Download
1 / 35
350 likes | 563 Views
第 8 ç« ç½‘ç»œç®¡ç†ã€å®‰å…¨ä¸Žç»´æŠ¤. 知识点: • 网络管ç†æ¦‚è¿° • 网络管ç†åŠŸèƒ½ • 网络管ç†æ¨¡åž‹å’Œç½‘络管ç†åè®® • 网络管ç†ç³»ç»Ÿ • 网络安全 • 网络防病毒 • 防ç«å¢™ • 网络安全防护 • 网络维护. 难点: è®¡ç®—æœºç½‘ç»œå®‰å…¨æ–¹æ³•å¦ å®žçŽ°é˜²ç«å¢™çš„主è¦æŠ€æœ¯ 防ç«å¢™çš„体系结构 è¦æ±‚: 熟练掌æ¡ä»¥ä¸‹çŸ¥è¯†ï¼š 网络管ç†çš„功能和网络管ç†ç³»ç»Ÿ 网络安全的目的与功能 计算机病毒和ç§ç±»å’Œé˜²ç—…毒技术 网络防病毒的基本方法和技术 实现防ç«å¢™çš„主è¦æŠ€æœ¯å’Œé˜²ç«å¢™çš„作用 防ç«å¢™äº§å“的选择与使用 网络的常è§æ•…éšœ. 了解以下知识: 网络管ç†æ¨¡åž‹å’Œç½‘络管ç†ç³»ç»Ÿã€‚
E N D
第8章 网络管理、安全与维护 知识点: •网络管理概述 •网络管理功能 •网络管理模型和网络管理协议 •网络管理系统 •网络安全 •网络防病毒 •防火墙 •网络安全防护 •网络维护
难点: • 计算机网络安全方法学 • 实现防火墙的主要技术 • 防火墙的体系结构 要求: 熟练掌握以下知识: • 网络管理的功能和网络管理系统 • 网络安全的目的与功能 • 计算机病毒和种类和防病毒技术 • 网络防病毒的基本方法和技术 • 实现防火墙的主要技术和防火墙的作用 • 防火墙产品的选择与使用 • 网络的常见故障
了解以下知识: • 网络管理模型和网络管理系统。 • 网络管理系统 • 计算机网络安全学 • 防火墙的主要技术 • 防火墙体系结构和防火墙体系结构的组识形式 8.1网络管理 8.1.1网络管理概述 • 网络管理的必要性 • 网络管理的方法 • 网络管理的功能
8.1.2 网络管理功能 网络管理的5个功能;故障管理、记账管理、配置管 理、性能管理和安全管理。 1.故障管理 • 网络故障的含义 • 出现网络故障的因素 • 网络故障的诊断 2.记账管理 • 记账管理的含义 • 记账管理的机制 • 记账管理的功能
3.配置管理 • 配置管理的含义: • 配置管理的内容: • 配置管理的功能: • 配置清单的作用: 4.性能管理 • 性能管理的含义 • 性能管理的作用 • 性能管理的内容 1、建立对当前网络性能测量的基准;
2、寻找识别网络与应用软件不匹配的方法; 3、进行分析测量,寻找可能改进网络性能的对策。 • 性能管理的方法 5.安全管理 • 安全管理的必要性: • 如何对数据进行保护: ⑴ 关键设备 ⑵ 操作系统逻辑访问管理 ⑶ 访问控制 ⑷ 病毒 6.管理功能间的相互关系 ⑴ 性能与配置有关
⑵ 性能管理与故障管理有关 ⑶ 故障安全与紧紧相连 ⑷ 安全与计费有关 8.1.3网络管理模型 OSI管理模型包括的内容: • 管理结构 • 系统管理 • N层管理和N层操作 • 管理信息库 • 进程间控制信息的传递 • 实体间管理信息的传递
8.1.4 网络管理协议 • 开放系统互连的网络管理与TCP/IP网络的管理的比较 • SNMP和CMIP/CMOT二者各自的特点 8.1.5 网站管理 1.网站管理 ⑴ 网络拓扑管理 ⑵ 网站故障管理 ⑶ 网站配置管理 ⑷ 网站性能管理 2.网站的管理应达到的目的 ⑴ 网络监控 ⑵ 性能控制:
⑶ 故障检测 ⑷ 效率管理 ⑸ 保证网络安全 ⑹ 运行管理 3.安全管理的主要内容: ⑴ 防止未授权存取 ⑵ 防止泄密 ⑶ 防止用户拒绝系统的管理 ⑷ 防止丢失系统的完整性 8.2 网络安全 8.2.1 网络安全概述
1.网络安全的目的与功能 ① 隐密性服务 ② 完整性服务 ③ 辨识服务 ④ 不能否认服务 ⑤ 可用性服务 2.网络安全潜在的威胁 • 网络安全的潜在威胁: • 在网络环境中非法者所可能采用的破坏方法: 观测、推测、篡改、伪装、重复、拒绝服务 3.计算机网络安全方法学 计算机网络安全方法学的两个阶段: ⑴ 第一阶段: 设计、审查和认可阶段(见下页图)
处理后的资料文件 修改有 意义 资料文件 检测到的异常事件 授权事件 减轻损失 损失 修改计划 再信任 初步调查 N Y 附加调 查信 减轻损失 N Y 其它损失 调查的 收集迹象 授权活动 N 修改威胁 陈述式保护 Y 培训 或教育 适当报告 值得 附加调查 资源调查 或损失 N N N 培训 或教育 Y N N Y Y 涉及安全或授权活动的处理及各种成份的决策间的关系图
本阶段分为八个主要成分: ①保护资源定义 ② 安全策略 ③ 威胁陈述 ④ 保护手段 ⑤ 风险分析 ⑥ 事例检测 ⑦ 安全计划 ⑧ 论证和认可 2.第二阶段:运行阶段 • 处理一些涉及安全或未授权的活动 • 这个阶段的作用
8.2.2网络防病毒 1.什么是计算机病毒 • 计算机病毒概念: • 计算机如何感染病毒: • 良性病毒和恶性病毒: 2.有哪几种病毒程序 有四种类型的病毒程序: • 外壳病毒 • 入侵病毒 • 操作系统病毒 • 源码病毒
3. 病毒的危害 ⑴ 破坏计算机硬盘或软盘: ⑵ 感染系统文件和可执行文件: ⑶ 删除和更改各类文件。 4.防病毒技术 ⑴ 计算机病毒的预防技术 • 预防技术的作用 • 预防技术的两项内容 ⑵ 检测病毒技术 检测技术的作用 ⑶ 消除病毒技术 消除技术的作用
5. 网络防病毒的基本方法和技术 在网络上防病毒的三种基本方法: • 基于服务器的防病毒技术应具备的功能: ⑴ 基于网络目录和文件安全性的方法 ⑵ 采用工作站防病毒芯片 ⑶ 基于服务器的防病毒技术 • 基于服务器的防病毒技术应具备的功能: ① 对服务器中文件进行扫描 ② 实时在线扫描 ③ 服务器扫描选择 ④ 自动报告功能及病毒存档 ⑤ 工作站扫描 ⑥ 对用户开放的病毒特征接口 • 基于服务器防病毒的方法
8.3 防火墙 8.3.1 防火墙的概念 1.什么是防火墙 2.防火墙如何保护网络 • 设立防火墙的主要目的 • 防火墙的功能模型 • 防火墙的基本构件和技术 3.防火墙的作用 ⑴ 防火墙能强化安全策略 ⑵ 能有效地记录Internet上的活动 ⑶ 限制暴露用户点 ⑷ 一个安全策略的检查站
会 话 层 传 输 层 网 络 层 链 路 层 物 理 层 应 用 层 表 示 层 防火墙的功能模型 内部网络 防火墙 外部网络
8.3.2 防火墙的主要技术 • 包过滤 • 应用网关 • 代理服务 8.3.3 防火墙体系结构 1.防火墙体系结构 ⑴ 双重宿主主机体系结构 ⑵ 屏蔽主机体系结构 双重宿主主机体系结构提供来自与多个网络相连的主 机的服务(但是路由关闭),而被屏蔽主机体系结构使用一 个单独的路由器提供来自仅仅与内部的网络相连的主机服 务。在这种体系结构中,主要的安全措施是数据包过滤。
堡垒主机位于内部的网络上,在屏蔽的路由器上的数据堡垒主机位于内部的网络上,在屏蔽的路由器上的数据 包过滤是按这样一种方法设置的:堡垒主机,是因特网 上的主机连接到内部网络上的系统(例如,电子邮件系 统)的桥梁,但仅有某些确定类型的连接被允许。任何 外部的系统试图访问内部的系统或者服务,将必须连接 到这台堡垒主机上。因此,堡垒主机需要拥有高等级的 安全。 保卫路由器比保卫主机较容易实现。因为它提供非 常有限的服务组。多数情况下,被屏蔽的主机系统结构 比双重宿主主机体系结构具有更好的安全性和可用性。
⑶ 屏蔽子网体系结构 这种结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络与外部网(如Internet)隔开。堡垒主机是用户的网络上最容易受侵袭的机器,通过在周边网络上隔离堡垒主机,能减少对堡垒主机的入侵的影响。屏蔽子网体系结构如图所示。
INTERNET 堡垒主机 外部路由器 周边网 放火墙 内部路由器 内部网 工作站 工作站 工作站 服务器 屏蔽子网络体系结构
① 周边网络 周边网络是另一个安全层,是在外部网络与用户的被保 护的内部网络之间附加的网络。如果侵袭着成功的侵入用 户的防火墙的外层领域,周边网络在那个侵袭者与用户的 内部系统之间提供一个附加的保护层。 ② 堡垒主机 在此结构中,把堡垒主机连接到周边网,成为接受来自 外界连接的主要入口,进行传送、转接、查询等。另一方 面,其出站服务(从内部的客户端到在Internet的服务器) 按如下任一方法处理: 在外部内部的路由器上设置数据包过滤来允许内部的 客户端直接访问外部服务器。
设置代理服务器在堡垒主机上运行(若用户的防火墙设置代理服务器在堡垒主机上运行(若用户的防火墙 使用代理软件)来允许内部的客户端间接地访问外部的服 务器。用户也可以设置数据包过滤;来允许内部的客户 端在堡垒主机上同代理服务器交谈,反之亦然。但禁止 内部的客户与外部世界之间直接通信(即拨号入网方 式)。 ③ 内部路由器 内部路由器(也称阻塞路由器)保护内部的网络使之 免受Internet和周边网的侵犯。 ④ 外部路由器 理论上,外部路由器(有时称访问路由器)保护周边 网的内部网使之免受来自Internet的侵犯。实际上,它
倾向于允许几何任何东西从周边网出站,并且他们通常倾向于允许几何任何东西从周边网出站,并且他们通常 只执行非常少的数据包过滤。外部路由器能有效地执行 的安全任务之一(通常别的任何地方不容易完成的任务) 是:阻止从Internet上伪造源地址进来的任何数据包,这 样的数据包自称来自内部的网络,但实际上是来自 Internet。 2.内部防火墙 可在同一结构的两个部分之间,或者在同一内部网的 两个不同组织结构之间再建立防火墙,就被称为内部防 火墙。 3. 防火墙存在的问题
⑴ 不能防范恶意的知情者 ⑵ 不能防范不通过它的连接 ⑶ 不能防备所有威胁 ⑷ 不能防范病毒 防火墙不能消除网络上的PC机的病毒。 8.4 网站维护 8.4.1 网站的安全防护 1.网站的安全 2.网站的安全策略 3.安全策略的等级 4.安全策略的基本要素
授权的含义: • 访问控制策略 5.网站防护措施 • 安全防护的含义 • 安全防护措施 8.4.2 网站的物理安全 • 网络物理安全的内容 • 物理安全的防范措施 (1) 对主机房及重要信息存储、收发部门进行屏蔽处理 (2) 对本地网、局域网传输线路传导辐射的抑制 (3) 对终端设备辐射的防范
8.4.3 网站的系统安全 • 系统安全的内容: • 确保系统安全的方法: 1.网络硬件安全 ⑴ 操作系统安全 ①确认所有磁盘分区的格式都为NTFS ② 确认“Administrator”帐号具有一个强健的口令 ③ 禁止不常用或不需要的服务 ④ 禁止或删除不需要的用户帐号 ⑤合理设置文件、目录和注册表的访问权限 ⑥ 删除所有不需要的文件共享
⑦ 限制注册表不被匿名访问 ⑧限制LAS信息不被匿名访问 ⑨设置强健的口令策略 ⑩设置用户帐号锁定策略 ⑵ 路由以及DNS安全 ⑶ 应用系统安全 (4)病毒防护 2.网络安全 ⑴ 网络结构安全 ⑵ 隔离与访问控制 ⑶ 通信安全
3.应用安全 ⑴ 资源共享中的访问控制和安全审计 ⑵ 信息存储与安全备份 4.安全其它方面 ⑴ 灾难恢复 ⑵ 动态维护 8.4.4 网站的信息安全 1.信息安全的含义: 2.在计算机网络上通信时,所面临的威胁: •截获:第三方偷听通信双方的内容 •中断:第三方中断通信双方的通信 •篡改:第三方篡改通信中一方发给另一方的报文
•伪造:第三方假装为通信中的一方与另一方进行通信•伪造:第三方假装为通信中的一方与另一方进行通信 3.计算机网络通信安全的五个目标: 4.数据加密 ⑴ 数据加密的分类 ⑵ 加密技术的应用 5.防火墙 防火墙主要采用两种结构: ⑴ 代理(Proxy)主机 ⑵ 路由器加过滤器(Screened Host)完成 6.入侵检测 • 入侵检测的定义: • 检测的方法:
入侵检测系统的分类 入侵检测系统的分类
7.漏洞扫描 • 网络扫描系统的作用 • 漏洞扫描技术 8.5 网络常见故障 1.登录网站的问题 2.网络速度慢的问题 3.网络服务变慢的问题 4.IP网络管理不善的问题 5.光纤错觉的问题 6. 不能连接上网或不能登录的问题 7.访问网络的速度很慢的问题 8.网络可以连接,但不能登录的问题 9.莫名其妙地间歇性连接中断
小 结 网站建立后,不仅要求网络连续可靠地工作、最大可 能地为用户提供服务,而且要保证网络上的信息安全。要 用好网络,首先必須管好网络。网络管理是网站的日常工 作,也是网站的主要任务。 网络管理的功能分为5部分;故障管理、记账管理、配 置管理、性能管理和安全管理。 OSI管理模型包括几个部分:OSI管理结构,OSI管理所 要求的支持,管理信息库,进程间控制信息的传递,实体 间管理信息的传递。了解Novell公司的智能化网管软件 Manage Wise和 IBM的系统管理(System View)软件。 网站的管理主要包括如下内容:网络拓扑管理、网站 性能管理、网站配置管理和网站故障管理。网站的管理应
达到的目的是:运行管理、网络安全管理、 效率管理、 故障管理和网络监控。 网络安全的目的是:提供数据安全的保护功能,以 保护网络上所传数据的安全。网络所提供的安全功能有: 隐密性服务、完整性服务、辨识服务、不能否认服务和 可用性服务。 要掌握计算机病毒的预防技术。了解网络防病毒的 基本方法和技术、消除病毒技术和检测病毒技术。了解 防火墙体系结构、防火墙的作用、实现防火墙的主要技 术。
网络安全包括:安全策略的基本要素、安全策略的网络安全包括:安全策略的基本要素、安全策略的 等级、网站的安全策略几项内容。保障网站的物理安全、 系统安全和信息安全是网站安全的主要任务。 了解网站常见故障及其排除方法。
