1 / 104

计算机网络管理技术

计算机网络管理技术. 第 1 章 网络管理技术概述 第 2 章 SNMP 网络管理架构 第 3 章 网络流量监控技术与方法 第 4 章 磁盘管理 第 5 章 用户管理 第 6 章 组策略管理 第 7 章 补丁管理 第 8 章 IP 地址管理 第 9 章 VLAN 管理 第 10 章 网络存储管理. 计算机网络管理技术. 第 7 章 补丁管理 软件补丁是指一种插入到程序中并能对运行中的软件错误进行修改的软件编码。 由软件开发商开发和发布的。 安装软件补丁是保障网络安全和迅速解决小范围软件错误的有效途径。

nissim-wall
Download Presentation

计算机网络管理技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 计算机网络管理技术 • 第1章 网络管理技术概述 • 第2章 SNMP网络管理架构 • 第3章 网络流量监控技术与方法 • 第4章 磁盘管理 • 第5章 用户管理 • 第6章 组策略管理 • 第7章 补丁管理 • 第8章 IP地址管理 • 第9章 VLAN管理 • 第10章 网络存储管理

  2. 计算机网络管理技术 • 第7章 补丁管理 • 软件补丁是指一种插入到程序中并能对运行中的软件错误进行修改的软件编码。 • 由软件开发商开发和发布的。 • 安装软件补丁是保障网络安全和迅速解决小范围软件错误的有效途径。 • 根据补丁功能的不同,基本上可以分为安全补丁和非安全补丁两大类。 • 安全补丁主要针对系统软件或应用程序中存在的安全漏洞和缺陷,而非安全补丁主要针对与安全因素无关的功能,如程序运行错误等。 • 本章的补丁管理主要是指安全补丁的管理,并以WSUS的部署为例进行说明。

  3. 计算机网络管理技术 • 第7章 补丁管理 • 7.1 补丁管理概述 • 7.2 补丁管理技术 • 7.3 实验操作1:安装WSUS服务器 • 7.4 实验操作2:WSUS客户端的配置 • 7.5 实验操作3:WSUS系统的管理

  4. 计算机网络管理技术 • 7.1 补丁管理概述 • 近年来,大范围的互联网攻击事件频繁发生。 • 2002年全球的根域名服务器遭到大规模拒绝服务攻击, • 2003年8月11日,利用MS03-26漏洞的“冲击波”蠕虫病毒(W32.BIaster.Worm)开始在全世界范围内爆发并造成巨大经济损失。 • 系统存在的安全漏洞是产生以上安全问题的主要根源。

  5. 计算机网络管理技术 • 7.1 补丁管理概述 • 7.1.1 补丁管理与网络安全 • 7.1.2 补丁管理的特性 • 7.1.3 补丁管理的发展趋势

  6. 计算机网络管理技术 • 7.1.1 补丁管理与网络安全 • 现实中,由于缺乏专门的补丁管理工具,大部分计算机系统处于未更新状态,存在大量安全隐患。 • 几乎所有的网络攻击都是基于操作系统或应用程序的漏洞进行的。 • 及时发现这些漏洞并采取适当的处理措施进行修补,就可以有效地阻止入侵、蠕虫等事件的发生。(对系统安装合适的软件补丁,可以避免95%的网络入侵.) • 然而现实情况是在相应的漏洞补丁发布后,用户往往并不及时更新系统的补丁程序。

  7. 计算机网络管理技术 • 7.1.1 补丁管理与网络安全 • 不能及时更新系统的补丁程序的主要原因: • 一是用户安全意识薄弱,没有对网络中隐藏的各种漏洞引起足够的重视; • 二是没有根据单位网络的具体情况,有针对性地部署补丁管理系统; • 三是补丁管理本身也是一件比较繁琐枯燥的工作,需要在管理人员、制度等方面保障此项工作的正常进行,然而实际难度很大。 • 以微软的Windows操作系统为例,每个星期都有漏洞警报和补丁程序发布,网络管理员不仅要追踪和应用这些最新的升级信息,还要从中鉴别哪些补丁是必须和适用的。 • 为加强网络的安全管理,网络管理员必须结合本单位网络的具体情况,部署补丁自动管理系统。 • 在2004年Sasser蠕虫爆发的5天内从微软公司的主页上就下载了950万个补丁。

  8. 计算机网络管理技术 • 7.1 补丁管理概述 • 7.1.1 补丁管理与网络安全 • 7.1.2 补丁管理的特性 • 7.1.3 补丁管理的发展趋势

  9. 计算机网络管理技术 • 7.1.2 补丁管理的特性 • 1.及时性 • 一个漏洞从发现到针对该漏洞的攻击代码实现,或到蠕虫病毒的产生,已从几年前的几个月缩短到现在的几周甚至1天就可以完成。 • 要求我们的计算机尤其是暴露在Internet的计算机在第一时间安装补丁程序。

  10. 计算机网络管理技术 • 2. 严密性 • 迫于用户的压力,软件开发商一般会尽快发布补丁。 • 补丁的测试次数就会减少,兼容性很容易出问题。 • 特别是针对系统底层的一些补丁,很容易导致系统不正常。 • 微软公司曾就承认其发布的MS042011的补丁存在问题,可能会引起某些Windows 2000系统锁死或者不能启动。 • 美国USENIX组织发表的一个针对CVE 漏洞和补丁的研究数字表明,由于测试不够充分,大约有18%的补丁因为带来了新的缺陷或安全漏洞。 • 一定要针对具体系统和应用环境做一个严密的测试 • 补丁的推广同样也需要严密的计划 • 哪些系统需要安装补丁,什么时候开始安装,安装补丁之前需要备份哪些数据,如何制订应急方案等,都需要有一个严密的计划。

  11. 计算机网络管理技术 • 3. 持续性 • 补丁管理工作不是一蹴而就的,而是一个长期的、持续性的工作。 • 随着漏洞的不断被发现,补丁也就会持续不断地发布,所以要要时刻跟踪厂商的补丁公告和安全厂商(主要有病毒软件开发商)的安全公告。

  12. 计算机网络管理技术 • 7.1 补丁管理概述 • 7.1.1 补丁管理与网络安全 • 7.1.2 补丁管理的特性 • 7.1.3 补丁管理的发展趋势

  13. 计算机网络管理技术 • 7.1.3 补丁管理的发展趋势 • 每天公布出来的软件补丁从几种到几十种,都需要社会机构来评估病毒的风险和验证补丁的有效性。 • 需要共享技术力量,需要专家公正地评估结果,然后给出正确的预警和补丁的正确使用方法。 • 需要成立一个中立的权威机构,它在危险评估、验证和补救上提供社会指导。 • 通过引入知识共享服务,设计与整体信息技术基础设施管理系统相匹配的补丁管理策略和操作流程,减少漏洞和补丁学习过程的消耗,建立有效的补丁管理流程。 • 引入自动化的补丁和漏洞管理工具,将对广大用户产生强大指导作用和预警作用。

  14. 计算机网络管理技术 • 补丁软件已不仅仅存在于计算机操作系统或应用软件中,同时涉及到手机等移动设备。 • 手机智能化趋势明显 • 驱动这些装置的软件日趋复杂,并越来越多地借鉴并吸收了3G网络以及其它先进网络的优势。 • 随之而来的负面效应是给用户带来了诸多问题,其中包括应用程序缺陷以及设备故障和新功能的需求。

  15. 计算机网络管理技术 • 第7章 补丁管理 • 7.1 补丁管理概述 • 7.2 补丁管理技术 • 7.3 实验操作1:安装WSUS服务器 • 7.4 实验操作2:WSUS客户端的配置 • 7.5 实验操作3:WSUS系统的管理

  16. 计算机网络管理技术 • 7.2 补丁管理技术 • 保持网络系统不受攻击的最好方法是消除或降低系统的漏洞,这需要考虑两个方面的问题: • 一是进行安全系统的开发和应用; • 二是为存在安全漏洞的系统和软件及时安装补丁程序。 • 不管采取那一种方式,都需要对补丁管理技术有一个较为全面的认识。

  17. 计算机网络管理技术 • 7.2 补丁管理技术 • 7.2.1 补丁管理技术产生的动因 • 7.2.2 补丁管理系统的功能 • 7.2.3 Hotfix和SP • 7.2.4 补丁管理工具

  18. 计算机网络管理技术 • 7.2.1 补丁管理技术产生的动因 • 病毒和蠕虫的泛滥是现代计算机网络面对的首要安全风险。 • 像红色代码、冲击波、SQL杀手、ARP欺骗、DHCP欺骗等病毒和蠕虫的广泛传播,对网络造成极大的破坏。 • 杀毒软件一般是针对具体的病毒和蠕虫的。只有病毒和蠕虫出现以后,才会有针对性的进行查杀。 • 为每台计算机系统及时安装最新的补丁才是网络管理中“预防为主,积极防御”的有效方法

  19. 计算机网络管理技术 • 7.2 补丁管理技术 • 7.2.1 补丁管理技术产生的动因 • 7.2.2 补丁管理系统的功能 • 7.2.3 Hotfix和SP • 7.2.4 补丁管理工具

  20. 计算机网络管理技术 • 7.2.2 补丁管理系统的功能 • 一个功能完善的补丁管理系统,将从“配置管理”的角度考虑操作系统和应用软件的维护和更新问题(收集、验证、分发、安装和统计) • 从系统组成的角度来看,补丁管理系统包括 • 补丁制作与发行系统 • 补丁应用管理系统 • 补丁中心服务器 • 补丁管理客户端 补丁管理系统 补丁制作与发行系统 补丁应用管理系统 补丁中心服务器 补丁管理客户端

  21. 计算机网络管理技术 • 补丁制作与发行系统 • 收集各种操作系统和应用软件的补丁。 • 总结补丁文件的相关信息(如运行平台、功能、解决的问题、对系统的影响等)。 • 进行补丁的测试和验证。 • 提供已验证补丁的下载和补丁信息文件的下载。

  22. 计算机网络管理技术 • 补丁应用管理系统 • 补丁中心服务器 • 以网络方式或手工拷贝方式从“补丁制作与发行系统”或上级“补丁中心服务器”得到补丁和补丁信息文件,提供给下级“补丁中心服务器”和“补丁管理客户端”。 • 补丁管理客户端 • 安装在每个需要进行系统更新和补丁安装的计算机系统上 • 从的“补丁中心服务器”上获得补丁文件列表,检查本系统所需要安装的补丁文件,然后进行下载和安装,最后还要报告本机的补丁状态。 • “补丁管理客户端”也可以利用浏览器替代,通过浏览器访问“补丁中心服务器”,进行系统检测、补丁下载和状态汇报。

  23. 计算机网络管理技术 • 一个功能完善的补丁管理系统应提供以下的主要功能: • ·升级补丁数据库,补丁信息应该包括最新的升级。 • ·客户端自动发现升级补丁。 • ·自动为客户端配置补丁程序。 • ·用户可有选择地安装或删除补丁程序。 • ·存储不同时期补丁的跟踪报告及变更信息。

  24. 计算机网络管理技术 • 7.2 补丁管理技术 • 7.2.1 补丁管理技术产生的动因 • 7.2.2 补丁管理系统的功能 • 7.2.3 Hotfix和SP • 7.2.4 补丁管理工具

  25. 计算机网络管理技术 • 7.2.3 Hotfix和SP • 下面以微软公司的补丁为例,介绍补丁管理中的两个重要概念Hotfix和SP,以及它们之间的关系。 • 1. Hotfix • 针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序。 • 微软公司会及时地将软件产品中发现的重大问题以安全公告的形式公布于众,这些公告都有一个惟一的编号,即“MS”,如MS04-011。 • 还有一种形式为Q或KB(2003年4月份后用此编号)的编号,这个编号是微软知识库中的一个编号,下面以补丁“WindowsXP-KB823980-x86-CHS32λ.exe”为例来说明。

  26. 计算机网络管理技术 • 其中: • Windows XP:产品名称,说明该补丁适用的操作系统为Windows XP。 • KB823980:KB是Knowledge Base的首字母缩写(即“基本知识库”),823980是该补丁在微软知识库中相应的说明性文章的编号。 • x86:处理器平台的标识,本例中x86说明该补丁应用于Intel公司x86构架的处理器平台。可能出现的选项有x86、AMD64和IA64等。 • CHS32λ.exe:语言版本的标识。 • CHS表明该补丁应用于中文版的Windows操作系统。可能出现的选项有CHS、ENU和INTL,分别应用于中文版、英文版和多语言版的Windows操作系统中; • 32表示的是应用于32位的处理器平台; • λ表明该补丁为非正式版,只是一个测试版。 • α、β、λ常用来表示软件测试过程中的三个阶段。

  27. 计算机网络管理技术 • 2. SP • SP(Service Pack,服务包)是微软公司针对已经发现的问题进行修补的程序。 • SP补丁包中包含有SP发布日期前所发布的所有Hotfix。 • SP补丁包是可叠加补丁包,也就是说SP2中已包含有SP1中的所有补丁,SP3中已包含有SP2、SP1中的所有补丁。 • 对于Office产品则必须下载并安装所有的SP补丁包,这一点需要引起大家的注意。

  28. 计算机网络管理技术 • “添加/删除程序”可查看已安装的SP补丁,其中“Windows XXXX修补程序包”字样的选项就是系统安装的补丁程序。

  29. 计算机网络管理技术 • 7.2 补丁管理技术 • 7.2.1 补丁管理技术产生的动因 • 7.2.2 补丁管理系统的功能 • 7.2.3 Hotfix和SP • 7.2.4 补丁管理工具

  30. 计算机网络管理技术 • 7.2.4 补丁管理工具 • 一是购买独立的补丁管理工具,如BigFix、PatchLink、St.BernardSoftware、ShavlikTechnologies等公司都提供了独立的补丁管理工具。(由于不同的补丁管理工具支持不同的操作系统和应用,因此用户在应用之前需要考虑其兼容性。) • 二是购买包含补丁更新组件的系统管理包,如ECM、Ecora、IBM、LANDeskSoftware等公司都提供管理系统补丁的组件。(这些组件能够确保补丁程序与用户系统之间的兼容性,但费用比购买独立的补丁管理工具昂贵。) • 此外,具有开发实力的用户还可以自己开发补丁管理系统。为便于用户选择,下面介绍几款主要补丁管理工具的特性。

  31. 计算机网络管理技术 • 1. 微软公司的补丁管理工具 • 微软提供了三种途径来修补服务器和桌面应用程序存在的漏洞: • 一是通过服务器管理系统(SMS)控制台,向用户推送软件升级包。(目前主要的产品有SUS(Software Update Services,软件更新服务)、WSUS(Windows Server Update Services,Windows更新服务)和SMS(Systems Management Server,系统管理服务器)) • 二是提供让用户桌面系统自动登陆微软公司网站并自动下载补丁程序的系统升级服务(System Update Services) • 三是提供安全漏洞评估的免费在线工具,即微软基线安全分析器(Microsoft Baseline Security Analyzer),可用于识别微软产品中错误的安全配置问题,生成并存储个人XML安全报告。

  32. 计算机网络管理技术 • 2. BigFix • BigFix企业管理套件是BigFix公司研发的业界领先的企业级系统安全配置管理软件。 • 可以为不同规模的企业提供可升级的、灵活的、强大的安全平台和分布式处理模型, • BigFix可以不间断地监控被管理系统,自动发现并修复系统安全漏洞,保证系统安全。 • 在补丁管理方面,BigFix可以自动发现、下载、定位和安装补丁包,并实现基于策略的自动化的补丁管理。 • 支持Windows、Linux、UNIX和Macintosh等主流操作系统平台。 • 涉及企业管理各方面。 • 2010年7月,IBM收购BigFix。

  33. 计算机网络管理技术 • 3. HFNetCHkPro • Shavlik Technologies 公司产品。 • 侧重补丁管理。 • HFNetCHkPro读取Microsoft网站上的特定XML文件,该文件描述了当前可用的补丁程序。然后,HFNetChkPro会对网络中的系统进行扫描,查出计算机上已经安装过的补丁。在主用户界面中可以用几种不同的视图来查看当前的系统情况。 • 面向Windows。 • 包括微软公司和赛门铁克公司(Symantec)等众多厂商都在自己的补丁管理套装中使用了Shavlik技术的产品。

  34. 计算机网络管理技术 • 4. Configuresoft公司的ECM (Enterprise Configuration Manager,ECM) • Configuresoft公司的企业配置管理器ECM能够有效地完成报告、分析、标准化、执行、变化管理等工作。 • 它首先从所管理的每台计算机上收集大量的数据点,其中的信息可以被利用来生成报告、进行分析、标准化、改变管理和强化管理能力。 • ECM可以执行不同的功能,包括安全漏洞评估、变化管理、一致性审计、补丁管理。 • 在补丁管理方面,ECM从补丁发现、测试、部署一直到验证的所有功能进行管理。 • 侧重虚拟化技术 • 2009被EMC收购。

  35. 计算机网络管理技术 • 第7章 补丁管理 • 7.1 补丁管理概述 • 7.2 补丁管理技术 • 7.3 实验操作1:安装WSUS服务器 • 7.4 实验操作2:WSUS客户端的配置 • 7.5 实验操作3:WSUS系统的管理

  36. 计算机网络管理技术 • 7.3 实验操作1:安装WSUS服务器 • WSUS(Windows Server Update Services,Windows更新服务)是Microsoft公司推出的用于局域网内计算机操作系统和Office等应用软件升级的一种服务器软件,它可以快速、方便地为网络中的每台运行Windows操作系统的计算机升级操作系统和应用软件的补丁。

  37. 计算机网络管理技术 • 7.3 实验操作1:安装WSUS服务器 • 7.3.1 WSUS的特点 • 7.3.2 安装WSUS的注意事项 • 7.3.3 安装WSUS服务器 • 7.3.4 WSUS服务器的设置

  38. 计算机网络管理技术 • 7.3.1 WSUS的特点 • WSUS是SUS的升级产品,与SUS相比,WSUS具有以下的特点: • ·客户端不需要加入Active Directory,也不需要身份验证,只要能通过网络访问WSUS服务器,就可以从WSUS服务器下载相应的补丁并进行升级。 • · WSUS服务器的安装、配置都很简单,使用非常方便。 • ·使用WSUS进行升级的客户端,不需要安装软件,只要进行简单的配置即可。 • ·使用WSUS与使用Windows Update程序从Microsoft公司的站点升级其效果相同,使用方法也相同。

  39. 计算机网络管理技术 • 全免费产品。 • 支持的补丁除了Windows 2000及以上版本的操作系统外,还支持Microsoft SQL Server、Exchange Server 2000/ 2003和Office XP/2003等产品的升级补丁。 • 通过BITS 2.0(Background Intelligent Transfer Service,后台智能传送服务)来最大化有效带宽。所以,在安装WSUS服务器时,需要安装“Internet信息服务(IIS)”中的“后台智能传送服务(BITS)服务器扩展”组件。 • WSUS支持统计和报告功能。 • 多语言支持,WSUS提供了包括中文在内的多种语言版本。 • 可以从Windows公司的网址http://www.microsoft.com/windowsserversystem/updateservices/downloads/wsus.mspx下载。

  40. 计算机网络管理技术 • 7.3 实验操作1:安装WSUS服务器 • 7.3.1 WSUS的特点 • 7.3.2 安装WSUS的注意事项 • 7.3.3 安装WSUS服务器 • 7.3.4 WSUS服务器的设置

  41. 计算机网络管理技术 • 7.3.2 安装WSUS的注意事项 • 为了顺利安装WSUS的安装,在具体安装之前,需要注意以下的几点: • (1) WSUS不能在安装了“终端服务”的计算机上进行安装,如果强行安装,将会出现如图7-3所示的出错提示。

  42. 计算机网络管理技术 • (2)在安装WSUS之前,需要安装Microsoft .NET Framework 1.1 Service Pack1和Background Intelligent Transfer Services(BITS)2.0。如果是在Windows 2000 Server上安装,还需要安装Microsoft Internet Explorer 6.0 Service Pack1和MSDE 2000a for Windows 2000。 • 其中,如果在Windows 2000 Server上安装WSUS,在安装WSUS之前要先安装MSDE,并展开MSDE,然后使用setup sapwd="password" instancename=WSUS的方式安装。其中,password为设置的数据库密码。在安装MSDE之后需要升级MSDE的补丁,目前为SP4。 • (3) 不要修改Windows系统目录下文件夹的权限,Windows系统目录是指安装Windows操作系统所在的目录。如果在安装WSUS之后,WSUS不能运行或出现错误,可能是Windows系统下相应目录的权限不对,这时需要修改C:\WINDOWS\Microsoft.NET和C:\WINDOWS\ TEMP文件夹的安全性。

  43. 计算机网络管理技术 • 如果是在Windows Server 2003系统上,需要添加“Network Service”账户对这两个文件夹的读写权;如果是在Windows 2000 Server系统上,需要添加“ASP.NET 账户”对这两个文件夹的完全控制权限,设置过程分别如图7-4和图7-5所示。其中C:\WINDOWS表示系统文件夹路径。 (4)WSUS必须要有IIS的支持,如果是在Windows 2000 Server系统上,IIS中至少需要有一个网站才能安装 WSUS。

  44. 计算机网络管理技术 • 7.3 实验操作1:安装WSUS服务器 • 7.3.1 WSUS的特点 • 7.3.2 安装WSUS的注意事项 • 7.3.3 安装WSUS服务器 • 7.3.4 WSUS服务器的设置

  45. 计算机网络管理技术 • 7.3.3 安装WSUS服务器 • 在做好前面的准备工作之后,就可以开始安装WSUS了。在本操作实例中,WSUS安装在Windows Server 2003系统上,服务器的IP地址为172.30.5.5。具体步骤如下: • (1) 运行已下载的WSUS安装程序包(文件名为WSUSSetup.exe)。 注意: 1.这里,我们装WSUS3.0,所有后面步骤会有些差异. 2.路径统一到D:盘,需要是NTFS的,必要的话,先将其格式化。

  46. 计算机网络管理技术 • (2)单击“下一步”按钮,在打开的如图7-7所示的“数据库选项”对话框中选择数据库保存路径。其中,在Windows Server 2003系统上,WSUS安装自带的MSDE数据库,通过其数据库保存时磁盘至少要有2GB可用空间。如果数据库与WSUS下载的补丁位于在同一分区,则至少需要8GB的可用空间。 注意: 1.这里数据变为了 Windows Internal Database.

  47. 计算机网络管理技术 • (3)单击“下一步”按钮,打开如图7-8所示的“网站选择”对话框后。选择WSUS管理工具和服务网站使用的端口号。如果是全新安装的WSUS,可以选择使用TCP的80端口或TCP的8530端口;如果是升级安装,只能选择TCP的8530端口。如果WSUS只供内部局域网使用,则可以使用8530端口;如果供广域网上的其他系统使用,推荐使用TCP的80端口,否则如果选择其他端口则有可能被防火墙屏蔽。(选择80端口)

  48. 计算机网络管理技术 • (4)单击“下一步”按钮,如果网络中已经存在WSUS的升级服务器,则新安装的WSUS服务器可以从原有的WSUS服务器进行更新,这一项功能可以在打开的如图7-9所示的“镜像更新设置”对话框中进行设置。如果这是安装的第一台WSUS的服务器,则直接单击“下一步”按钮跳过这一操作。(默认)

  49. 计算机网络管理技术 • (5)单击“下一步”按钮,接着在弹出的对话框中显示了摘要信息,包括WSUS的安装文件夹、数据库文件路径、管理站点链接地址、客户端自动更新站点以及将要安装的组件等,查看之后单击“下一步”按钮开始安装。 • (6)之后将开始安装WSUS,大约几分钟后WSUS安装完成,如图7-10所示。选取“启动Web管理工具”复选框,单击“完成”按钮,完成安装并启动WSUS管理程序。 注意: 1.开始进入配置时,按“取消”.不从网上下载升级包,改为数据导入方式,具体见下页说明:

  50. WSUS的导入导出 • 导入和导出命令最常见的使用是在两台WSUS服务器之间同步更新元数据,这样可以让一台与Internet完全隔离的WSUS服务器和其他WSUS服务器之间进行更新的同步。你不能将元数据导入到运行为复制服务器模式的WSUS服务器上。 • Export和Import命令的运行语法分别如下: • wsusutil export package logfile • wsusutil import package logfile

More Related