【文档说明】计算机网络课件第9章-网络管理与信息安全-.ppt，共(33)页，138.512 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77003.html

以下为本文档部分文字说明：

计算机网络ComputerNetwork2022年12月1日2/33计算机网络--刘桂江课程目录第1章概述第2章物理层与数据通信基础第3章数据链路层第4章局域网第5章网络层第6章网络互联技术第7章传输层第8章应用层第9章网络管理与信息安全第10章网络新技术专题3/33计算机网络--刘桂江

9.1网络管理基础9.2网络信息安全概述9.3数据加密算法9.4常用网络安全技术举例第9章网络管理与信息安全4/33计算机网络--刘桂江9.1网络管理基础9.1.1网络管理的功能9.1.2简单网络管理协议SNMP5/33计算机网络--

刘桂江ISO在网络管理的标准中定义了网络管理的五个功能域:1、配置管理：管理所有的网络设备，含各设备参数的配置与设备帐目的管理；2、故障管理：找出故障的位置并进行恢复；9.1.1网络管理的功能(1/2)6

/33计算机网络--刘桂江3、性能管理：统计网络的使用状况，根据网络的使用情况进行扩充，确定设备的规划；4、安全管理：限制非法用户窃取或修改网络中的重要数据等；5、计费管理：记录用户使用网络资源的数量，调整用户使用网络资源的配额大小和记帐收费。9.1.1网络管理的功能(2/2

)7/33计算机网络--刘桂江SNMP的设计思想（十分简单）：它通过SNMP的PDU(协议数据单元)来与被管理的对象交换信息，这些对象有对象所特有的属性和值。SNMP共有五种PDU其中两个用来读取数据，两个用来设置数据，

还有一个用来监视网络上发生的事件，如网络故障报警信息等等9.1.2简单网络管理协议SNMP(1/7)8/33计算机网络--刘桂江优点最大优点是它的简单性，容易设立、容易编程，而且对网络不会造成很大压力当前已经被广泛使用可扩充性缺点安全性：为网络黑客的入侵提供了方便之门9.1.2简单网

络管理协议SNMP(2/7)9/33计算机网络--刘桂江SNMP网络管理模型9.1.2简单网络管理协议SNMP(3/7)10/33计算机网络--刘桂江SNMP采用简化的面向对象的方法来实现对网络设施的管理，SNMP管理模型由以下四个部分组成被管对象被管设施可以是一个网桥

、路由器、网络打印机、TCP连接、路由端口状态等等网络管理站网络管理站向网络管理员提供了对网络的管理界面，所有网络管理功能都在网络管理站上得到体现9.1.2简单网络管理协议SNMP(4/7)11/33计算机网络--刘桂江网络管理信息代理是被管对象在

网络管理环境中的数值体现，被管对象的有关信息保留在代理内部，这些信息就是网络管理信息网络管理协议网络管理站通过SNMP协议与代理通信，这个协议使得网络管理站可以获取代理的信息9.1.2简单网络管理

协议SNMP(5/7)12/33计算机网络--刘桂江SNMP协议中的信息用ASN.1来定义，称为SMI（StructureofManagementInformation），SMI由三部分组成：模块定义、对象定义和通知定义。模块定义用来定义网络

管理信息模块，使用MODULE-IDENTITY来定义模块的语法和语义对象定义用来定义被管对象，使用OBJECT-TYPE来定义对象的语法和语义通知定义用来定义网络设施发出的事件信息，用NOTIFICATION-TYPE来定义通知的语法和语义9.1.2简单网络管理协议SNMP(6/7)13/

33计算机网络--刘桂江9.1.2简单网络管理协议SNMP(7/7)到目前为止，已经开发了三个版本的SNMP，它们是SNMPv1、SNMPv2和SNMPv3SNMPv1最初的版本，通过RFC1155、RFC1212、RFC1157三个文档进行定义SNMPv2SN

MPv2在RFC1902到RFC1907中定义，RFC1908定义了SNMPv1和SNMPv2共存及转换等问题SNMPv3SNMPv3由RFC2271到RFC2275定义，描述了SNMPv2中所缺乏（或者讲不完善）的安全和管理方面的问题14/33计算机网络--刘桂江9.2网络信息安全概述

9.2.1网络安全隐患与对策9.2.2病毒与防范15/33计算机网络--刘桂江9.2.1网络安全隐患与对策(1/2)大多数安全问题都是由于某些恶意的人企图获得某种利益而故意制造的。例如窃取机密的、隐私的信息；攻击系统，使系统不能提供正常的服务；对系统进行破坏性攻击，造成系统

崩溃；篡改数据等。网络信息安全主要表现在以下方面：保密性是保证信息只为授权用户使用的特性，防止信息泄露给非授权用户。完整性是防止信息未经授权地擅自被改变的特性。真实可靠性是指系统能够完成规定的功能并确保信息的可靠。不可抵赖性是指建立有效的责任机制，防止用户否

认其行为。可控制性是指授权机构对信息的内容以及传播具有控制能力的特性，可以控制授权范围内信息的流向以及方式。16/33计算机网络--刘桂江9.2.1网络安全隐患与对策(2/2)计算机网络的安全性主要通过隔离技术、

防火墙技术、网络防病毒技术、加密技术、网络管理技术等一系列的手段来实现。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题。技术方面主要侧重于防范外部非法用户的攻击；管理方面则侧重于内部人为因素的管理。17

/33计算机网络--刘桂江恶意程序(1)系统病毒——此类病毒是传统定义的病毒，直接以破坏系统正常工作为目的。(2)计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3)特洛伊木马——木马病毒与系

统病毒的一个重大区别在于木马病毒通常不能自我复制。木马病毒表面上以正常的程序形式存在，继承了与用户相同的、唯一的优先权和存取权。(4)流氓软件或恶意软件——是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其

他终端上安装运行，侵犯用户合法权益的软件。9.2.2病毒与防范(1/2)18/33计算机网络--刘桂江9.2.2病毒与防范(2/2)病毒的防治1.安装杀毒软件及防火墙。2.严格管理制度，养成个人良好的使用计算机系统的习惯。3

.有备无患。备份系统，经常备份数据，把病毒的危害降到最低。19/33计算机网络--刘桂江9.3数据加密算法9.3.1数据加密一般原理9.3.2对称密钥算法9.3.3公开密钥算法20/33计算机网络--刘桂江9.3.1数据加密一般原理数据加密的基本过程密文只能在输入

相应的密钥之后才能显示出本来内容。明文密文某种算法21/33计算机网络--刘桂江9.3.2对称密钥算法对称加密：是一种单钥密码系统，其加密运算、解密运算使用的是同样的密钥，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密码（称

为对称密码）。加密算法解密算法密钥密钥明文密文明文AB22/33计算机网络--刘桂江9.3.3公开密钥算法(1/4)在公钥密码系统中，加密和解密使用的是不同的密钥（又称为非对称密钥），这两个密钥之间存在

着相互依存关系：即用其中任一个密钥加密的信息只能用另一个密钥进行解密。加密密钥和算法是对外公开的，人人都可以通过这个密钥加密文件然后发给收信者，这个加密密钥又称为公钥。收信者收到加密文件后，可以使用他的解密密钥解密

，这个密钥是由他自己私人掌管的，并不需要分发，因此又称为私钥。23/33计算机网络--刘桂江9.3.3公开密钥算法(2/4)解密密钥不能从加密密钥获得，假设明文为P，加密算法为E（包括密钥），解密算法为D（包括密钥），要求满足以下三个条件：D(E(P

))=P从E推导D是极其困难的E不能通过部分明文来解破24/33计算机网络--刘桂江RSA算法选择两个大整数p和q，一般要求大于10100计算n=pq和z=(p-1)(q-1)选择一个与z互素的整数，

记为d计算满足下列条件的e，（ed）modz=19.3.3公开密钥算法(3/4)25/33计算机网络--刘桂江在进行加密时，首先可以把待加密的明文分割成一定大小的块P，这个P可以看成是一个整数，要求0

Pn，我们可以把P的长度设为k，则要求2k<n对P加密就是计算C=Pemodn；解密则为P=Cdmodn。可以证明在指定范围内的P，上述等式成立。为了加密，我们需要e和n，为了解密，我们需要d和n，这样，加密密钥（即公开密钥）为（e，n），解密密钥（即秘密密钥）为（d，n）9.3.

3公开密钥算法(4/4)26/33计算机网络--刘桂江9.4常用网络安全技术举例9.4.1身份鉴别9.4.2数字签名9.4.3数字证书9.4.4防火墙(firewall)9.4.5Web的安全性技术SSL27/33计算机网络--刘桂江9.4.1身份鉴别身份鉴别的过程就是证明某人身份的过程。

身份鉴别系统主要包括用户与服务器间的身份鉴别、服务器与服务器之间的身份鉴别以及用户之间的身份鉴别。其中主要以用户和服务器之间的身份鉴别最为普遍。28/33计算机网络--刘桂江9.4.2数字签名数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行

签名，来代替手工书写签名和印章。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。29/33计算机网络--刘桂江9.4.3数字证书数字

证书就是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式。它是由一个权威机构-----CA(CertificateAuthority，证书授权中心)发行的，人们可以在网上用它来识别对方的身份。数字证书是一

个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息。30/33计算机网络--刘桂江

9.4.4防火墙(1/2)防火墙是由软件、硬件构成的系统，用来在两个网络之间实施接入控制策略。接入控制策略由使用防火墙的单位自行制订。防火墙内的网络称为可信赖的网络，而将外部的因特网称为不可信赖的

网络。防火墙能够允许或阻止出入网络的信息流。它能够有效的监控可信赖的内部网络和不可信赖的外部网络之间的任何活动，从而保证了内部可信赖网络的安全性。内联网可信赖的网络防火墙不可信赖的网络因特网31/33计算机网络

--刘桂江常见的防火墙一般分为三类：1.包过滤防火墙包过滤，就是在网络中适当的位置，依据系统内设置的过滤规则，对数据包实施有选择的通过。2.代理防火墙代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝

应用层通信流的作用。通过对各种应用服务分别设立代理的方法，在应用层对网络攻击进行防范。3.复合型防火墙9.4.4防火墙(2/2)32/33计算机网络--刘桂江9.4.5Web的安全性技术SSL(1/2)SSL又称为安全插口层(SecureSocketLay

er)，可对万维网客户与服务器之间传送的数据进行加密和鉴别。SSL在双方的联络阶段协商将使用的加密算法和密钥，以及客户与服务器之间的身份鉴别。在联络阶段完成之后，所有传送的数据都使用在联络阶段商定的会话密钥。SS

L不仅被所有常用的浏览器和万维网服务器所支持，而且也是传输层安全协议TLS(TransportLayerSecurity)的基础。33/33计算机网络--刘桂江安全插口层SSL的位置应用层安全插口层传输层在发送方，SSL接收应用层的数据（如HTTP或IM

AP报文），对数据进行加密，然后将加了密的数据送往TCP层。在接收方，SSL从TCP层读取数据，解密后将数据交给应用层。9.4.5Web的安全性技术SSL(2/2)