计算机网络技术2016新版第11章网络管理与安全技术总结.ppt

高级认证机制 采用如智能卡、认证令牌和基于软件的机制等克服传统口令的缺陷。 产生的口令不能被监视一次连接的攻击者再使用 数据包过滤 过滤可基于源IP地址、目标IP地址、TCP/UDP源端口或目的端口 11.9 防火墙 应用网关：使用软件为服务转发及过滤连接 只允许那些有“代理”的服务通过 协议可能被过滤，如有些防火墙可以过滤FTP连接并拒绝FTP “put”命令的使用，这样就确保了匿名FTP服务器不被用户写入 11.9 防火墙 数据包过滤防火墙 可以决定对它所收到的每个数据包的取舍。 逐一审查每份数据包以及它是否与某个包过滤规则相匹配。 过滤规则以IP数据包中的信息为基础： IP源地址、IP目的地址、封装协议（TCP、UDP、ICMP等）、TCP/UDP源端口、TCP/UDP目的端口、ICMP报文类型、包输入接口和包输出接口等。 如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发。 如果找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃 11.9 防火墙 - 类型 双宿网关防火墙 由一个带两块网络接口卡的主机系统组成，并使主机的IP转发功能禁用（即在缺省条件下主机不再为两个相连网络的数据包寻径） 完全阻塞Internet和被保护站点间的通信。服务和访问由网关上的“代理服务器”来提供，只有存在“代理”的服务才被允许 11.9 防火墙 - 类型 All Application Traffic IP Filtering Internet Application Gateway HTTP/Gopher/FTP Application Traffic Info. Server 双宿网关防火墙 屏蔽主机防火墙 将数据包过滤路由器和安置在路由器一侧受保护子网上的应用网关相结合。 应用网关只需一块网络接口卡，其“代理服务”传送允许的服务给站点系统。路由器过滤或屏蔽有危险的协议到达应用网关或站点系统，它根据下列原则处理通信：从Internet到应用网关的通信被路由；其它来自Internet的通信被拒绝；除非来自应用网关，所有源于内部的通信被拒绝。 11.9 防火墙 - 类型 IP Filtering Internet Application Gateway Other Trusted Traffic All Application Traffic Info. Server 屏蔽主机防火墙 屏蔽子网防火墙 是双宿网关防火墙和屏蔽主机防火墙的变形。它将防火墙的各组件放置在分离的系统上，因而获得更大的吞吐量和灵活性。每个防火墙组件系统只需实现某一特定任务，减少了配置的复杂度。 11.9 防火墙 - 类型 Internet Application Gateway Other Trusted Traffic Application Traffic Info. Server Email Server 屏蔽子网防火墙 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * 11.5 OS-Windows98安全策略 防止非法用户进入 Regedit打开注册表： “\HKEY－USER\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runonce” 在其下创建“字符串值”，名为“非法用户，退出”，字符串为“Rundll.exe User.exe,Exitwindows” 为防止非法用户按F8键调出Windows 98的启动菜单以安全方式进入系统，编辑MSDOS.sys文件，在该文件的[option]小节加入 “BootMulti=0”：设置系统不能进行多重引导； “BootGUI=1”：在启动时直接进入Windows 98图形用户界面； “BootDelay”：设置在启动时“Starting Windows 98 …”信息停留的时间为0秒； “BootKeys”：设置在启动过程中F4、F5、F6、F8功能键失效。 11.5 OS- Windows98安全策略 限制用户级别 隐藏“开始”菜单的部分内容：在注册表 “\HKEY－CURRENT－USER\Software\Microsoft\Windows\Current Version\Policies\Explorer” 该分支下建立一个DWORD值