集中式網(wǎng)絡(luò)管理和分布式網(wǎng)絡(luò)管理的區(qū)別及優(yōu)缺點(diǎn)

1、集中式網(wǎng)絡(luò)管理和分布式網(wǎng)絡(luò)管理的區(qū)別及優(yōu)缺點(diǎn)集中式網(wǎng)絡(luò)管理模式是在網(wǎng)絡(luò)系統(tǒng)中設(shè)置專門的網(wǎng)絡(luò)管理節(jié)點(diǎn)。管理軟件和管理功能主要集中在網(wǎng)絡(luò)管理節(jié)點(diǎn)上，網(wǎng)絡(luò)管理節(jié)點(diǎn)與被管理節(jié)點(diǎn)是主從關(guān)系。優(yōu)點(diǎn)：便于集中管理缺點(diǎn)：（ 1）管理信息集中匯總到管理節(jié)點(diǎn)上，信息流擁擠（ 2）管理節(jié)點(diǎn)發(fā)生故障會(huì)影響全網(wǎng)的工作分布式網(wǎng)絡(luò)管理模式是將地理上分布的網(wǎng)絡(luò)管理客戶機(jī)與一組網(wǎng)絡(luò)管理服務(wù)器交互作用，共同完成網(wǎng)絡(luò)管理的功能。優(yōu)點(diǎn)：（ 1） 可以實(shí)現(xiàn)分部門管理： 即限制每個(gè)哭戶籍只能訪問和管理本部門的部分網(wǎng)絡(luò)資源， 而由一個(gè)中心管理站實(shí)施全局管理。（ 2）中心管理站還能對(duì)客戶機(jī)發(fā)送指令，實(shí)現(xiàn)更高級(jí)的管理（ 3）靈活性和可伸縮性缺

2、點(diǎn)：不利于集中管理所以說采取集中式與分布式相結(jié)合的管理模式是網(wǎng)絡(luò)管理的基本方向snmp 安裝信息刺探以及安全策略一、 SNMP 的概念 ,功能SNMP（ Simple Network Management Protocol ）是被廣泛接受并投入使用的工業(yè)標(biāo)準(zhǔn)，它的目標(biāo)是保證管理信息在任意兩點(diǎn)中傳送，便于網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點(diǎn)檢索信息， 進(jìn)行修改， 尋找故障； 完成故障診斷， 容量規(guī)劃和報(bào)告生成。 它采用輪詢機(jī)制， 提供最基本的功能集。 最適合小型、快速、 低價(jià)格的環(huán)境使用。 它只要求無證實(shí)的傳輸層協(xié)議UDP,受到許多產(chǎn)品的廣泛支持。本文將討論如何在 Win2K 安裝使支持 SNMP 功能

3、， SNMP 技術(shù)對(duì)于提升整體安全水準(zhǔn)是有益的， 但也可能存在風(fēng)險(xiǎn)，本文將同時(shí)檢驗(yàn)這兩個(gè)方面。另外，除了介紹一些開發(fā)工具外， 還將圖解通過SNMP 收集信息的可能用法,以及如何提高安全性。二、在 Win2K 中安裝 SNMP提供一個(gè)支持 SNMP 的 Win2K 設(shè)備與增加一個(gè)額外的 Windows 組件同樣簡(jiǎn)單，只需要進(jìn)入 "開始 /設(shè)置 /控制面板 /" ，選擇 "添加 / 刪除程序" ，然后選擇"添加 / 刪除Windows 組件" ，隨之出現(xiàn)一個(gè)對(duì)話框，在其中選擇"管理和監(jiān)視工具" ，最后點(diǎn)擊 "

4、 下一步" ，依照提示安裝：OK,現(xiàn)在 Win2K就可以通過 SNMP來訪問了 .三、對(duì) snmp 信息的刺探方法1、 Snmputil get下面我們?cè)诿钚袪顟B(tài)下使用 Win2K 資源工具箱中的程序來獲取安裝了 SNMP 的 Win2K 機(jī)器的網(wǎng)絡(luò)接口數(shù)目，命令參數(shù)是get：前提是對(duì)方snmp 口令是 public提供基本的、低級(jí)的 SNMP 功能，通過使用不同的參數(shù)和變量，可以顯示設(shè)備情況以及管理設(shè)備。下面來看看這個(gè)例子都包含了哪些參數(shù)和變量：最后一個(gè)參數(shù)是 SNMP變量，值為1.3.6.,被稱為物件識(shí)別代碼OID( object identifier )。OID有對(duì)應(yīng)的字符串

5、表達(dá)式，也就是在SNMPUTIL輸出內(nèi)容的第一行，在這個(gè)例子中，即是。這個(gè)字符串對(duì)于用戶來說，就要易記易讀多了。你可以發(fā)現(xiàn)，這種對(duì)應(yīng)關(guān)系與DNS 類似。第二個(gè)參數(shù)指定將 SNMP請(qǐng)求發(fā)送給哪個(gè)設(shè)備，在這里是localhost,即本地主機(jī)。第三個(gè)參數(shù)指定使用哪個(gè)共同體(即驗(yàn)證字符串或口令) ，在這里是public 。在每個(gè)發(fā)送到被管理設(shè)備的SNMP UDP信息包中，這個(gè)口令是以純文本形式傳輸?shù)?。?dāng)一個(gè) Win2K 設(shè)備安裝上SNMP 支持后，缺省的 SNMP 共同體名稱為public ，這表明允許用戶讀取現(xiàn)有的所有變量。因?yàn)榧幢闶窃O(shè)備中的網(wǎng)絡(luò)接口數(shù)目也是一個(gè)敏感數(shù)據(jù)，所以這就成為第一個(gè)安全問題。

6、2、 Snmputil getnext接著，我們?cè)囈辉?snmputil 的另一個(gè)命令參數(shù)getnext:getnext的功能是獲取指定SNMP變量的下一個(gè)變量的值及其OID。因?yàn)橐粋€(gè)設(shè)備的所有SNMP變量都是規(guī)則排列的，所以使用 getnext 命令參數(shù)就可以獲取一個(gè)設(shè)備中的所有變量值及OID ，而不需要事先知道它們的準(zhǔn)確 OID值。另外 Snmputil getnext 可以用來測(cè)試 Windows 2K SNMP 內(nèi)存消耗拒絕服務(wù)攻擊缺陷受影響的系統(tǒng)有：- Microsoft- Microsoft Windows 2000 Server SP2- Microsoft Windows 20

7、00 Server SP1- Microsoft Windows 2000 Server具體方法 :snmputil getnext localhost public .1.3.6.請(qǐng)謹(jǐn)慎使用。 。 。 。 。 。 當(dāng)心被警察叔叔K 哦3、 snmputil walk知道了 next 指令的用途，我們可以編寫一個(gè)程序自動(dòng)獲取一個(gè)設(shè)備的所有OID 及其數(shù)值，而不用一行行地敲入那么長(zhǎng)的命令。但幸運(yùn)的是， snmputil 的 walk 指令幫助我們實(shí)現(xiàn)了這個(gè)想法。在命令行狀態(tài)下敲入下面的命令，將顯示出本地機(jī)器幾乎所有的變量：C:> snmputil walk localhost public

8、 .你會(huì)看到一行行的文字在黑白窗口中不停地滾動(dòng) 直到最后出現(xiàn)"End of MIBsubtree" 的信息：其他指令含義：walk 對(duì)方 ip public .1.3.6. 列出系統(tǒng)進(jìn)程這樣就可以使入侵者在入侵之前就知道你系統(tǒng)運(yùn)行的軟件，有沒有裝殺毒軟件，從而知己知彼，百戰(zhàn)不殆！walk 對(duì)方 ip public .1.3.6. 列系統(tǒng)用戶列表有了這個(gè)更好了，入侵者可以根據(jù)你的用戶表編一個(gè)密碼表進(jìn)行探測(cè)，減少了入侵的盲目性。get 對(duì)方 ip public .1.3.6. 列出域名這個(gè)可以列出系統(tǒng)的域名，是入侵者得到了主機(jī)名，可以根據(jù)此設(shè)置探測(cè)的密碼字典，增加了成功率。wa

9、lk 對(duì)方 ip public .1.3.6. 列出安裝的軟件用這個(gè)入侵者可以看你裝的 sp 是什么，有沒有裝防火墻等信息，可以據(jù)此判斷應(yīng)該有 的系統(tǒng)漏洞，增加了入侵的成功率。walk 對(duì)方 ip public .1.3.6. 列出系統(tǒng)信息這個(gè)可以使入侵者了解系統(tǒng)狀況以及主機(jī)的穩(wěn)定性，可以從主機(jī)的 uptime 里得知你系 統(tǒng)開機(jī)了多長(zhǎng)時(shí)間，從而確定是否入侵。其他的工具：1： SolarWinds 2002 的 IP Network Browser_id=82”>軟件地址）_id=83">注冊(cè)機(jī)下載）2： LANguard Network Scanner 3. _id=1

10、03">3：以上用 x-scan 就得到了系統(tǒng)信息_id=13">四、如何提高Win2K SNMP 的安全性1: 首先需要注意的是， snmp 服務(wù)的通訊端口是UDP 端口，這也就是大部分網(wǎng)絡(luò)管理人員很容易忽略的地方。往往某些網(wǎng)管配置服務(wù)器阻斷了 NetBIOS 空會(huì)話的建立， 就認(rèn)為系統(tǒng)安全有了相當(dāng)?shù)谋?障，可由于安裝了 SNMP服務(wù)，不知不覺中，就給系統(tǒng)帶去了極大的隱患。最方便和容易的解決方法，就是關(guān)閉SNMP服務(wù)，或者卸載掉該服務(wù)。如果關(guān)掉 SNMP 服務(wù)不方便的話，那么可以通過修改注冊(cè)表或者直接修改圖形界面的SNMP服務(wù)屬性進(jìn)行安全配置。開始一一程序一一

11、管理工具一一服務(wù)一一SNMP Service-屬性一一安全在這個(gè)配置界面中， 可以修改 community strings ， 也就是微軟所說的 "團(tuán)體名稱 " ， 呵呵， 也就是我所說的"查詢密碼"?；蛘呖梢耘渲檬欠駨哪承┌踩鳈C(jī)上才允許SNMP查詢。不過 NT4 環(huán)境下的朋友就必須修改注冊(cè)表了。修改 community strings ，在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersValidCom munities下，將 public 的名稱修改成其它的名稱就可以了。

12、如果要限定允許的ip才可以進(jìn)行SNMP查詢，可以進(jìn)入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParametersPermitted Managers添加字符串，名稱為"1" ，內(nèi)容為要允許的主機(jī)IP。當(dāng)然，如果允許多臺(tái)機(jī)器的話，就要名稱沿用 "2 、 3、 4"等名稱了2: 在 Win2K 中，事件日志中的任何事件都可用來創(chuàng)建包含這一事件的 SNMP 陷阱， Microsoft 將這稱為 SNMP 事件轉(zhuǎn)換器?？梢詫?duì)一些Win2K 設(shè)備進(jìn)行配置，使得當(dāng)有人試圖登錄它或者對(duì)其共享而未成功時(shí)，

13、讓這些設(shè)備能夠發(fā)送一個(gè)SNMP 陷阱信息。把這些陷阱引導(dǎo)到我們自己的工作站，并設(shè)置當(dāng)收到陷阱信息，用應(yīng)用程序播放一個(gè)報(bào)警音調(diào)，這樣就可以初步建立一個(gè)多媒體安全管理工作站。配置這些陷阱信息所需要的工具有和，二者都是Win2K 標(biāo)準(zhǔn)安裝后的一部分：用對(duì)一些重要事件建立陷阱，然后在管理工作站上啟動(dòng)：C:> snmputil trapsnmputil: listening for traps.Incoming Trap:generic = 6specific = 529enterprise = .agent =source IP =community = publicvariable = .va

14、lue = Stringvariable = .value = String SYSTEMvariable = .value = String JVO variable = .value = String 16variable = .value = String 2variable = .value = String nonexistinguservariable = .value = String ADSvariable = .value = String 3variable = .value = String NtLmSsp variable = .value = String MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 variable = .value = String JVO要記彳3E, SNMP陷阱只產(chǎn)生于出現(xiàn)在 Win2K事件日志中的事件。如果是一個(gè)單獨(dú)的工作站，需要在"本地安全策略" 中配置。如果是一個(gè)域中的設(shè)備，要使用 AD (活動(dòng)目錄)來設(shè)置。另一個(gè)使用SNMP并得到附加安全的方法是主動(dòng)監(jiān)控某些SNMP變量，這些變量有： IpForwarding (1.3.6