《网络管理和网络安全》由会员分享,可在线阅读,更多相关《网络管理和网络安全(29页珍藏版)》请在金锄头文库上搜索。
1、第7章 网络管理和网络安全7.1 网络管理的安装配置网络是新经济时 代的基础设 施,信息的传递 、办公、商务、教育、 娱乐 等各种活动都可以通过网络完成。在计算机网络的质量体系中, 网络管理是其中一个关键环节 ,正如一个管家对于大家庭生活的重要 ,网络管理的质量也会直接影响网络的运行质量。网络管理可以借助 于相应的管理软件与硬件来实现 网络的安全,保证用户能够安全、方 便地使用网络,实现 网络的共享。7.1.1 网络管理的基本概念网络管理是指对通信网上的通信设备及传输系统进行有效的监视、控制、诊 断和测试所采用的技术和方法。也就是指规划、监督、控制网络资源的使用和 网络的各种活动,以使网络的性
2、能达到最优。网络管理的目的在于提供对计算 机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的 手段,从而合理地组织和利用系统资源,提供安全、可靠、有效和友好的服务 。1. 管理的产生与发展网络管理很早就有,却一直没有得到应有的重视。这是因为当时的网络一是 规模较小,二来复杂性不高,一个简单的网络管理系统就可以满足网络正常管 理的需要,因而对其研究较少。但随着网络的发展,规模逐渐增大,复杂性增加 ,以前的网络管理技术已不能适应网络的迅速发展。 2. 网络管理的功能在OSI中定义了5个管理功能。它们分别是:配置管理、故障管理、性能管理、 安全管理和财务管理。配置管理的目的是掌握和
3、控制网络的状态,包括网络内 各个设备的状态及其连接关系。3. 网络管理的分类网络管理分为两类。第一类是网络应用程序、文件的使用和存取权限(许可 )的管理。它们都是与软件有关的网络管理问题。网络管理的第二类是由构成网络的硬件所组成。这一类包括工作站、服务 器、网卡、路由器、网桥和集线器等网络硬件设备。 4. 网络管理的作用 网络一旦出现重大故障,所造成的损失是无法用金钱来衡量的。网络管理做得 好,企业则可以确保生产和业务不中断,有助于提高工作效率和企业的竞争力 。7.1.2 网络管理模型 网络管理模型规定了网络管理系统的实现方式,一般说来,不存在最佳的 网络管理模型,应根据具体的网络环境合理地选
4、择,因此有必要对网络管理的 模型做深入研究。 从网络管理系统的组成来说,现代计算机网络的网络管理系统基本上由4个 部分组成:多个被管对象代理(Agents),至少一个网络管理器(Network Manager) 或称网管工作站,一种通用的网络管理协议(Network Management Protocol),以 及一个或多个管理信息库(MIB,Management Information Base)。用户主机和网络互连设备 等所有被管理的网络设备 称为被管对象 (Managed Object),驻留在这些被管对象上,配合网络管理的处理实体被称为 被管对象代理。实施管理的处理实体被称为管理器(M
5、anager),管理器驻留在 网管工作站上。管理器和代理通过交换管理信息进行工作。这种信息交换通过 一种网络管理协议来实现。管理信息分别存储在被管对象和管理工作站上的管 理信息库中。 网络管理协议与管理信息库中的管理信息描述了所有被管对象及其属性值, 使得网络管理的全部工作就是读取(get,对应于监视)或设置(set,对应于控制) 这些对象信息及其属性值变量。7.1.3 简单网络管理协议(SNMP) 简单网络管理协议(SNMP,Simple Network Management Protocol)是由互联网工 程任务组(IETF,Internet Engineering Task Force)
6、定义的一套网络管理协议。该 协议基于简单网关监视协议 (SGMP,Simple Gateway Monitor Protocol)。利用 SNMP,一个管理工作站可以远程管理所有支持这种协议的网络设备 ,包括监 视网络状态、修改网络设备 配置、接收网络事件警告等。1. SNMP基本原理SNMP采用了客户机/服务器/Server模型的特殊形式:客户机/服务器模型。对 网络的管理与维护是通过管理工作站与SNMP代理间的交互工作完成的。每个 SNMP从代理负责回答SNMP管理工作站(主代理)关于MIB定义信息的各种查询。 SNMP代理和管理站通过SNMP协议中的标准消息进行通信,每个消息都是一个 单
7、独的数据报。SNMP使用UDP(用户数据报协议 )作为第四层协议 (传输协议 ), 进行无连接操作。SNMP消息报文包含两个部分:SNMP报头和协议数据单元 PDU。2. 管理信息库MIBIETF规定的管理信息库MIB中定义了可访问的网络设备及其属性,由对象识别符 (OID:Object Identifier)惟一指定。MIB是一个树形结构,SNMP协议消息通过遍历 MIB树形目录中的节点来访问网络中的设备。 3. SNMP协议的特点(1) 相对于其他种类的网络管理体系或管理协议而言,SNMP易于实现。 (2) SNMP协议是开放的免费产品。 (4) SNMP协议可用于控制各种设备。 (3)
8、SNMP协议有很多详细的文档资料(例如RFC,以及其他的一些文章、说 明书等),网络业界对这个协议也有着较深入的理解,这些都是SNMP协议近 一步发展和改进的基础。4. Windows 2000下,SNMP协议的安装与配置 1) SNMP协议的安装 (1) 打开Windows 组件向导,如图所示。(2) 在“组件”列表框中,选“管理和监视工具”(但不选中或清除它的复选框),然 后单击“详细信息”按钮,如图所示。 (3) 选中“简单网络管理协议”复选框,然后单击“确定”按钮,如图所示。(4) 单击“下一步”按钮。系统自动添加SNMP协议(但需要系统盘),如图所示。2) SNMP协议的配置 (1)
9、 打开计算机管理。 (2) 在控制台树中,单击“服务”选项。 (3) 在详细信息窗格中,单击SNMP Service选项,如图所示。(4) 选择“操作”|“属性”命令,出现如图所示的对话框。 (5) 如果在验证失败时捕获发送的消息,则在“安全”选项卡中选中“发送身 份验证陷阱”复选框。 (6) 在“接受团体名称”选项组 下单击“添加”按钮,如图所示 (7) 在“团体权利”下拉列表框中选择该 主机的访问权 限级别,以便处理来自 所选团体的SNMP请求。要查看对话框项目的描述,请右击项目,然后选择“ 这是什么?”。 (8) 在“团体名称”下拉列表框中,输入区分大小写的团体名称,然后单击“添 加”按
10、钮,如图7.8所示。(9) 在“SNMP Service属性”对话框中,指定是否从主机接受SNMP数据报,如图所示。7.1.4 常见网络管理系统介绍 1. 以主机厂商为主开发的网络管理系统工具2. 以网络厂商为主开发的网络管理系统工具3. 专业软件开发商出品的网络管理系统工具7.2 网络安全概述网络安全是一门涉及计算机科学、网络技术、通信技术 、密码技术、信息安全技术、应用数学、数论、信息论等 多种学科的综合性学科。网络安全是指网络系统的硬件、 软件及其系统中的数据受到保护,不受偶然的或者恶意的 原因而遭到破坏、更改、泄露,系统连续 可靠正常地运行, 网络服务不中断。具体而言,网络安全要:保护
11、个人隐私 ;控制对网络资源的访问;保证商业秘密在网络上传输的 保密性,完整性,真实性及不可抵赖;控制不健康的内容或 危害社会稳定的言论;避免国家机密泄漏等。7.2.1 网络安全的重要性网络存在的问题主要有以下两类。1. 病毒的侵入和黑客的攻击2. 网络管理不健全造成的安全漏洞7.2.2 网络安全策略的设计1. 什么是安全策略安全策略是一种处理安全问题的管理策略描述。策略要能对某个安全主题进 行描述,探讨其必要性和重要性,解释清楚哪些东西该做,哪些东西不该做。 安全策略应该简 明,易于实现、易于理解。安全策略必须遵循三个基本概念 :确定性、完整性和有效性。 另外,安全策略还可能包含一些表面上和上
12、述三个安全概念风马牛不相及的 地方。因为组织 的整体安全是十分重要的,不能忽略小的方面而影响整体的安全 。这包括对设备 、数据、E-mail、Internet等可接受的使用策略。2. 安全策略的设计安全策略的设计与开发是提高企业网络安全状态的第一步。 (1) 网络基本系统结构信息的收集 (2) 对现存的策略检查与评估 (3) 需求评估 (4) 文档设计3. 信息安全级别 (1) A级:公共数据/非分类信息 (2) B级:内部数据 (3) C级:秘密信息 (4) D级:机密信息/数据7.3 防火墙技术防火墙成为近年来新兴的保护计算机网络安全技术性措施 。它是一种隔离控制技术,在某个机构的网络和不
13、安全的 网络(如Internet)之间设置屏障,阻止对信息资源的非法访 问,也可以使用防火墙阻止重要信息从企业的网络上被非 法输出。7.3.1 防火墙基础防火墙(FireWall)就是一个位于计算机和它所连接的网络之间的软件。该计算机 流入流出的所有网络通信均要经过此防火墙。1. 防火墙的功能(1) 过滤不安全的服务,FireWall可以极大地提高网络安全和减少子网中主机的风 险。 (2) 允许网络管理员定义一个中心点来防止非法用户进入内部网络,起到保护的 作用。 (3) 可以利用网络地址变换NAT(Network Address Translation)技术,将有限的IP地 址动态或静态地与
14、内部的IP地址对应起来,用来缓解地址空间短缺的问题。 (4) 可以用来审计和记录Internet使用费用的情况。网络管理员可以在此向管理部 门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的 核算模式提供部门级的计费。(5) 可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW 服务器和FTP服务器,将其作为向外部发布内部信息的地点。从技术角度来讲, 就是所谓的停火区(DMZ)。 (6) FireWall对企业内部网实现集中的安全管理,在FireWall定义的安全规则可以 运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。 2. 防
15、火墙的分类大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网 关防火墙)。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表 ,后者以美国NAI公司的Gauntlet防火墙为代表。 7.3.2 防火墙的实现建立一个条理清楚的防火墙规则 集是实现防火墙产品 安全的非常关键的一环。安全、可靠防火墙的实现取决 于以下的过程。 1. 制定安全策略,搭建安全体系结构 2. 制定规则的合理次序 3. 注释详细可以帮助理解 4. 做好日志工作7.3.3 常见的防火墙产品1. 瑞星个人防火墙2005 2. 北信源内网防火墙 3. 北京天融信公司网络卫士防火墙 4. Ch
16、eckpoint Firewall-17.3.4 实训16:防火墙的安装配置 实训目的:学会对防火墙进行基本配置,掌握防火墙的安装与简单使用 。实训内容:防火墙硬件的安装与配置、防火墙软件的安装与配置。实训环境:在安装防火墙之前,应当安排必要的时间,为准备事项作好 预期的准备工作。目的就是为了通过合理的操作来支持和实 现用户的安全目标。1. 防火墙硬件安装 防火墙硬件的安装步骤参考如下。 (1) 中网防火墙设备 可以放置在桌面上,也可以安装在一个标准的19英寸机架上。 (2) 产品包中提供的电源电缆连 接中网防火墙和电源插座 (3) 网口连线 (4) 打开连接中网防火墙的电源。 (5) 在按照上述安装步骤安装好硬件后,就可以配置中网防火墙了。2. 软件安装(1) 系统需求 Win 98或Win 2000操作系统并安装IE 4.0/Netscape 6.0以上浏览器。 (2) 防火墙启动 准备一台用于对防火墙进行初始配置的PC,需安装Windows 98或Windows 2000操作系统并安装IE 4.0/Netscape 6.0以上版本的浏览
