这里小编给大家分享一些ISDNTroubleshooting网络服务器(共含9篇),方便大家学习。这里给大家分享一些ISDNTroubleshooting网络服务器(共含9篇),供大家参考。同时,但愿您也能像本文投稿人“Lsc”一样,积极向本站投稿分享好文章。
使用sh isdn status显示ISDN线路状态, ISDN线路共3层状态 第一层处于激活,说明路由器在ISDN线路上检测到2B1Q编码的帧 第二层如显示Multipe_Frame_Established,说明路由器和交换机第一次握手。 sh controller bri 0 这个命令也同样可以看到ISDN线路是否激
使用sh isdn status显示ISDN线路状态。
ISDN线路共3层状态
第一层处于激活,说明路由器在ISDN线路上检测到2B1Q编码的帧
第二层如显示Multipe_Frame_Established,说明路由器和交换机第一次握手。
sh controller bri 0
这个命令也同样可以看到ISDN线路是否激活。
提示信息是Layer 1 internal state is ACTIVATED
无ISDN信号
在没有接通ISDN线路时。
sh isdn status可以看到第一层处于非活跃状态,
Global ISDN Switchtype = basic-net3
ISDN BRI0 interface
dsl 0, interface ISDN Switchtype = basic-net3
Layer 1 Status:
DEACTIVED
Layer 2 调试
debugisdn q921
这条命令使路由器显示自己和ISDN交换机第二层的所有活动。如TEI协商信息和RR。
D信道监控
sh int bri0
查看BRI接口的D信道状态。BRI物理接口是bri0。因此sh int bri0显示的是D信道状态。
R3#sh int bri0
BRI0 is up, line protocol is up (spoofing)
Hardware is BRI
Internet address is 196.1.1.1/24
MTU 1500 bytes, BW 64 Kbit, DLY 0 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
Last input 00:00:06, output 00:00:06, output hang never
Last clearing of “show interface” counters 00:07:02
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/16 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
13 packets input, 95 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
11 packets output, 75 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 output buffer failures, 0 output buffers swapped out
1 carrier transitions
B信道监控
这里就直接举个例子
R3# sh int bri 0:1
BRI0:1 is down, line protocol is down
Hardware is BRI
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
Keepalive set (10 sec)
LCP Closed, multilink Closed
Closed: IPCP, CDPCP
Last input 00:02:12, output 00:02:12, output hang never
Last clearing of “show interface” counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
65 packets input, 1754 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
65 packets output, 1754 bytes, 0 underruns
0 output errors, 0 collisions, 11 interface resets
0 output buffer failures, 0 output buffers swapped out
3 carrier transitions
===========================================
R3# sh int bri 0:2
BRI0:2 is down, line protocol is down
Hardware is BRI
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
Keepalive set (10 sec)
LCP Closed, multilink Closed
Closed: IPCP, CDPCP
Last input never, output never, output hang never
Last clearing of “show interface” counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 11 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
第三层调试
debug isdn q931
第3层的ISDN流量包含每个B信道的呼叫建立和呼叫挂,
同时可以通过debug ppp auth 查看认证过程。
00:58:26: %ISDN-6-LAYER2UP: Layer 2 for Interface BR0, TEI 65 changed to up
00:58:26: ISDN BR0: TX ->SETUP pd = 8 callref = 0x0A
00:58:26: Bearer Capability i = 0x8890
00:58:26: Channel ID i = 0x83
00:58:26: Called Party Number i = 0x80, '38846302', Plan:Unknown, Type:Unknown
00:58:26: ISDN BR0: RX<- CALL_PROC pd = 8 callref = 0x8A
00:58:26: Channel ID i = 0x89.!!!!!!!!!
00:58:28: ISDN BR0: RX<- CONNECT pd = 8 callref = 0x8A
00:58:28: Date/Time i = 0x020C0C0216
00:58:28: Connected Number i = 0x21833338383436333032
00:58:28: ISDN BR0: TX ->CONNECT_ACK pd = 8 callref = 0x0A
00:58:28: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up
00:58:28: BR0:1 PPP: Treating connection as a callout
00:58:28: BR0:1 CHAP: O CHALLENGE id 8 len 23 from “R3”
00:58:28: BR0:1 CHAP: I CHALLENGE id 6 len 23 from “R5”
00:58:28: BR0:1 CHAP: O RESPONSE id 6 len 23 from “R3”
00:58:28: BR0:1 CHAP: I SUCCESS id 6 len 4
00:58:28: BR0:1 CHAP: I RESPONSE id 8 len 23 from “R5”
00:58:28: BR0:1 CHAP: O SUCCESS id 8 len 4
00:58:28: %LINK-3-UPDOWN: Interface Virtual-Aclearcase/“ target=”_blank“ >ccess1, changed state to up!!!!!!!!!!!!!!!!!!!!!!!
00:58:28: Vi1 PPP: Treating connection as a callout
00:58:29: ISDN BR0: TX ->SETUP pd = 8 callref = 0x0B
00:58:29: Bearer Capability i = 0x8890
00:58:29: Channel ID i = 0x83
00:58:29: Called Party Number i = 0x80, '38846302', Plan:Unknown, Type:Unknown
00:58:29: ISDN BR0: RX<- CALL_PROC pd = 8 callref = 0x8B
00:58:29: Channel ID i = 0x8A
00:58:29: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state to up
00:58:29: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up
00:58:29: ISDN BR0: RX<- CONNECT pd = 8 callref = 0x8B
00:58:29: Date/Time i = 0x020C0C0216
00:58:29: Connected Number i = 0x21833338383436333032
00:58:29: ISDN BR0: TX ->CONNECT_ACK pd = 8 callref = 0x0B
00:58:29: %LINK-3-UPDOWN: Interface BRI0:2, changed state to up
00:58:29: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 38846302 R5!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
00:58:29: BR0:2 PPP: Treating connection as a callout
00:58:29: BR0:2 CHAP: O CHALLENGE id 4 len 23 from ”R3“
00:58:29: BR0:2 CHAP: I CHALLENGE id 4 len 23 from ”R5“
00:58:29: BR0:2 CHAP: O RESPONSE id 4 len 23 from ”R3“
00:58:29: BR0:2 CHAP: I SUCCESS id 4 len 4
00:58:29: BR0:2 CHAP: I RESPONSE id 4 len 23 from ”R5“
00:58:29: BR0:2 CHAP: O SUCCESS id 4 len 4!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
00:58:30: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:2, changed state to
第三层调试 2
show dialer 是第3层连接故障的另一个诊断方法。
show dialer map显示所有动态和静态的拨号映射命令。
R3#sh dialer
BRI0 - dialer type = ISDN
Dial String Successes Failures Last DNIS Last status
38846302 2 0 00:05:39 successful
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.
BRI0:1 - dialer type = ISDN
Idle timer (120 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (15 secs)
Dialer state is idle<
原文转自:www.ltesting.net
很多网管都碰到过这样一些难堪的事,因为服务器的安全漏洞问题,导致其中数据的丢失、权限被非法取得、或者被那些刚刚懂得一点点网络安全知识的菜鸟们指出服务器有这样那样的缺点,被搞得很没面子,其实我也遇到过这样的问题。后来,随着工作中的研究和探讨,逐渐发现这些安全隐患的存在原因以及解决办法。在这里拿出来跟大家探讨一二。网络服务器主要是指那些存放网站数据的WEB服务器、DATA服务器、DNS服务器和MAIL服务器而言。WEB服务器的问题已经说过不少了,在这里就主要谈谈DATA服务器、DNS服务器和MAIL服务器的问题。
一、DATA服务器
先来看看DATA服务器。它主要是存放数据库的服务器(废话)。以SQL数据库为例,从安全角度考虑,SQL服务器与BACKOFFICE组件中的所有程序一样,都是以Windows NT Server为基础,利用了Windows NT Server 自身拥有的安全性能。而且,当你将SQL服务器与Internet 相连时,为保证你数据的安全性和完整性,有些事情你需要特别考虑。
1. 支持SQL服务器的Internet Database Connector(简称IDC)的安全性
在通常情况下,数据库的开发者在使用IDC来处理SQL服务器数据时,就应该考虑对你的数据库实施必要的保护措施。有哪些是必须要做到的呢!根据我的一些经验,以下几点是需要考虑的:
1) 使用NTFS分区。
2) 给予用户执行日常任务所必需的最低等级的访问许可权。
3) 强制执行口令和登录策略。
4) TCP/IP过滤。
5) 防火墙及代理服务器。
通过以上几步措施,你的SQL服务器已经具备初级的安全防范的功能。但是这些是远远不够的,因为高级的网络入侵者往往能够绕过这些防御。那么我们就需要进一步提高服务器的安全性能。用户必须得到访问.IDC和.HTX文件的许可权才能处理数据,如果你赋予匿名访问权,那么IUSR_计算机为匿名访问设定的账户必须拥有访问这些文件的许可权。这里必须提出的是,Windows NT用户名必须严格符合SQL服务器综合性安全命名原则。下划线、美元符号和英镑符号都不允许使用(这意味着不能使用缺省的账户IUSR_计算机名进行SQL服务器访问 )。另外IDC文件对于SQL数据库有效用户口令的保护等措施也是很必要的。
2. IIS本身的安全性问题
这个话题相信很多朋友看了都会感到很熟悉。在这里,我只想讨论一下IIS的SQL Web Assistant的问题。通过使用 SQL Web Assistant 也可以多少地保证你的 Microsoft Exchange 服务器、Internet信息服务器和SQL的安全。一般来讲,只要您正确使用配置好SQL Web Assistant,都能够比较理想地达到SQL数据库的安全保障。
二、DNS服务器
DNS服务器是Internet上其它服务的基础,它处理DNS客户机的请求:将名字与IP地址进行互换,并提供特定主机的其它已公布信息(如MX记录等),
一般而言,网管们碰到的大多会有以下几种情况。
1.名字欺骗。当主机B访问主机A(同时也作为DNS服务器)如执行rlogin时,A接收到这个连接并获得发起本次连接主机B的IP地址。为验证本次连接的合法性,主机A就向本地DNS服务器逆向查询对应于这个IP地址的主机名字。当返回查询结果主机名B为本机所信任的主机时,就允许来自B的远程命令rlogin。下面我们再来看看主机D是如何利用验证漏洞来欺骗主机A的。当主机D也执行rlogin时,主机A同样要验证本次连接的合法性。如果A不能根据D的IP在本地DNS服务器中查询到对应的主机名时,就会向其它DNS服务器发出请求,最后终会找到DNS服务器C。如果入侵者修改DNS服务器C中对应于自己IP地址的主机名为主机B时,主机A就会获得对应于D的IP地址的主机名是B的逆向查询结果,因此主机A认可本次连接。于是欺骗A成功。
2.信息隐藏。当某个企业由于保密等原因的需要,给某些特定主机以特定的内部主机名,而这些主机密码又被入侵者获取时,存放保密数据的服务器主机就会完全暴露。
解决以上两个问题的办法主要有两种:
1.直接利用DNS软件本身具备的安全特性来实现;
2.以防火墙/NAT为基础,并运用私有地址和注册地址的概念。简而言之就是将内部DNS服务器和外部DNS服务器进行物理分开,内部DNS服务器解析私有的IP,而外部DNS则解析公开的IP。内部主机使用私有地址;对Internet服务的主机用NAT完成注册地址到其私有地址的静态映射;访问Internet的主机用NAT完成其私有地址到注册地址的动态映射。
三、MAIL服务器
MAIL服务器一直因其安全性而成为广大网友抱怨的对象。的确,从理论上讲,MAIL服务是一种不安全的服务,因为它必须接受来自INTERNET的几乎所有数据。Internet上,服务器间的邮件交换是通过SMTP协议来完成的。主机的SMTP服务器接收邮件(该邮件可能来自外部主机上的SMTP服务器,也可能来自本机上的用户代理),然后检查邮件地址,以便决定在本机发送还是转发到其它一些主机。Unix系统上的SMTP程序通常是Sendmail。有关Sendmail的安全问题重要的原因在于它是一个异常复杂的程序,而另一个原因是它需root用户特权运行。
解决的方法大致有三种:
1. 使用Unix系统自带的安全特性;
2. 使用代理;
3. 直接修改源码。
以上是对网络服务器安全问题及其解决办法的一些初步探讨。其实,关键的问题还是在于网络管理员对网络安全意识的建立和实施。因为多数网络安全事件的发生,都是因为网络管理员安全意识的缺乏和防范措施实施的不到位。
针对校园服务器而言,经过一个学期长时间的运行,服务器中的各种系统已经紊乱,这时恐怕就得重新安装操作系统或应用软件了,以下我们将讲解软件维护过程中所需注意的一些问题。
安装前的准备
在进行操作系统维护之前需要将必要的数据备份出来。备份的方法可以使用额外的硬盘,也可以将数据用刻录机备份出来。另外,在重新安装系统之前,需要检查硬件是否工作正常,从网上下载最新的硬件驱动程序安装盘(光盘或软盘),否则系统很可能将无法安装成功。尤其是某些RAID卡的驱动程序,一定是要有软盘介质的支持,因为在安装操作系统时会要求你插入驱动盘。
操作系统的安装
在确认万事俱备之后,就可以重新安装操作系统了。首先需要将硬盘格式化,用操作系统的启动盘启动系统之后,运行格式化命令就可以了。如果有必要,可以重新把硬盘分区,但是千万不要进行低级格式化硬盘,除非确认硬盘有坏道。
在格式化硬盘之后,就把操作系统安装上,安装操作系统的具体操作过程这里就不再讲了。安装完操作系统之后,再把显卡、网卡、SCSI卡、主板等设备的驱动程序安装上,使操作系统正常运行就可以了。
另外,需要提醒一下,在安装完操作系统之后,记住一定要下载并安装最新的操作系统的补丁,这样就能够保证服务器的安全漏洞是最少的。
网络服务的设置和启动
仅仅安装完操作系统是不行的,此时的服务器还没有提供各种网络服务,因此需要对服务器进行一系列的设置。下面介绍几种特别重要的网络服务。
1、DNS服务
DNS(域名解析系统)是基于TCP/IP的网络中最重要的网络服务之一,最主要的作用是提供主机名到IP地址的解析服务。在Windows Server组成的网络中,DNS服务居于核心地位,如果没有DNS,Windows 2000网络将无法工作。所以在windows 2000网络中,至少要有一台Dns服务器。
2、域控制器
在Windows NT/2000中有“域”的概念。带有“域”的网络能够实现“单一账号单录,普遍资源访问”,也就是说只要在域控制器上有一个合法账号,就可以访问域中其他的服务器的资源。如果没有域控制器,只能构成一个对等网。对等网在权限控制、资源管理上是很麻烦的。因此首先要在网络中安装域控制器;如果网络中已经有了域控制器,可以不必再安装域控制器,但可以将这台服务器设置成备份域控制器,当一台域控制器出故障的时候,另外一台域控制器可以接替它的工作。
3、DHCP服务
DHCP(动态主机配置协议)是服务器向其他客户机提供IP地址以及其他网络服务的IP地址(如DNS、默认网关的IP地址等)的网络服务。数量在几十台以上的计算机网络中,使用DHCP会带来很大的方便,客户机的IP地址、DNS的IP地址、默认网关的IP地址等都可以实现自动分配,这会大大降低网络的管理难度,
除非只有几台计算机,否则都应该采用DHCP。
4、Web服务
Web服务是服务器提供的基本功能,尤其是在校园网中,怎么可能没有校园主页呢?在将校园网主页的数据复制到服务器中之后,需要重新设置一下Web服务,使校园网主页能够正常运转。
应用系统的安装
基本网络服务安装、设置完成之后,需要安装各种服务器应用系统。下面介绍几种必需的应用系统。
1、E-mail服务
E-mail是网络中使用频率最高的网络服务之一,因此E-Mail服务器不可缺。邮件服务器软件有许多,在Windows NT/2000中,用的最多的当然是Exchange Server了;在Linux中,最常用的邮件服务器软件是Sendmail。由于篇幅所限,具体的安装和设置就不讲了。
2、数据库服务
数据库服务也是服务器中经常提供的服务,许多应用系统都在数据库服务器的基础上进行。在Windows NT/2000网络中,最常用的数据库服务系统是MS SQL Server;在Linux中,最常用的数据库服务系统是My SQL。也可以使用Oracle等大型数据库系统。
3、代理服务
目前,许多学校使用代理服务器联入互联网,这样可以节省大量的互联网接入费用。常见的代理服务器软件有SyGate、WinGate、MS Proxy等。有的软件不仅需要在服务器端安装,也需要在客户端安装,因此在安装的时候,要保证客户端与服务器端的一致。
4、其他应用系统
安装了以上这些服务是远远不够的,因为校园服务器上还要运行其他应用系统,比如教育教学资源库、校园管理系统、电子图书馆、电子备课系统等。这些软件的安装各有不同,按照说明书一步一步进行就可以了。
OK,经过以上一系列的步骤,现在焕然一新的服务器又重新出现在您的面前了。相信整装待发的服务器将在下一学期的工作中会有更好的表现。
专家提示
1、安装前的准备
在重新安装操作系统之前,首先要确定是否需要重新安装。如果需要,那么要确定操作系统的版本,数据库、Web服务、邮件服务等应用程序的版本,要确定是否用当前的版本,还是升级。之后,准备操作系统、补丁程序、应用程序,准备驱动程序,最好使用厂家提供的驱动。
备份数据的方法有许多种,在校园网中很实用的办法是网络备份,或者用磁带机备份。备份时,要区分文件系统、数据库,文件系统备份很简单,Copy即可, 数据库备份不能简单地Copy,要用数据库下的备份工具来备份,或者用专用的备份软件来备份,例如Veritas、IBM、CA、NETAPP等公司的备份管理软件。
2、操作系统的安装
如果硬盘以前是安装UNIX,硬盘的分区不是FAT分区,而是VFS、E2FS、E3FS等分区;或者硬盘做过RAID,硬盘的前16K字节会保存RAID的设置信息,这时候为了保证系统安装不会受到干扰,要求清除这些信息。可以用一个小工具来彻底清除系统分区信息,它就是Clear程序,这个小程序能够彻底清除
Inside network: 3.3.3.4 (static to 2.2.2.24 outside) 3.3.3.5 (static to 2.2.2.25 outside) | | | 3.3.3.1 (ethernet 0) Router - the_lorax 2.2.2.1 (serial 0) | | | Outside network: 2.2.2.2 Router Configuration version 11.3 service timestamps
Inside network:
3.3.3.4
(static to 2.2.2.24 outside)
3.3.3.5
(static to 2.2.2.25 outside)
|
|
|
3.3.3.1 (ethernet 0)
Router - the_lorax
2.2.2.1 (serial 0)
|
|
|
Outside network:
2.2.2.2
Router Configuration
version 11.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname the_lorax
!
enable secret 5 $1$qTEA$EiD5izUJ9cNhgKMjMLAbI/
enable password ww
!
username john password 0 doe
! The timeout here is idle-timeout
username john autocommand aclearcase/” target=“_blank” >ccess-enable host timeout 2
ip nat pool net-208 2.2.2.10 2.2.2.20 netmask 255.255.255.0
ip nat inside source list 1 pool net-208
ip nat inside source static 3.3.3.5 2.2.2.25
ip nat inside source static 3.3.3.4 2.2.2.24
!
!
interface Ethernet0
ip address 3.3.3.1 255.255.255.0
ip nat inside
no mop enabled
!
interface Ethernet1
no ip address
shutdown
!
interface Serial0
ip address 2.2.2.1 255.255.255.0
ip access-group 102 in
ip nat outside
no ip mroute-cache
no fair-queue
clockrate 125000
!
interface Serial1
no ip address
shutdown
!
access-list 1 permit 3.3.3.0 0.0.0.255
access-list 102 permit tcp any host 2.2.2.1 eq telnet log-input
! The timeout here is absolute timeout
access-list 102 dynamic testlist timeout 5 permit ip any host 2.2.2.24 log-input
!
!
line con 0
line aux 0
line vty 0 4
password ww
login local
!
end
原文转自:www.ltesting.net
在网络建好后,如何维护好一个庞杂的计算机网络、保障它的正常工作呢?下面介绍一款可以免费下载的网络管理软件SiteView,它可以帮助实现网络的自动化、管理的智能化,
安装及设置SiteView通过模拟网络管理人员的日常操作,可以管理网络中的三部分内容,即:服务器、网络设备(如防火墙、交换机等)和网络应用(如数据库、WWW服务、VOD服务、邮件服务以及电子备课系统等)。
SiteView系统简单明了,易于使用。用户可以到网上下载SiteView的免费版本,并可很快地将SiteView安装在windows 环境下。
安装成功后,启动SiteView主界面窗口,在主界面窗口中登录 (初次登录用户名为“admin”,保密字为空)。进入系统后可以对系统进行配置。
添加监测组
首先是添加监测组。监测组的划分可以根据管理的需要来安排,每一个管理组内可以包括各种监测目标(或叫监测器,即Monitor),请见图1。可以给您的监测组起一个好记且有意义的名字,比如“服务器监测组”或“网络交换机监测组”等等。完成命名后“保存”即可,高级选型的内容可以根据使用情况填写,也可以省略不填,请见图2。
图1 监测组和监测器 图2 添加监测组添加监测器如图1所示,监测器(Monitor)的添加可以从30多种监测(服务器、网络设备和应用)中任意选择。SiteView管理员可以从图3的监测器列表中点击选择所需的监测器。
图3 选择添加监测器监测器添加页面列出了监测器的类型和功能,系统的在线帮助也可以解答您在使用中的问题,
例如,添加一个服务器主机的CPU监测器,可以用以下步骤实现:
1、在Monitor列表中选择“CPU”。
2、在 CPU监测的页面中选择索要监测的服务器,并定义监测频率和给出服务器监测目标名。请见图4。
图4 服务器CPU监测器配置举例3、高级选项可供用户选择监测的“执行计划”(是否是7×24小时执行)、报告方式、报警方式。
报警的设置
系统的监测状态分为三种,即正常、警告和错误,分别用绿色、黄色、红色表示。设置报警首先要设置警告的“阈值”。如图5所示,在CPU的监测中可设定,若CPU使用率大于95%为出错,大于80%为“危险”状态即发出警告,80%以下为正常。
图5 报警阈值配置举例打开警报列表,系统管理员可以添加新警报。警报(Alarm)的添加可以根据警告的三个级别(错误、危险、正常)和警告发布的四种方式(E-mail、手机短信、声音、脚本)进行配置,如图6所示。
图6 警告的级别和报警方式通过这样的配置,管理员可以在SiteView的主控制窗口中一目了然地了解网络系统的状态,对网络设备、应用和网络服务器进行全面管理。
图7是SiteView非常直观的主控界面,每一个点代表一个被监测组件,分别用绿色、黄色、红色代表不同组件的正常、警告和错误的运行状态。SiteView还具有监测子组设置、用户管理、超级窗口和远程管理等功能,网络管理员不妨下载免费版本亲自试试。
图7 直观的主控界面这篇文章是本人对平时对服务器网络安全的一些接触而总结下来的一些心得,是一些基本的常识,适合入门级的服务器管护人员阅读,希望不会在老资历的技术员面前见笑,
首先,我们可以分析一下,对网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病病毒等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。
基于windows做为操作系统的服务器在中国市场的份额以及国人对该操作系统的了解程度,我在这里谈谈个人对维护windows网络服务器安全的一些个人意见。
如何避免网络服务器受网上那些恶意的攻击行为。
(一) 构建好你的硬件安全防御系统
选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问,
(二) 选用英文的操作系统
要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许 、病毒就利用这段时间入侵了你的系统。如何防止网络服务器不被 入侵:
首先,作为一个 崇拜者,我想说一句,世界上没有绝对安全的系统。我们只可以尽量避免被入侵,最大的程度上减少伤亡。
(一) 采用NTFS文件系统格式
大家都知道,我们通常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使 通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。
为了便于理解,我们把DHCP客户机比做餐馆里的客人,DHCP 服务器 比做服务员(一个餐馆里也可以有多个服务员),IP地址比做客户需要的食物,可以这样描述整个过程: 客人走进餐馆,问:“有没有服务员啊?”(DHCP discover), 多个服务员同时回答:“有,我
为了便于理解,我们把DHCP客户机比做餐馆里的客人,DHCP服务器比做服务员(一个餐馆里也可以有多个服务员),IP地址比做客户需要的食物。可以这样描述整个过程:
客人走进餐馆,问:“有没有服务员啊?”(DHCP discover),
多个服务员同时回答:“有,我这有鸡翅”“有,我这有汉堡”(DHCP offer),
客人说:“好吧,我要一份汉堡”(DHCP request,这个客人比较死板,总是选择第一次听到的食物),
端着汉堡的服务员回应了一声:“来啦”(DHCP ack),并把食物端到客人面前,供其享用(将网卡和IP地址绑定)。
客人下次来的时候,就直接找上次那个服务员点自己喜欢的汉堡了(DHCP request),如果还有汉堡,服务员会再次确认并上菜(DHCP ack),而如果已经卖完了,服务员则会告诉客人:“不好意思,已经卖完了”(DHCP nack)。
当然,服务员隔一段时间会来收拾一次桌子,除非客人特别说明这菜还要继续吃的,服务员会将剩菜端走。
原文转自:www.ltesting.net
服务器是网络环境下为客户提供某种服务的专用计算机,因为服务器在网络中是连续不断地工作的,且网络数据流在这里形成了一个瓶颈,所以服务器的数据处理速度和系统可靠性要比普通的计算机高得多。普通计算机死机了大不了重新启动,而服务器的当机有可能造成数据的大量丢失和整个网络的瘫痪,造成无法挽回的损失。
网络服务器根据不同的分类标准可以分为许多种。
1、按网络的规模分为工作组服务器、部门级服务器和企业级服务器。它们的硬件配置、可靠性、数据处理速度依次升高,可以应用在几十台、上百台、数百台等规模的网络上。它们目前的价格一般在 1-3 万、3-5 万、6-10 万不等(价格仅供参考)。
2、按 CPU 技术构架可以分为 CISC 构架的服务器和 RISC 构架的服务器,
CISC 构架的服务器即 采用 Intel CPU 技术 的 PC 服务器;而 RISC 服务器指采用了非 Intel 技术的服务器,如采用 PowerPC、Alpha、RA-RISC、Sparc 等 RISC CPU 的服务器。RISC 构架服务器的性能比 CISC 服务器的性能高得多,在大型的、关键的领域中应用的比较多。但是近年来随着 PC 技术的迅速发展,IA 构架服务器的性能正在接近RISC 服务器的性能。
3、按用途分为通用型服务器和专用型服务器。目前大多数的服务器为通用型服务器。
4、按外观分为台式服务器和机架式服务器。台式服务器有类似普通 PC 机的机箱,我们见的比较多。而机架式服务器更像个交换机,有 1U(1U=1.75英寸)、2U、4U 等规格。机架式服务器安装在标准为 19 英寸的机柜里面。
首先,我们可以分析一下,对网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器,所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。
(一) 构建好你的硬件安全防御系统
选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问。
(二) 选用英文的操作系统
要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许 、病毒就利用这段时间入侵了你的系统。
如何防止网络服务器不被 入侵:
1 采用NTFS文件系统格式
大家都知道,我们通常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限,
把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使 通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。
2 做好系统备份
常言道,“有备无患”,虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
3 关闭不必要的服务,只开该开的端口
关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向 透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000.69端口告诉 你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对 的入侵都提供了很大的帮助。此外,开启的端口更有可能成为 进入服务器的门户。
总之,做好TCP/IP端口过滤不但有助于防止 入侵,而且对防止病毒也有一定的帮助。
4 软件防火墙、杀毒软件
虽然我们已经有了一套硬件的防御系统,但是“保镖”多几个也不是坏事。
5 开启你的事件日志
虽然开启日志服务虽然说对阻止 的入侵并没有直接的作用,但是通过他记录 的行踪,我们可以分析入侵者在我们的系统上到底做过什么手脚,给我们的系统到底造成了哪些破坏及隐患, 到底在我们的系统上留了什么样的后门,我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话,你还可以设置密罐,等待 来入侵,在他入侵的时候把他逮个正着。
★ 网络服务器安全
