计算机网络安全及管理技术知识课件

计算机网络安全和防火墙技术计算机网络安全：是指通过采取各种技术的和管理的措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。计算机网络安全和防火墙技术计算机网络安全：是指通过采取各种技1⑵计算机安全的主要内容计算机硬件的安全性

软件安全性

数据安全性

计算机运行安全性⑵计算机安全的主要内容计算机硬件的安全性

软件安全性2⑶破坏计算机安全的途径窃取计算机用户口令、上机或通过网络非法访问数据、复制、删改软件和数据。通过磁盘、网络等传播计算机病毒。通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。偷窃存储有重要数据的存储介质，如光盘、磁带、硬盘、软盘等。“黑客”通过网络非法侵入计算机系统。⑶破坏计算机安全的途径窃取计算机用户口令、上机或通过网络非32.网络安全基础⑴网络安全的内涵

信息的保密性（Security）、

完整性（Integrity）、

可靠性（Reliability）、

实用性（Utility）、

真实性（Authenticity）、

占有性（Possession）。2.网络安全基础⑴网络安全的内涵

4⑵可能受到威胁的网络资源硬件设备，如服务器、交换机、路由器、集线器和存储设备等；软件，如操作系统、应用软件、开发工具等；数据或信息。⑵可能受到威胁的网络资源硬件设备，如服务器、交换机、路由器5⑶网络安全问题日益突出的主要原因：攻击计算机网络安全的主要途径通过计算机辐射、接线头、传输线路截获信息。绕过防火墙和用户口令而进入网络，获取信息或修改数据。过截获窃听破译数据。“黑客”通过电话网络尝试进入计算机网络。向计算机网络注入“病毒”，造成网络瘫痪。⑶网络安全问题日益突出的主要原因：攻击计算机网络安全的主要6⑸计算机网络面临的安全性威胁截获：攻击者从网络上窃听他人的通信内容中断：攻击者有意中断他人在网络上的通信篡改：攻击者故意篡改网络上传送的报文伪造：攻击者伪造信息在网络上传送⑸计算机网络面临的安全性威胁截获：攻击者从网络上窃听他人的7主动攻击与被动攻击主动攻击：指攻击者对某个连接的中的PDU进行各种处理（更改、删除、迟延、复制、伪造等。）。可检测。主动攻击分为四种：1.更改报文流2.拒绝报文服务3.伪造连接初始化4.恶意程序主动攻击与被动攻击主动攻击：指攻击者对某个连接的中的PDU进8恶意程序蠕虫病毒特洛伊木马（Trojanhorse）简称为特洛伊（Trojan）逻辑炸弹恶意程序蠕虫病毒9计算机网络安全的主要内容1.保密性2.安全协议的设计3.接入控制以上计算机网络安全的内容都与密码技术紧密相关。计算机网络安全的主要内容1.保密性10加密系统的组成 待加密的报文，也称明文。加密后的报文，也称密文。加密、解密装置称算法。加密和解密的密钥，它可以是数字，词汇或者语句。加密系统的组成 待加密的报文，也称明文。11密码通信系统的模型图6.1密码通信系统的模型密码通信系统的模型图6.1密码通信系统的模型12密码学与密码体制 1．常规密钥密码体制（1）常规密钥密码体制的加密方式：序列（代替）密码、分组（置换）密码。（2）常规密钥密码体制的特点：对称密钥密码系统具有加解密速度快、使用的加密算法比较简便高效、密钥简短。密码学与密码体制 1．常规密钥密码体制133．数据加密的实现方式（1）软件加密一般是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送出去，到达接收方后，由用户用相应的解密软件进行解密，还原成明文。（2）硬件加密可以采用标准的网络管理协议（比如SNMP、CMIP等）来进行管理，也可以采用统一的自定义网络管理协议进行管理。3．数据加密的实现方式14DES算法 DES是对称密钥加密的算法，DES算法大致可以分成四个部分：（1）初始置换（2）迭代过程（3）逆置换和（4）子密钥生成DES算法 DES是对称密钥加密的算法，DES算法大致可以15IDEA（国际数据加密算法）算法IDEA算法可用于加密和解密。主要有三种运算：异或、模加、模乘，容易用软件和硬件来实现。IDEA的速度：现在IDEA的软件实现同DES的速度一样块。IDEA的密码安全分析：IDEA的密钥长度是128位，是DES的密钥长度的两倍。在穷举攻击的情况下，IDEA将需要经过2128次加密才能恢复出密钥。IDEA（国际数据加密算法）算法IDEA算法可用于加密和解密16网络管理计算机网络管理功能

按照OSI管理框架，把网络管理任务分为： 1.安全管理

2.配置管理

3.性能管理

4.故障管理

5.计费管理网络管理计算机网络管理功能

按照OSI管理框架17配置管理目的配置管理的目的是为了实现某个特定功能或使网络性能达到最佳。配置管理目的配置管理的目的是为了实现某个特定功能或使网络性能18配置管理监控对象（１）

网络资源及其活动状态；（２）

网络资源之间的关系；（３）

新资源的引入和旧资源的删除。配置管理监控对象（１）

网络资源及其活动状态；19配置管理操作（１）

鉴别被管对象，标识被管对象；（２）

设置被管对象的参数；（３）

改变被管对象的操作特性，报告被管对象的状态变化；（４）

删除被管对象。配置管理操作（１）

鉴别被管对象，标识被管对象；20性能管理的组成

典型的网络性能管理分成性能监测和网络控制两部分。性能管理以网络性能为准则收集、分析和调整被管对象的状态，其目的是保证网络可以提供可靠、连续的通信能力并使用最少的网络资源和具有最少的时延。性能管理的组成

典型的网络性能管理分成性能监测和网络控制两部21性能管理的功能（１）从被管对象中收集与性能有关的数据；（２）被管对象的性能统计，与性能有关的历史数据的产生、记录和维护；（３）分析当前统计数据以检测性能故障，产生性能告警、报告性能事件；（４）将当前统计数据的分析结果与历史模型比较以预测性能的长期变化；性能管理的功能（１）从被管对象中收集与性能有关的数据；22（5）形成改进性能评价准则和性能门限；（6）以保证网络的性能为目的，对被管对象和被管对象组的控制。（5）形成改进性能评价准则和性能门限；23故障管理的目的故障管理是网络管理功能中与检测设备故障、故障设备的诊断、故障设备的恢复或故障排除等措施有关的网络管理功能，其目的是保证网络能够提供连续、可靠的服务。故障管理的目的故障管理是网络管理功能中与检测设备故障、故障设24故障管理的功能（１）检测被管对象的差错，或接收被管对象的差错事件通报；（２）当存在空闲设备或迂回路由时，提供新的网络资源用于服务；（３）创建和维护差错日志库，并对差错日志进行分析；（４）进行诊断和测试，以追踪和确定故障位置、故障性质；（５）通过资源更换或维护，以及其他恢复措施使其重新开始服务。故障管理的功能（１）检测被管对象的差错，或接收被管对象的差25计费管理的目的计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理者还可以规定用户可使用的最大费用，从而控制用户过多占用和使用网络资源。计费管理的目的计费管理记录网络资源的使用，目的是控制和监测网26计费管理的功能（１）

统计网络的利用率等效益数据，以使网络管理人员确定不同时期和时间段的费率；（２）

根据用户使用的特定业务在若干用户之间公平、合理地分摊费用；（３）

允许采用信用记帐方式收取费用，包括提拱有关资源使用的帐单审查；（４）

当多个资源同时用来提供一项服务时，能计算各个资源的费用。计费管理的功能（１）

统计网络的利用率等效益数据，以使27安全管理的目的（１）

网络数据的私有性（保护网络数据不被侵入者非法获取）；（２）

授权（防止侵入者在网络上发送错误信息）；（３）

访问控制（控制对网络资源的访问）。安全管理的目的（１）

网络数据的私有性（保护网络数据不被28安全管理的功能（１）

创建、删除，控制安全服务和机制；（２）

与安全相关信息的分发；（３）

与安全相关事件的通报。网络管理功能、系统管理功能与其他管理协议和服务之间的关系如图15-1所示。安全管理的功能（１）

创建、删除，控制安全服务和机制；29图系统管理域与系统管理功能之间的关系图系统管理域与系统管理功能之间的关系30SNMP设计原则SNMP的设计原则是简单性(Simplicity)和扩展性(Extensibility)。扩展性主要是通过将管理信息模型与协议、被管理对象的详细规定(MIB)分离实现；简单性则是通过信息类型的限制、请求/响应机制而取得。SNMP设计原则SNMP的设计原则是简单性(Simplici31图15-4SNMP管理模型SNMP的管理模型图15-4SNMP管理模型SNMP的管理模型32SNMP信息模型

所有对象类型都用下列模板定义：

Descriptor:唯一的文本（可打印字符串名

ObjectId:ISO对象标识符

Syntax:语法

Definition:文本定义

Access:只读、只写、读写或不可存取

Status:状态（mandatory,optional,orobsolete）SNMP信息模型所有对象类型都用下列模板定义：33SNMP共同体使用SNMP进行通信的实体被称作SNMP应用实体。SNMP代理与一系列SNMP应用实体的集合被称作SNMP共同体(SNMPCommunity)。SNMP共同体使用SNMP进行通信的实体被称作SNMP应用实34SNMP鉴别机制鉴别报文在SNMP共同体中是否可靠的规则集合被称为鉴别机制(AuthenticationScheme)。利用一种或几种鉴别机制鉴别一个SNMP报文是否可靠的访问被称为鉴别访问(AuthenticationService)。SNMP鉴别机制鉴别报文在SNMP共同体中是否可靠的规则集合35SNMP委托代理(ProxyAgent)

在一种SNMP访问策略中，SNMP代理所在的网络元素上并不包含共同体描述表所指定的MIB视图，则该访问策略被称为SNMP委托访问策略。委托访问策略中的SNMP代理被称为SNMP委托代理。如图15-6所示。SNMP委托代理(ProxyAgent)在一种SNMP访36图15-6SNMP委托代理的应用图15-6SNMP委托代理的应用372.简单网络管理协议SNMP的工作原理2.简单网络管理协议SNMP的工作原理382.SNMP的弱点

没有伸缩型，在大型网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤的情况发生。它将收集数据的负担加在网络管理控制台上，在管理几个网段时也许能轻松的收集网络信息，当它们监控许多网段时，就非常困难了。2.SNMP的弱点

396.网络管理工具CiscoWorksCiscoWorks是一个基于SNMP的网络管理应用系统，它能集成到几种流行的网络管理平台，如Sun工作站（SunOS和Solaris）上的SunNetManager，Sun或HP系统上的HPOpenView，以及IBMNetViewforAIX。CiscoWorks建立在工业标准平台上，能监控设备状态，方便地维护配置信息，查找故障。CiscoWorks提供以下主要功能：

自动安装管理；配置管理；

设备管理；设备监控；设备轮询； 通用命令管理器和通用命令调度器； 性能监控；离线网络分析；路径工具；

安全管理；实时图形。6.网络管理工具CiscoWorksCiscoWorks40计算机网络安全和防火墙技术计算机网络安全：是指通过采取各种技术的和管理的措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。计算机网络安全和防火墙技术计算机网络安全：是指通过采取各种技41⑵计算机安全的主要内容计算机硬件的安全性

软件安全性

数据安全性

计算机运行安全性⑵计算机安全的主要内容计算机硬件的安全性

软件安全性42⑶破坏计算机安全的途径窃取计算机用户口令、上机或通过网络非法访问数据、复制、删改软件和数据。通过磁盘、网络等传播计算机病毒。通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。偷窃存储有重要数据的存储介质，如光盘、磁带、硬盘、软盘等。“黑客”通过网络非法侵入计算机系统。⑶破坏计算机安全的途径窃取计算机用户口令、上机或通过网络非432.网络安全基础⑴网络安全的内涵

信息的保密性（Security）、

完整性（Integrity）、

可靠性（Reliability）、

实用性（Utility）、

真实性（Authenticity）、

占有性（Possession）。2.网络安全基础⑴网络安全的内涵

44⑵可能受到威胁的网络资源硬件设备，如服务器、交换机、路由器、集线器和存储设备等；软件，如操作系统、应用软件、开发工具等；数据或信息。⑵可能受到威胁的网络资源硬件设备，如服务器、交换机、路由器45⑶网络安全问题日益突出的主要原因：攻击计算机网络安全的主要途径通过计算机辐射、接线头、传输线路截获信息。绕过防火墙和用户口令而进入网络，获取信息或修改数据。过截获窃听破译数据。“黑客”通过电话网络尝试进入计算机网络。向计算机网络注入“病毒”，造成网络瘫痪。⑶网络安全问题日益突出的主要原因：攻击计算机网络安全的主要46⑸计算机网络面临的安全性威胁截获：攻击者从网络上窃听他人的通信内容中断：攻击者有意中断他人在网络上的通信篡改：攻击者故意篡改网络上传送的报文伪造：攻击者伪造信息在网络上传送⑸计算机网络面临的安全性威胁截获：攻击者从网络上窃听他人的47主动攻击与被动攻击主动攻击：指攻击者对某个连接的中的PDU进行各种处理（更改、删除、迟延、复制、伪造等。）。可检测。主动攻击分为四种：1.更改报文流2.拒绝报文服务3.伪造连接初始化4.恶意程序主动攻击与被动攻击主动攻击：指攻击者对某个连接的中的PDU进48恶意程序蠕虫病毒特洛伊木马（Trojanhorse）简称为特洛伊（Trojan）逻辑炸弹恶意程序蠕虫病毒49计算机网络安全的主要内容1.保密性2.安全协议的设计3.接入控制以上计算机网络安全的内容都与密码技术紧密相关。计算机网络安全的主要内容1.保密性50加密系统的组成 待加密的报文，也称明文。加密后的报文，也称密文。加密、解密装置称算法。加密和解密的密钥，它可以是数字，词汇或者语句。加密系统的组成 待加密的报文，也称明文。51密码通信系统的模型图6.1密码通信系统的模型密码通信系统的模型图6.1密码通信系统的模型52密码学与密码体制 1．常规密钥密码体制（1）常规密钥密码体制的加密方式：序列（代替）密码、分组（置换）密码。（2）常规密钥密码体制的特点：对称密钥密码系统具有加解密速度快、使用的加密算法比较简便高效、密钥简短。密码学与密码体制 1．常规密钥密码体制533．数据加密的实现方式（1）软件加密一般是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送出去，到达接收方后，由用户用相应的解密软件进行解密，还原成明文。（2）硬件加密可以采用标准的网络管理协议（比如SNMP、CMIP等）来进行管理，也可以采用统一的自定义网络管理协议进行管理。3．数据加密的实现方式54DES算法 DES是对称密钥加密的算法，DES算法大致可以分成四个部分：（1）初始置换（2）迭代过程（3）逆置换和（4）子密钥生成DES算法 DES是对称密钥加密的算法，DES算法大致可以55IDEA（国际数据加密算法）算法IDEA算法可用于加密和解密。主要有三种运算：异或、模加、模乘，容易用软件和硬件来实现。IDEA的速度：现在IDEA的软件实现同DES的速度一样块。IDEA的密码安全分析：IDEA的密钥长度是128位，是DES的密钥长度的两倍。在穷举攻击的情况下，IDEA将需要经过2128次加密才能恢复出密钥。IDEA（国际数据加密算法）算法IDEA算法可用于加密和解密56网络管理计算机网络管理功能

按照OSI管理框架，把网络管理任务分为： 1.安全管理

2.配置管理

3.性能管理

4.故障管理

5.计费管理网络管理计算机网络管理功能

按照OSI管理框架57配置管理目的配置管理的目的是为了实现某个特定功能或使网络性能达到最佳。配置管理目的配置管理的目的是为了实现某个特定功能或使网络性能58配置管理监控对象（１）

网络资源及其活动状态；（２）

网络资源之间的关系；（３）

新资源的引入和旧资源的删除。配置管理监控对象（１）

网络资源及其活动状态；59配置管理操作（１）

鉴别被管对象，标识被管对象；（２）

设置被管对象的参数；（３）

改变被管对象的操作特性，报告被管对象的状态变化；（４）

删除被管对象。配置管理操作（１）

鉴别被管对象，标识被管对象；60性能管理的组成

典型的网络性能管理分成性能监测和网络控制两部分。性能管理以网络性能为准则收集、分析和调整被管对象的状态，其目的是保证网络可以提供可靠、连续的通信能力并使用最少的网络资源和具有最少的时延。性能管理的组成

典型的网络性能管理分成性能监测和网络控制两部61性能管理的功能（１）从被管对象中收集与性能有关的数据；（２）被管对象的性能统计，与性能有关的历史数据的产生、记录和维护；（３）分析当前统计数据以检测性能故障，产生性能告警、报告性能事件；（４）将当前统计数据的分析结果与历史模型比较以预测性能的长期变化；性能管理的功能（１）从被管对象中收集与性能有关的数据；62（5）形成改进性能评价准则和性能门限；（6）以保证网络的性能为目的，对被管对象和被管对象组的控制。（5）形成改进性能评价准则和性能门限；63故障管理的目的故障管理是网络管理功能中与检测设备故障、故障设备的诊断、故障设备的恢复或故障排除等措施有关的网络管理功能，其目的是保证网络能够提供连续、可靠的服务。故障管理的目的故障管理是网络管理功能中与检测设备故障、故障设64故障管理的功能（１）检测被管对象的差错，或接收被管对象的差错事件通报；（２）当存在空闲设备或迂回路由时，提供新的网络资源用于服务；（３）创建和维护差错日志库，并对差错日志进行分析；（４）进行诊断和测试，以追踪和确定故障位置、故障性质；（５）通过资源更换或维护，以及其他恢复措施使其重新开始服务。故障管理的功能（１）检测被管对象的差错，或接收被管对象的差65计费管理的目的计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理者还可以规定用户可使用的最大费用，从而控制用户过多占用和使用网络资源。计费管理的目的计费管理记录网络资源的使用，目的是控制和监测网66计费管理的功能（１）

统计网络的利用率等效益数据，以使网络管理人员确定不同时期和时间段的费率；（２）

根据用户使用的特定业务在若干用户之间公平、合理地分摊费用；（３）

允许采用信用记帐方式收取费用，包括提拱有关资源使用的帐单审查；（４）

当多个资源同时用来提供一项服务时，能计算各个资源的费用。计费管理的功能（１）

统计网络的利用率等效益数据，以使67安全管理的目的（１）

网络数据的私有性（保护网络数据不被侵入者非法获取）；（２）

授权（防止侵入者在网络上发送错误信息）；（３）

访问控制（控制对网络资源的访问）。安全管理的目的（１）

网络数据的私有性（保护网络数据不被68安全管理的功能（１）

创建、删除，控制安全服务和机制；（２）

与安全相关信息的分发；（３）

与安全相关事件的通报。网络管理功能、系统管理功能与其他管理协议和服务之间的关系如图15-1所示。安全管理的功能（１）

创建、删除，控制安全服务和机制；69图系统管理域与系统管理功能之间的关系图系统管理域与系统管理功能之间的关系70SNMP设计原则SNMP的设计原则是简单性(Simplicity)和扩展性(Extensibility)。扩展性主要是通过将管理信息模型与协议、被管理对象的详细规定(MIB)分离实现；简单性则是通过信息类型的限制、请求/响应机制而取得。SNMP设计原则SNMP的设计原则是简单性(Simplici71图15-4SNMP管理模型SNMP的管理模型图15-4SNMP管理模型SNMP的管理模型72SNMP信息模型

所有对象类型都用下列模板定义：

Descriptor:唯一的文本（可打印字符串名

ObjectId:ISO对象标识符

Syntax:语法

Definition:文本定义

Access:只读、只写、读写或不可存取

Status:状态（mandatory,optional,orobsolete）SNMP信息模型所有对象类型都用下