第9章網(wǎng)絡安全與網(wǎng)絡管理.ppt

1、計算機網(wǎng)絡技術與應用,2,第9章 網(wǎng)絡安全與網(wǎng)絡管理,計算機網(wǎng)絡技術與應用,3,本章內容,網(wǎng)絡安全基礎 網(wǎng)絡攻擊 防火墻技術 加密、認證和訪問控制技術 網(wǎng)絡管理 應用案例瑞星軟件防火墻,第9章 網(wǎng)絡安全與網(wǎng)絡管理,4,9.1 網(wǎng)絡安全基礎,網(wǎng)絡安全概述 網(wǎng)絡安全面臨的主要威脅,第9章 網(wǎng)絡安全與網(wǎng)絡管理,5,9.1.1 網(wǎng)絡安全概述,網(wǎng)絡安全體系需要在以下幾個方面提供安全服務 ： 保密性（Confidentiality） 身份認證（Authentication） 不可抵賴性（Non-reputation） 數(shù)據(jù)完整性（Data Integrity） 訪問控制（Access Control）,第

2、9章 網(wǎng)絡安全與網(wǎng)絡管理,6,9.1.2 網(wǎng)絡安全面臨的主要威脅,網(wǎng)絡安全威脅的主要類型 ： 信息泄漏 信息破壞 拒絕服務,第9章 網(wǎng)絡安全與網(wǎng)絡管理,7,網(wǎng)絡通信過程中面臨的主要威脅,第9章 網(wǎng)絡安全與網(wǎng)絡管理,對網(wǎng)絡通信的主動攻擊和被動攻擊,8,9.2 網(wǎng)絡攻擊,網(wǎng)絡攻擊概述 拒絕服務攻擊 惡意代碼,第9章 網(wǎng)絡安全與網(wǎng)絡管理,9,9.2.1 網(wǎng)絡攻擊概述,網(wǎng)絡攻擊人員 系統(tǒng)漏洞 遠程攻擊,第9章 網(wǎng)絡安全與網(wǎng)絡管理,10,網(wǎng)絡攻擊人員,攻擊動機：獲取利益、被關注、危害他人 。 攻擊人員的類型： 黑客：挑戰(zhàn)網(wǎng)絡系統(tǒng)的安全性，竊取敏感數(shù)據(jù)。 間諜：竊取敵對方的軍事、政治、經(jīng)濟等方面的機密信息

3、。 公司人員：入侵競爭對手的網(wǎng)絡系統(tǒng)，以獲取某種經(jīng)濟利益，也可以被看做是工業(yè)間諜的一種。 組織內部人員：出于好奇、報復、自我保護、獲取經(jīng)濟利益等目的而對內部網(wǎng)絡進行入侵。 犯罪人員：主要是為了牟取經(jīng)濟利益而對目標網(wǎng)絡進行入侵。 恐怖主義者：對計算機網(wǎng)絡進行入侵，以達到各種恐怖目的。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,11,系統(tǒng)漏洞,漏洞是指系統(tǒng)在硬件、軟件或防護策略上的缺陷。 漏洞的存在很廣泛，幾乎所有的網(wǎng)絡結點（如路由器、防火墻、服務器、客戶機等）都可能存在漏洞。 漏洞的發(fā)現(xiàn)和修正通常存在這樣一個周期： 系統(tǒng)發(fā)布和使用 漏洞暴露（出現(xiàn)有效的攻擊） 發(fā)布補丁進行系統(tǒng)修正 新的漏洞出現(xiàn)（出現(xiàn)新的有效攻

4、擊）。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,12,遠程攻擊的過程,尋找目標主機和收集目標信息 Ping ，TraceRoute ，測試目標主機可能開放了哪些服務和端口。 獲取目標主機的管理權限 暴力破解、利用系統(tǒng)漏洞和使用木馬程序等 。 隱蔽自己的攻擊行為 清除日志記錄、隱藏進程、隱藏連接等 。 對主機實施破壞或將主機作為傀儡主機以攻擊其他主機 為以后的攻擊留出后門 修改目標主機的系統(tǒng)配置，在目標主機上安裝各種遠程操作程序 。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,13,9.2.2 拒絕服務攻擊,拒絕服務攻擊的類型 分布式拒絕服務攻擊,第9章 網(wǎng)絡安全與網(wǎng)絡管理,14,拒絕服務攻擊的類型,拒絕服務攻擊的類型主要

5、有：洪泛攻擊、Ping of Death攻擊、SYN攻擊、淚滴攻擊、Smurf攻擊等。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,15,Smurf攻擊,Smurf攻擊結合使用了ICMP回復和IP欺騙的方法，通過向目標系統(tǒng)發(fā)送大量網(wǎng)絡數(shù)據(jù)，造成目標系統(tǒng)拒絕服務。 ICMP（網(wǎng)際控制報文協(xié)議）用于處理錯誤信息和交換控制信息，通過該協(xié)議，可以確定網(wǎng)絡中的某臺主機是否響應，從而為判斷主機是否出現(xiàn)故障提供依據(jù)。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,16,Smurf攻擊的過程,（1）攻擊者向網(wǎng)絡上的路由器發(fā)送ICMP請求，找出網(wǎng)絡上回應ICMP請求的路由器。 （2）用偽造的IP源地址向路由器的廣播地址發(fā)送ICMP消息，這個偽造

6、的IP地址是被攻擊主機的IP地址。 （3）路由器將ICMP消息廣播到網(wǎng)絡上與其相連的每一臺主機。 （4）這些主機進行ICMP回應，向這個偽造的IP地址（即目標主機的IP地址）發(fā)送大量的響應數(shù)據(jù)包，從而影響被攻擊主機的性能并導致被攻擊主機邊界的網(wǎng)絡阻塞。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,17,Smurf攻擊原理圖,第9章 網(wǎng)絡安全與網(wǎng)絡管理,18,Smurf攻擊,例如，采用300kbps流量的ICMP Echo (PING)包廣播到200臺主機，會產(chǎn)生200個ping回應，從而產(chǎn)生60Mbps的流量。這些流量流向被攻擊的主機，會造成該主機的服務停止。 為了防御此類攻擊，應采取以下措施： 關閉主機或路

7、由器廣播地址對ping請求的響應功能。 對路由器進行配置，使其不直接將數(shù)據(jù)包轉發(fā)給廣播地址。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,19,分布式拒絕服務攻擊,第9章 網(wǎng)絡安全與網(wǎng)絡管理,20,9.2.3 惡意代碼,惡意代碼（Malicious Code）又稱為惡意軟件（Malicious Software, Malware），是能夠在計算機系統(tǒng)上進行非授權操作的代碼。 惡意代碼具有以下特征：惡意的目的、本身是程序，通過執(zhí)行發(fā)生作用。 惡意代碼的主要類型包括：病毒、蠕蟲、特洛伊木馬、邏輯炸彈、惡意網(wǎng)頁、流氓軟件和后門程序等。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,21,計算機病毒,中華人民共和國計算機信息系統(tǒng)安全保

8、護條例中對計算機病毒給出的定義是：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！?從該定義可以看出，計算機病毒具有兩大特征：破壞性和傳染性。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,22,計算機病毒,計算機病毒代碼的結構包含三個部分：引導部分、傳染部分和表現(xiàn)部分。 引導部分負責將病毒主體加載到內存，為實施傳染做準備。 傳染部分負責將病毒代碼復制到新的傳染目標上去。 表現(xiàn)部分是指在一定的觸發(fā)條件下進行病毒發(fā)作。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,23,計算機病毒,計算機病毒的防治包括防毒、查毒和解毒。 病毒的檢測方法主要包括：

9、特征代碼法 校驗和法 行為監(jiān)測法 軟件模擬法,第9章 網(wǎng)絡安全與網(wǎng)絡管理,24,蠕蟲代碼,蠕蟲代碼主要是通過網(wǎng)絡漏洞進行傳播和擴散。 蠕蟲代碼包括三個基本模塊：傳播模塊、隱藏模塊和操作模塊。 傳播模塊負責通過網(wǎng)絡進行蠕蟲代碼的傳播； 隱藏模塊負責在入侵目標主機后進行蠕蟲程序的隱藏，以防止被發(fā)現(xiàn)； 操作模塊負責對計算機執(zhí)行控制、監(jiān)視或破壞操作。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,25,蠕蟲代碼,關鍵的傳播模塊又可分為三個子模塊：掃描、攻擊和復制。 掃描模塊負責在網(wǎng)絡上尋找存在漏洞的主機，將其作為下一步攻擊的對象。 攻擊模塊負責對存在漏洞的主機進行攻擊，獲取該主機的高層權限（如管理員權限）。 復制模塊負

10、責將蠕蟲程序通過網(wǎng)絡復制到目標主機，并在新的主機上啟動蠕蟲程序。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,26,蠕蟲程序與普通病毒的比較,第9章 網(wǎng)絡安全與網(wǎng)絡管理,27,特洛伊木馬,特洛伊木馬程序是一種惡意程序，它表面上執(zhí)行正常功能，實際上隱蔽地執(zhí)行惡意操作，實施對主機的非授權訪問。 完整的木馬程序包括兩個部分：服務器端程序和控制端程序。 “中了木馬”是指被安裝了木馬的服務器端程序，這時控制端可以通過與服務器端的連接，對服務器端的主機進行各種控制，如上傳和下載文件，竊取賬號和密碼，修改注冊表信息，控制鼠標、鍵盤，重啟計算機等。 木馬程序在傳播時，往往與正常文件綁定在一起，因此很難被發(fā)現(xiàn)。例如，某些軟件下

11、載網(wǎng)站的軟件中就有可能被綁定了木馬程序。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,28,木馬程序的特點,隱蔽性 雖然它在系統(tǒng)啟動時就自動運行，但是通常不會在任務管理器中出現(xiàn)，甚至不會在服務管理器中出現(xiàn)。 自動加載運行 木馬程序為了控制服務器端，通常在系統(tǒng)啟動時開始運行。 與目標建立連接 控制端木馬程序通常利用TCP和UDP與目標主機的指定端口建立連接。 許多木馬程序在主機上具有多重備份，可以相互恢復。當一個木馬文件被刪除后，其他木馬文件會進行恢復和運行。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,29,邏輯炸彈,邏輯炸彈是一種特殊的程序，在滿足某種邏輯條件時，它會被激活，并產(chǎn)生破壞。 邏輯炸彈程序沒有傳播功能，它只針對

12、特定的受害者。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,30,惡意網(wǎng)頁,惡意網(wǎng)頁是指網(wǎng)頁中含有惡意代碼，能夠對訪問者的電腦進行非法設置或攻擊。惡意網(wǎng)頁的幾種典型破壞包括： 修改IE的起始頁。 修改IE工具欄，如工具按鈕、地址欄等。 修改或禁止IE的右鍵功能。 下載木馬程序。 禁止對注冊表進行修改。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,31,流氓軟件,流氓軟件是一類特殊的軟件，一方面，它具有正常的功能（如下載、多媒體播放等），另一方面，它包含一些惡意行為（如彈出廣告、在系統(tǒng)中開后門等），會對用戶帶來某種程度的危害。其特點包括： 強制安裝。 難以卸載。 彈出廣告。 瀏覽器劫持。 惡意收集用戶信息。 惡意卸載。 惡意捆

13、綁。 故意妨礙其他同類軟件使用的行為。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,32,9.3 防火墻技術,防火墻的基本概念 包過濾防火墻 代理服務器防火墻,第9章 網(wǎng)絡安全與網(wǎng)絡管理,33,防火墻的基本概念,第9章 網(wǎng)絡安全與網(wǎng)絡管理,34,防火墻的優(yōu)點和局限性,防火墻的優(yōu)點 防火墻作為內部網(wǎng)絡的訪問控制點，可以禁止未經(jīng)授權的用戶（攻擊者、破壞者、網(wǎng)絡間諜等）通過外部網(wǎng)絡訪問內部網(wǎng)絡，也禁止某些易受攻擊的服務進入或離開受保護的內網(wǎng)。 防火墻可以為內部網(wǎng)絡的主機提供集中的安全保護。 防火墻可以記錄和統(tǒng)計網(wǎng)絡的使用情況。 防火墻的局限性 防火墻不能防范來自內部網(wǎng)絡的攻擊。 不能防范繞過防火墻的攻擊。 不能防范

14、計算機病毒。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,35,9.3.2 包過濾防火墻,包過濾防火墻通常由路由器來實現(xiàn)，也被稱為包過濾路由器或屏蔽路由器。 包過濾防火墻對進出網(wǎng)絡的IP包進行監(jiān)視和過濾，對不安全的包進行屏蔽。 包過濾規(guī)則的設計是該類防火墻的關鍵所在嚴密的包過濾規(guī)則能夠加強防火墻的安全性。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,36,包過濾防火墻示意圖,第9章 網(wǎng)絡安全與網(wǎng)絡管理,37,包過濾路由器,包過濾路由器對進出的IP包進行審查，將其與預先設計好的各種包過濾規(guī)則相匹配，從而決定是否丟棄或拒絕某些IP包。 包過濾路由器在審查IP包時，主要是對IP包的包頭信息進行分析，而不考慮包所攜帶的數(shù)據(jù)內容。 包

15、頭信息主要包括：源IP地址、目的IP地址、封裝的協(xié)議（TCP、UDP、ICMP）、TCP/UDP源端口、TCP/UDP目的端口等。另外，在進行包過濾時，還要利用路由器的IP包輸入接口和IP包輸出接口等信息。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,38,某些常用網(wǎng)絡服務使用的端口,第9章 網(wǎng)絡安全與網(wǎng)絡管理,39,包過濾防火墻對數(shù)據(jù)包的處理過程,第9章 網(wǎng)絡安全與網(wǎng)絡管理,40,包過濾防火墻過濾規(guī)則的設定,下面是一個包過濾防火墻訪問控制規(guī)則的例子： 允許網(wǎng)絡訪問主機的http服務（80端口）； 允許IP地址為和202.206.2

16、15.8的主機通過Telnet（23端口）連接到主機上； 允許任意IP地址的主機訪問主機提供的DNS服務（53端口）； 不允許其他數(shù)據(jù)包的進入。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,41,9.3.3 代理服務器防火墻,代理服務器防火墻是一種特定的服務器程序，它是基于軟件的，與基于路由器的包過濾防火墻有較大的不同。 代理服務器防火墻位于外部網(wǎng)絡與內部網(wǎng)絡之間，它接收客戶端的請求，然后根據(jù)已制定好的安全控制規(guī)則決定是否將其轉發(fā)給真正的服務器。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,42,代理服務器的主要功能,接收和解釋客戶端發(fā)來的請求。 作為新的客戶端創(chuàng)建與服務器

17、的連接。 接收服務器發(fā)來的響應。 解釋服務器發(fā)來的響應并將其轉發(fā)給客戶端。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,43,代理服務器的工作原理,第9章 網(wǎng)絡安全與網(wǎng)絡管理,44,代理服務器防火墻的優(yōu)缺點,代理服務器的主要優(yōu)點包括： 與包過濾路由器相比，配置容易。 能夠生成各種日志記錄 ，對流量分析、安全檢查及計費提供幫助。 能夠提供更好的訪問控制 。 能夠對數(shù)據(jù)內容進行過濾。 代理服務器的主要缺點包括： 速度較慢。 代理服務對用戶不透明。 對于每種應用層協(xié)議要使用不同的代理服務。 代理服務不能提高低層協(xié)議的安全性 。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,45,9.4 加密、認證和訪問控制技術,加密技術 公開密鑰基

18、礎設施 身份認證技術 訪問控制技術,第9章 網(wǎng)絡安全與網(wǎng)絡管理,46,9.4.1 加密技術,第9章 網(wǎng)絡安全與網(wǎng)絡管理,整個加密/解密過程可表示為：D(E(P)=P。,47,使用一個密鑰的加/解密過程,第9章 網(wǎng)絡安全與網(wǎng)絡管理,可表示為：DK(EK(P)=P,48,使用兩個密鑰的加/解密過程,第9章 網(wǎng)絡安全與網(wǎng)絡管理,可表示為：DK2(EK1(P)=P,49,對稱密鑰加密算法,對稱密鑰加密算法的加密密鑰能夠通過解密密鑰推算出來，反之亦然。 大部分對稱密鑰加密算法的加密密鑰和解密密鑰是相同的，這些算法也被稱為單密鑰算法。 在密碼體系中，加密算法和解密算法通常是公開的。 對于對稱密鑰加密算法來

19、說，通信的發(fā)送方和接收方在安全通信之前要協(xié)商一個共享的密鑰，該密鑰必須通過一個安全的渠道被通信雙方所知悉。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,50,對稱密鑰加密算法,DES（Data Encryption Standard，數(shù)據(jù)加密標準） DES是典型的對稱密鑰算法，它是由IBM公司在20世紀70年代研究出來的。 DES算法使用56位的密鑰，將64位的明文塊轉換成64位的密文塊。 其密鑰空間有256種組合。 三重DES(Triple DES) 三重DES的密鑰長度是112位。 加密過程分三個主要步驟：首先將明文塊用密鑰的前56位進行加密，然后將結果用密鑰的后56位進行加密，最后再用密鑰的前56位進行

20、加密。 其密鑰空間有2112種組合，很難破解。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,51,非對稱密鑰加密算法,非對稱密鑰加密算法又稱為公開密鑰算法。它采用不同的加密密鑰和解密密鑰，而且解密密鑰不能通過加密密鑰計算出來。 這樣就可以將加密密鑰公開，每個人都可以使用加密密鑰進行信息加密，而只有擁有解密密鑰的人才能對加密的信息進行解密。 在公開密鑰加密系統(tǒng)中，這個公開的加密密鑰被稱為公開密鑰（簡稱公鑰）；而解密密鑰被稱為秘密密鑰（又被稱為私有密鑰，簡稱私鑰）。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,52,使用非對稱密鑰的加/解密過程,第9章 網(wǎng)絡安全與網(wǎng)絡管理,53,非對稱密鑰加密算法,公開密鑰加密技術較好地解決了密

21、鑰的交換問題。自1976年公開密鑰的思想被提出以來，國際上已出現(xiàn)了多種公開密鑰加密算法。比較流行的有基于大整數(shù)因子分解問題的RSA算法、基于橢圓曲線上的離散對數(shù)問題的Differ-Hellman算法等。 RSA算法與DES算法相比，其主要缺點是：產(chǎn)生密鑰的過程復雜；由于需要進行大數(shù)運算，計算速度很慢。因此，RSA算法主要用于少量數(shù)據(jù)的加密，如對DES密鑰的加密，從而解決DES密鑰的分發(fā)問題。而DES算法的運算速度很快，適合進行大量數(shù)據(jù)的加密。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,54,9.4.2 公開密鑰基礎設施,一個利用對稱密鑰和非對稱密鑰進行數(shù)據(jù)加密通信的例子: Alice和Bob要通過網(wǎng)絡進行秘

22、密通信。 Alice Bob：我是Alice,這是我的公鑰Ka。你選擇一個會話密鑰K（對稱密鑰），然后將K用Ka加密后發(fā)送給我。 Bob Alice:將數(shù)據(jù)通信用的會話密鑰K用Alice的公鑰Ka加密后發(fā)送給Alice。 Alice：使用自己的私鑰Pa解密Ka（K），得到會話密鑰K。 Alice Bob:使用會話密鑰K加密并傳輸信息。 Bob Alice: 使用會話密鑰K加密并傳輸信息。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,55,中間人攻擊,Mallory首先截獲Alice的公鑰Ka，并將自己的公鑰Km發(fā)送給Bob。 Bob收到公鑰Km后，會把它當作Alice的公鑰Ka，他用Km加密準備用于加密信息的

23、會話密鑰K，并將其（Km（K）傳送給Alice。 當Mallory進一步截獲到它以后，就會用自己的私鑰進行解密，從而得到會話密鑰K，然后再用Alice的公開密鑰重新加密會話密鑰K,并將其傳送給Alice。 這樣Mallory就得悉了Alice和Bob用于加密信息的會話密鑰K，從而可以對Alice和Bob之間的加密通信進行竊聽并解密。這種攻擊方式稱為中間人攻擊。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,56,公開密鑰基礎設施,這種攻擊之所以成功的原因在于：Bob無法判斷接收到的公鑰是否就是Alice本人的，即其無法判斷公鑰所有人的真實身份。這個問題會影響信息傳輸?shù)谋Ｃ苄浴⒉豢煞裾J性和信息交換的完整性。 為了

24、解決這些安全問題，可以利用公開密鑰基礎設施（Public Key Infrastructure, PKI）中的技術。 根據(jù)X.509標準給出的定義，PKI是軟件、硬件、人員、策略和規(guī)程的集合，它通過管理密鑰和數(shù)字證書為基于公鑰的安全服務提供支持。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,57,數(shù)字證書,數(shù)字證書用于管理用戶的公鑰：它將用戶公鑰與用戶的其他特征信息（如名稱、E-mail等）綁定在一起，并通過可信任的第三方機構認證機構（Certification Authority，CA）進行電子簽名，從而證明公鑰和用戶身份的一致性。 數(shù)字證書的主要類型包括：客戶證書（個人證書）、站點證書（服務器證書）和軟件

25、開發(fā)者證書。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,58,一個數(shù)字證書的例子,第9章 網(wǎng)絡安全與網(wǎng)絡管理,59,證書認證機構（CA）,證書認證機構（CA）的基本功能是簽發(fā)和管理數(shù)字證書。它能夠接收用戶注冊請求，處理、批準或拒絕請求，頒發(fā)證書。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,60,身份認證技術,用戶名/密碼方式 智能卡方式 動態(tài)口令方式 生物特征認證方式,第9章 網(wǎng)絡安全與網(wǎng)絡管理,61,9.4.4 訪問控制技術,訪問控制（Access Control）是在身份認證的基礎上，根據(jù)用戶的身份決定其能夠訪問哪些資源以及對這些資源能夠進行哪些操作。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,62,基于角色的訪問控制,基于角色的

26、訪問控制（RBAC）中的要素主要包括用戶、角色和許可。 用戶是指能夠獨立訪問計算機系統(tǒng)中數(shù)據(jù)或其他資源的主體。 角色是指根據(jù)用戶在組織或某一任務中的位置，定義他所擁有的權利和責任。 許可是指允許對資源進行的操作。 一個角色可以包含多個用戶，一個用戶也可以具有多個角色；每個角色可具有多種操作許可，每種許可也可授權給多個角色。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,63,9.5 網(wǎng)絡管理,網(wǎng)絡管理就是利用各種工具、應用程序和設備，幫助網(wǎng)絡管理員對計算機網(wǎng)絡進行監(jiān)視和維護。 通過收集網(wǎng)絡中各種設備的工作狀態(tài)、性能參數(shù)，可以幫助網(wǎng)絡管理員正確地分析網(wǎng)絡工作狀況，從而對各網(wǎng)絡設備進行有效地控制，實現(xiàn)網(wǎng)絡的高效、正

27、常運行。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,64,9.5.1 網(wǎng)絡管理體系結構,主要由管理實體、被管理的設備和負責實現(xiàn)兩者之間通信的網(wǎng)絡管理協(xié)議構成。 典型的網(wǎng)絡管理協(xié)議包括：簡單網(wǎng)絡管理協(xié)議（Simple Network Management Protocol，SNMP）和公共管理信息協(xié)議（Common Management Information Protocol，CMIP）。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,65,網(wǎng)絡管理體系結構,第9章 網(wǎng)絡安全與網(wǎng)絡管理,66,9.5.2 ISO網(wǎng)絡管理模型,國際標準化組織（ISO）提出了網(wǎng)絡管理模型，很好地闡述了網(wǎng)絡管理的主要功能。 性能管理（Perform

28、ance Management） 配置管理（Configuration Management） 記賬管理（Accounting Management） 故障管理（Fault Management） 安全管理（Security Management）。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,67,性能管理,性能管理的目標是通過測量和改進網(wǎng)絡性能的各個方面，使得網(wǎng)絡性能能夠滿足要求。 反映網(wǎng)絡性能的參數(shù)包括：網(wǎng)絡吞吐量、用戶響應時間、傳輸延遲、線路利用率、平均無故障時間等。 性能管理包括三個主要步驟： 首先，收集反映網(wǎng)絡性能的數(shù)據(jù)； 然后，對這些性能數(shù)據(jù)進行分析，確定正常的網(wǎng)絡性能指標； 最后，對每一項重要

29、的性能參數(shù)設定報警門限，當網(wǎng)絡性能變量值超出預設門限時，表明網(wǎng)絡性能出現(xiàn)了問題。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,68,配置管理,配置管理的目的是監(jiān)視網(wǎng)絡與系統(tǒng)的配置信息，跟蹤和管理各種版本的軟硬件要素對網(wǎng)絡運行的影響。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,69,配置管理,每個網(wǎng)絡設備都有相關聯(lián)的種種軟硬件版本信息。例如，一個工作站被配置了以下版本的軟硬件： 操作系統(tǒng)，V3.5。 以太網(wǎng)接口，V5.6。 TCP/IP軟件，V2.0。 NFS 軟件，V5.0。 串行通信控制器，V1.1。 X.25軟件，V1.1。 SNMP 軟件，V3.0。 配置管理子系統(tǒng)將配置信息保存在數(shù)據(jù)庫中，可以在需要的時候進行方便地

30、查詢。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,70,記賬管理,記賬管理用于統(tǒng)計用戶對網(wǎng)絡的使用情況。 對于網(wǎng)絡通信服務公司和ISP來說，記賬管理能夠幫助他們實現(xiàn)對用戶的合理收費以及掌握網(wǎng)絡的利用率情況。 對于單位內部網(wǎng)來說，通過統(tǒng)計用戶的網(wǎng)絡使用時間、網(wǎng)絡資源利用率等參數(shù)，可以適當?shù)乜刂坪驼{節(jié)用戶對網(wǎng)絡資源的訪問，從而提高網(wǎng)絡資源的利用率，滿足更多用戶的需求。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,71,記賬管理,記賬管理包括以下幾個步驟： 對所有重要網(wǎng)絡資源的使用情況進行測量； 通過對這些測量結果進行分析，得到當前的網(wǎng)絡使用模式； 進行有效的使用限額分配； 為了對網(wǎng)絡使用方式進行優(yōu)化，需要不斷地進行資源使用情況

31、的測量，及時做出調整。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,72,故障管理,故障管理的目的包括檢測、記錄和通知用戶故障的發(fā)生，以及在必要時自動修復網(wǎng)絡故障。 網(wǎng)絡故障能夠引起網(wǎng)絡癱瘓或使網(wǎng)絡性能下降，因此，為了保證網(wǎng)絡的有效運行，必須加強網(wǎng)絡故障管理。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,73,故障管理,故障管理的具體內容包括： 通過診斷測試，發(fā)現(xiàn)網(wǎng)絡故障并對故障進行隔離； 對故障進行修復或通過啟動備用設備以恢復網(wǎng)絡的正常運行； 記錄故障的檢測和解決過程。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,74,安全管理,安全管理的目的是根據(jù)本地策略控制對網(wǎng)絡資源的訪問，防止用戶對網(wǎng)絡資源進行有意或無意的破壞，禁止未授權用戶對敏感

32、信息的訪問。 例如，一個安全管理子系統(tǒng)能夠監(jiān)視用戶的登錄情況并拒絕登錄口令錯誤的用戶進入系統(tǒng)。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,75,安全管理,安全管理子系統(tǒng)可以將網(wǎng)絡資源分成兩大類：受控資源和非受控資源。 對于企業(yè)外部用戶來說，其對內網(wǎng)中任何資源的訪問往往都是不允許的； 對于大部分企業(yè)內部用戶來說，其對某些特定資源的訪問，往往也是不允許的。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,76,安全管理,安全管理子系統(tǒng)需要完成以下任務： 確定敏感的網(wǎng)絡資源（包括系統(tǒng)硬件、軟件和數(shù)據(jù)）； 確定用戶對敏感網(wǎng)絡資源的訪問權限； 在敏感網(wǎng)絡資源的訪問點上進行監(jiān)視并記錄對敏感網(wǎng)絡資源的非法訪問。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,

33、77,9.5.3 簡單網(wǎng)絡管理協(xié)議,簡單網(wǎng)絡管理協(xié)議（Simple Network Management Protocol，SNMP）屬于應用層協(xié)議，它用于在網(wǎng)絡設備之間交換管理信息。 SNMP能夠幫助網(wǎng)絡管理員管理和維護網(wǎng)絡，提高網(wǎng)絡的可靠性和可用性。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,78,SNMP管理模型的組成,通過SNMP管理的網(wǎng)絡主要包括三個部分：網(wǎng)絡管理系統(tǒng)（Network Management System，NMS）、被管理的設備、代理（Agent）。 網(wǎng)絡管理系統(tǒng)負責監(jiān)視和控制被管理的設備，在被管理的網(wǎng)絡上至少存在一個NMS。 被管理的設備（某個網(wǎng)絡結點）通過SNMP代理收集和存儲設

34、備的管理信息并通過SNMP將信息發(fā)給NMS。被管理設備的具體類型包括路由器、交換機、網(wǎng)橋、集線器、訪問服務器、打印機等。 代理是駐留在被管理設備上的軟件模塊。代理負責收集設備管理信息并發(fā)送給NMS。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,79,SNMP的消息類型,NMS和代理之間通過消息進行通信，有5種類型的消息：GetRequest、GetNextRequest、SetRequest 、GetResponse和Trap。 GetRequest消息：通過SNMP代理獲取被管理設備的參數(shù)。 GetNextRequest消息：用于從代理中獲取緊跟當前參數(shù)值的下一個參數(shù)值。 SetRequest消息：對網(wǎng)絡設

35、備進行配置，包括設備名、設備屬性等參數(shù)。 GetResponse消息：對請求消息進行響應，如提供差錯狀態(tài)、參數(shù)值列表等。 Trap消息：由代理向NMS主動發(fā)出的消息，用于報告某些事件的發(fā)生。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,80,9.6 應用案例瑞星軟件防火墻,第9章 網(wǎng)絡安全與網(wǎng)絡管理,81,防火墻軟件的日志文件,事件的類型主要分為以下10類： 防火墻系統(tǒng)事件：記錄防火墻的啟動和關閉、網(wǎng)絡的連接和斷開等事件。 攻擊事件：記錄防火墻受到的攻擊事件。 IP事件：記錄防火墻規(guī)則要求軟件記錄的IP信息。 TCP事件：記錄防火墻規(guī)則要求軟件記錄的TCP信息。 UDP事件：記錄防火墻規(guī)則要求軟件記錄的UDP

36、信息。 用戶編輯IP規(guī)則事件：記錄用戶對IP規(guī)則進行編輯的事件。 用戶編輯訪問規(guī)則事件：記錄用戶對訪問規(guī)則進行編輯的事件。 用戶配置防火墻事件：記錄用戶對防火墻配置的事件。 木馬掃描事件：記錄對內存中木馬進行掃描的事件。 ARP欺騙事件：記錄防火墻軟件阻止ARP欺騙的事件。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,82,規(guī)則設置,黑名單設置 白名單設置 端口開關設置 可信區(qū)設置 IP規(guī)則設置,第9章 網(wǎng)絡安全與網(wǎng)絡管理,83,黑名單設置,黑名單指的是禁止與本機進行通信的設備列表。例如，曾對本機發(fā)起攻擊的計算機可以被列入黑名單。 對黑名單中的記錄可以進行增加、刪除、導入、導出操作。增加黑名單記錄時，可對某一特定IP地址的設備進行限制，也可對某個地址范圍內的設備進行限制。,第9章 網(wǎng)絡安全與網(wǎng)絡管理,84,白名單設置,白名單為本機完全信任的設備列表。例如，VPN服務器就可被加入白名單。對白名單的操作與對黑