分享
分享赚钱 收藏 举报 版权申诉 / 104

类型网络管理、安全与存储备份技术(计算机系统集成).ppt

  • 上传人:weiwoduzun
  • 文档编号:4194247
  • 上传时间:2018-12-14
  • 格式:PPT
  • 页数:104
  • 大小:3.30MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    网络管理、安全与存储备份技术(计算机系统集成).ppt
    资源描述:

    1、1,第五章 网络管理、安全与存储备份技术,5.1 计算机网络安全概述5.2 网络安全技术5.3 网络安全体系设计5.4 网络管理概述5.5 网络管理系统5.6 网络存储备份技术,2,5.1 计算机网络安全概述,一.计算机安全 1.定义(国际标准化组织ISO) 计算机安全指为保护数据处理系统而采取的技术和管理的安全措施,保护计算机硬件、软件和数据不会因偶尔或故意的原因而遭到破坏、更改和泄密。 2.主要内容 计算机硬件安全性-计算机硬件设备、安装和配置的安全性;确保计算机安全的环境条件,包括机房、电源等。 软件安全性-保护计算机系统软件、应用软件和开发工具,使它们不被非法修改、复制和感染病毒。 数

    2、据安全性-保护数据不被非法访问,保护数据的完整性,数据保密等。 计算机运行安全性-计算机运行遇到突发事件(如停电)的安全处理等。,3,3.计算机安全等级 TCSEC -Trusted Computer System Evaluation Criteria 1985年,美国国防部桔皮书TCSEC(可信计算机系统评测标准为计算机安全产品的评测提供测试和方法,指导信息安全产品的制造和应用。TCSEC定义系统安全五个要素 . 系统的安全策略 . 系统的可审计机制 . 系统安全的可操作性 . 系统安全的生命期保证 . 针对以上系统安全要素而建立并维护的相关文件,5.1 计算机网络安全概述,4,TCSEC

    3、定义系统安全等级来描述以上所有要素的安全特性 . D 最低保护minimal protection,如未加任何实际的安全措施 . C 被动的自主访问策略independent access policy enforced . B 被动的强制访问策略mandatory access policy enforced . A 形式化证明的安全formally proven security . 每个等级之内还可细分这些标准能够被用来衡量计算机平台(如操作系统及其基于的硬件)的安全性。如标准的UNIX(只有login口令文件保护等安全措施)被定为C1级,DOS被定为D1级。,5.1 计算机网络安全概述

    4、,5,5.1 计算机网络安全概述,TCSEC具体分4类7级,其中D级不具有最低限度安全的等级,C1与C2级具有最低限度安全的等级,满足大多数应用;B1和B2级具有中等安全保护能力的等级,满足大部分重要应用;B3和A1级具有最高安全等级,费用高,适用安全性要求极高的应用。,6,二.网络安全 1.定义:计算机网络安全指通过采取各种技术和管理的安全措施,确保网络数据的可用性、完整性和保密性,目的确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄漏等。 美国计算机安全专家提出新的安全框架,解释各种网络安全问题。 保密性(Confidentiality)-指防止静态信息被非授权访问和防止动态信息被

    5、截取解密。 完整性(Integrity)-指信息在存储或传输时不被修改、破坏,或信息包丢失、乱序等。对于动态传输的信息,确保信息完整性的方法大多是收错重传、丢弃后续包等,但黑客的攻击可改变信息包的内容。 可靠性(Reliability)/真实性(Authenticity)-指信息的可信度,包括信息的完整性、准确性和发送人的身份证实等方面。 实用性(Utility)-即信息加密密钥不可丢失(不是泄密),丢失密钥的信息就丢失信息的实用性。 可用性(Availability)-一般指主机存放静态信息的可用性和可操作性。病毒常破坏信息的可用性,使系统不能正常运行,数据文件面目全非。 占有性(Posse

    6、ssion)-指存储信息的主机、磁盘等信息载体被盗用,导致对信息占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密、提供物理和逻辑的访问限制方法,以及维护和检查有关盗窃文件的审计记录、使用标签等。,7,三.网络不安全原因 -网络自身的安全缺陷 协议本身泄漏口令 连接成为被盗用的目标 服务器本身需要读写特权 基于地址 密码保密措施不强 有些业务本身尚未完善,难于区分出错原因 有些业务设置复杂,很难完善地设立 使用CGI的业务 -网络开放性 业务基于公开的协议 远程访问使各种攻击无需到现场就能得手 连接是基于主机上的社团彼此信任的原则 -黑客(HACKER) 定义:“非法入侵者” 起源:

    7、60年代 目的:基于兴趣非法入侵; 基于利益非法入侵; 信息战.,8,四.攻击的类型 口令破解:攻击者通过获取口令文件,然后运用口令破解工具获得口令,也可通过猜测或窃听等方式获取口令. 连接盗用:在合法的通信连接建立后,攻击者通过阻塞或摧毁通信的一方接管已经过认证建立起来的连接,从而假冒被接管方与对方通信. 服务拒绝:攻击者直接发动攻击,也可通过控制其它主机发起攻击使目标瘫痪,如发送大量的数据洪流阻塞目标. 网络窃听:网络的开放性使攻击者通过直接或间接窃听获取所需信息. 数据篡改:攻击者通过截获并修改数据或重放数据等方式破坏数据的完整性 地址欺骗:攻击者通过伪装成被信任的IP 址等方式骗取目标

    8、信任. 社会工程:攻击者通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息,从而提高攻击成功率. 恶意扫描:攻击者编制或使用现有扫描工具发现目标的漏洞,发起攻击. 基础设施破坏:攻击者通过破坏DNS或路由信息等基础设施,使目标陷于孤立. 数据驱动:攻击者通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标.,9,5.1 计算机网络安全概述,五.安全评价标准,10,部门规章及规范性文件,. 中华人民共和国公安部令第32号 计算机信息系统安全专用产品检测和销售许可证管理办法. 中华人民共和国公安部令第33号 计算机信息网络国际联网安全保护管理办法. 中华人民共和国公安部令第51

    9、号 计算机病毒防治管理办法. 中华人民共和国公共安全行业标准计算机信息系统安全专用产品分类原则,11,行政法规,. 中华人民共和国国务院令147号 中华人民共和国计算机信息系统安全保护条例. 中华人民共和国国务院令第195号 中华人民共和国计算机信息网络国际联网管理暂行规定. 中华人民共和国计算机信息网络 国际联网管理暂行规定实施办法. 中华人民共和国国务院令第273号 商用密码管理条例. 中华人民共和国国务院令第291号 中华人民共和国电信条例,12,安全标准,. GB/T 15843-1999 信息技术安全技术实体鉴别. GB/T 15851-1995 信息技术安全技术带消息恢复的安全技术

    10、要求. GB/T 15852-1995 信息技术安全技术用块密码算法做密码校验函数的数据完整性机制. GB/T 15852-1995 信息技术安全技术密钥管理. GB/T 15852-1995 信息技术安全技术带附录的数字签名. GB/T 15852-1995 信息技术安全技术抗抵赖,13,安全标准,GB/T 17900-1999 网络代理服务器安全技术要求GB/T 18018-1999 路由器安全技术要求GB/T 18019-1999 信息技术包过滤防火墙安全技术要求GB/T 18020-1999 信息技术应用级防火墙安全技术要求,14,安全标准,GB17859-1999 计算机信息系统安全

    11、保护等级划分准则 第一级用户自主保护级 第二级系统审计保护级 第三级安全标记保护级 第四级结构化保护级 第五级访问验证保护级,15,信息系统安全保密研究特点,信息系统的组成复杂,覆盖面广;信息处理既有集中式又有分布式; 构成其基础的计算机操作系统和网络可能同构或异构;实现计算机联接的网络结构可能多种拓扑结构的混合;所用的网络组件繁杂,通信介质多种多样。因此信息系统的安全保密必然是所有安全保密学科的综合运用的结果。 信息系统安全保密研究的对象是系统,系统内所有元素或成份都是研究的内容。从系统内看研究内容包括通信安全( COMESC), 计算机安全,操作安全(OPSEC), 信息安全,人事安全,工

    12、业安全,资源保护和实体安全。从系统外看, 研究内容还包括管理和法律两个方面,两者综合构成一个合理的研究结构和层次。 按照系统平衡的观点,信息系统安全保密追求均匀性,因而各子项的研究深度要相互协调,不能重此轻彼.,16,5.1 计算机网络安全概述,六.国标主要安全指标-涵盖了不同级别的安全要求 身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径、可信恢复等.七.网络主要安全指标 身份认证-主要考虑用户主机和节点的身份认证 访问控制-采用自主访问控制策略 数据完整性-考虑存储传输和使用中不被篡改和泄密 审计-主要考虑访问的主体客体时间成败情况等 隐蔽

    13、信道分析-主要考虑采用安全监控和安全漏洞检测来加强 对隐蔽信道的防范,17,安全技术架构,18,5.2 网络安全技术,安全理论与技术 密码理论与技术加密标记 认证识别理论与技术 授权与访问控制理论与技术 审计追踪技术 网间隔离与访问代理技术 反病毒技术,19,5.2 网络安全技术,一.密码技术 1.数据加密密码:是一组含有参数的变换. 明文(plaintext) :作为加密输入的原始信息. 加密算法:变换函数. 密文(ciphertext):明文变换结果. 密钥(key):参与变换的参数.,20,5.2 网络安全技术,2.信息加密算法 对称算法:加密密钥和解密密钥相同 数据加密标准DES是一种

    14、对二元数据进行加密的算法,数据分组长度为64位,密文分组长度也是64位,使用的密钥为64位,有效密钥长度为56位(有8位用于奇偶校验).解密时的过程和加密时相似,但密钥的顺序正好相反.DES的整个体制是公开的,安全性完全靠密钥的保密. DES算法是在一个初始置换IP后,明文组被分成右半部分和左半部分,每部分32位以L0和R0表示,然后是16轮迭代的乘积变换,将数据和密钥结合起来.16轮之后左右两部分连接起来,经过一个初始逆置换IP-1, 算法结束. 初始置换与初始逆置换在密码意义上作用不大,其作用在于打乱原输入x的ASCII码字划分关系,并将原来明文的校验位变成置换输出的一个字节.,21,5.

    15、2 网络安全技术,对称密钥的分组密码算法 -一种是对DES进行复合,强化其抗攻击能力. -另一种是开辟新的方法,即象DES那样加解密速度快,又具有抗差分等攻击的能力.这些算法有三重DES,IDEA, RC5, RC6等 非对称算法(公钥密码/双钥密码) 有两个密钥,公用密钥和私用密钥。在进行数据通信时,发送方利用公用密钥将信息加密,对方收到信息后使用私人密钥进行解密。常用算法RSA是基于数论中素数因数分解的难度,若整数n达到100位(十进制)以上,则分解成大素数因子p和q及其困难,即不能在有效时间内破译RSA。RSA系统中大素数的生成通常有两种方法:构造法与随机法。构造法因其素数的产生具有规律

    16、性、随机性较差而不常用。,22,5.2 网络安全技术,3.数字签名算法 信息加密函数作认证,23,5.2 网络安全技术,双密钥仲裁数字签名技术 (1) XA: IDx | EKRxIDx | EKUy (EKRxM) X 对消息M双重加密首先用X的私有密钥KRx ,然后用Y的公开密钥KUy,形成一个签名的保密的消息.然后将该信息以及X的标识符一起用KRx签名后,与IDx 一起发送给A 这种内部双重加密的消息对A以及对除Y以外的其它人都是安全的. (2) AY: EKRaIDx| EKUyEKRxM | T A检查X的公开/私有密钥对是否仍然有效,是,则认证消息,并将包含IDx, 双重加密的消息

    17、和时间戳构成的消息用KRa签名后发送给Y.,24,5.2 网络安全技术,二.系统安全技术 1.身份认证-证实客户的真实身份与其所声称的身份是否相符的过程 依据: Something the user know (所知) 密码 口令等 Something the user possesses (拥有) 身份证 护照 密钥盘等 Something the user is or (How he behaves) (特征) 指纹 笔迹 声纹 虹膜 DNA等 方式:口令认证 挑战/应答方式 Kerberos认证,25,5.2 网络安全技术,2.访问控制和授权:针对越权使用资源的防御措施 自主访问控制-根

    18、据主体的身份和授权决定访问模式 强制访问控制-将主体和客体分级,根据主体和客体的级别标记决定访问模式.如绝密级,机密级,秘密级,无密级. 基于角色的访问控制-用户集+权限集 角色-A role can be defined as a set of actions and responsibilities associated with a particular working activity 3.审计-根据一定的策略,通过记录分析历史操作事件,发现和改进系统性能和安全,26,5.2 网络安全技术,三.网络安全技术 1.防火墙定义位于两个(或多个)网络间实施网间访问控制的一组组件的集合,满足以

    19、下条件: 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙 防火墙自身应对渗透(peneration)免疫 2.为什么需要防火墙保护内部不受来自Internet的攻击为了创建安全域为了增强机构安全策略,27,5.2 网络安全技术,3.防火墙体系结构双宿/多宿主机模式(dual-homed/multi-homed)屏蔽主机模式屏蔽子网模式,28,29,30,31,32,5.2 网络安全技术,4.防火墙相关技术静态包过滤动态包过滤应用程序网关(代理服务器)电路级网关虚拟专用网,33,5.2 网络安全技术,静态包过滤 根据流经该设备的数据包地址信息决定是否允许 该

    20、数据包通过,判断依据: 数据包协议类型TCP UDP ICMP IGMP等 源目的IP地址 源目的端口FTP HTTP DNS等 IP选项源路由记录路由等 TCP选项SYN ACK FIN RST等 其它协议选项ICMP ECHO ICMP ECHO REPLY等 数据包流向in或out 数据包流经网络接口eth0 eth1,34,35,36,5.2 网络安全技术,动态包过滤 -Check point一项称为“Stateful Inspection”的技术 -可动态生成/删除规则 -分析高层协议 应用程序网关 -网关理解应用协议可以实施更细粒度的访问控制 -对每一类应用都需要一个专门的代理 -

    21、灵活性不够,37,5.2 网络安全技术,电路级网关 -拓扑结构同应用程序网关相同 -接收客户端连接请求代理客户端完成网络连接 -在客户和服务器间中转数据 -通用性强 电路级网关实现方式 -简单重定向 -根据客户的地址及所请求端口将该连接重定向到指定的服务器地址及端口上 -对客户端应用完全透明 -在转发前同客户端交换连接信息 -需对客户端应用作适当修改 电路级网关的一些实现 Socks Winsock Dante,38,39,40,5.2 网络安全技术,5.防火墙产品 著名厂家Check Point,Sun Soft,IBM,Trusted Information System等,国内常见防火墙

    22、产品有Sun Soft公司的 Solstice Firewall-1,该软件核心是Check Point公司开发的同名产品。 Firewall-1由包过滤模块和控制模块两部分组成,包过滤模块的工作独立于控制模块,相当于在链路层和网络层之间插入一个数据包过滤器,截获出入网点的所有数据包,然后根据用户设置的安全规则决定是转发/阻塞该数据包;控制模块可监测、控制多个包过滤模块,包过滤模块和控制模块可安装在同一台主机/不同主机上。Firewall-1包括应用级过滤能力,将Firewall-1所在网关配置成混合型网关,由应用网关运行专用程序代码对应用级数据包进行过滤,利用代理服务代替客户向服务器发出请求

    23、和为用户提供认证服务。Firewall-1还支持DES等加密技术,既是一个公共防护系统,也是一个专用防卫系统,达到 Unix级防护能力。,41,5.3 网络安全体系设计,一.安全方案设计要素 明确的需求分析 合理的设计原则 可信的安全等级 良好的指导方法 全面的理论模型 正确的技术选择 可靠的支撑产品 实用的功能性能 可行的评价措施 完善的管理手段 长远的维护升级,42,安全设计总目标 保障网络安全可靠、高效、可控、持续地运行 保障信息机密、完整、不可否认地传输和使用 需要保护的对象 安全层次分析 隐患分析,43,5.3 网络安全体系设计,1.安全需求分析 -安全层次分析,44,5.3 网络安

    24、全体系设计,-安全监测 监测方法异常检测系统(Anomaly)统计方法 预测模式生成法 神经网络法滥用检测系统(Misuse)专家系统 模型匹配 状态转换分析混合检测系统(Hybrid) 监测要求实时 全面 准确,45,46,-安全防护(需要保护的对象) 硬件 路由器 工作站 服务器 数据设备等 软件 操作系统 应用软件 源代码 实用程序 数据 电子邮件 办公自动化 信息发布 业务系统 -安全评估 风险分析 评估标准 验收指标,5.3 网络安全体系设计,47,5.3 网络安全体系设计,2.设计原则 先进与实用相统一 投入与产出相匹配-国际惯例占总投入的10%-15% 成熟与升级相衔接(时效性)

    25、 3.网络安全设计方法 逻辑层设计(应用透明性) 最小实体保护 产品与技术分离 4.网络安全等级设计 应达到等级: B1级 理由:C2级自主访问,安全性低B1级提供安全标记+强制访问控制B2级要求确认隐蔽通道,难于实现,48,5.3 网络安全体系设计,5.安全技术选择 - 根据网络层次 链路层 链路加密技术 网络层 包过滤 IPSEC协议 VPN. TCP层 SSL协议 基于公钥的认证和对称钥加密技术 应用层 SHTTP PGP 开发专用协议 - 根据网络拓扑 网络隔离 防火墙 访问代理 安全网关 入侵监测 日志审计入侵检测 漏洞扫描 追踪,49,5.3 网络安全体系设计,50,51,5.3

    26、网络安全体系设计,6.安全管理 加强内部人员的安全知识培训及职业道德教育 制定安全政策和法规 从技术上实现系统管理分权制约 从技术上保证口令的安全性 从程序上规范安全管理,52,5.3 网络安全体系设计,7.安全升级 跟踪和研究网络攻击手段 及时更新和使用安全产品的升级版本 及时采纳新出现的必须的安全产品 应在年度运行预算中留出安全保障和维护经费 保持与安全技术支持单位的良好合作关系,53,5.3 网络安全体系设计,二.设计实例(典型局域网安全设计),54,5.3 网络安全体系设计,1.代理服务器,55,5.3 网络安全体系设计,2.安全客户,56,5.3 网络安全体系设计,3.代理接口安全,

    27、57,5.3 网络安全体系设计,4.广域传输安全,58,5.3 网络安全体系设计,5.拨号接入安全,59,60,5.4 网络管理概述,一.网络管理定义 网络管理指用软件手段对网络进行配置监视和控制,以保证网络的正常运行,减少故障发生的概率,最终使网络性能达到最优,减少网络维护费用。 网络管理分为两类。第一类网络应用程序、用户帐号和存取权限的管理,是与软件相关的网络管理;第二类构成网络的硬件组成,包括工作站、服务器、网卡、路由器、网桥(交换机)和集线器。通常网络管理指第二类,即网络硬件设备的管理。 ISO定义:网络管理指规划、监督、设计和控制网络资源的使用和网络的各种活动,使网络的性能达到最优。

    28、,61,二.网络管理功能 1用户管理,管理用户标识、用户账户、用户口令、文件目录、地址和用户个人信息以及工作站信息等。 2配置管理,监视网络的运行环境和状态,改变和调整网络设备的配置,确保网络有效可靠地运行。包括识别被管网络的拓扑结构,监视网络设备的运行状态和参数,自动修改指定设备的配置,动态维护网络等。 3性能管理,指通过监控网络的运行状态调整网络性能参数来改善网络的性能,确保网络平稳运行,包括网络吞吐量、响应时间、线路利用率、网络可用性等参数。 4故障管理,包括故障检测、故障诊断和故障恢复。通过故障检测确定发生何故障,位于何处,找出发生故障的原因和解决办法;还包括避免发生故障,提出减少故障

    29、的措施。 5计费管理,包括统计用户使用网络资源的情况,根据资费标准计算使用费用;统计网络通信资源和信息资源的使用情况,分析预测网络业务量。 6安全管理,防止用户网络资源的非法访问,确保网络资源和网络用户的安全。,62,5.4 网络管理概述,3.网络管理标准化组织 ISO(International Standardization Organization): 1947年成立,总部设在日内瓦,世界最大的国际标准化机构。ISO制定网络管理标准化始于1979年,其标准有公共管理信息服务协议CMIS(Common Management Information Service Protocol)和公共管

    30、理信息协议CMIP(Common Management Information Protocol)。 国际电联电信标准化部门ITU-T: ITU(International Telecommunication Union)成立于 1934年,ITU电信标准由其电信标准化部门ITU-T制定。ITU-T制定的网络管理标准为电信管理网 TMN(Telecommunication Management Network)。 IETF(Internet Engineering Task Force)工程任务组:制定两个基于 TCP/IP的网络管理协议:简单网络管理协议 SNMP(Simple Networ

    31、k Management Protocol)和公共管理信息服务与协议CMOT(Common Management information service and protocol Over TCP/IP)。SNMP是目前最流行网络管理协议。,63,ISO/OSI CMIS和CMIP(公共管理信息服务协议和公共管理信息协议) 公共管理信息服务元素CMISE,定义用于网络管理操作的服务元素和参数(变量),负责网络管理信息的逻辑通信,7类服务为: M-EVENT-REPORT服务:用于向服务用户报告发现/发生的事件。 M-GET服务:用于从对等实体中获取管理信息。 M-CANCEL-GET服务:用于

    32、要求对等实体取消以前发送的M-GET请求。 M-SET服务:用于请求另一个管理进程(或管理代理)修改管理对象属性值。 M-ACTION服务:用于一个用户需要请求另一个用户(管理进程或管理代理)对管理对象执行一些操作。 M-CREATE服务:用于用户创建管理对象实例。 M-DELETE服务:用干删除管理对象实例。 公共管理信息协议CMIP,基于OSI七层协议,采用管理者/代理模型,作为CMISE之间的通信协议。规定不同网络管理系统之间的信息交换方式和规则,例如对网络文件进行监控时,管理者只需向代理发出一监控请求,代理自动监视指定的管理者,并在异常情况发生时向管理者报告。,64,简单网络管理协议S

    33、NMP 1990年,IETF制定SNMP V1。 1993年,IETF制定SNMP V2,该版本受到各网络厂商广泛欢迎,并成为事实上的网络管理工业标准。 1999年5月公布SNMP的第三代标准CMOT(Common Management Information Service and Protocol Over TCP/IP),也称 SNMP V3, 实际上是OSI CMIP的TCP/IP版。 SNMP模型 被管理站点: 运行SNMP代理程序,维护一个本地数据库,描述站点的状态和历史,并影响站点的运行。 管理站点: 运行专门的网络管理软件,使用管理协议和被管理站点上的SNMP代理通信,维护管理

    34、信息库。 管理信息库: 每个站点使用一个或多个变量描述自己的状态,这些变量称为“对象(objects)”,所有的对象组成管理信息库MIB。 管理协议(SNMP):管理协议用于管理站点查询和修改被管理站点的状态,被管理站点可使用管理协议向管理站点产生“SNMP陷阱”报告。,65,66,SNMP协议-异常请求/响应协议 即SNMP实体发出请求后不需要等待响应的到来,请求或响应的丢失由发送方负责纠正。 SNMP协议4种基本协议交互过程: 管理进程(或管理者)从管理代理获取管理信息,即管理进程向管理代理发送get-request后,管理代理向管理进程返回相应的管理信息get-response。 管理进

    35、程向管理代理发送get-next-request,管理代理返回get-response,将遍历的部分管理对象结果返回给管理进程。 管理进程向管理代理发送set-request,对管理代理的管理信息库进行写操作,由管理代理完成set操作,管理代理用get-response返回操作结果。 管理代理使用trap向管理进程报告事件,无需响应。,67,公共管理信息服务与协议(CMOT)IETF制定的基于ISO网络管理标准,提供与CMIS相同的服务,适用于TCP/IP网络。CMOT可利用面向连接TCP传输服务和无连接UDP传输服务。 在CMOT体系结构中, LPP(Lightweight Presenta

    36、tion Protocol)为轻量表示协议,其功能将OSI应用层实体的原语映射成TCP或UDP原语,将TCP或UDP提供的服务映射成OSI传输层服务。CMISE、ROSE和ACSE均是OSI应用层协议实体。 CMISE:公共管理信息服务元素,负责网络管理信息的逻辑通信; ACSE:联系控制服务元素,负责建立和拆除两个系统间应用层的通信联系; ROSE:远程操作服务元素,负责建立和拆除应用层的连接;,68,69,4.网络管理模型 网络管理是网络管理者(Manager)与被管理对象代理(Agent)之间利用网络实现信息交换,完成网络管理功能。 管理者从各代理处收集管理信息,进行加工处理后,向代理发

    37、送操作信息,达到对代理进行管理的目的。 代理对对象的管理类似于管理者与代理之间的操作。 网络管理系统由管理者和代理组成,它们一般处于网络的不同节点上,它们之间需要可靠地交换管理信息。管理信息交换要遵守统一的通信规程(称为网络管理协议)。,70,71,5.网络管理层次结构 网络管理应用软件建立在网络管理工具之上,包括计费系统,防火墙等。,72,一.网络管理系统选择原则 能自动发现配置网络的拓扑结构和网络设备。 能自动检测、记录、报告、诊断和控制网络故障或错误。 遵从国际标准,具有良好的兼容性,能管理不同厂商的网络设备,支持第三方应用软件包。 具有很好的开发环境,界面亲切友好,提供API接口,具有

    38、良好的扩展性。提供良好的服务,包括文档、培训等。 具体究竟选用哪种管理软件,还要根据企业计算机网络的具体应用环境确定。,5.5 网络管理系统,73,二.网络管理系统功能 1)自动发现网络拓扑结构和配置:网络管理人员可配置轮询时间查找网络结构和设备、修改网络参数、设置网络节点和网络设备等。 2)告警功能:提供灵活多样告警方式,如电子邮件、声音、显示、光信号等。 3)监控功能:例如 Email服务器的磁盘空间利用率超过90/发生故障时,通知网络管理人员进行处理。 4)监控能力:提供灵活的监控能力,例如监控什么设备,监控什么MIB(管理信息库)变量,根据设备的重要性差异调整监控等级,根据故障的危险程

    39、序调整其处理措施等。 5)灵活性:允许用户增减网络管理的功能。 6)多厂商集成:能管理不同厂商的网络设备,允许第三方软件在其中运行。 7)访问控制:允许网络管理人员设置用户的访问权限。 8)界面友好:使用简便,提供良好的帮助支持,允许用户设置环境。 9)编程接口和开发工具:提供API接口和高效的开发工具,便于用户开发网络管理应用程序,扩展功能。 10)故障记录:提供可靠的故障记录,定期生成运行报告,便于故障分析、跟踪、诊断和处理。,74,三.SNMP网络管理平台-支持SNMP标准 HP Open View-HP公司开发应用最广的网络管理平台,是最早商用综合实用网络管理系统。Open View可

    40、用于SNMP网管系统的开发,也可用于TMN网络管理系统的开发,得到网络厂商的广泛支持。 -自动发现网络拓扑结构,智能性高。一经启动,自动发现缺省的网段,以图标的形式显示网段中的路由器、网关和子网。 -可进行性能分析,用 Open View中的应用软件HP LAN Prob 可进行网络性能分析,查询SNMP MIB I、可监控网络连接故障。 -故障告警,提供多种故障告警方式,如通过图形用户接口配置和显示告警。 -数据分析,提供有效的历史数据分析功能,实时图表显示任何指标的数据分析报告,利用 RMON HP LAN Prob 可增强其数据分析功能。 -多厂商支持,允许其他厂商的网络管理软件和MIB

    41、定义集成到Open View中。,75,四.网络管理工具-作为管理代理 Cisco Works基于SNMP网络管理应用系统,能集成到多种流行的网络管理平台,如 Sun工作站(SunOS和 Solaris)上的 Sun Net Manager,Sun或 HP系统上的 HP Open View,以及 IBM Net View for AIX。 Cisco Works 建立在工业标准平台上,能监控设备状态,维护配置信息,查找故障。 自动安装管理(Auto Install Manager)能通过使用相邻的路由器来远程安装一个新的路由器,使安装任务自动和简单。 与Net View的接口,Cisco Wo

    42、rks Net View Interface是一个单独产品,提供Cisco Works网络管理系统与 IBM Net View之间的双向通信,通过Runcmd命令访问 Cisco Works应用软件。 配置管理(Configuration Management)可访问网络中本地与远程Cisco设备的配置文件,并分析和编辑它们。同时能比较数据库中两个配置文件的内容,以及将设备当前使用的配置和数据库中上一次的配置进行比较。 设备管理(Device Management)创建并维护一个数据库,包括所有网络硬件、软件、操作级别、负责维护设备的人员及相关场地。,76,五.计算机网络管理实施 1网络管理员

    43、:选派技术能力强的网络管理人员专职管理网络。并负责培训用户等工作。 2实施网络管理:选好高素质的网络管理人员并明确责任;制定严格的网络管理规章制度和操作程序;选择合适的网络管理系统;认真抓好培训工作;制定切实可行的网络管理计划和实施方案;建立并维护各种文档。 3布线系统日常维护:室外光缆铺设,对楼内UTP(或STP)综合布线系统和对室外光纤通道的日常维护,一般借助于双绞线测试仪和规程分析仪、信道测试仪等,智能化分析仪器的使用提高布线的管理水平和管理效率。 4关键设备管理:包括网络的主干交换机、中心路由器以及关键服务器。除了通过网管软件实时监测其工作状态外,要做好它们的备份工作。,77,5IP地

    44、址管理:在构建、规划计算机网络时,调查和统计上网业务需求,确定计算机网络规模。目前中小型计算机网络中大多采用C类IP地址,这样,每个IP子网可以拥有200多台计算机(或者网络设备)。 IP地址分配途径:一给工作站分配特定的IP地址;二对某些计算机的IP地址进行动态分配。对于路由器之外的网络设备/各类服务器/经常上网的主机,一般分配一个固定的IP地址;对不经常上网或移动性较强的计算机,采用DHCP协议动态配置IP地址。 6其他管理工作:网络管理员除要维护各种业务数据的可靠性外,还要保证机密数据的安全。因此计算机网络的安全管理又成为网络管理一个重要方面。,78,六.TMN网络管理开发平台简介 计算

    45、机厂商的产品,例如 IBM Tivioli,Sun的 EM,DEC的 Temip,HP的 OpenView等。 专用的网络管理产品,例如 Marben,Dest,Telegenics等。 工具集成环境(TI),提供5种软件集成环境,能激活其他开发工具,并使硬件协调工作,以达到最佳配合。 信息建模工具(IMT),包括管理对象浏览编辑器(MOBE)和管理对象编辑器(MOE)。 通信机制(CI),负责管理者与管理代理之间的通信。 应用开发工具(ADT),向开发者提供用于开发管理者和管理代理的开发工具,包括 C/C+代码生成器、数据库和图形用户界面开发工具等。 面向对象的接口生成器(OOIG),向开发

    46、者提供更简单编程接口。 测试工具(Tester),用于调试开发的应用程序,模拟管理者和管理代理检测其功能。,79,七.网络管理的发展趋势 1.网络管理层次化,80,2.网络管理集成化 CMIP和SNMP集成化策略克服或协调两者差别,如集成方法-协议共享方式和协议互通方式;在管理者和委托代理之间使用CMIP,则在委托代理和被委托管理设备之间使用SNMP;IETF在定义ISO到TCP/IP的委托代理模型,使ISO管理者能管理TCP/IP,所采用的方法依赖于API,将SNMP消息通过功能映射仿真CMIP服务。 新的网管集成化解决方案由OSF(The Open Software Foundation)

    47、提出分布式管理环境DME( Distributed Management Environment)。 DME集系统管理和网络结构于一体,试图提供一系列标准管理服务,以及从网桥,路由器到基于操作系统应用的服务。DME可支持多种标准网管协议,如SNMP、CMIP等。DME由一个能提供用于应用开发和一些创建系统管理功能的软件组成,如软件管理、许可证管理和打印服务。DME还允许附加新的服务,这些服务由两个关键部分组成:管理请求代理MRB和客体服务。,81,3.网络管理Web化 一代理方式,将一个Web服务器加到一个内部工作站(代理),轮流与端点设备通信,管理人员通过浏览代理服务器,就可以管理相应的代理

    48、端点设备; 二嵌入方式,将Web功能嵌入到网络设备,每个设备有自己的Web地址,管理人员可通过浏览访问并管理该设备。 大型企业通过代理进行网络监视与管理,内嵌服务器方式对于办公室网络是理想管理方式。,82,83,84,对应于两种实现方式目前两个基于Web管理标准: 代理的基于Web的企业管理(Web-Based Enterprise Management,WBEM),Microsoft公司1996年7月提出,得到3Com公司在内的60多家供应商支持。具有面向对象特性,各种抽象的管理数据对象通过多种资源(如设备、系统、应用程序)进行收集。内嵌式的 Java管理应用程序编程接口(Java-Mana

    49、gement Application Programming Interface,JMAPI)。,85,86,4.网络管理智能化处理不确定性能力:由于网络系统的瞬变性,当某资源的状态信息传到网管系统时可能过时,因此网管只知道系统的局部状态,根据这些不确定信息进行管理。要求网管要有处理不确定信息进行管理和控制的能力。 较好的方法如模糊逻辑(fuzzy logic)、主观贝叶斯(Bayse)方法等。 协作能力:层次网管的出现需解决多层管理者之间任务的分配、通信和协作问题。多代理协作、分布式人工智能的思想逐渐引入网络管理。 适应系统变化的能力:网络系统是不断变化的分布式动态系统,基于规则的智能化网管能较好地适应网络系统的变化,当系统处在某些状态下时,管理系统就启动相应的处理动作。 解释和推理能力:多数网络管理者基于某种网管协议,如 CMIP、SNMP,监测MIB信息,而这些信息所反映的问题,以及如何基于这些信息对网络管理进行控制,却没有很好解决。 智能化网络应能综合解释这些低层信息,得出高层的信息和概念,并基于这些高层的信息和概念对网络进行管理和控制。,

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:网络管理、安全与存储备份技术(计算机系统集成).ppt
    链接地址:https://www.docduoduo.com/p-4194247.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开