网络设备及安全产品知识.doc

OSI是Open System Interconnect的缩写，意为开放式系统互联。国际标准组织（国际标准化组织）制定了OSI模型。这个模型把网络通信的工作分为7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。交换机：交换机(英文:Switch，意为“开关”)是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。交换（switching）是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。广义的交换机（switch）就是一种在通信系统中完成信息交换功能的设备。MAC地址：MAC(Media Access Control)地址，或称为 MAC位址、硬件位址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责 IP地址，第二层数据链路层则负责 MAC位址。因此一个主机会有一个IP地址，而每个网络位置会有一个专属于它的MAC位址。路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。 路由器英文名Router，路由器是互联网络的枢纽、交通警察。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息，所以两者实现各自功能的方式是不同的。网络安全等级化：目前计算机网络的应用中较多地采用安全等级分级管理的方式，一般是根据安全评估的统计数据得到网络的安全等级，根据安全等级采用相应的技术手段、管理策略等实现网络的安全应用。一般的安全等级划分主要参考了数据信息的分类方法，分为公开数据信息，一般数据信息，重要数据信息，关键数据信息和核心数据信息，按照数据信息的性质来考察网络安全等级的划分。现今的企业网络信息安全存在的威胁主要表现在以下几个方面。 1.非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。 2.冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用 合法用户资源的目的。 3.破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使 用。 4.干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段。 5.病毒与恶意攻击。指通过网络传播病毒或恶意Java、XActive等。 6.线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估: 1、 从企业外部进行评估:考察企业计算机基础设施中的防火墙; 2、 从企业内部进行评估:考察内部网络系统中的计算机; 3、 从应用系统进行评估:考察每台硬件设备上运行的操作系统。网际协议安全（IPSecurity）：IPSec作为安全网络的长期方向，是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议，您可以很容易地给现有网络部署IPSec。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前，IPSec在计算机及其远程隧道服务器之间进行协商。 什么叫端口：进出计算机的路径。个人计算机的串口和并口是用于插接通讯线、modem和打印机的外部插槽。在编程过程中，端口可以是符号接口，也可来自于应用程序或实用工具。什么叫防火墙(Firewall)：用于将因特网的子网与因特网的其余部分相隔离，以达到网络和信息安全效果的软件或硬件设施。防火墙可以被安装在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中，发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网，还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外，防火墙还可以被用来保护企业内部网络某一个部分的安全。例如，一个研究或者会计子网可能很容易受到来自企业内部网络里面的窥探。 防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。为了使防火墙发挥效力，来自和发往因特网的所有信息都必须经由防火墙出入。防火墙只允许授权信息通过，而防火墙本身不能被渗透。什么叫后门(Back Door)：绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除后门，那么它就成了安全风险。什么叫网关(Gateway)：网关即将两个使用不同协议的网络段连接在一起的设备。它的作用就是对两个网络段中的使用不同传输协议的数据进行互相的翻译转换。 什么叫PAP密码验证协议(Password Authentication Protocol)：密码验证协议是一种用于对试图登录到点对点协议服务器上的用户进行身份验证的方法。 什么叫PKI公开密钥基础设施(Public Key Infrastructure)：PKI是近几年涌现的一种新的安全技术，它是由公开密钥密码技术、数字证书、证书发行机构（Certificate Authority，CA）和关于公开密钥的安全策略等基本成分共同组成的。 什么叫计算机病毒(Computer Virus)：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 什么叫黑客：计算机黑客是指未经许可擅自进入某个计算机网络系统的非法用户。计算机黑客往往具有一定的计算机技术，采取截获密码等方法，非法闯入某个计算机系统，进行盗窃、修改信息，破坏系统运行等活动，对计算机网络造成很大的损失和破坏。 我国新修订的刑法，增加了有关利用计算机犯罪的条款，非法制造、传播计算机病毒和非法进入计算机网络系统进行破坏都是犯罪行为。 什么叫邮件炸弹（E-mail Bomb）：使得攻击目标主机收到超量的电子邮件，使得主机无法承受导致邮件系统崩溃。 什么叫拒绝服务（DoS）：DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 什么叫尼姆达病毒（nimda）？ 尼姆达是以readme.exe为附件通过电子邮件传播的蠕虫病毒。此病毒会自动创建染毒文件.eml和.nws。当用户计算机感染尼姆达后，其蠕虫病毒会把用户C盘设为共享，通过感染文件、乱发邮件、网络蠕虫、局域网蠕虫四种方式传播。其病毒特征与猖狂一时的红色代码、蓝色代码如出一辙。 网络流量网络流量简而言之就是网络上传输的数据量。就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样。 “80 /20”规则：在传统网络中，一般将使用相同应用程序的用户放到同一工作组中，他们经常使用的服务器也放在一起。工作组位于同一物理网段或VLAN（虚拟局域网）中。这样做的目的是将网络上客户机与服务器之间产生的数据流量限制在同一网段中。在同一网段，可以使用带宽相对高的交换机连接客户机和服务器，而不必使用带宽相对较低的路由器。 将大部分网络流粒制在本地的这种网络设计模式，被称为“80/20规则”，即80%的网络流量是本地流量（采用交换机交换数据），在同一网段中传输；只有20%的网络流量才需要通过网络主干（路由器或三层交换机）。 “80/20”规则中的“80”和“20”不能简单地理解为数字，应该理解为网络流量分布的方式，即大部分网络流量局限在本地工作组，小部分流量通过网络主干。因此在实际网络设计中，只要大部分网络流量在本地、小部分网络流量通过主干，就认为它符合了“80/20”规则，而不管实际的数字比例是多少。后面谈及的“20/80”规则也是如此。 “20/80”规则：随着网络应用的逐渐丰富，“80/20”规则已经不能完全满足网络设计的需要。而一种被称为“集中存储、分布计算”的模式逐渐得到推广。集中存储，就是数据集中在网络中心存储，如已经得到普遍使用的Web服务、电子邮件系统和逐渐流行的VOD（视频点播）、多媒体资源库、教育数据中心（EDC）、数字图书馆等；分布计算，就是数据被下载到各个工作站上处理，如使用网络上的多媒体资源库制作多媒体课件、浏览数字图书馆等。 在“集中存储、分布计算”的网络应用模式下，对网络流量的要求已经大大偏离了“80/20”规则，一种新的规则应运而生，这就是“20/80”规则。在符合“20/80”规则的网络中，只有大约20%的网络流量局限在本地工作组，而大约80%网络流量经过网络主干传输。 这种网络流量模式的转变，给校园网主干交换机带来了很大的负荷。因此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配的性能，即提供线速三层交换，也就是说，下面的支干交换机能够跑多快，上面的主干交换机也应该能够跑多快。 同样，如果网络中有许多按功能（如教学、科研、行政管理）划分的VLAN，这些VLAN也很难管理。在以往的“80/20”规则中，服务器往往分布在VLAN中，因此对于各工作组来说，访问起来比较快。但是在“20/80”规则中，服务器往往集中在网络中心，因此对于各工作组，必须实现跨VLAN的访问。 没有三层交换机，VLAN之间无法通信，VLAN类似于硬盘的逻辑分区，可以简单地理解为把同一硬盘划分成不同的硬盘盘符。但是与逻辑盘不同的是，VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那样简单，而是必须依，路由器才能使VLAN之间相互通信。终端管理可以分类为：资产管理、终端保护、应用监管和审计分析。资产管理用于在企业范围内收集终端硬件信息、软件信息、用户信息等，实现企业级全面实时的资产管理；终端保护用于控制来自终端以外的安全威胁，通过恶意代码防范、个人防火墙技术、设备使用控制、数据文件保护等措施对终端的安全使用提供保护；应用监管用于对终端用户的行为进行监视和控制，比如终端准入控制、非法外联控制、网络滥用控制（上网、网络聊天、游戏等）、应用程序使用限制等；良好的审计分析机制是确保策略得到有效执行的保障手段。在终端的使用、管理、保护以及监管的过程中，需要有一套行之有效的审计措施，并且由专门人员进行日志的分析整理，发现违反策略的行为，或者策略需要改进的地方。企业需要重视用户的配置安全管理。所谓配置安全管理，是指利用安全管理工具，收集设备终端安全相关的细粒度信息和监控用户的安全行为，并通过远程操作迅速应对安全威胁，从而实现对终端系统安全的全面监控和保障。通过采用适当的配置安全管理工具，一方面，定时进行安全扫描和评估，快速查找终端用户系统各个层面的安全漏洞和级别，或者实时监控用户的相关安全行为；另一方面，通过快速的部署、远程操作和智能修复技术，对安全漏洞自动进行补救，对安全威胁进行物理隔离。由于所有的安全管理都由管理员通过网络在后台统一实现，终端用户无需刻意地对自己的终端设备进行安全设置和维护，也无权更改终端系统的安全设置，从而可以确保在所有的终端设备上都实施统一的安全策略，高效且快速。网管系统：不仅可以针对的网络设备实行管理，还可以实现对所有基于snmp的网络设备的管理。对于主流网络设备，还可以进行背板级的管理。更重要的是，它能够实现全网状态的实时监控，使管理员真正地实现对整个局域网的集中化管理。网管系统分类：一、网络资源管理1、 自动搜索拓扑管理提供子网和节点范围的手动输入，提供灵活的自动拓扑发现管理。并支持DHCP（需用户指定DHCP发现范围）和默认的主机所在网段的自动拓扑发现。提供子网和节点范围以后，能够发现对应网络地址设备的IP、类型、和一些基本的信息 当设备自动搜索完毕之后，路由设备和子网显示在一个网络图上 设备按照IP地址进行划分，显示在不同的子网上 额外的图中可以显示公司设备、路由设备、交换设备、网络的server等 拓扑图关联设备的状态信息 可以关联博达公司CMS和EMS的管理软件以及网吧管理软件2、 手动添加拓扑管理按照用户的需求进行逻辑拓扑的添加，可以按照行政结构进行子网和逻辑范围的划分和添加；模块独立于自动搜索拓扑管理，使用同样的后台数据结构提供一个手动添加拓扑视图，允许用户在这个节点下面进行添加 允许用户添加节点设备，并自动关联已经搜索出来的设备，并允许用户将已经搜索的设备以拷贝粘贴的方式或是添加的方式写到对应的子网中 允许用户添加节点设备，这个设备可以是自动搜索没有找到的设备，但无法进行管理 允许用户添加允许用户添加行政子网或科室区县等逻辑结构，并使得其中的设备状态关联到对应的逻辑结构上 允许用户添加链路，并可以与设备状态相关联 允许用户添加远端网络3、 交换机端口资源管理（相当于物理视图，并包括机房管理）允许用户对交换机端口所链接的设备的IP地址进行指定并进行分级管理。可以同样实现中心机房中的各种设备的实物映射管理（实现类似于机架的管理）允许用户添加机房的机架，实现模拟视图 允许用户将已经搜索到的路由交换设备列入交换机端口资源管理 结合自动搜索和手动添加，将每个关联到交换机端口的设备列出 设备状态和端口状态的关联4、 备份线路的管理系统可以实现备份线路的监测功能，并在页面上实时显示自动或手动添加备份线路（通常是以手动的方式） 实时监测线路的状态，根据用户的实际网络分布和构架的方式，确定使用具体的监测协议比如ping、traceroute、 telnet等 备份线路的自动和手动切换等功能二、主机系统和应用资源管理根据用户的功能需求，决定是否按照用户的需求安装客户端代理1、 个人终端管理系统软件信息：终端计算机名称、当前登陆用户名、终端操作系统及版本号、系统目前运行时间 系统硬件信息：CPU信息、内存信息、驱动器信息、显示属性信息、输入设备和打印设备信息、网络状态信息（与拓扑信息关联） 系统运行信息：终端进程列表、上网记录、屏幕资源、文件资源、软件监控和网络共享等2、 服务器管理系统软件信息：终端计算机名称、当前登陆用户名、终端操作系统及版本号、系统目前运行时间 系统硬件信息：CPU信息、内存信息、驱动器信息等 系统应用服务信息：列举和操作所有服务、注册表管理、server用户管理、应用服务管理三、性能管理对设备和整个网络的监控，对于各种网络流量的实时采集和监控，对于网络状态的实时监控等1、 性能轮询和监视实时流量监视，检测网络中各条链路的流量。按照标准RFC1213定义的各种变量进行监视。 链路状态监测，检测工作线路和备用线路和端口状态，线路流量采集和拥塞告警，线路流量统计总流量、丢包率、错包率等 监测设备的端口状态，包括CPU利用率、内存使用情况、磁盘空间使用情况等 针对支持RMON的设备，提供RMON I的1、2、3、9的支持，并提供对相关数据的采集 统计过去任意一段时间，任意一条线路在每月、每天、每一小时的各种性能数据的流量 对采集的数据提供多种图形显示方式：折线方式、直方图方式、饼图方式等2、 机架管理实现常用设备（CISCO）和博达设备的机架管理，并用对应的实物图片表示 实现中心机房的机架管理 在所有的机架上关联性能监视流量和故障管理四、故障管理故障管理主要对全网设备的告警信息和运行信息进行实时监控，查询设备的历史告警信息和运行信息，定义发送过来的SNMP Trap，查询和配置设备的告警表等。1、 故障级别设置各个部分的告警分别指定告警级别。 每种告警级别都用不同的颜色表示。2、 告警分类设备通用trap告警 syslog的事件报告 server系统事件报告 主机状态轮询告警（包括ping、http、snmp等不同的协议告警） BroadDirector状态告警 安全告警 病毒告警 以及其它用户自定义告警3、 告警门限设置根据流量统计的值来设置门限值，当超过门限值时触发相应的告警 可以指定告警门限的触发和恢复，可以指定设备超出阈值若干次以后再发报警4、 告警的图形显示和处理告警以各种形式通知给用户：声、光、电以及短消息等方式5、 自定义告警关联逻辑告警关联用户操作（鸣笛、颜色变化、弹出告警页面、邮件、短信、执行特定的动作等） 关联相关类型的告警使得可以最终定位到准确的告警（由一个告警触发其它相关的告警）五、配置管理1、 用户自定义配置模板，执行特定的配置动作（基于CLI）2、 可集成EMS、CMS以及网吧管理系统3、 针对机架的端口操作，如开关设备等六、安全管理1、 基于用户和组以及相应权限设置的管理分