ch網(wǎng)絡管理與網(wǎng)絡安全PPT課件.ppt

網(wǎng)絡管理體系結構 代理進程 維護其所駐留的被管設備的狀態(tài) 并且通過網(wǎng)絡管理協(xié)議向NMS提供信息網(wǎng)絡管理系統(tǒng)收集被管設備的信息 并相應作出反應管理代理是代表其他實體提供管理信息的實體 1 網(wǎng)絡管理 功能 五大功能 性能管理 衡量和呈現(xiàn)網(wǎng)絡特性的各個方面 使網(wǎng)絡性能維持在一個可以被接受的水平上 收集網(wǎng)絡管理者感興趣的那些變量的性能數(shù)據(jù) 分析這些數(shù)據(jù) 以判斷是否處于正常 基線 水平并產(chǎn)生相應的報告 為每個重要的變量確定一個合適的性能閾值 超過該閾值就意味著出現(xiàn)了應該注意的網(wǎng)絡故障 配置管理 監(jiān)視網(wǎng)絡和系統(tǒng)的配置信息 以便跟蹤和管理不同的軟硬件元素對網(wǎng)絡操作的作用 主要包括 網(wǎng)絡資源的配置及其活動狀態(tài)的監(jiān)視 網(wǎng)絡資源之間的關系的監(jiān)視與控制 新資源的加入 舊資源的刪除 定義新的管理對象 識別管理對象 給每個對象分配名字 初始化對象 啟動 關閉對象 管理各個對象之間的關系 改變管理對象的參數(shù) 2 網(wǎng)絡管理 功能 續(xù) 五大功能 續(xù) 計費管理 測量網(wǎng)絡的利用率參數(shù) 以恰當?shù)乜刂苽€人或團體用戶對網(wǎng)絡的使用 比如網(wǎng)絡故障降低到最小或者使所有用戶對網(wǎng)絡的訪問更加公平 建立和維護一個目標機器地址數(shù)據(jù)庫 能對該數(shù)據(jù)庫中的任意一臺機器 一個IP地址 進行計費 能夠對指定IP地址進行流量限制 當超過使用限額時 即可將其封鎖 禁止其使用 能夠按天 按月 按IP地址或按單位提供網(wǎng)絡的使用情況 在規(guī)定的時間到來 比如一個月 的時候 根據(jù)本機數(shù)據(jù)庫中的E mail地址向有關單位或個人發(fā)送帳單 可以將安裝有網(wǎng)絡計費軟件的計算機配置成Web服務器 允許使用單位和個人隨時進行查詢 3 網(wǎng)絡管理 功能 續(xù) 五大功能 續(xù) 故障管理 檢測 記錄網(wǎng)絡故障并通知給用戶 盡可能自動修復網(wǎng)絡故障以使網(wǎng)絡能有效地運行 基本步驟判斷故障癥狀 隔離該故障 修復該故障 對所有重要子系統(tǒng)進行故障修復后測試 記錄故障的檢測及其解決結果 主要功能 接收差錯報告并作出反應 建立維護差錯日志 并進行分析 對差錯診斷測試 追蹤故障 并確定糾正故障的方法措施 4 網(wǎng)絡管理 功能 續(xù) 五大功能 續(xù) 安全管理 按照本地的方針來控制對網(wǎng)絡資源的訪問 以保證網(wǎng)絡不被有意或無意地侵害 并保證敏感信息不被那些未授權的用戶訪問標識重要的網(wǎng)絡資源 包括系統(tǒng) 文件和其它實體 確定重要的網(wǎng)絡資源和用戶集間的映射關系 監(jiān)視對重要網(wǎng)絡資源的訪問 記錄對重要網(wǎng)絡資源的非法訪問 5 網(wǎng)絡管理 網(wǎng)絡管理技術的基本要求網(wǎng)絡管理的跨平臺性網(wǎng)絡管理的分布性網(wǎng)絡管理的安全性Internet Intranet上各種服務的性能管理遠程管理不同廠家網(wǎng)絡設備的統(tǒng)一管理 6 網(wǎng)絡管理協(xié)議 ISO網(wǎng)絡管理標準公共管理信息服務CMIS 支持管理進程和管理代理之間的通信要求公共管理信息協(xié)議CMIP 提供管理信息傳輸服務的應用層協(xié)議IETF的網(wǎng)絡管理協(xié)議簡單網(wǎng)絡管理協(xié)議SNMPv1 v2 v3 7 CMIP協(xié)議 X 710定義了公共管理信息服務CMIS 目的是通過源語向應用進程提供交換系統(tǒng)管理的信息和指令的服務 CMIS提供的服務可以是有連接的 也可以是無連接的 可以是需要證實的 也可以是不需要證實的 管理信息以對象方式描述 所有的對象存放在MIB中 在CMIP中 對象的變量被定義成非常復雜的數(shù)據(jù)結構 有許多屬性 變量屬性 表示變量的特性 如數(shù)據(jù)類型是否可寫等 變量動作 說明可以啟動什么樣的動作 通知 每當一個特殊的事件發(fā)生時 就會產(chǎn)生一個事件報告 8 CMIP協(xié)議 特性 CMIP不是通過輪詢而是通過事件報告進行工作 由網(wǎng)絡中的各個設備監(jiān)測設施在發(fā)現(xiàn)被檢測設備的狀態(tài)和參數(shù)發(fā)生變化后及時向管理進程進行事件報告管理功能強大 它的參數(shù)不僅可以在管理站和管理節(jié)點之間傳遞網(wǎng)管信息 而且可以要求管理節(jié)點執(zhí)行一些動作CMIP需要占用比SNMP多很多的資源 CMIP的程序非常難編寫 CMIP定義的參數(shù)比較復雜 9 SNMP協(xié)議 SNMP是被設計成與協(xié)議無關的 由一系列協(xié)議組和規(guī)范組成 提供了一種從網(wǎng)絡上的設備中收集網(wǎng)絡管理信息的方法 輪詢方法網(wǎng)絡設施中的代理進程不斷收集網(wǎng)絡的通信信息和有關網(wǎng)絡設備的統(tǒng)計數(shù)據(jù) 并記錄到管理信息庫MIB中 NMS通過向代理的MIB發(fā)出查詢信號可以得到這些信息基于中斷的方法異常事件發(fā)生時代理進程通知網(wǎng)絡管理系統(tǒng)NMS面向自陷的輪詢方法 輪詢和中斷結合 10 SNMP管理模型 管理節(jié)點 被管理的設備 SNMP代理在其上運行 維護一個本地數(shù)據(jù)庫 存放其狀態(tài)管理站運行一個或多個管理進程 通過SNMP協(xié)議與代理通信SNMP極為詳細地規(guī)定了每種代理應該維護的確切信息以及提供信息的確切格式 即每個設備都具有一個或多個變量來描述其狀態(tài) 這些變量叫做對象 所有對象都存放在一個叫管理信息庫 MIB 中 11 SNMP協(xié)議 SNMPv1 設計簡單 易于擴展 但安全性較差SNMPv2 增加了安全機制 包括數(shù)據(jù)加密 鑒別和訪問控制允許更詳細的變量描述 使用表數(shù)據(jù)結構以方便數(shù)據(jù)提取SNMPv3 體現(xiàn)了模塊化的設計思想 適應性強 擴充性好 安全性好包括信息處理和控制模塊 本地處理模塊和用戶安全模塊 12 網(wǎng)絡管理 遠程網(wǎng)絡監(jiān)控RMON收集所在網(wǎng)段的狀態(tài)信息 并存儲歷史信息以獲得網(wǎng)絡運行狀況趨勢擴展SNMP的MIB II 使SNMP更有效 積極主動地監(jiān)控遠程設備基于Web的網(wǎng)絡管理技術允許通過Web瀏覽器進行網(wǎng)絡管理兩種實現(xiàn)方式代理方式 在一個內部工作站上運行Web服務器 代理 網(wǎng)絡管理軟件負責將收集到的網(wǎng)絡信息傳送到瀏覽器 Web服務器代理 并將傳統(tǒng)管理協(xié)議 如SNMP 轉換成Web協(xié)議 如HTTP 嵌入式 將Web功能嵌入到網(wǎng)絡設備中 每個設備有自己的Web地址 管理員可通過瀏覽器直接訪問并管理該設備 13 網(wǎng)絡管理軟件 網(wǎng)管系統(tǒng)由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺 網(wǎng)管支撐軟件 網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡設備組成 其中網(wǎng)管軟件平臺提供網(wǎng)絡系統(tǒng)的配置 故障 性能及網(wǎng)絡用戶分布方面的基本管理 是網(wǎng)管系統(tǒng)的核心 體系結構 通用的 開放的 可擴展的框架體系核心服務 網(wǎng)絡管理軟件應具備的基本功能 包括網(wǎng)絡搜索 查錯和糾錯 支持大量設備 友好操作界面 報告工具 警報通知和處理 配置管理等應用程序 實現(xiàn)特定的事務處理和結構支持 主要包括高級警報處理 網(wǎng)絡仿真 策略管理和故障標記等典型的網(wǎng)絡管理軟件包括 HPOpenView 3ComTranscend SunNetManager等 14 網(wǎng)絡安全基礎 針對網(wǎng)絡安全的威脅主要有三種人為的無意失誤 如操作員安全配置不當造成的安全漏洞 用戶安全意識不強 用戶口令選擇不慎 用戶將自己的帳號隨意轉借他人或與別人共享人為的惡意攻擊 所面臨的最大威脅主動攻擊 以各種方式有選擇地破壞信息的有效性和完整性被動攻擊 在不影響網(wǎng)絡正常工作的情況下 進行截獲 竊取 破譯以獲得重要機密信息 網(wǎng)絡軟件的漏洞和 后門 黑客進行攻擊的首選目標 15 網(wǎng)絡安全基礎 安全策略 物理安全策略 保護計算機 網(wǎng)絡設備等硬件實體和通信鏈路免受自然災害 人為破壞和搭線攻擊 其中抑制和防止電磁泄漏是物理安全策略的一個主要問題 對傳導發(fā)射的防護 主要采取對電源線和信號線加裝性能良好的濾波器 減小傳輸阻抗和導線間的交叉耦合對輻射的防護采用各種電磁屏蔽措施 如對設備的金屬屏蔽和各種接插件的屏蔽 同時對機房的下水管 暖氣管和金屬門窗進行屏蔽和隔離 干擾防護措施 即在計算機系統(tǒng)工作的同時 利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征 16 網(wǎng)絡安全基礎 安全策略 訪問控制策略 保證網(wǎng)絡資源不被非法使用和非法訪問入網(wǎng)訪問控制 控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源 控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)三個步驟 用戶名的識別與驗證 用戶口令的識別與驗證 用戶帳號的缺省限制檢查網(wǎng)絡的權限控制 針對網(wǎng)絡非法操作所提出的一種安全保護措施 用戶和用戶組被賦予一定的權限 網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄 子目錄 文件和其他資源 目錄級的權限控制 網(wǎng)絡應允許控制用戶對目錄 文件 設備的訪問 用戶在目錄一級指定的權限對所有文件和子目錄有效 用戶還可進一步指定對目錄下的子目錄和文件的權限 17 網(wǎng)絡安全基礎 安全策略 訪問控制策略 續(xù) 屬性安全控制將給定的屬性與服務器的文件 目錄和網(wǎng)絡設備聯(lián)系起來 屬性安全在權限安全的基礎上提供更進一步的安全性 網(wǎng)絡服務器的安全控制控制在服務器控制臺上執(zhí)行的操作比如設置口令鎖定服務器控制臺 以防止非法用戶修改 刪除重要信息或破壞數(shù)據(jù) 可以設定服務器登錄時間限制 非法訪問者檢測和關閉的時間間隔 網(wǎng)絡監(jiān)測和鎖定控制 網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控 服務器應記錄用戶對網(wǎng)絡資源的訪問 對非法的網(wǎng)絡訪問 服務器應以圖形或文字或聲音等形式報警 如果非法訪問的次數(shù)達到設定數(shù)值 那么該帳戶將被自動鎖定 18 網(wǎng)絡安全基礎 安全策略 訪問控制策略 續(xù) 網(wǎng)絡端口和節(jié)點的安全控制網(wǎng)絡中服務器的端口往往使用自動回呼設備 靜默調制解調器加以保護 并以加密的形式來識別節(jié)點的身份 防火墻控制 防火墻是確保基礎設施完整性的一種常用方法 它通過在網(wǎng)絡邊界上建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡 控制進 出兩個方向的通信流 信息加密策略 保護網(wǎng)內的數(shù)據(jù) 文件 口令和控制信息 保護網(wǎng)上傳輸?shù)臄?shù)據(jù) 包括鏈路加密 端點加密和節(jié)點加密三種方式 19 網(wǎng)絡安全基礎 安全策略 非技術性安全管理策略加強網(wǎng)絡的安全管理 制定有關規(guī)章制度 確定安全管理等級和安全管理范圍所有添加到網(wǎng)絡基礎設施中的新設備都應該符合特定的安全需求 每個站點必須指明支持其安全策略需要哪些安全部件和功能制訂有關網(wǎng)絡操作使用規(guī)程和人員管理制度制定網(wǎng)絡系統(tǒng)的維護制度和應急措施對員工進行足夠的安全意識培訓等 20 Windows98安全策略 設置用戶權限 首先設置為每個用戶采用不同的使用權限 然后逐步增加新用戶并進行設置 21 Windows98安全策略 防止非法用戶進入Regedit打開注冊表 HKEY USER DEFAULT Software Microsoft Windows CurrentVersion Runonce 在其下創(chuàng)建 字符串值 名為 非法用戶 退出 字符串為 Rundll exeUser exe Exitwindows 為防止非法用戶按F8鍵調出Windows98的啟動菜單以安全方式進入系統(tǒng) 編輯MSDOS sys文件 在該文件的 option 小節(jié)加入 BootMulti 0 設置系統(tǒng)不能進行多重引導 BootGUI 1 在啟動時直接進入Windows98圖形用戶界面 BootDelay 設置在啟動時 StartingWindows98 信息停留的時間為0秒 BootKeys 設置在啟動過程中F4 F5 F6 F8功能鍵失效 22 Windows98安全策略 限制用戶級別隱藏 開始 菜單的部分內容 在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 該分支下建立一個DWORD值 NoSetFolders 鍵值為 1 用戶不能使用 控制面板 且不能使用 開始 設置 中的 打印機 新建一個DWORD值 NoFind 鍵值為 1 則 查找 功能被禁止新建一個二進制值 NoRun 鍵值為 0 x00000001 則 運行 菜單項被關閉 23 Windows98安全策略 隱藏桌面上所有圖標在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 該分支下建立一個DWORD值 NoDesktop 鍵值為 1 禁用注冊表編輯器在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System 該分支下建立一個DWORD值 DisableRegistryTools 鍵值為 1 24 Windows98安全策略 隱藏驅動器在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 該分支下新建一個二進制值 NoDrive 其缺省值為 00000000 表示不隱藏任何驅動器 該值由四個字節(jié)組成 每個字節(jié)的第一位對應從A 到Z 的一個盤 即01為A 02為B 04為C 如隱藏D盤 鍵值為 0800000 隱藏所有驅動器為 ffffffff 禁用MS DOS方式在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies 新建一個 WinOldApp 主鍵 在其下新建一個DWORD值 Disable 鍵值為 1 25 Windows98安全策略 禁止光盤的自動運行在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 該分支下新建一個DWORD值 NoDriveTypeAutoRun 鍵值為 1 禁止用軟盤或光盤啟動在CMOS設置中將啟動順序改為 CONLY 并為其設置必要的密碼 26 WindowsNT安全策略 用戶帳號 每個用戶必須擁有一個帳號NT規(guī)定該帳號在系統(tǒng)中的權力和權限權力專指用戶對整個系統(tǒng)能夠做的事情 如關掉系統(tǒng) 往系統(tǒng)中添加設備 更改系統(tǒng)時間等 權力存放在安全帳號數(shù)據(jù)庫中 權限專指用戶對系統(tǒng)資源所能做的事情 如對某文件的讀寫控制 對打印機隊列的管理 用戶對系統(tǒng)資源所具有的權限則與特定的資源一起存放 27 WindowsNT安全模型 用戶登錄 按下Ctrl Alt Del鍵 NT系統(tǒng)啟動登錄進程帳戶及口令有效后形成一個存取標識 包括用戶名以及SID 用戶所屬的組及組SID 用戶對系統(tǒng)所具有的權力 NT啟動一個用戶進程 將該存取標識與之連在一起 這個存取標識就成了用戶進程在NT系統(tǒng)中的通行證存取標識緩存的是用戶安全信息 如果管理員對用戶的權限進行修改 只有在該用戶再次登錄時才發(fā)生作用如何根據(jù)存取標識控制用戶對資源的訪問 給資源分配的權限作為該資源的一個屬性 以訪問控制列表ACL的形式與資源一起存放 ACL包含了用戶名以及該用戶的權限用戶訪問該目錄時 NT安全系統(tǒng)檢查用戶的存取標識 與目錄的ACL對照 發(fā)現(xiàn)用戶存取標識中的用戶名與ACL中有對應關系且所要求的權限合法 則訪問獲得允許 28 NT系統(tǒng)的安全管理 加強物理安全管理彌補系統(tǒng)軟件的安全漏洞 經(jīng)常升級微軟發(fā)布的安全補丁程序掌握并使用微軟提供但未設置的安全功能 比如禁用Guest帳號等使用NTFS文件系統(tǒng) 支持ACL控制授權用戶的訪問 配置NTFS的訪問控制機制 限制用戶對目錄 文件等資源的訪問避免給用戶定義特定的訪問控制實施帳號及口令策略 如要求用戶不要使用太簡單的密碼 定期更改密碼等設置帳號鎖定 非法嘗試一定次數(shù)后鎖定帳號控制遠程訪問服務 采用加密和認證機制啟用登錄工作站和登錄時間限制 只允許在特定的環(huán)境下登錄 29 NT系統(tǒng)的安全管理 啟動審計功能 查看審計日志 發(fā)現(xiàn)問題確保注冊表安全應用系統(tǒng)的安全 保證各種應用系統(tǒng)的安全性 常打補丁不可輕易發(fā)布信息 不要發(fā)布關于自身系統(tǒng)的信息 防止黑客利用 30 Windows2000安全策略 簡單的身份驗證和授權模型 身份驗證在用戶登錄時識別用戶并將網(wǎng)絡連接到服務 經(jīng)過識別后 用戶就會有權按照權限對一組特定的網(wǎng)絡資源進行訪問 授權是通過訪問控制機制來進行的 使用存儲在ActiveDirectory中的數(shù)據(jù)項以及訪問控制列表 ACL 后者定義對象 包括打印機 文件 網(wǎng)絡文件 及打印共享 的權限 Windows2000分布式安全模型基于信任域控制器身份驗證 服務之間的信任委派以及基于對象的訪問控制 域中每臺客戶機通過安全地對域控制器驗證身份創(chuàng)建直接信任路徑 客戶端不可能直接訪問網(wǎng)絡資源 相反網(wǎng)絡服務創(chuàng)建客戶端訪問令牌并使用客戶端的憑據(jù)來執(zhí)行請求的操作以模擬客戶端 Windows操作系統(tǒng)核心在訪問令牌中使用安全性標識符來驗證用戶是否被授予所需的對目標對象的訪問權限 31 Windows2000安全策略 ActiveDirectory 提供一個中央位置來存儲關于用戶 硬件 應用程序和網(wǎng)絡上數(shù)據(jù)的信息 同時保存了必要的授權及身份驗證信息以確保只有適當?shù)挠脩舨趴稍L問每一網(wǎng)絡資源 域間的信任關系信任關系在域之間建立 用來支持直接傳遞身份驗證 讓用戶和計算機可以在目錄林的任何域中接受身份驗證 用戶或計算機僅需登錄網(wǎng)絡一次就可以對任何他們有適當權限的資源進行訪問 組策略設置控制ActiveDirectory中對象的各種行為 通過相同的方式將所有類型的策略應用到眾多計算機上 本地計算機安全性設置控制您想要授予特定用戶或計算機的權限和特權 32 Win