网站制作课件之第8章 网络管理、安全与维护

第8章网络管理、安全与维护知识点：•网络管理概述•网络管理功能•网络管理模型和网络管理协议•网络管理系统•网络安全•网络防病毒•防火墙•网络安全防护•网络维护难点：•计算机网络安全方法学•实现防火墙的主要技术•防火墙的体系结构要求：熟练掌握以下知识：•网络管理的功能和网络管理系统•网络安全的目的与功能•计算机病毒和种类和防病毒技术•网络防病毒的基本方法和技术•实现防火墙的主要技术和防火墙的作用•防火墙产品的选择与使用•网络的常见故障了解以下知识：•网络管理模型和网络管理系统。•网络管理系统•计算机网络安全学•防火墙的主要技术•防火墙体系结构和防火墙体系结构的组识形式8.1网络管理8.1.1网络管理概述•网络管理的必要性•网络管理的方法•网络管理的功能8.1.2网络管理功能网络管理的5个功能；故障管理、记账管理、配置管理、性能管理和安全管理。1．故障管理•网络故障的含义•出现网络故障的因素•网络故障的诊断2．记账管理•记账管理的含义•记账管理的机制•记账管理的功能3．配置管理•配置管理的含义：•配置管理的内容：•配置管理的功能：•配置清单的作用：4．性能管理•性能管理的含义•性能管理的作用•性能管理的内容1、建立对当前网络性能测量的基准；2、寻找识别网络与应用软件不匹配的方法；3、进行分析测量，寻找可能改进网络性能的对策。•性能管理的方法5.安全管理•安全管理的必要性：•如何对数据进行保护：⑴关键设备⑵操作系统逻辑访问管理⑶访问控制⑷病毒6．管理功能间的相互关系⑴性能与配置有关⑵性能管理与故障管理有关⑶故障安全与紧紧相连⑷安全与计费有关8.1.3网络管理模型OSI管理模型包括的内容：•管理结构•系统管理•N层管理和N层操作•管理信息库•进程间控制信息的传递•实体间管理信息的传递•开放系统互连的网络管理与TCP/IP网络的管理的比较•SNMP和CMIP/CMOT二者各自的特点8.1.5网站管理1．网站管理⑴网络拓扑管理⑵网站故障管理⑶网站配置管理⑷网站性能管理2．网站的管理应达到的目的⑴网络监控⑵性能控制：8.1.4网络管理协议⑶故障检测⑷效率管理⑸保证网络安全⑹运行管理3．安全管理的主要内容：⑴防止未授权存取⑵防止泄密⑶防止用户拒绝系统的管理⑷防止丢失系统的完整性8.2网络安全8.2.1网络安全概述1．网络安全的目的与功能①隐密性服务②完整性服务③辨识服务④不能否认服务⑤可用性服务2．网络安全潜在的威胁•网络安全的潜在威胁：•在网络环境中非法者所可能采用的破坏方法：观测、推测、篡改、伪装、重复、拒绝服务3．计算机网络安全方法学计算机网络安全方法学的两个阶段：⑴第一阶段:设计、审查和认可阶段（见下页图）NYNNNNYN资料文件授权事件修改有意义处理后的资料文件检测到的异常事件修改计划再信任损失减轻损失减轻损失初步调查授权活动资源调查或损失其它损失附加调查信调查的收集迹象适当报告值得附加调查培训或教育培训或教育修改威胁陈述式保护YNYYNY涉及安全或授权活动的处理及各种成份的决策间的关系图本阶段分为八个主要成分：①保护资源定义②安全策略③威胁陈述④保护手段⑤风险分析⑥事例检测⑦安全计划⑧论证和认可2．第二阶段：运行阶段•处理一些涉及安全或未授权的活动•这个阶段的作用8.2.2网络防病毒1.什么是计算机病毒•计算机病毒概念：•计算机如何感染病毒：•良性病毒和恶性病毒：2．有哪几种病毒程序有四种类型的病毒程序：•外壳病毒•入侵病毒•操作系统病毒•源码病毒3.病毒的危害⑴破坏计算机硬盘或软盘：⑵感染系统文件和可执行文件：⑶删除和更改各类文件。4．防病毒技术⑴计算机病毒的预防技术•预防技术的作用•预防技术的两项内容⑵检测病毒技术检测技术的作用⑶消除病毒技术消除技术的作用5.网络防病毒的基本方法和技术在网络上防病毒的三种基本方法：•基于服务器的防病毒技术应具备的功能：⑴基于网络目录和文件安全性的方法⑵采用工作站防病毒芯片⑶基于服务器的防病毒技术•基于服务器的防病毒技术应具备的功能：①对服务器中文件进行扫描②实时在线扫描③服务器扫描选择④自动报告功能及病毒存档⑤工作站扫描⑥对用户开放的病毒特征接口•基于服务器防病毒的方法8.3防火墙8.3.1防火墙的概念1．什么是防火墙2．防火墙如何保护网络•设立防火墙的主要目的•防火墙的功能模型•防火墙的基本构件和技术3．防火墙的作用⑴防火墙能强化安全策略⑵能有效地记录Internet上的活动⑶限制暴露用户点⑷一个安全策略的检查站应用层表示层内部网络外部网络防火墙防火墙的功能模型物理层链路层网络层传输层会话层8.3.2防火墙的主要技术•包过滤•应用网关•代理服务8.3.3防火墙体系结构1．防火墙体系结构⑴双重宿主主机体系结构⑵屏蔽主机体系结构双重宿主主机体系结构提供来自与多个网络相连的主机的服务(但是路由关闭),而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机服务。在这种体系结构中，主要的安全措施是数据包过滤。堡垒主机位于内部的网络上，在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：堡垒主机，是因特网上的主机连接到内部网络上的系统（例如，电子邮件系统）的桥梁，但仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务，将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高等级的安全。保卫路由器比保卫主机较容易实现。因为它提供非常有限的服务组。多数情况下，被屏蔽的主机系统结构比双重宿主主机体系结构具有更好的安全性和可用性。⑶屏蔽子网体系结构这种结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络与外部网（如Internet）隔开。堡垒主机是用户的网络上最容易受侵袭的机器，通过在周边网络上隔离堡垒主机，能减少对堡垒主机的入侵的影响。屏蔽子网体系结构如图所示。屏蔽子网络体系结构堡垒主机外部路由器INTERNET周边网内部网放火墙内部路由器工作站工作站服务器工作站①周边网络周边网络是另一个安全层,是在外部网络与用户的被保护的内部网络之间附加的网络。如果侵袭着成功的侵入用户的防火墙的外层领域，周边网络在那个侵袭者与用户的内部系统之间提供一个附加的保护层。②堡垒主机在此结构中，把堡垒主机连接到周边网，成为接受来自外界连接的主要入口，进行传送、转接、查询等。另一方面，其出站服务（从内部的客户端到在Internet的服务器）按如下任一方法处理：在外部内部的路由器上设置数据包过滤来允许内部的客户端直接访问外部服务器。设置代理服务器在堡垒主机上运行(若用户的防火墙使用代理软件)来允许内部的客户端间接地访问外部的服务器。用户也可以设置数据包过滤；来允许内部的客户端在堡垒主机上同代理服务器交谈，反之亦然。但禁止内部的客户与外部世界之间直接通信（即拨号入网方式）。③内部路由器内部路由器（也称阻塞路由器）保护内部的网络使之免受Internet和周边网的侵犯。④外部路由器理论上，外部路由器（有时称访问路由器）保护周边网的内部网使之免受来自Internet的侵犯。实际上，它倾向于允许几何任何东西从周边网出站，并且他们通常只执行非常少的数据包过滤。外部路由器能有效地执行的安全任务之一(通常别的任何地方不容易完成的任务)是:阻止从Internet上伪造源地址进来的任何数据包，这样的数据包自称来自内部的网络，但实际上是来自Internet。2．内部防火墙可在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙，就被称为内部防火墙。3.防火墙存在的问题⑴不能防范恶意的知情者⑵不能防范不通过它的连接⑶不能防备所有威胁⑷不能防范病毒防火墙不能消除网络上的PC机的病毒。8.4网站维护8.4.1网站的安全防护1．网站的安全2．网站的安全策略3．安全策略的等级4．安全策略的基本要素•授权的含义：•访问控制策略5．网站防护措施•安全防护的含义•安全防护措施8.4.2网站的物理安全•网络物理安全的内容•物理安全的防范措施(1)对主机房及重要信息存储、收发部门进行屏蔽处理(2)对本地网、局域网传输线路传导辐射的抑制(3)对终端设备辐射的防范•系统安全的内容：•确保系统安全的方法：1．网络硬件安全⑴操作系统安全①确认所有磁盘分区的格式都为NTFS②确认“Administrator”帐号具有一个强健的口令③禁止不常用或不需要的服务④禁止或删除不需要的用户帐号⑤合理设置文件、目录和注册表的访问权限⑥删除所有不需要的文件共享8.4.3网站的系统安全⑦限制注册表不被匿名访问⑧限制LAS信息不被匿名访问⑨设置强健的口令策略⑩设置用户帐号锁定策略⑵路由以及DNS安全⑶应用系统安全(4)病毒防护2．网络安全⑴网络结构安全⑵隔离与访问控制⑶通信安全3．应用安全⑴资源共享中的访问控制和安全审计⑵信息存储与安全备份4．安全其它方面⑴灾难恢复⑵动态维护8.4.4网站的信息安全1．信息安全的含义：2．在计算机网络上通信时，所面临的威胁：•截获：第三方偷听通信双方的内容•中断：第三方中断通信双方的通信•篡改：第三方篡改通信中一方发给另一方的报文•伪造：第三方假装为通信中的一方与另一方进行通信3．计算机网络通信安全的五个目标：4．数据加密⑴数据加密的分类⑵加密技术的应用5．防火墙防火墙主要采用两种结构：⑴代理(Proxy)主机⑵路由器加过滤器(ScreenedHost)完成6．入侵检测•入侵检测的定义：•检测的方法：入侵检测系统的分类入侵检测系统的分类7．漏洞扫描•网络扫描系统的作用•漏洞扫描技术8.5网络常见故障1．登录网站的问题2．网络速度慢的问题3．网络服务变慢的问题4．IP网络管理不善的问题5.光纤错觉的问题6.不能连接上网或不能登录的问题7．访问网络的速度很慢的问题8．网络可以连接，但不能登录的问题9．莫名其妙地间歇性连接中断小结网站建立后，不仅要求网络连续可靠地工作、最大可能地为用户提供服务，而且要保证网络上的信息安全。要用好网络，首先必須管好网络。网络管理是网站的日常工作，也是网站的主要任务。网络管理的功能分为5部分；故障管理、记账管理、配置管理、性能管理和安全管理。OSI管理模型包括几个部分：OSI管理结构，OSI管理所要求的支持，管理信息库，进程间控制信息的传递，实体间管理信息的传递。了解Novell公司的智能化网管软件ManageWise和IBM的系统管理(SystemView)软件。网站的管理主要包括如下内容：网络拓扑管理、网站性能管理、网站配置管理和网站故障管理。网站的管理应达到的目的是：运行管理、网络安全管理、效率管理、故障管理和网络监控。网络安全的目的是：提供数据安全的保护功能，以保护网络上所传数据的安全。网络所提供的安全功能有：隐密性服务、完整性服务、辨识服务、不能否认服务和可用性服务。要掌握计算机病毒的预防技术。了解网络防病毒的基本方法和技术、消除病毒技术和检测病毒技术。了解防火墙体系结构、防火墙的作用、实现防火墙的主要技术。网络安全包括：安全策略的基本要素、安全策略的等级、网站的安全策略几项内容。保障网站的物理安全、系统安全和信息安全是网站安全的主要任务。了解网站常见故障及其排除方法。