第7章  网络安全与管理

随着网络应用的发展，网络在各种信息系统中的作用变得越来越重要，网络安全问题变得越来越突出，人们已经意识到网络管理与安全的重要性。本章在讨论网络安全重要性的基础上，系统地介绍了网络管理技术、网络管理协议以及网络防病毒技术、网络安全技术。

7.1  网络安全与管理及相关的法律法规

7.1.1  网络安全的内容

计算机网络的应用已经对经济、文化教育与科学的发展产生了重要的影响，同时也不可避免地带来了一些新的社会、道德、政治与法律问题。大量的商业活动与大笔资金正在通过计算机网络在世界各地快速地流通，这已经对世界经济的发展产生了重要、积极的影响，同时也面临着严峻的挑战。

网络为科学研究人员、学生、公司职员提供了很多宝贵的信息，使得人们可以不受地理位置与时间的限制，相互交换信息、合作研究、学习新的知识，了解各国科学和文化发展。由于网络将以往彼此独立的计算机系统连接在一起，网络所起的作用越来越大，但与此同时，一旦出现安全问题，所产生的副作用也越来越大，这些安全问题包括主观和客观两个方面，必须引起足够的重视。

网络安全涉及的内容主要包括以下几个方面：

1.外部环境安全

外部环境安全是整个网络系统安全的前提，可能发生的问题主要有：

①地震、水灾、火灾等环境事故。

②电源故障。

③人为操作失误或错误。

④设备被盗、被毁。

⑤电磁干扰。

⑥线路被截获。

⑦机房环境及报警系统的设计缺陷引起的损害。

2.网络连接安全

网络连接安全涉及网络拓扑结构、网络由状况等的安全。

（1）与Internet连接面临的威胁。基于Internet的开放性及网络服务的复杂性，使得内部网络系统经常面临一些无法预测的风险。如果内部网络中一台机器的安全受损（如被侵人），就可能同时影响在同一网络上的许多其他机器，甚至可能涉及军事、金融等安全敏感领域。因此，网络管理人员对Internet安全事故做出有效反应变得十分重要，有必要将公开服务器同外网及内部网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤、只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。

（2）整个网络结构和路由状况。安全系统的建设往往是建立在网络系统之上的，网络系统的成熟与否直接影响安全系统的建设。整个网络的动态路由是否安全、系统的冗余状况等将直接影响即将建成的安全系统。因此，在进行网络系统设计时，要注意对整个网络结构和路由进行优化。

3.操作系统安全

目前，无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统，都不能被认为是绝对安全的操作系统。

虽然没有绝对安全的操作系统，但是，系统的安全程度与系统的应用范围和严格管理有很大关系，一个工作组的打印服务器和一个机要部门的数据库服务器的选择标准显然是不能相同的，因此要正确评估自己的网络风险并根据自己的网络风险大小制订相应的安全解决方案。

不但要选用尽可能可靠的操作系统和硬件平台，而且必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

4.应用系统安全

应用系统的安全跟具体的应用有关，它涉及很多方面。应用系统的安全是动态的、不断变化的。例如，以目前 Internet 上应用最为广泛的 E-mail系统来说，其解决方案有NetscapeMessagingServer、LotusNotes、ExchangeServer等数十种，其安全手段多种多样，但其系统内部的错误和漏洞是很少有人能够发现的，并且，随着版本的不断更新，安全漏洞也是不断增加且隐藏越来越深，总会有人不断发现这些漏洞并加以利用，对网络安全造成威胁。因此，保证应用系统的安全是一个随网络发展不断完善的过程。

应用系统的安全还涉及信息、数据的安全性，机密信息泄露、未经授权的访问、破坏信息完整性、假冒及破坏系统的可用性等。信息、数据如果遭到破坏或攻击，将产生一定的经济、社会和政治影响。

因此，对于重要信息的通信必须授权，传输必须加密。必须采用多层次的访问控制与权限控制手段，实现对数据的安全保护，同时采用加密技术，保证网上传输的信息（包括管理员口令与账户、上传 WWW信息等）的机密性与完整性。

5.管理制度安全

管理制度建设是网络安全中最重要的部分。各网络使用机构、企业和单位应建立相应的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。

6.人为因素影响

（1）黑客攻击。黑客们的攻击行动是无时无刻不在进行的，而且会利用网络系统和管理上一切可能利用的漏洞，对网络安全和用户信息都会造成很大的威胁。

（2）恶意代码。恶意代码不限于病毒，还包括蠕虫、特洛伊木马、逻辑作弹、其他未经同意的软件等，应该加强对恶意代码的检测。

7.1.2  网络管理的功能

随着网络在社会生活中的广泛应用，特别是在金融、商务、政府机关、军事、信息处理等方面的应用，支持各种信息系统的网络的地位也就变得越来越重要了。随着网络规模的不断扩大，网络结构也变得越来越复杂，用户对网络应用的需求不断提高，企业和用户对计算机网络的依赖程度也越来越高。在这种情况下，企业的管理者和用户对网络性能、运行状况以及安全性也越来越重视，因此网络管理已成为现代网络技术中最重要的问题之一。

一个有效而且实用的网络离不开网络管理。这里更多地从技术方面讨论网络管理。如果在网络系统设计中没有很好地考虑与解决网络管理问题，那么这个设计方案是有严重缺陷的，按这样的设计组建的网络应用系统是十分危险的。一旦因网络性能下降，甚至因故障而造成网络瘫痪，这对企业将会造成严重的损失，这种损失有可能远远大于在网络组建时，用于网络软、硬件与系统的投资，因此，必须十分重视网络管理技术的研究与应用。

1.网络管理

所谓网络管理，是指用软件手段对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理涉及以下三个方面：

（1）网络服务提供：是指向用户提供新的服务类型、增加网络设备、提高网络性能。

（2）网络维护：是指网络性能监控、故障报警、故障诊断、故障隔离与恢复。

（3）网络处理：是指网络线路及设备利用率，数据的采集、分析，以及提高网络利用率的各种控制。

2.网络管理系统

一个网络管理系统从逻辑上可以分为以下三个部分：

（1）管理对象：是经过抽象的网络元素，对应于网络中具体可以操作的数据，例如，记录网络设备工作状态的状态变量、网络设备内部的工作参数、网络性能的统计参数。被管理的网络设备包括交换机、网关、路由器、网桥、通信线路、网卡、服务器以及工作站等。

（2）管理进程：是负责对网络设备进行全面的管理与控制的软件。它根据网络中各个管理对象状态的变化，来决定对不同的管理对象应该采取什么样的操作，例如，调整网络设备的工作参数、控制网络设备的工作状态等。管理信息库是管理进程的一个部分，用于记录网络中被管理对象的状态参数值。

（3）管理协议：负责在管理系统与被管理对象之间传递操作命令，负责解释管理操作命令。管理协议保证了管理信息库中的数据与具体网络设备中实际状态、工作参数的一致性。

3. OSI管理功能域

网络管理标准化是要满足不同网络管理系统之间互操作的需求。为了支持各种网络的互联管理的要求，网络管理需要有一个国际性的标准。OSI网络管理标准将开放系统的网络管理功能划分成5个功能域，这5个功能域分别用来完成不同的网络管理功能。

（1）配置管理：网络配置是指网络中每个设备的功能、相互间的连接关系和工作参数，它反映了网络的状态。网络是经常变化的，经常需要调整网络的配置。对网络配置的改变可能是临时性的，也可能是永久性的，网络管理系统必须有足够的手段来支持这些改变，配置管理就是用来识别、定义、初始化、控制与检测通信网中的管理对象。

网络中的配置管理功能域需要监视与控制的主要内容有：网络资源及其活动状态；网络资源之间的关系；新资源的引入与旧资源的删除。

在0SI网络管理标准中，配置管理部分可以说是最基本的内容。配置管理是网络中对管理对象的变化进行动态管理的核心。当配置管理软件接到网管操作员或其他管理功能设施配置变更请求时，配置管理服务首先确定管理对象的当前状态并给出变更合法的确认，然后对管理对象进行变更操作，最后要验证变更确实已经完成。

（2）故障管理：故障管理是用来维持网络的正常运行的。故障管理包括及时发现网络中发生的故障，找出网络故障产生的原因，必要时启动控制功能来排除故障。控制活动包括诊断测试活动、故障修复或恢复活动、启动备用设备等。故障管理的目的是保证网络能够提供连续、可靠的服务。

（3）性能管理：性能管理功能是持续地评测网络运行中的主要性能指标，以检验网络服务是否达到了预定的水平，找出已经发生或潜在的瓶颈，报告网络性能的变化趋势，为网络管理决策提供依据。典型的网络性能管理可以分为两部分：性能监测和网络控制。性能监测指网络工作状态信息的收集和整理：网络控制则是为改善网络设备的性能而采取的动作和措施。

（4）安全管理：安全管理功能用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制，使非法入侵事件尽可能少发生；能够快速检测未授权的资源使用，并查出侵入点，对非法活动进行审查与追踪；能够使网络管理人员恢复部分受损的文件。

安全管理中一般要设置一些权限，制订判断非法人侵的条件以及检查非法操作规则。非法人侵活动包括无特权的用户企图修改其他用户定义的文件，修改硬件或软件配置，修改访问优先权，关闭正在工作的用户，企图访问敏感数据等。收集有关数据并生成报告，由网络管理中心的安全事务处理进程进行分析、记录、存档，并根据情况采取相应的措施，例如，给人侵用户以警告信息、取消其使用网络的权利等。无论是积极或消极行动，均要将非法人侵事件记录在安全日志中。

（5）记账管理：对于公用分组交换网与各种信息服务系统来说，用户必须为使用网络的服务而交费，网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。

在大多数企业内部网中，内部用户使用网络资源并不需要交费，但是记账功能可以用来记录用户网络的使用时间、统计网络的利用率与资源使用等内容，因此，记账管理功能在企业内部网中也是非常有用的。

7.1.3  与网络安全与管理相关的法律法规

近年来，随着计算机的应用和互联网的普及和发展，计算机和网络系统出现的事故和违法犯罪行为逐渐增加，其中包括系统建设过程中的违法、运行管理过程中的违法、使用者的违法等。例如，涉及网络诈骗的案件越来越多，与传统诈骗犯罪不同的是，互联网上的诈骗行为具有更大的危害性，受害人范围更广，对此类案件的查处也比传统案件复杂和困难得多。网上诈骗的手法是多种多样的，例如，网上假拍卖，利用网络服务契约和信用卡诈骗，以提供免费网页、进行多层直销、提供上学机会和投资及买保健产品为名义诈取钱财，骗取长途电话费等。

为保证计算机和网络系统的安全，保证人民财产和国家利益不受损害，我国制定了一系列法律、法规。

《中华人民共和国电子签名法》由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过，自2005年4月1日起施行。当前版本为2015年4 月24日第十二届全国人民代表大会常务委员会第十四次会议修正。

2012年12月28日，十一届全国人大常委会第三十次会议表决通过了《关于加强网络信息保护的决定》，它是对公民隐私权等权利进行保护的法律，它的核心内容和立法宗旨昌建立公民个人电子信息保护制度。全文共十二条，用简明扼要的语言界定了公民个人电子信息的范围、公民个人电子信息保护的义务主体、网络服务提供者和其他企事业单位在业务活动中收集、使用、保存公民个人电子信息应当遵循的原则；提出禁止未经接受者同意或请求，向其固定电话、移动电话或个人电子邮箱发送商业性电子信息；规定了公民个人可以采取的救济手段以及违反规定的法律后果。

《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。《中华人民共和国网络安全法》确立了网络空间主权原则、网络安全与信息化发展并重原则和网络安全共同治理原则。网络空间主权是一国国家主权在网络空间中的自然延伸和表现，《中华人民共和国网络安全法》明确规定要维护我国网络空间主权。国家坚持网络安全与信息化并重，遵循积极利用、科学发展、依法管理、确保安全的方针，既要推进网络基础设施建设，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力。网络空间安全需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与，据各自的角色参与网络安全治理工作。《中华人民共和国网络安全法》对网络运营者等主体的法律义务和责任做了全面规定，包括守法义务，遵守社会公德、商业道德义务，诚实信用义务，网络安全保护义务，接受监督义务，承担社会责任等，并在"网络运行安全"、"网络信息安全"、"监测预警与应急处置"等章节中进一步明确、细化。在“法律责任”中则提高了违法行为的处罚标准，加大了处罚力度。

“《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过，自2020年1月1日起施行。《中华人民共和国密码法》旨在通过立法提升密码管理科学化、规范化、法治化水平，促进我国密码事业的稳步健康发展。

《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，自2021年9月1日起施行。《中华人民共和国数据安全法》核心内容包括：确立数据分级分类管理以及风险评估，检测预警和应急处置等数据安全管理各项基本制度；明确开展数据活动的组织、个人的数据安全保护义务，落实数据安全保护责任；坚持安全与发展并重，锁定支持促进数据安全与发展的措施；建立保障政务数据安全和推动政务数据开放的制度措施。”

国务院也先后发布了一系列法规，主要包括：

国务院1994年2月18日发布、2011年1月8日修订的《中华人民共和国计算机信息系统安全保护条例》。

1996年2月1日发布、1997年5月20日修订的《中华人民共和国计算机信息网络国际联网管理暂行规定》。

1997年12月11日国务院批准、1997年12月30日公安部发布、2011年1月8日修订的《计算机信息网络国际联网安全保护管理办法》。

国务院2000年9月25日发布、2016年2月6日第二次修订的《中华人民共和国电信条例》。

国务院2000年9月25日发布、2011年1月8日修订的《互联网信息服务管理办法》。

国务院2001年12月20日发布、2013年1月30日第二次修订的《计算机软件保护条例》。

国务院2002年9月29日发布、2016年2月6日第二次修订的《互联网上网服务营业场所管理条例》。

国务院2006年5月18日发布、2013年1月30日修订的《信息网络传播权保护条例》。

国务院各主管部门也公布了一系列规章和规范，规章文件主要包括《互联网域名管理办法》、《互联网新闻信息服务管理规定》、《电信和互联网用户个人信息保护规定》、《规范互联网信息服务市场秩序若干规定》、《互联网文化管理暂行规定》、《互联网视听节目服务管理规定》、《互联网等信息网络传播视听节目管理办法》等，规范性文件包括《微博客信息服务管理规定》、《互联网新闻信息服务单位内容管理从业人员管理办法》、《互联网新闻信息服务新技术新应用安全评估管理规定》、《互联网群组信息服务管理规定》、《互联网用户公众账号信息服务管理规定》、《互联网跟帖评论服务管理规定》、《互联网论坛社区服务管理规定》、《互联网直播服务管理规定》、《移动互联网应用程序信息服务管理规定》、《互联网用户账号名称管理规定》、《互联网信息搜索服务管理规定》、《即时通信工具公众信息服务发展管理暂行规定》等。

7.2  网络资源管理的方法

7.2.1  网络资源的表示

网络环境下资源的表示是网络管理的一个关键问题。在网络管理协议中采用面向对象的概念来描述被管网络元素的属性。所谓对象就是被管网络元素的描述表示法。在完成网络安全策略制订的过程中，首先要对所有网络资源从安全性的角度去定义它所存在的风险，网络资源主要包括：

（1）硬件：个人计算机、外部设备、通信介质、网络设备等。

（2）软件：操作系统、通信程序、诊断程序、应用程序与网管软件。

（3）数据：在线存储的数据、离线文档、执行过程中的数据、在网络中传输的数据、备份数据、数据库、用户登录数据。

（4）用户：普通网络用户、网络操作员、网络管理员。

（5）支持设备：磁带机与磁带、光驱与光盘。

7.2.2  网络管理的目的和方法

网络管理可以分为广义和狭义两个层面。广义的管理内容涉及网络安全的方方面面，既包括技术方面，也包括制度、政策、法律、措施等方面。狭义的网络管理是指从技术角度出发，了解网络系统的运行状况并加以监控、优化。

下面着重从技术角度探讨网络管理的目的和方法。

1.网络管理的目的

为满足用户解决网络性能下降和改善网络瓶颈的需要，根据用户网络应用的实际情况，为用户设计并实施检测方案，从不同的角度做出分析，最终定位问题和故障点，并提供资源优化和系统规划的建议。

2.网络管理的使命

（1）发现问题。监测工程师使用监测工具交互地观察单个受影响的工作站、服务器及网段，基于大量信息进行问题根源的分析，确定问题扩散的原因、受影响的服务器和用户以及性能受损是否有共性。

（2）解决问题。当网络出现故障的时候，面对庞大的监测数据库，应结合用户网段的实际情况，在大量的监测数据中察觉问题之所在。监测系统可以定位到设备和节点，同时根据流量和响应时间，可以判断出问题原因。经验在此时此刻起到了决定性的作用。日常监测服务基于对每一时刻的监测数据的收集，对比长期历史数据进行分析，发现潜在的性能隐患；分析并判断用户网络应用的未来发展趋势，确保用户网络系统始终保持高性能的稳定运行。

（3）常规监视。主要内容包括：

得知网络中有哪些客户机在什么时候访问过哪些服务器的何种应用服务，通过监视网络上的行为，可以发现异常情况。

分析网段上的数据流，自动发现使用的协议、网络应用和网络设备。

客观地把握网络的详细情况。例如，掌握网络中流动的是什么信息；哪些应用占了太多的带宽；网络速度缓慢的原因是什么；网络瓶颈在什么地方等重要信息。

收集当前网络环境中的数据传输情况和响应时间。

得知每个服务器或每种应用在一段时间内的流量和响应时间。通过监视关键应用的响应时间，可以采取措施，预防应用性能的下降甚至崩溃。

能够从报告、图形和图表中得到业务中关键事务的多种指标，用户自己在任何地方可以通过上网的方式浏览自己网络状况的详细信息；把握网络应用的总体运行情况。

定期提供网络性能分析报告，内容包含网络应用情况评估、网络趋势分析、网络结构规划和性能优化建议。

7.3  网络管理协议

网络管理协议是代理和网络管理软件交换信息的方式，它定义使用什么传输机制、代理上存在何种信息以及信息格式的编排方式。

7.3.1  SNMP协议

SNMP是"Simple Network Management Protocol"的缩写，中文含义是"简单网络管理协议”，是TCP/IP协议簇的一个应用层协议，它是随着TCP/IP协议的发展而发展起来的。

在TCP/IP协议发展的前期，由于规模和范围有限，网络管理的问题并未得到重视。直到20世纪 70年代，仍然没有正式的网络管理协议，当时常用的一个管理工具就是Internet 控制报文协议（Internet Control Message Protocol，ICMP）。ICMP通过在网络实体间交换 echo 和 echo-reply 的报文对，测试网络设备的可达性和通信线路的性能。然而随着 Internet 的飞速发展，连接到Internet上的组织和实体数日也越来越多。这些各自独立的实体主观和客观上都要求能够独立地履行各自的子网管理职责，因此要求一种更加强大的标准化的网络管理协议来实现对Internet的网络管理。

20世纪80年代末，Internet体系结构委员会采纳SNMP作为一个短期的网络管理解决方案；由于SNMP的简单性，在Internet 时代得到了蓬勃的发展，1992年发布了SNMP v2版本，以增强SNMP v1的安全性和功能。

SNMP作为一种网络管理协议，它使网络设备彼此之间可以交换管理信息，使网络管理员能够管理网络的性能，定位和解决网络故障，进行网络规划。

SNMP的网络管理模型由三个关键元素组成：

（1）被管理的设备（网元）：网元是这样的网络节点，它包括一个SNMP代理并且驻留在一个被管理网络中。它可以是路由器、接入服务器、交换机、网桥、Hub、主机、打印机等网络设备。网元负责收集和存储管理信息，并使这些信息对于使用SNMP的网络管理系统（NMS）是可用的。

（2）代理（Agent）：代理是一个网络管理软件模块，它驻留在一个网元中，它掌握本地的网络管理信息，并将此信息转换为SNMP兼容的形式，在NMS发出请求时做出响应。

（3）网络管理系统（Network Management System，NMS）：NMS监控和管理网元，提供网络管理所需的处理和存储资源。

管理信息库（Management Information Base，MIB）是一个存放管理元素信息的数据库. 它管理信息的有层次的集合，由管理对象组成，并由对象标识符进行标识。管理网中的每一个被管网元都应该包括一个MIB，NMS通过代理读取或设置MIB中的变量值，从而实现对网络资源的监视和控制。

SNMP管理工具的典型代表有HP公司的OpenView Network Node Manager（NNM）、Cisco 公司的Cisco Works 2000以及Nortel Networks公司的Optivity 等。这些SNMP管理工具能自动检知网络上的设备，并能对所检知的网络设备进行逻辑组态管理，还能进行设备级的故障监视。Cisco Works 2000系列还能管理 VLAN、ATM LAN Emulation 和VoIP 等网络。

7.3.2  RMON

远程监控（Remote Monitoring，RMON）是关于通信量管理的标准化规定，RMON的目的就是要测定、收集网络的性能，为网络管理员提供复杂的网络错误诊断和性能调整信息。

由 RMON构成的通信量观测和SNMP一样，也是由管理程序和代理程序构成。但是，在LAN网络设备中，对应RMON的产品较少。因此，一般是将观测通信量的专用装置即所谓的探测器接到网段上来进行检测。

RMON最大的用武之地通常是观测网络的关键点，包括LAN主干网中通信量集中的地方和发生了问题的地方等。在这些地方，通常利用 RMON的报警功能，当超过了通信量的阈值时，给 RMON管理程序发出警告。

一般来说，当网络用户明显地感到网络变慢了，特别是感到WWW速度显著变慢时，为了用 RMON 解决这类问题，就必须增加观测点，对大量的数据进行分析。例如，从用户到Internet 的出口必须收集、解析各种各样的数据，包括路由器的利用率和错误数目、WAN 传输线带宽的利用率、代理服务器和防火墙的收发包个数以及CPU的利用率等。

7.4  网络病毒的防范

随着大规模企业内部网络的应用以及国际互联网的广泛普及，企业和个人对网络的安全性越来越感到担忧。尽管网络间谍、黑客攻击等安全性问题已有很多报道，但事实上大多数安全性问题的产生都是由广为传播的计算机病毒造成的，计算机网络和通信技术的每一次进步都为病毒传播提供了新的途径。

7.4.1  网络与病毒

传统计算机病毒的传播途径只有磁介质，据统计，当时50%以上的病毒是通过软盘进入计算机系统的。然而国际互联网开拓性的发展，信息与资源共享手段的进一步提高，也为计算机病毒的传染带来新的途径，其使用上的简易性和开放性使得这种威胁越来越严重，病毒已经能够通过网络的新手段攻击以前无法接近的系统。互联网已经成为病毒传播最大的来源，电子邮件和文件下载为病毒传播打开了高速的通道。企业网络化的发展也使病毒的传播速度大大提高，感染的范围越来越广。可以说，网络化带来了病毒传染的高效率，从而加重了病毒的威胁。

传统的病毒主要攻击单机，而像“红色代码”和“尼姆达”等网络病毒则会造成网络拥堵甚至瘫痪，直接危害到网络系统；另外被病毒感染的系统容易造成泄密，这些可能会超过病毒本身的危害。

因此，网络病毒的防范成为网络安全的一个重要内容。

7.4.2  网络病毒的防范

基于网络的多层次的病毒防护策略是保障信息安全、保证网络安全运行的重要手段。从网络系统的各组成环节来看，多层防御的网络防毒体系应该由用户桌面、服务器、Internet 网关和防火墙组成。

桌面系统和远程控制的计算机是主要的病毒感染源，因此面向桌面系统和工作站的病毒检测和清除是保证系统运行和用户工作的必要条件，工作站的防毒系统应该能很好地融合于整个计算机系统，便于统一更新和自动运行。

群件和电子邮件是网络中重要的通信联络线。群件的核心是在网络内共享文档，一个被病毒感染的文档很容易经由网络内的共享文件而迅速地传播，因此对Lotus Notes/Domino和Microsoft Exchange服务器的保护是非常必要的，不论是"爱虫"还是"Sircam"病毒，它们之所以能够快速传播，主要依赖的是电子邮件通信，这也是当今病毒扩散的最主要方式。因此，对付以Internet为载体的病毒的一个有效办法就是，在Internet 网关安装病毒扫描器，保护企业网络不受电子邮件传播病毒的威胁。

为防火墙设计的病毒扫描器能扫描多种Internet数据流，它们不仅可以扫描电子邮件、Internet文件和Web通信中包括压缩文件在内的敌对代码，同时保护文件免受恶意的Java、ActiveX或者JavaScript代码的攻击。在网关和防火墙处检查病毒，需要扫描所有接收到的数据帧，将它们重组起来并临时存放，以便进行病毒扫描。

先进的多层病毒防护策略具有三个特点：

1. 层次性

在用户桌面、服务器、Internet 网关以及防火墙安装适当的防毒部件，以网为本、多层次地最大限度地发挥作用。

2.集成性

所有的保护措施是统一的和相互配合的，支持远程集中式配置和管理。

3.自动化

系统能自动更新病毒特征码数据库和其他相关信息。

目前，单机版的防杀病毒软件非常多，网络版的防杀病毒软件品种也在不断增加，网络版的特点在于它由服务器端和节点端两部分组成，既能监控、消灭单机病毒，也能够在网络上阻断病毒的蔓延。

7.5  网络黑客入侵的防范

7.5.1  关于黑客

计算机犯罪正在引起社会的普遍关注，而计算机网络是被攻击的重点。计算机犯罪是一种高技术型犯罪，由于犯罪的隐蔽性，因此对计算机网络安全构成了很大的威胁。在Internet上，黑客攻击事件屡发生，美国国防部的计算机系统曾经受到非法闯入者的攻击，美国金融界也因黑客攻击每年损失巨大。因此，黑客问题引起了人们的普遍重视。

黑客（Hacker），常常在未经许可的情况下通过技术手段登录到他人的网络服务器甚至是连接在网络上的单机，并对网络进行一些未经授权的操作。黑客会给网络的使用制造许多麻烦，因此更需要利用专业技术来保护网络。

7.5.2  攻击手段

一般认为，目前对网络的攻击手段主要表现在：

1.非授权访问

没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限、越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作，合法用户以未授权方式进行操作等。

2.信息泄露或丢失

指敏感数据在有意或无意中被泄露出去或丢失，它通常包括：信息在传输中丢失或泄露，如黑容利用电磁泄漏或搭线窃听等方式可截获机密信息；通过对信息流向、流量、通信频度和长度等参数的分析，推出有用的信息，如用户口令、账号等：信息在存储介质中丢失或泄露，通过建立隐蔽隧道等窃取敏感信息。

3.破坏数据完整性

以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。

4.拒绝服务攻击

它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

5.利用网络传播病毒

通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

7.5.3  防范手段

防范黑客入侵不仅仅是技术问题，关键是要制订严密、完整而又行之有效的安全策略。安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则，它包括三个方面的手段：

1.法律手段

安全的基石是社会法律、法规，即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

2.技术手段

先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术（几种常用的防火墙技术在7.6节讲述）。针对网络、操作系统、应用系统、数据库、信息共享授权等提出具体的安全保护措施。

3.管理手段

各网络使用机构、企业或单位应建立相应的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。安全系统需要人来实现，即使是最好的、最值得信赖的系统安全措施，也不能由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。

7.6  防火墙

7.6.1  防火墙的概念

如果一个国家失去了边界的控制，那么它的国民也就失去了保护和安全感，这个道理也同样适用于网络。如果网络的访问失去了控制，存储于其中的数据的安全性和隐私权也就无从谈起了，更不要谈防御黑客的攻击了。

随着Internet的飞速发展，大批的专用网与Internet连接，它一方面方便了资源的使用，另一方面也为黑客攻击这些网提供了途径。在Internet出现以前，黑客们广泛使用的手段是通过公用电话网，利用调制解调器拨号上网，这种远程访问方式所带来的安全问题是很容易解决的。Internet 出现以后，通过Internet，网络之间都是可以相互通信的，Internet 上不存在一个中心机构或中心设备来管理整个网络的安全。

防火墙（Firewall）是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。通过在专用网和Internet之间设置防火墙来监视所有出入专用网的信息流，它可通过监测、限制、更改跨越防火墙的数据流，决定哪些是可以通过的，哪些是不可以的，并尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和Internet之间的任何活动，保证了内部网络的安全。

防火墙能有效地防止外来的人侵，它在网络系统中的作用是：

（1）控制进出网络的信息流向和数据包。

（2）提供使用和流量的日志和审计。

（3）隐藏内部IP地址及网络结构的细节。

（4）提供VPN功能。

7.6.2  防火墙的技术

防火墙总体上分为数据包过滤、应用级网关、代理服务器和状态检测技术等几大类型。

1.数据包过滤

数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单、价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2.应用级网关

应用级网关（Application Level Gateways）是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用级网关通常安装在专用工作站系统上。

数据包过滤和应用级网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判断是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

3.代理服务器

代理服务器（Proxy Service）也称链路级网关或TCP通道（Circuit Level Gateways or TCP Tunnels），也有人将它归于应用级闪关一类。它是针对数据包过滤和应用级网关技术存在的缺点而引人的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外代理服务器也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

4.状态检测技术

状态检测技术也称动态包过滤技术。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流是通过还是拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，判断其是否属于合法连接，从而实现动态过滤。状态检测防火墙基本保持了包过滤防火墙的优点，握弃了包过滤防火墙仅仅考察进出网络的数据包而不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

7.6.3  设置防火墙的要素

1.网络策略

影响防火墙系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。

2.服务访问策略

服务访问策略集中在Internet访问服务以及外部网络访问（如拨人策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；分许内部用户访问指定的Internet 主机和服务。

3.防火墙设计策略

防火墙设计策略基于特定的防火墙，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是好用但不安全，第二种是安全但不好用，通常采用第二种类型的设计策略。

4.增强的认证

许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于清测和破译的口令，虽然如此，攻击者仍然在Internet上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡、认证令牌、生理特征（指纹）以及基于软件（RSA）等技术，以克服传统口令的弱点。虽然存在多种认证技术，它们均使用增强的认证机制产生难以被攻击者重用的口令和密钥。目前许多流行的增强机制使用一次有效的口令和密钥（如SmartCard和认证令牌）。

7.6.4  防火墙的分类

防火墙有很多种分类方法：根据采用的核心技术，根据应用对象的不同，或者根据实现方法的不同。

每种分类方法都各有特点，例如，根据具体实现方法，防火墙可以分为三种类型：

（1）软件防火墙：防火墙运行于特定的计算机上，一般来说，这台计算机就是整个网络的网关。软件防火墙与其他的软件产品一样，需要先在计算机上安装并做好配置后方可使用。使用这类防火墙，需要网络管理人员对使用的操作系统平台比较熟悉。

（2）便件防火墙：由计算机硬件、通用操作系统和防火墙软件组成。在定制的计算机硬件上，采用通用计算机系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD和Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。其特点是开发成本低、性能实用，而且稳定性和扩展性较好。但是由于此类防火墙依赖操作系统内核，因此受到操作系统本身安全性的影响，处理速度较慢。

（3）专用防火墙：采用特别优化设计的硬件体系结构，使用专用的操作系统。此类防火墙在稳定性和传输性方面有着得天独厚的优势，速度快、处理能力强、性能高。由于采用专用操作系统，因而容易配置和管理，本身漏洞也比较少，但是扩展能力有限，价格也较高。

根据防火墙采用的核心技术，防火墙可分为包过滤型和应用代理型两大类。

根据防火墙的结构，防火墙可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

如果根据防火墙的应用部署位置，可以分为边界防火墙、个人防火墙和混合防火墙三大类。其中个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜（目前有许多免费的个人防火墙产品），性能也最差。

7.7  网络故障的诊断与排除

7.7.1  网络故障的诊断

一旦网络发生故障，就会给网络中用户的工作带来极大的不便。要想迅速地诊断并排除网络故障，首先要有一个明确的策略。当网络发生故障时，首先应重视故障重现并尽可能全面地收集故障信息，然后对故障现象进行分析，根据分析结果定位故障范围并对故障进行隔离，之后根据具体情况排除故障。

1.重现故障

当网络出现故障后，如果可能，第一步应该是重现故障，这是获取故障信息的最好办法。

在重现故障的过程中回答下列问题将有助于收集故障信息：

● 每次操作都能使故障重现吗？

● 在多次操作中故障是偶然重现吗？

● 故障是在特定的操作环境下才重现吗？如，以不同的ID登录或从其他计算机上进行相同的操作时，故障还会重现吗？

重现故障时，应严格按照发现问题的用户操作步骤进行，也可请用户亲自演示，这是因为计算机功能可以用不同的方式实现。例如，在一个查询处理程序中可以用菜单存储文件，也可以用组合按键，或者单击工具栏中的按钮，这三种方法的结果是一样的。同样，在登录时，可以用命令行的方式登录，也可以从一个包含批处理文件的预备脚本登录，或者从客户软件提供的窗口中登录，等等。如果试图用不同于用户的操作重现故障，也许不能发现用户所描述的故障现象，而认为是用户人为所导致的错误，这就失去了一个排除该故障的有力线索。

为了能够可靠地重现一个故障，应仔细询问用户在发生故障之前做了什么操作。例如，用户描述正在浏览网页时网络突然中断了，这时应在他的计算机上重现这个故障。另外，还要查清在他的计算机上是否还运行着其他程序以及正在访问什么样的网站。

在试图重现故障时要注意判断重现故障操作可能带来的严重后果。在某些情况下，重现故障可能会使网络瘫痪、计算机上的数据丢失以及损坏设备。

2.分析故障现象

收集了足够的故障信息后，就可以开始从以下几个方面对故障进行分析。

（1）检查物理连接。

物理连接是网络连接中可能存在的最直接的缺陷，但它很容易被发现和修复。物理连接包括：

● 从服务器或工作站到接口的连接。

● 从数据接口到信息插座模块的连接。

●从信息插座模块到信息插头模块的连接。

● 从信息插头模块到物理设备的连接。

●设备的物理安装（网卡、集线器、交换机、路由器）。

回答下面问题将有助于确认物理连接是否有故障：

●设备打开了吗？

●网卡安装正确吗？

●设备的电缆线与网卡或墙座的连接有松动吗？

●网线接头与网卡及集线器（或交换机）的连接正确吗？

● 集线器、交换机或路由器正确地连接到主干网吗？

●所有的电缆线都是好的吗（有无老化和损坏）？

● 所有的接头都处在完好状态吗？

（2）检查逻辑连接。

如果物理连接中没有发现故障原因，就必须检查逻辑连接，包括软硬件的配置、设置、安装和权限。逻辑上的问题复杂一些，比物理问题更难以分离和解决。例如，一个用户说已有3个小时不能登录到网络，而检查物理连接后没有发现异常，并且用户说没做什么改动，这时就可能需要检查逻辑连接。某些与网络连接有关的基于软件的可能原因有：资源与网卡的配置冲突，某个网卡的配置不恰当，安装或配置客户软件不正确，安装或配置的网络协议或服务不正确。

回答下面问题有助于诊断逻辑连接错误：

● 出错信息是否表明发现了损坏的或找不到的文件、设备驱动程序？

● 出错信息表明是资源（如内存）不正常或不足吗？

●最近操作系统中的配置、设备驱动程序改动过吗？最近添加、删除过应用程序吗？

● 故障只出现在一个设备还是多个相似的设备上？

（3）参考网络最近的变化。

参考网络最近的变化并不是一个独立的步骤，而是诊断和排除故障的过程中需要经常考虑并且相互关联的一个步骤。开始排错时，应该了解网络上最近有什么样的变动，包括添加新设备、修复已有设备、卸载已有设备、在已有设备上安装新元件、在网络上安装新服务或应用程序、设备移动、地址或协议改变、服务器连接设备或工作站上软件配置改变、工作组或用户改变等。

回答下面的问题有助于找出网络变动所导致的故障：

● 服务器、工作站或连接设备上的操作系统或配置改动过吗？

● 服务器、工作站或连接设备的位置移动过吗？

● 在服务器、工作站或连接设备上添加了新元件吗？

● 从服务器、工作站或连接设备移走了旧元件吗？

● 在服务器、工作站或连接设备上安装了新软件吗？

● 从服务器、工作站或连接设备上删除了旧软件吗？

3.定位故障范围

在对故障现象进行分析之后，就可以根据分析结果来定位故障范围。也就是说，要限定故障的范围是否仅在特定的计算机、某一地区的机构或某一时间段中。例如，如果问题只影响某一网段内的用户，则可以推断出问题出在该网段的网线、配置、端口或网关等方面；如果问题只限于一个用户，只需关注一条网线、计算机软硬件的配置或用户个人。

回答下面的问题有助于定位故障范围：

● 有多少用户或工作组受到了影响？是一个用户或工作站、一个工作组、一个部门、一个组织地域还是整个组织？

● 什么时候出现的故障？

●网络、服务器或工作站曾经正常工作过吗？

●故障是在很长一段时间中有规律地出现吗？

●故障是仅在一天、一周、一月中的特定时刻出现吗？

定位故障范围排除了其他的原因和对其他范围问题的关注，可以帮助区分是工作站（或用户）问题还是网络问题。如果故障只影响到机构中的一个部门或一个楼层，就需要检测该网段，包括它的交换机接口、网线以及为那些用户提供服务的计算机；如果故障影响到一个远程用户，则应检测广域网连接或路由器结构；如果故障影响到所有部门和所有位置的所有用户，这时应检查关键部件，如中心交换机和主干网连接。

4. 隔离故障

定位故障范围以后，还有一项非常重要的工作，就是隔离故障。这主要有以下3种情况：

（1）如果故障影响到整个网段，则应该通过减少可能的故障来源隔离故障。除两个节点外断开所有其他节点，如果这两个节点能正常通信，再增加其他节点。如这两个节点不能通信，就要对物理层的有关部分，如电缆的接头、电缆本身或与它们相连的集线器和网卡等进行检查。

（2）如果故障能被隔离至一个节点，可以更换网卡，使用其他好的网卡驱动程序（不能使用该节点现有的网络软件或配置文件），或是用一条新的电缆与网络相连。如果网络的连接没有问题，则检查是否只是某一个应用出现问题。使用相同的驱动器或文件系统运行其他的应用程序。

（3）如果只是一个用户出现使用问题，检查涉及该节点的网络安全系统。检查是否对网络的安全系统进行了改变以致影响该用户。是否删除了与该用户安全等级相同的其他用户？该用户是否被网络中的一个安全组所删除？是否某项应用被移到网络中的其他部分？是否改变了系统的注册方法或是改变了该用户的注册方法？比较该用户与其他执行相同任务的用户。

5.排除故障

一旦确定了故障源，识别故障类型就比较容易了。

对于硬件故障来说，最方便的措施就是简单的更换，对损坏部分的维修可以推迟。故障排除的目的就是尽可能迅速地恢复网络的所有功能。

对于软件放障来说，解决办法是重新安装有问题的软件，删除可能有问题的文件并且确保拥有全部所需的文件。如果问题是单一用户的问题，通常最简单的方法是完整删除该用户，然后从头开始或重复步骤，使该用户重新获得原来没有问题的应用。

在故障排除以后还应请操作人员测试故障是否依然存在，这样可以确保整个故障是否都已排除。操作人员只需简单地按正常方法操作有关网络设备，同时快速地执行其他几种正常操作即可。

7.7.2  网络常用测试命令

1. IP测试工具 ping

ping是Windows 98 以上操作系统中集成的一个TCP/IP协议测试工具，它只能在使用TCP/IP协议的网络中使用。

使用 ping 命令可以向计算机发送 ICMP（Internet 控制消息协议）数据包并监听回应数据包的返回，以检验与其他计算机的连接。对于每个发送的数据包，ping命令最多等待1 秒。ping 命令可以显示发送和接收数据包的数量，并对每个发送和接收的数据包进行比较，以检验其有效性。

此外，还可以使用ping命令来测试计算机名和IP地址。如果成功检验IP地址却不能检验计算机名，则说明名称解析有问题，要保证在本地HOSTS文件或 DNS数据库中存在要查询的计算机名。

ping 命令使用的格式为：

ping  【--参数1】【--参数2】【…】目的地址

其中“目的地址”是指被测试的计算机的IP地址或域名。可带的参数意义如表7-1 所示。

ping命令可以在"开始"→"运行"中执行，也可以在 MS-DOS方式下执行。例如，当用户的计算机不能访问Internet，首先要确认是否是本地局域网的故障。假定局域网的代理服务器 IP地址为202.168.0.1，可以使用“ping 202.168.0.1”命令查看本机是否和代理服务器联通。又如，测试本机的网卡是否正确安装的常用命令是"ping 127.0.0.1"。

ping工具在Internet中也经常用来验证本地计算机和网络主机之间的路由是否存在。例如，发邮件时可以先 ping 对方服务器地址，假如收件方为 zhangsan@abc.com，可以先用 ping abc.com。如果没通，则对方将无法接收邮件。

2.测试 TCP/IP 协议配置工具 ipconfig

使用ipconfig可以在运行Windows且启用了DHCP的客户机上查看和修改网络中的TCP/IP协议的有关配置，例如IP地址、子网掩码、网关等。ipconfig对网络侦探非常有用，尤其是当使用DHCP服务时，可以检查、释放或续订客户机的租约。

ipconfig的命令格式：

ipconfig【/参数1】【/参数2】【…】

若不带参数，可获得的信息有IP地址、子网掩码、默认网关。

ipconfig 命令的参数的作用可在 MS-DOS提示符下用“ipconfig/？”来查看，常用的两个参数如下：

①all：如果使用该参数，执行ipconfig命令将显示与TCP/IP协议有关的所有细节，包括主机名、DNS服务器、节点类型、是否启用IP路由、网卡的物理地址、主机的IP地址、子网掩码以及默认网关等。

②release和renew：这两个选项只能在向DHCP服务器租用IP地址的计算机上起作用。如果输入"ipconfig /release"，立即释放主机的当前DHCP配置。如果输入"ipconfig / renew"，则使用DHCP的计算机上的所有网卡都尽量连接到DHCP服务器，更新现有配置或者获得新配置。

3.网路协议统计工具 netstat和 nbtstat

● netstat

使用netstat 命令可以显示与IP、TCP、UDP和ICMP协议相关的统计信息以及当前的连接情况（包括采用的协议类型、本地计算机与网络主机的IP地址以及它们之间的连接状态等），以得到非常详细的统计结果，有助于了解网络的整体使用情况。

netstat 命令的语法格式：

netstat 【-参数1】【-参数2】【…】

主要参数意义如表7-2所示。

● nbtstat

nbtstat是解决NetBIOS名称解析问题的有用工具。可以使用nbtstat命令删除或更正预加载的项目。

nbtstat命令的语法格式：

nbtstat 【-参数1】【-参数2】【…】

主要参数如表7-3所示。

4.跟踪工具 tracert和pathping

● tracert

tracert命令用来显示数据包到达目标主机所经过的路径，并显示到达每个节点的时间。命令功能同ping类似，但它所获得的信息要比ping命令详细得多，它把数据包传输过程中的全部路径、节点的 IP 以及花费的时间都显示出来。该命令比较适用于大型网络，tracert 命令的语法格式：

tracert【-参数1】【-参数2】【…】目的主机名

主要参数意义如表7-4所示。

● pathping

pathping 命令是一个路由跟踪工具，它将 ping和 tracert 命令的功能和这两个工具所不提供的其他信息结合起来。pathping命令在一段时间内将多个回响请求报文发送到源和目标之间的各个路由器，然后根据各个路由器返回的数据包计算结果。由于该命令显示数据包在任何给定路由器或链接上丢失的程度，因此可以很容易地确定可能导致网络问题的路由器或链接。

pathping命令的语法格式：

pathping【-参数1】【-参数2】【…】目的主机名

主要参数意义如表7-5所示。

7.7.3  故障实例及排除方法

1.不能安装网卡

故障分析：

所谓不能安装网卡，是指在Windows系统中网卡无法正确识别，查看故障来源的步骤如下：网卡与PCI插槽接触是否良好；IO或IRQ是否正确或与别的设备冲突；网卡驱动程序是否正确；系统网络属性设置是否正确。如果还不能解决问题，可以判断为网卡物理性问题。

排除方法：

网卡与PCI插槽的接触问题是很容易被忽略的问题。由于机箱的设计误差、钢板的强度、网卡的做工等因素，造成网卡插入主板PCI槽时主板变形，网卡不能正确地与PCI槽接触，导致通信故障，而且这种问题有可能导致联网时断时续。

一般查看网卡的指示灯可以初步判断网卡与主板是否接触良好，但如果在网卡中插入回路环，在系统中使用ping命令，ping本机IP地址指示灯不闪烁，就可以判定是网卡的问题或接触有问题。

计算机上安装过多其他类型的接口卡，造成中断和I/O地址冲突。可以先将其他不重要的卡拔下来，再安装网卡，最后再安装其他接口卡。或者试着将网卡换一个PCI插槽。

网卡驱动程序不正确也会导致网卡无法正常工作。

2.客户端无法连接服务器（ping不通服务器）

故障分析：

客户端无法连接服务器有下面几种可能：IP地址不在同一网段或子网掩码不同；物理链路不正常。对物理链路问题，需要按照下面的步骤去查看、分析、解决故障：网卡与网线的接触问题；网线与交换机的接触问题；交换机与服务器的连接问题。

排除方法：

对于这种故障的软件设置故障，查看客户机的网络属性即可判断是否IP地址网段不同或子网掩码不同。

物理链路问题的解决方法如下：

（1）检查网线和网卡是否接触良好：将网线拔出，检查水晶头是否压制合格、是否有导线与弹片接触不良，如果怀疑水晶头没压好，需重新压制；然后将网线插入网卡，在主机加电的情况下网卡的指示灯会亮。如果问题还存在，则进行下一步分析。

（2）检查网线中间是否有断路：既可以用测线仪的子母端分别连接网线两头，也可以把网线一端接交换机或网卡（计算机加电），另一端接测线仪母端，若测线仪的1、2、3、6 指示灯闪烁，可以排除网线问题（注意线序）。如果问题还未解决，则进行下一步分析。

（3）检查网线与交换机接触情况：确保客户机加电，网卡的指示灯亮，查看交换机或集线器对应的端口指示灯也应该亮或闪烁。需要特别注意的是，有些集线器长时间工作可能导致有部分端口不正常，可用如下办法判断：接入该集线器的计算机以前工作正常，突然有两台以上计算机不能正常联网，但网卡和集线器的指示灯都正常，ping服务器或其他能正常联入网络的计算机IP地址时提示为"Destination Unreachable"（目标机器无法到达），这时可将集线器的电源切断，停一会后再次接通可暂时解决问题，长远考虑应更换集线器。

3.在查看“网络”时出现“无法浏览网络。网络不可访问。想得到更多信息请查看‘帮助索引’中的‘网络疑难解答’专题”的错误提示

（1）是Windows启动后要求输入Microsoft网络用户登录口令时，单击“取消”按钮造成的。如果要登录 Windows服务器，必须以合法的用户登录，并且输入正确口令。

（2）系统还没有启动完毕，需要等一段时间（视CPU和操作系统的综合处理速度而定），系统才能完成网络设置的初始化和网络中计算机的信息采集。

（3）与其他的硬件有冲突。打开“控制面板”→“系统”→“设备管理”，查看硬件的前面是否有黄色的问号、感叹号或者红色的问号。如果有，必须更改这些设备的中断和I/0地址设置。

4.在"网络"中只能看到本机的计算机名

网络通信错误，一般是网线断路或与网卡接触不良，也可能是集线器有问题。

5.可以访问服务器，也可以访问Internet，但无法访问其他工作站

（1）如果使用了WINS解析，可能是WINS服务器地址设置不当。

（2）检查网关设置，若双方分属不同的子网而网关设置有误，则不能看到其他工作站。

（3）检查子网掩码设置。

6.可以ping通IP地址，但ping不通域名

TCP/IP协议中的“DNS设置”不正确，检查其中的配置。对于对等网，“主机”应输入自己计算机的名字，"域"不需输入，DNS服务器应输入自己的IP地址。对于服务器/工作站网，“主机”应输入服务器的名字，“域”应输入局域网服务器设置的域，DNS服务器应输入服务器的IP地址。

7.网络上其他的计算机无法与我的计算机连接

（1）确认是否安装了该网络使用的网络协议，如果要登录到域，还必须安装 NetBEUI 协议。

（2）是否安装并启用了文件和打印共享服务。

（3）如果要登录到NT服务器网络，在“网络”属性“主网络登录”中，应选择“Microsoft

 网络用户"，并选中"登录到Windows域"复选框，在Windows域中输入正确的域名。

8.安装网卡后计算机启动的速度变慢

可能在TCP/IP设置中设置了"自动获取IP地址"，这样每次启动计算机时，计算机都会搜索当前网络中的DHCP服务器，对于没有DHCP服务器的网络，计算机启动后速度会大大降低。解决的方法是指定IP地址。

9.在"网络"中看不到任何计算机

主要原因可能是网卡的驱动程序或协议工作不正常。必要时可以删除驱动程序，重新安装驱动程序或重新安装协议。

10.别人能看到我的计算机，但不能读取我计算机上的数据

（1）首先必须设置好资源共享。用“网络”→“配置”→“文件及打印共享”，将两个选项全部选中并确定，安装成功后在"配置"中会出现"Microsoft网络上的文件与打印机共享”选项。

（2）检查所安装的所有协议中，是否设置了"Microsoft网络上的文件与打印机共享"。选择“配置”中的协议（如TCP/IP协议），单击“属性”按钮，确保“Microsoft网络上的文件与打印机共享""Microsoft网络用户"已经选中。

11.在安装网卡后，通过"控制面板"→"系统"→"设备管理器"查看时，报告"可能没有该设备，也可能此设备未正常运行，或没有安装此设备的所有驱动程序"的错误信息

（1）没有正确安装驱动程序，或驱动程序版本不对。

（2）中断号与L/O地址没有设置好。有一些网卡通过跳线开关设置，还有一些通过随卡的Setup程序设置。

12.已经安装了网卡和各种网络通信协议，但“文件及打印共享”无法选择

这是因为没有安装"Microsoft网络上的文件与打印机共享"组件。在"网络"属性窗口的配置选项卡中单击“添加”按钮，在“请选择网络组件”对话框中单击“服务”，单击“添加”按钮，在“选择网络服务”的左边窗口中选择“Microsoft”，在右边窗口中选择"Microsoft网络上的文件与打印机共享"，单击"确定"按钮，系统可能会要求插入Windows 安装盘，重新启动系统即可。

13.无法在网络上共享文件和打印机

（1）确认是否安装了文件和打印机共享服务组件。要共享本机上的文件或打印机，必须安装"Microsoft网络上的文件与打印机共享"服务。

（2）确认是否已经启用了文件或打印机共享服务。在“网络”属性对话框的“配置”选项卡中单击“文件与打印机共享”按钮，然后选择“允许其他用户访问我的文件”和"允许其他计算机使用我的打印机"。

（3）确认访问服务是共享级服务。在“网络”属性对话框的“访问控制”选项卡中选中“共享级访问”。

14.无法登录到网络

（1）检查计算机是否安装了网卡，网卡是否正常工作。

（2）确保网络通信正常，即网线等连接设备完好。

（3）确认网卡的中断号和I/O地址没有与其他硬件冲突。

（4）检查网络设置是否有问题。

小   结

随着网络应用的发展，网络在各种信息系统中的作用变得越来越重要，人们也越来越关心网络安全与网络管理问题。本章在讨论网络安全重要性的基础上，系统地介绍了网络安全管理的内容、网络管理应实现的功能、网络管理协议、网络安全的技术、常见的局域网故障的诊断与排除方法。通过本章的学习，应理解网络安全管理的基本内涵，掌握维护网络安全的几种技术，如网络病毒的防范策略、网络黑容的防范手段、防火墙的构建技术等，了解常用的局域网测试命令、故障诊断与排除方法。

习   题

1.网络安全包含哪几方面？

2. OSI管理功能域是如何划分的？

3.网络管理的目的是什么？

4.简述SNMP的网络管理模型的构成。

5.你认为应如何防范病毒的入侵？

6.防火墙有何作用？有了防火墙是否就一定能保证网络安全？

7.简述故障诊断排除的过程。

8.使用“ping”命令连接不通服务器，应从哪些方面查找故障原因？

第七章

1. 外部环境安全、网络连接安全、操作系统安全、应用系统安全、管理制度安全、人为因素影响。

2. 配置管理、故障管理、性能管理、安全管理、记账管理。

3. 为满足用户解决网络性能下降和改善网络瓶颈的需要，根据用户网络应用的实际情况，为用户设计并实施检测方案，从不同的角度做出分析，最终定位问题和故障点，并提供资源优化和系统规划的建议。

4. SNMP的网络管理模型由三个关键元素组成：被管理的设备（网元）、代理（agent）、代理（agent）。

5.略

6. ①控制进出网络的信息流向和信息包；② 提供使用和流量的日志和审计；③ 隐藏内部IP地址及网络结构的细节；④提供VPN功能。

否

7.  网络故障诊断排除的过程一般是：重现故障，分析故障现象，定位故障范围，隔离故障和排除故障

8.  “Ping”不通服务器，可能是以下几种情况：IP地址不在同一网段或子网掩码不同；物理链路不正常。对物理链路问题，需要检查网卡与网线的接触问题、网线与交换机的接触问题、交换机与服务器的连接问题。