九網(wǎng)絡管理與網(wǎng)絡安全

1、網(wǎng)絡管理Network Management網(wǎng)絡管理 為什么需要網(wǎng)絡管理？ 人們需要檢測網(wǎng)絡的運行狀況，需要保證網(wǎng)絡安全、可靠、高效地運行，而由于以下因素，網(wǎng)絡復雜程度已超出了人們手工的控制范圍： 規(guī)模不斷擴大：節(jié)點數(shù)從幾十到幾千 復雜性不斷增加：設備類型增多、功能增強 異構性：不同的操作系統(tǒng)、通信協(xié)議（TCP/IP， IPX， X25等）。網(wǎng)絡管理 網(wǎng)絡管理的任務： 收集、監(jiān)控網(wǎng)絡中各種設備和設施的工作參數(shù)、工作狀態(tài)信息，顯示給管理員并接受處理，從而控制網(wǎng)絡中的設備、設施的工作參數(shù)和工作狀態(tài)，以實現(xiàn)對網(wǎng)絡的管理。 網(wǎng)絡管理的內(nèi)容（1）故障管理（2）計費管理（3）配置管理（4）性能管理（5）安

2、全管理網(wǎng)絡管理的功能（1） ：故障管理 故障管理是網(wǎng)絡管理中最基本的功能之一。用戶都希望有一個可靠的計算機網(wǎng)絡。當網(wǎng)絡中某個組成失效時，網(wǎng)絡管理器必須迅速查找到故障并能及時給予排除。分析故障原因對于防止類似故障的再次發(fā)生相當重要。網(wǎng)絡故障管理包括故障檢測、隔離和排除三方面。 網(wǎng)絡管理的功能（2）：計費管理 計費管理用于記錄網(wǎng)絡資源的使用情況，目的是控制和監(jiān)測網(wǎng)絡操作的費用和代價。其作用有： * 計算個用戶使用網(wǎng)絡資源的費用。 * 規(guī)定用戶使用的最大費用 * 當用戶為了一個通信目的需要使用多個網(wǎng)絡中的資源時，計費管理能計算出總費用。網(wǎng)絡管理的功能（3）：配置管理 配置管理用于配置網(wǎng)絡、優(yōu)化網(wǎng)絡。

3、配置管理就是用來對管理對象進行的定義、初始化、控制、鑒別和檢測，以適應系統(tǒng)的要求。其功能包括： * 設置開發(fā)系統(tǒng)中有關路由操作的參數(shù) * 修改被管對象的屬性 * 初始化或關閉被管對象 * 根據(jù)要求收集系統(tǒng)當前狀態(tài)的有關信息 * 更改系統(tǒng)的配置網(wǎng)絡管理的功能（4）：性能管理 性能管理用于對系統(tǒng)運行及通信效率等系統(tǒng)性能進行評價，其能力包括收集、分析有關被管網(wǎng)絡當前的數(shù)據(jù)信息，并維持和分析性能日志和為改善網(wǎng)絡性能而采取的網(wǎng)絡控制兩部分。 功能？網(wǎng)絡管理的功能（5）：安全管理（1） 安全管理一直是網(wǎng)絡系統(tǒng)的薄弱環(huán)節(jié)之一，而用戶對網(wǎng)絡安全的要求往往又相當高，因此網(wǎng)絡安全管理就顯得非常重要。網(wǎng)絡中主要存在

4、以下幾大安全問題： 網(wǎng)絡管理的功能（5）：安全管理（2） * 網(wǎng)絡數(shù)據(jù)的私有性（保護網(wǎng)絡數(shù)據(jù)不被侵入 者非法獲?。?； * 授權（防止侵入者在網(wǎng)絡上發(fā)送錯誤信息）； * 訪問控制（控制對網(wǎng)絡資源的訪問）。 相應地，網(wǎng)絡安全管理包括對授權機制、訪問機制、加密和加密關鍵字的管理，維護和檢查安全日志以及安全告警等。如何進行網(wǎng)絡管理網(wǎng)絡管理通信語言： SNMP協(xié)議網(wǎng)管代理 Agent管理信息庫 MIB 設備2 設備1 網(wǎng)絡管理體系結構管理器代理 MIB代理 MIBSNMPSNMP（get,set,trap.)管理器管理器Manager是一個或一組程序，一般運行在網(wǎng)管中心的主機上，它可以在SNMP的支持下

5、命令管理代理執(zhí)行各種管理操作。管理代理管理代理Agent是一種軟件，在被管理的網(wǎng)絡設備中運行，負責執(zhí)行慣例進程的管理操作。管理代理直接操作本地信息庫（MIB): * 從MIB中讀取各種變量值？ * 從MIB中修改各種變量值管理信息庫MIBMIB由管理對象組成，每個管理代理管理一個本地的MIB庫，各設備的本地MIB庫構成全網(wǎng)的管理信息庫。MIB的結構必須符合Internet的管理信息結構（SMI）。MIB 編碼方法rootccitt(0)iso(1)joint-ISO -ccitt(2)org(3)dod(6)internet(1)directory(1)m gm t(2)experim ent

6、(3)private(4)m ib2(1)system (1)if(2)ifO perstatus(8)enterprise(1)ibm (2)cisco(9)snm p(11)圖 3 2 M IB的 命 名 樹syslocation(6)網(wǎng)管產(chǎn)品前公認的三大網(wǎng)管軟件平臺是：1.HP： OpenView2.IBM： NetView3.SUN： NetManager。網(wǎng)絡安全Network Security幾個網(wǎng)絡攻擊案例 2000/02/09： 雅虎遭到黑客攻擊，導致用戶在幾個小時內(nèi)無法連接到YAHOO網(wǎng)站； 94年末，俄羅斯黑客弗拉基米爾利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計算機上，

7、向美國CITYBANK銀行發(fā)動了一連串攻擊，通過電子轉帳方式，從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。網(wǎng)絡攻擊的威脅 拒絕服務 篡改數(shù)據(jù) 竊取機密數(shù)據(jù) 經(jīng)濟犯罪等常用攻擊手段和工具 電子郵件炸彈 特洛伊木馬 拒絕服務攻擊 IP欺騙攻擊 病毒 掃描器，網(wǎng)絡分析器 口令攻擊拒絕服務攻擊 - Syn FloodingTCP 三次握手AsynBackack, syn拒絕服務攻擊 - Syn Flooding拒絕服務攻擊 - Smurf 是根據(jù)一個攻擊工具“smurf”而命名的攻擊者發(fā)送一個ICMP 回應請求（ECHO REQUEST）報文,目的地址為廣播地址，源地址為偽造的攻擊目

8、標的地址，將導致廣播子網(wǎng)內(nèi)的所有主機向攻擊目標發(fā)送應答報文，大量的報文會導致目標主機無法正常工作。 Smurf 攻擊原理AttackerBACVsrc=V dst= SubNetdst=V, src=Adst=V, src=Bdst=V, src=CSubNet口令攻擊 網(wǎng)絡安全的目標 數(shù)據(jù)完整性 資源可用性 用戶身份認證 數(shù)據(jù)保密性 不可否認性 網(wǎng)絡安全的目標 - 數(shù)據(jù)完整性 完整性指維護信息的一致性，防止非法用戶對系統(tǒng)數(shù)據(jù)的篡改。 實現(xiàn)方法：采用數(shù)據(jù)加密和校驗技術。網(wǎng)絡安全的目標 - 資源可用性 保證合法用戶在任何時候都能使用、訪問資源，阻止非法用戶使用系統(tǒng)資源。 實現(xiàn)方法：訪問控制、防火

9、墻、入侵檢測等。 網(wǎng)絡安全的目標 -用戶身份認證保證通信對方的身份是真實的。 實現(xiàn)方法：帳號-口令，電子證書等。 網(wǎng)絡安全的目標 - 數(shù)據(jù)保密性 數(shù)據(jù)只能為合法用戶所使用，讓非法用戶無法接觸或讀懂數(shù)據(jù)。 實現(xiàn)方法：授權和訪問控制、數(shù)據(jù)加密技術。 網(wǎng)絡安全的目標 - 不可否認性 參與網(wǎng)絡通訊過程的各方（用戶、實體或者進程）無法否認其過去的參與活動； 實現(xiàn)方法：數(shù)字簽名等。網(wǎng)絡安全策略 加密 訪問控制，加強網(wǎng)絡管理（帳號、口令等） 審計 防火墻 入侵檢測如何選擇一個好的口令常見口令選擇方式：姓名、生日、 電話、門牌號、工作證號等好的口令： 大小寫組合、數(shù)字字母組合加 密對稱密鑰 又叫秘密密鑰, 或

10、私鑰。加密和解密采用相同的密鑰。常見加密標準為DES、IDEA和三重DES等。秘密密鑰效率高, 一般采用集中管理和分發(fā)密鑰。公鑰 加密和解密使用不同的密碼 。Kpub公開，Kpriv由密鑰持有人保密。 公鑰加密算法有RSA 算法等, 加密強度很高。對稱密鑰的特點加密、解密速度快通信雙方需要預先協(xié)商密鑰公鑰的特點加密、解密速度慢；適合在網(wǎng)絡環(huán)境中使用；一般用于協(xié)商、加密共享密鑰，數(shù)字簽名等；對稱密鑰實例：移位加密法移位加密法是通過重新安排原文字的順序實現(xiàn)的。如3 2 6 4 1 5 密鑰為GERMAN，明文為： GERMAN it can allow students to I t c a n

11、a get close up views l l o w s t u d e n t s 則密文為： t o g e t c nsttustldooiilutlv l o s e u p awneewatscpcoegse v I e w s 公鑰應用示例：電子證書 數(shù)字證書是經(jīng)證書管理中心數(shù)字簽名的文件。通常包含以下內(nèi)容：證書的版本信息；證書的序列號，每個證書都有唯一的證書序列號；證書所使用的簽名算法；證書的發(fā)行機構名稱；證書的有效期；證書所有人的名稱；證書所有人的公開密鑰；證書發(fā)行者對證書的簽名 公鑰應用示例：數(shù)字簽名1 張三擁有公鑰 ; 將 Kpub公開電子證書；2 張三 用 Kpriv

12、對數(shù)據(jù)DATA進行加密，然后發(fā)送給李四；3 李四用 Kpub電子證書對數(shù)據(jù)DATA進行解密，確認數(shù)據(jù)來自張三； 由上可以看出，簽名實際就是用私鑰對一段數(shù)據(jù)進行加密。 在實際中，由于公鑰加密速度很慢，所以只對報文摘要進行加密，而不是對整個報文進行加密。 防火墻的基本原理防火墻內(nèi)部網(wǎng)絡因特網(wǎng)防火墻配置示例 拒絕：202.114.*.* : Telnet允許：202.114.*.* 202.120.*.* 允許：* 202.120.*.* : WWW 缺?。喝烤芙^ 交大徐匯校區(qū) 202.120.*.*防火墻交大閔行校區(qū) 202.114.*.*因特網(wǎng)防火墻的缺點 不檢測應用層數(shù)

13、據(jù)內(nèi)容 無法防止對應用層協(xié)議的攻擊 無法防止對特定應用程序的攻擊 無法防止來自網(wǎng)絡內(nèi)部的攻擊 統(tǒng)計表明，大多數(shù)攻擊來自網(wǎng)絡內(nèi)部入侵檢測基本原理BridgeWorkstationWorkstationWorkstationWorkstationWorkstation上機作業(yè) 用移位加密法（轉換加密法）講以下明文進行加密，密鑰為DOCUMENT。 “Success is not the key to happiness. Happiness is the key to success. If you love what you are doing, you will be successful.

14、”注：可以將明文存入一個文件，也可以直接用數(shù)組保存。網(wǎng)絡管理 網(wǎng)絡管理的任務： 收集、監(jiān)控網(wǎng)絡中各種設備和設施的工作參數(shù)、工作狀態(tài)信息，顯示給管理員并接受處理，從而控制網(wǎng)絡中的設備、設施的工作參數(shù)和工作狀態(tài)，以實現(xiàn)對網(wǎng)絡的管理。常用攻擊手段和工具 電子郵件炸彈 特洛伊木馬 拒絕服務攻擊 IP欺騙攻擊 病毒 掃描器，網(wǎng)絡分析器 口令攻擊常用攻擊手段和工具 電子郵件炸彈 特洛伊木馬 拒絕服務攻擊 IP欺騙攻擊 病毒 掃描器，網(wǎng)絡分析器 口令攻擊 網(wǎng)絡安全的目標 數(shù)據(jù)完整性 資源可用性 用戶身份認證 數(shù)據(jù)保密性 不可否認性 網(wǎng)絡安全的目標 - 數(shù)據(jù)完整性 完整性指維護信息的一致性，防止非法用戶對系統(tǒng)數(shù)據(jù)的篡改