搜索
计算机网络第9章网络管理与网络安全机械工业出版社ISBN978-7-111-30641-2计算机网络本章学习内容及要求•了解–计算机网络管理的基本概念和方法–网络所面临的威胁类型•熟悉–网络管理的功能•掌握–网络管理模型的建立和描述方法–认证和数字签名的实现方法–对称密钥机制和非对称密钥机制的概念和应用方法,–报文摘要MD的实现原理–防火墙的基本概念和构成–入侵检测技术的基本概念计算机网络9.1网络管理•9.1.1网络管理概述•9.1.2网络管理协议•9.1.3网络管理模型•9.1.4网络管理代理•9.1.5网络管理站和SNMP规定的操作•9.1.6简单网络管理协议•9.1.7管理信息结构计算机网络9.1.1网络管理概述•网络管理的位置越来越重要–网络运行状况和网络设备的监控、对网络性能分析,以及对网络故障的诊断和修复等,逐渐成为日常网络管理最重要的工作•目前网络系统的设计都需要考虑到网络管理,网络管理在计算机网络应用中的作用越来越重要–网络管理功能主要包括:•差错管理、配置管理、计费、性能管理、安全管理、网络资源管理计算机网络9.1.2网络管理协议•ISO的网络管理体系–ISO网络管理由两部分组成•公共管理信息服务CMIS•公共管理信息协议CMIP•TCP/IP协议中网络管理协议–1988年给出简单网络管理协议SNMP(SimpleNetworkManagementProtocol),称为SNMPv1–在1991年给出用于监控局域网的远程网络监控RMON。–在网络管理中网络数据采用抽象语法标记ASN.1(AbstractSyntaxNotation1)描述和表示计算机网络9.1.3网络管理模型•对网络及设备的管理有三种方式:–本地终端方式–远程telnet命令方式–基于SNMP的代理服务器方式计算机网络SNMP协议在TCP/IP上运行SNMP在TCP/IP之上运行,可以看作是TCP/IP协议上的一个应用系统MIB是每个被管设备中代理所维持的状态信息的集合,例如报文分组计数、出错计数、用户访问计数、路由器中的IP路由表等计算机网络9.1.4网络管理代理•网管代理存在以下设备中:–主机,如工作站、服务器等–网络交换设备,如路由器,ATM交换机、快速以太网交换机等–外部设备,如打印机、图像输入输出设备等–调制解调器、桥接器及传统的网络交换机等计算机网络9.1.5网络管理站和SNMP规定的操作•网络工作站或网管工作站是指–可以运行网管协议SNMP,运行网管支持工具和网管应用软件的计算机•SNMP规定的操作有7种:–①请求搜索和获取指定的对象get–②请求获取指定对象的下一个对象getnext–③修改和设置指定的对象set–④发出异常指令trap–⑤返回一个或多个对象值–⑥报告被管设备中发生的某些重要事件–⑦允许传送尽可能大的响应报文计算机网络9.1.6简单网络管理协议•SNMP是一个应用层协议,负责在网络设备之间交换网络管理信息–SNMP是事实上的计算机网络管理标准–与SNMP联系的运输层协议是UDP–用到的端口号是161、162•SNMP的应用由一系列协议组成,包括三个部分:–管理信息库MIB,在RFC1212中说明–管理信息结构SMI,在RFC1155中说明–SNMP协议计算机网络SNMP网络管理协议的操作管理者通过SNMP协议向代理发送SNMP报文,通过代理对MIB中的对象进行操作,操作结果由代理向管理者返回响应报文。当被管设备发生了重要事件时,代理会通过UDP端口162向管理者发送一条Trap报文计算机网络9.2网络安全•9.2.1网络安全概述•9.2.2网络安全面临的威胁•9.2.3网络安全层次划分•9.2.4网络安全评价标准计算机网络9.2.1网络安全概述•网络安全主要是采用加密技术–网络安全涉及到通信和网络,网络安全要求提供•信息数据的保密性、真实性、认证和数据完整性,满足这些要求的安全机制在理解和实现起来是很复杂的–安全机制的设计可能因设计者所处的角度不同,以及所采用的方法不同,会存在一些漏洞–网络安全需要考虑到三个方面:•安全攻击•安全机制•安全服务计算机网络9.2.2网络安全面临的威胁•计算机网络面临的威胁包括:–截获(interception)–中断(interruption)–篡改(modification)–伪造(fabrication)截获属于被动攻击,其他属于主动攻击计算机网络9.2.3网络安全层次划分计算机网络9.2.4网络安全评价标准•可信计算机系统评价准则(TCSEC)•欧洲安全评价标准(ITSEC)•加拿大安全评价标准(CTCPEC)•美国联邦准则(FC)•国际通用准则(CC)•中国国家安全评价标准计算机网络9.3数据加密技术•9.3.1网络安全模型•9.3.2对称密钥密码体制•9.3.3数据加密标准计算机网络9.3.1网络安全模型•网络安全模型–数据加密过程为:•在发送端,明文X用加密算法E和加密密钥K处理后得到密文Y=EK(X),密文在信道上传输•到达接收端后,利用解密算法D和解密密钥H解出明文计算机网络安全服务的设计包括的四个内容•设计安全算法,该算法应是攻击者无法破解的•生产算法所使用的密钥信息•设计分配、传递和共享密钥的方法•指定通信双方使用的利用安全算法和秘密信息实现安全服务的协议计算机网络9.3.2对称密钥密码体制•对称密钥密码体制–也称为常规密钥密码体制–加密密钥与解密密钥是相同的•大多数传统的加密技术采用的是–改变明文字符顺序的置换方式–以及将明文字母映射为另一个字母的替换方式•执行加密功能的模块称为加密器(cipher)计算机网络9.3.3数据加密标准DES最初是在20世纪60年代由IBM公司研制的,1977年被美国国家标准局NBS,即现在的国家标准和技术研究所NIST采纳,成为美国联邦信息标准,ISO曾把DES作为数据加密标准DES是世界上第一个公认的实用密码算法标准计算机网络9.4公钥密码体制•9.4.1公钥密码体制的概念•9.4.2公钥密码体制的算法•9.4.3数字签名技术•9.4.4报文鉴别技术•9.4.5密钥分配技术•9.4.6链路加密与端到端加密计算机网络9.4.1公钥密码体制的概念•公钥密码体制的出现是密码技术的一次革命–公钥密码体制是1976年由Stanford大学的科研人员Diffie和Hellman提出的•公钥密码体制也称为非对称密钥体制,是使用不同的加密密钥和解密密钥•是一种由已知加密密钥推导出解密密钥在计算上是不可行的密钥体制–公钥密码体制出现的原因主要是两个•一个是用来解决常规密钥密码体制中的密钥分配(keydistribution)问题•另一个是解决和实现数字签名(digitalsignature)–在公钥密码体制中•加密密钥也称为公钥PK,是公开信息•解密密钥称为私钥SK,不公开是保密信息,私钥也叫秘密密钥•加密算法E和解密算法D也是公开的计算机网络9.4.3数字签名技术采用公钥加密算法要比用常规密钥算法更容易实现数字签名实现数字签名也同时实现了对报文来源的鉴别可以做到对反拒认或伪造的鉴别计算机网络9.4.4报文鉴别技术•报文鉴别(messageauthentication)主要用来对付主动攻击中的篡改和伪造–报文鉴别是一种过程,通过这一过程,接收方可以验证所接收报文的发送者、报文内容、发送的时间、序列等的真伪计算机网络报文摘要加密的实现过程报文鉴别(messageauthentication)主要用来对付主动攻击中的篡改和伪造。报文鉴别是一种过程,通过这一过程,接收方可以验证所接收报文的发送者、报文内容、发送的时间、序列等的真伪计算机网络9.4.5密钥分配技术•公钥密码体制的主要作用之一就是解决密钥分配问题,人们已经提出了以下几种公钥分配方案:–公开发布–公开可访问目录–公钥授权–公钥证书•通过设立密钥分配中心KDC来分配密钥•KDC可以在报文中加入时间戳,以防止截取者利用以前记录下来的报文实施重放攻击计算机网络9.5防火墙技术及结构•9.5.1防火墙技术的概念•9.5.2防火墙的结构计算机网络9.5.1防火墙技术的概念•防火墙技术位于内网和外网之间–防火墙(firewall)用来作为内网和外网之间的屏障,控制内部网络和外部Internet的连接•内网称为可信赖的网络•而外网被称为不可信赖的网络–从逻辑上说,防火墙是一个分离器,是一个限制器,是一个分析器–防火墙有两种基本类型:•协议包过滤•应用代理计算机网络9.5.2防火墙的结构•1.双宿主机结构•2.屏蔽主机结构•3.屏蔽子网结构•4.壁垒主机/代理服务器构成的防火墙计算机网络防火墙的图示-1计算机网络防火墙的图示-2计算机网络9.6入侵检测技术•9.6.1入侵检测系统的定义和分类•9.6.2入侵检测系统与P2DR模型•9.6.3入侵检测系统模型计算机网络9.6.1入侵检测系统的定义和分类•入侵检测系统的定义和分类–入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为–具有入侵检测功能的系统称为入侵检测系统,简称入侵检测系统IDS(IntrusionDetectionSystem)–入侵检测是对企图入侵﹑正在进行的入侵或者已经发生的入侵进行识别的过程–入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型–从数据分析手段看,入侵检测通常可以分为两类:•误用(Misuse)入侵检测•异常(Anomaly)入侵检测计算机网络9.6.2入侵检测系统与P2DR模型•P2DR模型最早由ISS公司提出,P2DR是–Policy(策略)﹑Protection(防护)﹑Detection(检测)﹑Response(响应)的缩写–具有动态性和基于时间的特性计算机网络9.6.3入侵检测系统模型•入侵检测系统模型依据通用入侵检测框架CIDF,由五个主要部分组成。图中粗实线为控制信息,空心箭头为检测处理数据。CIDF组件之间通过实时数据流模型相互交换数据,并且采用“通用入侵检测对象(GIDO)”作为系统各种数据交换、存储的标准