1、第10章 网 络 管 理与安全,随着计算机网络规模的扩大和复杂性的日益增加,网络管理就变得愈来愈重要。随着计算机网络迅速发展和广泛流行,网络的安全性问题也日趋严重。本章我们学习有关网络管理和安全方面的主要内容。本章介绍的主要内容有:网络管理概述网络安全概述防火墙技术概述,10.1 网络管理概述,10.1.1 网络管理概述简单地说就是为了保证网络系统能够持续、稳定、高效和可靠地运行,对组成网络的各种软硬件设施和人员进行的综合管理。 网络管理应该包括以下3个方面的内容:1、提供服务:包括向用户提供新任务和通过增加网络设备和设施来提供网络服务。2、维护:包括报警、性能监控、测试、故障修复等。3、处理
2、:包括收集设备利用率和通信量等数据,经过分析做出相应的控制,以优化网络资源的使用效率等。,网络管理定义:对网络中的大多数(或全部)参数的测量与控制,其目的是使网络性能得到优化。在很多情况下,网络管理的范围还应该扩展到网络资源的规划和组织。OSI提出的网络管理标准中,将系统功能划分成五个功能域,即故障管理、计费管理、配置管理、性能管理和安全管理。,一、故障管理故障管理又称为网络监控,包括主动监控和被动监控(用于故障检测和诊断)以及故障隔离与处理。它涉及所有的网络管理员用来诊断、检查和维护网络故障的产品和过程。主要目标是快速定位并隔离网络中的故障源或发现潜在故障,并尽快予以排除。网络管理人员从事故
3、障管理时常用的工具包括:网络管理系统、协议分析仪、电缆测试仪、冗余系统、数据归档与备份设备等。,二、计费管理计费管理又称为记账审计管理,包括收集并处理网络计费信息。这类信息用于摊派运行维护费用或为制定改善网络服务计划提供依据。 功能包括:1、以一致的格式和手段来收集、总结、分析、和表示计费信息;2、在计算费用时应该有能力选取计算所需的数据;3、有能力根据资源使用情况调整价目表;根据选定的价目、算法计算用户费用;4、有能力提供用户帐单、用户明细帐和分摊帐单;5、所有帐单应该有能力根据需要改变格式而不需要重新编程;6、便于检索、处理费用可以再分配。,三、配置管理配置管理就是用来定义、识别、初始化、
4、控制和检测通信网中的被管理对象功能的集合,它具备这样一些主要内容:1、鉴别所有被管理对象,给每个被管理对象分配名字;2、定义新的被管理对象,删除不需要的被管理对象;3、设置被管理对象的初始值;4、处理被管理对象之间的关系;5、改变被管理对象的操作特性,报告被管理对象状态的变化。,四、性能管理性能管理是指收集网络性能数据、分析、调整管理对象。其目的是在使用最少网络资源和具有最小时延的条件下让网络能够提供可靠、连续的通信能力。具备内容包括:1、从被管理对象中收集网络管理数据、记录和维护历史数据;2、对当前数据进行统计分析,检测性能故障、产生性能告警和报告性能事件 ;3、将当前数据统计分析结果与历史
5、模型进行比较,做趋势预测;4、形成和改进网络性能评价准则和门限,以性能管理为目标,改进网络管理操作模式。,五、安全管理安全管理是为了防止网络资源被非法使用,以及防范来自内外部的恶意破坏行为等。安全管理的主要内容有:1、分发与安全措施有关的信息,如密匙的分发,访问优先权的设置等;2、发出与安全有关文件的通知,如网络有非法侵入,无权用户企图访问网络特定信息等;3、创建、控制和删除与安全有关的服务和设施;4、记录、维护和查阅安全日志,以便对安全进行追查等事后分析;,10.1.2 简单网络管理协议SNMP simple network management protocol SNMP ,建立在TCP/
6、IP传输层的UDP协议之上,提供不可靠的无连接服务。 SNMP是指被管理对象自身的管理和管理中心的管理两部分 。被管理对象自身管理就是网络中各被管理设备(如主机、交换机、路由器、网桥、hub和终端服务器等)的自身管理。 管理中心(或网络管理站)位于某个网管计算机上,对被管理对象进行统一管理。管理信息库MIB(management information base),SNMP模型主要是指这样4个部分:被管理节点、管理站(管理中心)、管理信息、管理协议。 代理:能运行SNMP管理进程的节点。,10.2计算机网络的安全,10.2.1网络安全问题概述 计算机网络系统的安全定义:为数据处理系统建立和采取
7、技术和管理上的安全保护,保护计算机硬件、软件和数据不因偶然和意外的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、可控性、完整性、保密性和不可抵赖性。,网络安全涉及到网络资源的维护、实体安全、信息安全和运行安全等多个方面的问题。1、实体安全实体安全主要是指计算机网络硬件设备的通讯线路的安全性。 2、信息安全 信息安全主要包括软件安全和数据安全。对信息安全的主要威胁有两种:信息泄露和信息破坏。,A、计算机病毒问题计算机病毒是一种能将自己复制到别的程序中程序。它会影响计算机的能力,并使计算机不能正常工作。B、计算
8、机黑客问题C、传输线路和设备电磁辐射的防护问题由于短波、超短波、微波和卫星等无线通信有相当大的辐射面,市话线路、长途架空明线等受到电磁辐射也相当严重,因此,信息在传输过程中较易被截获。,10.2.2 可信计算机安全等级美国国防部1983年公布了著名的桔皮书,对多用户计算机系统的安全等级划分进行了规定,即“可信计算机系统评级标准”。它的基本思想是,计算机安全是计算机系统有能力控制给定的主体对给定的客体的存取。根据不同的安全应用需求确定相应强度的控制水平,即不同的安全等级。可信计算机理论把安全保护归结为存取控制。被调用的程序或欲存取的数据称为客体。主动发生存取要求的人或进程称为主体。一切主体欲对某
9、一客体进行存取都毫无例外地接受存取权限的控制。,存取机制有两种:自主存取控制和强制存取控制。自主存取控制:即由各种创建者自主地决定让哪些其他主体共享存取。强制存取控制:即由组织统一主体的存取权限,而不管客体创建者是否授予权限。 强制存取控制给每一主体和每一客体划分安全等级和类别,其中安全等级有高低之分,类别没有高低之分,因此每个主体和每个客体的安全属性都由类别和等级两部分组成。其存取规则是:主体的等级高于或等于客体的等级,并且当主体的类别包括了客体所含有全部类别时允许读。主体的等级低于或等于客体的等级,并且主体所属类别全部被客体所属类别包括时可以写。,例子:A(绝密,人事/财务/计划)B(秘密
10、,人事/销售)W(机密,财务/计划)X(机密,人事/销售)Y(机密,人事/财务/销管)Z(机密,人事)A 如果作为主体,等级绝密,类别为:人事/财务/计划W 如果作为客体,等级机密,类别为“财务/计划,美国政府1983年颁发了桔皮书,1985年又做了修改。桔皮书将可信计算机分为4类:A B C D。按照可信的程度由低到高又分为7级:D、C1、C2、B1、B2、B3、A1。由于计算机的安全保护问题可归为存取控制问题,因此所谓的不同可信计算机安全等级,主要表现为存取机制和权限的不同。,D级为可信计算机安全等级的最低级。C1级为自主保护安全级。C2级为受控存取保护级。B1级为安全保护级 。B2级为结
11、构保护级。B3级为安全域级。A1级为验证设计级。综上所述,就可信计算机系统而言,D级不具备最低限度安全的等级,任何人都可使用该计算机上的信息。C1级和C2级是最低限度的安全等级。B1 和B2具有中等安全保护能力的等级,与C2相比是高安全级,对一般的重要应用可以满足安全需要。B3 和A1 属最高安全等级,其成本增加了很多,只有及其重要的应用才考虑使用。,10.2.3 代码加密加密与解密的模型如下图:,密文或密码文件 :把要传送的数据称为加密报文,按照密钥(Key)为参数的函数进行变换,通过加密过程送到传输介质上 。常用的一些数据加密方法 :1、常规密钥密码体制A、代替密码:这种密码是将明文的每个
12、字符都用字母表中向左移动一个固定数字位的字符来代替。B.置换密码:这种密码是按某一规则重新排列数据中字符或比特的顺序。,例如,在发送方以CHINA在字母表中的顺序进行编号作为密钥,将明文按五个字符为一组写在密钥下,如:密钥C H I N A顺序2 3 4 5 1明文a b c a c k i g n sa f t u ob z m w q,则传送的密文按密钥的位数高低,按列进行传送,得密文为csoq akab bifz cgtm anuw,在接收端就可以用密钥CHINA将密文还原。,2、数据加密标准DES(date encryption standard) DES使用64位密钥(除去8位密码奇
13、偶校验位,实际密钥长度为56位)对64位二进制数进行加密,产生64位密文数据。 如果试图用试求法求出这个密钥,将有256=7.2106种可能,若在一个通用计算机上以每秒试探一个密钥的速度,需花1000年的时间,也就是说,密钥被破译的可能性几乎没有。,3、公开密钥密码体制公开密钥密码体制是指加密密钥是公开信息,加密算法和解密算法都是公开的,而解密密钥则是保密的。虽然解密密钥(SK)是由加密密钥(PK)决定的,但是却不能由加密密钥(PK)计算出解密密钥(SK)。公开密钥算法的提出主要有两个方面的原因,一是由于对称密钥体制在密钥分配与处理上存在一定的问题,二是由于数字签名的要求。,A、公开密钥算法的
14、特点:用加密密钥PK对明文X加密后,再用解密密钥SK解密可以得到原明文,即Dsk(Epk(x)=x。而且,加密和解密的运算可以对调,即Epk(Dsk(x)=x;加密密钥不能用来解密,即Dpk(Epk(x)x;在计算机上可以容易地产生成对的PK和SK,但从已知的PK不能推导出SK。SK只有自己知道。,B、公开密钥密码体制在网络传输中对数据进行加密传输的过程现有A与B之间要进行通信,假设A与B之间从未有过联系,现在想进行秘密通信,双方均使用公开密钥算法对数据进行加密。则A的加密密钥为PKA,B的加密密钥为PKB,加密算法EA,EB,解密算法DA,DB均是公开的。现在A欲发报文P给B,首先可以用PK
15、B计算出EB(P),并把它发送给B,然后B根据解密算法DB进行解密,计算出SKB(EB(P))=P。而这个SKB只有B自己知道。,4、公开密钥体制与传统密钥加密方法的比较传统的专用密钥法是通信双方在使用密钥时,双方要私下进行约定,并且加、解密的密钥是一样的,属于对称密钥。网络上若有n个用户,两两间的保密通信需要Cn2=n(n-1)/2的密钥。 公开密钥体制就不存在这样的问题,它大大简化了密钥的分配与管理。,10.2.4 数字签名数字签名要保证真实性必须做到:1、发送者对报文的签名,接收者必须能够核实,而发送者事后不能抵赖2、接收者不能伪造对报文的签名。公开秘钥体制就是为了解决数字签名的需要。在
16、公开秘钥体制之中,加秘密钥PK,加密算法E,解密算法D,都是公开信息,而解密秘钥SK是保密的,另外,在公开秘钥中,DSK(EPK(x)=x ,EPK(DSK(X)=X但DSK(EPK(x)x,利用公开秘钥体制进行数字签名的过程:签名:发送者A用其秘密解密秘钥SkA和解密算法对报文x进行运算,将结果DSKA(X)传给接收者B,B用已知的A的公开加密密钥PKA和加密算法E得出源报文X,因为有公式Epk(Dsk(X)=X。由于A的解密密钥SKA只有A知道,所以,除了A之外无人能解密DSKA(X)。这样报文X就被A签名了。鉴别:假如A要抵赖曾经发过报文X给B,B可以将DSKA(X)出示给第三方,很容易
17、用PKA证实A确实发X给B,因为没有人能解密DSKA(X),SKA只掌握在A手中,反之,若B将X伪造成X,则B没有办法证明给第三者看,并且不可能将伪造出的报文DSKA(X)说成是A发送给它的,因为它不知道SKA,这样就证明了B伪造了报文。,11.3防火墙,一、防火墙的概念防火墙是位于两个网络之间执行控制策略的系统(可能是软件或者硬件或者两者并用),主要用来限制外部非法用户访问内部网络资源和内部非法向外部传递信息。,防火墙技术可以分为网络层与应用层两类,分别应用于分组(或包)过滤路由器与应用层网关和电路层网关。1、网络层防火墙:网络层防火墙保护整个网络不受非法入侵,其典型技术是分组过滤技术,也就
18、是检查进入网络的分组,将不符合预先设定标准的分组丢掉,将符合预先设定标准的分组通过。应用层网关防火墙:2、应用层网关防火墙是用来控制对应用程序的访问,即允许访问某些应用程序限制其他应用程序。3、电路层网关防火墙:电路层网关是根据规则建立一个网络到另一个网络的连接,不做任何审核、过滤或telnet协议管理。,二、防火墙的配置1、分组(或包)过滤路由器分组(或包)过滤路由器是最简单也是最常见的防火墙,它位于内部网络和外部网络之间,除具有路由功能外,再装上分组过滤软件,利用分组过滤规则完成基本的防火墙功能。 优点有:容易实现,费用少。如果被保护网络与外界之间已经有一个独立的路由器,那么只需要简单地加
19、一个分组过滤软件便可以保护整个网络。方便使用,分组过滤在网络层实现,不需要改动应用程序,也不需要用户学习任何新的东西,用户感觉不到过滤服务器的存在。,缺点有:没有或者有很少大的日志记录,因此网络管理员很难确定系统是否正在被入侵或已经被入侵;规则表(需制定访问规则)随着应用的深化会变得复杂,这样不仅规则难以测试,而且规则结构出现漏洞的可能性增加;这种防火墙的最大弱点是依靠一个单一的部件来维护系统,一旦部件出现问题,会使网络的大门敞开,而用户可能远不知道。,2、双宿主网关 双宿主网关仅用一个代理服务器(如图),代理服务器就是将代理服务器软件安装在双宿主主机上的。,内部IP地址,外部IP地址,3、主机过滤防火墙主机过滤防火墙由分组过滤路由器和应用网关组成(如下图)。它是在内部网络和外部网络之间建立了两道安全屏障,既实现了网络层安全,又实现了应用层安全(代理服务器)。,过滤主机,4、子网过滤防火墙子网过滤防火墙是在主机过滤配置上再加一个内部路由器,形成一个被称为非军事区的子网(如图)过滤子网。,
