如何確保計算機網絡安全

錢樹新

網絡管理的目的就是確保一定范圍內的網絡及其網絡設備能夠穩(wěn)定、可靠、高效地運行，使所有的網絡資源處于良好的運行狀態(tài)，達到用戶預期的要求。

一、WBM 技術介紹

隨著應用Intranet的企業(yè)的增多，同時Internet技術逐漸向Intranet的遷移，一些主要的網絡廠商正試圖以一種新的形式去應用M I S 。因此就促使了W e b （ W e b - B a s e dManagement）網管技術的產生[2]。它作為一種全新的網絡管理模式—基于Web的網絡管理模式，從出現(xiàn)伊始就表現(xiàn)出強大的生命力，以其特有的靈活性、易操作性等特點贏得了許多技術專家和用戶的青睞，被譽為是“將改變用戶網絡管理方式的革命性網絡管理解決方案”。

WBM融合了Web功能與網管技術，從而為網管人員提供了比傳統(tǒng)工具更強有力的能力。WBM可以允許網絡管理人員使用任何一種Web瀏覽器，在網絡任何節(jié)點上方便迅速地配置、控制以及存取網絡和它的各個部分。因此，他們不再只拘泥于網管工作站上了，并且由此能夠解決很多由于多平臺結構產生的互操作性問題。WBM提供比傳統(tǒng)的命令驅動的遠程登錄屏幕更直接、更易用的圖形界面，瀏覽器操作和W e b頁面對W W W用戶來講是非常熟悉的，所以WBM的結果必然是既降低了MIS全體培訓的費用又促進了更多的用戶去利用網絡運行狀態(tài)信息。所以說，WBM是網絡管理方案的一次革命。

二、基于WBM 技術的網管系統(tǒng)設計

1 .系統(tǒng)的設計目標

在本系統(tǒng)設計階段，就定下以開發(fā)基于園區(qū)網、Web模式的具有自主版權的中文網絡管理系統(tǒng)軟件為目標，采用先進的WBM技術和高效的算法，力求在性能上可以達到國外同類產品的水平。

本網管系統(tǒng)提供基于WEB的整套網管解決方案。它針對分布式IP網絡進行有效資源管理，使用戶可以從任何地方通過WEB瀏覽器對網絡和設備，以及相關系統(tǒng)和服務實施應變式管理和控制，從而保證網絡上的資源處于最佳運行狀態(tài)，并保持網絡的可用性和可靠性。

2.系統(tǒng)的體系結構

在系統(tǒng)設計的時候，以國外同類的先進產品作為參照物，同時考慮到技術發(fā)展的趨勢，在當前的技術條件下進行設計。我們采用三層結構的設計，融合了先進的WBM技術，使系統(tǒng)能夠提供給管理員靈活簡便的管理途徑。

三層結構的特點[2]：（1）完成管理任務的軟件作為中間層以后臺進程方式實現(xiàn)，實施網絡設備的輪詢和故障信息的收集；（2）管理中間件駐留在網絡設備和瀏覽器之間，用戶僅需通過管理中間層的主頁存取被管設備；（3）管理中間件中繼轉發(fā)管理信息并進行S N M P 和H T T P之間的協(xié)議轉換三層結構無需對設備作任何改變。

三、網絡拓撲發(fā)現(xiàn)算法的設計

為了實施對網絡的管理，網管系統(tǒng)必須有一個直觀的、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網絡設備的拓撲關系以圖形的方式展現(xiàn)在用戶面前，即拓撲發(fā)現(xiàn)。目前廣泛采用的拓撲發(fā)現(xiàn)算法是基于SNMP的拓撲發(fā)現(xiàn)算法。基于SNMP的拓撲算法在一定程度上是非常有效的，拓撲的速度也非常快。但它存在一個缺陷[3]。那就是，在一個特定的域中，所有的子網的信息都依賴于設備具有SNMP的特性，如果系統(tǒng)不支持SNMP，則這種方法就無能為力了。還有對網絡管理的不重視，或者考慮到安全方面的原因，人們往往把網絡設備的SNMP功能關閉，這樣就難于取得設備的M I B值，就出現(xiàn)了拓撲的不完整性，嚴重影響了網絡管理系統(tǒng)的功能。針對這一的問題，下面討論本系統(tǒng)對上述算法的改進—基于ICMP協(xié)議的拓撲發(fā)現(xiàn)。

1.PING和路由建立

PING的主要操作是發(fā)送報文，并簡單地等待回答。PING之所以如此命名，是因為它是一個簡單的回顯協(xié)議，使用ICMP響應請求與響應應答報文。PING主要由系統(tǒng)程序員用于診斷和調試實現(xiàn)PING的過程主要是：首先向目的機器發(fā)送一個響應請求的ICMP報文，然后等待目的機器的應答，直到超時。如收到應答報文，則報告目的機器運行正常，程序退出。

路由建立的功能就是利用I P 頭中的TTL域。開始時信源設置IP頭的TTL值為0，發(fā)送報文給信宿，第一個網關收到此報文后，發(fā)現(xiàn)TTL值為0，它丟棄此報文，并發(fā)送一個類型為超時的ICMP報文給信源。信源接收到此報文后對它進行解析，這樣就得到了路由中的第一個網關地址。然后信源發(fā)送TTL值為1的報文給信宿，第一個網關把它的TTL值減為0后轉發(fā)給第二個網關，第二個網關發(fā)現(xiàn)報文TTL值為0，丟棄此報文并向信源發(fā)送超時ICMP報文。這樣就得到了路由中和第二個網關地址。如此循環(huán)下去，直到報文正確到達信宿，這樣就得到了通往信宿的路由。

2.網絡拓撲的發(fā)現(xiàn)算法具體實現(xiàn)的步驟：

（1）于給定的IP區(qū)間，利用PING依次檢測每個IP地址，將檢測到的IP地址記錄到IP地址表中。

（2）對第一步中查到的每個IP地址進行traceroute操作，記錄到這些IP地址的路由。并把每條路由中的網關地址也加到IP表中。（3）對IP地址表中的每個IP地址，通過發(fā)送掩碼請求報文與接收掩碼應答報文，找到這些IP地址的子網掩碼。

（4）根據(jù)子網掩碼，確定對應每個IP地址的子網地址，并確定各個子網的網絡類型。把查到的各個子網加入地址表中。

（5）試圖得到與IP地址表中每個IP地址對應的域名（Domain Name），如具有相同域名，則說明同一個網絡設備具有多個IP地址，即具有多個網絡接口。

（6）根據(jù)第二步中的路由與第四步中得到的子網，產生連接情況表。

過去有一些簡單的工具用來幫助網管人員管理網絡資源，但隨著網絡規(guī)模的擴大和復雜度的增加，對強大易用的管理工具的需求也日益顯得迫切，管理人員需要依賴強大的工具完成各種各樣的網絡管理任務，而網絡管理系統(tǒng)就是能夠實現(xiàn)上述目的系統(tǒng)。