计算机网络和因特网-清华大学程朋-第15讲

计算机网络
第八章：网络安全和网络管理
Proxy相当于一个具有判断能力的数据转发器，可进行数据监控、过滤、 记录、统计等，安全性高，实现复杂，速度低 代理服务器一般包含以下功能： * 用户管理 * 身份认证 * 安全服务 * 代理服务 * 数据加密 * 统计、计费 3、防火墙系统的实现方式 （1）包过滤型 内部网用户通过包过滤器 访问外部网 外部网通过包过滤器有条件地 访问内部网 内、外访问速度都很快
Proxy
... ...
内部
... ...
Server 内部
计算机网络
（4）屏蔽子网型
wenku.baidu.com
第八章：网络安全和网络管理
Proxy
外部 Server
... ...
内部
* * * *
连接外部网的过滤器只容许外部网到达主机代理或公开服务器 连接内部网的过滤器只接收主机代理或公开服务器的数据包 外部网需通过外部过滤器、主机代理、内部过滤器才可访问内部网 内部网通过内、外过滤器或主机代理访问外部网
计算机网络
第八章：网络安全和网络管理
4、网管产品 网络设备厂商都有自己的网管软件，是在网管平台上编制，实现所需功能 网管平台主要有： （1）HP Open View 第一个出现的网管系统，被广泛使用，可用于微机Windows，也可用于工作站 UNIX，本身提供自动发现网络拓扑、性能和吞吐量分析、故障报警、历史数据 等，有二次开发接口 （2）SunNet Manager 第一个用于UNIX的网管系统，用于UNIX工作站，主要是一个开发平台，本身 具有自动拓扑、浏览数据、监视设备状态等少量功能 （3）IBM NetView 最新出现的网管系统，由HP OpenView改进而来，用于UNIX工作站，它不仅是 一个网管平台，也是一个功能强大的直接使用的网管系统，具有： 自动拓扑、过滤、设置阈值；可跨越多网络工作，记录报警；分析网络故障 原因；记录网络通信信息等等
外部
内部
... ...
计算机网络
（2）屏蔽主机型
第八章：网络安全和网络管理
* 包过滤与代理技术相结合 * 在网络层和应用层上提供 Proxy 安全机制 外部 * 过滤规则是外部网只 能到达主机或公开服务器， Server 由主机代理完成与内部网的连接 * 内部网可通过主机代理或直接经过滤器与外部连接 * 物理连接上，内部网仍存在危险 （3）双穴网关型 * 代理主机有两个网络接口 * 物理上将内、外 外部 网络分开，外部网只 能通过主机代理完成 与内部网的连接 * 内部网也只能通过主机代理与外部连接
计算机网络
思考题：
第八章：网络安全和网络管理
1、防火墙有哪几种常用技术？ 2、防火墙有哪几种实现方式？ 3、完美的网络管理应具有什麽功能？ 4、SNMP协议的网管系统有哪几部分构成？
计算机网络
二、网络管理
第八章：网络安全和网络管理
网络管理是通过规划、监视、分析和控制网络设备来保证网络安全、可靠、 高效稳定运行，随着网络规模的扩大和复杂性的增加，网络管理已成为网络 系统不可缺少的一部分 1、OSI网管模型（网管功能） （1）失效管理：是网管中失效检测、失效诊断和恢复等工作有关的部分 网络故障是不可避免的，故障后，通过网管可快速发现故障，通过隔离等手段 发现故障位置，最后清除故障 （2）配置管理：自动发现网络拓扑结构、网络设备参数等配置 根据用户变化情况，对网络进行调整 （3）性能管理：网络通信流量的收集、加工和处理 保证发挥网络资源的效率，提供可靠的通信能力，优化网络，对网络性能进行 监视、预测等 （4）计费管理：根据计费规则统计用户的网络使用量 （5）安全管理：保证网络资源不被非法占用 2、网管标准 网络设备厂家多，一个计算机网络系统不应用多个网管，一个网管应可管理 多家设备，这要求建立网管标准
计算机网络
二、防火墙技术(FireWall)
第八章：网络安全和网络管理
防火墙是在本地网与外部网之间的界面上构筑的保护层，保护内部网不受 外部非法用户的攻击，是一个或一组网络设备 1、包过滤技术（Packet Filter） 建立在网络层及传输层上，按源IP、目的IP、协议类型、端口号进行过滤， 容许符合安全规则的数据包通过，阻止非法数据包，外部合法数据与内部网络 近似直接通信，速度快、费用小、安全性低 安全规则： 没有被列为容许访问的都是被禁止的，保守，但安全 没有被列为禁止访问的都是被容许的，开放，不安全 2、应用网关（Application Gateway） 建立在应用层上的协议过滤，针对特定的应用及过滤规则进行工作，可对数据 结果进行登录和统计，形成报告 3、代理服务器技术（Proxy Server） 上述两个技术中一旦外部数据流满足规则，则与内部的计算机网络建立起直接 联系，存在危险。代理服务器是将跨越防火墙的通信分为两段，内、外计算机网 络的连接由两个终止于代理服务器上的“连接”来实现，真正实现内、外隔离。
计算机网络
第八章：网络安全和网络管理
OSI在70年代提出公共管理信息服务和公共管理信息协议CMIS/CMIP，很全面 但未被采用，80年代，Internet委员会提出了简单网络管理协议SNMP，后来成 为事实上的标准，它是基于TCP/IP协议的 UDP包，包括了OSI的前三种功能， SNMP只是一个过度，该委员会正积极制订与CMIP非常接近的基于TCP/IP的公共 管理信息服务和协议CMOT（Common Management information services and protocol Over Tcp/ip） 3、SNMP 网管系统构成 网管工作站 （1）网络管理器（网管工作站） 负责网络的全部监视和控制 SNMP 提供图形界面 网管代理 网管代理 （2）网管代理 网络设备 MIB MIB 分布在被管的网络设备或主机上 负责收集该设备各端口信息 与网管工作站通信 （3）SNMP协议 网管工作站和网管代理间的通信协议，基于TCP/IP的UDP包，C/S方式 （4）MIB管理信息库 负责存储设备和网管站的管理信息，由被管代理使用