Novell Growing Business Suite 網路是在檔案系統與 eDirectory 資料庫中維護資料。檔案系統儲存網路使用者所用的檔案與應用程式。eDirectory 資料庫儲存用來維護與管理網路的資訊,如網路資源的存取權、列印與保全性等。
從 eDirectory 或檔案系統結構 (或兩者) 中的許多不同位置,都可以輕鬆管理檔案、目錄與 eDirectory 物件的存取權。侵入者在企圖存取目錄或檔案之前,必須通過幾個安全透明層級。
存取控制會決定哪些使用者可用哪些資訊與資源,以及使用者可在網路上執行哪些動作。存取控制的執行可透過下列各項程序:
驗證。 作為網路管理員,您可以利用 Novell 簡易管理工具 (Novell Easy Administration ToolTM,NEAT) 新增使用者帳戶,管制登入至網路的任何人。
驗證 是指對登入網路與 eDirectory 網路樹的使用者准許或拒絕進入。如果授予存取,使用者只能存取他們有存取權限的伺服器。當使用者登入伺服器時,他們只能存取有存取權限的卷冊、目錄與檔案。
您可以為必須存取所有資源 (例如位在檔案與目錄中的資料與程式) 的使用者與群組控制權限。您也可以保護所有物件,不允許在伺服器層級未經授權的存取。
Novell 模組化驗證服務 (NMASTM) 軟體提供另一種讓使用者通過 eDirectory 驗證的登入方法。這些新的登入方法為網路資源的存取提高保全性。NMAS 必須安裝在 NetWare 6 伺服器與 Novell Client 工作站。在安裝 NMAS 後,使用 ConsoleOneTM 安裝與管理新的登入方式。如需更多關於此服務的資訊,請參閱《Novell 模組化驗證服務管理指南》 (NetWare 6 說明文件)。
eDirectory 保全性。 eDirectory 保全性會控制對 eDirectory 物件及其內容的存取權。您可以授予或拒絕使用者或群組對 eDirectory 物件的存取權。例如,如果授予使用者對「印表機」物件的操作員權限,使用者就可以修改該「印表機」物件的列印參數。 您可以使用 ConsoleOneTM 設定所有物件的權限。
檔案系統保全性。 保護檔案系統就是控制網路檔案、目錄與卷冊的存取權。您可以授予使用者或群組不同類型的權限,包括存取類型與在網路檔案系統中執行不同動作的能力。例如,您可以將網路伺服器上某些應用程式與資料檔案限制成唯讀存取,讓使用者僅能使用應用程式或資料檔案,卻無法變更。 您可以利用 NEAT 授予或拒絕目錄與檔案的存取權。如需更多資訊,請參閱管理 NetWare 檔案系統。
密碼服務 Novell 證書伺服器提供公鑰法密碼服務,它以原生方式整合到 eDirectory,可讓您製作、發出與管理數位證書。這些服務可讓您保護在公用通訊通道 (如網際網路) 上傳輸的機密資料。 如需獲得其他關於密碼服務的資訊,請參閱《Novell 證書伺服器 管理指南》 (NetWare 6 說明文件)。
防火牆服務。 BorderManagerTM 3.6 提供防火牆服務。Novell Growing Business Suite 6 可以使用 Boarding Manager 3.6 的防火牆與快取/代理服務。 如需獲得安裝指示,請參閱Novell 與夥伴解決方案 CD 上的 PARTNERS.PDF 檔案。 如需關於 BorderManager 3.6 的完整資訊,請參閱Novell BorderManager Enterprise Edition Overview and Planning (Novell BorderManager Enterprise Edition綜覽與規劃)!C
建立網路的保護計畫時,請記住檔案系統與 eDirectory 資料庫資訊是以不同的系統維護。若要建立最有效的網路保護計畫,請分析哪些方式可確保每部伺服器或工作站受到最有效的保護。
您可以執行下列工作避免網路資料損失,降低系統損害,與從系統故障復原。
使用不斷電系統 (UPS) 是網路不可或缺的一部分。它不只能幫您預防電力突波與限電對電腦所造成的損壞,還能預防在停電過程中失去資料。每部伺服器都應該安裝一部 UPS,而每部工作站也應該具備防止突波裝置。
如需更多資訊,請參閱"預防電力供應故障",這位於《伺服器作業系統管理指南》 (NetWare 6 說明文件)。
如果您公司沒有 UPS,建議您至少要花錢為網路上的每部電腦加裝突波控制連接器,以免發生電力突波時失去資料。
NetWare 包括一個異動監控特性,稱為異動追蹤系統 (Transaction Tracking System,TTS)。如果將檔案標記為異動的 (transactional),則 TTS 會反轉不完整的異動,並保留一份反轉資料的記錄,藉以防止檔案記錄發生毀損。
蛁砩: 被標記為異動的檔案不能刪除或重新命名。
TTS 也可以反轉檔案截短或延長,以及單一異動過程中對同一資料區域的多次變更。如果 NetWare 伺服器在反轉異動中途失敗的話,TTS 甚至可以反轉中斷的反轉。
但是對於會發出記錄鎖定呼叫並將資訊儲存在記錄中的任何類型應用程式 (包括傳統資料庫、一些電子郵件應用程式與一些工作群組約會規劃程式),TTS 無法保護這類型的失敗。
不是組織成個別記錄的檔案 (例如文書處理檔案) 不受 TTS 保護。
若發生下列任何狀況,儲存的網路異動可能會不正確:
如果伺服器故障,而且檔案已標記為異動的,則 TTS 會在伺服器重新回復時反轉異動。如果工作站或網路傳輸配件故障,TTS 會立即反轉異動。
如需獲得關於 TTS 如何運作及如何開啟與關閉的詳細資料,請參閱 "使用異動追蹤系統 ,這位於《伺服器作業系統管理指南》 (NetWare 6 說明文件)。
最安全的伺服器主控台,是將伺服器主控台鎖在定位,使任何人都無法將伺服器重新開機,或加以竄改。使用 SECURE CONSOLE 公用程式,則可以取得其他層次的保全性。
笭猁: SECURE CONSOLE 不會鎖定伺服器主控台。
SECURE CONSOLE 提供下列保護:
若要使用 SECURE CONSOLE,請完成下列步驟:
在伺服器主控台提示符下輸入
SECURE CONSOLE
(選擇性的) 若每次將伺服器開機後都要保護主控台,請將 SECURE CONSOLE 指令加到伺服器的 AUTOEXEC.NCF 檔案中。
笭猁: 若要移除 SECURE CONSOLE,您必須關閉伺服器再重新開機。如果 SECURE CONSOLE 指令在 AUTOEXEC.NCF 檔案中,您必須在關閉伺服器前,將指令從檔案中移除,否則當伺服器重新啟動時,指令會自動執行。
若要防止在主控台上由鍵盤輸入,請使用 SCRSAVER (螢幕保護裝置) 公用程式如下:
在主控台提示符下輸入
SCRSAVER ENABLE
此指令會以預設值啟動螢幕保護裝置。如需獲得關於 SCRSAVER 設定的詳細資料,以及如何進行修改,請參閱 "SCRSAVER",這位於《公用程式參考》中 (NetWare 6 說明文件)。
(選擇性的) 若每次將伺服器開機後都要啟動 SCRSAVER,請將 SCRSAVER ENABLE 指令加到伺服器的 AUTOEXEC.NCF 檔案中。
若要清除螢幕保護裝置,請按任何鍵,再輸入您的使用者名稱與密碼。
笭猁: 用來清除螢幕保護裝置的使用者名稱必須對 eDirectory「伺服器」物件具有存取權限。
要預防網路感染病毒,最好的方法是教育使用者有關病毒的危險性,並強制執行一些可以減少病毒風險的程序。
Network Associates 的病毒防護軟體包含在 Novell Growing Business Suite 中。如需其他產品資訊與安裝指示,請參閱Novell and Partners Solution CD 上的 PARTNER.PDF 檔。
我們也建議您執行下列步驟:
另一種安全功能,「NCP 封包簽名」,利用NetWare NetWare Core ProtocolTM (NCP) 服務保護伺服器與用戶端。
NCP 封包簽名會要求伺服器與用戶端分別在每個 NCP 封包上簽名,而能阻止偽造的封包。每個封包的封包簽名各不相同。
簽名錯誤的 NCP 封包會被丟棄,但不會中斷用戶端與伺服器的連接。不過,會傳送封包無效的警示訊息到錯誤記錄、受到影響的用戶端與伺服器主控台。警示訊息中包含登入名稱與受影響用戶端的工作站位址。
如需獲得詳細資料,請參閱 "使用 NCP 封包簽名",這位於《伺服器作業系統管理指南》。
在網路保護計畫中應包括一份完整、離線的檔案系統與 eDirectory 資料庫備份。您的計劃應該是定期備份資料,而且確知如何回存資料。如需獲得關於備份與回存解決方案的詳細資料,請參閱《儲存管理服務管理指南》 (NetWare 6 說明文件)。