网络管理安全与维护课件

1、第8章 网络管理、安全与维护,知识点： 网络管理概述 网络管理功能 网络管理模型和网络管理协议 网络管理系统 网络安全 网络防病毒 防火墙 网络安全防护 网络维护,难点： 计算机网络安全方法学 实现防火墙的主要技术 防火墙的体系结构 要求： 熟练掌握以下知识： 网络管理的功能和网络管理系统 网络安全的目的与功能 计算机病毒和种类和防病毒技术 网络防病毒的基本方法和技术 实现防火墙的主要技术和防火墙的作用 防火墙产品的选择与使用 网络的常见故障,了解以下知识： 网络管理模型和网络管理系统。 网络管理系统 计算机网络安全学 防火墙的主要技术 防火墙体系结构和防火墙体系结构的组识形式 8.1网络管理

2、 8.1.1网络管理概述 网络管理的必要性 网络管理的方法 网络管理的功能,8.1.2 网络管理功能,网络管理的5个功能；故障管理、记账管理、配置管 理、性能管理和安全管理。 1故障管理 网络故障的含义 出现网络故障的因素 网络故障的诊断 2记账管理 记账管理的含义 记账管理的机制 记账管理的功能,3配置管理 配置管理的含义： 配置管理的内容： 配置管理的功能： 配置清单的作用： 4性能管理 性能管理的含义 性能管理的作用 性能管理的内容 1、建立对当前网络性能测量的基准；,2、寻找识别网络与应用软件不匹配的方法； 3、进行分析测量，寻找可能改进网络性能的对策。 性能管理的方法 5.安全管理

3、安全管理的必要性： 如何对数据进行保护： 关键设备 操作系统逻辑访问管理 访问控制 病毒 6管理功能间的相互关系 性能与配置有关, 性能管理与故障管理有关 故障安全与紧紧相连 安全与计费有关 8.1.3网络管理模型 OSI管理模型包括的内容： 管理结构 系统管理 N层管理和N层操作 管理信息库 进程间控制信息的传递 实体间管理信息的传递,开放系统互连的网络管理与TCP/IP网络的管理的比较 SNMP和CMIP/CMOT二者各自的特点 8.1.5 网站管理 1网站管理 网络拓扑管理 网站故障管理 网站配置管理 网站性能管理 2网站的管理应达到的目的 网络监控 性能控制：,8.1.4 网络管理协议

4、, 故障检测 效率管理 保证网络安全 运行管理 3安全管理的主要内容： 防止未授权存取 防止泄密 防止用户拒绝系统的管理 防止丢失系统的完整性 8.2 网络安全 8.2.1 网络安全概述,1网络安全的目的与功能 隐密性服务 完整性服务 辨识服务 不能否认服务 可用性服务 2网络安全潜在的威胁 网络安全的潜在威胁： 在网络环境中非法者所可能采用的破坏方法： 观测、推测、篡改、伪装、重复、拒绝服务 3计算机网络安全方法学 计算机网络安全方法学的两个阶段： 第一阶段: 设计、审查和认可阶段（见下页图）,本阶段分为八个主要成分： 保护资源定义 安全策略 威胁陈述 保护手段 风险分析 事例检测 安全计划

5、 论证和认可 2第二阶段：运行阶段 处理一些涉及安全或未授权的活动 这个阶段的作用,8.2.2网络防病毒,1.什么是计算机病毒 计算机病毒概念： 计算机如何感染病毒： 良性病毒和恶性病毒： 2有哪几种病毒程序 有四种类型的病毒程序： 外壳病毒 入侵病毒 操作系统病毒 源码病毒,3. 病毒的危害 破坏计算机硬盘或软盘： 感染系统文件和可执行文件： 删除和更改各类文件。 4防病毒技术 计算机病毒的预防技术 预防技术的作用 预防技术的两项内容 检测病毒技术 检测技术的作用 消除病毒技术 消除技术的作用,5. 网络防病毒的基本方法和技术 在网络上防病毒的三种基本方法： 基于服务器的防病毒技术应具备的功

6、能： 基于网络目录和文件安全性的方法 采用工作站防病毒芯片 基于服务器的防病毒技术 基于服务器的防病毒技术应具备的功能： 对服务器中文件进行扫描 实时在线扫描 服务器扫描选择 自动报告功能及病毒存档 工作站扫描 对用户开放的病毒特征接口 基于服务器防病毒的方法,8.3 防火墙 8.3.1 防火墙的概念 1什么是防火墙 2防火墙如何保护网络 设立防火墙的主要目的 防火墙的功能模型 防火墙的基本构件和技术 3防火墙的作用 防火墙能强化安全策略 能有效地记录Internet上的活动 限制暴露用户点 一个安全策略的检查站,8.3.2 防火墙的主要技术,包过滤 应用网关 代理服务 8.3.3 防火墙体系

7、结构 1防火墙体系结构 双重宿主主机体系结构 屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连的主 机的服务(但是路由关闭),而被屏蔽主机体系结构使用一 个单独的路由器提供来自仅仅与内部的网络相连的主机服 务。在这种体系结构中，主要的安全措施是数据包过滤。,堡垒主机位于内部的网络上，在屏蔽的路由器上的数据 包过滤是按这样一种方法设置的：堡垒主机，是因特网 上的主机连接到内部网络上的系统（例如，电子邮件系 统）的桥梁，但仅有某些确定类型的连接被允许。任何 外部的系统试图访问内部的系统或者服务，将必须连接 到这台堡垒主机上。因此，堡垒主机需要拥有高等级的 安全。 保卫路由器比保卫主机较

8、容易实现。因为它提供非 常有限的服务组。多数情况下，被屏蔽的主机系统结构 比双重宿主主机体系结构具有更好的安全性和可用性。, 屏蔽子网体系结构 这种结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络与外部网（如Internet）隔开。堡垒主机是用户的网络上最容易受侵袭的机器，通过在周边网络上隔离堡垒主机，能减少对堡垒主机的入侵的影响。屏蔽子网体系结构如图所示。, 周边网络 周边网络是另一个安全层,是在外部网络与用户的被保 护的内部网络之间附加的网络。如果侵袭着成功的侵入用 户的防火墙的外层领域，周边网络在那个侵袭者与用户的 内部系统之间提供一个附加的保护层。 堡垒

9、主机 在此结构中，把堡垒主机连接到周边网，成为接受来自 外界连接的主要入口，进行传送、转接、查询等。另一方 面，其出站服务（从内部的客户端到在Internet的服务器） 按如下任一方法处理： 在外部内部的路由器上设置数据包过滤来允许内部的 客户端直接访问外部服务器。,设置代理服务器在堡垒主机上运行(若用户的防火墙 使用代理软件)来允许内部的客户端间接地访问外部的服 务器。用户也可以设置数据包过滤；来允许内部的客户 端在堡垒主机上同代理服务器交谈，反之亦然。但禁止 内部的客户与外部世界之间直接通信（即拨号入网方 式）。 内部路由器 内部路由器（也称阻塞路由器）保护内部的网络使之 免受Intern

10、et和周边网的侵犯。 外部路由器 理论上，外部路由器（有时称访问路由器）保护周边 网的内部网使之免受来自Internet的侵犯。实际上，它,倾向于允许几何任何东西从周边网出站，并且他们通常 只执行非常少的数据包过滤。外部路由器能有效地执行 的安全任务之一(通常别的任何地方不容易完成的任务) 是:阻止从Internet上伪造源地址进来的任何数据包，这 样的数据包自称来自内部的网络，但实际上是来自 Internet。 2内部防火墙 可在同一结构的两个部分之间，或者在同一内部网的 两个不同组织结构之间再建立防火墙，就被称为内部防 火墙。 3. 防火墙存在的问题, 不能防范恶意的知情者 不能防范不通过

11、它的连接 不能防备所有威胁 不能防范病毒 防火墙不能消除网络上的PC机的病毒。 8.4 网站维护 8.4.1 网站的安全防护 1网站的安全 2网站的安全策略 3安全策略的等级 4安全策略的基本要素,授权的含义： 访问控制策略 5网站防护措施 安全防护的含义 安全防护措施 8.4.2 网站的物理安全 网络物理安全的内容 物理安全的防范措施 (1) 对主机房及重要信息存储、收发部门进行屏蔽处理 (2) 对本地网、局域网传输线路传导辐射的抑制 (3) 对终端设备辐射的防范,系统安全的内容： 确保系统安全的方法： 1网络硬件安全 操作系统安全 确认所有磁盘分区的格式都为NTFS 确认“Administ

12、rator”帐号具有一个强健的口令 禁止不常用或不需要的服务 禁止或删除不需要的用户帐号 合理设置文件、目录和注册表的访问权限 删除所有不需要的文件共享,8.4.3 网站的系统安全, 限制注册表不被匿名访问 限制LAS信息不被匿名访问 设置强健的口令策略 设置用户帐号锁定策略 路由以及DNS安全 应用系统安全 (4)病毒防护 2网络安全 网络结构安全 隔离与访问控制 通信安全,3应用安全 资源共享中的访问控制和安全审计 信息存储与安全备份 4安全其它方面 灾难恢复 动态维护 8.4.4 网站的信息安全 1信息安全的含义： 2在计算机网络上通信时，所面临的威胁： 截获：第三方偷听通信双方的内容

13、中断：第三方中断通信双方的通信 篡改：第三方篡改通信中一方发给另一方的报文, 伪造：第三方假装为通信中的一方与另一方进行通信 3计算机网络通信安全的五个目标： 4数据加密 数据加密的分类 加密技术的应用 5防火墙 防火墙主要采用两种结构： 代理(Proxy)主机 路由器加过滤器(Screened Host)完成 6入侵检测 入侵检测的定义： 检测的方法：,入侵检测系统的分类 入侵检测系统的分类,7漏洞扫描 网络扫描系统的作用 漏洞扫描技术 8.5 网络常见故障 1登录网站的问题 2网络速度慢的问题 3网络服务变慢的问题 4IP网络管理不善的问题 5.光纤错觉的问题 6. 不能连接上网或不能登录

14、的问题 7访问网络的速度很慢的问题 8网络可以连接，但不能登录的问题 9莫名其妙地间歇性连接中断,小 结,网站建立后，不仅要求网络连续可靠地工作、最大可 能地为用户提供服务，而且要保证网络上的信息安全。要 用好网络，首先必須管好网络。网络管理是网站的日常工 作，也是网站的主要任务。 网络管理的功能分为5部分；故障管理、记账管理、配 置管理、性能管理和安全管理。 OSI管理模型包括几个部分：OSI管理结构，OSI管理所 要求的支持，管理信息库，进程间控制信息的传递，实体 间管理信息的传递。了解Novell公司的智能化网管软件 Manage Wise和 IBM的系统管理(System View)软件。 网站的管理主要包括如下内容：网络拓扑管理、网站 性能管理、网站配置管理和网站故障管理。网站的管理应,达到的目的是：运行管理、网络安全管理、 效率管理、 故障管理和网络监控。 网络安全的目的是：提供数据安全的保护功能，以 保护网络上所传数据的安全。网络所提供的安全功能有： 隐