计算机网络应用基础课件

第7章网络管理技术和网络安全第7章网络管理技术和网络安全本章教学目标了解网络管理的基本概念掌握Internet网络管理模型理解OSI管理标准中的5个功能域简单的网络管理协议了解计算机病毒的预防和清除理解防火墙技术基本概念、原理等2本章教学目标了解网络管理的基本概念27.1网络管理技术

7.1.1网络管理概述1.网络管理定义网络管理是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作。在OSI网络管理标准中定义了网络管理的五大功能，即配置管理、性能管理、故障管理、安全管理和计费管理。37.1网络管理技术

7.1.1网络管理概述1.网络管理定7.1.1网络管理概述常见的网络管理方式有以下几种：SNMP管理技术RMON管理技术基于WEB的网络管理47.1.1网络管理概述常见的网络管理方式有以下几种：47.1.1网络管理概述2.网络管理的目的提供对计算机网络进行规划、设计、操作运算、监督、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和优质的服务。57.1.1网络管理概述2.网络管理的目的57.1.1网络管理概述网络管理涉及的协议包括以下三个方面：网络服务提供：包括新服务类型的提供，增加网络设备，提高网络性能网络维护：包括网络性能监控、故障报警、故障诊断、故障隔离与恢复网络处理：包括网络线路和设备利用率、数据采集和分析以及提高网络利用率的各种控制。67.1.1网络管理概述网络管理涉及的协议包括以下三个方面：7.1.1网络管理概述3.Internet网络管理模型网络管理进程（控制中心）管理代理管理代理外部代理外部代理管理对象管理对象管理对象管理对象管理代理：网络管理系统中管理动作的执行机构外部代理：专门为不符合管理协议标准的网络元素而设计图7-1网络管理模型77.1.1网络管理概述3.Internet网络管理模型网络7.1.1网络管理概述OSI网络管理的功能域ISO认为OSI网络管理是指控制、协调和监督OSI环境下的网络通信服务和信息处理活动网络管理的目标是确保网络的正常运行，或者当网络运行出现异常时能够及时响应和排除故障在OSI网络管理框架模型中，基本的网络管理功能被分成五个功能域87.1.1网络管理概述OSI网络管理的功能域8OSI网络管理的功能域

配置管理故障管理性能管理安全管理计费管理9OSI网络管理的功能域配置管理9（1）配置管理网络配置是指网络中各设备的功能、设备之间的连接关系和工作参数等。由于网络配置经常需要进行调整，所以，网络管理必须提供足够的手段来支持系统配置的改变。配置管理就是用来支持网络服务的连续性而对管理对象进行的定义、初始化、控制、鉴别和检测，以适应系统要求。10（1）配置管理网络配置是指网络中各设备的功能、设备之间的连接（1）配置管理配置管理提供的主要功能包括：资源与其名字对应收集和传播系统当前资源的状况及其现行状态对系统日常操作的参数进行设置和控制修改系统属性更改系统配置，初始化或关闭某些资源系统配置的重大变化监控管理配置信息库设备的备用关系管理11（1）配置管理配置管理提供的主要功能包括：11（2）故障管理故障管理用来维护网络的正常运行。在网络运行过程中，由于故障使系统不能达到它们的运营目的。故障管理主要解决的是与检测、诊断、恢复和排除设备故障有关的网络管理功能，通过故障管理来及时发现故障，找出故障原因，实现对系统异常操作的检测、诊断、跟踪、隔离、控制和纠正等。12（2）故障管理故障管理用来维护网络的正常运行。在网络运行过程（3）性能管理性能管理用于对管理对象的行为和通信活动的有效性进行管理性能管理通过收集统计数据，对收集的数据应用一定的算法进行分析以获得系统的性能参数，以保证网络的可靠、连续通信的能力性能管理由用于对网络工作状态信息的收集和整理的性能检测部分、用于改善网络设备的性能而采取的动作和操作的网络控制两部分组成13（3）性能管理性能管理用于对管理对象的行为和通信活动的有效性（3）性能管理性能管理提供的主要功能包括：监测工作负荷，收集和统计数据对网络性能进行判断、报告和报警预测网络性能的变化趋势对性能指标、操作模式和网络管理对象的配置进行评价和调整14（3）性能管理性能管理提供的主要功能包括：14（4）安全管理安全管理包括安全特征的管理和管理信息的安全管理。安全特征的管理提供安全的服务，以及安全机制变化的控制，直至物理场地、人员的安全，病毒防范措施，操作过程的连续性，灾难时恢复措施的计划与实施等内容；管理信息的安全是保障管理信息自身的安全。15（4）安全管理安全管理包括安全特征的管理和管理信息的安全管理（4）安全管理安全管理提供的主要功能包括：安全报警安全审计跟踪功能访问控制16（4）安全管理安全管理提供的主要功能包括：16（5）计费管理计费管理是对使用管理对象的用户进行校算费用、收取费用，计费的管理。记账管理提供的主要功能包括：通知用户缴纳费用设置用户费用上限17（5）计费管理计费管理是对使用管理对象的用户进行校算费用、收（5）计费管理在必须使用多个通信实体才能完成通信时，能够把使用多个通信实体时的费用结合起来。计费管理提供的主要功能包括：以一致的格式和手段来收集、总结、分析和表示计费信息在计算费用时应有能力选取计算所需的数据有能力根据资源使用情况调整价目表，根据选定的价目、算法计算用户费用有能力提供用户账单、用户明细账和分摊账单所出账单应有能力根据需要改变格式而无需重新编程便于检索、处理，费用可再分配18（5）计费管理在必须使用多个通信实体才能完成通信时，能够把使7.1.2简单网络管理协议（SNMP）一、SNMP概述SNMP的前身是简单网关监控协议(SGMP)，用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB体系结构，改进后的协议就是著名的SNMP。SNMP的目标是管理互联网上众多厂家生产的软硬件平台，因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。197.1.2简单网络管理协议（SNMP）一、SNMP概述S1.SNMP的体系结构SNMP的体系结构是围绕着以下四个概念和目标进行设计的：保持管理代理(agent)的软件成本尽可能低；最大限度地保持远程管理的功能，以便充分利用Internet的网络资源；体系结构必须有扩充的余地；保持SNMP的独立性，不依赖于具体的计算机、网关和网络传输协议。在最近的改进中，又加入了保证SNMP体系本身安全性的目标。201.SNMP的体系结构SNMP的体系结构是围绕着以下四个2.SNMP管理控制框架SNMP定义了管理进程(manager)和管理代理(agent)之间的关系，这个关系称为共同体(community)。描述共同体的语义是非常复杂的，但其句法却很简单。位于网络管理工作站(运行管理进程)上和各网络元素上利用SNMP相互通信对网络进行管理的软件统统称为SNMP应用实体。若干个应用实体和SNMP组合起来形成一个共同体，不同的共同体之间用名字来区分，共同体的名字则必须符合Internet的层次结构命名规则，由无保留意义的字符串组成。此外，一个SNMP应用实体可以加入多个共同体。

212.SNMP管理控制框架SNMP定义了管理进程(manag2.SNMP管理控制框架SNMP的报文总是源自每个应用实体，报文中包括该应用实体所在的共同体的名字。这种报文在SNMP中称为“有身份标志的报文”，共同体名字是在管理进程和管理代理之间交换管理信息报文时使用的。管理信息报文中包括以下两部分内容：

(1)共同体名，加上发送方的一些标识信息(附加信息)，用以验证发送方确实是共同体中的成员，共同体实际上就是用来实现管理应用实体之间身份鉴别的；

(2)数据，这是两个管理应用实体之间真正需要交换的信息。222.SNMP管理控制框架SNMP的报文总是源自每个应用实体，图7-3树形表格结构23图7-3树形表格结构232.SNMP管理控制框架信息是以表格形式(一种数据结构)存放的，在SNMP的管理概念中，把所有表格都视为子树，其中一张表格(及其名字)是相应子树的根节点，每个列是根下面的子节点，一列中的每个行则是该列节点下面的子节点，并且是子树的叶节点，如下图所示。因此，按照前面的子树遍历思路，对表格的遍历是先访问第一列的所有元素，再访问第二列的所有元素……，直到最后一个元素。若试图得到最后一个元素的“下一个”元素，则返回差错标记。242.SNMP管理控制框架信息是以表格形式(一种数据结构)存放7.1.3常用的网络管理软件HP公司的OpenView，一个获得广泛使用的网络管理系统，能够自动搜索网络拓扑结构图，进行性能和吞吐量以及历史数据分析Cisco公司的CiscoWorks，基于SNMP的网络管理应用系统，建立在工业标准平台上，能集成到几种流行的网络管理平台中NetworkIT,采用CA的神经网络技术，具备预测网络问题的功能，并在这些问题影响业务之前予以解决Cabletron的SPECTRUMIBM公司的NetViewSun公司的NetManager257.1.3常用的网络管理软件HP公司的OpenView，一7.2网络安全基础知识7.2.1网络安全的定义及建设原则1．计算机网络安全的定义从狭义的保护角度来看，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。

267.2网络安全基础知识7.2.1网络安全的定义及建设原则7.2.1网络安全的定义及建设原则2.网络安全建设原则综合原则同步性原则标准化原则可扩充性原则配比原则遵循性原则277.2.1网络安全的定义及建设原则2.网络安全建设原则277.2.2网络安全的主要威胁非授权访问泄漏或丢失信息破坏数据完整性拒绝服务攻击网络内部安全防范传播网络病毒287.2.2网络安全的主要威胁非授权访问28网络中的信息安全问题信息存储安全与信息传输安全:信息存储安全如何保证静态存储在连网计算机中的信息不会被未授权的网络用户非法使用信息传输安全如何保证信息在网络传输的过程中不被泄露与不被攻击29网络中的信息安全问题信息存储安全与信息传输安全:29计算机网络上的通信面临以下的四种威胁：截获——从网络上窃听他人的通信内容。中断——有意中断他人在网络上的通信。篡改——故意篡改网络上传送的报文。伪造——伪造信息在网络上传送。30计算机网络上的通信面临以下的四种威胁：30对网络的被动攻击和主动攻击

截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击31对网络的被动攻击和主动攻击截获篡改伪造中断被动攻击主动被动攻击和主动攻击在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。更改报文流拒绝报文服务伪造连接初始化32被动攻击和主动攻击在被动攻击中，攻击者只是观察和分析某一个协网络内部安全防范网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括：

•有意或无意地泄露网络用户或网络管理员口令；

•违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；

•违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；

•违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决来自网络内部的不安全因素必须从技术与管理两个方面入手。33网络内部安全防范网络内部安全防范是防止内部具有合法身份的用户网络防病毒

引导型病毒可执行文件病毒宏病毒混合病毒特洛伊木马型病毒蠕虫病毒Internet语言病毒

34网络防病毒引导型病毒347.2.3网络安全的关键技术防火墙技术数据加密技术智能卡技术357.2.3网络安全的关键技术防火墙技术351.防火墙技术防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。361.防火墙技术防火墙是在网络之间执行安全控制策略的系统，它防火墙在互连网络中的位置

G内联网可信赖的网络不可信赖的网络分组过滤路由器

R分组过滤路由器

R应用网关外局域网内局域网防火墙因特网37防火墙在互连网络中的位置G内联网可信赖的网络不可信赖的网络防火墙的功能防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界（securityperimeter）；构成防火墙系统的两个基本部件是包过滤路由器（packetfilteringrouter）和应用级网关（applicationgateway）；最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成38防火墙的功能防火墙通过检查所有进出内部网络的数据包，检查数据防火墙技术一般分为两类

网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制订好的一套准则的数据，而后者则是检查用户的登录是否合法。应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止FTP应用的通过。39防火墙技术一般分为两类网络级防火墙——用来防止整个网络出现防火墙的局限性尽管利用防火墙可以保护安全网免受外部黑客的攻击，但它只是能够提高网络的安全性，不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁40防火墙的局限性尽管利用防火墙可以保护安全网免受外部黑客的2.数据加密技术数据传输加密技术数据存储加密技术数据完整性鉴别技术密钥管理技术3.智能卡技术412.数据加密技术数据传输加密技术3.智能卡技术417.3计算机病毒的预防与清除7.3.1计算机病毒计算机病毒是一个程序，一段可执行码,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。

427.3计算机病毒的预防与清除7.3.1计算机病毒427.3.2计算机病毒的特点高频度传染性变种多诱惑性隐蔽性形式多样，难根除非授权可执行性具有病毒、蠕虫和后门（黑客）程序的功能437.3.2计算机病毒的特点高频度437.3.3计算机病毒的分类1.按照计算机病毒攻击的系统分类攻击DOS系统病毒攻击Windows系统的病毒攻击Unix系统的病毒攻击OS/2系统的病毒447.3.3计算机病毒的分类1.按照计算机病毒攻击的系统分类7.3.3计算机病毒的分类2.按照病毒的攻击机型分类攻击微型计算机的病毒攻击小型机的病毒攻击工作站的病毒457.3.3计算机病毒的分类2.按照病毒的攻击机型分类457.3.3计算机病毒的分类3.按照