计算机网络概论课件.ppt

1、计算机网络应用第八章主要内容n网络管理网络管理n网络安全网络安全n加密算法加密算法n防火墙防火墙nIDSnGrid computingnWeb Services1、网络管理概述网络管理概述n目的目的n对组成网络的各种对组成网络的各种软硬件设施软硬件设施进行综合管进行综合管理，以达到理，以达到充分利用资源充分利用资源和和提高网络性能提高网络性能的目标。的目标。n方法n获取被管设备的各种必要信息（获取被管设备的各种必要信息（statusstatus、statisticsstatistics）。）。n对各种网络资源状态及其使用进行监测、对各种网络资源状态及其使用进行监测、分析和控制，并根据分析结果进

2、行不同的分析和控制，并根据分析结果进行不同的管理操作。管理操作。n网管标准nISO/OSIISO/OSI网络管理标准网络管理标准公共管理信公共管理信息协议（息协议（CMIPCMIP）nInternetInternet网络管理标准网络管理标准简单网络简单网络管理协议（管理协议（SNMPSNMP）n网络管理方式n本地管理本地管理nTelnetTelnet远程管理远程管理 基于基于WEBWEB管理管理n基于基于SNMPSNMP管理管理n网管功能组成网管功能组成n配置管理：定义、监测和管理系统的配置参数，使配置管理：定义、监测和管理系统的配置参数，使得网络资源可用、性能较优。得网络资源可用、性能较优。

3、n故障管理：对网络设备进行监控，包括故障检测、故障管理：对网络设备进行监控，包括故障检测、隔离和恢复。隔离和恢复。n计费管理：统计、记录网络资源的使用情况，估算计费管理：统计、记录网络资源的使用情况，估算用户应付的费用。用户应付的费用。n性能管理：收集和统计网络系统状态、数据（如网性能管理：收集和统计网络系统状态、数据（如网络的吞吐量、用户响应时间和网络资源的利用率等络的吞吐量、用户响应时间和网络资源的利用率等)，根据统计信息来评价网络资源的使用等系统性能，根据统计信息来评价网络资源的使用等系统性能，分析系统资源的使用趋势，或者平衡系统资源的负分析系统资源的使用趋势，或者平衡系统资源的负载。载

4、。n安全管理：安全管理：资源的访问控制、身份认证和授权、安资源的访问控制、身份认证和授权、安全检查跟踪、密钥管理和信息加密等。全检查跟踪、密钥管理和信息加密等。n网络管理基本模型网络管理基本模型网络管理工作站网络管理工作站网络网络网络管理协议网络管理协议代理代理管理信息库管理信息库代理代理管理信息库管理信息库代理代理管理信息库管理信息库代理代理管理信息库管理信息库被管被管设备设备n网络管理工作站：通过网络向各种被管网络设施发网络管理工作站：通过网络向各种被管网络设施发出各种控制命令，并对被管设备反馈的信息进行汇出各种控制命令，并对被管设备反馈的信息进行汇总分析。总分析。n被管设备：网络交换结点

5、、集中器、线路设备、用被管设备：网络交换结点、集中器、线路设备、用户结点等；负责响应网络管理工作站的命令，将被户结点等；负责响应网络管理工作站的命令，将被管设备的信息通过网络管理协议提供给管理工作站。管设备的信息通过网络管理协议提供给管理工作站。n代理：运行在被管设备上的相关软件。代理：运行在被管设备上的相关软件。n管理信息库：保存本地设备的管理信息。管理信息库：保存本地设备的管理信息。n其他管理模型其他管理模型n分布式管理模型分布式管理模型n分布集中式管理模型分布集中式管理模型1、网络管理网络管理SNMPn基本工作模式基本工作模式ManagerAgentAgent请求请求 请求请求 应答应答

6、 应答应答 中心数据库中心数据库 本地数据库本地数据库 本地数据库本地数据库 n协议标准n19901990年年，SNMPv1SNMPv1（RFC1157RFC1157）和）和MIBv1MIBv1（RFC1156RFC1156）n采用采用集中管理模式集中管理模式，管理员，管理员轮询轮询管理多个代理管理多个代理n19961996年年，SNMPv2SNMPv2（RFC1905RFC1905）和）和MIBv2MIBv2（RFC1904RFC1904）n引进引进区域管理区域管理（分布式管理）的思想，扩充了管理员之间（分布式管理）的思想，扩充了管理员之间的操作的操作n19981998年年，SNMPv3SN

7、MPv3（RFC2273RFC2273）和）和MIBv3MIBv3（RFC2272RFC2272）n在在SNMPv2SNMPv2的基础上，扩充相关安全功能的基础上，扩充相关安全功能n身份鉴别身份鉴别：实体鉴别，确保收到的指令或者数据来自：实体鉴别，确保收到的指令或者数据来自于真实的实体于真实的实体n数据保密数据保密：MIBMIB信息存储保密和信息存储保密和PDUPDU传输保密，确保指传输保密，确保指令或者数据不被截取、伪造、篡改和重放令或者数据不被截取、伪造、篡改和重放n访问控制访问控制：实体授权和访问控制，禁止越权或者非授：实体授权和访问控制，禁止越权或者非授权操作。权操作。n管理组件 SM

8、I定义管理信息的结构MIB存放基于SMI的信息项SNMP管理信息的传输协议nSNMP的操作类型名称名称编码编码功能说明功能说明GetRequestGetRequest0管理员至代理，查询指定变量的值；管理员至代理，查询指定变量的值；GetNextRequestGetNextRequest1管理员至代理，查询下一变量的值；管理员至代理，查询下一变量的值；ResponseResponse2至管理员至管理员，回送执行结果（正确，回送执行结果（正确/差错）；差错）；SetRequestSetRequest3管理员至代理，设置代理维护的某个变量的值；管理员至代理，设置代理维护的某个变量的值；GetBul

9、kRequestGetBulkRequest5管理员至代理，传递批量信息；管理员至代理，传递批量信息；InformRequestInformRequest6管理员至管理员，传递参数处理请求；管理员至管理员，传递参数处理请求；SNMPV2-TrapSNMPV2-Trap7代理至管理员，传递报警信息；（取代原代理至管理员，传递报警信息；（取代原4 4）ReportReport8待定义待定义nMIB库中管理对象标示（object ID）n采用ASN.1交互示意图交互示意图计算机网络安全计算机网络安全n网络安全需求n网络资源共享n研究应用n安全威胁n网络安全防护计算机网络安全威胁计算机网络安全威胁窃取

10、窃取篡改篡改否认收取否认收取否认发送否认发送伪造伪造合法用户合法用户合法用户合法用户非法用户非法用户非法用户非法用户常见的网络威胁手段常见的网络威胁手段nBuffer overflown伪装n中间人攻击n重放攻击nDoS攻击Buffer Overflown利用缓冲区溢出利用缓冲区溢出,执行非法操作执行非法操作n19881988年，第一个年，第一个InternetInternet蠕虫蠕虫n许多应用：许多应用：fingerd,sendmail,bind,fingerd,sendmail,bind,IE,IIS,ftpd,lpd,X Window,ssh,IE,IIS,ftpd,lpd,X Wind

11、ow,ssh,NetMeetingNetMeeting等等spoofingnIP SpoofingIP Spoofing：盗用地址盗用地址 认证认证/授权授权nARP SpoofingARP SpoofingnDNS SpoofingDNS SpoofingnMail SpoofingMail SpoofingnWeb PhishingWeb Phishing计算机信息安全分类信息安全数据、传输n网络信息安全研究范围n信息的保密性（privacy）n信息的完整性（integrity）n信息的可用性（availability）n信息安全的技术基础n安全管理-架构、策略（Firewall、IDS）

12、n信息加密、解密算法（DES、RAS）n访问控制、身份鉴别和授权（数字签名）信息加密解密技术Basic concept of encryption and decryptionCiphertextKe(plaintext)Ke-encrypt keyPlaintext=Kd(Ciphertext)Kd-decrypt key信息加密解密技术信息加密解密技术n评价加密算法评价加密算法指标指标n强度强度n复杂度复杂度 破译难度破译难度n速度速度n系统开销系统开销n算法性能算法性能n算法的可公开性算法的可公开性n算法保密算法保密n算法公开算法公开加密解密算法nEncryption/Decryptio

13、nnConventional methodsn加密算法不公开n字母置换n位置替换nCurrent methodsn加密算法公开n对称密钥加密（DES）n非对称密钥加密（RSA）Conventional methods字母变换字母变换Conventional methods位置替换位置替换Current methodsn对称密码算法nDES、3DES、IDEA、GOST、CAST、Blowfish、Twofish、AES 等n公开密码算法nRSA、ElGamal、DH、椭圆算法等Basic principle symmetryasymmetryDES（3DES）DES（3DES）DES（3DES

14、）Sub-key generatingComplexRSA对称加密机制存在的问题对称加密机制存在的问题RSARSARSARSAEncrypt with public keyRSAEncrypt with private keyComplex encryptionMessage digest by MD algorithmmessage integrityComplex encryptionDigest and RSA(sender)unidirectional data signature Complex encryptionDigest and RSA(sender)unidirection

15、al data signature Complex encryptionBidirectional Data Signature AuthenticationComplex encryptionBidirectional Data Signature Authentication网络安全网络安全-IDS入侵检测（入侵检测（Intrusion Detection）：对进）：对进入网络的数据流进行实时或离线的行为分入网络的数据流进行实时或离线的行为分析，利用已有入侵模式或智能推理判别，析，利用已有入侵模式或智能推理判别，对网络的安全状况给出安全建议的安全防对网络的安全状况给出安全建议的安全防护行为

16、。护行为。入侵检测系统（入侵检测系统（IDS）：完成入侵检测的）：完成入侵检测的系统装置。系统装置。IDS:Intrusion detection system.Some combination of one or more of the following components:sensor,analyzer,manager.by IDWG,RFC draft,draft-ietf-idwg-requirements网络安全网络安全-IDS网络安全网络安全-IDS网络安全网络安全-IDS防火墙n基本概念n对外保护内部网络信息安全n基于策略进行访问控制(双向)n基于已有知识形成控制策略n无法防

17、御内部用户的非法行为防火墙防火墙n防火墙的位置n防火墙位于网络边缘路由器的后级内部网内部网服务器服务器路由器路由器双端口双端口防火墙防火墙交换器交换器外部网外部网防火墙n防火墙的分类n包过滤防火墙n代理防火墙nNAT防火墙防火墙n包过滤防火墙n检查IP包，根据规则进行过滤n简单、高速n无法检测基于应用层的行为内部网络内部网络服务器服务器外部网络外部网络防火墙防火墙防火墙n应用层代理n代理外部（或内部）用户访问内部（或外部）网络，杜绝内部和外部的直接访问n代理服务器分析客户的请求，依据策略允许或者拒绝某个特定的请求n能够对高层应用进行检查n审计、授权、访问控制更加精细n分为透明代理和不透明代理防

18、火墙nNAT防火墙n针对IP地址告急和专用IP地址在部分企业网中的应用，出现了地址迁移路由器（NAT路由器或者NAT服务器）nNAT路由器负责全局/本地（私有）IP地址的映射，屏蔽内部IP地址n内部节点作为进行连接的发起点东大防火墙校园网校园网国际代理服务器国际代理服务器国内代理服务器国内代理服务器SocksSocks代理服务器代理服务器路由器路由器交换器交换器外部网外部网邮件服务邮件服务WWW服务服务网络安全网络安全-Firewall Firewall VS.IDS+=Active Firewall System What?A Protection System for small/medi

19、um organization,based on the integration and cooperation of the traditional security devices.Why?More dangerous world(threats:worm,attack,etc.)Single devices:not competent Components:Firewall,IDS,Scanner,and Policy Center网络安全网络安全-Active Firewall网络安全网络安全-Active Firewall目标：自主研制一个集成入侵检测、安全目标：自主研制一个集成入侵

20、检测、安全扫描等多种安全技术、基于扫描等多种安全技术、基于NPNP的软硬件结的软硬件结合的主动式防火墙系统，该系统具有相当合的主动式防火墙系统，该系统具有相当的安全强度，能够适应大中型企业内部网的安全强度，能够适应大中型企业内部网络（百络（百MM以上）的安全需求，并且易于配以上）的安全需求，并且易于配置和使用，同时还将具备完善的身份认证、置和使用，同时还将具备完善的身份认证、信息过滤、虚拟专网、访问控制、扫描监信息过滤、虚拟专网、访问控制、扫描监测、地址转换、日志审计等功能。测、地址转换、日志审计等功能。网络安全网络安全-Active FirewallTwo Approaches Intell

21、igence Goal:more intelligent in automatically detecting threat and responding Approach:Security Policy Center Performance Goal:faster,smooth in packet processing wire-speed!Approach:by Network Processor网络安全网络安全-Active Firewall网络安全网络安全-Active Firewall网络安全网络安全-Active FirewallThe Info.Flow网格计算网格计算-What

22、GRID提供一个单一的、安全的、聚集网络上广泛分布的各种资源（计算力、数据、存储、程序、代码、软件和应用），进行大规模计算、数据处理和资源共享的通用基础支撑结构。网格就是在动态变化的、拥有多个部门或者团体的复杂虚拟组织（Virtual Organization）内，灵活、安全的协同资源共享与问题求解。所谓虚拟组织是指一些个人、组织或者资源的动态组合。潜藏在网格概念之中确切而特殊的问题就在于，实现对等的资源共享和解决动态的、分布式的的虚拟组织所遇到的问题。这里的共享不仅仅是简单的文件交换，更强调直接对计算机，软件，数据以及其它资源的直接访问，这种需求在工业，科学以及工程界等许多领域都会遇到。共享

23、的广泛性：传统因特网实现了计算机硬件的连通和通信；Web技术实现了网页的连通；而网格则试图现实互联网上所有资源的全面连通，包括计算资源、存储资源、通信资源、软件资源、信息资源、知识资源等等；动态性（dynamic）：）：网格环境下的资源是一种跨越多个组织的资源共享，资源的加入和撤离是动态的行为。网格计算网格计算-What军事仿真（SFExpress）远程医疗、仪器访问EU-Data Grid虚拟博物馆、协作学习环境U.S.GIG、China Grid网格应用网格应用应用的推动应用的推动分布式超级计算分布式仪器系统数据密集型计算远程沉浸信息集成CAD/CAM生命科学数字生物学网格计算网格计算-W

24、hy高性能计算需求遥感 天文学网格计算网格计算-Why天气预报天气预报大气海洋模拟大气海洋模拟网格计算网格计算-Why航空航天航空航天网格计算网格计算-Why军事指挥军事指挥网格计算网格计算-Why网格计算网格计算-Why现有技术无法解决全部问题现有技术无法解决全部问题 Web技术：能够出色的支持浏览器-服务器（B/S）交互模式，是今天的WEB的基础,但是 缺乏满足在虚拟组织中更复杂的互动所需要的特性。分布式企业计算技术：CORBA，Enterprise Java Beans，Java 2 Enterprise Edition和DCOM等系统被设计为用来构造分布式的应用。但是 这些机制并不涉及

25、建立虚拟组织特别的需要，典型的共享安排是基于静态的，只限于在一个组织内部使用，交互的基本形式是客户机服务器，而不是对等使用多种资源。网格体系结构网格体系结构Application构造层构造层Fabric“Controlling things locally”:Access to,&control of,resources连通层连通层“Talking to things”:通讯通讯(Internet protocols)&安全安全资源层资源层Resource“共享单个资源共享单个资源”:协商访问协商访问,控制使用控制使用聚合层聚合层Collective“管理多个资源管理多个资源”:无处不在的底层

26、基础服无处不在的底层基础服务务services应用层“Specialized services”:面向用户面向用户或面向应用的分布式服务或面向应用的分布式服务 servicesInternetTransportApplicationLinkInternet Protocol Architecture我们的工作我们的工作 基于信任机制的任务调度策略 基于QoS的网格资源分配管理 网格QoS层次结构模型的研究 基于两阶段匹配的网格服务发现模型 基于信任参数实现带结果反馈的动态授权 China Grid 网格节点建设 国家自然基金重大项目AMS数据处理与分析平台的研究与实现SOA与WEB Servi

27、ces课程复习2.2信道的传输特性信道的传输特性n信道速率（bps）vs.波特率（baud）n波特率：信号每秒钟变化的次数，也称调制速率。n比特率：每秒钟传送的二进制位数。n波特率与比特率的关系取决于信号值与比特位的关系，对计算机二进制信号，两者象等。n例：每个信号值可表示位，则比特率是波特率的倍；每个信号值可表示位，则比特率和波特率相同。2.1 2.1 数据通信的系统构成数据通信的系统构成n功能结构信源信宿载体(信道)噪声源反变换器变换器差错控制2.2 信道的传输特性信道的传输特性contdn串行异步传输n同步传输(依靠双方始终的精确同步)2.2 信道的传输特性信道的传输特性contd数字型

28、数字型信源信源Modem模拟型模拟型信源信源Codec数字信道数字信道模拟信道模拟信道数字型数字型信宿信宿Modem模拟型模拟型信宿信宿Codec光电转换光电转换频率转换频率转换2.3.调制解调与编解码技术调制解调与编解码技术编码连个问题：效率和时钟同步 2.4.错误检测与纠错技术错误检测与纠错技术n错误检测错误检测（Detection）n基本途径，在信息中增加冗余冗余信息信息（redundancyredundancy）n奇偶校验（parity）n循环校验（CRC）2.4.错误检测与纠错技术错误检测与纠错技术contdn错误纠正(一位错)n水平/垂直奇偶纠错码(使用偶校验）2.4.错误检测与纠

29、错技术错误检测与纠错技术Contd正反码举例：正反码举例：合成合成 信息字信息字 校验校验 原信息原信息 接收码字接收码字 码组码组 段奇段奇/偶偶 码组码组 结果结果 字段字段010110101101011 00000 01011 00000 奇（不变）奇（不变）00000 00000 正确正确 0101101011100101001001101 11111 01101 11111 偶（取反）偶（取反）00000 00000 正确正确 1001010010011110111101011 00100 01011 00100 偶（取反）偶（取反）11110 011 11 信息位信息位3 3错错

30、0101101011100101001001001 11011 01001 11011 偶（取反）偶（取反）00001 100 00 校验位校验位3 3错错 1001010010正反码具有纠一位错的能力，其编码效率为正反码具有纠一位错的能力，其编码效率为5050。正反码2.52.5、媒体复用技术、媒体复用技术复用技术T1 1.544mbpsE1 2.148mbps2.62.6、交换技术、交换技术交换技术3.1、ISO/OSI网络参考模型3.2、ISO/OSI网络参考模型contdn网络层n基于基于DLDL层的问题层的问题n数据链路层数据链路层仅提供点对点的数据链路仅提供点对点的数据链路，不能直

31、接提供用户，不能直接提供用户数据的端到端之间的传输。数据的端到端之间的传输。n当用户设备连入网络时，希望可以和任一其他用户当用户设备连入网络时，希望可以和任一其他用户通信。通信。n利用复用利用复用/解复用技术，将一条解复用技术，将一条DLDL划分为若干条逻划分为若干条逻辑电路（称为逻辑信道辑电路（称为逻辑信道LCLC），并且，采用），并且，采用LCLC号来区号来区分不同用户的数据，实现多对用户的数据可以交织分不同用户的数据，实现多对用户的数据可以交织在同一条数据链路上传输。在同一条数据链路上传输。3.2、ISO/OSI网络参考模型contdnDL层n提供服务n无连接服务n虚电路服务n复用解复用

32、n物理地址（MAC）3.2、ISO/OSI网络参考模型contdn网络层功能n逻辑寻址n逻辑地址（IP）n路由（分组传输路径选择）n尽力而为（Besteffort）n实现路由功能的通信设备n交换机n路由器3.2、ISO/OSI网络参考模型contdn传输层n提供服务n提供端口地址寻址(TSAP)n完成数据块的端到端传输（End-End）n提供面向连接的服务和无连接的服务（TCP/UDP）nTcp 面向连接 可靠数据流n定时 重传机制nudpn功能n差错控制（端到端）n流量控制（端到端）3.3、TCP/IP协议栈ApplicationPresentationSessionTransportNet

33、workData linkPhysical12345673.3、TCP/IP协议栈Contd三种地址的含义及其映射方法域名地址3.3、TCP/IP协议栈Contd逻辑地址3.3、TCP/IP协议栈Contd4.1、LAN媒体访问技术nEthernet BUSnCSMA/CDn基本原理n最小帧长度n数据帧格式nToken networkn基本控制原理nBUSRING5.1 wan n帧中继n特点nISDNn速率构成nATMn虚电路的基本原理6.1网络互联n桥n透明桥的基本原理n路由器n基本功能n体系结构n三层交换7.1 网络应用n子网掩码n功能n地址解析(arp rarp)nArpnrarpndns8、网络管理和安全n网络管理的基本模型nClientserver（proxy）nRequestreponsen网络管理的几个方面n配置n性能n安全n计费n故障8、网络管理和安全contdn安全目的n信息机密性n信息完整性n信息可用性n安全方法n加密对称、非对成n信息摘要n数字签名nChallengeresponse