《網(wǎng)絡管理與網(wǎng)絡安全.ppt》由會員分享，可在線閱讀，更多相關《網(wǎng)絡管理與網(wǎng)絡安全.ppt（37頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、網(wǎng)絡管理體系結構,代理進程：維護其所駐留的被管設備的狀態(tài)，并且通過網(wǎng)絡管理協(xié)議向NMS提供信息 網(wǎng)絡管理系統(tǒng)收集被管設備的信息，并相應作出反應 管理代理是代表其他實體提供管理信息的實體,網(wǎng)絡管理：功能,五大功能： 性能管理：衡量和呈現(xiàn)網(wǎng)絡特性的各個方面，使網(wǎng)絡性能維持在一個可以被接受的水平上。 收集網(wǎng)絡管理者感興趣的那些變量的性能數(shù)據(jù)； 分析這些數(shù)據(jù)，以判斷是否處于正常（基線）水平并產(chǎn)生相應的報告； 為每個重要的變量確定一個合適的性能閾值，超過該閾值就意味著出現(xiàn)了應該注意的網(wǎng)絡故障； 配置管理：監(jiān)視網(wǎng)絡和系統(tǒng)的配置信息，以便跟蹤和管理不同的軟硬件元素對網(wǎng)絡操作的作用。 主要包括：網(wǎng)絡資源的配置

2、及其活動狀態(tài)的監(jiān)視；網(wǎng)絡資源之間的關系的監(jiān)視與控制；新資源的加入，舊資源的刪除；定義新的管理對象；識別管理對象，給每個對象分配名字；初始化對象，啟動、關閉對象；管理各個對象之間的關系；改變管理對象的參數(shù)。,網(wǎng)絡管理：功能（續(xù)）,五大功能（續(xù)）： 計費管理：測量網(wǎng)絡的利用率參數(shù)，以恰當?shù)乜刂苽€人或團體用戶對網(wǎng)絡的使用，比如網(wǎng)絡故障降低到最小或者使所有用戶對網(wǎng)絡的訪問更加公平。 建立和維護一個目標機器地址數(shù)據(jù)庫，能對該數(shù)據(jù)庫中的任意一臺機器（一個IP地址）進行計費； 能夠對指定IP地址進行流量限制，當超過使用限額時，即可將其封鎖，禁止其使用； 能夠按天、按月、按IP地址或按單位提供網(wǎng)絡的使用情況，

3、在規(guī)定的時間到來（比如一個月）的時候，根據(jù)本機數(shù)據(jù)庫中的E-mail地址向有關單位或個人發(fā)送帳單； 可以將安裝有網(wǎng)絡計費軟件的計算機配置成Web服務器，允許使用單位和個人隨時進行查詢。,網(wǎng)絡管理：功能（續(xù)）,五大功能（續(xù)）： 故障管理：檢測、記錄網(wǎng)絡故障并通知給用戶，盡可能自動修復網(wǎng)絡故障以使網(wǎng)絡能有效地運行。 基本步驟 判斷故障癥狀； 隔離該故障； 修復該故障； 對所有重要子系統(tǒng)進行故障修復后測試； 記錄故障的檢測及其解決結果。 主要功能： 接收差錯報告并作出反應； 建立維護差錯日志，并進行分析； 對差錯診斷測試，追蹤故障，并確定糾正故障的方法措施。,網(wǎng)絡管理：功能（續(xù)）,五大功能（續(xù)）：

4、安全管理：按照本地的方針來控制對網(wǎng)絡資源的訪問，以保證網(wǎng)絡不被有意或無意地侵害，并保證敏感信息不被那些未授權的用戶訪問 標識重要的網(wǎng)絡資源（包括系統(tǒng)、文件和其它實體）； 確定重要的網(wǎng)絡資源和用戶集間的映射關系； 監(jiān)視對重要網(wǎng)絡資源的訪問； 記錄對重要網(wǎng)絡資源的非法訪問；,網(wǎng)絡管理,網(wǎng)絡管理技術的基本要求 網(wǎng)絡管理的跨平臺性 網(wǎng)絡管理的分布性 網(wǎng)絡管理的安全性 Internet/Intranet上各種服務的性能管理 遠程管理 不同廠家網(wǎng)絡設備的統(tǒng)一管理,網(wǎng)絡管理協(xié)議,ISO網(wǎng)絡管理標準 公共管理信息服務CMIS：支持管理進程和管理代理之間的通信要求 公共管理信息協(xié)議CMIP：提供管理信息傳輸服務

5、的應用層協(xié)議 IETF的網(wǎng)絡管理協(xié)議 簡單網(wǎng)絡管理協(xié)議SNMPv1/v2/v3,CMIP協(xié)議,X.710定義了公共管理信息服務CMIS，目的是通過源語向應用進程提供交換系統(tǒng)管理的信息和指令的服務。CMIS提供的服務可以是有連接的，也可以是無連接的；可以是需要證實的，也可以是不需要證實的。 管理信息以對象方式描述，所有的對象存放在MIB中。在CMIP中，對象的變量被定義成非常復雜的數(shù)據(jù)結構，有許多屬性： 變量屬性：表示變量的特性（如數(shù)據(jù)類型是否可寫等）； 變量動作：說明可以啟動什么樣的動作； 通知：每當一個特殊的事件發(fā)生時，就會產(chǎn)生一個事件報告。,CMIP協(xié)議,特性： CMIP不是通過輪詢而是通

6、過事件報告進行工作，由網(wǎng)絡中的各個設備監(jiān)測設施在發(fā)現(xiàn)被檢測設備的狀態(tài)和參數(shù)發(fā)生變化后及時向管理進程進行事件報告 管理功能強大，它的參數(shù)不僅可以在管理站和管理節(jié)點之間傳遞網(wǎng)管信息，而且可以要求管理節(jié)點執(zhí)行一些動作 CMIP需要占用比SNMP多很多的資源。 CMIP的程序非常難編寫，CMIP定義的參數(shù)比較復雜,SNMP協(xié)議,SNMP是被設計成與協(xié)議無關的，由一系列協(xié)議組和規(guī)范組成，提供了一種從網(wǎng)絡上的設備中收集網(wǎng)絡管理信息的方法： 輪詢方法 網(wǎng)絡設施中的代理進程不斷收集網(wǎng)絡的通信信息和有關網(wǎng)絡設備的統(tǒng)計數(shù)據(jù)，并記錄到管理信息庫MIB中。NMS通過向代理的MIB發(fā)出查詢信號可以得到這些信息 基于中斷

7、的方法 異常事件發(fā)生時代理進程通知網(wǎng)絡管理系統(tǒng)NMS 面向自陷的輪詢方法：輪詢和中斷結合,SNMP管理模型,管理節(jié)點：被管理的設備，SNMP代理在其上運行，維護一個本地數(shù)據(jù)庫，存放其狀態(tài) 管理站運行一個或多個管理進程，通過SNMP協(xié)議與代理通信 SNMP極為詳細地規(guī)定了每種代理應該維護的確切信息以及提供信息的確切格式。即每個設備都具有一個或多個變量來描述其狀態(tài)，這些變量叫做對象，所有對象都存放在一個叫管理信息庫（MIB）中,SNMP協(xié)議,SNMP v1：設計簡單，易于擴展，但安全性較差 SNMP v2： 增加了安全機制，包括數(shù)據(jù)加密、鑒別和訪問控制 允許更詳細的變量描述，使用表數(shù)據(jù)結構以方便數(shù)

8、據(jù)提取 SNMP v3： 體現(xiàn)了模塊化的設計思想，適應性強，擴充性好，安全性好 包括信息處理和控制模塊、本地處理模塊和用戶安全模塊,網(wǎng)絡管理,遠程網(wǎng)絡監(jiān)控RMON 收集所在網(wǎng)段的狀態(tài)信息，并存儲歷史信息以獲得網(wǎng)絡運行狀況趨勢 擴展SNMP的MIB-II，使SNMP更有效、積極主動地監(jiān)控遠程設備 基于Web的網(wǎng)絡管理技術 允許通過Web瀏覽器進行網(wǎng)絡管理 兩種實現(xiàn)方式 代理方式：在一個內(nèi)部工作站上運行Web服務器（代理）。網(wǎng)絡管理軟件負責將收集到的網(wǎng)絡信息傳送到瀏覽器（Web服務器代理），并將傳統(tǒng)管理協(xié)議（如SNMP）轉換成Web協(xié)議（如HTTP）。 嵌入式：將Web功能嵌入到網(wǎng)絡設備中，每個設

9、備有自己的Web地址，管理員可通過瀏覽器直接訪問并管理該設備,網(wǎng)絡管理軟件,網(wǎng)管系統(tǒng)由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡設備組成。其中網(wǎng)管軟件平臺提供網(wǎng)絡系統(tǒng)的配置、故障、性能及網(wǎng)絡用戶分布方面的基本管理，是網(wǎng)管系統(tǒng)的核心： 體系結構：通用的、開放的、可擴展的框架體系 核心服務：網(wǎng)絡管理軟件應具備的基本功能，包括網(wǎng)絡搜索、查錯和糾錯、支持大量設備、友好操作界面、報告工具、警報通知和處理、配置管理等 應用程序：實現(xiàn)特定的事務處理和結構支持，主要包括高級警報處理、網(wǎng)絡仿真、策略管理和故障標記等 典型的網(wǎng)絡管理軟件包括：HP OpenView/3Com Tra

10、nscend/Sun NetManager等,網(wǎng)絡安全基礎,針對網(wǎng)絡安全的威脅主要有三種 人為的無意失誤： 如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享 人為的惡意攻擊：所面臨的最大威脅 主動攻擊：以各種方式有選擇地破壞信息的有效性和完整性 被動攻擊：在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。 網(wǎng)絡軟件的漏洞和“后門” ：黑客進行攻擊的首選目標,網(wǎng)絡安全基礎：安全策略,物理安全策略：保護計算機、網(wǎng)絡設備等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊，其中抑制和防止電磁泄漏是物理安全策略的一個主

11、要問題。 對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合 對輻射的防護 采用各種電磁屏蔽措施：如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離； 干擾防護措施：即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。,網(wǎng)絡安全基礎：安全策略,訪問控制策略：保證網(wǎng)絡資源不被非法使用和非法訪問 入網(wǎng)訪問控制： 控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng) 三個步驟：用戶名的識別與驗證、用戶口令的識別

12、與驗證、用戶帳號的缺省限制檢查 網(wǎng)絡的權限控制： 針對網(wǎng)絡非法操作所提出的一種安全保護措施。 用戶和用戶組被賦予一定的權限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。 目錄級的權限控制： 網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。,網(wǎng)絡安全基礎：安全策略,訪問控制策略（續(xù)） 屬性安全控制 將給定的屬性與服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。 網(wǎng)絡服務器的安全控制 控制在服務器控制臺上執(zhí)行的操作 比如設置口令鎖定服務器控制臺，以防止

13、非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。 網(wǎng)絡監(jiān)測和鎖定控制： 網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控，服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形或文字或聲音等形式報警 ，如果非法訪問的次數(shù)達到設定數(shù)值，那么該帳戶將被自動鎖定。,網(wǎng)絡安全基礎：安全策略,訪問控制策略（續(xù)） 網(wǎng)絡端口和節(jié)點的安全控制 網(wǎng)絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節(jié)點的身份。 防火墻控制： 防火墻是確?；A設施完整性的一種常用方法。它通過在網(wǎng)絡邊界上建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡，控制進

14、/出兩個方向的通信流。 信息加密策略：保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。 包括鏈路加密、端點加密和節(jié)點加密三種方式,網(wǎng)絡安全基礎：安全策略,非技術性安全管理策略 加強網(wǎng)絡的安全管理，制定有關規(guī)章制度： 確定安全管理等級和安全管理范圍 所有添加到網(wǎng)絡基礎設施中的新設備都應該符合特定的安全需求，每個站點必須指明支持其安全策略需要哪些安全部件和功能 制訂有關網(wǎng)絡操作使用規(guī)程和人員管理制度 制定網(wǎng)絡系統(tǒng)的維護制度和應急措施 對員工進行足夠的安全意識培訓等。,Windows98安全策略,設置用戶權限： 首先設置為每個用戶采用不同的使用權限，然后逐步增加新用戶并進行設置,Windo

15、ws98安全策略,防止非法用戶進入 Regedit打開注冊表： “HKEYUSERDEFAULTSoftwareMicrosoftWindowsCurrentVersionRunonce” 在其下創(chuàng)建“字符串值”，名為“非法用戶，退出”，字符串為“Rundll.exe User.exe,Exitwindows” 為防止非法用戶按F8鍵調出Windows 98的啟動菜單以安全方式進入系統(tǒng)，編輯MSDOS.sys文件，在該文件的option小節(jié)加入 “BootMulti=0”：設置系統(tǒng)不能進行多重引導； “BootGUI=1”：在啟動時直接進入Windows 98圖形用戶界面； “BootDela

16、y”：設置在啟動時“Starting Windows 98 ”信息停留的時間為0秒； “BootKeys”：設置在啟動過程中F4、F5、F6、F8功能鍵失效。,Windows98安全策略,限制用戶級別 隱藏“開始”菜單的部分內(nèi)容：在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer” 該分支下建立一個DWORD值“NoSetFolders”，鍵值為“1”。用戶不能使用“控制面板”，且不能使用“開始/設置”中的“打印機” 新建一個DWORD值“NoFind”，鍵值為“1”，則“查找”功能被禁止 新

17、建一個二進制值“NoRun”，鍵值為“0 x00000001”，則“運行”菜單項被關閉,Windows98安全策略,隱藏桌面上所有圖標 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer” 該分支下建立一個DWORD值“NoDesktop”，鍵值為“1”。 禁用注冊表編輯器 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPolicies System” 該分支下建立一個DWORD值“DisableRegistryTools

18、”，鍵值為“1”,Windows98安全策略,隱藏驅動器 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer” 該分支下新建一個二進制值“NoDrive”，其缺省值為“00000000”，表示不隱藏任何驅動器，該值由四個字節(jié)組成，每個字節(jié)的第一位對應從A：到Z：的一個盤，即01為A，02為B，04為C如隱藏D盤，鍵值為“0800000”；隱藏所有驅動器為“ffffffff” 禁用MSDOS方式 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindows Curr

19、entVersionPolicies” 新建一個“WinOldApp”主鍵，在其下新建一個DWORD值“Disable”鍵值為“1”。,Windows98安全策略,禁止光盤的自動運行 在注冊表 “HKEYCURRENTUSERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”該分支下新建一個DWORD值“NoDriveTypeAutoRun”，鍵值為“1” 禁止用軟盤或光盤啟動 在CMOS設置中將啟動順序改為“C ONLY”，并為其設置必要的密碼。,Windows NT安全策略,用戶帳號：每個用戶必須擁有一個帳號 NT規(guī)定該帳號在系

20、統(tǒng)中的權力和權限 權力專指用戶對整個系統(tǒng)能夠做的事情，如關掉系統(tǒng)、往系統(tǒng)中添加設備、更改系統(tǒng)時間等。權力存放在安全帳號數(shù)據(jù)庫中。 權限專指用戶對系統(tǒng)資源所能做的事情，如對某文件的讀寫控制，對打印機隊列的管理。用戶對系統(tǒng)資源所具有的權限則與特定的資源一起存放。,Windows NT安全模型,用戶登錄： 按下Ctrl+Alt+Del鍵，NT系統(tǒng)啟動登錄進程 帳戶及口令有效后形成一個存取標識（包括用戶名以及SID 、用戶所屬的組及組SID、用戶對系統(tǒng)所具有的權力 ） NT啟動一個用戶進程，將該存取標識與之連在一起，這個存取標識就成了用戶進程在NT系統(tǒng)中的通行證 存取標識緩存的是用戶安全信息，如果管理

21、員對用戶的權限進行修改，只有在該用戶再次登錄時才發(fā)生作用 如何根據(jù)存取標識控制用戶對資源的訪問？ 給資源分配的權限作為該資源的一個屬性，以訪問控制列表ACL的形式與資源一起存放，ACL包含了用戶名以及該用戶的權限 用戶訪問該目錄時，NT安全系統(tǒng)檢查用戶的存取標識，與目錄的ACL對照，發(fā)現(xiàn)用戶存取標識中的用戶名與ACL中有對應關系且所要求的權限合法，則訪問獲得允許,NT系統(tǒng)的安全管理,加強物理安全管理 彌補系統(tǒng)軟件的安全漏洞，經(jīng)常升級微軟發(fā)布的安全補丁程序 掌握并使用微軟提供但未設置的安全功能：比如禁用Guest帳號等 使用NTFS文件系統(tǒng)：支持ACL 控制授權用戶的訪問：配置NTFS的訪問控制

22、機制，限制用戶對目錄、文件等資源的訪問 避免給用戶定義特定的訪問控制 實施帳號及口令策略：如要求用戶不要使用太簡單的密碼、定期更改密碼等 設置帳號鎖定：非法嘗試一定次數(shù)后鎖定帳號 控制遠程訪問服務：采用加密和認證機制 啟用登錄工作站和登錄時間限制：只允許在特定的環(huán)境下登錄,NT系統(tǒng)的安全管理,啟動審計功能：查看審計日志，發(fā)現(xiàn)問題 確保注冊表安全 應用系統(tǒng)的安全：保證各種應用系統(tǒng)的安全性，常打補丁 不可輕易發(fā)布信息：不要發(fā)布關于自身系統(tǒng)的信息，防止黑客利用,Windows 2000安全策略,簡單的身份驗證和授權模型： 身份驗證在用戶登錄時識別用戶并將網(wǎng)絡連接到服務。經(jīng)過識別后，用戶就會有權按照權

23、限對一組特定的網(wǎng)絡資源進行訪問。 授權是通過訪問控制機制來進行的，使用存儲在 Active Directory中的數(shù)據(jù)項以及訪問控制列表 (ACL)，后者定義對象（包括打印機、文件、網(wǎng)絡文件、及打印共享）的權限。 Windows 2000 分布式安全模型基于信任域控制器身份驗證、服務之間的信任委派以及基于對象的訪問控制。 域中每臺客戶機通過安全地對域控制器驗證身份創(chuàng)建直接信任路徑。 客戶端不可能直接訪問網(wǎng)絡資源；相反網(wǎng)絡服務創(chuàng)建客戶端訪問令牌并使用客戶端的憑據(jù)來執(zhí)行請求的操作以模擬客戶端。 Windows 操作系統(tǒng)核心在訪問令牌中使用安全性標識符來驗證用戶是否被授予所需的對目標對象的訪問權限。

24、,Windows 2000安全策略,Active Directory： 提供一個中央位置來存儲關于用戶、硬件、應用程序和網(wǎng)絡上數(shù)據(jù)的信息，同時保存了必要的授權及身份驗證信息以確保只有適當?shù)挠脩舨趴稍L問每一網(wǎng)絡資源。 域間的信任關系 信任關系在域之間建立，用來支持直接傳遞身份驗證，讓用戶和計算機可以在目錄林的任何域中接受身份驗證。 用戶或計算機僅需登錄網(wǎng)絡一次就可以對任何他們有適當權限的資源進行訪問。 組策略設置 控制 Active Directory 中對象的各種行為。通過相同的方式將所有類型的策略應用到眾多計算機上。 本地計算機安全性設置控制您想要授予特定用戶或計算機的權限和特權,Windo

25、ws 2000安全策略,身份驗證：確認任何試圖登錄到域或訪問網(wǎng)絡資源的用戶的身份 互動式登錄，登錄時向域帳戶或本地計算機確認用戶的身份 網(wǎng)絡身份驗證，用戶試圖訪問的任何網(wǎng)絡服務時確認用戶的身份 支持多重身份驗證機制，采取單一登錄過程 訪問控制：決定對特定對象或屬性的訪問權限 管理員給對象指派安全性描述符 訪問控制列表 (ACL)，該列表是用來定義哪一用戶（依照個人或組）有權限對該對象執(zhí)行特定操作 指定該對象待審核的各種訪問事件,UNIX系統(tǒng)安全策略,Unix系統(tǒng)的安全特征 訪問控制：通過訪問控制表ACL使得用戶可以自行改變文件的安全級別和訪問權限 -rwxr-xr- 1 john test 4

26、月9日17：50 cm 對象的可用性：對象不再使用時由TCB清除它 個人身份標識與認證 審計記錄 操作的可靠性,Unix的安全體系結構,UNIX系統(tǒng)安全,不安全因素 特權軟件的安全漏洞 研究源代碼的漏洞 特洛伊木馬 網(wǎng)絡監(jiān)聽及數(shù)據(jù)截取 軟件之間相互作用和設置 大型軟件通常由多人協(xié)作完成，很難準確預測系統(tǒng)內(nèi)各個部分的相互作用 安全管理：物理安全和邏輯安全，其中邏輯安全： 防止未授權存取 防止泄密：加強對重要文件的訪問控制和管理 防止用戶拒絕系統(tǒng)的管理：限制用戶對資源的使用,UNIX系統(tǒng)安全,具體的措施 防止緩沖區(qū)溢出 在inetd.conf中關閉不用的服務 1）變成root 2）備份inetd的配置文件/etc/inetd.conf cp /etc/inetd.conf /etc/inetd.conf.BACKUP 3）編輯/etc/inetd.conf文件 以“#”符號注釋掉不需要的服務，使其處于不激活的狀態(tài)。 4）在改變/etc/inetd.conf后，找到inetd進程的id號，用kill向它發(fā)送HUP信號來刷新它。一定要確保kill了inetd進程后，它還在運行。 給系統(tǒng)打補丁 重要主機單獨設立網(wǎng)段 定期檢查,