第 9章 计算机网络安全及管理技术本章将介绍计算机网络安全、防火墙的概念以及网络管理的协议和功能;重点讲述网络防火墙技术和网络管理技术。
9.1 计算机网络安全和防火墙技术
计算机网络安全:是指通过采取各种技术的和管理的措施,确保网络数据的可用性、完整性和保密性,其目的是确保经过网络传输和交换的数据不会发生增加、修改、
丢失和泄漏等。
随着计算机网络技术的发展,网络的安全和可靠成为不同使用层次的用户共同关心的问题。人们都在希望自己的网络能够更加可靠地运行,不受外来入侵者的干扰和破坏。解决好网络的安全和可靠性,是保证网络正常运行的前提和保障。
9.1.1 网络系统安全技术
1.计算机安全基础
⑴ 什么是计算机安全计算机安全是指保护数据处理系统而采取的技术的和管理的安全措施,保护计算机硬件、软件和数据不会因偶尔或故意的原因而遭到破坏、更改和泄密。
⑵ 计算机安全的主要内容计算机硬件的安全性软件安全性数据安全性计算机运行安全性
⑶ 破坏计算机安全的途径
窃取计算机用户口令、上机或通过网络非法访问数据、复制、删改软件和数据。
通过磁盘、网络等传播计算机病毒。
通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。
偷窃存储有重要数据的存储介质,如光盘、磁带、
硬盘、软盘等。“黑客”通过网络非法侵入计算机系统。
⑷ 保护计算机安全的措施
物理措施包括机房安全,严格的安全制度,采取防窃听、防辐射措施等。
数据加密,对磁盘上的数据或通过网络传输的数据进行加密。
防止计算机病毒,计算机病毒会对计算机系统的资源产生很大的危害,甚至造成重大损失。
采取安全访问措施,如使用身份认证和口令,设置数据或文件的访问权限。
采取其他安全措施,包括确保数据的完整性、计算机容错、数据备份和加强审计等。
⑸ 计算机安全等级
2.网络安全基础
⑴ 网络安全的内涵信息的保密性( Security)、
完整性( Integrity)、
可靠性( Reliability)、
实用性( Utility)、
真实性( Authenticity)、
占有性( Possession)。
⑵ 可能受到威胁的网络资源
–硬件设备,如服务器、交换机、
路由器、集线器和存储设备等;
–软件,如操作系统、应用软件、
开发工具等;
–数据或信息。
⑶ 网络安全问题日益突出的主要原因,
攻击计算机网络安全的主要途径
– 通过计算机辐射、接线头、传输线路截获信息。
– 绕过防火墙和用户口令而进入网络,获取信息或修改数据。
– 通过截获窃听破译数据。
–,黑客”通过电话网络尝试进入计算机网络。
– 向计算机网络注入“病毒”,造成网络瘫痪。
⑸ 攻击网络安全的方法和类型
假冒欺骗
指定路由
否认服务
数据截获
修改数据
3.网络安全控制措施
⑴ 物理安全
⑵ 访问控制
– 口令
– 网络资源属主、属性和访问权限
– 网络安全监视,网络监视通称为“网管”
– 审计和跟踪
⑶ 传输安全
网络上的加密可以分为三层
– 第一层为数据链路层加密第二层是传输层的加密第三层是应用层上的加密
– 数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,这种签名所起的作用与纸面上的亲笔签名是一致的。它主要通过加密算法和证实协议而实现,主要用于后面将介绍的邮件安全。
– 防火墙
– SSL协议
– 邮件安全据统计
9.1.2 防火墙
1.防火墙的基本概念
ía 2? í
£¨In tern et£?
ú 2? í
·à?e
2,设置防火墙的原因
2.防火墙技术分类
防火墙技术大体上分为两类:
⑴ 网络层防火墙
⑵ 应用层防火墙
Internet
·à?eμ í3
ú 2?
Web
·t
′ú àí
ía 2?
Web
·t
′ú àí
Web? ˉ à?÷
ó
get
x.html
return
x.html
·μ
3.防火墙应用系统
⑴ 单一网络过滤
ía 2? í
£¨I n t e r n e t £?
ú 2? í
1y
·óé?÷
双宿主网关系统
ía 2? í
£¨I n t e r n e t £?
ú 2? í ′ú àí
·t÷
í¨1 í¨2
123.123.123.123 10.10.10.10
T?÷? ÷? ú
主机过滤系统
ía 2? í
£¨In t e r n e t £?
ú 2? í
1y
·óé?÷
ó| ó? í? 1?
£¨ ′ú àí ·t÷ £?
⑷ 子网过滤
子网过滤防火墙比主机过滤防火墙增加了一个内部过滤路由器
ía 2? í
£¨I n t e r n e t £?
ú 2? í
ía 2? 1y
·óé?÷
ó| ó? í? 1?
£¨ ′ú àí ·t÷ £?
ú 2? 1y
·óé?÷
子网过滤系统
4.防火墙产品介绍
比较著名的有 CheckPoint,SunSoft,
IBM,Trusted Information
System等。其中,CheckPoint公司的 FireWall-1所占市场份额最大,
9.1.3 网络黑客与网络病毒
1.网络黑客与入侵者
⑴ 扫描器
⑵ 特洛伊木马( Trojan horse)
简称为特洛伊( Trojan)
2.网络病毒
8.1.4系统安全设计
1.Windows NT 4 Server安全特性
Windows NT 4 Server具备 C2级安全性,
⑴ 帐号规则
⑵ 用户权规则
⑶ 委托关系
⑷ 审核规则
⑸ 网络层防火墙功能
2.UNIX系统安全特性
⑴ 口令安全
⑵ 文件许可权
-rwxrwxrwx 1 usr group 70 Jul 28 21,12 testfile
-:表示文件类型。
第一个 rwx:表示文件属主的访问权限。
第二个 rwx:表示文件同组用户的访问权限。
第三个 rwx:表示其他用户的访问权限。
若某种许可被限制则相应的字母换为 -。
⑶ 目录许可
⑷ Umask命令
⑸ 设置用户 ID和同组用户 ID许可
⑹ Cp和 mv命令
⑺ Su和 newgrp命令
⑻ 文件加密
⑼ 其它安全问题
9.1.5 网络系统可靠性设计
1.系统容错与冗余设计
⑴ 软件容错
⑵ 硬件容错
⑶ 容错存储
⑷ 数据备份
⑸ 容错电源
9.2 网络管理
9.2.1 计算机网络管理功能按照 OSI管理框架,把网络管理任务分为:用户管理、配置管理、性能管理、故障管理、计费管理、安全管理和其他网络管理功能。
1.用户管理
2.配置管理
3.性能管理
4.故障管理
5.计费管理
6.安全管理
7.其他网络管理功能
9.2.2 网络管理层次结构
9.2.3 网络管理平台与网络管理工具
9.2.4 简单网络管理协议 SNMP
1.网络管理核心技术目前网络管理工具的核心主要由 SNMP技术与
RMON技术组成。
⑴ SNMP的发展历史
⑵ SNMP管理模型
⑶ SNMP体系结构的主要目标
⑷ SNMP操作命令
2.简单网络管理协议 SNMP的工作原理
图 9- 8 SNMP V.1的网络管理模型用户接口
N M C
代理
M I B
代理
M I B
代理
M I B
网络 S NM P S NM P S NM P
被管设备
2.SNMP的弱点没有伸缩型,在大型网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤的情况发生。它将收集数据的负担加在网络管理控制台上,在管理几个网段时也许能轻松的收集网络信息,当它们监控许多网段时,就非常困难了。
9.2.5 远程监控( RMON)
RMON MIB是由一组统计数据、分析数据和诊断数据构成,利用许多供应商生产的标准工具都可以显示出这些数据,因而它具有独立于供应商的远程网络分析的功能。
RMON分为嵌入式和分布式两种:
1.嵌入式 RMON
2.分布式 RMON
图 9- 12 RMON I及 RMON Ⅱ 在七层模型中的层次
9.2.6 常用网络管理软件集成
网络管理产品按照管理的规模,主要分为局域网管产品和分布式平台产品两大类:
⑴ 局域网网管
⑵ 分布式网管平台
1.HP Open View
HP 9000,SUN SPARC,IBM RS/6000、日立和 Windows NT等。
HP Open View平台是由三部分组成,
⑴ 用户表示服务
⑵ 数据管理服务
⑶ 公共服务
HP Open View具有以下特点:
自动发现网络拓扑结构图。
可进行性能分析。
故障报告数据分析。
多厂商支持
HP Open View
2.SUN NetManager
SUN NetManager ( SNM) 是一个基于 UNIX的网络管理系统,是最流行的 SNMP网管平台之一。它只能运行在 SPARC工作站环境下,提供包括最终用户工具的开发环境,提供故障、配置、记帐和安全管理服务。
SNM由三个关键组成部分:用户工具、分布式结构、
应用程序开发界面( API)。
SUN NetManager具有以下特点:
图形用户界面基于工业标准分布式体系结构
3.IBM NetView?
IBM NetView是从 HP公司取得其 OpenView 3.1的源代码的使用许可,并作了较大的扩展使其整体功能更加完备。它是一个综合化的企业级网络管理平台。主要由以下几部分组成:命令控制设施、硬件监控、会话监视、状态监视、性能监视、帮助功能和分布式管理员等。
它的产品可以运行在 IBM RS/6000的 AIX,OS/2和
MS Windows三种平台,其中尤以 AIX NetView/
6000的功能最强。
AIX NetView/6000的主要特性如下
⑴ 提供管理者设定和更新现有网络结构图。
⑵ 提供图形显示网络设备状态。
⑶ 网络图具有层次化和多视窗功能
⑷ 对各个站点间线路的利用率及传输量以统计图形显示其状态。
⑸ 提供可供管理者规划及设定所需的网络资料。
⑹ 对数据可以通过 SQL数据库统计,用列表或图形的方式显示
⑺ 通过动态侦测网络功能
⑻ 提供符合 RFC1066标准的 MIB,特定应用的 MIB对象可以很容易地加入数据库。
⑼ 把 RISC SYSTEM/6000工作站的错误日志转变成 SNMP报警而送往 NetView网管。
⑽ 进行远程 IP测试,TCP测试和 SNMP测试
⑾ 对网络进行安全管理。
4.Cabletron SPECTRUM
Cabletron SPECTRUM网管是采用面向对象技术和客户机/服务器结构进行设计的、
可扩展的、智能化的网络管理系统。它以归纳模型化技术 IMT的人工智能技术为核心以及面向对象的设计,使它理解设备之间的依赖关系。同时提供 Novell NetWare和
Bayan VINES的网关支持。
SPECTRUM具有以下特点:
故障独立。
多协议支持客户/服务器体系结构支持两种类型的设备轮询,Spectrum支持自动轮询(服务器启动)和手工轮询(操作者启动 )
方便使用的工具箱
5.Novell Manage Wise
⑴ 服务器管理
⑵ 网络基础设施管理
⑶ 客户端管理
6.网络管理工具 Cisco Works
Cisco Works是一个基于 SNMP的网络管理应用系统,它能集成到几种流行的网络管理平台,如 Sun工作站( SunOS和 Solaris)上的 SunNet Manager,Sun或
HP系统上的 HP OpenView,以及 IBM NetView for AIX。 Cisco Works建立在工业标准平台上,能监控设备状态,方便地维护配置信息,查找故障。
Cisco Works提供以下主要功能:
自动安装管理配置管理设备管理设备监控设备轮询通用命令管理器和通用命令调度器性能监控离线网络分析路径工具安全管理实时图形
9.2.7 计算机网络管理的实施
1.网络管理员
2.实施网络管理
3.布线系统的日常维护
4.关键设备的管理
5.IP地址的管理
9.2.8 计算机网络管理的发展趋势
1.网络管理层次化
2.网络管理集成化
3.网络管理 Web化