【文章內(nèi)容簡介】 MC 上配置一個網(wǎng)絡用戶行為審計組件 UBAS，和一個能生成七層日志的 DIG探針。11) 建議在外網(wǎng)上部署一套無線系統(tǒng)，無線平臺將依托電子政務外網(wǎng)平臺，采用集中控制、分布式部署的模式來建設。在電子政務外網(wǎng)上擴展無線插卡來實現(xiàn)對于全網(wǎng)無線系統(tǒng)的統(tǒng)一管理和配置，對前端的無線 AP 進行統(tǒng)一的配置管理及 認證管理。由于外網(wǎng)接入 層設備能夠支持較好的 POE 功能，所以在無線網(wǎng)絡部署時，不需要考慮其電源位置，使無線 AP能夠更加靈活的部署。精選資料可修改編輯 電子政務安全解決方案網(wǎng)絡安全問題已成為信息時代企業(yè)和個人共同面臨的挑戰(zhàn)，電子政務網(wǎng)絡安全狀態(tài)也很嚴峻?，F(xiàn) 在計算機系統(tǒng)受病毒感染和破壞的情況相當嚴重，電腦黑客活動已形成重要威脅，信息基礎設施面臨網(wǎng)絡安全的挑戰(zhàn)，信息系統(tǒng)在預測、反應、防范和恢復能力方面存在 許多薄弱環(huán)節(jié)。本次方案設計的 H3C 的網(wǎng)絡設備提供很高的安全性，通過這些安全特性可用構成一個安全的網(wǎng)絡環(huán)境。（1）端口＋IP＋MAC 地址的 綁定用戶上網(wǎng)的安全性非常重要，端口+IP+MAC 地址的綁定關系，H3C 交換機可以支持基精選資料可修改編輯于 MAC 地址的 認證，整機最多支持 1K 個下掛用戶的認證。MAC 地址的綁定可以直接實現(xiàn)用戶對于邊緣用戶的管理，提高整個網(wǎng)絡的安全性、可維護性。如：每個用 戶分配一個端口，并與該用戶主機的 MAC、IP、VLAN 等進行綁定，當用戶通過 客戶端認證通過以后用戶便可以實現(xiàn) MAC 地址＋端口＋IP＋用戶 ID 的綁定，這種方式具有很強的安全特性：防 的攻擊，防止用戶的 MAC 地址的欺騙，對于更改 MAC 地址的用戶（MAC 地址欺騙的用戶）可以實現(xiàn)強制下線。（2）接入層防 Proxy 的功能考慮到政府系統(tǒng)用戶的技術性較強，在實際的應用的過程當中應當充分考慮到 Proxy 的使用，對 于 Proxy 的防止，H3C 公司交換機配合 H3C 公司的 的客戶端，一旦檢測到用戶 PC 機上存在兩個活動 的 IP 地址（不論是單網(wǎng)卡 還是雙網(wǎng)卡），H3C 系列交換機將會下發(fā)指令將該用戶直接踢下線。（3）MAC 地址盜用的防止在網(wǎng)絡的應用當中 IP 地址的盜用是最為經(jīng)常的一種非法手段，用戶在認證通過以后將自己的 MAC 地址 進行修改，然后在 進行一些非法操作，網(wǎng)絡設計當中我們針對該問題，在接入層交換機上提供防止 MAC 地址盜用的功能，用 戶 在更改 MAC 地址后，交 換機對于與綁定MAC 地址不相符的用戶直接將下線，其下 線功能是由接入系列交 換機來實現(xiàn)的。（4）防止對 DHCP 服務器的攻 擊使用 DHCP Server 動態(tài)分配 IP 地址會存在兩個問題：一是 DHCP Server 假冒，用戶將自己的計算機設置成 DHCP Server 后會與局方的 DHCP Server 沖突；二是用戶 DHCP Smurf，用戶使用軟件變換自己的 MAC 地址，大量申 請 IP 地址，很快將 DHCP 的地址池耗光。H3C 交換機可以支持多種禁止私設 DHCP Server 的方法。精選資料可修改編輯（5）Private VLAN解決這個問題的方法之一是在桌面交換機上啟用 Private VLAN 的功能。但在很多環(huán)境中這個功能的使用存在局限，或者不會為了私設 DHCP 服務器的緣故去改造網(wǎng)絡。（6）訪問控制列表對于有三層功能的交換機，可以用訪問列表來實現(xiàn)。就是定義一個訪問列表，該訪問列表禁止 source port 為 67 而 destination port 為 68 的UDP 報文通過 。之后把這 個訪問列表應用到各個物理端口上。當然往端口一個個去添加訪問控制組比較麻煩，可以結合 interface range 命令來減少命令的輸入量。新的命令因為它的全局意義，也為了突出該安全功能，建 議有如下單條命令的配置：service dhcpoffer deny [exclude interface interfacetype interfacenumber ][ interface interfacetype interfacenumbert | none]如果輸入不帶選項的命令 no dhcpoffer，那么整臺交換機上連接的 DHCP 服務器都不能提供 DHCP 服 務。exclude interface interfacetype interfacenumber ：是指合法 DHCP 服務器或者 DHCP relay所在的物理端口。除了該指定的物理端口以外，交換 機會丟棄其他物理端口的 in 方向的DHCP OFFER 報文。interface interfacetype interfacenumbert | none：當明確知道私設 DHCP 服務器是在哪個物理端口上的時候，就可以選 用這個選項。當然如果 該 物理端口下面僅僅下聯(lián)該私設 DHCP 服務器，那么可以直接 disable 該端口。該選項用于私 設 DHCP 服務器和其他的合法主機一起通過一臺不可網(wǎng)管的或不支持關閉 DHCP Offer 功能的交 換機上聯(lián)的情況。選擇 none 就是放開精選資料可修改編輯對 dhcpoffer 的控制。（7）防止 ARP 的攻擊隨著網(wǎng)絡規(guī)模的擴大和用戶數(shù)目的增多，網(wǎng)絡安全和管理越發(fā)顯出它的重要性。由于現(xiàn)在用戶具有很強的專業(yè)背景，致使網(wǎng)絡黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問題屢見不鮮。因此， ARP 攻擊、地址仿冒、MAC 地址攻擊、DHCP 攻擊等問題不僅令網(wǎng)絡中心的管理人員頭痛不已，也對網(wǎng)絡 的接入安全提出了新的挑戰(zhàn)。ARP 攻擊包括中間人攻擊(Man In The Middle) 和仿冒網(wǎng)關兩種類型：中間人攻擊：按照 ARP 協(xié)議的原理，為了減少網(wǎng)絡上過多的 ARP 數(shù)據(jù)通信，一個主機，即使收到的 ARP 應答并非自己請求得到的，它也會將其插入到自己的 ARP 緩存表中，這樣，就造成了“ ARP 欺騙”的可能。如果黑客想探聽同一網(wǎng) 絡 中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個 ARP 應答包，讓兩臺主機都“誤”認為對方的 MAC 地址是第三方的黑客所在的主機， 這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉發(fā)工作即可。在 這 種嗅探方式中，黑客所在主機是不需要 設置網(wǎng)卡的混雜模式的，因為 通信雙方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉主機的。 仿冒網(wǎng)關：攻擊者冒充網(wǎng)關發(fā)送免費 ARP，其它同一網(wǎng) 絡內(nèi)的用戶收到后，更新自己的 ARP 表項，后續(xù)，受攻 擊用戶發(fā)往網(wǎng)關的流量都會發(fā)往攻擊者。此攻擊導致用戶無法正常和網(wǎng)關通信。而攻擊者可以憑借此攻擊而獨占上行帶寬。精選資料可修改編輯在 DHCP 的網(wǎng) 絡環(huán)境中，使能 DHCP Snooping 功能，交換機會記錄用戶的 IP 和 MAC 信息，形成 IP+MAC+Port+VLAN 的綁定記錄。H3C 交 換機利用該綁定信息，可以判斷用戶發(fā)出的 ARP 報文是否合法。使能對指定 VLAN 內(nèi)所有端口的 ARP 檢測功能，即 對該 VLAN 內(nèi)端口收到的 ARP 報文的源 IP 或源 MAC 進行檢測，只有符合綁定表項的 ARP 報文才允許轉發(fā)；如果端口接收的 ARP 報文的源 IP 或源 MAC 不在 DHCP Snooping 動態(tài)表項或 DHCP Snooping 靜態(tài) 表項中， 則 ARP 報文被丟棄。這樣就有效的防止了非法用 戶的 ARP 攻擊。本次方案設計的華三核心設備都是支持專業(yè)的安全板卡，可以在保護用戶投資的情況下，增加這些板卡讓網(wǎng)絡具有更高的安全性。如果硬件安全板卡的性能不能滿足流量的要求的時候，可以通過增加多個板卡起到動態(tài)擴容， 負載 分擔的作用。精選資料可修改編輯4 網(wǎng)絡平臺 QOS 保障 QoS 及其功能在傳統(tǒng)的 IP 網(wǎng)絡中，所有的報文都被無區(qū)別的等同對待，每個路由器對所有的報文均采用先入先出 FIFO 的策略進行處理，它盡最大的努力 BestEffort 將報文送到目的地，但對報 文傳送的可靠性、 傳送延 遲等性能不提供任何保證。網(wǎng)絡發(fā)展日新月異，隨著 IP 網(wǎng)絡上新應用的不斷出現(xiàn)，對 IP 網(wǎng)絡的服務質量也提出了新的要求，例如 IP 監(jiān)控等實時業(yè)務就對報文的傳輸延遲提出了較高要求，如果報文傳送延時太 長，將是用 戶所不能接受的（相對而言 EMail 和 FTP業(yè)務對時間延遲并不敏感）。 為了支持具有不同服務需求的監(jiān)控、視頻以及數(shù)據(jù)等業(yè)務，要求網(wǎng)絡能夠區(qū)分出不同的通信進而為之提供相應的服務傳統(tǒng) IP 網(wǎng)絡的盡力服務不可能識別和區(qū)分出網(wǎng)絡中的各種通信類別而具備通信類別的區(qū)分能力正是為不同的通信提供不同服務的前提所以說傳統(tǒng)網(wǎng)絡的盡力服務模式已不能滿足應用的需要 QoS。Quality of Service 服務質量技術的出現(xiàn)便致力于解決這個問題。QoS 旨在針對各種應用的不同需求為其提供不同的服務質量例如提供專用帶寬減少報文丟失率降低報文傳送時延及時延抖動等為實現(xiàn)上述目的 QoS 提供了下述功能：? 報文分類和著色? 網(wǎng)絡擁塞管理精選資料可修改編輯? 網(wǎng)絡擁塞避免? 流量監(jiān)管和流量整形如果隨著電子政務網(wǎng)絡的擴展出現(xiàn)擁塞，可采用的 QOS 技術有：IP 優(yōu)先級分類、CAR 、WRED、WFQ、CBWFQ、ATM COS 等。QOS 是一個需要消耗很多處理器資源的應用， 為了達到全網(wǎng)最好的使用效率，建議 無論是采用 VLAN+ACL 方案，還是采用 MPLS BGP VPN 方案，建議均采用 DiffServ 機制。在充分計算了各類業(yè)務流量的前提下，在接入路由器上采用 CAR 技術對各類業(yè)務流做流量限定、設定 IP 優(yōu)先級；在路由器廣域網(wǎng)接口上采用 CBWFQ 技術為每一類業(yè)務提供確定帶寬；通過上述技術可實現(xiàn) QoS。 電子政務網(wǎng)絡 QOS 設計原則建議 QoS 設計符合下面的原則:? 差異性:為不同的業(yè)務提供不同的 QoS 保證；? 可管理:靈活的帶寬控制策略；? 經(jīng)濟性:有效利用網(wǎng)絡資源，包括 帶寬、VLAN、端口等；? 高可用性:設計備份路徑，采用具 備熱備份、熱插拔能力的設備，并 對關鍵的網(wǎng)絡節(jié)點進行冗余備份；? 可擴展性:采用能夠在帶寬、 業(yè)務種類增加時平滑擴容、升級的設備。精選資料可修改編輯 體系結構的選擇為了在 IP 網(wǎng)絡上提供 QoS，IETF 提出了許多服務 模型和協(xié)議，其中比 較突出的有 IntServ (Integrated Services)模型和 DiffServ (Differentiated Services)模型。 IntServ 模型要求網(wǎng) 絡中的所有 節(jié)點(包括核心節(jié)點 )都記錄每個經(jīng)過的應用流的資源預留狀態(tài)，需要通 過 IP 包頭識別出所有的用戶應用流(進行 MF 分類)，同時為每個經(jīng)過的應用流設置單獨的內(nèi)部隊列以分別進行監(jiān)管(Policing)、 調(diào)度(Scheduling)、整形(Shaping)等操作。對于現(xiàn)在大型運營網(wǎng)絡中的節(jié)點，這種應用流(活動 的) 的數(shù)量非常 龐大，會遠遠超出節(jié)點設備所能夠處理的能力，而且可擴展性差，僅適合在小規(guī)模網(wǎng) 絡中使用。 DiffServ 模型的基本原理是將網(wǎng)絡中的流量分成多個類，每個類接受不同的處理，尤其是網(wǎng)絡出現(xiàn)擁塞 時不同的類會享受不同的優(yōu)先處理，從而得到不同的丟棄率、 時延以及時延抖動 。在 DiffServ 的體系結構下，IETF 已經(jīng)定義了EF(Expedite Forwarding)、AF1AF4(Assured Forwarding)、BE(Best Effort)等六種標準 PHB(Perhop Behavior)及業(yè)務。此外，有些廠商實現(xiàn)了基于 TOS 的分類服務(COS)，并且這類設備已經(jīng)應用在一些現(xiàn)有的運營網(wǎng)絡。COS 和 DiffServ 類似，不過比 DiffServ 更簡單，并且不象 DiffServ 那樣定義了一 組標準的業(yè)務。DiffServ 對聚合的業(yè)務類提供 QoS 保證，可擴展性好，便于在大規(guī)模網(wǎng)絡中使用。本次工程推薦使用 DeffServ 機制實現(xiàn) QOS。DiffServ 域將設備分為兩類，邊緣設備和核心設備，其中邊緣設備承擔了較多的工作，如流分類、標記、 帶寬限制、 擁塞管理、擁塞避免、流量整形等。如果精選資料可修改編輯由單一設備全部處理，開銷較大，容易形成網(wǎng) 絡瓶頸，因此需要將 這些功能分布到不同的設備上去，如流分類功盡量在邊緣實現(xiàn)。在現(xiàn)有網(wǎng)絡中，建 議在 Access Network 中進行流分類，并通過 VLAN、 等進行標記，在 POP 點進行帶寬限制(CAR)和擁塞避免(RED)，在所有 節(jié)點上基于優(yōu)先級采用優(yōu)先級隊列調(diào)度，實現(xiàn)擁塞管理。如果在整個 Access Network 中，通過在業(yè)務流經(jīng)的所有二、三層設備上部署 CAR、隊列機制，這樣能夠基于 VLAN、 等信息保證每個用戶，每個業(yè)務的帶寬， 實際上就實現(xiàn)了一種類似 IntServ 的機制，只不過這時源還是用戶，而目的不是遠程用戶，而是 POP 點(干線節(jié)點及邊沿節(jié)點)。在 POP 點和骨干網(wǎng)中根據(jù)/ 繼承 標記進行 DiffServ 處理，可以看作是 IntServ 同 DiffServ 的一種結合。 這種機制為用戶提供了虛擬專線，其 QoS 可同真正的專線相媲美。 H3C 路由器 DiffServ 模型H3C 路由器提供基于 DiffServ 的 QOS 模型如下圖所示:接 收 報