《网络管理与安全》课件.ppt

1、网络管理与安全主讲：宋一兵主讲：宋一兵计算机网络基础与应用高等职业技术学校网络管理与安全第10章 网络管理与安全 计算机网络基础与应用第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节为了使计算机网络能够正常地运转并保持良好的状态，涉及到网络管理和信息安全这两个方面。网络管理可以保证计算机网络正常运行，出现了故障等问题能够及时进行处理；信息安全可以保证计算机网络中的软件系统、数据以及线缆和设备等重要资源不被恶意的行为侵害或干扰。计算机网络基础与应用10.4节网络管理与安全10.1 网络管理 10.2 常用网络诊断命令10.3 网络安全10.4 信息安全计算机网络基础与

2、应用计算机网络基础与应用第10章 网络管理与安全 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全国际标准化组织国际标准化组织ISOISO提出了网络管理功能的提出了网络管理功能的5 5个个功能域，分别为功能域，分别为:故障管理故障管理计费管理计费管理配置管理配置管理性能管理性能管理安全管理安全管理计算机网络基础与应用计算机网络基础与应用10.1 网络管理第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用计算机网络基础与应用10.1.2 网络管理模型 第第10章：章：网络管理

3、与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用计算机网络基础与应用10.1.3 简单网络管理协议 19871987年年InternetInternet体系结构委员会（体系结构委员会（Internet Internet Architecture BoardArchitecture Board，IABIAB）提出要求要为基于）提出要求要为基于TCP/IPTCP/IP协议栈的网络制订网络管理标准，最终目协议栈的网络制订网络管理标准，最终目标是制订基于标是制订基于TCP/IPTCP/IP的通用管理信息服务和协议。的通用管理信息服务和协议。同时基于当时的

4、急迫需求，决定将已有的简单网同时基于当时的急迫需求，决定将已有的简单网关监控协议进行修改完善作为一种应急的解决方关监控协议进行修改完善作为一种应急的解决方案，此即案，此即SNMPSNMP协议。协议。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用计算机网络基础与应用10.1.3 简单网络管理协议 SNMPSNMP的基本概念的基本概念(1)(1)管理信息结构管理信息结构前面已经提到，在前面已经提到，在MIBMIB库中定义的管理信息称库中定义的管理信息称为被管对象。要描述被管对象，即标识、表示某为被管对象。要描述被管对象，即标

5、识、表示某一特定管理信息，必须遵循一定的标准。这个标一特定管理信息，必须遵循一定的标准。这个标准即为管理信息结构。准即为管理信息结构。(2)(2)抽象语法标记抽象语法标记1 1抽象语法标记是一种数据定义语言，通常被抽象语法标记是一种数据定义语言，通常被用来定义异种系统之间通信使用的数据类型、协用来定义异种系统之间通信使用的数据类型、协议数据单元以及信息传送的方式。议数据单元以及信息传送的方式。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用计算机网络基础与应用10.1.3 简单网络管理协议 2.SNMP2.SNMP的操作及

6、协议数据单元的操作及协议数据单元SNMPSNMP协议的处理流程是管理站依次向每个代理发送协议的处理流程是管理站依次向每个代理发送询问请求，代理则根据请求的内容返回相应的数据。代询问请求，代理则根据请求的内容返回相应的数据。代理也可以主动上报系统事件信息。从本质上说，这是一理也可以主动上报系统事件信息。从本质上说，这是一种轮询操作。种轮询操作。通过这个流程可知，在通过这个流程可知，在SNMPSNMP中唯一被支持的操作是中唯一被支持的操作是对对象标识树中表示被管对象相应属性的叶子节点的查对对象标识树中表示被管对象相应属性的叶子节点的查询或修改。因此可以将询或修改。因此可以将SNMPSNMP的动作定

7、义为以下的动作定义为以下3 3种类型。种类型。GetGet：某管理站从一个代理处取得了一个对象的值。：某管理站从一个代理处取得了一个对象的值。SetSet：某管理站修改了一个代理中的对象的值。：某管理站修改了一个代理中的对象的值。TrapTrap：某代理在没有接收到管理站请求的情况下，：某代理在没有接收到管理站请求的情况下，主动向一个管理站发送了一个对象的值。主动向一个管理站发送了一个对象的值。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用计算机网络基础与应用10.1.4 网络管理工具 CiscoCisco网络管理软件网

8、络管理软件Sun NetManagerSun NetManagerHP OpenviewHP Openview第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用10.2 常用网络诊断命令 1、网络连通测试命令ping ping是一种常见的网络测试命令，可以测试端到端的连通性。ping的原理很简单，就是通过向对方计算机发送Internet控制信息协议（ICMP）数据包，然后接收从目的端返回的这些包的响应，以校验与远程计算机的连接情况。默认情况下，发送4个数据包。由于使用的数据包的数据量非常小，所以在网上传递的数度非常快，可以快

9、速检测某个计算机是否可以连通。语法格式。ping-t-a-n count-l length-f-i ttl-v tos-r count-s count-j computer-list|-k computer-list-w timeoutdestination-list第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用1、网络连通测试命令ping 10.2 常用网络诊断命令 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用2、路由追踪命令tracert 该

10、命令用于确定到目标主机所采用的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。数据包上的TTL减为0时，路由器将“ICMP 已超时”的消息发回源主机。tracert 先发送TTL为1的回应数据包，并在随后的每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP已超时”的消息确定路由。某些路由器不经询问直接丢弃TTL过期的数据包，这在tracert实用程序中看不到。tracert命令按顺序打印出返回“ICMP已超时”消息的路径中的近端路由器接口列表。如果使用-d选项，则tracert实用程序不在每个IP地址上查询 D

11、NS。tracert-d-h maximum_hops-j computer-list-w timeout target_name10.2 常用网络诊断命令 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用2、路由追踪命令tracert 10.2 常用网络诊断命令 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用3、地址配置命令ipconfig 该命令在前面的章节中已经使用过，这里再详细解释一下。其作用主要是用于显示所有当前TCP/IP的网络配置值。在

12、运行DHCP系统上，该命令允许用户决定DHCP配置的TCP/IP配置值。ipconfig/all|/renew adapter|/release adapter10.2 常用网络诊断命令 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用3、地址配置命令ipconfig 10.2 常用网络诊断命令 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用4、路由跟踪命令pathping 该命令是一个路由跟踪工具，它将ping和tracert命令的功能和这两个工具

13、所不能提供的其他信息结合起来。pathping 命令在一段时间内将数据包发送到将到达最终目标的路径上的每个路由器，然后从每个跃点返回基于数据包的计算机结果。由于该命令可以显示数据包在任何给定路由器或链接上的丢失程度，因此可以很容易地确定可能导致网络问题的路由器或链接。默认的跃点数是30，并且超时前的默认等待时间是3 s。默认时间是250 ms，并且沿着路径对每个路由器进行查询的次数是100。pathping-n-h maximum_hops-g host-list-p period-q num_queries-w timeout-T-R target_name10.2 常用网络诊断命令 第第1

14、0章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用4、路由跟踪命令pathping 10.2 常用网络诊断命令 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用5、网络状态命令netstat 该命令用于显示当前正在活动的网络连接的详细信息，可提供各种信息，包括每个网路的接口、网络路由信息等统计资料，可以使用户了解目前都有哪些网络连接正在运行。netstat-a-e-n-s-p protocol-r interval10.2 常用网络诊断命令 第第10章：章：网

15、络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用6、网络连接状态命令Nbtstat 该命令用于解决 NetBIOS 名称解析问题，用来提供NetBIOS名字服务、对话服务与数据报服务，显示使用NBT的TCP/IP连接情况和统计。nbtstat-a remotename-A IP address-c-n-R-r-S-s interval10.2 常用网络诊断命令 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用6、网络连接状态命令Nbtstat 10.2 常用网络诊断命令

16、 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全10.3 网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。计算机网络基础与应用第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全10.3.1 网络安全的基本概念 1、网络安全的基本内容网络安全是一个多层次、全方位的系统工程

17、。根据网络的应用现状和网络结构。物理环境的安全性（物理层安全）。操作系统的安全性（系统层安全）。网络的安全性（网络层安全）。应用的安全性（应用层安全）。管理的安全性（管理层安全）。计算机网络基础与应用第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全10.3.1 网络安全的基本概念 2、计算机网络安全等级划分根据强制性国家标准计算机信息安全保护等级划分准则的定义，计算机网络安全可以划分为以下几级。第1级：用户自主保护级。第2级：系统审计保护级。第3级：安全标记保护级。第4级：结构化保护级。第5级：访问验证保护级。安全等级越高，所付出的人力、物力

18、资源代价也越高。系统的安全等级会随着内部、外部环境的变化而变化。计算机网络基础与应用第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全防火墙是一种特殊的网络互连设备，用来加强网络之间访问控制，防止外网用户以非法手段通过外网进入内网访问内网资源，保护内网操作环境。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。计算机网络基础与应用10.3.2防火墙第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全软件防火墙又分为个人防火

19、墙和系统网络防火墙。前者主要服务于客户端计算机，Windows操作系统本身就有自带的防火墙，其他如金山毒霸、卡巴斯基、瑞星、天网、360安全卫士等都是目前较流行的防火墙软件 计算机网络基础与应用10.3.2 防火墙第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全硬件防火墙。相对于软件防火墙来说，硬件防火墙更具有客观可见性，就是可以见得到摸得着的硬件产品。硬件防火墙有多种，其中路由器可以起到防火墙的作用，代理服务器同样也具有防火墙的功能。计算机网络基础与应用10.3.2 防火墙第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节1

20、0.3节10.4节网络管理与安全芯片级防火墙。其基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。生产这类防火墙较有名的厂商有NetScreen和FortiNet等。计算机网络基础与应用10.3.2 防火墙第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。计算机网络基础与应用10.3.3 入侵检测系统 第第10章

21、：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全入侵检测通过对各种事件的分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（Signature-Based），另一种基于异常情况（Anomaly-Based）。对于基于标识的检测技术来说，首先要定义违背安全策略事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统并

22、用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。计算机网络基础与应用10.3.3 入侵检测系统 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全恶意代码泛滥用户安全意识弱恶意攻击行为肆虐缺乏严格的安全管理信息战信息系统标准与技术不完善，运营维护水平差异大计算机网络基础与应用10.4 信息安全 10.4.1 10.4.1 信息安全现状信息安全现状 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算

23、机网络基础与应用10.4.2 安全威胁 第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用10.4.3 安全防护措施 1 1、制定合理的安全策略、制定合理的安全策略最小权限原则最小权限原则木桶原则木桶原则多层防御原则多层防御原则陷阱原则陷阱原则简单原则简单原则合作原则合作原则第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用10.4.3 安全防护措施 2 2、采用合适的安全措施、采用合适的安全措施（1 1）使用安全的口令）使用安全的口令配置系统对用户口令的

24、设置情况进行检测，并强制用户定配置系统对用户口令的设置情况进行检测，并强制用户定期改变口令。期改变口令。不在不同系统上以及不同用户级别上使用同一口令。不在不同系统上以及不同用户级别上使用同一口令。不在计算机中存储口令，也不要把口令存储到任何介质上。不在计算机中存储口令，也不要把口令存储到任何介质上。不要向其他人随便泄露自己的口令信息。不要向其他人随便泄露自己的口令信息。口令的组成要不规则。不要使用与自己相关的字符或者数口令的组成要不规则。不要使用与自己相关的字符或者数字组合，比如姓名或者纪念日等。最好同时使用字符和数字甚字组合，比如姓名或者纪念日等。最好同时使用字符和数字甚至标点符号和控制字符

25、。至标点符号和控制字符。口令的长度不能太短，最好不要少于口令的长度不能太短，最好不要少于6 6位。位。输入口令的时候要注意安全，防止眼明手快的人窃取口令。输入口令的时候要注意安全，防止眼明手快的人窃取口令。要提高警惕，一旦发现自己的口令不能使用，应立即向系要提高警惕，一旦发现自己的口令不能使用，应立即向系统管理员查询原因。统管理员查询原因。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用10.4.3 安全防护措施 2 2、采用合适的安全措施、采用合适的安全措施（2 2）加密）加密加密是实现数据保密性的基本手段。它不依赖于网

26、络中的加密是实现数据保密性的基本手段。它不依赖于网络中的其他条件，只依靠密码算法和密钥的强度来保证加密后的信息其他条件，只依靠密码算法和密钥的强度来保证加密后的信息不会被非授权的用户破解，从而解决了信息泄露的问题。不会被非授权的用户破解，从而解决了信息泄露的问题。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用10.4.3 安全防护措施 2 2、采用合适的安全措施、采用合适的安全措施（3 3）身份认证）身份认证第一种类型最典型的应用就是使用账户名和口令进行登录。第一种类型最典型的应用就是使用账户名和口令进行登录。第二种类型

27、的应用代表则是使用智能卡或动态口令进行认证。第二种类型的应用代表则是使用智能卡或动态口令进行认证。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用10.4.3 安全防护措施 2 2、采用合适的安全措施、采用合适的安全措施（4 4）虚拟专用网）虚拟专用网虚拟专用网技术的核心是利用基于安全协议的隧道技术，虚拟专用网技术的核心是利用基于安全协议的隧道技术，将企业数据加密封装后，通过公共网络进行传输。虚拟专用网将企业数据加密封装后，通过公共网络进行传输。虚拟专用网的核心技术是基于密码理论的安全协议，如的核心技术是基于密码理论的安全

28、协议，如L2TPL2TP、IPSecIPSec等。等。通过密码技术的使用，像是在不安全的公共网络上建立了一条通过密码技术的使用，像是在不安全的公共网络上建立了一条安全的通信隧道，从而防止了数据的泄露。安全的通信隧道，从而防止了数据的泄露。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用10.4.3 安全防护措施 2 2、采用合适的安全措施、采用合适的安全措施（5 5）网络分段）网络分段在这里的网络分段并不仅仅指通常用于控制网络广播风暴、在这里的网络分段并不仅仅指通常用于控制网络广播风暴、提高网络可靠性的手段，还包括了对网络

29、进行细粒度的安全保提高网络可靠性的手段，还包括了对网络进行细粒度的安全保护的思想。通常的做法是根据网络所属业务部门的需求分析，护的思想。通常的做法是根据网络所属业务部门的需求分析，对重要部门的网段与传输非敏感信息的公共信道相互隔离，从对重要部门的网段与传输非敏感信息的公共信道相互隔离，从而防止可能的非法窃听和信息泄露。一般可分为物理分段和逻而防止可能的非法窃听和信息泄露。一般可分为物理分段和逻辑分段两种方式。辑分段两种方式。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节网络管理与安全计算机网络基础与应用10.4.3 安全防护措施 2 2、采用合适的安全措

30、施、采用合适的安全措施（6 6）划分）划分VLANVLAN为了提高网络传输的安全性，还可以利用为了提高网络传输的安全性，还可以利用VLANVLAN（虚拟局域（虚拟局域网）技术，按部门业务的不同将广播式的以太网通信变为部门网）技术，按部门业务的不同将广播式的以太网通信变为部门局部通信的模式，从而防止针对局域网络的窃听行为，但网络局部通信的模式，从而防止针对局域网络的窃听行为，但网络的实际拓扑结构不变。的实际拓扑结构不变。VLANVLAN内部的通信直接通过交换机进行，内部的通信直接通过交换机进行，而而VLANVLAN与与VLANVLAN之间的连接则采用路由器进行通信。目前的之间的连接则采用路由器进行通信。目前的VLANVLAN技术主要有技术主要有3 3种：基于交换机端口的种：基于交换机端口的VLANVLAN、基于结点、基于结点MACMAC地址的地址的VLANVLAN和基于应用协议的和基于应用协议的VLANVLAN。第第10章：章：网络管理与安全网络管理与安全 10.1节10.2节10.3节10.4节