【文章內(nèi)容簡介】 安博實訓(xùn)平臺 道 )，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為。 我們給貴公司設(shè)計的 pix 防火墻能設(shè)計策略，規(guī)定可以訪問的服務(wù)，哪些人可以訪問，防止一些不必要的入侵攻擊。 網(wǎng)絡(luò)病毒： 與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖 擊，病毒的傳播與發(fā)作一般有不確定的隨機特性。這是 “ 無對手 ” 、 “ 無意識 ”的攻擊行為。 我們?yōu)橘F公司購買了正版的金山毒霸的殺毒軟件，給內(nèi)部的員工機器安裝上，防止員工機器上的客戶資料收到病毒和木馬的破壞。 木馬入侵： 木馬的發(fā)展是一種新型的攻擊行為，他在傳播時象病毒一樣自由擴散，沒有主動的跡象，但進入你的網(wǎng)絡(luò)后，便主動與他的 “ 主子 ” 聯(lián)絡(luò)，從而讓主子來控制你的機器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是 “ 僵尸網(wǎng)絡(luò) ” 。 來自網(wǎng)絡(luò)外部的安全問題，重點是防護與監(jiān)控。來自網(wǎng)絡(luò)內(nèi)部的 安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計。 由于有這些安全隱患的存在，在網(wǎng)絡(luò)邊界上，最容易受到的攻擊方式有下面幾種： 安博實訓(xùn)平臺 黑客入侵： 入侵的過程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。 病毒入侵： 病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降。病毒對網(wǎng)關(guān)沒有影響，就象 “ 走私 ” 團伙，一旦進入網(wǎng)絡(luò)內(nèi)部，便成為可怕的 “ 瘟疫 ” ，病毒的入侵方式就象 “ 水 ” 的滲透一樣，看似漫無目的，實則無孔不入。 網(wǎng)絡(luò)攻擊： 網(wǎng)絡(luò)攻擊是針對網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如 DOS 攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說是一種公開的攻擊，攻擊的目的一般是造成你服務(wù)的中斷 “魔高道高，道高魔高 ”。網(wǎng)絡(luò)邊界是兩者長期博弈的 “戰(zhàn)場 ”，然而安全技術(shù)在 “不斷打補丁 ”的同時，也逐漸在向 “主動防御、立體防護 ”的思想上邁進，邊界防護的技術(shù)也在逐漸成熟，數(shù)據(jù)交換網(wǎng)技術(shù)就已經(jīng)不再只是一個防護網(wǎng)關(guān)，而是一種邊界安全網(wǎng)絡(luò)，綜合性的安全防護思路。也許安全的話題是永恒的，但未來的網(wǎng)絡(luò)邊界一定是越來越安全的，網(wǎng)絡(luò)的優(yōu)勢就在于連通。 網(wǎng)絡(luò)內(nèi)部安全威脅分析 內(nèi)部網(wǎng)絡(luò)的風(fēng)險分析主要針對整個內(nèi)部網(wǎng)的安全風(fēng)險主要表現(xiàn)一下幾個方面： 內(nèi)部用戶的非授權(quán)訪問，安博集團的內(nèi)部資源也不是對任何 安博實訓(xùn)平臺 的員工開放的，也需要相應(yīng)的訪問權(quán)限內(nèi)部用戶的非授權(quán)的訪問。更容易造成資源和重要信息的泄露 內(nèi)部用戶的誤操作：由于內(nèi)部用戶的計算機造作的水平參差不齊，對于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對誤操作的防范措施，極容易給服務(wù)系統(tǒng)各其他主機造成危害 內(nèi)部用戶的惡意攻擊：就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計約有 70%左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的的優(yōu)勢，因此對內(nèi)部用戶攻擊的防范也很重要。 設(shè)備的自身安全行也會直接關(guān)系到安博公司網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運行，例如，路由設(shè)備存在路由信息泄露，交換機和路由器設(shè)備配置風(fēng)險 安全產(chǎn)品選型原則 公司網(wǎng)絡(luò)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，不影響網(wǎng)絡(luò)系統(tǒng)運行效率、不影響正常的業(yè)務(wù)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對信息安全產(chǎn)品進行選型。 選型原則包括： 安全性原則 ：產(chǎn)品系統(tǒng)具有多層次的安全保護措施，可以滿足用戶身份鑒別、訪問控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫? 安博實訓(xùn)平臺 求； 標(biāo)準(zhǔn)性 ：網(wǎng)絡(luò)安全產(chǎn)品選型符合國家標(biāo)準(zhǔn)，產(chǎn)品的質(zhì)量以及屬性必須達(dá)到國家所要求的，符合本產(chǎn)品的性能； 擴展性原則 ：在業(yè)務(wù)不斷發(fā)展的情況下 ，產(chǎn)品系統(tǒng)可以不斷升級和擴充，并保證系統(tǒng)的穩(wěn)定運行； 性價比 ：不盲目追求高性能產(chǎn)品，要購買適合自身需求的產(chǎn)品； 產(chǎn)品與服務(wù)相結(jié)合原則：良好的售后服務(wù)，否則買回的產(chǎn)品出現(xiàn)故障時既沒有技術(shù)又沒有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。 網(wǎng)絡(luò)常用技術(shù)介紹 PPP協(xié)議 PPP協(xié)議是在點到點鏈路上承載網(wǎng)絡(luò)層數(shù)據(jù)包的一種鏈路層協(xié)議，它能夠提供用戶驗證、易于擴充，并且支持同 /異步通信它的優(yōu)點在于簡單、具備用戶驗證能力、可以解決 IP分配等。 PPP是一種多協(xié)議成幀機制，它適合于調(diào)制解調(diào)器、 HDLC位序列線路、 SONET和其它的物理層上使用。它支持錯誤檢測、選項協(xié)商、頭部壓縮以及使用HDLC類型幀格式（可選）的可靠傳輸。 PPP提供了三類功能： 1 成幀：他可以毫無歧義的分割出一幀的起始和結(jié)束。 2 鏈路控制：有一個稱為 LCP的鏈路控制協(xié)議， 支持同步和異步線路，也支持面向字節(jié)的和面向位的編碼方式，可用于啟動路線、測試線路、協(xié)商參數(shù)、以及關(guān)閉線路。 3 網(wǎng)絡(luò)控制：具有協(xié)商網(wǎng)絡(luò)層選項的方法，并且協(xié)商方法與使用的網(wǎng)絡(luò)層協(xié)議獨立。 安博實訓(xùn)平臺 PPP的兩種認(rèn)證方式 一種是 PAP，一種是 CHAP。相對來說 PAP的認(rèn)證方式安全性沒有 CHAP高。 PAP在傳輸 password是明文的，而 CHAP在傳輸過程中不傳輸密碼，取代密碼的是 hash（哈希值）。 PAP認(rèn)證是通過兩次握手實現(xiàn)的，而 CHAP則是通過 3次握手實現(xiàn)的。 PAP認(rèn)證是被叫提出連接請求，主叫響應(yīng)。而 CHAP則是主叫發(fā) 出請求，被叫回復(fù)一個數(shù)據(jù)包，這個包里面有主叫發(fā)送的隨機的哈希值，主叫在數(shù)據(jù)庫中確認(rèn)無誤后發(fā)送一個連接成功的數(shù)據(jù)包連接認(rèn)證階段完成之后， PPP將調(diào)用在鏈路創(chuàng)建階段（階段 1）選定的各種網(wǎng)絡(luò)控制協(xié)議（ NCP）。選定的 NCP解決 PPP鏈路之上的高層協(xié)議問題，經(jīng)過三個階段以后，一條完整的 PPP鏈路就建立起來了。 利用以太網(wǎng)（ Ether）資源，在以太網(wǎng)上運行 PPP來進行用戶認(rèn)證接入的方式稱為 PPPoE。 PPPoE即保護了用戶方的以太網(wǎng)資源，又完成了 ADSL的接入要求，是目前 ADSL接入方式中應(yīng)用最廣泛的技術(shù)標(biāo)準(zhǔn)。 。 Vtp VTP：是 VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。是十幾臺交換機在企業(yè)網(wǎng)中，配置 VLAN工作量大，可以使用 VTP協(xié)議，把一臺交換機配置成 VTP Server, 其余交換機配置成 VTP Client,這樣他們可以自動學(xué)習(xí)到 server 上的 VLAN 信息。 VTP是一種消息協(xié)議，使用第 2層幀，在全網(wǎng)的基礎(chǔ)上管理 VLAN的添加、刪除和重命名，以實現(xiàn) VLAN配置的一致性。可以用 VTP管理網(wǎng)絡(luò)中VLAN1到 1005。有了 VTP，建立一個 VTP管理域，以使它能管理網(wǎng)絡(luò)上 安博實訓(xùn)平臺 當(dāng)前的 VLAN就可以在一臺機換上集中過時行配置變更，所作的變更會被自動傳播到網(wǎng)絡(luò)中所有其他的交換機上。（前提是在同一個 VTP域） 為了實現(xiàn)此功能， VTP模式有 3種 服務(wù)器模式（ Server）客戶機模式（ Client）透明模式（ Transparent） HSRP 協(xié)議 我們使用 HSRP來實現(xiàn)對故障路由器的接管 ,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選 擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。 VLAN 技術(shù) 一般的交換機端口只有屬于一個 vlan，對于多個 vlan 需要跨過多臺交換機，就需要用到 trunk 技術(shù)。 Trunk 是指交換機之間與路由之間傳遞，從而可以將 vlan 跨越整個網(wǎng)絡(luò)，而不僅僅是局限在一臺交換機上。 Cisco 支持 ， isl 的技術(shù)，其中 是業(yè)界標(biāo)準(zhǔn)協(xié)議，而 isl是 clsco專用的協(xié)議，用于在一條鏈路上封 裝多個vlan 的信息， isl 技術(shù)得到了 inter 等廠商的大力支持，tagswitching被 3及 cajum支持。對于 cisco交換機的 trunk端口，既可以指定它的封裝協(xié)議為 或 isl，也可以通過 安博實訓(xùn)平臺 dtp協(xié)議自動協(xié)商，對也不同廠家的交換機相互連時很有幫助，對于 trunk 的定義只能在快速以太網(wǎng)端口和千兆以太網(wǎng)端口，也可以是快速以太通道或千兆以太通道，雖然我們采用的思科