1、作業五1. 簡述目前網絡面臨的主要危脅以及網絡安全的重要性。2. 什么是防火墻？防火墻應具有哪些基本功能？簡述各類防火墻的工作原理和主要特點3. 計算機網絡中使用的通信加密方式有哪些？簡述各自的特點及使用范圍。4. 簡述OSI網絡管理標準的5個功能域。5. 網絡管理的主要目的是什么？6. 簡述SNM管理模型的基本組成立部分。1. 簡述目前網絡面臨的主要危脅以及網絡安全的重要性。答：網絡結構復雜，威脅主要來自：病毒的侵襲、黑客的非法闖入、數據竊聽和攔截、拒絕服務、內部網絡安全、電子商務攻擊、惡意掃描、密碼破解、數據篡改、垃圾郵件、地址欺騙 和基礎設施破壞等。下面來分析幾個典型的網絡攻擊方式：1.

2、 病毒的侵襲幾乎有計算機的地方， 就有出現計算機病毒的可能性。 計算機病毒通常隱藏在文件或程序代 碼內，伺機進行自我復制，并能夠通過網絡、磁盤、光盤等諸多手段進行傳播。正因為計算機 病毒傳播速度相當快、影響面大，所以它的危害最能引起人們的關注。病毒的 毒性 不同，輕者只會玩笑性地在受害機器上顯示幾個警告信息，重則有可能破壞或 危及個人計算機乃至整個企業網絡的安全。有些黑客會有意釋放病毒來破壞數據， 而大部分病毒是在不經意之間被擴散出去的。 員工在 不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件， 這導致了病毒的 傳播。這些病毒會從一臺個人計算機傳播到另一臺，因而很難從某一中

3、心點對其進行檢測。任何類型的網絡免受病毒攻擊最保險和最有效的方法是對網絡中的每一臺計算機安裝防病 毒軟件，并定期對軟件中的病毒定義進行更新。值得用戶信賴的防病毒軟件包括Symantec、Norton和McAfee等。然而，如果沒有憂患意識，很容易陷入盲從殺毒軟件的誤區。因此，光有工具不行，還必須在意識上加強防范，并且注重操作的正確性；重要的是在企業 培養集體防毒意識，部署統一的防毒策略，高效、及時地應對病毒的入侵。2. 黑客的非法闖入隨著越來越多黑客案件的報道， 企業不得不意識到黑客的存在。 黑客的非法闖入是指黑客利 用企業網絡的安全漏洞，不經允許非法訪問企業內部網絡或數據資源，從事刪除、復制

4、甚至毀 壞數據的活動。一般來說，黑客常用的入侵動機和形式可以分為兩種。黑客通過尋找未設防的路徑進入網絡或個人計算機，一旦進入，他們便能夠竊取數據、毀壞 文件和應用、阻礙合法用戶使用網絡，所有這些都會對企業造成危害。黑客非法闖入將具備企 業殺手的潛力，企業不得不加以謹慎預防。防火墻是防御黑客攻擊的最好手段。 位于企業內部網與外部之間的防火墻產品能夠對所有企 圖進入內部網絡的流量進行監控。 不論是基于硬件還是軟件的防火墻都能識別、 記錄并阻塞任 何有非法入侵企圖的可疑的網絡活動。硬件防火墻產品應該具備以下先進功能：包狀態檢查 :在數據包通過防火墻時對數據進行檢查，以確定是否允許進入局域網絡。 流量

5、控制 :根據數據的重要性管理流入的數據。虛擬專用網(VPN技術:使遠程用戶能夠安全地連接局域網。Java ActiveX以及Cookie屏蔽:只允許來自可靠 Web站點上的應用程序運行。代理服務器屏蔽(Proxyblocking)防止局域網用戶繞過互聯網過濾系統。電子郵件發信監控(Outgoinge-mailscreening)能夠阻塞帶有特定詞句電子郵件的發送，以避免 企業員工故意或無意的泄露某些特定信息。3. 數據竊聽和攔截 這種方式是直接或間接截獲網絡上的特定數據包并進行分析來獲取所需信息。 一些企業在與第三方網絡進行傳輸時， 需要采取有效措施來防止重要數據被中途截獲， 如用戶信用卡號碼

6、等。 加密技術是保護傳輸數據免受外部竊聽的最好辦法， 其可以將數據變成只有授權接收者才能還 原并閱讀的編碼。進行加密的最好辦法是采用虛擬專用網（VPN技術。一條VPN鏈路是一條采用加密隧道（tu nnel）構成的遠程安全鏈路，它能夠將數據從企業網絡中安全地輸送出去。兩家企業可以通過In ternet建立起VPN隧道。一個遠程用戶也可以通過建立一條連接企業局域網的 VPN鏈路來安 全地訪問企業內部數據。4、拒絕服務這類攻擊一般能使單個計算機或整個網絡癱瘓， 黑客使用這種攻擊方式的意圖很明顯， 就是 要阻礙合法網絡用戶使用該服務或破壞正常的商務活動。 例如，通過破壞兩臺計算機之間的連 接而阻止用戶

7、訪問服務； 通過向企業的網絡發送大量信息而堵塞合法的網絡通信， 最后不僅摧 毀網絡架構本身，也破壞整個企業運作。5. 內部網絡安全為特定文件或應用設定密碼保護能夠將訪問限制在授權用戶范圍內。 例如，銷售人員不能夠 瀏覽企業人事信息等。但是，大多數小型企業無法按照這一安全要求操作，企業規模越小，越 要求每一個人承擔更多的工作。 如果一家企業在近期內會迅速成長，內部網絡的安全性將是需 要認真考慮的問題。6. 電子商務攻擊從技術層次分析， 試圖非法入侵的黑客， 或者通過猜測程序對截獲的用戶賬號和口令進行破 譯，以便進入系統后做更進一步的操作；或者利用服務器對外提供的某些服務進程的漏洞，獲 取有用信息

8、從而進入系統； 或者利用網絡和系統本身存在的或設置錯誤引起的薄弱環節和安全 漏洞實施電子引誘，以獲取進一步的有用信息；或者通過系統應用程序的漏洞獲得用戶口令， 侵入系統。除上述威脅企業網絡安全的主要因素外，還有如下網絡安全隱患：惡意掃描：這種方式是利用掃描工具 （軟件）對特定機器進行掃描，發現漏洞進而發起相應攻 擊。密碼破解： 這種方式是先設法獲取對方機器上的密碼文件， 然后再設法運用密碼破解工具獲 得密碼。除了密碼破解攻擊，攻擊者也有可能通過猜測或網絡竊聽等方式獲取密碼。數據篡改：這種方式是截獲并修改網絡上特定的數據包來破壞目標數據的完整性。地址欺騙：這種方式是攻擊者將自身IP偽裝成目標機器

9、信任機器的IP地址，以此來獲得對 方的信任。垃圾郵件 主要表現為黑客利用自己在網絡上所控制的計算機向企業的郵件服務器發送大量 的垃圾郵件，或者利用企業的郵件服務器把垃圾郵件發送到網絡上其他的服務器上。基礎設施破壞：這種方式是破壞DNS或路由器等基礎設施，使得目標機器無法正常使用網絡。由上述諸多入侵方式可見，企業可以做的是如何盡可能降低危害程度。除了采用防火墻、數 據加密以及借助公鑰密碼體制等手段以外， 對安全系數要求高的企業還可以充分利用網絡上專 門機構公布的常見入侵行為特征數據 -通過分析這些數據，企業可以形成適合自身的安全性策 略，努力使風險降低到企業可以接受且可以管理的程度。企業網絡安全

10、的防范 技術與管理相結合：技術與管理不是孤立的，對于一個信息化的企業來說，網絡信息安全不 僅僅是一個技術問題，也是一個管理問題。在很多病毒或安全漏洞出現不久，網上通常就會有 相應的殺毒程序或者軟件補丁出現， 但為什么還會讓病毒肆虐全球呢？為什么微軟主頁上面及 時發布的補丁以及各種各樣查殺的工具都無法阻止這些病毒蔓延呢？歸根結底還是因為很多 用戶（包括企業級用戶 ）沒有養成主動維護系統安全的習慣，同時也缺乏安全方面良好的管理機 制。要保證系統安全的關鍵，首先要做到重視安全管理，不要 坐以待斃 ，可以說，企業的信息 安全，是一個整體的問題，需要從管理與技術相結合的高度，制定與時俱進的整體管理策略，

11、 并切實認真地實施這些策略，才能達到提高企業信息系統安全性的目的。風險評估：要求企業清楚自身有哪些系統已經聯網、企業網絡有哪些弱點、這些弱點對企業 運作都有哪些具體風險，以及這些風險對于公司整體會有怎樣的影響。 安全計劃：包括建立企業的安全政策，掌握保障安全性所需的基礎技術，并規劃好發生特定 安全事故時企業應該采取的解決方案。 企業網絡安全的防范策略目的就是決定一個組織機構怎 樣來保護自己。一般來說，安全策略包括兩個部分：一個總體的安全策略和具體的規則。總體安全策略制定 一個組織機構的戰略性安全指導方針，并為實現這個方針分配必要的人力物力。計劃實施：所有的安全政策，必須由一套完善的管理控制架構

12、所支持，其中最重要的要素是 要建立完整的安全性解決方案。物理隔離： 即在網絡建設的時候單獨建立兩套相互獨立的網絡， 一套用于部門內部辦公自動 化，另一套用于連接到 Internet ，在同一時候，始終只有一塊硬盤處于工作狀態，這樣就達到 了真正意義上的物理安全隔離。遠程訪問控制：主要是針對于企業遠程撥號用戶，在內部網絡中配置用戶身份認證服務器。 在技術上通過對接入的用戶進行身份和密碼驗證， 并對所有的用戶機器的 MAC 地址進行注冊， 采用IP地址與MAC地址的動態綁定，以保證非授權用戶不能進入。病毒的防護：培養企業的集體防毒意識，部署統一的防毒策略，高效、及時地應對病毒的入 侵。防火墻：目前

13、技術最為復雜而且安全級別最高的防火墻是隱蔽智能網關 , 它將網關隱藏在公 共系統之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問 , 同時 阻止了外部未授權訪問對專用網絡的非法訪問。一般來說 , 這種防火墻的安全性能很高，是最 不容易被破壞和入侵的。網絡安全問題簡單化大多數企業家缺乏對IT技術的深入了解，他們通常會被網絡的安全需求所困擾、嚇倒或征服。 許多企業領導，不了解一部網關與一臺路由器之間的區別，卻不愿去學習，或因為太忙而沒時 間去學。他們只希望能夠確保財務紀錄沒被竊取，服務器不會受到一次 拒絕服務攻擊 。他們希望實 現這些目標， 但不希望為超出他們需求范圍的技術或

14、服務付出更高的成本， 就像銷售計算機設 備的零售店不愿意提供額外服務一樣。2. 什么是防火墻？防火墻應具有哪些基本功能？簡述各類防火墻的工作原理和主要特點。 答：防火墻：一種位于內部網絡與外部網絡之間的網絡安全系統。 詳細解釋防火墻：所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專 用網與公共網之間的界面上構造的保護屏障 .是一種獲取安全性方法的形象說法，它是一種計 算機硬件和軟件的結合，使 Internet 與 Intranet 之間建立起一個安全網關( Security Gateway)， 從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和

15、應用 網關 4 個部分組成， 防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。 該計算 機流入流出的所有網絡通信和數據包均要經過此防火墻。在網絡中，所謂 “防火墻 ”，是指一種 將內部網和公眾訪問網(如 Internet )分開的方法，它實際上是一種隔離技術。防火墻是在兩 個網絡通訊時執行的一種訪問控制尺度，它能允許你 “同意”的人和數據進入你的網絡，同時將 你“不同意 ”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說， 如果不通過防火墻， 公司內部的人就無法訪問 Internet ， Internet 上的人也無法和公司內部的人 進行通信。1. 防火墻的主要

16、功能包括：a 檢查所有從外部網絡進入內部網絡的數據包；b 檢查所有從內部網絡流出到外部網絡的數據報；c 執行安全策略，限制所有不符合安全策略要求的分組通過；d 具有防攻擊能力，保證自身的安全性。2. 工作原理：防火墻目前主要分包過濾，和狀態檢測的包過濾，應用層代理防火墻。但是 他們的基本實現都是類似的。防火墻一般有兩個以上的網絡卡，一個連到外部 (router) ， 另一個是連到內部網絡。 當打開主機網絡轉發功能時， 兩個網卡間的網絡通訊能直接通 過。當有防火墻時，他好比插在網卡之間，對所有的網絡通訊進行控制。3. 防火墻的種類 防火墻從誕生開始，已經歷了四個發展階段：基于路由器的防火墻、用戶

17、化的防火 墻工具套、建立在通用操作系統上的防火墻、具有安全操作系統的防火墻。常見的防火 墻屬于具有安全操作系統的防火墻，例如NETEYE NETSCREENTALENTIT等。從結構上來分，防火墻有兩種：即代理主機結構和路由器+過濾器結構，后一種結構如下所示：內部網絡過濾器( Filter )路由器( Router) Internet 從原理上來分，防火墻則可以分成 4 種類型：特殊設計的硬件防火墻、數據包過濾型、電路層網關和應用級網關。安全性能高的 防火墻系統都是組合運用多種類型防火墻，構筑多道防火墻 “防御工事 ”。 1 吞吐量 網絡中的 數據是由一個個數據包組成， 防火墻對每個數據包的處

18、理要耗費資源。 吞吐量是指在沒有幀丟 失的情況下，設備能夠接受的最大速率。其測試方法是：在測試中以一定速率發送一定數量的 幀，并計算待測設備傳輸的幀，如果發送的幀與接收的幀數量相等，那么就將發送速率提高并 重新測試；如果接收幀少于發送幀則降低發送速率重新測試，直至得出最終結果。吞吐量測試 結果以比特 /秒或字節 /秒表示。吞吐量和報文轉發率是關系防火墻應用的主要指標，一般采用 FDT (Full Duplex Throughput)來衡量，指64字節數據包的全雙工吞吐量，該指標既包括吞吐 量指標也涵蓋了報文轉發率指標。3. 計算機網絡中使用的通信加密方式有哪些？簡述各自的特點及使用范圍 答：計

19、算機網絡中使用的通信加密方式有：鏈路加密和端到端加密(1) 鏈路鏈路加密面向鏈路的加密方法將網絡看作鏈路連接的節點集合，每一條鏈路被獨立加密。鏈路 鏈 路加密方式為兩個節點之間通信鏈路中的信息提供安全性，它與這個信息的起始或終結無關， 每一個這樣的鏈接相當于OSI參考模型建立在物理層之上的鏈路層。這種類型的加密最容易實現，因為所有的報文都被加密，黑客攻擊者無法獲得任何關于報 文結構的信息，也無法知道通信者、通信內容、通信時間等信息，還可以 稱之為信號流安全。 這種加密方式中，密鑰管理相對來說是簡單的，只在鏈路的兩站節點需要一個共用密鑰。加密 是在每條通信鏈路上獨立進行的，每條鏈路上使用 不同的

20、加密密鑰。因此，一條鏈路上的錯 誤不會波及其他鏈路，影響其他鏈路上的信息安全。鏈路鏈路信息加密僅限于節點內部，所以要求節點本身必須安全。另一個較大的問題是 維護節點安全性的代價。其優缺點如下：a 加密對用戶是透明的， 通過鏈路發送的任何信息在發送前都先被加密； 每條鏈路只需 要一對密鑰；提供了信號流安全機制。b 缺點是數據在中間節點以明文形式出現，維護節點安全性的代價較高。 在鏈路鏈路加密方式中，加密對用戶是看不見的、透明的，所有的用戶擁有一個設備， 加密可以用硬件完成。(2) 節點加密節點加密指每對節點共用一個密鑰， 對相鄰兩節點間 (包括節點本身 )傳送的數據進行加密 保護。盡管節點加密能

21、給網絡數據提供較高的安全性，但它在操作方式 上與鏈路加密是類似 的：兩者均在通信鏈路上為消息提供安全性； 都在中間節點先對消息進行解密， 然后進行加密。 因為要對所有傳輸的數據進行加密， 這一過程在 節點的安全模塊中進行。 在節點加密方式中， 為了將報文傳送到指定的目的地， 鏈路上的每個節點必須檢查路由選擇信息， 因此只能對報文 的正文進行加密而不能對 報頭加密，報頭和路由信息以明文形式傳輸，以便中間節點能得到 如何處理該報文的信息，但是這種方法不利于防止攻擊者分析通信業務。(3) 端一端加密端一端加密方法建立在OSI參考模型的網絡層和傳輸層。這種方法要求傳送的數據從源 端到目的端一直保持密文

22、狀態，任何通信鏈路的錯誤不會影響整體數據的安全性。對于這種方法，密鑰管理比較困難。如果加密在應用層或表示層進行，那么加密可以不依賴于所用通信 網的類型。在端一端加密方式中，只加密數據本身信息，不加密路徑控制信息。信息在發送主機內和 中間節點也是加密的。用戶必須找到加密算法，用戶可以選擇加密，也可以決定施加某種加密 手段。端一端加密方法將網絡看作是一種介質，數據能安全地從源端到達目的端。這種加密在 OSI模型的高3層進行，在源端進行數據加密，在目的端進行解密，而在中間節點及其鏈路上 將一直以密文形式出現。其缺點是允許進行通信量分析，而且密鑰管理機制較復雜。(4) 加密方式的選擇保密是一個相對概念

23、，加密技術在攻守較量中不斷發展和完善。采用什么加密方式，是安 全策略研究的重要內容。一個信息系統要有明晰的安全策略，制定保密策略，選擇合理、合適 的加密方式。前面介紹的幾種加密方式都有其優缺點。 目前網絡加密主要采用鏈路加密和端到端加密方 式。通過對加密方式的分析，可得出如下結論：a在需要保護的鏈路數不多，要求實時通信，不支持端到端加密遠程調用通信等場合宜 采用鏈路加密方式，這樣僅需少量的加密設備，可保證不降低太多的系統效能，不需要 太高的加密成本；b在需要保護的鏈路數較多的場合以及在文件保護、郵件保護、支持端到端加密的遠程 調用、實時性要求不高的通信等場合，宜采用端到端加密方式，這樣可以使網

24、絡具有更 高的保密性、靈活性，加密成本也較低；c在多個網絡互聯的環境下，宜采用端到端加密方式；d對于需要防止流量分析的場合，可考慮采用鏈路加密和端到端加密相結合的加密方式。4. 簡述OSI網絡管理標準的5個功能域。答：根據國際標準化組織定義網絡管理有五大功能：故障管理、配置管理、性能管理、安 全管理、計費管理。對網絡管理軟件產品功能的不同，又可細分為五類，即網絡故障管理 軟件，網絡配置管理軟件，網絡性能管理軟件，網絡服務 /安全管理軟件，網絡計費管理軟 件。下面我們來簡單介紹一下大家熟悉的網絡故障管理、網絡配置管理、網絡性能管理、網絡計費管理和網絡安全管理五個方面網絡管理功能：1、網絡故障管理

25、：計算機網絡服務發生意外中斷是常見的，這種意外中斷在某些重要的 時候可能會對社會或生產帶來很大的影響。但是，與單計算機系統不同的是，在大型計算 機網絡中，當發生失效故障時，往往不能輕易、具體地確定故障所在的準確位置，而需要 相關技術上的支持。因此，需要有一個故障管理系統，科學地管理網絡發生的所有故障， 并記錄每個故障的產生及相關信息，最后確定并改正那些故障，保證網絡能提供連續可靠 的服務。2、網絡配置管理： 一個實現中使用的計算機網絡是由多個廠家提供的產品、設備相互連接而成的，因此各設備需要相互了解和適應與其發生關系的其它設備的參數、狀態等信息,否則就不能有效甚至正常工作。尤其是網絡系統常常是動態變化