网络管理与网络安全网络管理与网络安全本章主要内容本章主要内容网络管理的目标、内容网络管理的目标、内容网络故障排除、管理方法网络故障排除、管理方法网络安全及实现方法简介网络安全及实现方法简介第七章第七章 网络管理与网络安全网络管理与网络安全本章理论要求本章理论要求 了解:网络管理的五大功能域及网络脆弱性的原因了解:网络管理的五大功能域及网络脆弱性的原因深入了解:数据加密技术及常见的加密算法深入了解:数据加密技术及常见的加密算法掌握:常见的网络管理方法掌握:常见的网络管理方法掌握:防火墙的功能及局限性掌握:防火墙的功能及局限性 运用:网管软件的使用,防火墙配置运用:网管软件的使用,防火墙配置 第七章第七章 网络管理与网络安全网络管理与网络安全WWW.YOUR-COMPANY-URL.COM第七章第七章 网络管理与网络安全网络管理与网络安全本章实训要求本章实训要求防火墙的安装与配置防火墙的安装与配置常见网络安全管理软件的使用常见网络安全管理软件的使用7.1 7.1 网络管理网络管理7.2 7.2 网络安全网络安全7.3 7.3 防火墙技术防火墙技术7.4 7.4 计算机病毒计算机病毒 第七章第七章 网络管理与网络安全网络管理与网络安全7.1.1 7.1.1 网络管理的目标网络管理的目标7.1.2 7.1.2 网络管理的内容网络管理的内容7.1.3 7.1.3 网络故障排除网络故障排除7.1.4 7.1.4 常用的网络管理方法常用的网络管理方法 7.1 7.1 网络管理网络管理 任何事物都是一个矛盾体,计算机网络也不例外。
任何事物都是一个矛盾体,计算机网络也不例外网络只要运行,就会有这样或那样的问题,网络管理网络只要运行,就会有这样或那样的问题,网络管理的质量也会直接影响网络的运行质量的质量也会直接影响网络的运行质量7.1 7.1 网络管理网络管理 网络管理是指对通信网上的通信设备及传输系统进行有网络管理是指对通信网上的通信设备及传输系统进行有效的监视、控制、诊断和测试效的监视、控制、诊断和测试 所采用的技术和方法所采用的技术和方法也就是指规划、监督、控制网络资源的使用和网络的各也就是指规划、监督、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优种活动,以使网络的性能达到最优网络管理的目的在于提供对计算机网络进行规划、设计网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的、操作运行、管理、监视、分析、控制、评估和扩展的手段,从而合理地组织和利用系统资源,提供安全、可手段,从而合理地组织和利用系统资源,提供安全、可靠、有效和友好的服务靠、有效和友好的服务7.1 7.1 网络管理网络管理 网络管理包含两个任务:网络管理包含两个任务:一是对网络的运行状态进行监测,通过监测了解当前状一是对网络的运行状态进行监测,通过监测了解当前状态是否正常,是否存在瓶颈问题和潜在的危机。
态是否正常,是否存在瓶颈问题和潜在的危机二是对网络的运行状态进行控制,通过控制对网络状态二是对网络的运行状态进行控制,通过控制对网络状态进行合理调节,提高性能,保证服务监测是控制的前进行合理调节,提高性能,保证服务监测是控制的前提,控制是监测的结果提,控制是监测的结果7.1.17.1.1 网络管理的目标网络管理的目标网络管理的目标是:网络管理的目标是:1 1网络应是可靠的,即减少停机时间,改进响应时间,网络应是可靠的,即减少停机时间,改进响应时间,提高设备利用率提高设备利用率2 2网络的经济性,减少运行费用,提高效率网络的经济性,减少运行费用,提高效率3 3网络应是有效的,减少网络应是有效的,减少/消除网络瓶颈消除网络瓶颈4 4适应新技术,现代网络要有综合性,即网络业务不适应新技术,现代网络要有综合性,即网络业务不能单一化能单一化7.1.17.1.1 网络管理的目标网络管理的目标 5 5使网络更容易使用,现代网络要有开放性,即网络使网络更容易使用,现代网络要有开放性,即网络要能够接受多厂商生产的异种设备要能够接受多厂商生产的异种设备6 6安全,现代网络要有很高的安全性安全,现代网络要有很高的安全性。
总之,络管理的根本目标是满足运营者及用户对网络的总之,络管理的根本目标是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的有效性、可靠性、开放性、综合性、安全性和经济性的要求7.1.17.1.1 网络管理的目标网络管理的目标国际标准化组织(国际标准化组织(ISOISO)在)在 ISO/IEC 7498-4 ISO/IEC 7498-4 文档中定文档中定义了网络管理的五大功能,并被广泛接受义了网络管理的五大功能,并被广泛接受这五大基本功能是:这五大基本功能是:配置管理、配置管理、故障管理、故障管理、性能管理、性能管理、安全管理、安全管理、计费管理计费管理7.1.27.1.2 网络管理的内容网络管理的内容1 1配置管理的功能配置管理的功能(1 1)设置并修改与网络组建和)设置并修改与网络组建和OSIOSI层软件有关的参数层软件有关的参数2 2)被管对象和被管对象组名字的管理,将名字与一)被管对象和被管对象组名字的管理,将名字与一个或一组对象联系起来个或一组对象联系起来3 3)初始化、启动和关闭被管理对象初始化、启动和关闭被管理对象7.1.27.1.2 网络管理的内容网络管理的内容2 2故障管理的功能故障管理的功能(1 1)创建、维护故障数据库,并对错误日志进行分析。
创建、维护故障数据库,并对错误日志进行分析2 2)接受错误检测报告并响应接受错误检测报告并响应3 3)跟踪并确定错误的位置与性质跟踪并确定错误的位置与性质7.1.27.1.2 网络管理的内容网络管理的内容7.1.27.1.2 网络管理的内容网络管理的内容3性能管理的功能性能管理的功能(1)收集和传送被管理对象的统计信息,报告网络当前)收集和传送被管理对象的统计信息,报告网络当前的性能2)维护并检查系统状态日志,以进行分析和计划维护并检查系统状态日志,以进行分析和计划3)确定自然和人工状态下系统的性能确定自然和人工状态下系统的性能4)形成并调整性能评价标准,根据实际测试值与标准)形成并调整性能评价标准,根据实际测试值与标准值的差异改变系统操作模式,调整网络管理对象的配置,值的差异改变系统操作模式,调整网络管理对象的配置,以进行系统性能管理的操作以进行系统性能管理的操作7.1.27.1.2 网络管理的内容网络管理的内容4安全管理的功能安全管理的功能(1)授权机制,控制对网络资源访问的权限授权机制,控制对网络资源访问的权限2)访问机制,防止入侵者非法入侵访问机制,防止入侵者非法入侵3)加密机制,保证数据的私有性,防止数据被非)加密机制,保证数据的私有性,防止数据被非法获取。
法获取4)防火墙机制,阻止外界入侵防火墙机制,阻止外界入侵5)维护和检查安全日志维护和检查安全日志7.1.27.1.2 网络管理的内容网络管理的内容5记帐管理(计费管理)记帐管理(计费管理)(1)计费管理的计费方式:按流量计费,按月收)计费管理的计费方式:按流量计费,按月收取月租费,动态设计收费取月租费,动态设计收费2)控制使用网络资源控制使用网络资源3)通知用户有关的费用通知用户有关的费用4)对帐号进行管理)对帐号进行管理7.1.37.1.3 网络故障排除网络故障排除网络故障往往与许多因素相关,网络管理人员要认网络故障往往与许多因素相关,网络管理人员要认真学习有关网络技术理论;清楚网络的结构设计,真学习有关网络技术理论;清楚网络的结构设计,包括网络拓朴、设备连接、系统参数设置及软件使包括网络拓朴、设备连接、系统参数设置及软件使用;了解网络正常运行状况、注意收集网络正常运用;了解网络正常运行状况、注意收集网络正常运行时的各种状态和报告输出参数;熟悉常用的诊断行时的各种状态和报告输出参数;熟悉常用的诊断工具,准确的描述故障现象工具,准确的描述故障现象7.1.37.1.3 网络故障排除网络故障排除1 网络故障诊断的方法网络故障诊断的方法网络故障诊断从故障现象出发,以网络诊断工具为手网络故障诊断从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行。
网络故障通常有以下排除故障,恢复网络正常运行网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题;及线路本身的问题;7.1.37.1.3 网络故障排除网络故障排除故障排除的一般步骤:故障排除的一般步骤:第一步,当分析网络故障时,首先要清楚故障现象应该详细说明故障第一步,当分析网络故障时,首先要清楚故障现象应该详细说明故障的症侯和潜在的原因的症侯和潜在的原因第二步,收集需要的用于帮助隔离可能故障原因的信息第二步,收集需要的用于帮助隔离可能故障原因的信息第三步,根据收集到的情况考虑可能的故障原因第三步,根据收集到的情况考虑可能的故障原因第四步,根据最后的可能的故障原因,建立一个诊断计划第四步,根据最后的可能的故障原因,建立一个诊断计划第五步,执行诊断计划,认真做好每一步测试和观察,直到故障症状消第五步,执行诊断计划,认真做好每一步测试和观察,直到故障症状消失第六步,每改变一个参数都要确认其结果分析结果确定问题是否解决,第六步,每改变一个参数都要确认其结果分析结果确定问题是否解决,如果没有解决,继续下去,直到解决如果没有解决,继续下去,直到解决。
7.1.37.1.3 网络故障排除网络故障排除2常见的网络故障的现象及解决的办法常见的网络故障的现象及解决的办法【实例实例1】一个一个120台计算机的机房全部机器在启动台计算机的机房全部机器在启动Windows Xp时一直停留在启动画面不能进入系统时一直停留在启动画面不能进入系统7.1.37.1.3 网络故障排除网络故障排除维修过程维修过程首先怀疑是计算机病毒的原因,经过首先怀疑是计算机病毒的原因,经过查毒,发现没有问题测试时发现使用安全模式可查毒,发现没有问题测试时发现使用安全模式可以进入,但普通模式不能进入偶然发现机房中有以进入,但普通模式不能进入偶然发现机房中有2台机器可以进入,把这台机器可以进入,把这2台计算机替换到其它位置台计算机替换到其它位置也出现相同问题,开始怀疑网络问题也出现相同问题,开始怀疑网络问题7.1.3 7.1.3 网络故障排除网络故障排除本机房使用了本机房使用了9个集线器和一个交换机,集线器全个集线器和一个交换机,集线器全部连接到交换机上,交换机连接到校园网把一个部连接到交换机上,交换机连接到校园网把一个集线器和交换机的连接线断开,再实验,发现此集集线器和交换机的连接线断开,再实验,发现此集线器连接的计算机工作正常。
因此确定故障在交换线器连接的计算机工作正常因此确定故障在交换机上7.1.37.1.3 网络故障排除网络故障排除仔细检查交换机,发现交换机和校园网连接的网线仔细检查交换机,发现交换机和校园网连接的网线两头都插在计算机的不同端口上,拔开后整个机房两头都插在计算机的不同端口上,拔开后整个机房恢复正常原来是上课老师为阻止学生上课时间上恢复正常原来是上课老师为阻止学生上课时间上网,把外网网线拔掉,顺手插到交换机上,引起网网,把外网网线拔掉,顺手插到交换机上,引起网络全部广播数据包回传,网卡无法完成测试网络状络全部广播数据包回传,网卡无法完成测试网络状态,态,Windows Xp停止在开机画面停止在开机画面7.1.37.1.3 网络故障排除网络故障排除【实例实例2】一台局域网中的计算机,可以通过局域一台局域网中的计算机,可以通过局域网访问因特网,也可以看到网上邻居,但是其它计网访问因特网,也可以看到网上邻居,但是其它计算机在网上邻居不能看到此计算机,机房管理系统算机在网上邻居不能看到此计算机,机房管理系统也不能管理此机器也不能管理此机器7.1.37.1.3 网络故障排除网络故障排除【实例实例2】维修过程维修过程能上网,说明网络连通和能上网,说明网络连通和TCP/IP没没有问题,有问题,ping不通又说明不通又说明TCP/IP有问题。
打开网络有问题打开网络属性的属性的IP配置,检查网卡的配置,检查网卡的IP地址配置没有错误地址配置没有错误无意打开了无意打开了“拨号网络适配器拨号网络适配器”的的TCP/IP属性,属性,发现已设置了固定发现已设置了固定IP地址,将此地址,将此IP地址设置为地址设置为“自自动获得动获得IP地址地址”后,机器恢复正常后,机器恢复正常7.1.37.1.3 网络故障排除网络故障排除【实例实例3】局域网中的计算机局域网中的计算机IP地址测试全部正常,地址测试全部正常,但不能访问因特网但不能访问因特网维修过程维修过程此计算机通过代理服务器上网,打开此计算机通过代理服务器上网,打开IE的的“Internet选项选项”中的连接属性,发现选中的中的连接属性,发现选中的连接为一个拨号连接,没有设置代理服务器原来,连接为一个拨号连接,没有设置代理服务器原来,此计算机是原先通过拨号上网的,加入局域网后只此计算机是原先通过拨号上网的,加入局域网后只修改了修改了IP地址,但没有在地址,但没有在IE中设置代理服务器安中设置代理服务器安装代理服务器的客户端软件后正常装代理服务器的客户端软件后正常7.1.37.1.3 网络故障排除网络故障排除【实例实例4】一台拨号上网的计算机,拨号网络连接一台拨号上网的计算机,拨号网络连接正常,可以看到连通后任务栏上的两个计算机的小正常,可以看到连通后任务栏上的两个计算机的小图标,但使用图标,但使用IE不能打开任何网页。
不能打开任何网页7.1.37.1.3 网络故障排除网络故障排除维修过程维修过程因为拨号连接正常,所以先怀疑因为拨号连接正常,所以先怀疑ISP问问题,经咨询和与邻居计算机比较,排除题,经咨询和与邻居计算机比较,排除ISP不正常又重新安装系统和又重新安装系统和IE,还更换了一个,还更换了一个Modem,有时,有时可以打开网页,但还是不正常偶然,用户说最近可以打开网页,但还是不正常偶然,用户说最近电信局重新调整了电话线路,赶紧打开室外的接线电信局重新调整了电话线路,赶紧打开室外的接线盒,发现固定螺丝松拖,上紧后故障排除原来,盒,发现固定螺丝松拖,上紧后故障排除原来,线路质量不好,对正常打电话影响不大,但数据传线路质量不好,对正常打电话影响不大,但数据传输会出现大量丢包,造成无法浏览输会出现大量丢包,造成无法浏览7.1.37.1.3 网络故障排除网络故障排除【实例实例5】所有连接到光纤连接网段上的工作站网络所有连接到光纤连接网段上的工作站网络速度变慢速度变慢维修过程维修过程在正常的网络使用时,将网络测试仪在正常的网络使用时,将网络测试仪连接到集线器,在光纤连接的两端产生流量,测试连接到集线器,在光纤连接的两端产生流量,测试每端正常状况。
在某一时刻断开或接上光纤,每当每端正常状况在某一时刻断开或接上光纤,每当光纤联入网段时,就会观察到大量的错误帧光纤联入网段时,就会观察到大量的错误帧7.1.37.1.3 网络故障排除网络故障排除因为劣质的光纤链路连接会在其附属的网段中产生因为劣质的光纤链路连接会在其附属的网段中产生大量垃圾帧,迫使工作站重发帧,网络速度变慢大量垃圾帧,迫使工作站重发帧,网络速度变慢清洁或重新安装好光纤连接器,复位所有的连接器,清洁或重新安装好光纤连接器,复位所有的连接器,再次检查网络健康状况,此时只有很少的错误帧,再次检查网络健康状况,此时只有很少的错误帧,网络工作正常网络工作正常7.1.37.1.3 网络故障排除网络故障排除【实例实例6】校园网访问外部网络速度极慢,有时甚至校园网访问外部网络速度极慢,有时甚至完全中断内部网络访问正常完全中断内部网络访问正常维修过程维修过程ping外部网络,发现有大量的丢包,外部网络,发现有大量的丢包,但一直可以连通经监控,发现有大流量数据包通但一直可以连通经监控,发现有大流量数据包通过校园网流向外网,而正常情况下,校园网向外的过校园网流向外网,而正常情况下,校园网向外的流量相对较小,判断内部网络有问题。
流量相对较小,判断内部网络有问题7.1.37.1.3 网络故障排除网络故障排除本网络出口没有安全网关,临时在网络出口串连一本网络出口没有安全网关,临时在网络出口串连一个共享式集线器,将连接外网的光电转换器和连接个共享式集线器,将连接外网的光电转换器和连接内网核心交换机的双绞线都接到此集线器上,在集内网核心交换机的双绞线都接到此集线器上,在集线器一个端口连接一台计算机,安装网络检测软件线器一个端口连接一台计算机,安装网络检测软件snaffer,此软件可以检测本地网络的各个地址的流,此软件可以检测本地网络的各个地址的流量情况检测发现,局域网中有一个量情况检测发现,局域网中有一个IP地址发出将地址发出将近近60M的数据流量,完全把网络出口堵塞的数据流量,完全把网络出口堵塞7.1.37.1.3 网络故障排除网络故障排除检查这个检查这个IP的计算机,原来此机器安装了的计算机,原来此机器安装了SQL Server,但没有升级,但没有升级Microsoft的补丁程序,被感染的补丁程序,被感染了利用了利用SQL Server漏洞向网络发布数据包的病毒,漏洞向网络发布数据包的病毒,进行安全处理后,系统恢复正常。
进行安全处理后,系统恢复正常7.1.37.1.3 网络故障排除网络故障排除【实例实例7】一台计算机,网络配置正常,但不能连通一台计算机,网络配置正常,但不能连通网络维修过程维修过程本机通过信息插座和局域网连接,经本机通过信息插座和局域网连接,经确认网络配置和网卡没有问题后,怀疑是连接计算确认网络配置和网卡没有问题后,怀疑是连接计算机和信息插座的网线问题把此网线换到其它计算机和信息插座的网线问题把此网线换到其它计算机上,工作正常又怀疑信息插座到交换机的线路机上,工作正常又怀疑信息插座到交换机的线路问题,经检测也没有问题,至此陷入没有头绪之中问题,经检测也没有问题,至此陷入没有头绪之中7.1.37.1.3 网络故障排除网络故障排除无意使用测线仪再测网线,发现无意使用测线仪再测网线,发现3线有时不通,仔细线有时不通,仔细检查,原来检查,原来3线在制作网线时被网线钳已经快要压断,线在制作网线时被网线钳已经快要压断,使用网线时,因为曲折的原因,这条线偶然会通使用网线时,因为曲折的原因,这条线偶然会通重新做网线故障排除重新做网线故障排除7.1.37.1.3 网络故障排除网络故障排除使用网线钳剥双绞线的外皮时,非常容易出现这种使用网线钳剥双绞线的外皮时,非常容易出现这种现象,有些线被压得快要断开,但还能使用,长时现象,有些线被压得快要断开,但还能使用,长时间使用后会引起网络不通的故障。
本人已遇到多起间使用后会引起网络不通的故障本人已遇到多起这种故障,所以制作网线时一定要仔细检查,不能这种故障,所以制作网线时一定要仔细检查,不能做完后测通了事做完后测通了事7.1.37.1.3 网络故障排除网络故障排除【实例实例8】计算机无法浏览计算机无法浏览Internet,E-mail服务器服务器无法对外发送和接收邮件无法对外发送和接收邮件维修过程维修过程Tracert某域名,马上被告之失败,但某域名,马上被告之失败,但Tracert其其IP地址又是正常的这说明地址又是正常的这说明DNS有问题,有问题,检查检查DNS服务器,原来是杀毒软件发现病毒,自动服务器,原来是杀毒软件发现病毒,自动弹出报警窗口,引起系统资源全部被占用,服务停弹出报警窗口,引起系统资源全部被占用,服务停止查杀病毒后系统恢复正常查杀病毒后系统恢复正常7.1.37.1.3 网络故障排除网络故障排除【实例实例9】Windows98网上邻居中找不到域服务器,但网上邻居中找不到域服务器,但可找到其他的上网工作站可找到其他的上网工作站维修过程维修过程在网上邻居中虽然找不到服务器,但是通在网上邻居中虽然找不到服务器,但是通过过“开始开始”菜单中的计算机菜单中的计算机“查找查找”项来查寻服务器的项来查寻服务器的计算机名,却可以找到,此时打开资源管理器可以对服计算机名,却可以找到,此时打开资源管理器可以对服务器上的共享资源进行操作。
使用务器上的共享资源进行操作使用“控制面板控制面板”“网网络络”“Microsoft网络客户网络客户”打开网络客户属性,将打开网络客户属性,将“网络登录网络登录”改为快速登录后机器工作正常改为快速登录后机器工作正常7.1.37.1.3 网络故障排除网络故障排除【实例实例10】一个网吧的部分计算机不能连网一个网吧的部分计算机不能连网维修过程维修过程经检查,这些计算机都连接在同一个经检查,这些计算机都连接在同一个集线器上,因此判断与此集线器相关的系统有问题集线器上,因此判断与此集线器相关的系统有问题首先检查此集线器与其它集线器的级联网线,结果首先检查此集线器与其它集线器的级联网线,结果网线良好更换集线器,网络正常,断定集线器有网线良好更换集线器,网络正常,断定集线器有问题,打开外壳,其中的一个芯片已经出现涨包问题,打开外壳,其中的一个芯片已经出现涨包7.1.37.1.3 网络故障排除网络故障排除【实例实例11】一个大型计算机房,大量计算机出现一个大型计算机房,大量计算机出现“本机的计算机名已经被使用本机的计算机名已经被使用”、“IP地址冲突地址冲突”等等提示维修过程维修过程此机房使用网络复制安装系统,因为此机房使用网络复制安装系统,因为安装了保护卡,后来手工修改计算机名和安装了保护卡,后来手工修改计算机名和IP地址时,地址时,有些机器忘记取消保护。
有些机器忘记取消保护7.1.37.1.3 网络故障排除网络故障排除由于机房较大,查找发生冲突的计算机有些困难,由于机房较大,查找发生冲突的计算机有些困难,这时注意出现冲突提示时,会同时出现发生冲突的这时注意出现冲突提示时,会同时出现发生冲突的计算机的网卡的计算机的网卡的MAC地址利用这些地址利用这些MAC地址,可地址,可以很容易找到冲突的机器建议机房管理人员最好以很容易找到冲突的机器建议机房管理人员最好事先把所有计算机的事先把所有计算机的MAC地址先统计一遍,对以后地址先统计一遍,对以后查找网络故障和配置安全机制十分有用查找网络故障和配置安全机制十分有用7.1.37.1.3 网络故障排除网络故障排除网络故障成千上万,这里举的是一些常见故障,希网络故障成千上万,这里举的是一些常见故障,希望大家能够举一反三,多实践,多积累,多总结,望大家能够举一反三,多实践,多积累,多总结,增长自己的处理问题的实际能力增长自己的处理问题的实际能力7.1.47.1.4 常用网络管理方法常用网络管理方法1网络管理方法的演变网络管理方法的演变(1)最早基于)最早基于ICMP的网络管理的网络管理通过电信网直接访问被管理的设备或者使用简单的通过电信网直接访问被管理的设备或者使用简单的互联网控制信息协议(互联网控制信息协议(ICMP)来实现的。
随后出现)来实现的随后出现了北欧广泛采用的了北欧广泛采用的TL 1(Transaction Language 1),),基于基于ASCII的网络管理协议的网络管理协议7.1.47.1.4 常用网络管理方法常用网络管理方法该协议主要用于大型电信设备的管理,所有管理信该协议主要用于大型电信设备的管理,所有管理信息都采用纯息都采用纯ASCII文本表示,其特点是简单、易读、文本表示,其特点是简单、易读、易开发和使用,但智能化程度较差随着易开发和使用,但智能化程度较差随着TCPIP协议及其网络的快速发展,出现了简单网络管理协协议及其网络的快速发展,出现了简单网络管理协议(议(SNMP)7.1.47.1.4 常用网络管理方法常用网络管理方法它是一种基于轮询的通信协议,由于该协议在代理它是一种基于轮询的通信协议,由于该协议在代理侧的开销很小,因此功能有限,但其简单易用的特侧的开销很小,因此功能有限,但其简单易用的特点却得到了许多网络设备厂商的支持,已成为计算点却得到了许多网络设备厂商的支持,已成为计算机网络管理流行的行业标准机网络管理流行的行业标准ITU制定的通用管理信制定的通用管理信息协议(息协议(CMIP)主要应用在电信网络管理中,实现)主要应用在电信网络管理中,实现了管理者与代理的互联和互操作。
了管理者与代理的互联和互操作CMIP提供了一种提供了一种紧耦合紧耦合的管理控制,具有许多管理功能的管理控制,具有许多管理功能7.1.47.1.4 常用网络管理方法常用网络管理方法(2)TMN框架下的网络管理框架下的网络管理为了提供完整的网络管理解决方案,尤其是针对多为了提供完整的网络管理解决方案,尤其是针对多厂商的混合网络的环境下,如何实现电信网络管理厂商的混合网络的环境下,如何实现电信网络管理的目标?的目标?ITUT在在M3010建议中提出了建议中提出了TMN的概的概念和体系结构念和体系结构TMN提供了有组织的网络结构,供提供了有组织的网络结构,供各种类型的操作系统(各种类型的操作系统(OS)之间、操作系统与电信)之间、操作系统与电信设备之间的互联设备之间的互联7.1.47.1.4 常用网络管理方法常用网络管理方法TMN是采用商定的、具有标准协议和信息接口、进是采用商定的、具有标准协议和信息接口、进行信息交换的体系结构行信息交换的体系结构TMN的体系结构可用于支的体系结构可用于支撑电信网和电信业务的组织、规划、配置、安装、操撑电信网和电信业务的组织、规划、配置、安装、操作、运作、运 营和维护。
营和维护TMN为电信网络及电信业务提供为电信网络及电信业务提供性能管理、配置管理、账务管理、故障管理和安全管性能管理、配置管理、账务管理、故障管理和安全管理等理等5种主要管理功能种主要管理功能TMN有有Qx、Q3、X、F4种接种接口,目前的标准化主要集中在口,目前的标准化主要集中在Q3接口上7.1.47.1.4 常用网络管理方法常用网络管理方法众所周知,开放系统互联(众所周知,开放系统互联(ISI)参考模型是完整地)参考模型是完整地反映系统互联的技术产物,它不仅引导了计算机网反映系统互联的技术产物,它不仅引导了计算机网络的发展,也推动了整个电信网络的发展络的发展,也推动了整个电信网络的发展Q3接口接口协议就是基于协议就是基于OSI设计的,设计的,Q3接口涵盖了整个接口涵盖了整个OSI的的7层模型7.1.47.1.4 常用网络管理方法常用网络管理方法Q3接口应用层接口应用层CMIP适用于交互操作和少量数据传适用于交互操作和少量数据传送,对于大量数据文件的传送以采用文件传送访问送,对于大量数据文件的传送以采用文件传送访问管理(管理(FTAM)协议为宜这里需要指出的)协议为宜这里需要指出的Q3是是TMN的一项重要接口,但的一项重要接口,但Q3不等于就是不等于就是TMN。
TMN是一种开放式的网络结构,也是一个提供管理是一种开放式的网络结构,也是一个提供管理型业务的专业网型业务的专业网TMN提供了软件重用机制及网络提供了软件重用机制及网络管理系统平滑过渡的有效技术手段在管理系统平滑过渡的有效技术手段在TMN的框架的框架下,将进一步规划网络管理的发展下,将进一步规划网络管理的发展7.1.47.1.4 常用网络管理方法常用网络管理方法(3)基于)基于SLM的网络管理的网络管理近年来,公司网络已不仅仅限于集线器、交换机和近年来,公司网络已不仅仅限于集线器、交换机和路由器等一些设备路由器等一些设备还逐步融入了企业资源规划还逐步融入了企业资源规划(ERP)和客户关系管理()和客户关系管理(CRM)系统电子商务)系统电子商务在公司网络上的应用与增长,使核心服务器及在公司网络上的应用与增长,使核心服务器及Internet上的业务量不断增加公司网络的一些重要上的业务量不断增加公司网络的一些重要应用需要网络的高可靠与可伸缩应用需要网络的高可靠与可伸缩7.1.47.1.4 常用网络管理方法常用网络管理方法SLM可以使网络管理人员评估其网络的花费和管理可以使网络管理人员评估其网络的花费和管理对客户有影响的业务及应用。
对客户有影响的业务及应用SLM涵盖了应用服务涵盖了应用服务管理和网络服务管理;可为企业提供虚拟专用网管理和网络服务管理;可为企业提供虚拟专用网(VPN)管理SLM不是不是SNMP、RMON的替代,的替代,而是新的发展网络管理者采用了而是新的发展网络管理者采用了SLM将能更优化将能更优化地为客户和一些重要、关键的应用服务地为客户和一些重要、关键的应用服务7.1.47.1.4 常用网络管理方法常用网络管理方法2几种新的公司网络的网络管理解决方案几种新的公司网络的网络管理解决方案在网络管理协议中,我们是一定要知道在网络管理协议中,我们是一定要知道SNMP这个网络这个网络管理协议的管理协议的SNMP是简单网络管理协议是简单网络管理协议(Simple Network Management Protocol)的缩写的缩写,它的突出优点就它的突出优点就是使用简单,消耗系统资源较少是使用简单,消耗系统资源较少7.1.47.1.4 常用网络管理方法常用网络管理方法SNMP的基本功能包括监视网络性能、检测分析网的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等如果网络工作正常,那络差错和配置网络设备等。
如果网络工作正常,那么可以利用么可以利用SNMP实现统计、配置和测试等功能实现统计、配置和测试等功能如果网络出现故障,那么可以通过错误报告实现错如果网络出现故障,那么可以通过错误报告实现错误检测和恢复功能误检测和恢复功能7.1.47.1.4 常用网络管理方法常用网络管理方法 目前大多数网络管理软件产品都支持目前大多数网络管理软件产品都支持SNMP标准,标准,但能提供但能提供SNMP管理者的产品并不多管理者的产品并不多,大多数只是作大多数只是作为网络管理的代理常见的能作为网络管理者运行为网络管理的代理常见的能作为网络管理者运行的网络管理软件有:的网络管理软件有:HP公司的公司的HP Open View,Cisco公司的公司的Cisco Works和和SUN公司的公司的SunNet Manager等7.1.47.1.4 常用网络管理方法常用网络管理方法SunNet Manager是基于是基于Unix平台的网络管理软件系平台的网络管理软件系统,它能实现分布式网络管理与检测它的委托代统,它能实现分布式网络管理与检测它的委托代理理(Proxy Agent)和协同控制核心和协同控制核心(Cooperative Console)充分体现了它的分布性。
充分体现了它的分布性1)SunNet Manager(SUN公司开发公司开发)7.1.47.1.4 常用网络管理方法常用网络管理方法2.HP OpenView(HP公司开发)公司开发)HP OpenView是第一个真正兼容的、跨平台的网络是第一个真正兼容的、跨平台的网络管理系统,它可在多个厂家的硬件平台和操作系统管理系统,它可在多个厂家的硬件平台和操作系统上运行,如上运行,如HP9000、IBM RS/6000、SUN SPARC和和Windows NT等,已经得到了最广泛的市场应用和第等,已经得到了最广泛的市场应用和第三方应用系统开发商的接受与支持三方应用系统开发商的接受与支持7.1.47.1.4 常用网络管理方法常用网络管理方法HP OpenView的主要功能与特点包括:的主要功能与特点包括:(1)自动发现网络拓扑)自动发现网络拓扑(2)性能和吞吐量分析)性能和吞吐量分析(3)历史数据分析)历史数据分析(4)可扩展性强)可扩展性强(5)多厂商支持)多厂商支持7.27.2 网络安全网络安全7.2.1 网络安全概述网络安全概述7.2.2 计算机网络面临的安全性威胁计算机网络面临的安全性威胁7.2.3 网络的不安全因素网络的不安全因素7.2.4 数据加密技术数据加密技术7.2.5 网络安全协议网络安全协议 7.27.2 网络安全网络安全 随着人类社会生活对随着人类社会生活对Internet需求的日益增长,网络需求的日益增长,网络安全逐渐成为各项网络服务和应用进一步发展的关键问安全逐渐成为各项网络服务和应用进一步发展的关键问题,特别是题,特别是Internet商用化后,通过商用化后,通过Internet进行的各种进行的各种电子商务业务日益增多,加之电子商务业务日益增多,加之Internet/Intranet技术日技术日趋成熟,很多组织和企业都建立了自己的内部网络并将趋成熟,很多组织和企业都建立了自己的内部网络并将之与之与Internet联通。
电子商务应用和企业网络中的商业联通电子商务应用和企业网络中的商业秘密成为攻击者的主要目标秘密成为攻击者的主要目标7.2.17.2.1 网络安全概述网络安全概述网络安全问题是目前网络管理中最重要的问题,这是一网络安全问题是目前网络管理中最重要的问题,这是一个很复杂的问题,不仅是技术的问题,还涉及人的心理个很复杂的问题,不仅是技术的问题,还涉及人的心理、社会环境以及法律等多方面的内容社会环境以及法律等多方面的内容7.2.17.2.1 网络安全概述网络安全概述1网络安全的定义网络安全的定义网络安全从其本质上来讲就是网络上的信息安全,是指网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断统连续可靠正常地运行,网络服务不中断7.2.17.2.1 网络安全概述网络安全概述 为了帮助用户区分和解决计算机网络的安全问题,美为了帮助用户区分和解决计算机网络的安全问题,美国国防部制订了国国防部制订了“可信计算机系统标准评估准则可信计算机系统标准评估准则”(习(习惯称为惯称为“桔黄皮书桔黄皮书”),将多用户计算机系统的安全级),将多用户计算机系统的安全级别从低到高划分为四类七级,即别从低到高划分为四类七级,即D1C1C2B1B2B3A1。
7.2.17.2.1 网络安全概述网络安全概述 D1级是不具备最低安全限度的等级,如级是不具备最低安全限度的等级,如DOS、Windows3.X系统;系统;C1是具备最低安全限度的等级,如是具备最低安全限度的等级,如Windows95/98;C2级是具备基本保护能力的等级,可级是具备基本保护能力的等级,可以满足一般应用的安全要求,一般的网络操作系统如以满足一般应用的安全要求,一般的网络操作系统如Windows2000/NT、Netware基本上属于这一等级基本上属于这一等级7.2.17.2.1 网络安全概述网络安全概述 B1级和级和B2级是具有中等安全保护能力的等级,基本级是具有中等安全保护能力的等级,基本可以满足一般的重要应用的安全要求;可以满足一般的重要应用的安全要求;B3级和级和A1级属级属于最高安全等级,只有极其重要的应用才需要使用于最高安全等级,只有极其重要的应用才需要使用7.2.17.2.1 网络安全概述网络安全概述3.安全策略安全策略(1)威严的法律)威严的法律(2)先进的技术)先进的技术(3)严格的管理)严格的管理7.2.27.2.2 计算机网络面临的安全性威胁计算机网络面临的安全性威胁计算机网络上的通信面临以下的四种威胁:计算机网络上的通信面临以下的四种威胁:1.截获截获从网络上窃听他人的通信内容;从网络上窃听他人的通信内容;2.中断中断有意中断他人在网络上的通信;有意中断他人在网络上的通信;3.篡改篡改故意篡改网络上传送的报文;故意篡改网络上传送的报文;4.伪造伪造伪造信息在网络上传送伪造信息在网络上传送。
WWW.YOUR-COMPANY-URL.COM7.2.27.2.2 计算机网络面临的安全性威胁计算机网络面临的安全性威胁截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击各种攻击所发生的时间段可用图的攻击称为主动攻击各种攻击所发生的时间段可用图7 7表示7.2.37.2.3 网络的不安全性因素网络的不安全性因素网络不安全的原因是多方面的,涉及到平台的各个方面网络不安全的原因是多方面的,涉及到平台的各个方面,按按照网络照网络OSI的七层模型,网络安全贯穿于网络的各个层次的七层模型,网络安全贯穿于网络的各个层次7.2.37.2.3 网络的不安全性因素网络的不安全性因素1.物理层物理层物理安全策略的目的是保护计算机系统、网络服务器、打物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作线攻击;验证用户的身份和使用权限、防止用户越权操作等等7.2.37.2.3 网络的不安全性因素网络的不安全性因素2.链路层链路层链路层的网络安全需要保证通过网络链路传送的数据不被链路层的网络安全需要保证通过网络链路传送的数据不被窃听,主要采用划分窃听,主要采用划分VLAN(局域网局域网)、加密通信、加密通信(远程网远程网)等等手段。
手段7.2.37.2.3 网络的不安全性因素网络的不安全性因素3.网络层网络层网络层的安全需要保证网络只给授权的客户提供授权的服网络层的安全需要保证网络只给授权的客户提供授权的服务,保证网络路由正确,避免被拦截或监听,设置防火墙务,保证网络路由正确,避免被拦截或监听,设置防火墙7.2.37.2.3 网络的不安全性因素网络的不安全性因素4.操作系统操作系统操作系统安全指保证客户资料、操作系统访问控制的安全,操作系统安全指保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计同时能够对该操作系统上的应用进行审计7.2.37.2.3 网络的不安全性因素网络的不安全性因素5.应用平台应用平台应用平台指建立在网络系统之上的应用软件服务,如数据应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、库服务器、电子邮件服务器、Web服务器等,由于应用平服务器等,由于应用平台的系统非常复杂,通常采用多种技术台的系统非常复杂,通常采用多种技术(如如SSL等等)来增强来增强应用平台的安全性应用平台的安全性7.2.37.2.3 网络的不安全性因素网络的不安全性因素6.应用系统应用系统应用系统完成网络系统的最终目的应用系统完成网络系统的最终目的为用户服务。
为用户服务应用系统通过应用平台提供的安全服务来保证基本安应用系统通过应用平台提供的安全服务来保证基本安全,如通信内容安全、通信双方的认证、审计等全,如通信内容安全、通信双方的认证、审计等7.2.47.2.4 数据加密技术数据加密技术 数据加密技术就是对信息进行重新编码,从而达数据加密技术就是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取信息真实内容到隐藏信息内容,使非法用户无法获取信息真实内容的一种技术手段它不仅用于对网的一种技术手段它不仅用于对网上传送数据的加上传送数据的加解密,而且还在用户鉴定、数字签名、签名验证等方解密,而且还在用户鉴定、数字签名、签名验证等方面起关键作用面起关键作用7.2.47.2.4 数据加密技术数据加密技术加密的基本思想是改变数据排列方式,以掩盖其信息加密的基本思想是改变数据排列方式,以掩盖其信息含义,使得只有合法的接收方才能读懂含义,使得只有合法的接收方才能读懂7.2.47.2.4 数据加密技术数据加密技术数据加密技术通常使用一组密码与被加密的数据进行数据加密技术通常使用一组密码与被加密的数据进行混合运算未加密的数据称为明文,将明文映射成不混合运算。
未加密的数据称为明文,将明文映射成不可读、但仍不失其原信息的密文的过程称为加密,而可读、但仍不失其原信息的密文的过程称为加密,而相反过程即为解密根据密钥的特点不同,数据加密相反过程即为解密根据密钥的特点不同,数据加密技术分为两大类:对称密钥加密和非对称密钥加密技术分为两大类:对称密钥加密和非对称密钥加密7.2.47.2.4 数据加密技术数据加密技术1对称密钥加密对称密钥加密消息发送方和消息接收方必须使用相同的密钥,该密消息发送方和消息接收方必须使用相同的密钥,该密钥必须保密钥必须保密常见的有:常见的有:古代的凯撒密码和现代的古代的凯撒密码和现代的DES,AES等7.2.47.2.4 数据加密技术数据加密技术对称密钥加密特点是加密方法的安全性依赖于密钥的对称密钥加密特点是加密方法的安全性依赖于密钥的秘密性如何将对称密钥从发送方传给接收方如何将对称密钥从发送方传给接收方,是对称密钥机制是对称密钥机制自身无法解决的问题,是其发展的一大瓶颈自身无法解决的问题,是其发展的一大瓶颈7.2.47.2.4 数据加密技术数据加密技术对称密钥加密优点是加密解密速度较快,缺点是密钥对称密钥加密优点是加密解密速度较快,缺点是密钥的分发和管理非常复杂、代价高昂。
假设有的分发和管理非常复杂、代价高昂假设有n个用户的个用户的网络,则需要网络,则需要n(n1)/2个密钥,对于用户数目很大的个密钥,对于用户数目很大的大型网络,密钥的分配和保存就成了很大的问题其大型网络,密钥的分配和保存就成了很大的问题其加密和解密的过程可图加密和解密的过程可图7-1表示表示WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术7.2.47.2.4 数据加密技术数据加密技术20世纪世纪70年代中期,出现了公共密钥技术,又称非对年代中期,出现了公共密钥技术,又称非对称密钥体制它给每个用户分配一对密钥一个是私有称密钥体制它给每个用户分配一对密钥一个是私有密钥,另一个是公共密钥密钥,另一个是公共密钥7.2.47.2.4 数据加密技术数据加密技术一对密钥的含义是:用公共密钥加密的消息只有使用一对密钥的含义是:用公共密钥加密的消息只有使用相应的私有密钥才能解密;同样,用私有密钥加密的相应的私有密钥才能解密;同样,用私有密钥加密的消息也只有相应的公共密钥才能解密消息也只有相应的公共密钥才能解密7.2.47.2.4 数据加密技术数据加密技术只要消息发送方使用消息接收方的公共密钥来加密待只要消息发送方使用消息接收方的公共密钥来加密待发消息,就只有消息接收方才能够读懂该消息,因为发消息,就只有消息接收方才能够读懂该消息,因为要解密必须要知道接收方的私有密钥。
要解密必须要知道接收方的私有密钥常见的非对称密钥体制是常见的非对称密钥体制是RSAWWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术7.2.47.2.4 数据加密技术数据加密技术加密明文可使用收件人的公用密钥,然后使用收件人加密明文可使用收件人的公用密钥,然后使用收件人的私人密钥解密密文,这将保证只有指定的收件人的私人密钥解密密文,这将保证只有指定的收件人(假假设他是收件人密钥的唯一拥有者设他是收件人密钥的唯一拥有者)才能解密密文才能解密密文加密明文也可使用发件人的私人密钥进行加密,并使加密明文也可使用发件人的私人密钥进行加密,并使用发件人的公开密钥解密这种方法为数字签名提供用发件人的公开密钥解密这种方法为数字签名提供了基础7.2.47.2.4 数据加密技术数据加密技术3数字信封数字信封对需传送的信息(如电子合同、支付指令)的采用速对需传送的信息(如电子合同、支付指令)的采用速度较快的私有密钥(对称密钥)加密法;但密钥不先度较快的私有密钥(对称密钥)加密法;但密钥不先由双方约定,而是在加密前由发送方随机产生;用私由双方约定,而是在加密前由发送方随机产生;用私有密钥有密钥P对信息进行加密,形成密文对信息进行加密,形成密文M,传送给接受方。
传送给接受方7.2.47.2.4 数据加密技术数据加密技术将刚才生成的较短的私有密钥将刚才生成的较短的私有密钥P利用接受方的公开密钥利用接受方的公开密钥进行加密,形成私有密钥进行加密,形成私有密钥P密文,定点发送给接受方密文,定点发送给接受方可以断定只有接受方能解密可以断定只有接受方能解密7.2.47.2.4 数据加密技术数据加密技术接受方收到发送方传来的私有密钥接受方收到发送方传来的私有密钥P的密文后,用自己的密文后,用自己的私人密钥解密,取出私有密钥的私人密钥解密,取出私有密钥P用私有密钥用私有密钥P对原对原来收到的信息密文来收到的信息密文M进行解密,得到信息明文这就进行解密,得到信息明文这就好比用安全的好比用安全的“信封信封”把私有密钥把私有密钥P封装起来,所以称封装起来,所以称作数字信封(封装的是里面的对称密钥)作数字信封(封装的是里面的对称密钥)7.2.47.2.4 数据加密技术数据加密技术其实现原理可用图其实现原理可用图7-4表示表示:7.2.47.2.4 数据加密技术数据加密技术4数字签名数字签名数字签名是目前实现认证的一种重要工具,它在身份数字签名是目前实现认证的一种重要工具,它在身份认证、数据完整性的鉴别及不可否认性等方面有着重认证、数据完整性的鉴别及不可否认性等方面有着重要的应用。
要的应用7.2.47.2.4 数据加密技术数据加密技术数字签名必须保证以下三点:数字签名必须保证以下三点:(1)接收者能够核实发送者对报文的签名;)接收者能够核实发送者对报文的签名;(2)发送者事后不能抵赖对报文的签名;)发送者事后不能抵赖对报文的签名;(3)接收者不能伪造对报文的签名接收者不能伪造对报文的签名WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术7.2.47.2.4 数据加密技术数据加密技术 这可以实现防止抵赖,因签名能用这可以实现防止抵赖,因签名能用A的签名公钥解密,的签名公钥解密,说明是用说明是用A的签名私钥加密的,而的签名私钥加密的,而A的签名私钥只有的签名私钥只有A拥有,拥有,所有所有A不能抵赖他的签名如何用非对称密码体制实现完不能抵赖他的签名如何用非对称密码体制实现完整性的鉴别呢?保证数据的完整性,即防篡改其实篡改整性的鉴别呢?保证数据的完整性,即防篡改其实篡改是很难防的,几乎防不了,我们能做的是被篡改了能及时是很难防的,几乎防不了,我们能做的是被篡改了能及时发现,然后让对方重传数据图发现,然后让对方重传数据图7表示了该思想表示了该思想WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术WWW.YOUR-COMPANY-URL.COM7.2.4 数据加密技术7.2.47.2.4 数据加密技术数据加密技术其传送过程如下:其传送过程如下:(1)甲准备好要传送的数字信息(明文)。
甲准备好要传送的数字信息(明文)2)甲对数字信息进行哈希()甲对数字信息进行哈希(hash)运算,得到)运算,得到一个信息摘要一个信息摘要3)甲用自己的私钥()甲用自己的私钥(SK)对信息摘要进行加密)对信息摘要进行加密得到甲的数字签名,并将其附在数字信息上得到甲的数字签名,并将其附在数字信息上7.2.47.2.4 数据加密技术数据加密技术(4)甲随机产生一个加密密钥()甲随机产生一个加密密钥(DES密钥。
