計(jì)算機(jī)網(wǎng)絡(luò)管理研究

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了計(jì)算機(jī)網(wǎng)絡(luò)管理研究范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

1計(jì)算機(jī)網(wǎng)絡(luò)安全的提出

隨著企業(yè)信息化建設(shè)的不斷深入，各個(gè)企業(yè)通過(guò)專線的連接，打通了一扇通向外部世界的窗戶，外界訪問(wèn)者可以直接與網(wǎng)絡(luò)中心進(jìn)行數(shù)據(jù)交流、查詢資料等。另外，為了方便對(duì)外信息服務(wù)與交流，各企業(yè)還設(shè)有對(duì)外的WWW服務(wù)器和MAIL等服務(wù)器，可以直接對(duì)外信息或者發(fā)送電子郵件。高速交換技術(shù)采用靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)，為用戶提供快速、方便、靈活通信平臺(tái)的同時(shí)，也給網(wǎng)絡(luò)的安全帶來(lái)了更大的風(fēng)險(xiǎn)。因此，在原有網(wǎng)絡(luò)上實(shí)施一套完整、可操作的安全解決方案是必需的。近幾年，鐵路信息化步伐不斷加快，車輛、運(yùn)輸、機(jī)車、工務(wù)、電務(wù)、財(cái)務(wù)、統(tǒng)計(jì)、辦公等鐵路各計(jì)算機(jī)信息系統(tǒng)先后建立，功能從鐵路運(yùn)輸生產(chǎn)內(nèi)部環(huán)節(jié)的全局全網(wǎng)實(shí)時(shí)性管理，和車號(hào)、軸溫、雨量等數(shù)據(jù)的采集與監(jiān)控圖像的傳送，到辦公自動(dòng)化，使鐵路各部門借助網(wǎng)絡(luò)和計(jì)算機(jī)提高了工作效率，實(shí)現(xiàn)了綜合管理，降低了運(yùn)營(yíng)成本。但由于TMIS、TDCS、CTC、PMIS等各業(yè)務(wù)網(wǎng)的開(kāi)放性、共享性、互聯(lián)程度的增強(qiáng)與提高，網(wǎng)絡(luò)安全問(wèn)題顯得越來(lái)越重要，一旦被侵入，將對(duì)鐵路運(yùn)輸安全構(gòu)成重大威脅，后果不堪設(shè)想。網(wǎng)絡(luò)攻擊的破壞性強(qiáng)、影響范圍大、難以斷定，是威脅網(wǎng)絡(luò)質(zhì)量和安全的頭號(hào)殺手。由于TCP/IP協(xié)議的不完善、UDP協(xié)議的不可靠以及計(jì)算機(jī)程序的錯(cuò)誤，造成了網(wǎng)絡(luò)上的許多漏洞，但這并不是說(shuō)，面對(duì)這些我們束手無(wú)測(cè)。借助完善嚴(yán)密的管理制度、科學(xué)有效的技術(shù)方法，可以盡可能降低危險(xiǎn)，做到防患于未然。一個(gè)管理不嚴(yán)，沒(méi)有安全措施的網(wǎng)絡(luò)就等于是為居心叵測(cè)的人虛掩著網(wǎng)絡(luò)的大門，一旦出現(xiàn)問(wèn)題網(wǎng)絡(luò)將全然沒(méi)有抵御能力。

2強(qiáng)化安全意識(shí)，加強(qiáng)內(nèi)部管理

人們常說(shuō)網(wǎng)絡(luò)安全是七分管理三分技術(shù)，說(shuō)明了管理對(duì)安全的重要性。加強(qiáng)管理可以從下幾個(gè)方面入手：

2.1設(shè)置密碼

密碼是網(wǎng)絡(luò)安全的門戶，一旦密碼被攻破，網(wǎng)絡(luò)對(duì)外界就洞開(kāi)了一道大門。因此，所有設(shè)備和主機(jī)能設(shè)置密碼的都要設(shè)置，而且要足夠長(zhǎng)，不易被破解，并定期更換。

2.2控制路由器的訪問(wèn)權(quán)限

網(wǎng)絡(luò)防御下一步重點(diǎn)工作就是控制路由器訪問(wèn)。應(yīng)設(shè)置幾種權(quán)限的密碼，超級(jí)管理密碼知道的人越少越好，普通維護(hù)人員僅限于使用監(jiān)測(cè)級(jí)登陸設(shè)備。控制對(duì)路由器的訪問(wèn)權(quán)限不僅僅是保護(hù)路由器本身，也保護(hù)拓?fù)浣Y(jié)構(gòu)和所有計(jì)算機(jī)系統(tǒng)的操作、配置以及權(quán)限。

2.3設(shè)置可信任地址段

對(duì)訪問(wèn)的主機(jī)IP設(shè)置可信任地址段，防止非法IP登陸系統(tǒng)。

2.4保護(hù)機(jī)房?jī)?nèi)的電腦

機(jī)房?jī)?nèi)的電腦往往也是黑客利用的工具，如果不加保護(hù)，黑客通過(guò)潛入系統(tǒng)就可以盜取信息或作為跳板攻擊網(wǎng)絡(luò)。每臺(tái)主機(jī)都應(yīng)該安裝防火墻和殺毒軟件，定期下載補(bǔ)丁升級(jí)系統(tǒng)，設(shè)置復(fù)雜的開(kāi)機(jī)密碼，不使用共享，停止一切不必要的服務(wù)，禁止危險(xiǎn)的端口，牢牢關(guān)死這道進(jìn)入網(wǎng)絡(luò)系統(tǒng)的大門。

3了解網(wǎng)絡(luò)攻擊的途徑，才能對(duì)癥下藥

只有了解網(wǎng)絡(luò)攻擊的一般途徑，才能從根源上消除不安全因素。網(wǎng)絡(luò)遭受攻擊可能的原因不外乎以下幾種：

3.1利用協(xié)議，采集信息

不速之客可能會(huì)利用下列公開(kāi)協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)主機(jī)系統(tǒng)的相關(guān)信息：（1）SNMP協(xié)議：用來(lái)查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)。（2）TraceRoute程序：能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由器數(shù)。（3）Whois協(xié)議：該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。（4）DNS服務(wù)器：該服務(wù)器提供了系統(tǒng)中可以訪問(wèn)的主機(jī)IP地址表和所對(duì)應(yīng)的主機(jī)名。（5）Ping實(shí)用程序：可以用來(lái)確定一個(gè)指定的主機(jī)的位置。

3.2利用工具，主動(dòng)攻擊

在收集到攻擊目標(biāo)的一批網(wǎng)絡(luò)信息之后，黑客會(huì)探測(cè)目標(biāo)網(wǎng)絡(luò)上的每臺(tái)主機(jī)，以尋求該系統(tǒng)的安全漏洞或安全弱點(diǎn)。其主要利用下列方式進(jìn)行探測(cè)：（1）自編程序：對(duì)某些產(chǎn)品或者系統(tǒng)，已經(jīng)發(fā)現(xiàn)了一些安全漏洞，但是用戶并不一定及時(shí)使用對(duì)這些漏洞的“補(bǔ)丁”程序，因此入侵者自己可以編寫(xiě)程序，通過(guò)這些漏洞進(jìn)入目標(biāo)系統(tǒng)。（2）利用公開(kāi)的工具：象Internet的電子安全掃描程序IIS、審計(jì)網(wǎng)絡(luò)用的安全分析工具SATAN等這樣的工具，可以對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋找安全漏洞。（3）慢速掃描：由于一般掃描偵測(cè)器的實(shí)現(xiàn)是通過(guò)監(jiān)視某個(gè)時(shí)間段里一臺(tái)特定主機(jī)發(fā)起的連接數(shù)目來(lái)決定是否在被掃描，這樣黑客可以通過(guò)使用掃描速度慢一些的掃描軟件進(jìn)行掃描。（4）體系結(jié)構(gòu)探測(cè)：黑客利用一些特定的數(shù)據(jù)包傳送給目標(biāo)主機(jī)，使其做出相應(yīng)的響應(yīng)。由于每種操作系統(tǒng)都有其獨(dú)特的響應(yīng)方式，將此獨(dú)特的響應(yīng)與數(shù)據(jù)庫(kù)中的已知響應(yīng)進(jìn)行匹配，經(jīng)常能夠確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)及其版本等信息。

4采取技術(shù)手段，加強(qiáng)安全防范

4.1理解協(xié)議功能，減少協(xié)議使用

理解各協(xié)議工作的原理,使用的協(xié)議越少越好，不使用缺省設(shè)置，增強(qiáng)協(xié)議的安全性，了解IP包尋址和路由的方法。

4.2從底層設(shè)備入手，采取層層防范

網(wǎng)絡(luò)安全應(yīng)是一個(gè)立體防御體系，通過(guò)層層防范，盡可能將攻擊攔截在最外端。交換機(jī)上劃分VLAN將用戶與系統(tǒng)進(jìn)行隔離；路由器或三層交換機(jī)上劃分網(wǎng)段，將用戶與系統(tǒng)隔離；配置防火墻，杜絕DOS攻擊。防火墻的設(shè)置內(nèi)容應(yīng)考慮到以下幾個(gè)方面：（1）IP源路由（應(yīng)配置noipsource-route）；（2）控制ICMP包(如noipunreachables、npipredirects或允許某些IPPING到哪里，禁止哪個(gè)IP段的PING)；（3）防止IP地址欺騙，如denyip0.0.0.00.255.255.255any，denyip127.0.0.00.255.255.255.255any；（4）防止DOS攻擊,使用入口過(guò)濾禁止非信任主機(jī)訪問(wèn)，如permitip10.10.1.100.0.0.255any，denyipanyany

4.3采用VPN加密技術(shù)，防止信息泄露

VPN虛擬專用網(wǎng)或虛擬私有網(wǎng)，指的是以公用開(kāi)放的網(wǎng)絡(luò)作為基本傳輸媒體，通過(guò)加密和驗(yàn)證網(wǎng)絡(luò)流量來(lái)保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫?huì)被竊取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(PrivateNetwork)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。在網(wǎng)絡(luò)層可以通過(guò)在路由器上配置MPLSVPN協(xié)議實(shí)現(xiàn)，在接入層可以通過(guò)在用戶終端增加VPN設(shè)備或在計(jì)算機(jī)上建立VPN連接來(lái)實(shí)現(xiàn)。

5網(wǎng)絡(luò)攻擊處理實(shí)例

通過(guò)以上各個(gè)環(huán)節(jié)，網(wǎng)絡(luò)的安全性大大提高了，但這也還保證不了網(wǎng)絡(luò)不被攻擊。出現(xiàn)攻擊后該怎么辦，怎樣迅速排除故障，下面就以一次網(wǎng)絡(luò)攻擊實(shí)例來(lái)說(shuō)明。某次做完網(wǎng)絡(luò)優(yōu)化調(diào)整，所有用戶反映網(wǎng)速很慢，技術(shù)人員首先PING各個(gè)設(shè)備看是否有丟包，發(fā)現(xiàn)核心三層交換機(jī)RS3000和路由器NE08掉線嚴(yán)重。經(jīng)查，核心交換機(jī)RS3000CPU利用率達(dá)到了100%，顯然這是一種非正常流量造成的CPU處理能力崩潰。通過(guò)逐個(gè)斷開(kāi)交換機(jī)RS3000端口的網(wǎng)線，故障仍無(wú)法排除，也無(wú)法定位引起的故障對(duì)象。這時(shí)，我們想到了sniffer抓包工具的強(qiáng)大功能，利用sniffer抓包有個(gè)前提條件，就是要使用共享式的網(wǎng)絡(luò)設(shè)備（如HUB）或在交換機(jī)上通過(guò)鏡像監(jiān)測(cè)某個(gè)端口。我們采取了端口鏡像的方法，在交換機(jī)的空端口接筆記本，對(duì)交換機(jī)與路由器互聯(lián)的上行口進(jìn)行抓包。通過(guò)抓包我們發(fā)現(xiàn)，大量的信息顯示的都是源IP地址和目的IP地址相同的某個(gè)IP（222.41.94.94）的包，我們立即查到這是一個(gè)網(wǎng)吧的IP。由于該網(wǎng)吧當(dāng)日未接網(wǎng)絡(luò)，端口狀態(tài)是down的，既然網(wǎng)吧未上網(wǎng)，源IP地址怎么會(huì)是網(wǎng)吧的呢？我們馬上在路由器上對(duì)該IP配置黑洞路由：iproute-static222.41.94.94255.255.255.255NULL0，將到達(dá)222.41.94.94的包讓黑洞吸收后網(wǎng)絡(luò)立即恢復(fù)正常。當(dāng)時(shí)做這項(xiàng)配置僅僅是從感覺(jué)出發(fā)，至于為什么網(wǎng)吧沒(méi)有在線卻為何會(huì)出現(xiàn)這樣的問(wèn)題很困惑。靜下心后我們仔細(xì)分析，發(fā)現(xiàn)，由于IP路由是基于目的地址的數(shù)據(jù)包每跳轉(zhuǎn)發(fā)，每個(gè)路由器必須有精確的相同網(wǎng)絡(luò)的拓?fù)湫畔?，此外每個(gè)路由器必須精確地運(yùn)行相同的路由計(jì)算算法，如果不能保證這最后兩條，將導(dǎo)致路由環(huán)路和黑洞。這就是一起路由環(huán)路造成的故障，某人探測(cè)到該網(wǎng)吧IP后對(duì)自己的IP進(jìn)行了偽裝，以網(wǎng)吧的IP發(fā)送數(shù)據(jù)到路由器，路由器查找路由表后向交換機(jī)發(fā)送，正是由于網(wǎng)吧下線，三層交換機(jī)RS3000才找不到目的IP，查找路由表后按照缺省路由送回路由器NE08，NE08又向RS3000發(fā)送，來(lái)來(lái)回回造成了數(shù)據(jù)無(wú)法送達(dá)，形成了環(huán)路，越積越多最終使設(shè)備無(wú)法處理而癱瘓。通過(guò)這次故障的處理，我們看到了在路由器上配置防火墻的必要性，通過(guò)在三層交換機(jī)和路由器上配置擴(kuò)展訪問(wèn)列表拒絕源IP等于目的IP的報(bào)文，這樣所有該類攻擊（其他IP）都可以防范。

6結(jié)束語(yǔ)

本文從TCP/IP技術(shù)方面探討了提高安全性的方法，作為一個(gè)網(wǎng)絡(luò)構(gòu)建者和運(yùn)營(yíng)者，需要綜合考慮，將安全策略、硬件及軟件等方法結(jié)合起來(lái)，構(gòu)成一個(gè)從接入層到網(wǎng)絡(luò)層、應(yīng)用層，從計(jì)算機(jī)終端到服務(wù)器、數(shù)據(jù)庫(kù)的統(tǒng)一的防御系統(tǒng)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。