构建网络安全长城:安全设备的管理(1)

　　构建安全的网络长城，除了坚实的“城墙”、机警的“烽火台”，还要有“内明军纪，赏罚分明”的“检测官”才能管理好部下的工作。作为一个优秀的网管，不仅要对来自内外的入侵活动随时监控，而且要对自己内部的网络设备的使用情况保持关注。随着网络建设的扩大，或许我们的网络内部已经有了几个路由器、一个核心交换机、四五个汇聚层交换机、数十个接入交换机，那么 我们怎么样来及时检测它们的工作情况呢？随着网络的建设，我们原本空闲的汇聚层交换机是否已经不堪负载了呢？这段时间的一场雷雨，是否对我们的网络设备造成了破坏呢？而且这些设备大多在物理上分散于不同区域，以笔者管理的网络而言，它们常常是散布在办公室、教学楼、家属区各地，为我们的检测工作带来很大的困难。那是不是就只能这样呢？

　　事实上，生产网络设备的商家早为我们考虑到了这一点。在目前的网络设备中，大多已经包含了SNMP服务。利用它，我们就能方便地获知网络设备的工作情况了。

　　下面先介绍几个概念：

　　SNMP(Simple Network Management Protocol): SNMP开发于九十年代早期，是一种简单网络管理协议, 广泛使用于帮助网管人员管理TCP/IP网络中各种装置,没有繁复的指令,概念上只有fetch-store(存-取)两种命令,其优点为简单,稳定及灵活.其目的是简化大型网络中设备的管理和数据的获取。

　　NMS(Network Management Station): 通常为一台专用计算机,装有网络管理软件, 使用SNMP指令对路上的各种设备作监视与控制, 并接收SNMP Trap。目前，许多与网络有关的软件包，如HP的OpenView和Nortel Networks的Optivity Network Management System，还有Multi Router Traffic Grapher（MRTG）之类的免费软件，都使用SNMP服务来简化网络的管理和维护。

　　简单来说，NMS通过专门的软件，利用SNMP协议与网络设备通信，从网络设备那里获得他们的硬件信息并归类、整理、显示出来。方便网管进行检测和评估网络运行情况。其结构示意图如（图一）所示: