谭　宁

[摘要]就基于策略的数字化校园网络管理模型相关研究内容进行介绍，按照该管理模型对策略进行描述、策略规则定义、策略规则冲突定义。

[关键词]数字化校园 网络管理 策略 规则

中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2009）0720063－01

在网络安全的研究领域中，策略管理的方法一直就是一个研究的热点问题。基于策略的网络管理的目标是实现一个强大的网络管理方案，能够管理网络中的所有资源，本文通过对策略管理的两种体系结构（IETF和TMF体系结构）的结构模型、信息模型进行分析和比较，结合数字化校园网络实际需要，吸取了他们的具体特点，提出了一种可以使用在数字化校园的策略管理模型。

IETF策略和TMF策略体系结构作为一种与技术实现无关的框架运用于各种网络中，它们不仅管理网络中的终端设备，也要管理使用网络的人的行为等。但是这两个体系结构太复杂，不能直接应用于数字化校园中。

在这里，提出一个结合IETF体系结构和TMF策略“统一体”适用于数字化校园的基于策略管理模型，保证数字化校园的可用性和可控性。它与其它基于策略的网络管理体系结构一样，有几个关键问题需要解决，一是如何对策略规则表示；二是如何检测策略之间的冲突；三是如何把策略自动分发到相应的网络设备中去，本文采用的是Telnet/SSH协议对网络策略进行分发。

策略冲突检测是策略应用到网络设备上的一个非常重要的环节。在大型的网络中，由于异步管理模式或者网络管理员的疏忽大意会导致各种网络设备中的策略产生冲突。当各种策略之间产生冲突时，网络设备将无法确定应该执行哪些策略规则，所以为了使安全策略能有效地运行在网络设备中，应该对策略的冲突检测进行仔细的分析，并对策略冲突提出一种检测方法。

一、数字化校园网络管理模型

（一）与其他网络相比，数字化校园有如下特殊性

1．网络管理的首要目标是保证网络中不同厂商的设备安全可靠运行。2．目前数字化校园大都是交换式网络，但采用的网络设备不是同一厂商的设备，难以统一管理。3．数字化校园网络多种业务并存，但与教学、科研、管理相关的关键业务需要得到保证，而一些娱乐性的应用允许存在但必须受到限制，如网络游戏，BT下载等吞噬网络带宽的行为。4. 面向的主要群体主要是学生，由于学生的求知欲望，使得数字化校园网络更容易遭到破坏或者更加容易遭到攻击。

（二）通过对数字化校园的特殊性分析，要把基于策略的网络管理应用到数字化校园上，需要考虑以下几点要求

1．简洁易用性：在这里研究的是利用基于策略的思想，综合利用网络设备可管理的特性来管理网络，它只是基于策略的网络管理中的一部分功能，因此需要对复杂的基于策略的网络管理思想进行提炼和简化。2. 网络设备安全策略跨平台开发：即网络设备安全策略能够转换为不同厂家不同类型网络设备的管理命令，并可以分发至不同类型的可网管网络设备上运行。3．可扩展性：能适用于与数字化校园类似的其它园区网络中，能与网络管理中其它模块进行交互。网络管理人员可以根据当前网络的情况，对网络管理的细节进行调整。4．自动化：策略的冲突检测到策略分发至网络设备上执行的过程中，无须人工干预，当然，在这个过程中的每一步操作是人工可干预的。通过自动化操作，可以大大提高网络管理的效率。

（三）策略模型

在这里，我们根据数字化校园的特点，在研究数字化校园的基础上，以保障网络可用性和可控性为目的，结合TMF策略与IETF的策略的各自优点提出了一个基于策略的数字化校园网络设备多层管理模型。从管理的角度分为：商务视点，系统视点，网络视点，设备视点，实例视点。从技术角度看分为：商务决策点系统策略决策点。

从管理角度看，模型基于TMF策略“统一体”的分层思想，把策略分为五层，简化策略包含的内容，商务视点在此模型中为数字化校园管理需求，为一个自然语言的子集；系统视点接受自然语言并进行分解，得到语言包含的具体信息；网络视点把具体信息组成一组与设备无关的规则集合来管理设备；设备视点把这些规则集合与特定的管理设备相对应；实例视点生成一些自动执行的程序把这些规则部署到被管理的网络设备中去。

从技术角度看，各个视点之间的转换采用IETF的结构来实现，将管理角度划分为各层策略关联起来。实现技术与技术无关的策略要求转换成与技术相关的描述，进而转化成与具体实现无关的策略命令。

从具体实现的角度看，虽然网络视点和设备视点在逻辑上是相分离的，在实现中都是由策略管理服务器来实现。数字化校园网络管理主要是对网络设备的管理，使得各层功能相独立，以便于修改和移植。

（四）策略描述

作为商务视点的用户需求，其表达形式是一些自然语言的子集，这个子集应能够充分表达用户的需求，并被一般用户所理解，即商务视点来看策略描述了明确的商业目标。例如“严禁学生在上课时间用FTP下载”这样的一条自然语言表示的策略，这是一个最高层次的抽象，也是需要达到的最终目标。通过商务视点的决策对上例的自然语言进行分解重组。

在系统视点中，对商务视点的策略做进一步的分解，获得在系统视点的策略表示。系统视点策略需要一个知识库的支持，通过这个知识库，可以得到一些具体信息，比如查询知识库中“上课时间”这个抽象语言，得到用数学方法定量的描述。对于系统视点和商务视点的策略生成，可以利用机器学习、专家系统等方法进行实现。

从网络视点来看，策略是一组规则的集合，用来管理、控制对网络资源的访问，改变网络的运行状态，消除或减弱异常网络行为。策略操作包括使用ACL控制、关闭使用的端口、或对端口限制速度等方法。所使用的方法，既要独立于设备实现，还要支持在各种网络设备中实现，便于设备视点做进一步操作。

设备视点的策略必须解决与设备无关的策略规则到和设备相关的规则的转换，根据网络设备的不同，将策略规则转换成具体网络设备的控制命令。不同厂商，不同类型的设备，其操作控制命令不一样。

实例视点中，实现策略的自动应用，需要精简并实现Telnet、SSH协议，把Telnet、SSH与策略控制命令整合，将最终的控制命令分发到数字化校园络的各网络设备，即实例视点中实现策略的部署和应用。

在这里，本文研究了三个关键问题：网络视点、设备视点以及实例视点的内容，特别是网络视点。今后将对网络视点的策略冲突；网络视点策略如何转换为设备视点策略；实例视点的策略分发过程作进一步研究。

参考文献：

[1]夏海涛、詹志强，新一代网络管理技术[M].北京邮电学院出版社，2003.

[2]戴英侠、连一峰等，系统安全与入侵检测[M].北京：清华大学出版社，2002.

[3]赵敏、陈立潮，网络管理的发展方向及新技术的应用[J].电脑开发与应用，2005（10）.

作者简介：

谭宁，男，汉族，淄博职业学院信息工程系，副教授，研究方向：计算机网络。