計算機網(wǎng)絡(luò)基礎(chǔ)任務(wù)教程模板-項目9-網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理

1、項目9 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理Page 2教學目標理解網(wǎng)絡(luò)安全的含義及特征理解網(wǎng)絡(luò)管理概念掌握數(shù)據(jù)加密技術(shù)123掌握防火墻技術(shù)熟悉網(wǎng)絡(luò)管理工具的應(yīng)用45Page 3教學內(nèi)容任務(wù)1了解網(wǎng)絡(luò)安全任務(wù)2認識網(wǎng)絡(luò)管理任務(wù)1 了解網(wǎng)絡(luò)安全Page 4 網(wǎng)絡(luò)安全概述：1.網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露、系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義上說，網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)硬件資源和信息資源的安全性。硬件資源包括通信線路、通信設(shè)備（交換機、路由器等）、主機等，要實現(xiàn)信息快速、安全地交換，一個可靠的物理網(wǎng)絡(luò)是必不可少的。信息資源包括

2、維持網(wǎng)絡(luò)服務(wù)運行的系統(tǒng)軟件和應(yīng)用軟件，以及在網(wǎng)絡(luò)中存儲和傳輸?shù)挠脩粜畔?shù)據(jù)等。信息資源的保密性、完整性、可用性、真實性等是網(wǎng)絡(luò)安全研究的重要課題。任務(wù)1 了解網(wǎng)絡(luò)安全2.網(wǎng)絡(luò)安全的特征（1）保密性（2）完整性（3）可用性（4）可控性（5）可審查性3.網(wǎng)絡(luò)面臨的安全威脅（1）非授權(quán)訪問（2）信息泄漏或丟失（3）破壞數(shù)據(jù)完整性（4）拒絕服務(wù)器攻擊（5）利用網(wǎng)絡(luò)傳播病毒（6）混合威脅攻擊（7）間諜軟件任務(wù)1 了解網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全技術(shù)1.數(shù)據(jù)加密技術(shù)理論上講，加密技術(shù)可以分為密鑰和算法兩部分，密鑰是在加密和解密過程中使用的一串字符，算法則是作用于密鑰和明文的一個數(shù)學函數(shù)。密文是明文和密鑰相結(jié)合，經(jīng)過加

3、密算法運算的結(jié)果。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種，相應(yīng)地，對數(shù)據(jù)加密的技術(shù)分為兩類，即對稱加密（秘密密鑰加密）和非對稱加密（公開密鑰加密）。任務(wù)1 了解網(wǎng)絡(luò)安全對稱密鑰加密技術(shù)也稱秘密密鑰加密，信息的發(fā)送方和接收方使用同一個密鑰去加密和解密數(shù)據(jù)，如圖9-1所示。對稱加密算法使用起來簡單快捷，加密和解密速度快，適合于對大數(shù)據(jù)量進行加密，不足之處是密鑰管理困難，密鑰的傳遞過程十分復雜，花費較高。圖9-1 對稱密鑰加密技術(shù)任務(wù)1 了解網(wǎng)絡(luò)安全非對稱密鑰加密也稱公開密鑰加密，它需要使用不同的密鑰來分別完成加密和解密操作，一個公開發(fā)布，即公開密鑰，另一個由用戶自己秘密保存，即

4、私用密鑰，如圖9-2所示。信息發(fā)送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。 圖9-2 非對稱密鑰加密技術(shù)任務(wù)1 了解網(wǎng)絡(luò)安全2. 虛擬專用網(wǎng)技術(shù)（1）虛擬專用網(wǎng)的概念虛擬專用網(wǎng)（Virtual Private Network，VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，即通過網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，形成一種邏輯上的專用網(wǎng)絡(luò)。它向用戶提供一般專用網(wǎng)絡(luò)所具有的功能，但實際上卻不是一個獨立的物理網(wǎng)絡(luò)，其工作原理如圖9-3所示。（2）VPN技術(shù)在企業(yè)網(wǎng)的應(yīng)用圖9-3 VPN工作原理示意任務(wù)1 了解網(wǎng)絡(luò)安全3

5、. 防火墻技術(shù)（1）防火墻基本概念防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。（2）防火墻功能防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑攻擊。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。除此而外，防火墻還能夠強化網(wǎng)絡(luò)安全策略、監(jiān)控網(wǎng)絡(luò)存取和訪問、防止內(nèi)部信息的外泄。任務(wù)1 了解網(wǎng)絡(luò)安全

6、（3）防火墻的種類防火墻從誕生開始，經(jīng)歷了四個發(fā)展階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。從原理上來分，防火墻有三種通用類型：數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。安全性能高的防火墻系統(tǒng)都是組合運用多種類型防火墻，構(gòu)筑多道防火墻“防御工事”。任務(wù)1 了解網(wǎng)絡(luò)安全1）數(shù)據(jù)包過濾防火墻包過濾防火墻是最簡單的一種防火墻，它在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表來檢測攻擊行為，如圖9-5所示。數(shù)據(jù)包過濾（Packet Filtering）是指在網(wǎng)絡(luò)層對數(shù)據(jù)包進行分析、選擇。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源IP地址、目的IP地址、源端口

7、號、目的端口號、協(xié)議類型等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。在網(wǎng)絡(luò)層提供較低級別的安全防護和控制，故也稱網(wǎng)絡(luò)層防火墻（Network Lev Firewall）或IP過濾器（IP filters）。包過濾這個操作可以在路由器上進行，也可以在網(wǎng)橋，甚至在一個單獨的主機上進行。圖9-5 包過濾型防火墻任務(wù)1 了解網(wǎng)絡(luò)安全2）電路層網(wǎng)關(guān)電路層網(wǎng)關(guān)又叫線路級網(wǎng)關(guān)，工作在會話層。電路層網(wǎng)關(guān)不允許端到端的TCP連接，而是由網(wǎng)關(guān)建立兩個TCP連接，一個是在網(wǎng)關(guān)本身和內(nèi)部主機上的一個TCP用戶之間，一個是在網(wǎng)關(guān)和外部主機上的TCP用戶之間的連接，如圖9-6所示。一旦兩個連接建立，網(wǎng)關(guān)將作為連接兩端主

8、機的傳送TCP數(shù)據(jù)段的驛站，來決定該會話（Session）是否合法，而不需要檢查其內(nèi)容，在電路層網(wǎng)關(guān)中，包被提交用戶應(yīng)用層處理。電路層網(wǎng)關(guān)用來在兩個通信的終點之間轉(zhuǎn)換包。電路層防火墻主要是抵擋流量攻擊，對病毒、木馬等程序訪問網(wǎng)絡(luò)無能為力。圖9-6 電路層防網(wǎng)關(guān)任務(wù)1 了解網(wǎng)絡(luò)安全3）應(yīng)用層網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)也叫應(yīng)用層防火墻或應(yīng)用層代理防火墻，通常被描述為第三代防火墻。當內(nèi)部計算機與外部主機連接時，將由代理服務(wù)器（Proxy Server）擔任內(nèi)部計算機與外部主機的連接中繼者，這樣可以隱藏內(nèi)部主機的地址和防止外部不正常的連接，從而保證網(wǎng)絡(luò)的安全性。常用的應(yīng)用層網(wǎng)關(guān)的代理服務(wù)軟件有Telnet、HTT

9、P、FTP、SMTP，如圖9-7所示。應(yīng)用層網(wǎng)關(guān)防火墻可以有效保護應(yīng)用程序的網(wǎng)絡(luò)訪問控制，缺點是對DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）攻擊等無能為力。圖9-7 應(yīng)用層網(wǎng)關(guān)任務(wù)1 了解網(wǎng)絡(luò)安全電子郵件的安全性與Web的安全性1.電子郵件的安全性（1）匿名郵件。（2）電子郵件欺騙（3）電子郵件炸彈 2.Web的安全性（1）Web面臨的安全威脅1）HTTP的安全性2）Web服務(wù)器安全性（2）Web服務(wù)安全防護1）提高操作系統(tǒng)的安全，確保服務(wù)器本身的安全。2）確保Web服務(wù)器的網(wǎng)絡(luò)安全。3）使用安全的Web應(yīng)用程序，確保這些程序不會帶來新的安全漏洞。4

10、）為了加強Web通信安全，使用安全的HTTPS協(xié)議。5）使用漏洞掃描和風險評估工具定期對Web服務(wù)器進行掃描和測試，及時發(fā)現(xiàn)和解決安全問題。任務(wù)2 認識網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理的概述1.網(wǎng)絡(luò)管理的概念按照國際標準化組織（ISO）的定義，網(wǎng)絡(luò)管理是指規(guī)劃、監(jiān)督、控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動，以使網(wǎng)絡(luò)的性能達到最優(yōu)。網(wǎng)絡(luò)管理的任務(wù)就是收集、監(jiān)控網(wǎng)絡(luò)中各種設(shè)備和設(shè)施的工作參數(shù)、工作狀態(tài)信息，將結(jié)果顯示給管理員并進行處理，從而控制網(wǎng)絡(luò)中的設(shè)備、設(shè)施、工作參數(shù)和工作狀態(tài)，使其可靠地運行。2.網(wǎng)絡(luò)管理系統(tǒng)的組成網(wǎng)絡(luò)管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模，任何網(wǎng)管系統(tǒng)無論其規(guī)模大小如何，基本上都是由支持網(wǎng)管協(xié)議的

11、網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成。（1）網(wǎng)管軟件平臺。（2）網(wǎng)管支撐軟件。（3）網(wǎng)絡(luò)設(shè)備。任務(wù)2 認識網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理的功能1.故障管理（fault management）（1）故障檢測。（2）故障診斷。（3）故障糾正。2.計費管理（accounting management）3. 配置管理（configuration management）（1）設(shè)置開發(fā)系統(tǒng)中有關(guān)路由操作的參數(shù)。（2）被管對象和被管對象組名字的管理。（3）初始化或關(guān)閉被管對象。（4）根據(jù)要求收集系統(tǒng)當前狀態(tài)的有關(guān)信息。（5）獲取系統(tǒng)重要變化的信息。（6）更改系統(tǒng)的配置，初始化或關(guān)閉某些資

12、源。任務(wù)2 認識網(wǎng)絡(luò)管理4. 性能管理（performance management）性能管理的功能包括以下幾方面：（1）工作負荷監(jiān)測、收集和統(tǒng)計數(shù)據(jù)。（2）判斷、報告和報警網(wǎng)絡(luò)性能。（3）預測網(wǎng)絡(luò)性能的變化趨勢。（4）評價和調(diào)整性能指標、操作模式和網(wǎng)絡(luò)管理對象的配置。5. 安全管理（security management）網(wǎng)絡(luò)管理的體系結(jié)構(gòu)系統(tǒng)管理應(yīng)用進程（SMAP）負責管理整個系統(tǒng)的資源，并提供控制和監(jiān)測的能力。根據(jù)OSI定義，OSI網(wǎng)絡(luò)管理包括管理員和代理兩類實體，管理員和代理之間遵循公共管理信息協(xié)議（CMIP），網(wǎng)絡(luò)管理的體系結(jié)構(gòu)如圖9-8所示。圖9-8網(wǎng)絡(luò)管理的體系結(jié)構(gòu)網(wǎng)絡(luò)管理協(xié)議與

13、技術(shù)1.SNMP協(xié)議1988年Internet體系結(jié)構(gòu)委員會在原有的簡單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP）的基礎(chǔ)上進一步修改后，發(fā)表了簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），并于1996年發(fā)表了其改進版。近年來，隨著Internet和Intranet的飛速發(fā)展，SNMP協(xié)議受到廣泛的支持，已經(jīng)成為事實上的標準網(wǎng)絡(luò)管理協(xié)議。SNMP不僅包括網(wǎng)絡(luò)管理協(xié)議本身，而且代表采用SNMP協(xié)議的網(wǎng)絡(luò)管理框架，一套完整的SNMP系統(tǒng)主要包括管理信息庫（MIB）、管理信息結(jié)構(gòu)（SMI）及SNMP報文協(xié)議。MIB是一個信息數(shù)據(jù)庫，它包含被管理設(shè)備中有關(guān)配置和性能的數(shù)據(jù)，是網(wǎng)絡(luò)管理的基礎(chǔ)；SMI定義了SNMP框架所用信息的組織、組成和

14、標識，它還為描述MIB對象和描述協(xié)議怎樣交換信息奠定了基礎(chǔ)；SNMP報文協(xié)議定義SNMP數(shù)據(jù)包的格式、封裝、傳輸細節(jié)。2.CMIP協(xié)議CMIP是與通用管理信息服務(wù) （Common Management Information Services，CMIS）同時使用的一種ISO協(xié)議，支持網(wǎng)絡(luò)管理應(yīng)用程序和管理代理之間的信息交換服務(wù)。CMIS定義了每個網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù)，這些服務(wù)在本質(zhì)上是很普通的，CMIP則是實現(xiàn)CMIS服務(wù)的協(xié)議。作為國際標準，CMIP主要針對OSI七層協(xié)議模型的傳輸環(huán)境而設(shè)計，采用報告機制，具有許多特殊的設(shè)施和能力，需要能力強的處理機和大容量的存儲器，因此目前支持它

15、的產(chǎn)品不多，但由于它是國際標準，因此發(fā)展前景很廣闊。3.RMON技術(shù)RMON是一個標準監(jiān)控規(guī)范，它可以使各種網(wǎng)絡(luò)監(jiān)控器和控制臺系統(tǒng)之間交換網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)。RMON是SNMP的一個擴展，遵循SNMP的結(jié)構(gòu)，同時又擴展了SNMP的功能及應(yīng)用。RMON使用SNMP的操作，使用專用于子網(wǎng)監(jiān)視的監(jiān)視器收集子網(wǎng)流量信息，并響應(yīng)管理站的調(diào)用。如圖9-9是RMON技術(shù)工作的一個示例，一個管理站管理和監(jiān)視兩個以太網(wǎng)子網(wǎng)和一個FDDI子網(wǎng)的流量統(tǒng)計和分析數(shù)據(jù)，每個子網(wǎng)內(nèi)都有一個RMON代理，只要管理站支持RMON功能，就可以讓RMON代理在子網(wǎng)內(nèi)自動收集統(tǒng)計信息供管理站查詢，并接受管理站的配置，RMON也能按照管理

16、站配置的警報自動發(fā)送告警信息。簡單網(wǎng)絡(luò)管理協(xié)議SNMP是專門設(shè)計用于在服務(wù)器、工作站、路由器、交換機等IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點的一種標準協(xié)議，它是工作在應(yīng)用層的協(xié)議。1.SNMP應(yīng)用模型SNMP管理的網(wǎng)絡(luò)主要由三部分組成：被管理的設(shè)備、SNMP代理和網(wǎng)絡(luò)管理系統(tǒng)（Netware Management System，NMS）。SNMP應(yīng)用模型如圖9-10所示。圖9-10 SNMP應(yīng)用模型2.SNMP的技術(shù)內(nèi)容SNMP工作在TCP/IP的無連接數(shù)據(jù)報上，其技術(shù)由三個主要的內(nèi)容構(gòu)成：管理信息結(jié)構(gòu)SMI（Structure of Management Information）、管理信息庫MIB和SNMP通信協(xié)議。（1）管理信息結(jié)構(gòu)SMI。SMI是由ASN.1定義的SNMP管理信息表示方法，為描述MIB對象和協(xié)議交換數(shù)據(jù)提供表示手段，是一種定義和構(gòu)造MIB的通用框架。（2）管理信息庫MIB。MIB（Management Information Base，管理信息庫）是對網(wǎng)絡(luò)可以訪問的所有被管理信息的精確定義。（3）SNMP通信協(xié)議。協(xié)議定義SNMP數(shù)據(jù)包的格式、封裝、傳輸細節(jié)。SNMP規(guī)定了5種協(xié)議數(shù)據(jù)單元PDU（也就是SNMP報文），用來在管理進程和代理之間進行信息交換。3.SN