù)中存儲(chǔ)哪些參數(shù)以及數(shù)據(jù)庫(kù)結(jié)構(gòu)的定義在[RFC1212]、[RFC1213]這樣的文件中都有詳細(xì)的說(shuō)明。其中[RFC1213]是1991年制訂的新的版本，增添了許多TCP/IP方面的參數(shù)。4） SNMP通訊協(xié)議SNMP通訊協(xié)議規(guī)定了網(wǎng)管工作站與設(shè)備中的SNMP代理程序之間的通訊格式，網(wǎng)管工作站與設(shè)備中的SNMP代理程序之間通過(guò)SNMP報(bào)文的形式來(lái)交換信息。SNMP協(xié)議的通訊分為：讀操作Get、寫操作Set、和報(bào)告操作Trap三種功能共五種報(bào)文。SNMP報(bào)文類型編號(hào)SNMP報(bào)文名稱用途0Getrequest網(wǎng)管工作站發(fā)出的論詢請(qǐng)求1Getnext request網(wǎng)管工作站發(fā)出的論詢請(qǐng)求2GetresponseSNMP代理程序向網(wǎng)管工作站傳送的配置參數(shù)和運(yùn)行參數(shù)3Setrequest網(wǎng)管工作站向設(shè)備發(fā)出的設(shè)置命令4Trap設(shè)備中的SNMP代理程序向網(wǎng)管工作站報(bào)告緊急事件網(wǎng)管工作站在輪詢時(shí)，使用Getrequest和Getnext request報(bào)文請(qǐng)求SNMP代理程序報(bào)告設(shè)備的配置參數(shù)和運(yùn)行參數(shù)，SNMP代理程序使用Getresponse包向網(wǎng)管工作站傳送這些參數(shù)。當(dāng)出現(xiàn)緊急情況時(shí)，設(shè)備中的SNMP代理程序使用Trap包向網(wǎng)管工作站報(bào)告緊急事件。 圖 SNMP的5種通訊包SNMP協(xié)議使用周期性（如每10分鐘）的輪詢以維持對(duì)網(wǎng)絡(luò)的時(shí)實(shí)監(jiān)控，同時(shí)也使用Trap包來(lái)報(bào)告緊急事件，使SNMP協(xié)議成為一種有效的網(wǎng)絡(luò)管理協(xié)議。網(wǎng)絡(luò)設(shè)備中的代理程序?yàn)榱俗R(shí)別真實(shí)的網(wǎng)管工作站，避免偽裝的或未授權(quán)的數(shù)據(jù)索取，使用了“共同體”的概念。從真實(shí)網(wǎng)管工作站發(fā)往代理的報(bào)文都必須包含共同體名，它起著口令的作用。只要SNMP請(qǐng)求報(bào)文的發(fā)送方知道口令，該報(bào)文就被認(rèn)為是可信的。不過(guò)，這也并不是很安全的方式。所以，很多網(wǎng)絡(luò)管理員僅僅提供網(wǎng)絡(luò)監(jiān)視的功能（get和trap操作），屏蔽掉了網(wǎng)絡(luò)控制功能（set操作）。 當(dāng)一個(gè)機(jī)構(gòu)將其內(nèi)部網(wǎng)絡(luò)與Internet連接之后，所關(guān)心的一個(gè)主要問(wèn)題就是安全。內(nèi)部網(wǎng)絡(luò)上不斷增加的用戶需要訪問(wèn)Internet服務(wù)，如WWW、電子郵件、Telnet和FTP服務(wù)器。當(dāng)機(jī)構(gòu)的內(nèi)部數(shù)據(jù)和網(wǎng)絡(luò)設(shè)施暴露在Internet上的時(shí)候，網(wǎng)絡(luò)管理員越來(lái)越關(guān)心網(wǎng)絡(luò)的安全。事實(shí)上，對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到Internet上的機(jī)構(gòu)來(lái)說(shuō)，重要的問(wèn)題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)會(huì)受到攻擊。為了提供所需級(jí)別的保護(hù)，機(jī)構(gòu)需要有安全策略來(lái)防止非法用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息。即使一個(gè)機(jī)構(gòu)沒(méi)有連接到Internet上，它也需要建立內(nèi)部的安全策略來(lái)管理用戶對(duì)部分網(wǎng)絡(luò)的訪問(wèn)并對(duì)敏感或秘密數(shù)據(jù)提供保護(hù)。 什么是防火墻防火墻是這樣的系統(tǒng)，它能用來(lái)屏蔽、阻攔數(shù)據(jù)報(bào)，只允許授權(quán)的數(shù)據(jù)報(bào)通過(guò)，以保護(hù)網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。防火墻負(fù)責(zé)管理外部網(wǎng)絡(luò)和機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。在沒(méi)有防火墻時(shí)，內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其它主機(jī)，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個(gè)主機(jī)的堅(jiān)固程度來(lái)決定，并且安全性等同于其中最弱的系統(tǒng)。防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來(lái)防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線的攻擊。防火墻的安裝能夠簡(jiǎn)化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過(guò)防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。要使一個(gè)防火墻有效，所有來(lái)自和去往Internet的信息都必須經(jīng)過(guò)防火墻，接受防火墻的檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，并且防火墻本身也必須能夠免于滲透。通常，防火墻可以分為以下幾種類型：1） 包過(guò)濾防火墻這種防火墻是在路由器中建立一種稱為訪問(wèn)控制列表的方法，讓路由器識(shí)別哪些數(shù)據(jù)報(bào)是允許穿越路由器的，哪些是需要阻截的。 圖 包過(guò)濾防火墻2） 代理服務(wù)器這種防火墻方案要求所有內(nèi)網(wǎng)的主機(jī)需要使用代理服務(wù)器與外網(wǎng)的主機(jī)通訊。代理服務(wù)器會(huì)象真墻一樣擋在內(nèi)部用戶和外部主機(jī)之間，從外部只能看見(jiàn)代理服務(wù)器，而看不到內(nèi)部主機(jī)。外界的滲透，要從代理服務(wù)器開始，因此增加了攻擊內(nèi)網(wǎng)主機(jī)的難度。3） 攻擊探測(cè)防火墻這種防火墻通過(guò)分析進(jìn)入內(nèi)網(wǎng)數(shù)據(jù)報(bào)中報(bào)頭和報(bào)文中的攻擊特征來(lái)識(shí)別需要攔截的數(shù)據(jù)報(bào)，以對(duì)付SYN Flood、IP spoofing這樣的已知的網(wǎng)絡(luò)攻擊手段。攻擊探測(cè)防火墻可以安裝在代理服務(wù)器上，也可以做成獨(dú)立的設(shè)備，串接在與外網(wǎng)連接的鏈路，裝在邊界路由器的后面。包過(guò)濾防火墻的核心是稱作“訪問(wèn)控制列表”的配置文件，由網(wǎng)絡(luò)管理員在路由器中建立。包過(guò)濾路由器根據(jù)“訪問(wèn)控制列表”審查每個(gè)數(shù)據(jù)包的報(bào)頭，來(lái)決定該數(shù)據(jù)包是否要被拒絕還是被轉(zhuǎn)發(fā)。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、協(xié)議類型（如TCP、UDP、ICMP等）、TCP端口號(hào)等。 圖 包過(guò)濾路由器防火墻的建立下面我們利用實(shí)例來(lái)介紹如何建立一個(gè)包過(guò)濾防火墻。，我們?nèi)绻枰獙?shí)現(xiàn)：。我們可以用下面的命令來(lái)建立一個(gè)訪問(wèn)控制列表：(config) accesslist 101 deny ip any (config) accesslist 101 permit ip (config) accesslist 101 deny ip any any(config) interface e1(configif) ip accessgroup 101 (configif) exit (config)上面六條命令，前三個(gè)命令建立了一個(gè)編號(hào)為101的訪問(wèn)控制列表。第四個(gè)命令進(jìn)入到路由器的e1端口，并在第五個(gè)命令時(shí)把第101號(hào)訪問(wèn)控制列表捆綁到e1端口。前三個(gè)命令所建立的訪問(wèn)控制列表中創(chuàng)建了三條語(yǔ)句。其語(yǔ)法格式為：“accesslist”：創(chuàng)建訪問(wèn)控制列表語(yǔ)句的命令“deny”： 表示拒絕滿足后面條件的數(shù)據(jù)報(bào)“IP”： 表示本語(yǔ)句針對(duì)IP數(shù)據(jù)報(bào)“any”： 源主機(jī)。Any表示所有源主機(jī)“”：目標(biāo)主機(jī)“”： ，條件才算成立。其語(yǔ)法格式為：“accesslist”：創(chuàng)建訪問(wèn)控制列表語(yǔ)句的命令“permit”： 表示允許滿足后面條件的數(shù)據(jù)報(bào)通過(guò)“IP”： 表示本語(yǔ)句針對(duì)IP數(shù)據(jù)報(bào)“”：源主機(jī)?！啊保?，條件才算成立。最低的字節(jié)不需要考慮。“”：目標(biāo)主機(jī)“”：，條件才算成立?！?55”表示最低的字節(jié)不需要考慮。通過(guò)上面的例子我們可以看出，包過(guò)濾路由器對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。路由器審查每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條訪問(wèn)控制列表中的包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于可以提供給IP轉(zhuǎn)發(fā)過(guò)程的包頭信息。包頭信息中包括IP源地址、IP目標(biāo)地址、TCP/UDP目標(biāo)端口、ICMP消息類型。包的進(jìn)入接口和出接口,如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會(huì)被丟棄。如果沒(méi)有找到與訪問(wèn)控制列表中某條語(yǔ)句的條件匹配，這個(gè)數(shù)據(jù)包也會(huì)被丟棄。包過(guò)濾路由器的優(yōu)點(diǎn)：已部署的防火墻系統(tǒng)多數(shù)只使用了包過(guò)濾器路由器。除了花費(fèi)時(shí)間去規(guī)劃過(guò)濾器和配置路由器之外，因?yàn)樵L問(wèn)控制列表的功能在標(biāo)準(zhǔn)的路由器軟件中已經(jīng)免費(fèi)，實(shí)現(xiàn)包過(guò)濾幾乎不需要額外的費(fèi)用。由于Internet訪問(wèn)一般都是在WAN接口上提供，因此在流量適中并定義較少過(guò)濾器時(shí)對(duì)路由器的速度性能幾乎沒(méi)有影響。另外，包過(guò)濾路由器對(duì)用戶和應(yīng)用來(lái)講是透明的，所以不必對(duì)用戶進(jìn)行特殊的培訓(xùn)和在每臺(tái)主機(jī)上安裝特定的軟件。 包過(guò)濾路由器的缺點(diǎn)：定義數(shù)據(jù)包過(guò)濾器會(huì)比較復(fù)雜，因?yàn)榫W(wǎng)絡(luò)管理員需要對(duì)各種Internet服務(wù)、包頭格式、以及每個(gè)域的意義有非常深入的理解。如果必須支持非常復(fù)雜的過(guò)濾，過(guò)濾規(guī)則集合會(huì)非常的大和復(fù)雜，因而難于管理和理解。另外，在路由器上進(jìn)行規(guī)則配置之后，幾乎沒(méi)有什么工具可以用來(lái)審核過(guò)濾規(guī)則的正確性，因此會(huì)成為一個(gè)脆弱點(diǎn)。任何直接經(jīng)過(guò)路由器的數(shù)據(jù)包都有被用做數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)。我們已經(jīng)知道數(shù)據(jù)驅(qū)動(dòng)式攻擊從表面上來(lái)看是由路由器轉(zhuǎn)發(fā)到內(nèi)部主機(jī)上沒(méi)有害處的數(shù)據(jù)。該數(shù)據(jù)包括了一些隱藏的指令，能夠讓主機(jī)修改訪問(wèn)控制和與安全有關(guān)的文件，使得入侵者能夠獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)。一般來(lái)說(shuō)，隨著過(guò)濾器數(shù)目的增加，路由器的吞吐量會(huì)下降?？梢詫?duì)路由器進(jìn)行這樣的優(yōu)化抽取每個(gè)數(shù)據(jù)包的目的IP地址，進(jìn)行簡(jiǎn)單的路由表查詢，然后將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的接口上去傳輸。如果打開過(guò)濾功能，路由器不僅必須對(duì)每個(gè)數(shù)據(jù)包作出轉(zhuǎn)發(fā)決定，還必須將所有的過(guò)濾器規(guī)則施用給每個(gè)數(shù)據(jù)包。這樣就消耗了CPU時(shí)間并影響系統(tǒng)的性能。IP包過(guò)濾器可能無(wú)法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。包過(guò)濾路由器能夠允許或拒絕特定的服務(wù)，但是不能理解特定服務(wù)的上下文環(huán)境/數(shù)據(jù)。例如，網(wǎng)絡(luò)管理員可能需要在應(yīng)用層過(guò)濾信息以便將訪問(wèn)限制在可用的FTP或Telnet命令的子集之內(nèi)，或者阻塞郵件的進(jìn)入及特定話題的新聞進(jìn)入。這種控制最好在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來(lái)完成。
 網(wǎng)絡(luò)地址轉(zhuǎn)換 圖 在邊界路由器上加裝地址轉(zhuǎn)換，如果在邊界路由器上加裝地址轉(zhuǎn)換程序NAT(Network Address Translation)，每當(dāng)在內(nèi)部網(wǎng)絡(luò)的主機(jī)需要連接外網(wǎng)時(shí)，NAT就會(huì)隱藏其源IP地址，并動(dòng)態(tài)分配一個(gè)外部IP地址來(lái)取代。這樣，外部用戶就無(wú)法得知你的內(nèi)部網(wǎng)絡(luò)的地址，這個(gè)轉(zhuǎn)換內(nèi)部網(wǎng)絡(luò)IP地址的動(dòng)作就叫做網(wǎng)絡(luò)地址轉(zhuǎn)換NAT。，數(shù)據(jù)報(bào)在流經(jīng)路由器時(shí)。，。從外網(wǎng)來(lái)的數(shù)據(jù)報(bào)，路由器中的NAT程序通過(guò)查NAT表，再發(fā)送到內(nèi)網(wǎng)里來(lái)。 NAT表?？梢?jiàn)，地址轉(zhuǎn)換NAT技術(shù)的使用，也為網(wǎng)絡(luò)提供了一種安全手段。地址轉(zhuǎn)換NAT技術(shù)不僅為網(wǎng)絡(luò)提供了一種安全機(jī)制，也常用于沒(méi)有足夠的公開IP地址。例如一個(gè)單位只申請(qǐng)到100個(gè)公開IP地址，可是內(nèi)網(wǎng)中有1000臺(tái)主機(jī)需要連接到互聯(lián)網(wǎng)。使用NAT技術(shù)，就可以在內(nèi)網(wǎng)中使用內(nèi)部IP地址。當(dāng)數(shù)據(jù)報(bào)需要流出內(nèi)網(wǎng)時(shí)，由NAT負(fù)責(zé)將源IP地址更換為互聯(lián)網(wǎng)中合法的公開IP地址。當(dāng)連接結(jié)束后，公開IP地址將被NAT程序收回，以備其它主機(jī)在與互聯(lián)網(wǎng)通訊時(shí)使用。NAT程序的工作，需要在路由器上為其配置一定的公開IP地址。當(dāng)公開IP地址被全部占用的時(shí)候，無(wú)法分到公開IP地址的數(shù)據(jù)報(bào)將被終止傳輸。一種稱為端口地址轉(zhuǎn)換PAT(Port Address Translation)的技術(shù)可以使有限的公開IP地址，為更多的內(nèi)網(wǎng)主機(jī)同時(shí)提供與外網(wǎng)的通訊支持。極限的情況，可以用一個(gè)公開IP地址為數(shù)百臺(tái)內(nèi)網(wǎng)主機(jī)提供支持。 PAT地址轉(zhuǎn)換。內(nèi)網(wǎng)的主機(jī)只能以這一個(gè)地址連接互聯(lián)網(wǎng)。，但是PAT能夠很好地用端口號(hào)來(lái)判斷是哪一個(gè)主機(jī)的報(bào)文包。寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。是狼就要練好牙，是羊就要練好腿。什么是奮斗？奮斗就是每天很難，可一年一年卻越來(lái)越容易。不奮斗就是每天都很容易，可一年一年越來(lái)越難。能干的人，不在情緒上計(jì)較，只在做事上認(rèn)真；無(wú)能的人！不在做事上認(rèn)真，只在情緒上計(jì)較。拼一個(gè)春夏秋冬！贏一個(gè)無(wú)悔人生！早安！—————獻(xiàn)給所有努力的人. 學(xué)習(xí)好