第7章网络安全与管理选读.ppt

第7章 网络安全与管理 第7章 网络安全与管理 7.1 网络管理 7.2 网络安全的基本概念 7.3 密码与信息加密 7.4 报文鉴别 7.5 数字签名技术 7.6 身份认证技术 7.7 防火墙技术 7.8 入侵检测 7.9 网络病毒 7.10 网络安全协议 7.11 VPN技术 7.1 网络管理 7.1.1 网络管理概述 7.1.2 OSI网络管理功能域 7.1.3 简单网络管理协议 网络管理，简称网管，是对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，以合理的价格满足网络的运行性能、服务质量（QoS)需求。 典型的网络管理体系结构如下图所示。 典型的网络管理体系结构包含四个要素： 1)管理站 管理站也常被称为网络运行中心NOC(Network Operations Center) 是网络管理系统的核心。管理程序在运行时就成为管理进程。 管理站(硬件)或管理程序(软件)都可称为管理者(manager)。 2)被管对象 网络的每一个被管设备中可能有多个被管对象。 被管设备有时可称为网络元素或网元。 3)管理代理 在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信，这些运行着的程序叫做网络管理代理程序，简称代理。 代理程序在管理程序的命令和控制下在被管设备上执行管理操作。 4)网络管理协议 简称网管协议，是管理站的管理程序和被管理设备的代理程序之间进行通信的规则。 网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。 7.1.2 OSI网络管理功能域 OSI网络管理标准将网络管理分为 系统管理 层管理 层操作 在系统管理中，提出网络管理的5大功能域： 配置管理 性能管理 故障管理 安全管理 计费管理 7.1.3 简单网络管理协议 1. SNMP的历史 2. SNMP相关的标准 3.网络管理的协议结构 4.管理信息结构SMI 5.管理信息库MIB 6.SNMP报文 SNMP的历史 在TCP/IP的发展过程中，很少考虑到网络管理，当时的网络管理主要使用一些基本的管理工具，最著名的当属广泛使用的PING(Packet InterNet Groper)程序。 PING在ICMP协议和IP协议的支持下工作，可以实现许多功能， 例如确定能否寻址物理网络设备、观测数据包往返的时间以及数据丢失率等。 1987年发行的SGMP(Simple Gateway Monitoring Protocol)提供了监控网关的简单方法。 随着更具一般用途网络管理工具需求的提出，人们设计了更多通用的网络管理协议，其中比较有名的如： HEMS(High-level Entity Management System) SNMP(Simple Network Management Protocol) CMOT(CMIP Over TCP/IP) 随着TCP/IP成为Internet的事实上的标准，SNMP也基本成为网络管理的标准协议。 SNMP具体应用于更大型的复杂网络的时候，它也暴露出一些功能上的缺陷和一些安全性方面的问题，为了弥补这些不足，1993年，发布了SNMP的第二个版本SNMP v2，在管理信息结构和功能上对SNMP进行了扩充，并增加了安全性。 1998年IETF SNMP v3工作组提出了SNMPv3的建议。SNMPv3提出了SNMP管理的统一体系结构。在这个体系结构中，采用User-based安全模型和View-based访问控制模型提供SNMP网络管理的安全性。 我们讨论SNMP v1协议。 2. SNMP相关的标准 用来定义SNMP及其相关功能和数据库的规范非常多，并且还在继续发展中，其中三个主要标准是： 1)TCP/IP网络管理信息结构SMI(Structure of Management Information)(RFC1155)：描述了应该怎样定义管理信息库(MIB)中的被管理对象，如数据类型、表示的方法以及命名方式等。 2)TCP/IP管理信息库MIB(Management Information Base)：MIB-2(RFC1213)，描述了包含在MIB中的被管理对象。 3)TCP/IP网络管理协议SNMP(RFC1157)：描述了管理站和被管理设备间的通信协议。 3. 网络管理的协议结构 管理进程控制着对管理工作站内核心MIB的访问并为网络管理员提供接口，管理进程通过SNMP来进行网络管理。 SNMP在UDP、IP和相关网络协议的顶层实现。 从管理工作站开始，发送三种类型的SNMP消息： GetRequest GetNextRequest SetRequest 其中前两种是读取功能，后一种是设置功能，这三种消息都由代理通过GetRespons