CH7网络安全与管理摘要.ppt

【本章提要】 网络在开放和普及带来便利性的同时，也使得它面临着诸多的被动和主动攻击，严重威胁着信息的机密性、完整性、可用性。密码技术、数字签名、消息摘要、身份认证、访问控制等安全技术是对付这些网络攻击的重要手段。 网络规模的急速扩张和应用的拓展使得网络管理成为难题，在不降低网络服务质量的前提下，提供高效的管理成为研究人员必须解决的技术问题。基于TCP/IP的网络管理协议SNMP成为Internet网络管理事实上的标准。 本章介绍了网络管理与网络安全的基本概念、原理和技术，涵盖了SNMP网络管理协议、密码技术、报文认证、数字签名、身份认证、防火墙、入侵检测、网络病毒、网络安全协议、虚拟专用网等理论和技术。 【学习目标】 ? 掌握网络管理的功能域； ? 了解网络管理系统的体系结构和组成要素； ? 掌握SNMP协议的原语和基本工作过程； ? 了解网络攻击的类型； ? 掌握网络安全的三个基本需求、网络安全的服务和机制； ? 了解密码体制和DES算法； ? 掌握RSA算法的基本流程； ? 了解报文摘要和消息认证； ? 了解MD5和SHA-1算法； ? 了解数字签名技术的基本原理； ? 了解身份认证技术； ? 了解防火墙的原理和分类； ? 了解入侵检测技术； ? 了解网络病毒； ? 了解网络安全协议； ? 了解VPN技术和相关的隧道协议。 7.1.1 网络管理的体系结构 7.1.2 OSI网络管理功能域 （1）配置管理（Configuration Management）：负责监测和控制网络的配置状态，在网络建立、扩充、改造和运行过程中，对网络的拓扑结构、资源配备、使用状态等配置信息进行定义、监测和修改。 （2）性能管理(Performance Management)：网络通信信息的收集、加工和处理等一系列活动。保证有效运营网络和提供连续可靠的通信能力，在保证各种业务的服务质量的同时，尽量提高网络资源的利用率，并使网络资源的使用达到最优化。 （3）故障管理(Fault Management)：迅速发现、定位和排除网络故障，动态维护网络有效性。主要功能有：故障警告、故障定位、故障测试和故障修复等。 （4）安全管理(Security Management)：提供信息的必威体育官网网址、认证、完整性保护机制。 （5）计费管理(Accounting Management)：正确地计算和收取用户使用网络服务的费用，进行网络资源利用率的统计，具体包含：计费数据收集过程、计费处理过程、账单管理过程。 7.1.3 简单网络管理协议SNMP TCP/IP早期，用ICMP作为网络管理的工具。 ICMP提供了从路由器向主机或主机之间传送控制信息的方法，可用于所有支持IP的设备。 ICMP最有用的两个消息对： echo / echo reply：测试实体间能否通信。echo消息要求其接收者在echo reply消息中返回接收到的内容。 timestamp / timestamp reply：测试网络延迟特性。 PING 程序 由ICMP消息与IP头选项结合开发 有多种功能：确定物理设备能否寻址，验证一个网络能够寻址，验证主机上的服务器操作。 80年代后期，当互联网发展呈指数增加时，提出了开发功能更强并易于普通网络管理人员学习和使用的标准协议的需求。 SNMP的历史 简单网关监控协议(SGMP)： 1987年11月发布。 3个有影响的通用网络管理方法： 高层实体管理系统(HEMS) 简单网络管理协议(SNMP)：SGMP的升级版。 TCP/IP上的CMIP(CMOT)：最大限度地与OSI标准的CMIP、服务以及数据库结构保持一致。 SNMP的历史 1988年互联网络活动委员会(IAB)的网络管理协议开发策略： SNMP：近期解决方案； CMOT：远期解决方案； 要求SNMP和CMOT使用相同的MO。 实际中，SNMP与CMOT在对象级的难于兼容： IAB最终放松了公共SMI/MIB的要求，并允许SNMP独立于CMOT发展。 从对OSI的兼容性的束缚中解脱后，SNMP取得了迅速的发展，很快被众多的厂商设备所支持，用户也选择了SNMP作为标准的管理协议。 SNMP的进展： 远程监控(RMON)能力的开发，为网络管理者提供了监控整个子网而不是各个单独设备的能力。 对基本SNMP MIB进行了扩充。 SNMP的历史 SNMPv2： SNMP被用于大型网络时，存在安全和功能方面的不足。 1992年7月，提出一个称为SMP的SNMP新版本，被接受为定义第二代SNMP即SNMPv2的基础。 1993年安全版SNMPv2发布。 几年试用后，IETF决定对SNMPv2进行修订。 1996年发布了一组新的RFC ，SNMPv2的安全特性被取消。 SNMPv3： 1999年