第九章 网络管理与网络安全技术PPT课件
合集下载
《计算机网络》第9章 网络安全与网络管理技术.ppt
• 计算机硬件与操作系统 • 网络硬件与网络软件 • 数据库管理系统 • 应用软件 • 网络通信协议 网络安全漏洞也会表现在以上几个方面。
2019-10-29
8
谢谢你的观看
• 网络安全漏洞的存在是不可避免的;
• 网络软件的漏洞和“后门”是进行网络攻击的 首选目标;
• 网络安全研究人员与网络管理人员也必须主动 地了解本系统的计算机硬件与操作系统、网络 硬件与网络软件、数据库管理系统、应用软件, 以及网络通信协议可能存在的安全问题,利用 各种软件与测试工具主动地检测网络可能存在 的各种安全漏洞,并及时地提出对策与补救措 施。
• 服务攻击(application dependent attack) : 对网络提供某种服务的服务器发起攻击,造成该 网络的“拒绝服务”,使网络工作不正常;
• 非服务攻击(application independent attack) : 不针对某项具体应用服务,而是基于网络层等低 层协议而进行的,使得网络通信设备工作严重阻 塞或瘫痪。
2019-10-29
21
谢谢你的观看
什么是密码 密码是含有一个参数k的数学变换,即
C = Ek(m) • m是未加密的信息(明文) • C是加密后的信息(密文) • E是加密算法 • 参数k称为密钥 • 密文C是明文m 使用密钥k 经过加密算法计算后的结果; • 加密算法可以公开,而密钥只能由通信双方来掌握。
2019-10-29
32
谢谢你的观看
9.3.2 包过滤路由器
包过滤路由器的结构
2019-10-29
33
谢谢你的观看
• 路由器按照系统内部设置的分组过滤规则(即访问控 制表),检查每个分组的源IP地址、目的IP地址,决 定该分组是否应该转发;
2019-10-29
8
谢谢你的观看
• 网络安全漏洞的存在是不可避免的;
• 网络软件的漏洞和“后门”是进行网络攻击的 首选目标;
• 网络安全研究人员与网络管理人员也必须主动 地了解本系统的计算机硬件与操作系统、网络 硬件与网络软件、数据库管理系统、应用软件, 以及网络通信协议可能存在的安全问题,利用 各种软件与测试工具主动地检测网络可能存在 的各种安全漏洞,并及时地提出对策与补救措 施。
• 服务攻击(application dependent attack) : 对网络提供某种服务的服务器发起攻击,造成该 网络的“拒绝服务”,使网络工作不正常;
• 非服务攻击(application independent attack) : 不针对某项具体应用服务,而是基于网络层等低 层协议而进行的,使得网络通信设备工作严重阻 塞或瘫痪。
2019-10-29
21
谢谢你的观看
什么是密码 密码是含有一个参数k的数学变换,即
C = Ek(m) • m是未加密的信息(明文) • C是加密后的信息(密文) • E是加密算法 • 参数k称为密钥 • 密文C是明文m 使用密钥k 经过加密算法计算后的结果; • 加密算法可以公开,而密钥只能由通信双方来掌握。
2019-10-29
32
谢谢你的观看
9.3.2 包过滤路由器
包过滤路由器的结构
2019-10-29
33
谢谢你的观看
• 路由器按照系统内部设置的分组过滤规则(即访问控 制表),检查每个分组的源IP地址、目的IP地址,决 定该分组是否应该转发;
网络安全与管理PPT课件
Internet应用基础教程
第9章 网络安全与管理
(3)Internet上的通信业务多数使用Unix操作系统来支 持,Unix操作系统中明显存在的安全脆弱性问题会直接影 响安全服务。
(4)在计算机上存储、传输和处理的电子信息,还没 有像传统的邮件通信那样进行信封保护和签字盖章。信息 的来源和去向是否真实、内容是否被改动以及是否泄露等, 在应用层支持的服务协议中,是凭着“君子协定”来维系 的。
Internet应用基础教程
第9章 网络安全与管理
系统安全防护指操作系统的安全防护,即各个操作系 统的安全配置、使用、补丁等,不同的操作系统具有不同 的安全防护策略和安全措施;网络安全防护指网络管理的 安全和网络传输的安全;信息安全防护指数据本身的保密 性、完整性和可靠性,数据加密就是信息安全防护的重要 途径。
2.检测 检测是安全策略的第二关,如果攻击者穿过防护系统, 检测系统就会将其检测出来。如检测入侵者的身份,包括 攻击源、系统损失等。防护系统可以阻止非法用户的入侵, 若有入侵事件的发生,会启动检测系统进行检测。
Internet应用基础教程
第9章 网络安全与管理
3.响应
检测系统一旦检测出入侵,响应系统则开始响应,进 行事件处理。PDRR中的响应就是在已知入侵事件发生后, 进行的紧急响应,不同的计算机有不同的紧急响应小组。 世界上第一台计算机紧急响应小组叫CERT(Computer E mergency Response Team),我国的第一台计算机紧急 响应小组叫CCERT(CERNET Computer Emergency Res ponse Team)。
4.恢复
安全策略的最后一关是系统恢复,它是将系统恢复到 原来状态或比原来更安全的状态。恢复也分为系统恢复和 信息恢复两个方面。
第9章 网络安全与管理
(3)Internet上的通信业务多数使用Unix操作系统来支 持,Unix操作系统中明显存在的安全脆弱性问题会直接影 响安全服务。
(4)在计算机上存储、传输和处理的电子信息,还没 有像传统的邮件通信那样进行信封保护和签字盖章。信息 的来源和去向是否真实、内容是否被改动以及是否泄露等, 在应用层支持的服务协议中,是凭着“君子协定”来维系 的。
Internet应用基础教程
第9章 网络安全与管理
系统安全防护指操作系统的安全防护,即各个操作系 统的安全配置、使用、补丁等,不同的操作系统具有不同 的安全防护策略和安全措施;网络安全防护指网络管理的 安全和网络传输的安全;信息安全防护指数据本身的保密 性、完整性和可靠性,数据加密就是信息安全防护的重要 途径。
2.检测 检测是安全策略的第二关,如果攻击者穿过防护系统, 检测系统就会将其检测出来。如检测入侵者的身份,包括 攻击源、系统损失等。防护系统可以阻止非法用户的入侵, 若有入侵事件的发生,会启动检测系统进行检测。
Internet应用基础教程
第9章 网络安全与管理
3.响应
检测系统一旦检测出入侵,响应系统则开始响应,进 行事件处理。PDRR中的响应就是在已知入侵事件发生后, 进行的紧急响应,不同的计算机有不同的紧急响应小组。 世界上第一台计算机紧急响应小组叫CERT(Computer E mergency Response Team),我国的第一台计算机紧急 响应小组叫CCERT(CERNET Computer Emergency Res ponse Team)。
4.恢复
安全策略的最后一关是系统恢复,它是将系统恢复到 原来状态或比原来更安全的状态。恢复也分为系统恢复和 信息恢复两个方面。
计算机网络技术PPT教学课件-第9章 网络安全与网络管理技术
加密技术应用案例
9.3 防火墙技术
防火墙(Firewall)是在两个网络之间执行访问控 制策略的硬件或软件系统,目的是保护网络不被他 人侵扰。 本质上,它遵循的是一种数据进行过滤的网络通信 安全机制,只允许授权的通信,而禁止非授权的通 信。 通常,防火墙就是位于内部网或Web站点与因特 网之间的一台路由器或计算机。
一个包过滤路由器与一个堡垒主机组成的防火墙大系统
一个包过滤路由器与一个堡垒主机(双宿主)组成 的防火墙系统
采用多极结构的防火墙系统
9.4 网络防攻略与入侵检测技术
网络攻击方法分析 入侵系统类攻击
信息收集型攻击 口令攻击 漏洞攻击
缓冲区溢出攻击 欺骗类攻击 拒绝服务攻击 对防火墙的攻击 利用病毒攻击 木马程序攻击 后门攻击
编制逻辑上严密无漏洞的包过滤规则比较困难, 对编制好的规则进行测试维护也较麻烦。 维护复杂的包过滤规则也是一件很麻烦的事情 包过滤规则的判别会降低路由器的转发速度
对包中的应用数据无法过滤
它总是假定包头部信息是合法有效的。 以上这些缺点使得包过滤技术通常不单独使用, 而是作为其他安全技术的一种补充。
防火墙在因特网与内部网中的位置
包过滤防火墙(路由器)
包过滤(Packet Filtering)是防火墙最基本的 实现形式,它控制哪些数据包可以进出网络而哪 些数据包应被网络拒绝。 包过滤防火墙通常是放置在因特网与内部网络之 间的一个具备包过滤功能的简单路由器,这是因 为包过滤是路由器的固有属性。
堡垒主机 把处于防火墙关键部位、运行应用 级网关软件的计算机系统称为堡垒主机。
第九章 网络管理和网络安全PPT教学课件
2020/12/10
3
3
配置管理(Configuration Management)
配置管理也是基本的网络管理功能。
一个计算机网络是由多种多样的设备连接而成的, 这些被管对象的物理结构和逻辑结构各不相同,结构中 的各种参数、状态和名字等信息也需要相互了解和相互 适应。这对于一个大型计算机网络的运行是至关重要的。 另外,网络的运行环境也是经常变化的,系统本身也要 随着用户的增加、减少或设备的维护、添加而经常调整 网络的配置,使网络能够更有效地工作。网络管理提供 的这些手段构成了网络管理的配置功能域,它是用来定 义、识别、初始化、控制和监测通信网中的被管对象的 功能集合。
2020/12/10
2
2
故障管理(Fault Management)
故障管理是最基本的网络管理功能。
故障管理是网络管理功能中与故障检测、故障诊断 和故障恢复或排除等工作相关的部分,其目的是保证网 络能够提供连续、可靠的服务。
在大型计算机网络发生故障时,往往不能确定故障 所在的具体位置,这就需要故障管理提供逐步隔离和最 后故障定位的一整套方法和工具;有的时候,故障是随 机产生的,需要经过较长时间的跟踪和分析,才能找到 故障原因。这就需要有一个故障管理系统,科学地管理 网络所发现的所有故障,具体地记录每一个故障的产生, 跟踪分析以至最终确定并排除故障。
⑶ GetResponse原语:表示被管代理对管理者的响应,并回送相应变 量的状态信息(差错码、差错状态等)。
⑷ SetRequest原语:表示管理者发送给被管代理的“设置变量”请求, 要求被管代理在本地MIB库中设置相应的变量值。
⑸ Trap原语:当被管代理发现某些预定的网络事件(例如,被管设备 出错或关机)时,它会主动向管理者发送信息,报告发生的事件。管理者 可以根据Trap原语发送来的信息进行差错诊断和处理。
网络安全PPT课件
内容应该包括故障原因及有关问题,故障严重程度, 发生故障对象的有关属性,告警对象的备份状态,故 障的处理结果,以及建议的应对措施。
网络管理
3.性能管理: [1]设备的运行状态:包括CPU利用率、 内存利
用率、空间利用率、日志的错误报告等。 [2] 带宽利用率,吞吐率降低的程度,通信繁忙
的程度,网络瓶颈及响应等,对这些参数进行控制和 优化的任务。
输过程中保持不被修改、不被破坏和丢失的特性;
可用性:可被授权实体访问并按需求使用的特性,即当需要时应
能存取所需的信息,网络环境下拒绝服务、破坏网络和有关系统 的正常运行等都属于对可用性的攻击;
可控性:对信息的传播及内容具有控制能力。
网络安全威胁的类型
网络安全
非授权访问 假冒合法用户 数据完整性受破坏 病毒 通信线路被窃听 干扰系统的正常运行,改变系统正常运行的方向,
防火墙产品主要有堡垒主机,包过滤路由器,应用 层网关(代理服务器)以及电路层网关,屏蔽主机防火墙, 双宿主机等类型。
网络安全
病毒防治技术: 病毒历来是信息系统安全的主要问题之一。由于网
络的广泛互联,病毒的传播途径和速度大大加快。 我们将病毒的途径分为: (1 ) 通过FTP,电子邮件传播。 (2) 通过软盘、光盘、U盘传播。 (3) 通过Web游览传播,主要是恶意的Java控件网
(2)数据存储加密技术
目是防止在存储环节上的数据失密,可分为密文 存储和存取控制两种。前者一般是通过加密算法转换、 附加密码、加密模块等方法实现;后者则是对用户资 格、格限加以审查和限制,防止非法用户存取数据或 合法用户越权存取数据。
网络安全
(3)数据完整性鉴别技术 目的是对介入信息的传送、存取、处理的人的身
网络管理
3.性能管理: [1]设备的运行状态:包括CPU利用率、 内存利
用率、空间利用率、日志的错误报告等。 [2] 带宽利用率,吞吐率降低的程度,通信繁忙
的程度,网络瓶颈及响应等,对这些参数进行控制和 优化的任务。
输过程中保持不被修改、不被破坏和丢失的特性;
可用性:可被授权实体访问并按需求使用的特性,即当需要时应
能存取所需的信息,网络环境下拒绝服务、破坏网络和有关系统 的正常运行等都属于对可用性的攻击;
可控性:对信息的传播及内容具有控制能力。
网络安全威胁的类型
网络安全
非授权访问 假冒合法用户 数据完整性受破坏 病毒 通信线路被窃听 干扰系统的正常运行,改变系统正常运行的方向,
防火墙产品主要有堡垒主机,包过滤路由器,应用 层网关(代理服务器)以及电路层网关,屏蔽主机防火墙, 双宿主机等类型。
网络安全
病毒防治技术: 病毒历来是信息系统安全的主要问题之一。由于网
络的广泛互联,病毒的传播途径和速度大大加快。 我们将病毒的途径分为: (1 ) 通过FTP,电子邮件传播。 (2) 通过软盘、光盘、U盘传播。 (3) 通过Web游览传播,主要是恶意的Java控件网
(2)数据存储加密技术
目是防止在存储环节上的数据失密,可分为密文 存储和存取控制两种。前者一般是通过加密算法转换、 附加密码、加密模块等方法实现;后者则是对用户资 格、格限加以审查和限制,防止非法用户存取数据或 合法用户越权存取数据。
网络安全
(3)数据完整性鉴别技术 目的是对介入信息的传送、存取、处理的人的身
第9章 网络安全管理技术
信息资源包括维持网络服务运行的系统软件和应 用软件,以及在网络中存储和传输的用户信息等。
网络安全定义:
网络安全是指保护网络系统中的软件、硬件及数 据信息资源,使之免受偶然或恶意的破坏、盗用、暴 露和篡改,保证网络系统的正常运行、网络服务不受
中断而所采取的措施和行为。
对网络的被动攻击和主动攻击
源站
目的站
源站
目的站
源站
目的站 源站
目的站
截获 被动攻击
中断
篡改 主 动 攻 击
伪造
3.网络安全威胁 所谓的安全威胁是指某个实体(人、事件、程序
等)对某一资源可能造成的危害。是某些个别用心的
人通过一定的攻击手段来实现的。
安全威胁可分为故意的(如系统入侵)和偶然的
(如将信息发到错误地址)两类。
(1)基本的安全威胁
2.数字签名原理
签名机制的特征是该签名只有通过签名者的私有 信息才能产生,也就是说,一个签名者的签名只能惟 一地由他自己生成。 当收发双方发生争议时,第三方(仲裁机构)就 能够根据消息上的数字签名来裁定这条消息是否确实 由发送方发出,从而实现抗赖服务。
另外,数字签名应是所发送数据的函数,即签名 与消息相关,从而防止数字签名的伪造和重用。
DSKA ( X )
E 运算
明文 X
加密与解密 签名与核实签名
9.1.3
CA认证与数字凭证
所谓CA(Certificate Authority:证书发行机构), 是采用PKI(Public Key Infrastructure:公开密钥体系) 公开密钥技术,专门提供网络身份认证服务,负责签发和 管理数字证书,且具有权威性和公正性的第三方信任机构, 它的作用就像颁发证件的部门,如护照办理机构。 由于CA数字证书技术采用了加密传输和数字签名技 术,能够实现上述要求,因此在国内外电子商务中,都得 到了广泛的应用,以数字证书认证来保证交易能够得到正 常的执行。
网络安全定义:
网络安全是指保护网络系统中的软件、硬件及数 据信息资源,使之免受偶然或恶意的破坏、盗用、暴 露和篡改,保证网络系统的正常运行、网络服务不受
中断而所采取的措施和行为。
对网络的被动攻击和主动攻击
源站
目的站
源站
目的站
源站
目的站 源站
目的站
截获 被动攻击
中断
篡改 主 动 攻 击
伪造
3.网络安全威胁 所谓的安全威胁是指某个实体(人、事件、程序
等)对某一资源可能造成的危害。是某些个别用心的
人通过一定的攻击手段来实现的。
安全威胁可分为故意的(如系统入侵)和偶然的
(如将信息发到错误地址)两类。
(1)基本的安全威胁
2.数字签名原理
签名机制的特征是该签名只有通过签名者的私有 信息才能产生,也就是说,一个签名者的签名只能惟 一地由他自己生成。 当收发双方发生争议时,第三方(仲裁机构)就 能够根据消息上的数字签名来裁定这条消息是否确实 由发送方发出,从而实现抗赖服务。
另外,数字签名应是所发送数据的函数,即签名 与消息相关,从而防止数字签名的伪造和重用。
DSKA ( X )
E 运算
明文 X
加密与解密 签名与核实签名
9.1.3
CA认证与数字凭证
所谓CA(Certificate Authority:证书发行机构), 是采用PKI(Public Key Infrastructure:公开密钥体系) 公开密钥技术,专门提供网络身份认证服务,负责签发和 管理数字证书,且具有权威性和公正性的第三方信任机构, 它的作用就像颁发证件的部门,如护照办理机构。 由于CA数字证书技术采用了加密传输和数字签名技 术,能够实现上述要求,因此在国内外电子商务中,都得 到了广泛的应用,以数字证书认证来保证交易能够得到正 常的执行。
计算机网络技术课件(第9章)网络管理与安全
第九章 网络管理与安全 §9.1 网络管理
9.1.2 网络管理协议
1.SNMP的工作原理 SNMP的工作原理 SNMP使用嵌入到网络设施中的代理软件来收集网络的通信信息 SNMP使用嵌入到网络设施中的代理软件来收集网络的通信信息 和有关网络设备的统计数据。代理软件不断地收集统计数据, 并把这些数据记录到一个管理信息库(MIB)中。网络管理员通 并把这些数据记录到一个管理信息库(MIB)中。网络管理员通 过向代理的MIB发出查询信号可以得到这些信息。 过向代理的MIB发出查询信号可以得到这些信息。 (1)轮询方法。被管设备总是在控制之下,网络管理站不断地 询问各个代理。 (2)中断方法。当有异常事件发生时,立即通知网络管理站。 (3)自陷的轮询方法。在初始化阶段,或者每隔一段较长时间, 网络管理站通过轮询所有代理来了解某些关键信息,一旦了解 到了这些信息,网络管理站可以不再进行轮询;另一方面,每 个代理负责向网络管理站通知可能出现的异常事件,这些事件 通过SNMP TRAP传递消息。 通过SNMP TRAP传递消息。
几种常见的盗窃数据或侵入网络的方法:
4.利用操作系统漏洞 操作系统的漏洞大致可分为两部分:一部分是由设计缺陷造成 的。包括协议方面的、网络服务方面的、共用程序库方面的等 等;另一部分则是由于使用不得法所致。这种由于系统管理不 善所引发的漏洞主要是系统资源或账户权限设置不当。 5.盗用密码 通常有两种方式:一种方式是因为用户不小心密码被他人“发 现”了。而“发现”的方法一般是“猜测”。猜密码的方式有 多种,最常见的是在登录系统时尝试不同的密码,系统允许用 户登录就意味着密码被猜中了;另一种比较常见的方法是先从 服务器中获得被加密的密码表,再利用公开的算法进行计算, 直到求出密码为止,这种技巧最常用于Unix系统。 直到求出密码为止,这种技巧最常用于Unix系统。
第九章 网络安全与网络管理技术PPT课件
16
网络安全标准
《电子计算机系统安全规范》,1987年10月 《计算机软件保护条例》,1991年5月 《计算机软件著作权登记办法》,1992年4月 《中华人民共和国计算机信息与系统安全保护条例》,
1994年2月 《计算机信息系统保密管理暂行规定》,1998年2月 《关于维护互联网安全决定》,全国人民代表大会常务
6
1.网络防攻击技术
服务攻击(application dependent attack) : 对网络提供某种服务的服务器发起攻击,造成该网络的 “拒绝服务”,使网络工作不正常;
非服务攻击(application independent attack) : 不针对某项具体应用服务,而是基于网络层等低层协议而 进行的,使得网络通信设备工作严重阻塞或瘫痪。
解决来自网络内部的不安全因素必须从技术与管理两 个方面入手。
13
6.网络防病毒
引导型病毒 可执行文件病毒 宏病毒 混合病毒 特洛伊木马型病毒 Internet语言病毒
14
7.网络数据备份与恢复、灾难恢复问题 如果出现网络故障造成数据丢失,数据能不能被恢复? 如果出现网络因某种原因被损坏,重新购买设备的资 金可以提供,但是原有系统的数据能不能恢复?
窃听 非法用户
( c ) 信 息被 窃 听
信息目的结点 信息目的结点
信息源结点 信息源结点
篡改 非法用户 ( d ) 信 息被 篡 改
伪造 非法用户 ( e ) 信 息被 伪 造
信息目的结点 信息目的结点
11
4.防抵赖问题
防抵赖是防止信息源结点用户对他发送的信息事后不 承认,或者是信息目的结点用户接收到信息之后不认 账;
互联网体系结构
主讲教师:
1
网络安全标准
《电子计算机系统安全规范》,1987年10月 《计算机软件保护条例》,1991年5月 《计算机软件著作权登记办法》,1992年4月 《中华人民共和国计算机信息与系统安全保护条例》,
1994年2月 《计算机信息系统保密管理暂行规定》,1998年2月 《关于维护互联网安全决定》,全国人民代表大会常务
6
1.网络防攻击技术
服务攻击(application dependent attack) : 对网络提供某种服务的服务器发起攻击,造成该网络的 “拒绝服务”,使网络工作不正常;
非服务攻击(application independent attack) : 不针对某项具体应用服务,而是基于网络层等低层协议而 进行的,使得网络通信设备工作严重阻塞或瘫痪。
解决来自网络内部的不安全因素必须从技术与管理两 个方面入手。
13
6.网络防病毒
引导型病毒 可执行文件病毒 宏病毒 混合病毒 特洛伊木马型病毒 Internet语言病毒
14
7.网络数据备份与恢复、灾难恢复问题 如果出现网络故障造成数据丢失,数据能不能被恢复? 如果出现网络因某种原因被损坏,重新购买设备的资 金可以提供,但是原有系统的数据能不能恢复?
窃听 非法用户
( c ) 信 息被 窃 听
信息目的结点 信息目的结点
信息源结点 信息源结点
篡改 非法用户 ( d ) 信 息被 篡 改
伪造 非法用户 ( e ) 信 息被 伪 造
信息目的结点 信息目的结点
11
4.防抵赖问题
防抵赖是防止信息源结点用户对他发送的信息事后不 承认,或者是信息目的结点用户接收到信息之后不认 账;
互联网体系结构
主讲教师:
1
计算机网络技术基础(微课版)(第6版)-PPT课件第 9 章 网络安全
第九章 网络安全
本章学习要点:
➢ 网络安全的现状与重要性 ➢ 防火墙技术 ➢ 网络加密技术 ➢ 数字证书与数字签名 ➢ 入侵检测技术 ➢ 网络防病毒技术 ➢ 网络安全技术的发展前景
9.1 网络安全的现状与重要性
9.1.1 网络安全的基本概念
ISO 将计算机安全定义为:为数据处理系统建立和采取的技术与管 理方面的安全保护,保护计算机软件数据、硬件不因偶然和恶意的原 因而遭到破坏、更改及泄露。
➢ 软件的漏洞或“后门”
➢ 企业网络内部
返回本节首页 返回本章首页
9.2 防火墙技术
9.2.1 防火墙的基本概念
1. 什么是防火墙
“防火墙”(Fire Wall)是用来连接两个网络并控制两个网络之间相 互访问的系统,如图9-1所示。它包括用于网络连接的软件和硬件以及控 制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行 认证,从而防止有害信息进入受保护网,为网络提供安全保障。
为了在对称加密过程中有效地管理好密钥,保证数据的机密性,美 国麻省理工学院提出了一种基于可信赖的第三方的认证系统—— Kerberos。它是一种在开放式网络环境下进行身份认证的方法,使网 络上的用户可以相互证明自己的身份。
Kerberos采用对称密钥体制对信息进行加密。其基本思想是:能正 确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访 问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访 问许可证(ticket)。
链路加密简单、容易实现,但由于全部报文都以明文形式通过各结点, 因此在这些结点上,数据容易受到非法存取的危险,而且每条链路都需 要一对加、解密设备和一个独立密钥,因此成本较高。
(2)结点加密
结点加密是对链路加密的改进,它也要为通信链路上传输的所有数据 进行加密,而且加密过程对用户是透明的。
本章学习要点:
➢ 网络安全的现状与重要性 ➢ 防火墙技术 ➢ 网络加密技术 ➢ 数字证书与数字签名 ➢ 入侵检测技术 ➢ 网络防病毒技术 ➢ 网络安全技术的发展前景
9.1 网络安全的现状与重要性
9.1.1 网络安全的基本概念
ISO 将计算机安全定义为:为数据处理系统建立和采取的技术与管 理方面的安全保护,保护计算机软件数据、硬件不因偶然和恶意的原 因而遭到破坏、更改及泄露。
➢ 软件的漏洞或“后门”
➢ 企业网络内部
返回本节首页 返回本章首页
9.2 防火墙技术
9.2.1 防火墙的基本概念
1. 什么是防火墙
“防火墙”(Fire Wall)是用来连接两个网络并控制两个网络之间相 互访问的系统,如图9-1所示。它包括用于网络连接的软件和硬件以及控 制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行 认证,从而防止有害信息进入受保护网,为网络提供安全保障。
为了在对称加密过程中有效地管理好密钥,保证数据的机密性,美 国麻省理工学院提出了一种基于可信赖的第三方的认证系统—— Kerberos。它是一种在开放式网络环境下进行身份认证的方法,使网 络上的用户可以相互证明自己的身份。
Kerberos采用对称密钥体制对信息进行加密。其基本思想是:能正 确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访 问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访 问许可证(ticket)。
链路加密简单、容易实现,但由于全部报文都以明文形式通过各结点, 因此在这些结点上,数据容易受到非法存取的危险,而且每条链路都需 要一对加、解密设备和一个独立密钥,因此成本较高。
(2)结点加密
结点加密是对链路加密的改进,它也要为通信链路上传输的所有数据 进行加密,而且加密过程对用户是透明的。
《网络安全与管理》PPT课件
第 N 轮
128位密文
128明文
(a)加密
(b)解密
AES的加密解密流程
单击此处编辑母版标题样式 单击此处编辑母版标题样式 三、公开密钥体制 单击此处编辑母版标题样式
相对于对称加密算法,这种方法也叫做非对 称加密算法,需要公开密钥(public key)和 私有密钥(private key)两个密钥。
K2
置换选择2
循环左移第16轮来自K16置换选择2
循环左移
32位互换
DES经过总共16轮的替代和换位的变换后,使得密码分 析者无法获得该算法一般特性以外更多的信息。
逆初始置换 64位密文
DES算法描述
单击此处编辑母版标题样式 单击此处编辑母版标题样式 新一代加密标准AES 单击此处编辑母版标题样式
AES是一个迭代的、对称密钥分组的密码 算法可以使用128、192 和 256 位密钥,并且 用 128 位分组加密和解密数据,算法迭代次 数由分组长度和密钥长度共同决定。
单击此处编辑母版标题样式 单击此处编辑母版标题样式 网络安全的五要素 单击此处编辑母版标题样式
网络安全包括五个基本要素 机密性 完整性 可用性 可控性 可审查性
单击此处编辑母版标题样式 单击此处编辑母版标题样式 网络安全的分类 单击此处编辑母版标题样式
根据安全需求将其分为数据保密、数据完 整性、身份验证、授权、不可抵赖和不可 否认等几个部分; 根据解决手段可以分为病毒防范、防火墙、 存取控制、身份鉴别、安全综合解决方案; 根据威胁来源将其划分为网络攻击行为、 安全漏洞及恶意代码等类别。
当通信双方发生了下列情况时,数字签名技 术能够解决引发的争端: 否认:发送方不承认自己发送过某一报文。 伪造:接收方自己伪造一份报文,并声称 它来自发送方。 冒充:网络上的某个用户冒充另一个用户 接收或发送报文。 篡改:接收方对收到的信息进行篡改。
128位密文
128明文
(a)加密
(b)解密
AES的加密解密流程
单击此处编辑母版标题样式 单击此处编辑母版标题样式 三、公开密钥体制 单击此处编辑母版标题样式
相对于对称加密算法,这种方法也叫做非对 称加密算法,需要公开密钥(public key)和 私有密钥(private key)两个密钥。
K2
置换选择2
循环左移第16轮来自K16置换选择2
循环左移
32位互换
DES经过总共16轮的替代和换位的变换后,使得密码分 析者无法获得该算法一般特性以外更多的信息。
逆初始置换 64位密文
DES算法描述
单击此处编辑母版标题样式 单击此处编辑母版标题样式 新一代加密标准AES 单击此处编辑母版标题样式
AES是一个迭代的、对称密钥分组的密码 算法可以使用128、192 和 256 位密钥,并且 用 128 位分组加密和解密数据,算法迭代次 数由分组长度和密钥长度共同决定。
单击此处编辑母版标题样式 单击此处编辑母版标题样式 网络安全的五要素 单击此处编辑母版标题样式
网络安全包括五个基本要素 机密性 完整性 可用性 可控性 可审查性
单击此处编辑母版标题样式 单击此处编辑母版标题样式 网络安全的分类 单击此处编辑母版标题样式
根据安全需求将其分为数据保密、数据完 整性、身份验证、授权、不可抵赖和不可 否认等几个部分; 根据解决手段可以分为病毒防范、防火墙、 存取控制、身份鉴别、安全综合解决方案; 根据威胁来源将其划分为网络攻击行为、 安全漏洞及恶意代码等类别。
当通信双方发生了下列情况时,数字签名技 术能够解决引发的争端: 否认:发送方不承认自己发送过某一报文。 伪造:接收方自己伪造一份报文,并声称 它来自发送方。 冒充:网络上的某个用户冒充另一个用户 接收或发送报文。 篡改:接收方对收到的信息进行篡改。
网络管理与安全技术ppt课件
每次所用的密钥位排列不同。即使按照目前的标
准,采用该方法的加密结果也是相当安全。
• 美国在1998年12月决定将不再使用DES。
• 原 因 为 1998 年 5 月 美 国 EFF ( Electronics Frontier
Foundation)宣布,他们的一台专用解密机,用56 小时破译了56位密钥的DES。
6.1安全通信协议 6.2加密技术 6.3认证机制 6.4 VPN技术 6.5 网络病毒防治技术
6.1 网络层安全协议体系—IPSec IPSec—IP Security 6.1.1 IPSec的作用
IPSec通过在IP层对所有业务流加密和认证,保 证了所有分布式应用程序的安全性。 企业可在公网上建立自己的虚拟专用网。 配有IPSec系统的用户,通过ISP获取安全访问。 IPSec既可用于建立内部网安全连接也可用于外 部网的安全连接。 IPSec可增加已有的安全协议的安全性。
即将信息加密成64位的数据。
• RC4是由Rivest 在1987年开发的,是一种流式的密
文,即实时的把信息加密成一个整体,密钥的长 度也是可变的。在美国密钥长度是128位,向外出 口 时 密 钥 长 度 限 制 到 40位 , Lotus Notes, Oracle Secure SQL都使用RC4的算法。
认证的 加密的
新IP报头 ESP报头 原IP报头 数据 ESP报尾 ESP认证数据
1. SA的组合方式 一个SA能够实现AH协议或ESP协议,但却不能同
时实现这两种协议。
当要求在主机间和网关间都实现IPSec业务时,就要 求建立多个SA, 即采用SA组合方式。
隧道SA
一个或两个SA
安全网关
准,采用该方法的加密结果也是相当安全。
• 美国在1998年12月决定将不再使用DES。
• 原 因 为 1998 年 5 月 美 国 EFF ( Electronics Frontier
Foundation)宣布,他们的一台专用解密机,用56 小时破译了56位密钥的DES。
6.1安全通信协议 6.2加密技术 6.3认证机制 6.4 VPN技术 6.5 网络病毒防治技术
6.1 网络层安全协议体系—IPSec IPSec—IP Security 6.1.1 IPSec的作用
IPSec通过在IP层对所有业务流加密和认证,保 证了所有分布式应用程序的安全性。 企业可在公网上建立自己的虚拟专用网。 配有IPSec系统的用户,通过ISP获取安全访问。 IPSec既可用于建立内部网安全连接也可用于外 部网的安全连接。 IPSec可增加已有的安全协议的安全性。
即将信息加密成64位的数据。
• RC4是由Rivest 在1987年开发的,是一种流式的密
文,即实时的把信息加密成一个整体,密钥的长 度也是可变的。在美国密钥长度是128位,向外出 口 时 密 钥 长 度 限 制 到 40位 , Lotus Notes, Oracle Secure SQL都使用RC4的算法。
认证的 加密的
新IP报头 ESP报头 原IP报头 数据 ESP报尾 ESP认证数据
1. SA的组合方式 一个SA能够实现AH协议或ESP协议,但却不能同
时实现这两种协议。
当要求在主机间和网关间都实现IPSec业务时,就要 求建立多个SA, 即采用SA组合方式。
隧道SA
一个或两个SA
安全网关
计算机网络安全技术PPT课件
– 很难从根本上解决全部安全问题
.
5
系统设计带来的安全问题
• 系统设计中的缺陷
– 操作系统、网络协议和应用系统的设计中 都或多或少的存在缺陷
– 早期的系统设计中对安全问题考虑较少、 缺乏足够的安全知识和经验、没有形成严 密的安全体系,随着网络的不断庞大,很 难从根本上完全消除这些缺陷
.
6
系统实现带来的安全问题
.
34
网络安全 第一节 计算机网络安全的概念
㈤ 网络干扰:出于某种目的对计
算机和网络系统运行进行干扰,干扰
方式多种,使系统不可信、操作员和
系统管理员心理压力增加、心理战。
施放各种假的和期骗信息,扰乱社会、
经济、金融等。
㈥ 网络破坏: 系统攻击、删除数据、
毁坏系统。非法窃取、盗用、复制系
统文件、数据、资料、信息,造成泄
密。
.
35
网络安全
第二节 计算机网络实体安全
.
36
网络安全
组成计算机网络的硬件设备有 计算机系统、通信交换设备(交换机、 程控机)、网络互连设备(如收发器、 中继器、集线器、网桥、路由器、网 关等)、存储设备等,在网络系统集 成中,它们的可靠性和安全性必须自 始至终考虑。
1)“黑客”是非法使用计算机系统和网络
系统的人,会给网络安全带来极大影响。
2)“黑客”是一群计算机迷,他们以查找
网络和系统缺陷为荣,有利于网络安全的。
我们认为,基于信息对抗、计算机对抗的基
础,我们必须既要防御非法“黑客”的攻击,
也要研究和利用“黑客”技术来维护网络安全,
不断地发现网络的漏洞,不断地改进安全系统。
.
8
著名的例子:蠕虫病毒
.
5
系统设计带来的安全问题
• 系统设计中的缺陷
– 操作系统、网络协议和应用系统的设计中 都或多或少的存在缺陷
– 早期的系统设计中对安全问题考虑较少、 缺乏足够的安全知识和经验、没有形成严 密的安全体系,随着网络的不断庞大,很 难从根本上完全消除这些缺陷
.
6
系统实现带来的安全问题
.
34
网络安全 第一节 计算机网络安全的概念
㈤ 网络干扰:出于某种目的对计
算机和网络系统运行进行干扰,干扰
方式多种,使系统不可信、操作员和
系统管理员心理压力增加、心理战。
施放各种假的和期骗信息,扰乱社会、
经济、金融等。
㈥ 网络破坏: 系统攻击、删除数据、
毁坏系统。非法窃取、盗用、复制系
统文件、数据、资料、信息,造成泄
密。
.
35
网络安全
第二节 计算机网络实体安全
.
36
网络安全
组成计算机网络的硬件设备有 计算机系统、通信交换设备(交换机、 程控机)、网络互连设备(如收发器、 中继器、集线器、网桥、路由器、网 关等)、存储设备等,在网络系统集 成中,它们的可靠性和安全性必须自 始至终考虑。
1)“黑客”是非法使用计算机系统和网络
系统的人,会给网络安全带来极大影响。
2)“黑客”是一群计算机迷,他们以查找
网络和系统缺陷为荣,有利于网络安全的。
我们认为,基于信息对抗、计算机对抗的基
础,我们必须既要防御非法“黑客”的攻击,
也要研究和利用“黑客”技术来维护网络安全,
不断地发现网络的漏洞,不断地改进安全系统。
.
8
著名的例子:蠕虫病毒
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无 无
无 无 少
数据报 Internet
CMIP
MIB中定义的有继承性的对 象
事件驱动
有 有
有 有 多
基于会话
ISO
9
TM第N 九章 网络管理与网络安全技术
电信管理网(TMN)是ITU-T为了对电信网进 行统一管理在1988年提出,1992年形成的网络 管理标准,还在不断完善中
TMN采用面向对象技术,定义了两种类型的电 信资源:一种是管理系统,(运行系统OS)另 一种是被管系统,一般称为网络元素NE
管理信息库MIB(Management Information Base)
– 由一个系统内的许多被管对象及其属性组成,虚拟数据库
代理进程
– 在被管系统中直接管理被管对象的进程,服务进程
管理进程
– 利用通信手段,通过代理来管理各被管对象,客户进程
24.11.2020
5
SN第MP九五章种协网议络数管据理单与元网络安全技术
由于SNMP管理功能不够强,ISO在20世纪80 年代提出CMIP(公共管理信息协议)
五个管理功能域,11种类型的PDU(协议数据 单元)变量具有复杂的数据结构
SNMPv1与CMIP的比较
特性
SNMPv1
CMIP
已安装的数量
很大
小
每个管理站可管
少
多
理的被管对象数
目
管理模型
管理进程和代理进 管理进程和代理进
对系统所在环境的安全保护,如区域保护和灾难保护;
– 设备安全
设备安全主要包括设备的防盗、防毁、抗电磁干扰及电源 保护等;采用设备冗余备份,并通过严格管理及提高员工 的整体安全意识来实现。
– 媒体安全——防止系统信息在空间的扩散。
局域网传输线路传导辐射的抑制
对终端设备辐射的防范
24.11.2020
TCP
IP 网络接口
代理进程
SNMP 路
UDP 由
IP
器
网络接口
4
第九章 网络管理与网络安全技术 网络管理中术语
网络元素(network element )
– 网络中具体的通信设备或逻辑实体,又称网元
被管元素(managed object)
– 指可使用管理协议进行管理和控制的网络资源的抽象表示
计费管理
– 记录用户使用网络资源的情况并核收费用,统计网络利用 率
性能管理
– 保证在使用最少网络资源和最小时延前提下,网络提供可 靠连续通行能力
安全管理
– 网24.1络1.202不0 被非法使用
2
第九章 网络管理与网络安全技术
网络管理的实现
网络管理员通过网络管理软件来监视和 控制网络的各个组成部分。 如:通过查询主机、路由器、交换机等 设备的状态来获取网络的有关统计资料, 通过重新配置路由、网络接口等来控制 网络运行和改善网络性能。
TMN标准定义了资源之间的各种互连关系,称 之为接口,如OS-NE接口
24.11.2020
10
第九章 网络管理与网络安全技术 物理安全 9.2 网络安全
物理安全是保护计算机网络设备、设施以及其它媒体免 遭地震、水灾、火灾等环境事故以及人为操作失误或错 误及各种计算机犯罪行为导致的破坏过程。
– 环境安全
第九章 网络管理与网络安全技术 9.1 网络管理基本概念
网络管理是遵守开放的网络系统的体系结构,并能够对 不同厂商的软硬件产品进行管理。
运行管理
– 网络的计费和通信量管理
处理管理
– 收集和分析设备利用率、通信量等数据,直到做出 相应的控制,以优化网络资源的使用效率等各方面
维护管理
– 报警和性能监控、测试和故障修复等
SNMP的操作只有两种基本的管理功能
– “读”操作,用get报文来监测各被管对象的状 况;
– “写”操作,用set报文来监测各被管对象的状 况;
PDU编号 PDU名称
用途
0 1
2
3
24.11.2020
4
Get-request Get-nextrequest Get-response
Set-request Trap
11
系第统九安章全 网络管理与网络安全技术
操作系统安全
– 安全性较高的网络操作系统并进行必要的安全配置、 关闭一些不常用却存在安全隐患的应用、对一些保 存有用户信息及其口令的关键文件
路由以及DNS安全
– 对路由器进行安全配置,并关闭不用的端口,对其 执行严格的访问控制;对DNS软件应尽快升级到最 新;以防止通过路由和DNS攻击实现的拒绝服务。
程
程
24.11.2020
8
CM第IP九(章2) 网络管理与网络安全技术
特性 被管对象的形式
管理进程与代理进 程的交互 安全
管理进程之间的交 换信息
数据块传送 创建/删除被管对象 每个管理站可管理
的被管对象数目 通信模型
制订24.标11.20准20 的机构
SNMPv1 MIB树中的简单变量
轮询和不常用的trap
服务提供
– 向用户提供新业务和通过增加网络设备和设施来提
高网络性能
24.11.2020
1
网络第系九统章管理网五络个管功理能与域网络安全技术
故障管理
– 对网络中被管对象故障的检测、定位和排除
配置管理
– 用来定义、识别、初始化、监控网络中的被管对象,改变 被管对象的操作特性,报告被管对象状态变化
能分散化,安全性不够好。
SNMPv2:1996
增加get-build-request命令,一次读取多行; 分散化的管理方法,一个网络中多个管理服务器,并
有中间代理进程。
安全性设计过分复杂
SNMPv3:
安全性的改进:具有三种安全功能:鉴别、保密和存
取控制
24.11.2020
7
CM第IP九(章1) 网络管理与网络安全技术
用来查询一个或多个变量的值
允许在一个MIB树上检索下一个变量
对get/set报文做出响应,并提供差错码、 差错状态等信息 对一个或多个变量得值进行设置
6
向管理进程报告代理中发生的事件
SN第MP九v2章V3 网络管理与网络安全技术
SNMPv1: 1988
优点:简单,广泛的使用
缺点:不能有效传送大块数据,不能将网络管理的功
应用系统安全
– 应用服务器尽量不要开放一些没有经常用的协议及 协议端口号
24.11.2020
3
第九章 网络管理与网络安全技术 简单网络管理协议SNMP典型配置
网络管 理员
管理站
管理进程 SNMP UDP IP
网络接口
MIB
代理进程 用户进程
主 SNMP FTP等
机
UDP
TCP
IP
网络接口
24.11.202进程
SNMP FTP等
UDP
无 无 少
数据报 Internet
CMIP
MIB中定义的有继承性的对 象
事件驱动
有 有
有 有 多
基于会话
ISO
9
TM第N 九章 网络管理与网络安全技术
电信管理网(TMN)是ITU-T为了对电信网进 行统一管理在1988年提出,1992年形成的网络 管理标准,还在不断完善中
TMN采用面向对象技术,定义了两种类型的电 信资源:一种是管理系统,(运行系统OS)另 一种是被管系统,一般称为网络元素NE
管理信息库MIB(Management Information Base)
– 由一个系统内的许多被管对象及其属性组成,虚拟数据库
代理进程
– 在被管系统中直接管理被管对象的进程,服务进程
管理进程
– 利用通信手段,通过代理来管理各被管对象,客户进程
24.11.2020
5
SN第MP九五章种协网议络数管据理单与元网络安全技术
由于SNMP管理功能不够强,ISO在20世纪80 年代提出CMIP(公共管理信息协议)
五个管理功能域,11种类型的PDU(协议数据 单元)变量具有复杂的数据结构
SNMPv1与CMIP的比较
特性
SNMPv1
CMIP
已安装的数量
很大
小
每个管理站可管
少
多
理的被管对象数
目
管理模型
管理进程和代理进 管理进程和代理进
对系统所在环境的安全保护,如区域保护和灾难保护;
– 设备安全
设备安全主要包括设备的防盗、防毁、抗电磁干扰及电源 保护等;采用设备冗余备份,并通过严格管理及提高员工 的整体安全意识来实现。
– 媒体安全——防止系统信息在空间的扩散。
局域网传输线路传导辐射的抑制
对终端设备辐射的防范
24.11.2020
TCP
IP 网络接口
代理进程
SNMP 路
UDP 由
IP
器
网络接口
4
第九章 网络管理与网络安全技术 网络管理中术语
网络元素(network element )
– 网络中具体的通信设备或逻辑实体,又称网元
被管元素(managed object)
– 指可使用管理协议进行管理和控制的网络资源的抽象表示
计费管理
– 记录用户使用网络资源的情况并核收费用,统计网络利用 率
性能管理
– 保证在使用最少网络资源和最小时延前提下,网络提供可 靠连续通行能力
安全管理
– 网24.1络1.202不0 被非法使用
2
第九章 网络管理与网络安全技术
网络管理的实现
网络管理员通过网络管理软件来监视和 控制网络的各个组成部分。 如:通过查询主机、路由器、交换机等 设备的状态来获取网络的有关统计资料, 通过重新配置路由、网络接口等来控制 网络运行和改善网络性能。
TMN标准定义了资源之间的各种互连关系,称 之为接口,如OS-NE接口
24.11.2020
10
第九章 网络管理与网络安全技术 物理安全 9.2 网络安全
物理安全是保护计算机网络设备、设施以及其它媒体免 遭地震、水灾、火灾等环境事故以及人为操作失误或错 误及各种计算机犯罪行为导致的破坏过程。
– 环境安全
第九章 网络管理与网络安全技术 9.1 网络管理基本概念
网络管理是遵守开放的网络系统的体系结构,并能够对 不同厂商的软硬件产品进行管理。
运行管理
– 网络的计费和通信量管理
处理管理
– 收集和分析设备利用率、通信量等数据,直到做出 相应的控制,以优化网络资源的使用效率等各方面
维护管理
– 报警和性能监控、测试和故障修复等
SNMP的操作只有两种基本的管理功能
– “读”操作,用get报文来监测各被管对象的状 况;
– “写”操作,用set报文来监测各被管对象的状 况;
PDU编号 PDU名称
用途
0 1
2
3
24.11.2020
4
Get-request Get-nextrequest Get-response
Set-request Trap
11
系第统九安章全 网络管理与网络安全技术
操作系统安全
– 安全性较高的网络操作系统并进行必要的安全配置、 关闭一些不常用却存在安全隐患的应用、对一些保 存有用户信息及其口令的关键文件
路由以及DNS安全
– 对路由器进行安全配置,并关闭不用的端口,对其 执行严格的访问控制;对DNS软件应尽快升级到最 新;以防止通过路由和DNS攻击实现的拒绝服务。
程
程
24.11.2020
8
CM第IP九(章2) 网络管理与网络安全技术
特性 被管对象的形式
管理进程与代理进 程的交互 安全
管理进程之间的交 换信息
数据块传送 创建/删除被管对象 每个管理站可管理
的被管对象数目 通信模型
制订24.标11.20准20 的机构
SNMPv1 MIB树中的简单变量
轮询和不常用的trap
服务提供
– 向用户提供新业务和通过增加网络设备和设施来提
高网络性能
24.11.2020
1
网络第系九统章管理网五络个管功理能与域网络安全技术
故障管理
– 对网络中被管对象故障的检测、定位和排除
配置管理
– 用来定义、识别、初始化、监控网络中的被管对象,改变 被管对象的操作特性,报告被管对象状态变化
能分散化,安全性不够好。
SNMPv2:1996
增加get-build-request命令,一次读取多行; 分散化的管理方法,一个网络中多个管理服务器,并
有中间代理进程。
安全性设计过分复杂
SNMPv3:
安全性的改进:具有三种安全功能:鉴别、保密和存
取控制
24.11.2020
7
CM第IP九(章1) 网络管理与网络安全技术
用来查询一个或多个变量的值
允许在一个MIB树上检索下一个变量
对get/set报文做出响应,并提供差错码、 差错状态等信息 对一个或多个变量得值进行设置
6
向管理进程报告代理中发生的事件
SN第MP九v2章V3 网络管理与网络安全技术
SNMPv1: 1988
优点:简单,广泛的使用
缺点:不能有效传送大块数据,不能将网络管理的功
应用系统安全
– 应用服务器尽量不要开放一些没有经常用的协议及 协议端口号
24.11.2020
3
第九章 网络管理与网络安全技术 简单网络管理协议SNMP典型配置
网络管 理员
管理站
管理进程 SNMP UDP IP
网络接口
MIB
代理进程 用户进程
主 SNMP FTP等
机
UDP
TCP
IP
网络接口
24.11.202进程
SNMP FTP等
UDP