计算机网络应用技术资料.ppt

第7章 网络管理与网络安全 网络管理概述 1. 网络管理的目的 为保证网络系统稳定、高效和可靠运行，对网络的各种软硬件设施和人员进行的综合管理。网络管理主要是要保障网络设备的正常运行、监控网络的各项功能、优化网络的拓扑结构等。 2. 网络管理的要求： 现代网络管理方法和技术 网络管理工具(网管软件) 网络管理协议 3. 网络管理的内容： (1) 数据通信网中的流量控制 (2) 路由选择策略管理 (3) 网络安全保护 (4) 网络的故障诊断与修复 计算机网络安全概述 对计算机网络安全性问题的研究总是围绕着信息系统进行，其主要目标就是要保护计算资源，免受毁坏、替换、盗窃和丢失，而计算资源包括了计算机及网络设备、存储介质、软硬件、信息数据等。 数据加密技术 简单的密码系统示意图 数据加密技术 1.替换密码：这种方法是用一个字母代替另一个字母，用一组字母代替另一组字母。 数据加密技术 数据加密技术 3. 对称密钥密码体制： 也叫传统密钥密码体制，其基本思想就是“加密密钥和解密密钥相同或相近”。 典型的对称密钥密码体制算法是DES算法。 数据加密技术 DES算法的主要过程 数据加密技术 4. 公钥密钥密码体制 加密密钥与解密密钥不同，且由其中一 个不容易得到另一个，则这种密码系统是非对称密钥系统。往往其中一个密钥是公开的，另一个是保密的。因此，相应的密码体制叫公开密钥密码体制。 在公开密钥密码体制中，加密密钥是公开的，解密密钥是保密的，加/解密算法都是公开的。 公开密钥密码体制的主要算法有RSA、背包算法、 Elgamal、Rabin、DH等。 数字签名技术 鉴别 报文鉴别:报文源、报文内容和报文顺序 身份认证 数字签名 常用的安全工具 防火墙 防火墙是在内部网与外部网之间实施安全防范的系统，用于确定哪些内部资源允许外部访问，以及允许哪些内部网用户访问哪些外部资源及服务； 防火墙的优缺点 防火墙的优点 允许网络管理员在网络中定义一个控制点，将内部网络与外部网络隔开； 审查和记录Internet使用情况的最佳点； 设置网络地址翻译器（NAT）的最佳位置； 作为向客户或其他外部伙伴发送信息的中心联系点； 防火墙的局限性 不能防范不经过防火墙产生的攻击； 不能防范由于内部用户不注意所造成的威胁； 不能防止受到病毒感染的软件或文件在网络上传输； 很难防止数据驱动式攻击； 防火墙设计 防火墙的基本准则 “拒绝一切未被允许的东西” “允许一切未被特别拒绝的东西” 机构的安全策略 必须以安全分析、风险评估和商业需要分析为基础； 防火墙的费用 取决于它的复杂程度以及要保护的系统规模； 常用的安全工具 防火墙的基本类型有： 包过滤型 代理服务器型 状态检测防火墙 防火墙的种类 包过滤路由器 可以决定对它所收到的每个数据包的取舍。 逐一审查每份数据包以及它是否与某个包过滤规则相匹配； 过滤规则以IP数据包中的信息为基础： IP源地址、IP目的地址、封装协议（TCP、UDP、ICMP等）、TCP/UDP源端口、TCP/UDP目的端口、ICMP报文类型、包输入接口和包输出接口等。 如果找到一个匹配，且规则允许该数据包通过，则该数据包根据路由表中的信息向前转发； 如果找到一个匹配，且规则拒绝此数据包，则该数据包将被舍弃。 防火墙的种类 代理服务器 代理服务器上安装有特殊用途的特别应用程序，被称为代理服务或代理服务器程序。 使用代理服务后，各种服务不再直接通过防火墙转发，对应用数据的转发取决于代理服务器的配置： 只支持一个应用程序的特定功能，同时拒绝所有其他功能； 支持所有的功能，比如同时支持WWW、FTP、Telnet、SMTP和DNS等。 防火墙的种类 状态检测防火墙 又称动态包过滤防火墙； 在网络层由一个检查引擎截获数据包并抽取出与应用层状态在关的信息，然后决定接受还是拒绝该数据包； 检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被中止。 计算机病毒及其防治 1、计算机病毒的概念 计算机病毒是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。 2、计算机病毒的特点 隐蔽性：不易为操作员发现，寄生在其他文件中 传染性：自我复制能力 触发性：条件控制 破坏性：干挠运行、占用资源、毁掉数据、破坏系统寄生性：侵入系统、侵入文件、混合型 不可预见性：没有任何杀毒软件能将所有的病毒杀除 计算机病毒及其防治 3、计算机病毒的类型 (1)引导区型病毒 (2)文件型病毒 (3)混合型病毒 (4)宏病毒 计算机病毒及其防治 4、计算机病毒的主要症状 机器不能正常启动 运行速度降低 磁盘空