1、第11章 网络管理与网络安全 【本章内容简介】网络管理是对组成网络的各种硬软件设施的综合管理,网络安全是保障计算机正常工作的基础。本章在网络管理技术部分主要介绍了网络管理的内容、功能域和SNMP协议;在网络安全部分主要介绍了网络安全的需求特性、防火墙技术、密码与信息加密、网络病毒防治和VPN技术等。【本章重点难点】重点掌握OSI网络管理功能域、网络安全系统的功能、加密算法和密钥的概念、防火墙的体系结构、病毒的检测和防治。11.1网络管理技术11.1.1网络管理概述 1网络管理主要内容(1)网络服务(2)网络维护(3)网络处理 2网络管理目的(1)同时支持网络监视和控制两方面的能力;(2)能够管
2、理所有的网络协议,容纳不同的网络管理系统;(3)提供尽可能大的管理范围;(4)尽可能小的系统开销,提供较多网络管理信息;(5)网络管理的标准化;(6)网络管理在网络安全性方面应能发挥更大的作用;(7)网络管理应具有一定的智能。3网络管理系统基本结构(1)管理对象(2)管理进程(3)管理协议(4)管理信息库 11.1.2 OSI网络管理功能域 为了实现不同网络管理系统之间的互操作,支持各种网络的互联管理的要求,在OSI网络管理标准中定义了5个管理功能域,它们分别完成不同的管理。被定义的5个功能域只是网络管理的最基本功能,它们需要通过与其他开放系统交换管理信息来实现。1配置管理 2故障管理 3性能
3、管理 4安全管理 5计费管理 11.1.3简单网络管理协议SNMP 1.SNMP概述 SNMP的体系结构分为SNMP管理者和SNMP代理者,每一个支持SNMP的网络设备中都包含一个代理,此代理随时记录网络设备的各种情况。SNMP网络管理模型如图11-1所示。图11-1 SNMP网络管理模型11.1.3简单网络管理协议SNMP 2SNMP体系结构的特点(1)尽可能地降低管理代理的软件成本和资源要求(2)提供较强的远程管理功能(3)体系结构具备可扩充性(4)协议本身具有较强的独立性 3SNMP操作命令(1)取(get)(2)取下一个(get next)(3)设置(set)(4)报警(trap):1
4、1.1.3简单网络管理协议SNMP 4SNMP的工作原理 SNMP有5种消息类型:(1)Get Request(2)Get Response (3)Get Next Request(4)Set Request(5)Trap 5网络管理平台 网络管理平台向上为各类专用网管提供了统一的标准应用程序接口API网管平台如图11-2所示。图11-2 网管平台11.2网络安全概述 11.2.1网络安全的基本概念 国际化标准组织引用ISO74982文献中对安全的定义是:安全就是最大程序地减少数据资源被攻击的可能性。网络安全所涉及的领域如图11-3所示。图11-3 网络安全所涉及的知识领域11.2.2网络安全
5、的需求特性 网络安全一般是指网络信息的可用性、完整性、保密性、真实性和安全保证。5种安全的需求特性是相互依赖的,它们之间的关系如图11-4所示。图11-4安全需求特性的相互依赖关系11.2.3网络安全的威胁因素 网络威胁是指安全性受到潜在破坏,网络安全所面临威胁的几种形式如图11-5所示。图11-5 网络安全攻击的几种形式 11.2.4网络安全系统的功能一个网络安全系统应具有如下的功能:l身份认证2访问控制3数据保密性4数据完整性5防抵赖6密钥管理11.2.5网络安全的等级标准 l美国国防部开发的计算机安全标准 美国国防部国家计算机安全中心代表美国国防部制定并出版了可信计算机安全评价标准TCS
6、EC,即著名的“桔皮书”,橘皮书将计算机系统安全性划分为A、B、C、D四个等级。2国际标准化组织的CC标准 CC标准是国际标准化组织ISO/IEC JTC1发布的一个标准,其标准编号为ISO/IEC 15408。3我国网络安全评价标准 (1)第一级为用户自主保护级 (2)第二级为系统审计保护级 (3)第三级为安全标记保护级 (4)第四级为结构化保护级 (5)第五级为访问验证保护级 11.3密码与信息加密 11.3.1密码学的基本概念 传统的密码体制加密密钥和解密密钥相同,也称为对称密码体制,如果加密密钥和解密密钥不相同,则称为非对称密码体制。密码技术中的加密解密的一般模型如图11-6所示。图1
7、1-6 数据加/解密模型 对称加密也叫做常规加密或传统密码算法,加密密钥能够从解密密钥中推算出来,反之也成立。对称加密技术的模型如图11-8所示。11.3.2对称加密算法图11-8 对称加密体制模型11.3.3非对称加密算法 非对称加密又称为公开密钥加密,它涉及到两种独立密钥的使用,而且这两种密钥总是成对生成的,一个作为公开密钥(简称公钥),另外 一个作为私有密钥(简称私钥)。当一个消息采用公钥加密后,只能采用私钥进行解密,非对称算法加密的模型如图11-9所示。图11-9 非对称加密体制模型11.3.4报文鉴别 所谓鉴别就是信息的接收者对数据进行的验证,报文鉴别就是信息在网络的传输过程中,能够
8、保证数据的真实性和完整性,即数据确实来自于其真正的发送者而非假冒,数据的内容没有被篡改或伪造。现在通常采用报文摘要(Message Digest)算法来实现报文鉴别。报文鉴别的模型如图11-11所示。图11-11 报文鉴别11.4防火墙技术 11.4.1防火墙概述 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,防火墙的位置与作用如图11-12所示。图11-12 防火墙的位置与作用示意图 11.4.2防火墙的主要类型 1网络级防火墙 网络级防火墙也称包过滤防火墙,是在网络层对数据包进行选择,通常由一部路由器或一部充当路由器的计算机组成。包过滤
9、路由器的结构如图11-13所示。图11-13 包过滤路由器的结构11.4.2防火墙的主要类型 2应用级防火墙 应用级防火墙也称应用级网关防火墙,它是在网络应用层上建立协议过滤和转发功能,应用级网关结构如图11-14所示。图11-14应用级网关的结构 11.4.2防火墙的主要类型 3电路级防火墙 电路级防火墙也称电路层网关型防火墙,它监视两台主机建立连接的握手信息,从而判断请求是否合法。电路组防火墙工作原理如图11-16所示。图11-16电路级防火墙工作原理11.4.3防火墙的体系结构 1双宿主机体系结构 双宿主机体系结构又称双宿网关防火墙,它是一种拥有两个或多个连接到不同网络上的网络接口防火墙
10、,通常用一台装有两块或多块网卡的堡垒主机做防火墙,其体系结构如图11-17所示。图11-17双宿堡垒主机防火墙体系结构11.4.3防火墙的体系结构 2.屏蔽主机体系结构 屏蔽主机体系结构使用一个单独的路由器提供内部网络相连堡垒主机的服务。在这种安全体系结构中,主要的技术是包过滤,被屏蔽主机的体系结构如图11-18所示。图11-18屏蔽主机防火墙体系结构11.4.3防火墙的体系结构 3屏蔽子网 屏蔽子网体系结构这种方法是通过增加边界网络来隔离内部网络与外部网络,进一步提高了安全性,屏蔽子网体系结构如图11-19所示。图11-19被屏蔽子网防火墙体系结构 11.5网络防病毒技术 11.5.1计算机
11、病毒概述 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。网络计算机病毒主要是指主要通过网络作为病毒传送媒介的病毒,在网络环境下,病毒可以按指数增长模式进行传染,其传播速度是非网络环境下要快许多。11.5.2 计算机病毒的检测和防治 1病毒的检测 通常计算机病毒的检测有手工检测和自动检测两种方法。2病毒的防治 (1)建立健全法律制度 (2)二是加大技术投入与研究力度 3局域网防治计算机病毒的策略 (1)在因特网接入口处安装防火墙式防杀计算机病毒产品 (2)对邮件服务器进行监控,防止带毒邮件进行传播 (3)对局域网
12、用户进行安全培训 (4)建立局域网内部的升级系统11.5.3反病毒软件的组成和特点 1反病毒技术的实现方式(1)实时监视技术(2)自动解压缩技术(3)全平台反病毒技术 2反病毒软件的组成(1)病毒扫描程序(2)内存扫描程序(3)完整性检查器(4)行为监视器 3反病毒软件的特点(1)能够识别并清除病毒(2)查杀病毒引擎库需要不断更新11.6 VPN技术 11.6.1 VPN概述 虚拟专用网VPN 是通过一个公用网络建立一个临时的、安全的连接。虚拟专用网虽然不是真的专用网络,但却能够实现专用网络的功能。VPN采用了所谓的“隧道”技术,如图11-20所示。图11.20 VPN的隧道技术 11.6.2 VPN协议 1VPN安全技术 VPN主要采用4项技术来保证安全,这4项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。2VPN的隧道协议 VPN中的隧道是由隧道协议形成的,VPN使用的隧道协议主要有点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec协议。