【正文】 統(tǒng)資源的攻擊方式。（11） 關(guān)掉交換機(jī)所有不會使用的接口，并且把它們劃進(jìn)一個不做日常使用的VLAN里面。（12） 使用端口安全機(jī)制來防止MAC洪泛攻擊。（13） 在適當(dāng)?shù)沫h(huán)境中，運(yùn)用端口級別的安全特性，比如DHCP Snooping、IP源地址防護(hù)、ARP安全。（14） 啟用一些相關(guān)的生成樹安全協(xié)議。OSPF也是一種路由協(xié)議，它是鏈路狀態(tài)協(xié)議的開放版本。在實(shí)際工作中，在一些大型網(wǎng)絡(luò)、混合型的網(wǎng)絡(luò)中，常常使用OSPF協(xié)議。RIP協(xié)議存在一定的缺陷。而網(wǎng)絡(luò)專家之所以開發(fā)OSPF協(xié)議，就主要是為了應(yīng)對RIP協(xié)議的缺陷。1. 利用OSPF協(xié)議解決RIP路由信息協(xié)議的缺陷RIP與RIP2協(xié)議都具有15跳的限制。如果網(wǎng)絡(luò)跨越超過了15跳限制的話，目的地會被認(rèn)為不可達(dá)。所以，RIP路由信息協(xié)議其使用范圍就被定義在小型網(wǎng)絡(luò)。而OSPF協(xié)議繼承了RIP路由信息協(xié)議原有的優(yōu)點(diǎn)，同時突破了這個15跳的限制。另外，OSPF還可以解決RIP路由信息協(xié)議匯聚緩慢等缺陷。OSPF協(xié)議也如同RIP協(xié)議一樣，是目前中小型企業(yè)網(wǎng)絡(luò)設(shè)計中常用的協(xié)議。所以，如何提高這個協(xié)議的安全性，對于網(wǎng)絡(luò)管理員來說也就顯得尤其的重要。2. 通過思科路由器提高OSPF的安全性那么思科路由器是如何來保障OSPF協(xié)議的安全性的呢?在思科網(wǎng)絡(luò)產(chǎn)品中，采取了比較完整的解決方案。一是將所有受影響的設(shè)備都設(shè)置為非廣播模式。在非廣播模式中，OSPF設(shè)備需要明確配置才能同有效的OSPF鄰居(即與某個OSPF路由器直接相連的網(wǎng)絡(luò)設(shè)備)進(jìn)行通信。在非廣播模式中，提供了一個基本的安全層，可以防止配置錯誤。因?yàn)樵谂渲媚Ｊ较?，只有預(yù)先配置成可以與這臺OSPF路由器通信的網(wǎng)絡(luò)設(shè)備才能夠與其進(jìn)行通信，更新路由信息。而在廣播環(huán)境中，任何具有正確配置的OSPF設(shè)備都可以參與到OSPF路由中。如在簡單密碼認(rèn)證模式下，只要知道這個密鑰就能夠參與到路由更新信息中。其實(shí)，這跟服務(wù)器或者路由器的遠(yuǎn)程管理類似。如可以通過訪問控制列表或者防火墻限制只有特定MAC地址或者IP地址的主機(jī)才可以遠(yuǎn)程連接到路由器上進(jìn)行遠(yuǎn)程管理。如此的話，就可以提高遠(yuǎn)程訪問的安全性。而這里采用非廣播模式，其安全思路與此是相同的。在思科的路由器產(chǎn)品中，默認(rèn)情況是采用廣播模式的。這主要是出于兼容性的考慮，如在不需要額外配置的情況下，就可以直接聯(lián)入網(wǎng)絡(luò)。不過為了提高OSPF的安全性，我們往往需要把其模式配置為非廣播模式。如需要更換這個模式，需要在路由器的接口配置提示符中執(zhí)行如下的命令：ip ospf network nonbroadcast。二是為OSPF路由設(shè)置合適的認(rèn)證方案。在OSPF路由協(xié)議中，主要支持三種認(rèn)證方式，分別為NULL認(rèn)證、簡單密碼認(rèn)證與消息摘要認(rèn)證。NULL認(rèn)證即為空認(rèn)證，也就是說不需要認(rèn)證即可以加入到OSPF網(wǎng)絡(luò)中。在簡單認(rèn)證中，密鑰在網(wǎng)絡(luò)中是通過明文傳輸?shù)?。故只需要攻擊者有監(jiān)聽器等工具就可以輕而易舉的獲取密鑰，從而就可以輕松的對網(wǎng)絡(luò)進(jìn)行破壞。而消息摘要認(rèn)證就如同上面所說的，其密鑰不直接在網(wǎng)絡(luò)上傳播。到目前為止，其采用了國際上普遍承認(rèn)的消息摘要算法?？梢哉f，其是現(xiàn)在最安全的OSPF認(rèn)證模式。故一般情況下，筆者建議網(wǎng)絡(luò)管理員采用消息摘要身份認(rèn)證。因?yàn)椴捎煤唵握J(rèn)證方式，跟采用NULL空認(rèn)證方式差不多，都不能夠有效保障OSPF網(wǎng)絡(luò)環(huán)境的安全。消息摘要算法的典型應(yīng)用是對一段信息產(chǎn)生信息摘要，以防止被篡改。比如，舉一個發(fā)生在我們身邊的實(shí)際例子。在UNIX下有很多軟件在下載的時候都有一個文件名相同，在這個文件中通常只有一行文本。這就是某個下載文件的數(shù)字簽名。MD5將整個文件當(dāng)作一個大文本信息，通過其不可逆的字符串變換算法，產(chǎn)生了這個唯一的MD5信息摘要。通過這種方式，就可以保障下載文件的合法性。若網(wǎng)絡(luò)管理員需要采用消息摘要認(rèn)證，也是比較簡單的一件事情?，F(xiàn)在思科的路由器都支持摘要消息認(rèn)證的方式。如果要在思科路由器中啟用消息摘要認(rèn)證的話，則需要在接口配置提示符下進(jìn)行操作。另外，企業(yè)可能不需要對所有的OSPF進(jìn)程采用這么高的安全認(rèn)證方法。對于一些安全性需求不高的地方，可以只采用簡單認(rèn)證或者空認(rèn)證。畢竟采用摘要消息認(rèn)證，需要花費(fèi)一定的系統(tǒng)資源。雖然這個消耗的比例比較少，但是會對網(wǎng)絡(luò)性能產(chǎn)生不利的影響。為此，在思科路由器中，可以有選擇的對OSPF協(xié)議進(jìn)程ID設(shè)置不同的認(rèn)證方式，以實(shí)現(xiàn)不同的安全需求。通過OSPF支持兩種方式的驗(yàn)證：明文驗(yàn)證、MD5驗(yàn)證來解決ospf的安全性。這樣路由器將驗(yàn)證經(jīng)過路由器的每一個數(shù)據(jù)包，都必須通過驗(yàn)證才能通過。OSPF支持兩種類型的驗(yàn)證方式：鏈路驗(yàn)證和區(qū)域驗(yàn)證。隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)安全問題也越來越得到關(guān)注。防火墻作為一種控制兩個網(wǎng)絡(luò)之間IP通信的安全機(jī)制，已成為網(wǎng)絡(luò)安全部署的首要選擇。防火墻的目的就是在信任網(wǎng)絡(luò)（區(qū)域）和非信任網(wǎng)絡(luò)（區(qū)域）之間建立一道屏障，并實(shí)施相應(yīng)的安全策略。應(yīng)該說，在網(wǎng)絡(luò)中應(yīng)用防火墻是一種非常有效的網(wǎng)絡(luò)安全手段。防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、它是一種計算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入. 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，內(nèi)網(wǎng)與外網(wǎng)的通信,也即計算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上，企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是是，則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證，防止病毒與黑客侵入等方向發(fā)展。 防火墻的特性與意義防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。防火墻具有如下特性以及意義：1．火墻特性（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害。根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。（2） 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機(jī)”，即具備兩個網(wǎng)絡(luò)接口，同時擁有兩個網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。 （3） 防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力 這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)，防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說是相對的。 目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場，國外品牌的優(yōu)勢主要是在技術(shù)和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對國內(nèi)用戶了解更加透徹，價格上也更具有優(yōu)勢。防火墻產(chǎn)品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等，它們都提供不同級別的防火墻產(chǎn)品。 2．防火墻的意義防火墻對于公司的安全來講這意味著是安全的第一道防線,只有在第一道防線加強(qiáng)了鞏固,防火墻必須做到以下功能:（1） 保護(hù)脆弱的服務(wù) 通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險。例如，防火墻可以禁止NIS、NFS服務(wù)通過，防火墻同時可以拒絕源路由和ICMP重定向封包。 （2） 控制對系統(tǒng)的訪問 防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時禁止訪問另外的主機(jī)。例如，防火墻允許外部訪問特定的Mail Server和Web Server。 （3） 集中的安全管理 防火墻對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運(yùn)用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。如在防火墻可以定義不同的認(rèn)證方法，而不需在每臺機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過—次認(rèn)證即可訪問內(nèi)部網(wǎng)。 （4） 增強(qiáng)的保密性 使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。 （5） 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù) 。防火墻可以記錄和統(tǒng)計通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，并且，防火墻可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。 （6） 策略執(zhí)行 防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置防火墻時，網(wǎng)絡(luò)安全取決于每臺主機(jī)的用戶。3．防火墻的分類防火墻的實(shí)現(xiàn)技術(shù)分為兩類：包過濾技術(shù)和應(yīng)用層報文過濾技術(shù)。根據(jù)防火墻的服務(wù)層面的不同，可以分為以下幾類：包過濾防火墻、狀態(tài)防火墻、應(yīng)用網(wǎng)關(guān)防火墻、NAT防火墻、檢測型防火墻、基于主機(jī)的防火墻、混合防火墻等。每種防火墻有各自的優(yōu)缺點(diǎn)，都有著各自的應(yīng)用場景。詳細(xì)特點(diǎn)請參見附錄D。 防火墻數(shù)據(jù)處理流程防火墻的作用就是對流經(jīng)該設(shè)備的流量進(jìn)行檢查，然后按照預(yù)定的流程進(jìn)行轉(zhuǎn)發(fā)。其處理過程如下所示：圖 410 防火墻處理數(shù)據(jù)流程 防火墻的位置部署一般是以下這兩種： 基于主機(jī)的防火墻——網(wǎng)絡(luò)中所有設(shè)備都要啟用防火墻功能(分布式），其優(yōu)點(diǎn)：簡單。缺點(diǎn)：管理困難。 基于網(wǎng)絡(luò)的防火墻——使用單一的設(shè)備限制進(jìn)出網(wǎng)絡(luò)的流量（集中式），其優(yōu)點(diǎn)：方便管理、降低成本。 但是很多情況下，這兩種部署方法共存，以達(dá)到想要的安全效果。為了合理的部署防火墻以及更好的提高中小型企業(yè)網(wǎng)絡(luò)的安全特性，作為一名網(wǎng)絡(luò)工程師或者網(wǎng)絡(luò)管理人員，我們首先要做的就是分析安全和服務(wù)需求，以下問題有助于分析安全和服務(wù)需求： 計劃使用哪些Internet服務(wù)(如，ftp)，從何處使用Internet服務(wù)(本地網(wǎng)，撥號，遠(yuǎn)程辦公室)。增加的需要，如加密或拔號接入支持；提供以上服務(wù)和訪問的風(fēng)險；提供網(wǎng)絡(luò)安全控制的同時，對系統(tǒng)應(yīng)用服務(wù)犧牲的代價。 然后就是考慮到策略的靈活性，Internet相關(guān)的網(wǎng)絡(luò)安全策略總的來說，應(yīng)該保持一定的靈活性，主要有以下原因：Internet自身發(fā)展非?？?，機(jī)構(gòu)可能需要不斷使用Internet提供的新業(yè)務(wù)開展業(yè)務(wù)。新的協(xié)議和服務(wù)大量涌現(xiàn)帶來新的安全問題，安全策略必須能反應(yīng)和處理這些問題；機(jī)構(gòu)面臨的風(fēng)險并非是靜態(tài)的，機(jī)構(gòu)職能轉(zhuǎn)變、網(wǎng)絡(luò)設(shè)置改變都有可能改變風(fēng)險。 接著就是確保遠(yuǎn)程用戶認(rèn)證的策略:遠(yuǎn)程用戶不能通過放置于Firewall后的未經(jīng)認(rèn)證的Modem訪問系統(tǒng)；PPP/SLIP連接必須通過Firewall認(rèn)證。；對遠(yuǎn)程用戶進(jìn)行認(rèn)證方法的一個培訓(xùn)。 接下來就是要部署撥入/撥出策略: 撥入/撥出能力必須在設(shè)計Firewall時進(jìn)行考慮和集成，外部撥入用戶必須通過Firewall的認(rèn)證.最后就要注意到Information Server策略:公共信息服務(wù)器的安全必須集成到Firewall中；必須對公共信息服務(wù)器進(jìn)行嚴(yán)格的安全控制，否則將成為系統(tǒng)安全的缺口；必須為Information server定義折中的安全策略允許提供公共服務(wù)；要對公共信息服務(wù)和商業(yè)信息(如)進(jìn)行安全策略區(qū)分。因此我們在部署和選擇防火墻的時候要注意一下幾個方面:是否通過了嚴(yán)格的入侵測試；對典型攻擊的防御能力；是否能夠提供足夠的網(wǎng)絡(luò)吞吐能力；自身的安全性；是否支持SNMP網(wǎng)管；是否支持VPN；認(rèn)證和加密特性；服務(wù)的類型和原理；網(wǎng)絡(luò)地址轉(zhuǎn)換能力等。一般的防火墻會放在網(wǎng)絡(luò)的邊界，而上海艾泰科技有限公司網(wǎng)絡(luò)的防火墻是放置在如下圖所示的位置(簡略圖，也即是作為出口路由器的)：圖 411 防火墻的部署示意圖上圖中是將上?？偛康木钟蚓W(wǎng)進(jìn)行了縮影，總而言之，上面的拓?fù)涫前┛萍加邢薰镜囊粋€縮小版。VPN 即虛擬專用網(wǎng)絡(luò)是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN 是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN 可用于不斷增長的移動用戶的全球因