第11章网络管理与网络安全.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,11,章 网络管理与网络安全,【,本章内容简介,】,网络管理是对组成网络的各种硬软件设施的综合管理，网络安全是保障计算机正常工作的基础。本章在网络管理技术部分主要介绍了网络管理的内容、功能域和,SNMP,协议；在网络安全部分主要介绍了网络安全的需求特性、防火墙技术、密码与信息加密、网络病毒防治和,VPN,技术等。,【,本章重点难点,】,重点掌握,OSI,网络管理功能域、网络安全系统的功能、加密算法和密钥的概念、防火墙的体系结构、病毒的检测和防治。,11.1,网络管理技术,11.1.1,网络管理概述,1,网络管理主要内容,（,1,）网络服务（,2,）网络维护（,3,）网络处理,2,网络管理目的,（,1,）同时支持网络监视和控制两方面的能力；,（,2,）能够管理所有的网络协议，容纳不同的网络管理系统；,（,3,）提供尽可能大的管理范围；,（,4,）尽可能小的系统开销，提供较多网络管理信息；,（,5,）网络管理的标准化；,（,6,）网络管理在网络安全性方面应能发挥更大的作用；,（,7,）网络管理应具有一定的智能。,3,网络管理系统基本结构,（,1,）管理对象（,2,）管理进程,（,3,）管理协议（,4,）管理信息库,11.1.2 OSI,网络管理功能域,为了实现不同网络管理系统之间的互操作，支持各种网络的互联管理的要求，在,OSI,网络管理标准中定义了,5,个管理功能域，它们分别完成不同的管理。被定义的,5,个功能域只是网络管理的最基本功能，它们需要通过与其他开放系统交换管理信息来实现。,1,配置管理,2,故障管理,3,性能管理,4,安全管理,5,计费管理,11.1.3,简单网络管理协议,SNMP,1.SNMP,概述,SNMP,的体系结构分为,SNMP,管理者和,SNMP,代理者，每一个支持,SNMP,的网络设备中都包含一个代理，此代理随时记录网络设备的各种情况。,SNMP,网络管理模型如图,11-1,所示。,图,11-1 SNMP,网络管理模型,11.1.3,简单网络管理协议,SNMP,2,SNMP,体系结构的特点,（,1,）尽可能地降低管理代理的软件成本和资源要求,（,2,）提供较强的远程管理功能,（,3,）体系结构具备可扩充性,（,4,）协议本身具有较强的独立性,3,SNMP,操作命令,（,1,）取（,get,）,（,2,）取下一个（,get next,）,（,3,）设置（,set,）,（,4,）报警（,trap,）：,11.1.3,简单网络管理协议,SNMP,4,SNMP,的工作原理,SNMP,有,5,种消息类型：（,1,）,Get Request,（,2,）,Get Response,（,3,）,Get Next Request,（,4,）,Set Request,（,5,）,Trap,5,网络管理平台,网络管理平台向上为各类专用网管提供了统一的标准应用程序接口,API,网管平台如图,11-2,所示。,图,11-2,网管平台,11.2,网络安全概述,11.2.1,网络安全的基本概念,国际化标准组织引用,ISO74982,文献中对安全的定义是：安全就是最大程序地减少数据资源被攻击的可能性。网络安全所涉及的领域如图,11-3,所示。,图,11-3,网络安全所涉及的知识领域,11.2.2,网络安全的需求特性,网络安全一般是指网络信息的可用性、完整性、保密性、真实性和安全保证。,5,种安全的需求特性是相互依赖的，它们之间的关系如图,11-4,所示。,图,11-4,安全需求特性的相互依赖关系,11.2.3,网络安全的威胁因素,网络威胁是指安全性受到潜在破坏，网络安全所面临威胁的几种形式如图,11-5,所示。,图,11-5,网络安全攻击的几种形式,11.2.4,网络安全系统的功能,一个网络安全系统应具有如下的功能：,l,身份认证,2,访问控制,3,数据保密性,4,数据完整性,5,防抵赖,6,密钥管理,11.2.5,网络安全的等级标准,l,美国国防部开发的计算机安全标准,美国国防部国家计算机安全中心代表美国国防部制定并出版了可信计算机安全评价标准,TCSEC,，即著名的“桔皮书”，橘皮书将计算机系统安全性划分为,A,、,B,、,C,、,D,四个等级。,2,国际标准化组织的,CC,标准,CC,标准是国际标准化组织,ISO/IEC JTC1,发布的一个标准，其标准编号为,ISO/IEC 15408,。,3,我国网络安全评价标准,（,1,）第一级为用户自主保护级,（,2,）第二级为系统审计保护级,（,3,）第三级为安全标记保护级,（,4,）第四级为结构化保护级,（,5,）第五级为访问验证保护级,11.3,密码与信息加密,11.3.1,密码学的基本概念,传统的密码体制加密密钥和解密密钥相同，也称为对称密码体制，如果加密密钥和解密密钥不相同，则称为非对称密码体制。密码技术中的加密解密的一般模型如图,11-6,所示。,图,11-6,数据加,/,解密模型,对称加密也叫做常规加密或传统密码算法，加密密钥能够从解密密钥中推算出来，反之也成立。对称加密技术的模型如图,11-8,所示。,11.3.2,对称加密算法,图,11-8,对称加密体制模型,11.3.3,非对称加密算法,非对称加密又称为公开密钥加密，它涉及到两种独立密钥的使用，而且这两种密钥总是成对生成的，一个作为公开密钥（简称公钥），另外 一个作为私有密钥（简称私钥）。当一个消息采用公钥加密后，只能采用私钥进行解密，非对称算法加密的模型如图,11-9,所示。,图,11-9,非对称加密体制模型,11.3.4,报文鉴别,所谓鉴别就是信息的接收者对数据进行的验证，报文鉴别就是信息在网络的传输过程中，能够保证数据的真实性和完整性，即数据确实来自于其真正的发送者而非假冒，数据的内容没有被篡改或伪造。,现在通常采用报文摘要（,Message Digest,）算法来实现报文鉴别。报文鉴别的模型如图,11-11,所示。,图,11-11,报文鉴别,11.4,防火墙技术,11.4.1,防火墙概述,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，防火墙的位置与作用如图,11-12,所示。,图,11-12,防火墙的位置与作用示意图,11.4.2,防火墙的主要类型,1,网络级防火墙,网络级防火墙也称包过滤防火墙，是在网络层对数据包进行选择，通常由一部路由器或一部充当路由器的计算机组成。包过滤路由器的结构如图,11-13,所示。,图,11-13,包过滤路由器的结构,11.4.2,防火墙的主要类型,2,应用级防火墙,应用级防火墙也称应用级网关防火墙，它是在网络应用层上建立协议过滤和转发功能，应用级网关结构如图,11-14,所示。,图,11-14,应用级网关的结构,11.4.2,防火墙的主要类型,3,电路级防火墙,电路级防火墙也称电路层网关型防火墙，它监视两台主机建立连接的握手信息，从而判断请求是否合法。电路组防火墙工作原理如图,11-16,所示。,图,11-16,电路级防火墙工作原理,11.4.3,防火墙的体系结构,1,双宿主机体系结构,双宿主机体系结构又称双宿网关防火墙，它是一种拥有两个或多个连接到不同网络上的网络接口防火墙，通常用一台装有两块或多块网卡的堡垒主机做防火墙，其体系结构如图,11-17,所示。,图,11-17,双宿堡垒主机防火墙体系结构,11.4.3,防火墙的体系结构,2.,屏蔽主机体系结构,屏蔽主机体系结构使用一个单独的路由器提供内部网络相连堡垒主机的服务。在这种安全体系结构中，主要的技术是包过滤，被屏蔽主机的体系结构如图,11-18,所示。,图,11-18,屏蔽主机防火墙体系结构,11.4.3,防火墙的体系结构,3,屏蔽子网,屏蔽子网体系结构这种方法是通过增加边界网络来隔离内部网络与外部网络，进一步提高了安全性，屏蔽子网体系结构如图,11-19,所示。,图,11-19,被屏蔽子网防火墙体系结构,11.5,网络防病毒技术,11.5.1,计算机病毒概述,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,网络计算机病毒主要是指主要通过网络作为病毒传送媒介的病毒，在网络环境下,病毒可以按指数增长模式进行传染，其传播速度是非网络环境下要快许多。,11.5.2,计算机病毒的检测和防治,1,病毒的检测,通常计算机病毒的检测有手工检测和自动检测两种方法。,2,病毒的防治,（,1,）建立健全法律制度,（,2,）二是加大技术投入与研究力度,3,局域网防治计算机病毒的策略,（,1,）在因特网接入口处安装防火墙式防杀计算机病毒产品,（,2,）对邮件服务器进行监控，防止带毒邮件进行传播,（,3,）对局域网用户进行安全培训,（,4,）建立局域网内部的升级系统,11.5.3,反病毒软件的组成和特点,1,反病毒技术的实现方式,（,1,）实时监视技术,（,2,）自动解压缩技术,（,3,）全平台反病毒技术,2,反病毒软件的组成,（,1,）病毒扫描程序,（,2,）内存扫描程序,（,3,）完整性检查器,（,4,）行为监视器,3,反病毒软件的特点,（,1,）能够识别并清除病毒,（,2,）查杀病毒引擎库需要不断更新,11.6 VPN,技术,11.6.1 VPN,概述,虚拟专用网,VPN,是通过一个公用网络建立一个临时的、安全的连接。虚拟专用网虽然不是真的专用网络，但却能够实现专用网络的功能。,VPN,采用了所谓的“隧道”技术，如图,11-20,所示。,图,11.20 VPN,的隧道技术,11.6.2 VPN,协议,1,VPN,安全技术,VPN,主要采用,4,项技术来保证安全，这,4,项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。,2,VPN,的隧道协议,VPN,中的隧道是由隧道协议形成的，,VPN,使用的隧道协议主要有点到点隧道协议,(PPTP),、第二层隧道协议,(L2TP),以及,IPSec,协议。,