第10章-网络管理与网络安全

第10章网络管理与网络安全技术计算机网络应用技术教程（第四版）本章学习要求•掌握：网络管理技术•掌握：网络安全的基本概念•了解：网络安全策略的概念•掌握：网络防火墙技术•了解：网络防病毒技术计算机网络应用技术教程（第四版）10.1网络管理技术•网络管理的重要性•网络管理的基本概念•网络管理的主要功能•网管系统的基本概念•网络管理的协议标准计算机网络应用技术教程（第四版）10.1.1网络管理的重要性•随着网络规模的不断扩大，网络结构也变得越来越复杂•用户对网络应用的需求不断提高，企业和用户对网络的依赖程度越来越高•网络管理是网络设计、实现、运行与维护等环节中的关键问题计算机网络应用技术教程（第四版）10.1.2网络管理的基本概念•狭义的网络管理是指对网络通信量的管理•广义的网络管理是指对网络系统的管理•网络管理的定义：用于运营、管理与维护一个网络，以及提供网络服务与信息处理所需的各种活动的总称计算机网络应用技术教程（第四版）网络管理系统结构•管理对象(managedobject)–经过抽象的网络元素，对应于网络中具体可以操作的数据•管理进程(managerprocess)–负责对网络设备进行管理与控制的软件•管理协议(managementprotocol)–负责定义在管理系统与被管对象之间传输的操作命令计算机网络应用技术教程（第四版）管理信息库•管理信息库(managementinformationbase，MIB)是管理进程的部分•管理信息库用于记录网络中被管对象的状态参数值计算机网络应用技术教程（第四版）MIB库的处理方式•事件驱动方式–网络监控设备在发现被管对象的状态发生变化后，及时向管理进程报告•轮询驱动方式–管理进程主动轮流查询整个网络中设备的工作状态、参数计算机网络应用技术教程（第四版）10.1.3网络管理的主要功能•配置管理(configurationmanagement)•故障管理(faultmanagement)•性能管理(performancemanagement)•安全管理(securitymanagement)•记账管理(accountingmanagement)计算机网络应用技术教程（第四版）10.1.4网管系统的基本概念•网管系统(networkmanagementsystem，NMS)是用来实现网络管理功能的软件或硬件系统•从逻辑结构上，网管系统通常包括3个部分：管理对象、管理进程与管理协议计算机网络应用技术教程（第四版）网管系统的分类•专用网络管理系统，即网元管理系统（elementmanagementsystem，EMS）•通用网络管理系统，即网络管理系统（networkmanagementsystem，NMS）计算机网络应用技术教程（第四版）10.1.5简单网络管理协议•简单网络管理协议(simplenetworkmanagementprotocol，SNMP)是一种流行的网络管理协议•SNMP管理模型包括：管理进程、管理代理与管理信息库计算机网络应用技术教程（第四版）SNMP管理模型服务器路由器交换机网管工作站管理器计算机网络SNMP协议代理代理代理轮询监控轮询监控轮询监控计算机网络应用技术教程（第四版）10.2网络安全的基本概念•网络安全的重要性•网络安全的基本问题•网络安全服务的主要内容•网络安全标准计算机网络应用技术教程（第四版）10.2.1网络安全的重要性•网络应用正在改变人们的工作方式、生活方式与思维方式•计算机犯罪正引起社会的关注，网络成为犯罪分子攻击的重点•健全网络与信息安全的相关法律，提高网络管理人员的素质、法律意识与技术水平，提高网络用户遵守规则的自觉性，提高网络与信息系统安全水平计算机网络应用技术教程（第四版）10.2.2网络安全的基本问题•网络防攻击问题•网络安全漏洞与对策问题•网络的信息安全保密问题•网络内部安全防范问题•网络防病毒问题•网络数据备份与恢复、灾难恢复问题计算机网络应用技术教程（第四版）网络防攻击问题•服务攻击–攻击提供某种服务的网络服务器，造成网络的“拒绝服务”，以使网络工作不正常•非服务攻击–不针对某种具体应用，基于网络层等低层协议进行攻击，使网络设备严重阻塞或瘫痪计算机网络应用技术教程（第四版）网络防攻击研究的几个问题•网络可能遭到哪些人的攻击？•攻击类型与手段可能有哪些？•如何及时检测并报告网络被攻击？•如何设计相应的网络安全策略与网络安全防护体系？计算机网络应用技术教程（第四版）网络安全漏洞与对策问题•计算机硬件与操作系统•网络硬件与软件•数据库管理系统•应用软件•网络通信协议计算机网络应用技术教程（第四版）网络的信息安全保密问题•信息存储安全–如何保证存储在计算机中的信息不被未授权的网络用户非法使用•信息传输安全–如何保证信息在网络传输的过程中不被截获、泄露与非法篡改计算机网络应用技术教程（第四版）数据加密与解密过程Internet源节点目的节点密文明文密文明文加密过程解密过程计算机网络应用技术教程（第四版）网络内部安全防范问题•网络内部安全防范是防止内部合法用户有意或无意做出危害网络与信息安全的行为–有意或无意泄露网络用户、管理员密码–绕过防火墙私自与外部网络连接–越权查看、修改与删除系统文件、应用程序与数据–越权修改网络配置，造成网络工作不正常计算机网络应用技术教程（第四版）网络防病毒问题•网络病毒危害巨大–网络病毒的传播速度是单机20倍–电子邮件病毒可以瘫痪用户计算机，有些病毒甚至会破坏系统硬件计算机网络应用技术教程（第四版）网络数据备份与恢复、灾难恢复问题•如果由于网络故障造成数据丢失，数据能否被恢复？•如果网络由于某种原因损坏，重新购买设备的资金可以提供，但是原有系统的数据能否恢复？计算机网络应用技术教程（第四版）10.2.3网络安全服务主要内容•数据保密(dataconfidentiality)•认证(authentication)•数据完整(dataintegrity)•防抵赖(non-repudiation)•访问控制(accesscontrol)计算机网络应用技术教程（第四版）10.2.4网络安全标准•电子计算机系统安全规范，1987年10月•计算机软件保护条例，1991年5月•计算机软件著作权登记办法，1992年4月•中华人民共和国计算机信息与系统安全保护条例，1994年2月•计算机信息系统保密管理暂行规定，1998年2月•关于维护互联网安全决定，全国人民代表大会常务委员会通过，2000年12月计算机网络应用技术教程（第四版）安全级别的分类•1983年，可信计算机系统评估准则(TC-SEC-NCSC)。1985年，可信网络说明(TNI)•TC-SEC-NCSC将计算机系统安全等级分为4类7个等级：D、C1、C2、B1、B2、B3与A1•其中，D级系统的安全要求最低，A1级系统的安全要求最高计算机网络应用技术教程（第四版）10.3网络安全策略的概念•网络安全策略的设计•网络安全策略的定制定•网络安全受到威胁时的行动方案计算机网络应用技术教程（第四版）10.3.1网络安全策略的设计•哪些企业内部网资源或服务需要提供给外部用户访问？•哪些企业内部用户需要访问外部网络资源？•哪些因素可能对网络资源与服务构成威胁？•哪些资源需要重点保护？•哪些方法可以保护这些资源？•发现网络受到攻击后如何处理？计算机网络应用技术教程（第四版）网络安全策略与网络用户的关系•网络安全策略包括2方面：技术与制度。只有将二者结合，才能有效保护网络资源•网络安全策略要保证用户有效完成工作，不引发用户设法绕过网络安全系统的现象•好的网络安全策略应解决网络使用与安全的矛盾，网络管理员与用户都乐于接受计算机网络应用技术教程（第四版）网络安全策略的设计思想•网络安全策略的2种思想：凡是没有明确允许就要禁止；凡是没有明确禁止就要允许•网络安全策略通常采用第一种思想，明确限定用户在网络中的访问权限与服务•符合规定用户在网络访问“最小权限”的原则，给用户完成工作“必要”的访问权限与服务，又便于网络管理计算机网络应用技术教程（第四版）10.3.2网络安全策略的制定•分析网络中哪些资源重要，哪些用户可以使用这些资源，哪些用户可能构成威胁，以及如何保护这些资源•定义可能对资源构成威胁的因素，以确定可能造成信息丢失和破坏的因素•了解对资源构成威胁的来源与类型，针对这些问题提出保护方法计算机网络应用技术教程（第四版）网络使用与责任的定义•允许哪些用户使用网络资源？•允许用户对网络资源进行哪些操作？•谁来批准用户的访问权限？•谁具有系统用户的访问权限？•网络用户与网络管理员的权利、责任？计算机网络应用技术教程（第四版）制定网络使用制度注意的问题•用户账户是否可能破坏？•用户密码是否可能破译？•是否允许用户共享账户？•如果授权多个用户访问某类资源，用户是否真能获得这种权利？•网络服务是否会出现混乱？计算机网络应用技术教程（第四版）10.3.3网络安全受到威胁时的行动方案•由于疏忽而造成的危害•由于偶然的操作错误而造成的危害•由于对网络安全制度无知而造成的危害•由于有人故意破坏而造成的危害计算机网络应用技术教程（第四版）保护方式•网络管理员发现网络安全遭到破坏时，立即制止非法侵入的活动，恢复网络的正常工作状态，分析事故的性质与原因，尽量减少事故造成的损害•适合的情况–非法侵入的活动将要造成很大危险–跟踪非法侵入活动的代价太大–从技术上跟踪非法侵入的活动很难实现计算机网络应用技术教程（第四版）跟踪方式•网络管理员发现网络安全遭到破坏时，不立即制止非法侵入的活动，采取措施跟踪闯入者的活动，检测非法侵入的来源、目的、访问的资源，判断非法侵入的危害，确定处理此类非法侵入的方法•适合的情况–被攻击的网络资源目标明确–已存在多次对某种资源的非法侵入–已找到控制非法侵入的方法–非法侵入的短期活动不至于立即造成网络资源与系统遭到重大损失计算机网络应用技术教程（第四版）10.4网络防火墙技术•防火墙的基本概念•防火墙的主要类型•防火墙系统的结构计算机网络应用技术教程（第四版）10.4.1防火墙的基本概念•防火墙(firewall)是在网络之间执行安全控制策略的系统，它通常由硬件和软件组成•设置防火墙的目的：保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击计算机网络应用技术教程（第四版）防火墙的位置服务器内部网络外部网络防火墙计算机网络应用技术教程（第四版）10.4.2防火墙的主要类型•包过滤路由器•应用级网关•应用代理计算机网络应用技术教程（第四版）包过滤路由器•包过滤路由器(packetrouter)按系统内部设置的包过滤规则(访问控制表)，检查每个分组的源与目的地址，决定是否转发分组•包过滤规则通常基于部分或全部报头内容。TCP报头信息包括：源地址、目的地址、协议类型、IP选项、源端口、目的端口、TCPACK标识等计算机网络应用技术教程（第四版）包过滤路由器结构网络层数据链路层物理层包过滤路由器防火墙服务器内部网络网络层数据链路层物理层分组过滤规则Internet计算机网络应用技术教程（第四版）应用级网关•多归属主机又称多宿主主机，具有两个或两个以上的网络接口，具有在不同网络之间交换数据的能力•多归属主机连接两个网络称为双归属主机。只要确定应用程序访问控制规则，可以采用双归属主机作为应用级网关，在应用层过滤内部网络特定服务的请求与响应计算机网络应用技术教程（第四版）应用级代理代理服务器客户机虚拟的连接服务器内部网络Internet实际的连接实际的连接计算机网络应用技术教程（第四版）10.4.3防火墙系统的结构•屏蔽路由器结构•堡垒主机结构•屏蔽主机网关结构计算机网络应用技术教程（第四版）10.5网络防病毒技术•计算机病毒的概念•网络工作站防病毒方法•网络防病毒软件的应用计算机网络应用技术教程（第四版）10.5.1计算机病毒的概念•计算机病毒（computervirus）是破坏计算机功能或毁坏数据，并能自我复制、影响计算机使用的应用程序•在很多情况下，目标文件被修