搜索
第11章网络管理与网络安全2一、网络管理概述(1)概述产生背景(网络的规模、资源、维护、安全)网络管理通过对网络资源和网络行为进行有效的测量、解释和控制,最大限度地增加网络及其设备的利用率,改善网络性能、服务质量和安全性。网络管理系统进行网络管理的软件系统。3一、网络管理概述(2)网络管理的功能FCAPS(五大功能域)a)故障管理(Fault)b)配置管理(Configuration)c)计费管理(Accounting)d)性能管理(Performance)e)安全管理(Security)4一、网络管理概述(3)网络管理者的职责规划建设维护扩展优化故障检测5二、网络管理协议(1)简单网络管理协议--SNMP基于TCP/IP协议事实上的计算机网络管理标准基本功能监视网络性能、检测分析网络故障、配置网络设备等。6二、网络管理协议(2)简单网络管理协议--SNMP组成a)管理者(manager)b)代理(agent)c)简单网络管理协议d)管理信息库(mib)工作原理7二、网络管理协议(3)简单网络管理协议--SNMP优点简单缺点a)不能有效传送大块数据b)容易形成系统“瓶颈”c)安全性差8二、网络管理协议(4)SNMPv2和SNMPv3SNMPv2a)一次读取多条信息b)采用多级管理方法,解决瓶颈问题c)安全设计十分复杂SNMPv3三种安全功能:鉴别、保密、存取控制9二、网络管理协议(5)公共管理信息协议--CMIPOSI提出的标准功能远强于SNMP,但太复杂用于电信管理网(TMN)CMOT(CMIPOverTCP/IP)Internet提出的远期标准10三、网络安全概述(1)计算机网络面临的安全威胁被动攻击--不干扰信息a)截获(interception)--通信量分析主动攻击--处理信息a)中断(interruption)b)篡改(modification)c)伪造(fabrication)d)恶意程序攻击11三、网络安全概述(2)计算机网络面临的安全威胁恶意程序--广义的计算机病毒a)计算机病毒(computervirus)b)计算机蠕虫(computerworm)c)特洛伊木马(trojanhorse)d)逻辑炸弹(logicbomb)12三、网络安全概述(3)计算机网络针对安全威胁采取的措施对付被动攻击的方法数据加密技术方式:链路加密、节点到节点加密、端到端的加密对付主动攻击的方法数据加密技术+鉴别技术13三、网络安全概述(4)计算机网络安全的内容保密性保密机制是许多其他安全机制的基础。安全协议的设计针对具体的攻击设计安全协议。存取控制数据加密技术+鉴别技术14四、数据加密(1)一般的数据加密模型E加密算法D解密算法密文Y=Ek1(X)明文X明文X安全通道密钥源加密密钥K1解密密钥K215四、数据加密(2)数据加密技术分类常规密钥密码体制a)加密密钥和解密密钥相同b)替代密码c)置换密码d)数据加密标准DES(美国):64bit密钥e)国际数据加密算法IDEA:128bit密钥16四、数据加密(3)数据加密技术分类公开密钥密码体制a)主要解决密钥分配问题b)加密密钥和解密密钥不同c)加密密钥(公钥)PK公开,解密密钥(私钥)SK保密,加密算法E和解密算法D也都公开d)由加密密钥推导解密密钥在计算上不可行17四、数据加密(4)数据加密技术分类公开密钥密码体制e)加密运算和解密运算可以对调Dsk(Epk(X))=X=Epk(Dsk(X))f)RSA标准(美国)任何加密方法的安全性取决于密钥的长度和攻破密钥所需要的计算量18五、报文鉴别(1)报文鉴别方法基于报文加密的a)常规密钥密码体制:只有通信双方才知道加密密钥b)公开密钥密码体制:数字签名基于非报文加密的报文鉴别码(MAC)19五、报文鉴别(2)数字签名需要解决的问题a)接收者能够确认是发送者发送的报文b)发送者对发送的报文不能够抵赖c)接收者不能伪造发送者发送的报文工作原理公开密钥密码体制的加密运算和解密运算可以对调的特性20五、报文鉴别(3)报文鉴别码根据报文和密钥生成的一个小数据块鉴别算法不进行反向计算报文摘要(MD)的三种使用方法a)通信双方使用同一个密钥b)加密使用私钥,解密使用公钥c)通信双方共享一小段秘密的数据块21六、防火墙(1)Intranet和ExtranetIntranet使用Internet技术构建的单位内部网Intranet的优点a)建造费用低b)人机接口界面好,易于使用c)连通性和兼容性好ExtranetIntranet的扩展,范围超过一个单位22六、防火墙(2)防火墙由软硬件组成,实现两个网络之间的存取控制策略功能--阻止+允许分类a)网络级防火墙:从网络层角度b)应用级防火墙:从应用层角度