【文档说明】计算机网络应用技术课件.ppt，共(42)页，3.364 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77095.html

以下为本文档部分文字说明：

计算机网络应用技术课件11.1网络管理•网络管理就是对网络的监视和控制，保障网络的高效运行，并以获得的数据为依据进行相关的增值服务现代网络管理•手工管理：效率低•现代管理：规模增大，需要由人、机共同构成的智能系统11.1.1网络

管理－5个基本功能•ISO定义了5个最基本的功能：故障管理、配置管理、安全管理、性能管理和计费管理1）故障管理：发现问题，分离问题，修复问题2）配置管理：获得关于当前网络配置；提供远程修改设备配置的手段；存储数据、维护一个最新的设备清单并根据数据产生报告3）安全管理：控制对计算机网络中的信息的访问

（保密性，完整性，可用性）4）性能管理：性能测量（流量，用户等，性能分析，性能管理5）计费管理：跟踪每个个人和团体用户对网络资源的使用情况实际网络管理系统只会侧重其中的某些功能11.1.2网络管理系统的5个组成部分•网络管理参考模型：管理者－代理管理者：发出管理

命令，接收来自代理的信息代理：管理设备中的软件。1）根据命令完成对被管设备的管理操作2）接受管理者的查询3）将自身系统中发生的特定事件主动通知管理者SNMP管理模型11.1.3SNMP网络管理协议SNMP:simplenetworkmanagem

entprotocol简单网络管理协议。是管理进程和代理进程之间的通信协议。一般在传输层采用UDP协议。SNMP为应用层协议SNMP协议•SMMP操作：get,（从代理进程处提取参数）get-next,set（设置代理进程的参数）是管理进程向代理进程发出的，get-respons

e,trap是代理进程发给管理进程的。（表11.1）11.1.4SNMP工作原理（1）•网管工作站从被管理设备收集数据，采用三种方法：轮询，中断，面向自陷的轮询•轮询：可以查到每台设备信息，但实时性比较差•中断：出现异常事件，通知工作站。但没法收集所有设

备信息。但产生中断需要系统资源SNMP工作原理（2）•面向自陷轮询的方法：轮询＋中断11.2网络安全•定义：指网络系统的硬件、软件及其系统中的数据受到保护，不由偶然的或者恶意的原因遭到破坏，更改，泄露，系统连续可靠地运行，网络服

务不中断。黑客攻击的方法网络安全的需求•保密性：将明文变密文（密码学）•可用性：资源，服务不会被破坏•完整性：资源不要被篡改•可控性：资源在可控范围系统的安全和灵活性会相互制约网络安全措施（安全策略与流程）•使网络安全的第一步是设计和执行一个安全方针。政策包括：总体策略和具体规则。总体策略是

确认安全目标，制定一个组织机构的战略性安全指导方针，并由专人制定出安全计划和基本框架结构•安全政策的目标：1）确保授权用户可以适当访问所需资源2）防止未授权用户访问网络、系统、程序或数据3）保护敏感数据免受来自于组织内外的未授权访问4）防止对硬件或软件的偶然性或故意性破坏5

）创建一种环境，使得网络和系统能够迅速从各类危险中恢复6）向每个雇员传达其维护数据完整性的责任系统相关的安全策略的制定1）网络用户的安全责任：改口令，执行检查，凡是要求用户做到的，都需要明确定义。并对用户作相关的说明2）系统管理员的安装责任：

监测网络，记录等•正确利用网络资源：规定什么可以做，什么不可以使用•监测到安全问题时的对策：应规定什么问题应该如何解决网络安全需要依靠严格的安全管理、法律约束和安全教育例：物理安全•物理访问的限制是网络安全中一个重要的环节比如：佩戴标识符，这些标识符编入程序后，允许访问

某些房间常用的网络安全措施（技术措施）•数据加密，身份认证，数字签名，防火墙，入侵检测，安全监控，网络扫描，网络防毒等11.2.2防火墙•防火墙：隔离本地网络与外部网络之间的一道防御系统•作用：可以隔离风险区域（Internet或有一

定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问•局限性：只能防止外部风险，无法防范内部攻击防火墙功能防火墙安装方式•防火墙将整个网络分为3个区域：可信区，DMZ，不可信区防火墙分类-包过滤防火墙•包过滤防火墙主要作用于网络层和传输层，根据包头源地址、目

的地址和端口号，协议类型判断是否允许数据包通过，满足条件的转发，否则丢弃一般在路由器上进行包过滤优点：实现简单，对用户透明，效率高缺点：正确的制定规则不容易，不能引入认证机制防火墙分类-状态检测防火墙•状态检测防火墙包过滤防火墙的升级版，功能向前兼容－状态检测防火墙有包过滤的

功能两种方式的比较1）包过滤防火墙：检查每个进来的数据包2）状态检测防火墙：只有数据包中有相应的状态信息，才与状态检测表比较，提高了系统的性能例如：一个SYN包建立了一个会话，防火墙先将这个数据包和规则库比较，如果通过了这个数据连接请求，它就被添加到状态检测表

中。防火墙分类-应用代理防火墙•应用代理防火墙（应用层网关）运行于应用层，完全阻隔网络通信流。对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用数据出去时，不用源的IP，而是代理主机使自己用

的IP重新封装，防止外部世界发现内部网络的地址防火墙总结•防火墙应工作在网络层以上，层次越低，安全性越差，兼容性越好，系统开销越小（包过滤）•层次越高，安全性越好，系统开销越大（应用层网关）11.2.3入

侵检测IDS(intrusiondetectionsystem)•防火墙是被动防御（静态防御技术），入侵检测是主动防御.针对新的攻击作出主动地积极的响应•入侵检测：一种硬件或者软件系统，该系统对系统资源的

非授权使用能够作出及时的判断、记录和报警•入侵检测三个基本步骤：收集信息，数据分析，响应•入侵检测系统是防火墙之后的第二道安全闸门（智能摄像头）入侵检测系统11.2.4信息安全的核心－密码技术•密码学：研究信息系统安全保

密的科学•密码编码学：主要研究对信息进行编码，实现对信息的隐蔽•密码分析学：主要研究加密消息的破译或消息的伪造早期的密码机对称加密算法•加密密钥和解密密钥相同，安全性依赖于密钥。加密前的消息称为明文，加密后的消息称为密文•例如：凯撒密码（最简

单的）非对称加密算法•非对称密钥：是指一对加密密钥与解密密钥，这两个密钥是数学相关，用某用户密钥加密后所得的信息，只能用该用户的解密密钥才能解密。•特点：如果知道了其中一个，并不能计算出另外一个。因此如果公开了一对密钥中的一个，并不会危害到另外一个的秘密

性质。•公开的密钥为公钥；不公开的密钥为私钥。不用共享密钥数字签名•目的：防抵赖，防篡改•方法：发信人用自己的私钥对所发的信息进行加密，接受信息者用发行者的公钥解密，保证了信息的真实性、完整性和不可否认性•问题：发的信息量大，为保证安全，私钥通常保存在usbkey或IC卡中，加密运

算也在卡里进行，IC卡的处理器能力一般较弱，加密事件会很长，效率低•解决办法：哈希函数(得到的是消息的摘要）•数字签名：发送方使用哈希算法求出待发信息的数字摘要，用私钥对数字摘要进行加密，形成的一段信息称为数字签名数字签名发送方：数字签名附在待发信息后，发送接受端：用发者公钥对数字签名

解密，得到摘要H1将收到的信息本身要哈希算法求得另一个只要H2，对比两者是否相同11.2.5网络安全隔离技术与方法•安全隔离的目的：确保将有害攻击隔离。•隔离技术：完全隔离，硬件卡隔离，数据传播隔离，空气开关隔离和安全通道

隔离1）完全隔离：信息孤立2）硬件卡隔离：安装在主板和硬盘之间，任何状态下两块硬盘不存在数据共享，确保两个网络环境实现完全物理隔离（双网结构布线）网络安全隔离技术与方法•数据传播隔离：利用分时复制文件隔离，不支持常见的网络应用•空气开关隔离：单刀双掷开关，内外网分

时访问临时缓存器•安全通道隔离：网闸，由两个主机系统和一个隔离交换矩阵组成，内外网通过网闸进行连接，同一时刻只与一个网络连接，保持物理的分离，实现数据的摆渡。在网闸上启用安全通道，设置数据进出控制安全策略安全通道隔离－网闸11.3网络故障诊断•故障：硬件故障，网络故障•排除方法（网络故障）：利用

常见的windows网络命令来进行诊断和维护•常用的命令：pingtracertnetstatipconfigARP•解决网络故障第一步：判断网络故障的位置Ping命令•功能：主要测试连通性。若连通可以排除网络访问层、网卡、输入输出线路、电缆、路由器等存在故障•默认ping是

发送4个ICMP报文，每个请求32直接数据，正常收到4个回应报文。以毫秒显示发送请求到收到应答的时间。如果时间短，表示中间经过的路由少或网络连接速度快。Ping命令•Ping命令还能显示存在时间TTL，TTL是IP

包的参数，一般设置为每经过一个路由器，TTL值减1，当减到0，还没有到达目的地，网络设备会直接将其抛弃•不同操作系统的TTL值不同。Linux:64或255，UNIX:255,windowsNT/XP/2000:128•Ping命令的结果：1)Relayfrom..bytet

imettl2)Requesttimedout:表示因为某种原因没有返回ping命令的应答(对方关机、中间线路不通，企业防火墙等）3)Destinationhostunreachable:信息没能发到对方，大多是发送方的问题（线路断掉，IP设置不正确）Ping/?可以查到其它的命令Tra

cert命令•用来探测网络故障的具体位置•采用发送不同TTL值的ICMP数据包到目标网络，以此知道到达目标网络所经过的路由Ipconfig命令•通常用于显示计算机中适配器的IP地址，子网掩码和默认网关•Ipconfig/all：显示本地网卡的信息•Ipconfig/rele

ase:将租用的IP地址重新交付DHCP服务器•Ipconfig/renew:重新向DHCP服务器租用IP地址•Ipconfig/flushdns:清除本地DNS缓存•Ipconfig/displaydns:显示本地DNS内容Netstat命令•网络状态查询命令Ne

tstat-a显示所有与主机建立连接及正在监听的端口信息Netstat–n以数字格式显示地址和端口信息Netstat–r显示路由表信息操作系统的自动恢复程序•清除ARP缓存、清除DNS缓存等•网上邻居－属性－本地连接－右击修复命令