1 / 102

网络管理与网络安全 Network Management & Security

网络管理与网络安全 Network Management & Security. 网络管理 为什么需要网络管理? 网络管理的功能 如何进行网络管理. 网络管理 为什么需要网络管理? 网络复杂程度已超出了人们手工的控制范围,为了检测网络的运行状况,保证网络安全、可靠、高效运行,需要研究和开发网络管理系统。具体的网络管理起因如下: 规模不断扩大:节点数从几十到几千 复杂性不断增加:设备类型增多、功能增强 异构性:不同的操作系统、通信协议( TCP/IP , IPX , X25 等)。. 网络管理 网络管理的任务:

elana
Download Presentation

网络管理与网络安全 Network Management & Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网络管理与网络安全Network Management & Security

  2. 网络管理 • 为什么需要网络管理? • 网络管理的功能 • 如何进行网络管理

  3. 网络管理 • 为什么需要网络管理? • 网络复杂程度已超出了人们手工的控制范围,为了检测网络的运行状况,保证网络安全、可靠、高效运行,需要研究和开发网络管理系统。具体的网络管理起因如下: • 规模不断扩大:节点数从几十到几千 • 复杂性不断增加:设备类型增多、功能增强 • 异构性:不同的操作系统、通信协议(TCP/IP, IPX, X25等)。

  4. 网络管理 网络管理的任务: 收集、监控网络中各种设备和设施的工作参数、工作状态信息,报告给管理员并接受处理,从而控制网络中的设备、设施,保证其安全、可靠、高效运行。

  5. 网络管理的内容 (1)故障管理 (2)计费管理 (3)配置管理 (4)性能管理 (5)安全管理

  6. 网络管理的功能(1) :故障管理 故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络:当网络中某个组成失效时,网络管理器必须迅速查找到故障、分析故障原因,并能及时排除。因此,网络故障管理包括故障检测、隔离和排除三方面。

  7. 网络管理的功能(2):计费管理 计费管理用于记录网络资源的使用情况,目的是控制和监测网络操作的费用和代价。其作用有: * 计算各用户使用网络资源的情况和费用。 * 规定用户使用的最大费用 * 当用户使用了多个网络资源时,计费管理应能计算出总费用。

  8. 网络管理的功能(3):配置管理 配置管理用于配置网络、优化网络。配置管理就是用来对管理对象进行的定义、初始化、控制、鉴别和检测,以适应系统的要求。其功能包括: * 设置有关被管对象(路由器、交换机等)的属性和参数 * 初始化或关闭被管对象 * 根据要求收集系统当前状态的有关信息 * 更改系统的配置

  9. 网络管理的功能(4):性能管理 性能管理用于对系统运行及通信效率等系统性能进行评价,其能力包括收集、分析有关被管网络当前的数据信息,并维持和分析性能日志和为改善网络性能而采取的网络控制两部分。

  10. 网络管理的功能(5):安全管理(1) 安全管理一直是网络系统的薄弱环节之一,而用户对网络安全的要求往往又相当高,因此网络安全管理就显得非常重要。网络中主要存在以下几大安全问题:

  11. 网络管理的功能(5):安全管理(2) • 网络数据的私有性(保护网络数据不被侵入者非法获取); • 授权(防止侵入者在网络上发送错误信息); • 访问控制(控制对网络资源的访问)。 相应地,网络安全管理包括对授权机制、访问机制、加密和加密关键字的管理,维护和检查安全日志以及安全告警等。

  12. 如何进行网络管理 网络管理通信语言: SNMP协议 网管代理 Agent 管理信息库 MIB

  13. 网络管理体系结构 管理器 SNMP SNMP(get,set,trap..) 设备2 设备1 代理 代理 MIB MIB

  14. 简单网络管理协议SNMP

  15. 管理器 管理器Manager是一个或一组程序,一般运行在网管中心的主机上,它可以在SNMP的支持下命令管理代理执行各种管理操作。

  16. 管理代理 管理代理Agent是一种软件,在被管理的网络设备中运行,负责执行惯例进程的管理操作。管理代理直接操作本地信息库(MIB): * 从MIB中读取各种变量值 * 修改MIB中各种变量值

  17. 管理信息库MIB • MIB指明了网络元素所维持的变量(即能够被管理进程查询和设置的信息)。同时,给出一个网络中所有可能的被管对象的集合的数据结构。 • SNMP的管理信息库采用和域名系统DNS相似的树形结构。

  18. MIB 编码方法

  19. SNMP的五种协议数据单元 • SNMP规定了五种协议数据单元PDU,用来在管理进程和代理之间的交换。 • Get-request • Get-next-request • Get-response • Set-request • trap

  20. 管理信息结构SMI • SMI标准指明了所有的MIB变量必须使用抽象语法记法1(ASN.1,即Abstract Syntax Notation One)来定义。 • ASN.1是用来定义各种应用协议数据单元的数据类型的工具。

  21. SNMPv2, SNMPv3 • SNMPv2:增加了get-bulk-request命令;使用非原子的get命令;采用分散化的管理方法;增加inform命令和manager-to-manager MIB • SNMPv3:安全特性(鉴别、保密、存取控制)

  22. 网管产品 • 目前公认的三大网管软件平台是: • HP: OpenView • IBM: NetView • SUN: NetManager。

  23. CMIP、TMN • CMIP公共管理信息协议:它的变量不仅可传递信息,而且可用来完成某项任务(而SNMP是不可能的) • TMN电信管理网: • 采用面向对象技术。 • 管理系统、网络元素

  24. BOOTP、DHCP • BOOTP引导程序协议使用UDP来使一个无盘工作站自动获取配置信息。 • DHCP动态主机配置协议提供一种机制,它允许一台计算机加入新的网络和获取IP地址而不用手工参与。对运行客户软件和服务器软件的计算机都适用。 较适用于常移动位置的计算机。

  25. 网络安全 Network Security

  26. 网络存在的安全威胁 黑客攻击 后门、隐蔽通道 特洛伊木马 计算机病毒 网络 信息丢失、篡改、销毁 拒绝服务攻击 逻辑炸弹 蠕虫 内部、外部泄密

  27. 计算机系统安全发展阶段70-80年代 • 重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性和可控性 • 主要安全威胁扩展到非法访问、恶意代码、脆弱口令等 • 主要保护措施是安全操作系统设计技术(TCB) • 主要标志是1983年美国国防部公布的可信计算机系统评估准则(TCSEC)将操作系统的安全级别分为四类七个级别(D、C1、C2、B1、B2、B3、A1)(由低向高)

  28. 网络信息系统安全阶段90年代以来 • 重点需要保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性 • 主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻击等 • 主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN • 主要标志是提出了新的安全评估准则CC(ISO 15408)、IPv6安全性设计

  29. 网络信息安全的含义 • 网络信息安全 • 网络系统的硬件、软件及其系统中的信息受到保护 • 保护在通信网络中传输、交换和存储的信息的机密性、完整信和真实性 • 对信息的传播及内容具有控制能力 • 不受偶然的或者恶意的原因而遭到破坏、更改、泄露 • 系统连续可靠的运行 • 网络服务不中断

  30. 用户(企业、个人)的角度 • 涉及个人隐私或商业利益的信息 • 机密性、完整性、真实性 • 避免其他人或对手的损害和侵犯 • 窃听、冒充、篡改、抵赖 • 不受其他用户的非法访问 • 非授权访问、破坏

  31. 网络运行和管理者 • 对本地网络信息的访问、读写等操作受到保护和控制 • 避免出现 • “后门”、病毒、非法存取、拒绝服务、网络资源非法专用、非法控制 • 制止和防御网络“黑客”的攻击

  32. 几个网络攻击案例 • 2002蠕虫王; • 2000/02/07: 雅虎遭到黑客攻击,导致用户在几个小时内无法连接到YAHOO网站; • 94年末,俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。

  33. 网络攻击的威胁 • 拒绝服务 • 篡改数据 • 窃取机密数据 • 经济犯罪等

  34. Hacker (黑客) Master (主攻手) M M M Zombie (僵尸) z z z z z z z z Target (目标机) 美2.7黑客案件的攻击方式 分布式拒决服务 (DDoS)

  35. 常用攻击手段和工具 • 电子邮件炸弹 • 特洛伊木马 • 拒绝服务攻击 • IP欺骗攻击 • 病毒 • 扫描器,网络分析器 • 口令攻击

  36. 拒绝服务攻击 - Syn Flooding TCP 三次握手

  37. 拒绝服务攻击 - Syn Flooding

  38. 拒绝服务攻击 - Smurf 是根据一个攻击工具“smurf”而命名的攻击者发送一个ICMP 回应请求(ECHO REQUEST)报文,目的地址为广播地址,源地址为伪造的攻击目标的地址,将导致广播子网内的所有主机向攻击目标发送应答报文,大量的报文会导致目标主机无法正常工作。

  39. Attacker B Smurf 攻击原理 dst=V, src=A A src=V dst=SubNet dst=V, src=B V dst=V, src=C C

  40. 口令攻击

  41. 网络安全的目标 • 数据完整性 • 资源可用性 • 数据保密性 • 用户身份认证 • 不可否认性 私有性

  42. 网络安全的目标---- 数据完整性 完整性指维护信息的一致性,防止非法用户对系统数据的篡改。 实现方法:采用数据加密和校验技术。

  43. 网络安全的目标 ---- 资源可用性 保证合法用户在任何时候都能使用、访问资源,阻止非法用户使用系统资源。 实现方法:访问控制、防火墙、入侵检测等。

  44. 网络安全的目标----用户身份认证 保证通信对方的身份是真实的。 实现方法:帐号-口令,电子证书等。

  45. 网络安全的目标---- 数据保密性 数据只能为合法用户所使用,让非法用户无法接触或读懂数据。 实现方法:授权和访问控制、数据加密技术。

  46. 信息机密性 加密技术 数字签名 信息窃取 信息篡改 完整性技术 信息抵赖 信息传递 认证技术 信息冒充

  47. 网络安全的目标---- 不可否认性 参与网络通讯过程的各方(用户、实体或者进程)无法否认其过去参与的活动; 实现方法:数字签名等。

  48. 网络安全对策 • 加密 • 访问控制,加强网络管理 (帐号、口令等) • 审计 • 防火墙 • 入侵检测

  49. 如何选择一个好的口令 常见口令选择方式: 姓名、生日、 电话、门牌号、工作证号等 好的口令: 大小写组合、数字字母组合

  50. 加 密 对称密钥(置换密钥\转换密钥\分组密钥DES) 又叫秘密密钥, 或私钥。加密和解密采用相同的密钥。常见加密标准为DES、IDEA和三重DES等。秘密密钥效率高, 一般采用集中管理和分发密钥。 非对称密钥--公钥 加密和解密使用不同的密码 <Kpub, Kpriv>。Kpub公开,Kpriv由密钥持有人保密。 公钥加密算法有RSA 算法等, 加密强度很高。

More Related