计算机管理与网络安全技术.ppt

网络管理技术网络安全的基本概念网络防火墙,本章知识点,本章导读,计算机网络应用的发展速度越快，人们对网络的依赖程度越高，那么网络管理与网络安全技术就显得尤为重要。本章将系统地讨论网络管理技术、网络安全的基本概念、网络安全策略以及网络防火墙技术。,9.1 网络管理技术,网络管理的重要性网络管理的分类OSI管理功能域典型的网络管理,网络管理的重要性,随着网络在社会生活中的广泛应用，特别是在金融、商务、政府机关、军事、信息处理等方面的应用，支持各种信息系统的网络的地位变得越来越严重。随着网络规模的不断扩大，网络结构也变得越来越复杂。用户对网络应用的需求不断提高，企业和用户对计算机网络的依赖程度越来越高。在这种情况下，企业的管理者和用户对网络的性能、运行状况以及安全性也越来越重视。因此，网络管理已经成为现代网络技术中最重要的问题之一，也是网络设计、实现、运行与维护等各个环节中的关键问题之一。一个有效而且实用的网络每时每刻都离不开网络管理。,网络管理的分类,1网络管理的定义 网络管理有广义与狭义之分。广义的网络管理是指对网络应用系统的管理。狭义的网络管理仅指网络通信量等网络参考性能的管理。我们在这里所讨论的网络管理（NetWare Management）涉及三个方面。（1）网络服务提供（network service provisioning），是指向用户提供新的服务类型、增加网络设备、提高网络性能。（2）网络维护（network maintenance），是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。（3）网络处理（network administration），是指网络线路，设备利用率，数据的采集、分析，以及提高网络利用率的各种控制。2网络管理系统的基本结构 一个网络管理系统从逻辑上可以分为以下三个部分：管理对象（managed object）、管理进程（manager process）、管理协议（management protocol）。,（1）管理对象是经过抽象的网络元素，对应于网络中具体可以操作的数据，如记录网络设备工作状态的状态变量、网络设备内部的工作参数、网络性能的统计参数。（2）管理进程是负责对网络设备进行全面的管理与控制的软件。（3）管理协议则负责在管理系统与被管理对象之间传递操作命令，负责解释管理操作命令。管理协议保证了管理信息库中的数据与具体网络设备实际状态、工作参数的一致性。3管理信息库 从概念上说，一个网络的管理系统只能有一个管理信息库，但管理信息库可以是集中存储的，也可以由各个网络设备记录本地工作参数。网络管理员只要查询有关的管理信息库，就可获得有关网络设备的工作状态和工作参数。,OSI管理功能域,OSI管理标准中定义的5个功能域是：配置管理（configuration management）、故障管理（fault management）、性能管理（performance management）、安全管理（security management）、记账管理（accounting management）。下面我们具体介绍这5个功能域。1配置功能 网络配置是指网络中每个设备的功能、相互间的连接关系与工作参数，它反映了网络的状态。网络是经常需要变化的，需要调整网络配置的原因很多。2故障管理 故障管理是用来维护网络正常运行的。网络故障管理包括及时发现网络中发生的故障，找出网络故障产生的原因，必要时启动控制功能来排除故障。控制活动包括诊断测试活动、故障修复或恢复活动、启动备用设备等。,3性能管理 网络性能管理活动是持续地评测网络运行中的主要性能指标，以检验网络服务是否达到了预定的水平，找出已经发生或潜在的瓶颈，报告网络性能的变化趋势，为网络管理决策提供依据。4安全管理 安全管理是用来保护网络资源的安全。安全管理活动能够利用各个层次的安全防卫机制，使非法入侵事件尽可能少发生；能够快速检测未授权的资源使用，并检查出入侵点，对非法活动进行审查与追踪；能够使网络管理人员恢复部分受保护的文件。5记账管理 对于公用分组交换网与各种网络信息服务系统来说，用户必须为使用网络的服务而交费，网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。,典型的网络管理,1Internet网络管理模型 在Internet网络中，“网络元素”被用来表示任何一种接受管理的网络资源。“网络元素”与前面所说的“管理对象”的含义是类似的。在Internet的网络管理模型中，每个网络元素上都有一个负责执行管理任务的管理代理（agent），整个网络有多个网络实施集中式管理的管理进程。那么，网络管理标准用来定义网络控制中心与各管理代理之间的通信。Internet的简单网络管理模型如下图所示。被管理的网络实体与它的管理代理一起构成完整的网络元素。,网络管理模型,2简单网络管理协议SNMP 除了专门的标准化组织制定了一些标准外，一些网络发展比较早的机构与厂商也制定了一些应用在各自网络上的管理标准。例如，IBM公司、DEC公司与Internet组织都有各自的网络管理标准，有的已经成为事实上的网络管理标准。其中，应用最广泛的是简单网络管理协议（SNMP，simple network management protocol）。（1）管理进程 管理进程是一个或一组软件程序，它一般运行在网络管理站（或网络管理中心）的主机上，可以在SNMP的支持下由管理代理来执行各种管理操作。（2）管理代理 管理代理是一种被管理的网络设备中运行的软件，它负责执行管理进程的管理操作。,（3）管理信息库 管理信息库是一个概念上的数据库，它是由管理对象组成的。每个管理代理管理信息库中属于本地的管理对象，各管理代理控制的管理对象共同构成全网的管理信息库。3典型的网络管理软件 网络管理软件用于监视与控制网络的运行情况，包括设备与线路的破坏、网络流量与拥挤程度等。对于大型的网络系统来说，使用网络管理软件是十分必要的，否则在网络出现故障或性能下降时无从解决。,9.2 网络安全的基本概念,网络的重要性网络安全的基本问题网络安全服务的主要内容网络安全标准主要的网络安全技术,计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大影响，同时也不可避免地会带来一些新的社会、道德、政治与法律等问题。现在许多企业在推行电子商务，这些企业往往是通过Internet与合作伙伴和顾客交流沟通，通过Internet发展潜在客户。根据调查Internet上连接了7200多万个主机，我们知道还有许多的计算机通过各种方式与Internet连接。可以这样估计，大概有十亿的人们是你的网络邻居。政府上网工程的实施，使得各级政府与各个部门之间越来越多地利用网络进行信息交互，实现办公自动化。远程教育使得数以万计的学生可以在不同的地方，通过网络进行课堂教学、查阅资料以及传送作业等。所有这一切都说明，网络的应用正在改变人们的工作方式、生活方式与思维方式，对提高人们的生活质量产生了重要影响。网络已成为一个国家政治、经济、文化、科技、军事与综合国力的重要标志。,网络的重要性,1网络防攻击问题 要保证运行在网络环境中的信息系统的安全，首要问题是保证网络自身能够正常工作。2网络安全漏洞与对策的研究 网络信息系统的运行一定要涉及计算机硬件与操作系统、网络硬件与网络软件、数据库管理系统、应用软件、各种网络通信协议，以及各种计算机硬件与操作系统、应用软件都会存在一定的安全问题，它们不可能是百分之百无缺陷或无漏洞的。3网络中的信息安全问题 网络安全技术研究的第三个问题就是如何保证网络系统中信息的安全问题，即网络信息的安全保密问题。,网络安全的基本问题,4网络内部安全防范问题 除了以上列出的几种可能对网络安全构成威胁的因素外，还有一些威胁可能来自网络内部。5网络防病毒问题 网络病毒的危害是人们不可忽视的现实。据国际计算机安全协会（ICSA，International Computer Security Association）统计的2000年度病毒传播趋势报告：电子邮件成为计算机病毒主要传播媒介，感染率窜升至87。6网络数据备份与恢复、灾难恢复问题 随着信息技术的不断发展，近年来在世界范围内掀起了兴建网络环境、传播数据信息的热潮。随着计算机存储信息量的不断增长，数据备份和灾难恢复也成为引人关注的话题。,网络安全服务的主要内容,网络安全服务应该提供以下这些基本的服务功能。（1）保密性（confidentiality）保密性服务是为了防止被攻击而对网络传输的信息进行保护。（2）认证（authentication）认证服务是用来确定网络中信息传送的源节点用户与目的结点用户的身份是真实的，不出现假冒、伪装等现象，保证信息的真实性。（3）数据完整性（data integrity）数据完整性服务可以保证信息流、单个信息或信息中指定的字段，保证接收方所接收的信息与发送方发送的信息是一致的。（4）防抵赖（nonrepudiation）防抵赖服务是用来保证收发双方不能对已发送或已接收的信息予以否认。,（5）访问控制（access control）访问控制服务是控制与限定网络用户对主机、应用与网络服务的访问。,网络安全标准,可信计算机系统TC-SEC-NCSC是1983年公布的，1985年公布了可信网络说明（TNI）。可信计算机系统TC-SEC-NCSC评估准则将计算机系统安全等级分为4类7个等级，依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。D类系统的安全级别最低，属于非安全保护类。它不能用于多用户环境下的重要信息处理。D类只有一个级别。C类系统为用户定义访问控制要求的自主型保护类。它分为两个级别：C1级别系统具有一定的自主型访问控制机制，它只要求用户与数据分离。大部分UNIX系统可以满足C1级标准的要求。C2级别系统则要求用户定义访问控制机制，通过注册认证、对用户启动系统、打开文件的权限检查，防止非法用户与越权访问信息资源的安全保护。UNIX系统通常能满足C2标准的大部分要求，有一些厂商的最新版本可以全部满足C2级别系统要求。B类系统属于强制型安全保护类，即用户没有分配权限，只有网络管理员可以为用户分配权限。B类系统分为三个级别：B1级别系统要求能,满足强制型保护类，它要求系统的安全模型符合标准，对保密数据打印需要经过认定，系统管理员的权限要很明确。一些满足C2级的UNIX系统，可能满足某些B1级标准的要求；也有些软件公司的UNIX能够满足B1级标准的要求。B2级系统对安全性的要求很高，它属于结构保护级。B2级除了满足B级系统的要求之外，还需要满足：对所有与信息系统直接或间接连接的计算机与外设均要由系统管理员来分配访问权限；用户及信息系统的通信线路与设备都要可靠，并能够防御外界的电磁干扰；系统管理员与操作员的职能与权限要明确。B3级系统又称为安全域级系统，它要求系统通过硬件的方法去保护某个域的安全，例如通过内存管理的硬件去限制非授权用户对文件系统的访问企图。B3级要求系统在出现故障后能够自动恢复到原来的状态。A1级系统的安全要求最高。A1级系统要求提供的安全服务功能与B3级系统基本一致。A1级系统在安全审计、安全测试、配置管理等方面提出了更高的要求。A1级系统在系统安全模式设计与软、硬件实现上要通过认证，要求达到更高的安全可信度。,主要的网络安全技术,1防火墙技术 防火墙技术是指选用一种适合的网络协议和应用系统，可以和单位外部的网络相连通，也可以是不和外界连通的封闭式内部网络。2加密技术 信息交换加密技术分为两类，即对称加密和非对称加密。3虚拟专用网技术 近年来随着Internet的发展而迅速发展起来了另一种技术，即是虚拟专用网（Virtual Private Network，VPN）。现代企业越来越多地利用Internet资源来进行促销、销售、售后服 4安全隔离 网络的安全威胁和风险主要存在于三大层次，即物理层、协议层和应用层。,9.3 网络防火墙,防火墙的基本概念防火墙的基本结构防火墙的作用,防火墙的概念起源于中世纪的城堡防卫系统。那时人们为了保护城堡的安全，在城堡的周围挖了一条护城河，每个进入城堡的人都要经过一个吊桥，接受城门守卫的检查。在网络中，人们借鉴了这种思想，设计了一种网络安全防护系统（即网络防火墙）。防火墙（Firewall）就是在网络之间执行控制策略的系统，它包括硬件与软件。防火墙用来检查通过企业内部网与外部网的分组，典型的防火墙结构如下图所示。,防火墙的基本概念,防火墙结构,防火墙的基本结构,一般来说，防火墙可以由以下两个部分组成：包过滤路由器（packet filtering router）与应用级网关（application gateway）。1包过滤的基本概念 包过滤技术是基于路由器技术的。如下图所示给出了包过滤路由器的结构示意图。,包过滤路由器的结构示意图,2应用级网关 应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。该类型防火墙能够进行更加细化复杂的安全访问控制，并做精细的注册和稽核。根据是否允许两侧通信主机直接建立链路，又可以分为网关和代理两种。前者允许两侧建立直接连接，用某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包。而后者通过特定的代理程序（如FTP代理、Telnet代理、SMTP代理等）在两侧主机间复制传递数据，不允许建立直接连接。每一种应用需要相应的代理软件。在这里我们就不对它做详细介绍了。,防火墙的作用,最初的防火墙主要用于Internet服务控制，但随着研究工作的深入，已经扩展为提供以下4种基本服务。（1）服务控制。防火墙可以控制外部网络与内部网络用户相互访问的Internet服务类型。（2）方向控制。处于某种安全考虑，我们可以通过防火墙的设置，来限制允许企业内部网的用户访问外部Internet，而不允许外部Internet用户访问企业内部网，反之亦然（3）用户控制。处于某种安全，我们可以确定防火墙的设置，只允许企业内部网的哪些用户访问外部Internet的服务，而其他用户不能访问外部Internet的服务；同样也可以限制外部Internet的特定用户访问企业内部网的服务。（4）行为控制。通过防火墙的设置，可以控制如何使用某种特定的服务。,2防火墙的局限性 尽管防火墙是在内部网与外部网之间实施安全防范的系统，但还存在一定的局限性：（1）不能防范外部刻意的人为攻击。（2）不能防范内部用户攻击。（3）不能防止内部用户因误操作而造成口令失密受到的攻击。（4）很难防止病毒或者受病毒感染文件的传输。由于两种类型的防火墙系统各有优缺点,因而在实际的使用中常常根据实际需求结合起来使用。Internet的迅猛发展将带动防火墙技术的进一步完善。,