第九章 网络管理与网络安全技术.pptVIP

9.1 网络管理基本概念 运行管理 网络的计费和通信量管理 处理管理 收集和分析设备利用率、通信量等数据，直到做出相应的控制，以优化网络资源的使用效率等各方面 维护管理 报警和性能监控、测试和故障修复等 服务提供 向用户提供新业务和通过增加网络设备和设施来提高网络性能 网络系统管理五个功能域 故障管理 对网络中被管对象故障的检测、定位和排除 配置管理 用来定义、识别、初始化、监控网络中的被管对象，改变被管对象的操作特性，报告被管对象状态变化 计费管理 记录用户使用网络资源的情况并核收费用，统计网络利用率 性能管理 保证在使用最少网络资源和最小时延前提下，网络提供可靠连续通行能力 安全管理 网络不被非法使用 网络管理的实现 网络管理员通过网络管理软件来监视和控制网络的各个组成部分。 如：通过查询主机、路由器、交换机等设备的状态来获取网络的有关统计资料，通过重新配置路由、网络接口等来控制网络运行和改善网络性能。 简单网络管理协议SNMP典型配置 网络管理中术语 网络元素（network element ) 网络中具体的通信设备或逻辑实体，又称网元 被管元素(managed object) 指可使用管理协议进行管理和控制的网络资源的抽象表示 管理信息库MIB(Management Information Base) 由一个系统内的许多被管对象及其属性组成，虚拟数据库 代理进程 在被管系统中直接管理被管对象的进程，服务进程 管理进程 利用通信手段，通过代理来管理各被管对象，客户进程 SNMP五种协议数据单元 SNMP的操作只有两种基本的管理功能 “读”操作，用get报文来监测各被管对象的状况； “写”操作，用set报文来监测各被管对象的状况； SNMPv2 V3 SNMPv1: 1988 优点：简单，广泛的使用 缺点：不能有效传送大块数据，不能将网络管理的功 能分散化，安全性不够好。 SNMPv2:1996 增加get-build-request命令，一次读取多行； 分散化的管理方法，一个网络中多个管理服务器，并 有中间代理进程。 安全性设计过分复杂 SNMPv3: 安全性的改进：具有三种安全功能：鉴别、保密和存 取控制 CMIP（1） 由于SNMP管理功能不够强，ISO在20世纪80年代提出CMIP(公共管理信息协议) 五个管理功能域，11种类型的PDU（协议数据单元）变量具有复杂的数据结构 SNMPv1与CMIP的比较 CMIP（2） TMN 电信管理网（TMN）是ITU-T为了对电信网进行统一管理在1988年提出，1992年形成的网络管理标准，还在不断完善中 TMN采用面向对象技术，定义了两种类型的电信资源：一种是管理系统，（运行系统OS）另一种是被管系统，一般称为网络元素NE TMN标准定义了资源之间的各种互连关系，称之为接口，如OS-NE接口 物理安全 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 环境安全 对系统所在环境的安全保护，如区域保护和灾难保护； 设备安全 设备安全主要包括设备的防盗、防毁、抗电磁干扰及电源保护等；采用设备冗余备份，并通过严格管理及提高员工的整体安全意识来实现。 媒体安全——防止系统信息在空间的扩散。 局域网传输线路传导辐射的抑制 对终端设备辐射的防范 系统安全 操作系统安全 安全性较高的网络操作系统并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件 路由以及DNS安全 对路由器进行安全配置，并关闭不用的端口，对其执行严格的访问控制；对DNS软件应尽快升级到最新；以防止通过路由和DNS攻击实现的拒绝服务。? 应用系统安全 应用服务器尽量不要开放一些没有经常用的协议及协议端口号 病毒防护 网络安全 网络结构安全 网络结构的安全主要指：网络拓扑结构是否合理、线路是否有冗余、路由是否冗余、防止单点失败等。 隔离与访问控制 划分虚拟子网(VLAN) 配备防火墙 通信安全 采用加密来保证传输过程中的保密性和安全性 入侵检测 漏洞扫描系统 应用安全 l?资源共享中的访问控制和安全审计 对用户的访问控制进行安全设置 对用户在该系统上的应用进行安全审计 l?信息存储与安全备份 对有涉及秘密信息的主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。 对重要数据必须做安全备份 安全其它方面 灾难恢复 物理设施备份 数据备份 网站恢复 动态维护 1、物理安全的检测 2、防火墙配置与优化 3、路由器配置的检测 4、入侵检测系统的升级， 5、防病毒软件升级 6、操作系统修补、加固和优化 7、应用软件安全评估 8、灾难恢复系统的检测 安全管理