网络安全和管理技术课件

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第9章,网络安全与管理技术,第9章 网络安全与管理技术,1,9.1 网络安全问题概述,网络安全的重要性,网络安全问题已经成为信息化社会的一个焦点问题；,每个国家只能立足于本国，研究自己的网络安全技术，培养自己的专门人才，发展自己的网络安全产业，才能构筑本国的网络与信息安全防范体系。,9.1 网络安全问题概述网络安全的重要性,2,9.1.1 网络安全的概念,网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。,从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。,9.1.1 网络安全的概念网络安全从其本质上来讲就是网络上,3,9.1.1 网络安全的概念,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露等意外发生。,网络安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的边缘学科。,9.1.1 网络安全的概念网络安全是指网络系统的硬件、软件,4,网络安全应具备四个特征,保密性，信息不泄露给非授权的用户、实体或过程，或供其利用的特性；,完整性，数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性；,可用性，可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息，网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；,可控性：对信息的传播及内容具有控制能力。,网络安全应具备四个特征保密性，信息不泄露给非授权的用户、实体,5,网络安全的组成,操作安全,通信安全,信息安全,物理安全,工业安全,计算机安全,人员安全,网络安全,网络安全的组成操作安全通信安全信息安全物理安全工业安全计算机,6,9.1.2 影响网络安全的主要因素,网络软件系统的漏洞,网络架构和协议本身的安全缺陷,网络硬件设备和线路的安全问题,操作人员的安全意识不强,环境因素,9.1.2 影响网络安全的主要因素网络软件系统的漏洞,7,1、国际评价标准,计算机系统的安全等级由低到高顺序：D；C1 C2；B1 B2 B3；A。如图所示。,9.1.3网络安全的评价等级,TCSEC安全体系,1、国际评价标准 9.1.3网络安全的评价等级 T,8,2、我国评价标准分如下五个级别,1级,用户自主保护级：,它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。,2级,系统审计保护级：,除具备第一级外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。,3,级,安全标记保护级：,除具备上一级外，要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。,4,级,结构化保护级：,在继承前面功能基础上，将安全保护机制划分为关键部分和非关键部分，从而加强系统的抗渗透能力。,5级,访问验证保护级：,这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。,2、我国评价标准分如下五个级别,9,9.1.4 安全威胁,针对网络安全的威胁主要有三种：,（1）人为的无意失误。,（2）人为的恶意攻击。,（3）网络软件的漏洞和“后门”。,9.1.4 安全威胁针对网络安全的威胁主要有三种：,10,1安全攻击,信源 信宿,（a）正常流动,信源 信宿,信源 信宿,（d）修改,（e）捏造,信源 信宿,信源 信宿,（b）中断,（c）截取,要保证运行在网络环境中的信息安全,首先要解决的问题是如何防止网络被攻击。,1安全攻击（a）正常流动（d）修改（e）捏造（b）中断（c,11,以上攻击可分为被动攻击和主动攻击两种。,被动攻击的特点是偷听或监视传送，其目的是获得正在传送的消息。被动攻击有：泄露信息内容和通信量分析等。,主动攻击涉及修改数据或创建错误的数据流，包括假冒、重放、修改消息和拒绝服务等。,主动攻击具有与被动攻击相反的特点。虽然很难检测出被动攻击，但可以采取措施防止它的成功。相反，很难绝对预防主动攻击，因为这样需要在任何时候对所有的通信工具和路径进行完全的保护。防止主动攻击的做法是对攻击进行检测，并从它引起的中断或延迟中恢复过来。,以上攻击可分为被动攻击和主动攻击两种。被动攻击的特点是偷听或,12,2基本的威胁,网络安全的基本目标是实现信息的机密性、完整性、可用性和合法性。4个基本的安全威胁直接反映了这4个安全目标。一般认为，目前网络存在的威胁主要表现在：,（1）信息泄漏或丢失。,（2）破坏数据完整性。,（3）拒绝服务攻击。,（4）非授权访问。,2基本的威胁网络安全的基本目标是实现信息的机密性、完整性、,13,3主要的可实现的威胁,这些威胁可以使基本威胁成为可能，因此十分重要。它包括两类：渗入威胁和植入威胁。,（1）主要的渗入威胁有：假冒、旁路控制、授权侵犯。,（2）主要的植入威胁有：特洛伊木马。,3主要的可实现的威胁这些威胁可以使基本威胁成为可能，因此十,14,4潜在的威胁,对基本威胁或主要的可实现的威胁进行分析，可以发现某些特定的潜在威胁，而任意一种潜在的威胁都可能导致发生一些更基本的威胁。,4潜在的威胁对基本威胁或主要的可实现的威胁进行分析，可以发,15,9.1.5 网络安全技术研究的主要问题,网络防攻击问题；,网络安全漏洞与对策问题；,网络中的信息安全保密问题；,防抵赖问题；,网络内部安全防范问题；,网络防病毒问题；,网络数据备份与恢复、灾难恢复问题。,9.1.5 网络安全技术研究的主要问题 网络防攻击问题；,16,1.网络防攻击技术,服务攻击,（application dependent attack）,:,对网络提供某种服务的服务器发起攻击，如针对E-mail、Telnet、FTP、HTTP等服务的专门攻击，会造成该网络的“拒绝服务”，使网络工作不正常;,非服务攻击,（application independent attack）,:,不针对某项具体应用服务，而是基于网络层等低层协议而进行的。,与服务攻击相比，非服务攻击与特定服务无关，往往利用协议或操作系统实现协议时的漏洞来达到攻击的目的，更为隐蔽，而且目前也是常常被忽略的方面，因而被认为是一种更为有效的攻击手段。,1.网络防攻击技术服务攻击（application depe,17,网络防攻击主要问题需要研究的几个问题,网络可能遭到哪些人的攻击？,攻击类型与手段可能有哪些？,如何及时检测并报告网络被攻击？,如何采取相应的网络安全策略与网络安全防护体系？,网络防攻击主要问题需要研究的几个问题网络可能遭到哪些人的攻击,18,2.网络安全漏洞与对策的研究,网络信息系统的运行涉及：,计算机硬件与操作系统；,网络硬件与网络软件；,数据库管理系统；,应用软件；,网络通信协议。,网络安全漏洞也会表现在以上几个方面。,2.网络安全漏洞与对策的研究网络信息系统的运行涉及：,19,3.网络中的信息安全问题,信息存储安全与信息传输安全,信息存储安全,如何保证静态存储在连网计算机中的信息不会,被未授权的网络用户非法使用；,信息传输安全,如何保证信息在网络传输的过程中不被泄露与不被攻击；,3.网络中的信息安全问题信息存储安全与信息传输安全,20,4.防抵赖问题,防抵赖是防止信息源结点用户对他发送的信息事后不承认，或者是信息目的结点用户接收到信息之后不认账；,通过身份认证、数字签名、数字信封、第三方确认等方法，来确保网络信息传输的合法性问题，防止“抵赖”现象出现。,4.防抵赖问题防抵赖是防止信息源结点用户对他发送的信息事后不,21,5.网络内部安全防范,网络内部安全防范是防止内部具有合法身份的用户有意或无意地做出对网络与信息安全有害的行为；,对网络与信息安全有害的行为包括,：,有意或无意地泄露网络用户或网络管理员口令；,违反网络安全规定，绕过防火墙，私自和外部网络连接，造成系统安全漏洞；,违反网络使用规定，越权查看、修改和删除系统文件、应用程序及数据；,违反网络使用规定，越权修改网络系统配置，造成网络工作不正常；,解决来自网络内部的不安全因素必须从技术与管理两个方面入手。,5.网络内部安全防范网络内部安全防范是防止内部具有合法身份的,22,6.网络防病毒,引导型病毒,可执行文件病毒,宏病毒,混合病毒,特洛伊木马型病毒,Internet语言病毒,6.网络防病毒 引导型病毒,23,7.网络数据备份与恢复、灾难恢复问题,如果出现网络故障造成数据丢失，数据能不能被恢复？,如果出现网络因某种原因被损坏，重新购买设备的资金可以提供，但是原有系统的数据能不能恢复？,7.网络数据备份与恢复、灾难恢复问题如果出现网络故障造成数据,24,9.1.6网络安全的常见防范措施,在网络设计和运行中应考虑一些必要的安全措施，以便使网络得以正常运行。网络的安全措施主要从物理安全、访问控制、传输安全等3个方面进行考虑。,1、物理安全措施,物理安全性包括机房的安全、所有网络的网络设备（包括服务器、工作站、通信线路、路由器、网桥、磁盘、打印机等）的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外，还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。,2、访问控制措施,访问控制措施的主要任务是保证网络资源不被非法使用和非常规访问。其包括以下个方面：,9.1.6网络安全的常见防范措施 在网络设计和运行,25,1,入网访问控制：,控制哪些用户能够登录并获取网络资源，控制准许用户入网的时间和入网的范围。,2,网络的权限控制：,是针对网络非法操作所提出的一种安全保护措施，用户和用户组被授予一定的权限。,3,目录级安全控制：,系统管理权限,、,读权限,、,写权限,、,创建权限,、,删除权限、修改权限、文件查找权限和存取控制权限8种。,4,属性安全控制：,网络管理员给文件、目录等指定访问属性，将给定的属性与网络服务器的文件、目录和网络设备联系起来。,5,网络服务器安全控制：,包括设置口令锁定服务器控制台，设定登录时间限制、非法访问者检测和关闭的时间间隔等。,26,6,网络检测和锁定控制：,网络管理员对网络实施监控，服务器应记录用户对网络资源的访问，对于非法访问应报警。,7,网络端口和节点的安全控制：,网络服务器端口使用自动回呼设,备,、,静默调制解调器加以保护,并以加密形式识别节点的身份,。,8,防火墙控制：,防火墙成为是互连网络上的首要安全技术，是设置在网络与外部之间的一道屏障。,3、网络通信安全措施, 建立物理安全的传输媒介, 对传输数据进行加密：,保密数据在进行数据通信时应加密，包括链路加密和端到端加密。,27,9.2 加密技术,数据加密和数字认证是网络信息安全的核心技术。其中，数据加密是保护数据免遭攻击的一种主要方法；数字认证是解决网络通信过程中双方身份的认可，以防止各种敌手对信息进行篡改的一种重要技术。,数据加密和数字认证的联合使用，是确保信息安全的有效措施。,9.2 加密技术 数据加密和数字认证是网络信息安全的核,28,9.2.1 密码学的基本概念,1,密码学的基本概念,密码学（或称密码术）是保密学的一部分。保密学是研究密码系统或通信安全的科学，它包含两个分支：密码学和密码分析学。密码学是对信息进行编码实现隐蔽信息的一门学问。密码分析学是研究分析破译密码的学问。两者相互独立，又相互促进。,采用密码技术可以隐藏和保护需要保密的消息，使未授权者不能提取信息。,9.2.1 密码学的基本概念1密码学的基本概念,29,密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥；,传统密码体制所用的加密密钥和解密密钥相同，也称为对称密码体制；,如果加密密钥和解密密钥不相同，则称为非对称密码体制；,密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系；,密码算法是相对稳定的。在这种意义上，可以把密码算法视为常量，而密钥则是一个变量；,在设计加密系统时，加密算法是可以公开的，真正需要保密的是密钥。,密码体制是指一个系统所采用的基本工作方式以及它的两个基本构成,30,什么是密码,密码是含有一个参数k的数学变换，即,C = E,k,（m）,m是未加密的信息（明文）,C是加密后的信息（密文）,E是加密算法,参数k称为密钥,密文C是明文m 使用密钥k 经过加密算法计算后的结果；,加密算法可以公开，而密钥只能由通信双方来掌握。,什么是密码 密码是含有一个参数k的数学变换，即,31,1 对称密钥,（symmetric cryptography）,密码体系,对称加密原理示意图,1 对称密钥（symmetric cryptography）,32,2 非对称密钥,（asymmetric cryptography）,密码体系,非对称加密原理示意图,2 非对称密钥（asymmetric cryptograp,33,9.2.4 数字签名技术,1、数字签名,“数字签名”是数字认证技术中其中最常用的认证技术。在日常工作和生活中，人们对书信或文件的验收是根据亲笔签名或盖章来证实接收者的真实身份。在书面文件上签名有两个作用：一是因为自己的签名难以否认，从而确定了文件已签署这一事实；二是因为签名不易伪冒，从而确定了文件是真实的这一事实。,但是，在计算机网络中传送的报文又如何签名盖章呢，这就是数字签名所要解决的问题。,当前数字签名最常用的方法是非对称加密算法。,9.2.4 数字签名技术 1、数字签名,34,防火墙的逻辑结构示意图,1、什么是防火墙,为了防止病毒和黑客，可在该网络和Internet之间插入一个中介系统，竖起一道用来阻断来自外部通过网络对本网络的威胁和入侵的安全屏障，其作用与古代防火砖墙有类似之处，人们把这个屏障就叫做“防火墙”，其逻辑结构如图7-9所示。,9.3.1防火墙的基本概念,9.3 防火墙技术,外部网络,内部网络,防火墙的逻辑结构示意图 1、什么是防火墙 9.3.1,35,2、防火墙的基本特性, 所有内部和外部网络之间传输的数据必须通过防火墙,。, 只有被授权的合法数据即防火墙系统中安全策略允许,的数据可以通过防火墙。, 防火墙本身不受各种攻击的影响。,3、防火墙的基本准则, 过滤不安全服务：,防火墙应封锁所有的信息流,然后对希望提供的安全服务逐项开放，把不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。, 过滤非法用户和访问特殊站点：,防火墙允许所有用户,和站点对内部网络进行访问，然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。,2、防火墙的基本特性,36,1、作为网络安全的屏障,防火墙作为阻塞点、控制点，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。,2、可以强化网络安全策略,通过以防火墙为中心的安全方案配置，能将所有安全软件（口令、加密、身份认证、审计等）配置在防火墙上。,3、对网络存取和访问进行监控审计,所有的外部访问都经过防火墙时，防火墙就能记录下这些访问，为网络使用情况提供统计数据。当发生可疑信息时防火墙能发出报警，并提供网络是否受到监测和攻击的详细信息。,4、可以防止内部信息的外泄,利用防火墙可以实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。,9.3.2防火墙的基本功能,1、作为网络安全的屏障9.3.2防火墙的基本功能,37,9.3.3防火墙的基本类型,1、网络级防火墙（Network Gateway）,网络级防火墙主要用来防止整个网络出现外来非法的入侵。,包过滤路由器的工作原理示意图,内部网络,物理层,分组过滤规则,数据链跑层,Internet,外部网络,网络层,物理层,数据链跑层,网络层,包过滤路由器,9.3.3防火墙的基本类型1、网络级防火墙（Network,38,包过滤,包过滤是防火墙最基本的实现方法，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。包过滤防火墙通常是放置在因特网与内部网络之间的一个具备包过滤功能的简单路由器，这是因为包过滤是路由器的固有属性。,路由器能够打开数据包获得有关网络层的信息。根据这些信息和预先定义的规则，路由器就能对流经过它数据包进行过滤。,包过滤可依据以下几类条件允许或阻止数据包通过路由器：,包的源地址及源端口；,包的目的地址及目的端口；,ICMP消息类型；,包的传送协议；,包过滤包过滤是防火墙最基本的实现方法，它控制哪些数据包可以进,39,包过滤的优缺点,优点：,简单、易于实现、对用户透明、路由器免费提供此功能。,仅用一个放置在内部网与因特网边界上的包过滤路由器就可保护整个内部网络。,缺点：,编制逻辑上严密无漏洞的包过滤规则比较困难，对编制好的规则进行测试也较麻烦。,维护复杂的包过滤规则麻烦,包过滤规则的判别会降低路由器的转发速度，规则集越大，判别过程花的时间就越多，何况随着时间的推移，规则集还会不断增长。,它总是假定包头部信息是合法有效的。实际上包头部信息很容易被精通网络的人篡改，使得包过滤器认为包是来自合法的用户。,以上这些缺点使得包过滤技术通常不单独使用，而是作为其他安全技术的一种补充。,包过滤的优缺点优点：,40,2、应用级防火墙（Application Gateway）,这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。在外部网络向内部网络申请服务时发挥了中间转接的作用。代理防火墙的最大缺点是速度相对比较慢。应用级代理工作原理图所示。,应用级代理工作原理示意图,内部网络,真正服务器,代理服务器,实际的连接,实际的连接,外部网络,客户,虚拟的连接,Internet,防火墙,2、应用级防火墙（Application Gatew,41,3.堡垒主机,处于防火墙关键部位、运行应用级网关软件的计算机系统叫做堡垒主机。,堡垒主机是Internet上的主机能够连接到的唯一主机。而Intranet内部的客户机，可以受控地通过屏蔽主机和路由器访问Internet,堡垒主机作为防火墙,Internet,包过滤路由器,内网,堡垒主机,3.堡垒主机堡垒主机作为防火墙Internet包过滤路,42,网络安全和管理技术课件,43,堡垒主机的特点,1）堡垒主机硬件平台运行的是比较安全的操作系统。,2）只有必要的服务才安装在堡垒主机上。,堡垒主机的特点1）堡垒主机硬件平台运行的是比较安全的操作系统,44,9.4,网络管理技术,1、网络管理的定义,网络管理是控制一个复杂的计算机网络，使它具有最高的效率和生产力的过程。网络管理是一项复杂的系统工程, 它涉及到以下,3个,方面,。, 网络服务提供：,是指向用户提供新的服务类型、增加网络设备、提高网络性能等。, 网络维护：,是指网络性能监控,、,故障报警,、,故障诊断,、,故障隔离与恢复等。, 网络处理：,是指网络线路,、,设备利用率,、,数据的采集,、,分析，以及提高网络利用率的各种控制。,9.4.1网络管理的基本概念,9.4 网络管理技术 1、网络管理的定义9,45,2、网络管理标准化,第一个使用的网络管理（简称网管）协议称为,简单网络管理协议,（,SNMP,，又称SNMP第一版或SNMPv1）。,到20世纪80年代，在SNMP的基础上设计了两个网络管理协议：一个称为SNMP第二版（简称SNMPv2），它包含了原有的特性，同时增加了很多新特性以克服原先SNMP的缺陷；第二个网络管理协议称为,公共管理信息协议,（简称,CMIP,），它是一个组织得更好，并且比SNMPv1和SNMPv2有更多特性的网络管理协议。,由于Internet的大规模发展以及用户的要求，使得SNMPv1和SNMPv2成为业界事实上的标准而被广泛使用。,2、网络管理标准化第一个使用的网络管理（简称网管）协议称为,46,9.4.2ISO网络管理功能域,1、配置管理（Configuration Management，CM）,配置管理是ISO网络管理功能域中的第一个管理模块,它具有以下4项基本功能。,1,配置信息具有自动获取功能：,一个大型网络需要管理的设备很多，因此，网络管理系统应该具有配置信息自动获取的功能。,2,具有自动配置功能：,通过网络管理协议标准设置配置信息、自动登录到设备进行配置的信息、修改管理性能配置信息。,3,配置一次性检查：,在网络配置中，对网络正常运行影响最大的主要是路由器端口配置和路由器信息配置和检查。,4,用户操作记录功能：,在配置管理中对用户操作进行记录并保存,以便管理人员随时查看用户在特定时间进行特定配置操作。,9.4.2ISO网络管理功能域 1、配置管理（Co,47,2、性能管理（Performance Management，PM）,性能管理的功能是负责监视整个网络的性能，性能管理的目标是收集和统计数据。性能管理主要包括以下内容：,1,信息收集：,要实现性能管理，首先必须要从被管对象中收集与性能有关的那些数据，然后进行信息统计、分析和监测。,2,信息统计：,统计被管对象与性能有关的历史数据的产生、记录和维护。,3,信息分析：,分析被管的性能数据和网络线路质量，以判断是否处于正常水平，为网络进一步规划与调整提供依据。,4,信息监测：,监测网络对象的性能，为每个重要的变量决定一个合适的性能阀值，超过该限值时将报警发送到网络管理系统。,2、性能管理（Performance Managem,48,3、故障管理（Fault Management，FM）,故障管理是在系统出现异常情况下的管理操作，找出故障的位置并进行恢复。故障管理是网络关机最基本的功能。故障管理包括以下4个步骤。,1,检测故障：,通过检测来判断故障类型或被动接收网络上的各种事件信息，对其中的关键部分保持跟踪, 并生成网络故障记录。,2,隔离故障：,通过诊断、测试，识别故障根源，对根源故障进行隔离。,3,修复故障：,对不严重的简单故障由网络设备进行检测、诊断和恢复；对于严重的故障，报警提醒管理者进行维修和更换。,4,记录故障监测结果：,记录排除故障的步骤和与故障相关的值班员日志，构造排错行记录，以反映故障整个过程的各个方面。,3、故障管理（Fault Management，FM,49,4、安全管理（Security Management，SM）,安全管理模块的功能分为网络管理本身的安全和被管网络对象的安全。安全管理的功能主要包括以下4个方面：,1,授权管理：,分配权限给所请求的实体。,2,访问控制管理：,分配口令、进入或修改访问控制表和能力表。,3,安全管理：,安全检查跟踪和事件处理。,4,密钥管理：,进行密钥分配。,4、安全管理（Security Management,50,5、计费管理（Accounting Management，AM）,计费管理模块的功能是在有偿使用的网络上统计有哪些用户，使用何种信道，传输多少数据，访问什么资源信息，即统计不同线路和各类资源的利用情况。,计费管理的目标是提高网络资源的利用率，以便使一个或一组用户可以按规则利用网络资源。由于网络资源可以根据其能力的大小而合理地分配，这样的规则使网络故障降低到最小限度，也可以使所有用户对网络的访问更加公平。为了实现合理计费，计费管理必须和性能管理相结合。,计费管理包括：计费数据采集、数据管理与数据维护、政策比较与决策支持、数据分析与费用计算等。,5、计费管理（Accounting Manageme,51,9.4.3简单网络管理协议SNMP,SNMP是由因特网工程任务组IETF（Internet Engineering Task Force）提出的面向Internet的管理协议，其管理对象包括网桥、路由器、交换机等内存和处理能力有限的网络互联设备。,SNMP采用轮询监控方式，管理者隔一定时间间隔向代理请求管理信息，管理者根据返回的管理信息判断是否有异常事件发生。轮询监控的主要优点是对代理资源的要求不高，缺点是管理通信的开销大。SNMP由于其简单性得到了业界广泛的支持，成为目前最流行的网络管理协议。,9.4.3简单网络管理协议SNMPSNMP是由因特网工程任,52,图 7-27 SNMP的功能结构,主机,管理代理,MIB,网关,MIB,终端服务器,管理代理,MIB,管理进程,管理代理, 管理进程（manager）：,协助网络管理员对整个网络或网络中的设备进行日常管理的一组软件，一般运行在网络管理站（网络管理中心）的主机上。, 管理代理（agent）：,是一种在被管理的网络设备中运行的软件，负责执行管理进程的管理操作。, 管理信息库：,是一个概念上的数据库,由管理对象组成,每个管理代理信息库属于本地的管理对象，各管理代理控制的管理对象共同组成全网管理信息库。,SNMP位于ISO/OSI参考模型的应用层，它遵循ISO的网络管理模型。包括三个部分：管理进程、管理代理、管理信息库。,图 7-27 SNMP的功能结构管理代理MIBMIB管理代,53,