計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)

計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全：是指通過采取各種技術(shù)的和管理的措施，確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性，其目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄漏等。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第1頁。⑵計(jì)算機(jī)安全的主要內(nèi)容計(jì)算機(jī)硬件的安全性

軟件安全性

數(shù)據(jù)安全性

計(jì)算機(jī)運(yùn)行安全性計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第2頁。⑶破壞計(jì)算機(jī)安全的途徑竊取計(jì)算機(jī)用戶口令、上機(jī)或通過網(wǎng)絡(luò)非法訪問數(shù)據(jù)、復(fù)制、刪改軟件和數(shù)據(jù)。通過磁盤、網(wǎng)絡(luò)等傳播計(jì)算機(jī)病毒。通過截取計(jì)算機(jī)工作時(shí)產(chǎn)生的電磁波輻射或通信線路來破譯計(jì)算機(jī)數(shù)據(jù)。偷竊存儲(chǔ)有重要數(shù)據(jù)的存儲(chǔ)介質(zhì)，如光盤、磁帶、硬盤、軟盤等?！昂诳汀蓖ㄟ^網(wǎng)絡(luò)非法侵入計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第3頁。2.網(wǎng)絡(luò)安全基礎(chǔ)⑴網(wǎng)絡(luò)安全的內(nèi)涵

信息的保密性（Security）、

完整性（Integrity）、

可靠性（Reliability）、

實(shí)用性（Utility）、

真實(shí)性（Authenticity）、

占有性（Possession）。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第4頁。⑵可能受到威脅的網(wǎng)絡(luò)資源硬件設(shè)備，如服務(wù)器、交換機(jī)、路由器、集線器和存儲(chǔ)設(shè)備等；軟件，如操作系統(tǒng)、應(yīng)用軟件、開發(fā)工具等；數(shù)據(jù)或信息。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第5頁。⑶網(wǎng)絡(luò)安全問題日益突出的主要原因：攻擊計(jì)算機(jī)網(wǎng)絡(luò)安全的主要途徑通過計(jì)算機(jī)輻射、接線頭、傳輸線路截獲信息。繞過防火墻和用戶口令而進(jìn)入網(wǎng)絡(luò)，獲取信息或修改數(shù)據(jù)。過截獲竊聽破譯數(shù)據(jù)?！昂诳汀蓖ㄟ^電話網(wǎng)絡(luò)嘗試進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)。向計(jì)算機(jī)網(wǎng)絡(luò)注入“病毒”，造成網(wǎng)絡(luò)癱瘓。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第6頁。⑸計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅截獲：攻擊者從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容中斷：攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信篡改：攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文偽造：攻擊者偽造信息在網(wǎng)絡(luò)上傳送計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第7頁。主動(dòng)攻擊與被動(dòng)攻擊主動(dòng)攻擊：指攻擊者對(duì)某個(gè)連接的中的PDU進(jìn)行各種處理（更改、刪除、遲延、復(fù)制、偽造等。）。可檢測。主動(dòng)攻擊分為四種：1.更改報(bào)文流2.拒絕報(bào)文服務(wù)3.偽造連接初始化4.惡意程序計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第8頁。惡意程序蠕蟲病毒特洛伊木馬（Trojanhorse）簡稱為特洛伊（Trojan）邏輯炸彈計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第9頁。計(jì)算機(jī)網(wǎng)絡(luò)安全的主要內(nèi)容1.保密性2.安全協(xié)議的設(shè)計(jì)3.接入控制以上計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容都與密碼技術(shù)緊密相關(guān)。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第10頁。加密系統(tǒng)的組成 待加密的報(bào)文，也稱明文。加密后的報(bào)文，也稱密文。加密、解密裝置稱算法。加密和解密的密鑰，它可以是數(shù)字，詞匯或者語句。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第11頁。密碼通信系統(tǒng)的模型圖6.1密碼通信系統(tǒng)的模型計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第12頁。密碼學(xué)與密碼體制 1．常規(guī)密鑰密碼體制（1）常規(guī)密鑰密碼體制的加密方式：序列（代替）密碼、分組（置換）密碼。（2）常規(guī)密鑰密碼體制的特點(diǎn)：對(duì)稱密鑰密碼系統(tǒng)具有加解密速度快、使用的加密算法比較簡便高效、密鑰簡短。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第13頁。3．?dāng)?shù)據(jù)加密的實(shí)現(xiàn)方式（1）軟件加密一般是用戶在發(fā)送信息前，先調(diào)用信息安全模塊對(duì)信息進(jìn)行加密，然后發(fā)送出去，到達(dá)接收方后，由用戶用相應(yīng)的解密軟件進(jìn)行解密，還原成明文。（2）硬件加密可以采用標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議（比如SNMP、CMIP等）來進(jìn)行管理，也可以采用統(tǒng)一的自定義網(wǎng)絡(luò)管理協(xié)議進(jìn)行管理。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第14頁。DES算法 DES是對(duì)稱密鑰加密的算法，DES算法大致可以分成四個(gè)部分：（1）初始置換（2）迭代過程（3）逆置換和（4）子密鑰生成計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第15頁。IDEA（國際數(shù)據(jù)加密算法）算法IDEA算法可用于加密和解密。主要有三種運(yùn)算：異或、模加、模乘，容易用軟件和硬件來實(shí)現(xiàn)。IDEA的速度：現(xiàn)在IDEA的軟件實(shí)現(xiàn)同DES的速度一樣塊。IDEA的密碼安全分析：IDEA的密鑰長度是128位，是DES的密鑰長度的兩倍。在窮舉攻擊的情況下，IDEA將需要經(jīng)過2128次加密才能恢復(fù)出密鑰。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第16頁。網(wǎng)絡(luò)管理計(jì)算機(jī)網(wǎng)絡(luò)管理功能

按照OSI管理框架，把網(wǎng)絡(luò)管理任務(wù)分為： 1.安全管理

2.配置管理

3.性能管理

4.故障管理

5.計(jì)費(fèi)管理計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第17頁。配置管理目的配置管理的目的是為了實(shí)現(xiàn)某個(gè)特定功能或使網(wǎng)絡(luò)性能達(dá)到最佳。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第18頁。配置管理監(jiān)控對(duì)象（１）

網(wǎng)絡(luò)資源及其活動(dòng)狀態(tài)；（２）

網(wǎng)絡(luò)資源之間的關(guān)系；（３）

新資源的引入和舊資源的刪除。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第19頁。配置管理操作（１）

鑒別被管對(duì)象，標(biāo)識(shí)被管對(duì)象；（２）

設(shè)置被管對(duì)象的參數(shù)；（３）

改變被管對(duì)象的操作特性，報(bào)告被管對(duì)象的狀態(tài)變化；（４）

刪除被管對(duì)象。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第20頁。性能管理的組成

典型的網(wǎng)絡(luò)性能管理分成性能監(jiān)測和網(wǎng)絡(luò)控制兩部分。性能管理以網(wǎng)絡(luò)性能為準(zhǔn)則收集、分析和調(diào)整被管對(duì)象的狀態(tài)，其目的是保證網(wǎng)絡(luò)可以提供可靠、連續(xù)的通信能力并使用最少的網(wǎng)絡(luò)資源和具有最少的時(shí)延。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第21頁。性能管理的功能（１）從被管對(duì)象中收集與性能有關(guān)的數(shù)據(jù)；（２）被管對(duì)象的性能統(tǒng)計(jì)，與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生、記錄和維護(hù)；（３）分析當(dāng)前統(tǒng)計(jì)數(shù)據(jù)以檢測性能故障，產(chǎn)生性能告警、報(bào)告性能事件；（４）將當(dāng)前統(tǒng)計(jì)數(shù)據(jù)的分析結(jié)果與歷史模型比較以預(yù)測性能的長期變化；計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第22頁。（5）形成改進(jìn)性能評(píng)價(jià)準(zhǔn)則和性能門限；（6）以保證網(wǎng)絡(luò)的性能為目的，對(duì)被管對(duì)象和被管對(duì)象組的控制。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第23頁。故障管理的目的故障管理是網(wǎng)絡(luò)管理功能中與檢測設(shè)備故障、故障設(shè)備的診斷、故障設(shè)備的恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供連續(xù)、可靠的服務(wù)。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第24頁。故障管理的功能（１）檢測被管對(duì)象的差錯(cuò)，或接收被管對(duì)象的差錯(cuò)事件通報(bào)；（２）當(dāng)存在空閑設(shè)備或迂回路由時(shí)，提供新的網(wǎng)絡(luò)資源用于服務(wù)；（３）創(chuàng)建和維護(hù)差錯(cuò)日志庫，并對(duì)差錯(cuò)日志進(jìn)行分析；（４）進(jìn)行診斷和測試，以追蹤和確定故障位置、故障性質(zhì)；（５）通過資源更換或維護(hù)，以及其他恢復(fù)措施使其重新開始服務(wù)。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第25頁。計(jì)費(fèi)管理的目的計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價(jià)，以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理者還可以規(guī)定用戶可使用的最大費(fèi)用，從而控制用戶過多占用和使用網(wǎng)絡(luò)資源。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第26頁。計(jì)費(fèi)管理的功能（１）

統(tǒng)計(jì)網(wǎng)絡(luò)的利用率等效益數(shù)據(jù)，以使網(wǎng)絡(luò)管理人員確定不同時(shí)期和時(shí)間段的費(fèi)率；（２）

根據(jù)用戶使用的特定業(yè)務(wù)在若干用戶之間公平、合理地分?jǐn)傎M(fèi)用；（３）

允許采用信用記帳方式收取費(fèi)用，包括提拱有關(guān)資源使用的帳單審查；（４）

當(dāng)多個(gè)資源同時(shí)用來提供一項(xiàng)服務(wù)時(shí)，能計(jì)算各個(gè)資源的費(fèi)用。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第27頁。安全管理的目的（１）

網(wǎng)絡(luò)數(shù)據(jù)的私有性（保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲?。唬ǎ玻?/p>

授權(quán)（防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息）；（３）

訪問控制（控制對(duì)網(wǎng)絡(luò)資源的訪問）。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第28頁。安全管理的功能（１）

創(chuàng)建、刪除，控制安全服務(wù)和機(jī)制；（２）

與安全相關(guān)信息的分發(fā)；（３）

與安全相關(guān)事件的通報(bào)。網(wǎng)絡(luò)管理功能、系統(tǒng)管理功能與其他管理協(xié)議和服務(wù)之間的關(guān)系如圖15-1所示。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第29頁。圖系統(tǒng)管理域與系統(tǒng)管理功能之間的關(guān)系計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第30頁。SNMP設(shè)計(jì)原則SNMP的設(shè)計(jì)原則是簡單性(Simplicity)和擴(kuò)展性(Extensibility)。擴(kuò)展性主要是通過將管理信息模型與協(xié)議、被管理對(duì)象的詳細(xì)規(guī)定(MIB)分離實(shí)現(xiàn)；簡單性則是通過信息類型的限制、請(qǐng)求/響應(yīng)機(jī)制而取得。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第31頁。圖15-4SNMP管理模型SNMP的管理模型計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第32頁。SNMP信息模型

所有對(duì)象類型都用下列模板定義：

Descriptor:唯一的文本（可打印字符串名

ObjectId:ISO對(duì)象標(biāo)識(shí)符

Syntax:語法

Definition:文本定義

Access:只讀、只寫、讀寫或不可存取

Status:狀態(tài)（mandatory,optional,orobsolete）計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第33頁。SNMP共同體使用SNMP進(jìn)行通信的實(shí)體被稱作SNMP應(yīng)用實(shí)體。SNMP代理與一系列SNMP應(yīng)用實(shí)體的集合被稱作SNMP共同體(SNMPCommunity)。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第34頁。SNMP鑒別機(jī)制鑒別報(bào)文在SNMP共同體中是否可靠的規(guī)則集合被稱為鑒別機(jī)制(AuthenticationScheme)。利用一種或幾種鑒別機(jī)制鑒別一個(gè)SNMP報(bào)文是否可靠的訪問被稱為鑒別訪問(AuthenticationService)。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第35頁。SNMP委托代理(ProxyAgent)

在一種SNMP訪問策略中，SNMP代理所在的網(wǎng)絡(luò)元素上并不包含共同體描述表所指定的MIB視圖，則該訪問策略被稱為SNMP委托訪問策略。委托訪問策略中的SNMP代理被稱為SNMP委托代理。如圖15-6所示。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第36頁。圖15-6SNMP委托代理的應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第37頁。2.簡單網(wǎng)絡(luò)管理協(xié)議SNMP的工作原理計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第38頁。2.SNMP的弱點(diǎn)

沒有伸縮型，在大型網(wǎng)絡(luò)中，輪詢會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)管理通信量，因而導(dǎo)致通信擁擠的情況發(fā)生。它將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺(tái)上，在管理幾個(gè)網(wǎng)段時(shí)也許能輕松的收集網(wǎng)絡(luò)信息，當(dāng)它們監(jiān)控許多網(wǎng)段時(shí)，就非常困難了。計(jì)算機(jī)網(wǎng)絡(luò)安全及管理技術(shù)知識(shí)全文共40頁，當(dāng)前為第39頁。6.網(wǎng)絡(luò)管理工具CiscoWorksCiscoWorks是一個(gè)基于SNMP的網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)，它能集成到幾種流行的網(wǎng)絡(luò)管理平臺(tái)，如Sun工作站（SunOS和Sola