计算机网络基础(第3版)[李志球][电子教案]第13章

Lizq98@xzcat.edu.cn1第13章网络管理与网络安全本章要点◆了解网络管理的基本概念◆掌握SNMP协议的特点和功能◆了解常见的网络安全威胁和网络安全的重要性◆掌握常用的网络安全技术◆掌握防火墙技术◆了解网络防病毒的基本方法Lizq98@xzcat.edu.cn2第13章网络管理与网络安全目录13.1网络管理13.2网络安全13.3常用的安全技术13.4木马、ARP欺骗和公布式拒绝服务Lizq98@xzcat.edu.cn313.1网络管理13.1.1网络管理的功能网络管理是指网络使用期内为保证用户安全、可靠、正常使用网络服务而从事的全部操作和维护性活动。它控制复杂的计算机网络，使其具有最高效率的过程；它能提高整个网络系统的工作效率、管理水平和维护水平，对一个网络系统的活动和资源进行监督、分析、控制和规划。网络管理系统由一组软件组成，它帮助网络管理者维护和监视网络的运行，生成网络信息日志，分析和研究网络。不同的网络设备厂商都针对自己的网络产品开发了网络管理系统，以完善用户对设备可管理性的要求。Lizq98@xzcat.edu.cn413.1网络管理1．故障管理故障管理是对网络环境中的问题和故障进行定位的过程。功能几个：1）检测被管理对象的差错，或接收被管理对象的差错事件通报；2）当存在空闲设备或迂回路由时，为用户提供新的网络资源服务；3）创建并维护差错日志库，并进行分析；4）进行诊断测试，以追踪并确定故障位置和故障性质；5）通过恢复措施重新开始服务。13.1.1网络管理的功能Lizq98@xzcat.edu.cn513.1网络管理2．配置管理配置管理的作用是提高网络管理员对网络配置的能力。通过配置管理，网络管理员可以方便地查询网络当前的配置信息，并根据需要方便地修改配置，实现对设备的配置功能。配置管理功能包括：1）设置有关路由操作的参数；2）修改被管理对象的属性；3）初始化或关闭被管理对象；4）收集系统当前状态的有关信息；5）修改系统的配置。13.1.1网络管理的功能Lizq98@xzcat.edu.cn613.1网络管理3．性能管理性能管理用于对系统运行及通信效率等系统性能进行评价。性能管理的功能包括：1）从被管理对象中收集与性能有关的参数；2）被管理对象的性能统计，以及与性能有关的历史数据的产生、记录和维护；3）分析统计数据，检测性能故障；4）分析结果与历史比较，预测性能的变化；5）形成改进性能评价准则和性能限度；6）以保证网络性能为目的，对被管理对象和被管理对象组进行控制。13.1.1网络管理的功能Lizq98@xzcat.edu.cn713.1网络管理4．安全管理安全管理主要保护网络资源与设备不被非法访问，以及对加密机构中的密钥进行管理。1）数据私有性，保护网络数据不被非法获取。2）授权，防止入侵者在网络上发送错误信息。3）访问控制，控制对网络资源的访问。安全管理的功能包括：1）创建、删除控制安全服务和机制；2）与安全相关信息的发布；3）与安全相关事件的通报。13.1.1网络管理的功能Lizq98@xzcat.edu.cn813.1网络管理5．计费管理计费管理负责监视和记录用户对网络资源的使用，对其收取合理的费用。计费管理的功能包括：1）统计网络利用率等效益数据，使网络管理员确定不同时期和时间段的费率；2）根据用户使用的业务，在若干用户之间公平、合理地分摊费用；3）允许采用信用记账方式收取费用，包括提供有关资源使用的账单审查情况；4）当多个资源同时用来提供一项服务时，能计算各个资源的费用。13.1.1网络管理的功能Lizq98@xzcat.edu.cn913.1网络管理13.1.2网络管理系统逻辑模型1．网络管理系统的组成一个网络管理系统在逻辑上由管理对象、管理进程和管理协议三部分组成。1）管理对象管理对象是经过抽象的网络元素，对应于网络中具体可以操作的数据。2）管理进程管理进程是负责对网络中的设备和设施进行全面的管理和控制的软件。3）管理协议管理协议负责在管理系统与管理对象之间传递操作命令，负责解释管理操作命令。Lizq98@xzcat.edu.cn1013.1网络管理2．网络管理逻辑模型将网络设备看作被管理对象，主机作为管理者，在管理者和被管理者上都运行网络管理软件，并通过它们两者之间的接口建立通信连接，实现网络管理信息的传递和处理。包含网络管理软件的设备称为网络管理实体NME；一般被管理系统的NME被认为是代理模块，或简称为代理。管理者和被管理系统的通信通过网络管理协议实现。因此，网络管理模型包含管理者、管理代理、管理信息库和网络管理协议等主要元素。13.1.2网络管理系统逻辑模型Lizq98@xzcat.edu.cn1113.1网络管理1）管理者管理者（或称为管理程序）是运行网络管理协议的工作站或PC，是网管和网络管理系统的接口。2）管理代理管理代理（通常是路由器）把来自管理者的命令转换为指令，完成管理者的指示。3）管理信息库（MIB）MIB是管理者所管理的所有对象的集合，管理者通过获取MIB对象的值来执行监视功能。4）网络管理协议管理网络而定义的网络传输协议。13.1.2网络管理系统逻辑模型Lizq98@xzcat.edu.cn1213.1网络管理13.1.3简单网络管理协议（SNMP）20世纪70年代后期，网管使用ICMP来检测网络运行的状况，Ping就是其中的一个典型应用。目前使用最为广泛的是SNMP。SNMP是TCP/IP协议簇中的一个应用层协议，可以提供简单但很有效的网络管理，实现起来比较容易，得到了众多网络产品厂家的支持，成为事实上的工业标准。SNMP有V1、V2和V3三个版本，它可以管理Internet上众多厂家生产的交换机、路由器等相应的软硬件设备。Lizq98@xzcat.edu.cn1313.1网络管理1．SNMP的特点1）使用UDP协议，提高网络管理的效；2）尽可能少占系统资源，降低代理软件成本；3）可以提供较强的远程管理；4）SNMP结构具有可扩充性。2．SNMP管理模型由SNMP管理器、SNMP代理和管理信息库组成。每一个支持SNMP的网络设备都包含一个代理，这个代理随时将网络设备的运行情况记录到管理信息库中，网络管理程序再通过SNMP通信协议查询或修改代理所记录的信息。13.1.3简单网络管理协议（SNMP）Lizq98@xzcat.edu.cn1413.1网络管理1）SNMP管理器SNMP管理器也称管理进程，它是一个管理软件，显示所有被管理设备的状态，完成各种网络管理功能。网管通过管理器对全网进行监控和管理，并对各管理代理中数据进行存储。2）SNMP代理是在被管理设备（交换机、路由器等）中运行的软件，执行SNMP管理器的管理操作。3）管理信息库MIBMIB是一个概念上的数据库，它由管理对象组成。所有SNMP代理控制的管理对象共同构成全网的管理信息库。13.1.3简单网络管理协议（SNMP）Lizq98@xzcat.edu.cn1513.1网络管理3．SNMP报文SNMP使用传输层的UDP协议进行无连接的传输。管理器和代理之间的消息都是一个独立的数据报（SNMP报文）。因为SNMP报文会有丢失的情况发生，所以SNMP有超时和重传机制。13.1.3简单网络管理协议（SNMP）Lizq98@xzcat.edu.cn1613.1网络管理4．SNMP操作SNMP管理器和SNMP代理之间的通信可以有两种方式：一种SNMP管理器向SNMP代理发出请求，询问一个具体的参数值；另一种是SNMP代理主动向SNMP管理器报告某些重要事件的发生。5．其他网络管理软件HP公司的OpenView、IBM公司的NetView、Sun公司的SunNetManager、Cabletron公司的Spectrum与DEC公司的PolyCenter等。它们在支持本公司网络管理方案的同时，可以通过SNMP对网络设备进行管理。13.1.3简单网络管理协议（SNMP）Lizq98@xzcat.edu.cn1713.2网络安全13.2.1网络安全基本概念1．网络安全的定义网络安全指的是网络上的信息安全，它能使网络系统中的软、硬件及信息受到保护，免受偶然的或恶意的破坏、更改和泄露，并使网络系统连续可靠地运行而不中断。网络安全实际上是用一组规则约束所有的网络活动，只有被允许的活动才能正常进行，所有不允许的活动都被禁止。1）运行系统安全2）系统信息安全3）信息传播安全4）信息内容安全Lizq98@xzcat.edu.cn1813.2网络安全13.2.1网络安全基本概念2．网络安全面临的主要威胁1）黑客攻击（1）网络窃听（2）数据修改（3）完整性破坏（4）重发（5）假冒2）计算机病毒3）拒绝服务4）网络系统的安全漏洞Lizq98@xzcat.edu.cn1913.2网络安全13.2.1网络安全基本概念3．网络安全目标1）可靠性2）可用性3）保密性4）完整性保障网络信息完整性的主要方法如下：协议、纠错编码、密码校验和、数字签名和公证等。5）不可抵赖性6）可控性Lizq98@xzcat.edu.cn2013.2网络安全13.2.1网络安全基本概念4．ISO安全机制1）加密机制2）数字签名机制防止抵赖、伪造、冒充和篡改3）访问控制机制4）数据完整性机制5）交换鉴别机制两种技术：口令、密码技术6）业务流填充机制7）路由控制机制8）公证机制Lizq98@xzcat.edu.cn2113.2网络安全13.2.2网络安全技术1．身份验证技术采取身份识别和身份认证，确认通信双方真实身份。技术有用户名/口令、数字签名、数字认证、PAP认证、CHAP认证及集中式安全服务器等。2．数据完整性技术保持网络的物理完整性、维护数据的机密性、提供安全视图、保障通信安全。技术有ACL、NAT、Firewall和加密技术等。Lizq98@xzcat.edu.cn2213.2网络安全13.2.2网络安全技术3．跟踪审计技术验证安全策略是否得当、确认安全策略是否执行、及时报告并记录遭受的攻击、检测安全漏洞及其他异常现象等。常用的跟踪审计技术有记账/日志、网络监控、入侵检测与防止、可疑活动实时报警等。4．信息伪装技术密码学领域的问题，主要有数字水印、隐像技术、隐身技术和叠像技术等。Lizq98@xzcat.edu.cn2313.3常用的安全技术13.3.1数据加密技术数据加密是将一个信息（明文）经过加密密钥及加密函数转换，转换为没有意义的另一个信息（密文）。接收方则将此密文还原成明文，这个过程称为解密。密码是解决信息安全的最有效手段，密码技术是解决信息安全的核心技术。1．加密算法1）传统加密算法传统加密算法主要有代换密码法、数字密码法和转换密码法等。它们设计简单，一般根据字母特性和语言学知识加密，所以比较容易破译，很少使用。Lizq98@xzcat.edu.cn2413.3常用的安全技术13.3.1数据加密技术1．加密算法2）私密密钥加密算法也称为单密钥加密算法或对称密钥算法，收/发双方都使用同一个密钥，因此使用非常便捷。这类算法又称为共享密钥加密算法。因为结构复杂且有较长密钥，因此安全性高、加解密速度快、较难破译，使用也较为普及。缺点一是密钥的管理是一个难点，二是缺乏自动检测密钥泄漏的能力。私密密钥加密算法主要有数据加密标准DES国际数据加密算法IDEA、Skipjack加密算法和Blowfish加密算法等。Lizq98@xzcat.edu.cn2513.3常用的安全技术13.3.1数据加密技术1．加密算法3）公开密钥加密算法私密密钥管理起来较为麻烦。而公开密钥加密算法给每个用户分配两把密钥：一把是保密的私有密钥，另一把是公开的共有密钥，构成加、解密密钥对（分别称为公钥、私钥）。用户用公钥加密信息，再将密文发送给私钥拥有者；接收方用私钥解密。攻击者即使截获了信息，也只是密文，无法知道信息的内容。公开密钥加密算法较复杂，实现比较困难，很耗费CPU资源。典型代表是RSA算法。Diffie-Hellman算法和DSA算法。Lizq98@xzcat.e