10.1 网络管理技术 10.2 网络安全的基本概念 10.3 网络安全策略的设计 10.4 网络防火墙技术 10.5 本章总结 第10章 网络管理与网络安全技术 10.1 网络管理技术 10.2 网络安全的基本概念 10.3 网络安全策略的设计 10.4 网络防火墙技术 10.5 本章总结
随着计算机网络应用的发展,网络在各种信息系统中的作用变得越来越重要,人们也越来越关心网络安全问题。本章介绍网络管理技术、网络安全的基本概念、网络安全策略的设计,以及网络防火墙技术。 10.1 网络管理技术 10.1.1 网络管理的重要性 随着网络在社会生活中的广泛应用,特别是在金融、商务、政府机关、军事、信息处理以及工业生产过程控制等方面的应用,支持各种信息系统的网络地
位也变得越来越重要。随着网络规模的不断扩大,网络结构也变得越来越复杂。用户对网络应用的需求不断提高,企业和用户对计算机网络的依赖程度也越来越高。在这种情况下,企业的管理者和用户对网络性能、运行状况以及安全性也越来越重视。因此,网络管理已成为现代网络技术中最重要的问题之一,也是网络设计、实现、运行与维护等环节中的关键问题。 一个有效而且实用的网络每时每刻都离不开网络管理。如果在网络系统设计中没有很好地考虑与解决网络管理问题,那么这个设计方案是有严重缺陷的,按这样的设计组建的网络应用系统是十分危险的。一旦因网络性能下降,甚至因故障而造成网络瘫痪,
那么这对企业将会造成严重的损失,这种损失有可能远远大于在网络组建时,用于网络软、硬件与系统的投资。因此,我们必须十分重视网络管理技术的研究与应用。 在计算机网络的硬件中,实际存在着服务器、工作站、网关、路由器、网桥、集线器、传输介质与各种网卡。在计算机网络操作系统中,又可能是UNIX、Windows NT、NetWare等操作系统并存。不同的厂家针对自己的网络设备与网络操作系统提供了专门的网络管理产品,但这对于管理一个大型的、异构的、多厂家产品的计算机网络来说往往是不够的。只有具备丰富的网络管理知识与经验,才有可能对复杂网络进行有效的管理。因此,无论是
对于网络管理员、网络应用开发人员,还是普通的网络用户,学习网络管理的基本理论知识与实现方法都是十分重要的。 10.1.2 网络管理的基本概念 1. 网络管理的定义 网络管理有狭义与广义之分。狭义的网络管理仅指对网络交通量(traffic)等网络参考性能的管理,广义的网络管理则是指对网络应用系统的管理。我们这里所讨论的网络管理(network management)涉及以下三个方面: (1) 网络服务提供(network service provisioning)向用户提供新的服务类型,增加网络设备,提高网络性能。
(2) 网络维护(network maintenance)网络性能监控,故障报警,故障诊断,故障隔离与恢复。 (3) 网络处理(network administration)网络线路、设备利用率数据的采集、分析,以及提高网络利用率的各种控制。 在网络管理中,常见的两个术语是managemention与administration。其中,managemention一般是泛指网络管理活动,而administration是指比较具体的某一项网络管理的行为。因此,相应的manager是指网络管理员,而administator是指网络软件的管理进程。在很多局域网系统中,network manager是指网络系统管理员, 而network administrator 是指完成某项网络管理任务(例如打印机服务器管理)的网络管理员。
2. 网络管理系统的基本结构 一个网络管理系统从逻辑上可以分为以下三个部分:管理对象(managed object)、管理进程(manager process)、管理协议(management protocol)。 管理对象是经过抽象的网络元素,对应于网络中具体可以操作的数据,如记录网络设备工作状态的状态变量、网络设备内部的工作参数、网络性能的统计参数。被管理的网络设备包括交换机、网关、路由器、网桥、通信线路、网卡、服务器以及工作站等。
管理进程是负责对网络设备进行全面的管理与控制的软件。它将根据网络中各个管理对象状态的变化,来决定对不同的管理对象应该采取什么样的操作,例如调整网络设备的工作参数,控制网络设备的工作状态。 管理信息库(MIB,management information base)是管理进程的一个部分。管理信息库用于记录网络中被管理对象的状态参数值。 管理协议则负责在管理系统与被管理对象之间传递操作命令,负责解释管理操作命令。管理协议保证了管理信息库中的数据与具体网络设备中实际状态、工作参数的一致性。
3. 管理信息库 从概念上说,一个网络的管理系统只能有一个管理信息库,但管理信息库可以是集中存储的,也可以由各个网络设备记录本地工作参数。网络管理员只要查询有关的管理信息库,就可获得有关网络设备的工作状态和工作参数。对于管理信息库来说,如何使管理信息库的数据与网络设备的实际状态、工作参数保持一致,是网络管理系统必须解决的重要问题。只有管理信息库中的内容与实际网络设备的工作状态保持一致,管理信息库才有意义。 在网络管理过程中,使网络管理信息库中的数据与实际网络设备的状态、参数保持一致的方法主要有两种:事件驱动方法与轮询驱动方法。
(1) 事件驱动方法 事件驱动方法是由网络中各个网络监测设备在发现被监测对象的状态、参数发生变化后,及时地向管理进程报告。这种报告称为事件报告。事件报告并不意味着发生了严重的问题。例如,一条传输线路因受到严重干扰而不能正常工作时,线路监测设备将产生"线路故障"事件报告;一旦线路干扰消失,线路传输恢复正常时,线路监测设备将产生"线路故障消失"事件报告。管理进程将对事件进行分类,根据发生的事件对网络服务影响的大小来划分事件的等级。事件等级一般可以分成以下四个等级:致命事件、严重事件、轻微事件、一般告警。
(2) 轮询驱动方法 轮询驱动方法是指管理进程主动轮流查询整个网络中设备的工作状态、参数。管理进程轮流查询后,如果返回的结果正常,则不做处理;如果返回的结果表明网络设备已经出现故障,或者根本就没有任何结果返回,则说明网络设备存在难以克服的故障,需要管理进程采取措施才能够恢复。 轮询驱动方法虽然能够保证设备在发生故障以后的一定时间内,网络管理进程能够检测到故障,但检测的时间延迟一般较长。如果一个网络有几百个,甚至有几千个网络设备,那么故障检测的时间延迟可能很长。因此,事件驱动方式与轮询驱动方式比较起来,事件驱动方式的故障检测的实时性会更好一些。
网络管理系统的设计存在着许多矛盾。例如,如果管理对象的一切状况都实时地反映在网络管理信息库MIB中,那么就必然地要在管理进程与管理对象之间进行频繁的通信。这种频繁的通信必然会大大增加网络资源的开销,使整个网络的通信效率降低。同时,任何一种通信都会带来一定的延时,要求管理信息库与管理对象在任何时刻都完全保持一致是不可能的。因此,在设计网络管理系统时需要综合考虑多方面的因素。同样,网络管理协议的设计也要综合考虑多方面的因素,以便求得一个合理的折衷方案。在未来的网络管理应用中,专家系统与面向对象的数据库技术将起到关键的作用。
10.1.3 网络管理功能域 网络管理标准化是要满足不同网络管理系统之间互操作的需求。为了支持各种网络互连管理的要求,网络管理需要有一个国际性的标准。 目前,国际上有许多机构与团体都在为制定网络管理国际标准而努力。在众多的网络协议标准化组织中,国际标准化组织与国际电信联盟的电信标准部(ITUT)做了大量的工作,并制定出了相应的标准。 OSI网络管理标准将开放系统的网络管理功能划分成5个功能域,这5个功能域分别用来完成不同的网络管理功能。OSI网络管理中定义的5个功能域只是网络管理最基本的功能,这些功能都需要通过与其
他开放系统交换管理信息来实现。 OSI管理标准中定义的5个功能域是:配置管理(configuration management)、故障管理(fault management)、性能管理(performance management)、安全管理(security management)、记账管理(accounting management)。 1. 配置管理 网络配置是指网络中每个设备的功能、相互间的连接关系和工作参数,它反映了网络的状态。网络是经常需要变化的,需要调整网络配置的原因很多。这些原因主要有以下几点: (1) 为向用户提供满意的服务,网络必须根据用户
需求的变化,增加新的资源与设备,调整网络的规模,以增强网络的服务能力。 (2) 网络管理系统在检测到某个设备或线路发生故障,在故障排除过程中将会影响到部分网络的结构。 (3) 通信子网中某个结点的故障会造成网络上结点的减少与路由的改变。 对网络配置的改变可能是临时性的,也可能是永久性的。网络管理系统必须有足够的手段来支持这些改变,不论这些改变是长期的还是短期的。有时甚至要求在短期内自动修改网络配置,以适应突发性的需要。配置管理就是用来识别、定义、初始化、控制与监测通信网中的管理对象。 网络中的配置管理功能域需要监视与控制的主要内
容是: 网络资源及其活动状态; 网络资源之间的关系; 新资源的引入与旧资源的删除。 从管理控制的角度看,网络资源可以分为三个状态:可用的、不可用的与正在测试的。 从网络运行的角度看,网络资源又可以分为两个状态:活动的与不活动的。 在OSI网络管理标准中,配置管理部分可以说是最基本的内容。配置管理是网络中对管理对象的变化进行动态管理的核心。当配置管理软件接到网管操作员或其他管理功能设施的配置变更请求时,配置管理服务首先确定管理对象的当前状态并给出变更
合法性的确认,然后对管理对象进行变更操作,最后要验证变更确实已经完成。因此,网络的配置管理活动经常是由其他管理应用软件来实现的。 2. 故障管理 故障管理是用来维持网络的正常运行的。网络故障管理包括及时发现网络中发生的故障,找出网络故障产生的原因,必要时启动控制功能来排除故障。控制活动包括诊断测试活动,故障修复或恢复活动,启动备用设备等。 故障管理是网络管理功能中与设备故障的检测、差错设备的诊断、故障设备的恢复或故障排除有关的网络管理功能,其目的是保证网络能够提供连续、可靠的服务。故障管理功能可以分解成以下5个模块:
检测管理对象的差错现象,或接收管理对象的差错事件通报。 当存在冗余设备或迂回路由时,提供新的网络资源用于服务。 创建与维护差错日志库,对差错日志进行分析。 进行诊断测试,以便跟踪并确定故障位置与故障性质。 通过资源的更换、维修或其他恢复措施使其重新开始服务。 网络中所有的部件,包括通话设备与线路,都有可能成为网络通信的瓶颈。事先进行性能分析,将有
助于在运行前或运行中避免出现网络通信的瓶颈问题。但是进行这项工作需要对网络的各项性能参数(如可靠性、延时、吞吐量、 网络利用率、拥塞与平均无故障时间等)进行定量评价。 3. 性能管理 网络性能管理活动是持续地评测网络运行中的主要性能指标,以检验网络服务是否达到了预定的水平,找出已经发生或潜在的瓶颈,报告网络性能的变化趋势,为网络管理决策提供依据。为了达到这些目的,网络性能管理功能需要维护性能数据库、网络模型,需要与性能管理功能域保持连接,并完成自动的网络管理。 典型的网络性能管理可以分为两部分:性能监测与
网络控制。性能监测指网络工作状态信息的收集和整理;而网络控制则是为改善网络设备的性能而采取的动作和措施。 性能管理监测的主要目的是以下几点: 在用户发现故障并报告后,去查找故障发生的位置。 进行全局监视,及早发现故障隐患,在影响服务之前就及时将其排除。 对过去的性能数据进行分析,以便知道资源利用情况及其发展趋势。 在OSI性能管理标准中,明确定义了网络或用户对性能管理的需求,以及度量网络或开放系统资源性能的标准,定义了用于度量网络负荷、吞吐量、资
源等待时间、响应时间、传播延时、资源可用性与表示服务质量变化的参数。 性能管理包括一系列管理对象状态的收集、分析与调整,保证网络可靠、连续通信的能力。网络性能管理的功能主要应包括以下几种: 从管理对象中收集与性能有关的数据。 对与性能相关的数据进行分析与统计。 根据统计分析的数据判断网络性能,报告当前网络性能,产生性能警告。 将当前统计数据的分析结果与历史模型进行比较,以便预测网络性能的变化趋势。 形成并调整性能评价标准与性能参数标准值,
根据实测值与标准值的差异去改变操作模式,调整网络管理对象的配置。 实现对管理对象的控制,以保证网络的性能达到设计要求。 4. 安全管理 安全管理功能是用来保护网络资源的安全。安全管理活动能够利用各种层次的安全防卫机制,使非法入侵事件尽可能少发生;能够快速检测未授权的资源使用,并查出侵入点,对非法活动进行审查与追踪;能够使网络管理人员恢复部分受破坏的文件。 安全管理中一般要设置一些权限,制定判断非法入侵的条件以及检查非法操作的规则。非法侵入活动包括无特权的用户企图修改其他用户定义的文件,
修改硬件或软件配置,修改访问优先权,关闭正在工作的用户,以及任何其他对敏感数据的访问企图。收集有关数据产生报告,由网络管理中心的安全事务处理进程进行分析、记录、存档,并根据情况采取相应的措施,如给入侵用户以警告信息,取消其使用网络的权力等。无论积极或消极的行动,均要将非法入侵事件记录在安全日志中。 安全日志中记录的非法入侵事件主要有以下几类: 所有被拒绝的访问企图; 所有的用户登录与退出情况; 所有对关键资源的使用情况; 所有访问控制定义事项的变更情况;
用户启动网络维护过程的情况; 网络设备启动、关闭与重启动情况; 所有包含有敏感数据的传输; 所有被发现的积极侵入事件; 所有被发现的消极侵入事件; 所有对资源的物理毁坏与威胁。 5. 记账管理 对于公用分组交换网与各种网络信息服务系统来说,用户必须为使用网络的服务而交费,网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。 用户使用网络资源的费用有许多不同的计算办法,
例如主叫付费、被叫付费与主被叫分担费用等。 在大多数企业内部网中,内部用户使用网络资源并不需要交费,但是记账功能可以用来记录用户对网络的使用时间、统计网络的利用率与资源使用等内容。因此,记账管理功能在企业内部网中也是非常有用的。 网络服务计费信息主要指用户对以下4种网络资源的使用情况: 硬件资源类用户使用的计算机、交换机、通信线路等物理设备。 软件和系统资源类这一类资源包括通信协议、网络应用软件、网络数据库软件、网络管理软件,以及各种收费的网络信息资源。
网络服务网络服务是指各类电子邮件和语音邮件服务,以及各种Internet服务。 网络设施的额外开销凡需收费的网络服务,其运营公司一般也就是一个盈利性公司。为了网络的运行与维护,都需要投入资金。运营公司都要将它投入的资金,折合成每次服务的额外开销计入服务费用。 对于每个网络通信服务公司、Internet服务提供者ISP来说,确定资费政策是头等重要的事。为了给每个网络用户确定一个合理的费用,并能从技术上保证费用收取的合理与公平,也是每个通信服务公司市场竞争的重要手段之一。 记账管理的功能主要有以下几种:
通过统计网络的利用率等数据,根据记账管理事件来确定不同时期与时间段的资费标准。 根据用户使用资源的情况来分摊费用。 支持采用信用记账方式收取费用,并提供有关信息资源使用的账单审查功能。 用户同时使用了多种信息资源时,能够将分别计费的各个资源的费用累加。 记账管理功能是所有网络通信服务公司与ISP所要选择的重要功能模块,也是确定网络利用率和实现对用户合理收费的主要服务功能。记账管理的目标是为准确、合理地收取用户为使用网络资源而应交付的费用提供数据。在激烈的商业竞争中,通信服务公司和ISP都需要允许用户查阅精确的计费信息,
如每次通信的开始时间、结束时间、通信中使用的信息资源、通信中传送的信息量、通信对方等信息。因此,记账管理功能对于所有的网络通信服务公司和ISP来说都是非常重要的。 10.1.4 典型的网络管理软件 1. 简单网络管理协议 除了专门的标准化组织制订的一些标准外,一些网络发展比较早的机构与厂家也制订了一些应用在各自网络上的管理标准。例如,IBM公司、DEC公司与Internet 组织都有各自的网络管理标准,有的已经成为事实上的网络管理标准,其中应用最广的是简单网络管理协议(SNMP,Simple Network
Management Protocol)。SNMP管理模型的结构如图10 Management Protocol)。SNMP管理模型的结构如图10.1所示,它包括三个组成部分:管理进程(manager)、管理代理(agent)与管理信息库。
图 10.1
(1) 管理进程 管理进程是一个或一组软件程序,它一般运行在网络管理站(或网络管理中心)的主机上,可以在SNMP的支持下由管理代理来执行各种管理操作。 管理进程负责完成各种网络管理功能,通过各设备中的管理代理实现对网络内的各种设备、设施和资源的控制。另外,操作人员通过管理进程对全网进行管理。管理进程可以通过图形用户接口,以容易操作的方式显示各种网络信息、网络中各管理代理的配置图等。管理进程会将对各个管理代理中的数据集中存储,以备在事后进行分析时使用。 (2) 管理代理 管理代理是一种在被管理的网络设备中运行的软件,
它负责执行管理进程的管理操作。管理代理直接操作本地信息库,可以根据要求改变本地信息库,或者是将数据传送到管理进程。 每个管理代理拥有自己的本地管理信息库,一个管理代理管理的本地管理信息库不一定具有Internet定义的管理信息库的全部内容,而只需要包括与本地设备或设施有关的管理对象。管理代理具有以下两个基本管理功能:读取管理信息库中各种变量值与修改管理信息库中各种变量值。 (3) 管理信息库 管理信息库是一个概念上的数据库,它是由管理对象组成的,每个管理代理管理该库中属于本地的管理对象,各管理代理控制的管理对象共同构成全网
的管理信息库。 2. 典型的网络管理软件 网络管理软件用于监视与控制网络的运行情况,包括设备与线路的好坏、网络流量与拥挤程度等。对于大型的网络系统来说,使用网络管理软件是十分必要的,否则在网络出现故障或性能下降时无从解决。 目前,典型的网络管理软件主要有:HP公司的OpenView、IBM公司的NetView、SUN公司的SunNet Manager、Cabletron公司的Spectrum与DEC公司的PolyCenter等。它们在支持本公司网络管理方案的同时,都可以通过SNMP对网络设备进行管理。