第9章 网络管理与网络安全

1、03.12.2020,.,page 1,第九章 网络管理与网络安全,本章内容 网络管理的基本概念、发展、功能 网络管理协议：CMIP、SNMP 网络安全的基本概念 加密、认证、防火墙,03.12.2020,.,page 2,9.1 网络管理基础,网络管理基本概念 网络管理是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。 网络管理的基本目标是将所有的管理子系统集成在一起，向管理员提供单一的控制方式。 这样系统需要一个管理者的角色和被管理对象。要实现对被管理程序（代理）的管理，管理者需要知道被管理程序中的信息模型（实际上就是代理包含的被管理对象的信息模型）。为了这些信息的传送，人们就必

2、须在管理者和被管理者之间规定一个网络管理协议。 由于网络规模的不断增大，复杂性日益增加，网络管理技术也在不断发展。,03.12.2020,.,page 3,网络管理的发展 计算机网络的管理可以说是伴随着ARPANET的产生而产生的。由于当时网络规模小，复杂性不高，一个简单的专用网络管理系统就可满足网络正常工作的需要。但随着网络的发展，使人们意识到以前的网络管理技术已经不能适应计算机网络的迅速发展。 一些标准化组织及产业集团，如ISO、ITU、IAB因特网活动委员会等积极开展研究活动，提出了多种网络管理方案：HEMS（High Level Entity Management ）、SGMP（the

3、 Simple Gateway Monitoring Protocol）、CMIS/CMIP（the Common Management Information Service/Protocol）、NETVIEW、SNMP( Simple Network Management Protocol)、 LAN Manager等。其中比较有名的是：CMIP和SNMP。 CMIS/CMIP是OSI提供的网络管理协议簇。SNMP目前已成为网络管理领域中事实上的工业标准。,03.12.2020,.,page 4,网络管理的功能 在ISO网络管理标准（ISO/IEC7498-4）中定义了网络管理的五大功能，

4、并被广泛接受。这五大功能是： 配置管理 配置管理是最基本的网络管理功能。 配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨论被管对象能力的基础。 配置管理的目的是通过定义、收集、管理、和使用配置信息，以及网络资源配置的控制来最佳地维持网络环境所提供的服务质量。 配置管理至少应具有事件报告、状态监测和管理配置信息的功能。 故障管理 故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系统以非正常方式操作的事件，可分为： 由损坏的部件或软件故障（bug）引起的（内部）故障，常常是可重复的； 由环境影响引起的外部故障，通常是突发的，不可重复。,03.12.2020,.,page 5

5、, 故障管理的主要内容有： 故障检测：维护和检查故障日志，检查事件的发生率看是否已（或将）成为故障；接收故障报告。 故障诊断：寻找故障发生的原因，可执行诊断测试，以寻找故障发生的准确位置。 故障纠正：将故障点从正常系统中隔离出去，并根据故障原因进行修复。 故障管理为操作决策提供依据，以确保网络的可用性。 计费管理 计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。这些资源有： 网络服务，负责用户数据的传输（例如数据的传输量）； 网络应用（例如对服务器的使用）。 对用户行为的了解与控制,03.12.2020,.,page 6,性能管理 性能管理估价系统资源的运行状况及通信效率等系

6、统指标。它定义了网络的动态评估方法，以便于检验网络所保持的服务水平，确定实际的和潜在的网络性能瓶颈。根据网络的各项运行指标的趋势，为制定和规划管理决策产生报告。 性能管理还包括了为操作控制建立和维护性能数据库和自动操作程序，随机或定时收集由统计数据产生的性能日志。 这些日志除了性能管理本身使用外，其它管理功能亦可充分加以利用： 故障管理应用性能日志检测故障； 配置管理根据性能日志决定何时需要改变配置； 计费管理应用性能日志调整计费策略,03.12.2020,.,page 7,安全管理 安全管理用于保证降低运行网络及其网络管理系统的风险。它是一些功能组合， 通过分析网络安全漏洞将网络危险最小化。

7、 实施网络安全规划，可动态地确保网络安全。 主要包括维护防火墙和安全日志、安全指示器的监测、分区隔离、口令管理和提供各种级别的警告或报警。,03.12.2020,.,page 8,网络管理协议 CMIP协议 公共管理信息服务/公共管理信息协议（CMIS/CMIP）是OSI提供的网络管理协议簇，主要是针对OSI七层协议模型的传输环境而设计的。 CMIS定义了每个网络组成部分提供的网络管理服务，CMIP则是实现CMIS服务的协议。 CMIS/CMIP的整体结构是建立在ISO网络参考模型的基础上的，网络管理应用进程使用ISO参考模型的应用层。 CMIP协议相对于SNMP而言，需要大量资源：包括实现时

8、投入的资源（人力、物力）以及运行时的计算机和网络资源。由于此缺陷，注定了CMIP协议生命周期的有限性。,03.12.2020,.,page 9,SNMP协议 1）、概述 简单网络管理协议（SNMP）是一种用于在网络设备之间交换管理信息的应用层协议，目前被广泛地实现在各种网络设备中，并在 Internet中普遍使用。 SNMP的前身是简单网关管理协议(SGMP)，用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB体系结构，改进后的协议就是著名的SNMP。 SNMPv1是 1990年 5月正式公布的（RFC 1155和 RFC 115

9、7）， SNMPv2是前者的改进，于 1993年陆续公布（RFC 1441 RFC 1452），后来又发展为SNMP3（由RFC2271到RFC2275定义），描述了SNMP2中所缺乏的安全和管理方面上的问题。 SNMP属于网络管理平台，它为网络管理应用系统和被管的网络设备之间的交互提供了标准的界面。,03.12.2020,.,page 10,2）、SNMP网络管理模型 由4部分组成：网络管理站、被管设备、管理信息库MIB和管理协议SNMP。,03.12.2020,.,page 11,网络管理者是指实施网络管理的处理实体，网络管理者驻留在管理工作站上，管理工作站通常是指那些工作站、微机等，一般

10、位于网络系统的主干或接近于主干的位置，它负责发出管理操作的指令，并接收来自网管代理的信息 。 网管代理是一个软件模块，它驻留在被管设备上它的功能是把来自网络管理者的命令或信息的请求转换成本设备特有的指令，完成网络管理者的批示或把所在设备的信息返回到网络管理者 。网管代理实际所起的作用就是充当网络管理者与网管代理所驻留的设备之间的信息中介。 管理站和网管代理者之间通过网络管理协议SNMP通信，网络管理者进程通过网络管理协议SNMP来完成网络管理。 管理信息库（MIB）是一个信息存储库，它是网络管理系统中的一个非常重要的部分。MIB定义了一种对象数据库，由系统内的许多被管对象及其属性组成。在MIB

11、中的数据可大体分为3类：感测数据、结构数据和控制数据。,03.12.2020,.,page 12,SNMP网络管理模型的核心是由代理维护而由管理器读写的管理信息。在SNMP文献中，这些信息称为对象。网络中所有可管对象的集合称为管理信息库MIB。 被管网络中的信息交换会因为被管设备所采用的数据表示技术的不同而产生麻烦，因此要设法在这些异构设备通信时消除这些不兼容性，统一使用一种语法表示法可以使不同种类的计算机共享管理信息。 SNMP应用了ISO的开放系统互连抽象语法表示法1（ASN.1）的一个子集，它是用于以与机器无关的形式对MIB的被管对象进行描述的一种语言。用ASN.1定义管理协议所交换的各

12、种报文格式和被管对象，将被管对象简化为可管理的事物的特征。如，一特定主机中当前活动的TCP范围表就是一个被管对象。 在传输各类数据时，SNMP协议首先要把内部数据转换成ASN.1语法表示，然后发送出去；另一端收到此ASN.1语法表示的数据后也必须首先变成内部数据表示后，然后才执行其他的操作。,03.12.2020,.,page 13,MIB与对象标识符： 所有的被管对象都包含在管理信息库（MIB）中，它是对象所必须的数据库。一个MIB可以描述为一棵抽象树（MIB树），树的根没有名字，各个数据项组成了树的叶节点。对象标识符（OID）唯一地标识或命名了树中的各种MIB对象。对象标识符类似于电话号码

13、，不同的组织和机构有层次地分配了特定的数字组成了这些对象标识符。 SNMP MIB的对象标识符结构定义了三个主要分枝：CCITT负责分枝0，ISO管理分枝1，CCITT和ISO联合管理分枝2。 目前多数MIB的活动发生在ISO分枝部分，ISO将它的分枝分给了几个组织，其中将子树1给了美国国防部（DOD），DOD用它作为Internet对象表示。这样在Internet子树中，对象标识符以1.3.6.1开头,意思是它们属于ISO，ORG，DOD，Internet子树，专门用于Internet范围。,03.12.2020,.,page 14,MIB树,ROOT,CCITT (0),ISO (1),J

14、OINT-ISO-CCITT (2),ORG (3),DOD (6),INTERNET (1),PRIVATE (4),EXPERIMENTAL (3),MGMT (2),DIRECTORY (1),MIB (1),IP (4),地址转换 (3),接口 (2),TCP (6),ICNP (5),UDP (7),EGP (8),OMI (9),传输 (10),SNMP (11),系统 (1),03.12.2020,.,page 15,Internet子树有四个分枝：Directory（1）、Mgmt（2）、Experimental（3）和Private（4）。Directory计划用于OSI目录

15、；Mgmt用于网际活动委员会（IAB）承认的文本对象的定义；Experimental用于Internet网络实验；Private用于专用MIB的定义。 目前在RFC1213中定义的Internet标准MIB和MIBII包含了171个对象。这些对象按照协议（包括TCP，IP，UDP，SNMP和其它）和其它类项（包括“系统”和“接口”）进行分组。 MIB树可以扩展为实验和专用分枝。没有标准化的那些MIB往往被放置在实验分枝。厂商可以定义自己的专用分枝来包括其产品的各种实例。例如，Cisco的专用MIB的对象标识符是1.3.6.1.4.1.9，该标识符包括了许多对象，如用OID 1.3.6.1.4.

16、1.9.2.2.1.51来标识对象“HostConfigAddr”。对象HostConfigAddr说明了为一台具体的Cisco设备提供主机配置文件的主机的地址。,03.12.2020,.,page 16,管理信息结构（SMI）：因为Internet网络可能很庞大而且要保存维护每个设备的大量的信息，网络管理员需要一种组织和管理这些信息的方法。SMI定义了MIB的结构以及定义MIB的规则。SMI允许使用标准ASN.1的数据类型。,3）、SNMP协议定义了五种类型的操作 SNMP共有5种PDU，其中2种用来读取数据，2种用来设置数据，1种用来监视网络上发生的事件，如网络故障报警等。 请求读取对象信

17、息（Get-Request）： 从代理那里取得一个对象的实例，证实型操作； 请求读取下一个对象信息（Get-Next-Request）：从代理那里取得下一个对象实例，这个操作是与上下文有关的，缺省时指的是 MIB中第一个对象实例的值，证实型操作； 设置对象的有关参数（Set-Request）：在代理中设置指定对象实例的值，证实型操作； 对读操作作出响应回答(Get-Response)：是上述操作的应答信息，也包含错误和状态信息。 捕捉事件并给出报告（Trap）：代理异步地通知 NMS某个事件的发生，非证实型操作；事件的定义是 NMS预先设置的（如某个门槛值）。,03.12.2020,.,pag

18、e 17,网络管理平台与网络管理系统 网络管理的最终目标是通过什么实现的呢？ 是通过网络管理系统，也就是要通过一个实施网络管理功能的应用系统来实现。 网络管理平台通常由协议通信软件包、MIB编译器、网络管理应用编程接口和图形化的用户界面组成。它是管理站的功能基础，在网络管理平台的基础上可以进一步实现各种管理功能和开发各种管理应用。 网络管理系统(NMS，Network Management System)是用来管理网络，保障网络正常运行的软件和硬件的有机组合，是在网络管理平台的基础上实现的各种网络管理功能的集合，包括故障管理、性能管理、配置管理、安全管理和计费管理等功能。,03.12.2020

19、,.,page 18,基于Internet技术的结构,03.12.2020,.,page 19, 概述 随着计算机网络广泛用于政治、军事、经济和科技各个领域，数据在存储和传输中可能被盗用、暴露或篡改，网络软件也可能遭受恶意的攻击而时网络瘫痪。因此应架构一套理想的安全机制，以建立一个即能享受网络便利，又能阻绝非常手段的良好环境。 网络安全的定义 网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和漏露，保证网络系统的正常运行、网络服务不中断。其目的是确保经过网络厂商和交换的数据不会发生增加、修改、丢失和泄漏等.,9.2 网络安全,03.12.2020,.,page

20、20,主要的网络安全问题 1网络系统软件自身的安全问题 ：安全漏洞及时弥补 2网络系统中数据库的安全问题：数据的安全性、完整性 和并发控制 3传输的安全与质量 ：防窃听、可靠性 4网络安全管理问题：安全管理 5各种人为因素 ：病毒黑客人员的疏忽,03.12.2020,.,page 21,网络安全策略 一个行之有效的安全措施是: 从检测网络中的威胁、安全装置和脆弱性入手，围绕下述几个方面进行保护: 1保护办公地点 2保护工作站 3保护服务器 4保护电缆 代表性的安全技术主要有： 访问控制与口令技术、防火墙技术、加密技术、数字签名技术、身份认证技术等。,03.12.2020,.,page 22,加

21、密 概述明文：原始数据 密文：经过转换所得的数据,密钥；加密和解密算法中的关键参数。 加密：指将原始数据根据事先定义好的算法法则，将之转换成无法理解的数据，这个过程便称之为加密。 解密：是指在解密密钥的控制下，将密文恢复为明文。 在加密系统中，算法是相对稳定的，为了加强数据的安全性，密钥经常改变,03.12.2020,.,page 23,数据加密的目的：是使得入侵者在无论获得多少密文数据的条件下，都无法唯一确定出对应的明文数据。 若一个加密算法或加密机制能够满足这一条件，则我们称该算法或机制是无条件安全的或理论上是不可破的。但在无任何限制的条件下，目前几乎所有实用的密码体制都是可破的。因此，人

22、们关心的是要研制出在计算上而不是在理论上不可破的密码体制。 在网络应用中一般采取两种加密形式： 对称密钥又称秘密密钥（Secret Key）：常见的对称密钥标准有DES、FEAL、IDEA等。 公开密钥（Public Key）：常用的公钥加密算法是RSA算法，加密强度很高。 下面介绍几种常见的实现加密体制的技术。,03.12.2020,.,page 24,秘密密钥密码体制 所谓秘密密钥密码体制，即加密密钥与解密密钥是相同的。 在早期的秘密密钥密体制中，典型的有两种： 替换加密算法：每个字符都用字符表中向左移动一固定数字的字符代替。 如：将明文字符的顺序保持不变，都左移3个字符，即密钥为3。明文

23、：a b c d ； 密文：d e f g 变换加密算法：按某一规则重新排列数据中字符或比特的顺序。 以上两种密码均易破译,一般作为复杂编码过程中的中间步骤。 若从得到的密文序列的结构分密码体制： 序列密码：把明文看成连续的比特流 分组密码：把明文看成固定的N比特数据组,03.12.2020,.,page 25,数据加密标准DES DES算法由IBM公司于1971-1972年研制成功，1977年被美国国家标准局和国家安全局定为数据加密标准，而且ISO也将DES作为数据加密标准。 DES使用64位长的密钥，并用加密算法对以64位长度为单位的二进制数据加密，从而产生64位长度的密文数据。 由于DE

24、S使用的64位密钥中有8位是用于奇偶检验，以便发现和纠正传输误差，因此DES算法的实际密钥长度只有56位。 DES算法的工作原理：公开算法，包括加密和解密算法；但对密钥进行保密。只有掌握了和发送方相同密钥的人才能解读由DES算法加密的密文数据。因此破译DES算法实际上就是搜索密钥的编码。对于56位长度的密钥来说，若用穷举法来进行搜索的话，其运算次数为256。 DES的保密性完全取决于对密钥的保密。,03.12.2020,.,page 26,公开密钥密码体制RSA DES算法除了可被人们使用高速计算机在较短时间内被破译外，另一主要的缺点是它不适合Internet上的许多应用，如电子邮件等，这是因

25、为DES算法的信息发送和接收双方使用相同的密钥的缘故。 公开密钥密码体制是指加密密钥/公开密钥PK是公开的，加密算法E和解密算法D也都是公开的，而解密密钥/秘密密钥SK是保密的。虽然SK是由PK决定的，但不能根据PK计算出SK。 公开密钥密码体制又称双钥或非对称密钥密码体制。最有名的是RSA体制。它已被ISO/TC97的数据加密技术委员会SC20推荐为公开密钥数据加密标准。 公开密钥算法的特点： 用加密密钥PK对明文P加密后，再用解密密钥SK解密即得明文，即DSK（EPK（P）=P。且加密和解密的运算可对调，即EPK（DSK（P）=P,03.12.2020,.,page 27,加密密钥不能用来

26、解密，即DPK（DPK（P）= P 在计算机上可容易地产生成对的PK和SK，但从已知的PK不能推导SK。 加密密钥PK和加密解密算法一起公开，而解密密钥SK必须保密。 RSA体制的基本原理： RSA体制是根据寻求两个大素数容易，而将它们的乘积分解开则极其困难这一原理来设计。在这一体制中，每个用户有加密密钥PK=（e，N）和解密密钥SK=（d，N），用户把PK公开，SK中的d保密。其中N为两个大素数p、q的乘积（ p、q 一般100位的十进制素数），虽然e和d满足一定的关系，但敌手不能根据已知的e和N求出d。加密：C=Xe MOD N ,解密：P=Cd MOD N RSA的安全性在于对大数N的分

27、解极其困难。如用每1us做一次操作的计算机，分解100位的十进制数N，需时74年。,03.12.2020,.,page 28,认证 认证的基本原理 认证是一种查证对方真实身份的技术，一般通过某种复杂的身份认证协议来实现。 身份认证在网络安全中占据十分重要的位置。 身份认证协议往往是通过公开密钥加密算法来实现的，其工作原理如图所示。,03.12.2020,.,page 29,03.12.2020,.,page 30,数字签名 数字签名技术是实现交易安全的核心技术之一。 数字签名必须保证以下3点： 接收者能够核实发送者对报文的签名。 发送者事后不能抵赖对报文的签名。 接收者不能伪造对报文的签名。

28、现在已有多种实现各种数字方法，但签名采用公开密钥算法要比常规算法更容易实现。 数字签名的实现： 发送者A用其秘密解密密钥SKA 对报文P进行运算，将结果DSKA（P）传送给接收者B，B用A的公开加密密钥PKA得出EPKA（DSKA（P）=P，由于除A外没有别人具有A的解密密钥SKA，所以只有A能产生密文DSKA（P），这样报文P就被A签名了。 若A抵赖，B可将P及DSKA（P）出示给第三者，第三者可以用PKA去证实A确实发送信息P给B；若B将P伪造成P，则B不敢向第三者出示DSKA（P）。 上述过程只是对报文进行了签名，但对报文本身却未保密。,03.12.2020,.,page 31,密钥的管

29、理与分配 对称密钥加密方法致命的一个弱点就是它的密钥管理十分困难，因此它很难在电子商务的实践中得到广泛的应用；在这一点上，公开密钥加密方法占有绝对优势。不过，无论实施哪种方案，密钥的管理都是要考虑的问题。 公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。KDC的公开密钥和秘密密钥分别为PK、SK。每个用户只保存自己的秘密密钥和KDC的公开密钥PK。用户可以通过KDC获得任何其他用户的公开密钥。,03.12.2020,.,page 32,防火墙 防火墙的概念 防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较

30、强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。 但防火墙系统一旦被攻击者突破或迂回，就不能提供任何保护了。 防火墙可由硬件或软件来实现。 Internet防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。,03.12.2020,.,page 33,防火墙的功能 过滤不安全服务和非法用户，禁止末授权的用户访问受保护网络。 控制对特殊站点的访问。 提供监视Internet安全和预警的方便端点。防火墙可以记录下所有通过它的访问并提供网络使用情况的统计数据。 防火墙的缺点 可能阻止了一个用户对网络服务或对主机访问的正常要求。 不能防范绕过防火墙的攻击。 难以避免来自内部的攻击。 一般的防火墙不能防止受到病毒感