【導(dǎo)讀】計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

　　

【正文】 提供了源站和記錄路由選項(xiàng)，它的含義是允許源站明確指定一條到目的地的路 由，覆蓋掉中間路由器的路由選擇。并且，在分組到達(dá)目的地的過(guò)程中，把該路由記錄下來(lái)。源路由選項(xiàng)通常用于指定網(wǎng)絡(luò)路徑的故障診斷和某種特殊業(yè)務(wù)的臨時(shí)傳送。 因?yàn)?IP 源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過(guò)程，而不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。 因此，設(shè)備應(yīng)能關(guān)閉 IP 源路由選項(xiàng)功能。 2）重定向開關(guān) 網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送 ICMP 重定向報(bào)文，請(qǐng)求主機(jī)改變路由。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送 ICMP 重定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī) 發(fā)送虛假的重定向報(bào)文，以期改變主機(jī)的路由表，干擾主機(jī)正常的 IP 報(bào)文轉(zhuǎn)發(fā)。 因此，設(shè)備應(yīng)能關(guān)閉 ICMP 重定向報(bào)文的轉(zhuǎn)發(fā)。 3）定向廣播報(bào)文轉(zhuǎn)發(fā)開關(guān) 在接口上進(jìn)行配置，禁止目的地址為子網(wǎng)廣播地址的報(bào)文從該接口轉(zhuǎn)發(fā)，以防止 smurf 攻擊。 因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。 4） ICMP 協(xié)議的功能開關(guān) 很多常見的網(wǎng)絡(luò)攻擊利用了 ICMP 協(xié)議功能。 ICMP 協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)（路由器）向其它設(shè)備節(jié)點(diǎn)和主機(jī)發(fā)送差錯(cuò)或控制報(bào)文；主機(jī)也可用 ICMP 協(xié)議與網(wǎng)絡(luò)設(shè)備或另一臺(tái)主機(jī)通信。 對(duì) ICMP 的防 護(hù)比較復(fù)雜，因?yàn)?ICMP 中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息，因此 ICMP 協(xié)議處理中應(yīng)根據(jù)這三種差別對(duì)不同的 ICMP 消息處理，以減少 ICMP 對(duì)網(wǎng)絡(luò)安全的影響。 、 設(shè)備安全防護(hù) 設(shè)備自身的安全防護(hù)技術(shù) 1）口令管理 為防止對(duì)系統(tǒng)未經(jīng)授權(quán)的訪問，系統(tǒng)必須具有完善的密碼管理功能。雖然幾乎所有數(shù)據(jù)通信設(shè)備都具有 RADIUS 或 TACACS 認(rèn)證服務(wù)器進(jìn)行口令管理的能力，但在設(shè)備本地進(jìn)行密碼分配和管理仍是設(shè)備本身應(yīng)具有的安全特性。這里只描述本地密碼管理。 口令的密文顯示 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 23 頁(yè) 共 71 頁(yè) 若系統(tǒng)的配置 文件以文本方式進(jìn)行保存，則在配置文件中，所有的口令都必須以密文方式顯示和保存。 2）控制對(duì)設(shè)備的訪問 控制臺(tái)訪問： 控制臺(tái)是設(shè)備提供的最基本的配置方式?？刂婆_(tái)擁有對(duì)設(shè)備最高配置權(quán)限，對(duì)控制臺(tái)訪問方式的權(quán)限管理應(yīng)擁有最嚴(yán)格的方式。 用戶登錄驗(yàn)證 對(duì)從設(shè)備 CONSOLE 口進(jìn)行訪問配置的用戶必需具有身份認(rèn)證的能力，可以通過(guò)本地用戶驗(yàn)證或 RADIUS 驗(yàn)證實(shí)現(xiàn)。 控制臺(tái)超時(shí)注銷 控制臺(tái)訪問用戶超過(guò)一段時(shí)間對(duì)設(shè)備沒有交互操作，設(shè)備將自動(dòng)注銷本次控制臺(tái)配置任務(wù)。超時(shí)時(shí)間必須可配置，缺省為 10 分鐘。 使能 /禁止用戶通過(guò)控制 臺(tái)對(duì)設(shè)備進(jìn)行訪問 通過(guò)禁止控制臺(tái)數(shù)據(jù)收發(fā)，禁止用戶直接通過(guò)異步線路進(jìn)行配置。這樣，即使非法用戶占領(lǐng)了控制臺(tái)，通過(guò)重啟設(shè)備清除了控制臺(tái)訪問口令，也無(wú)法通過(guò)控制臺(tái)對(duì)設(shè)備進(jìn)行非法配置。 控制臺(tái)終端鎖定 配置用戶離開配置現(xiàn)場(chǎng)，設(shè)備應(yīng)提供暫時(shí)鎖定終端的能力，并設(shè)置解鎖口令。 3)異步輔助端口的本地 /遠(yuǎn)程撥號(hào)訪問 通過(guò)設(shè)備的其它異步輔助端口對(duì)設(shè)備進(jìn)行本地、遠(yuǎn)程撥號(hào)的交互配置，是設(shè)備通供的額外配置方式。 缺省要求身份驗(yàn)證 對(duì)于非控制臺(tái)的其它一切配置手段，必須要求設(shè)備配置身份驗(yàn)證，如果設(shè)備未配，將拒絕接受用戶登錄。 用戶登 錄驗(yàn)證 原理同控制臺(tái)訪問控制的基本能力，這是無(wú)論那種配置方式都必需提供的基本控制能力。 終端超時(shí)注銷 /掛斷 原理同控制臺(tái)訪問控制的基本能力，對(duì)于 PSTN 撥號(hào)配置方式，超時(shí)將掛斷連接。 超時(shí)時(shí)間必須可配置，缺省為 10 分鐘。 使能 /禁止用戶通過(guò)輔助端口對(duì)設(shè)備進(jìn)行交互訪問 終端鎖定 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 24 頁(yè) 共 71 頁(yè) 撥號(hào)用戶回呼功能 當(dāng)通過(guò)輔助端口以撥號(hào)方式對(duì)設(shè)備進(jìn)行配置時(shí)，可以保證當(dāng)口令被盜用時(shí)，非法用戶也不能盜用線路。 4） TELNET 訪問 缺省要求身份驗(yàn)證 對(duì)于非控制臺(tái)的其它一切配置手段，必須要求設(shè)備配置身份驗(yàn)證，如果設(shè)備未配，將拒絕登錄。 用戶登錄驗(yàn)證 終端超時(shí)退出 當(dāng) tel 連接未交互超過(guò)一定時(shí)間時(shí)，將斷開本次 tel 連接。 超時(shí)時(shí)間必須可配置，缺省為10 分鐘 限制 tel 用戶數(shù)目 設(shè)備對(duì) tel 用戶數(shù)量必需做出上限控制。 使能 /禁止用戶通過(guò) tel 方式對(duì)設(shè)備進(jìn)行訪問 tel 訪問的限入限出 限制哪些用戶可以通過(guò) tel 客戶端對(duì)設(shè)備進(jìn)行訪問； 限制設(shè)備通過(guò) tel 客戶端程序 對(duì)那些目標(biāo)主機(jī)進(jìn)行訪問 tel 終端鎖定 5） SNMP 訪問 SNMP 是一種使用非常廣泛的協(xié)議，主要用于設(shè)備的監(jiān)控和配置的更改。 SNMP 協(xié)議自身有安全性保障，同時(shí) SNMP Agent 還應(yīng)該具備對(duì)網(wǎng)管站的訪問進(jìn)行限制的能力。 需特別指出： SNMP 的網(wǎng)管站通常有大量的關(guān)于驗(yàn)證信息的數(shù)據(jù)庫(kù)，例如團(tuán)體名。這些信息可以提供訪問許多路由器或者其他網(wǎng)絡(luò)設(shè)備的途徑。這使得網(wǎng)管站成為許多攻擊的目標(biāo)，因此，必須要保證網(wǎng)管站的安全。 SNMPv1 的安全性 SNMPV1 使用的驗(yàn)證方式是基于團(tuán)體名字符串的驗(yàn)證機(jī)制， SNMPv1 的驗(yàn)證非常弱： 它使用明文作為驗(yàn)證字。 大部分的 SNMP 操作重復(fù)使用該字符串作為周期性輪流檢測(cè)的一部分。 如果必須使用 SNMPV1，應(yīng)當(dāng)注意 如下事項(xiàng)，以避免安全隱患： 最好不要使用常用的 public和 private作為團(tuán)體名； 對(duì)每個(gè)設(shè)備使用不同的團(tuán)體名，或者至少是對(duì)網(wǎng)絡(luò)上的每個(gè)區(qū)域使用不同的團(tuán)體名。 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 25 頁(yè) 共 71 頁(yè) 不要使只讀的團(tuán)體名和讀寫的團(tuán)體名一致。如果可能，應(yīng)該實(shí)現(xiàn)使用只讀的團(tuán)體名進(jìn)行周期性的輪流檢測(cè)。讀寫的團(tuán)體名應(yīng)該僅僅用于當(dāng)前的寫操作。 SNMPv2 的安全性 SNMP 的后序版本 SNMPv2 進(jìn)行了改進(jìn)，它支持基于 MD5 的驗(yàn)證方案，并且允許對(duì)訪問的管理數(shù)據(jù)進(jìn)行存取上的限制。 SNMPv2 基本上是一個(gè)過(guò)渡版本，有多個(gè)版本，盡管也考慮了協(xié)議自身的安全 性，但是技術(shù)上并不成熟，安全性仍比較弱。 尤其要注意的是，目前常用的 SNMPv2c，沒有增加安全特性，其安全能力與 SNMPv1 相同。 SNMPv3 的安全性 SNMPv3 對(duì)協(xié)議的安全性給出了全面的解決方案。 SNMPv3 繼承了 SNMPv2u 的很多優(yōu)點(diǎn)，并且從系統(tǒng)的角度進(jìn)行了優(yōu)化。它提供了一個(gè) SNMP NMS 和 AGENT 的完整的系統(tǒng)框架。從安全角度來(lái)講， SNMPv3 使用了基于用戶的安全模式（ USM）和基于視圖的訪問控制模式（ VACM）。 USM 使用 MD5 或者 SHA 對(duì)報(bào)文進(jìn)行驗(yàn)證，使用 DES 對(duì)報(bào)文進(jìn)行加密。這樣保證 了數(shù)據(jù)的完整性和正確性。 VACM 則對(duì)當(dāng)前用戶的訪問權(quán)限進(jìn)行檢查，看當(dāng)前用戶是否可以對(duì)管理數(shù)據(jù)進(jìn)行操作。關(guān)于 USM 和 VACM 的詳細(xì)介紹可以參見 RFC2574 和RFC2575。 網(wǎng)管訪問控制列表 在大多數(shù)網(wǎng)絡(luò)中，合法的 SNMP 報(bào)文將來(lái)自于某幾個(gè)網(wǎng)管站。 SNMP Agent 應(yīng)使用訪問列表對(duì)SNMP 報(bào)文進(jìn)行限制，僅僅允許指定 IP 地址的網(wǎng)管站訪問。 6） HTTP 訪問 HTTP 訪問方式通過(guò) HTTP 協(xié)議對(duì)設(shè)備進(jìn)行配置和監(jiān)控，同樣是對(duì)設(shè)備的一種交互訪問方式 HTTP 用戶驗(yàn)證 對(duì) HTTP 客戶端進(jìn)行身份認(rèn)證，可以選擇采用本地或 RADIUS、 TACACS 協(xié)議等多種方式進(jìn)行認(rèn)證。但目前 HTTP 協(xié)議本身僅支持明文驗(yàn)證。 HTTP 訪問控制列表 與訪問受限的網(wǎng)管站和 tel 客戶端一樣，限制那些 HTTP 客戶端能夠?qū)υO(shè)備進(jìn)行訪問。 、 關(guān)閉設(shè)備服務(wù) 1）關(guān)閉 UDP/TCP 小端口服務(wù) 早期的 TCP/UDP 端口服務(wù)，設(shè)計(jì)比較簡(jiǎn)單，沒有考慮網(wǎng)絡(luò)安全問題，這類小端口服務(wù)可能被海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 26 頁(yè) 共 71 頁(yè) 惡意攻擊者利用。 例如， 7 號(hào) UDP 端口服務(wù) “echo”回應(yīng)所有發(fā)送給它的包， 19 號(hào) UDP 端口服務(wù) “chargen”自動(dòng)發(fā)送字符串。常見網(wǎng)絡(luò)攻擊中， UDP 洪水就是利用 chargen 和 echo 來(lái)傳送毫無(wú)用處的占滿帶寬的數(shù)據(jù)：通過(guò)偽造與某一主機(jī)的 Chargen 服務(wù)之間的一次的 UDP 連接，回復(fù)地址指向開著 Echo 服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間的足夠多的無(wú)用數(shù)據(jù)流，從而消耗網(wǎng)絡(luò)帶寬。其他常見的端口服務(wù)索引參見 RFC1700。 如果網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)了這些早期的小端口服務(wù)，應(yīng)能通過(guò)一條指令關(guān)閉所有的小端口服務(wù)。 作為網(wǎng)絡(luò)設(shè)備，最好不實(shí)現(xiàn)這些無(wú)用的小端口服務(wù)。 2）關(guān)閉協(xié)議服務(wù) 設(shè)備上提供很多服務(wù)和應(yīng)用，在不同的網(wǎng)絡(luò)環(huán)境中這些服務(wù)可能是不必要的，若開啟這些服務(wù)將對(duì)設(shè)備自身性能造成影響，因此需 要這些關(guān)閉服務(wù)；有些服務(wù)還會(huì)帶來(lái)潛在的安全問題，也同樣需要關(guān)閉。 關(guān)閉 finger 服務(wù) 利用 finger 服務(wù)，遠(yuǎn)程主機(jī)可以監(jiān)聽到所有登錄到設(shè)備中的用戶 login 信息。若被惡意攻擊者利用可以竊取登錄到系統(tǒng)的所有用戶的詳細(xì)信息。網(wǎng)絡(luò)設(shè)備需要禁止 finger 服務(wù)。 關(guān)閉 NTP 協(xié)議服務(wù) NTP 協(xié)議用來(lái)在整個(gè)網(wǎng)絡(luò)發(fā)布精確時(shí)鐘。通常在設(shè)備上指定特定的接口去發(fā)送和接收 NTP 報(bào)文；同時(shí)在某些特定接口上禁止接收 NTP 報(bào)文，以減少對(duì)設(shè)備性能的損耗。 3）設(shè)備健壯性設(shè)計(jì) 網(wǎng)絡(luò)設(shè)備暴露出來(lái)的安全問題，很多情況下，并不是直接由設(shè)備安 全不足產(chǎn)生的，而是設(shè)備本身不健壯導(dǎo)致的。 首先，流量負(fù)荷較重容易導(dǎo)致系統(tǒng)崩潰。網(wǎng)絡(luò)在惡意攻擊下，容易呈現(xiàn)流量不對(duì)稱現(xiàn)象，有些設(shè)備對(duì)這個(gè)現(xiàn)象沒有做相應(yīng)的可靠性設(shè)計(jì)。 其次，設(shè)備需要對(duì)這類畸形包做健壯性設(shè)計(jì)。在常見網(wǎng)絡(luò)攻擊中，有一類是利用畸形包來(lái)攻擊網(wǎng)絡(luò)設(shè)備。例如： 淚滴（ teardrop）攻擊，對(duì) IP 分片的報(bào)文頭，偽造分段長(zhǎng)度，制造出重疊偏移的情況。 某些設(shè)備的 TCP/IP 協(xié)議棧，在收到含有這樣的重疊偏移分段時(shí)將崩潰。 因此，對(duì)于寬帶產(chǎn)品，有必要在產(chǎn)品測(cè)試過(guò)程中，引入模擬網(wǎng)絡(luò)攻擊測(cè)試，驗(yàn)證各寬帶產(chǎn)品在各類常見 攻擊下的可靠性。 4）設(shè)備安全補(bǔ)丁 軟件補(bǔ)丁是為了對(duì)系統(tǒng)軟件中的某些錯(cuò)誤進(jìn)行修改而發(fā)布的獨(dú)立的軟件單元。軟件補(bǔ)丁應(yīng)當(dāng)在海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 27 頁(yè) 共 71 頁(yè) 不影響系統(tǒng)正常運(yùn)行的情況下，完成對(duì)系統(tǒng)錯(cuò)誤的修正。對(duì)于設(shè)備存在的軟件安全漏洞，可以采用打軟件補(bǔ)丁的方法進(jìn)行補(bǔ)救。 基本要求 軟件補(bǔ)丁的加載和生效需要?jiǎng)討B(tài)進(jìn)行，即在不影響用戶業(yè)務(wù)的情況下完成。 提供補(bǔ)丁軟件校驗(yàn)碼，增加補(bǔ)丁軟件加載的自身安全。 注意事項(xiàng) 軟件補(bǔ)丁動(dòng)態(tài)加載的能力可能被惡意攻擊者利用，需要加強(qiáng)權(quán)限管理。 缺省應(yīng)關(guān)閉軟件補(bǔ)丁動(dòng)態(tài)加載的能力。 、 其它安全措施 信息隱匿： NAT 在出口 路由器上使用 NAT，使得公網(wǎng)用戶無(wú)法看見本網(wǎng)絡(luò)的用戶 IP 地址，保護(hù)本網(wǎng)用戶免受公網(wǎng)用戶的攻擊。 對(duì)所有重要事件 log 利用 Syslog 記錄重要的設(shè)備信息 (如告警，設(shè)備狀態(tài)變化信息 )，可以為故障定位排除提供有利數(shù)據(jù)。 URPF 對(duì)基于源地址欺騙的網(wǎng)絡(luò)攻擊，一般是使用防火墻技術(shù)來(lái)解決的，即通過(guò)手工配置防火墻策略來(lái)拒絕非法源地址的報(bào)文，但這種方法具有一定的局限性。首先，基于源地址欺騙的攻擊者，會(huì)經(jīng)常改變其報(bào)文的源地址來(lái)進(jìn)行攻擊，而防火墻是無(wú)法動(dòng)態(tài)檢測(cè)到這種變化的，需要網(wǎng)絡(luò)管理人員定期地去更新防火墻的配置。 其次，防火墻的實(shí)現(xiàn)需要在接口上配置 ACL，如果配置過(guò)多的 ACL，對(duì)性能會(huì)有很大的影響。 、 VLAN規(guī)劃 建議方案，以酒店 實(shí)際規(guī)劃為主。 供 酒店外網(wǎng)、酒店內(nèi)網(wǎng) 參考。 、 各功能區(qū) VLAN 定義 根據(jù)酒店 的實(shí)際情況來(lái)劃分。 海韻國(guó)際酒店 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 第 28 頁(yè) 共 71 頁(yè) 、 IP 分配方案 建議方案，以 酒店實(shí)際規(guī)劃為主。 供酒店外網(wǎng)、酒店內(nèi)網(wǎng)參考。 、 IP地址規(guī)劃的重要性 IP 地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。需要在所分配的 IP 地址網(wǎng)段中盡可能地利用地址空間，充分考慮地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。 IP 地址空間的分 配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對(duì)網(wǎng)絡(luò)的 可用性、可靠性和有效性以及保密性產(chǎn)生顯著影響。 IP 地址規(guī)劃將對(duì)如下環(huán)節(jié)產(chǎn)生影響 ： ? 路由協(xié)議的運(yùn)行效率 ? 網(wǎng)絡(luò)的性能 ? 網(wǎng)絡(luò)的擴(kuò)展 ? 網(wǎng)絡(luò)的管理 、 IP地址編碼的基本原則 唯一性 唯一性是 IP 地址在 TCP／ IP 協(xié)議中最基本的要求，是 IP 地址的基本特征和 IP 地址編制的重要依據(jù)。網(wǎng)絡(luò)平臺(tái)內(nèi)部每個(gè)網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)地址字段必須是唯一的，在同一網(wǎng)絡(luò)中所使用的 IP 地址中包含的主機(jī)地址字段也必須是唯一的，這是實(shí)現(xiàn) IP 網(wǎng)絡(luò)互聯(lián)互通的基本條件。 連續(xù)性 在層次 化結(jié)構(gòu)的網(wǎng)絡(luò)中為各個(gè)節(jié)點(diǎn)劃分連續(xù)的 IP 地址區(qū)間，便于實(shí)觀路徑疊合 (Route Summarization)等優(yōu)化 IP 地址的分配技術(shù)，簡(jiǎn)化路由表數(shù)據(jù)，提高路由算法的計(jì)算效