计算机管理与网络安全技术

网络管理技术网络安全的基本概念网络防火墙本章知识点本章导读计算机网络应用的发展速度越快，人们对网络的依赖程度越高，那么网络管理与网络安全技术就显得尤为重要。本章将系统地讨论网络管理技术、网络安全的基本概念、网络安全策略以及网络防火墙技术。9.1网络管理技术网络管理的重要性网络管理的分类OSI管理功能域典型的网络管理网络管理的重要性随着网络在社会生活中的广泛应用，特别是在金融、商务、政府机关、军事、信息处理等方面的应用，支持各种信息系统的网络的地位变得越来越严重。随着网络规模的不断扩大，网络结构也变得越来越复杂。用户对网络应用的需求不断提高，企业和用户对计算机网络的依赖程度越来越高。在这种情况下，企业的管理者和用户对网络的性能、运行状况以及安全性也越来越重视。因此，网络管理已经成为现代网络技术中最重要的问题之一，也是网络设计、实现、运行与维护等各个环节中的关键问题之一。一个有效而且实用的网络每时每刻都离不开网络管理。网络管理的分类1．网络管理的定义网络管理有广义与狭义之分。广义的网络管理是指对网络应用系统的管理。狭义的网络管理仅指网络通信量等网络参考性能的管理。我们在这里所讨论的网络管理（NetWareManagement）涉及三个方面。（1）网络服务提供（networkserviceprovisioning），是指向用户提供新的服务类型、增加网络设备、提高网络性能。（2）网络维护（networkmaintenance），是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。（3）网络处理（networkadministration），是指网络线路，设备利用率，数据的采集、分析，以及提高网络利用率的各种控制。2．网络管理系统的基本结构一个网络管理系统从逻辑上可以分为以下三个部分：管理对象（managedobject）、管理进程（managerprocess）、管理协议（managementprotocol）。（1）管理对象是经过抽象的网络元素，对应于网络中具体可以操作的数据，如记录网络设备工作状态的状态变量、网络设备内部的工作参数、网络性能的统计参数。（2）管理进程是负责对网络设备进行全面的管理与控制的软件。（3）管理协议则负责在管理系统与被管理对象之间传递操作命令，负责解释管理操作命令。管理协议保证了管理信息库中的数据与具体网络设备实际状态、工作参数的一致性。3．管理信息库从概念上说，一个网络的管理系统只能有一个管理信息库，但管理信息库可以是集中存储的，也可以由各个网络设备记录本地工作参数。网络管理员只要查询有关的管理信息库，就可获得有关网络设备的工作状态和工作参数。OSI管理功能域OSI管理标准中定义的5个功能域是：配置管理（configurationmanagement）、故障管理（faultmanagement）、性能管理（performancemanagement）、安全管理（securitymanagement）、记账管理（accountingmanagement）。下面我们具体介绍这5个功能域。1．配置功能网络配置是指网络中每个设备的功能、相互间的连接关系与工作参数，它反映了网络的状态。网络是经常需要变化的，需要调整网络配置的原因很多。2．故障管理故障管理是用来维护网络正常运行的。网络故障管理包括及时发现网络中发生的故障，找出网络故障产生的原因，必要时启动控制功能来排除故障。控制活动包括诊断测试活动、故障修复或恢复活动、启动备用设备等。3．性能管理网络性能管理活动是持续地评测网络运行中的主要性能指标，以检验网络服务是否达到了预定的水平，找出已经发生或潜在的瓶颈，报告网络性能的变化趋势，为网络管理决策提供依据。4．安全管理安全管理是用来保护网络资源的安全。安全管理活动能够利用各个层次的安全防卫机制，使非法入侵事件尽可能少发生；能够快速检测未授权的资源使用，并检查出入侵点，对非法活动进行审查与追踪；能够使网络管理人员恢复部分受保护的文件。5．记账管理对于公用分组交换网与各种网络信息服务系统来说，用户必须为使用网络的服务而交费，网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。典型的网络管理

1．Internet网络管理模型在Internet网络中，“网络元素”被用来表示任何一种接受管理的网络资源。“网络元素”与前面所说的“管理对象”的含义是类似的。在Internet的网络管理模型中，每个网络元素上都有一个负责执行管理任务的管理代理（agent），整个网络有多个网络实施集中式管理的管理进程。那么，网络管理标准用来定义网络控制中心与各管理代理之间的通信。Internet的简单网络管理模型如下图所示。被管理的网络实体与它的管理代理一起构成完整的网络元素。网络管理模型

2．简单网络管理协议SNMP除了专门的标准化组织制定了一些标准外，一些网络发展比较早的机构与厂商也制定了一些应用在各自网络上的管理标准。例如，IBM公司、DEC公司与Internet组织都有各自的网络管理标准，有的已经成为事实上的网络管理标准。其中，应用最广泛的是简单网络管理协议（SNMP，simplenetworkmanagementprotocol）。（1）管理进程管理进程是一个或一组软件程序，它一般运行在网络管理站（或网络管理中心）的主机上，可以在SNMP的支持下由管理代理来执行各种管理操作。（2）管理代理管理代理是一种被管理的网络设备中运行的软件，它负责执行管理进程的管理操作。（3）管理理信息库管理信息库库是一个概概念上的数数据库，它它是由管理理对象组成成的。每个个管理代理理管理信息息库中属于于本地的管管理对象，，各管理代代理控制的的管理对象象共同构成成全网的管管理信息库库。3．典型的的网络管理理软件网络管理软软件用于监监视与控制制网络的运运行情况，，包括设备备与线路的的破坏、网网络流量与与拥挤程度度等。对于于大型的网网络系统来来说，使用用网络管理理软件是十十分必要的的，否则在在网络出现现故障或性性能下降时时无从解决决。9.2网网络安全的的基本概念念网络的重要要性网络安全的的基本问题题网络安全服服务的主要要内容网络安全标标准主要的网络络安全技术术计算机网络络的广泛应应用对社会会经济、科科学研究、、文化的发发展产生了了重大影响响，同时也也不可避免免地会带来来一些新的的社会、道道德、政治治与法律等等问题。现现在许多企企业在推行行电子商务务，这些企企业往往是是通过Internet与合合作伙伴和和顾客交流流沟通，通通过Internet发展潜潜在客户。。根据调查查Internet上连接了了7200多万个主主机，我们们知道还有有许多的计计算机通过过各种方式式与Internet连接。。可以这样样估计，大大概有十亿亿的人们是是你的网络络邻居。政政府上网工工程的实施施，使得各各级政府与与各个部门门之间越来来越多地利利用网络进进行信息交交互，实现现办公自动动化。远程程教育使得得数以万计计的学生可可以在不同同的地方，，通过网络络进行课堂堂教学、查查阅资料以以及传送作作业等。所所有这一切切都说明，，网络的应应用正在改改变人们的的工作方式式、生活方方式与思维维方式，对对提高人们们的生活质质量产生了了重要影响响。网络已已成为一个个国家政治治、经济、、文化、科科技、军事事与综合国国力的重要要标志。网络的重要要性1．网络防防攻击问题题要保证运行行在网络环环境中的信信息系统的的安全，首首要问题是是保证网络络自身能够够正常工作作。2．网络安安全漏洞与与对策的研研究网络信息系系统的运行行一定要涉涉及计算机机硬件与操操作系统、、网络硬件件与网络软软件、数据据库管理系系统、应用用软件、各各种网络通通信协议，，以及各种种计算机硬硬件与操作作系统、应应用软件都都会存在一一定的安全全问题，它它们不可能能是百分之之百无缺陷陷或无漏洞洞的。3．网络中中的信息安安全问题网络安全技技术研究的的第三个问问题就是如如何保证网网络系统中中信息的安安全问题，，即网络信信息的安全全保密问题题。网络安全全的基本本问题4．网络络内部安安全防范范问题除了以上上列出的的几种可可能对网网络安全全构成威威胁的因因素外，，还有一一些威胁胁可能来来自网络络内部。。5．网络络防病毒毒问题网络病毒毒的危害害是人们们不可忽忽视的现现实。据据国际计计算机安安全协会会（ICSA，，InternationalComputerSecurityAssociation）统统计的2000年度病病毒传播播趋势报报告：电电子邮件件成为计计算机病病毒主要要传播媒媒介，感感染率窜窜升至87％。。6．网络络数据备备份与恢恢复、灾灾难恢复复问题随着信息息技术的的不断发发展，近近年来在在世界范范围内掀掀起了兴兴建网络络环境、、传播数数据信息息的热潮潮。随着着计算机机存储信信息量的的不断增增长，数数据备份份和灾难难恢复也也成为引引人关注注的话题题。网络安全全服务的的主要内内容网络安全全服务应应该提供供以下这这些基本本的服务务功能。。（1）保保密性（（confidentiality）保密性服服务是为为了防止止被攻击击而对网网络传输输的信息息进行保保护。（2）认认证（authentication）认证服务务是用来来确定网网络中信信息传送送的源节节点用户户与目的的结点用用户的身身份是真真实的，，不出现现假冒、、伪装等等现象，，保证信信息的真真实性。。（3）数数据完整整性（dataintegrity）数据完整整性服务务可以保保证信息息流、单单个信息息或信息息中指定定的字段段，保证证接收方方所接收收的信息息与发送送方发送送的信息息是一致致的。（4）防防抵赖（（nonrepudiation））防抵赖服服务是用用来保证证收发双双方不能能对已发发送或已已接收的的信息予予以否认认。（5）访访问控制制（accesscontrol）访问控制制服务是是控制与与限定网网络用户户对主机机、应用用与网络络服务的的访问。。网络安全全标准可信计算算机系统统TC-SEC-NCSC是是1983年公公布的，，1985年公公布了可可信网络络说明（（TNI）。可可信计算算机系统统TC-SEC-NCSC评评估准则则将计算算机系统统安全等等级分为为4类7个等级级，依照照各类、、级的安安全要求求从低到到高，依依次是D、C1、C2、B1、B2、B3和A1级。D类系统统的安全全级别最最低，属属于非安安全保护护类。它它不能用用于多用用户环境境下的重重要信息息处理。。D类只只有一个个级别。。C类系统统为用户户定义访访问控制制要求的的自主型型保护类类。它分分为两个个级别：：C1级级别系统统具有一一定的自自主型访访问控制制机制，，它只要要求用户户与数据据分离。。大部分分UNIX系统统可以满满足C1级标准准的要求求。C2级别别系统则则要求用用户定义义访问控控制机制制，通过过注册认认证、对对用户启启动系统统、打开开文件的的权限检检查，防防止非法法用户与与越权访访问信息息资源的的安全保保护。UNIX系统通通常能满满足C2标准的的大部分分要求，，有一些些厂商的的最新版版本可以以全部满满足C2级别系系统要求求。B类系统统属于强强制型安安全保护护类，即即用户没没有分配配权限，，只有网网络管理理员可以以为用户户分配权权限。B类系统统分为三三个级别别：B1级别系系统要求求能满足强制制型保护护类，它它要求系系统的安安全模型型符合标标准，对对保密数数据打印印需要经经过认定定，系统统管理员员的权限限要很明明确。一一些满足足C2级级的UNIX系系统，可可能满足足某些B1级标标准的要要求；也也有些软软件公司司的UNIX能能够满足足B1级级标准的的要求。。B2级系系统对安安全性的的要求很很高，它它属于结结构保护护级。B2级除除了满足足B级系系统的要要求之外外，还需需要满足足：对所所有与信信息系统统直接或或间接连连接的计计算机与与外设均均要由系系统管理理员来分分配访问问权限；；用户及及信息系系统的通通信线路路与设备备都要可可靠，并并能够防防御外界界的电磁磁干扰；；系统管管理员与与操作员员的职能能与权限限要明确确。B3级系系统又称称为安全全域级系系统，它它要求系系统通过过硬件的的方法去去保护某某个域的的安全，，例如通通过内存存管理的的硬件去去限制非非授权用用户对文文件系统统的访问问企图。。B3级级要求系系统在出出现故障障后能够够自动恢恢复到原原来的状状态。A1级系系统的安安全要求求最高。。A1级级系统要要求提供供的安全全服务功功能与B3级系系统基本本一致。。A1级级系统在在安全审审计、安安全测试试、配置置管理等等方面提提出了更更高的要要求。A1级系系统在系系统安全全模式设设计与软软、硬件件实现上上要通过过认证，，要求达达到更高高的安全全可信度度。主要的网网络安全全技术1．防火火墙技术术防火墙技技术是指指选用一一种适合合的网络络协议和和应用系系统，可可以和单单位外部部的网络络相连通通，也可可以是不不和外界界连通的的封闭式式内部网网络。2．加密密技术信息交换换加密技技术分为为两类，，即对称称加密和和非对称称加密。。3．虚拟拟专用网网技术近年来随随着Internet的发展展而迅速速发展起起来了另另一种技技术，即即是虚拟拟专用网网（VirtualPrivateNetwork，VPN）。。现代企企业越来来越多地地利用Internet资源源来进行行促销、、销售、、售后服服4．安全全隔离网络的安安全威胁胁和风险险主要存存在于三三大层次次，即物物理层、、协议层层和应用用层。9.3网网络防防火墙防火墙的的基本概概念防火墙的的基本结结构防火墙的的作用防火墙的的概念起起源于中中世纪的的城堡防防卫系统统。那时时人们为为了保护护城堡的的安全，，在城堡堡的周围围挖了一一条护城城河，每每个进入入城堡的的人都要要经过一一个吊桥桥，接受受城门守守卫的检检查。在在网络中中，人们们借鉴了了这种思思想，设设计了一一种网络络安全防防护系统统（即网网络防火火墙）。。防火墙墙（Firewall）就是是在网络络之间执执行控制制策略的的系统，，它包括括硬件与与软件。。防火墙墙用来检检查通过过企业内内部网与与外部网网的分组组，典型型的防火火墙结构构如下图图所示。。防火墙的的基本概概念防火墙结结构防火墙的的基本结结构一般来说说，防火火墙可以以由以下下两个部部分组成成：包过过滤路由由器（packetfilteringrouter）与与应用级级网关（（applicationgateway）。。1．包过过滤的基基本概念念包过滤技技术是基基于路由由器技术术的。如如下图所所示给出出了包过过滤路由由器的结结构示意意图。包过滤路路由器的的结构示示意图2．应用用级网关关应用级防防火墙能能够检查查进出的的数据包包，透视视应用层层协议，，与既定定的安全全策略进进行比较较。该类类型防火火墙能够够进行更更加细化化复杂的的安全访访问控制制，并做做精细的的注册和和稽核。。根据是是否允许许两侧通通信主机机直接建建立链路路，又可可以分为为网关和和代理两两种。前前者允许许两侧建建立直接接连接，，用某种种算法来来识别进进出的应应用层数数据，这这些算法法通过已已知合法法数据包包的模式式来比较较进出数数据包。。而后者者通过特特定的代代理程序序（如FTP代代理、Telnet代代理、SMTP代理等等）在两两侧主机机间复制制传递数数据，不不允许建建立直接接连接。。每一种种应用需需要相应应的代理理软件。。在这里里我们就就不对它它做详细细介绍了了。防火墙的的作用最初的防防火墙主主要用于于Internet服服务控制制，但随随着研究究工作的的深入，，已经扩扩展为提提供以下下4种基基本服务务。（1）服服务控制制。防火火墙可以以控制外外部网络络与内部部网络用用户相互互访问的的Internet服服务类型型。（2）方方向控制制。处于于某种安安全考虑虑，我们们可以通通过防火火墙的设设置，来来限制允允许企业业内部网网的用户户访问外外部Internet，而不不允许外外部Internet用户访访问企业业内部网网，反之之亦然（3）用用户控制制。处于于某种安安全，我我们可以以确定防防火墙的的设置，，只允许许企业内内部网的的哪些用用户访问问外部Internet的服服务，而而其他用用户不能能访问外外部Internet的服务务；同样样也可以以限制外外部Internet的特定定用户访访问企业业内部网网的服务务。（4）行行为控制制。通过过防火墙墙的设置置，可以以控制如如何使用用某种特特定的服服务。2．防火火墙的局局限性尽管防火火墙是在在内部网网与外部部网之间间实施安安全防范范的系统统，但还还存在一一定的局局限性：：（1）不不能防范范外部刻刻意的人人为攻击击。（2）不不能防范范内部用用户攻击击。（3）不不能防止止内部用用户因误误操作而而造成口口令失密密受到的的攻击。。（4）很很难防止止病毒或或者受病病毒感染染文件的的传输。。由于两种种类型的的防火墙墙系统各各有优缺缺点,因因而在实实际的使使用中常常常根据据实际需需求结合合起来使使用。Internet的迅迅猛发展展将带动动防火墙墙技术的的进一步步完善。。9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Wednesday,December28,202210、雨中黄叶树树，灯下白头头人。。21:53:2521:53:2521:5312/28/20229:53:25PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2221:53:2521:53Dec-2228-Dec-2212、故人江江海别，，几度隔隔山川。。。21:53:2521:53:2521:53Wednesday,December28,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2221:53:2521:53:25December28,202214、他乡生生白发，，旧国见见青山。。。28十十二月20229:53:25下午午21:53:2512月-2215、比不了得就就不比，得不不到的就不要要。。。十二月229:53下下午12月-2221:53December28,202216、行动动出成成果，，工作作出财财富。。。2022/12/2821:53:2521:53:2528December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。9:53:26下下午午9:53下下午午21:53:2612月月-229、没有失失败，只只有暂时时停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事情努努力了未必有有结果，但是是不努力却什什么改变也没没有。。21:53:2621:53:2621:5312/28/20229:53:26PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2221:53:2621:53Dec-2228-Dec-2212、世间成事，，不求其绝对对圆满，留一一份不足，可可得无限完美美。。21:53:2621:53:2621:53Wednesday,December28,202213、不知香积积寺，数里里入云峰。。。12月-2212月-2221:53:2621:53:26December28,202214、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。28十十二月20229:53:26下午午21:53:2612月-2215、楚塞三湘湘接，荆