网络管理与网络安全.docx
《网络管理与网络安全.docx》由会员分享,可在线阅读,更多相关《网络管理与网络安全.docx(52页珍藏版)》请在冰点文库上搜索。
网络管理与网络安全
项目八网络管理与网络安全
项目描述
项目背景
某公司网络规模不断扩大,网络结构的复杂性不断增强,必须提升网络管理水平,确保网络稳定、可靠和安全运行。
项目目标
通过SNMP(SimpleNetworkManagementProtocal,简单网络管理协议)服务、网络扫描、防火墙安装和使用等方法和手段,及时进行网络管理、网络维护、网络处理,保证网络正常运行,提高网络性能,确保网络数据的可用性、完整性和保密性。
任务一SNMP服务的安装、配置与测试
任务描述
在安装了Windows操作系统的计算机上安装、配置SNMP服务,实现SNMP网络管理:
用主机名和IP地址识别管理工作站(报告和接受);处理来自SNMP管理系统的状态信息请求;在发生陷阱时,将陷阱报告给一个或多个管理工作站。
任务目标
通过安装、配置SNMP服务,在网络的另一台计算机上创建网络管理工作站,实现SNMP网络管理。
工作过程
1、安装SNMP服务
(1)从“控制面板”→“添加/删除程序”→“添加/删除Windows组件”,出现“Windows组件向导”对话框,如图8-1
图8-1
(2)勾选“管理和监视工具”,单击“详细信息”,在弹出的对话框中勾选“简单网络管理协议(SNMP)”,如图8-2
图8-2
(3)单击“确定”按钮,返回Windows组件安装向导,并单击“下一步”按钮,直至安装完成,如图8-3
图8-3
2、配置SNMP服务
(1)依次单击“开始”“管理工具”“服务”,可以看到SNMPService和SNMPTrapService两个服务都已经安装并启动,如图8-4
图8-4
(2)右击SNMPService,在弹出的快捷菜单中选择“属性”命令,出现对话框,如图8-5
图8-5
(3)在“代理”选项卡中配置“联系人”和“位置”内容,如图8-6
图8-6
(4)在“陷阱”选项卡中,填入团体,名称“public”,如图8-7
图8-7
(5)单击“添加到列表”按钮,则陷阱目标中“添加”按钮显亮。
单击“添加”按钮,弹出“SNMP服务配置”对话框,填入陷阱目标IP地址,即网管工作站IP地址,单击“添加”,如图8-8
图8-8
(6)切换到“安全”选项卡,在“接受团体名称”框中,单击“添加”按钮,在弹出的对话框中选择团体权限并填入陷阱目标IP地址,如图8-9
图8-9
(7)单击“添加”按钮,返回“SNMPService属性”对话框,选择“接受来自任何主机的SNMP数据包”单选按钮,并单击“确定”按钮,则SNMP服务配置完成。
3、测试SNMP服务
当安装SNMP服务后,可以在网络的另一台计算机上创建网络管理工作站,实现SNMP网络管理。
基于SNMP的网络管理软件很多,要测试SNMP服务是否实现并查看MIB(管理信息库,ManagementInformationBase)对象的值,最简单的方法是使用MIBBrowser。
MIBBrowser以树形结构浏览SNMPMIB变量的层次,并且可以浏览关于每个节点的额外信息。
可以编译标准的和私人的MIB文件,并且浏览多个在SNMP代理中可以使用的数据。
(1)从Internet下载MIBBrowser工具包。
(2)双击MIBBrowser.exe运行MIBBrowser,在MIB树型结构中选择要查看的MIB对象值,右击所选中的MIB对象,选择要进行的操作如“GetValue”,如图8-10
图8-10
(3)在弹出的SNMPGET对话框中,在Agent(addr)文本框中输入要查看的管理代理所在设备的IP地址,在Community文本框中输入管理代理所在的团体名,单击“GET”按钮,可以在Value文本框中看到要查看的相应MIB对象的值,如图8-11
图8-11
任务二网络扫描工具的使用
任务描述
ShadowSecurityScanner是一个功能强大的漏洞扫描工具,包括普通漏洞扫描、拒绝服务扫描(DoS)、自定义漏洞扫描(BaseSDK)。
要求:
使用SSS扫描器(ShadowSecurityScanner),
(1)扫描主机漏洞,
(2)进行拒绝服务扫描(DoS)。
任务目标
通过使用SSS扫描器进行主机漏洞扫描和DoS扫描,提高网络安全性。
工作过程
1、下载并安装SSS扫描器软件。
2、启动SSS扫描器软件,进入ShadowSecurityScanner主界面,如图8-12
图8-12
3、选择“Tools”→“Options”命令,打开选项对话框,设置扫描线程数、使用何种模式进行扫描等,单击“OK”按钮,如图8-13
图8-13
4、点击主界面左侧的“Scanner”按钮,在弹出的对话框中指定漏洞扫描策略,选择“CompleteScan”项,(也可以编辑扫描策略),如图8-14
图8-14
5、单击“下一步”按钮,指定需要监测网络的范围,如图8-15
图8-15
6、单击“AddHost”按钮,输入主机IP地址、主机IP地址起止范围,或直接从文本文件中导入需要监测的网络范围,如图8-16
图8-16
7、单击“Add”按钮,即完成扫描参数设置,返回到主界面。
右击刚增加的需要扫描的主机,在弹出的快捷菜单中选择“StartScan”命令,如图8-17
图8-17
8、开始扫描,扫描结束后,显示扫描结果:
指定主机IP地址、主机名、开放的端口、提供的服务、共享的资源、用户以及存在的漏洞等信息,从中可以发现漏洞及其描述信息。
单击工具栏中的“Report”按钮,可以将刚才扫描的结果以文本报告方式保存。
如图8-18
图8-18
9、单击主界面左侧“DoSChecker”按钮,弹出DoS扫描设置对话框,如图8-19
图8-19
10、单击“HTTPStress”(HTTP压力测试)按钮,输入主机IP地址,并设置扫描线程、数据包大小等参数后,单击“Start”按钮,开始DoS攻击,如图8-20。
从中可以看到一个实时的测试反馈对话框,“ServerStatus”项表示服务器被测试的端口正处于运行状态,“Request”项是测试发包的数量。
通过以上模拟DoS攻击,可以测试Web服务器的稳定性。
图8-20
任务三防火墙的安装与使用
任务描述
安装和配置瑞星个人防火墙,要求:
1.IP包过滤:
在“IP规则”中,放行与VPN有关的所有IP包;禁止BT下载的所有IP包;禁止ping入收到的IP包;2.IP包过滤:
在“端口开关”中,禁止远程打印服务;3.IP包过滤:
在“黑白名单设置”中,将IP地址范围192.178.66.30——192.178.66.80的计算机列入黑名单禁止访问本机;4.恶意网址拦截:
在“网站黑白名单设置”中,将谷歌网址列入黑名单;5.ARP欺骗防御:
在“防御范围”中,对本机所在网络的网关IP地址进行防御;6.ARP欺骗防御:
在“ARP静态规则”中,对本机IP地址进行防御;7.网络攻击拦截:
在“网络攻击拦截”中,自动禁止与攻击计算机通讯时间设置为15分钟;
任务目标
安装瑞星个人防火墙,通过适宜的安全策略和规则配置,实现增强网络安全性之目的。
工作过程
1、下载瑞星个人防火墙软件,根据安装向导进行逐步安装,直至安装完成。
2、启动瑞星个人防火墙软件,主界面如图8-21
图8-21
3、单击“设置”按钮,进入“瑞星个人防火墙设置”界面进行设置,如图8-22
图8-22
4、IP包过滤:
在“IP规则”中,放行与VPN有关的所有IP包;禁止BT下载的所有IP包;禁止ping入收到的IP包;如图8-23
图8-23
5、IP包过滤:
在“端口开关”中,禁止远程打印服务;如图8-24
图8-24
6、IP包过滤:
在“黑白名单设置”中,将IP地址范围192.178.66.30——192.178.66.80的计算机列入黑名单禁止访问本机;如图8-25
图8-25
7、恶意网址拦截:
在“网站黑白名单设置”中,将谷歌网址列入黑名单;如图8-26
图8-26
8、ARP欺骗防御:
在“防御范围”中,对本机所在网络的网关IP地址进行防御;如图8-27
图8-27
9、ARP欺骗防御:
在“ARP静态规则”中,对本机IP地址进行防御;如图8-28
图8-28
10、网络攻击拦截:
在“网络攻击拦截”中,自动禁止与攻击计算机通讯时间设置为15分钟;如图8-29
图8-29
相关知识
模块一.网络管理
随着计算机网络规模的不断扩大,复杂性不断增加,网络的异构性越来越高。
一个网络往往由若干个大大小小的子网组成,各子网采用的网络体系结构、网络操作系统平台、网络设备和通信设备都存在很大差异,同时,网络中还有各种各样的网络软件提供各种服务,随着用户对网络的性能要求越来越高,如果没有一个高效地网络管理系统,则很难向网络用户提供满意的服务。
因此,为了保证网络的畅通,迫切需要一个能对网络实行自动的监测、控制和管理的网络管理平台。
网络管理是计算机网络发展中的关键技术,网络管理的质量直接影响网络的运行效率。
一、网络管理概述
网络管理是指对网络的运行状态进行监测、组织和控制,使其能够持续、正常、稳定、安全、高效经济地提供服务。
其目标是使网络中的各种资源得到有效的利用,保证网络的持续正常运行,当网络出现故障时能及时响应和排除故障。
网络管理的核心是对网络资源的管理。
网络中的资源包括网络中的硬件、软件以及所提供的服务等。
1.网络管理的历史和发展趋势
计算机网络的管理,是伴随着1969年世界上第一个计算机网络阿帕网(ARPANET)的产生而产生的。
在TCP/IP技术早期,网络管理问题并未得到太大的重视,直到70年代,还一直没有网络管理协议,只有TCP/IP协议簇的子协议Internet控制消息协议(ICMP)成为当初网络管理所使用的主要协议。
与IP报头结合,ICMP消息可用来开发一些简单有效的管理工具,如广泛应用的Ping。
随着网络的发展,Ping功能已经不能满足对网络管理的需求。
1987年11月发布的简单网关监控协议(SGMP)成为第一个专门为网络管理提出的协议,该协议提出了直接监控网关的方法,之后逐步产生了三个网络管理协议:
高层实体管理系统(HEMS)、简单网络管理协议(SNMP)、公共管理信息协议(CMIP)。
目前,SNMP已成为网络管理领域中事实上的工业标准,并被广泛支持和应用。
大多数网络管理系统和平台都是基于SNMP的。
随着网络技术的不断发展,管理系统也必须能够提供动态的支持服务。
它必须提供足够的灵活性以管理网络的空前发展;它必须提高服务质量和市场化速度,同时降低运营成本;它必须能够管理智能网络中的各种网络元素和任何应用服务器。
因此,智能化、综合化和标准化是未来网络管理的发展趋势。
2.网络管理系统的组成
一个典型的网络管理系统主要由网络管理员、管理代理、管理信息库和被管资源4部分组成。
网络管理员(Manager):
定期查询管理代理采集到的被管设备的有关信息,如系统配置信息、运行状态信息和网络性能信息等。
网络管理员利用这些信息来判断整个网络、网络中的独立设备以及局部网络的运行状态是否正常,它是整个网络系统的核心。
管理代理(Agent):
网络设备的管理代理简称管理代理,它是驻留在网络设备(网络计算机、网络打印机、路由器、交换机等)上的一种特殊软件(或硬件)。
管理代理可以把网络管理员发出的命令按照标准的网络格式进行转化,收集网络设备的运行状况、设备特性、系统配置等相关信息,之后返回正确的响应。
在某些情况下,网络管理员也可以通过设置某个MIB对象来命令系统进行某种操作。
管理信息库:
管理信息的集合称为管理信息库MIB,它存储在被管设备上,由多个(可多达数千个)对象的各种数据信息组成,例如设备的配置信息、数据通信的统计信息、安全性信息和设备特有信息。
网络管理员可以通过直接控制这些数据对象去控制、配置或监控网络设备。
目前有几种MIB可以支持简单网络管理协议,使用最广泛、最通用的MIB是MIB-II。
为了利用不同的网络组件和技术,又开发了一些其它种类的MIB,它们在RFC中有所记录。
被管资源:
网络中所有可被管理的网络设备,如主机、工作站、文件服务器、打印服务器、终端服务器、路由器、交换器、集线器、网卡、网桥、中继器等。
3.网络管理模式
国际上的网络管理模式可以分为:
集中式网络管理、分布式网络管理、集中式与分布式管理模式的结合三种类型,这三种类型各有其优缺点。
(1)集中式网络管理
集中式网络管理模式是所有的管理代理在网络管理器的监视和控制下,协同工作实现集成的网络管理。
全网所有需要管理的数据,均存储在一个集中的数据库中。
这种系统的优点是网络管理系统处于高度集中、易于全面作出决断的最佳位置,网络升级时仅需要处理这一点,易于管理、维护和扩容。
它的缺点是一旦出现故障,将导致全网瘫痪。
此外建设网络管理系统的链路承载的业务量很大,有时将超出负荷能力。
采用这类管理方式的系统有HP公司的OpenView、CabletronSystems公司的Spectrum和Sun公司的NetManager等。
(2)分布式网络管理
将信息管理和智能判断分布到网络各处,将数据采集、监视以及管理分散开来,它可以从网络上的所有数据源采集数据而不必考虑网络的拓扑结构。
(3)集中式与分布式管理模式的结合
部分集中、部分分布。
处理能力较强的中、小型计算机节点,仍按分布式管理模式配置,它们相互之间协同配合保证网络的基本运行。
同时在网络中又设置专门的网络管理节点,重点管理那些专用网络设备,同时也对全网的运行进行可能的监控。
二、网络管理功能
网络管理的目的是协调、保持网络系统的高效、可靠运行,当网络出现故障时,能及时报告和处理,国际标准化组织(ISO)建议网络管理应包含以下基本功能:
故障管理、计费管理、配置管理、性能管理和安全管理。
1.故障管理(FaultManagement)
故障管理是网络管理中最基本的功能之一,是指系统出现异常情况时的管理操作,简单地说,就是尽可能快地找出故障发生的确切位置并进行恢复。
其目标是自动监测、记录网络故障并通知用户,以便网络有效地运行。
故障管理包括故障的诊断、隔离和纠正3个方面。
其主要内容是检测、定位和排除网络软件和硬件中出现的故障。
故障管理系统通常包括以下几个基本功能模块:
(1)检测故障:
通过收集管理对象的有关数据,以确定故障位置和性质。
对网络组成部件状态的监测是网络故障检测的依据。
(2)隔离故障:
将网络其他部分与故障部分隔离,以确保网络其他部分能不受干扰继续运行,这可以通过诊断、测试辨别故障根源,对根源故障进行隔离。
(3)故障修复:
不严重的简单故障或偶然出现的错误通常由网络设备通过本身具有的故障检测、诊断和恢复措施予以解决,而严重一些的故障则需要发出报警。
网络管理器必须具备快速和可靠的故障监测、诊断和恢复能力。
(4)记录故障的监测及其结果。
2.计费管理(AccountingManagement)
计费管理负责记录网络资源的使用情况,以便控制和监测网络操作的费用和代价。
计费管理对一些公共商业网络尤为重要,它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源,网络管理员还可以规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源。
为了实现合理的计费,计费管理必须和性能管理相结合。
计费管理包括以下几个主要功能:
(1)计算网络建设及运营成本,主要成本包括网络设备器材成本、网络服务成本、人工费用等。
(2)统计网络及其所包含的资源的利用率,为确定各种业务在不同时间段的计费标准提供依据。
(3)联机收集计费数据。
根据采集的拨号数据统计通信线路的使用次数、传送的信息量等,并把这些数据存储在用户帐目中,以供用户查询以及核算、统计之用。
(4)计算用户应支付的网络服务费用。
(5)账单管理。
保存收费账单及必要的原始数据,以备用户查询和置疑。
3.配置管理(ConfigurationManagement)
配置管理就是定义、收集、监测和管理系统的配置参数,其目标是为了实现特定的网络功能,或者是使网络的性能达到最优。
配置管理的目的在于随时了解系统网络的拓扑结构以及所交换的信息。
配置管理的功能包括识别被管理网络的拓扑结构、监视网络设备的运行状态和参数、自动修改指定设备的配置、动态维护网络配置数据库、根据请求向网管中心反馈特定的数据等内容。
4.性能管理(PerformanceManagement)
性能管理的主要内容是收集和统计数据(如网络的吞吐量、用户的响应时间和线路的利用率等),以便评价网络资源的运行状况和通信效率等系统性能,平衡系统之间的负载。
性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下,确保网络能提供可靠、连续的通信能力,并使网络资源的使用达到最优化的程度。
网络性能管理的目标是通过对系统有关性能参数的实时监控、调整和优化管理,使系统不仅有较高的应用服务质量,也能有合理的系统资源利用率。
性能管理的结果可能会触发某个诊断测试过程,或者引起网络重新配置以维持网络预定的性能。
性能管理的主要功能有:
(1)收集和统计被管对象的各种性能参数。
(2)对当前数据进行统计分析,检测性能故障,产生性能报警,报告与性能有关的事件。
(3)当前数据与历史模型相比较,做出趋势预测。
(4)形成和改进网络性能评价的规则和模型。
5.安全管理(SecurityManagement)
安全管理是指按照本地的要求来控制对网络资源的访问,以保证网络不被侵害(有意识的或无意识的),并保证重要信息不能被未授权用户访问。
其主要内容是对网络资源和信息访问进行约束和控制,包括验证和控制网络用户的访问权限和优先级,同时还应检测和记录XX的用户对网络实施的非正常企图和操作。
三、简单网络管理协议
协议是一套保证数据传送和接收的规则,网络管理系统中最重要的部分就是网络协议,它定义了网络管理器与管理代理之间的通信方法。
目前最有影响的网络管理协议有两个:
一个是简单网络管理协议,另一个是公共管理信息服务和公共管理信息协议(CMIS/CMIP)。
ISO早在提出OSI/RM的同时,就提出了网络管理标准的框架,并制定了基于开放系统互连参考模型的CMIS/CMIP。
然而由于种种原因,符合OSI网络管理标准的可供实用的产品几乎没有。
后来,Internet工程任务组(IETF)为了管理以几何级数增长的Internet,决定采用基于OSI的CMIP协议作为Internet的管理协议,并对它作了修改,修改后的协议被称作CMOT。
但由于CMOT迟迟未能出台,IETF决定把已有的SGMP进一步修改后,作为临时的解决方案,这个在SGMP基础上开发的解决方案就是SNMP,也称SNMPv1。
SNMPv1最大的一个优点就是简单,比较容易在大型网络中实现且成本低,即使在被管理设备发生严重错误时,也不会影响管理者的正常工作。
这体现了实现网络管理系统的一个重要准则,即网络管理功能的实现对网络正常功能的影响要越小越好。
它的另一个优点是可扩展性,SNMP可管理绝大部分符合Internet标准的设备,通过定义新的被管理对象,可以非常方便地扩展管理能力。
近年来,SNMP发展很快,并得到了众多网络产品生产厂家的广泛支持,使之成为事实上的网络管理工业标准。
支持SNMP的产品中最流行的是IBM公司的NetView、Cabletron公司的Spectrum和HP公司的OpenView。
除此之外,许多其他生产网络通信设备的厂家,如Cisco、Crosscomm、Proteon、Hughes等也都提供基于SNMP的实现方法。
相对于OSI标准,SNMP简单而实用。
如同TCP/IP协议簇的其它协议一样,开始的SNMP没有考虑安全问题,为此许多用户和厂商提出了修改SNMPv1,增加安全模块的要求。
IETF也在1992年开始了SNMPv2的开发工作。
它当时宣布计划中的第二版将在提高安全性和更有效地传递管理信息方面加以改进,具体包括提供验证、加密和时间同步机制以及GetBulk操作提供一次取回大量数据的能力等。
不过,由于种种原因,只形成了现在的SNMPv2草案标准。
1997年4月,IETF成立了SNMPv3工作组。
SNMPv3的重点是安全、可管理的体系结构和远程配置。
目前SNMPv3已经是IETF提议的标准,并得到了供应商们的强有力支持。
由于SNMP首先是IETF的研究小组为了解决在Internet上的路由器管理问题提出的,因此许多人认为SNMP在IP上运行的原因是Internet使用的是TCP/IP协议,但事实上,SNMP是被设计成与协议无关的,所以它可以在IP、IPX、AppleTalk、OSI以及其他用到的传输协议上使用。
SNMP是由一系列协议和规范组成的,它们提供了一种从网络上的设备中收集网络管理信息的方法。
从被管理设备中收集数据有两种方法:
一种是轮询方法,另一种是基于中断的方法。
SNMP使用嵌入到网络设备中的管理代理来收集网络的通信信息和有关网络设备的统计数据。
管理代理不断地收集统计数据,并把这些数据记录到MIB中。
网络管理器通过向代理的MIB发出查询信号可以得到这些信息,这个过程就叫轮询。
轮询方法的缺点在于信息的实时性,尤其是错误的实时性。
多久轮询一次、轮询时选择什么样的设备顺序都会对轮询的结果产生影响。
轮询的间隔太小,会产生太多不必要的通信量,间隔太大,而且轮询时顺序不对,那么关于一些大的灾难性事件的通知又会太慢,这就违背了积极主动的网络管理目的。
与之相比,当有异常事件发生时,基于中断的方法可以立即通知网络管理工作站,实时性很强。
但这种方法也有缺点。
产生错误或自陷需要系统资源,如果自陷必须转发大量的信息,那么被管理设备可能不得不消耗更多的事件和系统资源来产生自陷,这将会影响到网络管理的主要功能。
SNMP设计为一种基于用户数据报协议UDP的应用层协议,是一种无连接协议,它采取客户/服务器模式。
客户进程在网络管理站上运行,称管理员(Manager)。
服务器进程在被管网络设备上运行,称为管理代理(Agent)。
SNMP利用UDP的两个端口(161和162)实现管理员和管理代理之间的管理信息交换。
UDP端口161用于数据收发,UDP端口162用于代理报警(即发送Trap报文)。
每一个支持SNMP的网络设备中都包含一个管理代理,此代理随时纪录网络设备的各种情况,管理员再通过SNMP通信协议查询或修改代理所纪录的信息。
从狭义上说SNMP就是指Manager和Agent之间的通信协议。
从广义上说SNMP是组成网络管理系统的框架和基本协议的统称。
SNMP的工作方式十分简单:
管理代理不断地收集统计数据,并把这些数据记录到MIB的数据结构中,每隔一段时间,管理员通过轮询所有代理来了解某些关键信息,一旦了解到了这些信息,管理员可以不再进行轮询。
同时,每个代理负责向管理员通知可能出现的异常事件,这些事件通过SNMPTrap消息传递。
如直接轮询报告该事件的代理或还轮询与该代理邻近的一些代理,以便取得更多有关该意外事件的特定信息。
由Trap导致的轮询有助于大量节省网络带宽,降低代理的响应时间,尤其是管理站不需要的管理信息不必通过网络传递,代理也可以不用频繁响应那些不感兴趣的请求。
SNMP的报文总是源自每个应用实体,报文中包括该应用实体所在的共同体的名字。
共同体名字是在管理进程和管理代理之间交换管理信息报文时使用的。
管理信息报文中包括以下两部分内容:
(1)共同体名,加上发送方的一些标识信息(附加信息),用以验证发送方确实是共同体中的
升级会员 