网络管理与安全.ppt

主讲：宋一兵,计算机网络基础与应用,高等职业技术学校,第10章 网络管理与安全,计算机网络基础与应用,第10章：网络管理与安全,10.1节,10.2节,10.3节,为了使计算机网络能够正常地运转并保持良好的状态，涉及到网络管理和信息安全这两个方面。网络管理可以保证计算机网络正常运行，出现了故障等问题能够及时进行处理；信息安全可以保证计算机网络中的软件系统、数据以及线缆和设备等重要资源不被恶意的行为侵害或干扰。,计算机网络基础与应用,10.4节,10.1 网络管理,10.2 常用网络诊断命令,10.3 网络安全,10.4 信息安全,计算机网络基础与应用,计算机网络基础与应用,第10章 网络管理与安全,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,国际标准化组织ISO提出了网络管理功能的5个功能域，分别为:故障管理计费管理配置管理性能管理安全管理,计算机网络基础与应用,计算机网络基础与应用,10.1 网络管理,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,计算机网络基础与应用,10.1.2 网络管理模型,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,计算机网络基础与应用,10.1.3 简单网络管理协议,1987年Internet体系结构委员会（Internet Architecture Board，IAB）提出要求要为基于TCP/IP协议栈的网络制订网络管理标准，最终目标是制订基于TCP/IP的通用管理信息服务和协议。同时基于当时的急迫需求，决定将已有的简单网关监控协议进行修改完善作为一种应急的解决方案，此即SNMP协议。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,计算机网络基础与应用,10.1.3 简单网络管理协议,SNMP的基本概念,(1)管理信息结构前面已经提到，在MIB库中定义的管理信息称为被管对象。要描述被管对象，即标识、表示某一特定管理信息，必须遵循一定的标准。这个标准即为管理信息结构。(2)抽象语法标记1抽象语法标记是一种数据定义语言，通常被用来定义异种系统之间通信使用的数据类型、协议数据单元以及信息传送的方式。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,计算机网络基础与应用,10.1.3 简单网络管理协议,2.SNMP的操作及协议数据单元,SNMP协议的处理流程是管理站依次向每个代理发送询问请求，代理则根据请求的内容返回相应的数据。代理也可以主动上报系统事件信息。从本质上说，这是一种轮询操作。通过这个流程可知，在SNMP中唯一被支持的操作是对对象标识树中表示被管对象相应属性的叶子节点的查询或修改。因此可以将SNMP的动作定义为以下3种类型。Get：某管理站从一个代理处取得了一个对象的值。Set：某管理站修改了一个代理中的对象的值。Trap：某代理在没有接收到管理站请求的情况下，主动向一个管理站发送了一个对象的值。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,计算机网络基础与应用,10.1.4 网络管理工具,Cisco网络管理软件Sun NetManagerHP Openview,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.2 常用网络诊断命令,1、网络连通测试命令ping,ping是一种常见的网络测试命令，可以测试端到端的连通性。ping的原理很简单，就是通过向对方计算机发送Internet控制信息协议（ICMP）数据包，然后接收从目的端返回的这些包的响应，以校验与远程计算机的连接情况。默认情况下，发送4个数据包。由于使用的数据包的数据量非常小，所以在网上传递的数度非常快，可以快速检测某个计算机是否可以连通。语法格式。ping-t-a-n count-l length-f-i ttl-v tos-r count-s count-j computer-list|-k computer-list-w timeoutdestination-list,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,1、网络连通测试命令ping,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,2、路由追踪命令tracert,该命令用于确定到目标主机所采用的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。数据包上的TTL减为0时，路由器将“ICMP 已超时”的消息发回源主机。tracert 先发送TTL为1的回应数据包，并在随后的每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP已超时”的消息确定路由。某些路由器不经询问直接丢弃TTL过期的数据包，这在tracert实用程序中看不到。tracert命令按顺序打印出返回“ICMP已超时”消息的路径中的近端路由器接口列表。如果使用-d选项，则tracert实用程序不在每个IP地址上查询 DNS。tracert-d-h maximum_hops-j computer-list-w timeout target_name,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,2、路由追踪命令tracert,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,3、地址配置命令ipconfig,该命令在前面的章节中已经使用过，这里再详细解释一下。其作用主要是用于显示所有当前TCP/IP的网络配置值。在运行DHCP系统上，该命令允许用户决定DHCP配置的TCP/IP配置值。ipconfig/all|/renew adapter|/release adapter,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,3、地址配置命令ipconfig,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,4、路由跟踪命令pathping,该命令是一个路由跟踪工具，它将ping和tracert命令的功能和这两个工具所不能提供的其他信息结合起来。pathping 命令在一段时间内将数据包发送到将到达最终目标的路径上的每个路由器，然后从每个跃点返回基于数据包的计算机结果。由于该命令可以显示数据包在任何给定路由器或链接上的丢失程度，因此可以很容易地确定可能导致网络问题的路由器或链接。默认的跃点数是30，并且超时前的默认等待时间是3s。默认时间是250ms，并且沿着路径对每个路由器进行查询的次数是100。pathping-n-h maximum_hops-g host-list-p period-q num_queries-w timeout-T-R target_name,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,4、路由跟踪命令pathping,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,5、网络状态命令netstat,该命令用于显示当前正在活动的网络连接的详细信息，可提供各种信息，包括每个网路的接口、网络路由信息等统计资料，可以使用户了解目前都有哪些网络连接正在运行。netstat-a-e-n-s-p protocol-r interval,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,6、网络连接状态命令Nbtstat,该命令用于解决 NetBIOS 名称解析问题，用来提供NetBIOS名字服务、对话服务与数据报服务，显示使用NBT的TCP/IP连接情况和统计。nbtstat-a remotename-A IP address-c-n-R-r-S-s interval,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,6、网络连接状态命令Nbtstat,10.2 常用网络诊断命令,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,10.3 网络安全,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。,计算机网络基础与应用,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,10.3.1 网络安全的基本概念,1、网络安全的基本内容网络安全是一个多层次、全方位的系统工程。根据网络的应用现状和网络结构。物理环境的安全性（物理层安全）。操作系统的安全性（系统层安全）。网络的安全性（网络层安全）。应用的安全性（应用层安全）。管理的安全性（管理层安全）。,计算机网络基础与应用,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,10.3.1 网络安全的基本概念,2、计算机网络安全等级划分根据强制性国家标准计算机信息安全保护等级划分准则的定义，计算机网络安全可以划分为以下几级。第1级：用户自主保护级。第2级：系统审计保护级。第3级：安全标记保护级。第4级：结构化保护级。第5级：访问验证保护级。安全等级越高，所付出的人力、物力资源代价也越高。系统的安全等级会随着内部、外部环境的变化而变化。,计算机网络基础与应用,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,防火墙是一种特殊的网络互连设备，用来加强网络之间访问控制，防止外网用户以非法手段通过外网进入内网访问内网资源，保护内网操作环境。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。,计算机网络基础与应用,防火墙,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,软件防火墙又分为个人防火墙和系统网络防火墙。前者主要服务于客户端计算机，Windows操作系统本身就有自带的防火墙，其他如金山毒霸、卡巴斯基、瑞星、天网、360安全卫士等都是目前较流行的防火墙软件,计算机网络基础与应用,10.3.2 防火墙,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,硬件防火墙。相对于软件防火墙来说，硬件防火墙更具有客观可见性，就是可以见得到摸得着的硬件产品。硬件防火墙有多种，其中路由器可以起到防火墙的作用，代理服务器同样也具有防火墙的功能。,计算机网络基础与应用,10.3.2 防火墙,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,芯片级防火墙。其基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。生产这类防火墙较有名的厂商有NetScreen和FortiNet等。,计算机网络基础与应用,10.3.2 防火墙,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。,计算机网络基础与应用,10.3.3 入侵检测系统,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,入侵检测通过对各种事件的分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（Signature-Based），另一种基于异常情况（Anomaly-Based）。对于基于标识的检测技术来说，首先要定义违背安全策略事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。,计算机网络基础与应用,10.3.3 入侵检测系统,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,恶意代码泛滥用户安全意识弱恶意攻击行为肆虐缺乏严格的安全管理信息战信息系统标准与技术不完善，运营维护水平差异大,计算机网络基础与应用,10.4 信息安全,10.4.1 信息安全现状,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.4.2 安全威胁,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.4.3 安全防护措施,1、制定合理的安全策略最小权限原则木桶原则多层防御原则陷阱原则简单原则合作原则,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.4.3 安全防护措施,2、采用合适的安全措施（1）使用安全的口令配置系统对用户口令的设置情况进行检测，并强制用户定期改变口令。不在不同系统上以及不同用户级别上使用同一口令。不在计算机中存储口令，也不要把口令存储到任何介质上。不要向其他人随便泄露自己的口令信息。口令的组成要不规则。不要使用与自己相关的字符或者数字组合，比如姓名或者纪念日等。最好同时使用字符和数字甚至标点符号和控制字符。口令的长度不能太短，最好不要少于6位。输入口令的时候要注意安全，防止眼明手快的人窃取口令。要提高警惕，一旦发现自己的口令不能使用，应立即向系统管理员查询原因。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.4.3 安全防护措施,2、采用合适的安全措施（2）加密加密是实现数据保密性的基本手段。它不依赖于网络中的其他条件，只依靠密码算法和密钥的强度来保证加密后的信息不会被非授权的用户破解，从而解决了信息泄露的问题。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.4.3 安全防护措施,2、采用合适的安全措施（3）身份认证第一种类型最典型的应用就是使用账户名和口令进行登录。第二种类型的应用代表则是使用智能卡或动态口令进行认证。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.4.3 安全防护措施,2、采用合适的安全措施（4）虚拟专用网虚拟专用网技术的核心是利用基于安全协议的隧道技术，将企业数据加密封装后，通过公共网络进行传输。虚拟专用网的核心技术是基于密码理论的安全协议，如L2TP、IPSec等。通过密码技术的使用，像是在不安全的公共网络上建立了一条安全的通信隧道，从而防止了数据的泄露。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.4.3 安全防护措施,2、采用合适的安全措施（5）网络分段在这里的网络分段并不仅仅指通常用于控制网络广播风暴、提高网络可靠性的手段，还包括了对网络进行细粒度的安全保护的思想。通常的做法是根据网络所属业务部门的需求分析，对重要部门的网段与传输非敏感信息的公共信道相互隔离，从而防止可能的非法窃听和信息泄露。一般可分为物理分段和逻辑分段两种方式。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,计算机网络基础与应用,10.4.3 安全防护措施,2、采用合适的安全措施（6）划分VLAN为了提高网络传输的安全性，还可以利用VLAN（虚拟局域网）技术，按部门业务的不同将广播式的以太网通信变为部门局部通信的模式，从而防止针对局域网络的窃听行为，但网络的实际拓扑结构不变。VLAN内部的通信直接通过交换机进行，而VLAN与VLAN之间的连接则采用路由器进行通信。目前的VLAN技术主要有3种：基于交换机端口的VLAN、基于结点MAC地址的VLAN和基于应用协议的VLAN。,第10章：网络管理与安全,10.1节,10.2节,10.3节,10.4节,