第九章-网络管理与网络安全技术要点课件

9.1网络管理基本概念运行管理网络的计费和通信量管理处理管理收集和分析设备利用率、通信量等数据，直到做出相应的控制，以优化网络资源的使用效率等各方面维护管理报警和性能监控、测试和故障修复等服务提供向用户提供新业务和通过增加网络设备和设施来提高网络性能第九章网络管理与网络安全技术网络管理是遵守开放的网络系统的体系结构，并能够对不同厂商的软硬件产品进行管理。

12/6/20231网络系统管理五个功能域故障管理对网络中被管对象故障的检测、定位和排除配置管理用来定义、识别、初始化、监控网络中的被管对象，改变被管对象的操作特性，报告被管对象状态变化计费管理记录用户使用网络资源的情况并核收费用，统计网络利用率性能管理保证在使用最少网络资源和最小时延前提下，网络提供可靠连续通行能力安全管理网络不被非法使用第九章网络管理与网络安全技术12/6/20232网络管理的实现网络管理员通过网络管理软件来监视和控制网络的各个组成部分。如：通过查询主机、路由器、交换机等设备的状态来获取网络的有关统计资料，通过重新配置路由、网络接口等来控制网络运行和改善网络性能。第九章网络管理与网络安全技术12/6/20233简单网络管理协议SNMP典型配置管理进程SNMPUDPIP网络接口MIB管理站网络管理员网络接口IPTCPUDPFTP等SNMP用户进程代理进程网络接口IPTCPUDPFTP等SNMP用户进程代理进程代理进程SNMPUDPIP网络接口主机路由器主机Internet第九章网络管理与网络安全技术12/6/20234网络管理中术语网络元素（networkelement)网络中具体的通信设备或逻辑实体，又称网元被管元素(managedobject)指可使用管理协议进行管理和控制的网络资源的抽象表示管理信息库MIB(ManagementInformationBase)由一个系统内的许多被管对象及其属性组成，虚拟数据库代理进程在被管系统中直接管理被管对象的进程，服务进程管理进程利用通信手段，通过代理来管理各被管对象，客户进程第九章网络管理与网络安全技术12/6/20235SNMP五种协议数据单元SNMP的操作只有两种基本的管理功能“读”操作，用get报文来监测各被管对象的状况；“写”操作，用set报文来监测各被管对象的状况；PDU编号PDU名称用途0Get-request用来查询一个或多个变量的值1Get-next-request允许在一个MIB树上检索下一个变量2Get-response对get/set报文做出响应，并提供差错码、差错状态等信息3Set-request对一个或多个变量得值进行设置4Trap向管理进程报告代理中发生的事件第九章网络管理与网络安全技术12/6/20236SNMPv2V3SNMPv1:1988优点：简单，广泛的使用缺点：不能有效传送大块数据，不能将网络管理的功能分散化，安全性不够好。SNMPv2:1996增加get-build-request命令，一次读取多行；分散化的管理方法，一个网络中多个管理服务器，并有中间代理进程。安全性设计过分复杂SNMPv3:安全性的改进：具有三种安全功能：鉴别、保密和存取控制第九章网络管理与网络安全技术12/6/20237CMIP（1）由于SNMP管理功能不够强，ISO在20世纪80年代提出CMIP(公共管理信息协议)五个管理功能域，11种类型的PDU（协议数据单元）变量具有复杂的数据结构SNMPv1与CMIP的比较特性SNMPv1CMIP已安装的数量很大小每个管理站可管理的被管对象数目少多管理模型管理进程和代理进程管理进程和代理进程第九章网络管理与网络安全技术12/6/20238CMIP（2）特性SNMPv1CMIP被管对象的形式MIB树中的简单变量MIB中定义的有继承性的对象管理进程与代理进程的交互轮询和不常用的trap事件驱动安全无有管理进程之间的交换信息无有数据块传送无有创建/删除被管对象无有每个管理站可管理的被管对象数目少多通信模型数据报基于会话制订标准的机构InternetISO第九章网络管理与网络安全技术12/6/20239TMN电信管理网（TMN）是ITU-T为了对电信网进行统一管理在1988年提出，1992年形成的网络管理标准，还在不断完善中TMN采用面向对象技术，定义了两种类型的电信资源：一种是管理系统，（运行系统OS）另一种是被管系统，一般称为网络元素NETMN标准定义了资源之间的各种互连关系，称之为接口，如OS-NE接口第九章网络管理与网络安全技术12/6/202310物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。环境安全对系统所在环境的安全保护，如区域保护和灾难保护；设备安全设备安全主要包括设备的防盗、防毁、抗电磁干扰及电源保护等；采用设备冗余备份，并通过严格管理及提高员工的整体安全意识来实现。媒体安全——防止系统信息在空间的扩散。局域网传输线路传导辐射的抑制

对终端设备辐射的防范

9.2网络安全第九章网络管理与网络安全技术12/6/202311系统安全操作系统安全安全性较高的网络操作系统并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件路由以及DNS安全对路由器进行安全配置，并关闭不用的端口，对其执行严格的访问控制；对DNS软件应尽快升级到最新；以防止通过路由和DNS攻击实现的拒绝服务。

应用系统安全应用服务器尽量不要开放一些没有经常用的协议及协议端口号病毒防护第九章网络管理与网络安全技术12/6/202312网络安全网络结构安全网络结构的安全主要指：网络拓扑结构是否合理、线路是否有冗余、路由是否冗余、防止单点失败等。隔离与访问控制划分虚拟子网(VLAN)配备防火墙通信安全采用加密来保证传输过程中的保密性和安全性

入侵检测

漏洞扫描系统

第九章网络管理与网络安全技术12/6/202313应用安全l

资源共享中的访问控制和安全审计对用户的访问控制进行安全设置对用户在该系统上的应用进行安全审计l

信息存储与安全备份对有涉及秘密信息的主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对重要数据必须做安全备份

第九章网络管理与网络安全技术12/6/202314安全其它方面灾难恢复物理设施备份数据备份网站恢复动态维护1、物理安全的检测2、防火墙配置与优化3、路由器配置的检测4、入侵检测系统的升级，5、防病毒软件升级6、操作系统修补、加固和优化7、应用软件安全评估8、灾难恢复系统的检测安全管理第九章网络管理与网络安全技术12/6/202315通信安全问题概述两个用户在计算机网络上通信所面临的威胁截获：第三方偷听通信双方的内容中断：第三方中断通信双方的通信篡改：丙篡改甲发送给乙的报文伪造：丙假装为甲，与乙通信第九章网络管理与网络安全技术12/6/202316网络通信中的威胁被动攻击攻击者只是观察通过的PDU而不干扰信息流主动攻击对某个连接中通过的PDU进行各种处理，如有选择的更改、删除、延迟、记录和复制这些PDU，在稍后的时间将以前录下的PDU插入这个连接，甚至可以合成或伪造PDU送入到连接中。更改报文流拒绝报文服务伪造连接初始化第九章网络管理与网络安全技术12/6/202317计算机网络通信安全的五个目标防止析出报文内容防止信息量分析检测更改报文流检测拒绝报文服务检测伪造初始化连接第九章网络管理与网络安全技术12/6/202318计算机网络通信安全的内容保密性为用户提供安全可靠的保密通信密码机制是其他安全机制的基础安全协议的设计用形式化方法证明用经验来分析协议的安全性存取控制访问控制，对接入网络的权限加以控制，并规定每个用户的介入权限。第九章网络管理与网络安全技术12/6/202319数据保密基本概念加密算法E,解密算法D,加密密钥K(假定加密解密密钥一样)，明文X,密文YY=Ek(X)Dk(Y)=Dk(Ek(X))=X密码编码学是密码体制的设计学，而密码分析学则是在未知密码的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学。理论上不可破密码：不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一确定出明文。计算上不可破密码：不能被可以使用的计算资源破译。第九章网络管理与网络安全技术12/6/202320常规密钥密码体制（1）加密密钥与解密密钥是相同的密码体制替代密码将字母a,b,c,d,……,w,x,y,z的自然顺序保持不变，但使之与D,E,F,G,……,X,A,B,C分别对应：明文：caesarcipher,密文FDHVDUFLSKHU置换密码按照某一规则重新排列消息中得比特或字符的顺序密钥：CIPHER顺序：145326明文attackbeginsattwo密文：abaaitcnwtgtetkso第九章网络管理与网络安全技术12/6/202321数据加密标准DES属于常规密钥密码体制IBM公司研制出，1977年被美国定为联邦信息标准DES是一种分组密码。加密前，先对整个的明文进行分组，每一个组长64位使用密钥64位（实际56位，8位用于奇偶校验）对每一个64位分组进行加密处理，产生一组64位密文数据将各组密文串接起来，得出整个的密文DES的保密性取决于对密钥的保密,而算法是公开的。第九章网络管理与网络安全技术12/6/202322公开密钥密码体制(1)使用不同的加密密钥与解密密钥，是一种由已知加密密钥推导解密密钥在计算上不可行的密码体制。加密密钥（公开密钥Pk）是公开信息，而解密密钥Sk（即秘密密钥）是需要保密的。加密算法和解密算法也都是公开的。特点如下:发送者用加密密钥Pk对明文X加密后，在接受者用解秘密钥Sk解密，即可恢复出明文：Dsk(Epk(x))=X加密和解密的运算可以对调：即Epk(Dsk(X))=X第九章网络管理与网络安全技术12/6/202323公开密钥密码体制(2)加密密钥是公开的，但不能用它来解密，即Dpk(Epk(X))=X在计算机上可以容易的产生成对的Pk和Sk从已知的Pk实际上不可能推导出Sk，即从Pk到Sk是计算上不可能的。加密和解密算法都是公开的。第九章网络管理与网络安全技术12/6/202324数字签名解决问题：保证接收者能够核实发送者对报文的签名；保证发送者事后不能抵赖对报文的签名；保证接收者不能伪造对报文的签名；过程：发送者A用Ska对报文进行运算，将结果Dska(X)传送给接收者B，B用已知的公开密钥得出Epka(Dska(X))=XA要抵赖曾发送报文给B，则B出示X,Dska(X)给第三者。第三者可以用Pka来证实A确实发送该报文给BB将X伪造为X’,则B不能在第三者前出示Dska(X’)第九章网络管理与网络安全技术12/6/202325报文鉴别（1）在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用报文鉴别报文鉴别就是一种过程，使得通信的接受方能够验证所收到的报文（发送者、报文内容、发送时间、序列等）。传统的加密方法可以达到报文鉴别的目的，但更多的网络应用不需要加密但需要报文鉴别第九章网络管理与网络安全技术12/6/202326报文鉴别（2）报文鉴别码（MAC）用户A向用户B发送报文M,根据密钥和报文计算出报文鉴别码MAC=F(K,M),将此报文鉴别码一起送给用户用户收到报文后，使用同样的密钥再次计算报文鉴别码，如果与收到的报文鉴别码一致，则鉴别此报文是真的。单向散列函数用户A向用户B发送报文M,先将报文输入给散列函数H，计算出H(M),即MD，再用B的公Pkb对MD加密，并将加密后的MD附加在报文后用户B收到报文后，同样用已知散列函数计算H(M),再用自己私钥对加了密MD的解密，得出MD。比较该MD与H(M)。若一致，说明报文为真。第九章网络管理与网络安全技术12/6/202327第九章网络管理与网络安全技术

密钥分配 由于密码算法是公开的，网络的安全性就完全基于密钥的安全保护上。因此在密码学中出现了一个重要的分支——密钥管理。密钥管理包括：密钥的产生、分配、注入、验证和使用。12/6/202328随着用户的增多和通信量的增大，密钥更换频繁(密钥必须定期更换才能做到可靠)，派信使的办法将不再适用。这时应采用网内分配方式，即对密钥自动分配。目前，常用的密钥分配方式是设立密钥分配中心KDC(KeyDistribution)，通过KDC来分配密钥。图为一种对常规密钥进行分配的方法。12/6/20232912/6/202330第九章网络管理与网络安全

技术链路加密与端到端加密链路加密在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥，如图所示。12/6/20233112/6/202332端到端加密端到端加密是在源结点和目的结点中对传送的PDU进行加密和解密，其过程如图所示。可以看出，报文的安全性不会因中间结点的不可靠而受到影响。12/6/20233312/6/202334防火墙防火墙是一种由软件、硬件构成的系统，用来在两个网络之间实施存取控制策略。该存取控制策略是由使用防火墙的单位自行制订的，适合本单位的需要。网络级防火墙：防止整个网络出现外来非法的入侵。由分组过滤（检查所有流入网络的信息，拒绝不符合安全策略的数据）和授权服务器（检查用户的登录是否合法）。应用级防火墙：从应用程序来进行存取控制。通常使用应用网关和委托服务器来。第九章网络管理与网络安全技术12/6/20233512/6/202336

防火墙是一个系统或系统组（包括硬件和软件），它在两个网络之间实施相应的访问控制策略。它置于两个网络之间，并具有如下特性：（1）所有内部对外部的通信都必须通过防火墙，反之亦然；（2）只有按安全策略所定义的授权，通信才允许通过；（3）防火墙本身具有抗入侵能力。虽然防火墙技术是是在内部网与外部网之间实施安全防范的最佳选择，但也存在一定的局限性：（1）不能完全防范外部刻意的人为攻击；（2）不能防范内部用户攻击；（3）不能防止内部用