【文章內(nèi)容簡介】 MC 上配置一個網(wǎng)絡(luò)用戶行為審計組件 UBAS，和一個能生成七層日志的 DIG探針。11) 建議在外網(wǎng)上部署一套無線系統(tǒng)，無線平臺將依托電子政務(wù)外網(wǎng)平臺，采用集中控制、分布式部署的模式來建設(shè)。在電子政務(wù)外網(wǎng)上擴(kuò)展無線插卡來實(shí)現(xiàn)對于全網(wǎng)無線系統(tǒng)的統(tǒng)一管理和配置，對前端的無線 AP 進(jìn)行統(tǒng)一的配置管理及 認(rèn)證管理。由于外網(wǎng)接入 層設(shè)備能夠支持較好的 POE 功能，所以在無線網(wǎng)絡(luò)部署時，不需要考慮其電源位置，使無線 AP能夠更加靈活的部署。精選資料可修改編輯 電子政務(wù)安全解決方案網(wǎng)絡(luò)安全問題已成為信息時代企業(yè)和個人共同面臨的挑戰(zhàn)，電子政務(wù)網(wǎng)絡(luò)安全狀態(tài)也很嚴(yán)峻?，F(xiàn) 在計算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重，電腦黑客活動已形成重要威脅，信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)，信息系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在 許多薄弱環(huán)節(jié)。本次方案設(shè)計的 H3C 的網(wǎng)絡(luò)設(shè)備提供很高的安全性，通過這些安全特性可用構(gòu)成一個安全的網(wǎng)絡(luò)環(huán)境。（1）端口＋I(xiàn)P＋MAC 地址的 綁定用戶上網(wǎng)的安全性非常重要，端口+IP+MAC 地址的綁定關(guān)系，H3C 交換機(jī)可以支持基精選資料可修改編輯于 MAC 地址的 認(rèn)證，整機(jī)最多支持 1K 個下掛用戶的認(rèn)證。MAC 地址的綁定可以直接實(shí)現(xiàn)用戶對于邊緣用戶的管理，提高整個網(wǎng)絡(luò)的安全性、可維護(hù)性。如：每個用 戶分配一個端口，并與該用戶主機(jī)的 MAC、IP、VLAN 等進(jìn)行綁定，當(dāng)用戶通過 客戶端認(rèn)證通過以后用戶便可以實(shí)現(xiàn) MAC 地址＋端口＋I(xiàn)P＋用戶 ID 的綁定，這種方式具有很強(qiáng)的安全特性：防 的攻擊，防止用戶的 MAC 地址的欺騙，對于更改 MAC 地址的用戶（MAC 地址欺騙的用戶）可以實(shí)現(xiàn)強(qiáng)制下線。（2）接入層防 Proxy 的功能考慮到政府系統(tǒng)用戶的技術(shù)性較強(qiáng)，在實(shí)際的應(yīng)用的過程當(dāng)中應(yīng)當(dāng)充分考慮到 Proxy 的使用，對 于 Proxy 的防止，H3C 公司交換機(jī)配合 H3C 公司的 的客戶端，一旦檢測到用戶 PC 機(jī)上存在兩個活動 的 IP 地址（不論是單網(wǎng)卡 還是雙網(wǎng)卡），H3C 系列交換機(jī)將會下發(fā)指令將該用戶直接踢下線。（3）MAC 地址盜用的防止在網(wǎng)絡(luò)的應(yīng)用當(dāng)中 IP 地址的盜用是最為經(jīng)常的一種非法手段，用戶在認(rèn)證通過以后將自己的 MAC 地址 進(jìn)行修改，然后在 進(jìn)行一些非法操作，網(wǎng)絡(luò)設(shè)計當(dāng)中我們針對該問題，在接入層交換機(jī)上提供防止 MAC 地址盜用的功能，用 戶 在更改 MAC 地址后，交 換機(jī)對于與綁定MAC 地址不相符的用戶直接將下線，其下 線功能是由接入系列交 換機(jī)來實(shí)現(xiàn)的。（4）防止對 DHCP 服務(wù)器的攻 擊使用 DHCP Server 動態(tài)分配 IP 地址會存在兩個問題：一是 DHCP Server 假冒，用戶將自己的計算機(jī)設(shè)置成 DHCP Server 后會與局方的 DHCP Server 沖突；二是用戶 DHCP Smurf，用戶使用軟件變換自己的 MAC 地址，大量申 請 IP 地址，很快將 DHCP 的地址池耗光。H3C 交換機(jī)可以支持多種禁止私設(shè) DHCP Server 的方法。精選資料可修改編輯（5）Private VLAN解決這個問題的方法之一是在桌面交換機(jī)上啟用 Private VLAN 的功能。但在很多環(huán)境中這個功能的使用存在局限，或者不會為了私設(shè) DHCP 服務(wù)器的緣故去改造網(wǎng)絡(luò)。（6）訪問控制列表對于有三層功能的交換機(jī)，可以用訪問列表來實(shí)現(xiàn)。就是定義一個訪問列表，該訪問列表禁止 source port 為 67 而 destination port 為 68 的UDP 報文通過 。之后把這 個訪問列表應(yīng)用到各個物理端口上。當(dāng)然往端口一個個去添加訪問控制組比較麻煩，可以結(jié)合 interface range 命令來減少命令的輸入量。新的命令因?yàn)樗娜忠饬x，也為了突出該安全功能，建 議有如下單條命令的配置：service dhcpoffer deny [exclude interface interfacetype interfacenumber ][ interface interfacetype interfacenumbert | none]如果輸入不帶選項(xiàng)的命令 no dhcpoffer，那么整臺交換機(jī)上連接的 DHCP 服務(wù)器都不能提供 DHCP 服 務(wù)。exclude interface interfacetype interfacenumber ：是指合法 DHCP 服務(wù)器或者 DHCP relay所在的物理端口。除了該指定的物理端口以外，交換 機(jī)會丟棄其他物理端口的 in 方向的DHCP OFFER 報文。interface interfacetype interfacenumbert | none：當(dāng)明確知道私設(shè) DHCP 服務(wù)器是在哪個物理端口上的時候，就可以選 用這個選項(xiàng)。當(dāng)然如果 該 物理端口下面僅僅下聯(lián)該私設(shè) DHCP 服務(wù)器，那么可以直接 disable 該端口。該選項(xiàng)用于私 設(shè) DHCP 服務(wù)器和其他的合法主機(jī)一起通過一臺不可網(wǎng)管的或不支持關(guān)閉 DHCP Offer 功能的交 換機(jī)上聯(lián)的情況。選擇 none 就是放開精選資料可修改編輯對 dhcpoffer 的控制。（7）防止 ARP 的攻擊隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶數(shù)目的增多，網(wǎng)絡(luò)安全和管理越發(fā)顯出它的重要性。由于現(xiàn)在用戶具有很強(qiáng)的專業(yè)背景，致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問題屢見不鮮。因此， ARP 攻擊、地址仿冒、MAC 地址攻擊、DHCP 攻擊等問題不僅令網(wǎng)絡(luò)中心的管理人員頭痛不已，也對網(wǎng)絡(luò) 的接入安全提出了新的挑戰(zhàn)。ARP 攻擊包括中間人攻擊(Man In The Middle) 和仿冒網(wǎng)關(guān)兩種類型：中間人攻擊：按照 ARP 協(xié)議的原理，為了減少網(wǎng)絡(luò)上過多的 ARP 數(shù)據(jù)通信，一個主機(jī)，即使收到的 ARP 應(yīng)答并非自己請求得到的，它也會將其插入到自己的 ARP 緩存表中，這樣，就造成了“ ARP 欺騙”的可能。如果黑客想探聽同一網(wǎng) 絡(luò) 中兩臺主機(jī)之間的通信（即使是通過交換機(jī)相連），他會分別給這兩臺主機(jī)發(fā)送一個 ARP 應(yīng)答包，讓兩臺主機(jī)都“誤”認(rèn)為對方的 MAC 地址是第三方的黑客所在的主機(jī)， 這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在 這 種嗅探方式中，黑客所在主機(jī)是不需要 設(shè)置網(wǎng)卡的混雜模式的，因?yàn)?通信雙方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。 仿冒網(wǎng)關(guān)：攻擊者冒充網(wǎng)關(guān)發(fā)送免費(fèi) ARP，其它同一網(wǎng) 絡(luò)內(nèi)的用戶收到后，更新自己的 ARP 表項(xiàng)，后續(xù)，受攻 擊用戶發(fā)往網(wǎng)關(guān)的流量都會發(fā)往攻擊者。此攻擊導(dǎo)致用戶無法正常和網(wǎng)關(guān)通信。而攻擊者可以憑借此攻擊而獨(dú)占上行帶寬。精選資料可修改編輯在 DHCP 的網(wǎng) 絡(luò)環(huán)境中，使能 DHCP Snooping 功能，交換機(jī)會記錄用戶的 IP 和 MAC 信息，形成 IP+MAC+Port+VLAN 的綁定記錄。H3C 交 換機(jī)利用該綁定信息，可以判斷用戶發(fā)出的 ARP 報文是否合法。使能對指定 VLAN 內(nèi)所有端口的 ARP 檢測功能，即 對該 VLAN 內(nèi)端口收到的 ARP 報文的源 IP 或源 MAC 進(jìn)行檢測，只有符合綁定表項(xiàng)的 ARP 報文才允許轉(zhuǎn)發(fā)；如果端口接收的 ARP 報文的源 IP 或源 MAC 不在 DHCP Snooping 動態(tài)表項(xiàng)或 DHCP Snooping 靜態(tài) 表項(xiàng)中， 則 ARP 報文被丟棄。這樣就有效的防止了非法用 戶的 ARP 攻擊。本次方案設(shè)計的華三核心設(shè)備都是支持專業(yè)的安全板卡，可以在保護(hù)用戶投資的情況下，增加這些板卡讓網(wǎng)絡(luò)具有更高的安全性。如果硬件安全板卡的性能不能滿足流量的要求的時候，可以通過增加多個板卡起到動態(tài)擴(kuò)容， 負(fù)載 分擔(dān)的作用。精選資料可修改編輯4 網(wǎng)絡(luò)平臺 QOS 保障 QoS 及其功能在傳統(tǒng)的 IP 網(wǎng)絡(luò)中，所有的報文都被無區(qū)別的等同對待，每個路由器對所有的報文均采用先入先出 FIFO 的策略進(jìn)行處理，它盡最大的努力 BestEffort 將報文送到目的地，但對報 文傳送的可靠性、 傳送延 遲等性能不提供任何保證。網(wǎng)絡(luò)發(fā)展日新月異，隨著 IP 網(wǎng)絡(luò)上新應(yīng)用的不斷出現(xiàn)，對 IP 網(wǎng)絡(luò)的服務(wù)質(zhì)量也提出了新的要求，例如 IP 監(jiān)控等實(shí)時業(yè)務(wù)就對報文的傳輸延遲提出了較高要求，如果報文傳送延時太 長，將是用 戶所不能接受的（相對而言 EMail 和 FTP業(yè)務(wù)對時間延遲并不敏感）。 為了支持具有不同服務(wù)需求的監(jiān)控、視頻以及數(shù)據(jù)等業(yè)務(wù)，要求網(wǎng)絡(luò)能夠區(qū)分出不同的通信進(jìn)而為之提供相應(yīng)的服務(wù)傳統(tǒng) IP 網(wǎng)絡(luò)的盡力服務(wù)不可能識別和區(qū)分出網(wǎng)絡(luò)中的各種通信類別而具備通信類別的區(qū)分能力正是為不同的通信提供不同服務(wù)的前提所以說傳統(tǒng)網(wǎng)絡(luò)的盡力服務(wù)模式已不能滿足應(yīng)用的需要 QoS。Quality of Service 服務(wù)質(zhì)量技術(shù)的出現(xiàn)便致力于解決這個問題。QoS 旨在針對各種應(yīng)用的不同需求為其提供不同的服務(wù)質(zhì)量例如提供專用帶寬減少報文丟失率降低報文傳送時延及時延抖動等為實(shí)現(xiàn)上述目的 QoS 提供了下述功能：? 報文分類和著色? 網(wǎng)絡(luò)擁塞管理精選資料可修改編輯? 網(wǎng)絡(luò)擁塞避免? 流量監(jiān)管和流量整形如果隨著電子政務(wù)網(wǎng)絡(luò)的擴(kuò)展出現(xiàn)擁塞，可采用的 QOS 技術(shù)有：IP 優(yōu)先級分類、CAR 、WRED、WFQ、CBWFQ、ATM COS 等。QOS 是一個需要消耗很多處理器資源的應(yīng)用， 為了達(dá)到全網(wǎng)最好的使用效率，建議 無論是采用 VLAN+ACL 方案，還是采用 MPLS BGP VPN 方案，建議均采用 DiffServ 機(jī)制。在充分計算了各類業(yè)務(wù)流量的前提下，在接入路由器上采用 CAR 技術(shù)對各類業(yè)務(wù)流做流量限定、設(shè)定 IP 優(yōu)先級；在路由器廣域網(wǎng)接口上采用 CBWFQ 技術(shù)為每一類業(yè)務(wù)提供確定帶寬；通過上述技術(shù)可實(shí)現(xiàn) QoS。 電子政務(wù)網(wǎng)絡(luò) QOS 設(shè)計原則建議 QoS 設(shè)計符合下面的原則:? 差異性:為不同的業(yè)務(wù)提供不同的 QoS 保證；? 可管理:靈活的帶寬控制策略；? 經(jīng)濟(jì)性:有效利用網(wǎng)絡(luò)資源，包括 帶寬、VLAN、端口等；? 高可用性:設(shè)計備份路徑，采用具 備熱備份、熱插拔能力的設(shè)備，并 對關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行冗余備份；? 可擴(kuò)展性:采用能夠在帶寬、 業(yè)務(wù)種類增加時平滑擴(kuò)容、升級的設(shè)備。精選資料可修改編輯 體系結(jié)構(gòu)的選擇為了在 IP 網(wǎng)絡(luò)上提供 QoS，IETF 提出了許多服務(wù) 模型和協(xié)議，其中比 較突出的有 IntServ (Integrated Services)模型和 DiffServ (Differentiated Services)模型。 IntServ 模型要求網(wǎng) 絡(luò)中的所有 節(jié)點(diǎn)(包括核心節(jié)點(diǎn) )都記錄每個經(jīng)過的應(yīng)用流的資源預(yù)留狀態(tài)，需要通 過 IP 包頭識別出所有的用戶應(yīng)用流(進(jìn)行 MF 分類)，同時為每個經(jīng)過的應(yīng)用流設(shè)置單獨(dú)的內(nèi)部隊(duì)列以分別進(jìn)行監(jiān)管(Policing)、 調(diào)度(Scheduling)、整形(Shaping)等操作。對于現(xiàn)在大型運(yùn)營網(wǎng)絡(luò)中的節(jié)點(diǎn)，這種應(yīng)用流(活動 的) 的數(shù)量非常 龐大，會遠(yuǎn)遠(yuǎn)超出節(jié)點(diǎn)設(shè)備所能夠處理的能力，而且可擴(kuò)展性差，僅適合在小規(guī)模網(wǎng) 絡(luò)中使用。 DiffServ 模型的基本原理是將網(wǎng)絡(luò)中的流量分成多個類，每個類接受不同的處理，尤其是網(wǎng)絡(luò)出現(xiàn)擁塞 時不同的類會享受不同的優(yōu)先處理，從而得到不同的丟棄率、 時延以及時延抖動 。在 DiffServ 的體系結(jié)構(gòu)下，IETF 已經(jīng)定義了EF(Expedite Forwarding)、AF1AF4(Assured Forwarding)、BE(Best Effort)等六種標(biāo)準(zhǔn) PHB(Perhop Behavior)及業(yè)務(wù)。此外，有些廠商實(shí)現(xiàn)了基于 TOS 的分類服務(wù)(COS)，并且這類設(shè)備已經(jīng)應(yīng)用在一些現(xiàn)有的運(yùn)營網(wǎng)絡(luò)。COS 和 DiffServ 類似，不過比 DiffServ 更簡單，并且不象 DiffServ 那樣定義了一 組標(biāo)準(zhǔn)的業(yè)務(wù)。DiffServ 對聚合的業(yè)務(wù)類提供 QoS 保證，可擴(kuò)展性好，便于在大規(guī)模網(wǎng)絡(luò)中使用。本次工程推薦使用 DeffServ 機(jī)制實(shí)現(xiàn) QOS。DiffServ 域?qū)⒃O(shè)備分為兩類，邊緣設(shè)備和核心設(shè)備，其中邊緣設(shè)備承擔(dān)了較多的工作，如流分類、標(biāo)記、 帶寬限制、 擁塞管理、擁塞避免、流量整形等。如果精選資料可修改編輯由單一設(shè)備全部處理，開銷較大，容易形成網(wǎng) 絡(luò)瓶頸，因此需要將 這些功能分布到不同的設(shè)備上去，如流分類功盡量在邊緣實(shí)現(xiàn)。在現(xiàn)有網(wǎng)絡(luò)中，建 議在 Access Network 中進(jìn)行流分類，并通過 VLAN、 等進(jìn)行標(biāo)記，在 POP 點(diǎn)進(jìn)行帶寬限制(CAR)和擁塞避免(RED)，在所有 節(jié)點(diǎn)上基于優(yōu)先級采用優(yōu)先級隊(duì)列調(diào)度，實(shí)現(xiàn)擁塞管理。如果在整個 Access Network 中，通過在業(yè)務(wù)流經(jīng)的所有二、三層設(shè)備上部署 CAR、隊(duì)列機(jī)制，這樣能夠基于 VLAN、 等信息保證每個用戶，每個業(yè)務(wù)的帶寬， 實(shí)際上就實(shí)現(xiàn)了一種類似 IntServ 的機(jī)制，只不過這時源還是用戶，而目的不是遠(yuǎn)程用戶，而是 POP 點(diǎn)(干線節(jié)點(diǎn)及邊沿節(jié)點(diǎn))。在 POP 點(diǎn)和骨干網(wǎng)中根據(jù)/ 繼承 標(biāo)記進(jìn)行 DiffServ 處理，可以看作是 IntServ 同 DiffServ 的一種結(jié)合。 這種機(jī)制為用戶提供了虛擬專線，其 QoS 可同真正的專線相媲美。 H3C 路由器 DiffServ 模型H3C 路由器提供基于 DiffServ 的 QOS 模型如下圖所示:接 收 報