• 583.00 KB
  • 2022-04-29 13:54:47 发布

IT培训学习资料计划书.doc

  • 28页
  • 当前文档由用户上传发布,收益归属用户
  1. 1、本文档共5页,可阅读全部内容。
  2. 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领,认领后既往收益都归您。
  3. 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
  4. 文档侵权举报电话:19940600175。
'IT培训学习资料计划书第一章目前IT主流技术一、影响IT未来发展的五个IT新技术方向计算机和软件技术日新月异,作为一名合格的IT工程师,必须善于学习,及时了解和掌握新技术、新方法。然而新技术、新方法总是层出不穷,常常让IT人员无所适从,疲惫应付。下面我想谈谈我对新技术、新方法的一个归类性的介绍,以使大家心中有一个全局的把握,并理清自己感兴趣的方向,从而作进一步研究,专注而专业地从事IT工作。  1、信息安全新技术  主要包括密码技术、入侵检测系统、信息隐藏技术、身份认证技术、数据库安全技术、 网络容灾和灾难恢复、网络安全设计等。随着网络时代的到来,网络已经改变了人们的生活和工作方式。互联网技术、无线网络技术以及信息化的不断深入和发展,已经出现了在线购物、在线炒股、手机银行及网上办公等各种各样的信息应用。这些技术和方法是任何一位从事信息安全相关工作的人士必须具备的知识。  2、信息化新技术  信息化新技术主要涉及电子政务、电子商务、城市信息化、企业信息化、农业信息化、服务业信息化等。例如根据国家的信息化指导方针,城市信息化必须与工业化结合进行,城市信息化必须以工业化为基础,在推进工业化的基础上推进信息化,因此,工业化就成为信息化的应用基础。  3、软件新技术  软件新技术主要关注嵌入式计算与嵌入式软件、基于构件的软件开发方法、中间件技术、数据中心的建设、可信网络计算平台、软件架构设计、SOA与RIA技术、软件产品线技术等。随着对象技术与分布式计算技术的发展,两者相互结合形成了分布对象计算,并发展为当今软件技术的主流方向。  4、网络新技术  网络新技术包括宽带无线与移动通信、光通信与智能光网络、家庭网络与智能终端、宽带多媒体网络、IPv6与下一代网络、分布式系统等。虽然有线的资源是无限,而无线资源是有限,但以WLAN为代表的无线宽带网技术将无线和有线无缝地结合起来,从而创造出无限资源和无限应用。  5、计算机新技术28   计算机新技术主要关注网格计算、人机接口、高性能计算和高性能服务器、智能计算、磁存储技术、光存储技术、中文信息处理与智能人机交互、数字媒体与内容管理、音视频编/解码技术等。其中网格技术有一个角度是发展IPv6,将地址空间由32位扩展到128位,这样,原来有限的IP地址将变得无限丰富;另一个角度是发展网格技术,更好地管理网上的资源,将之虚拟成为一个空前强大的一体化信息系统,在动态变化的网络环境中,共享资源和协同解决问题,从而让用户从中享受可灵活控制的、智能的、协作式的信息服务,并获得前所未有的使用方便性和超强能力。一、ITIL(信息技术基础架构库)2.1什么是ITIL(信息技术基础架构库)ITIL即IT基础架构库(InformationTechnologyInfrastructureLibrary,ITIL,信息技术基础架构库)由英国政府部门CCTA(CentralComputingandTelecommunicationsAgency)在20世纪80年代末制订,现由英国商务部OGC(OfficeofGovernmentCommerce)负责管理,主要适用于IT服务管理(ITSM)。ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。ITIL(ITInfrastructureLibrary信息技术基础架构库)是CCTA(英国国家计算机和电信局,现在已经并入英国商务部OGC)于20世纪80年代末开发的一套IT服务管理标准库,它把英国各个行业在IT管理方面的最佳实践归纳起来变成规范,旨在提高IT资源的利用率和服务质量。ITIL最初是为提高英国政府部门IT服务质量而开发的,但它很快在英国的各个企业中得到了广泛的应用和认可。目前已经成为业界通用的事实标准。是目前业界普遍采用的一系类IT服务管理的实际标准及最佳实践指南,包含着如何管理IT基础设施的流程描述;它以流程为向导、以客户为中心,通过整合IT服务与企业服务,提高企业的IT服务提供和服务支持的能力和水平。ITIL可以引导组织高效和有效地使用技术,让既有的信息化资源发挥更大的效能。2.2ITIL的发展历程20世纪80年代后期ITIL由英国计算机和电信中心CCTA(2001年4月并入英国政府商务办公室OGC)提出,在英国开始应用。20世纪90年代初期ITIL被引入欧洲其他国家,成为了事实上的欧洲IT服务管理标准。20世纪90年代后期ITIL被引入美国、南非和澳大利亚等国。2001年OGC开始更新ITIL,英国标准化协会BSI正式发布以ITIL为基础的IT服务管理英国国家标准BSI5000。2002年BSI15000正式被提交给ISO,有望2006年成为国际标准。21世纪初,ITIL引入中国,在中国掀起了IT服务管理的热潮,中国IT服务管理时代已经来临。2003年中国北京成立首个中国IT服务管理专业委员会:中国信息化推进联盟-IT服务专业委员会。2.3为什么要导入ITIL1.困扰企业管理层的IT管理问题:2.企业一方面每年有大量成本投入信息化建设3.另一方面现有资源的利用效率总是不高4.如何使已有的信息化资源发挥更大效能5.如何使IT与企业业务紧密整合6.如何规范企业IT服务管理,已成为决定企业能否在激烈的竞争中领先的重要课题28 1.在企业内部,一方面管理层对IT部门提出了可度量IT投资回报的要求,而业务部门则对IT服务质量和可用性提出了更高的要求2.4导入ITIL的收益1.提高IT服务水平2.减少重复工作和冗余工作,有效利用人力资源3.提高IT员工的专业素质,提高员工的服务能力和工作效率4.规范IT部门的服务水平,规范工作流程,降低由人事变动导致的风险5.提高IT服务的可用性、可靠性和安全性,为业务用户提供高质量的服务6.有效控制IT部门的开支,降低IT运营成本,减少运营风险7.从总体上提高企业IT投资的回报,给企业带来巨大的经济价值,提升企业的综合竞争力  自20世纪80年代中期英国商务部提出信息技术基础架构库(ITIL)以来,ITIL作为IT服务管理事实上的国际标准已经得到了全球几乎所有IT巨头的全力支持。IBM、惠普、微软、CA、BMC、ASG等著名跨国公司作为ITIL的积极倡导者,基于ITIL分别推出了实施IT服务管理的软件和实施方案。ITIL在欧洲、北美、澳洲已得到广泛应用,全球1万多家在各行业处于领先地位的著名企业给我们带来了众多实施ITIL的成功案例,通过实施ITIL大大改进了企业IT服务的质量,促进了IT与业务的融合。  荷兰政府首先在该国所有政府部门采用该标准,并取得了巨大的效益;之后英国政府和澳大利亚国防部也相继宣布采纳该标准;宝洁公司(Procter&Gamble)于1997年起采用ITIL模式后,4年内共节约预算资金达5亿美元,使运营成本削减8%,技术人员减少20%;  近年来,ITIL在全球的发展更是异常迅猛。比如说在美国,2001年第一次举办itSMF年会的时候只有200人参加,到第二年就有800人参加,2003年的第三次年会甚至有超过1600人参加!  ITIL在国外特别是欧美地区可以说是呈现出一种“热火朝天”的景象,那么其在国内的发展状况又是如何的呢?ITIL最早是1999年被引入中国的。在被引入的前3年,由于了解它的单位不多,这方面的成功案例也相当有限,所以在国内处于一种不愠不火的状态。但是从2002年开始,ITIL在国内开始受到越来越多的关注。特别是在2003年,ITIL在国内的发展历程中出现了多个第一:翰纬IT管理研究咨询中心出版了第一本中文ITIL专著、《中国计算机用户》周刊创办了中国第一个IT服务管理专栏、第一个面向ITIL的门户网站“ITSM资讯网”,也在翰纬IT管理研究咨询中心和ITSMPORTALInternational的合作下正式创办。2.5ITIL的特点  1、公共框架  ITIL由世界范围内的有关专家共同开发,它也可由世界上任何组织免费使用以及利用ITIL开展有关业务。  2、最佳实践框架  ITIL是根据实践而不是基于理论开发的:OGC收集和分析各种组织解决服务管理问题方面的信息,找出那些对本部门和在英国政府部门中的客户有益的做法,最后形成了ITIL。  3、事实上的国际标准28   虽然ITIL当初只是为英国政府开发的,但是在20世纪90年代初期,它很快就在欧洲其它国家和地区流行起来。目前,ITIL已经成为世界IT服务管理领域事实上的标准。  4、质量管理方法和标准ITIL内含着质量管理的思想。组织在运用ITIL提供的流程和最佳实践进行内部的IT服务管理时,不仅可以提供用户满意的服务从而改善了客户体验,还可以确保这个过程符合成本效益原则。2.6ITIL的整体架构IT服务管理实施规划(PlanningtoImplementServiceManagement)——为客户如何确立远景目标,如何分析现状、确定合理目标并进行差距分析和如何实施活动的优先级,以及如何对实施的流程进行评审,提供了全面指导。ICT基础架构管理(ICTInfrastructureManagement)——确保提供一个稳定可靠的IT基础架构,以支持业务运营。应用管理(ApplicationManagement)——协调IT服务管理与应用系统的开发、测试和部署的关系,使它们一致的服务于客户的业务运营。安全管理(SecurityManagement)——保护IT基础架构,对其采取合适的保护措施,使其免受未经授权的使用。业务视角(BusinessPerspective)——帮助业务管理者深入了解ICT基础架构支持业务流程的能力与IT服务管理在提供端到端IT服务过程中的作用,其涵盖了业务管理系统、外包管理、持续改进及信息和通讯技术等方面,来实现商业利益。服务管理(ServiceManagement)—ITSM——ITIL的核心内容,共分为10个管理流程及1项管理职能,被划分为两组:服务提供和服务支持。2.7ITIL的核心-IT服务管理(ITSM)28   IT服务管理是ITIL框架的核心,它是一套协同流程(Process),并通过服务级别协议(SLA)来保证IT服务的质量。它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。ITIL把IT管理活动归纳为一项管理功能和十个核心流程,主要如下:(如图)  服务台有时也称帮助台,即通常人们所指呼叫中心或客户服务中心,它不是一个服务管理过程,而是一种服务职能。服务台经常与事件管理紧密结合,用来连接其他的服务管理流程,逐渐被称为一线服务支持的代名词。  服务支持(ServiceSupport)  配置管理(ConfigurationManagement)  配置管理是将一个系统中软件和硬件等配置项资源进行识别和定义,并记录和报告配置状态和变更请求以及检验配置项的正确性和完整性等活动构成的过程。  变更管理(ChangeManagement)  变更管理是要确保在IT服务变动的过程中能够有标准的方法,以有效的监控这些变动,降低或消除因为变动所造成的问题。它的目的并不是控制和限制变更的发生,而是对业务中断进行有效管理,确保变更有序进行。  发布管理(ReleaseManagement)  发布管理是指对经测试后导入实际应用的新增或修改后的配置项进行分发和宣传的管理流程,目的是要保障所有的软件组件的安全性,以确保只有经过完整测试的正确版本得到授权进入正式运行环境。  事件管理(IncidentManagement)  事件管理指的是突发事件管理或意外事件管理,处理IT的危机并要从中恢复运转。即在出现事故的时候,能够尽可能地恢复服务的正常运作,避免业务中断,以确保最佳的服务可用性级别。  问题管理(ProblemManagement)  问题管理是指负责解决IT服务运营过程中遇到的所有问题的流程。问题管理的主要活动实质上就是分析以被列出问题的事件的根本原因,找出解决方案,把事件的影响最小化,并通过找到已发生事件或潜在事故的根本原因来减少事件的数量或消除事件的再次发生。  服务交付(ServiceDelivery)  服务级别管理(ServiceLevelManagement)  服务级别管理是一种严格的超前方法论和处理程序,是定义、协商、订约、检测和评审提供给客户的服务质量水准的流程。  财务管理(FinancialManagementofITServices)  财务管理是在提供深入了解IT服务管理流程的基础上,对IT恢复运作的费用及成本重新分配并进行正确管理的程序,其目标是帮助IT部门在提供服务的同时加强成本效益核算,以合理利用IT资源、提高效益及财务资源使用的有效性。  可持续性管理(ContinuityofITServices)  可持续性管理是指确保发生灾难后有足够的技术、财务与管理资源来确保IT能持续服务的管理流程。  容量管理(CapacityManagement)  容量管理是指在成本和业务需求的双重约束下,通过配置合理的服务能力来确保服务的持续提供和IT资源的正确管理,以发挥最大效能;以合理的成本及时提供有效的IT服务,以满足组织当前及将来的业务需求。  可用性管理(AvailabilityManagement)  可用性管理是在正确使用资源、方法及技术的前提下保障IT服务的可用性和实践可用性要求。目标是确保IT服务的设计符合业务所需的可用性级别。28 2.8ITIL的商业价值  作为IT管理的“ERP解决方案”,ITIL给实施它的企业带来了丰厚的商业价值。大量的成功实践表明实施ITIL可以将企业IT部门的运营效率提高25-30%。加特纳(Gartner)和国际数据集团(IDC)等研究机构的调查研究也表明,通过在IT部门实施ITIL的最佳服务管理实践,可以将因重复呼叫、不当的变更等引起的延误时间减少79%,每年可以为每个终端用户平均节约800美元的成本,同时将每项新服务推出的时间缩短一半。目前我国也有一些企业通过实施IT服务管理取得了良好的经济效益。总体上将,实施ITIL可以带来以下商业价值:  确保IT流程支撑业务流程,整体上提高了业务运作的质量;  通过事故管理流程、变更管理流程和服务台等提供了更可靠的业务支持;  客户对IT有更合理的期望,并更加清楚为达到这些期望他们所需要付出的成本;  提高了客户和业务人员的生产率;  提供更加及时有效的业务持续性服务;  客户和IT服务提供者之间建立更加融洽的工作关系;  提高了客户满意度。为企业所带来的  ITIL给企业带来的好处,包括:  IT服务的提供变得更加以客户为中心,同时在服务质量上的协商一致改进了双方的关系。  可以对服务质量,可用性,可靠性和服务成本进行更好的管理。  改进业务部门与IT部门的沟通,因为大家采用都是同一个框架。  IT部门形成了一个更为明晰的架构,从而变得更为有效率和更为关注公司目标。  IT部门更加对其负责的基础架构和服务实施控制,同时变更也的更易于管理。2.9ITIL实施步骤  首先要阅读ITIL资料,了解ITIL准则,培养ITIL专家。ITIL不是一种产品,而是一套流程和准则,必须对它有充分的了解,才可能成功实施。对国内企业来说,目前面临的一个大问题是中文ITIL资料严重匮乏,有关ITIL的所有书籍都是英文的,暂时还没有中译本。MalcolmFry建议国内相关部门可以参照德国、法国等国家的做法,组织大学生翻译ITIL书籍。同时,还必须对企业相关人员进行培训,培养一批了解ITIL的技术专家。目前,ITIL认证分为三个层次,基础层次主要考察学员对ITIL流程和ITIL词汇的了解程度,考试时间是一个小时;第二层是考察学员的实际操作能力;第三层是专家级考试,要求学员针对一家企业的IT管理情况进行点评,并完成一篇论文。国外一些企业已经培养了大批ITIL人才,例如,微软公司有3000多人通过了考试,宝洁公司有1000多人通过,BMC也有400多人通过。国内的情况则不容乐观,有关ITIL的培训认证还没有开展起来,虽然很多企业关注ITIL,但真正实施的并不多。  其次是要建立科学合理的流程。MalcolmFry认为,在ITIL的实践过程中,流程是最重要的,因为流程是IT管理的基础:在IT管理的过程中,针对同一问题的具体实施步骤可能不同,但流程是不会改变的。让我们来看一个简单的例子:早上上班,你发现你的计算机不能正常工作了,你会怎么办?你可能会做以下事情:检查电缆、请系统管理员来??得到了解决!如果我们不按流程办事,而是随意而为,那么查找一个小故障就可能用掉一整天的时间。28   第三是要选择适当的软件产品。企业对IT系统的管理是通过IT管理软件实现的,因此,选择适当的软件对成功实现ITIL的目标至关重要。目前,一些主流厂商的软件产品都符合ITIL的要求,包括IBMTivoli、CAUnicenter、HPOpenview、BMCPatrol等。  2.10ITIL并非万能  虽然ITIL包含了IT管理的最佳实践总结,但从本质上讲,它其实只是一系列可执行的事件列表。“你不能只执行ITIL,而应该用它推动组织变更。”ITIL的原始开发项目组成员Johnson说。他的意思应该是:“ITIL不能为如何实际运用提供向导,每个组织应当根据ITIL的原则设计适合自己的流程。”ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范,企业的IT部门和最终用户可以根据自己的能力和需求定义自己所要求的不同服务水平,参考ITIL来规划和制定其IT基础架构及服务管理,从而确保IT服务管理能为企业的业务运作提供更好的支持。对企业来说,实施ITIL的最大意义在于把IT与业务紧密地结合起来了,从而让企业的IT投资回报最大化。实际上,ITIL并不仅仅适用于企业内部的IT服务管理,也适合于IDC数据托管中心。过去,IDC为每个用户提供的IT服务水平很难量化、考评,用户无法断定是否获得了合同承诺的服务,而ITIL的实施为IDC的IT服务水平提供了一个可以客观考评的依据和标准。目前,ITIL已经在全球IT服务管理领域得到了广泛的认同和支持,四家最领先的IT管理解决方案提供商都宣布了相应的策略:IBMTivoli推出了“业务影响管理”解决方案、HP公司倡导“IT服务管理”、CA公司强调“管理按需计算环境”、BMC公司则推出了“业务服务管理”理念。实际上,无论各公司的理念和解决方案有多大差异,但目标都是一致的:把IT与业务相结合,以业务为核心搭建和管理IT系统。需要强调的一点是:ITIL不是一个正式标准,而是目前普遍实行的"事实"上的标准。28 第二章信息化机房的建设一、机房对信息化的发展的重要性核心机房技术在20世纪80年代开始建立雏形,在21世纪得到了快速发展,计算机技术的不断发展,使之信息化的办公越来越普级,与之配套的机房也迅速发展。随着XX单位网络建设的飞速发展,使之各个科室部门之间形成大量数据的传输,随之而来的新问题是分散在各地各部门对数据稳定性和安全性,以及数据传输处理的顺畅和速度。因此,在各个行业及部门均开始建设大规模的数据中心机房,对数据的处理和存储进行集中管理,以提高稳定性并有效降低了运行及维护成本。中心机房采用高速网络与各个公办点相连通,使整个数据群体形成一个强大的机房群,进一步提高了办公数据的可靠性及设备的使用效能,并建设统一的冗灾备份成为可能。机房建设就是随着信息化系统对环境的要求越来越高而出现的新兴行业,涉及到电子工艺、建筑结构、空气调节、给水排水、电器技术和消防安全等多种专业,它是为解决诸如温湿度、洁净度、电磁场强度、防静电、供配电、接地与防雷、消防安全等综合技术问题,为电子计算机系统稳定可靠运行和工作人员提供良好的工作环境。二、机房的级别划分机房也分级别,A、B、C级,A级为最高。基本上银行系统的机房多按A级标准做。政府部门及企业根据客户要求按照B级来设计。事业单位及教育部门可根据C级设计。三、机房的功能布局划分机房的功能布局一般分为:主机房:用于安置小型机/服务器等主机、通讯网络区域(内外网络)、存储区域、介质库区域。监控室:网络管理人员上班、值班场所,监控室和主机房相通,主要对主机房进行监控和管理,减少人员频繁进入主机房。资料室:存放资料的房间。配电室:负责整个主机房关键设备的配电,放置UPS及电池系统。钢瓶间:放置气体消防的钢瓶间,要求开门方向正对消防通道,保证危急时刻的快速处理。如小机房采用无管网则不需要设置。辅助功能区会议接待室:为机房的参观人员及内部的机房管理人员准备的临时接待场所。硬件维修和软件开发室:设备的维修和软件的开发测试,不能在主机房内进行。休息室:提供给机房管理人员值班休息的场所。值班及更衣室:值班和更衣室设置在机房的入口,便于管理和人员进出的需求。洗漱间和卫生间:洗漱间和卫生间设置靠近管理人员主要工作的区域。28 四、信息化机房所包含的系统信息化机房包含以下多个子系统:机房装饰系统机房电气系统机房综合布线系统(网络布线、电话布线、DDN线路等布线)机房UPS配电系统机房专业(精密)空调系统机房新排风系统机房防雷接地系统机房气体消防系统机房照明及应急照明系统机房安防监控系统机房设备远程控制管理系统(KVM)机房环境监控系统4.1机房装饰系统在以前的机房建设设计方案中,较多地强调了计算机设备的技术要求,而忽略了掌握这些重要设备的人的需要,大多数的机房环境都会给人以沉闷、单调、烦燥的感觉。现在的机房装饰设计方案,需要考虑的是:以人为本,充分考虑人与环境、人与机、机与环境的亲和性、协调性。在机房装饰设计中,遵循简洁、明快、大方的宗旨,强调规范性、标准性、实用性。机房装饰用材选用气密性好、不起尘、易清洁、变形小,具有防火、防潮性能;宜选用亚光材料,避免在机房内产生各种干扰光线。机房装修工程直接决定了整个数据机房的外观形象,可采取明快、现代的设计风格。另外,由于数据机房在功能方面的特殊性,使得数据机房的装修设计除了必须遵循美观、实用等一般性原则外,还必须满足数据机房对环境(包括温湿度、照度、洁净度、电磁屏蔽等)的特殊要求。机房装饰分墙、顶、地、隔断四部分;机房的选材从防火、防静电等方面考虑;1、墙:一般选材为彩钢板(金属石膏复合板)、铝塑板(防火石膏板面贴铝塑板)、刷漆等(主要用于监控室等辅助区域);2、顶:一般都选择微孔铝合金天花,铝合金天花分两种,一是方板(600x600,防静电效果最好),一是条形板,根据客户喜欢,现在稍微上点规模的机房都选择无吊顶,因为方便上走线等;3、地:架空地板,即防静电地板,防静电地板根据档次不同,分全钢的(常用)、复合的(南方易变型)、硫酸钙(最高档)的等;4、隔断:玻璃隔断、轻钢龙骨石膏板隔断两种;玻璃隔断根据防火分区的不同分为防火玻璃和钢化玻璃隔断;轻钢龙骨石膏板隔断分单层单面石膏板和双层双面石膏板隔断,也是根据防护分区不一样来划分的(机房温度保持在22~25度)4.2机房电气系统28 机房的供配电系统是机房工程中的关键项目,是一个综合性供配电系统,在这个系统中不仅要解决计算机设备的用电问题,还要解决保障计算机设备正常运行的其它附属设备的供配电问题,如计算机机房专用恒温恒湿器(空调器),机房照明系统用电,安全消防系统用电等。电气分两部分,UPS配电和市电配电;UPS配电是为服务器及网络等重要设备供电;市电是为UPS、空调、新风、照明、维修插座等配电。4.3机房综合布线系统机房综合布线系统为机房内部提供网络通信基础链路,在每个机架上提供结构化布线槽,为每个机架提供局域接入服务。综合布线系统可以采用下走线方式布线或者上走线方式布线。一般采用光纤和六类布线,把服务器机柜、小型机、存储服务器汇聚到网络机柜,提供高速(1000M以上)输出网络。4.4机房UPS配电系统供电系统由于电网范围大受各种因素的影响,时常会有不正常的现象发生,往往会对计算机系统造成不利的作用,为此,采用(UPS)不间断电源极为重要,它不但能提供稳定可靠的高质量的电源,没有瞬变和谐波,即使当电网断电时,它也可由后备电池支撑,继续供电,使计算机有一定的时间进行处理。所以中心机房应采用UPS不间断电源,防止停电造成计算机设备的损坏和网络通讯中断。UPS电源应提供不低于2小时后备供电能力。UPS功率大小应根据机房使用UPS电源设备的总功率进行计算,并具有20-30%的余量。设备间电源设备应具有过压过流保护功能,已防止对设备的不良影响和冲击。不间断电源系统(UPS)配置方法:UPS功率大小应根据机房使用UPS电源设备的总功率进行计算,并具有20-30%的余量。机房使用UPS电源设备的总功率和后备电池时间一般由用户来确定,由于UPS属于专业设备,一般由所选定的厂家根据用户需求来对UPS及电池进行配置及提供整体解决方案,我们所要把其整合到我们的方案内。比较著名的厂家有梅兰、APC、山特、科士达、台达、爱墨生等,都有相应的厂家技术支持。4.5机房专业(精密)空调系统中心机房内都安装有重要的计算机设备如小型机、存储服务器服务器及网络设备,而使用精密空调才能确保机房内各种网络等重要服务器能可靠稳定、并在最佳状态下运行的基础。机房精密空调配置首先需要计算空调的负荷,这是比较专业的,所以需要专业厂家提供技术支持。但是我们需要了解以下的数据:主设备的数量/用电情况机房面积及净空高度厂家就可以确定精密空调的容量及配置。机房精密空调与机房专用空调比较:有些用户由于预算方面的原因,可能无法配置精密空调,可以选择安装机房专用空调,与精密空调比较,机房专用空调只能保持恒定温度,而无法保持机房恒定的湿度,其价格相对要经济。但是如果机房有恒温恒湿的要求,也只能使用精密空调了。还有相对于不太重要的机房来说,机房环境不需要太高,也可以选择安装普通的柜式空调机,但要求具备有来电自启动的功能。4.6机房新排风系统28 机房的新风系统通常起到主要起着两个作用,其一是维持机房内空气的清新,保护在其内工作的人员的身体健康;其二是保证机房内空气的一定正压,防止室外空气未经处理从围护结构缝隙泄漏进机房内,影响机房空气的温湿度、洁净度要求。此外,机房专用空调对新风系统也有一定需求。计算机房采用气体灭火,由于机房区域处于封闭状态,一旦失火产生的有害烟尘将无法排除,鉴于此,在机房配置满足消防规范的有关要求排风设备。排风系统采用管道式有组织排风,并配备电动排风防火阀,与消防系统联动,平时慢速排气,火灾后高速排烟。这个系统属于专业的系统,需要专业厂家技术支持。4.7机房新排风系统南方是雷电多发的区域,为了防止遭受雷害,确保机房内设备的安全正常工作,提高网络运行的安全系数,实施机房的整体防雷与接地工作是十分重要的。首先良好的接地线,可以把计算机信号的干扰滤掉。此外,当遇到雷电、机柜附近的强功率源或电弧干扰时,良好的机房防雷接地系统也能对计算机设备起到一定的保护作用。机房电源防雷:一般采用三级防雷,分别在大楼配电室安装第一级防雷器,在楼层配电室安装第二级防雷器,在机房进线端安装第三级防雷器,如有特别敏感的设备需要特别保护,则还需要配置防雷电源插座。所有的防雷器必须使用相应线径的铜芯电缆连接到最近的等电位网,通过等电位网接入地网中。机房信号防雷:与电源防雷一样,通讯网络的防雷主要采用通讯避雷器防雷。目前,计算机远程联网常采用的方式有电话线、专线、X.25、DDN和帧中继等,通讯网络设备主要为MODEM、DTU、路由器和远程中断控制器等。通常根据通讯线路的类型、通讯频带、线路电平等选择通讯避雷器,将通讯避雷器串联在通讯线路上。并要有良好的接地线。防雷系统需要具备防雷资质的专业公司才能设计施工,所以本系统一般采用合作方式进行,由专业公司提供技术支持。4.8机房气体消防系统与防雷系统一样,都是需要具备消防资质的专业公司才能进行设计及施工,所以本系统一般采用合作方式进行,由专业公司提供技术支持。由于气体灭火属于全淹没的灭火系统,对人体会造成毁灭性伤害,所以建议只在设备较多且无人值班的功能区采用气体消防,在需要人员值班的功能区还是采用普通喷淋消防系统比较保险。一般采用七氟丙烷自动灭火系统,根据机房面积确定使用管网或者无管网灭火方式,一般面积较小的机房(小于50平米),采用无管网方式,面积较大的机房需要采用管网方式。消防系统还要具备火灾报警功能,灭火装置具有自动、手动及机械应急操作三种方式。气体消防要求消防区域空间必须密封。4.9机房照明及应急照明系统计算机房内的照明要求在离地面0.8m处,照度不应低于200lx,其它房间的照明不应低于5lx,主要通道及有关房间可根据需要设置,但其照度要求是在离地面0.8m处不低于1lx。考虑照明质量均匀度、对比度,防止眩光影响。机房照明使用明装式菱纹灯盘连续安装,防止直射眩光。正常照明系统由220V市电单电源供电,现场开关控制。应急照明由UPS电源供电,照度作为正常照明的一部分,平时由现场开关控制,消防自动报警时由消防信号强制开启。其照度宜为一般照明的1/10。28 计算机机房应设置疏散照明和安全出口标志灯,其照度不应低于0.51X。电子计算机机房照明线路宜穿钢管暗敷或在吊顶内穿钢管明敷。大面积照明场所的灯具宜分区、分段设置开关。技术夹层内应设照明,采用单独支路或专用配电箱(盘)供电。4.10机房安防监控系统机房安防监控系统工程(含机房门禁、视频监控及红外报警)中心作为信息系统的核心重地,需要保证绝对的安全,所以需要一个结合视频监控、红外报警以及门禁管理的综合安保系统,可以实时监控到进入机房的人员以及对非法闯入进行报警和录像,为机房的安全提供保障。系统要求实现与动力环境监控系统的联动,一旦发生安防告警,可以切换到相应摄像机画面,并启动录像功能。机房门禁一般在机房入口和各功能区出入口安装智能门禁系统,对人员进出进行授权、记录、查询,并可与防盗、报警、保安等系统结合成综合管理系统,既方便内部人员按权限自由出入,又杜绝外来人员随意进出。门禁系统可以采用指纹、IC卡或双重认证方式。视频监控在各机房出入口、各功能区出入口及重点区域安装摄像机,通过视频电缆传到硬盘录像机,进行实时监视和录像。红外报警在各机房出入口、各功能区出入口及重点区域安装红外探头,通过信号线传到报警,进行非法入侵报警。同时联动视频监控和门禁系统。4.11机房设备远程控制管理系统(KVM)网络中心机房,机房内将放置有各种品牌的服务器及网络设备,由于各种因素,机房在一般情况下不允许人员进入,所以需要一套可以通过机房本地或远程终端对机房内的服务器、网络设备等进行统一管理的解决方案,以便使有关操作人员不必到机房内也能操控服务器及网络设备,且当系统规模扩张时仍能保持整个系统的完整性而达到管理上的简单有效。KVM及机房设备远程监控系统就是实现以上功能的解决方案,通过IP网络,可以实现对机房的所有设备以及电源进行远程控制和管理,可以避免人员进入设备机房。由于KVM系统不同厂家产品配置也不一样,所以需要厂家进行方案配置。4.12机房环境监控系统网络中心机房的环境设备或子系统(如UPS、精密空调、消防等)为服务器、网络设备等硬件系统提供正常的运行环境。一旦机房环境设备出现故障,就会影响到硬件系统的运行,对数据传输、存储以及整个系统运行的可靠性构成威胁,若事故严重又没有得到及时的处理,就可能损坏硬件设备,造成严重后果。因此,为了保证机房运行的安全性和稳定性,需要对机房场地设备及环境进行集中监控和管理,包括:UPS、精密空调、温度、湿度、漏水、消防等系统监控。机房环境监控系统利用相应的传感器以及设备通信接口,实现对机房内的UPS、空调、配电等动力环境设备以及温度、湿度、漏水、烟感等环境参量进行集中监控,并可通过网络进行远程监控。以确保机房环境及设备的正常运行。28 第三章DHCP服务器配置与管理一、DHCP服务的基本概念、工作原理分配IP地址的方法有两种:第一种静态分配IP地址,即网络中的每一台计算机有一个固定的IP地址,对于网络管理员来讲,管理这些IP地址的工作是比较烦琐的。第二种动态分配IP地址,由DHCP服务器将IP地址数据库中的IP地址动态的分配给局域网中的客户机,从而减轻网络管理员的负担。DHCP——DynamicHostConfigurationProtocol)DHCP(DynamicHostConfigurationProtocol)是动态主机配置协议的缩写,是一个简化主机IP地址分配管理的TCP/IP标准协议。它能够动态地向网络中每台设备分配独一无二的IP地址,并提供安全、可靠且简单的TCP/IP网络配置,确保不发生地址冲突,帮助维护IP地址的使用。要使用DHCP方式动态分配IP地址,整个网络必须至少有一台安装了DHCP服务的服务器。其他使用DHCP功能的客户端也必须支持自动向DHCP服务器索取IP地址的功能。当DHCP客户机第一次启动时,它就会自动与DHCP服务器通信,并由DHCP服务器分配给DHCP客户机一个IP地址,直到租约到期(并非每次关机释放),这个地址就会由DHCP服务器收回,并将其提供给其他的DHCP客户机使用。动态分配IP地址的一个好处,就是可以解决IP地址不够用的问题。因为IP地址是动态分配的,而不是固定给某个客户机使用的,所以,只要有空闲的IP地址可用,DHCP客户机就可从DHCP服务器取得IP地址。当客户机不需要使用此地址时,就由DHCP服务器收回,并提供给其他的DHCP客户机使用。动态分配IP地址的另一个好处,用户不必自己设置IP地址、DNS服务器地址、网关地址等网络属性,甚至绑定IP地址与MAC地址,不存在盗用IP地址问题,因此,可以减少管理员的维护工作量,用户也不必关心网络地址的概念和配置。二、安装DHCP服务器在安装WindowsServer2003DHCP服务器之前,必须注意以下两点:(1)DHCP服务器本身的IP地址必须是固定的,也就是其IP地址、子网掩码、默认网关等数据必须是静态分配的。(2)事先规划好可提供给DHCP客户端使用的IP地址范围,也就是所建立的IP作用域。安装DHCP服务器的步骤如下:步骤一,选择“开始”/“设置”/“控制面板”/“添加或删除程序”,选择“添加/删除Windows组件”。步骤二,出现如图3-1所示安装向导对话框,请选择“网络服务”,点击“详细信息”按钮。步骤三,出现如图3-2所示“网络服务”对话框时,选择“动态主机配置协议(DHCP)”复选框,单击“确定”按钮。步骤四,回到前一画面,单击“下一步”按钮,直至安装完成。完成安装后,系统会在“开始”/“程序”/“管理工具”程序组内,添加“DHCP”28 管理应用程序,供用户管理与设置DHCP服务器。图3-1添加网络组件对话框图3-2添加网络服务组件对话框三、配置与管理DHCP服务器3.1建立可用的IP作用域在DHCP服务器内,需要设定一段IP地址的范围(可用的IP作用域),当DHCP客户端请求IP地址时,DHCP服务器将从此范围提取一个尚未使用的IP地址分配给DHCP客户端。需要注意的是,在一台DHCP服务器内,只能针对一个子网设置一个IP作用域,例如:不可以建立一个IP作用域为210.43.23.1—210.43.23.60后,又建立另一个IP作用域为210.43.23.100—210.43.23.160。解决方法可以先设置一个连续的IP作用域为210.43.23.1—210.43.23.160,然后将中间的210.43.23.61—210.43.23.99添加到排除范围。建立一个新的DHCP作用域的步骤如下:28 步骤一,在图3-3的窗口列表中,用鼠标右键单击要创建作用域的服务器,选择“新建作用域”。步骤二,出现“欢迎使用新建作用域向导”对话框时,单击“下一步”,为该域设置一个名称并输入一些说明文字,单击“下一步”。步骤三,出现如图3-6所示对话框,在此定义新作用域可用IP地址范围,子网掩码等信息。例如可分配供DHCP客户机使用的IP地址是210.43.23.100至210.43.23.180,子网掩码是255.255.255.0,单击“下一步”。图3-6设置DHCP服务器IP地址范围步骤四,如果想禁止上面设置的IP作用域内部分IP地址提供给DHCP客户端使用,则可以在如图所示3-7对话框中设置需排除的地址范围。例如:输入210.43.23.110—210.43.23.115,单击“添加”,单击“下一步”。图3-7添加排除IP地址段步骤五,出现如图3-8所示对话框,在此设置IP地址的租用期限,如设置8天,然后单击“下一步”。步骤六,出现如图3-9所示对话框时,选择“是,我想现在配置这些选项(Y)”,然后单击“下一步”为这个IP作用域设置DHCP选项,分别是默认网关、DNS服务器、WINS服务器等。当DHCP服务器在给DHCP客户端分派IP地址时,同时将这些DHCP选项中的服务器数据指定给客户端。步骤七,出现图3-10所示的对话框时,输入默认网关的IP地址,然后单击“添加”按钮,单击“下一步”。如果目前网络还没有路由器,则可以不必输入任何数据,直接单击“下一步”28 按钮即可。图3-8设置租约期限对话框图3-9允许设置DNS、WINS等选项设置28 图3-10设置网关地址对话框步骤八,出现图3-11所示的对话框时,设置客户端的DNS域名称,输入DNS服务器的名称与IP地址,或者只输入DNS服务器的名称,然后单击“解析”按钮让其自动帮你找这台DNS服务器的IP地址。单击“下一步”继续。图3-11设置DNS服务器信息步骤九,出现图3-12所示的对话框时,输入WINS服务器的名称与IP地址,或者只输入名称,单击“解析”按钮让自动解析。如果网络中没有WINS服务器,则可以不必输入任何数据,直接单击“下一步”按钮即可。图3-12配置WINS服务器选项对话框步骤十,出现如图3-13所示对话框时,选择“是,我想现在激活此作用域”,开始激活新的作用域,然后在“完成新建作用域向导”中单击“完成”即可。完成上述设置,DHCP服务器就可以开始接受DHCP客户端索取IP地址的要求了。28 图3-13激活DHCP的IP作用域3.2IP作用域的维护IP作用域的维护主要是指修改、停用、协调、与删除IP作用域,这些操作都在“DHCP”控制台中完成。右键单击要处理的IP作用域,选择弹出菜单中的“属性”、“停用”、“协调”、“删除”选项可完成修改IP范围、停用、协调与删除DHCP服务等操作。3.3保留特定的IP地址可以保留特定的IP地址给特定的客户端使用,以便该客户端每次申请IP地址时都拥有相同的IP地址。这在实际中很有用处,例如你管理单位的网络,采用DHCP服务一方面可以避免用户随意更改IP地址,用户也无需设置自己的IP地址、网关地址、DNS服务器等信息;另一方面可以通过此功能逐一为用户设置固定的IP地址,即所谓“IP-MAC”绑定,这会减少不少维护工作量。保留特定的IP地址的设置步骤如下:步骤一,启动“DHCP管理器”,在DHCP服务器窗口列表下选择一个IP范围,用鼠标右键单击“保留”/“新建保留”菜单。步骤二,出现“新建保留”对话框,如图3-14所示。图3-14设置IP地址对话框28 在“保留名称”输入框中输入用来标识DHCP客户端的名称,该名称只是一般的说明文字,并非用户账号的名称。例如,可以输入计算机名称,但并不一定需要输入客户端的真正计算机名称,因为该名称只在管理DHCP服务器中的数据时使用。在“IP地址”输入框中输入一个保留的IP地址,可以指定任何一个保留的未使用的IP地址。如果输入重复或非保留地址,“DHCP管理器”将发生警告信息。在“MAC地址”输入框中输入上述IP地址要保留给的客户机的网卡MAC地址。在“说明”输入框中输入描述客户的说明文字,该项内容可选。网卡MAC物理地址是“固化在网卡里的编号”,是一个12位的16进制数。全世界所有的网卡都有自己的唯一标号,是不会重复的。在安装Windows2000/XP的机器中,通过“开始”/“运行”,输入cmd命令启动MSDOS命令窗口,输入ipconfig/all命令查看本机网络属性信息。步骤三,在图3-14中,单击“添加”按钮,将保留的IP地址添加到DHCP服务器的数据库中。可以反复执行以上操作继续添加保留地址,添加完所有保留地址后,单击“关闭”按钮。可以通过单击“DHCP管理器”中的“地址租约”查看目前有哪些IP地址已被租用或用作保留。3.4DHCP选项的设置DHCP服务器不仅可以动态地给DHCP客户端提供IP地址,还可以设置DHCP客户端的工作环境。例如,DHCP服务器在为DHCP客户端分配IP地址同时,设置其DNS服务器、默认网关、WINS服务器等配置。设置DHCP选项时,可以针对一个作用域来设置,也可以针对该DHCP服务器内的所有作用域来设置。如果这两个地方设置了相同的选项,如都对DNS服务器、网关地址等做了设置,则作用域的设置优先级高,客户机接收这些信息时,获取对应作用域的设置值。例如,设置006DNS服务器,步骤如下:步骤一,用鼠标右键单击“DHCP管理器”中的“作用域选项”/“配置选项”。步骤二,出现如图3-17所示“作用域选项”对话框,选择“006DNS服务器”复选框,然后输入DNS服务器的IP地址,点按“添加”按钮。如果不知道DNS服务器的IP地址,可以输入DNS服务器的DNS域名,然后单击“解析”让系统自动寻找相应的IP地址,完成后单击“确定”。图3-17设置作用域选项对话框完成设置后在DHCP管理控制台可以看到设置的选项“006DNS服务器”28 ,如图3-18所示。图3-18DHCP管理控制台窗口3.5DHCP客户端的设置当DHCP服务器配置完成后,客户机就可以使用DHCP功能,可以通过设置网络属性中的TCP/IP通讯协议属性,设定采用“DHCP自动分配”或者“自动获取IP地址”方式获取IP地址,设定“自动获取DNS服务器地址”获取DNS服务器地址。而无须为每台客户机设置IP地址、网关地址、子网掩码等属性。以安装WindowsXP操作的计算机为例设置客户机使用DHCP,方法如下:步骤一,打开“控制面板”,打开“网络连接”窗口。步骤二,用鼠标右键单击“本地连接”/“属性”/“Internet协议(TCP/IP)”/“属性”,打开TCP/IP属性对话框。步骤三,选择“自动获取IP地址”及“自动获取DNS服务器地址”选项,单击“确定”按钮,完成设置。这时如果你查看客户机的IP地址(执行ipconfig命令),就会发现它来自于DHCP服务器预留的IP地址空间。3.5DHCP安全问题DHCP协议虽然可以实现为客户机动态分配地址,但它的安全性有致命的弱点:(1)由于DHCP服务器无法控制客户的行为,无法识别客户机的真假,因此DHCP服务器的安全性较差,很容易遭到非法用户的恶意攻击。(2)无法发现非法用户仿冒其他用户的IP地址、MAC地址的情况。黑客采用的主要攻击方法:(1)重复执行ipconfig–release/all(2)先执行一次正常的DHCP过程调用NetXRay,把报文截取下来再修改MAC地址,把报文按顺序发出去。(3)黑客在方法2的基础上再加一条ARP广播,就可以骗过DHCPRelay,申请到的IP地址不会被释放。28 第四章ARP病毒的防治一、ARP协议的工作原理1.1ARP定义ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址;在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议的基本功能就是主机在发送报文前将目标主机的IP地址解析成目标主机的MAC地址,以保证通信的顺利进行。ARP的作用:IP数据包不能直接在实际网络中传输。IP地址在物理网络中对目标机器的寻址,必须转换为物理地址,即MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。Arprequest和reply的数据帧长都是42字节(28字节的arp数据、14字节的以太帧头)1.2ARP协议工作原理1、首先,每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。(arp-a)2、当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。3、网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一ARP响应数据包,告诉对方自己是它需要查找的MAC地址。4、源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。正常的ARP通讯过程只需ARPRequest和ARPReplay两个过程,简单的说就是一问一答.1.3RARP协议工作原理RARP反向地址解析协议:物理地址-----IP地址RARP的工作原理:  1.28 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;  2.本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址;  3.如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;  4.如果不存在,RARP服务器对此不做任何的响应;  5.源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。  6.如果在第1-3中被ARP病毒攻击,则服务器做出的反映就会被占用,源主机同样得不到RARP服务器的响应信息,此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。1.4ARP协议的缺陷ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARPreply包或arp广播包(包括ARPrequest和ARPreply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以利用此而做中间攻击。二、ARP攻击原理每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,在cmd界面下输入arp-a可以查询ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。主机IP地址MAC地址1192.168.10.1aa:aa:aa:aa:aa:aa2192.168.10.2bb:bb:bb:bb:bb:bb3192.168.10.3cc:cc:cc:cc:cc:cc4192.168.10.4dd:dd:dd:dd:dd:dd我们以主机A(192.168.10.1)向主机B(192.168.10.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.10.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.10.2的MAC地址是bb:bb:bb:bb:bb:bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有被使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。例如对目标A进行欺骗,A去Ping主机C却发送到了DD:DD:DD:DD:DD:DD。做法就是:进行欺骗的时候,把C的MAC地址骗为DD:DD:DD:DD:DD:DD28 ,于是A发送到C上的数据包都变成发送给D的了,嗅探成功。A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C,此时如果D进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。三、ARP攻击的危害、症状及类型3.1ARP攻击的危害1、网络频繁掉线2、网速时快时慢3、网上银行、网络游戏及QQ等账号丢失3.2ARP攻击盗取数据的过程1.扫描目标计算机2.伪装服务器3.欺骗目标计算机4.截取目标计算机所发数据5.分析数据6.转发数据至Internet7.截取Internet返回的数据8.分析数据9.转发数据至目标计算机10.截取目标计算机所发数据11.分析数据12.盗取重要数据3.3ARP攻击的症状1.网络时断时通;2.网络中断,重启网关设备,网络短暂连通;3.内网通讯正常、网关不通;4.频繁提示IP地址冲突;5.硬件设备正常,局域网不通;6.特定IP网络不通,更换IP地址,网络正常;7.禁用-启用网卡,网络短暂连通;8.网页被重定向。3.4ARP攻击类型——ARP扫描一般常见的ARP攻击类型为:ARP扫描和ARP欺骗。ARP扫描(ARP请求风暴)通讯模式(可能):请求->请求->请求->请求->应答->请求->请求->请求…….描述:网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络宽带资源,ARP扫描一般为ARP攻击的前奏。出现原因:病毒程序、侦听程序、扫描程序。28 3.5ARP攻击类型—ARP欺骗常见ARP欺骗现象有:仿冒网关、欺骗终端用户、欺骗网关、ARP泛洪攻击。欺骗目的:窃取数据,导致断网。出现原因:木马病毒、嗅探、人为欺骗、人为破坏。3.5.1常见ARP欺骗攻击现象——仿冒网关1、攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。2、主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。这种攻击是ARP攻击中最为常见的攻击。3.5.2常见ARP欺骗攻击现象——欺骗终端用户1、攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。2、网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。3.5.3常见ARP欺骗攻击现象——欺骗网关1、攻击者伪造虚假的ARP报文,欺骗网关。2、网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。28 3.5.4常见ARP欺骗攻击现象——ARP泛洪攻击1、攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。3.6ARP攻击欺骗的典型实例1.网络执法官在网络执法官操作中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。2、网络剪刀手它盗用其他网络主机IP对网关发送高频率的单播(点对点)数据包,将网关与被盗用的合法主机的正常通讯隔离,导致被攻击主机无法正常进行网络应用。3.ARP木马病毒28 当局域网内某台主机运行ARP欺骗的木马程序时,会高频率发送虚假ARP数据包,欺骗局域网内路由器和所有网络主机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,以截获用户私密信息。四、ARP攻击的常用防范方法目前ARP系列的攻击方式和手段多种多样,因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全系统的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。从技术原理上,彻底解决ARP欺骗和攻击,要有三个技术要点。1、终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁。2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。3、网络内要有一个最可依赖的机构,提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息,又能够对出现的假网关信息立即封杀。常见的ARP攻击防范方法有:1、双绑措施2、使用ARP防护软件3、使用ARP服务器4、VLAN和交换机端口绑定5、PPPoE6、具有ARP防护功能的路由器4.1双绑措施双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。终端进行ARP绑定的方法:利用ARP命令编写批处理程序,加入到系统的启动选项里面。ARP命令常用参数:arp–a#显示所有ARP信息arp–d#删除所有ARP信息arp–s#增加一条ARP信息批处理代码如下:@echooffarp-darp–s网关LANIP网关LANMAC同时路由器上做IP-MAC表的绑定工作。双绑的缺陷在于3点:1、在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP–d命令(或是同样在启动中加入一个arp-d的批处理),就可以使静态绑定完全失效。2、在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的维护工作。换个网卡或更换IP,都需要重新配置路由。对于流动性电脑,这个需要随时进行的绑定工作,是网络维护的巨大负担。3、双绑只是让网络的两端电脑和路由不接收相关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。因此,虽然双绑是ARP防范的最基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来越有限了。4.2使用ARP防护软件28 在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,其实完全不是那么回事。ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。2、ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做ARP防范,而不管网关那端如何,这本身就不是一个完整的办法。ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。因此,ARP个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。4.3使用ARP服务器使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。但同样,必须要确保这台ARP服务器不被攻击,若这台服务器受到攻击,则会造成整个局域网的终端都会受到攻击,易造成单点故障引起整个网络的瘫痪,因此,ARP服务器的保护就显得至关重要。4.4VLAN和交换机端口绑定通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。不过,VLAN和交换机端口绑定的问题在于:1、没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪。2、把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。这根本不适合移动终端的使用,从办公室到会议室,这台电脑恐怕就无法上网了。在无线应用下,又怎么办呢?还是需要其他的办法。3、实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价大大提高。因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面的管理手段不是针对ARP的。因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾,而且操作维护复杂。4.5PPPoE网络下面给每一个用户分配一个帐号、密码,上网时必须通过PPPoE认证,这种方法也是防范ARP措施的一种。PPPoE拨号方式对封包进行了二次封装,使其具备了不受ARP欺骗影响的使用效果,很多人认为找到了解决ARP问题的终极方案。问题主要集中在效率和实用性上面:1、28 PPPoE需要对封包进行二次封装,在接入设备上再解封装,必然降低了网络传输效率,造成了带宽资源的浪费,要知道在路由等设备上添加PPPoEServer的处理效能和电信接入商的PPPoEServer可不是一个数量级的。2、PPPoE方式下局域网间无法互访,在很多网络都有局域网内部的域控服务器、DNS服务器、邮件服务器、OA系统、资料共享、打印共享等等,需要局域网间相互通信的需求,而PPPoE方式使这一切都无法使用,是无法被接受的。3、不使用PPPoE,在进行内网访问时,ARP的问题依然存在,什么都没有解决,网络的稳定性还是不行。因此,PPPoE在技术上属于避开底层协议连接,眼不见心不烦,通过牺牲网络效率换取网络稳定。最不能接受的,就是网络只能上网用,内部其他的共享就不能在PPPoE下进行了。4.6具有ARP防护功能的路由器这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。总结:通过对以上几种普遍的ARP防范方法的分析,我们可以看出,现有ARP防范措施都存在一定的问题。这也就是ARP即使研究很久很透,但依然在实践中无法彻底解决的原因。网络问题必定需要网络的方法去解决,我们只有在日常的维护过程中,根据网络的实际情况结合自身的ARP防范经验,打全系统的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库、以及部署适合自己网络特点的常用的ARP防范方法,即使这些方法无法在根本上解决ARP攻击的问题,但是在防范基础的ARP攻击上还是能够起到一定的作用。在受到ARP攻击后,沉着应对,按照下面步骤一步步解决:1.故障现象及原因分析局域网内出现异常情况时,看看是否符合ARP欺骗的几种类型。2.故障诊断如发现符合ARP欺骗的情况,可尝试删除并重建本机ARPCache,如能恢复,则很可能正是受到了ARP攻击。3.故障处理可以采用ARP欺骗防护的几种办法,也可以使用专业防护软件或防火墙。4.找出ARP欺骗来源捕获局域网内所有主机的发送和接受到的数据包。若发现有某IP相应的主机行为异常,如不断发送ARP请求包,则该主机一般就是病毒源。5.清理ARP欺骗来源28'