第7章-網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理

第7章網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理袁津生主編主要內(nèi)容7.1網(wǎng)絡(luò)安全研究的主要問(wèn)題7.2數(shù)據(jù)加密技術(shù)7.3身份認(rèn)證技術(shù)7.4防火墻技術(shù)7.5 網(wǎng)絡(luò)管理主要內(nèi)容網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)管理的目的是協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效、可靠運(yùn)行，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，能及時(shí)報(bào)告和處理。本章主要介紹數(shù)據(jù)加密技術(shù)、身份鑒別技術(shù)、防火墻技術(shù)以及網(wǎng)絡(luò)管理技術(shù)。7.1網(wǎng)絡(luò)安全研究的主要問(wèn)題網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的特征

（1）保密性。信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。（2）完整性。數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。（3）可用性?？杀皇跈?quán)實(shí)體訪問(wèn)并按需求使用的特性。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊。（4）可控性。對(duì)信息的傳播及內(nèi)容具有控制能力。（5）可審查性。出現(xiàn)安全問(wèn)題時(shí)提供依據(jù)與手段。網(wǎng)絡(luò)安全研究的主要問(wèn)題1．網(wǎng)絡(luò)防攻擊問(wèn)題2．網(wǎng)絡(luò)安全漏洞與對(duì)策問(wèn)題3．網(wǎng)絡(luò)中的信息安全保密問(wèn)題4．防抵賴問(wèn)題5．網(wǎng)絡(luò)內(nèi)部安全防范問(wèn)題6．網(wǎng)絡(luò)防病毒問(wèn)題7．垃圾郵件與灰色軟件問(wèn)題8．網(wǎng)絡(luò)數(shù)據(jù)備份與恢復(fù)、災(zāi)難恢復(fù)問(wèn)題7.2數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密的概念所謂數(shù)據(jù)加密技術(shù)是指將一個(gè)信息經(jīng)過(guò)加密密鑰及加密函數(shù)轉(zhuǎn)換，變成沒(méi)有任何規(guī)律的密文，而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密密鑰還原成明文。密碼學(xué)是包含兩個(gè)分支：密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)是對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)隱蔽信息；密碼分析學(xué)是研究一門分析和破譯密碼的學(xué)問(wèn)。在網(wǎng)絡(luò)信息傳輸過(guò)程中，當(dāng)需要對(duì)消息進(jìn)行保密操作時(shí)，就需要密碼編碼學(xué)對(duì)信息進(jìn)行保密處理。密碼體制密碼體制也叫密碼系統(tǒng)，是指能完整地解決信息安全中的機(jī)密性、數(shù)據(jù)完整性、認(rèn)證、身份識(shí)別、可控性及不可抵賴性等問(wèn)題的。一個(gè)密碼體制由明文、密文、密鑰、加密和解密運(yùn)算這四個(gè)基本要素構(gòu)成。對(duì)稱加密技術(shù)對(duì)稱密碼體制是一種傳統(tǒng)密碼體制，也稱為私鑰密碼體制。在對(duì)稱加密系統(tǒng)中，加密和解密采用相同的密鑰。因?yàn)榧咏饷苊荑€相同，需要通信的雙方必須選擇和保存他們共同的密鑰，各方必須信任對(duì)方不會(huì)將密鑰泄密出去，這樣就可以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性和完整性。大多數(shù)古典算法屬于對(duì)稱密碼體制，例如凱撒加密機(jī)制、維吉尼亞算法、簡(jiǎn)單替換、多表替換算法等?，F(xiàn)代對(duì)稱密碼算法有DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）、3DES、AES（高級(jí)加密標(biāo)準(zhǔn)）、IDEA等。對(duì)稱加密技術(shù)在對(duì)稱加密系統(tǒng)中，加密和解密采用相同的密鑰。非對(duì)稱加密技術(shù)非對(duì)稱密碼體制也叫公鑰加密技術(shù)。在公鑰加密系統(tǒng)中，加密和解密使用兩個(gè)不同的密鑰，加密密鑰（公開(kāi)密鑰）向公眾公開(kāi)，誰(shuí)都可以使用，解密密鑰（秘密密鑰）只有解密人自己知道，非法使用者根據(jù)公開(kāi)的加密密鑰無(wú)法推算出解密密鑰，因此稱為公鑰密碼體制。非對(duì)稱加密的工作過(guò)程公鑰加密系統(tǒng)的主要功能：機(jī)密性、確認(rèn)、數(shù)據(jù)完整性、不可抵賴性。公鑰密鑰的密鑰管理比較簡(jiǎn)單，可方便的實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。但算法復(fù)雜，加密數(shù)據(jù)的速率較低。密文Y

E

運(yùn)算加密算法D運(yùn)算解密算法加密解密明文X明文X

ABB的私鑰SKB密文Y

因特網(wǎng)B的公鑰PKB7.3身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)用戶身份的過(guò)程，從而確定該用戶是否具有對(duì)某種資源的訪問(wèn)和使用權(quán)限。身份認(rèn)證通過(guò)標(biāo)識(shí)和鑒別用戶的身份，提供一種判別和確認(rèn)用戶身份的機(jī)制。身份認(rèn)證技術(shù)在信息安全中處于非常重要的地位，是其他安全機(jī)制的基礎(chǔ)。只有實(shí)現(xiàn)了有效的身份認(rèn)證，才能保證訪問(wèn)控制、安全審計(jì)、入侵防范等安全機(jī)制的有效實(shí)施。身份認(rèn)證概述在真實(shí)世界中，驗(yàn)證一個(gè)用戶的身份主要通過(guò)以下三種方式：所知。、所有、本身特征。在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，將認(rèn)證（Authentication）、授權(quán)（Authorization）與審計(jì)（Accounting）統(tǒng)稱為AAA或3A?；诿艽a的身份認(rèn)證密碼通常由一組字符串來(lái)組成，為便于用戶記憶，一般用戶使用的密碼都有長(zhǎng)度的限制。但出于安全考慮，在使用密碼時(shí)需要注意以下幾點(diǎn)：（1）不使用默認(rèn)密碼；（2）設(shè)置足夠長(zhǎng)的密碼；（3）不要使用結(jié)構(gòu)簡(jiǎn)單的詞或數(shù)字組合；（4）增加密碼的組合復(fù)雜度；（5）使用加密；（6）避免共享密碼；（7）定期更換密碼。1.一次性密碼技術(shù)

使用一次性密碼技術(shù)可以防止重放攻擊的發(fā)生，這相當(dāng)于用戶隨身攜帶一個(gè)密碼本，按照與目標(biāo)主機(jī)約定好的次序使用這些密碼。用戶每一次登錄系統(tǒng)所用的密碼都是不一樣的，攻擊者通過(guò)竊聽(tīng)得到的密碼無(wú)法用于下一次認(rèn)證。當(dāng)密碼全部用完后再向系統(tǒng)管理員申請(qǐng)新的密碼本。一次性密碼技術(shù)有其安全的地方，但實(shí)際使用過(guò)程中很不方便。如密碼更改問(wèn)題，初始化問(wèn)題，本次密碼全部使用完后，必須向管理員重新申請(qǐng)新的密碼。2.動(dòng)態(tài)口令技術(shù)動(dòng)態(tài)口令技術(shù)是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種叫做動(dòng)態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏。密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過(guò)密碼驗(yàn)證就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶的身份?；诘刂返纳矸菡J(rèn)證1．地址認(rèn)證基于地址的身份認(rèn)證主要有IP地址認(rèn)證和MAC地址認(rèn)證。2．智能卡認(rèn)證智能卡也稱IC卡，是由一個(gè)或多個(gè)集成電路芯片（包括固化在芯片中的軟件）組成的設(shè)備，可以安全地存儲(chǔ)密鑰、證書和用戶數(shù)據(jù)等敏感信息，防止硬件級(jí)別的竄改。智能卡芯片在很多應(yīng)用中可以獨(dú)立完成加密、解密、身份認(rèn)證、數(shù)字簽名等對(duì)安全較為敏感的計(jì)算任務(wù)，從而能夠提高應(yīng)用系統(tǒng)抗病毒攻擊以及防止敏感信息的泄漏。生物特征身份認(rèn)證生物特征認(rèn)證又稱為“生物特征識(shí)別”，是指通過(guò)計(jì)算機(jī)利用人體固有的物理特征或行為特征鑒別個(gè)人身份。1．指紋認(rèn)證指紋是人的生物特征的一種重要的表現(xiàn)形式，具有“人人不同”和“終身不變”的特征，以及附屬于人的身體的便利性和不可偽造的安全性。2．虹膜認(rèn)證虹膜（眼睛中的彩色部分）是眼球中包圍瞳孔的部分，上面布滿極其復(fù)雜的鋸齒網(wǎng)絡(luò)狀花紋，而每個(gè)人虹膜的花紋都是不同的。虹膜識(shí)別技術(shù)就是應(yīng)用計(jì)算機(jī)對(duì)虹膜花紋特征進(jìn)行量化數(shù)據(jù)分析，用以確認(rèn)被識(shí)別者的真實(shí)身份。數(shù)字簽名數(shù)字簽名（DigitalSignature）又稱公鑰數(shù)字簽名或電子簽章，是以電子形式存儲(chǔ)于信息中或邏輯上與之有聯(lián)系的數(shù)據(jù)，用于辨識(shí)數(shù)據(jù)簽署人的身份，并表明簽署人對(duì)數(shù)據(jù)中所包信息的認(rèn)可?；诠€密碼體制和私鑰密碼體制都可獲得數(shù)字簽名，目前主要是基于公鑰密碼體制的數(shù)字簽名。數(shù)字簽名的主要功能是保證信息傳輸?shù)耐暾浴l(fā)送者的身份認(rèn)證、防止交易中的抵賴行為發(fā)生。數(shù)字簽名工作原理

數(shù)字簽名經(jīng)常采用一種稱為摘要的技術(shù)，摘要技術(shù)主要是采用HASH（哈希）函數(shù)。HASH函數(shù)提供了一種計(jì)算過(guò)程：輸入一個(gè)長(zhǎng)度不固定的字符串，返回一串定長(zhǎng)度的字符串（稱為HASH值），將一段長(zhǎng)的報(bào)文通過(guò)函數(shù)變換，轉(zhuǎn)換為一段定長(zhǎng)的報(bào)文，即摘要。7.4防火墻技術(shù)防火墻的概念防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件設(shè)備的組合，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。防火墻位于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間。外部網(wǎng)絡(luò)位于防火墻的外面，內(nèi)部網(wǎng)絡(luò)位于防火墻的里面。一般都把防火墻里面的網(wǎng)絡(luò)稱為“可信任網(wǎng)絡(luò)”，而把防火墻外面的網(wǎng)絡(luò)稱為“不可信任的網(wǎng)絡(luò)”。防火墻的位置與作用防火墻的功能

（1）防火墻是網(wǎng)絡(luò)安全的屏障一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。（2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。（4）防止內(nèi)部信息的外泄通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。防火墻的種類根據(jù)防范方式和側(cè)重點(diǎn)的不同可將防火墻分為：包過(guò)濾防火墻、應(yīng)用級(jí)代理防火墻、電路級(jí)代理防火墻。包過(guò)濾防火墻工作在IP層，根據(jù)IP分組的IP頭及部分傳輸層的頭部信息，對(duì)分組是否滿足訪問(wèn)控制規(guī)則進(jìn)行判定，從而對(duì)分組做出轉(zhuǎn)發(fā)或丟棄的操作。應(yīng)用級(jí)代理防火墻工作在OSI參考模型的應(yīng)用層及表示層。應(yīng)用級(jí)代理服務(wù)器為各種不同的網(wǎng)絡(luò)應(yīng)用提供定制的網(wǎng)絡(luò)服務(wù)。電路級(jí)代理是在客戶和服務(wù)器之間不解釋應(yīng)用協(xié)議即建立回路。包過(guò)濾防火墻應(yīng)用級(jí)代理防火墻防火墻的體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞雙重宿主主機(jī)構(gòu)筑的。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口，它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，它能從一個(gè)網(wǎng)絡(luò)接收IP數(shù)據(jù)包并將之發(fā)往另一網(wǎng)絡(luò)。屏蔽主機(jī)體系結(jié)構(gòu)由包過(guò)濾路由器和堡壘主機(jī)組成。包過(guò)濾路由器配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，保證外部系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的操作只能經(jīng)過(guò)堡壘主機(jī)。堡壘主機(jī)配置在內(nèi)部網(wǎng)絡(luò)上，是外部網(wǎng)絡(luò)主機(jī)連接到內(nèi)部網(wǎng)絡(luò)主機(jī)的橋梁，它需要擁有高等級(jí)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系——周邊網(wǎng)絡(luò)。雙重宿主主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)7.5 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理的概念網(wǎng)絡(luò)管理是指規(guī)劃、監(jiān)督、設(shè)計(jì)和控制網(wǎng)絡(luò)資源使用和網(wǎng)絡(luò)的各種活動(dòng)，以使網(wǎng)絡(luò)的性能達(dá)到最優(yōu)。網(wǎng)絡(luò)管理包括對(duì)硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對(duì)網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測(cè)試、配置、分析、評(píng)價(jià)和控制。網(wǎng)絡(luò)管理的目的是協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效、可靠運(yùn)行，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，能及時(shí)報(bào)告和處理。通過(guò)網(wǎng)絡(luò)管理可以控制用戶的訪問(wèn)、跟蹤用戶與網(wǎng)絡(luò)的連接，改變網(wǎng)絡(luò)登錄口令，記錄網(wǎng)絡(luò)訪問(wèn)歷史等，從而為網(wǎng)絡(luò)提供一個(gè)安全的環(huán)境。網(wǎng)絡(luò)管理的基本功能 網(wǎng)絡(luò)管理應(yīng)包含以下基本功能：故障管理、計(jì)費(fèi)管理、配置管理、性能管理和安全管理。1．故障管理當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)，必須盡可能快地找出故障發(fā)生的確切位置，將網(wǎng)絡(luò)其它部分與故障部分隔離，以確保網(wǎng)絡(luò)其它部分能不受干擾繼續(xù)運(yùn)行。故障管理的主要功能有告警檢測(cè)、故障定位、測(cè)試、業(yè)務(wù)恢復(fù)以及維修等，同時(shí)還要維護(hù)故障目標(biāo)。2．計(jì)費(fèi)管理記費(fèi)管理是正確的計(jì)算和接收用戶使用網(wǎng)絡(luò)服務(wù)的費(fèi)用，進(jìn)行網(wǎng)絡(luò)資源使用的統(tǒng)計(jì)和網(wǎng)絡(luò)成本效益的計(jì)算。在有償使用的網(wǎng)絡(luò)上，計(jì)費(fèi)管理功能統(tǒng)計(jì)哪些用戶、使用何信道、傳輸多少數(shù)據(jù)、訪問(wèn)什么資源等信息；另一方面，計(jì)費(fèi)管理功能還可以統(tǒng)計(jì)不同線路和各類資源的利用情況。網(wǎng)絡(luò)管理的基本功能3．配置管理配置管理是網(wǎng)絡(luò)管理最基本的功能，負(fù)責(zé)監(jiān)測(cè)和控制網(wǎng)絡(luò)的配置狀態(tài)。就是在網(wǎng)絡(luò)建立、擴(kuò)充、改造和運(yùn)行的過(guò)程中，對(duì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、資源配備、使用狀態(tài)等配置信息進(jìn)行定義、監(jiān)測(cè)和修改。配置管理包括以下功能：（1）定義配置信息（2）設(shè)置并修改屬性值（3）定義和修改關(guān)系（4）初始化和關(guān)閉網(wǎng)絡(luò)（5）軟件分發(fā)（6）網(wǎng)絡(luò)規(guī)劃和資源管理網(wǎng)絡(luò)管理的基本功能4．性能管理性能管理的具體內(nèi)容包括：從被管對(duì)象中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)，分析和統(tǒng)計(jì)歷史數(shù)據(jù)，建立性能分析的模型，預(yù)測(cè)網(wǎng)絡(luò)性能的長(zhǎng)期趨勢(shì)。性能管理的目的是保證網(wǎng)絡(luò)的有效運(yùn)營(yíng)和連續(xù)可靠的通信能力。5．安全管理安全管理的目的是確保網(wǎng)絡(luò)資源不被非法使用，防止網(wǎng)絡(luò)資源由于入侵者攻擊而遭受破壞。安全管理提供信息的保密、認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)數(shù)據(jù)和系統(tǒng)免受侵?jǐn)_和破壞。安全管理具有風(fēng)險(xiǎn)分析、安全服務(wù)、告警、日志和報(bào)告功能以及網(wǎng)絡(luò)管理系統(tǒng)保護(hù)等主要功能。網(wǎng)絡(luò)管理系統(tǒng)組成網(wǎng)絡(luò)管理系統(tǒng)一般采用管理者—管理代理的模型。通過(guò)管理進(jìn)程與一個(gè)遠(yuǎn)程系統(tǒng)相互作用實(shí)現(xiàn)對(duì)遠(yuǎn)程資源的控制。網(wǎng)絡(luò)管理系統(tǒng)有5個(gè)要素：網(wǎng)絡(luò)管理者、網(wǎng)管代理、被管對(duì)象、網(wǎng)絡(luò)管理協(xié)議和管理信息庫(kù)（MIB）。網(wǎng)絡(luò)管理者駐留在管理工作站上，一般位于網(wǎng)絡(luò)系統(tǒng)的主干或接近主干的位置，它負(fù)責(zé)發(fā)出管理操作的指令，并接收來(lái)自網(wǎng)絡(luò)代理的信息。網(wǎng)管代理是一個(gè)軟件模塊，駐留在被管設(shè)備上。網(wǎng)管代理的功能是把來(lái)自網(wǎng)絡(luò)管理者的命令或信息的請(qǐng)求轉(zhuǎn)換成設(shè)備特有的指令，完成網(wǎng)絡(luò)管理者的指示或把所在設(shè)備的信息返回到網(wǎng)絡(luò)管理者。網(wǎng)絡(luò)管理系統(tǒng)組成被管對(duì)象可以是被管設(shè)備中的某個(gè)硬件，也可以是硬件或軟件的配置參數(shù)的集合。用于網(wǎng)絡(luò)管理者和管理代理之間傳遞信息，并完成信息交換安全控制的通信規(guī)約就成為網(wǎng)絡(luò)管理協(xié)議。管理站和管理代理者之間通過(guò)網(wǎng)絡(luò)管理協(xié)議通信，網(wǎng)絡(luò)管理者進(jìn)程通過(guò)網(wǎng)絡(luò)管理協(xié)議來(lái)完成網(wǎng)絡(luò)管理。管理信息庫(kù)MIB（ManagementInformationBase）是一個(gè)信息存儲(chǔ)庫(kù)，所有被管理對(duì)象的信息都放在MIB上。被管理對(duì)象是指能被管理的所有實(shí)體（網(wǎng)絡(luò)、設(shè)備、線路、軟件等）。網(wǎng)絡(luò)管理的一般模型管理站因特網(wǎng)網(wǎng)絡(luò)管理員被管設(shè)備——管理程序（運(yùn)行SNMP客戶程序）——代理程序（運(yùn)行SNMP服務(wù)器程序）AAAAM被管設(shè)備被管設(shè)備被管設(shè)備MAA被管設(shè)備網(wǎng)管協(xié)議SNMP協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP是由因特網(wǎng)工程任務(wù)組IETF定義的一套網(wǎng)絡(luò)管理協(xié)議。利用SNMP，一個(gè)管理工作站可以遠(yuǎn)程管理所有支持這種協(xié)議的網(wǎng)絡(luò)設(shè)備，包括監(jiān)視網(wǎng)絡(luò)狀態(tài)、修改網(wǎng)絡(luò)設(shè)備配置、接收網(wǎng)絡(luò)事件警告等。SNMP是管理進(jìn)程和代理進(jìn)程之間的通信協(xié)議。它規(guī)定了在網(wǎng)絡(luò)環(huán)境中對(duì)設(shè)備進(jìn)行監(jiān)視和管理的標(biāo)準(zhǔn)化管理框架、通信的公共語(yǔ)言、相應(yīng)的安全和訪問(wèn)控制機(jī)制。網(wǎng)絡(luò)管理員使用SNMP功能可以查詢?cè)O(shè)備信息、修改設(shè)備的參數(shù)值、監(jiān)控設(shè)備狀態(tài)、自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)故障、生成報(bào)告等。SNMP網(wǎng)絡(luò)架構(gòu)由三部分組成：管理進(jìn)程、代理進(jìn)程和管理信息庫(kù)。SNMP的典型配置SNMPUDPIP管理進(jìn)程網(wǎng)絡(luò)接口網(wǎng)絡(luò)管理員MIB管理站路由器SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口TCPFTP等用戶進(jìn)程主機(jī)因特網(wǎng)SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口TCPFTP等用戶進(jìn)程主機(jī)SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口SNMP協(xié)議1．管理進(jìn)程管理進(jìn)程是網(wǎng)絡(luò)中的管理者，是一個(gè)利用SNMP協(xié)議對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理和監(jiān)視的系統(tǒng)。管理進(jìn)程可以向代理進(jìn)程發(fā)出請(qǐng)求，查詢或修改一個(gè)或多個(gè)具體的參數(shù)值。同時(shí)，管理進(jìn)程可以接收代理進(jìn)程主動(dòng)發(fā)送的信息，以獲知被管理設(shè)備當(dāng)前的狀態(tài)。2．代理進(jìn)程代理進(jìn)程是網(wǎng)絡(luò)設(shè)備中的一個(gè)應(yīng)用模塊，用于維護(hù)被管理設(shè)備的信息數(shù)據(jù)并響應(yīng)管理進(jìn)程的請(qǐng)求，把管理數(shù)據(jù)匯報(bào)給發(fā)送請(qǐng)求管理進(jìn)程。代理進(jìn)程接收到管理進(jìn)程的請(qǐng)求信息后，完成查詢或修改操作，并把操作結(jié)果發(fā)送給管理進(jìn)程，完成響應(yīng)。3．管理信息庫(kù)管理信息庫(kù)可以看作是管理進(jìn)程和代理進(jìn)程之間的一個(gè)接口，通過(guò)這個(gè)接口，管理進(jìn)程可以對(duì)管理代理中的每一個(gè)被管理對(duì)象進(jìn)行讀/寫操作，從而達(dá)到管理和監(jiān)控設(shè)備的目的。思考題1．簡(jiǎn)述網(wǎng)絡(luò)安全具備的5個(gè)特征。2．簡(jiǎn)述對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)的異同點(diǎn)。3．設(shè)計(jì)一個(gè)算法完成對(duì)一段文字的加密過(guò)程。4．簡(jiǎn)述身份認(rèn)證的概念及實(shí)現(xiàn)的技術(shù)。5．為什么要在網(wǎng)絡(luò)系統(tǒng)中建立防火墻，它的主要作用是什么？6．防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)有哪些，它們有何特點(diǎn)？舉例說(shuō)明。7．簡(jiǎn)述網(wǎng)絡(luò)管理的5大功能。8．簡(jiǎn)述網(wǎng)絡(luò)管理系統(tǒng)的組成。9．SNMP網(wǎng)絡(luò)架構(gòu)由哪幾部分組成？每部分的基本功能是什么？10．上網(wǎng)查找資料，撰寫一篇有關(guān)網(wǎng)絡(luò)安全的文章。9、春去春又回，新桃換舊符。在那桃花盛開(kāi)的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽(yáng)光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Thursday,March6,202510、