小型网络环境下的故障维护手段
毕业设计
题 目:
系部(院): 信息物流系
专 业: 计算机网络技术
学 号: xxxxxx 姓 名: xxx
指导教师: 刘永立
内容摘要
随着网络在今时今日的不断发展,我们已经进入了高科技信息时代,意味着IT行业达到顶峰的同时也意味着INTERNET技术也提升了一个高度。
许多公司都建立了企业网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但企业的员工在使用企业网络的同时却忽略了 网络安全 问题,登陆了一些非法网站和使用了带病毒的软件,导致了企业计算机系统的崩溃,给同事们带来了大量的工作负担,也严重影响了企业网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了企业网络管理人员的一个重要课题。
作为一位网络管理员针对网络的维护和管理,我们一起来探讨一下企业网络安全技术。网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
关键词:系统安全 VLAN 防火墙
目录
一、 网络安全概要 ........................................................ 3
(一) 系统安全 ....................................................... 3
(二) 网络运行安全 ................................................... 4
(三) 内部网络安全 ................................................... 4
(四) 常用的网络安全工具的介绍 ....................................... 5
二、 网络维护基本步骤 .................................................... 7
(一)网络维护范围 .................................................... 7
(二)制定方案 ........................................................ 7
三、 网络维护实施过程 .................................................... 8
(一)关键步骤 ........................................................ 8
(二)以太网端口的配置实例 ........................................... 13
四、 参考文献 ........................................................... 18
五、 总 结 ............................................................. 19
一、 网络安全概要
(一) 系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服
务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏性行为。
因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
(二)网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
(三)内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击
能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。 以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。
(四)常用的网络安全工具的介绍
1. 可引导的Linux版本:Backtrack 是最流行的可引导Linux版本之一,它有最新的安全工具和应用程序。Backtrack允许您加载一个纯原生的黑客环境,然后可以用它执行渗透测试。所谓Live CD/DVD或可引导发行版,是指一个完整配置的操作系统,它允许用户不需要将它安装到硬件,而体验和评估一个操作系统。您可以从Live DVD、U盘或虚拟机运行这个操作系统。
2. 恶意软件分析工具包:Virustotal和Jotti是2个您不可错过的网站。如果您是一位渗透测试人员,那么您肯定会遇到很多的潜在恶意软件。虽然您可以依赖于一种杀毒软件,但是可能10种、20种都不够用呢!有时候,可能一种杀毒软件并没有检测到病毒,而另一种杀毒软件却把它标记为恶意软件。像virustotal.com和jotti.org这样的网站可以帮您用多种杀毒产品扫描恶意文件或URL。这样就可以快速方便地检测不同杀毒供应商是否会将该软件标记为恶意软件。
3. 漏洞检测框架:Metasploit 是每一位渗透测试人员都不可错过的一个漏洞检测框架。漏洞检测框架是一个为指定攻击目标创建或执行漏洞代码的环境。Metasploit有3步漏洞检测步骤:选择漏洞、配置攻击负载,执行攻击。
4. 世界级端口扫描工具:Nmap 是一个非常好的端口扫描应用。它同时支持Linux和Windows平台,既可以从命令,也可以从图形用户界面(GUI)执行任务。它有各种检测计算机网络的功能,如TCP扫描、UDP扫描和和操作系统识别。这是一个所有渗透测试人员都不能错过的工具。
5. 网络流量分析工具:Wireshark是一个适用于Windows和Linux的网络协议分析工具。它也是一个很出名的数据包分析工具。作为一位渗透测试人员,您一定需要检查网络流量,这时没有比Wireshark更好的工具了。这个工具在过去几年获得多个奖项,它是观察TCP/IP异常流量的最佳方法。此外,它也很适合用于分析其他安全工具的活动。
6. SQL注入攻击测试工具:Acunetix 可用于测试网站和Web应用程序的跨站脚本攻击、SQL注入攻击及其他常见的Web漏洞攻击。只要想想有多少基于Web的应用程序,您就明白为什么渗透测试人员不能错过这个工具。
7. Web应用测试工具:Burp Suite是一个专门用于测试Web应用安全的完整工具包。它可以作为代理服务器、Web爬虫、入侵工具和转发工具,还可以自动发送请求。
8. 像瑞士军刀一样的黑客工具:Cain and Abel有密码破解、穷举、嗅探、地址解析协议/DNS污染等功能。Cain and Abel真正的优点在于功能丰富。
9. 世界级加密工具:TrueCrypt是一个开源加密软件包,支持Windows、Linux和OS X。虽然有人认为它不是一种黑客工具,但是我认为大多数渗透测试人员需要这个工具。毕竟,您的计算机上一定会有一些列举已知漏洞的笔记、记录和报告。您就真的放心不去加密这些信息吗?
10. 用于加载多个操作系统的工具:VMware。作为一位渗透测试人员,您一定需要运行多个操作系统,而VMware可以帮您轻松运行多个操作系统。您能使用这些虚拟系统执行测试、安装可引导开源操作系统(如BackTrack)和支持只能运行在特定操作系统的应用。VMware既有免费版,也有付费版。
二、网络维护基本步骤
(一)网络维护范围
交换机操作、日常维护、紧急维护和保养。
(二)制定方案
1、风险识别
(1)使用AC适配器时存在人身意外触电伤害。
(2)快速而频繁地开启和关闭电源易对半导体芯片产生损伤。
(3)机房灰尘过大,影响设备稳定运行
(4)发现问题但未及时进行处理,影响设备正常运行。
2、消减措施
(1)先验电、后作业,在连接电源线之前,确认供电电压是AC适配器的额定电压;使用随机附带的AC适配器,不要使用其他的适配器;在更换电池前关闭仪器电源,拔出AC适配器接头。
(2)需重新开启交换机时,请在关闭电源3~5秒后再打开电源。
(3)检查机房窗户是否关闭完好;清理灰尘,注意保持机房卫生清洁。
(4)加强责任心与培训。
3、总体设计
(1)将计算机连接交换机或路由器
(2)打开超级终端并配置
(3)进入欢迎页面
(4)建立VLAN
(5)查看交换机是否有错误代码
(6)完成
三、网络维护实施过程
(一)关键步骤
1、如图1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。
PC
图1:通过Console口搭建本地配置环境
2、在PC机上运行终端仿真程序(如Windows 3.X的Terminal或Windows
9X/Windows 2000/Windows XP的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2至图4所示
图2 新建连接
图3 连接端口设置
图4端口通信参数设置
3、以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如),如图5所示。
图5 以太网交换机配置界面
4、键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
创建vlan
表1 VLAN接口的基本配置
表2 配置管理VLAN
表3 配置以太网端口
表4 配置基于Access端口的VLAN(在VLAN视图下)
表5 配置基于Trunk端口的VLAN
(二)以太网端口的配置实例
1、组网需求
交换机Switch A与对端交换机Switch B使用Trunk端口Ethernet1/0/1相连; 端口Ethernet1/0/1的缺省VLAN ID为100;
端口Ethernet1/0/1允许VLAN2、VLAN6到VLAN 50、VLAN100的报文通过。 组网图
Switch A
Switch B
图6以太网端口配置举例组网图
2、配置步骤
# 进入Ethernet1/0/1以太网端口视图。 system-view [Sysname] interface ethernet1/0/1
# 配置端口Ethernet1/0/1为Trunk端口。
[Sysname-Ethernet1/0/1] port link-type trunk
# 允许VLAN2、VLAN6到VLAN 50、VLAN100的报文通过端口Ethernet1/0/1转发。
[Sysname-Ethernet1/0/1] port trunk permit vlan 2 6 to 50 100 # 配置端口Ethernet1/0/1的缺省VLAN ID为100。 [Sysname-Ethernet1/0/1] port trunk pvid vlan 100
3、配置vlan实例 # 进入系统视图。 system-view
# 创建VLAN 10,并指定VLAN 10为交换机的管理VLAN。 [SwitchA] vlan 10 [SwitchA-vlan10] quit [SwitchA] management-vlan 10
# 创建交换机管理VLAN 10的VLAN接口并进入VLAN接口视图。 [SwitchA] interface vlan-interface 10
# 配置管理VLAN 10接口的IP地址为1.1.1.1/24。 [SwitchA-Vlan-interface10] ip address 1.1.1.1 255.255.255.0 [SwitchA-Vlan-interface10] quit # 配置缺省路由。
[SwitchA] ip route-static 0.0.0.0 0.0.0.0 首先,我们打开路由器,默认IP地址:192.168.1.1(用户名:useradmin密码:admin!@#$%^)
图7进入华三设备配置界面
接下来就是设置路由,这个步骤较为简单,直接选择快速设置即可。在快速设置里有一步骤是设置无线的,完成设置后无法使用无线,因为快速设置使用的事WEP加密方式,所以我们要对我们所设置的SSID进行一些修改。
图8接入服务配置
我们依次选择端口配置=》无线=》接入服务,然后我们可以看到我们设置的SSID,在编辑这个SSID前,先对该SSID去使能(关闭该SSID),然后进去编辑
图9 wep加密
在这里我们在WEP加密去勾(即不使用WEP加密),然后再加密类型选择TKIP/CCMP and TKIP,安全IE选择WPA/WPA and WPA2。最后我们就是设置无线密码了,我们在端口安全里面端口设置,然后选择端口模式为psk/mac and psk,然后再psk选项里面设置共享密码。
图10保存
点击确定后,返回接入服务,然后对该SSID使能(开启该SSID),我们的无线设置就告一段落了,再保存配置后退出路由器设置。
clock datetime 11:12:00 2009/12/13 设定时间 system-biew 设置模式
sysname eeds 路由器名 local-user eeds 当地登录名
Password cipher sac 登陆密码
quit
super password cipher sac 远程登陆,进入管理模式密码
Interface e0/0 设置e0口 Ip address 192.168.50.1 24 quit
Interface e0/1 设置e1 口 IP address 192.168.50.2 24 quit
Teinet server enable 打开telnet User-interface vty 0 4 使用线路监听 Set auth password cipher sac 登陆用户验证
Quit
Interface ser 2/0 设置S2/0 Fe1 address 10.46.4.2 24 Quit
Interface ser 2/1 设置S2/1 Fel unframed 工作区非成帧方式 Ip address 10.46.5.1.24 Quit
Router id 192.168.50.1 配置routeri id
Ospf 1 启动ospf 1(ospf路由进程process-id必须指定范围在1—65535,process—id只在路由器内部起作用,不同路由器的 process-is可以不同)
Area 0 进入区域视图
Network 9.5.0.0 0.0.255.255 在接口网段上使用OSPF Network 10.46.0.0 0.0.255.255 在接口网段上使用OSPF Network 9.5.0.0 0.0.255.255 在接口网段上使用OSPF Quit Quit
Dis cur 显示当前生效配置信息 Ssave 保存
四、参考文献
[1]《计算机网络原理》 高等教育出版社 2015-6
[2]谢希仁.《计算机网络(第5版)》电子工业出版社 2008-1-1 [3]李宏杰 路由维护与应用 cisco 2012
[4]雷震甲《计算机网络》 清华大学出版 2012.4 [5] 网络工程必读系列 王达 网络技术出版社 2014.7 [6]W.Richard Stevens TCP/IP详解,卷1:协议 2011.4 [7] 沈鑫剡,路由和交换技术,清华大学出版社,2013年2月;
[8]孙涌.《现代软件工程(第五版)》.北京希望电子出版社,2013年8月 [9] 李瑞民《网络扫描技术揭秘》机械工业出版社 2012 [10] 温昱 一线架构师实践指南 电子工业出版社 2014
五、总 结
在此要感谢我的指导老师刘永立对我悉心的指导,感谢老师们给我的帮助。在设计过程中,我通过查阅大量有关资料,与同学交流经验和自学,并向老师请教等方式,使自己学到了不少知识,也经历了不少艰辛,但收获同样巨大。在整个设计中我懂得了许多东西,也培养了我独立工作的能力,树立了对自己工作能力的信心,相信会对今后的学习工作生活有非常重要的影响。而且大大提高了动手的能力,使我充分体会到了在创造过程中探索的艰难和成功时的喜悦。虽然这个设计做的也不太好,但是在设计过程中所学到的东西是这次毕业设计的最大收获和财富,使我终身受益。