计算机网络 教学课件 ppt 作者 肖锋 马玉春CH10 网络管理与网络安全

《计算机网络 教学课件 ppt 作者 肖锋 马玉春CH10 网络管理与网络安全》由会员分享，可在线阅读，更多相关《计算机网络 教学课件 ppt 作者 肖锋 马玉春CH10 网络管理与网络安全（107页珍藏版）》请在金锄头文库上搜索。

1、计算机网络,第 10 章 网络管理与网络安全,第10章 网络管理与网络安全,10.1 网络管理的基本概念 10.2 简单网络管理协议 10.2.1 SNMP模型 10.2.2 SNMP协议 10.3 网络安全 10.3.1网络安全概述 10.3.2网络安全风险 10.3.3网络安全策略 10.4 数据加密和数字证书,10.4.1 数据加密技术 10.4.2 数字证书和公钥基础设施 10.5 防火墙技术 10.5.1防火墙的类型和结构 10.5.2防火墙的体系结构 10.6 VPN技术 10.7 网络攻击与入侵检测技术 10.7.1网络攻击方法 10.7.2入侵检测系统概述,10.8 网络病毒防

2、范技术 10.8.1网络病毒的特点及危害 10.8.2防病毒技术,10.1 网络管理的基本概念,网络管理的概念 网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。 网络管理的目标 网络应是有效的，能准确及时地传递信息。 网络应是可靠的，能稳定地运转。 网络要有开放性，能够接收多厂商生产的异种设备。 网络要有综合性，能够提供综合业务。 网络要有很高的安全性。 网络要有经济性，这种经济性不仅是对网络建设者、经营者而言，也是对用户而言的。,网络管理的任务 状态监测。通过状态监测，可以获得分析网络各种性能的原始数据。 数据收集。

3、要了解网络的状态，还需要将分散监测到的有用数据收集到一起。 状态分析。利用各种模型，根据收集到的监测数据对网络的状态进行分析、判断。 状态控制。根据状态分析的结果对网络采取控制措施。,网络管理的功能,配置管理，定义、识别、初始化、控制和监测被管对象功能的集合，包括以下几项： 定义被管对象，给每个被管对象分配名字。 定义用户组。 删除不需要的被管对象。 设置被管对象的初始值。 处理被管对象间的关系。 故障管理，实时监控网络中的故障，对故障原因做出论断，对故障进行排除，保证网络的正常运行，包括： 检测被管对象的差错，或接收差错报告。 创建和维护差错日志库，并对其进行分析。 进行诊断，以跟踪和识别差

4、错。 通过恢复措施，恢复正确的网络服务。 网络实时备份。,网络管理的功能（续）,计费管理，记录用户使用网络的情况并核收费用，包括以下几项： 易于更新且费率可变。 允许使用信用记账收费。 能根据用户组的不同进行不同的收费。 收费依据为“进程”或“服务”。 安全管理，保证网络不被非法使用，包括以下几项： 与安全措施相关的信息分发。 与安全相关的事件通知。 与安全相关的设施建设、控制和删除； 涉及安全服务的网络操作事件的记录、维护和查阅等日志管理工作。,网络管理的功能（续）,性能管理，保证在最小网络消耗和网络时延下，提供最大的可靠且连续的通信能力，包括以下几项： 从被管对象中收集与网络性能有关的数据

5、。 对收集到的数据进行统计分析，并对历史记录进行维护。 分析数据，以检测性能故障，生成报告。 预测网络的长期趋势。 改进网络的操作模式。,10.2 简单网络管理协议,简单网络管理协议（Simple Network Manage Protocol，SNMP）由Internet工程任务组织的研究小组为了解决Internet上的路由器管理问题而提出的。 可以在IP、IPX、AppleTalk、OSI以及其他用到的传输协议上使用。 是一系列网络管理规范的集合，包括协议本身、数据结构的定义和一些相关概念。,SNMP体系结构的设计目标,保证管理代理的软件成本尽可能低； 最大限度地保持远程管理的功能，以便充

6、分利用Internet的网络资源； 体系结构必须有扩充的余地； 保持SNMP的独立性，不依赖于具体的计算机、网关和网络传输协议。,10.2.1 SNMP模型,SNMP的体系结构分为SNMP管理（SNMP Manager）和SNMP代理（SNMP Agent）。 每个支持SNMP的网络设备中都包括一个代理，此代理随时记录网络设备的各种情况，网络管理程序再通过SNMP通信协议查询或修改代理所记录的信息。,SNMP的网络管理模型由3个重要元素组成，如图：,管理进程,SNMP协议,网络,管理信息库,被管理的网络设备都具有若干个变量来描述状态，这些变量称为对象 。网络中所有可供存取的对象存放在一个管理信

7、息库中。 Internet的MIB标准把管理对象分为9组，每组对象由各种变量描述。这9个组是system、interface、at、ip、icmp、tcp、udp、egp和snmp，其中at组和egp组已不再使用。其余大部分组的定义都移到各自的文档中。,管理信息库（续）,最初结点MIB管理的信息类型,管理信息库（续）,MIB中对象的变量类型大体可分为两种：简单变量和表格。 MIB只给出每个变量的逻辑定义，每个被管的网络设备所使用的内部数据结构可能与MIB的定义不同。 MIB的设计比较灵活，对象和网络管理通信协议相对独立，只要有需要就可以定义新的MIB变量并标准化，而不需要改变协议。 MIB只是

8、定义了管理对象的组织结构，使其他系统可以知道如何访问各个管理对象。对于代理如何收集MIB中管理对象的数据以及怎样使用这些数据，MIB不做规定。,管理信息结构（Structure of Management Information，SMI）,管理信息结构是一套规则，规定如何命名管理对象、如何定义管理对象。 所有的管理对象分层次地按树形结构进行组织。 某个对象的名称反映它在这个树形结构中的位置，标明了在MIB中通过怎样的路径可以访问到这个对象。 SMI采用OSI的抽象语法表示的OBJECT IDENTIFIER类型对MIB的管理对象进行命名。例如，下图中的ip对象命名为iso（1）org（3）do

9、d（6）internet（1）mgmt（2）mib-2（1）ip（4）或1.3.6.1.2.1.4。,10.2.2 SNMP协议,SNMP规定了5种协议数据单元（PDU），即SNMP报文，用来在管理进程和代理之间进行交换，包括以下几项： get-request操作：从代理进程处提取一个或多个进程值。 get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值。 set-request操作：设置代理进程一个或多个参数值。 get-response操作：返回一个或多个参数值。此操作是由代理进程发出的，是前面3种操作的响应操作。 trap操作：代理进程主动发出的报文，通知管理

10、进程有某些事情发生。,前3种操作是由管理进程向代理进程发出的，后两个操作是代理进程向管理进程发出的。在代理进程端使用161端口来接收get或set报文，在管理进程端使用162端口来结束trap报文。 SNMP这5种报文的操作如图：,get-request,get-request,get-next-request,get-response,set-request,get-response,trap,SNMP报文,SNMP报文,UDP数据报,IP数据报,Trap头部,变量绑定,SNMP报文（续）,Trap头部,变量绑定,写入本字段的值是版本号减1。对于SNMPv1，则应写入0。,SNMP报文（续）

11、,Trap头部,变量绑定,一个字符串，作为管理进程和代理进程之间的明文口令，通常使用的6个字符是“public”。,SNMP报文（续）,Trap头部,变量绑定,可填入04中的一个数字，其对应名称如表所示。,SNMP报文（续）,PDU类型,SNMP报文（续）,Trap头部,变量绑定,由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。请求标识符可使管理进程识别返回的响应报文对应于哪一个请求报文。,SNMP报文（续）,Trap头部,变量绑定,由代理进程应答时填写05中的

12、一个数，如表所示,差错状态描述,SNMP报文（续）,Trap头部,变量绑定,当出现noSuchName、badValue或readOnly差错时，由代理进程在应答时设置一个整数，指明有差错的变量在变量列表中的偏移。,SNMP报文（续）,Trap头部,变量绑定,填入trap报文的网络设备的对象标识符,SNMP报文（续）,Trap头部,变量绑定,此字段的名称是generic-trap，共分为7种类型，如下表所示。当使用上述类型2、3和5时，在报文后面变量部分的第一个变量应标识响应的接口。,SNMP报文（续）,trap的7种类型,SNMP报文（续）,Trap头部,变量绑定,如果trap类型为6，指明

13、代理自定义的时间，否则为0。,SNMP报文（续）,Trap头部,变量绑定,指明一个或多个变量的名和对应的值。在get和get-next报文中，变量的值应忽略。,10.3.1网络安全概述,网络的安全属性的主要表现： 保密性（Secrecy）：信息不泄露给非授权的用户、实体或进程。 完整性（Integrity）：信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性（Available）：可被授权实体访问并按需求使用的特性。 真实性（Authenticity）（认证性、不可抵赖性）：在信息交互过程中，确信参与者的真实同一性，所有参与者都不能否认和抵赖曾经完成的操作和承诺。 可控性（Co

14、ntrollable）：对信息的传播路径、范围及其内容所具有的控制能力。,网络安全的定义,从狭义的保护角度来看，指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，即指计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的愿意而遭到破坏、更改、泄露，保障系统能连续可靠地运行。 从广义的保护角度来看，凡是涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。它涵盖了与网络系统有关的所有硬件、软件、数据、管理、环境内容等内容。 我们通常所说的网络安全主要是指狭义的网络安全。,网络安全的衡量,D级 最低的安全级

15、别，对系统提供最小的安全防护。系统的访问控制没有限制，无需登录就可以访问数据。 C级 属于自由选择性安全保护，在设计上有自我保护和审计功能，可对主体行为进行审计与约束，其安全策略主要是自主存取控制，可实现数据保护确保非授权用户无法访问、对存取权限的传播进行控制及个人用户数据的安全管理。C级又分成C1和C2两个安全子级： C1级称为选择性保护级，可以实现自主安全保护，对用户和数据分离，保护或限制用户权限的传播。 C2：具有访问控制环境的权力，比C1的访问控制划分的更为详细，能够实现受控安全保护、个人账户管理、审计和资源隔离。,网络安全的衡量（续）,B级 能够提供强制性安全保护和多级安全，可以实现

16、自主存取控制和强制存取控制，通常包括所有对象都有标识、安全标识对普通用户是不可变更的以及相应的审计功能。B级包括B1、B2、B3三个安全子级： B1：称为标识安全保护，它是支持多级安全的第一个级别。这一级别可以使一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其权限。 B2：称为结构保护级别，要求所有对象都有安全标签以实现低级别的用户不能访问敏感信息。 B3：称为安全域保护级别，使用安装硬件的方式来加强域的安全,网络安全的衡量（续）,A级 目前的最高的安全级别。在A级中，安全的设计必须给出形式化设计说明和验证，需要有严格的数学推导过程，同时应该包含对加密信道和可任信分布的分析，即需要确保系统的部件来源有安全保证，以避免出现安全隐患。,10.3.2网络安全风险,非法访问和破坏（“黑客”攻击） 拒绝服务攻击 计算机病毒 特洛伊木马 破坏数据完整性 蠕虫 陷门 隐蔽通道 信息泄漏或丢失,10.3.3网络安全策略,安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。 网络安全策略包括对企业的各种网络服务的安全层次和用户