考点1:网络管理及管理协议
1.网络管理
(1)网络管理的概念
网络提供
通过提供新的服务类型增加网络服务,或通过增加网络设备 提高网络性能
网络维护
通过网络性能监控、故障诊断与报警、故障隔离与恢复等手 段,保证网络可靠与连续地运行
网络管理(处理)
通过收集与分析网络通信量、设备利用率等数据,以优化网络资源的使用效率
狭义 : 指用于运营、管理与维护一个网络,以及提供网络服务与信息处理所必需的各种活 动的总称
◼ 国际标准化组织(ISO)定义的网管模型包括4个部分:组织模型
、信息模型
、通信模型
与功能模型
。
➢ 组织模型描述网管系统的组成部分与结构;
➢ 信息模型描述网管系统的对象命名与结构;
➢ 通信模型描述网管系统使用的网管协议;
➢ 功能模型描述网管系统的主要功能。
◼ 信息模型涉及3个重要概念:
- 管理信息结构(
SMI
) - 管理信息库(
MIB
) - 管理信息树(
MIT
)
◼ MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义,即管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中。
◼ 在网络管理服务中,定义管理对象结构的是MIB
。
(2)网络管理的功能域
配置管理
用于实现`网络设备的配置与管理`,主要是网络设备参数 与设备之间的连接关系。 网络配置变化`可能是临时或永久的`,网管系统需要支持 对变化的响应。 配置管理的主要内容包括:`标识网络中的被管对象(可初始化/关闭被管对象)`、`识别网络拓扑结构`,`修改设备配置`。
故障管理
用于发现与解决网络中的故障
,目的是保证网络连续、可靠地运行并提供服务 故障管理需要能够及时发现与报告故障
,通过分析事件报告 确定故障位置、原因与性质,并采取必要的措施排除故障
。 故障管理的主要内容包括:故障检测
,故障记录故障诊断
、 故障恢复
、维护错误日志
、执行诊断检测
、跟踪错误
。(其没有发布安全事件报告的能力)
性能管理
`用于测试网络运行中的性能指标`,目的是检验网络服务 是否达到预定水平,找出巳发生的问题或潜在的瓶颈。 性能管理可分为两个部分:`性能监控与网络控制`。 `性能监控是指收集网络状态信息`,网络控制是指为改善性能采取的措施。
安全管理
用于保护网络中的资源的安全,以及网管系统自身的安全性。 安全管理需要利用各种层次的安全防护机制,包 括防火墙、入侵检测、认证与加密等,使非法入 侵事件尽可能少发生。
记账管理
用于`监视与记录用户对网络资源的使用`,以及计 算网络运行成本与用户应交费用。 记账管理的主要内容包括:`统计网络资源使用情况`、`确定计费方法`、`计算用户账单`、`分析网络运营成本`与`资费变更影响`等。
(3)网络管理系统
网络管理系统通常包括3 个部分:管理对象
、管理进程
与管理协议
。 网络设备主要包括:交换机、路由器、网桥、网关与服务器
等。
管理进程是负责对网络设备进行管理与监控的软件
,安装在网络中的网管工作站与各种网络设备中。 (管理器与代理都是管理进程)
管理协议负责在网管工作站与网络设备的管理进程之间通信
,传输信息包括发送的操作命令与返回的操作 结果。
MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义,即管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中
。
2.网络管理协议
(1)SNMP(简单网络管理协议)
SNMP
协议在SGMP
的基础上发展起来,由IETF
制定指定。
snmpv1 • 设计简单、易于实现的协议
snmpv2 • 增加了操作类型与支持多种传输层协议
snmpv3 • 提供了安全性与改进的框架结构
◼ SNMP是应用层
的网络协议,采用客户机/服务器模式
。
◼ SNMP在传输层
采用支持无连接服务的UDP协议
,在传输管理信息之前不需要建立连接。
◼ SNMP协议在管理器
与代理
之间传输管理信息,其信息类型有很多
,都保存在MIB的管理对象
中。 (也就是说MIB存在于管理器以及代理中)
◼ SNMP协议采用轮询监控方式
,管理器定时向代理请求获得管理信息,并根据返回信息判断是否发生异常。
◼ SNMP是TCP/IP协议族
中的重要协议,其最大优点是协议简单、易于实现
。
(1)CMIP(通用管理信息协议)
◼ CMIP是基于OSI模型
的网络管理协议,是国际标准化组织(ISO)制定
的通用管理信息协议。
◼ CMIP协议负责实现具体的网管
操作,而操作需使用CMIS
(通用管理信息服务)定义的各种服务原语
。
◼ CMIP是应用层
的网络协议,在传输层采用支持有连接服务的协议
,传输信息之前需要预先建立连接。
◼ CMIP协议釆用委托监控
的方式,管理者只需向代理发送监控请求,代理将会自动监视指定的管理对象,并在异常事件发生时向管理者告警。
考点2:网络安全和加密与认证技术
1.网络安全
(1)网络安全的服务
可用性
:存在可能的突发事件(例如停电、自然灾害、事故或攻击等)等情况,网络可处于正常运转 状态,用户可使用各种网络服务。机密性
:保证网络中的数据不被非法截获或被非授权访问,保护敏感数据和涉及个人隐私信息的安全。完整性
:保证数据在网络中传输、存储的完整,数据没有被修改、插入或删除。不可否认性
:确认通信参与者的身份真实性,防止对已发送或已接收的信息否认现象的出现
(2)网络安全的等级
可信计算机系统评估准则将计算机系统安全等级分为4类7个等级。
安全级别从第到高,D级系统的安全要求最低,A1级系统的安全要求最高
D级系统属于非安全保护类,不能 用于多用户环境下的重要信息处理。
C级系统为用户能定义访问控制要求的自主保护类型,分为两个级别:C1级和C2级
B级系统属于强制型安全保护类,用户不能分配权 限,只有网络管理员可以为用户分配访问权限。 B类系统分为3个级别:B1、B2与B3级。
A1级系统提供的安全服务功能与B3级系统基本一致。 A1级系统在系统安全模型设计及软、硬件实现方面要通 过认证,要求达到更高的安全可信度。
备注
:一般的UNIX系统通常能满足C2级标准,只有部分产品可以达到B1级标准的要求。
(3)网络信息安全传输
①截获信息
:信息从源结点开始传输,中途被攻击者非法截获,目的结点没有接收到该信息,因而造成信息在传输途中丢失。
②窃听信息
:信息从源结点传输到目的结点,但是中途被攻击者非法窃听。如果被窃听到的是重要信息,那么也有可能造成严重问题。
③篡改信息
:信息从源结点传输到目的结点的途中被攻击者非法截获,攻击者修改信息或插入欺骗性的信息,并将篡改后的信息发送给目的结点。
④伪造信息
:源结点并没有信息要传送到目的结点。攻击者冒充源结点用户,将伪造的信息发送给 目的结点。
(4)网络安全攻击的类型
主动攻击
:主动攻击不但进入对方系统搜集信息,同时要 进行破坏活动,例如拒绝服务、信息算改、窃取信息、欺骗攻击等 被动攻击
: 被动攻击主要以收集信息为目的,信息的合法 用户难以察觉这种活动,例如嗔探、漏洞扫描、 信息收集等
服务攻击
:服务攻击是指攻击者对E-mail、FTP、Web或 DNS服务器发起攻击,造成服务器工作不正常, 甚至造成服务器瘫痪。 (如: 对Web服务器80端口的攻击 , 邮件炸弹 )非服务攻击
:非服务攻击不针对某项具体应用服务,而是针 对网络设备(如路由器、交换机、网关、防火 墙等)或通信线路。 (如: 源路由攻击 地址欺骗 Sniffer攻击 )
2.加密与认证技术
(1)对称密码体系
对称加密技术对信息的加密与解密都使用相同的密钥。
备注: 当网络中有N个用户要 进行加密通信时,则需 要有N*(N-1)把密钥, 才能保证任意两方之间 的通信。
①数据加密标准(DES)
◼ 由IBM
公司提出、经ISO认定
的国际标准的对称加密算法。
◼ DES是一种典型的分组密码
,每次处理一个64位
的明文分组,并且每次生成一个64位
的密文分组。
◼ DES算法采用64位密钥长度
,其中8位用于奇偶校验
,用户可使用其余的56位
。
◼ 每轮操作有置换和代换
◼ 最后一轮迭代的输出为64位
◼ 每轮置换的函数相同
②高级加密标准(AES)
AES将数据分解成固定大小的分组
,以分组为单位进行加密或解密
。
AES的主要参数是:分组长度、密钥长度与计算轮数。
AES规定分组长度为128位
,密钥长度可以为128、192或256位
,根据密钥长度分别称为AES-128、AES-192或AES-256。
③三重DES(3DES)
◼ 以DES算法作为核心,用3个56位的密钥
对数据执行3次DES计算,即加密、解密、再加密
的过程。
◼ 其他对称加密算法主要包括IDEA、Blowfish
、RC2、RC4、RC5、CAST等
(2)非对称密码体系
在非对称密码体系中,加密的公钥与解密的私钥不同
备注: 网络中N个用户之间进 行通信加密,仅需要使用N对密钥
就可以。
RSA
◼ RSA是由Ron Rivest
、Adi Shamir
与Leonard Adleman
设计的一种非对称加密算法
,
◼ RSA的理论基础是寻找大素数,其算法的安全性建立在大素数分解的基础上
。
◼ RSA的密钥长度是可变的
,用户既可以用长密钥以增强安全性,又可以用短密钥以提高加密速度。
◼ 常用的RSA密钥长度包括512位
、1024位
、2048位
等。
ECC(椭圆曲线密码)
◼ 椭圆曲线密码(ECC)由Neal Koblitz
和Victor Miller
提出的非对称加密算法,其安全性建立在求解椭圆曲线离散对数的基础上
。
◼ 在同等密钥长度的情况下,ECC算法的安全性要远高于RSA算法等。在安全性相当的情况下, ECC算法所使用的密钥长度比RSA更短
◼ 其他非对称加密算法主要包括DSS
、ElGamal
与Diffie-Hellman
等。
ElGamal补充:
(3)PKI
与其他加密技术
⚫ 公钥基础设施(PKI
)是利用公钥加密和数字签名技术建立
的安全服务基础设施,以保证网络环境中数据的秘密性
、完整性
与不可抵赖性
。
⚫ 数字签名技术可确定发送人的身份,防止信息在传输过程中被截获。
✓ 数字签名算法是消息摘要(MD5
),是Rivest发表的一种单向散列算法,可对任意长度的数据生成128 位的散列值
,也叫作不可逆指纹 。
✓ MD5
算法没有对数据进行加密或修改
,只是生成一个用于判断数据完整性与真实性的散列值
。
考点3:安全协议、防火墙与入侵检测技术
1.网络安全协议
(1)网络层安全与IPSec
IPSec
是IETF
针对网络层通信安全而制订的一个协议集,是工作在网络层的安全协议
。
IPSec主要包括3个组成部分:认证头(AH)
、封装安全负载(ESP)
与密钥管理协议
。
IPSec工作模式可分为两种类型:隧道模式
(Channel Mode)与传输模式
(Transport Mode)。
安全协议是指AH或ESP(Encapsulating Security Payload)协议
,安全参数是指相关的密钥、生存期、发布与更新方式等。
①AH协议:
可工作在传输模式
或隧道模式
。在传输模式下,生成的AH头直接插入原IPv4分组头的后面;对于 IPv6协议,AH头则是IPv6扩展头的一部分。
(AH头部最后会被接受主机摘除)
②ESP协议:
可工作在传输模式
或隧道模式
。
(2)传输层安全
与SSL、TLS
SSL(安全套接层协议(Secure Sockets Layer))
可用于HTTP、FTP、TELNET等,处于端系统的应用层与传输层之间。
当Web系统釆用SSL时,Web服务器的默认端口号从80变换为443,Web浏览器使用https代替常用的http
SSL主要包含两个协议:SSL握手协议
与SSL记录协议
。
TLS(安全传输层协议(Transport Layer Security))
用于在两个通信应用程序之间提供保密性和数据完整性。
该协议由两层组成:TLS 记录协议
和TLS 握手协议
。
(3)应用层安全与PGP
、SET
①PGP(Pretty Good Privacy)优良保密协议:
包括电子邮件的加密
、身份认证
、数字签名
等安全功能,用来保证数据在传输过程中的安全。
②SET(Secure Electronic Transaction)安全电子交易协议:
电子商务是基于浏览器/Web服务器
工作模式,实现网上购物和在线支付的一种新型商业运营模式。 使用了对称加密
与非对称加密体系
,以及数字信封
、数字签名
、信息摘要技术
与双重签名技术
,以保证信息在Web环境中传输和处理的安全性。
2.防火墙技术
(1)防火墙技术的概念
防火墙是在网络之间执行控制策略的网络安全防护系统,包括硬件和软件,目的是保护内部网络的资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。
(2)防火墙技术的基本部件
构成防火墙系统的两个基本部件是:包过滤路由器
和应用级网关
。
包过滤路由器也称为屏蔽路由器,是被保护的内部网络与外部网络之间的第一道防线
。
包过滤路由器会检查基于部分或全部报头内容,可以是源地址
、目的地址
、协议类型
、IP选项
、源端口号
、目的端口号
、TCP ACK标识
等。
应用级网关将多归属主机用在应用层的身份认证与服务请求合法性检查上
。
防火墙可通过软件来实现
可在硬件设备上实现
支持网络层的包过滤技术
应用级网关是一种防火墙
通常位于内部网络与外部网络之间
3.入侵检测技术
(1)入侵检测技术的概念
入侵检测系统intrusion detection system(IDS)
是对计算机和网络资源的恶意使用行为进行识别的系统。
IDS的目的是监测和发现可能存在的攻击行为
,包括来自系统外部的入侵行为,以及来自内部用户的非授权行为,并采取相应的防护手段。
(2)入侵检测技术的功能
监控、分析用户和系统的行为。
检查系统的配置和漏洞。
评估重要的系统和数据文件的完整性。
对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。
对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
(3)入侵检测技术的方法
异常检测
误用检测
基于主机的入侵检测系统
: 基于主机的入侵检测系 统主要任务是保护所在 的计算机系统,一般是 以系统日志、应用程序 日志为数据源。 基于网络的入侵检测系统
: 基于网络的入侵检测系统 一般是通过将网卡设置成“ 混杂模式”来收集在网上 出现的数据帧,将原始的 数据帧作为数据源。 分布式入侵检测系统
: 分布式入侵检测系统由分布在网络上不同位置的检测部件组成,分别进行数 据采集,通过中心控制系 统进行数据汇总与分析, 并产生入侵报警信号。
(4)网络蠕虫的概念
网络蠕虫:一种无须用户干预
、依靠自身复制能力、自动通过网络进行传播的恶意代码。
◼ 蠕虫是独立的程序,而病毒是寄生到其他程序中的一段程序。
◼ 蠕虫是通过漏洞进行传播,而病毒是通过复制自身到宿主文件来实现传播。
◼ 蠕虫感染计算机,而病毒感染的是文件系统。
◼ 蠕虫会造成网络拥塞甚至瘫痪,而病毒破坏计算机的文件系统。
◼ 防范蠕虫可通过及时修复漏洞的方法,而防治病毒需要依靠杀毒软件来查杀。