【文章內(nèi)容簡介】 內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計(jì)算機(jī)造作的水平參差不齊，對于應(yīng)用軟件的理解也各不相同，如果一部分軟件沒有相應(yīng)的對誤操作的防范措施，極容易給服務(wù)系統(tǒng)和其他主機(jī)造成危害。內(nèi)部用戶的惡意攻擊；就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范也很重要。4:設(shè)備自身安全性也會直接關(guān)系到各種系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會為網(wǎng)絡(luò)的安全帶來很多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會造成內(nèi)部的業(yè)務(wù)無法正常運(yùn)行。如斷電、硬盤損壞等問題。安全管理的困難，對于眾多的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，安全策略的配置和安全事件管理的難度很大。8：所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 管理的安全威脅分析管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測、監(jiān)控、報(bào)告與預(yù)警。　　建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案。因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實(shí)，所造成的對整個(gè)網(wǎng)絡(luò)的損失都是難以估計(jì)的。因此，管理中責(zé)任的劃分建設(shè)是悅溪公司網(wǎng)絡(luò)建設(shè)過程中重要的一環(huán)。 安全產(chǎn)品選型原則 公司網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎重，選型的原則包括：安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的要求，不影響正常的業(yè)務(wù)；安全保密產(chǎn)品必須滿足上面提出的安全需求，保證整個(gè)公司企業(yè)網(wǎng)絡(luò)的安全性。安全保密產(chǎn)品必須通過國家主管部門指定的測評機(jī)構(gòu)的檢測；安全保密產(chǎn)品必須具備自我保護(hù)能力；安全保密產(chǎn)品必須符合國家和國際上的相關(guān)標(biāo)準(zhǔn)；適用原則。絕對的安全是不存在的，因此公司必須具有“安全風(fēng)險(xiǎn)”意識。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產(chǎn)品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補(bǔ)損失的手段。結(jié)合實(shí)際原則：企業(yè)應(yīng)考慮清楚自己信息系統(tǒng)最大的安全威脅來自何處，信息系統(tǒng)中最有價(jià)值的是什么，信息系統(tǒng)造成的哪些損失是自己無法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應(yīng)對主要的安全威脅，將可能的損失減小到可以接受的范圍之內(nèi)。不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。目前中國許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設(shè)）完成之后才考慮信息安全，即所謂的“打安全補(bǔ)丁”。這種“補(bǔ)丁”做法往往會給信息安全產(chǎn)品的選型帶來很多困難，因?yàn)楹芏鄷r(shí)候，信息安全與系統(tǒng)的使用便利性和效率往往是一對矛盾。企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評估系統(tǒng)的服務(wù)品質(zhì)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對信息安全產(chǎn)品進(jìn)行選型。安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理 。 網(wǎng)絡(luò)常用技術(shù)介紹HSRP 協(xié)議 我們使用HSRP來實(shí)現(xiàn)對故障路由器的接管,HSRP中文解釋是熱備份路由協(xié)議，其含義是系統(tǒng)中有多臺路由器，它們組成一個(gè)或多個(gè)“熱備份組”。這每一個(gè)熱備份組中的所有路由器共享一個(gè)虛擬IP與MAC。在任一時(shí)刻，這個(gè)組內(nèi)只有一個(gè)路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個(gè)備份路由器（需配置端口搶占）來替代活動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，本機(jī)的網(wǎng)關(guān)仍然沒有down掉。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。由于每一個(gè)熱備份組中的活動路由器可以不集中在一個(gè)路由器上（可通過優(yōu)先級配置），因此HSRP能夠較好的實(shí)現(xiàn)負(fù)載均衡。 ，hello消息在配置hsrp組的鏈路上交換缺省條件下，路由器每3秒發(fā)送一個(gè)hello消息。如果活躍的激活路由器在保持時(shí)間（缺省條件為10秒）的可配置時(shí)間段內(nèi)無法發(fā)送hello，擁有最高優(yōu)先級的備份路由器將被激活，開始接收發(fā)網(wǎng)組MAC地址的包。OSPF協(xié)議 OSPF（中文名開放最短路徑優(yōu)先協(xié)議）協(xié)議是典型的鏈路狀態(tài)路由協(xié)議，每個(gè)路由器都有和本區(qū)域內(nèi)其它路由器相同的鏈路狀態(tài)數(shù)據(jù)庫，而后路由器根據(jù)SPF算法計(jì)算出到達(dá)目的地的最短路徑，其寫入路由表。 OSPF工作原理是：通過hello報(bào)文發(fā)現(xiàn)鄰居，在通過LSA的泛洪形成相同的鏈路狀態(tài)數(shù)據(jù)庫，最后通過SPF算法計(jì)算出到達(dá)目的地的最短路徑，將其寫入路由表。 OSPF協(xié)議的借口狀態(tài)有五種：down、init、twoway、exstart、exchange、loading、full五種狀態(tài)。Down狀態(tài)沒有收到hello包；init狀態(tài)是指收到hello包；twoway狀態(tài)雙方都收到對方的hello包；exstart狀態(tài)通過路由器優(yōu)先級選出DR、BDR；loading狀態(tài)雙方互發(fā)LSA、LSU；full狀態(tài)雙方真正的建立鄰居關(guān)系。 啟用OSPF路由協(xié)議的路由器中都會有一個(gè)鏈路狀態(tài)數(shù)據(jù)庫，它保存著7中類型的LSA，其中前五種類型用于相同AS之間的路由通信，后兩種用于外部。路由LSA：它是由非DR、BDR。網(wǎng)絡(luò)LSA：它是有DR、BDR的路由器。網(wǎng)絡(luò)匯總LSA：它是由ABR始發(fā)通告其它區(qū)域的LSA給 0 區(qū)域。ASBR匯總LSA：它是由ABR始發(fā)通告ASBR的位置。自治域系統(tǒng)LSA：它是由ASBR始發(fā)，向area 0 通告不同AS之間的路由信息。7：類型 7的LSA：它是由特殊區(qū)域產(chǎn)生的LSA。 對于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，OSPF可以將網(wǎng)絡(luò)劃分不同的區(qū)域，防止網(wǎng)絡(luò)中大量的LSA防洪影響網(wǎng)絡(luò)的運(yùn)行速度。為減少路由表提高網(wǎng)絡(luò)的查詢速度，OSPF定義了末梢區(qū)域、完全末梢區(qū)域、次末節(jié)區(qū)域、完全次末節(jié)區(qū)域等。VLAN 技術(shù)Vlan（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE 于1999 年頒布了用以標(biāo)準(zhǔn)化VLAN 協(xié)議標(biāo)準(zhǔn)草案。VLAN 技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN 邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN 都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN 有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN 內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。Trunk 技術(shù) 一般的交換機(jī)端口只能屬于一個(gè)VLAN，對于多個(gè)VLAN 需要跨過多臺交換機(jī)，就需要用到Trunk 技術(shù)，它的作用是承載不同的VLAN信息。Trunk 是指交換機(jī)之間或交換機(jī)與路由器之間VLAN 之間的連接，VLAN 信息通過Trunk 在交換機(jī)之間或路由器之間傳遞，從而可以將VLAN 跨越整個(gè)網(wǎng)絡(luò)，而不僅僅是局限在一臺交換機(jī)上。Cisco 、ISL 兩種trunk封裝技術(shù)。其中IEEE 是業(yè)界的標(biāo)準(zhǔn)協(xié)議，而ISL 是CISCO 專有的協(xié)議，用于在一條鏈路上封裝多個(gè)VLAN 的信息。ISL 技術(shù)得到了Intel 等廠商的大力支持，TagSwitching 被3Com 及Lucent Cajun 支持。對于CISCO 交換機(jī)的Trunk 端口， 或ISL，也可以通過DTP 協(xié)議（Dynamic Trunking Protocol）自動協(xié)商。DTP 協(xié)議主要用于處理Trunk 和ISL 封裝協(xié)議的自動協(xié)商，對于不同廠家的交換機(jī)互連時(shí)很有幫助。 對Trunk 的定義只能在快速以太網(wǎng)端口和千兆以太網(wǎng)端口上進(jìn)行，它既可以是單個(gè)的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道（FEC）或千兆以太網(wǎng)通道（GEC）。雖然我們采用的是思科交換機(jī)，但是最為一個(gè)標(biāo)準(zhǔn)的、開放、先進(jìn)的網(wǎng)絡(luò)系統(tǒng)， 標(biāo)準(zhǔn)協(xié)議。SpanningTree協(xié)議 在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為了實(shí)現(xiàn)冗余和負(fù)載的均衡，通常會有多條鏈路的連接，這樣就會引入環(huán)路。為了解決這個(gè)矛盾，推出了STP 協(xié)議。STP 算法會將網(wǎng)絡(luò)中的連接生成一個(gè)樹，通過特定的算法自動將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)低的鏈路阻塞，保證在網(wǎng)絡(luò)中任何時(shí)候都不會出現(xiàn)環(huán)路。如果網(wǎng)絡(luò)的連接狀況發(fā)生了變化，STP 算法會自動地重新計(jì)算新的連接關(guān)系，重新選出新的活動的連接。STP 算法會造成網(wǎng)絡(luò)的暫時(shí)的不穩(wěn)定狀態(tài)，該轉(zhuǎn)換時(shí)間在30秒之內(nèi)，亦即在30 秒之內(nèi)網(wǎng)絡(luò)會重新恢復(fù)到穩(wěn)定狀態(tài)。STP 對于終端是透明的，終端感覺不到STP 的操作過程。在交換機(jī)上可以通過修改端口的優(yōu)先級來改變連接的優(yōu)先權(quán)，使得STP 算法將高優(yōu)先權(quán)的連接作為活動連接，例如：兩個(gè)交換機(jī)之間有兩條鏈路連接，一條是光纖連接，另一條是雙絞線連接，由于光纖連接明顯要比雙絞線連接更穩(wěn)定、更可靠，我們可以將交換機(jī)上的光纖端口的優(yōu)先權(quán)設(shè)定成比雙絞線端口更高的優(yōu)先權(quán)，這樣STP 算法就會將光纖連接作為活動連接，而將雙絞線連接阻塞。Cisco 交換機(jī)的一個(gè)非常有用的特性就是可以對每個(gè)VLAN 設(shè)置Spanning Tree ,而不是對整個(gè)網(wǎng)絡(luò)只能屬于一個(gè)SpanningTree。這個(gè)特征是很多廠商的設(shè)備所不具備的。在交換機(jī)上對端口的優(yōu)先權(quán)的設(shè)置可以基于VLAN 進(jìn)行，每個(gè)端口對于不同的VLAN 設(shè)置不同的優(yōu)先權(quán)。對于指定的VLAN，具有該VLAN 最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該VLAN的信息，其它VLAN 的信息則阻塞。通過這種方法，在具有冗余連接的交換機(jī)端口上分別針對不同的VLAN 設(shè)置不同的優(yōu)先權(quán)，既可以實(shí)現(xiàn)鏈路的冗余，又可以實(shí)現(xiàn)負(fù)載的均衡。 CISCO 交換機(jī)端口支持每VLAN 的生成樹協(xié)議，每個(gè)端口都可設(shè)置基于VLAN 的Cost 或Priority 參數(shù)，從而實(shí)現(xiàn)在多條路徑上的負(fù)載均衡能力。目前多數(shù)廠商都支持STP 協(xié)議，但是不允許多個(gè)STP 域。采用多個(gè)STP 域顯然可以獲得比單個(gè)域高的網(wǎng)絡(luò)可靠性。DHCP協(xié)議 動態(tài)主機(jī)分配協(xié)議（Dynamic Host Configuration Protocol, DHCP）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要作用：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址、子網(wǎng)掩碼、DNS、網(wǎng)關(guān)，減少網(wǎng)絡(luò)管理員的配置負(fù)擔(dān)。DHCP工作原理：DHCP客戶端首次正確登錄網(wǎng)絡(luò)后，以后再登錄網(wǎng)絡(luò)時(shí)，只需要廣播包含上次分配ip地址的DHCP_request報(bào)文即可，不需要再次發(fā)送DHCP_discover報(bào)文。DHCP服務(wù)器收到DHCP_request報(bào)文后，如果客戶端申請的地址沒有被分配，則返回DHCP_ack確認(rèn)報(bào)文，通知該DHCP客戶端繼續(xù)使用原來的ip地址。 如果此ip地址無法再分配給該DHCP客戶端使用（例如已分配給其它客戶端），DHCP服務(wù)器將返回DHCP_nak報(bào)文。客戶端收到后，重新發(fā)DHCP_discover報(bào)文請求新的ip地址。DHCP服務(wù)器分配給客戶端的動態(tài)ip地址通常有一定的租借期限，期滿后服務(wù)器會收回該ip地址。如果DHCP客戶端希望繼續(xù)使用該地址，需要更新ip租約（如延長ip地址租約）。實(shí)際使用中，在DHCP客戶端啟動或ip地址租約期限達(dá)到一半時(shí)，DHCP客戶端會自動向DHCP服務(wù)器發(fā)送DHCP_request報(bào)文，以完成ip租約的更新。如果此ip地址有效，則DHCP服務(wù)器回應(yīng)DHCP_ack報(bào)文，通知DHCP客戶端已經(jīng)獲得新ip租約。 動態(tài)分配指的是：當(dāng) DHCP 第一次從 DHCP 服務(wù)器端租用到 IP 地址之后，并非永久的使用該地址，只要租約到期，客戶端就得釋放(release)這個(gè) IP 地址，以給其它工作站使用。當(dāng)然，客戶端可以比其它主機(jī)更優(yōu)先的更新(renew)租約，或是租用其它的 IP 地址。這樣在一定的程度上可以減少IP地址的浪費(fèi)問題。在貴公司的網(wǎng)絡(luò)運(yùn)行DHCP我們建議在路由器或其它服務(wù)器上附加DHCP功能（這就需要做DHCP轉(zhuǎn)發(fā)器），這樣可以降低構(gòu)建成本（如果設(shè)置一臺DHCP服務(wù)器成本太高）。第6章 產(chǎn)品簡介 PIX 525防火墻 PIX 525是Cisco的硬件防火墻，硬件防火墻有工作速度快，使用方便等特點(diǎn)。 PIX 525有很多型號，并發(fā)連接數(shù)是PIX防火墻的重要參數(shù)。 Cisco Secure PIX 525防火墻是世界領(lǐng)先的Cisco Secure PIX防火墻系列的組成部分，能夠?yàn)楫?dāng)今的網(wǎng)絡(luò)客戶提供無與倫比的安全性、可靠性和性能。它所提供的完全防火墻保護(hù)以及IP安全（IPsec）虛擬專網(wǎng)（VPN）能力使特別適合于保護(hù)企業(yè)總部的邊界。 防火墻是網(wǎng)絡(luò)安全的屏障。 Pix 525防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。Pix 525防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。Pix 525防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。 Cisco 2800 系列集成多業(yè)務(wù)路由器 思科系統(tǒng)公司推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)174。行了專門的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小