第8章计算机网络管理与安全

第8章计算机网络管理与安全技术8.1网络管理概述8.2简单网络管理协议8.3网络管理系统8.4网络安全概述8.5网络安全技术8.6计算机病毒及防治8.1网络管理概述8.1.1什么是网络管理一般而言，网络管理就是通过某种方式对网络状态进行调整，使网络能正常、高效地运行。网络管理有两种。第1种是网络应用程序、用户账号（例如文件的使用）和存取权限（许可）的管理。它们都是与软件有关的网络管理问题。第2种是由构成网络的硬件所组成。这一类包括工作站、服务器、网卡、路由器网桥和集线器交换机等。8.1.2网络管理的目的一个网络管理体系应该满足以下要求：（1）同时支持网络监视和控制两方面的能力；（2）能够管理所有的网络协议，容纳不同的网络管理系统；（3）提供尽可能大的管理范围，并且应做到网络管理员可以从任何地方都能对网络进行管理；（4）尽可能小的系统开销，提供较多网络管理信息；（5）网络管理的标准化，可以管理不同厂家的网络设备；（6）网络管理在网络安全性方面应能发挥更大的作用；（7）网络管理应具有一定的智能，可以根据对网络统计信息的分析，发现并报告可能出现的网络故障。8.1.3网络管理的内容1．自动发现网络拓扑结构和网络配置2．告警功能3．监控功能4．监控能力5．灵活性6．多厂商集成7．访问控制8．界面友好9．编程接口和开发工具10．故障记录和报告生成8.1.4网络管理的功能1．配置管理2．性能管理3．故障管理4．计费管理5．安全管理6．其它网络管理功能8.1.5网络管理系统的构成现代计算机网络管理系统主要由4个要素组成：若干被管的节点；至少一个网络管理站；一种公共网络管理协议；一种或多种管理信息库。图8.1说明了这些组成部分。LANSNMP协议管理站管理进程BA主机路由器被管理节点网桥代理打印机A图8.1SNMP管理模型的组成部分8.2简单网络管理协议8.2.1什么是SNMPSNMP具有以下特点。（1）简单性。（2）可伸缩性（3）扩展性（4）健壮性8.2.3SNMP协议1．SNMP模型SNMP主要用于OSI七层模型中较低层次的管理，采用轮询监控方式。管理者按一定的时间间隔向代理请求管理信息，根据管理信息判断是否有异常事件发生。当管理对象发生紧急情况时，也可以使用称为Trap信息的报文主动报告。轮询监控的主要优点是对代理资源要求不高，SNMP协议简单，易于实现；缺点是管理通信开销大。2．SNMP基本原理SNMP采用了Client/Server模型的特殊形式：代理/管理站模型。对网络的管理与维护是通过管理工作站与SNMP代理间的交互工作完成的。每个SNMP从代理负责回答SNMP管理工作站（主代理）关于MIB定义信息的各种查询。8.3网络管理系统网络管理系统提供了一组进行网络管理的工具，网络管理人员依赖它进行网络管理。8.3.1网管系统的组成和功能网络管理的需求决定网管系统的组成和规模，任何网管系统无论其规模大小如何，基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。网管支撑软件是运行于网管软件平台之上，支持面向持定网络功能、网络设备和操作系统管理的支撑软件系统。网络管理软件可以在中央网络管理站点上以图形的方式显示网络设备，提供网络中互连的交换机和路由器的自动识别和自动拓扑结构图，提供网络的物理视图和逻辑视图以便于漫游和执行想要的功能，从而使网络管理员无需对远程站点上的每台设备进行物理检测就能够全面地查看网络设备。设备管理和监视软件可以使网络管理员查看网络设备及所有接口的物理状态，并可从控制台上对网络设备进行配置、性能监视和小型软件检修。其GUI的界面能够提供交换机和路由器的实际图形显示，提供网络设备前、后面板的物理视图，可连续动态地显示路由器、交换机、集线器或适配器的最新物理视图，探测设备的型号、软件版本、图像类型以及所安装接口的数目和类型等。8.3.2网管软件的分类1．按照管理对象分类2．按照管理范畴分类3．按照管理功能分类4．按照发展历史分类8.3.3网管软件的技术热点1．开放性2．综合性3．智能化4．安全性5．基于Web的管理8.4网络安全概述8.4.1网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据和信息，不会由于故障或偶然等原因而遭到破坏。国际标准化组织（ISO）将计算机网络系统的安全定义为“为数据处理系统建立所采取的技术和管理的安全保护，保护计算机网络系统的硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。网络安全具有下列主要特征。1．保密性2．完整性3．可用性4．可控性8.4.2网络安全问题的主要原因主要原因如下:（1）网络的资源共享给某些不法分子提供了有利可乘的机会。（2）操作系统的安全性。（3）来自内部网用户的安全威胁。（4）缺乏有效的手段去监视、评估网络系统的安全性，网络认证环节薄弱。（5）由于大型网络系统内运行多种网络协议，如TCP/IP、IPX/SPX等。（6）未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。（7）应用服务的安全。（8）网络安全技术的不先进，不可避免地使网络中传输的数据和信息被窃取。如防火墙。（9）没有正视黑客、病毒和计算机犯罪所造成的严重后果，没有投入一定的人力、财力和物力来加强网络的安全。8.5网络安全技术8.5.1密码学技术密码技术可以隐藏和保护需要保密的信息，未经授权者不允许提取信息。密码系统一般从下列3个方面进行分类。密码技术可以隐藏和保护需要保密的信息，未经授权者不允许提取信息。密码系统一般从下列3个方面进行分类。1．按由明文转换为密文的操作分为：置换密码和易位密码。2．按明文的处理方法分为：分组密码和序列密码8.5.2认证技术认证技术主要解决通信中双方的身份认可。目前，计算机认证方式有口令、密钥、标识符、账户名等。一般来说，用人的生理特征如声音、指纹等认证的安全性很高，但这种技术实现起来很困难，成本也很高，难以普及。目前，认证技术主要有消息认证和身份认证。1．消息认证2．身份认证8.5.4防火墙技术1．防火墙的概念计算机网络防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入，如黑客攻击、病毒破坏、资源被盗用或文件被篡改等。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措施。防火墙包含着一对矛盾的机制；一方面它限制数据流通，另一方面它又允许数据流通。2．防火墙的类型（1）数据包过滤技术是一种基于路由器的防火墙。（2）应用级网关技术是一种建立在网络应用层的防火墙，（3）代理服务是针对数据包过滤8.6计算机病毒及防治8.6.1计算机病毒简介计算机病毒是一段人工编制的破坏或损坏计算机中的文件、计算机软件、及硬件的程序代码。我国在1994年2月18日正式颁布了《中华人民共和国计算机信息系统安全保护条例》，其中明确指出：“计算机病毒，是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”8.6.2计算机病毒的特征及分类1．计算机病毒的特征（1）传染性（2）潜伏性（3）隐蔽性（4）破坏性2．计算机病毒的分类（1）引导型病毒由引导动作侵入内存，如果是用已感染的磁盘引导，那么病毒将会立即感染到硬盘。（2）文件型病毒只是感染磁盘上的可执行文件。（3）混合型病毒既具有引导型病毒的特点，也具有文件型病毒的特点，这样的病毒更加扩大了病毒的传染途径，更增加了病毒的传染性以及存活率。8.6.3计算机病毒的防治1．判断计算机中病毒的方法（1）病毒码扫描法（2）总对比法（3）智能检测法