1. 网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的使用需求,如实时运行性能,服务质量等。网络管理的一般模型如图 10.1.1 所示。
图 10.1.1 网络管理的一般模型2. 网络管理模型中的主要构件(1) 管理站是整个网络管理系统的核心,它通常是个有良好图形界面的高性能的工作站,并由网络管理员直接操作和控制。所有向被管设备发送的命令都是从管理站发出的。在管理站中的关键构件是管理程序。管理站硬件或管理程序都可称为管理者。(2) 被管设备可以是主机、路由器、打印机、集线器、网桥或调制解调器等。(3) 被管对象(Managed Object):在每一个被管设备中可能有许多被管对象。被管对象可以是被管设备中的某个硬件(例如,一块网络接口卡),也可以是某些硬件或软件(例如,路由选择协议)配置参数的集合。(4) 管理信息库(Management Information Base):被管对象必须维持可供管理程序读写的若干控制和状态信息。这些信息总称为 MIB。管理程序使用 MIB 中这些信息的值对网络进行管理(如读取或重新设置这些值)。(5) 网络管理代理程序:在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信。这些运行着的程序叫做网络管理代理程序,简称为代理(Agent)。代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。(6) 网络管理协议就是管理程序和代理程序之间进行通信的规则。需要注意,并不是网管协议本身来管理网络,而是网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。3. OSI 系统管理在 OSI 系统管理中,提出了管理的五个功能域:(1) 故障管理:对网络中被管对象故障的检测、定位和排除。故障不是一般的差错,而是指网络已无法正常运行,或出现了过多的差错。网络中的每一个设备都必须有一个预先设定好的故障门限(此门限必须能够调整),以便确定是否出了故障。(2) 配置管理:用来定义、识别、初始化、监控网络中的被管对象,改变被管对象的操作特性,报告被管对象状态的变化。(3) 计费管理:记录用户使用网络资源的情况并核收费用,同时也统计网络的利用率。(4) 性能管理:以网络性能为准则,保证在使用最少网络资源和具有最小时延的前提下,网络能提供可靠、连续的通信能力。 安全管理:保证网络不被非法使用。
简单网络管理协议 SNMP的基本功能是监视网络性能,检测分析网络错误,配置网络设备等。管理程序和代理程序按客户服务器方式工作。管理程序运行 SNMP 客户程序,向某个代理程序发出请求(或命令),代理程序运行 SNMP 服务器程序,返回响应(或执行某个动作)。在网管系统中往往是一个或少数几个 SNMP 客户程序与很多的 SNMP 服务器程序进行交互。网络管理的基本原理:若要管理某个对象,就必然会给该对象添加一些软件或硬件,但这种“添加”必须对原有对象的影响尽量小些。SNMP 发布于 1988 年。IETF 在 1990 年制订的网管标准 SNMP 是因特网的正式标准。以后有了新版本 SNMPv2 和 SNMPv3,因此原来的 SNMP 又称为 SNMPv1。SNMP 最重要的指导思想就是要尽可能简单,它的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。在网络正常工作时,SNMP 可实现统计、配置和测试等功能。当网络出故障时,可实现各种差错检测和恢复功能。虽然 SNMP 是在 TCP/IP 基础上的网络管理协议,但也可扩展到其他类型的网络设备上。SNMP 的典型配置如图 10.1.2-1 所示。
图 10.1.2-1 SNMP 的典型配置在 SNMP 中,整个系统必须有一个管理站。管理进程和代理进程利用 SNMP 报文进行通信,而 SNMP 报文又使用 UDP 来传送。若网络元素使用的不是 SNMP 而是另一种网络管理协议,SNMP 协议就无法控制该网络元素。这时可使用委托代理(proxy agent)。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。管理信息库 MIB是一个网络中所有可能的被管对象的集合的数据结构。只有在 MIB 中的对象才是 SNMP 所能够管理的。SNMP 的管理信息库采用和域名系统 DNS 相似的树形结构,它的根在最上面,根没有名字。管理信息库的对象命名树举例如图 10.1.2-2 所示。
图 10.1.2-2 管理信息库的对象命名树举例 SNMP 使用无连接的 UDP,因此在网络上传送 SNMP 报文的开销较小。但 UDP 不保证可靠交付。在运行代理程序的服务器端用熟知端口 161 来接收 get 或 set 报文和发送响应报文(与熟知端口通信的客户端使用临时端口)。运行管理程序的客户端则使用熟知端口 162 来接收来自各代理的 trap 报文。
1. 网络安全就其本质而言是网络上的信息安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全的研究领域。简单来讲,网络安全可包括系统不被侵入、数据不丢失和网络中的计算机不被病毒感染。2. 网络安全的标准包括运行系统安全、网络上系统信息的安全、网络上信息传播的安全以及网络上信息内容的安全。3. 网络安全的特征保密性、完整性、可用性和可控性。4. 网络的安全层次分为物理安全、控制安全、服务安全和协议安全。(1) 物理安全包括:自然灾害、物理损坏、设备故障、意外事故等;电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入、痕迹泄露;操作失误、意外疏漏;计算机系统机房环境的安全漏洞。(2) 控制安全包括计算机操作系统的安全控制,主要用于保护存储在硬盘上的信息和数据;网络接口模块的安全控制,在网络环境下对来自其他机器的网络通信进程进行安全控制;网络互联设备的安全控制,对整个子网内所有主机的传输信息和运行状态进行安全监测和控制。(3) 服务安全包括:对等实体认证服务、访问控制服务、数据加密服务、数据完整性服务、数据源点认证服务、禁止否认服务等。(4) TCP/IP 协议安全主要用于解决 TCP/IP 协议数据流采用明文传输;源地址欺骗(Source address spoofing)或 IP 欺骗(IP spoofing);源路由选择欺骗(Source Routing spoofing);路由信息协议攻击(RIP Attacks);鉴别攻击(Authentication Attacks);TCP 序列号欺骗攻击(TCP SYN Flooding Attack ),简称 SYN 攻击;易欺骗性(Ease of spoofing)。5. 主要的网络安全威胁其表现形式是自然灾害、意外事故;计算机犯罪;人为行为,例如使用不当,安全意识差等;“黑客”行为,由于黑客的入侵或侵扰;内部泄密;外部泄密;信息丢失;电子谍报,例如信息流量分析、信息窃取等;信息战;网络协议中的缺陷。他们的主要特征是窃听、重传、伪造、篡改、服务封锁攻击、行为否认、假冒合法用户、非授权访问、干扰系统的正常运行、破坏数据完整以及传播病毒。(1) 病毒是一种暗中侵入计算机并且能够自主生存的可执行程序。病毒一旦进入系统以后,通常通过磁盘的关键区域(主要感染工作站)和通过可执行文件(主要感染服务器)两种方式进行传播。多数病毒程序都有如下共同的组成部分:复制部分、破坏性代码、用于进行条件判断以确定何时执行破坏性代码。病毒分为文件病毒、引导病毒、混合型病毒、异形病毒、宏病毒。病毒的工作方式分为变异、触发和破坏。计算机病毒的特征是传染性、隐蔽性、潜伏性和破坏性。计算机病毒的破坏行为包括:攻击系统数据区;攻击文件;干扰系统运行;干扰键盘输入或屏幕显示;攻击 CMOS;干扰打印机的正常工作;网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。网络病毒的特点是传染方式多、传染速度快、清除难度大、破坏性强、激发形式多样、潜在性。常见的网络病毒包括电子邮件病毒、Java 程序病毒、ActiveX 病毒、网页病毒。6. 网络遭受攻击的形式(1) 服务封锁攻击是指一个用户占有大量的共享资源,使系统没有剩余的资源给其他用户再提供服务的一种攻击方式。服务封锁攻击的结果是降低系统资源的可用性,这些资源可以是 CPU 时间、磁盘空间、MODEM、打印机,甚至是系统管理员的时间。服务封锁攻击是针对 IP 的核心进行的。攻击的方式很多。(2) 电子邮件攻击:现在的电子邮件攻击主要表现形式是窃取、篡改数据;伪造电子邮件;服务封锁和病毒。(3) 缓冲区溢出攻击: 缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,如果没有足够的空间就会引发缓冲区溢出。攻击者可以设置一个超过限缓冲区长度的字符串,然后植入缓冲区,向一个空间有限的缓冲区植入超长字符串可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重时可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统超级权限。(4) 网络监听攻击:在网络中,当信息进行传播的时候,可以利用某种工具,将网络接口设置在监听的模式,从而截获网络中正在传播的信息,然后进行攻击。(5) 黑客(Hacker)一般是指计算机网络的非法入侵者。黑客的攻击步骤包括:信息收集,对系统的安全弱点进行探测与分析,实施攻击。 黑客的手法包括:口令的猜测或获取:字典攻击、假登录程序、密码探测程序、修改系统;IP 欺骗与窥探;扫描;缓冲区溢出。防黑客技术包括:防字典攻击和口令保护;预防窥探;防止 IP 欺骗;建立完善的访问控制策略;信息加密;其他安全防护措施 。
1. 信息保护策略? 采用备份和镜像技术提高数据可靠性? 创建安全的网络环境? 数据加密? 防治病毒? 安装补丁程序? 仔细阅读日志? 提防虚假的安全? 构筑防火墙2. 专用网络的保护(1) 窃听与监视(2) 身份鉴别(3) 局域网的漏洞(4) 过分复杂的安全配置(5) 管理失误是最严重的问题3. 个人计算机系统的保护(1) 防备来自网络的病毒(2) 不运行来历不明的软件(3) 加强计算机密码的管理4. 上网防范措施(1) 设置警告提示(2) 使用多种浏览器软件(3) 及时进行软件升级(4) 手工修改注册表(5) 使用病毒检测防护软件5. 网络安全技术措施(1) 物理层的安全防护:主要通过制定物理层的管理规范和措施来提供安全解决方案。(2) 链路层的安全防护:主要是利用链路加密措施对数据进行加密保护。它加密所有用户数据并在目的结点完成解密。(3) 网络层的安全防护:网络层主要采用防火墙作为安全防护手段,实现初级安全防护。也可以根据一些安全协议实施加密保护。还可进行入侵检测。(4) 传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层应支持对等实体认证服务、 访问控制服务、 数据保密服务、 数据完整性服务、数据源点认证服务。(5) 应用层的安全防护:可以实施强大的基于用户的身份认证,还可加强数据的备份和恢复环节。6. 实际的安全设计中的技术措施(1) 身份验证(2) 访问授权(Authorization)(3) 实时侵入检测技术(4) 网络分段(5) VLAN 技术(6) VPN 技术(7) 防火墙技术防火墙的组成部分包括包过滤器、链路级网关和应用级网关或代理服务器。 典型的防火墙如图 10.2.2 所示。
图 10.2.2 典型的防火墙防火墙弥补网络服务的脆弱性、 控制对网络的存取、集中的安全管理、网络使用情况的记录及统计。防火墙的局限性是绕过防火墙的攻击、来自内部变节者和不经心的用户带来的威胁、变节者或公司内部存在的间谍将数据拷贝到软盘、传送已感染病毒的软件或文件。在设计防火墙时必须确定防火墙的行为准则、机构的安全策略、费用、系统的组件或构件。防火墙有两种相反的行为准则:拒绝没有特别允许的任何服务;以及允许没有特别拒绝的任何服务。
