第七章網(wǎng)絡(luò)安全與管理一、教學(xué)目標(biāo)：1.了解網(wǎng)絡(luò)安全與管理及相關(guān)的法律法規(guī)2.了解網(wǎng)絡(luò)資源管理的方法3.了解網(wǎng)絡(luò)管理協(xié)議4.了解網(wǎng)絡(luò)病毒、黑客的危害5.掌握網(wǎng)絡(luò)病毒、黑客的防治6.掌握常見網(wǎng)絡(luò)安全技術(shù)及實(shí)現(xiàn)方法二、教學(xué)重點(diǎn)、難點(diǎn)網(wǎng)絡(luò)資源管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)病毒黑客的危害及防治三、技能培訓(xùn)重點(diǎn)、難點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)資源的管理、網(wǎng)絡(luò)防火墻的設(shè)置、網(wǎng)絡(luò)病毒黑客防治四、教學(xué)方法教師講解、演示、提問；五、教具使用計(jì)算機(jī)一臺(tái)、多媒體幻燈片演示六、教學(xué)內(nèi)容與過程引入：舉幾個(gè)安全事例引入新課第7章網(wǎng)絡(luò)安全與管理7．1網(wǎng)絡(luò)安全與管理1．網(wǎng)絡(luò)安全的內(nèi)容網(wǎng)絡(luò)安全涉及的內(nèi)容主要包括：外部環(huán)境安全、網(wǎng)絡(luò)連接安全、操作系統(tǒng)安全、應(yīng)用系統(tǒng)安全、管理制度安全、人為因素影響。2．網(wǎng)絡(luò)管理所謂網(wǎng)絡(luò)管理，是指用軟件手段對(duì)網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)視、控制、診斷和測(cè)試所采用的技術(shù)和方法。網(wǎng)絡(luò)管理涉及三個(gè)方面：（1）網(wǎng)絡(luò)服務(wù)提供：是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能。（2）網(wǎng)絡(luò)維護(hù)：是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、故障診斷、故障隔離與恢復(fù)。（3）網(wǎng)絡(luò)處理：是指網(wǎng)絡(luò)線路及設(shè)備利用率，數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。3．網(wǎng)絡(luò)管理系統(tǒng)一個(gè)網(wǎng)絡(luò)管理系統(tǒng)從邏輯上可以分為以下三個(gè)部分：（1）管理對(duì)象（2）管理進(jìn)程（3）管理協(xié)議4．OSI管理功能域OSI網(wǎng)絡(luò)管理標(biāo)準(zhǔn)將開放系統(tǒng)的網(wǎng)絡(luò)管理功能劃分成五個(gè)功能域，即配置管理、故障管理、性能管理、安全管理、記賬管理，這些功能域分別用來完成不同的網(wǎng)絡(luò)管理功能。5.網(wǎng)絡(luò)安全法律法規(guī)7．2網(wǎng)絡(luò)資源管理的方法1．網(wǎng)絡(luò)資源的表示在網(wǎng)絡(luò)管理協(xié)議中采用面向?qū)ο蟮母拍顏砻枋霰还芫W(wǎng)絡(luò)元素的屬性。網(wǎng)絡(luò)資源主要包括：硬件、軟件、數(shù)據(jù)、用戶、支持設(shè)備。2．網(wǎng)絡(luò)管理的目的為滿足用戶解決網(wǎng)絡(luò)性能下降和改善網(wǎng)絡(luò)瓶頸的需要，根據(jù)用戶網(wǎng)絡(luò)應(yīng)用的實(shí)際情況，為用戶設(shè)計(jì)并實(shí)施檢測(cè)方案，從不同的角度做出分析，最終定位問題和故障點(diǎn)，并提供資源優(yōu)化和系統(tǒng)規(guī)劃的建議。7．3網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議是代理和網(wǎng)絡(luò)管理軟件交換信息的方式，它定義使用什么傳輸機(jī)制，代理上存在何種信息以及信息格式的編排方式。1．SNMP協(xié)議SNMP是“SimpleNetworkManagementProtocol”的縮寫，中文含義是“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議”，是TCP/IP協(xié)議簇的一個(gè)應(yīng)用層協(xié)議，它是隨著TCP/IP的發(fā)展而發(fā)展起來的。SNMP作為一種網(wǎng)絡(luò)管理協(xié)議，它使網(wǎng)絡(luò)設(shè)備彼此之間可以交換管理信息，使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)的性能，定位和解決網(wǎng)絡(luò)故障，進(jìn)行網(wǎng)絡(luò)規(guī)劃。SNMP的網(wǎng)絡(luò)管理模型由三個(gè)關(guān)鍵元素組成：被管理的設(shè)備（網(wǎng)元）、代理（agent）、網(wǎng)絡(luò)管理系統(tǒng)（NMS，NetworkManagementSystem）。2．RMONRMON（RemoteMonitoring，遠(yuǎn)程監(jiān)控）是關(guān)于通信量管理的標(biāo)準(zhǔn)化規(guī)定，RMON的目的就是要測(cè)定、收集、管理網(wǎng)絡(luò)的性能，為網(wǎng)絡(luò)管理員提供復(fù)雜的網(wǎng)絡(luò)錯(cuò)誤診斷和性能調(diào)整信息。7．4網(wǎng)絡(luò)病毒的防范1．網(wǎng)絡(luò)與病毒國(guó)際互聯(lián)網(wǎng)開拓型的發(fā)展，信息與資源共享手段的進(jìn)一步提高，也為計(jì)算機(jī)病毒的傳染帶來新的途徑，病毒已經(jīng)能夠通過網(wǎng)絡(luò)的新手段攻擊以前無法接近的系統(tǒng)。企業(yè)網(wǎng)絡(luò)化的發(fā)展也有助于病毒的傳播速度大大提高，感染的范圍也越來越廣。可以說，網(wǎng)絡(luò)化帶來了病毒傳染的高效率，從而加重了病毒的威脅。2．網(wǎng)絡(luò)病毒的防范基于網(wǎng)絡(luò)的多層次的病毒防護(hù)策略是保障信息安全、保證網(wǎng)絡(luò)安全運(yùn)行的重要手段。從網(wǎng)絡(luò)系統(tǒng)的各組成環(huán)節(jié)來看，多層防御的網(wǎng)絡(luò)防毒體系應(yīng)該由用戶桌面、服務(wù)器、Internet網(wǎng)關(guān)和病毒防火墻組成。先進(jìn)的多層病毒防護(hù)策略具有三個(gè)特點(diǎn)：層次性、集成性、自動(dòng)化。7．5網(wǎng)絡(luò)黑客入侵的防范黑客（hacker），常常在未經(jīng)許可的情況下通過技術(shù)手段登錄到他人的網(wǎng)絡(luò)服務(wù)器甚至是連結(jié)在網(wǎng)絡(luò)上的單機(jī)，并對(duì)其進(jìn)行一些未經(jīng)授權(quán)的操作。1．攻擊手段非授權(quán)訪問、信息泄漏或丟失、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、利用網(wǎng)絡(luò)傳播病毒。2．防范手段防范黑客入侵不僅僅是技術(shù)問題，關(guān)鍵是要制定嚴(yán)密、完整而又行之有效的安全策略。它包括三個(gè)方面的手段：法律手段、技術(shù)手段、管理手段。7．6幾種常見網(wǎng)絡(luò)安全技術(shù)1．防火墻的作用防火墻（firewall）是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻能有效地防止外來的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：（1）控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包；（2）提供使用及流量的日志和審計(jì)；（3）隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；（4）提供VPN功能。2．防火墻的技術(shù)防火墻總體上分為包過濾、應(yīng)用級(jí)網(wǎng)關(guān)、代理服務(wù)器和狀態(tài)檢測(cè)技術(shù)等幾大類型。3．設(shè)置防火墻的要素（1）網(wǎng)絡(luò)策略影響防火墻系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述防火墻如何限制和過濾在高級(jí)策略中定義的服務(wù)。（2）服務(wù)訪問策略典型的服務(wù)訪問策略是：允許通過增強(qiáng)認(rèn)證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機(jī)和服務(wù)；允許內(nèi)部用戶訪問指定的Internet主機(jī)和服務(wù)。（3）防火墻設(shè)計(jì)策略通常有兩種基本的設(shè)計(jì)策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。（4）增強(qiáng)的認(rèn)證增強(qiáng)的認(rèn)證機(jī)制包含智能卡，認(rèn)證令牌，生理特征（指紋）以及基于軟件（RSA）等技術(shù)，來克服傳統(tǒng)口令的弱點(diǎn)。目前許多流行的增強(qiáng)機(jī)制使用一次有效的口令和密鑰（如SmartCard和認(rèn)證令牌）。4．防火墻的分類防火墻有很多種分類方法：根據(jù)采用的核心技術(shù)，按照應(yīng)用對(duì)象的不同，或者按照實(shí)現(xiàn)方法的不同。每種分類方法都各有特點(diǎn)?；诰唧w實(shí)現(xiàn)方法分類，可以分為三種類型：軟件防火墻、硬件防火墻、專用防火墻。根據(jù)防火墻采用的核心技術(shù)，可分為“包過濾型”和“應(yīng)用代理型”兩大類。根據(jù)防火墻的結(jié)構(gòu)上，可分為單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。如果按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。5．IPSec技術(shù)IPSec（InternetProtocolSecurity）是一種網(wǎng)絡(luò)通信的加密算法，采用了網(wǎng)絡(luò)通信加密技術(shù)。IPSec的主要特征在于它可以對(duì)所有IP級(jí)的通信進(jìn)行加密和認(rèn)證，正是這一點(diǎn)才使IPSec可以確保包括遠(yuǎn)程登錄、客戶/服務(wù)器、電子郵件、文件傳輸及Web訪問在內(nèi)的多種應(yīng)用程序的安全。7．7網(wǎng)絡(luò)故障的診斷與排除1．網(wǎng)絡(luò)故障的診斷當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí)，首先應(yīng)重視故障重現(xiàn)并盡可能全面地收集故障信息，然后對(duì)故障現(xiàn)象進(jìn)行分析，根據(jù)分析結(jié)果定位故障范圍并對(duì)故障進(jìn)行隔離，之后根據(jù)具體情況排除故障。(1)重現(xiàn)故障(2)分析故障現(xiàn)象(3)定位故障范圍(4)隔離故障(5)排除故障2．網(wǎng)絡(luò)常用測(cè)試命令(1)IP測(cè)試工具Ping(2)測(cè)試TCP/IP協(xié)議配置工具ipconfig和winipcfg(3)網(wǎng)路協(xié)議統(tǒng)計(jì)工具netstat和nbtstat(4)跟蹤工具tracert和pathping3．故障實(shí)例及排除方法(1)安裝不上網(wǎng)卡(2)客戶端無法連接服務(wù)器(Ping不通服務(wù)器)(3)在查看“網(wǎng)上鄰居”時(shí)出現(xiàn)“無法瀏覽網(wǎng)絡(luò)。網(wǎng)絡(luò)不可訪問。想得到更多信息請(qǐng)查看‘幫助索引’中的‘網(wǎng)絡(luò)疑難解答’專題”的錯(cuò)誤提示(4)在“網(wǎng)上鄰居”中只能看到本機(jī)的計(jì)算機(jī)名(5)可以訪問服務(wù)器，也可以訪問Internet，但無法訪問其他工作站(6)可以Ping通IP地址，但Ping不通域名(7)網(wǎng)絡(luò)上其他的計(jì)算機(jī)無法與我的計(jì)算機(jī)連接(8)安裝網(wǎng)卡后計(jì)算機(jī)啟動(dòng)的速度慢了很多(9)在“網(wǎng)上鄰居”中看不到任何計(jì)算機(jī)(10)別人能看到我的計(jì)算機(jī)，但不能讀取我計(jì)算機(jī)上的數(shù)據(jù)(11)在安裝網(wǎng)卡后，通過“控制面板|系統(tǒng)|設(shè)備管理器”查看時(shí)，報(bào)告“可能沒有該設(shè)備，也可能此設(shè)備未正常運(yùn)行，或沒有安裝此設(shè)備的所有驅(qū)動(dòng)程序”的錯(cuò)誤信息(12)已經(jīng)安裝了網(wǎng)卡和各種網(wǎng)絡(luò)通訊協(xié)議，但“文件及打印共享”無法選擇(13)無法在網(wǎng)絡(luò)上共享文件和打印機(jī)(14)無法登錄到網(wǎng)絡(luò)小結(jié)：1.網(wǎng)絡(luò)管理2.網(wǎng)絡(luò)安全3.網(wǎng)絡(luò)病毒的