第九章--网络管理与网络安全技术要点课件.ppt

《第九章--网络管理与网络安全技术要点课件.ppt》由会员分享，可在线阅读，更多相关《第九章--网络管理与网络安全技术要点课件.ppt（40页珍藏版）》请在三一办公上搜索。

1、2023/4/3,1,9.1 网络管理基本概念,运行管理网络的计费和通信量管理处理管理收集和分析设备利用率、通信量等数据，直到做出相应的控制，以优化网络资源的使用效率等各方面维护管理报警和性能监控、测试和故障修复等服务提供向用户提供新业务和通过增加网络设备和设施来提高网络性能,第九章 网络管理与网络安全技术,网络管理是遵守开放的网络系统的体系结构，并能够对不同厂商的软硬件产品进行管理。,2023/4/3,2,网络系统管理五个功能域,故障管理对网络中被管对象故障的检测、定位和排除配置管理用来定义、识别、初始化、监控网络中的被管对象，改变被管对象的操作特性，报告被管对象状态变化计费管理记录用户使用

2、网络资源的情况并核收费用，统计网络利用率性能管理保证在使用最少网络资源和最小时延前提下，网络提供可靠连续通行能力安全管理网络不被非法使用,第九章 网络管理与网络安全技术,2023/4/3,3,网络管理的实现,网络管理员通过网络管理软件来监视和控制网络的各个组成部分。如：通过查询主机、路由器、交换机等设备的状态来获取网络的有关统计资料，通过重新配置路由、网络接口等来控制网络运行和改善网络性能。,第九章 网络管理与网络安全技术,2023/4/3,4,简单网络管理协议SNMP典型配置,第九章 网络管理与网络安全技术,2023/4/3,5,网络管理中术语,网络元素（network element)网络

3、中具体的通信设备或逻辑实体，又称网元被管元素(managed object)指可使用管理协议进行管理和控制的网络资源的抽象表示管理信息库MIB(Management Information Base)由一个系统内的许多被管对象及其属性组成，虚拟数据库代理进程在被管系统中直接管理被管对象的进程，服务进程管理进程利用通信手段，通过代理来管理各被管对象，客户进程,第九章 网络管理与网络安全技术,2023/4/3,6,SNMP五种协议数据单元,SNMP的操作只有两种基本的管理功能“读”操作，用get报文来监测各被管对象的状况；“写”操作，用set报文来监测各被管对象的状况；,第九章 网络管理与网络安全

4、技术,2023/4/3,7,SNMPv2 V3,SNMPv1:1988优点：简单，广泛的使用缺点：不能有效传送大块数据，不能将网络管理的功能分散化，安全性不够好。SNMPv2:1996增加get-build-request命令，一次读取多行；分散化的管理方法，一个网络中多个管理服务器，并有中间代理进程。安全性设计过分复杂SNMPv3:安全性的改进：具有三种安全功能：鉴别、保密和存取控制,第九章 网络管理与网络安全技术,2023/4/3,8,CMIP（1）,由于SNMP管理功能不够强，ISO在20世纪80年代提出CMIP(公共管理信息协议)五个管理功能域，11种类型的PDU（协议数据单元）变量具

5、有复杂的数据结构SNMPv1与CMIP的比较,第九章 网络管理与网络安全技术,2023/4/3,9,CMIP（2）,第九章 网络管理与网络安全技术,2023/4/3,10,TMN,电信管理网（TMN）是ITU-T为了对电信网进行统一管理在1988年提出，1992年形成的网络管理标准，还在不断完善中TMN采用面向对象技术，定义了两种类型的电信资源：一种是管理系统，（运行系统OS）另一种是被管系统，一般称为网络元素NETMN标准定义了资源之间的各种互连关系，称之为接口，如OS-NE接口,第九章 网络管理与网络安全技术,2023/4/3,11,物理安全,物理安全是保护计算机网络设备、设施以及其它媒体

6、免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。环境安全对系统所在环境的安全保护，如区域保护和灾难保护；设备安全设备安全主要包括设备的防盗、防毁、抗电磁干扰及电源保护等；采用设备冗余备份，并通过严格管理及提高员工的整体安全意识来实现。媒体安全防止系统信息在空间的扩散。局域网传输线路传导辐射的抑制 对终端设备辐射的防范,9.2 网络安全,第九章 网络管理与网络安全技术,2023/4/3,12,系统安全,操作系统安全安全性较高的网络操作系统并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件 路由以及DNS安全对路

7、由器进行安全配置，并关闭不用的端口，对其执行严格的访问控制；对DNS软件应尽快升级到最新；以防止通过路由和DNS攻击实现的拒绝服务。应用系统安全应用服务器尽量不要开放一些没有经常用的协议及协议端口号 病毒防护,第九章 网络管理与网络安全技术,2023/4/3,13,网络安全,网络结构安全网络结构的安全主要指：网络拓扑结构是否合理、线路是否有冗余、路由是否冗余、防止单点失败等。隔离与访问控制 划分虚拟子网(VLAN)配备防火墙 通信安全采用加密来保证传输过程中的保密性和安全性 入侵检测 漏洞扫描系统,第九章 网络管理与网络安全技术,2023/4/3,14,应用安全,l资源共享中的访问控制和安全审

8、计对用户的访问控制进行安全设置 对用户在该系统上的应用进行安全审计 l信息存储与安全备份对有涉及秘密信息的主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对重要数据必须做安全备份,第九章 网络管理与网络安全技术,2023/4/3,15,安全其它方面,灾难恢复物理设施备份数据备份网站恢复动态维护1、物理安全的检测2、防火墙配置与优化3、路由器配置的检测4、入侵检测系统的升级，5、防病毒软件升级6、操作系统修补、加固和优化7、应用软件安全评估8、灾难恢复系统的检测安全管理,第九章 网络管理与网络安全技术,2023/4/3,16,通信安全问题概述,两个用户在计算机网络上通信所面临的威

9、胁截获：第三方偷听通信双方的内容中断：第三方中断通信双方的通信篡改：丙篡改甲发送给乙的报文伪造：丙假装为甲，与乙通信,第九章 网络管理与网络安全技术,2023/4/3,17,网络通信中的威胁,被动攻击攻击者只是观察通过的PDU而不干扰信息流主动攻击对某个连接中通过的PDU进行各种处理，如有选择的更改、删除、延迟、记录和复制这些PDU，在稍后的时间将以前录下的PDU插入这个连接，甚至可以合成或伪造PDU送入到连接中。更改报文流拒绝报文服务伪造连接初始化,第九章 网络管理与网络安全技术,2023/4/3,18,计算机网络通信安全的五个目标,防止析出报文内容防止信息量分析检测更改报文流检测拒绝报文服

10、务检测伪造初始化连接,第九章 网络管理与网络安全技术,2023/4/3,19,计算机网络通信安全的内容,保密性为用户提供安全可靠的保密通信密码机制是其他安全机制的基础安全协议的设计用形式化方法证明用经验来分析协议的安全性存取控制访问控制，对接入网络的权限加以控制，并规定每个用户的介入权限。,第九章 网络管理与网络安全技术,2023/4/3,20,数据保密基本概念,加密算法E,解密算法D,加密密钥K(假定加密解密密钥一样)，明文X,密文YY=Ek(X)Dk(Y)=Dk(Ek(X)=X密码编码学是密码体制的设计学，而密码分析学则是在未知密码的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析

11、学合起来即为密码学。理论上不可破密码：不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一确定出明文。计算上不可破密码：不能被可以使用的计算资源破译。,第九章 网络管理与网络安全技术,2023/4/3,21,常规密钥密码体制（1）,加密密钥与解密密钥是相同的密码体制替代密码将字母a,b,c,d,w,x,y,z的自然顺序保持不变，但使之与D,E,F,G,X,A,B,C分别对应：明文：caesar cipher,密文 FDHVDU FLSKHU置换密码按照某一规则重新排列消息中得比特或字符的顺序密钥：CIPHER顺序：145326明文 attack beginsat two密文：abaait

12、cnwtg tetkso,第九章 网络管理与网络安全技术,2023/4/3,22,数据加密标准DES,属于常规密钥密码体制IBM公司研制出，1977年被美国定为联邦信息标准DES是一种分组密码。加密前，先对整个的明文进行分组，每一个组长64位使用密钥64位（实际56位，8位用于奇偶校验）对每一个64位分组进行加密处理，产生一组64位密文数据将各组密文串接起来，得出整个的密文DES的保密性取决于对密钥的保密,而算法是公开的。,第九章 网络管理与网络安全技术,2023/4/3,23,公开密钥密码体制(1),使用不同的加密密钥与解密密钥，是一种由已知加密密钥推导解密密钥在计算上不可行的密码体制。加密

13、密钥（公开密钥Pk）是公开信息，而解密密钥Sk（即秘密密钥）是需要保密的。加密算法和解密算法也都是公开的。特点如下:发送者用加密密钥Pk对明文X加密后，在接受者用解秘密钥Sk解密，即可恢复出明文：Dsk(Epk(x)=X加密和解密的运算可以对调：即Epk(Dsk(X)=X,第九章 网络管理与网络安全技术,2023/4/3,24,公开密钥密码体制(2),加密密钥是公开的，但不能用它来解密，即Dpk(Epk(X)=X在计算机上可以容易的产生成对的Pk和Sk从已知的Pk实际上不可能推导出Sk，即从Pk到Sk是计算上不可能的。加密和解密算法都是公开的。,第九章 网络管理与网络安全技术,2023/4/3

14、,25,数字签名,解决问题：保证接收者能够核实发送者对报文的签名；保证发送者事后不能抵赖对报文的签名；保证接收者不能伪造对报文的签名；过程：发送者A用Ska对报文进行运算，将结果Dska(X)传送给接收者B，B用已知的公开密钥得出Epka(Dska(X)=XA要抵赖曾发送报文给B，则B出示X,Dska(X)给第三者。第三者可以用Pka来证实A确实发送该报文给BB将X伪造为X,则B不能在第三者前出示Dska(X),第九章 网络管理与网络安全技术,2023/4/3,26,报文鉴别（1）,在信息的安全领域中，对付被动攻击的重要措施是加密，而对付主动攻击中的篡改和伪造则要用报文鉴别报文鉴别就是一种过程

15、，使得通信的接受方能够验证所收到的报文（发送者、报文内容、发送时间、序列等）。传统的加密方法可以达到报文鉴别的目的，但更多的网络应用不需要加密但需要报文鉴别,第九章 网络管理与网络安全技术,2023/4/3,27,报文鉴别（2）,报文鉴别码（MAC）用户A向用户B发送报文M,根据密钥和报文计算出报文鉴别码MAC=F(K,M),将此报文鉴别码一起送给用户用户收到报文后，使用同样的密钥再次计算报文鉴别码，如果与收到的报文鉴别码一致，则鉴别此报文是真的。单向散列函数用户A向用户B发送报文M,先将报文输入给散列函数H，计算出H(M),即MD，再用B的公Pkb对MD加密，并将加密后的MD附加在报文后用户

16、B收到报文后，同样用已知散列函数计算H(M),再用自己私钥对加了密MD的解密，得出MD。比较该MD与H(M)。若一致，说明报文为真。,第九章 网络管理与网络安全技术,2023/4/3,28,第九章 网络管理与网络安全技术密钥分配,由于密码算法是公开的，网络的安全性就完全基于密钥的安全保护上。因此在密码学中出现了一个重要的分支密钥管理。密钥管理包括：密钥的产生、分配、注入、验证和使用。,2023/4/3,29,随着用户的增多和通信量的增大，密钥更换频繁(密钥必须定期更换才能做到可靠)，派信使的办法将不再适用。这时应采用网内分配方式，即对密钥自动分配。目前，常用的密钥分配方式是设立密钥分配中心KD

17、C(Key Distribution)，通过KDC来分配密钥。图为一种对常规密钥进行分配的方法。,2023/4/3,30,2023/4/3,31,第九章 网络管理与网络安全技术链路加密与端到端加密,链路加密在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥，如图所示。,2023/4/3,32,2023/4/3,33,端到端加密端到端加密是在源结点和目的结点中对传送的PDU进行加密和解密，其过程如图所示。可以看出，报文的安全性不会因中间结点的不可靠而受到影响。,2023/4/3,34,2023/4/3,35,防火墙,防火墙是一种由软件、硬件构成的系统，用来

18、在两个网络之间实施存取控制策略。该存取控制策略是由使用防火墙的单位自行制订的，适合本单位的需要。网络级防火墙：防止整个网络出现外来非法的入侵。由分组过滤（检查所有流入网络的信息，拒绝不符合安全策略的数据）和授权服务器（检查用户的登录是否合法）。应用级防火墙：从应用程序来进行存取控制。通常使用应用网关和委托服务器来。,第九章 网络管理与网络安全技术,2023/4/3,36,2023/4/3,37,防火墙是一个系统或系统组（包括硬件和软件），它在两个网络之间实施相应的访问控制策略。它置于两个网络之间，并具有如下特性：（1）所有内部对外部的通信都必须通过防火墙，反之亦然；（2）只有按安全策略所定义的

19、授权，通信才允许通过；（3）防火墙本身具有抗入侵能力。虽然防火墙技术是是在内部网与外部网之间实施安全防范的最佳选择，但也存在一定的局限性：（1）不能完全防范外部刻意的人为攻击；（2）不能防范内部用户攻击；（3）不能防止内部用户因误操作而造成口令失密受到的攻击；（4）很难防止病毒或者受病毒感染的文件的传输。,2023/4/3,38,入侵检测系统,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。,第九章 网络管理与网络安全技术,2023/4/3,39,漏洞扫描系统

20、,网络扫描系统可以对网络中所有部件（Web站点，防火墙，路由器，TCP/IP及相关协议服务）进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。系统扫描系统可以对网络系统中的所有操作系统进行安全性扫描，检测操作系统存在的安全漏洞，并产生报表，以供分析；还会针对具体安全漏洞提出补救措施。,第九章 网络管理与网络安全技术,2023/4/3,40,总结,网络管理是指对整个网络应用系统的管理。网络管理功能主要包括配置管理、故障管理、性能管理、安全管理与记账管理。网络安全技术研究的基本问题包括：网络防攻击、网络安全漏洞与对策、网络中的信息安全保密、网络内部安全防范、网络防病毒、网络数据备份与灾难恢复。网络安全服务应该提供保密性、认证、数据完整性、防抵赖与访问控制访问。要设计一个成功的网络系统，就必须针对可能对网络安全构成威胁的各种因素，研究确保网络信息系统安全的机制。防火墙可以由两部分组成：分组过滤路由器与应用网关。防火墙的基本功能是：根据一定的安全规定检查，过滤网络之间传送的本文分组，以确定它们的合法性。,第九章 网络管理与网络安全技术,