第十章网络管理与网络安全.pptVIP

第十章 网络管理与网络安全 本章重点 了解网络管理的功能 了解SNMP的功能 了解网络安全的基本概念 10.1 网络管理 网络管理的功能 计算机网络管理系统的功能是管理、监视和控制计算机网络，即对计算机网络进行配置，获取信息，监视网络性能，管理故障以及进行安全控制。 分类 第一类是计算机网络应用程序、用户帐号和存取权限的管理，属于与软件有关的计算机网络管理问题。 第二类是对构成计算机网络的硬件的管理，包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。 网络管理模型 代理的管理模型。 网络管理系统一般由4个部分组成。 1．被管理设备 2．网络管理信息库 3．管理工作站 4．网络管理协议 网络管理模型 网络管理的功能 5个功能域：故障管理、配置管理、计费管理、性能管理和安全管理。 1．故障管理: 对网络中的问题或故障进行检测、隔离和纠正。 （1）故障管理的过程:发现问题 、找出故障的原因 、尽量排除故障 。 （2）故障管理的主要功能 维护、使用和检查差错日志， 接受差错检测的通报并做出反应 ，在系统范围内限定跟踪差错， 执行诊断测试序列 ，执行恢复动作以纠正差错 2．配置管理 发现和设置网络设备的过程。 （1）获得关于当前网络配置的信息。 （2）提供远程修改设备配置的手段。 （3）存储数据、维护最新的设备清单并根据数据产生报告。 3．计费管理 测量和报告基于个人或团体用户的计费信息，分配资源并计算用户通过网络传输数据的费用。 统计哪些用户、使用何信道、传输多少数据、访问什么资源等信息； 统计不同线路和各类资源的利用情况。 4．性能管理 测量网络中硬件、软件和媒体的性能。 测量的项目包括整体吞吐量、利用率、错误率或影响时间等。 有监测和控制两大功能： 监测功能实现对网络中的活动进行跟踪， 控制功能实施相应调整来提高网络性能。 5．安全管理 控制对计算机网络中信息的访问过程。 （1）支持身份鉴别，规定身份鉴别的过程。 （2）控制和维护授权设施。 （3）控制和维护访问权限。 （4）支持密钥管理。 （5）维护和检查安全日志。 6．其他扩展管理 （1）系统管理。计算机及其组件 （2）服务管理。服务提供者及其设备 （3）应用管理。监视和控制用户应用程序 （4）众多其他资源的管理。包括数据库、存储设备、家庭电子设备及电子邮件等资源。 网络管理的协议 两大网络管理协议体系： 基于TCP/IP网络的简单网络管理协议SNMP 由国际标准化组织ISO制定的公共管理信息协议CMIP。 简单网络管理协议SNMP SNMP代理和管理工作站通过SNMP协议中的标准消息进行通信，每个消息都是1个单独的数据报。 SNMP使用用户数据报协议UDP作为传输协议，进行无连接操作。 SNMP的管理模型 SNMP在协议层次结构中的位置 10.2 网络安全 计算机网络面临的安全性威胁 ISO对OSI环境定义了以下几种威胁： （1）伪装 （2）非法连接 （3）非授权访问 （4）拒绝服务 （5）抵赖 （6）信息泄露 （7）通信量分析 （8）无效信息流 （9）篡改/破坏数据 （10）推断或演绎信息 （11）非法篡改程序 计算机网络面临的安全攻击 1．安全攻击的形式 （1）中断 （2）截取 （3）修改 （4）捏造 主动攻击与被动攻击 主动攻击： 对数据修改或创建，容易检测，很难完全预防。 包括中断、修改和捏造 被动攻击： 偷听或监视传送，获得正在传送的信息，很难被检测到。 截获属于被动攻击 计算机网络安全体系 1989年ISO／TC97技术委员会制订了ISO7498－2国际标准 从体系结构的观点，描述了实现OSI参考模型间安全通信必须提供的安全服务和安全机制，建立了OSI标准的安全体系结构框架。 计算机网络安全体系 5种可供选择的安全服务 1.身份认证——双向认证 2.访问控制——访问权限 3.数据保密——数据加密 4.数据完整性——修改、删除、插入、替换或重发 5.防止否认——数字签名 安全体系结构模型 网络防火墙 防火墙的概念 设置在不同网络或安全域间的部件组合。 可以是软件、硬件，或两者的结合 可监测、限制、更改跨越防火墙的数据流，对外部屏蔽网络内部的信息、结构和运行状况，实现安全保护。 逻辑上，是1个分离器、限制器，分析器，监控所隔离的网络间的任何活动 防火墙的功能 过滤掉不安全服务和非法用户。 控制对特殊站点的访问。 提供监视因特网安全和预警的方便端点 防火墙的局限性 不能防范不经由防火墙的攻击 不能防止病毒软件或文件的传输 不能防止数据驱动式攻击 防火墙的分类 根据防范方