【正文】 一個tunnel邏輯接口和多個VPN接入設(shè)備建立會話通道，而不用為每一個通道配置一個邏輯的接口作為隧道的端點，大大的簡化了配置的復雜度，提高了網(wǎng)絡(luò)的可維護性和易擴充性。當多個DVPN 接入設(shè)備通過向共同的Server 進行注冊，構(gòu)建一個DVPN 域，就實現(xiàn)了各個DVPN 接入設(shè)備后面的網(wǎng)絡(luò)的VPN 互聯(lián)。而SSL VPN就不一樣，實現(xiàn)的是IP級別的訪問，遠程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒有區(qū)別。n 容易維護：SSL VPN 維護起來簡單，出現(xiàn)問題，就維護網(wǎng)關(guān)就可以了。IPSec VPN最大的難點在于客戶端需要安裝復雜的軟件，而且當用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數(shù)增長。SSL獨立于應(yīng)用，因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細節(jié)。 SSL VPN技術(shù)的應(yīng)用SSL協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。 二層VPN技術(shù)L2TP的應(yīng)用L2TP提供了一種遠程接入訪問控制的手段，其典型的應(yīng)用場景是：某公司員工通過PPP撥入公司本地的網(wǎng)絡(luò)訪問服務(wù)器(NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問相應(yīng)權(quán)限的網(wǎng)絡(luò)資源該員工出差到外地，此時他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當?shù)豂SP申請L2TP服務(wù)，首先撥入當?shù)豂SP，請求ISP與公司NAS建立L2TP會話，并協(xié)商建立L2TP隧道，然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理，通過L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過NAS接入公司內(nèi)網(wǎng)。 IPX 網(wǎng)絡(luò)通過GRE 隧道互連GRE是無狀態(tài)協(xié)議，與IPsec隧道不同，端點在通過隧道發(fā)送流量之前并不調(diào)整任何參數(shù)，只要隧道目的地是可路由的，流量就可以穿過GRE隧道。AH與ESP提供的數(shù)據(jù)完整性服務(wù)的差別在于，AH驗證的范圍還包括數(shù)據(jù)包的外部IP頭。 IPsec VPN的應(yīng)用IPsec(IP Security)是保障IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項具體的協(xié)議，而是指用于實現(xiàn)IP層安全的協(xié)議套件集合。VPN 作為私有專網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨立性，即在一般情況下，VPN 資源不會被網(wǎng)絡(luò)中的其它VPN 或非該VPN 用戶使用；另一方面，VPN 提供足夠安全性，能夠確保VPN 內(nèi)部信息的完整性、保密性、不可抵賴性。需要先建立一個普通的ACL列表，然后建立一個關(guān)于VLAN的訪問映射表將建立的ACL列表包含進去，最后把訪問映射表映射到所需要的VLANA。：PC2可以針對PC3的MAC地址進行限制。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語句，數(shù)據(jù)都會立即發(fā)送到目的接口。擴展ACL比標準ACL提供了更廣泛的控制范圍, 擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。目前有兩種主要的ACL:標準ACL和擴展ACL。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。 NAT技術(shù)的應(yīng)用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。對邊界進行安全防護，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護，這可以通過安全分區(qū)設(shè)計來確定。4 邊界網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門，大門的安全防護是網(wǎng)絡(luò)安全的基礎(chǔ)需求。為增加堆疊的可靠性，盡量使用環(huán)形堆疊。在系統(tǒng)啟動時、新Unit加入時、merge時都會進行配置比較。備份組號可以自己設(shè)定；主路由是交換機A還是交換機B，取決于兩者的優(yōu)先級，高的成為主路由，優(yōu)先級一樣比較IP地址，誰的大誰是主路由，另外一臺作為備份路由；VRRP默認搶占開啟。Cisco系列交換機更多的采用思科廠商專用的HSRP（Hot Standby Router Protocol，熱備份路由器協(xié)議）為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址，同時會產(chǎn)生一個虛擬MAC(00005E0001[VRID])地址，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。VLANVLAN30 在匯聚層設(shè)備終結(jié)，VLAN 40 在接入層設(shè)備終結(jié)，因此可以配置實例1和實例3 的樹根分別為Switch A和Switch B，實例4 的樹根為Switch C。n 多層交換體系中部署MSTP MSTP（MultIPle Spanning Tree Protocol） 的快速生成樹（RST）算法擴展而得到的，體現(xiàn)的是將多個VLAN映射到一個生成樹實例的能力。對于每個VLAN，您通常可以確定哪臺交換機最適合用做根網(wǎng)橋。對部門1和部門2的流量進行監(jiān)控，Switch A為源交換機：被監(jiān)控的端口所在的交換機，負責將鏡像流量復制到反射端口，然后通過遠程鏡像VLAN 傳輸給中間交換機或目的交換機；Switch B為中間交換機：網(wǎng)絡(luò)中處于源交換機和目的交換機之間的交換機，通過遠程鏡像VLAN 把鏡像流量傳輸給下一個中間交換機或目的交換機，如果源交換機與目的交換機直接相連，則不存在中間交換機；Switch C為目的交換機：遠程鏡像目的端口所在的交換機，將從遠程鏡像VLAN 接收到的鏡像流量通過鏡像目的端口轉(zhuǎn)發(fā)給監(jiān)控設(shè)備。：Switch C的端口E1/0/3可以把端口研發(fā)部所連得端口E1/0/1和市場部連接的E1/0/2端口的流量復制過來,然后交給數(shù)據(jù)檢測設(shè)備分析，從而可以對危險流量進行隔離和控制。 啟用端口鏡像對流量進行監(jiān)控 由于部署 IDS和IPS等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需要），但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當大的困難，因此需要通過配置交換機來把一個或多個端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽，這樣就產(chǎn)生了端口鏡像。n 一個匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP。 H3C交換機設(shè)備之間的端口匯聚端口匯聚是將多個以太網(wǎng)端口匯聚在一起形成一個邏輯上的匯聚組，使用匯聚服務(wù)的上層實體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。而且設(shè)備能夠?qū)⒈镜氐腣LAN 注冊信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的VLAN 信息達成一致，減少由人工配置帶來的錯誤的可能性。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。port和Communityport通信，而且彼此也可以交換流量。port只能和PromiscuousVLAN，前面兩類VLAN需要和它綁定在一起，同時它還包括PromiscuousPVLAN,Communityport，Community這一新的VLAN特性就是專用VLAN（Private （2）復雜的STP：對于每個VLAN，每個相關(guān)的Spanning就目前來說，對于VLAN的劃分主要采取上述第3種方式，第2種方式為輔助性的方案。MAC地址由12位16進制數(shù)表示，前6位為網(wǎng)卡的廠商標識（OUI），后6位為網(wǎng)卡標識（NIC）。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設(shè)備。計算機網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護制度和應(yīng)急措施等等。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。 網(wǎng)絡(luò)安全策略計算機網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運行，主要涉及以下四個方面：　　可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段?！　】捎眯裕嚎杀皇跈?quán)實體訪問并按需求使用的特性。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。因此網(wǎng)絡(luò)管理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)，在構(gòu)建和維護當今高速增長的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色。新型的攻擊手段總在不斷地涌現(xiàn)，最好的防范措施就是計算機網(wǎng)絡(luò)安全人員的安全意識。身份認證方面，保證對交換機、路由器等網(wǎng)絡(luò)設(shè)備的安全訪問的身份認證、授權(quán)和統(tǒng)計，合法用戶安全接入網(wǎng)絡(luò)。BGP通常采用對等體認證，路由過濾，路由抑制等手段來保證協(xié)議的安全性。使用回環(huán)接口作為路由器ID是OSPF網(wǎng)絡(luò)用以確保穩(wěn)定性并從而確保安全的一個重要技術(shù)。當網(wǎng)絡(luò)中有兩種不同的路由協(xié)議時，可以采用上述策略。對設(shè)備進行訪問時，必須采用密碼或者RSA認證，對遠程訪問采用更加安全的SSH協(xié)議，針對不同的用戶級別，設(shè)定不同的優(yōu)先級等級。在初始階段，當端點設(shè)備進入網(wǎng)絡(luò)時，NAC 能夠幫助管理員實施訪問權(quán)限。在獲得交換機或LAN提供的各種業(yè)務(wù)之前。計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)；整個系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。針對網(wǎng)絡(luò)中所有設(shè)備與服務(wù)，這種管理模型的安全性可為用戶提供基于策略的訪問控制、審計、報表功能，使系統(tǒng)管理員可以實施基于用戶的私密性和安全策略。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。入侵預防系統(tǒng)也像入侵偵查系統(tǒng)一樣，專門深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找它所認識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進行記載，以便事后分析。NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。 遠程接入和邊界安全 遠程接入是直接接入到網(wǎng)絡(luò)系統(tǒng)內(nèi)部，而接入控制器也往往處于網(wǎng)絡(luò)系統(tǒng)的邊界部分。如果主路由器不可用，這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址（這個備份路由器就成為主路由器）。當網(wǎng)關(guān)斷掉時，本網(wǎng)段內(nèi)所有主機將斷掉與外部的通信。PVLAN通常用于企業(yè)內(nèi)部網(wǎng)，用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻允許與默認網(wǎng)關(guān)進行通信?？刂凭W(wǎng)絡(luò)中數(shù)據(jù)流動有很多種方式，其中之一是使用訪問控制列表（通常稱作ACL，access control list）。違反這3項原則中的任何一個都會給相關(guān)方帶來嚴重后果。 目前研究現(xiàn)狀 目前廣泛應(yīng)用的網(wǎng)絡(luò)安全模型是機密性、完整性、可用性（CIA,confidentiality，integrity，and availability）3項原則。網(wǎng)絡(luò)安全對國民經(jīng)濟的威脅、甚至對國家和地區(qū)的威脅也日益嚴重?！?】 2010年1月，國務(wù)院決定加快推進電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合，2010年至2012年廣電和電信業(yè)務(wù)雙向進入試點，2013年至2015年，全面實現(xiàn)三網(wǎng)融合。隨著網(wǎng)絡(luò)高新技術(shù)的不斷發(fā)展，社會經(jīng)濟建設(shè)與發(fā)展越來越依賴于計算機網(wǎng)絡(luò)，計算機網(wǎng)絡(luò)安全對我們生活的重要意義也不可同日而語。這將導致未來幾年網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長，網(wǎng)絡(luò)也會變得越來越復雜，承擔的任務(wù)越來越關(guān)鍵，給運營和管理網(wǎng)絡(luò)的人們帶來新的挑戰(zhàn)，很顯然這些快速發(fā)展的技術(shù)引發(fā)了新的安全問題。H3C設(shè)備是目前我國政府，企業(yè)，電信，教育行業(yè)的主流網(wǎng)絡(luò)設(shè)備生產(chǎn)商，研究旗下路由器，交換機以及安全設(shè)備，存儲設(shè)備的網(wǎng)絡(luò)安全系統(tǒng)的綜合部署對以后系統(tǒng)集成案例有很好的效仿作用。這些準則適用于安全分析的整個階段——從訪問一個用戶的Internet歷史到Internet上加密數(shù)據(jù)的安全?！?】（1） 基于ACL的訪問控制如今的網(wǎng)絡(luò)充斥著大量的數(shù)據(jù)，如果沒有任何適當?shù)陌踩珯C制，則每個網(wǎng)絡(luò)都可以完全安全訪問其他網(wǎng)絡(luò)，而無需區(qū)分已授權(quán)或者未授權(quán)。如果將交換機設(shè)備的每個端口化為一個（下層）VLAN，則實現(xiàn)了所有端口的隔離。通常，一個網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置一條缺省路由，這樣，主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往網(wǎng)關(guān)，從而實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。虛擬 IP 地址在路由器間共享，其中一個指定為主路由器而其它的則為備份路由器。以上兩種協(xié)議不僅可以在H3C網(wǎng)絡(luò)設(shè)備使用，也可以在其它廠商的網(wǎng)絡(luò)設(shè)備中使用。原因很簡單，隨著接入Internet的計算機數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。【9】（3） H3C入侵檢測系統(tǒng)（IPS）雖然防火墻可以根據(jù)IP地址和服務(wù)端口過濾數(shù)據(jù)包，但它對于利用合法地址和端口而從事的破壞活動則無能為力，防火墻主要在第二到第四層起作用，很少深入到第四層到第七層去檢查數(shù)據(jù)包。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展?！?112】 身份安全和訪問管理 一種訪問管理的解決方案是建立一個基于策略的執(zhí)行模型，確保用戶有一種安全的管理模型。授權(quán)(Authorization)：依據(jù)認證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪問LAN/WLAN。借助NAC，客戶可以只允許合法的、值得信任的端點設(shè)備(例如Pc 、服務(wù)器、PDA )接入網(wǎng)絡(luò)，而不允許其它設(shè)備接人。物理安全要考慮網(wǎng)絡(luò)拓撲設(shè)計冗余、設(shè)備的安全位置、介質(zhì)、電力供應(yīng)等安全因素。（1） 操縱路由選擇更新操作路由選擇更新的常用方法是路由分發(fā)列表，如果想進行更細致的調(diào)節(jié)可以設(shè)置相應(yīng)的路由更新策略。通過對路由器進行身份驗證，可避免路由器收到偽造的路由更新。雖然，目前國內(nèi)除運營商外大多數(shù)企業(yè)網(wǎng)絡(luò)選擇內(nèi)部網(wǎng)關(guān)協(xié)議，然而對于有多條ISP鏈路的企業(yè)，邊界采用BGP對網(wǎng)絡(luò)還是很有優(yōu)勢的。邊界安全方面，包括隱藏內(nèi)部地址，控制部分網(wǎng)段的訪問，遠程登錄。 結(jié)語 網(wǎng)絡(luò)安全技術(shù)是一個永恒的，綜合性的課題，并不是我們的網(wǎng)絡(luò)采用了相關(guān)的防范技術(shù)，就不用考慮網(wǎng)絡(luò)安全因素了，一種安全技術(shù)只能解決一方面的問