《計算機網絡基礎》課件-第9章

第9章網絡安全與網絡管理9.1網絡安全概述9.2網絡安全研究的課題9.3防火墻技術9.4計算機病毒9.5網絡文件的備份與恢復9.6網絡管理本章小結

9.1網絡安全概述

一、網絡安全的重要性隨著計算機網絡技術的發(fā)展與廣泛應用，計算機網絡對經濟、文化、教育、科學等各個領域產生了重要的影響，同時也不可避免地帶來了一些新的社會、道德與法律等問題。Internet技術的發(fā)展促進了電子商務技術的成熟，大量的商業(yè)信息與資金通過計算機網絡在世界各地流通，這對世界經濟發(fā)展產生了重要的影響。

政府上網工程的實施使各級政府、部門之間利用網絡進行信息交互。遠程教育使得數以千萬計的學生可以在不同的地方，通過網絡進行課堂學習、查閱資料與提交作業(yè)。網絡正在改變著人們的工作、生活與思維方式，對提高人們的生活質量有著重要的作用。因此，發(fā)展網絡技術已成為國民經濟現代化建設的重要任務。

計算機網絡對社會發(fā)展有著正面作用，但同時也必須注意到它帶來的負面影響。用戶可以通過計算機網絡快速地獲取、傳輸與處理各種信息，所接觸的信息范圍覆蓋面十分全面，涉及政治、經濟、教育、科學與文化等領域。

計算機犯罪正在引起整個社會的廣泛關注，而計算機網絡則是犯罪分子攻擊的重點。計算機犯罪是一種高技術型犯罪，對網絡安全構成了很大的威脅，且具有隱蔽性。

黑客(Hacker)的大量出現是網絡社會不容輕視的現象。黑客一度被認為是計算機狂熱者的代名詞，他們一般是對計算機有著狂熱愛好的學生。后來，人們對黑客有了進一步的認識，黑客中的大部分不傷害別人，但是也會做一些不應該做的事情，還有部分黑客不顧法律道德的約束，由于尋求刺激、被非法組織收買或對某個企業(yè)、組織存在報復心理，而肆意攻擊與破壞一些企業(yè)、組織的計算機網絡，這部分黑客對網絡安全有很大的危害。因此研究黑客行為與防止受攻擊是網絡安全研究的一個重要內容。

計算機網絡安全是一個系統(tǒng)的概念，它包括技術、管理與法制環(huán)境等多方面因素。只有不斷健全有關網絡與信息安全的法律、法規(guī)，提高網絡管理人員的素質、法律意識與技術水平，提高用戶自覺遵守網絡使用規(guī)則的自覺性，提高網絡與信息系統(tǒng)安全防護的技術水平，才可能不斷改善網絡與信息系統(tǒng)的安全狀況。人類社會靠道德與法律來維系，同樣，要保證計算機網絡的安全，必須加強網絡使用方法、網絡安全與道德的教育。研究與開發(fā)各種網絡安全技術與產品，同樣要重視“網絡社會”中的“道德”與“法律”，這對于人類來說是個新的研究課題。

目前，網絡安全問題已成為信息化社會的焦點問題。每個國家必須立足于本國的網絡安全狀況，研究自己的網絡安全技術，培養(yǎng)自己的網絡安全人才，發(fā)展自己的網絡安全產業(yè)，才能構筑本國的網絡與信息安全防范體系。因此，我國的網絡與信息安全技術的自主研究與產業(yè)發(fā)展，是關系到國計民生與國家安全的關鍵問題。同時，研究網絡安全技術與學習網絡安全知識，也是計算機網絡學習的一項重要內容。

二、網絡安全的定義

從本質上來講，網絡安全就是網絡上的信息安全。它是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因遭到破壞、更改、泄露，系統(tǒng)能連續(xù)、可靠、正常地運行，網絡服務不中斷。

三、網絡安全的標準

1.主要的網絡安全標準

保證網絡安全只依靠技術來解決是遠遠不夠的，還必須依靠政府、立法機構制定完善的法律法規(guī)來約束。目前，我國與世界各國都很重視計算機、網絡與信息安全方面的立法問題。

2.安全級別的分類

1983年誕生了可信計算機系統(tǒng)評估準則TC-SEC-NCSC，1985年誕生了可信網絡說明(TNI)。TC-SEC-NCSC準則將計算機系統(tǒng)安全等級分為4類7個等級，即D、C1、C2、B1、B2、B3與A1。其中，D級系統(tǒng)的安全要求最低，A1級系統(tǒng)的安全要求最高。

1)D類系統(tǒng)

D類系統(tǒng)的安全要求最低，只有一個級別，屬于非安全保護類，不能用于多用戶環(huán)境下的重要信息處理。

2)C類系統(tǒng)

C類系統(tǒng)是用戶能定義訪問控制要求的自主型保護類，它可以分為兩個級別：Cl級與C2級。

3)B類系統(tǒng)

B類系統(tǒng)屬于強制型安全保護類，用戶不能分配權限，只有網絡管理員可以為用戶分配訪問權限。B類系統(tǒng)分為三個級別：Bl級、B2級與B3級。

B3級系統(tǒng)又稱為安全域(SecurityDomain)級系統(tǒng)，它要求系統(tǒng)通過硬件方法去保護某個域的安全，如通過內存管理硬件去限制非授權用戶對文件系統(tǒng)的訪問。B3級要求系統(tǒng)在出現故障后能夠自動恢復到原狀態(tài)。如果現在的操作系統(tǒng)不重新進行系統(tǒng)結構的設計，很難通過B3級系統(tǒng)安全要求的測試。

4)A類系統(tǒng)

Al級系統(tǒng)要求提供的安全服務功能與B3級系統(tǒng)基本一致。A1級系統(tǒng)在安全審計、安全測試、配置管理等方面提出更高的要求。Al級系統(tǒng)在系統(tǒng)安全模型設計和軟硬件實現上都要通過認證，要求達到更高的安全可信度。

9.2網絡安全研究的課題

一、威脅網絡安全的主要因素計算機網絡是為了將單獨的計算機互連起來，提供一個可以將資源或信息共享的通信環(huán)境。網絡安全技術就是通過解決網絡安全存在的問題，保護信息在網絡環(huán)境中存儲、處理與傳輸的安全。在研究網絡安全技術問題之前，首先要研究威脅網絡安全的主要因素，其大致可以歸納為以下六個課題：

1.網絡防攻擊

網絡安全技術研究的第一個課題是網絡防攻擊技術。

2.網絡安全漏洞與對策

網絡安全技術研究的第二個課題是網絡安全漏洞與對策。

3.網絡中信息的安全保密

網絡安全技術研究的第三個課題是如何保證網絡系統(tǒng)中的信息安全。網絡中的信息安全保密主要包括兩個方面：信息存儲安全與信息傳輸安全。

信息傳輸安全是指保證信息在網絡傳輸過程中不被泄露或攻擊。信息在網絡傳輸中被攻擊的形式可以分為四種類型：截獲、竊聽、篡改與偽造信息。圖9.1給出了信息在網絡傳輸中被攻擊的類型。圖9.1信息在網絡傳輸中被攻擊的類型

圖9.2為數據加密與解密的過程示意圖。密碼學是介于通信技術、計算機技術與應用數學之間的交叉學科。傳統(tǒng)的密碼學有很悠久的歷史，自1976年公開密鑰密碼體系誕生以來，密碼學得到了快速的發(fā)展，并在網絡中獲得了廣泛的應用。目前，人們通過加密與解密算法、身份認證、數字簽名等方法來解決信息在存儲與傳輸中的安全問題。圖9.2數據加密與解密過程．

4.網絡內部的安全防范

網絡安全技術研究的第四個課題是如何從網絡系統(tǒng)內部保證信息的安全。除了上述可能對網絡安全構成威脅的因素之外，還有一些威脅來自網絡內部，主要表現在以下兩個方面：

(1)如何防止源結點用戶發(fā)送信息后不承認，或是目的結點接收信息后不承認，即出現抵賴問題?！胺赖仲嚒笔蔷W絡信息傳輸安全保障的重要內容之一，如何防抵賴也是電子商務應用必須解決的重要問題。網絡安全技術需要通過身份認證、數字簽名、第三方認證等方法，來確保信息傳輸的合法性和防止出現抵賴現象。

(2)如何防止合法用戶有意或無意做出對網絡、信息安全有害的行為，這些行為主要包括：有意或無意泄露網絡管理員或用戶口令；違反網絡安全規(guī)定，繞過防火墻私自與外部網絡連接，造成系統(tǒng)安全漏洞；超越權限查看、修改與刪除系統(tǒng)文件、應用程序與數據；超越權限修改網絡系統(tǒng)配置，造成網絡工作不正常；私自將帶有病毒的存儲介質等拿到內部網絡中使用等，這類問題經常出現并且危害性極大。

5.網絡病毒防御

網絡安全技術研究的第五個課題是網絡病毒防御。網絡病毒的危害是不可忽視的。據統(tǒng)計，目前70%左右的病毒發(fā)生在網絡中，聯網計算機的病毒傳播速度是單機的20倍，網絡服務器殺毒花費的時間是單機的40倍。電子郵件炸彈可以使用戶的計算機癱瘓，有些網絡病毒甚至會破壞計算機的系統(tǒng)硬件。有些網絡設計人員在目錄結構、用戶組織、數據安全性、備份與恢復方法以及系統(tǒng)容錯技術上都采取了嚴格的措施，但是沒有重視網絡病毒的防御問題。

6.網絡數據備份與恢復

網絡安全技術研究的第六個課題是數據備份與恢復。在實際的網絡運行環(huán)境中，數據備份與恢復功能是非常重要的。網絡安全可以從預防、檢查、反應等方面著手，以減少網絡信息系統(tǒng)的不安全因素，但要完全保證不出現網絡安全問題是不可能的。如果出現網絡故障造成數據丟失，數據能不能恢復則成為很重要的問題。

一個實用的網絡信息系統(tǒng)設計中必須考慮數據備份與恢復手段，這也是網絡安全研究的一個重要內容。

二、網絡安全服務的主要內容

網絡安全包括三個方面內容：安全攻擊(SecurityAttack)、安全機制(SecurityMechanism)與安全服務(SecurityService)。其中，安全攻擊是指有損于網絡信息安全的操作；安全機制是指用于檢測、預防或從安全攻擊中恢復的機制；安全服務是指提高網絡系統(tǒng)中的信息傳輸安全性的服務。網絡安全服務應提供以下幾種基本功能。

1.保密性服務

保密性(Confidentiality)服務是指對網絡中的信息進行加密，防止信息在傳輸過程中被攻擊。

2.認證服務

認證(Authentication)服務是指對網絡中信息的源結點與目的結點的身份進行確認，防止出現假冒或偽裝成合法用戶的現象。

3.數據完整性服務

數據完整性(DataIntegrity)服務是指保證目的結點接收的信息與源結點發(fā)送的信息一致，防止信息在傳輸過程中被復制、修改等情況出現。

4.防抵賴服務

防抵賴(Non-repudiation)服務是指保證源結點與目的結點不能否認自己收或發(fā)過的信息。

5.訪問控制服務

訪問控制(AccessControl)服務是指控制與限定網絡用戶對主機、應用與服務的訪問。

9.3防?火?墻?技?術

一、防火墻的基本概念1.防火墻的定義和功能防火墻的概念源于歐洲中世紀的城堡防衛(wèi)系統(tǒng)。為了保護城堡的安全，封建領主在城堡周圍挖一條護城河，每個進入城堡的人都要經過吊橋，并且要接受城門守衛(wèi)的檢查。研究人員借鑒這種防護思想，設計了一種網絡安全防護系統(tǒng)，即防火墻(Firewall)。防火墻是在網絡之間執(zhí)行控制策略的安全系統(tǒng)，它通常包括硬件與軟件兩個組成部分。

在設計防火墻時有一個假設：防火墻保護的內部網絡是可信賴的網絡，而外部網絡是不可信賴的網絡。圖9.3給出了防火墻的基本結構示意圖，設置防火墻是為了保護內部網絡不被外部用戶非法訪問，因此防火墻的位置一定在內部網絡與外部網絡之間。防火墻的主要功能包括：檢查所有從外部網絡進入內部網絡的數據分組；檢查所有從內部網絡傳輸到外部網絡的分組；限制所有不符合安全策略要求的分組通過；具有防攻擊能力，保證自身的安全性。圖9.3網絡防火墻的基本結構

2.防火墻的優(yōu)缺點

1)防火墻的優(yōu)點

(1)保護脆弱的網絡服務；

(2)控制對系統(tǒng)的訪問；

(3)集中的安全管理；

(4)增強系統(tǒng)數據的保密性；

(5)記錄和統(tǒng)計網絡利用數據以及非法數據；

(6)策略執(zhí)行。

2)防火墻的缺點

(1)無法阻止繞過防火墻的攻擊；

(2)無法阻止來自內部的威脅；

(3)無法防止病毒感染程序或文件的傳輸。

二、防火墻的分類

防火墻可以分為兩種基本類型：分組過濾路由器(PacketFilteringRoute)與應用級網關(ApplicationGateway)。最簡單的防火墻可以僅由分組過濾路由器組成，而復雜的防火墻系統(tǒng)是由分組過濾路由器與應用級網關共同構成的。由于分組過濾路由器與應用級網關的組合方式有多種，因此防火墻系統(tǒng)的結構也有多種形式。

1.分組過濾路由器

分組過濾路由器是基于路由器技術的防火墻。路由器根據內部設置的分組過濾規(guī)則(即路由表)，檢查每個進入路由器的分組的源地址、目的地址，以便決定該分組是否應該轉發(fā)及如何轉發(fā)。普通路由器只對分組的網絡層頭部進行處理，并不會對分組的傳輸層頭部進行處理。分組過濾路由器需要檢查傳輸層頭部的端口號字段。通常，分組過濾路由器是被保護的內部網絡與外部網絡之間的第一道防線，也被稱為屏蔽路由器。

實現分組過濾的關鍵是制定分組過濾規(guī)則。分組過濾路由器需要分析接收到的每個分組，按照每條分組過濾的規(guī)則加以判斷，將符合包轉發(fā)規(guī)則的分組轉發(fā)出去，將不符合包轉發(fā)規(guī)則的分組丟棄。通常，分組過濾規(guī)則基于頭部的全部或部分內容，如源地址、目的地址、協議類型、源端口號、目的端口號等。圖9.4給出了分組過濾路由器的工作原理示意圖。分組過濾是實現防火墻功能的基本方法。圖9.4分組過濾路由器的工作原理

分組過濾方法的主要優(yōu)點是：結構簡單，便于管理，造價低廉。由于分組過濾在網絡層與傳輸層操作，因此這種操作對應用層是透明的，不要求客戶與服務器程序做任何修改。分組過濾方法的缺點是：配置分組過濾規(guī)則比較困難；分組過濾只能工作在假定內部主機可靠的判斷上，它只能控制到主機級而不能達到用戶級；分組過濾對某些服務(如FTP)的效果不明顯。與其他防火墻技術相比，欺騙分組過濾路由器比較容易。

2.應用級網關

分組過濾路由器在網絡層與傳輸層監(jiān)控進出網絡的分組。用戶對網絡資源與服務的訪問發(fā)生在應用層，因此應在應用層進行用戶身份認證與訪問控制，這個功能需要由應用級網關來完成。在討論應用級網關時，首先需要討論的是多歸屬主機。

1)多歸屬主機

多歸屬主機又稱多宿主主機，它是具有多個網絡接口的主機，每個網絡接口與一個網絡連接。由于具有在不同網絡之間交換數據的能力，因此多歸屬主機也被稱為網關(Gateway)。

如果多歸屬主機只是連接兩個網絡，則可以將它稱為雙歸屬主機。雙歸屬主機可以用于網絡安全與網絡服務的代理，只要能確定應用程序的訪問控制規(guī)則，就可以采用雙歸屬主機作為應用級網關，在應用層過濾進出網絡的特定服務的用戶請求。

圖9.5給出了應用級網關的工作原理示意圖。例如，內部網絡中的FTP服務器只能被內部用戶訪問，則所有外部用戶對FTP服務的訪問都被認為是非法的。應用級網關的應用程序訪問控制軟件接收到外部用戶對FTP服務的訪問請求時，會認為該訪問請求非法并將相應的分組丟棄。同樣，如果確定內部用戶只能訪問外部網絡中某些特定的WWW服務器，則凡是不在允許范圍內的訪問請求將一律被拒絕。圖9.5應用級網關的工作原理

2)應用級代理

應用級代理(ApplicationProxy)是應用級網關的另一種形式。應用級網關以存儲轉發(fā)方式檢查服務請求的用戶身份是否合法，決定是轉發(fā)還是丟棄該服務請求，因此應用級網關是在應用層轉發(fā)合法的服務請求。應用級代理與應用級網關的不同點是：應用級代理完全接管用戶與服務器之間的訪問，隔離用戶主機與被訪問服務器之間的分組交換通道。在實際應用中，應用級代理由代理服務器(ProxyServer)實現。

圖9.6給出了應用級代理的工作原理示意圖。圖9.6應用級代理的工作原理

三、典型防火墻系統(tǒng)的結構

防火墻系統(tǒng)是由軟件和硬件組成的系統(tǒng)，由于不同內部網的安全策略與要求不同，防火墻系統(tǒng)的配置與實現方法有很大的區(qū)別。

1.屏蔽路由器

屏蔽路由器是防火墻系統(tǒng)中最基本的一種，它通常是帶有分組過濾功能的路由器。

2.堡壘主機結構

堡壘主機也是防火墻系統(tǒng)中最基本的一種，它通常是有兩個網絡接口的雙歸屬主機，每個網絡接口與它對應的網絡進行通信，因此雙歸屬主機也具有路由器的作用。

3.屏蔽主機網關結構

屏蔽主機網關由屏蔽路由器與堡壘主機組成，屏蔽路由器被設置在堡壘主機與外部網絡之間，其結構如圖9.7所示。屏蔽主機網關既具有堡壘主機結構的優(yōu)點，圖9.7屏蔽主機網關的結構

9.4計?算?機?病?毒

一、計算機病毒的概念計算機病毒(ComputerVirus)是指會破壞計算機功能或毀壞數據，并能自我復制、影響計算機使用的應用程序，計算機病毒與生物病毒同樣具有傳染與破壞作用。計算機病毒是人為編寫的具有一定長度的程序，它能適應所在系統(tǒng)或網絡環(huán)境。

隨著計算機網絡的飛速發(fā)展與普及，出現了傳播范圍更廣、危害更大的新型病毒，這就是在網絡環(huán)境下流行的網絡病毒。網絡病毒是利用網絡漏洞設計與傳播的。例如，隨著電子郵件的廣泛應用，出現了附著在郵件附件中的病毒，以及大家所熟悉的CIH病毒等。從前的計算機病毒是以磁盤方式傳播，計算機網絡的出現改變了病毒的傳播方式，Internet成為網絡病毒傳播的主要途徑，圖9.8給出了網絡病毒的傳染途徑示意圖。至今，全世界發(fā)現的計算機病毒已超過30萬種，并且這個數字仍在高速增長中。圖9.8網絡病毒的傳染途徑

二、計算機病毒的分類

計算機病毒主要分為三種類型：宏病毒、引導型病毒與蠕蟲病毒。

(1)宏病毒。宏病毒是由宏構成的寄生型病毒，能夠感染Word系統(tǒng)中的文檔與模板。

(2)引導型病毒。引導型病毒能感染硬盤引導程序。

(3)蠕蟲病毒。蠕蟲病毒是通過某種網絡服務(如電子郵件)，將自身從一臺計算機復制到其他計算機的程序。

三、計算機病毒的特點

計算機病毒具有以下幾個特點：

(1)寄生性。

(2)傳染性。

(3)潛伏性。

(4)隱蔽性。

(5)破壞性。

(6)可觸發(fā)性。

四、典型網絡防病毒軟件的應用

面對當前網絡病毒傳播日趨泛濫的情況，利用網絡防病毒軟件進行防護是必要的，很多軟件商都提供成熟的網絡防病毒軟件。網絡防病毒軟件是專門針對網絡病毒設計的，它具有單機防病毒軟件無法勝任的網絡防護功能，一個優(yōu)秀的單機反病毒產品在單機環(huán)境下能防治成千上萬種病毒，但在網絡環(huán)境中可能無法控制病毒通過網絡傳播，因此不能僅用查殺病毒數量來衡量網絡反病毒方案的效果。

目前，網絡防病毒軟件多數運行在文件服務器中，可以同時檢查和清除服務器與工作站中的病毒。由于實際的局域網中可能有多個服務器，為了方便進行多個服務器的網絡防病毒工作，通常將多個服務器組織在一個域中，網絡管理員只需要在域中的主服務器設置掃描方式，就可以檢查多個服務器或工作站中的病毒，圖9.9舉例了一款網絡防病毒軟件。網絡防病毒軟件的基本功能是對服務器或工作站的內存與磁盤進行掃描，發(fā)現病毒時采取報警、隔離或清除等操作，通常由網絡管理員負責清除發(fā)現的病毒。圖9.9一款網絡防病毒軟件

網絡防病毒軟件通常會提供三種掃描方式：實時掃描、預置掃描與人工掃描。其中，實時掃描要求連續(xù)不斷地掃描文件服務器讀/寫的文件是否攜帶病毒；預置掃描可以預先選擇掃描服務器的日期與時間，預置的掃描頻度可以是每天、每周或每月一次，時間最好選擇在網絡工作不繁忙的時候；人工掃描可以在任何時候要求掃描指定的卷、目錄與文件。當網絡防病毒軟件在服務器中發(fā)現有病毒時，會將病毒感染情況保存在掃描記錄日志中，并采用隔離或清除的方法來處理感染不同病毒的文件。

五、IT史上的典型病毒

1)ElkCloner(1982年)

ElkCloner被看作攻擊個人計算機的第一款全球病毒，也是令人頭痛的所有安全問題的先驅者。它通過蘋果AppleⅡ軟盤進行傳播。

2)Brain(1986年)

Brain是第一款攻擊DOS操作系統(tǒng)的病毒，它可以感染軟盤，并且會填滿軟盤上的未用空間，從而導致軟盤不能再被使用。

3)Morris(1988年)

Morris病毒程序利用了系統(tǒng)存在的弱點進行入侵。

4)CIH(1998年)

CIH病毒是迄今為止破壞性最嚴重的病毒，也是世界上首例破壞硬件的病毒。

5)Melissa(1999年)

Melissa是最早通過電子郵件傳播的病毒之一，當用戶打開電子郵件的附件時，病毒會自動發(fā)送到用戶通訊簿中的前50個地址的郵箱中，因此這個病毒可以在數小時之內傳遍全球。

6)Lovebug(2000年)

Lovebug也通過電子郵件附件傳播，它把自己偽裝成一封求愛信來欺騙收件人打開。

7)沖擊波(2003年)

沖擊波病毒的英文名稱是Blaster，還被稱為Lovsan或Lovesan，它利用微軟軟件中的一個缺陷對系統(tǒng)端口進行瘋狂攻擊，導致系統(tǒng)崩潰。

8)震蕩波(2004年)

震蕩波是又一個利用Windows缺陷的蠕蟲病毒，可以導致計算機崩潰并不斷重啟。

9)熊貓燒香(2006年)

熊貓燒香是一個用Delphi工具編寫的蠕蟲，會終止大量的反病毒軟件和防火墻軟件進程。

10)ARP欺騙病毒(2007年)

ARP地址欺騙類病毒是一類特殊的病毒，該病毒一般屬于木馬病毒，不具備主動傳播的特性，不會自我復制。

11)磁碟機病毒(2008年)

磁碟機病毒會下載大量木馬，瘋狂盜竊網游賬號、QQ號、用戶隱私數據，幾乎無所不為。

12)木馬下載器(2009年)

計算機被木馬下載器感染后會產生1000～2000個木馬病毒，導致系統(tǒng)崩潰。

13)鬼影病毒(2010年)

鬼影病毒運行后，在進程和系統(tǒng)啟動加載項中都找不到任何異常，即使格式化重裝系統(tǒng)，也無法徹底清除該病毒，猶如“鬼影”一般“陰魂不散”，因此被稱為“鬼影”病毒。

14)寶馬病毒(2011年)

計算機中寶馬病毒后，殺毒軟件和安全類軟件會被自動關閉。

9.5網絡文件的備份與恢復

一、網絡文件備份的重要性在實際的網絡系統(tǒng)運行環(huán)境中，數據備份與恢復功能是非常重要的。網絡系統(tǒng)的硬件與軟件都可以用錢買來，但數據是多年積累的結果并且可能價值連城，因此它可以說是一個企業(yè)的生命。

網絡數據可以進行歸檔與備份兩種操作。歸檔與備份操作是有區(qū)別的：歸檔是指將數據在某種存儲介質中進行永久性存儲，歸檔的數據可能包括文件服務器不再需要的數據，但是這些數據由于某種原因需要保存若干年。備份是指將數據在某種存儲介質中定期存儲，備份的數據是文件服務器等需要使用的數據。網絡數據備份是一項基本的網絡維護工作，歸檔或備份的數據需要存儲在安全的地方。

二、網絡文件備份的基本方法

網絡文件備份是指將需要的文件復制到光盤、磁帶或磁盤等存儲介質中，并將它們保存在遠離服務器的安全地方。要想完成日常的網絡備份工作，首先需要解決以下三個問題。

1.選擇備份設備

選擇備份設備需要根據網絡文件系統(tǒng)的規(guī)模與文件的重要性來決定。

2.選擇備份程序

備份程序可以由網絡操作系統(tǒng)或第三方開發(fā)的軟件來提供。

3.建立備份制度

在安裝備份設備與備份程序后，還需要建立一整套完善的備份制度，包括規(guī)定多長時間做一次網絡備份，以及是否每次都要備份所有文件。建立備份制度的第一件事情是選擇需要備份的文件和備份的時間。

制訂備份計劃應考慮采用多少個備份版本，常見方法是網絡管理員備有3～4盤磁帶，循環(huán)使用這些磁帶進行備份。同時，應該注意把備份介質存放在安全的地方，這一點是至關重要的。用戶要了解備份的目地是為了恢復系統(tǒng)，因此，用戶一定要知道當系統(tǒng)遭到破壞時，需要經過多長時間才能恢復系統(tǒng)，只有備份才能使在恢復系統(tǒng)時數據損失最小。

9.6網絡管理

一、網絡管理的基本概念隨著計算機網絡規(guī)模的不斷擴大，網絡結構也變得越來越復雜，企業(yè)用戶對網絡性能、運行狀況與安全性更加重視。一個有效、實用的網絡任何時候都離不開網絡管理，網絡管理是網絡設計、實現、運行與維護等的關鍵問題。

1.網絡管理的定義

網絡管理可以分為狹義的網絡管理與廣義的網絡管理。狹義的網絡管理是指對網絡交通量(Traffic)等網絡性能的管理；而廣義的網絡管理是指對網絡應用系統(tǒng)的管理。這里討論的網絡管理(NetworkManagement)涉及三個方面：

(1)網絡服務。網絡服務是指向用戶提供新的服務類型、增加網絡設備與提高網絡性能。

(2)網絡維護。網絡維護是指網絡性能監(jiān)控、故障報警、診斷、隔離與恢復。

(3)網絡處理。網絡處理是指對網絡線路、設備利用率數據的采集和分析，以及提高網絡利用率的各種控制方法。

2.網絡管理系統(tǒng)的基本結構

網絡管理系統(tǒng)從邏輯上可以分為以下三個部分：

(1)管理對象(ManagedObject)。它是經過抽象的網絡元素，對應網絡中具體可以操作的數據，如網絡性能統(tǒng)計參數、網絡設備狀態(tài)變量與工作參數等。

(2)管理進程(ManagementProcess)。它是負責對網絡設備進行管理與控制的軟件。

(3)管理協議(ManagementProtocol)。它負責在管理系統(tǒng)與管理對象之間傳輸操作命令。

3.管理信息庫

管理信息庫(MIB，Management

Information

Base)是管理進程的一部分，用來記錄網絡中被管理對象的狀態(tài)參數。一個網絡管理系統(tǒng)中只能有一個管理信息庫，管理信息庫既可以集中存儲在一臺計算機中，也可以由各個網絡設備記錄本地參數。網絡管理員通過查詢管理信息庫獲得網絡設備的工作狀態(tài)與參數。如何使管理信息庫中的數據與實際網絡設備的狀態(tài)、工作參數相一致，是網絡管理系統(tǒng)需要解決的重要問題。保證管理信息庫一致性有兩種方法。

1)事件驅動方法

事件驅動方法中，由網絡監(jiān)控設備來監(jiān)控各自的被管對象，發(fā)現被管對象的狀態(tài)、參數發(fā)生變化時及時地向管理進程報告，這種報告稱為事件報告。事件報告并不意味著發(fā)生嚴重的問題。

2)輪詢驅動方法

輪詢驅動方法中，由管理進程主動輪流查詢網絡設備的工作狀態(tài)與參數。如果返回結果正常，則不做處理；如果返回結果表明網絡設備出現故障，或根本就沒有結果返回，則說明網絡設備存在難以克服的故障，需要管理進程采取措施才能恢復。輪詢驅動方法雖然能保證在網絡設備發(fā)生故障后的一段時間內發(fā)現故障，但是故障的檢測時間延遲一般比較長。

二、網絡管理的內容

網絡管理標準化是要滿足不同網絡管理系統(tǒng)之間互相操作的需求。為了支持各種互聯網絡的管理要求，網絡管理需要有一個國際性的標準。目前，國際上很多機構與團體在為制定網絡管理標準而努力。國際標準化組織ISO做了大量工作并制定出相應標準，即OSI。OSI網絡管理標準將開放系統(tǒng)的網絡管理功能劃分成五個功能模塊。

1.配置管理的功能

網絡配置是網絡中每個設備的功能相互間的連接關系與參數，它反映了網絡的狀態(tài)。網絡是需要經常變化的，調整網絡配置的原因很多，主要有以下幾點：網絡必須根據用戶的需求變化而變化，通過增加新的設備來調整網絡規(guī)模，以增強網絡的服務能力；網絡管理系統(tǒng)檢測到某個設備或線路發(fā)生故障，在故障排除過程中將會影響到部分網絡的結構；通信子網中某個節(jié)點故障會造成節(jié)點減少與路由改變。

網絡配置的改變可能是臨時性或永久性的。網絡管理系統(tǒng)需要有足夠的手段來支持這些改變，不論這些改變是臨時性的還是永久性的，有時甚至要求在短期內自動修改網絡配置以適應突發(fā)性需要。配置管理(ConfigurationManagement)用來識別、定義、初始化、控制與監(jiān)控被管理對象。配置管理需要監(jiān)控的內容主要有：網絡資源與活動狀態(tài)、網絡資源之間的關系、新資源引入與舊資源刪除。從網絡管理的角度來看，網絡資源可以分為三個狀態(tài)：可用、不可用與正在測試。從網絡運行的角度來看，網絡資源可以分為兩個狀態(tài)：活動與不活動。

2.故障管理的功能

故障管理(FaultManagement)用來維持網絡的正常運行。故障管理包括及時發(fā)現網絡中發(fā)生的故障，找出網絡故障產生的原因，以及必要時啟動控制功能排除故障。控制活動包括診斷測試，故障修復或恢復，以及啟動備用設備等。所有網絡設備(包括通話設備與線路)都可能成為網絡通信的瓶頸，事先進行性能分析有助于避免出現網絡瓶頸。性能分析主要是對網絡的各項性能參數(如可靠性、延時、吞吐量、利用率、平均無故障時間等)進行定量評價。

3.性能管理的功能

性能管理(Performance

Management)是指持續(xù)評測網絡運行中的主要性能指標，檢驗網絡服務是否達到預定水平，找出已經發(fā)生或潛在的瓶頸，報告網絡性能的變化趨勢，以便為網絡管理決策提供依據。典型的性能管理可以分為兩部分：性能監(jiān)測與網絡控制。性能監(jiān)測是指搜集與整理網絡狀態(tài)信息；網絡控制是指為改善網絡設備性能而采取的動作與措施。OSI管理功能域定義網絡與用戶對性能管理的需求，用于度量網絡負荷、吞吐量、響應時間、傳輸延時、資源可用性等參數。

4.安全管理的功能

安全管理(SecurityManagement)用來保護網絡資源的安全。安全管理需要利用各層次的安全防衛(wèi)機制來盡量減少非法入侵事件，檢測未授權的資源使用，查出入侵點，并對非法活動進行審查與追蹤。安全管理需要制定判斷非法入侵的條件與規(guī)則。非法入侵活動包括用戶企圖修改未授權訪問的文件、硬件或軟件配置、訪問優(yōu)先權，以及任何其他對敏感數據的訪問企圖。安全管理進程對搜集到的信息進行分析與存儲，并根據入侵活動的情況采取相應的措施，如給入侵用戶以警告信息、取消網絡訪問權限等。

5.記賬管理的功能

記賬管理(Accounting

Management)用來統(tǒng)計網絡資源或服務的使用情況。對于公用分組交換網與各種網絡服務系統(tǒng)，用戶必須為使用的網絡資源或服務付費，網管系統(tǒng)需要記錄用戶使用網絡資源的情況并核算費用。

三、簡單的網絡管理協議

Internet網絡管理模型是Internet環(huán)境中的網絡管理框架。圖9.10為Internet網絡管理模型。管理對象表示一種接受管理的網絡資源。每個管理對象中有一個管理代理(Agent)，負責執(zhí)行對管理對象的實際管理操作。網絡中可以有一個或多個實施集中式的管理進程，網絡管理標準用來定義網絡管理中心與管理代理之間的通信。圖9.10Internet網絡管理模型

除了標準化組織制定的網絡管理標準外，有些廠商還制定了應用在各自網絡中的網管標準。例如，IBM公司、Internet組織都有各自的網管標準，有些已經成為事實上的網絡管理標準，如簡單網絡管理協議(SNMP，SimpleNetworkManagementProtocol)。圖9.11給出了SNMP網絡管理模型的結構。SNMP網絡管理模型包括三個組成部分：管理進程(Manager)、管理代理(Agent)與管理信息庫(MIB)。圖9.11SNMP網絡管理模型

四、網絡故障排除

1.網絡故障診斷的方法

網絡故障診斷的目的是確定網絡的故障點，恢復網絡的正常運行；發(fā)現網絡規(guī)劃和配置中的欠佳之處，改善和優(yōu)化網絡的性能；觀察網絡的運行狀況，及時預測網絡通信質量。

網絡診斷可以使用多種工具，常用的是路由器診斷命令、網絡管理工具和其他故障診斷工具。故障排除的一般步驟是：

(1)確定故障現象。

(2)收集需要的、用于幫助隔離可能產生故障的信息。

(3)根據收集到的情況考慮可能的故障原因。

(4)根據最后推斷出的故障原因建立一個診斷計劃。

(5)執(zhí)行診斷計劃。

(6)每改變一個參數都要確認其結果。

2.常見的網絡故障的現象及解決的辦法

【實例1】一個有120臺計算機的機房，全部計算機在啟動WindowsXP時一直停留在啟動界面不能進入系統(tǒng)。

【維修過程】首先懷疑是計算機病毒的原因，經過查毒，沒有發(fā)現問題。測試時發(fā)現使用安全模式可以進入，但普通模式不能進入。偶然發(fā)現機房中有兩臺計算機可以進入，把這兩臺計算機替換到其他位置也出現相同問題，開始懷疑網絡問題。

本機房使用了九個集線器和一個交換機，集線器全部連接到交換機上，交換機連接到校園網。把一個集線器和交換機的連接線斷開，再實驗，發(fā)現此集線器連接的計算機工作正常。因此，確定故障在交換機上。仔細檢查交換機，發(fā)現交換機和校園網連接的網線兩頭都插在交換機的不同端上，拔開后整個機房恢復正常。原來是老師為阻止學生上課時上網，把外網網線拔掉后插到交換機上，引起了網絡全部廣播數據包回傳，網卡無法完成測試網絡狀態(tài)，造成WindowsXP停止在開機界面。

【實例2】校園網訪問外部網絡速度極慢，有時甚至完全中斷，但內部網絡訪問正常。

【維修過程】ping外部網絡，發(fā)現有大量的丟包，但一直可以連通。經監(jiān)控，發(fā)現有大流量數據包通過校園網流向外網，而正常情況下，校園網向外的流量相對較小，判斷內部