第7章 计算机网络安全及管理技术 7.1 计算机网络安全【领会】 7.1.1 计算机网络安全介绍 1.网络系统安全基础 (1)、什么是计算机安全 计算机安全的定义:为保护数据处理系统而采取各种技术和管理措施,保护计算机硬件、软件和数据不会因偶然或人为的原因而遭到破坏、更改和泄漏。 (2)、计算机安全的主要内容 (3)、计算机安全遭受破坏的方式 (4)、保护计算机安全的措施 2.网络安全基础 (1)、网络安全内涵 (2)、可能受到威胁的网络资源 (3)、网络安全问题日益突出的原因 3.网络安全控制措施 (1)、物理安全 一是人为对网络的损害 二是网络对使用者的危害 (2)、访问控制 ①密码 网络安全的最外层防线就是网络用户的登陆 ②网络资源属主、属性和访问权限 资源的属主体现了不同用户对网络资源的从属关系 资源的属性表示了资源本身的存取特性 ③网络安全监视 网络件事同称为“网管”,他的作用主要是对整个网络的运行情况进行动态的监视并及时处理各种事件 ④审计和跟踪 包括对网络资源的使用、网络故障、系统记账等方面的记录和分析 (3)、传输安全 ①加密和数字签名 网上加密分为三层,第一层位数据链路层加密;第二层是传输层的加密;第三层是应用层上的加密。 数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法。主要是通过加密算法和证实协议而实现。目前通常采用的签名标准是DDS. 数字签名主要的功能是:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生 ②SSL协议 SSL的目标是提供两个应用软件之间通信的保密性和可靠性 ③邮件安全 一般使用加密于数字签名的技术来保证邮件的安全 7.1.2 信息安全技术 1.PKI (1)认证机构(CA) (2)证书和证书库 (3)密钥备份及恢复 (4)密钥和证书的更新 (5)证书历史档案 (6)客户端软件 (7)交叉认证 PKI近年来比较重要的变化方面: (1)属性证书(2)漫游证书(3)无线PKI 2.CA认证技术 (1)数字证书(2)CA认证 3.信息加密技术 (1)序列密码体制(2)分组密码体制(3)公开密钥体制 4.数字签名技术 7.1.3 网络攻击与网络病毒 1.网络黑客与入侵者 2.攻击技术 (1)获取密码 (2)电子邮件攻击 (3)特洛伊木门攻击 (4)诱入法 (5)系统漏洞扫描 (6)网络监听 (7)缓冲区溢出 (8)拒绝服务攻击 3.网络病毒 1)传播速度更快: 2)危害性更强: 3)融入了黑客特征: 7.1.4 网络安全措施 1.防火墙的基本概念 防火墙是两个网络之间执行访问—控制策略的系统。他在内部网络与外部网络之间设置障碍,以阻止外界对内部资源的非法访问,也可以防止内部对外部的不安全的访问。 2.防火墙技术分类 防火墙技术大体分为两类:网络层和应用层 (1)网络层技术根据针对网络层和传输层的原则对传输的信息进行过滤。网络层技术的一个范例就是包过滤技术,他在网络的出入口队通过的数据包进行过滤,只有满足条件的数据报才能允许通过,否则被抛弃。这样可以有效的防治恶意用户利用不安全的服务对内部网进行攻击。 (2)应用层技术控制对应用程序的访问。应用层防火墙也称为代理服务器,它能够代替网络用户完成特定的TCP\IP功能。 网络层防火墙和应用层防火墙的比较。 3.防火墙产品 (1)软件防火墙 第一,必须安装在操作系统上 第二,系统会出漏洞 第三,操作系统不仅是为防火墙系统设计的 第四,用户需同时购买防火墙和操作系统许可证 第五,VPN、负载均衡和流量控制需另外购买 第六,安装复杂,故障查找复杂 (2)硬件防火墙 第一,有自己的操作系统 第二,无安装,WEB管理,无需安装管理软件 第三,性能大提高 第四,无用户许可证限制 第五,VPN、负载均衡和流量控制集成一体 4.入侵检测(IDS)与入侵保护 7.1.5 安全接入技术 1.远程访问安全接入 (1)远程访问系统 (2)RADIUS和TACACS 2.局域网的安全接入 (1)PPPoE PPPoE不仅有以太网的快速简便的特点,同时还有PPP的强大功能,任何能被PPP封装的协议都可以通过PPPoE传输,此外还有如下特点: 1)、PPPoE很容易检查到用户下线,可通过一个PPP会话的建立和释放对用户进行基于时长或流量的统计,计费方式灵活方便。 2)、PPPoE可以提供动态IP地址分配方式,用户无需任何配置,网管维护简单,无需添加设备就可解决IP地址短缺问题,同时根据分配的IP地址,可以很好地定位用户在本网内的活动。 3)、用户通过免费的PPPoE客户端软件(如EnterNet),输入用户名和密码就可以上网,跟传统的拨号上网差不多,最大程度地延续了用户的习惯,从运营商的角度来看,PPPoE对其现存的网络结构进行变更也很小。 (2)802.1X协议 7.1.6 网络系统可靠性 网络可靠性主要指系统的容错能力,既当网络系统突然发生故障时,系统能够继续工作既迅速恢复的能力 1.网络系统可靠性的相关概念 (1)软件容错 (2)硬件容错 (3)容错存储 (4)数据备份 (5)容错电源 2.双机容错技术 (1)共享磁盘阵列柜方式 (2)镜像磁盘方式 7.2 网络管理【领会】 7.2.1 计算机网络管理介绍 1.计算机网络管理功能 (1)用户管理 (2)配置管理 (3)性能管理 (4)故障管理 (5)计费管理 (6)安全管理 (7)其他网络管理功能 2.网络管理层次结构 网络管理层次结构:网络平台、网络管理协议、网络管理平台、网络管理工具、网络管理应用软件和网络管理员操作界面。 7.2.2 简单网络管理协议 简单网络管理模型 网络管理站(NMC):是系统的核心,负责管理代理和MIB库,它以数据报表的形式发出和传送命令,从而达到控制代理的目的,它与任何代理之间都不存在逻辑链路关系,因而网络系统负载很低。 代理(Agent):收集被管理设备的各种信息并响应网络中SNMP服务器的要求,把它们传送到中心的SNMP服务器的MIB数据库中。 MIB(消息信息库):负责存储设备的信息,它是SNMP分布式数据库的分支数据库。 SNMP定义了四种操作:get、getnext、set、trap。 SNMP的弱点 ①没有伸缩性,在大型网络中,轮讯会产生巨大的网络管理通信量,因而导致通信拥挤的情况发生。 ②他将收集数据的负担加在网络管理控制台上,在管理几个网段时也许能轻松的收集网络信息,当他们监控许多网段时,就非常困难了。 7.2.3 远程监控 RMON MIB的目的在于使SNMP更有效更积极主动的监控远程设备。 RMON MIB是由一组统计数据、分析数据和诊断数据构成,利用许多供应商生产的标准工具都可以显示出这些数据,因而它具有独立于供应商的远程网络分析的功能。 RMON分为嵌入式和分布式两种 7.2.4 计算机网络管理实施 1.网络管理员 2.实施网络管理 3.布线系统的日常维护 4.关键设备的管理 5.IP地址管理 7.2.5 计算机管理的发展趋势 1.网络管理层次 2.网络管理集成化 3.网络管理WEB化 7.3 网络热点技术【识记】 7.3.1 目标服务 1.什么是目录 (1)存储内容 (2)存储模式 (3)存储方式 (4)访问方式 2.为什么使用目录 (1)一次性登录 (2)设备识别和定位 (3)位置无关 (4)简化管理 (5)可靠性 3.LDAP (1)概述 (2)内容 (3)广泛的应用静儿存在的问题 (4)LDAP与X.500的比较 (5)LDAP目录优势 (6)信息模型 (7)目录数据库 (8)LDIF 7.3.2 负载均衡 1.DNS轮循 2.NAT均衡 3.协商式处理 4.流量分发 5.反向代理
|