1、网络管理和网络安全规划与实施摘要:本文主要对计算机网络管理的内容、网络管理的规划实施以及网络安全体系的构建、设计和主要的网络安全技术做了简要分析和说明。 关键词:网络管理;网络安全;规划;实施 Abstract: The main content of this paper, the computer network management network management planning and implementation of network security system construction, design and the main network security tech
2、nologies are briefly analyzed and explained. Key words: network management; network security; planning; implementation 中图分类号:TN711 一、网络管理的内容和组成 网络管理就是指监控、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。总体而言,网络管理通常会包括配置管理、故障管理、性能管理、安全管理、计费管理五个内容。配置管理是对设备和系统进行各类网络参数的定义和设置。故障管理
3、是查找并解决因硬件和软件问题而引起的网络故障1。性能管理是使用特定的管理软件和设备对系统运行效率进行监测,通过监测数据的统计分析作为网络系统改进和升级的依据。安全管理则涉及数据私有性管理、授权管理、访问控制、加密管理和安全日志管理等多个安全内容。计费管理主要记录用户对网络资源的使用情况(流量,时间,空间等),计算用户占有网络系统资源的各项费用和总计费用(如上网流量、网吧计时、邮箱计费)用户额度用完后能自动停止服务。二、做好网络管理的结构规划 网络系统建成后,作为网络管理员,必须对网络的特性详细了解,并做成详细的结构图和参数表,以备做好网络管理的规划。主要包括以下部分: 勾画整体网络结构和组成部
4、分; 勾画核心设备的网络结构; 描述以上两部分的网络参数。 整体网络结构是整个网络各部分、各网段内部和相互之间连接情况的勾画.包括局域网、园区网、广域网、互联网等等。在图中应详细的标注设备名称、型号和网络参数。如下图 1 某企业整体网络结构示例。 图 1 某企业整体网络结构示例 核心设备的网络结构需要勾画出核心网络设备(中心交换机、中心路由器)的内部网络结构,包括 VLAN、IP,子网、物理和逻辑组件,以及各组件之间的关联。 然后是启用 SNMP,包括交换机、路由器以及服务器的SNMP。Windows SNMP 服务是作为系统的一个组件添加,在 Service 管理中可以对 SNMP 的安全进
5、行设置。 能够熟练操作和使用网络管理软件。网络管理软件一般由设备厂商提供或由第三方提供。设备厂商提供的软件通常专用于该产品系列的配置和管理,不能用于其他厂商产品。第三方网管软件能实现对多数厂商产品的性能管理或部分配置管理。如 HP OpenView, Solarwinds. 网管软件有 Client/Server 和 Browser/Server 两种结构模式。C/S 是传统的网管配置模式,需要安装专门的管理软件才能管理和配置相应的设备。如: Nortel DM 设备管理软件;HP OpenView; 天融信防火墙配置软件;SolarWinds 综合网管平台等。B/S 是现代的网管配置模式,无
6、须安装管理软件,直接使用浏览器管理和配置设备。如:Netscreen 防火墙;EDIMAX 交换机;宽带路由器等。 重点对 Web 网管技术做一分析说明。基于 Web 的网管(Web-Based Management,WBM),包括分布式和集中式管理两种。分布式只管理单个逻辑设备;集中式 WBM 是代理机运行 WBM 的网管软件,周期性地轮询网络节点和设备2。代理机介于浏览器和网络设备之间,负责将收集到的网络信息传送管理员的浏览器。集中式这种方式适用于集中管理大中型网络,如 HP OpenView ,CiscoWorks 都支持 WBM。 远程控制与管理是网络管理的重要方式。远程控制是指在本地
7、计算机上通过远程控制软件发送指令给远程的计算机,使得远程的计算机能够完成一系列工作。远程控制软件包括:服务端软件和控制端软件。工作机制是通过网络,远控软件在两台计算机之间建立起一条数据交换通道,控制端只是负责发送指令和显示远程计算机执行程序的结果,实际的运行过程均在远程计算机上完成的。 三、网络监测是网络安全管理的前提 网络监测是网络管理和网络安全的重要组成部分。通常利用网络监测软件对网络实时动态掌控。这里介绍几种常用的网络监测软件。MRTG(MultiRouter Traffic Grapher)是基于 SNMP 的网络流量统计工具。它耗用的系统资源很小,因此有很多外挂的程序也依附在 MRT
8、G 下。通过SNMP 协议从设备得到其流量信息,并将流量负载以包含 JPEG 图形的HTML 文档直观地显示。MRTG 记录网络接口 5 分钟/日/月/年的流量图形。IPSentry 是周期性轮循检测网络节点通断或主机上运行的业务,自动产生HTML 格式的检测结果,并按日期记录 log 文件,这些 log 文件可以被导入到数据库中,按任意时间段做出网络统计报表。报警方式主要是当检测的服务故障时,IPSentry 可以通过播放声音,或 EMAIL, 或拨打电话(短信),或运行其它软件来提醒管理员。IP Monitor(网络数据收发错误实时统计)能实时图形显示本地 IP 的 TCP、UDP 和 I
9、CMP 协议的接收、发送和错误数据报的数目。Hosts Monitor(网络节点通断监测)最大的应用就在于它可周期性的 ping 网络节点并在故障或恢复的时候通知管理员。SNIFFER 是利用计算机网络接口截获数据报文的一种工具。SNIFFER 主机的网卡处于 promiscuous(混杂模式)的状态,这样接收到同一网段(同一个冲突域)的每个信息包。所以也就存在着 SNIFFER 可以用来捕获密码,EMAIL 信息,秘密文档等一些其他没有加密的信息,这成为黑客们常用夺取其他主机的信息和控制权的方法。Sniffer 工作在网络环境中的底层,Sniffer 主机的网卡具备“广播地址” ,它对所有探
10、测到的数据帧都产生一个硬件中断以便提醒操作系统处理网卡接收到的每个报文。四、网络安全的规划和实施网络安全管理体系包括网络鉴别、加密、访问控制、病毒防范以及安全管理五部分内容。具体的的管理目标如图 2 所示。图 2 网络安全体系 网络安全管理的目的是阻止非法身份对网络运行造成破坏,影响网络正常运行。网络安全设计流程如图 3 所示。 图 3 网络安全设计流程 下面我们对一些主要的网络安全技术做一简要说明。网段分离技术是把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。 路由安全是一是路由子网的限制,把不需要作信息交换的网段路由屏蔽或删除掉。
11、二是设置 ACL 访问列表控制,实现对 IP 层、TCP 层、DP 层数据包的过滤,避免非法数据包通过。 加密和传输。因为多数应用都是采用口令来确保安全,口令需要通过网络传输,并且作为数据存储在计算机或网络设备中。如果用户口令以明文形式传输,一旦被网络侦听工具(如 Sniffer)窃听,绝大多数的安全防范措施将会失效。 日志分析,完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果,为日后网络安全分析提供依据。对日志的分析还可用于预防入侵,提高网络安全。例如,如果分析结果表明某用户某日失败登陆次数很高,就可能是入侵者正在尝试该用户的口令。 关闭不必要
12、的应用。任何非法的入侵最终都需要通过被入侵主机上的服务程序来实现,因此,关闭没有必要运行的服务也是保证主机安全的措施之一。 数据库安全。修改缺省的连接端口,避免被专门诊听数据库的工具捕获口令.如 SQLSniffer 可以窃听 SQL Server TCP1433 端口。避免通过网络直接使用数据库超级用户,一旦它的口令泄露,数据库就毫无安全可言。对每个应用设置单独的数据库帐号和最少够用的权限才能有效保障数据库的安全。不要对非授权的网段开放路由,敏感数据库服务器上最好使用静态路由设置, 用 Route add / delete 控制服务器允许连接的网络 IP。 总结: 计算机网络管理和网络安全措施是保证网络系统正常运行的重要保障。网络系统建成后,必须通过网络整体结构图对网络进行管理和安全规划并做好具体的实施工作。网络管理的内容众多,网络安全涉及到网络多个层面的安全保障工作,网管人员必须进行全面考虑,通过科学的管理,有效的管理软件以及全面的安全措施保障网络系统的正常运行。参考文献: 1何明华,曾帆.安全管理是变无知到有知、变无序为有序的过程思考新形势下民族高校网络安全J.金田,2012,(10):346,339. 2冯宁.网络流量监测分析系统在网络管理中的应用J.电信技术,2012,(11):26-28.
