网络管理与网络安全课件

第十章网络管理与网络安全本章重点了解网络管理的功能了解SNMP的功能了解网络安全的基本概念10.1网络管理网络管理的功能计算机网络管理系统的功能是管理、监视和控制计算机网络，即对计算机网络进行配置，获取信息，监视网络性能，管理故障以及进行安全控制。分类第一类是计算机网络应用程序、用户帐号和存取权限的管理，属于与软件有关的计算机网络管理问题。第二类是对构成计算机网络的硬件的管理，包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。网络管理模型代理的管理模型。网络管理系统一般由4个部分组成。1．被管理设备2．网络管理信息库3．管理工作站4．网络管理协议网络管理模型管理者—代理模型网络管理的功能5个功能域：故障管理、配置管理、计费管理、性能管理和安全管理。1．故障管理:对网络中的问题或故障进行检测、隔离和纠正。（1）故障管理的过程:发现问题、找出故障的原因、尽量排除故障。（2）故障管理的主要功能维护、使用和检查差错日志，接受差错检测的通报并做出反应，在系统范围内限定跟踪差错，执行诊断测试序列，执行恢复动作以纠正差错2．配置管理发现和设置网络设备的过程。（1）获得关于当前网络配置的信息。（2）提供远程修改设备配置的手段。（3）存储数据、维护最新的设备清单并根据数据产生报告。3．计费管理测量和报告基于个人或团体用户的计费信息，分配资源并计算用户通过网络传输数据的费用。统计哪些用户、使用何信道、传输多少数据、访问什么资源等信息；统计不同线路和各类资源的利用情况。4．性能管理测量网络中硬件、软件和媒体的性能。测量的项目包括整体吞吐量、利用率、错误率或影响时间等。有监测和控制两大功能：监测功能实现对网络中的活动进行跟踪，控制功能实施相应调整来提高网络性能。5．安全管理控制对计算机网络中信息的访问过程。（1）支持身份鉴别，规定身份鉴别的过程。（2）控制和维护授权设施。（3）控制和维护访问权限。（4）支持密钥管理。（5）维护和检查安全日志。6．其他扩展管理（1）系统管理。计算机及其组件（2）服务管理。服务提供者及其设备（3）应用管理。监视和控制用户应用程序（4）众多其他资源的管理。包括数据库、存储设备、家庭电子设备及电子邮件等资源。网络管理的协议两大网络管理协议体系：基于TCP/IP网络的简单网络管理协议SNMP由国际标准化组织ISO制定的公共管理信息协议CMIP。简单网络管理协议SNMPSNMP代理和管理工作站通过SNMP协议中的标准消息进行通信，每个消息都是1个单独的数据报。SNMP使用用户数据报协议UDP作为传输协议，进行无连接操作。SNMP的管理模型管理信息库-MIBSNMP管理部件的管理关系SNMP在协议层次结构中的位置10.2网络安全计算机网络面临的安全性威胁ISO对OSI环境定义了以下几种威胁：（1）伪装（2）非法连接（3）非授权访问（4）拒绝服务（5）抵赖（6）信息泄露（7）通信量分析（8）无效信息流（9）篡改/破坏数据（10）推断或演绎信息（11）非法篡改程序计算机网络面临的安全攻击1．安全攻击的形式（1）中断（2）截取（3）修改（4）捏造

主动攻击与被动攻击主动攻击：对数据修改或创建，容易检测，很难完全预防。包括中断、修改和捏造被动攻击：偷听或监视传送，获得正在传送的信息，很难被检测到。

截获属于被动攻击计算机网络安全体系1989年ISO／TC97技术委员会制订了ISO7498－2国际标准从体系结构的观点，描述了实现OSI参考模型间安全通信必须提供的安全服务和安全机制，建立了OSI标准的安全体系结构框架。计算机网络安全体系5种可供选择的安全服务1.身份认证——双向认证2.访问控制——访问权限3.数据保密——数据加密4.数据完整性——修改、删除、插入、替换或重发5.防止否认——数字签名

安全体系结构模型OSI模型的层对应的安全服务模型的内容应用层身份认证、访问控制、数据保密、数据完整

表示层会话层传输层端到端的数据加密网络层防火墙、IP安全数据链路层相邻节点的数据加密物理层安全物理信道网络防火墙防火墙的概念设置在不同网络或安全域间的部件组合。可以是软件、硬件，或两者的结合可监测、限制、更改跨越防火墙的数据流，对外部屏蔽网络内部的信息、结构和运行状况，实现安全保护。逻辑上，是1个分离器、限制器，分析器，监控所隔离的网络间的任何活动防火墙的功能过滤掉不安全服务和非法用户。控制对特殊站点的访问。提供监视因特网安全和预警的方便端点防火墙的局限性不能防范不经由防火墙的攻击不能防止病毒软件或文件的传输不能防止数据驱动式攻击防火墙的分类根据防范方式和侧重点可分为包过滤、应用级网关和代理服务器类型；按照体系结构可分为屏蔽路由器、双穴主机网关、被屏蔽主机网关和被屏蔽子网等。可有不同组合实现防火墙的技术包过滤技术报文过滤器放在路由器上，对用户具有透明性，只对源地址、目的地址及端口进行检查不要求应用程序做任何改动，也不要求用户学习任何新知识对复杂的站点，规则库会变得很大实现防火墙的技术应用层网关控制对应用程序的访问3种基本类型：双穴主机网关、屏蔽主机网关、屏蔽子网网关用1台主机作堡垒主机或代理服务器

应用层网关双穴主机网关1台装两块网卡的堡垒主机做防火墙。网卡各与受保护网和外部网相连。其上运行防火墙软件，可转发应用程序，提供服务等易于安装，硬件设备简单，能保护网络与外界完全隔离，日志功能，发现入侵；系统特权泄露，安全系数恶意修改或堡垒主机瘫痪，防火墙即被破坏双穴主机网关屏蔽主机网关堡垒主机上运行防火墙软件，路由器只允许外部网络访问内部网络中的堡垒主机

屏蔽子网网关形成了1个独立的小型堡垒主机子网

代理服务将所有跨越防火墙的网络通信链路分为两段外部计算机的网络链路只能到达代理与内部计算机的网络链路的所有通信都通过代理完成对通信的数据包进行分析、注册登记、形成报告发现被攻击迹象时向网络管理员发出警报，并保存被攻击痕迹

10.3计算机网络病毒计算机病毒定义《中华人民共和国计算机信息系统安全保护条例》中的定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”计算机病毒的特点传染性，破坏性，隐蔽性，潜伏性计算机病毒的分类系统引导病毒