【正文】 MicrosoftNetShow 和 NetMeeting 等組播應(yīng)用被越來越廣泛地使用，作為端到端組播解決方案一部分的組播路由協(xié)議變得越來越重要了。20第四章、未來網(wǎng)絡(luò)安全策略的考慮安全策略越來越成為企業(yè)網(wǎng)絡(luò)尤其是企業(yè)企業(yè)網(wǎng)絡(luò)的關(guān)鍵因素。CiscoSAFE(SecurityArchitectureforEnterprise 企業(yè)安全體系結(jié)構(gòu))為企業(yè)客戶提供整體的、可擴(kuò)展的、高性能的、靈活的安全解決方案。本次網(wǎng)絡(luò)建設(shè)所建議的網(wǎng)絡(luò)安全策略正是基于 SAFE 企業(yè)安全體系結(jié)構(gòu)，可充分滿足客戶今后對網(wǎng)絡(luò)安全的要求。如果發(fā)現(xiàn)數(shù)據(jù)流是未經(jīng)授權(quán)的或有可疑行為，IDS 感應(yīng)器能偵測到入侵，終止這個(gè)會話，并向管理控制臺發(fā)送告警。其透明的操作對網(wǎng)絡(luò)的性能沒有影響，具有功能強(qiáng)大的管理軟件。下面我們將針對這幾個(gè)方面做相應(yīng)的設(shè)計(jì)。與 Inter 接入不同的是，這里的內(nèi)部網(wǎng)絡(luò)是交通客戶的后臺主機(jī)，DMZ 區(qū)則放置業(yè)務(wù)前置機(jī)和 IDS 感應(yīng)器.PIX 防火墻是 Cisco 公司的防火墻系列產(chǎn)品中性能最高的企業(yè)級硬件防火墻，它具有性能超群、配置簡單、安全性高、擴(kuò)展性強(qiáng)等特點(diǎn)，我們利用 PIX 的多接口特性，只采用一臺防火墻即實(shí)現(xiàn)了非軍事化區(qū)的劃分。IDSSensor 是 Cisco 公司生產(chǎn)的硬件安全監(jiān)測設(shè)備，具有高性能、安裝配置簡易的特點(diǎn)，它不但可以進(jìn)行實(shí)時(shí)檢測、詳細(xì)的入侵報(bào)警和全面的事件記錄，更可以與 Cisco 的網(wǎng)絡(luò)設(shè)備協(xié)調(diào)工作，自動(dòng)升級配置以杜絕未來的攻擊。由于基本上撥號用戶的身份都是交通客戶職工，他們在工作時(shí)間是直接連接在內(nèi)部網(wǎng)絡(luò)上的，所以其具體的對不同主機(jī)的訪問權(quán)限主要是通過應(yīng)用層來控制的，沒必要在撥號訪問系統(tǒng)中作過多的額外控制。CiscoSecure 同時(shí)支持 TACACS+和 RADIUS，為二者提供同等功能，客戶可以自由選擇。即下一級節(jié)點(diǎn)的路由器撥通上一級節(jié)點(diǎn)的撥號備份訪問服務(wù)器后，通過認(rèn)證后，掛斷線路，由撥號備份訪問服務(wù)器回?fù)艿较乱患壒?jié)點(diǎn)的路由器，回?fù)艿奶柎a在撥號備份訪問服務(wù)器上定義。這樣，不同級別的網(wǎng)絡(luò)管理人員有著不同的權(quán)限，為網(wǎng)絡(luò)設(shè)備本身的安全提供保障。此外，對于在布線室內(nèi)或管理控制臺接入進(jìn)程中的核實(shí)身份，Cisco 還提供以下多種附加功能，使用戶可以根據(jù)需要，靈活使用。這種集成加強(qiáng)了建立注冊帳戶所需要的管理工作，充分利用了市場上越來越多的人使用 PDCS 的有利條件。TACACS+和 RadiusAuthentication：將鑒別和認(rèn)證植入網(wǎng)絡(luò)設(shè)備的命令行接口(CLI)，通過跟蹤用戶登錄，對進(jìn)入 CLI 的訪問進(jìn)行記帳。我們用于網(wǎng)絡(luò)管理的網(wǎng)管工作站、IDS 的管理端口、被管設(shè)備的 IP 地址在獨(dú)立的Sub 和 VLAN，和生產(chǎn)網(wǎng)絡(luò)分離。通過相應(yīng)的隧道技術(shù)，可實(shí)現(xiàn) VPN。本網(wǎng)絡(luò)方案能夠滿足客戶對 VPN 和數(shù)據(jù)加密的需求，可以在需要的時(shí)候在網(wǎng)絡(luò)中部署。多數(shù)企業(yè)缺乏一種集中化的，協(xié)調(diào)的機(jī)制，以便在整個(gè)網(wǎng)絡(luò)中一致地實(shí)施策略，檢查策略是否被正確地實(shí)施，方便地對策略進(jìn)行改變，或是檢測網(wǎng)絡(luò)中的攻擊、錯(cuò)誤和不恰當(dāng)使用。用戶可以從中心點(diǎn)來定義、分發(fā)、執(zhí)行和審計(jì)全網(wǎng)的安全策略。包分類使網(wǎng)絡(luò)要素可以區(qū)分不同的通信流量，在第二層和第三層 QoS 領(lǐng)域中實(shí)施策略。所有端口都支持控制面板和數(shù)據(jù)面板訪問控制列表（ACL），以確保每個(gè)包都被修正和標(biāo)記。時(shí)序是一種確定隊(duì)列被處理的時(shí)間順序的算法/流程。通過采用時(shí)序設(shè)置，Catalyst4500 的千兆以太網(wǎng)接口可以通過加權(quán)隨機(jī)早期檢測（WRED）支持擁塞控制。要避免這種情況，可以確保在整個(gè)網(wǎng)絡(luò)中對語音通信量進(jìn)行正確的分類和優(yōu)先級劃分。帶寬可以基于多種標(biāo)準(zhǔn)進(jìn)行劃分，例如 MAC 源地址、MAC 目的地址、IP 源地址、IP 目的地址，以及 TCP/UDP 端口編號。 應(yīng)用于整個(gè)網(wǎng)絡(luò)的安全特性IEEE 可以實(shí)現(xiàn)基于端口的動(dòng)態(tài)安全； 基于所有 VLAN 的 Cisco 安全 VLAN ACL（VACL）可以防止未經(jīng)授權(quán)的數(shù)據(jù)流進(jìn)入VLAN。 TACACS+和 RADIUS 實(shí)現(xiàn)了交換機(jī)的集中控制，可防止未經(jīng)授權(quán)的用戶更改配置。生成樹根防護(hù)（STRG）可以訪問不屬于網(wǎng)絡(luò)管理員控制范圍的邊緣設(shè)備成為生成樹協(xié)議的根節(jié)點(diǎn)。創(chuàng)建企業(yè)安全策略的好處有：提供了在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中實(shí)施安全特性的框架提供了審查已有網(wǎng)絡(luò)安全性的程序建立了合法行為的基準(zhǔn)(如果需要)網(wǎng)絡(luò)安全策略是對風(fēng)險(xiǎn)進(jìn)行評估，鑒別重要資產(chǎn)和可能威脅以后產(chǎn)生出來的。另外，要考慮受威脅的可能性。Inter 部分，或稱為網(wǎng)絡(luò)周界，提供了從中央園區(qū)到 Inter 的連接。鑒別回答了“你是誰”和“你在哪？”這兩個(gè)問題，授權(quán)回答“你可以訪問什么”。完整性要素包括了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全(物理及邏輯接入)，周界安全和數(shù)據(jù)保密性。最后一個(gè)主要安全要素是審查元件，這對確證和監(jiān)督安全策略的實(shí)施是非常必要的。思科的網(wǎng)絡(luò)訪問控制和策略實(shí)施為網(wǎng)絡(luò)提供了如下的服務(wù)和能力：用戶及設(shè)備的認(rèn)證把網(wǎng)絡(luò)實(shí)體的身份與預(yù)定義策略集綁定在一起的能力依據(jù)授權(quán)策略在端口級允許或禁止網(wǎng)絡(luò)訪問的能力在任何被允許的訪問連接上實(shí)施附加應(yīng)用策略的能力，這些附加應(yīng)用策略包括資源訪問和服務(wù)質(zhì)量保證等在實(shí)施這個(gè)解決方案時(shí)，需要如下一些設(shè)備和服務(wù)：思科支持這個(gè)解決方案的交換機(jī)，如思科 7600/Catalyst 6500 系列交換機(jī)思科 Secure Access Control Server(ACS) for Windows 支持 的客戶端操作系統(tǒng)，如 Windows XP，以及增加了微軟附加應(yīng)用的Windows 9Windows 98 SE 和 Windows 2022 等。認(rèn)證過程如下圖： 允許訪問數(shù)據(jù)庫檢查。思科的網(wǎng)絡(luò)訪問控制和策略實(shí)施方案可以提供更好的特性用于網(wǎng)絡(luò)控制和策略分配，這個(gè)解決方案是完全基于標(biāo)準(zhǔn)，并且可以與第三方的 和 RADIUS服務(wù)設(shè)備兼容的。網(wǎng)絡(luò)管理員可以定義多達(dá)六個(gè)服務(wù)類，并利用擴(kuò)展訪問控制列表(擴(kuò)展ACL)，為每個(gè)服務(wù)類定義擁塞處理和帶寬分配策略。IP 優(yōu)先權(quán)可被映射到鄰接技術(shù)(如標(biāo)記交換、幀中繼或 ATM)，在非均勻網(wǎng)絡(luò)環(huán)境下提供端到端的 QoS策略。CAR 閾值可根據(jù)訪問端口、IP 地址和應(yīng)用程序設(shè)定。用于擁塞管理的隨機(jī)早期預(yù)測(RED)：RED 為網(wǎng)絡(luò)管理員提供了靈活制定流量控制策略的能力，使其能在擁塞情況下保持盡可能大的吞吐量。加權(quán) RED，基于服務(wù)類的擁塞管理(WRED)：WRED 結(jié)合了 IP 優(yōu)先權(quán)和 RED 功能，為不同類別的服務(wù)提供不同的性能對優(yōu)先權(quán)較高的分組優(yōu)先處理。根據(jù)服務(wù)類別加權(quán)公平排隊(duì)(WFQ)：WFQ 提供了這樣一種能力，在為較低優(yōu)先級業(yè)務(wù)公平分配現(xiàn)有帶寬的同時(shí)，保證要求低延時(shí)的高優(yōu)先級和低優(yōu)先級流。最后，有一個(gè)“熱點(diǎn)”問題，就是使用企業(yè)目錄服務(wù)來定義標(biāo)志和策略。32圖 ： 網(wǎng) 絡(luò) 系 統(tǒng) QOS 保 證 機(jī) 制交換機(jī)通過上述機(jī)制在數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)的進(jìn)入點(diǎn)—以太網(wǎng)端口就對數(shù)據(jù)流分類標(biāo)識，然后全網(wǎng)的網(wǎng)絡(luò)設(shè)備都可以根據(jù)這些標(biāo)識為數(shù)據(jù)流提供合適的服務(wù)質(zhì)量保證，從而保證全網(wǎng)端到端的服務(wù)質(zhì)量保證。在日常的網(wǎng)絡(luò)管理過程當(dāng)中，經(jīng)常包含下面三個(gè)過程：安裝配置和更改配置網(wǎng)絡(luò)監(jiān)視和故障診斷網(wǎng)絡(luò)設(shè)計(jì)和優(yōu)化實(shí)施和更改 監(jiān)控和診斷 設(shè)計(jì)和優(yōu)化安裝配置地址管理添加、遷移、更改安全記帳和計(jì)費(fèi)資產(chǎn)和庫存報(bào)告用戶管理數(shù)據(jù)管理定義閾值監(jiān)控期望值孤立問題通知關(guān)聯(lián)糾錯(cuò)旁路和解決校正收集歷史基線趨勢分析響應(yīng)時(shí)間分析容量規(guī)劃采購?fù)負(fù)湓O(shè)計(jì)服務(wù)級別協(xié)議網(wǎng)絡(luò)管理提供的不只是一個(gè)網(wǎng)絡(luò)管理平臺，而是基于的全線網(wǎng)絡(luò)設(shè)備的一系列系統(tǒng)管理軟件。34第一個(gè)層次提供設(shè)備級的網(wǎng)絡(luò)管理組件，它提供設(shè)備管理(硬件、軟件)、配置管理、圖形面板、流量監(jiān)控、故障判斷、拓?fù)浒l(fā)現(xiàn)等諸多的網(wǎng)絡(luò)管理基本功能，針對企業(yè)網(wǎng)，它包括局域網(wǎng)管理組件。為用戶提供強(qiáng)大的網(wǎng)絡(luò)管理、分析和規(guī)劃的手段。比如，在一些軍隊(duì)的網(wǎng)絡(luò)中，管理人員會很注重對網(wǎng)絡(luò)活動(dòng)的監(jiān)視，樂于使用舊式的網(wǎng)絡(luò)分析儀；而在另一些網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理則包含著分布式的數(shù)據(jù)庫，對網(wǎng)絡(luò)設(shè)備和高性能工作站的自動(dòng)輪詢，產(chǎn)生實(shí)時(shí)的網(wǎng)絡(luò)拓?fù)鋱D、流量圖等。也就是說，只要知道單位名稱或企業(yè)名稱，就可以使用企業(yè)目錄服務(wù)給該企業(yè)打電話。在出現(xiàn)擁塞時(shí)，低優(yōu)先級流的分組可能被丟棄。網(wǎng)絡(luò)管理員可以靈活地為不同的服務(wù)類定義排隊(duì)長度最大和最小閾值以及分組丟棄率。RED 和 TCP 協(xié)同工作，在大流量出現(xiàn)時(shí)，能預(yù)先控制擁塞，并用丟棄分組的方式，保持大吞吐量。31CAR 利用擴(kuò)展 ACL 對超出分配帶寬的業(yè)務(wù)制定處理策略，包括重新定義帶寬可用閾值、修改分組的優(yōu)先級、制定分組丟棄原則等。用允許訪問速率(CommittedAccessRate)管理訪問帶寬:CAR 為網(wǎng)絡(luò)管理員提供了一個(gè)為業(yè)務(wù)目的地分配帶寬，并制定超過帶寬分配額度時(shí)的業(yè)務(wù)處理策略的工具。IP 優(yōu)先權(quán)功能為預(yù)定分配提供了相當(dāng)?shù)撵`活性，包括客戶分配(如根據(jù)應(yīng)用程序和訪問服務(wù)器)和基于 IP 或 MAC 地址、物理端口或應(yīng)用程序的網(wǎng)絡(luò)分配?？梢员粍?dòng)態(tài)配置的的參數(shù)包括：VLAN訪問控制表QoS 參數(shù)等等相應(yīng)過程如下圖：30允許訪問數(shù)據(jù)庫檢查4. 這是John，John屬于VLAN 5, 被允許訪問辦公網(wǎng)，其服務(wù)質(zhì)量保證標(biāo)記為7。雖然基本的 標(biāo)準(zhǔn)提供的簡單認(rèn)證能夠顯著改進(jìn)網(wǎng)絡(luò)訪問控制的能力，我們?nèi)匀恍枰粋€(gè)更為強(qiáng)大的解決方案。通過支持 IEEE 標(biāo)準(zhǔn)，思科 Catalyst 交換機(jī)能夠執(zhí)行基本的基于端口的網(wǎng)絡(luò)訪問控制?；谏矸莸木W(wǎng)絡(luò)訪問控制和策略實(shí)施提供了一個(gè)解決方案，這個(gè)解決方案允許網(wǎng)絡(luò)管理員真正實(shí)現(xiàn)基于用戶身份對網(wǎng)絡(luò)訪問進(jìn)行控制。邏輯接入安全主要指在允許 Tel 或控制臺接入到必不可少的網(wǎng)絡(luò)基礎(chǔ)設(shè)施元件(例如路由器和防火墻)之前提供身份鑒別機(jī)制(確認(rèn)與授權(quán))。一個(gè)最典型的例子就是一個(gè)使用者因?yàn)椴坏貌挥涀≡S多口令而把一張寫了口令的便簽紙貼在計(jì)算機(jī)顯示屏上。安全策略中包含三個(gè)主要要素：身份，完整性及審計(jì)。企業(yè)網(wǎng)組成部分企業(yè)網(wǎng)的核心是主園區(qū)網(wǎng)。安全策略既要在技術(shù)上也要在結(jié)構(gòu)上可執(zhí)行。它與定義帶寬要求或冗余需求一樣重要。 用戶可選的地址學(xué)習(xí)模式簡化了配置，提高了安全性。 基于時(shí)間的 ACL 可以實(shí)現(xiàn)在一天中的某個(gè)特定時(shí)段進(jìn)行安全性設(shè)置。每個(gè)端口均支持入口策略和出口策略。Cisco 核心交換機(jī)能夠通過對 Cisco 承諾信息速率（CIR）功能的支持進(jìn)行速率控制。26這些特性使網(wǎng)絡(luò)管理員可以設(shè)置關(guān)鍵任務(wù)型和/或需要占有大量帶寬的通信流量的優(yōu)先級，例如 ERP（Oracle、SAP 等等），語音（IP 電話通信量）和 CAD/CAM，將它們與那些對時(shí)延不太敏感的應(yīng)用（例如 FTP 和電子郵件（SMTP））區(qū)分開。WW 序列算法確保了優(yōu)先級較低的包不會沒有帶寬可用，而且在受處理時(shí)沒有損害網(wǎng)絡(luò)管理人員的優(yōu)先級設(shè)置。Catalyst4500 的每個(gè)端口支持四個(gè)輸出序列，從而使網(wǎng)絡(luò)管理員可以更加詳細(xì)地為LAN 中的不同應(yīng)用指定優(yōu)先級。分類和重新分類可以基于源/目的地 IP 地址、源/目的地介質(zhì)訪問控制（MAC）地址或者第四層傳輸控制協(xié)議（TCP）/用戶數(shù)據(jù)報(bào)協(xié)議（UDP）端口所指定的標(biāo)準(zhǔn)。CSPM 的主要特性和優(yōu)勢如下：Cisco 防火墻管理—簡便地定義 PIX 防火墻和 CiscoIOS 路由器上的安全策略；CiscoVPN 網(wǎng)關(guān)管理—簡便地配置基于 CiscoPIX 防火墻和 CiscoIOS 路由器上的點(diǎn)到點(diǎn) IPSecVPN；IDS 管理—配置和監(jiān)控 IDS 感應(yīng)器安全策略管理—使用全網(wǎng)統(tǒng)一策略來管理多至 500 個(gè) Cisco 安全設(shè)備，不需要很深的設(shè)備的知識，不需要對設(shè)備進(jìn)行命令行設(shè)置；提示和報(bào)告—提供基本的審計(jì)工具，監(jiān)控、告警和報(bào)告 Cisco 安全設(shè)備和策略動(dòng)作，使網(wǎng)絡(luò)管理員能知悉全網(wǎng)發(fā)生的事件；基于 WindowsNT—提供容易使用的 Widows 用戶界面.Cisco 核心交換機(jī)可以提供先進(jìn)的第三層詳細(xì) QoS 功能，以確保對網(wǎng)絡(luò)通信量進(jìn)行詳細(xì)的分類，劃分優(yōu)先級，以及盡可能地避免發(fā)生擁塞。我們有CSPM（CiscoSecurePolicyManager）網(wǎng)絡(luò)安全策略管理軟件。管理員們通常采用在整個(gè)分布式企業(yè)中逐個(gè)設(shè)備地配置防火墻的方式。Cisco 的路由器在進(jìn)行加密計(jì)算時(shí)，可以基于 IOS 軟件實(shí)現(xiàn)，也可以采用硬件加密卡，以達(dá)到更高的吞吐量。對于日益增長的中間業(yè)務(wù)，有的需要數(shù)據(jù)穿過公共 IP 網(wǎng)絡(luò)，為保證數(shù)據(jù)不被竊取和篡改，可以采用基于網(wǎng)絡(luò)層的加密隧道 VPN 技術(shù)。24SNMPv3：提供加密的用戶身份鑒別，用于網(wǎng)絡(luò)管理的 SNMP 加密串。跟蹤并鑒別與 CWSI 的鏈接：URT 提供與 Cisco 用戶跟蹤應(yīng)用相連的鏈路，以便根據(jù)用戶的登錄名稱迅速識別其位置。用戶注冊：與 DHCPUserRegistrationTracking(URT)動(dòng)態(tài)鏈路相連，與 DNS/DNCP服務(wù)器動(dòng)態(tài)鏈接，可以按用戶的網(wǎng)絡(luò)地址及其物理網(wǎng)絡(luò)位置跟蹤用戶，從而大大減少了解決問題時(shí)所費(fèi)的時(shí)間。Cisco 完全支持這些局域網(wǎng)中基本的安全控制功能，可以根據(jù)交換機(jī)端口\MAC 地址進(jìn)行 VLAN 的劃分,并通過訪問控制列表等技術(shù)對于 VLAN 之間的通訊進(jìn)行基于 IP 地址、網(wǎng)段、TCP/UDP 端口號等進(jìn)行過濾。而對于遠(yuǎn)程登錄到網(wǎng)絡(luò)設(shè)備進(jìn)行配置管理的用戶名、密碼和訪問級別則可以采用23集中的 CiscoSecure 訪問控制服務(wù)器來進(jìn)行統(tǒng)一管理。