网络管理体系结构.

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 对辐射的防护
• 采用各种电磁屏蔽措施:如对设备的金属屏蔽和各种接插件的屏 蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;
• 干扰防护措施:即在计算机系统工作的同时,利用干扰装置产生 一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系 统的工作频率和信息特征。
前页 后页 退出
网络安全基础:安全策略
• 访问控制策略:保证网络资源不被非法使用和非法访 问
– 入网访问控制:
• 控制哪些用户能够登录到服务器并获取网络资源,控制准许用户 入网的时间和准许他们在哪台工作站入网
• 三个步骤:用户名的识别与验证、用户口令的识别与验证、用户 帐号的缺省限制检查
– 网络的权限控制:
• 针对网络非法操作所提出的一种安全保护措施。 • 用户和用户组被赋予一定的权限。网络控制用户和用户组可以访
前页 后页 退出
网络管理:功能(续)
• 五大功能(续):
– 安全管理:按照本地的方针来控制对网络资源的访 问,以保证网络不被有意或无意地侵害,并保证敏 感信息不被那些未授权的用户访问
• 标识重要的网络资源(包括系统、文件和其它实体); • 确定重要的网络资源和用户集间的映射关系; • 监视对重要网络资源的访问; • 记录对重要网络资源的非法访问;
前页 后页 退出
网络管理:功能(续)
• 五大功能(续):
– 计费管理:测量网络的利用率参数,以恰当地控制个人或团 体用户对网络的使用,比如网络故障降低到最小或者使所有 用户对网络的访问更加公平。
• 建立和维护一个目标机器地址数据库,能对该数据库中的任意一 台机器(一个IP地址)进行计费;
• 能够对指定IP地址进行流量限制,当超过使用限额时,即可将其 封锁,禁止其使用;
前页 后页 退出
网络安全基础
• 针对网络安全的威胁主要有三种
–人为的无意失误:
• 如操作员安全配置不当造成的安全漏洞,用户安全意识不 强,用户口令选择不慎,用户将自己的帐号随意转借他人 或与别人共享
–人为的恶意攻击:所面临的最大威胁
• 主动攻击:以各种方式有选择地破坏信息的有效性和完整 性
• 被动攻击:在不影响网络正常工作的情况下,进行截获、 窃取、破译以获得重要机密信息。
网络管理体系结构
• 代理进程:维护其所驻留的被管设备的状态,并且通 过网络管理协议向NMS提供信息
• 网络管理系统收集被管设备的信息,并相应作出反应 • 管理代理是代表其他实体提供管理信息的实体
前页 后页 退出
网络管理:功能
• 五大功能:
– 性能管理:衡量和呈现网络特性的各个方面,使网络性能维 持在一个可以被接受的水平上。
前页 后页 退出
网络管理
• 远程网络监控RMON
– 收集所在网段的状态信息,并存储历史信息以获得网络运行 状况趋势
– 扩展SNMP的MIB-II,使SNMP更有效、积极主动地监控远程 设备
• 基于Web的网络管理技术
– 允许通过Web浏览器进行网络管理 – 两种实现方式
• 代理方式:在一个内部工作站上运行Web服务器(代理)。网络 管理软件负责将收集到的网络信息传送到浏览器(Web服务器代 理),并将传统管理协议(如SNMP)转换成Web协议(如HTTP)。
–公共管理信息协议CMIP:提供管理信息传输 服务的应用层协议
• IETF的网络管理协议
–简单网络管理协议SNMPv1/v2/v3
前页 后页 退出
CMIP协议
• X.710定义了公共管理信息服务CMIS,目的是通过源语 向应用进程提供交换系统管理的信息和指令的服务。 CMIS提供的服务可以是有连接的,也可以是无连接的; 可以是需要证实的,也可以是不需要证实的。
– 体系结构:通用的、开放的、可扩展的框架体系 – 核心服务:网络管理软件应具备的基本功能,包括网络搜索、
查错和纠错、支持大量设备、友好操作界面、报告工具、警 报通知和处理、配置管理等 – 应用程序:实现特定的事务处理和结构支持,主要包括高级 警报处理、网络仿真、策略管理和故障标记等
• 典型的网络管理软件包括:HP OpenView/3Com Transcend/Sun NetManager等
• 收集网络管理者感兴趣的那些变量的性能数据; • 分析这些数据,以判断是否处于正常(基线)水平并产生相应的
报告; • 为每个重要的变量确定一个合适的性能阈值,超过该阈值就意味
着出现了应该注意的网络故障;
– 配置管理:监视网络和系统的配置信息,以便跟踪和管理不 同的软硬件元素对网络操作的作用。
• 主要包括:网络资源的配置及其活动状态的监视;网络资源之间 的关系的监视与控制;新资源的加入,旧资源的删除;定义新的 管理对象;识别管理对象,给每个对象分配名字;初始化对象, 启动、关闭对象;管理各个对象之间的关系;改变管理对象的参 数。
– 网络服务器的安全控制
• 控制在服务器控制台上执行的操作 • 比如设置口令锁定服务器控制台,以防止非法用户修改、删除重
要信息或破坏数据;可以设定服务器登录时间限制、非法访问者 检测和关闭的时间间隔。
– 网络监测和锁定控制:
• 网络管理员应对网络实施监控,服务器应记录用户对网络资源的 访问,对非法的网络访问,服务器应以图形或文字或声音等形式 报警 ,如果非法访问的次数达到设定数值,那么该帐户将被自 动锁定。
–基于中断的方法
• 异常事件发生时代理进程通知网络管理系统NMS
–面向自陷的轮询方法:轮询和中断结合
前页 后页 退出
SNMP管理模型
• 管理节点:被管理的设备,SNMP代理在其上运行,维 护一个本地数据库,存放其状态
• 管理站运行一个或多个管理进程,通过SNMP协议与代 理通信
• SNMP极为详细地规定了每种代理应该维护的确切信息 以及提供信息的确切格式。即每个设备都具有一个或 多个变量来描述其状态,这些变量叫做对象,所有对 象都存放在一个叫管理信息库(MIB)中
–为防止非法用户按F8键调出Windows 98的启动菜单 以安全方式进入系统,编辑MSDOS.sys文件,在该 文件的[option]小节加入
“BootMulti=0”:设置系统不能进行多重引导; “BootGUI=1”:在启动时直接进入Windows 98图形用户界面; “BootDelay”:设置在启动时“Starting Windows 98 …”信息停留的时间为0秒; “BootKeys”:设置在启动过程中F4、F5、F6、F8功能键失效。
• 特性:
–CMIP不是通过轮询而是通过事件报告进行工作,由 网络中的各个设备监测设施在发现被检测设备的状 态和参数发生变化后及时向管理进程进行事件报告
–管理功能强大,它的参数不仅可以在管理站和管理 节点之间传递网管信息,而且可以要求管理节点执 行一些动作
–CMIP需要占用比SNMP多很多的资源。 –CMIP的程序非常难编写,CMIP定义的参数比较复杂
全需求,每个站点必须指明支持其安全策略需要哪些安全 部件和功能 • 制订有关网络操作使用规程和人员管理制度 • 制定网络系统的维护制度和应急措施 • 对员工进行足够的安全意识培训等。
前页 后页 退出
Windows98安全策略
• 设置用户权限:
– 首先设置为每个用户采用不同的使用权限, 然后逐步增加新用户并进行设置
前页 后页 退出
SNMP协议
• SNMP是被设计成与协议无关的,由一系列协议 组和规范组成,提供了一种从网络上的设备中 收集网络管理信息的方法:
–轮询方法
• 网络设施中的代理进程不断收集网络的通信信息和有关网 络设备的统计数据,并记录到管理信息库MIB中。NMS通过 向代理的MIB发出查询信号可以得到这些信息
• 嵌入式:将Web功能嵌入到网络设备中,每个设备有自己的Web地 址,管理员可通过浏览器直接访问并管理该设备
前页 后页 退出
网络管理软件
• 网管系统由支持网管协议的网管软件平台、网管支撑 软件、网管工作平台和支撑网管协议的网络设备组成。 其中网管软件平台提供网络系统的配置、故障、性能 及网络用户分布方面的基本管理,是网管系统的核心:
• 管理信息以对象方式描述,所有的对象存放在MIB中。 在CMIP中,对象的变量被定义成非常复杂的数据结构, 有许多属性:
① 变量属性:表示变量的特性(如数据类型是否可写等); ② 变量动作:说明可以启动什么样的动作; ③ 通知:每当一个特殊的事件发生时,就会产生一个事件报告。
前页 后页 退出
CMIP协议
前页 后页 退出
网络安全基础:安全策略
• 访问控制策略(续)
–网络端口和节点的安全控制
• 网络中服务器的端口往往使用自动回呼设备、静默调制解 调器加以保护,并以加密的形式来识别节点的身份。
–防火墙控制:
• 防火墙是确保基础设施完整性的一种常用方法。它通过在 网络边界上建立起来的相应网络通信监控系统来隔离内部 和外部网络,控制进/出两个方向的通信流。
• 信息加密策略:保护网内的数据、文件、口令 和控制信息,保护网上传输的数据。
–包括链路加密、端点加密和节点加密三种方式
前页 后页 退出
网络安全基础:安全策略
• 非技术性安全管理策略
–加强网络的安全管理,制定有关规章制度:
• 确定安全管理等级和安全管理范围 • 所有添加到网络基础设施中的新设备都应该符合特定的安
– 故障管理:检测、记录网络故障并通知给用户,尽可能自动 修复网络故障以使网络能有效地运行。
• 基本步骤
– 判断故障症状; – 隔离该故障; – 修复该故障; – 对所有重要子系统进行故障修复后测试; – 记录故障的检测及其解决结果。
• 主要功能:
– 接收差错报告并作出反应; – 建立维护差错日志,并进行分析; – 对差错诊断测试,追踪故障,并确定纠正故障的方法措施。
前页 后页 退出源自文库
SNMP协议
• SNMP v1:设计简单,易于扩展,但安全性较 差
• SNMP v2:
– 增加了安全机制,包括数据加密、鉴别和访问控制 – 允许更详细的变量描述,使用表数据结构以方便数
据提取
• SNMP v3:
– 体现了模块化的设计思想,适应性强,扩充性好, 安全性好
– 包括信息处理和控制模块、本地处理模块和用户安 全模块
问哪些目录、子目录、文件和其他资源。
– 目录级的权限控制:
• 网络应允许控制用户对目录、文件、设备的访问。用户在目录一 级指定的权限对所有文件和子目录有效,用户还可进一步指定对 目录下的子目录和文件的权限。
前页 后页 退出
网络安全基础:安全策略
• 访问控制策略(续)
– 属性安全控制
• 将给定的属性与服务器的文件、目录和网络设备联系起来。属性 安全在权限安全的基础上提供更进一步的安全性。
–网络软件的漏洞和“后门” :黑客进行攻击的首选 目标
前页 后页 退出
网络安全基础:安全策略
• 物理安全策略:保护计算机、网络设备等硬件实体和 通信链路免受自然灾害、人为破坏和搭线攻击,其中 抑制和防止电磁泄漏是物理安全策略的一个主要问题。
– 对传导发射的防护,主要采取对电源线和信号线加装性能良 好的滤波器,减小传输阻抗和导线间的交叉耦合
• 能够按天、按月、按IP地址或按单位提供网络的使用情况,在规 定的时间到来(比如一个月)的时候,根据本机数据库中的Email地址向有关单位或个人发送帐单;
• 可以将安装有网络计费软件的计算机配置成Web服务器,允许使 用单位和个人随时进行查询。
前页 后页 退出
网络管理:功能(续)
• 五大功能(续):
前页 后页 退出
Windows98安全策略
• 防止非法用户进入
– Regedit打开注册表:
“\HKEY-USER\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runonce”
在其下创建“字符串值”,名为“非法用户,退出”,字符串为 “Rundll.exe User.exe,Exitwindows”
前页 后页 退出
网络管理
• 网络管理技术的基本要求
–网络管理的跨平台性 –网络管理的分布性 –网络管理的安全性 – Internet/Intranet上各种服务的性能管理 –远程管理 –不同厂家网络设备的统一管理
前页 后页 退出
网络管理协议
• ISO网络管理标准
–公共管理信息服务CMIS:支持管理进程和管 理代理之间的通信要求
前页 后页 退出
Windows98安全策略
• 限制用户级别
相关文档
最新文档