《网络安全管理协议.ppt》由会员分享,可在线阅读,更多相关《网络安全管理协议.ppt(52页珍藏版)》请在三一文库上搜索。
1、,网络安全管理协议 主讲教师:曹秀莲 计算机信息系 网络教研室,主要内容,网络管理的定义和基本内容 网络管理模式 ISO网络管理体系结构 通用管理信息协议CMIP SNMP网络管理协议 SNMP的安全性,网络管理是什么?,网络管理的定义:对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。 具体来说,网络管理就是对网络进行监测和控制。,网络管理的目标:,维护网络的有效性(可用性) 维护网络的可靠性 维护网络的开放性 维护网络的综合性 维护网络的安全性 维护网络的经济性,为什么要进行网络管理?,网络管理的重要性: 用户对网络的依赖程度越来越高 用户对网络应用的需求不断提高
2、用户对网络性能、运行状况及安全性越来越重视,为什么要进行网络管理?,网络管理的必要性 网络规模不断扩大 网络越来越复杂(设备、结构等) 简单的管理工具和方法已不适应管理大型和异构网络,网络管理的基本内容,网络管理的基本内容如下: (1)网络设施本身的管理。包括单元设备、物理线路、拓扑结构、路由策略、安全机制、地址分配、域名注册等。 (2)网络运行的管理。包括故障监控、性能监控、安全监控、计费、路由、配置变化等。 (3)统计分析和规划。包括历史信息的记录和分析,网络建设、升级的规划。,怎样进行网络管理? 网络管理技术的发展及现状,典型的网络管理技术: 国际标准化组织ISO提出的OSI/CMIP管
3、理技术 国际电信联盟ITU-T提出的TMN管理模型 IETF提出的Internet/SNMP管理技术,国际标准化组织(ISO: The International Organization for Standardization)成立于1947年,它是一个由147个成员国参加的国际组织。ISO的使命是在全世界范围内为促进人们在文化、科学、技术和经济领域内的交流而制定各种标准。ISO在其推出的开放系统互联(OSI : Open Systems Inter-connection)计划中,将网络管理体系结构的研究纳入整体计划的一部分。,ISO与OSI/CMIP的网络管理技术,1980年,ISO组织内
4、部成立了一个特殊工作组(ISO/TC 97/SC 21/WG4, WG: Working Group)研究OSI管理。WG4提出的第一个研究成果是“OSI管理框架(OSI Management Framework)”,其后又提出了“系统管理综述(System Management Overview)”,以上几个标准构成了OSI管理的基石。,第一,提出了故障管理、配置管理、计费管理、性能管理和安全管理的五个管理功能域的概念,并明确了各管理功能域的管理功能; 第二,提出了三种交换管理信息的方式,分别是系统管理(systems management)、应用管理(application managem
5、ent)和层管理(layer management); 第三,提出了被管对象(managed object)、管理信息(management information)和管理信息库(MIB:Management Information Base)。,“OSI管理框架”主要有如下几个贡献:,“OSI系统管理综述” 主要是在OSI管理框架的基础之上,针对系统管理的概念进行进一步深入的研究。OSI系统管理综述的主要贡献可以从四个方面进行描述,它们分别是: 系统管理信息模型、 组织结构、 功能 通信。,OSI系统管理综述,OSI/CMlP管理体系结构是以更通用、更全面的观点来组织一个网络的管理系统,它的
6、开放性着眼于网络未来发展的设计思想,使得它有很强的适应性,能够处理任何复杂系统的综合管理。然而正是OSI系统管理这种大而全的思想,导致其有如下缺点: OSI参考模型规定N层的实体只能引用N1层实体提供的服务,而不需知道N1以下各层的情况,但由于OSI系统管理需要管理OSI七层的实体,使得位于应用层的管理实体有时必须知道OSI各层实体的内部结构,从而使OSI系统管理反而违反了OSI参考模型的基本思想;,评价:,OSI系统管理使用OSI各层的服务传送管理信息,使得OSI系统管理不能管理通信系统自己内部的故障; OSI系统管理标准仅仅定义了一个个独立管理操作,如M-GET和M-SET,但并没有定义这
7、些操作的序列,以完成管理者要解决的特定问题,因而缺乏管理者特定的功能描述; OSI系统管理太复杂,相关标准的数量和内容太多; OSI管理体系结构太复杂,代价太大; CMIP的功能极其灵活强大,使得OSI系统管理方法太复杂,从而OSI系统管理与实际的应用有距离,OSI在实际应用中不成功等。,ITU-T(International Telecommunication Union-Telecommunication Standardization Sector)成立于1993年3月1日,其前身是1865年成立的国际电报电话咨询委员会(CCITT:International Telegraph and
8、 Telephone Consultative Committee),它是国际电联ITU三大研究机构之一,其主要使命是研究制定涵盖电信各领域的标准建议,相关的标准化工作是由ITU-T不同的研究组完成。,2. ITU-T与TMN网络管理技术,从网络管理系统可持续建设的角度,TMN提出了方法论一体系结构一重用技术一管理业务一管理应用等多个层次的解决方法,可以供人们根据实际情况,选择一个或几个方法来支撑网络管理系统的可持续建设,同时方法本身是可以平滑过渡的。 从网络管理系统互操作性的角度,TMN提供了一系列支持网络管理系统互操作的标准接口,这一系列接口可以支持网络管理系统的多种类型的操作。从网络管理
9、技术综合的角度,TMN提出了一个开放的、支持综合各种技术的体系结构。,从提高网络管理系统质量的角度,TMN采用面向对象的方法和技术,使用了一系列用于提高网络管理系统质量的管理对象,可以支持各种动态的管理操作。 从标准和体制的角度,TMN可以是一系列的标准,该系列标准覆盖了基本概念、管理功能、管理模式、管理接口、体系结构、管理业务、使用方式、方法论、支撑工具等规划、开发、使用、维护各个角度所需要的各种标准。,从管理业务的角度,TMN是一种研究和开发网络管理系统的技术,该技术提供了多层次、多粒度的软件重用方法,提供了解决非标准系统过渡到标准的TMN系统的平滑过渡方法。从网络管理系统结构的角度厂TM
10、N是一种开放的网络结构,该种网络结构可以支持网络管理系统的各种使用方式。,从ITU-T的研究与ISO组织的研究关系看,ITU-T在制定TMN建议时采纳了很多OSI管理的思想和方法,包括: 采纳了OSI管理的“管理者-代理”模式,该思想在ITU-T 制定的X.701建议中给予了详细描述; 采用了OSI管理的“面向对象”方法; 采纳了OSI管理的管理功能域的相关成果。 与OSI管理不同的是,TMN管理信息的传送采用的是带外传送方式,TMN采用独立的数据通信网交换管理信息,尽管TMN网络管理体系结构采纳了OSI系统管理的一些方法和思想,但二者仍有如下区别: OSI系统管理体系结构仅定义了单个网络管理
11、体系结构,而TMN体系结构则定义了功能体系结构、物理体系结构、信息体系结构等多个体系结构; TMN提出了逻辑分层管理的思想,OSI系统管理则没有; TMN采用了独立的数据通信网DCN传递管理信息,DCN与被管网络独立,避免了OSI系统管理中故障管理不能管理通信系统内部故障的缺点。,20世纪80年代随着互联网的高速发展,对互联网络进行有效管理的需求越来越高。为了有效地实施对互联网的管理,互联网活动委员会(IAB:Internet Activities Board)负责选择标准网络协议的工作。IAB由两个小组组成,一个是互联网工程任务组(IETF:Internet Engineering Task
12、 Force);另一个是互联网科研任务组(IRTF: Internet Research Task Force)。IETF负责Internet管理、建造和操作中的问题并协调问题的解决,IRTF负责研究和TCP/IP网络及与Internet相关的问题。,3. IETF与Internet/SNMP网络管理技术,最初IAB希望使用OSI系统管理方法管理互联网,但由于OSI网络管理研究组忙于讨论OSI系统管理体系结构,为了满足管理的需要,IAB推荐了简单网络管理协议(SNMP:Simple Network Management Protocol)作为权宜之计,并责成IETF负责SNMP相关方面的实现工
13、作。与此同时,IAB考虑采纳OSI的CMIS/CMIP方案并准备在传输控制协议TCP上实现对互联网的管理,这种实现方式被称为CMOT(CMIS/CMIPOver TCP/IP)。采用CMOT是IAB的长远打算,但在实际工作中,CMOT规范无法按期完成,这导致了对CMOT的支持日益减少,这种情况持续到1992年CMOT方面的研究工作完全停止。而SNMP尽管存在很多不足,但作为一个在恰当时间出现的、恰当的解决方案、SNMP取得了很大的商业成功,绝大多数厂商支持SNMP,SNMP由此成为了一个事实上的数据网络的网络管理标准。,一般来说,理解SNMP网络管理体系结构可以从以下几个方面进行: 组织模型管
14、理者一代理者模型; SNMP管理协议; 管理信息结构(SMI); 管理信息库(MIB)。,SNMP网络管理体系结构,网络管理模式,8.2.1 集中式网络管理,集中式网络管理系统可以统管全网,全网所有需要管理的数据均存储在一个集中的数据库中。 优点:网络管理系统处于高度集中、易于全面做出决断的最佳位置,网络升级时仅需要处理集中点。 缺点:中央数据库一旦出现故障,将导致全网瘫痪;此外,建设网络管理系统链路承载的业务量很大,有时将超出负荷能力。,8.2.2 分级式网络管理,分级式网络管理模式是由一个网络管理系统(NMs)作为另外几个网络管理系统经理人(managers)的总经理人,由各经理人管理各自
15、所管辖(managed entity)的网络领域的管理方式。 优点:分散了网络资源(networkresource)的负荷,使得各个网络管理可更接近被管单元,降低了总网络管理系统需收集传送的业务量,该系统比集中式网管系统可靠。 缺点:比集中式系统复杂,系统设备价格也相应有所提高。,.,8.2.3 分布式网络管理,分布式网络管理系统是一种与管理系统设备位置无关的网管系统。虽然它与位置无关,但是从收集网管的数据等功能来看,还是可以集中的。 优点:完全分散了网络资源(networkresource)的负荷,网络管理系统的规模大小可按需要任意调整,这种网络管理模式具有很高的可靠性(无单点障碍) 。 缺
16、点:系统设备更复杂一些(需要有分布应用的架构)。,SNMP基本概念,SNMP(Simple Network Management Protocol)即简单网络管理协议。 目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。 独立于被管设备,采用轮询机制,提供最基本的功能集。 目前使用最多的是SNMP V1。,网管系统模型,SNMP协议模型,SNMP就是用来规定NMS和Agent之间是如何传递管理信息的应用层协议。,网管站(NMS)对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文,将结果显示
17、出来。 代理(agent)是驻留在被管设备上的一个进程,负责接受、处理来自网管站的请求报文,然后从设备上其他协议模块中取得管理变量的数值,形成响应报文,反送给NMS。 在一些紧急情况下,如接口状态发生改变等时候,主动通知NMS(发送陷阱TRAP报文)。,SNMP代理和管理站通过SNMP中的标准消息进行通信,每个消息都是一个单独的数报. SNMP消息报文包含两个部分:SNMP报头和协议数据单元PDU。SNMP数据报结构如图所示。,SNMP协议数据报格式,2SNMP协议的3个部分,(1)SMI(管理信息结构)定义每一个被管对象的信息,并确定如何用ASN1(抽象语法记法1)在管理信息库中描述这些信息
18、。 (2) MIB(管理信息数据库)是一个树形结构,SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。 (3) SNMP协议(管理信息协议)使用户能够通过轮询、设置一些关键字和监视一些网络事件来达到网络管理的目的。,描述被管理设备的细节; 定义被管理的设备必须保存的数据项、允许对每个数据项进行的操作及其含义;,8.4.2 管理信息数据库MIB(management information base),MIB将管理信息划分为许多类,8.4.3 SNMP的5种消息类型,SNMP中定义了5种消息类型:Get-Request,Get-Response,Get-Next-Request,
19、Set-Re-quest和Trap。 SNMP代理使用Trap向SNMP管理站发送非请求消息,一般用于描述某一事件的发生。SNMP的编号和用途见表82。,8.4.3 SNMP的5种消息类型,SNMP的操作只有两种基本的管理功能:一种是“读”操作,用get:报文来检测各被管对象的状况;另一种是“写”操作,用set报文来控制各被管对象的状况。SNMP的5种报文操作 如图所示。,8.4.4 SNMP的版本,目前SNMP有SNMPvl、SNMPv2、SNMPv3三种版本。SNMP还包括一组由RMoN、RMON2、MTB、MTB2、OCDS及OCDS定义的扩展协议。 1SNMPvl协议 SNMPvl采用
20、集中式管理模式,不支持网管系统和网管系统之间的通信,所以一个网络环境中只能部署一个管理系统,在大型网络中不太适合部署。SNMPvl协议简单、灵活,得到了广泛应用。,8.4.4 SNMP的版本,2SNMPv2协议 SNMPv2由SNMPvl演化而来。SNMPvl中的GET、GET NEXT及SET操作同样适用于SNMPv2,只是SNMPv2添加和增强了有关协议操作。 SNMPv2的格式如图所示。,8.4.4 SNMP的版本,3SNMPv3协议 SNMPv3中增加了安全管理方式及远程控制。SNMPv3结构引入了基于用户的安全模型,用于保证消息安全及基于视图的访问控制模型,用于访问控制(USM)。
21、SNMPv3使用SNMP SET命令配置MIB对象,使之能动态配置SNMP代理。这种动态配置方式支持本地或远程配置实体的添加、删除及修SNMPv3的信息格式如图所示。,8.5 SNMP 的安全性,8.5.1 安全性概述,简单网络管理协议分两种角色:SNMP管理站和SNMP代理。代理是实际网络设备用来实施SNMP功能的部分。 SNMP代理是一个软件,它能够回答SNMP管理站关于MIB中定义信息的各种查询。每一个为管理站提供MIB信息的网络设备都有一个SNMP代理,每个代理不但要控制自己本地的MIB,而且必须控制多个管理站对该MIB的使用。这种控制包含以下3个方面: (1)认证服务。 (2)访问策
22、略。 (3)转换代理。 以上这3个方面都和安全有关,代理须要保护自身及其MIB,使MIB能够拒绝非法访问。,8.5.1 安全性概述,1SNMPvl的安全机制 SNMPvl仅仅提供了有限的安全性,即团体的概念。团体是一个在代理上定义的局部概念。 一条已通过认证的信息对MIB有何访问权限主要通过访问控制来实现。代理为每一个团体定义了一个SNMPvl团体框架文件,该框架文件包括以下两个部分: (1)MIB视域。MIB的一个对象子集,每个团体可以定义不同的MIB视域,一个视域中的对象集不必属于MIB的单个子树。 (2)SNMP访问模式。集合(只读、读写)的一个元素,每个团体只定义一个访问模式。,8.5
23、.1 安全性概述,2SNMPv2的安全机制 SNMPv2支持分布式网络管理及扩展数据类型,可以实现大量数据的同时传输,具有丰富的故障处理能力,增加了集合处理功能,加强了数据定义语言。 此外,SNMPv2还引入了“上下文(context)”的概念。本地上下文被标识为一个M1B视域,远程上下文被标识为一个转换代理关系。 使用了上下文的访问控制策略由以下4个元素组成。 (1)目标。SNMP参加者,它按主体方的请求执行管理操作。 (2)主体。SNMP参加者,它请求目标方执行管理操作。 (3)资源。 (4)权限。,8.5.1 安全性概述,3SNMPv3的安全机制 SNMPv3包含SNMPvl、SNMPv
24、2所有功能在内的体系框架,包含验证服务和加密服务在内的全新的安全机制,同时还规定了一套专门的网络安全和访问控制规则。SNMPv3在SNMPv2基础之上增加了安全和管理机制。RFC 2271定义的SNMPv3体系结构体现了模块化的设计思想,可以简单地实现功能的增加和修改,其特点如下: (1)适应性强。 (2)扩充性好。 (3)安全性好。 SNMPv3主要有3个模块:信息处理和控制模块、本地处理模块和用户安全模块。,8.3 ISO网络管理体系结构,8.3.1 OSI 管理标准概述,OSI管理标准应用了面向对象的信息模型构造技术。在管理信息标准(ISOIEC 10165)中描述了模型的全部信息,主要
25、由以下几部分信息组成。 (1)管理信息模型。 (2)管理信息定义。 (3)受管对象定义指南。 (4)一般管理信息。,8.3.2 通用管理信息协议,通用管理信息协议(Common Management Informlation Protoco1,CMIP)是建立在开放系统互连模式上的网络管理协议。相关的通用管理信息服务(CMIs)定义了访问和控制网络对象设备和从对象设备接收状态信息的方法。CMIP是一种基于ASN1的协议,其PDU(协议数据单元)基于ROSE,每个服务元素都包含各自的PDU,它是ROSE用户数据的一部分。,8.3.2 通用管理信息协议,CMIP并没有指定网络管理应用程序的功能,只
26、定义了管理对象的信息交换机制,而没有定义信息的使用和说明。 1CMIP提供的两种服务 CMIP提供的两种服务分别是传输由管理系统发起并面向受管对象的操作和传输由受管对象产生的事件通知。,8.3.2 通用管理信息协议,2面向受管对象的操作 (1)获得关于一个受管对象或其集合的属性值。 (2)更改一个或多个受管对象的一个或多个属性值。 (3)发起并产生一个受管对象。 (4)从环境中取消一个或多个受管对象。 (5)激发一个作为受管对象一部分的预定义行为过程。 (6)停止一个GET操作。,3CMIP的主要优势 (1)CMIP变量不仅用于转发信息,还可以完成各种作业,而SNMP不具备这种功能。 (2)C
27、MIP更加安全,它内置安全机制,功能包括访问控制、认证和安全日志(security Iog)。 (3)CMIP功能强大,在单个请求下可以实现多种动能。 (4)CMIP在异常网络条件下具有更好的报告功能。,8.3.2 通用管理信息协议,8.3.3 OSI 网络管理功能,1故障管理 故障管理指系统出现异常情况下的管理操作。 简单地说,故障管理就是过滤、归并网络事件,有效地发现、确定故障的位置,给出排错建议与排错工具,形成整套的故障发现、报警与处理机制。,8.3 ISO网络管理体系结构,2计费管理 计算机网络系统通过计费系统来统计用户和通信线路的数据传输量,并记录操作动作,以此来监视线路工作的繁闲情
28、况和不同资源的利用情况,以供决策参考。 通常的计费方式分为如下两种: (1)基于地址的计费。以网络节点从网络管理部门所获取的IP地址为依据,通过对IP地址的监控来进行计费。 (2)基于用户的计费。利用计费软件系统,对现存的用户名(账号)进行计费管理。,8.3.3 OSI 网络管理功能,3配置管理 配置管理就是定义、收集、监测和管理系统的配置参数,使网络性能达到最优。配置管理负责监测和控制网络的配置状态,自动发现网络拓扑结构,构造和维护网络系统的配置,监测网络被管理对象的状态,完成网络关键设备配置的语法检查,配置自动生成和自动配置备份系统,对于配置的一致性进行严格的检验。,8.3.3 OSI 网络管理功能,4性能管理 性能管理主要是采集、分析网络对象的性能数据及各系统之问的通信操作趋势,或者平衡系统之间的负载。同时,统计网络运行状态信息,对网络的使用发展做出评测、估计,以便对网络资源的运行状况和通信效率等系统性能做出评价和分析。,8.3.3 OSI 网络管理功能,8.3.3 OSI 网络管理功能,5安全管理 安全管理是提供信息的保密、认证和完整性保护机制,是网络中服务数据和系统免受入侵和破坏的保证机制。 简单网络管理协议(Simple Network Management Protocol,SNMP)是由Internet体系结构委员会公布的基于TCPIP网络的管理协议。,