計算機網(wǎng)絡(luò)管理研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了計算機網(wǎng)絡(luò)管理研究范文，希望能給你帶來靈感和參考，敬請閱讀。

1計算機網(wǎng)絡(luò)安全的提出

隨著企業(yè)信息化建設(shè)的不斷深入，各個企業(yè)通過專線的連接，打通了一扇通向外部世界的窗戶，外界訪問者可以直接與網(wǎng)絡(luò)中心進行數(shù)據(jù)交流、查詢資料等。另外，為了方便對外信息服務(wù)與交流，各企業(yè)還設(shè)有對外的WWW服務(wù)器和MAIL等服務(wù)器，可以直接對外信息或者發(fā)送電子郵件。高速交換技術(shù)采用靈活的網(wǎng)絡(luò)互連方案設(shè)計，為用戶提供快速、方便、靈活通信平臺的同時，也給網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險。因此，在原有網(wǎng)絡(luò)上實施一套完整、可操作的安全解決方案是必需的。近幾年，鐵路信息化步伐不斷加快，車輛、運輸、機車、工務(wù)、電務(wù)、財務(wù)、統(tǒng)計、辦公等鐵路各計算機信息系統(tǒng)先后建立，功能從鐵路運輸生產(chǎn)內(nèi)部環(huán)節(jié)的全局全網(wǎng)實時性管理，和車號、軸溫、雨量等數(shù)據(jù)的采集與監(jiān)控圖像的傳送，到辦公自動化，使鐵路各部門借助網(wǎng)絡(luò)和計算機提高了工作效率，實現(xiàn)了綜合管理，降低了運營成本。但由于TMIS、TDCS、CTC、PMIS等各業(yè)務(wù)網(wǎng)的開放性、共享性、互聯(lián)程度的增強與提高，網(wǎng)絡(luò)安全問題顯得越來越重要，一旦被侵入，將對鐵路運輸安全構(gòu)成重大威脅，后果不堪設(shè)想。網(wǎng)絡(luò)攻擊的破壞性強、影響范圍大、難以斷定，是威脅網(wǎng)絡(luò)質(zhì)量和安全的頭號殺手。由于TCP/IP協(xié)議的不完善、UDP協(xié)議的不可靠以及計算機程序的錯誤，造成了網(wǎng)絡(luò)上的許多漏洞，但這并不是說，面對這些我們束手無測。借助完善嚴密的管理制度、科學(xué)有效的技術(shù)方法，可以盡可能降低危險，做到防患于未然。一個管理不嚴，沒有安全措施的網(wǎng)絡(luò)就等于是為居心叵測的人虛掩著網(wǎng)絡(luò)的大門，一旦出現(xiàn)問題網(wǎng)絡(luò)將全然沒有抵御能力。

2強化安全意識，加強內(nèi)部管理

人們常說網(wǎng)絡(luò)安全是七分管理三分技術(shù)，說明了管理對安全的重要性。加強管理可以從下幾個方面入手：

2.1設(shè)置密碼

密碼是網(wǎng)絡(luò)安全的門戶，一旦密碼被攻破，網(wǎng)絡(luò)對外界就洞開了一道大門。因此，所有設(shè)備和主機能設(shè)置密碼的都要設(shè)置，而且要足夠長，不易被破解，并定期更換。

2.2控制路由器的訪問權(quán)限

網(wǎng)絡(luò)防御下一步重點工作就是控制路由器訪問。應(yīng)設(shè)置幾種權(quán)限的密碼，超級管理密碼知道的人越少越好，普通維護人員僅限于使用監(jiān)測級登陸設(shè)備。控制對路由器的訪問權(quán)限不僅僅是保護路由器本身，也保護拓撲結(jié)構(gòu)和所有計算機系統(tǒng)的操作、配置以及權(quán)限。

2.3設(shè)置可信任地址段

對訪問的主機IP設(shè)置可信任地址段，防止非法IP登陸系統(tǒng)。

2.4保護機房內(nèi)的電腦

機房內(nèi)的電腦往往也是黑客利用的工具，如果不加保護，黑客通過潛入系統(tǒng)就可以盜取信息或作為跳板攻擊網(wǎng)絡(luò)。每臺主機都應(yīng)該安裝防火墻和殺毒軟件，定期下載補丁升級系統(tǒng)，設(shè)置復(fù)雜的開機密碼，不使用共享，停止一切不必要的服務(wù)，禁止危險的端口，牢牢關(guān)死這道進入網(wǎng)絡(luò)系統(tǒng)的大門。

3了解網(wǎng)絡(luò)攻擊的途徑，才能對癥下藥

只有了解網(wǎng)絡(luò)攻擊的一般途徑，才能從根源上消除不安全因素。網(wǎng)絡(luò)遭受攻擊可能的原因不外乎以下幾種：

3.1利用協(xié)議，采集信息

不速之客可能會利用下列公開協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個主機系統(tǒng)的相關(guān)信息：（1）SNMP協(xié)議：用來查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機所在網(wǎng)絡(luò)的拓撲結(jié)構(gòu)及其內(nèi)部細節(jié)。（2）TraceRoute程序：能夠用該程序獲得到達目標(biāo)主機所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)。（3）Whois協(xié)議：該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。（4）DNS服務(wù)器：該服務(wù)器提供了系統(tǒng)中可以訪問的主機IP地址表和所對應(yīng)的主機名。（5）Ping實用程序：可以用來確定一個指定的主機的位置。

3.2利用工具，主動攻擊

在收集到攻擊目標(biāo)的一批網(wǎng)絡(luò)信息之后，黑客會探測目標(biāo)網(wǎng)絡(luò)上的每臺主機，以尋求該系統(tǒng)的安全漏洞或安全弱點。其主要利用下列方式進行探測：（1）自編程序：對某些產(chǎn)品或者系統(tǒng)，已經(jīng)發(fā)現(xiàn)了一些安全漏洞，但是用戶并不一定及時使用對這些漏洞的“補丁”程序，因此入侵者自己可以編寫程序，通過這些漏洞進入目標(biāo)系統(tǒng)。（2）利用公開的工具：象Internet的電子安全掃描程序IIS、審計網(wǎng)絡(luò)用的安全分析工具SATAN等這樣的工具，可以對整個網(wǎng)絡(luò)或子網(wǎng)進行掃描，尋找安全漏洞。（3）慢速掃描：由于一般掃描偵測器的實現(xiàn)是通過監(jiān)視某個時間段里一臺特定主機發(fā)起的連接數(shù)目來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。（4）體系結(jié)構(gòu)探測：黑客利用一些特定的數(shù)據(jù)包傳送給目標(biāo)主機，使其做出相應(yīng)的響應(yīng)。由于每種操作系統(tǒng)都有其獨特的響應(yīng)方式，將此獨特的響應(yīng)與數(shù)據(jù)庫中的已知響應(yīng)進行匹配，經(jīng)常能夠確定出目標(biāo)主機所運行的操作系統(tǒng)及其版本等信息。

4采取技術(shù)手段，加強安全防范

4.1理解協(xié)議功能，減少協(xié)議使用

理解各協(xié)議工作的原理,使用的協(xié)議越少越好，不使用缺省設(shè)置，增強協(xié)議的安全性，了解IP包尋址和路由的方法。

4.2從底層設(shè)備入手，采取層層防范

網(wǎng)絡(luò)安全應(yīng)是一個立體防御體系，通過層層防范，盡可能將攻擊攔截在最外端。交換機上劃分VLAN將用戶與系統(tǒng)進行隔離；路由器或三層交換機上劃分網(wǎng)段，將用戶與系統(tǒng)隔離；配置防火墻，杜絕DOS攻擊。防火墻的設(shè)置內(nèi)容應(yīng)考慮到以下幾個方面：（1）IP源路由（應(yīng)配置noipsource-route）；（2）控制ICMP包(如noipunreachables、npipredirects或允許某些IPPING到哪里，禁止哪個IP段的PING)；（3）防止IP地址欺騙，如denyip0.0.0.00.255.255.255any，denyip127.0.0.00.255.255.255.255any；（4）防止DOS攻擊,使用入口過濾禁止非信任主機訪問，如permitip10.10.1.100.0.0.255any，denyipanyany

4.3采用VPN加密技術(shù)，防止信息泄露

VPN虛擬專用網(wǎng)或虛擬私有網(wǎng)，指的是以公用開放的網(wǎng)絡(luò)作為基本傳輸媒體，通過加密和驗證網(wǎng)絡(luò)流量來保護在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(PrivateNetwork)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。在網(wǎng)絡(luò)層可以通過在路由器上配置MPLSVPN協(xié)議實現(xiàn)，在接入層可以通過在用戶終端增加VPN設(shè)備或在計算機上建立VPN連接來實現(xiàn)。

5網(wǎng)絡(luò)攻擊處理實例

通過以上各個環(huán)節(jié)，網(wǎng)絡(luò)的安全性大大提高了，但這也還保證不了網(wǎng)絡(luò)不被攻擊。出現(xiàn)攻擊后該怎么辦，怎樣迅速排除故障，下面就以一次網(wǎng)絡(luò)攻擊實例來說明。某次做完網(wǎng)絡(luò)優(yōu)化調(diào)整，所有用戶反映網(wǎng)速很慢，技術(shù)人員首先PING各個設(shè)備看是否有丟包，發(fā)現(xiàn)核心三層交換機RS3000和路由器NE08掉線嚴重。經(jīng)查，核心交換機RS3000CPU利用率達到了100%，顯然這是一種非正常流量造成的CPU處理能力崩潰。通過逐個斷開交換機RS3000端口的網(wǎng)線，故障仍無法排除，也無法定位引起的故障對象。這時，我們想到了sniffer抓包工具的強大功能，利用sniffer抓包有個前提條件，就是要使用共享式的網(wǎng)絡(luò)設(shè)備（如HUB）或在交換機上通過鏡像監(jiān)測某個端口。我們采取了端口鏡像的方法，在交換機的空端口接筆記本，對交換機與路由器互聯(lián)的上行口進行抓包。通過抓包我們發(fā)現(xiàn)，大量的信息顯示的都是源IP地址和目的IP地址相同的某個IP（222.41.94.94）的包，我們立即查到這是一個網(wǎng)吧的IP。由于該網(wǎng)吧當(dāng)日未接網(wǎng)絡(luò)，端口狀態(tài)是down的，既然網(wǎng)吧未上網(wǎng)，源IP地址怎么會是網(wǎng)吧的呢？我們馬上在路由器上對該IP配置黑洞路由：iproute-static222.41.94.94255.255.255.255NULL0，將到達222.41.94.94的包讓黑洞吸收后網(wǎng)絡(luò)立即恢復(fù)正常。當(dāng)時做這項配置僅僅是從感覺出發(fā)，至于為什么網(wǎng)吧沒有在線卻為何會出現(xiàn)這樣的問題很困惑。靜下心后我們仔細分析，發(fā)現(xiàn)，由于IP路由是基于目的地址的數(shù)據(jù)包每跳轉(zhuǎn)發(fā)，每個路由器必須有精確的相同網(wǎng)絡(luò)的拓撲信息，此外每個路由器必須精確地運行相同的路由計算算法，如果不能保證這最后兩條，將導(dǎo)致路由環(huán)路和黑洞。這就是一起路由環(huán)路造成的故障，某人探測到該網(wǎng)吧IP后對自己的IP進行了偽裝，以網(wǎng)吧的IP發(fā)送數(shù)據(jù)到路由器，路由器查找路由表后向交換機發(fā)送，正是由于網(wǎng)吧下線，三層交換機RS3000才找不到目的IP，查找路由表后按照缺省路由送回路由器NE08，NE08又向RS3000發(fā)送，來來回回造成了數(shù)據(jù)無法送達，形成了環(huán)路，越積越多最終使設(shè)備無法處理而癱瘓。通過這次故障的處理，我們看到了在路由器上配置防火墻的必要性，通過在三層交換機和路由器上配置擴展訪問列表拒絕源IP等于目的IP的報文，這樣所有該類攻擊（其他IP）都可以防范。

6結(jié)束語

本文從TCP/IP技術(shù)方面探討了提高安全性的方法，作為一個網(wǎng)絡(luò)構(gòu)建者和運營者，需要綜合考慮，將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個從接入層到網(wǎng)絡(luò)層、應(yīng)用層，從計算機終端到服務(wù)器、數(shù)據(jù)庫的統(tǒng)一的防御系統(tǒng)，減少網(wǎng)絡(luò)的安全風(fēng)險。