网吧经营 2004年9月封面
点击此处查看全部科技图片
文/秋 水
网管中的安全问题
一般人们把目光更多地关注在网络设备的安全上,其实网管系统的安全问题也同样很重要。网管系统的安全可以分为两个层面,一个是网管系统自身的安全,另一个是网管系
统对网络造成的影响。
首先谈谈网管系统自身的安全。在组网设计时,最好将网管网和业务网通过物理网络、VLAN、独立的VPN等隔离,尽量不要将网管站暴露在公网上,减少受攻击的机会。此外,还可以采用在网管站与外界之间增加防火墙,进行访问控制和过滤。对网管站本身,关闭不使用的服务和端口,增加操作系统的安全级别,增加UPS等,减少系统Down机的可能。在以上安全措施都失效的情况下,最实用的措施就是做好整个系统的备份,提高系统的容错和自动恢复的机制。
下面描述一下网管系统对网络的安全:
首先是网管系统必须提供用户权限控制能力,保证合适的人有合适的权力管理网络。网络管理中有不同的角色,有规划人员、配置人员、监控人员等,另外每个人应该只能管一定范围内的设备。
其次是登录安全以及监控登录后用户的破坏性操作。华为公司固定网网管系统在这方面考虑周全,除了一般的用户口令比较外,对登录的客户端IP地址可以进行限制,甚至可以做到限制某个用户只能在某个客户端登录。客户端和服务器之间的用户登录口令等敏感信息的加密传送。操作过程均有日志记录,系统管理员可以对登录人员的操作进行实时监控。
最后一点是最重要的一点,就是网管管理设备的通道必须是安全的。
基于WEB的网管(WBM)
WBM(Web-Based Management)技术允许管理人员通过与WWW同样的能力去监测他们的网络。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络,将使网管人员管理网络的方式得以改善。WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。管理人员应用WBM能够通过任何Web浏览器、在任何站点均可以监测和控制网络,所以他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。浏览器操作和Web页面对WWW用户来讲是非常熟悉的,所以WBM的结果必然是既降低人员培训的费用又促进了更多的用户去利用网络运行状态信息。
WBM有两种基本的实现方法,它们之间平行地发展而且互不干涉:
第一是代理方案,也就是将一个Web服务器加到一个内部工作站(代理)上,这个工作站与设备通信,浏览器用户通过Http协议与代理通信,同时代理通过Snmp协议与设备通信。
第二种实现WBM方式——嵌入方式,将Web能力真正地嵌入到网络设备中,每个设备有它自己的Web地址,管理人员可轻松地通过浏览器访问到该设备并且管理。
代理方式保留了现存的基于工作站的网管系统及设备的全部优点,同时还增加了访问灵活的优点。既然代理与所有网络设备通信,那么它当然能提供一个公司的所有物理设备的全体映像,就像一个虚拟的网那样。代理与设备之间的通信沿用SNMP,所以这种方案的实施只需要那些“传统”的设备即可。嵌入方式给各独立设备带来了图形化的管理。这一点保障了非常简单易用的接口,优于现在的命令行或基于菜单的远程登录界面。Web接口可提供更简单的操作而不损失功能。
未来的网络,基于代理和基于嵌入的两种网管方案都将被应用。一个大型的机构可能需要继续通过所谓的代理方式来进行全部网络的网络监测与管理,而且代理方案也能够充分管理大型机构中的纯粹SNMP设备。嵌入方式对于小规模的环境也许更为理想,小型网络系统简单并且不需要强有力的管理系统以及公司全面视图。另外,基于Web的设备提供真正的即插即用安装,这将减少安装时间、故障排除时间。※
| 
