【文章內(nèi)容簡介】 址數(shù) Vlan 鄭州 分公司 廣州 分公司 湖南 分公司 江蘇 分公司 青海 分公司 第 四 章 網(wǎng)絡(luò)安全 及技術(shù) 方案 . . 網(wǎng)絡(luò)邊界安全威脅分析 網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū) 域，由于職責(zé) 和功能的不同，項(xiàng)鏈網(wǎng)絡(luò)的密集也不同，這樣的網(wǎng)絡(luò)直連，必然存在著安全風(fēng)險(xiǎn)。安博總部算面臨的威脅是與外界的連接，可能遭來越權(quán)訪問和惡意攻擊。內(nèi)部的各個(gè)功能網(wǎng)絡(luò)通過骨干交換機(jī)相連，這樣的話，重要的部門或者專網(wǎng)將遭到來自其他部門的越權(quán)訪問，誤操作等。導(dǎo)致網(wǎng)絡(luò)癱瘓。 網(wǎng)絡(luò)邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，存在著安全風(fēng)險(xiǎn)。我們應(yīng)用以下方法來杜絕這些存在的潛在的安全： 防火墻技術(shù)，防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全的有效管理，從總體上 看防火墻應(yīng)該具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止行為；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測和告警。 通過 vlan 驚醒端口通訊和安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口 可實(shí)現(xiàn)用戶賬號(hào)、 MAC 地址、 IP 地址、交換機(jī) IP、交換機(jī)端口等六大元素之間的靈活任意綁定，有效確認(rèn)用戶合法性和唯一性。 網(wǎng)絡(luò)內(nèi)部安全威脅分析 主要是整個(gè)內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，主要表現(xiàn)以下幾個(gè)方面： 內(nèi)部用戶的非授權(quán)訪問：安博公司內(nèi)部的資源也不是對(duì)任何的員工都開放，也需要有相應(yīng)的訪問 權(quán)限。內(nèi)部用戶的非授權(quán)的訪問，更容易造成資源和重要信息的泄漏。 內(nèi)部用戶的惡意攻擊，就網(wǎng)絡(luò)安全來說，很大一部分的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。 重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全 帶來很多不安定的因素。 重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成安博公司的系統(tǒng)癱瘓，無法正常運(yùn)行。 安全管理的困難，對(duì)于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全側(cè)略的配置值和安全事件管理的難度很大 。 安全產(chǎn)品選型原則 公司屬于一個(gè)新興的公司但是我們想在搭建自己的網(wǎng)絡(luò)中具備各自的安. . 全性，因此在安全產(chǎn)品的選型上，必須慎重，選型的原則包括： 安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的要求，不影響正常的業(yè)務(wù)； 安全保密產(chǎn)品不許滿足上面提出的安全需求，保證整個(gè)公司網(wǎng)絡(luò)的安全性。 安全保密產(chǎn)品必須通過國家主管部門指定的測評(píng)機(jī)構(gòu)的檢測； 安全保密產(chǎn)品必須具備自我保護(hù)能力； 安全保密產(chǎn)品必須符合國家和國際上的相關(guān)標(biāo)準(zhǔn)； 安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理 。 網(wǎng)絡(luò)常用技術(shù)介紹 VLAN 原理： （ virtual loal Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新型技術(shù)， IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化 vlan 實(shí)現(xiàn)方案的 協(xié)議標(biāo)準(zhǔn)草案。 Vlan 技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的 LAN 邏輯地劃分成不同的廣播域，每一個(gè) vlan都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的 LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè) vlan 內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，同一個(gè) vlan 的廣播和單薄流量都不會(huì)轉(zhuǎn)發(fā)到其他 vlan 中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 優(yōu)點(diǎn)： （ 1） 防范廣播風(fēng)暴 （ 2） 安全 （ 3） 降低成本 （ 4） 性能提高 （ 5） 提高員工效率 （ 6） 簡化項(xiàng)目管理或應(yīng)用管理 . . （ 7） 增加了網(wǎng)絡(luò)連接的靈活性 Vtp 協(xié)議 原理：它是一個(gè) OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi) VLANs 的建立、刪除和重命名。在一臺(tái) VTP Server 上配置一個(gè)新的 VLAN 時(shí)，該 VLAN 的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其 VLAN 的配置與 VTP Server 保持一致，從而減少在多臺(tái)設(shè)備上配置同一個(gè) VLAN 信息的工作量，而且保持了 VLAN 配置的統(tǒng)一性 Vlan 中繼協(xié)議：負(fù)責(zé)在 vtp 域內(nèi)分發(fā)和同步 vlan 信息，使整個(gè)網(wǎng)絡(luò)的 vlan 配置保持一致 Vtp 域：由一組使用相同域名的交換機(jī)組成 Vtp 模式： vtp server 、 vtp client、 vtp transparent （ 1） vtp server：負(fù)責(zé)向相同 vtp 域中啟用 vtp 的交換機(jī)通告 vtp 域的 vlan 信息，域中 vlan 的創(chuàng)建、刪除、修改由此服務(wù)器完成 （ 2） vtp client：接收 vtp 服務(wù)器發(fā)布的 vlan 信息，不能在此模式的交換機(jī)上創(chuàng)建、刪除、修改 vlan 配置 （ 3） vtp transparent：只負(fù)責(zé)轉(zhuǎn)發(fā) vtp 通告給 vtp 客戶端和 vtp 服務(wù)器，自身不接收vtpfuwuqi 發(fā)布的 vtp 通告，在此模式的交換機(jī)上可以創(chuàng)建、刪除、修改 vlan 作用：因?yàn)榕渲?VLAN 工作量大，可以使用 VTP 協(xié)議，把一臺(tái)交換機(jī)配置成 VTP Server, 其余交換機(jī)配置成 VTP Client,這樣他們可以自動(dòng)學(xué)習(xí)到 server 上的 VLAN 信息?？梢员ＷC vtp 域內(nèi)的 vlan 信息的同步。 STP 在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實(shí)現(xiàn)冗余和負(fù)載的均衡，通常會(huì)有多條鏈路的連接，這樣就會(huì)引入環(huán)路。為了解決這個(gè)矛盾，推出了 STP 協(xié)議。 STP 算法會(huì)將網(wǎng)絡(luò)中的連接生成一個(gè)樹，通過特定的算法自動(dòng)將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時(shí)候都不會(huì)出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化， STP 算法會(huì)自動(dòng)地重新計(jì)算新的連接關(guān)系，重新選出新的活動(dòng)的連接。 STP 算法會(huì)造成網(wǎng)絡(luò)的暫時(shí)的不穩(wěn)定狀態(tài)，該 轉(zhuǎn)換時(shí)間在 30秒之內(nèi)，亦即在 30 秒之內(nèi)網(wǎng)絡(luò)會(huì)重新恢復(fù)到穩(wěn)定狀態(tài)。 STP 對(duì)于終端是透明的，終端感覺不到 STP 的操作過程。在交換機(jī)上可以通過修改端口的優(yōu)先級(jí)來改變連接的優(yōu)先權(quán)，使得 STP 算法將高優(yōu)先權(quán)的連接作為活動(dòng)連接，例如：兩個(gè)交換機(jī)之間有兩條鏈路連接，一條是光纖連接，另一條是雙絞線連接，由于光纖連接明. . 顯要比雙絞線連接更穩(wěn)定、更可靠，我們可以將交換機(jī)上的光纖端口的優(yōu)先權(quán)設(shè)定成比雙絞線端口更高的優(yōu)先權(quán)，這樣 STP 算法就會(huì)將光纖連接作為活動(dòng)連接，而將雙絞線連接阻塞。Cisco 交換機(jī)的一個(gè)非常有用的特性 就是可以對(duì)每個(gè) VLAN 設(shè)置 Spanning Tree ,而不是對(duì)整個(gè)網(wǎng)絡(luò)只能屬于一個(gè) SpanningTree。這個(gè)特征是很多廠商的設(shè)備所不具備的。在交換機(jī)上對(duì)端口的優(yōu)先權(quán)的設(shè)置可以基于 VLAN 進(jìn)行，每個(gè)端口對(duì)于不同的 VLAN 設(shè)置不同的優(yōu)先權(quán)。對(duì)于指定的 VLAN，具有該 VLAN 最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該 VLAN的信息，其它 VLAN 的信息則阻塞。通過這種方法，在具有冗余連接的交換機(jī)端口上分別針對(duì)不同的 VLAN 設(shè)置不同的優(yōu)先權(quán)，既可以實(shí)現(xiàn)鏈路的冗余，又可以實(shí)現(xiàn)負(fù)載的均衡。 CISCO 交換機(jī)端口支持每 VLAN 的生成樹協(xié)議，每個(gè)端口都可設(shè)置基于 VLAN 的 Cost 或Priority 參數(shù)，從而實(shí)現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持 STP 協(xié)議，但是不允許多個(gè) STP 域。采用多個(gè) STP 域顯然可以獲得比單個(gè)域高的網(wǎng)絡(luò)可靠性。 狀態(tài)： （ 1） 阻塞狀態(tài)：不能轉(zhuǎn)發(fā)數(shù)據(jù)幀，能夠收發(fā) BPDU 幀，不能獲取地址，廢棄接口上受到的數(shù)據(jù)幀 （ 2） 偵聽狀態(tài)：廢棄接口上受到的，不能轉(zhuǎn)發(fā)數(shù)據(jù)幀 （ 3） 學(xué)習(xí)狀態(tài)：廢棄接口上受到的數(shù)據(jù)幀 （ 4） 轉(zhuǎn)發(fā)狀態(tài)：可以轉(zhuǎn)發(fā)數(shù)據(jù)包，接收和轉(zhuǎn)發(fā)受到的數(shù)據(jù)幀 （ 5） 禁用狀態(tài)：不轉(zhuǎn)發(fā)不接收 作用：避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)， 起到線路備份的作用 EtherChannel 原理： 以太通道也稱為以太端口捆綁，端口聚集或以太鏈路聚集 以太通道為交換機(jī)提供了端口捆綁的技術(shù)，將多個(gè)物理以太端口聚合在一起形成一個(gè)邏輯上的聚合組，同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路，鏈路聚合可以實(shí)現(xiàn)出 /入負(fù)荷。在聚合組中各個(gè)成員端口之間的負(fù)擔(dān)，以增加單款同時(shí)，同一聚合組的各個(gè)或負(fù)端口之間彼此動(dòng)態(tài)備份，提高了鏈接可靠性 建立以太通道使用的協(xié)議： 一種是思科獨(dú)有的協(xié)議 PAgP(Port Aggregation Protocol)，另一種是 基于 的標(biāo)準(zhǔn)的鏈路聚合控制協(xié)議 LACP(Link Aggregate Control Protocol)。 . . Cisco 交換機(jī)上支持 PAGP(端口匯聚協(xié)議 )和 LACP(鏈路匯聚控制協(xié)議 )，其中 PAGP 是 Cisco似有的協(xié)議，而 LACP 是基于業(yè)界標(biāo)準(zhǔn)化組織 的協(xié)議，為連接 Cisco 交換機(jī)和其他支持 的非 Cisco 廠商交換機(jī)則可以使用 LACP 形成的 EtherChannel EtherChannel 配置原則 在每個(gè) EtherChannel 中 Cisco 交換機(jī)最多允許包括 8 個(gè) 端口 一個(gè) EtherChannel 內(nèi)的端口必須使用相同的協(xié)議（ PAGP 和 LACP） 一個(gè) EtherChannel 內(nèi)的所有端口都必須具有相同的速度和雙工模式，要求端口只能工作在全雙工模式下 。 一個(gè)端口不能再相同時(shí)間屬于多個(gè)通道組 。 一個(gè) EtherChannel 內(nèi)的所有端口都必須配置到相同的接入 vlan 或配置到 vlan 干道中 EtherChannel 內(nèi)的所有端口都必須配置相同的干道模式 。 如果 EtherChannel 的端口通道時(shí) 3 層接口，為接口配置 ip 地址 。 作用： 流量負(fù)載分擔(dān)：出 /入流量可以在多個(gè)成員接口之間 分擔(dān)。增加帶寬：鏈路捆綁接口的帶寬是各可用成員接口帶寬的總和。提高連接可靠性：當(dāng)某個(gè)成員接口出現(xiàn)故障時(shí)，流量會(huì)自動(dòng)切換到其他可用的成員接口上，從而提高整個(gè)捆綁鏈路的鏈接可靠性。 HSRP 原理： 熱備份路由協(xié)議（ HSRP）支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一條路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。 路由器是整個(gè)網(wǎng)絡(luò)的核心和心臟，如果路由器發(fā)生致命的故障。將會(huì)導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，如果是骨干路由器，影響的范圍將更大，所造成的損失也是難以估計(jì)的 。因此，對(duì)路由器采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇，在一個(gè)路由器完全不能工作的情況下，它的全部功能便被系統(tǒng)中的另一個(gè)備份路由器接管，直至出現(xiàn)問題的路由器恢復(fù)正常。 HSRP 用一組三層設(shè)備（ 2 臺(tái)或多臺(tái)）按配置成一主一輔或一主多輔的形式，共享同一個(gè)虛擬 IP 地址和 MAC 地址。對(duì)其他網(wǎng)絡(luò)設(shè)備來說，只能同該虛擬的 IP 地址通訊。 對(duì)一個(gè) HSRP 組來說，只能有一個(gè) active 端口，該端口負(fù)責(zé)對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，而其他成員端口則處于 standby 狀態(tài)，當(dāng) active 端口出現(xiàn)故障時(shí)， standby 端口一刻轉(zhuǎn)變成active 狀 態(tài)，接替 active 端口的工作，這個(gè)切換過程對(duì)其他的網(wǎng)絡(luò)設(shè)備來說是透明的，不會(huì)認(rèn)識(shí)到端口發(fā)生了端口的切換。 一個(gè) HSRP 組中哪個(gè)處于 active 狀態(tài)是通過成員端口分配不同的優(yōu)先級(jí)來實(shí)現(xiàn)的，優(yōu). . 先級(jí)高的端口處于 active 狀態(tài)，而優(yōu)先級(jí)低的端口則處于 standby 狀態(tài)。 在局域網(wǎng)中，使用 HSRP 技術(shù)來提高網(wǎng)絡(luò)的可靠性，以保證不會(huì)導(dǎo)致通訊發(fā)生中斷。具體來說，就是對(duì)每個(gè)子網(wǎng)的默認(rèn)網(wǎng)關(guān)配置了 HSRP，各個(gè)子網(wǎng)的默認(rèn)網(wǎng)關(guān)均是由 HSRP 虛擬出來的 IP 地址。 作用： （ 1） HSRP 用于廣播或多播局域網(wǎng)上的路由器熱備份，并適于靜態(tài) 的路由配置 （ 2） 主機(jī)設(shè)置缺省網(wǎng)關(guān) （ 3） 設(shè)置靜態(tài)路由，可以通過配置靜態(tài)缺省路由指向虛擬路由器來實(shí)現(xiàn)另外一種備份 NAT 動(dòng)態(tài)地址轉(zhuǎn)換 由于內(nèi)網(wǎng)的私有 ip 地址不能訪問外網(wǎng)的服務(wù)器，因此需要使用 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換 網(wǎng)絡(luò)地址轉(zhuǎn)化屬于接入廣域網(wǎng)技術(shù)，是一種將私有地址轉(zhuǎn)化成合法的 ip 地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型 Inter 接入方式和各種類型的網(wǎng)絡(luò)中 NAT 自動(dòng)修改 ip 報(bào)文的源 ip 地址和目的 ip 地址。 NAT 實(shí)現(xiàn)的技術(shù)：靜態(tài)地址轉(zhuǎn)換（ static Nat）、動(dòng)態(tài)地址轉(zhuǎn)換和端口多路復(fù)用技術(shù) 靜態(tài)地址轉(zhuǎn)換：將網(wǎng)絡(luò)中的私有 ip 地址轉(zhuǎn)換成公有 ip 地址。 Ip 地址是一對(duì)一的，某個(gè)私有ip 地址只能轉(zhuǎn)化成某個(gè)公有 IP 地址，借助于靜態(tài)地址轉(zhuǎn)化，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定的服務(wù)器的訪問 動(dòng)態(tài)地址轉(zhuǎn)換：將內(nèi)部網(wǎng)絡(luò)中的私有 ip 地址轉(zhuǎn)換為公有 ip 地址時(shí)， ip 地址是不確定的，是隨機(jī)的。訪問 Inter 的私有地址可隨機(jī)的轉(zhuǎn)換成任何指定的合法 ip 地址。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集 端口多路復(fù)用技術(shù)：只改變外