資源描述:
《網(wǎng)絡(luò)安全管理基礎(chǔ)》由會員上傳分享�����,免費在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、19第1章網(wǎng)絡(luò)安全管理基礎(chǔ)網(wǎng)絡(luò)安全管理基礎(chǔ)在信息時代,信息安全問題越來越重要?����,F(xiàn)在����,大部分信息都是通過網(wǎng)絡(luò)進行傳播的,網(wǎng)絡(luò)安全成為21世紀世界十大熱門課題之一��。網(wǎng)絡(luò)安全在IT業(yè)內(nèi)可分為網(wǎng)絡(luò)安全硬件����、網(wǎng)絡(luò)安全軟件和網(wǎng)絡(luò)安全服務(wù)�����。其中�,網(wǎng)絡(luò)硬件包括防火墻和VPN��、獨立的VPN���、入侵檢測系統(tǒng)�����、認證令牌環(huán)卡、生物識別系統(tǒng)��、加密機和芯片���。網(wǎng)絡(luò)安全軟件包括安全內(nèi)容管理�、防火墻和VPN�、入侵檢測系統(tǒng)、安全3A�、加密等����。其中安全內(nèi)容管理還包括防病毒�����、網(wǎng)絡(luò)控制和郵件掃描���,安全3A包括授權(quán)���、認證和管理。網(wǎng)絡(luò)安全服務(wù)包括顧問咨詢���、設(shè)計實施��、支持維護���、教育培訓(xùn)和安全管理。隨著因特網(wǎng)的日益普及���,網(wǎng)絡(luò)安全正在成為
2���、一個受人關(guān)注的焦點����。而要保證網(wǎng)絡(luò)安全就必須對網(wǎng)絡(luò)進行安全管理�����。下面先了解一下網(wǎng)絡(luò)體系結(jié)構(gòu)的相關(guān)知識�����,以及在相應(yīng)模型中的安全問題�����,再對網(wǎng)絡(luò)安全進行詳細的分析及討論解決網(wǎng)絡(luò)安全管理問題的關(guān)鍵技術(shù)��。1.1網(wǎng)絡(luò)體系結(jié)構(gòu)概述眾所周知���,一個計算機網(wǎng)絡(luò)有許多互相連接的節(jié)點,在這些節(jié)點之間要不斷地進行數(shù)據(jù)交換���。要做到有序地交換數(shù)據(jù)���,每個節(jié)點就必須遵守一些事先約定好的規(guī)則�,這些規(guī)則明確規(guī)定了所交換數(shù)據(jù)的格式及相關(guān)的同步問題��。這些為進行網(wǎng)絡(luò)數(shù)據(jù)交換而建立的規(guī)則��、標準或約定就稱為網(wǎng)絡(luò)協(xié)議�。一個網(wǎng)絡(luò)協(xié)議主要由以下三個要素組成?���!ふZ法:數(shù)據(jù)與控制信息的結(jié)構(gòu)或格式?����!ふZ義:需要發(fā)出何種控制信息���、完成何種協(xié)議及做出
3�、何種應(yīng)答�。·同步:事件實現(xiàn)順序的詳細說明����。由此可見,網(wǎng)絡(luò)協(xié)議是計算機網(wǎng)絡(luò)不可缺少的部分����。很多經(jīng)驗和實踐表明����,對于非常復(fù)雜的計算機網(wǎng)絡(luò)協(xié)議��,為了減少網(wǎng)絡(luò)設(shè)計的復(fù)雜性����,大多數(shù)網(wǎng)絡(luò)都按層(layer)或級(level)的方式來進行組織。不同的網(wǎng)絡(luò)�,其層的數(shù)量、名字��、內(nèi)容和功能都不盡相同�����。這樣分層的好處在于:每一層都實現(xiàn)相對的獨立功能����,因此就能將一個難以處理的復(fù)雜問題分解為若干個較容易處理的問題�。計算機網(wǎng)絡(luò)的各層及協(xié)議的集合稱為網(wǎng)絡(luò)的體系結(jié)構(gòu)(network19第1章網(wǎng)絡(luò)安全管理基礎(chǔ)architecture)。換言之���,計算機網(wǎng)絡(luò)的體系結(jié)構(gòu)是使這個計算機網(wǎng)絡(luò)及其部件所應(yīng)該完成的功能的精確定義���。需
4���、要強調(diào)的是,這些功能究竟由何種硬件或軟件完成����,則是一個遵循這種體系結(jié)構(gòu)的實現(xiàn)的問題?���?梢姡w系結(jié)構(gòu)是抽象的����,是存在于紙上的,而對它的實現(xiàn)是具體的����,是運行在計算機軟件和硬件之上的。常見的網(wǎng)絡(luò)層次結(jié)構(gòu)如圖1-1所示����。圖1-11.2網(wǎng)絡(luò)體系結(jié)構(gòu)的參考模型網(wǎng)絡(luò)體系結(jié)構(gòu)的參考模型主要有兩種:OSI模型和TCP/IP模型��。1.2.1OSI參考模型現(xiàn)代計算機網(wǎng)絡(luò)的設(shè)計����,是按高度結(jié)構(gòu)化方式進行的�。為減少協(xié)議設(shè)計的復(fù)雜性,大多數(shù)網(wǎng)絡(luò)都按層或級的方式來組織�����,每一層都建立在它的下層之上����。不同的網(wǎng)絡(luò),其層的數(shù)量�����,各層的名字�、內(nèi)容和功能都不盡相同。然而�����,在所有的網(wǎng)絡(luò)中,每一層的目的都是向它的上一層提供服務(wù)的�,而
5����、把這種服務(wù)是如何實現(xiàn)的細節(jié)對上層加以屏蔽。最著名的網(wǎng)絡(luò)體系結(jié)構(gòu)是國際標準化組織ISO的開放系統(tǒng)互連(OpenSystemInterconnection���,OSI)參考模型�����,即通常所提的OSI模型��。OSI模型有7層�����,其分層原則如下:·根據(jù)功能的需要分層���。·每一層應(yīng)當實現(xiàn)一個定義明確的功能���?���!っ恳粚庸δ艿倪x擇應(yīng)當有利于制定國際標準化協(xié)議?���!じ鲗咏缑娴倪x擇應(yīng)當盡量減少通過接口的信息量?����!訑?shù)應(yīng)足夠多��,以避免不同的功能混雜在同一層中����。但也不能過多,否則體系結(jié)構(gòu)會過于龐大�。OSI參考模型由低到高依次是物理層、數(shù)據(jù)鏈路層�����、網(wǎng)絡(luò)層�、傳輸層、會話層��、表示層和應(yīng)用層,其體系結(jié)構(gòu)如圖1-2所示��。19第1章網(wǎng)
6�����、絡(luò)安全管理基礎(chǔ)圖1-21.2.2TCP/IP協(xié)議結(jié)構(gòu)體系OSI參考模型的建立是計算機網(wǎng)絡(luò)技術(shù)發(fā)展的一個里程碑��,它為網(wǎng)絡(luò)的標準化提供了一致的框架和前景�。但由于OSI參考模型的龐大��,因此在建立網(wǎng)絡(luò)時���,并沒有完全依賴OSI參考模型����。事實上�,基于TCP/IP協(xié)議的Internet網(wǎng)絡(luò)有著自己的網(wǎng)絡(luò)體系結(jié)構(gòu)——TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)。這種體系結(jié)構(gòu)�,目前已經(jīng)成為事實上的網(wǎng)絡(luò)標準。TCP/IP協(xié)議體系結(jié)構(gòu)與OSI參考模型類似��,也為分層體系結(jié)構(gòu)���,但比OSI參考模型的層數(shù)要少����,一般為4層結(jié)構(gòu),從低到高依次為網(wǎng)絡(luò)接口層���、網(wǎng)絡(luò)層�、傳輸層和應(yīng)用層����,如圖1-3所示。圖1-319第1章網(wǎng)絡(luò)安全管理基礎(chǔ)1.網(wǎng)絡(luò)接
7���、口層網(wǎng)絡(luò)接口層在TCP/IP協(xié)議結(jié)構(gòu)的最底層��。該層中的協(xié)議提供了一種數(shù)據(jù)傳送的方法����,使得系統(tǒng)可以通過直接的物理連接的網(wǎng)絡(luò)�����,將數(shù)據(jù)傳送到其他設(shè)備���,并定義了如何利用網(wǎng)絡(luò)來傳送IP數(shù)據(jù)報�����。TCP/IP網(wǎng)絡(luò)接口層一般包括OSI參考模型的物理層和數(shù)據(jù)鏈路層的全部功能���,因此這一層的協(xié)議很多�,包括各種局域網(wǎng)����、廣域網(wǎng)的各種物理網(wǎng)絡(luò)的標準�。2.網(wǎng)絡(luò)層網(wǎng)絡(luò)層在網(wǎng)絡(luò)接口的上一層。網(wǎng)絡(luò)層協(xié)議IP是TCP/IP的核心協(xié)議�����,也是網(wǎng)絡(luò)層中最重要的協(xié)議�����。IP可提供基本的分組傳
