网络管理与网络安全
防火墙的分类
根据防范方式和侧重点可分为包过滤、应用级网关和代理服务器类型; 按照体系结构可分为屏蔽路由器、双穴主机网关、被屏蔽主机网关和被屏蔽
子网等。可有不同组合
实现防火墙的技术
包过滤技术 报文过滤器放在路由器上,对用户具有透明性,只对源地址、目的地址 及端口进行检查 不要求应用程序做任何改动,也不要求用户学习任何新知识 对复杂的站点,规则库会变得很大
(b)中断
(c)截取
(d)修改
(e)捏造
主动攻击与被动攻击
主动攻击: 对数据修改或创建,容易检测,很难完全预防。 包括中断、修改和捏造 被动攻击:
偷听或监视传送,获得正在传送的信息,很难被检测到。 截获属于被动攻击
计算机网络安全体系
1989年ISO/TC97技术委员会制订了 ISO7498-2国际标准
第十章 网络管理与网络安全
本章重点 了解网络管理的功能 了解SNMP的功能 了解网络安全的基本概念
10.1 网络管理
网络管理的功能
计算机网络管理系统的功能是管理、监视和控制计算 机网络,即对计算机网络进行配置,获取信息,监视 网络性能,管理故障以及进行安全控制。
分类
第一类是计算机网络应用程序、用户帐号和存取权限 的管理,属于与软件有关的计算机网络管理问题。
网络管理的协议
两大网络管理协议体系: 基于TCP/IP网络的简单网络管理协议SNMP 由国际标准化组织ISO制定的公共管理信息协议CMIP。
简单网络管理协议SNMP
SNMP代理和管理工作站通过SNMP协议中的标准消息进行通信,每个消息都 是1个单独的数据报。
SNMP使用用户数据报协议UDP作为传输协议,进行无连接操作。
5.安全管理 控制对计算机网络中信息的访问过程。 (1)支持身份鉴别,规定身份鉴别的过程。 (2)控制和维护授权设施。 (3)控制和维护访问权限。 (4)支持密钥管理。 (5)维护和检查安全日志。
6.其他扩展管理 (1)系统管理。计算机及其组件 (2)服务管理。服务提供者及其设备 (3)应用管理。监视和控制用户应用程序 (4)众多其他资源的管理。包括数据库、存储设备、家庭电子设备及电 子邮件等资源。
安全体系结构模型
OSI模型的层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
对应的安全服务模型的内容 身份认证、访问控制、 数据保密、数据完整
端到端的数据加密 防火墙、IP安全 相邻节点的数据加密 安全物理信道
网络防火墙
防火墙的概念
设置在不同网络或安全域间的部件组合。 可以是软件、硬件,或两者的结合 可监测、限制、更改跨越防火墙的数据流,对外部屏蔽网络内部的信息、
SNMP的管理模型
网络管理员界面
管理代理 MIB
管理进程
网络管理通信协议
管理代理 MIB
管理代理
……
MIB
被管设备
被管设备
被管设备
▪管理信息 库-MIB
▪SNMP管 理部件的管 理关系
SNMP在协议层次结构中的位置
管理系统 管理应用进程
应用进程进行管理
被管系统 被管资源
SNMP被管对象
get Get-next
1.故障管理:
对网络中的问题或故障进行检测、隔离和纠。 (1)故障管理的过程:发现问题 、找出故障的原因 、
尽量排除故障 。 (2)故障管理的主要功能 维护、使用和检查差错日志,
接受差错检测的通报并做出反应 ,在系统范围内限定 跟踪差错, 执行诊断测试序列 ,执行恢复动作以纠正 差错
2.配置管理 发现和设置网络设备的过程。 (1)获得关于当前网络配置的信息。 (2)提供远程修改设备配置的手段。 (3)存储数据、维护最新的设备清单并根据数据产生报告。
从体系结构的观点,描述了实现OSI参 考模型间安全通信必须提供的安全服 务和安全机制,建立了OSI标准的安全 体系结构框架。
计算机网络安全体系
5种可供选择的安全服务
1.身份认证——双向认证 2.访问控制——访问权限 3.数据保密——数据加密 4.数据完整性——修改、删除、插入、替
换或重发 5.防止否认——数字签名
(2)非法连接
(3)非授权访问 (4)拒绝服务
(5)抵赖
(6)信息泄露
(7)通信量分析 (8)无效信息流
(9)篡改/破坏数据
(10)推断或演绎信息
(11)非法篡改程序
计算机网络面临的安全攻击
1.安全攻击的形式
(1)中断 (2)截取 (3)修改 (4)捏造
信息源
信息目的
(a)正常流动
set Get-request
trap get Get-next set Get-request trap
SNMP管理程序 UDP
IP 数据链路层
SNMP报文 因特网
SNMP代理程序 UDP IP
数据链路层
10.2 网络安全
计算机网络面临的安全性威胁
ISO对OSI环境定义了以下几种威胁:
(1)伪装
结构和运行状况,实现安全保护。 逻辑上,是1个分离器、限制器,分析器,监控所隔离的网络间的任何活
动
防火墙的功能
过滤掉不安全服务和非法用户。 控制对特殊站点的访问。 提供监视因特网安全和预警的方便端点
防火墙的局限性
不能防范不经由防火墙的攻击 不能防止病毒软件或文件的传输 不能防止数据驱动式攻击
第二类是对构成计算机网络的硬件的管理,包括对工 作站、服务器、网卡、路由器、网桥和集线器等的管 理。
网络管理模型
代理的管理模型。 网络管理系统一般由4个部分组成。
1.被管理设备 2.网络管理信息库 3.管理工作站 4.网络管理协议
网络管理模型
管理者—代理模型
网络管理的功能
5个功能域:故障管理、配置管理、计费管理、性 能管理和安全管理。
3.计费管理 测量和报告基于个人或团体用户的计费信息,分配资源并计算用户通过 网络传输数据的费用。 统计哪些用户、使用何信道、传输多少数据、访问什么资源等信息; 统计不同线路和各类资源的利用情况。
4.性能管理 测量网络中硬件、软件和媒体的性能。 测量的项目包括整体吞吐量、利用率、错误率或影响时间等。 有监测和控制两大功能: 监测功能实现对网络中的活动进行跟踪, 控制功能实施相应调整来提高网络性能。