东华大学计算机科学与技术学院计算机系统与网络技术课件 第二十八讲.ppt

第6章 网络管理与网络安全 （一） 主要内容 网络管理 网络安全威胁 网络安全技术 网络管理定义 对组成网络的各种软、硬件设施进行综合管理，以充分发挥这些设施的作用 主要功能 维护网络的正常高效运行 即时发现网络故障并进行报告和处理 提供各种实施管理的有效辅助工具 体现 网络服务质量（QoS，Quality of Service） 网络管理体系和标准 CMIP（Common Management Information Protocol），即公共管理信息协议规范 OSI制定的系列标准 将网络管理的能力进行抽象并映射到OSI参考模型 比较复杂 用于电信网管理（TMN） SNMP（Simple Network Management Protocol），即简单网络管理协议 简单易行 网络管理设备和产品基本上都支持 SNMP协议 基本功能 监视网络性能、检测分析网络差错和配制网络设备 基于UDP协议进行传输 版本 SNMPv1，基本版本 SNMPv2，增加了批量数据传输 SNMPv3，增加了管理的安全性 SNMP管理框架 组成：SNMP管理者、SNMP代理（Agent）、管理信息库MIB和SNMP协议 统一收集Agent数据、发布信息 （厂商或第三方开发实现） 由多个管理对象组成，用来记录各个管理对象的参数值一收集数据、发布信息 运行在网络设备中的一个管理进程 （设备自带）； 监视设备MIB中各管理对象的参数值变化，及时更新MIB库的参数值 ； 响应SNMP管理者管理请求，发送返回数据 为管理者与Agent之间的通信提供规范 管理信息库MIB MIB库是设备对象信息组织方式 树状结构 每个结点对象编号，OID 1.3.6.1表示：root.iso.org.dod.internet SNMP协议工作模式 管理方式 主动轮询，管理中心定时向各个被管理对象发出询问，获取其应答信息 汇报机制，当被管对象发生了紧急情况时就主动向管理中心汇报 SNMP协议是一个异步请求/响应协议 SNMP管理者发出请求后，立刻执行下面的步骤，不会等待代理应答 当代理的应答返回后，管理者再进行处理 提供四类操作获取设备的OID属性值 RMON 远程网络监控协议 由监控器负责收集子网信息 中央管理站点收集汇总 适合大规模网络 网管标准 ISO7498-4 规范 五大功能： 配置管理（Configuration Management） 性能管理（Performance Management） 故障管理（Fault Management） 安全管理（Security Management） 计费管理（Accounting Management） 配置管理 自动发现网络拓扑结构 监测网络被管对象的状态 性能管理 采集、分析网络对象的性能数据 统计网络运行状态信息 故障管理 过滤、归并网络事件 有效地发现、定位网络故障 安全管理 主要任务： 结合使用用户认证、访问控制、数据传输、数据存储的保密与完整性机制，以保障网络管理系统本身的安全； 维护系统日志，使系统的使用和网络对象的修改有据可查； 控制对网络资源的访问。 由各类专业网络安全产品实现 计费管理 主要任务： 对网际互联设备按IP地址的双向流量统计，产生多种信息统计报告及流量对比 提供网络计费工具，以便用户根据自定义的要求实施网络计费 由电信等网络运营商专用软硬件实现 网络管理系统 网络管理系统 网络设备厂商提供 第三方开发商提供 实现配置管理、性能管理、故障管理 网络监控和嗅探工具 辅助管理命令 网络监控嗅探工具 捕获底层网络数据包，网络监控应用软件 如：Etheral 辅助管理命令 连通性测试程序Ping 路由跟踪程序Traceroute （Tracert ） 网络状态命令NetStat MIBView工具 网络安全 网络安全的目标 网络安全威胁 网络安全层次体系 网络安全技术 网络安全目标 完整性 保证网络信息未经授权不能进行改变的特性 方法：纠错编码方法、协议、密码校验 可用性 网络可被授权实体访问并按需使用的特性 方法：身份识别、访问控制 保密性 网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性 方法：防侦听/辐射、加密、物理保密 可靠性 网络信息系统能够在规定条件下和规定时间内完成规定功能的特性 主要从抗毁性、生存性和有效性三个方面来衡量 不可抵赖性 信息交互过程中，确信参与者的真实同一性 方法：PKI/PMI 可控性 可控性是确保一个实体的访问动作可以被唯一地区别、跟踪和记录的特性 方法：跟踪、审计 网络安全威胁 外力影响 人员疏忽 病毒 恶意攻击 信息泄露和丢失 系统与网络软件漏洞 网络安全的层次体系 网络层安