计算机网络安全管理

计算机网络安全管理项目7计算机网络基础教程项目描述项目介绍网络管理的概念、目的、范围和功能，网络管理协议、网络管理系统的组成和功能、网络管理软件的基本分类、典型的网络管理系统、网络安全的概念、网络安全技术、计算机病毒及其防治等。7.1网络管理概述7.3网络管理系统7.5网络安全技术7.2简单网络管理协议7.4网络安全概述7.6计算机病毒及其防治C目录ONTENTS7.1网络管理概述7.3网络管理系统7.5网络安全技术7.2简单网络管理协议7.4网络安全概述7.6计算机病毒及其防治C目录ONTENTS7.1网络管理概述以下介绍网络管理的概念、网络管理的目的、网络管理的范围、网络管理的功能。7.1.1网络管理的概念伴随着网络的业务和应用的丰富，对计算机网络的管理与维护也就变得至关重要。网络管理就是为了加强和完善网络的性能。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称，其目标是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。7.1.2网络管理的目的目前，关于网络管理的定义很多，但都不够权威。一般来说，网络管理就是通过某种方式对网络进行管理，使网络能正常高效地运行，当网络出现故障时能及时报告和处理。7.1.2网络管理的目的网络管理过程包括了数据采集、数据处理、提交管理者进行数据分析、提出解决方案，甚至自动处理某些状况、产生报告等。其目的很明确，就是使网络中的资源得到更加有效的利用。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。7.1.3网络管理的范围网络管理范围涉及两方面，即网络管理的对象范围和内容范围。网络管理的对象范围经历了由窄到宽的发展。以前网络管理主要是对少数常用的网络节点设备进行维护，现在则主要是管理所有支持代理进程(委托代理)处理能力的网络设备，包括从个人数字助理到大型计算机的全部计算机设备。网络管理可以运行在当代各种联网协议上。7.1.3网络管理的范围网络管理的内容也在不断扩大。第一代网络管理框架主要负责重要网络设备和核心运行统计数据的监视工作；现在许多新的功能被加入到管理的范畴，网络管理除了具有强大的监视分析控制能力之外，还能正确快速地诊断或修复网络故障，提供完整的报表处理功能，提供图形化的管理界面和先进的管理工具，并逐步完善加密和保密的安全机制，使网络的运行日益接近正常、经济、可靠、安全的目标。7.1.4网络管理的功能根据国际标准化组织的定义，网络管理有五大功能：故障管理、配置管理、计费管理、性能管理、安全管理。这五大功能保证一个网络系统正常的运行，在网管设计和实施中通常都需要考虑实现。7.1.4网络管理的功能网络管理的五大功能相对应的五种管理形式常用首字母缩写词FCAPS表示。F：FaultManagement(故障管理)C：ConfigurationManagement(配置管理)A：AccountingManagement(计费管理)P：PerformanceManagement(性能管理)S：SecurityManagement(安全管理)7.1.4网络管理的功能一、网络故障管理计算机网络服务发生意外中断时，需要有一个故障管理系统来科学地管理网络发生的所有故障，并记录每个故障产生的相关信息，最后确定并排除故障，保证网络能提供连续可靠的服务。7.1.4网络管理的功能一个故障管理系统所具备的基本条件有如下几种：①监控和收集网络设备、流量情况及实时过程方面的统计信息，以避免和预测可能性故障。②设置极限并对可能发生的网络故障发出警报，以警告网络管理端。③设置警报，报告网络设备和链路上的性能退化情况。④设置警报，报告网络资源(诸如硬盘空间)使用和限制情况。⑤遥控网络设备的重启、关机等操作。⑥集中化的故障管理系统可以实现以上所有功能。7.1.4网络管理的功能典型的故障管理系统遵循以下几个步骤：①探测→分析→采取措施→差错检测②数据汇集③差错处理→诊断④事件记录→开始作用⑤服务重启⑥黑名单(Black-Listing)7.1.4网络管理的功能一旦出现故障，故障管理系统会产生一个报告并被发送至故障分析器。故障分析器诊断并记录故障问题。最后，系统或个人根据故障分析器上的信息采取适当措施，如隔离差错、黑名单或故障部件，自动重启/修复服务以及更换系统管理员。7.1.4网络管理的功能二、网络配置管理一个被使用的计算机网络是由多个厂家提供的产品、设备相互连接而成的，因此各设备需要相互了解和适应与其发生关系的其他设备的参数、状态等信息，否则就不能有效甚至正常工作。7.1.4网络管理的功能三、网络性能管理由于网络资源的有限性，因此最理想的是在使用最少的网络资源和具有最小通信费用的前提下，网络提供持续、可靠的通信能力，使网络资源的使用达到最优化的程度。7.1.4网络管理的功能四、网络计费管理在信息资源有偿使用的情况下，网络计费管理系统必须能够记录和统计哪些用户利用哪条通信线路传输了多少信息，以及做的是什么工作等。在非商业化的网络上，仍然需要统计各条线路工作的繁闲情况和不同资源的利用情况，以供决策参考。7.1.4网络管理的功能五、网络安全管理计算机网络系统的特点决定了网络本身安全的固有脆弱性，因此要确保网络资源不被非法使用，确保网络管理系统本身不遭受未经授权的访问，以及网络管理信息的机密性和完整性。7.1网络管理概述7.3网络管理系统7.5网络安全技术7.2简单网络管理协议7.4网络安全概述7.6计算机病毒及其防治C目录ONTENTS7.2简单网络管理协议本节将主要介绍简单网络管理协议SNMP的概念、特点、发展情况和简单协议内容。7.2.1什么是SNMPSNMP是简单网络管理协议SimpleNetworkManagementProtocol的英文缩写，是由Internet工程任务组织(InternetEngineeringTaskForce)的研究小组为解决Internet上的路由器管理问题而提出的。SNMP不但提供了一种从网络上的设备中收集网络管理信息的方法，也为设备向网络管理中心报告问题和错误提供了一种方法。7.2.1什么是SNMPSNMP为网络管理系统提供了底层网络管理的框架。SNMP的应用范围非常广泛，诸多种类的网络设备、软件和系统中都有所采用。7.2.1什么是SNMPSNMP有如下几个特点：首先，相对其他网络管理体系或管理协议而言，SNMP易于实现。其次，SNMP是开放的免费产品。再次，SNMP有很多详细的文档资料，是SNMP协议发展的基础。最后，SNMP可用于控制各种设备，而且都可以使用SNMP协议。7.2.1什么是SNMPSNMP是一种无连接协议。不支持像TELNET或FTP这种专门的连接。通过使用请求报文和返回响应的方式，SNMP在管理代理和管理员之间传送信息。这种机制减轻了管理代理的负担，它不必要非得支持其他协议及基于连接模式的处理过程。因此，SNMP提供了一种独有的机制来处理可靠性和故障检测方面的问题。7.2.1什么是SNMP另外，网络管理系统通常安装在一个比较大的网络环境中，其中包括大量的不同种类的网络和网络设备，因此，为划分管理职责，应该把整个网络分成若干个用户分区。7.2.2SNMP的发展SNMP被设计成与协议无关，所以它可以在IP、IPX、AppleTalk、OSI以及其他用到的传输协议上使用。7.2.3SNMP的内容SNMP是一系列协议组和规范，它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP定义了数据包的格式和网络管理员与管理代理之间的信息交换的方式，它还控制着管理代理的MIB数据对象，因此，它可用于处理管理代理定义的各种任务。7.2.3SNMP的内容SNMP之所以易于使用，是因为它对外提供了三种用于控制MIB对象的基本操作命令。①Set：是一个特权命令，通过它可以改动设备的配置或控制设备的运转状态。②Get：是SNMP协议中使用率最高的一个命令，因为该命令是从网络设备中获得管理信息的基本方式。③Trap：它的功能就是在网络管理系统没有明确要求的前提下，由管理代理通知网络管理系统有一些特别的情况或问题发生了。7.1网络管理概述7.3网络管理系统7.5网络安全技术7.2简单网络管理协议7.4网络安全概述7.6计算机病毒及其防治C目录ONTENTS7.3.1网管系统的组成和功能一个典型的网络管理系统包括四个要素：管理员、管理代理、管理信息数据库、代理服务设备。前三个要素是必需的，第四个是可选项。7.3.1网管系统的组成和功能一、管理员(Manager)网络管理软件的重要功能之一，就是协助网络管理员完成整个网络的管理工作。网络管理软件要求管理代理定期收集重要的设备信息，收集到的信息将用于确定独立的网络设备、部分网络或整个网络运行的状态是否正常。7.3.1网管系统的组成和功能二、管理代理(Agent)网络管理代理是驻留在网络设备中的软件模块，也称为管理代理软件。这里的设备可以是Unix工作站、网络打印机，也可以是其他的网络设备。管理代理软件可以获得本地设备的运转状态、设备特性、系统配置等相关信息。7.3.1网管系统的组成和功能管理代理软件所起的作用是，充当管理系统与管理代理软件驻留设备之间的中介，通过控制设备的MIB中的信息来管理该设备。管理代理软件可以把网络管理员发出的命令按照标准的网络格式进行转化，收集所需的信息，之后返回正确的响应。在某些情况下，管理员也可以通过设置某个MIB对象来命令系统进行某种操作。7.3.1网管系统的组成和功能路由器、交换器、集线器等许多网络设备的管理代理软件一般是由原网络设备制造商提供的，它可以作为底层系统的一部分，也可以作为可选的升级模块。设备厂商决定他们的管理代理软件可以控制哪些MIB对象，哪些对象可以反映管理代理软件开发者感兴趣的问题。7.3.1网管系统的组成和功能三、管理信息数据库(MIB)管理信息数据库定义了一种数据对象，它可以被网络管理系统控制。MIB是一个信息存储库，这里包括了数千个数据对象，网络管理员可以通过直接控制这些数据对象去控制、配置或监控网络设备。网络管理系统可以通过网络管理代理软件来控制MIB数据对象。7.3.1网管系统的组成和功能现在已经定义的有几种通用的标准管理信息数据库，这些数据库中包括了必须在网络设备中支持的特殊对象，所以这几种MIB可以支持简单网络管理协议(SNMP)。使用最广泛、最通用的MIB是MIB-II。7.3.1网管系统的组成和功能四、代理设备(Proxy)代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起桥梁作用。利用代理设备，不需要升级整个网络就可以实现从旧版本到新版本的过渡。7.3.2网络管理软件的分类从网络管理范畴来分类，网络管理软件(以下简称网管软件)可分为：对网“路”的管理，即针对交换机、路由器等主干网络进行管理；对接入设备的管理，即对内部PC、服务器、交换机等进行管理；对行为的管理，即针对用户的使用进行管理；对资产的管理，统计IT软、硬件信息。7.3.2网络管理软件的分类根据网管软件的发展历史，可以将网管软件划分为三代：第一代网管软件就是命令行方式，结合一些简单的网络监测工具。第二代网管软件有着良好的图形化界面。第三代网管软件相对来说比较智能，它是真正将网络和管理进行有机结合的软件系统，具有“自动配置”和“自动调整”功能。7.3.3典型网管系统介绍根据网络管理软件产品功能的不同，网络管理系统又可细分为五类，即网络故障管理软件，网络配置管理软件、网络性能管理软件、网络服务/安全管理软件、网络计费管理软件。一个完整的网管系统往往同时具备这五种功能，不过功能侧重点有所不同。当然，市面上现在也有许多小的工具软件，能辅助网络管理员实现网络管理的部分功能，它们也可以被称做网络管理系统。7.3.3典型网管系统介绍就国外网管厂商而言，主要有三大家：CAUnicenter、HPOpenView和IBMTivoli。这些系统的特点是功能强大，覆盖网络管理的计费、认证、配置、性能和故障的各个方面。缺点是需要专业化的技术团队进行管理，投入大