《网络管理与安全.doc》由会员分享,可在线阅读,更多相关《网络管理与安全.doc(38页珍藏版)》请在金锄头文库上搜索。
1、第六章 网络管理与安全随着Internet的迅速扩张与广泛应用,人们在充分体验网络给他们带来巨大利益的同时,逐渐认识到无限制扩充网络带来的弊病以及对应的诸多安全问题。一方面,网络提供了资源的共享性,提高了系统的可靠性,通过分散工作提高了工作效率,并且还具有可扩充性。这些特点使得计算机网络深入到经济、国防、科技、文教等各个领域。另一方面,网络的扩大带来了网络设备与协议的复杂性,增加了网络管理的必要性,资源共享和分布也增加了网络受威胁和攻击的可能性。6.1 网络管理6.1.1 网络管理的概念当今时代,网络得到巨大的发展,各种新的网络技术和网络产品的同时也不断扩充现有的网络,人们逐渐开始感受到无限制
2、扩充网络带来的弊病,尤其是那些应用了许多不同的网络技术的公司,更感觉到这个问题的严重性。一个较大的网络通常跨越广域网,连接不同类型的局域网,如令牌网、以太网、FDDI网等。网络除计算机设备外还有大量网络互联设备,如各类集线器、网桥、路由器、交换设备等。对于这种复杂的分布式环境中的各类资源的“集中”管理,也称为网络管理,就显得十分必要了。按照国际标准化组织的定义,网络管理是指规划、稳定、安全、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段,从而合理地组织和利用系统资源,提供安全、可靠
3、、有效和友好的服务。1网络管理的对象网络管理对象一般包括路由器,交换机, HUB等。近年来,网络管理对象有扩大化的趋势,即把网络中几乎所有的实体:网络设备,应用程序,服务器系统,辅助设备如UPS电源等都作为被管对象。给网络系统管理员提供一个全面系统的网络视图。2网络管理的任务和目标网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息,将结果显示给管理员并进行处理,从而控制网络中的设备、设施、工作参数和工作状态,使其可靠运行。网络管理的目标包括一下几个方面:减少停机时间,改进响应时间,提高设备利用率; 减少运行费用,提高效率; 减少或消除网络瓶颈;适应新技术; 使网络更容易使
4、用;安全。可见,网络管理的目标是最大限度地增加网络的可用时间,提高网络设备的利用率、网络性能、服务质量和安全性,简化网络管理和降低网络运行成本,并提供网络的长期规划。6.1.2 网络管理的功能在OSI网络管理标准中定义了网络管理的五个基本功能:配置管理、性能管理、故障管理、安全管理和计费管理。1配置管理配置管理(configuration management)包括视图管理、拓扑管理、软件管理、网络规划和资源管理。只有在有权配置整个网络时,才可能正确地管理该网络,排除出现的问题,因此这是网络管理最重要的功能。配置管理的关键是设备管理,它由以下两个方面构成: 布线系统的维护做好布线系统的日常维护
5、工作,确保底层网络连接完好,是计算机网络正常、高效运行的基础。对布线系统的测试和维护一般借助于双绞线测试仪、光纤测试仪、规程分析仪和信道测试仪等。关键设备管理网络中的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些关键网络设备的管理除了通过网络软件实时监测外,更重要的是要做好它们的备份工作。2性能管理网络性能主要包括网络吞吐量、响应时间、线路利用率、网络可用性等参数。网络性能管理(performance management)指通过监控网络运行状态,调整网络性能参数来改善网络的性能,确保网络平稳运行。它主要包括以下工作: 性能数据的采集和存储主要完成对网络设备和网络通道性能数
6、据的采集与存储。性能门限的管理性能门限的管理是为了提高网络管理的有效性,在特定的时间内为网络管理者选择监视对象、设置监视时间以及提供设置和修改性能门限的手段。当性能不理想时,通过对各种资源的调整来改善网络性能。性能数据的显示和分析根据管理要求,定期对当前和历史数据进行显示及统计分析,生成各种关系曲线,并产生数据报告。3故障管理故障管理(fault management)又称失效管理,主要对来自硬件设备或路径节点的报警信息进行监控、报告和存储,以及进行故障诊断、定位与处理。所谓故障,就是那些引起系统以非正常方式运行的事件。它可分为由损坏的部件或软件故障引起的故障,以及由环境引起的外部故障。用户希
7、望有一个可靠的计算机网络。当网络中某个组成失效时,必须迅速查找到故障并能及时给予排除。通常,分析故障原因对于防止类似故障的再次发生相当重要。网络故障管理包括故障检测、隔离和排除三方面。故障检测维护和检查故障日志,检查事件的发生率,看是否已发生故障,或即将发生故障。故障诊断执行诊断测试,以寻找故障发生的准确位置,并分析其产生的原因。故障纠正将故障点从正常系统中隔离出去,并根据故障原因进行修复。4安全管理安全管理(security management)主要保护网络资源与设备不被非法访问,以及对加密机构中的密钥进行管理。安全管理(security management)主要保护网络资源与设备不被非
8、法访问,以及对加密机构中的密钥进行管理。安全管理是网络系统的薄弱环节之一。网络中需要解决的安全问题有:网络数据的私有性,保护网络数据不被侵入者非法获取;授权,防止侵入者在网络上发送错误信息;访问控制,控制对网络资源的访问。相应地,网络安全管理应包括对授权机制、访问机制、加密和加密密钥的管理等。5计费管理计费管理(accounting management)主要管理各种业务资费标准,制定计费政策,以及管理用户业务使用情况和费用等。计费管理对网络资源的使用情况进行收集、解释和处理,提出计费报告,包括计费统计、账单通知和会计处理等内容,为网络资源的应用核算成本并提供收费依据。这些网络资源一般包括:网
9、络服务,例如数据的传输;网络应用,例如对服务器的使用。根据用户所使用网络资源的种类,计费管理分为三种类型:基于网络流量的计费;基于使用时间的计费;基于网络服务的计费。计费管理的作用是:计算各用户使用网络资源的费用;规定用户使用的最大费用;当用户需要使用多个网络中的资源时,能计算出总费用。另外,在某些场合网络管理还需要从事系统管理(System Management)工作,系统管理是管理网络上提供的各种服务。目前的网络管理系统一般都要求支持此功能。随着各种网络应用的不断增加,网络资源管理的问题也变得越来越重要,例如域名注册、网络地址分配、代理服务器等。网络管理系统的主要功能是维护网络正常地、高效
10、率地运行。网管系统能及时检测网络出现的故障并进行处理,能通过监测分析运行状况而估价系统性能,通过对网络的配置协调,更有效地利用网络资源,保证网络高效率正常运行。6.1.3 网络管理的体系结构在ISO提出其OSI参考模型的同时,Internet及其制订的TCP/IP协议以简单、易于实现和互连性强等优点,迅速得到业界和其它领域的广泛应用。SNMP(Simple Network Management Protocol,简单网络管理协议)最初是为符合TCP/IP的网络管理而开发的一个应用层的协议。其主导思想是尽可能简洁、清晰。SNMP建立在TCP/IP传输层的UDP协议之上,提供的是不可靠的无连接服务
11、,以保证信息的快速传递和减少对带宽的消耗。利用SNMP,可访问诸如每秒传输的数据量和网络差错率等网络管理数据,这就使网络管理员能方便地管理网络的性能,发现并解决网络故障。SNMP协议到目前为止已有三个版本:SNMP1.0版本是初始版本;SNMP2.0版本增加了安全性方面的功能,并在操作性和管理体系结构方面做了较大改进。目前最新的版本是SNMP3.0,其重点是安全、可管理的体系结构和远程配置。SNMP具有以下持点:简单性:顾名思义,SNMP非常简单,容易实现且成本低;可伸缩性:SNMP可管理绝大部分符合Internet标准的设备;扩展性:通过定义新的“被管理对象”,即MIB,可以非常方便地扩展管
12、理能力;鲁棒性(Robust):即使在被管理设备发生严重错误时,也不会影响管理工作站的正常工作。SNMP出台后,在短短几年内得到了广大用户和厂商的支持。现在SNMP已经成为Internet网络管理最重要的标准,SNMP以其简单易用的持性成为企业网络计算中居于主导地位的一种网络管理协议。实际上已是个事实上的网络管理标准。它可以在异构的环境中进行集成化的网络管理,几乎所有的计算机主机、工作站、路由器、集线器厂商均提供基本的SNMP功能。SNMP提供的是一种面向无连接的服务,它不能确保其它实体一定能收到管理信息流。SNMP是通过轮询方式来进行管理的,即管理中心每隔一段时间向各个对象发出询问,以得到信
13、息来进行管理。但是为了对紧急情况作出迅速的处理,SNMP还引进了汇报,当被管对象发生了紧急情况时就主动向中心汇报,如图6-2所示。图6-2 SNMPSNMP的代理分别由网络一级的管理工作站进行管理。当代理发出Trap 信息时,对一般设备出错,直接由网络级的管理工作站处理;如果Trap信息涉及到整个网络时,低级的管理工作站可将相应信息传送给高层管理工作站进行处理。另外,高层管理工作站也可以要求低层管理工作站转发管理原语。使用这种策略,可以有效地进行较大规模网络的管理。在Internet管理模型中,一个完整的网络管理体系结构如图6-3所示。图6-3 网络管理体系结构其中包括:网络元素(有时称为被管
14、理设备);网络元素是指计算机、路由器等硬件设备;代理(Agent):代理是驻留在网络元素中的软件模块,它们收集并存储管理信息(如网络元素收到的错误包的数量等);管理对象(Management Object):管理对象是能被管理的所有实体(网络,设备,线路,软件)。例如在特定的主机之间的一系列现有活动的TCP线路是一个管理对象。管理对象不同于变量,变量只是管理对象的实例;管理信息库:对网络资源的管理是通过将这些资源作为对象的方式来实现的,每个对象实际上就是一个代表被管理的一个特征的变量,这些变量构成的集合就是MIB。 MIB存放报告对象的管理参数;MIB函数提供了从管理工作站到代理的访问点,管理
15、工作站通过查询MIB中对象的值来实现监测功能,通过改变MIB对象的值来实现控制功能。每个MIB应包括:系统与设备的状态信息、运行的数据统计和配置参数;语法(Syntax):一个语法就是用一种独立于机器的格式来描述MIB管理对象的语言。一致地使用一种语法可使不同类型的计算机来共享信息。Internet管理系统利用ISO的OSI ASN.1(Abstract Syntax Notation 1)来定义管理协议间相互交换的包和被管理的对象;管理信息结构(SMI,The Structure of Management Information):SMI定义了描述管理信息的规则,报告对象是如何定义的以及如
16、何表示在MIB中的。SMI由ASN.l来定义,这样就使得这些信息与所存放设备的数据存储表示形式无关;网络管理工作站(NMS,Network Management Station,有时称为控制台):这些设施运行管理应用来监视和控制网络元素,在物理上NMS通常是具有高速CPU、大内存、大硬盘等的工作站,作为网络管理工作站管理网络的界面,在每个管理环境中至少需要一台NMS;部件(Parties):这是SNMP v2新增的定义,部件是一个逻辑的SNMP v2的实体,它能初始化或接收SNMP v2的通信。每个SNMP v2实体包括:一个单一的唯一的实体标识、一个逻辑的网络定位、一个单一证明的协议、一个单一的
