《第9章 网络安全与管理技术.ppt.ppt》由会员分享,可在线阅读,更多相关《第9章 网络安全与管理技术.ppt.ppt(63页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、刘永华赵艳杰编著计算机组网技术第9章 网络安全与管理技术本章主要内容9.1 网络安全问题概述9.1.1 网络安全的概念9.1.2 网络安全控制模型9.1.3 安全威胁9.2 网络安全技术9.2.1 加密与认证技术9.2.2 数字签名技术9.2.3 入侵检测技术9.2.4 防火墙技术9.2.5 访问控制列表9.3 网络管理技术9.4 计算机病毒习题与思考题九9.1 网络安全问题概述n安全问题正日益突出,要求提高网络安全性的呼声也日益高涨。因此,为了保证网络信息的安全必须采取相应的技术。目前网络中采用的安全技术,主要包括物理安全、数据加密、网络认证技术、防火墙技术、入侵检测、网络安全协议和网络管理
2、。9.1.1 网络安全的概念n网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会由于偶然或恶意的原因而遭到破坏、更改、泄露等意外发生。网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的边缘学科。n网络安全一般可以理解为:(1)运行系统安全,即保证信息处理和传输系统的安全。(2)网络上系统信息的安全。(3)网络上信息内容的安全。图9-1 网络安全的组成操作安全通信安全TEM PEST信息安全物理安全工业安全计算机安全人员安全网络安全9.1.2 网络安全控制模型可信任的第三方(例如保密信息的仲裁者、发布者)信息通道主体消息秘密信
3、息主体消息秘密信息安全性相关的转换安全性相关的转换对手图9-2 网络安全模型保证安全性的所有机制包括以下两部分:(1)对被传送的信息进行与安全相关的转换。图9-2中包含了消息的加密和以消息内容为基础的补充代码。加密消息使对手无法阅读,补充代码可以用来验证发送方的身份。(2)两个主体共享不希望对手得知的保密信息。例如,使用密钥连接,在发送前对信息进行转换,在接收后再转换过来。这种通用模型指出了设计特定安全服务的4个基本任务:(1)设计执行与安全性相关的转换算法,该算法必须使对手不能破坏算法以实现其目的。(2)生成算法使用的保密信息。(3)开发分发和共享保密信息的方法。(4)指定两个主体要使用的协
4、议,并利用安全算法和保密信息来实现特定的安全服务。9.1.3 安全威胁n针对网络安全的威胁主要有三种:(1)人为的无意失误。(2)人为的恶意攻击。(3)网络软件的漏洞和“后门”。1安全攻击信源 信宿(a)正常流动信源 信宿 信源 信宿(d)修改(e)捏造信源 信宿 信源 信宿(b)中断(c)截取以上攻击可分为被动攻击和主动攻击两种。n被动攻击的特点是偷听或监视传送,其目的是获得正在传送的消息。被动攻击有:泄露信息内容和通信量分析等。n主动攻击涉及修改数据或创建错误的数据流,包括假冒、重放、修改消息和拒绝服务等。n主动攻击具有与被动攻击相反的特点。虽然很难检测出被动攻击,但可以采取措施防止它的成
5、功。相反,很难绝对预防主动攻击,因为这样需要在任何时候对所有的通信工具和路径进行完全的保护。防止主动攻击的做法是对攻击进行检测,并从它引起的中断或延迟中恢复过来。因为检测具有威慑的效果,它也可以对预防做出贡献。另外,从网络高层协议的角度,攻击方法可以概括地分为两大类:服务攻击与非服务攻击。n服务攻击(Application Dependent Attack)是针对某种特定网络服务的攻击,如针对E-mail、Telnet、FTP、HTTP等服务的专门攻击。n非服务攻击(Application Independent Attack)不针对某项具体的应用服务,而是基于网络层等低层协议进行的。n与服务
6、攻击相比,非服务攻击与特定服务无关,往往利用协议或操作系统实现协议时的漏洞来达到攻击的目的,更为隐蔽,而且目前也是常常被忽略的方面,因而被认为是一种更为有效的攻击手段。2基本的威胁n网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。一般认为,目前网络存在的威胁主要表现在:(1)信息泄漏或丢失。(2)破坏数据完整性。(3)拒绝服务攻击。(4)非授权访问。3主要的可实现的威胁n这些威胁可以使基本威胁成为可能,因此十分重要。它包括两类:渗入威胁和植入威胁。(1)主要的渗入威胁有:假冒、旁路控制、授权侵犯。(2)主要的植入威胁有:特洛伊木马、陷门
7、。4潜在的威胁n对基本威胁或主要的可实现的威胁进行分析,可以发现某些特定的潜在威胁,而任意一种潜在的威胁都可能导致发生一些更基本的威胁。9.2 网络安全技术9.2.1 加密与认证技术1密码学的基本概念n密码学(或称密码术)是保密学的一部分。保密学是研究密码系统或通信安全的科学,它包含两个分支:密码学和密码分析学。密码学是对信息进行编码实现隐蔽信息的一门学问。密码分析学是研究分析破译密码的学问。两者相互独立,又相互促进。n采用密码技术可以隐藏和保护需要保密的消息,使未授权者不能提取信息。需要隐藏的消息称为明文。明文被变换成另一种隐藏形式称为密文。这种变换称为加密。加密的逆过程,即从密文恢复出明文
8、的过程称为解密。对明文进行加密时采用的一组规则称为加密算法,加密算法所使用的密钥称为加密秘钥。对密文解密时采用的一组规则称为解密算法,解密算法所使用的密钥称为解密密钥。密码系统通常从三个独立的方面进行分类。(1)按将明文转换成密文的操作类型可分为置换密码和易位密码。(2)按明文的处理方法可分为分组密码和序列密码。(3)按密钥的使用个数可分为对称密码体制和非对称密码体制。2加密技术n数据加密技术可以分为三类,即对称型加密、非对称型加密和不可逆加密。n对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,从而使用成本较
9、高,安全性能也不易保证。这类算法的代表是在计算机网络系统中广泛使用的DES算法(Digital Encryption Standard)。n目前经常使用的一些对称加密算法有数据加密标准(Data Encryption Standard,DES)、三重DES(3DES,或称TDEA)、Rivest Cipher 5(RC-5)、国际数据加密算法(International Data Encryption Algorithm,IDEA)。公开密钥算法n不对称型加密算法也称为公开密钥算法,其特点是有两个密钥(即公用密钥和私有密钥),只有两者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有两个密
10、钥,它特别适用于分布式系统中的数据加密,在Internet中得到广泛应用。其中公用密钥在网上公布,由数据发送方对数据加密时使用,而用于解密的相应私有密钥则由数据的接收方妥善保管。不对称加密的另一用法称为数字签名(Digital Signature),即数据源使用其私有密钥对数据的校验和(Checksum)或其他与数据内容有关的变量进行加密,数据接收方则用相应的公用密钥解读数字签字,并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不常规加密算法有RSA算法和美国国家标准局提出的DSA算法(Digital Signature Algorithm)。不常规加密法在分布式系统中应用时需注意的
11、问题是如何管理和确认公用密钥的合法性。n不可逆加密算法和特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于在分布式网络系统上使用,但是其加密时计算机的工作量相当可观,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(Secure Hash Standard,SHS)。加密技术用于网络安全通
12、常有两种形式:面向网络或面向应用服务。n面向网络服务的加密技术通过工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。n面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用Kerberos服务的Telnet、NFS、Rlogin等,以及用作电子邮件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty G
13、ood Privacy)。这类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。从通信网络的传输方面,数据加密技术还可以分为以下三类:链路加密方式、节点到节点方式和端到端方式。n链路加密方式是一般网络通信安全主要采用的方式。它对网络上传输的数据报文进行加密。不但对数据报文的正文进行加密,而且把路由信息、校验码等控制信息全部加密。n节点到节点加密方式是为了解决在节点中数据是明文的缺点,在中间节点中装有加密、解密的保护装置,由这个装置来完成一个密钥向另一个密钥的交换。n在端到端加密方式中,由发送方加密的数据在没有
14、到达最终目的节点之前是不被解密的。加密、解密只在源、宿节点进行,因此,这种方式可以实现按各种通信对象的要求改变加密密钥以及按应用程序进行密钥管理等,而且采用这种方式可以解决文件加密问题。3认证技术n认证技术是实现计算机网络安全的关键技术之一,认证主要是指对某个实体的身份加以鉴别、确认,从而证实是否名副其实或者是否是有效的过程。认证的基本思想是验证某一实体的一个或多个参数的真实性和有效性。n网络用户的身份认证可以通过下述三种基本途径之一或它们的组合来实现:所知(Knowledge),个人所掌握的密码、口令等;所有(Possesses),个人的身份认证、护照、信用卡、钥匙等;个人特征(Charac
15、teristics),人的指纹、声音、笔记、手型、血型、视网膜、DNA以及个人动作方面的特征等。9.2.2 数字签名技术n数字签名提供了一种鉴别方法,普遍用于银行、电子商业等,以解决下列问题:(1)伪造:接收者伪造一份文件,声称是对方发送的。(2)冒充:网上的某个用户冒充另一个用户发送或接收文件。(3)篡改:接收者对收到的文件进行局部的修改。(4)抵赖:发送者或接收者最后不承认自己发送或接收的文件。数字签名n数字签名一般通过公开密钥来实现。在公开密钥体制下,加密密钥是公开的,加密和解密算法也是公开的,保密性完全取决于解密密钥的秘密。只知道加密密钥不可能计算出解密密钥,只有知道解密密钥的合法解密
16、者才能正确解密,将密文还原成明文。从另一角度,保密的解密密钥代表解密者的身份特征,可以作为身份识别参数。因此,可以用解密密钥进行数字签名,并发送给对方。接收者接收到信息后,只要利用发信方的公开密钥进行解密运算,如能还原出明文来,就可证明接收者的信息是经过发信方签名的。接收者和第三者不能伪造签名的文件,因为只有发信方才知道自己的解密密钥,其他人是不可能推导出发信方的私人解密密钥的。这就符合数字签名的唯一性、不可仿冒、不可否认的特征和要求。9.2.3 入侵检测技术n入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网
17、络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。n进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。图9-4 入侵检测/响应流程图1入侵检测的分类n按照检测类型划分,入侵检测有两种检测模型。(1)异常检测模型(Anomaly Detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重
18、大偏离时就被认为是入侵。这种检测模型的漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。(2)误用检测模型(Misuse Detection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低,漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。按照检测对象划分,有基于主机、基于网络和混合型三种类型。(1)基于主
19、机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。(2)基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务。基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。(3)混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面。综合了基于网络和基于主机的混合型入侵
20、检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。2入侵检测过程分析n入侵检测过程分析分为三部分:信息收集、信息分析和结果处理。(1)信息收集。入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。(2)信息分析。收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。(
21、3)结果处理。控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。3检测和访问控制技术将共存共荣n以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。(1)防火墙是网关形式,要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通(传输)和断(阻隔)两个功能,所以其传输要求是非常高的。(2)IDS是一个以检测和发现为特征的技术行为,其追求的是漏报率和误报率的降低。其对性能的追求主要表现在:抓包不能漏、分析不能错,而不是微秒级的快速结果。由
22、于IDS较高的技术特征,所以其计算复杂度是非常高的。9.2.4 防火墙技术n一般来说,防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构和运行状况,以此来实现网络的安全保护。n防火墙可以是一个实现安全功能的路由器、个人计算机、主机或主机的集合等,通常位于一个受保护的网络对外的连接处,若这个网络到外界有多个连接,那么需要安装多个防火墙系统。防火墙能有效地对网络进行保护,防止其他网络的入侵,归纳起来,防火墙具有以下作用:(1)控制进出网络的信息流向和信息包。(2)提供对系统的
23、访问控制。(3)提供使用和流量的日志和审计。(4)增强保密性。使用防火墙可以阻止攻击者获取攻击网络系统的有用信息。(5)隐藏内部IP地址及网络结构的细节。(6)记录和统计网络利用数据以及非法使用数据。1防火墙系统结构n防火墙的系统结构一般分为以下几种:(1)屏蔽路由器。(2)双目主机结构。(3)屏蔽主机结构。(4)屏蔽子网结构。图9-5 屏蔽路由器实现防火墙屏蔽路由器Internet内部主机代理服务器图9-6 双目主机实现防火墙Internet包过滤路由器代理服务器内部主机Web服务器图9-7 屏蔽主机实现防火墙Internet包过滤路由器代理服务器路由器内部主机图9-8 屏蔽子网防火墙Int
24、ernet外部屏蔽路由器内部主机内部屏蔽路由器壁垒主机对外服务器DMZ区2防火墙分类n从构成上可以将防火墙分为以下几类:(1)硬件防火墙。(2)软件防火墙。(3)软硬结合防火墙。3防火墙的设计策略n防火墙设计策略基于特定的防火墙,定义完成服务访问策略的规则。通常有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。第一种的特点是“在被判有罪之前,任何嫌疑人都是无罪的”,它好用但不安全。第二种的特点是“宁可错杀一千,也不放过一个”,它安全但不好用。在实际应用中防火墙通常采用第二种设计策略,但多数防火墙都会在两种策略之间采取折衷。(1)防火墙实现站点安全策略的技术。1)服务
25、控制。2)方向控制。3)用户控制。4)行为控制。(2)防火墙在大型网络系统中的部署。1)在局域网内的VLAN之间控制信息流向时加入防火墙。2)Internet与Internet之间连接时加入防火墙。3)在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,总部的局域网和各分支机构连接时,一般通过公网ChinaPac、ChinaDD和NFrame Relay等连接,需要采用防火墙隔离,并利用某些软件提供的功能构成虚拟专网VPN。4)总部的局域网和分支机构的局域网是通过Internet连接的,需要各自安装防火墙,并组成虚拟专网。5)在远程用户拨号访问时,加入虚拟专网
26、。6)利用一些防火墙软件提供的负载平衡功能,ISP可在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制和日志记录等功能。7)两网对接时,可利用硬件防火墙作为网关设备实现地址转换(NAT)、地址映射(MAP)、网络隔离(DMZ,De-Militarized Zone,非军事区,其名称来源于朝鲜战争的三八线)及存取安全控制,消除传统软件防火墙的瓶颈问题。9.2.5 访问控制列表n访问控制列表(Access Control List,ACL),也称为访问列表(Access List),最直接的功能就是包过滤。通过访问控制列表ACL可以在路由器、三层交换机上进行网络安全属性
27、配置,可以实现对进入到路由器、三层交换机的输入数据流进行过滤。n访问控制列表的主要作用有以下两个:(1)限制路由更新。控制路由更新信息发往什么地方,同时希望在什么地方收到路由更新信息。(2)限制网络访问。为了确保网络安全,通过定义规则限制用户访问一些服务(如只需要访问WWW和电子邮件服务,其他服务如Telnet则禁止),或只允许一些主机访问网络等。n过滤输入数据流的定义可以基于网络地址、TCP/UDP的应用等。可以选择对于符合过滤标准的流是丢弃还是转发,因此必须知道网络是如何设计的,以及路由器接口是如何在过滤设备上使用的。要通过ACL配置网络安全属性,只有通过命令完成配置。n创建访问列表时,定
28、义的准则将应用于路由器上所有的分组报文,路由器通过判断分组是否与准则匹配来决定是否转发或阻断分组报文。nACL的类型主要分为IP标准访问控制列表(Standard IP ACL)和IP扩展访问控制列表(Extended IP ACL),每一条ACL必须指定唯一的名称或编号,标准访问控制列表的编号范围为199;扩展列表的编号范围为100199。主要的动作为允许(Permit)和拒绝(Deny);主要的应用方法是入栈(In)应用和出栈(Out)应用。访问列表中定义的典型准则主要如下:n源地址。n目的地址。n上层协议。n标准IP访问列表主要是根据源地址进行转发或阻断分组的;扩展IP访问列表使用以上三
29、种组合进行转发或阻断分组;其他类型的访问列表根据相关代码来转发或阻断分组。n对于单一的访问列表来说,可以使用多条独立的访问列表语句来定义多种准则,其中所有的语句引用同一个编号,以便将这些语句绑定到同一个访问列表。但使用的语句越多,阅读和理解访问列表就越困难。n在每个访问列表的末尾隐含一条“拒绝所有数据流”的准则语句,因此如果分组与任何准则都不匹配,将被拒绝。n加入的每条准则都被追加到访问列表的最后,语句被创建后,就无法单独删除它,而只能删除整个访问列表。所以访问列表语句的次序非常重要。路由器在决定转发还是阻断分组时,路由器按语句创建的次序将分组与语句进行比较,找到匹配的语句后,便不再检查其他准
30、则语句。9.3 网络管理技术n网络管理包括五个功能:配置管理、故障管理、性能管理、安全管理、计费管理。n网络管理是控制一个复杂的计算机网络,使它具有最高的效率和生产力的过程。根据进行网络管理的系统的能力,这一过程通常包括数据收集、数据处理、数据分析和产生用于管理网络的报告。n第一个使用的网络管理(简称网管)协议称为简单网络管理协议(SNMP,又称SNMP第一版或SNMPv1),当时这个协议被认为是临时的、简单的、解决当时急需解决的问题的协议,而复杂的、功能强大的网络管理协议需要进一步设计。n到20世纪80年代,在SNMP的基础上设计了两个网络管理协议:一个称为SNMP第二版(简称SNMPv2)
31、,它包含了原有的特性,这些特性目前被广泛使用,同时增加了很多新特性以克服原先SNMP的缺陷;第二个网络管理协议称为公共管理信息协议(简称CMIP),它是一个组织得更好,并且比SNMPv1和SNMPv2有更多特性的网络管理协议。对用户而言,要求网络管理协议具有好的安全性、简单的用户界面、价格相对低廉而且对网络管理是有效的。由于Internet的大规模发展以及用户的要求,使得SNMPv1和SNMPv2成为业界事实上的标准而被广泛使用。1ISO网络管理模式n目前国际标准化组织ISO在网络管理的标准化上做了许多工作,它特别定义了网络管理的五个功能域。n配置管理:管理所有的网络设备,包括各设备参数的配置
32、与设备账目的管理。n故障管理:找出故障的位置并进行恢复。n性能管理:统计网络的使用状况,根据网络的使用情况进行扩充,确定设置的规划。n安全管理:限制非法用户窃取或修改网络中的重要数据等。n计费管理:记录用户使用网络资源的数据,调整用户使用网络资源的配额和记账收费。2公共管理信息协议CMIPn在网络管理模型中,网络管理者和代理之间需要交换大量的管理信息。这一过程必须遵循统一的通信规范,我们把这个通信规范称为网络管理协议。网络管理协议是高层网络应用协议,它建立在个体物理网络及其基础通信协议基础之上,为网络管理平台服务。n网络管理协议提供了访问任何生产厂商生产的任何网络设备,并获得一系列标准值的一致
33、性方式。对网络设备的查询包括设备的名字、设备中软件的版本、设备中的接口数、设备中一个接口的每秒包数等。用于设置网络设备的参数包括设备的名字、网络接口的地址、网络接口的运行状态、设备的运行状态等。n目前使用的标准网络管理协议包括简单网络管理协议(SNMP)、公共管理信息服务/协议(CMIS/CMIP)和局域网个人管理协议(LMMP)等。nCMIS/CMIP是ISO定义的网络管理协议,它的制定受到了政府和工业界的支持。nCMIP的优点是安全性高,功能强大,不仅可用于传输管理数据,而且可执行一定的任务。但由于CMIP对系统的处理能力要求过高,操作复杂,覆盖范围广,因而难以实现,限制了它的使用范围。n
34、CMIP采用管理者/代理模型,当对网络实体进行监控时,管理者只需向代理发出一个监控请求,代理会自动监视指定的对象,并在异常事件(如线路故障)发生时向管理者发出指示。CMIP的这种管理监控方式称为委托监控,委托监控的主要优点是开销小、反应及时,缺点是对代理的资源要求高。3简单网络管理协议SNMPnSNMP是由因特网工程任务组IETF(Internet Engineering Task Force)提出的面向Internet的管理协议,其管理对象包括网桥、路由器、交换机等内存和处理能力有限的网络互联设备。nSNMP采用轮询监控方式,管理者隔一定时间间隔向代理请求管理信息,管理者根据返回的管理信息判
35、断是否有异常事件发生。轮询监控的主要优点是对代理资源的要求不高,缺点是管理通信的开销大。SNMP由于其简单性得到了业界广泛的支持,成为目前最流行的网络管理协议。nSNMP位于ISO/OSI参考模型的应用层,它遵循ISO的网络管理模型。SNMP模型由管理节点和代理节点构成,采用的是代理/管理站模型,如图9-9所示。图9-9 SNMP网络管理参考模型SNMP代理管理信息库SNMP代理管理信息库图形用户界面网络管理应用程序 状态库代理节点被管理节点被管理节点被管理节点网络管理站节点其他协议SNMPSNMPSNMP图9-10 SNMP传输层映射SNMP域SNMPUDP域SNMPCLNS域SNMPCON
36、S域SNMPDDP域SNMPIPX域9.4 计算机病毒n计算机病毒是一个程序,一段可执行代码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。1病毒的种类n病毒的种类多种多样,主要有以下6种。(1)文件型病毒。(2)引导扇区病毒。(3)宏病毒。(4)欺骗病毒。(5)多形性病毒。(6)伙伴病毒。2网络病毒的特点(1)破坏性强。(2)传播性强。(3)具有潜伏性和可激发性。(4)针对性强。(5)扩散面广。3病毒的传播途径(1)通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机专用芯片和硬盘等。(2)通过移动存储设备传播,这些设备包括软盘、磁盘等。(3)通过计算机网络进行传播。(4)通过点对点通信系统和无线通道传播。4病毒的防治n目前广泛使用的主要检测病毒的方法有特征代码法、校验和法、行为监测法、感染实验法等。习题与思考题九1简述网络安全的概念及网络安全威胁的主要来源。2简述数字签名技术。3简述防火墙的作用。4简述防火墙的设计策略。5入侵检测系统的作用是什么?如何分类?6ACL有何作用?定义规则是什么?7简述常见病毒的种类和病毒的防治方法。8简述计算机病毒有几种传播途径。9简述网络管理的五个功能域。10简述CMIP与SNMP的异同。
黑公网安备:91230400333293403D