計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)第八章

計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)第八章第8章計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)8.1計(jì)算機(jī)網(wǎng)絡(luò)安全8.1.1網(wǎng)絡(luò)系統(tǒng)安全概述8.1.2信息安全技術(shù)8.1.3網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)病毒8.1.4網(wǎng)絡(luò)安全設(shè)施8.1.5安全接入技術(shù)8.1.6網(wǎng)絡(luò)系統(tǒng)可靠性8.2網(wǎng)絡(luò)管理8.2.3遠(yuǎn)程監(jiān)控（RMON）8.2.4計(jì)算機(jī)網(wǎng)絡(luò)管理的實(shí)施8.3.1目錄服務(wù)8.3.2負(fù)載均衡8.2.5計(jì)算機(jī)網(wǎng)絡(luò)管理的發(fā)展趨勢(shì)8.2.1計(jì)算機(jī)網(wǎng)絡(luò)管理概述8.2.2簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP8.3網(wǎng)絡(luò)熱點(diǎn)技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全8.1

計(jì)算機(jī)網(wǎng)絡(luò)安全是指通過(guò)采取各種技術(shù)的和管理的措施，確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性，其目的是確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄漏等。1.什么是計(jì)算機(jī)安全國(guó)際標(biāo)準(zhǔn)化組織ISO對(duì)計(jì)算機(jī)安全作了如下定義：計(jì)算機(jī)安全是指為保護(hù)數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全措施，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不會(huì)因偶然或故意的原因而遭到破壞、更改和泄密。8.1.1網(wǎng)絡(luò)系統(tǒng)安全概述計(jì)算機(jī)安全基礎(chǔ)2.計(jì)算機(jī)硬件的安全性；軟件安全性；數(shù)據(jù)安全性；計(jì)算機(jī)運(yùn)行安全性。計(jì)算機(jī)安全的主要內(nèi)容安全等級(jí)D1級(jí)C1級(jí)C2級(jí)B1級(jí)B2級(jí)B3級(jí)A1級(jí)主要內(nèi)容安全保護(hù)欠缺級(jí)，無(wú)安全保護(hù)級(jí)，計(jì)算機(jī)安全的最低一級(jí)自主安全保護(hù)級(jí)受控存取保護(hù)級(jí)，實(shí)施比C1級(jí)更精細(xì)的自主訪問(wèn)控制標(biāo)記安全保護(hù)級(jí),從本級(jí)開始,不僅具有自主訪問(wèn)控制,而且具有強(qiáng)制訪問(wèn)控制結(jié)構(gòu)化保護(hù)級(jí)安全域級(jí)驗(yàn)證設(shè)計(jì)級(jí)4.保護(hù)計(jì)算機(jī)安全的措施5.計(jì)算機(jī)安全等級(jí)3.破壞計(jì)算機(jī)安全的途徑網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)安全控制措施物理安全訪問(wèn)控制傳輸安全123網(wǎng)絡(luò)安全的內(nèi)涵可能受到威脅的網(wǎng)絡(luò)資源網(wǎng)絡(luò)安全問(wèn)題日益突出的主要原因攻擊網(wǎng)絡(luò)安全的主要途徑1234信息安全技術(shù)PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施，是CA認(rèn)證、數(shù)字證書、數(shù)字簽名以及相關(guān)安全應(yīng)用組件模塊的集合。

PKI（PublicKeyInfrastructure，意為“公鑰基礎(chǔ)設(shè)施”）

在電子商務(wù)中，必須從技術(shù)上保證在交易過(guò)程中能夠?qū)崿F(xiàn)：身份認(rèn)證、安全傳輸、不可否認(rèn)性、數(shù)據(jù)一致性。ＣＡ證書認(rèn)證技術(shù)采用了加密傳輸和數(shù)字簽名技術(shù)，能夠?qū)崿F(xiàn)上述要求。CA（CertificateAuthority）認(rèn)證技術(shù)

數(shù)據(jù)加密過(guò)程就是通過(guò)加密系統(tǒng)把原始的數(shù)字信息（明文），按照加密算法變換成與明文完全不同的數(shù)字信息（密文）的過(guò)程。

信息加密技術(shù)

對(duì)文件進(jìn)行加密只解決了傳送信息的保密問(wèn)題，而防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞，以及如何確定發(fā)信人的身份還需要采取其它的手段，這一手段就是數(shù)字簽名。

數(shù)字簽名技術(shù)

網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)病毒

黑客一詞是指程序員，而不是那些非法破壞系統(tǒng)安全的人。

入侵者是指懷著不良的企圖，闖入甚至破壞遠(yuǎn)程機(jī)器系統(tǒng)完整性的人。網(wǎng)絡(luò)黑客與入侵者攻擊技術(shù)簡(jiǎn)介1.獲取口令2.電子郵件攻擊3.特洛伊木馬攻擊4.誘入法5.系統(tǒng)漏洞掃描6.網(wǎng)絡(luò)監(jiān)聽(tīng)7.緩沖區(qū)溢出8.拒絕服務(wù)攻擊網(wǎng)絡(luò)病毒●CIH病毒●紅色代碼病毒●紅色代碼II●藍(lán)色代碼II●Nimda病毒●Sircam病毒●Netsky病毒●沖擊波病毒●沖擊波殺手病毒●沖擊波殺手變種病毒●震蕩波病毒●計(jì)算機(jī)病毒的新特征網(wǎng)絡(luò)安全設(shè)施什么是防火墻防火墻是一種訪問(wèn)控制技術(shù)，用于加強(qiáng)兩個(gè)或多個(gè)網(wǎng)絡(luò)間的邊界防衛(wèi)能力。設(shè)置防火墻的原因因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)往往把自己完全暴露在一些本身并不安全的服務(wù)下，暴露在外界主機(jī)的偵探和攻擊下。這樣，子網(wǎng)的安全就要完全依靠于各個(gè)主機(jī)，并且要求各個(gè)主機(jī)有相同的安全度。內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)(Internet)防火墻●防火墻的基本概念●防火墻技術(shù)分類網(wǎng)絡(luò)層防火墻網(wǎng)絡(luò)層防火墻通常是以路由器為基礎(chǔ)。這種方案采用了一種所謂的“數(shù)據(jù)包過(guò)濾”技術(shù)，即檢查到達(dá)路由器的外部數(shù)據(jù)包并作出選擇的技術(shù)。應(yīng)用層防火墻應(yīng)用層防火墻也稱為代理服務(wù)器，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/IP功能，控制對(duì)應(yīng)用程序的訪問(wèn)。Internet內(nèi)部Web服務(wù)代理外部Web服務(wù)代理請(qǐng)求返回getx.htmlreturnx.htmlWeb瀏覽器應(yīng)用層防火墻網(wǎng)絡(luò)層防火墻應(yīng)用層防火墻項(xiàng)目分類便宜，可設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet相連接的路由器上，無(wú)需另購(gòu)比網(wǎng)絡(luò)層防火墻要高得多，需要購(gòu)置專門的軟件及高性能的硬件系統(tǒng)，否則會(huì)產(chǎn)生嚴(yán)重的通信瓶頸簡(jiǎn)單，過(guò)濾規(guī)則易于維護(hù)復(fù)雜。管理員不僅需要清楚地了解TCP/IP，還需要為存儲(chǔ)、監(jiān)視和報(bào)告功能作出最合理的設(shè)置功能單一。按照規(guī)則表對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾；只能提供基本的統(tǒng)計(jì)記錄功能多，應(yīng)用靈活。能夠提供許多報(bào)告、統(tǒng)計(jì)和監(jiān)控的手段，以控制網(wǎng)絡(luò)的運(yùn)行；提供有益的內(nèi)部網(wǎng)絡(luò)功能，如存儲(chǔ)頻繁訪問(wèn)頁(yè)，設(shè)置拒絕與缺乏商業(yè)價(jià)值的站點(diǎn)建立連接要求所有的內(nèi)部主機(jī)都要有正確分配的地址。這些地址在Internet上都是可見(jiàn)的，可以被Internet上的系統(tǒng)訪問(wèn)允許內(nèi)部網(wǎng)絡(luò)使用任何尋址模式，因?yàn)槟軌蚺cInternet實(shí)現(xiàn)真正通信的唯一系統(tǒng)就是應(yīng)用層防火墻。這就使管理員可以不受任何約束地對(duì)其內(nèi)部網(wǎng)絡(luò)進(jìn)行靈活的編址價(jià)格安裝、配置與管理功能編址方式網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻比較(1)網(wǎng)絡(luò)層防火墻應(yīng)用層防火墻項(xiàng)目分類使用路由器過(guò)濾數(shù)據(jù)包可以有效地阻止罪犯進(jìn)入內(nèi)部網(wǎng)絡(luò)，但罪犯有可能繞過(guò)過(guò)濾器。整個(gè)內(nèi)部網(wǎng)絡(luò)容易受到來(lái)自Internet的入侵。可以使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)完全隔離?？梢员O(jiān)視外部主機(jī)的連接企圖，并使用啟發(fā)式分析，確定是否有罪犯要闖入網(wǎng)絡(luò)。防火墻系統(tǒng)中還存有可疑活動(dòng)的詳細(xì)報(bào)告，管理人員可以利用該報(bào)告調(diào)查有潛在危險(xiǎn)的Internet主機(jī)，并采取預(yù)防措施。資金有限，缺乏管理更復(fù)雜的應(yīng)用層防火墻的專門技術(shù)，擁有的系統(tǒng)沒(méi)有很大的風(fēng)險(xiǎn)，只配有少數(shù)的可供訪問(wèn)Internet的服務(wù)程序(如Telnet、WWW、E-mail)。有用于網(wǎng)絡(luò)安全的大量資金,擁有管理應(yīng)用層防火墻的軟件和硬件技術(shù),網(wǎng)絡(luò)管理需要有監(jiān)視網(wǎng)絡(luò)連接的詳細(xì)的報(bào)告和統(tǒng)計(jì),系統(tǒng)的保密性和安全性高,需要使內(nèi)部網(wǎng)絡(luò)與Internet相隔離。安全性適用情況網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻比較(2)●防火墻產(chǎn)品防火墻分類防火墻特性比較12●入侵監(jiān)測(cè)與入侵保護(hù)

入侵監(jiān)測(cè)與入侵保護(hù)的概念

入侵監(jiān)測(cè)、入侵保護(hù)與防火墻的區(qū)別12安全接入技術(shù)1．遠(yuǎn)程訪問(wèn)的安全接入遠(yuǎn)程訪問(wèn)系統(tǒng)PCModermModerm池?fù)芴?hào)訪問(wèn)服務(wù)器NAS文件服務(wù)器認(rèn)證服務(wù)器PSTNInternetPPPSLIPIP遠(yuǎn)程訪問(wèn)系統(tǒng)模型RADIUS和TACACSRADIUS（RemoteAuthenticationDialInUserService）和TACACS（TerminalAccessControllerAccessControlSystem）是遠(yuǎn)程訪問(wèn)控制的兩個(gè)開放協(xié)議標(biāo)準(zhǔn)，它們被廣泛地實(shí)現(xiàn)在各種撥號(hào)服務(wù)器中。安全接入技術(shù)2．局域網(wǎng)的安全接入PPPoE特點(diǎn)：第一，PPPoE很容易檢查到用戶下線，可通過(guò)一個(gè)PPP會(huì)話的建立和釋放對(duì)用戶進(jìn)行基于時(shí)長(zhǎng)或流量的統(tǒng)計(jì)，計(jì)費(fèi)方式靈活方便。第二，PPPoE可以提供動(dòng)態(tài)IP地址分配方式，用戶無(wú)需任何配置，網(wǎng)管維護(hù)簡(jiǎn)單，無(wú)需添加設(shè)備就可解決IP地址短缺問(wèn)題，同時(shí)根據(jù)分配的IP地址，可以很好地定位用戶在本網(wǎng)內(nèi)的活動(dòng)。第三，用戶通過(guò)的PPPoE客戶端軟件（如EnterNet），輸入用戶名和密碼就可以上網(wǎng)，跟傳統(tǒng)的撥號(hào)上網(wǎng)差不多，最大程度地延續(xù)了用戶的習(xí)慣，從運(yùn)營(yíng)商的角度來(lái)看，PPPoE對(duì)其現(xiàn)存的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行變更也很小。安全接入技術(shù)2．局域網(wǎng)的安全接入802.1X802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對(duì)于合法用戶（根據(jù)帳號(hào)和密碼）接入時(shí)，該端口打開，而對(duì)于非法用戶接入或沒(méi)有用戶接入時(shí)，則該端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變。

客戶端PAELAN/WAN設(shè)備端提供的服務(wù)客戶端PAE認(rèn)證服務(wù)器客戶端設(shè)備端認(rèn)證服務(wù)器端口非授權(quán)授控端口非授控端口網(wǎng)絡(luò)系統(tǒng)可靠性

網(wǎng)絡(luò)可靠性主要指系統(tǒng)的容錯(cuò)能力，即當(dāng)網(wǎng)絡(luò)系統(tǒng)突然發(fā)生故障時(shí)，系統(tǒng)能夠繼續(xù)工作及迅速恢復(fù)的能力。網(wǎng)絡(luò)系統(tǒng)可靠性的相關(guān)概念(1)軟件容錯(cuò)

(2)硬件容錯(cuò)

(3)容錯(cuò)存儲(chǔ)

(4)數(shù)據(jù)備份

(5)容錯(cuò)電源

雙機(jī)容錯(cuò)技術(shù)(1)共享磁盤陣列柜方式(2)鏡像磁盤方式服務(wù)器服務(wù)器心跳線共享盤陣局域網(wǎng)共享磁盤陳列柜方式

服務(wù)器服務(wù)器交叉鏡像局域網(wǎng)硬盤硬盤鏡像磁盤方式

8.2網(wǎng)絡(luò)管理8.2.1計(jì)算機(jī)網(wǎng)絡(luò)管理概述計(jì)算機(jī)網(wǎng)絡(luò)管理功能按照OSI管理框架，把網(wǎng)絡(luò)管理任務(wù)分為：用戶管理、配置管理、性能管理、故障管理、計(jì)費(fèi)管理、安全管理和其他網(wǎng)絡(luò)管理功能。

網(wǎng)絡(luò)管理層次結(jié)構(gòu)網(wǎng)絡(luò)管理員操作界面網(wǎng)絡(luò)管理應(yīng)用軟件網(wǎng)絡(luò)管理工具網(wǎng)絡(luò)管理平臺(tái)網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)平臺(tái)網(wǎng)絡(luò)管理層次結(jié)構(gòu)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP●1．SNMP管理模型

低層網(wǎng)絡(luò)接口

IP

UDP

SNMP管理者

管理應(yīng)用進(jìn)程

Get

GetNext

Set

GetResponse

Trap

低層網(wǎng)絡(luò)接口

IP

UDP

SNMP代理

被管資源

Get

GetNext

Set

GetResponse

Trap

管理信息庫(kù)MIB

應(yīng)用進(jìn)程對(duì)資源進(jìn)行管理

SNMP報(bào)文

網(wǎng)絡(luò)

●2．管理信息庫(kù)MIBMIB是網(wǎng)絡(luò)管理系統(tǒng)中一個(gè)概念上的被管對(duì)象的數(shù)據(jù)庫(kù)，一般位于各個(gè)代理上。管理數(shù)據(jù)庫(kù)是網(wǎng)絡(luò)管理數(shù)據(jù)的標(biāo)準(zhǔn)，在這個(gè)標(biāo)準(zhǔn)里規(guī)定了被管設(shè)備必須保存的數(shù)據(jù)項(xiàng)目、數(shù)據(jù)類型以及允許在每個(gè)數(shù)據(jù)項(xiàng)目中的操作。通過(guò)對(duì)這些數(shù)據(jù)項(xiàng)目的存取訪問(wèn)可以得到該設(shè)備的所有統(tǒng)計(jì)內(nèi)容，再通過(guò)對(duì)多個(gè)設(shè)備統(tǒng)計(jì)內(nèi)容的綜合分析即可實(shí)現(xiàn)基本的網(wǎng)絡(luò)管理。

●3．SNMP協(xié)議SNMP協(xié)議目前共有三個(gè)版本：●SNMPv1●SNMPv2●SNMPv3SNMP代理和管理站通過(guò)標(biāo)準(zhǔn)消息通信，這些消息中的每一個(gè)都是一個(gè)單個(gè)的包。因此，SNMP使用UDP作為傳輸協(xié)議。Layer7Layer6Layer5Layer4Layer3Layer2Layer1SNMPOSI表示層OSI會(huì)話層UDPIPOSI數(shù)據(jù)鏈路層物理層SNMP的OSI參考模型SNMP有5種消息類型：GetRequestGetResponseGetNextRequestSetRequestTrap●4．簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的工作原理沒(méi)有伸縮型，在大型網(wǎng)絡(luò)中，輪詢會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)管理通信量，因而導(dǎo)致通信擁擠的情況發(fā)生。它將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺(tái)上，在管理幾個(gè)網(wǎng)段時(shí)也許能輕松的收集網(wǎng)絡(luò)信息，當(dāng)它們監(jiān)控許多網(wǎng)段時(shí)，就非常困難了?！?．SNMP的弱點(diǎn)遠(yuǎn)程監(jiān)控（RMON）RMON分為嵌入式和分布式兩種：嵌入式RMON

當(dāng)RMON嵌入到網(wǎng)絡(luò)設(shè)備（如集線器）之中時(shí)，它的作用效率更高、經(jīng)濟(jì)上更劃算，可以一次監(jiān)控所有連通的局域網(wǎng)網(wǎng)段。分布式RMONRMONI及RMONⅡ在7層模型中的層次應(yīng)用層表示層會(huì)話層運(yùn)輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層標(biāo)準(zhǔn)RMONII標(biāo)準(zhǔn)RMONI企業(yè)級(jí)RMON計(jì)算機(jī)網(wǎng)絡(luò)管理的實(shí)施8.2.5計(jì)算機(jī)網(wǎng)絡(luò)管理的發(fā)展趨勢(shì)●網(wǎng)絡(luò)管理層次化●網(wǎng)絡(luò)管理集成化●網(wǎng)絡(luò)管理Web化網(wǎng)絡(luò)管理員實(shí)施網(wǎng)絡(luò)管理布線系統(tǒng)的日常維護(hù)關(guān)鍵設(shè)備的管理1234IP地址的管理58.3.1目錄服務(wù)什么是目錄目錄就是一個(gè)數(shù)據(jù)庫(kù)，它包含了網(wǎng)絡(luò)以及在網(wǎng)絡(luò)上運(yùn)行的應(yīng)用程序所需的信息。每一個(gè)網(wǎng)絡(luò)，即使是簡(jiǎn)單的網(wǎng)絡(luò)，也會(huì)有某種形式的目錄，而且通常不只一個(gè)。為什么使用目錄一次登錄(2)設(shè)備識(shí)別和定位(3)與位置無(wú)關(guān)(4)簡(jiǎn)化管理(5)可靠性LDAP（輕型目錄訪問(wèn)協(xié)議）是促使目錄流行的關(guān)鍵技術(shù)，是目錄服務(wù)器的Internet標(biāo)準(zhǔn)協(xié)議。LDAP簡(jiǎn)介8.3網(wǎng)絡(luò)熱點(diǎn)技術(shù)●活動(dòng)目錄與Novell目錄服務(wù)的區(qū)別●活動(dòng)目錄緊密地和DNS集成；而NDS卻根本沒(méi)有使用DNS?！窕顒?dòng)目錄使用LDAP作為它的捆綁協(xié)議；而NDS則使用了一個(gè)運(yùn)行于NetWare核心協(xié)議之上的，類似于X.500的目錄訪問(wèn)協(xié)議?！窕顒?dòng)目錄提供了與其他LDAP兼容的目錄的集成；NDS雖然在版本8中將會(huì)改變，但目前是不支持的?！窕顒?dòng)目錄域（劃分）可作為安全邊界；而NDS樹在安全性方面是同構(gòu)的，樹中不存在固有的安全邊界?！窕顒?dòng)目錄的模式可在運(yùn)行時(shí)被擴(kuò)展；而NDS的模式必須在停止NDS服務(wù)并重新啟動(dòng)NDS后才能進(jìn)行擴(kuò)展，這一點(diǎn)也許會(huì)在NDS版本8中有所改變?！窕顒?dòng)目錄僅運(yùn)行于Windows2000之上；而NDS則可在NetWare服務(wù)器、Linux、WindowsNT4和Solaris之上運(yùn)行?；顒?dòng)目錄與Novell目錄服務(wù)、WindowsNT4域的區(qū)別●●活動(dòng)目錄的名字空間是層次結(jié)構(gòu)的；而WindowsNT4域所支持的名字空間則是平面結(jié)構(gòu)的，也就是說(shuō)，一個(gè)WindowsNT4的域可以包含用戶，但是不能包含子域。●活動(dòng)目錄不再是由一個(gè)主域控制器（PDCs）和零或多個(gè)備份域控制器（BDCs）構(gòu)成，而是采用了一個(gè)多主控制器的結(jié)構(gòu)，其中所有的域控制器（D