【正文】 都宣稱自己的產(chǎn)品是開放系統(tǒng),確實每一種系統(tǒng)都能滿足某種開放的特性,如可移植性、兼容性、伸縮性、互操作性等。但所有這些系統(tǒng)與開放系統(tǒng)的本質(zhì)特征不受某些廠商的壟斷和控制相去甚遠,只有UNIX完全符合這一條件。 專題十：網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全o 網(wǎng)絡(luò)管理的概念 n 網(wǎng)絡(luò)管理：簡單的說就是為了保證網(wǎng)絡(luò)系統(tǒng)能夠持續(xù)、穩(wěn)定、安全、可靠和高效地運行、不受外界干擾，對網(wǎng)絡(luò)系統(tǒng)設(shè)施的一系列方法和措施。為此，網(wǎng)絡(luò)管理的任務(wù)就是收集、監(jiān)控網(wǎng)絡(luò)中各種設(shè)備和設(shè)施的工作參數(shù)、工作狀態(tài)信息，顯示給管理員并接受處理，從而控制網(wǎng)絡(luò)中的設(shè)備、設(shè)施，工作參數(shù)和工作狀態(tài)，以實現(xiàn)對網(wǎng)絡(luò)的管理。 o 網(wǎng)絡(luò)管理的三個方面 n 了解網(wǎng)絡(luò) n 識別網(wǎng)絡(luò)對象的硬件情況 n 判別局域的拓撲結(jié)構(gòu) n 確定網(wǎng)絡(luò)的互連 n 確定用戶負載和定位 n 運行網(wǎng)絡(luò) n 配置網(wǎng)絡(luò) n 配置網(wǎng)絡(luò)服務(wù)器 n 網(wǎng)絡(luò)安全控制 n 網(wǎng)絡(luò)維護 n 常見網(wǎng)絡(luò)的故障和修復(fù) n 網(wǎng)絡(luò)檢查 n 網(wǎng)絡(luò)升級網(wǎng)絡(luò)管理功能o 配置管理 n 自動發(fā)現(xiàn)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，構(gòu)造和維護網(wǎng)絡(luò)的配置。監(jiān)視網(wǎng)絡(luò)被管對象的狀態(tài)，完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語法檢查，配置自動生成和自動配置備份系統(tǒng)，對于配置的一致進行嚴格的檢驗。 n 配置信息的自動獲取 n 自動配置、自動備份及相關(guān)技術(shù) n 配置一致性檢查 n 用戶操作記錄功能 o 性能管理 n 過濾、歸并網(wǎng)絡(luò)事件，有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障，給出排錯建議與排錯工具，形成整套的故障發(fā)現(xiàn)、告警與處理機制。 n 性能監(jiān)視 n 閾值控制 n 實時性能監(jiān)控 n 網(wǎng)絡(luò)對象性能查詢 o 故障管理 n 采集、分析網(wǎng)絡(luò)對象的性能數(shù)據(jù)，監(jiān)測網(wǎng)絡(luò)對象的性能，對網(wǎng)絡(luò)線路質(zhì)量進行分析。同時統(tǒng)計網(wǎng)絡(luò)運行狀態(tài)信息，對網(wǎng)絡(luò)的使用發(fā)展做出評測、估計，為網(wǎng)絡(luò)進一步規(guī)劃與調(diào)整提供依據(jù)。 n 故障監(jiān)測 n 故障報警 n 故障信息管理 n 排錯支持工具 n 檢索/分析故障信息o 安全管理 n 結(jié)合使用用戶認證、訪問控制、數(shù)據(jù)傳輸、存儲的保密與完整性機制，以保障網(wǎng)絡(luò)管理系統(tǒng)本身的安全。維護系統(tǒng)日志，使系統(tǒng)的使用和網(wǎng)絡(luò)對象的修改有據(jù)可查。控制對網(wǎng)絡(luò)資的訪問。 n 網(wǎng)絡(luò)本身的安全 n 網(wǎng)絡(luò)管理員身份的認證 n 管理信息存儲和傳輸?shù)募用芘c完整性 n 網(wǎng)絡(luò)管理用戶分組管理與訪問控制 n 系統(tǒng)日志分析 n 網(wǎng)絡(luò)對象的管理 n 網(wǎng)絡(luò)資源的訪問控制 n 告警事件分析 n 主機系統(tǒng)的安全漏洞檢測o 計費管理 n 對網(wǎng)絡(luò)互連設(shè)備按IP地址的雙向流量統(tǒng)計，產(chǎn)生多種信息統(tǒng)計報告及流量對比，并提供網(wǎng)絡(luò)計費工具，以便用戶據(jù)自定義的要求實施網(wǎng)絡(luò)計費。 n 計費數(shù)據(jù)采集 n 數(shù)據(jù)管理與數(shù)據(jù)維護 n 計費政策制定 n 政策比較與決策支持 n 數(shù)據(jù)分析與費用計算 n 數(shù)據(jù)查詢 網(wǎng)絡(luò)理協(xié)議o SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）是最早提出的網(wǎng)絡(luò)管理協(xié)議之一，已成為網(wǎng)絡(luò)管理領(lǐng)域中事實上的工業(yè)標準，并被廣泛支持和應(yīng)用，大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)和平臺都是基于SNMP的。SNMP是一個異步的請求/響應(yīng)協(xié)議，是一個非面向連接的協(xié)議，這樣SNMP實體不需要在發(fā)出請求后立即等待響應(yīng)的到來，因此SNMP響應(yīng)也可能丟失或出錯。 o CMIS/CMIP（公共管理信息服務(wù)/公共管理信息協(xié)議）是OSI提供的網(wǎng)絡(luò)管理協(xié)議簇。 o LMMP（局域網(wǎng)個人管理協(xié)議）它為LAN環(huán)境提供了一個網(wǎng)絡(luò)管理方案，該協(xié)議直接位于IEEE802邏輯鏈路層（LLC）上，它可以不依賴任何特定的網(wǎng)絡(luò)層協(xié)議進行網(wǎng)絡(luò)傳輸。但LMMP信息不能跨越路由器，從而限制了它只能在局域網(wǎng)中使用和發(fā)展。SNMP o SNMP概念 n 用戶數(shù)據(jù)網(wǎng)絡(luò)通常是使用SNMP協(xié)議進行管理的。SNMP(Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議)是一種廣為執(zhí)行的網(wǎng)絡(luò)協(xié)議，它使用嵌入到網(wǎng)絡(luò)設(shè)施中的代理軟件來收集網(wǎng)絡(luò)通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計數(shù)據(jù)。代理不斷地收集統(tǒng)計數(shù)據(jù)，如所收到的字節(jié)數(shù)等，并把這些數(shù)據(jù)記錄到一個管理信息庫(MIB，Management Information Base)中，網(wǎng)管員通過向代理的MIB發(fā)出查詢信號就可以得到這些信息，這個過程就叫做輪詢(polling)，是SNMP最基本的特點。 n SNMP的兩個最顯著的特點： n 雖然SNMP是為在TCP/IP之上使用而開發(fā)的，但它的監(jiān)測和控制活動是獨立于TCP/IP的。 n SNMP僅需要TCP/IP提供無連接的數(shù)據(jù)報傳輸服務(wù)。o SNMP的目標是管理互連網(wǎng)Internet中眾多廠家生產(chǎn)的軟硬件平臺，其提供了四類管理操作： n get操作：用于提取特定的網(wǎng)絡(luò)管理信息； n getnext操作：通過遍歷活動來提供強大的管理信息提取能力； n set操作：用來對管理信息進行控制； n trap(陷阱)操作：用來報告重要事件； o 工作方式： n 基于SNMP的網(wǎng)絡(luò)管理系統(tǒng)由網(wǎng)管系統(tǒng)工作站和被管設(shè)備組成。 n SNMP以GETSET方式替代了復(fù)雜的命令集，可以利用基本操作完成全部操作，同時，用戶可以采用管理信息庫標準或按標準的方式來定義自己的MIB。 n 在SNMP中，網(wǎng)管站（NMS）是網(wǎng)絡(luò)管理的實體，網(wǎng)管站里運行網(wǎng)絡(luò)管理軟件，它對網(wǎng)絡(luò)設(shè)備發(fā)送各種查詢報文，并接收來自被管設(shè)備的響應(yīng)及陷阱（Trap）報文，將結(jié)果顯示出來。 n 網(wǎng)管代理（Agent）則是駐留在被管設(shè)備（如路由器、交換機等）上的一個進程，負責(zé)接受、處理來自網(wǎng)管站的請求報文，然后將設(shè)備接口等特性管理變量的數(shù)值形成響應(yīng)報文，發(fā)送給NMS，并在一些緊急情況下，主動通知NMS（發(fā)送陷阱Trap報文）。SNMP就是用來規(guī)定NMS和Agent之間是如何傳遞管理信息的應(yīng)用層協(xié)議。 o SNMP的基本組成 n 管理代理n 管理代理Agent是一種軟件，在被管理的網(wǎng)絡(luò)設(shè)備中運行，負責(zé)執(zhí)行管理進程的管理操作。管理代理直接操作本地信息庫(MIB),如果管理進程需要,它可以根據(jù)要求改變本地信息庫或提取數(shù)據(jù)傳回到管理進程。 n 管理代理的作用：每個管理代理Agent擁有自己的本地MIB，一個管理代理管理的本地MIB不一定具有Internet定義的MIB的全部內(nèi)容，而只需要包括與本地設(shè)備或設(shè)施有關(guān)的管理對象。 n 管理代理具有兩個基本管理功能：從MIB中讀取各種變量值；在MIB中修改各種變量值。 n 管理進程n 管理進程Manager是一個或一組軟件程序，一般運行在網(wǎng)絡(luò)管理站(或網(wǎng)絡(luò)管理中心)的主機上,它可以在SNMP的支持下命令管理代理執(zhí)行各種管理操作。 n 管理進程Manager的功能：管理進程Manager完成各種網(wǎng)絡(luò)管理功能，通過各設(shè)備中的管理代理對網(wǎng)絡(luò)內(nèi)的各種設(shè)備、設(shè)施和資源實施監(jiān)測和控制。另外,操作人員通過管理進程對全網(wǎng)進行管理。因而管理進程也經(jīng)常配有圖形用戶接口，以容易操作的方式顯示各種網(wǎng)絡(luò)信息,如給出網(wǎng)絡(luò)中各管理代理的配置圖等。有時管理進程也會對各管理代理中的數(shù)據(jù)集中存檔,以備事后分析。 n 管理信息庫 n 管理信息庫MIB是一個概念上的數(shù)據(jù)庫,由管理對象組成,每個管理代理管理MIB中屬于本地的管理對象,各管理代理控制的管理對象共同構(gòu)成全網(wǎng)的管理信息庫。 n 管理信息庫MIB的結(jié)構(gòu)必須符合使用TCP/IP的Internet的管理信息結(jié)構(gòu)(SMI)。這個SMI實際上是參照OSI的管理信息結(jié)構(gòu)制定的。盡管兩個SMI基本一致,但SNMP和OSI的MIB中定義的管理對象卻并不相同。Internet的SMI和相應(yīng)的MIB是獨立于具體的管理協(xié)議的(包括SNMP)。 n 有三個版本，現(xiàn)在常用的是MIB2。專題十一：網(wǎng)絡(luò)安全基礎(chǔ)o 網(wǎng)絡(luò)安全的有關(guān)概念 n 安全與保密：計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中用戶共享的軟、硬件等各種資源是否安全，不受到有意和無意的各種破壞，不被非法侵用等。研究計算機網(wǎng)絡(luò)安全問題必然要涉及到保密問題，但安全同保密卻不是等同的兩個概念。在研究網(wǎng)絡(luò)安全問題時，針對非法侵用、盜竊機密等方面的安全問題要用保密技術(shù)加以解決。保密是指為維護用戶自身利益，對資源加以防止非法侵用和防止盜取，使非法用戶不能使用和盜取不到，既使非法用戶盜取到了資源也識別不了的方法。 n 風(fēng)險與威脅：風(fēng)險是指損失的程度；威脅是指對資產(chǎn)構(gòu)成威脅的人、物、事、想法等。其中資產(chǎn)是進行風(fēng)險分析的核心內(nèi)容，它是系統(tǒng)要保護的東西及其價值，網(wǎng)絡(luò)系統(tǒng)中的資產(chǎn)主要是數(shù)據(jù)。威脅會利用系統(tǒng)所暴露出的弱點和要害之處對系統(tǒng)進行攻擊，威脅包括有意和無意兩種。 n 敏感信息：指那些丟失、濫用、被非法授權(quán)人訪問或修改的信息，是泄露、破壞、不可使用或修改后對組織造成損失的信息。 n 脆弱性：指在系統(tǒng)中安全防護的弱點或缺少用于防止某些威脅的安全防護。脆弱性與威脅是密切相關(guān)的。 網(wǎng)絡(luò)安全o 網(wǎng)絡(luò)安全的威脅 n 非法授權(quán)訪問 n 信息泄漏或丟失 n 破壞數(shù)據(jù)完整性 n 拒絕服務(wù)攻擊 n 病毒 o 網(wǎng)絡(luò)安全控制技術(shù) n 防火墻技術(shù) n 加密技術(shù) n 用戶識別技術(shù) n 訪問控制技術(shù) n 反病毒技術(shù) n 漏洞掃描技術(shù) n 入侵檢測技術(shù)黑客攻擊手段 q 口令入侵 n 暴力功擊 n 中途截取 q 安放木馬 q DoS攻擊 q 端口掃描 q 網(wǎng)絡(luò)監(jiān)聽 q 欺騙攻擊 q 電子郵件攻擊可信計算機安全o 可信計算機安全評估準則 n D類：沒有保護的網(wǎng)絡(luò) n D1 n C類：能夠提供審慎的保護，并為用戶的行動和責(zé)任提供審計能力 n C1：用戶和數(shù)據(jù)分開 n C2：用戶能對各自的行為負責(zé) n B類：強制性保護功能 n B1 n B2 n B3 n A類：安全級別最高 n A1：系統(tǒng)設(shè)計者必須按照一個正式的設(shè)計規(guī)范來分析系統(tǒng)。我國計算機信息系統(tǒng)安全保護等級劃分 o 我國計算機信息系統(tǒng)安全保護等級劃分 n 第一級：用戶自主保護級（TCSEC的C1級） n 第二級：系統(tǒng)審計保護級（TCSEC的C2級） n 第三級：安全標記保護級（TCSEC的B1級） n 第四級：結(jié)構(gòu)化保護級（TCSEC的B2級） n 第五級：訪問驗證保護級（TCSEC的B3級）防火墻o 定義：防火墻通常是運行在一臺單獨計算機之上的一個特別的服務(wù)軟件，用來保護由許多臺計算機組成的內(nèi)部網(wǎng) o 主要功能： n 對進出的數(shù)據(jù)包進行過濾 n 對網(wǎng)絡(luò)攻擊行為進行檢測和報警 n 記錄通過防火墻的信息和活動 n 控制對特殊站點的訪問。 o 幾個相關(guān)概念 n 非信任網(wǎng)絡(luò) n 信任網(wǎng)絡(luò) n 非軍事化區(qū)（DMZ） n 可信主機 n 非可信主機 n 公網(wǎng)IP n 保留IP n — n n n 包過濾 n 地址轉(zhuǎn)換 o 防火墻的優(yōu)點、缺點 n 防火墻能強化安全策略 n 防火墻能有效的記錄因特網(wǎng)上的活動 n 防火墻是一個安全策略的邊防站 n 防火墻不能防范不經(jīng)由防火墻的攻擊 n 防火墻不能防止感染了病毒的軟件或文件的傳輸 n 防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊 o 防火墻的分類及工作原理 n 包過濾防火墻 n 應(yīng)用網(wǎng)關(guān) n 狀態(tài)檢測防火墻專題十二：網(wǎng)絡(luò)工程o 網(wǎng)絡(luò)工程是根據(jù)用戶單位的需求及具體情況，結(jié)合現(xiàn)時網(wǎng)絡(luò)技術(shù)的發(fā)展水平及產(chǎn)品化程度，經(jīng)過充分的需求分析和市場調(diào)研，從而確定網(wǎng)絡(luò)建設(shè)方案，依據(jù)方案有步驟、有計劃實施的網(wǎng)絡(luò)建設(shè)活動。 o 網(wǎng)絡(luò)工程建設(shè)是一項復(fù)雜的系統(tǒng)工程，一般分為網(wǎng)絡(luò)規(guī)劃和設(shè)計階段、工程組織和實施階段以及系統(tǒng)運行維護階段 網(wǎng)絡(luò)規(guī)劃 o 網(wǎng)絡(luò)規(guī)劃是在用戶需求分析和系統(tǒng)可行性論證基礎(chǔ)上確定網(wǎng)絡(luò)總體方案和網(wǎng)絡(luò)體系結(jié)構(gòu)的過程。網(wǎng)絡(luò)規(guī)劃直接影響到網(wǎng)絡(luò)的性能和分布情況，一項網(wǎng)絡(luò)工程能不能既經(jīng)濟實用，以兼顧長遠發(fā)展，網(wǎng)絡(luò)規(guī)劃是重要的一環(huán)。 o 需求分析 n 了解用戶單位所從事的行業(yè)、該單位在行業(yè)內(nèi)的地位及其他單位的關(guān)系等，不同的單位對信息網(wǎng)絡(luò)的需求和它本身在信息網(wǎng)絡(luò)中所承擔(dān)的角色各不相同，不同角色的單位在進行網(wǎng)絡(luò)規(guī)劃建設(shè)時采取的策略也不同。 n 對用戶單位的建網(wǎng)目的和目標進行分析之后，應(yīng)進行縱向的，更加細致的需求分析和調(diào)研，從而明確以下幾個方面的情況： n 地理布局n 用戶設(shè)備類型n 網(wǎng)絡(luò)服務(wù)n 通信類型和通信量n 容量和性能n 網(wǎng)絡(luò)現(xiàn)狀 o 可行性分析是結(jié)合用戶單位的具體情況，論證建網(wǎng)目標的科學(xué)性和正確性。通過可行性分析可以提出一個解決用戶問題的網(wǎng)絡(luò)體系結(jié)構(gòu)，它包括以下4方面內(nèi)容：n 傳輸n 用戶接口n 服務(wù)器n 網(wǎng)絡(luò)管理能力 o 可行性分析的另一個重要影響困素是造價網(wǎng)絡(luò)設(shè)計 o 網(wǎng)絡(luò)設(shè)計原則 n 網(wǎng)絡(luò)設(shè)計過程中為了使方案可行且能保護用戶投資，要注意以下一些原則 n 成熟性 n 開放原則 n 安全可靠原則 n 先進原則 n 完整性原則 n 可擴展性o 網(wǎng)絡(luò)體系結(jié)構(gòu) n 網(wǎng)絡(luò)系統(tǒng)的體系結(jié)構(gòu)包括功能的分層及各層功能通信所遵守的協(xié)議。網(wǎng)絡(luò)系統(tǒng)設(shè)計的第一步就是選擇網(wǎng)絡(luò)體系結(jié)構(gòu)，核心內(nèi)容是決策應(yīng)當(dāng)采用的協(xié)議集合。 n TCP/IP是網(wǎng)絡(luò)通訊協(xié)議的事實上的國際工業(yè)標準，并已得到了普遍的推廣。 n ISO/OSI是公認的網(wǎng)絡(luò)通信體系結(jié)構(gòu)，但卻未普及。o 邏輯網(wǎng)絡(luò)設(shè)計o 設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu) n 拓撲結(jié)構(gòu)是指互聯(lián)網(wǎng)絡(luò)的結(jié)構(gòu)映像圖，它用來指示組成網(wǎng)絡(luò)的網(wǎng)段、互聯(lián)點及用戶分布 n 地址分配和命名策略 n 橋接、交換和路由選擇協(xié)議 o 橋接和交換方法的決策較為簡單，因為選擇范圍很有限，在選擇以太網(wǎng)網(wǎng)絡(luò)或交換機時，最好使用生成樹協(xié)議的透明網(wǎng)橋。 o 不同的路由協(xié)議其工作方式不一樣，也具有不同的應(yīng)用場合，如RIP協(xié)議它主要的特點是：簡單