第9章计算机网络安全与管理详解.ppt

9.4.4 防火墙系统结构 屏蔽子网结构 屏蔽子网结构防火墙系统在屏蔽主机结构的基础上，增加了一个周边防御网段，用以进一步隔离内部网络与外部网络。 9.4.4 防火墙系统结构 周边防御网段是位于内部网络与外部网络之间的另一层安全网段，分别由内、外两个屏蔽路由器与它们相连。周边防御网段所构成的安全子网又称为“非军事区”(DMZ，Demilitarized Zone)或停火区，又称“参数子网”。这一网段所受到的安全威胁不会影响到内部网络。 跨越防火墙的数据流必须经过外部屏蔽路由器、壁垒主机与内部屏蔽路由器，在两个路由器上都可以设置过滤规则，壁垒主机运行应用代理服务软件。同时，企业对外的信息服务器，如WWW、FTP服务器等，可以放在DMZ内。 9.4.4 防火墙系统结构 使用屏蔽子网防火墙系统的优点 ： Internet上的攻击者要达到内部网络，必须突破外部屏蔽路由器，壁垒主机和内部屏蔽路由器三道防卫设备，对内部网来说，能获得很好的安全防卫性能。 由于外部屏蔽路由器只能向Internet通告DMZ的存在，即保证了内部网络对Internet说来是不可见的，即使在DMZ上也只有选定的系统才向Internet开放(通过路由表和DNS)。 由于内部屏蔽路由器只向内部网络通告DMZ的存在，保证了内部网络上的用户必须通过驻留在壁垒主机上的代理服务才能访问Internet。 9.4.4 防火墙系统结构 没有使用双目主机代理服务系统，而是屏蔽路由器直接指向DMZ上壁垒主机，这样能获得更大的数据包吞吐量。 由于DMZ与内部网是两个被隔离的网络，两个网络可以具有自己的IP编址，网络地址转换(NAT)可以安装在DMZ的壁垒主机上，从而避免在内部网络上为DMZ重新编址或重新划分子网 NAT NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。 9.4.5 使用防火墙系统的优点和局限性 使用防火墙系统的优点 可以对网络安全进行集中控制和管理。 由于防火墙在结构上的特殊位置，使其很方便地提供了监视、管理与审计网络的使用及预警。 为解决IP地址危机提供了可行的解决方法。 防火墙系统可做为Internet信息服务器(如WWW、FTP等服务器)的安装地点。对外发布信息。 9.4.5 使用防火墙系统的优点和局限性 防火墙系统存在的局限性 常常需要有特殊的较为封闭的网络拓扑结构来支持，对网络安全功能的加强往往以网络服务的灵活性、多样性和开放性为代价。 防火墙系统防范的对象是来自内部网络外部的对网络攻击，而不能防范不经由防火墙的攻击。比如通过SLIP或PPP的拨号攻击，绕过了防火墙系统而直接拨号进入内部网络。防火墙系统对这样的攻击很难防范。 防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内部用户或由用户不注意所造成的危害。 第五节 网络管理 9.5.1 网络管理的概述 9.5.2 OSI网络管理标准 9.5.3 简单网络管理协议SNMP 9.5.4 常用网络管理软件 9.5.1 网络管理的概述1、网络管理的基本概念 网络管理，简单地说就是为保证网络系统能够持续、稳定、安全、可靠和高效地运行，对网络系统实施的一系列方法和措施。 网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结果显示给管理员并进行处理，从而控制网络中的设备、设施的工作参数和工作状态，以实现对网络的管理。 2.网络管理的基本内容 1)数据通信网中的流量控制 2)网络路由选择策略管理 3)网络的安全防护 4)网络的故障诊断 5)网络的费用计算 6)网络管理员的管理与培训 3.网络管理系统的基本模型 1）管理对象 2）管理进程 3）管理信息库 4）管理协议 9.5.2 OSI网络管理标准 配置管理（configuration management） 故障管理（fault management） 性能管理（performance management） 安全管理（security management） 记账管理（accounting management） 9.5.3 简单网络管理协议SNMP1．SNMP的概念 简单网络管理协议(SNMP)的体系结构是从早期的简单网关监控协议(SGMP)发展而来的，是Internet组织用来管理采用TCP／IP协议的互连网和以太