第9章 网络管理与网络安全

2020/9/17page1第九章网络管理与网络安全本章内容●网络管理的基本概念、发展、功能●网络管理协议：CMIP、SNMP●网络安全的基本概念●加密、认证、防火墙2020/9/17page29.1网络管理基础网络管理基本概念网络管理是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。网络管理的基本目标是将所有的管理子系统集成在一起，向管理员提供单一的控制方式。这样系统需要一个管理者的角色和被管理对象。要实现对被管理程序（代理）的管理，管理者需要知道被管理程序中的信息模型（实际上就是代理包含的被管理对象的信息模型）。为了这些信息的传送，人们就必须在管理者和被管理者之间规定一个网络管理协议。由于网络规模的不断增大，复杂性日益增加，网络管理技术也在不断发展。2020/9/17page3网络管理的发展计算机网络的管理可以说是伴随着ARPANET的产生而产生的。由于当时网络规模小，复杂性不高，一个简单的专用网络管理系统就可满足网络正常工作的需要。但随着网络的发展，使人们意识到以前的网络管理技术已经不能适应计算机网络的迅速发展。一些标准化组织及产业集团，如ISO、ITU、IAB因特网活动委员会等积极开展研究活动，提出了多种网络管理方案：HEMS（HighLevelEntityManagement）、SGMP（theSimpleGatewayMonitoringProtocol）、CMIS/CMIP（theCommonManagementInformationService/Protocol）、NETVIEW、SNMP(SimpleNetworkManagementProtocol)、LANManager等。其中比较有名的是：CMIP和SNMP。CMIS/CMIP是OSI提供的网络管理协议簇。SNMP目前已成为网络管理领域中事实上的工业标准。2020/9/17page4网络管理的功能在ISO网络管理标准（ISO/IEC7498-4）中定义了网络管理的五大功能，并被广泛接受。这五大功能是：配置管理·配置管理是最基本的网络管理功能。·配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨论被管对象能力的基础。·配置管理的目的是通过定义、收集、管理、和使用配置信息，以及网络资源配置的控制来最佳地维持网络环境所提供的服务质量。·配置管理至少应具有事件报告、状态监测和管理配置信息的功能。故障管理·故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系统以非正常方式操作的事件，可分为：由损坏的部件或软件故障（bug）引起的（内部）故障，常常是可重复的；由环境影响引起的外部故障，通常是突发的，不可重复。2020/9/17page5·故障管理的主要内容有：故障检测：维护和检查故障日志，检查事件的发生率看是否已（或将）成为故障；接收故障报告。故障诊断：寻找故障发生的原因，可执行诊断测试，以寻找故障发生的准确位置。故障纠正：将故障点从正常系统中隔离出去，并根据故障原因进行修复。·故障管理为操作决策提供依据，以确保网络的可用性。计费管理·计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。这些资源有：网络服务，负责用户数据的传输（例如数据的传输量）；网络应用（例如对服务器的使用）。对用户行为的了解与控制2020/9/17page6性能管理性能管理估价系统资源的运行状况及通信效率等系统指标。它定义了网络的动态评估方法，以便于检验网络所保持的服务水平，确定实际的和潜在的网络性能瓶颈。根据网络的各项运行指标的趋势，为制定和规划管理决策产生报告。性能管理还包括了为操作控制建立和维护性能数据库和自动操作程序，随机或定时收集由统计数据产生的性能日志。这些日志除了性能管理本身使用外，其它管理功能亦可充分加以利用：故障管理应用性能日志检测故障；配置管理根据性能日志决定何时需要改变配置；计费管理应用性能日志调整计费策略2020/9/17page7安全管理·安全管理用于保证降低运行网络及其网络管理系统的风险。它是一些功能组合，通过分析网络安全漏洞将网络危险最小化。·实施网络安全规划，可动态地确保网络安全。·主要包括维护防火墙和安全日志、安全指示器的监测、分区隔离、口令管理和提供各种级别的警告或报警。2020/9/17page8网络管理协议CMIP协议公共管理信息服务/公共管理信息协议（CMIS/CMIP）是OSI提供的网络管理协议簇，主要是针对OSI七层协议模型的传输环境而设计的。CMIS定义了每个网络组成部分提供的网络管理服务，CMIP则是实现CMIS服务的协议。CMIS/CMIP的整体结构是建立在ISO网络参考模型的基础上的，网络管理应用进程使用ISO参考模型的应用层。CMIP协议相对于SNMP而言，需要大量资源：包括实现时投入的资源（人力、物力）以及运行时的计算机和网络资源。由于此缺陷，注定了CMIP协议生命周期的有限性。2020/9/17page9SNMP协议1）、概述简单网络管理协议（SNMP）是一种用于在网络设备之间交换管理信息的应用层协议，目前被广泛地实现在各种网络设备中，并在Internet中普遍使用。SNMP的前身是简单网关管理协议(SGMP)，用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB体系结构，改进后的协议就是著名的SNMP。SNMPv1是1990年5月正式公布的（RFC1155和RFC1157），SNMPv2是前者的改进，于1993年陆续公布（RFC1441－RFC1452），后来又发展为SNMP3（由RFC2271到RFC2275定义），描述了SNMP2中所缺乏的安全和管理方面上的问题。SNMP属于网络管理平台，它为网络管理应用系统和被管的网络设备之间的交互提供了标准的界面。2020/9/17page102）、SNMP网络管理模型由4部分组成：网络管理站、被管设备、管理信息库MIB和管理协议SNMP。网络管理系统（NMS）管理应用程序用户接口被管设备代理MIB被管设备代理MIB被管设备代理MIBSNMPSNMPSNMP2020/9/17page11网络管理者是指实施网络管理的处理实体，网络管理者驻留在管理工作站上，管理工作站通常是指那些工作站、微机等，一般位于网络系统的主干或接近于主干的位置，它负责发出管理操作的指令，并接收来自网管代理的信息。网管代理是一个软件模块，它驻留在被管设备上它的功能是把来自网络管理者的命令或信息的请求转换成本设备特有的指令，完成网络管理者的批示或把所在设备的信息返回到网络管理者。网管代理实际所起的作用就是充当网络管理者与网管代理所驻留的设备之间的信息中介。管理站和网管代理者之间通过网络管理协议SNMP通信，网络管理者进程通过网络管理协议SNMP来完成网络管理。管理信息库（MIB）是一个信息存储库，它是网络管理系统中的一个非常重要的部分。MIB定义了一种对象数据库，由系统内的许多被管对象及其属性组成。在MIB中的数据可大体分为3类：感测数据、结构数据和控制数据。2020/9/17page12SNMP网络管理模型的核心是由代理维护而由管理器读写的管理信息。在SNMP文献中，这些信息称为对象。网络中所有可管对象的集合称为管理信息库MIB。被管网络中的信息交换会因为被管设备所采用的数据表示技术的不同而产生麻烦，因此要设法在这些异构设备通信时消除这些不兼容性，统一使用一种语法表示法可以使不同种类的计算机共享管理信息。SNMP应用了ISO的开放系统互连抽象语法表示法1（ASN.1）的一个子集，它是用于以与机器无关的形式对MIB的被管对象进行描述的一种语言。用ASN.1定义管理协议所交换的各种报文格式和被管对象，将被管对象简化为可管理的事物的特征。如，一特定主机中当前活动的TCP范围表就是一个被管对象。在传输各类数据时，SNMP协议首先要把内部数据转换成ASN.1语法表示，然后发送出去；另一端收到此ASN.1语法表示的数据后也必须首先变成内部数据表示后，然后才执行其他的操作。2020/9/17page13MIB与对象标识符：所有的被管对象都包含在管理信息库（MIB）中，它是对象所必须的数据库。一个MIB可以描述为一棵抽象树（MIB树），树的根没有名字，各个数据项组成了树的叶节点。对象标识符（OID）唯一地标识或命名了树中的各种MIB对象。对象标识符类似于电话号码，不同的组织和机构有层次地分配了特定的数字组成了这些对象标识符。SNMPMIB的对象标识符结构定义了三个主要分枝：CCITT负责分枝0，ISO管理分枝1，CCITT和ISO联合管理分枝2。目前多数MIB的活动发生在ISO分枝部分，ISO将它的分枝分给了几个组织，其中将子树1给了美国国防部（DOD），DOD用它作为Internet对象表示。这样在Internet子树中，对象标识符以1.3.6.1开头,意思是它们属于ISO，ORG，DOD，Internet子树，专门用于Internet范围。2020/9/17page14MIB树ROOTCCITT(0)ISO(1)JOINT-ISO-CCITT(2)ORG(3)DOD(6)INTERNET(1)PRIVATE(4)EXPERIMENTAL(3)MGMT(2)DIRECTORY(1)MIB(1)IP(4)地址转换(3)接口(2)TCP(6)ICNP(5)UDP(7)EGP(8)OMI(9)传输(10)SNMP(11)系统(1)2020/9/17page15Internet子树有四个分枝：Directory（1）、Mgmt（2）、Experimental（3）和Private（4）。Directory计划用于OSI目录；Mgmt用于网际活动委员会（IAB）承认的文本对象的定义；Experimental用于Internet网络实验；Private用于专用MIB的定义。目前在RFC1213中定义的Internet标准MIB和MIB－II包含了171个对象。这些对象按照协议（包括TCP，IP，UDP，SNMP和其它）和其它类项（包括“系统”和“接口”）进行分组。MIB树可以扩展为实验和专用分枝。没有标准化的那些MIB往往被放置在实验分枝。厂商可以定义自己的专用分枝来包括其产品的各种实例。例如，Cisco的专用MIB的对象标识符是1.3.6.1.4.1.9，该标识符包括了许多对象，如用OID1.3.6.1.4.1.9.2.2.1.51来标识对象“HostConfigAddr”。对象HostConfigAddr说明了为一台具体的Cisco设备提供主机配置文件的主机的地址。2020/9/17page16管理信息结构（SMI）：因为Internet网络可能很庞大而且要保存维护每个设备的大量的信息，网络管理员需要一种组织和管理这些信息的方法。SMI定义了MIB的结构以及定义MIB的规则。SMI允许使用标准ASN.1的数据类型。3）、SNMP协议定义了五种类型的操作SNMP共有5种PDU，其中2种用来读取数据，2种用来设置数据，1种用来监视网络上发生的事件，如网络故障报警等。请求读取对象信息（Get-Request）：从代理那里取得一个对象的实例，证实型操作；请求读取下一个对象信息（Get-Next-Request）：从代理那里取得下一个对象实例，这个操作是与上下文有关的，缺省时指的是MIB中第一个对象实例的值，证实型操作；设置对象的有关参数（Set-Request）：在代理中设置指定对象实例的值，证实型操作；对读操作作出响应回答(Get-Response)：是上述操作的应答信息，也包含错误和状态信息。捕捉事件并给出报告（Trap）：代理异步地通知NMS某个事件的发生，非证实型操作；事件的定义是NMS预先设置的（如某个门槛值）。2020/9/17page17网络管理平台与网络管理系统网络管理的最终目标是通过什么实现的呢？是通过网络管理系统，也就是要通过一个实施网络管理功能的应用系统来实现。网络管理平台通常由协议通信