【正文】 一個(gè)tunnel邏輯接口和多個(gè)VPN接入設(shè)備建立會(huì)話通道，而不用為每一個(gè)通道配置一個(gè)邏輯的接口作為隧道的端點(diǎn)，大大的簡化了配置的復(fù)雜度，提高了網(wǎng)絡(luò)的可維護(hù)性和易擴(kuò)充性。當(dāng)多個(gè)DVPN 接入設(shè)備通過向共同的Server 進(jìn)行注冊(cè)，構(gòu)建一個(gè)DVPN 域，就實(shí)現(xiàn)了各個(gè)DVPN 接入設(shè)備后面的網(wǎng)絡(luò)的VPN 互聯(lián)。而SSL VPN就不一樣，實(shí)現(xiàn)的是IP級(jí)別的訪問，遠(yuǎn)程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒有區(qū)別。n 容易維護(hù)：SSL VPN 維護(hù)起來簡單，出現(xiàn)問題，就維護(hù)網(wǎng)關(guān)就可以了。IPSec VPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級(jí)數(shù)增長。SSL獨(dú)立于應(yīng)用，因此任何一個(gè)應(yīng)用程序都可以享受它的安全性而不必理會(huì)執(zhí)行細(xì)節(jié)。 SSL VPN技術(shù)的應(yīng)用SSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。 二層VPN技術(shù)L2TP的應(yīng)用L2TP提供了一種遠(yuǎn)程接入訪問控制的手段，其典型的應(yīng)用場(chǎng)景是：某公司員工通過PPP撥入公司本地的網(wǎng)絡(luò)訪問服務(wù)器(NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問相應(yīng)權(quán)限的網(wǎng)絡(luò)資源該員工出差到外地，此時(shí)他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當(dāng)?shù)豂SP申請(qǐng)L2TP服務(wù)，首先撥入當(dāng)?shù)豂SP，請(qǐng)求ISP與公司NAS建立L2TP會(huì)話，并協(xié)商建立L2TP隧道，然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理，通過L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進(jìn)行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過NAS接入公司內(nèi)網(wǎng)。 IPX 網(wǎng)絡(luò)通過GRE 隧道互連GRE是無狀態(tài)協(xié)議，與IPsec隧道不同，端點(diǎn)在通過隧道發(fā)送流量之前并不調(diào)整任何參數(shù)，只要隧道目的地是可路由的，流量就可以穿過GRE隧道。AH與ESP提供的數(shù)據(jù)完整性服務(wù)的差別在于，AH驗(yàn)證的范圍還包括數(shù)據(jù)包的外部IP頭。 IPsec VPN的應(yīng)用IPsec(IP Security)是保障IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項(xiàng)具體的協(xié)議，而是指用于實(shí)現(xiàn)IP層安全的協(xié)議套件集合。VPN 作為私有專網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立性，即在一般情況下，VPN 資源不會(huì)被網(wǎng)絡(luò)中的其它VPN 或非該VPN 用戶使用；另一方面，VPN 提供足夠安全性，能夠確保VPN 內(nèi)部信息的完整性、保密性、不可抵賴性。需要先建立一個(gè)普通的ACL列表，然后建立一個(gè)關(guān)于VLAN的訪問映射表將建立的ACL列表包含進(jìn)去，最后把訪問映射表映射到所需要的VLANA。：PC2可以針對(duì)PC3的MAC地址進(jìn)行限制。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍, 擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。 NAT技術(shù)的應(yīng)用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。對(duì)邊界進(jìn)行安全防護(hù)，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以通過安全分區(qū)設(shè)計(jì)來確定。4 邊界網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門，大門的安全防護(hù)是網(wǎng)絡(luò)安全的基礎(chǔ)需求。為增加堆疊的可靠性，盡量使用環(huán)形堆疊。在系統(tǒng)啟動(dòng)時(shí)、新Unit加入時(shí)、merge時(shí)都會(huì)進(jìn)行配置比較。備份組號(hào)可以自己設(shè)定；主路由是交換機(jī)A還是交換機(jī)B，取決于兩者的優(yōu)先級(jí)，高的成為主路由，優(yōu)先級(jí)一樣比較IP地址，誰的大誰是主路由，另外一臺(tái)作為備份路由；VRRP默認(rèn)搶占開啟。Cisco系列交換機(jī)更多的采用思科廠商專用的HSRP（Hot Standby Router Protocol，熱備份路由器協(xié)議）為了使VRRP工作，要在路由器上配置虛擬路由器號(hào)和虛擬IP地址，同時(shí)會(huì)產(chǎn)生一個(gè)虛擬MAC(00005E0001[VRID])地址，這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬路由器。VLANVLAN30 在匯聚層設(shè)備終結(jié)，VLAN 40 在接入層設(shè)備終結(jié)，因此可以配置實(shí)例1和實(shí)例3 的樹根分別為Switch A和Switch B，實(shí)例4 的樹根為Switch C。n 多層交換體系中部署MSTP MSTP（MultIPle Spanning Tree Protocol） 的快速生成樹（RST）算法擴(kuò)展而得到的，體現(xiàn)的是將多個(gè)VLAN映射到一個(gè)生成樹實(shí)例的能力。對(duì)于每個(gè)VLAN，您通常可以確定哪臺(tái)交換機(jī)最適合用做根網(wǎng)橋。對(duì)部門1和部門2的流量進(jìn)行監(jiān)控，Switch A為源交換機(jī)：被監(jiān)控的端口所在的交換機(jī)，負(fù)責(zé)將鏡像流量復(fù)制到反射端口，然后通過遠(yuǎn)程鏡像VLAN 傳輸給中間交換機(jī)或目的交換機(jī)；Switch B為中間交換機(jī)：網(wǎng)絡(luò)中處于源交換機(jī)和目的交換機(jī)之間的交換機(jī)，通過遠(yuǎn)程鏡像VLAN 把鏡像流量傳輸給下一個(gè)中間交換機(jī)或目的交換機(jī)，如果源交換機(jī)與目的交換機(jī)直接相連，則不存在中間交換機(jī)；Switch C為目的交換機(jī)：遠(yuǎn)程鏡像目的端口所在的交換機(jī)，將從遠(yuǎn)程鏡像VLAN 接收到的鏡像流量通過鏡像目的端口轉(zhuǎn)發(fā)給監(jiān)控設(shè)備。：Switch C的端口E1/0/3可以把端口研發(fā)部所連得端口E1/0/1和市場(chǎng)部連接的E1/0/2端口的流量復(fù)制過來,然后交給數(shù)據(jù)檢測(cè)設(shè)備分析，從而可以對(duì)危險(xiǎn)流量進(jìn)行隔離和控制。 啟用端口鏡像對(duì)流量進(jìn)行監(jiān)控 由于部署 IDS和IPS等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需要），但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難，因此需要通過配置交換機(jī)來把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽，這樣就產(chǎn)生了端口鏡像。n 一個(gè)匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP。 H3C交換機(jī)設(shè)備之間的端口匯聚端口匯聚是將多個(gè)以太網(wǎng)端口匯聚在一起形成一個(gè)邏輯上的匯聚組，使用匯聚服務(wù)的上層實(shí)體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。而且設(shè)備能夠?qū)⒈镜氐腣LAN 注冊(cè)信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的VLAN 信息達(dá)成一致，減少由人工配置帶來的錯(cuò)誤的可能性。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過Trunk端口。port和Communityport通信，而且彼此也可以交換流量。port只能和PromiscuousVLAN，前面兩類VLAN需要和它綁定在一起，同時(shí)它還包括PromiscuousPVLAN,Communityport，Community這一新的VLAN特性就是專用VLAN（Private （2）復(fù)雜的STP：對(duì)于每個(gè)VLAN，每個(gè)相關(guān)的Spanning就目前來說，對(duì)于VLAN的劃分主要采取上述第3種方式，第2種方式為輔助性的方案。MAC地址由12位16進(jìn)制數(shù)表示，前6位為網(wǎng)卡的廠商標(biāo)識(shí)（OUI），后6位為網(wǎng)卡標(biāo)識(shí)（NIC）。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)制度和應(yīng)急措施等等。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。 網(wǎng)絡(luò)安全策略計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，主要涉及以下四個(gè)方面：　　可審查性：出現(xiàn)的安全問題時(shí)提供依據(jù)與手段?！　】捎眯裕嚎杀皇跈?quán)實(shí)體訪問并按需求使用的特性。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。因此網(wǎng)絡(luò)管理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)，在構(gòu)建和維護(hù)當(dāng)今高速增長的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色。新型的攻擊手段總在不斷地涌現(xiàn)，最好的防范措施就是計(jì)算機(jī)網(wǎng)絡(luò)安全人員的安全意識(shí)。身份認(rèn)證方面，保證對(duì)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的安全訪問的身份認(rèn)證、授權(quán)和統(tǒng)計(jì)，合法用戶安全接入網(wǎng)絡(luò)。BGP通常采用對(duì)等體認(rèn)證，路由過濾，路由抑制等手段來保證協(xié)議的安全性。使用回環(huán)接口作為路由器ID是OSPF網(wǎng)絡(luò)用以確保穩(wěn)定性并從而確保安全的一個(gè)重要技術(shù)。當(dāng)網(wǎng)絡(luò)中有兩種不同的路由協(xié)議時(shí)，可以采用上述策略。對(duì)設(shè)備進(jìn)行訪問時(shí)，必須采用密碼或者RSA認(rèn)證，對(duì)遠(yuǎn)程訪問采用更加安全的SSH協(xié)議，針對(duì)不同的用戶級(jí)別，設(shè)定不同的優(yōu)先級(jí)等級(jí)。在初始階段，當(dāng)端點(diǎn)設(shè)備進(jìn)入網(wǎng)絡(luò)時(shí)，NAC 能夠幫助管理員實(shí)施訪問權(quán)限。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前。計(jì)帳(Accounting)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)；整個(gè)系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。針對(duì)網(wǎng)絡(luò)中所有設(shè)備與服務(wù)，這種管理模型的安全性可為用戶提供基于策略的訪問控制、審計(jì)、報(bào)表功能，使系統(tǒng)管理員可以實(shí)施基于用戶的私密性和安全策略。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。入侵預(yù)防系統(tǒng)也像入侵偵查系統(tǒng)一樣，專門深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找它所認(rèn)識(shí)的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進(jìn)行記載，以便事后分析。NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 遠(yuǎn)程接入和邊界安全 遠(yuǎn)程接入是直接接入到網(wǎng)絡(luò)系統(tǒng)內(nèi)部，而接入控制器也往往處于網(wǎng)絡(luò)系統(tǒng)的邊界部分。如果主路由器不可用，這個(gè)虛擬 IP 地址就會(huì)映射到一個(gè)備份路由器的 IP 地址（這個(gè)備份路由器就成為主路由器）。當(dāng)網(wǎng)關(guān)斷掉時(shí)，本網(wǎng)段內(nèi)所有主機(jī)將斷掉與外部的通信。PVLAN通常用于企業(yè)內(nèi)部網(wǎng)，用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻允許與默認(rèn)網(wǎng)關(guān)進(jìn)行通信?？刂凭W(wǎng)絡(luò)中數(shù)據(jù)流動(dòng)有很多種方式，其中之一是使用訪問控制列表（通常稱作ACL，access control list）。違反這3項(xiàng)原則中的任何一個(gè)都會(huì)給相關(guān)方帶來嚴(yán)重后果。 目前研究現(xiàn)狀 目前廣泛應(yīng)用的網(wǎng)絡(luò)安全模型是機(jī)密性、完整性、可用性（CIA,confidentiality，integrity，and availability）3項(xiàng)原則。網(wǎng)絡(luò)安全對(duì)國民經(jīng)濟(jì)的威脅、甚至對(duì)國家和地區(qū)的威脅也日益嚴(yán)重。【1】 2010年1月，國務(wù)院決定加快推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合，2010年至2012年廣電和電信業(yè)務(wù)雙向進(jìn)入試點(diǎn)，2013年至2015年，全面實(shí)現(xiàn)三網(wǎng)融合。隨著網(wǎng)絡(luò)高新技術(shù)的不斷發(fā)展，社會(huì)經(jīng)濟(jì)建設(shè)與發(fā)展越來越依賴于計(jì)算機(jī)網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)我們生活的重要意義也不可同日而語。這將導(dǎo)致未來幾年網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長，網(wǎng)絡(luò)也會(huì)變得越來越復(fù)雜，承擔(dān)的任務(wù)越來越關(guān)鍵，給運(yùn)營和管理網(wǎng)絡(luò)的人們帶來新的挑戰(zhàn)，很顯然這些快速發(fā)展的技術(shù)引發(fā)了新的安全問題。H3C設(shè)備是目前我國政府，企業(yè)，電信，教育行業(yè)的主流網(wǎng)絡(luò)設(shè)備生產(chǎn)商，研究旗下路由器，交換機(jī)以及安全設(shè)備，存儲(chǔ)設(shè)備的網(wǎng)絡(luò)安全系統(tǒng)的綜合部署對(duì)以后系統(tǒng)集成案例有很好的效仿作用。這些準(zhǔn)則適用于安全分析的整個(gè)階段——從訪問一個(gè)用戶的Internet歷史到Internet上加密數(shù)據(jù)的安全?！?】（1） 基于ACL的訪問控制如今的網(wǎng)絡(luò)充斥著大量的數(shù)據(jù)，如果沒有任何適當(dāng)?shù)陌踩珯C(jī)制，則每個(gè)網(wǎng)絡(luò)都可以完全安全訪問其他網(wǎng)絡(luò)，而無需區(qū)分已授權(quán)或者未授權(quán)。如果將交換機(jī)設(shè)備的每個(gè)端口化為一個(gè)（下層）VLAN，則實(shí)現(xiàn)了所有端口的隔離。通常，一個(gè)網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由，這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過缺省路由發(fā)往網(wǎng)關(guān)，從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。虛擬 IP 地址在路由器間共享，其中一個(gè)指定為主路由器而其它的則為備份路由器。以上兩種協(xié)議不僅可以在H3C網(wǎng)絡(luò)設(shè)備使用，也可以在其它廠商的網(wǎng)絡(luò)設(shè)備中使用。原因很簡單，隨著接入Internet的計(jì)算機(jī)數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘?！?】（3） H3C入侵檢測(cè)系統(tǒng)（IPS）雖然防火墻可以根據(jù)IP地址和服務(wù)端口過濾數(shù)據(jù)包，但它對(duì)于利用合法地址和端口而從事的破壞活動(dòng)則無能為力，防火墻主要在第二到第四層起作用，很少深入到第四層到第七層去檢查數(shù)據(jù)包。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展?！?112】 身份安全和訪問管理 一種訪問管理的解決方案是建立一個(gè)基于策略的執(zhí)行模型，確保用戶有一種安全的管理模型。授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪問LAN/WLAN。借助NAC，客戶可以只允許合法的、值得信任的端點(diǎn)設(shè)備(例如Pc 、服務(wù)器、PDA )接入網(wǎng)絡(luò)，而不允許其它設(shè)備接人。物理安全要考慮網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)冗余、設(shè)備的安全位置、介質(zhì)、電力供應(yīng)等安全因素。（1） 操縱路由選擇更新操作路由選擇更新的常用方法是路由分發(fā)列表，如果想進(jìn)行更細(xì)致的調(diào)節(jié)可以設(shè)置相應(yīng)的路由更新策略。通過對(duì)路由器進(jìn)行身份驗(yàn)證，可避免路由器收到偽造的路由更新。雖然，目前國內(nèi)除運(yùn)營商外大多數(shù)企業(yè)網(wǎng)絡(luò)選擇內(nèi)部網(wǎng)關(guān)協(xié)議，然而對(duì)于有多條ISP鏈路的企業(yè)，邊界采用BGP對(duì)網(wǎng)絡(luò)還是很有優(yōu)勢(shì)的。邊界安全方面，包括隱藏內(nèi)部地址，控制部分網(wǎng)段的訪問，遠(yuǎn)程登錄。 結(jié)語 網(wǎng)絡(luò)安全技術(shù)是一個(gè)永恒的，綜合性的課題，并不是我們的網(wǎng)絡(luò)采用了相關(guān)的防范技術(shù)，就不用考慮網(wǎng)絡(luò)安全因素了，一種安全技術(shù)只能解決一方面的問