网络安全技术

发布 2020-04-28 06:50:28 阅读 5596

第一章:网络管理概述。

1、网络管理是指对网络的运行状态进行监控。

2、网络管理的目标:有效性、可靠性、开放性、综合性、安全性、经济性。

3、当前主要有3个重要的组织,分别是iso(公共管理信息协议cmip)、ietf(网际控制报文协议icmp)、itu-t(tmn)。

4、网络管理的功能:故障管理(核心)、配置管理(基础)、计费管理、性能管理、安全管理。

1)配置管理功能主要包括资源清单管理、资源开通以及业务开通。资源清单的管理员是所。

有配置管理的基本功能。

2)性能管理的目的是维护网络服务质量(oos)和网络运营效率。

性能管理的一些典型功能:1、收集统计信息;2、维护并检查系统状态日志;3、确定自然和人工状况下系统的性能;4、改变系统操作模式以进行系统性能管理的操作。

3)安全管理,在网络中主要有以下安全问题;网络数据的私有性(保护网络数据不被侵入者非法获取);授权(防止侵入者在网络上发送错误信息);访问控制(控制对网络资源的访问)。

1、创建、删除、控制安全服务和机制;2、与安全相关信息的分布;3、与安全相关信息的分布。

5、计算机网络管理涉及到网络中的各种资源,包括两大类:硬件资源和软件资源。

网络中的资源一般都可用被管对象来描述。被管对象的集合被称作mib,即管理信息库,所有相关的网络被管对象信息都放在其中。

6、简单网络管理协议(snmp)已经成为事实上的标准网络管理协议。

cmip与snmp相比,两种管理协议各有所长。snmp是internet组织用来管理tcp/ip互联网和以太网的,由于实现、理解和排错很简单,所以受到很多产品的广泛支持,但是安全性较差。cmip是一个更为有效的网络管理协议。

一方面,cmip采用了报告机制,具有及时性的特点;另一方面,cmip把更多的工作交给管理者去做,减轻了终端用户的工作负担。此外,cmip建立了安全管理机制,提供授权、访问控制、安全日志等功能。

第二章:网络管理体系结构。

1、现代计算机网络管理系统基本上由以下4个要素组成:

网络管理者(network manager)、网管**(managed agent)、网络管理协议nmp(network management protocol)、管理信息库mib(management information base)

2、网络管理者是指实施网络管理的处理实体。网络管理者和网管**通过交换管理信息来进行工作。具体的交换过程是通过协议数据单元pdu(protocol data unit)进行的。

3、目前最有影响的网络管理协议是snmp和cmis/cmip,其中snmp流传最广,应用最多。

snmp通信协议主要包括以下能力:

1) get 管理站读取网管**者处对象的值;2)set 管理站设置网管**者处对象的值。

3) trap 网管**者向管理站通报重要事件。

4、管理信息库(mib)是一个信息存储库,它是网络管理系统中的一个非常重要的部分。mib定义了一种对象数据库,由系统内的许多被管对象及其属性组成。使用最广泛、最通用的是mib-ii。

在mib中的数据可大体分为3类:感测数据、结构数据和控制数据。

5、网络管理模式:集中式网络管理模式和分布式网络管理模式。

集中式网络管理模式的优点是管理集中,有专人负责,有利于从整个网络系统的全局对网络实施较为有效的管理;缺点是管理信息集中汇总到网络管理节点上,导致网络管理信息流比较拥挤,管理不够灵活。

集中式网络管理模式比较适合于以下网络情况:小型局域网络、部门专用网络、统一经营的公共服务网、专门c/s结构网、企业互联网络。

6、分布式管理采用以下4种过滤器:设备查找过滤器、拓扑过滤器、映像过滤器、报警和事件过滤器。

分布式网络管理模式比较适合于以下网络情况:通用商用网络、对等c/s结构网络、跨地区、跨部门的互联网络。

7、网络管理软件包括3部分:用户接口软件、管理专用软件和管理支持软件。

第三章管理信息库。

1、管理信息结构主要包括以下3个方面:对象的标示,即对象的名字;对象的语法,即如何描述对象的信息;对象的编码。

2、smi明确要求所有被管理的信息和数据都要由管理树来标识,对象标识符就构成了一个整数序列,中间是以“.”间隔而成的。

3、在mib中每个对象类型都被赋予一个对象标示符,以此来命名对象。

对象标示符简记为父节点的名字标识和本节点的数字标识。

4、宏定义由类型表示(type notation)、值表示(value notation)和值得产生式规则3部分组成。

宏实例的定义首先是对象名,然后是宏定义的名字,最后是宏定义规定的宏体部分。

5、tcp连接表的索引由4个元素组成,即本地地址、本地端口、远程地址和远程端口。

6、system(系统)组提供了关于被管系统的总体信息,这些信息可以用于配置管理和故障管理。

sysuptime:以百分之一秒为单位,给出snmp**已经运行的时间。

sysservices:显示一个设备可能提供的协议层服务。它使用7位二进制数表示,**的每一位对应osi/rm7层协议中的一层服务,最后一位代表第一层,最高一层代表第七层。

7、interface组包括配置管理、故障管理、性能管理、计费管理。

8、ip组包括配置管理故障管理、性能管理、计费管理。

9、icmp组是ip的伴随协议,该组中的对象都是对各种类型的icmp消息的接收和发送的统计结果,都是计数器,icmp主要用于性能管理。

10、tcp组包括配置管理、性能管理、计费管理、安全管理。

11、udp组(udp表只有本地地址和本地端口两项)包括性能管理、计费管理、安全管理。

12、transmission组针对各种传输介质提供详细的管理信息。包括配置管理、故障管理、性能管理、计费管理、安全管理。

13、ip路由表(iproutetable)已经被ip**mib(rfc2096)所取代。

第四章简单网络管理协议。

1、snmp管理体系结构由管理者(管理进程)、网管**和管理信息库(mib)三部分组成,该体系结构的核心是mib,mib由网管**维护而由管理者读写。

2、snmpv1支持如下4种操作:

1)get:用于获取特定对象的值,提取指定的网络管理信息;

2)get-next:通过遍历mib树获取对象的值,提供扫描mib树和依次检索数据的方法;3)set:用于修改对象的值,对管理信息进行控制;

4)trap:用于通报重要事件的发生,**使用它发送非请求性通知给一个或多个与配置的管理工作站,用于向管理者报告管理对象的状态变化。

在以上4个操作中,前3个是请求由管理者发给**,需要**发出响应给管理者,最后一个则是由**发给管理者,但并需要管理者响应。

3、snmp不适合真正大型网络管理,因为它是基于轮询机制的,在大型网络中效率很低。

4、snmp支持普通的鉴别,它使用一种类似于密码的东西,叫做团体名(community name),使用get或get-next操作来读团体名,从而获取对象;使用set操作来写团体名,从而修改对象。每个团体被赋予一个惟一的名字,管理者只能以**认可的团体名行使其访问权。如果两个**定义了同一个团体名,这种名字的相似性也不意味着它们属于同一个团体。

5、指定snmp的版本号(对于snmpv1,它为0)

snmp有下列5种类型的pdu,getrequest-pdu,getnextquest-pdu,setrequest-pdu,getresponse-pdu和trap-pdu。但是在snmp中,只有命令(get,get-next,set)和响应(get-response)两种pdu格式拥有共同的结构。

6、差错状态(error status)字段:该字段只在getresponse-pdu中使用,在其他类型的pdu中,这个值必须是0。

7、差错索引(error index)字段:该字段只在**进程发送getresponse-pdu时使用。

xa2:指示该snmp是一个getresponse。

请求标识符(reqid):与源请求中使用的值相同。

差错状态(es):指示该**是否能成功处理该请求。

差错索引(ei):如果它非0,则指示第一个变量在错误请求中的位置。

变量绑定:一个变量列表,每个变量包含一个对象标识符和一个值。

9、get-next对于变量绑定中指定的每一个对象标识符,都将执行一次mib树遍历。

10、set操作是整体性的,要么全部变量设置成功,要么没有变量设置成功。

xa4:指示该snmp pdu是一个trap。

12、snmpv2相对snmpv1着重在信息管理结构、管理者之间的通信能力和协议操作3个方面进行了改进。

13、snmpv2的smi是snmpv1smi的超集,主要在以下4个方面进行了改进和更新:1)对象的定义;2)概念表;3)通知的定义;4)信息模块。

14、创建行的方法有两种:createandwait和createandgo。

15、snmpv2提供了以下3种访问信息管理的方法:

管理者和**之间请求/响应通信:与snmpv1是一样的;

管理者和管理者之间:这是snmpv2特有的;

**向管理者发送陷阱报文:与snmpv1对应,仍然是一种非确认性通信。

xa7是snmpv2 trap pdu;informrequest是0xa6;get-bulk是0xa5

在任何情况下,get-bulk操作将返回完整的请求集合。

17、udp是snmp首选并常用的传输协议。

18、snmpv3的特点:适应性强、扩充性好、安全性好。

29、snmpv3是snmp的扩展,它主要解决了网络管理的有效性和安全性两个方面的问题。

20、snmp实体由两部分组成:snmp引擎和snmp应用程序。

21、消息处理子系统由一个或多个消息处理模型组成,主要功能准备要发送的消息并从接收到的消息中提取数据。

22、安全子系统提供了验证消息和加密/解密消息的安全服务。

网络安全技术

第1章一 问答题。1 何为计算机网络安全?网络安全有哪几个特征?各特征的含义是什么?2 网络系统的脆弱性主要表现在哪几个方面?3 网络安全的威胁主要来自哪些方面?通常说网络威胁有哪两大类?4 osi网络安全体系涉及哪几个方面?网络安全服务和安全机制各有哪几项?5 p2dr模型中的p p d r的含义...

网络安全技术

拒绝服务 攻击者利用一定的手段,让被攻击主机无法响应正常的用户请求。阻止或禁止对通信设施的正常使用或管理物理隔离 解决网络安全问题的一种技术,可以分为网络隔离和数据隔离。实现内外网的信息隔离。垃圾邮件 凡是未经用户许可 与用户无关 就强行发送到用户的邮箱中的任何电子邮件就称为垃圾邮件。网络安全的含义...

网络安全技术

其次,要建立面向大规模网络与复杂信息系统安全风险分析的模型和方法 建立基于管理和技术的风险评估流程 制定定性和定量的测度指标体系。如果没有这个指标体系,只能抽象地表述,对指导意见来讲并没有太多的实际意义。二 安全存储系统技术。在安全策略方面,系统之家认为重点需要放在安全存储系统技术上。其战略目标有两...