第8章 网络管理和网络安全

1、第8章 网络管理和网络安全本章包括以下本章包括以下4 4节：节：8.1 8.1 网络管理概述网络管理概述8.2 8.2 网络管理系统软件网络管理系统软件8.3 Windows 2000 Server8.3 Windows 2000 Server网络管理工具网络管理工具8.4 8.4 网络的安全管理网络的安全管理 8.1 网络管理概述网络管理概述 8.1.1 网络管理的内容网络管理的内容 网络管理的任务是收集、监控网络中各种设备和相关设施的网络管理的任务是收集、监控网络中各种设备和相关设施的工作状态、工作参数，并将结果提交给管理员进行处理，进而工作状态、工作参数，并将结果提交给管理员进行处理，进

2、而对网络设备的运行状态进行控制，实现对整个网络的有效管理。对网络设备的运行状态进行控制，实现对整个网络的有效管理。网络管理因包括以下内容：网络管理因包括以下内容：1.网络的系统配置管理网络的系统配置管理2.系统故障管理系统故障管理3.系统用户管理系统用户管理4.流量控制和负载平衡流量控制和负载平衡5.网络的安全管理网络的安全管理6.网络管理员的管理和培训网络管理员的管理和培训 8.1.28.1.2网络管理的标准化网络管理的标准化1.1.标准化的内容标准化的内容网络管理者想达到如下目标：网络管理者想达到如下目标：（1 1）减少和不同系统之间进行接口的费用）减少和不同系统之间进行接口的费用（2 2

3、）管理信息交换保持一致性）管理信息交换保持一致性（3 3）对网络性能、计费、配置、安全和故障等方面有标准的定义）对网络性能、计费、配置、安全和故障等方面有标准的定义（4 4）具有公共的标准协议和服务）具有公共的标准协议和服务（5 5）允许增加新的增值服务）允许增加新的增值服务系统与系统之间管理信息的交换，标准中规定以下系统与系统之间管理信息的交换，标准中规定以下2 2个方面内容：个方面内容：（1 1）端系统的活动，用于管理对象及其相关操作）端系统的活动，用于管理对象及其相关操作（2 2）系统之间的开放通信。一般通过开放系统互联标准实现。）系统之间的开放通信。一般通过开放系统互联标准实现。 2.

4、网络管理标准化组织网络管理标准化组织国际标准化组织（国际标准化组织（ISO）对网络管理的标准化工作开始于）对网络管理的标准化工作开始于1979年国际标准只规定系统的功能及相互之间的接口，而年国际标准只规定系统的功能及相互之间的接口，而不限制系统内部的实现方法。不限制系统内部的实现方法。8.1.3 OSI网络管理标准网络管理标准1. 配置管理配置管理 配置管理系统的主要功能有：配置管理系统的主要功能有：（1）配置开放系统或管理对象的参数；）配置开放系统或管理对象的参数；（2）初始化、启动和关闭管理对象；）初始化、启动和关闭管理对象；（3）及时收集能够反映开放系统状态的数据，以便管理系统）及时收集

5、能够反映开放系统状态的数据，以便管理系统能够识别开放系统中状态变化的发生；能够识别开放系统中状态变化的发生；（4）改变开放系统或管理对象的配置；）改变开放系统或管理对象的配置；（5）使名字和管理对象对应起来。）使名字和管理对象对应起来。 2. 性能管理性能管理网络性能管理的主要功能有：网络性能管理的主要功能有：（1）收集统计数据）收集统计数据（2）维护和检查系统状态历史的日志，以便用于规划和分析。）维护和检查系统状态历史的日志，以便用于规划和分析。3. 故障管理故障管理故障管理系统的主要功能有：故障管理系统的主要功能有：（1）维护、使用和检查差错日志；）维护、使用和检查差错日志；（2）接受差错

6、检测的通报并做出反应；）接受差错检测的通报并做出反应；（3）在系统范围内跟踪差错；）在系统范围内跟踪差错；（4）执行诊断测试程序；）执行诊断测试程序；（5）执行恢复动作以纠正差错。）执行恢复动作以纠正差错。4. 安全管理安全管理网络安全的主要功能有：网络安全的主要功能有：（1）支持身份鉴别、规定身份鉴别的过程；）支持身份鉴别、规定身份鉴别的过程；（2）控制和维护访问权限；）控制和维护访问权限；（3）支持密钥管理；）支持密钥管理；（4）维护和检查安全日志；）维护和检查安全日志；5. 记帐管理记帐管理网络记帐管理的主要功能有：网络记帐管理的主要功能有：（1）将应该交纳的费用通知用户；）将应该交纳的

7、费用通知用户；（2）支持用户费用的上限设置；）支持用户费用的上限设置；（3）在必须使用多个通信实体才能完成通信时，能够把使）在必须使用多个通信实体才能完成通信时，能够把使用多个管理对象的费用结合起来。用多个管理对象的费用结合起来。 8.2 8.2 网络管理系统软件网络管理系统软件8.2.18.2.1网络管理的系统模型网络管理的系统模型8.2.2 8.2.2 网管协议网管协议 网管协议为网络的管理者和被管理者之间进行通信提供统一网管协议为网络的管理者和被管理者之间进行通信提供统一的语法和规则。的语法和规则。8.2.3 8.2.3 网管软件平台和网管支撑软件网管软件平台和网管支撑软件 网管软件平台

8、提供网络系统的配置、故障、性能、安全及记网管软件平台提供网络系统的配置、故障、性能、安全及记帐方面的基本管理，是支持大量的网络管理、网络设备管理、帐方面的基本管理，是支持大量的网络管理、网络设备管理、操作系统管理的软件包。操作系统管理的软件包。 网管支撑软件是运行于网管软件平台上，支持面向特定网络网管支撑软件是运行于网管软件平台上，支持面向特定网络功能、网络设备、操作系统管理的支撑软件系统。功能、网络设备、操作系统管理的支撑软件系统。8.2.4 8.2.4 网络管理系统软件使用举例网络管理系统软件使用举例一般的网络管理系统应具有以下功能：一般的网络管理系统应具有以下功能：1.1.网络拓扑图自动

9、发现和显示网络拓扑图自动发现和显示 通过通过IPIP区间主机搜索、区间主机搜索、SubnetSubnet子网内网络设备子网内网络设备 搜索、全局自动网络拓扑图搜索可发现交换机、搜索、全局自动网络拓扑图搜索可发现交换机、 路由器、网桥、集线器、路由器、网桥、集线器、PCPC工作站等网络设备，工作站等网络设备， 并根据网络连接方式显示出网络拓扑结构图。并根据网络连接方式显示出网络拓扑结构图。 . 2.2. 性能管理性能管理 能实时浏览、查询、设置网络代理的管理信息库，对网络连接能实时浏览、查询、设置网络代理的管理信息库，对网络连接情况进行显示并可以通过操作显示的图标进行性能管理。还可情况进行显示并

10、可以通过操作显示的图标进行性能管理。还可以对网络性能参数进行动态图形显示和分析。以对网络性能参数进行动态图形显示和分析。3.3.故障管理故障管理 在对网络性能进行统计分析的基础上，设置正常网络性能的门在对网络性能进行统计分析的基础上，设置正常网络性能的门限值；实时监视、检测定位并报告错误和警告两种类别的网络限值；实时监视、检测定位并报告错误和警告两种类别的网络故障情况；对网络故障可以显示；记录和管理故障日志；提供故障情况；对网络故障可以显示；记录和管理故障日志；提供辅助故障解决方案，给出专家建议，具有一定的智能性。辅助故障解决方案，给出专家建议，具有一定的智能性。4.4.配置管理配置管理 5.

11、5.安全管理安全管理 6.6.计费管理计费管理 7.7.网络管理工具集网络管理工具集 8.3 Windows 2000 Server 8.3 Windows 2000 Server 网络管理工具网络管理工具8.3.1 8.3.1 事件查看器事件查看器1.1.事件查看器概述事件查看器概述在管理工具中选择在管理工具中选择“事件查看器事件查看器”可打开它的窗口。如下图所示：可打开它的窗口。如下图所示：事件查看器可以显示的事件类型有：事件查看器可以显示的事件类型有：（1 1）错误：重要的问题，如数据丢失或功能丧失。）错误：重要的问题，如数据丢失或功能丧失。（2 2）警告：并不是非常重要，但有可能说明将

12、来潜在问题的）警告：并不是非常重要，但有可能说明将来潜在问题的事件。事件。（3 3）信息：描述了应用程序、驱动程序或服务的成功操作事）信息：描述了应用程序、驱动程序或服务的成功操作事件。件。（4 4）成功审核：成功的审核安全访问尝试。）成功审核：成功的审核安全访问尝试。（5 5）失败审核：失败的审核安全登录尝试。）失败审核：失败的审核安全登录尝试。2.2. 事件显示窗口事件显示窗口事件显示窗口显示日志中记录的各种事件，各列的含义为：事件显示窗口显示日志中记录的各种事件，各列的含义为：（1 1）日期：事件发生的日期。）日期：事件发生的日期。（2 2）时间：事件发生的当地时间。）时间：事件发生的当

13、地时间。（3 3）用户：事件发生所代表的用户名称。）用户：事件发生所代表的用户名称。（4 4）计算机：产生事件的计算机名称。）计算机：产生事件的计算机名称。（5 5）事件）事件IDID：识别特殊事件类型的编号：识别特殊事件类型的编号（6 6）源：记录事件的软件）源：记录事件的软件（7 7）类型：事件安全的分类；系统和应用程序日志中的错误、）类型：事件安全的分类；系统和应用程序日志中的错误、信息或警告；安全日志中的成功审核或失败审核。信息或警告；安全日志中的成功审核或失败审核。（8 8）种类：按事件来源分类事件。）种类：按事件来源分类事件。3. 3. 查看事件的详细信息查看事件的详细信息4. 4

14、. 保存、打开和清除事件保存、打开和清除事件在控制台树中选择一种日志类型，通过菜单在控制台树中选择一种日志类型，通过菜单“操作操作”=“另另存日志文件存日志文件”=“另存为另存为”将事件日志保存起来，如图：将事件日志保存起来，如图： 5.5. 设置日志属性设置日志属性通过菜单通过菜单“操作操作”=“属性属性”打开打开“系统日志属性系统日志属性”如图：如图：6.查看其他计算机的事件日志查看其他计算机的事件日志在控制台树中选择在控制台树中选择“事件查看器（本地）事件查看器（本地）”=“操作操作”=“连连接到另一台计算机接到另一台计算机”可选择网络中的另外一台计算机。查看其可选择网络中的另外一台计算

15、机。查看其事件日志。事件日志。8.3.2 性能监视器性能监视器 性能监视器是用来监视本地计算机或网络上其他计算机性能的性能监视器是用来监视本地计算机或网络上其他计算机性能的图形工具图形工具1. 性能监视器的图表窗口性能监视器的图表窗口在管理工具中选择在管理工具中选择“性能性能”，可打开性能监视器窗口，如图所示，可打开性能监视器窗口，如图所示左边窗口为控制台树，右边窗口显示监视结果。左边窗口为控制台树，右边窗口显示监视结果。2.添加计数器添加计数器3.设置警报设置警报在控制台树中的在控制台树中的“性能日性能日志和警报志和警报”中选择中选择“警警报报”使用菜单使用菜单“操操作作”=“新的警报设新的

16、警报设置置”可设置警报和警报可设置警报和警报方式。步骤如图：方式。步骤如图： 8.3.3 8.3.3 本地安全策略本地安全策略1.1. 帐户策略帐户策略帐户策略设置密码策略和帐户锁定策略。帐户策略设置密码策略和帐户锁定策略。2. 2. 本地策略本地策略本地策略包括审核策略、用户权利指派、安全选项。如图本地策略包括审核策略、用户权利指派、安全选项。如图8.128.123.3.公钥策略公钥策略公钥策略可以完成以下任务：公钥策略可以完成以下任务：（1 1）使计算机自动将证书请求提交到企业证书颁发机构并安装）使计算机自动将证书请求提交到企业证书颁发机构并安装颁发的证书。颁发的证书。（2 2）创建和发布

17、证书信任列表。）创建和发布证书信任列表。（3 3）建立常见的受信任的根证书颁发机构。）建立常见的受信任的根证书颁发机构。（4 4）添加加密数据恢复代理，并更改加密数据恢复策略设置。）添加加密数据恢复代理，并更改加密数据恢复策略设置。8.12 4. IP4. IP策略策略IPIP策略控制保证通策略控制保证通信安全的方式和信安全的方式和时间，打开如图时间，打开如图“安全服务器属安全服务器属性性”对话框。对话框。 8.4 8.4 网络的安全管理网络的安全管理8.4.1 8.4.1 网络安全的定义和评估网络安全的定义和评估1.1.网络安全的定义网络安全的定义计算机网络安全是指网络系统中硬件、软件和各种

18、数据的安全，计算机网络安全是指网络系统中硬件、软件和各种数据的安全，有效防止各种资源被有意或无意地破坏、非法使用。有效防止各种资源被有意或无意地破坏、非法使用。网络安全管理的目标是保证网络中的信息安全，整个系统应能满网络安全管理的目标是保证网络中的信息安全，整个系统应能满足以下要求：足以下要求：（1 1）保证数据的完整性。）保证数据的完整性。（2 2）保证系统的保密性。）保证系统的保密性。（3 3）保证数据的可获性。）保证数据的可获性。（4 4）信息的不可抵赖性。）信息的不可抵赖性。（5 5）信息的可信任性。）信息的可信任性。2.网络安全的评估网络安全的评估8.4.2网络安全的主要威胁网络安全

19、的主要威胁1.威胁数据完整性的主要因素威胁数据完整性的主要因素（1）人员因素。）人员因素。（2）灾难因素。）灾难因素。（3）逻辑问题。）逻辑问题。（4）硬件故障。）硬件故障。（5）网络故障。）网络故障。2.威胁数据保密性的主要因素威胁数据保密性的主要因素（1）直接威胁。）直接威胁。（2）线缆连接。）线缆连接。（3）身份鉴别。）身份鉴别。（4 4）编程。）编程。（5 5）系统漏洞。）系统漏洞。8.4.3 8.4.3 网络安全的技术保障网络安全的技术保障1.1.物理安全物理安全物理安全主要防止对网络设备和传输介质等的意外损坏或非法物理安全主要防止对网络设备和传输介质等的意外损坏或非法使用。保证物理

20、安全的主要措施有：使用。保证物理安全的主要措施有：（1 1）所有的网络节点有保护措施，不允许随便接触。）所有的网络节点有保护措施，不允许随便接触。（2 2）网络设备安装在安全场所并远离危险建筑物。）网络设备安装在安全场所并远离危险建筑物。（3 3）重要的网络设备和服务器等要配备）重要的网络设备和服务器等要配备UPSUPS并有电源备份。并有电源备份。（4 4）机房有火灾报警设施和灭火器材。）机房有火灾报警设施和灭火器材。（5 5）电源的保护接地符合有关标准，一般小于）电源的保护接地符合有关标准，一般小于5 5欧姆。欧姆。（6 6）室外电缆或光缆要有明确的标志，架空或深埋要符合安全）室外电缆或光缆

21、要有明确的标志，架空或深埋要符合安全要求。要求。（7 7）系统的备份磁带、光盘等要放在主机房以外的安全地方）系统的备份磁带、光盘等要放在主机房以外的安全地方2.2.访问控制访问控制访问控制识别并验证用户的身份，将用户限制于已授权的活动，访访问控制识别并验证用户的身份，将用户限制于已授权的活动，访问许可的资源。问许可的资源。口令安全是访问控制中最需要重视的，以下口令是不建议使用的：口令安全是访问控制中最需要重视的，以下口令是不建议使用的：（1 1）口令和用户名相同。）口令和用户名相同。（2 2）口令为用户名中的某几个邻近的数字或字母。）口令为用户名中的某几个邻近的数字或字母。（3 3）口令为连续

22、或相同的字母或数字。）口令为连续或相同的字母或数字。（4 4）将用户颠倒或加前后缀作为口令。）将用户颠倒或加前后缀作为口令。（5 5）使用姓氏的拼音或单位名称的缩写作为口令。）使用姓氏的拼音或单位名称的缩写作为口令。（6 6）使用自己或亲友的生日作为口令。）使用自己或亲友的生日作为口令。（7 7）使用常用英文单词作为口令。）使用常用英文单词作为口令。（8 8）口令长度小于）口令长度小于6 6位数。位数。3.3.传输安全传输安全传输安全要求保护网络上传输的信息，防止被窃取或修改。传输安全要求保护网络上传输的信息，防止被窃取或修改。8.4.4 8.4.4 网络安全的关键技术网络安全的关键技术1.1

23、.数据加密技术数据加密技术信息加密是保障信息安全的最基本、最核心的技术措施和理论信息加密是保障信息安全的最基本、最核心的技术措施和理论基础。基础。2.2.信息确认技术信息确认技术信息确认技术通过严格限定信息的共享范围来达到防止信息被信息确认技术通过严格限定信息的共享范围来达到防止信息被非法伪造，篡改和假冒。一个安全的信息确认方案应该能使：非法伪造，篡改和假冒。一个安全的信息确认方案应该能使：a.a.合法的接收者能够验证他收到的消息是否真实；合法的接收者能够验证他收到的消息是否真实；b.b.发信者无法抵赖自己发出的消息；发信者无法抵赖自己发出的消息；c.c.除合法发信者外，别人无法伪造消息；除合法发信者外，别人无法伪造消息；d.d.发生争执时可由第三人仲裁。发生争执时可由第三人仲裁。3.3.防火墙技术防火墙技术防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，