第8章计算机网络安全及管理技术

第8章计算机网络安全及管理技术8.1计算机网络安全8.1.1网络系统安全概述8.1.2信息安全技术8.1.3网络攻击与网络病毒8.1.4网络安全设施8.1.5安全接入技术8.1.6网络系统可靠性8.2网络管理8.2.3远程监控（RMON）8.2.4计算机网络管理的实施8.3.1目录服务8.3.2负载均衡8.2.5计算机网络管理的发展趋势8.2.1计算机网络管理概述8.2.2简单网络管理协议SNMP8.3网络热点技术计算机网络安全8.1计算机网络安全是指通过采取各种技术的和管理的措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。1.什么是计算机安全国际标准化组织ISO对计算机安全作了如下定义：计算机安全是指为保护数据处理系统而采取的技术的和管理的安全措施，保护计算机硬件、软件和数据不会因偶然或故意的原因而遭到破坏、更改和泄密。8.1.1网络系统安全概述计算机安全基础2.计算机硬件的安全性；软件安全性；数据安全性；计算机运行安全性。计算机安全的主要内容安全等级D1级C1级C2级B1级B2级B3级A1级主要内容安全保护欠缺级，无安全保护级，计算机安全的最低一级自主安全保护级受控存取保护级，实施比C1级更精细的自主访问控制标记安全保护级,从本级开始,不仅具有自主访问控制,而且具有强制访问控制结构化保护级安全域级验证设计级4.保护计算机安全的措施5.计算机安全等级3.破坏计算机安全的途径网络安全基础网络安全控制措施物理安全访问控制传输安全123网络安全的内涵可能受到威胁的网络资源网络安全问题日益突出的主要原因攻击网络安全的主要途径12348.1.2信息安全技术PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。PKI（PublicKeyInfrastructure，意为“公钥基础设施”）在电子商务中，必须从技术上保证在交易过程中能够实现：身份认证、安全传输、不可否认性、数据一致性。ＣＡ证书认证技术采用了加密传输和数字签名技术，能够实现上述要求。CA（CertificateAuthority）认证技术数据加密过程就是通过加密系统把原始的数字信息（明文），按照加密算法变换成与明文完全不同的数字信息（密文）的过程。信息加密技术对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其它的手段，这一手段就是数字签名。数字签名技术8.1.3网络攻击与网络病毒黑客一词是指程序员，而不是那些非法破坏系统安全的人。入侵者是指怀着不良的企图，闯入甚至破坏远程机器系统完整性的人。网络黑客与入侵者攻击技术简介1.获取口令2.电子邮件攻击3.特洛伊木马攻击4.诱入法5.系统漏洞扫描6.网络监听7.缓冲区溢出8.拒绝服务攻击网络病毒●CIH病毒●红色代码病毒●红色代码II●蓝色代码II●Nimda病毒●Sircam病毒●Netsky病毒●冲击波病毒●冲击波杀手病毒●冲击波杀手变种病毒●震荡波病毒●计算机病毒的新特征8.1.4网络安全设施什么是防火墙防火墙是一种访问控制技术，用于加强两个或多个网络间的边界防卫能力。设置防火墙的原因因为传统的子网系统往往把自己完全暴露在一些本身并不安全的服务下，暴露在外界主机的侦探和攻击下。这样，子网的安全就要完全依靠于各个主机，并且要求各个主机有相同的安全度。内部网络外部网络(Internet)防火墙●防火墙的基本概念●防火墙技术分类网络层防火墙网络层防火墙通常是以路由器为基础。这种方案采用了一种所谓的“数据包过滤”技术，即检查到达路由器的外部数据包并作出选择的技术。应用层防火墙应用层防火墙也称为代理服务器，它能够代替网络用户完成特定的TCP/IP功能，控制对应用程序的访问。Internet内部Web服务代理外部Web服务代理请求返回getx.htmlreturnx.htmlWeb浏览器应用层防火墙网络层防火墙应用层防火墙项目分类便宜，可设置在内部网络与Internet相连接的路由器上，无需另购比网络层防火墙要高得多，需要购置专门的软件及高性能的硬件系统，否则会产生严重的通信瓶颈简单，过滤规则易于维护复杂。管理员不仅需要清楚地了解TCP/IP，还需要为存储、监视和报告功能作出最合理的设置功能单一。按照规则表对数据包进行过滤；只能提供基本的统计记录功能多，应用灵活。能够提供许多报告、统计和监控的手段，以控制网络的运行；提供有益的内部网络功能，如存储频繁访问页，设置拒绝与缺乏商业价值的站点建立连接要求所有的内部主机都要有正确分配的地址。这些地址在Internet上都是可见的，可以被Internet上的系统访问允许内部网络使用任何寻址模式，因为能够与Internet实现真正通信的唯一系统就是应用层防火墙。这就使管理员可以不受任何约束地对其内部网络进行灵活的编址价格安装、配置与管理功能编址方式网络层防火墙和应用层防火墙比较(1)网络层防火墙应用层防火墙项目分类使用路由器过滤数据包可以有效地阻止罪犯进入内部网络，但罪犯有可能绕过过滤器。整个内部网络容易受到来自Internet的入侵。可以使内部网络与外部网络完全隔离。可以监视外部主机的连接企图，并使用启发式分析，确定是否有罪犯要闯入网络。防火墙系统中还存有可疑活动的详细报告，管理人员可以利用该报告调查有潜在危险的Internet主机，并采取预防措施。资金有限，缺乏管理更复杂的应用层防火墙的专门技术，拥有的系统没有很大的风险，只配有少数的可供访问Internet的服务程序(如Telnet、、E-mail)。有用于网络安全的大量资金,拥有管理应用层防火墙的软件和硬件技术,网络管理需要有监视网络连接的详细的报告和统计,系统的保密性和安全性高,需要使内部网络与Internet相隔离。安全性适用情况网络层防火墙和应用层防火墙比较(2)●防火墙产品防火墙分类防火墙特性比较12●入侵监测与入侵保护入侵监测与入侵保护的概念入侵监测、入侵保护与防火墙的区别128.1.5安全接入技术1．远程访问的安全接入远程访问系统PCModermModerm池拨号访问服务器NAS文件服务器认证服务器PSTNInternetPPPSLIPIP远程访问系统模型RADIUS和TACACSRADIUS（RemoteAuthenticationDialInUserService）和TACACS（TerminalAccessControllerAccessControlSystem）是远程访问控制的两个开放协议标准，它们被广泛地实现在各种拨号服务器中。8.1.5安全接入技术2．局域网的安全接入PPPoE特点：第一，PPPoE很容易检查到用户下线，可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计，计费方式灵活方便。第二，PPPoE可以提供动态IP地址分配方式，用户无需任何配置，网管维护简单，无需添加设备就可解决IP地址短缺问题，同时根据分配的IP地址，可以很好地定位用户在本网内的活动。第三，用户通过免费的PPPoE客户端软件（如EnterNet），输入用户名和密码就可以上网，跟传统的拨号上网差不多，最大程度地延续了用户的习惯，从运营商的角度来看，PPPoE对其现存的网络结构进行变更也很小。8.1.5安全接入技术2．局域网的安全接入802.1X802.1x协议仅仅关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变。客户端PAELAN/WAN设备端提供的服务客户端PAE认证服务器客户端设备端认证服务器端口非授权授控端口非授控端口8.1.6网络系统可靠性网络可靠性主要指系统的容错能力，即当网络系统突然发生故障时，系统能够继续工作及迅速恢复的能力。网络系统可靠性的相关概念(1)软件容错(2)硬件容错(3)容错存储(4)数据备份(5)容错电源双机容错技术(1)共享磁盘阵列柜方式(2)镜像磁盘方式服务器服务器心跳线共享盘阵局域网共享磁盘陈列柜方式服务器服务器交叉镜像局域网硬盘硬盘镜像磁盘方式8.2网络管理8.2.1计算机网络管理概述计算机网络管理功能按照OSI管理框架，把网络管理任务分为：用户管理、配置管理、性能管理、故障管理、计费管理、安全管理和其他网络管理功能。网络管理层次结构网络管理员操作界面网络管理应用软件网络管理工具网络管理平台网络管理协议网络平台网络管理层次结构8.2.2简单网络管理协议SNMP●1．SNMP管理模型低层网络接口IPUDPSNMP管理者管理应用进程GetGetNextSetGetResponseTrap低层网络接口IPUDPSNMP代理被管资源GetGetNextSetGetResponseTrap管理信息库MIB应用进程对资源进行管理SNMP报文网络●2．管理信息库MIBMIB是网络管理系统中一个概念上的被管对象的数据库，一般位于各个代理上。管理数据库是网络管理数据的标准，在这个标准里规定了被管设备必须保存的数据项目、数据类型以及允许在每个数据项目中的操作。通过对这些数据项目的存取访问可以得到该设备的所有统计内容，再通过对多个设备统计内容的综合分析即可实现基本的网络管理。●3．SNMP协议SNMP协议目前共有三个版本：●SNMPv1●SNMPv2●SNMPv3SNMP代理和管理站通过标准消息通信，这些消息中的每一个都是一个单个的包。因此，SNMP使用UDP作为传输协议。Layer7Layer6Layer5Layer4Layer3Layer2Layer1SNMPOSI表示层OSI会话层UDPIPOSI数据链路层物理层SNMP的OSI参考模型SNMP有5种消息类型：GetRequestGetResponseGetNextRequestSetRequestTrap●4．简单网络管理协议的工作原理没有伸缩型，在大型网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤的情况发生。它将收集数据的负担加在网络管理控制台上，在管理几个网段时也许能轻松的收集网络信息，当它们监控许多网段时，就非常困难了。●5．SNMP的弱点8.2.3远程监控（RMON）RMON分为嵌入式和分布式两种：嵌入式RMON当RMON嵌入到网络设备（如集线器）之中时，它的作用效率更高、经济上更划算，可以一次监控所有连通的局域网网段。分布式RMONRMONI及RMONⅡ在7层模型中的层次应用层表示层会话层运输层网络层数据链路层物理层标准RMONII标准RMONI企业级RMON8.2.4计算机网络管理的实施8.2.5计算机网络管理的发展趋势●网络管理层次化●网络管理集成化●网络管理Web化网络管理员实施网络管理布线系统的日常维护关键设备的管理1234IP地址的管理58.3.1目录服务什么是目录目录就是一个数据库，它包含了网络以及在网络上运行的应用程序所需的信息。每一个网络，即使是简单的网络，也会有某种形式的目录，而且通常不只一个。为什么使用目录(1)一次登录(2)设备识别和定位(3)与位置无关(4)简化管理(5)可靠性LDAP（轻型目录访问协议）是促使目录流行的关键技术，是目录服务器的Internet标准协议。LDAP简介8.3网络热点技术●活动目录与Novell目录服务的区别●活动目录紧密地和DNS集成；而NDS却根本没有使用DNS。●活动目录使用LDAP作为它的捆绑协议；而NDS则使用了一个运行于NetWare核心协议之上的，类似于X.500的目录访问协议。●活动目录提供了与其他LDAP兼容的目录的集成；NDS虽然在版本8中将会改变，但目前是不支持的。●活动目录域（划分）可作为安全边界；而NDS树在安全性方面是同构的，树中不存在固有的安全边界。●活动目录的模式可在运行时被扩展；而NDS的模式必须在停止NDS服务并重新启动NDS后才能进行扩展，这一点也许会在NDS版本8中有所改变。●活动目录仅运行于Windows2000之上；而ND