第十二章 网络管理与网络安全技术

(1)事件驱动方法
事件驱动方法是由网络中网络监测设备在发现被监 测的对象状态参数变化时及时向管理进程报告。

(2)轮询驱动方法：
轮询驱动方法是管理进程主动轮流查询整个网络中 设备的工作状态、参数。
事件驱动方法的故障监测的实时性会更好一些。
3. 网络管理功能域
网络管理标准化是要满足不同网络管理 系统之间的互操作的需求，为了支持各种网 络互连管理的要求，网络管理需要有一个国 际性的标准。 OSI管理系统标准中定义的5个功能域是：
2. 网络管理的基本概念
1）网络管理的定义
网络管理有狭义和广义之分，狭义的网络管 理仅指对网络交通量等网络参数性能的管理，广 义的网络管理是指对网络应用系统的管理。 网络管理涉及到以下三个方面： 网络服务提供 网络维护 网络处理 在网络管理中，常见的两个术语是managemention 与administration.其中managemention一般是网络管 理活动， administration是指比较具体的某一项网 络管理行为。
2）网络安全漏洞与对策问题 网络信息系统的运行一定涉及到： 计算机与操作系统、 网络硬件与网络软件、 数据库管理系统、 应用软件以及网络通讯协议等
这些不可能百分之百没有缺陷或漏洞的，攻击 者可能利用这些漏洞进行攻击，所以我们应该主 动的了解这些漏洞，并提出解决对策和措施，以 防止受到攻击。
3）网络中的信息安全保密技术 网络中的信息安全保密主要包括两个方面： 信息存储安全与信息传输安全。 信息存储安全是指如何保证静态存储在连网计
防火墙的安全规则
防火墙的安全规则有两种基本的策略方法： （1）默认允许任何通信，除非已被规则明确指 明拒绝； （2）默认不允许任何通信，除非已被规则明确 指明接受
防火墙策略
☆ 有两种可供选择的防火墙设计构件：包过滤器和应 用代理服务器。用这两种构件的不同组合配置防火墙 成为防火墙的“体系结构”，需要考虑如下问题： （1）有包过滤功能的路由器或主机 （2）双宿网关 （3）屏蔽主机 （4）屏蔽子网 ☆ 包过滤防火墙可以由一个或多个路由器或运行防火 墙软件的主机构成，这些软件用各种方法来允许或禁 止访问局域网LAN。最基本的防火墙只是一个简单的屏 蔽路由器，即包过滤器
2. 制定网络安全策略的思想

百度文库
(1)凡是没有明确表示允许的就是被禁止 (2)凡是没有明确表示禁止的就要被允许
3. 网络资源的定义 RFC 1244列出了以下需要定义的网络资源： 硬件 软件 数据 用户 演示程序 支持设备
4. 网络使用与责任的定义
5. 网络安全受到威胁时的行动方案
2）网络管理系统的基本结构
一个网络管理系统从逻辑上可以分为三个部分：管 理对象、管理进程、管理协议。

管理对象是经过抽象的网络元素，对应于网络中的具体 可以操作的数据，如纪录网络设置工作状态的状态变量、 网络设备内部的工作参数、网络性能的统计参数。 管理进程是对网络设备进行全面的管理与控制的软件。

防火墙应覆盖网络层、传输层、应用层。
3. 防火墙的作用
设计防火墙的目的有两个：一是进出企 业内部网的所有通信量都要通过防火墙；二 是只有合法的通信量才能通过防火墙。
现在的防火墙已经提供以下的4种基本服务 服务控制 方向控制 用户控制 行为控制
4. 防火墙的优缺点：
优点：



定义了一个中心“扼制点”来防止非法用户。 保护内部网络中脆弱的服务。 是审计和记录Internet使用量的最佳地方。
1）保护方式 保护方式适用于以下这些情况： 闯入者的活动将要造成很大的危险 跟踪闯入者活动的代价太大 从技术上跟踪闯入者的活动很难实现 2）跟踪方式 跟踪方式适用于以下这些情况： 被攻击的网络资源目标十分明确 已经存在一个多次入侵某种网络资源的闯入者 已经找到一种可以控制闯入者的方法
防火墙的主要功能
（1）控制不安全的服务 （2）控制访问站点 （3）集中式安全保护 （4）增强私有资源的保密性 （5）网络日志记录和使用统计
3 防火墙中使用的技术
（1）包过滤技术 （2）代理技术 （3）SOCKS技术 （4）状态检测技术 （5）对VPN的支持 （6）NAT技术 （7）内容类型和策略感知能力 （8）服务负载平衡、流量分析和带宽管理 （9）详细的审计及完善的报表
第十二章 网络管理与网络安全技术

12．1 网络管理技术 12．2 网络安全的基本概念 12．3 网络安全策略的设计 12．4 网络防火墙技术 12．5 本章总结
12．1 网络管理技术
1. 网络管理的重要性
在计算机网络的硬件中，实际存在着服务器、工 作站、网关、路由器、网桥、集线器、传输介质与 各种网卡。 在计算机网络操作系统中，又可能是UNIX、 Windows NT、NetWare等操作系统并存，虽然不同的 厂家针对自己的网络设备与网络操作系统提供了专 门的网络管理产品，但对于管理一个大型的、异构 的、多厂家产品的计算机网络来说往往是不够的， 因此无论是对于网络管理员]网络应用开发人员，还 是普通的网络用户，学习网络管理的基本理论、知 识和实现方法都是十分重要的。
5）记帐管理
4. 典型的网络管理软件 1）简单网络管理协议
现在应用最广泛的网络管理标准是简单网络管 理协议（SNMP），它的管理模型参见P266图12-1。 它包括三个组成部分:管理进程、管理代理、管 理信息库。
2）典型的网络管理软件
目前典型的网络管理软件主要有：HP公司的 Open View、Cabletron公司的Spectrum与DEC公司的 PolyCenter等。

管理协议则是负责在管理系统与管理对象之间传递命令， 负责解释管理操作命令。
3）管理信息库
管理信息库是管理进程的一个部分，由于记录网 络中被管理对象的状态参数值。 对于管理信息库来说，如何使管理信息库的数据 与网络设备的实际状态、工作参数保持一致，是网络 管理系统必须解决的的重要问题，实现这个目的主要 有两种方法：
从管理控制的角度看，网络资源可以分为三种 状态：可用的、不可用的与正在测试的。 从网络运行的角度看，网络资源又可分为两种 状态：活动的与不活动的。
2）故障管理
故障管理是用来维护网络的正常运行的。网 络故障管理包括及时发现网络中发生的故障，找出 网络故障产生的原因，必要时启动控制功能来排除 故障。
3）性能管理
3. 网络安全服务的主要内容
完整的考虑网络安全包括三方面的内容： 安全攻击、安全机制与安全服务。 安全攻击是为了防止被攻击而对网络传输 的信息进行保护。 安全机制是指用于检测、预防攻击，以及 在受到攻击之后进行恢复的机制。 安全服务则是指提高数据处理安全系统中 的信息传输安全性服务。

网络安全服务应该提供以下这些 基本的服务功能：
1. 防火墙的基本概念
12．4 网络防火墙技术

防火墙实质上就是要在企业内部网与外部网之间的检查 网络服务请求分组是否合法，网络中传输的数据是否会对网 络安全构成威胁的硬件设备。 典型的防火墙结构参看P278图12-4
2. 防火墙的基本结构
一般来说，防火墙可以有以下的两个部分组成：分组过 滤路由器和应用网关。 防火墙的基本功能是: 根据一定的安全规定检查、过滤网络之间传送的报文 分组，以确定它们的合法性，这项功能一般是通过具有分组 过滤功能的路由器来实现的。


保密性 认证 数据完整性 防抵赖性 访问控制
4. 网络安全标准
安全等级的分类
可信计算机系统评估准则将计算机系统 安全分为四类7个等级，即D、C1、C2、B1、 B2、B3与A1.
12．3 网络安全策略的设计
1. 网络安全策略与网络用户的关系
在制定网络安全策略时，一定要注意限制的 范围，网络安全策略首先要保证用户能有效地完 成各自的任务，而不造成网络使用价值的下降。
12．2 网络安全的基本概念
1. 网络安全的基本问题
网络安全技术从根本上来说，就是通过解决网 络安全存在的问题，来达到保护在网络环境中存储、 处理与传输的信息安全的目的。 1）网络防攻击问题 在internet中，对网络的攻击可以分为两种基本的 类型：服务攻击和非服务攻击。 服务攻击是指对网络提供某种服务的服务器进行攻击， 造成网络工作不正常。 在非服务攻击的情况下，攻击者可能使用各种方法对 网络通讯设备发起攻击。
4 防火墙的安全规则和实现策略
安全规则 安全规则是指规定一个计算机和网络能够做什么，不 能够做什么。
网络互联规则可包含如下内容： 哪些设备允许接入网络； 网络应提供哪些服务，不应提供哪些服务； 如何安装操作系统，操作系统应提供哪些功能； 杀毒软件的安装和升级； 网络用户权限的限制； 用户账号的维护。
• •
•
• •
配置管理 故障管理 性能管理 安全管理 记帐管理
1）配置管理 配置管理就是用来识别、定义、初始化、 控制与监测通信网中的管理对象。 网络中的配置管理功能域需要监视与控 制的主要内容是： (1)网络资源及其活动状态 (2)网络资源之间的关系 (3)新资源的引入与旧资源的删除。
包过滤防火墙在网络中的示意图
包过滤器
Internet intranet
创建包过滤规则
确定包过滤配置规则前，需要对以下内容进行确定： （1）网络提供何种网络服务，以何种方向提供这些服务 （2）是否需要限制任何内部主机与因特网连接的能力 （3）因特网上是否存在可信任主机 用不同的防火墙工具时，应从以下内容来考虑： （1）接口和方向 （2）源和目的地址 （3）IP选项 （4）高层协议 （5）对于TCP包，ack位 （6）ICMP报文类型 （7）TCP和UDP包的源和目的端口

用于包过滤的IP头信息
头部信息中有三种信息在包过滤中很重要： （1）IP地址，包括源和目的地址； （2）协议，例如TCP、UDP、ICMP； （3）IP选项，例如源路由选择。
算机中的信息不会被未授权的网络用户使用的问题。 一般是由计算机操作系统、数据库管理系统、应用软 件与网络操作系统、防火墙共同完成的。
信息传输安全是指如何保证信息在网络传输的 过程中不被泄漏与不被攻击的问题。
保证网络系统中的信息安全的主要技术是数据加密与解密算法。
4）网络内部安全防范问题
一个问题是如何防止信息源节点用户对所发送 的信息事后不承认，或者是信息目的节点接到信息 之后不认账，即出现抵赖问题。“防抵赖”是网络 对信息传输安全保障的重要内容之一；
缺点：



限制了有用的网络服务 无法防止内部用户的攻击 无法防范数据驱动型的攻击 不能防备新的网络安全问题
网络防火墙结构及技术
1 防火墙的定义 从狭义上来讲，防火墙是指在两个网络之间加 强访问控制的一个或一系列网络设备，是安装了防 火墙软件的主机、路由器或多机系统；从广义上讲， 防火墙还包括了整个网络的安全策略和安全行为， 是一整套保障网络安全的手段 防火墙是这样一个或一组网络安全设备，它 位于内部网络和外部网络之间某一个适当的扼制点 上，来限制外部非法用户访问内部网络资源和内部 非法向外传递信息
网络性能管理活动是持续地评测网络进行中的 主要性能指标，以监测网络服务是否达到了预定的 水平，找出已经发生或潜在的瓶颈，报告网络性能 的变化趋势，为网络管理决策提供依据。 典型的网络性能管理可以分为两部分： 性能监测和网络控制。
4）安全管理
安全管理功能使用来保护网络资源的安全。 安全管理活动利用各种层次的安全防卫机制，使非 法入侵事件尽可能少发生；能够快速的检测为授权 的资源使用，并查出侵入点，对非法入侵进行审查 与追踪；能够使网络管理人员恢复部分受破坏的文 件。
另一个问题是如何防止内部具有内部具有合法 身份的用户有意或无意地坐出对网络与信息安全有 害的行为。
5）网络防病毒问题
联网微型机病毒的传播速度是单机的20倍，而 网络服务器消除病毒处理所花的时间是单机的40倍。 6）网络数据备份与恢复、灾难恢复问题 一个实用的网络信息系统的设计中必须有网络 数据的备份、恢复手段和灾难恢复测量与实现方法 的内容，这也是网络安全研究的一个重要内容。