《第9章 计算机网络安全与网络管理.ppt》由会员分享,可在线阅读,更多相关《第9章 计算机网络安全与网络管理.ppt(58页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络无限,风光无限!网络无限,风光无限!第第9 9章章 计算机网络安全与网络管理计算机网络安全与网络管理 9.1 计算机网络安全计算机网络安全 9.2 防火墙防火墙 9.3 数据加密技术数据加密技术 9.4 计算机网络管理计算机网络管理9.1 9.1 计算机网络安全计算机网络安全 9.1.1 网络安全标准网络安全标准 9.1.2 网络安全特征网络安全特征 9.1.3 网络系统的主要威胁网络系统的主要威胁 9.1.4 网络系统的安全漏洞网络系统的安全漏洞 9.1.5 Internet的网络安全层次的网络安全层次 9.1.6 网络安全措施网络安全措施9.1.1 9.1.1 网络安全标准网络安全标准
2、 美国DOD公布了“桔皮书”(Orange Book),其正式名称为“可信计算机系统标准评估准则”桔皮书将计算机安全由低到高分为四类七级,即D1、C1、C2、B1、B2、B3、A1。D1级D1级,计算机安全的最低一级。不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬件软件都容易被侵袭。D1级的计算机系统包括:MS-DOS,MS-Windows 3.X/Windows 95,APPLE的SYSTEM 7.X。C1级C1级,自主安全保护级。要求硬件由一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。但C1级不能控制进入系统的用户的
3、访问级别,用户可以直接访问操作系统的根。常见的C1级的计算机系统包括:早期的UNIX,XENIX,Novell 3.X。C2级C2级,受控存取保护级。比C1级增加了几个特性:引进了受控访问环境(用户权限级别),进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序的权限或访问分级目录,数据访问控制为目录级;采用系统审计,跟踪记录所有安全事件及系统管理员的工作。达到C2级的常见计算机系统包括:UNIX,XENIX,Novell 3.X以上版本,Windows NT。B1级、B2级、B3级B1级,标记安全保护级。对网络上的每一个对象都实施保护;支持多级安全,对网络、
4、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。B2级,结构化保护级。对网络和计算机系统中所有对象都加以定义,给一个固定标签;为工作站、终端、磁盘驱动器等设备分配不同的安全级别;按照最小特权原则取消权利无限大的特权用户,任何一个人都不能享有操作和管理计算机的全部权力。B3级,安全域级。要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责隔离,将人为因素对计算机安全的威胁减最小。A1级A1级,验证设计级,桔皮书中的最高安全级。本
5、级包括了以上各安全级别的所有措施,并附加了一个安全系统的受监视设计,合格的个体必须经过分析并通过这一设计;所有构成系统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。综上所述,D1级是不具备最低安全限度的等级,C1和C2是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,基本可以满足一般的重要应用的安全要求,B3和A1属于最高安全等级,其成本增加很多,只有极其重要的应用才需要使用这种安全等级的系统。9.1.2 9.1.2 网络安全特征网络安全特征 保密性保密性 完整性完整性 可用性可用性 可控性可控性信息传输中的五种情况BCBCBC(a)正
6、常情况(b)中断(interruption)(c)窃取(interception)(e)假冒(Fabrication)(d)篡改(modification)9.1.39.1.3网络系统的主要威胁网络系统的主要威胁一般认为,黑客攻击、计算机病毒和拒绝服务攻击等三个方面是计算机网络系统受到的主要的威胁。黑客攻击:黑客非法进入网络并非法使用网络资源。计算机病毒:计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。拒绝服务攻击:拒绝服务攻击是攻击者在短时间内发送大量的访问请求,而导致目标服务器资源枯竭,不能提供正常的服务。9.1.4 9.1.4 网络系统的安全漏洞网络系
7、统的安全漏洞网络系统的安全漏洞大致可以分为以下三个方面:网络系统的安全漏洞大致可以分为以下三个方面:网络的漏洞网络的漏洞服务器的漏洞服务器的漏洞操作系统的漏洞操作系统的漏洞9.1.5 Internet9.1.5 Internet的网络安全层次的网络安全层次 从整体上看,Internet网络安全可分为以下几个层次,即操作系统层、用户层、应用层、网络层(路由器)和数据链路层。用户层安全应用层安全操作系统层安全数据链路层安全路由器安全数据链路层安全用户层安全应用层安全操作系统层安全图9-2 Internet的网络安全层次9.1.6 9.1.6 网络安全措施网络安全措施 具体来讲,计算机网络安全措施主
8、要包括:物理访问控制、逻辑访问控制、组织控制、人员控制、操作控制、应用程序开发控制、服务控制、工作站控制、数据传输保护等。下面对一些具体而有效的主要措施进行简单介绍。口令管理:主要是口令的选择、管理、使用期限等。每个用户,包括系统管理员都必须注意要定期或不定期地更换口令。用户权限:在一定条件下调整用户与组的特权,使用户的进程暂时获取某个用户或组的特权,这是UNIX系统安全管理的焦点,也是外来攻击点关注的焦点。文件/目录的访问控制:访问控制可决定哪些用户可访问哪些文件或目录,对文件、目录享有何种具体操作。对文件/目录进行有效的访问控制是保证网络安全的一个重要措施。系统的配置:要及时消除系统配置错
9、误及服务进程的漏洞。对那些公开的服务进程要限制其权限访问范围,减少执行其它程序的能力。减少服务器中服务或进程的灵活性或限制在内部使用。1、网络服务器的安全措施、网络服务器的安全措施有两种不同方式提供安全通信:建立物理安全的传输媒介建立物理安全的传输媒介对传输数据进行加密对传输数据进行加密2、网络通信安全措施、网络通信安全措施防火墙是互连网络上的首要安全技术。防火墙是设置在网络与外部之间的一道屏障。设置防火墙是目前在互连网中防范非法进入的最有效的方法。仅靠防火墙无法保证网络完全不受外部非法侵入,但它可以明显起到保护隔离作用。3、设置防火墙、设置防火墙拨号网络的用户存在着不定性和广泛性的特点,因此
10、,拨号功能的加入会影响并降低网络的安全性。可以通过以下措施来进行网络安全性管理:确认授权用户的身份:可在路由器或登录服务器上采用用户及口令验证。可以通过对路由器的设置,使得用户在通过特定线路登录时必须进行用户及口令检查,以确认用户的合法身份。采用反向拨号等方法来检验用户的真实身份。4、拨号网安全管理、拨号网安全管理审计是网络安全的一项重要内容。应该在网络服务器中为网络系统中的各种服务项目设置审记日志。经常整理日志的内容以发现异常,是防范网络被非法侵入的基本手段之一。对于大型网络设备或服务器,如果审记日志的信息量很大,还应该制定审计日志数据的维护和备份方法。5、安全审计、安全审计经常不定期地检查
11、系统进程,能及时发现服务失效的情况,而且,还有助于发现攻击者设置的“特洛依木马”等。6、检查系统进程、检查系统进程7、物理设备安全与人员安全措施、物理设备安全与人员安全措施物理安全性包括机房的安全、所有网络的网络设备(包括服务器、工作站、通信线路、路由器、网桥、磁盘、打印机等)的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外,还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。要加强网络管理人员的自身管理,限制特权用户的人数,明确管理人员各自的职能和级别权限。要加强网络用户的网络安全意识教育,使得用户在使用网络时能够主动参与到网络安全管理当中。防范
12、网络非法侵入可分为主动方式和被动方式。在被动方式下,当系统安全管理员发现网络安全遭到破坏时,应立即制止非法侵入活动并将入侵者驱逐出去,及时恢复网络的正常工作状态,以尽量减少网络可能遭受的危害。当系统的安全防范能力较强可采用主动方式:在保证网络资源及各项网络服务不受损害的基础上,让非法入侵者继续活动,追踪入侵者并检测入侵者的来源、目的、非法访问的网络资源等,以取得可追究其责任的证据,减少今后的威胁。8、设置陷阱和诱饵、设置陷阱和诱饵9.2 9.2 防火墙防火墙 9.2.1 防火墙的基本概念防火墙的基本概念 9.2.2 防火墙的结构防火墙的结构 9.2.3 防火墙的类型防火墙的类型1 1、防火墙的
13、概念、防火墙的概念 防火墙(Firewall)是一种形象的说法,其实它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和外部网络之间的访问控制。防火墙系统决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些可访问的服务,内部人员可以访问哪些外部服务等。9.2.1 9.2.1 防火墙的基本概念防火墙的基本概念 内部网防火墙Internet图9-4 防火墙逻辑示意图 2、防火墙的功能、防火墙的功能保护那些易受攻击的服务控制对特殊站点的访问集中化的安全管理对网络的存取访问进行记录、统计,监视网络的安全性并产生报警9.2.2 9.2.2 防火墙的结构防火墙的结构内部网络外部网
14、络物理层数据链路层网络层传送层会话层表示层应用层防火墙图9-5 防火墙在网中的位置9.2.3 9.2.3 防火墙的类型防火墙的类型防火墙包括三种类型:数据包过滤器、应用代理防火墙和线路层防火墙.1、数据包过滤器、数据包过滤器 数据包过滤器又称包过滤防火墙,是众多防火墙中最基本、最简单的一种,也是费用最少的一种。数据包过滤器可以通过提供访问控制表来拒绝或允许路由器间数据包的交换。2、应用代理防火墙、应用代理防火墙应用代理防火墙不使用通用的过滤器,而是使用针对某个特定应用的过滤器。通常是一段专门的程序。代理服务(Proxy Service)将通过防火墙的通信链路分为两段:内部网络的网络链路到Pro
15、xy Server为止;外部计算机的网络链路也只能到达ProxyProxy Server。没有直接的连接内部网和外部网的网络链路。3、线路级防火墙、线路级防火墙 线路级防火墙实际上是一种TCP连接的中继服务。TCP连接的发起方并不直接与响应方建立连接,而是与一个作为中继的线路级防火墙交互,再由它与响应方建立TCP连接,并在此过程中完成用户鉴别和在随后的通信中维护数据的安全,控制通信的进展。9.3 9.3 数据加密技术数据加密技术 9.3.1 数据加密概述数据加密概述 9.3.2 公开密钥密码体制公开密钥密码体制9.3.1 9.3.1 数据加密概述数据加密概述 一般的数据加密模型如图所示。在发送
16、端,明文X使用加密算法E和加密密钥Ke得到密文Y=EKe(x)。在接收端,利用解密算法D和解密密钥Kd,解出明文X=DKd(Y)。在传送过程中可能会出现密文截取者,又称入侵者。截取者明文XE 加密算法D 解密算法发送端接收端加密密钥Ke解密密钥Kd密文Y=Eke(X)计算机密码学是解决网络安全问题的技术基础,是一个专门的研究领域。密码技术主要研究以下几个问题:数据加密:通过对信息的重新组合使得只有收发双方才能解码还原信息。加密系统密钥是加密系统的基础。加密:把明文变换成密文的过程。常用的方法有:换位、取代、代数运算等。加密可使用其中一种或多种方法。认证:指识别个人、网络上的机器或机构的身份。身
17、份认证属于一致性验证,是建立一致性证明的一种手段。身份认证主要包括认证依据、认证系统和安全要求。解密:把密文还原成明文的过程。解密算法是加密算法的逆过程。数字签名:将发送文件与特定的密钥捆在一起。签名识别:数字签名的逆过程,它证明签名有效。9.3.2 9.3.2 公开密钥密码体制公开密钥密码体制 公开密钥密码体制基于这样的一种基本思想:如果将一个加密系统的加密密钥和解密密钥分开,加密和解密分别由两个不同的密钥来实现,那么当密钥位数够长时由加密密钥推导出解密密钥(或由解密密钥推导出加密密钥)在计算上是不可行的。采用公开密钥密码体制的每一个用户都有一对选定的密钥,加密密钥公布于众,谁都可以用,称为
18、“公用密钥”(Public key);解密密钥只有解密者自己知道,称为“私有密钥”(Private key)而公开密钥与私有密钥是不相同的。因为加密密钥是公开的,任何人都可使用公用密钥将信息加密后发给接收者,而只有接收者才有解密密钥,才能将加密的信息还原。既使信息在传送过程中被窃取,也会因为没有解密密钥而无法还原。从而数据的安全得到了保护。公开密钥密码体制的典型代表是RSA(Rivets Shamir Adleman)算法,出现在1978年。RSA的安全性依赖于大数分解:如果公钥和私钥都是两个大素数(大于100个十进制位)的函数,那么,从一个密钥和密文推断出明文的难度等同于分解两个素数的积,在
19、有限的时间里即使利用计算机也无法得到确切的结果。RSA的基本方法是:找两个很大的质数,一个作为“公钥”公开,一个作为“私钥”不告诉任何人。这两个密钥是互补的,用公钥加密的密文可以用私钥解密,反过来用私钥加密的密文可以用公钥解密。假设两个人甲、乙之间要交流信息,他们互相知道对方的公钥。甲用乙的公钥加密信息发出,乙收到后就用自已的私钥解密出甲的原文。由于除了乙之外没别人知道乙的私钥,从而解决了信息保密问题。另一方面由于乙的公钥是公开的,任何人都能给乙发送信息。那么,如何确认信息是甲发送的呢?这就需要通过数字签名来认证甲的身份。甲用自己的私钥对自己的签名加密,乙用甲的公钥对数字签名解密。RSA公开密
20、钥密码体系的特点既能满足保密性(Privacy)要求,又能满足和认证性(authentication)要求。公开密钥密码体制具有下列优点:密钥分配简单 由于加密密钥与解密密钥不同,且不能由加密密钥推导出解密密钥,因此,加密密钥表可以公开发布,而解密密钥则由用户自已掌握。密钥管理方便 网络中的每一成员只需保存自已的解密密钥,N个成员只需产生N对密钥,与其它的密码体制比密钥的保存量小。既可保密又可以完成数字签名和数字鉴别 发信人使用只有自已知道的密钥进行签名,收信人利用公开密钥进行检查,既方便又安全。9.4 9.4 计算机网络管理计算机网络管理 9.4.1 网络管理的基本模型网络管理的基本模型 9
21、.4.2 网络管理的功能网络管理的功能 9.4.3 网络管理协议网络管理协议 9.4.4 常见的网络管理软件常见的网络管理软件9.4.1 9.4.1 网络管理的基本模型网络管理的基本模型 计算机网络管理属于应用层范畴,它是指涉及到一个或若干个网络的服务提供、维护和处理所需要的各种活动。在网络管理中起核心作用的是管理模块,被管理的设备称为管理对象,管理模块利用通信手段,通过代理或委托代理管理设备。用户接口网络管理模块管理对象代理管理对象代理被管理对象委托代理被管理对象委托代理图 9-8 网络管理基本模型9.4.2 9.4.2 网络管理的功能网络管理的功能 OSI网 络 管 理 标 准 中 的 五
22、 个 基 本 功 能 域 包 括:配 置 管 理(Configuration Management)、性 能 管 理(Performance Management)、故 障 管 理(Fault Management)、安 全 管 理(Security Management)、计费管理(Accounting Management)。网络管理的功能网络管理的功能配置管理讲费管理性能管理故障管理安全管理视图管理拓朴管理软件管理网络规划资源管理网络监测统计分析数据库生成报告网络控制检测故障现象;接收故障报警;制定解决方案;维修设备;排除故障记录;故障日志库维护;故障日志库网络数据采集确定计费标准计算用
23、户帐单财务数据的维护计费信息查询用户授权安全日志管理信息加密密钥分配审计与跟踪图9-9 OSI网络管理的基本功能9.4.3 9.4.3 网络管理协议网络管理协议 早期的Internet中没有专门的网络管理协议,唯一可用于网络管理的协议是ICMP。在网络管理中,ICMP有用的部分是回声(请求/响应)和时间戳(请求/响应)报文,再加上IP头的某些任选项就可以开发简单的管理工具。其中最出名的PING(Packet InterNet Groper)程序就是一个很有用也很简单的工具。1987年发布的简单网关监控协议SGMP(Simple Gateway Monitor Protocol)是开发专门的网络
24、管理协议的初步尝试,但是SGMP很快被SNMP(Simple SNMP(Simple Network Network Management Management Protocol)Protocol)协议所取代。并且由于其适用于Internet,很快就成为一般用户首选的网络管理标准。RMON(Remote RMON(Remote Monitoring Monitoring)则是在SNMP的基础上增加了远程监控能力。1、简单网络管理协议、简单网络管理协议SNMP(1)SNMP的管理框架图9-10 协议的管理模型SNMP代理MIBSNMP代理MIBSNMP代理MIB用户接口NMCRouter 网络管
25、理站NMC(Network Manager Control)是系统的核心,负责管理和代理MIB(Management Information Base)库,它以数据报表的形式发出和传送命令,从而达到控制代理的目的。它与任何代理之间都不存在逻辑链路关系,因而网络系统负载很低。代理(Agent)的作用是收集被管理设备的各种信息并响应网络中SNMP服务器的要求,把它们传输到中心的SNMP服务器的MIB数据库中。代理包括智能集线器、网桥、路由器、网关、及任何合法结点的计算机。信息数据库MIB负责存储设备的信息,它是SNMP分布式数据库的分支数据库。()SNMP协议下的委托代理 由于SNMP定义为应用层
26、协议,所以它依赖于UDP数据报服务。同时SNMP实体向管理应用程序提供服务,它的作用是把管理应用程序的服务调用变成对应的SNMP协议数据单元,并利用UDP数据报发送出去。其所以选择UDP协议而不是TCP协议,这是因为UDP效率高,这样实现网络管理不会太多地增加网络负载。但由于UDP不是很可靠,所以SNMP报文容易丢失。为此,对SNMP实现的建议是每一个管理信息要装配成单独的数据报独立发送,而且报文应短些,不超过484个字节。每个代理进程管理若干管理对象,并且与某些管理站建立团体(community)关系。团体名作为团体的全局标识符,是一种简单的身份认证手段。一般来说代理进程不接受没有通过团体名
27、验证的报文,这样可以防止假冒的管理命令。同时在团体内部也可以实行专用的管理策略。SNMP要求所有的代理设备和管理站都必须实现TCP/IP。这样,对于不支持TCP/IP的设备(例如某些网桥、调制解调器、个人计算机和可编程控制器等),就不能直接用SNMP进行管理。提出了委托代理的概念,如图9.11所示。一个委托代理设备可以管理若干台非TCP/IP设备,并代表这些设备接收管理站的查询。实际上委托代理起到了协议转换的作用,委托代理和管理站之间按SNMP协议通信,而与被管理设备之间则按专用的协议通信。SNMP报文管理站网络访问协议IPUDPSNMP管理进程网络访问协议IPUDPSNMP代理进程网络访问协
28、议第三方专用协议变换功能网络访问协议第三方专用协议管理进程非TCP/IP设备SNMP委托代理委托代理图9-11 SNMP委托代理(3)SNMP的弱点 由于SNMP过于简单,它也暴露出许多弱点,其中最明显的有:没有伸缩性,在大型网络中,轮询会产生巨大的网络管理通信量,因而会导致通信拥挤的情况发生。它将收集数据的负担加在网络管理控制台上,在管理几个网段时也许能轻松地收集网络信息,当它们监控许多网段时,就非常困难了。由于SNMP存在的不足,所以Internet工程任务组IETF于1991年11月公布了RMON MIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。RMON MIB的目的在于使S
29、NMP更积极主动地控制远程设备。RMON MIB是由一组统计数据、分析数据和诊断数据组成,利用许多供应商生产的标准工具都可以显示出这些数据,因而它具有独立于供应商的远程网络分析的功能。RMON定义了远程网络监视的管理信息库,以及SNMP管理站与远程监视器之间的接口。2、远程管理、远程管理RMON RMONRMON有下列主要功能目标:有下列主要功能目标:离线操作:必要时管理站可以停止对监视器地轮询,有限的轮询可以节省网络带宽和通信费用。即使不受管理站查询,监视器也要持续不断的收集子网故障、性能和配置方面的信息,统计和积累数据,以便管理站查询时及时提供管理信息。主动监视:如果监视器有足够的资源,通
30、信负载也容许,监视器可以连续地或周期地运行诊断程序,获得并记录网络性能参数。在子网出现失效时通知管理站,给管理站提供有用的诊断故障信息。问题检测和报告:如果主动监视消耗网络资源太多,监视器也可以被动的获取网络数据。可以配置监视器,使其连续观察网络资源的消耗情况,记录随时出现的异常条件(例如网络拥挤),并在出现错误条件时通知管理站。提供增值数据:监控器可以分析收集到的子网数据,从而减轻了管理站的计算任务。例如监视器可以分析子网的通信情况,计算出哪些主机通信最多,哪些主机出错最多等。这些数据的收集和计算由监视器来做,比由远处的管理站来做更有效。多管理站操作:一个互联网可能有多个管理站,这样可以提高
31、可靠性,或者分布的实现各种不同的管理功能。监视器可以配置为并发工作方式,为不同的管理站提供不同的信息。不是每一个监视器都能实现所有这些目标,但是RMON规范提供了实现这些目标的基础结构。9.4.4 9.4.4 常见的网络管理软件常见的网络管理软件具有代表性的四种网络管理系统是具有代表性的四种网络管理系统是:惠普(HP)公司的OpenView;国际商用机器公司(IBM)的NetView;SUN公司的SunNet;代表未来智能网络管理方向的Cabletron公司的SPECTRUN。1、HP OpenView HP的OpenView是第一个综合的、实用的网络管理系统,它赢得了广泛的市场。但是,象其它
32、的几种产品一样,OpenView虽然被认为是一个企业级的网络管理系统,它并没有提供对NetWare、SNA、DECnet、X25、无线通信交换机以及其它非SNMP设备的管理功能。目前OpenView不再仅仅是提供给第三方应用厂商的开发开台,也是一个跨平台的最终用户实用产品。OpenView的最大特点是得到了第三方应用开发商的广泛接受和支持.OpenView可运行在HP和SUN平台上,要求至少32MB64MB的内存和2GB的硬盘。而一些第三方厂家开发的应用程序可能只运行于SUN或HP,不能同时支持两者。2、IBM NetView/6000 IBM从HP处取得了OpenView3.1源代码的使用许
33、可,在此基础上开发了NetView。IBM扩展了OpenView3.1的功能,并与其它一些软件集成,形成了NetView/6000产品系列。IBM NetView/6000是一个相对比较新的综合网络管理系统,用户既可以把它作为开发新的网络管理应用的平台,也可以把它作为实用系统来直接使用。最近,IBM又向DEC公司发放了其NetView/6000的使用许可。与OpenView一样,尽管NetView/6000被认为是一个企业范围的网络管理系统,NetView/6000也没有提供对NetWare、SNA、DECnet、X.25、无线通信交换机以及其它非SNMP设备的管理功能。NetView/600
34、0最初只运行在IBM RS/6000工作站上,需要至少48MB内存和1GB硬盘,现在已经有了SUN平台的版本。3、SunNet Manager SunNet Manager(SNM)是第一个重要的、基于UNIX的网络管理系统。SNM基本上还是一个开发平台,只提供很有限的能力。用户如果使用SNM,必须附加一系列第三方开发的、针对特定硬件环境的管理应用程序。尽管SunNet Manager被认为是一个企业范围的NMS,SunNet Manager也像其它几种产品一样,不能提供对NetWare、SNA、DECnet、X.25、无线通信交换机以及其它非SNMP设备的管理功能。SNM只运行在SPARC工
35、作站环境下,要求至少有32MB内存和400MB硬盘容量。SNM V2.0运行在Sun OS 4.1x上,SNM 2.2运行在Solaris 2.x上。4、Cabletron SPECTRUM 作为一个可扩展的、智能的网络管理系统,Cabletron的SPECTRUM使用了客户机/服务器体系结构和面向对象的方法。借助于面向对象的设计,SPECTRUM可以管理多种实体对象。SPECTRUM的引擎Inductive Modeling Technology具有人工智能的功能。SPECTRUM提供针对NOVELL的NetWare和Banyan的VINES这些局域网操作系统的网关支持。经过进一步的开发,一些本地协议,例如AppleTalk、IPX等,都可以利用外部协议加入到SPECTRUM当中。如果满足48MB内存、120MB交换区、75MB的硬盘的最低配置需求,SPECTRUM可以运行在很多平台上,例如:DEC工作站、IBM RS/6000、SGI工作站、SUN工作站等。思考与问答 重点与难点:v防火墙的类型。v公开密钥密码体制。vSMMP RMON网络管理。