計(jì)算機(jī)三級(jí)考試12課件

第九章網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全主要內(nèi)容網(wǎng)絡(luò)管理網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)管理定義對(duì)組成網(wǎng)絡(luò)的各種軟、硬件設(shè)施進(jìn)行綜合管理，以充分發(fā)揮這些設(shè)施的作用主要功能維護(hù)網(wǎng)絡(luò)的正常高效運(yùn)行即時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障并進(jìn)行報(bào)告和處理提供各種實(shí)施管理的有效輔助工具體現(xiàn)網(wǎng)絡(luò)服務(wù)質(zhì)量（QoS，QualityofService）網(wǎng)管標(biāo)準(zhǔn)ISO7498-4規(guī)范五大功能：配置管理（ConfigurationManagement）性能管理（PerformanceManagement）故障管理（FaultManagement）安全管理（SecurityManagement）計(jì)費(fèi)管理（AccountingManagement）配置管理自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，構(gòu)造和維護(hù)網(wǎng)絡(luò)系統(tǒng)的配置；監(jiān)測(cè)網(wǎng)絡(luò)被管對(duì)象的狀態(tài)，完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語(yǔ)法檢查；配置自動(dòng)生成和自動(dòng)配置備份系統(tǒng)，對(duì)于配置的一致性進(jìn)行嚴(yán)格的檢驗(yàn)性能管理采集、分析網(wǎng)絡(luò)對(duì)象的性能數(shù)據(jù)，監(jiān)測(cè)網(wǎng)絡(luò)對(duì)象的性能，對(duì)網(wǎng)絡(luò)線路質(zhì)量進(jìn)行分析；統(tǒng)計(jì)網(wǎng)絡(luò)運(yùn)行狀態(tài)信息，對(duì)網(wǎng)絡(luò)的使用發(fā)展作出評(píng)測(cè)、估計(jì)，為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)故障管理過(guò)濾、歸并網(wǎng)絡(luò)事件；有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障；給出排錯(cuò)建議與排錯(cuò)工具，形成整套的故障發(fā)現(xiàn)、報(bào)警與處理機(jī)制安全管理主要任務(wù)：結(jié)合使用用戶認(rèn)證、訪問(wèn)控制、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)的保密與完整性機(jī)制，以保障網(wǎng)絡(luò)管理系統(tǒng)本身的安全；維護(hù)系統(tǒng)日志，使系統(tǒng)的使用和網(wǎng)絡(luò)對(duì)象的修改有據(jù)可查；控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。由各類專業(yè)網(wǎng)絡(luò)安全產(chǎn)品實(shí)現(xiàn)計(jì)費(fèi)管理主要任務(wù)：對(duì)網(wǎng)際互聯(lián)設(shè)備按IP地址的雙向流量統(tǒng)計(jì)，產(chǎn)生多種信息統(tǒng)計(jì)報(bào)告及流量對(duì)比提供網(wǎng)絡(luò)計(jì)費(fèi)工具，以便用戶根據(jù)自定義的要求實(shí)施網(wǎng)絡(luò)計(jì)費(fèi)由電信等網(wǎng)絡(luò)運(yùn)營(yíng)商專用軟硬件實(shí)現(xiàn)網(wǎng)絡(luò)管理體系和標(biāo)準(zhǔn)SNMP（SimpleNetworkManagementProtocol），即簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)單易行網(wǎng)絡(luò)管理設(shè)備和產(chǎn)品基本上都支持CMIP（CommonManagementInformationProtocol），即公共管理信息協(xié)議規(guī)范OSI制定的系列標(biāo)準(zhǔn)將網(wǎng)絡(luò)管理的能力進(jìn)行抽象并映射到OSI參考模型比較復(fù)雜

SNMP協(xié)議基本功能監(jiān)視網(wǎng)絡(luò)性能、檢測(cè)分析網(wǎng)絡(luò)差錯(cuò)和配制網(wǎng)絡(luò)設(shè)備基于UDP協(xié)議進(jìn)行傳輸版本SNMPv1，基本版本SNMPv2，增加了批量數(shù)據(jù)傳輸SNMPv3，增加了管理的安全性SNMP管理框架組成：SNMP管理者、SNMP代理（Agent）、管理信息庫(kù)MIB和SNMP協(xié)議統(tǒng)一收集Agent數(shù)據(jù)、發(fā)布信息由多個(gè)管理對(duì)象組成，用來(lái)記錄各個(gè)管理對(duì)象的參數(shù)值一收集數(shù)據(jù)、發(fā)布信息運(yùn)行在網(wǎng)絡(luò)設(shè)備中的一個(gè)管理進(jìn)程；監(jiān)視設(shè)備MIB中各管理對(duì)象的參數(shù)值變化，及時(shí)更新MIB庫(kù)的參數(shù)值；響應(yīng)SNMP管理者管理請(qǐng)求，發(fā)送返回?cái)?shù)據(jù)為管理者與Agent之間的通信提供規(guī)范管理信息庫(kù)MIBMIB庫(kù)是設(shè)備對(duì)象信息組織方式樹(shù)狀結(jié)構(gòu)每個(gè)結(jié)點(diǎn)對(duì)象編號(hào)，OID

表示：ernetSNMP協(xié)議工作模式

管理方式主動(dòng)輪詢，管理中心定時(shí)向各個(gè)被管理對(duì)象發(fā)出詢問(wèn)，獲取其應(yīng)答信息匯報(bào)機(jī)制，當(dāng)被管對(duì)象發(fā)生了緊急情況時(shí)就主動(dòng)向管理中心匯報(bào)SNMP協(xié)議是一個(gè)異步請(qǐng)求/響應(yīng)協(xié)議SNMP管理者發(fā)出請(qǐng)求后，立刻執(zhí)行下面的步驟，不會(huì)等待代理應(yīng)答當(dāng)代理的應(yīng)答返回后，管理者再進(jìn)行處理提供四類操作獲取設(shè)備的OID屬性值網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理平臺(tái)網(wǎng)絡(luò)設(shè)備廠商提供第三方開(kāi)發(fā)商提供實(shí)現(xiàn)配置管理、性能管理、故障管理

網(wǎng)絡(luò)監(jiān)控和嗅探工具輔助管理命令網(wǎng)絡(luò)監(jiān)控嗅探工具

捕獲底層網(wǎng)絡(luò)數(shù)據(jù)包，建立網(wǎng)絡(luò)監(jiān)控應(yīng)用軟件如：Etheral輔助管理命令

連通性測(cè)試程序Ping路由跟蹤程序Traceroute

（Tracert

）網(wǎng)絡(luò)狀態(tài)命令NetStat

MIBView工具網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全的目標(biāo)網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全層次體系網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全目標(biāo)完整性保證網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性方法：糾錯(cuò)編碼方法、協(xié)議、密碼校驗(yàn)可用性

保證網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性方法：身份識(shí)別、訪問(wèn)控制保密性網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過(guò)程，或供其利用的特性方法：防偵聽(tīng)/輻射、加密、物理保密可靠性網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定功能的特性主要從抗毀性、生存性和有效性三個(gè)方面來(lái)衡量不可抵賴性信息交互過(guò)程中，確信參與者的真實(shí)同一性方法：PKI/PMI可控性可控性是確保一個(gè)實(shí)體的訪問(wèn)動(dòng)作可以被唯一地區(qū)別、跟蹤和記錄的特性方法：跟蹤、審計(jì)網(wǎng)絡(luò)安全威脅外力影響人員疏忽病毒惡意攻擊信息泄露和丟失系統(tǒng)與網(wǎng)絡(luò)軟件漏洞網(wǎng)絡(luò)安全的層次體系網(wǎng)絡(luò)層安全防火墻產(chǎn)品虛擬專用網(wǎng)VPN入侵檢測(cè)技術(shù)網(wǎng)絡(luò)訪問(wèn)是否得到控制，即是不是任何數(shù)據(jù)都能夠進(jìn)出網(wǎng)絡(luò)操作系統(tǒng)安全安全等級(jí)防病毒防黑客攻擊用戶安全用戶、口令PKI身份認(rèn)證應(yīng)用安全授權(quán)管理設(shè)施PMI一是應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限；二是應(yīng)用程序?qū)τ脩舻暮戏?quán)限數(shù)據(jù)安全加密技術(shù)網(wǎng)絡(luò)層SSL協(xié)議機(jī)密數(shù)據(jù)是否還處于機(jī)密狀態(tài)，數(shù)據(jù)經(jīng)過(guò)傳輸后是否完整無(wú)誤安全措施包括：采用安全性能較高的操作系統(tǒng)；對(duì)操作系統(tǒng)進(jìn)行安全配置；進(jìn)行漏洞掃描及時(shí)對(duì)操作系統(tǒng)的補(bǔ)丁，病毒防護(hù)的補(bǔ)丁進(jìn)行更新升級(jí)是否只有那些真正被授權(quán)的用戶才能夠使用系統(tǒng)中的資源和數(shù)據(jù)網(wǎng)絡(luò)安全技術(shù)加密與認(rèn)證技術(shù)防火墻技術(shù)入侵檢測(cè)技術(shù)VPN技術(shù)網(wǎng)絡(luò)病毒加密與認(rèn)證技術(shù)早期加密明文報(bào)文：

RETURNTOBASE加密報(bào)文：UHWXUQWREDVH凱撒密碼每個(gè)字符都被它的后三個(gè)字母所替換，這里后三個(gè)字符就是密碼學(xué)中的密鑰（SecretKey）

對(duì)稱密鑰算法加密和解密的算法是相同的

強(qiáng)度依賴于加密密鑰的安全性，而不依賴于加密算法的保密可以使用密鑰空間窮舉法進(jìn)行破解

代表算法：DES，速度快

公開(kāi)密鑰算法加密和解密使用不同的密鑰公開(kāi)密鑰（PublicKey），對(duì)外發(fā)布，網(wǎng)絡(luò)服務(wù)器注冊(cè)秘密密鑰（SecretKey），用戶保存代表算法：RSA算法，速度慢應(yīng)用方式如果某用戶想與另一用戶進(jìn)行保密通信，只需從公鑰簿上查出對(duì)方的加密密鑰，用它對(duì)所傳送的信息加密發(fā)出即可。對(duì)方收到信息后，用僅為自己所知的解密密鑰將信息脫密，了解報(bào)文的內(nèi)容。加密應(yīng)用RSA算法和DES結(jié)合使用DES用于明文加密RSA用于DES密鑰的加密DES加密速度快，適合加密較長(zhǎng)的報(bào)文；而RSA可解決DES密鑰分配的問(wèn)題公開(kāi)密鑰設(shè)施PKICA認(rèn)證中心，向用戶發(fā)放數(shù)字證書包括：一個(gè)擁有者的公開(kāi)密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名（私鑰）簽名私鑰保存在硬件卡（通常是USB棒）中報(bào)文摘要技術(shù)完整性要求信息在傳輸過(guò)程中未被非授權(quán)用戶篡改，信息在傳輸過(guò)程中完整無(wú)缺使用加密算法，代價(jià)太高報(bào)文摘要使用比原文少得多的文字概括文章的主要內(nèi)容算法要求：1）給定報(bào)文P，能夠很容易計(jì)算出報(bào)文摘要MD(P)；2）知道報(bào)文摘要MD(P)，不能反推出報(bào)文P；3）在計(jì)算可行性上，對(duì)于任何報(bào)文P，無(wú)法找到另一個(gè)報(bào)文P’，P≠P’，但MD(P)=MD(P’)。報(bào)文摘要技術(shù)應(yīng)用成熟算法MD5（MessageDigest5）和SHA-1（SecureHashAlgorithm1）防火墻防火墻由一系列軟件或硬件設(shè)備構(gòu)成一個(gè)系統(tǒng)，放置于兩個(gè)信任級(jí)別不同的網(wǎng)絡(luò)之間，是這兩個(gè)網(wǎng)絡(luò)之間信息的唯一交換出口，控制兩個(gè)網(wǎng)絡(luò)之間的通信工作原理按照事先規(guī)定好的配置和規(guī)則，檢測(cè)并過(guò)濾所有通向外部網(wǎng)絡(luò)和從外部網(wǎng)絡(luò)傳來(lái)的信息，只允許授權(quán)的數(shù)據(jù)通過(guò)記錄有關(guān)的連接來(lái)源、服務(wù)器的通信量以及試圖闖入內(nèi)部網(wǎng)絡(luò)的任何企圖，以方便管理員檢測(cè)和跟蹤。應(yīng)用代理防火墻完全“隔斷”內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的直接通信通過(guò)為每種應(yīng)用服務(wù)編制專門的代理程序防火墻分類包過(guò)濾防火墻工作在網(wǎng)絡(luò)體系結(jié)構(gòu)中的網(wǎng)絡(luò)層和傳輸層設(shè)置一系列包過(guò)濾規(guī)則主要用來(lái)防止外來(lái)攻擊限制內(nèi)部用戶訪問(wèn)某些外部資源規(guī)則定義源IP地址=/24.and.目的IP=/32.and.目的端口號(hào)=23，匹配數(shù)據(jù)包采取的動(dòng)作是：拒絕傳輸作用：禁止網(wǎng)段中的終端用Telnet方式訪問(wèn)網(wǎng)段中IP地址為的服務(wù)器防火墻部署（一）雙重宿主主機(jī)體系結(jié)構(gòu)（DualHomedGateway）堡壘主機(jī)裝有兩塊網(wǎng)卡運(yùn)行著防火墻軟件防火墻部署（二）被屏蔽主機(jī)體系結(jié)構(gòu)（ScreenedGateway）堡壘主機(jī)運(yùn)行在內(nèi)部網(wǎng)絡(luò)上外部唯一可達(dá)主機(jī)危險(xiǎn)帶防火墻部署（三）被屏蔽子網(wǎng)體系結(jié)構(gòu)（ScreenedSubnet）DMZ區(qū)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)被DMZ區(qū)，但禁止它們穿過(guò)DMZ區(qū)進(jìn)行通信入侵檢測(cè)技術(shù)IntrusionDetectionSystem，IDS功能：檢測(cè)對(duì)計(jì)算機(jī)系統(tǒng)的非授權(quán)訪問(wèn)，識(shí)別已知的各種攻擊企圖、攻擊行為和攻擊結(jié)果；監(jiān)視并分析用戶的活動(dòng)，識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的非法攻擊，預(yù)先進(jìn)行報(bào)警；統(tǒng)計(jì)分析異常行為，進(jìn)行安全審計(jì)；檢查系統(tǒng)配置和漏洞，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點(diǎn)，利于其進(jìn)行修補(bǔ)入侵檢測(cè)系統(tǒng)的分類基于主機(jī)入侵檢測(cè)系統(tǒng)HIDS從主機(jī)的日志、應(yīng)用程序日志等審計(jì)記錄文件中獲取所需的數(shù)據(jù)源，并輔助使用主機(jī)上的其他信息，如文件系統(tǒng)屬性、進(jìn)程狀態(tài)等來(lái)發(fā)現(xiàn)可能存在的攻擊行為基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS監(jiān)聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)獲得必要的數(shù)據(jù)源，并通過(guò)協(xié)議分析、特征匹配、統(tǒng)計(jì)分析等各種手段發(fā)現(xiàn)可能的攻擊行為入侵檢測(cè)系統(tǒng)的部署IDS是并聯(lián)在網(wǎng)絡(luò)中通過(guò)旁路監(jiān)聽(tīng)的方式實(shí)時(shí)地監(jiān)視網(wǎng)絡(luò)中的流量IDS并不是一個(gè)防范工具，它并不能阻斷攻擊IDS可以與防火墻在功能上實(shí)現(xiàn)聯(lián)動(dòng)，當(dāng)IDS檢測(cè)到入侵行為發(fā)生，立即發(fā)出一個(gè)指令給防火墻，防火墻馬上關(guān)閉通訊連接，從而阻斷入侵，提高網(wǎng)絡(luò)系統(tǒng)的安全性VPN技術(shù)提供了一種通過(guò)公用IP網(wǎng)絡(luò)（如Internet）安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的連接方式軟件、硬件形式實(shí)現(xiàn)VPN用途通過(guò)Internet實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)通過(guò)Internet實(shí)現(xiàn)網(wǎng)絡(luò)互連連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)VPN實(shí)現(xiàn)VPN網(wǎng)絡(luò)由VPN客戶端、VPN服務(wù)器和傳輸介質(zhì)組成VPN連接不是直接基于物理的傳輸介質(zhì)，而是使用“隧道（Tunneling）”做為傳輸介質(zhì)隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)之上的

隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送IPSec在兩個(gè)IP棧之間商定所用的加密和數(shù)字簽名方法，對(duì)數(shù)據(jù)加密后進(jìn)行傳輸，能夠提供IP包級(jí)的安全驗(yàn)證，保證數(shù)據(jù)完整性和可信任VPN應(yīng)用自建VPN網(wǎng)絡(luò)VPN網(wǎng)絡(luò)所需的設(shè)備由企業(yè)自行購(gòu)買網(wǎng)絡(luò)的日常維護(hù)都需由企業(yè)配備專業(yè)技術(shù)人員來(lái)完成實(shí)現(xiàn)端到端的安全外包形式由VPN服務(wù)提供商（NSP）提供設(shè)備來(lái)建立隧道VPN服務(wù)提供商負(fù)責(zé)維護(hù)VPN網(wǎng)絡(luò)的可用性安全性相對(duì)較差網(wǎng)絡(luò)病毒計(jì)算機(jī)病毒是一種人為編制的特殊程序，能在計(jì)算機(jī)系統(tǒng)中駐留、繁殖和傳播，通常