Internet网络管理.ppt

8.通用因特网邮件扩充 MIME （1）SMTP的缺点： SMTP 不能传送可执行文件或其他的二进制对象。 SMTP 限于传送 7 位的 ASCII 码。许多其他非英语国家的文字（如中文、俄文，甚至带重音符号的法文或德文）就无法传送。 SMTP 服务器会拒绝超过一定长度的邮件。 某些 SMTP 的实现并没有完全按照[RFC 821]的 SMTP 标准。 （2）MIME 的特点 MIME 并没有改动 SMTP 或取代它。 MIME 的意图是继续使用目前的[RFC 822]格式，但增加了邮件主体的结构，并定义了传送非 ASCII 码的编码规则 （3）MIME 和 SMTP 的关系 （4）MIME 主要包括三个部分 5 个新的邮件首部字段，它们可包含在[RFC 822]首部中。这些字段提供了有关邮件主体的信息。 定义了许多邮件内容的格式，对多媒体电子邮件的表示方法进行了标准化。 定义了传送编码，可对任何内容格式进行转换，而不会被邮件系统改变。 （5）MIME 增加 5 个新的邮件首部 MIME-Version: 标志 MIME 的版本。现在的版本号是 1.0。若无此行，则为英文文本。 Content-Description: 这是可读字符串，说明此邮件是什么。和邮件的主题差不多。 Content-Id: 邮件的惟一标识符。 Content-Transfer-Encoding: 在传送时邮件的主体是如何编码的。 Content-Type: 说明邮件的性质。 （6）内容传送编码（Content-Transfer-Encoding） 最简单的编码就是 7 位 ASCII 码，而每行不能超过 1000 个字符。MIME 对这种由 ASCII 码构成的邮件主体不进行任何转换。 另一种编码称为 quoted-printable，这种编码方法适用于当所传送的数据中只有少量的非 ASCII 码。 对于任意的二进制文件，可用 base64 编码。 （7）内容类型 MIME着标准规定 Content-Type 说明必须含有两个标识符，即内容类型(type)和子类型(subtype)，中间用“/”分开。 MIME 标准定义了 7 个基本内容类型和 15 种子类型。 三、网络入侵检测 1. 入侵检测系统的功能 （1）监视、分析用户及系统活动； （2）审计系统构造和弱点； （3）识别、反映已知进攻的活动模式，向相关人士报警； （4）统计分析异常行为模式； （5）评估重要系统和数据文件的完整性； （6）审计、跟踪管理操作系统，识别用户违反安全策略的行为。 2. 入侵检测系统的类型 按其输入数据的来源分为3种： （1）基于主机的入侵检测系统，其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。 （2）基于网络的入侵检测系统，其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。 （3）分布式入侵检测系统，能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，系统由多个部件组成，采用分布式结构。 根据布控物理位置可分为: （1）基于网络边界（防火墙、路由器）的监控系统 （2）基于网络的流量监控系统 （3）基于主机的审计追踪监控系统 根据建模方法可分为: （1）基于异常检测的系统 （2）基于行为检测的系统 （3）基于分布式免疫的系统 3. 入侵检测系统的实现原理 入侵检测实现一般分为三个步骤: (1) 信息收集 收集的内容包括系统、网络、数据及用户活动的状态和行为； (2) 数据分析 它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析３种手段进行； (3) 响应 入侵检测系统在发现入侵后会及时作出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型 。 4. 入侵检测的主要技术 静态配置分析 是一种通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏； 异常性检测技术 是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法； 基于行为的检测技术 是通过检测用户行为中与已知入侵行为模式类似的行为，与利用系统中缺陷或间接违背系统安全规则的行为，来判断系统中的入侵活动。 3. 动态主机配置协议 DHCP (Dynamic Host Configuration Protocol) （1）概述 动态主机配置协议