网络安全和管理

第8章网络平安和管理网络管理工具网络风险评估网络平安机制设计防火墙技术网络平安设计举例网络管理工具网络管理概述网络管理协议网络管理工具回章目录网络管理概述网络管理是指对网络进行配置、对网络的运行状态和性能进行监视和调整、对网络的故障进行检测和维护，使网络能正常、高效地运行。网络管理的功能配置管理(ConfigurationManagement)、故障管理(FaultManagement)平安管理(SecurityManagement)性能管理(PerformanceManagement)计费管理(AccountingManagement)网络管理概述网络管理模型管理实体运行在工作站、微机上，负责发出管理操作的指令，并接收和处理来自代理的信息

代理进程运行在受管理设备上，定期收集设备信息，存入管理数据库中，并通过网络管理协议向管理实体提供相应的数据

管理数据库用于记录受管理设备的状态参数值

公共网络管理协议定义管理实体与被管代理间的通信方法

图回节目录管理数据库代理进程管理数据库代理进程管理数据库代理进程管理代理网络受管设备图8-1网络管理系统模型管理实体网络管理协议网络管理协议CMIP国际标准化组织ISO针对开放系统互连(OSI)提出的公共管理信息协议采用远程操作模型的请求/应答协议，属于应用层协议管理信息以对象方式描述，所有的对象都存放在MIB(管理信息库)中在网络管理过程中，CMIP通过事件报告进行工作提供两种效劳：①传输由受管对象产生的事件通知；②传输由管理系统发起并面向受管对象的操作。网络管理协议SNMPInternet工程任务组IETF(InternetEngineeringTaskForce)提出，由一系列协议组和标准组成主要包括三个局部：管理信息库MIB；管理信息结构SMI；简单网络管理协议SNMP。MIB：定义用于对网络进行管理所需的对象SMI：定义对象的格式、MIB资源的命名与表示方法SNMP：定义管理工作站与被管理节点之间如何交换信息网络管理协议SNMP网络管理模型采用客户/效劳器的组织模式管理工作站充当客户方，装备了SNMP代理的被管理结点担任效劳器方SNMP从被管理设备中收集数据有两种方法：轮询(Polling)和中断(Interrupt-Based)的方法。陷阱引导轮询技术：初始化时，管理工作站轮询所有被管理结点，掌握关键信息。一旦建立了基准，管理站将降低轮询频度。每个SNMP代理通过中断的方法向管理工作站报告异常事件。回节目录网络管理工具HPOPENView集成了网络管理和系统管理的优点，使网络管理与系统管理集成在一个统一的用户界面中，共享消息数据库、对象数据库及拓扑数据库等中的数据，从而形成了一个单一而完整的管理系统。

NNM(NetworkNodeManage)能够提供管理网络的智能手段，监控整个网络的各种设备，并能够自动地发现设备的运行状况，将这些信息以直观的图形格式表示。

网络管理工具Ciscoworks包括了针对各种网络设备性能的集成化和远程监控管理等功能，目前其网络管理产品包括新的基于Web的产品和基于控制台的应用程序。含有故障管理工具。该工具能够发现故障发生的位置，维护并检查错误日志，形成故障统计，接受错误检测报告并做出反响。采取高级别和多层次的平安防护措施，对各种配置数据和统计数据采取备份和保护措施。网络管理工具安奈特AT-SNMPc结合了完整的网管特性、扩展能力和易用性的网管平台，具有伸缩性，可以适用于各种规模的网络系统。平安的分布式通用的网络管理系统平台，能有效地监控整个网络的根底架构。主要功能特性：全中文界面；支持平安的SNMPv3；自动网络查找，拓扑生成；多厂商设备支持；支持设备特殊应用；可伸缩的分布式体系结构；提供详尽的网络趋势统计报告等。网络管理工具SolarWindsOrionNetworkPerformanceMonitor是全面的带宽性能监控和故障管理软件，能监控并收集来自路由器、交换机、效劳器和其他SNMP设备中的数据，并可直接从Web浏览器上观察网络信息的实时统计表。另外，Orion还能监控CPU负载、内存利用率和可用硬盘空间。回节目录网络风险评估网络风险评估概述风险评估的定义风险评估的目的

风险因素风险评估流程网络风险评估方法定量的分析评估方法定性的分析评估方法定量与定量相结合的综合评估方法回章目录网络风险评估概述风险评估的定义信息平安风险评估，是指依据有关信息平安技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等平安属性进行科学评价的过程。风险评估的目的全面、准确地了解组织机构的网络平安现状，了解系统目前与未来的风险所在，评估这些风险可能带来的平安威胁与影响程度，为平安策略确实定、信息系统的建立及平安运行提供依据。网络风险评估概述风险因素及各因素之间的关系风险是威胁利用资产的脆弱性造成潜在损失的可能性，与风险相关的因素及它们之间的关系，如下图。威胁脆弱性安全措施风险资产安全需求价值利用降低

具有增加导致暴露引发

增加具有利用满足降低网络风险评估概述风险评估流程评估资产：鉴别需要保护的资产及其重要性。识别威胁：找出系统的威胁源及其所构成的威胁。威胁是指某个特定威胁源成功攻击一个特定弱点的潜在可能性。识别脆弱性：就是找出系统中存在的缺陷和薄弱环节并度量其严重性。控制分析：检测系统已经实现或方案实现的控制清单，分析控制对平安性的影响。确定可能性：确定每一个潜在弱点在相关威胁环境下被攻击的可能性。影响分析：确定对弱点一次成功的攻击所产生的负面影响。风险确定：风险值=资产价值×威胁的可能性×资产弱点×威胁的影响回节目录网络风险评估方法定量的评估方法：是指运用数量指标来对风险进行评估。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。定性的评估方法：主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。定性与定量相结合的综合评估方法：定量分析是定性分析的根底和前提，定性分析应建立在定量分析的根底上才能揭示客观事物的内在规律。定性分析是灵魂，是形成概念、观点，做出判断，得出结论所必须依靠的。回节目录网络平安机制设计平安需求与平安效劳

网络平安机制网络平安机制分层设计回章目录平安需求与平安效劳网络信息系统平安的根本需求保密性完整性可用性可控性不可否认性平安效劳鉴别效劳访问控制效劳机密性效劳完整性效劳不可否认效劳回节目录网络平安机制平安机制是实现平安效劳的技术手段ISO7498-2标准中定义的8种平安机制加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制业务流填充机制路由控制机制公证机制回节目录网络平安机制分层设计ISO7498-2标准说明了实现哪些平安效劳应该采用哪种机制TCP/IP网络框架中，网络各层所提供的平安效劳以及实现平安效劳的平安机制可以根据需要，从多种平安技术中选择假设干种进行组合，以实现平安效劳，满足平安性要求。回节目录表图图防火墙技术

防火墙主要技术防火墙的体系结构防火墙配置举例防火墙访问控制列表配置举例回章目录防火墙主要技术防火墙是设置在不同网络(如企业内部网与Internet)或不同网络平安域(如企业网中财务部门的网络区域与其它网络区域)之间的、能根据企业的平安策略控制(允许、拒绝、监测)两者之间的信息流的一系列部件的组合。防火墙是一个独立的进程或一组紧密联系的进程，运行于路由器或效劳器上，控制经过它们的网络应用效劳及传输的数据。防火墙主要技术包过滤技术防火墙根据平安规那么，对网络数据包的头部信息进行分析检测，以决定是否允许其通过的一种技术。包过滤技术应用了IP数据包的一些主要头部信息，如源地址、目标地址、协议(TCP、UDP、ICMP)、TCP或UDP源端口、TCP或UDP目标端口、ICMP信息类型等。防火墙可以根据这些信息和设定的访问控制规那么进行比照，决定是否允许一个数据包通过。防火墙主要技术应用代理技术针对每一个特定的应用进行平安检查和控制。应用效劳请求会被重定向到代理效劳器上，代理效劳器根据平安规那么决定是否允许访问。防火墙主要技术网络地址转换技术NAT将内部网络的多个IP地址转换到互联网上的一个公共地址。经NAT后，互联网看不到内部网络的地址和内部网络的结构，增加了攻击内部网络的难度。因为防火墙通常布署在网络边界处，因此防火墙是实现NAT的一个适宜的地方。回节目录防火墙的体系结构包过滤防火墙在内部网和因特网之间是具有包过滤功能的路由器。这个路由器有两个接口，分别接到内部网和外部网。在这个路由器上定义了一组访问规那么，只有满足条件的包才能通过路由器。防火墙的体系结构屏蔽主机防火墙由包过滤路由器和堡垒主机组成，其中包过滤路由器有两个接口分别接到内部网络和外部网络。堡垒主机有一块网卡，接到内部网络。在堡垒主机上运行代理效劳程序，可以实现认证和代理功能。防火墙的体系结构屏蔽子网防火墙采用了两个包过滤路由器和一个堡垒主机，定义了“非军事区〞(DMZ)网络。堡垒主机，信息效劳器，以及其它公用效劳器放在DMZ网络中。对于进来的信息，外部路由器只允许外部系统访问堡垒主机(还可能有信息效劳器)，内部路由器只接受源于堡垒主机的数据包。对于到Internet的数据包，内部路由器允许内部系统只访问堡垒主机(还可能有信息效劳器)，外面的路由器只接受来自堡垒主机到Internet的数据包(即要使用代理效劳)回节目录防火墙配置举例

CiscoPIX防火墙功能简介CiscoPIX防火墙结合了包过滤和代理效劳技术，它应用平安算法，将内部主机的地址映射为外部地址，拒绝未经允许的包入境，实现了动态，静态地址映射，从而有效地屏蔽了内部网络拓扑结构，并通过管道技术，出境访问列表，有效地控制内、外部各资源的访问。CiscoPIX-525-UR-BUN防火墙可连接多达六个不同的网络，每个网络都可定义一个平安级别，级别低的相对于级别高的总是被视为外部网络，防火墙配置举例

设备选型：CiscoSecurePIX525防火墙防火墙配置举例

PIX防火墙提供4种管理访问模式非特权模式特权模式配置模式监视模式CiscoPIXFirewall的配置过程在配置之前，应先规划好网络拓扑结构，制定较为祥细的平安策略防火墙配置举例

CiscoPIXFirewall的配置过程用一条串行电缆连接防火墙console口和电脑COM口，进行防火墙初始化配置激活以太网端口，配置以太网端口命名端口与平安级别配置以太网接口IP地址屏蔽内部网络拓扑结构，指定对外的地址范围设置指向内部网和外部网的缺省路由对资源主机的访问控制对Internet上的敏感主机和资源的控制防范内部网络的非法IP和MAC地址启用防火墙将报警和日志记录功能保存配置回节目录防火墙访问控制列表配置举例明确网络效劳方式内部人员如何访问外部网络的效劳、外部人员如何访问内部网络的效劳将网络效劳转化为访问规那么，形成访问控制列表写出以上各种网络效劳的协议、源地址、目