新计算机网络管理与安全技术 普通高等教育“十一五”国家级规划教材 教学课件 李艇 网管与安全9

第8章计算机网络管理与安全
n
设备管理和监视软件可以使网络管
理员查看网络设备及所有接口的物理状
态，并可从控制台上对网络设备进行配
置、性能监视和小型软件检修。
第8章计算机网络管理与安全
n
其GUI的界面能够提供交换机和路由
器的实际图形显示，提供网络设备前、
后面板的物理视图，可连续动态地显示
路由器、交换机、集线器或适配器的最
设备和操作系统管理的支撑软件系统。
第8章计算机网络管理与安全
n
网络管理软件可以在中央网络管理
站点上以图形的方式显示网络设备，提
供网络中互连的交换物
理视图和逻辑视图以便于漫游和执行想
要的功能，从而使网络管理员无需对远
程站点上的每台设备进行物理检测就能
够全面地查看网络设备。
于MIB定义信息的各种查询。
第8章计算机网络管理与安全
8.3 网络管理系统
第8章计算机网络管理与安全
n
网络管理系统提供了一组进行网络
管理的工具，网络管理人员依赖它进行
网络管理。
第8章计算机网络管理与安全
8.3.1 网管系统的组成和功能
n
网络管理的需求决定网管系统的组
成和规模，任何网管系统无论其规模大
第8章计算机网络管理与安全
8.2 简单网络管理协议
第8章计算机网络管理与安全
8.2.1 什么是SNMP
第8章计算机网络管理与安全
SNMP具有以下特点。
n （1）简单性。 n （2）可伸缩性 n （3）扩展性 n （4）健壮性
第8章计算机网络管理与安全
8.2.3 SNMP协议
n 1．SNMP模型
n 6．其它网络管理功能

应用层防火墙 应用层防火墙也称为代理服务器，它能够代替网络用 户完成特定的TCP/IP功能，控制对应用程序的访问。
应用层防火墙
get
请求 内部 外部 x.html
Web Webຫໍສະໝຸດ Internet返回
Web 浏览器
服务 代理
服务 代理
return x.html
网络层防火墙和应用层防火墙比较 (1)
项目 分类
适用 情况
资金有限，缺乏管理更复杂 有用于网络安全的大量资金, 拥有管
8.1.2 信息安全技术
PKI（Public Key Infrastructure，意为“公钥基础设 PKI技术就是利用公钥理论和技术施建”立）的提供信息安全服务的基础设施， 是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。
CA（Certificate Authority）认证技术
在电子商务中，必须从技术上保证在交易过程中能够实现：身份认证、 安全传输、不可否认性、数据一致性。ＣＡ证书认证技术采用了加密 传输和数字签名技术，能够实现上述要求。
网络层防火墙
应用层防火墙
价格
便宜，可设置在内部网络与 比网络层防火墙要高得多，需要购
Internet相连接的路由器上， 置专门的软件及高性能的硬件系统，
无需另购
否则会产生严重的通信瓶颈
安装、 配置与
管理
功能
简单，过滤规则易于维护
功能单一。按照规则表对数 据包进行过滤；只能提供基 本的统计记录
复杂。管理员不仅需要清楚地了解 TC P/IP，还需要为存储、监视和报 告功能作出最合理的设置
受控存取保护级，实施比C1级更精细的自主访问控制 标记安全保护级,从本级开始,不仅具有自主访问控制,而且具 有强制访问控制 结构化保护级

主讲人：杨帆
9.2.6 身份认证技术的发展
身份认证可以通过3种基本途径之一或它们的组合实现：知识（knowledge）: 个人所掌握的密码、口令；持有物（possesses）: 个人身份证、护照、信用卡、钥匙；个人特征（characteristics）:人的指纹、声纹、笔迹、手型、脸型、血型、视网膜、虹膜、DNA，以及个人动作方面的特征。
主讲人：杨帆
9.1.3 网络安全服务与安全标准
1、网络安全服务应该提供的基本服务功能：
数据保密（data confidentiality）认证（authentication） 数据完整（data integrity）防抵赖（non-repudiation）访问控制（access control）
主讲人：杨帆
双层防火墙的工作过程： 包过滤路由器的转发和堡垒主机的判别过程
主讲人：杨帆
双层防火墙（S-B1配置）中的数据传输过程
主讲人：杨帆
3、多层防火墙 采用多级结构的防火墙系统（S-B1-S-B1配置）结构示意图
主讲人：杨帆
9.2.2 对称密钥密码体系 （symmetric cryptography）
特点：加密和解密使用相同的密钥；密钥在传输时要严格保密。典型的对称密钥加密算法是DES算法。（P380-381）
主讲人：杨帆
9.2.3 非对称密钥密码体系 （asymmetric cryptography）
主讲人：杨帆
9.1 网络安全研究的主要问题
9.1.1 网络安全的重要性
从网络的作用和应用广泛性来理解网络安全的重要性；网络已经成为一个国家政治、经济、文化、科技、军事与综合国力的重要标志；网络应用正在（已经）改变人们的工作方式（社会运行机制）、生活方式和思维方式；网络安全问题已经成为信息化社会的一个焦点问题；网络安全不是一个单纯的技术问题，还包括管理和法制环境等诸多方面；每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。

《大学计算机基础教程》
高等教育“十一五”国家级规划教材
第11章 计算机安全
11.1.2 常见危害最大的计算机病毒
3．木马/黑客病毒 随着病毒编写技术的发展，木马程序对用户的威胁越来越 大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己， 使普通用户很难在中毒后发觉。木马病毒的共有特性是通过网 络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户 的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进 行远程控制。木马、黑客病毒一般成对出现，木马病毒负责侵 入用户的电脑，而黑客病毒通过木马病毒来进行控制。现在这 两种类型都越来越趋向于整合了。如QQ消息尾巴木马 Trojan.QQ3344 ，还有针对网络游戏的木马病毒 Trojan.LMir.PSW.60 。木马病毒其前缀是：Trojan，黑客病 毒前缀一般为 Hack 。
《大学计算机基础教程》
高等教育“十一五”国家级规划教材
第11章 计算机安全
11.1.2 常见危害最大的计算机病毒
4．宏病毒 宏病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通 用模板进行传播，如著名的美丽莎（Macro.Melissa）。该类病毒具 有传播极快、制作和变种方便、破坏可能性极大以及兼容性不高等特 点。宏病毒的前缀是：Macro，第二前缀一般是：Word、Word97、 Excel、Excel97其中之一。
《大学计算机基础教程》
高等教育“十一五”国家级规划教材
第11章 计算机安全
11.1.4 常见计算机病毒的解决方案
1. 给系统打补丁 很多计算机病毒都是利用操 作系统的漏洞进行感染和传播的。 用户可以在系统正常状况下，登 录微软的Windows网站进行有选 择的更新。 Windows2000/XP 操作系统 在连接网络的状态下，可以实现 自动更新。设置Windows XP操作 系统的自动更新，可以通过“开 始”→“设置”→“控制面板” 操作后，打开“自动更新”进行 设置，

▪ 某些安全设备不支持SNMP协议 ▪ 某些安全设备不具备完整的MIB库 ▪ SNMP协议本身不适合传输安全事件和安全日
志信息 ▪ SNMP不支持联动和协同 ▪ 难以实现安全事件的定位和追溯 ▪ 难以实现全网安全策略的部署
加入全面安全管理职能单元的必要性
▪ 实现各类计算机安全技术、产品之间的协调与 联动，实现有机化
故障管理
▪ 网络故障对网络中故障进行检测、隔离、报告和修 复。
▪ 目标是保证计算机网络组件的稳定性、可用性和可 服务性，即Reliability，Availability and Serviceability，简称RAS。
▪ 基本功能
▪ 检测被管对象的差错现象，接收被管对象的差错事件报告 （也称故障单，Trouble Ticket）；
▪ 执行诊断测试、确定故障位置和性网络资源用于服
务； ▪ 通过设备的维护或更换等措施进行修复； ▪ 维护差错日志文件，记录差错信息，分析故障原因。
配置管理
▪ 配置管理是提供了标识、收集、更改网络配置数据 的功能，目的是为了实现网络的最优化服务功能。
▪ 基本功能
11、 一 个 好 的 教师 ，是一 个懂得 心理学 和教育 学的人 。21.7.2317:37:4817:37Jul-2123-Jul-21
12、 要 记 住 ， 你不 仅是教 课的教 师，也 是学生 的教育 者，生 活的导 师和道 德的引 路人。 17:37:4817:37:4817:37Friday, July 23, 2021
▪ 统一的管理界面 ▪ 平台独立性（适应不同的操作系统、体系结构、网络协议） ▪ 互操作性（通过浏览器在不同管理系统之间切换）
基于Web的网络管理的实现方案
▪ 基于代理管理器的方案

11




《计算机网络》第1章 计算机网络概论
1.1.3 网络体系结构与协议标准化的研究 一些大的计算机公司纷纷提出了各种网络体系 结构与网络协议； 国际标准化组织（ ISO）成立专门委员会研究 网络体系结构与网络协议国际标准化问题； ISO 正式制订了开放系统互连参考模型，制订 了一系列的协议标准； 在 1969 年 ARPAnet 的实验性阶段，研究人员就 开始了TCP/IP协议雏形的研究； TCP/IP 协 议 的 成 功 促 进 了 Internet 的 发 展 ， Internet的发展又进一步扩大了TCP/IP协议的影 响。


随着微型计算机的广泛应用，大量的微型计算 机是通过局域网连入广域网，而局域网与广域 网、广域网与广域网的互连是通过路由器实现 的； 在Internet中，用户计算机需要通过校园网、 企业网或ISP联入地区主干网，地区主干网通 过国家主干网联入国家间的高速主干网，这样 就形成一种由路由器互联的大型、层次结构的 网际网的Internet网络结构。
18
《计算机网络》第1章 计算机网络概论
1.2.2 计算机网络的分类 计算机网络的分类方法主要的是以下两种：

根据网络所使用的传输技术分类 根据网络的覆盖范围与规模分类

19
《计算机网络》第1章 计算机网络概论
1. 按网络传输技术进行分类

通信信道的类型有两类：
广播通信信道 点-点通信信道

相应的计算机网络也可以分为两类：
广播式网络 （broadcast networks） 点-点式网络（point-to-point networks）
20
《计算机网络》第1章 计算机网络概论

负责数据格式的转换和加密解密等。
02
01
应用层
提供网络应用服务，如电子邮件、文件传输 等。
04
03
TCP/IP参考模型
A
网络接口层
对应OSI的物理层和数据链路层，负责数据的传 输和接收。
网际层
对应OSI的网络层，负责路由选择和分组传 输。
B
C
传输层
对应OSI的传输层，提供端到端的数据传输 服务。
应用层
子网划分
将一个大的IP网络划分为若干个子网，每个子网具有相同的 网络地址和不同的主机地址。子网划分可以提高IP地址的利 用率，减少广播风暴，增强网络安全性。
子网掩码
用于区分IP地址中的网络地址和主机地址，由连续的1和连 续的0组成。子网掩码的长度决定了子网的规模和数量。
路由选择算法及实现原理
路由选择算法分类
以太网是一种基于CSMA/CD （载波监听多路访问/冲突检测 ）的广播型网络，广泛应用于 局域网领域。以太网帧格式包 括前导码、帧起始定界符、目 的地址、源地址、类型/长度字 段以及数据字段等。
05 网络层技术
网络层基本概念与功能
01
02
03
04
网络层定义
位于传输层和数据链路层之间 ，负责将分组从源主机通过网
UDP协议特点
UDP协议的主要特点包括无连接、不可靠传 输、面向数据报和简单高效。无连接意味着 在数据传输前不需要建立连接；不可靠传输 意味着UDP不提供确认机制、重传机制等保 证可靠传输的机制；面向数据报意味着UDP 以数据报为单位进行数据传输；简单高效则 体现在UDP首部开销小，处理速度快等方面
络发送到目的主机。
路由选择
根据分组的目的地址和当前网 络状态，选择合适的路径将分

第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。
7.1.1 防火墙技术发展状况
7.1.2 防火墙的任务
防火墙应能够确保满足以下四个目标 ：1. 实现安全策略 防火墙的主要目的是强制执行人们所设计的安全策略。比如，安全策略中只需对E-mail服务器的SMTP流量作些限制，那么就要在防火墙中直接设置并执行这一策略。 防火墙一般实施两个基本设计策略之一 ：n 凡是没有明确表示允许的就要被禁止；n 凡是没有明确表示禁止的就要被允许。
第一条是允许地址为192.168.1.0的网段内而其源端口和目的端口为任意的主机进行TCP的会话。第二条是允许端口为20的任何远程IP地址都可以连接到192.168.10.0的任意端口上。第二条规则不能限制目标端口是因为主动的FTP客户端是不使用20端口的。当一个主动的FTP客户端发起一个FTP会话时，客户端是使用动态分配的端口号。而远程的FTP服务器只检查192.168.1.0这个网络内端口为20的设备。有经验的黑客可以利用这些规则非法访问内部网络中的任何资源。所以要对FTP包过滤的规则加以相应修改
7.2.4 状态检测
状态检测是对包过滤功能的扩展。传统的包过滤在用动态端口的协议时，事先无法知道哪些端口需要打开，就会将所有可能用到的端口打开，而这会给安全带来不必要的隐患。状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。
7.2.4 状态检测
7.1.2 防火墙的任务
保护内部网络 对于公网防火墙隐藏了内部系统的一些信息以增加其保密性。当远程节点探测内部网络时，其仅仅能看到防火墙。远程节点不会知道内部网络结构和资源。防火墙以提高认证功能和对网络加密来限制网络信息的暴露，并通过对所有输入的流量时行检查，以限制从外部发动的攻击。