第6章 网络管理与网络安全
单选题 26~30 多选题2题
6.1 网络管理及管理协议
网络管理
(1) 网络管理的概念
- 广义:是指对网络通信量的管理
- 网络提供——通过提供新的服务类型增加网络服务,或通过增加网络设备提高网络性能
- 网络维护——通过网络性能监控、故障诊断与报警、故障隔离与恢复等手段, 保证网络可靠与连续地运行
- 网络管处理——通过收集与分析网络通信量、设备利用率等数据,以优化网络 资源的使用效率
- 狭义:指用于运营、管理与维护一个网络,以及提供网络服务与信息处理所必需的各种活动的总称
- 国际标准化组织(ISO)定义的网管模型包括4个部分:组织模型、信息模型、通信模型与功能模型
- 组织模型描述网管系统的组成部分与结构
- 信息模型描述网管系统的对象命名与结构
- 通信模型描述网管系统使用的网管协议
- 功能模型描述网管系统的主要功能
- 信息模型涉及3个重要概念:管理信息结构(SMI)、管理信息库(MIB) 与管理信息树(MIT)
- MIB定义了受管设备必须保存的数据项、允许对每个数据库进行操作及其含义,即管理系统可访问的受管设备和状态信息等数据变量都保存在MIB中
- 在网络管理中,定义管理对象结构的是MIB
(2) 网络管理的功能域
- 配置管理
- 用于实现网络设备的配置与管理,主要是网络设备参数与设备之间的连接关系。
- 网络配置变化可能是临时或永久的,网管系统需要支持对变化的响应。
- 配置管理的主要内容包括:标识网络中的被管对象、识别网络拓扑结构,修改设备配置。
- 故障管理
- 用于发现与解决网络中的故障,目的是保证网络连续、可靠地运行并提供服务
- 故障管理需要能够及时发现与报告故障,通过分析事件报告确定故障位置、原因与性质,并采取必要的措施排除故障。
- 故障管理的主要内容包括:故障检测,故障记录故障诊断、故障恢复。
- 性能管理
- 用于测试网络运行中的性能指标,目的是检验网络服务是否达到预定水平,找出已发生的问题或潜在的瓶颈。
- 性能管理可分为两个部分:性能监控与网络控制。
- 性能监控是指收集网络状态信息,网络控制是指为改善性能采取的措施。
- 安全管理
- 用于保护网络中的资源的安全,以及网管系统自身的安全性。
- 安全管理需要利用各种层次的安全防护机制,包括防火墙、入侵检测、认证与加密等,使非法入侵事件尽可能少发生。
- 记账管理
- 用于监视与记录用户对网络资源的使用,以及计算网络运行成本与用户应交费用。
- 记账管理的主要内容包括:统计网络资源使用情况、确定计费方法、计算用户账单、分析网络运营成本与资费变更影响等。
(3) 网络管理系统
- 网络管理系统通常包括3个部分:管理对象、管理进程与管理协议。
- 管理进程是负责对网络设备进行管理与监控的软件,安装在网络中的网管工作站与各种网络设备中。
- 管理协议负责在网管工作站与网络设备的管理进程之间通信,传输信息包括发送的操作命令与返回的操作结果。
- MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义,即管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中。
- 网络设备主要包括:交换机、路由器、网桥、网关与服务器等。
- 广义:是指对网络通信量的管理
SNMP(简单网络管理协议)
SNMP协议(应用层协议)在SGMP的基础上发展起来,由IETF制定指定。
- 三个版本
- SNMP v1——设计简单、易于实现的协议
- SNMP v2——增加了操作类型与支持多种传输层协议
- SNMP v3——提供了安全性与改进的框架结构
(1) SNMP(简单网络管理协议)
- SNMP是应用层的网络协议,采用客户机/服务器模式。
- SNMP在传输层采用支持无连接服务的UDP协议,在传输管理信息之前不需要建立连接。
- SNMP协议在管理器与代理之间传输管理信息,其信息类型有很多,都保存在MIB的管理对象中。
- SNMP协议采用轮询监控方式,管理器定时向代理请求获得管理信息,并根据返回信息判断是 否发生异常。 SNMP是TCP/IP协议族中的重要协议,其最大优点是协议简单、易于实现。
(2) CMIP(通用管理信息协议)
- CMIP是基于OSI模型的网络管理协议,是国际标准化组织(ISO)制定的通用管理信息协议。
- CMIP协议负责实现具体的网管操作,而操作需使用CMIS(通用管理信息服务)定义的各种服务原语。
- CMIP是应用层的网络协议,在传输层采用支持有连接服务的TCP协议,传输信息之前需要预先建立连接。
- CMIP协议采用委托监控的方式,管理者只需向代理发送监控请求,代理将会自动监视指定的管理对象,并在异常事件发生时向管理者告警。
- 三个版本
6.2 网络安全和加密与认证技术
网络安全
(1) 网络安全的服务
- 可用性:存在可能的突发事件(例如停电、自然灾害、事故或攻击等)等情况,网络可处于正常运转 状态,用户可使用各种网络服务。
- 机密性:保证网络中的数据不被非法截获或被非授权访问,保护敏感数据和涉及个人隐私信息的安全。
- 完整性:保证数据在网络中传输、存储的完整,数据没有被修改、插入或删除。
- 不可否认性:确认通信参与者的身份真实性,防止对已发送或已接收的信息否认现象的出现
- 可控性:用户可以对数据进行读取、删除等操作
(2) 网络安全的等级
可信计算机信息评估准则将计算机系统分为4类7个等级
- A1:A1级系统提供的安全服务功能与B3级系统基本一致。A1级系统在系统安全模型设计及软、硬件实现方面要通过认证,要求达到更高的安全可信度。
- B1、B2、B3:B级系统属于强制型安全保护类,用户不能分配权限,只有网络管理员可以为用户分配访问权限。
- C1、C2:C级系统为用户能定义访问控制要求的自主保护类型。
- D:D级系统属干非安全保护类,不能用于多用户环境下的重要信息处理。
- 注:一般的UNIX系统通常能满足C2级标准,只有部分产品可以达到B1级标准的要求
(3) 网络信息安全传输
- 截获信息:信息从源结点开始传输,中途被攻击者非法截获,目的结点没有接收到该信息,因而造成信息在传输途中丢失。
- 窃听信息:信息从源结点传输到目的结点,但是中途被攻击者非法窃听。如果被窃听到的是重要信息,那么也有可能造成严重问题。
- 篡改信息:信息从源结点传输到目的结点的途中被攻击者非法截获,攻击者修改信息或插入欺骗性的信息,并将篡改后的信息发送给目的结点。
- 伪造信息:源结点并没有信息要传送到目的结点。攻击者冒充源结点用户,将伪造的信息发送给目的结点。
(4) 网络安全攻击的类型
- 主动攻击与被动攻击
- 被动攻击主要以收集信息为目的,信息的合法用户难以察觉这种活动,例如嗅探、漏洞扫描、信息收集等
- 主动攻击不但进入对方系统搜集信息, 同时要进行破坏活动,例如拒绝服务、信息算改、窃取信息、欺骗攻击等
- 服务攻击与非服务攻击
- 服务攻击是指攻击者对E -mail、FTP、 Web或DNS服务器发起攻击,造成服务器工作不正常,甚至造成服务器瘫痪。
- 非服务攻击不针对某项具体应用服务,而是针对网络设备 (如路由器、交换机网关、防火墙等)或通信线路。
加密与认证技术
(1) 对称密码体系
对称加密技术对信息的加密与解密都使用相同的密钥。
当网络中有N个用户进行加密通信时,则需要有N * (N - 1) 把密钥,才能敢保证任意两方之间的通信。
- 数据加密标准(DES)
- 由IBM公司提出、经ISO认定的国际标准的对称加密算法。
- DES是一种典型的分组密码,每次处理一个64位的明文分组,并且每次生成一个64位的密文分 组。
- DES算法采用64位密钥长度,其中8位用于奇偶校验,用户可使用其余的56位。
- 高级加密标准(AES)
- AES将数据分解成固定大小的分组,以分组为单位进行加密或解密。
- AES的主要参数是:分组长度、密钥长度与计算轮数。
- AES规定分组长度为128位,密钥长度可以为128、192或256位, 根据密钥长度分别称为AES-128、AES-192或AES-256
- 三重DES(3DES)
- 以DES算法作为核心,用3个56位的密钥对数据执行3次DES计算,即加密、解密、再加密的过程。
- 其他对称加密算法主要包括IDEA、Blowfish、 RC2、 RC4、RC5、CAST等
(2) 非对称密码体系
在非对称密码体系中,加密的公钥与解密的私钥不同
网络中N个用户之间进行通信加密,仅需要N对密钥就可以。
- RSA
- RSA是由Ron Rivest、Adi Shamir与Leonard Adleman设计的一种非对称加密算法
- RSA的理论基础是寻找大素数,其算法的安全性建立在大素数分解的基础上。
- RSA的密钥长度是可变的,用户既可以用长密钥以增强安全性,又可以用短密钥以提高加密速度。
- 常用的RSA密钥长度包括512位、1024位、 2048位等。
- ECC
- 椭圆曲线密码(ECC)由Neal Koblitz和Victor Miller提出的非对称加密算法,其安全性建立在求解椭圆曲线离散对数的基础上。
- 在同等密钥长度的情况下,ECC算法的安全性要远高于RSA算法等。在安全性相当的情况下,ECC算法所使用的密钥长度比RSA更短
- 其他非对称加密算法主要包括DSS、ElGamal与Diffie-Hellman等。
(3) PKI与其他加密技术
- 公钥基础设施(PKI)时利用公钥加密和数字签名技术建立的安全服务基础设施,以保证网络环境中数据的秘密性、完整性与不可抵赖性。
- 数字签名技术可确定发送人的身份,防止信息在传输过程中被截获
- 数字签名算法是消息摘要(MD5),是Rivest发表的一种单向散列算法,可对任意长度的数据生成128位的散列值,也叫作不可逆指纹
- MD5算法没有对数据进行加密或修改,只是生成一 个用于判断数据完整性与真实性的散列值。
- 数据加密标准(DES)
6.3 安全协议、防火墙与入侵检测技术
网络安全协议
(1) 网络层安全与IPSec
- IPSec是IETF针对网络层通信安全而制订的一个协议集,是工作在网络层的安全协议。
- IPSec主要包括3个组成部分:认证头(AH)、 封装安全负载(ESP)与密钥管理协议。
- IPSec工作模式可分为两种类型:隧道模式(Channel Mode)与传输模式(Transport Mode)。
- 安全协议是指AH或ESP协议,安全参数是指相关的密钥、生存期、发布与更新方式等。
- AH协议:可工作在传输模式或隧道模式。在传输模式下,生成的AH头直接插入原IPv4分组头的后面;对于IPv6协议,AH头则是IPv6扩展头的一部分。
- ESP协议:可工作在传输模式或隧道模式
(2) 传输层安全与SSL、TLS
- SSL(安全套接层协议)可用于HTTP、FTP、 TELNET等,处于端系统的应用层与传输层之间。
- 当Web系统采用SSL时,Web服务器的默认端口号从80变换为443,Web浏览器使用https代替常用的http。
- SSL主要包含两个协议:SSL握手协议与SSL记录协议。
- TLS(安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性。
- 该协议由两层组成:TLS记录协议和TLS握手协议。
(3) 应用层安全与PGP、SET
- PGP协议:包括电子邮件的加密、身份认证、数字签名等安全功能,用来保证数据在传输过程中的安全。
- SET协议:电子商务是基于浏览器/Web服务器工作模式,实现网上购物和在线支付的一种新型商业运营模式使用了对称加密与非对称加密体系,以及数字信封、数字签名、信息摘要技术与双重签名技术,以保证信息在Web环境中传输和处理的安全性。
防火墙技术
(1) 防火墙技术的概念
防火墙是在网络之间执行控制策略的网络安全防护系统,包括硬件和软件,目的是保护内部网络的资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。
构成防火墙系统的两个基本部件是:包过滤路由器和应用级网关。
- 包过滤路由器也称为屏蔽路由器,是被保护的内部网络与外部网络之间的第一道防线。
- 包过滤路由器会检查基于部分或全部报头内容,可以是源地址、目的地址、 协议类型、IP选项、 源端口号、目的端口号、TCP ACK标识等。
- 应用级网关将多归属主机用在应用层的身份认证与服务请求合法性检查上。
入侵检测技术
(1) 入侵检测技术的概念
入侵检测系统(IDS),是对计算机和网络资源的恶意使用行为进行识别的系统。
IDS的目的是监测和发现可能存在的攻击行为,包括来自系统外部的人侵行为,以及来自内部用户 的非授权行为,并采取相应的防护手段。
(2) 入侵检测技术的功能
- 监控、分析用户和系统的行为。
- 检查系统的配置和漏洞。
- 评估重要的系统和数据文件的完整性。
- 对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。
- 对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
(3) 入侵检测技术的方法
- 检测方法
- 异常检测
- 误用检测
- 基于主机的入侵检测系统
- 基于主机的入侵检测系统主要任务是保护所在的计算机系统,一般是以系统日志、应用程序日志为数据源。
- 基于网络的入侵检测系统
- 基于网络的入侵检测系统一般是通过将网卡设置成“混杂模式”来收集在网上出现的数据帧,将原始的数据帧作为数据源。
- 分布式入侵检测系统
- 分布式入侵检测系统由分布在网络上不同位置的检测部件组成,分别进行数据采集,通过中心控制系统进行数据汇总与分析,并产生入侵报警信号。
(4) 网络蠕虫的概念
网络蠕虫:一种无须用户干预、依靠自身复制能力、自动通过网络进行传播的恶意代码。
- 蠕虫是独立的程序, 而病毒是寄生到其他程序中的一段程序。
- 蠕虫是通过漏洞进行传播, 而病毒是通过复制自身到宿主文件来实现传播。
- 蠕虫感染计算机, 而病毒感染的是文件系统。
- 蠕虫会造成网络拥塞 甚至瘫痪,而病毒破坏计算机的文件系统。
- 防范蠕虫可通过及时修复漏洞的方法,而防治病毒需要依靠杀毒软件来查杀。
预览: