【文章內(nèi)容簡(jiǎn)介】 服務(wù)，但是服務(wù)提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險(xiǎn)。因些從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供 6 了他們所需的基本的服務(wù)。最典型的是，我們?cè)谛@網(wǎng)服務(wù)器中對(duì)公眾通常只提供 WEB 服務(wù)功能，而 沒有必要向公眾提供 FTP 功能，這樣，在服務(wù)器的服務(wù)配置中，我們只開放 WEB 服務(wù)，而將 FTP 服務(wù)禁止。如果要開放 FTP 功能，就一定只能向可能信賴的用戶開放，因?yàn)橥ㄟ^ FTP 用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權(quán)限，那么，通過運(yùn)行上傳某些程序，就可能使服務(wù)器受到攻擊。所以，信賴了來(lái)自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素。 在 WINDOWS NT 使用的 IIS，是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的 IIS 默認(rèn)安裝又實(shí)在不敢恭維，為了加大安全性，在安裝配置時(shí)可以注意以下 幾個(gè)方面： 首先，不要將 IIS 安裝在默認(rèn)目錄里（默認(rèn)目錄為 C:\\Ipub），可以在其它邏輯盤中重新建一個(gè)目錄，并在 IIS 管理器中將主目錄指向新建的目錄。 其次， IIS 在安裝后，會(huì)在目錄中產(chǎn)生如 scripts 等默認(rèn)虛擬目錄，而該目錄有執(zhí)行程序的權(quán)限，這對(duì)系統(tǒng)的安全影響較大，許多漏洞的利用都是通過它進(jìn)行的。因此，在安裝后，應(yīng)將所有不用的虛擬目錄都刪除掉。 第三，在安裝 IIS 后，要對(duì)應(yīng)用程序進(jìn)行配置，在 IIS 管理器中刪除必須之外的任何無(wú)用映射，只保留確實(shí)需要用到的文件類型。對(duì)于各目錄的權(quán)限設(shè)置一定要慎重， 盡量不要給可執(zhí)行權(quán)限。 QoS 為確保用戶各種關(guān)鍵業(yè)務(wù)的正常開展，必須采取全面而系統(tǒng)的 QoS 設(shè)計(jì) (提供端到端 QoS服務(wù) )，以保證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時(shí)獲得有保證的吞吐量和最低的延時(shí)；為了保證端到端用戶的服務(wù)質(zhì)量，因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實(shí)施的 QoS 策略，核心設(shè)備是多個(gè)服務(wù)器接入的設(shè)備，并且擔(dān)負(fù)著全網(wǎng)數(shù)據(jù)的交換， QoS 的能力影響著全網(wǎng)的服務(wù)質(zhì)量保障能力。 Qos 的選擇為 RSVP－資源預(yù)留 RSVP 是一個(gè)信令協(xié)議，它提供建立連接的資源預(yù)留，控制綜合業(yè)務(wù)，往往在 IP 網(wǎng)絡(luò)上提供仿真 電路。 RSVP 是所有 QoS 技術(shù)中最復(fù)雜的一種，與盡力而為的 IP 服務(wù)標(biāo)準(zhǔn)差別最大，它能提供最高的 QoS 等級(jí)，使得服務(wù)得到保障、資源分配量化，服務(wù)質(zhì)量的細(xì)微變化能反饋給支持 QoS 的應(yīng)用和用戶。 協(xié)議的工作情況如下：發(fā)送端依據(jù)高、低帶寬的范圍、傳輸遲延，以及抖動(dòng)來(lái)表征發(fā)送業(yè)務(wù)。 RSVP 從含有 39。業(yè)務(wù)類別 (TSpec)39。信息的發(fā)送端發(fā)送一個(gè)路徑信息給目的地址 (單點(diǎn) 廣播 7 或多 點(diǎn)廣播的接收端 )。每一個(gè)支持 RSVP 的 路由器 沿著下行路由建立一個(gè) 39。路徑狀態(tài)表 39。，其中包括路徑信息里先前的源地址 (例如，朝著發(fā)送端的上行的下一跳 ) 為了獲得資源預(yù)留，接收端發(fā)送一個(gè)上行的 RESV(預(yù)留請(qǐng)求 )消息。除了 TSpec， RESV消息里有 39。請(qǐng)求類別 (RSpec)39。，表明所要求的綜合服務(wù)類型，還有一個(gè) 39。過濾器類別 39。，表征正在為分組預(yù)留資源 (如傳輸協(xié)議和端口號(hào) )。 RSpec 和過濾器類別合起來(lái)代表一個(gè) 39。流的描述符 39。，路由器就是靠它來(lái)識(shí)別每一個(gè)預(yù)留資源的 當(dāng)每個(gè)支持 RSVP 的路由器沿著上行路徑接收 RESV 的消息時(shí)，它采用輸入控制過程證實(shí)請(qǐng)求，并且配置所需的資源。如果這個(gè)請(qǐng)求得不到滿足 (可能由于資源短缺或未通過認(rèn)證 )，路由器向接收端返回一個(gè) 錯(cuò)誤 消息。如果這個(gè)消息被接受，路由器就發(fā)送上行 RESV 到下一個(gè)路由器 當(dāng)最后一個(gè)路由器 接收 RESV，同時(shí)接受請(qǐng)求的時(shí)候，它再發(fā)送一個(gè)證實(shí)消息給接收端 當(dāng)發(fā)送端或接收端結(jié)束了一個(gè) RSVP 會(huì)話時(shí)，有一個(gè)明顯的斷開連接的過程。 網(wǎng)間隔離 網(wǎng)絡(luò)隔離，英文名為 Network Isolation，主要是指把兩個(gè)或兩個(gè)以上 不可 路由的網(wǎng)絡(luò)(如： TCP/IP)通過不 可 路由的協(xié)議 (如： IPX/SPX、 NetBEUI 等 )進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離 (Protocol Isolation)。協(xié)議隔離和 防火墻 不屬于同類產(chǎn)品。 網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對(duì)通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來(lái)完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認(rèn)證、加密簽名等安全機(jī)制來(lái)實(shí)現(xiàn)，而這些機(jī)制的實(shí)現(xiàn)都是通過軟件來(lái)實(shí)現(xiàn)的。 因此，隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并 且對(duì)應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。而由于設(shè)計(jì)原理問題使得第三代和第四代隔離產(chǎn)品在這方面很難突破，既便有所改進(jìn)也必須付出巨大的成本，和 “ 適度安全 ” 理念相悖。 8 第 3 章 拓?fù)鋱D及方案整體描述 拓?fù)鋱D及方案整體描述 本方案主要選擇千兆以太網(wǎng)技術(shù)來(lái)構(gòu)建校園網(wǎng)絡(luò)，對(duì)兩層結(jié)點(diǎn)和桌面微機(jī)的接入也采用快速以太網(wǎng)，建立一個(gè)基于多層、全交換的虛擬校園網(wǎng)。在實(shí)際構(gòu)筑中采用三層結(jié)構(gòu)。最下層到桌面為 100Mbps；第二層為樓內(nèi)各樓層到二級(jí)交換機(jī)，由 100M bps 的交換式快速以太網(wǎng)構(gòu)成；各 樓到網(wǎng)絡(luò) 中心（即主干）為千兆位以太網(wǎng)。根據(jù)前面的分析，畫出蘭州市 第 九 中學(xué)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，如圖 31 所示： 圖 蘭州市 第 九 中學(xué) 校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖 網(wǎng)管中心 Catalyst3000 Catalyst3000 Catalyst3000 千兆光纖 百兆光纖 雙絞 線 Catalyst3000 Catalyst5000 Catalys t3000 Interne 接入入點(diǎn) 口入點(diǎn) 宿舍樓 辦公樓 實(shí)驗(yàn)樓 U N I V E R S I T YU N I V E R S I T YU N I V E R S I T YU N I V E R S I T YCatalyst3000 圖書館 教學(xué)樓 9 Inter 接入方案 對(duì)于 校園網(wǎng) ， 可以 采用路由器實(shí)現(xiàn)接入 Inter。在局域網(wǎng)上通過代理服務(wù)器軟件或者路由器，都可以解決多用戶共享訪問 Inter 問題，實(shí)質(zhì)上是一個(gè)介于用戶群體和 Inter之間的橋梁，用以實(shí)現(xiàn)其網(wǎng)絡(luò)用戶對(duì) Inter 的訪問。 在使用路由器接入 Inter 時(shí)， 對(duì)于缺少合法 IP 地址情況下，可以使用（ NAT）地址轉(zhuǎn)換技術(shù)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問。路由器在收到內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)訪問外部網(wǎng)絡(luò)的IP 數(shù)據(jù)包時(shí)，將這些非法的 IP 地址轉(zhuǎn)換成合法的 IP 地址， 作為 IP 數(shù)據(jù)包的源地址訪問外部網(wǎng)絡(luò)，當(dāng)回來(lái)的數(shù)據(jù)包經(jīng)過路由器時(shí)，在把該數(shù)據(jù)包的目標(biāo)地址轉(zhuǎn)換為相應(yīng)的局域網(wǎng)內(nèi)的主機(jī) IP 地址，并把該數(shù)據(jù)包傳送到相應(yīng)主機(jī)， 從而達(dá)到訪問 Inter 的目的。這些功能其實(shí)是 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）的一 部分。 除了 NAT 之外，路由器接入 Inter 還采用了防火墻技術(shù)，主要是基于源和目標(biāo) IP 地址以及端口過濾的防火墻技術(shù)。通過防火墻技術(shù)，可以在一定程度上使內(nèi)部局域網(wǎng)免受外面的攻擊，起到一定的安全作用 。 目前國(guó)內(nèi)常見的有以下的幾種接入方式可選擇 ： 公共電話網(wǎng) 這是最容易實(shí)施的方法，費(fèi)用低廉。只要一條可以連接 ISP 的電話線和一個(gè)賬號(hào)就可以。但缺點(diǎn)是傳輸速度低，線路可靠性差。如果用戶多，可以多條電話線共同工作，提高訪問速度。 目前在國(guó)內(nèi)迅速普及，價(jià)格大幅度下降，有的地方甚至是免初裝費(fèi)用。 兩個(gè)信道 128kbit/s的速率，快速的連接以及比較可靠的線路，可以滿足 校園網(wǎng) 瀏覽以及收發(fā)電子郵件的需求。而且還可以通過 ISDN 和 Inter 組建 VPN。這種方法的性能價(jià)格比很高，在國(guó)內(nèi)大多數(shù)的城市都有 ISDN 接入服務(wù)。 非對(duì)稱數(shù)字用戶環(huán)路，可以在普通的電話銅纜上提供 1． 5～ 8Mbit/s 的下行和 10～64kbit/s 的上行傳輸，可進(jìn)行視頻會(huì)議和影視節(jié)目傳輸?？墒怯幸粋€(gè)致命的弱點(diǎn)：用戶距離電信的交換機(jī)房的線路距離不能超過 4～ 6km，限制了它的應(yīng)用范圍。 遠(yuǎn)程訪問支持 遠(yuǎn)程訪問通 常指遠(yuǎn)程接入，即遠(yuǎn)程計(jì)算機(jī)通過撥號(hào)線路連接到本地網(wǎng)絡(luò)。遠(yuǎn)程訪問最主要的應(yīng)用有兩類，一是供遠(yuǎn)程移動(dòng)用戶接入校園網(wǎng)的本地網(wǎng)絡(luò)，二是供 ISP(因特網(wǎng)服務(wù)提供 10 商 )提供 Inter 接入服務(wù)。在實(shí)際應(yīng)用中，主要通過專門的硬件設(shè)備來(lái)提供遠(yuǎn)程訪問服務(wù)，如 3COM 的 NETServer 能夠提供 16 路電話線或 ISDN 撥號(hào)上網(wǎng)，使用于遠(yuǎn)程用戶不同的校園網(wǎng)網(wǎng)絡(luò)的遠(yuǎn)程接入，而 TotalControl 多服務(wù)平臺(tái)一般用作 ISP 的介入設(shè)備，能夠同時(shí)支持大量用戶通過電話線或 ISDN 上網(wǎng)。 也可通過軟件來(lái)提供遠(yuǎn)程訪問服務(wù)，如 WindowsW 和 Windows2020 網(wǎng)絡(luò)操作系統(tǒng)都集成了遠(yuǎn)程訪問服務(wù)器。這種軟件方式，效率雖然不如專門的硬件設(shè)備，但是在有些場(chǎng)合下則是一種經(jīng)濟(jì)有效的解決方案，特別是對(duì)遠(yuǎn)程接入用戶較少的網(wǎng)絡(luò)來(lái)說，非常適用。 廣義的遠(yuǎn)程訪問包括遠(yuǎn)程控制和遠(yuǎn)程客戶兩種方式。遠(yuǎn)程控制主要用于從一臺(tái)計(jì)算機(jī)控制和操作另一臺(tái)計(jì)算機(jī) ,一般通過遠(yuǎn)程控制軟件來(lái)實(shí)現(xiàn)，如著名的 PC Anywhere。遠(yuǎn)程客戶即是本章主要介紹的遠(yuǎn)程撥號(hào)接入，由遠(yuǎn)程服器提供若干遠(yuǎn)程計(jì)算機(jī)連接到網(wǎng)絡(luò)的服務(wù)，如無(wú)特別說明，一般就稱為遠(yuǎn)程訪問，也有稱遠(yuǎn)程接入的。 Windows2020 遠(yuǎn)程訪問是整個(gè)路由和遠(yuǎn)程訪問服務(wù)的一部分。路由和遠(yuǎn)程訪問是互相關(guān)聯(lián)的，但路由和遠(yuǎn)程訪問是兩個(gè)獨(dú)立的網(wǎng)絡(luò)功能。 Windows2020 服務(wù)器將虛擬專用網(wǎng)絡(luò)集成到路由和遠(yuǎn)程訪問服務(wù) (RRAS)組件。運(yùn)行Windows2020 的遠(yuǎn)程訪問服務(wù)器提供兩種不同的遠(yuǎn)程訪問連接，即撥號(hào)網(wǎng)絡(luò)和虛擬專用網(wǎng)絡(luò)。 通過使用遠(yuǎn)程通信提供商 (例如模擬電話、 ISDN 或 )提供的服務(wù)，遠(yuǎn)程客戶機(jī)使用非永久的撥號(hào)連接到遠(yuǎn)程訪問服務(wù)器的物理端口上，這時(shí)使用的網(wǎng)絡(luò)就是撥號(hào)網(wǎng)絡(luò)。最常見的使用方式是撥號(hào)網(wǎng)絡(luò)客戶機(jī)使用撥號(hào)網(wǎng)絡(luò)撥 打遠(yuǎn)程訪問服務(wù)器某個(gè)端口的電話號(hào)碼。撥號(hào)網(wǎng)絡(luò)客戶機(jī)和撥號(hào)網(wǎng)絡(luò)服務(wù)器之間通過撥號(hào)網(wǎng)絡(luò) (模擬電話或 ISDN 線路 )建立直接的物理連接。如何組建撥號(hào)網(wǎng)絡(luò)是本章的中心內(nèi)容。 虛擬專用網(wǎng)絡(luò)是在公共網(wǎng)絡(luò) (Inter)環(huán)境中建立的專用網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)客戶機(jī)使用特定的。稱為隧道協(xié)議的基于 TCP/IP 的協(xié)議，來(lái)對(duì)虛擬專用網(wǎng)絡(luò)服務(wù)器的虛擬端口 (電話號(hào)碼 )進(jìn)行依次虛擬呼叫。最常見的使用方式是，虛擬網(wǎng)絡(luò)客戶機(jī)使用虛擬專用網(wǎng)絡(luò)連接連接到與 Inter 相連的遠(yuǎn)程訪問服務(wù)器上。遠(yuǎn)程訪問服務(wù)器應(yīng)答虛擬呼叫，驗(yàn)證 呼叫方身份，并在虛擬專用網(wǎng)絡(luò)客戶機(jī)和校園網(wǎng)網(wǎng)絡(luò)之間傳送數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)客戶機(jī)和虛擬專用網(wǎng)絡(luò)服務(wù)器之間通過虛擬專用網(wǎng)絡(luò)建立邏輯的、非直接的連接。 當(dāng) Wimdows2020 服務(wù)器用于撥號(hào)網(wǎng)絡(luò)時(shí) 常常稱為撥號(hào)網(wǎng)絡(luò)服務(wù)器 。當(dāng) Windows2020 服務(wù)器用于虛擬專用網(wǎng)絡(luò)時(shí)，則稱為 VPN 服務(wù)器。兩者在 Windows2020 中統(tǒng)稱為遠(yuǎn)程訪問服務(wù)器。 11 子網(wǎng)劃分 與 VLAN 設(shè)定 VLAN 設(shè)定 VLAN 的劃分方法有：包括基于端口的 VLAN、基于 MAC 地址的 VLAN 和基于協(xié)議的 VLAN 等。 (1)基于端口劃分 VLAN 這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分的，把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分成一個(gè)邏輯組，并可以跨越多個(gè)交換機(jī)。根據(jù)端口劃分是目前定義 VLAN 的最廣泛的方法， 規(guī) 定了依據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分 VLAN 的國(guó)際標(biāo)準(zhǔn)。定義 VLAN 成員時(shí)非常簡(jiǎn)單有效，只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮端口所連接的設(shè)備。但如果 VLAN A 的用戶離開了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，那么就必須重新定義。