【文章內(nèi)容簡介】 際原則：企業(yè)應(yīng)考慮清楚自己信息系統(tǒng)最大的安全威脅來自何處，信息系統(tǒng)中最有價值的是什么，信息系統(tǒng)造成的哪些損失是自己無法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應(yīng)對主要的安全威脅，將可能的損失減小到可以接受的范圍之內(nèi)。不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。目前中國許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設(shè)）完成之后才考慮信息安全，即所謂的“打安全補丁”。這種“補丁”做法往往會給信息安全產(chǎn)品的選型帶來很多困難，因為很多時候，信息安全與系統(tǒng)的使用便利性和效率往往是一對矛盾。企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評估系統(tǒng)的服務(wù)品質(zhì)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對信息安全產(chǎn)品進(jìn)行選型。安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理 。 網(wǎng)絡(luò)常用技術(shù)介紹HSRP 協(xié)議 我們使用HSRP來實現(xiàn)對故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺路由器，它們組成一個或多個“熱備份組”。這每一個熱備份組中的所有路由器共享一個虛擬IP與MAC。在任一時刻，這個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器（需配置端口搶占）來替代活動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機看來，本機的網(wǎng)關(guān)仍然沒有down掉。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。由于每一個熱備份組中的活動路由器可以不集中在一個路由器上（可通過優(yōu)先級配置），因此HSRP能夠較好的實現(xiàn)負(fù)載均衡。 ，hello消息在配置hsrp組的鏈路上交換缺省條件下，路由器每3秒發(fā)送一個hello消息。如果活躍的激活路由器在保持時間（缺省條件為10秒）的可配置時間段內(nèi)無法發(fā)送hello，擁有最高優(yōu)先級的備份路由器將被激活，開始接收發(fā)網(wǎng)組MAC地址的包。OSPF協(xié)議 OSPF（中文名開放最短路徑優(yōu)先協(xié)議）協(xié)議是典型的鏈路狀態(tài)路由協(xié)議，每個路由器都有和本區(qū)域內(nèi)其它路由器相同的鏈路狀態(tài)數(shù)據(jù)庫，而后路由器根據(jù)SPF算法計算出到達(dá)目的地的最短路徑，其寫入路由表。 OSPF工作原理是：通過hello報文發(fā)現(xiàn)鄰居，在通過LSA的泛洪形成相同的鏈路狀態(tài)數(shù)據(jù)庫，最后通過SPF算法計算出到達(dá)目的地的最短路徑，將其寫入路由表。 OSPF協(xié)議的借口狀態(tài)有五種：down、init、twoway、exstart、exchange、loading、full五種狀態(tài)。Down狀態(tài)沒有收到hello包；init狀態(tài)是指收到hello包；twoway狀態(tài)雙方都收到對方的hello包；exstart狀態(tài)通過路由器優(yōu)先級選出DR、BDR；loading狀態(tài)雙方互發(fā)LSA、LSU；full狀態(tài)雙方真正的建立鄰居關(guān)系。 啟用OSPF路由協(xié)議的路由器中都會有一個鏈路狀態(tài)數(shù)據(jù)庫，它保存著7中類型的LSA，其中前五種類型用于相同AS之間的路由通信，后兩種用于外部。路由LSA：它是由非DR、BDR。網(wǎng)絡(luò)LSA：它是有DR、BDR的路由器。網(wǎng)絡(luò)匯總LSA：它是由ABR始發(fā)通告其它區(qū)域的LSA給 0 區(qū)域。ASBR匯總LSA：它是由ABR始發(fā)通告ASBR的位置。自治域系統(tǒng)LSA：它是由ASBR始發(fā)，向area 0 通告不同AS之間的路由信息。7：類型 7的LSA：它是由特殊區(qū)域產(chǎn)生的LSA。 對于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，OSPF可以將網(wǎng)絡(luò)劃分不同的區(qū)域，防止網(wǎng)絡(luò)中大量的LSA防洪影響網(wǎng)絡(luò)的運行速度。為減少路由表提高網(wǎng)絡(luò)的查詢速度，OSPF定義了末梢區(qū)域、完全末梢區(qū)域、次末節(jié)區(qū)域、完全次末節(jié)區(qū)域等。VLAN 技術(shù)Vlan（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。IEEE 于1999 年頒布了用以標(biāo)準(zhǔn)化VLAN 協(xié)議標(biāo)準(zhǔn)草案。VLAN 技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN 邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN 都包含一組有著相同需求的計算機工作站，與物理上形成的LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN 內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。Trunk 技術(shù) 一般的交換機端口只能屬于一個VLAN，對于多個VLAN 需要跨過多臺交換機，就需要用到Trunk 技術(shù)，它的作用是承載不同的VLAN信息。Trunk 是指交換機之間或交換機與路由器之間VLAN 之間的連接，VLAN 信息通過Trunk 在交換機之間或路由器之間傳遞，從而可以將VLAN 跨越整個網(wǎng)絡(luò)，而不僅僅是局限在一臺交換機上。Cisco 、ISL 兩種trunk封裝技術(shù)。其中IEEE 是業(yè)界的標(biāo)準(zhǔn)協(xié)議，而ISL 是CISCO 專有的協(xié)議，用于在一條鏈路上封裝多個VLAN 的信息。ISL 技術(shù)得到了Intel 等廠商的大力支持，TagSwitching 被3Com 及Lucent Cajun 支持。對于CISCO 交換機的Trunk 端口， 或ISL，也可以通過DTP 協(xié)議（Dynamic Trunking Protocol）自動協(xié)商。DTP 協(xié)議主要用于處理Trunk 和ISL 封裝協(xié)議的自動協(xié)商，對于不同廠家的交換機互連時很有幫助。 對Trunk 的定義只能在快速以太網(wǎng)端口和千兆以太網(wǎng)端口上進(jìn)行，它既可以是單個的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道（FEC）或千兆以太網(wǎng)通道（GEC）。雖然我們采用的是思科交換機，但是最為一個標(biāo)準(zhǔn)的、開放、先進(jìn)的網(wǎng)絡(luò)系統(tǒng)， 標(biāo)準(zhǔn)協(xié)議。SpanningTree協(xié)議 在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實現(xiàn)冗余和負(fù)載的均衡，通常會有多條鏈路的連接，這樣就會引入環(huán)路。為了解決這個矛盾，推出了STP 協(xié)議。STP 算法會將網(wǎng)絡(luò)中的連接生成一個樹，通過特定的算法自動將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時候都不會出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP 算法會自動地重新計算新的連接關(guān)系，重新選出新的活動的連接。STP 算法會造成網(wǎng)絡(luò)的暫時的不穩(wěn)定狀態(tài)，該轉(zhuǎn)換時間在30秒之內(nèi)，亦即在30 秒之內(nèi)網(wǎng)絡(luò)會重新恢復(fù)到穩(wěn)定狀態(tài)。STP 對于終端是透明的，終端感覺不到STP 的操作過程。在交換機上可以通過修改端口的優(yōu)先級來改變連接的優(yōu)先權(quán)，使得STP 算法將高優(yōu)先權(quán)的連接作為活動連接，例如：兩個交換機之間有兩條鏈路連接，一條是光纖連接，另一條是雙絞線連接，由于光纖連接明顯要比雙絞線連接更穩(wěn)定、更可靠，我們可以將交換機上的光纖端口的優(yōu)先權(quán)設(shè)定成比雙絞線端口更高的優(yōu)先權(quán)，這樣STP 算法就會將光纖連接作為活動連接，而將雙絞線連接阻塞。Cisco 交換機的一個非常有用的特性就是可以對每個VLAN 設(shè)置Spanning Tree ,而不是對整個網(wǎng)絡(luò)只能屬于一個SpanningTree。這個特征是很多廠商的設(shè)備所不具備的。在交換機上對端口的優(yōu)先權(quán)的設(shè)置可以基于VLAN 進(jìn)行，每個端口對于不同的VLAN 設(shè)置不同的優(yōu)先權(quán)。對于指定的VLAN，具有該VLAN 最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該VLAN的信息，其它VLAN 的信息則阻塞。通過這種方法，在具有冗余連接的交換機端口上分別針對不同的VLAN 設(shè)置不同的優(yōu)先權(quán)，既可以實現(xiàn)鏈路的冗余，又可以實現(xiàn)負(fù)載的均衡。 CISCO 交換機端口支持每VLAN 的生成樹協(xié)議，每個端口都可設(shè)置基于VLAN 的Cost 或Priority 參數(shù)，從而實現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持STP 協(xié)議，但是不允許多個STP 域。采用多個STP 域顯然可以獲得比單個域高的網(wǎng)絡(luò)可靠性。DHCP協(xié)議 動態(tài)主機分配協(xié)議（Dynamic Host Configuration Protocol, DHCP）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要作用：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址、子網(wǎng)掩碼、DNS、網(wǎng)關(guān)，減少網(wǎng)絡(luò)管理員的配置負(fù)擔(dān)。DHCP工作原理：DHCP客戶端首次正確登錄網(wǎng)絡(luò)后，以后再登錄網(wǎng)絡(luò)時，只需要廣播包含上次分配ip地址的DHCP_request報文即可，不需要再次發(fā)送DHCP_discover報文。DHCP服務(wù)器收到DHCP_request報文后，如果客戶端申請的地址沒有被分配，則返回DHCP_ack確認(rèn)報文，通知該DHCP客戶端繼續(xù)使用原來的ip地址。 如果此ip地址無法再分配給該DHCP客戶端使用（例如已分配給其它客戶端），DHCP服務(wù)器將返回DHCP_nak報文。客戶端收到后，重新發(fā)DHCP_discover報文請求新的ip地址。DHCP服務(wù)器分配給客戶端的動態(tài)ip地址通常有一定的租借期限，期滿后服務(wù)器會收回該ip地址。如果DHCP客戶端希望繼續(xù)使用該地址，需要更新ip租約（如延長ip地址租約）。實際使用中，在DHCP客戶端啟動或ip地址租約期限達(dá)到一半時，DHCP客戶端會自動向DHCP服務(wù)器發(fā)送DHCP_request報文，以完成ip租約的更新。如果此ip地址有效，則DHCP服務(wù)器回應(yīng)DHCP_ack報文，通知DHCP客戶端已經(jīng)獲得新ip租約。 動態(tài)分配指的是：當(dāng) DHCP 第一次從 DHCP 服務(wù)器端租用到 IP 地址之后，并非永久的使用該地址，只要租約到期，客戶端就得釋放(release)這個 IP 地址，以給其它工作站使用。當(dāng)然，客戶端可以比其它主機更優(yōu)先的更新(renew)租約，或是租用其它的 IP 地址。這樣在一定的程度上可以減少IP地址的浪費問題。在貴公司的網(wǎng)絡(luò)運行DHCP我們建議在路由器或其它服務(wù)器上附加DHCP功能（這就需要做DHCP轉(zhuǎn)發(fā)器），這樣可以降低構(gòu)建成本（如果設(shè)置一臺DHCP服務(wù)器成本太高）。第6章 產(chǎn)品簡介 PIX 525防火墻 PIX 525是Cisco的硬件防火墻，硬件防火墻有工作速度快，使用方便等特點。 PIX 525有很多型號，并發(fā)連接數(shù)是PIX防火墻的重要參數(shù)。 Cisco Secure PIX 525防火墻是世界領(lǐng)先的Cisco Secure PIX防火墻系列的組成部分，能夠為當(dāng)今的網(wǎng)絡(luò)客戶提供無與倫比的安全性、可靠性和性能。它所提供的完全防火墻保護以及IP安全（IPsec）虛擬專網(wǎng)（VPN）能力使特別適合于保護企業(yè)總部的邊界。 防火墻是網(wǎng)絡(luò)安全的屏障。 Pix 525防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。Pix 525防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。Pix 525防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。 Cisco 2800 系列集成多業(yè)務(wù)路由器 思科系統(tǒng)公司推出了一個全新的集成多業(yè)務(wù)路由器系列，它進(jìn)174。行了專門的優(yōu)化，可安全、線速地同時提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化Cisco2800 系列集成多業(yè)務(wù)路由器. 建立在思科20 年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。Cisco 2800 系列的獨特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護。 Cisco 2800 系列由四個新平臺組成：Cisco 280Cisco 281Cisco2821 和Cisco 2851。與相似價位的前幾代思科路由器相比，Cisco2800 系列的性能提高了五倍、安全性和話音性能提高了十倍、具有全新內(nèi)嵌服務(wù)選項，且大大提高了插槽性能和密度，同時保持了對目前Cisco 1700 系列和Cisco 2600 系列中現(xiàn)有90 多種模塊中大多數(shù)模塊的支持，從而提供了極大的性能優(yōu)勢。 Cisco 2800 系列能以線速為多條T1/E1/xDSL 連接提供多種高質(zhì)量并發(fā)服務(wù)。這些路由器提供了內(nèi)嵌加密加速和主板話音數(shù)字信號處理器（DSP）插槽；入侵保護和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡(luò)擴展和高級應(yīng)用。 Cisco Catalyst 3560 系列集成交換機 思科新推出的Cisco Catalyst 3560 系列交換機是一個創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作效率。這個新的產(chǎn)品系列采用了最新的思科StackWise 技術(shù)，不但實現(xiàn)高達(dá)32Gbps 的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng)就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。 中型組織和企業(yè)分支機構(gòu)而言，Cisco Catalyst 3560 系列可以通過提供配置靈活性，支持融合網(wǎng)絡(luò)模式，已經(jīng)自動配置智能化網(wǎng)絡(luò)服務(wù)，降低融合應(yīng)用的部署難度，適應(yīng)不斷變化的業(yè)務(wù)需求。此外，Cisco Catalyst 3750 系列針對高密度千兆位以太網(wǎng)部署進(jìn)行了專門的優(yōu)化，其中包含多種可以滿足接入、匯聚或者小型網(wǎng)絡(luò)骨干網(wǎng)連接需求的交換機。 Cisco Catalyst 3560 系列可以使用標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強多層軟件鏡像（EMI）。SMI 功能集包括先進(jìn)的服務(wù)質(zhì)量（QoS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組更加豐富的企業(yè)級功能，包括先進(jìn)的、基于硬件的IP 單播和組播路由。思科StackWise 技術(shù)是一種針對千兆位以太網(wǎng)優(yōu)化的、先進(jìn)的堆疊架構(gòu)。該技術(shù)的設(shè)計目的是及時地對設(shè)備添加、移除和重新部署做出反應(yīng)，同時保持穩(wěn)定的性能。利用特殊的堆疊互聯(lián)電纜和堆疊軟件，思科StackWis