您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 计算机网络技术 第11章 网络管理与网络安全
第11章网络管理与网络安全259第11章网络管理与网络安全随着网络在各行各业的广泛应用,用户对网络性能的要求越来越高,几小时、几分钟甚至是几秒钟的网络失效都可能会给用户带来难以估量的损失,网络管理已经成为现代网络中昀为重要的问题之一。本章我们将介绍计算机网络管理的基本概念,包括网络管理的功能模型、结构模型、基于SNMP的TCP/IP网络管理等内容,然后就网络管理中的安全问题展开较为详细的讨论。本章建议学时数为4学时,本章学习导航参见表11.1。表11.1第11章学习导航驱动问题涉及的知识点学习要求为什么要进行网络管理?z网络管理的概念和网络的一般构成理解网络管理涉及哪些内容?z网络管理的功能模型了解如何对网络进行管理?z网络管理的信息模型与组织模型了解SNMP协议如何实施对网络的管理?z管理者、代理、MIB和SNMP协议zSNMP的四种基本操作理解了解如何衡量计算机网络的安全性?z常用计算机安全评价标准了解如何设计安全的网络架构?z网络安全模型了解如何及时发现网络系统遭受侵袭?z入侵检测技术及其作用了解如何阻止黑客对系统的攻击?z防火墙技术及其作用了解如何应对当今到处泛滥的计算机病毒?z病毒及其防范了解11.1网络管理概述*网络管理是伴随着网络的产生而产生的,19世纪末的电话话务员就是昀早的网络管理员,尽管他们当时采用了非常原始的手工方式,而且管理内容与功能也非常有限。现代意义上的计算机网络管理是伴随着ARPANET的问世而产生的,但早期并没有受到足够的重视,一直到了上个世纪80年代,它的重要性才逐渐为人们所认识,并成为网络发展中的一项很重要的关键技术。计算机网络技术26011.1.1网络管理的基本概念随着计算机和通信技术的发展,计算机网络的复杂度日益增加,主要表现在下面几个方面:z地理分散性。随着网络规模与网络互连程度的增加,网络结点的地理分布性越来越大。z结构复杂性。互联网络中,往往有多种网络技术并存,这些异构的技术通过TCP/IP等网络互联协议被连在了一起。z设备混杂性。网络中,不仅设备的类型在增加,而且不同厂商的设备出现在同一网络中的机会越来越大,使得网络的组成日益复杂。z应用多样性。各种各样的网络应用不断出现,这些应用在实现模式、数据类型与数据流量、QoS、用户对象等方面可能会表现出这样或那样的差异。z业务融合性。随着网络技术的飞速发展,语音(电信网络)、视频(有线电视网)和数据网络(计算机网络)开始走向融合,从而网络变得更加复杂。z状态多变性。上述几个因素显著增加了网络运行的不确定性,造成整个网络状态的多变性。为了确保这种复杂环境下网络运行的可用性(availability)和可靠性(reliability),网络管理就变得非常重要。网络管理(NetworkManagement,简称网管)是关于规划、监督、设计和控制网络资源使用的各种活动,通过收集、分析、检测和监控网络中各种设备和设施的工作参数与工作状态信息,提供给网络管理员进行分析决策,或者由网络管理系统自动进行决策,以控制网络中的设备和设施的工作参数和工作状态,确保网络的运行质量和运行效率。复杂的网络管理用手工去实现是不可能的,必须借助网络管理系统来实施。网络管理系统是专门用于网络管理的工具或应用软件,它通常应具备如下的一些功能:z自动发现网络拓扑结构和网络配置;z能够理解网络结构和内在的依赖关系,并报告所出现的问题;z能够提供灵活的通告方法,如电子邮件、语音、短信以及警告屏等多种方式;z能够向用户提供良好的监控能力,包括需要监控哪些设备、如何监控以及对每个警告所应采取的行动;z能够提供用户定制,以满足不同的管理与操作需求;z能够支持多厂商集成,即能够管理不同厂商提供的网络实体;z能够提供灵活的访问控制,允许设置管理员的存取权限;z能够提供应用程序接口(API),使得系统的功能可以进行方便灵活的扩充;z能够具有良好的用户界面,以有组织的简单方式显示信息,并方便易用;为了有效实现上述众多的管理功能,针对一个网络管理系统,它必须定义:应用程序的功能、管理网络的体系结构、管理系统的结构、被管理的对象和通信方法的实现,并建立与之相应的网络管理模型,包括功能模型、组织模型与信息模型。在早期,由于不同厂商所提出专用的网络管理模型缺乏统一性,影响了网络管理产品的兼容性,一个厂商开发的网络管理产品往往无法对其他厂商的产品进行管理,为了避免第11章网络管理与网络安全261这种情况对网络管理的影响,有关国际标准化组织及时将网络管理的标准化提上了议事日程。其中,比较著名的网络管理协议有:ISO于1987年提供的CMIS/CMIP(theCommonManagementInformationService/Protocol)、IAB分别于1988年和1989年所提出的简单网络管理协议(SimpleNetworkManagementProtocol,简称SNMP)和CMOT(CMIS/CMIPoverTCP/IP)。CMIS/CMIP是一个能用于所有网络设备的完整的网络管理协议,具有很强的通用性,但是因为复杂性和实现代价高而遇到了实际推广上的困难。SNMP一经推出,就由于简单性在实际应用环境中得到了检验和发展,并成为当今网络管理领域中事实上的工业标准。CMOT旨在TCP/IP协议簇之上实现CMIS服务,但它目前还是Internet的一个奋斗目标,未进入实用阶段。使用标准化的网络管理软件使得对不同技术、不同设备、不同业务所构成的异构网络进行统一管理成为可能,还大大降低了网络管理的成本。11.1.2网络管理的功能模型ISO在分别对应于CMIS和CMIP的ISO9595和ISO9596标准中,定义了网络管理的五大功能域,它们分别是故障管理(FaultManagement)、配置管理(ConfigurationManagement)、计费管理(AccountingManagement)、性能管理(PerformanceManagement)和安全管理(SecurityManagement)。这五个管理功能域简称FCAPS,它基本上覆盖了整个网络管理的范围,并被广泛接受。1)故障管理指在系统出现异常情况下的管理操作,表现为对网络中被管对象故障的检测与判断、定位与隔离、修复与排除以及管理操作结果的记录。网络中的每一个设备和设施都必须有一个可预先设定且能够调整的故障门限(threshold),网络管理系统通过收集与被管设备状态相关的数据,结合事先设定的故障门限即可判断被管理设备是否出现了故障。便确定是否出现了故障。一旦出现故障,网络管理系统应能自动监测和记录网络故障并发出通知。分析网络故障原因是故障管理的核心内容,当网络出现失效时,故障管理应能迅速找到故障并及时排除。2)配置管理提供初始化网络并配置网络的功能,包括一组识别、定义、初始化、收集和监测被管对象所相关的配置信息,通过改变被管对象的操作特性,报告被管对象的状态变化,使得设备和设施的性能达到昀优。3)计费管理记录网络资源的使用情况,目的是为了控制和检测网络资源使用的代价统计。计费管理对于一些公有网络尤为重要。它可以估算出用户使用网络资源可能需要付出的代价,以及已经使用的网络资源,还可以通过使用计费限制来控制用户过度地使用网络资源。4)性能管理评价网络资源的运行状况和通信效率等系统性能,平衡系统之间的负载,保证在使用昀少网络资源和具有昀小时延的前提下,网络能提供可靠而连续的通信能力。性能管理包括对被管理网络及其所提供服务进行性能监视和分析的机制,它需要收集分析有关被管理网络当前状态的数据信息,并维持和分析性能日志。性能分析常常要与计费管理相结合。计算机网络技术262性能分析的结果可能会触发某个网络诊断测试过程或重新配置网络。5)安全管理指按照安全策略控制对网络资源的访问,以保证保护数据不被入侵者非法获得、重要信息不被未经授权用户所访问,对网络资源的访问是可控制的。与之相对应,安全管理包括了加密、授权机制、访问控制等内容,另外还涉及维护和检查安全日志。11.1.3网络管理的信息模型与组织模型网络管理的信息模型是对网络管理虚拟资源、软件及物理设备的逻辑表示。通常,可被管理和控制的网络资源以被管理对象(managedobject)的形式存放于管理信息库中;管理信息库(managementinformationbase,简称MIB)是一个概念上的数据库,由许多被管对象及其属性组成,是网络管理系统中重要的构件;被管理对象在MIB中的存放形式被称为管理信息结构(structureofmanagementinformation,简称SMI)。目前的两个数据标准分别是OSISMI和InternetSMI。OSISMI采用完全的面向对象的方法,由被管理对象及与对象有关的属性、操作、事件和行为封装而成,对象之间具有继承性和包含性。InternetSMI是面向属性的,更注重管理信息定义的简单性和可扩展性。管理数据库代理网络管理协议网络管理者网络管理工作站管理数据库代理管理数据库代理图11.1网络管理体系结构的组织模型网络管理的组织模型包括管理者、代理者的概念以及管理实体之间的通信方法。图11.1给出了典型网络管理体系结构的组织模型。尽管一个网络管理系统可能不包含所有的网络管理功能,但一般来说,它包含四个组成部分:至少一个网络管理者、多个被管理代理、一个或多个管理信息库、一种通用的网络管理协议。其中,管理者(Manager)是从事网络管理活动的网络管理程序,又被称为管理进程,它位于网络管理工作站上,通过代理来管理分布在不同位置的各个被管对象;代理是代理进程(Agent)的简称,它们分布在各个被第11章网络管理与网络安全263管理的系统中,直接管理被管对象;MIB被同时分布在网络中的所有设备上,由管理进程和各个代理进程共同使用。管理者与被管理系统之间通过网络管理协议进行通信。对于OSI网络,由CMIP提供协议支持;对于TCP/IP网络,使用的是SNMP。11.2基于TCP/IP的网络管理*11.2.1SNMP网络管理模型基于TCP/IP的网络使用IAB所制定的网络管理体系,并采用SNMP网络管理模型。该模型的四个要素分别是管理者(Manager)、管理代理(Agent)、管理信息库(MIB)和简单网络管理协议SNMP,图11.2给出了SNMP网络管理模型。通常情况下,SNMP管理系统采用客户机/服务器模式,即管理者与代理之间属于客户与服务器关系。SNMP管理工作站Manager被管理的设备AgentMIBMIB被管对象群图11.2SNMP网络管理模型及其四要素管理工作站(Managerstation)是指具有运行SNMP协议和网络管理应用软件的主机,一个网络中至少应该有一台网络管理工作站,它通过运行管理进程来完成各种网络管理功能;管理者也就是位于管理工作站主机中的管理进程,它通过各种被管理设备中的管理代理对网络中的各种设备、设施和资源实现检测、数据收集和控制。管理代理驻留在被管理设备的系统中,当管理者向其发送特定操作请求时,代理做出响应,负责执行具体的管理操作,当被管对象出现异常情况时,代理进程也可以发送警告通知管理进程,以便网络管理人员做相应的处理。每个代理管理自己的本地MIB,记录与本地设备或设施有关的被管理对象,管理代理可以根据管理进程的要求改变本地MIB或从本地MIB中提取数据传回到管理进程。管理信息库MIB由被管对象组成,SNMPMIB采用与域名系统相似的树形结构,如图11.3所示。在这棵对象命名树中,每一个标准对象都有一个惟一的结点与之对应。从根结点到该结点的结点序列可以惟一地标识该对象,被称为该对象的对象标识符(ObjectIdentifier)。例如,mib-2对象在这棵树中的对象标识符可写成{1.3.6.1.2.1}或{internet(1).2.1}。MIB中的对象根据SNMPSMI的规定(参见RFC1155),由ASN.1(AbstractSyntaxNotationone,抽象语法符号1)来定义。SNMPSMI规定了MIB中对象
本文标题:计算机网络技术 第11章 网络管理与网络安全
链接地址:https://www.777doc.com/doc-3394651 .html