計算機網絡管理研究
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機網絡管理研究范文,希望能給你帶來靈感和參考,敬請閱讀。
1計算機網絡安全的提出
隨著企業信息化建設的不斷深入,各個企業通過專線的連接,打通了一扇通向外部世界的窗戶,外界訪問者可以直接與網絡中心進行數據交流、查詢資料等。另外,為了方便對外信息服務與交流,各企業還設有對外的WWW服務器和MAIL等服務器,可以直接對外信息或者發送電子郵件。高速交換技術采用靈活的網絡互連方案設計,為用戶提供快速、方便、靈活通信平臺的同時,也給網絡的安全帶來了更大的風險。因此,在原有網絡上實施一套完整、可操作的安全解決方案是必需的。近幾年,鐵路信息化步伐不斷加快,車輛、運輸、機車、工務、電務、財務、統計、辦公等鐵路各計算機信息系統先后建立,功能從鐵路運輸生產內部環節的全局全網實時性管理,和車號、軸溫、雨量等數據的采集與監控圖像的傳送,到辦公自動化,使鐵路各部門借助網絡和計算機提高了工作效率,實現了綜合管理,降低了運營成本。但由于TMIS、TDCS、CTC、PMIS等各業務網的開放性、共享性、互聯程度的增強與提高,網絡安全問題顯得越來越重要,一旦被侵入,將對鐵路運輸安全構成重大威脅,后果不堪設想。網絡攻擊的破壞性強、影響范圍大、難以斷定,是威脅網絡質量和安全的頭號殺手。由于TCP/IP協議的不完善、UDP協議的不可靠以及計算機程序的錯誤,造成了網絡上的許多漏洞,但這并不是說,面對這些我們束手無測。借助完善嚴密的管理制度、科學有效的技術方法,可以盡可能降低危險,做到防患于未然。一個管理不嚴,沒有安全措施的網絡就等于是為居心叵測的人虛掩著網絡的大門,一旦出現問題網絡將全然沒有抵御能力。
2強化安全意識,加強內部管理
人們常說網絡安全是七分管理三分技術,說明了管理對安全的重要性。加強管理可以從下幾個方面入手:
2.1設置密碼
密碼是網絡安全的門戶,一旦密碼被攻破,網絡對外界就洞開了一道大門。因此,所有設備和主機能設置密碼的都要設置,而且要足夠長,不易被破解,并定期更換。
2.2控制路由器的訪問權限
網絡防御下一步重點工作就是控制路由器訪問。應設置幾種權限的密碼,超級管理密碼知道的人越少越好,普通維護人員僅限于使用監測級登陸設備。控制對路由器的訪問權限不僅僅是保護路由器本身,也保護拓撲結構和所有計算機系統的操作、配置以及權限。
2.3設置可信任地址段
對訪問的主機IP設置可信任地址段,防止非法IP登陸系統。
2.4保護機房內的電腦
機房內的電腦往往也是黑客利用的工具,如果不加保護,黑客通過潛入系統就可以盜取信息或作為跳板攻擊網絡。每臺主機都應該安裝防火墻和殺毒軟件,定期下載補丁升級系統,設置復雜的開機密碼,不使用共享,停止一切不必要的服務,禁止危險的端口,牢牢關死這道進入網絡系統的大門。
3了解網絡攻擊的途徑,才能對癥下藥
只有了解網絡攻擊的一般途徑,才能從根源上消除不安全因素。網絡遭受攻擊可能的原因不外乎以下幾種:
3.1利用協議,采集信息
不速之客可能會利用下列公開協議或工具,收集駐留在網絡系統中的各個主機系統的相關信息:(1)SNMP協議:用來查閱網絡系統路由器的路由表,從而了解目標主機所在網絡的拓撲結構及其內部細節。(2)TraceRoute程序:能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數。(3)Whois協議:該協議的服務信息能提供所有有關的DNS域和相關的管理參數。(4)DNS服務器:該服務器提供了系統中可以訪問的主機IP地址表和所對應的主機名。(5)Ping實用程序:可以用來確定一個指定的主機的位置。
3.2利用工具,主動攻擊
在收集到攻擊目標的一批網絡信息之后,黑客會探測目標網絡上的每臺主機,以尋求該系統的安全漏洞或安全弱點。其主要利用下列方式進行探測:(1)自編程序:對某些產品或者系統,已經發現了一些安全漏洞,但是用戶并不一定及時使用對這些漏洞的“補丁”程序,因此入侵者自己可以編寫程序,通過這些漏洞進入目標系統。(2)利用公開的工具:象Internet的電子安全掃描程序IIS、審計網絡用的安全分析工具SATAN等這樣的工具,可以對整個網絡或子網進行掃描,尋找安全漏洞。(3)慢速掃描:由于一般掃描偵測器的實現是通過監視某個時間段里一臺特定主機發起的連接數目來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟件進行掃描。(4)體系結構探測:黑客利用一些特定的數據包傳送給目標主機,使其做出相應的響應。由于每種操作系統都有其獨特的響應方式,將此獨特的響應與數據庫中的已知響應進行匹配,經常能夠確定出目標主機所運行的操作系統及其版本等信息。
4采取技術手段,加強安全防范
4.1理解協議功能,減少協議使用
理解各協議工作的原理,使用的協議越少越好,不使用缺省設置,增強協議的安全性,了解IP包尋址和路由的方法。
4.2從底層設備入手,采取層層防范
網絡安全應是一個立體防御體系,通過層層防范,盡可能將攻擊攔截在最外端。交換機上劃分VLAN將用戶與系統進行隔離;路由器或三層交換機上劃分網段,將用戶與系統隔離;配置防火墻,杜絕DOS攻擊。防火墻的設置內容應考慮到以下幾個方面:(1)IP源路由(應配置noipsource-route);(2)控制ICMP包(如noipunreachables、npipredirects或允許某些IPPING到哪里,禁止哪個IP段的PING);(3)防止IP地址欺騙,如denyip0.0.0.00.255.255.255any,denyip127.0.0.00.255.255.255.255any;(4)防止DOS攻擊,使用入口過濾禁止非信任主機訪問,如permitip10.10.1.100.0.0.255any,denyipanyany
4.3采用VPN加密技術,防止信息泄露
VPN虛擬專用網或虛擬私有網,指的是以公用開放的網絡作為基本傳輸媒體,通過加密和驗證網絡流量來保護在公共網絡上傳輸的私有信息不會被竊取和篡改,從而向最終用戶提供類似于私有網絡(PrivateNetwork)性能的網絡服務技術。在網絡層可以通過在路由器上配置MPLSVPN協議實現,在接入層可以通過在用戶終端增加VPN設備或在計算機上建立VPN連接來實現。
5網絡攻擊處理實例
通過以上各個環節,網絡的安全性大大提高了,但這也還保證不了網絡不被攻擊。出現攻擊后該怎么辦,怎樣迅速排除故障,下面就以一次網絡攻擊實例來說明。某次做完網絡優化調整,所有用戶反映網速很慢,技術人員首先PING各個設備看是否有丟包,發現核心三層交換機RS3000和路由器NE08掉線嚴重。經查,核心交換機RS3000CPU利用率達到了100%,顯然這是一種非正常流量造成的CPU處理能力崩潰。通過逐個斷開交換機RS3000端口的網線,故障仍無法排除,也無法定位引起的故障對象。這時,我們想到了sniffer抓包工具的強大功能,利用sniffer抓包有個前提條件,就是要使用共享式的網絡設備(如HUB)或在交換機上通過鏡像監測某個端口。我們采取了端口鏡像的方法,在交換機的空端口接筆記本,對交換機與路由器互聯的上行口進行抓包。通過抓包我們發現,大量的信息顯示的都是源IP地址和目的IP地址相同的某個IP(222.41.94.94)的包,我們立即查到這是一個網吧的IP。由于該網吧當日未接網絡,端口狀態是down的,既然網吧未上網,源IP地址怎么會是網吧的呢?我們馬上在路由器上對該IP配置黑洞路由:iproute-static222.41.94.94255.255.255.255NULL0,將到達222.41.94.94的包讓黑洞吸收后網絡立即恢復正常。當時做這項配置僅僅是從感覺出發,至于為什么網吧沒有在線卻為何會出現這樣的問題很困惑。靜下心后我們仔細分析,發現,由于IP路由是基于目的地址的數據包每跳轉發,每個路由器必須有精確的相同網絡的拓撲信息,此外每個路由器必須精確地運行相同的路由計算算法,如果不能保證這最后兩條,將導致路由環路和黑洞。這就是一起路由環路造成的故障,某人探測到該網吧IP后對自己的IP進行了偽裝,以網吧的IP發送數據到路由器,路由器查找路由表后向交換機發送,正是由于網吧下線,三層交換機RS3000才找不到目的IP,查找路由表后按照缺省路由送回路由器NE08,NE08又向RS3000發送,來來回回造成了數據無法送達,形成了環路,越積越多最終使設備無法處理而癱瘓。通過這次故障的處理,我們看到了在路由器上配置防火墻的必要性,通過在三層交換機和路由器上配置擴展訪問列表拒絕源IP等于目的IP的報文,這樣所有該類攻擊(其他IP)都可以防范。
6結束語
本文從TCP/IP技術方面探討了提高安全性的方法,作為一個網絡構建者和運營者,需要綜合考慮,將安全策略、硬件及軟件等方法結合起來,構成一個從接入層到網絡層、應用層,從計算機終端到服務器、數據庫的統一的防御系統,減少網絡的安全風險。
