第五章網(wǎng)絡(luò)管理、安全與存儲(chǔ)備份技術(shù)

5.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述5.2網(wǎng)絡(luò)安全技術(shù)5.3網(wǎng)絡(luò)安全體系設(shè)計(jì)5.4網(wǎng)絡(luò)管理概述5.5網(wǎng)絡(luò)管理系統(tǒng)5.6網(wǎng)絡(luò)存儲(chǔ)備份技術(shù)15.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述

一.計(jì)算機(jī)安全1.定義(國(guó)際標(biāo)準(zhǔn)化組織ISO)計(jì)算機(jī)安全指為保護(hù)數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安全措施，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不會(huì)因偶爾或故意的原因而遭到破壞、更改和泄密。2.主要內(nèi)容計(jì)算機(jī)硬件安全性--計(jì)算機(jī)硬件設(shè)備、安裝和配置的安全性；確保計(jì)算機(jī)安全的環(huán)境條件，包括機(jī)房、電源等。軟件安全性--保護(hù)計(jì)算機(jī)系統(tǒng)軟件、應(yīng)用軟件和開(kāi)發(fā)工具，使它們不被非法修改、復(fù)制和感染病毒。數(shù)據(jù)安全性--保護(hù)數(shù)據(jù)不被非法訪(fǎng)問(wèn)，保護(hù)數(shù)據(jù)的完整性，數(shù)據(jù)保密等。計(jì)算機(jī)運(yùn)行安全性--計(jì)算機(jī)運(yùn)行遇到突發(fā)事件（如停電）的安全處理等。23.計(jì)算機(jī)安全等級(jí)TCSEC--TrustedComputerSystemEvaluationCriteria1985年，美國(guó)國(guó)防部桔皮書(shū)TCSEC(可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)]為計(jì)算機(jī)安全產(chǎn)品的評(píng)測(cè)提供測(cè)試和方法，指導(dǎo)信息安全產(chǎn)品的制造和應(yīng)用。TCSEC定義系統(tǒng)安全五個(gè)要素.系統(tǒng)的安全策略.系統(tǒng)的可審計(jì)機(jī)制.系統(tǒng)安全的可操作性.系統(tǒng)安全的生命期保證.針對(duì)以上系統(tǒng)安全要素而建立并維護(hù)的相關(guān)文件5.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述3TCSEC定義系統(tǒng)安全等級(jí)來(lái)描述以上所有要素的安全特性.D最低保護(hù)minimalprotection，如未加任何實(shí)際的安全措施.C被動(dòng)的自主訪(fǎng)問(wèn)策略independentaccesspolicyenforced.B被動(dòng)的強(qiáng)制訪(fǎng)問(wèn)策略mandatoryaccesspolicyenforced.A形式化證明的安全formallyprovensecurity.每個(gè)等級(jí)之內(nèi)還可細(xì)分這些標(biāo)準(zhǔn)能夠被用來(lái)衡量計(jì)算機(jī)平臺(tái)（如操作系統(tǒng)及其基于的硬件)的安全性。如標(biāo)準(zhǔn)的UNIX(只有l(wèi)ogin口令文件保護(hù)等安全措施)被定為C1級(jí)，DOS被定為D1級(jí)。5.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述45.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述TCSEC具體分4類(lèi)7級(jí)，其中D級(jí)不具有最低限度安全的等級(jí)，C1與C2級(jí)具有最低限度安全的等級(jí)，滿(mǎn)足大多數(shù)應(yīng)用；B1和B2級(jí)具有中等安全保護(hù)能力的等級(jí)，滿(mǎn)足大部分重要應(yīng)用；B3和A1級(jí)具有最高安全等級(jí)，費(fèi)用高，適用安全性要求極高的應(yīng)用。5二.網(wǎng)絡(luò)安全1.定義：計(jì)算機(jī)網(wǎng)絡(luò)安全指通過(guò)采取各種技術(shù)和管理的安全措施，確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性，目的確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄漏等。美國(guó)計(jì)算機(jī)安全專(zhuān)家提出新的安全框架，解釋各種網(wǎng)絡(luò)安全問(wèn)題。保密性(Confidentiality)--指防止靜態(tài)信息被非授權(quán)訪(fǎng)問(wèn)和防止動(dòng)態(tài)信息被截取解密。完整性(Integrity)--指信息在存儲(chǔ)或傳輸時(shí)不被修改、破壞，或信息包丟失、亂序等。對(duì)于動(dòng)態(tài)傳輸?shù)男畔?，確保信息完整性的方法大多是收錯(cuò)重傳、丟棄后續(xù)包等，但黑客的攻擊可改變信息包的內(nèi)容?？煽啃?Reliability)/真實(shí)性(Authenticity)--指信息的可信度，包括信息的完整性、準(zhǔn)確性和發(fā)送人的身份證實(shí)等方面。實(shí)用性(Utility)--即信息加密密鑰不可丟失（不是泄密），丟失密鑰的信息就丟失信息的實(shí)用性。可用性(Availability)--一般指主機(jī)存放靜態(tài)信息的可用性和可操作性。病毒常破壞信息的可用性，使系統(tǒng)不能正常運(yùn)行，數(shù)據(jù)文件面目全非。占有性(Possession)--指存儲(chǔ)信息的主機(jī)、磁盤(pán)等信息載體被盜用，導(dǎo)致對(duì)信息占用權(quán)的喪失。保護(hù)信息占有性的方法有使用版權(quán)、專(zhuān)利、商業(yè)秘密、提供物理和邏輯的訪(fǎng)問(wèn)限制方法，以及維護(hù)和檢查有關(guān)盜竊文件的審計(jì)記錄、使用標(biāo)簽等。6三.網(wǎng)絡(luò)不安全原因--網(wǎng)絡(luò)自身的安全缺陷?協(xié)議本身泄漏口令?連接成為被盜用的目標(biāo)?服務(wù)器本身需要讀寫(xiě)特權(quán)?基于地址?密碼保密措施不強(qiáng)?有些業(yè)務(wù)本身尚未完善,難于區(qū)分出錯(cuò)原因?有些業(yè)務(wù)設(shè)置復(fù)雜,很難完善地設(shè)立?使用CGI的業(yè)務(wù)--網(wǎng)絡(luò)開(kāi)放性業(yè)務(wù)基于公開(kāi)的協(xié)議遠(yuǎn)程訪(fǎng)問(wèn)使各種攻擊無(wú)需到現(xiàn)場(chǎng)就能得手連接是基于主機(jī)上的社團(tuán)彼此信任的原則--黑客(HACKER)·定義：“非法入侵者”·起源：60年代·目的：基于興趣非法入侵;基于利益非法入侵;信息戰(zhàn).7四.攻擊的類(lèi)型口令破解:攻擊者通過(guò)獲取口令文件,然后運(yùn)用口令破解工具獲得口令,也可通過(guò)猜測(cè)或竊聽(tīng)等方式獲取口令.連接盜用:在合法的通信連接建立后,攻擊者通過(guò)阻塞或摧毀通信的一方接管已經(jīng)過(guò)認(rèn)證建立起來(lái)的連接,從而假冒被接管方與對(duì)方通信.服務(wù)拒絕:攻擊者直接發(fā)動(dòng)攻擊,也可通過(guò)控制其它主機(jī)發(fā)起攻擊使目標(biāo)癱瘓,如發(fā)送大量的數(shù)據(jù)洪流阻塞目標(biāo).網(wǎng)絡(luò)竊聽(tīng):網(wǎng)絡(luò)的開(kāi)放性使攻擊者通過(guò)直接或間接竊聽(tīng)獲取所需信息.數(shù)據(jù)篡改:攻擊者通過(guò)截獲并修改數(shù)據(jù)或重放數(shù)據(jù)等方式破壞數(shù)據(jù)的完整性地址欺騙:攻擊者通過(guò)偽裝成被信任的IP址等方式騙取目標(biāo)信任.社會(huì)工程:攻擊者通過(guò)各種社交渠道獲得有關(guān)目標(biāo)的結(jié)構(gòu)、使用情況、安全防范措施等有用信息,從而提高攻擊成功率.惡意掃描:攻擊者編制或使用現(xiàn)有掃描工具發(fā)現(xiàn)目標(biāo)的漏洞,發(fā)起攻擊.基礎(chǔ)設(shè)施破壞:攻擊者通過(guò)破壞DNS或路由信息等基礎(chǔ)設(shè)施，使目標(biāo)陷于孤立.數(shù)據(jù)驅(qū)動(dòng)：攻擊者通過(guò)施放病毒、特洛伊木馬、數(shù)據(jù)炸彈等方式破壞或遙控目標(biāo).85.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述五.安全評(píng)價(jià)標(biāo)準(zhǔn)9部門(mén)規(guī)章及規(guī)范性文件.中華人民共和國(guó)公安部令第32號(hào)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法.中華人民共和國(guó)公安部令第33號(hào)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法.中華人民共和國(guó)公安部令第51號(hào)計(jì)算機(jī)病毒防治管理辦法.中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品分類(lèi)原則10行政法規(guī).中華人民共和國(guó)國(guó)務(wù)院令147號(hào)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例.中華人民共和國(guó)國(guó)務(wù)院令第195號(hào)中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定.中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法.中華人民共和國(guó)國(guó)務(wù)院令第273號(hào)商用密碼管理?xiàng)l例.中華人民共和國(guó)國(guó)務(wù)院令第291號(hào)中華人民共和國(guó)電信條例11安全標(biāo)準(zhǔn).GB/T15843-1999信息技術(shù)安全技術(shù)實(shí)體鑒別.GB/T15851-1995信息技術(shù)安全技術(shù)帶消息恢復(fù)的安全技術(shù)要求.GB/T15852-1995信息技術(shù)安全技術(shù)用塊密碼算法做密碼校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制.GB/T15852-1995信息技術(shù)安全技術(shù)密鑰管理.GB/T15852-1995信息技術(shù)安全技術(shù)帶附錄的數(shù)字簽名.GB/T15852-1995信息技術(shù)安全技術(shù)抗抵賴(lài)12安全標(biāo)準(zhǔn)GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器安全技術(shù)要求GB/T18018-1999路由器安全技術(shù)要求GB/T18019-1999信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求13安全標(biāo)準(zhǔn)GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則第一級(jí)用戶(hù)自主保護(hù)級(jí)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)安全標(biāo)記保護(hù)級(jí)第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)14信息系統(tǒng)安全保密研究特點(diǎn)信息系統(tǒng)的組成復(fù)雜，覆蓋面廣；信息處理既有集中式又有分布式；構(gòu)成其基礎(chǔ)的計(jì)算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)可能同構(gòu)或異構(gòu)；實(shí)現(xiàn)計(jì)算機(jī)聯(lián)接的網(wǎng)絡(luò)結(jié)構(gòu)可能多種拓?fù)浣Y(jié)構(gòu)的混合；所用的網(wǎng)絡(luò)組件繁雜，通信介質(zhì)多種多樣。因此信息系統(tǒng)的安全保密必然是所有安全保密學(xué)科的綜合運(yùn)用的結(jié)果。信息系統(tǒng)安全保密研究的對(duì)象是系統(tǒng)，系統(tǒng)內(nèi)所有元素或成份都是研究的內(nèi)容。從系統(tǒng)內(nèi)看研究?jī)?nèi)容包括通信安全(COMESC),計(jì)算機(jī)安全,操作安全(OPSEC),信息安全,人事安全,工業(yè)安全,資源保護(hù)和實(shí)體安全。從系統(tǒng)外看,研究?jī)?nèi)容還包括管理和法律兩個(gè)方面,兩者綜合構(gòu)成一個(gè)合理的研究結(jié)構(gòu)和層次。按照系統(tǒng)平衡的觀點(diǎn),信息系統(tǒng)安全保密追求均勻性,因而各子項(xiàng)的研究深度要相互協(xié)調(diào),不能重此輕彼.155.1計(jì)算機(jī)網(wǎng)絡(luò)安全概述六.國(guó)標(biāo)主要安全指標(biāo)--涵蓋了不同級(jí)別的安全要求身份認(rèn)證、自主訪(fǎng)問(wèn)控制、數(shù)據(jù)完整性、審計(jì)、隱蔽信道分析、客體重用、強(qiáng)制訪(fǎng)問(wèn)控制、安全標(biāo)記、可信路徑、可信恢復(fù)等.七.網(wǎng)絡(luò)主要安全指標(biāo)身份認(rèn)證--主要考慮用戶(hù)主機(jī)和節(jié)點(diǎn)的身份認(rèn)證訪(fǎng)問(wèn)控制--采用自主訪(fǎng)問(wèn)控制策略數(shù)據(jù)完整性--考慮存儲(chǔ)傳輸和使用中不被篡改和泄密審計(jì)--主要考慮訪(fǎng)問(wèn)的主體客體時(shí)間成敗情況等隱蔽信道分析--主要考慮采用安全監(jiān)控和安全漏洞檢測(cè)來(lái)加強(qiáng)對(duì)隱蔽信道的防范16安全技術(shù)架構(gòu)175.2網(wǎng)絡(luò)安全技術(shù)安全理論與技術(shù)?密碼理論與技術(shù)加密標(biāo)記?認(rèn)證識(shí)別理論與技術(shù)?授權(quán)與訪(fǎng)問(wèn)控制理論與技術(shù)?審計(jì)追蹤技術(shù)?網(wǎng)間隔離與訪(fǎng)問(wèn)代理技術(shù)?反病毒技術(shù)185.2網(wǎng)絡(luò)安全技術(shù)一.密碼技術(shù)1.數(shù)據(jù)加密密碼:是一組含有參數(shù)的變換.明文(plaintext):作為加密輸入的原始信息.加密算法:變換函數(shù).密文(ciphertext):明文變換結(jié)果.密鑰(key):參與變換的參數(shù).195.2網(wǎng)絡(luò)安全技術(shù)2.信息加密算法對(duì)稱(chēng)算法:加密密鑰和解密密鑰相同數(shù)據(jù)加密標(biāo)準(zhǔn)DES是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的算法,數(shù)據(jù)分組長(zhǎng)度為64位,密文分組長(zhǎng)度也是64位,使用的密鑰為64位,有效密鑰長(zhǎng)度為56位(有8位用于奇偶校驗(yàn)).解密時(shí)的過(guò)程和加密時(shí)相似,但密鑰的順序正好相反.DES的整個(gè)體制是公開(kāi)的,安全性完全靠密鑰的保密.DES算法是在一個(gè)初始置換IP后,明文組被分成右半部分和左半部分,每部分32位以L(fǎng)0和R0表示,然后是16輪迭代的乘積變換,將數(shù)據(jù)和密鑰結(jié)合起來(lái).16輪之后左右兩部分連接起來(lái),經(jīng)過(guò)一個(gè)初始逆置換IP-1,算法結(jié)束.初始置換與初始逆置換在密碼意義上作用不大,其作用在于打亂原輸入x的ASCII碼字劃分關(guān)系,并將原來(lái)明文的校驗(yàn)位變成置換輸出的一個(gè)字節(jié).205.2網(wǎng)絡(luò)安全技術(shù)對(duì)稱(chēng)密鑰的分組密碼算法--一種是對(duì)DES進(jìn)行復(fù)合,強(qiáng)化其抗攻擊能力.--另一種是開(kāi)辟新的方法,即象DES那樣加解密速度快,又具有抗差分等攻擊的能力.這些算法有三重DES，IDEA，RC5，RC6等非對(duì)稱(chēng)算法(公鑰密碼/雙鑰密碼)有兩個(gè)密鑰,公用密鑰和私用密鑰。在進(jìn)行數(shù)據(jù)通信時(shí)，發(fā)送方利用公用密鑰將信息加密，對(duì)方收到信息后使用私人密鑰進(jìn)行解密。常用算法RSA是基于數(shù)論中素?cái)?shù)因數(shù)分解的難度,若整數(shù)n達(dá)到100位（十進(jìn)制）以上，則分解成大素?cái)?shù)因子p和q及其困難，即不能在有效時(shí)間內(nèi)破譯RSA。RSA系統(tǒng)中大素?cái)?shù)的生成通常有兩種方法：構(gòu)造法與隨機(jī)法。構(gòu)造法因其素?cái)?shù)的產(chǎn)生具有規(guī)律性、隨機(jī)性較差而不常用。215.2網(wǎng)絡(luò)安全技術(shù)3.數(shù)字簽名算法信息加密函數(shù)作認(rèn)證225.2網(wǎng)絡(luò)安全技術(shù)雙密鑰仲裁數(shù)字簽名技術(shù)(1)XA:IDx||EKRx[IDx||EKUy(EKRx[M])]X對(duì)消息M雙重加密首先用X的私有密鑰KRx,然后用Y的公開(kāi)密鑰KUy,形成一個(gè)簽名的保密的消息.然后將該信息以及X的標(biāo)識(shí)符一起用KRx簽名后,與IDx

一起發(fā)送給A這種內(nèi)部雙重加密的消息對(duì)A以及對(duì)除Y以外的其它人都是安全的.(2)AY:EKRa[IDx||EKUy[EKRx[M]]||T]A檢查X的公開(kāi)/私有密鑰對(duì)是否仍然有效,是,則認(rèn)證消息,并將包含IDx,雙重加密的消息和時(shí)間戳構(gòu)成的消息用KRa簽名后發(fā)送給Y.235.2網(wǎng)絡(luò)安全技術(shù)二.系統(tǒng)安全技術(shù)1.身份認(rèn)證--證實(shí)客戶(hù)的真實(shí)身份與其所聲稱(chēng)的身份是否相符的過(guò)程依據(jù):Somethingtheuserknow(所知)密碼口令等Somethingtheuserpossesses(擁有)身份證護(hù)照密鑰盤(pán)等Somethingtheuserisor(Howhebehaves)(特征)指紋筆跡聲紋虹膜DNA等方式：口令認(rèn)證挑戰(zhàn)/應(yīng)答方式Kerberos認(rèn)證245.2網(wǎng)絡(luò)安全技術(shù)2.訪(fǎng)問(wèn)控制和授權(quán):針對(duì)越權(quán)使用資源的防御措施?自主訪(fǎng)問(wèn)控制--根據(jù)主體的身份和授權(quán)決定訪(fǎng)問(wèn)模式?強(qiáng)制訪(fǎng)問(wèn)控制--將主體和客體分級(jí),根據(jù)主體和客體的級(jí)別標(biāo)記決定訪(fǎng)問(wèn)模式.如絕密級(jí),機(jī)密級(jí),秘密級(jí),無(wú)密級(jí).?基于角色的訪(fǎng)問(wèn)控制--用戶(hù)集+權(quán)限集角色--Arolecanbedefinedasasetofactionsandresponsibilitiesassociatedwithaparticularworkingactivity3.審計(jì)--根據(jù)一定的策略,通過(guò)記錄分析歷史操作事件,發(fā)現(xiàn)和改進(jìn)系統(tǒng)性能和安全255.2網(wǎng)絡(luò)安全技術(shù)三.網(wǎng)絡(luò)安全技術(shù)1.防火墻定義

位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪(fǎng)問(wèn)控制的一組組件的集合,滿(mǎn)足以下條件:–內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻–只有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻–防火墻自身應(yīng)對(duì)滲透(peneration)免疫2.為什么需要防火墻

保護(hù)內(nèi)部不受來(lái)自Internet的攻擊

為了創(chuàng)建安全域

為了增強(qiáng)機(jī)構(gòu)安全策略265.2網(wǎng)絡(luò)安全技術(shù)3.防火墻體系結(jié)構(gòu)

雙宿/多宿主機(jī)模式(dual-homed/multi-homed)

屏蔽主機(jī)模式

屏蔽子網(wǎng)模式27282930315.2網(wǎng)絡(luò)安全技術(shù)4.防火墻相關(guān)技術(shù)

靜態(tài)包過(guò)濾

動(dòng)態(tài)包過(guò)濾

應(yīng)用程序網(wǎng)關(guān)(代理服務(wù)器)

電路級(jí)網(wǎng)關(guān)

虛擬專(zhuān)用網(wǎng)325.2網(wǎng)絡(luò)安全技術(shù)靜態(tài)包過(guò)濾根據(jù)流經(jīng)該設(shè)備的數(shù)據(jù)包地址信息決定是否允許該數(shù)據(jù)包通過(guò),判斷依據(jù):–數(shù)據(jù)包協(xié)議類(lèi)型TCPUDPICMPIGMP等–源目的IP地址–源目的端口FTPHTTPDNS等–IP選項(xiàng)源路由記錄路由等–TCP選項(xiàng)SYNACKFINRST等–其它協(xié)議選項(xiàng)ICMPECHOICMPECHOREPLY等–數(shù)據(jù)包流向in或out–數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口eth0eth13334355.2網(wǎng)絡(luò)安全技術(shù)動(dòng)態(tài)包過(guò)濾--Checkpoint一項(xiàng)稱(chēng)為“StatefulInspection”的技術(shù)--可動(dòng)態(tài)生成/刪除規(guī)則--分析高層協(xié)議應(yīng)用程序網(wǎng)關(guān)--網(wǎng)關(guān)理解應(yīng)用協(xié)議可以實(shí)施更細(xì)粒度的訪(fǎng)問(wèn)控制--對(duì)每一類(lèi)應(yīng)用都需要一個(gè)專(zhuān)門(mén)的代理--靈活性不夠365.2網(wǎng)絡(luò)安全技術(shù)電路級(jí)網(wǎng)關(guān)--拓?fù)浣Y(jié)構(gòu)同應(yīng)用程序網(wǎng)關(guān)相同--接收客戶(hù)端連接請(qǐng)求代理客戶(hù)端完成網(wǎng)絡(luò)連接--在客戶(hù)和服務(wù)器間中轉(zhuǎn)數(shù)據(jù)--通用性強(qiáng)電路級(jí)網(wǎng)關(guān)實(shí)現(xiàn)方式--簡(jiǎn)單重定向--根據(jù)客戶(hù)的地址及所請(qǐng)求端口將該連接重定向到指定的服務(wù)器地址及端口上--對(duì)客戶(hù)端應(yīng)用完全透明--在轉(zhuǎn)發(fā)前同客戶(hù)端交換連接信息--需對(duì)客戶(hù)端應(yīng)用作適當(dāng)修改電路級(jí)網(wǎng)關(guān)的一些實(shí)現(xiàn)Socks

WinsockDante3738395.2網(wǎng)絡(luò)安全技術(shù)5.防火墻產(chǎn)品著名廠家CheckPoint，SunSoft，IBM，TrustedInformationSystem等，國(guó)內(nèi)常見(jiàn)防火墻產(chǎn)品有SunSoft公司的SolsticeFirewall-1，該軟件核心是CheckPoint公司開(kāi)發(fā)的同名產(chǎn)品。Firewall-1由包過(guò)濾模塊和控制模塊兩部分組成，包過(guò)濾模塊的工作獨(dú)立于控制模塊，相當(dāng)于在鏈路層和網(wǎng)絡(luò)層之間插入一個(gè)數(shù)據(jù)包過(guò)濾器，截獲出入網(wǎng)點(diǎn)的所有數(shù)據(jù)包，然后根據(jù)用戶(hù)設(shè)置的安全規(guī)則決定是轉(zhuǎn)發(fā)/阻塞該數(shù)據(jù)包；控制模塊可監(jiān)測(cè)、控制多個(gè)包過(guò)濾模塊，包過(guò)濾模塊和控制模塊可安裝在同一臺(tái)主機(jī)/不同主機(jī)上。Firewall-1包括應(yīng)用級(jí)過(guò)濾能力，將Firewall-1所在網(wǎng)關(guān)配置成混合型網(wǎng)關(guān)，由應(yīng)用網(wǎng)關(guān)運(yùn)行專(zhuān)用程序代碼對(duì)應(yīng)用級(jí)數(shù)據(jù)包進(jìn)行過(guò)濾，利用代理服務(wù)代替客戶(hù)向服務(wù)器發(fā)出請(qǐng)求和為用戶(hù)提供認(rèn)證服務(wù)。Firewall-1還支持DES等加密技術(shù),既是一個(gè)公共防護(hù)系統(tǒng)，也是一個(gè)專(zhuān)用防衛(wèi)系統(tǒng)，達(dá)到Unix級(jí)防護(hù)能力。405.3網(wǎng)絡(luò)安全體系設(shè)計(jì)一.安全方案設(shè)計(jì)要素明確的需求分析合理的設(shè)計(jì)原則可信的安全等級(jí)良好的指導(dǎo)方法全面的理論模型正確的技術(shù)選擇可靠的支撐產(chǎn)品實(shí)用的功能性能可行的評(píng)價(jià)措施完善的管理手段長(zhǎng)遠(yuǎn)的維護(hù)升級(jí)41安全設(shè)計(jì)總目標(biāo)保障網(wǎng)絡(luò)安全可靠、高效、可控、持續(xù)地運(yùn)行保障信息機(jī)密、完整、不可否認(rèn)地傳輸和使用需要保護(hù)的對(duì)象?安全層次分析?隱患分析425.3網(wǎng)絡(luò)安全體系設(shè)計(jì)1.安全需求分析--安全層次分析435.3網(wǎng)絡(luò)安全體系設(shè)計(jì)--安全監(jiān)測(cè)監(jiān)測(cè)方法異常檢測(cè)系統(tǒng)(Anomaly)

統(tǒng)計(jì)方法預(yù)測(cè)模式生成法神經(jīng)網(wǎng)絡(luò)法濫用檢測(cè)系統(tǒng)(Misuse)

專(zhuān)家系統(tǒng)模型匹配狀態(tài)轉(zhuǎn)換分析混合檢測(cè)系統(tǒng)(Hybrid)監(jiān)測(cè)要求實(shí)時(shí)全面準(zhǔn)確4445--安全防護(hù)(需要保護(hù)的對(duì)象)?硬件路由器工作站服務(wù)器數(shù)據(jù)設(shè)備等?軟件操作系統(tǒng)應(yīng)用軟件源代碼實(shí)用程序?數(shù)據(jù)電子郵件辦公自動(dòng)化信息發(fā)布業(yè)務(wù)系統(tǒng)--安全評(píng)估風(fēng)險(xiǎn)分析評(píng)估標(biāo)準(zhǔn)驗(yàn)收指標(biāo)5.3網(wǎng)絡(luò)安全體系設(shè)計(jì)465.3網(wǎng)絡(luò)安全體系設(shè)計(jì)2.設(shè)計(jì)原則先進(jìn)與實(shí)用相統(tǒng)一投入與產(chǎn)出相匹配--國(guó)際慣例占總投入的10%-15%成熟與升級(jí)相銜接(時(shí)效性)3.網(wǎng)絡(luò)安全設(shè)計(jì)方法邏輯層設(shè)計(jì)(應(yīng)用透明性)最小實(shí)體保護(hù)產(chǎn)品與技術(shù)分離4.網(wǎng)絡(luò)安全等級(jí)設(shè)計(jì)應(yīng)達(dá)到等級(jí):

B1級(jí)理由:C2級(jí)自主訪(fǎng)問(wèn),安全性低B1級(jí)提供安全標(biāo)記+強(qiáng)制訪(fǎng)問(wèn)控制B2級(jí)要求確認(rèn)隱蔽通道,難于實(shí)現(xiàn)475.3網(wǎng)絡(luò)安全體系設(shè)計(jì)5.安全技術(shù)選擇--根據(jù)網(wǎng)絡(luò)層次鏈路層鏈路加密技術(shù)網(wǎng)絡(luò)層包過(guò)濾IPSEC協(xié)議VPN.TCP層SSL協(xié)議基于公鑰的認(rèn)證和對(duì)稱(chēng)鑰加密技術(shù)應(yīng)用層SHTTPPGP開(kāi)發(fā)專(zhuān)用協(xié)議--根據(jù)網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)隔離防火墻訪(fǎng)問(wèn)代理安全網(wǎng)關(guān)入侵監(jiān)測(cè)日志審計(jì)入侵檢測(cè)漏洞掃描追蹤485.3網(wǎng)絡(luò)安全體系設(shè)計(jì)49505.3網(wǎng)絡(luò)安全體系設(shè)計(jì)6.安全管理加強(qiáng)內(nèi)部人員的安全知識(shí)培訓(xùn)及職業(yè)道德教育制定安全政策和法規(guī)從技術(shù)上實(shí)現(xiàn)系統(tǒng)管理分權(quán)制約從技術(shù)上保證口令的安全性從程序上規(guī)范安全管理515.3網(wǎng)絡(luò)安全體系設(shè)計(jì)7.安全升級(jí)跟蹤和研究網(wǎng)絡(luò)攻擊手段及時(shí)更新和使用安全產(chǎn)品的升級(jí)版本及時(shí)采納新出現(xiàn)的必須的安全產(chǎn)品應(yīng)在年度運(yùn)行預(yù)算中留出安全保障和維護(hù)經(jīng)費(fèi)保持與安全技術(shù)支持單位的良好合作關(guān)系525.3網(wǎng)絡(luò)安全體系設(shè)計(jì)二.設(shè)計(jì)實(shí)例(典型局域網(wǎng)安全設(shè)計(jì))535.3網(wǎng)絡(luò)安全體系設(shè)計(jì)1.代理服務(wù)器545.3網(wǎng)絡(luò)安全體系設(shè)計(jì)2.安全客戶(hù)555.3網(wǎng)絡(luò)安全體系設(shè)計(jì)3.代理接口安全565.3網(wǎng)絡(luò)安全體系設(shè)計(jì)4.廣域傳輸安全575.3網(wǎng)絡(luò)安全體系設(shè)計(jì)5.撥號(hào)接入安全58

595.4網(wǎng)絡(luò)管理概述一.網(wǎng)絡(luò)管理定義網(wǎng)絡(luò)管理指用軟件手段對(duì)網(wǎng)絡(luò)進(jìn)行配置監(jiān)視和控制，以保證網(wǎng)絡(luò)的正常運(yùn)行，減少故障發(fā)生的概率，最終使網(wǎng)絡(luò)性能達(dá)到最優(yōu)，減少網(wǎng)絡(luò)維護(hù)費(fèi)用。網(wǎng)絡(luò)管理分為兩類(lèi)。第一類(lèi)網(wǎng)絡(luò)應(yīng)用程序、用戶(hù)帳號(hào)和存取權(quán)限的管理，是與軟件相關(guān)的網(wǎng)絡(luò)管理；第二類(lèi)構(gòu)成網(wǎng)絡(luò)的硬件組成，包括工作站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋（交換機(jī)）和集線(xiàn)器。通常網(wǎng)絡(luò)管理指第二類(lèi)，即網(wǎng)絡(luò)硬件設(shè)備的管理。ISO定義：網(wǎng)絡(luò)管理指規(guī)劃、監(jiān)督、設(shè)計(jì)和控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動(dòng)，使網(wǎng)絡(luò)的性能達(dá)到最優(yōu)。60二.網(wǎng)絡(luò)管理功能1．用戶(hù)管理，管理用戶(hù)標(biāo)識(shí)、用戶(hù)賬戶(hù)、用戶(hù)口令、文件目錄、地址和用戶(hù)個(gè)人信息以及工作站信息等。2．配置管理，監(jiān)視網(wǎng)絡(luò)的運(yùn)行環(huán)境和狀態(tài)，改變和調(diào)整網(wǎng)絡(luò)設(shè)備的配置，確保網(wǎng)絡(luò)有效可靠地運(yùn)行。包括識(shí)別被管網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，監(jiān)視網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)和參數(shù)，自動(dòng)修改指定設(shè)備的配置，動(dòng)態(tài)維護(hù)網(wǎng)絡(luò)等。3．性能管理，指通過(guò)監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀態(tài)調(diào)整網(wǎng)絡(luò)性能參數(shù)來(lái)改善網(wǎng)絡(luò)的性能，確保網(wǎng)絡(luò)平穩(wěn)運(yùn)行,包括網(wǎng)絡(luò)吞吐量、響應(yīng)時(shí)間、線(xiàn)路利用率、網(wǎng)絡(luò)可用性等參數(shù)。4．故障管理，包括故障檢測(cè)、故障診斷和故障恢復(fù)。通過(guò)故障檢測(cè)確定發(fā)生何故障，位于何處,找出發(fā)生故障的原因和解決辦法；還包括避免發(fā)生故障，提出減少故障的措施。5．計(jì)費(fèi)管理，包括統(tǒng)計(jì)用戶(hù)使用網(wǎng)絡(luò)資源的情況，根據(jù)資費(fèi)標(biāo)準(zhǔn)計(jì)算使用費(fèi)用；統(tǒng)計(jì)網(wǎng)絡(luò)通信資源和信息資源的使用情況，分析預(yù)測(cè)網(wǎng)絡(luò)業(yè)務(wù)量。6．安全管理，防止用戶(hù)網(wǎng)絡(luò)資源的非法訪(fǎng)問(wèn)，確保網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶(hù)的安全。615.4網(wǎng)絡(luò)管理概述3.網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化組織ISO（InternationalStandardizationOrganization）：1947年成立，總部設(shè)在日內(nèi)瓦，世界最大的國(guó)際標(biāo)準(zhǔn)化機(jī)構(gòu)。ISO制定網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化始于1979年，其標(biāo)準(zhǔn)有公共管理信息服務(wù)協(xié)議CMIS（CommonManagementInformationServiceProtocol）和公共管理信息協(xié)議CMIP（CommonManagementInformationProtocol）。國(guó)際電聯(lián)電信標(biāo)準(zhǔn)化部門(mén)ITU-T：

ITU（InternationalTelecommunicationUnion）成立于1934年，ITU電信標(biāo)準(zhǔn)由其電信標(biāo)準(zhǔn)化部門(mén)ITU-T制定。ITU-T制定的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)為電信管理網(wǎng)TMN(TelecommunicationManagementNetwork）。IETF（InternetEngineeringTaskForce）工程任務(wù)組：制定兩個(gè)基于TCP/IP的網(wǎng)絡(luò)管理協(xié)議：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP（SimpleNetworkManagementProtocol）和公共管理信息服務(wù)與協(xié)議CMOT（CommonManagementinformationserviceandprotocolOverTCP/IP）。SNMP是目前最流行網(wǎng)絡(luò)管理協(xié)議。62ISO/OSICMIS和CMIP（公共管理信息服務(wù)協(xié)議和公共管理信息協(xié)議）公共管理信息服務(wù)元素CMISE，定義用于網(wǎng)絡(luò)管理操作的服務(wù)元素和參數(shù)（變量），負(fù)責(zé)網(wǎng)絡(luò)管理信息的邏輯通信，7類(lèi)服務(wù)為：M-EVENT-REPORT服務(wù)：用于向服務(wù)用戶(hù)報(bào)告發(fā)現(xiàn)/發(fā)生的事件。M-GET服務(wù)：用于從對(duì)等實(shí)體中獲取管理信息。M-CANCEL-GET服務(wù)：用于要求對(duì)等實(shí)體取消以前發(fā)送的M-GET請(qǐng)求。M-SET服務(wù)：用于請(qǐng)求另一個(gè)管理進(jìn)程（或管理代理）修改管理對(duì)象屬性值。M-ACTION服務(wù)：用于一個(gè)用戶(hù)需要請(qǐng)求另一個(gè)用戶(hù)（管理進(jìn)程或管理代理）對(duì)管理對(duì)象執(zhí)行一些操作。M-CREATE服務(wù)：用于用戶(hù)創(chuàng)建管理對(duì)象實(shí)例。M-DELETE服務(wù)：用干刪除管理對(duì)象實(shí)例。公共管理信息協(xié)議CMIP，基于OSI七層協(xié)議，采用管理者/代理模型，作為CMISE之間的通信協(xié)議。規(guī)定不同網(wǎng)絡(luò)管理系統(tǒng)之間的信息交換方式和規(guī)則，例如對(duì)網(wǎng)絡(luò)文件進(jìn)行監(jiān)控時(shí)，管理者只需向代理發(fā)出一監(jiān)控請(qǐng)求，代理自動(dòng)監(jiān)視指定的管理者，并在異常情況發(fā)生時(shí)向管理者報(bào)告。63簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP1990年，IETF制定SNMPV1。1993年，IETF制定SNMPV2，該版本受到各網(wǎng)絡(luò)廠商廣泛歡迎，并成為事實(shí)上的網(wǎng)絡(luò)管理工業(yè)標(biāo)準(zhǔn)。1999年5月公布SNMP的第三代標(biāo)準(zhǔn)CMOT（CommonManagementInformationServiceandProtocolOverTCP/IP），也稱(chēng)SNMPV3,實(shí)際上是OSICMIP的TCP/IP版。SNMP模型·被管理站點(diǎn): 運(yùn)行SNMP代理程序，維護(hù)一個(gè)本地?cái)?shù)據(jù)庫(kù)，描述站點(diǎn)的狀態(tài)和歷史，并影響站點(diǎn)的運(yùn)行?！す芾碚军c(diǎn):運(yùn)行專(zhuān)門(mén)的網(wǎng)絡(luò)管理軟件，使用管理協(xié)議和被管理站點(diǎn)上的SNMP代理通信，維護(hù)管理信息庫(kù)?！す芾硇畔?kù):每個(gè)站點(diǎn)使用一個(gè)或多個(gè)變量描述自己的狀態(tài)，這些變量稱(chēng)為“對(duì)象(objects)”，所有的對(duì)象組成管理信息庫(kù)MIB?！す芾韰f(xié)議（SNMP）:管理協(xié)議用于管理站點(diǎn)查詢(xún)和修改被管理站點(diǎn)的狀態(tài)，被管理站點(diǎn)可使用管理協(xié)議向管理站點(diǎn)產(chǎn)生“SNMP陷阱”報(bào)告。6465SNMP協(xié)議--異常請(qǐng)求/響應(yīng)協(xié)議即SNMP實(shí)體發(fā)出請(qǐng)求后不需要等待響應(yīng)的到來(lái)，請(qǐng)求或響應(yīng)的丟失由發(fā)送方負(fù)責(zé)糾正。SNMP協(xié)議4種基本協(xié)議交互過(guò)程：管理進(jìn)程（或管理者）從管理代理獲取管理信息，即管理進(jìn)程向管理代理發(fā)送get-request后，管理代理向管理進(jìn)程返回相應(yīng)的管理信息get-response。管理進(jìn)程向管理代理發(fā)送get-next-request，管理代理返回get-response，將遍歷的部分管理對(duì)象結(jié)果返回給管理進(jìn)程。管理進(jìn)程向管理代理發(fā)送set-request，對(duì)管理代理的管理信息庫(kù)進(jìn)行寫(xiě)操作，由管理代理完成set操作，管理代理用get-response返回操作結(jié)果。管理代理使用trap向管理進(jìn)程報(bào)告事件，無(wú)需響應(yīng)。66公共管理信息服務(wù)與協(xié)議（CMOT）IETF制定的基于ISO網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，提供與CMIS相同的服務(wù)，適用于TCP/IP網(wǎng)絡(luò)。CMOT可利用面向連接TCP傳輸服務(wù)和無(wú)連接UDP傳輸服務(wù)。在CMOT體系結(jié)構(gòu)中，LPP（LightweightPresentationProtocol）為輕量表示協(xié)議，其功能將OSI應(yīng)用層實(shí)體的原語(yǔ)映射成TCP或UDP原語(yǔ)，將TCP或UDP提供的服務(wù)映射成OSI傳輸層服務(wù)。CMISE、ROSE和ACSE均是OSI應(yīng)用層協(xié)議實(shí)體。CMISE:公共管理信息服務(wù)元素，負(fù)責(zé)網(wǎng)絡(luò)管理信息的邏輯通信；ACSE:聯(lián)系控制服務(wù)元素，負(fù)責(zé)建立和拆除兩個(gè)系統(tǒng)間應(yīng)用層的通信聯(lián)系；ROSE:遠(yuǎn)程操作服務(wù)元素，負(fù)責(zé)建立和拆除應(yīng)用層的連接；67684.網(wǎng)絡(luò)管理模型網(wǎng)絡(luò)管理是網(wǎng)絡(luò)管理者（Manager）與被管理對(duì)象代理（Agent）之間利用網(wǎng)絡(luò)實(shí)現(xiàn)信息交換，完成網(wǎng)絡(luò)管理功能。管理者從各代理處收集管理信息，進(jìn)行加工處理后，向代理發(fā)送操作信息，達(dá)到對(duì)代理進(jìn)行管理的目的。代理對(duì)對(duì)象的管理類(lèi)似于管理者與代理之間的操作。網(wǎng)絡(luò)管理系統(tǒng)由管理者和代理組成，它們一般處于網(wǎng)絡(luò)的不同節(jié)點(diǎn)上，它們之間需要可靠地交換管理信息。管理信息交換要遵守統(tǒng)一的通信規(guī)程（稱(chēng)為網(wǎng)絡(luò)管理協(xié)議）。69705.網(wǎng)絡(luò)管理層次結(jié)構(gòu)網(wǎng)絡(luò)管理應(yīng)用軟件建立在網(wǎng)絡(luò)管理工具之上，包括計(jì)費(fèi)系統(tǒng)，防火墻等。

網(wǎng)絡(luò)管理員操作界面網(wǎng)絡(luò)管理應(yīng)用軟件網(wǎng)絡(luò)管理工具網(wǎng)絡(luò)管理平臺(tái)網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)平臺(tái)71一.網(wǎng)絡(luò)管理系統(tǒng)選擇原則能自動(dòng)發(fā)現(xiàn)配置網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備。能自動(dòng)檢測(cè)、記錄、報(bào)告、診斷和控制網(wǎng)絡(luò)故障或錯(cuò)誤。遵從國(guó)際標(biāo)準(zhǔn)，具有良好的兼容性，能管理不同廠商的網(wǎng)絡(luò)設(shè)備，支持第三方應(yīng)用軟件包。具有很好的開(kāi)發(fā)環(huán)境，界面親切友好，提供API接口，具有良好的擴(kuò)展性。提供良好的服務(wù)，包括文檔、培訓(xùn)等。具體究竟選用哪種管理軟件，還要根據(jù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的具體應(yīng)用環(huán)境確定。5.5網(wǎng)絡(luò)管理系統(tǒng)72二.網(wǎng)絡(luò)管理系統(tǒng)功能1）自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和配置：網(wǎng)絡(luò)管理人員可配置輪詢(xún)時(shí)間查找網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備、修改網(wǎng)絡(luò)參數(shù)、設(shè)置網(wǎng)絡(luò)節(jié)點(diǎn)和網(wǎng)絡(luò)設(shè)備等。2）告警功能：提供靈活多樣告警方式，如電子郵件、聲音、顯示、光信號(hào)等。3）監(jiān)控功能：例如Email服務(wù)器的磁盤(pán)空間利用率超過(guò)90％/發(fā)生故障時(shí)，通知網(wǎng)絡(luò)管理人員進(jìn)行處理。4）監(jiān)控能力：提供靈活的監(jiān)控能力，例如監(jiān)控什么設(shè)備，監(jiān)控什么MIB（管理信息庫(kù)）變量，根據(jù)設(shè)備的重要性差異調(diào)整監(jiān)控等級(jí)，根據(jù)故障的危險(xiǎn)程序調(diào)整其處理措施等。5）靈活性：允許用戶(hù)增減網(wǎng)絡(luò)管理的功能。6）多廠商集成：能管理不同廠商的網(wǎng)絡(luò)設(shè)備，允許第三方軟件在其中運(yùn)行。7）訪(fǎng)問(wèn)控制：允許網(wǎng)絡(luò)管理人員設(shè)置用戶(hù)的訪(fǎng)問(wèn)權(quán)限。8）界面友好：使用簡(jiǎn)便，提供良好的幫助支持，允許用戶(hù)設(shè)置環(huán)境。9）編程接口和開(kāi)發(fā)工具：提供API接口和高效的開(kāi)發(fā)工具，便于用戶(hù)開(kāi)發(fā)網(wǎng)絡(luò)管理應(yīng)用程序，擴(kuò)展功能。10）故障記錄：提供可靠的故障記錄，定期生成運(yùn)行報(bào)告，便于故障分析、跟蹤、診斷和處理。73三.SNMP網(wǎng)絡(luò)管理平臺(tái)--支持SNMP標(biāo)準(zhǔn)HPOpenView--HP公司開(kāi)發(fā)應(yīng)用最廣的網(wǎng)絡(luò)管理平臺(tái)，是最早商用綜合實(shí)用網(wǎng)絡(luò)管理系統(tǒng)。OpenView可用于SNMP網(wǎng)管系統(tǒng)的開(kāi)發(fā)，也可用于TMN網(wǎng)絡(luò)管理系統(tǒng)的開(kāi)發(fā)，得到網(wǎng)絡(luò)廠商的廣泛支持。--自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，智能性高。一經(jīng)啟動(dòng)，自動(dòng)發(fā)現(xiàn)缺省的網(wǎng)段，以圖標(biāo)的形式顯示網(wǎng)段中的路由器、網(wǎng)關(guān)和子網(wǎng)。--可進(jìn)行性能分析，用OpenView中的應(yīng)用軟件HPLANProb

Ⅱ可進(jìn)行網(wǎng)絡(luò)性能分析，查詢(xún)SNMPMIBI、Ⅱ可監(jiān)控網(wǎng)絡(luò)連接故障。--故障告警，提供多種故障告警方式，如通過(guò)圖形用戶(hù)接口配置和顯示告警。--數(shù)據(jù)分析，提供有效的歷史數(shù)據(jù)分析功能，實(shí)時(shí)圖表顯示任何指標(biāo)的數(shù)據(jù)分析報(bào)告，利用RMONHPLANProb

Ⅱ可增強(qiáng)其數(shù)據(jù)分析功能。--多廠商支持，允許其他廠商的網(wǎng)絡(luò)管理軟件和MIB定義集成到OpenView中。

74四.網(wǎng)絡(luò)管理工具--作為管理代理CiscoWorks基于SNMP網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)，能集成到多種流行的網(wǎng)絡(luò)管理平臺(tái)，如Sun工作站（SunOS和Solaris）上的SunNetManager，Sun或HP系統(tǒng)上的HPOpenView，以及IBMNetViewforAIX。CiscoWorks建立在工業(yè)標(biāo)準(zhǔn)平臺(tái)上，能監(jiān)控設(shè)備狀態(tài)，維護(hù)配置信息，查找故障。自動(dòng)安裝管理（AutoInstallManager）能通過(guò)使用相鄰的路由器來(lái)遠(yuǎn)程安裝一個(gè)新的路由器，使安裝任務(wù)自動(dòng)和簡(jiǎn)單。與NetView的接口，CiscoWorksNetViewInterface是一個(gè)單獨(dú)產(chǎn)品，提供CiscoWorks網(wǎng)絡(luò)管理系統(tǒng)與IBMNetView之間的雙向通信，通過(guò)Runcmd命令訪(fǎng)問(wèn)CiscoWorks應(yīng)用軟件。配置管理（ConfigurationManagement）可訪(fǎng)問(wèn)網(wǎng)絡(luò)中本地與遠(yuǎn)程Cisco設(shè)備的配置文件，并分析和編輯它們。同時(shí)能比較數(shù)據(jù)庫(kù)中兩個(gè)配置文件的內(nèi)容，以及將設(shè)備當(dāng)前使用的配置和數(shù)據(jù)庫(kù)中上一次的配置進(jìn)行比較。設(shè)備管理（DeviceManagement）創(chuàng)建并維護(hù)一個(gè)數(shù)據(jù)庫(kù)，包括所有網(wǎng)絡(luò)硬件、軟件、操作級(jí)別、負(fù)責(zé)維護(hù)設(shè)備的人員及相關(guān)場(chǎng)地。75五.計(jì)算機(jī)網(wǎng)絡(luò)管理實(shí)施1．網(wǎng)絡(luò)管理員：選派技術(shù)能力強(qiáng)的網(wǎng)絡(luò)管理人員專(zhuān)職管理網(wǎng)絡(luò)。并負(fù)責(zé)培訓(xùn)用戶(hù)等工作。2．實(shí)施網(wǎng)絡(luò)管理：選好高素質(zhì)的網(wǎng)絡(luò)管理人員并明確責(zé)任；制定嚴(yán)格的網(wǎng)絡(luò)管理規(guī)章制度和操作程序；選擇合適的網(wǎng)絡(luò)管理系統(tǒng)；認(rèn)真抓好培訓(xùn)工作；制定切實(shí)可行的網(wǎng)絡(luò)管理計(jì)劃和實(shí)施方案；建立并維護(hù)各種文檔。3．布線(xiàn)系統(tǒng)日常維護(hù)：室外光纜鋪設(shè)，對(duì)樓內(nèi)UTP（或STP）綜合布線(xiàn)系統(tǒng)和對(duì)室外光纖通道的日常維護(hù)，一般借助于雙絞線(xiàn)測(cè)試儀和規(guī)程分析儀、信道測(cè)試儀等，智能化分析儀器的使用提高布線(xiàn)的管理水平和管理效率。4．關(guān)鍵設(shè)備管理：包括網(wǎng)絡(luò)的主干交換機(jī)、中心路由器以及關(guān)鍵服務(wù)器。除了通過(guò)網(wǎng)管軟件實(shí)時(shí)監(jiān)測(cè)其工作狀態(tài)外，要做好它們的備份工作。765．IP地址管理：在構(gòu)建、規(guī)劃計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，調(diào)查和統(tǒng)計(jì)上網(wǎng)業(yè)務(wù)需求，確定計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模。目前中小型計(jì)算機(jī)網(wǎng)絡(luò)中大多采用C類(lèi)IP地址，這樣，每個(gè)IP子網(wǎng)可以擁有200多臺(tái)計(jì)算機(jī)（或者網(wǎng)絡(luò)設(shè)備）。IP地址分配途徑：一給工作站分配特定的IP地址；二對(duì)某些計(jì)算機(jī)的IP地址進(jìn)行動(dòng)態(tài)分配。對(duì)于路由器之外的網(wǎng)絡(luò)設(shè)備/各類(lèi)服務(wù)器/經(jīng)常上網(wǎng)的主機(jī)，一般分配一個(gè)固定的IP地址；對(duì)不經(jīng)常上網(wǎng)或移動(dòng)性較強(qiáng)的計(jì)算機(jī)，采用DHCP協(xié)議動(dòng)態(tài)配置IP地址。6．其他管理工作：網(wǎng)絡(luò)管理員除要維護(hù)各種業(yè)務(wù)數(shù)據(jù)的可靠性外，還要保證機(jī)密數(shù)據(jù)的安全。因此計(jì)算機(jī)網(wǎng)絡(luò)的安全管理又成為網(wǎng)絡(luò)管理一個(gè)重要方面。77六.TMN網(wǎng)絡(luò)管理開(kāi)發(fā)平臺(tái)簡(jiǎn)介計(jì)算機(jī)廠商的產(chǎn)品，例如IBMTivioli，Sun的EM，DEC的Temip，HP的OpenView等。專(zhuān)用的網(wǎng)絡(luò)管理產(chǎn)品，例如Marben，Dest，Telegenics等。工具集成環(huán)境（TI）,提供5種軟件集成環(huán)境，能激活其他開(kāi)發(fā)工具，并使硬件協(xié)調(diào)工作，以達(dá)到最佳配合。信息建模工具（IMT）,包括管理對(duì)象瀏覽編輯器（MOBE）和管理對(duì)象編輯器（MOE）。通信機(jī)制(CI),負(fù)責(zé)管理者與管理代理之間的通信。應(yīng)用開(kāi)發(fā)工具（ADT），向開(kāi)發(fā)者提供用于開(kāi)發(fā)管理者和管理代理的開(kāi)發(fā)工具，包括C/C++代碼生成器、數(shù)據(jù)庫(kù)和圖形用戶(hù)界面開(kāi)發(fā)工具等。面向?qū)ο蟮慕涌谏善?OOIG),向開(kāi)發(fā)者提供更簡(jiǎn)單編程接口。測(cè)試工具（Tester)，用于調(diào)試開(kāi)發(fā)的應(yīng)用程序，模擬管理者和管理代理檢測(cè)其功能。78七.網(wǎng)絡(luò)管理的發(fā)展趨勢(shì)1.網(wǎng)絡(luò)管理層次化

792.網(wǎng)絡(luò)管理集成化CMIP和SNMP集成化策略克服或協(xié)調(diào)兩者差別，如集成方法---協(xié)議共享方式和協(xié)議互通方式；在管理者和委托代理之間使用CMIP，則在委托代理和被委托管理設(shè)備之間使用SNMP；IETF在定義ISO到TCP/IP的委托代理模型，使ISO管理者能管理TCP/IP，所采用的方法依賴(lài)于API，將SNMP消息通過(guò)功能映射仿真CMIP服務(wù)。新的網(wǎng)管集成化解決方案由OSF(TheOpenSoftwareFoundation）提出分布式管理環(huán)境DME(DistributedManagementEnvironment）。DME集系統(tǒng)管理和網(wǎng)絡(luò)結(jié)構(gòu)于一體，試圖提供一系列標(biāo)準(zhǔn)管理服務(wù)，以及從網(wǎng)橋，路由器到基于操作系統(tǒng)應(yīng)用的服務(wù)。DME可支持多種標(biāo)準(zhǔn)網(wǎng)管協(xié)議，如SNMP、CMIP等。DME由一個(gè)能提供用于應(yīng)用開(kāi)發(fā)和一些創(chuàng)建系統(tǒng)管理功能的軟件組成，如軟件管理、許可證管理和打印服務(wù)。DME還允許附加新的服務(wù)，這些服務(wù)由兩個(gè)關(guān)鍵部分組成：管理請(qǐng)求代理MRB和客體服務(wù)。803.網(wǎng)絡(luò)管理Web化一代理方式，將一個(gè)Web服務(wù)器加到一個(gè)內(nèi)部工作站（代理），輪流與端點(diǎn)設(shè)備通信，管理人員通過(guò)瀏覽代理服務(wù)器，就可以管理相應(yīng)的代理端點(diǎn)設(shè)備；二嵌入方式，將Web功能嵌入到網(wǎng)絡(luò)設(shè)備，每個(gè)設(shè)備有自己的Web地址，管理人員可通過(guò)瀏覽訪(fǎng)問(wèn)并管理該設(shè)備。大型企業(yè)通過(guò)代理進(jìn)行網(wǎng)絡(luò)監(jiān)視與管理，內(nèi)嵌服務(wù)器方式對(duì)于辦公室網(wǎng)絡(luò)是理想管理方式。818283對(duì)應(yīng)于兩種實(shí)現(xiàn)方式目前兩個(gè)基于Web管理標(biāo)準(zhǔn)：代理的基于Web的企業(yè)管理（Web-BasedEnterpriseManagement，WBEM），Microsoft公司1996年7月提出，得到3Com公司在內(nèi)的60多家供應(yīng)商支持。具有面向?qū)ο筇匦?，各種抽象的管理數(shù)據(jù)對(duì)象通過(guò)多種資源（如設(shè)備、系統(tǒng)、應(yīng)用程序）進(jìn)行收集。內(nèi)嵌式的Java管理應(yīng)用程序編程接口（Java-ManagementApplicationProgrammingInterface，JMAPI）。84854.網(wǎng)絡(luò)管理智能化

處理不確定性能力：由于網(wǎng)絡(luò)系統(tǒng)的瞬變性，當(dāng)某資源的狀態(tài)信息傳到網(wǎng)管系統(tǒng)時(shí)可能過(guò)時(shí)，因此網(wǎng)管只知道系統(tǒng)的局部狀態(tài)，根據(jù)這些不確定信息進(jìn)行管理。要求網(wǎng)管要有處理不確定信息進(jìn)行管理和控制的能力。

較好的方法如模糊邏輯（fuzzylogic）、主觀貝葉斯（Bayse）方法等。協(xié)作能力：層次網(wǎng)管的出現(xiàn)需解決多層管理者之間任務(wù)的分配、通信和協(xié)作問(wèn)題。多代理協(xié)作、分布式人工智能的思想逐漸引入網(wǎng)絡(luò)管理。適應(yīng)系統(tǒng)變化的能力：網(wǎng)絡(luò)系統(tǒng)是不斷變化的分布式動(dòng)態(tài)系統(tǒng)，基于規(guī)則的智能化網(wǎng)管能較好地適應(yīng)網(wǎng)絡(luò)系統(tǒng)的變化，當(dāng)系統(tǒng)處在某些狀態(tài)下時(shí)，管理系統(tǒng)就啟動(dòng)相應(yīng)的處理動(dòng)作。解釋和推理能力：多數(shù)網(wǎng)絡(luò)管理者基于某種網(wǎng)管協(xié)議，如CMIP、SNMP，監(jiān)測(cè)MIB信息，而這些信息所反映的問(wèn)題，以及如何基于這些信息對(duì)網(wǎng)絡(luò)管理進(jìn)行控制，卻沒(méi)有很好解決。智能化網(wǎng)絡(luò)應(yīng)能綜合解釋這些低層信息，得出高層的信息和概念，并基于這些高層的信息和概念對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制。8687一.網(wǎng)絡(luò)存儲(chǔ)技術(shù)1.RAID存儲(chǔ)技術(shù)（RedundantArrayofIndependentDisks)RAID指獨(dú)立磁盤(pán)冗余陣列，其最初所指為廉價(jià)磁盤(pán)冗余陣列。該技術(shù)允許將一系列磁盤(pán)分組,以實(shí)現(xiàn)提高可用性的目的,并提供為實(shí)現(xiàn)數(shù)據(jù)保護(hù)而必需的數(shù)據(jù)冗余.RAID0是無(wú)數(shù)據(jù)冗余的存儲(chǔ)空間條帶化RAID1是指兩塊硬盤(pán)數(shù)據(jù)進(jìn)行完全鏡像RAID10綜合了RAID0和RAID1的特點(diǎn)，獨(dú)立磁盤(pán)配置成RAID0，兩套完整的RAID0互相鏡像。RAID5是將各塊獨(dú)立硬盤(pán)進(jìn)行條帶化分割，相同的條帶區(qū)進(jìn)行奇偶校驗(yàn)（異或運(yùn)算），校驗(yàn)數(shù)據(jù)平均分布在每塊硬盤(pán)上。RAID3和RAID5的機(jī)制相同,不同的是把校驗(yàn)數(shù)據(jù)完全放在一塊硬盤(pán)上,而不是象RAID5那樣分散開(kāi)來(lái)。RAID30：專(zhuān)用校驗(yàn)陣列條帶RAID50：分布校驗(yàn)陣列條帶5.6網(wǎng)絡(luò)存儲(chǔ)備份技術(shù)88RAID級(jí)別RAID0RAID1RAID3RAID5名稱(chēng)條帶鏡像專(zhuān)用校驗(yàn)條帶分散校驗(yàn)條帶允許故障否是是是冗余類(lèi)型無(wú)副本校驗(yàn)校驗(yàn)熱插拔操作不可可以可以可以可用容量最大最小中間中間隨機(jī)寫(xiě)性能最高中間最低低連續(xù)寫(xiě)性能最高中間低最低典型應(yīng)用無(wú)故障的迅速讀寫(xiě)允許故障的小文件、隨機(jī)數(shù)據(jù)寫(xiě)入允許故障的大文件、連續(xù)數(shù)據(jù)寫(xiě)入允許故障的小文件、隨機(jī)數(shù)據(jù)寫(xiě)入892.DAS技術(shù)(DirectAttachedStorage)

DAS（直接連接存儲(chǔ)）指直接將存儲(chǔ)設(shè)備連接到主機(jī)系統(tǒng)（服務(wù)器）上，連接方式有兩種，即SCSI線(xiàn)纜和光纖通道。DAS通常被用于單一主機(jī)或雙機(jī)系統(tǒng)中，用于增加硬盤(pán)存儲(chǔ)容量和提高系統(tǒng)的可用性及可靠性。優(yōu)點(diǎn)：價(jià)格低廉，配置簡(jiǎn)單、使用方便缺點(diǎn)：擴(kuò)展性差、管理分散、性能一般。903.NAS技術(shù)(Network

AttachedStorage)NAS（網(wǎng)絡(luò)連接存儲(chǔ)）將存儲(chǔ)設(shè)備連接到網(wǎng)絡(luò)上來(lái)提供數(shù)據(jù)和文件服務(wù)，NAS連接要使用專(zhuān)用的NAS服務(wù)器。NAS服務(wù)器一般由存儲(chǔ)硬件、操作系統(tǒng)以及其上的文件系統(tǒng)等部分組成。在LAN環(huán)境下，NAS完全可實(shí)現(xiàn)異構(gòu)平臺(tái)之間的數(shù)據(jù)級(jí)共享，比如NT、UNIX等平臺(tái)的共享。914.SAN技術(shù)(StorageAreaNetwork)SAN（存儲(chǔ)區(qū)域網(wǎng)絡(luò)）是將一個(gè)專(zhuān)用的網(wǎng)絡(luò)置于存儲(chǔ)器和服務(wù)器之間而構(gòu)建的存儲(chǔ)系統(tǒng)。SAN通常由存儲(chǔ)設(shè)備（專(zhuān)用磁盤(pán)陣列、磁帶機(jī)）和存儲(chǔ)交換機(jī)組成，存儲(chǔ)交換機(jī)通常為光纖交換機(jī)?？蛻?hù)端不直接訪(fǎng)問(wèn)SAN網(wǎng)絡(luò)，而是通過(guò)服務(wù)器來(lái)訪(fǎng)問(wèn)數(shù)據(jù)，因此造成SAN在異構(gòu)環(huán)境下不能實(shí)現(xiàn)文件共享。925.存儲(chǔ)技術(shù)的選擇獨(dú)立服務(wù)器應(yīng)用系統(tǒng)文件系統(tǒng)磁盤(pán)存儲(chǔ)客戶(hù)機(jī)文件系統(tǒng)磁盤(pán)存儲(chǔ)NAS服務(wù)器NASDAS局域網(wǎng)應(yīng)用系統(tǒng)文件系統(tǒng)應(yīng)用服務(wù)器光纖通道網(wǎng)磁盤(pán)存儲(chǔ)磁盤(pán)陣列SAN93DAS:l適合服務(wù)器在地理分布上很分散,通過(guò)SAN或NAS在它們之間進(jìn)行互連非常困難時(shí);l操作系統(tǒng)或應(yīng)用平臺(tái)要求存儲(chǔ)系統(tǒng)必須被直接連接到應(yīng)用服務(wù)器上時(shí);l中小企業(yè)應(yīng)用,磁盤(pán)容量要求較低、共享需求不高的情況。NAS：lNAS產(chǎn)品是真正即插即用的產(chǎn)品。l支持多計(jì)算機(jī)平臺(tái)。lNAS設(shè)備的物理位置放置靈活。l無(wú)需應(yīng)用服務(wù)器的干預(yù)。適合工作組和部