《{安全生产管理}计算机网络管理和安全》由会员分享,可在线阅读,更多相关《{安全生产管理}计算机网络管理和安全(147页珍藏版)》请在金锄头文库上搜索。
1、1,数据通信与计算机网络(第 4 版)杨心强 陈国友编著电子工业出版社 2012 年 5 月,2,课件制作人声明,本课件是数据通信与计算机网络(第4版)的教辅材料,共12个 Powerpoint 文件(每章一个)。任课教师可根据教学的实际需要,自行修改或增删其内容,但不能自行出版销售。 对于课件中存在的缺点和错误,欢迎读者提出宝贵意见,以便及时修订。 课件制作人 杨心强 2012年5月,3,数据通信与计算机网络第12章 计算机网络的管理和安全,4,第12章 计算机网络的管理和安全,教学目的 了解计算机网络管理的一般概念(定义、模型、体系结构、网管功能,以及SNMP协议) 了解计算机网络安全的一
2、般概念(威胁和需求) 了解数据加密技术(加密模型和两种密钥密码体制) 掌握常用的网络安全策略 了解因特网的安全协议机制,学习内容 计算机网络的管理 简单网络管理协议SNMP 计算机网络的安全 数据加密技术 网络安全策略 虚拟专用网 因特网的安全协议,5,第12章 内容提纲,12.1 计算机网络的管理 12.2 简单网络管理协议SNMP 12.3 计算机网络的安全 12.4 数字加密技术 12.5 网络安全策略 12.6 虚拟专用网 12.7 因特网的安全协议,12.1 计算机网络的管理,随着计算机网络的发展与普及,计算机网络的管理和安全问题越来越愈受到人们的关注和重视。其原因是: 网络必须正常
3、、高效地运行; 网络资源被广泛应用于政治、经济、科学以及军事等各个领域; 网络的用户来自社会各个阶层和部门; 计算机网络中的数据信息在存储和传输过程中,被窃取、复制、泄露或篡改的可能性不断增加; 威胁计算机网络管理和安全的因素来自多个方面。,6,7,12.1.1 网络管理概述,计算机网络的发展趋势是:网络规模不断扩大,复杂性不断增加,网络异构性越来越高。 计算机网络必须有一个高效的网络管理系统,才能为用户提供令人满意的服务。 网络管理(简称网管)已被列为“未来网络结构”的三大关键技术(高速交换技术、虚拟网络技术、网络管理技术)之一。,8,12.1.1 网络管理概述(续1),网络管理的概念由来已
4、久。话务员就是整个电话网络系统的管理者。 20世纪5070年代期间,先后出现了三个事件:长途直拨、程控交换机和网络运营系统,对网络管理起着重大的变革作用。网络管理逐渐由人工管理过渡到机器管理。 计算机网络的管理,则始于1969年ARPANET。 网络管理所追求的目标是集成化、开放型、分布式的网络管理。,9,12.1.1 网络管理概述(续2),网络管理有狭义和广义之分。狭义网络管理是指对网络通信量(traffic)等网络性能管理,广义网络管理是指对网络应用系统的管理。但至今尚无一个精确的定义。 一般认为:网络管理不是指对网络进行行政上的管理,而是以提高整个网络系统的效率、管理和维护水平为目标,主
5、要涉及对一个网络系统的资源和活动,进行监视、测试、配置、分析、协调、评估和控制,并以合理的价格满足网络的一些需求。,10,12.1.2 网络管理的一般模型,网络管理的一般模型,11,12.1.2 网络管理的一般模型 (续1),网络管理模型中的主要构件 管理站 常称为网络运行中心NOC (Network Operations Center),是整个网络管理系统的核心。由网络管理员直接操作和控制。管理站的关键构件是管理程序。 管理站(硬件)或管理程序(软件)都可称为管理者(manager)。管理程序在运行时成为管理进程。Manager 不是指人而是指机器或软件。 网络管理员(administrat
6、or) 指的是人。大型网络往往实行多级管理,因而有多个管理者,而一个管理者一般只管理本地网络的设备。,12.1.2 网络管理的一般模型 (续2),网络管理模型中的主要构件(续1) 被管设备 如主机、路由器等(含软件) 。被管设备有时可称网络元素(或网元)。网络的每一个被管设备中可能有个多被管对象(Managed Object)。被管对象可以是被管设备中的某些硬件或软件的配置参数的集合。在被管设备中也会有一些不能被管的对象。 代理 指运行在被管设备中的一个网络管理代理程序程序(简称代理),以便和管理站中的管理程序进行通信。代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。,12,12.
7、1.2 网络管理的一般模型 (续3),网络管理模型中的主要构件(续2) 网络管理协议,简称为网管协议。 必须注意,并不是网管协议本身来管理网络。网管协议只是管理程序和代理程序之间进行通信的规则。 网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。,13,12.1.2 网络管理的一般模型 (续4),客户/服务器方式 管理程序和代理程序按客户/服务器方式工作。 管理程序运行 SNMP 客户程序,向某个代理程序发出请求(或命令),代理程序运行 SNMP 服务器程序,返回响应(或执行某个动作)。 在网管系统中往往是一个(或少数几个)客户程序与很多的服务器程序进行交互。,14,15,12.1.
8、3 网络管理的体系结构,网络管理体系结构 指网络管理系统的逻辑结构,包括网络管理模型、网络管理模式(管理者代理模式) 、网络管理协议及管理信息库MIB(Management Information Base)。 从应用角度,网管体系结构的两种类型: 公用网管体系结构 由管理者、代理和MIB等三部分组成。这是一种集中式网管结构。OSI和因特网的网管均属于此类。 专用网管体系结构 针对特定网络环境提出的网络管理体系结构。如Open View。,16,12.1.3 网络管理的体系结构(续1),1990年初,开放软件基金会OSF提出分布式管理环境DME的网络管理方案,将是未来计算机网络管理的发展方向。
9、 DME的基本思想是:网管系统独立于具体的硬件与操作系统;提供标准的结构、服务和开发环境;开发简单易学的网管应用软件。 1985年,ITU-T提出电信管理网TMN的构想, 1988年又发表了M.30建议书。TMN作为对电信网进行统一管理的方案,现已成为现代网络管理的发展方向。,17,12.1.4 ISO的网络管理功能,ISO 7498-4标准定义了网络管理的五项基本功能,简称FCAPS。 1、故障管理 当网络中某个组成失效时,网络管理器应能迅速检测出故障,将其定位,并采取适当措施及时排除。包括故障检测、诊断和恢复三个方面。 2、配置管理 对被管对象相关功能集合进行定义、识别、控制和监视。目的是
10、为了实现某个特定功能或使网络性能达到最优的等级。 3、计费管理 依据各种电信资费标准,以及管理用户对网络资源的使用情况,对用户核收费用。,18,12.1.4 ISO的网络管理功能(续1),4、性能管理 通过监视和分析被管网络及其所提供服务的性能机制,来评估系统的运行状况及通信效率等系统性能。使网络能够提供可靠、连续的通信服务。 5、安全管理 建立加密及密钥管理、授权和访问机制,以及建立、维护和检查安全日志。 ISO就网络管理只定义了上述五项基本功能。许多厂商都扩展了网络管理的内容,作为网络管理系统功能的一部份。,19,第12章 内容提纲,12.1 计算机网络的管理 12.2 简单网络管理协议S
11、NMP 12.3 计算机网络的安全 12.4 数字加密技术 12.5 网络安全策略 12.6 虚拟专用网 12.7 因特网的安全协议,12.2 简单网络管理协议SNMP,20世纪80年代初期,因特网的发展使人们意识到网络管理的重要性。为此,人们对网络管理的开发研究十分重视,并提出了多种网络管理方案。 SNMP发布于1988年,于1990年成为因特网的正式标准(RFC 1157)。之后又修订为SNMPv2,1999年4月又提出了SNMPv3。SNMPv3最大的修改是定义了比较完善的安全模式,提供了基于视图的访问机制和基于用户的安全模型等安全机制。,20,12.2 简单网络管理协议SNMP(续1)
12、,网络管理的基本思想 若要管理某个对象,就必然会给该对象添加一些软件或硬件,但这种“添加”必须对原有对象的影响尽量小些。SNMP就遒循这种设计思想。 SNMP的基本功能是监视网络性能、检测分析网络差错和配置网络设备等。 SNMP使用管理器和代理的概念。由管理器(通常是主机)控制和监视一组代理(通常是路由器)。管理器运行SNMP客户程序,代理运行SNMP服务程序。管理是通过管理器和代理之间的简单交互来实现的。,21,12.2 简单网络管理协议SNMP(续2),整个网络系统必须有一个管理站。 管理进程和代理进程利用 SNMP 报文进行通信,而 SNMP 报文又使用 UDP 来传送。 若网络元素使用
13、的不是 SNMP 而是另一种网络管理协议,SNMP 协议就无法控制该网络元素。这时可使用委托代理(proxy agent)。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。,22,12.2 简单网络管理协议SNMP(续3),网络管理的主要构件 SNMP 定义了管理器和代理之间交换的分组格式,内含对象(变量)及其状态(值)。SNMP还负责读取和改变这些数值。 管理信息结构SMI 定义了对象命名和对象类型(包括范围和长度),以及如何把对象和对象的值进行编码的的一些通用规则。但SMI并不定义一个实体管理的对象数目,以及被管对象的名字以及对象与其值之间的关联。 管理信息库MIB 在被管对象
14、的实体中创建命名对象,并规定其类型。,23,12.2.1 管理信息结构,管理信息结构SMI是SNMP的重要构件,现在使用的版本是SMIv2。 SMI有三个功能 被管对象进行命名; 定义对象中存储的数据类型; 对网络上传输的数据给出编码方法。,24,12.2.1 管理信息结构(续1),1、对象命名 SMI规定,每个被管对象都要有一个唯一命名的对象标识符,它处于基于分层次的树结构上。每个对象可用点隔开的整数序列表示,而在树结构用点分隔开的文本名字序列来定义对象。整数点的表示法用在SNMP,而名字点记法是人使用的。,25,12.2.1 管理信息结构(续2),部分对象标识树,26,sys(1),if(
15、2),at(3),ip(4),icmp(5),tcp(6),udp(7),egp(8),trans(11),snmp(12),org(3),dod(6),internet(1) 1.3.6.1(iso.org.dod.internet),mib-2(1) 1.3.6.1.2.1(iso.org.dod.internet.mgmt.mib-2),iso(1),iso-itu-u (2),根,itu-t(0),mgmt(2),12.2.1 管理信息结构(续3),2、对象的数据类型 SMI使用抽象语法记法1(ASN.1)来定义数据类型,却又增加了新的定义。 SMI使用的数据有两大类: 简单类型,这是
16、最基本的。其中一部分直接取自ASN.1,另一部分是SMI增加的(见表12-1)。 结构化类型。此类型有两种:一种是Sequence,是一些简单数据类型的组合。它类似于C语言中的struct或record。另一种是Sequence of,是所有相同类型的简单数据类型的组合,或同类型的Sequence数据类型的组合,类似于C语言中的array。,27,12.2.1 管理信息结构(续4),3、编码方法 SMI使用ASN.1制定的基本编码规则BER对数据进行编码。 SMI对数据的编码格式,28,标记T(1字节) 该字段用来定义数据类型,由三个子字段组成: 类别(2位)。用来定义数据的作用域。分为通用类(00),应用类(01),上下文类(10)和专用类(11)。通用类取自于ANS.1,应用类是SMI增加的,而上下文类有5种是为了适应不同的协议。 格式(1位)。指明数据类型种类,简单数据类型(0),结构化数据类型(1)。 编号(5位)。用来将简单的或结构化的数据进一步划分为子组。,12.2.1 管理信息结构(续5),29,长度L(1或多字节)。当该字段最高位为0,其余7位定义
