第五部分网络管理与性

1、第五部分 网络管理与1、网络管理性从技术的角度，网络管理被定义为对网络设备(如交换机、路由器、网桥和类似设备)的管理和对连接这些设备的线缆的管理。随着网络的日益复杂和扩大，如果网络没有一套安全可靠、功能强大的网络管理系统是不可可以很快的确定故障点和故障类型，问题就可。借助于网络管理系统，当网络出现故障时，并纠正过来。为了进行网络管理，大的网络产品生产商都开发了各自的网络管理，本方案选用 CISCO 公司网络设备，CISCO 网络管理该是 CISCO WORKS2000。通常提供以下功能：允许安全通信：进入局域网或网络的一个站在没有的情况下不能取得信息(信息)；另一个安全功能不允许非的管理站获取

2、管理信息；允许分层管理：提供双向的管理程序间的佳话功能，这就意味着可以使用分布式管理程序，它们可以进行交互、用作备份和共享公用管理数据；提供互连交换机和路由器的自动识别和自动供准确的物理网络简图；结构图，为 VLAN 设计和配置检查提提供按带宽、路径数目和指定的 VLAN 自动在交换机间选择最佳 VLAN 路径的功能；能充分利用交换机和路由器设备中的障排除提供详细的监视和分析功能；RMON，从而为在交换式网段上执行故提供设备配置和功能，在所有上提供相同的视图，无论台式机和MIS等网络管理员处于何处，他们都能看到相同的设备视图。该的最大缺点是价格昂贵，CISCO 的美金报价为 14993。从另外

3、一个角度讲CISCO 设备内建了 RMON 管理功能，可以通过 WWW、 net 和超级终端等方式，可以实现对网络设备进行配置和管理，我公司对此提供基本培训，具体培训细节见后面章节“培训”部分。所以从节约经费方面考虑，建议天成学院可暂不性问题。2、为了保证数据信息的可用性和完整性，在ranet 必须建立相应的策略和防护措施。防护措施详细地定义了如何保护各类资源，特别是网络信息服务系统和数据库系统，如何控制和解决系统管理、点，防止等。问题的途径主要有以下几点：技术、加密技术、防”技术来保证技术。ranet 的安全性。目前主要是采用“能完成如下功能：所有从网内到网外(或相反方向)的信息流，都必须经

4、过它；只有有本地安全策略所允许的信息流才能穿过它；系统本身不受信息穿越的影响。设计中的基本决策：第一，最重要的是体现政策(服务政策)，想要如何操作此系统，亦即是只允许连接ernet 所希望完成的任务通过，还是提供一个可计量的，可稽核的方式来将没有的访问排队、这种政策应当是这个机构有关保护机构的信息资源政策的延伸。第一种只允许想要的工作通过，比如通常某个只需要电子函件服务，则该可将设置为只允许电子函件通过，而FTP，WWW 等服务。第二种方式则允许多种业务通过，但可以设置一定的监测，计量，要求等。第二，想要什么级别的监测，备份和控制。对建立可接受的风险级别，便可形成一个要监测，允许，的，根据的要

5、求决定监测，备份，控制的级别。第三个问题是费用。定出计划方案所需费用非常重要，因为要以此决定还是自己完成。例如，一个完整的产品，在高端达十万，而在则为免费。例如，在CISC0 或类似的路由器上，随机所带的中含有这样的选项，可对所通过的业务进行一些设置，这就是一个 IP 级的。3、实现建立过的主要技术是在对网络的服务功能和拓扑结构仔细分析的基础上，在被保护网络周围通，硬件及管理措施的综合。实现所用的重要技术有：数据滤，应用网服务等。滤技术滤即是对数据流中的数据包进行有选择的过滤，属于网络层的1.技术。2. 应用网关技术应用网关(Application Gateway)技术，是建立在网络应用层上的

6、协议过滤、转发机制。它针对特别的网络应用服务协议指定数据过滤逻辑，并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时，将对数据包分析的结果及采取的措施做登录和统计，形成。服务技术服务(ProxyServer)是设置在3.系统的应用级编码。这种服ernet务准许员允许或特定的应用程序或一个应用的特定功能。前面谈到的滤技术与应用网关技术有一个共同的特点是：它们仅依据特定的逻辑检查是否允许特定的数据包通过，一旦特定的网络数据流满足逻辑，则内外的计算机系统内网络结构和运行状态内外计算机系统间应将建立直接的联系，因而保留了外部网络系统直接了解的可能。用层的“服务技术就是针对这一问题而引入的技术。”由两

7、个终止于服务上的“”来实现。外部计算机的网络链路只能达到服务，由此实现了内外计算机系统的。服务优点是在于可以将被保护网络的结构起来，这样显然增强了网络的安全性能。同时，4合型混合型服务还可以用于实施较强的数据流技术、过滤、和等功能。技术是将前面谈到的几种技术结合起来，生成高效率的、通用而且安全的滤法虽不太安全，但是效率较高，对于许多应用及协议来说，是透明和综合的；应用级网关效率较低，但比较安全；它支持的应用非常有限而且应用都必须进行专门设计，服务最复杂，但安全性也最高。如果将这几种技术结合起来，就会产生一个比较通用、安全和高效的提供处理所有协议、审计和责保护最重要的数据信息，：滤使用简单的过滤

8、规则，形成第一道防线；应用层网关等，便于灵活的配置和管理；服务是最后一道防线，负网络的和结构。的 Proxy Server、CheckPo产品主要包括 Netsc的 CheckPoFireWall_1 及 Harris 的 CyberGuard Firewall、CISCO 的PIX 和 NetEye 等。需明的是，性问题在世界范围内并没有完全解决，无论采用哪安全性，都不能保证绝对安全，只是安全级别的要求。4、天成学院网络的安全性考虑通常提供了更为强大的。因此，采用多大的投资取决于对性程度功能，并且融合多种：网眼 NetEye 2.0。网眼技术于一身。在民网部NetEye2.0 是通过对分这里

9、国处使用东大阿尔派产品的综合分析，针对国家的具体应用环境，结合国骨外领域里的最新发展，在网眼NetEye1.0 的基础上，一种具有强大的信息分析功能、高效包过滤功能、多种反电子细描述如下：(1) 系统特性、多种安全措施综合运用的安全可靠的系统。详强大的网眼会话状态的滤功能NetEye2.0，提高了部分实现了 Seful滤功能，实现了对 TCP 连接和 UDP滤系统的性能和安全性。提供了滤规则的时间属性，以限制网络的时间。对应用层的信息过滤功能用户可以通过编辑“”和“白”设置“用户的站点”和“仅允许访的 URL 列表，防火问的站点”，同时还可以建立 URL 级的限制，通过建立用户墙可以对该列表进

10、行匹配，到系统日志中。双机热备份对列表中的 URL。限制规则的企图将被为了保证网络的高可用性，NetEye2.0 提供了双机热备份功能，即在同一个网络节点使用两个配置相同的。正常情况下一个处于工作状态，另一个处于备份状态，当工作状态的系统出现故障时，备份状态的换过程不需要人为操作和除两个双向 NAT 功能自动切换到工作状态，以外的其他系统的参与。网络的正常使用。切支持在网和 DMZ 区使用保留的 IP 地址，通过动态的地址转换功能实NetEye现对外部网的。同时 NetEye 以两种方式支持反向的 NAT：一是静态地址，即提供外部地址和地址的一对一转换，使保留 IP 地址的主机既可以外部网络，

11、也可以对外部提供服务。另一种可支持针对服务端口的一对多，即的多个机器可以通过一个外部有效地址外部网络，同时的多台机器可以分别到该地址的若干个端口，通过这些端口对外部提供服务。这可更有效地利用 IP 资源，并肯提供更好的安全性。基于网络 IP 和 MAC 地址绑定的滤每一个网卡的 MAC 地址都是同网卡一一对应。对于网络协议为 TXPIP 的两台设备进行通讯时，网络接口具有网络 IP 地址，网眼它的 MAC 地址进行绑定的功能，这样在 NetEye的 MAC 地址一一对应的关系，因此通过网 NetEyeNetEye 提供将网络接口的 IP 地址同就建立了网卡的 IP 地址同网卡就实现了 IP 地

12、址同网卡的 MAC 地址即网卡的绑定，使得即使盗用 IP 地址，也因MAC 地址不匹配而盗用失败。DMZ 区设置提供界面，即内网、和 DMZ 区。能通过管理程序对三个区NetEye域部的通讯进行(即三界面中直接控制、通讯情况及内容、日志审计。三界面间可以设置成网桥模式的主机处于相同子网)也可以设置成路由模式(即三界面中直接的主机处于不同子网，起到三界面间的路由器的作用)。实时检测在充分分析了 DoS的原理和作用范围的基础上，NetEye在部分实现了行为进行识别，智能化的 并根据各种面识别和防范模块，该模块是根据模式匹配的理论对网络上的采取不同的措施保护被的主机。象可视化的规则编辑和管理工具中的

13、控制规则和编辑则是管理员实施其安全策略的关键的配置，特别是规则的制订和描述方法对于晦涩难懂，棵专业很难配置。NetEye2.0 提出了全新的可视化的管理和配置概念。NetEye 的管理工具提供了友好的 GUI 界面，可以在网络的逻辑图上通过鼠标点击和拖拽完成对网络上的对象进行控制的配置。用户可以直接指定所期望的控制结果，而控制结果在图上一目了然，不需要根据规则进行控制结果的推断。NetEye检测(IDS 与日志服务器Detection System，简写 IDS)是基于模式匹配和统计分析的原理对网ru络上流通的信息进行实时的，发现行为和网络异常现象。除检测外，IDS 提供丰富的网络状态工具，如

14、网络连接状态分析、统计分析、网络广播分析、服务器识别等。NetEye 日志服务器对网络流通的数据进行完整的，可对网络上的任何细节进行分析和，NetEye 的日志分析模块实现了从统计分析到内容查看和检索等功能。基于信息内容的实时大部分只能够对数据包的包头信息进行过滤，无法过滤信息包的包体内容，大多不能提供对网络信息内容的实后分析和处理，而网眼NetEye2.0 不仅提供了基本的滤功能而且提供给用户对网络中数据包实时分析的功能，用户可以关键字方式查看网络中某段时间范围内饮食该关键字的数据包的情况及内容，从而可以针对该数据包的一些我制定相应的措施，也可以实时将网络中所有通过的信息的当事人的责任。上全

15、部再现。同时可以对一些用户认为不合法的数据包，以便过后用户的口令验证NetEye2.0 的控制功能除了可根据用户的 IP 地址进行限制外，还可根据用户的进行限制，并提供了丰富的验证。当需要认证的网络数据包到达时，NetEye2.0 通过对该数据包的主机发送专门的认证请求，激活客户端的认证程序。认证程序提示用户输令，接受口令并以发送给对用户名和口令进行验证，其通过。如果符合安全策略定义，则允许原数据包通过，否则网络数据的事后分析及处理或除了对已知的进行防范外，还配备了完善的日志系统和分析、NetEye工具，用于进行事故告警发生后的恢复和对行为的再现和追踪。当出现异常事件时，根据管理员配置，提供发送邮件，管理界面弹出警告，管理主机声音提示等方式。流量控制和流量统计对通过该设备的网络流量进行控制，防止某些 IP 占用过大的带宽。及 DMZ 区的数据进行基于 IP 和协议的流量统计，并输出报表。对出入内、基于实现网络计费系统集成了网络计费的功能，计费系统的网眼来源于系统不影响外部数据通道的任何性能，不会对网络性能造成任何影响。度费公式、度费费率规则、规则设置灵活，适应各种不同的计费要求。计费系统与(2) 产品的技术水平系统相结合具有高度的安全性。该产品加载到东学网络中心，进行了长时间测试，其系统的可靠性、稳定性和执