【正文】 資源庫 9 服務器接入?yún)^(qū) 部署在網(wǎng)絡中心，主要實現(xiàn)以下功能： ? 用來承載 XX 局 的所有服務器，為 XX 局 辦公人員 提供網(wǎng)絡服務。 ? 實現(xiàn) QoS，對數(shù)據(jù)包進行分類和標記。 網(wǎng)絡的可靠性最終要從設備級、鏈路級、網(wǎng)絡級、業(yè)務級等各層次保證。 XX 網(wǎng)絡交換機在網(wǎng)絡設備上進行了軟、硬件的架構優(yōu)化，確 保網(wǎng)絡交換機具備“ %”的電信級穩(wěn)定性。各功能模塊獨立，故障隔離，提升新功能開發(fā)測試效率和系統(tǒng)穩(wěn)定性。 三平面分離保護 傳統(tǒng)交換機系統(tǒng)分為數(shù)據(jù)平面和控制平面兩部分。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 12 XX 的高端交換機將控制平面再分離，分為控制平面和管理平面，由管理平面負責提供TELNET、 WEB、 SSH、 SNMP 等管理接口，保證在路由震蕩、網(wǎng)絡復雜、病毒攻擊條件下，控制平面的協(xié)議運行占用大量設備資源，管理平面獨立于控制平面，可以輕松通過管理平面在線定位和規(guī)避網(wǎng)絡設備的非正常運行 ，高度保證了系統(tǒng)穩(wěn)定性。例如，利用偽造的數(shù)據(jù)包瞄準具體協(xié)議，向網(wǎng)絡設備發(fā)動攻擊。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 13 CPP 提供三種保護方法，來保護 CPU 的利用率。 經(jīng)過信息產(chǎn)業(yè)部權威測試中心測試， 得出結論：“ XX 網(wǎng)絡的 CPP 功能可進一步提高交換機抗攻擊的能力和保持網(wǎng)絡拓撲與 CPU 的穩(wěn)定性” 網(wǎng)絡服務質(zhì)量保證 建議方案，以 XX 局 實際規(guī)劃為主。為實現(xiàn)上述目的， QoS 提供了下述功能： （ 1） 報文分類和著色 （ 2） 避免和管理網(wǎng)絡擁塞 （ 3） 流量監(jiān)管和流量整形 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 14 （ 4） QoS 信令協(xié)議 在 網(wǎng)絡設計 中，設計合理的 QOS 保障方案，利用有限的資源，以獲得更好的網(wǎng)絡使用效益，是非常必要的。 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 15 6. 辦公網(wǎng) 高安全性設計 辦公網(wǎng) 基礎安全保障 辦公網(wǎng) 安全基礎保障從網(wǎng)絡結構、網(wǎng)絡協(xié)議、網(wǎng)絡設備防護、網(wǎng)絡攻擊防護四個方面進行設計，保障 辦公網(wǎng) 自 身的安全穩(wěn)定。 拓撲協(xié)議防護 辦公網(wǎng) 中， 核心交換區(qū)與、 樓層接入?yún)^(qū) 分別通過雙鏈路互聯(lián)， 同時采用 STP 生成樹協(xié)議實現(xiàn)邏輯 LoopFree 的網(wǎng)絡架構。 當網(wǎng)絡中存在非法攻擊時，可能造成網(wǎng)絡設備的 CPU 利用率異常、幀通路堵塞等現(xiàn)象，這些現(xiàn)象很容易引起網(wǎng)絡拓撲的振蕩。 XX 網(wǎng)絡交換機通過提供 CPU Protect Policy(CPP)功能，能夠有效的抵御網(wǎng)絡中的惡意攻擊， CPP 功能通過有報文識別以及攻擊報文抑制達到： （ 1） 削弱攻擊報文對交換機的影響 (交換機處理器保護 )。 報文識別 所有送到交換機進行協(xié)議處理的報文首先通過報文識別處理過程將報文進行分類，例如ARP、 BPDU、 GVRP 等等 報文帶寬控制 管理員可以 配置每種類型報文帶寬，通過這種方式可以有效地抑制網(wǎng)絡中高速率的攻擊報文。 通過部署網(wǎng)絡設備相應的 CPU 保護的功能，區(qū)分不同的 CPU 處理報文的隊列以及優(yōu)先級、送 CPU 處理的報文速率，用以減輕交換機 CPU 負擔，保護交換機的正常處理能力，當設備受到攻擊時，設備的 CLI （ Command Line Interface）管理界面仍可進行正常的管理操作，不會導致 CPU 利用率過高，設備對收到的其他協(xié)議報文仍可以被交換機及時 處理。 口令的密文顯示 若系統(tǒng)的配置文件以文本方式進行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。 用戶登錄驗證 對從設備 CONSOLE 口進行訪問配置的用戶必需具有身份認證的能力，可以通過本地用戶驗證或 RADIUS 驗證實現(xiàn)。這樣，即使非法用戶占領了控制臺，通過重啟設備清除了控制臺訪問口令，也無法通過控制臺對設備進行非法配置。 超時時間必須可配置，缺省為 10 分鐘 限制 tel 用戶數(shù)目 設備對 tel 用戶數(shù)量必需做出上限控制。 需特別指出： SNMP 的網(wǎng)管站通常有大量的關于驗證信息的數(shù)據(jù)庫，例 如團體名。 不要使只讀的團體名和讀寫的團體名一致。 SNMPv2 基本上是一個過渡版本，有多個版本，盡管也考慮了協(xié)議自身的安全性，但是技術上并不成熟，安全性仍比較弱。它提供了一個 SNMP NMS 和 AGENT 的完整的系統(tǒng)框架。 VACM 則對當前用戶的訪問權限進行檢查，看當前用戶是否可以對管理數(shù)據(jù)進行操作。 HTTP 訪問 HTTP 訪問方式通過 HTTP 協(xié)議對設備進行配置和監(jiān)控，同樣是對設備的一種交互訪問方式。 設備服務安全 網(wǎng)絡設備存在很多默認打開的服務，可能對網(wǎng)絡構成潛在威脅。常見網(wǎng)絡攻擊中， UDP 洪水就是利用 chargen 和 echo 來傳送毫無用處的占湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 20 滿帶寬的數(shù)據(jù)：通過偽造與某一主機的 Chargen 服務之間的一次的 UDP 連接，回復地址指向開著 Echo 服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，從而消耗網(wǎng)絡帶寬。 （ 2） 關閉協(xié)議服務 設備上提供很多服務和應用，在不同的網(wǎng)絡環(huán)境中這些服務可能是不必要的，若開啟這些服務將對 設備自身性能造成影響，因此需要這些關閉服務；有些服務還會帶來潛在的安全問題，也同樣需要關閉。 關閉 sourceroute、 ARP 代理、定向廣播服務； 關閉 ICMP 網(wǎng)絡不可達、 IP 重定向、路由器掩碼回應服務； 網(wǎng)絡攻擊防護 欺騙類型攻擊防護 隨著網(wǎng)絡病毒與黑客工具的泛濫，網(wǎng)絡環(huán)境中經(jīng)常存在有病毒攻擊或者黑客攻擊所引起的欺騙類型攻擊，如 DHCP 欺騙攻擊、 ARP 欺騙攻擊等。 網(wǎng)絡病毒控制 對于常見的比如沖擊波、振蕩波病毒等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，本次投標的所有 XX 交換機內(nèi)置了豐富的 ACL 功能，能夠?qū)@些病毒進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了 辦公網(wǎng) 帶寬的有效利用。遠端客戶連接到計算機時，它們查找 endpoint mapper 找到服務的位置。這個協(xié)議被用于 windows 文件和打印機共享和 SAMBA?；ヂ?lián)網(wǎng)上的蠕蟲病毒以及其他病毒，利用這個端口對該機以外的其他 機器進行病毒傳播。協(xié)議棧的執(zhí)行錯誤或?qū)W(wǎng)絡的錯誤配置都有可 能導致風暴的產(chǎn)生。通過在接入層交換機的端口開啟 in 方向基于端口的速率限制實現(xiàn)。當湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 23 接口接收到的廣播、多播或未知名單播包的速率超過所設定的閥值時，設備將只允許通過所設定閥值帶寬的報文，超出閥值部分的報文將被丟棄，直到數(shù)據(jù)流恢復正常，從而避免過量的泛洪報文進入 LAN 中形成風暴。 應該封閉這些端口，主要有： TCP 13 13 44 59 1025 端口和 UDP 13 1313 445 端口，一些流行病毒的后門端口（如 TCP 274 312 6129 端口），以及遠程服務訪問端口 338 4444 端口 網(wǎng)絡風暴控制 當 LAN 中存在過量的廣播、多播或未知名單播包時，就會導致網(wǎng)絡變慢和報文傳輸超時幾率大大增加。 端口 445 說明： 445 端口和 139 端口一樣，都是用來開啟 SMB 服務的端口。 端口 13 13 139 服務 NETBIOS Name Service 說明其中 13 138 是 UDP 端口，當通過網(wǎng)上鄰居傳輸文件時用這個端口。這與 UNIX 111 端口的功能很相似。 （ 2） ARP 欺騙防護 湖南工業(yè)職業(yè)技術學院 網(wǎng)絡技術專業(yè)教學資源庫 21 XX 接入層交換機通過 ARPCHECK 技術，對每一個 ARP 報文進行深度的檢測，即檢測 ARP報文中的源 IP 和源 MAC 是否和可信任的 IPMAC 對應表一致，如果不一致，視為非法欺騙報文，進行丟棄，這樣可有效防止安全端口上的 ARP 欺騙，防止非法信息點冒充網(wǎng)絡關鍵設備的 IP（如服務器），造成網(wǎng)絡通訊混亂。 關閉 NTP 協(xié)議服務 NTP 協(xié)議用來在整個網(wǎng)絡發(fā)布精確時鐘。 如果網(wǎng)絡設備實現(xiàn)了這些早期的小端口服務，應能通過一條指令關閉所有的小端口服務。對于具體網(wǎng)絡環(huán)境，我們建議關閉以下一些應用或服務： （ 1） 關閉 TCP 和 UDP 的小端口服務； 早期的 TCP/UDP 端口服務，設計比較簡單，沒有考慮網(wǎng)絡安全問題，這類小端口服務可能被惡意攻擊者利用。但目前 HTTP 協(xié)議本身僅支持明文驗證。 網(wǎng)管訪問控制列表 在大多數(shù)網(wǎng)絡中，合法的 SNMP 報文將來自于某幾個網(wǎng)管站。 USM 使用 MD5 或者 SHA 對報文進行驗證，使用 DES 對報文進行加密。 SNMPv3 的安全性 SNMPv3 對協(xié)議的安全性給出了全面的解決方案。讀寫的團體名應該僅僅用于當前的寫操作。這使得網(wǎng)管站成為許多攻擊的目標，因此，必須要保證網(wǎng)管站的安全。 SNMP 訪問 SNMP 是一種使用非常廣泛的協(xié)議，主要用于設備的監(jiān)控和配置的更改。 TELNET 訪問 用戶登錄驗證 對于非控制臺的其它一切配置手段，必須要求設備配置身份