第10章 网络管理与安全

计算机网络基础第10章网络管理与安全第10章网络管理与安全为了使计算机网络能够正常地运转并保持良好的状态，涉及到网络管理和信息安全这两个方面。网络管理可以保证计算机网络正常运行，出现了故障等问题能够及时进行处理；信息安全可以保证计算机网络中的软件系统、数据以及线缆和设备等重要资源不被恶意的行为侵害或干扰。计算机网络基础与应用国际标准化组织ISO提出了网络管理功能的5个功能域，分别为:•故障管理（失效管理）•计费管理•配置管理•性能管理•安全管理计算机网络基础与应用10.1网络管理计算机网络基础与应用10.1.2网络管理模型计算机网络基础与应用10.1.3简单网络管理协议1987年Internet体系结构委员会（InternetArchitectureBoard，IAB）提出要求要为基于TCP/IP协议栈的网络制订网络管理标准，最终目标是制订基于TCP/IP的通用管理信息服务和协议。同时基于当时的急迫需求，决定将已有的简单网关监控协议进行修改完善作为一种应急的解决方案，此即SNMP协议。计算机网络基础与应用10.1.3简单网络管理协议1.SNMP的基本概念(1)管理信息结构前面已经提到，在MIB库中定义的管理信息称为被管对象。要描述被管对象，即标识、表示某一特定管理信息，必须遵循一定的标准。这个标准即为管理信息结构。(2)抽象语法标记1抽象语法标记是一种数据定义语言，通常被用来定义异种系统之间通信使用的数据类型、协议数据单元以及信息传送的方式。计算机网络基础与应用10.1.3简单网络管理协议2.SNMP的操作及协议数据单元SNMP协议的处理流程是管理站依次向每个代理发送询问请求，代理则根据请求的内容返回相应的数据。代理也可以主动上报系统事件信息。从本质上说，这是一种轮询操作。通过这个流程可知，在SNMP中唯一被支持的操作是对对象标识树中表示被管对象相应属性的叶子节点的查询或修改。因此可以将SNMP的动作定义为以下3种类型。•Get：某管理站从一个代理处取得了一个对象的值。•Set：某管理站修改了一个代理中的对象的值。•Trap：某代理在没有接收到管理站请求的情况下，主动向一个管理站发送了一个对象的值。计算机网络基础与应用10.1.4网络管理工具•Cisco网络管理软件•SunNetManager•HPOpenview10.2常用网络诊断命令1、网络连通测试命令pingping是一种常见的网络测试命令，可以测试端到端的连通性。ping的原理很简单，就是通过向对方计算机发送Internet控制信息协议（ICMP）数据包，然后接收从目的端返回的这些包的响应，以校验与远程计算机的连接情况。默认情况下，发送4个数据包。由于使用的数据包的数据量非常小，所以在网上传递的数度非常快，可以快速检测某个计算机是否可以连通。语法格式。ping[-t][-a][-ncount][-llength][-f][-ittl][-vtos][-rcount][-scount][[-jcomputer-list]|[-kcomputer-list]][-wtimeout]destination-list1、网络连通测试命令ping10.2常用网络诊断命令2、路由追踪命令tracert该命令用于确定到目标主机所采用的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。数据包上的TTL减为0时，路由器将“ICMP已超时”的消息发回源主机。tracert先发送TTL为1的回应数据包，并在随后的每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP已超时”的消息确定路由。某些路由器不经询问直接丢弃TTL过期的数据包，这在tracert实用程序中看不到。tracert命令按顺序打印出返回“ICMP已超时”消息的路径中的近端路由器接口列表。如果使用-d选项，则tracert实用程序不在每个IP地址上查询DNS。tracert[-d][-hmaximum_hops][-jcomputer-list][-wtimeout]target_name10.2常用网络诊断命令2、路由追踪命令tracert10.2常用网络诊断命令3、地址配置命令ipconfig该命令在前面的章节中已经使用过，这里再详细解释一下。其作用主要是用于显示所有当前TCP/IP的网络配置值。在运行DHCP系统上，该命令允许用户决定DHCP配置的TCP/IP配置值。ipconfig[/all|/renew[adapter]|/release[adapter]]10.2常用网络诊断命令3、地址配置命令ipconfig10.2常用网络诊断命令4、路由跟踪命令pathping该命令是一个路由跟踪工具，它将ping和tracert命令的功能和这两个工具所不能提供的其他信息结合起来。pathping命令在一段时间内将数据包发送到将到达最终目标的路径上的每个路由器，然后从每个跃点返回基于数据包的计算机结果。由于该命令可以显示数据包在任何给定路由器或链接上的丢失程度，因此可以很容易地确定可能导致网络问题的路由器或链接。默认的跃点数是30，并且超时前的默认等待时间是3s。默认时间是250ms，并且沿着路径对每个路由器进行查询的次数是100。pathping[-n][-hmaximum_hops][-ghost-list][-pperiod][-qnum_queries[-wtimeout][-T][-R]target_name10.2常用网络诊断命令4、路由跟踪命令pathping10.2常用网络诊断命令5、网络状态命令netstat该命令用于显示当前正在活动的网络连接的详细信息，可提供各种信息，包括每个网路的接口、网络路由信息等统计资料，可以使用户了解目前都有哪些网络连接正在运行。netstat[-a][-e][-n][-s][-pprotocol][-r][interval]10.2常用网络诊断命令6、网络连接状态命令Nbtstat该命令用于解决NetBIOS名称解析问题，用来提供NetBIOS名字服务、对话服务与数据报服务，显示使用NBT的TCP/IP连接情况和统计。nbtstat[-aremotename][-AIPaddress][-c][-n][-R][-r][-S][-s][interval]10.2常用网络诊断命令6、网络连接状态命令Nbtstat10.2常用网络诊断命令10.3网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。10.3.1网络安全的基本概念1、网络安全的基本内容网络安全是一个多层次、全方位的系统工程。根据网络的应用现状和网络结构。•物理环境的安全性（物理层安全）。•操作系统的安全性（系统层安全）。•网络的安全性（网络层安全）。•应用的安全性（应用层安全）。•管理的安全性（管理层安全）。10.3.1网络安全的基本概念2、计算机网络安全等级划分根据强制性国家标准《计算机信息安全保护等级划分准则》的定义，计算机网络安全可以划分为以下几级。•第1级：用户自主保护级。•第2级：系统审计保护级。•第3级：安全标记保护级。•第4级：结构化保护级。•第5级：访问验证保护级。安全等级越高，所付出的人力、物力资源代价也越高。系统的安全等级会随着内部、外部环境的变化而变化。防火墙是一种特殊的网络互连设备，用来加强网络之间访问控制，防止外网用户以非法手段通过外网进入内网访问内网资源，保护内网操作环境。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。10.3.2防火墙软件防火墙又分为个人防火墙和系统网络防火墙。前者主要服务于客户端计算机，Windows操作系统本身就有自带的防火墙，其他如金山毒霸、卡巴斯基、瑞星、天网、360安全卫士等都是目前较流行的防火墙软件10.3.2防火墙硬件防火墙。相对于软件防火墙来说，硬件防火墙更具有客观可见性，就是可以见得到摸得着的硬件产品。硬件防火墙有多种，其中路由器可以起到防火墙的作用，代理服务器同样也具有防火墙的功能。10.3.2防火墙芯片级防火墙。其基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。生产这类防火墙较有名的厂商有NetScreen和FortiNet等。10.3.2防火墙入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。10.3.3入侵检测系统入侵检测通过对各种事件的分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（Signature-Based），另一种基于异常情况（Anomaly-Based）。对于基于标识的检测技术来说，首先要定义违背安全策略事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。10.3.3入侵检测系统10.4.1信息安全现状瑞星“云安全”系统提供的数据综合分析，中国互联网安全领域呈现以下特征：1.2010年，国内互联网上出现病毒750万个，其中97%以上遇到的是广告点击器、修改浏览器首页的病毒等，属于低度受害；仅有不到2%的网民遇到过严重病毒危害，如网银被盗、电脑不断重启、系统崩溃等。10.4.1信息安全现状2.2010年，瑞星共截获挂马网站3382万个，遭挂马网站攻击的网民从年初的日均300万人次，下降到2010年底的日均140万左右，下降54%。3.钓鱼网站数量急剧增加。2010年，瑞星共截获钓鱼网站175万个，比去年同期增加1186%。受害网民4411万人次，损失超过200亿元。10.4.1信息安全现状4.病毒与经济利益深度结合，商业公司成为黑客套现的主要手段。尤其是随着电子商务的发展，病毒诱骗网民购物，把用户的浏览器锁定成网址导航站，每年可以为黑客创造2亿元以上巨额收入。10.4.1信息安全现状5.2010年，出现了首个具有里程碑意义的“网银超级木马(alipay.exe)”病毒，利用第三方支付HTTP网页与网银的衔接认证缺陷，可以大批量骗取用户网银账号中的资金。6.2010年，“超级工厂”病毒对伊朗核电站进行了成功的攻击，多台核心设备被迫停止工作。10.4.1信息安全现状7.iPad平板电脑、智能手机等移动设备的快速普及，使得移动互联网与互联网之间的界限越来越模糊。8.对聊天软件、杀毒软件和浏览器的隐私保护，在2010年底引起广大网民的关注。10.4.3安全防护措施1、制定合理的安全策略•最小权限原则•木桶原则•多层防御原则•陷阱原则•简单原则•合作原则10.4.3安全防护措施2、采用合适的安全措施（1）使用安全的口令•配置系统对用户口令的设置情况进行检测，并强制用户定期改变口令。•不在不同系统上以及不同用户级别上使用同一口令。•不在计算机中存储口令，也不要把口令存储到任何介质上。•不要向其他人随便泄露自己的口令信息。•口令的组成要不规则。不要使用与自己相关的字符或者数字组合，比如姓名或者纪念日等。最好同时使用字符和数字甚至标点符号和控制字符。•口令的长度不能太短，最好不要少于6位。•输入口令的时候要注意安全，防止眼明手快的人窃取口令。•要提高警惕，一旦发现自己的口令不能使用，应立即向系统