《网络管理和网络安全.ppt》由会员分享,可在线阅读,更多相关《网络管理和网络安全.ppt(81页珍藏版)》请在金锄头文库上搜索。
1、计算机网络技术及实训计算机网络技术及实训计算机网络技术及实训计算机网络技术及实训张蒲生 主编中国水利水电出版社第9章 网络管理和网络安全9.1 网络管理概述9.2 网络的性能管理与优化 9.3 网络安全技术3 39.1 网络管理概述 随着计算机网络应用的广泛深入,用户对计算机网络的依赖性越来越强,用户对计算机网络的可靠性及其运行管理也提出了越来越高的要求,例如,用户要求管理所有的网络协议,网络能同时容纳不同的网络管理系统、管理不同厂商生产的连网设备等。为了有效地管理大型异构型网络,必须要有一个公共的网络管理协议,通过规划、监视、分析、扩充和控制网络来保证网络服务的有效实现。网络管理对网络发展的
2、重大影响越来越受到人们的重视,计算机网络管理已经成为整个计算机网络系统中不可缺少的重要部分。 ISO认为OSI网络管理是指控制、协调和监督OSI环境下的网络通信服务和信息处理活动。网络管理的目标是确保网络的正常运行,或者当网络运行出现异常时能够及时响应和排除故障。 4 41. 网络管理的标准化 在OSI网络管理框架模型中,基本的网络管理功能被分成五个功能域:故障管理、配置管理、计费管理、性能管理和安全管理。这五个功能域通常按其英文首字母 简 称 为 FCAPS(Fault, Configuration, Accounting,Performance and Security)。这五个功能域通过
3、与其它开放系统交换管理信息,分别完成不同的网络管理功能。5 5故障管理(Fault Management) 故障管理是最基本的网络管理功能。 故障管理是网络管理功能中与故障检测、故障诊断和故障恢复或排除等工作相关的部分,其目的是保证网络能够提供连续、可靠的服务。 在大型计算机网络发生故障时,往往不能确定故障所在的具体位置,这就需要故障管理提供逐步隔离和最后故障定位的一整套方法和工具;有的时候,故障是随机产生的,需要经过较长时间的跟踪和分析,才能找到故障原因。这就需要有一个故障管理系统,科学地管理网络所发现的所有故障,具体地记录每一个故障的产生,跟踪分析以至最终确定并排除故障。6 6配置管理(C
4、onfiguration Management) 配置管理也是基本的网络管理功能。 一个计算机网络是由多种多样的设备连接而成的,这些被管对象的物理结构和逻辑结构各不相同,结构中的各种参数、状态和名字等信息也需要相互了解和相互适应。这对于一个大型计算机网络的运行是至关重要的。另外,网络的运行环境也是经常变化的,系统本身也要随着用户的增加、减少或设备的维护、添加而经常调整网络的配置,使网络能够更有效地工作。网络管理提供的这些手段构成了网络管理的配置功能域,它是用来定义、识别、初始化、控制和监测通信网中的被管对象的功能集合。7 7计费管理(Accounting Management) 在网络通信资源
5、和信息资源有偿使用的情况下,计费管理功能能够统计哪些用户利用哪条通信线路传输了多少数据、访问的是什么资源等信息。因此,计费管理是商业化计算机网络的重要网络管理功能。对于商业化的计算机网络,计费系统要包含很多非常详细的计费信息,例如,每次通信的开始时间、结束时间、通信中使用的服务等级、通信中传输的数据量等信息,并使用户能够查询这些信息。在非商业化的网络上,计费管理也可以用来统计不同线路和不同资源的利用率,帮助网络管理人员分析网络的利用情况。从本质上讲,无论在什么网络上,计费管理的根本依据都是网络用户使用网络资源的情况。一个网络管理系统记录这些信息,并选择一种用户可接受的计费方法。8 8性能管理(
6、Performance Management) 性能管理是通过监视和分析被管网络及其所提供服务的性能机制,用来管理和度量网络吞吐量、用户响应时间和线路利用率等系统性能。性能管理收集有关被管网络当前状况的数据信息,并以此为依据分析网络运行效率、及时发现瓶颈,为优化系统性能提供数据。性能分析的结果可以触发某个诊断测试过程或导致重新配置网络,以维持网络性能。总之,性能管理的目的是保证在使用最少的网络资源和具有最小时延的前提下,使得网络能够提供可靠的、连续的通信服务。9 9安全管理(Security Management) 网络安全性既是网络管理的重要环节,也是网络管理的薄弱环节。 安全管理是为了保证
7、网络不会被非法侵入、非法使用及资源破坏。安全管理的主要内容包括:与安全措施有关的信息分发(例如,密钥的分发和访问权限的设置等),与安全有关的事件的通知(例如,网络有非法侵入、无权用户对特定信息的访问企图等),安全服务设施的创建、控制和删除,与安全有关的网络操作事件的记录、维护和查阅等日志管理工作等等。一个计算机网络的管理系统必须要有特定的关于网络管理的安全策略,及根据这一策略设计和实现的网络安全管理系统。1010其他网络管理功能 ISO的网络管理只定义了上述五项管理功能域。因为ISO认为:不需要在各个开放系统之间交换管理信息就可以完成的管理功能都属于本地管理功能,这些功能不必列入标准化工作的内
8、容之中。实际上,许多网络设备的生产厂商和网络集成公司都扩展了网络管理的内容,例如,把网络对用户服务的支持和网络规划等功能作为完整的网络管理的一部分功能。这部分功能是由各厂商自行定义的,互相之间没有统一性。11112. 网络管理系统的逻辑模型一个计算机网络的网络管理系统基本上都是由四部分组成的: 被管代理(Agent); 网络管理者(Management Manager); 管理信息库MIB(Management Information Base); 网络管理协议(Network Management Protocol)。12129.1.2 简单网络管理协议SNMPSNMP是Simple Net
9、work Management Protocol英文单词的缩写,它的中文名称为简单网络管理协议。SNMP在1988年8月作为一个网络管理标准RFC1157正式公布于世(RFC是Internet的网络标准)。SNMP一经推出就得到了广泛的应用和支持,包括IBM、HP、Sun等在内的数百家厂商均支持SNMP,SNMP已经成为网络管理领域中事实上的工业标准。目前,为了便于网络管理软件的使用,在大中型网络中通常要求所购置的网络设备支持SNMP协议。SNMP采用了管理者/代理模式,其管理模型如图所示。13131. SNMP网络管理协议的工作方式和特点SNMP协议主要用于OSI 7层模型中较低层次的管理,
10、它采用轮询监控的工作方式:管理者按一定的时间间隔向代理请求管理信息,根据管理信息判断是否有异常事件发生;当管理对象发生紧急情况时,也可以使用称为trap(陷阱)信息的报文主动报告。为此,SNMP提供了五个服务原语。1414五个服务原语五个服务原语 GetRequest原语:表示管理者发送给被管代理的“查询变量”请求,要求被管代理响应变量的具体值。 GetNextRequest原语:表示管理者发送给被管代理的“查询下一个变量”的请求,要求被管代理响应下一个变量的具体值。此原语的典型应用是管理者遍历某一个被管设备的MIB树中某个对象的一系列参数。 GetResponse原语:表示被管代理对管理者的
11、响应,并回送相应变量的状态信息(差错码、差错状态等)。 SetRequest原语:表示管理者发送给被管代理的“设置变量”请求,要求被管代理在本地MIB库中设置相应的变量值。 Trap原语:当被管代理发现某些预定的网络事件(例如,被管设备出错或关机)时,它会主动向管理者发送信息,报告发生的事件。管理者可以根据Trap原语发送来的信息进行差错诊断和处理。SNMP是为了方便在TCP/IP上使用而开发的,但是其检测、控制活动却独立于TCP/IP,它采用TCP/IP协议模型提供的无连接数据报传输服务(UDP)。SNMP的优点是协议简单,易于实现;缺点是管理通信开销大。15152. 实际网络管理系统的组成
12、 实际的网络管理系统由4个基本部分组成,即管理软件、管理代理、管理信息库和代理设备。在大部分的实际网络管理系统中,只有前3个部分,因此这3个部分是基本和必需的,而并非所有的网络都有“代理设备”,因此,第4个部分是可选的。下面将分别介绍这几个基本部分的功能和工作联系。1616 网络管理软件网络管理软件简称“网管软件”,它是协助网络管理员对整个网络或网络中的设备进行日常管理工作的软件。网络管理软件除了要求网络设备的“管理代理”定期采集用于管理的各种信息之外,还要定期查询管理代理采集到的主机有关信息,如系统配置信息、运行状态信息和网络性能信息等。网管软件正是利用这些信息来确定和判断整个网络、网络中的
13、独立设备或者局部网络的运行状态是否正常。对于大型网络来说,网络规模较大,网络结构复杂,一旦网络出现故障,查找与维护都很困难,因此,网络管理软件是不可缺少的助手;而对于小型网络或个人用户来说,他们的技术水平较低,聘请专业技术人员的费用又太高,因此网络管理软件可以帮助解决一些棘手的问题。由此可见,网络管理软件已经成为各种网络中必不可少的组成部分。1717 网络设备的管理代理“管理代理” 是驻留在网络设备中的一个软件模块。其中的网络设备可以是系统中的网络计算机、网络打印设备和交换机等。网络设备的管理代理软件能够获得每个网络设备的各种信息,如设备运行状况、系统配置、设备特性和性能等信息。因此,每个管理
14、代理上的软件就像被管理设备的代理人,它可以完成网管软件所布置的信息采集任务。管理代理通过被控制设备中的管理信息库(MIB)来实现管理网络设备的功能。在实际应用中,由于SNMP协议确立了不同设备、软件和系统之间通信的基础框架。因此,人们通常选用支持SNMP协议的网络设备,如选择支持SNMP协议的服务器、路由器、交换机和集线器等。这样驻留在其中的管理代理软件就具有了共同语言。正因为有了这个标准语言,网络设备的管理代理软件才可将网络管理软件发出的命令按照统一的网络格式进行转化,再收集需要的信息,最后返回正确的响应信息,从而实现了网管软件在网络管理系统中的统一网络管理。 1818 管理信息库管理信息库
15、(MIB)定义了一种有关对象的数据库,它由网络管理系统所控制。整个MIB中存储了多个(可多达上千个)对象的各种信息数据。网管软件(在SNMP模型中又称管理进程)正是通过控制每个对象的MIB来实现对该网络设备的配置、控制和监视的。而网络管理员使用的网络管理系统可以通过网络管理的代理软件(管理代理)来控制每个MIB对象。1919 代理设备在网络管理系统中,代理设备是标准的网络协议软件和不支持标准协议的软件之间的一座桥梁。利用代理设备,无需升级整个网络管理系统即可实现旧版本网管软件到新版本的升级。例如,某网络正在使用的是支持旧版本SNMP协议的网管软件,当新版本SNMP协议开发出来之后,如果直接升级
16、,则整个网络中所有的现存设备都会受到影响,使用代理设备则可以方便地解决此类问题。注意,正是由于代理设备的上述特殊功能,所以不是所有的网络管理系统中都有这种设备,也就是说,代理设备在网络管理系统中是可选的。20209.1.3 常用的网络管理软件介绍 常用的网络管理系统有HP公司的OpenView,Sun公司的NetManager,IBM公司的NetView,Cisco公司的Cisco Works和Cabletron公司的Spectrum等。1. HP OpenView2. Cisco Works3. CA的Network IT4. IBM Tivoli5. Novell网络管理方案21219.2
17、 网络的性能管理与优化网络的性能管理与优化的目的是减少网络系统的瓶颈、设法提高网络系统的运行效率。对于不同的硬件环境和软件环境,可以存在不同的优化方法和内容。例如,在一个配置比较落后而又需要提供各种新服务的网络中,管理员往往需要对网络中计算机的内存、CPU、磁盘,以及网络接口和服务器等分别进行优化处理,以便适应新的网络运行要求。但是,在一个网络服务比较少而硬件配置比较高的网络中,管理员不需要考虑整个网络的性能问题,只要利用一些性能和网络监视工具对系统进行监视,然后对发现的问题进行专项处理即可。下面将说明如何选择和使用Windows工具来监视网络服务器以及工作站的性能,以及如何调整各种设定来增加
18、整体性能。22229.2.1 性能调整的基本方法 通常,包括Web服务器性能在内的网络性能,会在一段时间之后,随着流量及站点内容改变而有所变化。因此,服务器系统管理员必须运用不同的工具,来拟定监视策略,以便有效地调整性能。23231. 如何监视与调整性能性能测试与调整首先必须从评估目前的性能情况入手。因为性能会随着时间产生极大改变,所以监视时间的长度务必足够,才能掌握服务器运行的真正状况。其次,为了改善性能,必须检查系统的所有部分,以便找出潜在障碍。产生这些障碍的原因,可能是因为硬件设定不正确或不恰当,也可能是Windows的软件设定有问题。一个完善的监视计划,就是要检查所有部分的性能。一旦对
19、服务器的性能了解之后,就可以开始作修正以改善性能。修正工作应逐项一一进行,否则将很难判断修正所可能造成的影响。在每项修正过后,还是必须继续监视,以便观察改变是否会造成直接影响,或产生不良的副作用。因为一方资源的变动可能会对另一方区域造成障碍,因此每修正一次,就要对所有资源进行性能检查,这是非常重要的。24242. 监视性能的工具监视服务器是服务器系统管理工作中极为重要的一项。运用适当的工具,就能检测出服务器的问题,评估Web站点内容改变所带来的结果,进而规划站点的升级,让使用者更容易访问网站。根据欲获取的信息来选取合适的监视工具,如果想测量Web服务器的整体负荷量,可使用“系统监视器”进行连续
20、数天的测量,将计算机连接及文档传输次数显示出来。如果发现Web服务器的性能减缓,可检查“事件查看器”中所记录的错误信息。另外,还可检查IIS所产生的日志来监视服务器,除了Windows原有的内建工具之外,还可利用其他相关的性能监视工具。Windows Server 2003内置的工具有:事件查看器、任务管理器、网络监视器、性能监视器。2525 事件查看器Windows有一个事件记录服务,可将一些事件记录下来,如某项服务的错误或成功启动。这些事件可用“事件查看器”来查看。还可以利用事件查看器来监视“系统”、“安全”及“应用程序”事件日志。有了这项信息,网管就可以清楚了解某些事件的顺序或类型所造成
21、的性能问题。对于Windows系统,事件查看器可以通过“开始程序管理工具事件查看器”打开。2626 任务管理器 “任务管理器”可用来查看持续进行的工作及执行进程,也可以用来变更处理程序原先被指派的优先等级。不过,一旦处理程序结束,新的设定就会丢失。利用这个工具可以即时观看CPU和存储器的使用状况,不过资料不会随时间保存。对于Windows系统,同时按下ctrl-alt-delete键,就可以调出任务管理器界面。27279.2.2 网络监视器及其使用“网络监视器”可掌握往来计算机的流量信息,提供有关接收与传送数据帧(frames)的详细内容。这个工具能协助网管分析网络流量的复杂模式,监视网络的整
22、体情况;也能追踪各个数据包的详细信息,例如查看HTTP向Web服务器发出请求或者Web服务器作出响应的包头信息,如查看源和目标IP地址、MAC地址、使用的协议、端口号等等。1. 安装网络监视器2. 网络监视器功能介绍3. 捕获与分析网络数据28289.2.3 性能监视器及其应用为了方便管理员监视系统性能,Windows系统提供了性能监视器,它能够提供现有性能的数据,并可方便地利用图表、报表、日志及警报等窗口监视形式形象地观察它们,还可以将有关内容记录下来,保存在文件中,以便日后分析时用来作为历史资料。当设置了激活的警报时,系统性能超过变化范围就能够报警,以及时提醒管理员解决系统性能问题。1.
23、对象与计数器2. 性能监视器的使用3. 警报的使用4. 系统监视器的应用29299.2.4 服务器的性能优化从内存、硬盘、CPU和网卡等方面,可以调整网络服务器的性能与效率。1. 对内存的调整和优化内存是操作系统中的重要资源,不仅操作系统的运行需要它,而且各种应用程序和服务都需要调用它才能使用。从应用的角度来看,网络服务器的内存是引起各种问题的重要原因,是需要用户和管理员着重考虑的对象 3030 合理使用内存在内存一定的情况下,合理地使用内存可以提高网络的性能。服务器的主要优化对象应该是后台服务,而工作站和单个计算机的主要优化对象应该是前台应用程序。要选择内存优化的主要对象,可执行下面的操作步
24、骤: 打开“控制面板”窗口,右击“系统”图标,从弹出的快捷菜单中选择“打开”命令,打开“系统特性”对话框。 单击“高级”标签,切换到“高级”标签页,然后单击“性能”选项组中的“设置”按钮,打开“性能选项”对话框,如图所示。3131 合理使用内存 在“处理器计划”选项组中,要优化应用程序性能,可选择“程序”单选按钮;要优化后台服务性能,可选择“后台服务”单选按钮。 对虚拟内存进行优化设置之后,单击“确定”按钮返回“系统特性”对话框,然后单击“确定”按钮即可。 设置虚拟内存所谓虚拟内存就是系统把硬盘空间当作额外的内存来使用。因为通过使用磁盘空间,操作系统给进程分配比实际可用内存更多的内存。Wind
25、ows系统用一个32位且要求分页的虚拟内存系统来管理内存。不管计算机安装的实际内存有多大,应用程序都好像运行在有4 GB内存地址空间的计算机上一样。3232当连续页之间有未用空间时就产生了碎片,内存碎片将导致一些内存区域不可用。为了减少碎片,Windows系统采用4KB页分配内存。分页的大小将直接影响网络的性能,同时,虚拟内存页文件的大小也对网络的性能有所影响。虽然页文件的大小在Windows系统安装时自动确认,位置也由系统安装程序给定,但管理员可以通过对页文件的重新配置来增强网络的性能。要进行虚拟内存管理,可以在图9-8中,单击“更改”按钮,打开“虚拟内存”对话框,如图9-9所示。 在“所有
26、驱动器页面文件大小的总数”选项组中,对话框提示管理员,驱动器页面文件允许最小值为2MB,当前已分配的虚拟内存为384MB,并推荐管理员使用384MB虚拟内存。如果管理员要修改某个驱动器的页面文件大小,可在驱动器列表框中单击该驱动器。 合理使用内存3333 “虚拟内存”对话框3434 在“所选驱动器的页面文件大小”选项组中的“初始大小”文本框中输入初始页面文件的大小,其值必须在2957之间,且不超过驱动器的可用空间。 在“最大值”文本框中输入所选驱动器页面文件的最大值,其值应大于或等于页面文件初始大小,且不能超过可用空间;单击“设置”按钮,使对所选驱动器页面文件大小的设置生效。 单击“确定”,返
27、回到“性能选项”对话框,然后再单击“确定”,保存设置。 合理使用内存3535添加新内存虽然通过优化配置能够提高内存的性能,但是这不能从根本上解决问题。如果系统的内存严重不足,只能通过添加新内存来解决。在添加内存时,既要考虑到当前的需要,又要考虑到后期的需要,还要考虑内存的速度和本身性能。例如,当前的内存为256MB,当前需要256MB,那么用户就应添加512MB以上的内存,这样就不至于在每次有新的内存要求时都进行内存添加。对于速度和性能的考虑主要是因为不同的内存用于同一台计算机时,系统自动以低速度和低性能的内存为主。显然,直接添加高速度和高性能的内存是一种资源浪费。建议将网络中的同速度和性能的
28、内存集中起来添加到某些不太重要的计算机中,然后在一些重要的计算机中全部添加上新购置的内存。 36362. 对CPU的调整和优化对于CPU的优化主要考虑CPU的速度、缓存技术和多处理器技术。以前,由于计算机的发展水平比较低,CPU的速度和性能成为衡量一个计算机系统速度和性能的惟一标准。而现在,CPU的速度和性能以惊人的速度在发展,而且价格越来越便宜,但其他硬件设备的速度和性能没有太大的提升,导致CPU的速度和性能问题不再是用户考虑的惟一问题。如果从整个网络考虑,对于CPU的优化除了速度问题,还需要考虑缓存和多处理器支持技术,特别是服务器多处理器支持对于网络的整体性能的提高非常重要。 3737 缓
29、存技术目前使用的CPU都具有一个所谓的二级缓冲存储器(二级缓存),主要用来保存CPU最近使用过的数据,为一级缓存传送数据提供方便。CPU访问缓存的速度远远快于访问RAM的速度。按照CPU结构的不同,二级缓存通常称为外部缓存,它的容量一般在256KB到几兆之间。二级缓存是一个中转站,实现数据从物理内存到CPU的交换。由于CPU只能处理一级缓存中数据,所以,二级缓存先将数据传递到一级缓存中,再由一级缓存传递到CPU进行处理。可见,CPU的缓存越大,CPU处理数据的速度就越快。所以,用户在选购CPU时,特别是为服务器选购CPU时,一定要选择具有大缓存的CPU。2. 对CPU的调整和优化3838 多处
30、理器支持多处理器技术就是在一台计算机系统中安装多个CPU,并协同处理数据的方法。大家都知道,一个CPU一次只能执行一条指令,多个CPU的使用必将提高数据处理速度。不过,要实现多处理器技术需要支持多处理器安装的主板和操作系统。对于操作系统而言,Windows Server 2003是一个不错的选择,它支持8个CPU,并使用对称式多处理器系统,可以将一个应用程序或服务中的进程或线程由多个CPU来处理,所以当CPU不能满足应用需求时,可增加CPU的个数,但是当服务器中存在运行速度不同的CPU时,系统将以速度最低的一个作为标准速度来运行。2. 对CPU的调整和优化3939 监视CPU的活动,启用进程带
31、宽限制通过性能监视器,可以对服务器中CPU的使用情况进行实时监控,及时了解CPU的利用率,发现有哪些进程在占用CPU的资源,通过启用CPU进程的带宽限制可以均衡其利用,以便CPU尽可能的发挥它的功效。2. 对CPU的调整和优化40403. 对磁盘系统的调整和优化对硬盘进行优化主要考虑硬盘的技术、硬盘的速度和文件系统。 硬盘的技术从当前的硬盘接口技术上来看,硬盘主要分为两种,一种是IDE接口硬盘,一种是SCSI接口硬盘,也就是说,硬盘主要有IDE和SCSI两种接口类型。IDE接口速度慢,但价格便宜,广泛地使用于个人计算机和工作站。而SCSI接口是小型计算机系统接口的简称,它的设计要求传输速度快、
32、支持多进程和并行处理。4141由于IDE和SCSI接口硬盘在速度、容量、可靠性和稳定性等方面都有很大的差距,在选购时一定要根据需要来决定。一般,个人计算机和网络中的工作站都使用IDE接口硬盘,而服务器主要使用SCSI接口硬盘。 硬盘的速度前面已经介绍过,SCSI接口硬盘比IDE接口硬盘的速度要快得多,选择SCSI接口硬盘就等于选择高速硬盘。但是,由于价格或主板的原因只能选择IDE接口硬盘时,尽量选择高速的IDE接口硬盘。现在,IDE接口硬盘主要有两种速度类型,一种是5400转/分,一种是7200转/分。 3. 对磁盘系统的调整和优化4242 文件系统文件系统就是在硬盘上存储信息的格式。Wind
33、ows支持的文件系统包括: FAT:标准文件分配表,运行在Windows NT、Windows 95、MS-DOS或OS/2之上,可以存取主分区或者逻辑分区上的文件。 FAT32:增强的文件分配表,它是在大型磁盘驱动器(超过512兆字节)上存储文件的有效的系统。 NTFS:只有运行Windows 2000/ME/XP/2003的计算机才可以存取NTFS卷中的文件。3. 对磁盘系统的调整和优化4343FAT32文件系统提供了比FAT文件系统更为先进的文件管理特性,例如,支持超过32GB的卷,以及通过使用更小的簇来更有效率地使用磁盘空间。Windows系统所推荐使用的NTFS文件系统提供了FAT和
34、FAT32文件系统所没有的读写能力、可靠性和兼容性。NTFS文件系统支持对于关键数据完整性十分重要的数据访问控制和私有权限。除了可以赋予Windows计算机中的共享文件夹特定权限外,NTFS文件和文件夹无论共享与否都可以赋予权限。NTFS是Windows中惟一允许为单个文件指定权限的文件系统。然而,当用户从NTFS卷移动或复制文件到FAT卷时,NTFS文件系统权限和其他特有属性将会丢失。 3. 对磁盘系统的调整和优化44444. 对网卡的调整和优化 选择高性能网卡网卡是将计算机接入网络的连接设备。网卡所承担的任务非常繁琐,它要从网络上接收数据包,确认是否属于本计算机。接收到的信息要送往处理器进
35、行处理,并尽可能保证信息的传输速度。网卡中关键的性能是对数据的吞吐能力,在服务器硬件系统(主要是指主板ISA或PCI总线系统)允许的情况下应尽可能选择高速网卡,如100Mbps、1000Mbps甚至10000Mbps的网卡。另外还有一类专门为服务器设计的网卡,这类网卡可最大限度的降低对服务器CPU的占用率,优化服务器的性能。 4545 选择正确的网卡驱动程序网卡需要通过驱动程序建立与协议之间的关系。Windows Server 2003提供了大部分网卡的驱动程序,但是Windows Server 2003中只提供了有关网卡所用集成电路的简化程序,所以只要网卡所用的集成电路相同,系统就认为是同一
36、种网卡。由于网卡的生产商的技术能力各不相同,虽然不同的生产商使用相同的芯片,但网卡的性能会由于生产厂商的生产工艺不同、驱动程序不同而有较大的差别。所以,在安装网卡驱动程序的时,最好安装网卡随带的原装驱动程序。 合理配置通信协议在系统配置时一定要避免安装任何不必要的网络协议。不要把TCP/IP、NetBEUI和IPX/SPX等协议全部都安装进去。通常只需安装TCP/IP协议就行了。 4. 对网卡的调整和优化4646 正确设置协议绑定顺序协议都是绑定在网卡上的。一个协议可以绑定在多块网卡上,多个协议也可以同时绑定在一块网卡上。网卡上所绑定的第一个协议是默认协议,在通信时最先采用这个协议。只有当默认
37、协议无效时才会使用后续的协议,所以要把网络中最常用的协议绑定在第一位。网络的性能还与其他一些系统的功能在关,例如:进程和线程的优先级、文件的压缩、防火墙的设置规则等等都有很大的关系。 4. 对网卡的调整和优化47475. 服务器进程优化进程是包含地址空间和程序运行资源的程序请求。当某个应用程序启动时,系统就创建一个进程。这个进程所拥有的内存、资源和执行线程与运行可执行应用程序的特定实例相关联。Windows系统使用31个进程优先级去调度进程的运行。优先级范围从131,1是最低优先级,31是最高优先级。其中动态应用程序使用115的优先级,而实时应用程序的优先级最高为23。每个进程启动时都有一个标
38、准的或基本的优先级,最多可增加或降低2级。基本优先权等级在进程启动时建立,但当一个进程运行时,可以通过使用任务管理器来改变基本优先权等级,缺省时,进程按标准优先权等级(优先级7)启动。4848优化服务器进程的操作步骤如下 在Windows Server 2003桌面上,右击“任务栏”空白处,从弹出快捷菜单中选择“任务管理器”,打开“Windows任务管理器”窗口。 单击“进程”标签,切换到“进程”标签页。 要在进程列表框查看所有进程,启用“显示所有用户的进程”复选框。 如果要查看进程的其他信息,选择“查看”“选择列”命令,可打开“选择列”对话框,启用某复选框,“Windows任务管理器”进程列
39、表中将显示出该列。例如,启用“线程计数”复选框,管理员可在“Windows任务管理器”进程列表中查看到进程所包含的线程数。 在进程列表框选择一进程,单击“结束进程”,可结束该进程。 要修改某个进程的优先级,可在进程列表框中右击该进程,从弹出的快捷菜单中单击“设置优先级”选项,然后在弹出的子菜单中选择要设置的优先级别。 删除不必要的进程和提高重要进程的优先级之后,单击“确定”按钮关闭对话框。49499.2.5 单元实训:网络管理工具的使用1. 实训目标学会使用服务器管理工具,以及使用网络监视器(Network Monitor)跟踪网络和计算机的使用情况。2. 实训条件运行Windows Serv
40、er 2003和Windows XP的计算机组成网络,在Windows Server 2003服务器上安装Microsoft网络监视器(Microsoft Network Monitor)。3. 实训内容和步骤 服务器管理 网络监视器50509.3 网络安全技术9.3.1 网络安全的重要性9.3.2 网络安全体系9.3.3 防火墙技术9.3.4 网络防病毒技术51519.3.1 网络安全的重要性1. 什么是网络安全网络安全是指整个计算机网络系统的安全,这包括其中的硬件、软件及系统中的数据均受到保护,不受偶然的或者恶意的破坏、更改、泄露,从而保证系统连续可靠正常地运行,网络的服务不中断。保密性:
41、指信息不泄露给非授权用户、实体或过程,不为其利用。完整性:指只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。未经授权不得改变数据。即信息在存储或传输过程中保持不被修改、不被破坏和不发生丢失。可用性:得到授权的实体在需要时可访问数据,即攻击者无法占用所有的资源而阻碍授权者的工作。因而网络环境下拒绝服务、破坏网络及相关系统的正常运行等都属于对可用性的攻击。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。52522. 网络安全的重要性开放的网络技术,任何一个人、任何团体都可能获得,因而开放性的网络所面临的破坏和攻击可能是多方面的,例如
42、,攻击物理传输线路、攻击网络通信协议、攻击软件、攻击硬件。国际性网络还意味着受到的网络攻击不仅仅来自本地网络的用户,还可以来自互联网上的任何一个机器,也就是说,网络安全所面临的是一个国际化的挑战。自由性意味着网络最初对用户的使用并没有提供任何技术约束,用户可以自由地访问网络,自由地使用和发布各种类型的信息。用户只对自己的行为负责,而没有任何法律的限制。尽管开放的、自由的、国际化的互联网的发展给政府机构、企事业单位带来了革命性的改革和开放,使他们能够利用互联网提高办事效率和市场反应能力,以便更具竞争力,但与此同时却又要面对互联网开放带来的数据安全的新挑战和新危险。如何保护网络的机密信息不受黑客和
43、间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要问题之一。53533. 构成网络安全威胁的主要因素从网络信息的角度来分析,所面临的安全威胁主要来自: 非授权访问:有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。通常它是利用系统或相关软件的漏洞来实现的。 信息泄漏或丢失:网络中信息数据被有意或无意地泄漏或丢失。例如,利用电磁泄漏或搭线窃听等方式截获传输途中的机密信息;或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,例如
44、用户口令、账号等重要信息;通过建立隐蔽隧道来窃取保存在存储介质中的敏感信息,等等。5454 破坏数据完整性:入侵者以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。这可以发生在数据的传输过程中,也可以是存储的数据信息。 破坏系统的可用性:最简单的例子就是让用户的计算机崩溃,无法正常工作。例如,拒绝服务攻击就是不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 网络病毒传播:通过网络传播计算机
45、病毒,使其用户难于防范,破坏性大大高于单机系统。3. 构成网络安全威胁的主要因素55559.3.2 网络安全体系为了适应网络技术的发展,国际标准化组织根据开放式系统互联参考模型OSI制订了一个网络安全体系结构模型,该模型主要解决网络系统中传输信息的安全和保密问题。这就是ISO 7498-2网络安全体系,它确定了多种基本安全服务和多种安全技术。1. 网络安全服务网络安全体系所要求的安全服务是:对等实体鉴别服务、访问控制服务、数据保密服务、数据完整性服务和禁止否认服务。 56562. 网络安全机制 加密机制确定对不同的信息类型采用和实施不同的加密措施,包括存放在存储媒体内的数据和需要进行传输的数据
46、,它是提供数据保密的最常用的方法。 数字签名机制是解决网络中特有安全问题的有效方法。 标识与验证机制主要指对用户身份的标识与鉴别。 网络访问控制机制主要指对具体的各个用户给予必要的授权,允许或限制其访问存取的范围、方式、时间、地点和可采用的操作等。 信息完整性机制主要指判断并确认数据或信息在存储或传输过程中是否被篡改或破坏。 认证和审计机制确认接收到的信息的真伪,监视与记录对网络的访问,发现或预防网络安全性方面的漏洞。9.3.2 网络安全体系57573. 网络安全的评估标准随着计算机和网络安全问题的日益突出,计算机和网络的安全性能逐步为人们所重视。人们在建立网络的同时,也越来越多地关注计算机和
47、网络具有的安全性能。因此,建立完整、客观的评价标准也成为各国关注的热点问题。1983年美国国防部率先提出了一套可信计算机评估标准,它将计算机系统的安全等级划分为A、B、C、D四大类七个小类,包括了从最简单的系统安全特性直到最高级的计算机安全模型技术。9.3.2 网络安全体系5858D级是最低的安全保护级。拥有此级别的系统,不具有任何保护措施,任何人都可以自由进出系统,没有任何系统和数据访问的限制。属于这个级别的操作系统有:DOS、Windows和Apple的Macintosh System 7.1等。C1级又称选择安全保护级,它描述了一种典型的用于Unix系统上的安全级别。这种级别的系统对硬件
48、具有某种程度的保护,但硬件仍然具有受到损害的可能性。用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有的访问权。但这种系统的缺陷是不能控制进入系统的用户的访问级别,因此,用户不但可以将系统中的数据任意移走,还可以控制系统配置,从而获取此系统管理员允许的最高级别。例如,自行更改用户名和口令。9.3.2 网络安全体系5959C2级又称受控的安全访问控制级。它除了包含C1级的特点以外,还具备访问控制环境。该环境具有进一步限制用户执行某些命令或访问某些文件的权限,而且还加入了身份验证级别。此外,系统可以对发生的事件进行审计工作,并写入日志。例如,计算机何时开机,用
49、户的登录地点,登录的成败与否,系统管理员执行命令的情况,以及身份的验证等均可以记录在案。审计的缺点是需要耗费系统的硬件资源,例如CPU的处理时间和硬盘的存储空间。B1级为标志安全保护级,是支持多级安全的第1个级别,该级别除了具有C2安全级别的特点之外,还增加了安全策略模型、托管访问控制和数据标志等特性。具有此级别的系统是具有保密和绝密的系统。该系统的对象处于强制性访问控制之下,系统不允许文件的拥有者改变其许可权限。例如,国防部和国家安全机构的计算机系统,一般该系统的所有者为政府机构和安全防御的承包部门。9.3.2 网络安全体系6060B2级为结构化安全保护级,该级别的设计方案,在设计时就必须具
50、有一个整体化的、合理的、面向安全的体系结构。应当遵循最小授权的安全原则,具有良好的抗渗透能力,并对所有的主体和客体进行访问控制型的保护等。例如,要求计算机系统中所有的对象都加标签,而且给设备(磁盘、磁带和终端等)分配单个或多个安全级别。B3级为安全域机制安全保护级,该级别的系统具有安全内核和高抗渗透能力,使用安装硬件的方式来加强域。该级别要求用户通过一条可信任的途径连接到系统上。例如,使用内存管理硬件来保护安全域内的对象不受非法访问,或避免对其所做的非法修改等。9.3.2 网络安全体系6161A级为可验证的安全设计保护级。它是当前的最高安全级别,包括了一个严格的设计、控制和验证过程,这一级别包
51、含了较低级别的所有特性。设计必须是在数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析。该信任分布的含义是:为了实现安全系统的保护,被保护系统的硬件和软件在物理的传输过程中均应受到保护。注意:由C2开始的每一级别都拥有较低一级的所有特性,并在此基础上增加了新的安全特性。例如,C2级别除了包含C1级别的安全特性,还增加了身份验证和审计等。9.3.2 网络安全体系62624. 网络安全策略网络安全系统需要制定一个合理的安全策略,这个策略需要详细阐明要保护的地方。也就是说,网络安全策略必须能够覆盖在计算机网络系统中存储、传送和处理等各个环节中数据的安全,否则安全策略就不会有效。例如,保证数
52、据在计算机网络传输过程中的安全性,并不能保证数据一定是安全的,因为该数据终究要存储到某台计算机上,如果该计算机上的操作系统等不具备相应的安全性,则数据很可能就从那里泄漏出去。制定网络安全策略要注意对网络系统信息价值的评定上。也就是说,只有正确认识数据信息的价值,才能制定一个合理的安全策略。一般说来,计算机网络系统的安全策略应该包含以下几个基本的部分,当然,根据具体情况的不同,可以在此基础上进行修改或扩展。6363 风险管理:针对网络信息系统存在的漏洞缺陷、面临的风险与威胁,采用安全风险评估技术来实现安全措施;对于可能发现的漏洞、风险,规定相应的补救方法(操作平台、系统应用程序应及时打补丁),或
53、者取消一些相应的服务(关闭不必要的端口和服务器)。 行为管理:对网络行为、各种操作进行实时监控,对各种行为进行分类管理,规定行为的范围和期限。例如,账号、密码周期性更换,而且长度不低于8位。 信息管理:信息是网络系统的重要资源。由于它的特殊性,因此必须采用特殊的方式和措施来进行管理。根据具体的实际情况,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法。4. 网络安全策略6464 安全边界:网络系统与外部环境的连接处是防御外来攻击的关口。根据具体业务范围,规定系统边界上的连接情况,防止非法用户的入侵以及系统敏感信息的外泄。 系统安全:操作系统是网络系统运行的基础平台。它的安全也是网络安
54、全的基础。根据具体的安全需求,应该规定所要采用的操作系统类型、安全级别以及使用要求。 身份认证与授权:网络系统是为用户提供服务的,为了区分各个用户以及不同级别的用户组,需要对他们的身份和操作的合法性进行检查。网络系统应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。4. 网络安全策略6565 应用安全:基于网络系统的应用有很多,存在的安全问题也很多。为了保证安全,应该根据安全需求规定所使用的应用的种类和范围,以及每一种应用的使用管理制度。 数据库安全:数据库需要规定所采用的数据库系统的类型、管理、使用制度与方式。 链路安全:链路层是网络协议的下层协议,针对它的攻击一般是破坏链
55、路通信,窃取传输的数据。 桌面系统安全:桌面系统包含着用户能够直接接触到的信息、资源,也是访问网络系统的一个入口,对它的管理和使用不当也会造成敏感信息的泄露。4. 网络安全策略6666 灾难恢复与备份:不存在绝对安全的网络防护体系,为了减少由于安全事故造成的损失,必须规定必要的恢复措施,以使在系统受到攻击或出现安全方面的问题之后,能够使系统尽快地恢复正常的运转,并对重要的信息进行周期性的备份。 集中安全管理:为了便于安全体系的统一运转,发挥各个功能组件的功能,必须对体系实施集中的管理。因此,需要制定科学的管理制度,成立相应的管理机构。4. 网络安全策略67679.3.3 防火墙技术1. 防火墙
56、的基本概念2. 防火墙的原理68681. 防火墙的基本概念防火墙通常是指设置在不同网络(例如,可信任的内部网络和不可信的外部网络)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据网络安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙一般具有以下五项基本功能: 过滤进出网络的数据; 管理进出网络的访问行为; 封堵某些禁止的业务; 记录通过防火墙的信息内容和活动; 对网络攻击进行检测和报警。69692. 防火墙的原理根据防范的方式和侧重点的不同,有不同类型的防火墙。其工件原理分别基于: 数据包过滤数据包过滤(Packet F
57、iltering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。其实现原理如图所示。 7070数据包过滤是有选择地让数据包在内部网络与外部网络之间进行交换,它将根据内部网络的安全规则允许某些数据包流过,同时又阻止某些数据包通过。其工作方法是通过基于数据包的源地址、目的地址或端口来进行投递。根据类型的不同,过滤可以在输入时间、输出时间或两者兼有的时间进行。一般过滤规则是识别报头(包括传输控制协议TCP、用户数据报协议UDP报头),决定该IP包是否要进行拦截还是给予放行。2. 防火墙的原理7171 应用级网关应用级网
58、关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实现原理如图所示。 2. 防火墙的原理7272数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判断是否允许数据包通过。一旦满足逻辑,则让防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这就给非法访问和攻击提供了机会。2. 防火墙的原理7373 代理服务代理服务(Proxy Service)是运行在防火墙主机上的一
59、些特定的应用程序或者服务程序。代理服务中,内部各站点之间的连接被切断了,代理服务在幕后操纵着各站点间的连接。2. 防火墙的原理7474无论何种类型的防火墙,从总体上看,都应具有以下基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。2. 防火墙的原理75759.3.4 网络防病毒技术1. 网络病毒传播方式及其特点2. 网络病毒的防范方法3. 网络防病毒体系76761. 网
60、络病毒传播方式及其特点 感染速度快。 扩散面广。 传播的形式复杂多样。 难于彻底清除。 破坏性大。9.3.4 网络防病毒技术77772. 网络病毒的防范方法计算机网络病毒的传播方式是由点到面,尤其是传播的渠道已经以电子邮件作为病毒传播的主渠道。对付网络病毒通常包括预防病毒、检测病毒和清杀病毒三个过程: 预防病毒是在严格的病毒预防制度的控制 检测病毒是通过对网络病毒的特征码分析 清杀病毒。9.3.4 网络防病毒技术78783. 网络防病毒体系在实际网络应用中,病毒比一般攻击更可怕。为了避免因为病毒而造成损失,计算机网络需要构建一个具有三层结构的实时防范病毒体系。 入口处防病毒 网络中防病毒 单机
61、防病毒9.3.4 网络防病毒技术79799.3.5 单元实训:IE浏览器安全配置1. 实训目的 掌握IE浏览器的有关Cookie、Java、Active X等技术相关安全配置。 了解IE浏览器的安全漏洞。 了解有关Cookie、Java、Active X等技术的安全问题和IE浏览器的漏洞带来的安全问题,以及针对这些问题应采取的防范措施。2. 实训条件运行Windows Server 2003或Windows XP操作系统的计算机,可以通过局域网或ADSL拨号上网。3. 实训内容与步骤80809.3.6 单元实训:Outlook Express安全配置1. 实训目的 掌握Outlook Express相关安全配置。 使用Outlook Express发送加密电子邮件,在Outlook Express中学习使用密码技术发送电子邮件和配置相关安全选项。 了解有关电子邮件的安全问题和Outlook Express安全配置、漏洞问题,以及针对这些问题应采取的防范措施。2. 实训条件运行Windows Server 2003或Windows XP操作系统的计算机,可以通过局域网或ADSL拨号上网。3. 实训内容与步骤8181
