網(wǎng)絡(luò)設(shè)備配置與管理 課件 【ch04】網(wǎng)絡(luò)管理

項(xiàng)目四網(wǎng)絡(luò)設(shè)備配置與管理網(wǎng)絡(luò)管理計(jì)算機(jī)專業(yè)·任務(wù)驅(qū)動(dòng)應(yīng)用型教材01網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理的基本概念01網(wǎng)絡(luò)管理概述國際標(biāo)準(zhǔn)化組織在ISO/IEC7498-4中定義并描述了開放系統(tǒng)互聯(lián)(OSI)管理的術(shù)語和概念，提出了一個(gè)OSI管理的結(jié)構(gòu)并描述了OSI管理應(yīng)有的行為。它認(rèn)為，OSI管理是指這樣一些功能，它們控制、協(xié)調(diào)、監(jiān)視OSI環(huán)境下的一些資源，這些資源保證OSI環(huán)境下的通信。從網(wǎng)絡(luò)管理的定義可以看出，網(wǎng)絡(luò)管理包括以下幾個(gè)方面:收集網(wǎng)絡(luò)中各種設(shè)備和系統(tǒng)的工作參數(shù)、運(yùn)行狀態(tài)信息;處理收集到的各種信息，并以各種各樣的方式呈現(xiàn)給網(wǎng)絡(luò)管理員；接收網(wǎng)絡(luò)管理員的指令或根據(jù)對(duì)上述信息的處理結(jié)果向網(wǎng)絡(luò)中的設(shè)備發(fā)出控制指令，即實(shí)施網(wǎng)絡(luò)控制功能，同時(shí)監(jiān)視指令執(zhí)行的結(jié)果。網(wǎng)絡(luò)管理的基本概念01網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理的目的就是使網(wǎng)絡(luò)中的資源得到更加有效的利用。它應(yīng)維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)能及時(shí)報(bào)告和處理，并協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效運(yùn)行。網(wǎng)絡(luò)管理的一般模型如圖4-1所示。網(wǎng)絡(luò)管理的基本概念01網(wǎng)絡(luò)管理概述管理站(硬件)或網(wǎng)絡(luò)管理程序(軟件都可稱為管理者。管理者不是指人而是指機(jī)器或軟件，網(wǎng)絡(luò)管理員(Administrator)指的是人。由此可見，該模型由計(jì)算機(jī)網(wǎng)絡(luò)、管理員及網(wǎng)絡(luò)管理系統(tǒng)等部分緊密結(jié)合而成。目前從技術(shù)發(fā)展的情況看，現(xiàn)有的網(wǎng)絡(luò)管理軟件已經(jīng)全部發(fā)展為B/S結(jié)構(gòu)，為基于Web的網(wǎng)絡(luò)管理軟件，管理思想基本上一致。網(wǎng)絡(luò)管理的基本目標(biāo)網(wǎng)絡(luò)管理的基本目標(biāo)是滿足網(wǎng)絡(luò)經(jīng)營(yíng)者及用戶對(duì)網(wǎng)絡(luò)的有效性、可靠性、開放性綜合性、安全性和經(jīng)濟(jì)性的要求。從上述6點(diǎn)基本要求來看，網(wǎng)絡(luò)管理的目的就是最大限度地增加網(wǎng)絡(luò)可利用的時(shí)間,合理地組織、分配和利用網(wǎng)絡(luò)系統(tǒng)資源，保證網(wǎng)絡(luò)正常、可靠和安全地運(yùn)行，提供安全、可靠、經(jīng)濟(jì)、有效和優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)，以滿足網(wǎng)絡(luò)經(jīng)營(yíng)者和用戶的需要。02網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理的主要內(nèi)容從網(wǎng)絡(luò)管理的定義可以看出，網(wǎng)絡(luò)管理就是對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)和控制。網(wǎng)絡(luò)管理員的日常工作繁雜，主要有7項(xiàng)任務(wù):網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理、網(wǎng)絡(luò)操作系統(tǒng)管理、網(wǎng)絡(luò)應(yīng)用系統(tǒng)管理、網(wǎng)絡(luò)用戶管理、網(wǎng)絡(luò)安全保密管理、信息存儲(chǔ)備份管理和網(wǎng)絡(luò)機(jī)房管理。這些管理涉及多個(gè)領(lǐng)域，每個(gè)領(lǐng)域的管理又有各自特定的任務(wù)。03網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理的基本方式隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)設(shè)備越來越復(fù)雜，其本身就提供了強(qiáng)大的網(wǎng)絡(luò)管理功能，使得網(wǎng)絡(luò)管理的方式從集中方式變?yōu)橐苑稚⒎绞綖橹?。為了能夠綜合管理整個(gè)網(wǎng)絡(luò)，在網(wǎng)絡(luò)之上又專門建立了網(wǎng)絡(luò)管理網(wǎng)，使網(wǎng)絡(luò)管理系統(tǒng)在體系結(jié)構(gòu)上更加合理。在傳統(tǒng)的常規(guī)網(wǎng)絡(luò)管理方式的基礎(chǔ)上，出現(xiàn)了智能化的網(wǎng)絡(luò)管理方式。依賴智能化的網(wǎng)絡(luò)管理方式，網(wǎng)絡(luò)管理員能更加有效地掌控網(wǎng)絡(luò)，更好地達(dá)到網(wǎng)絡(luò)管理的目標(biāo)。04網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理的基本概念05網(wǎng)絡(luò)管理的對(duì)象網(wǎng)絡(luò)硬件系統(tǒng)網(wǎng)絡(luò)硬件系統(tǒng)主要是指組建計(jì)算機(jī)網(wǎng)絡(luò)的一些硬件設(shè)備，包括主機(jī)、交換機(jī)、路由器、服務(wù)器、終端、不間斷電源(UninterruptiblePowerSupply，UPS)等，也包括一些通信基礎(chǔ)設(shè)備，如PDH/SDH傳輸設(shè)備、密集型光波復(fù)用(DenseWavelengthDivisionMultiplexing，DWDM)傳輸設(shè)備等。這些設(shè)備可以看成是構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各個(gè)節(jié)點(diǎn)的業(yè)務(wù)節(jié)點(diǎn)設(shè)備，用傳輸線纜將這些節(jié)點(diǎn)設(shè)備按照節(jié)點(diǎn)之間的關(guān)系組建計(jì)算機(jī)網(wǎng)絡(luò)，它們一般都是物理上存在的一些實(shí)體，看得見，摸得著，都屬于網(wǎng)絡(luò)管理的對(duì)象。網(wǎng)絡(luò)管理的基本概念05網(wǎng)絡(luò)管理的對(duì)象網(wǎng)絡(luò)軟件系統(tǒng)網(wǎng)絡(luò)軟件系統(tǒng)是指計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備正常運(yùn)行所需要的一些軟件，如網(wǎng)絡(luò)操作系統(tǒng)UNIX、Linux和WindowsServer2003等，還包括些網(wǎng)絡(luò)管理的專用軟件，用于對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和監(jiān)控，這些專用軟件主要是一些具有較強(qiáng)網(wǎng)絡(luò)管理功能的系統(tǒng)軟件，輔助網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)。網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)主要是指計(jì)算機(jī)網(wǎng)絡(luò)中面向用戶提供的各種應(yīng)用性業(yè)務(wù)。02網(wǎng)絡(luò)管理的基本功能網(wǎng)絡(luò)管理的基本功能01配置管理配置管理是最基本、最核心的網(wǎng)絡(luò)管理功能，主要提供資源清單管理功能、資源開通功能、業(yè)務(wù)開通功能及網(wǎng)絡(luò)拓?fù)浞?wù)功能。配置管理負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)的基本配置信息，使網(wǎng)絡(luò)管理員可以根據(jù)需要隨時(shí)查詢、生成和修改軟硬件的運(yùn)行狀態(tài)及參數(shù)，以保障網(wǎng)絡(luò)的正常運(yùn)行。配置管理是一個(gè)中長(zhǎng)期的活動(dòng)，它要管理的是因網(wǎng)絡(luò)增容、設(shè)備更新、新技術(shù)的應(yīng)用、新業(yè)務(wù)的開通、新用戶的加入、業(yè)務(wù)的撤銷、用戶的遷移等原因而導(dǎo)致的網(wǎng)絡(luò)配置的變更。網(wǎng)絡(luò)管理的基本功能01配置管理資源清單管理功能資源清單管理功能是配置管理的基本功能之一。在一個(gè)大型網(wǎng)絡(luò)中，需要管理的設(shè)備比較多，如果每個(gè)設(shè)備的配置信息都完全依靠網(wǎng)絡(luò)管理員人工獲取，工作量是相當(dāng)大的，而且不容易做到。資源清單管理功能可以聯(lián)機(jī)提供網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、器材、電路、服務(wù)、客戶、設(shè)備廠商等資源的信息，網(wǎng)絡(luò)管理員即使在不是很熟悉網(wǎng)絡(luò)結(jié)構(gòu)和配置狀況的情況下，也能通過有關(guān)的技術(shù)手段查詢對(duì)網(wǎng)絡(luò)設(shè)備的配置信息。網(wǎng)絡(luò)管理的基本功能01配置管理資源開通功能資源開通功能保證根據(jù)客戶的業(yè)務(wù)需求，經(jīng)濟(jì)合理地供應(yīng)、開發(fā)和配置所需的資源資源開通功能所指的資源主要是指提供接入、交換、傳輸和MIB等功能的網(wǎng)絡(luò)設(shè)備。業(yè)務(wù)開通功能業(yè)務(wù)的開通從用戶要求時(shí)開始，到網(wǎng)絡(luò)實(shí)際提供業(yè)務(wù)時(shí)結(jié)束。它包含網(wǎng)絡(luò)裝載和管理業(yè)務(wù)所需要的過程，也具有向各個(gè)客戶或客戶組分配物理資源或邏輯資源的能力。網(wǎng)絡(luò)管理的基本功能01配置管理網(wǎng)絡(luò)拓?fù)浞?wù)功能網(wǎng)絡(luò)拓?fù)浞?wù)提供顯示網(wǎng)絡(luò)及各個(gè)構(gòu)成層次的布局的功能。顯示的網(wǎng)絡(luò)布局有3種形式，即物理布局、邏輯布局與電氣布局。為了支持各個(gè)層次各種形式的網(wǎng)絡(luò)布局顯示，需要網(wǎng)絡(luò)配置數(shù)據(jù)庫的支持，存放當(dāng)前設(shè)備的配置數(shù)據(jù)和歷史的配置數(shù)據(jù)，以便能夠顯示網(wǎng)絡(luò)布局的變化過程。網(wǎng)絡(luò)管理的基本功能02故障管理故障管理是網(wǎng)絡(luò)管理中最基本的功能之一，它的目的是迅速發(fā)現(xiàn)和糾正網(wǎng)絡(luò)故障動(dòng)態(tài)維護(hù)網(wǎng)絡(luò)服務(wù)水平，保證網(wǎng)絡(luò)有高度的可用性和有效性。故障管理通過檢測(cè)、記錄日志并通知用戶，盡可能地自動(dòng)修復(fù)網(wǎng)絡(luò)故障，保障網(wǎng)絡(luò)的正常運(yùn)行。網(wǎng)絡(luò)發(fā)生故障后，必須迅速進(jìn)行故障診斷和故障定位，以便盡快修復(fù)故障，恢復(fù)業(yè)務(wù)。進(jìn)行故障管理可以采取兩種策略，即事后策略和預(yù)防策略。網(wǎng)絡(luò)管理的基本功能02故障管理故障檢測(cè)是指主動(dòng)檢測(cè)或被動(dòng)接收網(wǎng)絡(luò)上的各種事件信息，分析出其中與網(wǎng)絡(luò)和系統(tǒng)故障相關(guān)的內(nèi)容，對(duì)其關(guān)鍵部分保持跟蹤，生成網(wǎng)絡(luò)故障事件記錄。報(bào)警功能是指接收故障檢測(cè)模塊傳來的報(bào)警信息，根據(jù)報(bào)警策略驅(qū)動(dòng)不同的報(bào)警程序，以報(bào)警窗口/振鈴(通知值班網(wǎng)絡(luò)管理人員)或電子郵件(通知決策管理人員)發(fā)出網(wǎng)絡(luò)嚴(yán)重故障警報(bào)。故障檢測(cè)和報(bào)警功能網(wǎng)絡(luò)管理的基本功能02故障管理故障信息管理是很有意義的，它對(duì)預(yù)防故障的再次發(fā)生起到了很好的警示作用。有排錯(cuò)經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員會(huì)經(jīng)常檢索并分析故障信息，故障信息管理可以從兩個(gè)方面入手:第一，網(wǎng)絡(luò)管理員應(yīng)該深入分析故障發(fā)生的事件記錄，定義網(wǎng)絡(luò)故障并生成故障卡片，記錄故障發(fā)生的原因和解決方案，這些故障信息的收集整理都是非常有用的;第二,故障信息很大一部分是網(wǎng)絡(luò)設(shè)備模塊自動(dòng)記錄的日志、報(bào)警信息等，這些信息對(duì)于網(wǎng)絡(luò)管理員修復(fù)網(wǎng)絡(luò)故障都是非常有幫助的。故障信息管理功能網(wǎng)絡(luò)管理的基本功能02故障管理故障定位功能就是要確定網(wǎng)絡(luò)設(shè)備中故障的位置，找出故障發(fā)生的真正原因。故障定位的手段主要有診斷、試運(yùn)行和軟件檢查。(1)診斷:檢驗(yàn)設(shè)備的性能是否正常。需要注意的是，在診斷進(jìn)行期間，被診斷的設(shè)備不能進(jìn)行正常的業(yè)務(wù)。(2)試運(yùn)行:將部分網(wǎng)絡(luò)設(shè)備隔離，利用被試運(yùn)行設(shè)備正常的輸入輸出端口和測(cè)試器，系統(tǒng)地測(cè)試被隔離網(wǎng)絡(luò)設(shè)備的所有服務(wù)特性。(3)軟件檢查:利用軟件進(jìn)行的檢查有核查、校驗(yàn)、運(yùn)行測(cè)試和程序跟蹤等。故障定位功能網(wǎng)絡(luò)管理的基本功能02故障管理電路測(cè)試功能電路測(cè)試是指對(duì)分散在不同位置的網(wǎng)絡(luò)設(shè)備之間的線纜進(jìn)行測(cè)試，看是否發(fā)生故障并且確定發(fā)生故障的位置，通常的方式是進(jìn)行端到端的測(cè)試。業(yè)務(wù)恢復(fù)功能業(yè)務(wù)恢復(fù)是指網(wǎng)絡(luò)在發(fā)生故障后，必須繼續(xù)提供業(yè)務(wù)。性能管理性能管理用來評(píng)估系統(tǒng)資源的運(yùn)行狀況及通信效率等系統(tǒng)性能，其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能。性能分析的結(jié)果可能會(huì)觸發(fā)某個(gè)診斷測(cè)試過程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。性能管理收集分析有關(guān)被管網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息，并維持和分析性能日志。目前高校的P2P流量大量占用著網(wǎng)絡(luò)帶寬，只有有效地對(duì)網(wǎng)絡(luò)帶寬進(jìn)行分析統(tǒng)計(jì)并采取相關(guān)的措施，才能保證校園網(wǎng)高速地運(yùn)行。03網(wǎng)絡(luò)管理的基本功能安全管理安全管理的任務(wù)主要是保證網(wǎng)絡(luò)資源的安全，防止非法入侵，確保網(wǎng)絡(luò)中的服務(wù)、數(shù)據(jù)及系統(tǒng)免受侵?jǐn)_和破壞，包括網(wǎng)絡(luò)管理系統(tǒng)本身，保證整個(gè)網(wǎng)絡(luò)體系的安全。安全管理的功能可以分為兩個(gè)層次:一是網(wǎng)絡(luò)管理系統(tǒng)本身的安全;二是被管網(wǎng)絡(luò)的安全。需要明確的是，安全管理很大程度上依賴于現(xiàn)有的網(wǎng)絡(luò)與信息安全技術(shù)，并不可能做到百分之百保證網(wǎng)絡(luò)不受到侵?jǐn)_和破壞。網(wǎng)絡(luò)管理員應(yīng)盡可能采用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)手段抵御網(wǎng)絡(luò)入侵和破壞，嚴(yán)格履行網(wǎng)絡(luò)管理員的職責(zé)，提高網(wǎng)絡(luò)安全防范意識(shí)最大限度地保障網(wǎng)絡(luò)的安全。04網(wǎng)絡(luò)管理的基本功能網(wǎng)絡(luò)管理的基本功能04安全管理1風(fēng)險(xiǎn)分析功能網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)時(shí)刻刻困擾著網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員必須對(duì)網(wǎng)絡(luò)系統(tǒng)可能受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析，對(duì)系統(tǒng)可能遭受威脅的網(wǎng)絡(luò)設(shè)備做到心中有數(shù)，對(duì)潛在的各種攻擊行為及其產(chǎn)生的嚴(yán)重后果進(jìn)行分析，盡可能加強(qiáng)安全防范。2安全服務(wù)功能網(wǎng)絡(luò)安全服務(wù)是通過網(wǎng)絡(luò)安全機(jī)制來實(shí)現(xiàn)的，一般的網(wǎng)絡(luò)會(huì)采取網(wǎng)絡(luò)安全機(jī)制來提高網(wǎng)絡(luò)安全性能，保障設(shè)備安全可靠地運(yùn)行。網(wǎng)絡(luò)安全機(jī)制包括加密、數(shù)字簽名、認(rèn)證、訪問控制、路由控制、業(yè)務(wù)流分析保護(hù)等。網(wǎng)絡(luò)管理的基本功能04安全管理3報(bào)警、日志和報(bào)告功能網(wǎng)絡(luò)安全管理提供報(bào)警、日志和報(bào)告功能，可以幫助網(wǎng)絡(luò)管理員更好地掌握網(wǎng)絡(luò)安全狀況。4網(wǎng)絡(luò)管理系統(tǒng)的保護(hù)功能網(wǎng)絡(luò)管理系統(tǒng)是網(wǎng)絡(luò)的中樞機(jī)構(gòu)，有關(guān)網(wǎng)絡(luò)的一切信息和數(shù)據(jù)都和網(wǎng)絡(luò)管理系統(tǒng)密切相關(guān)，這一部分是網(wǎng)絡(luò)安全管理中的重點(diǎn)，必須采用高度可靠的安全措施對(duì)其進(jìn)行保護(hù)。計(jì)費(fèi)管理計(jì)費(fèi)管理主要負(fù)責(zé)監(jiān)視和記錄網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的使用情況，并按相關(guān)標(biāo)準(zhǔn)核收費(fèi)用，其目的是通過收取用戶使用網(wǎng)絡(luò)服務(wù)的費(fèi)用以便進(jìn)行網(wǎng)絡(luò)資源利用率的統(tǒng)計(jì)分析和網(wǎng)絡(luò)成本效益的核算。計(jì)費(fèi)管理所涉及的網(wǎng)絡(luò)資源包括硬件資源和軟件資源、網(wǎng)絡(luò)服務(wù)及網(wǎng)絡(luò)設(shè)施的額外開銷，如運(yùn)行、維護(hù)費(fèi)用等。對(duì)于以盈利為目的的網(wǎng)絡(luò)經(jīng)營(yíng)者來說，計(jì)費(fèi)管理功能無疑是非常重要的。計(jì)費(fèi)管理一般有資費(fèi)管理功能和賬單管理功能兩種。05網(wǎng)絡(luò)管理的基本功能網(wǎng)絡(luò)管理的基本功能05計(jì)費(fèi)管理資費(fèi)管理功能作為網(wǎng)絡(luò)的經(jīng)營(yíng)者或建設(shè)者，需計(jì)算網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)成本，并且確定網(wǎng)絡(luò)提供的資源的利用及收費(fèi)標(biāo)準(zhǔn)，充分考慮網(wǎng)絡(luò)提供的各類服務(wù)和供需關(guān)系等因素制定出相應(yīng)的資費(fèi)標(biāo)準(zhǔn)。賬單管理功能在資費(fèi)標(biāo)準(zhǔn)的控制下，網(wǎng)絡(luò)管理系統(tǒng)能捕獲用戶使用網(wǎng)絡(luò)資源或服務(wù)的事件，并且按相關(guān)收費(fèi)標(biāo)準(zhǔn)，為用戶計(jì)算出相應(yīng)的費(fèi)用賬單。03網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)01網(wǎng)絡(luò)管理系統(tǒng)概述網(wǎng)絡(luò)管理系統(tǒng)是指在網(wǎng)絡(luò)運(yùn)行環(huán)境中，實(shí)現(xiàn)網(wǎng)絡(luò)管理方法和網(wǎng)絡(luò)管理功能的應(yīng)用系統(tǒng)，它是由硬件設(shè)備和軟件組成的。網(wǎng)絡(luò)管理系統(tǒng)的主要任務(wù)是收集網(wǎng)絡(luò)中各種設(shè)備或設(shè)施的工作參數(shù)、工作狀態(tài)信息，并將其顯示給網(wǎng)絡(luò)管理員并接受網(wǎng)絡(luò)管理員對(duì)它們的控制，如對(duì)工作參數(shù)進(jìn)行修改等操作。網(wǎng)絡(luò)管理系統(tǒng)01網(wǎng)絡(luò)管理系統(tǒng)概述網(wǎng)絡(luò)管理系統(tǒng)就是對(duì)網(wǎng)絡(luò)裝置所提供的典型功能進(jìn)行統(tǒng)一管理。在規(guī)劃網(wǎng)絡(luò)管理系統(tǒng)時(shí)應(yīng)遵循以下準(zhǔn)則。(1)基于現(xiàn)有的網(wǎng)絡(luò)，并且必要時(shí)能方便地升級(jí)額外的功能。(2)符合工業(yè)標(biāo)準(zhǔn)，網(wǎng)絡(luò)管理系統(tǒng)最好是基于SNMP的管理系統(tǒng)。(3)具有支持第三方插件的能力，即允許應(yīng)用開發(fā)人員編寫其他的模塊，以支持其他公司的產(chǎn)品。(4)支持專用數(shù)據(jù)庫。(5)基于著名的網(wǎng)絡(luò)管理軟件平臺(tái)。網(wǎng)絡(luò)管理系統(tǒng)01網(wǎng)絡(luò)管理系統(tǒng)概述根據(jù)網(wǎng)絡(luò)管理系統(tǒng)各自的面向?qū)ο蠛凸芾硇阅埽W(wǎng)絡(luò)管理系統(tǒng)可以分為以下3類:(1)簡(jiǎn)單管理系統(tǒng):這類管理系統(tǒng)可能是針對(duì)具體問題的解決方案，包括一些較為簡(jiǎn)單的產(chǎn)品。(2)LAN管理系統(tǒng):這類管理系統(tǒng)提供的功能范圍較為廣泛，它包括網(wǎng)絡(luò)管理系統(tǒng)和系統(tǒng)管理系統(tǒng)兩部分。(3)企業(yè)管理系統(tǒng):這類管理系統(tǒng)的典型代表是IBMNetView和CabletronSpectrum。網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)管理軟件必須能夠給用戶帶來好處，對(duì)于企業(yè)網(wǎng)絡(luò)管理來說，網(wǎng)絡(luò)管理軟件的作用體現(xiàn)在以下4個(gè)方面:(1)準(zhǔn)確地反映網(wǎng)絡(luò)故障。(2)整合系統(tǒng)管理。(3)支持Web網(wǎng)絡(luò)管理。(4)面向業(yè)務(wù)的網(wǎng)絡(luò)管理。02網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理軟件下面將介紹4種常用的網(wǎng)絡(luò)管理軟件：1.HPOpenViewHP是最早開發(fā)網(wǎng)絡(luò)管理產(chǎn)品的廠商之一，其著名的HPOpenView得到了廣泛應(yīng)用HPOpenView集成了網(wǎng)絡(luò)管理和系統(tǒng)管理的優(yōu)點(diǎn)，形成了一個(gè)單一而完整的管理系統(tǒng)。HPOpenView是一個(gè)開放式、跨平臺(tái)集成化的企業(yè)級(jí)管理軟件集，采用模塊化組織結(jié)構(gòu)。HPOpenViewPolicyXpert使網(wǎng)絡(luò)管理員能夠直觀地管理其帶寬和服務(wù)質(zhì)量，使基于策略的網(wǎng)絡(luò)管理變得更加簡(jiǎn)單。02網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理軟件2.TivoliNetViewTivoliNetView是IBM公司名的網(wǎng)絡(luò)管理軟件，能夠提供整個(gè)網(wǎng)絡(luò)環(huán)境的完整視圖，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)產(chǎn)品的管理。它采用標(biāo)準(zhǔn)的SNMP對(duì)網(wǎng)絡(luò)上符合該協(xié)議的設(shè)備進(jìn)行實(shí)時(shí)的監(jiān)控，并對(duì)網(wǎng)絡(luò)中發(fā)生的故障進(jìn)行報(bào)警，從而減少系統(tǒng)管理的難度和工作量。TivoliNetView是一個(gè)用于計(jì)算機(jī)網(wǎng)絡(luò)管理的集成產(chǎn)品家族，它可以為各種系統(tǒng)平臺(tái)提供管理。01網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理軟件3.CiscoWorks2000CiscoWorks2000是Cisco公司的網(wǎng)絡(luò)管理產(chǎn)品系列，它將路由器和交換機(jī)的管理功能與Web的最新技術(shù)結(jié)合在一起，利用了現(xiàn)有工具和設(shè)備中內(nèi)置的管理數(shù)據(jù)資源，為快速變化的企業(yè)網(wǎng)絡(luò)提供了新的網(wǎng)絡(luò)管理工具。CiscoWorks2000系列網(wǎng)絡(luò)管理產(chǎn)品包括針對(duì)各種網(wǎng)絡(luò)設(shè)備性能的管理、集成化的網(wǎng)絡(luò)管理、遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控和管理等功能。01網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理軟件4.CAUnicenterComputerAssociates(CA)是全球領(lǐng)先的電子商務(wù)軟件公司，Unicenter是CA公司的一套網(wǎng)絡(luò)管理產(chǎn)品。它的顯著特點(diǎn)是功能豐富、界面友好和功能細(xì)化。它提供了各種網(wǎng)絡(luò)和系統(tǒng)管理功能，可以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)架構(gòu)的每一個(gè)細(xì)節(jié)(從簡(jiǎn)單的PDA到各種大型主機(jī)設(shè)備)的控制，并確保企業(yè)環(huán)境的可用性。CAUnicenter主要用于解決兩方面的問題:設(shè)備管理和性能管理。01網(wǎng)絡(luò)管理系統(tǒng)路由器技術(shù)03網(wǎng)絡(luò)管理軟件的選購1以業(yè)務(wù)為中心，把握網(wǎng)絡(luò)管理需求在建設(shè)網(wǎng)絡(luò)管理系統(tǒng)時(shí)，最根本的一條是必須知道網(wǎng)絡(luò)使用的設(shè)備類型及網(wǎng)絡(luò)是如何組織的。因此，必須列出所有的網(wǎng)絡(luò)管理需求，形成需求表。通過需求表，可以清楚地知道目前需要哪些功能。2為應(yīng)用軟件和服務(wù)提供環(huán)境服務(wù)水平是反映當(dāng)前服務(wù)狀況的一個(gè)重要指標(biāo)，并且逐漸被當(dāng)作網(wǎng)絡(luò)管理產(chǎn)品的重要特性來看待。深刻理解網(wǎng)絡(luò)管理產(chǎn)品中的這個(gè)重要指標(biāo)有利于衡量服務(wù)水平與企業(yè)需要之間的匹配程度，從而將它用于報(bào)告、趨勢(shì)分析和容量規(guī)劃。路由器技術(shù)03網(wǎng)絡(luò)管理軟件的選購3可擴(kuò)展性、易用性和集成性的結(jié)合大部分廠商都依賴于第三方廠商提供的一些補(bǔ)充功能來使系統(tǒng)變得更完整，可擴(kuò)展性成為用戶選擇網(wǎng)絡(luò)管理軟件的一個(gè)重要標(biāo)準(zhǔn)。另外，從管理的方便性來說，也必須考慮到一些實(shí)用的網(wǎng)絡(luò)管理手段，才能提高網(wǎng)絡(luò)管理的效率。4性能價(jià)格比用戶在購買網(wǎng)絡(luò)管理產(chǎn)品時(shí)，不僅追求功能強(qiáng)大，還追求效率高且成本、開發(fā)費(fèi)用和硬件需求低。路由器技術(shù)03網(wǎng)絡(luò)管理軟件的選購5標(biāo)準(zhǔn)支持和協(xié)議的獨(dú)立性SNMP等標(biāo)準(zhǔn)已經(jīng)成熟，所有用戶都可以使用它們制作產(chǎn)品。網(wǎng)絡(luò)管理軟件應(yīng)支持現(xiàn)有甚至新興的標(biāo)準(zhǔn)，將其納入自己的體系結(jié)構(gòu)中。6長(zhǎng)遠(yuǎn)規(guī)劃和二次開發(fā)在實(shí)際應(yīng)用中，由于網(wǎng)絡(luò)系統(tǒng)的復(fù)雜和多變，現(xiàn)成的產(chǎn)品往往難以解決所有的網(wǎng)絡(luò)管理問題，因此并不能完全依賴于網(wǎng)絡(luò)管理產(chǎn)品，在條件允許的情況下，還要考慮二次開發(fā)的可能性。04802.1x認(rèn)證技術(shù)802.1x協(xié)議介紹802.1x協(xié)議就是電氣與電子工程師協(xié)會(huì)(InstituteofElectricalandElectronicsEngineers，IEEE)為了解決基于端口的接入控制而定義的一個(gè)標(biāo)準(zhǔn)。IEEE802.1x協(xié)議是標(biāo)準(zhǔn)化的符合IEEE802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議，能夠在利用IEEE802局域網(wǎng)優(yōu)勢(shì)的基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)的用戶的認(rèn)證和授權(quán)手段，達(dá)到接受合法用戶接入、保護(hù)網(wǎng)絡(luò)安全的目的。01802.1x認(rèn)證技術(shù)802.1x認(rèn)證體系802.1x是一種基于端口的認(rèn)證協(xié)議，是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。802.1x的體系為典型的C/S體系結(jié)構(gòu)，如圖4-3所示，它的體系結(jié)構(gòu)包括3個(gè)部分，即使用802.1x的系統(tǒng)包括3個(gè)實(shí)體:請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)。02802.1x認(rèn)證技術(shù)802.1x認(rèn)證技術(shù)03802.1x認(rèn)證過程EAP中繼方式是IEEE8021x標(biāo)準(zhǔn)規(guī)定的，將EAP承載在其他高層協(xié)議中，如EAPOR(EAPoverRADIUS)，以便擴(kuò)展認(rèn)證協(xié)議報(bào)文穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。一般來說EAP中繼方式需要RADIUS服務(wù)器支持EAP屬性EAP-Message和Message-Authenticator。EAP中繼方式802.1x認(rèn)證技術(shù)03802.1x認(rèn)證過程EAP終結(jié)方式將EAP報(bào)文在設(shè)備端終結(jié)并映射到RADIUS報(bào)文中，利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、授權(quán)和計(jì)費(fèi)。EAP終結(jié)方式與EAP中繼方式的認(rèn)證流程相比，用來對(duì)用戶密碼信息進(jìn)行加密處理的隨機(jī)加密字由設(shè)備端生成，之后設(shè)備端會(huì)把用戶名、隨機(jī)加密字和客戶端加密后的密碼信息一起送給認(rèn)證服務(wù)器，進(jìn)行相關(guān)的認(rèn)證處理。其中，802.1x認(rèn)證過程中會(huì)啟動(dòng)多個(gè)定時(shí)器以控制接入用戶、設(shè)備，以及RADIUS服務(wù)器之間進(jìn)行合理、有序的交互。EAP終結(jié)方式802.1x認(rèn)證技術(shù)03802.1x認(rèn)證過程接入控制方式(對(duì)用戶的認(rèn)證方式)可以采用基于MAC地址和基于端口兩種方式。當(dāng)采用基于MAC地址方式時(shí)，該端口下的所有接入用戶均需要單獨(dú)認(rèn)證，當(dāng)某個(gè)用戶下線時(shí)，也只有該用戶無法使用網(wǎng)絡(luò)。當(dāng)采用基于端口方式時(shí)，只要該端口下的第一個(gè)用戶認(rèn)證成功后，其他接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源，但是當(dāng)?shù)谝粋€(gè)用戶下線后，其他用戶也會(huì)被拒絕使用網(wǎng)絡(luò)，這樣可極大地提高系統(tǒng)的安全性和可管理性。802.1x在設(shè)備中的實(shí)現(xiàn)802.1x認(rèn)證技術(shù)04802.1x認(rèn)證技術(shù)在組網(wǎng)中的應(yīng)用802.1x集中式組網(wǎng)方式是將802.1x認(rèn)證系統(tǒng)端放到網(wǎng)絡(luò)位置較高的局域網(wǎng)交換機(jī)設(shè)備上，這些局域網(wǎng)交換機(jī)為匯聚層設(shè)備。其下掛的網(wǎng)絡(luò)位置較低的局域網(wǎng)交換機(jī)只將認(rèn)證報(bào)文傳給作為802.1x認(rèn)證系統(tǒng)端的網(wǎng)絡(luò)位置較高的局域網(wǎng)交換機(jī)設(shè)備，集中在該設(shè)備上進(jìn)行802.1x認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于，降低了管理和維護(hù)成本。802.1x集中式組網(wǎng)如圖4-6所示。802.1x集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)802.1x認(rèn)證技術(shù)04802.1x認(rèn)證技術(shù)在組網(wǎng)中的應(yīng)用802.1x分布式組網(wǎng)將802.1x認(rèn)證系統(tǒng)端放在網(wǎng)絡(luò)位置較低的多個(gè)局域網(wǎng)交換機(jī)設(shè)備上，并將這些局域網(wǎng)交換機(jī)作為接入層邊緣設(shè)備。這種組網(wǎng)方式的優(yōu)點(diǎn)在于，它采用中/高端設(shè)備與低端設(shè)備認(rèn)證相結(jié)合的方式，可滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的認(rèn)證要求;認(rèn)證任務(wù)被分配到眾多的設(shè)備上，減輕了中心設(shè)備的負(fù)載。802.1x分布式組網(wǎng)如圖4-7所示。802.1x分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)802.1x認(rèn)證技術(shù)04802.1x認(rèn)證技術(shù)在組網(wǎng)中的應(yīng)用802.1x分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)802.1x認(rèn)證技術(shù)04802.1x認(rèn)證技術(shù)在組網(wǎng)中的應(yīng)用802.1x的AAAAuthorization、Accounting)認(rèn)證可以在本地進(jìn)行，而(Authentication、不用到遠(yuǎn)端認(rèn)證服務(wù)器上去認(rèn)證。這種本地認(rèn)證的組網(wǎng)方式在專線用戶或小規(guī)模應(yīng)用環(huán)境中非常適用。它的優(yōu)點(diǎn)在于節(jié)約成本不需要單獨(dú)購置昂貴的服務(wù)器，但隨著用戶數(shù)目的增加，還需要由本地認(rèn)證向RADIUS認(rèn)證遷移。802.1x本地認(rèn)證組網(wǎng)802.1x認(rèn)證技術(shù)05802.1x認(rèn)證的特點(diǎn)802.1x認(rèn)證系統(tǒng)提供了一種用戶接入認(rèn)證的手段，它僅關(guān)注端口的打開與關(guān)閉。對(duì)于合法用戶(根據(jù)賬號(hào)和密碼)接入時(shí)，該端口打開，而對(duì)于非法用戶接入或沒有用戶接入時(shí)，則使端口處于關(guān)閉狀態(tài)。其認(rèn)證的結(jié)果在于端口狀態(tài)的改變，而不涉及其他認(rèn)證技術(shù)所考慮的IP地址協(xié)商和分配問題，是各種認(rèn)證技術(shù)中最為簡(jiǎn)化的實(shí)現(xiàn)方案。在提出可運(yùn)營(yíng)、可管理要求的寬帶IP城域網(wǎng)中如何使用該認(rèn)證技術(shù)，還需要謹(jǐn)慎分析，并考慮與其他信息綁定組合認(rèn)證的可能性。05校園網(wǎng)安全管理技術(shù)校園網(wǎng)安全管理技術(shù)01校園網(wǎng)常見的安全風(fēng)險(xiǎn)校園網(wǎng)是一個(gè)開放的網(wǎng)絡(luò)環(huán)境，具有龐大、活躍的學(xué)生用戶群;校園網(wǎng)應(yīng)用系統(tǒng)較多，部署了大量的服務(wù)器，還有大量的個(gè)人計(jì)算機(jī)接入網(wǎng)絡(luò);校園網(wǎng)還接入了中國教育和科研計(jì)算機(jī)網(wǎng)(ChinaEducationandResearchNetwork，CERNET)等網(wǎng)絡(luò)。因此，高校校園網(wǎng)安全問題突出，安全管理問題也非常復(fù)雜。校園網(wǎng)安全管理技術(shù)01校園網(wǎng)常見的安全風(fēng)險(xiǎn)(1)校園網(wǎng)規(guī)模大，高帶寬接入Internet。高校校園網(wǎng)是最早的寬帶網(wǎng)絡(luò)，各學(xué)校除接入CERNET外，還具有幾十兆字節(jié)甚至幾個(gè)吉字節(jié)的公網(wǎng)出口。目前在校園網(wǎng)中普遍使用了百兆字節(jié)、千兆字節(jié)甚至萬兆字節(jié)實(shí)現(xiàn)園區(qū)主于互聯(lián)。校園網(wǎng)的用戶群體一般也比較大，少則數(shù)千人，多則數(shù)萬人，一般都建有學(xué)生宿舍網(wǎng)，用戶群比較密集。正是由于高帶寬和大用戶量的特點(diǎn)，其網(wǎng)絡(luò)安全問題對(duì)網(wǎng)絡(luò)的影響比較嚴(yán)重。校園網(wǎng)安全管理技術(shù)01校園網(wǎng)常見的安全風(fēng)險(xiǎn)(2)活躍的用戶群體。大學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶，對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇勇于嘗試。如果沒有意識(shí)到后果的嚴(yán)重性，有些學(xué)生會(huì)嘗試使用網(wǎng)上學(xué)到的，甚至自己研究的各種網(wǎng)絡(luò)攻擊技術(shù)，可能對(duì)網(wǎng)絡(luò)造成一定的影響和破壞。(3)開放的網(wǎng)絡(luò)環(huán)境。教學(xué)和科研的特點(diǎn)決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開放的，其管理也是較為寬松的。校園網(wǎng)安全管理技術(shù)01校園網(wǎng)常見的安全風(fēng)險(xiǎn)4有限的投入校園網(wǎng)的建設(shè)和管理通常都輕視了網(wǎng)絡(luò)安全，特別是管理和維護(hù)人員方面的投入明顯不足。在中國大多數(shù)的校園網(wǎng)中，通常只有網(wǎng)絡(luò)中心的少數(shù)工作人員，他們只能維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，無暇顧及也沒有條件管理和維護(hù)數(shù)萬臺(tái)計(jì)算機(jī)的安全，院、系一級(jí)并沒有專職的計(jì)算機(jī)系統(tǒng)管理員。校園網(wǎng)安全管理技術(shù)01校園網(wǎng)常見的安全風(fēng)險(xiǎn)5盜版資源泛濫由于缺乏版權(quán)意識(shí)，盜版軟件、影視資源在校園網(wǎng)中普遍使用,這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。例如，從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏著木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。以上各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標(biāo)。當(dāng)前校園網(wǎng)常見的風(fēng)險(xiǎn)如下。校園網(wǎng)安全管理技術(shù)01校園網(wǎng)常見的安全風(fēng)險(xiǎn)5盜版資源泛濫(1)普遍存在的計(jì)算機(jī)系統(tǒng)的漏洞，對(duì)信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運(yùn)行構(gòu)成嚴(yán)重的威脅。(2)計(jì)算機(jī)蠕蟲等病毒泛濫，影響用戶的使用、信息安全、網(wǎng)絡(luò)運(yùn)行。(3)外來的系統(tǒng)入侵、攻擊等惡意破壞行為，有些計(jì)算機(jī)已經(jīng)被攻破，用作黑客攻擊的工具;拒絕服務(wù)攻擊目前越來越普遍，不少攻擊開始針對(duì)重點(diǎn)高校的網(wǎng)站和服務(wù)器。校園網(wǎng)安全管理技術(shù)01校園網(wǎng)常見的安全風(fēng)險(xiǎn)5盜版資源泛濫(4)內(nèi)部用戶的攻擊行為給校園網(wǎng)造成了不良的影響。(5)校園網(wǎng)內(nèi)部用戶對(duì)網(wǎng)絡(luò)資源的濫用，利用免費(fèi)的校園網(wǎng)資源提供商業(yè)的或免費(fèi)的視頻、軟件資源下載，占用了大量的網(wǎng)絡(luò)帶寬，影響了校園網(wǎng)的應(yīng)用。(6)有些用戶利用校園網(wǎng)內(nèi)無人管理的服務(wù)器作為中轉(zhuǎn)傳播，嚴(yán)重影響了學(xué)校的聲譽(yù)。校園網(wǎng)安全管理技術(shù)02校園網(wǎng)安全防范對(duì)策安全政策(SecurityPolicy)描述校園網(wǎng)安全的目標(biāo)和需求，是一個(gè)組織安全管理的需求說明，它是執(zhí)行各項(xiàng)管理制度、技術(shù)措施的依據(jù)，一般規(guī)定“做什么”而不是“怎么做”，告訴用戶哪些行為是允許的，哪些行為是不允許的，違反了這些約定將會(huì)受到怎樣的處罰。目前很多學(xué)校以安全管理規(guī)定、安全條例、安全管理辦法等形式發(fā)布。由于校園網(wǎng)安全與人的安全意識(shí)和技能緊密相關(guān)，因此，對(duì)校園網(wǎng)不同類型用戶進(jìn)行安全教育，將有利于校園網(wǎng)的安全應(yīng)用。加強(qiáng)校園網(wǎng)安全管理校園網(wǎng)安全管理技術(shù)02校園網(wǎng)安全防范對(duì)策加強(qiáng)用戶安全意識(shí)和管理員安全技術(shù)的培訓(xùn)工作非常重要。對(duì)于新用戶的安全意識(shí)的培訓(xùn)，新生入學(xué)教育和新員工上崗培訓(xùn)是兩個(gè)比較好的形式，也可以開展一些職工的在職培訓(xùn)、學(xué)生的文化課、選修課等形式的安全意識(shí)培訓(xùn)和基本技能的培訓(xùn)。一定要重視系統(tǒng)管理員的上崗培訓(xùn)。很多學(xué)校院、系服務(wù)器的系統(tǒng)管理員都是由助教研究生來擔(dān)任的，這些學(xué)生沒有經(jīng)過必要的培訓(xùn)，容易留下大量的安全問題。對(duì)于這些崗位的安全培訓(xùn)是當(dāng)前校園網(wǎng)安全管理非常重要的環(huán)節(jié)。加強(qiáng)校園網(wǎng)安全管理校園網(wǎng)安全管理技術(shù)02校園網(wǎng)安全防范對(duì)策從網(wǎng)絡(luò)安全管理與技術(shù)上防范風(fēng)險(xiǎn)1)部署防火墻防火墻是網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，因此網(wǎng)絡(luò)環(huán)境變得更安全。校園網(wǎng)安全管理技術(shù)02校園網(wǎng)安全防范對(duì)策從網(wǎng)絡(luò)安全管理與技術(shù)上防范風(fēng)險(xiǎn)(1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問。(2)將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP數(shù)據(jù)包，這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的P數(shù)據(jù)包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。校園網(wǎng)安全管理技術(shù)02校園網(wǎng)安全防范對(duì)策從網(wǎng)絡(luò)安全管理與技術(shù)上防范風(fēng)險(xiǎn)(3)在防火墻上建立內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，防止IP地址被盜用。(4)在局域網(wǎng)的入口架設(shè)千兆字節(jié)防火墻，并實(shí)現(xiàn)VPN的功能，在校園網(wǎng)入口處建立第一層的安全屏障，VPN保證了管理員在家里或出差時(shí)能夠安全接入數(shù)據(jù)中心。(5)定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。(6)允許通過配置網(wǎng)卡對(duì)防火墻進(jìn)行設(shè)置，提高防火墻管理的安全性。校園網(wǎng)安全管理技術(shù)02校園網(wǎng)安全防范對(duì)策2)架設(shè)IDS和IPS架設(shè)一個(gè)IDS是非常必要的，它處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以IDS是防火墻的延續(xù)，它可以和防火墻和路由器配合工作。IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。IDS是被動(dòng)的，它監(jiān)測(cè)網(wǎng)絡(luò)上所有的數(shù)據(jù)包，其目的就是捕捉危險(xiǎn)或有惡意動(dòng)作的數(shù)據(jù)包。從網(wǎng)絡(luò)安全管理與技術(shù)上防范風(fēng)險(xiǎn)校園網(wǎng)安全管理技術(shù)02校園網(wǎng)安全防范對(duì)策2)架設(shè)IDS和IPSIDS是按指定的規(guī)則運(yùn)行的，記錄是龐大的，所以我們必須制定合適的