隨著設(shè)備的增多,網(wǎng)絡(luò)規(guī)模的擴(kuò)大,網(wǎng)絡(luò)管理的負(fù)擔(dān)也在進(jìn)一步加重。作為一個(gè)單位的網(wǎng)絡(luò)管理員,你是否經(jīng)常遭遇這樣的問(wèn)題:?jiǎn)挝痪W(wǎng)絡(luò)出故障了,你忙得焦頭爛額,卻一點(diǎn)頭緒也沒(méi)有,原因是,雖然你單位網(wǎng)絡(luò)的架構(gòu)早已完成,可是由于歷史原因,網(wǎng)絡(luò)組建早,仍有很多地方并不合理,例如:安全-漏洞百出,網(wǎng)線-雜亂無(wú)章,設(shè)備-品牌眾多,管理-混亂一團(tuán)糟。面對(duì)這些復(fù)雜的情況,如何搞好病毒的防范、作好業(yè)務(wù)的升級(jí)......已成為令網(wǎng)絡(luò)管理員十分頭疼的問(wèn)題,你應(yīng)該如何入手呢? 隨著企業(yè)業(yè)務(wù)變得越來(lái)越富有挑戰(zhàn)性,信息技術(shù)領(lǐng)域的工作也變得越來(lái)越復(fù)雜。要管理由各種LAN、Intranet和Extranet構(gòu)成的混合網(wǎng)絡(luò),網(wǎng)絡(luò)管理員如何優(yōu)化設(shè)備和網(wǎng)絡(luò)配置,使網(wǎng)絡(luò)系統(tǒng)充分發(fā)揮優(yōu)勢(shì),是今天網(wǎng)絡(luò)管理員們正面臨的一項(xiàng)艱巨任務(wù)。網(wǎng)絡(luò)管理是一個(gè)關(guān)鍵環(huán)節(jié),網(wǎng)絡(luò)管理的質(zhì)量也會(huì)直接影響網(wǎng)絡(luò)的運(yùn)行效率。因此,計(jì)算機(jī)系統(tǒng)有一定規(guī)模并連網(wǎng)的企業(yè),就有網(wǎng)管的需求,尤其是辦公地點(diǎn)分布于各處的企業(yè),有了網(wǎng)管系統(tǒng)為網(wǎng)絡(luò)把脈,就可查看全網(wǎng)的網(wǎng)絡(luò)連接關(guān)系,實(shí)時(shí)監(jiān)控各種網(wǎng)絡(luò)設(shè)備可能出現(xiàn)的問(wèn)題,檢測(cè)網(wǎng)絡(luò)性能瓶頸出在何處,并進(jìn)行自動(dòng)處理或遠(yuǎn)程修復(fù),實(shí)現(xiàn)高效的網(wǎng)絡(luò)管理,促進(jìn)網(wǎng)絡(luò)的高效運(yùn)轉(zhuǎn)。 一、網(wǎng)絡(luò)管理的概念伴隨著網(wǎng)絡(luò)業(yè)務(wù)和應(yīng)用的豐富,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的管理與維護(hù)也就變得至關(guān)重要。 網(wǎng)絡(luò)管理是計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一,尤其在大型計(jì)算機(jī)網(wǎng)絡(luò)中更是如此。網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動(dòng)的總稱。其目標(biāo)是確保計(jì)算機(jī)網(wǎng)絡(luò)的持續(xù)正常運(yùn)行,并在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行出現(xiàn)異常時(shí)能及時(shí)響應(yīng)和排除故障。 關(guān)于網(wǎng)絡(luò)管理的定義目前很多,但都不夠權(quán)威。一般來(lái)說(shuō),網(wǎng)絡(luò)管理就是通過(guò)某種方式對(duì)網(wǎng)絡(luò)進(jìn)行管理,使網(wǎng)絡(luò)能正常高效地運(yùn)行。其目的很明確,就是使網(wǎng)絡(luò)中的資源能夠得到更加有效的利用,當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)能及時(shí)報(bào)告和處理,并協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效運(yùn)行等。國(guó)際標(biāo)準(zhǔn)化組織(ISO)在ISO/IEC7498-4中定義并描述了開放系統(tǒng)互連(OSI)管理的術(shù)語(yǔ)和概念,提出了一個(gè)OSI管理的結(jié)構(gòu)并描述了OSI管理應(yīng)有的行為。它認(rèn)為,開放系統(tǒng)互連管理是指這樣一些功能,它們控制、協(xié)調(diào)、監(jiān)視OSI環(huán)境下的一些資源,這些資源保證OSI環(huán)境下的通信。通常對(duì)一個(gè)網(wǎng)絡(luò)管理系統(tǒng)需要定義以下內(nèi)容: ●系統(tǒng)的結(jié)構(gòu)。即網(wǎng)絡(luò)管理系統(tǒng)的結(jié)構(gòu)是怎樣的。 ●網(wǎng)絡(luò)資源的表示。網(wǎng)絡(luò)管理很大一部分是對(duì)網(wǎng)絡(luò)中資源的管理。網(wǎng)絡(luò)中的資源就是指網(wǎng)絡(luò)中的硬件、軟件以及所提供的服務(wù)等。而一個(gè)網(wǎng)絡(luò)管理系統(tǒng)必須在系統(tǒng)中將它們表示出來(lái),才能對(duì)其進(jìn)行管理。 ●網(wǎng)絡(luò)管理信息的表示。網(wǎng)絡(luò)管理系統(tǒng)對(duì)網(wǎng)絡(luò)的管理主要靠系統(tǒng)中網(wǎng)絡(luò)管理信息的傳遞來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)管理信息應(yīng)如何表示、怎樣傳遞、傳送的協(xié)議是什么?這都是一個(gè)網(wǎng)絡(luò)管理系統(tǒng)必須考慮的問(wèn)題。 二、網(wǎng)絡(luò)管理和網(wǎng)管軟件的分類及功能事實(shí)上,網(wǎng)絡(luò)管理技術(shù)是伴隨著計(jì)算機(jī)、網(wǎng)絡(luò)和通信技術(shù)的發(fā)展而發(fā)展的,二者相輔相成。 從網(wǎng)絡(luò)管理范疇來(lái)分類,可分為對(duì)網(wǎng)"路"的管理。即針對(duì)交換機(jī)、路由器等主干網(wǎng)絡(luò)進(jìn)行管理;對(duì)接入設(shè)備的管理,即對(duì)內(nèi)部PC、服務(wù)器、交換機(jī)等進(jìn)行管理;對(duì)行為的管理。即針對(duì)用戶的使用進(jìn)行管理;對(duì)資產(chǎn)的管理,即統(tǒng)計(jì)IT軟硬件的信息等。根據(jù)網(wǎng)管軟件的發(fā)展歷史,可以將網(wǎng)管軟件劃分為三代: 第一代網(wǎng)管軟件就是最常用的命令行方式,并結(jié)合一些簡(jiǎn)單的網(wǎng)絡(luò)監(jiān)測(cè)工具,它不僅要求使用者精通網(wǎng)絡(luò)的原理及概念,還要求使用者了解不同廠商的不同網(wǎng)絡(luò)設(shè)備的配置方法。 第二代網(wǎng)管軟件有著良好的圖形化界面。用戶無(wú)須過(guò)多了解設(shè)備的配置方法,就能圖形化地對(duì)多臺(tái)設(shè)備同時(shí)進(jìn)行配置和監(jiān)控。大大提高了工作效率,但仍然存在由于人為因素造成的設(shè)備功能使用不全面或不正確的問(wèn)題,容易引發(fā)誤操作。 第三代網(wǎng)管軟件相對(duì)來(lái)說(shuō)比較智能,是真正將網(wǎng)絡(luò)和管理進(jìn)行有機(jī)結(jié)合的軟件系統(tǒng),具有"自動(dòng)配置"和"自動(dòng)調(diào)整"功能。對(duì)網(wǎng)管人員來(lái)說(shuō),只要把用戶情況、設(shè)備情況以及用戶與網(wǎng)絡(luò)資源之間的分配關(guān)系輸入網(wǎng)管系統(tǒng),系統(tǒng)就能自動(dòng)地建立圖形化的人員與網(wǎng)絡(luò)的配置關(guān)系,并自動(dòng)鑒別用戶身份,分配用戶所需的資源(如電子郵件、Web、文檔服務(wù)等)。 根據(jù)國(guó)際標(biāo)準(zhǔn)化組織定義網(wǎng)絡(luò)管理有五大功能:故障管理、配置管理、性能管理、安全管理、計(jì)費(fèi)管理。對(duì)網(wǎng)絡(luò)管理軟件產(chǎn)品功能的不同,又可細(xì)分為五類,即網(wǎng)絡(luò)故障管理軟件,網(wǎng)絡(luò)配置管理軟件,網(wǎng)絡(luò)性能管理軟件,網(wǎng)絡(luò)服務(wù)/安全管理軟件,網(wǎng)絡(luò)計(jì)費(fèi)管理軟件。 下面簡(jiǎn)單介紹一下網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)配置管理、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)計(jì)費(fèi)管理和網(wǎng)絡(luò)安全管理五個(gè)方面網(wǎng)絡(luò)管理功能: ●網(wǎng)絡(luò)故障管理計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)發(fā)生意外中斷是常見的,這種意外中斷在某些重要的時(shí)候可能會(huì)對(duì)社會(huì)或生產(chǎn)帶來(lái)很大的影響。但是,與單計(jì)算機(jī)系統(tǒng)不同的是,在大型計(jì)算機(jī)網(wǎng)絡(luò)中,當(dāng)發(fā)生失效故障時(shí),往往不能輕易、具體地確定故障所在的準(zhǔn)確位置,而需要相關(guān)技術(shù)上的支持。因此,需要有一個(gè)故障管理系統(tǒng),科學(xué)地管理網(wǎng)絡(luò)發(fā)生的所有故障,并記錄每個(gè)故障的產(chǎn)生及相關(guān)信息,最后確定并改正那些故障,保證網(wǎng)絡(luò)能提供連續(xù)可靠的服務(wù)。 ●網(wǎng)絡(luò)性能管理由于網(wǎng)絡(luò)資源的有限性,因此最理想的是在使用最少的網(wǎng)絡(luò)資源和具有最小通信費(fèi)用的前提下,網(wǎng)絡(luò)提供持續(xù)、可靠的通信能力,并使網(wǎng)絡(luò)資源的使用達(dá)到最優(yōu)化的程度。 ●網(wǎng)絡(luò)計(jì)費(fèi)管理當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的信息資源是有償使用的情況下,需要能夠記錄和統(tǒng)計(jì)哪些用戶利用哪條通信線路傳輸了多少信息,以及做的是什么工作等。在非商業(yè)化的網(wǎng)絡(luò)上,仍然需要統(tǒng)計(jì)各條線路工作的繁閑情況和不同資源的利用情況,以供決策參考。 ●網(wǎng)絡(luò)安全管理計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)決定了網(wǎng)絡(luò)本身安全的固有脆弱性,因此要確保網(wǎng)絡(luò)資源不被非法使用,確保網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授公的訪問(wèn),以及網(wǎng)絡(luò)管理信息的機(jī)密性和完整性。 三、網(wǎng)絡(luò)管理的內(nèi)容實(shí)際上,網(wǎng)絡(luò)管理的歷史已經(jīng)相當(dāng)久遠(yuǎn)了。 從電信管理的角度看,自從有了電話交換網(wǎng),就有了對(duì)通信網(wǎng)絡(luò)的管理,只不過(guò)那時(shí)的技術(shù)自動(dòng)化程度還不高。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的管理,是與Internet的發(fā)展同步的,到了八十年代,隨著一系列網(wǎng)絡(luò)管理標(biāo)準(zhǔn)的出臺(tái),出現(xiàn)了大量的商用系統(tǒng)。隨著網(wǎng)絡(luò)的發(fā)展,規(guī)模逐漸增大,復(fù)雜性增加,網(wǎng)絡(luò)管理技術(shù)也得到了迅速的發(fā)展。 一般說(shuō)來(lái),網(wǎng)絡(luò)管理就是通過(guò)某種方式對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行調(diào)整,使網(wǎng)絡(luò)能正常、高效地運(yùn)行。其目的很明確,就是使網(wǎng)絡(luò)中的各種資源得到更加高效的利用,當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí),能及時(shí)作出報(bào)告和處理,并協(xié)調(diào)、保持網(wǎng)絡(luò)的高效運(yùn)行等。 從實(shí)際應(yīng)用的角度出發(fā),網(wǎng)管的主要內(nèi)容包括: 拓?fù)涔芾恚鹤詣?dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)的所有設(shè)備(包括三層的設(shè)備和二層的設(shè)備),能夠正確地產(chǎn)生拓?fù)浣Y(jié)構(gòu)圖并自動(dòng)更新。 故障管理:將所有網(wǎng)絡(luò)設(shè)備的故障相互聯(lián)系起來(lái),對(duì)故障進(jìn)行隔離并采取恢復(fù)措施。 配置管理:提供跟蹤變化的能力,為網(wǎng)絡(luò)上的所有設(shè)備配置、安裝和分配軟件。 性能管理:提供一個(gè)連續(xù)的、可從中監(jiān)視網(wǎng)絡(luò)性能和資源位置。 服務(wù)級(jí)別管理:在用戶與服務(wù)提供者之間定義服務(wù)級(jí)別協(xié)議,并檢查用戶所要求的服務(wù)是否被滿足。 幫助臺(tái):設(shè)立呼叫受理中心,接受來(lái)自用戶的故障報(bào)告以及自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)的故障,經(jīng)過(guò)特定的程序解決故障。 現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)主要由四個(gè)要素組成:若干被管的代理;至少一個(gè)網(wǎng)絡(luò)管理器;一種公共網(wǎng)絡(luò)管理協(xié)議;一種或多種管理信息庫(kù)。其中,網(wǎng)絡(luò)管理協(xié)議是最重要的部分。當(dāng)前,有兩種網(wǎng)絡(luò)管理協(xié)議在計(jì)算機(jī)網(wǎng)絡(luò)管理中占主導(dǎo)地位,一種是開放系統(tǒng)互連組織(OSI)提出的公共管理信息及協(xié)議(CMIS/CMIP),另一種是Internet工程任務(wù)組(IETF)提出的簡(jiǎn)單網(wǎng)管協(xié)議(SNMP)。其實(shí)這兩種協(xié)議分別對(duì)應(yīng)了兩種不同的管理方案,OSI提出的方案定義了故障管理、配置管理、計(jì)費(fèi)管理、性能管理和安全管理這五個(gè)網(wǎng)管的功能域,對(duì)管理的框架、管理信息的定義、對(duì)象的屬性與行為等都有詳細(xì)的定義,OSI的方案雖然功能詳盡,但實(shí)現(xiàn)起來(lái)過(guò)于復(fù)雜,在實(shí)際應(yīng)用中沒(méi)有得到太多廠家的支持。另一方面,IETF指定的SNMP協(xié)議顯得簡(jiǎn)單實(shí)用,因而被迅速地推廣開來(lái),得到了廣泛的支持。 ● 合理規(guī)劃網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)是網(wǎng)絡(luò)管理的基礎(chǔ) 通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)不合理結(jié)構(gòu)地一系列改造,如改變網(wǎng)絡(luò)結(jié)構(gòu)(內(nèi)外網(wǎng)分開)拓寬網(wǎng)絡(luò)帶寬,添加網(wǎng)絡(luò)設(shè)備(網(wǎng)管交換機(jī)),統(tǒng)一網(wǎng)絡(luò)產(chǎn)品品牌,重新劃分網(wǎng)絡(luò),對(duì)機(jī)房網(wǎng)線重新布置等。這樣就保證了網(wǎng)絡(luò)系統(tǒng)的安全而高效。從此你就不必為網(wǎng)絡(luò)的維護(hù)而煩惱了。 ● 好用、實(shí)用的集成化幫助平臺(tái)是網(wǎng)絡(luò)管理的良好助手 目前比較好的著名的網(wǎng)管服務(wù)臺(tái)系統(tǒng)如OpenView, CA Unicenter,只是在國(guó)內(nèi)的實(shí)際應(yīng)用中,普遍沒(méi)有受到重視,在網(wǎng)管系統(tǒng)發(fā)現(xiàn)故障后,大部分的故障處理還是需要手工完成的,在這個(gè)過(guò)程中,并沒(méi)有一個(gè)有效的機(jī)制來(lái)監(jiān)督、考核故障的處理效率。其實(shí),這是跟運(yùn)營(yíng)機(jī)制密切相關(guān)的,在松散的管理方式下,對(duì)網(wǎng)絡(luò)故障的處理也不可能是高效的。另一方面,由于文化、體制方面的不同,國(guó)外的產(chǎn)品拿到國(guó)內(nèi)來(lái)使用,需要進(jìn)行繁瑣的定制,這也是服務(wù)臺(tái)系統(tǒng)沒(méi)有很好推廣的原因。目前,報(bào)警處理流程逐漸明確,接警人員和網(wǎng)管工程師的分工日益精細(xì),軟件廠商推出的幫助服務(wù)臺(tái)軟件也具有更方便、靈活的定制功能,使幫助服務(wù)臺(tái)系統(tǒng)的工作走上正規(guī)化和規(guī)范化。 ● 提早發(fā)現(xiàn)潛在問(wèn)題,防患于未然 應(yīng)使網(wǎng)管軟件能夠優(yōu)先"發(fā)現(xiàn)"網(wǎng)絡(luò)的所有設(shè)備,并繪制一份"地圖"。為網(wǎng)絡(luò)的物理設(shè)備和鏈接創(chuàng)建一個(gè)精確的圖像或地圖,有利于加快故障檢修時(shí)間和解決問(wèn)題。新型的網(wǎng)絡(luò)管理應(yīng)用軟件能夠自動(dòng)生成這種地圖,并能發(fā)現(xiàn)各類設(shè)備和鏈接的詳細(xì)特征,例如速度、彈性和冗余性等。部分應(yīng)用軟件還能突出顯示網(wǎng)絡(luò)設(shè)備的移動(dòng)、增加和變化等情況。網(wǎng)絡(luò)管理員應(yīng)該使用能提前發(fā)現(xiàn)和校正潛在問(wèn)題的網(wǎng)管工具,以便防患于未然。新一代的系統(tǒng)允許網(wǎng)絡(luò)管理員為關(guān)鍵設(shè)備設(shè)置缺省值,一旦超過(guò)這些缺省值,系統(tǒng)將會(huì)自動(dòng)報(bào)警,從而避免了用戶停機(jī)。有些系統(tǒng)還能自動(dòng)識(shí)別網(wǎng)絡(luò)配置錯(cuò)誤或優(yōu)化性能,并以明顯的方式告知網(wǎng)絡(luò)管理員。 ● 快速準(zhǔn)確地定位網(wǎng)絡(luò)故障根源是網(wǎng)絡(luò)管理的有力保證 使用智能工具找到產(chǎn)生網(wǎng)絡(luò)問(wèn)題的根源。從過(guò)去存在的問(wèn)題看,網(wǎng)絡(luò)可能發(fā)生了十個(gè)問(wèn)題,但只有一個(gè)問(wèn)題是根源,其被解決后,其他問(wèn)題就會(huì)迎刃而解。因此,網(wǎng)絡(luò)管理軟件應(yīng)該能夠高效地發(fā)現(xiàn)問(wèn)題的根源。在通常的故障處理中,網(wǎng)絡(luò)中某處如果發(fā)生了故障,通常會(huì)出現(xiàn)大量的警報(bào),而一些重要的故障和性能報(bào)警,不易引起網(wǎng)管人員的充分重視。這可以通過(guò)設(shè)置不同的報(bào)警優(yōu)先級(jí)來(lái)解決。但更重要的是,應(yīng)該有良好的事件關(guān)聯(lián)機(jī)制,可以刪除不必要的和無(wú)意義的信息,標(biāo)識(shí)出故障的起因,只將影響關(guān)鍵業(yè)務(wù)的信息提交給IT管理人員,從而提高網(wǎng)管人員的工作效率,還能大幅度降低網(wǎng)絡(luò)的擁塞。 ● 選擇符合標(biāo)準(zhǔn)協(xié)議、易于使用的網(wǎng)管方案,減小復(fù)雜性和成本 應(yīng)保證網(wǎng)絡(luò)的所有設(shè)備都支持工業(yè)標(biāo)準(zhǔn)協(xié)議,以便不同的設(shè)備之間可以實(shí)現(xiàn)暢通無(wú)阻的通信。由于使用專用產(chǎn)品需購(gòu)買價(jià)格更高的附加產(chǎn)品,所以如果繼續(xù)使用專用軟件包,將會(huì)造成損失慘重的錯(cuò)誤,并為企業(yè)帶來(lái)巨大的風(fēng)險(xiǎn)。具有工業(yè)標(biāo)準(zhǔn)的產(chǎn)品不僅隨時(shí)都可以使用,而且價(jià)格較低。最常見的標(biāo)準(zhǔn)有以太網(wǎng)、Wi-Fi (802.11b)、SNMP (簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)、RMON (遠(yuǎn)程監(jiān)控) 和HTTP (標(biāo)準(zhǔn)Web語(yǔ)言)。不是所有的新型易用工具都能管理復(fù)雜的網(wǎng)絡(luò)。應(yīng)該選用經(jīng)過(guò)改進(jìn)、簡(jiǎn)單易用的圖形用戶界面和"向?qū)?來(lái)提高設(shè)置和使用的方便性。如果小型網(wǎng)絡(luò)使用傳統(tǒng)的大型管理應(yīng)用軟件,其產(chǎn)生的復(fù)雜性往往超過(guò)了他們的解決能力。有些功能可以從因特網(wǎng)下載插入軟件得到,而且這些軟件通常是免費(fèi)提供的。 ● 跟蹤網(wǎng)絡(luò)系統(tǒng)動(dòng)態(tài)變化,優(yōu)化配置網(wǎng)絡(luò)設(shè)備 首先,應(yīng)根據(jù)企業(yè)的規(guī)模大小,網(wǎng)絡(luò)設(shè)備的多少以及IT支持人員的多少與素質(zhì)來(lái)確定網(wǎng)管的目標(biāo)是什么。應(yīng)該注意,不論是實(shí)施何種管理,都應(yīng)該根據(jù)網(wǎng)絡(luò)系統(tǒng)的流量情況和用戶在不同時(shí)期的需求,清晰地定義網(wǎng)管的處理流程,在故障的記錄、上報(bào)與解決的各個(gè)環(huán)節(jié)都有明確的處理原則。動(dòng)態(tài)地對(duì)各個(gè)路由器、防火墻及交換機(jī)實(shí)施單點(diǎn)監(jiān)控,還要?jiǎng)討B(tài)管理全部的資源,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等各個(gè)層面實(shí)施統(tǒng)一、完全的管理。靈活地采取帶外網(wǎng)管和帶內(nèi)管理的方式,充分保證網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行。 ● 安全策略是整個(gè)網(wǎng)絡(luò)管理系統(tǒng)的有力保障 黑客與管理員是兩個(gè)互相獨(dú)立又互相了解的對(duì)立面,一個(gè)好的管理員如果不了解黑客的思路、做法,就無(wú)法來(lái)設(shè)置安全策略保護(hù)自己的網(wǎng)絡(luò)。我們想要保護(hù)自己防范攻擊就必須先了解對(duì)方的想法和思路以及他們使用的方法和工具,這樣我們就可以根據(jù)他們所采用的方式方法來(lái)制定自己的安全策略,做到因法而異,以不變應(yīng)萬(wàn)變來(lái)對(duì)抗入侵。 防火墻和入侵檢測(cè)系統(tǒng)可以由路由器、服務(wù)器和PC機(jī)構(gòu)成,把需要保護(hù)的專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)相互隔離開來(lái),它可以架設(shè)在高級(jí)網(wǎng)關(guān)處,比如網(wǎng)絡(luò)的INTERNET連接處,也可以建立在低等網(wǎng)關(guān)處,這樣可以把局域網(wǎng)中的某些敏感系統(tǒng)保護(hù)隔離起來(lái)。復(fù)雜高級(jí)的防火墻大都由許多軟件和硬件構(gòu)成,它們負(fù)責(zé)把安全的內(nèi)部局域網(wǎng)連接到不安全的廣域網(wǎng)中;使內(nèi)部用戶可以在保證安全前提下訪問(wèn)到外部網(wǎng)絡(luò);所有對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行的攻擊都集中在防火墻上,這樣大大減輕了管理員的工作負(fù)擔(dān),只要直接調(diào)整防火墻上的安全措施就可以保證整個(gè)網(wǎng)絡(luò)主機(jī)的安全;而且這個(gè)網(wǎng)絡(luò)的通訊都要通過(guò)防火墻進(jìn)行,方便進(jìn)行監(jiān)聽和控制。 而且管理員在配置服務(wù)器的安全策略時(shí)一定要小心謹(jǐn)慎,比如在配置授權(quán)服務(wù)時(shí),盡量用自己的方式為每個(gè)用戶加上詳細(xì)的描述來(lái)表述其身份,這樣一旦發(fā)現(xiàn)新出現(xiàn)的用戶沒(méi)有描述,或未用你的方法進(jìn)行描述,你可以立刻核對(duì)它的合法性,看是否為入侵后留下的額外控制賬號(hào)。配置數(shù)據(jù)保護(hù)和數(shù)據(jù)集成可以為主機(jī)上的各種數(shù)據(jù)提供授權(quán)保護(hù)和加密,這樣可以防止用戶在遠(yuǎn)端登錄主機(jī)時(shí),登錄信息被中途監(jiān)聽、截獲,如果已經(jīng)被截獲,可以防止被破解。安全策略是管理員手里最基礎(chǔ)的工具,有效地利用這個(gè)工具可以擊退大部分非法入侵。同時(shí)盡量避免使用系統(tǒng)的默認(rèn)配置,這些默認(rèn)配置是為了方便普通用戶使用的,但是很多黑客都熟悉默認(rèn)配置的漏洞,能很方便地、從這里侵入系統(tǒng),所以當(dāng)系統(tǒng)安裝完畢后第一步就是要升級(jí)最新的補(bǔ)丁,然后更改系統(tǒng)的默認(rèn)設(shè)置。為用戶建立好詳細(xì)的屬性和權(quán)限,方便確認(rèn)用戶身份以及他能訪問(wèn)修改的資料。定期修改用戶密碼,這樣可以讓密碼破解的威脅降到最低?傊煤梅⻊(wù)器自身系統(tǒng)的各種安全策略,就可以占用最小的資源,防止黑客的非法攻擊。 五、網(wǎng)絡(luò)管理的發(fā)展趨勢(shì) 隨著現(xiàn)代企業(yè)和網(wǎng)絡(luò)、通訊技術(shù)的不斷發(fā)展,企業(yè)網(wǎng)管軟件也不斷推陳出新,未來(lái)的網(wǎng)絡(luò)管理呈現(xiàn)如下發(fā)展趨勢(shì)。 ● 多廠家、多技術(shù)的融合 隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和通訊技術(shù)的融合,統(tǒng)一的、綜合的網(wǎng)管正日益顯示出重要性。因?yàn)闆](méi)有哪個(gè)單獨(dú)的產(chǎn)品能滿足網(wǎng)管方方面面的需要,所以在購(gòu)買回來(lái)的網(wǎng)管軟件的基礎(chǔ)上,往往需要進(jìn)行二次開發(fā)或與別的網(wǎng)管產(chǎn)品進(jìn)行集成。以前進(jìn)行網(wǎng)管產(chǎn)品的集成是一件很痛苦的事情。比如,廠商A的產(chǎn)品要求運(yùn)行在Unix平臺(tái)上,而廠商B的產(chǎn)品必須運(yùn)行在Windows NT環(huán)境下;再有,必須是廠商A的某一指定版本與廠商B的某一指定版本才能進(jìn)行集成,任意一方單獨(dú)升級(jí)都會(huì)破壞這種集成。例如在電信環(huán)境中,以前在傳輸網(wǎng)、本地網(wǎng)、IP數(shù)據(jù)網(wǎng)、電話網(wǎng)等分別由不同的部門維護(hù),信息也不能共享。而用戶和運(yùn)營(yíng)商都要求通過(guò)一個(gè)控制臺(tái)能對(duì)多個(gè)互聯(lián)的網(wǎng)絡(luò)進(jìn)行管理,只有建立起多廠商的、多技術(shù)領(lǐng)域的綜合網(wǎng)管體系,才能符合需要。 ● 基于Web的網(wǎng)管 隨著基于Web的網(wǎng)絡(luò)管理的出現(xiàn),集成問(wèn)題在一定程度上得到解決。用戶只需點(diǎn)擊URL鏈接,就可以從一個(gè)系統(tǒng)轉(zhuǎn)到另一個(gè)系統(tǒng),而無(wú)需考慮他們運(yùn)行在何種平臺(tái)上。基于Web的網(wǎng)絡(luò)管理的實(shí)現(xiàn)有兩種方式。第一種方式是代理方式,即在一個(gè)內(nèi)部工作站上運(yùn)行Web服務(wù)器(代理)。在這種方式下,網(wǎng)絡(luò)管理軟件作為操作系統(tǒng)上的一個(gè)應(yīng)用。它介于瀏覽器和網(wǎng)絡(luò)設(shè)備之間。在管理過(guò)程中,網(wǎng)絡(luò)管理軟件負(fù)責(zé)將收集到的網(wǎng)絡(luò)信息傳送到瀏覽器(Web服務(wù)器代理),并將傳統(tǒng)管理協(xié)議 (如SNMP) 轉(zhuǎn)換成 Web 協(xié)議 (如HTTP)。第二種實(shí)現(xiàn)方式是嵌入式。它將Web功能嵌入到網(wǎng)絡(luò)設(shè)備中,管理員可通過(guò)瀏覽器直接訪問(wèn)并管理該設(shè)備。在這種方式下,網(wǎng)絡(luò)管理軟件與網(wǎng)絡(luò)設(shè)備集成在一起。網(wǎng)絡(luò)管理軟件無(wú)須完成協(xié)議轉(zhuǎn)換,所有的管理信息都可以通過(guò)HTTP協(xié)議傳送。 ● 面向業(yè)務(wù)的網(wǎng)管 新一代的網(wǎng)絡(luò)管理系統(tǒng),已開始從面向網(wǎng)絡(luò)設(shè)備的管理向面向網(wǎng)絡(luò)業(yè)務(wù)的管理過(guò)度。這種網(wǎng)管思想把網(wǎng)絡(luò)服務(wù)、業(yè)務(wù)作為網(wǎng)管對(duì)象,通過(guò)實(shí)時(shí)監(jiān)測(cè)與網(wǎng)絡(luò)業(yè)務(wù)相關(guān)的設(shè)備、應(yīng)用,通過(guò)模擬客戶實(shí)時(shí)測(cè)量網(wǎng)絡(luò)業(yè)務(wù)的服務(wù)質(zhì)量,通過(guò)收集網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)數(shù)據(jù),實(shí)現(xiàn)全方位、多視角監(jiān)測(cè)網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行情況的目的,從而實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的故障管理、性能管理和配置管理。 ● 基于CORBA技術(shù)的網(wǎng)管 CORBA最初的提出是為了滿足異構(gòu)平臺(tái)上分布式計(jì)算的需要。它有以下優(yōu)點(diǎn):可在一個(gè)分布式應(yīng)用中混用多種語(yǔ)言、支持分布對(duì)象、提供高度的互通性等。OMG已經(jīng)提出了基于CORBA的網(wǎng)管系統(tǒng)的體系結(jié)構(gòu),使用CORBA的方法來(lái)實(shí)現(xiàn)基于OSI開放接口和OSI系統(tǒng)管理概念。TMF和X/Open聯(lián)合開展的JIDM任務(wù)組已經(jīng)開發(fā)出SNMP/CMIP/CORBA的互通靜態(tài)規(guī)范描述和動(dòng)態(tài)交互式轉(zhuǎn)化方法?梢灶A(yù)見,CORBA將在網(wǎng)絡(luò)管理和系統(tǒng)管理中占有越來(lái)越重要的地位。
●系統(tǒng)的功能。即一個(gè)網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有哪些功能。
●網(wǎng)絡(luò)配置管理一個(gè)實(shí)現(xiàn)中使用的計(jì)算機(jī)網(wǎng)絡(luò)是由多個(gè)廠家提供的產(chǎn)品、設(shè)備相互連接而成的,因此各設(shè)備需要相互了解和適應(yīng)與其發(fā)生關(guān)系的其它設(shè)備的參數(shù)、狀態(tài)等信息,否則就不能有效甚至正常工作。尤其是網(wǎng)絡(luò)系統(tǒng)常常是動(dòng)態(tài)變化的,如網(wǎng)絡(luò)系統(tǒng)本身要隨著用戶的增減、設(shè)備的維修或更新來(lái)調(diào)整網(wǎng)絡(luò)的配置。因此需要有足夠的技術(shù)手段支持這種調(diào)整或改變,使網(wǎng)絡(luò)能更有效地工作。
四、網(wǎng)絡(luò)管理的方法和經(jīng)驗(yàn)