《計(jì)算機(jī)通信與實(shí)驗(yàn)》

第九章

網(wǎng)絡(luò)日常管理與安全維護(hù)1精選課件9.1計(jì)算機(jī)網(wǎng)絡(luò)管理的基本概念9.2計(jì)算機(jī)網(wǎng)絡(luò)管理的管理模式、管理協(xié)議9.3網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全策略9.4常見(jiàn)網(wǎng)絡(luò)安全技術(shù)原理9.5常用網(wǎng)絡(luò)防護(hù)軟件的使用方法9.6常用網(wǎng)絡(luò)故障診斷技術(shù)網(wǎng)絡(luò)日常管理與安全維護(hù)2精選課件計(jì)算機(jī)網(wǎng)絡(luò)管理的基本概念9.1 計(jì)算機(jī)網(wǎng)絡(luò)管理的基本概念9.1.1網(wǎng)絡(luò)管理的目標(biāo)9.1.2網(wǎng)絡(luò)管理的功能3精選課件網(wǎng)絡(luò)管理的目標(biāo)網(wǎng)絡(luò)管理就是為保證網(wǎng)絡(luò)系統(tǒng)能夠持續(xù)、穩(wěn)定、安全、可靠和高效地運(yùn)行，對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)施的一系列方法和措施。網(wǎng)絡(luò)管理系統(tǒng)是實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)管理的一套軟件。網(wǎng)絡(luò)管理的最主要目標(biāo)就是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)連續(xù)正常運(yùn)行的保障。4精選課件網(wǎng)絡(luò)管理的功能1.配置管理2.性能管理3.故障管理4.安全管理5.計(jì)費(fèi)管理5精選課件計(jì)算機(jī)網(wǎng)絡(luò)管理的管理模式、管理協(xié)議9.2計(jì)算機(jī)網(wǎng)絡(luò)管理的管理模式、管理協(xié)議9.2.1客戶、服務(wù)器、管理員與代理9.2.2網(wǎng)絡(luò)管理協(xié)議9.2.3簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）6精選課件客戶、服務(wù)器、管理員與代理網(wǎng)絡(luò)管理系統(tǒng)中很少使用術(shù)語(yǔ)客戶（Client）和服務(wù)器(Server)，而把在管理員的計(jì)算機(jī)上運(yùn)行的客戶程序稱為管理員（Manager），把網(wǎng)絡(luò)設(shè)備上的服務(wù)器應(yīng)用程序稱為代理（Agent）。計(jì)算機(jī)網(wǎng)絡(luò)管理原理圖7精選課件網(wǎng)絡(luò)管理協(xié)議1.管理對(duì)象（ManagementObjects）2.管理進(jìn)程（Manager）3.管理協(xié)議（ManagementProtocol）4.管理信息庫(kù)（ManagementInformationBase）8精選課件簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)1988年，IAB提出了基于TCP／IP的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP（SimpleNetworkManagementProtocol）。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）已經(jīng)成為事實(shí)上的標(biāo)準(zhǔn)網(wǎng)絡(luò)管理協(xié)議。SNMP的體系結(jié)構(gòu)分為SNMP管理者（SNMPManager）和SNMP代理者（SNMPAgent）SNMP由一系列協(xié)議組和規(guī)范組成的，它們提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法。SNMP使用嵌入到網(wǎng)絡(luò)設(shè)施中的代理軟件來(lái)收集網(wǎng)絡(luò)的通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)。9精選課件簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)1．存取模式2．管理信息庫(kù)與對(duì)象名3．MIB變量的多樣性4．與數(shù)組相對(duì)應(yīng)的MIB變量10精選課件網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全策略

9.3網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全策略9.3.1網(wǎng)絡(luò)安全概念9.3.2安全性指標(biāo)9.3.3網(wǎng)絡(luò)安全面臨的威脅9.3.4網(wǎng)絡(luò)安全的策略11精選課件網(wǎng)絡(luò)安全概念網(wǎng)絡(luò)安全包括五個(gè)基本要素：?機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。?完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。?可用性：得到授權(quán)的實(shí)體在需要時(shí)可訪問(wèn)數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。?可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。?可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。以下幾個(gè)問(wèn)題是網(wǎng)絡(luò)信息安全應(yīng)該注意的：（1）網(wǎng)絡(luò)上信息的監(jiān)聽(tīng)（2）對(duì)用戶身份的仿冒（3）對(duì)網(wǎng)絡(luò)上信息的篡改（4）對(duì)發(fā)出的信息予以否認(rèn)（5）對(duì)信息進(jìn)行重發(fā)12精選課件安全性指標(biāo)主要的安全性指標(biāo)：數(shù)據(jù)完整性（dataintegrity），即數(shù)據(jù)在傳輸過(guò)程中的完整性，也就是數(shù)據(jù)在發(fā)送前和到達(dá)后是否完全一樣。數(shù)據(jù)可用性（dataavailability），即在系統(tǒng)故障的情況下數(shù)據(jù)是否會(huì)丟失。數(shù)據(jù)保密性（dataconfidentialityandprivacy），即數(shù)據(jù)是否會(huì)被非法竊取。13精選課件網(wǎng)絡(luò)安全面臨的威脅目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在：物理威脅：非授權(quán)訪問(wèn)：破壞數(shù)據(jù)完整性：拒絕服務(wù)攻擊：利用網(wǎng)絡(luò)傳播病毒：導(dǎo)致這些威脅的因素有以下主要方面：操作系統(tǒng)本身的安全漏洞；防火墻存在安全缺陷和規(guī)則配置不合理；來(lái)自內(nèi)部網(wǎng)用戶的安全威脅；缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)的安全性；TCP/IP協(xié)議簇軟件本身缺乏安全性；電子郵件病毒、Web頁(yè)面中存在惡意的JavaScript/ActiveX控件；應(yīng)用服務(wù)的訪問(wèn)控制、安全設(shè)計(jì)存在漏洞。14精選課件網(wǎng)絡(luò)安全的策略1.制定網(wǎng)絡(luò)安全策略遵循的原則（1）適應(yīng)性原則（2）動(dòng)態(tài)性原則（3）簡(jiǎn)單性原則（4）系統(tǒng)性原則15精選課件網(wǎng)絡(luò)安全的策略2.物理安全策略一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)另一類是對(duì)輻射的防護(hù)，

1）采用各種電磁屏蔽措施，

2）干擾的防護(hù)措施3.訪問(wèn)控制策略（1）入網(wǎng)訪問(wèn)控制（2）網(wǎng)絡(luò)的權(quán)限控制（3）目錄級(jí)安全控制（4）屬性安全控制（5）網(wǎng)絡(luò)服務(wù)器安全控制。（6）網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制（7）網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制（8）防火墻控制16精選課件網(wǎng)絡(luò)安全的策略4.信息加密策略網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種：鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。5.網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。17精選課件常見(jiàn)網(wǎng)絡(luò)安全技術(shù)原理9.4常見(jiàn)網(wǎng)絡(luò)安全技術(shù)原理9.4.1加密與解密9.4.2數(shù)字簽名鑒定9.4.3信息隱藏9.4.4包過(guò)濾9.4.5防火墻18精選課件加密與解密加密的基本思想是改變信息的排列方式，使得只有合法的接收方才能讀懂。目前存在幾種加密技術(shù)：一種傳統(tǒng)的加密技術(shù)是，消息發(fā)送方和消息接收方必須使用相同的密鑰，該密鑰必須保密。發(fā)送方用該密鑰對(duì)待發(fā)消息進(jìn)行加密，然后將消息傳輸至接收方，接收方再用相同的密鑰對(duì)收到的消息進(jìn)行解密。但有一種十分有趣的加密方法稱為公共密鑰加密法，它給每個(gè)用戶分配兩把密鑰：一個(gè)稱私有密鑰，是保密的；一個(gè)稱公共密鑰，是眾所周知的。該方法的加密函數(shù)必須具備如下數(shù)學(xué)特性：用公共密鑰加密的消息除了使用相應(yīng)的私有密鑰外很難解密；同樣，用私有密鑰加密的消息除了使用相應(yīng)的公共密鑰外很難解密。19精選課件數(shù)字簽名鑒定公共密鑰加密法還可以用于驗(yàn)證消息發(fā)送方，這種技術(shù)稱作數(shù)字簽名（digitalsignature）。要在一條消息上簽名，消息發(fā)送方只要使用其私有密鑰加密即可。要驗(yàn)證簽名，只要用消息發(fā)送方的公共密鑰對(duì)該消息進(jìn)行解密看成功與否即可。接收方知道是誰(shuí)發(fā)送的消息，因?yàn)橹挥邪l(fā)送方擁有加密操作的密鑰。為了保證加密的消息不被復(fù)制和重傳，原始消息中可引入創(chuàng)建該消息的日期和時(shí)間。20精選課件信息隱藏信息隱藏(InformationHiding)主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中，然后通過(guò)公開信息的傳輸來(lái)傳遞機(jī)密信息。信息隱藏技術(shù)主要由下述兩部分組成:(1)信息嵌入算法，它利用密鑰來(lái)實(shí)現(xiàn)秘密信息的隱藏。(2)隱蔽信息檢測(cè)/提取算法(檢測(cè)器)，它利用密鑰從隱蔽載體中檢測(cè)/恢復(fù)出秘密信息。在密鑰未知的前提下，第三者很難從隱秘載體中得到或刪除，甚至發(fā)現(xiàn)秘密信息。21精選課件信息隱藏目前信息隱藏技術(shù)在信息安全的各個(gè)領(lǐng)域中所發(fā)揮的作用系統(tǒng)地總結(jié)為五個(gè)方面：數(shù)據(jù)保密數(shù)據(jù)的不可抵賴性數(shù)字作品的版權(quán)保護(hù)防偽數(shù)據(jù)的完整性22精選課件包過(guò)濾包過(guò)濾器是路由器的一部分，它是由阻止包任意通過(guò)路由器在不同的網(wǎng)絡(luò)之間穿越的軟件組成的。網(wǎng)絡(luò)管理員可以配置包過(guò)濾器，以控制哪些包可以通過(guò)路由器，哪些包不可以。包過(guò)濾器的工作是檢查每個(gè)包的頭部中的有關(guān)字段。網(wǎng)絡(luò)管理員可以配置包過(guò)濾器，指定要檢測(cè)哪些字段以及如何處理等等。路由器上的包過(guò)濾23精選課件防火墻防火墻其特征是通過(guò)在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)達(dá)到保障網(wǎng)絡(luò)安全的目的。一般來(lái)說(shuō)，防火墻具有以下幾種功能：（1）允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來(lái)防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。（2）可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。（3）可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的設(shè)備。（4）是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。（5）可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。24精選課件防火墻目前的防火墻主要有以下三種類型：包過(guò)濾防火墻。包過(guò)濾防火墻設(shè)置在網(wǎng)絡(luò)層或傳輸層，可以在路由器上實(shí)現(xiàn)包過(guò)濾。代理防火墻。代理防火墻（ProxyFirewall）又稱應(yīng)用層網(wǎng)關(guān)級(jí)防火墻，它由代理服務(wù)器和過(guò)濾路由器組成，是目前較流行的一種防火墻。復(fù)合型防火墻。出于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案：屏蔽主機(jī)防火墻體系結(jié)構(gòu)、屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)。25精選課件防火墻用防火墻屏蔽的多個(gè)子網(wǎng)26精選課件常用網(wǎng)絡(luò)防護(hù)軟件的使用方法9.5常用網(wǎng)絡(luò)防護(hù)軟件的使用方法9.5.1防病毒軟件9.5.2防網(wǎng)絡(luò)攻擊軟件27精選課件防病毒軟件1．計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。2．計(jì)算機(jī)病毒的特點(diǎn)（1）計(jì)算機(jī)病毒是一段可執(zhí)行的程序（2）計(jì)算機(jī)病毒的傳染性（3）計(jì)算機(jī)病毒的潛伏性（4）計(jì)算機(jī)病毒的可觸發(fā)性（5）計(jì)算機(jī)病毒的破壞性（6）計(jì)算機(jī)病毒攻擊的主動(dòng)性（7）計(jì)算機(jī)病毒的針對(duì)性（8）計(jì)算機(jī)病毒的衍生性28精選課件防病毒軟件3．計(jì)算機(jī)病毒的防護(hù)目前較好的防病毒軟件一般都具有以下功能：病毒掃描：掃描文件系統(tǒng)，找到可疑文件，清除病毒實(shí)時(shí)監(jiān)控：對(duì)用戶打開、復(fù)制、傳輸中的文件實(shí)時(shí)進(jìn)行攔截和檢查動(dòng)態(tài)更新：自動(dòng)或半自動(dòng)下載和安裝最新的病毒定義庫(kù)文件網(wǎng)絡(luò)管理：提供企業(yè)化集中管理病毒定義庫(kù)文件、同步病毒安全策略的功能市場(chǎng)上著名的防病毒軟件有：SymantecNortonAntiVirus、McAfeeVirusscan、KasperskyAnti-Virus、趨勢(shì)PC-cillin、瑞星瑞星殺毒軟件、金山毒霸等。29精選課件防網(wǎng)絡(luò)攻擊軟件對(duì)操作系統(tǒng)進(jìn)行端口攻擊可以使系統(tǒng)停止服務(wù)甚至破壞系統(tǒng)、獲取系統(tǒng)特權(quán)等，因此可以關(guān)閉不必要的端口，有效防止這類攻擊。在WindowsServer2003和WindowsXP上有自帶的Windows防火墻。9.4本地連接中的高級(jí)屬性

9.5Windows防火墻常規(guī)屬性30精選課件防網(wǎng)絡(luò)攻擊軟件9.6windows防火墻例外屬性9.7添加程序

31精選課件防網(wǎng)絡(luò)攻擊軟件9.8添加端口9.9更改范圍32精選課件防網(wǎng)絡(luò)攻擊軟件9.10Windows防火墻高級(jí)屬性

9.11適配器高級(jí)設(shè)置33精選課件常用網(wǎng)絡(luò)故障診斷技術(shù)9.6常用網(wǎng)絡(luò)故障診斷技術(shù)

9.6.1故障檢查的基本命令

9.6.2故障檢查的步驟34精選課件故障檢查的基本命令1.ifconfig或ipconfig命令35精選課件故障檢查的基本命令2.arp命令檢查MAC地址和IP地址對(duì)應(yīng)關(guān)系，有如下命令參數(shù)：-a //顯示輸出所有arp表中的mac地址和IP地址對(duì)應(yīng)關(guān)系-d ipaddress//從arp表中刪除IP地址為ipaddress的對(duì)應(yīng)關(guān)系-sipaddressmacaddress//向arp表中增加ipaddress和macaddress的對(duì)應(yīng)關(guān)系36精選課件故障檢查的基本命令3.Ping命令檢查網(wǎng)絡(luò)連通性，命令格式pingipaddress/domain-address命令輸出從本機(jī)到ipaddress/domain-address的時(shí)延。通過(guò)ping命令可以方便地獲知連通情況，后面的地址參數(shù)可以是IP地址也可以是域名地址，是域名地址時(shí)會(huì)自動(dòng)地轉(zhuǎn)換為對(duì)應(yīng)的IP地址。37精選課件故障檢查的基本命令3.Ping命令

ping命令38精選課件故障檢查的基本命令4.raceroute/tracert命令測(cè)試路由每一跳連通情況，命令格式tracertipaddress/domain-address

在Windows系統(tǒng)上使用tracert，在Linux上使用traceroute。命令返回從本機(jī)到ipaddress/domain-address過(guò)程中經(jīng)過(guò)的每一個(gè)路由器的IP地址和連通情況。為了提高速度在Windows系統(tǒng)上一般會(huì)跟-d參數(shù)連用以靜止對(duì)每一跳的路由器IP地址作反向域名解析。39精選課件故障檢查的基本命令4.raceroute/tracert命令tracert命令40精選課件故障檢查的基本命令5.nslookup命令測(cè)試域名服務(wù)器是否工作正常。直接使用nslookup命令可以進(jìn)入“>”提示符狀態(tài)。這時(shí)使用默認(rèn)的IP設(shè)置里的第一個(gè)域名服務(wù)器進(jìn)行域名解析。在Windows系統(tǒng)中如果使用nslookup–dnsServerAddress的格式可以使用指定的域名服務(wù)器進(jìn)行解析。在“>”提示符下鍵入域名地址就可以解析成對(duì)應(yīng)的IP地址。若要進(jìn)行反向域名解析的檢查可以先輸入settype=ptr，再輸入IP地址就可以得到對(duì)應(yīng)的域名地址。41精選課件