【正文】 NMS（Network Management Station，網(wǎng)絡(luò)管理站）是運(yùn)行客戶端程序的工作站，目前常用的網(wǎng)管平臺(tái)有QuidView、Sun NetManager和IBM NetView。除此之外，SSH 還提供強(qiáng)大的認(rèn)證功能，以保護(hù)不受諸如“中間人”等攻擊方式的攻擊。 登錄方式和用戶帳號(hào)任何人登錄到網(wǎng)絡(luò)設(shè)備上都能夠顯示一些重要的配置信息。 提供了一個(gè)用戶身份認(rèn)證的實(shí)現(xiàn)方案，為了實(shí)現(xiàn)此方案，還需要在交換機(jī)上配置AAA 方案，選擇使用RADIUS 或本地認(rèn)證方案， 完成用戶身份認(rèn)證,以下是認(rèn)證過程示意圖。 CAMS與交換機(jī)配合實(shí)現(xiàn)EAD 功能特性組網(wǎng)示意圖，EAD安全產(chǎn)品由四個(gè)功能組件組成：安全客戶端及客戶端插件接口、客戶端管理代理、安全策略服務(wù)器和CAMS安全組件。AAA安全服務(wù)的用途很廣泛，主要包括Telnet登錄，SSH登錄，VPN接入，設(shè)備訪問等。IPS是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。SSL VPN模塊可以和SecPath防火墻實(shí)現(xiàn)無縫融合，能夠讓用戶在最低成本情況下部署移動(dòng)用戶、遠(yuǎn)程分支和外聯(lián)網(wǎng)VPN接入，實(shí)現(xiàn)用戶網(wǎng)絡(luò)的安全連通。SecPath F5000A5支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過程和異常命令進(jìn)行檢測(cè)；支持多種VPN業(yè)務(wù)，如L2TP VPN、GRE VPN 、IPSec VPN和動(dòng)態(tài)VPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由。但是，隨著VPN 范圍的擴(kuò)大，傳統(tǒng)VPN 在可擴(kuò)展性和可管理性等方面的缺陷越來越突出。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個(gè)Web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不倒內(nèi)部服務(wù)器。因此就一般企業(yè)用戶構(gòu)建安全的VPN而言，應(yīng)該使用IPsec技術(shù)，當(dāng)然如果需要實(shí)現(xiàn)安全的VPDN，就應(yīng)該采用L2TP+IPsec組合技術(shù)。ESP能提供的安全服務(wù)則更多，除了上述AH所能提供的安全服務(wù)外，還能提供數(shù)據(jù)機(jī)密性，這樣可以保證數(shù)據(jù)包在傳輸過程中不被非法識(shí)別。二層 ACL 的序號(hào)取值范圍為4000～4999。采用端口多路復(fù)用方式。在本文中，邊界安全主要是指企業(yè)網(wǎng)在互聯(lián)網(wǎng)接入這部分。 VRRP協(xié)議部署圖：主機(jī) A 把交換機(jī)A 和交換機(jī)B 組成的VRRP 備份組作為自己的缺省網(wǎng)關(guān)，訪問Internet 上的主機(jī)B。n 手動(dòng)指定根網(wǎng)橋 不要讓STP來決定選舉哪臺(tái)交換機(jī)為根網(wǎng)橋。 以太網(wǎng)端口匯聚配置示例圖對(duì)于H3C的交換機(jī)設(shè)備做端口匯聚時(shí)，必須注意以下幾點(diǎn)：n 做端口匯聚時(shí)，H3C交換機(jī)最多可以包括8個(gè)端口，這些端口不必是連續(xù)分布的，也不必位于相同的模塊中；至于有幾個(gè)匯聚組則視交換機(jī)的類型而定。與路由器或第3層交換機(jī)接口相連,它收到的流量可以發(fā)往Isolatedport屬于Isolated該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。 網(wǎng)絡(luò)訪問控制策略訪問控制策略是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。雖然，目前國(guó)內(nèi)除運(yùn)營(yíng)商外大多數(shù)企業(yè)網(wǎng)絡(luò)選擇內(nèi)部網(wǎng)關(guān)協(xié)議，然而對(duì)于有多條ISP鏈路的企業(yè)，邊界采用BGP對(duì)網(wǎng)絡(luò)還是很有優(yōu)勢(shì)的。借助NAC，客戶可以只允許合法的、值得信任的端點(diǎn)設(shè)備(例如Pc 、服務(wù)器、PDA )接入網(wǎng)絡(luò)，而不允許其它設(shè)備接人。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬 IP 地址在路由器間共享，其中一個(gè)指定為主路由器而其它的則為備份路由器。這些準(zhǔn)則適用于安全分析的整個(gè)階段——從訪問一個(gè)用戶的Internet歷史到Internet上加密數(shù)據(jù)的安全?！?】 2010年1月，國(guó)務(wù)院決定加快推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合，2010年至2012年廣電和電信業(yè)務(wù)雙向進(jìn)入試點(diǎn)，2013年至2015年，全面實(shí)現(xiàn)三網(wǎng)融合?？刂凭W(wǎng)絡(luò)中數(shù)據(jù)流動(dòng)有很多種方式，其中之一是使用訪問控制列表（通常稱作ACL，access control list）。 遠(yuǎn)程接入和邊界安全 遠(yuǎn)程接入是直接接入到網(wǎng)絡(luò)系統(tǒng)內(nèi)部，而接入控制器也往往處于網(wǎng)絡(luò)系統(tǒng)的邊界部分。針對(duì)網(wǎng)絡(luò)中所有設(shè)備與服務(wù)，這種管理模型的安全性可為用戶提供基于策略的訪問控制、審計(jì)、報(bào)表功能，使系統(tǒng)管理員可以實(shí)施基于用戶的私密性和安全策略。對(duì)設(shè)備進(jìn)行訪問時(shí)，必須采用密碼或者RSA認(rèn)證，對(duì)遠(yuǎn)程訪問采用更加安全的SSH協(xié)議，針對(duì)不同的用戶級(jí)別，設(shè)定不同的優(yōu)先級(jí)等級(jí)。身份認(rèn)證方面，保證對(duì)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的安全訪問的身份認(rèn)證、授權(quán)和統(tǒng)計(jì)，合法用戶安全接入網(wǎng)絡(luò)?！　】捎眯裕嚎杀皇跈?quán)實(shí)體訪問并按需求使用的特性。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)制度和應(yīng)急措施等等。 （2）復(fù)雜的STP：對(duì)于每個(gè)VLAN，每個(gè)相關(guān)的SpanningVLAN，前面兩類VLAN需要和它綁定在一起，同時(shí)它還包括PromiscuousPVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過Trunk端口。 啟用端口鏡像對(duì)流量進(jìn)行監(jiān)控 由于部署 IDS和IPS等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需要），但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難，因此需要通過配置交換機(jī)來把一個(gè)或多個(gè)端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個(gè)端口來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽，這樣就產(chǎn)生了端口鏡像。n 多層交換體系中部署MSTP MSTP（MultIPle Spanning Tree Protocol） 的快速生成樹（RST）算法擴(kuò)展而得到的，體現(xiàn)的是將多個(gè)VLAN映射到一個(gè)生成樹實(shí)例的能力。在系統(tǒng)啟動(dòng)時(shí)、新Unit加入時(shí)、merge時(shí)都會(huì)進(jìn)行配置比較。 NAT技術(shù)的應(yīng)用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。需要先建立一個(gè)普通的ACL列表，然后建立一個(gè)關(guān)于VLAN的訪問映射表將建立的ACL列表包含進(jìn)去，最后把訪問映射表映射到所需要的VLANA。 IPX 網(wǎng)絡(luò)通過GRE 隧道互連GRE是無狀態(tài)協(xié)議，與IPsec隧道不同，端點(diǎn)在通過隧道發(fā)送流量之前并不調(diào)整任何參數(shù)，只要隧道目的地是可路由的，流量就可以穿過GRE隧道。SSL獨(dú)立于應(yīng)用，因此任何一個(gè)應(yīng)用程序都可以享受它的安全性而不必理會(huì)執(zhí)行細(xì)節(jié)。當(dāng)多個(gè)DVPN 接入設(shè)備通過向共同的Server 進(jìn)行注冊(cè)，構(gòu)建一個(gè)DVPN 域，就實(shí)現(xiàn)了各個(gè)DVPN 接入設(shè)備后面的網(wǎng)絡(luò)的VPN 互聯(lián)。CE“感知”不到VPN 的存在。 SecPath V100E網(wǎng)關(guān)在線部署模式SecPath SSL VPN系列網(wǎng)關(guān)是SecPath系列產(chǎn)品的新成員，是H3C公司開發(fā)的新一代專業(yè)安全產(chǎn)品。 SecBlade SSL VPN模塊的組網(wǎng)應(yīng)用SecBlade SSL VPN模塊采用業(yè)界先進(jìn)的遠(yuǎn)端安全狀態(tài)檢測(cè)技術(shù)，能限制不安全遠(yuǎn)程終端的接入；通過細(xì)粒度VPN訪問權(quán)限控制，保證用戶對(duì)網(wǎng)絡(luò)資源的安全訪問。此外，H3C的入侵防御系統(tǒng)是目前能夠提供微秒級(jí)時(shí)延、高達(dá)5G的吞吐能力和帶寬管理能力的最強(qiáng)大的入侵防御系統(tǒng)。同時(shí)，保證交換機(jī)上的RADIUS 服務(wù)端口設(shè)置與RADIUS 服務(wù)器上的端口設(shè)置保持一致。用戶身份認(rèn)證在CAMS平臺(tái)上進(jìn)行，通過用戶名和密碼來確定用戶是否合法。 物理安全 物理安全包括判斷對(duì)設(shè)備潛在的物理威脅，以及設(shè)計(jì)方法阻止它們對(duì)網(wǎng)絡(luò)造成的影響。Console登錄是最基本的登錄方式，管理員需要用Console線物理連接到需要管理的設(shè)備上，在終端上設(shè)置好相應(yīng)的波特率、數(shù)據(jù)位、奇偶校檢位、停止位、流控等參數(shù)。這個(gè)系統(tǒng)可以在很多場(chǎng)合應(yīng)用例如：Telnet或者SSH虛擬類型終端路線、VPN用戶、。NTP 使用UDP 端口123進(jìn)行報(bào)文的傳輸。SNMP 采用輪詢機(jī)制，只提供最基本的功能集，特別適合在小型、快速和低價(jià)格的環(huán)境中使用。終端使用者可以在Telnet程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣。n 網(wǎng)絡(luò)的安全位置：IDC數(shù)據(jù)中心和機(jī)房盡量在安全的地方，要裝避雷針，還要能夠避免火災(zāi)和剛強(qiáng)度的電磁信號(hào)干擾?！盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入控制設(shè)備的端口這一級(jí)對(duì)所接入的設(shè)備進(jìn)行認(rèn)證和控制。HWTACACS 協(xié)議RADIUS 協(xié)議使用 TCP，網(wǎng)絡(luò)傳輸更可靠使用 UDP除了HWTACACS 報(bào)文頭，對(duì)報(bào)文主體進(jìn)行加密只是對(duì)驗(yàn)證報(bào)文中的密碼字段進(jìn)行加密認(rèn)證和授權(quán)分離認(rèn)證和授權(quán)一起處理更適于進(jìn)行安全控制更適于進(jìn)行計(jì)費(fèi)支持對(duì)設(shè)備的配置命令進(jìn)行授權(quán)使用不支持HWTACACS的典型應(yīng)用是撥號(hào)用戶或終端用戶需要登錄到設(shè)備上進(jìn)行操作。對(duì)于用戶身份認(rèn)證和網(wǎng)絡(luò)接入控制的方法有很多，不過對(duì)我們而言不是部署的安全措施越多越好，而是在合適的位置根據(jù)合理的要求來部署安全措施。 SecBlade SSL VPN模塊的組網(wǎng)應(yīng)用 H3C NSM 網(wǎng)絡(luò)監(jiān)控模塊NSM（Network Security Monitor）網(wǎng)絡(luò)安全監(jiān)控模塊，是H3C在防火墻產(chǎn)品上開發(fā)的流量監(jiān)控軟硬件平臺(tái)。采用H3C ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，實(shí)時(shí)檢測(cè)應(yīng)用層連接狀態(tài)，實(shí)現(xiàn)37層安全防護(hù)。安全網(wǎng)關(guān)可以用于CE或PE設(shè)備。n 支持自動(dòng)建立隧道技術(shù):DVPN中的server維護(hù)著一個(gè)DVPN域中所有接入設(shè)備的信息，DVPN 域中的client可以通過server的重定向功能自動(dòng)獲得需要進(jìn)行通信的其它c(diǎn)lient的信息，并最終在兩個(gè)client之間自動(dòng)建立會(huì)話隧道（session）。SSL VPN相對(duì)IPsec VPN主要有以下優(yōu)點(diǎn)：n 方便：實(shí)施SSL VPN之需要安裝配置好中心網(wǎng)關(guān)即可?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。H3C公司的安全解決方案的VPN特性非常豐富，包括適用于分支機(jī)構(gòu)的動(dòng)態(tài)VPN（DVPN）解決方案、適用于MPLS VPN和IPSec VPN環(huán)境下的VPE解決方案、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環(huán)境的需要。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。 S58系列以太網(wǎng)交換機(jī)在企業(yè)網(wǎng)/園區(qū)網(wǎng)的應(yīng)用在大中型企業(yè)或園區(qū)網(wǎng)中，S58系列以太網(wǎng)交換機(jī)作為大樓匯聚交換機(jī)，通過IRF智能彈性架構(gòu)將多臺(tái)匯聚交換機(jī)虛擬為一臺(tái)邏輯設(shè)備，從而簡(jiǎn)化管理維護(hù)，實(shí)現(xiàn)彈性擴(kuò)展。對(duì)于終端用戶來說，希望時(shí)時(shí)與網(wǎng)絡(luò)其他部分保持通信。為了實(shí)現(xiàn)遠(yuǎn)程端口鏡像功能，需要定義一個(gè)特殊的VLAN，稱之為遠(yuǎn)程鏡像VLAN（Remoteprobe VLAN）。如圖32： 圖32 GVRP組網(wǎng)示意圖 Switch C靜態(tài)配置了VLAN5，Switch D靜態(tài)配置了vlan8，Switch E靜態(tài)配置了VLAN5和VLAN7，Switch A和Switch B開啟了全局和端口的GVRP功能，這樣可以動(dòng)態(tài)學(xué)習(xí)到VLAN5,VLAN7,VLAN8。PVLAN中Community在Private該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。對(duì)安全保密部門來說，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失?！?7】2 網(wǎng)絡(luò)安全概述隨著網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長(zhǎng)，網(wǎng)絡(luò)變得越來越復(fù)雜，承擔(dān)的任務(wù)越來越關(guān)鍵，給運(yùn)營(yíng)和管理網(wǎng)絡(luò)的人們帶來了新的挑。（2） OSPF路由協(xié)議安全OSPF是一個(gè)被廣泛使用的內(nèi)部網(wǎng)關(guān)路由協(xié)議?！?4】（2） 。（2） H3C硬件防火墻防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成?！?】（3） 網(wǎng)關(guān)冗余備份機(jī)制VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種網(wǎng)關(guān)冗余備份協(xié)議。與此同時(shí)，加快培養(yǎng)網(wǎng)絡(luò)安全方面的應(yīng)用型人才、廣泛普及網(wǎng)絡(luò)安全知識(shí)和掌握網(wǎng)絡(luò)安全技術(shù)突顯重要和迫在眉睫?！?】因此網(wǎng)絡(luò)安全扮演的角色也會(huì)越來越重要。盡管各設(shè)備處于不同的PVLAN中，它們可以使用相同的IP子網(wǎng)，從而大大減少了IP地址的損耗，也防止了同一個(gè)子網(wǎng)內(nèi)主機(jī)的相互攻擊。雖然NAT可以借助于某些代理服務(wù)器來實(shí)現(xiàn)，但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時(shí)候都是在H3C路由器上來實(shí)現(xiàn)的。此項(xiàng)功能可以結(jié)合TACACS+服務(wù)器實(shí)現(xiàn)。其它控制或防止生成動(dòng)態(tài)路由選擇更新的方法主要有：被動(dòng)接口，默認(rèn)和靜態(tài)路由，操縱管理距離。計(jì)算機(jī)操作人員需要不斷學(xué)習(xí)，不斷積累經(jīng)驗(yàn)，提高計(jì)算機(jī)網(wǎng)絡(luò)水平，這才是提高我們計(jì)算機(jī)網(wǎng)絡(luò)安全最重要的安全措施。從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和