Novell Growing Business Suite 网络维护文件系统和 eDirectory 数据库中的数据。文件系统储存网络用户所用的文件和应用程序。eDirectory 数据库储存用来维护和管理网络的信息,如对网络资源的访问权限、打印和安全。
对文件、目录和 eDirectory 对象的访问权限,可以轻而易举地在 eDirectory 中的多个地方、在文件系统结构或上述二者中进行管理。即使入侵者试图访问某个目录或文件,也需要先通过多个安全透明层。
访问控制决定哪些用户可以使用哪些网络信息和资源,用户可以在网上执行哪些操作。访问控制是通过下列各项实现的。
鉴定。 网络管理员可使用 Novell Easy Administration ToolTM (NEAT) 添加用户帐户,从而控制谁可以登录到网络。
鉴定 是指同意或拒绝用户登录到网络和 eDirectory 树。即使被授予了访问权限,用户也只能访问那些自己有权访问的服务器。用户登录到一台服务器时,仅可访问自己具有访问权限的卷、目录和文件。
可以控制需要访问所有资源(如驻留于文件和目录中的数据和程序)的用户和组的权限。还可以防止对服务器级别上所有对象的未授权访问。
Novell 模块化鉴定服务 (NMASNMASTM) 软件为要鉴定到 eDirectory 的用户提供其它登录方法。这些新的登录方法能够在访问网络资源的过程中加大安全系数。NMAS 必须同时安装在 NetWare 6 服务器和 Novell 客户工作站上。安装了 NMAS 后,将使用 ConsoleOneTM 安装和管理新的登录方法。有关此服务的详细信息,请参见 Novell Modular Authentication Service Administration Guide(Novell 模块化鉴定服务管理指南)(NetWare 6 文档)。
eDirectory 安全性。 eDirectory 安全性控制对 eDirectory 对象及其属性的访问权限。您可以授予或拒绝用户或组访问 eDirectory 对象。例如,如果授予用户对某打印机对象的操作员权限,则该用户可以修改该打印机对象的打印参数。 可以使用 ConsoleOneTM 设置对对象的所有权限。
文件系统安全性。 通过控制对网络文件、目录和卷的访问可保护文件系统。可以授予用户或组不同类型的权限,包括访问类型和在网络文件系统内执行不同操作的能力。例如,可以将网络服务器上的应用程序和数据文件限制为“只读”访问,这样用户就只能使用而不能更改这些应用程序或数据文件。 可使用 NEAT 同意或拒绝访问目录和文件。有关详细信息,请参见管理 NetWare 文件系统。
加密服务。 Novell Certificate Server 提供公共密钥加密服务,这些服务自然集成在 eDirectory 中,可用于创建、发布和管理用户证书和服务器证书。这些服务可保护通过公共通讯通道(如因特网)传送的机密数据。 有关此服务的详细信息,请参见 Novell Certificate Server Administration Guide(Novell Certificate Server 管理指南)(NetWare 6 文档)。
防火墙服务。 BorderManagerTM 3.6 版提供防火墙服务。Novell Growing Business Suite 6 中包含了 Boarding Manager 3.6 版的防火墙服务和超速缓存/代理服务。 有关安装的指导信息,请参见 Novell and Partner Solutions 光盘上的 PARTNERS.PDF 文件。 有关 BorderManager 3.6 的完整信息,请参见 Novell BorderManager Enterprise Edition Overview and Planning(Novell BorderManager Enterprise Edition 概述和规划)。
为网络创建保护计划时,切记文件系统和 eDirectory 数据库信息是作为单独的系统维护的。要创建最有效的网络保护计划,应分析哪些方法可最有效地保护每台服务器和工作站。
可执行下列任务以防止网络数据丢失,降低系统的脆弱性,以及在系统发生故障后恢复。
使用不间断电源 (UPS) 是对网络的必要保障。它不但有助于防止因电源浪涌和局部断电给计算机造成的损坏,而且可以防止在发生电源故障时丢失数据。每台服务器都应该安装有 UPS,而每个工作站则应有电涌保护。
有关详细信息,请参见 Server Operating System Administration Guide(服务器操作系统管理指南)(NetWare 6 文档)中的“Preventing Power Supply Errors(防止电源故障)。
如果公司没有 UPS,建议最少应为网络上的每台计算机都安装一个电涌控制连接器,以防止出现电源浪涌时丢失数据。
NetWare 包括事务监视功能,这种功能称为 Transaction Tracking System (TTS)。如果将某个文件标记为事务性的文件,TTS 能够防止该文件中的记录遭到毁坏,方法是撤出不完整的事务并保留已撤出数据的记录。
注意: 标记为事务性的文件不能删除也不能被重命名。
TTS 还能够撤出文件截断或扩展以及在单个事务执行过程中对同一数据区的多个更改。TTS 甚至能够撤出中断的撤出(如果 NetWare 服务器在撤出事务时出现故障)。
不过,对于那些发出记录锁定呼叫和将信息储存在记录中的应用程序,TTS 不能防止上述类型的故障,这些应用程序包括:传统的数据库、某些电子邮件应用程序以及一些工作组约会日程安排器。
记入分离记录中的文件(如字处理文件)不受 TTS 保护。
出现以下情况时,不能正确保存网络上的事务:
如果服务器出现故障,而文件已标记为事务性文件,则在服务器重新运转后,TTS 会撤出该事务。如果工作站或网络传送部件出现故障,TTS 会立即撤出该事务。
有关 TTS 如何工作以及如何启用和激活它的细节,请参见 Server Operating System Administration Guide(服务器操作系统管理指南)(NetWare 6 文档)中的“Using the Transaction Tracking System(使用 Transaction Tracking System)”。
将服务器控制台锁定在人们不能对其进行重引导或干涉的地方是最安全的。使用 SECURE CONSOLE 实用程序可以获得更高的安全系数。
重要: SECURE CONSOLE 不锁定服务器控制台。
SECURE CONSOLE 提供下列保护:
要使用 SECURE CONSOLE,请完成以下步骤。
在服务器控制台提示符下,输入
SECURE CONSOLE
(可选)要在引导服务器时保证控制台的安全,请将 SECURE CONSOLE 命令添加到服务器的 AUTOEXEC.NCF 文件。
重要: 要去除 SECURE CONSOLE,必须关闭服务器,然后重引导它。如果 SECURE CONSOLE 命令在 AUTOEXEC.NCF 文件中,则关闭服务器之前必须从文件中去除该命令,否则在重启动服务器时该命令将自动运行。
要防止在控制台上进行键盘输入,请按照以下方法使用 SCRSAVER(屏幕保护程序)实用程序:
在控制台提示符下,输入
SCRSAVER ENABLE
此命令启用默认设置的屏幕保护程序。有关 SCRSAVER 设置和如何修改它们的细节,请参见 Utilities Reference(NetWare 6 文档)中的“SCRSAVER”。
(可选)要在引导服务器时启用 SCRSAVER,请将 SCRSAVER ENABLE 命令添加到服务器的 AUTOEXEC.NCF 文件。
要清除屏幕保护程序,请按任意键,并输入您的用户名和口令。
重要: 用于清除屏幕保护程序的用户名必须具有对 eDirectory 服务器对象的访问权限。
防止病毒侵入网络最好的方法是让用户知道病毒的危险性并加强防护以减少病毒危险。
Novell Growing Business Suite 中包含了 Network Associates 开发的防病毒软件。有关其它产品信息和安装指导信息,请参见 Novell and Partners Solution 光盘上的 PARTNER.PDF 文件。
另外,我们还建议您执行下列操作:
另一个安全功能(NCP 包签名)通过使用 NetWare Core ProtocolTM (NCP) 服务来保护服务器和客户机。
NCP 包签名通过要求服务器和客户机对每个 NCP 包签名来防止伪造包。每个包的包签名都不同。
签名不正确的 NCP 包将被丢弃,但不会中断该客户机到服务器的连接。然而,将有一条有关该无效包的警报讯息发送到错误日志、受影响的客户机以及服务器控制台。该警报讯息包含受影响客户机的登录名和站地址。
有关细节,请参见 Server Operating System Administration Guide “Using NCP Packet Signature(使用 NCP 包签名)”。
在网络保护计划中,包括文件系统和 eDirectory 数据库的完整的脱机备份。计划应该包括定期备份数据,并确知如何恢复数据。有关备份和恢复解决方案的细节,请参见 Storage Management Services Administration Guide(Storage Management Services 管理指南)(NetWare 6 文档)。