論計算機網(wǎng)絡(luò)管理技術(shù)初探
時間:
張會綿1由 分享
計算機網(wǎng)絡(luò)管理技術(shù)就是監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種技術(shù)手段和措施的總稱。其目標(biāo)是確保計算機網(wǎng)絡(luò)的持續(xù)正常運行,并在計算機網(wǎng)絡(luò)運行出現(xiàn)異常時能及時響應(yīng)和排除故障。在當(dāng)今這個信息化社會中,一方面,硬件平臺,操作系統(tǒng)平臺,應(yīng)用軟件等IT系統(tǒng)已變得越來越復(fù)雜和難以統(tǒng)一管理;另一方面,現(xiàn)代社會生活對網(wǎng)絡(luò)的高度依賴,使保障網(wǎng)絡(luò)的通暢、可靠就顯得尤其重要。這些都使得網(wǎng)絡(luò)管理技術(shù)成為網(wǎng)絡(luò)技術(shù)中人們公認(rèn)的關(guān)鍵技術(shù)。
計算機網(wǎng)絡(luò)管理從功能上講一般包括配置管理、性能管理、安全管理、故障管理等。由于網(wǎng)絡(luò)安全對網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響趨于更復(fù)雜、更嚴(yán)重,網(wǎng)絡(luò)安全管理還逐漸成為網(wǎng)絡(luò)管理技術(shù)中的一個重要分支,正受到業(yè)界及用戶的日益深切的廣泛關(guān)注。可能也正是由于網(wǎng)絡(luò)安全管理技術(shù)要解決的問題的突出性和特殊性,使得網(wǎng)絡(luò)安全管理系統(tǒng)呈現(xiàn)出了從通常網(wǎng)管系統(tǒng)中分離出來的趨勢。
當(dāng)前,網(wǎng)絡(luò)管理技術(shù)主要有誕生于Internte家族的SNMP是專門用于對Internet進(jìn)行管理的,雖然它有簡單適用等特點,已成為當(dāng)前網(wǎng)絡(luò)界的實際標(biāo)準(zhǔn),但由于Internet本身發(fā)展的不規(guī)范性,使SNMP有先天性的不足,難以用于復(fù)雜的網(wǎng)絡(luò)管理,只適用于TCP/IP網(wǎng)絡(luò),在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網(wǎng)絡(luò)技術(shù)及系統(tǒng)的研究與出現(xiàn),電信網(wǎng)、有線網(wǎng)、寬帶網(wǎng)等的融合,使原來的SNMP已不能滿足新的網(wǎng)絡(luò)技術(shù)的要求;CMIP可對一個完整的網(wǎng)絡(luò)管理方案提供全面支持,在技術(shù)和標(biāo)準(zhǔn)上比較成熟.最大的優(yōu)勢在于,協(xié)議中的變量并不僅僅是與終端相關(guān)的一些信息,而且可以被用于完成某些任務(wù),但正由于它是針對SNMP的不足而設(shè)計的,因此過于復(fù)雜,實施費用過高,還不能被廣泛接受;分布對象網(wǎng)絡(luò)管理技術(shù)是將CORBA技術(shù)應(yīng)用于網(wǎng)絡(luò)管理而產(chǎn)生的,主要采用了分布對象技術(shù)將所有的管理應(yīng)用和被管元素都看作分布對象,這些分布對象之間的交互就構(gòu)成了網(wǎng)絡(luò)管理.此方法最大的特點是屏蔽了編程語言、網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的差異,提供了多種透明性,因此適應(yīng)面廣,開發(fā)容易,應(yīng)用前景廣闊.SNMP和CMIP這兩種協(xié)議由于各自有其擁護(hù)者,因而在很長一段時期內(nèi)不會出現(xiàn)相互替代的情況,而如果由完全基于CORBA的系統(tǒng)來取代,所需要的時間、資金以及人力資源等都過于龐大,也是不能接受的。所以,CORBA,SNMP,CMIP相結(jié)合成為基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)是當(dāng)前研究的主要方向。在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火墻、、IDS、防病毒、身份認(rèn)證、數(shù)據(jù)加密、安全審計等安全防護(hù)和管理系統(tǒng)在網(wǎng)絡(luò)中得到了廣泛應(yīng)用。雖然這些安全產(chǎn)品能夠在特定方面發(fā)揮一定的作用,但是這些產(chǎn)品大部分功能分散,各自為戰(zhàn),形成了相互沒有關(guān)聯(lián)的、隔離的“安全孤島”;各種安全產(chǎn)品彼此之間沒有有效的統(tǒng)一管理調(diào)度機制,不能互相支撐、協(xié)同工作,從而使安全產(chǎn)品的應(yīng)用效能無法得到充分的發(fā)揮。
從網(wǎng)絡(luò)安全管理員的角度來說,最直接的需求就是在一個統(tǒng)一的界面中監(jiān)視網(wǎng)絡(luò)中各種安全設(shè)備的運行狀態(tài),對產(chǎn)生的大量日志信息和報警信息進(jìn)行統(tǒng)一匯總、分析和審計;同時在一個界面完成安全產(chǎn)品的升級、攻擊事件報警、響應(yīng)等功能。
但是,一方面,由于現(xiàn)今網(wǎng)絡(luò)中的設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)數(shù)量眾多、構(gòu)成復(fù)雜,異構(gòu)性、差異性非常大,而且各自都具有自己的控制管理平臺、計算機網(wǎng)絡(luò)管理員需要學(xué)習(xí)、了解不同平臺的使用及管理方法,并應(yīng)用這些管理控制平臺去管理網(wǎng)絡(luò)中的對象(設(shè)備、系統(tǒng)、用戶等),工作復(fù)雜度非常之大。另一方面,應(yīng)用系統(tǒng)是為業(yè)務(wù)服務(wù)的;企業(yè)內(nèi)的員工在整個業(yè)務(wù)處理過程中處于不同的工作崗位,其對應(yīng)用系統(tǒng)的使用權(quán)限也不盡相同,計算機網(wǎng)絡(luò)管理員很難在各個不同的系統(tǒng)中保持用戶權(quán)限和控制策略的全局一致性。所以網(wǎng)絡(luò)管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模,任何網(wǎng)管系統(tǒng)無論其規(guī)模大小如何,基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成。
網(wǎng)管軟件平臺提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能以及網(wǎng)絡(luò)用戶分布方面的基本管理。目前決大多數(shù)網(wǎng)管軟件平臺都是在UNIX和DOS/WINDOWS平臺上實現(xiàn)的。目前公認(rèn)的三大網(wǎng)管軟件平臺是:HPView、IBMNetview和SUNNetmanager。雖然它們的產(chǎn)品形態(tài)有不同的操作系統(tǒng)的版本,但都遵循SNMP協(xié)議和提供類似的網(wǎng)管功能。
不過,盡管上述網(wǎng)管軟件平臺具有類似的網(wǎng)管功能,但是它們在網(wǎng)管支撐軟件的支持、系統(tǒng)的可靠性、用戶界面、操作功能、管理方式和應(yīng)用程序接口,以及數(shù)據(jù)庫的支持等方面都存在差別??赡茉谄渌僮飨到y(tǒng)之上實現(xiàn)的Netview、Openview、Netmanager網(wǎng)管軟件平臺版本僅是標(biāo)準(zhǔn)Netview、Openview、Netmanager的子集。例如,在MSWindows操作系統(tǒng)上實現(xiàn)的Netview網(wǎng)管軟件平臺版本NetviewforWindows便僅僅只是Netview的子集。
網(wǎng)管支撐軟件是運行于網(wǎng)管軟件平臺之上,支持面向特定網(wǎng)絡(luò)功能、網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)管理的支撐軟件系統(tǒng)。
網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商往往為其生產(chǎn)的網(wǎng)絡(luò)設(shè)備開發(fā)專門的網(wǎng)絡(luò)管理軟件。這類軟件建立在網(wǎng)絡(luò)管理平臺之上,針對特定的網(wǎng)絡(luò)管理設(shè)備,通過應(yīng)用程序接口與平臺交互,并利用平臺提供的數(shù)據(jù)庫和資源,實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理,比如CiscoWorks就是這種類型的網(wǎng)絡(luò)管理軟件,它可建立在HPOpen View和IBM Netview等管理平臺之上,管理廣域互聯(lián)網(wǎng)絡(luò)中的Cisco路由器及其它設(shè)備。通過它,可以實現(xiàn)對Cisco的各種網(wǎng)絡(luò)互聯(lián)設(shè)備(如路由器、交換機等)進(jìn)行復(fù)雜網(wǎng)絡(luò)管理
另外,對大型網(wǎng)絡(luò)而言,管理與安全相關(guān)的事件變得越來越復(fù)雜;網(wǎng)絡(luò)管理員必須將各個設(shè)備、系統(tǒng)產(chǎn)生的事件、信息關(guān)聯(lián)起來進(jìn)行分析,才能發(fā)現(xiàn)新的或更深層次的安全問題。 因此,用戶的計算機網(wǎng)絡(luò)管理需要建立一種新型的整體網(wǎng)絡(luò)安全管理解決方案——統(tǒng)一安全管理平臺來總體配置、調(diào)控整個網(wǎng)絡(luò)多層面、分布式的安全系統(tǒng),實現(xiàn)對各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計及多種安全功能模塊之間的互動,從而有效簡化網(wǎng)絡(luò)安全管理工作,提升網(wǎng)絡(luò)的安全水平和可控制性、可管理性,降低用戶的整體安全管理開銷。
計算機網(wǎng)絡(luò)的應(yīng)用正處于一個爆炸性增長的時期,并且網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大,網(wǎng)絡(luò)的復(fù)雜程度也日益加劇。為適應(yīng)網(wǎng)絡(luò)大發(fā)展的這一時代需要,在構(gòu)建計算機網(wǎng)絡(luò)時必須高度重視網(wǎng)絡(luò)管理的重要性,重點從網(wǎng)管技術(shù)和網(wǎng)管策略設(shè)計兩個大的方面全面規(guī)劃和設(shè)計好網(wǎng)絡(luò)管理的方方面面,以保障網(wǎng)絡(luò)系統(tǒng)高效、安全地運行。
計算機網(wǎng)絡(luò)管理從功能上講一般包括配置管理、性能管理、安全管理、故障管理等。由于網(wǎng)絡(luò)安全對網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響趨于更復(fù)雜、更嚴(yán)重,網(wǎng)絡(luò)安全管理還逐漸成為網(wǎng)絡(luò)管理技術(shù)中的一個重要分支,正受到業(yè)界及用戶的日益深切的廣泛關(guān)注。可能也正是由于網(wǎng)絡(luò)安全管理技術(shù)要解決的問題的突出性和特殊性,使得網(wǎng)絡(luò)安全管理系統(tǒng)呈現(xiàn)出了從通常網(wǎng)管系統(tǒng)中分離出來的趨勢。
當(dāng)前,網(wǎng)絡(luò)管理技術(shù)主要有誕生于Internte家族的SNMP是專門用于對Internet進(jìn)行管理的,雖然它有簡單適用等特點,已成為當(dāng)前網(wǎng)絡(luò)界的實際標(biāo)準(zhǔn),但由于Internet本身發(fā)展的不規(guī)范性,使SNMP有先天性的不足,難以用于復(fù)雜的網(wǎng)絡(luò)管理,只適用于TCP/IP網(wǎng)絡(luò),在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網(wǎng)絡(luò)技術(shù)及系統(tǒng)的研究與出現(xiàn),電信網(wǎng)、有線網(wǎng)、寬帶網(wǎng)等的融合,使原來的SNMP已不能滿足新的網(wǎng)絡(luò)技術(shù)的要求;CMIP可對一個完整的網(wǎng)絡(luò)管理方案提供全面支持,在技術(shù)和標(biāo)準(zhǔn)上比較成熟.最大的優(yōu)勢在于,協(xié)議中的變量并不僅僅是與終端相關(guān)的一些信息,而且可以被用于完成某些任務(wù),但正由于它是針對SNMP的不足而設(shè)計的,因此過于復(fù)雜,實施費用過高,還不能被廣泛接受;分布對象網(wǎng)絡(luò)管理技術(shù)是將CORBA技術(shù)應(yīng)用于網(wǎng)絡(luò)管理而產(chǎn)生的,主要采用了分布對象技術(shù)將所有的管理應(yīng)用和被管元素都看作分布對象,這些分布對象之間的交互就構(gòu)成了網(wǎng)絡(luò)管理.此方法最大的特點是屏蔽了編程語言、網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的差異,提供了多種透明性,因此適應(yīng)面廣,開發(fā)容易,應(yīng)用前景廣闊.SNMP和CMIP這兩種協(xié)議由于各自有其擁護(hù)者,因而在很長一段時期內(nèi)不會出現(xiàn)相互替代的情況,而如果由完全基于CORBA的系統(tǒng)來取代,所需要的時間、資金以及人力資源等都過于龐大,也是不能接受的。所以,CORBA,SNMP,CMIP相結(jié)合成為基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)是當(dāng)前研究的主要方向。在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火墻、、IDS、防病毒、身份認(rèn)證、數(shù)據(jù)加密、安全審計等安全防護(hù)和管理系統(tǒng)在網(wǎng)絡(luò)中得到了廣泛應(yīng)用。雖然這些安全產(chǎn)品能夠在特定方面發(fā)揮一定的作用,但是這些產(chǎn)品大部分功能分散,各自為戰(zhàn),形成了相互沒有關(guān)聯(lián)的、隔離的“安全孤島”;各種安全產(chǎn)品彼此之間沒有有效的統(tǒng)一管理調(diào)度機制,不能互相支撐、協(xié)同工作,從而使安全產(chǎn)品的應(yīng)用效能無法得到充分的發(fā)揮。
從網(wǎng)絡(luò)安全管理員的角度來說,最直接的需求就是在一個統(tǒng)一的界面中監(jiān)視網(wǎng)絡(luò)中各種安全設(shè)備的運行狀態(tài),對產(chǎn)生的大量日志信息和報警信息進(jìn)行統(tǒng)一匯總、分析和審計;同時在一個界面完成安全產(chǎn)品的升級、攻擊事件報警、響應(yīng)等功能。
但是,一方面,由于現(xiàn)今網(wǎng)絡(luò)中的設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)數(shù)量眾多、構(gòu)成復(fù)雜,異構(gòu)性、差異性非常大,而且各自都具有自己的控制管理平臺、計算機網(wǎng)絡(luò)管理員需要學(xué)習(xí)、了解不同平臺的使用及管理方法,并應(yīng)用這些管理控制平臺去管理網(wǎng)絡(luò)中的對象(設(shè)備、系統(tǒng)、用戶等),工作復(fù)雜度非常之大。另一方面,應(yīng)用系統(tǒng)是為業(yè)務(wù)服務(wù)的;企業(yè)內(nèi)的員工在整個業(yè)務(wù)處理過程中處于不同的工作崗位,其對應(yīng)用系統(tǒng)的使用權(quán)限也不盡相同,計算機網(wǎng)絡(luò)管理員很難在各個不同的系統(tǒng)中保持用戶權(quán)限和控制策略的全局一致性。所以網(wǎng)絡(luò)管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模,任何網(wǎng)管系統(tǒng)無論其規(guī)模大小如何,基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成。
網(wǎng)管軟件平臺提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能以及網(wǎng)絡(luò)用戶分布方面的基本管理。目前決大多數(shù)網(wǎng)管軟件平臺都是在UNIX和DOS/WINDOWS平臺上實現(xiàn)的。目前公認(rèn)的三大網(wǎng)管軟件平臺是:HPView、IBMNetview和SUNNetmanager。雖然它們的產(chǎn)品形態(tài)有不同的操作系統(tǒng)的版本,但都遵循SNMP協(xié)議和提供類似的網(wǎng)管功能。
不過,盡管上述網(wǎng)管軟件平臺具有類似的網(wǎng)管功能,但是它們在網(wǎng)管支撐軟件的支持、系統(tǒng)的可靠性、用戶界面、操作功能、管理方式和應(yīng)用程序接口,以及數(shù)據(jù)庫的支持等方面都存在差別??赡茉谄渌僮飨到y(tǒng)之上實現(xiàn)的Netview、Openview、Netmanager網(wǎng)管軟件平臺版本僅是標(biāo)準(zhǔn)Netview、Openview、Netmanager的子集。例如,在MSWindows操作系統(tǒng)上實現(xiàn)的Netview網(wǎng)管軟件平臺版本NetviewforWindows便僅僅只是Netview的子集。
網(wǎng)管支撐軟件是運行于網(wǎng)管軟件平臺之上,支持面向特定網(wǎng)絡(luò)功能、網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)管理的支撐軟件系統(tǒng)。
網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商往往為其生產(chǎn)的網(wǎng)絡(luò)設(shè)備開發(fā)專門的網(wǎng)絡(luò)管理軟件。這類軟件建立在網(wǎng)絡(luò)管理平臺之上,針對特定的網(wǎng)絡(luò)管理設(shè)備,通過應(yīng)用程序接口與平臺交互,并利用平臺提供的數(shù)據(jù)庫和資源,實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理,比如CiscoWorks就是這種類型的網(wǎng)絡(luò)管理軟件,它可建立在HPOpen View和IBM Netview等管理平臺之上,管理廣域互聯(lián)網(wǎng)絡(luò)中的Cisco路由器及其它設(shè)備。通過它,可以實現(xiàn)對Cisco的各種網(wǎng)絡(luò)互聯(lián)設(shè)備(如路由器、交換機等)進(jìn)行復(fù)雜網(wǎng)絡(luò)管理
另外,對大型網(wǎng)絡(luò)而言,管理與安全相關(guān)的事件變得越來越復(fù)雜;網(wǎng)絡(luò)管理員必須將各個設(shè)備、系統(tǒng)產(chǎn)生的事件、信息關(guān)聯(lián)起來進(jìn)行分析,才能發(fā)現(xiàn)新的或更深層次的安全問題。 因此,用戶的計算機網(wǎng)絡(luò)管理需要建立一種新型的整體網(wǎng)絡(luò)安全管理解決方案——統(tǒng)一安全管理平臺來總體配置、調(diào)控整個網(wǎng)絡(luò)多層面、分布式的安全系統(tǒng),實現(xiàn)對各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計及多種安全功能模塊之間的互動,從而有效簡化網(wǎng)絡(luò)安全管理工作,提升網(wǎng)絡(luò)的安全水平和可控制性、可管理性,降低用戶的整體安全管理開銷。
計算機網(wǎng)絡(luò)的應(yīng)用正處于一個爆炸性增長的時期,并且網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大,網(wǎng)絡(luò)的復(fù)雜程度也日益加劇。為適應(yīng)網(wǎng)絡(luò)大發(fā)展的這一時代需要,在構(gòu)建計算機網(wǎng)絡(luò)時必須高度重視網(wǎng)絡(luò)管理的重要性,重點從網(wǎng)管技術(shù)和網(wǎng)管策略設(shè)計兩個大的方面全面規(guī)劃和設(shè)計好網(wǎng)絡(luò)管理的方方面面,以保障網(wǎng)絡(luò)系統(tǒng)高效、安全地運行。