第八章 網絡安全與管理技術

一、網絡管理

1、網絡管理模型：網絡監測和網絡控制兩部分。以下是一個網絡管理模型。分為管理站、被管理代理、管理信息庫MIB。MIB采用管理信息結構SMI（ASN.1國際標准的子集）。

2、網絡管理結構：

• 集中式，集中控制整個網絡。平衡優化網絡，適合小網絡。
• 分布式，靈活性和伸縮性，適用中大型網絡。

3、兩種通信機制：

• 輪詢：是一種請求-響應式的交互方式。管理站向代理發出請求，代理做出響應，從信息管理庫取出信息，返回給管理站。類似領導安排工作。
• 事件報告：代理根據管理站的要求，向管理站主動發送狀態報告。類似員工匯報工作。

4、網絡管理的五大功能（計 安 性 配 故）：

1. 計費管理
2. 安全管理
3. 性能管理
4. 配置管理
5. 故障管理

5、網絡管理協議五種標准：

1. ISO制定：CMIS/CMIP公共管理信息服務規范。
2. 基於TCP/IP：簡單網絡管理協議SNMP v1、SNMP v2、SNMP v3三種。
3. 基於局域網：遠程監控網絡RMON，RMON-1、ROMN-2兩個版本。
4. IEEE制定：基於物理層和數據鏈路層CMOL。
5. ITU-T：電信網絡管理標准TMN。

6、SNMP: 簡單網絡管理協議，應用層協議，采用UDP，不會增加網絡負擔，效率高。UDP161（代理）、UDP162（管理站）。

7、SNMP v1五種報文：

1. GetRequest
2. GetNextRequest
3. SetRequest
4. Trap 用於事件報告
5. GetResponse 用於代理站

8、SNMP v2，支持集中，也支持分布式管理。增強改進三方面：

1. 管理信息結構的補充
2. 管理站之間的通信能力
3. 新的協議操作，GetBuIkRequest塊操作、InformRequest通信請求。

9、SNMP v3把管理和代理統一叫做實體（包括引擎和應用），並提供認證和加密。基於用戶的安全模型，把安全威脅分為主要的和次要的。基於視圖的訪問控制模型，划分安全級別。

10、管理信息庫MIB-2樹形結構：

11、管理信息庫MIB-2的10個功能組：

遠程網絡監控RMON的管理信息庫：

12、網絡管理部件可靠性計算：

網絡管理命令：ipconfig 用來查看網絡配置信息，如ip地址、子網掩碼、網關IP、DNS、DHCP等。

網絡管理命令Ping：利用ICMP報文測試網絡的連通性。

網絡管理命令：arp。用於顯示和修改ARP緩存中的表項。

網絡管理命令：netstat。用來顯示網絡活動狀態，如TCP/UDP的ip、端口號等。

網絡管理命令：

• tracert：利用ICMP報文，探測到達目標的路徑。
• Pathping：把ping和tracert結合，探測路徑、延時、丟包率等。
• Nbtstat：用於顯示NetBIOS的名稱緩存。
• Route 顯示修改本地IP路由表。Add添加；delete 刪除；change修改等
• Netsh命令行腳本程序，可以修改計算機的網絡配置。
• Net:管理網絡服務。

網絡管理命令：Nslookup:

用來測試DNS服務器域名解析。

• 非交互式

​ nslookup ns1.isi.edu 查詢域名服務的ip

​ nslookup 128.9.1.11 查詢此ip的域名信息

• 交互式

​ nslookup

​ set type=mx 查詢本地域的郵件交換機信息。

常見的網絡管理工具：

網絡嗅探器sniffer;  HP Open View;  IBM Tivoili;   Cisco Works。

二、網絡安全技術

1、網絡安全威脅和漏洞的類型

• 竊聽 病毒
• 假冒 木馬
• 重放 誹謗
• 流量分析 非授權訪問
• 破壞完整 拒絕服務
• 漏洞：物理、軟件、不兼容、其他等。

2、網絡安全信息數據五大特征：（完 保 可 不 可）

• 完整性：信息數據完整不破壞
• 保密性：信息數據需授權不泄露
• 可用性：信息數據攻擊后循環恢復可用
• 不可否認性：信息數據參與者不可否認不可抵賴，身份真實有效
• 可控性：信息數據可以管控傳播范圍

3、網絡安全基本技術：

• 數據加密：數據按照規定打亂，重新組合
• 數字簽名：證明發送者簽發，也可完整性
• 身份認證：用戶合法性，身份真實性沒假冒
• 防火牆：控制內外數據進出，阻擋病毒木馬
• 入侵檢測：采用異常檢測特征保護網絡
• 網絡隔離：內外網隔離分開使用，如網閘。

4、現代信息加密技術：對稱（共享的）和非對稱（有私鑰和公鑰）

5、現代信息加密技術對稱秘鑰匯總：

6、公鑰加密RSA:

加密體系-公鑰加密，私鑰解密。（簽名體系：公鑰解密，私鑰加密）

7、數字簽名技術：數字簽名用於確認發送者身份和消息完整性。滿足三個條件：

1. 接收者能夠核實發送者
2. 發送者事后不能抵賴
3. 接受者不能偽造簽名

8、秘鑰管理體系：KMI、PKI、SPK。

• KMI：秘鑰管理基礎結構，第三方KDC，秘密物理通道，適用於封閉的內網使用
• PKI：公鑰基礎結構，不依賴秘密物理通道。適用於開放的外網
• SPK: 適用於規模化專用網

9、VPN技術：虛擬專用網，建立在公網上，沒有專用物理連接，非VPN用戶無法訪問。

VPN四個關鍵技術：

1. 隧道技術
2. 加解密技術
3. 秘鑰管理技術
4. 身份認證技術

10、PPP、PPTP、L2TP技術對比匯總：

11、PPTP與L2TP區別比較：

12、IPSec：IP安全性，在IP層通過加密與數據源驗證，來保護數據包傳輸安全。

1. 認證頭AH，用於數據完整和數據源認證、防重放。
2. 封裝安全負荷ESP，提供數據加密、數據完整、輔助防重放。
3. 密鑰交換協議IKE，生成分發秘鑰。

IPSec兩種模式：傳輸模式和隧道模式。

13、SSL安全套接層：和TLS（傳輸層安全標准）是雙胞胎。在傳輸層上4.5層套結安全協議。SSL/TLS被稱為HTTPS，工作在傳輸層，對傳輸層、應用層都可以控制。

二、網絡安全2

1、應用層安全協議：S-HTTP或SHTTP（Sec HTTP）,安全超文本傳輸協議，是HTTP擴展，使用TCP的80端口。

HTTPS：HTTP+SSL，使用TCP的443端口。TLS（傳輸層安全標准）是雙胞胎。4.5層協議。大部分web應用采用這個。

2、應用層安全協議：PGP，電子郵件加密軟件包，是一款軟件。

• PGP提供2種服務：數據加密和數字簽名，使用RSA對公鑰證書加密認證，IDEA（128位密鑰）進行數據加密，MD5進行完整性驗證。
• 加密算法：支持IDEA、CAST、3DES算法對信息進行加密：采用EIGamal或RSA算法用接收方的公鑰加密會話密鑰。
• 數據簽名：采用SHA-1、MD5消息摘要算法計算消息的摘要值（散列碼），用發送者的私鑰按DSS或RSA算法加密消息摘要。

3、安全電子交易協議SET：

5、防火牆的定義：來源於建築物 “ 防火牆” 一詞，位於兩個或多個網絡之間，執行訪問控制策略，過濾進出數據包的一種軟件或硬件設備。

6、防火牆的主要功能（重點）：

1. 訪問控制功能
2. 內容控制功能
3. 全面的日志功能
4. 集中管理功能
5. 自身的安全功能

防火牆附加功能：

1. 流量控制
2. 網絡地址轉換NAT
3. 虛擬專用網VPN

防火牆局限性：

1. 關閉限制了一些服務帶來不便
2. 對內部攻擊無能為力
3. 帶來傳輸延遲單點失效等
4. 還有其他局限

防火牆技術分類：包過濾防火牆；代理防火牆；狀態化包過濾防火牆等

防火牆分類方式：

8、防火牆的體系結構：

1、雙宿主機模式：防火牆具有兩個網卡接口，通過包過濾代理訪問網絡。一般可以根據IP地址和端口號進行過濾。

2、屏蔽子網模式：又叫過濾子網模式，兩個包過濾路由器中間建立一個隔離子網，定義DMZ網絡，也稱為非軍事化區域。

10、防火牆的工作模式：路由模式、透明模式、混合模式3種。

防火牆的訪問規則：3種接口

12、病毒（強盜）：一段可執行的程序代碼，通過其他可執行程序啟動和感染傳播，可自我復制，難以清除，破壞性強。

木馬：一種潛伏在計算機里並且秘密開放一個甚至多個數據傳輸通道的遠程控制代碼。C/S結構，客戶端也稱控制端。偷偷盜取賬號、密碼等信息。

惡意代碼：又稱惡意軟件。也稱為廣告軟件、間諜軟件，沒有作用卻會帶來危險。

黑客與駭客：黑客技術高超，幫助測試建設網絡。駭客專門惡搞破壞或惡作劇。

網絡攻擊：

1. 拒絕服務攻擊
2. 緩沖區溢出攻擊
3. 漏洞攻擊
4. 網絡欺騙攻擊
5. 網絡釣魚
6. 僵屍網絡等

預防攻擊：安裝殺毒軟件、硬件防火牆和UTM統一威脅安全管理設備，合理設置安全策略，制定應急預案等。

入侵檢測系統IDS安裝部署：

1. 服務器區域的交換機上
2. Internet接入路由器之后的第一台交換機上
3. 其他重點保護網段的交換機上

• 通常IDS是並聯、不斷網。

IPS/IDS和防火牆區別：防火牆一般只檢測網絡層和傳輸層的數據包，不能檢測應用層的內容。IPS/IDS可以檢測字節內容。

IPS和IDS的區別：IPS是串接在網絡中，會切斷網絡。IDS是旁路式並聯在網絡上，不切斷網絡。

IDS/IPS：連接在需要把交換機端口配置成鏡像端口上，可以檢測到網絡流量。