第9章网络安全管理辩析.ppt

4）被管对象的定义 Internet中的被管对象都是用一些关键字（保留字）来说明的，为了描述被管对象的说明格式，SNMP中使用了如下5个记号： object（对象描述符）：这个字段用ASCⅡ字符串来描述对象。 syntax（句法）：这个字段允许用任意个字符来描述对象。 definition（定义）：这个字段是补充说明，帮助理解和记忆。 access（访问）：这个字段规定对象的访问方式，如只读、只写、不可访问等。 status（状况）：这个字段用来描述对象的3种状况，即必备的、可选的和已过时不用的。 9.4网络管理协议 在网络管理系统的4个组成部分中，网络管理协议最重要。它定义了网络管理器与被管代理间的通信方法，规定了管理信息库的存储结构、信息库中关键字的含义以及各种事件的处理方法。目前最有影响的网络管理协议是SNMP和CMIP，它们也代表了目前两大网络管理解决方案。 9.4.1 简单网络管理协议 简单网络管理协议（SNMP）是使用户能够通过轮询、设置关键字和监视网络事件来达到网络管理目的的一种网络协议。它是一个应用级的协议，而且是TCP/IP协议簇的一部分，工作于用户数据报文协议（user datagram protocol，UDP）上。 SNMP原先是在TCP/IP协议的基础上为ARPNET开发的，但现在已发展成为各种网络及网络设备的网络管理协议标准。 1.SNMP的管理结构模型 SNMP主要用于OSI七层模型中较低几个层次的管理，它的基本功能包括监视网络性能、检测分析网络差错和配置网络。SNMP网络管理模型由多个管理代理、至少一个管理工作站、一种通用的网络管理协议和一个或多个管理信息库4部分组成。 用户主机和网络互连设备等所有被管理的网络设备称为被管对象； 驻留在被管对象上，配合网络管理的处理实体称为管理代理； 实施管理的处理实体称为管理器； 管理器和管理代理通过网络管理协议来实现信息交换。管理器驻留在管理工作站上，信息分别驻留在被管对象和管理工作站上的管理信息库中。 2.SNMP的工作原理 SNMP的原理十分简单，它以轮询和应答的方式进行工作，采用集中或者集中分布式的控制方法对整个网络进行控制和管理。 整个网络管理系统包括SNMP管理者、SNMP代理、管理信息库（MIB）和管理协议四个部分。每一个支持SNMP的网络设备中包含一个代理，它随时记录网络设备的各种情况。网络管理程序通过SNMP通信协议查询或修改代理所记录的信息。 SNMP的管理模型如下图所示。 SNMP的管理模型 3.SNMP的优缺点 SNM之所以能成为流传最广、应用最多的一个网络管理协议，是因为它具有以下优点： （1）简单、易于实现。 （2）获得了广泛的使用和支持。 （3）具有很好的扩展性。 SNMP的缺点 （1）由于SNMP是基于TCP/IP的一种网络管理协议，所以它不能超越TCP/IP的范畴，无法完成高层次的配置工作。另外，SNMP仍然是一种应急的做法。 （2）像所有TCP/IP协议簇中的协议一样，SNMP对安全问题考虑甚少。 （3）当SNMP刚刚面世时，还没有对管理程序间的通信提出任何需求。 为了弥补SNMP的这些不足之处，1993年，因特网的核心管理机构IAB（Internet Activities Board）对其作了相应的改进后，制定了SNMPv2。 4.SNMPv2 SNMPv2是因特网标准网络管理框架的第二版，来源于最初的因特网标准网络管理框架（SNMPv1）。SNMPv2沿用了SNMP中的绝大多数特征，因此在一个网络管理环境中可同时使用SNMP和SNMPv2。 SNMPv2也是一种基于UDP的网络管理协议，即在进行网络管理时，管理者与代理间不必建立实际的会话关系，网络管理者仍然采用轮询的方式访问各个代理。 SNMPv2减少了SNMP中一些可能出现的错误，并在网络管理安全性和SNMP管理者间通信两个方面作了详细的定义。 9.4.2 公共管理信息协议 公共管理信息协议（CMIP）是在ISO制定的网络管理框架中提出的网络管理协议。它是一个分布式的网络管理解决方案，应用在OSI环境下。CMIP与SNMP一样，也是由被管代理、管理者、管理协议与管理信息库组成。在CMIP中，被管代理和管理者没有明确的区分，任何一个网络设备既可以是被管代理，也可以是管理者。 CMIP克服了SNMP的许多缺点，如在安全性方面，CMIP支持授权、访问控制、安全日志等机制，构成一个相对安全的系统，定义相当详细复杂。其设计与SNMP有相似之处，如网管信息的传递也是通过协议数据单元来实现的，但CMIP定义了11种协议数据单元，而SNMP定义了5种，SNMPv2定义了7种。 1.CMIP管理模型 CMIP可以用3种模型进行描述： 组织模型用于描述管理任务如何分配； 功能模型描述