|
|
|
◆Internet控制消息协议ICMP Ping。
|
|
|
|
|
|
Ping对网络专业人员来说是一个常用且对用户友好的故障排除技术。Ping是一个工具,它使用ICMP返回请求和响应协议来测试与IP地址的连接性,能够快速浏览从工作站到目标IP地址的设备可达性和响应时间。然而,从工作站到远程节点使用Ping可能无法确定问题的位置,因为测量可能发生在不同网络路径或多跳上。此外,使用ICMP测量响应时间不能准确反映应用的响应时间。一个透明、正常的网络(如具有快速Ping响应和低使用率的网络)可能仍然掩盖着潜在的响应时间问题,因为问题可能出在协议栈的上层中。
|
|
|
|
网络分析仪或探测仪是监测和解决响应时间问题的常用工具。探测仪通常是一个用于监测网络段性能的专用硬件设备。例如,RMON2探测仪可以分析现有网络业务并报告所连网络段的使用率、顶层会话者和会话,这些报告都被上层协议分开。探测仪可捕捉分组并分析分组的头信息,用于深入分析网络段的活动。
|
|
|
探测仪关于网络段利用率和错误数的报告可以帮助网络专业人员准确确定网络时延和问题。然而,需要在应用路径的每一跳上设置许多探测仪以检测网络时延所处的位置。尽管网络分析仪或探测仪可以得到有价值的信息,但在解决响应时间和可用性的问题上可能不是有效的方案。当校准网络或分析链路、协议和应用使用率趋势以及描述和识别最高层上的对话者和会话时,专用探测仪更合适。
|
|
|
|
Cisco IOS NetFlow技术收集并测量进入特定路由器或交换机接口的数据,是Cisco IOS软件的一个组成部分。
|
|
|
通过分析NetFlow数据,网络管理人员能够确定拥塞的原因、每个用户的CoS以及应用,并确定业务的源网络和目的网络。NetFlow支持极高的粒度和准确的业务测量以及高级聚合业务收集。由于它是Cisco IOS软件的一个组件,因此NetFlow支持基于Cisco产品的网络,以实现IP业务流分析,而无须购买客户探测仪,从而使大型IP网络上的业务分析更经济。
|
|
|
|
网络监视工具的种类较多,此处仅介绍OpenView、NetView、SunNet Manager和其他一些常用的监视工具。
|
|
|
|
HP的OpenView是第一个真正兼容的、跨平台的网络管理系统,因此也得到了广泛的市场应用。虽然OpenView被认为是一个企业级的网络管理系统,但它跟大多数别的网络管理系统一样,不能提供NetWare、SNA、DECnet、X.25、无线通信交换机以及其他非SNMP设备的管理功能。
|
|
|
OpenView不能处理因为某一网络对象故障而导致的其他对象的故障。另外,在OpenView中,性能的轮询与状态的轮询是截然分开的,这样将导致一个网络对象响应性能的轮询失败,但不触发一个报警。只有当该对象不响应状态的轮询时才进行故障报警,这将导致故障响应时间的延长。
|
|
|
OpenView还使用了商业化的关系数据库,这使得利用OpenView采集到的数据开发扩展应用变得相对容易。
|
|
|
|
NetView既可以作为一个跨平台的、即插即用的系统提供给最终用户,也可以作为一个开发平台,在上面开发新的网络管理应用。它不能提供NetWare、SNA、DECnet、X.25、无线通信交换机以及其他非SNMP设备的管理功能。NetView产品系列包括一个故障卡片系统、一些新的故障诊断工具,以及一些OpenView所不具备的其他特性。
|
|
|
NetView不能对故障事件进行归并,不能找出相关故障卡片的内在关系,因此对一个失效设备,即使是一个重要的路由器,也将导致大量的故障卡片和一系列类似的警报。因此,NetView不具备在掌握整个网络结构情况下管理分散对象的能力。在一个大型、异构网络中,这意味着服务的开销不能轻易地从网络开销中区分出来。
|
|
|
同样地,在NetView中,性能轮询与状态轮询也是彻底分开的,这也将导致故障响应的延迟。NetView也使用了商业化的关系数据库,这使得利用NetView采集来的数据开发扩展应用变得相对容易。
|
|
|
|
SunNet Manager(SNM)是第一个重要的基于UNIX的网络管理系统。SNM一直作为主要开发平台而存在,但它仅提供了很有限的应用功能。为了实用化,还必须附加很多第三方开发的针对具体硬件平台的网络管理应用。SNM跟其他大多数网络管理系统一样,也不能提供NetWare、SNA、DECnet、X.25、无线通信交换机以及其他非SNMP设备的管理功能。
|
|
|
SNM有两个特性:Proxy管理代理和集成控制核心。
|
|
|
|
网络故障检测还经常用到一些命令,如ping、traceroute、nslookup、netstat、arp以及route等。
|
|
|
|
ping命令是网络中使用最频繁的测试命令,它的协议基础是TCP/IP协议中的ICMP。
|
|
|
ping命令发出ICMP的Echo消息,接收者听到后应答ICMP的Echo应答消息,这一问一答就表明源站与目的站间的TCP/IP协议可以进行正常的连通。ping命令还具有测试网络响应时间的功能,以问答间隔为标准。配置管理中网络拓扑图的自动发现就是通过ICMP协议以类似于ping命令的方式完成。
|
|
|
|
traceroute命令用来测试IP数据包到达目的端经过的所有路由器的路径及连通状况,它通过每一个路由器的响应时间来反映速度快慢,在测试路由协议的配置时经常使用。
|
|
|
|
netstat命令是显示TCP/IP协议状态的命令,工作站中的网络问题用此命令进行分析。
|
|
|
|
nslookup命令用于向DNS服务器发送一个DNS查询,对完整的域名和TCP/IP地址进行查询解析,然后显示DNS服务器的名称、地址和解析到的信息。
|
|
|
(5)Cisco Management Station to Device工具。
|
|
|
如果一个设备可以对ping或者traceroute命令进行响应,但是却不能支持SNMP或者其他第4层的应用,则可以使用Cisco Management Station to Device工具来测试应用方面的问题。这个工具可以用来测试UDP、TCP、HTTP、TFTP、Telnet和SNMP的连接是否正常。对于UDP和TCP,所测试的端口为7,对于其他的协议,将测试服务器一侧的端口。对于各个应用来说,这个工具就像是一个客户端。为了取得测试成功,在设备上必须运行以上提及的协议,将之作为一个Server。例如,为了取得HTTP测试的成功,需要使用ip http server命令在路由器上启动Web接口。如果使用的是主机名而不是TCP/IP地址,则在测试之前将首先对主机名进行解析并将解析的结果显示出来。
|
|
|
(6)Network Show Command应用。
|
|
|
Network Show Command应用是一个基于Java的工具,通过这个工具,管理员可以定义用户针对其Cisco设备运行的show命令列表。Network Show Command还提供了一个可选的远程控制台选项,在这个控制台上,可以输入show命令列表中没有定义的show命令。
|
|
|
Network Show Command工具存在的问题是它的权限控制操作十分复杂,权限严格限制了用户可以执行的命令,但是并不限制它能够完成的功能。当把Network Show Command工具和NetConfig工具一起使用的时候,用户只有有限的特权,只能配置网络设备上的某些属性,根据NetConfig应用中的模板来修改设备的配置,这些模板是由管理员创建的。用户通过Network Show Command工具,可以验证NetConfig任务的输出结果。另外一个优点是Network Show Command工具和NetConfig工具可以一次性对多个设备产生影响,比较高效。
|
|
|
|
|
入侵检测系统是近几年出现的新型网络安全技术,它试图发现入侵者或识别出对计算机的非法访问行为,并对其进行隔离。入侵检测系统能发现其他安全措施无法发现的攻击行为,并能收集可以用来诉讼的犯罪证据。
|
|
|
入侵检测系统有两类:基于网络的实时入侵检测系统和基于主机的实时入侵检测系统。目前IDS解决方案和产品有很多种,这里介绍的入侵检测产品为Cisco的IDS。
|
|
|
|
考虑到企业站点非常复杂,攻击技术多种多样,黑客数量只增不减,必须采用全面的解决方案才能有效预防黑客袭击。这种解决方案应该能对抗多种攻击技术,并防止在典型攻击过程中执行的恶意操作。由于Cisco IDS解决方案提供包含NIDS和HIDS组件的组合解决方案,因而能满足这个要求。NIDS主要用于预防网络袭击,而HIDS则主要用于防止服务器的OS操作系统和应用遭受袭击。
|
|
|
NIDS检测器可以安装在多个位置上,最重要的位置是防火墙的前面,负责监控进入机构的通信信息。另外,每个重要的网段都安装一个检测器。HIDS首先部署在面对互联网的服务器上,例如Web、邮件和DNS服务器。由于面向互联网的服务器与后端服务器相连,因此,HIDS也部署在公司防火墙内的所有其他主要服务器上。
|
|
|
|
Cisco IDS网络检测器能够为网络设备及服务器上的通信模块提供全面保护。其主要特性如下。
|
|
|
◆积极响应(系统包含对检测器设备的主动响应功能)。
|
|
|
|
|
◆以独特的方式预防拒绝服务攻击(Deny of Services, DoS)。
|
|
|
◆先进的IP分片重装和Whisker反IDS检测功能支持。
|
|
|
|
Cisco IDS主机检测器能够为服务器上运行的服务器操作系统和应用提供全面保护。主机检测器安装在每台服务器上,用于保护操作系统和应用。系统利用呼叫截获技术提供纯主动式服务器安全系统。其主要特性有以下几个。
|
|
|
|
|
|
|
|
|
漏洞扫描安全评估技术可以帮助网络管理者对网络的安全现状进行扫描,并在发现漏洞后提出具体的解决办法。
|
|
|
网络安全漏洞扫描系统通常安装在一台与网络有连接的主机上。系统中配有一个信息库,其内存放着大量有关系统安全漏洞和黑客攻击行为的数据。扫描系统根据这些信息向网络上的主机和网络设备发送数据包,观察被扫描的设备是否存在与信息库中记录的内容相匹配的安全漏洞。扫描的内容包括主机操作系统本身、操作系统的配置、防火墙配置、网络设备配置以及应用系统等。
|
|
|
通过网络扫描,系统管理者可以及时发现网络中存在的安全隐患,并进行必要的修补,从而减小网络被攻击的可能性。
|
|
|
|
|
◆直接配置检查:这种技术的代表是COPS(Computer Oracle Password and Security System)。COPS从系统内部常见的UNIX安全配置错误与漏洞(如关键文件权限设置、FTP权限与路径设置、root路径设置、密码等)入手,指出系统内存在的安全问题,从而减少系统可能被入侵者(包括内部用户)利用的漏洞。
|
|
|
◆模拟入侵:这种技术模拟入侵者可能的攻击行为,从系统外部进行扫描,以探测是否存在可以被入侵者利用的系统安全的薄弱之处。其代表有ISS(Internet Security Scanner)和SATAN(Security Analysis Tool for Auditing Network)。
|
|
|
|
安全扫描工具通常分为基于服务器和基于网络的扫描器。
|
|
|
基于服务器的扫描器主要扫描与服务器相关的安全漏洞,如password文件、目录和文件权限、共享文件系统、敏感服务、软件、系统漏洞等,并给出相应的解决办法建议。该类扫描器通常与相应的服务器操作系统紧密相关。
|
|
|
基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。
|
|
|
|
网络性能包括带宽利用率、吞吐率降低的程度、通信繁忙的程度、网络瓶颈及响应时间等,这些参数的控制和优化是系统管理人员的日常性工作。性能指标通过性能监测设备采集并存储在数据库中。数据库可以放在代理中,也可以放在管理站中,这取决于代理和管理站的能力以及通信开销的大小。
|
|
|
如果数据量太大,可以只存储统计摘要和趋势分析的结果。在ISO 10165—2(管理信息定义)中定义的管理对象的某些属性代表了系统的性能参数。这些属性如下所述。
|
|
|
◆计数器(Counter)。计数器的特点是初始值为零,其值只能增加不能减少,增加到最大值时归零。它的应用很广泛,例如,可以用来表示工作站接收的分组数。
|
|
|
◆计量器(Gauge)。与计数器不同,计量器的值可增加也可减少,达到最大值时不归零,而是不再增加,但可以减少。例如,可以用它表示网络层实体管理的队列长度。
|
|
|
◆阈值(Threshold)。阈值可用于计数器或计量器。当计数器的值达到某个阈值时管理对象要发出通知。计量器的阈值有两个,分别是上限和下限,并且仅当被监视的量的变化经过上/下限时,管理对象才发出报警通知。
|
|
|
◆涨潮点(Tidemark)。涨潮点是指计量器的最低点或最高点。涨潮点的属性有3个值,即当前值、最近一次复位之前的值和最近复位的时间等。后两个值可用来计算潮汐的大小和到达涨潮点的时间。
|
|
|
|
|
◆对监测到的性能数据进行统计和计算,获得网络及其主要元素的性能指标,定期产生性能报表。
|
|
|
◆负责维护性能MIB,存储网络及其主要元素性能的历史数据。
|
|
|
◆根据当前数据和历史数据对网络及其主要元素的性能进行分析,获得性能的变化趋势,分析制约网络性能的瓶颈问题。
|
|
|
◆在网络性能异常的情况下向网络管理者进行警告,在特殊情况下,直接启动故障管理功能进行反应。
|
|
|
性能分析的基础是建立和维护一个有效的性能MIB。在此基础上,要解决的关键问题是设计和构造有效的性能分析方法。传统的方法是基于解析的方法。
|
|
|
解析的方法又分为预测法和解释法两种。预测法是根据网络的结构以及各个网络元素的性能,推测网络的总体性能的方法。解释法是从网络的结构以及观测到的总体性能出发,推测各个网络元素性能的方法。由于解析的方法具有局限性,因此对于比较复杂的关系难以迅速得到正确结果。
|
|
|
现在,基于人工智能的网络性能分析方法越来越受到重视。在这种方法中,一般利用专家系统对网络性能进行分析,提高了分析的水平和速度。
|
|
|
|
安全管理的目的是提供信息的保密、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。目前采用的网络安全措施主要包括通信伙伴认证、访问控制、数据保密和数据完整性保护等。一般的安全管理系统包含风险分析功能,安全服务功能,报警、日志和报告功能,网络管理系统保护功能等。
|
|
|
需要明确的是,安全管理系统并不能杜绝所有对网络的侵扰和破坏,其作用仅在于最大限度地防范,以及在受到侵扰和破坏后将损失尽量降低。具体地说,安全管理系统的主要作用有以下几点。
|
|
|
◆采用多层防卫手段,将受到侵扰和破坏的概率降到最低。
|
|
|
◆提供迅速检测非法使用和非法入口的手段,核查跟踪侵入者的活动。
|
|
|
◆提供恢复被破坏的数据和系统的手段,尽量降低损失。
|
|
|
|