網(wǎng)絡(luò)故障范文

本站小編為你精心準(zhǔn)備了網(wǎng)絡(luò)故障參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

隨著計算機技術(shù)和Internet的發(fā)展，企業(yè)和政府部門開始大規(guī)模的建立網(wǎng)絡(luò)來推動電子商務(wù)和政務(wù)的發(fā)展，伴隨著網(wǎng)絡(luò)的業(yè)務(wù)和應(yīng)用的豐富，對計算機網(wǎng)絡(luò)的管理與維護也就變得至關(guān)重要。人們普遍認為，網(wǎng)絡(luò)管理是計算機網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一，尤其在大型計算機網(wǎng)絡(luò)中更是如此。網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱。其目標(biāo)是確保計算機網(wǎng)絡(luò)的持續(xù)正常運行，并在計算機網(wǎng)絡(luò)運行出現(xiàn)異常時能及時響應(yīng)和排除故障。

網(wǎng)絡(luò)故障極為普遍，網(wǎng)絡(luò)故障的種類也多種多樣，要在網(wǎng)絡(luò)出現(xiàn)故障時及時對出現(xiàn)故障的網(wǎng)絡(luò)進行維護，以最快的速度恢復(fù)網(wǎng)絡(luò)的正常運行，掌握一套行之有效的網(wǎng)絡(luò)維護理論、方法和技術(shù)是關(guān)鍵。就網(wǎng)絡(luò)中常見故障進行分類，并對各種常見網(wǎng)絡(luò)故障提出相應(yīng)的解決方法。

隨著計算機的廣泛應(yīng)用和網(wǎng)絡(luò)的日趨流行，功能獨立的多個計算機系統(tǒng)互聯(lián)起來，互聯(lián)形成日漸龐大的網(wǎng)絡(luò)系統(tǒng)。計算機網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運轉(zhuǎn)已與功能完善的網(wǎng)絡(luò)軟件密不可分。計算機網(wǎng)絡(luò)系統(tǒng)，就是利用通訊設(shè)備和線路將地理位置不同的、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等共享，包括硬件資源和軟件資源的共享：因此，如何有效地做好本單位計算機網(wǎng)絡(luò)的日常維護工作，確保其安全穩(wěn)定地運行，這是網(wǎng)絡(luò)運行維護人員的一項非常重要的工作。

在排除比較復(fù)雜網(wǎng)絡(luò)的故障時，我們常常要從多種角度來測試和分析故障的現(xiàn)象，準(zhǔn)確確定故障點。

第一章網(wǎng)絡(luò)安全技術(shù)

1.1概述

網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理的安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，以及其他的安全服務(wù)和安全機制策略。

21世紀(jì)全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化.它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在.當(dāng)人類步入21世紀(jì)這一信息社會,網(wǎng)絡(luò)社會的時候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系.

一個國家的信息安全體系實際上包括國家的法規(guī)和政策,以及技術(shù)與市場的發(fā)展平臺.我國在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高.

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會各方面的延伸,進入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程.為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā).安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè).

信息安全是國家發(fā)展所面臨的一個重要問題.對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上,產(chǎn)業(yè)上,政策上來發(fā)展它.政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應(yīng)該看到它對我國未來電子化,信息化的發(fā)展將起到非常重要的作用

1.2防火墻

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài).

目前的防火墻產(chǎn)品主要有堡壘主機,包過濾路由器,應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān),屏蔽主機防火墻,雙宿主機等類型.

雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊.

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展.國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列.

防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇.在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)如果答案是"是",則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施.

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一.雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負責(zé)網(wǎng)絡(luò)間的安全認證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù).另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證,防止病毒與黑客侵入等方向發(fā)展.

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型,網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT,型和監(jiān)測型.

1.3防火墻主要技術(shù)

包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù).網(wǎng)絡(luò)上的數(shù)據(jù)都是以"包"為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址,目標(biāo)地址,TCP/UDP源端口和目標(biāo)端口等.防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些"包"是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外.系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則.

包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全.

但包過濾技術(shù)的缺陷也是明顯的.包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源,目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.

網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的,外部的,注冊的IP地址標(biāo)準(zhǔn).它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng).它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址.

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址.在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全.當(dāng)符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中.當(dāng)不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進行設(shè)置,用戶只要進行常規(guī)操作即可.

型

型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展.服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流.從客戶機來看,服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機.當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機.由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng).

型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效.其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性.

監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義.監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的,實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用.據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部.因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻.基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù).這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本.

實際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢.由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄.正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上

1.4防火墻體系結(jié)構(gòu)

篩選路由式體系結(jié)構(gòu)

SHAPE\*MERGEFORMAT

屏蔽子網(wǎng)式結(jié)構(gòu)

雙網(wǎng)主機式體系結(jié)構(gòu)

SHAPE\*MERGEFORMAT

屏蔽主機式體系結(jié)構(gòu)

1.5入侵檢測系統(tǒng)

1概念

當(dāng)前，平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡(luò)的事件，超過1/3的互聯(lián)網(wǎng)防火墻被攻破！面對接2連3的安全問題，人們不禁要問：到底是安全問題本身太復(fù)雜，以至于不可能被徹底解決，還的仍然可以有更大的改善，只不過我們所采取的安全措施中缺少了某些重要的環(huán)節(jié)。有關(guān)數(shù)據(jù)表明，后一種解釋更說明問題。有權(quán)威機構(gòu)做過入侵行為統(tǒng)計，發(fā)現(xiàn)他、有80%來自于網(wǎng)絡(luò)內(nèi)部，也就是說，“堡壘”是從內(nèi)部被攻破的。另外，在相當(dāng)一部分黑客攻擊當(dāng)中，黑客都能輕易地繞過防火墻而攻擊網(wǎng)站服務(wù)器。這就使人們認識到：僅靠防火墻仍然遠遠不能將“不速之客”拒之門外，還必須借助于一個“補救”環(huán)節(jié)------入侵檢測系統(tǒng)。

入侵檢測系統(tǒng)（Intrusiondetectionsystem,簡稱IDS）是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的行為的系統(tǒng)。作為分層安全中日益被越普遍采用的成份，入侵檢測系統(tǒng)能有效地提升黑客進入網(wǎng)絡(luò)系統(tǒng)的門檻。入侵檢測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖來加強當(dāng)前存取控制系統(tǒng)，例如防火墻；識別防火墻通常用不能識別的攻擊，如來自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息。

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干個關(guān)鍵點收集信息，并分析這些信息，檢測網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監(jiān)控網(wǎng)絡(luò)和計算機系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆。

作為監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案，IDS系統(tǒng)已經(jīng)成為安防體系的重要組成部分。

IDS系統(tǒng)以后臺進程的形式運行。發(fā)現(xiàn)可疑情況，立即通知有關(guān)人員。

防火墻為網(wǎng)絡(luò)提供了第一道防線，入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤解操作的實時保護。由于入侵檢測系統(tǒng)是防火墻后的又一道防線，從二可以極大地減少網(wǎng)絡(luò)免受各種攻擊的損害。

假如說防火墻是一幢大樓的門鎖，那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進入大樓，但不能保證小偷100%地被拒之門外，更不能防止大樓內(nèi)部個別人員的不良企圖。而一旦小偷爬入大樓，或內(nèi)部人員有越界行為，門鎖就沒有任何作用了，這時，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測系統(tǒng)不僅僅針對外來的入侵者，同時也針對內(nèi)部的入侵行為。

2侵檢測的主要技術(shù)————入侵分析技術(shù)

入侵分析技術(shù)主要有三大類：簽名、統(tǒng)計和數(shù)據(jù)完整性。

簽名分析法

名分析法主要用來檢測有無對系統(tǒng)的已知弱點進行的攻擊行為。這類攻擊可以通過監(jiān)視有無針對特定對象的某種行為而被檢測到。

主要方法：從攻擊模式中歸納出其簽名，編寫到IDS系統(tǒng)的代碼里，再由IDS系統(tǒng)對檢測過程中收集到的信息進行簽名分析。

簽名分析實際上是一個模板匹配操作，匹配的一方是系統(tǒng)設(shè)置情況和用戶操作動作，一方是已知攻擊模式的簽名數(shù)據(jù)庫。

統(tǒng)計分析法

統(tǒng)計分析法是以系統(tǒng)正常使用情況下觀察到的動作為基礎(chǔ)，如果某個操作偏離了正常的軌道，此操作就值得懷疑。

主要方法：首先根據(jù)被檢測系統(tǒng)的正常行為定義一個規(guī)律性的東西，在此稱為“寫照”，然后檢測有沒有明顯偏離“寫照”的行為。

統(tǒng)計分析法的理論經(jīng)常是統(tǒng)計學(xué)，此方法中，“寫照”的確定至關(guān)重要。

數(shù)據(jù)完整分析法

數(shù)據(jù)完整分析法主要用來查證文件或?qū)ο笫欠癖恍薷倪^，它的理論經(jīng)常是密碼學(xué)。

3侵檢測系統(tǒng)的分類：

現(xiàn)有的IDS的分類，大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應(yīng)等各個層次及系統(tǒng)性研究方面的問題，在這里采用五類標(biāo)準(zhǔn)：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。

按照控制策略分類

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個中央節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式IDS中，監(jiān)控和探測是由本地的一個控制點控制，層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中，監(jiān)控和探測是使用一種叫“”的方法，進行分析并做出響應(yīng)決策。

按照同步技術(shù)分類

同步技術(shù)是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技中，信息源是以文件的形式傳給分析器，一次只處理特定時間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時將結(jié)果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且立刻得到處理和反映。實時IDS是基于網(wǎng)絡(luò)IDS首選的方案。

按照信息源分類

按照信息源分類是目前最通用的劃分方法，它分為基于主機的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊。基于主機的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。分布式IDS，能夠同時分析來自主機系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個部件組成，采用分布式結(jié)構(gòu)。

按照分析方法分類

按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中，首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫，當(dāng)收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法，因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正常或者所期望的系統(tǒng)和用戶活動規(guī)律而被檢測出來。所以它需要一個記錄合法活動的數(shù)據(jù)庫，由于庫的有限性使得虛警率比較高。

按照響應(yīng)方式分類

按照響應(yīng)方式IDS劃分為主動響應(yīng)IDS和被動響應(yīng)IDS。當(dāng)特定的入侵被檢測到時，主動IDS會采用以下三種響應(yīng)：收集輔助信息；改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞；對攻擊者采取行動（這是一種不被推薦的做法，因為行為有點過激）。被動響應(yīng)IDS則是將信息提供給系統(tǒng)用戶，依靠管理員在這一信息的基礎(chǔ)上采取進一步的行動。

4IDS的評價標(biāo)準(zhǔn)

目前的入侵檢測技術(shù)發(fā)展迅速，應(yīng)用的技術(shù)也很廣泛，如何來評價IDS的優(yōu)缺點

就顯得非常重要。評價IDS的優(yōu)劣主要有這樣幾個方面[5]：（1）準(zhǔn)確性。準(zhǔn)確性是指IDS不會標(biāo)記環(huán)境中的一個合法行為為異常或入侵。（2）性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說，必須要求性能良好。（3）完整性。完整性是指IDS能檢測出所有的攻擊。（4）故障容錯（faulttolerance）。當(dāng)被保護系統(tǒng)遭到攻擊和毀壞時，能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。（5）自身抵抗攻擊能力。這一點很重要，尤其是“拒絕服務(wù)”攻擊。因為多數(shù)對目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS，再實施對系統(tǒng)的攻擊。（6）及時性（Timeliness）。一個IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果，以便在系統(tǒng)造成嚴重危害之前能及時做出反應(yīng)，阻止攻擊者破壞審計數(shù)據(jù)或IDS本身。

除了上述幾個主要方面，還應(yīng)該考慮以下幾個方面：（1）IDS運行時，額外的計算機資源的開銷；（2）誤警報率／漏警報率的程度；（3）適應(yīng)性和擴展性；（4）靈活性；（5）管理的開銷；（6）是否便于使用和配置。

5IDS的發(fā)展趨

隨著入侵檢測技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實踐中。入侵檢測系統(tǒng)的典型代表是ISS（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）公司的RealSecure。目前較為著名的商用入侵檢測產(chǎn)品還有：NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall－3等。國內(nèi)的該類產(chǎn)品較少，但發(fā)展很快，已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。

人們在完善原有技術(shù)的基礎(chǔ)上，又在研究新的檢測方法，如數(shù)據(jù)融合技術(shù)，主動的自主方法，智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為：

（1）大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機或網(wǎng)絡(luò)框架，顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測，不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測技術(shù)。

（2）寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層出不窮，如何實現(xiàn)高速網(wǎng)絡(luò)下的實時入侵檢測成為一個現(xiàn)實的問題。

（3）入侵檢測的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先，目前的技術(shù)還不能對付訓(xùn)練有素的黑客的復(fù)雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對大量的數(shù)據(jù)處理，非但無助于解決問題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列問題的好方法。

（4）與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻，病毒防護以及電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。

第二章網(wǎng)絡(luò)管理

2.1概述

隨著計算機技術(shù)和Internet的發(fā)展，企業(yè)和政府部門開始大規(guī)模的建立網(wǎng)絡(luò)來推動電子商務(wù)和政務(wù)的發(fā)展，伴隨著網(wǎng)絡(luò)的業(yè)務(wù)和應(yīng)用的豐富，對計算機網(wǎng)絡(luò)的管理與維護也就變得至關(guān)重要。人們普遍認為，網(wǎng)絡(luò)管理是計算機網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一，尤其在大型計算機網(wǎng)絡(luò)中更是如此。網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱。其目標(biāo)是確保計算機網(wǎng)絡(luò)的持續(xù)正常運行，并在計算機網(wǎng)絡(luò)運行出現(xiàn)異常時能及時響應(yīng)和排除故障。

關(guān)于網(wǎng)絡(luò)管理的定義目前很多，但都不夠權(quán)威。一般來說，網(wǎng)絡(luò)管理就是通過某種方式對網(wǎng)絡(luò)進行管理，使網(wǎng)絡(luò)能正常高效地運行。其目的很明確，就是使網(wǎng)絡(luò)中的資源得到更加有效的利用。它應(yīng)維護網(wǎng)絡(luò)的正常運行，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時能及時報告和處理，并協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效運行等。國際標(biāo)準(zhǔn)化組織（ISO）在ISO/IEC7498-4中定義并描述了開放系統(tǒng)互連（OSI）管理的術(shù)語和概念，提出了一個OSI管理的結(jié)構(gòu)并描述了OSI管理應(yīng)有的行為。它認為，開放系統(tǒng)互連管理是指這樣一些功能，它們控制、協(xié)調(diào)、監(jiān)視OSI環(huán)境下的一些資源，這些資源保證OSI環(huán)境下的通信。通常對一個網(wǎng)絡(luò)管理系統(tǒng)需要定義以下內(nèi)容：

○系統(tǒng)的功能。即一個網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有哪些功能。

○網(wǎng)絡(luò)資源的表示。網(wǎng)絡(luò)管理很大一部分是對網(wǎng)絡(luò)中資源的管理。網(wǎng)絡(luò)中的資源就是指網(wǎng)絡(luò)中的硬件、軟件以及所提供的服務(wù)等。而一個網(wǎng)絡(luò)管理系統(tǒng)必須在系統(tǒng)中將它們表示出來，才能對其進行管理。

網(wǎng)絡(luò)管理信息的表示。網(wǎng)絡(luò)管理系統(tǒng)對網(wǎng)絡(luò)的管理主要靠系統(tǒng)中網(wǎng)絡(luò)管理信息的傳遞來實現(xiàn)。網(wǎng)絡(luò)管理信息應(yīng)如何表示、怎樣傳遞、傳送的協(xié)議是什么?這都是一個網(wǎng)絡(luò)管理系統(tǒng)必須考慮的問題。

○系統(tǒng)的結(jié)構(gòu)。即網(wǎng)絡(luò)管理系統(tǒng)的結(jié)構(gòu)是怎樣的。

網(wǎng)絡(luò)管理這一學(xué)科領(lǐng)域自20世紀(jì)80年代起逐漸受到重視，許多國際標(biāo)準(zhǔn)化組織、論壇和科研機構(gòu)都先后開發(fā)了各類標(biāo)準(zhǔn)、協(xié)議來指導(dǎo)網(wǎng)絡(luò)管理與設(shè)計，但各種網(wǎng)絡(luò)系統(tǒng)在結(jié)構(gòu)上存在著或大或小的差異，至今還沒有一個大家都能接受的標(biāo)準(zhǔn)。當(dāng)前，網(wǎng)絡(luò)管理技術(shù)主要有以下三種：誕生于Internte家族的SNMP是專門用于對Internet進行管理的，雖然它有簡單適用等特點，已成為當(dāng)前網(wǎng)絡(luò)界的實際標(biāo)準(zhǔn)，但由于Internet本身發(fā)展的不規(guī)范性，使SNMP有先天性的不足，難以用于復(fù)雜的網(wǎng)絡(luò)管理，只適用于TCP/IP網(wǎng)絡(luò)，在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本，其中SNMPv2主要在安全方面有所補充。隨著新的網(wǎng)絡(luò)技術(shù)及系統(tǒng)的研究與出現(xiàn)，電信網(wǎng)、有線網(wǎng)、寬帶網(wǎng)等的融合，使原來的SNMP已不能滿足新的網(wǎng)絡(luò)技術(shù)的要求；CMIP可對一個完整的網(wǎng)絡(luò)管理方案提供全面支持，在技術(shù)和標(biāo)準(zhǔn)上比較成熟.最大的優(yōu)勢在于，協(xié)議中的變量并不僅僅是與終端相關(guān)的一些信息，而且可以被用于完成某些任務(wù)，但正由于它是針對SNMP的不足而設(shè)計的，因此過于復(fù)雜，實施費用過高，還不能被廣泛接受；分布對象網(wǎng)絡(luò)管理技術(shù)是將CORBA技術(shù)應(yīng)用于網(wǎng)絡(luò)管理而產(chǎn)生的，主要采用了分布對象技術(shù)將所有的管理應(yīng)用和被管元素都看作分布對象，這些分布對象之間的交互就構(gòu)成了網(wǎng)絡(luò)管理.此方法最大的特點是屏蔽了編程語言、網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的差異，提供了多種透明性，因此適應(yīng)面廣，開發(fā)容易，應(yīng)用前景廣闊.SNMP和CMIP這兩種協(xié)議由于各自有其擁護者，因而在很長一段時期內(nèi)不會出現(xiàn)相互替代的情況，而如果由完全基于CORBA的系統(tǒng)來取代，所需要的時間、資金以及人力資源等都過于龐大，也是不能接受的.所以，CORBA，SNMP，CMIP相結(jié)合成為基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)是當(dāng)前研究的主要方向。

網(wǎng)絡(luò)管理協(xié)議

網(wǎng)絡(luò)管理協(xié)議一般為應(yīng)用層級協(xié)議，它定義了網(wǎng)絡(luò)管理信息的類別及其相應(yīng)的確切格式，并且提供了網(wǎng)絡(luò)管理站和網(wǎng)絡(luò)管理節(jié)點間進行通訊的標(biāo)準(zhǔn)或規(guī)則。

網(wǎng)絡(luò)管理系統(tǒng)通常由管理者(Manager)和(Agent)組成，管理者從各那兒采集管理信息，進行加工處理，從而提供相應(yīng)的網(wǎng)絡(luò)管理功能，達到對管理之目的。即管理者與之間孺要利用網(wǎng)絡(luò)實現(xiàn)管理信息交換，以完成各種管理功能，交換管理信息必須遵循統(tǒng)一的通信規(guī)約，我們稱這個通信規(guī)約為網(wǎng)絡(luò)管理協(xié)議。

目前有兩大網(wǎng)管協(xié)議，一個是由IETF提出來的簡單網(wǎng)絡(luò)管理協(xié)議SNMP，它是基于TCP/IP和Internet的。因為TCP/IP協(xié)議是當(dāng)今網(wǎng)絡(luò)互連的工業(yè)標(biāo)準(zhǔn)，得到了眾多廠商的支持，因此SNMP是一個既成事實的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)協(xié)議。SNMP的特點主要是采用輪詢監(jiān)控，管理者按一定時間間隔向者請求管理信息，根據(jù)管理信息判斷是否有異常事件發(fā)生。輪詢監(jiān)控的主要優(yōu)點是對的要求不高；缺點是在廣域網(wǎng)的情形下，輪詢不僅帶來較大的通信開銷，而且輪詢所獲得的結(jié)果無法反映最新的狀態(tài)。

另一個是ISO定義的公共管理信息協(xié)議CMIP。CMIP是以O(shè)SI的七層協(xié)議棧作為基礎(chǔ)，它可以對開放系統(tǒng)互連環(huán)境下的所有網(wǎng)絡(luò)資源進行監(jiān)測和控制，被認為是未來網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)協(xié)議。CMIP的特點是采用委托監(jiān)控，當(dāng)對網(wǎng)絡(luò)進行監(jiān)控時，管理者只需向發(fā)出一個監(jiān)控請求，會自動監(jiān)視指定的管理對象，并且只是在異常事件(如設(shè)備、線路故障)發(fā)生時才向管理者發(fā)出告警，而且給出一段較完整的故障報告，包括故障現(xiàn)象、故障原因。委托監(jiān)控的主要優(yōu)點是網(wǎng)絡(luò)管理通信的開銷小、反應(yīng)及時，缺點是對的軟硬件資源要求高，要求被管站上開發(fā)許多相應(yīng)的程序，因此短期內(nèi)尚不能得到廣泛的支持。

網(wǎng)絡(luò)管理系統(tǒng)的組成

網(wǎng)絡(luò)管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模，任何網(wǎng)管系統(tǒng)無論其規(guī)模大小如何，基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成。

網(wǎng)管軟件平臺提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能以及網(wǎng)絡(luò)用戶分布方面的基本管理。目前決大多數(shù)網(wǎng)管軟件平臺都是在UNIX和DOS/WINDOWS平臺上實現(xiàn)的。目前公認的三大網(wǎng)管軟件平臺是：HPView、IBMNetview和SUNNetmanager。雖然它們的產(chǎn)品形態(tài)有不同的操作系統(tǒng)的版本，但都遵循SNMP協(xié)議和提供類似的網(wǎng)管功能。

不過，盡管上述網(wǎng)管軟件平臺具有類似的網(wǎng)管功能，但是它們在網(wǎng)管支撐軟件的支持、系統(tǒng)的可靠性、用戶界面、操作功能、管理方式和應(yīng)用程序接口，以及數(shù)據(jù)庫的支持等方面都存在差別。可能在其它操作系統(tǒng)之上實現(xiàn)的Netview、Openview、Netmanager網(wǎng)管軟件平臺版本僅是標(biāo)準(zhǔn)Netview、Openview、Netmanager的子集。例如，在MSWindows操作系統(tǒng)上實現(xiàn)的Netview網(wǎng)管軟件平臺版本NetviewforWindows便僅僅只是Netview的子集。

網(wǎng)管支撐軟件是運行于網(wǎng)管軟件平臺之上，支持面向特定網(wǎng)絡(luò)功能、網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)管理的支撐軟件系統(tǒng)。

網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商往往為其生產(chǎn)的網(wǎng)絡(luò)設(shè)備開發(fā)專門的網(wǎng)絡(luò)管理軟件。這類軟件建立在網(wǎng)絡(luò)管理平臺之上，針對特定的網(wǎng)絡(luò)管理設(shè)備，通過應(yīng)用程序接口與平臺交互，并利用平臺提供的數(shù)據(jù)庫和資源，實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，比如CiscoWorks就是這種類型的網(wǎng)絡(luò)管理軟件，它可建立在HPOpenView和IBMNetview等管理平臺之上，管理廣域互聯(lián)網(wǎng)絡(luò)中的Cisco路由器及其它設(shè)備。通過它，可以實現(xiàn)對Cisco的各種網(wǎng)絡(luò)互聯(lián)設(shè)備（如路由器、交換機等）進行復(fù)雜網(wǎng)絡(luò)管理。

網(wǎng)絡(luò)管理的體系結(jié)構(gòu)

網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)（簡稱網(wǎng)絡(luò)拓撲）是決定網(wǎng)絡(luò)管理性能的重要因素之一。通常可以分為集中式和非集中式兩類體系結(jié)構(gòu)。

目前，集中式網(wǎng)管體系結(jié)構(gòu)通常采用以平臺為中心的工作模式，該工作模式把單一的管理者分成兩部分：管理平臺和管理應(yīng)用。管理平臺主要關(guān)心收集的信息并進行簡單的計算，而管理應(yīng)用則利用管理平臺提供的信息進行決策和執(zhí)行更高級的功能。

非集中方式的網(wǎng)絡(luò)管理體系結(jié)構(gòu)包括層次方式和分布式。層次方式采用管理者的管理者MOM（Managerofmanager）的概念，以域為單位，每個域有一個管理者，它們之間的通訊通過上層的MOM，而不直接通訊。層次方式相對來說具有一定的伸縮性：通過增加一級MOM，層次可進一步加深。分布式是端對端（peertopeer）的體系結(jié)構(gòu)，整個系統(tǒng)有多個管理方，幾個對等的管理者同時運行于網(wǎng)絡(luò)中，每個管理者負責(zé)管理系統(tǒng)中一個特定部分“域”，管理者之間可以相互通訊或通過高級管理者進行協(xié)調(diào)。

對于選擇集中式還是非集中式，這要根據(jù)實際場合的需要來決定。而介于兩者之間的部分分布式網(wǎng)管體系結(jié)構(gòu)，則是近期發(fā)展起來的兼顧兩者優(yōu)點的一種新型網(wǎng)管體系結(jié)構(gòu)

2.2常見的幾種網(wǎng)絡(luò)管理技術(shù)

基于WEB的網(wǎng)絡(luò)管理模式

隨著Internet技術(shù)的廣泛應(yīng)用，Intranet也正在悄然取代原有的企業(yè)內(nèi)部局域網(wǎng)，由于異種平臺的存在及網(wǎng)絡(luò)管理方法和模型的多樣性，使得網(wǎng)絡(luò)管理軟件開發(fā)和維護的費用很高，培訓(xùn)管理人員的時間很長，因此人們迫切需要尋求高效、方便的網(wǎng)絡(luò)管理模式來適應(yīng)網(wǎng)絡(luò)高速發(fā)展的新形勢。隨著Intranet和WEB及其開發(fā)工具的迅速發(fā)展，基于WEB的網(wǎng)絡(luò)管理技術(shù)也因此應(yīng)運而生。基于WEB的網(wǎng)管解決方案主要有以下幾方面的優(yōu)點：（1）地理上和系統(tǒng)間的可移動性：系統(tǒng)管理員可以在Intranet上的任何站點或Internet的遠程站點上利用WEB瀏覽器透明存取網(wǎng)絡(luò)管理信息；（2）統(tǒng)一的WEB瀏覽器界面方便了用戶的使用和學(xué)習(xí)，從而可節(jié)省培訓(xùn)費用和管理開銷；（3）管理應(yīng)用程序間的平滑鏈接：由于管理應(yīng)用程序獨立于平臺，可以通過標(biāo)準(zhǔn)的HTTP協(xié)議將多個基于WEB的管理應(yīng)用程序集成在一起，實現(xiàn)管理應(yīng)用程序間的透明移動和訪問；（4）利用JAVA技術(shù)能夠迅速對軟件進行升級。為了規(guī)范和促進基于WEB的網(wǎng)管系統(tǒng)開發(fā)，目前已相繼公布了兩個主要推薦標(biāo)準(zhǔn)：WEBM和JMAPI。兩個推薦標(biāo)準(zhǔn)各有其特色，并基于不同的原理提出。

WEBM方案仍然支持現(xiàn)存的管理標(biāo)準(zhǔn)和協(xié)議，它通過WEB技術(shù)對不同管理平臺所提供的分布式管理服務(wù)進行集成，并且不會影響現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。JMAPI是一種輕型的管理基礎(chǔ)結(jié)構(gòu)，采用JMAPI來開發(fā)集成管理工具存在以下優(yōu)點：平臺無關(guān)、高度集成化、消除程序版本分發(fā)問題、安全性和協(xié)議無關(guān)性。

2.分布對象網(wǎng)絡(luò)管理技術(shù)

目前廣泛采用的網(wǎng)絡(luò)管理系統(tǒng)模式是一種基于Client/Server技術(shù)的集中式平臺模式。由于組織結(jié)構(gòu)簡單，自應(yīng)用以來，已經(jīng)得到廣泛推廣，但同時也存在著許多缺陷：一個或幾個站點負責(zé)收集分析所有網(wǎng)絡(luò)節(jié)點信息，并進行相應(yīng)管理，造成中心網(wǎng)絡(luò)管理站點負載過重；所有信息送往中心站點處理，造成此處通信瓶頸；每個站點上的程序是預(yù)先定義的，具有固定功能，不利于擴展。隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模尤其是因特網(wǎng)的發(fā)展，集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限，已不能適應(yīng)發(fā)展的需要.

CORBA技術(shù)

CORBA技術(shù)是對象管理組織OMG推出的工業(yè)標(biāo)準(zhǔn)，主要思想是將分布計算模式和面向?qū)ο笏枷虢Y(jié)合在一起，構(gòu)建分布式應(yīng)用。CORBA的主要目標(biāo)是解決面向?qū)ο蟮漠悩?gòu)應(yīng)用之間的互操作問題，并提供分布式計算所需要的一些其它服務(wù)。OMG是CORBA平臺的核心，

它用于屏蔽與底層平臺有關(guān)的細節(jié)，使開發(fā)者可以集中精力去解決與應(yīng)用相關(guān)的問題，而不必自己去創(chuàng)建分布式計算基礎(chǔ)平臺。CORBA將建立在ORB之上的所有分布式應(yīng)用看作分布計算對象，每個計算對象向外提供接口，任何別的對象都可以通過這個接口調(diào)用該對象提供的服務(wù)。CORBA同時提供一些公共服務(wù)設(shè)施，例如名字服務(wù)、事務(wù)服務(wù)等，借助于這些服務(wù)，CORBA可以提供位置透明性、移動透明性等分布透明性。

CORBA的一般結(jié)構(gòu)

基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)通常按照Client/Server的結(jié)構(gòu)進行構(gòu)造。其中，服務(wù)方是指針對網(wǎng)絡(luò)元素和數(shù)據(jù)庫組成的被管對象進行的一些基本網(wǎng)絡(luò)服務(wù)，例如配置管理、性能管理等.客戶方則是面向用戶的一些界面，或者提供給用戶進一步開發(fā)的管理接口等。其中，從網(wǎng)絡(luò)元素中獲取的網(wǎng)絡(luò)管理信息通常需要經(jīng)過CORBA/SNMP網(wǎng)關(guān)或CORBA/CMIP網(wǎng)關(guān)進行轉(zhuǎn)換，這一部分在有的網(wǎng)絡(luò)管理系統(tǒng)中被抽象成CORBA的概念.從以上分析可以看出，運用CORBA技術(shù)完全能夠?qū)崿F(xiàn)標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理系統(tǒng)。不僅如此，由于CORBA是一種分布對象技術(shù)，基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)能夠克服傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)的不足，在網(wǎng)絡(luò)管理的分布性、可靠性和易開發(fā)性方面達到一個新的高度。

2.3統(tǒng)一不同的網(wǎng)絡(luò)管理系統(tǒng)面臨的問題

統(tǒng)一的不同層面

網(wǎng)絡(luò)管理的統(tǒng)一存在三個層次。

站點級的統(tǒng)計，這是最低級的統(tǒng)一，不同的網(wǎng)絡(luò)管理系統(tǒng)在同一服務(wù)器上運行，相互獨立，是不同的NMS。

GUI級的統(tǒng)一，指不同的網(wǎng)絡(luò)管理系統(tǒng)操作界面風(fēng)格統(tǒng)一，運用的術(shù)語相同，管理員面對的是一種操作語言，這是一種表面上的統(tǒng)一，具有友好的一次性學(xué)習(xí)的界面。

管理應(yīng)用級的統(tǒng)一，這是最高級別的統(tǒng)一。在這個級別上，不但實現(xiàn)了GUI的統(tǒng)一，各種網(wǎng)絡(luò)管理系統(tǒng)的管理應(yīng)用程序按照統(tǒng)一標(biāo)準(zhǔn)設(shè)計，應(yīng)用程序間可進行信息共享和關(guān)聯(lián)操作。在這一層面上的統(tǒng)一實現(xiàn)了對異構(gòu)網(wǎng)的綜合分析與管理，進行關(guān)聯(lián)操作，網(wǎng)管系統(tǒng)可具有推理判斷能力。

統(tǒng)一的內(nèi)容

網(wǎng)絡(luò)管理系統(tǒng)統(tǒng)一可從三個方面依次去實現(xiàn)，即操作界面的統(tǒng)

一、網(wǎng)管協(xié)議的統(tǒng)網(wǎng)管功能的統(tǒng)一。

界面的統(tǒng)一

網(wǎng)絡(luò)管理系統(tǒng)是管理的工具，但歸根到底是要人去操作管理，操作界面的優(yōu)劣會對管理員產(chǎn)生很大影響。不同網(wǎng)管系統(tǒng)具有不同的操作界面，要求管理員分別學(xué)習(xí)，或增加管理員人數(shù)，形成人力浪費。現(xiàn)在沒有統(tǒng)一的網(wǎng)管用戶界面的統(tǒng)一標(biāo)準(zhǔn)。現(xiàn)有的網(wǎng)管系統(tǒng)幾乎都實現(xiàn)了圖形界面，但既有基于UNIX操作系統(tǒng)的又有基于WINDOWS操作系統(tǒng)，且界面的格式千差萬別，給管理員的工作增加困難。

網(wǎng)管協(xié)議的統(tǒng)一

管理協(xié)議是NMS核心和管理之間進行信息交換遵循的標(biāo)準(zhǔn)，是網(wǎng)管系統(tǒng)統(tǒng)一的關(guān)鍵所在。目前流行的兩種網(wǎng)管協(xié)議為SNMP(SimpleNetworkManagementProtocal)和CMIS/CMIP(CommonMangementInformationProtocal).SNMP是由互聯(lián)網(wǎng)活動委員會IAB提出的基于TCP/IP網(wǎng)管協(xié)議，CMIP是由國際標(biāo)準(zhǔn)化組織ISO開發(fā)的基于網(wǎng)絡(luò)互聯(lián)的網(wǎng)管協(xié)議。網(wǎng)管協(xié)議的統(tǒng)一就是指這兩種協(xié)議的統(tǒng)一

網(wǎng)管功能的統(tǒng)一

在ISO標(biāo)準(zhǔn)中定義了配置管理、故障管理、性能管理、安全管理、計費管理等領(lǐng)域。現(xiàn)有的網(wǎng)管系統(tǒng)在網(wǎng)管規(guī)范尚未成熟就進行了開發(fā)，大都是實現(xiàn)了部分模塊的部分功能。這些網(wǎng)管系統(tǒng)功能單一，相互獨立，不能實現(xiàn)信息的共享。不能從宏觀上實現(xiàn)管理，不利于網(wǎng)絡(luò)的綜合管理。

統(tǒng)一的策略

將多個網(wǎng)絡(luò)管理系統(tǒng)統(tǒng)一在一起的方法有三種，一種是格式轉(zhuǎn)換法，即各個子網(wǎng)管理系統(tǒng)通過程序進行格式的轉(zhuǎn)換，以便相互識別和共享資源，是一種分散式管理方式。另一種使用分層網(wǎng)管平臺，即建立更高級的管理系統(tǒng)，高級網(wǎng)管系統(tǒng)和低級網(wǎng)管系統(tǒng)間進行通信，分層管理，是一種分布式管理方式。第三種是標(biāo)準(zhǔn)化方法，是遵循標(biāo)準(zhǔn)的規(guī)范和協(xié)議，建立的綜合網(wǎng)絡(luò)管理系統(tǒng)。

使用分層的網(wǎng)管平臺是當(dāng)前較為流行的方法，如現(xiàn)在廣泛研究和討論的基于CORBA的TMN(TelecomunicationManagementNetwork)就是將TMN中的管理者通過ORB(ObjectRequestBroker)連接起來，實現(xiàn)不同管理系統(tǒng)的統(tǒng)一。

格式轉(zhuǎn)換法是目前使用較多的方法，如運營商要求網(wǎng)管系統(tǒng)對外提供統(tǒng)一的數(shù)據(jù)收集、告警信息。

協(xié)議標(biāo)準(zhǔn)化方法是統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)的趨勢和方向,電信管理網(wǎng)TMN就是在電信領(lǐng)域內(nèi)的一種標(biāo)準(zhǔn)協(xié)議，使得不同的廠商、不同的軟硬件網(wǎng)管產(chǎn)品的統(tǒng)一管理成為可能。標(biāo)準(zhǔn)化實現(xiàn)統(tǒng)一的網(wǎng)管功能，包括網(wǎng)管協(xié)議的標(biāo)準(zhǔn)化、管理信息集模型的標(biāo)準(zhǔn)化和高層管理應(yīng)用程序功能的統(tǒng)一規(guī)劃。

格式轉(zhuǎn)換和應(yīng)用網(wǎng)管平臺的策略是基于現(xiàn)有網(wǎng)管系統(tǒng)的基礎(chǔ)上統(tǒng)一網(wǎng)管系統(tǒng)，而標(biāo)準(zhǔn)法策略則不考慮現(xiàn)有網(wǎng)管系統(tǒng)而重新設(shè)計一套新的標(biāo)準(zhǔn)，或是對現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)進行較大改進，考慮到我們當(dāng)前的網(wǎng)絡(luò)管理發(fā)展的現(xiàn)狀，還是以格式轉(zhuǎn)換和應(yīng)用網(wǎng)管平臺方式統(tǒng)一網(wǎng)絡(luò)系統(tǒng)。

網(wǎng)絡(luò)管理系統(tǒng)實現(xiàn)統(tǒng)一的方法

當(dāng)前網(wǎng)絡(luò)管理的統(tǒng)一主要涉及兩個方面，一是網(wǎng)管協(xié)議的統(tǒng)一。另一種是分布系統(tǒng)的統(tǒng)一，即在CORBA環(huán)境下的統(tǒng)一。它是基于面向?qū)ο蟮木W(wǎng)管平臺和格式轉(zhuǎn)換的策略。

2.4網(wǎng)絡(luò)管理協(xié)議SNMP和CMIP的統(tǒng)一

SNMP和CMIP在它們的范圍、復(fù)雜性、以及解決網(wǎng)絡(luò)管理問題的方法方面有很大的不同。SNMP被設(shè)計的很簡單，使它非常易于在TCP/IP系統(tǒng)中普及。目前這已經(jīng)成為事實。可是這一特點也不太適合大型的、復(fù)雜的、多企業(yè)的網(wǎng)絡(luò)。相對應(yīng)的，CMIP被設(shè)計的比較通用和靈活。但這也同時提高了復(fù)雜性。SNMP和CMIP的統(tǒng)一是指分別支持這兩種協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)信息互通，互相兼容。

SNMP和CMIP統(tǒng)一有兩種思想，一種是兩種協(xié)議共存，一種是兩種協(xié)議的互作用。

協(xié)議共存可有三種方法實現(xiàn)，一是建立雙協(xié)議棧，二是建立混合協(xié)議棧，三是通用應(yīng)用程序接口(APIs)。雙協(xié)議棧的方法要求被管設(shè)備同時支持兩種體系結(jié)構(gòu)，但這要求被管設(shè)備要有很高的處理能力和存儲能力，開銷大，不實用。混合協(xié)議棧就是建立一種底層協(xié)議棧同時支持這兩種協(xié)議，這樣運行在該協(xié)議棧上的管理系統(tǒng)可同時管理支持SNMP的設(shè)備和支持CMIP的設(shè)備，為了使CMIP能在內(nèi)存有限的設(shè)備上運行，IBM和3COM聯(lián)合為IEEE802.1b開發(fā)了一個特殊的邏輯鏈路控制上的CMIP(CMOL)，因為它取消了很多高層協(xié)議開銷，減少了對設(shè)備處理能力和內(nèi)存的需求，并且不需要考慮底層的協(xié)議，但同時由于缺少網(wǎng)絡(luò)層，失去了跨越互聯(lián)網(wǎng)絡(luò)的能力。多廠商管理平臺定義了一套開放的應(yīng)用程序接口(APIs)，允許開發(fā)商開發(fā)管理軟件而不用關(guān)心管理協(xié)議的一些細節(jié)描述、數(shù)據(jù)定義、和特殊的用戶接口。如圖2所示為HPOpenView利用XMP(X/OpenManagementProtocol)API來實現(xiàn)多協(xié)議管理平臺的結(jié)構(gòu)。其中Postmaster用來管理在網(wǎng)絡(luò)對象間的通信，如管理者和之間的請求和相應(yīng)，而ORS(ObjectRegistrationServices)為每個產(chǎn)生一個目錄，紀(jì)錄它們的位置和采用的協(xié)議。