項目9 網絡安全與網絡管理,Page 2,教學目標,理解網絡安全的含義及特征,理解網絡管理概念,掌握數據加密技術,掌握防火墻技術,熟悉網絡管理工具的應用,Page 3,教學內容,Page 4,任務1 了解網絡安全,網絡安全概述： 1.網絡安全的定義 網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露、系統連續可靠正常地運行，網絡服務不中斷。 2.網絡安全的特征 （1）保密性 （2）完整性 （3）可用性 （4）可控性 （5）可審查性,任務1 了解網絡安全,3.網絡面臨的安全威脅 （1）非授權訪問 （2）信息泄漏或丟失 （3）破壞數據完整性 （4）拒絕服務器攻擊 （5）利用網絡傳播病毒 （6）混合威脅攻擊 （7）間諜軟件,任務1 了解網絡安全,網絡安全技術 1.數據加密技術 理論上講，加密技術可以分為密鑰和算法兩部分，密鑰是在加密和解密過程中使用的一串字符，算法則是作用于密鑰和明文的一個數學函數。密文是明文和密鑰相結合，經過加密算法運算的結果。 密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種，相應地，對數據加密的技術分為兩類，即對稱加密（秘密密鑰加密）和非對稱加密（公開密鑰加密）。,任務1 了解網絡安全,2. 虛擬專用網技術 （1）虛擬專用網的概念 虛擬專用網（Virtual Private Network，VPN）指的是在公用網絡上建立專用網絡的技術，即通過網絡數據的封裝和加密傳輸，在公用網絡上傳輸私有數據，形成一種邏輯上的專用網絡。 （2）VPN技術在企業網的應用,圖9-3 VPN工作原理示意,任務1 了解網絡安全,3. 防火墻技術 （1）防火墻基本概念 防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。 （2）防火墻功能 防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑攻擊。 （3）防火墻的種類 防火墻從誕生開始，經歷了四個發展階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統上的防火墻、具有安全操作系統的防火墻。 從原理上來分，防火墻有三種通用類型：數據包過濾型、電路層網關和應用層網關。安全性能高的防火墻系統都是組合運用多種類型防火墻，構筑多道防火墻“防御工事”。,任務1 了解網絡安全,電子郵件的安全性與Web的安全性 1.電子郵件的安全性 （1）匿名郵件。 （2）電子郵件欺騙 （3）電子郵件炸彈 2.Web服務安全防護 1）提高操作系統的安全，確保服務器本身的安全。 2）確保Web服務器的網絡安全。 3）使用安全的Web應用程序，確保這些程序不會帶來新的安全漏洞。 4）為了加強Web通信安全，使用安全的HTTPS協議。 5）使用漏洞掃描和風險評估工具定期對Web服務器進行掃描和測試，及時發現和解決安全問題。,任務2 認識網絡管理,網絡管理的概述 1.網絡管理的概念 按照國際標準化組織（ISO）的定義，網絡管理是指規劃、監督、控制網絡資源的使用和網絡的各種活動，以使網絡的性能達到最優。 2.網絡管理系統的組成 基本上都是由支持網管協議的網管軟件平臺、網管支撐軟件、網管工作平臺和支撐網管協議的網絡設備組成。 （1）網管軟件平臺。 （2）網管支撐軟件。 （3）網絡設備。,任務2 認識網絡管理,網絡管理的功能 1.故障管理（fault management） （1）故障檢測。 （2）故障診斷。 （3）故障糾正。 2. 配置管理（configuration management） （1）設置開發系統中有關路由操作的參數。 （2）被管對象和被管對象組名字的管理。 （3）初始化或關閉被管對象。 （4）根據要求收集系統當前狀態的有關信息。,任務2 認識網絡管理,4. 性能管理（performance management） 性能管理的功能包括以下幾方面： （1）工作負荷監測、收集和統計數據。 （2）判斷、報告和報警網絡性能。 （3）預測網絡性能的變化趨勢。 （4）評價和調整性能指標、操作模式和網絡管理對象的配置。 5. 安全管理（security management）,任務2 認識網絡管理,網絡管理協議與技術 1.SNMP協議 1988年Internet體系結構委員會在原有的簡單網關監控協議（SGMP）的基礎上進一步修改后，發表了簡單網絡管理協議（SNMP），并于1996年發表了其改進版。 SNMP不僅包括網絡管理協議本身，而且代表采用SNMP協議的網絡管理框架，一套完整的SNMP系統主要包括管理信息庫（MIB）、管理信息結構（SMI）及SNMP報文協議。,任務2 認識網絡管理,2.CMIP協議 CMIP是與通用管理信息服務 （Common Management Information Services，CMIS）同時使用的一種ISO協議，支持網絡管理應用程序和管理代理之間的信息交換服務。 CMIP主要針對OSI七層協議模型的傳輸環境而設計，采用報告機制，具有許多特殊的設施和能力。 3.RMON技術 RMON是一個標準監控規范，它可以使各種網絡監控器和控制臺系統之間交換網絡監控數據。,任務2 認識網絡管理,簡單網絡管理協議 SNMP是專門設計用于在服務器、工作站、路由器、交換機等IP網絡管理網絡節點的一種標準協議，它是工作在應用層的協議。 1.SNMP應用模型 SNMP管理的網絡主要由三部分組成：被管理的設備、SNMP代理和網絡管理系統（Netware Management System，NMS）。SNMP應用模型如圖9-10所示。,圖9-10 SNMP應用模型,任務2 認識網絡管理,2.SNMP的技術內容 SNMP工作在TCP/IP的無連接數據報上，其技術由三個主要的內容構成：管理信息結構SMI（Structure of Management Information）、管理信息庫MIB和SNMP通信協議。 （1）管理信息結構SMI。SMI是由ASN.1定義的SNMP管理信息表示方法，為描述MIB對象和協議交換數據提供表示手段，是一種定義和構造MIB的通用框架。 （2）管理信息庫MIB。MIB（Management Information Base，管理信息庫）是對網絡可以訪問的所有被管理信息的精確定義。 （3）SNMP通信協議。協議定義SNMP數據包的格式、封裝、傳輸細節。SNMP規定了5種協議數據單元PDU（也就是SNMP報文），用來在管理進程和代理之間進行信息交換。,任務2 認識網絡管理,3.SNMP報文 一個SNMP報文共有三個部分組成，即公共SNMP首部、get/set首部或trap首部、變量綁定，如圖9-13所示。,圖9-13 SNMP報文組成,項目小結,本章我們重點討論了網絡安全技術和網絡管理的概念、功能。了解網絡面臨的安全威脅