网络管理与维护技术.doc

网络管理与维护技术第一章 网络管理与维护基础1.要保证网络的运行，网络管理应该包含以下内容：（1）网络的系统配置管理（2）系统故障管理（3）系统用户管理（4）流量控制和负载平衡（5）网络的安全管理（6）网络管理员的管理和培训2.网络管理系统最下层是硬件和操作系统，一般单机系统包括 DOS UNIX Windows等，专门的网络操作系统：Netware , Windows 2000 Server.3.网络管理系统逻辑上可以认为是由 管理对象 管理进程 和管理协议3个部分组成。管理对象：经过抽象的网络元素，对应于网络中具体可以操作的数据，如记录设备或工作状态的状态变量、设备内部的工作参数、设备内部用来表示性能的统计参数等 。管理进程 是负责对网络中的设备和设施进行全面管理和控制的软件，管理和控制的数据取决于各管理对象所处的状态，比如调整工作参数和控制工作状态的打开或关闭等。管理协议则负责在管理系统与管理对象之间传递操作命令，负责解释管理操作命令，实际上 ，管理协议是保证管理信息库中 的 数据与具体设备的实际状态、参数保持一致的根本保证。4.典型 的 网管软件平台有IBM NetView,HP OpenView和SUNNet Manager。5.TCP/IP网络管理最初使用的是 网关监控协议SGMP（Simple Gateway Monitoring Prorocol）,在此基础上改进成简单网络管理协议SNMPv1（Simple Network Management Protocol）。SNMPv2组合了RMON（远程网络监视Remote Monotoring）后，使得安全和性能都有提高。管理信息库 MIB 虚拟的信息库 6.OSI系统管理框架OSI模型： 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层应用层：SMTP DNS FTP TFTP TELNET SNMP传输层： TCP UDP网际层：ICMP IP ARP RARP网络接口层：LAN技术，以太网令牌环，FDDI WAN技术，串行线、帧中继、ATMOSI管理标准中 ，将开放系统的管理功能划分为 五个功能域：配置管理、性能管理、故障管理、安全管理和记账管理。其他一些管理功能，如网络规划、网络操作人员的管理等都不在5个功能域。配置管理系统主要功能：（1）视图管理；（2）拓扑管理；（3）软将管理；（4）网络规划和资源管理网络资源的业务供给能力、技术成本、管理开销和运营费用网络性能管理的主要功能：（1）数据收集；（2）工作负载监视 3种模式 资源利用率模式 拒绝服务率模式 资源请求速率模式；（3）摘要。故障管理系统的主要功能：（1）故障警告；（2）事件报告管理；（3）运行日志控制；（4）测试管理；（5）确认和诊断测试的分类网络安全管理的主要功能有：（1）访问控制；（2）安全警告；（3）安全审计。网络记账管理的主要功能：（1）使用率度量过程；（2）计费处理过程；（3）账单管理过程。7.TCP/IP各层主要功能网络接口层：定义与物理网络接口规范，负责接收IP数据包，传递给物理网络。网际层：实现两个不同IP地址的计算机（在Internet上都称为主机）的通信。包括4个协议：网际协议（IP）网际控制报文协议（ICMP）地址解析协议（ARP）逆向地址解析协议（RARP）传输层：提供应用程序间（即端到端）的通信，包括传输控制协议（TCP）和用户数据包协议（UDP）应用层：支持应用服务，向用户提供了一组常用的应用协议包括远程登录（TELNET）、文件传送协议（FTP）、平常文件传送协议（TFTP）、简单函件传输协议（SMTP）、域名系统（DNS）、简单网管协议（SNMP）等。8.IP地址一般用时进制数字表示，各类网络的地址范围为：A类：-55 起始串0 网络标识0-7位 主机标识8-31位 第1数字为网络号后面3个为主机号 B类：55 起始串10 网络标识0-15位 主机标识16-31位 第1.2数字为网络号，后面3.4数字为主机号C类：55起始串为110 网络标识0-23位 主机标识24-31位 第1.2.3数字为网络号，后面第4数字为主机号D类：-55E类-55特殊IP地址：（1）回送地址127.*.*.*的地址。用于网络软件测试以及本地计算机进程间的通信。（2）直接广播地址：主机地址为1的地址。（3）有限广播地址：32位全为1的地址，55（4）网络地址：主机地址为0的地址表示网络地址。（5）全0地址：32位全为0的地址。（6）多播地址：用于特定工作组中的通信地址,范围：-55（7）私有地址：只有在内部网络实用的地址，范围：-55； -54；-549.子网掩码子网划分B类地址和C类地址常用的子网划分模式 B类子网数目 子网掩码 子网中的主机数1 655342 327664 163828 819016 409432 204664 1022128 510 C类子网数目 子网掩码 子网中的主机数1 2542 28 1274 92 638 24 3116 40 1532 48 764 52 3128 54 110.NAT的作用 ：使用路由器或网关将数据包的信源和信宿的IP地址进行转换，将INTERNET上本机真是的IP地址隐藏起来。ICMP控制报文协议（Internet Control Message Protocol）作用是将无法到达信宿主机时的信息由发现错误的主机或路由器发回信源主机。常用的Ping命令就是使用ICMP数据包检查网络状态。ARP（Address Resolution Protocol,地址解析协议）的作用就是查询IP地址所对应的MAC地址的协议。RARP（Reverse Address Resolution Protocol,反向地址解析协议）作用与ARP功能相反，就是把MAC地址映射到IP地址。端口：一台主机共有65536个端口TCP传输控制协议（Trasmission Control Protocol）是实现端到端链接，进行系统间可靠通信的协议，是面向链接的协议。UDP用户数据包协议（User Datagram PRotocol）提供不可靠的无链接的服务。11.从被管理设备中收集数据2种方法：轮询法（polling-only）基于终端法（interrupt-based）2种方法结合-面向自陷的轮询方法（trap-directed polling）执行网络管理最有效的方法。第2章 网络管理系统软件1. 网络管理系统从逻辑上包括：管理对象、管理进程、管理信息库和管理协议四部分。管理对象是网络中具体可以操作的数据。设备或设施工作的状态变量、设备内部的工作参数、设备内部用来表示性能的统计参数等；需要进行控制的外部工作状态和工作参数；为网络管理系统设置的和为管理系统本身服务的工作参数等。管理进程是用于网络中的设备和设施进行全面管理和控制的软件。管理信息库用于记录网络中管理对象的信息，其数据要与网络设备中的实际状态和参数保持一致，达到能够真实地、全面地反映网络设备和设施情况的目的。 管理协议用于在管理系统和管理对象之间传输操作命令，负责解释管理操作命令。通过它来保证管理信息哭中的数据与具体设备中的实际状态、工作参数保持一致。2. 流量监测的原理，根据网络类型的不同，其具体的流量信息采集方式也不同。TCP/IP网络流量的采集当时包括网络监听（截获）方法和流量过滤统计方法。（1） 基于以太局域网监听技术的流量数据采集以太网最大的特点就是共享通信媒体，因而位于网络内的任何一台主机都可以监听到网络中传输的所有数据包。根据这一特点，可以通过监听网络中的数据包来统计网络流量。监听工作站完全按与其他主机相同的方法链接到以太网内。（2） 基于路由器IP数据包统计的流量数据采集路由器是实现网络互联的关键设备，它担负着根据数据包的目的地址的选择相应路由的任务，网络间（尤其是异构网络间）的 通信都必须通过路由器来完成。对一个企业内部网络（Intranet）来说，其与外界网络进行通信的所有数据包都必须经由边界路由器进行传送，因此，利用路由器对数据包进行统计分析，可以很方便地实现网络流量的监测。3. 网络计费系统（1） 组成：四模块服务事件监测、资费管理、服务管理和计费控制。基于Web的网络管理的特点：地理上和系统上的可移动性、统一一致的管理程序界面、平台的独立性、相对较低的成本开销、更好的互操作性。Web管理系统有以下两种实现方法：代理方式和嵌入方式。Windows2000Server网络管理工具事件查看器：应用程序日志包含由应用程序或系统程序记录的事件；系统日志包含Windows200的系统组件记录的事件；安全日志可以记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。本地安全策略：（1）帐户策略，可以设置密码策略和帐户锁定策略；（2）本地策略，包括审核策略、用户权利指派、安全策略设置；（3）公钥策略，完成以下任务：使计算机自动将证书请求提交到 企业证书颁发机构并安装颁发的证书；创建和发布证书信任列表；建立常见的受信任的根证书颁发机构；（4）IP策略，保证通信安全的方式和时间。第3章网络安全1. 网络安全的定义网络安全管理的目标是保证网络中的信息安全，要求是：保证数据的完整性；保证数据的保密性；保证数据的可获性；信息的不可抵赖性；信息的可信任性。网络安全的评估：D1,C1,C2,B1,B2,B3,A1.D1级是不具备最低安全限度的级别，如DOS,Windows 3.X系统C1级是具备最低安全限度的级别，如Windows95/98；C2级是具备基本保护能力的等级，可以满足一般应用的安全要求，一般的网络操作系统如：Windows2000/NT，Netware基本上属于这一等级；B1级和B2级是具有中等安全保护能力的等级，基本可以满足一般的重要应用的安全要求；B3级和A1级属于最高安全等级，只有极其重要的应用才需要使用.我国计算机信息系统安全保护等级划分准则：第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标及保护级；第四级，结构化保护级；第五级，访问验证保护级。2. 网络安全保障体系具体的安全保障系统由物理安全、网络安全、信息安全几方面组成。物理安全包括3方面：环境安全、设备安全、媒体安全。网络安全包括：内外网隔离及访问控制系统、内部网中不同网络安全域的隔离及访问控制、网络安全检测、审计和监控、网络反病毒（重点）、网络备份系统（重点）.信息安全包括信息传输的安全、信息存储的按权益及对网络传输信息内容的审计3部分，传输安全（动态安全）包括主题鉴别、数据加密、数据完整性鉴别、防抵御；信息存储安全（静态安全）包括数据库安全、终端安全；信息内容审计可防止信息泄密。（1） 鉴别是对网络中的主体进行验证的过程，通常有3中3方法验证主体身份，分别为，只有该主体了解的秘密，如口令、密钥；主体携带的物品，如智能卡和令牌卡；只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。（2） 数据传输安全系统，传输加密技术是对传输中的数据流加密，以防止通信线路上的窃听、泄露、篡改和破坏。数据完整性鉴别技术通过报文鉴别、校验和、加密校验和以及消息完整性编码MIC（Message Integrity Code）等方法防止信息泄密和被篡改；防抵赖技术包括对源和目的地双方的证明，常用方法是数字签名。（3） 数据存储安全系统，数据库安全：对数据库系统所管理的数据和资源提供安全保护，一般包括一下及点a物理完整性即数据能够免于物理方面破坏的问题；b逻辑完整性，能够保持数据库的结构；c元素完整性，包括在每个元素中的数据都是准确的；d数据的加密；e用户鉴别，确保每个用户被正确识别，避免非法用户入侵；f可获得性，指用户一般可访问数据库和所有授权访问的数据；g可审计性，能够追踪到谁访问过数据库。要实现数据源库的安全保护，一种选择是安全数据库系统，一种是以现有数据库系统所提供的功能为基础构作安全模块，旨在增强现有数据库系统的安全性。终端安全：主要解决微机信息的安全保护问题，一般的安全功能如下：基于口令或（和）密码算法的身份验证，防止非法使用机器；自动和强制存取控制，防止非法访问文件；多级权限管理，防止越权操作；存储设备安全管理，防止非法软盘复制和硬盘启动；数据和程序代码加密存储，防止信息被窃；预防病毒，防止病毒侵袭；严格的审计跟踪，便于追查责任事故。信息内容审计系统，实施对进出内部网络的信息进行内部审计，以防止或追查可能的泄密行为。（4） 安全管理：a安全管理的原则：多人负责原则；任期有限原则；职责分离原 则。 b安全管理的实现，信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采用相应的规范。具体工作：根据工作的重要程度确定该系统的安全级别；根据确定的安全级别，确定安全管理的范围；制定相应的机房出入管理制度；制定严格的操作规程；制定完备的系统维护制度；制定应急措施。中国国家信息安全测评认证中心（CNNS）提出具有高等级安全要求的计算机系统提供安全防护保障的安全保障体系，以系统、清晰和循序渐进的手段解决复杂的网络安全工程实施问题:实体安全，平台安全，数据安全，通信安全，应用安全，运行安全，管理安全。3. 我国网络安全的主要问题第一， 计算机网络系统使用的软、硬件很大一部分是国外产品，外国公司成为最大的获利者，并且对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。第二， 全社会的信息安全意识虽然有所提高，但将其提到实际日程中来的依然很少。第三， 国内很多公司在遭到攻击后，为名誉起见往往并不积极追究黑客的法律责任。第四， 目前关于网络犯罪的法律还不健全。第五， 信息化进程加快和计算机的广泛应用，信息安全问题日益突出，同时，新兴的电子商务、电子政务和电子金融的发展，也对信息安全专门人才的培养提出更高的要求，目前我国信息安全人才培养远远不能满足需要。第六，4. 网络安全策略：成立网络安全领导小组；制定一套完整的安全方案；用安全含品和技术处理加固系统；制定并观贯彻安全管理制度；建立完善的安全保障体系；选择一个好的安全顾问公司5. 常见的网络黑客攻击技术。（1）拒绝服务攻击（Denial of Service）：种类：一种是使用IP欺骗，迫使服务器把合法用户的链接复位，影响合法用户的链接；一种是过载一些系统服务或消耗一些资源。方式：SYN FLOOD;IP欺骗DoS攻击；宽带DoS攻击；自身消耗的DoS攻击；日志DoS攻击；发送垃圾函件；塞满硬盘；合理利用策略。分布式拒绝服务（DdoS）（2） 利用型攻击。缓冲溢出漏洞攻击：再程序的地址空间里安排适当的代码；将控制程序转移到带攻击代码的形式；植入综合代码和流程控制。其保护方法：正确的编写代码，非执行的缓冲区，检查数组边界，程序指针完整性检查。（3） 信息收集性攻击。网络监听攻击：通过网络监听可截取用户口令。其发现与防范：发现可能存在的网络监听：使用反监听攻击antisniffer；对网络监听的方法措施：从逻辑或物理上对网络分段，以交换式集线器代替共享式集线器，使用加密技术，划分VLAN。扫描：端口扫描、系统信息扫描、漏洞扫描。防范端口扫描方法：关闭闲置和有潜在危险的端口；通过防火墙或其他安全系统检查各端口，有端口扫描的症状时，立即屏蔽该窗口。口令攻击三种方法：通过网络监听非法获得用户口令；再知道用户的帐号后，利用一些专门的软件强行破解口令；获得一个服务器上的用户口令文件后，用暴力破解程序破解用户口令，使用前提是获得口令的shadow文件。强行破解采用逐个试口令，所以叫“字典攻击”。防范方法：不使用口令和用户名相同，口令为用户名种某几个邻近的数字或字母，口令为连续或相同的字母或数字，将用户名点到或加前后缀为口令，使用姓氏的拼音或单位的缩写为口令，使用自己或亲友的生日作为口令，使用英文单词作为口令，口令长度小于6位。（4） 假消息攻击。IP欺骗攻击，就是伪造他们的源IP地址，其只能实现对某些特定的、运行TCP/IP协议的计算机进行攻击。（5） 计算机病毒 ：网络环境下计算机病毒特点：可传播性；可执行性；破坏性；可触发性；感染速度快；扩散面广；传播形式复杂多样；难以彻底清除；破坏性大。主要的技术趋势：利用漏洞的病毒开始增多；病毒向多元化、混合化发展；有网络特性的病毒增多；针对即时通信软件的病毒大量涌现。近年造成重大破坏的病毒：CIH病毒，红色代码Code Red，尼姆达Nimda，新欢乐时光VBS.KJ，SQL蠕虫王，冲击波Blaster。特洛伊木马：典型的木马程序有BO,NetXray，流光等。电子函证攻击：函件炸弹，电子函件欺骗。网页攻击：现象有IE标题栏被修改、IE默认首页被修改并且锁定设置项、IE右键菜单被修改或禁用、系统启动直接开启IE并打开莫名其妙的网页、将网址添加到桌面和开始菜单、删除后开机又恢复、禁止使用注册表编辑器、在系统时间前面加上网页广告、更改“我的电脑”下的系统文件夹名称、禁止“关闭系统”、禁止“运行”、禁止DOS、隐藏C盘命令C盘从系统中“消失”等。6. 主要的网络安全技术：（1）基础安全技术：信息加密技术，安全集成电路技术，安全管理和安全体系构架技术，安全评估和工程管理技术。（2）应用安全技术：电磁泄漏防护技术，安全操作平台技术，信息侦测技术，计算机病毒防范技术，系统安全增强技术，安全审计和入侵检测、预警技术，内容分级监管技术。7. 数据加密技术：（1）DES加密：收信方和发信方使用相同的密码，即加密密钥和脱密密钥是相同或等价的，其采用了散布、混乱等基本技巧，构成其算法的基本单元是简单的置换、代替和模2加；（2）RSA加密：在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能由加密密钥推导出脱密密钥。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是想分解它们的乘积却极端困难，可以将乘积公开为加密密钥。8. 实现访问控制的产品：防火墙、代理服务器、路由器和专用访问控制服务器防火墙系统 是一种网络安全部件，可以是硬件，也可以是软件，也可以是软硬件的结合，这种安全不见处于被保护网络和其他网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或做出其他操作，防火墙系统不仅能够保护网络资源部不受外部的侵入，而且还能够拦截从被保护网络向外传送有价值的信息。由于防火墙处于被保护网络和外部的交界，网络内部的攻击并不通过防火墙，对于此种攻击防火墙无能为力；而网络内部和外部的直接连接，也能越过防火墙而使防火墙失效。9. 安全扫描的策略：被动式策略，主动式策略。安全扫描的主要检测技术：基于应用的检测技术，基于主机的检测技术，基于目标的漏洞检测技术，基于网络的检测技术。安全扫描的内容：网络远程安全扫描，防火墙系统扫描，Web网站扫描，系统安全扫描。10. 网络入侵检测技术，入侵检测系统（IDSIntrusion Detection System）可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据，跟踪入侵，恢复或断开网络链接等。 入侵系统的分类：基于主机的入侵检测系统；基于网络的入侵检测系统；分布式入侵检测系统。 物理隔离是内部网不直接或间接地链接公用网，用于军事、政府部门、金融、安全机构等部门的专用网络。实行物理隔离采用网络隔离卡是一种简单易行的方法。第4章网络管理和维护工具软件1. Windows2000的网络工具命令1：Windows2000的网络工具命令在Windows2000的“运行”对话框中输入命令“cmd”，既可打开命令窗口，使用工具命令。帮助：命令/？例如：ping /? 1、Ping检查网络是否通畅或者网络连接速度原理：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。如果Ping运行正确，你大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。Ping也被作为DDOS（拒绝服务攻击）的工具 。-t 表示将不间断向目标IP发送数据包，直到我们强迫其停止。-l 定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。-n 定义向目标IP发送数据包的次数，默认为3次。缺省设置、应答时间、TTL（Time To Live存在时间）值。小知识:如果TTL=128，则表示目标主机可能是Win2000;如果TTL=250，则目标主机可能是Unix。使用ping检测次序及对应的可能故障： (1) ping 这个Ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题。 (2)ping 本机IP这个命令被送到你计算机所配置的IP地址，你的计算机始终都应该对该Ping命令作出应答，如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。 (3) ping 局域网内其他IP这个命令应该离开你的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码（进行子网分割时，将IP地址的网络部分与主机部分分开的代码）不正确或网卡配置错误或电缆系统有问题。(4) ping 网关IP这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。(5) ping 远程IP如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet（但不排除ISP的DNS会有问题）。(6) ping localhostlocalhost是个操作系统的网络保留名，它是的别名，每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内，则表示主机文件（/Windows/host）中存在问题。(7) 对这个域名执行Ping命令，你的计算机必须先将域名转换成IP地址，通常是通过DNS服务器（关于DNS本刊2000年3期有详述）。如果这里出现故障，则表示DNS服务器的IP地址配置不正确或DNS服务器有故障（对于拨号上网用户，某些ISP已经不需要设置DNS服务器了）。 (8) 如果上面所列出的所有Ping命令都能正常运行，那么你对你的计算机进行本地和远程通信的功能基本上就可以放心了。但是，这些命令的成功并不表示你所有的网络配置都没有问题。 2、 Nbtstat该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接，使用这个命令你可以得到远程主机的NETBIOS信息，比如用户名、所属的工作组、网卡的MAC地址等。 -a 使用这个参数，只要你知道了远程主机的机器名称，就可以得到它的NETBIOS信息。 -A 这个参数也可以得到远程主机的NETBIOS信息，但需要你知道它的IP。(1) -n 列出本地机器的NETBIOS信息。3、 NetstatNetstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。 netstat -r列出当前的路由信息，告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。 netstat -a查看本地机器的所有开放端口，可以有效发现和预防木马，可以知道机器所开的服务等信息，FTP服务、Telnet服务、邮件服务、WEB服务等 。用法: netstat -a IP 。4、 Ipconfig显示当前的TCP/IP配置的设置值。 ipconfig当使用IPConfig时不带任何参数选项，那么它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。 ipconfig /all当使用all选项时，IPConfig能为DNS和WINS服务器显示它已配置且所要使用的附加信息（如IP地址等），并且显示内置于本地网卡中的物理地址（MAC）。如果IP地址是从DHCP服务器租用的，IPConfig将显示DHCP服务器的IP地址和租用地址预计失效的日期（有关DHCP服务器的相关内容请详见其他有关NT服务器的书籍或询问你的网管）。 5、 Arp用于确定对应IP地址的网卡物理地址。实用arp命令，你能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。此外，使用arp命令，也可以用人工方式输入静态的