计算机网络基础任务教程模板-项目9-网络安全与网络管理.ppt

单击此处编辑母版文本样式,第二级,第三级,第四级,Page,*,单击此处编辑母版标题样式,项目,9,网络安全与网络管理,Page,2,教学目标,理解网络安全的含义及特征,理解网络管理概念,掌握数据加密技术,1,2,3,掌握防火墙技术,熟悉网络管理工具的应用,4,5,Page,3,教学内容,任务,1,了解网络安全,任务,2,认识网络管理,任务,1,了解网络安全,Page,4,网络安全概述,：,1.,网络安全的定义,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露、系统连续可靠正常地运行，网络服务不中断。,从广义上说，网络安全包括网络硬件资源和信息资源的安全性。硬件资源包括通信线路、通信设备（交换机、路由器等）、主机等，要实现信息快速、安全地交换，一个可靠的物理网络是必不可少的。信息资源包括维持网络服务运行的系统软件和应用软件，以及在网络中存储和传输的用户信息数据等。信息资源的保密性、完整性、可用性、真实性等是网络安全研究的重要课题。,任务,1,了解网络安全,2.,网络安全的特征,（,1,）保密性,（,2,）完整性,（,3,）可用性,（,4,）可控性,（,5,）可审查性,3.,网络面临的安全威胁,（,1,）非授权访问,（,2,）信息泄漏或丢失,（,3,）破坏数据完整性,（,4,）拒绝服务器攻击,（,5,）利用网络传播病毒,（,6,）混合威胁攻击,（,7,）间谍软件,任务,1,了解网络安全,网络安全技术,1.,数据加密技术,理论上讲，加密技术可以分为密钥和算法两部分，密钥是在加密和解密过程中使用的一串字符，算法则是作用于密钥和明文的一个数学函数。密文是明文和密钥相结合，经过加密算法运算的结果。,密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种，相应地，对数据加密的技术分为两类，即对称加密（秘密密钥加密）和非对称加密（公开密钥加密）。,任务,1,了解网络安全,对称密钥加密技术也称秘密密钥加密，信息的发送方和接收方使用同一个密钥去加密和解密数据，如图,9-1,所示。对称加密算法使用起来简单快捷，加密和解密速度快，适合于对大数据量进行加密，不足之处是密钥管理困难，密钥的传递过程十分复杂，花费较高。,图,9-1,对称密钥加密技术,任务,1,了解网络安全,非对称密钥加密也称公开密钥加密，它需要使用不同的密钥来分别完成加密和解密操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥，如图,9-2,所示。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密。公钥机制灵活，但加密和解密速度却比对称密钥加密慢得多。,图,9-2,非对称密钥加密技术,任务,1,了解网络安全,2.,虚拟专用网技术,（,1,）虚拟专用网的概念,虚拟专用网（,Virtual Private Network,，,VPN,）指的是在公用网络上建立专用网络的技术，即通过网络数据的封装和加密传输，在公用网络上传输私有数据，形成一种逻辑上的专用网络。它向用户提供一般专用网络所具有的功能，但实际上却不是一个独立的物理网络，其工作原理如图,9-3,所示。,（,2,）,VPN,技术在企业网的应用,图,9-3 VPN,工作原理示意,任务,1,了解网络安全,3.,防火墙技术,（,1,）防火墙基本概念,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。,（,2,）防火墙功能,防火墙同时可以保护网络免受基于路由的攻击，如,IP,选项中的源路由攻击和,ICMP,重定向中的重定向路径攻击。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。除此而外，防火墙还能够强化网络安全策略、监控网络存取和访问、防止内部信息的外泄。,任务,1,了解网络安全,（,3,）防火墙的种类,防火墙从诞生开始，经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。,从原理上来分，防火墙有三种通用类型：数据包过滤型、电路层网关和应用层网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”。,任务,1,了解网络安全,1,）数据包过滤防火墙,包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表来检测攻击行为，如图,9-5,所示。数据包过滤（,Packet Filtering,）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源,IP,地址、目的,IP,地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制，故也称网络层防火墙（,Network Lev Firewall,）或,IP,过滤器（,IP filters,）。,包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单独的主机上进行。,图,9-5,包过滤型防火墙,任务,1,了解网络安全,2,）电路层网关,电路层网关又叫线路级网关，工作在会话层。电路层网关不允许端到端的,TCP,连接，而是由网关建立两个,TCP,连接，一个是在网关本身和内部主机上的一个,TCP,用户之间，一个是在网关和外部主机上的,TCP,用户之间的连接，如图,9-6,所示。一旦两个连接建立，网关将作为连接两端主机的传送,TCP,数据段的驿站，来决定该会话（,Session,）是否合法，而不需要检查其内容，在电路层网关中，包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换包。,电路层防火墙主要是抵挡流量攻击，对病毒、木马等程序访问网络无能为力。,图,9-6,电路层防网关,任务,1,了解网络安全,3,）应用层网关,应用层网关也叫应用层防火墙或应用层代理防火墙，通常被描述为第三代防火墙。,当内部计算机与外部主机连接时，将由代理服务器（,Proxy Server,）担任内部计算机与外部主机的连接中继者，这样可以隐藏内部主机的地址和防止外部不正常的连接，从而保证网络的安全性。,常用的应用层网关的代理服务软件有,Telnet,、,HTTP,、,FTP,、,SMTP,，如图,9-7,所示。应用层网关防火墙可以有效保护应用程序的网络访问控制，缺点是对,DDoS,（,Distributed Denial of Service,，分布式拒绝服务）攻击等无能为力。,图,9-7,应用层网关,任务,1,了解网络安全,电子邮件的安全性与,Web,的安全性,1.,电子邮件的安全性,（,1,）匿名邮件。,（,2,）电子邮件欺骗,（,3,）电子邮件炸弹,2.Web,的安全性,（,1,）,Web,面临的安全威胁,1,）,HTTP,的安全性,2,）,Web,服务器安全性,（,2,）,Web,服务安全防护,1,）提高操作系统的安全，确保服务器本身的安全。,2,）确保,Web,服务器的网络安全。,3,）使用安全的,Web,应用程序，确保这些程序不会带来新的安全漏洞。,4,）为了加强,Web,通信安全，使用安全的,HTTPS,协议。,5,）使用漏洞扫描和风险评估工具定期对,Web,服务器进行扫描和测试，及时发现和解决安全问题。,任务,2,认识网络管理,网络管理的概述,1.,网络管理的概念,按照国际标准化组织（,ISO,）的定义，网络管理是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结果显示给管理员并进行处理，从而控制网络中的设备、设施、工作参数和工作状态，使其可靠地运行。,2.,网络管理系统的组成,网络管理的需求决定网管系统的组成和规模，任何网管系统无论其规模大小如何，基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。,（,1,）网管软件平台。,（,2,）网管支撑软件。,（,3,）网络设备。,任务,2,认识网络管理,网络管理的功能,1.,故障管理（,fault management,）,（,1,）故障检测。,（,2,）故障诊断。,（,3,）故障纠正。,2.,计费管理（,accounting management,）,3.,配置管理（,configuration management,）,（,1,）设置开发系统中有关路由操作的参数。,（,2,）被管对象和被管对象组名字的管理。,（,3,）初始化或关闭被管对象。,（,4,）根据要求收集系统当前状态的有关信息。,（,5,）获取系统重要变化的信息。,（,6,）更改系统的配置，初始化或关闭某些资源。,任务,2,认识网络管理,4.,性能管理（,performance management,）,性能管理的功能包括以下几方面：,（,1,）工作负荷监测、收集和统计数据。,（,2,）判断、报告和报警网络性能。,（,3,）预测网络性能的变化趋势。,（,4,）评价和调整性能指标、操作模式和网络管理对象的配置。,5.,安全管理（,security management,）,网络管理的体系结构,系统管理应用进程（,SMAP,）负责管理整个系统的资源，并提供控制和监测的能力。,根据,OSI,定义，,OSI,网络管理包括管理员和代理两类实体，管理员和代理之间遵循公共管理信息协议（,CMIP,），网络管理的体系结构如图,9-8,所示。,图,9-8,网络管理的体系结构,网络管理协议与技术,1.SNMP,协议,1988,年,Internet,体系结构委员会在原有的简单网关监控协议（,SGMP,）的基础上进一步修改后，发表了简单网络管理协议（,SNMP,），并于,1996,年发表了其改进版。近年来，随着,Internet,和,Intranet,的飞速发展，,SNMP,协议受到广泛的支持，已经成为事实上的标准网络管理协议。,SNMP,不仅包括网络管理协议本身，而且代表采用,SNMP,协议的网络管理框架，一套完整的,SNMP,系统主要包括管理信息库（,MIB,）、管理信息结构（,SMI,）及,SNMP,报文协议。,MIB,是一个信息数据库，它包含被管理设备中有关配置和性能的数据，是网络管理的基础；,SMI,定义了,SNMP,框架所用信息的组织、组成和标识，它还为描述,MIB,对象和描述协议怎样交换信息奠定了基础；,SNMP,报文协议定义,SNMP,数据包的格式、封装、传输细节。,2.CMIP,协议,CMIP,是与通用管理信息服务（,Common Management Information Services,，,CMIS,）同时使用的一种,ISO,协议，支持网络管理应用程序和管理代理之间的信息交换服务。,CMIS,定义了每个网络组成部分提供的网络管理服务，这些服务在本质上是很普通的，,CMIP,则是实现,CMIS,服务的协议。,作为国际标准，,CMIP,主要针对,OSI,七层协议模型的传输环境而设计，采用报告机制，具有许多特殊的设施和能力，需要能力强的处理机和大容量的存储器，因此目前支持它的产品不多，但由于它是国际标准，因此发展前景很广阔。,3.RMON,技术,RMON,是一个标准监控规范，它可以使各种网络监控器和控制台系统之间交换网络监控数据。,RMON,是,SNMP,的一个扩展，遵循,SNMP,的结构，同时又扩展了,SNMP,的功能及应用。,RMON,使用,SNMP,的操作，使用专用于子网监视的监视器收集子网流量信息，并响应管理站的调用。,如图,9-9,是,RMON,技术工作的一个示例，一个管理站管理和监视两个以太网子网和一个,FDDI,子网的流量统计和分析数据，每个子网内都有一个,RMON,代理，只要管理站支持,RMON,功能，就可以让,RMON,代理在子网内自动收集统计信息供管理站查询，并接受管理站的配置，,RMON,也能按照管理站配置的警报自动发送告警信息。,简单网络管理协议,SNMP,是专门设计用于在服务器、工作站、路由器、交换机等,IP,网络管理网络节点的一种标准协议，它是工作在应用层的协议。,1.SNMP,应用模型,SNMP,管理的网络主要由三部分组成：被管理的设备、,SNMP,代理和网络管理系统（,Netware Management System,，,NMS,）。,SNMP,应用模型如图,9-10,所示。,图,9-10 SNMP,应用模型,2.SNMP,的技术内容,SNMP,工作在,TCP/IP,的无连接数据报上，其技术由三个主要的内容构成：管理信息结构,SMI,（,Structure of Management Information,）、管理信息库,MIB,和,SNMP,通信协议。,（,1,）管理信息结构,SMI,。,SMI,是由,ASN.1,定义的,SNMP,管理信息表示方法，为描述,MIB,对象和协议交换数据提供表示手段，是一种定义和构造,MIB,的通用框架。,（,2,）管理信息库,MIB,。,MIB,（,Management Information Base,，管理信息库）是对网络可以访问的所有被管理信息的精确定义。,（,3,）,SNMP,通信协议。协议定义,SNMP,数据包的格式、封装、传输细节。,SNMP,规定了,5,种协议数据单元,PDU,（也就是,SNMP,报文），用来在管理进程和代理之间进行信息交换。,3.SNMP,报文,一个,SNMP,报文共有三个部分组成，即公共,SNMP,首部、,get/set,首部或,trap,首部、变量绑定，如图,9-13,所示。,图,9-13 SNMP,报文组成,项目小结,本章我们重点讨论了网络安全技术和网络管理的概念、功能。了解网络面临的安全威胁和保证网络安全的技术，包括数据加密技术和防火墙技术的概念和设计策略。,我们知道，花费大量时间和资金建立起来的计算机网络，最基本的要求是能够安全可靠地工作，因此必须高度重视网络管理与安全问题。学习了本章内容之后，在今后的工作和学习中我们应该更加重视网络安全的重要性，以免造成灾难性的损失。,谢谢观看,！,