文档介绍:接入网络的管理与维护王祥波2003-11-20目录一、问题提出二、接入网络对病毒及***的控制三、网络的动态监控管理四、用户管理五、存在的问题一、问题提出:目前网络在构建的基本结构分为三种结构:核心层、汇聚层、接入层。具体的说:西安信息中心所有的服务器、路由器、交换机属于核心层网络。延安、庆阳、靖边、银川等四大节点的路由器、交换机属于汇聚层设备,统一提供各个地区的网络汇聚。而各种小区宽带网络、ADSL接入、拨号上网等等都属于接入层,是接入用户的最后一段网络。在大量的网络维护工作中,技术人员主要的维护管理核心层和汇聚层,而对于接入层的管理是薄弱的环节。目前各个分公司都在公司的指导下建设小区宽带网络,但是接入层网络并不是核心层能够完全监控的。然而接入层所接入的大量用户在毫无安全措施的情况下将对整个网络形成巨大的安全隐患。鉴于接入网络在网络中所处的位置,直接面对大量的用户,如果在维护管理方面缺乏有效的管理,将对核心网络造成难以预计的后果。同时对于用户权益的保证、通信公司的收益也会产生巨大影响。此外目前各个分公司都在大力加强接入网络的建设,发展用户,随之而来的管理和维护工作将是长期而困难的。接入网络的管理是建立在系统设备基本功能的基础上,辅助以相应的网管系统和用户资料,并要求技术人员能够动态的对网络突发事件作出及时有效的反应,因此技术人员必须了解设备及各种软件,同时在接入网络建设和用户发展过程中必须抓好用户资料的管理。使整个网络做到平稳运行、用户资料有据可查、定期与不定期监控相结合,保证用户的权益和通信公司的效益。接入网络管理的基础:接入网络动态管理(流量监控、软件监控、IP包分析等)用户管理技术支持用户资料网管系统设备支持二、接入网络对病毒及***的控制目前病毒、黑客主要攻击的操作系统是Windows系列及相应的SQLsever数据库等。特别是WindowsXP、Windows2000。由于系统本身的漏洞,可攻击造成可能。对于这些攻击,主要是利用TCP/IP端口进行,因此针对此类攻击的防范方法主要有:1、接入网络的接入交换机S3526(楼层交换机RS2016没有安全功能)在交换机上利用设备本身提供的安全功能:[quidway]system-guradenable通过该功能能够为交换机防范“冲击波”病毒提供一定的防范能力。(S3526虽然具有三层功能,但是对ACL等支持有限,不能提供完全的访问控制功能,因此如果出现大量的端口攻击将造成汇聚层交换机Cisco3550负担沉重。)2、DSLAM系统由于DSLAM系统本身采用Linux系统,采用系统自带的防火墙IPCHain制定相关的策略:/sbin/ipchains-Iinput-picmp-jDENY/sbin/ipchains-Ainput-ptcp--dport135-jDENY/sbin/ipchains-Ainput-ptcp--dport137-jDENY/sbin/ipchains-Ainput-ptcp--dport139-jDENY/sbin/ipchains-Ainput-ptcp--dport593-jDENY/sbin/ipchains-Ainput-pudp--dport69-jDENY/sbin/ipchains-Ainput-pudp--dport1433-jDENY/sbin/ipchains-Ainput-pudp--dport1434-jDENY/sbin/ipchains-Ainput-pudp--dport4444-jDENY该策略主要针对今年爆发的“冲击波”等病毒,135、137等端口都是病毒容易攻击使用的端口。将该配置添加至系统启动文件“”,系统启动配置后,策略生效。3、拨号系统长庆通信公司采用的拨号服务器主要有华为QuidwayRefiner8010及北电A8000。由于技术原因A8000没有提供ACL策略,因此只在Refiner8010实施安全策略:Quidway(config)#firewallenableQuidway(config)#firewalldefaultpermitQuidway(config)#access-(config)#access-(config)#access-list1permittcpanyanyeqsmtpQuidway(config)#access-list1permittcpanyanyeqpop3Quidway(config)#access-list1permittcpanyanyrange2120Quidway(config)