网络管理的分类
根据网络管理功能分类,大致可分为下面几类:
一、网络安全管理
二、网络故障管理
三、网络配置管理
四、网络性能管理
五、网络计费管理
网络安全管理
随着互联网技术的迅猛发展和企业技术信息在网络的广泛应用,网络安全管理日益变
得重要且必不可少,安全问题不仅关系一个企业的核心竞争力,甚至和一个国家的国防
息息相关。在国外,网络管理产品发展比较成熟,起步较早,因此成为国内开发商纷
纷借鉴和效仿的对象,不可否认,在国内同样涌现出一些高质量的自成一体的网络管
理软件产品,如信息安全管理-网路岗(softbar.com)等。总之,网络安全管理已成为
网络管理人员必备素质,没有安全的网络隐患无穷,是一颗定时炸弹!
网络故障管理
大家知道,网络服务发生意外中断是常见的,这种意外在某些重要的时候可能会对社
会或生产带来很大的影响。在大型计算机网络中,当发生失效故障时,往往不能轻
易、具体地确定故障所在的准确位置,而需要相关技术上的支持。因此,需要有一个
故障管理系统,科学地管理网络发生的所有故障。
网络配置管理
网络的运行效率固然和网络的设备质量有关,但是,同样的硬件设备,如果不能有效
配置,运行效率很可能回很低。一个实现中使用的计算机网络是由多个厂家提供的产
品、设备相互连接而成的,因此各设备需要相互了解和适应与其发生关系的其它设备
的系统参数、状态等信息,否则就不能有效甚至正常工作。
网络性能管理
由于网络资源的有限性,因此最理想的是在使用最少的网络资源和具有最小通信费用的
前提下,网络提供持续、可靠的通信能力,并使网络资源的使用达到最优化的程度。
网络计费管理
目前以硬件计费产品为主,相对来讲,硬件给人感觉更可靠。网络计费在某些网络环境
下是必须的。当计算机网络系统中的信息资源是有偿使用的情况下,需要能够记录和统
计哪些用户利用哪条通信线路传输了多少信息,以及做的是什么工作等。在非商业化的
网络上,仍然需要统计各条线路工作的繁闲情况和不同资源的利用情况,以供决策参考。
企业网络管理要点及观念
一、企业网络管理要点
根据企业的规模、网络设备多少、it支持人员素质,来确定网络管理目标,是局限于网络设备,对各个路由器、交换机实施单点监控,还是要管理全部的资源,针对网络、系统、应用、数据库等各个层面实施统一、完全的管理。
带内网管还是带外网管
带外网管是指通过专门的网管通道(由路由器来完成)实现对网络的管理,将网管数据与业务数据分开,为网管数据建立独立通道。在这个通道中,只传输重要管理数据、敏感的统计信息、实时计费信息等,网管数据与业务数据分离,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。
二、网络管理观念
网络管理涉及到的技术问题和非技术问题很多,而且范围很广。要把所有的问题都完全解决,做到尽善尽美是不可能的。所以我对于网络管理工作的观念是:“认清方向、明确目的、突出重点”。
1) 认清方向
上文中已经谈到网络管理的真正“对手”是人们的认识和观念。如果这一命题尚能成立,则如何对付这个“对手”将是网络管理工作需要努力解决的大方向。诚然“认识和观念”这样一个强劲的“对手”是不可能击败的。我们能做的仅仅是对它进行“同化”,使其从“对手”变为“支持者”,理解和支持网络管理工作。
现在科技的发展使世界进入了“信息时代”,在各行各业信息化已是大势所趋。网络作为信息应用的基础设施,发挥出越来越重要的作用。在这样的大环境下,只要做足工作,网络管理必将得到人们的充分认识和足够的重视。
2) 明确目的
上文中曾经谈到:网络管理的根本目的是为网络用户服务。所以在网络管理工作中应该充分贯彻这一根本目的。其中包含有两层意义:
一方面网络管理要配合用户的应用需求。脱离应用需要的网络管理是没有意义的。网络管理要能够方便用户的工作,而且又要能有效保护用户的工作成果,比如保障网络的可靠和安全,比如保障网上数据的准确性和可信度。
另一方面要给与网络用户以充足的技术支持和良好的服务。网络用户并不是网络的技术专家,但他们的工作经常要操作网络,网络管理人员应该为用户提供网络操作的技术支持,协助用户顺利的、正确的操作网络。
我的观念是要在网络管理工作中倡导服务意识。面对这如此丰富多样的而且日新月异的网络技术,如果没有良好的技术服务就难以推动网络的应用,网络将得不到发展。相反如果用户能在良好的技术支持下顺利方便地使用网络,网络也将得以发挥作用并得以发展。
三、未来企业网络管理模式
现在,企业管理的工作范围更加广泛,它要求直观可视,并能够尽可能预测性地采取一些与基础设施的任何部分相关的行动。 而网络管理已经变成了企业管理工作的一部分。可以说,企业管理系统其实就是一组工具,其中大多数都是独立的,只是都集成在一个框架周围,该框架将这些工具集成在一起,并用它们来提供一幅显示it基础设施的视图。
在使用企业管理工具的环境中,求助台技术员会提出考虑用户机器的软件库存和硬件配置。有了企业管理工具,这一软件安装过程就只需几分钟,而不是几个小时;解决问题也只需要一个
人而不是三个人。
搜索引擎中“网络管理”已成热门关键词
===================================================================================
国际金融报新闻:
近日,记者从北京3721注册中心英信网景科技有限公司了解到,与“网络管理”相关的热门名词已成为各网络管理软件公司抢注的目标。这是自3721公司的“关键词”服务推出几个月来,继“笔记本”、“手机”等热门词汇之后的又一公司抢注的“关键词”。“关键词”服务是3721公司今年2月推出的一项新服务,是实名搜索产品体系的一个组成部分。
===================================================================================
我们可以从以下几个方面解读:
1、网络管理产品逐渐丰富,竞争激烈,利润可观。
2、网络技术日益更新、网络资源异常丰富、网络故障频频发生,网络管理很难单靠网络管理人员独立完成,必须借助各类网络管理产品辅助解决。
3、企业对网络管理产品需求越来越大,网络安全管理已显得十分必要。
SCO TCP/IP 网络管理
作者:大鹰 更新时间:2005-04-28
看大家对SCO的讨论大都是对于系统管理方面的,所以我就写了这篇文章,关于SCO的TCP/IP的管理,希望对大家能有所帮助,就象这个栏目的开头写的,这是成为黑客的基础,还是要往网络管理的方向讨论啊!呵呵!
1 TCP/IP的启动
TCP/IP受/etc/tcp脚本文件的控制,在你进入多用户状态时启动,在你进入单用户状态时关闭/etc/tcp文件操作内容:他是一个脚本文件,其功能如下:
通过配置支持TCP/IP所必须的流设备来启动或关闭TCP/IP,并启动或关闭与TCP/IP相关的daemon.
以ROOT登录,使用命令行:TCP START或TCP STOP手工启动或关闭TCP/IP。
该文件与etc/rc2.d和/etc/rc0.d目录下的文件都有链连关系,使得/etc/tcp在系统进入或退出多用户状态时,可以运行START或STOP选项。无论你通过Network Confugration Manager 来增加还是删除一个网络接口,都会在脚本中增加或删除 ifconfig命令,修改/etc/tcp文件,同时导致/etc/strcf文件也被修改。下面列出了启动TCP/IP时系统的工作步骤:
。 Initializes STREAMS and sockets
。 Sets the host name
。 Configures Interfaces
。 Starts network daemons
。 Undoes all of the above on shurdown
/etc/tcp的操作:TCP/IP核心支持的配置仅需一次即可完成。主要包括TCP/IP所需的STREAMS模块栈的设置。
系统核心在引导时即设置STREAMS栈。前提条件即是在BOOT:提示符下不用 ksl.disable引导串。设置STREAMS栈时,/etc/tcp脚本文件会调用slink命令,在进行任何其他设置或启动之前先建立STREAMS栈.
前一篇我们讲到了ifconfig 这个命令,它除了用于初始化网络接口外,还可以用来进行其他临时性的配置,如临时取消一些网络接口的使用。下面是ifconfig命令的语法事例。
Configuring Interfaces:
# /etc/ifconfig lo0 127.0.0.1 perf 57344 57344 1
# /etc/ifconfig -p net0 200.100.50.1 netmask 255.255.255.0
>broadcast 200.100.50.255 perf 24576 24576 1
Listing Interfaces:
# /etc/ifconfgi -a
net1: flags=4043>UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 200.100.50.2 netmask ffffff00 broadcast 200.100.50.255
perf. params: recv size: 24576; send size:24576;full-size frames: 1
lo0: flags=4049>UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
inet 127.0.0.1 netmask ff000000
perf. params: recv size: 57344; send size: 57344; full-size frames:1
ppp0: flags=4071>UP,POINTOPOINT,WANTIOCTLS,RUNNING,MULTICAST> mtu 1500
inet 200.100.50.3 --> 200.100.50.200 netmask ffffff00
perf. params: recv size: 4096;send size:8192; full-size frames: 1
注意。你可以针对每一个网络接口使用一个ifconfig命令,也可以对loopback接口使用ifconfig命令。
系统维护时的/etc/tcp操作:在系统维护状态下。/etc/tcp还可以完趁个以下功能。使你可以在具有相同网络号的其他系统中运行TCP/IP命令。
启动strerr(ADM)daemon:自动将出错信息记录到/usr/adm/syslog文件中
运行maskreply(ADMN)命令:提醒其他系统有关你的系统屏蔽信息。
启动或重起syslogd(ADMN)daemon:将信息记录到日志文件中,这一daemon具有很好的可配置性,对于用户非系系统网络鼓掌很有帮助。syslogd默认的配置文件于/etc/syslog.conf文件中。
这次我们介绍一下在支持多用户条件下启动的TCP/IP守护进程(daemon)的一个概貌。如下:
Multiuser Daemons
Always started:
. inetd
Started if configuration file is present:
. pppd
. snmpd
. named
. gated
. xntpd
. lpd
Started if configuration file for alternative is nor present:
. routed
Started if uncommented and configuration file is present:
. irdd
. timed
. rwhod
. rarpd
以上所列出的都是一些守护进程,以d为结尾,其实都是些服务进程和协议,大家都很熟悉。
inetd : internet监控daemon(inetd)监听那些与/etc/inetd.conf中所列出的网络服务进程连接请求,并按要求启动这些进程。
pppd : Point-to-Point daemon (pppd)只有在你已经配置了/etc/ppphosts文件的条件下才会启动。
snmpd : "Simple Network Management Protocol(简单网络管理协议)大家应该并不陌生,用户只有配置了/etc/snmpd.cof文件才能启动。一旦这些文件配置完成,就可以将系统配置成SNMP客户端。
named : 当你配置好/etc/named.boot文件,就可以启动name daemon了。
routed或gated :启动gated前要配置/etc/gated.conf文件。否则在默认情况下routed会自动启动,可以通过修改/etc/gateways文件来改变routed的配置。
xntpd : internet计时守护进程,该进程通过使用internet上的时间服务器同步系统核心时钟。
lpd : 远程打印机 daemon。
还有一些daemon因为他们的启动代码被注解掉了,因此要启动它们,就必须编辑/etc/tcp 文件,解注它们的启动代码:如:irdd,timed,rwhod,rarpd。
TCP/IP的启动与关闭:关闭时要确定所有与TCP/IP有关的服务均已关闭,包括NFS和NIS。
键如命令:/etc/tcp stop来关闭TCP/IP,用/etc/tcp start来启动它,如果系统配置要求到两个最高级别的安全性,就要用sd命令,sd /etc/tcp start。
今天我们来讨论一个与INTERNET联系很大的守护进程:inetd。
在INTERNET发展的初期,每种服务在系统进入多用户状态时都要启动各自的daemon。随着可用服务的不断增加,系统进程表及RAM就会被那些很少用到的进程填满,使得系统性能降低。解决这个问题的方法就在于利用INTERNET监控daemon--inetd。
inetd是一个监听守护进程,他监听与提供INTERNET服务进程(如rlogin,telnet)进行连接的要求,并扩展所需的服务进程。默认情况下inetd监听的这些daemon均列于/etc/inetd.conf文件中,并可以通过inetd的命令行进行修改,大家可以在自己的UNIX机器上做做实验。学好UNIX并不是一味看书,一定要多多做实验,有了经验,自然就成为高手了,我不希望大家都是page engineer,呵呵!
编辑/etc/inetd.conf文件,可以改变inetd启动服务器守护进程的选项,然后驱使inetd以SIGHUP(signal 1)向当前的inetd进程发送信号,使inetd重读该文件。这一过程由kill命令来实现。
随着用户对系统使用的逐步深入,可能会用到那些不是/etc/inetd.conf文件的默认项的inetd启动服务,或者需要在该文件中加入一些新的选项以后启动这些服务。
让我们来看一个例子:你要用为系统增加一个由inetd启动的web服务器,就要创建如下选项:newd stream tcp nowait root /usr/local/bin/newd ; usr/local/lib/newd.conf此外,还要在/etc/services文件从第一列开始为httpd增加一个选项。假如newd用1023口,则该选项为:newd 1023 tcp。注意:不是所有的internet服务进程都需要用inetd启动。如果需要inetd启动,就必须遵从inetd协议。虽然你可以启动/etc/inetd.conf定义之外的一个daemon,但并不意味着你一定要用这种方式,比如,从inetd运行web服务器就会对系统产生较大的影响。
当你遇到C/S网络软件方面的问题时,通常很难断定这个问题是来自client,还是来自Server如果一台服务器在连网后或是从client收到信息后能够打印出诊断信息,你就可以用telnet送出服务器的信息。除了主机名或以数字表示的IP地址外,telnet还可以直接连接一个端口号。你可以用如下方法测试你的SMTP服务器:telnet localhost 25(试一下吧,呵呵!)
上一次我介绍了inetd守护进程,依我个人的感觉,这是一个很重要的进程,大家不是都想成为黑客级的网络高手吗?呵呵,很多的后门就是在依赖于它了,检查一下你/etc/inetd.conf文件,看看有没有被改过,或者有什么注释被去掉了,可能被入侵哦!呵呵。
好了,继续我们的讨论,今天讲讲FTP的配置问题。SCO Openserver Release 5配有FTP服务器daemon--ftpd,比旧版本功能更多更强,下面讲一下FTP的基本概念。目前最常用的INTERNET服务就是匿名FTP。这种服务可以让网上用户去访问匿名FTP服务器上的文件,而这些用户无须在这个FTP服务器上建立自己的帐户。有许多FTP服务器的配置是通过/etc/ftpaccess文件完成的。这个文件对管理员还是挺重要的,所以我列出了一个默认安装时的文件:
-----------------------------------------------------------------------
# @(#)$Id: ftpaccess,v 6.6 1993/09/08
# 20;44:05 stevea Exp $ - STREAMware TCP/IP
# source SCCS IDENTIFICATION
loginfails 3
class all real,guest,anonymous *
# class inside realguest,anonymous *.somedom.com
# class outside
real,guest,anonymous!*.somedom.com
# limit dead 0 Any
/archive/etc/msgs/msg.dead
# limit local 20 Any
/archive/etc/msgs/msg.toomany
# limit remote 100 SaSu|Any1800-0600
/archive/etc/msgs/msg.toomany
# limit remote 60 Any
/archive/etc/msgs/msg.toomany
readme README* login
readme README* cwd=*
banner /etc/issue
message /etc/msgs/mirrors.msg cwd=/mirrors
message /etc/msgs/welcome.msg login
message .message cwd=*
compress yes all
tar yes all
# log commands real
# log tarnsfers anonymous,real inbound,outbound
# shutdown /etc/shutmsg
--------------------------------------------------------------
按选项出现的先后顺序,我把文件个选项的意义归纳如下:
loginfails 该选项规定用户在登录到ftp服务器时,连续登录多少次失败,ftp会自动断,并让用户重新开始,该文件设的是3次。
class 规定用户的级别,如果该项定义为all,就表示任何用户(包括real,guest和anonymous)可以从任何地方登录,从安全性来考虑,应该把用户分为两个级别--domain内的用户及domain以外的用户,这样你可以限制后者对ftp服务器的访问以及这样用户的数量。
readme 该选项表示如果一个目录下的某一文件以README开始,在用户登录时或cd命令时,系统就会显示此文件上次被修改的时间,并提请用户阅读此文件。
Message 该选项与README的作用很相似。不同之处它是显示文件的内容。
Compress 该选项容许用户从你的系统上得到某一文件,并在传输之前对文件进行解压。
tar 该命令可以让用户只用一个命令即可以得到整个目录。
在ftpaccess文件中还可以规定其他选项,其中对网络完全性有用的是:passwd-check,
chmod,delete,overwrite,log commands,log transfers。在FTP的应用中,可以通过修改ftpuser文件来增加一些FTP的限制条件。这样可以控制访问FTP服务器的用户名。通常系统管理员会利用这一功能防止用户以root或其他一些敏感的帐户名访问你的资源。
前面我们讲了FTP的配置,它在网络管理里面也是比较重要的一个服务,下面我们讲一 下网络管理的另一个比较重要的概念,就是信任关系。还是拿NT来做对比,在NT里面,建立 了信任关系后,比如A信任B,在B里的帐户就可以在A登录了,这对于administrator和user 来说都是一个非常方便的事情。同样,在UNIX系统中也有这样的管理方式,了解这个管理方 式对你学习UNIX的网络很重要哦,欺骗(spoofing)技术就是利用这种管理方式的。
UNIX中的受托访问可以让用户更方便,更安全的利用企业网络,增强网络的安全性。 如果没有为rlogin命令配置受托访问,它会提示用户输入密码。这个密码会通过网络,甚至INTERNET来传输。含有这些密码的数据包就会很容易被识别和窃取。如果设置了受托访 问,就无需为rlogin设置密码。在没有受托访问的情况下,你甚至都无法使用rcmd和rcp命令。系统管理员有责任管理受托访问及用户等同。下面列出了为r命令和TCP实用程序:
rlogin Allows users to log into a remote host. If trusted access is set up.
no password is needed,otherwise a password is needed.
rcp Allows users to copy files from one host to another. Requires trusted
access.
telnet Similar to rlogin, only a user name and password are almost always
required, and trusted access is not consulted
ftp Similar to rcp, only a user name and password is always required and
trusted access is not consulted
受托主机访问的意义在于可以规定一台主机完全“信任”另一台主机上的用户。这些用户在那台主机上均有可识别的login名称,无需密码就可使用rlogin,rcp及rcmd命令。配置受托主机访问要以root登录到系统中。主要步骤是编辑/etc/hosts.equiv文件,必要时还要创建此文件。/etc/hosts.equiv文件中的每一选项规定的是那些有权访问该主机的远程系统。下面是一个该文件的例子:
--------------------------------------------------------------------------------
barbados
tortola bob
guam
--------------------------------------------------------------------------------
假设该文件是一台名为corfu的机器上的设置,它们的意义分别如下:
barbados
barbados机器上与corfu中有相同的用户名的用户有权访问corfu。也就是说,在barbados上的用户jane可以rlogin,rcp,rcmd到corfu的用户jane上,不需要给出 jane在corfu上的密码。 tortola bob 容许tortola上的用户bob可以用除root外的任何用户名访问corfu。不过,这是很危险的。 root帐户是永远都不能与/etc/hosts.equiv文件的选项等同的。如果你是在INTERNET上, 为了安全起见,应该用/etc/hosts.equiv文件授权的主机名。配置受托用户访问,就是指定
另一系统上的“可信任”用户,他们可以不用密码即可通过rlogin,rcmd及rcp命令访问本系统。与受托主机访问不同的饿是,受托用户访问可为用户在不同的机器上创建不同的login名称。系统管理员可以为用户设置这项功能,也可以交给用户自己去做。配置受托用户访问的主要步骤是在用户目录中创建或修改.rhosts文件。该文件必须是root或主目录所有者的,而且只有所有者才可以写此文件,否则任何更改都是无效的。.rhosts文件格式与/etc/hosts.equiv文件相同,但意义却不同,我们仍然可以以上面的例子来举例,假设那 些选项是corfu上用户jane的主目录下,则它的意义如下:
barbados
barbados上的用户jane是corfu上用户jane的授权用户,即前者可以jane这个名字rlogin,rcp,rcmd到corfu,而无需corfu上jane的密码。
tortola bob tortola上的用户bob是corfu上的用户jane的授权用户。即bob可以jane的名字rlogin,rcp,rcmd到corfu,只要使用社党的命令参数,不需要给出jane的密码。
无论系统执行rlogin命令,rcmd命令,还是rcp命令,系统会有一定的工作流程来确定是否已配置了受托访问。本地主机的受托访问通常经过以下步骤:1,用户发出前面提及的r类型命令。2,本地主机解析远程主机名,并获得它的IP地址。3,如果不能获得远程主机的IP地址,系统将显示错误信息:host_name:Host name lookup failure 。4,如果地道了远程主机的IP地址,r命令会通过TCP/IP与远程主机相连。
远程主机的受托访问通常经过以下步骤:
1,在密码数据库上寻找用户帐户名称。
2,如果在密码库没有找到帐户名,系统就不会执行rcmd和rcp命令。执行rlogin命令时则提示用户输入密码,然后显示该命令执行失败。
3,系统检查用户帐户是否有一个加密的密码。
4,如果该帐户没有密码,系统即执行r命令。但这样捉是很危险的。通常系统用户都应有自己的密码,尤其是与INTERNET相连的情况下更应注意这一点。
5,系统检查用户帐户名,判断该用户是否为root,如果不是,系统会检查/etc/host.equiv中是否有用户本地主机的名字。如果该文件中列出了本地主机名,系统开始执行r命令。
6,如果第五步中检查到用户为root,或者虽然不是root,而/etc/host.equiv中也没有列出主机名,系统会检查远程用户主目录的.rhosts文件,看看其中是否包括了本地主机名或者本地用户名,具体使用哪种名称,取决于r命令的被调用方式。
7,如果.rhosts文件包括了所需的选项,系统就执行r命令。
经过以前六篇文章,应该大概把TCP/IP管理介绍了很多,下面我就收个尾,把UNIX里的一些TCP/IP工具介绍一下,希望我的文章对大家有所帮助,后面我会接着写SCO的用户指南,让一些刚刚入门的朋友对SCO OPENSERVER有个大概的了解。
过多的网络负载也会导致网络性能的下降,大家要记住的几个数字:DETHERNET的理论最大传输速率为10Mbps。快速ETHERNET的理论最大传输速率为100Mbps。Token Ring的理论最大传输速率为4Mbps。Token Ring 2的理论最大传输速率为16Mbps.
有几种工具可以用于对网络性能的诊断。
ping-f:用法如下:
1,只可以在用户以root登录的情况下使用。
2,向目标系统大量传输ICMP包。
3,用来决定网卡或CPU是否可以被控制加载。
4,与-c选项公用,可以增加ICMP包的大小,以增加远程主机上的负载。通常测定一台远程主机的负载能力可按以下几步进行:
1,运行netstat命令,可以选用适当的参数,让系统示某一性能的运行情况。
2,记录你需要的数据。
3,执行ping -f -s packet-size remote-host命令,其中:packet-size是送出的ICMP包的大小。remote-host是接收数据包的主机。
4,再次运行netstat命令,并运用与第一步中相同的饿参数。
5,比较一下第二步与第四步中的系统数据。
netstat -i可以显示每个网络接口的相关数据,可以帮你诊断网络负载方面的问题。运行这一命令,你可以看到系统显示两列数据,一列名为Collis,一列名为Opkts。用COLLIS的数据除以OPKTS的数据,再乘以100,所得数字即这台机器所发出的数据包中引起数据错误的那部分的比例。如果此数字超过10%,表明系统负载过大。该命令显示的这些数据只有在重新引导系统时才可以重新设置。
netstat -s显示每个使用中的协议的数据包的状况。用以下方法可检查出错误数据:1,用ping -f向主机大量传诵数据包。2,用netstat -s检查系统统计数据。3,在ip,icmp,tcp,udp下检查出带有坏校验的值。4,用以上各项值分别除以所收到的数据包的总数,即为错误数据包的百分比。
一般情况下,错误数据包的比例应小于0.01%。
网络管理软件产品分类
根据目前市面上出现的网络管理软件产品,我们大致可以分为下面几类:
网络资产 Network inventory software
网络监控 Network monitoring
日志分析 Log analyzers
路由追踪 Network analysis
检测工具 Network testing
网络套件 Network solution
网络部署 Network design
动态DNS Dynamic DNS software
网络管理协议
网络管理系统中最重要的部分就是网络管理协议,它定义了网络管理器与被管代理间的通信方法。接下来让我们回顾一下网络管理协议的发展历史,并简单介绍几种网络管理协议。
在网络管理协议产生以前的相当长的时间里,管理者要学习各种从不同网络设备获取数据的方法。因为各个生产厂家使用专用的方法收集数据,相同功能的设备,不同的生产厂商提供的数据采集方法可能大相径庭。在这种情况下,制定一个行业标准的紧迫性越来越明显。
首先开始研究网络管理通信标准问题的是国际上最著名的国际标准化组织ISO,他们对网络管理的标准化工作始于1979年,主要针对OSI(开放系统互连)七层协议的传输环境而设计。
ISO的成果是CMIS(公共管理信息服务)和CMIP(公共管理信息协议)。CMIS支持管理进程和管理代理之间的通信要求,CMIP则是提供管理信息传输服务的应用层协议,二者规定了OSI系统的网络管理标准。基于OSI标准的产品有AT&T的Accumaster和DEC公司的EMA等,HP的OpenView最初也是按OSI标准设计的。
后来,Internet工程任务组(IETF)为了管理以几何级数增长的Internet,决定采用基于OSI的CMIP协议作为Internet的管理协议,并对它作了修改,修改后的协议被称作CMOT(Common Management OverTCP/IP)。但由于CMOT迟迟未能出台,IETF决定把已有的SGMP(简单网关监控协议)进一步修改后,作为临时的解决方案。这个在SGMP基础上开发的解决方案就是著名的SNMP(简单网络管理协议),也称SNMPv1。
SNMPv1最大的特点是简单性,容易实现且成本低。此外,它的特点还有:可伸缩性——SNMP可管理绝大部分符合Internet标准的设备;扩展性——通过定义新的“被管理对象”,可以非常方便地扩展管理能力;“健壮性”(Robust)——即使在被管理设备发生严重错误时,也不会影响管理者的正常工作。
近年来,SNMP发展很快,已经超越传统的TCP/IP环境,受到更为广泛的支持,成为网络管理方面事实上的标准。支持SNMP的产品中最流行的是IBM公司的NetView、Cabletron公司的Spectrum和HP公司的OpenView。除此之外,许多其他生产网络通信设备的厂家,如Cisco、Crosscomm、Proteon、Hughes等也都提供基于SNMP的实现方法。相对于OSI标准,SNMP简单而实用。
如同TCP/IP协议簇的其它协议一样,开始的SNMP没有考虑安全问题,为此许多用户和厂商提出了修改SNMPv1,增加安全模块的要求。于是,IETF在1992年雄心勃勃地开始了SNMPv2的开发工作。它当时宣布计划中的第二版将在提高安全性和更有效地传递管理信息方面加以改进,具体包括提供验证、加密和时间同步机制以及GETBULK操作提供一次取回大量数据的能力等。
SNMP协议
简单网络管理协议(SNMP)已经成为事实上的标准网络管理协议。由于SNMP首先是IETF的研究小组为了解决在Internet上的路由器管理问题提出的,因此许多人认为SNMP在IP上运行的原因是Internet运行的是TCP/IP协议,但事实上,SNMP是被设计成与协议无关的,所以它可以在IP、IPX、AppleTalk、OSI以及其他用到的传输协议上使用。
SNMP是由一系列协议组和规范组成的,它们提供了一种从网络上的设备中收集网络管理信息的方法。
从被管理设备中收集数据有两种方法:一种是轮询(polling-only)方法,另一种是基于中断(interrupt-based)的方法。
SNMP使用嵌入到网络设施中的代理软件来收集网络的通信信息和有关网络设备的统计数据。代理软件不断地收集统计数据,并把这些数据记录到一个管理信息库(MIB)中。网管员通过向代理的MIB发出查询信号可以得到这些信息,这个过程就叫轮询(polling)。为了能全面地查看一天的通信流量和变化率,管理人员必须不断地轮询SNMP代理,每分钟就轮询一次。这样,网管员可以使用SNMP来评价网络的运行状况,并揭示出通信的趋势,如哪一个网段接近通信负载的最大能力或正使通信出错等。先进的SNMP网管站甚至可以通过编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。
Common Management Information Protocol (CMIP ), an OSI standard, is used with the Common Management Information Services (CMIS) for the monitoring and control of heterogeneous networks. CMIS defines a system of network management information services. CMIP was proposed as a replacement for the less sophisticated Simple Network Management Protocol (SNMP) but has not been widely adopted. CMIP provides improved security and better reporting of unusual network conditions.
CMIP Over TCP/IP (CMOT) is the Network management using ISO CMIP to manage IP-based networks. CMOT defines a network management architecture that uses the International Organization for Standardization's (ISO) Common Management Information Services/Common Management Information Protocol (CMIS/CMIP) in the Internet. This architecture provides a means by which control and monitoring information can be exchanged between a manager and a remote network element. Ethernet Quick Guide:
The core knowledge about Ethernet LAN, VLAN, WAN/MAN on a portable guide.
Click here for more details. TCP/IP Quick Guide:
Portable guide for the daily use of whom is learning, using and creating TCP/IP technologies.
Protocol Structure - CMOT: CMIP over TCP/IP
The following seven protocols compose the CMOT protocol suite: ISO ACSE, ISO DIS ROSE, ISO CMIP, the lightweight presentation protocol (LPP), UDP, TCP, and IP.
The following six protocols compose the CMIP protocol suite: ISO ACSE, ISO DIS ROSE, ISO CMIP, ISO Presentation, ISO Session and ISO Transport.
网络管理的安全性
在互联网日益向社会各个角落渗透的今天,提高网络的防卫能力、保障网络安全已迫在眉睫。据统计约每20秒钟就有一次计算机入侵事件发生,全球每年因网络安全问题造成的经济损失高达数百亿美元。在我国,90%以上的网站存在安全漏洞,很多网站都曾受到过黑客的攻击和计算机病毒的侵害,给国家和企业造成了较大的损失。
影响网络安全的因素是多方面的,如计算机病毒的传播、黑客的破坏、管理人员的安全防范意识不强等。网络安全不仅是一个技术问题,而且还涉及到一个国家的军事、经济、政治等多方面的安全。因此,保障网络安全的对策也不是单一的,需要综合运用多种策略,最主要的是三个方面:安全法规,安全管理和安全技术。
目前,我国针对网络安全的立法和全国性的管理协调尚有欠缺,技术力量的培养和信息产业的发展亦存在不足,难以为网络安全建设提供相应的有力支持。而这些问题的解决,也不可能单纯的依靠某个或几个部门的力量来完成,因此,要解决网络的安全问题,就必须充分发挥我国政府的职能作用,加强网络安全立法,完善网络安全管理,大力发展网络安全技术。
推荐的网络管理书籍
《网管员必读——网络管理》
第1篇 Windows Server 2003网络管理基础篇
第1章 Windows Server 2003网络管理综述
1.1 Windows Server 2003网络管理功能概述
1.1.1 Windows Server 2003的主要网络管理功能
1.1.2 Windows Server 2003主要网络管理功能的改进
1.2 Windows Server 2003 Active Directory的改进
1.2.1 常见Active Directory功能的改进
1.2.2 新的域和林范围的Active Directory功能
1.3 磁盘和文件管理改进
1.4 服务器可管理性和可利用性的改进
1.5 服务器远程管理功能的改进
1.6 终端服务功能的改进
第2章 本地用户和组管理
2.1 Windows Server 2003用户和组帐户
2.1.1 用户和组帐户概述
2.1.2 本地用户和组
2.1.3 本地组的默认安全设置
2.1.4 默认安全设置的差异
2.2 本地用户管理
2.2.1 创建本地用户帐户
2.2.2 用户帐户强密码
2.2.3 重置本地用户帐户的密码
2.2.4 禁止或激活本地用户帐户
2.2.5 删除本地用户帐户
2.2.6 重命名本地用户账户
2.2.7 指派本地用户帐户的登录脚本
2.2.8 指派本地用户帐户的主文件夹
2.3 本地组的管理
2.3.1 创建本地组
2.3.2 为本地组添加成员
2.3.3 标识本地组的成员
2.3.4 删除本地组
2.3.5 Net localgroup命令
2.3.6 允许Anonymous Logon组成员成为本地计算机上Everyone组中的成员
2.4 本地账户锁定和密码策略
2.5 本地用户权限分配
第3章 域用户和组的管理
3.1 用户和计算机帐户
3.1.1 域用户帐户类型
3.1.2 保护用户帐户
3.1.3 域帐户选项
3.1.4 计算机帐户
3.1.5 用户和计算机帐户命名方法
3.1.6 名字解释
3.2 域组帐户
3.2.1 域组的分类
3.2.2 默认域组
3.2.3 Builtin容器中的组
3.2.4 Users空器中的组
3.2.5 组作用域
3.3 域用户的管理
3.3.1 新建用户帐户
3.3.2 重设用户密码
3.3.3 复制用户帐户
3.3.4 移动用户帐户
3.3.5 设置登录时间
3.3.6 禁用或启用用户帐户
3.3.7 将证书映射到用户帐户
3.3.8 更改用户的主要组
3.3.9 删除用户帐户
3.4 域用户权限分配
3.5 域组管理
3.5.1 新建组
3.5.2 将成员添加到组
3.5.3 允许Anonymous Logon组中的成员成为Everyone组中的成员
3.5.4 将组转换为另一种组类型
3.5.5 更改组作用域
3.5.6 删除组
3.5.7 查找包含某个用户的组
3.5.8 将用户权限指派到Active Directory中的组
第4章 磁盘系统管理
4.1 磁盘管理概述
4.1.1 Windows Server 2003磁盘管理新特性
4.1.2 与磁盘管理有关的术语
4.2 了解磁盘管理
4.2.1 磁盘管理窗口
4.2.2 分区样式
4.2.3 选择文件系统
4.3 管理磁盘
4.3.1 初始化新磁盘
4.3.2 查看磁盘属性
4.3.3 将基础磁盘转换成动态磁盘
4.3.4 将动态磁盘转换为基本磁盘
4.3.5 远程磁盘管理
4.4 管理基本卷
4.4.1 磁盘管理概述
4.4.2 Windows Server 2003磁盘管理新特性
4.4.3 与磁盘管理有关的术语
4.4.4 了解磁盘管理
4.4.5 磁盘管理窗口
4.4.6 分区样式
4.5 选择文件系统
4.5.1 管理磁盘
4.5.2 初始化新磁盘
4.5.3 查看磁盘属性
4.5.4 将基本磁盘转换成动态磁盘
4.5.5 将动态磁盘转换为基本磁盘
4.5.6 远程磁盘管理
4.6 管理基本卷
4.6.1 查看卷属性
4.6.2 指派、更改或删除驱动器号
5.1 将分区标词类活动分区(仅限于32位)
5.2 格式化基本卷
5.2.1 创建分区或逻辑驱动器
5.2.2 扩展基本卷
5.3 文件夹共享
5.3.1 文件夹共享概述
5.3.2 文件夹的共享配置
5.3.3 共享文件夹 的创建
5.3.4 共享权限
5.3.5 共享资源的脱机设置
5.3.6 特殊共享资源
5.4 共享文件夹的管理
5.4.1 保证共享资源的安全
5.4.2 从命令行管理体制共享文件夹
5.4.3 停止共享资源
5.4.4 发布共享文件夹
5.5 共享文件夹的卷影副本管理
5.5.1 卷影副本的管理
5.5.2 部署用于卷影副本的客户端软件
5.6 文件和文件夹访问权限的配置
5.6.1 文件和文件夹的权限
5.6.2 设置、查看、更改或删除文件和文件夹权限
5.6.3 NTFS文件权限属性
5.7 加密或解密数据库
5.7.1 加密文件系统概述
5.7.2 使用文件加密系统的注意事项
5.7.3 文件的加密和解密的基本过程
5.7.4 加密和解密文件或文件夹
5.7.5 规划和恢复加密文件(恢复策略)
5.8 密钥恢复
5.8.1 创建密钥恢复代理帐户
5.8.2 获取密钥恢复代理证书
5.8.3 配置CA以便进行密钥恢复
5.8.4 创建新的可以进行密钥存档的证书模板
5.8.5 获取具有存档密钥的用户证书
5.8.6 执行密钥恢复
5.8.7 导入已恢复的私钥
5.9 用户入目录(主文件夹)
5.9.1 指派域用户帐户的主文件夹
5.9.2 登录脚本指派
5.10 文件服务器的管理
第2部分 Windows Server 2003高级网络管理篇
第6章 Active Diretory的全能管理
6.1 Active Diretory的主要功能
6.2 Active Diretory的计算机管理功能
6.2.1 新建计算机帐户
6.2.2 将计算机帐户添加到组中
6.2.3 删除计算机帐户
6.2.4 管理远程计算机
6.2.5 移动计算机帐户
6.2.6 重设计算机帐户
6.2.7 禁用或启用计算机帐户
6.3 管理域
6.3.1 域树和林简介
6.3.2 域 和林的功能
6.3.3 新建林
6.3.4 新建域树
6.3.5 新建子域
6.3.6 管理不同域
6.3.7 删除域
6.3.8 使用不同域控制器管理域
6.3.9 添加用户主体名称后缀
6.3.10 提升域功能级别
6.3.11 指派、更改或删除Active Diretory对象或属性的权限
6.4 管理域控制器
6.4.1 创建其他域控制器
6.4.2 降级域控制器
6.4.3 重命名域控制器
6.5 管理信任
6.5.1 域信任基础
6.5.2 域信任类型
6.5.3 验证信任
6.5.4 删除信任
6.5.5 创建快捷信任
6.6 管理站点
6.6.1 站点概述
6.6.2 站点复制
6.6.3 配置站点设置
第7章 MMC网络管理平台
7.1 MMC概述
7.2 使用MMC
7.2.1 runas命令的使用
7.2.2 设置MMMC中的组策略
7.2.3 创建MMC控制台
7.2.4 使用MMC控制台文件
7.3 委派管理
7.3.1 使用委派控制向导
7.3.2 使用授权管理器管理
7.4 从MMC中管理Active Diretory
7.4.1 Active Diretory管理工具概述
7.4.2 从MMC管理Active Diretory架构
第8章 数据库备份与恢复
8.1 备份概述
8.2 了解备份
8.2.1 备份类型
8.2.2 卷宗影副本概述
8.2.3 备分和还原所需要的权限和用户权利
8.2.4 系统状态数据
8.2.5 授权还原、原始还原和普通还的
8.2.6 故障恢复控制台的安装与使用
8.2.7 自动系统故障恢复(ASR)概述
8.3 设置备份选项
8.3.1 设置备份类型
8.3.2 设置高级备份选项
8.3.3 设置高级还原选项
8.4 备份和还原数据
8.4.1 将文件备份到文件或磁带
8.4.2 从文件或磁带还原文件
8.4.3 命令行方式备份
8.4.4 备份系统状态数据
8.4.5 还原系统状态数据
8.4.6 保护系统
第9章 数据库存储和异地容灾
9.1 SCSI控制卡
9.1.1 SCSI控制卡简介
9.1.2 SCSI控制卡的特点
9.1.3 SCSI控制卡的安装
9.1.4 SCSI控制瞳的选购要点
9.2 RAID(物理磁盘冗余阵列)
9.2.1 RAID控制卡简介
9.2.2 磁盘阵列配置
9.3 数据存储技术和设备
9.3.1 主流的3种数据存储方式
9.3.2 常见的其他数据备份设备
9.4 异地容灾
9.4.1 IBM的异地容灾方案
9.4.2 HP异地容灾方案
9.4.3 软件厂商异地容灾方案
9.5 两种容错方错方案的较量
9.5.1 以机热备份技术
9.5.2 单机容错技术
9.5.3 服务器容错方案推荐
第10章 远程访问服务器管理
10.1 路由和远程访问基础
10.1.1 路由和远程访问服务概述
10.1.2 Windows Server 2003系统VPN技术的新功能
10.1.3 路由和远程访问服务的安全改进
10.1.4 远程访问所需考虑的安全因素
10.2 远程访问服务器的常规配置类型
10.3 拨号网络远程访问服务顺的安装
10.3.1 拨号网络组件
10.3.2 拨号网络客户端
10.3.3 拨号网络服务器
10.4 设置拨号远程
10.4.1 拨号远程访问设计考虑
10.4.2 拨号远程访问安全性
10.5 部署拨号远程访问
10.5.1 把远程访问服务器当做企业远程访问服务器
10.5.2 在因特网访问中使用远程访问服务器
10.6 把远程访问服务器当做虚拟专用网服务器
10.6.1 虚拟专用网的组件
10.6.2 VPN设计考虑事项
10.6.3 远程访问VPN的安全性考虑事项
10.7 部署远程访问VPN
10.7.1 基于PPTP的远程访问VPN部署
10.7.2 基于L2TP的远程访问VPN部署
10.8 安装计算机证书
10.8.1 计算机证书的安装
10.8.2 自动注册计算机证书
10.8.3 手动注册计算机证书
10.8.4 证书申请
10.9 远程访问服务器的管理
10.9.1 管理远程访问服务器
10.9.2 管理远程访问客户端
第11章 远程网络管理
11.1 Windows Server 2003远程管理概述
11.1.1 主要远程管理方法
11.1.2 Windows Server 2003远程管理方式的选择原则
11.2 使用“远程桌面连接”管理远程计算机
11.2.1 远程桌面连接的部署
11.2.2 远程桌面连接的建立
11.2.3 远程桌面连接操作
11.2.4 远程桌面连接管理
11.3 使用“管理远程桌面”管理远程服务器
11.3.1 “管理远程桌面”工作原理
11.3.2 管理远程桌面客户端部署
11.4 “远程管理Web连接”管理模式
11.5 “远程管理(HTML)”模式
11.6 “远程协助”模式
11.6.1 远程协助配置
11.6.2 远程协助执行
11.7 使用“Active Directory用户和计算机”远程管理服务顺
第12章 网络安全策略管理
12.1 安全设置基础
12.1.1 安全设置概述
12.1.2 通过组策略应用安全设置
12.1.3 帐户和本地策略
12.1.4 事件日志安全设置
12.1.5 文件系统、注册表和系统服务的本地计算机安全设置
12.2 本地安全策略
12.2.1 本地安全策略概述
12.2.2 用户权利
12.3 本地安全策略配置
12.3.1 密码策略的设置
12.3.2 帐户销定策略的配置
12.3.3 Kerberos策略的配置
12.3.4 审核策略
12.3.5 审核策略的配置
第3篇 Red Hat Linux 9.0/Solaris 9.0网络管理篇
第13章 Red Hat Linux 9.0网络配置基础
13.1 网络配置
13.1.1 主要网络配置
13.1.2 IP地址配置
13.1.3 使用配置文件
13.1.4设备别名
13.2 网络连接创建
13.2.1 建立以太网连接
13.2.2 建立调制解调器连接
13.2.3 建立xDLS连接
13.2.4 建立无线连接
13.3 基本防火墙配置
13.3.1 安全级别配置工具
13.3.2 GNOME Lokkit
13.4 Samba服务器的配置
13.4.1 使用Samba的意义
13.4.2 Samba服务器的图形化配置
13.4.3 管理Samba用户
13.4.4 添加共享
13.4.5 命令行配置
13.4.6 加密口令
13.4.7 启动和停止服务器
13.4.8 连接Samba共享
第14章 Red Hat Linux 9.0基本网络管理
14.1 用户和组群管理
14.1.1 添加新用户
14.1.2 修改用户属性
14.1.3 添加新组群
14.1.4 修改组群属性
14.2 用户帐户的命令行配置方法
14.2.1 添加用户
14.2.2 添加组群
14.2.3 口令老化
14.3 用哀悼和组权限配置
14.3.1 使用chmod命令改变权限
14.3.2 使用数字来改变权限
14.4 文件和目录管理
14.4.1 文件系统的宏观画面
14.4.2 识别和使用文件类型
14.4.3 在shell提示下操作文件
14.5 磁盘管理
14.5.1 查看分构表
14.5.2 创建分区
14.5.3 删除分区
14.5.4 重新划分分区大小
14.5.5 利用Kickstart创建分区
14.5.6 利用Kickstart创建软件RAID分区
14.6 用户磁盘配额
14.6.1 配置磁盘配额
14.6.2 管理磁盘配额
第15章 Red Hat Linux 9.0系统管理基础
15.1 使用RPM管理软件包
15.1.1 RPM的设计目标
15.1.2 寻找RPM软件包
15.1.3 RPM软件包的安装
15.1.4 RPM软件包的删除
15.1.5 RPM软件包的升级
15.1.6 RPM软件包的刷新
15.1.7 RPM软件包的查询
15.1.8 PRM软件包的校验
15.2 检查软件包的签名
15.3 应用RPM
15.4 软件包管理工具
15.5 系统资源管理
15.5.1 系统进程管理
15.5.2 内存用量
15.5.3 监控文件系统
15.5.4 硬件资源管理
15.6 控制对服务的访问
15.6.1 运行级别
15.6.2 服务配置工具
15.6.3 ntsysv工具
15.6.4 chkconfig工具
第16章 Solaris 9.0系统基础
16.1 Solaris 9.0基础
16.2 系统安装
16.2.1 Solaris 9.0系统安装拷贝的获得途径
16.2.2 安装前的准备工作
16.2.3 通用(SPARC平台上)安装过程
16.2.4 在X86平台上安装
16.3 Solaris文件系统结构
16.3.1 层次化文件系统
16.3.2 目录和普通文件
16.3.3 文件名
16.3.4 目录的相关操作
16.3.5 工作目录与宿主目录
16.3.6 绝对路径名与相对路径名
16.3.7 重要的标准目录和文件
16.3.8 目录处理
16.4 访问权限配置
16.5 系统启动和关机过程
16.5.1 Solaris系统启动
16.5.2 Solaris系统关机
16.6 系统进程管理
16.6.1 进程相关概念
16.6.2 查看当前进程
16.6.3 终止进程
16.6.4 作业调度
16.6.5 管理进程的常用工作
第17章 Solaris 9.0网络管理基础
17.1 用户和软件包管理
17.1.1 用户管理
17.1.2 软件包管理
17.1.3 补丁程序管理
17.2 设备管理
17.2.1 Solaris设备文件
17.2.2 增加新设备
17.3 文件系统管理
17.3.1 Solaris文件系统
17.3.2 文件系统的创建
17.3.3 文件系统的加载和卸载
17.3.4 NFS资源的使用与管理
17.3.5 空间使用配额
17.4 Solaris 9.0文件系统备份
17.4.1 备份的必要性和策略
17.4.2 Solaris下备份和恢复
17.5 系统日志和设置和管理
17.5.1 Syslog工具
17.5.2 last命令
《网管员必读:服务器与数据存储》
第1篇 服务器技术篇
第1章 服务器基础
1.1 服务器概述
1.2 服务器的主要性能和外观特点
1.3 服务器的主要结构类型
1.4 服务器的分类
第2章 服务器技术概述
2.1 RISC和CISC架构技术
2.2 SNIP对称多处理技术
2.3 双处理(Dual Processor,DP)技术
2.4 12C(Inter-Integrated Circuit)总线技术
2.5 智能监控管理技术
2.6 智能输入/输出(120)技术
2.7 服务器集群技术
2.8 负载均衡技术
2.9 硬件冗余技术
2.10 热插拔技术(Hot Plug)
2.11 诊断技术
2.12 64位处理器技术
第3章 服务器处理器技术
3.1 主要RISC指令架构处理器
3.2 Intel的服务器CPU
3.3 AMD服务器CPU
3.4 64位处理器技术
3.5 服务器双核心处理器技术
第4章 服务器内存技术
4.1 通用服务器内存技术
4.2 IBM服务器内存技术
4.3 liP服务器内存技术
4.4 主要服务器内存模组技术
4.5 下一代服务器的内存体系架构FB-DIMM
第5章 服务器I/O总线技术
5.1 计算机总线技术的发展历程
5.2 主要最新系统总线技术简介
5.3 InfiniRand总线技术
5.4 PCI-X总线技术
5.5 PCI-Express总线技术
第6章 并行扩展技术
6.1 计算机扩展技术概述
6.2 并行扩展技术
6.3 主要并行体系结构
6.4 NUMA扩展模式
6.5 英特尔至强处理器MP
6.6 IBM企业级x架构的“按需扩展”技术
第7章 服务器集群扩展技术及应用
7.1 集群基础
7.2 故障转移解决方案
7.3 负载均衡解决方案
7.4 微软Windows系统的集群服务
7.5 集群服务器配置示例
7.6 集群服务器系统产品简介
第8章 服务器容错技术及应用
8.1 服务器容错技术概述
8.2 服务器网卡容错技术
8.3 服务器容错技术
8.4 IBM中小型企业双机容错方案
8.5 宝德双机热备份容错方案
8.6 联志的双机热备份方案
8.7 Strams全系列容错服务器
8.8 HP NonStop容错服务器
8.9 NEC Express5800容错服务器
第9章 功能服务器的选购与较量
9.1 功能服务器概述
9.2 Web服务器的选购
9.3 Web服务器产品横向比较
9.4 邮件服务器的选购
9.5 VOD服务器的选购
9.6 数据库服务器的选购
9.7 游戏服务器的选购
9.8 网吧服务器的选购
9.9 防火墙服务器的选购
第2篇 数据存储篇
第10章 磁盘阵列技术及配置
……
第11章 数据存储技术基础
第12章 智能存储技术
第13章 FCSAN存储技术与方案
第14章 IPSAN存储技术与方案
第15章 数据备份与容灾
《网管员必读——故障排除》:
第1章 网络链路故障 1
1.1 概述 2
1.2 网络介质故障 3
1.2.1 5类线Cat5运行千兆位以太网 4
1.2.2 光缆连接器进水导致链路传输故障 5
1.2.3 模型选择不当导致6类链路故障 7
1.2.4 6类链路和器件的匹配性分析 10
1.3 网络物理安全故障 13
1.3.1 设备端口状态故障分析 13
1.3.2 光电转换器常见问题分析 17
1.4 网络干扰故障 20
1.4.1 电源受扰导致网络故障 21
1.4.2 “污染”减速 25
1.4.3 是什么拖慢了网络速度 26
1.5 网络拓扑故障 29
1.5.1 多变的网络拓扑结构 29
1.5.2 网络拓扑结构优化的后果 31
1.6 网络链路故障典型案例 34
1.6.1 非标准线惹麻烦 34
1.6.2 为什么光纤通而千兆位网络不通 35
1.6.3 网线接错导致的局域网故障 37
1.6.4 光纤故障排除一例 38
1.6.5 光纤施工中的故障一例 41
1.6.6 网络故障诊断案例分析 42
第2章 网络设备故障 47
2.1 交换机故障 48
2.1.1 交换机故障的一般分类和排障步骤 49
2.1.2 故障排除案例 52
2.1.3 交换机特殊故障的解决方法 56
2.2 路由器故障 57
2.2.1 路由器的一般故障分类和排障步骤 58
2.2.2 路由器故障排除案例 61
2.2.3 路由器特殊故障的解决方法 70
2.3 网络设备故障案例 71
2.3.1 工作站系统“不能启动”的故障处理 71
2.3.2 MODEM故障分析 74
2.3.3 网络升级故障排除一例 75
2.3.4 都是网卡惹的祸——网卡故障二例 77
2.3.5 查看路由器端口状态解决故障 78
2.3.6 奇怪的级联故障 78
2.3.7 ISDN故障不可怕 79
2.3.8 SAN网络故障排除 84
2.3.9 莫名其妙的网卡冲突 87
2.3.10 “打架”的网卡 87
2.3.11 处理网络故障切勿舍近求远 89
2.3.12 环路测试法诊断ISDN故障 90
2.3.13 网络打印故障 94
2.3.14 都是灰尘惹的祸 95
2.3.15 优化老龄的ADSL 96
2.3.16 PCI插槽引起的网络故障 97
2.3.17 如何防止配置文件丢失 97
2.3.18 把脉宽带网故障 99
2.3.19 网络故障维护二例 102
2.3.20 “猫”被谁改变 103
2.3.21 网络数据备份与恢复排障一例 104
2.3.22 Cisco路由器故障一例 106
2.3.23 用Ping解决路由器故障 107
2.3.24 Ultra60工作站网络故障排除 110
2.3.25 小心网络中的环路 112
2.3.26 “嗅探”路由器故障 113
2.3.27 时断时续的网络 114
2.3.28 不能路由的路由表 116
2.3.29 欲速则不达 119
2.3.30 插槽的麻烦 120
2.3.31 互相冲突的数据流 120
2.3.32 指示灯的第三状态 122
2.3.33 交换机升级不容易 123
2.3.34 偏方装网卡 124
第3章 Windows网络故障诊断 127
3.1 Windows网络服务故障 128
3.1.1 Windows网络服务简介 128
3.1.2 各种服务故障排障步骤 131
3.1.3 Windows网络服务故障解决案例 142
3.2 Windows域相关故障 164
3.2.1 活动目录(Active Directory)及其相关概念 165
3.2.2 域故障排错相关知识及工具软件的使用 174
3.2.3 活动目录(Active Directory)域故障解决实例 178
3.2.4 组策略应用相关实例 194
3.3 Windows局域网故障 200
3.3.1 局域网的概述 200
3.3.2 局域网故障的分类及一般解决方法 203
3.3.3 局域网故障排除案例 209
3.4 Windows因特网故障 228
3.4.1 Windows因特网的概念 228
3.4.2 Windows上网故障的分类和一般解决方法 229
3.4.3 Windows上网典型故障的解决方法 239
3.4.4 Windows上网特殊故障的解决方法 241
3.4.5 Windows上网故障解决案例 243
3.5 Windows故障案例 258
3.5.1 DNS引发的故障一例 258
3.5.2 DNS故障问题 258
3.5.3 DNS的一些常见错误 259
3.5.4 如何恢复日志文件 264
3.5.5 Windows 2000活动目录为何不能添加新“域” 268
3.5.6 解决Windows下分区疑难 269
3.5.7 奇怪的“拒绝收件人” 270
3.5.8 “网上邻居”的问题 271
3.5.9 奇怪的密码现象 272
3.5.10 “自动重启”的服务器 272
3.5.11 重启动也“治病” 275
3.5.12 安全策略故障一例 276
3.5.13 Outlook Express认证故障解决 278
3.5.14 连不上的“网上邻居” 278
3.5.15 让软件自由运行 280
3.5.16 不能互访的域 282
3.5.17 ISA Server故障处理 286
第4章 Linux网络故障诊断 289
4.1 Linux网络故障 290
4.1.1 Linux网络结构特点 290
4.1.2 查找故障原因的思路 292
4.1.3 Linux常见故障诊断说明 301
4.1.4 典型故障实例 304
4.2 Linux故障案例 326
4.2.1 E-mail服务器为什么变慢了 326
4.2.2 配置参数也惹祸 327
4.2.3 UNIX硬盘排障 330
4.2.4 备份的苦恼 331
4.2.5 小心DNS配置文件 332
第5章 故障诊断经验与技巧 337
5.1 网络故障的“结”与“解” 338
5.2 快速排除硬件故障 339
5.3 故障诊断从设计开始 343
5.4 快速排除PC上网故障 347
5.5 企业网络性能诊断方法 348
5.6 环环相扣排除故障 350
5.7 企业局域网网速减慢的故障解决 352
5.8 从故障性质入手排除网络故障 353
5.9 理顺故障诊断脉络 355
5.10 用分层、分段法排除网络故障 358
5.11 局域网故障检修实例 359
5.12 实用网络故障检测方法 361
5.13 局域网故障排除经验谈 363
第6章 数据库故障诊断案例 367
6.1 数据库归档备份故障分析 368
6.2 Oracle数据库为什么变慢了 369
6.3 数据库乱码的原因与解决 370
6.4 启动Oracle常见疑难问题分析 374
6.4.1 启动时的常见问题 374
6.4.2 Oracle数据库的启动 376
6.5 给Oracle看“常见病” 380
6.6 连不上的数据库 382
6.7 无法登录的数据库 382
6.8 慎用Sybase的Shutdown命令 385
《网管员必读:网络安全》图书目录:
第1章 企业网络安全概述 1
1.1 企业网络安全考虑 2
1.1.1 病毒入侵和黑客攻击的基本防护 2
1.1.2 对基于操作系统的安全漏洞的攻击的防护 4
1.1.3 网络用户密码盗用和权限滥用 7
1.1.4 重要文件或邮件的非法窃取、访问与操作 7
1.1.5 关键部门的非法访问 7
1.1.6 外网的非法入侵 8
1.1.7 备份数据和存储媒体的损坏、丢失 8
1.2 认识病毒文件 9
1.2.1 计算机病毒的演变 10
1.2.2 病毒的产生 10
1.2.3 病毒的主要特点 11
1.3 病毒的分类 12
1.3.1 按破坏程度分 13
1.3.2 按传染方式分 14
1.3.3 按入侵方式分 17
1.4 认识黑客入侵 17
1.4.1 黑客攻击的基本步骤 17
1.4.2 常见攻击类型 18
1.4.3 常见拒绝服务攻击的行为特征与防御方法 20
1.4.4 其他攻击方式的行为特征及防御方法 22
1.4.5 黑客攻击方式的十大最新发展趋势 24
1.5 企业网络八大安全认识误区 27
1.6 企业网络安全策略设计 29
1.6.1 什么是企业网络安全策略 29
1.6.2 网络安全策略设计的
十大原则 30
1.6.3 安全隐患分析和基本系统结构信息的收集 32
1.6.4 现有安全策略/流程的检查与评估 35
1.6.5 安全策略文档设计 35
第2章 恶意软件的深度防护 41
2.1 认识恶意软件 42
2.1.1 什么是恶意软件 42
2.1.2 什么是非恶意软件 44
2.1.3 恶意软件的主要特征 46
2.2 木马的检测、清除与防范 51
2.2.1 木马的手工检测、清除和防范方法 51
2.2.2 木马的软件自动清除和端口关闭方法 55
2.3 拒绝恶意代码 62
2.3.1 IE浏览器Internet安全选项设置 62
2.3.2 IE浏览器本地Intranet安全选项设置 63
2.4 网络蠕虫的深度防护 64
2.4.1 网络蠕虫的定义和危害性 65
2.4.2 预防蠕虫的基本措施 65
2.5 如何强化TCP/IP堆栈安全 67
2.5.1 抵御SYN攻击 68
2.5.2 抵御ICMP攻击 69
2.5.3 抵御SNMP攻击 69
2.5.4 AFD.SYS保护 70
2.5.5 其他保护 70
2.6 恶意软件的深度防护方法 71
2.6.1 深层防护安全模型 72
2.6.2 客户端防护 73
2.6.3 客户端应用程序的防病毒设置 77
2.6.4 服务器端病毒防护 80
2.6.5 网络层安全防护 82
第3章 防火墙在网络安全防护中的应用 89
3.1 防火墙技术基础 90
3.1.1 防火墙概述 90
3.1.2 防火墙的八大主要功能 91
3.1.3 防火墙的优点和不足 93
3.2 防火墙的分类 95
3.2.1 个人防火墙 95
3.2.2 路由器防火墙 96
3.2.3 低端硬件防火墙 98
3.2.4 高端硬件防火墙 99
3.2.5 高端服务器防火墙 100
3.3 主要防火墙技术 101
3.3.1 包过滤型防火墙 102
3.3.2 应用代理型防火墙 102
3.3.3 状态包过滤型防火墙 104
3.4 防火墙的硬件技术架构 105
3.5 防火墙应用方案 105
3.5.1 产品选型原则 106
3.5.2 防火墙具体实现 107
3.6 内部防火墙系统设计 108
3.6.1 网络体系结构 108
3.6.2 企业网络体系结构设计所需的考虑 109
3.6.3 系统攻击和防御认识 110
3.7 内部防火墙系统应用 112
3.7.1 内部防火墙规则 112
3.7.2 内部防火墙的可用性需求 113
3.7.3 内部容错防火墙集的配置 115
3.7.4 内部防火墙系统的其他因素要求 117
3.8 外围防火墙系统设计 119
3.8.1 外围防火墙规则 119
3.8.2 外围防火墙系统的应用 119
3.9 用防火墙防御SYN Flood
攻击 121
3.9.1 SYN Flood攻击原理 121
3.9.2 用防火墙防御SYN Flood攻击 122
第4章 入侵检测系统及应用 125
4.1 入侵检测系统(IDS)基础 126
4.1.1 入侵检测系统概述 126
4.1.2 主要入侵检测技术 126
4.1.3 主要入侵检测模型 129
4.1.4 当前入侵检测技术的不足 131
4.1.5 入侵检测技术发展方向 132
4.2 入侵检测原理及应用 134
4.2.1 入侵检测原理 134
4.2.2 JUMP入侵检测系统的技术应用 135
4.3 分布式入侵检测系统 137
4.3.1 分布式入侵检测框架及检测机制 137
4.3.2 分布式入侵检测系统的协同机制 138
4.3.3 开放式DIDS的基本系统
架构及设计考虑 139
4.4 金诺网安入侵检测系统KIDS140
4.4.1 金诺网安入侵检测系统简介 141
4.4.2 KIDS的模块组成 141
4.4.3 KIDS的主要功能 143
4.5 华强IDS 143
4.5.1 华强IDS简介 143
4.5.2 华强IDS的应用 144
4.6 “冰之眼”网络入侵检测系统 145
4.6.1 产品架构 146
4.6.2 产品主要特性 146
4.7 黑盾网络入侵检测系统
(HD-NIDS) 149
4.7.1 HD-NIDS的体系结构 149
4.7.2 HD-NIDS的实时攻击检测功能 150
4.7.3 HD-NIDS的技术特点 151
4.7.4 HD-NIDS的网络应用 154
第5章 企业网络安全隔离 155
5.1 隔离技术 156
5.1.1 隔离技术基础 156
5.1.2 物理隔离原理 158
5.1.3 物理隔离产品的应用方式 160
5.2 物理隔离卡产品及应用 160
5.2.1 认识物理隔离卡 160
5.2.2 主要物理隔离模式 162
5.2.3 图文网络安全物理隔离器 164
5.2.4 利普隔离卡产品 166
5.3 网络线路选择器产品及应用 172
5.3.1 LS-8网络线路选择器及应用 173
5.3.2 LS-24网络线路选择器及应用 174
5.3.3 NS-16网络切换器及应用 174
5.4 物理隔离网闸 175
5.4.1 物理隔离网闸概述 175
5.4.2 物理隔离网闸的安全模块 176
5.4.3 物理隔离网闸的主要功能与应用领域 177
5.4.4 主要的物理隔离网闸产品类型 178
5.4.5 物理隔离网闸的信息交换方式 179
5.4.6 利谱v2.0物理隔离网闸应用方案 180
5.5 网络隔离技术 181
5.5.1 网络隔离技术的发展 182
5.5.2 网络隔离技术的安全要点 182
第6章 Windows用户账户安全策略185
6.1 Windows Server 2003系统的安全功能概述 186
6.1.1 安全模型的功能 186
6.1.2 Windows Server 2003系统的新安全功能 187
6.1.3 与以前系统相比新增的安全功能 188
6.2 域账户策略设置 189
6.2.1 域账户和本地策略简介 189
6.2.2 域账户密码概述 190
6.2.3 域账户密码的使用原则 191
6.2.4 域账户密码策略的设置 192
6.2.5 系统密钥实用程序 194
6.2.6 账户锁定策略配置 197
6.2.7 Kerberos身份验证策略配置 199
6.3 封死黑客的“后门” 202
6.3.1 禁用Guest账户和更改管理员账户名 202
6.3.2 关闭“文件和打印共享”功能 203
6.3.3 删掉不必要的协议 204
6.4 用户账户权限分配 205
6.4.1 Windows Server 2003域默认的账户及权限 205
6.4.2 域默认的组账户 206
6.4.3 域用户权限分配 209
6.5 共享文件夹访问权限 217
6.5.1 取消系统默认共享 217
6.5.2 共享权限类型 221
6.5.3 创建私人文件夹 223
6.6 NTFS文件访问权限的配置 224
6.6.1 文件和文件夹的NTFS访问权限 224
6.6.2 文件服务器的最佳权限设置 226
6.6.3 设置、查看、更改或删除文件和文件夹权限 227
6.6.4 权限的继承 229
6.6.5 NTFS文件权限属性 230
第7章 公钥基础结构 233
7.1 公钥基础结构(PKI)概述 234
7.1.1 公钥基础结构的作用 234
7.1.2 Windows Server 2003中的公钥基础结构 235
7.2 证书基础 236
7.2.1 证书概述 236
7.2.2 证书的应用 236
7.2.3 证书的颁发机构 239
7.2.4 证书服务的安装 240
7.3 证书申请 242
7.3.1 证书模板 243
7.3.2 使用证书申请向导申请证书 245
7.3.3 使用Windows Server 2003证书服务网页 250
7.4 证书的自动注册 254
7.4.1 规划自动注册部署 255
7.4.2 “用户”模板复制 258
7.4.3 配置企业证书颁发机构 260
7.4.4 建立自动注册域用户的策略 261
7.5 证书的导入/导出 262
7.5.1 导入/导出证书的用途和标准证书文件格式 262
7.5.2 导入证书 264
7.5.3 导出证书 265
7.5.4 导出带私钥的证书 266
7.6 吊销证书和发布CRL 268
7.6.1 吊销证书 268
7.6.2 安排证书吊销列表(CRL)的发布 269
7.6.3 手动发布证书吊销列表 271
7.7 常见问题解答 271
第8章 文件加密与数字签名 275
8.1 文件加密概述 276
8.1.1 加密的由来 276
8.1.2 选择加密的意义 276
8.1.3 具有代表性的数据加密标准 277
8.1.4 电子签名与数字签名 278
8.2 静态文件加密——EFS(加密
文件系统) 279
8.2.1 EFS概述 280
8.2.2 使用EFS加密文件的注意事项280
8.2.3 EFS的工作原理 282
8.3 使用EFS 283
8.3.1 加密文件或文件夹 283
8.3.2 解密文件或文件夹 284
8.3.3 在资源管理器菜单中添加“加密”和“解密”
选项 285
8.3.4 复制加密的文件夹或文件 286
8.4 数据恢复策略 288
8.4.1 数据恢复策略概述 288
8.4.2 更改本地计算机的故障恢复策略 289
8.4.3 更改域的故障恢复策略 290
8.5 数据恢复代理 292
8.5.1 EFS证书 293
8.5.2 创建默认的独立计算机上的数据恢复代理 293
8.5.3 添加其他恢复代理 295
8.5.4 启用EFS文件共享 296
8.6 EFS使用中的常见问题解答 297
8.7 公钥基础结构在文件传输和
数字签名方面的应用 298
8.7.1 动态文件加密原理 299
8.7.2 数字签名原理 300
8.7.3 加密密钥对的获取 300
8.8 PGP动态文件加密和数字
签名 302
8.8.1 PGP密钥的生成 303
8.8.2 密钥的发布 308
8.8.3 加密文件 310
8.8.4 邮件数字签名 312
8.9 电子签章 316
8.9.1 iSignature签章系统简介 317
8.9.2 iSignature的主要功能 319
8.9.3 数字证书简介 320
8.9.4 个人数字证书申请 321
8.9.5 iSignature签章系统的使用 325
8.9.6 天威诚信安证通简介 329
第9章 数据备份与恢复 333
9.1 备份概述 334
9.1.1 备份的主要功能 334
9.1.2 备份和还原所需要的权限 334
9.1.3 系统状态数据 337
9.2 企业容灾计划设计 339
9.2.1 备份计划设计 339
9.2.2 备份策略设计 340
9.2.3 备份模式选择 341
9.2.4 备份类型选择 342
9.2.5 Windows备份工具所
支持的备份类型 343
9.2.6 备份拓扑结构的选择 344
9.3 使用Windows Server 2003备份
工具备份数据 347
9.3.1 利用备份向导进行系统状态备份 347
9.3.2 系统状态的手动配置备份 352
9.3.3 创建Windows Server 2003
备份全集 357
9.3.4 备份域控制器 359
9.4 使用Windows Server 2003备份工具还原数据 360
9.4.1 授权还原、原始还原和普通还原 360
9.4.2 从文件或磁带还原文件 362
9.4.3 还原系统状态数据 364
9.5 Veritas Backup Exec 9.0数据备份与恢复基础 365
9.5.1 Veritas Backup Exec 9.0新特性 365
9.5.2 安装条件 367
9.5.3 Backup Exec的备份类型 368
9.5.4 备份方式中的“归档位”和修改时间 371
9.5.5 Backup Exec的工作机制 372
9.5.6 首次启动 373
9.6 创建备份策略 376
9.6.1 手动创建策略 377
9.6.2 使用“策略向导”创建策略 379
9.7 备份数据 382
9.7.1 使用备份向导创建备份作业 383
9.7.2 通过配置作业属性来手动创建备份作业 386
9.8 恢复数据 392
9.8.1 使用恢复向导将数据恢复到服务器或工作站 393
9.8.2 通过配置作业属性手动创建恢复作业 396
第10章 远程网络连接的安全配置399
10.1 远程桌面连接的用户权限配置 400
10.1.1 “远程桌面连接”、“远程桌面”管理单元和“管理远程桌面”的联系与
区别 400
10.1.2 “远程桌面连接”权限配置 401
10.2 终端服务的用户权限配置 404
10.3 “远程桌面Web连接”的安全配置 407
10.4 “远程协助”的用户权限配置 410
10.4.1 远程协助用户权限配置 410
10.4.2 防火墙的3389号端口开放与关闭 414
10.5 远程访问权限的配置 416
10.5.1 远程访问连接所需的安全考虑 416
10.5.2 远程访问用户权限配置 418
10.5.3 远程服务器身份验证安全配置 419
10.5.4 远程访问策略安全配置 425
10.5.5 远程访问账户锁定 428
10.6 VPN技术基础 429
10.6.1 VPN的产生及前景 430
10.6.2 VPN的组成及基本通信步骤 431
10.6.3 VPN网络与专线网络的区别 432
10.6.4 VPN连接的优势 433
10.6.5 VPN安全技术概述 435
10.7 VPN的分类 437
10.7.1 按VPN的应用平台分类 437
10.7.2 按VPN的部署模式分类 437
10.7.3 按VPN的服务类型分类 438
10.8 VPN隧道技术 440
10.8.1 VPN隧道基础 440
10.8.2 VPN隧道类型 442
10.8.3 PPTP隧道协议 443
10.8.4 L2F隧道协议 444
10.8.5 L2TP隧道协议 445
10.9 IPSec安全协议 447
10.9.1 IPSec协议概述 447
10.9.2 IPSec协议的安全体系 450
10.9.3 AH隧道模式的加密原理 451
10.9.4 ESP隧道模式的加密原理 452
10.9.5 IPSec协议IKE密钥
交换技术 453
10.9.6 IPSec安全策略 456
附录A 常见端口及应用 459
附录B 常见木马清除方法 467
附录C 常见端口列表 477
网络管理是依靠技术还是依靠人力?
分散的安全设备要不要统一管理?如何统一管理?2004年,安全业界热炒的集中安全管理思想和解决方案是否已得到了用户的认可? 现在的防病毒软件有自己的管理系统,防火墙有自身管理系统,不同的系统有不同的网络管理软件,所以网络管理人员要保持对不同产品管理系统信息的检查。但是这些来自不同安全产品的信息之间存在很大的相关性,如果分开独立地看待这些来自单一设备的信息,很有可能会忽略到一些重要的细节,致使网络遭受重大打击。
设想,当一个攻击发生时,防病毒、防火墙、IDS产品都发出了自身的报警信息,由于缺乏事件的关联性,单一产品会产生大量的安全信息。这使网络管理人员无法进行及时处理,往往顾此失彼,手足无措,无法针对事件及时响应,迅速及时地给出一个良好、有效的解决办法。
不同安全产品的管理人员处理问题往往只针对自己产品本身,而没有统一调整整个网络的防御策略,这样往往会错过最佳时机,而无法使企业网络在遭受病毒或攻击的时候,最大限度地减少所遭受的损失。
如果这种状况持续下去,网络安全管理员所看到的永远只是一个相对独立的安全信息,就像是那个盲人摸象的故事。看问题只是看到了一个角,而没有看到问题的全部,那些细节和隐藏在外表下的真相可能恰恰被忽略,而它们往往是问题的关键所在。像电信运营商这样拥有庞大的全国性网络、网络中安全产品数量众多的大型企业,这种问题尤为突出。
不断叠加的网络设备,成几何级增长的数据,往往降低了企业对事故的响应速度。如果再加上一些莫名其妙的虚假警报,公司的网络运维人员数量将急剧增长,但这依然无法保证网络的安全,有的时候企业不得不因为某一两个人的一个微小错误或疏忽而付出高昂的代价。
这就是为什么企业在部署了众多安全设备后,依然无法有效地进行安全防范的原因。IT管理者们更希望在问题发生的时候,得到一个综合全面的安全报告,以了解企业网络到底处于什么样的状态,遭受过什么样的攻击,正面临着什么样的危险?而不是每一个产品信息的简单罗列,企业需要一个能集中管理所有产品信息、智能化的安全管理中心。
“安全是三分技术,七分管理。”已为大家所广泛熟知,但是怎么管理、怎么进行有效地管理却始终困绕着众多CIO。诚然,一个良好的安全机制和策略能给企业提供一定的安全保障,但面对网络中数目日益庞大的不同品牌和功能的安全产品,网络管理人员愈发捉襟见肘,单纯依靠人力的管理和维护不但效率低下,而且还面临很多不确定的因素和风险。
综上所述,不难看出,近年来,安全管理中心、集中安全管理平台的理念和整体解决方案越来越得到用户认可的一个深层次原因。
无论是网络安全的产业界,还是行业和企业用户,都越来越重视这一新兴的市场。很多厂商都从不同的层面,提出了各自的集中安全管理解决方案和思想。
现在要求禁止内网用户使用QQ、联众等聊天和网游软件的需求逐渐增多,不久前售后工程师就处理了一项此类业务。工程师在处理过程中发现了一些解决方法,现在进行一下总结,希望能供各位同事参考。下面就对这些应用来一一分析。
一、 阻断QQ的连接
新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送udp包。
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
在阻断8000端口的连接后,发现QQ还会通过udp的8001和tcp的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用,所以可以基于端口来作阻断规则。
在用防火墙阻断以上端口的数据包后,发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则,会影响用户的正常上网,所以只能对服务器的ip地址来作规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器:
218.17.217.106
219.133.40.95
219.133.40.97,
219.133.40.157,
219.133.40.177,
219.133.40.73,
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
在针对这些IP作阻断规则后,QQ已基本无法登录。
在试验中还发现,QQ安装目录下的Config.db文件,其中记录了QQ服务器的地址,与我们上面找到的完全符合。
因此,在用防火墙阻止用户使用QQ上网时,除了阻止tcp和udp的8000、8001端口外,还需阻断与QQ服务器的连接。下面列举了在试验中找到的和在网上查到的QQ服务器IP:
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40. 21/73/89/90/92/95/97/157/177/189(这个网段的服务器地址较多,可以考虑阻断整个网段)
虽然以上方法可以起到阻断QQ连接的作用,但如果腾讯增加新的QQ服务器,QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER等,支持Anonymous的Socks5代理还是可能绕过去,登陆使用QQ。
二、 阻断MSN的连接
MSN的连接在除使用常规的1863端口外,还会使用7001和80端口,因为这两个端口涉及到其他网络服务的应用,所以也只能采用阻断QQ连接的方法,通过阻断与MSN服务器的连接,来达到用户要求。
以下列举了在试验中找到的服务器IP:
64.4.12.200/201
65.54.194.117
207.46.68.23
207.46.104.20
207.46.107.14/125
207.46.110.27/28/254
经查询,这些服务器IP都是北美地区的。
同样,如微软添加新的MSN服务器或者用户使用代理,还是可以登录MSN。
三、 阻断联众的连接
阻断联众的连接相对来说就比较容易啦。在客户端连接服务器时,首先会与服务器的2000端口建立连接(61.55.138.219:2000)。在连接建立后,会用到服务器的1007、2001、2002、3015端口。
在试验中,只阻断了2000端口的数据包,客户端就已经无法连接服务器了。
四、 阻断可乐吧的连接
可乐吧客户端在连接服务器时,首先要打开可乐吧的主页(www.kele8.com),再通过主页进入游戏大厅,所有只要定义一个URL规则,过滤地址为“*kele8*”即可。
|
打印本页
关闭窗口