组网技术与配置第2版第10章.ppt

组网技术与配置（第2版）（第10章）,高等院校计算机教育系列教材,第10章 Intranet安全与管理,汪本标,第10章 提要,对防火墙技术进行分析和讨论，企业网主要是采用防火墙技术进行安全防护，防火墙的结构有哪些，各有什么特点，一般采用什么结构?,讨论了基于密码理论的加密技术，涉及到加密方法、数字签名、身份认证。进一步给出网络地址转换NAT在网络安全的应用。 介绍企业网中的网络管理技术、网络管理模型和网络管理协议，讨论网管代理、网管工具、网管软件的的作用和特点。,第10章 目录,10.1 Intranet安全 10.2 网络地址转换NAT用于Intranet安全 10.3 IIS为Intranet提供的安全性 10.4 Intranet管理 10.5 小 结,10.1 Intranet安全,10.1.1 Intranet的安全策略 10.1.2网络安全的层次划分 10.1.3 Internet的网络安全层次 10.1.4 网络防火墙技术 10.1.5 防火墙的结构 10.1.6 企业网防火墙的方案 10.1.7 基于密码理论的技术,10.1.1 Intranet的安全策略,用户身份认证，系统根据用户的私有信息确定用户身份的真实性，判断用户是否可以访问网络资源。 访问控制，是对不同的用户赋予不同的对网络的访问权限，控制用户对资源的访问。 数据加密，是一种主动的防御策略，是保证网络资源安全的技术基础。 审计，能够记录用户对系统或网络资源的访问活动，记录内容保存在日志文件中，网络管理员查找问题时使用。,10.1.2 网络安全的层次划分,国际标准ISO 7498-2定义了OSI安全体系结构的网络安全层次,10.1.3 Internet的网络安全层次,网络安全的6个层次,10.1.4 网络防火墙技术,防火墙所起的作用 限制访问者进入一个被严格控制的点 防止进攻者接近受到保护的设备 限制人们离开一个严格控制的点。从逻辑上说，防火墙是一个分离器，是一个限制器，是一个分析器。 防火墙通常由一套硬件设备（一个路由器，或路由器的组合，一台主机）和相应的软件模块组成。构成防火墙的主要部分有：路由器；插有两块以上网卡的主机，具有两个以上的网络接口，一个和内部网络连接，另一个和外部网络连接；各种代理服务器主机。,防火墙一般分为两种基本类型,包过滤型（packet filter），包过滤规则以IP包信息为基础，对IP源地址、IP目的地址、封装协议（TCP/UDP/ICMP/IP TUNNEL）、端口号等进行筛选，包过滤在OSI协议的网络层进行。 代理服务型（proxy service），代理服务通常由两部分组成：代理服务器端程序和客户端程序。客户端程序与中间节点（Proxy Server）连接，中间节点再与要访问的外部服务器实际连接。与包过滤不同的是，它使内部网与外部网之间不存在直接的连接，同时还提供日志（Log）和审计服务。, 代理服务器参数的设置方法,要想访问代理服务器，要在浏览器的选项配置中设置代理服务器的参数，例如IP地址等内容。 右击桌面上IE图标，在弹出的菜单中选择【属性】，出现【Internet属性】对话框，选择【连接】选项卡。 单击【局域网设置】按钮，出现如图7.5所示对话框。 输入代理服务器的IP地址和端口数据，单击【高级】按钮，出现如图7.6所示对话框。 对各种代理服务输入代理服务器的IP地址，并对不使用代理服务器的连接输入域名地址或IP地址，可以使用统配符“*”。依次单击【确定】按钮，完成代理服务设置。,防火墙技术需要解决的问题,控制冗余信息造成网络传输效率下降，实时性降低 防火墙对数据的内容缺少检测，从而对计算机病毒在内的数据驱动的攻击缺少有效的防范措施 仅仅解决了内部网络的安全访问控制问题，没有从根本上解决整个Internet网络上的传输信息安全问题，而这些只能依靠密码技术解决 无法防火墙以外的其它途径的攻击，例如，内网有一个没有限制的拨号连接存在，内网上的用户就可以直接通过PPP接入Internet 不能防止来自内网用户带来的威胁,10.1.5 防火墙的结构,1. 双宿主主机结构 2. 屏蔽主机结构 3. 屏蔽子网结构 4.壁垒主机/代理服务器构成的防火墙,10.1.6 企业网防火墙的方案,企业网防火墙有二个部分： 屏蔽路由器Cisco 3600 代理服务器-堡垒主机 屏蔽路由器提供的安全特性有：基于接口的设置；与服务无关的过滤；与服务有关的过滤。 堡垒主机上安装防火墙软件，提供信息过滤、地址转换等功能，只允许特定的信息进入内部网络，提供协议过滤，可以实现数据加密和用户认证。,10.1.7 基于密码理论的技术,1. 数据加密技术 密码体制可以分为两大类：对称密钥和非对称密钥。对称密钥体制的加密密钥和解密密钥相同，系统的保密性基于密钥的安全性，涉及的主要问题由两个：如何产生满足保密要求的密钥；如何将密钥安全可靠的分配给通信对方。包括密钥产生、分配、存储、销毁等和管理环节。典型的单钥算法有DES、IDEA等。 在非对称密钥体制中，每个用户有一对密码，一个公开，称为公钥，一个保密，称为密钥。主要特点是将加密和解密分开。系统的安全性在于从公钥和密文推出明文和解密密钥在计算上是不可能的。与单钥体制不同的是，双钥体制不仅可以实现保密通信，而且可以用于对消息进行数字签字。在相同密钥长度的情况下，双钥体制的安全性比单钥体制更高。典型的双钥密码有RSA、ELGAMAL、RABIN等。,2. 数字签名技术,数字签名在信息安全，包括身份认证、数据完整性、不可否认性、匿名性等方面有重要应用，也是实现密钥分配的重要工具。数字签名必须保证： 接收者能够核实发送者对信息的签名 发送者事后不能抵赖对信息的签名 接收者不能伪造对信息的签名 一个签字体制包含两部分：签名算法和验证算法。签名算法或签名密钥是秘密的，只有签名人掌握。而验证算法应该公开，以便于进行验证。,3. 身份认证技术,身份认证技术是证明某人或某物身份的过程，它于消息认证的区别在于： 消息认证部提供时间性，而身份认证一般都是实时的。 与数字签名一样，身份认证也分为基于共享密钥和基于公钥的。 基于共享密钥是执行一种查询问答协议，发送方发送一个随机数给接收方，接收方解密后以一种特殊形式转换它并传回结果，实现认证。该协议的关键是如何建立共享密钥，应用在大多使用Diffie-Hellman密钥交换协议。,10.2 网络地址转换NAT用于Intranet安全,10.2.1 网络地址转换的用途 10.2.2 Intranet的专用IP地址 10.2.3 用路由器实现网络地址转换 10.2.4 用Windows2000实现网络地址转换 10.2.5 NAT技术用于安全的特点 10.2.6 NAT安全模型及实现结构,10.2.1 网络地址转换的用途,网络地址转换NAT（Network Address Translator）技术的用途有2个： 一个是进行内网（Intranet）和外网（因特网Internet）之间的地址转换 另一个是用于网络安全 NAT最主要的用途是解决IP地址紧缺的问题，可以在只有一个向外合法IP地址的Intranet中实现地址复用，与因特网（外网）进行通信，提高IP地址的利用率 NAT技术可以由路由器或软件实现。,10.2.2 Intranet的专用IP地址,Internet 的NIC（Network Information Center）为了组建Intranet（也称为内网）的方便，规定了Intranet专用IP地址的三个地址范围用于Intranet IP地址的使用： A类地址范围10.0.0.0-10.255.255.255 B类地址范围172.16.0.0-172.31.255.255 C类地址范围192.168.0.0-192.168.255.255 由于这些地址不是合法的IP地址，分配有这些IP地址的主机不能在因特网（外网）进行信息传输，解决这一技术问题的方法是在Intranet（内网）中至少有一台主机具有合法的IP地址，将Intranet专用地址通过一个可以实现网络地址转换（NAT）的设备或软件转换为合法的IP地址，用这个合法的IP地址代理所有内网的专用网络地址。,10.2.3 用路由器实现网络地址转换,用路由器实现网络地址转换（NAT）如图10.12所示，由三个子网组成,10.2.4 用Windows2000实现网络地址转换,Windows2000提供两种方法解决Intranet IP地址转换，一种为Internet连接共享ICS(Internet Connection Sharing )，另一种为NAT，在使用时只能选择其中一种。,若Intranet上的其他计算机通过共享计算机与Internet通信，需要进行两步设置,10.2.5 NAT技术用于安全的特点,把NAT技术集成在防火墙系统内，对进出Intranet的IP包源和目的地址进行转换，外网所接收到的数据包中的地址已经被网关改写过，外网中用户看到的只是一个虚拟的主机。 NAT实现过滤规则的动态化，使得外网中的主机或使用者难以了解和掌握与之通信的内网主机的真实网络地址，由于NAT技术可以用路由器或软件实现，与其它安全措施相比，NAT技术实现比较安全，属于一种系统底层的功能，对网络运行的影响很小，它对TCP/IP提供透明的服务，对网络应用没有影响，通信双方感觉不到NAT网关的存在。,10.2.6 NAT安全模型及实现结构,在具体应用时，NAT技术和其他技术结合起来，如与IP包过滤技术结合的路由器，与Proxy结合的代理服务器，可以获得较优的防护效果。,10.3 IIS为Intranet提供的安全性,10.3.1 IIS的五个安全元素 10.3.2 验证安全 10.3.3 访问控制 10.3.4 证书安全 10.3.6 审核安全 10.3.7 执行的标准 10.3.8 IIS中的安全性设置 10.3.9 IIS 安全检查表 10.3.10 为Web内容设置访问权限 10.3.11设置计算机的访问权限,10.4 Intranet管理,10.4.1 企业网中的网络管理技术 10.4.2 SNMP管理模型 10.4.3 网管代理 10.4.4 网络管理站和SNMP规定的操作 10.4.5 网管工具的选取 10.4.6 网络管理软件的应用 10.4.7 实现系统管理的NET命令程序 10.4.8 用于网络管理的一些方法 10.4.9 网络管理的发展,10.4.1 企业网中的网络管理技术,主要使用SNMP（Simple Network Management Protocol）和CIMP（Common Management Information Protocol）协议。SNMP是与TCP/IP协议簇一起使用的，即应用在Internet中，SNMP于1988年发布，在RFC1155、RFC1157中定义，是事实上的计算机网络管理标准。 SNMP的应用由一系列协议组成，包括三个部分： 管理信息库MIB，在RFC 1212中说明。 管理信息结构SMI，在RFC 1155中说明。 SNMP协议。,网络管理功能主要包括,差错管理，涉及差错检测、差错定位、差错改正。管理系统定时查询网络设备的状态，以文本和图形方式把发现的问题显示出来或打印出来。 配置管理，是网络管理的重要功能，对网络环境的参数进行设置，也只有在有权配置整个网络时，才可能正确地管理该网络。 计费，对网络中用户使用网络的资源进行收费管理，可以根据通信量、通信时间规定收费标准，并定期公布计费单。计费管理软件可以放在一个特定的服务器上。 性能管理，包括网络性能和系统性能，网络管理实用系统应都能管理网络性能，例如某条线路的利用率，某各接点的分组排队情况等。 安全管理，对网络系统进行权限设置和管理，管理用户登录到特定的路由器或其它互连设备时进行的各种操作，可以给出警报检测和提示功能，对重要信息数据的访问采用防火墙技术。 网络资源管理，对域名注册、网络IP地址分配、代理服务器登录的管理。,SNMP的设计目标,尽可能简单，使研制网管代理的软件成本低、周期短。 支持远程管理，充分利用Internet资源。 协议有扩充的余地。 保持SNMP的独立性，不依赖具体的硬件，不依赖具体的传输层协议。,SNMPv2,1996年给出SNMPv2，在RFC 1901-1908中描述，解决了前两个问题。Internet任务工程组IETF已经成立制定SNMPv3的工作组W- SNMPv3，SNMPv3的目的是解决安全问题，具有三种功能： 鉴别。 加密。 存取控制。,10.4.2 SNMP管理模型,对网络及设备的管理有三种方式：本地终端方式、远程telnet命令方式和基于SNMP（Simple Network Management Protocol）的代理服务器方式。,10.4.3 网管代理,网管代理存在以下设备中： 主机，如工作站、服务器等。 网络交换设备，如路由器，ATM交换机、快速以太网交换机等。 外部设备，如打印机、图象输入输出设备等。 调制解调器、桥接器及传统的网络交换机等。,10.4.4 网络管理站和SNMP规定的操作,SNMP规定的操作有4种： 请求搜索和获取指定的对象get。 请求获取指定对象的下一个对象get_next。 修改和设置指定的对象set。 发出异常指令trap。,10.4.5 网管工具的选取,应考虑以下几点： 能够对不同拓扑结构的网络，对网络中的不同物理和逻辑部分进行监控与分析。 可以和其它的网管平台兼容，能运行在各种开放式操作系统之上。 可以方便的对所管网络系统进行扩展、配置、维护，进行动态故障排除。 允许进行异地操作网管系统，就象在本地操作一样。 高安全性和自动报警，自动生成各种记录文件，随时检测网络上的无授权操作情况，报告网管人员。 在新的版本研制出后，原来的网管工具可以平稳、方便的升级。允许用户在一定范围进行二次开发。 具有友好、清晰、简便的用户界面，用户界面能够提供容错，提供物理和逻辑视图显示。,10.4.6 网络管理软件的应用,1. 3COM Tanscend Enterprise Manager 应用程序层 包含的应用软件有：Tanscend Central、Enterprise VLAN Manager、Network Admin Tools、Device View等。网络管理软件可以对整个网络进行监视、配置和维护。硬件探测器及软件代理嵌入到各种网络产品中，3COM Tanscend网管软件与硬件探测器及软件代理配合起来，网管软件通过分析收集来的数据，通过查看这些数据，分析和判断网络的运行状态，进一步通过网管软件进行调整和设置。 网络管理系统平台（Management Platform） Tanscend网管软件使用基于工业标准的UNIX和基于Windows的SNMP管理平台HP Openview Workgroup Node Manager，向高层网络管理程序提供服务。支持IP和IPX自动搜索功能，给出网络拓扑结构和网络设备的图示符号，用图形化标识网络的运行状态,2. Cisco Works 2000,Cisco Works网管软件具有友好的图形用户界面和综合的网络管理功能 使用Cisco Works网管软件，管理人员可以获得Cisco的路由器、交换机、接入服务器的动态变化情况，得到统计数字和图形化的网络配置信息。,Cisco Works提供的主要功能,允许利用邻近的路由器远程地安装新的路由器，对Cisco的网际产品提供广泛的动态状态、统计和配置信息，直观地以图形方式显示Cisco的设备，以及基本的故障排除信息。 审计和记录配置文件的改变情况，探测出网络上非授权配置改变方便网络中相似路由器的配置。 记录某一特定设备的联系人的详细信息。 查看一个设备的状态信息，包括缓冲内存，CPU的负载，可用