网络管理和网络安全.ppt

第7章 网络管理和网络安全,7.1 网络管理的安装配置,网络是新经济时代的基础设施，信息的传递、办公、商务、教育、娱乐等各种活动都可以通过网络完成。在计算机网络的质量体系中，网络管理是其中一个关键环节，正如一个管家对于大家庭生活的重要，网络管理的质量也会直接影响网络的运行质量。网络管理可以借助于相应的管理软件与硬件来实现网络的安全，保证用户能够安全、方便地使用网络，实现网络的共享。,7.1.1 网络管理的基本概念,网络管理是指对通信网上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。也就是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务。,1. 管理的产生与发展,网络管理很早就有，却一直没有得到应有的重视。这是因为当时的网络一是规模较小，二来复杂性不高，一个简单的网络管理系统就可以满足网络正常管理的需要，因而对其研究较少。但随着网络的发展，规模逐渐增大，复杂性增加，以前的网络管理技术已不能适应网络的迅速发展。,2. 网络管理的功能,在osi中定义了5个管理功能。它们分别是：配置管理、故障管理、性能管理、安全管理和财务管理。配置管理的目的是掌握和控制网络的状态，包括网络内各个设备的状态及其连接关系。,3. 网络管理的分类,网络管理分为两类。第一类是网络应用程序、文件的使用和存取权限(许可)的管理。它们都是与软件有关的网络管理问题。 网络管理的第二类是由构成网络的硬件所组成。这一类包括工作站、服务器、网卡、路由器、网桥和集线器等网络硬件设备。,4. 网络管理的作用,网络一旦出现重大故障，所造成的损失是无法用金钱来衡量的。网络管理做得好，企业则可以确保生产和业务不中断，有助于提高工作效率和企业的竞争力。,7.1.2 网络管理模型,网络管理模型规定了网络管理系统的实现方式，一般说来，不存在最佳的网络管理模型，应根据具体的网络环境合理地选择，因此有必要对网络管理的模型做深入研究。 从网络管理系统的组成来说，现代计算机网络的网络管理系统基本上由4个部分组成：多个被管对象代理(agents)，至少一个网络管理器(network manager)或称网管工作站，一种通用的网络管理协议(network management protocol)，以及一个或多个管理信息库(mib，management information base)。 用户主机和网络互连设备等所有被管理的网络设备称为被管对象(managed object)，驻留在这些被管对象上，配合网络管理的处理实体被称为被管对象代理。实施管理的处理实体被称为管理器(manager)，管理器驻留在网管工作站上。管理器和代理通过交换管理信息进行工作。这种信息交换通过一种网络管理协议来实现。管理信息分别存储在被管对象和管理工作站上的管理信息库中。 网络管理协议与管理信息库中的管理信息描述了所有被管对象及其属性值，使得网络管理的全部工作就是读取(get，对应于监视)或设置(set，对应于控制)这些对象信息及其属性值变量。,7.1.3 简单网络管理协议(snmp),简单网络管理协议(snmp，simple network management protocol)是由互联网工程任务组(ietf，internet engineering task force)定义的一套网络管理协议。该协议基于简单网关监视协议(sgmp，simple gateway monitor protocol)。利用snmp，一个管理工作站可以远程管理所有支持这种协议的网络设备，包括监视网络状态、修改网络设备配置、接收网络事件警告等。,1. snmp基本原理 snmp采用了客户机/服务器/server模型的特殊形式：客户机/服务器模型。对网络的管理与维护是通过管理工作站与snmp代理间的交互工作完成的。每个snmp从代理负责回答snmp管理工作站(主代理)关于mib定义信息的各种查询。snmp代理和管理站通过snmp协议中的标准消息进行通信，每个消息都是一个单独的数据报。snmp使用udp(用户数据报协议)作为第四层协议(传输协议)，进行无连接操作。snmp消息报文包含两个部分：snmp报头和协议数据单元pdu。,2. 管理信息库mib ietf规定的管理信息库mib中定义了可访问的网络设备及其属性，由对象识别符(oid：object identifier)惟一指定。mib是一个树形结构，snmp协议消息通过遍历mib树形目录中的节点来访问网络中的设备。,3. snmp协议的特点 (1) 相对于其他种类的网络管理体系或管理协议而言，snmp易于实现。 (2) snmp协议是开放的免费产品。 (4) snmp协议可用于控制各种设备。 (3) snmp协议有很多详细的文档资料(例如rfc，以及其他的一些文章、说明书等)，网络业界对这个协议也有着较深入的理解，这些都是snmp协议近一步发展和改进的基础。,4. windows 2000下，snmp协议的安装与配置 1) snmp协议的安装 (1) 打开windows 组件向导，如图所示。,(2) 在“组件”列表框中，选“管理和监视工具”(但不选中或清除它的复选框)，然后单击“详细信息”按钮，如图所示。,(3) 选中“简单网络管理协议”复选框，然后单击“确定”按钮，如图所示。,(4) 单击“下一步”按钮。系统自动添加snmp协议(但需要系统盘)，如图所示。,2) snmp协议的配置 (1) 打开计算机管理。 (2) 在控制台树中，单击“服务”选项。 (3) 在详细信息窗格中，单击snmp service选项，如图所示。,(4) 选择“操作”|“属性”命令，出现如图所示的对话框。,(5) 如果在验证失败时捕获发送的消息，则在“安全”选项卡中选中“发送身份验证陷阱”复选框。 (6) 在“接受团体名称”选项组下单击“添加”按钮，如图所示,(7) 在“团体权利”下拉列表框中选择该主机的访问权限级别，以便处理来自所选团体的snmp请求。要查看对话框项目的描述，请右击项目，然后选择“这是什么？”。 (8) 在“团体名称”下拉列表框中，输入区分大小写的团体名称，然后单击“添加”按钮，如图7.8所示。,(9) 在“snmp service属性”对话框中，指定是否从主机接受snmp数据报，如图所示。,7.1.4 常见网络管理系统介绍,1. 以主机厂商为主开发的网络管理系统工具,2. 以网络厂商为主开发的网络管理系统工具,3. 专业软件开发商出品的网络管理系统工具,7.2 网络安全概述,网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。具体而言，网络安全要：保护个人隐私；控制对网络资源的访问；保证商业秘密在网络上传输的保密性，完整性，真实性及不可抵赖；控制不健康的内容或危害社会稳定的言论；避免国家机密泄漏等。,7.2.1 网络安全的重要性,网络存在的问题主要有以下两类。 1. 病毒的侵入和黑客的攻击,2. 网络管理不健全造成的安全漏洞,7.2.2 网络安全策略的设计,1. 什么是安全策略,安全策略是一种处理安全问题的管理策略描述。策略要能对某个安全主题进行描述，探讨其必要性和重要性，解释清楚哪些东西该做，哪些东西不该做。 安全策略应该简明，易于实现、易于理解。安全策略必须遵循三个基本概念：确定性、完整性和有效性。 另外，安全策略还可能包含一些表面上和上述三个安全概念风马牛不相及的地方。因为组织的整体安全是十分重要的，不能忽略小的方面而影响整体的安全。这包括对设备、数据、e-mail、internet等可接受的使用策略。,2. 安全策略的设计,安全策略的设计与开发是提高企业网络安全状态的第一步。,(1) 网络基本系统结构信息的收集 (2) 对现存的策略检查与评估 (3) 需求评估 (4) 文档设计,3. 信息安全级别,(1) a级：公共数据/非分类信息 (2) b级：内部数据 (3) c级：秘密信息 (4) d级：机密信息/数据,7.3 防火墙技术,防火墙成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络(如internet)之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。,7.3.1 防火墙基础,防火墙(firewall)就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。,1. 防火墙的功能,(1) 过滤不安全的服务，firewall可以极大地提高网络安全和减少子网中主机的风险。 (2) 允许网络管理员定义一个中心点来防止非法用户进入内部网络，起到保护的作用。 (3) 可以利用网络地址变换nat(network address translation)技术，将有限的ip地址动态或静态地与内部的ip地址对应起来，用来缓解地址空间短缺的问题。 (4) 可以用来审计和记录internet使用费用的情况。网络管理员可以在此向管理部门提供internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。,(5) 可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署www服务器和ftp服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区(dmz)。 (6) firewall对企业内部网实现集中的安全管理，在firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。,2. 防火墙的分类,大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙(应用层网关防火墙)。前者以以色列的checkpoint防火墙和cisco公司的pix防火墙为代表，后者以美国nai公司的gauntlet防火墙为代表。,7.3.2 防火墙的实现,建立一个条理清楚的防火墙规则集是实现防火墙产品安全的非常关键的一环。安全、可靠防火墙的实现取决于以下的过程。 1. 制定安全策略，搭建安全体系结构 2. 制定规则的合理次序 3. 注释详细可以帮助理解 4. 做好日志工作,7.3.3 常见的防火墙产品,1. 瑞星个人防火墙2005 2. 北信源内网防火墙 3. 北京天融信公司网络卫士防火墙 4. checkpoint firewall-1,7.3.4 实训16：防火墙的安装配置,实训目的： 学会对防火墙进行基本配置，掌握防火墙的安装与简单使用。 实训内容： 防火墙硬件的安装与配置、防火墙软件的安装与配置。 实训环境： 在安装防火墙之前，应当安排必要的时间，为准备事项作好预期的准备工作。目的就是为了通过合理的操作来支持和实现用户的安全目标。,1. 防火墙硬件安装,防火墙硬件的安装步骤参考如下。 (1) 中网防火墙设备可以放置在桌面上，也可以安装在一个标准的19英寸机架上。 (2) 产品包中提供的电源电缆连接中网防火墙和电源插座 (3) 网口连线 (4) 打开连接中网防火墙的电源。 (5) 在按照上述安装步骤安装好硬件后，就可以配置中网防火墙了。,2. 软件安装,(1) 系统需求 win 98或win 2000操作系统并安装ie 4.0/netscape 6.0以上浏览器。 (2) 防火墙启动 准备一台用于对防火墙进行初始配置的pc，需安装windows 98或windows 2000操作系统并安装ie 4.0/netscape 6.0以上版本的浏览器。 物理连接：使用防火墙包装中附带的级连线将准备用来配置防火墙的pc的网卡接口和防火墙端口2连接起来。 pc设置：设置pc的ip地址为“”，掩码为“”，网关为“”。 进入防火墙配置界面，在准备进行防火墙配置的pc上打开浏览器，输入如下地址:8181/，输入默认用户名和口令“admin/nc1234”进入管理界面。,3. 安装步骤 (1) 用交叉线将pc与网防火墙的内网端口相接(默认使用lan1)。 (2) 将pc的ip地址改写为与防火墙内网端口在相同网段内的ip地址(默认的内网1的ip是：，掩码为：)。 (3) 打开浏览器输入防火墙的管理url，按enter键继续。 (4) 弹出的安全警告如图所示，单击“是”按钮。,(5) 弹出对话框，输入用户名和密码(默认用户名为：admin，默认密码：nc1234)，单击“确定”按钮，如图所示。,(6) 进入web管理界面，如果是第一次启动防火墙，必须先做快速配置后才能正常使用，如图所示。,(7) 安装防火墙日志服务器系统。在需要安装软件(防火墙日志服务器系统)的机