【正文】 （ 1） 關(guān)閉 TCP 和 UDP 的小端口服務(wù)； 早期的 TCP/UDP 端口服務(wù)，設(shè)計(jì)比較簡單，沒有考慮網(wǎng)絡(luò)安全問題，這類小端口服務(wù)可能被惡意攻擊者利用。 關(guān)閉 NTP 協(xié)議服務(wù) NTP 協(xié)議用來在整個網(wǎng)絡(luò)發(fā)布精確時鐘。這與 UNIX 111 端口的功能很相似。 端口 445 說明： 445 端口和 139 端口一樣，都是用來開啟 SMB 服務(wù)的端口。當(dāng)湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 23 接口接收到的廣播、多播或未知名單播包的速率超過所設(shè)定的閥值時，設(shè)備將只允許通過所設(shè)定閥值帶寬的報文，超出閥值部分的報文將被丟棄，直到數(shù)據(jù)流恢復(fù)正常，從而避免過量的泛洪報文進(jìn)入 LAN 中形成風(fēng)暴。協(xié)議棧的執(zhí)行錯誤或?qū)W(wǎng)絡(luò)的錯誤配置都有可 能導(dǎo)致風(fēng)暴的產(chǎn)生。這個協(xié)議被用于 windows 文件和打印機(jī)共享和 SAMBA。 網(wǎng)絡(luò)病毒控制 對于常見的比如沖擊波、振蕩波病毒等對網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，本次投標(biāo)的所有 XX 交換機(jī)內(nèi)置了豐富的 ACL 功能，能夠?qū)@些病毒進(jìn)行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡(luò)中的其他用戶，保證了 辦公網(wǎng) 帶寬的有效利用。 （ 2） 關(guān)閉協(xié)議服務(wù) 設(shè)備上提供很多服務(wù)和應(yīng)用，在不同的網(wǎng)絡(luò)環(huán)境中這些服務(wù)可能是不必要的，若開啟這些服務(wù)將對 設(shè)備自身性能造成影響，因此需要這些關(guān)閉服務(wù)；有些服務(wù)還會帶來潛在的安全問題，也同樣需要關(guān)閉。 設(shè)備服務(wù)安全 網(wǎng)絡(luò)設(shè)備存在很多默認(rèn)打開的服務(wù)，可能對網(wǎng)絡(luò)構(gòu)成潛在威脅。 VACM 則對當(dāng)前用戶的訪問權(quán)限進(jìn)行檢查，看當(dāng)前用戶是否可以對管理數(shù)據(jù)進(jìn)行操作。 SNMPv2 基本上是一個過渡版本，有多個版本，盡管也考慮了協(xié)議自身的安全性，但是技術(shù)上并不成熟，安全性仍比較弱。 需特別指出： SNMP 的網(wǎng)管站通常有大量的關(guān)于驗(yàn)證信息的數(shù)據(jù)庫，例 如團(tuán)體名。這樣，即使非法用戶占領(lǐng)了控制臺，通過重啟設(shè)備清除了控制臺訪問口令，也無法通過控制臺對設(shè)備進(jìn)行非法配置。 口令的密文顯示 若系統(tǒng)的配置文件以文本方式進(jìn)行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。 報文識別 所有送到交換機(jī)進(jìn)行協(xié)議處理的報文首先通過報文識別處理過程將報文進(jìn)行分類，例如ARP、 BPDU、 GVRP 等等 報文帶寬控制 管理員可以 配置每種類型報文帶寬，通過這種方式可以有效地抑制網(wǎng)絡(luò)中高速率的攻擊報文。 當(dāng)網(wǎng)絡(luò)中存在非法攻擊時，可能造成網(wǎng)絡(luò)設(shè)備的 CPU 利用率異常、幀通路堵塞等現(xiàn)象，這些現(xiàn)象很容易引起網(wǎng)絡(luò)拓?fù)涞恼袷帯? 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 15 6. 辦公網(wǎng) 高安全性設(shè)計(jì) 辦公網(wǎng) 基礎(chǔ)安全保障 辦公網(wǎng) 安全基礎(chǔ)保障從網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)設(shè)備防護(hù)、網(wǎng)絡(luò)攻擊防護(hù)四個方面進(jìn)行設(shè)計(jì)，保障 辦公網(wǎng) 自 身的安全穩(wěn)定。 經(jīng)過信息產(chǎn)業(yè)部權(quán)威測試中心測試， 得出結(jié)論：“ XX 網(wǎng)絡(luò)的 CPP 功能可進(jìn)一步提高交換機(jī)抗攻擊的能力和保持網(wǎng)絡(luò)拓?fù)渑c CPU 的穩(wěn)定性” 網(wǎng)絡(luò)服務(wù)質(zhì)量保證 建議方案，以 XX 局 實(shí)際規(guī)劃為主。例如，利用偽造的數(shù)據(jù)包瞄準(zhǔn)具體協(xié)議，向網(wǎng)絡(luò)設(shè)備發(fā)動攻擊。 三平面分離保護(hù) 傳統(tǒng)交換機(jī)系統(tǒng)分為數(shù)據(jù)平面和控制平面兩部分。 XX 網(wǎng)絡(luò)交換機(jī)在網(wǎng)絡(luò)設(shè)備上進(jìn)行了軟、硬件的架構(gòu)優(yōu)化，確 保網(wǎng)絡(luò)交換機(jī)具備“ %”的電信級穩(wěn)定性。 ? 實(shí)現(xiàn) QoS，對數(shù)據(jù)包進(jìn)行分類和標(biāo)記。 核心交換機(jī)區(qū) 部署在網(wǎng)絡(luò)中心，主要負(fù)責(zé) 辦公網(wǎng) 全網(wǎng)的 高性能線速轉(zhuǎn)發(fā)，實(shí)現(xiàn)服務(wù)器區(qū) 、 樓層接入?yún)^(qū)之間的互聯(lián)。 網(wǎng)絡(luò)可管理性 作為 XX 局 工作 、管理、學(xué)習(xí)的支撐平臺 ，為了保證上層各個應(yīng)用系統(tǒng)的穩(wěn)定運(yùn)行， 辦公網(wǎng) 本身的可靠穩(wěn)定健康運(yùn)行極為重要。 轉(zhuǎn)發(fā)性能 根據(jù)需求分析和帶寬性能指標(biāo)的要求， 本次 辦公網(wǎng) 建設(shè)要求使用較高性能的路由交換機(jī)做為核心交換機(jī)。 易管理 辦公網(wǎng)是 XX 局 信息化的基礎(chǔ)， XX 局 需要動態(tài)的、實(shí)時的對 辦公網(wǎng) 進(jìn)行全程管 理，通過圖形化的網(wǎng)管軟件，實(shí)現(xiàn)設(shè)備配置、設(shè)備監(jiān)控、鏈路監(jiān)控，軟件升級等工作，提升管理效率。 高安全 隨網(wǎng)絡(luò)的不斷發(fā)展，安全問題已日益引起廣泛的關(guān)注，為保證網(wǎng)絡(luò)的具有良好的安全性，需系統(tǒng)地、有條理地進(jìn)行全面規(guī)劃，充分地、全方位地考慮安全需求和特性。而作為辦公信息化建設(shè)的重中之重，新辦公樓的網(wǎng)絡(luò)建設(shè)成功則是體現(xiàn)辦公效率增加的又一重要指標(biāo)。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位 ，保證此 網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，并隨時進(jìn)行擴(kuò)展和升級。業(yè)務(wù)的發(fā)展對網(wǎng)絡(luò)的需求是不斷變化的，網(wǎng)絡(luò)應(yīng)用系統(tǒng)為了滿足這些需求也會隨之變化。 樓層接入?yún)^(qū) 部署在各個配線間，用來實(shí)現(xiàn)信息點(diǎn)的安全接入。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 7 網(wǎng)絡(luò)可用性要求 辦公網(wǎng) 必須能 24 小時運(yùn)行，可用性達(dá)到 %， 本次 辦公網(wǎng) 建設(shè)采用 采用冗余設(shè)計(jì)，核心交換區(qū)要求采用雙設(shè)備、雙鏈路， 無單點(diǎn)故障 —— 某一臺設(shè)備、或者某一條鏈路發(fā)生故障時，系統(tǒng)能提供自動快速恢復(fù)的能力，業(yè)務(wù)無間斷。 辦公網(wǎng) 網(wǎng) 管系統(tǒng)應(yīng)按照二 個層面進(jìn)行設(shè)計(jì)： 網(wǎng)絡(luò)層管理：包括網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)性能管理。 為了保證單臺核心設(shè)備的可靠性，建議配置雙電源 ，在核心交換機(jī)上不建議配置復(fù)雜的協(xié)議，只需要啟動三層路由協(xié)議和 CPU 保護(hù)即可。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 10 5. 辦公網(wǎng) 高可用性設(shè)計(jì) 網(wǎng)絡(luò)的可靠性是一個從端到端的全程概念，單純提高某一層面的可靠性并不能對網(wǎng)絡(luò)整體的可靠性有很大改善。 XXRGOS 模塊化操作系統(tǒng)設(shè)計(jì)原理圖 ? 這是一種模塊化軟件平臺（對軟 件系統(tǒng)進(jìn)行劃分之后，將不同的系統(tǒng)任務(wù)分割成一些很少交互的可管理子集） ? 系統(tǒng)內(nèi)核通過 POSIX 連接各功能模塊。數(shù)據(jù)平面是交換機(jī)最耗費(fèi)資源的平面。而且并不影響轉(zhuǎn)發(fā)速度，所以 CPP 能夠在不影響性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往 CPU 的時候依然可以在交換機(jī)內(nèi)部對數(shù)據(jù)進(jìn)行區(qū)分對外。 QoS 旨在針對各種應(yīng)用的不同需求，為其提供不同的服務(wù)質(zhì)量，例如：提供專用帶寬、減少報文丟失率、降低報文傳送時延及時延抖動等。如果網(wǎng)絡(luò)設(shè)備之間的通信協(xié)議受到攻擊，將直接導(dǎo)致網(wǎng)絡(luò)癱瘓，因此確保網(wǎng)絡(luò)設(shè)備之間的協(xié)議通信安全。 CPU 保護(hù) 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫 16 網(wǎng)絡(luò)環(huán)境中經(jīng)常發(fā)現(xiàn)一些惡意的攻擊，這些攻擊通常通過偽造各種大量的管理和協(xié)議報文使得交換機(jī)由于忙于處理這些攻擊報文而無暇處理 正常管理和協(xié)議報文，從而給交換機(jī)的安全以及網(wǎng)絡(luò)的穩(wěn)定帶來破壞性的影響。 管理員可以根據(jù)每種報文的重要性將它們指定到不同的優(yōu)先級隊(duì)列，確保重要的報文優(yōu)先被傳輸。控制臺擁有對設(shè)備最高配置權(quán)限，對控制臺訪問方式的權(quán)限管理應(yīng)擁有最嚴(yán)格的方式。 終端超時退出 當(dāng) tel 連接未交互超過一定時間時，將斷開本次 tel 連接。 SNMPv1 的安全性 SNMPV1 使用的驗(yàn)證方式是基于團(tuán)體名字符串的驗(yàn)證機(jī)制， SNMPv1 的驗(yàn)證非常弱： 它使用明文作為驗(yàn)證字； 大部分的 SNMP 操作重復(fù)使用該字符串作為周期性輪流檢測的一部分； 如果必須使用 SNMPV1，應(yīng)當(dāng)注意如下事項(xiàng)，以避免安全隱患： 避免使用常用的 public和 private作為團(tuán)體名； 對每個設(shè)備使用不同的團(tuán)體名，或者至少是對網(wǎng)絡(luò)上的每個區(qū)域使用不 同的團(tuán)體名。 SNMPv3 繼承了 SNMPv2u 的很多優(yōu)點(diǎn)，并且從系統(tǒng)的角度進(jìn)行了優(yōu)化。 SNMP Agent 應(yīng)使用訪問列表對 SNMP 報文進(jìn)行限制，僅僅允許指定 IP 地址的網(wǎng)管站訪問。 例如， 7 號 UDP 端口服務(wù)“ echo”回應(yīng)所有發(fā)送給它的包， 19 號 UDP 端口服務(wù)“ chargen”自動發(fā)送字符串。通常在設(shè)備上指定特定的接口去發(fā)送和接收 NTP報文； 同時在某些特定接口上禁止接收 NTP 報文，以減少對設(shè)備性能的損耗。使用 DCOM 和 RPC 的服務(wù)利用計(jì)算機(jī)上的 endpoint mapper 注冊它們的位置。在 2020 系統(tǒng)里， 445開啟 NBT（共享文件）服務(wù)，利用它，你才能看見網(wǎng)上鄰居上的其他電腦，利用這個端口可以獲取主機(jī)的相關(guān)信息。 網(wǎng)絡(luò)流量控制 為防止網(wǎng)絡(luò)中部分用戶遭受病毒攻擊后向網(wǎng)絡(luò)發(fā)送大量的攻擊報文，影響單個局域網(wǎng)的穩(wěn)定性，根據(jù)用戶的業(yè)務(wù)類型及流量需求分析，對不同的接入用戶進(jìn)行帶寬控制。這種情況我們稱之為 LAN 風(fēng)暴。而 139 端口通過這個端口進(jìn)入的連接試圖獲得 NetBIOS/SMB 服務(wù)。 DoS 類型攻擊防護(hù) 通過在 XX 接入層設(shè)備部署防止 DOS 攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時導(dǎo)致的網(wǎng) 絡(luò)中斷。 作為網(wǎng)絡(luò)設(shè)備，最好不實(shí)現(xiàn)這些無用的小端口服務(wù)。 HTTP 訪問控制列表 與訪問受限的網(wǎng)管站和 tel 客戶端一樣， 限制那些 HTTP 客戶端能夠?qū)υO(shè)備進(jìn)行訪問。這樣保證了數(shù)據(jù)的完整性和正確性。 SNMPv2 的安全性 SNMP 的后序版本 SNMPv2 進(jìn)行了改進(jìn)，它支持基于 MD5 的驗(yàn)證方案，并且允許對訪問的管理數(shù)據(jù)進(jìn)行存取上的限制。 SNMP 協(xié)議自身有安全性保障，同時 SNMP Agent 還應(yīng)該具備對網(wǎng)管站的訪問進(jìn)行限制的能力。 使