第7章計算機網絡安全和網絡管理最終版

第7章網絡安全與網絡管理主要內容網絡安全與管理問題的產生1網絡安全技術2網絡管理技術37.1網絡安全與管理及相關的法律法規(guī)實例回顧計算機網絡主要特征計算機網絡的各項技術都是全開放的計算機網絡是自由的，網絡對用戶的使用不存在技術上的約束，用戶可以自由的上網，發(fā)布和獲取各類信息對于校園網而言，訪問網絡的不只是學校內部的成員，還包括外部網的其他身份不明確的匿名用戶。隨著接入網絡的終端的增加，網絡規(guī)模逐漸增大，用戶進行數據訪問傳輸等操作需要使用的通信鏈路也變長。7.1.2網絡管理概述網絡管理的概念與內容網絡管理：網絡管理員通過網絡管理程序對網絡上的資源進行集中化管理的操作。網絡管理包括對硬件、軟件和人力的使用、綜合與協調，以便對網絡資源進行監(jiān)視、測試、配置、分析、評價和控制，這樣就能以合理的價格滿足網絡的一些需求，如實時運行性能，服務質量等7.1.2網絡管理概述網絡管理主要是針對：（1）對網路的管理，即針對交換機、路由器等主干網絡進行管理；（2）對接入設備的管理，即對內部PC、服務器、交換機等進行管理；（3）對行為的管理。即針對用戶的使用進行管理；對資產的管理，即統計IT軟硬件的信息等7.1.1網絡安全的內容外部環(huán)境安全：地震、水災、火災、電源故障、設備被盜被毀、電磁干擾等。網絡連接安全：網絡拓撲結構和網絡路由狀況等。操作系統安全：利用操作系統加強對用戶登錄的認證等。應用系統安全：采用多層次的訪問控制與權限控制手段、加密技術等。管理制度安全：加強內部管理，建立審計和跟蹤體系等。人為因素影響：黑客攻擊、惡意代碼、不滿的內部員工等。

網絡管理

所謂網絡管理，是指用軟件手段對網絡上的通信設備及傳輸系統進行有效的監(jiān)視、控制、診斷和測試所采用的技術和方法。網絡網絡涉及三個方面：網絡服務提供、網絡維護、網絡處理。一個網絡管理系統下從邏輯上可以分為：管理對象、管理進程、管理協議。被管理的網絡設備包括交換機、網關、路由器、網橋、通信線路、網卡、服務器以及工作站等。7.1.2網絡管理的功能OSI管理功能域

OSI網絡管理標準將開放系統的網絡管理功能劃分成五個功能域：配置管理、故障管理、性能管理、安全管理、記賬管理，這個功能域分別用來完成不同的網絡管理功能。7.1.2網絡管理的功能從技術角度來說，網絡安全的目標可歸納為4個方面：可用性:網絡中的信息或者信息系統只能夠被合法用戶訪問，并能夠迅速地按其要求運行的特性機密性：系統把對敏感數據的訪問權限制在那些經授權的個人或實體，只有他們才能查看和使用數據7.1.2網絡管理的功能完整性：防止系統中的信息或程序未經授權或意外改動，包括數據插入、刪除和修改等指保證系統在未受損的方式下執(zhí)行預期的功能，避免對系統進行有意或無意的非授權操作不可抵賴性：也叫不可否認性，即防止個人否認先前已執(zhí)行的動作，其目標是確保數據的接收方能夠確信發(fā)送方的身份7.1.2網絡管理的功能2000年12月28日第九屆全國人民代表大會常務委員會第十九次會議通過了《維護互聯網安全的決定》，它是我國第一部經全國人民代表大會常務委員會審議通過的有關網絡安全的法律性文件。信息產業(yè)部2000年11月7日發(fā)布實施的《互聯網電子公告服務管理規(guī)定》信息產業(yè)部1999年9月7日發(fā)布實施的《電信網間互聯管理暫行規(guī)定》教育部2000年6月29日發(fā)布實施的《教育網站和網校暫行管理辦法》7.1.2與網絡安全與管理相關的法律法規(guī)7.1.2與網絡安全與管理相關的法律法規(guī)7.2網絡資源管理的方法網絡資源的表示網絡環(huán)境下資源的表示是網絡管理的一個關鍵問題。在網絡管理協議中采用面向對象的概念來描述被管網絡元素的屬性。網絡資源主要包括：硬件、軟件、數據、用戶、支持設備。網絡管理的目的和方法

網絡管理可以分為廣義和狹義兩個層面。廣義的管理內容涉及網絡安全的方方面面；狹義的網絡管理是指從技術角度出發(fā)，了解網絡系統的運行狀況并加以監(jiān)控、優(yōu)化。1、網絡管理的目的

用戶設計并實施檢測方案，提供資源優(yōu)化和系統規(guī)劃的建議。2、網絡管理的使命發(fā)現問題、解決問題、常規(guī)監(jiān)視。7.2網絡資源管理的方法網絡管理協議是道理和網絡管理軟件交換信息的方式，它定義使用使命傳輸機制，代理上存在何種信息以及信息格式的編排方式。1、SNMP協議

SNMP是“簡單網絡管理協議”，是TCP/IP協議簇的一個應用層協議。SNMP作為一種算了管理協議，它使網絡設備彼此之間可以交換管理信息，使網絡管理員能夠管理網絡的性能，定位和解決網絡故障，進行網絡規(guī)劃。SNMP的網絡管理模型有三個關鍵元素組成：不給力的設備（網元）、代理、網絡管理系統（NMS）。MIB是管理信息庫7.3網絡管理協議RMON

遠程監(jiān)控（RMON）是關于通信量管理的標準化規(guī)定，RMON的目的就是要測定、收集網絡的性能，為網絡管理員提供復雜的網絡錯誤診斷和性能調整信息。有RMON構成的通信量觀測和SNMP一樣，也是有管理程序和代理程序構成。RMON是觀測網絡的關鍵點的，具有報警功能。7.3網絡管理協議7.4網絡病毒與網絡黑客入侵的防范、防火墻1、網絡與病毒網絡化帶來了病毒傳染的高效率，從而加重了病毒的威脅。例如：“紅色代碼”、“尼姆達”2、網絡病毒的防范基于網絡的多層次的病毒防護策略是保障信息安全、保證網絡安全運行的重要手段。從網絡系統的各組成環(huán)節(jié)來看，多層防御的網絡防毒體系應該有用戶桌面、服務器、Internet網關和防火墻組成。桌面系統和遠程PC是主要的病毒感染源。群件和電子郵件是網絡中重要的通信聯絡線。先進的多層病毒防護策略具有三個特點：層次性、集成性、自動化。7.4網絡病毒與網絡黑客入侵的防范、防火墻黑客，常常在未經許可的情況下通過技術手段登錄到他人的網絡服務器甚至是連接在網絡上的單機，并對網絡進行一些未經授權的操作。攻擊手段：非授權訪問、信息泄露或丟失、破壞數據完整性、拒絕服務攻擊、利用網絡傳播病毒。防范手段：法律手段、技術手段、管理手段7.4網絡病毒與網絡黑客入侵的防范、防火墻防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻能有效地防止外來的入侵，它在網絡系統中的作用是：（1）控制進出網絡的信息流向和信息包（2）提供使用和流量的日志和審計。（3）隱藏內部IP地址及網絡結構的細節(jié)。（4）提供VPN功能。7.4網絡病毒與網絡黑客入侵的防范、防火墻防火墻的技術防火墻總體上分為：包過濾、應用級網關（安裝在專用工作站系統）和代理服務器等設置防火墻的要素：網絡策略服務訪問策略防火墻設計策略增強的認證7.4網絡病毒與網絡黑客入侵的防范、防火墻防火墻的分類基于具體實現防范分類，可以分為三種類型：軟件防火墻、硬件防火墻、專用防火墻。根據防火墻采用的核心技術：可分為包過濾型和應用代理型兩大類。根據防火墻的結構，可分為單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。按防火墻的應用部署位置分為邊界防火墻、個人防火墻和混合防火墻三大類。7.4網絡病毒與網絡黑客入侵的防范、防火墻網絡故障的診斷：重現故障——分析故障現象——定位故障范圍——隔離故障——排除故障網絡常用測試命令

1、IP測試工具pingping127.0.0.1測試本機TCP/IP安裝是完整，本機的網卡是否正確安裝ping本機的Ip地址測試本地的網卡工作是否正常pingDNS判斷該網是否能夠連通ping網關測試本機到網關的線路是否出現故障7.5網絡故障的診斷與排除7.5網絡故障的診斷與排除2、測試TCP/IP協議配置工具ipconfig和winipcfgipconfig若不帶參數，可獲得的信息有IP地址、子網掩碼、默認網關。winipcfg的功能與ipconfig基本相同。3、網絡協議統計工具netstat和nbstat使用netstat命令可以顯示與IP、TCP、UDP和ICMP協議相關的統計信息以及當前的連接情況，以得到非常詳細的統計結果，有助于了解網絡的整體使用情況。nbtstat是解決NETBIOS名稱解析問題的有用工具。4、跟蹤工具tracert和pathpingtracert命令用來顯示數據包到達目標主機所經過的路徑，并顯示到達每個節(jié)點的時間。pathping命令是一個路由跟蹤工具，它將ping和tracert命令的功能和這兩個工具所不提供的其他信息結合起來。7.2.2對稱加密技術——數據加密標準（DES，DataEncryptionStandard）DES對明文進行分組，每組明文長度為64位，然后使用56位長度的密鑰以及附加的8位奇偶校驗位，將分組后的明文組和56位的密鑰按位替代或交換的方法，產生64位長度的密文分組DES的主要特點是：分組比較短、密鑰太短、密碼生命周期短、運算速度較慢攻擊DES的主要形式被稱為蠻力攻擊或徹底密鑰搜索（窮舉攻擊），即重復嘗試各種密鑰直到有一個符合為止7.2.2數據加密標準（DES，DataEncryptionStandard）7.2.2數據加密標準（DES，DataEncryptionStandard）三重DES算法其本質實際上是重復基本的DES算法三次，是使用168位的密鑰對資料進行三次加密的一種機制其加解密運算可以表示為：加密：C=Ek3(Dk2(Ek1(M))

解密：M=Dk1(Ek2(Dk3(C))三重DES的主要缺點在于其計算量是DES的三倍，用軟件實現算法速度比較慢7.2.2三重DES算法7.2.2流密碼(streamcipher)技術流密碼的原理實際上是對輸入的明文串按比特進行連續(xù)變換，加密和解密每次只處理一個比特，進而產生連續(xù)的密文輸出7.2.2公鑰加密技術公鑰加密算法也稱非對稱密鑰算法，它要求加密過程中密鑰成對出現，一個為加密密鑰(e)，另一個為解密密鑰(d)，兩個密鑰互不相同且不可能從其中一個推導出另一個整個公鑰體制涉及到三個重要的概念：密鑰對數字證書電子簽證機關7.2.2公鑰加密技術公鑰加密體制具有以下優(yōu)點：（1）公鑰算法不需要聯機密鑰服務器，密鑰分配協議簡單，所以極大簡化了密鑰管理；（2）密鑰的保存量少，私鑰和公鑰是分別存儲的；（3）可以完成互不相識的人之間的私人通信的保密性要求，同時可以提供通信雙方的數字簽名和身份鑒別7.2.2RSA算法①產生密鑰公開密鑰（即加密密鑰）PK=（e，n）秘密密鑰（即解密密鑰）SK=（d，n）②加密對應的密文是：ci≡mie(modn)③解密解密時作如下計算：mi≡cid(modn)7.2.2RSA算法RSA算法的缺點主要有：（1）產生密鑰很麻煩，受到素數產生技術的限制，因而難以做到一次一密（2）分組長度太大，為保證安全性，n至少也要600bits以上，使運算代價很高，尤其是速度較慢7.2.2數字簽名數字簽名利用私有密鑰進行加密認證利用公開密鑰進行正確的解密由于公開密鑰無法推算出私有密鑰，所以公開密鑰無需保密，可以公開傳播私有密鑰一定是個人秘密持有的，其他人的公開密鑰不可能正確解密被私有密鑰加密過的信息7.2.2數字簽名7.2.2身份認證如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者？身份認證：（1）靜態(tài)密碼：在網絡中使用你知道的信息來證明你的身份（2）智能卡認證：使用你持有的物品，比如電子IC卡、USBKey、動態(tài)口令牌等（3）生物識別技術：使用你自身的不可更改的特征（指紋識別）7.2.2數據備份技術不同的網絡，網絡中的不同用戶，均需要根據自己的實際情況來制定不同的備份策略目前被采用最多的備份策略主要有以下三種：（1）完全備份（fullbackup）將用戶指定的數據甚至是整個系統的數據進行完全的備份（2）增量備份(incrementalbackup)只有那些在上次完全或者增量備份后被修改了的文件才會被備份（3）差分備份(differentialbackup)將最近一次完全備份后產生的所有數據更新進行備份7.2.3訪問控制技術訪問控制的主要功能：（1）防止非法的主體進入受保護的網絡資源（如：學生進入老師才可以訪問的成績頁面）；（2）允許合法用戶訪問受保護的網絡資源（如：老師經許可訪問成績登錄頁面）；（3）防止合法的用戶對受保護的網絡資源進行非授權的訪問（如：合法的教師用戶未經許可直接訪問了成績登錄頁面）7.2.3訪問控制技術訪問控制基本元素（1）主體：網絡中發(fā)出訪問操作、存取要求的發(fā)起者（2）客體：被調用的程序或欲存取的數據，即必須進行控制的資源或目標（3）訪問權：實際上是對主體訪問客體的方式進行的描述7.2.3訪問控制技術訪問控制主要策略（1）自主訪問控制（2）強制訪問控制（3）基于角色的訪問控制7.2.4防火墻與病毒防護防火墻技術7.2.4防火墻與病毒防護防火墻的組成和特征兩個網絡之間的所有通信數據流都要通過防火墻；防火墻本身不會影響信息的流通，也不會更改流通的信息內容；只有被防火墻安全策略（如服務訪問政策、應用網關、過濾規(guī)則）允許授權的信息才能夠通過防火墻（其他惡意信息不被允許）；防火墻本身是穿不透的7.2.4防火墻與病毒防護防火墻的基本類型網絡級防火墻7.2.4防火墻與病毒防護應用代理防火墻7.2.4防火墻與病毒防護電路級網關型防火墻7.2.4防火墻與病毒防護規(guī)則檢查防火墻7.2.4防火墻與病毒防護防火墻的體系結構防火墻可以置于網絡架構中的應用層、網絡層或傳輸層，作為一個阻塞點，來監(jiān)視和拋棄對應層的網絡流量雙重/多重宿主主機體系結構有兩個或多個網絡接口的計算機系統，這類系統可以連接多個網絡，實現多個網絡之間的訪問控制7.2.4防火墻與病毒防護7.2.4防火墻與病毒防護屏蔽主機體系結構使用一個單獨的路由器，該路由器提供來自堡壘主機的服務7.2.4防火墻與病毒防護屏蔽子網體系結構通過添加額外的安全層到屏蔽主機體系結構，通過添加周邊網絡（DMZ）更進一步地把內部網絡與Internet隔離開7.2.4防火墻與病毒防護防火墻的部署和配置目前網絡的防火墻部署多采用分布式混合防火墻，這類部署涉及在一個中心管理員控制下協同工作的獨立防火墻設備和基于主機的防火墻7.2.4計算機病毒及防護計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義為“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”常見定義：利用計算機軟件與硬件的缺陷，由被感染機內部發(fā)出的破壞計算機數據并影響計算機正常工作的一組指令集或程序代碼7.2.4計算機病毒及防護病毒的組成感染機制：病毒傳播和使病毒能夠自我復制的方法，通常包括感染標記和感染模塊兩部分觸發(fā)條件：激活或控制病毒感染和破壞活動的事件或條件破壞模塊：主要負責病毒的破壞工作7.2.4計算機病毒及防護病毒的分類按照感染目標分類：感染引導扇區(qū)病毒感染可執(zhí)行文件病毒一般應用型病毒按照寄生方式分類：操作系統型病毒入侵型病毒外殼型病毒7.2.4計算機病毒及防護病毒的防范——IBM公司

數字免疫系統7.2.5入侵檢測入侵檢測技術（IntrusionDetection）就是通過計算機網絡或系統中若干關鍵點收集信息并對其進行分析，從中發(fā)現網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象并作出響應的技術入侵檢測系統（IDS）則可以被定義為對計算機和網絡資源的惡意使用行為（包括系統外部的入侵和內部用戶的非授權行為）進行識別和相應處理的系統7.2.5入侵檢測入侵檢測系統的組成其檢測過程主要通過執(zhí)行以下任務來實現：（1）監(jiān)視、分析用戶及系統活動；

（2）系統構造和弱點的審計；

（3）識別反映已知進攻的活動模式并向相關人士報警；

（4）異常行為模式的統計分析；

（5）評估重要系統和數據文件的完整性；

（6）操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為7.2.5入侵檢測入侵檢測系統主要包括以下三個邏輯組件：（1）傳感器：傳感器主要負責收集數據，是提供系統事件記錄的信息源，其輸入可以是包含入侵證據的系統的任何一部分（2）分析器：分析器主要負責確定是否發(fā)生了入侵，起輸入來自于一個或多個傳感器或者其他的分析器（3）用戶接口：可以認為是對分析器結果產生反應的響應部件7.2.5入侵檢測入侵檢測系統的基本工作步驟：7.2.5入侵檢測入侵檢測系統的分類（1）按照輸入數據對象劃分基于主機（Host-Based）的入侵檢測系統基于網絡（Network-Based）的入侵檢測系統混合型入侵檢測系統7.2.5入侵檢測按照技術劃分：異常檢測模型（AnomalyDetection）異常檢測首先假設入侵者活動必定異常于正常主體的活動誤用檢測模型（MisuseDetection）這一檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式7.2.5入侵檢測——系統代表：蜜罐7.2.6網絡安全協議安全套接層協議SSL安全套接層（SSL，SecureSocketLayer）是Netscape公司率先采用的網絡安全協議。它是在傳輸通信協議（TCP／IP）上實現的一種安全協議，采用公開密鑰技術，是以一組協議的方式實現的一個通用服務，被廣泛支持各種類型的網絡7.2.6安全套接層協議SSLSSL的體系結構：二層協議體系結構7.2.6安全套接層協議SSLSSL記錄協議SSL記錄協議為SSL連接提供兩種服務：

機密性：握手協議定義了共享的、可用于對SSL有效載荷進行常規(guī)加密的密鑰。

報文完整性：握手協議還定義了共享的、可用來形成報文的鑒別碼（MAC）的密鑰7.2.6安全套接層協議SSL7.2.6安全套接層協議SSL修改密文規(guī)約協議用于從一種加密算法轉變?yōu)榱硪环N加密算法報警協議用于將SSL有關的報警傳送給對方實體握手協議用于建立會話，它允許客戶端和服務器之間相互鑒別對方的身份、協商加密和MAC算法以及用來保護在SSL記錄中發(fā)送數據的加密密鑰在傳輸任何應用數據之前，都必須使用握手協議。它由一系列在客戶和服務器之間交換的報文組成7.2.6VPN相關協議VPN基于隧道技術來傳輸數據根據VPN實現的層次，隧道協議可以分為二層隧道協議：點對點隧道協議（PPTP）、第二層隧道協議（L2TP）三層隧道協議：通用路由封裝協議（GRE）、IP安全協議（IPSec）IPSec（IPSecurity）是InternetEngineeringTaskForce（IETF）制定的為保證在Internet上傳送數據的安全保密性能的一組框架協議的總稱7.2.6VPN相關協議VPN基于隧道技術來傳輸數據根據VPN實現的層次，隧道協議可以分為二層隧道協議：點對點隧道協議（PPTP）、第二層隧道協議（L2TP）三層隧道協議：通用路由封裝協議（GRE）、IP安全協議（IPSec）IPSec（IPSecurity）是InternetEngineeringTaskForce（IETF）制定的為保證在Internet上傳送數據的安全保密性能的一組框架協議的總稱7.2.6IPSec（1）認證報頭協議（AH，AuthenticationHeader）7.2.6IPSec（2）封裝安全有效載荷協議（ESP，EncapsulationSecurityPayload）7.2.6IPSec（3）因特網密鑰交換協議（IKE，InternetKeyExchange）7.3網絡管理技術網絡管理：網絡管理員通過網絡管理程序對網絡上的資源進行集中化管理的操作，包括對硬件、軟件和人力的使用、綜合與協調，以便對網絡資源進行監(jiān)視、測試、配置、分析、評價和控制，這樣就能以合理的價格滿足網絡的一些需求，如實時運行性能、服務質量等7.3.1網絡管理功能和模型網絡管理功能網絡管理技術需要提供如下五大功能：（1）故障管理(FaultManagement)當網絡中某個組成失效時，網絡管理器能夠迅速查找到故障并及時排除故障監(jiān)測故障報警故障信息管理排錯支持工具檢索/分析故障信息7.3.1網絡管理功能和模型（2）計費管理(AccountingManagement)計費管理記錄網絡資源的使用，目的是控制和監(jiān)測網絡操作的費用和代價計費數據采集數據管理與數據維護計費政策制定政策比較與決策支持數據分析與費用計算數據查詢7.3.1網絡管理功能和模型（3）配置管理(ConfigurationManagement)配置管理主要是對網絡初始化并配置網絡，以使其提供網絡服務配置信息的自動獲取自動配置、自動備份及相關技術配置一致性檢查用戶操作記錄功能7.3.1網絡管理功能和模型（4）性能管理(PerformanceManagement)性能管理主要是對網絡系統中資源的運行狀況及通信效率等系統性能進行估價，其能力包括監(jiān)視和分析被管網絡及其所提供服務的性能機制性能監(jiān)控閾值控制性能分析可視化的性能報告實時性能監(jiān)控網絡對象性能查詢7.3.1網絡管理功能和模型（5）安全管理(SecurityManagement)越來越多的網絡安全技術出現并升級，要管理協調并有機地組合這些相關的安全技術，網絡安全管理不可獲取性能監(jiān)控網絡資源的訪問控制告警事件分析主機系統的安全漏洞檢測網絡管理本身的安全需要由以下機制來保證：管理員身份認證管理信息存儲和傳輸的加密與完整性網絡管理用戶分組管理與訪問控制系統日志分析7.3.2網絡管理模型網絡管理包括對硬件、軟件和人力的使用、綜合與協調，以便對網絡資源進行監(jiān)視、測試、配置、分析、評價和控制，這樣就能以合理的價格滿足網絡的一些需求，如實時運行性能，服務質量等。網絡管理常簡稱為網管。7.3.2網絡管理模型管理站因特網網絡管理員

被管設備——管理程序（運行SNMP客戶程序）——代理程序（運行SNMP服務器程序）AAAAM

被管設備

被管設備

被管設備MAA

被管設備網管協議7.3.2網絡管理模型中的主要構件管理站也常稱為網絡運行中心

NOC(NetworkOperationsCenter)，是網絡管理系統的核心管理站的關鍵構件是管理程序，在運行時就成為管理進程管理站（硬件）或管理程序（軟件）都可稱為管理者(manager)。Manager不是指人而是指機器或軟件。網絡管理員(administrator)指的是人。大型網絡往往實行多級管理，因而有多個管理者，而一個管理者一般只管理本地網絡的設備。7.3.2網絡管理模型中的主要構件網絡管理協議，簡稱為網管協議。需要注意的是，并不是網管協議本身來管理網絡。網管協議就是管理程序和代理程序之間進行通信的規(guī)則。網絡管理員利用網管協議通過管理站對網絡中的被管設備進行管理。7.3.2網絡管理模型中的主要構件網絡管理信息庫：網絡中被管理對象必須維持可供管理程序讀寫的若干控制和狀態(tài)信息。這些信息構成的數據庫被總稱為管理信息庫MIB(ManagementInformationBase)管理程序使用MIB中這些信息的值對網絡進行管理（如讀取或重新設置這些值）7.3.2網絡管理模型中的主要構件被管代理在每一個被管設備中都要運行一個程序以便和管理站中的管理程序進行通信。這些運行著的程序叫做網絡管理代理程序，或簡稱為代理代理程序在管理程序的命令和控制下在被管設備上采取本地的行動。駐留在用戶主機和網絡互連設備等所有被管理7.3.2網絡管理模型中的主要構件7.3.2網絡管理系統主要體系結構（1）集中式網絡管理7.3.2網絡管理系統主要體系結構（2）層次化網絡管理7.3.2網絡管理系統主要體系結構（3）分布式網絡管理7.3.2網絡管理協議SNMP簡單網絡管理協議（SNMP，SimpleNetWorkManagementProtocol）是最早提出的網絡管理協議之一，其前身是簡單網關監(jiān)控協議（SGMP），主要用來對通信線路進行管理7.3.2SNMPSNMP的體系結構是圍繞著四個概念和目標進行設計的：（1）保持管理代理（agent）的軟件成本盡可能低；（2）最大限度保持遠程管理的功能，以便充分利用Internet的網絡資源；（3）體系結構必須有擴充的余地；（4）保持SNMP的獨立性，不依賴于具體的計算機、網關和網絡傳輸協議。在最近的改進中，又加入了保證SNMP體系本身安全性的目標7.3.2SNMPSNMP協議的工作機制:主要通過各種不同類型的消息，即PDU（協議數據單位）實現網絡信息的交換PDU：一種變量對象，其中每一個變量都是由標題和變量值兩部分組成：（1）標題：SNMP對應的共同體名，加上發(fā)送方的一些標識信息(附加信息)，用以驗證發(fā)送方確實是共同體中的成員，共同體實際上就是用來實現管理應用實體之間身份鑒別的；

（2）變量值：即數據，就是兩個管理應用實體之間真正需要交換的信息7.3.2CMIS/CMIPCMIS/CMIP公共管理信息服務/公共管理信息協議（CMIS/CMIP，CommonManagementInformationService/Protocol）是OSI提供的網絡管理協議簇。CMIS定義了每個網絡組成部件提供的網絡管理服務，CMIP則是實現CIMS服務的協議，包括一個接口支持ISO和用戶定義（user-defined）管理協議7.3.2CMIS/CMIPCMIP治理模型可以用3種模型進行描述：組織模型用于描述治理任務如何分配；功能模型描述了各種網絡治理功能和它們之間的關系；信息模型提供了描述被管對象和相關治理信息的準則7.3.2