计算机网络安全及管理技术(1)

计算机网络安全及管理技术本章将介绍计算机网络安全、防火墙的概念以及网络管理的协议和功能；重点讲述网络防火墙技术和网络管理技术。计算机网络安全和防火墙技术计算机网络安全：是指通过采取各种技术的和管理的措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。⑵计算机安全的主要内容计算机硬件的安全性软件安全性数据安全性计算机运行安全性⑶破坏计算机安全的途径•窃取计算机用户口令、上机或通过网络非法访问数据、复制、删改软件和数据。•通过磁盘、网络等传播计算机病毒。•通过截取计算机工作时产生的电磁波辐射或通信线路来破译计算机数据。•偷窃存储有重要数据的存储介质，如光盘、磁带、硬盘、软盘等。•“黑客”通过网络非法侵入计算机系统。2.网络安全基础⑴网络安全的内涵信息的保密性（Security）、完整性（Integrity）、可靠性（Reliability）、实用性（Utility）、真实性（Authenticity）、占有性（Possession）。⑵可能受到威胁的网络资源硬件设备，如服务器、交换机、路由器、集线器和存储设备等；软件，如操作系统、应用软件、开发工具等；数据或信息。⑶网络安全问题日益突出的主要原因：•攻击计算机网络安全的主要途径•通过计算机辐射、接线头、传输线路截获信息。•绕过防火墙和用户口令而进入网络，获取信息或修改数据。•过截获窃听破译数据。•“黑客”通过电话网络尝试进入计算机网络。•向计算机网络注入“病毒”，造成网络瘫痪。⑸计算机网络面临的安全性威胁•截获：攻击者从网络上窃听他人的通信内容•中断：攻击者有意中断他人在网络上的通信•篡改：攻击者故意篡改网络上传送的报文•伪造：攻击者伪造信息在网络上传送主动攻击与被动攻击主动攻击：指攻击者对某个连接的中的PDU进行各种处理（更改、删除、迟延、复制、伪造等。）。可检测。主动攻击分为四种：1.更改报文流2.拒绝报文服务3.伪造连接初始化4.恶意程序恶意程序蠕虫病毒特洛伊木马（Trojanhorse）简称为特洛伊（Trojan）逻辑炸弹计算机网络安全的主要内容1.保密性2.安全协议的设计3.接入控制以上计算机网络安全的内容都与密码技术紧密相关。加密系统的组成待加密的报文，也称明文。加密后的报文，也称密文。加密、解密装置称算法。加密和解密的密钥，它可以是数字，词汇或者语句。密码通信系统的模型加密变换Ex破译分析解密变换Dx明文P发送者AC=Ek（P）密文C密匙K密钥传送信道窃听者E信息传送信道P=Dx（C）接收者B图6.1密码通信系统的模型密码学与密码体制1．常规密钥密码体制（1）常规密钥密码体制的加密方式：序列（代替）密码、分组（置换）密码。（2）常规密钥密码体制的特点：对称密钥密码系统具有加解密速度快、使用的加密算法比较简便高效、密钥简短。3．数据加密的实现方式（1）软件加密一般是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送出去，到达接收方后，由用户用相应的解密软件进行解密，还原成明文。（2）硬件加密可以采用标准的网络管理协议（比如SNMP、CMIP等）来进行管理，也可以采用统一的自定义网络管理协议进行管理。DES算法DES是对称密钥加密的算法，DES算法大致可以分成四个部分：（1）初始置换（2）迭代过程（3）逆置换和（4）子密钥生成IDEA（国际数据加密算法）算法IDEA算法可用于加密和解密。主要有三种运算：异或、模加、模乘，容易用软件和硬件来实现。IDEA的速度：现在IDEA的软件实现同DES的速度一样块。IDEA的密码安全分析：IDEA的密钥长度是128位，是DES的密钥长度的两倍。在穷举攻击的情况下，IDEA将需要经过2128次加密才能恢复出密钥。网络管理计算机网络管理功能按照OSI管理框架，把网络管理任务分为：1.安全管理2.配置管理3.性能管理4.故障管理5.计费管理配置管理目的配置管理的目的是为了实现某个特定功能或使网络性能达到最佳。配置管理监控对象（１）网络资源及其活动状态；（２）网络资源之间的关系；（３）新资源的引入和旧资源的删除。配置管理操作（１）鉴别被管对象，标识被管对象；（２）设置被管对象的参数；（３）改变被管对象的操作特性，报告被管对象的状态变化；（４）删除被管对象。性能管理的组成典型的网络性能管理分成性能监测和网络控制两部分。性能管理以网络性能为准则收集、分析和调整被管对象的状态，其目的是保证网络可以提供可靠、连续的通信能力并使用最少的网络资源和具有最少的时延。性能管理的功能（１）从被管对象中收集与性能有关的数据；（２）被管对象的性能统计，与性能有关的历史数据的产生、记录和维护；（３）分析当前统计数据以检测性能故障，产生性能告警、报告性能事件；（４）将当前统计数据的分析结果与历史模型比较以预测性能的长期变化；（5）形成改进性能评价准则和性能门限；（6）以保证网络的性能为目的，对被管对象和被管对象组的控制。故障管理的目的故障管理是网络管理功能中与检测设备故障、故障设备的诊断、故障设备的恢复或故障排除等措施有关的网络管理功能，其目的是保证网络能够提供连续、可靠的服务。故障管理的功能（１）检测被管对象的差错，或接收被管对象的差错事件通报；（２）当存在空闲设备或迂回路由时，提供新的网络资源用于服务；（３）创建和维护差错日志库，并对差错日志进行分析；（４）进行诊断和测试，以追踪和确定故障位置、故障性质；（５）通过资源更换或维护，以及其他恢复措施使其重新开始服务。计费管理的目的计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理者还可以规定用户可使用的最大费用，从而控制用户过多占用和使用网络资源。计费管理的功能（１）统计网络的利用率等效益数据，以使网络管理人员确定不同时期和时间段的费率；（２）根据用户使用的特定业务在若干用户之间公平、合理地分摊费用；（３）允许采用信用记帐方式收取费用，包括提拱有关资源使用的帐单审查；（４）当多个资源同时用来提供一项服务时，能计算各个资源的费用。安全管理的目的（１）网络数据的私有性（保护网络数据不被侵入者非法获取）；（２）授权（防止侵入者在网络上发送错误信息）；（３）访问控制（控制对网络资源的访问）。安全管理的功能（１）创建、删除，控制安全服务和机制；（２）与安全相关信息的分发；（３）与安全相关事件的通报。网络管理功能、系统管理功能与其他管理协议和服务之间的关系如图15-1所示。管理应用软件系统管理功能域配置管理功能域对象管理日志控制安全告警报告测试报告测试管理安全审查追踪公共管理信息服务低层协议关系属性事件报告记帐表负荷监测系统管理功能告警报告状态管理性能管理功能域故障管理功能域计费管理功能域安全管理功能域图系统管理域与系统管理功能之间的关系SNMP设计原则SNMP的设计原则是简单性(Simplicity)和扩展性(Extensibility)。扩展性主要是通过将管理信息模型与协议、被管理对象的详细规定(MIB)分离实现；简单性则是通过信息类型的限制、请求/响应机制而取得。管理信息库SNMP管理器SNMP代理管理信息库（主机）（网关）SNMP代理SNMP代理管理信息库（主机）.........图15-4SNMP管理模型SNMP的管理模型SNMP信息模型所有对象类型都用下列模板定义：Descriptor:唯一的文本（可打印字符串名ObjectId:ISO对象标识符Syntax:语法Definition:文本定义Access:只读、只写、读写或不可存取Status:状态（mandatory,optional,orobsolete）SNMP共同体使用SNMP进行通信的实体被称作SNMP应用实体。SNMP代理与一系列SNMP应用实体的集合被称作SNMP共同体(SNMPCommunity)。SNMP鉴别机制鉴别报文在SNMP共同体中是否可靠的规则集合被称为鉴别机制(AuthenticationScheme)。利用一种或几种鉴别机制鉴别一个SNMP报文是否可靠的访问被称为鉴别访问(AuthenticationService)。SNMP委托代理(ProxyAgent)在一种SNMP访问策略中，SNMP代理所在的网络元素上并不包含共同体描述表所指定的MIB视图，则该访问策略被称为SNMP委托访问策略。委托访问策略中的SNMP代理被称为SNMP委托代理。如图15-6所示。图15-6SNMP委托代理的应用协议转换SNMPProprietary协议SNMP代理SNMPNMSProprietary代理Proprietary管理器2.简单网络管理协议SNMP的工作原理用户接口NMC代理MIB代理MIB代理MIB网络SNMPSNMPSNMP被管设备2.SNMP的弱点没有伸缩型，在大型网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤的情况发生。它将收集数据的负担加在网络管理控制台上，在管理几个网段时也许能轻松的收集网络信息，当它们监控许多网段时，就非常困难了。6.网络管理工具CiscoWorksCiscoWorks是一个基于SNMP的网络管理应用系统，它能集成到几种流行的网络管理平台，如Sun工作站（SunOS和Solaris）上的SunNetManager，Sun或HP系统上的HPOpenView，以及IBMNetViewforAIX。CiscoWorks建立在工业标准平台上，能监控设备状态，方便地维护配置信息，查找故障。CiscoWorks提供以下主要功能：自动安装管理；配置管理；设备管理；设备监控；设备轮询；通用命令管理器和通用命令调度器；性能监控；离线网络分析；路径工具；安全管理；实时图形。