计算机网络基础与实践 教学课件 ppt 作者 刘勇 第8章_网络管理与安全

《计算机网络基础与实践 教学课件 ppt 作者 刘勇 第8章_网络管理与安全》由会员分享，可在线阅读，更多相关《计算机网络基础与实践 教学课件 ppt 作者 刘勇 第8章_网络管理与安全（28页珍藏版）》请在金锄头文库上搜索。

1、第8章 网络管理与安全,为了使计算机网络能够正常地运转并保持良好的状态，涉及到网络管理和信息安全两个方面。 网络管理可以保证计算机网络能够正常地运行，出现了故障等问题能够及时处理； 网络安全可以保证网络中的软件系统、数据以及网络设备的重要资源不被恶意的行为干扰或侵害。 8.1 网络管理基础 8.2 网络安全基础 8.3 防火墙技术,8.1 网络管理基础,8.1.1 网络管理概述 8.1.2 简单网络管理协议 8.1.3 网络管理系统 8.1.4 常用网络测试命令,8.1.1 网络管理概述,网络管理的概念 网络管理是为保证网络系统能够持续、稳定、安全、可靠和高效地运行，对网络实施的一系列方法和措

2、施。 网络管理的目的 对组成网络的各种软硬件设施的综合管理，以达到充分利用这些资源的目标，提高系统效率并保证网络向用户提供可靠的通信服务。,8.1.1 网络管理概述,网络管理的内容:可以用OAM&P来概括 运行（Operation）：面向网络整体进行的管理，如用户流量管理、对用户的计费等。 控制（Administration）：为满足服务质量要求而进行的管理活动。如对整个网络的管理和网络流量的管理。 维护（Maintenance）：针对保障网络及其设备的正常、可靠、连续运行而进行的管理活动，如故障的检测、定位和恢复，对设备单元的测试。又分为预防性维护和修正性维护。 提供（Provision）：

3、针对电信资源的服务准备而进行的管理活动，如安装软件、配置参数等。,8.1.1 网络管理概述,OSI网路管理的五个功能域: 故障管理:主要对来自硬件设备或路径节点的报警信息进行监控、报告和存储，以及进行故障诊断、定位与处理。 配置管理:用于定义、识别、初始化、监控网络中被管对象，改变其操作特性，报告其状态的变化。 性能管理:主要是收集和统计运行中的网络的主要性能参数，如网络的吞吐量、用户的响应时间和线路的利用率等，以便评价网络资源运行状况和通信效率等系统性能 安全管理:主要是对网络资源访问权限的管理，保证网络资源不被非法使用。 计费管理:主要是根据网络资源使用情况进行计帐。,8.1.2 简单网络

4、管理协议,网络管理协议（SNMP）的发展 SNMP是 TCP/IP协议簇的一个应用层协议，它是随着TCP/IP的发展而发展起来的。 在TCP/IP发展的前期，由于规模和范围有限，网络管理的问题并未得重视。直到20世纪70年代，仍然没有正式的网络管理协议，对网络的管理停留在使用控制报文协议ICMP和PING工具的基础上。 在网络管理协议产生以前的相当长的时间里，管理者要学习各种从不同网络设备获取数据的方法。因为各个生产厂家使用专用的方法收集数据，相同功能的设备，不同的生产厂商提供的数据采集方法可能大相径庭。在这种情况下，制定一个行业标准的紧迫性越来越明显。 1988年，Internet工程任务组

5、（IETF）在已有的SGMP（简单网关监控协议）基础上开发出SNMP（简单网络管理协议），称SNMPv1。 1993年，IETF制定了SNMPv2 ，1999年发布SNMPv3，SNMPv3涵盖了SNMPv1和SNMPv2的所有功能，并在安全性和可管理体系结构方面又有了较大的改进。,8.1.2 简单网络管理协议,SNMP管理模型 在采用SNMP的网络管理系统中，管理模型由四部分组成：管理进程、代理（Agent） 、管理信息库（MIB） 、被管理设备,SNMP管理模型 （1）管理进程（Manager）：负责管理代理和管理信息库，用来对监控的设备发出管理指令，通过各设备的代理对设备资源完成监视和控

6、制。 （2）代理（Agent）：每一个支持SNMP的网络设备中都包含一个代理进程，在被管理的网络设备中运行，负责执行管理进程的管理操作，并向管理工作站发送一些重要管理事件（如设备的报警）信息。,SNMP管理模型 （3）管理信息库（MIB）：管理信息库是一个概念上的数据库，就是所有代理进程包含的、并且能够被管理进程进行查询和设置的信息的集合。代理所收集的包括网络设备的系统信息、资源使用及各网段信息流量等管理信息都存放在MIB中。每个代理拥有自己的本地MIB，各代理控制的管理对象共同构成全网的MIB。 （4）被管设备：包括主机、网关、服务器、路由器、交换机等网络设备。,SNMP协议 SNMP是由一

7、系列协议和规范组成，它提供了一种从网络上的设备中收集网络管理信息的方法，还为设备指定向网络管理工作站报告故障和错误的途径，用于管理工作站与被管设备上的代理进程之间交互信息。 SNMP的原理：它以轮询和应答的方式从被管设备中收集网络管理信息，采用集中或者集中分布式的控制方法对整个网络进行控制和管理。,8.1.3 网络管理系统,网络管理系统：是实现网络管理功能的一种网络管理软件 网络管理系统的任务：收集网络中各种设备和设施的工作参数、工作状态信息，显示给管理操作人员并进行处理，从而控制网络中的设备、设施、工作参数和工作状态，使其可靠运行，网络服务不被中断。,常用的网络管理软件： HP公司的Open

8、 View； IBM公司的NetView； SUN公司的SunNet Manager； Cisco公司的Cisco Works； Cabletron公司的SPECTRUM； Novell公司的NetWare Manage Wise。 几乎所有的网络公司的网络管理软件产品都支持SNMP协议，但真正全部具有五大管理功能的网络管理系统并不多,8.1.4 常用网络测试命令,常用的网络测试命令： ping、tracert、netstat、ipconfig等 了解和掌握这几个命令的运用，将会有助于网络管理员较快地检测到网络故障所在，从而能够节省时间，提高工作效率。,8.2 网络安全基础,8.2.1 网络安

9、全的基本概念 8.2.2 网络安全威胁 8.2.3 常见网络攻击 8.2.4 网络安全服务与机制 8.2.5 网络安全的防范措施,8.2.1 网络安全的基本概念,计算机网络安全：通过采用各种技术和管理措施，使网络系统的硬件、软件及其系统中的数据资源受到保护，不因偶然和恶意的原因遭到破坏、更改和泄露，保证网络系统可靠、正常地运行。 从广义上说，网络安全包括网络硬件资源和信息资源的安全性。 硬件资源：包括通信线路、通信设备（交换机、路由器等）、主机等； 信息资源：包括系统软件和应用软件，以及在网络中存储和传输的用户数据等。,8.2.1 网络安全的基本概念,网络安全应具有以下四个方面的特征： （1）

10、可靠性：保证网络系统不因各种因素的影响而中断正常运行。 （2）完整性：保护网络系统中存储和传输的软件、程序和数据资源不被修改、不被破坏和不丢失。 （3）可用性：保证系统中硬件、软件和数据等共享资源可被授权实体访问并按需求正常使用和操作。即当需要时能否存取所需的资源。 （4）保密性：保证系统中存储和网络上传输的信息资源不泄露给非授权用户。,8.3 防火墙技术,为了保障网络的安全性，在内部网络与外部网络连接时，在两者中加入个或多个中间系统，防止非法的用户的入侵、窃取、篡改、毁坏重要的信息数据，并提供完整、可靠、保密的审查控制，这个中间系统就是防火墙。 8.3.1 防火墙的概念 8.3.2 防火墙的

11、类型,8.3.1 防火墙的概念,防火墙（Firewall）的概念： 防火墙是位于两个网络之间执行访问控制策略的系统（可能是硬件或软件，或者二者并用），通过强制实施统一的安全策略，限制外部未经许可的用户访问内部网络资源和内部非法向外部传递信息，而允许那些授权的数据通过，以达到保护系统安全的目的。,8.3.1 防火墙的概念,防火墙的位置：,防火墙（Firewall）的功能： （1）过滤掉不安全的服务和非法用户； （2）控制对特殊站点的访问； （3）提供网络安全监视和预警； （4）能经受各种攻击;,8.3.2 防火墙的类型,防火墙（Firewall）的类型 从网络协议分层的角度，可以归为以下三类：

12、（1）包过滤防火墙； （2）状态检测防火墙； （3）代理服务器防火墙；,（1）包过滤防火墙防火墙 包过滤是是在IP网络层实现的，因此又称网络层防火墙或者过滤路由器防火墙。 工作原理：有选择地允许IP数据包穿过防火墙 包过滤防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配，与规则相匹配的数据包依据路由信息继续转发，否则就丢弃。 过滤规则基于数据包的报头信息进行制订。 报头信息中包括IP源地址、IP目标地址、TCP/UDP目标端口、ICMP消息类型等。,（2）代理服务器防火墙 又称应用层网关级防火墙（应用级网关） 基本工作原理： 当外部网的用户希望访问内部网某个应用服

13、务器时，实际上是向运行在防火墙上的代理服务软件提出请求；代理服务器评价来自用户的请求，并做出认可或否认的决定，如果一个请求被认可，代理服务器就代表用户将请求转发给“真正”的应用服务器，并将应用服务器的响应返回给外部网用户。,（2）代理服务器防火墙 又称应用层网关级防火墙（应用级网关）,（3）状态检测防火墙 状态检测防火墙采用了状态检测技术，是传统包过滤上的功能扩展，又称动态包过滤防火墙。 状态检测技术：是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，对接收到的数据包进行分析，判断其是否属于当前合法连接，从而进行动态的过滤。,（3）状态检测防火墙 基本工作原理： 状

14、态检测防火墙在基本包过滤防火墙的架构之上的改进，它摒弃了包过滤防火墙仅考查进出网络的数据包，而不关心数据包状态的缺点。 在基本包过滤的基础上增加了状态检测的功能，检查数据包之间的关联性和数据包中的动态变化，根据过去通信信息和其他应用程序获得的状态信息来动态生成过滤规则，根据新生成的过滤规则来过滤新的通信。,防火墙的概念及其基本功能，防火墙有哪些类型? 答: 防火墙是位于两个网络之间执行访问控制策略的系统（可能是硬件或软件，或者二者并用），用来限制外部未经许可的用户访问内部网络资源和内部非法向外部传递信息，而允许那些授权的数据通过。 基本功能： （1）执行安全策略，过滤进出网络的数据包； （2）管理进出网络的行为，封堵某些禁止的访问； （3）记录通过防火墙的信息内容和活动； （4）具有防攻击能力，对网络攻击进行检测和告警; 常用的防火墙:包过滤、应用网关、状态检测防火墙。,本章小结,重点掌握： 网络管理的5个功能域和目标 网络安全的基本概念和特征 网络防火墙的概念、分类,