第六節(jié) 網(wǎng)絡(luò)安全技術(shù)課件

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)安全基礎(chǔ)Mr.ruiwu@網(wǎng)絡(luò)安全技術(shù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全性和可靠性成為各層用戶所共同關(guān)心的問(wèn)題。人們都希望自己的網(wǎng)絡(luò)能夠更加可靠地運(yùn)行，不受外來(lái)入侵者的干擾和破壞，所以解決好網(wǎng)絡(luò)的安全性和可靠性，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。Internet防火墻學(xué)生區(qū)InfoGateIIS服務(wù)Web服務(wù)DMZ區(qū)教工區(qū)安全垃圾郵內(nèi)容審計(jì)件網(wǎng)關(guān)過(guò)濾數(shù)據(jù)庫(kù)服務(wù)器群應(yīng)用服務(wù)器群Mr.ruiwu@1、網(wǎng)絡(luò)安全要求網(wǎng)絡(luò)安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然或者惡意的攻擊而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不會(huì)中斷。身份認(rèn)證完整性保密性授權(quán)和訪問(wèn)控制可用性不可抵賴性Mr.ruiwu@2、網(wǎng)絡(luò)安全威脅

一般認(rèn)為，黑客攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)攻擊等3個(gè)方面是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)受到的主要威脅。黑客攻擊計(jì)算機(jī)病毒拒絕服務(wù)攻擊黑客使用專用工具和采取各種入侵手段非法進(jìn)入網(wǎng)絡(luò)、攻擊網(wǎng)絡(luò),并非法使用網(wǎng)絡(luò)資源。

計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。攻擊者在短時(shí)間內(nèi)發(fā)送大量的訪問(wèn)請(qǐng)求，而導(dǎo)致目標(biāo)服務(wù)器資源枯竭，不能提供正常的服務(wù)。Mr.ruiwu@3、網(wǎng)路安全漏洞

網(wǎng)絡(luò)安全漏洞實(shí)際上是給不法分子以可乘之機(jī)的“通道”,大致可分為以下3個(gè)方面。網(wǎng)絡(luò)的漏洞

服務(wù)器的漏洞操作系統(tǒng)的漏洞包括網(wǎng)絡(luò)傳輸時(shí)對(duì)協(xié)議的信任以及網(wǎng)絡(luò)傳輸漏洞，比如IP欺騙和信息腐蝕就是利用網(wǎng)絡(luò)傳輸時(shí)對(duì)IP和DNS的信任。利用服務(wù)進(jìn)程的bug和配置錯(cuò)誤,任何向外提供服務(wù)的主機(jī)都有可能被攻擊。這些漏洞常被用來(lái)獲取對(duì)系統(tǒng)的訪問(wèn)權(quán)。Windows和UNIX操作系統(tǒng)都存在許多安全漏洞,如Internet蠕蟲(chóng)事件就是由UNIX的安全漏洞引發(fā)的。Mr.ruiwu@4、網(wǎng)絡(luò)安全攻擊要保證運(yùn)行在網(wǎng)絡(luò)環(huán)境中的信息安全,首先要解決的問(wèn)題是如何防止網(wǎng)絡(luò)被攻擊。根據(jù)SteveKent提出的方法,網(wǎng)絡(luò)安全攻擊可分為被動(dòng)攻擊和主動(dòng)攻擊兩大類，如圖所示。圖:網(wǎng)絡(luò)安全攻擊分類被動(dòng)攻擊

截獲(秘密)分析信息內(nèi)容通信量分析主動(dòng)攻擊

拒絕篡改偽造重放(可用性)(完整性)(真實(shí)性)(時(shí)效性)被動(dòng)攻擊不修改信息內(nèi)容，所以非常難以檢測(cè)，因此防護(hù)方法重點(diǎn)是加密。主動(dòng)攻擊是對(duì)數(shù)據(jù)流進(jìn)行破壞、篡改或產(chǎn)生一個(gè)虛假的數(shù)據(jù)流。Mr.ruiwu@5、網(wǎng)絡(luò)安全破壞

1中斷（Interruption）：中斷是對(duì)可利用性的威脅。例如破壞信息存儲(chǔ)硬件、切斷通信線路、侵犯文件管理系統(tǒng)等。2竊?。↖nterception）：入侵者竊取信息資源是對(duì)保密性的威脅。入侵者竊取線路上傳送的數(shù)據(jù)，或非法拷貝文件和程序等。3篡改（Modification）：篡改是對(duì)數(shù)據(jù)完整性的威脅。例如改變文件中的數(shù)據(jù)，改變程序功能，修改網(wǎng)上傳送的報(bào)文等。4假冒（Fabrication）：入侵者在系統(tǒng)中加入偽造的內(nèi)容，如像網(wǎng)絡(luò)用戶發(fā)送虛假的消息、在文件中插入偽造的記錄等。網(wǎng)絡(luò)安全破壞的技術(shù)手段是多種多樣的，了解最通常的破壞手段，有利于加強(qiáng)技術(shù)防患。Mr.ruiwu@網(wǎng)絡(luò)安全的評(píng)價(jià)標(biāo)準(zhǔn)計(jì)算機(jī)系統(tǒng)的安全等級(jí)由低到高順序：D；C1C2；B1B2B3；A。如圖所示。TCSEC安全體系可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)準(zhǔn)則C2：受控訪問(wèn)保護(hù)C1：自主安全保護(hù)A1：驗(yàn)證設(shè)計(jì)D1：最小保護(hù)B2：結(jié)構(gòu)安全保護(hù)B1：標(biāo)志安全保護(hù)B3：安全域C類A類D類B類Mr.ruiwu@1、國(guó)際評(píng)價(jià)標(biāo)準(zhǔn)20世紀(jì)90年代開(kāi)始，一些國(guó)家和國(guó)際組織相繼提出了新的安全評(píng)測(cè)準(zhǔn)則。1991年,毆共體發(fā)布了“信息技術(shù)安全評(píng)測(cè)準(zhǔn)則”；1993年，加拿大發(fā)布了“加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)測(cè)準(zhǔn)則”；1993年6月,上述國(guó)家共同起草了一份通用準(zhǔn)則,并將CC推廣為國(guó)際標(biāo)準(zhǔn)。國(guó)際安全評(píng)測(cè)標(biāo)準(zhǔn)的發(fā)展如圖所示。1993年加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)測(cè)準(zhǔn)則1991年歐洲信息技術(shù)安全評(píng)測(cè)準(zhǔn)則1991年美國(guó)聯(lián)邦政府評(píng)測(cè)標(biāo)準(zhǔn)1983年美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)測(cè)準(zhǔn)則1996年國(guó)際通用準(zhǔn)則（CC）1999年CC成為國(guó)際標(biāo)準(zhǔn)國(guó)際安全評(píng)測(cè)標(biāo)準(zhǔn)的發(fā)展與聯(lián)系Mr.ruiwu@2、我國(guó)評(píng)價(jià)標(biāo)準(zhǔn)分如下五個(gè)級(jí)別

1級(jí)用戶自主保護(hù)級(jí)：它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力，保護(hù)用戶的信息免受非法的讀寫破壞。2級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)：除具備第一級(jí)外，要求創(chuàng)建和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄，使所有的用戶對(duì)自己的行為的合法性負(fù)責(zé)。3級(jí)安全標(biāo)記保護(hù)級(jí)：除具備上一級(jí)外，要求以訪問(wèn)對(duì)象標(biāo)記的安全級(jí)別限制訪問(wèn)者的訪問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制保護(hù)。4級(jí)結(jié)構(gòu)化保護(hù)級(jí)：在繼承前面功能基礎(chǔ)上，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，從而加強(qiáng)系統(tǒng)的抗?jié)B透能力。5級(jí)訪問(wèn)驗(yàn)證保護(hù)級(jí)：這一個(gè)級(jí)別特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)仲裁訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)。Mr.ruiwu@網(wǎng)絡(luò)安全措施

在網(wǎng)絡(luò)設(shè)計(jì)和運(yùn)行中應(yīng)考慮一些必要的安全措施，以便使網(wǎng)絡(luò)得以正常運(yùn)行。網(wǎng)絡(luò)的安全措施主要從物理安全、訪問(wèn)控制、傳輸安全和網(wǎng)絡(luò)安全管理等4個(gè)方面進(jìn)行考慮。

1、物理安全措施

物理安全性包括機(jī)房的安全、所有網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備（包括服務(wù)器、工作站、通信線路、路由器、網(wǎng)橋、磁盤、打印機(jī)等）的安全性以及防火、防水、防盜、防雷等。網(wǎng)絡(luò)物理安全性除了在系統(tǒng)設(shè)計(jì)中需要考慮之外，還要在網(wǎng)絡(luò)管理制度中分析物理安全性可能出現(xiàn)的問(wèn)題及相應(yīng)的保護(hù)措施。

2、訪問(wèn)控制措施

訪問(wèn)控制措施的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問(wèn)。其包括以下８?jìng)€(gè)方面：Mr.ruiwu@網(wǎng)絡(luò)安全措施

1入網(wǎng)訪問(wèn)控制：控制哪些用戶能夠登錄并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和入網(wǎng)的范圍。2網(wǎng)絡(luò)的權(quán)限控制：是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施，用戶和用戶組被授予一定的權(quán)限。3目錄級(jí)安全控制：系統(tǒng)管理權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和存取控制權(quán)限8種。4屬性安全控制：網(wǎng)絡(luò)管理員給文件、目錄等指定訪問(wèn)屬性，將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。5網(wǎng)絡(luò)服務(wù)器安全控制：包括設(shè)置口令鎖定服務(wù)器控制臺(tái)，設(shè)定登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔等。Mr.ruiwu@網(wǎng)絡(luò)安全措施

6網(wǎng)絡(luò)檢測(cè)和鎖定控制：網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)于非法訪問(wèn)應(yīng)報(bào)警。7

網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制：網(wǎng)絡(luò)服務(wù)器端口使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù),并以加密形式識(shí)別節(jié)點(diǎn)的身份。8防火墻控制：防火墻成為是互連網(wǎng)絡(luò)上的首要安全技術(shù)，是設(shè)置在網(wǎng)絡(luò)與外部之間的一道屏障。

3、網(wǎng)絡(luò)通信安全措施

⑴建立物理安全的傳輸媒介

⑵對(duì)傳輸數(shù)據(jù)進(jìn)行加密：保密數(shù)據(jù)在進(jìn)行數(shù)據(jù)通信時(shí)應(yīng)加密，包括鏈路加密和端到端加密。Mr.ruiwu@網(wǎng)絡(luò)安全管理措施除了技術(shù)措施外，加強(qiáng)網(wǎng)絡(luò)的安全管理，制定相關(guān)配套檢查和互協(xié)滲透測(cè)試安全設(shè)計(jì)設(shè)備配置安全漏洞分析安全策略安全需求安全結(jié)構(gòu)安全評(píng)估安全評(píng)估安全評(píng)估的規(guī)章制度、確定安全管理等級(jí)、明確安全管理范圍、采取系統(tǒng)維護(hù)方法和應(yīng)急措施等,對(duì)網(wǎng)絡(luò)安全、可靠地運(yùn)行，將起到很重要的作用。實(shí)際上，網(wǎng)絡(luò)安全策略是一個(gè)綜合,要從可用性、實(shí)用性、完整性、可靠性和保密性等方面綜合考慮，才能得到有效的安全策略。Mr.ruiwu@防火墻的邏輯結(jié)構(gòu)示意圖

1、什么是防火墻

為了防止病毒和黑客，可在該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng)，豎起一道用來(lái)阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵的安全屏障，其作用與古代防火磚墻有類似之處，人們把這個(gè)屏障就叫做“防火墻”，其邏輯結(jié)構(gòu)如下圖所示。防火墻技術(shù)

外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)Mr.ruiwu@防火墻的基本概念2、防火墻的基本特性

①所有內(nèi)部和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻。②只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻。③防火墻本身不受各種攻擊的影響。

3、防火墻的基本準(zhǔn)則

⑴過(guò)濾不安全服務(wù)：防火墻應(yīng)封鎖所有的信息流,然后對(duì)希望提供的安全服務(wù)逐項(xiàng)開(kāi)放，把不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。

⑵過(guò)濾非法用戶和訪問(wèn)特殊站點(diǎn)：防火墻允許所有用戶和站點(diǎn)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)，然后網(wǎng)絡(luò)管理員按照IP地址對(duì)未授權(quán)的用戶或不信任的站點(diǎn)進(jìn)行逐項(xiàng)屏蔽。Mr.ruiwu@防火墻的基本功能

1、作為網(wǎng)絡(luò)安全的屏障

防火墻作為阻塞點(diǎn)、控制點(diǎn)，能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。

2、可以強(qiáng)化網(wǎng)絡(luò)安全策略

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。

3、對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)

所有的外部訪問(wèn)都經(jīng)過(guò)防火墻時(shí)，防火墻就能記錄下這些訪問(wèn)，為網(wǎng)絡(luò)使用情況提供統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑信息時(shí)防火墻能發(fā)出報(bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

4、可以防止內(nèi)部信息的外泄

利用防火墻可以實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。Mr.ruiwu@防火墻的基本類型1、網(wǎng)絡(luò)級(jí)防火墻（NetworkGateway）網(wǎng)絡(luò)級(jí)防火墻主要用來(lái)防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來(lái)非法的入侵。包過(guò)濾路由器的工作原理示意圖內(nèi)部網(wǎng)絡(luò)物理層分組過(guò)濾規(guī)則數(shù)據(jù)鏈跑層Internet外部網(wǎng)絡(luò)網(wǎng)絡(luò)層物理層數(shù)據(jù)鏈跑層網(wǎng)絡(luò)層包過(guò)濾路由器Mr.ruiwu@防火墻的基本類型

2、應(yīng)用級(jí)防火墻（ApplicationGateway）

這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢。應(yīng)用級(jí)代理工作原理下圖所示。應(yīng)用級(jí)代理工作原理示意圖內(nèi)部網(wǎng)絡(luò)真正服務(wù)器代理服務(wù)器實(shí)際的連接實(shí)際的連接外部網(wǎng)絡(luò)客戶虛擬的連接Internet防火墻Mr.ruiwu@防火墻的基本類型

3、電路級(jí)防火墻（Gateway）

電路級(jí)防火墻也稱電路層網(wǎng)關(guān),是一個(gè)具有特殊功能的防火墻。電路級(jí)網(wǎng)關(guān)只依賴于TCP連接，并不進(jìn)行任何附加的包處理或過(guò)濾。與應(yīng)用級(jí)防火墻相似,電路級(jí)防火墻也是代理服務(wù)器,只是它不需要用戶配備專門的代理客戶應(yīng)用程序。另外,電路級(jí)防火墻在客戶與服務(wù)器間創(chuàng)建了一條電路,雙方應(yīng)用程序都不知道有關(guān)代理服務(wù)的信息。

4、狀態(tài)監(jiān)測(cè)防火墻（StatefuinspectionGateway）

狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接,狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則,允許符合規(guī)則的連接通過(guò),并在內(nèi)存中記錄下該連接的相關(guān)信息,生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包,只要符合狀態(tài)表就可以通過(guò)。Mr.ruiwu@防火墻的基本結(jié)構(gòu)

1、雙宿主機(jī)網(wǎng)關(guān)（DualHomedGateway）雙宿主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻,其中一個(gè)是網(wǎng)卡,與內(nèi)網(wǎng)相連；另一個(gè)可以是網(wǎng)卡、調(diào)制解調(diào)器或ISDN卡。雙宿主機(jī)網(wǎng)關(guān)的弱點(diǎn)是一旦入侵者攻入堡壘主機(jī)并使其具有路由功能，則外網(wǎng)用戶均可自由訪問(wèn)內(nèi)網(wǎng)。雙宿主機(jī)網(wǎng)關(guān)工作原理圖如圖7-13所示。雙宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)Mr.ruiwu@防火墻的基本結(jié)構(gòu)

2、屏蔽主機(jī)網(wǎng)關(guān)（ScreenedHostGateway）

⑴單宿堡壘主機(jī)：是屏蔽主機(jī)網(wǎng)關(guān)的一種簡(jiǎn)單形式,單宿堡壘主機(jī)只有一個(gè)網(wǎng)卡，并與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為可以從Internet上訪問(wèn)的唯一主機(jī)。而Intranet內(nèi)部的客戶機(jī)，可以受控地通過(guò)屏蔽主機(jī)和路由器訪問(wèn)Internet,其工作原理圖如下圖所示。屏蔽主機(jī)網(wǎng)關(guān)單宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)Mr.ruiwu@防火墻的基本結(jié)構(gòu)

⑵雙宿堡壘主機(jī)：是屏蔽主機(jī)網(wǎng)關(guān)的另一種形式,與單宿堡壘主機(jī)相比，雙宿堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)比單宿堡壘主機(jī)更加安全。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)工作原理圖如下圖所示。屏蔽主機(jī)網(wǎng)關(guān)雙宿堡壘主機(jī)Internet雙宿堡壘主機(jī)內(nèi)網(wǎng)Mr.ruiwu@防火墻的安全標(biāo)準(zhǔn)與產(chǎn)品

1、防火墻的安全標(biāo)準(zhǔn)

⑴Secure/WAN（S/WAN）標(biāo)準(zhǔn)⑵FWPD（FireWallProductDeveloper）聯(lián)盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)

2、常見(jiàn)的防火墻產(chǎn)品Mr.ruiwu@網(wǎng)絡(luò)病毒的類型

1、GPI（GetPasswordI）病毒

GPI病毒是由歐美地區(qū)興起的專攻網(wǎng)絡(luò)的一類病毒，該病毒的威力在于“自上而下”，可以“逆流而上”的傳播。

2、電子郵件病毒由于電子郵件的廣泛使用，E-mail已成為病毒傳播的主要途徑之一。

3、網(wǎng)頁(yè)病毒網(wǎng)頁(yè)病毒主要指Java及ActiveX病毒，它們大部分都保存在網(wǎng)頁(yè)中，所以網(wǎng)頁(yè)也會(huì)感染病毒。

4、網(wǎng)絡(luò)蠕蟲(chóng)程序是一種通過(guò)間接方式復(fù)制自身的非感染型病毒，它的傳播速度相當(dāng)驚人，給人們帶來(lái)難以彌補(bǔ)的損失。Mr.ruiwu@網(wǎng)絡(luò)管理技術(shù)

1、網(wǎng)絡(luò)管理的定義網(wǎng)絡(luò)管理是一項(xiàng)復(fù)雜的系統(tǒng)工程,它涉及到以下3個(gè)方面。

⑴網(wǎng)絡(luò)服務(wù)提供：是指向用戶提供新的服務(wù)類型、增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能等。

⑵網(wǎng)絡(luò)維護(hù)：是指網(wǎng)絡(luò)性能監(jiān)控、故障報(bào)警、故障診斷、故障隔離與恢復(fù)等。

⑶網(wǎng)絡(luò)處理：是指網(wǎng)絡(luò)線路、設(shè)備利用率、數(shù)據(jù)的采集、分析，以及提高網(wǎng)絡(luò)利用率的各種控制。

2、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化

在ISO的OSI-RM的基礎(chǔ)上，由AT&T、英國(guó)電信等100多著名大公司組成的OSI/NMF(網(wǎng)絡(luò)管理論壇）定義了OSI網(wǎng)絡(luò)管理框架下的5個(gè)管理功能區(qū)域，并形成了多項(xiàng)協(xié)議。7.6.1網(wǎng)絡(luò)管理的基本概念Mr.ruiwu@網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)

被管系統(tǒng)管理信息庫(kù)進(jìn)程管理代理被管對(duì)象管理系統(tǒng)管理協(xié)議通知執(zhí)行管理操作通知操作圖7-24網(wǎng)絡(luò)管理系統(tǒng)邏輯模型1、網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型

⑴被管對(duì)象：經(jīng)過(guò)抽象的網(wǎng)絡(luò)元素，對(duì)應(yīng)于網(wǎng)絡(luò)中具體可以操作的數(shù)據(jù)。⑵管理進(jìn)程：負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行全面管理與控制的軟件。⑶管理信息庫(kù)：可看作為管理進(jìn)程的一部分,用于記錄網(wǎng)絡(luò)中被管理對(duì)象的狀態(tài)參數(shù)值。⑷管理協(xié)議：負(fù)責(zé)在管理系統(tǒng)與被管對(duì)象之間傳遞命令和負(fù)責(zé)解釋管理操作命令。Mr.ruiwu@網(wǎng)絡(luò)管理的邏輯結(jié)構(gòu)圖7-25Internet網(wǎng)絡(luò)管理邏輯模型2、Internet網(wǎng)絡(luò)管理邏輯模型由于TCP/IP的廣泛使用，Internet網(wǎng)絡(luò)管理模型也受到了廣泛的重視，幾乎成了事實(shí)上的國(guó)際標(biāo)準(zhǔn)。Internet的網(wǎng)絡(luò)管理模型如圖7-25所示。

這種管理機(jī)構(gòu)能為管理進(jìn)程提供透明的管理環(huán)境,一個(gè)外部代理能夠管理多個(gè)網(wǎng)絡(luò)資源。網(wǎng)絡(luò)管理進(jìn)程（網(wǎng)控中心）管理代理被管對(duì)象管理代理被管對(duì)象外部代理被管對(duì)象Mr.ruiwu@ISO網(wǎng)路管理功能域

配置管理性能管理計(jì)費(fèi)管理安全管理故障管理系統(tǒng)管理功能：對(duì)象管理狀態(tài)管理關(guān)系屬性日志控制負(fù)荷監(jiān)測(cè)告警報(bào)告事件報(bào)告測(cè)試管理/測(cè)試報(bào)告記賬表安全審查追蹤等圖7-26OSI網(wǎng)絡(luò)管理功能模塊之間的關(guān)系

為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的所有對(duì)象進(jìn)行管理，OSI定義了網(wǎng)絡(luò)管理統(tǒng)一的國(guó)際性標(biāo)準(zhǔn)（5個(gè)基本功能域），基本模塊的相互關(guān)系如圖7-26所示。Mr.ruiwu@ISO網(wǎng)路管理功能域

1、配置管理（ConfigurationManagement，CM）配置管理是ISO網(wǎng)絡(luò)管理功能域中的第一個(gè)管理模塊,它具有以下4項(xiàng)基本功能。

1配置信息具有自動(dòng)獲取功能：一個(gè)大型網(wǎng)絡(luò)需要管理的設(shè)備很多，因此，網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動(dòng)獲取的功能。2具有自動(dòng)配置功能：通過(guò)網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)設(shè)置配置信息、自動(dòng)登錄到設(shè)備進(jìn)行配置的信息、修改管理性能配置信息。3配置一次性檢查：在網(wǎng)絡(luò)配置中，對(duì)網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由器信息配置和檢查。4用戶操作記錄功能：在配置管理中對(duì)用戶操作進(jìn)行記錄并保存,以便管理人員隨時(shí)查看用戶在特定時(shí)間進(jìn)行特定配置操作。Mr.ruiwu@ISO網(wǎng)路管理功能域2、性能管理（PerformanceManagement，PM）性能管理的功能是負(fù)責(zé)監(jiān)視整個(gè)網(wǎng)絡(luò)的性能，性能管理的目標(biāo)是收集和統(tǒng)計(jì)數(shù)據(jù)。性能管理主要包括以下內(nèi)容：

1

信息收集：要實(shí)現(xiàn)性能管理，首先必須要從被管對(duì)象中收集與性能有關(guān)的那些數(shù)據(jù)，然后進(jìn)行信息統(tǒng)計(jì)、分析和監(jiān)測(cè)。2信息統(tǒng)計(jì)：統(tǒng)計(jì)被管對(duì)象與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生、記錄和維護(hù)。3信息分析：分析被管的性能數(shù)據(jù)和網(wǎng)絡(luò)線路質(zhì)量，以判斷是否處于正常水平，為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)。4信息監(jiān)測(cè)：監(jiān)測(cè)網(wǎng)絡(luò)對(duì)象的性能，為每個(gè)重要的變量決定一個(gè)合適的性能閥值，超過(guò)該限值時(shí)將報(bào)警發(fā)送到網(wǎng)絡(luò)管理系統(tǒng)。Mr.ruiwu@ISO網(wǎng)路管理功能域3、故障管理（FaultManagement，F(xiàn)M）故障管理是在系統(tǒng)出現(xiàn)異常情況下的管理操作，找出故障的位置并進(jìn)行恢復(fù)。故障管理包括以下4個(gè)步驟。

1檢測(cè)故障：通過(guò)檢測(cè)來(lái)判斷故障類型或被動(dòng)接收網(wǎng)絡(luò)上的各種事件信息，對(duì)其中的關(guān)鍵部分保持跟蹤,并生成網(wǎng)絡(luò)故障記錄。2隔離故障：通過(guò)診斷、測(cè)試，識(shí)別故障根源，對(duì)根源故障進(jìn)行隔離。3修復(fù)故障：對(duì)不嚴(yán)重的簡(jiǎn)單故障由網(wǎng)絡(luò)設(shè)備進(jìn)行檢測(cè)、診斷和恢復(fù)；對(duì)于嚴(yán)重的故障，報(bào)警提醒管理者進(jìn)行維修和更換。4記錄故障監(jiān)測(cè)結(jié)果：記錄排除故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯(cuò)行記錄，以反映故障整個(gè)過(guò)程的各個(gè)方面。Mr.ruiwu@ISO網(wǎng)路管理功能域4、安全管理（SecurityManagement，SM）安全管理模塊的功能分為網(wǎng)絡(luò)管理本身的安全和被管網(wǎng)絡(luò)對(duì)象的安全。安全管理的功能主要包括以下4個(gè)方面：

1授權(quán)管理：分配權(quán)限給所請(qǐng)求的實(shí)體。2訪問(wèn)控制管理：訪問(wèn)控制管理：分配口令、進(jìn)入或修改訪問(wèn)控制表和能力表。3安全管理：安全檢查跟蹤和事件處理。4密鑰管理：進(jìn)行密鑰分配。Mr.ruiwu@ISO網(wǎng)路管理功能域

5、計(jì)費(fèi)管理（AccountingManagement，AM）計(jì)費(fèi)管理模塊的功能是在有償使用的網(wǎng)絡(luò)上統(tǒng)計(jì)有哪些用戶，使用何種信道，傳輸多少數(shù)據(jù)，訪問(wèn)什么資源信息，即統(tǒng)計(jì)不同線路和各類資源的利用情況。計(jì)費(fèi)管理的目標(biāo)是提高網(wǎng)絡(luò)資源的利用率，以便使一個(gè)或一組用戶可以按規(guī)則利用網(wǎng)絡(luò)資源。由于網(wǎng)絡(luò)資源可以根據(jù)其能力的大小而合理地分配，這樣的規(guī)則使網(wǎng)絡(luò)故障降低到最小限度，也可以使所有用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)更加公平。為了實(shí)現(xiàn)合理計(jì)費(fèi)，計(jì)費(fèi)管理必須和性能管理相結(jié)合。計(jì)費(fèi)管理包括：計(jì)費(fèi)數(shù)據(jù)采集、數(shù)據(jù)管理與數(shù)據(jù)維護(hù)、政策比較與決策支持、數(shù)據(jù)分析與費(fèi)用計(jì)算等。Mr.ruiwu@簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

為了更好地進(jìn)行網(wǎng)絡(luò)管理，許多國(guó)際標(biāo)準(zhǔn)化組織都提出了自己的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理方案，網(wǎng)絡(luò)管理協(xié)議主要有CMIP、SNMP和CMOT三種。目前使用最廣泛的網(wǎng)絡(luò)管理協(xié)議是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）。

1、SNMP的結(jié)構(gòu)為了提高網(wǎng)絡(luò)管理系統(tǒng)的效率，SNMP在傳輸層采用了用戶數(shù)據(jù)報(bào)協(xié)議（UDP)，針對(duì)Internet飛速發(fā)展和協(xié)議的不斷擴(kuò)充和完善，SNMP盡可能地降低管理代理的軟件成本和資源要求,提供較強(qiáng)的遠(yuǎn)程管理,以適應(yīng)對(duì)Internet資源的管理。并且,SNMP結(jié)構(gòu)具有可擴(kuò)充性,以適應(yīng)網(wǎng)絡(luò)系統(tǒng)的發(fā)展。SNMP的結(jié)構(gòu)如圖7-27所示。Mr.ruiwu@簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議圖7-27SNMP的功能結(jié)構(gòu)主機(jī)管理代理MIB網(wǎng)關(guān)MIB終端服務(wù)器管理代理MIB管理進(jìn)程管理代理

⑴管理進(jìn)程（manager）：協(xié)助網(wǎng)絡(luò)管理員對(duì)整個(gè)網(wǎng)絡(luò)或網(wǎng)絡(luò)中的設(shè)備進(jìn)行日常管理的一組軟件，一般運(yùn)行在網(wǎng)絡(luò)管理站（網(wǎng)絡(luò)管理中心）的主機(jī)上。

⑵管理代理（agent）：是一種在被管理的網(wǎng)絡(luò)設(shè)備中運(yùn)行的軟件，負(fù)責(zé)執(zhí)行管理進(jìn)程的管理操作。

⑶管理信息庫(kù)：是一個(gè)概念上的數(shù)據(jù)庫(kù),由管理對(duì)象組成,每個(gè)管理代理屬于本地的管理對(duì)象，各管理代理控制的管理對(duì)象共同組成全網(wǎng)管理信息庫(kù)。Mr.ruiwu@簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議圖7-28SNMP工作方式示意圖中心MIB本地MIB本地MIB應(yīng)答應(yīng)答請(qǐng)求請(qǐng)求AgentManagerAgent2、SNMP的工作方式管理進(jìn)程（Manager）和管理代理（Agent）之間主要以請(qǐng)求/應(yīng)答方式工作。Manager向Agent發(fā)出請(qǐng)求命令，獲取或設(shè)置網(wǎng)絡(luò)元素（被管設(shè)備）參數(shù)；Agent向Manager返回“應(yīng)答”響應(yīng)，報(bào)告“請(qǐng)求”的執(zhí)行結(jié)果。Interne