网络管理和网络安全

技术探索
🗨️字数统计=2.3k字 ⏳阅读时长≈7分钟

一、网络管理

1. 网络管理的目的

对组成网络的各种软硬件设施的综合管理,以达到充分利用这些资源的目标

对象:网络设备、主机;

管理的方法:收集、分析和配置参数

2. 网络管理的体系结构

网络管理面向用户,属于 OSI 应用层的服务之一

  • 从微观上来说:网管涉及所有层次,因此,每层均设置对应实体; 各层管理实体协作,保证本层协议/功能正常运行/提供;

  • 从宏观上来说:ISO/OSI 的 系统管理应用实体 SMAE 分管理员和代理两类实体,管理员和代理之间遵循 公共管理信息协议(CMIP)

    • 管理员:负责对整个网络的资源进行管理;
    • 代理:驻留在被管对象上,响应管理员的指令(路由器、交换机等)。

3. 网络管理的基本模型

  • 网络管理工作站:运行网管软件,收集被管网络设施的信息,进 行汇总分析和反馈。
  • 被管结点:网络交换设备、集中器、线路设备、用户结点等;运行网管(代理)软件,将被管设备的信息通过网络管理协议提供 给管理工作站,包括主动监测和记录故障并报于管理工作站。
  • 管理信息库:保存为网络管理目的而收集的信息。
  • 网络管理协议:支持网管工作站(网管软件)和被管结点(代理 软件)之间的数据交换。

4. 信息获取方式

网络管理系统收集被管设备数据的方法:主动轮询,被动中断。

  • 主动轮询:工作站周期性地轮询子机;

    可能存在的问题:

    轮询间隔的设置:长 — 及时性不好,短 — 占用资源多;

    轮询顺序:设备之间的相互影响;

    灾难响应:实时性略欠,主动性不足。

  • 被动中断(自陷):子机主动传递数据

    可能存在的问题:

    传递周期设置:可能消耗资源;

    设备故障数据的可传递性(优先级)。

5. 简单网络管理协议 SNMP

① 概述

为促进因特网网络管理标准化,IETF成立两个工作组。 管理信息库(MIB)工作组负责定义交换的元素及结构 (对象); 网络管理协议(SNMP)工作组定义管理实体之间交换的协议(交换的方式、格式和时序)

SNMP 中交换的信息是 MIB (管理信息库),MIB 实在树形结构的数据库中为每个项目附加编号的一种数据结构。

SNMP作用于应用层,利用UDP的两个端口(161和162)实现管理员和代理之间的管理信息交换。

  • UDP端口161用于数据收发

  • UDP端口162用于代理报警

管理员/代理之间交换的PDU(五种类型):

② 因特网网络管理的工作方式 ⭐

为了使一个管理员可以管理多个代理,同时,代理又可以主动报告出现的问题,SNMP 采用具有自陷能力的轮询机制;

  • 管理员和代理之间主要以请求/应答方式工作

    管理员周期性向代理发出“请求”指令,获取或者设置网络元素的参数;

    代理向管理员返回“应答”响应,报告“请求”的执行结果;

  • 如果代理发现设备故障,主动向管理员报警(自陷 Trap)

    以 SNMPv2 为例:


二、网络安全

1. 网络安全的目的

网络安全的目的就是:保护网络资源(此处主要指信息资源),免受攻击

基于网络的应用可能受到的安全威胁如下:

  • 截取(窃取):非法截取网络信息,窃取其中的机密;
  • 篡改:对截取的数据进行部分/全部篡改,再送到目的地;
  • 伪造:冒充合法用户进行网络操作,嫁祸于人;
  • 重播/插播:干扰用户的正常操作;
  • 发方否认:否认已向接受者发送过数据;
  • 收方否认:否认已收取过发送方发送的数据。

2. 抵御攻击的安全服务 ⭐

⚠ 所有的服务只能保证出现的攻击可以被识别, 并不能防止攻击的发生

① 内容保密 — 防窃取

采用加密技术对数据进行加密;

为提高加密的效率,混合使用秘密密钥加密体系和公开密钥加密体系的算法。

  • 对应每次通信,形成一个一次性密钥(随机数);
  • 只有指定的收方才可以获得密钥,解密密文;
  • 使用DES算法(对称加密算法)对明文加密,提高效率;
  • 使用RSA算法(非对称加密算法)对密钥加密,保护密钥的秘密性

② 内容完整性—防篡改

依赖摘录技术的特性(报文和摘录息息相关)。

工作过程:

  • 发送方利用摘录算法(如MD5)形成摘录值(报文完整性检查值— MIC 值);

  • 用密钥对摘录值进行加密形成数字签名

  • 报文连同数字签名一起传递给接收方;

  • 接收方解密并分隔报文和MIC值;

  • 对报文执行相同的摘录算法,形成新的MIC值;

  • 新/ 原MIC值比较,判断报文在传输过程中是否被修改

③ 序列完整性 —防重播

在报文中增加序号和时标(报文形成或者发送的时间值); 接收方按序接受报文。

④ 实体鉴别 :— 防冒充(假冒)

含身份鉴别和数据源鉴别。

  • 身份鉴别 — 鉴别对等实体的身份

    进入系统时常用的鉴别身份的方法为传递用户标识和口令字, 并和系统内保留的用户标识和口令字进行比较,验证用户的合法性

  • 数据源鉴别 — 鉴别数据真实性,确认数据来自正确的发送方

    数字签名技术支持数据源的鉴别

    描述:

    • 形成的报文数字签名和报文内容及发方密钥密切相关;

    • 收方利用发方的公钥处理签名,获得原始MIC值;

    • 收方利用MD5对报文求MIC值;

    • 如果新MIC值和原始MIC值一致,可认为报文确实来自于期望的发送方,且在传输过程中内容未被篡改。

    依据:只有发方才掌握发方的私钥

⑤ 防否认服务 — 抵御合法用户对所作的操作进行否认

理想的解决方案:第三方的参与和仲裁

措施:

  • 至少维护一个双方可信的认证中心(CA),合法用户需在中心注册,获得自己的密钥对;
  • CA以安全的方式转发通信双方的报文,并予以记录,作为产生异议时的仲裁依据。

过程

  • A以CA的公钥和A的私钥向CA认证自身,并获得 B的公钥;
  • A以B的公钥形成密文(容许含随机密钥的秘密加密), 并提交CA;
  • CA记录全部或者部分(如MIC值)信息后,转发密文至B;
  • B收取报文后,应向CA返回确认信息

3. 防火墙

防火墙:保护内部网络的资源免受外界的侵袭

防火墙的原理

① 分组过滤

原理:分析报文,对应其中的所有参数,设置过滤策略, 允许或者拒绝该报文穿越防火墙

分析的参数有:源IP地址(仅允许哪些设备访问内部网)、宿IP地 址(仅允许访问哪些结点)、端口号(允许使用哪些服务)等;

设置的策略包括:访问的时间段、并发访问的个数等;

一般策略为:不明确表示“允许”的就是禁止。

② 代理服务

代理外部(或内部)用户访问内部(或外部)网络,杜绝内部和外部的直接访问

代理服务器分析客户的请求,根据制定的策略决定允许或者拒 绝某个特定的请求;

当一个请求被允许时,代理服务器就“代表” 该客户执行访问操作,并将结果返回客户。 此处的“代表”隐含了分组中IP地址的转换(迁移)。

此类防火墙安全较高,但效率受影响,常用于特定的应用服务 (如FTP服务、Telnet服务、远程拨号服务等)

③ 地址转换 NAT

针对IP地址告急和专用IP地址在部分企业网中的应用,出现 了地址转换路由器(NAT路由器或者NAT服务器)。

当内外用户希望相互访问时,NAT路由器负责全局/本地IP地 址的映射,屏蔽内部IP地址;

NAT服务器专门进行地址转换工作,并增加各种安全策略, 限制地址的转换,隔离内外网络。

分享到