第9章网络安全管理.

网络安全与管理第9章网络安全管理•知识目标•了解网络管理的基本概念•掌握网络管理的基本功能•掌握网络管理结构模型•了解网络安全管理的隐患、原则和内容•技能目标•掌握简单网络管理协议•了解公共管理信息协议•了解网络管理新技术9.1网络管理概述1.网络管理的目标•网络管理的目标是满足网络资源的提供者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求，具体如下：•（1）网络应是有效的•（2）网络应是可靠的•（3）网络要有开放性•（4）网络要有综合性•（5）网络要有一定的安全性•（6）网络要有经济性2.网络管理的实质•网络管理的实质在于对各种网络资源进行监测、控制和协调，并在网络出现故障时，及时进行报告和处理，尤其是向管理员报警，以便尽快维护。3.网络管理的对象•计算机网络管理涉及网络中的各种资源，可分为两大类：硬件资源和软件资源。•硬件资源是指物理介质、计算机设备和网络互连设备。•软件资源主要包括操作系统、应用软件和通信软件。4.网络管理的标准•网络设备的异构性导致标准化的需求。著名的网络管理协议包括ISO/OSI网络管理标准——公共管理信息协议CMIP和因特网网络管理标准——简单网络管理协议SNMP。CMIP是在SNMP的基础之上设计的。•相对于SNMP而言，CMIP的缺陷主要是它的实现需要大量资源，因此CMIP没能流行起来。9.2网络管理的基本功能国际标准化组织在ISO/IEC7498-4文档中定义了开放系统的网络管理的五大功能，为广泛认可。这五大管理功能是：故障管理功能、配置管理功能、性能管理功能、安全管理功能和计费管理功能。9.2.1故障管理•故障管理的主要任务是发现和排除网络故障，是网络管理中最基本的功能之一。•网络故障管理包括故障检测、隔离和纠正三方面，具体包括以下功能：•（1）维护并检查错误日志。•（2）接受错误检测报告并作出响应。•（3）跟踪、辨认错误。•（4）执行诊断测试。•（5）纠正错误。9.2.2配置管理•配置管理就是定义、收集、监测和管理系统的配置参数，使得网络性能达到最优。该功能需要监视和控制的内容包括如下：•（1）设置设备参数、初始化和关闭网络资源。•（2）收集系统当前状态的有关信息，如网络资源及其活动状态、网络资源之间的关系。•（3）根据请求向网管中心反馈特定的数据。•（4）更改系统的配置，如新资源的引入和旧资源的删除等。9.2.3性能管理•性能管理用于收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。典型的网络性能管理分成性能监测和网络控制两部分。网络性能管理的功能应该包括：•（1）收集和分发、统计与性能有关的数据信息。•（2）维护系统性能的历史记录。•（3）模拟各种操作的系统模型。•（4）分析当前统计数据，以检测性能故障，产生性能告警、报告性能事件。•（5）确定自然和人工状况下系统的性能。•（6）改变系统操作模式以进行系统性能管理的操作。9.2.4安全管理•安全管理是指监视、审查和控制用户对网络的访问，并产生安全日志，以保证合法用户对网络的访问。在内部网络中，安全管理一般是由专门的软件分担，如防火墙软件。•安全管理的功能包括：•（1）支持安全服务。•（2）维护安全日志。•（3）向其他开放系统分发有关网络安全方面的信息和相关事件的通报。•（4）创建、删除、控制安全服务和机制。9.2.5计费管理•计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。•计费管理功能应包括以下内容：•（1）统计网络的利用率等效益数据，以使网络管理人员确定不同时期和时间段的费率。•（2）设置计费的阀值点：根据用户使用的特定业务在若干用户之间公平、合理地分摊费用。•（3）通知用户使用的费用或使用的资源，允许采用信用记账方式收取费用，包括提供有关资源使用的账单审查。•（4）当用户使用多种资源时，将有关的费用综合在一起。三维管理空间系统管理域与系统管理功能之间的关系9.3网络管理结构模型9.3.1网络管理系统的逻辑结构•在网络管理系统的逻辑结构中，网络管理被抽象成一种独特的网络应用。1.网络管理系统的逻辑模型•现代计算机网络管理系统主要由4个部分组成：若干被管代理及被管对象；至少一个网络管理器用于执行具体的管理操作；一种公共的网络管理协议；系统管理应用进程及一种或多种信息管理库。•（1）被管对象是抽象的网络资源。•（2）管理进程是负责对网络中的资源进行全面的管理和控制（通过对被管对象的操作）的软件。•（3）管理协议负责在管理系统与被管对象之间传送操作命令和负责解释管理操作命令。2.OSI网络管理结构模型3.Internet网络管理逻辑模型4.网络管理系统的基本模型9.3.2网络管理信息模型•网络管理系统中需要处理的信息类型和数量十分庞大，因此，建立网络管理信息模型是十分有必要的。1.网络管理信息模型的引入•网络管理进程、被管对象以及网络中的物理实体之间的关系如下图所示。管理信息模型的关系2.被管对象•被管对象是对网络管理数据的抽象，它们代表管理活动中所涉及的资源和信息。对被管对象的管理操作由管理进程发起，通过管理进程与被管对象之间的通信来完成。•一个被管对象可以代表单个网络资源，也可以代表多个网络资源，如无线通信频带等。被管对象与网络中的真实资源不一定要有一一对应关系，因为并非所有的资源都要有相应的对象去表示它。被管对象类•管理信息库中有许多具有相同管理操作、属性、特性组、通报和行为特性的对象属于同一个“被管对象类”。被管对象类只是一个虚拟的概念或定义了的类别。当一个具体的网络实体作为某类被管对象存在（创建）时，该实体就称为对象实例。对被管对象的操作实际上都是对被管对象实例进行的。3.Internet的管理信息库•Internet是当今世界上最大的计算机网络，其TCP/IP已经成为事实上的国际标准。Internet的管理系统受到世界各国的高度重视。1）Internet的MIB•Internet的MIB是围绕被管对象组进行组织的，采用了结构化的管理信息定义，称为管理信息结构（SMI），规定了如何识别被管对象以及如何组织被管对象的信息结构。•Internet的MIB有两个版本，最早的称为MIB-Ⅰ，其中只包括管理Internet所需的被管对象。满足下述条件的对象才包括在MIB-Ⅰ中。•故障和配置分析所必需的被管对象。•每个对象只能具有有限的安全鉴别特性。•已被证明确实有用的对象。•不是从另一个对象中导出的对象。•多种平台上都有的通用对象。•每个关键环路只允许一个计数器类的对象。•因此，MIB-Ⅰ中总共只定义了114种被管对象。凡是要接受Internet管理站管理的结点都必须支持Internet的标准MIB，但不是所有的结点都需要具备管理协议的全部功能。MIB-Ⅰ中被管对象的分组和种数组名字被管对象所对应的资源对象种数SYSTEMINTERFACEATIPICMPTCPUDPEGP被管的整个结点网络连接接口IP地址翻译实体Internet协议Internet控制报文协议传送控制协议用户数据报文协议外部网关协议322333261746表9-1MIB-Ⅰ中被管对象的分组和种数2）被管对象命名•所有网络资源都要注册由MIB管理机构定义的相应对象，在层次结构的注册目录中分配被管对象名称。对象名称是按照SMI中的命名规范分配的。•Internet提供了增加被管对象的办法。•第一种方法是定义新版本的MIB来增加新的标准被管对象；•第二种方法是在命名树的“试验”分支中定义新的、非标准被管对象；•第三种方法是在“专用”分支下增加各种未有被管对象。3）句法和类型•在Internet的MIB标准中采用ASN.1结构来描述对象类，但不是完全遵循ASN.1全集，而只采用了下列5个原语类型：INTERGER（整数）、OCTET（任意字符串）、STING（ASCⅡ码字符串）、OBJECTIDENTIFIER（对象标识符）和NULL（空），再加上两个构词类型：SEQUENCE和SEQUENCEOF。其中整数可以是枚举类型。•在Internet的SMI中定义了6个主要的被管对象类，它们分别如下：•（1）networkaddress（网络地址）•（2）IPaddress（IP地址）•（3）timeticks（时间变量）•（4）gauge（量规）•（5）counter（计数器）•（6）opaque（模糊）4）被管对象的定义•Internet中的被管对象都是用一些关键字（保留字）来说明的，为了描述被管对象的说明格式，SNMP中使用了如下5个记号：•object（对象描述符）：这个字段用ASCⅡ字符串来描述对象。•syntax（句法）：这个字段允许用任意个字符来描述对象。•definition（定义）：这个字段是补充说明，帮助理解和记忆。•access（访问）：这个字段规定对象的访问方式，如只读、只写、不可访问等。•status（状况）：这个字段用来描述对象的3种状况，即必备的、可选的和已过时不用的。9.4网络管理协议在网络管理系统的4个组成部分中，网络管理协议最重要。它定义了网络管理器与被管代理间的通信方法，规定了管理信息库的存储结构、信息库中关键字的含义以及各种事件的处理方法。目前最有影响的网络管理协议是SNMP和CMIP，它们也代表了目前两大网络管理解决方案。9.4.1简单网络管理协议•简单网络管理协议（SNMP）是使用户能够通过轮询、设置关键字和监视网络事件来达到网络管理目的的一种网络协议。它是一个应用级的协议，而且是TCP/IP协议簇的一部分，工作于用户数据报文协议（userdatagramprotocol，UDP）上。•SNMP原先是在TCP/IP协议的基础上为ARPNET开发的，但现在已发展成为各种网络及网络设备的网络管理协议标准。1.SNMP的管理结构模型•SNMP主要用于OSI七层模型中较低几个层次的管理，它的基本功能包括监视网络性能、检测分析网络差错和配置网络。SNMP网络管理模型由多个管理代理、至少一个管理工作站、一种通用的网络管理协议和一个或多个管理信息库4部分组成。•用户主机和网络互连设备等所有被管理的网络设备称为被管对象；•驻留在被管对象上，配合网络管理的处理实体称为管理代理；•实施管理的处理实体称为管理器；•管理器和管理代理通过网络管理协议来实现信息交换。管理器驻留在管理工作站上，信息分别驻留在被管对象和管理工作站上的管理信息库中。2.SNMP的工作原理•SNMP的原理十分简单，它以轮询和应答的方式进行工作，采用集中或者集中分布式的控制方法对整个网络进行控制和管理。•整个网络管理系统包括SNMP管理者、SNMP代理、管理信息库（MIB）和管理协议四个部分。每一个支持SNMP的网络设备中包含一个代理，它随时记录网络设备的各种情况。网络管理程序通过SNMP通信协议查询或修改代理所记录的信息。•SNMP的管理模型如下图所示。SNMP的管理模型3.SNMP的优缺点•SNM之所以能成为流传最广、应用最多的一个网络管理协议，是因为它具有以下优点：•（1）简单、易于实现。•（2）获得了广泛的使用和支持。•（3）具有很好的扩展性。•SNMP的缺点•（1）由于SNMP是基于TCP/IP的一种网络管理协议，所以它不能超越TCP/IP的范畴，无法完成高层次的配置工作。另外，SNMP仍然是一种应急的做法。•（2）像所有TCP/IP协议簇中的协议一样，SNMP对安全问题考虑甚少。•（3）当SNMP刚刚面世时，还没有对管理程序间的通信提出任何需求。•为了弥补SNMP的这些不足之处，1993年，因特网的核心管理机构IAB（InternetActivitiesBoard）对其作了相应的改进后，制定了SNMPv2。4.SNMPv2•SNMPv2是因特网标准网络管理框架的第二版，来源于最初的因特网标准网络管理框架（SNMPv1）。SNMPv2沿用了SNMP中的绝大多数特征，因此在一个网络管理环境中可同时使用SNMP和SNMPv2。•SNMPv2也是一种基于UDP的网络管理协议，即在进行网络管理时，管理者与代理间不必建立实际的