第11章

網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全

11.1網(wǎng)絡(luò)管理概述11.1.1網(wǎng)絡(luò)管理的目的和內(nèi)容1．網(wǎng)絡(luò)管理的目的網(wǎng)絡(luò)管理，簡單地說就是為了保證網(wǎng)絡(luò)系統(tǒng)能夠持續(xù)、穩(wěn)定、高效和可靠地運行，對組成網(wǎng)絡(luò)的各種軟硬件設(shè)施和人員進行的綜合管理2．網(wǎng)絡(luò)管理的基本內(nèi)容

（1）數(shù)據(jù)通信網(wǎng)中的流量控制（2）路由選擇策略管理（3）網(wǎng)絡(luò)安全保護（4）網(wǎng)絡(luò)的故障診斷與修復(fù)11.1.2網(wǎng)絡(luò)管理系統(tǒng)的構(gòu)成

網(wǎng)絡(luò)管理系統(tǒng)是用于實現(xiàn)對網(wǎng)絡(luò)的全面有效的管理、實現(xiàn)網(wǎng)絡(luò)管理目標(biāo)的系統(tǒng)。在一個網(wǎng)絡(luò)的運行管理中，網(wǎng)絡(luò)管理人員是通過網(wǎng)絡(luò)管理系統(tǒng)對整個網(wǎng)絡(luò)進行管理的。一個網(wǎng)絡(luò)管理系統(tǒng)從邏輯上包括管理對象、管理進程、管理信息庫和管理協(xié)議4部分。11.1.3網(wǎng)絡(luò)管理的功能

1．配置管理2．故障管理3．性能管理4．安全管理5．計費管理11.2簡單網(wǎng)絡(luò)管理協(xié)議

11.2.1SNMP模型

SNMP是一個應(yīng)用層網(wǎng)絡(luò)協(xié)議。該協(xié)議設(shè)計的主要目的是為網(wǎng)絡(luò)設(shè)備之間提供管理信息交換的設(shè)施。采用SNMP協(xié)議訪問網(wǎng)絡(luò)管理信息，網(wǎng)絡(luò)管理人員可以更加容易地管理網(wǎng)絡(luò)，發(fā)現(xiàn)和解決網(wǎng)絡(luò)問題1．網(wǎng)絡(luò)管理站網(wǎng)絡(luò)管理站（管理進程，Manager）2．被管理站被管理站（管理代理，Agent）包括主機、網(wǎng)關(guān)、服務(wù)器、路由器、交換機等網(wǎng)絡(luò)設(shè)備3．管理信息庫MIBMIB是一個概念上的數(shù)據(jù)庫，由管理對象組成。11.2.2SNMP協(xié)議

在SNMP中，只定義了以下4種操作。①取（get）：從管理代理那里取得指定的MIB變量值。②取下一個（getnext）：從管理代理表中取得下一個指定的MIB值。③設(shè)置（get）：設(shè)置管理代理指定的MIB變量值。④報警（trap）：當(dāng)管理代理發(fā)生錯誤時，立即向網(wǎng)絡(luò)管理站報警11.2.3SNMPv2

1996年推出的SNMPv2能夠克服上述缺點，但在安全性方面也過于復(fù)雜。SNMPv2增加了一個叫做get-bulk-request的命令，可一次從路由器的路由表中讀取許多行信息，而不像SNMPv1那樣，一次只讀一行信息；SNMPv2的另一個特點是改進了原來的get命令。SNMPv1在使用get命令讀取多個變量的信息時，只要有一個變量值不能返回，整個的get命令就被拒絕，因此管理進程就減少了變量數(shù)目，要重新發(fā)送get命令。SNMPv2的get命令允許返回部分的變量值，這就可提高效率，減少網(wǎng)上通信量。11.3常見的網(wǎng)絡(luò)管理系統(tǒng)

1．HPOpenViewHPOpenView是第—個綜合的、開放的、基于標(biāo)準的管理平臺，構(gòu)成從LAN到WAN等各種計算機環(huán)境的基礎(chǔ)。2．CiscoWorksCiscoWorks是Cisco公司為網(wǎng)絡(luò)系統(tǒng)管理提供的一個基于SNMP的管理軟件系列。CiscoWorks主要提供以下功能。①自動安裝管理器。②遠程連接功能③圖形管理界面④配置文件管理。⑤與管理人員的聯(lián)系⑥設(shè)備管理⑦廣域命令組合工具⑧設(shè)備內(nèi)部狀態(tài)監(jiān)視器。⑨脫機網(wǎng)絡(luò)性能分析⑩安全管理器。11.4網(wǎng)絡(luò)安全

11.4.1網(wǎng)絡(luò)安全概述1．網(wǎng)絡(luò)安全的概念“網(wǎng)絡(luò)安全”可理解為“網(wǎng)絡(luò)系統(tǒng)不存在任何威脅狀態(tài)”。為防范諸如病毒的破壞、黑客的入侵、計算機犯罪、人為的主動或被動攻擊等威脅，可采取一些措施來保證網(wǎng)絡(luò)系統(tǒng)的安全。2．網(wǎng)絡(luò)面臨的不安全因素

（1）網(wǎng)絡(luò)系統(tǒng)的脆弱性（2）網(wǎng)絡(luò)系統(tǒng)的威脅（3）計算機病毒11.4.2網(wǎng)絡(luò)安全策略和安全措施

1．網(wǎng)絡(luò)安全策略

一個常用的網(wǎng)絡(luò)安全策略模型是PDRR模型，如圖11.3所示。PDRR是四個英文單詞的字頭：Protection（防護）、Detection（檢測）、Response（響應(yīng)）和Recovery（恢復(fù)）。2．網(wǎng)絡(luò)安全措施

（1）安全立法（2）安全管理（3）網(wǎng)絡(luò)實體安全保護（4）系統(tǒng)訪問控制（5）數(shù)據(jù)加密保護11.4.3網(wǎng)絡(luò)安全機制和安全服務(wù)

1．網(wǎng)絡(luò)安全機制在文件中規(guī)定的網(wǎng)絡(luò)安全機制有8項：加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、鑒別交換機制、信息量填充機制、路由控制機制和公證機制2．網(wǎng)絡(luò)安全服務(wù)在文件中規(guī)定的網(wǎng)絡(luò)安全服務(wù)有6項：對等實體鑒別服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源鑒別服務(wù)和非否認服務(wù)。11.5數(shù)據(jù)加密技術(shù)

11.5.1密碼學(xué)的基本概念密碼學(xué)（Cryptography）是一門古老的學(xué)科。早在幾千年前，人類就已經(jīng)有了保密通信的思想和方法，但這些保密方法都是非常樸素、原始和低級的，而且大多數(shù)是無規(guī)律的11.5.2密碼體制及算法

1．DES算法

DES算法能對64位二進制數(shù)碼組成的數(shù)據(jù)組在56位密鑰的控制下進行加密和解密，56位密鑰包含在64位密鑰組中，圖11.5所示是DES算法流程略圖。2．RSA算法

Diffie

和Hellman在1976年提出的“公開密鑰密碼體制”的概念，開創(chuàng)了密碼學(xué)研究的新方向。在此前的傳統(tǒng)密碼體制研究中所用的加密密鑰和解密密鑰均相同或相近。在公開密鑰密碼體制中，加密密鑰Kc

是公開的（Kc

也叫公開密鑰），而解密密鑰Kd

是保密的（Kd

也叫保密密鑰）。加密算法E和解密算法D也是公開的。11.5.3通信加密方式

1．鏈路加密鏈路加密（LinkEncryption）是用來保護兩個相鄰節(jié)點之間的鏈路上傳輸?shù)臄?shù)據(jù)，它與該數(shù)據(jù)的起始和終結(jié)無關(guān)。2．端—端加密端—端加密（End-to-EndEncryption）是對兩個用戶之間傳輸?shù)臄?shù)據(jù)連續(xù)提供安全保護。11.5.4鑒別技術(shù)

1．?dāng)?shù)字簽名在日常生活中經(jīng)常用到簽名，簽名可對當(dāng)事人起到鑒別、核準和生效的作用2．報文鑒別報文鑒別是指在兩個通信用戶之間建立通信聯(lián)系，每個用戶對收到的信息進行驗證，以保證所收到的信息是真實的。這種驗證過程必須確定3個內(nèi)容：●報文是由指定的發(fā)送方產(chǎn)生的；●報文內(nèi)容沒有被修改過；●報文是按已傳送的相同順序收到的。3．身份鑒別一個網(wǎng)絡(luò)系統(tǒng)的安全性常常依賴于終端用戶身份的正確識別與檢驗。一個典型的例子是銀行的ATM機，它為銀行的正常用戶提供現(xiàn)金，但它必須對取款用戶的身份進行驗證，以防非法用戶的欺詐行為。對網(wǎng)絡(luò)系統(tǒng)的訪問也必須根據(jù)訪問者的身份加以一定的限制，這些都是最基本的安全需要。身份鑒別一般涉及兩方面的內(nèi)容：一個是識別，一個是驗證。11.6防火墻

11.6.1防火墻概述網(wǎng)絡(luò)防火墻是企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)（Internet）之間所設(shè)立的執(zhí)行訪問控制策略的安全系統(tǒng)，它在內(nèi)部網(wǎng)和Internet之間設(shè)置控制，以阻止外界對內(nèi)部資源的非法訪問，也可以防止內(nèi)部對外部的不安全訪問一般情況下，防火墻具有以下功能：●強化網(wǎng)絡(luò)安全策略，集中化的網(wǎng)絡(luò)安全管理；●記錄和統(tǒng)計網(wǎng)絡(luò)的訪問活動；●限制暴露用戶點，控制對特殊站點的訪