收藏
下载资源 加入VIP免费专享

计算机网络实用技术第8章网络管理与安全.ppt

上传人:本田雅阁 文档编号:2831707 上传时间:2019-05-24 格式:PPT 页数:158 大小:7.80MB
返回 下载 相关 举报
计算机网络实用技术第8章网络管理与安全.ppt_第1页
第1页 / 共158页
计算机网络实用技术第8章网络管理与安全.ppt_第2页
第2页 / 共158页
计算机网络实用技术第8章网络管理与安全.ppt_第3页
第3页 / 共158页
计算机网络实用技术第8章网络管理与安全.ppt_第4页
第4页 / 共158页
计算机网络实用技术第8章网络管理与安全.ppt_第5页
第5页 / 共158页
点击查看更多>>
资源描述

《计算机网络实用技术第8章网络管理与安全.ppt》由会员分享,可在线阅读,更多相关《计算机网络实用技术第8章网络管理与安全.ppt(158页珍藏版)》请在三一文库上搜索。

1、计算机网络实用技术,第8章 网络管理与安全,计算机网络实用技术,本章将对网络管理的相关概念和简单网络管理协议SNMP进行讲解。并且,还要介绍网络安全方面的基础知识及一些网络安全设备。,计算机网络实用技术,8.1 网络管理的基本概念,网络管理是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。,计算机网络实用技术,8.1 网络管理的基本概念,1网络管理的目标 (1)网络应是有效的,能准确及时地传递信息。 (2)网络应是可靠的,能稳定地运转。 (3)网络要有开放性,

2、能够接收多厂商生产的异种设备。 (4)网络要有综合性,能够提供综合业务。 (5)网络要有很高的安全性。 (6)网络要有经济性,这种经济性不仅是对网络建设者、经营者而言,也是对用户而言的。,计算机网络实用技术,8.1 网络管理的基本概念,2网络管理的任务 (1)状态监测。通过状态监测,可以获得分析网络各种性能的原始数据。 (2)数据收集。要了解网络的状态,还需要将分散监测到的有用数据收集到一起。 (3)状态分析。利用各种模型,根据收集到的监测数据对网络的状态进行分析、判断。 (4)状态控制。根据状态分析的结果对网络采取控制措施。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管理的功能

3、(1)配置管理,定义、识别、初始化、控制和监测被管对象功能的集合,包括以下几项。 定义被管对象,给每个被管对象分配名字。 定义用户组。 删除不需要的被管对象。 设置被管对象的初始值。 处理被管对象间的关系。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管理的功能 (2)故障管理,实时监控网络中的故障,对故障原因做出论断,对故障进行排除,保证网络的正常运行,包括以下几项。 检测被管对象的差错,或接受差错报告。 创建和维护差错日志库,并对其进行分析。 进行诊断,以跟踪和识别差错。 通过恢复措施,恢复正确的网络服务。 网络实时备份。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管

4、理的功能 (3)计费管理,记录用户使用网络的情况并核收费用,包括以下几项。 易于更新且费率可变。 允许使用信用记账收费。 能根据用户组的不同进行不同的收费。 收费依据为“进程”或“服务”。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管理的功能 (4)安全管理,保证网络不被非法使用,包括以下几项。 与安全措施相关的信息分发。 与安全相关的事件通知。 与安全相关的设施建设、控制和删除; 涉及安全服务的网络操作事件的记录、维护和查阅等日志管理工作。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管理的功能 (5)性能管理,保证在最小网络消耗和网络时延下,提供最大的可靠且连续的通信

5、能力,包括以下几项。 从被管对象中收集与网络性能有关的数据。 对收集到的数据进行统计分析,并对历史记录进行维护。 分析数据,以检测性能故障,生成报告。 预测网络的长期趋势。 改进网络的操作模式。,计算机网络实用技术,8.2 简单网络管理协议,简单网络管理协议(Simple Network Manage Protocol,SNMP),是最早提出的网络管理协议之一,计算机网络实用技术,8.2 简单网络管理协议,8.2.1 SNMP模型 SNMP的网络管理模型由3个重要元素组成,图8-1 SNMP网络管理模型,计算机网络实用技术,8.2 简单网络管理协议,1管理信息库(Management Info

6、rmation Base,MIB) Internet的MIB标准把管理对象分为9组,每组对象由各种变量描述。,表8-1 最初节点MIB管理的信息类型,计算机网络实用技术,8.2 简单网络管理协议,1管理信息库(Management Information Base,MIB) MIB中对象的变量类型大体可分为两种:简单变量和表格。简单变量包括整型变量、字符串变量等,也包括一些类似于C语言“结构”的数据集合,表格相当于一维数组。值得注意的是,MIB只给出每个变量的逻辑定义,每个被管的网络设备所使用的内部数据结构可能与MIB的定义不同。当代理进程收到查询请求时,先要把SNMP协议的MIB变量映射到自

7、己的内部数据结构,再执行相应的操作。,计算机网络实用技术,8.2 简单网络管理协议,1管理信息库(Management Information Base,MIB) MIB的设计比较灵活,对象和网络管理通信协议相对独立,只要有需要就可以定义新的MIB变量并标准化,而不需要改变协议。各厂商设计了新的网络设备或新的网络协议时,可以自行定义相应的MIB变量,对这些新的网络设备或新的网络协议进行管理。事实上,目前已定义了许多新的MIB变量。例如,以太网接口的MIB、网桥的MIB、FDDI的MIB、PPP的IP网络控制协议MIB等。 MIB只是定义了管理对象的组织结构,使其他系统可以知道如何访问各个管理对

8、象。对于代理如何收集MIB中管理对象的数据以及怎样使用这些数据,MIB不做规定。,计算机网络实用技术,8.2 简单网络管理协议,2管理信息结构(Structure of Management Information,SMI) 管理信息结构是一套规则,规定如何命名管理对象、如何定义管理对象。所有的管理对象分层次地按树型结构进行组织。某个对象的名称反映它在这个树型结构中的位置,标明了在MIB中通过怎样的路径可以访问到这个对象。,计算机网络实用技术,8.2 简单网络管理协议,2管理信息结构(Structure of Management Information,SMI),图8-2 MIB树的顶部,计

9、算机网络实用技术,8.2 简单网络管理协议,2管理信息结构(Structure of Management Information,SMI) SMI采用OSI的抽象语法表示(Abstract Syntax Notation One,ANS.1)的OBJECT IDENTIFIER类型对MIB的管理对象进行命名。例如,图8-2中的ip对象命名为iso(1)org(3)dod(6)internet(1)mgmt(2)mib-2(1)ip(4)或1.3.6.1.2.1.4。,计算机网络实用技术,8.2 简单网络管理协议,3简单网络管理协议 简单网络管理协议的主要设计思想是协议应尽可能简单,基本功能是

10、监视网络性能、检测分析网络差错和配置网络设备。由于SNMP的设计是基于互联网协议的用户数据报协议UDP之上的,所以SNMP提供的是一种无连接的服务,它不能确保其他实体一定能收到管理信息流。,计算机网络实用技术,8.2 简单网络管理协议,8.2.2 SNMP协议 SNMP是TCP/IP网络的网络管理协议,现在已被广大厂商接受,成为一种事实上的标准。随着SNMP的广泛使用,已经从SNMPv1(第1版)发展到SNMPv2(第2版)和SNMPv3(第3版)。,计算机网络实用技术,8.2 简单网络管理协议,SNMP规定了5种协议数据单元(PDU),即SNMP报文,用来在管理进程和代理之间进行交换,其中包

11、括以下几项 : (1)get-request操作:从代理进程处提取一个或多个进程值。 (2)get-next-request操作:从代理进程处提取紧跟当前参数值的下一个参数值。 (3)set-request操作:设置代理进程一个或多个参数值。 (4)get-response操作:返回一个或多个参数值。此操作是由代理进程发出的,是前面3种操作的响应操作。 (5)trap操作:代理进程主动发出的报文,通知管理进程有某些事情发生。,计算机网络实用技术,8.2 简单网络管理协议,前3种操作是由管理进程向代理进程发出的,后两个操作是代理进程向管理进程发出的。SNMP这5种报文的操作如图8-3所示。在代理

12、进程端使用161端口来接收get或set报文,在管理进程端使用162端口来结束trap报文。,图8-3 SNMP的5种报文操作,计算机网络实用技术,8.2 简单网络管理协议,封装成UDP数据报的SNMP报文格式如图8-4所示。从中可以看出,一个SNMP报文共分成3个部分:公共SNMP头部、get/set头部、trap变量和变量绑定。 (1)公共SNMP头部共有3个字段。 版本,写入本字段的值是版本号减1。对于SNMPv1,则应写入0。 共同体,是一个字符串,作为管理进程和代理进程之间的明文口令,通常使用的6个字符是“public”。 PDU类型,可填入04中的一个数字,其对应名称如表8-2所示

13、。,计算机网络实用技术,8.2 简单网络管理协议,图8-3 SNMP的5种报文操作,计算机网络实用技术,8.2 简单网络管理协议,(2)get/set头部共有3个字段。 请求标识符(Request ID),是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文,这些报文都使用UDP传送,先发送的有可能后到达。请求标识符可使管理进程识别返回的响应报文对应于哪一个请求报文。,计算机网络实用技术,8.2 简单网络管理协议,图8-4 SNMP报文格式,计算机网络实用技术,8.2 简单网络管理协议,(2)get/set头部共

14、有3个字段。 差错状态(Error Status),由代理进程应答时填写05中的一个数,如表8-3所示。,表8-3 差错状态描述,计算机网络实用技术,8.2 简单网络管理协议,(2)get/set头部共有3个字段。 差错索引(Error Index),当出现noSuchName、badValue或readOnly差错时,由代理进程在应答时设置一个整数,指明有差错的变量在变量列表中的偏移。,计算机网络实用技术,8.2 简单网络管理协议,(3)trap头部有以下几项。 企业(Enterprise),填入trap报文的网络设备的对象标识符。此对象标识符在如图8-2所示的对象命名树上的enterpri

15、se节点下面的一棵子树上。 trap类型,此字段的名称是generic-trap,共分为7种类型,如表8-4所示。当使用上述类型2、3和5时,在报文后面变量部分的第一个变量应标识响应的接口。 特定代码(Specific-Code),如果trap类型为6,指明代理自定义的时间,否则为0。 变量绑定(Variable-Bindings),指明一个或多个变量的名和对应的值。在get和get-next报文中,变量的值应忽略。,计算机网络实用技术,8.2 简单网络管理协议,(3)trap头部有以下几项。,表8-4 trap的7种类型,计算机网络实用技术,8.3 常用网络安全技术,8.3.1 防火墙技术

16、当用户与Internet连接时,可在用户与Internet之间插入一个或几个中间系统的控制关联,防止通过网络进行攻击,并提供单一的安全和审计控制点,这些中间系统就是防火墙。 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流,而且本身具有较强的抗攻击能力。,计算机网络实用技术,8.3 常用网络安全技术,在逻辑上,防火墙是一个分离器,有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙技术是一种获取安全性的方法,有助于实施一个比较广泛的安全性策略,用以确定允许提供的访问和服务

17、。 防火墙可以是路由器,也可以是个人主机、主系统或多个主系统,专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关,如Internet连接的网关,也可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。,计算机网络实用技术,8.3 常用网络安全技术,1防火墙的类型 防火墙从原理上可分为包过滤(Packet Filtering)型和代理服务(Proxy Server)型。 (1)包过滤型防火墙根据数据分组中头部的某些标志性的字段对数据分组进行过滤。当数据分组到达防火墙时,防火墙根据分组头部对源地址、目的地址、协议类型、端口号、ICMP类型等

18、进行判断,决定是否接收该数据分组。 通过设置包过滤规则,可以阻塞来自或发送到特定地址的连接;从安全方面考虑,某组织的内部网可能需要阻塞所有来自外部站点的连接。但是包过滤防火墙的弱点在于其规则的复杂性,同时过于复杂的规则不容易进行测试。,计算机网络实用技术,8.3 常用网络安全技术,1防火墙的类型 (2)代理服务器型防火墙可以解决包过滤防火墙的规则复杂问题。 所谓代理服务,是指在防火墙上运行某种软件或程序。如果内部网需要与外部网通信,首先要建立与防火墙上代理程序的连接,然后把内部网的请求通过新连接发送到外部网相应的主机,反之亦然。内部网和外部网之间不能建立直接连接,而要通过代理服务进行转发。 一

19、个代理程序一般只能为某种协议提供代理服务,其他所有协议的数据分组都不能通过代理服务程序,这样就相当于进行了一次过滤,代理程序还有自己的配置文件,其中对数据分组的一些特征进行了过滤,这种过滤能力比纯粹的包过滤防火墙的功能要大得多。,计算机网络实用技术,8.3 常用网络安全技术,1防火墙的类型 (2)代理服务器型防火墙可以解决包过滤防火墙的规则复杂问题。 包过滤和代理服务防火墙结合使用可以有效地解决规则复杂问题。包过滤防火墙只需要让那些来自或发送到代理服务器的分组通过,其他分组简单丢弃。其他过滤由代理服务防火墙来完成。,计算机网络实用技术,8.3 常用网络安全技术,2防火墙的体系结构 (1)双穴网

20、关。它是包过滤防火墙的一种替代。与普通的包过滤防火墙一样,双穴网关也位于Internet与内部网之间,并通过两个网络接口分别与它们相连。但是,只有特定类型的协议才能被代理服务处理。于是,双穴网关实现了“默认拒绝”策略,可以得到很高的安全性。,计算机网络实用技术,8.3 常用网络安全技术,2防火墙的体系结构 (2)屏蔽主机型防火墙。这种防火墙其实是包过滤和代理服务功能的结合,其中代理服务器位于包过滤网关靠近内部网的一侧。代理服务器只安装一个网络接口,通过代理功能把一些服务传送到主机内部,通过包过滤功能把那些天生危险的协议过滤掉,不让其到达代理服务器。屏蔽主机型防火墙如图8-5所示。,计算机网络实

21、用技术,8.3 常用网络安全技术,2防火墙的体系结构,图8-5 屏蔽主机型防火墙,计算机网络实用技术,8.3 常用网络安全技术,2防火墙的体系结构 (3)屏蔽子网型防火墙。它是双穴网关和屏蔽主机型防火墙的变形。如图8-6所示,该系统中使用包过滤防火墙在内部网络和Internet之间隔离出一个屏蔽的子网,通常称为“非军事区(DMZ)”。代理服务器、邮件服务器、各种信息服务器、Modem池及其他需要进行访问控制的系统都放在DMZ区中。 与Internet连接的是“外部路由器”,只让与DMZ中的各服务器相关的数据分组通过,其他所有类型的数据分组都被丢弃,从而将Internet对DMZ的访问权限限定在

22、特定的服务器范围内。内部路由器的情况也是这样。,计算机网络实用技术,8.3 常用网络安全技术,2防火墙的体系结构,图8-6 屏蔽子网型防火墙,计算机网络实用技术,8.3 常用网络安全技术,8.3.2 VPN技术 虚拟专用网(VPN)是指在公用网络上建立专用网络的技术。使用该技术建立的虚拟网络在安全、管理及功能方面拥有与专用网络相似的特点,是原有专线式企业专用广域网的替代品。,计算机网络实用技术,8.3 常用网络安全技术,1VPN提供的功能 (1)数据加密,保证在公用网上传输信息不会被截取或识破。 (2)信息认证和身份认证,保证信息的完整、合法,并能鉴别用户的身份。 (3)提供访问控制,保证不同

23、用户有不同访问权限。,计算机网络实用技术,8.3 常用网络安全技术,2VPN的分类 (1)内部网VPN,在公司总部和它的分支机构间建立VPN。这是通过公用网将一个组织的各分支机构通过VPN连接而成的网络,是公司网络的扩展。当一个数据传输通道的两个端点认为是可信的时候,公司可以选择“内部网VPN”解决方案,其安全性主要在于加强加密和认证方法,如图8-7所示。大量数据经常需要通过VPN在局域网之间传递,可以把中心数据库或其他资源连接起来的各个局域网看成是内部网的一部分。,计算机网络实用技术,8.3 常用网络安全技术,2VPN的分类,图8-7 内部网VPN,计算机网络实用技术,8.3 常用网络安全技

24、术,2VPN的分类 (2)远程访问VPN,公司职员在外地或旅途中要和公司总部之间建立的VPN。如果一个职员在家里或旅途中要和公司的内部网建立一个安全连接,可以用“远程访问VPN”来实现,如图8-8所示。这个职员通过拨号连接ISP的网络访问服务器(Network Access Server,NAS),发出PPP连接请求,NAS收到请求后,在职员与NAS之间建立PPP链路。然后NAS对职员的身份进行验证,确定为合法用户后,启动远程访问的功能,与公司总部内部连接。,计算机网络实用技术,8.3 常用网络安全技术,2VPN的分类,图8-8 远程访问VPN,计算机网络实用技术,8.3 常用网络安全技术,2

25、VPN的分类 (3)外部网VPN,在公司和商业伙伴、顾客等之间建立的VPN。外部网VPN为公司和商业伙伴提供安全性,如图8-9所示。它应能保证包括使用TCP和UDP协议的各种应用服务的安全,如E-mail、HTTP、FTP和数据库的安全。因为不同公司的网络环境是不同的,一个可行的外部网VPN方案应能适用于各种操作平台、协议、认证方案和加密算法等。 外部VPN应是一个由加密、认证和访问控制功能组成的集成系统。通常公司将VPN服务放在用于隔离内外部网的防火墙上,防火墙阻止所有来历不明的信息传输。所有经过过滤后的数据通过唯一的一个入口传到VPN服务器,VPN服务器再根据安全策略来进一步过滤。,计算机

26、网络实用技术,8.3 常用网络安全技术,2VPN的分类,图8-9 外部网VPN,计算机网络实用技术,8.3 常用网络安全技术,3VPN的工作原理 要实现VPN连接,就必须要在公司的网络中搭建一台VPN服务器。这台服务器一边与公司内部网相连,另一边与Internet相连,即VPN服务器必须拥有一个公用的IP地址。当Internet上的客户机通过VPN连接与专用网络中的计算机通信时,先由ISP将所有的数据传送到VPN服务,然后由VPN服务器负责将所有的数据传送到目标计算机,如图8-10所示。,计算机网络实用技术,8.3 常用网络安全技术,3VPN的工作原理,图8-10 VPN连接,计算机网络实用技

27、术,8.3 常用网络安全技术,3VPN的工作原理 VPN使用3个技术保障通信的安全,即隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN根据用户数据库检查响应,如果账户有效,VPN服务器将检查该用户是否有远程访问权限,如果该用户拥有远程访问权限,VPN服务器接收此连接。在身份验证过程中产生的客户机与服务器共享密钥用来对数据进行加密。,计算机网络实用技术,8.3 常用网络安全技术,4VPN关键技术 (1)安全隧道技术(Secure Tunneling Technology) (2)用户认证技术(

28、User Authentication Technology) (3)访问控制技术(Access Control Technology),计算机网络实用技术,8.3 常用网络安全技术,8.3.3 IPSec技术 1IPSec的基本原理 IPSec的基本原理类似于包过滤防火墙,如图8-11所示,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据分组时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据分组进行处理,处理的工作包括转发和丢弃。,计算机网络实用技术,8.3 常用网络安全技术,1IPSec的基本原理,图8-

29、11 IPSec工作原理,计算机网络实用技术,8.3 常用网络安全技术,1IPSec的基本原理 IPSec通过查询安全策略数据库(Security Policy Database,SPD)决定对接收到的IP数据分组的处理。IPSec不同于包过滤防火墙的是,对IP数据分组的处理方法除了丢弃和直接转发外,还有IPSec处理。这个新增的处理方法提供了比包过滤防火墙更进一步的网络安全性。,计算机网络实用技术,8.3 常用网络安全技术,1IPSec的基本原理 进行IPSec处理意味着对IP数据分组进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据分组的通过,可以拒绝来自某个外部站点IP数据

30、分组访问内部某些站点,也可以拒绝某个内部站点对某些外部站点的访问。但是包过滤防火墙不能保证来自内部网络发送出去的数据分组不被截取,也不能保证进入内部网络的数据分组不被修改。只有在对IP数据分组实施了加密认证后,才能保证在外部网络传输的数据分组的机密性、完整性和真实性,通过Internet进行安全的通信才能成为可能。,计算机网络实用技术,8.3 常用网络安全技术,1IPSec的基本原理 IPSec既可以只对IP数据分组进行加密或只进行认证,也可以同时实施两者。无论是进行加密还是进行认证,IPSec都有两种工作模式,一种是隧道模式,另一种是传输模式。验证头(Authentication Heade

31、r,AH)和封装安全载荷(Encapsulating Security Payload,ESP)均可应用在这两种方式上。传输方式通常应用于主机之间端对端通信,该方式要求主机支持IPSec。隧道方式应用于网关模式中,即在主机的网关上(路由器、防火墙)加载IPSec,该网关同时升级为安全网关(Security Gateway,SG)。,计算机网络实用技术,8.3 常用网络安全技术,1IPSec的基本原理 (1)在隧道模式下,整个IP分组都封装在一个新的IP分组中,并在新的IP分组头部和原来的IP分组头部之间插入IPSec头(AH/ESP),其结构如图8-12所示。 在隧道模式下,如果应用了ESP,

32、原始IP分组头部是加密的,真正的源、目的IP地址是隐藏的,新IP头中制定的源、目的IP地址一般是源、目的安全网关的地址。,计算机网络实用技术,8.3 常用网络安全技术,1IPSec的基本原理,图8-12 隧道模式分组头部结构,计算机网络实用技术,8.3 常用网络安全技术,1IPSec的基本原理 (2)传输方式,主要为上层协议提供保护。AH和ESP分组头部插入到IP分组头部和传输层协议分组头部之间,如图8-13所示。在传输模式下ESP并没有对IP分组头部加密处理。源、目的IP地址内容是可见的,而AH认证的是整个IP头部,完整性保护强于ESP。,计算机网络实用技术,8.3 常用网络安全技术,1IP

33、Sec的基本原理,图8-13 传输模式分组结构,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现 IPSec协议文档中提供了3种具体的实现方案,将IPSec在主机、安全网关或两者中同时实施和部署。无论使用哪种模式实现,对于上层协议和应用层都是透明的。 与操作系统集成实施,把IPSec当作网络层的一部分来实现。这种方式需要访问IP源码、利用IP层的服务来构建IP报头 BITS方式,利用堆栈中的块(Bump-In-The-Stack,BITS)实现。修改通信协议栈,把IPSec插入IP协议栈和链路层之间。这种方式不需要处理IP源代码,适用于对原有系统的升级改造,通常用在主机方式中。

34、,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现 BITW方式,利用线缆中的块(Bump-In-The-Wire,BITW)实现。把IPSec作为一个插件,在一个直接接入路由器或主机的设备中实现。当用于支持一台主机时,与BITS实现非常相似,但在支持路由器或主机的设备中实现。当用于支持一台主机时,与BITS实现非常相似,但在支持路由器或防火墙时,必须起到一个安全网关的作用。,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现 (1)IPSec的体系结构,IETF的IPSec工作组定义了12个RFC,IPSec是一系列规范的集合,由安全联盟(Security As

35、sociation,SA),安全协议包括认证头、封装安全载荷、密钥管理以及认证和加密算法构成一个完整的安全体系,如图8-14所示。,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现,图8-14 IPSec体系结构,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现 (2)安全联盟,是IPSec的基础,决定通信中采用的IPSec安全协议、散列方式、加密算法和密钥等安全参数,通常用一个三元组(安全参数索引、目的IP地址、安全协议)唯一表示。SA总是成对出现的,对等存在于通信实体的两端,是通信双方协商的结果。SA存放在安全联盟数据库(Security Associati

36、on Database,SAD)中。另外,IPSec还维护一个安全策略数据库(Security Policy Database,SPD)。每个应用IPSec的网络接口都有SAD和SPD各一对,协同处理进出的IP分组。一条SAD数据库记录对应一个SA。每条SPD记录描述了一种安全策略,指定了数据分组处理动作。发送数据时,根据目的IP地址等参数先从SPD中得到相应的策略记录,当记录的动作为“应用”时,根据记录中的SA指针从SAD中取得对应的SA,如果不存在,需要调用IKE(Internet Key Exchange,密钥交换)创建一个新的SA,并插入到SAD中。再利用SA指定的安全协议和认证加密算

37、法对分组进行安全处理后发送到目的IP。接收端收到数据后通过报文中的SPI等参数找到SA,检查是否是重传数据,如果不是则应用SA中指定的协议和算法对数据进行解密和验证。SPD对于同一IP地址可能有多条记录,这些记录可能是相互冲突的,因此它必须是排序的,查找时也必须按顺序查询,实际只应用找到的第一条策略记录。,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现 (3)认证头,支持数据的完整性和IP分组的验证,数据完整性的特征可以保证再传输中不可能发生未检测的修改。身份验证功能使末端系统或网络设备可以验证用户或应用程序,并根据需要过滤通信量。它还可以防止在Internet上的地址欺骗攻

38、击。此外,AH还能阻止在该区域的重复攻击。AH插入到IP分组头部和传输层分组头部中,如图8-15所示。 其中,下一个报头字段(8b)标识紧跟报头类型。有效载荷属性字段(8b)指明整个AH的长度。SPI字段(32b)是一个随机值,与外部目的IP地址一起,用于指定SA。系列号字段(32b)标明当前IP分组在整个数据分组系列中的位置,整个字段是强制的,它提供了抗重播功能,在SA创建时初始化为0,然后依次递增,达到232时则重新创建SA。即使某个特定的SA不要求抗重播功能。在发送端仍必须填写,只在接收端不进行重播检查。AH的最后一个字段认证数据是可变长的,但必须双字对齐,其默认长度为96b,为分组的完

39、整性验证值(Integrality Check Value,ICK),是SA指定的单向散列算法、对称加密算法和密钥计算出来的身份验证码的删节。,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现,图8-15 AH格式,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现 (4)封装安全载荷,AH不提供任何保密性服务,保密性服务由ESP提供,包括消息内容的保密性和有限的通信量的保密性。作为可选的功能,ESP也可以提供AH的验证服务。保密服务通过使用密码算法加密IP数据分组的相关部分来实现,密码算法使用对称密码体制,如三重DES、IDEA、RC5、CAST等。ESP的基本

40、思路是对整个IP数据分组或传输层数据进行封装,并对ESP数据的绝大部分进行加密,如图8-16所示。 在ESP中,有的加密算法要求明文是某些字节的整数倍。所以ESP比AH多了一个长度为0255B的填充字段。这个字段也用于保证密文的双字对齐,同时它还隐藏了有效载荷的真正长度,从而为传输流量提供了一定的机密保护,但这个字段也增加了传输量。,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现,图8-16 ESP分组头部格式,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现 (5)密钥交换,是一种混合型协议,沿用了ISAKMP(Internet Security Assoc

41、iation and Key Management Protocol)的框架、Oakley的模式以及SKEME(Secure Key Exchange Mechanism)的共享和密钥更新技术,组合成自己的验证加密材料生成技术和协商共享策略。IKE使用了ISAKMP两阶段协商机制。在第一阶段,通信各方彼此间建立一个已通过身份验证和安全保护的通道,即ISAKMP SA。在第二阶段,利用第一阶段创建的SA,为IPSec协商具体的SA。第一阶段,IKE采用“主模式(Main Mode)”交换提供身份保护。而在“野蛮模式(Aggressive Mode)”下答应次数相对较少,而且如果采用公开密钥加密算

42、法,“野蛮模式”也可以提供身份保护。一个第一阶段可以创建多个第二阶段。一个第二阶段可以创建多个SA。应用这种优化机制,每个SA建立过程至少减少一次交换和一次DH(Diffie Hellman)求幂操作。ISAKMP是框架性的,IPSec解释域(Domain of Interpretation,DI)对其进行了实例化处理,定义了标志的命名、载荷的解释等。IKE也是目前ISAKMP的唯一实例。,计算机网络实用技术,8.3 常用网络安全技术,2IPSec的实现 (6)加密和认证算法,高强度的加密和认证算法是IPSec实现安全性能的基础。IPSec规定可以使用各种加密算法,由通信双方事先协商,但所有I

43、PSec实现都必须支持DES。由于DES强度不够,而不对称算法效率往往又低,3DES和AES等低开销高强度算法成为IPSec实现的趋势。IPSec用HMAC作为认证散列算法,用于计算机AH和ESP的完整性校验值(Integrity Check Value,ICV)。通信双方运用相同的算法和密钥对数据内容进行散列,结果一致则认为数据分组是可信的。只要双方协商好,散列算法也可以是任意的,IPSec中定义了HMAC-SHA-1(Secure Hash Algorithm Version 1)和HMAC-MD5(Message Digest Version 5)作为默认算法。,计算机网络实用技术,8.

44、3 常用网络安全技术,2IPSec的实现 IPSec定义了一套用于认证、保护机密性和完整性的标准协议。它为上层协议提供了一个透明的端到端安全通道,其实现与应用不需要修改应用程序或者上层协议。它支持一系列加密和散列算法,具有较好的扩展性和互操作性。但IPSec也存在一些缺点,如客户/服务器模式下实现需要公钥来完成。IPSec需要已知范围的IP地址,因此在动态分配IP地址时不太适合于IPSec。,计算机网络实用技术,8.4 学 习 指 导,8.4.1 知识要点 (1)掌握网络管理的目标、任务和功能。 (2)掌握SNMP,其中包括SNMP的模型、SNMP协议。 (3)掌握防火墙的类型及体系结构。 (

45、4)掌握VPN的功能、分类、原理和关键技术。,计算机网络实用技术,8.4 学 习 指 导,8.4.2 例题精讲 1网络管理的主要功能是什么? 解析: (1)配置管理,定义、识别、初始化、控制和监测被管对象功能的集合,包括以下几项。 定义被管对象,给每个被管对象分配名字。 定义用户组。 删除不需要的被管对象。 设置被管对象的初始值。 处理被管对象间的关系。,计算机网络实用技术,8.4 学 习 指 导,1网络管理的主要功能是什么? 解析: (2)故障管理,实时监控网络中的故障,对故障原因做出论断,对故障进行排除,保证网络的正常运行,包括以下几项。 检测被管对象的差错,或接受差错报告。 创建和维护差

46、错日志库,并对其进行分析。 进行诊断,以跟踪和识别差错。 通过恢复措施,恢复正确的网络服务。 网络实时备份。,计算机网络实用技术,8.4 学 习 指 导,1网络管理的主要功能是什么? 解析: (3)计费管理,记录用户使用网络的情况并核收费用,包括以下几项。 易于更新且费率可变。 允许使用信用记账收费。 能根据用户组的不同进行不同的收费。 收费依据为“进程”或“服务”。,计算机网络实用技术,8.4 学 习 指 导,1网络管理的主要功能是什么? 解析: (4)安全管理,保证网络不被非法使用,包括以下几项。 与安全措施相关的信息分发。 与安全相关的事件通知。 与安全相关的设施建设、控制和删除; 涉及

47、安全服务的网络操作事件的记录、维护和查阅等日志管理工作。,计算机网络实用技术,8.4 学 习 指 导,1网络管理的主要功能是什么? 解析: (5)性能管理,保证在最小网络消耗和网络时延下,提供最大的可靠且连续的通信能力,包括以下几项。 从被管对象中收集与网络性能有关的数据。 对收集到的数据进行统计分析,并对历史记录进行维护。 分析数据,以检测性能故障,生成报告。 预测网络的长期趋势。 改进网络的操作模式。,计算机网络实用技术,8.4 学 习 指 导,2包过滤防火墙的原理是什么? 解析:包过滤型防火墙根据数据分组头部中的某些标志性的字段对数据分组进行过滤。当数据分组到达防火墙时,防火墙根据分组头

48、部对源地址、目的地址、协议类型、端口号、ICMP类型等进行判断,决定是否接收该数据分组。 通过设置包过滤规则,可以阻塞来自或发送到特定地址的连接。从安全方面考虑,某组织的内部网可能需要阻塞所有来自外部站点的连接,但是包过滤防火墙的弱点在于其规则的复杂性,同时过于复杂的规则不容易进行测试。,计算机网络实用技术,8.4 学 习 指 导,8.4.3 习题 选择题 1网络安全涉及的内容主要包括( )。 外部环境安全 网络连接安全 操作系统安全 应用系统安全 A B C D 2网络管理涉及的方面包括( )。 网络设计 网络维护 网络处理 网络服务提供 A B C D ,计算机网络实用技术,8.4 学 习 指 导,选择题 3网络上的“黑客”是指( )。 A总是晚上上网的人 B匿名上网的人 C不花钱上网的人 D在网上私闯他人计算机系统的人 4防火墙的作用包括( )。 限制局域网内部用户对外网的访问 限制外网用户对内部局域网的访问 限制内部用户的操作权限 有效防止病毒入侵 A B C D ,计算机网络实用技术,8.4 学 习 指 导,选择题 5防火墙实现( )。 A只能通过软件实现 B只能通过硬件实现 C既可以通过软件,又可以通过硬件实现,还可以通过两者结合来实现 D必须通过软件与硬件结合来实现 6网络管理协议是代理和网络管理软件交换信息的方式,下列( )属于网络管理协议。 ATCP/IP

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1