第10章 网络管理与网络安全(10).ppt

西南科技大学经管学院 周中林 计算机网络基础 第10章网络管理与网络安全 10 1网络管理10 2网络安全 西南科技大学经管学院 周中林 计算机网络基础 10 1网络管理 一 网络管理的定义和目标1 网络管理的定义网络管理 简称网管 简单地说就是为保证网络系统能够持续 稳定 安全 可靠和高效地运行 对网络实施的一系列方法和措施 网络管理的任务就是收集 监控网络中各种设备和设施的工作参数 工作状态信息 将结果显示给管理员并进行处理 从而控制网络中的设备 设施 工作参数和工作状态 以实现对网络的管理 西南科技大学经管学院 周中林 计算机网络基础 一 网络管理的定义和目标 2 网络管理的目标减少停机时间 改进响应时间 提高设备利用率 减少运行费用 提高效率 减少或消除网络瓶颈 适应新技术 使网络更容易使用 安全 3 网络管理的对象包括对网络硬件资源和软件资源的管理 西南科技大学经管学院 周中林 计算机网络基础 二 网络管理的基本功能 在OSI网络管理标准中定义了网络管理的5个基本功能 配置管理性能管理故障管理安全管理计费管理 西南科技大学经管学院 周中林 计算机网络基础 1 故障管理 故障管理的主要任务是发现和排除网络故障 其典型功能包括 1 维护并检查错误日志 2 接受错误检测报告并做出响应 3 跟踪 辨认错误 4 执行诊断测试 5 纠正错误 西南科技大学经管学院 周中林 计算机网络基础 2 配置管理 配置管理 监视网络和系统的配置信息 以便跟踪和管理不同的软硬件元素对网络操作的作用 提高整个网络的性能 主要包括 网络资源的配置及其活动状态的监视网络资源之间的关系的监视与控制新资源的加入 旧资源的删除定义新的管理对象识别管理对象 给每个对象分配名字初始化对象 启动 关闭对象管理各个对象之间的关系改变管理对象的参数 西南科技大学经管学院 周中林 计算机网络基础 3 计费管理 计费管理用于记录用户对网络业务的使用情况以确定使用这些业务的费用 包括 建立和维护一个目标机器地址数据库 能对该数据库中的任意一台机器 一个IP地址 进行计费 能够对指定IP地址进行流量限制 当超过使用限额时 即可将其封锁 禁止其使用 能够按天 按月 按IP地址或按单位提供网络的使用情况 在规定的时间到来 比如一个月 的时候 根据本机数据库中的E mail地址向有关单位或个人发送帐单 可以将安装有网络计费软件的计算机配置成Web服务器 允许使用单位和个人随时进行查询 西南科技大学经管学院 周中林 计算机网络基础 4 性能管理 性能管理的目的是维护网络服务质量 QoS 和网络运营效率 典型功能包括 1 收集统计信息 2 维护并检查系统状态日志 3 分析这些数据 以判断是否处于正常 基线 水平并产生相应的报告 4 改变系统操作模式以进行系统性能管理的操作 西南科技大学经管学院 周中林 计算机网络基础 5 安全管理 网络安全管理主要是控制对网络资源的访问 以保证网络不被有意或无意地侵害 并保证敏感信息不被那些未授权的用户访问 包括对授权机制 访问控制 加密和加密关键字的管理 数据安全管理 另外还要维护和检查安全日志 灾难恢复等 西南科技大学经管学院 周中林 计算机网络基础 三 网络管理体系结构 网络管理者 网管代理模型 西南科技大学经管学院 周中林 计算机网络基础 三 网络管理体系结构 网络管理者 网络管理者是指实施网络管理的处理实体 网络管理者驻留在管理工作站上 管理工作站通常是指那些工作站 微机等 一般位于网络系统的主干或接近于主干的位置 它负责发出管理操作的指令 并接收来自网管代理的信息 网管代理 网管代理是一个软件模块 它驻留在被管设备上它的功能是把来自网络管理者的命令或信息的请求转换成本设备特有的指令 完成网络管理者的批示或把所在设备的信息返回到网络管理者 网管代理实际所起的作用就是充当网络管理者与网管代理所驻留的设备之间的信息中介 西南科技大学经管学院 周中林 计算机网络基础 三 网络管理体系结构 管理站和网管代理者之间通过网络管理协议通信 网络管理者进程通过网络管理协议来完成网络管理 目前最有影响的网络管理协议是SNMP和CMIP 其中SNMP流传最广 获得支持也最广泛 已经成为事实上的工业标准 西南科技大学经管学院 周中林 计算机网络基础 三 网络管理体系结构 管理信息库 MIB 是一个信息存储库 它是网络管理系统中的一个非常重要的部分 MIB定义了一种对象数据库 由系统内的许多被管对象及其属性组成 在MIB中的数据可大体分为3类 感测数据 结构数据和控制数据 西南科技大学经管学院 周中林 计算机网络基础 四 网络管理协议 网络管理系统中最重要的部分就是网络协议 它定义了网络管理者与网管代理间的通信方法 1 SNMP协议2 CMIP协议 西南科技大学经管学院 周中林 计算机网络基础 1 SNMP协议 SNMP是由一系列协议组和规范组成的 它们提供了一种从网络上的设备中收集网络管理信息的方法 它的前身是简单网关管理协议 SGMP 用来对通信线路进行管理 随后 人们对SGMP进行了很大的修改 特别是加入了符合Internet定义的SMI和MIB体系结构 改进后的协议就是著名的SNMP 西南科技大学经管学院 周中林 计算机网络基础 1 SNMP协议 SNMP使用嵌入到网络设施中的代理软件来收集网络的通信信息和有关网络设备的统计数据 代理软件不断地收集统计数据 并把这些数据记录到一个管理信息库 MIB 中 网络管理员 简称网管员 通过向代理的MIB发出查询信号可以得到这些信息 这个过程就叫轮询 polling SNMP是Internet组织来管理TCP IP互联网和以太网的 由于实现 理解和排错很简单 所以受到很多产品的广泛支持 但是安全性较差 西南科技大学经管学院 周中林 计算机网络基础 2 CMIP协议 ISO制定的公共管理信息协议 CMIP 主要是针对OSI七层协议模型的传输环境而设计的 CMIP是一个更为有效的网络管理协议 一方面 CMIP采用了事件报告机制 具有及时性的特点 另一方面 CMIP把更多的工作交给管理者去做 减轻了终端用户的工作负担 西南科技大学经管学院 周中林 计算机网络基础 10 2网络安全 一 网络安全概述二 数据加密三 网络安全技术四 防火墙技术 西南科技大学经管学院 周中林 计算机网络基础 一 网络安全概述 1 网络安全的定义网络安全从其本质上来讲就是网络上的信息安全 是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系统连续可靠正常地运行 网络服务不中断 西南科技大学经管学院 周中林 计算机网络基础 2 针对网络安全的威胁主要有三种 1 人为的无意失误 如操作员安全配置不当造成的安全漏洞 用户安全意识不强 用户口令选择不慎 用户将自己的帐号随意转借他人或与别人共享 2 人为的恶意攻击 所面临的最大威胁主动攻击 以各种方式有选择地破坏信息的有效性和完整性被动攻击 在不影响网络正常工作的情况下 进行截获 窃取 破译以获得重要机密信息 3 网络软件的漏洞和 后门 黑客进行攻击的首选目标 西南科技大学经管学院 周中林 计算机网络基础 3 计算机网络安全等级绝对安全的计算机网络不存在 安全是相对的 1985年美国国防部发表 可信计算机系统评估准则 橘皮书 依据处理的信息等级和采取相应对策将计算机系统安全性划分为 A B C D四个等级 其中较高等级的安全范围涵盖较低等级的安全范围 而每个大等级又依安全性高低分成数个小等级 即 D 最低保护 MinimalProtection C 自定式保护 DiscretionaryProtection B 强制式保护 MandatoryProtection A 可验证之保护 VerifiedProtection 西南科技大学经管学院 周中林 计算机网络基础 4 计算机网络的安全体系包括 物理安全 访问控制安全 系统安全 用户安全 信息安全 安全传输 管理安全等实现技术 主机安全 身份认证 访问控制 密码 防火墙 安全审计 安全管理 系统漏洞检测 黑客跟踪等 西南科技大学经管学院 周中林 计算机网络基础 二 数据加密 密码技术是对存储或者传输的信息采取秘密交换以防止第三者对信息窃取的技术 密码技术分为加密和解密两部分 加密是把需要加密的报文 简称明文 按照密钥参数进行变换 产生密码文件 简称密文 解密是按照密钥把密文还原成明文的过程 密钥是一个数值 它和加密算法一起生成特别的密文 西南科技大学经管学院 周中林 计算机网络基础 1 对称密码体制 私钥密码体制是从传统的简单换位 代替密码发展而来的 也称为对称密钥密码体制 对称密钥密码体制使用相同的密钥加密和解密信息 即通信双方建立并共享一个密钥 对称密钥密码体制的工作原理为 用户A要传送机密信息给B 则A和B必须共享一个预先由人工分配或由一个密钥分发中心分发的密钥K 于是A用密钥K和加密算法E对明文P加密得到密文C EK P 并将密文C发送给B B用同样一密钥K和解密算法D对密文解密 得到明文P DK EK P 按加密模式来分 对称密钥密码体制可以分为流密码和分组密码两大类 典型的分组密码 DES AES缺点 由于至少有两个人持有钥匙 所以任何一方都不能完全确定对方手中的钥匙是否已经透露给第三者 西南科技大学经管学院 周中林 计算机网络基础 2 公钥密码体制 公用钥匙加密法又称非对称式 asymmetric 加密 是近代密码学新兴的一个领域 如RSA密码系统 公用钥匙加密法的特色是完成一次加 解密操作时 需要使用一对钥匙 假定这两个钥匙分别为A和B 则用A加密明文后形成的密文 必须用B方可解回明文 反之 用B加密后形成的密文必须用A解密 通常 将其中的一个钥匙称为私有钥匙 privatekey 由个人妥善收藏 不外泄于人 与之成对的另一把钥匙称为公用钥匙 公用钥匙可以像电话号码一样被公之于众 缺点 利用公用钥匙加密虽然可避免钥匙共享而带来的问题 但其使用时 需要的计算量较大 西南科技大学经管学院 周中林 计算机网络基础 三 网络安全技术 数字签名技术数字签名数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串 数字签名提供了对信息来源的确定并能检测信息是否被篡改 数字签名与手书签名的区别在于 手书签名是模拟的 且因人而异 而数字签名是0和1的数字串 因消息而异 数字签名有两种 一种是对整体消息的签名 即消息经过密码变换后被签名的消息整体 一种是对压缩消息的签名 即附加在被签名消息之后或某一特定位置上的一段签名图样 西南科技大学经管学院 周中林 计算机网络基础 访问控制技术确保主体对客体的访问只能是授权的 未经授权的访问是不允许的 而且操作是无效的 授权控制是访问控制的核心 通过安全控制策略和保护机制 将非法入侵者拒之门外 认证技术认证是对网络中的主体进行验证的过程 用户必须提供他是谁的证明 他是某个雇员 某个组织的代理 某个软件过程 如交易过程 等 主要有 身份认证 消息认证 西南科技大学经管学院 周中林 计算机网络基础 虚拟专用网技术 VPN 是利用公共网络资源为用户建立的专用网 它穿过公共网为用户建立起的一条安全 稳定的连接 是企业内部网的扩展 主要提供 加密 认证和访问控制功能 采用隧道技术实现 西南科技大学经管学院 周中林 计算机网络基础 5 防病毒和反病毒技术 计算机病毒的定义计算机病毒是指能够通过某种途径潜伏在计算机存储介质或程序里 当达到一定条件即可激活的 具有对计算机资源进行破坏作用的一组程序或指令集合 计算机病毒通常具有如下特点 1 破坏性 2 寄生性 3 传染性 4 潜伏性 5 针对性 西南科技大学经管学院 周中林 计算机网络基础 预防病毒技术 常驻内存 优先获得系统的控制权 监视 判断系统中是否有病毒存在 检测病毒技术 对计算机病毒的特征来进行判断 消除病毒技术 清除系统感染的病毒 西南科技大学经管学院 周中林 计算机网络基础 三 防火墙技术 防火墙 Firewall 是一道介于开放的 不安全的公共网与信息 资源汇集的内部网之间的屏障 由一个或一组系统组成 狭义的防火墙指安装了防火墙软件的主机或路由器系统 广义的防火墙还包括整个网络的安全策略和安全行为 功能 综合技术 简单的结构和管理界面 支持加密和VPN 内部信息完全隐藏 增加强制访问控制 支持多种认证方式 网络安全监控和内容过滤 西南科技大学经管学院 周中林 计算机网络基础 1 包过滤技术 是一种基于网络层的防火墙技术 一般由路由器充当 根据设置好的规则 通过检查IP数据包来确定是否允许该数据包通过 包过滤依据 IP源地址 IP目的地址 封装协议 TCP UDP 或IPTunnel TCP UDP源端口 TCP UDP目的端口 ICMP包类型 TCP报头的ACK位 包输入接口和包输出接口等 西南科技大学经管学院 周中林 计算机网络基础 2 代理技术 代理服务 是运行在防火墙主机上的一些特定的应用程序或者服务器程序 也称为