《计算机基础教程第章安全与管理.ppt》由会员分享,可在线阅读,更多相关《计算机基础教程第章安全与管理.ppt(76页珍藏版)》请在三一办公上搜索。
1、第7章 网络安全与管理,本章内容,知识结构,防火墙技术,网络安全与管理,网络安全技术,网络病毒防治技术,破密方法,现代加密方法,数字认证,虚拟专用网,数据加密与数字认证,网络病毒的防治,网络病毒的类型,网络病毒的特点,网络安全的评价标准,网络安全的基本概念,防火墙的基本结构,防火墙的基本类型,防火墙的基本功能,防火墙的基本概念,VPN的基本类型,VPN的安全协议,VPN的实现技术,VPN的基本概念,网络管理技术,简单网络管理协议,ISO网络管理功能域,网络管理的逻辑结构,网络管理的基本概念,数据加密概念,传统加密方法,防火墙的安全标准与产品,常用网络管理系统,网络性能管理与优化,7.1 网络安
2、全技术,随着计算机网络技术的发展,网络的安全性和可靠性成为各层用户所共同关心的问题。人们都希望自己的网络能够更加可靠地运行,不受外来入侵者的干扰和破坏,所以解决好网络的安全性和可靠性,是保证网络正常运行的前提和保障。,Internet,防火墙,学生区,Info Gate,安全 垃圾邮 内容审计 件网关 过滤,数据库服务器群,应用服务器群,7.1.1网络安全的基本概念,1、网络安全要求 网络安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或者恶意的攻击而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不会中断。,7.1.1网络安全的基本概念,2、网络安全威胁 一般认为,黑客
3、攻击、计算机病毒和拒绝服务攻击等3个方面是计算机网络系统受到的主要威胁。,黑客攻击,计算机病毒,拒绝服务攻击,黑客使用专用工具和采取各种入侵手段非法进入网络、攻击网络,并非法使用网络资源。,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。,7.1.1网络安全的基本概念,3、网路安全漏洞 网络安全漏洞实际上是给不法分子以可乘之机的“通道”,大致可分为以下3个方面。,网络的漏洞,服务器的漏洞,操作系统的漏洞,包括网络传输时对协议的信任以及网络传输漏洞,比如IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS的信任。,7.1.1网络安全的基本概念,4、网络安全攻击
4、要保证运行在网络环境中的信息安全,首先要解决的问题是如何防止网络被攻击。根据Steve Kent提出的方法,网络安全攻击可分为被动攻击和主动攻击两大类,如图7-1所示。,图 7-1 网络安全攻击分类,被动攻击,截获(秘密),分析信息内容 通信量分析,主动攻击,拒绝 篡改 伪造 重放(可用性)(完整性)(真实性)(时效性),被动攻击不修改信息内容,所以非常难以检测,因此防护方法重点是加密。主动攻击是对数据流进行破坏、篡改或产生一个虚假的数据流。,7.1.1网络安全的基本概念,5、网络安全破坏 网络安全破坏的技术手段是多种多样的,了解最通常的破坏手段,有利于加强技术防患。,7.1.2网络安全的评价
5、标准,1、国际评价标准 计算机系统的安全等级由低到高顺序:D;C1 C2;B1 B2 B3;A。如图7-2所示。,图 7-2 TCSEC安全体系,可信计算机系统评测准则,C2:受控访问保护,C1:自主安全保护,A1:验证设计,D1:最小保护,B2:结构安全保护,B1:标志安全保护,B3:安全域,C类,A类,D类,B类,7.1.2网络安全的评价标准,20世纪90年代开始,一些国家和国际组织相继提出了新的安全评测准则。1991年,殴共体发布了“信息技术安全评测准则”;1993年,加拿大发布了“加拿大可信计算机产品评测准则”;1993年6月,上述国家共同起草了一份通用准则,并将CC推广为国际标准。国
6、际安全评测标准的发展如图7-3所示。,1993年加拿大可信计算机产品评测准则,1991年欧洲信息技术安全评测准则,1991年美国联邦政府评测标准,1983年美国国防部可信计算机评测准则,1996年国际通用准则(CC),1999年CC成为国际标准,图 7-3 国际安全评测标准的发展与联系,7.1.2网络安全的评价标准,2、我国评价标准分如下五个级别,7.1.3网络安全措施,在网络设计和运行中应考虑一些必要的安全措施,以便使网络得以正常运行。网络的安全措施主要从物理安全、访问控制、传输安全和网络安全管理等4个方面进行考虑。1、物理安全措施 物理安全性包括机房的安全、所有网络的网络设备(包括服务器、
7、工作站、通信线路、路由器、网桥、磁盘、打印机等)的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外,还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。2、访问控制措施 访问控制措施的主要任务是保证网络资源不被非法使用和非常规访问。其包括以下个方面:,7.1.3网络安全措施,7.1.3网络安全措施,6,网络检测和锁定控制:网络管理员对网络实施监控,服务器应记录用户对网络资源的访问,对于非法访问应报警。,7,网络端口和节点的安全控制:网络服务器端口使用自动回呼设 备、静默调制解调器加以保护,并以加密形式识别节点的身份。,8,防火墙控制:防火墙成为是互连
8、网络上的首要安全技术,是设置在网络与外部之间的一道屏障。,3、网络通信安全措施 建立物理安全的传输媒介 对传输数据进行加密:保密数据在进行数据通信时应加密,包括链路加密和端到端加密。,7.1.3网络安全措施,4、网络安全管理措施 除了技术措施外,加强网络的安全管理,制定相关配套,检查和互协,渗透测试,安全设计,设备配置,安全漏洞分析,安全策略,安全需求,安全结构,安全评估,安全评估,安全评估,的规章制度、确定安全管理等级、明确安全管理范围、采取系统维护方法和应急措施等,对网络安全、可靠地运行,将起到很重要的作用。实际上,网络安全策略是一个综合,要从可用性、实用性、完整性、可靠性和保密性等方面综
9、合考虑,才能得到有效的安全策略。,7.2 数据加密与数字认证,数据加密和数字认证是网络信息安全的核心技术。其中,数据加密是保护数据免遭攻击的一种主要方法;数字认证是解决网络通信过程中双方身份的认可,以防止各种敌手对信息进行篡改的一种重要技术。数据加密和数字认证的联合使用,是确保信息安全的有效措施。,7.2.1数据加密概念,1、密码学与密码技术 计算机密码学是研究计算机信息加密、解密及其变换的新兴科学,密码技术是密码学的具体实现,它包括4个方面:保密(机密)、消息验证、消息完整和不可否认性。,7.2.1数据加密概念,2、加密和解密 密码技术包括数据加密和解密两部分。加密是把需要加密的报文按照以密
10、码钥匙(简称密钥)为参数的函数进行转换,产生密码文件;解密是按照密钥参数进行解密,还原成原文件。数据加密和解密过程是在信源发出与进入通信之间进行加密,经过信道传输,到信宿接收时进行解密,以实现数据通信保密。数据加密和解密过程如图7-4所示。,加 密,密钥,报 文,解 密,原报文,图 7-4 加密解密模型,明文,密文传输,明文,信源,加密单元,解密单元,信宿,7.2.1数据加密概念,3、密钥体系 加密和解密是通过密钥来实现的。如果把密钥作为加密体系标准,则可将密码系统分为单钥密码(又称对称密码或私钥密码)体系和双钥密码(又称非对称密码或公钥密码)体系。在单钥密码体制下,加密密钥和解密密钥是一样的
11、。在这种情况下,由于加密和解密使用同一密钥(密钥经密钥信道传给对方),所以密码体制的安全完全取决于密钥的安全。双钥密码体制是1976年W.Diffie和M.E.Heilinan 提出的一种新型密码体制。1977年Rivest,Shamir和Adleman提出RSA密码体制。在双钥密码体制下,加密密钥与解密密钥是不同的,它不需要安全信道来传送密钥,可以公开加密密钥,仅需保密解密密钥。,7.2.2传统加密方法,1、代换密码法 单字母加密方法:是用一个字母代替另一个字母,它把A变成E,B变成F,C变为G,D变为H。多字母加密方法:密钥是简短且便于记忆的词组。2、转换密码法 保持明文的次序,而把明文字
12、符隐藏起来。转换密码法不是隐藏它们,而是靠重新安排字母的次序。3、变位加密法 把明文中的字母重新排列,字母本身不变,但位置变了。常见的有简单变位法、列变位法和矩阵变位法。4、一次性密码簿加密法 就是用一页上的代码来加密一些词,再用另一页上的代码加密另一些词,直到全部的明文都被加密。,7.2.3现代加密方法,1、DES加密算法 DES加密算法是一种通用的现代加密方法,该标准是在56位密钥控制下,将每64位为一个单元的明文变成64位的密码。采用多层次复杂数据函数替换算法,使密码被破译的可能性几乎没有。2、IDEA加密算法 相对于DES的56位密钥,它使用128位的密钥,每次加密一个64位的块。这个
13、算法被加强以防止一种特殊类型的攻击,称为微分密码密钥。IDEA的特点是用了混乱和扩散等操作,主要有三种运算:异或、模加、模乘,并且容易用软件和硬件来实现。IDEA算法被认为是现今最好的、最安全的分组密码算法,该算法可用于加密和解密。,7.2.3现代加密方法,邮件内容C,H=MDS(C),S=ENRSA(H)KS,M=C+S,随机加密密钥,E1=ENIDEA(M),E2=ENRSA(K)KRP,将E1+E2寄出,发送邮件,收到E1+E2,K=DERSA(E2)KRS,M=DEIDEA(E1)K,将M分离成C和S,H1=MD5(C),取得收信人的分开密钥KP,S1=DERSA(H1)KP,S1=S
14、?,No,Yes,接收此邮件,拒绝此邮件,接收邮件,3、RSA公开密钥算法 RSA是屹今为止最著名、最完善、使用最广泛的一种公匙密码体制。RSA算法的要点在于它可以产生一对密钥,一个人可以用密钥对中的一个加密消息,另一个人则可以用密钥对中的另一个解密消息。任何人都无法通过公匙确定私匙,只有密钥对中的另一把可以解密消息。,取得收信人的分开密钥KRP,7.2.3现代加密方法,4、HashMD5加密算法 Hash函数又名信息摘要(Message Digest)函数,是基于因子分解或离散对数问题的函数,可将任意长度的信息浓缩为较短的固定长度的数据。这组数据能够反映源信息的特征,因此又可称为信息指纹(M
15、essage Fingerprint)。Hash函数具有很好的密码学性质,且满足Hash函数的单向、无碰撞基本要求。5、量子加密系统 量子加密系统是加密技术的新突破。量子加密法的先进之处在于这种方法依赖的是量子力学定律。传输的光量子只允许有一个接收者,如果有人窃听,窃听动作将会对通信系统造成干扰。通信系统一旦发现有人窃听,随即结束通信,生成新的密钥。,7.2.4破密方法,1.密钥穷尽搜索 就是尝试所有可能的密钥组合,虽然这种密钥尝试通常是失败的,但最终总会有一个密钥让破译者得到原文。2.密码分析 密码分析是在不知密钥的情况下利用数学方法破译密文或找到秘密密钥。常见的密码分析有如下两种:已知明文
16、的破译方法:是当密码分析员掌握了一段明文和对应的密文,目的是发现加密的密钥。在实际应用中,获得某些密文所对应的明文是可能的。选定明文的破译方法:密码分析员设法让对手加密一段分析员选定的明文,并获得加密后的结果,以获得确定加密的密钥。,7.2.4破密方法,3、防止密码破译的措施 为了防止密码破译,可以采取一些相应的技术措施。目前通常采用的技术措施以下3种。好的加密算法:一个好的加密算法往往只有用穷举法才能得到密钥,所以只要密钥足够长就会比较安全。20世纪7080年代密钥长通常为4864位,90年代,由于发达国家不准许出口64位加密产品,所以国内大力研制128位产品。保护关键密钥(KCK:KEY
17、CNCRYPTION KEY)。动态会话密钥:每次会话的密钥不同。动态或定期变换会话密钥是有好处的,因为这些密钥是用来加密会话密钥的,一旦泄漏,被他人窃取重要信息,将引起灾难性的后果。,7.2.5数字认证,数字认证是一种安全防护技术,它既可用于对用户身份进行确认和鉴别,也可对信息的真实可靠性进行确认和鉴别,以防止冒充、抵赖、伪造、篡改等问题。数字认证技术包括数字签名、数字时间戳、数字证书和认证中心等。1、数字签名“数字签名”是数字认证技术中其中最常用的认证技术。在日常工作和生活中,人们对书信或文件的验收是根据亲笔签名或盖章来证实接收者的真实身份。在书面文件上签名有两个作用:一是因为自己的签名难
18、以否认,从而确定了文件已签署这一事实;二是因为签名不易伪冒,从而确定了文件是真实的这一事实。但是,在计算机网络中传送的报文又如何签名盖章呢,这就是数字签名所要解决的问题。,7.2.5数字认证,在网络传输中如果发送方和接收方的加密、解密处理两者的信息一致,则说明发送的信息原文在传送过程中没有被破坏或篡改,从而得到准确的原文。传送过程如图7-7所示。,图 7-7 数字签名的验证及文件的窜送过程,7.2.5数字认证,2、数字时间戳(DTS)在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,数字时间戳就是为电子文件发表的时间提供安全保护和证明的。DTS是网上安全服务项目,由专门的机构提供。
19、数字时间戳是一个加密后形成的凭证文档,它包括三个部分:需要加时间戳的文件的摘要 DTS机构收到文件的日期和时间 DTA机构的数字签名 数字时间戳的产生过程:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将这个摘要发送到DTS机构,DTS机构在加入了收到文件摘要的日期和时间信息后,再对这个文件加密(数字签名),然后发送给用户。,7.2.5数字认证,3、数字证书 数字认证从某个功能上来说很像是密码,是用来证实你的身份或对网络资源访问的权限等可出示的一个凭证。数字证书包括:,7.2.5数字认证,持卡人CCA,持卡证件,商家MCA,商家证件,支持网关PCA,支付网关证件,根CA,品牌CA
20、,地方CA,图 7-8 CA认证体系的层次结构,4、认证中心(CA)认证中心是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。它的主要任务是受理数字凭证的申请,签发数字证书及对数字证书进行管理。,CA认证体系由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次构成,上一级CA负责下一级CA数字证书的申请签发及管理工作。,图 7-9 防火墙的逻辑结构示意图,1、什么是防火墙 为了防止病毒和黑客,可在该网络和Internet之间插入一个中介系统,竖起一道用来阻断来自外部通过网络对本网络的威胁和入侵的安全屏障,其作用与古代防火砖墙有类似之处,人们把这个屏
21、障就叫做“防火墙”,其逻辑结构如图7-9所示。,7.3.1防火墙的基本概念,7.3 防火墙技术,7.3.1防火墙的基本概念,2、防火墙的基本特性 所有内部和外部网络之间传输的数据必须通过防火墙。只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。防火墙本身不受各种攻击的影响。3、防火墙的基本准则 过滤不安全服务:防火墙应封锁所有的信息流,然后对希望提供的安全服务逐项开放,把不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。过滤非法用户和访问特殊站点:防火墙允许所有用户和站点对内部网络进行访问,然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。,7.3.2防
22、火墙的基本功能,1、作为网络安全的屏障 防火墙作为阻塞点、控制点,能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。2、可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(口令、加密、身份认证、审计等)配置在防火墙上。3、对网络存取和访问进行监控审计 所有的外部访问都经过防火墙时,防火墙就能记录下这些访问,为网络使用情况提供统计数据。当发生可疑信息时防火墙能发出报警,并提供网络是否受到监测和攻击的详细信息。4、可以防止内部信息的外泄 利用防火墙可以实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。,7.3.3防火墙的基本
23、类型,1、网络级防火墙(Network Gateway)网络级防火墙主要用来防止整个网络出现外来非法的入侵。,图 7-10 包过滤路由器的工作原理示意图,内部网络,Internet,外部网络,包过滤路由器,7.3.3防火墙的基本类型,2、应用级防火墙(Application Gateway)这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。在外部网络向内部网络申请服务时发挥了中间转接的作用。代理防火墙的最大缺点是速度相对比较慢。应用级代理工作原理图7-11所示。,图 7-11 应用级代理工作原理示意图,内部网络,真正服务器,代理服务器,实际的连接,实际
24、的连接,外部网络,客户,虚拟的连接,Internet,防火墙,7.3.3防火墙的基本类型,3、电路级防火墙(Gateway)电路级防火墙也称电路层网关,是一个具有特殊功能的防火墙。电路级网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。与应用级防火墙相似,电路级防火墙也是代理服务器,只是它不需要用户配备专门的代理客户应用程序。另外,电路级防火墙在客户与服务器间创建了一条电路,双方应用程序都不知道有关代理服务的信息。4、状态监测防火墙(Statefu inspection Gateway)状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规
25、则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表就可以通过。,7.3.4防火墙的基本结构,1、双宿主机网关(Dual Homed Gateway)双宿主机网关是用一台装有两个网络适配器的双宿主机做防火墙,其中一个是网卡,与内网相连;另一个可以是网卡、调制解调器或ISDN卡。双宿主机网关的弱点是一旦入侵者攻入堡垒主机并使其具有路由功能,则外网用户均可自由访问内网。双宿主机网关工作原理图如图7-13所示。,图 7-13 双宿堡垒主机,Internet,双宿堡垒主机,内网,7.3.4防火墙的基本结构,2、屏蔽主机网关(Screened Host Gat
26、eway)单宿堡垒主机:是屏蔽主机网关的一种简单形式,单宿堡垒主机只有一个网卡,并与内部网络连接。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为可以从Internet上访问的唯一主机。而Intranet内部的客户机,可以受控地通过屏蔽主机和路由器访问Internet,其工作原理图如图7-14所示。,图 7-14 屏蔽主机网关单宿堡垒主机,Internet,双宿堡垒主机,内网,7.3.4防火墙的基本结构,双宿堡垒主机:是屏蔽主机网关的另一种形式,与单宿堡垒主机相比,双宿堡垒主机有两块网卡,一块连接内部网络,一块连接路由器。双宿堡垒主机在应用层提供代理服务比单宿堡垒主机更加安全。屏蔽主机网关
27、双宿堡垒主机工作原理图如图 7-15 所示。,图 7-15 屏蔽主机网关双宿堡垒主机,Internet,双宿堡垒主机,内网,7.3.4防火墙的基本结构,3、屏蔽子网(Screened Subnet Gateway)屏蔽子网是在内部网络与外部网络之间建立一个起隔离作用的子网。内部网络和外部网络均可访问屏蔽子网,它们不能直接通信,但可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络之间的互访提供代理服务。屏蔽子网工作原理图如图 7-16 所示。,图 7-16 屏蔽子网防火墙,内网,屏蔽子网,Internet,7.3.5防火墙的安全标准与产品,1、防火墙的安全标准 Secure/WAN(S/W
28、AN)标准 FWPD(Fire Wall Product Developer)联盟制订的 防火墙测试标准 2、常见的防火墙产品,1、什么是虚拟专用网 防火墙用来将局域网与Internet分隔开来,阻止来自外部网络的损坏。随着企业网应用的不断扩大,企业网的范围也不断扩大,从一个本地网络发展到一个跨地区跨城市甚至跨国家的网络,为保证区域间流通的企业信息安全,通过租用昂贵的跨地区数字专线方式建立物理上的专用网非常困难。随着计算机网络应用技术的发展,现在可通过Internet提供的虚拟专用网(Virtual Private Network,VPN)技术,使家庭办公、移动用户或其它用户主机可以很方便地访
29、问企业服务器。用户就像通过专线连接一样,而感觉不到公网的存在,这种网络被称为VPN的基本结构如图7-17所示。,7.4 虚拟专用网技术,7.4.1 VPN的基本概念,VPN的基本概念,VPN是通过一个公用网络建立的一个临时、安全的连接方式,是一条穿越混乱的公用网络的安全、稳定的隧道,其目标是在不安全的公用网络上建立一个安全的专用通信网络。VPN的最大优点是无需租用电信部门的专用线路,而由本地ISP所提供的VPN服务所替代。因此,人们越来越关注基于Internet的VPN技术及其应用。,图 7-17 虚拟专用网示意图,2、虚拟专用网的安全性 VPN实际上是一种服务,是企业内部网的扩展。VPN中传
30、输的是企事业或公司的内部信息,因此数据的安全性非常重要。VPN保证数据的安全性主要包括以下3个方面。数据保密性(Confidentiality):通过数据加密来确保数据通过公网传输时外人无法看到或截获,即使被他人看到也不会泄露。身份验证(Authentication):对通信实体的身份认证和信息的完整性检查,能够对于不同的用户必须授予不同的访问权限,确保数据是从正确的发送方传输来的。数据完整性(Integrity):确保数据在传输过程中没有被非法改动,保持数据信息原样地到达目的地。,7.4.1 VPN的基本概念,3、VPN的特点 VPN最终用户提供类似于专用网络性能的网络服务技术,并具有以下特
31、点。安全性高:VPN可以帮助远程用户、公司分支机构、商业伙伴同公司内部网之间建立可信的安全连接,并保证数据的安全传输。降低成本:VPN是建立在现有网络硬件设施基础上,因此可以保护用户现有的网络设施投资;大幅度地减少用户在WAN和远程连接上的费用;降低企业内部网络的建设成本。优化管理:采用VPN方案可以简化网络设计和管理,加速连接新的用户和网站。同时,能够极大地提高用户网络运营和管理的灵活性。,7.4.1 VPN的基本概念,VPN的实现技术,1、隧道技术 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,是VPN的核心。隧道技术是在公用网建立一条专用数据“通道”,以实现点对点的连
32、接,让来自不同数据源的网络业务经由不同的“通道”在相同的网络体系结构上传输,并且允许网络协议穿越不兼容的体系结构。隧道的组成如图7-18所示。,VPN的实现技术,2、加解密技术(Encryption&Decryption)对通过公用互联网络传递的数据必须经过加密,确保网络其它未授权的用户无法读取该信息。3、密钥管理技术(Key Management)密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行常用密钥管理技术可分为SKIP与ISAKMPOakley两种。4、身份认证技术(Authentication)公用网络上有众多的使用者与设备,如何正确地辨认合法的使用者与设备,
33、使属于本单位的人员与设备能互通,构成一个VPN并让未授权者无法进人系统,这就是使用者与设备身份认证技术要解决的问题。,VPN的实现技术,5、VPN的应用平台 VPN设备选择的标准主要取决于应用程序运行的安全级别和性能要求,而在技术方法上VPN是通过平台来实现的。目前VPN的应用平台可分为3种类型。基于软件的VPN:当数据连接速度较低,对性能和安全性要求不高时,利用一些软件提供的功能便可实现简单的VPN功能。基于专用硬件平台的VPN:当企业和用户对数据安全与通信性能要求很高时,可采用专用硬件平台实现VPN功能。辅助硬件平台的VPN:以现有网络设备为基础,在添加适当的VPN软件的情况下实现VPN功
34、能。网络安全性和通信性能介于上述两者之间。,VPN的安全协议,网络隧道协议有两种:一种是二层隧道协议,用于传输二层网络协议数据,以构建远程访问虚拟专用网;另一种是三层隧道协议,用于传输三层网络协议,以构建企业内部虚拟专用网和扩展的企业内部VPN。1、二层隧道协议(PPTPP2TP)PPTP:是点对点隧道协议,它是由 Microsoft公司提出的、被嵌入到Windows中的、用于路由和远程服务的数据链路层协议。PPTP用IP包来封装PPP数据帧,用简单的包过滤和域控制来实现访问控制。L2TP:是第二层隧道转发协议,它是由PPTP和L2F组合而成,可用于基于Internet的远程拨号访问。还可以为
35、使用PPP的客户端建立拨号方式的VPN连接。L2TP可用于传输多种协议,如NetBIOS等。,VPN的安全协议,2、三层隧道协议(IPSec)IPSec是一组开放性协议的总称,它包括认证头(AH)、Internet安全协会与密钥管理协议(ISAKMP)和安全封装载荷(ESP)三个子协议。IPSec具有以下三个特性。保密性:IPSec在数据传输之前先进行加密,以确保的私有性。可靠性:数据到达目标方之后进行验证,保证数据在传输过程中没有被修改或替换。真实性:对主机和端点进行身份鉴别。IPSec有两种工作模式,即运输模式和隧道模式。在隧道模式下,IPSec把IP分组封装在一个安全的数据报中,确保从一
36、个防火墙到另一个防火墙的通信安全性。,VPN的基本类型,图 7-19 VPN的三种服务类型,公用网络,Access VPN,Extranet VPN,Internet VPN,合作伙伴,根据业务类型和和组网方式的不同,VPN业务大致可分为3类,如图7-19所示。,VPN的基本类型,1、内部网VPN(Intranet VPN)内部网是指企业的总部与分支机构间通过公网构筑的虚拟网,它通过公用网络将一个组织的各分支机构的LAN连接而成的网络,即Intranet,它是公司内部网络的扩展。内部网VPN用于公司远程分支机构的LAN之间或公司远程分支机构的LAN与公司总部LAN之间进行互联,以便公司内部的资
37、源共享、文件传递等,可节省DDN等专线所带来的高额费用。内部网VPN的配置如图7-20所示。,VPN Server,Internet,外部网络,内部网络,Router,Router,VPN Server,图 7-20 内部网VPN的配置,VPN的基本类型,2、远程访问VPN(Access VPN)远程访问也称为拨号VPN,是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网,用于在远程用户或移动雇员和公司内部网之间进行互联。远程访问VPN的优点是可以实现“透明访问策略”,即远程用户可以与主机如同在同一个LAN中一样自由地访问LAN上的资源。远程网VPN的配置如图7-21所示。,图
38、7-21 远程网VPN的配置,VPN Server,Internet,内部网络,Firewall,Mobile PC,Desktop PC,VPN的基本类型,3、外联网VPN(Extranet VPN)外联网是指企业间发生收购、兼并或企业间的战略联盟,使不同企业网通过公网来构筑的虚拟网,用于在供应商、商业合作伙伴的LAN和公司的LAN之间进行互联。外联网VPN通过一个共享基础设施将客户、供应商、合作伙伴等连接到企业内部网,既可以向外提供有效的信息服务,又可以保证自身的内部网络的安全。外连网VPN的配置如图7-22所示。,图 7-22 外联网VPN的配置,WWW Server,Internet,
39、内部网络,内部网络,VPN Server,Firewall,VPN Server,Firewall,7.5 网络病毒防治技术,计算机病毒是由计算机黑客编写的有害程序,具有自我传播和繁殖的能力,破坏计算机的正常工作。Internet/Intranet的迅速发展和广泛应用给病毒提供了新的传播途径,网络将正逐渐成为病毒的第一传播途径。Internet/Intranet带来了两种不同的安全威胁:一种威胁来自文件下载,这些被浏览的或是通过FTP下载的文件中可能存在病毒;另一种威胁来自电子邮件。网络使用的简易性和开放性使得这种威胁越来越严重。正因为如此,网络病毒的防治技术显得越来越重要。因此,网络病毒的传
40、播、再生、发作将造成比单机病毒更大危害。,7.5.1 网络病毒的特点,1.感染方式多,2.感染速度快,3.清除难度大,4.破坏性强,5.激发形式多样,6.潜在性,计算机网络的主要特点是资源共享。那么,一旦共享资源染上病毒,网络各结点间信息的频繁传输将把病毒感染到共享的所有机器上,从而形成多种共享资源的交叉感染。在网络环境中的病毒具有以下6个方面的特点:,7.5.2 网络病毒的类型,1、GPI(Get Password I)病毒 GPI病毒是由欧美地区兴起的专攻网络的一类病毒,该病毒的威力在于“自上而下”,可以“逆流而上”的传播。2、电子邮件病毒 由于电子邮件的广泛使用,E-mail已成为病毒传
41、播的主要途径之一。3、网页病毒 网页病毒主要指Java及ActiveX病毒,它们大部分都保存在网页中,所以网页也会感染病毒。4、网络蠕虫程序 是一种通过间接方式复制自身的非感染型病毒,它的传播速度相当惊人,给人们带来难以弥补的损失。,7.5.3 网络病毒的防治,1、病毒的预防 引起网络病毒感染的主要原因在于网络用户本身。因此,防范网络病毒应从两方面着手。第一,对内部网与外界进行的数据交换进行有效的控制和管理,同时坚决抵制盗版软件;第二,以网为本,多层防御,有选择地加载保护计算机网络安全的网络防病毒产品。2、病毒清除 可靠、有效地清除病毒,并保证数据的完整性是一件非常必要和复杂的工作。优秀的防毒
42、软件应该不仅能够正确识别已有的病毒变种,同时也应该能够识别被病毒感染的文件。然而,防毒软件并不是万能的,对付计算机病毒的最好方法是要积极地做好预防工作,而不能寄托于病毒工具软件。,7.6 网络管理技术,1、网络管理的定义 网络管理是一项复杂的系统工程,它涉及到以下3个方面。网络服务提供:是指向用户提供新的服务类型、增加网络设备、提高网络性能等。网络维护:是指网络性能监控、故障报警、故障诊断、故障隔离与恢复等。网络处理:是指网络线路、设备利用率、数据的采集、分析,以及提高网络利用率的各种控制。2、网络管理标准化 在ISO的OSI-RM的基础上,由AT&T、英国电信等100多著名大公司组成的OSI
43、/NMF(网络管理论坛)定义了OSI网络管理框架下的5个管理功能区域,并形成了多项协议。,7.6.1网络管理的基本概念,7.6.2 网络管理的逻辑结构,被管系统,代 理,被管对象,管理系统,管理协议,通知,执行管理操作,通知,操作,图 7-24 网络管理系统逻辑模型,1、网络管理系统的逻辑模型 被管对象:经过抽象的网络元素,对应于网络中具体可以操作的数据。管理进程:负责对网络设备进行全面管理与控制的软件。管理信息库:可看作为管理进程的一部分,用于记录网络中被管理对象的状态参数值。管理协议:负责在管理系统与被管对象之间传递命令和负责解释管理操作命令。,7.6.2 网络管理的逻辑结构,图 7-25
44、 Internet网络管理逻辑模型,2、Internet网络管理逻辑模型 由于TCP/IP的广泛使用,Internet网络管理模型也受到了广泛的重视,几乎成了事实上的国际标准。Internet的网络管理模型如图7-25所示。,这种管理机构能为管理进程提供透明的管理环境,一个外部代理能够管理多个网络资源。,7.6.3ISO网路管理功能域,配置管理,性能管理,计费管理,安全管理,故障管理,系统管理功能:对象管理状态管理关系属性日志控制负荷监测告警报告事件报告测试管理/测试报告记账表安全审查追踪等,图 7-26 OSI网络管理功能模块之间的关系,为了实现对网络中的所有对象进行管理,OSI定义了网络管
45、理统一的国际性标准(5个基本功能域),基本模块的相互关系如图7-26所示。,7.6.3ISO网路管理功能域,1、配置管理(Configuration Management,CM)配置管理是ISO网络管理功能域中的第一个管理模块,它具有以下4项基本功能。,7.6.3ISO网路管理功能域,2、性能管理(Performance Management,PM)性能管理的功能是负责监视整个网络的性能,性能管理的目标是收集和统计数据。性能管理主要包括以下内容:,7.6.3ISO网路管理功能域,3、故障管理(Fault Management,FM)故障管理是在系统出现异常情况下的管理操作,找出故障的位置并进行
46、恢复。故障管理包括以下4个步骤。,7.6.3ISO网路管理功能域,4、安全管理(Security Management,SM)安全管理模块的功能分为网络管理本身的安全和被管网络对象的安全。安全管理的功能主要包括以下4个方面:,1,授权管理:分配权限给所请求的实体。,2,访问控制管理:访问控制管理:分配口令、进入或修改访问控制表和能力表。,3,安全管理:安全检查跟踪和事件处理。,4,密钥管理:进行密钥分配。,7.6.3ISO网路管理功能域,5、计费管理(Accounting Management,AM)计费管理模块的功能是在有偿使用的网络上统计有哪些用户,使用何种信道,传输多少数据,访问什么资源
47、信息,即统计不同线路和各类资源的利用情况。计费管理的目标是提高网络资源的利用率,以便使一个或一组用户可以按规则利用网络资源。由于网络资源可以根据其能力的大小而合理地分配,这样的规则使网络故障降低到最小限度,也可以使所有用户对网络的访问更加公平。为了实现合理计费,计费管理必须和性能管理相结合。计费管理包括:计费数据采集、数据管理与数据维护、政策比较与决策支持、数据分析与费用计算等。,7.6.4 简单网络管理协议,为了更好地进行网络管理,许多国际标准化组织都提出了自己的网络管理标准和网络管理方案,网络管理协议主要有CMIP、SNMP和CMOT三种。目前使用最广泛的网络管理协议是简单网络管理协议(S
48、NMP)。1、SNMP的结构 为了提高网络管理系统的效率,SNMP在传输层采用了用户数据报协议(UDP),针对Internet飞速发展和协议的不断扩充和完善,SNMP尽可能地降低管理代理的软件成本和资源要求,提供较强的远程管理,以适应对Internet资源的管理。并且,SNMP结构具有可扩充性,以适应网络系统的发展。SNMP的结构如图7-27所示。,7.6.4 简单网络管理协议,图 7-27 SNMP的功能结构,主机,管理代理,MIB,网关,MIB,终端服务器,管理代理,MIB,管理进程,管理代理,管理进程(manager):协助网络管理员对整个网络或网络中的设备进行日常管理的一组软件,一般运
49、行在网络管理站(网络管理中心)的主机上。管理代理(agent):是一种在被管理的网络设备中运行的软件,负责执行管理进程的管理操作。,管理信息库:是一个概念上的数据库,由管理对象组成,每个管理代理属于本地的管理对象,各管理代理控制的管理对象共同组成全网管理信息库。,7.6.4 简单网络管理协议,图 7-28 SNMP工作方式示意图,中心MIB,本地MIB,本地MIB,应答,应答,请求,请求,Agent,Manager,Agent,2、SNMP的工作方式 管理进程(Manager)和管理代理(Agent)之间主要以请求/应答方式工作。Manager向Agent发出请求命令,获取或设置网络元素(被管
50、设备)参数;Agent向 Manager 返回“应答”响应,报告“请求”的执行结果。Internet网络管理的工作方式如图7-28所示。,7.6.4 简单网络管理协议,3、SNMP的报文格式 SNMP使用UDP作为第四层(传输层)协议,进行无连接操作。管理进程和代理进程之间的每个消息都是一个单独的数据报。SNMP消息报文包含两个部分:SNMP报头和协议数据单元PDU。版本识别符(Version Identifier):用来确保SNMP代理使用相同的协议,每个SNMP代理都直接抛弃与自己协议版本不同的数据报。团体名(Community Name):用于SNMP代理对SNMP管理站进行认证。协议数
