計算機(jī)網(wǎng)絡(luò)課件第九章與網(wǎng)絡(luò)管理

1、第9章與網(wǎng)絡(luò)管理技術(shù)本章學(xué)習(xí)要求:了解：掌握：掌握：的重要性。體制的基本概念及應(yīng)用。的基本概念。掌握：網(wǎng)絡(luò)檢測與防的基本概念與方法。掌握：網(wǎng)絡(luò)文件備份與恢復(fù)的基本方法。了解：網(wǎng)絡(luò)防治的基本方法。了解：網(wǎng)絡(luò)管理的基本概念與方法。的主要問題的重要性問題已經(jīng)成為信息化社會的一個焦點(diǎn)問題；每個國家只能立足于本國，自己的技產(chǎn)術(shù)，培養(yǎng)自己的專門，發(fā)展自己的業(yè)，才能構(gòu)筑本國的網(wǎng)絡(luò)與防范體系。39.1.2技術(shù)的主要問題網(wǎng)絡(luò)防問題；與對策問題；問題；網(wǎng)絡(luò)中的防抵賴問題；網(wǎng)絡(luò)內(nèi)部安全防范問題；網(wǎng)絡(luò)防問題；網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、恢復(fù)問題。41.網(wǎng)絡(luò)防技術(shù)服務(wù)（application dependen

2、對網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起tack） :，造成該網(wǎng)絡(luò)的“服務(wù)”，使網(wǎng)絡(luò)工作不正常;（application independentack） :非服務(wù)不針對某項具體應(yīng)用服務(wù)，而是基于網(wǎng)絡(luò)層等低層協(xié)議而進(jìn)行的，使得網(wǎng)絡(luò)通信設(shè)備工作嚴(yán)重阻塞或癱瘓。5網(wǎng)絡(luò)防主要問題需要的幾個問題網(wǎng)絡(luò)可能遭到哪些人的？類型與可能有哪些？如何及時檢測并絡(luò)被？如何采取相應(yīng)的策略與防護(hù)體系？62.與對策的網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行涉及：計算機(jī)硬件與操作系統(tǒng)；網(wǎng)絡(luò)硬件與網(wǎng)絡(luò)數(shù)據(jù)庫管理系統(tǒng)；應(yīng)用；網(wǎng)絡(luò)通信協(xié)議。也會表現(xiàn)在以上幾個方面。73.網(wǎng)絡(luò)中的問題信息安全與信息傳輸安全信息安全如何保證靜態(tài)在連網(wǎng)計算機(jī)中的信息不會被未的網(wǎng)絡(luò)用戶使

3、用；信息傳輸安全如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被泄露與不被攻擊；84.防抵賴問題防抵賴是防止信息源結(jié)點(diǎn)用戶對他發(fā)送的信息事后不承認(rèn)，或者是信息目的結(jié)點(diǎn)用戶接收到信息之后不認(rèn)賬；通過認(rèn)證、數(shù)字簽名、數(shù)字信封、第確認(rèn)等方法，來確保網(wǎng)絡(luò)信息傳輸?shù)馁嚒爆F(xiàn)象出現(xiàn)。問題，防止“抵95.網(wǎng)絡(luò)內(nèi)部安全防范網(wǎng)絡(luò)內(nèi)部安全防范是防止內(nèi)部具有合份的用戶有意或無意地做出對網(wǎng)絡(luò)與有害的行為；對網(wǎng)絡(luò)與有害的行為包括：有意或無意地泄露網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)管理員口令；規(guī)定，繞過，私自和外部網(wǎng)絡(luò)連接，造成系統(tǒng)安全；網(wǎng)絡(luò)使用規(guī)定，越權(quán)查看、修改和刪除系統(tǒng)文件、應(yīng)用程序及數(shù)據(jù)；網(wǎng)絡(luò)使用規(guī)定，越權(quán)修改網(wǎng)絡(luò)系統(tǒng)配置，造成網(wǎng)絡(luò)工作不正常；解決

4、來自網(wǎng)絡(luò)內(nèi)部的不安全個方面入手。必須從技術(shù)與管理兩106.網(wǎng)絡(luò)防引導(dǎo)型可執(zhí)行文件宏混合特洛伊木馬型ernet語言117.網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、恢復(fù)問題如果出現(xiàn)網(wǎng)絡(luò)故障造成數(shù)據(jù)丟失，數(shù)據(jù)能不能被恢復(fù)？如果出現(xiàn)網(wǎng)絡(luò)因某種原因被損壞，重新設(shè)備的資金可以提供，但是原有系統(tǒng)的數(shù)據(jù)能不能恢復(fù)？129.1.3服務(wù)與安全標(biāo)準(zhǔn)服務(wù)應(yīng)該提供以下基本的服務(wù)功能：（donfidentiality）數(shù)據(jù)認(rèn)證（authentication）數(shù)據(jù)完整（dataegrity）防抵賴（non-repudiation）控制（acs control）13標(biāo)準(zhǔn)電子計算機(jī)系統(tǒng)安全規(guī)范，1987年10月保護(hù)條例，1991年5月著作權(quán)登記辦

5、法，1992年4月計算機(jī)信息與系統(tǒng)安全保護(hù)條例，計算機(jī)計算機(jī)中1994年2月管理暫行規(guī)定，1998年2月計算機(jī)信息系統(tǒng)關(guān)于互聯(lián)網(wǎng)安全決定，通過，2000年12月常務(wù)14民計算機(jī)系統(tǒng)評估準(zhǔn)則TC-SEC-NCSC是1983年公布的，1985年公布了網(wǎng)絡(luò)說明（TNI）；計算機(jī)系統(tǒng)評估準(zhǔn)則將計算機(jī)系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1；D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。159.2加密與認(rèn)證技術(shù)9.2.1算法與體制的基本概念數(shù)據(jù)加密與的過程16明文密文信息源結(jié)點(diǎn)密文明文信息目的結(jié)點(diǎn)過程加密過程體制是指一個系統(tǒng)所采用的基本工作方式以及它的兩個基本要素，即加

6、密/算法和密鑰；密鑰相同，也稱傳統(tǒng)為對稱體制所用的加密密鑰和體制；如果加密密鑰和體制；密鑰可以看作是密鑰不相同，則稱為非對稱算法中的可變參數(shù)。從數(shù)學(xué)的角度來看，改變了密鑰，實(shí)際上也就改變了明文與密文之間等價的數(shù)學(xué)函數(shù)關(guān)系；算法是相對穩(wěn)定的。在這種意義上，可以把算法視為常量，而密鑰則是一個變量；在設(shè)計加密系統(tǒng)時，加密算法是可以公開的，真正需要的是密鑰。17是含有一個參數(shù)k的數(shù)學(xué)變換，即C = Ek（m）m是未加密的信息（明文）C是加密后的信息（密文）E是加密算法參數(shù)k稱為密鑰密文C是明文m 使用密鑰k 經(jīng)過加密算法計算后的結(jié)果；18密鑰長度密鑰長度與密鑰個數(shù)19密鑰長度（位）組合個數(shù)40240=

7、109951162777656256=7.205759403793101664264=1.84467440737110191122112=5.19229685853510331282128=3.40282366920910389.2.2對稱密鑰（symmetric cryptography）體系對稱加密的特點(diǎn)密鑰加密過程過程明文密文明文209.2.3非對稱密鑰（asymmetric cryptography）體系非對稱密鑰體系的特點(diǎn)公鑰私鑰加密過程過程明文密文明文21非對稱加密的標(biāo)準(zhǔn)RSA體制被認(rèn)為是目前為止理論上最為成一種公鑰體制。RSA體制多用在數(shù)字簽名、密鑰管理和認(rèn)證等方面；Elgama

8、l公鑰體制是一種基于離散對數(shù)的公鑰體制；目前，許多商業(yè)產(chǎn)品采用的公鑰加密算法還有Diffie man密鑰交換、數(shù)據(jù)簽名標(biāo)準(zhǔn)DSS、橢圓曲線等 。229.2.4數(shù)字信封技術(shù)接收方接收方私鑰對稱密鑰過程被加密的密鑰對稱密鑰密文密文過程數(shù)據(jù)密文明文23發(fā)送方對稱密鑰加密過程明文數(shù)據(jù)密文接收方公鑰對稱密鑰加密過程被加密的密鑰9.2.5數(shù)字簽名技術(shù)24發(fā)送方明文發(fā)送方私鑰單向散列函數(shù)生成摘要加密過程明文信息摘要信息摘要接收方單向散列函數(shù)明文明文生成摘要身比較份認(rèn)過程證發(fā)送方公鑰信息摘要信息摘要信息摘要信息摘要9.2.6認(rèn)證技術(shù)的發(fā)展認(rèn)證可以通過3種基本途徑之一或它們的組合實(shí)現(xiàn)：所知（knowledge）

9、: 個人所掌握的、口令；sesses）: 個人所有（匙；、護(hù)照、鑰個人特征（characteristics）:人的、聲紋、筆跡、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA，以及個人動作方面的特征；新的、廣義的生物統(tǒng)計學(xué)是利用個人所特有的生理特征來設(shè)計的；目前人們身材、的個人特征主要包括：容貌、膚色、發(fā)質(zhì)、手印、腳印、唇印、顱相、口音、腳步聲、體味、視網(wǎng)膜、血型、遺傳因子、筆跡、性簽字、打字韻律，以及在外界刺激下的反應(yīng)等。2技術(shù)的基本概念是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和設(shè)置；的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部用戶的。26通過檢查所有進(jìn)出

10、內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù)據(jù)包的，判斷是否會對威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界（security perimeter）；系統(tǒng)的兩個基本部件是濾路由器（packet filtering router）和應(yīng)用級網(wǎng)關(guān)（application gateway）；最簡單的系統(tǒng)由由一個濾路由器組成，而復(fù)雜的濾路由器和應(yīng)用級網(wǎng)關(guān)組合而成；由于組合方式有多種，因此種形式。系統(tǒng)的結(jié)構(gòu)也有多279.3.2濾路由器濾路由器的結(jié)構(gòu)28路由器按照系統(tǒng)內(nèi)部設(shè)置的分組過濾規(guī)則（即控制表），檢查每個分組的源IP地址、目的IP地址，決定該分組是否應(yīng)該轉(zhuǎn)發(fā)；濾規(guī)則一般是基于部分或全部報頭的內(nèi)容。例如，對于TCP報頭信息可以是：源IP地

11、址；目的IP地址；協(xié)議類型； IP選項內(nèi)容；源TCP端目的TCP端；TCP ACK標(biāo)識。29濾的工作流程y根據(jù)過濾規(guī)則確定包是否允許轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)該包Ny是否是濾丟棄該包的最后一個規(guī)則N應(yīng)用下一個濾規(guī)則30分析包參數(shù)設(shè)置濾規(guī)則濾路由器作為的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)發(fā)送到外部網(wǎng)絡(luò)的包ernet濾路由器進(jìn)入內(nèi)部網(wǎng)絡(luò)的包外部網(wǎng)絡(luò)工作站31服務(wù)器（）假設(shè)策略規(guī)定：服務(wù)器（IP地址為，TCP內(nèi)部網(wǎng)絡(luò)的為25）可以接收來自外部網(wǎng)絡(luò)用戶的所有電子端郵件；允許內(nèi)部網(wǎng)絡(luò)用戶傳送到與外部電子郵件服務(wù)器的電子郵件；所有與外部網(wǎng)絡(luò)中名字為TESTHOST主機(jī)的連接。32濾規(guī)則表33規(guī)則過濾號方向動作源主機(jī)地址源端目的端目的主機(jī)地址協(xié)議

12、描述1進(jìn)入阻塞TESTHOST*阻塞來自 TESTHOST的所有數(shù)據(jù)包2輸出阻塞*TESTHOST*阻塞所有到 TESTHOST的數(shù)據(jù)包3進(jìn)入允許*102325TCP允許外部用戶傳送到內(nèi)部網(wǎng)絡(luò)電子郵件服務(wù)器的數(shù)據(jù)包4輸出允許25*1023TCP允許內(nèi)部郵件服務(wù)器傳送到外部網(wǎng)絡(luò)的電子郵件數(shù)據(jù)包9.3.3應(yīng)用級網(wǎng)關(guān)的概念多歸屬主機(jī)（multihomed host）典型的多歸屬主機(jī)結(jié)構(gòu)多歸屬主機(jī)多歸屬主機(jī)網(wǎng)卡1網(wǎng)卡2網(wǎng)卡3網(wǎng)絡(luò)1網(wǎng)絡(luò)2網(wǎng)絡(luò)3網(wǎng)絡(luò)1網(wǎng)絡(luò)2網(wǎng)絡(luò)334應(yīng)用級網(wǎng)關(guān)35應(yīng)用（application proxy）369.3.4的系統(tǒng)結(jié)構(gòu)堡壘主機(jī)的概念一個雙歸屬主機(jī)作為應(yīng)用級網(wǎng)關(guān)可以起到作用；的計

13、算機(jī)處于關(guān)鍵部位、運(yùn)行應(yīng)用級網(wǎng)關(guān)系統(tǒng)叫做堡壘主機(jī)。內(nèi)部網(wǎng)絡(luò)發(fā)送到外部網(wǎng)絡(luò)的包ernet進(jìn)入內(nèi)部網(wǎng)絡(luò)的包應(yīng)用級網(wǎng)關(guān)外部網(wǎng)絡(luò)工作站服務(wù)器（）37典型系統(tǒng)系統(tǒng)結(jié)構(gòu)分析采用一個過濾路由器與一個堡壘主機(jī)組成的S-B1系統(tǒng)結(jié)構(gòu)堡壘主機(jī)WWW服務(wù)器FTP服務(wù)器ernet濾路由器內(nèi)部網(wǎng)絡(luò)工作站工作站文件服務(wù)器38濾路由器的轉(zhuǎn)發(fā)過程堡壘主機(jī) 0ernet過濾路由器內(nèi)部網(wǎng)絡(luò)工作站文件服務(wù)器 39過濾路由器路由表目的IP轉(zhuǎn)發(fā)至IP0S-B1配置的系統(tǒng)中數(shù)據(jù)傳輸過程40系統(tǒng)（ S-B1-S-B1配置）結(jié)構(gòu)示意圖采用多級結(jié)構(gòu)的ernet外部網(wǎng)絡(luò)外部路由器濾過濾子網(wǎng)外堡壘主機(jī)內(nèi)部濾內(nèi)部網(wǎng)絡(luò)路由器內(nèi)部網(wǎng)絡(luò)工作站內(nèi)堡壘主機(jī)服

14、務(wù)器419.4網(wǎng)絡(luò)防與方法分析檢測技術(shù)9.4.1 網(wǎng)絡(luò)大致可以分為8種基本的類型：目前系統(tǒng)類緩沖區(qū)溢出；類服務(wù)；對利用木馬程序后門的。429.4.2檢測的基本概念rudetection system，IDS）是使用行為進(jìn)行識別的系統(tǒng)；檢測系統(tǒng)（對計算機(jī)和網(wǎng)絡(luò)資源的它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的行為，包括來自系統(tǒng)外部的行為和來自內(nèi)部用戶的非行為，并且采取相應(yīng)的防護(hù)。43檢測系統(tǒng)IDS的基本功能：、分析用戶和系統(tǒng)的行為；檢查系統(tǒng)的配置和；評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；對異常行為的統(tǒng)計分析，識別；類型，并向網(wǎng)絡(luò)管理對操作系統(tǒng)進(jìn)行審計、活動。管理，識別的用戶44檢測系統(tǒng)框架結(jié)構(gòu)規(guī)則設(shè)計與修改更則處

15、理意見45歷活狀響應(yīng)單元事件數(shù)據(jù)庫事件分析器提取規(guī)則史動態(tài)更新事件發(fā)生器事件9.4.3檢測的基本方法對各種事件進(jìn)行分析，從中發(fā)現(xiàn)安全策略的行為是檢測系統(tǒng)的功能；檢測系統(tǒng)按照所采用的檢測技術(shù)可以分為：異常檢測誤用檢測兩種方式的結(jié)合469.5網(wǎng)絡(luò)文件備份與恢復(fù)技術(shù)9.5.1網(wǎng)絡(luò)文件備份與恢復(fù)的重要性網(wǎng)絡(luò)數(shù)據(jù)可以進(jìn)行歸檔與備份；歸檔是指在一種特殊介質(zhì)上進(jìn)行性；網(wǎng)絡(luò)數(shù)據(jù)備份是一項基本的網(wǎng)絡(luò)工作；備份數(shù)據(jù)用于網(wǎng)絡(luò)系統(tǒng)的恢復(fù)。479.5.2網(wǎng)絡(luò)文件備份的基本方法選擇備份設(shè)備選擇備份程序建立備份制度在考慮備份方法時需要注意的問題：如果系統(tǒng)遭到破壞需要多長時間才能恢復(fù)？怎樣備份才可能在恢復(fù)系統(tǒng)時數(shù)據(jù)損失最少？

16、489.6網(wǎng)絡(luò)防技術(shù)9.6.170%的造成網(wǎng)絡(luò)發(fā)生在網(wǎng)絡(luò)上；的主要原因?qū)⒂脩艏彝ノ⑿蜋C(jī)軟盤帶到網(wǎng)絡(luò)上運(yùn)行而使網(wǎng)絡(luò)的事件約占41%左右；上約占7%；約占6%；約占6%；從網(wǎng)絡(luò)電子牌上帶來的從從商的演示盤中帶來的盤中帶來的約占2%；從公司之間交換的軟盤帶來的約占27%；其他未知從統(tǒng)計數(shù)據(jù)中可以看出，引起網(wǎng)絡(luò)因在于網(wǎng)絡(luò)用戶自身。的主要原499.6.2網(wǎng)絡(luò)的危害網(wǎng)絡(luò) 務(wù)器是要場所；一般是從用戶工作站開始的，而網(wǎng)絡(luò)服潛在的目標(biāo)，也是網(wǎng)絡(luò)潛藏的重網(wǎng)絡(luò)服務(wù)器在網(wǎng)絡(luò)事件中起著兩種作用：它可能被，造成服務(wù)器癱瘓；它可以成為的代理人，在工作站之間迅速與蔓延；網(wǎng)絡(luò)的傳染與發(fā)作過程與單機(jī)基本相同，它將本身拷貝覆蓋在宿

17、主程序上；當(dāng)宿主程序執(zhí)行時，給其他程序。如果也被啟動，然后再繼續(xù)傳染不發(fā)作，宿主程序還能照常運(yùn)行；當(dāng)符合某種條件時，序與數(shù)據(jù)。便會發(fā)作，它將破壞程509.6.3典型網(wǎng)絡(luò)防的應(yīng)用網(wǎng)絡(luò)防可以從以下兩方面入手：一是工作站，二是服務(wù)器；網(wǎng)絡(luò)防的基本功能是：對文件服務(wù)器和工作站進(jìn)行查毒掃描、檢查、由網(wǎng)絡(luò)管理員負(fù)責(zé)清除、；，當(dāng)發(fā)現(xiàn)時，網(wǎng)絡(luò)防一般允許用戶設(shè)置三種掃描方式：實(shí)時掃描、預(yù)置掃描與人工掃描；一個完整的網(wǎng)絡(luò)防系統(tǒng)通常由以下幾個部分組成：客戶端防毒、服務(wù)器端防毒、針對群件的防毒、針對的防毒。519.6.4網(wǎng)絡(luò)工作站防方法采用無盤工作站使用單機(jī)防卡使用網(wǎng)絡(luò)防卡529.7 網(wǎng)絡(luò)管理技術(shù)9.7.1網(wǎng)絡(luò)管理的

18、基本概念網(wǎng)絡(luò)管理涉及以下三個方面：網(wǎng)絡(luò)服務(wù)提供是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能；網(wǎng)絡(luò)故障是指網(wǎng)絡(luò)性能與恢復(fù)；、故障、故障、網(wǎng)絡(luò)處理是指網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)析，以及提高網(wǎng)絡(luò)利用率的各種控制。、分539.7.2OSI管理功能域配置管理（configuration management）故障管理（fault management）性能管理（performance management）安全管理（security management）記賬管理（accounting management）549.7.3簡單網(wǎng)絡(luò)管理協(xié)議SNMPernet網(wǎng)絡(luò)管理模型.55管理對象管理對象外部外部管理管理對象管理管理對象網(wǎng)絡(luò)管理進(jìn)程（網(wǎng)控中心）簡單網(wǎng)絡(luò)管理協(xié)議SNMP56小結(jié)要使網(wǎng)絡(luò)有序、安全的運(yùn)行，必須加強(qiáng)網(wǎng)絡(luò)使用方法、技術(shù)與道德教育，完善網(wǎng)絡(luò)管理，研究與開發(fā)新的技術(shù)與產(chǎn)品；技術(shù)基本問題包括：網(wǎng)絡(luò)防、網(wǎng)、網(wǎng)絡(luò)絡(luò)安全與對策、網(wǎng)絡(luò)中的內(nèi)部安全防范、網(wǎng)絡(luò)防恢復(fù)；、網(wǎng)絡(luò)數(shù)據(jù)備份與服