540 likes | 751 Vues
第 7 章 网络管理技术和网络安全. 本章教学目标. 了解网络管理的基本概念 掌握 Internet 网络管理模型 理解 OSI 管理标准中的 5 个功能域 简单的网络管理协议 了解计算机病毒的预防和清除 理解防火墙技术基本概念、原理等. 7.1 网络管理技术 7.1.1 网络管理概述. 1. 网络管理定义 网络管理 是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作。在 OSI 网络管理标准中定义了网络管理的五大功能,即 配置管理、性能管理、故障管理、安全管理和计费管理 。. 7.1.1 网络管理概述. 常见的网络管理方式有以下几种:
E N D
本章教学目标 • 了解网络管理的基本概念 • 掌握Internet网络管理模型 • 理解OSI管理标准中的5个功能域 • 简单的网络管理协议 • 了解计算机病毒的预防和清除 • 理解防火墙技术基本概念、原理等
7.1 网络管理技术7.1.1 网络管理概述 1.网络管理定义 • 网络管理是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作。在OSI网络管理标准中定义了网络管理的五大功能,即配置管理、性能管理、故障管理、安全管理和计费管理。
7.1.1 网络管理概述 • 常见的网络管理方式有以下几种: • SNMP管理技术 • RMON管理技术 • 基于WEB的网络管理
7.1.1 网络管理概述 2.网络管理的目的 • 提供对计算机网络进行规划、设计、操作运算、监督、分析、控制、评估和扩展的手段,从而合理地组织和利用系统资源,提供安全、可靠、有效和优质的服务。
7.1.1 网络管理概述 • 网络管理涉及的协议包括以下三个方面: • 网络服务提供:包括新服务类型的提供,增加网络设备,提高网络性能 • 网络维护:包括网络性能监控、故障报警、故障诊断、故障隔离与恢复 • 网络处理:包括网络线路和设备利用率、数据采集和分析以及提高网络利用率的各种控制。
7.1.1 网络管理概述 3.Internet网络管理模型 网络管理进程 (控制中心) 管理代理 管理代理 外部代理 外部代理 管理对象 管理对象 管理对象 管理对象 图7-1 网络管理模型 管理代理:网络管理系统中管理动作的执行机构 外部代理:专门为不符合管理协议标准的网络元素而设计
7.1.1 网络管理概述 • OSI 网络管理的功能域 • ISO认为OSI网络管理是指控制、协调和监督OSI环境下的网络通信服务和信息处理活动 • 网络管理的目标是确保网络的正常运行,或者当网络运行出现异常时能够及时响应和排除故障 • 在OSI网络管理框架模型中,基本的网络管理功能被分成五个功能域
OSI 网络管理的功能域 • 配置管理 • 故障管理 • 性能管理 • 安全管理 • 计费管理
(1)配置管理 • 网络配置是指网络中各设备的功能、设备之间的连接关系和工作参数等。由于网络配置经常需要进行调整,所以,网络管理必须提供足够的手段来支持系统配置的改变。配置管理就是用来支持网络服务的连续性而对管理对象进行的定义、初始化、控制、鉴别和检测,以适应系统要求。
(1)配置管理 • 配置管理提供的主要功能包括: • 资源与其名字对应 • 收集和传播系统当前资源的状况及其现行状态 • 对系统日常操作的参数进行设置和控制 • 修改系统属性 • 更改系统配置,初始化或关闭某些资源 • 系统配置的重大变化监控 • 管理配置信息库 • 设备的备用关系管理
(2)故障管理 • 故障管理用来维护网络的正常运行。在网络运行过程中,由于故障使系统不能达到它们的运营目的。 • 故障管理主要解决的是与检测、诊断、恢复和排除设备故障有关的网络管理功能,通过故障管理来及时发现故障,找出故障原因,实现对系统异常操作的检测、诊断、跟踪、隔离、控制和纠正等。
(3)性能管理 • 性能管理用于对管理对象的行为和通信活动的有效性进行管理 • 性能管理通过收集统计数据,对收集的数据应用一定的算法进行分析以获得系统的性能参数,以保证网络的可靠、连续通信的能力 • 性能管理由用于对网络工作状态信息的收集和整理的性能检测部分、用于改善网络设备的性能而采取的动作和操作的网络控制两部分组成
(3)性能管理 • 性能管理提供的主要功能包括: • 监测工作负荷,收集和统计数据 • 对网络性能进行判断、报告和报警 • 预测网络性能的变化趋势 • 对性能指标、操作模式和网络管理对象的配置进行评价和调整
(4)安全管理 • 安全管理包括安全特征的管理和管理信息的安全管理。 • 安全特征的管理提供安全的服务,以及安全机制变化的控制,直至物理场地、人员的安全,病毒防范措施,操作过程的连续性,灾难时恢复措施的计划与实施等内容;管理信息的安全是保障管理信息自身的安全。
(4)安全管理 • 安全管理提供的主要功能包括: • 安全报警 • 安全审计跟踪功能 • 访问控制
(5)计费管理 • 计费管理是对使用管理对象的用户进行校算费用、收取费用,计费的管理。记账管理提供的主要功能包括: • 通知用户缴纳费用 • 设置用户费用上限
(5)计费管理 • 在必须使用多个通信实体才能完成通信时,能够把使用多个通信实体时的费用结合起来。计费管理提供的主要功能包括: • 以一致的格式和手段来收集、总结、分析和表示计费信息 • 在计算费用时应有能力选取计算所需的数据 • 有能力根据资源使用情况调整价目表,根据选定的价目、算法计算用户费用 • 有能力提供用户账单、用户明细账和分摊账单 • 所出账单应有能力根据需要改变格式而无需重新编程 • 便于检索、处理,费用可再分配
7.1.2 简单网络管理协议(SNMP) • 一、 SNMP概述 SNMP的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB体系结构,改进后的协议就是著名的SNMP。SNMP的目标是管理互联网上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
1. SNMP的体系结构 • SNMP的体系结构是围绕着以下四个概念和目标进行设计的:保持管理代理(agent)的软件成本尽可能低;最大限度地保持远程管理的功能,以便充分利用Internet的网络资源;体系结构必须有扩充的余地;保持SNMP的独立性,不依赖于具体的计算机、网关和网络传输协议。在最近的改进中,又加入了保证SNMP体系本身安全性的目标。
2.SNMP管理控制框架 • SNMP定义了管理进程(manager)和管理代理(agent)之间的关系,这个关系称为共同体(community)。描述共同体的语义是非常复杂的,但其句法却很简单。位于网络管理工作站(运行管理进程)上和各网络元素上利用SNMP相互通信对网络进行管理的软件统统称为SNMP应用实体。若干个应用实体和SNMP组合起来形成一个共同体,不同的共同体之间用名字来区分,共同体的名字则必须符合Internet的层次结构命名规则,由无保留意义的字符串组成。此外,一个SNMP应用实体可以加入多个共同体。
2.SNMP管理控制框架 • SNMP的报文总是源自每个应用实体,报文中包括该应用实体所在的共同体的名字。这种报文在SNMP中称为“有身份标志的报文”,共同体名字是在管理进程和管理代理之间交换管理信息报文时使用的。管理信息报文中包括以下两部分内容: (1)共同体名,加上发送方的一些标识信息(附加信息),用以验证发送方确实是共同体中的成员,共同体实际上就是用来实现管理应用实体之间身份鉴别的; (2)数据,这是两个管理应用实体之间真正需要交换的信息。
2.SNMP管理控制框架 • 信息是以表格形式(一种数据结构)存放的,在SNMP的管理概念中,把所有表格都视为子树,其中一张表格(及其名字)是相应子树的根节点,每个列是根下面的子节点,一列中的每个行则是该列节点下面的子节点,并且是子树的叶节点,如下图所示。因此,按照前面的子树遍历思路,对表格的遍历是先访问第一列的所有元素,再访问第二列的所有元素……,直到最后一个元素。若试图得到最后一个元素的“下一个”元素,则返回差错标记。
7.1.3 常用的网络管理软件 • HP公司的OpenView,一个获得广泛使用的网络管理系统,能够自动搜索网络拓扑结构图,进行性能和吞吐量以及历史数据分析 • Cisco公司的Cisco Works,基于SNMP的网络管理应用系统,建立在工业标准平台上,能集成到几种流行的网络管理平台中 • Network IT,采用CA的神经网络技术,具备预测网络问题的功能,并在这些问题影响业务之前予以解决 • Cabletron的SPECTRUM • IBM公司的NetView • Sun公司的NetManager
7.2 网络安全基础知识 7.2.1 网络安全的定义及建设原则 1.计算机网络安全的定义 • 从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害 • 从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。
7.2.1 网络安全的定义及建设原则 2.网络安全建设原则 • 综合原则 • 同步性原则 • 标准化原则 • 可扩充性原则 • 配比原则 • 遵循性原则
7.2.2 网络安全的主要威胁 • 非授权访问 • 泄漏或丢失信息 • 破坏数据完整性 • 拒绝服务攻击 • 网络内部安全防范 • 传播网络病毒
网络中的信息安全问题 • 信息存储安全与信息传输安全: • 信息存储安全 如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用 • 信息传输安全 如何保证信息在网络传输的过程中不被泄露 与不被攻击
计算机网络上的通信面临以下的四种威胁: 截获——从网络上窃听他人的通信内容。 中断——有意中断他人在网络上的通信。 篡改——故意篡改网络上传送的报文。 伪造——伪造信息在网络上传送。
对网络的被动攻击和主动攻击 源站 目的站 源站 目的站 源站 目的站 源站 目的站 中断 篡改 伪造 截获 被动攻击 主 动 攻 击 • 截获信息的攻击称为被动攻击,而更改信息和拒绝 用户使用资源的攻击称为主动攻击
被动攻击和主动攻击 • 在被动攻击中,攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流 • 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 • 更改报文流 • 拒绝报文服务 • 伪造连接初始化
网络内部安全防范 • 网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为; • 对网络与信息安全有害的行为包括: •有意或无意地泄露网络用户或网络管理员口令; •违反网络安全规定,绕过防火墙,私自和外部网络连接,造成 系统安全漏洞; •违反网络使用规定,越权查看、修改和删除系统文件、应用程 序及数据; •违反网络使用规定,越权修改网络系统配置,造成网络工作不正常; • 解决来自网络内部的不安全因素必须从技术与管理两个方面入手。
网络防病毒 • 引导型病毒 • 可执行文件病毒 • 宏病毒 • 混合病毒 • 特洛伊木马型病毒 • 蠕虫病毒 • Internet语言病毒
7.2.3 网络安全的关键技术 • 防火墙技术 • 数据加密技术 • 智能卡技术
1. 防火墙技术 • 防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件 • 设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。
防火墙在互连网络中的位置 防火墙 不可信赖的网络 可信赖的网络 分组过滤 路由器R 分组过滤 路由器R 应用网关 G 因特网 内联网 外局域网 内局域网
防火墙的功能 • 防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(security perimeter); • 构成防火墙系统的两个基本部件是包过滤路由器(packet filtering router)和应用级网关(application gateway); • 最简单的防火墙由一个包过滤路由器组成,而复杂的防火墙系统由包过滤路由器和应用级网关组合而成
防火墙技术一般分为两类 • 网络级防火墙——用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套准则的数据,而后者则是检查用户的登录是否合法。 • 应用级防火墙——从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止 FTP 应用的通过。
防火墙的局限性 • 尽管利用防火墙可以保护安全网免受外部黑客的攻击,但它只是能够提高网络的安全性,不可能保证网络绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁
2.数据加密技术 • 数据传输加密技术 • 数据存储加密技术 • 数据完整性鉴别技术 • 密钥管理技术 3.智能卡技术
7.3 计算机病毒的预防与清除 7.3.1 计算机病毒 计算机病毒是一个程序,一段可执行码 ,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。
7.3.2 计算机病毒的特点 • 高频度 • 传染性 • 变种多 • 诱惑性 • 隐蔽性 • 形式多样,难根除 • 非授权可执行性 • 具有病毒、蠕虫和后门(黑客)程序的功能
7.3.3 计算机病毒的分类 1.按照计算机病毒攻击的系统分类 • 攻击DOS系统病毒 • 攻击Windows系统的病毒 • 攻击Unix系统的病毒 • 攻击OS/2系统的病毒
7.3.3 计算机病毒的分类 2.按照病毒的攻击机型分类 • 攻击微型计算机的病毒 • 攻击小型机的病毒 • 攻击工作站的病毒
7.3.3 计算机病毒的分类 3.按照寄生方式划分 • 引导型病毒 • 文件型病毒 • 复合型病毒
7.3.3 计算机病毒的分类 4.按照传播媒介分类 • 单机病毒 • 网络病毒
网络病毒实例——电子邮件病毒 1.电子邮件病毒的特点 • 邮件格式不统一,杀毒困难 • 传播速度快,传播范围广,破坏力大 2.电子邮件病毒的防范措施 • 首先,不要轻易打开陌生人来信中的附件文件。 • 对于比较熟悉、了解的朋友们寄来的信件,如果其信中夹带了程序附件,但是他却没有在信中提及或是说明,也不要轻易运行。
网络病毒实例——电子邮件病毒 • 给别人发送程序文件甚至包括电子贺卡时,一定要先在自己的计算机中试试,确认没有问题后再发,以免好心办了坏事。 • 不断完善“网关”软件及病毒防火墙软件,加强对整个网络入口点的防范。 • 使用优秀的防毒软件对电子邮件进行专门的保护。 • 使用防毒软件同时保护客户机和服务器。 • 使用特定的SMTP杀毒软件。
7.4 防火墙技术 7.4.1 防火墙的发展 1.基于路由器的防火墙 2.用户化的防火墙工具套 3.建立在通用操作系统上的防火墙 4.第四代防火墙的主要技术及功能