【正文】 序中有的就可能是黑客程序。所以防火墻要根據(jù)事先制定的策略，對數(shù)據(jù)包中的源地址、目的地址、 TCP端口和 TCP鏈路狀態(tài)進(jìn)行檢查，判斷這個數(shù)據(jù)包是否是合法的是無害的，以確定是否允許這個數(shù)據(jù)包通過。執(zhí)行這項技術(shù)的路由器也叫做“屏蔽路由器”。 ? 包過濾功能應(yīng)該是置于路由器中的防火墻最基本的功能之一。除此以外，也可以由其他路由器在完成路由選擇和轉(zhuǎn)發(fā)的同時進(jìn)行包過濾。但是這個路由器如果不針對具體的局域網(wǎng)，則不好制定對于數(shù)據(jù)包的判定策略。當(dāng)然也可以在每一個工作站上進(jìn)行包過濾，這時可以針對具體工作站的要求制定過濾策略。 ? 2. 應(yīng)用網(wǎng)關(guān) (Application Gateway)技術(shù) ? 眾所周知，運行于系統(tǒng)高層的程序可以靈活地編制，程序量可以大、功能可以全，以便對多種情況做出反應(yīng)。應(yīng)用網(wǎng)關(guān)運行的基礎(chǔ)就是建立在應(yīng)用層上的相關(guān)協(xié)議上。它分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)報并提出相應(yīng)的報告。它主要用于嚴(yán)格控制通信環(huán)境，所以對所收到的信息并不是經(jīng)過簡單的路由選擇以后就進(jìn)行轉(zhuǎn)發(fā)，而是要上傳到應(yīng)用層依據(jù)應(yīng)用層協(xié)議進(jìn)行檢測，防止保密數(shù)據(jù)和程序被竊取或篡改。 ? 3. 代理服務(wù) (Proxy Service)技術(shù) ? 代理服務(wù)器就像接待處一樣，包攬了系統(tǒng)對外的聯(lián)系。在局域網(wǎng)和 Inter的連接點上要設(shè)置代理服務(wù)主機(jī)，也就成為代理服務(wù)器。代理服務(wù)軟件運行于代理服務(wù)主機(jī)中，這個主機(jī)的作用相當(dāng)于網(wǎng)關(guān)。對外它相當(dāng)于所有輸入信息的接收目的地，外部對于這個網(wǎng)絡(luò)所能見到的就只有這個代理服務(wù)器。所有的對外工作都是以這個代理服務(wù)器的名義進(jìn)行的，所以它屏蔽了所有的網(wǎng)絡(luò)內(nèi)部信息，使外部對網(wǎng)絡(luò)內(nèi)部情況一無所知，自然也無法破壞。對網(wǎng)絡(luò)內(nèi)部來講它是每一個對外發(fā)出信息的接收端。它的存在對于網(wǎng)絡(luò)內(nèi)部來講是透明的，每一個工作站都感覺是在直接和外部打交道。代理服務(wù)器不僅依據(jù)事先確定的策略對于進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行檢查以便確定是轉(zhuǎn)發(fā)還是截斷，還可以允許網(wǎng)絡(luò)管理員對某一特定的應(yīng)用程序或者應(yīng)用功能做出判斷決定接受還是拒絕。 ? 7． 3． 3系統(tǒng)安全策略 ? 1 ．風(fēng)險分析與評估 ◆本系統(tǒng)存在著哪些漏洞？包括已知的和可能存在的漏洞。 ◆一旦這些漏洞為人所用，本系統(tǒng)將面臨的風(fēng)險究竟有哪些？一旦成為現(xiàn)實會有多大的損失？ ◆有哪些政策法規(guī)對于本系統(tǒng)的安全提供法律依據(jù)？ ◆為了抵御風(fēng)險而采取的措施有哪些？代價 (包括投資 )有多大？可能取得的效果是否和投入相匹配？ ◆基于上述分析，系統(tǒng)準(zhǔn)備把風(fēng)險代價 /措施代價確定在何種水平？ ? 2．制定安全策略 ? 系統(tǒng)要采取的安全策略包括四個方面：法律保護(hù)、行政管理、人員教育和技術(shù)措施。 ? 有關(guān)網(wǎng)絡(luò)的法規(guī)包括社會規(guī)范和技術(shù)規(guī)范兩類。網(wǎng)絡(luò)由于具有傳播面積大、傳播速度快、信息量豐富、人員高度分散和難于管理等特點，一直是我國國家高度重視與管理的范疇。為此建立了相應(yīng)的一系列法規(guī)，其中有相當(dāng)部分是適應(yīng)中國國情而設(shè)立的，所以作為網(wǎng)絡(luò)的主要使用與管理人員必須對這些法規(guī)進(jìn)行充分地了解。 ? 安全策略的制定要解決總體目標(biāo)和具體規(guī)則兩方面的問題。而在執(zhí)行具體規(guī)則時就存在安全性和系統(tǒng)的方便性、靈活性之間的矛盾。 ? 安全策略的制定并不意味著安全策略的實施，一旦規(guī)范制定了，必須對于策略的實施進(jìn)行嚴(yán)格的核查，對于違規(guī)事件毫不手軟地處理，才是系統(tǒng)安全的真正保證。 ? 系統(tǒng)安全維護(hù)則屬于技術(shù)措施。 ? 3．系統(tǒng)安全維護(hù) ? 系統(tǒng)安全維護(hù)屬于技術(shù)性問題，包括 實體安全、數(shù)據(jù)安全、軟件安全、安全管理 和 病毒防治 幾個方面。 ? 實體安全是保證系統(tǒng)正常運行過程中不因人為的和自然的因素影響而造成信息的丟失、泄露和破壞而對這種設(shè)備和人員所采取的措施。其中包括場地環(huán)境安全、設(shè)備安全和存儲介質(zhì)安全等幾個方面。 ? 數(shù)據(jù)安全是指為使數(shù)據(jù)免受攻擊和威脅所采取的技術(shù)方法，主要包括口令控制、數(shù)據(jù)加密和存取控制等。 ? 軟件安全是指系統(tǒng)中的軟件為了免受破壞、非法使用與非法復(fù)制所采取的技術(shù)措施。其中主要包括身份鑒別、軟件加密、軟件防復(fù)制和防動態(tài)跟蹤等方面。 ? 另外，系統(tǒng)備份是其中重要的日常工作之一；系統(tǒng)的安全審計也是重要的內(nèi)容，這是通過對系統(tǒng)的日志審核來完成的。 ? 提示：前面所講的安全管理極為重要，怎樣強(qiáng)調(diào)也不過分。系統(tǒng)安全策略的實施是一項很繁瑣的工作，但是系統(tǒng)的安全就植根于這些繁瑣的日常工作之中。 7 ． 4 網(wǎng)絡(luò)管理基礎(chǔ) ? 網(wǎng)絡(luò)管理的基本功能 ? 網(wǎng)絡(luò)管理協(xié)議與網(wǎng)絡(luò)管理系統(tǒng)構(gòu)成 7 ． 4 網(wǎng)絡(luò)管理基礎(chǔ) ? 7． 4． 1 網(wǎng)絡(luò)管理的基本功能 ? 依照 ISO建議，網(wǎng)絡(luò)管理的基本功能包括： ? 網(wǎng)絡(luò)故障管理、 ? 網(wǎng)絡(luò)配置管理、 ? 網(wǎng)絡(luò)性能管理的、 ? 網(wǎng)絡(luò)計費管理 ? 網(wǎng)絡(luò)安全管理。 ? 1．網(wǎng)絡(luò)故障管理。 ?發(fā)現(xiàn)并確定故障的位置，判斷故障發(fā)生的原因，對故障的產(chǎn)生和相關(guān)信息進(jìn)行記錄，必要時啟動控制功能而排除故障。 ? 2．網(wǎng)絡(luò)配置管理。 ?網(wǎng)絡(luò)設(shè)備在相互連接連接參數(shù)既能適合網(wǎng)絡(luò)的要求，又能滿足設(shè)備的要求，對各個相關(guān)參數(shù)和狀態(tài)進(jìn)行調(diào)整和配置。 ? 3．網(wǎng)絡(luò)性能管理。 ?網(wǎng)絡(luò)性能管理就是在網(wǎng)絡(luò)運行過程中不斷地評測網(wǎng)絡(luò)的主要運行性能指標(biāo)，找出影響性能的原因，為網(wǎng)絡(luò)管理決策提供依據(jù)，以便立足于現(xiàn)有的網(wǎng)絡(luò)資源為用戶提供更好的服務(wù)。 ? 4．網(wǎng)絡(luò)計費管理。 ?記錄和統(tǒng)計用戶使用網(wǎng)絡(luò)的性質(zhì)和數(shù)量，根據(jù)相關(guān)收費標(biāo)準(zhǔn)作出收費要求和收費記錄。對于不需要付費的情況也需要進(jìn)行記錄用戶對網(wǎng)絡(luò)的使用情況和數(shù)量以便對網(wǎng)絡(luò)的應(yīng)用狀況和價值作出評價。 ? 5．網(wǎng)絡(luò)安全管理。 ?網(wǎng)絡(luò)安全管理要為用戶的網(wǎng)絡(luò)工作提供不同層次的安全防衛(wèi)機(jī)制，以保證網(wǎng)絡(luò)信息的機(jī)密性（未經(jīng)授權(quán)不得閱讀）和完整性（網(wǎng)絡(luò)信息不被篡改）。為此網(wǎng)絡(luò)安全管理系統(tǒng)要監(jiān)控網(wǎng)絡(luò)的運行情況、信息傳輸情況，以便發(fā)現(xiàn)非法入侵、跟蹤或者制止非法入侵的活動，為網(wǎng)絡(luò)管理人員恢復(fù)受到破壞的文件號提供依據(jù)。 7． 4． 2 網(wǎng)絡(luò)管理協(xié)議與網(wǎng)絡(luò)管理系統(tǒng)構(gòu)成 ? 1．網(wǎng)絡(luò)管理協(xié)議 ?網(wǎng)絡(luò)管理協(xié)議是在 Inter上進(jìn)行網(wǎng)絡(luò)管理的依據(jù)，其中最重要的是簡單網(wǎng)絡(luò)管理協(xié)議SNMP（ Simple Network Management Protocol）。它的目的在于管理國際互聯(lián)網(wǎng)上由不同廠家所生產(chǎn)的軟、硬件平臺。它可以通過遍歷各個相關(guān)站點提取特定的網(wǎng)絡(luò)管理信息，對網(wǎng)絡(luò)管理信息進(jìn)行控制并返回操作結(jié)果、報告重要事件。 ?這樣一個網(wǎng)絡(luò)管理協(xié)議使用的是ＴＣＰ /ＩＰ協(xié)議簇中的ＵＤＰ（用戶數(shù)據(jù)報協(xié)議）。這樣一個協(xié)議是無連接的協(xié)議，所以不僅僅可用于ＴＣＰ /ＩＰ條件下，也可以用于其它系統(tǒng)。 ?使用無連接的協(xié)議，可以使得 SNMP的監(jiān)測和控制活動對于ＴＣＰ /ＩＰ協(xié)議有相對的獨立性。利用這樣的協(xié)議可以進(jìn)行最大限度的遠(yuǎn)程管理，也可以使管理代理軟件成本較低。 ? 2．網(wǎng)絡(luò)管理系統(tǒng) ?網(wǎng)絡(luò)管理系統(tǒng)由以下幾部分構(gòu)成：管理進(jìn)程、管理代理和管理信息庫。 ? ⑴管理進(jìn)程：由前面敘述可以知道 ,網(wǎng)絡(luò)管理是通過遠(yuǎn)程管理來實現(xiàn)的。在網(wǎng)絡(luò)管理站的主機(jī)上要設(shè)置和運行一組程序，也就是管理進(jìn)程。這組程序的任務(wù)是在 SNMP支持下通過設(shè)在被管理端的“管理代理”軟件來取得被管理端的網(wǎng)絡(luò)資源和運行情況并且對被管理端進(jìn)行相應(yīng)的控制。管理人員通過管理進(jìn)程對網(wǎng)絡(luò)進(jìn)行管理。 ? ⑵管理代理：由前面敘述可以知道 ,網(wǎng)絡(luò)管理是通過遠(yuǎn)程管理來實現(xiàn)的。所以必須在被管理端設(shè)置一個能夠和管理端相聯(lián)系的 ,為網(wǎng)絡(luò)管理提供信息的軟件，我們稱這個軟件是管理代理。這個軟件要執(zhí)行管理進(jìn)程交付的管理操作，為此它需要擁有和操作一個本地信息庫，對其中的變量進(jìn)行讀寫來達(dá)到管理的目的。 ?⑶管理信息庫：管理信息庫分布于全網(wǎng)的各個管理對象上（主機(jī)、網(wǎng)關(guān)和終端服務(wù)器），它由全網(wǎng)的各個管理代理控制的管理對象構(gòu)成。 Thanks!