【文章內(nèi)容簡介】 上前就已經(jīng)是安全可靠的；目前網(wǎng)絡(luò)終端面臨的威脅：病毒、木馬、蠕蟲；網(wǎng)絡(luò)攻擊、操作系統(tǒng)本身的漏洞等；解決問題的方法：一方面需要從網(wǎng)絡(luò)上進(jìn)行處理，如防火墻、IDS/IPS等；另一方面需要從終端入手，如：病毒防范技術(shù)、終端安全增強(qiáng)技術(shù)、終端安全接入技術(shù)等；病毒防范技術(shù)包括特征碼掃描、實(shí)時監(jiān)控技術(shù)、虛擬機(jī)技術(shù)、完整性校驗(yàn)和掃描等；終端安全增強(qiáng)技術(shù)包括網(wǎng)絡(luò)接入控制NAC、網(wǎng)絡(luò)訪問保護(hù)NAP、可信網(wǎng)絡(luò)連接TNC等；終端安全接入技術(shù)包括補(bǔ)丁管理、個人防火墻、基于行為規(guī)則的安全防范技術(shù)、虛擬機(jī)技術(shù)、登錄增強(qiáng)技術(shù)等。網(wǎng)絡(luò)設(shè)備安全網(wǎng)絡(luò)設(shè)備包括主機(jī)（服務(wù)器/工作站/PC）和網(wǎng)絡(luò)設(shè)施（交換機(jī)和路由器等)。從網(wǎng)絡(luò)設(shè)備角度來看，以下是常見的安全威脅：（1） 蠕蟲/病毒/垃圾郵件在網(wǎng)上泛濫；（2） 黑客惡意攻擊，DDOS拒絕服務(wù)攻擊；（3） 管理人員對網(wǎng)絡(luò)設(shè)備的簡單配置和隨意部署；（4） 內(nèi)部人員任意下載和拷貝；（5） 內(nèi)部人員無意或者有意的嘗試闖入敏感區(qū)域。一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、管理安全等等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實(shí)現(xiàn)的。根據(jù)企業(yè)各級內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)，本方案主要從以下幾個方面分別來闡述普遍的中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全規(guī)劃并介紹相關(guān)的安全技術(shù):控制網(wǎng)絡(luò)訪問的基本步驟之一，就是在網(wǎng)絡(luò)內(nèi)控制數(shù)據(jù)流量。而實(shí)現(xiàn)這個目標(biāo)的方法之一，就是使用訪問控制列表（ACL）。ACL不僅簡單高效，而且在所有主流Cisco產(chǎn)品上都可以使用。Cisco IOS具有限制流量流入式流出網(wǎng)絡(luò)的的功能，因?yàn)樗鼮锳CL提供了流量過濾功能。使用ACL有時也稱為過濾，這是因?yàn)锳CL可以通過放行和拒絕網(wǎng)絡(luò)訪問的方式，對流量就行控制。ACL通過放行和拒絕語句控制網(wǎng)絡(luò)訪問，以此實(shí)現(xiàn)安全策略，它是端到端安全解決方案的必要組成部分。然而，在實(shí)施公司安全策略時，除了ACL之外，諸如防火墻、加密與認(rèn)證、入侵檢測與防御解決方案等產(chǎn)品和技術(shù)也同樣必不可少。以下是實(shí)施ACL的相關(guān)準(zhǔn)則：（1） ACL可以應(yīng)用在一臺設(shè)備的多個接口上。（2） 同一個接口在同一方向上只能對同一協(xié)議使用一個訪問控制列表。這就是說可以在一個接口上應(yīng)用兩個ACL：一個出站列表，一個入站列表。（3） 設(shè)備會自頂向下一次對ACL進(jìn)行處理，因此，在選擇訪問列表的順序時一定要格外謹(jǐn)慎，最精確地條目一定要寫在前面。（4） 在配置ACL的時候，路由器會把最新輸入的ACE放在最下面。在新版IOS中，有一個ACL順序調(diào)整的功能，也就是說是用戶可以重新設(shè)置ACE條目的順序。（5） 有一個“隱式拒絕”保留給那些沒有被匹配的流量，因此，只有一條deny語句的ACL等于拒絕了所有流量。換句話說，一個ACL至少要有一條permit語句，否則所有流量就都會被阻塞。（6） 要始終遵循先創(chuàng)建ACL，再把它應(yīng)用到接口的步驟。要對ACL進(jìn)行修改或編輯時，一定要先把這個ACL從接口移除，然后進(jìn)行修改，最后再重新把它應(yīng)用到那個接口中。（7） 應(yīng)用到路由器接口的出站ACL只檢查通過路由器的流量——也就是說，它不會去檢查那些路由器自身產(chǎn)生的流量。 設(shè)備安全該部分是從設(shè)備安全策略入手，講述保護(hù)設(shè)備的普遍原則。以路由器、交換機(jī)、防火墻作為介紹的重點(diǎn)。包括如何對設(shè)備進(jìn)行訪問、如何限制對設(shè)備的訪問、如何加固安全配置、如何識別不需要的服務(wù)、如何管理設(shè)備、如何對服務(wù)進(jìn)行監(jiān)測和審計(jì)等。在對設(shè)備進(jìn)行管理時，防火墻、交換機(jī)、路由器都有著各自的特性。安全策略是由一系列的規(guī)則、慣例與流程組成，他們共同界定了如何對敏感信息進(jìn)行慣例、保護(hù)和分發(fā)。在眾多的安全策略中，有一種專為保護(hù)設(shè)備安全而建立的規(guī)則。Cisco設(shè)備如路由器、交換機(jī)、防火墻、集中器等都是網(wǎng)絡(luò)的組成部分，重點(diǎn)保護(hù)這些設(shè)備是網(wǎng)絡(luò)安全策略的重要環(huán)節(jié)。對于一個企業(yè)來言，設(shè)備安全策略是必不可少的。設(shè)備安全策略所制定的規(guī)則可以保護(hù)對設(shè)備的訪問，也就是進(jìn)行訪問控制。對于網(wǎng)絡(luò)中的所有設(shè)備，設(shè)備安全策略也規(guī)定了他們最低限度的安全配置。 設(shè)備加固是網(wǎng)絡(luò)安全最基本的組成部分，實(shí)施設(shè)備加固可以使設(shè)備拒絕非法用戶的訪問機(jī)操作行為。如果讓入侵者沒有經(jīng)過授權(quán)就獲得了訪問設(shè)備的權(quán)限，那么再采取其他安全措施就很多余了。在大多數(shù)情況下，放置設(shè)備的場所（物理位置）對入侵者來說既是第一道防線，也是最后一層屏障。物理安全讓入侵者無法在物理層面上對設(shè)備進(jìn)行訪問，即入侵者無法接觸到設(shè)備實(shí)物。因此，物理安全比網(wǎng)絡(luò)安全更加重要，可惜網(wǎng)絡(luò)管理員總是無視這個環(huán)節(jié)。無論上層采取了何種安全防御措施，一旦物理層被侵入，整個網(wǎng)絡(luò)即告淪陷。綜上所述，用一個安全的物理場所來存放設(shè)備，并且保證該場所僅對獲得授權(quán)的工作人員開放，這比什么都來得重要。用戶身份驗(yàn)證可以通過用戶名和密碼的組合參數(shù)來實(shí)現(xiàn)。為建立基于證書的認(rèn)證系統(tǒng)，可以為所有操作設(shè)備的用戶設(shè)置用戶名。用戶名需要在全局配置模式下配置，配置后的用戶名會保存在設(shè)備的本地?cái)?shù)據(jù)庫中。可以為設(shè)備的每個用戶設(shè)置一個單獨(dú)的登錄名，這樣當(dāng)用戶更改配置文件的時候，管理員就可以根據(jù)用戶名來跟蹤查看是哪個用戶修改了配置文件，除此之外，單獨(dú)的用戶名也可以讓管理員對不同的用戶分別進(jìn)行計(jì)費(fèi)和審計(jì)。登錄賬戶可以用username命令來生成，管理員可以對每個用戶名指派不同的特權(quán)級別和密碼。使用username sercret命令可以用MD5三類函數(shù)加密密碼。用戶賬戶可以在很多情況下使用——比如可以用于console接口、vty線路、VPN用戶及遠(yuǎn)程撥號用戶。不再使用的賬戶應(yīng)該從系統(tǒng)配置中刪除。還有一種擴(kuò)展性更好的方法可供選擇，即認(rèn)證、授權(quán)、審計(jì)技術(shù)。Cisco IOS有16個特權(quán)級別：0~15。默認(rèn)情況下，IOS有以下3種預(yù)定義的用戶級別。（1） 特權(quán)級別0包含disable、enable、exit、help和logout命令。（2） 特權(quán)級別1是用戶模式，這是telnet的正常級別，包含所有router提示的用戶級別命令。（3） 特權(quán)級別15是特權(quán)模式，也稱為enable模式，包含所有有router提示的特權(quán)級別命令。所有Cisco IPS命令都預(yù)先分配給了0、1和15級。214級可以由用戶來自定義。有三種方法可以訪問設(shè)備并對設(shè)備進(jìn)行管理：console接口、vty接口和aux接口。1. Console接口Console接口是管理和配置設(shè)備時的默認(rèn)訪問方式。這種連接類型通過TTY線路0，以物理的方式連接在設(shè)備console接口上，默認(rèn)情況下，console接口沒有配置密碼。操作結(jié)束后，不應(yīng)該保留console接口的登錄狀態(tài)而應(yīng)該退出登錄。因此，建議為console線路上的EXEC會話配置超時時間，這樣的話如果用戶忘記退出或長時間讓會話處于空閑狀態(tài)，設(shè)備就會自動注銷空閑的會話。2. VTY接口Cisco IOS支持通過多條邏輯vty鏈路連接設(shè)備，以此實(shí)現(xiàn)對設(shè)備的遠(yuǎn)程交互式訪問，Cisco IOS支持超過100條vty鏈路。默認(rèn)情況下可以使用命令line vty 0 4 來使用其中的5條vty鏈路。與console接口相似的就是，vty鏈路上也沒有預(yù)配密碼。因而，用強(qiáng)壯的密碼和訪問控制機(jī)制來保護(hù)這些鏈路是十分必要的。需要注意的是，盡管在默認(rèn)情況下vty鏈路上沒有配置密碼，但是只有用login命令來放行允許遠(yuǎn)程訪問之后，用戶才能通過vty鏈路訪問設(shè)備。另外，還可以使用 ACL來進(jìn)一步深化對訪問的控制，一次實(shí)現(xiàn)只有合法用戶才可以訪問設(shè)備的目的，即僅允許一些特定的IP地址訪問設(shè)備。3. AUX接口有些設(shè)備帶有一個輔助（AUX）接口，用戶通過調(diào)制解調(diào)器撥號可以從這個接口連接到這臺設(shè)備并對設(shè)備實(shí)施管理。大多數(shù)情況下，aux接口應(yīng)該在line aux 0 模式下通過命令no exec來禁用。唯有當(dāng)沒有任何備用方案和遠(yuǎn)程接入方式可供選擇時，萬般無奈之下，才可以考慮用調(diào)制解調(diào)器連接aux接口來訪問設(shè)備。因?yàn)榫W(wǎng)絡(luò)入侵者通過簡單的戰(zhàn)爭撥號技術(shù)，就可以找到一個未受保護(hù)的調(diào)制解調(diào)器。因此，有必要在aux接口上設(shè)置認(rèn)證來實(shí)現(xiàn)訪問控制。這如前文所述：所有面向設(shè)備的連接都必須先進(jìn)行認(rèn)證，然后才可以訪問設(shè)備，不管這個認(rèn)證是在本地設(shè)備上實(shí)現(xiàn)還是通過TACACS+服務(wù)器或RADIUS服務(wù)器來實(shí)現(xiàn)。我們在登錄設(shè)備的時候，一般為了安全起見，我們會通過各種不同的加密的方式去訪問設(shè)備。Cisco的相關(guān)安全設(shè)備允許以管理設(shè)備為目的的telnet連接。處于安全方面的考慮，用戶不能telnet安全級別最低的接口，除非在telnet連接用IPsec隧道進(jìn)行了封裝。每個虛擬防火墻支持最大5路并發(fā)telnet連接，在所有虛擬防火墻上最多支持100個并發(fā)telnet連接。為使telnet連接可以訪問安全設(shè)備，需要指定哪些主機(jī)的ip地址可以向安全設(shè)備發(fā)出管理連接。一般來說，telnet是最常見的設(shè)備管理協(xié)議，但是也是最不安全的協(xié)議，因?yàn)閠elnet協(xié)議會話中的一切通信都是以明文的方式發(fā)送。管理設(shè)備支持管理員通過SSH協(xié)議對其進(jìn)行管理訪問。安全設(shè)備支持用 SSHv1和SSHv2提供遠(yuǎn)程安全訪問功能，支持用DES和3DES對管理訪問進(jìn)行加密。要配置SSH需要先生成rsa密鑰對，然后再在全局配置模式下用命令ssh來指定允許對設(shè)備進(jìn)行管理的ip地址。Cisco自適應(yīng)安全設(shè)備管理器采用直觀的，簡單的，基于WEB的界面管理來對Cisco的一些自適應(yīng)的安全設(shè)備進(jìn)行管理和監(jiān)控。要使用ADSM，HTTPS服務(wù)器需要使用啟用ssl協(xié)議到安全設(shè)備之間的連接。安全設(shè)備支持通過AAA 服務(wù)器和設(shè)備的本地?cái)?shù)據(jù)庫來實(shí)現(xiàn)認(rèn)證，授權(quán)和計(jì)費(fèi)(AAA)功能。AAA功能可以對設(shè)備進(jìn)行額外的保護(hù)，具有優(yōu)秀的擴(kuò)展性并且可以更好地實(shí)現(xiàn)用戶訪問控制功能。AAA服務(wù)體系是在對網(wǎng)絡(luò)和設(shè)備進(jìn)行訪問控制策略實(shí)施中所采用的一種集成了認(rèn)證、授權(quán)與記賬等功能組件的模塊化體系結(jié)構(gòu)的安全機(jī)制。正是AAA有如此強(qiáng)大的功能，因此AAA服務(wù)的應(yīng)用非常的廣泛，在以太網(wǎng)接入、遠(yuǎn)程撥號連接以及Internet接入等網(wǎng)絡(luò)環(huán)境中不僅僅對設(shè)備的管理訪問進(jìn)行了控制，而且對這些環(huán)境中數(shù)據(jù)資源的訪問提供了系統(tǒng)化的、可擴(kuò)展的訪問控制。圖41 AAA體系結(jié)構(gòu)AAA客戶端——實(shí)際上就是支持AAA服務(wù)的各種網(wǎng)絡(luò)設(shè)備。AAA服務(wù)器——典型的就是安裝了Cisco ACS軟件的windows2000/2003的服務(wù)器。 也有UNIX版本的。AAA安全協(xié)議——在AAA客戶端與AAA服務(wù)器之間承載認(rèn)證、授權(quán)、審計(jì)消息的AAA協(xié)議。如：TACACS+、RADIUS。TACACS+:終端訪問控制器訪問控制系統(tǒng)，Cisco的私有安全協(xié)議，承載于TCP協(xié)議中，端口號為49，它提供了單獨(dú)的和模塊化的驗(yàn)證、授權(quán)和審計(jì)工具。RADIUS:遠(yuǎn)程身份驗(yàn)證撥入用戶的服務(wù)，國際標(biāo)準(zhǔn)協(xié)議，承載于UDP協(xié)議中，端口號為1811813；它提供了模塊化驗(yàn)證、授權(quán)功能和單獨(dú)的統(tǒng)計(jì)功能。在對管理安全設(shè)備實(shí)施訪問控制的方面，可以通過TACACS+、Radius和本地?cái)?shù)據(jù)庫實(shí)現(xiàn)AAA功能。需要注意的是本地?cái)?shù)據(jù)庫不支持計(jì)費(fèi)功能，Radius不支持授權(quán)功能。這倒不是這些設(shè)備不支持這些功能，而是協(xié)議自身存在的局限性。我們的二層網(wǎng)絡(luò)是通過交換機(jī)來抵御安全威脅的，這些威脅源自于OSI模型第二層(數(shù)據(jù)鏈路層)的諸多缺陷。當(dāng)數(shù)據(jù)流穿越網(wǎng)絡(luò)時，交換機(jī)會住在流量的轉(zhuǎn)發(fā)。因此，為了打造功能豐富、性能優(yōu)良、設(shè)計(jì)完善的網(wǎng)絡(luò)，我們應(yīng)該把目光集中到交換機(jī)的安全特性上。在網(wǎng)絡(luò)設(shè)備之間進(jìn)行數(shù)據(jù)傳輸時，數(shù)據(jù)鏈路層面臨著嚴(yán)峻的考驗(yàn)。然而，網(wǎng)絡(luò)安全符合短板效應(yīng)，也就是說網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)決定了網(wǎng)絡(luò)整體的安全性，二數(shù)據(jù)鏈路層也是網(wǎng)絡(luò)整體的一部分。如果第二層不能得到有效地保護(hù)，那么即使在上層實(shí)施最好的安全策略也是無濟(jì)于事。考慮到這些問題，Cisco交換機(jī)提供了廣泛的二層安全特性，這些特性既可以用來保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)，也可以保護(hù)設(shè)備自身。下面將會涉及到二層網(wǎng)絡(luò)的相關(guān)安全保護(hù)機(jī)制?；诙丝诘牧髁靠刂铺匦钥梢蕴峁┒丝诩墑e的保護(hù)。而Catalyst交換機(jī)可以提供的相關(guān)特性有Storm Control、Protected Ports、Pvlan、Port Blocking和Port Security等。1. Storm Control當(dāng)惡意數(shù)據(jù)包在本地局域網(wǎng)內(nèi)泛洪，產(chǎn)生超過網(wǎng)絡(luò)承載能力的多余流量并影響了網(wǎng)絡(luò)的性能，就叫做發(fā)生了一次局域網(wǎng)風(fēng)暴。網(wǎng)絡(luò)風(fēng)暴產(chǎn)生的原因不勝枚舉，比如網(wǎng)絡(luò)協(xié)議棧字的錯誤應(yīng)用、設(shè)備的不當(dāng)配置，這些問題都可以引發(fā)網(wǎng)絡(luò)風(fēng)暴。而風(fēng)暴控制特性則可以讓物理接口的廣播、組播和單播流量服務(wù)對正常的網(wǎng)絡(luò)流量形成干擾，進(jìn)行一次監(jiān)控，然后再把所獲得的數(shù)據(jù)配置在設(shè)備上將風(fēng)暴抑制級別進(jìn)行對比?？梢愿鶕?jù)以下兩種方式來衡量相應(yīng)流量是否需要進(jìn)行抑制。(1) 傳輸流量占端口可用總帶寬的百分比，可以單獨(dú)對廣播、組播和單播流量進(jìn)行監(jiān)控。(2) 接口接收廣播、組播和單播數(shù)據(jù)包的流量速率，即該接口每秒收到了多少數(shù)據(jù)包。不管使用哪種方式，只要監(jiān)控所得的數(shù)值超過了設(shè)定的門限值，端口就會被阻塞，所有的后續(xù)流量都要被過濾掉。而且只要端口處于阻塞狀態(tài)，它就會不斷地丟棄數(shù)據(jù)包，直到流量速率降低到設(shè)定的門限之下。那時候，端口會恢復(fù)到正常狀態(tài)，流量也重新得以轉(zhuǎn)發(fā)。2. Protected Port、Pvlan Edge不同的網(wǎng)絡(luò)環(huán)境需求各不相同，有時候，企業(yè)的管理員希望處于同一個本地局域網(wǎng)中的主機(jī)不能交互數(shù)據(jù)，也就是隔離主機(jī)之間的通信。端口隔離特性可以建立一道如防火墻的屏障來隔離通信。在交換機(jī)隔離端口之間傳輸?shù)囊磺袕V播、組播和單播流量都會被過濾。但是，端口隔離具有本地意義，換句話說，此特性不