《计算机网络原理与应用》第10章网络管理与.ppt

第10章网络管理与网络安全,10.1计算机网络管理,10.1.1网络管理概述10.1.2网络管理模型10.1.3网络管理系统10.1.4网络管理的协议10.1.5常用网络管理系统,10.1.1网络管理概述所谓对网络进行管理是指对网络的运行状态进行监测和控制，使之能够有效、可靠、安全、经济地提供服务。网络管理包含两个任务：一是对网络的运行状态进行监测，二是对网络的运行状态进行控制，通过监测了解网络当前状态是否正常，是否存在瓶颈等潜在的危机；通过控制可以对网络状态进行合理调节，提高性能，保证服务。网络管理就是对网络系统的监控。,1.网络管理的基本模型2.网络管理者3.网管代理4.网络管理协议5.管理信息库6.网络管理模式,10.1.2网络管理模型,1.网络管理的基本模型,在网络管理中，一般采用网络管理者-网络代理模型。网络管理模型的核心是一对相互通信的系统管理实体，它采用一个独特的方式使两个管理进程之间相互作用，即管理进程与一个远程系统相互作用，以实现对远程资源的控制。现代计算机网络管理系统基本由以下4个要素组成:,（）网络管理者（NetworkManager）（）网管代理(ManagedAgent)（）网络管理协议NMP(NetworkManagementProtocol)（）管理信息库MIB(ManagementInformationBase),管理系统,网络管理协议,被管系统,管理信息库,管理操作,响应/通告,网络管理的基本模型,2.网络管理者,网络管理者是指实施网络管理的处理实体，网络管理者驻留在管理工作站上。管理工作站通常是指那些工作站、微机等，一般位于网络系统的主干或近于主干的位置，它负责了出管理操作的指令，并接收来自网管代理的信息。网络管理者要求网管代理定期收集重要的设备信息。网络管理者应该定期查询网管代理收集到的有关主机运行状态、配置及性能数据等信息，这些信息将被用来确定独立的网络设备、部分网络或整个网络运行的状态是否正常。,网络管理者和网管代理通过交换管理信息进行工作，信息分别驻留在被管设备和管理工作站上的管理信息中。这种信息交换通过一种网络管理协议来实现，具体的交换过程通过协议数据单元（rotocolDataUnit，简称PDU）进行。管理站作为网络管理员与网络管理系统的接口，主要由以下几部分构成:,（）一组具有分析数据、发现故障等功能的管理程（）一个用于网络管理员监控网络的接口；（）将网络管理员的要求转变为对远程网络元素的实际监控的能力；（）一个从所有被管网络实体的MIB中抽取信息的数据库。,3.网管代理,网管代理是一个软件模块，它驻留在被管设备上。这里被管设备可以是工作站、网络打印机，也可以是其它网络设备。将主机和网络互联设备等所有被管理的网络设备称为被管设备。其功能是把来自网络管理者的命令或信息的请求转换成本设备特有的指令，完成网络管理者的批示或把所在设备的信息返回来网络管理者，包括有关运行状态、设备特性、系统配置和其它相关信息。另外，网管代理也可以将自身系统中发生的事件主动通知给网络管理者。,4.网络管理协议,管理站和网管代理者之间通过网络管理协议通信，网络管理者进程通过网络管理协议来完成网络管理。目前最有影响的网络管理协议是简单网络管理协议（SimpleNetworkManagementProtocol，简称SNMP）和公共管理信息协议（CommonManagementInformationProtocol，简称CMIP）。其中SNMP获得的支持也最广泛，已成为事实上的工业标准。SNMP属应用层协议，是TCP/IP协议簇的一部分。SNMP在TCP/IP及有关的特殊网络协议（如：Ethernet、FDDI、X.25）上实现，通过用户数据报协议（UDP）来操作，所以要求每个网管代理也必须能够识别SNMP、UDP和IP。,5.管理信息库,管理信息库（MIB）是一个信息存储库。MIB定义了一种对象数据库，由系统内的许多被管对象及其属性组成。在MIB中的数据可大体分为3类：感测数据、结构数据和控制数据。,6.网络管理模式,（1）集中管理模式,集中式模式是所有的网管代理在管理站的监视和控制下，协同工作实现集成的网络管理。目前，单纯的集中式网络管理模式的应用并不常见，而分布式网络管理模式由于其自身的特点，相对应用得较为广泛,（2）分布管理模式,将信息管理和智能判断分布到网络各处，使得管理变得更加自动化，使得在问题源或更靠近故障源的地方，能够做出基本的故障处理决策。,（3）分布与集中相结合的管理模式,集中与分布的网络管理模式，分别适用于不同的网络环境，各有优缺点。网络中的计算机节点，尤其是处理能力较强的中、小型计算机，仍按分布式管理模式配置，它们相互之间协同配合，实行网络的分布式管理，保证网络的基本运行。同时在网络中设置专门的网络管理节点，重点管理那些专用网络设备，同时也对全网的运行进行尽可能的监控。这种集中式与分布式相结合的网络管理模式是在许多企业网络中自然形成的一种网管体制。,（4）联邦制管理模式,这种模式经常出现在一些大型跨部门，跨地区的互联网结构中，各部门有自己的网络，往往有各自相对集中的管理模式，但整个互联网并没有一个总的集中管理实体中。这类似于一种联邦制国家之间的协调关系。,（5）分级管理模式在这种模式中，基层部门的网络相对独立管理，而上级部门也是相对独立的管理，同时对它们的下属部门网络，具有一定的指导及干预。,10.1.3网络管理系统,1.网络管理平台,管理工作站是网络管理模型的主要组成部分，它根据网络管理人员的需求与代理进行通信，从而实现相应的网络管理功能。网络管理平台由协议通信软件包、MIB编译器、网络管理应用编程接口和图形化的用户界面组成，它是管理站的功能基础。在网络管理平台的基础上，进一步实现各种管理功能和开发各种管理应用。通信软件包提供网络管理协议标准中所规定的各种通信服务，实现与代理之间的交互。,2.网络管理系统,网络管理系统（NetworkMangementSystem，简称NMS）是用来管理网络，保障网络正常运行的软件和硬件的有机结合，是在网络管理平台的基础上实现的各种网络管理功能的集合。网络管理系统提供的基本功能有：网络拓扑结构的自动发现、网络故障报告和处理、性能数据采集和可视化分析工具、计费数据采集和基本安全管理工具。通过网络管理系统提供的管理功能和管理工具，网络管理员可以完成日常的各种网络管理任务，包括：故障管理、配置管理、计费管理、性能管理和安全管理。,（1）故障管理故障管理是网络管理中最基本的功能之一。故障管理是对网络中的问题或故障进行检测、隔离和纠正。使用故障管理技术，网络管理者可以尽快地定位问题或故障点，排除问题或故障。（2）配置管理配置管理也是网络管理的基本功能。配置管理是发现和设置网络设备的过程，通过对设备的配置数据提供快速的访问，增强网络管理人员对网络配置的控制以及方便地修改配置。,（3）计费管理计费管理是网络管理人员测量和报告基于个人或团体用户的计费信息，分配资源并计算用户通过网络传输数据的费用。计费管理的基本依据是网络使用的信息。（4）性能管理性能管理是指测量网络中硬件、软件和介质的性能的过程。测量的项目包括整体吞吐量、利用率、错误率或影响时间等。,1.SNMP协议,SNMP全称简单网络管理协议，它的推出得到了数百家厂商的支持，其中包括IBM、HP、SUN等大公司。SNMP已成为网络管理领域中事实上的工业标准，大多数网络管理系统和平台都是基于SNMP协议的。SNMP的体系结构是分为SNMP管理者（SNMPManager）和SNMP代理者（SNMPAgent）。每一个支持SNMP协议的网络设备中都包含一个网管代理，随时记录网络设备的各种信息，网络管理程序再通过SNMP收集网管代理所记录的信息。SNMP从被管理设备中收集数据有两种方法:轮询法和中断法。,10.1.4网络管理的协议,（1）轮询,SNMP使用嵌入到网络设施中的代理软件，来收集网络的通信信息和有关网络设备的统计数据。代理软件不断地收集统计数据，并把这些数据记录到管理信息库（MIB）中，网络管理员（简称网管员）通过向代理的MIB发出查询信号可以得到这些信息，这个过程就叫“轮询（Polling）”。,（2）中断,当有异常事件发生时，采用中断（Interrupt）的方法可以立即将具体问题通知网络管理工作站，实时性很强。,（3）上述两种方法的结合,在这种结合的方法中，当一个设备产生一个自陷时，可以使用网络管理工作站来查询该设备，以获得更多的信息。,2.CMIP协议,公共管理信息协议CMIP是由ISO制定的。CMIP主要针对OSI七层协议模型的传输环境而设计，采用报告机制，需要功能强的处理机和大容量的存储器。在网络管理过程中，CMIP不是通过轮询而是通过事件报告进行工作，由网络中的各个设备监测设施在发现被监测设备的状态和参数发生变化后，及时向管理进程进行事件报告。CMIP支持公共管理信息服务与其他通信协议一样，CMIP也定义了一套规则，在CMIP实体之间按照这种规则交换各种协议数据单元PDU。,3.两种协议的比较,CMIP与SNMP这两种管理协议各有所长。SNMP是Internet用来管理TCP/IP互联网和以太网的，由于实现、理解和排错简单且易于普及，因此受到很多产品的广泛支持，但不太适合大型的、复杂的、多企业的网络且安全性较差。CMIP是一个更为有效的网络管理协议，它比较通用和灵活，把更多的工作交给管理者去做，减轻了终端用户的工作负担。此外，CMIP建立了安全管理机制，提供授权、访问控制、安全日志等功能，但CMIP实施起来比较复杂且花费较高。,10.1.5常用网络管理系统,Cisco网络管理系统向用户提供较高的可访问性，简化了网络管理任务和进程，它的基本策略是“保证网络服务”。Cisco把网络管理系统NMS平台与一般管理产品进行Web级的集成，能为管理路由器、交换机和访问服务器提供端到端的解决方案。Cisco的系列网络管理产品包括了针对各种网络设备性能的管理、集成化的网络管理以及远程网络监控等。,1.Cisco网络管理系统,2.HPOpenView,HP的HPOpenView最初为网络管理设计的。它集成了网络管理和系统管理各自的优点，形成了一个完整的管理系统。HPOpenView网管工具采用开放式网络管理标准，不仅OpenView内部各个产品可以相互集成共同操作，而且目前有近几百家网络和软件系统厂商提供在HPOpenView上的集成产品。HPOpenView提供丰富的图形操作界面，能动态反映网络的拓扑结构，包括网络各种资源变化的自动监测，方便操作人员的网络运行状况监控。,3.SunNetManager,SunNetManager具有以下功能和特点：（1）分布式管理。为用户提供了管理来自不同厂商的、规模和复杂程度可变的网络及系统的能力。（2）协同管理。主要特点是信息的分布采集、信息的分布使用、应用的分布执行。（3）SNMP支持。SunNetManager包括了所有基本的SNMP机制，而且允许配置SNMP陷阱(trap)为不同的优先等级。（4）安全性。提供访问控制表，以保证那些被授权接受管理数据的人才能得到相关信息。,（5）用户工具。SunNetManager的用户工具很丰富，它可使操作员监视和控制网络及系统资源。图形化的界面简化了操作过程并减轻了培训任务。（6）应用接口。提供了开发工具，厂商和用户可用来构造强大的工具，以补充SunNetManager的功能。,10.2计算机网络安全,10.2.1网络安全概述10.2.2数据加密机制10.2.3网络防火墙10.2.4网络病毒的防治10.2.5网络监听与扫描10.2.6入侵检测技术,10.2.1网络安全概述,1.网络安全的定义2.网络面临的安全威胁3.安全机制,1.网络安全的定义,从广义上讲，网络安全指网络硬件资源和和信息资源的安全性。,从用户角度看，网络安全主要是指保障个人数据或企业的信息在网络中的保密性、完整性、不可否认性，防止信息的泄露和破坏，防止信息资源的非授权访问。,2.网络面临的安全威胁,安全威胁是指某个实体（人、事件、程序等）对某一资源的机密性、完整性、可用性在合法使用时可能造成的危害。安全威胁可分成故意的（如系统入侵）和偶然（如将信息发到错误地址）两类。,1）信息泄露2）完整性破坏3）拒绝服务4）非法使用以上所描述的种种威胁大多是人为造成的，威胁源可以是用户，也可以是程序。除此之外，网络系统还会有其他一些潜在的威胁，如电磁辐射引起的信息泄漏、无效的网络管理等。,3.安全机制,安全机制是指用来实施安全服务的机制。主要的安全机制有：加密机制、数字机制、访问控制机制、数据完整性机制、认证交换机制等。(1)加密机制加密机制用于保护数据的机密性，它依赖于现代密码学理论。一般来说加、解密算法是公开的，加密的安全性主要依赖于密钥的安全性和强度。目前有两种加密机制，一种是对称的加密机制，一种是非对称的加密机制。（2）数字签名机制数字签名机制是保证数据完整性及不可否认性的一种重要手段。,（3）访问控制机制访问控制机制与实体认证密切相关。访问控制机制查看该实体是否具有访问所请求资源的权限，并做出相应的处理。如果访问控制机制实施成功，则大多数的攻击将不构成威胁。（4）数据完整性机制数据完整性机制用于保护数据免受未经授权的修改。（5）认证交换机制认证交换机制用来实现同级之间的认证，它识别和证实对象的身份。目前认证的方法有很多种，如：生物信息认证、用户认证、密钥认证等。,10.2.2数据加密机制,1.密码学基础2.对称加密算法3.非对称加密体制4.PGP加密软件,1.密码学基础一个密码体制被定义为一对数据变换，其中一个变换应用于称之为明文的数据项，变换后产生的相应数据项称为密文；而另一个变换应用于密文，变换后的结果为明文。,KE,KD,2.对称加密算法对称加密算法也称为传统密码算法，其加密密钥与解密密钥是相同的，或者可相互推算出来，因此，也称为单钥算法。这种算法要求通信双方在进行安全通信前，协商一个密钥，用该密钥对数据加密和解密，整个通信的安全性完全依赖于密钥的保密。公式表述：加密：EK（M）=C解密：DK（C）=M式中，E表示加密运算，D表示解密运算，M表示明文（有时用P表示），C表示密文，K表示加、解密所用的密钥。,3.非对称加密体制非对称加密体制也称公开密钥算法。在这种体制中，对信息的加密密钥和解密密钥是不同的，并实现了分离。其中加密密钥可以像电话号码一样对外公开，由发送方用来加密要发送的原始数据；解密密钥则由接收方秘密保存，作为解密时的私有密钥。注意，加密密钥和解密密钥是成对的，一般由数据的接收方产生，它产生一对密钥后，把加密密钥传送给发送方，用于加密。而把解密密钥作为私钥保存，用于自己解密。,公开密钥体制最大的优点就是不需要对密钥通信进行保密，因为需要传输给他人的只是公开密钥，而公钥是不保密的，私钥不要传输。它的缺陷是其加解密的运算时间较长，这在一定程度上限制了它的应用范围。目前公认比较安全的有RSA算法及其变种算法。该算法可表示为：EK1（M）=CDK2（C）=MDK2（EK1（M）=M（其中，K1和K2为一对密钥中的公钥和私钥）,4.PGP加密软件PGP（PrettyGoodPrivacy）是一个采用公开密钥加密的加密软件。它被广泛地用来加密重要文件和电子邮件，以保证在网络上的安全传输，或为文件作数字签名，以防止篡改和伪造。PGP软件有3个主要的功能：（1）使用强大的IDEA加密算法对文件加密（2）使用公开密钥加密技术对电子邮件进行加密（3）使用公开密钥加密技术对文件或电子邮件作数字签名,（1）PGPkeys：创建个人密钥对（公开密钥和私有密钥），获得和管理他人的公钥；（2）PGPmail：加密发送给他人的邮件，解密他人发给你的邮件；（3）PGPdisk：可以加密硬盘的一部分，即使硬盘被偷走了，文件也不会泄密。,10.2.3网络防火墙,1.防火墙概述2.防火墙的结构与类型,1.防火墙概述（1）防火墙的概念及作用网络中所说的防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，是企业内部网与外部网之间检查服务请求分组是否合法的一种安全防护系统，可用硬件设备或软件实现。防火墙是一种分离器或分析器，通过它隔离风险区域（通常指Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍人们对风险区域的访问。防火墙通常有硬件防火墙和软件防火墙两类。,据传输。,通过这样的方式，阻挡外部网络对内部网络的攻击和入侵，保障内网用户的安全。,网络中防火墙的位置,硬件防火墙通过硬件和软件的结合方式来实现隔离的。而软件防火墙是通过纯软件的方式来实现的。,图10-5硬件防火墙,硬件防火墙,（2）防火墙的安全策略防火墙安全策略是指要明确定义那些允许使用或禁止使用的网络服务，以及这些服务的使用规定，每一条规定都应该在实际应用时得到实现。除非明确允许，否则就禁止。除非明确禁止，否则就允许。（3）防火墙的缺陷不能防范恶意的内部用户，即防外不防内。不能防范绕过防火墙的攻击。不能防范未知的威胁。防火墙不能防范病毒的感染。,（1）双重宿主结构（2）屏蔽主机结构屏蔽主机结构又称主机过滤结构。这种结构易于实现也很安全，因此，应用较为广泛。如一个单独的屏蔽路由器连接外部网络，同时一个堡垒主机安装在内部网络上。（3）屏蔽子网结构屏蔽子网结构也称为子网过滤结构，它在屏蔽主机结构的基础上添加额外的安全层，即通过添加周边网络更进一步地把内部网络与Internet隔离开。,2.防火墙的结构与类型,双宿主机防火墙,屏蔽主机结构,屏蔽子网结构,10.2.4网络病毒的防治,1.计算机病毒的概念2.网络病毒的概念与特征3.网络防病毒技术4.常用反病毒软件,1.计算机病毒的概念“计算机病毒（ComputerVirus）是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,本质上，计算机病毒是一种计算机程序，是一段可执行的指令代码，它具有独特的复制能力，并且能寄生在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，计算机病毒就随同文件一起扩散传染。,2.网络病毒的概念与特征所谓“网络病毒”，是指通过网络途径传播的计算机病毒，属第二代计算机病毒。包括利用ActiveX技术和Java技术制造的网页病毒等。在网络环境下，网络病毒除了具有传染性、破坏性、可执行性等计算机病毒的共性外，还具有一些新的特征：（1）传播速度更快（2）扩散面更广（3）传播的形式更加复杂（4）清除更加困难,（1）加强管理，增加安全意识从加强安全意识着手，安装网络版杀毒软件，定时更新病毒库，对来历不明的文件在运行前进行查杀，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等。,3.网络防病毒技术,（2）使用网络版杀毒软件使用最新网络版杀毒软件，对所有数据进行全面、随机地扫描，寻找已知病毒的特征。重要数据定期存档。病毒有潜伏期，最好是每月至少进行一次数据存档，这样，在反病毒解决方案的自动删除功能不起作用时，就可以利用存档文件，成功地恢复受感染文件。,4.常用反病毒软件（1）瑞星反病毒软件瑞星反病毒软件由北京瑞星科技股份有限公司研发，瑞星反病毒软件功能强大，并采用了大量新的反病毒技术，拥有自主知识产权，能够为个人、企业和政府机构提供全面的信息安全解决方案。（2）江民反病毒软件（3）金山毒霸,10.2.5网络监听与扫描,1.端口扫描技术2.漏洞扫描技术3.网络监听技术,1.端口扫描技术一个端口就是一个潜在的通信通道，也就是一个入侵通道。端口扫描通过向目标主机的TCP/IP服务端口发送探测数据包，记录目标主机的响应，并分析响应来判断服务端口是打开还是关闭，从而了解端口提供的服务或信息。（1）全连接扫描现有的全连接扫描有TCPconnect（）扫描和TCP反向ident扫描等。（2）半连接（SYN）扫描若端口扫描没有完成一个完整的TCP连接，在扫描主机和目标主机的一个指定端口建立连接时候只完成了前两次握手，在第三步时，扫描主机中断了本次连接，使连接没有完全建立起来，这样的端口扫描称为半连接扫描。,2.漏洞扫描技术漏洞扫描技术主要通过以下两种方法来检查目标主机是否存在漏洞。（1）漏洞库匹配法在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。（2）模拟黑客攻击法通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。,3.网络监听技术为保证网络系统的安全，及时发现入侵和攻击，人们开发了网络监听工具软件。如：Sniffer（又称网络嗅探器）就是一种网络监听工具。Sniffer利用计算机的网络接口截获发向其他计算机数据报文，通过把网络适配卡（如以太网卡）设置到混杂模式，使网卡截获在网络上传输的每一个数据包。Sniffer工作在网络环境中的底层，通过相应的软件处理，实时分析这些数据包的内容，进而分析所处的网络状态和整体布局。,10.2.6入侵检测技术,1.基于主机的入侵检测系统2.基于网络的入侵检测系统,1.基于主机的入侵检测系统基于主机的IDS是早期的入侵检测系统结构，其检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件。某些IDS也会主动与主机系统进行交互，以获得没有记录在系统日志中的信息，其所收集的信息集中在系统调用和应用层审计上，以从日志判断滥用和入侵事件的线索，检测系统可以运行在被检测的主机或单独的主机上。,报警,审计记录,系统操作,基于主机的IDS的系统结构,2.基于网络的入侵检测系统基于网络的IDS根据网络流量及单台或多台主机的审计数据检测入侵，通过在计算机网络中的某些点，被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。,分析结果,基于网络的IDS结构,基于网络IDS的优点：（1)服务器平台独立。基于网络的IDS监视通信流量而不影响服务器平台的变化和更新；（2）配置简单。基于网络的IDS环境只需要一个普通的网络访问接口；（3）可检测多种攻击。基于网络的IDS探测器可以监视多种多样的攻击，包括协议攻击和特定环境的攻击，常用于识别与网络低层操作有关的攻击。,目前，大多数IDS是基于网络开发的，并有一些已商业化，如：Snort、瑞星的RIDS-100金诺公司的KIDS等。如图10-11是瑞星的一款RIDS-100入侵检测系统产品。,1、网络管理系统有哪些管理功能？网络管理的基本模型是怎样的？2、网络管理系统与网络管理平台有何区别？3、网络系统本身存在哪些安全漏洞？4、什么叫漏洞？漏洞与后门是一回事吗？5、可用于数字签名的加密机制是单钥体制还是双钥体制？6、网络病毒有哪些特点？如何查杀？7、黑客攻击通常分为哪几个阶段？实际中如何发现有黑客在进行网络监听？,思考题10,