《网络管理与维护(一)》由会员分享,可在线阅读,更多相关《网络管理与维护(一)(19页珍藏版)》请在金锄头文库上搜索。
1、网络管理与维护一论文关键词:计算机网络平安策略网络故障维护网络解决方法论文摘要:网络攻击行为已经蔓延的越来越广,网络的平安问题日趋严重。网络的平安问题来自多方面的各种原因。本文就是有效的防止网络故障的发生以及发现故障并且维护网络,采取一些防范的网络平安策略和解决方法。就网络中常见故障进展分类,并对各种常见网络故障提出相应的解决方法。宗上所述,网络管理就尤为重要,随看计算机网络规模的扩大和复杂性的增加,网络管理在计算机网络系统中的地位越来越重要。本文在算机网络管理和维护的根底上,介绍了以下的解决方法前言随着计算机技术和internet的开展,企业和政府部门开场大规模的建立网络来推动电子商务和政务
2、的开展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监视、组织和控制网络通信效劳以及信息处理所必需的各种活动的总称。其目的是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进展维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进展分类,并对各种常见网络故障提出相应的解决方法。随着计算机的广泛应用和网络的日趋
3、流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其平安稳定地运行,这是网络运行维护人员的一项非常重要的工作。在排除比拟复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。第一章网络平安技术1.1概述网络平安技术是指致力于解决诸如如何有效进展介入控制,以及如何保证数据传输的平安性的技术手段,主要包括物理的平安分析技术,网络
4、构造平安分析技术,系统平安分析技术,管理平安分析技术,以及其他的平安效劳和平安机制策略。21世纪全世界的计算机都将通过internet联到一起,信息平安的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完好的网络平安体系,特别是从政策上和法律上建立起有中国自己特色的网络平安体系.一个国家的信息平安体系实际上包括国家的法规和政策,以及技术与市场的开展平台.我国在构建信息防卫系统时,应着力开展自己独特的平安产品,我国要想真正解决网络平安问题,最终的方法就是通过开展民族的平安
5、产业,带动我国网络平安技术的整体进步.网络平安产品有以下几大特点:第一,网络平安来源于平安策略与技术的多样化,假如采用一种统一的技术和策略也就不平安了;第二,网络的平安机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络平安技术是一个非常复杂的系统工程.为此建立有中国特色的网络平安体系,需要国家政策和法规的支持及集团结合研究开发.平安与反平安就像矛盾的两个方面,总是不断地向上攀升,所以平安产业将来也是一个随着新技术开展而不断开展的产业.信息平安是国家开展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来开展
6、它.政府不仅应该看见信息平安的开展是我国高科技产业的一局部,而且应该看到,开展平安产业的政策是信息平安保障系统的一个重要组成局部,甚至应该看到它对我国将来电子化,信息化的开展将起到非常重要的作用1.2防火墙网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的平安策略来施行检查,以决定网络之间的通信是否被允许,并监视网络运行状态.目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理效劳器)以及电路层网关,屏蔽主机防火墙,双宿主机等
7、类型.虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显缺乏:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.自从1986年美国digital公司在internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的开展.国内外已有数十家公司推出了功能各不一样的防火墙产品系列.防火墙处于5层网络平安体系中的最底层,属于网络层平安技术范畴.在这一层上,企业对平安系统提出的问题是:所有的ip是否都能访问到企业的内部网络系统假如答案是是,那么说明企业内部网
8、还没有在网络层采取相应的防范措施.作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络平安产品之一.虽然从理论上看,防火墙处于网络平安的最底层,负责网络间的平安认证与传输,但随着网络平安技术的整体开展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他平安层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的平安效劳.另外还有多种防火墙产品正朝着数据平安与用户认证,防止病毒与黑客侵入等方向开展.根据防火墙所采用的技术不同,我们可以将它分为四种根本类型:包过滤型,网络地址转换nat,代理型和监测型.1.3防火墙主要技术包过滤型包过滤型产品是防火墙
9、的初级产品,其技术根据是网络中的分包传输技术.网络上的数据都是以包为单位进展传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目的地址,tp/udp源端口和目的端口等.防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的平安站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵敏制订判断规那么.包过滤技术的优点是简单实用,实现本钱较低,在应用环境比拟简单的情况下,可以以较小的代价在一定程度上保证系统的平安.但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的平安技术,只能根据数据包的来源,目的
10、和端口等网络信息进展判断,无法识别基于应用层的恶意侵入,如恶意的java小程序以及电子邮件中附带的病毒.有经历的黑客很容易伪造ip地址,骗过包过滤型防火墙.网络地址转化nat网络地址转换是一种用于把ip地址转换成临时的,外部的,注册的ip地址标准.它允许具有私有ip地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器获得注册的ip地址.在内部网络通过平安网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个假装的地址和端口,让这个假装的地址和端口通过非平安网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非平安网卡访问内部网络时,它并不知
11、道内部网络的连接情况,而只是通过一个开放的ip地址和端口来恳求访问.l防火墙根据预先定义好的映射规那么来判断这个访问是否平安.当符合规那么时,防火墙认为访问是平安的,可以承受访问恳求,也可以将连接恳求映射到不同的内部计算机中.当不符合规那么时,防火墙认为该访问是不平安的,不能被承受,防火墙将屏蔽外部的连接恳求.网络地址转换的过程对于用户来说是透明的,不需要用户进展设置,用户只要进展常规操作即可.代理型代理型防火墙也可以被称为代理效劳器,它的平安性要高于包过滤型产品,并已经开场向应用层开展.代理效劳器位于客户机与效劳器之间,完全阻挡了二者间的数据交流.从客户机来看,代理效劳器相当于一台真正的效劳
12、器;而从效劳器来看,代理效劳器又是一台真正的客户机.当客户机需要使用效劳器上的数据时,首先将数据恳求发给代理效劳器,代理效劳器再根据这一恳求向效劳器索取数据,然后再由代理效劳器将数据传输给客户机.由于外部系统与内部效劳器之间没有直接的数据通道,外部的恶意损害也就很难伤害到企业内部网络系统.代理型防火墙的优点是平安性较高,可以针对应用层进展侦测和扫描,对付基于应用层的侵入和病毒都非常有效.其缺点是对系统的整体性能有较大的影响,而且代理效劳器必须针对客户机可能产生的所有应用类型逐一进展设置,大大增加了系统管理的复杂性.监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型
13、防火墙可以对各层的数据进展主动的,实时的监测,在对这些数据加以分析的根底上,监测型防火墙可以有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用效劳器和其他网络的节点之中,不仅可以检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在平安性上也超越了前两代产品虽然监测型防火墙平安性上已超越了包过滤型和代理效劳器型防火墙,但由于监测型防火墙技术的实现本钱较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代
14、代理型产品为主,但在某些方面也已经开场使用监测型防火墙.基于对系统本钱与平安技术本钱的综合考虑,用户可以选择性地使用某些监测型技术.这样既可以保证网络系统的平安性需求,同时也能有效地控制平安系统的总拥有本钱.实际上,作为当前防火墙产品的主流趋势,大多数代理效劳器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉ftp连接中的put命令,而且通过代理应用,应用网关可以有效地防止内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络
15、整体性能的影响上1.4防火墙体系构造挑选路由式体系构造shape*ergefrat屏蔽子网式构造双网主机式体系构造shape*ergefrat屏蔽主机式体系构造1.5入侵检测系统1概念当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接2连3的平安问题,人们不禁要问:到底是平安问题本身太复杂,以致于不可能被彻底解决,还的仍然可以有更大的改善,只不过我们所采取的平安措施中缺少了某些重要的环节。有关数据说明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现他、有80%来自于网络内部,也就是说,“堡垒是从内部被攻破的。另外,在相当一局部黑客攻击当中,黑客都能轻易地绕过防火墙而攻击网站效劳器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客拒之门外,还必须借助于一个“补救环节-入侵检测系统。入侵检测系统intrusindetetinsyste,简称ids是指监视或者在可能的情况下阻止入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层平安中日益被越普遍采用的成份,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统可以通过向管理员发出入侵或者入侵企图来加强当前存取控制系统,例如防火墙;识别防火墙通常用不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。入侵检测是防火墙的合
