C09网络管理与安全[兼容模式]

第九章第九章网络管理与安全网络管理与安全数据通信与计算机网络Lecture9西安工业大学内容提纲Syllabus1网络管理1.1网络管理：网络管理协议、网络管理软件1.2可网管设备：交换机、路由器、网关、防火墙1.2可网管设备：2网络安全2.1网络安全安全设备传输安全2.2网络对抗1.网络管理NetworkManagement•刺激网络管理需求的因素：–网络规模日益扩大–设备种类日益繁多–维护的复杂性和成本不断提高–对网管人员的要求不断提高–对网管人员的要求不断提高•网管需求：–提供维护效率–了解全网性能–网络管理智能化–网络用户的使用情况–客户网络管理的需求什么是网络管理？WhatisNetworkManagement?•网络管理分为两类。–第一类是网络应用程序、用户帐号和存取权限的管理，它们都是软件相关的网络管理；•Processofcontrolling,monitoring,andrunningthenetwork通常•Processofcontrolling,monitoring,andrunningthenetwork•Concernedwithbothdataandinformation•Informationpresupposestimelyandaccuratecommunicationofdata–第二类是对网络硬件的管理，包括工作站、服务器、网卡、路由器、网桥（交换机）和集线器。常指第一类CATERtoUsers•C一致性Consistent•A正确性Accurate•T•T及时性Timely•E经济可行EconomicallyFeasible•R其它Relevant网管的趋势NetworkManagementTrends•向局域网迁移TheshifttoLANs•LAN广域网集成IntegratingLANsandWANs•语音与数据集成Integratingvoiceanddatacomm用户方面：旧的网络管理体制不能满足网络发展的需要；网络管理的问题网络管理技术远远落后于网络应用；在网络建设的同时，往往忽视网络管理建设；工作时间上网冲浪、聊天、玩游戏，降低工作效率网管设备网际控Internet例：Internet访问共享（路由）情况下的管理工作站工作站工作站工作站HUBorSwitch网络监控企业提供互联网服务的目的是提高生产效率，而不是降低效率。互联网冲浪工作时间ICQ聊天工作效率的降低您可以通过网际控对企业的Internet使用情况了如指掌。工作时间ICQ聊天网络游戏等工作效率的降低因此，企业的管理层了解您的企业互联网的使用情况非常必须。网管的任务ManagementTasks•Generalmanagement:Planning,Organizing,Directing,Controlling,Staffing网络管理的五个基本管理功能：性能管理故障管理Directing,Controlling,Staffing•Networkmanagement:Allthesametasks,withspecificfocus•Goodplanningandorganizationreducestimespentcontrolling故障管理配置管理记费管理安全管理网管软件示例：网际控的管理功能•规范员工上网行为，屏蔽指定网站。•优化网络资源，分配上网速度，确保每个人都能合理享受宽带的速度。•流量动态分配、调整。•强大的WebCache功能，大大提高访问Internet速度。•根据时间或流量，分时或包月计费。•查阅、统计、打印监控日志内容和上网费用清单。•查阅、统计、打印监控日志内容和上网费用清单。•灵活设置费率，电脑全自动计费，勿需人工干预。•帐号、IP地址和MAC地址三重绑定,防止盗用。•记录外发资料，备份邮件内容，保护公司机密。•客户端抓屏。•提供标准的串口输出，为其他应用软件实现接口。•自定义过滤列表。对网站（如色情网）、端口、Ip、关键词等进行过滤。使用网际控管理的优点•功能丰富、强大、实用。•灵活的上网控制管理功能。•GUI图形界面，操作、管理、维护简单。•管理局域网简单方便，不需改变已有硬件和软件设备。•有效地提高网络整体性能•有效地提高网络整体性能•具备WebCache功能，大大提高访问Internet速度•一机监控，多机远程查看、管理。•对复杂的网络结构管理具有较强的解决能力•适应各种网络应用和网络技术的发展企业管理层定期或不定期了解企网际控先进的技术，友好的界面，简单的操作让您在不增加管理负担的情况下，轻松把握网络。网络在线监控期或不定期了解企业及各部门的上网情况。网络管理员统计网络流量、峰顶、峰谷及平均流量控制员工上网速度，保证业务上对网络带宽有较高需求的员工能够获得较快的上网速度，做到网络资源的合理分配。流量控制流量动态分配，随着上网人员的增加和减少，系统动态地对流量进行调整，确保每个人都能合理享受宽带的速度。动态分配流量工作站工作站工作站网际控内置流量控制Internet端口控制（PortControl）HttpICQEmail工作站工作站工作站网际控内置端口过滤规则（PortFilter）网际控将自动对所有员工访问的网站排序，对大量访问且与业务无关的站点进行访问限制。员工甲员工乙某研究所因为内外勾结，透过Internet，利用E-mail，Internet邮件监控过Internet，利用E-mail，失去大量机密信息；某公司因为员工利用E-mail向竞争对手透露标底，致使公司损失惨重。……防止实施某种行为后进行抵赖，如否认发送过或接受过文件客户端抓屏按部门进行各端口入/出流量的查询、统计访问站点统计按个人帐号进行各端口入/出流量的查询、统计访问量统计根据时间/流量计费，可按时段设置费率，进行计时、包费率设置费率，进行计时、包月计费。灵活的费率设置，即可设置统一的上网费率，又可设置特殊的上网费率。•基于UDP通信模型代被管系统执行操作SNMPMIB网络管理系统模型代理被管对象管理者通知SNMPMIB简单网络管理协议SimpleNetworkManagementProtocol•网络管理的五个基本管理功能：性能管理、故障管理、配置管理、记帐管理和安全管理。–早期网络，如ARPANET，规模很小，可以通过执行“PING”命令来发现网络故障；–网络规模变大，需要一个好的工具来管理网络。1990–1990年发布RFC1157，定义了SNMPv1；–DevelopedtomanageTCP/IPnetworks–SNMPv2，RFC1441~1452。–SNMP是基于UDP的•Devicescollectinfoaboutthemselves,storeitinamgt.informationbase(MIB)•ManagementstationcanmonitorandresetMIBdatabase•Requiresextensionsforcomplexfunctions,leadingtoincompatibilitiesSNMP协议栈•SNMP被广泛接纳并被通信设备厂家使用的工业标准•SNMP被设计成与下层协议无关，所以它可在IP、IPX、AppleTalk、OSI以及其他用到的传输协议上被使用•SNMP保证管理信息在任意两点间传送，只要IP可达且无防火墙限制•SNMP定义基本的功能集收集被管设备的数据•SNMP目前有三个版本V1、V2、V3，其中V1/V3应用普遍SNMP协议栈SNMP协议组成–被管理节点运行SNMP代理程序（SNMPagent），维护一个本地数据库，描述节点的状态和历史，并影响节点的运行。–管理工作站运行专门的网络管理软件（manager），使用管理协议与被运行专门的网络管理软件（manager），使用管理协议与被管理节点上的SNMP代理通信，维护管理信息库。–管理信息每个站点使用一个或多个变量描述自己的状态，这些变量称为“对象（objects）”，所有的对象组成管理信息库MIB（ManagementInformationBase）。–管理协议（SNMP）管理协议用于管理工作站查询和修改被管理节点的状态，被管理节点可以使用管理协议向管理站点产生“陷阱（trap）”报告。SNMP协议内容–定义了网络管理工作站和SNMP代理之间的通信过程和协议数据单元。–网络管理工作站发往SNMP代理的数据请求Get-requestGet-next-requestGet-bulk-request–网络管理工作站发往SNMP代理的数据更新请求–网络管理工作站发往SNMP代理的数据更新请求Set-request–网络管理工作站与网络管理工作站之间的MIB交换Inform-request–SNMP代理发往网络管理工作站的陷阱报告SnmpV2-trapSNMP操作模型RequestResponseUDPPort162TrapNMSUDPPort161被管设备AgentSNMP协议框架GetResponseGetNextRequestGetRequestSetRequestTrapSNMPGetResponseGetNextRequestGetRequestSetRequestTrapSNMPMIB库GetResponseGetNextRequestGetRequestSetRequestSNMPManagerUDPIP物理网络GetResponseGetNextRequestGetRequestSetRequestSNMPAgentUDPIP物理网络NetworkManagementStandards:CMIP•CommonManagementInterfaceProtocol•UsedinOSI7-layermodel•NewerandbetterthanSNMP,notaswidelyusedwidelyused•IncompatiblewithSNMPNetworkManagementStandards:NMS•NetWareManagementSystem•AllowsmanagementofNetWareLANsandattacheddevices•Includesfaultdetection,performance•Includesfaultdetection,performancemanagement,configuration,security,andaccounting•AllserversmusthaveNMA,(setoffourNLMs)loaded•NLMavailabletoletNMAtalktoSNMPMIBTenNetworkingCommandments网管十戒•1.Thoushaltbackupthyharddiskregularly•2.Thoushaltscheduledowntimebeforedoingmajorworkuponthyserver•3.Thoushaltkeepthynetworkdiskcleanofold•3.Thoushaltkeepthynetworkdiskcleanofoldfiles•4.Thoushaltkeepanadequatesupplyofspareparts•5.Thoushaltnotcovetthyneighbor’snetworksoftware(andupgradewithoutareason.(fromNetworkingforDummies,IDG,1994)•6.Thoushaltnotstealthyneighbor’ssoftwarewithoutalicense•7.Thoushalttrainthyusers•8.ThoushaltnottinkerwiththineAutoexec.bat,•8.Thoushaltnotti