計算機網絡應用第八章主要內容網絡管理網絡安全加密算法防火墻IDSGridcomputingWebServices1、網絡管理－概述目的對組成網絡的各種軟硬件設施進行綜合管理，以達到充分利用資源和提高網絡性能的目標。方法獲取被管設備的各種必要信息（status、statistics）。對各種網絡資源狀態及其使用進行監測、分析和控制，并根據分析結果進行不同的管理操作。網管標準ISO/OSI網絡管理標準—公共管理信息協議（CMIP）Internet網絡管理標準—簡單網絡管理協議（SNMP）網絡管理方式本地管理Telnet遠程管理基于WEB管理基于SNMP管理網管功能組成配置管理：定義、監測和管理系統的配置參數，使得網絡資源可用、性能較優。故障管理：對網絡設備進行監控，包括故障檢測、隔離和恢復。計費管理：統計、記錄網絡資源的使用情況，估算用戶應付的費用。性能管理：收集和統計網絡系統狀態、數據（如網絡的吞吐量、用戶響應時間和網絡資源的利用率等)，根據統計信息來評價網絡資源的使用等系統性能，分析系統資源的使用趨勢，或者平衡系統資源的負載。

安全管理：資源的訪問控制、身份認證和授權、安全檢查跟蹤、密鑰管理和信息加密等。網絡管理基本模型網絡管理工作站網絡網絡管理協議代理管理信息庫代理管理信息庫代理管理信息庫代理管理信息庫被管設備網絡管理工作站：通過網絡向各種被管網絡設施發出各種控制命令，并對被管設備反饋的信息進行匯總分析。被管設備：網絡交換結點、集中器、線路設備、用戶結點等；負責響應網絡管理工作站的命令，將被管設備的信息通過網絡管理協議提供給管理工作站。代理：運行在被管設備上的相關軟件。管理信息庫：保存本地設備的管理信息。其他管理模型分布式管理模型分布集中式管理模型1、網絡管理－SNMP基本工作模式ManagerAgentAgent請求請求應答應答中心數據庫本地數據庫本地數據庫協議標準1990年，SNMPv1（RFC1157）和MIBv1（RFC1156）采用集中管理模式，管理員輪詢管理多個代理1996年，SNMPv2（RFC1905）和MIBv2（RFC1904）引進區域管理（分布式管理）的思想，擴充了管理員之間的操作1998年，SNMPv3（RFC2273）和MIBv3（RFC2272）在SNMPv2的基礎上，擴充相關安全功能身份鑒別：實體鑒別，確保收到的指令或者數據來自于真實的實體數據保密：MIB信息存儲保密和PDU傳輸保密，確保指令或者數據不被截取、偽造、篡改和重放訪問控制：實體授權和訪問控制，禁止越權或者非授權操作。管理組件SMI－定義管理信息的結構MIB－存放基于SMI的信息項SNMP－管理信息的傳輸協議SNMP的操作類型名稱編碼功能說明GetRequest0管理員至代理，查詢指定變量的值；GetNextRequest1管理員至代理，查詢下一變量的值；Response2至管理員，回送執行結果（正確/差錯）；SetRequest3管理員至代理，設置代理維護的某個變量的值；GetBulkRequest5管理員至代理，傳遞批量信息；InformRequest6管理員至管理員，傳遞參數處理請求；SNMPV2-Trap7代理至管理員，傳遞報警信息；（取代原4）Report8待定義MIB庫中管理對象標示（objectID）采用ASN.1交互示意圖計算機網絡安全網絡安全需求網絡－>資源共享研究－>應用安全威脅網絡安全防護計算機網絡安全威脅竊取篡改否認收取否認發送偽造合法用戶合法用戶非法用戶非法用戶常見的網絡威脅手段Bufferoverflow偽裝中間人攻擊重放攻擊DoS攻擊BufferOverflow利用緩沖區溢出,執行非法操作1988年，第一個Internet蠕蟲許多應用：fingerd,sendmail,bind,IE,IIS,ftpd,lpd,XWindow,ssh,NetMeeting等spoofingIPSpoofing：盜用地址認證/授權ARPSpoofingDNSSpoofingMailSpoofingWebPhishing計算機信息安全分類信息安全－數據、傳輸網絡信息安全研究范圍信息的保密性（privacy）信息的完整性（integrity）信息的可用性（availability）信息安全的技術基礎安全管理-架構、策略（Firewall、IDS）信息加密、解密算法（DES、RAS）訪問控制、身份鑒別和授權（數字簽名）信息加密解密技術BasicconceptofencryptionanddecryptionCiphertext＝Ke(plaintext)Ke-encryptkeyPlaintext=Kd(Ciphertext)Kd-decryptkey信息加密解密技術評價加密算法指標強度復雜度破譯難度速度系統開銷算法性能算法的可公開性算法保密算法公開加密解密算法Encryption/DecryptionConventionalmethods加密算法不公開字母置換位置替換Currentmethods加密算法公開對稱密鑰加密（DES）非對稱密鑰加密（RSA）Conventionalmethods字母變換Conventionalmethods位置替換Currentmethods對稱密碼算法DES、3DES、IDEA、GOST、CAST、Blowfish、Twofish、AES等公開密碼算法RSA、ElGamal、DH、橢圓算法等BasicprinciplesymmetryasymmetryDES（3DES）DES（3DES）DES（3DES）Sub-keygeneratingComplexRSA對稱加密機制存在的問題RSARSARSARSAEncryptwithpublickeyRSAEncryptwithprivatekeyComplexencryptionMessagedigestbyMDalgorithm

－messageintegrityComplexencryptionDigestandRSA(sender) unidirectionaldatasignatureComplexencryptionDigestandRSA(sender) unidirectionaldatasignature

ComplexencryptionBidirectionalDataSignatureAuthenticationComplexencryptionBidirectionalDataSignatureAuthentication網絡安全-IDS入侵檢測（IntrusionDetection）：對進入網絡的數據流進行實時或離線的行為分析，利用已有入侵模式或智能推理判別，對網絡的安全狀況給出安全建議的安全防護行為。入侵檢測系統（IDS）：完成入侵檢測的系統裝置。IDS:Intrusiondetectionsystem.Somecombinationofoneormoreofthefollowingcomponents:sensor,analyzer,manager. ——byIDWG,RFCdraft,

draft-ietf-idwg-requirements網絡安全-IDS網絡安全-IDS網絡安全-IDS防火墻基本概念對外保護內部網絡信息安全基于策略進行訪問控制(雙向)基于已有知識形成控制策略無法防御內部用戶的非法行為防火墻防火墻防火墻的位置防火墻位于網絡邊緣路由器的后級內部網服務器路由器雙端口防火墻交換器外部網防火墻防火墻的分類包過濾防火墻代理防火墻NAT防火墻防火墻包過濾防火墻檢查IP包，根據規則進行過濾簡單、高速無法檢測基于應用層的行為內部網絡服務器外部網絡防火墻防火墻應用層代理代理外部（或內部）用戶訪問內部（或外部）網絡，杜絕內部和外部的直接訪問代理服務器分析客戶的請求，依據策略允許或者拒絕某個特定的請求能夠對高層應用進行檢查審計、授權、訪問控制更加精細分為透明代理和不透明代理防火墻NAT防火墻針對IP地址告急和專用IP地址在部分企業網中的應用，出現了地址遷移路由器（NAT路由器或者NAT服務器）NAT路由器負責全局/本地（私有）IP地址的映射，屏蔽內部IP地址內部節點作為進行連接的發起點東大防火墻校園網國際代理服務器國內代理服務器Socks代理服務器路由器交換器外部網郵件服務WWW服務防火墻黑客防火墻內部主機受到攻擊防火墻阻斷攻擊內部主機內部主機合法用戶成功訪問DMZ區WEBEMAIL服務器服務器內部網用戶通過認證網絡安全-Firewall

FirewallVS. IDS

+

=>ActiveFirewallSystem What?AProtectionSystemforsmall/mediumorganization,basedontheintegrationandcooperationofthetraditionalsecuritydevices.Why?Moredangerousworld(threats:worm,attack,etc.)Singledevices:notcompetentComponents:Firewall,IDS,Scanner,andPolicyCenter網絡安全-Active

Firewall網絡安全-Active

Firewall目標：自主研制一個集成入侵檢測、安全掃描等多種安全技術、基于NP的軟硬件結合的主動式防火墻系統，該系統具有相當的安全強度，能夠適應大中型企業內部網絡（百M以上）的安全需求，并且易于配置和使用，同時還將具備完善的身份認證、信息過濾、虛擬專網、訪問控制、掃描監測、地址轉換、日志審計等功能。網絡安全-Active

FirewallTwoApproachesIntelligenceGoal:moreintelligentinautomaticallydetectingthreatandrespondingApproach:SecurityPolicyCenterPerformanceGoal:faster,smoothinpacketprocessingwire-speed!Approach:

by

NetworkProcessor網絡安全-Active

FirewallTheOldArchitecture網絡安全-Active

FirewallTheNewArchitecture網絡安全-Active

FirewallTheInfo.Flow網格計算-WhatGRID提供一個單一的、安全的、聚集網絡上廣泛分布的各種資源（計算力、數據、存儲、程序、代碼、軟件和應用），進行大規模計算、數據處理和資源共享的通用基礎支撐結構。網格就是在動態變化的、擁有多個部門或者團體的復雜虛擬組織（VirtualOrganization）內，靈活、安全的協同資源共享與問題求解。所謂虛擬組織是指一些個人、組織或者資源的動態組合。潛藏在網格概念之中確切而特殊的問題就在于，實現對等的資源共享和解決動態的、分布式的的虛擬組織所遇到的問題。這里的共享不僅僅是簡單的文件交換，更強調直接對計算機，軟件，數據以及其它資源的直接訪問，這種需求在工業，科學以及工程界等許多領域都會遇到。共享的廣泛性：傳統因特網實現了計算機硬件的連通和通信；Web技術實現了網頁的連通；而網格則試圖現實互聯網上所有資源的全面連通，包括計算資源、存儲資源、通信資源、軟件資源、信息資源、知識資源等等；動態性（dynamic）：網格環境下的資源是一種跨越多個組織的資源共享，資源的加入和撤離是動態的行為。網格計算-What軍事仿真（SF－Express）遠程醫療、儀器訪問EU-DataGrid虛擬博物館、協作學習環境U.S.GIG、ChinaGrid網格應用應用的推動分布式超級計算分布式儀器系統數據密集型計算遠程沉浸信息集成CAD/CAM生命科學數字生物學網格計算-Why高性能計算需求遙感天文學網格計算-Why天氣預報

大氣海洋模擬網格計算-Why航空航天網格計算-Why軍事指揮網格計算-Why網格計算-Why現有技術無法解決全部問題

Web技術：能夠出色的支持瀏覽器--服務器（B/S）交互模式，是今天的WEB的基礎,但是缺乏滿足在虛擬組織中更復雜的互動所需要的特性。分布式企業計算技術：CORBA，EnterpriseJavaBeans，Java2EnterpriseEdition和DCOM等系統被設計為用來構造分布式的應用。但是這些機制并不涉及建立虛擬組織特別的需要，典型的共享安排是基于靜態的，只限于在一個組織內部使用，交互的基本形式是客戶機－服務器，而不是對等使用多種資源。網格體系結構Application構造層Fabric“Controllingthingslocally”:Accessto,&controlof,resources連通層“Talkingtothings”:通訊(Internetprotocols)&安全資源層Resource“共享單個資源”:協商訪問,控制使用聚合層Collective“管理多個資源”:無處不在的底層基礎服務services應用層“Specializedservices”:面向用戶或面向應用的分布式服務servicesInternetTransportApplicationLinkInternetProtocolArchitecture我們的工作基于信任機制的任務調度策略基于QoS的網格資源分配管理網格QoS層次結構模型的研究基于兩階段匹配的網格服務發現模型基于信任參數實現帶結果反饋的動態授權ChinaGrid網格節點建設國家自然基金重大項目－AMS數據處理與分析平臺的研究與實現SOA與WEBServices課程復習2.2．信道的傳輸特性信道速率（bps）vs.波特率（baud）波特率：信號每秒鐘變化的次數，也稱調制速率。比特率：每秒鐘傳送的二進制位數。波特率與比特率的關系取決于信號值與比特位的關系，對計算機二進制信號，兩者象等。例：每個信號值可表示３位，則比特率是波特率的３倍； 每個信號值可表示１位，則比特率和波特率相同。2.1數據通信的系統構成功能結構信源信宿載體(信道)噪聲源反變換器變換器差錯控制2.2信道的傳輸特性cont’d串行異步傳輸同步傳輸(依靠雙方始終的精確同步)2.2信道的傳輸特性cont’d數字型信源Modem模擬型信源Codec數字信道模擬信道數字型信宿Modem模擬型信宿Codec光電轉換光電轉換頻率轉換頻率轉換2.3.調制解調與編解碼技術編碼連個問題：效率和時鐘同步2.4.錯誤檢測與糾錯技術錯誤檢測（Detection）基本途徑，在信息中增加冗余信息（redundancy）奇偶校驗（parity）循環校驗（CRC）2.4.錯誤檢測與糾錯技術cont’d錯誤糾正(一位錯)水平/垂直奇偶糾錯碼(使用偶校驗）2.4.錯誤檢測與糾錯技術Cont’d正反碼舉例：合成信息字校驗原信息接收碼字碼組段奇/偶碼組結果字段010110101100000奇（不變）00000正確01011100100110111111偶（取反）00000正確10010011110101100100偶（取反）11011信息位3錯01011100100100111011偶（取反）00100校驗位3錯10010正反碼具有糾一位錯的能力，其編碼效率為50％。正反碼2.5、媒體復用技術TDMFDMWDM復用技術T11.544mbpsE12.148mbps2.6、交換技術電路交換分組交換報文交換交換技術3.1、ISO/OSI網絡參考模型3.2、ISO/OSI網絡參考模型cont’d網絡層基于DL層的問題數據鏈路層僅提供點對點的數據鏈路，不能直接提供用戶數據的端到端之間的傳輸。當用戶設備連入網絡時，希望可以和任一其他用戶通信。利用復用/解復用技術，將一條DL劃分為若干條邏輯電路（稱為邏輯信道LC），并且，采用LC號來區分不同用戶的數據，實現多對用戶的數據可以交織在同一條數據鏈路上傳輸。3.2、

ISO/OSI網絡參考模型cont’dDL層提供服務無連接服務虛電