第8章 网络管理与网络安全-高殿武

1、本章学习要求：掌握网络管理、网络安全的一些基本概念掌握网络安全的威胁掌握加密与认证、入侵检测与入侵防御的基本概念掌握数字信封与数字签名的基本技术原理掌握防火墙的基本技术原理了解杀毒软件和防火墙软件实践: ACL基本配置、个人防火墙软件配置、网络安全防护部署 第8章 网络管理与网络安全8.1.1 网络管理概述1网络管理的概念网络管理对组成网络的各种软硬件设施的综合管理，以达到充分利用这些资源的目的，并保证网络向用户提供可靠的通信服务管理的实质对各种网络资源进行监测、控制和协调，收集、监控网络中各种设备和相关设施的工作状态、工作参数，并将结果提交给管理员进行处理，进而对网络设备的运行状态进行控制，

2、实现对整个网络的有效管理8.1网络管理8.1.1 网络管理概述2OSI管理功能域OSI网络管理标准将开放系统的网络管理功能划分成5个功能域，它们分别用来完成不同的网络管理功能OSI网络管理中定义的功能域只是网络管理最基本的功能，这些功能都需要通过与其他开放系统交换管理信息来实现OSI管理标准中定义的5个功能域：配置管理故障管理性能管理安全管理与记帐管理8.1.2 简单网络管理协议1. SNMP的基本原理SNMP（Simple Network Management Protocol）即简单网络管理协议，从广义上讲，SNMP是由一系列协议和规范组成的，它们提供了一种从网络上的设备中收集网络管理信息

3、的方法SNMP主要包括3个部分：（1）管理信息结构SMI（2）管理信息库MIB（3）简单网络管理协议SNMP8.1.2 简单网络管理协议1. SNMP的基本原理SNMP网络管理模型采用客户/服务器的组织模式管理工作站SNMP充当客户方，而装备了SNMP代理（SNMP Agent）的被管理节点担任服务器方管理工作站被管理节点管理工作站与被管理 节点之间的通信Get操作 Set操作Trap操作陷阱引导轮询技术 8.1.2 简单网络管理协议2SNMP的消息SNMP中定义了五种消息类型 （1）GetRequest（2）GetNext Request（3）Get Response（4）SetReques

4、t（5）TrapSNMPv2中增加了两种PDU：GetBulkRequestInformRequest 8.1.2 简单网络管理协议2SNMP的消息SNMP报文由三个部分组成: Version域 Community域管理代理的口令SNMP协议数据单元域 8.1.2 简单网络管理协议3SNMP网络管理方案高度集中式的网络管理方案分布式网络管理方案8.2 网络安全概述8.2.1 网络安全的概念网络安全指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断从其本质上来讲主要是指网络上的信息安全。网络安全包括

5、：物理安全逻辑安全操作系统安全网络传输安全8.2 网络安全概述8.2.2 网络安全技术必须解决的问题1网络攻击在Internet中，对网络的攻击可以分为2种基本类型：服务攻击及其特点非服务攻击及其特点从黑客攻击的手段上看，又可以大致分为以下8种：系统入侵类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务类攻击、防火墙攻击、病毒类攻击、木马程序攻击、后门攻击等网络防攻击技术8.2 网络安全概述8.2.2 网络安全技术必须解决的问题2网络安全漏洞网络软件的漏洞和后门是进行网络攻击的首选目标协议的安全漏洞 对策8.2 网络安全概述8.2.2 网络安全技术必须解决的问题3网络中的信息安全问题主动攻击和被动攻

6、击网络中的信息安全主要包括2个方面：信息存储安全及对策信息传输安全一般通过加密与解密、身份确认、数字签名等方法来保证信息信息存储与传输的安全8.2 网络安全概述8.2.2 网络安全技术必须解决的问题4防抵赖问题对策：身份认证、数字签名、数字信封、第三方确认等方法 5网络内部安全典型行为对策8.2 网络安全概述8.2.2 网络安全技术必须解决的问题6病毒、蠕虫与木马比较：普通病毒 蠕虫（worm） 木马 恶意程序感染病毒和木马的常见方式 7网络数据备份与恢复8知识产权保护8.3 加密与认证技术8.3.1 基本概念1加密算法与解密算法加密的基本思想是伪装明文以隐藏其真实内容，即将明文X伪装成密文Y

7、伪装明文的操作称为加密，加密时所使用的信息变换规则称为加密算法由密文恢复出原明文的过程称为解密，解密时所采用的信息变换规则称作解密算法解密是加密的逆过程8.3.1 基本概念2密钥的作用加密算法和解密算法的操作通常都是在一组密钥控制下进行的密码体制是指一个密码系统所采用的基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥现代密码学的一个基本原则是：一切秘密寓于密钥之中 8.3.1 基本概念3数据加密的数学模型4密钥长度对于同一种加密算法，密钥的位数越长，破译的困难也就越大，安全性也就越好密钥位数越多，密钥空间越大，也就是密钥的可能的范围也就越大，那么攻击者就越不容易通过暴力攻击（bru

8、te-force attack）来破译密钥长度（位）组合个数40 2401 099 511 627 776562567.205 759 403 7931016642641.844 674 407 371101911221125.192 296 858 535103312821283.402 823 669 20910388.3.2 对称加密1对称加密的基本概念对称加密技术对信息的加密与解密都使用相同的密钥加密方与解密方必须使用同一种加密算法和相同的密钥8.3.2 对称加密2典型的对称加密算法数据加密标准DES（Data Encryption Standard）是最典型的对称加密算法，它是由IB

9、M公司推出，经过国际标准化组织认定的数据加密的国际标准IDEA算法、RC2算法、RC4算法8.3.3 非对称加密.非对称加密的基本概念非对称加密技术对信息的加密与解密使用不同的密钥，用来加密的密钥是可以公开的公钥，用来解密的密钥是需要保密的私钥又被称为公钥加密（public key encryption）技术8.3.3 非对称加密公钥加密的优点2典型的非对称加密算法目前，主要的公钥算法包括：RSA算法DSA算法PKCS算法PGP算法8.3.4 数字信封技术数字信封的工作原理 8.3.5 数字签名技术1数字签名的基本概念亲笔签名是用来保证文件或资料真实性的一种方法在网络环境中，通常使用数字签名技

10、术来模拟日常生活中的亲笔签名数字签名将信息发送人的身份与信息传送结合起来，可以保证信息在传输过程中的完整性，并提供信息发送者的身份认证 目前各国已经制定了相应的法律、法规，把数字签名作为执法的依据利用非对称加密算法（例如RSA算法）进行数字签名是最常用的方法8.3.5 数字签名技术2数字签名的工作原理8.3.5 数字签名技术3信息摘要信息摘要是通过一个单向散列函数（Hash），将一段可变长度的明文转换成的一个固定长度的比特串（散列码），签名时只需要对这个固定长度的比特串签名散列码是报文所有比特的函数值，当报文中任意一比特或若干比特发生改变时，都将导致散列码发生变化也称为信息的数字指纹8.3.6

11、 网络用户的身份认证在网络中经常需要认证用户的身份，例如访问控制网络用户的身份认证可以通过以下种基本途径之一或它们的组合来实现：（1）用户的密码、口令等（2）用户的身份证、护照、信用卡（3）用户的个人特征（characteristics）：指纹、声音、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征等8.4 防火墙技术8.4.1 防火墙的基本概念防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合，对内部网络和外部网络之间的通信进行控制其实质是将内部网和外部网（如Internet）分开的一种隔离技术 构成防火墙系统的两个基本部件：包过滤路由器（packet f

12、iltering router）应用网关（application gateway，也叫应用层（级）网关）8.4.1 防火墙的基本概念安全政策防火墙安装的位置 8.4.2 防火墙技术1.包过滤防火墙基于路由器技术访问控制列表ACL与包过滤规则实例：ACL基本配置 8.4.2 防火墙技术1.包过滤防火墙包过滤的流程 8.4.2 防火墙技术1.包过滤防火墙屏蔽路由器结构安全策略与过滤规则举例包过滤方法的优点与缺点 8.4.2 防火墙技术2应用代理防火墙应用代理的概念 优点和缺点 8.4.2 防火墙技术3状态检测防火墙状态检测（也叫动态包过滤）的概念防火墙采用了一个在网关上执行网络安全策略的软件引擎，

13、称之为检测模块检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对通过防火墙建立的每一个连接都进行跟踪连接状态表优点和缺点 8.4.2 防火墙技术4自适应代理防火墙自适应代理技术（Adaptive proxy）可以结合应用代理类型防火墙的安全性和包过滤防火墙的高速度等优点组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）在自适应代理与动态包过滤器之间存在一个控制通道 8.4.3 防火墙的系统结构1防火墙系统结构的基本概念由于不同内部网的安全策略与防护目的不同，防火墙系统的配置与

14、实现方式也有很大的区别实际的防火墙系统经常将包过滤路由器与应用层网关作为基本单元，从而形成多种系统结构 2堡垒主机的概念8.4.3 防火墙的系统结构3典型的防火墙系统结构（1）被屏蔽的堡垒主机系统结构8.4.3 防火墙的系统结构3典型的防火墙系统结构（2）被屏蔽子网系统结构8.4.3 防火墙的系统结构4个人防火墙个人防火墙在用户计算机上建立了一个虚拟网络接口计算机操作系统不再直接通过网卡进行通信，而是以操作系统通过和个人防火墙对话，仔细检查网络通信，然后再通过网卡通信学习模式 主要缺点比较：杀毒软件和防火墙软件实例：个人防火墙软件配置 8.5 入侵检测8.5.1 入侵检测1入侵检测的概念人侵检

15、测系统（Intrusion Detection System）是对计算机和网络资源的恶意使用行为进行识别的系统其目的是实时的监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部用户的非授权行为，并采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等防火墙不能防范的安全威胁防火墙和入侵检测系统功能互补 8.5.1 入侵检测2几类常见的IDS系统（1）NIDS（network intrusion detection system）（2）SIV（system integrity verifiers）（3）LFM（log file monitors）（4）Honeypots8.

16、5.1 入侵检测3网络入侵检测系统的类型网络入侵检测系统的运行方式有两种，一种是在目标主机上运行以监测其本身的通讯信息，另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息网络入侵检测系统NIDS可分为：主机型网络型混合型8.5.1 入侵检测4入侵检测系统的典型应用方案8.5.2 入侵防御的基本概念入侵防御系统（IPS）倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报比较：防火墙、入侵检测、入侵防御IPS技术主要特点：（1）嵌入式运行（2）深入分析和控制（3）入侵特征库（4）高效处理能力1、什么是网络管理？试简要说明OSI管理标准中定义的5个功能域。2、解释下列术语：SNMP、管理信息结构SMI、管理信息