- 相关推荐
计算机网络管理中的网络监管探讨
下面是小编整理的计算机网络管理中的网络监管探讨的论文,欢迎各位计算机应用网络的同学借鉴!
【摘 要】随着计算机的普及以及计算机技术和通讯技术的发展,计算机网络和通信技术的迅猛发展,以及网络技术在部队的广泛应用,计算机网络已成为当今信息时代的支柱。随着业务拓展以及与社会宣传需要,政府单位在网络方面的应用越来越重要,网络管理也凸显其重要地位。随着网络应用的逐步普及和深入,网络管理工作也变得越来越复杂,网管管理中的监管问题也越来越重要。
【关键词】网络设备;网络管理;网络;监管;集群管理;发展趋势
在网络安全上,网络监管一直被认为是一个比较敏感的话题,作为一个已经发展相对成熟的技术,网络监管在协助管理员进行网络数据检测、网络故障排除等方面都具有不可替代的作用,从而深受广大网络管理员的青睐。但是,从另外一个方面来讲,网络监管也给网络安全带来了巨大的隐患,在网络监管行为的同时往往会伴随着大量的网络若亲,从而导致了一系列的敏感数据被盗等安全事件的发生。
一、网络管理中网络监管的意义
网络监管,即对互联网网络的监督、监管和检查,以达到维护网络安全、保护网络上的公共利益的目的。任何事物的发展都要经历从萌芽到繁盛,互联网也不例外。我国的互联网发展经历了从1987年第一封“越过长城,走向世界”电子邮件到2009年12月底,网民规模达到3.84亿人,中国手机网民则达到了2.33亿人。网络的发展必然带来诸多问题的显现。
从个人行为上看,主要有通过网络诋毁他人、散布非法言论等。从单位行为上看,主要有通过网络进行虚假宣传、进行诋毁其他单位的行为等。针对这样的问题,国外已经有了值得我们借鉴的方案。例如,韩国设立有信息安全署(KISA),负责打击垃圾邮件、钓鱼网站、网络攻击,甚至是网络犯罪。新加坡的网络管理在法律上则更为严格,单从法律条文上看,在新加坡设立任何网站,原则上需要部长签名同意。即使在你建立了网站之后,如果发布了涉及黄、赌、毒的内容,则会被政府强制关闭。严重情况时,开办网站的当事人也会受到严厉的刑事处罚。
相对于技术的迅猛发展,法律总是相对滞后的。网络监管,就是要基于国家的强制力对网络中新问题加以解决。这种解决方式不仅是针对个人的网络危害行为,也是针对单位之间由于不正当竞争导致的对用户权益和整个互联网经济发展的危害行为。由360软件与QQ软件之间进行的不兼容事件正是这样的问题。单位在市场占有量上充斥着竞争。因此,必须充分考虑网络经济条件下垄断的具体特征及其影响,并采取相应措施,既能维护市场的有效竞争,又能促进经济效率和技术创新水平的提高,又有利于提高消费者的福利水平,实现尽可能好的市场绩效。因此,要实现上述的经济增长并不能单纯依靠相对滞后的法律,而必须辅之以政府出台的网络监管政策以及互联网民间协会的协助。也就是说,网络监管本身蕴含着来自网络法律的出台、国家政策的导向以及网络单位间互相监督的综合,而它的根本目的则是共同维护网络中安全、秩序、权利和自由这些价值。
其实,网络经营商之间的竞争直接关系到网络的普及与发展。在此期间,如果没有对网络经营商的监管,网络经营商对网络使用者的免责条款也会在一定程度上限制网络使用中的安全体验。比如,QQ2011 beta版软件中条款“4.2腾讯特别提请用户注意:腾讯为了保障公司业务发展和调整的自主权,腾讯拥有随时自行修改或中断软件授权而不需通知用户的权利,如有必要,修改或中断会以通告形式公布于腾讯网站重要页面上。”从中可以发现,网络经营商作为提供网络服务的一方,虽然它提供了对于用户免费的服务,但是它对建立在自己发展基础上而限制用户体验的免责条款的确很不公平。所以,无论是从互联网协会角度,还是政府角度,针对网络经营商的格式条款的监管必将成为一种趋势。
二、网络管理中网络监听的作用
(一)网络监听的定义
网络监听是通过利用计算机的网络接口将网络上的传输数据进行截获的一种工具。我们一般认为网络监听是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上,可以攫取网络信息流的软件或硬件。网络监听早期主要是分析网络的流量,以便找出所关心的网络中潜在的问题。网络监听的存在对网络系统管理员是至关重要的,网络系统管理员通过网络监听可以诊断出大量的不可见模糊问题(如网络瓶颈、错误配置等),监视网络活动,完善网络安全策略,进行行之有效的网络管理。
(二)网络监听的工作原理
Internet是由众多的局域网所组成,这些局域网一般是以太网、令牌网的结构。数据在这些网络上是以很小的称为帧(Frame)的单位传输的,帧通过特定的网络驱动程序进行成型,然后通过网卡发送到网线上。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,同一物理网段的所有主机的网卡都能接收到这些以太网帧。当网络接口处于正常状态时,网卡收到传输来的数据帧,网卡内的芯片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,如果认为是目的地址为本机地址的数据帧或是广播帧,则接收并在接收后产生中断信号通知CUP,否则就丢弃不管,CUP得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。通过修改网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将它收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式,称之为混杂模式。网络监听就是通过将网卡设置为混杂模式,它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。网络监听工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
(三)网络监听的用途
在网络安全领域中,网络监听占有极其重要的作用。网络监听程序通常有两种形式:一是商业网络监听,二是黑客所使用的。商业网络监听用于维护网络,对于网络管理者,监听也是监控本地网络状况的直接手段,监听还是基于网络的入侵检测系统的必要基础。具体来说就是:把网络中的数据流转化成可读格式。进行性能分析以发现网络瓶颈。入侵检测以发现外界入侵者。生成网络活动日志和安全审计。进行故障分析以发现网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器做出精确的问题判断。借助于网络监听,系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪一台主机、报文发送占用多少时间、或者相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。对于黑客攻击而言,网络监听是一种有效信息收集手段,并且可以辅助进行IP欺骗,如收集科技情报、个人资料、技术成果、系统信息、用户的帐号和密码,一些商用机密数据等,目的是为进一步入侵系统做准备,或者是为了其他不可告人的目的。 三、浅析基于网络设备集群的网络管理的实现
随互联网络技术的迅速发展,单位网络的发展规模越来越大,网络设备的数量越来越多,单位网络的扩展使网络的管理变的越来越困难。其设备的数量变得越来越庞大,那么对网络地址的需求将也会变的越来越多。集群的网络管理方式可以很好地解决网络地址问题。集群是可以把一组网络设备看成一个单一实体进行管理,通常情况下,集群中的交换机中有一台被指定为命令交换机,其余称为成员交换机,对集群中各台成员交换机的配置和管理均在角色为命令交换机上进行。
(一)集群中网络设备的角色
命令交换机:单位网络中每个集群设备中必须指定唯一的一台命令交换机,集群的配置和管理均通过此命令交换机来完成,命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。
成员交换机:集群中的所有交换机,包括命令交换机,都是该集群的成员交换机。不过若非特别指明,我们所说的成员交换机并不包括命令交换机。只有该集群的候选交换机才能加入集群,从而成为成员交换机,成员交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是其他集群的命令交换机或者成员交换机。
候选交换机:可以被命令交换机发现并且还没有加入集群的交换机。候选交换机要求具备如下条件:运行了集群支持软件,运行了LLDP协议软件,不能是任何集群的命令交换机或者成员交换机。使用接口配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习,这些学习到的地址将自动成为该端口上的安全地址,直到安全地址数达到最大个数。但是,自动互相学习到的安全地址不会自动和IP地址进行绑定,如果在某一个设备端口上,已经设置了绑定IP地址的安全地址,则将不能通过自动学习地址来增加安全地址的个数。可以手工配置一部分安全地址,另外的安全地址可以让交换机自动学习到。
(二)集群管理的范围
集群的管理范围与跳数有关,跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1,其余以此类推。默认情况下,命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响,为了保证与集群管理相关的帧的正确接收和转发,要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在可达的二层通道。如果这些端口中包括Trunk,则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端,则对其上联端口的属性无要求。
交换机对LLDP的支持也将影响集群的范围,命令交换机借助LLDP协议来发现其他交换机。因此,不支持LLDP的交换机无法被发现,并且与之相连的其它换机也无法被发现,除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。
(三)配置集群
默认情况下集群功能是打开的,在交换机上可以创建集群从而使之成为命令交换机,也可以将其加入一个集群中而成为成员交换机。如果想要关闭集群功能,在特权模式下则:进入全局配置模式,关闭集群功能,回到特权模式,验证配置,最后保存配置。如果交换机是命令交换机,关闭集群功能将删除集群,并且不能成为任何集群的候选交换机;如果是成员交换机,关闭集群功能将使之退出集群,并且不能成为任何集群的候选交换机;如果是候选交换机,关闭集群功能将使之不再能成为任何集群的候选交换机。
配置集群先要建立集群。在特权模式下,可以通过以下步骤来建立集群,同时使该交换机成为集群的命令交换机,还可以为其指定一个序号。进入全局配置模式后设置命令交换机的序号。如果集群已经建立,则使用命令更改集群的名称,但不能更改命令交换机的序号。若要删除集群,可以在命令交换机的全局配置模式下执行命令no cluster enable。
配置集群发现跳数时,其决定了命令交换机所能发现的候选交换机的范围,在交换机的特权模式下,可以通过以下步骤来配置发现跳数。首先进入全局配置模式设置发现跳数,若要恢复为缺省值,可以在全局配置模式下执行命令no cluster discovery。
配置集群timer。为及时地发现网络中的候选交换机,以及准确掌握成员交换机/候选交换机和命令交换机间的物理连接状况,命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定,缺省情况下为12秒。在特权模式下,可以通过以下步骤来配置集群time,先进入全局配置模式,再设置时间间隔,时间间隔的范围是1-300,缺省值为12秒。如果要恢复为缺省值,可以在全局配置模式下执行命令no cluster timer。
配置集群holdtime。holdtime值即时间值,是命令交换机所收集到的拓扑图以及所发现的候选交换机信息将会被保存一段时间,默认情况下为120秒。交换机的特权配置模式下,可以通过配置集群的holdtime:从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置,时间范围是1-300,默认情况下的值为120秒。配置好后再回到特权模式,通过show cluster验证配置,如果要恢复其为缺省值,可以在交换机的全局配置模式下执行命令no cluster。
网络设备集群的网络管理方式可以大大提高单位网络运行维护的效率,不管单位网络设备处于任何具体的位置,集群的创建可以使多台网络设备不需要IP地址,从而成倍地节省了单位网络有限的地址空间。
参考文献:
[1]于玥.网络信息管理及其安全[J].计算机光盘软件与应用,2010.
[2]褚英国.关于Web应用层深度防御系统的研究与实践[J].计算机时代,2009.
[3]朱星伟.突破单一防御思路的Web安全[J].信息安全与通信保密,2008.
[4]喻卓彦.局域网网络监听技术概述[J].信息通信,2011,4.
[5]郭伟.网络监听技术的应用[J].十堰职业技术学院学报,2010,8.
【计算机网络管理中的网络监管探讨】相关文章:
计算机网络管理中的网络监管10-26
计算机网络管理的应用探讨论文10-09
计算机网络管理及安全技术探讨的论文10-08
计算机网络中的通信数据交换技术探讨10-08
计算机网络安全探讨10-08
医院计算机网络安全管理探讨论文10-09
计算机网络优化探讨论文10-09
计算机网络安全中防火墙技术探讨论文10-09
企业现代化管理及计算机网络建设探讨论文10-11