计算机网络管理研究

前言：想要写出一篇引人入胜的文章？我们特意为您整理了计算机网络管理研究范文，希望能给你带来灵感和参考，敬请阅读。

1计算机网络安全的提出

随着企业信息化建设的不断深入，各个企业通过专线的连接，打通了一扇通向外部世界的窗户，外界访问者可以直接与网络中心进行数据交流、查询资料等。另外，为了方便对外信息服务与交流，各企业还设有对外的WWW服务器和MAIL等服务器，可以直接对外信息或者发送电子邮件。高速交换技术采用灵活的网络互连方案设计，为用户提供快速、方便、灵活通信平台的同时，也给网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案是必需的。近几年，铁路信息化步伐不断加快，车辆、运输、机车、工务、电务、财务、统计、办公等铁路各计算机信息系统先后建立，功能从铁路运输生产内部环节的全局全网实时性管理，和车号、轴温、雨量等数据的采集与监控图像的传送，到办公自动化，使铁路各部门借助网络和计算机提高了工作效率，实现了综合管理，降低了运营成本。但由于TMIS、TDCS、CTC、PMIS等各业务网的开放性、共享性、互联程度的增强与提高，网络安全问题显得越来越重要，一旦被侵入，将对铁路运输安全构成重大威胁，后果不堪设想。网络攻击的破坏性强、影响范围大、难以断定，是威胁网络质量和安全的头号杀手。由于TCP/IP协议的不完善、UDP协议的不可靠以及计算机程序的错误，造成了网络上的许多漏洞，但这并不是说，面对这些我们束手无测。借助完善严密的管理制度、科学有效的技术方法，可以尽可能降低危险，做到防患于未然。一个管理不严，没有安全措施的网络就等于是为居心叵测的人虚掩着网络的大门，一旦出现问题网络将全然没有抵御能力。

2强化安全意识，加强内部管理

人们常说网络安全是七分管理三分技术，说明了管理对安全的重要性。加强管理可以从下几个方面入手：

2.1设置密码

密码是网络安全的门户，一旦密码被攻破，网络对外界就洞开了一道大门。因此，所有设备和主机能设置密码的都要设置，而且要足够长，不易被破解，并定期更换。

2.2控制路由器的访问权限

网络防御下一步重点工作就是控制路由器访问。应设置几种权限的密码，超级管理密码知道的人越少越好，普通维护人员仅限于使用监测级登陆设备。控制对路由器的访问权限不仅仅是保护路由器本身，也保护拓扑结构和所有计算机系统的操作、配置以及权限。

2.3设置可信任地址段

对访问的主机IP设置可信任地址段，防止非法IP登陆系统。

2.4保护机房内的电脑

机房内的电脑往往也是黑客利用的工具，如果不加保护，黑客通过潜入系统就可以盗取信息或作为跳板攻击网络。每台主机都应该安装防火墙和杀毒软件，定期下载补丁升级系统，设置复杂的开机密码，不使用共享，停止一切不必要的服务，禁止危险的端口，牢牢关死这道进入网络系统的大门。

3了解网络攻击的途径，才能对症下药

只有了解网络攻击的一般途径，才能从根源上消除不安全因素。网络遭受攻击可能的原因不外乎以下几种：

3.1利用协议，采集信息

不速之客可能会利用下列公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：（1）SNMP协议：用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。（2）TraceRoute程序：能够用该程序获得到达目标主机所要经过的网络数和路由器数。（3）Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。（4）DNS服务器：该服务器提供了系统中可以访问的主机IP地址表和所对应的主机名。（5）Ping实用程序：可以用来确定一个指定的主机的位置。

3.2利用工具，主动攻击

在收集到攻击目标的一批网络信息之后，黑客会探测目标网络上的每台主机，以寻求该系统的安全漏洞或安全弱点。其主要利用下列方式进行探测：（1）自编程序：对某些产品或者系统，已经发现了一些安全漏洞，但是用户并不一定及时使用对这些漏洞的“补丁”程序，因此入侵者自己可以编写程序，通过这些漏洞进入目标系统。（2）利用公开的工具：象Internet的电子安全扫描程序IIS、审计网络用的安全分析工具SATAN等这样的工具，可以对整个网络或子网进行扫描，寻找安全漏洞。（3）慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。（4）体系结构探测：黑客利用一些特定的数据包传送给目标主机，使其做出相应的响应。由于每种操作系统都有其独特的响应方式，将此独特的响应与数据库中的已知响应进行匹配，经常能够确定出目标主机所运行的操作系统及其版本等信息。

4采取技术手段，加强安全防范

4.1理解协议功能，减少协议使用

理解各协议工作的原理,使用的协议越少越好，不使用缺省设置，增强协议的安全性，了解IP包寻址和路由的方法。

4.2从底层设备入手，采取层层防范

网络安全应是一个立体防御体系，通过层层防范，尽可能将攻击拦截在最外端。交换机上划分VLAN将用户与系统进行隔离；路由器或三层交换机上划分网段，将用户与系统隔离；配置防火墙，杜绝DOS攻击。防火墙的设置内容应考虑到以下几个方面：（1）IP源路由（应配置noipsource-route）；（2）控制ICMP包(如noipunreachables、npipredirects或允许某些IPPING到哪里，禁止哪个IP段的PING)；（3）防止IP地址欺骗，如denyip0.0.0.00.255.255.255any，denyip127.0.0.00.255.255.255.255any；（4）防止DOS攻击,使用入口过滤禁止非信任主机访问，如permitip10.10.1.100.0.0.255any，denyipanyany

4.3采用VPN加密技术，防止信息泄露

VPN虚拟专用网或虚拟私有网，指的是以公用开放的网络作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(PrivateNetwork)性能的网络服务技术。在网络层可以通过在路由器上配置MPLSVPN协议实现，在接入层可以通过在用户终端增加VPN设备或在计算机上建立VPN连接来实现。

5网络攻击处理实例

通过以上各个环节，网络的安全性大大提高了，但这也还保证不了网络不被攻击。出现攻击后该怎么办，怎样迅速排除故障，下面就以一次网络攻击实例来说明。某次做完网络优化调整，所有用户反映网速很慢，技术人员首先PING各个设备看是否有丢包，发现核心三层交换机RS3000和路由器NE08掉线严重。经查，核心交换机RS3000CPU利用率达到了100%，显然这是一种非正常流量造成的CPU处理能力崩溃。通过逐个断开交换机RS3000端口的网线，故障仍无法排除，也无法定位引起的故障对象。这时，我们想到了sniffer抓包工具的强大功能，利用sniffer抓包有个前提条件，就是要使用共享式的网络设备（如HUB）或在交换机上通过镜像监测某个端口。我们采取了端口镜像的方法，在交换机的空端口接笔记本，对交换机与路由器互联的上行口进行抓包。通过抓包我们发现，大量的信息显示的都是源IP地址和目的IP地址相同的某个IP（222.41.94.94）的包，我们立即查到这是一个网吧的IP。由于该网吧当日未接网络，端口状态是down的，既然网吧未上网，源IP地址怎么会是网吧的呢？我们马上在路由器上对该IP配置黑洞路由：iproute-static222.41.94.94255.255.255.255NULL0，将到达222.41.94.94的包让黑洞吸收后网络立即恢复正常。当时做这项配置仅仅是从感觉出发，至于为什么网吧没有在线却为何会出现这样的问题很困惑。静下心后我们仔细分析，发现，由于IP路由是基于目的地址的数据包每跳转发，每个路由器必须有精确的相同网络的拓扑信息，此外每个路由器必须精确地运行相同的路由计算算法，如果不能保证这最后两条，将导致路由环路和黑洞。这就是一起路由环路造成的故障，某人探测到该网吧IP后对自己的IP进行了伪装，以网吧的IP发送数据到路由器，路由器查找路由表后向交换机发送，正是由于网吧下线，三层交换机RS3000才找不到目的IP，查找路由表后按照缺省路由送回路由器NE08，NE08又向RS3000发送，来来回回造成了数据无法送达，形成了环路，越积越多最终使设备无法处理而瘫痪。通过这次故障的处理，我们看到了在路由器上配置防火墙的必要性，通过在三层交换机和路由器上配置扩展访问列表拒绝源IP等于目的IP的报文，这样所有该类攻击（其他IP）都可以防范。

6结束语

本文从TCP/IP技术方面探讨了提高安全性的方法，作为一个网络构建者和运营者，需要综合考虑，将安全策略、硬件及软件等方法结合起来，构成一个从接入层到网络层、应用层，从计算机终端到服务器、数据库的统一的防御系统，减少网络的安全风险。