计算机网络安全及管理技术概述

第5章计算机网络安全及管理技术概述5.1计算机网络安全和防火墙技术5.1.1网络系统安全技术5.1.2防火墙5.1.3网络黑客与网络病毒5.1.4目录服务5.1.5远程访问的安全认证系统5.1.6系统安全设计5.1.7网络系统可靠性设计5.2网络管理5.2.1计算机网络管理功能5.2.2网络管理层次结构5.2.3网络管理平台与网络管理工具5.2.4简单网络管理协议SNMP5.2.5远程监控（RMON）5.2.6常用网络管理软件集成5.2.7计算机网络管理的实施5.2.8计算机网络管理的发展趋势计算机网络安全和防火墙技术5.1计算机网络安全是指通过采取各种技术的和管理的措施，确保网络数据的可用性、完整性和保密性，其目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。1.什么是计算机安全国际标准化组织ISO对计算机安全作了如下定义：计算机安全是指为保护数据处理系统而采取的技术的和管理的安全措施，保护计算机硬件、软件和数据不会因偶然或故意的原因而遭到破坏、更改和泄密。5.1.1网络系统安全技术计算机安全基础2.计算机硬件的安全性；软件安全性；数据安全性；计算机运行安全性。计算机安全的主要内容安全等级D1级C1级C2级B1级B2级B3级A1级主要内容安全保护欠缺级，无安全保护级，计算机安全的最低一级自主安全保护级受控存取保护级，实施比C1级更精细的自主访问控制标记安全保护级,从本级开始,不仅具有自主访问控制,而且具有强制访问控制结构化保护级安全域级验证设计级4.保护计算机安全的措施5.计算机安全等级3.破坏计算机安全的途径网络安全基础网络安全控制措施物理安全访问控制传输安全123网络安全的内涵可能受到威胁的网络资源网络安全问题日益突出的主要原因攻击网络安全的方法和类型12345.1.2防火墙什么是防火墙防火墙是一种访问控制技术，它用于加强两个或多个网络间的边界防卫能力。设置防火墙的原因因为传统的子网系统往往把自己完全暴露在一些本身并不安全的服务下，暴露在外界主机的侦探和攻击下。这样，子网的安全就要完全依靠于各个主机，并且要求各个主机有相同的安全度。内部网络外部网络(Internet)防火墙●防火墙的基本概念●防火墙技术分类网络层防火墙网络层防火墙通常是以路由器为基础。这种方案采用了一种所谓的“数据包过滤”技术，即检查到达路由器的外部数据包并作出选择的技术。应用层防火墙应用层防火墙也称为代理服务器，它能够代替网络用户完成特定的TCP/IP功能，控制对应用程序的访问。Internet内部Web服务代理外部Web服务代理请求返回getx.htmlreturnx.htmlWeb浏览器应用层防火墙网络层防火墙应用层防火墙项目分类便宜，可设置在内部网络与Internet相连接的路由器上，无需另购比网络层防火墙要高得多，需要购置专门的软件及高性能的硬件系统，否则会产生严重的通信瓶颈简单，过滤规则易于维护复杂。管理员不仅需要清楚地了解TCP/IP，还需要为存储、监视和报告功能作出最合理的设置功能单一。按照规则表对数据包进行过滤；只能提供基本的统计记录功能多，应用灵活。能够提供许多报告、统计和监控的手段，以控制网络的运行；提供有益的内部网络功能，如存储频繁访问页，设置拒绝与缺乏商业价值的站点建立连接要求所有的内部主机都要有正确分配的地址。这些地址在Internet上都是可见的，可以被Internet上的系统访问允许内部网络使用任何寻址模式，因为能够与Internet实现真正通信的唯一系统就是应用层防火墙。这就使管理员可以不受任何约束地对其内部网络进行灵活的编址价格安装、配置与管理功能编址方式网络层防火墙和应用层防火墙比较(1)网络层防火墙应用层防火墙项目分类使用路由器过滤数据包可以有效地阻止罪犯进入内部网络，但罪犯有可能绕过过滤器。整个内部网络容易受到来自Internet的入侵。使内部网络与外部网络完全隔离。监视外部主机的连接企图，并使用启发式分析，确定是否有罪犯要闯入网络。防火墙系统中还存有可疑活动的详细报告，管理人员可以利用该报告调查有潜在危险的Internet主机，并采取预防措施。资金有限，缺乏管理更复杂的应用层防火墙的专门技术，拥有的系统没有很大的风险，只配有少数的可供访问Internet的服务程序(Telnet、、E-mail)。需要网络安全的大量资金,拥有管理应用层防火墙的软件和硬件技术,网络管理需要有监视网络连接的详细的报告和统计,系统的保密性和安全性高,需要使内部网络与Internet相隔离。安全性适用情况网络层防火墙和应用层防火墙比较(2)●防火墙应用系统1.单一网络过滤过滤路由器内部网络外部网络(Internet)2.双宿主网关网卡1网卡2代理服务器双宿主主机10.10.10.10123.123.123.123内部网络外部网络(Internet)3.过滤路由器应用网关（代理服务器）内部网络外部网络(Internet)主机过滤外部网络(Internet)应用网关（代理服务器）内部过滤路由器外部过滤路由器内部网络4.子网过滤●防火墙产品介绍FireWall-1PIX防火墙NetScreen1235.1.3网络黑客与网络病毒黑客一词是指程序员，而不是那些非法破坏系统安全的人。入侵者是指怀着不良的企图，闯入甚至破坏远程机器系统完整性的人。网络黑客与入侵者几类常见的被入侵者所采用的软件技术1.扫描器2.网络监听3.特洛伊木马（Trojanhorse）简称为特洛伊（Trojan）网络病毒●CIH病毒●红色代号(Win32CodeRed3569)病毒●红色代码II（Win32CodeRed28192）●蓝色代码II●Nimda病毒●Sircam病毒（W32SircamWorm@mm）5.1.4目录服务什么是目录目录就是一个数据库，它包含了网络以及在网络上运行的应用程序所需的信息。每一个网络，即使是简单的网络，也会有某种形式的目录，而且通常不只一个。为什么使用目录(1)一次登录(2)安全(3)设备识别和定位(4)位置无关(5)简化管理(6)可靠性LDAP（轻型目录访问协议）是促使目录流行的关键技术，是目录服务器的Internet标准协议。LDAP简介●活动目录与Novell目录服务的区别●活动目录紧密地和DNS集成；而NDS却根本没有使用DNS。●活动目录使用LDAP作为它的捆绑协议；而NDS则使用了一个运行于NetWare核心协议之上的，类似于X.500的目录访问协议。●活动目录提供了与其他LDAP兼容的目录的集成；NDS虽然在版本8中将会改变，但目前是不支持的。●活动目录域（划分）可作为安全边界；而NDS树在安全性方面是同构的，树中不存在固有的安全边界。●活动目录的模式可在运行时被扩展；而NDS的模式必须在停止NDS服务并重新启动NDS后才能进行扩展，这一点也许会在NDS版本8中有所改变。●活动目录仅运行于Windows2000之上；而NDS则可在NetWare服务器、Linux、WindowsNT4和Solaris之上运行。活动目录与Novell目录服务、WindowsNT4域的区别●●活动目录的名字空间是层次结构的；而WindowsNT4域所支持的名字空间则是平面结构的，也就是说，一个WindowsNT4的域可以包含用户，但是不能包含子域。●活动目录不再是由一个主域控制器（PDCs）和零或多个备份域控制器（BDCs）构成，而是采用了一个多主控制器的结构，其中所有的域控制器（DC）都是对等的。●WindowsNT4中域之间的信任关系（即允许一个域能安全地访问另一个域的能力）是单向的，而活动目录中所有的信任关系则是一种内在的双向关系。●WindowsNT4中域之间的信任关系是不可传递的。●WindowsNT4中域之间的信任关系必须手工定义；而活动目录中的信任关系则是自动地建立和维护。活动目录与WindowsNT4域的区别5.1.5远程访问的安全认证系统远程访问控制的安全包含三方面的内容：认证、授权和记账。远程访问系统PCModermModerm池拨号访问服务器NAS文件服务器认证服务器PSTNInternetPPPSLIPIP远程访问控制系统模型RADIUS和TACACSRADIUS（RemoteAuthenticationDialInUserService）和TACACS（TerminalAccessControllerAccessControlSystem）是远程访问控制的两个开放协议标准，它们被广泛地实现在各种拨号服务器中。5.1.6系统安全设计UNIX系统安全特性(1)口令安全(2)文件许可权(3)目录许可(4)umask命令(5)设置用户ID和同组用户ID许可(6)cp和mv命令(7)su和newgrp命令(8)文件加密(9)其他安全问题WindowsNT4Server安全特性(1)账号规则(2)用户权规则(3)委托关系(4)审核规则(5)网络层防火墙功能5.1.7网络系统可靠性设计网络可靠性主要指系统的容错能力，即当网络系统突然发生故障时，系统能够继续工作及迅速恢复的能力。本节就网络系统设计中涉及到的几个方面介绍一下系统的容错与冗余设计。1.软件容错2.硬件容错3.容错存储4.数据备份5.容错电源5.2网络管理5.2.1计算机网络管理功能用户管理配置管理性能管理故障管理1234计费管理安全管理其他网络管理功能5675.2.2网络管理层次结构网络管理层次结构网络管理员操作界面网络管理应用软件网络管理工具网络管理平台网络管理协议网络平台5.2.3网络管理平台与网络管理工具网络管理平台指包括网络管理软件和网络管理应用程序的网络系统。5.2.4简单网络管理协议SNMP●网络管理核心技术网络管理工具的核心主要由SNMP技术与RMON(远程监控)技术组成。SNMP管理模型SNMP的基本功能包括网络性能监控、网络差错检测分析和网络配置。NMC用户接口MIB代理MIB代理MIB代理被管设备SNMPSNMPNMP网络SNMPV.1的网络管理模型对代理资源的要求尽可能少，代理软件成本尽可能低。最大地保持远程管理功能，以便充分利用TCP/IP网络的资源。SNMP体系结构的主要目标SNMP操作命令保持远程管理功在SNMP中只定义了4种操作：●取（get）——从代理那里取得指定的MIB变量的值；●取下一个（getnext）——从代理的表中取得下一个指定的MIB的值；●设置（set）——设置代理的指定MIB的变量的值；●报警（trap）——当代理发生错误时立即向网络管理站报警，不需等待接收方响应。能，以便充分利用TCP/IP网络的资源。SNMP代理和管理站通过标准消息通信，这些消息中的每一个都是一个单个的包。因此，SNMP使用UDP（用户数据报协议）作为第4层即传输协议。Layer7Layer6Layer5Layer4Layer3Layer2Layer1SNMPOSI表示层OSI会话层UDPIPOSI数据链路层物理层SNMP的OSI参考模型SNMP有5种消息类型：GetRequestGetResponseGetNextRequestSetRequestTrap●简单网络管理协议SNMP的工作原理没有伸缩型，在大型网络中，轮询会产生巨大的网络管理通信量，因而导致通信拥挤的情况发生。它将收集数据的负担加在网络管理控制台上，在管理几个网段时也许能轻松的收集网络信息，当它们监控许多网段时，就非常困难了。●SNMP的弱点5.2.5远程监控（RMON）RMON分为嵌入式和分布式两种：嵌入式RMON当RMON嵌入到网络设备（如集线器）之中时，它的作用效率更高、经济上更划算，可以一次监控所有连通的局域网网段。分布式RMONRMONI及RMONⅡ在7层模型中的层次应用层表示层会话层运输层网络层数据链路层物理层标准RMONII标准RMONI企业级RMON5.2.6常用网络管理软件集成网络管理产品按照管理的规模，主要分为局域网管产品和分布式平台产品两大类：●局域网网管主要用于小规模局域网，如工作组或部门的网络。●分布式网管平台用于中大规模网络