目前,网络安全已开始从信息安全转向信息保障,从被动的预防向主动保护过渡。国内的信息保障虽已提上日程,但从理论走向应用还需要一个过程,这个过程的长短和企业信息化的进程息息相关。
企业网络的监控和维护涉及到方方面面,有制度规范上的,也有技术手段上的。监控和维护是一个机制,不是简单的排错过程。先从制度规范上来说,对于管理企业交换核心的信息技术部门必须有一套完整的网络规划方案、资料保密制度、网络参数档案、部门间协调方案、维护人员岗位职责说明和技术培训计划等。
网络维护遇到的问题:
1、网络设备的硬件维护
一般来说网络设备的质量还是很有保证的,但不能排除故障的可能性,故障可能发生在整套设备的背板,或设备的某个模块上,也可能是设备的电源或风扇。特别要说明的是,机房的环境对网络设备的影响很大,如温度、湿度、噪音、接地和灰尘。例如如果灰尘积累造成设备通风不畅,很容易使设备的电源或风扇损坏,从而造成设备停止运转或设备组件温度升高,设备运转不稳定,加速老化。所以必须定期进行网络设备的除尘工作。再看电源问题,某些综合信道服务设备/数据服务设备(dsu/csu)对电源有一定的要求,如果电压达不到设备的技术参数,可能会对通信的质量造成影响,甚至造成通信中断。当然我们还可以通过系统命令和管理软件直接监控设备的运转状态(如在cisco的设备上可通过show controller,show environment all,show log等命令组合或使用cisco view软件实时观察和监控设备的状态)。
2、网络设备的软故障排除
网络设备通过自身携带的系统算法实现存储转发和路径选择,不同的系统版本对硬件的要求和能达到的功能各不相同,有些系统命令在不同版本下的表现形式也有差异,可能在某些特殊版本中根本得不到支持(如在cisco设备上可以通过show version命令获得硬件配置信息和系统版本信息)。
设备的配置出错是导致软故障的最主要原因。配置涉及到人的因素,对系统功能和网络各种协议的理解会直接影响到设备配置的方式方法。网络配置的失误可能会引发环路,对于路由器来说,配置可能涉及到选用的路由协议(如ospf,eigrp)、IP地址网段的分配、路由汇总和转发、链路封装协议选择等,如果存在相同目的的多条链路,还要考虑负载均衡或策略路由,制定路由优先级。对于交换机来说,配置可能涉及到端口设置,vlan划分,冗余线路,特别在配置生成树或trunk时要仔细。
另外,对于广域网,维护人员还应该不定期查看路由表,对于局域网,维护人员应特别注意广播风暴,可使用适当的网络探测工具进行监察。
3、机房的布线系统(水平布线和垂直布线)
布线系统主要考虑选用合适的线槽,线路的长短,线路干扰源等。如果线路受到干扰,会导致CRC增多,网络速度明显减慢,源主机被迫进行数据重发,在特殊恶劣的外部环境下,网线等传输介质也有可能被损坏,致使通信中断。
在机房配线架上应该针对不同的网段或接驳的主机进行网线编号或采用不同颜色的网线,网线的具体标注对于快速检查和排除故障十分有用。通过fluke或cable tester工具可以检测网线等通信介质的质量。当然在进行水平或垂直布线时,应该多预留备用线路,维护小组也可以准备一些长距离网线以备应急使用。
4、网络的安全性设置
网络安全性主要分为局域和广域两级。局域网主要考虑交换机接入端口是否使用了用户工作站mac地址限制,用户vlan的划分是否合理,每一个设备是否设置了口令,是否在网络设备上设置访问列表,共享的目录是否只开放给特权用户等。维护人员应定期核查清理网络用户的权限,根据部门的需要检查用户权限是否分配合理,一些长时间没有使用的用户账号应暂时封存;在数据库服务器中打开审计功能,定期查看服务器的日志记录;定期进行系统内部的静态杀毒。
广域的安全性主要考虑路由器是否设置控制列表,防火墙是否进行了地址过滤,地址转换,拨入设备是否使用了安全认证等。每一次设置的改变都必须和远端用户进行协商和测试。特别应该注意的是,某些关键性网络设备的口令不能随意存放,应该保留在信息部门主管和设备配置当事人手中,任何其他维护小组成员索要口令都必须经过主管的批准。
5、局域网内部服务器或工作站的工作状态
服务器和工作站的网卡是与网络打交道的主要设备。这里主要考虑网卡自身的质量和驱动能力,以及网卡的设置是否和接入设备端口的设置相吻合。考虑到服务器的特殊重要性,维护小组可以使用网卡冗余技术,就是在设备上安装两块网卡,分别接入两台交换机,进行适当的配置后,可以达到负载均衡和冗余备份的效果。
工作站如果配置了网关,或将通往0.0.0.0网络的路径指向一台路由器,那么当工作站安装了某些不断向不在本地路由表中的网络地址发送信息的软件时,可能会加重企业内部广域链路的负荷,影响网络系统的正常运行。
