第8章-计算机网络管理与安全要点课件.ppt

1、第8章 计算机网络管理 与安全技术n8.1 网络管理概述n8.2 简单网络管理协议n8.3 网络管理系统n8.4 网络安全概述n8.5 网络安全技术n8.6 计算机病毒及防治8.1 8.1 网络管理概述网络管理概述8.1.1 8.1.1 什么是网络管理什么是网络管理n 一般而言，网络管理就是通过某种一般而言，网络管理就是通过某种方式对网络状态进行调整，使网络能正方式对网络状态进行调整，使网络能正常、高效地运行。常、高效地运行。n 网络管理有两种。第网络管理有两种。第1 1种是网络应用种是网络应用程序、用户账号（例如文件的使用）和程序、用户账号（例如文件的使用）和存取权限（许可）的管理。它们都是

2、与存取权限（许可）的管理。它们都是与软件有关的网络管理问题。第软件有关的网络管理问题。第2 2种是由构种是由构成网络的硬件所组成。这一类包括工作成网络的硬件所组成。这一类包括工作站、服务器、网卡、路由器网桥和集线站、服务器、网卡、路由器网桥和集线器交换机等。器交换机等。8.1.2 8.1.2 网络管理的目的网络管理的目的 n一个网络管理体系应该满足以下要求：一个网络管理体系应该满足以下要求：n（1 1）同时支持网络监视和控制两方面的）同时支持网络监视和控制两方面的能力；能力；n（2 2）能够管理所有的网络协议，容纳不）能够管理所有的网络协议，容纳不同的网络管理系统；同的网络管理系统；n（3 3

3、）提供尽可能大的管理范围，并且应）提供尽可能大的管理范围，并且应做到网络管理员可以从任何地方都能对做到网络管理员可以从任何地方都能对网络进行管理；网络进行管理；n（4 4）尽可能小的系统开销，提供较多网）尽可能小的系统开销，提供较多网络管理信息；络管理信息；n（5 5）网络管理的标准化，可以管理不同）网络管理的标准化，可以管理不同厂家的网络设备；厂家的网络设备；n（6 6）网络管理在网络安全性方面应能发）网络管理在网络安全性方面应能发挥更大的作用；挥更大的作用；n（7 7）网络管理应具有一定的智能，可以）网络管理应具有一定的智能，可以根据对网络统计信息的分析，发现并报根据对网络统计信息的分析，

4、发现并报告可能出现的网络故障。告可能出现的网络故障。8.1.3 8.1.3 网络管理的内容网络管理的内容n1 1自动发现网络拓扑结构和网络配置自动发现网络拓扑结构和网络配置n2 2告警功能告警功能n3 3监控功能监控功能n4 4监控能力监控能力 n5 5灵活性灵活性n6 6多厂商集成多厂商集成n7 7访问控制访问控制n8 8界面友好界面友好 n9 9编程接口和开发工具编程接口和开发工具n1010故障记录和报告生成故障记录和报告生成8.1.4 8.1.4 网络管理的功能网络管理的功能 n1 1配置管理配置管理n2 2性能管理性能管理n3 3故障管理故障管理n4 4计费管理计费管理n5 5安全管理

5、安全管理n6 6其它网络管理功能其它网络管理功能8.1.5 8.1.5 网络管理系统的构成网络管理系统的构成 n 现代计算机网络管理系统主要由现代计算机网络管理系统主要由4 4个个要素组成：若干被管的节点；至少一个要素组成：若干被管的节点；至少一个网络管理站；一种公共网络管理协议；网络管理站；一种公共网络管理协议；一种或多种管理信息库。图一种或多种管理信息库。图8.18.1说明了这说明了这些组成部分。些组成部分。LAN SNMP 协议 管理站 管理进程 B A 主机 路由器 被管理 节点 网桥 代理 打印机 A 图8.1 SNMP管理模型的组成部分8.2 8.2 简单网络管理协议简单网络管理协

6、议8.2.1 8.2.1 什么是什么是SNMPSNMPSNMPSNMP具有以下特点。具有以下特点。n（1 1）简单性。）简单性。n（2 2）可伸缩性）可伸缩性n（3 3）扩展性）扩展性n（4 4）健壮性）健壮性8.2.3 SNMP8.2.3 SNMP协议协议n1 1SNMPSNMP模型模型n SNMPSNMP主要用于主要用于OSIOSI七层模型中较低层七层模型中较低层次的管理，采用轮询监控方式。次的管理，采用轮询监控方式。n 管理者按一定的时间间隔向代理请管理者按一定的时间间隔向代理请求管理信息，根据管理信息判断是否有求管理信息，根据管理信息判断是否有异常事件发生。异常事件发生。n 当管理对象

7、发生紧急情况时，也可当管理对象发生紧急情况时，也可以使用称为以使用称为TrapTrap信息的报文主动报告。信息的报文主动报告。轮询监控的主要优点是对代理资源要求轮询监控的主要优点是对代理资源要求不高，不高，SNMPSNMP协议简单，易于实现；缺点协议简单，易于实现；缺点是管理通信开销大。是管理通信开销大。2 2SNMPSNMP基本原理基本原理n SNMP SNMP采用了采用了Client/ServerClient/Server模型的特模型的特殊形式：代理殊形式：代理/管理站模型。对网络的管管理站模型。对网络的管理与维护是通过管理工作站与理与维护是通过管理工作站与SNMPSNMP代理代理间的交互

8、工作完成的。每个间的交互工作完成的。每个SNMPSNMP从代理从代理负责回答负责回答SNMPSNMP管理工作站（主代理）关管理工作站（主代理）关于于MIBMIB定义信息的各种查询。定义信息的各种查询。8.3 8.3 网络管理系统网络管理系统n 网络管理系统提供了一组进行网络网络管理系统提供了一组进行网络管理的工具，网络管理人员依赖它进行管理的工具，网络管理人员依赖它进行网络管理。网络管理。8.3.1 8.3.1 网管系统的组成和功能网管系统的组成和功能n 网络管理的需求决定网管系统的组网络管理的需求决定网管系统的组成和规模，任何网管系统无论其规模大成和规模，任何网管系统无论其规模大小如何，基本

9、上都是由支持网管协议的小如何，基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。作平台和支撑网管协议的网络设备组成。n 网管软件平台提供网络系统的配置、网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基故障、性能以及网络用户分布方面的基本管理。本管理。n 网管支撑软件是运行于网管软件平网管支撑软件是运行于网管软件平台之上，支持面向持定网络功能、网络台之上，支持面向持定网络功能、网络设备和操作系统管理的支撑软件系统。设备和操作系统管理的支撑软件系统。n 网络管理软件可以在中央网络管理网络管理软件可以在

10、中央网络管理站点上以图形的方式显示网络设备，提站点上以图形的方式显示网络设备，提供网络中互连的交换机和路由器的自动供网络中互连的交换机和路由器的自动识别和自动拓扑结构图，提供网络的物识别和自动拓扑结构图，提供网络的物理视图和逻辑视图以便于漫游和执行想理视图和逻辑视图以便于漫游和执行想要的功能，从而使网络管理员无需对远要的功能，从而使网络管理员无需对远程站点上的每台设备进行物理检测就能程站点上的每台设备进行物理检测就能够全面地查看网络设备。够全面地查看网络设备。n 设备管理和监视软件可以使网络管设备管理和监视软件可以使网络管理员查看网络设备及所有接口的物理状理员查看网络设备及所有接口的物理状态，

11、并可从控制台上对网络设备进行配态，并可从控制台上对网络设备进行配置、性能监视和小型软件检修。置、性能监视和小型软件检修。n 其其GUIGUI的界面能够提供交换机和路由的界面能够提供交换机和路由器的实际图形显示，提供网络设备前、器的实际图形显示，提供网络设备前、后面板的物理视图，可连续动态地显示后面板的物理视图，可连续动态地显示路由器、交换机、集线器或适配器的最路由器、交换机、集线器或适配器的最新物理视图，探测设备的型号、软件版新物理视图，探测设备的型号、软件版本、图像类型以及所安装接口的数目和本、图像类型以及所安装接口的数目和类型等。类型等。8.3.2 8.3.2 网管软件的分类网管软件的分类

12、n1 1按照管理对象分类按照管理对象分类n2 2按照管理范畴分类按照管理范畴分类n3 3按照管理功能分类按照管理功能分类n4 4按照发展历史分类按照发展历史分类 8.3.3 8.3.3 网管软件的技术热点网管软件的技术热点n1 1开放性开放性 n2 2综合性综合性 n3 3智能化智能化n4 4安全性安全性 n5 5基于基于WebWeb的管理的管理 8.4 网络安全概述8.4.1 8.4.1 网络安全的概念网络安全的概念n 网络安全是指网络系统的硬件、软网络安全是指网络系统的硬件、软件及其系统中的数据和信息，不会由于件及其系统中的数据和信息，不会由于故障或偶然等原因而遭到破坏。故障或偶然等原因而

13、遭到破坏。n 国际标准化组织（国际标准化组织（ISOISO）将计算机网）将计算机网络系统的安全定义为络系统的安全定义为“为数据处理系统为数据处理系统建立所采取的技术和管理的安全保护，建立所采取的技术和管理的安全保护，保护计算机网络系统的硬件、软件和数保护计算机网络系统的硬件、软件和数据不因偶然和恶意的原因而遭到破坏、据不因偶然和恶意的原因而遭到破坏、更改和泄露更改和泄露”。网络安全具有下列主要特征。网络安全具有下列主要特征。n1 1保密性保密性n2 2完整性完整性n3 3可用性可用性n4 4可控性可控性8.4.2 8.4.2 网络安全问题的主要原因网络安全问题的主要原因n主要原因如下主要原因如

14、下:n（1 1）网络的资源共享给某些不法分子提）网络的资源共享给某些不法分子提供了有利可乘的机会。供了有利可乘的机会。n（2 2）操作系统的安全性。）操作系统的安全性。n（3 3）来自内部网用户的安全威胁。）来自内部网用户的安全威胁。n（4 4）缺乏有效的手段去监视、评估网络）缺乏有效的手段去监视、评估网络系统的安全性，网络认证环节薄弱。系统的安全性，网络认证环节薄弱。n（5 5）由于大型网络系统内运行多种网络）由于大型网络系统内运行多种网络协议，如协议，如TCP/IPTCP/IP、IPX/SPXIPX/SPX等。等。n（6 6）未能对来自）未能对来自InternetInternet的电子邮件

15、挟的电子邮件挟带的病毒及带的病毒及WebWeb浏览可能存在的恶意浏览可能存在的恶意Java/ActiveXJava/ActiveX控件进行有效控制。控件进行有效控制。n（7 7）应用服务的安全。）应用服务的安全。n（8 8）网络安全技术的不先进，不可避免）网络安全技术的不先进，不可避免地使网络中传输的数据和信息被窃取。地使网络中传输的数据和信息被窃取。如防火墙。如防火墙。n（9 9）没有正视黑客、病毒和计算机犯罪）没有正视黑客、病毒和计算机犯罪所造成的严重后果，没有投入一定的人所造成的严重后果，没有投入一定的人力、财力和物力来加强网络的安全。力、财力和物力来加强网络的安全。8.5 8.5 网络

16、安全技术网络安全技术8.5.1 8.5.1 密码学技术密码学技术n 密码技术可以隐藏和保护需要保密密码技术可以隐藏和保护需要保密的信息，未经授权者不允许提取信息。的信息，未经授权者不允许提取信息。密码系统一般从下列密码系统一般从下列3 3个方面进行分类。个方面进行分类。n 密码技术可以隐藏和保护需要保密密码技术可以隐藏和保护需要保密的信息，未经授权者不允许提取信息。的信息，未经授权者不允许提取信息。密码系统一般从下列密码系统一般从下列3个方面进行分类。个方面进行分类。n1 1按由明文转换为密文的操作分为：置按由明文转换为密文的操作分为：置换密码和易位密码。换密码和易位密码。n2 2按明文的处理

17、方法分为：分组密码和按明文的处理方法分为：分组密码和序列密码序列密码8.5.2 8.5.2 认证技术认证技术n 认证技术主要解决通信中双方的身认证技术主要解决通信中双方的身份认可。目前，计算机认证方式有口令、份认可。目前，计算机认证方式有口令、密钥、标识符、账户名等。一般来说，密钥、标识符、账户名等。一般来说，用人的生理特征如声音、指纹等认证的用人的生理特征如声音、指纹等认证的安全性很高，但这种技术实现起来很困安全性很高，但这种技术实现起来很困难，成本也很高，难以普及。目前，认难，成本也很高，难以普及。目前，认证技术主要有消息认证和身份认证。证技术主要有消息认证和身份认证。n1 1消息认证消息

18、认证n2 2身份认证身份认证8.5.4 8.5.4 防火墙技术防火墙技术n1 1防火墙的概念防火墙的概念n 计算机网络防火墙是设置在被保护计算机网络防火墙是设置在被保护网络和外部网络之间的一道屏障，以防网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入，止发生不可预测的、潜在破坏性的侵入，如黑客攻击、病毒破坏、资源被盗用或如黑客攻击、病毒破坏、资源被盗用或文件被篡改等。文件被篡改等。n 它可通过监测、限制、更改跨越防它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此络内部的信息、结构和运行状况，

19、以此来实现网络的安全保护。来实现网络的安全保护。n 防火墙是一种安全有效的防范技术，防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措是访问控制机制、安全策略和防入侵措施。防火墙包含着一对矛盾的机制；一施。防火墙包含着一对矛盾的机制；一方面它限制数据流通，另一方面它又允方面它限制数据流通，另一方面它又允许数据流通。许数据流通。2 2防火墙的类型防火墙的类型 n（1 1）数据包过滤技术是一种基于路由器）数据包过滤技术是一种基于路由器的防火墙。的防火墙。n（2 2）应用级网关技术是一种建立在网络）应用级网关技术是一种建立在网络应用层的防火墙，应用层的防火墙，n（3 3）代理服务是针

20、对数据包过滤）代理服务是针对数据包过滤8.6 8.6 计算机病毒及防治计算机病毒及防治8.6.1 8.6.1 计算机病毒简介计算机病毒简介n 计算机病毒是一段人工编制的破坏计算机病毒是一段人工编制的破坏或损坏计算机中的文件、计算机软件、或损坏计算机中的文件、计算机软件、及硬件的程序代码。及硬件的程序代码。n 我国在我国在19941994年年2 2月月1818日正式颁布了日正式颁布了中华人民共和国计算机信息系统安全中华人民共和国计算机信息系统安全保护条例保护条例，其中明确指出：，其中明确指出：“计算机计算机病毒，是指编制或者在计算机程序中插病毒，是指编制或者在计算机程序中插入破坏计算机功能或者毁

21、坏数据，影响入破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算计算机使用，并能自我复制的一组计算机指令或者程序代码。机指令或者程序代码。”8.6.2 8.6.2 计算机病毒的特征及分类计算机病毒的特征及分类n1 1计算机病毒的特征计算机病毒的特征n（1 1）传染性）传染性n（2 2）潜伏性）潜伏性n（3 3）隐蔽性）隐蔽性n（4 4）破坏性）破坏性2 2计算机病毒的分类计算机病毒的分类n（1 1）引导型病毒由引导动作侵入内存，）引导型病毒由引导动作侵入内存，如果是用已感染的磁盘引导，那么病毒如果是用已感染的磁盘引导，那么病毒将会立即感染到硬盘。将会立即感染到硬盘。n（2 2）文件型病毒只是感染磁盘上的可执）文件型病毒只是感染磁盘上的可执行文件。行文件。n（3 3）混合型病毒既具有引导型病毒的特）混合型病毒既具有引导型病毒的特点，也具有文件型病毒的特点，这样的点，也具有文件型病毒的特点，这样的病毒更加扩大了病毒的传染途径，更增病毒更加扩大了病毒的传染途径，更增加了病毒的传染性以及存活率。加了病毒的传染性以及存活率。8.6.3 8.6.3 计算机病毒的防治计算机病毒的防治n1 1判断计算机中病毒的方法判断计算机中病毒的方法n（1 1）病毒码扫描法）病毒码扫描法n（2 2）总对比法）总对比法n（3 3）智能检测法）智能检测法