第10章-网络管理与安全.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二1级,第三1级,第四1级,第五级,*,10.1 概论,上世纪,80,年代初期，网络传输技术的发展开始引起世人的注目，许多公司发现使用网络传输技术可以降低硬件上的投资成本，并带来更高的生产力，便一窝蜂地构建各种网络系统，新的网络传输技术一问世马上就有一大堆用户抢着安装。直到上世纪80年代中期许多公司才开始注意到，网络系统的过度扩张，使得网络的管理与维护工作变得越来越棘手。持续在网络构建上的投资不但没有降低硬件上的总投资成本，烦琐的网络设置与维护反而还耗损了原有的生产力。,1,10.2 管理机制,10.2.1 网络管理结构,10.2.2 配置管理,10.2.3 故障管理,10.2.4 故障排除操作的5个步骤,10.2.5 性能管理,10.2.6 安全管理,10.2.7 记账管理,2,10.2 管理机制,10.2.1,网络管理结构,那么“网络管理”的范围又包含哪些项目呢？,10.2.2,配置管理,要使网络系统运作正常，相关的软硬件设备都要通力合作才成。,10.2.3,故障管理,网络随时都保持在正常的运作状态下，是所有网络用户的梦想。,10.2.4,故障排除操作的,5,个步骤,要进行网络管理上的故障排除操作，其实是有标准的执行步骤可循（见图,10-1,）。,3,1.,响应时间（,Response Time,）,使用,PING,工具程序来检测特定网络节点的响应时间。,2.,传输正确率（,Accuracy,）,通过网络传送一个文件到各处后再传送回来，将返回文件与源文件进行比较，若两者完全相同则表示网络传输正常。,3.,传输流量（,Throughput,）与线路使用率（,Utilization,）,网络系统是由一条又一条的传输连线所组成的，若其中某些传输连线或网络连线设备上的数据传输流量与线路使用率增高，那就表示这里的网络,6,连线需要重新调整，以增加传输带宽，进而提升网络运作效益。,10.2.6,安全管理,在一个运作良好的网络系统下，用户可以通过网络连线访问网络上的各种资源。,10.2.7,记账管理,使用网络传输技术，是为了通过网络提高生产力。,1.,资产管理（,Asset Management,）,记录网络传输线路、连接设备、服务器等资源的构建与维护成本，并记录各种网络资源的使用状况，以了解各种网络资源的成本效益。,7,2.,成本控制（,Cost Control,）,对于网络上的消耗性资源（例如：打印纸张、碳粉、墨盒、备份磁带等）必须控制其使用量，以避免不必要的资源浪费。,3.,使用计费（,Charge-back,）,记录网络资源的使用状况，分析各部门资源的使用率，以计算出各部门实际所消耗的资源成本。,8,10.3 管理标准,10.3.1 远程配置通信协议Telnet与HTTP,10.3.2 网络监控通信协议SNMP与RMON,9,10.3 管理标准,随着网络的传输范围越来越大，通过网络进行集中式管理，已是大势所趋。进入网络化的时代以后，若进行网络管理工作时还要亲自跑到用户身旁检查或修改设置值，放着四通八达的网络传输线路不用，岂不是很好笑。,10.3.1,远程配置通信协议,Telnet,与,HTTP,许多网络设备（例如：路由器、防火墙、网络服务器、网络打印机等）都要完成复杂的配置设置后才能发挥出正常的功用，但在节省成本的考虑下，这些网络设备却没有配备显示器、键盘与鼠标。,10,10.3.2,网络监控通信协议,SNMP,与,RMON,秀才不出门能知天下事，现代人通过互联网也的确可以在计算机前掌握天下事。,SNMP,通信协议运作结构,RMON通信协议运作结构,11,10.4 账号与权限管理,“让必要的人员访问相关的资源，将不相干的人员排除在外”是确保网络安全的执行方针。,1.,共享级别的系统安全,在空无一物的山壁前大喊一声：“芝麻开门！”，山壁应声而开，整山的宝藏就展现在您眼前。,Windows 98通过,密码来共享资源,12,2.,用户级别的系统安全,相对于认密码不认人的共享式安全机制，用户级别的系统安全则是另一种会认人的安全机制。,每个共享资源都可以根据账号赋予不同的访问权限,Windows 2000通过账号来设置资源访问权限,JJones账号可以读取此文件夹的文件,Alice账号可以读取并修改此文件夹的文件,Publishl账号可以读取并修改此文件夹的文件,JJones账号可以读取此文件夹的文件,Alice账号可以读取并修改此文件夹的文件,Publishl账号可以读取并修改此文件夹的文件,激光打印机（Everyone，所有登录域的用户都可使用）,（Everyone，所有登录域的用户都可读取）,13,3.,密码设置原则,为了防止密码被“尝试错误法”破解，用户所设置的密码不应过短，更不可以不设密码。,而且应该定期更换密码。但密码更换得太频繁也不见得好。因为如此一来，有些用户就会因为害怕忘记密码，而将密码抄在一张小纸片上，甚至贴在屏幕前或键盘下，反而增加泄密的机会。,此外，有些用户干脆一次就取8个密码，每次网络管理员要求他更换密码时，他就从这8个密码中依次更换成下一个密码。如此一来，这些密码所能提供的保护也将大打折扣。,14,10.5 数据加解密与身份认证,10.5.1 数据安全,10.5.2 不可还原的编码函数,10.5.3 对称密钥加解密函数,10.5.4 非对称密钥加解密函数,10.5.5 散列函数,10.5.6 数字签名,15,10.5 数据加解密与身份认证,10.5.1,数据安全,随着网络的普及，数据通过网络传递已是生活的一部分了。,1.,完整无误（,Integrity,）,确认从网络收到的数据是正确的，途中没有被篡改或变造。,2.,身份验证（,Authentication,）,确认数据发送者的身份。,3.不可否认（Nonrepudiation）,确认其他人无法假冒数据发送者身份，使发送者无法否认这份数据是他所发出的。,16,4.,信息保密（,Confidentiality,）,确保数据在网络上传递时不会被他人窃取。,10.5.2,不可还原的编码函数,若不想在传输途中泄密，则最好将信息经过编码处理，产生另一段编码过的信息。举例来说，可以以,A,取代,Z,，,B,取代,W,等规则，将原来的内容转换成新的编码数据。,表,10-1,最简单的编码函数对照表,17,10.5.3 对称密钥加解密函数,采用“对称密钥加解密函数”的数据加解密系统称为对称式加解密系统，又称为密钥（,Secret Key,）加解密系统，其原理如图,10-9,所示。,原始数据,不可还原编码函数,编码数据,编码数据,原始数据,不可还原编码函数的保护功能,散列函数,对称密钥加解密函数,非对称密钥加解密函数,不可还原编码函数,对称式解密系统的原理,18,10.5.4,非对称密钥加解密函数,采用“非对称密钥加解密函数”的数据保密系统称为非对称加解密系统，又称为公钥（,Public Key,）加解密系统。非对称加解密系统的定义如下：,非对称式解密系统的原理,19,10.5.5,散列函数,散列函数的用途极为广泛，在此仅说明散列函数的特性及其数据安全方面的应用。,散列函数的运作结构,10.5.6,数字签名,在实际的网络应用场合上，若用户想以自己的名义发表一份文件，那他就可以在文件末尾附上“数字签名”（,Digital Signature,），证明这份文件确实是自己发出的，并可确保文件内容不会被篡改。,20,数字签名的产生,数字签名的验证,21,10.6 防火墙,近年来由于互联网的蓬勃发展，大部分的局域网都会与其连接，以利访问丰富的资源。,图,10-14,防火墙,因为外部网络被隔绝在防火墙之外，所以从外部网络无法得知内部网络的实际运作情形，自然就不容易侵入内部网络。,22,10.7 小结,（,1,）网络管理结构包括配置管理、故障管理、性能管理、安全管理、记账管理,5,个部分。,（2）网络管理协议包括远程配置通信协议Telnet与HTTP、网络控制通信协议SNMP与RMON等。,23,（3）数据安全机制的目标有：,1）完整无误；,2）身份验证；,3）不可否认；,4）信息保密。,（4）通过将防火墙的技术与用户授权、用户身份确认、数据加密，以及防病毒等多种方法的结合，来保护网络资料不被非法使用与网络系统不被破坏，以增强网络信息系统的安全。,24,（5）防火墙是根据一定的安全规定来检查、过滤网络之间传送的报文分组，以确定这些报文分组的合法性。,（6）网络安全技术研究的基本问题包括：网络防攻击、网路安全漏洞与对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复。,25,