计算机网络课件第九章与网络管理

1、第9章与网络管理技术本章学习要求:了解：掌握：掌握：的重要性。体制的基本概念及应用。的基本概念。掌握：网络检测与防的基本概念与方法。掌握：网络文件备份与恢复的基本方法。了解：网络防治的基本方法。了解：网络管理的基本概念与方法。的主要问题的重要性问题已经成为信息化社会的一个焦点问题；每个国家只能立足于本国，自己的技产术，培养自己的专门，发展自己的业，才能构筑本国的网络与防范体系。39.1.2技术的主要问题网络防问题；与对策问题；问题；网络中的防抵赖问题；网络内部安全防范问题；网络防问题；网络数据备份与恢复、恢复问题。41.网络防技术服务（application dependen

2、对网络提供某种服务的服务器发起tack） :，造成该网络的“服务”，使网络工作不正常;（application independentack） :非服务不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。5网络防主要问题需要的几个问题网络可能遭到哪些人的？类型与可能有哪些？如何及时检测并络被？如何采取相应的策略与防护体系？62.与对策的网络信息系统的运行涉及：计算机硬件与操作系统；网络硬件与网络数据库管理系统；应用；网络通信协议。也会表现在以上几个方面。73.网络中的问题信息安全与信息传输安全信息安全如何保证静态在连网计算机中的信息不会被未的网络用户使

3、用；信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击；84.防抵赖问题防抵赖是防止信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到信息之后不认账；通过认证、数字签名、数字信封、第确认等方法，来确保网络信息传输的赖”现象出现。问题，防止“抵95.网络内部安全防范网络内部安全防范是防止内部具有合份的用户有意或无意地做出对网络与有害的行为；对网络与有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；规定，绕过，私自和外部网络连接，造成系统安全；网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决

4、来自网络内部的不安全个方面入手。必须从技术与管理两106.网络防引导型可执行文件宏混合特洛伊木马型ernet语言117.网络数据备份与恢复、恢复问题如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络因某种原因被损坏，重新设备的资金可以提供，但是原有系统的数据能不能恢复？129.1.3服务与安全标准服务应该提供以下基本的服务功能：（donfidentiality）数据认证（authentication）数据完整（dataegrity）防抵赖（non-repudiation）控制（acs control）13标准电子计算机系统安全规范，1987年10月保护条例，1991年5月著作权登记办

5、法，1992年4月计算机信息与系统安全保护条例，计算机计算机中1994年2月管理暂行规定，1998年2月计算机信息系统关于互联网安全决定，通过，2000年12月常务14民计算机系统评估准则TC-SEC-NCSC是1983年公布的，1985年公布了网络说明（TNI）；计算机系统评估准则将计算机系统安全等级分为4类7个等级，即D、C1、C2、B1、B2、B3与A1；D级系统的安全要求最低，A1级系统的安全要求最高。159.2加密与认证技术9.2.1算法与体制的基本概念数据加密与的过程16明文密文信息源结点密文明文信息目的结点过程加密过程体制是指一个系统所采用的基本工作方式以及它的两个基本要素，即加

6、密/算法和密钥；密钥相同，也称传统为对称体制所用的加密密钥和体制；如果加密密钥和体制；密钥可以看作是密钥不相同，则称为非对称算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系；算法是相对稳定的。在这种意义上，可以把算法视为常量，而密钥则是一个变量；在设计加密系统时，加密算法是可以公开的，真正需要的是密钥。17是含有一个参数k的数学变换，即C = Ek（m）m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法参数k称为密钥密文C是明文m 使用密钥k 经过加密算法计算后的结果；18密钥长度密钥长度与密钥个数19密钥长度（位）组合个数40240=

7、109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.40282366920910389.2.2对称密钥（symmetric cryptography）体系对称加密的特点密钥加密过程过程明文密文明文209.2.3非对称密钥（asymmetric cryptography）体系非对称密钥体系的特点公钥私钥加密过程过程明文密文明文21非对称加密的标准RSA体制被认为是目前为止理论上最为成一种公钥体制。RSA体制多用在数字签名、密钥管理和认证等方面；Elgama

8、l公钥体制是一种基于离散对数的公钥体制；目前，许多商业产品采用的公钥加密算法还有Diffie man密钥交换、数据签名标准DSS、椭圆曲线等 。229.2.4数字信封技术接收方接收方私钥对称密钥过程被加密的密钥对称密钥密文密文过程数据密文明文23发送方对称密钥加密过程明文数据密文接收方公钥对称密钥加密过程被加密的密钥9.2.5数字签名技术24发送方明文发送方私钥单向散列函数生成摘要加密过程明文信息摘要信息摘要接收方单向散列函数明文明文生成摘要身比较份认过程证发送方公钥信息摘要信息摘要信息摘要信息摘要9.2.6认证技术的发展认证可以通过3种基本途径之一或它们的组合实现：所知（knowledge）

9、: 个人所掌握的、口令；sesses）: 个人所有（匙；、护照、钥个人特征（characteristics）:人的、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征；新的、广义的生物统计学是利用个人所特有的生理特征来设计的；目前人们身材、的个人特征主要包括：容貌、肤色、发质、手印、脚印、唇印、颅相、口音、脚步声、体味、视网膜、血型、遗传因子、笔迹、性签字、打字韵律，以及在外界刺激下的反应等。2技术的基本概念是在网络之间执行安全控制策略的系统，它包括硬件和设置；的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部用户的。26通过检查所有进出

10、内部网络的数据包，检查数据包的，判断是否会对威胁，为内部网络建立安全边界（security perimeter）；系统的两个基本部件是滤路由器（packet filtering router）和应用级网关（application gateway）；最简单的系统由由一个滤路由器组成，而复杂的滤路由器和应用级网关组合而成；由于组合方式有多种，因此种形式。系统的结构也有多279.3.2滤路由器滤路由器的结构28路由器按照系统内部设置的分组过滤规则（即控制表），检查每个分组的源IP地址、目的IP地址，决定该分组是否应该转发；滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地

11、址；目的IP地址；协议类型； IP选项内容；源TCP端目的TCP端；TCP ACK标识。29滤的工作流程y根据过滤规则确定包是否允许转发转发该包Ny是否是滤丢弃该包的最后一个规则N应用下一个滤规则30分析包参数设置滤规则滤路由器作为的结构内部网络发送到外部网络的包ernet滤路由器进入内部网络的包外部网络工作站31服务器（）假设策略规定：服务器（IP地址为，TCP内部网络的为25）可以接收来自外部网络用户的所有电子端邮件；允许内部网络用户传送到与外部电子邮件服务器的电子邮件；所有与外部网络中名字为TESTHOST主机的连接。32滤规则表33规则过滤号方向动作源主机地址源端目的端目的主机地址协议

12、描述1进入阻塞TESTHOST*阻塞来自 TESTHOST的所有数据包2输出阻塞*TESTHOST*阻塞所有到 TESTHOST的数据包3进入允许*102325TCP允许外部用户传送到内部网络电子邮件服务器的数据包4输出允许25*1023TCP允许内部邮件服务器传送到外部网络的电子邮件数据包9.3.3应用级网关的概念多归属主机（multihomed host）典型的多归属主机结构多归属主机多归属主机网卡1网卡2网卡3网络1网络2网络3网络1网络2网络334应用级网关35应用（application proxy）369.3.4的系统结构堡垒主机的概念一个双归属主机作为应用级网关可以起到作用；的计

13、算机处于关键部位、运行应用级网关系统叫做堡垒主机。内部网络发送到外部网络的包ernet进入内部网络的包应用级网关外部网络工作站服务器（）37典型系统系统结构分析采用一个过滤路由器与一个堡垒主机组成的S-B1系统结构堡垒主机WWW服务器FTP服务器ernet滤路由器内部网络工作站工作站文件服务器38滤路由器的转发过程堡垒主机 0ernet过滤路由器内部网络工作站文件服务器 39过滤路由器路由表目的IP转发至IP0S-B1配置的系统中数据传输过程40系统（ S-B1-S-B1配置）结构示意图采用多级结构的ernet外部网络外部路由器滤过滤子网外堡垒主机内部滤内部网络路由器内部网络工作站内堡垒主机服

14、务器419.4网络防与方法分析检测技术9.4.1 网络大致可以分为8种基本的类型：目前系统类缓冲区溢出；类服务；对利用木马程序后门的。429.4.2检测的基本概念rudetection system，IDS）是使用行为进行识别的系统；检测系统（对计算机和网络资源的它的目的是监测和发现可能存在的行为，包括来自系统外部的行为和来自内部用户的非行为，并且采取相应的防护。43检测系统IDS的基本功能：、分析用户和系统的行为；检查系统的配置和；评估重要的系统和数据文件的完整性；对异常行为的统计分析，识别；类型，并向网络管理对操作系统进行审计、活动。管理，识别的用户44检测系统框架结构规则设计与修改更则处

15、理意见45历活状响应单元事件数据库事件分析器提取规则史动态更新事件发生器事件9.4.3检测的基本方法对各种事件进行分析，从中发现安全策略的行为是检测系统的功能；检测系统按照所采用的检测技术可以分为：异常检测误用检测两种方式的结合469.5网络文件备份与恢复技术9.5.1网络文件备份与恢复的重要性网络数据可以进行归档与备份；归档是指在一种特殊介质上进行性；网络数据备份是一项基本的网络工作；备份数据用于网络系统的恢复。479.5.2网络文件备份的基本方法选择备份设备选择备份程序建立备份制度在考虑备份方法时需要注意的问题：如果系统遭到破坏需要多长时间才能恢复？怎样备份才可能在恢复系统时数据损失最少？

16、489.6网络防技术9.6.170%的造成网络发生在网络上；的主要原因将用户家庭微型机软盘带到网络上运行而使网络的事件约占41%左右；上约占7%；约占6%；约占6%；从网络电子牌上带来的从从商的演示盘中带来的盘中带来的约占2%；从公司之间交换的软盘带来的约占27%；其他未知从统计数据中可以看出，引起网络因在于网络用户自身。的主要原499.6.2网络的危害网络 务器是要场所；一般是从用户工作站开始的，而网络服潜在的目标，也是网络潜藏的重网络服务器在网络事件中起着两种作用：它可能被，造成服务器瘫痪；它可以成为的代理人，在工作站之间迅速与蔓延；网络的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿

17、主程序上；当宿主程序执行时，给其他程序。如果也被启动，然后再继续传染不发作，宿主程序还能照常运行；当符合某种条件时，序与数据。便会发作，它将破坏程509.6.3典型网络防的应用网络防可以从以下两方面入手：一是工作站，二是服务器；网络防的基本功能是：对文件服务器和工作站进行查毒扫描、检查、由网络管理员负责清除、；，当发现时，网络防一般允许用户设置三种扫描方式：实时扫描、预置扫描与人工扫描；一个完整的网络防系统通常由以下几个部分组成：客户端防毒、服务器端防毒、针对群件的防毒、针对的防毒。519.6.4网络工作站防方法采用无盘工作站使用单机防卡使用网络防卡529.7 网络管理技术9.7.1网络管理的

18、基本概念网络管理涉及以下三个方面：网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能；网络故障是指网络性能与恢复；、故障、故障、网络处理是指网络线路、设备利用率数据析，以及提高网络利用率的各种控制。、分539.7.2OSI管理功能域配置管理（configuration management）故障管理（fault management）性能管理（performance management）安全管理（security management）记账管理（accounting management）549.7.3简单网络管理协议SNMPernet网络管理模型.55管理对象管理对象外部外部管理管理对象管理管理对象网络管理进程（网控中心）简单网络管理协议SNMP56小结要使网络有序、安全的运行，必须加强网络使用方法、技术与道德教育，完善网络管理，研究与开发新的技术与产品；技术基本问题包括：网络防、网、网络络安全与对策、网络中的内部安全防范、网络防恢复；、网络数据备份与服