网络管理教案

大庆职业学院备课用纸第1页.第9章网络管理与网络安全本章主要内容•网络系统管理的概念和基本功能，简单网络管理协议SNMP的组成及应用，实用网络管理系统；网络安全的基本概念，影响网络安全的因素和网络安全对策，数据加密的基本概念、常用的加密算法和鉴别技术的应用，网络防火墙的概念、技术分类和应用。本章要求：•了解简单网络管理协议的组成及应用•了解影响网络安全的因素和网络安全对策•了解数据加密的基本概念、常用的加密方法和鉴别技术的应用•了解网络防火墙的概念、技术和应用•掌握网络管理的基本功能、网络安全的基本概念和内涵本章分为六小节：9.1网络管理概述9.2简单网络管理协议9.3常用网络管理系统9.4网络安全9.5数据加密技术9.6防火墙9.1网络管理概述1.网络管理的概念：•为保证网络系统稳定、高效和可靠运行，对网络的各种软硬件设施和人员进行的综合管理。网络管理主要是要保障网络设备的正常运行、监控网络的各项功能、优化网络的拓扑结构等。2.网络管理的要求：•网络管理离不开:现代网络管理方法和技术；网络管理工具(网管软件)；网络管理协议。3.网络管理的内容：•网络管理的基本内容包括：(1)数据通信网中的流量控制(2)路由选择策略管理(3)网络安全保护(4)网络的故障诊断与修复4.网络管理系统组成：•网络管理系统是用于实现对网络全面、有效管理和实现网络管理目标的系统。•一个网管系统从逻辑上包括管理进程、管理代理、管理信息库和管理协议四部分。•管理对象：是指网络客户机和网络设备等，如服务器、工作站、集线器、路由器、交换机、网卡等。这些网络设备对应的具体可以操作的数据等也是网络管理的对象，如网络设备的工作状态和工作参数等数据。•管理进程manager：用于对网络设备和设施进行全面管理和控制的软件。它驻留在网络管理站上。•管理代理agent：驻留在网络管理对象上、配合管理进程进行网络管理的软件。大庆职业学院备课用纸第2页•管理信息库MIB：用于记录网络中被管理对象的相关信息。•管理协议：负责在管理系统和管理对象之间传输操作命令和解释管理操作命令。•一个管理进程(manager)可以与多个管理代理(agent)进行信息交互，同时一个管理代理也可以接受来自多个管理进程的管理操作。5.网络管理功能：•在OSI7498-4文件定义的网络管理标准中，将网络管理功的能分为配置管理、性能管理、故障管理、安全管理和计费管理五个功能域。•网络管理是为网络管理员进行监视、控制和维护网络而设计的。(1)配置管理•为适应和支持网络中用户、设备、系统的变化，调整软硬件运行参数，以保证网络正常运行，要进行网络的配置管理。网络配置是指网中每个设备的功能、点的连接关系和工作参数等，反映的是网络状态。•配置管理主要包括网络节点地址分配管理、节点接入和撤消的自动管理、远程加载与转储管理及虚拟网络节点的配置等。配置管理就是用来定义、记录、控制和检测网络中的被管理对象的集合。(2)性能管理•性能管理主要是通过收集、分析和测试网络性能参数，评价网络运行过程中的主要性能指标，为管理机构提供决策依据。•通常影响网络性能的参数有：网络吞吐量、响应时间、线路利用率、费用、负载等。•网络性能管理分为网络监控和网络控制。•网络监控是对网络工作状态信息的收集和整理；•网络控制是指为改善网络设备性能而采取的动作和措施。(3)故障管理•网络故障管理是指对网络系统故障的预防、检测(诊断)、恢复或排除等操作进行管理。其目的是保证网络提供连续、可靠的服务。•网络故障管理的三步曲：预防、检测(诊断)和排除(恢复、纠正)•预防：关键数据的存储、备份，硬件的随时维护和更新等。•检测：检测被管理对象的故障现象，进行系统诊断、测试和分析，以便跟踪和识别故障，找出故障原因和故障点。•排除：隔离故障源，尽快排除故障，恢复系统运行。(4)安全管理•网络安全管理是用来保护网络资源和网络用户的安全。安全管理主要是针对网络环境的各种人为因素对网络造成的威胁。如非法用户对网络资源的侵害(盗用、更改和破坏)、合法用户对网络资源的非法访问等。•安全管理的策略有安全立法、安全行政人事管理、网络软硬件安全保护、系统访问控制、数据加密保护、采用防火墙技术和防病毒技术等。(5)计费管理•网络计费管理就是控制和管理用户使用的网络资源，核算用户费用等。•计费管理中要核算和计费的网络资源主要包括：硬件资源，软件和数据资源，网络服务和其他网络设施开销。•计费管理的作用有二：•对网络资源的使用情况进行统计，以便系统合理地调度和分配资源，为用户提供高效的服务。•核算资源费用，进行系统收费管理。•大部分企业网对内部用户使用的资源不收取费用，主要是达到第一个目的。•在实际网络管理过程中网络管理功能非常广泛，包括很多方面。除以上五种基本功能外还有网络规划、数据库管理、操作人员管理等。大庆职业学院备课用纸第3页9.2简单网络管理协议•ISO提出了网络管理协议标准CMIS(公共管理信息服务)和CMIP(公共管理信息协议)。CMIS/CMIP与OSI/RM一样，未得到社会的广泛支持，几乎无产品，只有参考价值。而TCP/IP的SNMP(简单网络管理协议)得到厂商的一致支持。1.SNMP的发展•SNMP是一个网络应用层协议。网络管理人员使用该协议可以较容易地管理网络，发现和解决网络问题。•1987年11月因特网工程任务组IETF(InternetEngineeringTaskForce)提出了简单网关管理协议SGMP，随后公布的SNMPv1即是在SGMP基础上发展起来的。•SNMPv1是一个简单的协议，在大规模网络上也易于实现。•1993年IETF提出的SNMPv2对SNMPv1在数据的分布式管理和安全性方面进行了改进。•1999年公布的SNMPv3对SNMPv2在安全和可管理体系结构方面又有了较大的改进。2.SNMP网络管理模型•SNMP网络管理模型：管理进程(ManagerStation)、管理代理(Agent)和管理信息库(MIB)。•模型如图示：(1)管理进程：•管理进程(Manager)是网络管理的核心软件，一般是安装在被称为“网络管理站”的主机上。在该主机上运行网络管理协议、网络管理支持工具和网络管理应用软件。•每个网络中至少有一个网络管理站，它运行管理进程软件，对其它站进行管理。•Manager完成各种网络管理功能。通过各设备中的管理代理对网络中的各种资源实施检测和控制。网管操作人员通过Manager对全网进行管理。(2)管理代理：•管理代理Agent是驻留在被管理站上的一套软件，它负责执行Manager的管理操作。Agent直接操作本地信息库MIB，如果Manager需要，它可根据要求改变本地MIB或提取数据传回到Manager。•Agent可从MIB中读取各种变量值；也可以在MIB中修改各种变量值；并与Manager进行通信，以响应其管理请求。•被管理站包括主机、网关、服务器、路由器、交换机等网络设备。(3)管理信息库大庆职业学院备课用纸第4页•管理信息库MIB是一个概念上的数据库。管理代理所收集的包括网络设备的系统信息、资源使用及各网段信息流量等管理信息都存放在MIB中。每个Agent拥有自己的本地MIB，各Agent控制的管理对象共同构成全网的管理信息库。•MIB包括报文分组计数、出错计数、用户访问计数、IP路由选择表等。•Manager通过查看MIB的内容实现对网络的检测，通过修改MIB的内容完成对网络的控制。•SNMP提供的是面向无连接的服务，采用轮询法进行管理。Manager每隔一段时间向每个Agent发出询问，以获取管理信息。当被管理对象发生紧急情况时，Agent主动向Manager汇报。3.SNMP的命令：•SNMP定义了一套用于Manager和Agent之间进行通信的命令，通过这些命令来实现管理功能。•SNMP的操作主要有四类：存、取、陷阱和通知。•取(Get)操作：有getrequest、getnextrequest、getbulkrequest和getresponse等命令，主要是从Agent那里取得指定的MIB变量值和对这些取请求的响应。•写(Set)操作：有setrequest和setresponse命令，用于写入Agent指定的MIB变量值和对写操作的响应。•陷阱(Trap)操作：用于当网络发生错误或出现紧急情况时，Agent立即向网络管理站报警，不需等待接收方响应。•通知(Inform)操作：有Informrequest和Informresponse命令，用于在不同的管理进程之间发送管理信息和陷阱信息，及收到这些信息的响应。4.SNMPv2•SNMP的优点是简单、便捷，因此得到了广泛应用。但它还存在着诸如不能有效地传输大块数据，不能将网络管理功能分散化，安全性能不够理想等缺点。•1996年推出的SNMPv2能够克服上述缺点，但在安全性方面也过于复杂。•SNMPv2采用了较好的分散化管理方法。在一个网络中可以有多个顶级管理站，每个管理站管理网络的一部分代理进程，并指派若干个代理进程使之具有管理其他代理进程的功能。9.3常用网络管理系统常见的作为网络管理者运行的网络管理系统软件有：HP公司的OpenView，IBM公司的NetView，SUN公司的SunNetManager，Cabletron公司的SPECTRUM和Novell公司的NetWareManageWise。HPOpenView是第一个综合的实用的网络管理系统，SunNetManager是第一个基于UNIX的网络管理系统，但它们都不能提供对NetWare、SNA、DECnet、X.25和无线通信交换机及其他非SNMP设备的管理功能。•NetWareManageWise提供对NetWare操作系统的管理功能。•CabletronSPECTRUM是一个可扩展的、智能的网络管理系统。它支持NetWare操作系统和AppleTalK、IPX等协议。大庆职业学院备课用纸第5页9．4网络安全1.网络安全概述(1)网络安全的概念•“网络安全”可理解为“网络系统不存在任何威胁状态”。为防范诸如病毒的破坏、黑客的入侵、计算机犯罪、人为的主动或被动攻击等威胁，而采取一些措施则可保证网络系统的安全。•网络安全是指采取各种技术和管理措施防止网络中各种资源不被有意或无意地破坏和侵害等。•网络系统安全主要涉及系统的可靠性、软件和数据的完整性、可用性和保密性几方面的问题。①系统的可靠性：保证网络系统不因各种因素的影响而中断正常工作；②数据的完整性：保护网络系统中存储和传输的软件(程序)与数据不被非法操作，如删除、添加、更改等；③数据的可用性：保证数据完整的同时还能被正常利用和操作；④数据的保密性：数据的保密性主要是利用密码技术对数据进行加密处理，保证在系统中存储和网络上传输的数据不被无关人员识别。(2)网络安全级别：•美国国防部开发的计算机安全标准《可信计算机系统标准评价准则》将安全级别分为四类七级：•D1级(安全的最低级)：该级不设置任何安全保护措施，软硬件都容易被侵袭。MS-DOS、Windows95/98等系统为D1级(缺乏保护)•C1级(选择性安全保护级)：硬件采取简单安全措施(加锁)，登录认证和访问权限制不能控制已登录用户的访问级别。早期的Unix/Xenix、NetWare3.x等属于该级。•C2级(访问控制环境级)：比C1级增加了系统审计、跟踪记录、安全事件等特性。Unix、NetWare4.x及以上版、WindowsNT等属于该级。是保证敏感信息安全的最低级。•B1级(标记安全保护级)：B1级系统拥有者为政府机构和防御承包商。•B2级：结构化安全级(StructuredProtection)•B3级：安全域级(SecurityDomain)•A1级：验证设计级(VerityDesign)，最高安全级。(3)网络系统的威胁：•无意威胁是在无预谋的情况下破坏了系统的安全性、可靠性或资源的完整性等•无意威胁主要是由一些偶然因素引起，如软、硬件的机能失常，不可避免的人为