网络管理与网络安全课件

第11章网络管理与网络安全【本章内容简介】网络管理是对组成网络的各种硬软件设施的综合管理，网络安全是保障计算机正常工作的基础。本章在网络管理技术部分主要介绍了网络管理的内容、功能域和SNMP协议；在网络安全部分主要介绍了网络安全的需求特性、防火墙技术、密码与信息加密、网络病毒防治和VPN技术等。【本章重点难点】重点掌握OSI网络管理功能域、网络安全系统的功能、加密算法和密钥的概念、防火墙的体系结构、病毒的检测和防治。第11章网络管理与网络安全【本章内容简介】网络管理111.1网络管理技术11.1.1网络管理概述1．网络管理主要内容（1）网络服务（2）网络维护（3）网络处理2．网络管理目的（1）同时支持网络监视和控制两方面的能力；（2）能够管理所有的网络协议，容纳不同的网络管理系统；（3）提供尽可能大的管理范围；（4）尽可能小的系统开销，提供较多网络管理信息；（5）网络管理的标准化；（6）网络管理在网络安全性方面应能发挥更大的作用；（7）网络管理应具有一定的智能。3．网络管理系统基本结构（1）管理对象（2）管理进程（3）管理协议（4）管理信息库11.1网络管理技术11.1.1网络管理概述1．网络管211.1.2OSI网络管理功能域为了实现不同网络管理系统之间的互操作，支持各种网络的互联管理的要求，在OSI网络管理标准中定义了5个管理功能域，它们分别完成不同的管理。被定义的5个功能域只是网络管理的最基本功能，它们需要通过与其他开放系统交换管理信息来实现。1．配置管理2．故障管理3．性能管理4．安全管理5．计费管理11.1.2OSI网络管理功能域为了实现不311.1.3简单网络管理协议SNMP1.SNMP概述SNMP的体系结构分为SNMP管理者和SNMP代理者，每一个支持SNMP的网络设备中都包含一个代理，此代理随时记录网络设备的各种情况。SNMP网络管理模型如图11-1所示。图11-1SNMP网络管理模型11.1.3简单网络管理协议SNMP1.SNMP概411.1.3简单网络管理协议SNMP2．SNMP体系结构的特点（1）尽可能地降低管理代理的软件成本和资源要求（2）提供较强的远程管理功能（3）体系结构具备可扩充性（4）协议本身具有较强的独立性

3．SNMP操作命令（1）取（get）（2）取下一个（getnext）（3）设置（set）（4）报警（trap）：11.1.3简单网络管理协议SNMP2．SNMP体系结511.1.3简单网络管理协议SNMP4．SNMP的工作原理SNMP有5种消息类型：（1）GetRequest（2）GetResponse（3）GetNextRequest（4）SetRequest（5）Trap5．网络管理平台网络管理平台向上为各类专用网管提供了统一的标准应用程序接口API网管平台如图11-2所示。图11-2网管平台11.1.3简单网络管理协议SNMP4．SNMP611.2网络安全概述11.2.1网络安全的基本概念国际化标准组织引用ISO74982文献中对安全的定义是：安全就是最大程序地减少数据资源被攻击的可能性。网络安全所涉及的领域如图11-3所示。图11-3网络安全所涉及的知识领域11.2网络安全概述11.2.1网络安全的基本概念图711.2.2网络安全的需求特性网络安全一般是指网络信息的可用性、完整性、保密性、真实性和安全保证。5种安全的需求特性是相互依赖的，它们之间的关系如图11-4所示。图11-4安全需求特性的相互依赖关系11.2.2网络安全的需求特性网络安全一般是指网络信息811.2.3网络安全的威胁因素网络威胁是指安全性受到潜在破坏，网络安全所面临威胁的几种形式如图11-5所示。图11-5网络安全攻击的几种形式11.2.3网络安全的威胁因素网络威胁是指安全性911.2.4网络安全系统的功能一个网络安全系统应具有如下的功能：l．身份认证2．访问控制3．数据保密性4．数据完整性5．防抵赖6．密钥管理11.2.4网络安全系统的功能一个网络安全系统应具有如下的功1011.2.5网络安全的等级标准l．美国国防部开发的计算机安全标准美国国防部国家计算机安全中心代表美国国防部制定并出版了可信计算机安全评价标准TCSEC，即著名的“桔皮书”，橘皮书将计算机系统安全性划分为A、B、C、D四个等级。2．国际标准化组织的CC标准CC标准是国际标准化组织ISO/IECJTC1发布的一个标准，其标准编号为ISO/IEC15408。3．我国网络安全评价标准（1）第一级为用户自主保护级（2）第二级为系统审计保护级（3）第三级为安全标记保护级（4）第四级为结构化保护级（5）第五级为访问验证保护级11.2.5网络安全的等级标准l．美国国防部1111.3密码与信息加密11.3.1密码学的基本概念传统的密码体制加密密钥和解密密钥相同，也称为对称密码体制，如果加密密钥和解密密钥不相同，则称为非对称密码体制。密码技术中的加密解密的一般模型如图11-6所示。图11-6数据加/解密模型11.3密码与信息加密11.3.1密码学的基本12对称加密也叫做常规加密或传统密码算法，加密密钥能够从解密密钥中推算出来，反之也成立。对称加密技术的模型如图11-8所示。11.3.2对称加密算法图11-8对称加密体制模型对称加密也叫做常规加密或传统密码算法，加密密钥1311.3.3非对称加密算法非对称加密又称为公开密钥加密，它涉及到两种独立密钥的使用，而且这两种密钥总是成对生成的，一个作为公开密钥（简称公钥），另外一个作为私有密钥（简称私钥）。当一个消息采用公钥加密后，只能采用私钥进行解密，非对称算法加密的模型如图11-9所示。图11-9非对称加密体制模型11.3.3非对称加密算法非对称加密又称为公开密钥加密1411.3.4报文鉴别所谓鉴别就是信息的接收者对数据进行的验证，报文鉴别就是信息在网络的传输过程中，能够保证数据的真实性和完整性，即数据确实来自于其真正的发送者而非假冒，数据的内容没有被篡改或伪造。现在通常采用报文摘要（MessageDigest）算法来实现报文鉴别。报文鉴别的模型如图11-11所示。图11-11报文鉴别11.3.4报文鉴别所谓鉴别就是信息的接收者对1511.4防火墙技术

11.4.1防火墙概述防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，防火墙的位置与作用如图11-12所示。图11-12防火墙的位置与作用示意图11.4防火墙技术11.4.1防火墙概述图11611.4.2防火墙的主要类型1．网络级防火墙网络级防火墙也称包过滤防火墙，是在网络层对数据包进行选择，通常由一部路由器或一部充当路由器的计算机组成。包过滤路由器的结构如图11-13所示。图11-13包过滤路由器的结构11.4.2防火墙的主要类型1．网络级防火墙1711.4.2防火墙的主要类型2．应用级防火墙应用级防火墙也称应用级网关防火墙，它是在网络应用层上建立协议过滤和转发功能，应用级网关结构如图11-14所示。图11-14应用级网关的结构11.4.2防火墙的主要类型2．应用级防火墙1811.4.2防火墙的主要类型3．电路级防火墙电路级防火墙也称电路层网关型防火墙，它监视两台主机建立连接的握手信息，从而判断请求是否合法。电路组防火墙工作原理如图11-16所示。图11-16电路级防火墙工作原理11.4.2防火墙的主要类型3．电路级防火墙1911.4.3防火墙的体系结构1．双宿主机体系结构双宿主机体系结构又称双宿网关防火墙，它是一种拥有两个或多个连接到不同网络上的网络接口防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，其体系结构如图11-17所示。图11-17双宿堡垒主机防火墙体系结构11.4.3防火墙的体系结构1．双宿主机体系2011.4.3防火墙的体系结构2.屏蔽主机体系结构屏蔽主机体系结构使用一个单独的路由器提供内部网络相连堡垒主机的服务。在这种安全体系结构中，主要的技术是包过滤，被屏蔽主机的体系结构如图11-18所示。图11-18屏蔽主机防火墙体系结构11.4.3防火墙的体系结构2.屏蔽主机体2111.4.3防火墙的体系结构3．屏蔽子网屏蔽子网体系结构这种方法是通过增加边界网络来隔离内部网络与外部网络，进一步提高了安全性，屏蔽子网体系结构如图11-19所示。图11-19被屏蔽子网防火墙体系结构11.4.3防火墙的体系结构3．屏蔽子网图12211.5网络防病毒技术11.5.1计算机病毒概述计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。网络计算机病毒主要是指主要通过网络作为病毒传送媒介的病毒，在网络环境下,病毒可以按指数增长模式进行传染，其传播速度是非网络环境下要快许多。11.5网络防病毒技术11.5.1计算机病2311.5.2计算机病毒的检测和防治1．病毒的检测通常计算机病毒的检测有手工检测和自动检测两种方法。2．病毒的防治（1）建立健全法律制度（2）二是加大技术投入与研究力度3．局域网防治计算机病毒的策略（1）在因特网接入口处安装防火墙式防杀计算机病毒产品（2）对邮件服务器进行监控，防止带毒邮件进行传播（3）对局域网用户进行安全培训（4）建立局域网内部的升级系统11.5.2计算机病毒的检测和防治1．病毒的2411.5.3反病毒软件的组成和特点1．反病毒技术的实现方式（1）实时监视技术（2）自动解压缩技术（3）全平台反病毒技术2．反病毒软件的组成（1）病毒扫描程序（2）内存扫描程序（3）完整性检查器（4）行为监视器3．反病毒软件的特点（1）能够识别并清除病毒（2）查杀病毒引擎库需要不断更新11.5.3反病毒软件的组成和特点1．反病毒技术的实现2511.6VPN技术11.6.1VPN概述虚拟专用网VPN是通过一个公用网络建立一个临时的、安全的连接。虚拟专用网虽然不是真的专用网络，但却能够实现专用网络的功能。VPN采用了所谓的“隧道”技术，如图11-20所示。图11.20VPN的隧道技术11.6VPN技术11.6.1VPN概述2611.6.2VPN协议1．VPN安全技术VPN主要采用4项技术来保证安全，这4项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。2．VPN的隧道协议VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec协议。11.6.2VPN协议1．VPN安全技术27第11章网络管理与网络安全【本章内容简介】网络管理是对组成网络的各种硬软件设施的综合管理，网络安全是保障计算机正常工作的基础。本章在网络管理技术部分主要介绍了网络管理的内容、功能域和SNMP协议；在网络安全部分主要介绍了网络安全的需求特性、防火墙技术、密码与信息加密、网络病毒防治和VPN技术等。【本章重点难点】重点掌握OSI网络管理功能域、网络安全系统的功能、加密算法和密钥的概念、防火墙的体系结构、病毒的检测和防治。第11章网络管理与网络安全【本章内容简介】网络管理2811.1网络管理技术11.1.1网络管理概述1．网络管理主要内容（1）网络服务（2）网络维护（3）网络处理2．网络管理目的（1）同时支持网络监视和控制两方面的能力；（2）能够管理所有的网络协议，容纳不同的网络管理系统；（3）提供尽可能大的管理范围；（4）尽可能小的系统开销，提供较多网络管理信息；（5）网络管理的标准化；（6）网络管理在网络安全性方面应能发挥更大的作用；（7）网络管理应具有一定的智能。3．网络管理系统基本结构（1）管理对象（2）管理进程（3）管理协议（4）管理信息库11.1网络管理技术11.1.1网络管理概述1．网络管2911.1.2OSI网络管理功能域为了实现不同网络管理系统之间的互操作，支持各种网络的互联管理的要求，在OSI网络管理标准中定义了5个管理功能域，它们分别完成不同的管理。被定义的5个功能域只是网络管理的最基本功能，它们需要通过与其他开放系统交换管理信息来实现。1．配置管理2．故障管理3．性能管理4．安全管理5．计费管理11.1.2OSI网络管理功能域为了实现不3011.1.3简单网络管理协议SNMP1.SNMP概述SNMP的体系结构分为SNMP管理者和SNMP代理者，每一个支持SNMP的网络设备中都包含一个代理，此代理随时记录网络设备的各种情况。SNMP网络管理模型如图11-1所示。图11-1SNMP网络管理模型11.1.3简单网络管理协议SNMP1.SNMP概3111.1.3简单网络管理协议SNMP2．SNMP体系结构的特点（1）尽可能地降低管理代理的软件成本和资源要求（2）提供较强的远程管理功能（3）体系结构具备可扩充性（4）协议本身具有较强的独立性

3．SNMP操作命令（1）取（get）（2）取下一个（getnext）（3）设置（set）（4）报警（trap）：11.1.3简单网络管理协议SNMP2．SNMP体系结3211.1.3简单网络管理协议SNMP4．SNMP的工作原理SNMP有5种消息类型：（1）GetRequest（2）GetResponse（3）GetNextRequest（4）SetRequest（5）Trap5．网络管理平台网络管理平台向上为各类专用网管提供了统一的标准应用程序接口API网管平台如图11-2所示。图11-2网管平台11.1.3简单网络管理协议SNMP4．SNMP3311.2网络安全概述11.2.1网络安全的基本概念国际化标准组织引用ISO74982文献中对安全的定义是：安全就是最大程序地减少数据资源被攻击的可能性。网络安全所涉及的领域如图11-3所示。图11-3网络安全所涉及的知识领域11.2网络安全概述11.2.1网络安全的基本概念图3411.2.2网络安全的需求特性网络安全一般是指网络信息的可用性、完整性、保密性、真实性和安全保证。5种安全的需求特性是相互依赖的，它们之间的关系如图11-4所示。图11-4安全需求特性的相互依赖关系11.2.2网络安全的需求特性网络安全一般是指网络信息3511.2.3网络安全的威胁因素网络威胁是指安全性受到潜在破坏，网络安全所面临威胁的几种形式如图11-5所示。图11-5网络安全攻击的几种形式11.2.3网络安全的威胁因素网络威胁是指安全性3611.2.4网络安全系统的功能一个网络安全系统应具有如下的功能：l．身份认证2．访问控制3．数据保密性4．数据完整性5．防抵赖6．密钥管理11.2.4网络安全系统的功能一个网络安全系统应具有如下的功3711.2.5网络安全的等级标准l．美国国防部开发的计算机安全标准美国国防部国家计算机安全中心代表美国国防部制定并出版了可信计算机安全评价标准TCSEC，即著名的“桔皮书”，橘皮书将计算机系统安全性划分为A、B、C、D四个等级。2．国际标准化组织的CC标准CC标准是国际标准化组织ISO/IECJTC1发布的一个标准，其标准编号为ISO/IEC15408。3．我国网络安全评价标准（1）第一级为用户自主保护级（2）第二级为系统审计保护级（3）第三级为安全标记保护级（4）第四级为结构化保护级（5）第五级为访问验证保护级11.2.5网络安全的等级标准l．美国国防部3811.3密码与信息加密11.3.1密码学的基本概念传统的密码体制加密密钥和解密密钥相同，也称为对称密码体制，如果加密密钥和解密密钥不相同，则称为非对称密码体制。密码技术中的加密解密的一般模型如图11-6所示。图11-6数据加/解密模型11.3密码与信息加密11.3.1密码学的基本39对称加密也叫做常规加密或传统密码算法，加密密钥能够从解密密钥中推算出来，反之也成立。对称加密技术的模型如图11-8所示。11.3.2对称加密算法图11-8对称加密体制模型对称加密也叫做常规加密或传统密码算法，加密密钥4011.3.3非对称加密算法非对称加密又称为公开密钥加密，它涉及到两种独立密钥的使用，而且这两种密钥总是成对生成的，一个作为公开密钥（简称公钥），另外一个作为私有密钥（简称私钥）。当一个消息采用公钥加密后，只能采用私钥进行解密，非对称算法加密的模型如图11-9所示。图11-9非对称加密体制模型11.3.3非对称加密算法非对称加密又称为公开密钥加密4111.3.4报文鉴别所谓鉴别就是信息的接收者对数据进行的验证，报文鉴别就是信息在网络的传输过程中，能够保证数据的真实性和完整性，即数据确实来自于其真正的发送者而非假冒，数据的内容没有被篡改或伪造。现在通常采用报文摘要（MessageDigest）算法来实现报文鉴别。报文鉴别的模型如图11-11所示。图11-11报文鉴别11.3.4报文鉴别所谓鉴别就是信息的接收者对4211.4防火墙技术

11.4.1防火墙概述防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，防火墙的位置与作用如图11-12所示。图11-12防火墙的位置与作用示意图11.4防火墙技术11.4.1防火墙概述图14311.4.2防火墙的主要类型1．网络级防火墙网络级防火墙也称包过滤防火墙，是在网络层对数据包进行选择，通常由一部路由器或一部充当路由器的计算机组成。包过滤路由器的结构如图11-13所示。图11-13包过滤路由器的结构11.4.2防火墙的主要类型1．网络级防火墙4411.4.2防火墙的主要类型2．应用级防火墙应用级防火墙也称应用级网关防火墙，它是在网络应用层上建立协议过滤和转发功能，应用级网关结构如图11-14所示。图11-14应用级网关的结构11.4.2防火墙的主要类型2．应用级防火墙4511.4.2防火墙的主要类型3．电路级防火墙电路级防火墙也称电路层网关型防火墙，它监视两台主机建立连接的握手信息，从而判断请求是否合法。电路组防火墙工作原理如图11-16所示。图11-16电路级防火墙工作原理11.4.2防火墙的主要类型3．电路级防火墙4611.4.3防火墙的体系结构1．双宿主机体系结构双宿主机体系结构又称双宿网关防火墙，它是一种拥有两个或多个连接到不同网络上的网络接口防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，其体系结构如图11-17所示。图11-17双宿堡垒主机防火墙体系结构11.4.3防火墙的体系结构1．双宿主机体系4711.4.3防火墙的体系结构2.屏蔽主机体系结构屏蔽主机体系结构使用一个单独的路由器提供内部网络相连堡垒主机的服务。在这种安全体系结构中，主要的技术是包过滤，被屏蔽主机的体系结构如图11-18所示。图11-18屏蔽主机防火墙体系结构11.4.3防火墙的体系结构2.屏蔽主机体4811.4.3防火墙的体系结构3．屏蔽子网屏蔽子网体系结构这种方法是通过增加边界网络来隔离内部网络与外部网络，进一步提高了安全性，屏蔽子网体系结构如图11-19所示。图11-19被屏蔽子网防火墙体系结构11.4.3防火墙的体系结构3．屏蔽子网图14911.5网络防病毒技术11.5.1计算机病毒概述计算机病毒，是指