Internet 网络管理 主讲:邢仲璟
126
Internet 网网网网 主主 主主主 :
description
Internet 网络管理 主讲:邢仲璟. 开课前言 一、任课教师: 邢仲璟( 联系方式: [email protected] ) 二、参考教材: 《 计算机网络管理技术 》 编著:杨云江;出版:清华大学出版社 三、课程安排 1 、共 17 周 第 2 - 16 周(理论),第 13 - 17 周(上机); 2 、上课时间、地点: 理论课:周四第 7 、 8 节 ;实验楼 210 课室 实验课: 周四第 9 、 10 节;地点待定. 第一章 网络管理概述 一、网络管理的基本概念 网络管理的定义 - PowerPoint PPT Presentation
Transcript of Internet 网络管理 主讲:邢仲璟
Internet 网络管理主讲:邢仲璟
开课前言一、任课教师:邢仲璟(联系方式: [email protected])二、参考教材:
《计算机网络管理技术》 编著:杨云江;出版:清华大学出版社
三、课程安排1 、共 17 周 第 2 - 16 周(理论),第 13 - 17 周(上机);2 、上课时间、地点:理论课:周四第 7 、 8 节 ;实验楼 210 课室实验课:周四第 9 、 10 节;地点待定
第一章 网络管理概述一、网络管理的基本概念1. 网络管理的定义 网络管理,简称网管,简单地说就是为保证整个网络系统每个方面都能够持续、稳定、安全、可靠和高效地运行,对网络实施的一系列方法和措施。 网络管理的任务就是收集、设置、监控网络中各个系统、各种设备和设施以及各用户的运行状态信息、工作参数,并将结果通知管理系统及管理员进行处理,从而实现对网络系统中各软、硬件、设备设施、使用者等各个方面的的参数配置、工作状态等方面进行控制,使其可靠运行。2. 概念辨析狭义的网络管理: 应用 SNMP 等专用网络管理协议对网络(各节点)的运作进行监控管理,以维持网络的正常运作;“网络”的概念范围很窄。
广义的网络管理: 上述网络管理定义。“网络” 含义广。3. 网络管理的目标 网络管理的目标是最大限度地增加网络的可用度,提高网络设备的利用率,提高网络性能、服务质量和安全性,简化网络管理和降低网络运行成本,并提供网络的长期规划。★ 提高网络效率★ 提高网络收益★ 提高网络兼容性★ 提高网络安全性
4. 网络管理的重要性 用户对网络的依赖程度越来越高 用户对网络应用的需求不断提高 用户对网络性能,运行状况及安全性越来越重视 网络管理的必要性 网络规模不断扩大 网络越来越复杂(设备、结构等) 简单的管理工具和方法已不适应管理大型和异构网络
二、网络管理的基本功能类别1. 网络运作监控管理( ISO 制定的标准: OSI 网络系统管理)( 1 )配置管理( 2 )性能管理( 3 )故障管理( 4 )安全管理( 5 )计费管理2. 网络信息服务管理3. 网络安全管理4. 网络资源管理5. 网络用户管理6. 网络存储备份管理
第二章 网络管理的相关技术基础一、网络监控管理的相关技术基础1. 网络管理模型图
管理者 代理
被管对象系统
被管对象操作
通知
本地系统环境
操作通知
通信
★ 网络管理者 可以是单一的 PC 、单一的工作站或按层次结构在共享的接口下与并发运行的管理模块连接的几个工作站。 ★ 代理 是被管对象或设备上的管理程序,它把来自管理者的命令或信息请求转换为本设备特有的指令,监视设备的运行,完成管理者的指示,或返回它所在设备的信息。★ 管理者将管理要求通过管理操作指令传送给被管理系统中的代理,代理则直接管理设备。
2. 网络管理协议★ SNMP
简单网络管理协议( SNMP )的前身是 1987年发布的简单网关监控协议( SGMP )。 SGMP给出了监控网关( OSI 第三层路由器)的直接手段, SNMP则是在其基础上发展而来, SNMP 是流传最广,应用最多,获得支持最广泛的一个网络管理协议。它最大的一个优点就是简单性,因而比较容易在大型网络中实现。它代表了网络管理系统实现的一个很重要的原则,即网络管理功能的实现对网络正常功能的影响越小越好。扩展性是 SNMP 的又一个优点。由于其简单化的设计,用户可以很容易地对其进行修改来满足他们特定的需要。 SNMPv2 ( version 2 )的推出就是 SNMP 具有良好扩展性的一个体现。 SNMP 的扩展性还体现在它对 MIB ( Management Information Base )的定义上。各厂商可以根据 SNMP 制订的规则,很容易地定义自己的 MIB ,并据此使自己的产品支持 SNMP 。 SNMP经历了两次版本升级,现在的最新版本是 SNMPv3 ( version 3 )。在前两个版本中 SNMP 功能都得到了极大的增强,而在最新的版本中,SNMP 在安全性方面有了很大的改善, SNMP缺乏安全性的弱点正逐渐得到克服。
★ CMIP/CMIS
公共管理信息服务 /公共管理信息协议( CMIS/CMIP Common Management Information Service/Protocol )是 ISO 提供的网络管理协议簇。 CMIS 定义了每个网络组成部分提供的网络管理服务,这些服务在本质上是很普通的, CMIP则是实现 CMIS 服务的协议。 OSI 网络协议旨在为所有设备在 OSI 参考模型的每一层提供一个公共网络结构,而 CMIS/CMIP 正是这样一个用于所有网络设备的完整网络管理协议簇。 出于通用性的考虑, CMlS/CMIP 的功能与结构跟 SNMP 不相同, SNMP 是按照简单和易于实现的原则设计的,而 CMIS/CMIP则能够提供支持一个完整网络管理方案所需的功能。 CMIS/CMIP 的整体结构是建立在使用 OSI 网络参考模型的基础上的,网络管理应用进程使用 OSI 参考模型中的应用层。也在这层上,公共管理信息服务单元提供了应用程序使用 CMIP 协议的接口。同时该层还包括了两个 OSI 应用协议:联系控制服务元素和远程操作服务元素,其中联系控制服务元素在应用程序之间建立和关闭联系,而远程操作服务元素则处理应用之间的请求 /响应交互。
★ RMON
RMON 是远程监控的简称,是用于分布式监视网络通信的工业标准,RMON 和 RMON2 是互为补充的关系。 RMON MIB由统计数据、分析数据和诊断数据构成。利用许多供应商开发的标准工具可显示出这些数据,因而它具有远程网络分析功能。 RMON探测器和 RMON客户机软件结合在一起,就可以在网络环境中实施 RMON 。这样就不需要管理程序不停地轮询,才能生成一个有关网络运行状况的趋势图。当一个探测器发现一个网段处于一种不正常状态时,它会主动与在中心网络控制台的 RMON客户应用程序联系,并将描述不正常状况的信息转发。 RMON 监视下两层即数据链路和物理层的信息,可以有效监视每个网段,但不能分析网络全局的通信状况,如站点和远程服务器之间应用层的通信瓶颈,因此产生了 RMON2 标准。 RMON2 标准使得对网络的监控层次提高到网络协议栈的应用层。因而,除了能监控网络通信与容量外, RMON2还提供有关各应用所使用的网络带宽量的信息。
3. 网络运行监控管理的主要功能 在实际网络管理过程中,网络管理应具有的功能非常广泛,包括了对很多方面(上文所述)的管理模块。 在 OSI 网络管理标准中定义了网络管理的 5 大功能:★ 配置管理★ 性能管理★ 故障管理★ 安全管理★ 计费管理
( 1 )配置管理 自动发现网络拓扑结构,构造和维护网络系统的配置;监测网络被管对象的状态,完成网络关键设备配置的语法检查,配置自动生成和自动配置备份系统,对于配置的一致性进行严格的检验。( 2 )故障管理 过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排错工具,形成整套的故障发现、告警与处理机制。( 3 )性能管理 采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质量进行分析;统计网络运行状态信息,对网络的使用发展作出评测、估计,为网络进一步规划与调整提供依据。( 4 )安全管理 结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络管理系统本身的安全;维护系统日志,使系统的使用和网络对象的修改有据可查;控制对网络资源的访问。
( 5 )计费管理 对网际互联设备按 IP 地址的双向流量统计,产生多种信息统计报告及流量对比,并提供网络计费工具,以便用户根据自定义的要求实施网络计费。 说明: 上述 5 大功能是网络监控管理最基本的功能。事实上,网络监控管理还应该包括其他一些功能,比如网络规划、网络操作人员的管理等。 由于计费存在多种不同的计费方式,如时间、流量、区域等或基于机器、基于账号等不同计费对象,因此有将计费管理单独列出作为网络管理的一个基本功能。 安全管理方面,由于作为监控手段一般无法对内容的安全性有所保障,因此,只能列为网络运作的安全进行考虑。
二、网络信息服务管理的相关技术基础1. 服务体系结构图
IBM Compatible
IBM Compatible
INTERNET
用户 PC 机 (本地主机)
服务器(远程主机)
2. Internet 信息服务基本协议TCP/IP 协议栈图:
以太网 FDDI ATM X.25
IP
TCP
ARP/RARP
ICMP IGMP
UDP
HTTP SMTP FTP TELNET DNS SNMP RIP TFTP
互联层
应用层
网络接口层
传输层
3. 常用 Internet 信息服务★ 域名服务 DNS 服务,基于 DNS 协议,为 Internet 提供域名解释服务;★ 文件传输服务 FTP 服务,基于 FTP 协议,为 Internet 提供文件传输服务;
★ WWW 服务 万维网服务,基于 HTTP 等协议,为 Internet 提供超文本信息服务;★ 邮件服务 即 E-MAIL 服务,基于 SMTP 、 POP3 、 IMAP 等协议,为 Internet提供电子邮件传输服务;★ 远程登录服务 Telnet 服务,基于 Telnet 协议,为 Internet 提供远程资源控制服务。
三、网络安全管理的相关技术基础1. 网络安全的含义 国际标准化组织( ISO )对计算机系统安全的定义是: 为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。 网络安全可以划分为:( l )处于网络上的计算机系统的安全;( 2 )网络服务使用的安全;( 3 )网络上信息传播的安全;
2. 网络安全的特征 ( 1 )保密性 信息不泄露给非授权的用户、实体或过程,或供其利用的特性;( 2 )完整性 数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;( 3 )可用性 可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;( 4 )可控性 对信息的传播及内容具有控制能力。
3. 安全威胁的具体类型 ( 1 )非授权访问 主要指对网络设备以及信息资源进行非正常使用或超越权限使用。如黑客入侵等。( 2 )假冒合法用户 主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权,以达到占用合法用户资源的目的。如账号盗用等。( 3 )数据完整性受破坏 干扰系统的正常运行,改变系统正常运行的方向,以及延时系统的响应时间。( 4 )信息泄露( disclosure of information ) 造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。如通信线路被窃听、信息被截取等。 ( 5 )拒绝服务( denial of service ) 使得系统难以或不可能继续执行任务的所有问题。 ( 6 )计算机病毒。
4. 网络安全措施( 1 )修补系统漏洞( 2 )病毒检查( 3 )加密( 4 )执行身份鉴别(签名、认证)( 5 )防火墙
5. 各种网络安全技术( 1 )防火墙技术 在内部网络和外部网络之间实现控制策略的技术。( 2 )实时防病毒技术 实时扫描、监测病毒的技术。( 3 )身份认证技术 通过对远程访问者各种凭证的获取和认证,对访问者进行甄别的技术。( 4 )数字签名技术 对所传送的信息来源的真实性的保证技术。(与加密技术密切相关)( 5 )信息加密技术 对所传送的信息内容的保密性的保证技术。( 6 )各种基于内容的过滤技术 如邮件、发布信息的过滤等技术。( 7 )各种防攻击技术 系统、软件漏洞的监测、修补;针对特定攻击的技术。( 8 )虚拟专用网技术
四、网络资源管理的相关技术基础;1. IP分配与管理( IPv4 )( 1 ) IP 地址的分类;A 、 B 、 C 、 D 、 E 类的划分、范围与各自的作用;( 2 )特殊的 IP 地址;( 3 ) IP 地址的分配与管理;子网、子网掩码、网关地址2. 域名分配与管理( 1 )域名系统;( 2 )域名的分配与管理;3. 网络设备、设施管理( 1 )资源的共享;( 2 )资源的访问控制;
五、网络用户管理的相关技术基础1. 用户数据( 1 )用户数据的存储( 2 )用户数据的管理2. 用户管理( 1 )用户权限设置( 2 )用户访问控制
六、网络存储管理的相关技术基础1. 网络数据备份技术( 1 )备份的基本概念( 2 )常用的备份技术2. 数据库技术( 1 )数据库与备份的关系( 2 )异构网络数据库的互访与集成
第三章 网络监控管理一、网络运行监控管理的主要功能1.配置管理( 1 )配置信息的自动获取 在一个大型网络中,需要管理的设备是比较多的,如果每个设备的配置信息都完全依靠管理人员的手工输入,工作量是相当大的,而且还存在出错的可能性。对于不熟悉网络结构的人员来说,这项工作甚至无法完成。因此,一个先进的网络管理系统应该具有配置信息自动获取功能。即使在管理人员不是很熟悉网络结构和配置状况的情况下,也能通过有关的技术手段来完成对网络的配置和管理。在网络设备的配置信息中,大致可以分为三类:一是网络管理协议标准的 MIB 中定义的配置信息(包括 SNMP和 CMIP 协议);二是不在网络管理协议标准中有定义,但是对设备运行比较重要的配置信息;三就是用于管理的一些辅助信息。
( 2 )自动配置、自动备份及相关技术 配置信息自动获取功能相当于从网络设备中“读”信息,相应的,在网络管理应用中还有大量“写”信息的需求。根据设置手段对网络配置信息进行分类:一类是可以通过网络管理协议标准中定义的方法(如 SNMP 中的 set 服务)进行设置的配置信息;二类是可以通过自动登录到设备进行配置的信息;三类就是需要修改的管理性配置信息。( 3 )配置一致性检查 在一个大型网络中,由于网络设备众多,而且由于管理的原因,这些设备很可能不是由同一个管理人员进行配置的。实际上,即使是同一个管理员对设备进行的配置,也会由于各种原因导致配置一致性问题。因此,对整个网络的配置情况进行一致性检查是必需的。在网络的配置中,对网络正常运行影响最大的主要是路由器端口配置和路由信息配置,因此,要进行一致性检查的也主要是这两类信息。
( 4 )用户操作记录功能 配置系统的安全性是整个网络管理系统安全的核心,因此,必须对用户进行的每一配置操作进行记录。在配置管理中,需要对用户操作进行记录,并保存下来。管理人员可以随时查看特定用户在特定时问内进行的特定配置操作。综合起来,配置管理的主要功能有以下方面:
► 将资源与其资源名称对应起来;► 对系统日常操作的参数进行设置和控制;► 修改系统属性;► 更改系统配置初始化或关闭某些资源;► 掌握系统配置的重大变化;► 管理配置信息库;► 设备的备用关系管理。
2.性能管理 ( 1 )性能监控 由用户定义被管对象及其属性。被管对象类型包括线路和路由器;被管对象属性包括流量、延迟、丢包率、 CPU 利用率、温度、内存余量。对于每个被管对象,定时采集性能数据,自动生成性能报告。( 2 )阈值控制 可对每一个被管对象的每一条属性设置阈值,对于特定被管对象的特定属性,可以针对不同的时间段和性能指标进行阈值设置。可通过设置阈值检查开关控制阂值检查和告警,提供相应的阈值管理和溢出告警机制。( 3 )性能分析 对历史数据进行分析,统计和整理,计算性能指标,对性能状况作出判断,为网络规划提供参考。 ( 4 )可视化的性能报告 对数据进行扫描和处理,生成性能趋势曲线,以直观的图形反映性能分析的结果。
( 5 )实时性能监控 提供了一系列实时数据采集;分析和可视化工具,用以对流量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测,可任意设置数据采集间隔。( 6 )网络对象性能查询 可通过列表或按关键字检索被管网络对象及其属性的性能记录。( 7 )预测网络性能的变化趋势;( 8 )评价各项性能指标和网络配置。
3.故障管理( 1 )故障监测 主动探测或被动接收网络上的各种事件信息,并识别出其中与网络和系统故障相关的内容,对其中的关键部分保持跟踪,生成网络故障事件记录。( 2 )故障报警 接收故障监测模块传来的报警信息,根据报警策略驱动不同的报警程序,以报警窗口/振铃(通知一线网络管理人员)或电子邮件(通知决策管理人员)发出网络严重故障警报。 ( 3 )故障信息管理 依靠对事件记录的分析,定义网络故障并生成故障卡片,记录排除故障的步骤和与故障相关的值班员日志,构造排错行动记录,将事件 - 故障 -日志构成逻辑上相互关联的整体,以反映故障产生、变化、消除的整个过程的各个方面。
( 4 )排错支持工具 向管理人员提供一系列的实时检测工具,对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错;根据已有的排错经验和管理员对故障状态的描述给出对排错行动的提示。 ( 5 )检索/分析故障信息 浏阅并且以关键字检索查询故障管理系统中所有的数据库记录,定期收集故障记录数据,在此基础上给出被管网络系统、被管线路设备的可靠性参数。
4.安全管理 安全管理的功能分为两部分,首先是网络管理本身的安全,其次是被管网络对象的安全。 网络管理过程中,存储和传输的管理和控制信息对网络的运行和管理至关重要,一旦泄密、被篡改和伪造,将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证: ( 1 )管理员身份认证,采用基于公开密钥的证书认证机制;为提高系统效率,对于信任域内(如局域网)的用户,可以使用简单口令认证。 ( 2 )管理信息存储和传输的加密与完整性, Web浏览器和网络管理服务器之间采用安全套接字层( SSL )传输协议,对管理信息加密传输并保证其完整性;内部存储的机密信息,如登录口令等,也是经过加密的。 ( 3 )网络管理用户分组管理与访问控制,网络管理系统的用户(即管理员)按任务的不同分成若干用户组,不同的用户组中有不同的权限范围,对用户的操作由访问控制检查,保证用户不能越权使用网络管理系统。 ( 4 )系统日志分析,记录用户所有的操作,使系统的操作和对网络对象的修改有据可查,同时也有助于故障的跟踪与恢复。
网络对象的安全管理有以下功能: ( 1 )网络资源的访问控制,通过管理路由器的访问控制链表,完成防火墙的管理功能,即从网络层( IP 等)和传输层( TCP 、 UDP )控制对网络资源的访问,保护网络内部的设备和应用服务,防止外来的攻击。 ( 2 )告警事件分析,接收网络对象所发出的告警事件,分析员安全相关的信息(如路由器登录信息、 SNMP认证失败信息),实时地向管理员告警,并提供历史安全事件的检索与分析机制,及时地发现正在进行的攻击或可疑的攻击迹象。 ( 3 )主机系统的安全漏洞检测,实时的监测主机系统的重要信息服务(如WWW , DNS 等)的状态,提供安全监测工具,以搜索系统可能存在的安全漏洞或安全隐患,并给出弥补的措施。 总之,网络管理通过网关(即边界路由器)控制外来用户对网络资源的访问,以防止外来的攻击;通过告警事件的分析处理,以发现正在进行的可能的攻击;通过安全漏洞检测来发现存在的安全隐患,以防患于未然。
5.计费管理( 1 )计费数据采集 计费数据采集是整个计费系统的基础,但计费数据采集往往受到采集设备硬件与软件的制约,而且也与进行计费的网络资源有关。 ( 2 )数据管理与数据维护 计费管理人工交互性很强,虽然有很多数据维护系统自动完成,但仍然需要人为管理,包括交纳费用的输入、联网单位信息维护,以及账单样式决定等。 ( 3 )计费政策制定 由于计费政策经常灵活变化,因此实现用户自由制定输入计费政策尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。 ( 4 )政策比较与决策支持 计费管理应该提供多套计费政策的数据比较,为政策制订提供决策依据。
( 5 )数据分析与费用计算 利用采集的网络资源使用数据,联网用户的详细信息以及计费政策计算网络用户资源的使用情况,并计算出应交纳的费用。 ( 6 )数据查询 提供给每个网络用户关于自身使用网络资源情况的详细信息,网络用户根据这些信息可以计算、核对自己的收费情况。
二、网络监控管理模式1. 集中式网络管理 集中式网管体系中由一个管理者对整个网络的运行进行管理,负责处理所有代理上的管理信息,它具有简单、价格低及易维护等优点,因而成为目前使用最为普遍的一种模式。但随着网络规模和复杂度的迅速增大,集中式结构已暴露出其不可克服的缺点。
网络管理系统
I nternet
被管设备 被管设备
2. 多域网络管理系统 随着网络规模的扩大,采用集中式结构的网络管理系统已经无法满足管理应用的需求。因此,有必要将管理工作分散到整个系统中进行分布处理,再将处理结果汇总。在这样的环境中会有多个管理者存在, 网络管理工作也应按照一定的管理结构划分给各个管理者。为了更好地将网络按照管理结构进行划分,网络管理系统是按域的概念进行管理的。
常见的多域网络管理系统有:⊕ 分布式网络管理系统结构⊕ 分层式网络管理系统结构⊕ 混合结构
三、简单网络管理协议( SNMP ) SNMP (简单网络管理协议)最大的特点是简单性,容易实现且成本低。很快为众多网络厂商接受和采纳,成为事实上的标准。由于 SNMP 存在一些不足,提出的改进版本 SNMPv2 , SNMPv3 ,在多个方面进行了改进和强化。
• SNMP 参考模型• SNMP 的 3 个主要组成部分: SMI 、 MIB 、协议• SNMPv1 、 v2 、 v3
1. SNMP 参考模型(如下图)
SNMP 参考模型
用户界面网络管理应用 1
网络管理应用 3
网络管理应用 2
NMSMIB NMS
网络协议互联网络
网络协议
代理进程MIB
代理进程SNMP 协议
SNMP 参考模型由 4 个主要部分构成:互联网络,网络协议,网络管理进程和被管网络实体。其中的核心内容是 SNMP 管理模型。
SNMP管理模型
管理应用
管理者
代理
MI B
代理
MI B
代理
MI B
SNMPSNMPSNMP
NMS网络管理系统( )
被管对象 被管对象 被管对象
2. SNMP 的 3 个主要组成部分: SMI 、 MIB 和协议( 1 )管理信息结构( SMI ) Structure of Management Information ,管理信息结构是管理信息库中对象定义和编码的基础。 SMI 是对公共结构和一般类型的描述,和标识方法在一起,在现实中都要用到。 SMI经常被比作数据库的模式,它描述 MIB 中的对象,定义 MIB 中的数据类型。 SMI 中最关键的原则是管理对象的形式化定义要用抽象语法记法( ASN.1 )来描述。管理对象在现实中都是作为特定的 MIB严格定义的,在 SMI 称为为对象类型。 SNMP 的对象类型有 3 个用来描述其特征的最基本属性:名;语法;编码。
通用类数据类型
应用类数据类型
( 2 )管理信息库( MIB ) ( Management Information Base ) MIB 定义了可以通过网络管理协议进行访问的管理对象的集合。第一组 RFC 定义的 MIB 成为 MIB-I 。接下来的 RFC1213 中又添加了新的对象,成为了正式的标准,称为 MIB-II 。 MIB经常被当作管理对象的虚拟的数据库。 MIB 可以描述为一棵树,各个数据项构成了树的叶结点。每个 MIB 对象都有一个唯一的对象标识符( OID )来标识和命名,这个标识符取决于MIB 对象在树中的位置,而对象的实例也有标识符,由对象类的对象标识符加上实例标识符构成的。 SNMP MIB 的对象标识符结构定义了三个主要分支:
国际电报电话咨询委员会 CCITT (现在的国际电信联盟的电信部门 ITU-T )负责管理分支 0
国际标准化组织 ISO负责管理分支 1 ,CCITT 和 ISO联合机构管理分支 2 。
Internet 的 MIB 都在分支 1 ,属于 ISO.ORG.DOD.INTERNET子树,具体如下图所示。
CCITT(0) ISO(1) JOINT-ISO-CCITT(2)
ORG(3)
DOD(6)
INTERNET(1)
DIRECTORY(1) MGMT(2) EXPERIMENTAL(3)PRIVATE(4)
MIB-2(1)
SYSTEM(1)
INTERFACE(2)AT(3)
IP(4)ICMP(5)
TCP(6)UDP(7)
EGP(8) SNMP(10)
TRANSMISSION(9)
► 对象命名树的顶级对象有三个,即 ISO 、 ITU-T 和这两个组织的联合体。
► 在 ISO 的下面有 4 个结点,其中的一个(标号 3 )是被标识的组织。► 在其下面有一个美国国防部( Department of Defense )的子树(标号是
6 ),再下面就是 Internet (标号是 1 )。► 在只讨论 Internet 中的对象时,可只画出 Internet 以下的子树(图中带阴影的虚线方框),并在 Internet 结点旁边标注上 {1.3.6.1}即可。 在 Internet 结点下面的第二个结点是 mgmt (管理),标号是 2 。
► 再下面是管理信息库,原先的结点名是 mib 。► 1991年定义了新的版本 MIB-II ,故结点名现改为 mib-2 ,其标识为 {1.3.6.
1.2.1} ,或 {Internet(1) .2.1} 。这种标识为对象标识符。► 最初的结点 mib 将其所管理的信息分为 8 个类别,现在的 mib-2所包含的
信息类别已超过 40 个。见下页表。
★ RFC1213 中定义了 Internet 标准的 MIB 和 MIB-II ,共包含 171 个对象,分成 11组,表 2.2 对各组总体信息作了具体解释。
MIB 类型 类型说明1. System 主机或网关信息(主机或路由器的操作系统)2. Interface 网络接口信息(各种网络接口及它们的测定通信量)3. AT 地址转换信息(例如 ARP映射)4. IP 网际信息( IP分组统计)5. ICMP 网际控制报文协议(已收到 ICMP消息的统计)6. TCP 传输控制协议(算法、参数和统计)7. UDP 用户数据报协议( UDP 通信量统计)8. EGP 外部网关协议(外部网关协议通信量统计)9 、 10. Transmission (待扩充) 传输媒体信息11. SNMP 简单网络管理协议
★ 访问MIB 数据对象方式 在定义 MIB 数据对象时,访问控制信息确定了可作用于该数据对象的操作种类。 SNMP 协议定义了如下的三种 MIB 数据对象访问方式: 只读方式、可读可写方式、禁止访问。
注: MIB 中的对象 {1.3.6.1.4.1} ,即 enterprises (企业),其所属结点数已超过 3000 。例如 IBM 为 11.3.6.1.4.1.2} , Cisco 为 {1.3.6.1.4.1.9} , Novell 为 {1.3.6.1.4.1.23} 等。世界上任何一个公司、学校只要用电子邮件发往 [email protected] 进行申请即可获得一个结点名。这样各厂家就可以定义自己的产品的被管理对象名,使它能用 SNMP 进行管理。
( 3 ) SNMP 协议 SNMP 是为网络管理服务而定义的应用协议,在 1988年 8月首次定义,很快就在 RFC1157 中达到了正式标准。 SNMP 是 NMS 和代理之间的异步请求和相应协议。 SNMP 是由一系列协议组和规范组成的,它们提供了一种从网络上的设备中收集网络管理信息的方法。从被管理设备中收集数据有两种方法:一种是轮询( polling-only )方法,另一种是基于中断( interrupt-based )的方法。 SNMPv1 管理模型提供了四个操作命令:GET :从被管对象处提取特定的网络管理信息;GET-NEXT :通过遍历活动来提供更强的管理信息提取能力;SET :对管理信息进行修改和控制;Trap :陷阱操作,由被管对象用来向管理者汇报本地发生的异常现象。
SNMP 协议建立在 UDP 层协议之上,它是一个异步的请求 /响应协议,其请求和响应之间没有必然的时间顺序关系。这样, SNMP 实体无需在发出请求后等待响应的到来。由于传输服务存在着残留差错,请求或响应可能会丢失,需由发送方负责纠正或恢复。 下图描述了 SNMP 的层次关系
网络管理应用Manager
SNMP
UDP
IP
物理层
Agent
网络管理应用
SNMP
UDP
IP
物理层
MIB
被管对象Trap
GET,SET
网络管理工作站
Trap
GET,SET
通信介质
网络元素
3. SNMPv1 、 v2 、 v3
SNMPv1 是 SNMP 协议的最初版本,它在 RFC1157 中有详细描述,并在管理信息结构规范( SMI )中实现。 SNMPv1 在诸如 UDP 、 IP 等协议之上操作。由于 SNMPv1 在 Internet 中得到了广泛的使用,已成为事实上的网管协议。 一条 SNMP消息由版本号、 SNMP 共同体名和协议数据单元( PDU )构成。 SNMP消息全部通过 UDP端口 161 接收,只有 Trap 信息采用 UDP端口 162 。 SNMPv1 基本上没有什么安全性可言,在安全方面 SNMPv1 存在以下主要的安全问题: SNMP 数据包的修改:指一个未经验证的用户捕获到 SNMP 数据包后,修改其信息,又把数据包发送到目的站。而接收设备不能得知数据的改变,于是就响应包里的信息,导致安全问题。
其它问题:►没有提供成批存取机制,对大块数据进行存取效率很低;►只在 TCP/IP 协议上运行,不支持别的网络协议;►没有提供 manager 与 manager之间通信的机制,只适合集中式管理,而不利于进行分布式管理;
►只适于监测网络设备 , 不适于监测网络本身。 1993年, SNMPv2 作为一系列建议 Internet 标准发表, SNMPv2 在管理
信息结构( SMI )的规范中实现其功能。 SNMPv2 在功能上较 SNMPv1有所提高,也增加了一些协议操作。
SNMPv2 在原有的 Get 、 GetNext 、 Set 等操作外增加了 SNMPv2 Trap操作,并定义了 GetBulk 和 Inform两个新的协议操作。其中 GetBulk操作快速获取大块数据。 Inform操作允许一个 NMS向另一个 NMS 发送 Trap 信息,并接收一个响应消息。
SNMPv2 安全标准对数据修改、假冒和数据包顺序改变等安全问题提出了比较满意的解决方案,进一步为安全标准提出了一系列的目标,提出了分级的安全机制以及验证机制和使用 DES 标准加密算法。
SNMPv3 是 SNMPv2 的扩展,它主要解决了网络管理的有效性和安全性两个方面的问题。 SNMPv3 的主要目标是支持一种可以很容易扩充的模块化体系结构。 可以认为 SNMPv3 是具有附加的安全和管理能力的 SNMPv2 。 SNMPv3主要定义了 SNMPv2缺少的网络安全的 4 个关键域: 验证; 保密; 授权和进程控制; 以上功能所需的远程配置和管理能力。然而 SNMP轮询有两个明显的弱点:► 它没有伸缩性。 在大型的网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤情况的发生。► 它将收集数据的负担加在网络管理控制台上。 管理站也许能轻松地收集 8 个网段的信息,当它们监控 48 个网段时,恐怕就应付不下来。
四、其它网络监控管理协议1. CMIP 协议 国际标准化组织 ISO 对网络管理的标准化工作主要针对 OSI (开放系统互连)七层协议的传输环境而设计,其成果是 CMIS (公共管理信息服务)和 CMIP (公共管理信息协议)。 CMIS支持管理进程和管理代理之间的通信要求。 CMIP则是提供管理信息传输服务的应用层协议。 二者规定了 OSI 系统的网络管理标准。 `
2. RMON 协议
五、网络监控管理方案的比较1. SNMP 的网络管理方案和 OSI 网络管理方案,由于它们的目的和使用的技术不同,所以有各自的特点和优势。2. SNMP采用无连接、不保证可靠的 UDP 运输服务,而 CMIP采用 OSI 协议栈中面向连接的可靠的运输服务。与 SNMP 相比, CMIP 一般都被认为是以较高成本达到较好性能的。
六、网络监控管理新技术1. RMON 技术 网络管理技术的一个新的趋势是使用 RMON (远程网络监控)。 RMON 的目标是为了扩展 SNMP 的 MIB - II (管理信息库),使 SNMP更为有效、更为积极主动地监控远程设备。 RMON 可以帮助网管员确定如何最佳给他们的网络分段。网管员通过报告意外事,可以识别出占有最大带宽的用户;这些用户然后放置于各自的网段之中来尽可能减少他们对其它用户的影响。 RMON 的目标是为了扩展 SNMP 的 MIB-II ,使 SNMP更为有效、更为积极主动地监控远程设备。 RMON 实现了对异构环境进行一致的远程管理,它为通过端口远程监视网段提供了合适的解决方案。 RMON自主性的操作和分布式的管理体系可以大幅提高网络管理效率。
2. 面向业务的网管 新一代的网络管理系统,已开始从面向网络设备的管理向面向网络业务的管理过度。这种网管思想把网络服务、业务作为网管对象,通过实时监测与网络业务相关的设备、应用,通过模拟客户实时测量网络业务的服务质量,通过收集网络业务的业务数据,实现全方位、多视角监测网络业务运行情况的目的,从而实现网络业务的故障管理、性能管理和配置管理。
3. 基于 CORBA 技术的网管 CORBA(Common Object Request Broker Architecture , 通用对象请求代理结构 ) ,
CORBA 最初的提出是为了满足异构平台上分布式计算的需要。它有以下优点:可在一个分布式应用中混用多种语言、支持分布对象、提供高度的互通性等。 OMG 已经提出了基于 CORBA 的网管系统的体系结构,使用 CORBA 的方法来实现基于 OSI 开放接口和 OSI 系统管理概念。 TMF 和 X/Open联合开展的 JIDM 任务组已经开发出 SNMP/CMIP/CORBA 的互通静态规范描述和动态交互式转化方法。可以预见, CORBA 将在网络管理和系统管理中占有越来越重要的位置。
4. 基于Web 的网络管理技术 随着Web 的流行和技术的发展,可考虑将网络管理和 Web 结合起来。基于Web 网络管理系统的根本点就是允许通过Web浏览器进行网络管理。
基于Web 的网络管理模式( Web-Based Management , WBM )使得管理人员能够在任何站点、通过任何Web浏览器均可以监测和控制公司网络,并且能够解决很多由于多平台结构产生的互操作性问题。它提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面。 WBM主要有两个标准:一个是 Microsoft公司提出的 WBEM ( Web Based Enterprise Management ) ] 标准,另一个是 Sun公司提出的 JMAPI ( Java Management Application Program Interface ),现在发展成 JMX ( Java Management Extension )。 有两种基本方式实现基于Web 的网络管理模式: 采用代理方式:在一个工作站上运行 Web 代理服务器,工作站轮流与被管设备通信,浏览器用户与代理通信,同时代理与端点设备之间通信。 嵌入式方式:此方式将 Web 功能嵌入到网络设备中,每个设备有自己的 Web地址,管理员可通过浏览器直接访问并管理该设备。
七、常用网络管理软件 计算机网络的网络管理层次结构包括:网络平台、网络管理协议、网络管理平台、网络管理工具、网络管理应用软件、网络管理员操作界面。如图所示。
网络管理员操作界面网络管理应用软件
网络管理工具网络管理平台网络管理协议
网络平台
网络管理平台指包括网络管理软件和网络管理应用程序的网络管理系统。 网络管理应用软件建立在网络管理工具之上,包括计费系统、防火墙等。 借助于网络管理平台,网络管理人员不仅可以由网络管理平台的管理者与
被管系统中的代理者交换网络信息,而且可以开发网络管理应用程序。 目前,几乎所有网络公司的产品都支持 SNMP 标准,但能作为 SNMP 管理
者的并不多,大多数是作为代理。 常见的能作为管理者运行的网络管理软件有:
HP 的 OpenView ; IBM 的 Tivioli TME 10 ; SUN 的 SunNet Manager ;Cabletron 的 SPECTRUM 等。
以上这些网络管理平台主要指能作为管理者运行的网络管理软件。
其他网络公司推出的网络管理产品基本上都是网络管理代理,可以作为SNMP 代理接受管理者的管理,这些网络管理工具基于具体的网络管理平台。
例如: 3COM公司的网络管理工具 Transcend ,是基于 HP公司的 OpenView
网络管理平台,用于管理 3COM公司的网络设备。 Cisco公司的网络管理工具 Cisco Works ,它可基于三种流行的网络管理平台: HP 的 OpenView , Sun 的 SunNet Manager 和 IBM 的 Tivioli TMEl0 ,用于管理 Cisco公司的网络设备。
Bay Networks公司的网络管理工具 Optivity ,是基于 HP公司的 OpenView 网络管理平台,管理 Bay Networks公司的网络设备。
第四章 网络信息服务管理一、 DNS 服务1. 域名系统 域名与域名解释服务( DNS ); 由于 IP 地址不便于记忆,因此引入了域名的机制; www.scau.edu.cn — 202.116.160.41
DNS ( Domian Name Service )是一种帮助人们在 Internet 上用名字来唯一标识自己的计算机,并保证其域名能与 IP 地址一一对应的网络服务。 域名系统顶级域名: .com .gov .net .edu .mil .org .int .firm .nom .store .art
.info .rec .web
我国的二级域名: .gov .org .net .com .edu .ac
★ 域名系统
2. DNS 协议基于 UDP ;常用端口。3. DNS 管理核心安全性等设置问题;4. 域名资源分配问题留待资源管理部分讨论
二、 WWW 服务1. WWW 服务相关概念( 1 ) HTTP ( HyperText Transfer Protocol ) 一种请求 / 相应类型的协议,一种无状态协议; 由客户机发送请求,服务器对该请求作出应答; 不同版本的处理稍有不同: 1.0 及以前的版本,不同的请求通常使用
不同的连接, 1.1引入持续连接作为默认行为,但服务器在不同请求之间不保留任何信息。
请求响应链存在中间节点。( 2 ) HTML ( HyperText Markup Language ) 不严格要求格式的正确,结果由浏览器进行诠释; 格式通常只对显示效果有影响。( 3 ) URL ( Uniform Resource Locator )
2. WWW 服务管理核心 最原始的 WWW 服务器只简单处理请求 / 应答,传送静态网页文件; 匿名WWW 服务器不需要对用户进行任何形式的认证; 支持交互、动态网页的 WWW 服务器要进行严格的访问控制; 提供安全性支持的 WWW 服务器要对各种传输通道进行周密的设置; 提供 WEB形式的系统,要对 WWW 服务器进行各方面的扩充配置。
三、邮件服务1. 邮件服务的基本概念( 1 )各种协议 SMTP ( Simple Mail Transfer Protocol ) POP3 ( Post Office Protocol 3 ) MIME ( Multipurpose Internet Mail Extension ) UUTP ( Unix to Unix Transfer Protocol ) IMAP ( Internet Mail Access Protocol ) HTTP ( HyperText Transfer Protocol )( 2 )系统原理图以及工作流程示意图
SMTP 协议
MUA
MDA MTA
SMTP 服务器
用户邮件存放区
MTA MDA
SMTP 服务器
用户邮件存放区
MUA
SMTP/POP 协议
基于 SMTP的邮件服务系统原理图
SMTP/POP 协议
发送方邮件服务器 接收方邮件服务器
发送方 接收方
Internet
SMTP SMTP
SMTP SMTPPOP3/IMAP POP3/IMAP
邮件系统工作流程示意图
2. 邮件服务的管理核心( 1 )各种配置 服务范围控制 邮件来源、发送权限控制 邮件存储空间管理 邮件大小控制 用户数据库管理 用户空间分配 邮件转发管理 邮件自动化管理( 2 )邮件安全管理 邮件过滤 防病毒管理( 3 )邮件服务与其它服务之间的关系
3. POP 协议★ 邮局协议 POP 是一个非常简单、但功能有限的邮件读取协议,现在使用的是它的第三个版本 POP3 。★ POP 也使用客户服务器的工作方式。★ 在接收邮件的用户 PC 机中必须运行 POP 客户程序,而在用户所连接的 ISP 的邮件服务器中则运行 POP 服务器程序。4. IMAP 协议★ IMAP 也是按客户服务器方式工作,现在较新的版本是 IMAP4 。★ 用户在自己的 PC 机上就可以操纵 ISP 的邮件服务器的邮箱,就像在本地操纵一样。★ 因此 IMAP 是一个联机协议。当用户 PC 机上的 IMAP 客户程序打开 IMAP 服务器的邮箱时,用户就可看到邮件的首部。若用户需要打开某个邮件,则该邮件才传到用户的计算机上。
5. IMAP 的特点★ IMAP 最大的好处就是用户可以在不同的地方使用不同的计算机随时上网阅读和处理自己的邮件。★ IMAP 还允许收信人只读取邮件中的某一个部分。例如,收到了一个带有视像附件(此文件可能很大)的邮件。为了节省时间,可以先下载邮件的正文部分,待以后有时间再读取或下载这个很长的附件。★ IMAP 的缺点是如果用户没有将邮件复制到自己的 PC 机上,则邮件一直是存放在 IMAP 服务器上。因此用户需要经常与 IMAP 服务器建立连接。
6. 电子邮件的信息格式★ 一个电子邮件分为信封和内容两大部分。★ [RFC 822]只规定了邮件内容中的首部 (header)格式,而对邮件的主体 (body)部分则让用户自由撰写。★ 用户写好首部后,邮件系统将自动地将信封所需的信息提取出来并写在信封上。所以用户不需要填写电子邮件信封上的信息。7. 邮件内容的首部 ★ 邮件内容首部包括一些关键字,后面加上冒号。最重要的关键字是: To 和 Subject 。★ “To:”后面填入一个或多个收信人的电子邮件地址。用户只需打开地址簿,点击收信人名字,收信人的电子邮件地址就会自动地填入到合适的位置上。★ “Subject:” 是邮件的主题。它反映了邮件的主要内容,便于用户查找邮件。★ 抄送“ Cc:” 表示应给某某人发送一个邮件副本。★ “From” 和“ Date” 表示发信人的电子邮件地址和发信日期。★ “Reply-To” 是对方回信所用的地址。
8. 通用因特网邮件扩充 MIME
( 1 ) SMTP 的缺点: SMTP 不能传送可执行文件或其他的二进制对象。 SMTP 限于传送 7 位的 ASCII 码。许多其他非英语国家的文字(如中文、俄文,甚至带重音符号的法文或德文)就无法传送。
SMTP 服务器会拒绝超过一定长度的邮件。 某些 SMTP 的实现并没有完全按照 [RFC 821] 的 SMTP 标准。( 2 ) MIME 的特点 MIME 并没有改动 SMTP 或取代它。 MIME 的意图是继续使用目前的 [RFC 822]格式,但增加了邮件主体的结
构,并定义了传送非 ASCII 码的编码规则
( 3 ) MIME 和 SMTP 的关系
非 ASCII 码
7 位 ASCII 码
MIME
SMTP
MIME
SMTP
7 位 ASCII 码7 位 ASCII 码
非 ASCII 码用户 用户
( 4 ) MIME 主要包括三个部分 5 个新的邮件首部字段,它们可包含在 [RFC 822]首部中。这些字段提供了有关邮件主体的信息。
定义了许多邮件内容的格式,对多媒体电子邮件的表示方法进行了标准化。 定义了传送编码,可对任何内容格式进行转换,而不会被邮件系统改变。
( 5 ) MIME 增加 5 个新的邮件首部 MIME-Version: 标志 MIME 的版本。现在的版本号是 1.0 。若无此行,则为英文文本。
Content-Description: 这是可读字符串,说明此邮件是什么。和邮件的主题差不多。
Content-Id: 邮件的惟一标识符。 Content-Transfer-Encoding: 在传送时邮件的主体是如何编码的。 Content-Type: 说明邮件的性质。
( 6 )内容传送编码( Content-Transfer-Encoding ) 最简单的编码就是 7 位 ASCII 码,而每行不能超过 1000 个字符。 MIM
E 对这种由 ASCII 码构成的邮件主体不进行任何转换。 另一种编码称为 quoted-printable ,这种编码方法适用于当所传送的数据中只有少量的非 ASCII 码。
对于任意的二进制文件,可用 base64 编码。 ( 7 )内容类型 MIME着标准规定 Content-Type 说明必须含有两个标识符,即内容类型 (t
ype) 和子类型 (subtype) ,中间用“ /”分开。 MIME 标准定义了 7 个基本内容类型和 15 种子类型。
四、 FTP 服务1. 相关基本概念( 1 )两种传输模式问题;( 2 )特殊性:采用 2 个 TCP 信道(建立 2 个 TCP 连接)2 个连接之间的关系:存在部分的必然联系,但可以不互相影响。( 3 )操作基本权限2. FTP 服务管理核心:安全性( 1 )访问控制( 2 )支持匿名连接权限问题( 3 )病毒问题
★ 网络环境下复制文件的复杂性(1) 计算机存储数据的格式不同。(2) 文件的目录结构和文件命名的规定不同。(3) 对于相同的文件存取功能,操作系统使用的命令不同。(4) 访问控制方法不同。
★ 两个连接 控制连接在整个会话期间一直保持打开, FTP 客户发出的传送请求通过控制连接发送给服务器端的控制进程,但控制连接不用来传送文件。实际用于传输文件的是“数据连接”。服务器端的控制进程在接收到 FTP 客户发送来的文件传输请求后就创建“数据传送进程”和“数据连接”,用来连接客户端和服务器端的数据传送进程。 数据传送进程实际完成文件的传送,在传送完毕后关闭“数据传送连接”并结束运行。★ 两个端口 当客户进程向服务器进程发出建立连接请求时,要寻找连接服务器进程的熟知端口 (21) ,同时还要告诉服务器进程自己的另一个端口号码,用于建立数据传送连接。 接着,服务器进程用自己传送数据的熟知端口 (20) 与客户进程所提供的端口号码建立数据传送连接。 由于 FTP 使用了两个不同的端口号,所以数据连接与控制连接不会发生混乱。
五、 Telnet 服务1. 基本概念( 1 )遵循一般的客户机 / 服务器工作模式,使用 Telnet 协议;( 2 )把本地主机模拟为远程主机的终端(输入输出设备);( 3 )重点在于 SHELL 的选择(编写)与终端的显示问题。2.管理核心:安全性、访问权限控制 由于提供直接访问到远程主机的合法途径,因此最容易被作为攻击途径。所以该服务的安全性防护是最重要的管理核心。( 1 )用户访问权限的限制;( 2 )系统安全性的提高。
六、各项服务之间的联系管理1. DNS 服务与其它所有服务之间的关系;2. WWW 服务与邮件服务之间的关系;3. WWW 服务与监控管理之间的关系;4. 所有服务与网络数据库之间的关系;
第五章 网络安全管理一、网络安全体系结构
应用层应用系统 应用层
应用系统安全操作系统 操作系统安全传输层 传输安全网络层 安全路由 /访问机制链路层 链路安全物理层 物理层信息安全
网络安全体系层次模型
物理层安全 主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰
等)。 链路层安全 需要保证通过网络链路传送的数据不被窃听。主要采用划分 VLAN (局域网)、加密通信(远程网)等手段。
网络层安全 需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
传输层安全 需要保证信息流动的安全。 操作系统安全 操作系统访问控制的安全,如数据库服务器、电子邮件服务器、 Web 服
务器等。由于操作系统非常复杂,通常采用多种技术(如 SSL 等)来增强操作系统的安全性。
应用系统安全 完成网络系统的最终目的是为用户服务。应用系统的安全与系统设计
和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全、通讯双方的认证、审计等手段。
二、防火墙技术 1. 什么是防火墙 防火墙起源于一种古老的安全防护措施。防火墙技术就是一种保护计算机
网络安全的技术性措施,是在内部网络和外部网络之间实现控制策略的系统,主要是为了用来保护内部的网络不易受到来自 Internet 的侵害。图为防火墙示意图。
防火墙是由软件、硬件构成的系统,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。
防火墙内的网络称为“可信赖的网络” (trusted network) ,而将外部的因特网称为“不可信赖的网络” (untrusted network) 。
防火墙可用来解决内联网和外联网的安全问题。
防火墙的配置结构
2. 防火墙的主要功能 ( 1)过滤不安全服务和非法用户,禁止末授权的用户访问受保护网络( 2)控制对特殊站点的访问。防火墙可以允许受保护网的一部分主机被外部网访问,而另一部分被保护起来,防止不必要访问。如受保护网中的Mail、 FTP、WWW 服务器等可允许被外部网访问,而其他访问则被主机禁止。有的防火墙同时充当对外服务器,而禁止对所有受保护网内主机的访问。( 3)提供监视 Internet 安全和预警的方便端点。防火墙可以记录下所有通过它的访问,并提供网络使用情况的统计数据。 ( 4)防火墙并非万能,影响网络安全的因素很多,对于以下情况防火墙无能为力:
不能防范绕过防火墙的攻击。 一般的防火墙不能防止受到病毒感染的软件或文件的传输。 不能防止数据驱动式攻击。 难以避免来自内部的攻击。
3. 防火墙的主要类型
(1)分组过滤防火墙 用来防止整个网络出现外来非法的入侵。检查所有流入本网络的信息,然后拒绝不符合事先制订好的一套准则的数据。
(2) 应用级防火墙 从应用程序来进行接入控制。通常使用应用网关或代理服务器来区分
各种应用。例如,可以只允许通过访问万维网的应用,而阻止 FTP 应用的通过。
(3) 代理服务型防火墙 也称链路级网关或 TCP 通道,也有人将它归于应用级网关一类。其特
点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
4. 包过滤技术 ( 1 )定义 包过滤( Packet Filter )是在网络层中对数据包实施有选择的通过。( 2 )包过滤是如何工作的
将包的目的地址作为判据; 将包的源地址作为判据; 将包的传送协议作为判据。
( 3 )包过滤系统只能进行类似以下情况的操作: 不让任何用户从外部网用 Telnet登录; 允许任何用户使用 SMTP往内部网发电子邮件; 只允许某台机器通过 NNTP往内部网发新闻。
( 4 )包过滤不支持如下的操作: 允许某个用户从外部网用 Telnet登录而不允许其它用户登录。 允许用户传送一些文件而不允许用户传送其它文件。
5. 包过滤路由器的配置 在配置包过滤路由器时,首先要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤规则。有关服务翻译成包过滤规则时非常重要的几个概念。( 1 )协议的双向性 协议总是双向的,协议包括一方发送一个请求,而另一方返回一个应答。在制定包过滤规则时,要注意包是从两个方向来到路由器的。( 2 )“往内”与“往外”的含义 在制定包过滤规则时,必须准确理解“往内”与“往外”的包和“往内”与“往外”的服务这几个词的语义。
( 3 )“默认允许”与“默认拒绝” 网络的安全策略中的有两种方法:默认拒绝(没有明确地指明被允许就应被拒绝)与默认允许(没有明确地指明被拒绝就应被允许)。从安全角度来看,用默认拒绝应该更合适。
三、网络入侵检测1. 入侵检测系统的功能( 1 )监视、分析用户及系统活动;( 2 )审计系统构造和弱点;( 3 )识别、反映已知进攻的活动模式,向相关人士报警;( 4 )统计分析异常行为模式;( 5 )评估重要系统和数据文件的完整性;( 6 )审计、跟踪管理操作系统,识别用户违反安全策略的行为。
2. 入侵检测系统的类型 按其输入数据的来源分为 3 种:( 1 )基于主机的入侵检测系统,其输入数据来源于系统的审计日志,一般只能检
测该主机上发生的入侵。( 2 )基于网络的入侵检测系统,其输入数据来源于网络的信息流,能够检测该网
段上发生的网络入侵。( 3 )分布式入侵检测系统,能够同时分析来自主机系统审计日志和网络数据流的
入侵检测系统,系统由多个部件组成,采用分布式结构。 根据布控物理位置可分为 :
( 1 )基于网络边界(防火墙、路由器)的监控系统( 2 )基于网络的流量监控系统( 3 )基于主机的审计追踪监控系统 根据建模方法可分为 :
( 1 )基于异常检测的系统( 2 )基于行为检测的系统( 3 )基于分布式免疫的系统
3. 入侵检测系统的实现原理入侵检测实现一般分为三个步骤 :
(1) 信息收集收集的内容包括系统、网络、数据及用户活动的状态和行为;
(2) 数据分析 它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或
模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行;
(3) 响应 入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件
和报警等。响应一般分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型 。
4. 入侵检测的主要技术 静态配置分析 是一种通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏;
异常性检测技术 是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法;
基于行为的检测技术 是通过检测用户行为中与已知入侵行为模式类似的行为,与利用系统中缺陷或
间接违背系统安全规则的行为,来判断系统中的入侵活动。
第六章 网络资源管理一、 IP 地址1. IP 地址概念 Internet ( TCP/IP 网络)中,每台主机都具有一个唯一的 32位逻辑地址。其表示形式为: 32位的 IP 地址分成 4组,每组 8位,以 “ . ”隔开,以十进制格式表示。如: 202.116.160.33 。(每组的十进制数在 0-255之间)2. IP 地址的分类A 类: 1.0.0.0 - 127.255.255.255
B 类: 128.0.0.0 - 191. 255.255.255
C 类: 192.0.0.0 - 223. 255.255.255
D 类: 224.0.0.0- - 239. 255.255.255
E 类: 240.0.0.0- - 255. 255.255.255
★ IP地址的分类
★ 特殊的 IP地址 * 如果网络 ID为 127,主机地址任意,这种地址是用来做循环测试 用的,不可用作其它用途。* 如果某一类网络的主机地址为全 1,则该 IP地址表示是一个网络 或子网的广播地址。* 如果某一类网络的主机地址为全 0,则该 IP地址表示为网络地址 或子网地址。 * 私有地址的范围是: 10.0.0.1 ~ 10.255.255.254 ( A类) 172.13.0.1 ~ 172.32.255.254 ( B类) 192.168.0.1 ~ 192.168.255.254 ( C类)
★ 子网及子网掩码 子网是指在一个 IP 地址上生成的逻辑网络,它使用源于单个 IP 地址的IP寻址方案,把一个网络分成多个子网,要求每个子网使用不同的网络 ID ,通过把主机号(主机 ID )分成两个部分,为每个子网生成唯一的网络 ID 。一部分用于标识作为唯一网络的子网,另一部分用于标识子网中的主机。 子网掩码是一个 32位地址,用于屏蔽 IP 地址的一部分以区别网络 ID和主机 ID ;用来将网络分割为多个子网;判断目的主机的 IP 地址是在本局域网还是在远程网。在 TCP/IP 网络上的每一个主机都要求有子网掩码。这样当 TCP/IP 网络上的主机相互通信时,就可用子网掩码来判断这些主机是否在相同的网段内。 默认网关是与远程网络互连的路由器的 IP 地址。如果没有规定默认网关,则通信仅局限于局域网络内部。
二、 IP 地址的分配1.静态 IP 地址分配 指给每一个连入 Internet 的用户固定分配一个 IP 地址,此后该用户每次上网只能使用该地址,且该地址不能再分配给其它用户使用,否则会使网络不稳定或无法使用的。2. 动态 IP 地址分配( 1 )动态 IP 地址 在 IP 地址资源紧缺的情况下,用户无法获得一个固定的 IP 地址,当用户需要连入 Internet 时由管理机构自动随机分配一个 IP 地址,待该用户断开网络连接时所用 IP 地址自动释放,可再次分配给其它用户使用。( 2 ) DHCP ( Dynamic Host Configuration Protocol 动态主机配置协议 ) 使用 DHCP 可以实现自动地为网络中的主机分配动态 IP 地址,并回收不再使用或使用时限已经过期的 IP 地址。其 IP 地址分配基于: 一个特定的物理子网; 以太网卡的硬件地址。
3. 动态主机配置协议 DHCP (Dynamic Host Configuration Protocol)
( 1 )概述 动态主机配置协议 DHCP 提供了即插即用连网 (plug-and-play networkin
g) 的机制。 这种机制允许一台计算机加入新的网络和获取 IP 地址而不用手工参与。 DHCP 是扩展了的 BOOTP 。 DHCP 与 BOOTP 是向后兼容的,并且它们所使用的报文格式都很相似。
( 2 ) DHCP 使用客户服务器方式。 需要 IP 地址的主机在启动时就向 DHCP 服务器广播发送发现报文( DH
CPDISCOVER ),这时该主机就成为 DHCP 客户。 本地网络上所有主机都能收到此广播报文,但只有 DHCP 服务器才回答此广播报文。
DHCP 服务器先在其数据库中查找该计算机的配置信息。若找到,则返回找到的信息。若找不到,则从服务器的 IP 地址池 (address pool) 中取一个地址分配给该计算机。 DHCP 服务器的回答报文叫做提供报文( DHCPOFFER )。
( 3 ) DHCP 中继代理 (relay agent) 并不是每个网络上都有 DHCP 服务器,这样会使 DHCP 服务器的数量太多。现在是每一个网络至少有一个 DHCP 中继代理,它配置了 DHCP 服务器的 IP 地址信息。
当 DHCP 中继代理收到主机发送的发现报文后,就以单播方式向 DHCP 服务器转发此报文,并等待其回答。收到 DHCP 服务器回答的提供报文后, DHCP 中继代理再将此提供报文发回给主机。
( 4 )租用期 (lease period) DHCP 服务器分配给 DHCP 客户的 IP 地址的临时的,因此 DHCP 客
户只能在一段有限的时间内使用这个分配到的 IP 地址。 DHCP 协议称这段时间为租用期。
租用期的数值应由 DHCP 服务器自己决定。 DHCP 客户也可在自己发送的报文中(例如,发现报文)提出对租用期的
要求。
4. 引导程序协议 BOOTP (BOOTstrap Protocol)
( 1 )概述 也称为自举协议 。 BOOTP 使用客户服务器工作方式。 协议软件广播 BOOTP 请求报文,此报文作为 UDP 用户数据报的数据, U
DP 用户数据报再作为 IP 数据报的数据。 收到请求报文的 BOOTP 服务器查找发出请求的计算机的各项配置信息,把
配置信息放入 BOOTP 回答报文中,并把回答报文返回给提出请求的计算机。( 2 ) BOOTP 报文的传送 由于计算机发送 BOOTP 请求报文时自己还没有 IP 地址,因此它使用全 1
广播地址(只在本网络上广播)作为目的地址,而用全 0 地址作为源地址。 BOOTP 服务器可使用广播方式将回答报文返回给该计算机,或使用收到广播帧上的硬件地址进行单播。
只需发送一个 BOOTP 广播报文就可获取所需的全部配置信息。
5. NAT ( Networm Address Translators )( 1 ) NAT 是什么 NAT 就是通过某些设备来转换网络地址,这些设备包括路由器、防火墙等。( 2 )静态 NAT 与动态 NAT 静态 NAT
就是一对一的 NAT (无法减少对合法 IP 地址的需求量) 动态 NAT
就是多对多的 NAT (在未加任何外部机制情况下,无法保证任何一台内部机器都能够公平地访问 Internet ) 目前所说的动态 NAT ,基本都是指 PAT (端口地址转换,端口映射)
三、 DNS域名分配以及负载均衡1. 域名分配 申请到具有代理权限的子域名的服务器可以为自己的域名自由分配下一
层的子域名,从而建立一个服务系统。(充分考虑分配的合理性)2. 域名的一一对应问题(思想发展阶段)
域名 IP ,结果应该唯一; 域名 IP ,结果应该是唯一的; 域名 IP ,结果可以不唯一,但每次查询都只能有唯一的结果,即在一定的范围内不产生歧义;
3. 负载均衡问题域名 IP ,解释结果的不唯一性,解决负载均衡问题。
四、 DNS 服务的管理1. 信息的更新( 1 )辅助 DNS 服务器(定时或根据主 DNS 服务器的数据改动而更新);( 2 )缓存服务器。2. 安全问题( 1 )限制 DNS查询
限制查询机器的 IP 地址范围;限制对某个特定区域的查询 IP 地址范围。
( 2 )限制分区文件的传输限制通过 zone-transfer获得服务器数据库信息的 IP 地址。
第七章 网络用户管理一、 用户数据管理1. 用户账号、密码等基本数据管理( 1 )各个不同系统用户数据的集成 规模较大的网络,通常有不同的服务系统或应用系统,由各系统维护自身的用户数据,分布散乱无序。这种情况既不利于对用户的管理,同时更不利于用户的使用。 有效的用户数据集成方便用户统一各个系统的入口,同时也保障了系统管理的安全。( 2 )用户数据的存储 用户数据的存储要考虑到各个不同的系统都能够访问,同时也需要专门的管理系统进行统一自动化管理,因此使用一定类型的数据库是最好的选择。
2. 用户分类管理 用户要正确分类,不同系统的用户要有不同的管理;二、 用户权限管理特权用户与非特权用户要分别管理控制访问权限、操作权限用户资源分配用户网络行为监控用户数据要与计费管理、安全管理、资源管理紧密结合。
第八章 数据、存储管理一、 网络存储备份1.备份的基本概念 备份对象:操作系统、应用系统及其数据; 备份方案:备份硬件;备份软件;日常备份制度;灾难恢复措施2. 常用的备份技术( 1 )双机热备份技术 一种典型的硬件冗余,其实现技术是在中心站点用两台配置和性能相同的计算机同时运行同一套相同,其中一台作为主机,另一台作为备用主机,当主机故障时,系统能自动切换到备用主机上运行,以此保证系统运行的稳定性和连续性。( 2 )磁盘阵列技术 该技术支持在一台计算机上同时使用两块硬盘(一块主硬盘,一块备用硬盘),系统运行时,两块硬盘进行同步的实时热备份。当主硬盘故障时,系统能自动切换到备用硬盘上工作,以此保证系统运行的稳定性和连续性。其特点就是两块硬盘都支持热插拔。
( 3 )磁盘镜像技术 将重要的系统及数据备份到本地和异地的多台镜像计算机中,其它用户要访问这些数据时,首先到最近的镜像站点去查找,若该站点上无所需数据时,再到中心站点主机上查找。该技术优点如下: 提高用户查找数据的速度和效率,节省查询费用; 减轻中心站点主机的负担; 事后灾难数据恢复得到保证;( 4 )光盘塔 支持多张光盘,可同时往多张光盘上存储数据。二、 数据库技术、数据仓库技术1. 集中式数据库 将所有网上用户的数据都集中存放在中心计算机(网络服务器)上,终端计算机上不存放数据。 主要优点是数据共享的高效性、数据的一致性和完整性能够得到保证。 缺点是安全性比分布式数据库差。
2. 分布式数据库主要用于网络系统( NMIS ),各子系统分别存储部分或全部数据,通过网络通信共享数据。优点:系统可靠性高;响应时间快;系统维护方便;便于系统管理。缺点:并发控制、数据查询、数据恢复处理均有一定难度。( 1 )层次型由中心数据库服务器存放系统所有数据库,个子系统维护自身所用的数据库,其内容与中心数据库完全一致,即需进行数据同步。( 2 )联邦型系统无中心数据库,所有用户数据库均分布存放于子系统中,且相互相对独立,可通过网络访问实现数据库共享访问。( 3 )全程型各子系统都存放系统所有用户所用的数据库。
3. ODBC 技术 ODBC ( Open DataBase Connectivity )开放式数据库互联,一个简单、标准和透明的数据库连接的公共编程接口。原理图示:
DBMS1
API1 API3API2
应用程序
DBMS1 DBMS1
DBMS1
ODBC
DBMS1 DBMS1
应用程序
4. 数据的一致性 一致性控制,即决定如何处理两个或更多用户同时访问数据库中的一个记录,对数据进行改变的方法。方法如下:( 1 )将文件读写控制权交给第一个更新数据的用户,直到其关闭文件,才允许其它用户访问,并发性差。通常仅在数据大量更新的情况下使用;( 2 )允许第一个打开文件进行数据更新的用户进行读写,其它用户只能进行只读访问;( 3 )对记录进行锁定;( 4 )任何数据更新均不直接在数据库中处理,而在一个独立的文件处理本中进行。
