第8章 网络管理

1、目录退出最后一页下一页上一页第第8章网络管理章网络管理1.1.网络管理概述网络管理概述 2.网络管理资源网络管理资源3.性能监示器性能监示器 上一页4.Windows Server 2003安全设置安全设置 目录退出最后一页下一页上一页.1 网络管理概述网络管理概述网络管理是使网络可靠、安全、高效运行的保网络管理是使网络可靠、安全、高效运行的保障。障。 随着网络在社会生活中的广泛应用，特别是在随着网络在社会生活中的广泛应用，特别是在金融、商务、政府机关、军事、信息处理以及工业金融、商务、政府机关、军事、信息处理以及工业生产过程控制等方面的应用，支持各种信息系统的生产过程控制等方面的应用，支持各

2、种信息系统的网络的地位也变得越来越重要。网络的地位也变得越来越重要。 网络管理是指调度和协调资源，以便在任何网络管理是指调度和协调资源，以便在任何时候都能通过计划、管理、分析、评估、设计和扩时候都能通过计划、管理、分析、评估、设计和扩充网络等工作，从而能以合理的成本和最佳的能力充网络等工作，从而能以合理的成本和最佳的能力满足用户的需求。满足用户的需求。 目录退出最后一页下一页上一页 网络服务提供是指向用户提供新的服务类型与网络服务提供是指向用户提供新的服务类型与增加网络设备、提高网络性能。增加网络设备、提高网络性能。 网络维护是指网络性能监控、故障报警、故障网络维护是指网络性能监控、故障报警、

3、故障诊断、故障隔离与恢复。诊断、故障隔离与恢复。网络处理是指网络线路和设备利用率、数据的网络处理是指网络线路和设备利用率、数据的采集和分析、以及提高网络利用率的各种控制。采集和分析、以及提高网络利用率的各种控制。 良好的网络管理能保证网络运行的高性能，高良好的网络管理能保证网络运行的高性能，高性能又对应着更高的生产率，高生产率意味着高经性能又对应着更高的生产率，高生产率意味着高经济效益。济效益。 网络管理涉及三个方面：网络服务提供、网络网络管理涉及三个方面：网络服务提供、网络维护和网络处理。维护和网络处理。 目录退出最后一页下一页上一页 （1）管理对象）管理对象 是经过抽象的网络元素，对应于网

4、络中具体可以是经过抽象的网络元素，对应于网络中具体可以操作的数据，如记录网络设备工作状态的状态变量、操作的数据，如记录网络设备工作状态的状态变量、网络设备内部的工作参数、网络性能的统计参数。网络设备内部的工作参数、网络性能的统计参数。 （2）管理进程）管理进程 是负责对网络设备进行全面的管理与控制的软件。是负责对网络设备进行全面的管理与控制的软件。 （3）管理协议）管理协议 负责在管理系统与被管理对象之间传递操作命负责在管理系统与被管理对象之间传递操作命令，负责解释管理操作命令。令，负责解释管理操作命令。 网络管理系统从逻辑下可以分为三个部分：管网络管理系统从逻辑下可以分为三个部分：管理对象、

5、管理进程和管理协议。理对象、管理进程和管理协议。 目录退出最后一页下一页上一页 在网络管理过程中，使网络管理信息库在网络管理过程中，使网络管理信息库MIB中中的数据与实际网络设备的状态、参数保持一致，是的数据与实际网络设备的状态、参数保持一致，是事件驱动和轮询驱动方法。事件驱动和轮询驱动方法。 （1）事件驱动方法）事件驱动方法 是由网络中各个网络监测设备在发现被监测对象是由网络中各个网络监测设备在发现被监测对象的状态、参数发生变化的状态、参数发生变化 后，及时向管理进程报告。后，及时向管理进程报告。 （2）轮询驱动方法）轮询驱动方法 管理进程主动轮流查询整个网络设备的工作状管理进程主动轮流查询

6、整个网络设备的工作状态和参数。态和参数。8.1.2 Internet网络管理模型网络管理模型 在在Internet的网络管理模型中，每个网络元素的网络管理模型中，每个网络元素上都有一个负责执行管理任务的管理代理上都有一个负责执行管理任务的管理代理(agent)，整个网络有多个对网络实施集中式管理的管理进程。整个网络有多个对网络实施集中式管理的管理进程。 目录退出最后一页下一页上一页 管理代理是网络管理系统中管理动作的执行机管理代理是网络管理系统中管理动作的执行机构，是网络元素的一部分。构，是网络元素的一部分。 外部代理则专门为那些不符合管理协议标准的网外部代理则专门为那些不符合管理协议标准的网

7、络元素而设置，是在网络元素外附加的。络元素而设置，是在网络元素外附加的。 目录退出最后一页下一页上一页8.1.3 OSI管理功能域管理功能域 OSI管理标准中定义的五个功能域如下：管理标准中定义的五个功能域如下： 1.配置管理配置管理 是指选择网络中每个设备的功能、相互间的连是指选择网络中每个设备的功能、相互间的连接关系和工作参数，它反映了网络的状态。接关系和工作参数，它反映了网络的状态。经常调整网络配置的原因主要有以下几点：经常调整网络配置的原因主要有以下几点： (1)网络必须根据用户需求的变化，增加新的资网络必须根据用户需求的变化，增加新的资源与设备，调整网络的规模，以增强网络的服务能力，

8、源与设备，调整网络的规模，以增强网络的服务能力，向用户提供最好的服务。向用户提供最好的服务。 (2)网络管理系统在检测到某个设备或线路发生网络管理系统在检测到某个设备或线路发生故障时，在故障排除过程中可能会影响到部分网络故障时，在故障排除过程中可能会影响到部分网络的结构。的结构。 目录退出最后一页下一页上一页 (3)通信子网中某个节点的故障也会造成网络上通信子网中某个节点的故障也会造成网络上节点的减少与路由的改变。节点的减少与路由的改变。 配置管理功能域需要监视与控制的主要内容包配置管理功能域需要监视与控制的主要内容包括：网络资源及其活动状态、网络资源之间的关系括：网络资源及其活动状态、网络资

9、源之间的关系以及新资源的引入与旧资源的删除等。以及新资源的引入与旧资源的删除等。 2.故障管理故障管理 要维持网络的正常运行就需要进行故障管理。要维持网络的正常运行就需要进行故障管理。 网络故障管理包括及时发现网络中出现的故障，网络故障管理包括及时发现网络中出现的故障，找出网络故障产生的原因，必要时启动控制功能来找出网络故障产生的原因，必要时启动控制功能来排除故障。排除故障。 故障管理功能包括故障管理功能包括: 目录退出最后一页下一页上一页 (1)检测管理对象的差错现象，或接收管理对检测管理对象的差错现象，或接收管理对象的差错事件通报。象的差错事件通报。 (2)当存在冗余设备或迂回路由时，提供

10、新的当存在冗余设备或迂回路由时，提供新的网络资源用于服务。网络资源用于服务。 (3)创建与维护差错日志库，并对差错日志进行创建与维护差错日志库，并对差错日志进行分析。分析。 (4)进行诊断测试，以跟踪并确定故障位置与故进行诊断测试，以跟踪并确定故障位置与故障性质。障性质。 (5)通过资源的更换、维修或其他恢复措施使其通过资源的更换、维修或其他恢复措施使其重新开始服务。重新开始服务。 目录退出最后一页下一页上一页 3.性能管理性能管理 持续地评测网络运行中的主要性能指标，以检持续地评测网络运行中的主要性能指标，以检验网络服务是否达到了预定的水平，找出已经发生验网络服务是否达到了预定的水平，找出已

11、经发生或潜在的瓶颈，报告网络性能的变化趋势，为网络或潜在的瓶颈，报告网络性能的变化趋势，为网络管理决策提供依据。管理决策提供依据。 网络性能管理可以分为性能监测和网络控制。网络性能管理可以分为性能监测和网络控制。 性能监测指网络工作状态信息的收集和整理，性能监测指网络工作状态信息的收集和整理，而网络控制则是为改善网络设备的性能而采取的动而网络控制则是为改善网络设备的性能而采取的动作和措施。作和措施。 4.安全管理安全管理 安全管理的功能是为了保护网络资源的安全。安全管理的功能是为了保护网络资源的安全。安全管理活动必须具有的功能：利用各种层次安全管理活动必须具有的功能：利用各种层次的安全防卫机制

12、，使非法入侵事件尽可能少发生；的安全防卫机制，使非法入侵事件尽可能少发生； 目录退出最后一页下一页上一页 快速检查未授权的资源使用，并查出侵入位置，快速检查未授权的资源使用，并查出侵入位置，对非法活动进行审查与追踪；对非法活动进行审查与追踪； 使网络管理人员恢复部分受破坏的文件。使网络管理人员恢复部分受破坏的文件。 5.记账管理记账管理 对用户使用网络资源的情况进行记录并核算费用。对用户使用网络资源的情况进行记录并核算费用。 记账管理的功能主要包括：统计网络的利用率等记账管理的功能主要包括：统计网络的利用率等效益数据，根据记账管理事件确定不同时期与时间段效益数据，根据记账管理事件确定不同时期与

13、时间段的资费标准；根据用户使用资源的情况分摊费用。的资费标准；根据用户使用资源的情况分摊费用。 记账管理的目标是为准确、平等、合理地收取记账管理的目标是为准确、平等、合理地收取网络资源使用费而提供数据。网络资源使用费而提供数据。 8.1.4 简单网络管理协议简单网络管理协议SNMP管理模型中的基本组成部分：管理进程管理模型中的基本组成部分：管理进程(manager)，管理代理，管理代理(agent)和管理信息库和管理信息库(MIB)。 目录退出最后一页下一页上一页 (1)管理进程是一个或一组软件程序，它一般运行管理进程是一个或一组软件程序，它一般运行在网络管理站在网络管理站(或网络管理中心或网

14、络管理中心)的主机上，它可以在的主机上，它可以在SNMP的支持下命令管理代理执行各种管理操作。的支持下命令管理代理执行各种管理操作。 (2)管理代理是一种在被管理的网络设备中运行管理代理是一种在被管理的网络设备中运行的软件，它负责执行管理进程的管理操作。的软件，它负责执行管理进程的管理操作。 (3)管理信息库则是一个概念上的数据库，它是管理信息库则是一个概念上的数据库，它是由管理对象组成的。由管理对象组成的。 目录退出最后一页下一页上一页8.2 网络管理资源网络管理资源 网络管理的目的是提供一种对计算机网络进行网络管理的目的是提供一种对计算机网络进行规划、设计、操作运行、管理、监控、分析的手段

15、，规划、设计、操作运行、管理、监控、分析的手段，从而充分利用资源，提供可靠的服务。从而充分利用资源，提供可靠的服务。 网络管理系统应具有以下功能：网络管理系统应具有以下功能： (1)应具有同时支持网络监视和控制两方面的功能。应具有同时支持网络监视和控制两方面的功能。(2)能够管理网络各协议层。能够管理网络各协议层。(3)应有尽可能大的管理范围应有尽可能大的管理范围 (4)应有尽可能小的系统开销。应有尽可能小的系统开销。(5)可管理不同厂家的网络设备。可管理不同厂家的网络设备。(6)可容纳不同的网络管理系统。可容纳不同的网络管理系统。(7)网络管理的标准化。网络管理的标准化。目录退出最后一页下一

16、页上一页8.3 性能监视器性能监视器 “性能监视器性能监视器”是集成在是集成在Windows Server 2003中的一个图形工具，用于测量计算机的性能。中的一个图形工具，用于测量计算机的性能。 作用是观察每台计算机的处理器、内存、高速作用是观察每台计算机的处理器、内存、高速缓存、线程和进程这些对象的行为。缓存、线程和进程这些对象的行为。 “性能监视器性能监视器”提供图表、警报和报表功能，既提供图表、警报和报表功能，既可以反映当前活动，也可以反映进行中的日志记录。可以反映当前活动，也可以反映进行中的日志记录。 8.3.1 8.3.1 用计数器定量测量系统性能用计数器定量测量系统性能8.3.2

17、 用日志文件记录监视的性能参数用日志文件记录监视的性能参数 1) 执行菜单命令执行菜单命令“开始开始”“管理工具管理工具”“性性能能”，即可打开，即可打开“性能性能”监视器窗口。监视器窗口。 目录退出最后一页下一页上一页8.4Windows Server 2003安全设置安全设置8.4.1安全配置向导安全配置向导中文补丁包中文补丁包SP1，它除了对系统中存在的漏洞，它除了对系统中存在的漏洞进行修补外，还新增了安全配置向导进行修补外，还新增了安全配置向导(简称简称SCW)实实用功能。它可以最大程度地缩小服务器的受攻击面。用功能。它可以最大程度地缩小服务器的受攻击面。 利用利用SCW所提供的功能，

18、轻松地完成服务器角所提供的功能，轻松地完成服务器角色的指定，禁用不需要的服务和端口，配置服务器色的指定，禁用不需要的服务和端口，配置服务器的网络安全，配置审核策略、注册表和的网络安全，配置审核策略、注册表和IIS服务器等服务器等工作，对巩固服务器的安全有极大的帮助。工作，对巩固服务器的安全有极大的帮助。 保证保证Windows Server 2003系统安装了系统安装了SP1补补丁包，进入丁包，进入“添加添加/删除删除Windows组件组件”页面。在页面。在“Windows组件向导组件向导”对话框中选中对话框中选中“安全配置向安全配置向导导”选项，就能完成选项，就能完成SCW组件的安装。组件的

19、安装。 目录退出最后一页下一页上一页 利用利用SCW安全配置向导，对安全配置向导，对Windows Server 2003服务器的角色服务、网络安全、注册表、审服务器的角色服务、网络安全、注册表、审核策略以及核策略以及IIS服务器进行配置，实现增强服务器服务器进行配置，实现增强服务器安全的目的。安全的目的。 1）运行）运行SCW也很简单，主要有两种方法。执行也很简单，主要有两种方法。执行菜单命令菜单命令“开始开始”“管理工具管理工具”“安全配置向导安全配置向导”或执行菜单命令或执行菜单命令“开始开始”“运行运行”，在，在“运行运行”对对话框中输入话框中输入“SCW.exe”命令，单击【确定】按

20、钮即命令，单击【确定】按钮即可。可。 1.选择服务器选择服务器在进行安全配置之前，首先要选择目标，也就在进行安全配置之前，首先要选择目标，也就是选择将要进行安全配置的是选择将要进行安全配置的Windows Server 2003服务器。服务器。 目录退出最后一页下一页上一页 2. 选择服务器角色选择服务器角色 Windows Server 2003服务器提供了数量众多服务器提供了数量众多的服务器角色，如文件服务器、的服务器角色，如文件服务器、DHCP服务器等，服务器等，但并不是所有的角色都是需要的。使用不慎，反而但并不是所有的角色都是需要的。使用不慎，反而会增加服务器的安全隐患。会增加服务器的

21、安全隐患。 3.开放端口，注意网络安全开放端口，注意网络安全完成基于角色的服务配置后，各种服务器要在完成基于角色的服务配置后，各种服务器要在网络中为用户提供服务，就必须开放相应的服务端网络中为用户提供服务，就必须开放相应的服务端口。默认情况下，口。默认情况下，Windows防火墙是不允许这些防火墙是不允许这些服务端口通信的。服务端口通信的。 4.修改注册表，增强服务器安全修改注册表，增强服务器安全很多网管利用修改注册表和组策略的方法增强服很多网管利用修改注册表和组策略的方法增强服务器安全，但这种方法存在很大的风险性，错误修改务器安全，但这种方法存在很大的风险性，错误修改了某个键值或安全策略，会

22、导致服务器出现问题。了某个键值或安全策略，会导致服务器出现问题。 目录退出最后一页下一页上一页 6.IIS安全，要慎重安全，要慎重IIS服务器的脆弱性大家都知道，微软对服务器的脆弱性大家都知道，微软对IIS非常非常重视，在重视，在SCW中提供了中提供了“Internet信息服务信息服务”配置配置功能。功能。 7.保存安全策略保存安全策略完成以上配置后，还要保存配置的安全策略。完成以上配置后，还要保存配置的安全策略。 经过上述设置之后，经过上述设置之后，Windows Server 2003服务器会变得更加安全、可靠，能够最大限度地服务器会变得更加安全、可靠，能够最大限度地抵御病毒和黑客的攻击。

23、同时，使用抵御病毒和黑客的攻击。同时，使用SCW功能对功能对Windows 2003系统进行安全方面的配置，非常简系统进行安全方面的配置，非常简单，易于上手，极大地降低了网管的安全维护工单，易于上手，极大地降低了网管的安全维护工作量。作量。 目录退出最后一页下一页上一页8 84 42 NTFS2 NTFS文件系统安全性文件系统安全性 1 1权限的设置权限的设置 常用的常用的NTFSNTFS权限有以下几种：权限有以下几种： 1 1）完全控制。）完全控制。 通过通过NTFSNTFS权限来指定哪些用户和组能够访问哪权限来指定哪些用户和组能够访问哪些文件或者文件夹，以及用户和组对文件或者文件些文件或者

24、文件夹，以及用户和组对文件或者文件夹是否可以执行读或者写的操作。夹是否可以执行读或者写的操作。 设置好权限后，不论用户是在本地计算机上登设置好权限后，不论用户是在本地计算机上登录还是通过网络访问，都会受到录还是通过网络访问，都会受到NTFSNTFS权限的控制。权限的控制。 目录退出最后一页下一页上一页 2 2）修改。）修改。 3 3）读取和运行。）读取和运行。 4 4）列出文件夹目录。）列出文件夹目录。 5 5）读取。）读取。 6 6）写入。）写入。 7 7）特别的权限。）特别的权限。文件或者文件夹默认文件或者文件夹默认NTFSNTFS权限如下：权限如下： 1 1）AdministratorsAdministrators（