復印機其它網(wǎng)絡基礎

第9章計算機網(wǎng)絡安全及管理技術本章將介紹計算機網(wǎng)絡安全、防火墻的概念以及網(wǎng)絡管理的協(xié)議和功能；重點講述網(wǎng)絡防火墻技術和網(wǎng)絡管理技術。9.1

計算機網(wǎng)絡安全和防火墻技術計算機網(wǎng)絡安全：是指通過采取各種技術的和管理的措

施，確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性，其目的

是確保經(jīng)過網(wǎng)絡傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄漏等。隨著計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡的安全和可靠成為不同使用層次的用戶共同關心的問題。人們都在希望自己的網(wǎng)絡能夠更加可靠地運行，不受外來入侵者的干擾和破壞。解決好網(wǎng)絡的安全和可靠性，是保證網(wǎng)絡正常運行的前提和保障。9.1.1

網(wǎng)絡系統(tǒng)安全技術1.計算機安全基礎⑴什么是計算機安全計算機安全是指保護數(shù)據(jù)處理系統(tǒng)而采取的技術的和管理的安全措施，保護計算機硬件、軟件和數(shù)據(jù)不會因偶爾或故意的原因而遭到破壞、更改和泄密。⑵計算機安全的主要內(nèi)容計算機硬件的安全性軟件安全性數(shù)據(jù)安全性計算機運行安全性⑶破壞計算機安全的途徑竊取計算機用戶口令、上機或通過網(wǎng)絡非法訪問數(shù)據(jù)、復制、刪改軟件和數(shù)據(jù)。通過磁盤、網(wǎng)絡等傳播計算機病毒。通過截取計算機工作時產(chǎn)生的電磁波輻射或通信線路來破譯計算機數(shù)據(jù)。偷竊存儲有重要數(shù)據(jù)的存儲介質(zhì)，如光盤、磁帶、硬盤、軟盤等?！昂诳汀蓖ㄟ^網(wǎng)絡非法侵入計算機系統(tǒng)。⑷保護計算機安全的措施物理措施包括機房安全，嚴格的安全制度，采取防竊聽、防輻射措施等。數(shù)據(jù)加密，對磁盤上的數(shù)據(jù)或通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)進行加密。防止計算機病毒，計算機病毒會對計算機系統(tǒng)的資源產(chǎn)生很大的危害，甚至造成重大損失。采取安全訪問措施，如使用身份認證和口令，設置數(shù)據(jù)或文件的訪問權限。采取其他安全措施，包括確保數(shù)據(jù)的完整性、計算機容錯、數(shù)據(jù)備份和加強審計等。⑸計算機安全等級2.網(wǎng)絡安全基礎⑴網(wǎng)絡安全的內(nèi)涵信息的保密性（Security）、完整性（Integrity）、可靠性（Reliability）、實用性（Utility）、真實性（Authenticity）、占有性（Possession）。⑵可能受到威脅的網(wǎng)絡資源–硬件設備，如服務器、交換機、路由器、集線器和存儲設備等；–軟件，如操作系統(tǒng)、應用軟件、開發(fā)工具等；–數(shù)據(jù)或信息。⑶網(wǎng)絡安全問題日益突出的主要原因：攻擊計算機網(wǎng)絡安全的主要途徑通過計算機輻射、接線頭、傳輸線路截獲信息。繞過防火墻和用戶口令而進入網(wǎng)絡，獲取信息或修改數(shù)據(jù)。通過截獲竊聽破譯數(shù)據(jù)。“黑客”通過電話網(wǎng)絡嘗試進入計算機網(wǎng)絡。向計算機網(wǎng)絡注入“病毒”，造成網(wǎng)絡癱瘓。⑸攻擊網(wǎng)絡安全的方法和類型假冒欺騙指定路由否認服務數(shù)據(jù)截獲修改數(shù)據(jù)3.網(wǎng)絡安全控制措施⑴物理安全⑵訪問控制口令網(wǎng)絡資源屬主、屬性和訪問權限網(wǎng)絡安全監(jiān)視，網(wǎng)絡監(jiān)視通稱為“網(wǎng)管”審計和跟蹤⑶傳輸安全網(wǎng)絡上的加密可以分為三層第一層為數(shù)據(jù)鏈路層加密第二層是傳輸層的加密

第三層是應用層上的加密數(shù)字簽名是數(shù)據(jù)的接收者用來證實數(shù)據(jù)的發(fā)送者確實無誤的一種方法，這種簽名所起的作用與紙面上的親筆簽名是一致的。它主要通過加密算法和證實協(xié)議而實現(xiàn)，主要用于后面將介紹的郵件安全。防火墻SSL協(xié)議郵件安全據(jù)統(tǒng)計9.1.2

防火墻1.防火墻的基本概念外部網(wǎng)絡（Internet）內(nèi)部網(wǎng)絡防火墻2.

設置防火墻的原因2．防火墻技術分類防火墻技術大體上分為兩類：⑴網(wǎng)絡層防火墻⑵應用層防火墻Internet防火墻系統(tǒng)內(nèi)部Web服務代理外部Web服務代理Web瀏覽器請求getx.htmlreturnx.html返回3.防火墻應用系統(tǒng)⑴單一網(wǎng)絡過濾外部網(wǎng)絡（Internet）內(nèi)部網(wǎng)絡過濾路由器雙宿主網(wǎng)關系統(tǒng)外部網(wǎng)絡（Internet）內(nèi)部網(wǎng)絡網(wǎng)卡1代理服務器網(wǎng)卡2123.123.123.12310.10.10.10雙宿主主機主機過濾系統(tǒng)外部網(wǎng)絡（Internet）內(nèi)部網(wǎng)絡應用網(wǎng)關

代理服務器）過濾路由器（⑷子網(wǎng)過濾子網(wǎng)過濾防火墻比主機過濾防火墻增加了一個內(nèi)部過濾路由器外部網(wǎng)絡（Internet）內(nèi)部網(wǎng)絡外部過濾路由器應用網(wǎng)關（代理服務器）內(nèi)部過濾路由器子網(wǎng)過濾系統(tǒng)4.防火墻產(chǎn)品介紹比較著名的有CheckPoint，SunSoft，IBM，Trusted

InformationSystem等。其中，CheckPoint公司的FireWall-1所占市場份額最大.9.1.3

網(wǎng)絡黑客與網(wǎng)絡病毒網(wǎng)絡黑客與入侵者⑴掃描器⑵特洛伊木馬（Trojan

horse）簡稱為特洛伊（Trojan）網(wǎng)絡病毒8.1.4系統(tǒng)安全設計1.Windows

NT

4

Server安全特性Windows

NT

4

Server具備C2級安全性，⑴帳號規(guī)則⑵用戶權規(guī)則⑶委托關系⑷審核規(guī)則⑸網(wǎng)絡層防火墻功能2.UNIX系統(tǒng)安全特性⑴口令安全⑵文件許可權-rwxrwxrwx

1

usr

group

70

Jul

28

21：12

testfile-：表示文件類型。第一個rwx：表示文件屬主的訪問權限。第二個rwx：表示文件同組用戶的訪問權限。第三個rwx：表示其他用戶的訪問權限。若某種許可被限制則相應的字母換為-。⑶目錄許可⑷Umask命令⑸設置用戶ID和同組用戶ID許可⑹Cp和mv命令⑺Su和newgrp命令⑻文件加密⑼其它安全問題9.1.5

網(wǎng)絡系統(tǒng)可靠性設計1.系統(tǒng)容錯與冗余設計⑴軟件容錯⑵硬件容錯⑶容錯存儲⑷數(shù)據(jù)備份⑸容錯電源9.2

網(wǎng)絡管理計算機網(wǎng)絡管理功能按照OSI管理框架，把網(wǎng)絡管理任務分為：用戶管理、配置管理、性能管理、故障管理、計費管理、安全管理和其他網(wǎng)絡管理功能。用戶管理配置管理性能管理故障管理計費管理安全管理其他網(wǎng)絡管理功能9.2.2

網(wǎng)絡管理層次結構9.2.3網(wǎng)絡管理平臺與網(wǎng)絡管理工具9.2.4簡單網(wǎng)絡管理協(xié)議SNMP1.網(wǎng)絡管理核心技術目前網(wǎng)絡管理工具的核心主要由SNMP技術與RMON技術組成。⑴SNMP的發(fā)展歷史⑵SNMP管理模型⑶SNMP體系結構的主要目標⑷SNMP操作命令2.簡單網(wǎng)絡管理協(xié)議SNMP的工作原理圖9－8

SNMP

V.1的網(wǎng)絡管理模型用

戶

接

口N

M

C代

理M I

B代

理M I

B代

理M I

B網(wǎng)

絡S

N

M

PS

N

M

PS

N

M

P被

管

設

備2.SNMP的弱點沒有伸縮型，在大型網(wǎng)絡中，輪詢會產(chǎn)生巨大的網(wǎng)絡管理通信量，因而導致通信擁擠的情況發(fā)生。它將收集數(shù)據(jù)的負擔加在網(wǎng)絡管理控制臺上，在管理幾個網(wǎng)段時也許能輕松的收集網(wǎng)絡信息，當它們監(jiān)控許多網(wǎng)段時，就非常困難了。9.2.5

遠程監(jiān)控（RMON）RMONMIB是由一組統(tǒng)計數(shù)據(jù)、分析數(shù)據(jù)和診斷數(shù)據(jù)構成，利用許多供應商生產(chǎn)的標準工具都可以顯示出這些數(shù)據(jù)，因而它具有獨立于供應商的遠程網(wǎng)絡分析的功能。RMON分為嵌入式和分布式兩種：嵌入式RMON分布式RMON圖9－12RMONI及RMONⅡ在七層模型中的層次9.2.6

常用網(wǎng)絡管理軟件集成網(wǎng)絡管理產(chǎn)品按照管理的規(guī)模，主要分為局域網(wǎng)管產(chǎn)品和分布式平臺產(chǎn)品兩大類：⑴局域網(wǎng)網(wǎng)管⑵分布式網(wǎng)管平臺1.HP

Open

ViewHP

9000、SUN

SPARC、IBM

RS/6000、日立和Windows

NT等。HP

Open

View平臺是由三部分組成:⑴用戶表示服務⑵數(shù)據(jù)管理服務⑶公共服務HP

Open

View具有以下特點： 自動發(fā)現(xiàn)網(wǎng)絡拓撲結構圖?？蛇M行性能分析。故障報告數(shù)據(jù)分析。多廠商支持HP

Open

View2.SUN

NetManagerSUN

NetManager

（SNM）是一個基于UNIX的網(wǎng)絡管理系統(tǒng)，是最流行的SNMP網(wǎng)管平臺之一。它只能運行在SPARC工作站環(huán)境下，提供包括最終用戶工具的開發(fā)環(huán)境，提供故障、配置、記帳和安全管理服務。SNM由三個關鍵組成部分：用戶工具、分布式結構、應用程序開發(fā)界面（API）。SUN

NetManager具有以下特點：圖形用戶界面

基于工業(yè)標準

分布式體系結構3.IBM

NetViewIBM

NetView是從HP公司取得其OpenView

3.1的源代碼的使用許可，并作了較大的擴展使其整體功能更加完備。它是一個綜合化的企業(yè)級網(wǎng)絡管理平臺。主要由以下幾部分組成：命令控制設施、硬件監(jiān)控、會話監(jiān)視、狀態(tài)監(jiān)視、性能監(jiān)視、幫助功能和分布式管理員等。它的產(chǎn)品可以運行在IBM

RS/6000的AIX、OS/2和MS

Windows三種平臺，其中尤以AIXNetView/6000的功能最強。AIX

NetView/6000的主要特性如下⑴提供管理者設定和更新現(xiàn)有網(wǎng)絡結構圖。⑵提供圖形顯示網(wǎng)絡設備狀態(tài)。⑶網(wǎng)絡圖具有層次化和多視窗功能⑷對各個站點間線路的利用率及傳輸量以統(tǒng)計圖形顯示其狀態(tài)。⑸提供可供管理者規(guī)劃及設定所需的網(wǎng)絡資料。⑹對數(shù)據(jù)可以通過SQL數(shù)據(jù)庫統(tǒng)計，用列表或圖形的方式顯示⑺通過動態(tài)偵測網(wǎng)絡功能⑻提供符合RFC1066標準的MIB，特定應用的MIB對象可以很容易地加入數(shù)據(jù)庫。⑼把RISC

SYSTEM/6000工作站的錯誤日志轉變成SNMP報警而送往NetView網(wǎng)管。⑽進行遠程IP測試、TCP測試和SNMP測試⑾對網(wǎng)絡進行安全管理。4.Cabletron

SPECTRUMCabletron

SPECTRUM網(wǎng)管是采用面向?qū)ο蠹夹g和客戶機／服務器結構進行設計的、可擴展的、智能化的網(wǎng)絡管理系統(tǒng)。它以歸納模型化技術IMT的人工智能技術為核心以及面向?qū)ο蟮脑O計，使它理解設備之間的依賴關系。同時提供Novell

NetWare和BayanVINES的網(wǎng)關支持。SPECTRUM具有以下特點：故障獨立。多協(xié)議支持客戶／服務器體系結構支持兩種類型的設備輪詢，Spectrum支持自動輪詢（服務器啟動）和手工輪詢（操作者啟動)方便使用的工具箱5.Novell

Manage

Wise⑴服務器管理⑵網(wǎng)絡基礎設施管理⑶客戶端管理6.網(wǎng)絡管理工具Cisco

WorksCisco

Works是一個基于SNMP的網(wǎng)絡管理應用系統(tǒng)，它能集成到幾種流行的網(wǎng)絡管理平臺，如Sun工作站（SunOS和Solaris）上的SunNet

Manager，Sun或HP系統(tǒng)上的HP

OpenView，以及IBM

NetView

for