網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全..

1、第八章計算機(jī)網(wǎng)絡(luò)管理基礎(chǔ)和網(wǎng)絡(luò)安全性【職業(yè)能力目標(biāo)】1)了解網(wǎng)絡(luò)管理的功能域，為進(jìn)行網(wǎng)絡(luò)管理打好基礎(chǔ)。了解網(wǎng)絡(luò)安全的三類問題，為規(guī)劃好安全的網(wǎng)絡(luò)提供理論支持。3)了解Internet的安全問題，能解決上網(wǎng)過程中的現(xiàn)實問題。2)8.1網(wǎng)絡(luò)的管理功能1. OSI管理功能域(1)配置管理：自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，構(gòu)造和維護(hù) 網(wǎng)絡(luò)系統(tǒng)的配置。監(jiān)測網(wǎng)絡(luò)被管對象的狀態(tài)，完成網(wǎng) 絡(luò)關(guān)鍵設(shè)備配置的語法檢査，配置口動生成和口動配 置備份系統(tǒng)，對于配置的一致性進(jìn)行嚴(yán)格的檢驗。配普佶息的自動獲取。因為在網(wǎng)絡(luò)中，需要管理的設(shè)管理人員的手工輸入，工作量是和當(dāng)大的，而且還存在出錯的可能性。對于不熟悉網(wǎng)絡(luò)結(jié)構(gòu)的人員來說， 這

2、項工作甚至無法完成。兇此，一個先進(jìn)的網(wǎng)絡(luò)管理 系統(tǒng)應(yīng)該具有配置信息自動獲取功能。8.1網(wǎng)絡(luò)的管理功能自動配置、自動備份。配置信息自動獲取功能相當(dāng)于從網(wǎng)絡(luò)設(shè)備屮“讀”信息，相應(yīng)的，在網(wǎng)絡(luò)管理應(yīng)用中還有大量“寫”信息的需求，也就 是要完成網(wǎng)絡(luò)的自動配置功能。配置一致性檢查。由于網(wǎng)絡(luò)設(shè)備眾多，而且由 于管理的原因，這些設(shè)備很可能不是由同一個管理人員進(jìn)行配置的。因此，對整個網(wǎng)絡(luò)的配置情況進(jìn)行一致性檢查是必需的。主要是針對路由器 端口配置和路由信息配置這兩項的檢查。用戶操作記錄功能。在配置管理中，需要對用 戶操作進(jìn)行記錄，并保存下來。管理人員可以隨備是比較多的,如果每個設(shè)備的配fI信息都完全依靠作。nr

3、時查看特定用戶在特定時間內(nèi)進(jìn)行的特定配置操8.1網(wǎng)絡(luò)的管理功能8.1網(wǎng)絡(luò)的管理功能-（2）故障管理：過濾、歸并網(wǎng)絡(luò)事件，有效 地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障，給出排錯建議與 排錯工具，形成整套的故障發(fā)現(xiàn)、告警與 處理機(jī)制。故障監(jiān)測。主動探測或被動接收網(wǎng)絡(luò)上 的各種事件信息，并識別出其中與網(wǎng)絡(luò)和 系統(tǒng)故障相關(guān)的內(nèi)容，對其中的關(guān)鍵部分 保持跟蹤，生成網(wǎng)絡(luò)故障事件記錄。故障報警。接收故障監(jiān)測模塊傳來的報 警信息，根據(jù)報警策略驅(qū)動不同的報警程 序，以報警窗口 /振鈴（通知一線網(wǎng)絡(luò)管理 人員）或電子郵件（通知決策管理人員）發(fā)出 網(wǎng)絡(luò)嚴(yán)重故障警報。8.1網(wǎng)絡(luò)的管理功能故障信息管理。依靠對事件記錄的分析，定義 網(wǎng)絡(luò)故

4、障并牛成故障卡片，記錄排除故障的步驟 和與故障相關(guān)的值班員日志，構(gòu)造排錯行動記錄, 將事件故障志構(gòu)成邏輯上相互關(guān)聯(lián)的整體， 以反映故障產(chǎn)牛.變化、消除的整個過程的各個 方面。I排錯支持工具。向管理人員提供一系列的實時 檢測工具，對被管設(shè)備的狀況進(jìn)行測試并記錄下 測試結(jié)果以供技術(shù)人員分析和排錯。檢索/分析故障信息。瀏閱并且以關(guān)鍵字檢索 查詢故障管理系統(tǒng)中所有的數(shù)據(jù)庫記錄，定期收 集故障記錄數(shù)據(jù)，在此基礎(chǔ)上給出被管網(wǎng)絡(luò)系統(tǒng)、 被管線路設(shè)備的可靠性參數(shù)。8.1網(wǎng)絡(luò)的管理功能-(3)性能管理：采集、分析網(wǎng)絡(luò)對象的性能 數(shù)據(jù)，監(jiān)測網(wǎng)絡(luò)對象的性能，對網(wǎng)絡(luò)線路 質(zhì)量進(jìn)行分析。同時，統(tǒng)計網(wǎng)絡(luò)運(yùn)行狀態(tài) 信息，對

5、網(wǎng)絡(luò)的使用發(fā)展作出評測、估計, 為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)。由用戶定義被管對象及其屬性。閾值控制。性能分析?？梢暬男阅軋蟾妗崟r性能監(jiān)控。網(wǎng)絡(luò)對象性能查詢。8.1網(wǎng)絡(luò)的管理功能-(4)安全管理：結(jié)合使用用戶認(rèn)證、訪問控制、數(shù)據(jù)傳輸、存儲的保密與完整性機(jī)制,以保障網(wǎng)絡(luò)管理系統(tǒng)本身的安全。維護(hù)系 統(tǒng)日志，使系統(tǒng)的使用和網(wǎng)絡(luò)對象的修改 有據(jù)可查。控制對網(wǎng)絡(luò)資源的訪問。計費(fèi)管理：對網(wǎng)際互聯(lián)設(shè)備按IP地址的 雙向流量統(tǒng)計，產(chǎn)生多種信息統(tǒng)計報告及 流量對比，并提供網(wǎng)絡(luò)計費(fèi)工具，以便用 戶根據(jù)自定義的要求實施網(wǎng)絡(luò)計費(fèi)。8.1網(wǎng)絡(luò)的管理功能2.網(wǎng)絡(luò)管理協(xié)議(1 ) SNMP簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是

6、最早提出的網(wǎng)絡(luò)管理協(xié) 議之一，它一推出就得到了廣泛的應(yīng)用和支持，特別 是很快得到了數(shù)百家廠商的支持， 其中包括IBM, HP, SUN等大公司和廠商。網(wǎng)元(被管理的設(shè)備)。代理(Agent)。網(wǎng)絡(luò)管理系統(tǒng)(NMS, Network Managent System)。8.1網(wǎng)絡(luò)的管理功能2.網(wǎng)絡(luò)管理協(xié)議(2) CMIS/CMIP公共管理信息服務(wù)/公共管理信息協(xié)議(CMIS/CMIP)是為OSI提供的網(wǎng)絡(luò)管理協(xié)議簇。CMIS定義了 每個網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù)，這些服務(wù)在 本質(zhì)上是很普通的，CMIP則是實現(xiàn)CMIS服務(wù)的協(xié)議。(3) CMOT公共管理信息服務(wù)與協(xié)議(CMOT)是在TCP /

7、IP協(xié)議 簇上實現(xiàn)CMIS服務(wù)，這足種過渡性的解決方案， 直到OSI網(wǎng)絡(luò)管理協(xié)議被廣泛采用。8.1網(wǎng)絡(luò)的管理功能2.網(wǎng)絡(luò)管理協(xié)議(4) LMMP局域網(wǎng)個人管理協(xié)議(LMMP)試圖為LAN環(huán)境提供一 個網(wǎng)絡(luò)育理方案。LMMP以前被稱為IEEE802邏輯鏈 路控制上的公共管理信息服務(wù)與協(xié)議(CMOL)o由于 該協(xié)議直接位于IEEE802邏輯鏈路層(LLC)上，它可 以不依賴于任何特定的網(wǎng)絡(luò)層協(xié)議進(jìn)行網(wǎng)絡(luò)傳輸。8.2網(wǎng)絡(luò)安全 一機(jī)房安全機(jī)房物理安全。需要和置個寬大、安全的設(shè)備間。每排設(shè)備架間要 留出足夠的空間，以便于安全地移動設(shè)備而不必?fù)?dān)心 撞上設(shè)備架。其實哪怕是一小堆電纜也能引起停工。給毎個電纜貼

8、上標(biāo)簽，并保持良好的排放順序是完全 必要的。設(shè)備間有防火災(zāi)、防地震、防雷擊的措 施。網(wǎng)絡(luò)備份點(diǎn)放在和設(shè)備間不同的地方。對于關(guān)8.1網(wǎng)絡(luò)的管理功能要及時做修改備份。鍵設(shè)備配置 的備份,當(dāng)任何時候所需設(shè)備改變時,8.2網(wǎng)絡(luò)安全機(jī)房電氣安全。系統(tǒng)故障往往先出在通訊設(shè)備的電源上，內(nèi)此首要的 任務(wù)是保證網(wǎng)絡(luò)設(shè)備的電源供應(yīng)。如果設(shè)備是直流供電，那么首先需要一個從交流變換到直流的整流器。變換過程并不能保證不出現(xiàn)電源故障，因而需要電池作為備用的不間斷能源。同樣，如果系統(tǒng)設(shè)備需要使用交流供電系統(tǒng)供電的話，可以考慮采用UPS來為系統(tǒng)設(shè)備提供備用的交流電源。8.2網(wǎng)絡(luò)安全二.網(wǎng)絡(luò)病毒與防治網(wǎng)絡(luò)病毒 種威脅是來自文件

9、下載。這些被瀏覽的或是通過FTP下載的文件中可能存在病毒。另一種主要威脅來自于電子郵件。人多數(shù)的Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的 功能。只要簡單地敲敲鍵盤，郵件就可以發(fā)給個或 -組收信人。因此，受病毒感染的文檔或文件就可能 通過網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。8.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)病毒的防治網(wǎng)絡(luò)病毒防治必須考慮安裝病毒防治軟件。常用防病毒軟件冃前流行的幾個國產(chǎn)反病毒軟件幾乎占有了8 0 %以上 的國內(nèi)市場，其中江民KV300、信源VRV、金辰KILL、 瑞星RAV等四個產(chǎn)品更是頗具影響。近幾年國外產(chǎn)品 陸續(xù)進(jìn)入中國，如NAI、ISS、CA等。8.2網(wǎng)絡(luò)安全三.網(wǎng)絡(luò)黑客與

10、防范措施(1)什么是網(wǎng)絡(luò)黑客他們通常具有硬件和軟件的高級知識，并有能力通過創(chuàng)新的方 法剖析系統(tǒng)。 “黑客能使更多的網(wǎng)絡(luò)趨于完善和安全， 他們 以保護(hù)網(wǎng)絡(luò)為目的，而以不正當(dāng)侵入為手段找出網(wǎng)絡(luò)漏洞。(2)網(wǎng)絡(luò)黑客攻擊方法獲取口令。放置特洛伊木馬程序。WWW的欺騙技術(shù)。電子郵件攻擊。通過一個節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)。網(wǎng)絡(luò)監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，利用帳號進(jìn)行攻擊8.2網(wǎng)絡(luò)安全(3)防范措施經(jīng)常做telnet、ftp等需要傳送口令的重要機(jī)密信息 應(yīng)用的主機(jī)應(yīng)該單獨(dú)設(shè)立一個網(wǎng)段。網(wǎng)管不得訪問Interneto并建議設(shè)立專門機(jī)器使用ftp或WWW下載工具和資料。對用戶開放的各個主機(jī)的口志文件全部定向到

11、一個syslogd server上，集中管理。專用主機(jī)只開專用功能，網(wǎng)管網(wǎng)段路由器中的訪問 控制應(yīng)該限制在最小限度，研究清楚各進(jìn)程必需的進(jìn) 程端口號，關(guān)閉不必要的端口。8.2網(wǎng)絡(luò)安全四.防火墻技術(shù)(1)防火墻原理防火墻(FireWall)成為近年來新興的保護(hù)計算機(jī)網(wǎng) 絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)，在某個 機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置 屏障，阻止對信息資源的非法訪問，也可以使用防火 墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。(2)防火墻的種類從實現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級 防火墻(也叫包過濾型防火墻)、應(yīng)用級網(wǎng)關(guān)、電路 級網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長，具體 使用哪種或是否混合使用，要看具體需要。8.2網(wǎng)絡(luò)安全(3)防火墻的使用在具體應(yīng)用防火墻技術(shù)時，還要考慮到兩個方面：防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品 聲稱其具有這個功能。防火墻技術(shù)的另外一個弱點(diǎn)在于數(shù)據(jù)在防火墻Z間 的更新是一個難題，如果延遲太大將無法支持實時服 務(wù)請求。并TL,防火墻采用濾波技術(shù)， 濾波通常使網(wǎng) 絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購 置高速路由器，又會大大提高經(jīng)濟(jì)預(yù)算。8.3 Internet的安全問題Internet的普