（计算机应用技术专业论文）ip监控与管理系统的研究与实现.pdf

西南交通大学硕士研究生学位论文第! 夏 摘要 计算机网络技术的飞速发展和网络应用的广泛普及给网络管理带来 了层出不穷的问题，其中，l p 地址的盗用已成为网络管理、尤其是校园 网管理中越来越严重的问题之一。如何有效地防止i p 地址的盗用、保障 网络用户的合法权益、维护正常的网络运行秩序已成为网络管理者迫切 需要解决的问题。 本文针对校园网中i p 地址的盗用问题，设计出了一有效监控和管理 i p 盗用的方案一i p 监控与管理系统。该系统针对i p 地址盗用的原理， 根据管理需求，设计并实现了i p m a c 、i p p o r t 和i p m a c p o r t 三种管理方案。通过定期对网络路由及交换设备进行数据采集和分析， 对网络实行实时监控，追踪定位出i p 盗用者的具体位置；并利用交换机 支持端口管理的特性，实现了对i p 盗用者的网络隔离。 9 i f 监控与管理系统以j a v a 为开发工具，利用s n m p 简单网络管理协 议完成对网络的监控和管理。i p 监控与管理系统主要由系统配置、数据 采集、数据分析和管理四个模块组成。系统配置模块完成系统运行所需 的信息配置；数据采集模块负责定期分别从三层交换机和用户接入层交 换机上采集i p m a c 映射信息和m a c p o r t 信息：数据分析模块根 据用户管理信息库中的合法用户信息，按i p m a c 、i p p o r t 或 i p m a c p o r t 管理方案对采集到的数据进行分析，查找出进行i p 盗 用的用户，并追踪定位出其具体位置；管理模块则根据i p 盗用者的具体 位置，对i p 盗用者所在的交换机端口进行管理，包括进行端口封锁和端 口开启管理，以实现对i p 盗用者的网络隔离。j ， i p 监控与管理系统实现了对网络的自动实时监控，使得对i p 地址的 盗用管理变被动为主动，有效地提高了管理效率，保障了合法用户正常 使用网络的权利，较好地解决了长期以来一壹困扰管理员的问题。 ， ， 。 【关键词】i p 地址盗用；静态路由；s n m p a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rn e t w o r kt e c h n o l o g y a n dt h e w i d es p r e a do fn e t w o r ka p p l i c a t i o n s ，m a n yp r o b l e m s h a v ee m e r g e di nt h e f i e l do fn e t w o r km a n a g e m e n t n o w a d a y s ，i pa d d r e s se m b e z z l e m e n th a s b e c o m eo n eo ft h em o s ts e r i o u sq u e s t i o n s i nn e t w o r km a n a g e m e n t ， e s p e c i a l l y i n c a m p u s n e t w o r k m a n a g e m e n t i t i s u r g e n t f o rn e t w o r k m a n a g e r s t o p r e v e n t i pa d d r e s se m b e z z l e m e n te f f e c t i v e l y t oe n s u r e n e t w o r ku s e r s l e g a l r i g h t o fn e t w o r ku s a g ea n dm a i n t a i nn e t w o r k s n o r m a lr u n n i n g a i m i n ga t i pa d d r e s se m b e z z l e m e n tq u e s t i o n ，t h i sp a p e ri sp r o v i d e d a ne f f e c t i v es c h e m e - - i pa d d r e s sm o n i t o r i n g & m a n a g e m e n ts y s t e m t o m o n i t o ra n dm a n a g ei pa d d r e s s a c c o r d i n gt ot h ep r i n c i p l eo fi pa d d r e s s e m b e z z l e m e n t ，t h es y s t e md e s i g n sa n di m p l e m e n t st h r e em a n a g e m e n t m e t h o d sw h i c ha r ei p m a c i p - - p o r t a n di p m a c p o r t i t r e a l i z e st h er e a lt i m e m o n i t o r i n g o ft h en e t w o r kb y c o l l e c t i n g a n d a n a l y z i n gd a t ac o l l e c t e df r o mt h er o u t i n ga n ds w i t c h i n ge q u i p m e n t a f t e r t r a c i n ga n dl o c a t i n gt h e i p e m b e z z l e r ss i t e s ，i ti s o l a t e st h e mf r o mt h e n e t w o r kb a s e do np o r tm a n a g e m e n ts u p p o r t e db ys w i t c h e s i pa d d r e s sm o n i t o r i n g & m a n a g e m e n ts y s t e mi s d e v e l o p e db y j a v a t 0 0 1 t h e s y s t e m i s m a i n l y m a d e u p o ff o u r m o d u l e s s y s t e m c o n f i g u r a t i o nm o d u l e ，d a t ac o l l e c t i n gm o d u l e ，d a t aa n a l y z i n g m o d u l ea n d m a n a g e m e n t m o d u l e s y s t e mc o n f i g u r a t i o n m o d u l e a c c o m p l i s h e s i n f o r m a t i o nc o n f i g u r a t i o nu s e di nt h i ss y s t e m d a t ac o l l e c t i n gm o d u l ei s r e a l i z e dt h r o u g hs n m p ( s i m p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) i tt a k e s c h a r g e o f c o l l e c t i n g i p m a ca n dm a c p o r ti n f o r m a t i o n r e s p e c t i v e l yf r o mi pr o u t i n gs w i t c h e sa n d u s e r s s w i t c h e s d a t aa n a l y z i n g m o d u l eu s e si p m a c i p p o r to ri p m a c p o r tm a n a g e m e n t m e t h o d st oa n a l y z et h ec o l l e c t e dd a t a ，f i n d so u ti pa d d r e s se m b e z z l e m e n t u s e r sa n dl o c a t e st h e i rs i t e s ，a c c o r d i n gt ot h el e g a lu s e r s i n f o r m a t i o n s t o r e di nu s e rm a n a g e m e n td a t a b a s e m a n a g e m e n tm o d u l ei m p l e m e n t s m a n a g e m e n to fs w i t c hp o r t - - e n a b l eo rd i s a b l ei pa d d r e s se m b e z z l e m e n t u s e r s p o r t ，a c h i e v i n gc o n n e c t i o nt oo ri s o l a t i o nf r o m t h en e t w o r k 西南交通大学硕士研究生学位论文第m 页 a si pa d d r e s sm o n i t o r i n g & m a n a g e m e n ts y s t e mc o u l da u t o m a t i c a l l y m o n i t o rt h et m t w o r ke v e r yi n t e r v a ls e tb yn e t w o r k m a n a g e r s ，i td e a l sw i t h i pa d d r e s se m b e z z l m e n tm o r e a c t i v e l y a n d e f f e c t i v e l y a n de n s u r e s n e t w o r k l e g a lu s e r s r i g h t s o t h e m a n a g e m e n tp r o b l e mp u z z l i n g m a n a g e r sl o n gt i m ei sw e l lr e s o l v e d 【k e y w o r d s 1 i pa d d r e s se m b e z z l m e n t ；s t a t i cr o u t i n g ：s n m p 西南交通大学硕士研究生学位论文第1 页 第一章绪论 1 1引言 网络的存在实现了信息的传播与共享，这些信息需要高效、正确和可 靠的手段实现通信，网络管理是必不可少的，它是网络正常运行的保障。 然而，随着信息技术的飞速发展，计算机网络的应用规模呈爆炸式增长， 硬件平台、操作系统平台、应用软件等i t 系统已变得越来越复杂和难以 统一管理；同时，网络应用者的技术水平也不断提高，给网络管理不断带 来层出不穷的新问题。如何有效地解决网络中出现的问题，实现稳定的网 络支持，保障网络的正常运行直是网络管理者们倍感棘手的问题。 在网络管理过程、尤其是校园网管理过程中，随着网络规模的扩大、 网络用户群的增长，i p 盗用问题已从最初的个别现象发展为网络运行中 普遍存在的问题。由于一直缺乏有效的措施来制止和管理i p 盗用，i p 盗 用现象一直禁而不止。 长期以来，技术人员和网络管理者们研究并提出了多种针对i p 盗用 的管理技术及解决方案，对i p 盗用起到了一定的限制作用，减小了i p 盗 用带来的后果，但并没有真正有效地制止局域网中i p 盗用的问题。i p 监 控与管理系统在过去防范i p 盗用技术的基础上，针对校园网的管理现状， 设计并实现了一有效地监控和管理i p 盗用的方案。 1 2ip 盗用防范的重要性 在校园网的管理中，随着用户的急剧增长，i p 盗用的问题已经日益 成为严重困扰网络合法用户和网络管理员的问题。 1 i p 盗用的几种情况 由于入网用户可以自行修改i p 地址。改动后的i p 地址在联网运行时 可能导致四种结果： ( 1 ) 非法的i p 地址 用户自行修改的i p 地址不在规划的网段内，网络呼叫中断。这种情 况的i p 盗用不会对网络及合法用户带来影响，不在网络管理员的管理范 围之内。 西南交通大学硕士研究生学位论文 第2 页 ( 2 ) 重复的i p 地址 用户修改的i p 地址与已经分配且正在联网运行的合法的i p 地址发生 资源冲突。这种情况产生的后果或者是i p 盗用者不能与网络建立连接， 或者是i p 盗用者的系统抢占正在联网运行的合法用户的i p 地址，导致合 法用户网络连接中断，影响合法用户的网络使用。这是网络管理员应该解 决的问题。 ( 3 ) 非法占用已分配的资源，盗用其它注册用户的合法i p 地址( 且 注册该i p 地址的机器未联网运行) 联网通讯。 在这种i p 盗用情况下，合法用户觉察不到i p 盗用的发生，但这也是 网络管理员维护网络正常运行所应该解决的问题。 ( 4 ) 未分配的i p 地址 i p 盗用者使用的i p 地址在当前的网段内，但还未分配给其他用户使 用。盗用者使用修改的i p 地址可以联网运行，但并未经合法授权，网络 管理员也应该解决这种问题。 前两种情况可被网络系统自行识别而屏蔽，导致运行中断；而第三、 四种情况操作系统则不能有效判别。如果网络管理员未采取防范措施，将 涉及到注册用户的合法权益，危害很大。 2 i p 盗用防范的必要性 i p 盗用带来的危害是巨大的： ( 1 ) i p 盗用会影响合法用户正常的网络使用：如果盗用者使用盗用 的i p 地址上网，首先占用了i p 资源，由于i n t e r n e t 上i p 地址的唯一性， 合法用户开机上网时会被系统告知i p 地址冲突，网卡被禁用，中止与网 络的连接。 ( 2 ) i p 盗用者将网络使用费转移到被盗用者身上：在以i p 流量进 行计费的收费体系如教育网中，网络费用是计算在每个i p 地址上，i p 盗 用者使用他人的i p 地址上网，相应产生的i p 流量计费也计算到他人的 i p 地址上。 ( 3 ) i p 盗用者利用盗用的i p 地址在网络上进行各种非法操作如攻 击他人，传播病毒或发布各种反动议论等，以他人的i p 地址来隐藏自己 的真实身份，达到逃避法律制裁的目的。 西南交通大学硕士研究生学位论文第3 页 i p 盗用不仅影响合法用户正常地使用网络，对网络的管理和安全性 也带来了巨大的隐患。对网络管理员来说，防范i p 盗用，维护正常的网 络运行环境是不容忽视的责任。 1 3i p 监控与管理系统的目标 在校园网的管理中，i p 地址的盗用事件频繁发生，i p 盗用已经成为 网络管理中越来越突出的问题。 尽管在校园网的管理中，可利用静态路由技术在出口路由器上设置静 态a r p 地址绑定或采用防火墙的过滤规则将非授权用户的访问权限限制 在校园网内，不允许其访问校园网外的网络资源。但是校园网内也提供有 不少的网络资源，如果i p 盗用者满足于非法使用其他合法用户的i p 地址 访问校园网内资源，保持占用授权用户的i p 地址，合法用户仍然无法正 常使用网络。 另外，如果i p 盗用发生在网络管理员的工作时间，合法用户可以报 告给网络管理员进行查询：但许多狡猾的i p 盗用者利用工作外时间进行 i p 盗用，合法用户被盗用而网络管理员却无能为力。 应网络管理的这一迫切需求，我们设计并实现了i p 监控与管理系统。 i p 监控与管理系统解决的问题包括： 1 i p 监控与管理系统能够主动、及时地发现校园网中的l p 盗用事件 的发生。 针对过去发生i p 盗用只能由被盗用的合法用户报告，网络管理员才 能得知的被动局面，i p 监控与管理系统设计为对校园网进行实时监控， 主动检测i p 盗用的发生。系统通过定期对网络运行中的a r p 地址映射信 息及m a c p o r t 信息进行检测与分析，识别出i p 盗用的发生，并根据用 户管理信息库中的合法用户信息定位出i p 盗用者的具体位置。 由于系统设计为定期对校园网进行监控，每隔一定的时间间隔( 这个 时间间隔可由网络管理员设置) ，系统就会对校园网中正在使用的资源进 行一次检查，可及时地发现i p 盗用的发生，解决了过去只有i p 盗用正在 进行且网络管理员在场时才有可能进行i p 盗用检测的问题。 2 i p 监控与管理系统能够有效地检测出i p 盗用的各种情况。 西南交通大学硕士研究生学位论文第4 页 i p 地址的盗用主要有两种情况：一是盗用已分配给其他合法用户使 用的i p 地址，这种情况下的i p 盗用会妨害合法用户的联网功能，影响合 法用户正常使用网络：二是盗用还未分配的i p 地址，这种情况下i p 盗用 不会对其他用户产生影响，但未经授权非法占用了校园网资源。 i p 监控与管理系统根据用户管理信息库中的合法用户信息可以有效 地识别出这两种i p 盗用的情况。 根据用户管理信息库中是否进行i p 地址的m a c 绑定、i p 地址的端口 绑定的标志信息，系统可根据各个网络用户的不同要求进行i p 地址的m a c 绑定、进行i p 地址的端口绑定、同时进行i p 地址的m a c 绑定和端口绑定、 既不对i p 地址进行m a c 绑定也不进行端口绑定。这样，既可有效地对i p 盗用进行管理也可适应网络用户的不同需求，进行灵活的管理。 3 i p 监控与管理系统可解决对l p 盗用者的管理问题。 防范i p 盗用，保障合法用户的正当权益，最根本的解决办法就是将 i p 盗用者从网络中隔离开来。只有彻底中断i p 盗用者与网络的连接，才 能真正隔离开他们的非法操作和行为对网络带来的负面影响。 i p 监控与管理系统利用用户接入层交换设备对端口管理的支持，根 据定位出的i p 盗用者的具体位置，关闭其所连接的交换设备的端口，中 断其与网络的连接；对于不支持端口管理的设备，记录下详细信息，由网 络管理员进行进一步处理。解决了过去由网络管理员手动关闭i p 盗用者 所连接端口的繁琐、低效操作。 i p 监控与管理系统解决了校园网内非授权用户盗用i p 地址的问题， 将网络管理员从繁琐的i p 盗用查询工作中解放出来，增加了i p 盗用监控 与管理的力度，增强了对网络的有序管理，保障了网络合法用户正常使用 网络的权力。 西南交通大学硕士研究生学位论文 第5 页 第二章网络管理综述 2 1网络管理 2 1 1 网络管理概述 网络管理涉及的内容大致可分为五类：故障管理( f m ) ，配置管理( c m ) ， 帐务管理( a m ) ，性能管理( p m ) 和安全管理( s m ) 。这五类管理涵概了网 络管理的全部内容。 1 故障管理( f m ) 故障管理包括检测、定位和排除网络硬件和软件中的故障。 故障是指网络出现不正常的运行状况，通常需要经网络管理动作进行 修复。故障管理要求分别监视互连网络上的各个设备，对设备进行周期性 的例行检测，以便确定它们是否在正常运行。故障发生后，应采取积极有 效的手段和措施尽快排除故障，恢复网络的正常运行。 2 配置管理( c m ) 配置管理的功能是掌握和控制互连网络的状态，包括互连网络内各设 备的状态及其连接关系。 配置管理又可分为3 个部分： 互连网络状态的初始化和维护 每个网络对象的状况维护 监视网络对象之间的关系 配置管理负责互连网络的启动和关闭。包括初始化过程中的各种操 作，以及在网络运行过程中必要的冷启动和热启动。 管理对象的属性包括各种详细信息，如设备的软硬件厂家、按惯例分 配的名字以及运行和管理状况。各种属性值是可配置的，这样网络管理系 统就可以控制网络设备的运行状态。 除了要知道各个设各的信息外，配置管理还要理解并监视这些设备之 间的关系，这种关系常常称为网络拓扑。网络拓扑的主要作用是理解各个 网络对象之间是如何互连的，以便在确认故障后，进行迂回路由配置，构 造新的数据流方案。 西南交通大学硕士研究生学位论文第6 页 3 帐务管理( _ ) 帐务管理的功能是度量各个网络用户和应用程序对网络资源的使用 情况。 根据连接时间、连接跨越网络的长度、用户名和其他参数，采用与具 体实现有关的各种方法来计算对网络资源的使用，使用情况一般都以日志 方式记录到帐务数据库中。帐务管理功能提供了计算一个特定网络或网段 运行成本的手段，包括制定预算、验证预算和开列帐单功能。 4 性能管理( p m ) 性能管理考虑的是网络的利用情况、网络运行的好坏。 性能管理使网络管理人员能够监视网络运行的关键参数，如吞吐率、 响应时间、网络的一般可用度，并指出网络中哪里的性能可以改善以及如 何改善。 从概念上讲，计算机网络的性能管理包括两大类功能一监视和调熬。 监视功能主要是跟踪网络活动的性能管理功能，性能管理的调整功能则是 对网络进行调整以改善其性能。 性能管理必须考虑每个网络对象的利用率和性能，以及综合在一起的 整个网络利用率和性能。通过对各种性能管理公式进行计算和分析以后得 出互连网确切性能必须接近的期望水平。 5 安全管理( s m ) 安全管理是对网络资源及其重要信息访问的约束和控制，包括验证网 络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的 操作，无论是恶意的还是无意的。 安全管理的许多功能都与实现密切相关，依赖于设备的类型和支持的 安全等级。通信中的许多安全机制一鉴别、加密、密钥管理与恢复、授权 以及其他等一直在发展并在网络管理设计和实现中得到应用。 2 1 2 校园网的管理 校园网是中国教育和科研计算机网c e r n e t 中的一部分，随着网络 信息技术的飞速发展，校园网在教学、科研、管理及生活方面起到了越来 西南交通大学硕士研究生学位论文第7 页 越重要的作用。 校园网的正常运行离不开必要的管理，对校园网的管理包括：对网络 主干交换设备的维护，提供必要的网络信息服务，为用户提供有效的网络 接入及管理服务。 1 主干校园网的管理 校园网主干网络线路、网络设备及网络服务器的运行和维护由网络管 理中心的专门技术人员负责，所要进行的基本管理包括： ( 1 ) 保障校园网物理线路的畅通，包括： 1 ) 保障出口路由器与外部网络的正常连接； 2 ) 保障主干层网络交换设备与汇聚层网络交换设备之间的线路畅通： 3 ) 保障汇聚层网络交换设备与用户接入层之间的物理线路畅通： ( 2 ) 保障各网络设备的正确配置和正常工作，包括： 1 ) 对出口路由器及主干层交换设备、汇聚层交换设备及用户接入层 交换设备进行正确的路由、虚网等设置，保障校园网各逻辑部分之间和校 园网对外的正常的数据通讯； 2 ) 监控各网络设备的工作状况，随时关注其吞吐量及性能，发生故 障后及时排除； ( 3 ) 为校园网用户提供相关的网络应用服务，包括： 1 ) 建立校园网主页，提供相关的校园和管理信息； 2 ) 为校园网用户提供个人及单位的主页空间，使其能发布相关个人 信息； 3 ) 为校园网内个人及单位提供虚拟主机和服务器托管服务： 4 ) 为校园网用户提供邮件服务、f t p 服务等常见的网络应用服务： ( 4 ) 注意对校园网的安全管理，包括： 1 ) 加强对邮件服务器、w w w 服务器、域名服务器的安全管理，及时 为系统漏洞打补丁，增强其安全防范能力； 2 ) 在出口路由器上增加过滤功能，限制外部网对内部服务器及个人 主机的访问权限等。 2 网络用户管理 网络用户管理主要涉及到i p 地址的管理、用户邮箱的管理和用户访 西南交通大学硕士研究生学位论文第8 页 问权限的管理。 ( 1 ) l p 地址的管理 i p 地址的管理包括i p 地址的分配和i p 地址的授权管理问题。 i p 地址是i n t e r n e t 上各主机进行地址区分的标识。i p 地址在 i n t e r n e t 上是唯一的，每一台合法的主机都拥有一个与其他主机不同的 i p 地址。用户的计算机在上网之前，一定会以某种方式获得一个i p 地址， 这就涉及到i p 地址的分配问题。 1 ) i p 地址的分配 i p 地址分配分为静态分配和动态分配这两种分配方式。 i p 地址的静态分配是由网络管理员在用户申请入网时，根据其所在 的子网分配给其该予网内还未使用的某个i p 地址。用户将申请到的i p 地址设置在计算机的网络设置中。此后，用户计算机在上网时使用的始终 是这个固定不变的i p 地址。i p 地址和授权用户是一一对应的关系。 i p 地址的动态分配是由专门的i p 地址分配服务器( 一般称为 d h c p ( d y n a m i ch o s tc o n t r o lp r o t o c 0 1 ) s e r v e r ) 在用户计算机启动上网 时自动将当前该子网内某个还未使用的i p 地址分配给用户计算机。在i p 地址的动态分配方式下，用户每次上网时申请到的i p 地址一般都不相同。 i p 地址和授权用户之间没有固定联系。 由于i p 地址可由用户自行在计算机上进行设置，用户可随意修改自 己计算机的i p 地址。那么怎样保障授权用户使用合法申请到的i p 地址、 防范非法用户滥用i p 地址? 这就涉及到i p 地址的授权管理问题。 2 ) i p 地址的授权管理 i p 地址的授权管理即是解决i p 地址的盗用问题，包括解决非授权用 户使用分配给其他授权用户i p 地址的问题和解决非授权用户使用未分配 i p 地址的问题 由于i p 地址可由用户自行在计算机上进行设置，当某些用户将自己 计算机的i p 地址设置为授权机构已分配给其他用户或还未分配的i p 地址 时，就产生i p 地址的盗用。i p 地址是i n t e r n e t 上各主机通讯的逻辑地 址，是各主机的唯一性标识，任意两个相同的i p 地址都会给网络带来混 乱。 i p 地址的授权管理要求网络管理员保障合法网络用户正常使用申请 西南交通大学硕士研究生学位论文第9 页 到的i p 地址，防止非法用户未经授权随意使用i p 地址，造成网络管理的 混乱，影响合法用户的正常网络应用；要求网络管理员能检测出i p 盗用 事件，查找出进行i p 盗用的非法用户，制止i p 地址盗用的进行。 检测出i p 地址的盗用和查找出i p 盗用者对网络管理员来说是一件非 常棘手的事。校园网中i p 地址的盗用已经成为非常严重和普遍的事情， 而当前并没有现成的管理平台和管理工具可以完成这一功能。网络管理员 要得知i p 地址盗用的发生，一般只能由被盗用的合法用户来报告，网络 管理员无法主动得知，对i p 盗用的管理处于被动状态。要查找出i p 盗用 者依赖于校园网的交换设备，对于支持s n m p 简单网络管理协议的网络交 换设备，网络管理员可根据交换设备提供的信息查找出i p 盗用者；即使 在这种情况下，查找一个i p 盗用者也是非常费时费力的工作，完成一次 i p 盗用的查找，管理员往往需要人工查询数台交换机，核对各交换机上 的数据记录。在拥有数千名网络用户的校园网中由管理员手动地检查每一 起i p 盗用的事件，显然是一件力不从心的事。并且管理员进行i p 盗用者 的查找时，只对当前正在进行的i p 盗用有效。有些i p 盗用者利用这一点， 常常在管理员下班或周末时进行i p 盗用，既达到了非法使用网络的目的， 又可以随时遁形，逃避惩罚。 可见，当前校园网管理中对i p 地址的授权管理存在的主要问题是不 能主动、及时地解决i p 地址的盗用问题。 ( 2 ) 用户邮箱的管理 对用户邮箱的管理包括：为申请邮箱的网络用户增加邮箱；为要求退 网的用户删除邮箱；更改邮箱密码；设置邮箱空间大小及解决垃圾邮件的 转发等问题。 邮箱的增、删及更改邮箱密码是对网络用户邮箱管理的基本操作，与 邮件服务器所用的系统平台有关。管理员可以使用系统自身的应用程序和 命令完成这些操作，也自己可以编制简单的应用程序完成这些操作。为了 提高服务器的安全性，邮件帐号设置成不允许用户登录的方式，用户可使 用w e b m a i l 或支持p o p 3 、i m a p 协议的应用程序如f o x m a i l 或o u t l o o k 等 来收发邮件。 关于垃圾邮件的转发问题，当前常见的作法是对邮件服务器增加s m t p 认证。增加s m t p 认证以前，邮件的发送不需要用户邮箱密码认证，甚至 西南交通大学硕士研究生学位论文 第1 0 页 不需要有用户邮箱存在，这就为垃圾邮件的产生提供了发展和隐藏的条 件：增加s m t p 认证后，利用邮件服务器发送邮件的用户必须在邮件服务 器上有合法的邮箱，并且通过密码认证，限制了非法用户上网上散发垃圾 邮件的渠道。 ( 3 ) 用户访问权限的管理 用户访问权限的管理指限制用户主机所能访问及所能被访问的地址。 访问权限的设置是在出口路由器上实现的。通过在路由器上添加规则，可 以设定：对非授权用户，限制其地址在校园网内，禁止被外部任何地址访 问；授权国内权限网络用户访问属于国内的站点；授权国外权限网络用户 访问所有站点资源；授权内部服务器被外部站点访问及允许访问的协议。 3 网络安全管理 网络安全是一个十分复杂的课题，随着计算机网络在人类生活各领域 中的普及和广泛应用，网络安全带来的问题层出不穷。计算机网络不断被 黑客们以各种手段非法入侵，篡改重要信息，窃取重要资料；同时，各种 计算机病毒也不断产生并通过网络进行传播，影响用户计算机的正常运 行，阻塞网络，甚至造成网络的瘫痪，给世界的政治、经济都带来巨大的 影响。网络安全管理已日益成为网络管理非常重要的一项工作。 ( 1 ) 影响网络安全的因素 影响当前计算机网络安全的主要有以下几个因素： 1 ) 网络系统软件自身的漏洞 一般操作系统的体系结构本身是不安全的，它存在着些隐密的漏 洞，为黑客提供了安全攻击的可行性，这是计算机网络系统不安全的根本 原因之一。操作系统的程序是可以动态连接的，包括i o 的驱动程序和系 统服务，都可以用打“补丁”的方式进行动态连接。许多u n i x 操作系统 的版本的升级、开发都是采用打“补丁”的方式进行的。这种方法可为厂 商使用，也可为“黑客”所用，同时这种动态连接也为计算机病毒的产生 提供了一个好环境。 2 ) 网络系统中数据的安全问题 网络中的信息数据是存放在计算机数据库中的，供不同的用户共享使 用。数据库的使用存在着不安全性和危险性。数据库系统中存放着大量重 西南交通大学硕士研究生学位论文第1 1 页 要的信息资源，用户共享资源时可能会出现以下现象：授权用户超出他们 的访问权限进行更改活动；非法用户绕过安全内核，窃取信息资源等。 3 ) 病毒感染与黑客攻击 计算机病毒的数量和种类都在高速增长，病毒机理和变种演变为检测 与消除病毒带来了很大的难度。计算机病毒破坏计算机的正常工作和信息 的正常存储，严重时会使计算机系统或网络陷于瘫痪。 网络黑客是计算机网络发展的产物。随着因特网的发展，现代黑客从 以系统为主的攻击转变到以网络为主的攻击，利用网络窃取重要的情报、 毁坏数据和信息。 ( 2 ) 网络安全措施 当前为保护网络安全采取的措施主要有以下几种： 1 ) 防火墙 防火墙是建立在内部网与外部网之间的安全监控系统，是系统的第一 道防线，用于实现访问控制，即阻止外部入侵者进入内部网，而允许内部 网用户访问外部网络。防火墙按照系统管理员预先定义好的规则来控制数 据包的进出，它具有以下特点： a 、内部网与外部网交流的所有信息都必须通过它； b 、只有经过授权许可的通信业务才被允许通过； c 、防火墙自身对外部具有一定的抗入侵能力。 防火墙不是万能的，但对于网络安全来说是必不可少的。 2 ) 安全检查( 身份认证) 有多种方法鉴别一个用户的合法性，密码是最常用的，但由于有许多 用户采用了很容易被猜到的单词或短语作为密码。使得该方法经常失效。 黑客攻击系统时常常把破译用户的口令作为攻击的开始，然后采用字典穷 举法进行攻击。黑客们并不需要所有人的口令，他们得到几个用户口令就 能获取系统的控制权。 用户在使用口令时，应该注意口令的安全性：口令般要求6 位以上， 并且不应只含简单的字母和数字。合理的口令一般应由大、小写字母、数 字及特殊字符组合而成，并且用户应该每隔一定时间更换一次口令。 3 ) 加密 防火墙是一种被动的防卫技术，而加密作为一种主动的防卫手段，具 西南交通大学硕士研究生学位论文 第12 页 有明显的优势。要保障网络信息的安全，必须借助现代密码技术对数据进 行加密，将重要秘密信息由明文变为密文。加密是通过对信息的重新组合， 使得只有收发双方才能解码还原信息。传统的加密系统是以密钥为基础 的。这是一种对称加密，也就是说，用户使用同一个密钥加密和解码。经 过密码技术加密的信息原文只有事先有通讯协议的双方才有可能明白其 内容，局外人即使截获并精确抄录了全部密文，也只是一堆杂乱无章的随 机字符串，保密信息丝毫不会泄露。 4 ) 反病毒软件 随着计算机网络的发展，携带病毒和黑客程序的数据包和电子邮件越 来越多，打开或运行这些文件，计算机就可能感染病毒。对于病毒的防护， 可以采取安装网络防病毒卡或安装防病毒软件的方法，及时下载新的病毒 库，对系统进行实时检测以查、杀病毒。 网络安全管理的目的是保护有价值的信息在存贮于计算机文件中或 在通讯，数据线上传输时，不会被窃取、删改和破坏：防止计算机机时和 资源被未授权者使用。进行网络安全的管理，需要维护一整套相关的管理 措施，包括计算机硬件、软件和相关的人员。同时，要求网络用户和网络 管理员随时保持高度的安全意识。 计算机网络没有绝对的安全，每有一种新的防范措施出台，必然很快 会有新的安全问题产生。与黑客的斗争是网络上永不结束的硝烟。 2 2s n m p 与网络管理 2 2 1 s n m p 简介 s n m p 是当今实现的最流行的标准网络管理框架。s n m p 是应用层上的 协议，主要通过一组i n t e r n e t 协议及其所依附资源提供网络管理服务。 s n m p 提供了一个基本框架用来实现对鉴别、授权、访问控制、以及网络 管理政策实施等的高层管理。 s n m p 采用“管理进程一代理进程”模型来监视和控制i n t e r n e t 上各 种可管理网络设备。s n m p 实际上由以下3 个要素组成。 一个或多个被管理的网络设备，每个都含有一个代理。被管的网络 实体或结点必须具备在i n t e r n e t 上通信的能力。 一个或多个网络管理设备，每个都含有网络管理站( n e t w o r k 西南交通大学硕士研究生学位论文第13 页 m a n a g e m e n ts t a t i o n n m s ) 。网络管理进程也必须具备在i n t e r n e t 上通 信的能力。 代理进程和n m s 之间的协议用于交换管理信息。这个协议也就是 s n m p 。 s n m p 主要由三个部分组成：s m i 、m i b 和s n m p 协议 1 管理信息结构( s m i ) 管理信息结构是管理信息库中的对象定义和编码( 以便通过协议传 输) 的基础。 s m i 是对公共结构和一般类型的描述，和标识方法一起，在实现中都 要用到。s m i 经常被比作数据库的模式。就像模式描述数据库中对象的格 式和布局一样，s m i 描述m i b 中的对象。s m i 中最关键的原则是管理对象 的形式化定义要用抽象语法记法l ( a s n 1 ) 来描述。 管理对象的集合，在每个实现中都是作为特定的m i b 严格定义的，在 s m i 中称为对象类型。 对象类型有3 个用来描述其特性的最基本属性：名、语法和编码 ( 1 ) 对象类型名 对象类型名唯一代表一个对象类，是对象的标识手段，也称为对象标 识符，它是用一串有序整数表示的，该整数串是遍历由所有已知s n m p 对 象构成的全局树得到的。所有这些已知对象是用层次化方法定义的，s n m p 层次化命名结构中的每一层都分配了一个标号( 1 a b l e ) 。用英语的句点将 每个子层的标号分隔开。层次化结构中的任何一个名字都是一串用句点分 割的标号。高层的标号通常出现在左边。 ( 2 ) 对象类型的语法 语法是用抽象语法记法1 ( a s n 1 ) 对对象类结构的形式化定义。语 法定义了对应于具体对象的抽象数据结构。每个对象有4 个标准属性是必 须定义的：语法类型、访问模式、状态和名值。 语法类型必须在预定义的a s n 1o b j e c t s y n t a x 集合中选择。目前定 义了1 2 种语法类型，可以划分成3 个基本组：s i m p l e ( 简单) 组， a p p l i c a t i o n w i d e ( 应用) 组和s i m p l y c o n s t r u c t e d ( 简单构造) 组。 简单组中包含整数i n t e g e r ，字节串o c t e ts t r i n g ，对象标识符o b j e c t i d e n t i f i e r 和空值n u l l 。应用组包含i p 地址i p a d d r e s s ，网络地址 西南交通大学硕士研究生学位论文第1 4 页 n e t w o r k a d d r e s s ，计数器c o u n t e r ，计量表g a u g e ，时间步进t i m e t i c k s 和任意格式值o p a q u e 。简单构造组则只包含清单l i s t 和t a b l e 。 访问模式是代理对每个对象的每一次操作的允许程序。目前定义了4 个访问等级：只读、读写、只写和不可访问。只读对象只能读出但不能写 入。读写对象既可读出又可写入。只写对象不可读出但可以写入。不可访 问对象既不能读也不能写。 对象的状态定义了被管结点是否要实现该对象。目前定义了3 种状 态：必备状态，任选状态和废弃状态。处于必备状态的对象是必须实现的， 处于任选状态的对象可以实现，也可以不实现。处于废弃状态的对象已经 不再需要实现。 名值是一段简短文字，按照s n m p 的术语称为对象描述符，等同于相 应的对象标识符。 ( 3 ) 对象类型的编码 一旦对象类型的实例定义并说明了以后，它们的值就可以在代理和 n m s 之间传送，传送时要用a s n 1 编码规则对对象类型的语法进行编解码。 s n m p 采用的传输语法记法是基本编码规则( b e r ) 。 2 管理信息库( _ l b ) m i b 定义了可以通过网络管理协议进行访问的管理对象的集合。 管理信息库中为每个对象说明了具体的对象实例，并为每一个实例绑 定了一个值。 3 s n m p 协议 s n m p 是n m s 和代理之间的异步请求和响应协议。n m s 能够发出3 个含 有不同协议数据单元( p d u ) 的报文。这3 个p d u 是提取请求 g e t r e q u e s t p d u ，提取下一个请求g e t n e x t r e q u e s t p d u 和设置请求 s e t r e q u e s t p d u 。代理则只能发出两个不同的报文：一个是对来自n m s 请 求作出应答的g e t r e s p o n s e p d u 报文，另一个是陷阱t r a p p d u 报文，是 代理发现预定义的异常事件发生时主动发出的。 利用s n m p 协议，对网络设备状态的监视主要通过查询代理m i b 中相 应对象的值来完成。代理也会发出一些陷阱来引导n m s 的查询以及及时查 西南交通大学硕士研究生学位论文第15 页 询。 s n m p 通过交换s n m p 协议报文来互通管理信息。每个报文都是完整的 和独立的，用u d p 运输服务的单个数据报传送。每个报文都含有版本标志、 s n m p 共同体名和p d u 。 版本标志是n m s 和代理都知道的常量，用于实现版本控制。在s n m p 中，没有版本仲裁。如果n m s 或代理接收到含有非法的或不支持的版本号 的报文，则该消息被丢弃。 s n m p 共同体名是一个字符串，代表由特定n m s 和代理组成的管理组。 共同体的成员之间采用一种很简单的口令方案来鉴别身份。共同体名分为 读共同体名和写共同体名：读共同体名提供读取管理对象信息的权力，而 写共同体名提供改写管理对象信息的权力。 2 2 2 s n m p 参考模型 s n m p 参考模型说明了s n m p 网络管理框架的一般化总体结构，包括系 统中各个组成部分及其相互关系。如图2 - 1 所示： 网络管理进程 图2 - 1s n m p 参考模型 1 互连网络 在s n m p 参考模型中，互连网络是采用相同协议、通过网关相连的一 个或多个网络的集合。如果所实现的全局编址方案正确、采用了标准化的 西南交通大学硕士研究生学位论文第16 页 协议、采用的路由选择方案能保证报文的及时可靠传送，则任意两个端点 之间都可以互相通信。 采用s n m p 时，与此相关的网络协议主要是互连网络中使用的t c p i p 协议集。 2 网络协议 网络协议就是使互连网络能够实现通信的规则。对于采用t c p i p 通 信的互连网络来说，各种协议分别在组成t c p i p 协议集的4 层协议中运 行。t c p i p 的4 层协议为：网络接入层、i p 层、运输层、应用层。 网络接入层提供主机与网络间的可靠数据交换。 i p 层负责将数据从源主机传送到耳的。i p 是无连接的数据报协议， 它不保证端到端的可靠传输。i p 的特性包括有指定服务类型、i n t e r n e t 层编址、分片和重组、检验和初步的安全性。i n t e r n e t 层的另一个重要 的协议是互连网