第十四章 网络管理与安全
学习目标:
1、了解网络管理机制
2、了解管理应注意的问题
3、掌握一些重要管理软件的使用
1、 了解防火墙机制
本章重点:
l 配置管理(configurationManagement)
l 故障管理(Fault Management)
l 性能管理(Performance Management)
l 安全管理(security Management)
l 记帐管理(Accounting Management)
l 帐号与权限管理
l 防火墙
本章难点:
l 远程配置通讯协议——TelRet与HTTP
讲授方式:
l 面授,实验
课时分配: 2 2
实验内容:实训八
思考题:习题集十四
讲授内容:
14-1概论
新的网络应用模式不断产生,网络管理也就不断面临新的挑战。
注重网络管理(包含网络安全)是维持网络顺利运作的重要关键。
14-2管理机制
一、网络管理结构
1989年所发表的ISO 7498-4号文件,它将网络管理规划成五个项目,这五个网络管理项目成了大家最常探讨的网管主题:
二、配置管理(Configuration Management)
要使网络系统运作正常,相关的软硬件设备都要通力合作才成。除了实际的传输线路确实接妥外,网络设备(例如:路由器、网络服务器、网络打印机等)的配置参数也要做相对应的设置。个人计算机,也要设置相关的IP地址与子网掩码等参数 所有的网络布线架构、设备配置设置、个人计算机的网络配置设置,甚至计算机上的软件设置、版权信息等,最好都记录在网络管理文件中。
三、故障管理(FaMIt Management)
1、 参考故障设备的配置设置文件
2、 定期备份网络上的重要数据,可以紧急状况下迅速重建数据。
3、 在网络重点处安装“不断电系统”(Uninterruptible Power Supply,UPS)
四、 故障排除操作的五大步骤
1.排定优先顺序
网络上出现问题时,首先要做的便是根据问题的重要性与修复时间长短来排定优先顺序。
2.收集信息
开始着手解决问题之前,先收集该问题的相关信息。可供参考的信息越多,越有助于接下来的故障排除操作。
3.设想可能的原因
收集了足够的信息后,接下来就要根据这些参考信息,开始设想所有可能的原因。
4.排除问题
5.测试结果
五、性能管理(Performance Management)
一般而言,网络管理可通过下列指标做为传输性能的判断根据:
l 响应时间(Response Time)
使用PING工具程序来检测特定网络节点的响应时间。若该节点的响应时间跟平常比起来较长,则需进一步地检查。
l 传输正确率(Accuracy)
通过网络传送一个文件到各处后再传送回来,将返回文件与源文件进行比较,若两者完全相同则表示网络传输正常。
l 传输流量(Throughput)与线路使用率(utilization)
网络系统是由一条又一条的传输连线所组成的,若其中某些传输连线或网络连线设备上的数据传输流量与线路使用率增高,那就表示这里的网络连线需要重新调整,以增加传输带宽,进而提升网络运作效益。
六、安全管理(Security Management)
七、记帐管理(ACCOU州ng Management)
使用网络传输技术,足为了通过网络提高生产力。合理的使用网络资源可以提升生产力,但过度使用网络资源则会造成不必要浪费。以最少的投资得到最大的收益,是记帐管理的目标:
1、资产管理(Asset Management)
记录网络传输线路、连接设备、服务器等资源的构建与维护成本,并记录各种网络资源的使用状况,以了解各种网络资源的成本效益。
2、成本控制(Cost Contr01)
对于网络上的消耗性资源(例如:打印纸张、碳粉、墨水箱、各份磁带等)必须控制其使用量,以避免不必要的资源浪费。
3、使用计费(charge-back)
记录网络资源的使用状况,分析各部门资源的使用率,以计算出各部门实际所消耗的资源成本。
14-3管理标准
网管人员可以轻松掌握整个网络系统,归功于“网络管理通讯协议”。网络管理通讯协议可分为两类,第一类是用修改远程设备配置设置的“远程配置通讯协议”,另一类则是用来监视网络运作状态的“网络监控通讯协议”。
14-3-1远程配置通讯协议——TelRet与HTTP
许多网络设备(例如:路由器、防火墙、网络服务器、网络打印机等)都要完成复杂的配置设置后才能发挥出正常的功用,但在节省成本的考虑下,这些网络设备却没有配备显示器、键盘与鼠标。您要通过另一台计算机连上这些网络设备,才能进一步修改或查看这些网络设备的配置设置。
为了让网管人员可以从远程对这些网络设备进行配置设置的查看与修改工作,这些网络设备通常都要支持两种“远程配置通讯协议”,让网管人员的计算机通过这个通讯协议连上这些网络设备,进行网络设备配置维护工作。
14-3-2网络监控通讯协议——SNMP与RMON
为了让网管人员可以从远程即时了解所有的网络运作状态,许多网络设备都持了几种网络监控通讯协议,在众多网络监控通讯协议(包括某些厂商的专属协议)中,最常见的便是SNMP(simpleNetworkManagementProtocol,简易网络管理协议)与RMON(Remote Monitoring,远程监视)这两种通讯协议。
14-4帐号与权限管理
“让必要的人员访问相关的资源,将不相干的人员排除在外”是确保网络安全的执行方针。为了确保这点,人们发展出两种不同的安全保护机制:
l 共享级别的系统安全
在这种安全模式下,所有的网络资源都会根据某个密码来决定要不要提供服务。只要您有该网络资源的正确密码,您就可以顺利访问该网络资源。除此之外,网络资源也可以根据不同的密码提供用户不同的访问权限。换句话说,也就是一种认密码不认人的安全机制。
因为每个网络资源都要个别设置它的密码与访问权限,所以这也是一种分布式(与对等式)的安全机制。windows 95,98/Me要共享网络资源时,便是采用这种安全机制(见图14-4)。
l 用户级别的系统安全
用户级别的系统安全要求所有的用户都要有一个帐号,登录这个帐号后,才能使用网络上的各种资源。各个网络资源则可以根据不同的帐号给予不同的访问权限
由于用户身份验证的工作都统一由某台服务器负责,所以算是一种集中式安全机制。
随着网络规模的逐渐扩大,采用用户级别的安全机制也就成了大势所趋。
只开放必要权限给必要人员,是设置帐号权限时的重点。若用户同时担负两种工作角色,那就提供两个不同的帐号供该用户运用。
14-5数据加解密与身份认证
一、数据安全
数据安全机制的目标有:
1.完整无误(Integrity)
确认从网络收到的数据是正确的,途中没有被篡改或变造。
2.身份验证(Authentication)
确认数据发送者的身份。
3.不可否认(Nonrepudiation)
确认其他人无法假冒数据发送者身份,使发送者无法否认这份数据是他所发出的。
4.信息保密(Confidentiality)
二、不可还原的编码函数
若不想在传输途中泄密,则最好将信息经过编码处理,产生另一段编码过的信息。举例来说,我们可以以A取代Z,B取代w等规则,将原来的内容转换成新的编码数据。传送到目的地后,再按照相反的步骤还原回来(见表14-2)。.
三、对称密钥加解密函数
1、采用“对称密钥加解密函数”盼数据加解密系统称为对称式加解密系统,又称为密钥(SecretKey)加解密系统。对称式加解密系统的定义如下:
利用相同的密钥与加解密函数,以执行加密与解密的操作。
2、在对称式加解密系统中,若没有密钥,即使知晓加密函数与解密函数的内容,依旧无法根据“密文数据”推算出“明文数据”。这个缺乏密钥即具备的不可还原特性,也就成了对称式加解密系统的安全屏障。
3、对称式加解密系统最主要的功能当然是数据加密,除此之外也可应用在验证身份上。 利用对称式加解密函数来进行身份验证时,其基本原理如下:
A、B两位用户各自拥有一把相同的K密钥,且A、B互信对方不会将K密钥分送给他人。
A利用K密钥将一段明文文字加密为加密文字,然后将加密文字送给尚未验证身份的x用户。若x可用K密钥将加密文字解密为明文文字,则A即可相信x就是B。
我们也可从B用户的角度来看上述操作:B用户收到来自不明身份Y用户的一段加密文字,若B可用K密钥将加密文字解密为明文文字,则B可相信Y就是A。
因此,通过上述加密/解密的程序,用户A、B即可相互确认对方的身份。
四、非对称密钥加解密函数
1、采用“非对称密钥加解密函数”的数据保密系统称为非对称加解密系统,又称为公钥(Public Key)加解密系统。非对称加解密系统的定义如下:
利用一对不同的公钥(Public Key)与私钥(Private Key)搭配加解密函数,以执行加密与解密的操作。
以公钥加密而成的密文,只有用私钥才能解译出明文;以私钥加密而成的密文,只有用才能解译出明文。
五、散列函数
1、 散列函数的用途极为广泛,在此仅说明散列函数的特性及其数据安全方面的应用。散列函数主要用来产生散列值(HashValue)。
2、利用散列函数来产生散列值时,具有下列特性:
>输入散列函数的数据没有长度的限制。
>散列值的长度固定。
>散列函数的运算不会太复杂,即计算机在执行时不会耗费太多CPU资源。
>散列函数具有单向特性,因此理论上无法利用散列值来求出输入的原始数据。
>即使输入的数据仅有一位不同,产生的散列值却会有很大的差异。
六、数字签名
14-6防火墙
一、防火墙的目的便是在内部网络与外部网络之间,建立一道防卫的城墙,避免有心人士从外部网络侵入
因为外部网络被隔绝在防火墙之外,所以从外部网络无法得知内部网络的实际运作情形,自然就不容易侵入内部网络。
二、防火墙并不只是简单地隔绝内外网络之间的通讯防火墙必须能“判断”与“筛选”内外网络之间传输的信息,放行特定的信息包,阻挡掉用意不良的信息包。而这一切的运作,并非依赖防火墙本身,而是有赖于系统管理员适当的位置,才能有效地抵挡黑客地攻击。否则,若是设置不当,不仅无法防止入侵,反而还会影响网络的正常运作。
三、防火墙采用的机制有许多种(例如:根据IP地址与TCP/UDP传输端口来过滤信息包),不同机制的防火墙,提供的安全性会有差异。