第9章+网络技术基础与信息安全

《第9章+网络技术基础与信息安全》由会员分享，可在线阅读，更多相关《第9章+网络技术基础与信息安全（79页珍藏版）》请在装配图网上搜索。

1、 9.1 计算机网络概述9.2 计算机网路的体系结构9.3 Internet应用基础9.4 计算机病毒9.5 信息系统安全9.1 9.1 计算机网络概述计算机网络概述9.1.1 9.1.1 计算机网络的发展计算机网络的发展 计算机网络最早出现于20世纪50年代，是通过通信线路将远方终端资料传送给主计算机处理，形成一种简单的联机系统。随着计算机技术和通信技术的不断发展，计算机网络也经历了从简单到复杂，从单机到多机的发展过程，其演变过程主要可分为面向终端的计算机网络、计算机通信网络、计算机互联网络和高速互联网络4个阶段。1.1.面向终端的计算机网络面向终端的计算机网络 第一代计算机网络是面向终端的

2、计算机网络，又称为联机系统。建于20世纪50年代初，是第一代计算机网络。它由一台主机和若干个终端组成，较典型的有1963年美国空军建立的半自动化地面防空系统（SAGE）。在这种联机方式中，主机是网络的中心和控制者，终端（键盘和显示器）分布在各处并与主机相连，用户通过本地的终端使用远程的主机。第一代计算机网络结构 2.2.计算机通信网络计算机通信网络 第二代计算机网络是以共享资源为目的的计算机通信网络。计算机通信网络在逻辑上可分为两大部分：通信子网和资源子网，两者合一构成以通信子网为核心，以资源共享为目的的计算机通信网络。资源子网由主计算机系统、终端、联网外设、各种软件与信息资源组成。负责全网的

3、数据处理。通信子网由通信处理机、通信线路和其他通信设备组成。负责网络信息传输和转发。第二代计算机网络结构 3.计算机互联网络计算机互联网络 随着广域网与局域网的发展以及微型计算机的广泛应用。大量的微型计算机通过局域网接入广域网，而局域网与广域网、广域网与广域网的互联是通过路由器实现的。用户计算机需要通过校园网、企业网或Internet服务提供商（Internet Services Provider，ISP）接入地区主干网，地区主干网通过国家主干网联入国家间的高速主干网，这样就形成一种由路由器互联的大型、层次结构的现代计算机网络，即互联网络，它是第三代计算机网络。计算机互联网络结构 4.高速互联

4、网络高速互联网络 进入20世纪90年代，随着计算机网络技术的迅猛发展，特别是1993年美国宣布建立国家信息基础设施（NII）后，全世界许多国家都纷纷制定和建立本国的NII，从而极大地推动了计算机网络技术的发展，使计算机网络的发展进入一个崭新的阶段，这就是第四代计算机网络，即高速互联网络阶段。随着互联网的迅猛发展，人们对远程教学、视频会议等多媒体应用的需求大幅度增加。这样，以传统电信网络为信息载体的计算机互联网络不能满足人们对网络速度的要求，促使网络由传统的计算机互联网络向高速互联网络发展。9.1.2 9.1.2 计算机网络的定义与功能计算机网络的定义与功能 计算机网络是计算机技术与通信技术紧密

5、结合的产物，它出现的历史虽然不长，发展却非常迅速。1.计算机网络的定义计算机网络的定义 所谓计算机网络是指将一群具有独立功能的计算机通过通信设备及传输媒体互连起来，在通信软件的支持下，实现计算机间资源共享、信息交换的系统，称之为计算机网络。2.2.计算机网络的功能计算机网络的功能(1)数据通信(2)共享资源(3)实现分布式的信息处理(4)提高计算机系统的可靠性和可用性9.1.3 计算机网络设备计算机网络设备 1.网络硬件 (1)网络适配器 网络适配器（Net Interface Card，NIC）也称为网卡或网板，是计算机与传输介质进行数据交互的中间部件，通常插入到计算机总线插槽内或某个外部接

6、口的扩展卡上，进行编码转换和收发信息。光纤网卡 笔记本无线网卡 (2)调制解调器 调制解调器（Modem），俗称“猫”，负责进行数字信号与模拟信号的转换。将数字信号转换为模拟信号称为调制；将模拟信号还原为数字信号称为解调。外置调制解调器 内置调制解调器 (3)传输介质 在计算机网络的数据通信系统中的通信线路是指数据通信系统中发送器和接收器之间的物理路径，它是传输数据的物理基础。通信线路分为有线和无线两大类。通常使用的传输介质有：双绞线同轴电缆光纤无线传输介质 2.互联设备 (1)中继器 中继器（Repeater）是局域网环境下用来延长网络距离的最简单、最廉价的互连设备，工作在OSI的物理层，作

7、用是对传输介质上传输的信号接收后经过放大和整形再发送到其传输介质上。中继器 (2)集线器 集线器（Hub）可以说是一种特殊的中继器，区别在于集线器能够提供多端口服务，每个端口连接一条传输介质，也称为多端口中继器，如图9.14所示，为24端口的集线器。用户可以用双绞线通过RJ-45连接到Hub上。集线器 (3)网桥 网桥（Bridge）也叫桥接器，是连接两个局域网的一种存储/转发设备，工作在OSI的数据链路层。(4)路由器 路由器（Router）是在网络层提供多个独立的子网间连接服务的一种存储/转发设备，工作在OSI的网络层。(5)网关 网关（Gateway）在互联网络中起到高层协议转换的作用。

8、如Internet上用简单邮件传输协议(SMTP)进行传输电子邮件时，如果与微软的Exchange进行互通，需要电子邮件网关。9.1.4 9.1.4 计算机网络的结构与分类计算机网络的结构与分类 在计算机网络结构中，各种结构的网络在性能、适用环境、建设成本等方面都有很大的不同。1.网络拓扑结构的类型 网络拓扑结构属于一种几何图论的变异，它用点和线（其中点表示网络节点，线表示通信线路）表示整个网络的整体结构外貌和各模块（其中点表示网络设备）的结构关系。计算机网络有很多种拓扑结构，最常用的网络拓扑结构有：总线型结构、环型结构、星型结构、树型结构、网状结构和混合型结构。总线结构 环型结构星型结构 树

9、型结构网状结构 2.计算机网络的分类 网络类型的划分方法各种各样，但是从地理范围划分是一种大家都认可的通用网络划分方法，按这种方法可以把网络类型划分为局域网、城域网、和广域网三种。所谓的网络体系结构就是为了完成主机之间的通信，把网络结构划分为有明确功能的层次，并规定了同层次虚通信的协议及相邻层次之间的接口与服务。因此，网络的层次结构模型与各层协议和层间接口的集合统称为网络体协结构。9.29.2计算机网络的体系结构计算机网络的体系结构9.2.1 OSI开放系统互联参考模型开放系统互联参考模型 1964年，ISO公布了一个修订版本，称之为开放式系统互联参考模型的OSI模型（Open System

10、Interc-onnection Reference Model）。OSI参考模型 1.物理层物理层 其任务是提供网络的物理连接，利用物理传输介质为数据链路层提供位流传输。物理层传送的基本单位是比特。2.数据链路层数据链路层 数据链路层的功能是实现无差错的传输服务。数据链路层传送的基本单位是帧。3.网络层网络层 网络层解决的是网络与网络之间（即网际）的通信问题。主要功能是选择到达目标主机的最佳路径，并沿该路径传送数据包。网络层传送的基本单位是分组 4.传输层传输层 传输层解决的是数据在网络之间的传输质量问题，如消除通信过程中产生的错误，提供可靠的端到端的数据传输。传输层传送的基本单位是报文。5

11、.会话层会话层 用户或进程间的一次连接称为一次会话。会话层负责提供建立、维护和拆除两个进程间的会话连接。6.表示层表示层 表示层负责管理数据的编码方法，对数据进行加密和解密、压缩和恢复。提供不兼容数据编码格式之间的转换。7.应用层应用层 负责网络中应用程序与网络操作系统之间的联系，为用户提供各种服务，如电子邮件和文件传输等。9.2.2 TCP/IP的分层结构的分层结构 TCP/IP协议模型采用四层的分层体系结构。TCP/IP四层协议模型以及与OSI参考模型的对照关系如下：TCP/IP参考模型与OSI参考模型对照关系 1.网络接口层网络接口层 该层的作用是能传输经网络互联层处理过的信息，并提供主

12、机与实际网络的接口，而具体的接口关系则可以由实际网络的类型所决定。2.网络层网络层 该层定义了IP协议的报文格式和传送过程，作用是把IP报文从源端送到目的端，协议采用非连接传输方式，不保证IP报文顺序到达。主要负责解决路由选择，跨网络传送等问题。3.传输层传输层 该层定义了TCP协议，TCP建立在IP之上（这正是TCP/IP的由来），提供了IP数据包的传输确认、丢失数据包的重新请求，将收到的数据包按照它们的发送次序重新装配的机制。TCP协议是面向连接的协议。4.应用层应用层 应用层对应于OSI的最高三层，它是TCP/IP系统的终端用户接口，是专门为用户提供应用服务的。例如，利用文件传输协议（F

13、TP）请求传输一个文件和一个目标计算机的连接。9.2.3 IEEE802标准与网络协议 1.IEEE802标准标准 在1980年2月电子和电气工程师协会（IEEE）成立了局域网标准化委员会，专门进行局域网标准的制定，经过多年的努力，形成了IEEE802标准系列，已经发布的标准如下：IEEE802.1 概述、LAN体系结构和网络互连以及网络管理和性能测量；IEEE802.2 逻辑链路控制协议（LLC）；（详见教材p309）2.网络协议网络协议 网络协议主要由以下3个要素组成：（1）语法：即数据与控制信息的结构或格式。例如在某个 协议中，第一个字节表示源地址，第二个字节表示目的地址，其余字节为要发

14、送的数据等。（2）语义：定义数据格式中每一个字段的含义。例如发出 何种控制信息，完成何种动作以及做出何种应答等。（3）同步：收发双方或多方在收发时间和速度上的严格匹配，即事件实现顺序的详细说明。9.3 Internet9.3 Internet应用基础应用基础9.3.1 Internet起源及发展起源及发展 Internet的中文译名为“因特网”。它是由成千上万个路由器或网关通过各种通信线路把分散在不同地域、不同类型的计算机网络连接在一起的世界上最大的互联网络。Internet的主要功能可分为5个方面：网上信息查询、网上交流、电子邮件、文件传输和远程登录。Internet的前身是1969年美国国

15、防部的ARPAnet网，1986年发展成为NSFnet广域网，由于商业机构的加入到1991年发展成为Internet。1967年9月，中国学术网（CANET）在北京计算机应用技术研究所内正式建成中国第一个国际互联网电子邮件节点，并于9月14日发出了中国第一封电子邮件：“Across the Great Wall we can reach every corner in the world.(越过长城，走向世界)”，揭开了中国人使用互联网的序幕。1994年我国正式加入Internet，截止2008年12月1日，我过上网用户总数超过3亿达到2.98亿人。目前，我国提供互联网接入服务的主要运营商为：

16、9.3.2 Internet9.3.2 Internet在中国在中国1.中国公用计算机互联网ChinaNET 2.中国教育和科研网CERNET3.中国科学技术网CSTNET4.中国金桥信息网ChinaGBN5.中国网络通信集团CHINA1696.中国国际经济贸易互联网CIETNET7.中国联通互联网UNINET8.中国移动互联网CMNET其中的前4个运营商被称为中国4大互联网。为了实现Internet上计算机之间的通信，每台计算机都必须有一个地址，就像每部电话要有一个电话号码一样，每个地址必须是唯一的。在Internet中有两种主要的地址识别系统，即IP地址和域名系统。9.3.3 IP9.3.

17、3 IP地址和域名地址和域名 1.IP地址地址 IP地址是IP协议提供，为Internet上的每一个网络和每一台主机分配的一个网络地址。每一个IP地址在Internet上是唯一的，是运行TCP/IP协议的唯一标识。(1)IP地址的组成 IP地址采用分层结构，由网络地址和主机地址组成，用以标识特定主机的位置信息。网络地址网络地址主机地址主机地址 其中，网络地址代表在Internet Internet 中的一个物理网络，主机地址代表在这个网络中的一台主机。一个IP地址包含32位二进制数，分为4个字节。表示时常用十进制，每个字节的取值不超过255。如：IP地址 01010010 10101010 1

18、00110011 11110101 的十进制格式为82.170.147.245。(2)IP(2)IP 地址的类型地址的类型 IP地址根据网络规模的大小分成A A、B B、C C、D D、E E五种类型，其中A A类、B B类和C C类地址为基本地址。(3)子网掩码 子网掩码也是一个32位的二进制数，若它的某位为1，表示该位所对应IP地址中的一位是网络地址部分中的一位；若某位为0，表示它对应IP地址中的一位是主机地址部分中的一位。通过子网掩码与IP地址的逻辑“与”运算，可分离出网络地址。如果一个网络没有划分子网，子网掩码是网络号各位全为1，主机号各位全为0，这样得到的子网掩码为缺省子网掩码。A类

19、网络的缺省子网掩码为255.0.0.0；B类网络的缺省子网掩码为255.255.0.0；C类网络的缺省子网掩码为255.255.255.0。(1)域名的划分 域名是网站在互联网上的名字。一个成功地网站，在全世界范围内，域名是唯一的。从技术上讲，域名只是Internet中用于解决地址对应问题的一种方法，为了便于识别，在nternet上，对“域”的命名有一些约定，一般结构为：主机名.网络名.机构域.国别代码 域名最右边的部分又称为顶级域名。顶级域名分为种：全球顶级域名和国别代码顶级域名。全球顶级域名域名域名国家和地区域名域名国家和地区国家和地区域名域名国家和地区国家和地区auaubebecacac

20、ncndederurufrfr澳大利亚澳大利亚比利时比利时加拿大加拿大中国中国德国德国俄罗斯俄罗斯法国法国ukukhkhkininjpjpkpkpnonodkdk英国英国香港香港印度印度日本日本韩国韩国挪威挪威丹麦丹麦nlnlnznzititseseflfltwtwusus荷兰荷兰新西兰新西兰意大利意大利瑞典瑞典芬兰芬兰台湾台湾美国美国国别代码顶级域名 国别代码顶级域名中的国家或地区代码由两个字母组成。域名域名性质性质acaccom com edu edu gov gov netnetorgorg科研机构科研机构工商机构工商机构教育机构教育机构政府部门政府部门网络机构网络机构非盈利组织非盈利组

21、织(2)中国互联网络的域名 中国互联网络的域名体系顶级域名为cn。二级域名共40个，分为类别域名和行政区域名两类。其中，类别域名共6个。(3)域名命名的一般规则 域名中包含的字符 26个英文字母。10个阿拉伯数字。“-”（英文中的连字符）。域名中字符的组合规则 在域名中，不区分英文字母的大小写。一个域名的两个小数点之间不能超过26个字母。cn下域名命名的规则 遵照域名命名的全部规则。只能注册三级域名，三级域名由字母（az不区分大小写）、数字（09）、连字符“-”组成，各级域名之间用小数点“.”连接，三级域 名长度不得超过20个字符。在注册域名时，未经国家有关部门批准，不得使用含有“china”

22、、“chinese”、“cn”、“national”等字样的域名；不得使用公众知晓的其他国家或地区名、国际组织名；不得使用县级以上行政区域名称；不得使用他人在中国注册过的企业名称或商标名称；不得使用对国家、社会或者公共利益有损害的名称。域名在注册时，可以使用中文字符命名。拨号接入方式 9.3.4 Internet接入技术接入技术 1.调制解调器拨号接入调制解调器拨号接入 只要有电话线就可以方便的接入Internet，使用调制解调器，连接电话线，拨号即可上网。2.xDSL接入方式接入方式 DSL（数字用户线路，Digital Subscriber Line）是以铜质电话线为传输介质的传输技术组合

23、，它包括ADSL、HDSL、SDSL、VDSL和RADSL等，一般称之为xDSL。它们主要的区别体现在信号传输速度和距离的不同以及上行速率和下行速率对称性的不同两方面。在国内，最常见的是ADSL技术，即非对称数字用户线，是一种在现存的电话线上以高比特率（理论下载速度6Mbps）传播数据的一种技术，是家庭广泛使用的一种宽带接入技术。ADSL接入方式 3.光纤接入方式光纤接入方式 光纤用户网是指提供Internet服务的局端与用户之间完全以光纤作为传输媒体的接入网络方式。有很多方案，如光纤到路边（FTTC）、光纤到小区（FTTZ）等，都可以提供高速、稳定的接入，是大型企事业单位、学校、网吧等常见的

24、接入方式。唯一缺点是价格相对昂贵。4.移动网络接入移动网络接入 只要能使用移动电话的地方，就可以为出门在外的人士接入Internet。目前，主要使用中国移动通信的GPRS技术和中国联通的CDMA技术。但两种技术都有相似的问题：接入速度低，费用高昂。5.局域网接入方式局域网接入方式 将一个局域网接入Internet主机有两种方法：通过局域网的服务器、高速调制解调器和电话线路，在TCP/IP软件支持下把局域网与因特网主机连接起来，局域网中所有计算机共享服务器的一个IP地址；通过路由器在TCP/IP支持下把局域网接入因特网，局域网上的所有主机都有自己的IP地址。这种接入方式，虽然开始软硬件的投资较高

25、且每月的通信线路费用也较高，但是它最适合用于学校、政府机构及企事业单位中已装有局域网的用户。1.万维网万维网WWW World Wide Web简称WWW或Web，也称万维网。WWW采用客户机/服务器工作方式。客户机是连接到Internet上的无数计算机，机上使用的程序称为Web浏览器。例如，Internet Explorer。浏览器用于在Web上请求文档和在客户机上生成文档。浏览器中所看到的画面叫做网页(Web页)。多个相关的Web页组成一个Web站点，放置Web站点的计算机称为Web服务器。可以将WWW看作因特网上的一个大型的图书馆，Web站点就像图书馆中的一本本书，而Web页则是书中的某

26、一页。http:/ 网络协议 域地址 文件夹 网页名称URL组成 【例例9.1】已知http:/为教育部的域名地址，接入“教育部主页”在IE窗口的“地址”栏内输入http:/并按回车键，进入教育部主页。教育部主页 (2)使用搜索引擎 信息检索通常指文本信息检索，包括信息的存储、查询、存取等。其核心为文本信息的索引和检索技术。搜索引擎是一个为你提供信息“检索”服务的网站(如，百度、谷歌)，使用他们可以把因特网上的所有信息归类，以帮助人们在茫茫网海中搜寻到所需要的信息。百度首页(3)页面保存 保存当前网页，可执行IE窗口中的“文件”|“另存为”命令，打开如图所示的“保存网页”对话框，指定目标文件的

27、存放位置、文件名和保存类型即可。具体操作见教材例9.2。保存网页 9.3.6 FTP9.3.6 FTP服务服务 FTP是在不同的计算机系统之间传递文件。从远程计算机上复制文件到本地计算机成为下载，将本地计算机上的文件拷贝到远程计算机上成为上传。Internet上的文件传输功能都是依靠FTP协议实现的。【例【例9.3】访问域名为 ftp:/ 1.电子邮件概述电子邮件概述 电子邮件（E-mail）是Internet提供的一项基本服务，其工作过程遵循客户机/服务器模式。在Internet上有许多处理电子邮件的邮件服务器。邮件服务器中包含了众多用户的电子信箱，电子信箱实质上是邮件服务提供机构在服务器硬

28、盘上为用户开辟的一个专用存储空间。发送邮件的服务器遵循SMTP协议，接收邮件的服务器遵循POP3协议。9.3.7 电子邮件电子邮件 2.电子邮件地址格式电子邮件地址格式 在Internet上，每一个电子邮件用户拥有的电子邮件地址称为E-mail地址，它具有如下所示的统一格式：用户名电子邮件服务器 用户账号 At 主机地址例如，X，表示中国(cn)上海(sh)上海热线(online)主机上的用户Xyzyy的E-mail地址。9.3.8 9.3.8 博客空间博客空间 博客可以说是继Email、BBS、ICQ(IM)之后出现的第四种网络交流方式。它是英文单词“Blog”的音译，来源于“WebLog(

29、网络日志)”的缩写，一般认为是Peter Merholz在1999年命名的。博客，是一种特殊的网络个人出版形式：一个Blog就是一个网页，通常由简短、经常更新的帖子构成。这些帖子按照年份和日期倒序排列，所以也称为“网络日志”。“博客”的原意是指写Blog的人(即Blogger)，但后来逐渐把它用作Blog的中文称呼。9.4 计算机病毒计算机病毒9.4.1 9.4.1 计算机病毒概述计算机病毒概述 1.计算机病毒的产生计算机病毒的产生 计算机病毒是一种最为神奇的人类智慧的结晶，它像一个幽灵在计算机世界里游荡。计算机病毒一般来自恶作剧、报复心理、版权保护等方面。某些爱好计算机并对计算机技术精通的人

30、为了炫耀自己，凭借对软硬件的深入了解，编制一些特殊的程序。这些程序通过载体传播出去以后，在一定的条件下被触发，影响计算机系统的正常运行。2.计算机病毒的表现形式计算机病毒的表现形式(1)硬盘无法启动，数据丢失(2)系统文件丢失或被破坏(3)部分文档丢失或被破坏 (4)修改Autoexec.bat文件 (5)使部分BIOS程序混乱，主板被破坏。(6)网络瘫痪，无法提供正常的服务9.4.2 计算机病毒定义、特点及分类计算机病毒定义、特点及分类1.计算机病毒定义计算机病毒定义 计算机病毒，是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代

31、码。2.计算机病毒的特点计算机病毒的特点(1)传染性 (2)隐蔽性 (3)潜伏性 (4)破坏性 (5)针对性3.计算机病毒分类计算机病毒分类(1)按破坏性分类 良性病毒 恶性病毒 极恶性病毒 灾难性病毒(2)按传染方式分 引导区型病毒 文件型病毒 混合型病毒 宏病毒(3)按连接方式分 源码型病毒 入侵型病毒 操作系统型病毒 外壳型病毒 9.4.3 计算机病毒检测与清除计算机病毒检测与清除 1.计算机病毒的检测计算机病毒的检测 计算机病毒的检测通常采用手工检测和自动检测两 种方法。2.病毒的清除和常见病毒介绍病毒的清除和常见病毒介绍(1)病毒的清除 KILL(金辰公司)KV300(江民公司)RA

32、V（瑞星公司）NORTON(美国SYMANTEC公司)VRV（信源公司）(2)常见病毒介绍宏病毒 文件型病毒，感染扩展名为COM和EXE是文件。CIH病毒 破坏硬件、能篡改主板BIOS中数据造成无法开机。蠕虫病毒 指利用网络缺陷进行繁殖，占用大量系统和网络资源，致使计算机和网络服务器负荷过重而死机。木马病毒 是一种伪装潜伏的网络病毒，利用系统漏洞进入用户的计算机系统，通过修改注册表自行启动，运行时不让用户觉察，将计算机中的信息都暴露在网络中。1.信息安全的定义信息安全的定义所谓信息安全，是指计算机系统本身建立和采取的技术和管理的安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或

33、恶意的原因而使系统或信息遭到破坏、更改或泄漏。2.信息安全的分类信息安全的分类(1)技术安全类(2)(2)管理安全类(3)(3)政策法规类 9.5 信息系统安全信息系统安全9.5.1 信息安全的基本概念信息安全的基本概念 1.黑客简介黑客简介 “黑客”一词由英语Hacker英译，是指专门研究、发现计算机和网络漏洞的计算机爱好者。黑客对计算机有着狂热的兴趣和执著的追求，他们不断地研究计算机和网络知识，挑战高难度的网络系统并从中找出漏洞，然后向管理员提出解决和修补漏洞的方法。黑客不干涉政治，他们的出现推动计算机和网络的发展和完善。黑客所作的不是恶意破坏，他们追求共享、免费，提供自由、平等，黑客的存

34、在是由于计算机技术不健全，从某种意义上讲，计算机的安全需要更多黑客去维护。9.5.2 黑客及防御策略黑客及防御策略 2.黑客行为特征黑客行为特征 (1)隐蔽攻击型 (2)定时炸弹型 (3)制造矛盾型 (4)职业杀手型 (5)窃密高手型 3.防御黑客入侵的方法防御黑客入侵的方法 (1)实体安全的防范 (2)基础安全防范 (3)内部安全防范机制 1.防火墙的概念及作用防火墙的概念及作用 防火墙是指设置在不同网络（如，企业内部网和Internet）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策,控制出入网络的信息流，且本身具有较强的抗攻击能力。

35、它是提供信息安全服务，实现网络和信息安全的基础设施。有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。由此可知，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。9.5.3 防火墙防火墙2.防火墙的基本功能防火墙的基本功能 防火墙主要功能如下：过滤进出网络的数据。管理进出网络的访问行为。封堵某些禁止的业务。记录通过防火墙的信息内容和活动。对网络攻击进行检测和告警。3.防火墙的分类防火墙的分类 从不同的角度有不同的分类，按照防火墙的体系结构可分为屏蔽路由器、双穴主机网关、被屏蔽主机网关和被屏蔽子网等，并可以有不同的组合。(1)双穴主

36、机网关 双穴主机网关是用1台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。因特网堡垒主机网卡网卡内联网双穴堡垒主机网关 (2)屏蔽主机网关 堡垒主机置于内部网中，在内外部网间增加分组过滤路由器，该路由器只允许外部网络访问内部网络中的堡垒主机。这样，内外网络连接需要经过路由器和堡垒主机2道屏障。对于屏蔽主机网关，堡垒主机上只有一块网卡。因 特 网堡 垒 主 机网 卡路 由 器内 联 网屏蔽主机网关 (3)屏蔽子网网关 屏蔽子网网关在屏蔽主机网关的基础上，又增加了一个内部过滤路由器，并且堡垒主机也不只1个，形成了1个独立的小型堡垒主机子网。对这个子网的访问受路由器中屏蔽规则的保护，子网中的堡垒主机是惟一能被内外部网络访问到的系统。内部路由器堡垒主机堡垒主机内联网因特网外部路由器屏蔽子网网关 演讲完毕，谢谢观看！