2008-05-09 17:06 | 只看楼主
树型| 收藏| 1

网络管理基础与网络安全

随着网络的规模不断扩大,复杂性不断增加,为确保向用户提供满意的服务,迫切需要一个高效的网络管理系统对整个网络进行自动化的管理工作。网络管理是计算机网络发展中的关键技术,对网络的正常运行起着极其重要的作用。
  1.网络管理的基本功能
  网络管理的目的协调、保持网络系统的高效、可靠运行,当网络出现故障时,能及时报告和处理。ISO建议网络管理应包含以下基本功能:故障管理、计费管理、配置管理、性能管理和安全管理。
  (1)故障管理(Fault Management)。故障管理是网络管理中最基本的功能之一。当网络发生故障时,①必须尽可能快地找出故障发生的确切位置;②将网络其它部分与故障部分隔离,以确保网络其它部分能不受干扰继续运行;③重新配置或重组网络,尽可能降低由于隔离故障后对网络带来的影响;④修复或替换故障部分,将网络恢复为初始状态.对网络组成问部件状态的临测是网络故障检测的依据。不严重的简单故障或偶然出现的错误通常被记录在错误日志中,一般需做特别处理;而严重一些的故障则需要通知网络管理器,即发出报警。因此网络管理器必具备快速和可靠故障临测、诊断和恢复功能。
  (2)计费管理(Accounting Management)。在商业有偿使用的网络上,计贯管理功能统计哪些用户、使用何信道、传输多少数据、访问什么资源等信息;另一方面,计费管理功能还可以统计不同线路和各类资源的利用情况。因此可见,计费管理的根本依据是网络用这些信息,并制定一种用户可接受的计费方法。商业性网络中的计费系统还要包含诸如每次通信的开始和结束时间、通信中使用的服务等级以及通信中的另一方等更详细的计费信息,并使用能够随时查询这些信息。
  (3)配置管理(Configuration Management)。配置管理也是网络管理的基本功能。计算机网络由各种物理结构
和逻辑结构组成,这些结构中有许多参数、状态等信息需要设置并协调。另外,网络运行在多变的环境中,系统本身也经常要随着用户的增、减或设备的维修而调整配置。网络管理系统必须具有足够的手段支持这些调整的变化,使网络更有效地工作。这些手段构成了网络管理的配置管理功能。配置管理功能至少应包括识别被管理网络的拓朴结构、标识网络中的各种现象、自动修改指定设备的配置、动态维护网络配置数据库等内容。
  (4)性能管理(Performance Management)。性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下,确保网络能提供可靠、连接的通信能力,并使网络资源的使用达到最优化的程度。网络的性能管理有监测和控制两大功能,监测能实现对网络中的活动进行跟踪,控制功能实施相应调整来提高网络性能。性能管理的具体内容包括:从被管对象中收集与网络性能有关的数据,分析和统计历史数据,建立性能分析的模型,预测网络性能的长期趋势,并根据分析和预测的结果,对网络拓朴结构、某些对象的配置和参数做出调整,逐步达到最佳运行状态。如果需要做出的调整时、还要考虑扩充或重建网络。
  (5)安全管理(Security Management)。安全管理的目的是确保网络资源不被非法使用,防止网络资源由于入侵者攻击而遭受破坏。其主要内容包括:与安全措施有关的信息分发(如密钥的分发和访问权设置等),与安全的通知(如网络有非法侵入、无权用户对特定信息的访问个图等),安全服务措施的创建、控制和删除,与安全有关的网络操作事件的记录、维护和查询日志管理工作等等。个完善的计算机网络管理系统必须制定网络管理的安全策略,并根据这一策略设计实现网络安全管理系统。

  2.网络管理系统的构成
  一个具体的网络管理系统不一定要完全包含上述的五大管理功能,不同的系统可以选取其中的几个功能加以
组合,但几乎每个网络管理系统都会包括故障管理功能。
  现代计算机网络的管理系统模型主要由以下几部分组成:(1)多个被管代理(Managed Agents),也称管理代理;(2)至少一个网络管理器(Network Manager),也称管理工作站;(3)一个通用的网络管理协议(Network Management Protocol);(4)一个或多个管理信息库(MIB-Management Information Base)。
  所有被管理的网络设备,包括用户站点和网络互连设备等,统称为被管对象(Managed Object)。驻留在这些被管对象上配合网络管理的处理实体称为被管代理,而驻留在管理工作站上实施管理的处理褓称为管理器。管理器和被管代理通过交换管理进行工作,这种信息交换通过一种网络管理协议来实现,分别驻留在被管对象和管理工作站上的管理信息库(MIB)中。
  任何王码电脑公司软件中心促可被管理的被管对象,例如主机、工作站、文件预备器、打印服务器、终端服务器路由器,网桥或中继器等都有一个被管代理,被管代理时刻监听和、响应来自网络管理器的查询或命令。
  任一网络管理至少都应该有一个网络工作站,驻留在网络管理工作站上的网络管理器负责网络管理的全部监视和控制工作。网络通过与被管代理的住处交互(发送请求/接受响应)来完成管理工作。被管代理与网络管理器之间的信息交互的动作规则和数据格式等,则由网络管理协议来规定。网络管理协议与管理信息库一起协调工作,简化了网络管理的复杂过程。因为管理信息库中的管理信息描述了所有被管对象及其属性值,使得网络管理的全部工作就是对这些对象及属性值变量的读取(Get,对应于监视)或设置(Set,对应于控制)。

  3.网络管理协议
  目前最有影响的网络管理协议有两个:一个是简单网络管理协议SNMP(Simple Net-work Management Protocol);另一个是公共管理信息服务和公共管理信息协议CMIS/CMIP(Coommon Management Information Sever/Common Maagement Information Protocol)。
  ISO早在提出OSI/RM的同时,就提出了网络管理标准的框架,并制定了基于开放系统互连参考模型的CMIS/CMIP。然而由于种种原因,符合OSI网络管理标准的可供实用的产品几乎没有。与此同时,Internet组织在长期运行因特网的实践中,提出了一个基于TCP/IP协议簇的网络管理标准协议SNMP,并得到了众多网络产品生产厂家的广泛支持,使之成为事实上的网络管理工业标准。
  与CMIS/CMIP相比,SNMP流行更广、应用更多、获得的支持更广泛。SNMP的最大的优点是简易性与可扩展性,它体现了网络管理系统的一个重要准则,即网络管理功能的实现不能影响网络的正常功能,不给网络附加过多的开销。下面将摘要介绍SNMP网络管理协议。
  SNMP设计为一种基于用户数据报协议UDP(User Datagram Protocol)的应用层协议,它是TCP/IP协议簇的一部分。SNMP的管理站根据管理需要产生三种类型的SNMP消息:所有这三种消息在代理方面均以Get Next Request 和Set Request, 前两种实现Get功能,后一种实现SET 功能。所有这三种消息在代理方面均以GET RESPONSE 消息确认,并传递给管理应用。
  因为管理站要管理相当多的代理,而每个代理维护的对象数量又非常大,在实现过程中,管理站不可能频繁定期轮询全部代理中所胡的对象的数据。为此,SNMP采用了一种不完全的轮询协议,它允许某些未经询问不发送的信息,这种信息称为Trap。其工作机制如下:在初始化阶段,或者每隔一段较长时间,管理站通过轮询所有代理来了解某些关键信息,一旦了解到了这些信息,管理站可以不再进行轮询;另一方面,每个代理负责向管理站通知可能出现的异常情事件,这些事件通过SNMP TRAP消息传递;一旦管理站得到一个意外事件的通知,它可能采取一些动作,如直接轮询报告该事件的代理或还轮询与该代理邻近的一些代理以便取得更多有关该意外事件的特定信息。由Trap导致的轮询有助于大理节省网络带宽和降低代理的响应时间,尤其是管理站不需要的管理信息不必通过网络传递,代理也可以不用频繁响应那些不感兴趣的请求。
  使用SNMP前提是要求所有的代理和管理站都支持UDP和 IP,这就限制了对于某些设备的管理,例如某些不支持TCP/IP 协议的网桥和调制调解器等设备只能被排除在网管范围之外。此外,可能有许多小系统(个人计算机、工作站、可编程控制器等)虽然支持TCP/IP,但是它们不能承受由于增加了SNMP、代理逻辑和MIB的维护而带来额外负担。为了管理那些没有实现SNMP的设备,可以引入委托,即SNMP代理代表了被委托的设备。管理站给它的委托代理发送关于该设备的查询,委托代理再把每个查询转换为该设备所使用的管理协议;反之,当代理收到对某个查询的响应时,它把响应递交给管理站。与此相似,如果来自于该设备的某些通知传给代理后,代理再以TRAP消息的形式发送给管理站。
  网络管理技术仍在继续发展,,INTERNET体系结构委员会的长期目标是研究和开发OSI的网络管理标准,并希望最终使这些协议同时适用于TCP/IP和OSI网络环境,即CMOT(CMIP Over TCP/IP)

  5.6.2网络安全

  1.网络上的不安全因素
  随着全球信息化的飞速发展,大量建设的各种信息化系统已经成为国家和政府的关键基础设施,其中许多业务都是国际性的,诸如电信、电子商务、金隔网络等。网络信息安全已成为亟待解决、影响国家全局和长远利益的重大关键问题。
  计算机犯罪是一种高技术型犯罪,由于其犯罪的隐蔽性,因此对计算机网络安全构成了很大的威胁。计算机犯罪已经引起全社会的普遍关注。随着Internet的广泛应用,采用浏览器/服务器模式的Intranet纷纷建成,这使网络用户可以方便地访问和共享网络资源。但同时对企业的重要信息,如贸易秘密、产品开发计划、市场策略、财务资料等的安全无疑埋下了致命的威胁。必须认识到,对于大到整个Internet,小到各Intranet及各校园网,都存在着来自网络内部与外部的威胁。对Inetrnet的构成威胁可分为两类:故意危害和无意危害。
  故意危害Internet安全的主在有三种人:故意破坏者又称黑客(Hackers)、不遵守规则者(Vandals)和刺探秘密者(Crackers)。故意破坏者企图通过各种手段去破坏网络资源与信息,例如涂抹别人的主页、修改系统配置、造成系统瘫痪;不遵守规则者企图访问不允许访问的系统,这种人可能仅仅是到网中看看、找些资料,也可能想盗用别人的计算机资源(如CPU时间);刺探秘密者的企图是通过非法手段侵入他人系统,以窃取重要秘密和个人资料。
  除了泄露信息对企业网构成威胁之外,还有一种危险是有害信息的侵入。有人在网上传播一些不健康的图片、文字或散布不负责任的消息;另一种不遵守网络使用规则的用户可能通过玩一些电子游戏将病毒带入系统,轻则造成信息出误,严重时将会造成网络瘫痪。

  2.防火墙(Firewall)技术
  防火墙是有被保护的Intranet与Internet之间竖起的一道安全屏障,用于增强Intranet的安全性。Internet/Intranet防火墙,用以确定哪些服务可以被Interneth上的用户访问,外部的哪些人可以访问内部的嗖服务以及外部服务可以被内部人员访问,目前的防火墙技术可以起到以下安全作用:
  (1)集中的网络安全。防火墙允许网络管理员定义一个中心(阻塞点)来防止非法用户(如黑客、网络破坏者等)进入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种线路的攻击。防火墙技术能够简化网络的安全管理、提高网络的安全性。
  (2)安全警报。通过防火墙可以方便地监视网络的安全性,并产生报警信号。网络管理员必须审查并记录所有通过防火墙的重要信息。
  (3)重新部署网络地址转换(NAT)。Internet的迅速发展使得有效的未被申请的IP地址越来越少,这意味着想进入Internet的机构可能申请不到足够的IP地址来满足内部网络用户的需要。为了接入Internet,可以通过网络地址转换NAT(Network Address Translator)来完成内部私有地址到外部注册地址的映射。防火墙是部署NAT的理想位置。
  (4)监视INTERNET的使用。防火墙也是审查和记录内部人员对INTERNET使用的一个最佳位置,可以在此对内部访问INTERNET的情况进行记录。
  (5)向外发布信息。防火墙除了起到安全屏障作用外,也是部署WWW服务器和FTP服务器的理想位置。允许INTERNET访问上述服务器,而禁止对内部受保护的其它系统进行访问。
  但是,防火墙也是自身的局限性,它无法防范来自防火墙以外的其它途径所进行的攻击。例如在一个被保护的的网络上有一个没有限制的拨号访问存在,这样就为从后门进行攻击留下了可能性;另外,防火墙也不能防止来自内部变节者或不经心的用户带来的威胁;同时防火墙也不能解决进入防火墙的数据带来的所有安全问题,如果用户抓来一个程序在本地运行,那个程序可能就包含一段恶意代码,可能会导致敏感信息泄露或遭到破坏。
  典型的防火墙系统可以由一个或多个构件组成,其主要部分是:包过滤路由器也称分组过滤路由器、应用层网关,电路层网关。
  包过滤路由器对IP地址,TCP或UDP分组头信息进行检查与过滤,以确定是否与设备的过滤规则匹配继而决定此数据包按照由表中的信息被转发或被丢弃。包过滤方式的主要优点是仅一个关健位置设置一个包过滤路由器就可以保护整个网络,而且包过滤对用户是透明的,不必在用户机上再安装特定的软件。包过滤也有它的缺点和局限性,如包过滤规则配置比较复杂,而且几乎没有什么工具能对过滤规则的正确性进行测试;包过滤也没法查出具有数据驱动攻击这一类潜在危险的数据包;另外,随着过滤数目的增加,路由器的吞吐量会下降,从而影响网络性能。
  应用层网关也就是通常所说的代理服务器。代理服务器运行在INTERNET和INTRANET之间,当收到用户对某站点的访问请求后,会检查请求是否符合规则。若规则允许用户访问该站的话,代理服务器便会经客户身份去那个站点取回所需的信息再发回给客户。因此代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何内部资料,诸如用户的IP地址等。应用层网关比单一的包过滤更为可靠,而且会详细记录所有的访问状态但是应用层网关也存在一些不足之外,首先因为它不允许用户直接访问网络,会使访问速度变慢;而且应用层网关需要对每一个特定的Internet服务器安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件;更不幸的是,并不是所有的Internet应用软件都可以使用代理服务理。
  电路层网关是一种特殊的功能,它也可以由应用层网关来完成。电路层网关只依赖于TCP连接,并不进行任何的包处理或过滤。在Telnet的连接中,电路层网关简单地进行了中继,并不做任何审查、过滤或协议管理。它只在内部连接和外部连接之间来回拷贝字节,但隐藏受保护网络的有关信息。电路层网关常用于对外连接,此时假设网络管理员对其内部用户是信任的。它的优点是主机可以被设置成混合网关,对于内连接它支持应用层或代理服务,而对于外连接煞费苦心支持的电路层功能。这样,使得防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便,同时又能提供保护内部网络免于外部攻击的防火墙功能。
过好每一天!  软考基地:bbs.86ey.com  为你加油!