第9章-网络管理与网络安全课件

第九章 网络管理与网络安全本章内容网络管理的基本概念、发展、功能网络管理协议：CMIP、SNMP网络安全的基本概念加密、认证、防火墙7/12/20241一二请在这里输入您的主要叙述内容整体概述三请在这里输入您的主要叙述内容请在这里输入您的主要叙述内容9.1 网络管理基础网络管理基本概念网络管理是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。网络管理的基本目标是将所有的管理子系统集成在一起，向管理员提供单一的控制方式。这样系统需要一个管理者的角色和被管理对象。要实现对被管理程序（代理）的管理，管理者需要知道被管理程序中的信息模型（实际上就是代理包含的被管理对象的信息模型）。为了这些信息的传送，人们就必须在管理者和被管理者之间规定一个网络管理协议。由于网络规模的不断增大，复杂性日益增加，网络管理技术也在不断发展。7/12/20243网络管理的发展计算机网络的管理可以说是伴随着ARPANET的产生而产生的。由于当时网络规模小，复杂性不高，一个简单的专用网络管理系统就可满足网络正常工作的需要。但随着网络的发展，使人们意识到以前的网络管理技术已经不能适应计算机网络的迅速发展。一些标准化组织及产业集团，如ISO、ITU、IAB因特网活动委员会等积极开展研究活动，提出了多种网络管理方案：HEMS（HighLevelEntityManagement）、SGMP（theSimpleGatewayMonitoringProtocol）、CMIS/CMIP（theCommonManagementInformationService/Protocol）、NETVIEW、SNMP(SimpleNetworkManagementProtocol)、LAN Manager等。其中比较有名的是：CMIP和SNMP。CMIS/CMIP是OSI提供的网络管理协议簇。SNMP目前已成为网络管理领域中事实上的工业标准。7/12/20244网络管理的功能在ISO网络管理标准（ISO/IEC7498-4）中定义了网络管理的五大功能，并被广泛接受。这五大功能是：配置管理 配置管理是最基本的网络管理功能。配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨论被管对象能力的基础。配置管理的目的是通过定义、收集、管理、和使用配置信息，以及网络资源配置的控制来最佳地维持网络环境所提供的服务质量。配置管理至少应具有事件报告、状态监测和管理配置信息的功能。故障管理 故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系统以非正常方式操作的事件，可分为：由损坏的部件或软件故障（bug）引起的（内部）故障，常常是可重复的；由环境影响引起的外部故障，通常是突发的，不可重复。7/12/20245故障管理的主要内容有：故障检测：维护和检查故障日志，检查事件的发生率看是否已（或将）成为故障；接收故障报告。故障诊断：寻找故障发生的原因，可执行诊断测试，以寻找故障发生的准确位置。故障纠正：将故障点从正常系统中隔离出去，并根据故障原因进行修复。故障管理为操作决策提供依据，以确保网络的可用性。计费管理计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。这些资源有：网络服务，负责用户数据的传输（例如数据的传输量）；网络应用（例如对服务器的使用）。对用户行为的了解与控制7/12/20246 性能管理性能管理估价系统资源的运行状况及通信效率等系统指标。它定义了网络的动态评估方法，以便于检验网络所保持的服务水平，确定实际的和潜在的网络性能瓶颈。根据网络的各项运行指标的趋势，为制定和规划管理决策产生报告。性能管理还包括了为操作控制建立和维护性能数据库和自动操作程序，随机或定时收集由统计数据产生的性能日志。这些日志除了性能管理本身使用外，其它管理功能亦可充分加以利用：故障管理应用性能日志检测故障；配置管理根据性能日志决定何时需要改变配置；计费管理应用性能日志调整计费策略7/12/20247 安全管理 安全管理用于保证降低运行网络及其网络管理系统的风险。它是一些功能组合，通过分析网络安全漏洞将网络危险最小化。实施网络安全规划，可动态地确保网络安全。主要包括维护防火墙和安全日志、安全指示器的监测、分区隔离、口令管理和提供各种级别的警告或报警。7/12/20248网络管理协议 CMIPCMIP协议公共管理信息服务/公共管理信息协议（CMIS/CMIPCMIS/CMIP）是OSIOSI提供的网络管理协议簇，主要是针对OSIOSI七层协议模型的传输环境而设计的。CMISCMIS定义了每个网络组成部分提供的网络管理服务，CMIPCMIP则是实现CMISCMIS服务的协议。CMIS/CMIPCMIS/CMIP的整体结构是建立在ISOISO网络参考模型的基础上的，网络管理应用进程使用ISOISO参考模型的应用层。CMIPCMIP协议相对于SNMPSNMP而言，需要大量资源：包括实现时投入的资源（人力、物力）以及运行时的计算机和网络资源。由于此缺陷，注定了CMIPCMIP协议生命周期的有限性。7/12/20249SNMP协议1）、概述简单网络管理协议（SNMPSNMP）是一种用于在网络设备之间交换管理信息的应用层协议，目前被广泛地实现在各种网络设备中，并在 InternetInternet中普遍使用。SNMPSNMP的前身是简单网关管理协议(SGMP)(SGMP)，用来对通信线路进行管理。随后，人们对SGMPSGMP进行了很大的修改，特别是加入了符合InternetInternet定义的SMISMI和MIBMIB体系结构，改进后的协议就是著名的SNMPSNMP。SNMPv1SNMPv1是 19901990年 5 5月正式公布的（RFC 1155RFC 1155和 RFC RFC 11571157），SNMPv2SNMPv2是前者的改进，于 19931993年陆续公布（RFC 1441RFC 1441 RFC 1452RFC 1452），后来又发展为SNMP3SNMP3（由RFC2271RFC2271到RFC2275RFC2275定义），描述了SNMP2SNMP2中所缺乏的安全和管理方面上的问题。SNMPSNMP属于网络管理平台，它为网络管理应用系统和被管的网络设备之间的交互提供了标准的界面。7/12/2024102 2）、SNMPSNMP网络管理模型由4 4部分组成：网络管理站、被管设备、管理信息库MIBMIB和管理协议SNMPSNMP。网络管理系统（NMSNMS）管理应用程序用户接口用户接口被管设备代代理理MIB被管设备代代理理MIB被管设备代代理理MIBSNMPSNMPSNMPSNMPSNMPSNMP7/12/202411网络管理者是指实施网络管理的处理实体，网络管理者驻留在管理工作站上，管理工作站通常是指那些工作站、微机等，一般位于网络系统的主干或接近于主干的位置，它负责发出管理操作的指令，并接收来自网管代理的信息。网管代理是一个软件模块，它驻留在被管设备上它的功能是把来自网络管理者的命令或信息的请求转换成本设备特有的指令，完成网络管理者的批示或把所在设备的信息返回到网络管理者。网管代理实际所起的作用就是充当网络管理者与网管代理所驻留的设备之间的信息中介。管理站和网管代理者之间通过网络管理协议SNMPSNMP通信，网络管理者进程通过网络管理协议SNMP来完成网络管理。管理信息库（MIBMIB）是一个信息存储库，它是网络管理系统中的一个非常重要的部分。MIBMIB定义了一种对象数据库，由系统内的许多被管对象及其属性组成。在MIBMIB中的数据可大体分为3 3类：感测数据、结构数据和控制数据。7/12/202412SNMPSNMP网络管理模型的核心是由代理维护而由管理器读写的管理信息。在SNMPSNMP文献中，这些信息称为对象。网络中所有可管对象的集合称为管理信息库MIBMIB。被管网络中的信息交换会因为被管设备所采用的数据表示技术的不同而产生麻烦，因此要设法在这些异构设备通信时消除这些不兼容性，统一使用一种语法表示法可以使不同种类的计算机共享管理信息。SNMP应用了ISO的开放系统互连抽象语法表示法1（ASN.1）的一个子集，它是用于以与机器无关的形式对MIB的被管对象进行描述的一种语言。用ASN.1定义管理协议所交换的各种报文格式和被管对象，将被管对象简化为可管理的事物的特征。如，一特定主机中当前活动的TCP范围表就是一个被管对象。在传输各类数据时，SNMP协议首先要把内部数据转换成ASN.1语法表示，然后发送出去；另一端收到此ASN.1语法表示的数据后也必须首先变成内部数据表示后，然后才执行其他的操作。7/12/202413MIBMIB与对象标识符：所有的被管对象都包含在管理信息库（MIB）中，它是对象所必须的数据库。一个MIB可以描述为一棵抽象树（MIB树），树的根没有名字，各个数据项组成了树的叶节点。对象标识符（OID）唯一地标识或命名了树中的各种MIB对象。对象标识符类似于电话号码，不同的组织和机构有层次地分配了特定的数字组成了这些对象标识符。SNMP SNMP MIBMIB的对象标识符结构定义了三个主要分枝：CCITTCCITT负责分枝0 0，ISOISO管理分枝1 1，CCITTCCITT和ISOISO联合管理分枝2 2。目前多数MIBMIB的活动发生在ISOISO分枝部分，ISOISO将它的分枝分给了几个组织，其中将子树1 1给了美国国防部（DODDOD），DODDOD用它作为InternetInternet对象表示。这样在InternetInternet子树中，对象标识符以1.3.6.11.3.6.1开头,意思是它们属于ISOISO，ORGORG，DODDOD，InternetInternet子树，专门用于InternetInternet范围。7/12/202414MIB树ROOTCCITT(0)ISO(1)JOINT-ISO-CCITT(2)ORG(3)DOD(6)INTERNET(1)PRIVATE(4)EXPERIMENTAL(3)MGMT(2)DIRECTORY(1)MIB(1)IP(4)地址转换(3)接口(2)TCP(6)ICNP(5)UDP(7)EGP(8)OMI(9)传输(10)SNMP(11)系统(1)7/12/202415InternetInternet子树有四个分枝：DirectoryDirectory（1 1）、MgmtMgmt（2 2）、ExperimentalExperimental（3 3）和PrivatePrivate（4 4）。DirectoryDirectory计划用于OSIOSI目录；MgmtMgmt用于网际活动委员会（IABIAB）承认的文本对象的定义；ExperimentalExperimental用于InternetInternet网络实验；PrivatePrivate用于专用MIBMIB的定义。目前在RFC1213RFC1213中定义的InternetInternet标准MIBMIB和MIBMIBIIII包含了171171个对象。这些对象按照协议（包括TCPTCP，IPIP，UDPUDP，SNMPSNMP和其它）和其它类项（包括“系统”和“接口”）进行分组。MIBMIB树可以扩展为实验和专用分枝。没有标准化的那些MIBMIB往往被放置在实验分枝。厂商可以定义自己的专用分枝来包括其产品的各种实例。例如，CiscoCisco的专用MIBMIB的对象标识符是1.3.6.1.4.1.91.3.6.1.4.1.9，该标识符包括了许多对象，如用OID 1.3.6.1.4.1.9.2.2.1.51OID 1.3.6.1.4.1.9.2.2.1.51来标识对象“HostConfigAddr”“HostConfigAddr”。对象HostConfigAddrHostConfigAddr说明了为一台具体的CiscoCisco设备提供主机配置文件的主机的地址。7/12/202416管理信息结构（SMI）：因为InternetInternet网络可能很庞大而且要保存维护每个设备的大量的信息，网络管理员需要一种组织和管理这些信息的方法。SMISMI定义了MIBMIB的结构以及定义MIBMIB的规则。SMISMI允许使用标准ASN.1ASN.1的数据类型。3 3 3 3）、）、SNMPSNMPSNMPSNMP协议定义了五种类型的操作协议定义了五种类型的操作SNMPSNMPSNMPSNMP共有共有5 5 5 5种种PDUPDUPDUPDU，其中，其中2 2 2 2种用来读取数据，种用来读取数据，2 2 2 2种用来设置数据，种用来设置数据，1 1 1 1种用来监视网络上发生的事件，如网络故障报警等。种用来监视网络上发生的事件，如网络故障报警等。请求读取对象信息（Get-RequestGet-Request）：从代理那里取得一个对象的实例，证实型操作；请求读取下一个对象信息（Get-Next-RequestGet-Next-Request）：从代理那里取得下一个对象实例，这个操作是与上下文有关的，缺省时指的是 MIB MIB中第一个对象实例的值，证实型操作；设置对象的有关参数（Set-RequestSet-Request）：在代理中设置指定对象实例的值，证实型操作；对读操作作出响应回答(Get-Response)(Get-Response)：是上述操作的应答信息，也包含错误和状态信息。捕捉事件并给出报告（TrapTrap）：代理异步地通知 NMS NMS某个事件的发生，非证实型操作；事件的定义是 NMS NMS预先设置的（如某个门槛值）。7/12/202417n 网络管理平台与网络管理系统网络管理平台与网络管理系统网络管理的最终目标是通过什么实现的呢？是通过网络管理系统，也就是要通过一个实施网络管理功能的应用系统来实现。网络管理平台通常由协议通信软件包、MIBMIB编译器、网络管理应用编程接口和图形化的用户界面组成。它是管理站的功能基础，在网络管理平台的基础上可以进一步实现各种管理功能和开发各种管理应用。网络管理系统(NMS(NMS，Network Management System)Network Management System)是用来管理网络，保障网络正常运行的软件和硬件的有机组合，是在网络管理平台的基础上实现的各种网络管理功能的集合，包括故障管理、性能管理、配置管理、安全管理和计费管理等功能。7/12/202418基于Internet技术的结构SNMP响应操作系统HTTPSNMP服务器SQL数据库CGI网络网络管理服务器PC浏览器查询/响应查询HTTP7/12/202419 概述随着计算机网络广泛用于政治、军事、经济和科技各个领域，数据在存储和传输中可能被盗用、暴露或篡改，网络软件也可能遭受恶意的攻击而时网络瘫痪。因此应架构一套理想的安全机制，以建立一个即能享受网络便利，又能阻绝非常手段的良好环境。网络安全的定义网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和漏露，保证网络系统的正常运行、网络服务不中断。其目的是确保经过网络厂商和交换的数据不会发生增加、修改、丢失和泄漏等.9.2 网络安全7/12/202420 主要的网络安全问题1 1网络系统软件自身的安全问题：安全漏洞及时弥补 2 2网络系统中数据库的安全问题：数据的安全性、完整性 和并发控制 3 3传输的安全与质量：防窃听、可靠性 4 4网络安全管理问题：安全管理5 5各种人为因素：病毒黑客人员的疏忽 7/12/202421网络安全策略 一个行之有效的安全措施是:从检测网络中的威胁、安全装置和脆弱性入手，围绕下述几个方面进行保护:1 1保护办公地点2 2保护工作站3 3保护服务器4 4保护电缆代表性的安全技术主要有：访问控制与口令技术、防火墙技术、加密技术、数字签名技术、身份认证技术等。7/12/202422n 加密 概述明文：原始数据 密文：经过转换所得的数据密钥；加密和解密算法中的关键参数。加密：指将原始数据根据事先定义好的算法法则，将之转换成无法理解的数据，这个过程便称之为加密。解密：是指在解密密钥的控制下，将密文恢复为明文。在加密系统中，算法是相对稳定的，为了加强数据的安全性，密钥经常改变7/12/202423数据加密的目的：是使得入侵者在无论获得多少密文数据的条件下，都无法唯一确定出对应的明文数据。若一个加密算法或加密机制能够满足这一条件，则我们称该算法或机制是无条件安全的或理论上是不可破的。但在无任何限制的条件下，目前几乎所有实用的密码体制都是可破的。因此，人们关心的是要研制出在计算上而不是在理论上不可破的密码体制。在网络应用中一般采取两种加密形式：对称密钥又称秘密密钥（Secret KeySecret Key）：常见的对称密钥标准有DESDES、FEALFEAL、IDEAIDEA等。公开密钥（Public KeyPublic Key）：常用的公钥加密算法是RSARSA算法，加密强度很高。下面介绍几种常见的实现加密体制的技术。7/12/202424 秘密密钥密码体制所谓秘密密钥密码体制，即加密密钥与解密密钥是相同的。在早期的秘密密钥密体制中，典型的有两种：替换加密算法：每个字符都用字符表中向左移动一固定数字的字符代替。如：将明文字符的顺序保持不变，都左移3 3个字符，即密钥为3 3。明文：a b c d a b c d ；密文：d e f g d e f g 变换加密算法：按某一规则重新排列数据中字符或比特的顺序。以上两种密码均易破译,一般作为复杂编码过程中的中间步骤。若从得到的密文序列的结构分密码体制：序列密码：把明文看成连续的比特流分组密码：把明文看成固定的N N比特数据组7/12/202425 数据加密标准DESDESDESDES算法由IBMIBM公司于1971-19721971-1972年研制成功，19771977年被美国国家标准局和国家安全局定为数据加密标准，而且ISOISO也将DESDES作为数据加密标准。DESDES使用6464位长的密钥，并用加密算法对以6464位长度为单位的二进制数据加密，从而产生6464位长度的密文数据。由于DESDES使用的6464位密钥中有8 8位是用于奇偶检验，以便发现和纠正传输误差，因此DESDES算法的实际密钥长度只有5656位。DESDES算法的工作原理：公开算法，包括加密和解密算法；但对密钥进行保密。只有掌握了和发送方相同密钥的人才能解读由DESDES算法加密的密文数据。因此破译DESDES算法实际上就是搜索密钥的编码。对于5656位长度的密钥来说，若用穷举法来进行搜索的话，其运算次数为2 25656。DESDES的保密性完全取决于对密钥的保密。7/12/202426 公开密钥密码体制RSARSADESDES算法除了可被人们使用高速计算机在较短时间内被破译外，另一主要的缺点是它不适合InternetInternet上的许多应用，如电子邮件等，这是因为DESDES算法的信息发送和接收双方使用相同的密钥的缘故。公开密钥密码体制是指加密密钥/公开密钥PKPK是公开的，加密算法E E和解密算法D D也都是公开的，而解密密钥/秘密密钥SKSK是保密的。虽然SKSK是由PKPK决定的，但不能根据PKPK计算出SKSK。公开密钥密码体制又称双钥或非对称密钥密码体制。最有名的是RSARSA体制。它已被ISO/TC97ISO/TC97的数据加密技术委员会SC20SC20推荐为公开密钥数据加密标准。公开密钥算法的特点：用加密密钥PKPK对明文P P加密后，再用解密密钥SKSK解密即得明文，即D DSKSK（E EPKPK（P P）=P=P。且加密和解密的运算可对调，即E EPKPK（D DSKSK（P P）=P=P7/12/202427加密密钥不能用来解密，即DPKDPK（DPKDPK（P P）=P=P在计算机上可容易地产生成对的PKPK和SKSK，但从已知的PKPK不能推导SKSK。加密密钥PKPK和加密解密算法一起公开，而解密密钥SKSK必须保密。RSARSA体制的基本原理：RSARSA体制是根据寻求两个大素数容易，而将它们的乘积分解开则极其困难这一原理来设计。在这一体制中，每个用户有加密密钥PK=PK=（e e，N N）和解密密钥SK=SK=（d d，N N），用户把PKPK公开，SKSK中的d d保密。其中N N为两个大素数p p、q q的乘积（p p、q q 一般100100位的十进制素数），虽然e e和d d满足一定的关系，但敌手不能根据已知的e e和N N求出d d。加密：C=XC=Xe e MOD N,MOD N,解密：P=CP=Cd d MOD N MOD NRSARSA的安全性在于对大数N N的分解极其困难。如用每1us1us做一次操作的计算机，分解100100位的十进制数N N，需时7474年。7/12/202428n 认证 认证的基本原理 认证是一种查证对方真实身份的技术，一般通过某种复杂的身份认证协议来实现。身份认证在网络安全中占据十分重要的位置。身份认证协议往往是通过公开密钥加密算法来实现的，其工作原理如图所示。B的公钥 传送 B的私钥 用户A用户B（a）使用公开密钥系统的运作方式，可确保数据的私密性明文加密密文密文解密明文 A的私钥 传送 A的公钥 用户A 用户B（b）A无可否认；但这样的运作方式却无法达到数据传输的私密性明文加密密文密文解密明文7/12/202429 B的公钥 传送 B的私钥 用户A用户B（a）使用公开密钥系统的运作方式，可确保数据的私密性明文加密密文密文解密明文 A的私钥 传送 A的公钥 用户A 用户B（b）A无可否认；但这样的运作方式却无法达到数据传输的私密性明文加密密文密文解密明文 B的公钥 A的私钥 传送 A的公钥B的私钥 用户A 用户B（c）将a和b两种方式相结合，即可保障数据传输时的私密性，又可符合数据传送的不可否 认性。明文加密密文密文解密明文加密密文解密密文7/12/202430数字签名数字签名技术是实现交易安全的核心技术之一。数字签名必须保证以下3 3点：接收者能够核实发送者对报文的签名。发送者事后不能抵赖对报文的签名。接收者不能伪造对报文的签名。现在已有多种实现各种数字方法，但签名采用公开密钥算法要比常规算法更容易实现。数字签名的实现：发送者A A用其秘密解密密钥SKA SKA 对报文P P进行运算，将结果DSKADSKA（P P）传送给接收者B B，B B用A A的公开加密密钥PKAPKA得出EPKAEPKA（DSKADSKA（P P）=P=P，由于除A A外没有别人具有A A的解密密钥SKASKA，所以只有A A能产生密文DSKADSKA（P P），这样报文P P就被A A签名了。若A A抵赖，B B可将P P及DSKADSKA（P P）出示给第三者，第三者可以用PKAPKA去证实A A确实发送信息P P给B B；若B B将P P伪造成PP，则B B不敢向第三者出示DSKADSKA（PP）。上述过程只是对报文进行了签名，但对报文本身却未保密。7/12/202431 密钥的管理与分配对称密钥加密方法致命的一个弱点就是它的密钥管理十分困难，因此它很难在电子商务的实践中得到广泛的应用；在这一点上，公开密钥加密方法占有绝对优势。不过，无论实施哪种方案，密钥的管理都是要考虑的问题。公认的有效方法是通过密钥分配中心KDCKDC来管理和分配公开密钥。KDCKDC的公开密钥和秘密密钥分别为PKPK、SKSK。每个用户只保存自己的秘密密钥和KDCKDC的公开密钥PKPK。用户可以通过KDCKDC获得任何其他用户的公开密钥。7/12/202432n 防火墙 防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。但防火墙系统一旦被攻击者突破或迂回，就不能提供任何保护了。防火墙可由硬件或软件来实现。Internet防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。7/12/202433防火墙的功能过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络。控制对特殊站点的访问。提供监视InternetInternet安全和预警的方便端点。防火墙可以记录下所有通过它的访问并提供网络使用情况的统计数据。防火墙的缺点可能阻止了一个用户对网络服务或对主机访问的正常要求。不能防范绕过防火墙的攻击。难以避免来自内部的攻击。一般的防火墙不能防止受到病毒感染的软件或文件的传输。不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到InternetInternet主机上并被执行发起攻击时，就会发生数据驱动式攻击。例如，一种数据驱动的攻击可以造成一台主机修改与安全有关的文件，从而使入侵者下一次更容易入侵该系统。7/12/202434防火墙的类型1 1）、包过滤防火墙包过滤技术可有很多方法来对网络、主机或端口的访问实现封锁。优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤；一些应用协议不适合于数据包过滤；正常的数据包过滤路由器无法执行某些安全策略；安全性较差 ；数据包工具存在很多局限性。7/12/2024352 2）、应用级网关/代理防火墙为了克服包过滤路由器的一些缺点，防火墙需要一些转发功能。这样的应用软件称为代理服务，也称应用网关。代理技术的优点：代理易于配置。代理能生成各项记录。代理能灵活、完全地控制进出流量、内容。代理能过滤数据内容。代理能为用户提供透明的加密机制。代理可以方便地与其他安全手段集成。代理技术的缺点：代理速度较路由器慢。代理对用户不透明。对于每项服务代理可能要求不同的服务器。代理服务不能保证免受所有协议弱点的限制。代理不能改进底层协议的安全性7/12/202436两种防火墙技术的对比：7/12/202437提问与回答用思想传递正能量结束语CONCLUSION感谢参与本课程，也感激大家对我们工作的支持与积极的参与。课程后会发放课程满意度评估表，如果对我们课程或者工作有什么建议和意见，也请写在上边，来自于您的声音是对我们最大的鼓励和帮助，大家在填写评估表的同时，也预祝各位步步高升，真心期待着再次相会！谢谢聆听THANKYOUFORLISTENING演讲者：XX时间：202X.XX.XX