【文章內容簡介】 供真正安全的網絡管理機制。帶內網管數(shù)據(jù)流承載關于網絡配置的全部信息，V3版本的SNMP協(xié)議基于加密、鑒權、認證手段把這部分信息保護起來，實質性地提高了網絡管理的安全性，改善網絡的可運營性和可管理性。 優(yōu)良的QOS保證S8500、S5600和S3900系列交換機支持基于二、三、四層的靈活的流分類和QoS策略，配合網絡的高轉發(fā)性能，對不同類型的業(yè)務和不同類型的用戶進行分類支持，為話音、視頻等實時業(yè)務提供質量保證；對關鍵業(yè)務和非關鍵業(yè)務進行區(qū)分處理，保證關鍵業(yè)務暢通。 滿足基本的運營、可管理和控制需求通過交換機和CAMS認證管理服務器的配合，實現(xiàn)端口地址捆綁、用戶接入認證、QoS、安全特性和集中統(tǒng)一網管等特性，滿足業(yè)務可擴展，提供基本的可運營可管理特性。數(shù)據(jù)通信的技術的發(fā)展的迅速的，所以在網絡建設的過程當中應當充分考慮到網絡的延續(xù)性以及網絡對于未來新業(yè)務的支持力度，如：IPv6技術，隨著Internet網的迅速的發(fā)展，目前國內的IP地址的數(shù)量越來越不夠使用，這就迫使我們需要進一步擴大IPv6的協(xié)議的支持，目前各高校正在學校內部的部分局域網實驗IPv6的技術，再如：MPLS VPN的技術目前好多的運營商都在興建自己的VPN線路。在本次建網的過程當中希望能夠考慮到網絡的延續(xù)性以及相關的技術的支持性，以便于網絡的建設的發(fā)展。傳統(tǒng)的路由設備在增加新的業(yè)務特性的時候，必須通過更換單板等硬件升級的方式來實現(xiàn)，這樣對于用戶來說，是一筆極大的浪費。H3C公司充分考慮到用戶的相關的需求，因此核心交換機S8512和路由器AR4600對于新業(yè)務MPLS VPN、IPv6等技術均可支持。，基于復雜流的檢測和控制隨著應用和業(yè)務越來越復雜，如何維護XXXX的應用和規(guī)范網絡應用，提高XXXX網絡的安全性和可控制性，是必須面臨的問題。S8512交換機可以根據(jù)基于復雜流的分類來檢測數(shù)據(jù)報文的合法性和安全性。S8512可以檢測數(shù)據(jù)報文中最長128字節(jié)的匹配內容，例如S8512會根據(jù)預先設定的檢測匹配內容如“法輪功”,如果設置了該匹配內容，那么S8512會檢測報文流中最長的128個字節(jié)內容，如果有匹配的內容就丟棄該流的報文，提供從網絡內部的安全性。我們本次方案時已經設計了此項功能的應用。H3C S8500核心交換機支持深度業(yè)務感知，支持對BT業(yè)務流的識別并對BT流進行CAR帶寬限制，BT流的總帶寬可以根據(jù)需要被控制在100K1Gbps之間，通過BT流的特征字符串，抓到BT流并打上標記，以后對所有命中該流的報文做適當?shù)膸捪拗?，從而實現(xiàn)對于BT業(yè)務的禁止或限流量。而其實現(xiàn)方式只要通過簡單的幾條命令就可以達到目的。 第五章 網絡安全方案隨著計算機網絡的廣泛使用和網絡之間信息傳輸量的急劇增長，一些機構和部門在得益于網絡加快業(yè)務運作的同時，其上網的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復制或被篡改和竊取，數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網絡上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內容，摧毀網絡節(jié)點，釋放計算機病毒等等。黑客的威脅見諸報道的已經屢見不鮮，象不久前的中美黑客大戰(zhàn)就曾轟動一時。內部工作人員的不小心甚至充當間諜，據(jù)XXXX分析，70%的安全問題來自于單位內部。內部工作人員能較多地接觸內部信息，工作中的任何有意行為或者不小心都可能給信息安全帶來危險。這些都使信息安全問題越來越復雜。競爭對手的非法入侵。現(xiàn)在社會競爭越來越激烈，競爭對手通過網絡非法訪問對方內部信息的事件也屢見不鮮。在XXXX計算機網絡運行企業(yè)科研、生產和經營管理業(yè)務系統(tǒng)，存儲數(shù)據(jù)涉及企業(yè)核心秘密的信息，若網絡系統(tǒng)被非法攻擊將會直接影響企業(yè)業(yè)務并造成損失，核心數(shù)據(jù)的丟失或泄露將威脅企業(yè)的生存，其影響是難以估量的。綜上所述，在XXXX計算機網絡必須有足夠強的安全措施。無論是在局域網還是在廣域網中，網絡的安全措施都應能全方位地應付各種不同的安全威脅和系統(tǒng)脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。 網絡安全技術概述網絡安全技術包括：防火墻，身份認證，入侵檢測和漏洞掃描，VPN安全通道，安全策略管理和防病毒。防火墻技術，一般用于內部網絡和外部網絡交界處的安全，主要包括因特網出口處以及內部單位之間的安全，Internet出口處的安全措施一般采取加防火墻的方法，實施地址轉換，隱藏內部網絡結構，限制外部用戶訪問內部網絡的權限和可到達的區(qū)域等，目前一些比較先進的防火墻還可以實現(xiàn)入侵檢測、防病毒等功能，極大提高內部網絡的安全性，防火墻目前包括硬件防火墻和軟件防火墻2種，由于硬件防火墻的高性能和更好的安全性，目前被更加廣泛的使用，新型的防火墻具有的透明防火墻功能更多的被用于內部網絡之間進行訪問控制，提高網絡的安全性和可管理性。身份認證，包括用戶身份鑒別、用戶訪問權限授權、用戶訪問資源計帳。漏洞掃描，檢查安全基礎設施的有效性，包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為的措施等。安全掃描工具主要用于主動的發(fā)現(xiàn)內部網絡上所有設備存在的安全漏洞，可以提示用戶進行相應的措施加以解決。 安全通道，指數(shù)據(jù)的保密性，涉及數(shù)據(jù)在傳輸過程特別是在公網信道上不被竊取，保證數(shù)據(jù)的目標用戶可以容易解讀加密的數(shù)據(jù)。包括有硬件信道加密以及二層VPN、三層VPN等技術，詳細情況見VPN方案章節(jié)。防病毒，當今計算機電腦病毒對用戶網絡、計算機、重要資料造成的損害越來越大，而且傳播途徑多種多樣，必須建立網絡病毒檢測、預防和治理相結合的完善防病毒體系。安全策略，主要由用戶根據(jù)網絡內部不同部分的重要性的差別，以及功能差別等因素，定制處不同的安全策略，包括Internet網絡用戶對內部網絡的訪問以及內部用戶的不同的訪問權限等，安全策略的制定將直接影響到網絡的安全性能。 防火墻解決方案在XXXX網絡系統(tǒng)中，目前在Internet出口處以及已經使用有硬件防火墻，但是現(xiàn)有的硬件防火墻主要實現(xiàn)地址轉換和訪問控制功能，不具備入侵檢測功能和防病毒功能，入侵檢測和防病毒功能是新型防火墻新增的部分功能，主要針對Internet網絡上日益增長的不安全因素而將這2項原本由不同專業(yè)設備完成的功能集成在一起，更好的完成對內部網絡的安全防護功能。防火墻可以作為內外網之間良好的訪問控制通道，或作為某一資源的有效保護，由于黑客攻破防火墻的情況也越來越多，發(fā)生這樣的情況怎么辦呢？采取實時入侵監(jiān)測的技術，及時探測到黑客的入侵，立即切斷入侵動作，修改防火墻的配置，斷絕其入侵的路徑，并記錄其行為。隨著Internet的越來越普及，應用的越廣泛，病毒的危害也越來越大?？偸遣煌５挠行碌牟《境霈F(xiàn)，并造成破壞，人們特別是系統(tǒng)管理員的工作量也越來越大，因此，如何構筑一個更加有效的防病毒體制，成為了一個企業(yè)不得不去面對的問題。防火墻通過檢測在XXXX網絡內部和外部網（Internet）之間的請求，然后允許或拒絕每個連接請求，使因特網連接盡量安全。功能強大的防火墻是在所有通信協(xié)議層上―――從數(shù)據(jù)鏈路層到應用層―――保護網絡。防火墻被認為是XXXX網絡邊界安全，沒有它，網站內的每個主機都不得不自己執(zhí)行防火墻的功能。防火墻的主要功能都使用包過濾、網絡地址轉換、代理服務三個基本方法。包過濾功能拒絕接受從未授權的主機發(fā)送的TCP/IP 包，并拒絕接受使用未授權服務的連接請求。網絡地址轉換翻譯內部主機的IP 地址而使外部監(jiān)視器無法探測它們。代理服務代表內部主機進行高層應用連接，完全中斷內部主機與外部主機的網絡層連接。大多數(shù)防火墻還執(zhí)行加密的身份認證和加密通道兩個重要的安全服務。加密的身份認證允許公共網絡上的用戶從外部網絡為獲得專用網絡的訪問權證實他們的身份。通過公共網絡（如Internet）為兩個專用網絡之間建立一個安全的加密通道來進行通信。由于XXXX內部網絡要和外部網絡發(fā)生業(yè)務聯(lián)系，又要保證網絡的安全性，故在XXXX內部網絡和XXXXINTERNET網出口路由器之間設置H3C公司的硬件防火墻來保證XXXX網絡內系統(tǒng)的安全。DMZ區(qū)又稱非軍事化區(qū)，它對外提供各種服務如網頁瀏覽、郵件服務和FTP服務等，系統(tǒng)對外開放的信息都放在該區(qū)，由于它的開放性，就使它成為黑客們攻擊的對象，但由于它與內部網是隔離開的，所以即使受到了攻擊也不會危及內部網絡的安全。H3C174。 S8512內置防火墻模塊（需要單獨配置硬件單板），提供完善的安全特性，如包過濾防火墻、狀態(tài)防火墻、驗證、加密等功能和完善的VPN服務。1)、NAT 特性通過防火墻的NAT/PAT則可以用來實現(xiàn)私有網絡地址與公有網絡地址之間的轉換。地址轉換的優(yōu)點在于屏蔽了內部網絡的實際地址，外部網絡基本不可能穿過地址轉換層直接訪問XXXX內部網絡。地址轉換能夠將網內服務器發(fā)出的報文的源地址全部映射成一個外部地址。地址轉換使網內用戶通過路由器訪問Internet的同時保證XXXX網絡內部的安全性。 協(xié)議的地址轉換，因此可以在不增加任何其他非會議電視設備（）的前提下。NAT支持RAS（Reliability Availability and Serviceability，可靠性、可獲得性、可服務性）、H245消息，能夠和多媒體MCU（Multipoint Control Unit，多點控制單元）、GK（Gatekeeper，網守）以及終端等設備靈活組網，使得該設備可以完全透明的支持多媒體應用。這樣，具有私有IP地址的網站內的視頻終端可以和Internet上的視頻終端進行視頻會議的交流。NAT特性支持DNS（ Domain Name System，域名系統(tǒng)）、Netmeeting（網絡會議）服務。防火墻提供優(yōu)質的NAT性能，可以滿足大量訪問的需求，向外提供WWW、FTP等服務，避免XXXX系統(tǒng)內部服務器直接受到攻擊。2)、包過濾防火墻特性提供完善的包過濾防火墻特性：A、 可以根據(jù)IP包的目的地址、源地址，TCP/UDP的目的端口、源端口，ICMP報文的類型、Code等信息進行包過濾。B、可以針對分片報文指定專門的過濾規(guī)則。C、可以針對分片報文進行精確的四層匹配。D、可以對違反規(guī)則的報文做日志。E、配置ACL安全規(guī)則的時候，可以提供自動排序或者按照配置順序排序兩種規(guī)則排序方式，極大的方便了用戶配置安全規(guī)則。F、可以根據(jù)收到報文的接口進行包過濾，例如可以禁止從Eth0接口進入的報文從Eth1接口轉發(fā)。G、黑名單過濾惡意主機為了更快捷地發(fā)現(xiàn)并屏蔽某些惡意主機的攻擊行為，防火墻提供主動防御措施（即動態(tài)、手工兩種方式維護黑名單列表），將某些報文源IP地址記錄在黑名單中，從而實現(xiàn)高速的報文過濾。H、防范假冒IP地址防火墻根據(jù)用戶配置，將MAC和IP地址的綁定并形成關聯(lián)關系，從而過濾IP地址和MAC地址不匹配的報文，從而有效避免IP地址假冒攻擊的行為。3)、應用層狀態(tài)檢測傳統(tǒng)的包過濾技術雖然簡單，但缺乏一定的靈活性，對類似于FTP這樣的多通道應用來說，配置包過濾是困難的；FTP應用包含一個預知端口的TCP控制通道和一個動態(tài)協(xié)商的TCP數(shù)據(jù)通道，配置安全策略時無法預知數(shù)據(jù)通道的端口號，因此無法確定數(shù)據(jù)通道的入口。防火墻提供的ASPF（Application Specific Packet Filter，基于應用層規(guī)范的包過濾）特性可以解決這個問題。ASPF是一種高級通信過濾，它檢測基于TCP和UDP應用的報文應用層信息，監(jiān)控每一個連接的應用層協(xié)議狀態(tài)，并動態(tài)地根據(jù)報文的內容創(chuàng)建和刪除臨時的ACL表項。每一個連接狀態(tài)信息都將被ASPF維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄，可以保證所有建立的連接都是合法連接，防止地址欺騙、身份偽造等惡意攻擊行為。ASPF特性還可以檢測基于TCP SYN的DoS攻擊；由于ASPF維護并記錄每一個TCP連接狀態(tài)，因此根據(jù)TCP SYN狀態(tài)的數(shù)目及速率等方式（是否超過一個預定的閾值）來判定系統(tǒng)是否正在遭受DoS攻擊，從而可以防止DoS攻擊。目前提供如下檢測：標準TCP、UDP報文檢測分片報文檢測FTP協(xié)議數(shù)據(jù)通道和協(xié)議狀態(tài)檢測SMTP協(xié)議狀態(tài)檢測RTSP（Real Time Streaming Protocol）協(xié)議媒體通道和協(xié)議狀態(tài)檢測HTTP協(xié)議狀態(tài)檢測Java Blocking保護和ActiveX Blocking保護Java小程序由Internet瀏覽器進行解釋并在客戶端執(zhí)行，因此它把安全風險直接從服務器端轉移到了客戶端。防火墻通過在兩個區(qū)域之間對較高安全級別的區(qū)域實施Java Blocking保護，確保網絡傳輸（通過HTTP方式傳送的Java信息）不受有害Java applets的破壞。同樣，防火墻也能有效實施ActiveX Blocking保護，從而避免ActiveX控件給Internet瀏覽器端造成安全威脅。端口到應用的映射：由于所有應用層協(xié)議都使用一些系統(tǒng)預定義的（知名）端口號通信，為了防范惡意用戶進行端口掃描，從而攻擊系統(tǒng)，系統(tǒng)管理員可以對不同應用在系統(tǒng)定義的端口號之外指定一組新的端口號，外界主機與這些新端口號發(fā)起連接，從而隱藏內部知名端口，從而提供良好的安全機制。目前支持兩類映射機制：通用端口映射和基于標準ACL的主機端口映射。通用端口映射將用戶自定義端口號和應用層協(xié)議建立映射關系，這樣目的端口號就決定了該報文類別。主機端口映射利用標準ACL規(guī)則，將來自某些特定主機的報文、端口號和應用協(xié)議之間建立映射關系。4)、防范攻擊隨著Internet的廣泛應用，網絡攻擊手段越來越高明，并且越加隱蔽。按照攻擊采用的方式，網絡攻擊大致可以分為：DoS（Denial of Service，拒絕服務）攻擊、掃描窺探攻擊、其它攻擊。防火墻提供強大的攻擊防范機制，對設備進行安全保護，防止非法報文對內部網絡造成危害。防范多種DoS攻擊：可以有效地檢測出這些類攻擊報文，避免攻擊行為，記錄日志。包括：SYN Flood攻擊、ICMP Flood、UDP Flood攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNu