网络安全管理技术-网络管理技术

着计算机网络的规模越来越大，复杂程度越来越高，要保证网络中设备的可靠运行，使网络的性能达到用户的满意程度，就需要对大量的网络信息进行管理。

如果没有一个高效的网络管理系统对网络系统进行管理，就难以保证为用户提供令人满意的网络服务。现在的网络管理工作不再全部由网络管理员完成，而主要是通过网络管理系统进行自动化、智能化管理。

1.网络管理的概念

· 网络管理和网络管理系统

网络管理是指在网络使用期内为保证用户安全、可靠、正常地使用网络服务而从事的全部操作和维护性活动。

表 网络管理

作用

它控制复杂的计算机网络，使其具有最高效率的过程；它能提高整个网络系统的工作效率、管理水平和维护水平，对一个网络系统的活动和资源进行监督、分析、控制和规划。

类型

第一类是计算机网络应用程序、用户账号和存取权限的管理，属于与软件有关的网络管理问题；
第二类是对构成计算机网络的硬件的管理，包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。

规则

规则由于管理信息而带来的通信量不应明显增加网络的通信量；被管理设备上的协议代理不应明显增加系统处理的额外开销，以至于削弱该设备的主要功能。

管理方面

（1）网络服务：指向用户提供新的服务类型、增加网络设备、提高网络性能。
（2）网络维护：指网络性能监控、故障报警、故障诊断、故障隔离与恢复。
（3）网络处理：指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。

网络管理系统是一个软硬件结合以软件为主的分布式网络应用系统。

表 网络管理系统

目的

管理网络，使网络高效正常运行。

作用

网络管理系统可以帮助网络管理者维护和监视网络的运行，还可以生成网络信息日志，用来分析和研究网络。

评价

从技术角度看，一个好的网络管理系统应该能够实现网络的故障诊断、计费管理、安全管理、流量控制以及网络路由选择策略管理。

从用户角度看，一个好的网络管理系统应该能够同时支持网络监视和控制能力，能够管理所有的网络协议，具有尽可能大的管理范围、尽可能小的系统开销。

·网络管理模型

在网络管理中，一般采用“管理者——代理”的管理模型，如图所示，网络管理系统一般由4个部分组成。

图 网络管理模型

管理者：在网络管理系统中，可以有一个或多个管理者。管理者负责发出管理操作的命令，并接收来自代理的信息。它是网络管理员和网络管理系统的接口，通过管理进程完成各项管理任务。

网络管理协议：网络管理协议是用于在管理者和管理代理之间传递信息、完成信息交换及安全控制的通信规则。网络管理协议从代理处获取管理信息或向代理发送命令，代理通过网络管理协议报告紧急通知。网络管理协议属于高层协议。

管理代理：被管理系统由被管理设备和管理代理组成，被管理设备包括路由器、交换机、集线器、服务器和工作站等一个或多个被管理设备。每台被管理的设备都有一个相应的管理进程（也称代理）来控制其运行。管理代理位于被管理对象的内部，是一些管理应用程序的集合，它维护设备的管理信息库，完成网络的基本功能，对管理者的请求做出应答或向管理者提供信息。

网络管理信息库（MIB）：网络管理信息库是一些变量的集合，确切地说是管理者所能管理的所有对象的集合，可以通过读取这些变量的值来控制网络设备的运行，还可以通过改变这些变量的值来更新设备的配置。

2.OSI管理功能域

国际标准化组织ISO 定义了网络管理的五个功能域：故障管理、配置管理、计费管理、性能功能和安全管理。

故障管理（Fault Management）是网络管理中最基本的功能之一。故障管理是对网络环境中的问题和故障进行定位的过程。它主要对网络设备运行状况进行监控，通过检测异常事件来发现故障，通过日志记录故障情况，诊断故障并实现故障设备的恢复和故障排除等。保证网络连续可靠地提供服务。网络故障管理包括故障检测、隔离和纠正3个方面，主要功能如下：

（1）维护并检查错误日志。

（2）接受错误检测报告并做出响应。

（3）跟踪、辨认故障。

（4）执行诊断测试。

（5）纠正错误，重新开始服务。

计费管理（Accounting Management）负责监视和记录用户对网络资源的使用，对其收取合理的费用，目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价，控制用户过多占用和使用网络资源，帮助网络管理员进行网络经营预算，提供收费依据。计费管理的功能包括：

（1）统计网络利用率等数据，提供给网络管理员确定费率的依据。

（2）根据用户对网络资源的使用情况，公平合理地收取费用。

（3）提供费用统计和账单审查服务。

（4）当多个资源同时用来提供一项服务时，能计算各个资源的费用。

配置管理（Configuration Management）是发现和设置网络设备的过程。通过配置管理，网络管理员可以方便地查询网络当前的配置情况，增强对网络配置的控制。它初始化网络，并配置网络，其目的是为了实现某个特定功能，使网络性能达到最优。配置管理的功能主要包括：

（1）设置开放系统中有关路由操作的参数。

（2）对象和对象组属性的管理。

（3）初始化或关闭被管理对象。

（4）根据要求收集系统当前状态的有关信息。

（5）获取系统重要变化的信息，维护最新的设备清单并根据数据产生报告。

（6）更改系统的配置，提供远程修改设备配置的手段。

性能管理（Performance Management）用于对系统运行及通信效率等系统性能进行评价。常用的评价指标有网络吞吐量、用户响应时间、错误率和利用率等。性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下，确保网络能提供可靠连接的通信能力，并使网络资源的使用达到最优化的程度。

典型的网络性能管理分为性能监测和网络控制两部分。性能监测功能对网络中的活动进行跟踪，网络控制功能实施相应调整来提高网络性能。性能管理收集并分析有关被管网络当前状况的数据信息，维持和分析性能日志。一些典型的功能包括：

（1）收集并统计与被管理对象性能有关的参数、历史数据等信息。

（2）维护并检查系统状态日志，检测性能故障，报告性能事件。

（3）确定自然和人工状况下系统的性能。

（4）以保证网络性能为目的，对被管理对象和被管理对象组进行控制。

安全管理（Security Management）的目的是确保网络资源不被非法使用，防止网络资源由于入侵者的攻击而遭到破坏。一个完善的计算机网络管理系统必须制定网络管理的安全策略，并根据这一策略设计实现网络安全管理的系统。安全管理提供的主要功能有：

（1）支持身份鉴别，控制和维护访问权限。

（2）支持密钥管理。

（3）维护和检查安全日志。

3.简单网络管理协议

网络管理中最重要的部分就是网络管理协议，它定义了网络管理者与代理之间采用的通信标准。目前主要有两大形式的网络管理协议体系：

目前使用最为广泛的是简单网络管理协议。

· SNMP协议概述

SNMP（Simple Network Management Protocol）即简单网络管理协议，它为网络管理系统提供了底层网络管理的框架。可以进行网络设备监视、网络参数设定、网络流量的统计与分析及发现故障。

SNMP的管理模型同样是“管理者——代理”模型，它定义了两者之间的对话方式。管理者与代理之间通过应答来完成相关的操作。

SNMP的管理模型如图所示，它由SNMP管理器、SNMP代理和管理信息库组成。每一个支持SNMP的网络设备中都包含一个代理，这个代理随时将网络设备的运行情况记录到管理信息库中，网络管理程序再通过SNMP通信协议查询或修改代理所记录的信息。

图 SNMP管理模型

管理进程

SNMP管理器也称管理进程，它是一个或一级管理软件，可以显示所有被管理设备的状态（如链路是否连通、流量状况等）。SNMP管理器运行在网络工作站或网管中心的主机上。

SNMP管理器负责完成各种网络管理功能，通过被管理设备中管理代理对网络设备和资源进行管理。网络管理人员通过SNMP管理器对全网进行监控和管理，并对各管理代理中的数据进行存储，以备以后进行分析时使用。

管理代理

SNMP代理是在被管理设备中运行的软件，它负责执行SNMP管理器的管理操作。被管理设备可以是交换机、路由器（网关）、终端和网络打印机等，它们都运行TCP/IP协议。

SNMP代理直接操作本地管理信息库，它可以管理、修改本地管理信息库中的数据或将数据传送到SNMP管理器中。每个SNMP代理都有自己的本地管理信息库，而各个管理信息库并不一定都具有Internet定义的管理信息库全部内容，它们可以只包括本地设备有关的管理对象。

MIB

管理信息数据库（MIB）是一个信息存储库，它包含了管理代理中的有关配置和性能的数据。MIB有一个组织体系和公共结构，其中包含分属不同组的许多个数据对象，它是一个概念上的数据库。

MIB数据对象以一种树状分层结构进行组织，在这个树状结构中的每个分枝都有一个专用的名字和一个数字形式的标识符。所有SNMP代理控制的管理对象共同构成全网的管理信息库。