【正文】 第 2章 網(wǎng)絡(luò)設(shè)備的安全與應(yīng)用實踐 ? 物理安全 ； ? 路由器安全 ； ? 交換機(jī)安全 ； ? 服務(wù)器安全 ； ? 客戶機(jī)安全 。 物理安全 計算機(jī)系統(tǒng)無論是硬件還是軟件都不可避免存在發(fā)生故障的可能，但并不是發(fā)生故障就一定意味著該系統(tǒng)完全失效。計算機(jī)系統(tǒng)大多擁有 “ 容錯 ” 能力，即允許存在某些錯誤，盡管系統(tǒng)硬件有故障或程序有錯誤，仍能正確執(zhí)行特定算法和提供系統(tǒng)服務(wù) 。 網(wǎng)絡(luò)的冗余安全 ? 采用 “ 冗余技術(shù) ” 是實現(xiàn)計算機(jī)容錯的主要手段 ； ? 冗余設(shè)計的目的是：系統(tǒng)運行不受局部故障的影響，故障部件的維護(hù)對整個系統(tǒng)的功能實現(xiàn)沒有影響，并可以實現(xiàn)在線維護(hù)，使故障部件得到及時的修復(fù) ； ? 系統(tǒng)的可用性指標(biāo)可以用兩個參數(shù)進(jìn)行簡單的描述：一個是平均無故障時間 (MTBF)， MTBF一般指產(chǎn)品在兩次故障之間的平均時間間隔，是產(chǎn)品的平均壽命的指標(biāo)之一；另一個是平均修復(fù)時間 (MTBR)， MTTR一般指產(chǎn)品的故障維修所需的平均修復(fù)時間，是產(chǎn)品可維修性的衡量指標(biāo)， MTTR越短表示易恢復(fù)性越好 。 ? 網(wǎng)絡(luò)拓?fù)湓O(shè)計的冗余鏈路 ? 供電系統(tǒng)的冗余 ? 機(jī)房設(shè)備屬于一級負(fù)荷，按一級負(fù)荷的供電要求必須保證兩個以上獨立的電源點供電 ； ? 對于城市供電而言相對比較穩(wěn)定，一般不會長時間停電，如果停電也將是區(qū)域性停電，因此可考慮使用 UPS作為備份電源 ， 采用市電 +UPS后備電池相結(jié)合的供電方式 。 ?電源保護(hù) 為計算機(jī)信息系統(tǒng)設(shè)備的可靠運行提供能源保障，例如使用不間斷電源、紋波抑制器、電源調(diào)節(jié)軟件等?？蓺w納為兩個方面：對工作電源的工作連續(xù)性的保護(hù)（如不間斷電源 UPS，Uninterruptible Power Supply）；對工作電源的工作穩(wěn)定性的保護(hù)（如紋波抑制器）。 網(wǎng)絡(luò)設(shè)備的冗余 ? 核心交換機(jī)冗余 核心交換機(jī)中電源模塊的故障率相對較高，為了保證核心交換機(jī)的正常運行，一般考慮在核心交換機(jī)上增配一塊電源模塊，實現(xiàn)該部件的冗余 ； ? 服務(wù)器冗余 采用配置兩臺 DHCP服務(wù)器來動態(tài)地給客戶機(jī)分配 IP地址 ，為了保證系統(tǒng)的可靠性，還可采用部件冗余技術(shù)、 RAID技術(shù) ； ? 存儲設(shè)備冗余 選擇刻錄光驅(qū)、磁帶機(jī)、磁盤陣列等設(shè)備冗余 ； ? 網(wǎng)絡(luò)邊界設(shè)備冗余 8 雙機(jī)容錯與集群系統(tǒng) 雙機(jī)容錯系統(tǒng) 雙機(jī)容錯系統(tǒng)通過軟硬件的緊密配合，將兩臺獨立服務(wù)器在網(wǎng)絡(luò)中表現(xiàn)為單一的系統(tǒng)，提供給客戶一套具有單點故障容錯能力，且性價比優(yōu)越的用戶應(yīng)用系統(tǒng)運行平臺。雙機(jī)容錯技術(shù)能夠自動檢測應(yīng)用或服務(wù)器故障，并可將其在另一臺可用的服務(wù)器上快速重新啟動；而用戶只會覺察到瞬間的服務(wù)暫停。 。 9 ?（ Dual Active）基本簡介 ? 所謂雙機(jī)熱備互援就是兩臺主機(jī)均為工作機(jī)，在正常情況下，兩臺工作機(jī)均為信息系統(tǒng)提供支持，并互相監(jiān)視對方的運行情況。當(dāng)一臺主機(jī)出現(xiàn)異常時，不能支持信息系統(tǒng)正常運營，另一主機(jī)則主動接管異常機(jī)的工作，繼續(xù)主持信息的運營，從而保證信息系統(tǒng)能夠不間斷的運行，而達(dá)到不停機(jī)的功能。 10 ?（ Hot Standby）基本簡介 ? 所謂雙機(jī)熱備份就是一臺主機(jī)為工作機(jī)，另一臺主機(jī)為備份機(jī)，在系統(tǒng)正常情況下，工作機(jī)為信息系統(tǒng)提供支持，備份機(jī)監(jiān)視工作機(jī)的運行情況。當(dāng)工作機(jī)出現(xiàn)異常，不能支持信息系統(tǒng)運營時，備份機(jī)主動接管工作機(jī)的工作，繼續(xù)支持信息的運營，從而保證信息系統(tǒng)能夠不間斷的運行。 11 集群系統(tǒng) ? 集群，英文名稱為 Cluster，通俗地說，集群是這樣一種技術(shù)：它至少將兩個系統(tǒng)連接到一起，使多臺服務(wù)器能夠像一臺機(jī)器那樣工作或者看起來好像一臺機(jī)器。用戶從來不會意識到集群系統(tǒng)底層的節(jié)點，在他 /她們看來，集群是一個系統(tǒng)，而非多個計算機(jī)系統(tǒng)。并且集群系統(tǒng)的管理員可以隨意增加和刪改集群系統(tǒng)的節(jié)點。采用集群系統(tǒng)通常是為了提高系統(tǒng)的穩(wěn)定性和網(wǎng)絡(luò)中心的數(shù)據(jù)處理能力及服務(wù)能力。 12 ?集群系統(tǒng) ?在集群系統(tǒng)中，所有的計算機(jī)擁有一個共同的名稱，集群內(nèi)任一系統(tǒng)上運行的服務(wù)可被所有的網(wǎng)絡(luò)客戶所使用。集群必須可以協(xié)調(diào)管理各分離組件的錯誤和失敗，若其中一臺服務(wù)器失效，其它的服務(wù)器就會接管這臺服務(wù)器所運行的應(yīng)用，并將共享磁盤柜上的相應(yīng)數(shù)據(jù)區(qū)接管過來。其接管過程如下圖所示 服 務(wù) 器 1服 務(wù) 器 n兩 個 以 上 的 服務(wù) 器 群?集 群應(yīng) 用 請 求服 務(wù) 器 1服 務(wù) 器 n兩 個 以 上 的 服務(wù) 器 群?集 群應(yīng) 用 請 求正 常 情 況服 務(wù) 器 實 效 情 況磁盤陣列存儲器的編碼容錯方案 ? 廉價冗余磁盤陣列 RAID（ Redundent Array of Inexpensive Disks）是由美國加州大學(xué)伯克利分校的 . Patterson教授在 1988年提出的。也簡稱為“磁盤陣列”。 RAID將一組磁盤驅(qū)動器用某種邏輯方式聯(lián)系起來，作為邏輯上的一個磁盤驅(qū)動器來使用。一般情況下，組成的邏輯磁盤驅(qū)動器的容量要小于各個磁盤驅(qū)動器容量的總和。 RAID一般是在 SCSI或 SATA磁盤接口實現(xiàn)的。 ? RAID提供了服務(wù)器中接入多個磁盤 （ 專指硬盤 ） 時 ， 以磁盤陣列方式組成一個超大容量 、 響應(yīng)速度快 、 可靠性高的存儲子系統(tǒng) 。 通過對數(shù)據(jù)分塊和交叉存儲兩項技術(shù)的使用 ， 使 CPU實現(xiàn)通過硬件方式對數(shù)據(jù)的分塊控制和對磁盤陣列中數(shù)據(jù)的并行調(diào)度等功能 。 使用 RAID可大大加快磁盤的訪問速度 ， 縮短磁盤讀寫的平均排隊與等待時間 ， 并以并行方式在多個硬盤驅(qū)動器上工作 ， 被系統(tǒng)視作一個單一的硬盤 ， 以冗余技術(shù)增加其可靠性 ， 以多個低成本磁盤構(gòu)成磁盤子系統(tǒng) ， 提供比單一硬盤更完備的可靠性和高性能 ，目前工業(yè)界公認(rèn)的標(biāo)準(zhǔn)是 RAID0RAID6。 RAID被廣泛地應(yīng)用在服務(wù)器體系中 。 ? RAID的優(yōu)點包括以下幾點： ① 一是成本低，功耗小，傳輸速率高。在 RAID中，可以讓很多磁盤驅(qū)動器同時傳輸數(shù)據(jù)，而這些磁盤驅(qū)動器在邏輯上又是一個磁盤驅(qū)動器，所以使用 RAID可以達(dá)到單個的磁盤驅(qū)動器幾倍、幾十倍甚至上百倍的速率。 ② 二是可以提供容錯功能。這是使用 RAID的第二個原因，因為普通磁盤驅(qū)動器無法提供容錯功能，RAID的容錯是建立在每個磁盤驅(qū)動器的硬件容錯功能之上的，所以它提供更高的安全性。 ③ 三是在同樣的容量下， RAID比起傳統(tǒng)的大直徑磁盤驅(qū)動器來，價格要低許多。 路由器安全與應(yīng)用實踐 ? 路由器是網(wǎng)絡(luò)的神經(jīng)中樞，是眾多網(wǎng)絡(luò)設(shè)備的重要一 員； ? 廣域網(wǎng)就是靠一個個路由器連接起來組成的 ； ? 路由器對網(wǎng)絡(luò)的應(yīng)用和安全具有極重要的地位 。 路由協(xié)議與訪問控制 ? 路由選擇及協(xié)議 ? 路由選擇是根據(jù)一定的原則和算法在多節(jié)點的通信子網(wǎng)中選擇一條從源節(jié)點到目的節(jié)點的最佳路徑 ； ? 路由選擇算法可分為靜態(tài)路由選擇算法和動態(tài)路由選擇算法兩大類 ； ? 在路由器上利用路由選擇協(xié)議主動交換路由信息，建立路由表并根據(jù)路由表轉(zhuǎn)發(fā)分組。路由表可 分為 靜態(tài)路由 表和 動態(tài)路由表 ； ? 在現(xiàn)代網(wǎng)絡(luò)中，廣泛采用的是動態(tài)路由算法。在動態(tài)路由選擇算法中， 應(yīng)用 分布式路由選擇算法 。 在該類算法中，最常用的是距離向量路由選擇算法和鏈路狀態(tài)路由選擇算法。前者經(jīng)過改進(jìn)，成為目前廣泛應(yīng)用的路由信息協(xié)議 ，后者則發(fā)展成為開放式最短路徑優(yōu)先協(xié)議。 ? 路由器訪問控制列表 (ACL) ? ACL是 Cisco IOS所提供的一種訪問控制技術(shù) ； ? ACL技術(shù)是一種基于包過濾的流控制技術(shù)。 ACL在路由器上讀取第三層及第四層包頭中的信息（如源地址、目的地址、源端口、目的端口等），根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的 ； ? ACL有標(biāo)準(zhǔn) ACL和擴(kuò)展 ACL兩種 。 這兩種類型的 ACL都可以基于序列號和命名進(jìn)行配置 。 配置 ACL要注意兩點，一是 ACL只能過濾流經(jīng)路由器的流量，對路由器自身發(fā)出的數(shù)據(jù)包不起作用；二是一個 ACL中至少有一條允許語句 。 虛擬路由器冗余協(xié)議（ VRRP） ? VRRP協(xié)議 ? VRRP是一種選擇協(xié)議，它可以把一個虛擬路由器的責(zé)任動態(tài)分配到局域網(wǎng)上的 VRRP路由器中 ； ? 使用 VRRP，可以通過手動或 DHCP設(shè)定一個虛擬 IP地址作為默認(rèn)路由器。虛擬 IP地址在路