第七章 网络管理实例.ppt

1、第七章 网络管理实例,本章选取了一些实际应用中有代表性的网络的建设和管理的资料。有网络建设和管理方案，有网站的具体管理办法。通过这些实例，可以掌握网络管理和维护中的一些具体方案设计和实际操作的方法。 7.1 校园网管理 校园网指连接某个学校的内部网络，一般范围在封闭的校园中，有些规模较大的学校的校园网可能分布在城市的不同地方甚至跨越不同的城市。校园网应用是网络应用中最活跃的分支，网络管理和维护也比较有代表性。,7.1 校园网管理,7.1.1 校园网的设计原则和网络结构 1、校园网的设计原则 校园网设计时应遵从以下原则： 先进性。 标准化和开放性。 可靠性和可用性。 灵活性和兼容性。 实用性和经

2、济性。 安全性和保密性。 扩展性和升级能力。 网络的灵活性及可管理性。,7.1 校园网管理,2、校园网的结构 目前，各个学校的校园网的结构基本相同，大多采用以下结构： （1）主干网采用千兆以太网，10M/100M自适应交换到桌面。 （2）整个网络由网络中心、办公子网、教学子网、后勤子网、图书馆子网、学生公寓子网等组成，其中网络中心是整个网络的主干系统，是网络的总节点，其余各个子网的中心为二级节点。 （3）校园网里涵盖了校园办公系统、校园内部主页、内部电子邮件、多媒体教室、电子图书馆系统、校园IC卡管理系统、内部信息服务系统等主要的应用子系统。,7.1 校园网管理,7.1.2 黑龙江大学校园网

3、1、网络简介 黑龙江大学校园网是一个覆盖全校所有建筑和机构（包括办公楼、教学楼、图书馆、培训楼、体育场所、实验楼、大学生城、教师家属楼等）的综合网络。之前的老网络只是连接各办公处室及部分教研室。 2、建设目标 网络建设总体目标是采用先进实用的网络通信技术和计算机技术，建立一个覆盖全校所有建筑和机构的综合网络，建立一个技术先进、高效优质的校园网络系统，为师生、科研人员和管理干部提供一个先进的计算机网络环境，使学校的教学、科研和管理达到一个,7.1 校园网管理,更高的层次。同时，通过校园网与国内外通信网络连接互通，分享全国、全球的信息资源，建立一个满足语音、数据和视频综合业务需求的实用校园网。 3

4、、网络结构 黑大校园网组网如图7.1所示，实现了校园网对教学区和宿舍区的覆盖，为师生提供快速数据共享、查询交换、话音业务、视频会议、网络教学、上网等服务。 整个网络分为两个部分，教学区和宿舍区，整网采用华为公司的网络设备。教学区核心交换机是Quidway S8016，宿舍区的核心设备是ISN 8850智能IP交换机，两设备间以千兆互联。,7.1 校园网管理,图7.1 黑龙江大学校园网组网图,7.1 校园网管理,4、建网心得 （1）校园网升级、扩容 （2）校园网管理 （3）网络增值 7.1.3 三级交换重构校园网 北京轻工职业技术学院有教师和行政人员近百名，在校学生800人左右。校园内主要建筑物

5、有综合楼、实验楼、办公楼、学生楼、教工宿舍等，共约720个信息点。 1、千兆主干三级交换网络方案 设计原则： 建成的网络平台能够提供向更大的城域网扩展的能力；,7.1 校园网管理,兼顾实际需求和将来网络可扩充性； 满足对带宽和容错的需求； 易于管理和维护； 支持宽带多媒体的应用。 2、网络拓扑结构 北京轻工职业技术学院校园网方案拓扑图如图7.2所示。 网络采用当今最为流行实用的千兆主干三级交换结构体系。 主干网选择千兆以太网技术在局域网络之间提供快速高带宽信道，彻底消除低速信道对计算机网络的制约。 使计算机网络形成一个完整的有机体。,7.1 校园网管理,图7.2 北京轻工职业技术学院校园网方案

6、拓扑图,7.1 校园网管理,7.1.4 VLAN划分和IP地址管理 校园网的中的各终端设备一般使用固定IP地址，科学的VLAN划分和规范有序IP地址管理是时网络管理工作的基础，在建设网络时要做好规划、制定切实可行的实施方案。 1、VLAN划分 VLAN划分要做到既满足使用要求又方便网络管理。 （1）校园网VLAN划分的策略 （2）VLAN划分的方法 （3）VLAN之间的路由策略 2、IP地址管理 IP地址管理包括IP地址分配、防止IP地址冲突、盗,7.1 校园网管理,用等问题。 防止IP地址冲突或盗用的主要手段有： （1）对网络中所有的网络设备的MAC地址进行登记。 （2）进行IP地址与MAC

7、地址绑定 （3）进行用户认证 7.1.5 校园网计费管理特点 计费管理是校园网管理的重要工作，计费系统的特点也可以反映出校园网管理和结构的特点。校园网及非管理主要有以下特点： 1、独特的计费方式 2、网络出口带宽逐步扩展 3、多个网络出口的需求,7.1 校园网管理,4、接入方式多样化 5、提供服务多样化 6、用户层次多样化 7、管理对象多样化 8、付费类型多样化 9、网络结构多样化 7.2 企业网的管理 企业信息化是企业加速发展的必由之路，企业网是企业信息化的基础。企业网的物理结构和校园网基本相同，但由于业务内容不同、提供的服务不同、用户管理模式不同，企业网的管理具有许多自己的特点和要求。,7

8、.2 企业网的管理,7.2.1 企业网的特点 1、应用内容广泛 2、网络的连通性和可靠性 3、网络的安全性 4、网络的可管理性 5、网络的扩展性 6、网络的高性能 7.2.2 企业IT环境一体化管理方案 1、设计思想 2、产品选型 3、总体功能,第七章 网络管理实例,7.3 网吧管理 7.3.1 网吧的网络系统 网吧的网络系统基本上都是一个小型的局域网，通过一条出口线路连接到Internet。 1、硬件系统 计算机数量较少、性能较好。 2、代理服务器 代理服务软件多使用SyGate等容易得到的软件，或干脆使用Windows2000/98的“Internet连接共享”。 3、软件系统 软件系统比

9、较简单，一般只在计算机上安装聊天软件、流媒体播放软件以及一些常用的工具软件。,7.3 网吧管理,7.3.2网吧的日常管理 遵守规章制度，办理相关手续，有安全设施。 7.3.3上网管理 使用网吧管理软件可以对上网用户进行统计、进行费用管理、过滤不良信息等。 7.3.4信息安全和用户管理 信息安全管理是网吧管理的重要内容，除了自行安装一些管理软件外，各地安全部门还采取了一些统一的安全措施： （1）上网卡制度 （2）网络信息监控系统,7.4 网站管理,网站是Internet/Intranet应用的基础，网站的安全、稳定地运行是网络管理人员的基本工作之一。网站管理包括服务器管理和各种网络服务的管理，这

10、里还介绍了网站被入侵后的恢复措施。 7.4.1 服务器管理 服务器管理的主要工作保证服务器硬件的稳定运行、对服务器操作系统进行安全设置、对服务器上运行的软件系统进行安全配置。 1、在系统安装时的设置 （1）将硬盘全部分为NTFS分区。 （2）只安装一种操作系统。 （3）安装成独立的域控制器，选工作组成员，不选择域。,7.4 网站管理,（4）将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将WINNT改为其他目录。 （5）安装操作系统最新的补丁程序。 （6）尽量不安装与站点服务无关的软件。 2、帐号策略 （1）帐号尽可能少，且尽可能少用来

11、登录。 （2）除Administrator外，有必要再增加一个属于管理员组的帐号。 （3）所有帐号权限严格控制，轻易不要给帐号特殊权限。 （4）将Administrator重命名，改为一个不易猜的名字。 （5）将Guest帐号禁用，或将它从Guest组删掉。,7.4 网站管理,（6）给所有用户帐号一个复杂的口令（系统帐号出外）。 （7）在帐号属性中设立锁定次数。 （8）解除NetBios与TCP/IP协议的绑定。 （9）删除所有的网络共享资源。 （10）修改NTFS的安全权限。 （11）只开放必要的端口，关闭其余端口。 （12）加强日志审核。 （13）加强数据备份。 （14）保留TCP/IP协

12、议，删除NETBEUI、IPX/SPX协议。 （15）停掉没有用的服务。 （16）不要启用IP转发功能。,7.4 网站管理,（17）安装最新的MDAC。 7.4.2 WWW服务管理 1、IIS管理 WWW服务器为更新网站内容，一般会安装FTP服务，所以管理WWW服务要和FTP服务协同管理。 （1）只安装中必须的服务。 （2）停止默认的FTP站点、默认的Web站点、管理Web站点，在新的目录下新建WWW服务与FTP服务。 （3）安装新的Service Pack后，重设IIS的应用程序映射。 （4）设置IP拒绝访问列表。 （5）禁止对FTP服务的匿名访问。,7.4 网站管理,（6）使用W3C扩充日

13、志文件格式，每天记录并审查日志。 （7）慎重设置WEB站点目录的访问权限。 2、ASP编程安全 （1）涉及用户名与口令的程序最好封装在服务器端，涉及到与数据库连接地用户名与口令应给予最小的权限。 （2）需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。 （3）防止.inc文件泄露。 （4）某些ASP编辑器会自动备份asp文件，这些文件有可能被下载。,7.4 网站管理,（5）在处理类输入框的ASP程序中，屏蔽掉HTML、JavaScript、VBScript语句，只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。 （6）防止ACCE

14、SS mdb 数据库被下载。 7.4.3 SQL Server 2000的安全配置 数据库服务是Intranet应用的基础，也是平常维护网络安全时容易忽视的问题，这里介绍SQL Server 2000数据库服务器的安全配置。 （1）在服务器断交本上过滤一些类似 , ; / 等字符，防止破坏者构造恶意的SQL语句。 （2）安装SQL Server2000的最新补丁。 （3）使用安全的密码策略。,7.4 网站管理,（4）使用安全的帐号策略。 （5）加强数据库日志的记录。 （6）管理扩展存储过程。 （7）使用协议加密。 （8）更改原默认的1433端口，拒绝来自1434端口的探测。 7.4.4 FTP

15、服务管理 FTP服务容易产生较大的网络流量，如果管理不好，就会造成网络杜塞、服务器死机等问题。 1、安装Serv-U Serv-U安装时只需要设置正确服务绑定的IP地址，就可以工作了。,7.4 网站管理,2、针对用户的管理 （1）增加新用户 （2）禁止用户帐号 （3）设置传输带宽和线程 （4）目录权限 （5）IP访问限制 （6）上传/下载比例 （7）磁盘配额 3、针对整个域的设置 在域下面单击Domain Settings可以对整个域的工作进行设置。,7.4 网站管理,（1）General选项卡可设置最大用户数量、虚拟路径和路径的快捷链接。 （2）IP Access设置IP访问规则，此处的规则

16、优先于用户管理中的IP规则。 （3）Messages选项卡设置对所有用户适用的提示信息。 （4）Logging选项卡设置日志操作，如图7.4所示。可以设置日志纪录的内容、无需即如日志的IP地址、日志文件等。 （5）UL/DL Ratios选项卡设置不参与上传/下载比例计算的文件，这些文件可以直接下载。,7.4 网站管理,图7.4 设置日志,7.4 网站管理,4、远程管理 Serv-U可以进行远程管理。 （1）在用户管理中选择可以进行远程管理的用户，在Account选项卡的Privilege中选择Domain Administrator。 （2）在远程管理计算机上安装Serv-U，打开管理窗口。

17、 （3）在最上面的Serv-U Server上右击，选择New Server，根据向导提示输入服务器的IP地址、域名、用户名、密码等信息。 设置完成后就可以像本地服务器一样在远程机上操作Serv-U。,7.4 网站管理,7.4.5 防止垃圾邮件 邮件服务器的管理除日常的用户管理外，最主要的任务是防止邮件服务器转发垃圾邮件。 1、垃圾邮件和Open Relay 邮件传输使用的SMTP 协议是存储转发协议，意味着它允许邮件通过一系列的服务器发送到最终目的地。 当某个用户在自己的电脑 Client1 前编写完一个邮件，然后把它发送到他的ISP 的邮件服务器SMTP1。此时她的机器已经完成了所有的工作

18、，但邮件服务器SMTP1还必须想法把邮件发送到目的地。SMTP1 通过阅读信头或信封上的地址，找到收件认得邮件服务器SMTP2, 然后与该服务器建立连接，把邮件发到收件人的服务器上。,7.4 网站管理,SMTP协议中就明确指出当邮件在不同的网络间传送时，需要借助中间服务器的RELAY。邮件在收件方和发件方之间会经过毫不相干的第三方服务器，这就是邮件转发(RELAY)。 邮件服务器 是可以对要求转发的邮件进行限制的，如只转发来自某个域的邮件或来自于某些IP 得邮件。如果转发没有任何限制，就被称为 OPEN RELAY 或 THIRD PARTY RELAY。 2、确认邮件服务器是否RELAY 可

19、以自行测试自己的邮件服务器是否RELAY。 3、在Exchange Server 5.5 中关闭OPEN RELAY 这里只介绍常用的邮件系统Exchange Server 5.5 中关闭OPEN RELAY的方法。,7.4 网站管理,具体操作方法如下： （1）在图7.5所示的选项中选择第二个，即Reroute incoming SMTP mail (required for POP3/IMAP4 support)。,图7.5禁止OPEN RELAY,7.4 网站管理,如果选择第一项，邮件服务器虽然不会RELAY任何邮件，但它使邮件服务器接受邮件并返回一个“无法递送（NDR）”的报告给发件人。

20、这不仅加重了服务器的负担而且可能被人利用攻击另一台机器。 （2）在上图的Routing 表中填入所服务的域。假设服务的域为并且这个邮件服务器也为另外一个域 服务，选择Add， 填入两个域名，这是会出现图7.6所示的提示框：,7.4 网站管理,图7.1 选择要服务的域 通常选择第一项 Should be accepted as inbound.,7.4 网站管理,（3）加入允许接受RELAY 的域或IP。在图7中的对话框中，单击“Routing Restrictions”按钮，就会弹出图7.7所示的对话框。,图7.7加入允许relay 的域或IP,7.4 网站管理,选择第二项“Hosts and

21、 client with these IP addresses”， 单击Add加入允许RELAY 的IP即可。如果没有允许RELAY的IP,也需要选上此项，只是不加入任何IP即可。 7.4.6 被入侵系统的恢复 网站要经常进行数据备份，万一被入侵遭到破坏，就可以进行恢复。恢复工作不能简单地还原系统了事，要进行认真地分析原因、采取措施、追根寻源，防止以后的入侵或对其它网络用户的入侵。系统恢复应该包含以下几个方面的工作： 1、准备工作 （1）商讨安全策略 如果你的组织没有自己的安全策略，那么需要按照以下步骤建立自己的安全策略：,7.4 网站管理,和管理人员协商。将入侵事故通知管理人员，可能在有的组

22、织中很重要。 和法律顾问协商。看看入侵者是否触犯了地方或者全国的法律，然后决定报警或者自行采取方案措施。 报警。如果需要跟踪入侵者，就需要先报警，否则你对入侵者进行的一切跟踪都可能是非法的。 告知其他有关人员，例如其他网络管理人员和用户。 （2）记录恢复过程中所有的步骤恢复一个被侵入的系统是一件很麻烦的事，要耗费大量的时间，因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定，还可以留作以后的参考。记录还可能对法律调查提供帮助。,7.4 网站管理,2、夺回对系统的控制权 （1）将被侵入的系统从网络上断开 如果在恢复过程中，没有断开被侵入系统和网络的连接，在你进行恢

23、复的过程中，入侵者就可能连接到你的主机，破坏你的恢复工作。 （2）复制一份被侵入系统。 在进行入侵分析之前，建议你备份被侵入的系统。以后，你可能会用得着。 建立一个备份非常重要，你可能会需要将系统恢复到侵入刚被发现时的状态。它对法律调查可能有帮助。记录下备份的卷标、标志和日期，然后保存到一个安全的地方以保持数据的完整性。,7.4 网站管理,3、入侵分析 通过审查日志文件和系统配置文件，检查入侵的蛛丝马迹、入侵者对系统的修改和系统配置的脆弱性。 （1）检查入侵者对系统软件和配置文件的修改。 （2）检查被修改的数据。 （3）检查入侵者留下的工具和数据。 入侵者通常会在系统中安装一些工具，以便继续监

24、视被侵入的系统。如网络嗅探器、特洛伊木马程序、后门程序、安全缺陷攻击程序、对其它站点发起大规模探测的脚本等。 （4）审查系统日志文件。 详细地审查系统日志文件，可以了解系统是如何被,7.4 网站管理,侵入的，入侵过程中，攻击者执行了哪些操作，以及哪些远程主机访问了自己的主机。通过这些信息，能够对入侵有更加清晰的认识。但有时系统日志文件都可能被入侵者改动过。 （5）检查网络嗅探器程序。 （6）检查网络上的其它系统。 除了已知被侵入的系统外，还应该对网络上所有的系统进行检查。主要检查和被侵入主机共享网络服务或者通过一些机制和被侵入主机相互信任的系统。 （7）检查涉及到的或者受到威胁的远程站点。 在

25、审查日志文件、入侵程序的输出文件和系统被侵入以来被修改的和新建立的文件时，要注意哪些站点可能会连接到被侵入的系统。根据经验那些连接到被,7.4 网站管理,侵入主机的站点，通常已经被侵入了。所以要尽快找出其它可能遭到入侵的系统，通知其管理人员。 4、通知相关的CERT和其它被涉及的站点 （1）事故报告 入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果发现针对其它站点的入侵活动，建议马上和这些站点联络。告诉他们所发现的入侵征兆，建议他们检查自己的系统是否被侵入，以及如何防护。要尽可能告诉他们所有的细节，包括：日期/时间戳、时区，以及他们需要的信息。 还可以向CERT(计算机紧急反应组)提交事故报告，从他们那里的到一些恢复建议。,7.4 网站管理,（2）与CERT调节中心联系 可以填写一份事故报告表，使用电子邮件发送到,从那里可以得到更多帮助。CERT会根据事故报告