面向安全设备的网络管理方法.doc

面向安全设备的网络管理方法 1. 前言 随着信息网络的飞速发展，规模的越来越大，对现代网络管理的功能需求也就越来越复杂，目前这个时期，正是网络管理软件加速发展的黄金时期，原有的标准被不断的更新，目的就是为了满足日益增长的网络管理功能需求、提高网络管理的效率和降低网络管理的成本。 网络管理技术的发展和标准的制定是与现代网络管理的愿望和需求息息相关的，随着信息网络的发展，一些新的概念和新的技术不断地融入到现有的网络结构中，最近几年，人们对现有网络的安全越来越重视，大量网络安全设备不断涌现，如防火墙、入侵检测、安全审计等面向安全的网络设备，这些设备的出现改变了原有的网络管理观念，安全性渐渐成为首要的问题，这对现有的网络管理技术是一个严峻的挑战，今天的网络管理中，网络管理者的愿望和当今网络管理软件的实际实现之间还达不到一致。 下面，我们将针对一般的网络管理的功能需求和面向安全设备的网络管理的功能需求的异同进行探讨。 2. 一般网络管理的功能需求 在OSI参考模型中，将网络管理的功能需求划分为5大类，即故障管理、配置管理、帐务管理、性能管理和安全管理，这5个功能域在当今网络管理的设计和实现中通常都是要考虑的，常用的大中型网管软件如HP OpenView、IBM Tivoli NetView、3Com Supervisor、Cisico Works、Sun NetManager等都实现了故障管理、配置管理、性能管理及部分的帐务管理和安全管理。 从网络管理者的角度，一般的网络管理软件应该具有如下的功能特点： ① 能够实现故障管理、配置管理、性能管理及部分的帐务管理和安全管理功能。 ② 应该具有一定的通用性，广泛支持各种网络设备，覆盖现在的和新的软硬件技术。 ③ 可方便地实现集中或分布式管理（即提供可伸缩的二层或三层管理架构）。 ④ 保护管理信息的安全和被管理设备的安全，避免重要信息和用户权限不被窃取。 ⑤ 自动发现，自动拓扑，并可支持主动发现作为补充。 ⑥ 提供合理的表示方法，对管理信息进行分类或分层处理，使用户可以方便地使用和迅速地定位。 ⑦ 保证管理信息的及时性，尤其是TRAP事件或INFORM事件，可对TRAP事件进行自动分类或过滤处理。 ⑧ 对监控信息提供BASELINE控制，数值达到规定阈值则报警。对危险级别进行分类，达到一定级别就更换不同的颜色，给用户以直观的判断。 ⑨ 提供必要的网络诊断工具，使用户可以不必借助其他工具就可以完成管理过程。 目前比较流行的网管软件基本可以实现以上的功能特点，但还有一些功能实现的不是很理想。下面，我们将对目前流行的通用网管软件的体系结构进行分析。 3. 通用网管软件的体系结构 目前国外比较流行的网管软件包括HP OpenView 、IBM Tivoli NetView、3Com Transcend Network Supervisor、CA Unicenter、Sun NetManager、Fujitsu System Walker、Cabletron NetSight、Novell网络管理方案ManageWise、Cisco网管方案等，国内的网管软件还处于刚刚起步的阶段，相关的产品如华为的RMS网管系统、大唐的GHView网管等电信网管系统及其他如北京游龙科技的SiteView和TCL的TCL-View等网管系统。 这些通用的网管软件一般都采用二层或三层管理架构，如下图所示， 三层管理架构 二层管理架构 在二层管理架构中，管理中心和管理控制台位于同一台设备中，从不同的被管网络实体中收集信息，其优点是结构简单，很容易部署，缺点是无法实现分布式管理。在三层管理架构中，由网管中心负责从各个被管理网络实体中收集信息，分散于网络中各个部位的管理控制台可通过用户登陆到管理中心，对各个管理设备进行管理，其特点是可实现分布式管理。 无论是二层还是三层管理架构，在网管接口通信协议方面，都是一致的，目前，已普遍接受的是基于Q3接口的CMIP、基于CORBA接口的IIOP以及基于Internet/SNMP框架结构的SNMP。每种类型的接口都有对应的信息模型，与以上三种接口相对应，分别采用GDMO/ASN.1、IDL/UML和MIBII方式进行信息模型的描述。通用的网管软件通常都支持SNMP协议，一些大型的电信级网管软件如HP OpenView和IBM Tivoli NetView等还支持CMIP协议。 在安全方面，因为SNMPV1/V2协议对安全性方面考虑的比较少，而SNMPV3又是最近两年才趋向于成熟，大多数通用网管软件标准版本中都没有对SNMPV3的支持，即使实现也没有完全利用SNMPV3的优势，所以，通用网管软件在安全性方面实现的不是很理想，对管理信息和被管理设备来说，都存在着安全隐患，可能导致管理信息和用户信息被窃取。HP OpenView提供了SNMP Security Pack 15.4作为HP Openview支持SNMPV3的补丁包，IBM Tivoli NetView也提供了SNMPv3 Agents with NetView作为补丁。虽然部分通用网管软件已经开始支持SNMPV3，但无论是采用两层架构还是三层架构，它们的安全策略都是分散到各个管理设备上的，而不是由网管软件集中分发的，这种方式不利于集中的安全管理，所以留下了安全隐患。 总体来说，通用网管软件基本满足了OSI网络管理的功能需求，全部或部分实现了前面提到的网络管理软件应具有的九个功能特点。但它是否适合对网络安全设备的管理呢？下面我们来探讨一下。 4. 面向安全设备的网络管理的功能需求 随着信息网络的飞速发展，越来越多的涉密信息都从传统的媒介转移到网络上存储和传输，使网络安全成为目前最迫切的需要人们去关注的问题，大量的关于网络安全的新技术不断地产生，网络安全设备也越来越多样化，鉴于网络安全设备同其他网络设备的不同和人们对网络安全越来越高的需求，对网络安全设备的管理有着特殊的功能需求。因为网络安全是最近几年人们才开始重视的问题，所以，在技术方面，还在不断地更新，这一点，传统的通用网管软件因为其通用性和庞大的规模而无法跟上发展的脚步，所以，无法更好地满足安全设备的网络管理需求。 从安全的角度考虑，除一般网络管理的功能需求外，对安全设备的网络管理还有如下的功能需求： ① 安全策略的集中分发和管理。从安全的角度考虑，所有安全策略都应该在管理中心集中分发，包括用户权限的分配、密钥的分发等，而不应该分散执行，否则就会因为过于分散而无法管理，导致安全问题。 ② 安全事件的集中监控和处理。从网路管理者的角度考虑，从管理中心应该可以看到所有安全设备的当前运行状态和安全状态，反映整个防御体系的整体运行状态和安全状态。 ③ 针对安全设备的特殊性质如动态连接、动态规则等进行专门的处理。管理中心应该可以根据网络安全设备的特殊性质，为用户提供针对性的表示方法，方便用户的管理。 ④ 树立安全第一的观念，一切为了安全，强化安全防范措施。所有的管理环节都必须达到与安全设备相同的安全级别，否则，根据传统的木筒理论，任何一个环节没有安全防范措施，整体的安全性就会降低。 ⑤ 根据最新的整体防御理念，网管软件管理的所有安全设备应该构成一个整体防御体系，具有整体的安全策略。 上面的这些针对网络安全设备的管理功能需求，通用网络管理软件是无法满足的，即使采用SNMPV3作为通信协议，但因为其架构和实现方法的不同，也无法满足这些安全管理需求。 针对前面的问题，我们设计一套面向网络安全设备的管理体系，来满足我们的需求。 5. 面向安全设备的网管软件的体系结构 为了满足前面提到的网络安全设备的管理功能需求，设计一套满足要求的针对网络安全设备的管理软件，我们设计了一个如下图所示的三级管理架构的概念模型，它可以很好地满足前面提出的安全设备的网络管理功能需求。 图：三级安全管理架构的概念模型 三级安全管理架构从逻辑上分为管理对象、管理域服务器和管理终端三个部分，这三个部分整体组成了一个安全管理域。下面，我们分别介绍一下安全管理域、管理对象、管理域服务器和管理终端的概念和要实现的功能。 安全管理域 安全管理域代表了一个空间，这个空间包含管理对象、管理域服务器、管理终端三种类型的事物，管理员进入这个空间后，其管理行为都是通过这三种类型的事物的相互作用而发生，并且所有管理行为都不超出安全管理域所代表的空间。 一个安全管理域就是一个整体的安全防御体系，它具有有整体的安全防御策略。在安全管理域内，所有的管理内容都是以管理域服务器为中心，它是整个安全管理域的独裁者，它控制着整个安全管理域内所有的安全策略、权限分配和每一个交互的指令。 管理对象 管理对象是我们需要管理的最终目标，它可以是某种物理设备如防火墙、入侵检测系统、VPN网关等其他安全设备，它也可以是某种逻辑上的功能单元如访问控制单元、流量控制单元、负载均衡单元、用户认证单元等，甚至它也可以是运行在客户机的单点安全系统，不同的管理对象共同组成了管理对象域。对象的管理信息可以抽象为某种数据表达形式，相同的管理对象具有相同的管理信息结构但结构中的属性不一样，它们可以看成管理信息结构的多个实例。 对管理对象的管理行为分两种：第一种，对目标对象的管理信息结构进行读写操作，这种情况下管理对象是被动的；第二种，管理对象主动的向管理域服务器报告某种事件的发生或状态的改变。 在我们的三级管理模型中管理对象之间是不能直接管理其他同级对象的，管理域服务器是它们管理信息的中枢，管理对象需要向管理域服务器注册其管理信息，即在域服务器上创建自己的实例，这样其管理信息对管理终端和其他管理对象才是可见的。 管理域服务器 管理域服务器的是整个三级管理模型的中心，它的职能主要有以下几个方面： 它是整个网络安全体系管理信息架构的集合，它统一的把可管理的信息资源表达给管理终端，并把来自于各个终端的对管理信息的访问，根据一定的策略重新定向到对应的管理对象。因此从管理终端的角度，管理域服务器集中了所有它可以管理的信息，管理域服务器就是一个巨大的管理对象，其中也包括它自己本身的管理信息对象。 管理域服务器集中管理域中的管理员用户，统一对管理员用户进行身份认证和管理信息资源的访问控制。访问控制的策略是基于角色的，角色由用户组定义，系统中有预先定义好的用户组和它相应的权限，超级管理员可以修改也可以定义新的组。 管理域服务器作为安全域中的事件响应中心，负责接受管理对象的事件，并可根据预先制定的策略对事件作出响应，响应应该包括：记录、报警或者回应，同时管理域服务器会根据策略和权限通知相应的管理员或者在线的管理终端，或者对其他的管理对象进行相应的调整，即联动。 管理员可以制定策略，让管理域服务器定时采集管理对象的某些具有统计价值的管理信息，形成历史记录保存在本地数据库中，并提供相应的接口让管理终端提取历史记录。 管理域服务器可以作为内部安全子网用户的安全服务平台，为用户提供诸如：客户端安全软件的安装升级、客户端安全策略的分发、客户帐户的自助管理等服务。 为了提高系统的可靠性，管理域服务器应该是可以多机热备份的，同一安全体系中只存在一个主管理域服务器，但可以存在多个备份域服务器，各个服务器之间自动同步管理信息。 管理终端 管理终端以某一管理员的名义对管理对象和和管理域服务器进行管理，它有在线和离线两种状态。管理员属于某一角色，不同角色对管理信息有不同的访问权限，统一由管理域服务器进行控制。 管理终端直接面对管理员用户，需要提供易用的、图形化的界面，对管理信息进行格式化的输出，并按照一定的界面逻辑对管理员的输入进行处理。 同时在线的管理终端可以接受管理域服务器转发的管理对象报告的TRAP和INFORM信息，以实时提示管理员用户当前所发生的事件。 管理终端有三种：通用SNMP终端、专用管理终端、Web浏览器。 为实现前面描述的三级安全管理架构的概念模型，我们对目前已经在使用和正在研究的网络管理技术进行了深入的研究和试验，通过对各种网络管理技术的优点和缺点进行分析，最终，我们选择了在技术上已经比较成熟的AGENTX架构。利用AGENTX的架构，结合SNMPV3和SSL的安全，可以架设一套能够满足前面提到的网络安全设备的管理需求的网管软件。 6. 结束语 通过前面对一般网络设备的管理功能需求和面向安全设备的网络管理功能需求的比较，我们可以清晰地看到，对安全设备的网络管理与一般的网络设备有着很大的不同，包括安全策略的集中分发和管理、安全事件的集中监控和处理、针对安全设备的特殊性质的特殊处理、防御体系的整体安全等，这些性质传统的通用网管软件是无法满足的，如果采用传统的通用网管软件，就会大大降低安全设备的效能，降低整个防御体系的安全性。所以，我们认为必须研究一种新的专门针对安全设备的网络管理方法，来弥补通用网管软件的不足，对此，我们提出了一套完善的三级安全管理架构概念模型，将具有相关性的所有安全管理对象、管理终端和管理域服务器置于一个安全管理域内，在整个安全管理域内实施统一的安全策略，在管理域服务器上进行集中管理，使整个防御体系达到最高的安全性。针对这个三级安全管理架构概念模型，我们选择了AGENTX架构，利用AGENTX的架构，结合SNMPV3和SSL的安全，就可以实现能够满足前面提到的网络安全设备的管理需求的网管软件。 7. 参考资料 l http://www.ietf.org/html.charters/snmpv3-charter.html SNMPV3相关RFC标准 l www.SNMPLink.org - Simple Network Management Protocol SNMP资源链接大全 l AGENT++ - SNMPv1-v2c-v3 Agent API for C++，AgentX++ AgentX项目相关网站 l SourceForge Project Info - net-snmp Net-Snmp开源的SNMP项目网站 l mibDepot Home Page 提供一些企业相关的mib l http://www.nmf.org 网络管理论坛 l HP OpenView HP OpenView技术站点 l IBM Tivoli 网管软件技术站点 8. 关于作者 郎国军：就职于上海华堂网络有限公司，曾从事网络安全高级技术支持，现从事网络安全研发工作，对构筑整体的网络安全防御体系比较感兴趣，可通过lgj@与我取得联系。现就职公司专职从事网络安全产品的开发和提供安全集成服务，欢迎与我们取得联系。