Download
1 / 156
1.56k likes | 1.68k Views
第 16 章. 網路管理與安全. 16-1 網路管理的基本觀念 16-2 管理機制 16-3 網路管理常用的通訊設定 16-4 帳號與權限管理 16-5 資料加密與解密. 16-6 數位簽章 16-7 公開金鑰基礎建設 (PKI) 16-8 防火牆 16-9 IPsec 16-10 資訊安全管理. 本章提要. 16-1 網路管理的基本觀念.
E N D
第 16 章 網路管理與安全
16-1 網路管理的基本觀念 16-2 管理機制 16-3 網路管理常用的通訊設定 16-4 帳號與權限管理 16-5 資料加密與解密 16-6 數位簽章 16-7 公開金鑰基礎建設 (PKI) 16-8 防火牆 16-9 IPsec 16-10 資訊安全管理 本章提要
16-1 網路管理的基本觀念 • 話說 1980 年代初期, 網路傳輸技術的發展開始引起世人的注目, 許多公司發現到使用網路傳輸技術可以降低硬體上的投資成本, 並帶來更高的生產力, 便一窩蜂地建置各種網路系統, 新的網路傳輸技術一問世馬上就有一大堆使用者搶著安裝。
網路管理的基本觀念 • 直到 1980 年中期許多公司才開始發現到, 網路系統的過度擴張, 使得網路的管理與維護工作變得越來越棘手。持續在網路建置上的投資不但沒有降低硬體上的總投資成本, 繁瑣的網路設定與維護反而還耗損了原有的生產力。尤其是內部擁有多種不同網路系統的公司, 不同網路系統的組態設定各不相同, 維護時簡直是惡夢一場。也就是這樣人們才開始意識到, 網路管理 (簡稱網管) 應該有一套共通的準則與做法。
網路管理的基本觀念 • 起初, 許多區域網路透過廣域網路傳輸技術連接起來時, 人們並沒有特別專注於網路安全的相關議題。1988 年康乃爾大學的研究生羅柏•莫里斯 (Robert Morris) 在學校主機上測試一個入侵程式, 由於傳播速率參數沒控制好, 一個不小心使得程式透過網際網路迅速傳染開來, 造成六千多部網路主機運作失常。隨著這類造成重大損失的網路安全事件越來越頻繁, 網路安全才開始受到重視, 成為網路管理的一部份。
網路管理的基本觀念 • 新的網路應用模式不斷產生, 網路管理也就不斷面臨新的挑戰。當然, 用來協助網路管理人員 (簡稱網管人員) 的軟硬體工具也不斷問世。雖說有各式各樣軟硬體網管工具, 可輔助網管人員, 但這並不表示網管人員可以輕忽網管工作。 • 注重網路管理 (包含網路安全) 是維持網路順利運作的重要關鍵, 隨著網路的規模愈大, 愈不可掉以輕心。網路管理的重點包涵了網路系統上的所有人事時地物。
網路管理的基本觀念 • 網路管理的優劣, 關鍵不在於所採用的傳輸技術、軟硬體設備、作業系統、防火牆等, 而在於『人』。唯有人人落實網路管理的理念與執行項目, 才能做好網路管理。
16-2 管理機制 • 16-2-1 網路管理架構 • 16-2-2 組態管理 (Configuration Management) • 16-2-3 故障管理 (Fault Management) • 16-2-4 故障排除作業的五大步驟 • 16-2-5 效能管理 (Performance Management) • 16-2-6 安全管理 (Security Management) • 16-2-7 會計管理 (Accounting Management)
16-2-1 網路管理架構 • 那麼『網路管理』的範圍又包含那些項目呢?不同的網路設備廠商各有各的說法。制定出『開放系統互連』 (Open systems Interconnection, OSI) 模型的『國際標準組織』 (International Standards Organization, ISO) 也不斷發表一系列網路管理相關的文件, 其中大家最常引用的則是 1989 年所發表的 ISO 7498-4 號文件,此文件將網路管理規劃成五個項目, 這五個網路管理項目, 也就成了大家最常探討的網管主題:
網路管理架構 • 組態管理 (Configuration Management) • 故障管理 (Fault Management) • 效能管理 (Performance Management) • 安全管理 (Security Management) • 會計管理 (Accounting Management)
16-2-2 組態管理(Configuration Management) • 要使網路系統運作正常, 相關的軟硬體設備都得通力合作才成。除了實際的傳輸線路確實接妥外, 網路裝置 (例如:路由器、網路伺服器、網路印表機等) 的組態參數也得做相對應的設定才成。甚至於個人電腦, 也得設定 IP 位址與子網路遮罩等參數。
組態管理(Configuration Management) • 當然, 為求日後的網路管理與維護工作能夠事半功倍, 所有的網路佈線架構、裝置組態設定、個人電腦的硬體配備, 甚至電腦上的軟體設定、版權資訊等, 最好都記錄在網路管理文件中:
16-2-3 故障管理(Fault Management) • 網路隨時都保持在正常的運作狀態下, 是所有網路使用者的夢想。一旦網路上出現各種異常現象, 就得依賴相關的技術支援人員執行『故障排除』(Troubleshooting) 作業。 • 網路上出現異常狀態時, 常會使得網路使用者的日常作業大受干擾, 嚴重時甚至完全停擺。以最短的時間與精力來解決網路上的異常狀態, 是故障管理的要求。
故障管理 (Fault Management) • 如此一來網路上的使用者才不至於因網路異常而大大降低了生產力。為此, 進行故障排除作業時, 最好順手記錄下該網路異常狀態以及最後所採用的解決方案。日後若碰到相同的問題時, 則可依據之前的記錄文件, 迅速將故障排除掉。
故障管理 (Fault Management) • 當然了, 進行故障排除時, 若能同時參考故障裝置的組態設定文件, 也能幫助技術人員更快找出問題所在。所以, 要做好故障管理, 得先做好組態管理。 • 此外, 定期備份網路上的重要資料, 可以緊急狀況下迅速重建資料。在網路重點處安裝『不斷電系統』 (Uninterruptible Power Supply, UPS) 也可幫助網路系統抵禦突發性斷電事件。
故障排除作業的五大步驟 • 要進行網路管理上的故障排除作業, 其實是有標準的執行步驟可循的: • 排定優先順序 • 網路上出現問題時, 首先要做的便是依據問題的重要性與修復時間長短來排定優先順序。重要的問題先解決, 較不重要的問題則可稍後解決。有時候網路問題之間也會有關聯性, 這時就得從其中最主要的問題著手。
故障排除作業的五大步驟 • 舉例來說, 網路上的某個連接裝置故障了, 這時使用者便會紛紛回報各種網路異常狀況, 換掉故障的連接裝置後, 所有的網路問題就全解決了。 • 此外, 有些網路組態設定修改後, 得將網路裝置重新啟動。為了不影響使用者的日常作業, 就得等到所有的使用者都下班了, 才能進行這項修改了。
故障排除作業的五大步驟 • 收集資訊 • 開始著手解決問題之前, 先收集該問題的相關資訊。可供參考的資訊越多, 越有助於接下來的故障排除作業。舉例來說, 若有使用者抱怨他無法收發電子郵件,那您就得詢問事情的發生時間、是完全無法收發還是收發狀況時好時壞、是否有別人也遭遇同樣的狀況、最近修改過那些電腦組態設定等。
故障排除作業的五大步驟 • 設想可能的原因 • 收集了足夠的資訊後, 接下來就得依據這些參考資訊, 開始設想所有可能的原因。舉例來說, 會計部的張先生今天早上發現他無法收發電子郵件了, 隔壁的李小姐也遭遇到同樣的困擾, 這幾天都沒有修改過任何組態設定。此時您可以假設是郵件伺服器故障或該部門的網路連接裝置故障等等。
故障排除作業的五大步驟 • 當然了, 在此期間您還可以詢問張先生, 除了無法收發電子郵件外, 是否也無法瀏覽網站了。若張先生還可以瀏覽網站, 那就表示網路連線正常。 • 排除問題 • 設想出導致問題發生的可能原因後, 接下來便得對症下藥, 依據原因來排除問題。舉例來說, 若您懷疑網路傳輸線壞掉了, 那就換一條傳輸線試試。
故障排除作業的五大步驟 • 測試結果 • 實際動手排除問題後, 接著便得測試結果, 看看我們的故障排除動作是否已然解決了問題。若問題依然存在, 那就得設想另一種導致問題發生的可能原因, 然後再回頭依據新設想的原因進行故障排除動作。舉例來說, 若換過一條好的傳輸線後, 依舊無法收發郵件, 那就再檢查網路卡是否有安裝好。
故障排除作業的五大步驟 • 若您已然試過所有設想的可能原因後, 卻還是沒有排除故障。那可能就得重新回到收集資料步驟, 看看是否有什麼遺漏之處。
16-2-5 效能管理(Performance Management) • 網路的運作效率直接影響到使用者的生產力, 網路傳輸一旦壅塞, 所有透過網路進行的作業就不靈光了。所以嚴格說起來, 網路管理中的效能管理也可視為一種『預防性』的故障管理。
效能管理(Performance Management) • 不同類型的網路應用方式所造成的網路負擔各不相同, 比較起在網路上傳送整張光碟容量的資料, 透過網路收發電子郵件所造成的負擔顯然就輕多了。網路運作效能不佳時, 有時只需『改變幾個網路組態設定』就能解決, 有時則必須『換用傳輸效率更高的設備』來解決。
效能管理(Performance Management) • 一般而言, 網路管理可透過下列指標做為傳輸效能的判別依據: • 回應時間 (Response Time) • 使用 PING 工具程式來檢測特定網路節點的回應時間。若該節點的回應時間跟平常比起來較長, 則須進一步的查驗。 • 當然了, 除了 PING 回應時間外, 電子郵件收發的回應時間、瀏覽網頁的回應時間等亦是網管人員監控的項目之一。
效能管理(Performance Management) • 傳輸正確率 (Accuracy) • 透過網路傳送一個檔案到各處後再傳送回來, 將傳回檔案與原始檔案做比較, 若兩者完全相同則表示網路傳輸正常。 • 除此之外, 網管人員亦應透過網路管理程式定期監視網路上『錯誤封包』的數量, 藉此評估網路的傳輸正確率。
效能管理(Performance Management) • 傳輸流量 (Throughput) 與線路使用率 (Utilization) • 網路系統是由一條又一條的傳輸連線所組成的, 若其中某些傳輸連線或網路連線裝置上的資料傳輸流量與線路使用率增高, 那就表示這裡的網路連線需要重新調整, 以增加傳輸頻寬, 進而提昇網路運作效益。
效能管理(Performance Management) • 未雨綢繆, 儘可能預留傳輸頻寬, 日後網路傳輸量增高時方能從容應付。否則等到日後網路傳輸頻寬不足以應付時再謀求補救, 那可就事倍而功半了。
16-2-6 安全管理(Security Management) • 在一個運作良好的網路系統下, 使用者可以透過網路連線存取網路上的各種資源。此時除了要求使用者自律, 不去破壞他人的資料外, 顯然網路管理者也得設定一些必要的保護措施來保護網路資源。
安全管理 (Security Management) • 只開放必要權限給必要人員是安全管理的基本要求, 以防止非法使用者對網路資源的竊取與破壞。此外, 網路管理員也得透過稽核 (Auditing) 機制, 讓網路伺服器記錄下重要的安全事件, 供網路管理員掌握網路安全狀態。 • 由於網路安全涉及的層面很廣, 本章後面會再詳細說明之。
16-2-7 會計管理(Accounting Management) • 使用網路傳輸技術, 是為了透過網路提高生產力。合理的使用網路資源可以提昇生產力, 但過度使用網路資源則會造成不必要浪費。以最少的投資得到最大的收益, 是會計管理的目標: • 資產管理 (Asset Management) • 記錄網路傳輸線路、連接設備、伺服器等資源的建置與維護成本, 並記錄各種網路資源的使用狀況, 以瞭解各種網路資源的成本效益。
會計管理(Accounting Management) • 成本控制 (Cost Control) • 對於網路上的消耗性資源 (例如:列印紙張、碳粉、墨水匣、備份磁帶等) 必須控制其使用量, 以避免不必要的資源浪費。 • 使用計費 (Charge-back) • 記錄網路資源的使用狀況, 分析各部門各員的使用率, 以計算出各部門實際所消耗的資源成本。
16-3 網路管理常用的通訊設定 • 在網路系統運作正常的狀態下, 網路管理人員只要坐在自己的電腦面前, 便可以管理整個網路上各種重要的網路設備, 這得歸功於『網路管理通訊協定』的幫忙。網路管理通訊協定可分為兩類, 第一類是用修改遠端裝置組態設定的『遠端組態通訊協定』, 另一類則是用來監視網路運作狀態的『網路監控通訊協定』。
16-3-1 遠端組態通訊協定― Telnet 與 HTTP • 許多網路設備 (例如:路由器、防火牆、網路伺服器、網路印表機等) 都得完成複雜的組態設定後才能發揮出正常的功用, 但在節省成本的考量下, 這些的網路設備卻都沒有配備螢幕、鍵盤與滑鼠。您得透過另一台電腦連上這些網路設備, 才能進一步修改或查看這些網路設備的組態設定。
遠端組態通訊協定― Telnet 與 HTTP • 為了讓網管人員可以從遠端查看與修改網路設備的組態設定, 這些網路設備通常都得支援一兩種『遠端組態通訊協定』, 讓網管人員的電腦透過這個通訊協定連上這些網路設備, 進行網路設備組態維護工作。 • 有些廠商生產的網路設備, 會支援專屬的遠端組態通訊協定。網管人員的電腦若要透過這種專屬的組態協定連上該網路設備, 就得使用廠商所提供的專屬軟體才成。
遠端組態通訊協定― Telnet 與 HTTP • 當然了, 這些網路裝置除了支援專屬的通訊協定外, 多半還會再支援一些常見的通訊協定, 以利網管人員使用, 其中最常見的就是 Telnet 協定了。 • 幾乎所有複雜的網路裝置都支援 Telnet 協定, 這也使網管人員的工作方便多了, 因為幾乎所有的作業系統都提供 Telnet 用戶端程式。
遠端組態通訊協定― Telnet 與 HTTP • 隨著 WWW 的迅速崛起, 新一代的網路裝置除了支援 Telnet 協定外, 也陸續支援 HTTP 協定, 讓網管人員在進行組態維護工作時又多了一種選擇。
16-3-2 網路監控通訊協定― SNMP 與 RMON • 秀才不出門能知天下事, 現代人透過網際網路也的確可以在電腦前掌握天下事。對網管人員而言, 能夠即時掌握網路目前運作狀態, 則是最為重要的。
網路監控通訊協定― SNMP 與 RMON • 為了讓網管人員可以從遠端即時瞭解所有的網路運作狀態, 許多網路設備都支援了多種網路監控通訊協定, 在眾多網路監控通訊協定 (包括某些廠商的專屬協定) 中, 最常見的便是 SNMP (Simple Network Management Protocol, 簡易網路管理協定) 與RMON (Remote Monitoring, 遠端監視) 這兩種通訊協定了。
何SNMP 與 RMON 協定 • 在 SNMP 的運作模型下, 依據主從關係區分成『管理站』(Management Station) 以及『受管理裝置』(Managed Device), 在整個運作架構中主要有四種元件:『管理程式』 (Manager)、『管理代理程式』 (Management Agent)、『網路管理通訊協定』(Network Management Protocol)與『管理資料庫』(Management Information Base, MIB)。
何SNMP 與 RMON 協定 • 『管理程式』存在於網管人員的『管理站』電腦上, 『管理代理程式』與『管理資料庫』則存在『受管理設備』內。受管理裝置會將目前的運作狀態資訊存入『管理資料庫』內,『管理程式』則透過『網路管理通訊協定』指揮『管理代理程式』存取『管理資料庫』上的資訊:
何SNMP 與 RMON 協定 • 儘管 SNMP 運作模型制定了網路管理的基本運作架構, 但 SNMP 規格中並沒有詳細規定網路設備 MIB 裡面該有那些監控項目。除了幾套業界公認的 MIB 規格外, 許多廠商也常為自家的網路設備設計專屬的 MIB 。不同的 MIB 之間無法互通, 這多少也讓管理效率打了折扣。此外, 早期 MIB 所收集的資訊多偏重在裝置的運作狀態, 無法回報出實際的網路狀態, 也是美中不足之處。
何SNMP 與 RMON 協定 • 為此 RMON 制定出一組標準的 MIB, 讓所有的網路設備與管理站皆能互通, 規格中還增列了許多有用的網路傳輸狀態資訊。此外 RMON 還制定了 Alarm (警示) 群組, 讓管理站可以透過代理程式設定一些偵測規則, 一旦受管理裝置發現到網路傳輸狀態符合某個偵測規則的設定, 便會主動傳回相對應的警告訊息給管理站:
16-4 帳號與權限管理 • 『讓必要的人員存取相關的資源, 將不相干的人員排除在外』是確保網路安全的執行方針。為了確保這點, 人們發展出兩種不同的安全保護機制: • 共享層級 (Share Level) 的系統安全 • 在空無一物的山壁前大喊一聲:『芝麻開門!』, 山壁應聲而開, 整山的寶藏就展現在您眼前。阿里巴巴與四十大盜的故事, 給了網路安全設計師靈感, 設計出這種安全模式。
帳號與權限管理 • 在這種安全模式下, 所有的網路資源都會依據某個密碼來決定要不要提供服務。只要您有該網路資源的正確密碼, 您就可以順利存取該網路資源。除此之外, 網路資源也可以依據不同的密碼提供使用者不同的存取權限。換句話說, 這是種認密碼不認人的安全機制。
帳號與權限管理 • 因為每個網路資源都得個別設定它的密碼與存取權限, 所以這也是一種分散式 (與對等式) 的安全機制。Windows 95/98/ME 要分享出網路資源時, 便是採用這種安全機制:
