08-网络安全与网络管理的学习

1南京信息职业技术学院软件学院南京信息职业技术学院软件学院2南京信息职业技术学院软件学院南京信息职业技术学院软件学院3南京信息职业技术学院软件学院南京信息职业技术学院软件学院学习内容学习内容：网络安全的定义和面临的威胁网络安全的定义和面临的威胁病毒的定义、分类、特点及防治病毒的定义、分类、特点及防治黑客的概念、攻击目的和防范措施黑客的概念、攻击目的和防范措施防火墙的概念和功能特点防火墙的概念和功能特点网络管理的基本概念网络管理的基本概念 简单网络管理协议简单网络管理协议SNMP SNMP 4南京信息职业技术学院软件学院南京信息职业技术学院软件学院8.1 8.1 网络安全概述网络安全概述 网络安全问题已经成为信息化社会的一个焦点网络安全问题已经成为信息化社会的一个焦点问题；问题；每个国家只能立足于本国，研究自己的网络安每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全络安全产业，才能构筑本国的网络与信息安全防范体系。防范体系。5南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络安全的概念网络安全的概念网络安全是指网络系统的硬件、软件及其系统的数据不受到网络安全是指网络系统的硬件、软件及其系统的数据不受到偶然的或者恶意的因素而遭到破坏、更改和泄露，系统连续偶然的或者恶意的因素而遭到破坏、更改和泄露，系统连续可靠的正常地运行，网络服务不中断。网络安全包括五个基可靠的正常地运行，网络服务不中断。网络安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。本要素：机密性、完整性、可用性、可控性与可审查性。 机密性：是指网络信息的内容不会被未授权的第三方所知。机密性：是指网络信息的内容不会被未授权的第三方所知。 完整性：指信息在存储或传输时不被篡改、破坏，不出现信完整性：指信息在存储或传输时不被篡改、破坏，不出现信息包的丢失、乱序等。息包的丢失、乱序等。 可用性：得到授权的实体在需要时可访问数据，即攻击者不可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。能占用所有的资源而阻碍授权者的工作。可控性：可以控制授权范围内的信息流向及行为方式。可控性：可以控制授权范围内的信息流向及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和手段。可审查性：对出现的网络安全问题提供调查的依据和手段。6南京信息职业技术学院软件学院南京信息职业技术学院软件学院构成对网络安全威胁的主要因素与相关技术的研究构成对网络安全威胁的主要因素与相关技术的研究网络防攻击问题网络防攻击问题 网络安全漏洞与对策问题网络安全漏洞与对策问题网络中的信息安全保密问题网络中的信息安全保密问题网络内部安全防范问题网络内部安全防范问题 网络防病毒问题网络防病毒问题 网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题7南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络防攻击问题网络防攻击问题服务攻击服务攻击: : 对网络提供某种服务的服务器发起攻击，造成该网络的对网络提供某种服务的服务器发起攻击，造成该网络的“拒绝服务拒绝服务”，使网络工作不正常，使网络工作不正常; ;非服务攻击非服务攻击: : 不针对某项具体应用服务，而是基于网络层等低层协议不针对某项具体应用服务，而是基于网络层等低层协议而进行的，使得网络通信设备工作严重阻塞或瘫痪。而进行的，使得网络通信设备工作严重阻塞或瘫痪。8南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络防攻击主要问题需要研究的几个问题网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击？网络可能遭到哪些人的攻击？攻击类型与手段可能有哪些？攻击类型与手段可能有哪些？如何及时检测并报告网络被攻击？如何及时检测并报告网络被攻击？如何采取相应的网络安全策略与网络安全防护体系？如何采取相应的网络安全策略与网络安全防护体系？9南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络安全漏洞与对策的研究网络安全漏洞与对策的研究网络信息系统的运行涉及到：网络信息系统的运行涉及到：计算机硬件与操作系统计算机硬件与操作系统网络硬件与网络软件网络硬件与网络软件数据库管理系统数据库管理系统应用软件应用软件网络通信协议网络通信协议网络安全漏洞也会表现在以上几个方面。网络安全漏洞也会表现在以上几个方面。 10南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络中的信息安全保密网络中的信息安全保密信息存储安全与信息传输安全信息存储安全与信息传输安全 信息存储安全信息存储安全 如何保证静态存储在连网计算机中的信息不会如何保证静态存储在连网计算机中的信息不会 被未授权的网络用户非法使用；被未授权的网络用户非法使用；信息传输安全信息传输安全 如何保证信息在网络传输的过程中不被泄露与不被如何保证信息在网络传输的过程中不被泄露与不被攻击；攻击； 11南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络中的信息安全保密问题网络中的信息安全保密问题 信息源结点信息目的结点（ d d） 信信 息息 被被 篡篡 改改非法用户篡改信息源结点信息目的结点（ e e） 信信 息息 被被 伪伪 造造非法用户伪造信息源结点信息目的结点（b）信息被截获（b）信息被截获非法用户截获信息源结点信息目的结点（c）信息被窃听（c）信息被窃听非法用户窃听12南京信息职业技术学院软件学院南京信息职业技术学院软件学院数据加密与解密数据加密与解密将明文变换成密文的过程称为加密；将明文变换成密文的过程称为加密；将密文经过逆变换恢复成明文的过程称为解密。将密文经过逆变换恢复成明文的过程称为解密。 加密过程密文明文信息源结点信息源结点解密过程密文明文信息目的结点信息目的结点13南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络内部安全防范问题网络内部安全防范问题网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；对网络与信息安全有害的行为包括：有意或无意地泄露网络用户或网络管理员口令；违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；解决来自网络内部的不安全因素必须从技术与管理两个方面入手。14南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络防病毒问题网络防病毒问题 目前，目前，70%70%的病毒发生在计算机网络上；的病毒发生在计算机网络上；连网微型机病毒的传播速度是单机的连网微型机病毒的传播速度是单机的2020倍，网络服倍，网络服务器消除病毒所花的时间是单机的务器消除病毒所花的时间是单机的4040倍；倍；电子邮件病毒可以轻易地使用户的计算机瘫痪，有电子邮件病毒可以轻易地使用户的计算机瘫痪，有些网络病毒甚至会破坏系统硬件。些网络病毒甚至会破坏系统硬件。 15南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络数据备份与恢复、灾难恢复问题网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络故障造成数据丢失，数据能不能被恢复？如果出现网络因某种原因被损坏，重新购买设备的资金如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？可以提供，但是原有系统的数据能不能恢复？16南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络安全机制：网络安全机制： 网络安全机制（网络安全机制（security mechanisms）可分为两类：一类与安全服务）可分为两类：一类与安全服务有关，另一类与管理功能有关。有关，另一类与管理功能有关。ISO7498-2建议了以下八种机制。建议了以下八种机制。（1）加密机制：加密是确保数据保密性。）加密机制：加密是确保数据保密性。（2）数字签名机制：数字签名用来确保数据真实性和进行身份验证。）数字签名机制：数字签名用来确保数据真实性和进行身份验证。（3）访问控制机制：访问控制按照事先确定的规则来决定主体对客体）访问控制机制：访问控制按照事先确定的规则来决定主体对客体 的访问是否合法。的访问是否合法。（4）数据完整性机制：数据完整性是保证数据不被修改。）数据完整性机制：数据完整性是保证数据不被修改。（5）认证机制：计算机网络中认证机制主要有站点认证、报文认证、）认证机制：计算机网络中认证机制主要有站点认证、报文认证、 用户和进程的认证。用户和进程的认证。（6）信息流填充机制：信息流填充使攻击者不知道哪些是有用信息，）信息流填充机制：信息流填充使攻击者不知道哪些是有用信息， 哪些是无用信息，从而挫败信息流分析攻击。哪些是无用信息，从而挫败信息流分析攻击。（7）路由控制机制：路由控制机制可根据信息发送者的申请选择安全）路由控制机制：路由控制机制可根据信息发送者的申请选择安全 路径，以确保数据安全。路径，以确保数据安全。（8）公正机制：主要是在发生纠纷时进行公正仲裁用。）公正机制：主要是在发生纠纷时进行公正仲裁用。17南京信息职业技术学院软件学院南京信息职业技术学院软件学院8.2 8.2 计算机病毒及黑客入侵计算机病毒及黑客入侵 1 1、计算机病毒特点、计算机病毒特点灵活性灵活性传播性传播性隐蔽性隐蔽性潜伏性潜伏性破坏性破坏性18南京信息职业技术学院软件学院南京信息职业技术学院软件学院2 2、计算机病毒的类型、计算机病毒的类型引导型病毒引导型病毒可执行文件病毒可执行文件病毒宏病毒宏病毒混合型病毒混合型病毒19南京信息职业技术学院软件学院南京信息职业技术学院软件学院3 3、造成网络感染病毒的主要原因、造成网络感染病毒的主要原因 70%70%的病毒发生在网络上；的病毒发生在网络上；将用户家庭微型机软盘带到网络上运行而使网络感染将用户家庭微型机软盘带到网络上运行而使网络感染上病毒的事件约占上病毒的事件约占41%41%左右；左右；从网络电子广告牌上带来的病毒约占从网络电子广告牌上带来的病毒约占7%7%；从软件商的演示盘中带来的病毒约占从软件商的演示盘中带来的病毒约占6%6%；从系统维护盘中带来的病毒约占从系统维护盘中带来的病毒约占6%6%；从公司之间交换的软盘带来的病毒约占从公司之间交换的软盘带来的病毒约占2%2%；其他未知因素约占其他未知因素约占27%27%；从统计数据中可以看出，引起网络病毒感染的主要原从统计数据中可以看出，引起网络病毒感染的主要原因在于网络用户自身。因在于网络用户自身。 20南京信息职业技术学院软件学院南京信息职业技术学院软件学院4 4、网络病毒的危害、网络病毒的危害 网络病毒感染一般是从用户工作站开始的，而网络服网络病毒感染一般是从用户工作站开始的，而网络服务器是病毒潜在的攻击目标，也是网络病毒潜藏的重务器是病毒潜在的攻击目标，也是网络病毒潜藏的重要场所；要场所；网络服务器在网络病毒事件中起着两种作用：它可能网络服务器在网络病毒事件中起着两种作用：它可能被感染，造成服务器瘫痪；它可以成为病毒传播的代被感染，造成服务器瘫痪；它可以成为病毒传播的代理人，在工作站之间迅速传播与蔓延病毒；理人，在工作站之间迅速传播与蔓延病毒；网络病毒的传染与发作过程与单机基本相同，它将本网络病毒的传染与发作过程与单机基本相同，它将本身拷贝覆盖在宿主程序上；身拷贝覆盖在宿主程序上；当宿主程序执行时，病毒也被启动，然后再继续传染当宿主程序执行时，病毒也被启动，然后再继续传染给其他程序。如果病毒不发作，宿主程序还能照常运给其他程序。如果病毒不发作，宿主程序还能照常运行；当符合某种条件时，病毒便会发作，它将破坏程行；当符合某种条件时，病毒便会发作，它将破坏程序与数据。序与数据。 21南京信息职业技术学院软件学院南京信息职业技术学院软件学院5 5、网络病毒的防治措施、网络病毒的防治措施不使用或下载来源不明的软件。不使用或下载来源不明的软件。 不轻易上一些不正规的网站。不轻易上一些不正规的网站。 提防电子邮件病毒的传播。一些邮件病毒会利用提防电子邮件病毒的传播。一些邮件病毒会利用 ActiveX ActiveX 控件技术，当以控件技术，当以 HTML HTML 方式打开邮件时，病毒可能就会被方式打开邮件时，病毒可能就会被激活。激活。 经常关注一些网站、经常关注一些网站、 BBS BBS 发布的病毒报告，这样可以在发布的病毒报告，这样可以在未感染病毒时做到预先防范。未感染病毒时做到预先防范。 及时更新操作系统，为系统漏洞打上补丁。及时更新操作系统，为系统漏洞打上补丁。 对于重要文件、数据做到定期备份。对于重要文件、数据做到定期备份。 22南京信息职业技术学院软件学院南京信息职业技术学院软件学院6 6、典型网络防病毒软件的应用、典型网络防病毒软件的应用 网络防病毒可以从以下两方面入手：一是工作站，二网络防病毒可以从以下两方面入手：一是工作站，二是服务器；是服务器；网络防病毒软件的基本功能是：对文件服务器和工作网络防病毒软件的基本功能是：对文件服务器和工作站进行查毒扫描、检查、隔离、报警，当发现病毒时，站进行查毒扫描、检查、隔离、报警，当发现病毒时，由网络管理员负责清除病毒；由网络管理员负责清除病毒； 网络防病毒软件一般允许用户设置三种扫描方式：实网络防病毒软件一般允许用户设置三种扫描方式：实时扫描、预置扫描与人工扫描；时扫描、预置扫描与人工扫描；一个完整的网络防病毒系统通常由以下几个部分组成：一个完整的网络防病毒系统通常由以下几个部分组成：客户端防毒软件、服务器端防毒软件、针对群件的防客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。毒软件、针对黑客的防毒软件。 23南京信息职业技术学院软件学院南京信息职业技术学院软件学院常用杀毒软件常用杀毒软件 瑞星杀毒软件瑞星杀毒软件金山杀毒软件金山杀毒软件诺顿杀毒软件诺顿杀毒软件24南京信息职业技术学院软件学院南京信息职业技术学院软件学院7 7、黑客的概念及特征、黑客的概念及特征黑客群体扩大化黑客群体扩大化黑客的组织化和集团化黑客的组织化和集团化黑客行为的商业化黑客行为的商业化黑客行为的政治化黑客行为的政治化黑客是指为那些利用计算机某种技术或其他手段，善意或黑客是指为那些利用计算机某种技术或其他手段，善意或恶意地进入其非授权范围以内的计算机或网络空间的人。恶意地进入其非授权范围以内的计算机或网络空间的人。25南京信息职业技术学院软件学院南京信息职业技术学院软件学院8 8、常见的黑客攻击方法、常见的黑客攻击方法WebWeb欺骗技术欺骗技术放置特洛伊木马程序放置特洛伊木马程序口令攻击口令攻击（1 1）暴力破解）暴力破解（2 2）密码控测）密码控测（3 3）网络监听）网络监听（4 4）登录界面攻击法）登录界面攻击法电子邮件攻击电子邮件攻击网络监听网络监听端口扫描攻击端口扫描攻击缓冲区溢出缓冲区溢出26南京信息职业技术学院软件学院南京信息职业技术学院软件学院9 9、防范黑客的措施、防范黑客的措施提高安全意识提高安全意识使用防火墙使用防火墙使用反黑客软件使用反黑客软件尽量不暴露自己的尽量不暴露自己的IPIP安装杀毒软件安装杀毒软件做好数据的备份做好数据的备份27南京信息职业技术学院软件学院南京信息职业技术学院软件学院8.3 8.3 网络防火墙技术网络防火墙技术 8.3.1 8.3.1 防火墙的基本概念防火墙的基本概念防火墙是在网络之间执行安全控制策略的系统，它包防火墙是在网络之间执行安全控制策略的系统，它包括硬件和软件；括硬件和软件；设置防火墙的目的是保护内部网络资源不被外部非授设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。权用户使用，防止内部受到外部非法用户的攻击。 28南京信息职业技术学院软件学院南京信息职业技术学院软件学院防火墙的功能及作用防火墙的功能及作用 防火墙实际上是一种保护装置，防止非法入侵，以防火墙实际上是一种保护装置，防止非法入侵，以保护网络数据保护网络数据 , , 在互联网服务中可实现多个目的。在互联网服务中可实现多个目的。 1) 1) 限定访问控制点。限定访问控制点。 2) 2) 防止侵人者侵入。防止侵人者侵入。 3) 3) 限定离开控制点。限定离开控制点。 4) 4) 有效地阻止破坏者对计算机系统进行破坏。有效地阻止破坏者对计算机系统进行破坏。 总之，防火墙在互联网中是分离器、限制器、分析器。总之，防火墙在互联网中是分离器、限制器、分析器。29南京信息职业技术学院软件学院南京信息职业技术学院软件学院防火墙的位置与作用防火墙的位置与作用 服务器外部网络外部网络防火墙服务器内部网络内部网络30南京信息职业技术学院软件学院南京信息职业技术学院软件学院防火墙通过检查所有进出内部网络的数据包，检查数防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断是否会对网络安全构成威胁，为据包的合法性，判断是否会对网络安全构成威胁，为内部网络建立安全边界内部网络建立安全边界；构成防火墙系统的两个基本部件是：包过滤路由器和构成防火墙系统的两个基本部件是：包过滤路由器和应用级网关；应用级网关；最简单的防火墙由一个包过滤路由器组成，而复杂的最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统由包过滤路由器和应用级网关组合而成；防火墙系统由包过滤路由器和应用级网关组合而成；由于组合方式有多种，因此防火墙系统的结构也有多由于组合方式有多种，因此防火墙系统的结构也有多种形式种形式。31南京信息职业技术学院软件学院南京信息职业技术学院软件学院8.3.2 8.3.2 防火墙的主要类型防火墙的主要类型 包过滤防火墙包过滤防火墙 包过滤防火墙工作在包过滤防火墙工作在OSIOSI参考模型的网络层参考模型的网络层, , 根据根据数据包包头源地址、目的地址和端口号、协议类型等标数据包包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地点出口端，其余的数据包则包才被转发到相应的目的地点出口端，其余的数据包则从数据流中丢弃。从数据流中丢弃。32南京信息职业技术学院软件学院南京信息职业技术学院软件学院包过滤防火墙的工作原理包过滤防火墙的工作原理33南京信息职业技术学院软件学院南京信息职业技术学院软件学院代理防火墙代理防火墙 代理防火墙又称应用层网关级防火墙，它由代理服务代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。它将过滤路由器和软件代理技术结合在一起。 过滤路由器负责网络互联，并对数据进行严格选择过滤路由器负责网络互联，并对数据进行严格选择 , , 然后将筛选过的数据传送给代理服务器。代理服务器然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其起到外部网络申请访问内部网络的中间转接作用，其功能类似一个数据转发器，它主要控制哪些用户能访功能类似一个数据转发器，它主要控制哪些用户能访问哪些服务类型。问哪些服务类型。 34南京信息职业技术学院软件学院南京信息职业技术学院软件学院应用级网关的结构应用级网关的结构 Internet内部网络内部网络服务器工作站网络接口应用程序访问控制外部网络外部网络网络接口应用级网关应用级网关防火墙35南京信息职业技术学院软件学院南京信息职业技术学院软件学院应用代理的工作原理应用代理的工作原理外部网络外部网络代理服务器代理服务器防火墙内部网络内部网络真正服务器Internet客户实际的连接虚拟的连接实际的连接36南京信息职业技术学院软件学院南京信息职业技术学院软件学院双穴主机防火墙双穴主机防火墙 该防火墙是用主机来执行安全控制功能。一台双穴主该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双空主机上的服务代理来提供。网络上。网络服务由双空主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护内部网络不被非法访问。传递数据，从而保护内部网络不被非法访问。 37南京信息职业技术学院软件学院南京信息职业技术学院软件学院8.3.3 8.3.3 主要的防火墙产品主要的防火墙产品 CheckpointCheckpoint公司的公司的Firewall-1Firewall-1防火墙防火墙Sonic SystemSonic System公司的公司的SonicwallSonicwall防火墙防火墙NetScreenNetScreen公司的公司的NetScreenNetScreen防火墙防火墙AlkatelAlkatel公司的公司的Internet DeviceInternet Device防火墙防火墙NAINAI公司的公司的GauntletGauntlet防火墙防火墙 中国的中国的“天网天网”、“网络卫士网络卫士”、“蓝盾蓝盾”38南京信息职业技术学院软件学院南京信息职业技术学院软件学院天网防火墙天网防火墙39南京信息职业技术学院软件学院南京信息职业技术学院软件学院天网防火墙天网防火墙安全规则设置安全规则设置 这是系统最重要，也是最复杂的地方。可以非常灵活的这是系统最重要，也是最复杂的地方。可以非常灵活的设计合适自己使用的规则。设计合适自己使用的规则。 规则是一系列的比较条件和一个对数据包的动作，就是根据规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与设置的条件比较，当符合条件时，数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则就可就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。以把有害的数据包挡在你的机器之外。 40南京信息职业技术学院软件学院南京信息职业技术学院软件学院工具条：点击上面的按钮来导入，增加，修改，删除规则。工具条：点击上面的按钮来导入，增加，修改，删除规则。由于规则判断是由上而下的，可以通过点击调由于规则判断是由上而下的，可以通过点击调“规则上下规则上下移动移动”按钮调整规则的顺序，当调整好顺序后，可按保存按钮调整规则的顺序，当调整好顺序后，可按保存按钮保存修改。当规则增加或修改后，为了让这些规则生按钮保存修改。当规则增加或修改后，为了让这些规则生效，还要点击效，还要点击”应用新规则应用新规则“按钮。按钮。规则列表规则列表 ：列出了所有的规则的名称，该规则所对应的数：列出了所有的规则的名称，该规则所对应的数据包的方向，该规则所控制的协议，本机端口，对方地址据包的方向，该规则所控制的协议，本机端口，对方地址和对方端口，以及当数据包满足本规则时所采取的策略。和对方端口，以及当数据包满足本规则时所采取的策略。 在列表的左边为该规则是否有效的标志，标记为钩表示改在列表的左边为该规则是否有效的标志，标记为钩表示改规则有效，否则表示无效。当改变这些标志后，按保存键。规则有效，否则表示无效。当改变这些标志后，按保存键。 41南京信息职业技术学院软件学院南京信息职业技术学院软件学院42南京信息职业技术学院软件学院南京信息职业技术学院软件学院43南京信息职业技术学院软件学院南京信息职业技术学院软件学院8.4 8.4 网络管理技术网络管理技术 8.4.1 8.4.1 网络管理的基本概念网络管理的基本概念网络管理涉及以下三个方面：网络管理涉及以下三个方面：网络服务提供是指向用户提供新的服务类型、增加网网络服务提供是指向用户提供新的服务类型、增加网络设备、提高网络性能；络设备、提高网络性能；网络维护是指网络性能监控、故障报警、故障诊断、网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；故障隔离与恢复；网络处理是指网络线路、设备利用率数据的采集、分网络处理是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。析，以及提高网络利用率的各种控制。 44南京信息职业技术学院软件学院南京信息职业技术学院软件学院网络管理系统的基本结构网络管理系统的基本结构： 管理对象管理对象 管理对象是经过抽象的网络元素，对应于网络中具体管理对象是经过抽象的网络元素，对应于网络中具体可以操作的数据。可以操作的数据。 管理进程管理进程 管理进程是负责对网络设备进行全面的管理与控制的管理进程是负责对网络设备进行全面的管理与控制的软件。软件。管理协议管理协议 管理协议负责在管理系统与被管理对象之间传递与负管理协议负责在管理系统与被管理对象之间传递与负责操作命令。责操作命令。 45南京信息职业技术学院软件学院南京信息职业技术学院软件学院管理信息库管理信息库管理信息库（管理信息库（MIBMIB）是管理进程的一部分，用于记录网是管理进程的一部分，用于记录网络中被管理对象的状态参数值；络中被管理对象的状态参数值；一个网络的管理系统只能有一个管理信息库，但管理一个网络的管理系统只能有一个管理信息库，但管理信息库可以是集中存储的，也可以由各个网络设备记信息库可以是集中存储的，也可以由各个网络设备记录本地工作参数；录本地工作参数；网络管理员只要查询有关的管理信息库，就可获得有网络管理员只要查询有关的管理信息库，就可获得有关网络设备的工作状态和工作参数；关网络设备的工作状态和工作参数；在网络管理过程中，使网络管理信息库中数据与实际在网络管理过程中，使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种：网络设备的状态、参数保持一致的方法主要有两种：事件驱动与轮询驱动方法。事件驱动与轮询驱动方法。 46南京信息职业技术学院软件学院南京信息职业技术学院软件学院8.4.2 OSI8.4.2 OSI管理功能域管理功能域 配置管理（配置管理（configuration managementconfiguration management）故障管理（故障管理（fault managementfault management）性能管理（性能管理（performance managementperformance management）安全管理（安全管理（security managementsecurity management） 记账管理（记账管理（accounting managementaccounting management） 47南京信息职业技术学院软件学院南京信息职业技术学院软件学院配置管理配置管理配置管理是最基本的网络管理功能，主要用于配置和配置管理是最基本的网络管理功能，主要用于配置和优化网络。配置管理就是在网络建立、扩充、改造以优化网络。配置管理就是在网络建立、扩充、改造以及业务的开展过程中，对网络的拓扑结构、资源配备、及业务的开展过程中，对网络的拓扑结构、资源配备、使用状态等配置信息进行定义、监测和修改。使用状态等配置信息进行定义、监测和修改。故障管理故障管理故障管理的功能是迅速发展和纠正故障，动态维护网故障管理的功能是迅速发展和纠正故障，动态维护网络的有效性。故障管理主要功能有报警监测、故障定络的有效性。故障管理主要功能有报警监测、故障定位、故障隔离、故障恢复以及维护故障日志。位、故障隔离、故障恢复以及维护故障日志。性能管理性能管理 性能管理保证有效地运营网络并提供约定的服务质性能管理保证有效地运营网络并提供约定的服务质量。性能管理包括性能检测功能、性能分析功能和性量。性能管理包括性能检测功能、性能分析功能和性能管理控制功能。能管理控制功能。48南京信息职业技术学院软件学院南京信息职业技术学院软件学院计费管理计费管理计费管理的功能是正确地计算和收取用户使用网络服计费管理的功能是正确地计算和收取用户使用网络服务的费用，进行网络资源利用率的统计和网络的成本务的费用，进行网络资源利用率的统计和网络的成本效益核算。效益核算。安全管理安全管理安全管理的作用是提供信息的保密、认证和完整性保安全管理的作用是提供信息的保密、认证和完整性保护机制，使网络中的服务、数据和系统免受侵扰和破护机制，使网络中的服务、数据和系统免受侵扰和破坏。安全管理主要包括：风险分析功能、安全服务功坏。安全管理主要包括：风险分析功能、安全服务功能、告警、日志和报告功能以及网络管理系统保护功能、告警、日志和报告功能以及网络管理系统保护功能。能。49南京信息职业技术学院软件学院南京信息职业技术学院软件学院8.4.3 8.4.3 简单网络管理协议简单网络管理协议SNMPSNMP SNMPSNMP是目前是目前TCP/IPTCP/IP网络中应用最广泛的协议，网络中应用最广泛的协议，其前身是简单网关监控协议（其前身是简单网关监控协议（SGMPSGMP），用来对），用来对通信线路进行管理。随后对其改进并加入了符通信线路进行管理。随后对其改进并加入了符合合InternetInternet定义的定义的SMISMI和和MIBMIB体系结构，改进后体系结构，改进后的协议就是的协议就是SNMPSNMP。50南京信息职业技术学院软件学院南京信息职业技术学院软件学院InternetInternet网络管理模型网络管理模型 网络管理进程（网控中心）管理代理管理对象管理代理管理对象.外部代理管理对象外部代理管理对象.51南京信息职业技术学院软件学院南京信息职业技术学院软件学院SNMPSNMP管理模型的结构管理模型的结构 52南京信息职业技术学院软件学院南京信息职业技术学院软件学院小结小结网络安全技术研究的基本问题包括：网络防攻击、网络安网络安全技术研究的基本问题包括：网络防攻击、网络安全漏洞与对策、网络的信息安全保密、网络内部安全防范、全漏洞与对策、网络的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复；网络防病毒、网络数据备份与灾难恢复； 网络安全服务应该提供保密性、认证、数据完整性、防抵网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制服务；赖与访问控制服务； 制定网络安全策略就是研究造成信息丢失、系统损坏的各制定网络安全策略就是研究造成信息丢失、系统损坏的各种可能，并提出对网络资源与系统的保护方法；种可能，并提出对网络资源与系统的保护方法； 防火墙是根据一定的安全规定来检查、过滤网络之间传送防火墙是根据一定的安全规定来检查、过滤网络之间传送的报文分组，以便确定这些报文分组的合法性；的报文分组，以便确定这些报文分组的合法性； 网络管理则是指对网络应用系统的管理，它包括配置管理、网络管理则是指对网络应用系统的管理，它包括配置管理、故障管理、性能管理、安全管理、记账管理等部分。故障管理、性能管理、安全管理、记账管理等部分。