【正文】 序中有的就可能是黑客程序。所以防火墻要根據(jù)事先制定的策略，對(duì)數(shù)據(jù)包中的源地址、目的地址、 TCP端口和 TCP鏈路狀態(tài)進(jìn)行檢查，判斷這個(gè)數(shù)據(jù)包是否是合法的是無(wú)害的，以確定是否允許這個(gè)數(shù)據(jù)包通過(guò)。執(zhí)行這項(xiàng)技術(shù)的路由器也叫做“屏蔽路由器”。 ? 包過(guò)濾功能應(yīng)該是置于路由器中的防火墻最基本的功能之一。除此以外，也可以由其他路由器在完成路由選擇和轉(zhuǎn)發(fā)的同時(shí)進(jìn)行包過(guò)濾。但是這個(gè)路由器如果不針對(duì)具體的局域網(wǎng)，則不好制定對(duì)于數(shù)據(jù)包的判定策略。當(dāng)然也可以在每一個(gè)工作站上進(jìn)行包過(guò)濾，這時(shí)可以針對(duì)具體工作站的要求制定過(guò)濾策略。 ? 2. 應(yīng)用網(wǎng)關(guān) (Application Gateway)技術(shù) ? 眾所周知，運(yùn)行于系統(tǒng)高層的程序可以靈活地編制，程序量可以大、功能可以全，以便對(duì)多種情況做出反應(yīng)。應(yīng)用網(wǎng)關(guān)運(yùn)行的基礎(chǔ)就是建立在應(yīng)用層上的相關(guān)協(xié)議上。它分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)報(bào)并提出相應(yīng)的報(bào)告。它主要用于嚴(yán)格控制通信環(huán)境，所以對(duì)所收到的信息并不是經(jīng)過(guò)簡(jiǎn)單的路由選擇以后就進(jìn)行轉(zhuǎn)發(fā)，而是要上傳到應(yīng)用層依據(jù)應(yīng)用層協(xié)議進(jìn)行檢測(cè)，防止保密數(shù)據(jù)和程序被竊取或篡改。 ? 3. 代理服務(wù) (Proxy Service)技術(shù) ? 代理服務(wù)器就像接待處一樣，包攬了系統(tǒng)對(duì)外的聯(lián)系。在局域網(wǎng)和 Inter的連接點(diǎn)上要設(shè)置代理服務(wù)主機(jī)，也就成為代理服務(wù)器。代理服務(wù)軟件運(yùn)行于代理服務(wù)主機(jī)中，這個(gè)主機(jī)的作用相當(dāng)于網(wǎng)關(guān)。對(duì)外它相當(dāng)于所有輸入信息的接收目的地，外部對(duì)于這個(gè)網(wǎng)絡(luò)所能見(jiàn)到的就只有這個(gè)代理服務(wù)器。所有的對(duì)外工作都是以這個(gè)代理服務(wù)器的名義進(jìn)行的，所以它屏蔽了所有的網(wǎng)絡(luò)內(nèi)部信息，使外部對(duì)網(wǎng)絡(luò)內(nèi)部情況一無(wú)所知，自然也無(wú)法破壞。對(duì)網(wǎng)絡(luò)內(nèi)部來(lái)講它是每一個(gè)對(duì)外發(fā)出信息的接收端。它的存在對(duì)于網(wǎng)絡(luò)內(nèi)部來(lái)講是透明的，每一個(gè)工作站都感覺(jué)是在直接和外部打交道。代理服務(wù)器不僅依據(jù)事先確定的策略對(duì)于進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)進(jìn)行檢查以便確定是轉(zhuǎn)發(fā)還是截?cái)?，還可以允許網(wǎng)絡(luò)管理員對(duì)某一特定的應(yīng)用程序或者應(yīng)用功能做出判斷決定接受還是拒絕。 ? 7． 3． 3系統(tǒng)安全策略 ? 1 ．風(fēng)險(xiǎn)分析與評(píng)估 ◆本系統(tǒng)存在著哪些漏洞？包括已知的和可能存在的漏洞。 ◆一旦這些漏洞為人所用，本系統(tǒng)將面臨的風(fēng)險(xiǎn)究竟有哪些？一旦成為現(xiàn)實(shí)會(huì)有多大的損失？ ◆有哪些政策法規(guī)對(duì)于本系統(tǒng)的安全提供法律依據(jù)？ ◆為了抵御風(fēng)險(xiǎn)而采取的措施有哪些？代價(jià) (包括投資 )有多大？可能取得的效果是否和投入相匹配？ ◆基于上述分析，系統(tǒng)準(zhǔn)備把風(fēng)險(xiǎn)代價(jià) /措施代價(jià)確定在何種水平？ ? 2．制定安全策略 ? 系統(tǒng)要采取的安全策略包括四個(gè)方面：法律保護(hù)、行政管理、人員教育和技術(shù)措施。 ? 有關(guān)網(wǎng)絡(luò)的法規(guī)包括社會(huì)規(guī)范和技術(shù)規(guī)范兩類。網(wǎng)絡(luò)由于具有傳播面積大、傳播速度快、信息量豐富、人員高度分散和難于管理等特點(diǎn)，一直是我國(guó)國(guó)家高度重視與管理的范疇。為此建立了相應(yīng)的一系列法規(guī)，其中有相當(dāng)部分是適應(yīng)中國(guó)國(guó)情而設(shè)立的，所以作為網(wǎng)絡(luò)的主要使用與管理人員必須對(duì)這些法規(guī)進(jìn)行充分地了解。 ? 安全策略的制定要解決總體目標(biāo)和具體規(guī)則兩方面的問(wèn)題。而在執(zhí)行具體規(guī)則時(shí)就存在安全性和系統(tǒng)的方便性、靈活性之間的矛盾。 ? 安全策略的制定并不意味著安全策略的實(shí)施，一旦規(guī)范制定了，必須對(duì)于策略的實(shí)施進(jìn)行嚴(yán)格的核查，對(duì)于違規(guī)事件毫不手軟地處理，才是系統(tǒng)安全的真正保證。 ? 系統(tǒng)安全維護(hù)則屬于技術(shù)措施。 ? 3．系統(tǒng)安全維護(hù) ? 系統(tǒng)安全維護(hù)屬于技術(shù)性問(wèn)題，包括 實(shí)體安全、數(shù)據(jù)安全、軟件安全、安全管理 和 病毒防治 幾個(gè)方面。 ? 實(shí)體安全是保證系統(tǒng)正常運(yùn)行過(guò)程中不因人為的和自然的因素影響而造成信息的丟失、泄露和破壞而對(duì)這種設(shè)備和人員所采取的措施。其中包括場(chǎng)地環(huán)境安全、設(shè)備安全和存儲(chǔ)介質(zhì)安全等幾個(gè)方面。 ? 數(shù)據(jù)安全是指為使數(shù)據(jù)免受攻擊和威脅所采取的技術(shù)方法，主要包括口令控制、數(shù)據(jù)加密和存取控制等。 ? 軟件安全是指系統(tǒng)中的軟件為了免受破壞、非法使用與非法復(fù)制所采取的技術(shù)措施。其中主要包括身份鑒別、軟件加密、軟件防復(fù)制和防動(dòng)態(tài)跟蹤等方面。 ? 另外，系統(tǒng)備份是其中重要的日常工作之一；系統(tǒng)的安全審計(jì)也是重要的內(nèi)容，這是通過(guò)對(duì)系統(tǒng)的日志審核來(lái)完成的。 ? 提示：前面所講的安全管理極為重要，怎樣強(qiáng)調(diào)也不過(guò)分。系統(tǒng)安全策略的實(shí)施是一項(xiàng)很繁瑣的工作，但是系統(tǒng)的安全就植根于這些繁瑣的日常工作之中。 7 ． 4 網(wǎng)絡(luò)管理基礎(chǔ) ? 網(wǎng)絡(luò)管理的基本功能 ? 網(wǎng)絡(luò)管理協(xié)議與網(wǎng)絡(luò)管理系統(tǒng)構(gòu)成 7 ． 4 網(wǎng)絡(luò)管理基礎(chǔ) ? 7． 4． 1 網(wǎng)絡(luò)管理的基本功能 ? 依照 ISO建議，網(wǎng)絡(luò)管理的基本功能包括： ? 網(wǎng)絡(luò)故障管理、 ? 網(wǎng)絡(luò)配置管理、 ? 網(wǎng)絡(luò)性能管理的、 ? 網(wǎng)絡(luò)計(jì)費(fèi)管理 ? 網(wǎng)絡(luò)安全管理。 ? 1．網(wǎng)絡(luò)故障管理。 ?發(fā)現(xiàn)并確定故障的位置，判斷故障發(fā)生的原因，對(duì)故障的產(chǎn)生和相關(guān)信息進(jìn)行記錄，必要時(shí)啟動(dòng)控制功能而排除故障。 ? 2．網(wǎng)絡(luò)配置管理。 ?網(wǎng)絡(luò)設(shè)備在相互連接連接參數(shù)既能適合網(wǎng)絡(luò)的要求，又能滿足設(shè)備的要求，對(duì)各個(gè)相關(guān)參數(shù)和狀態(tài)進(jìn)行調(diào)整和配置。 ? 3．網(wǎng)絡(luò)性能管理。 ?網(wǎng)絡(luò)性能管理就是在網(wǎng)絡(luò)運(yùn)行過(guò)程中不斷地評(píng)測(cè)網(wǎng)絡(luò)的主要運(yùn)行性能指標(biāo)，找出影響性能的原因，為網(wǎng)絡(luò)管理決策提供依據(jù)，以便立足于現(xiàn)有的網(wǎng)絡(luò)資源為用戶提供更好的服務(wù)。 ? 4．網(wǎng)絡(luò)計(jì)費(fèi)管理。 ?記錄和統(tǒng)計(jì)用戶使用網(wǎng)絡(luò)的性質(zhì)和數(shù)量，根據(jù)相關(guān)收費(fèi)標(biāo)準(zhǔn)作出收費(fèi)要求和收費(fèi)記錄。對(duì)于不需要付費(fèi)的情況也需要進(jìn)行記錄用戶對(duì)網(wǎng)絡(luò)的使用情況和數(shù)量以便對(duì)網(wǎng)絡(luò)的應(yīng)用狀況和價(jià)值作出評(píng)價(jià)。 ? 5．網(wǎng)絡(luò)安全管理。 ?網(wǎng)絡(luò)安全管理要為用戶的網(wǎng)絡(luò)工作提供不同層次的安全防衛(wèi)機(jī)制，以保證網(wǎng)絡(luò)信息的機(jī)密性（未經(jīng)授權(quán)不得閱讀）和完整性（網(wǎng)絡(luò)信息不被篡改）。為此網(wǎng)絡(luò)安全管理系統(tǒng)要監(jiān)控網(wǎng)絡(luò)的運(yùn)行情況、信息傳輸情況，以便發(fā)現(xiàn)非法入侵、跟蹤或者制止非法入侵的活動(dòng)，為網(wǎng)絡(luò)管理人員恢復(fù)受到破壞的文件號(hào)提供依據(jù)。 7． 4． 2 網(wǎng)絡(luò)管理協(xié)議與網(wǎng)絡(luò)管理系統(tǒng)構(gòu)成 ? 1．網(wǎng)絡(luò)管理協(xié)議 ?網(wǎng)絡(luò)管理協(xié)議是在 Inter上進(jìn)行網(wǎng)絡(luò)管理的依據(jù)，其中最重要的是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP（ Simple Network Management Protocol）。它的目的在于管理國(guó)際互聯(lián)網(wǎng)上由不同廠家所生產(chǎn)的軟、硬件平臺(tái)。它可以通過(guò)遍歷各個(gè)相關(guān)站點(diǎn)提取特定的網(wǎng)絡(luò)管理信息，對(duì)網(wǎng)絡(luò)管理信息進(jìn)行控制并返回操作結(jié)果、報(bào)告重要事件。 ?這樣一個(gè)網(wǎng)絡(luò)管理協(xié)議使用的是ＴＣＰ /ＩＰ協(xié)議簇中的ＵＤＰ（用戶數(shù)據(jù)報(bào)協(xié)議）。這樣一個(gè)協(xié)議是無(wú)連接的協(xié)議，所以不僅僅可用于ＴＣＰ /ＩＰ條件下，也可以用于其它系統(tǒng)。 ?使用無(wú)連接的協(xié)議，可以使得 SNMP的監(jiān)測(cè)和控制活動(dòng)對(duì)于ＴＣＰ /ＩＰ協(xié)議有相對(duì)的獨(dú)立性。利用這樣的協(xié)議可以進(jìn)行最大限度的遠(yuǎn)程管理，也可以使管理代理軟件成本較低。 ? 2．網(wǎng)絡(luò)管理系統(tǒng) ?網(wǎng)絡(luò)管理系統(tǒng)由以下幾部分構(gòu)成：管理進(jìn)程、管理代理和管理信息庫(kù)。 ? ⑴管理進(jìn)程：由前面敘述可以知道 ,網(wǎng)絡(luò)管理是通過(guò)遠(yuǎn)程管理來(lái)實(shí)現(xiàn)的。在網(wǎng)絡(luò)管理站的主機(jī)上要設(shè)置和運(yùn)行一組程序，也就是管理進(jìn)程。這組程序的任務(wù)是在 SNMP支持下通過(guò)設(shè)在被管理端的“管理代理”軟件來(lái)取得被管理端的網(wǎng)絡(luò)資源和運(yùn)行情況并且對(duì)被管理端進(jìn)行相應(yīng)的控制。管理人員通過(guò)管理進(jìn)程對(duì)網(wǎng)絡(luò)進(jìn)行管理。 ? ⑵管理代理：由前面敘述可以知道 ,網(wǎng)絡(luò)管理是通過(guò)遠(yuǎn)程管理來(lái)實(shí)現(xiàn)的。所以必須在被管理端設(shè)置一個(gè)能夠和管理端相聯(lián)系的 ,為網(wǎng)絡(luò)管理提供信息的軟件，我們稱這個(gè)軟件是管理代理。這個(gè)軟件要執(zhí)行管理進(jìn)程交付的管理操作，為此它需要擁有和操作一個(gè)本地信息庫(kù)，對(duì)其中的變量進(jìn)行讀寫(xiě)來(lái)達(dá)到管理的目的。 ?⑶管理信息庫(kù)：管理信息庫(kù)分布于全網(wǎng)的各個(gè)管理對(duì)象上（主機(jī)、網(wǎng)關(guān)和終端服務(wù)器），它由全網(wǎng)的各個(gè)管理代理控制的管理對(duì)象構(gòu)成。 Thanks!