1、第 9 章,网络管理,学习目标,了解网络管理的概念、意义、目标、功能和基本模型 了解基本的网络管理协议及网络管理平台 理解端口扫描、漏洞扫描及网络监听的基本原理 了解网络数据分析的基本思路 掌握端口扫描与网络监听的基本方法 掌握网络数据分析的基本方法,9.1 网络管理概述,9.1.1 网络管理概念、意义与目标 9.1.2 网络管理功能,网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。 网络管理包含两个任务,一是对网络的运行状态进行监测,通过监测了解当前状态是否正常,是否存在瓶颈问题和潜在的危机;二是对网络的运行状态进行控制,通过控制对网络状态进行合理调节,
2、提高性能,保证服务。 监测是控制的前提,控制是监测的结果。从这个定义可以看出,网络管理具体地说就是网络的监测和控制。网络管理常简称网管。,9.1.1 网络管理概念、意义与目标,随着网络技术的高速发展,网络管理的重要性越来越突出: (1) 网络设备的复杂化使网络管理变得复杂。这种复杂性使得网络管理无法用传统的手工方式完成,必须采用先进有效的手段。 (2) 网络的经济效益越来越依赖网络的有效管理。 (3) 先进可靠的网络管理也是用户所要求的。,9.1.1 网络管理概念、意义与目标,为了保证网络的正常运行和满足用户的需要,必须使网络满足以下要求: (1) 网络应是有效的。 (2) 网络应是可靠的。
3、(3) 现代网络要有开放性。 (4) 现代网络要有综合性。 (5) 现代网络要有很高的安全性。 (6) 网络要有经济性。,9.1.1 网络管理概念、意义与目标,网络管理的根本目标就是满足运营者及用户对网络的上述有效性、可靠性、开放性、综合性、安全性和经济性的要求。,9.1.1 网络管理概念、意义与目标,国际标准化组织(ISO)将网络管理的功能划分为配置管理、性能管理、故障管理、安全管理和计费管理5个领域。,9.1.2 网络管理功能,配置管理配置管理是最基本的网络管理功能,它负责网络的建立、业务的展开、以及配置数据的维护。 配置管理功能主要包括资源清单管理、资源开通、业务开通以及网络拓扑服务功能
4、。 配置管理的目的是为了实现特定功能或使网络性能达到最优。 配置管理具体包括:(1) 设置开放系统中有关路由操作的参数(2) 被管对象和被管对象组名字的管理(3) 初始化或关闭被管对象(4) 根据要求收集系统当前状态的有关信息(5) 获取系统重要变化的信息(6) 更改系统的配置,9.1.2 网络管理功能,性能管理性能管理目的是维护网络服务质量(QoS)和网络运营效率。 性能管理提供了性能监测、性能分析和性能管理控制功能,同时还提供了性能数据库的维护以及在发现性能严重下降时启动故障管理系统的功能。 网络服务质量和网络运营效率有时相互制约的。因此在制定性能目标时要在服务质量和运营效率之间进行权衡。
5、 性能管理的典型功能包括: (1) 收集统计信息(2) 维护并检查系统状态日志(3) 确定自然和人工状况下系统的性能(4) 改变系统操作模式以进行系统性能管理的操作,9.1.2 网络管理功能,故障管理故障管理的主要任务是迅速发现和纠正网络故障,动态维护网络的有效性。 网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:(1) 维护并检查错误日志(2) 接受错误检测报告并作出响应(3) 跟踪、辨认错误(4) 执行诊断测试(5) 纠正错误,9.1.2 网络管理功能,安全管理安全管理采用信息安全措施保护网络中的系统、数据以及业务。 安全管理与其它管理功能有着密切的关系。 安全管理的目的是
6、提供信息的保密、认证和完整性保护机制,使网络中的服务、数据和系统免受侵扰和破坏。一般的安全管理系统包含以下四项功能:(1) 风险分析功能(2) 安全服务功能(3) 告警、日志和报告功能(4) 网络管理系统保护功能,9.1.2 网络管理功能,计费管理计费管理记录网络资源的使用,以便控制和监测网络操作的费用和代价。 计费管理的主要目的是正确地计算和收取用户使用网络服务的费用,进行网络资源利用率的统计和网络的成本效益核算。 计费管理通常包括以下几个主要功能: (1)计算网络建设及运营成本(2)统计网络及其所包含的资源的利用率(3)联机收集计费数据(4)计算用户应支付的网络服务费用(5) 账单管理,9
7、.1.2 网络管理功能,网络管理模型定义了网络管理的框架、方式和方法。 在网络管理中,一般采用管理者网管代理模型。,9.2 网络管理的基本模型,网络管理模型的核心是一对相互通信的系统管理实体。即网络管理者和(网管)代理。 网络管理系统基本上由4个要素组成:(1) 网络管理者(Network Manager)(2) 网管代理(Managed Agent)(3) 网络管理协议(Network Management Protocol)(4) 管理信息库(Management Information Base,MIB),9.2 网络管理的基本模型,网络管理者是指实施网络管理的处理实体,通常驻留在管理工
8、作站上。 网管代理是一个软件模块,驻留在被管设备上。它的功能是把来自网络管理者的命令或信息的请求转换成本设备特有的指令,完成网络管理者的批示或把所在设备的信息返回到网络管理者。 管理工作站和网管代理者之间通过网络管理协议通信,网络管理者进程便是通过网络管理协议来完成网络管理。 管理信息库(MIB)是一个信息存储库,由系统内的许多被管对象及其属性组成 。,9.2 网络管理的基本模型,9.3 网管协议,9.3.1 SNMP 9.3.2 CMIS/CMIP,1988年,IAB提出了基于TCP/IP的简单网络管理协议SNMP。 SNMP是专门设计用于在IP网络管理网络节点(服务器、工作站、路由器、交换
9、机及 集线器等)的一种标准协议,它是一种应用层协议。 SNMP的体系结构分为SNMP管理者和SNMP代理者。 SNMP是由一系列协议组和规范组成的,它们提供了一种从网络上的设备中收集网络管理信息的方法。,9.3.1 SNMP,从被管理设备中收集数据有两种方法:一种是轮询(Polling-Only)的方法,另一种是基于中断(Interrupt-Based)的方法。 轮询就是网络管理员通过向代理的管理信息库发出查询信号来获取网络的通信信息和有关网络设备的统计信息。这种方法的缺陷在于信息的实时性差,尤其是错误的实时性。 当有异常事件发生时,基于中断的方法可以立即通知网络管理工作站,实时性很强,但这种
10、方法的缺陷在于产生错误或者自陷需要系统资源。,9.3.1 SNMP,通常的网络管理是以上两种方法的结合面向自陷的轮询方法(Trap-Directed Polling)。 一般来说,网络管理工作站轮询在被管理设备中的代理来收集数据,并且在控制台上用数字或者图形的表示方法来显示这些数据。被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况,而并不需要等到管理工作站为获得这些错误情况而轮询它的时候才会报告。 SNMP被设计成与协议无关 ,可以多种传输协议上使用 ,已经成为事实上的标准网络管理协议。,9.3.1 SNMP,CMIS/CMIP是OSI提供的网络管理协议簇。 CMIS定义了每个网络
11、组成部分提供的网络管理服务,这些服务在本质上是很普通的;CMIP则是实现CMIS服务的协议。 CMlS/CMIP的功能结构与SNMP很不相同,SNMP是按照简单和易于实现的原则设计的,而CMIS/CMIP则能够提供支持一个完整网络管理方案所需的功能。,9.3.2 CMIS/CMIP,CMIS/CMIP的整体结构是建立在使用ISO网络参考模型基础上的,网络管理应用进程使用ISO参考模型中的应用层。 值得注意的是,OSI没有在应用层之下特别为网络管理定义协议。,9.3.2 CMIS/CMIP,两种管理协议的比较: SNMP是Internet组织用来管理TCP/IP互联网和以太网的,被设计成与协议无
12、关 ,且实现、理解和排错简单,所以受到很多产品的广泛支持,但安全性较差。 CMIP是一个更为有效的网络管理协议,把更多的工作交给管理者去做,减轻了终端用户的工作负担。此外,CMIP建立了安全管理机制,提供授权、访问控制及安全日志等功能。由于CMIP是由国际标准组织指定的国际标准,因此涉及面很广,实施起来比较复杂,并且花费较高。,9.3.2 CMIS/CMIP,9.4 网络管理平台及产品,9.4.1 HP公司的OpenView 9.4.2 IBM公司的NetView 9.4.3 Sun公司的Solstice EM,HP OpenView简介OpenView是HP公司的旗舰软件产品,已成为网络管理
13、平台的典范。 它集成了网络管理和系统管理双方的优点,并把它们有机地结合在一起,形成一个单一而完整的管理系统。 OpenView解决方案实现了网络运作从被动无序到主动有序控制的过渡,使网络管理部门及时了解整个网络当前的真实状况,实现主动控制。 OpenView是管理多厂商网络设备和系统的战略平台,通过集成多厂商网络设备和系统管理产品,为用户的网络、系统、应用程序和数据库管理提供了统一的解决方案。,9.4.1 HP公司的OpenView,HP OpenView管理框架HP Open View管理框架包括以下4个部件: 用于网络管理的网络结点管理器 用于操作和故障管理的IT/Operation 用于
14、配置和变化管理的IT/Administration 用于资源和性能管理的HP PerfView/MeasureWare和HP NetMerix,9.4.1 HP公司的OpenView,Network Node Manager网络节点管理器(NNM)是HP OpenView管理框架的基石,是目前开发和发布网络管理应用的工业标准的网管平台,也是最终用户发现、监控和管理TCP/lP网络的解决方案。 NNM可以管理通过IP地址、 IPX地址和链路层地址发现的网络设备,能够运行SNMP、HTTP协议的网络设备或者Web服务器,并提供显示网络实际状况的视图。 NNM提供了两种用户界面:(1) HP Ope
15、nView Windows图形用户界面(2) 基于Web的界面,9.4.1 HP公司的OpenView,TME10 NetView能够支持大规模、多厂商网络环境以及第三方开发的集成应用。 TME10 NetView能够发现TCP/IP网络,显示网络拓扑结构,收集与管理事件及SNMP告警信息,监控网络的运行状况,收集性能数据。 TME10 NetView通过对任务关键性环境提供扩展性和灵活性以适应大规模网络管理的需要。,9.4.2 IBM公司的NetView,NetView具有以下特性:(1) 管理异构的、多厂商网络环境(2) 网络的配置、故障和性能管理(3) 动态的设备发现(4) 易于使用的用
16、户界面(5) 与关系数据库系统集成(6) 支持众多第三方应用(7) 真正的分布式管理(8) IP监控和SNMP管理(9) 多协议监控和管理(10) 提供MIB管理工具(11) 提供应用开发接口API(12) 易于安装与维护,9.4.2 IBM公司的NetView,和其它同类产品比较,Solstice EM有一些关键的优势,主要包括:(1) 扩展的可伸缩性,以支持对不断增长的网络的管理(2) 实现基于标准的访问控制(3) 支持可分发的应用程序、服务器及管理协议适配器(4) 强大而通用的API,以支持应用程序的二次开发(5) 多用户同时管理的能力(6) 被管理资源的位置对应用透明(7) 管理协议对
17、应用透明(8) 支持事务操作以确保管理数据的完整性,也可支持其它相关的协议标准,9.4.3 Sun公司的Solstice EM,Solstice EM管理环境有一个事件驱动的,面向事务的、分布式的、多进程体系结构。 它由4个自成体系的部件组成:(1) 管理应用(MA)(2) 可移植的管理接口(PMI)(3) 管理信息服务器(MIS)(4) 管理协议适配器(MPA)。每个部件都有一个特定的功能,部件之间通过定义良好的接口来交互,9.4.3 Sun公司的Solstice EM,9.5 网络扫描与监控,9.5.1 网络扫描 9.5.2 网络监控,网络安全扫描技术是一种基于Internet远程检测目标
18、网络或者本地主机安全性脆弱点的技术。 一次完整的网络安全扫描可以分为3个阶段: 第1阶段发现目标主机或者网络。 第2阶段在发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等,如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。 第3阶段则根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。,9.5.1 网络扫描,网络安全扫描技术包括有: Ping扫射(Ping Sweep) 操作系统探测(Operating System Identification) 如何探测访问控制规则(Firewalking) 端口扫描(Port Scan) 漏
19、洞扫描(Vulnerability Scan)等 这些技术在网络安全扫描的3个阶段中各有体现。 Ping扫射用于网络安全扫描的第1阶段,可以帮助我们识别系统是否处于活动状态。,9.5.1 网络扫描,操作系统探测、如何探测访问控制规则和端口扫描用于网络安全扫描的第2阶段,其中: 操作系统探测顾名思义就是对目标主机运行的操作系统进行识别; 如何探测访问控制规则用于获取被防火墙保护的远端网络的资料; 端口扫描是通过与目标系统的TCP/IP端口连接,并查看该系统是否处于监听或者运行状态的服务。 网络安全扫描第3阶段采用的漏洞扫描通常是在端口扫描的基础上,对得到的信息进行相关处理,进而检测出目标系统存在
20、的安全漏洞。,9.5.1 网络扫描,端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术,并且广泛运用于当前较成熟的网络扫描器中,如著名的Nmap和Nessus。,9.5.1 网络扫描,端口扫描的原理端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或者信息。 端口扫描也可以通过捕获本地主机或者服务器的流入流出IP数据包来监视本地主机的运行情况,它仅能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。,9.5.1 网络扫描,常用的端口扫描技术:(1
21、) 全连接扫描 (2) 半连接扫描(3) 其它扫描,9.5.1 网络扫描,漏洞扫描的原理漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:(1) 在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;(2) 通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。,9.5.1 网络扫描,漏洞扫描技术的分类根据其实现方法是否基于漏洞库可将其大致分为两大类:(1) 基于漏洞库的漏洞扫描,其漏洞信息是由扫描结果与漏洞库相关数据匹配比
22、较得到的;(2) 没有相应漏洞库的各种扫描,比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OpenRelay邮件转发漏洞探测等,这些扫描通过使用插件(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。,9.5.1 网络扫描,漏洞扫描技术的实现方法漏洞库匹配方法是最常见的漏洞扫描实现方法。基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。 插件(功能模块技术)技术是对漏洞库匹配方法的一个补充。插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或者多个漏洞。,9.5.1 网络扫描,网络监听概述网络监听工具是网络安全管理人员进行管理的常
23、用工具,可以监视网络的状态、数据流动情况以及网络上传输的信息 。 网络监听通常在网络接口处截获计算机之间通信的数据流。它具有以下特点:(1) 隐蔽性强。(2) 手段灵活。,9.5.2 网络监控,网络监听原理对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址(在局域网中为网卡的物理地址),只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作在监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。这样,主机上的处理程序就可以得到子网内别的机器间的网络数据,并进行分析处理。这就
24、是网络监听。,9.5.2 网络监控,网络监听的防范被动式防范 网络分段 使用VLAN技术 使用加密技术 主动防御措施监听监测 MAC检测 DNS检测 负载检测,9.5.2 网络监控,网络上传输的数据要按照一定的协议格式进行打包,封装数据包后才能在网络中正确地传输。 数据在网络上常以很小的被称为“帧”或者“包”的PDU方式传输的。 由于网络中存在多种协议,故需要分析网络中传输的数据包使用何种协议,即对数据包进行协议分析。 在分析网络数据之前,必须先获得网络上流动的数据包,这主要通过网络监听来实现。,9.6 网络数据分析,通过网络监听捕获的数据包为原始数据包,它们的格式一般先是以太网数据帧的头部,
25、接着是ARP或者IP数据包的头部。IP数据包后紧跟着TCP或者UDP、ICMP的头部,最后才是真正要传输的数据。 在拆分IP数据包时,先提取以太网数据帧的头部,再提取ARP或者IP数据包的头部,然后分析TCP或者UDP、ICMP数据包的头部。最后,从数据包提取出需要的数据。 通过分析这些数据,就可以知道网络中到底有什么样的数据包在活动,从而进行有效的管理。,9.6 网络数据分析,在实际应用中,我们常借助一些软件工具来完成对网络数据包的捕获和分析。 目前广泛应用的Sniffer软件(中文可译为嗅探器),是NAI公司推出的功能强大的协议分析软件。 它可以直接从网络上抓取数据进行分析,也可以对由其它嗅探器抓取后保存在硬盘上的数据进行分析,查看每一个数据包的摘要和详细信息。,9.6 网络数据分析,本章讲述了网络管理的基本概念、意义、目标和功能,以及网络管理的基本模型,同时简要介绍了常用的网络管理协议和网络管理平台。在此基础上,对网络扫描和网络监控进行了详细讲述,本章最后结合实训,介绍了网络扫描工具Nmap、网络监听与网络数据分析工具Sniffer的基本操作。,本章小结,
