网络管理与信息安全课件

计算机网络计算机网络ComputerNetwork2024年年7月月8日日计算机网络Computer Network 2023年8课程目录课程目录第第1章章 概述概述第第2章章 物理层与数据通信基础物理层与数据通信基础第第3章章 数据链路层数据链路层第第4章章 局域网局域网第第5章章 网络层网络层第第6章章 网络互联技术网络互联技术第第7章章 传输层传输层第第8章章 应用层应用层第第9章章 网络管理与信息安全网络管理与信息安全第第10章章网络新技术专题网络新技术专题2课程目录第1章概述29.1网络管理基础网络管理基础9.2网络信息安全概述网络信息安全概述9.3数据加密算法数据加密算法9.4常用网络安全技术举例常用网络安全技术举例第第9章章 网络管理与信息安全网络管理与信息安全 39.1网络管理基础第9章 网络管理与信息安全 39.1网络管理基础网络管理基础9.1.1网络管理的功能网络管理的功能9.1.2简单网络管理协议简单网络管理协议SNMP49.1 网络管理基础9.1.1 网络管理的功能4nISOISO在网络管理的标准中定义了网络管理的五个功能域在网络管理的标准中定义了网络管理的五个功能域:1 1、配置管理：、配置管理：u管理所有的网络设备，含各设备参数的配置与设备管理所有的网络设备，含各设备参数的配置与设备帐目的管理；帐目的管理；2 2、故障管理：、故障管理：u找出故障的位置并进行恢复；找出故障的位置并进行恢复；9.1.1网络管理的功能网络管理的功能(1/2)5ISO在网络管理的标准中定义了网络管理的五个功能域:9.1.3 3、性能管理：、性能管理：u统计网络的使用状况，根据网络的使用情况进行扩统计网络的使用状况，根据网络的使用情况进行扩充，确定设备的规划；充，确定设备的规划；4 4、安全管理：、安全管理：u限制非法用户窃取或修改网络中的重要数据等；限制非法用户窃取或修改网络中的重要数据等；5 5、计费管理：、计费管理：u记录用户使用网络资源的数量，调整用户使用网络记录用户使用网络资源的数量，调整用户使用网络资源的配额大小和记帐收费。资源的配额大小和记帐收费。9.1.1网络管理的功能网络管理的功能(2/2)63、性能管理：9.1.1 网络管理的功能(2/2)6nSNMPSNMP的设计思想（十分简单）：的设计思想（十分简单）：u它通过它通过SNMPSNMP的的PDU(PDU(协议数据单元协议数据单元)来与被管理的对来与被管理的对象交换信息，这些对象有对象所特有的属性和值。象交换信息，这些对象有对象所特有的属性和值。nSNMPSNMP共有五种共有五种PDUPDUu其中两个用来读取数据，两个用来设置数据，还有其中两个用来读取数据，两个用来设置数据，还有一个用来监视网络上发生的事件，如网络故障报警一个用来监视网络上发生的事件，如网络故障报警信息等等信息等等 9.1.2简单网络管理协议简单网络管理协议SNMP(1/7)7SNMP的设计思想（十分简单）：9.1.2 简单网络管理协n优点优点u最大优点是它的简单性，容易设立、容易编程，而最大优点是它的简单性，容易设立、容易编程，而且对网络不会造成很大压力且对网络不会造成很大压力u当前已经被广泛使用当前已经被广泛使用u可扩充性可扩充性n缺点缺点u安全性：为网络黑客的入侵提供了方便之门安全性：为网络黑客的入侵提供了方便之门9.1.2简单网络管理协议简单网络管理协议SNMP(2/7)8优点9.1.2 简单网络管理协议SNMP(2/7)8nSNMP网络管理模型网络管理模型9.1.2简单网络管理协议简单网络管理协议SNMP(3/7)9SNMP网络管理模型9.1.2 简单网络管理协议SNMP(nSNMPSNMP采用简化的面向对象的方法来实现对网络设施的采用简化的面向对象的方法来实现对网络设施的管理，管理，SNMPSNMP管理模型由以下四个部分组成管理模型由以下四个部分组成n被管对象被管对象u被管设施可以是一个网桥、路由器、网络打印机、被管设施可以是一个网桥、路由器、网络打印机、TCPTCP连接、连接、路由端口状态等等路由端口状态等等n网络管理站网络管理站u网络管理站向网络管理员提供了对网络的管理界面，所有网网络管理站向网络管理员提供了对网络的管理界面，所有网络管理功能都在网络管理站上得到体现络管理功能都在网络管理站上得到体现9.1.2简单网络管理协议简单网络管理协议SNMP(4/7)10SNMP采用简化的面向对象的方法来实现对网络设施的管理，SNn网络管理信息网络管理信息u代理是被管对象在网络管理环境中的数值体现，被管对象的代理是被管对象在网络管理环境中的数值体现，被管对象的有关信息保留在代理内部，这些信息就是网络管理信息有关信息保留在代理内部，这些信息就是网络管理信息n网络管理协议网络管理协议u网络管理站通过网络管理站通过SNMPSNMP协议与代理通信，这个协议使得网络管协议与代理通信，这个协议使得网络管理站可以获取代理的信息理站可以获取代理的信息9.1.2简单网络管理协议简单网络管理协议SNMP(5/7)11网络管理信息9.1.2 简单网络管理协议SNMP(5/7)nSNMPSNMP协议中的信息用协议中的信息用ASN.1ASN.1来定义，称为来定义，称为SMISMI（Structure of Structure of Management InformationManagement Information），），SMISMI由三部分组成：模块定义、对象由三部分组成：模块定义、对象定义和通知定义。定义和通知定义。u模块定义用来定义网络管理信息模块，使用模块定义用来定义网络管理信息模块，使用MODULE-IDENTITYMODULE-IDENTITY来定义模块的语法和语义来定义模块的语法和语义u对象定义用来定义被管对象，使用对象定义用来定义被管对象，使用OBJECT-TYPEOBJECT-TYPE来定义对象的来定义对象的语法和语义语法和语义u通知定义用来定义网络设施发出的事件信息，用通知定义用来定义网络设施发出的事件信息，用NOTIFICATION-TYPENOTIFICATION-TYPE来定义通知的语法和语义来定义通知的语法和语义 9.1.2简单网络管理协议简单网络管理协议SNMP(6/7)12SNMP协议中的信息用ASN.1来定义，称为SMI（Stru9.1.2简单网络管理协议简单网络管理协议SNMP(7/7)n到目前为止，已经开发了三个版本的到目前为止，已经开发了三个版本的SNMPSNMP，它们是，它们是SNMPv1SNMPv1、SNMPv2SNMPv2和和SNMPv3SNMPv3uSNMPv1SNMPv1n最初的版本，通过最初的版本，通过RFC1155RFC1155、RFC1212RFC1212、RFC1157RFC1157三个文档三个文档进行定义进行定义uSNMPv2SNMPv2nSNMPv2SNMPv2在在RFC 1902RFC 1902到到RFC 1907RFC 1907中定义，中定义，RFC 1908RFC 1908定义了定义了SNMPv1SNMPv1和和SNMPv2SNMPv2共存及转换等问题共存及转换等问题uSNMPv3SNMPv3nSNMPv3SNMPv3由由RFC 2271RFC 2271到到RFC 2275RFC 2275定义，描述了定义，描述了SNMPv2SNMPv2中所缺中所缺乏（或者讲不完善）的安全和管理方面的问题乏（或者讲不完善）的安全和管理方面的问题 139.1.2 简单网络管理协议SNMP(7/7)到目前为止，9.2 网络信息安全概述网络信息安全概述9.2.1网络安全隐患与对策网络安全隐患与对策9.2.2病毒与防范病毒与防范149.2网络信息安全概述9.2.1 网络安全隐患与对策149.2.1网络安全隐患与对策网络安全隐患与对策(1/2)n大多数安全问题都是由于某些恶意的人企图获得某种利益而故意制大多数安全问题都是由于某些恶意的人企图获得某种利益而故意制造的。例如窃取机密的、隐私的信息；攻击系统，使系统不能提供造的。例如窃取机密的、隐私的信息；攻击系统，使系统不能提供正常的服务；对系统进行破坏性攻击，造成系统崩溃；篡改数据等。正常的服务；对系统进行破坏性攻击，造成系统崩溃；篡改数据等。n网络信息安全主要表现在以下方面：网络信息安全主要表现在以下方面：u保密性保密性是保证信息只为授权用户使用的特性，防止信息泄露给非是保证信息只为授权用户使用的特性，防止信息泄露给非 授权用户。授权用户。u完整性完整性是防止信息未经授权地擅自被改变的特性。是防止信息未经授权地擅自被改变的特性。u真实可靠性真实可靠性是指系统能够完成规定的功能并确保信息的可靠。是指系统能够完成规定的功能并确保信息的可靠。u不可抵赖性不可抵赖性是指建立有效的责任机制，防止用户否认其行为。是指建立有效的责任机制，防止用户否认其行为。u可可控控制制性性是是指指授授权权机机构构对对信信息息的的内内容容以以及及传传播播具具有有控控制制能能力力的的特特 性，可以控制授权范围内信息的流向以及方式。性，可以控制授权范围内信息的流向以及方式。159.2.1 网络安全隐患与对策(1/2)大多数安全问题都9.2.1网络安全隐患与对策网络安全隐患与对策(2/2)n计算机网络的安全性主要通过隔离技术、防火墙技术、计算机网络的安全性主要通过隔离技术、防火墙技术、网络防病毒技术、加密技术、网络管理技术等一系列的网络防病毒技术、加密技术、网络管理技术等一系列的手段来实现。手段来实现。n网络安全涉及的内容既有网络安全涉及的内容既有技术技术方面的问题，也有方面的问题，也有管理管理方方面的问题。技术方面主要侧重于防范外部非法用户的攻面的问题。技术方面主要侧重于防范外部非法用户的攻击；管理方面则侧重于内部人为因素的管理。击；管理方面则侧重于内部人为因素的管理。169.2.1 网络安全隐患与对策(2/2)计算机网络的安全n恶意程序恶意程序(1)系统病毒系统病毒此类病毒是传统定义的病毒，直接以破此类病毒是传统定义的病毒，直接以破坏系统正常工作为目的。坏系统正常工作为目的。(2)计算机蠕虫计算机蠕虫通过网络的通信功能将自身从一个结通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。点发送到另一个结点并启动运行的程序。(3)特洛伊木马特洛伊木马木马病毒与系统病毒的一个重大区别木马病毒与系统病毒的一个重大区别在于木马病毒通常不能自我复制。木马病毒表面上以正在于木马病毒通常不能自我复制。木马病毒表面上以正常的程序形式存在，继承了与用户相同的、唯一的优先常的程序形式存在，继承了与用户相同的、唯一的优先权和存取权。权和存取权。(4)流氓软件或恶意软件流氓软件或恶意软件是指在未明确提示用户或未是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。运行，侵犯用户合法权益的软件。9.2.2病毒与防范病毒与防范(1/2)17恶意程序 9.2.2 病毒与防范(1/2)179.2.2病毒与防范病毒与防范(2/2)n病毒的防治病毒的防治1.安装杀毒软件及防火墙。安装杀毒软件及防火墙。2.严严格格管管理理制制度度，养养成成个个人人良良好好的的使使用用计计算算机机系系统统的的习习惯。惯。3.有有备备无无患患。备备份份系系统统，经经常常备备份份数数据据，把把病病毒毒的的危危害害降到最低。降到最低。189.2.2 病毒与防范(2/2)病毒的防治189.3 数据加密算法数据加密算法9.3.1数据加密一般原理数据加密一般原理9.3.2对称密钥算法对称密钥算法9.3.3公开密钥算法公开密钥算法199.3数据加密算法9.3.1 数据加密一般原理199.3.1数据加密一般原理数据加密一般原理n数据加密的基本过程数据加密的基本过程n密文密文只能在输入相应的密钥之后才能显示出本来内容。只能在输入相应的密钥之后才能显示出本来内容。明文密文某种算法某种算法209.3.1 数据加密一般原理数据加密的基本过程明文密文某种算9.3.2对称密钥算法对称密钥算法n对称加密对称加密：是一种单钥密码系统，其：是一种单钥密码系统，其加密运算、解密加密运算、解密运算使用的是同样的密钥运算使用的是同样的密钥，信息的发送者和信息的接，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密收者在进行信息的传输与处理时，必须共同持有该密码（称为码（称为对称密码对称密码）。）。加密加密算法算法解密解密算法算法密钥密钥密钥密钥明文明文密文密文明文明文AB219.3.2 对称密钥算法对称加密：是一种单钥密码系统，其加密9.3.3公开密钥算法公开密钥算法(1/4)n在公钥密码系统中，加密和解密使用的是在公钥密码系统中，加密和解密使用的是不同的密钥不同的密钥（又称为（又称为非对称密钥非对称密钥），这两个密钥之间存在着相互），这两个密钥之间存在着相互依存关系：即依存关系：即用其中任一个密钥加密的信息只能用另用其中任一个密钥加密的信息只能用另一个密钥进行解密一个密钥进行解密。n加密密钥和算法是对外公开的，人人都可以通过这个加密密钥和算法是对外公开的，人人都可以通过这个密钥加密文件然后发给收信者，这个加密密钥又称为密钥加密文件然后发给收信者，这个加密密钥又称为公钥公钥。n收信者收到加密文件后，可以使用他的解密密钥解密，收信者收到加密文件后，可以使用他的解密密钥解密，这个密钥是由他自己私人掌管的，并不需要分发，因这个密钥是由他自己私人掌管的，并不需要分发，因此又称为此又称为私钥私钥。229.3.3 公开密钥算法(1/4)在公钥密码系统中，加密和解9.3.3公开密钥算法公开密钥算法(2/4)n解密密钥不能从加密密钥获得，假设明文为解密密钥不能从加密密钥获得，假设明文为P，加密算，加密算法为法为E（包括密钥），解密算法为（包括密钥），解密算法为D（包括密钥），要（包括密钥），要求满足以下三个条件：求满足以下三个条件：uD(E(P)=Pu从从E推导推导D是极其困难的是极其困难的uE不能通过部分明文来解破不能通过部分明文来解破239.3.3 公开密钥算法(2/4)解密密钥不能从加密密钥获得nRSA算法算法u选择两个大整数选择两个大整数p和和q，一般要求大于，一般要求大于10100u计算计算n=p q和和z=(p-1)(q-1)u选择一个与选择一个与z z互素的整数，记为互素的整数，记为d du计算满足下列条件的计算满足下列条件的e e，（，（e e d d）mod z=1mod z=19.3.3公开密钥算法公开密钥算法(3/4)24RSA算法9.3.3 公开密钥算法(3/4)24n在进行加密时，首先可以把待加密的明文分割成一定在进行加密时，首先可以把待加密的明文分割成一定大小的块大小的块P P，这个，这个P P可以看成是一个整数，要求可以看成是一个整数，要求0 0 P P n n，我们可以把，我们可以把P P的长度设为的长度设为k k，则要求，则要求2 2k knnn对对P P加密就是计算加密就是计算C=PC=Pe e mod n mod n；解密则为；解密则为P=CP=Cd d mod mod n n。可以证明在指定范围内的。可以证明在指定范围内的P P，上述等式成立。为了，上述等式成立。为了加密，我们需要加密，我们需要e e和和n n，为了解密，我们需要，为了解密，我们需要d d和和n n，这，这样，加密密钥（即公开密钥）为（样，加密密钥（即公开密钥）为（e e，n n），解密密钥），解密密钥（即秘密密钥）为（即秘密密钥）为（d d，n n）9.3.3公开密钥算法公开密钥算法(4/4)25在进行加密时，首先可以把待加密的明文分割成一定大小的块P，这9.4 常用网络安全技术举例常用网络安全技术举例9.4.1 身份鉴别身份鉴别9.4.2 数字签名数字签名9.4.3 数字证书数字证书9.4.4防火墙防火墙(firewall)9.4.5 Web的安全性技术的安全性技术SSL269.4常用网络安全技术举例9.4.1 身份鉴别269.4.1身份鉴别身份鉴别n身份鉴别的过程就是证明某人身份的过程。身份鉴别的过程就是证明某人身份的过程。n身份鉴别系统主要包括用户与服务器间的身份鉴别、身份鉴别系统主要包括用户与服务器间的身份鉴别、服务器与服务器之间的身份鉴别以及用户之间的身份服务器与服务器之间的身份鉴别以及用户之间的身份鉴别。其中主要以用户和服务器之间的身份鉴别最为鉴别。其中主要以用户和服务器之间的身份鉴别最为普遍。普遍。279.4.1 身份鉴别身份鉴别的过程就是证明某人身份的过程。9.4.2数字签名数字签名n数字签名数字签名是利用公钥密码技术和其他密码算法生成一是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名，来代替手工系列符号及代码组成电子密码进行签名，来代替手工书写签名和印章。书写签名和印章。n它采用了规范化的程序和科学化的方法，用于鉴定签它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。电子文件的完整性、真实性和不可抵赖性。289.4.2 数字签名数字签名是利用公钥密码技术和其他密码算9.4.3数字证书数字证书n数字证书数字证书就是互联网通信中标志通信各方身份信息的一系列就是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在数据，提供了一种在Internet上验证身份的方式。上验证身份的方式。n它是由一个权威机构它是由一个权威机构-CA(CertificateAuthority，证书授证书授权中心权中心)发行的，人们可以在网上用它来识别对方的身份。发行的，人们可以在网上用它来识别对方的身份。n数字证书是一个经证书授权中心数字签名的包含公开密钥拥数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。有者信息以及公开密钥的文件。u最简单的证书包含一个公开密钥、名称以及证书授权中最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关间，发证机关(证书授权中心证书授权中心)的名称，该证书的序列号的名称，该证书的序列号等信息。等信息。299.4.3 数字证书数字证书就是互联网通信中标志通信各方身9.4.4防火墙防火墙(1/2)n防火墙防火墙是由软件、硬件构成的系统，用来在两个网络之间是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。接入控制策略由使用防火墙的单位自实施接入控制策略。接入控制策略由使用防火墙的单位自行制订。行制订。n防火墙内的网络称为防火墙内的网络称为可信赖的网络可信赖的网络，而将外部的因特网称，而将外部的因特网称为为不可信赖的网络不可信赖的网络。n防火墙能够允许防火墙能够允许或或阻止出入网络的信息流。它能够有效的阻止出入网络的信息流。它能够有效的监控可信赖的内部网络和不可信赖的外部网络之间的任何监控可信赖的内部网络和不可信赖的外部网络之间的任何活动，从而保证了内部可信赖网络的安全性。活动，从而保证了内部可信赖网络的安全性。内联网可信赖的网络防火墙不可信赖的网络不可信赖的网络因特网309.4.4 防火墙(1/2)防火墙是由软件、硬件构成的系统常见的防火墙一般分为三类：常见的防火墙一般分为三类：1.包过滤防火墙包过滤防火墙n包过滤，就是在网络中适当的位置，依据系统内设置包过滤，就是在网络中适当的位置，依据系统内设置的过滤规则，对数据包实施有选择的通过。的过滤规则，对数据包实施有选择的通过。2.2.代理防火墙代理防火墙 n代理型防火墙是内部网与外部网的隔离点，起着监视代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝和隔绝应用层应用层通信流的作用。通过对各种应用服务分通信流的作用。通过对各种应用服务分别设立代理的方法，在应用层对网络攻击进行防范。别设立代理的方法，在应用层对网络攻击进行防范。3.3.复合型防火墙复合型防火墙 9.4.4防火墙防火墙(2/2)31常见的防火墙一般分为三类：1.包过滤防火墙9.4.4 防火9.4.5Web的安全性技术的安全性技术SSL(1/2)nSSL又称为又称为安全插口层安全插口层(SecureSocketLayer)，可对，可对万维网客户与服务器之间传送的数据进行加密和鉴别。万维网客户与服务器之间传送的数据进行加密和鉴别。nSSL在双方的联络阶段协商将使用的加密算法和密钥，在双方的联络阶段协商将使用的加密算法和密钥，以及客户与服务器之间的身份鉴别。以及客户与服务器之间的身份鉴别。n在联络阶段完成之后，所有传送的数据都使用在联络阶段在联络阶段完成之后，所有传送的数据都使用在联络阶段商定的会话密钥。商定的会话密钥。nSSL不仅被所有常用的浏览器和万维网服务器所支持，不仅被所有常用的浏览器和万维网服务器所支持，而且也是传输层安全协议而且也是传输层安全协议TLS(TransportLayerSecurity)的基础。的基础。329.4.5 Web的安全性技术SSL(1/2)SSL 又安全插口层安全插口层SSL的位置的位置应用层安全插口层传输层在在发发送送方方，SSLSSL接接收收应应用用层层的的数数据据（如如HTTPHTTP或或IMAPIMAP报报文文），对对数数据据进进行行加加密密，然然后后将将加加了了密密的的数数据据送送往往TCPTCP层层。在在接接收收方方，SSLSSL从从TCPTCP层读取数据，解密后将数据交给应用层。层读取数据，解密后将数据交给应用层。9.4.5Web的安全性技术的安全性技术SSL(2/2)33安全插口层 SSL 的位置 应用层安全插口层传输层在发送方，网络管理与信息安全课件