《组网技术与配置第2版第10章》由会员分享,可在线阅读,更多相关《组网技术与配置第2版第10章(40页珍藏版)》请在金锄头文库上搜索。
1、组网技术与配置(第组网技术与配置(第2 2版)(第版)(第1010章)章)高等院校计算机教育系列教材第10章 Intranet安全与管理 汪本标第10章 提要对防火墙技术进行分析和讨论,企业网主要是采用防火墙技术进行安全防护,防火墙的结构有哪些,各有什么特点,一般采用什么结构? 讨论了基于密码理论的加密技术,涉及到加密方法、数字签名、身份认证。进一步给出网络地址转换NAT在网络安全的应用。介绍企业网中的网络管理技术、网络管理模型和网络管理协议,讨论网管代理、网管工具、网管软件的的作用和特点。第10章 目录10.1 Intranet安全 10.2 网络地址转换NAT用于Intranet安全 10
2、.3 IIS为Intranet提供的安全性 10.4 Intranet管理 10.5 小 结 10.1 Intranet安全10.1.1 Intranet的安全策略 10.1.2网络安全的层次划分 10.1.3 Internet的网络安全层次 10.1.4 网络防火墙技术 10.1.5 防火墙的结构 10.1.6 企业网防火墙的方案 10.1.7 基于密码理论的技术 10.1.1 Intranet的安全策略用户身份认证,系统根据用户的私有信息确定用户身份的真实性,判断用户是否可以访问网络资源。 访问控制,是对不同的用户赋予不同的对网络的访问权限,控制用户对资源的访问。 数据加密,是一种主动的防
3、御策略,是保证网络资源安全的技术基础。 审计,能够记录用户对系统或网络资源的访问活动,记录内容保存在日志文件中,网络管理员查找问题时使用。 10.1.2 网络安全的层次划分国际标准ISO 7498-2定义了OSI安全体系结构的网络安全层次 10.1.3 Internet的网络安全层次网络安全的6个层次 10.1.4 网络防火墙技术防火墙所起的作用 限制访问者进入一个被严格控制的点 防止进攻者接近受到保护的设备 限制人们离开一个严格控制的点。从逻辑上说,防火墙是一个分离器,是一个限制器,是一个分析器。 防火墙通常由一套硬件设备(一个路由器,或路由器的组合,一台主机)和相应的软件模块组成。构成防火
4、墙的主要部分有:路由器;插有两块以上网卡的主机,具有两个以上的网络接口,一个和内部网络连接,另一个和外部网络连接;各种代理服务器主机。 防火墙一般分为两种基本类型包过滤型(packet filter),包过滤规则以IP包信息为基础,对IP源地址、IP目的地址、封装协议(TCP/UDP/ICMP/IP TUNNEL)、端口号等进行筛选,包过滤在OSI协议的网络层进行。 代理服务型(proxy service),代理服务通常由两部分组成:代理服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤不同的是,它使内部网与外部网之
5、间不存在直接的连接,同时还提供日志(Log)和审计服务。 代理服务器参数的设置方法要想访问代理服务器,要在浏览器的选项配置中设置代理服务器的参数,例如IP地址等内容。 右击桌面上IE图标,在弹出的菜单中选择【属性】,出现【Internet属性】对话框,选择【连接】选项卡。 单击【局域网设置】按钮,出现如图7.5所示对话框。输入代理服务器的IP地址和端口数据,单击【高级】按钮,出现如图7.6所示对话框。 对各种代理服务输入代理服务器的IP地址,并对不使用代理服务器的连接输入域名地址或IP地址,可以使用统配符“*”。依次单击【确定】按钮,完成代理服务设置。 防火墙技术需要解决的问题控制冗余信息造成
6、网络传输效率下降,实时性降低 防火墙对数据的内容缺少检测,从而对计算机病毒在内的数据驱动的攻击缺少有效的防范措施 仅仅解决了内部网络的安全访问控制问题,没有从根本上解决整个Internet网络上的传输信息安全问题,而这些只能依靠密码技术解决 无法防火墙以外的其它途径的攻击,例如,内网有一个没有限制的拨号连接存在,内网上的用户就可以直接通过PPP接入Internet 不能防止来自内网用户带来的威胁 10.1.5 防火墙的结构 1. 双宿主主机结构 2. 屏蔽主机结构 3. 屏蔽子网结构 4.壁垒主机/代理服务器构成的防火墙 10.1.6 企业网防火墙的方案企业网防火墙有二个部分:屏蔽路由器Cis
7、co 3600代理服务器-堡垒主机屏蔽路由器提供的安全特性有:基于接口的设置;与服务无关的过滤;与服务有关的过滤。 堡垒主机上安装防火墙软件,提供信息过滤、地址转换等功能,只允许特定的信息进入内部网络,提供协议过滤,可以实现数据加密和用户认证。 10.1.7 基于密码理论的技术1. 数据加密技术 密码体制可以分为两大类:对称密钥和非对称密钥。对称密钥体制的加密密钥和解密密钥相同,系统的保密性基于密钥的安全性,涉及的主要问题由两个:如何产生满足保密要求的密钥;如何将密钥安全可靠的分配给通信对方。包括密钥产生、分配、存储、销毁等和管理环节。典型的单钥算法有DES、IDEA等。 在非对称密钥体制中,
8、每个用户有一对密码,一个公开,称为公钥,一个保密,称为密钥。主要特点是将加密和解密分开。系统的安全性在于从公钥和密文推出明文和解密密钥在计算上是不可能的。与单钥体制不同的是,双钥体制不仅可以实现保密通信,而且可以用于对消息进行数字签字。在相同密钥长度的情况下,双钥体制的安全性比单钥体制更高。典型的双钥密码有RSA、ELGAMAL、RABIN等。 2. 数字签名技术数字签名在信息安全,包括身份认证、数据完整性、不可否认性、匿名性等方面有重要应用,也是实现密钥分配的重要工具。数字签名必须保证: 接收者能够核实发送者对信息的签名 发送者事后不能抵赖对信息的签名 接收者不能伪造对信息的签名 一个签字体
9、制包含两部分:签名算法和验证算法。签名算法或签名密钥是秘密的,只有签名人掌握。而验证算法应该公开,以便于进行验证。 3. 身份认证技术身份认证技术是证明某人或某物身份的过程,它于消息认证的区别在于:消息认证部提供时间性,而身份认证一般都是实时的。与数字签名一样,身份认证也分为基于共享密钥和基于公钥的。基于共享密钥是执行一种查询问答协议,发送方发送一个随机数给接收方,接收方解密后以一种特殊形式转换它并传回结果,实现认证。该协议的关键是如何建立共享密钥,应用在大多使用Diffie-Hellman密钥交换协议。 10.2 网络地址转换NAT用于Intranet安全10.2.1 网络地址转换的用途 1
10、0.2.2 Intranet的专用IP地址 10.2.3 用路由器实现网络地址转换 10.2.4 用Windows2000实现网络地址转换 10.2.5 NAT技术用于安全的特点 10.2.6 NAT安全模型及实现结构 10.2.1 网络地址转换的用途网络地址转换NAT(Network Address Translator)技术的用途有2个:一个是进行内网(Intranet)和外网(因特网Internet)之间的地址转换另一个是用于网络安全NAT最主要的用途是解决IP地址紧缺的问题,可以在只有一个向外合法IP地址的Intranet中实现地址复用,与因特网(外网)进行通信,提高IP地址的利用率N
11、AT技术可以由路由器或软件实现。 10.2.2 Intranet的专用IP地址Internet 的NIC(Network Information Center)为了组建Intranet(也称为内网)的方便,规定了Intranet专用IP地址的三个地址范围用于Intranet IP地址的使用: A类地址范围10.0.0.0-10.255.255.255 B类地址范围172.16.0.0-172.31.255.255 C类地址范围192.168.0.0-192.168.255.255 由于这些地址不是合法的IP地址,分配有这些IP地址的主机不能在因特网(外网)进行信息传输,解决这一技术问题的方法是
12、在Intranet(内网)中至少有一台主机具有合法的IP地址,将Intranet专用地址通过一个可以实现网络地址转换(NAT)的设备或软件转换为合法的IP地址,用这个合法的IP地址代理所有内网的专用网络地址。 10.2.3 用路由器实现网络地址转换用路由器实现网络地址转换(NAT)如图10.12所示,由三个子网组成 10.2.4 用Windows2000实现网络地址转换Windows2000提供两种方法解决Intranet IP地址转换,一种为Internet连接共享ICS(Internet Connection Sharing ),另一种为NAT,在使用时只能选择其中一种。 若Intrane
13、t上的其他计算机通过共享计算机与Internet通信,需要进行两步设置 10.2.5 NAT技术用于安全的特点把NAT技术集成在防火墙系统内,对进出Intranet的IP包源和目的地址进行转换,外网所接收到的数据包中的地址已经被网关改写过,外网中用户看到的只是一个虚拟的主机。NAT实现过滤规则的动态化,使得外网中的主机或使用者难以了解和掌握与之通信的内网主机的真实网络地址,由于NAT技术可以用路由器或软件实现,与其它安全措施相比,NAT技术实现比较安全,属于一种系统底层的功能,对网络运行的影响很小,它对TCP/IP提供透明的服务,对网络应用没有影响,通信双方感觉不到NAT网关的存在。 10.2
14、.6 NAT安全模型及实现结构在具体应用时,NAT技术和其他技术结合起来,如与IP包过滤技术结合的路由器,与Proxy结合的代理服务器,可以获得较优的防护效果。 10.3 IIS为Intranet提供的安全性10.3.1 IIS的五个安全元素 10.3.2 验证安全 10.3.3 访问控制 10.3.4 证书安全 10.3.6 审核安全 10.3.7 执行的标准 10.3.8 IIS中的安全性设置 10.3.9 IIS 安全检查表 10.3.10 为Web内容设置访问权限10.3.11设置计算机的访问权限 10.4 Intranet管理10.4.1 企业网中的网络管理技术 10.4.2 SNM
15、P管理模型 10.4.3 网管代理 10.4.4 网络管理站和SNMP规定的操作 10.4.5 网管工具的选取 10.4.6 网络管理软件的应用 10.4.7 实现系统管理的NET命令程序 10.4.8 用于网络管理的一些方法10.4.9 网络管理的发展 10.4.1 企业网中的网络管理技术主要使用SNMP(Simple Network Management Protocol)和CIMP(Common Management Information Protocol)协议。SNMP是与TCP/IP协议簇一起使用的,即应用在Internet中,SNMP于1988年发布,在RFC1155、RFC11
16、57中定义,是事实上的计算机网络管理标准。 SNMP的应用由一系列协议组成,包括三个部分: 管理信息库MIB,在RFC 1212中说明。管理信息结构SMI,在RFC 1155中说明。 SNMP协议。 网络管理功能主要包括 差错管理,涉及差错检测、差错定位、差错改正。管理系统定时查询网络设备的状态,以文本和图形方式把发现的问题显示出来或打印出来。配置管理,是网络管理的重要功能,对网络环境的参数进行设置,也只有在有权配置整个网络时,才可能正确地管理该网络。计费,对网络中用户使用网络的资源进行收费管理,可以根据通信量、通信时间规定收费标准,并定期公布计费单。计费管理软件可以放在一个特定的服务器上。性
17、能管理,包括网络性能和系统性能,网络管理实用系统应都能管理网络性能,例如某条线路的利用率,某各接点的分组排队情况等。安全管理,对网络系统进行权限设置和管理,管理用户登录到特定的路由器或其它互连设备时进行的各种操作,可以给出警报检测和提示功能,对重要信息数据的访问采用防火墙技术。 网络资源管理,对域名注册、网络IP地址分配、代理服务器登录的管理。 SNMP的设计目标 尽可能简单,使研制网管代理的软件成本低、周期短。支持远程管理,充分利用Internet资源。协议有扩充的余地。保持SNMP的独立性,不依赖具体的硬件,不依赖具体的传输层协议。 SNMPv21996年给出SNMPv2,在RFC 190
18、1-1908中描述,解决了前两个问题。Internet任务工程组IETF已经成立制定SNMPv3的工作组W- SNMPv3,SNMPv3的目的是解决安全问题,具有三种功能:鉴别。加密。存取控制。 10.4.2 SNMP管理模型对网络及设备的管理有三种方式:本地终端方式、远程telnet命令方式和基于SNMP(Simple Network Management Protocol)的代理服务器方式。 10.4.3 网管代理网管代理存在以下设备中: 主机,如工作站、服务器等。网络交换设备,如路由器,ATM交换机、快速以太网交换机等。外部设备,如打印机、图象输入输出设备等。调制解调器、桥接器及传统的网
19、络交换机等。 10.4.4 网络管理站和SNMP规定的操作 SNMP规定的操作有4种: 请求搜索和获取指定的对象get。请求获取指定对象的下一个对象get_next。修改和设置指定的对象set。发出异常指令trap。 10.4.5 网管工具的选取应考虑以下几点: 能够对不同拓扑结构的网络,对网络中的不同物理和逻辑部分进行监控与分析。可以和其它的网管平台兼容,能运行在各种开放式操作系统之上。可以方便的对所管网络系统进行扩展、配置、维护,进行动态故障排除。允许进行异地操作网管系统,就象在本地操作一样。高安全性和自动报警,自动生成各种记录文件,随时检测网络上的无授权操作情况,报告网管人员。在新的版本
20、研制出后,原来的网管工具可以平稳、方便的升级。允许用户在一定范围进行二次开发。具有友好、清晰、简便的用户界面,用户界面能够提供容错,提供物理和逻辑视图显示。10.4.6 网络管理软件的应用1. 3COM Tanscend Enterprise Manager 应用程序层包含的应用软件有:Tanscend Central、Enterprise VLAN Manager、Network Admin Tools、Device View等。网络管理软件可以对整个网络进行监视、配置和维护。硬件探测器及软件代理嵌入到各种网络产品中,3COM Tanscend网管软件与硬件探测器及软件代理配合起来,网管软件
21、通过分析收集来的数据,通过查看这些数据,分析和判断网络的运行状态,进一步通过网管软件进行调整和设置。 网络管理系统平台(Management Platform)Tanscend网管软件使用基于工业标准的UNIX和基于Windows的SNMP管理平台HP Openview Workgroup Node Manager,向高层网络管理程序提供服务。支持IP和IPX自动搜索功能,给出网络拓扑结构和网络设备的图示符号,用图形化标识网络的运行状态 2. Cisco Works 2000Cisco Works网管软件具有友好的图形用户界面和综合的网络管理功能使用Cisco Works网管软件,管理人员可以
22、获得Cisco的路由器、交换机、接入服务器的动态变化情况,得到统计数字和图形化的网络配置信息。 Cisco Works提供的主要功能允许利用邻近的路由器远程地安装新的路由器,对Cisco的网际产品提供广泛的动态状态、统计和配置信息,直观地以图形方式显示Cisco的设备,以及基本的故障排除信息。审计和记录配置文件的改变情况,探测出网络上非授权配置改变方便网络中相似路由器的配置。记录某一特定设备的联系人的详细信息。查看一个设备的状态信息,包括缓冲内存,CPU的负载,可用内存,正使用的接口和协议。收集网络的历史数据,分析网络的流量和性能趋势,并以图形方式显示出来。 建立授权检查程序以保护Cisco
23、Works应用和网络设备不受非授权用户的访问。 10.4.7 实现系统管理的NET命令程序1. NET命令程序的功用 2. NET命令的基本用法 10.4.8 用于网络管理的一些方法1. 其它常用网络测试工具 2. 使用防护软件 3. 停止对注册表的修改 4. 数据备份 5. 网络监视和管理 6. 日志文件和事件查看 10.4.9 网络管理的发展现有的网管工具存在的问题有: SNMP管理模式的认证方式过于简单,本身存在安全问题。SNMP协议是基于无连接的,被管设备在发生故障后,由SNMP的trap功能获得的检测信息,有可能丢失或需较长时间才能锁定故障设备。MIB中所定义的管理对象无法满足目前网
24、络发展对网络管理的要求。不同厂商的网管工具缺乏兼容性,尤其是在图形界面。缺乏适宜中、小型企业网络的网管工具,缺少支持网管人员进行二次开发的工具。 网络管理技术发展将Java技术融进网络管理中,SUN公司给出了一组用于网络管理的Java API.网管系统或平台广泛支持的第三方产品。网管系统将更加智能化,不仅具有关于网络的高层次知识,还要有一些推理能力。网管系统能够同时管理网络和计算机系统。网管系统将逐步捆绑进系统软件中,二者可以一起工作。网管系统全面支持Web浏览器。任何拥有浏览器的用户都可以查看网管系统提供的信息,同时可以修改一些简单的配置,逐步实现分布式网络管理。当然为安全起见,网管系统不可能允许Web浏览器用户访问所有的网管工具。网管工具的汉化,对国外厂商网管软件提供的英文图形界面进行汉化。
