項目9 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理.pptx

項目9 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理,Page 2,教學(xué)目標,理解網(wǎng)絡(luò)安全的含義及特征,理解網(wǎng)絡(luò)管理概念,掌握數(shù)據(jù)加密技術(shù),掌握防火墻技術(shù),熟悉網(wǎng)絡(luò)管理工具的應(yīng)用,Page 3,教學(xué)內(nèi)容,Page 4,任務(wù)1 了解網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全概述： 1.網(wǎng)絡(luò)安全的定義 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露、系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 2.網(wǎng)絡(luò)安全的特征 （1）保密性 （2）完整性 （3）可用性 （4）可控性 （5）可審查性,任務(wù)1 了解網(wǎng)絡(luò)安全,3.網(wǎng)絡(luò)面臨的安全威脅 （1）非授權(quán)訪問 （2）信息泄漏或丟失 （3）破壞數(shù)據(jù)完整性 （4）拒絕服務(wù)器攻擊 （5）利用網(wǎng)絡(luò)傳播病毒 （6）混合威脅攻擊 （7）間諜軟件,任務(wù)1 了解網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全技術(shù) 1.數(shù)據(jù)加密技術(shù) 理論上講，加密技術(shù)可以分為密鑰和算法兩部分，密鑰是在加密和解密過程中使用的一串字符，算法則是作用于密鑰和明文的一個數(shù)學(xué)函數(shù)。密文是明文和密鑰相結(jié)合，經(jīng)過加密算法運算的結(jié)果。 密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種，相應(yīng)地，對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密（秘密密鑰加密）和非對稱加密（公開密鑰加密）。,任務(wù)1 了解網(wǎng)絡(luò)安全,2. 虛擬專用網(wǎng)技術(shù) （1）虛擬專用網(wǎng)的概念 虛擬專用網(wǎng)（Virtual Private Network，VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，即通過網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，形成一種邏輯上的專用網(wǎng)絡(luò)。 （2）VPN技術(shù)在企業(yè)網(wǎng)的應(yīng)用,圖9-3 VPN工作原理示意,任務(wù)1 了解網(wǎng)絡(luò)安全,3. 防火墻技術(shù) （1）防火墻基本概念 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 （2）防火墻功能 防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑攻擊。 （3）防火墻的種類 防火墻從誕生開始，經(jīng)歷了四個發(fā)展階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。 從原理上來分，防火墻有三種通用類型：數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。安全性能高的防火墻系統(tǒng)都是組合運用多種類型防火墻，構(gòu)筑多道防火墻“防御工事”。,任務(wù)1 了解網(wǎng)絡(luò)安全,電子郵件的安全性與Web的安全性 1.電子郵件的安全性 （1）匿名郵件。 （2）電子郵件欺騙 （3）電子郵件炸彈 2.Web服務(wù)安全防護 1）提高操作系統(tǒng)的安全，確保服務(wù)器本身的安全。 2）確保Web服務(wù)器的網(wǎng)絡(luò)安全。 3）使用安全的Web應(yīng)用程序，確保這些程序不會帶來新的安全漏洞。 4）為了加強Web通信安全，使用安全的HTTPS協(xié)議。 5）使用漏洞掃描和風(fēng)險評估工具定期對Web服務(wù)器進行掃描和測試，及時發(fā)現(xiàn)和解決安全問題。,任務(wù)2 認識網(wǎng)絡(luò)管理,網(wǎng)絡(luò)管理的概述 1.網(wǎng)絡(luò)管理的概念 按照國際標準化組織（ISO）的定義，網(wǎng)絡(luò)管理是指規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動，以使網(wǎng)絡(luò)的性能達到最優(yōu)。 2.網(wǎng)絡(luò)管理系統(tǒng)的組成 基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成。 （1）網(wǎng)管軟件平臺。 （2）網(wǎng)管支撐軟件。 （3）網(wǎng)絡(luò)設(shè)備。,任務(wù)2 認識網(wǎng)絡(luò)管理,網(wǎng)絡(luò)管理的功能 1.故障管理（fault management） （1）故障檢測。 （2）故障診斷。 （3）故障糾正。 2. 配置管理（configuration management） （1）設(shè)置開發(fā)系統(tǒng)中有關(guān)路由操作的參數(shù)。 （2）被管對象和被管對象組名字的管理。 （3）初始化或關(guān)閉被管對象。 （4）根據(jù)要求收集系統(tǒng)當前狀態(tài)的有關(guān)信息。,任務(wù)2 認識網(wǎng)絡(luò)管理,4. 性能管理（performance management） 性能管理的功能包括以下幾方面： （1）工作負荷監(jiān)測、收集和統(tǒng)計數(shù)據(jù)。 （2）判斷、報告和報警網(wǎng)絡(luò)性能。 （3）預(yù)測網(wǎng)絡(luò)性能的變化趨勢。 （4）評價和調(diào)整性能指標、操作模式和網(wǎng)絡(luò)管理對象的配置。 5. 安全管理（security management）,任務(wù)2 認識網(wǎng)絡(luò)管理,網(wǎng)絡(luò)管理協(xié)議與技術(shù) 1.SNMP協(xié)議 1988年Internet體系結(jié)構(gòu)委員會在原有的簡單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP）的基礎(chǔ)上進一步修改后，發(fā)表了簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），并于1996年發(fā)表了其改進版。 SNMP不僅包括網(wǎng)絡(luò)管理協(xié)議本身，而且代表采用SNMP協(xié)議的網(wǎng)絡(luò)管理框架，一套完整的SNMP系統(tǒng)主要包括管理信息庫（MIB）、管理信息結(jié)構(gòu)（SMI）及SNMP報文協(xié)議。,任務(wù)2 認識網(wǎng)絡(luò)管理,2.CMIP協(xié)議 CMIP是與通用管理信息服務(wù) （Common Management Information Services，CMIS）同時使用的一種ISO協(xié)議，支持網(wǎng)絡(luò)管理應(yīng)用程序和管理代理之間的信息交換服務(wù)。 CMIP主要針對OSI七層協(xié)議模型的傳輸環(huán)境而設(shè)計，采用報告機制，具有許多特殊的設(shè)施和能力。 3.RMON技術(shù) RMON是一個標準監(jiān)控規(guī)范，它可以使各種網(wǎng)絡(luò)監(jiān)控器和控制臺系統(tǒng)之間交換網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)。,任務(wù)2 認識網(wǎng)絡(luò)管理,簡單網(wǎng)絡(luò)管理協(xié)議 SNMP是專門設(shè)計用于在服務(wù)器、工作站、路由器、交換機等IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點的一種標準協(xié)議，它是工作在應(yīng)用層的協(xié)議。 1.SNMP應(yīng)用模型 SNMP管理的網(wǎng)絡(luò)主要由三部分組成：被管理的設(shè)備、SNMP代理和網(wǎng)絡(luò)管理系統(tǒng)（Netware Management System，NMS）。SNMP應(yīng)用模型如圖9-10所示。,圖9-10 SNMP應(yīng)用模型,任務(wù)2 認識網(wǎng)絡(luò)管理,2.SNMP的技術(shù)內(nèi)容 SNMP工作在TCP/IP的無連接數(shù)據(jù)報上，其技術(shù)由三個主要的內(nèi)容構(gòu)成：管理信息結(jié)構(gòu)SMI（Structure of Management Information）、管理信息庫MIB和SNMP通信協(xié)議。 （1）管理信息結(jié)構(gòu)SMI。SMI是由ASN.1定義的SNMP管理信息表示方法，為描述MIB對象和協(xié)議交換數(shù)據(jù)提供表示手段，是一種定義和構(gòu)造MIB的通用框架。 （2）管理信息庫MIB。MIB（Management Information Base，管理信息庫）是對網(wǎng)絡(luò)可以訪問的所有被管理信息的精確定義。 （3）SNMP通信協(xié)議。協(xié)議定義SNMP數(shù)據(jù)包的格式、封裝、傳輸細節(jié)。SNMP規(guī)定了5種協(xié)議數(shù)據(jù)單元PDU（也就是SNMP報文），用來在管理進程和代理之間進行信息交換。,任務(wù)2 認識網(wǎng)絡(luò)管理,3.SNMP報文 一個SNMP報文共有三個部分組成，即公共SNMP首部、get/set首部或trap首部、變量綁定，如圖9-13所示。,圖9-13 SNMP報文組成,項目小結(jié),本章我們重點討論了網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)管理的概念、功能。了解網(wǎng)絡(luò)面臨的安全威脅