二． 管理协议（management protocol）

　　通过网络进行设备管理目前有多种协议支持，比如SNMP、Telnet、HTTP、RSH/RCMD、HTTPS、SSH等等 。
这些协议的各自特点如下：

• Telnet-用户名和口令字都是用明文传送的，管理会话也是明文形式
• SNMP-community 字符串是用明文传送的，而且很容易猜到，管理数据也是明文形式
• HTTP-用户名和口令字都是用明文传送的(采用未经加密的Base64 编码) ，管理数据也是明文形式
• RSH/RCMD-用户名和口令字都是用明文传送的，管理数据也是明文形式
• HTTPS-用户名、口令字、和管理会话都采用密文形式
• SSH-采用强健的身份鉴定和加密机制
• SNMP v3-采用强健的身份鉴定和加密机制

　　显然，在上述管理协议中，安全程度较高的协议有三个，即HTTPS、SSH、SNMPv3。像Telnet、SNMP、HTTP、RSH/RCMD等协议由于都采用明文传送用户名和口令字，甚至管理内容和管理控制信息也是明文形式，因此很容易遭受被动攻击（passive attack），因此不合适在未经保护的管理信道上采用。

　　带内管理模式中，我们可以通过结合其它安全机制来提高弱安全管理协议的安全级别，比如对Telnet，我们可以用IPsec来提高管理信道的安全程度（保密性和完整性），采用一次性口令机制来提高鉴别机制的安全程度，这样就弥补了Telnet协议的安全缺陷，使得用户在带内管理模式中放心地采用Telnet。

三． 综合的网络管理方法

　　在实际网络中，采用什么样的网络管理方式最终取决于用户的信息保护策略（IPP）。一般地说，实际的网络管理方法可能是上述各种具体机制和协议在一定程度上的综合。

　　由于目前的网络节点设备，包括主机和网络设施，不一定都能支持上面的管理模式或管理协议，比如很多设备还都不支持SNMP v3、SSH等安全管理协议，因此在实际网络管理的安全设计中，只能根据用户实际环境取舍，制订一个最大程度地满足用户安全要求的网络管理方案。

一个可能的网络管理方案是：
1． 通过网络管理平台（如HP Openview）进行网络拓扑发现
2． 通过SNMP了解网络节点信息和状况，但不用SNMP进行设备配置
3． 通过HTTPS/SSH、或经过安全保护的Telnet协议等进行设备配置
4． 如果可能的话，尽量采用如SNMP v3这样的安全协议
5． 结合其它安全手段，来保证网络管理的安全，比如采用防地址欺骗技术和网络访问控制安全机制
6． 如果可能的话，尽量采用独立的网管网带外管理方式
7． 对管理人员及其职责、操作的有效管理是安全的根本