网络管理与网络安全

网络管理与网络安全内容摘要：

通信设备等。  网络中还有许多网络软件提供各种服务。 8  随着用户对网络性能要求的提高，建立一个高效的管 理系统对网络系统进行管理，是保证网络正常运行的必要措施。 网络管理方案的标准 为了能支持各种网络的互连及其管理，网络管理必须要遵从国际性的标准与协议。 国际上有一些组织机构致力于研究、制定、开发网络管理的服务标准、协议和体系结构，其中最重要的有： (1) 国际标准化组织 (ISO) (2) 国际电信联盟电信标准化部 (ITUT) (3) Inter 工程任务组 (IETF) 这三个组织制定了一系列的网络管理标准，为网络管理的标准化进程做了大量工作。 现以 ISO 网络管理模式 为例进行详细介 绍： 目前国际化标准化组织 ISO 制定了大量的有关网络管理的标准，其内容统称为 OSI 系统管理。 最主要的标准有：  OSI 管理框架（ IS 74894）  公共管理信息服务（ IS 9595）  公共管理信息协议（ CMIP。 IS 9596）  管理信息结构（ DIS 10165）  系统管理概述（ DIS 10040）  系统管理功能域（ DIS 10164） 在实际网络管理过程中，网络管理应具有的功能非常广泛，包括了很多方面。 在 OSI 网络管理标准中定义了网络管理的 5 大功能：配置管理、性能管理、故障管理、安全管理和计费管理，这 5 大 功能是网络管理最基本的功能。 事实上，网络管理还应该包括其他一些功能，比如网络规划、网络操作人员的管理等。 不过除了基本的网络管理 5 大功能，其他的网络管理功能实现都与具体的网络实际条件有关，因此我们只需要关注 OSI 网络管理标准中的 5 大功能。 下面我们将针对 5 大功能中每个部分的功能进行具体的描述。 (1) 配置管理 9 a. 配置信息的自动获取：在一个大型网络中，需要管理的设备是比较多的，如果每个设备的配置信息都完全依靠管理人员的手工输入，工作量是相当大的，而且还存在出错的可能性。 对 于不熟悉网络结构的人员来说，这项工作甚至无法完成 „因此，一个先进的网络管理系统应该具有配置信息自动获取功能。 即使在管理人员不是很熟悉网络结构和配置状况的情况下，也能通过有关的技术手段来完成对网络的配置和管理。 在网络设备的配置信息中，根据获取手段大致可以分为三类：一类是网络管理协议标准的 MIB 中定义的配置信息 (包括 SNMP 和CMIP 协议 )；二类是不在网络管理协议标准中有定义，但是对设备运行比较重要的配置信息；三类就是用于管理的一些辅助信息。 b. 自动配置、自动备份及相关技术：配置信息自动获取功能相 当于从网络设备中 “读 ”信息，相应的，在网络管理应用中还有大量 “写 ”信息的需求。 同样根据设置手段对网络配置信息进行分类：一类是可以通过网络管理协议标准中定义的方法 (如 SNMP 中的 set 服务 )进行设置的配置信息；二类是可以通过自动登录到设备进行配置的信息；三类就是需要修改的管理性配置信息。 c. 配置一致性检查：在一个大型网络中，由于网络设备众多，而且由于管理的原因，这些设备很可能不是由同一个管理人员进行配置的。 实际上 „即使是同一个管理员对设备进行的配置，也会由于各种原因导致配置一致性问题。 因此，对整个 网络的配置情况进行一致性检查是必需的。 在网络的配置中，对网络正常运行影响最大的主要是路由器端口配置和路由信息配置，因此，要进行、致性检查的也主要是这两类信息。 d. 用户操作记录功能：配置系统的安全性是整个网络管理系统安全的核心，因此，必须对用户进行的每一配置操作进行记录。 在配置管理中，需要对用户操作进行记录，并保存下来。 管理人员可以随时查看特定用户在特定时问内进行的特定配置操作。 (2) 性能管理 a. 性能监控：由用户定义被管对象及其属性。 被管对象类型包括线路和路由器；被管对象属性 包括流量、延迟、丢包率、 CPU 利用率、温度、内存余量。 对于每个被管对象，定时采集性能数据，自动生成性能报告。 b. 阈值控制：可对每一个被管对象的每一条属性设置阈值，对于特定被管对象的特定属性，可以针对不同的时间段和性能指标进行阈值设置。 可通过设置阈值检查开关控制阂值检查和告警，提供相应的阈值管理和溢出告警机制。 c. 性能分桥：对历史数据进行分析，统计和整理，计算性能指标，对性能状况作出判断，为网络规划提供参考。 d. 可视化的性能报告：对数据进行扫描和处理，生成性能趋势曲线，以 直观的图形反映性能分析的结果。 10 e. 实时性能监控：提供了一系列实时数据采集；分析和可视化工具，用以对流量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测，可任意设置数据采集间隔。 f. 网络对象性能查询：可通过列表或按关键字检索被管网络对象及其属性的性能记录。 (3) 故障管理 a. 故障监测：主动探测或被动接收网络上的各种事件信息，并识别出其中与网络和系统故障相关的内容，对其中的关键部分保持跟踪，生成网络故障事件记录。 b. 故障报警：接收故障监 测模块传来的报警信息，根据报警策略驱动不同的报警程序，以报警窗口／振铃 (通知一线网络管理人员 )或电子邮件 (通知决策管理人员 )发出网络严重故障警报。 c. 故障信息管理：依靠对事件记录的分析，定义网络故障并生成故障卡片，记录排除故障的步骤和与故障相关的值班员日志，构造排错行动记录，将事件 故障 日志构成逻辑上相互关联的整体，以反映故障产生、变化、消除的整个过程的各个方面。 d. 排错支持工具：向管理人员提供一系列的实时检测工具，对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错； 根据已有的徘错经验和管理员对故障状态的描述给出对徘错行动的提示。 e. 检索／分析故障信息：浏阅并且以关键字检索查询故障管理系统中所有的数据库记录，定期收集故障记录数据，在此基础上给出被管网络系统、被管线路设备的可靠性参数。 (4) 安全管理 安全管理的功能分为两部分，首先是网络管理本身的安全，其次是被管网络对象的安全。 网络管理过程中，存储和传输的管理和控制信息对网络的运行和管理至关重要，一旦泄密、被篡改和伪造，将给网络造成灾难性的破坏。 网络管理本身的安全由以下机制来保证： a. 管理员身份认证，采用基于公开密钥的证书认证机制；为提高系统效率，对于信任域内 (如局域网 )的用户，可以使用简单口令认证。 b. 管理信息存储和传输的加密与完整性， Web 浏览器和网络管理服务器之间采用安全套接字层 (SSL)传输协议，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，也是经过加密的。 11 c. 网络管理用户分组管理与访问控制，网络管理系统的用户 (即管理员 )按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用 户不能越权使用网络管理系统。 e. 系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复。 网络对象的安全管理有以下功能： a. 网络资源的访问控制，通过管理路由器的访问控制链表，完成防火墙的管理功能，即从网络层 (1P)和传输层 (TCP)控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来的攻击。 b. 告警事件分析，接收网络对象所发出的告警事件，分析员安全相关的信息(如路由器登录信息、 SNMP 认证失败信息 )，实时地向管理员 告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。 c. 主机系统的安全漏洞检测，实时的监测主机系统的重要服务 (如 WWW，DNS 等 )的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。 总之，网络管理通过网关 (即边界路由器 )控制外来用户对网络资源的访问，以防止外来的攻击；通过告警事件的分析处理，以发现正在进行的可能的攻击；通过安全漏洞检擒来发现存在的安全隐患，以防患于未然。 (5) 计费管理 a. 计费数 据采集：计费数据采集是整个计费系统的基础，但计费数据采集往往受到采集设备硬件与软件的制约，而且也与进行计费的网络资源有关。 b. 数据管理与数据维护：计费管理人工交互性很强，虽然有很多数据维护系统自动完成，但仍然需要人为管理，包括交纳费用的输入、联网单位信息维护，以及账单样式决定等。 c. 计费政策制定；由于计费政策经常灵活变化，因此实现用户自由制定输入计费政策尤其重要。 这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。 d. 政策比较与决策支持：计费 管理应该提供多套计费政策的数据比较，为政策制订提供决策依据。 e. 数据分析与费用计算：利用采集的网络资源使用数据，联网用户的详细信息以及计费政策计算网络用户资源的使用情况，并计算出应交纳的费用。 f. 数据查询：提供给每个网络用户关于自身使用网络资源情况的详细信息，网络用户根据这些信息可以计算、核对自己的收费情况。 12 网络管理系统 由于网络管理已经有了一系列的标准，以及 OSI 定义的网络管理五大功能，使得具有配置管理、性能管理、故障管理、安全管理和计费管理五大功能的管理系统 成为可能。 同时，也正是得益于这样的网络管理系统，我们才能对网络进行充分、完备和有序的管理。 但是由于涉及到众多的网络管理协议和五个方面所要求的功能以及不同网络的实际情况，使得网络管理系统在技术上具有很强的挑战性。 现在市场上号称是网络管理系统的软件不少，但真正具有网络管理五大功能的网络管理系统却不多。 我们下面将介绍四种网络管理系统，并给出它们的优缺点比较。 这四种网络管理系统是：惠普 (HP)公司的 0penView，国际商用公司 (IBM)的 NetView， SUN 公司的 SunNet 以及近年来代表未来智能网络管理方向 的Cabletron 公司的 SPECTRUM。 (1) HP 的 0penView HP的 OpenView 有争议地成为了第一个真正兼容的、跨平台的网络管理系统，因此也得到了广泛的市场应用。 但是，虽然 0penView 被认为是一个企业级的网络管理系统，但它跟大多数别的网络管理系统一样，不能提供 NetWare， SNA，DEC， ，无线通信交换机以及其他非 SNMP 设备的管理功能。 另一方面，HP 努力使 OpenView 由最初的提供给第三方应用厂商的开发系统，转变为一个跨平台的最终用户产品。 它的最大特点是被第三方应用开发厂商所广泛接受。 比如 IBM 就把 OpenView 增强功能并扩展成为自己的 NetView 产品系列，从而与OpenView 展开竞争。 特别在最近几年， OpenView 已经成为网络管理市场的领导者，与其他网络管理系统相比， OPenView 拥有更多的第三方应用开发厂商。 在近期， OpenView 看上去更像一个工业标准的网络管理系统。 (2) IBM 的 NetView IBM 的 NetView 是一个相对比较新，同时又具有兼容性的网络管理系统。 NetView 既可以作为一个跨平台 的、即插即用的系统提供给最终用户，也可以作为一个开发平台，在上面开发新的网络管理应用。 IBM 从 HP 得到 的许可证，并在此基础上大大扩展了它的功能，并将与其他软件产品集成起来，从而形成了自己的 NetV5ew 产品系列。 跟 OpenView 一样， NetView 作为企业级的网络管理系统，但它也不能提供 NetWare， SNA， DEC， ，无线通信交换机以及其他非 SNMF 设备的管理功能。 在网络管理产品市场上， NetView 在过去几年得到广泛的关注。 NetView 的市场人员宣称尽管 IBM 是 从 HP 那里得到了 OpenView 的最初许可证，但 IBM 在此基础上自己增加了 70％的代码，并修正了很多 OpenView 的 bugs,因此 NewView 应该被认为是一种新的产品。 NetView产品系列包括一个故障卡片系统，一些新的故障诊断工具，以及一些 OpenView所不具备的其他特性。 虽然目前 NewView 在吸引第三方应用开发厂商方面还不如 openView，但这种差距正在缩小。 (3) SUN 的 SUNNet Manager 13 SunNet Manager(SNM)是第一个重要的基于 Unix 的网络管理系统。 SNM 一直主要作为开发平台而存在，它仅仅提供很有限的应用功能。 为了实用化，还必须附加很多第三方开发的针对具体硬件平台的网络管理应用。 SNM 的开发似乎已经减慢甚至停止，不过 SUN 已经签署一份许可证给 NetLabs DiMONS 3G 公司，授权该公司以 SNM 为基础开发一个名叫 Enpass 的新网络管理系统。 对于SNM，该系统跟其他大多数网络管理系统一样，它也不能提供 NetWare， SNA，。