【正文】 路安全設(shè)施，是對防病毒軟體（Antivirus Programs）和防火墻(Packet Filter, Application Gateway)的補充。IPS是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。H3C產(chǎn)品型號包括從50Mbps處理性能的H3C IPS 50到5Gbps處理性能的H3C IPS 5000E，可以滿足從SOHO辦公、中小企業(yè)、到大企業(yè)和電信運營商的各種組網(wǎng)需求。 IPS的組網(wǎng)應用H3C的入侵防御系統(tǒng)能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點到點應用濫用。通過深達第七層的流量偵測，H3C的入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。利用H3C提供的數(shù)字疫苗服務(wù)，入侵防御系統(tǒng)能得到及時的特征、漏洞過濾器、協(xié)議異常過濾器和統(tǒng)計異常過濾器更新從而主動地防御最新的攻擊。此外，H3C的入侵防御系統(tǒng)是目前能夠提供微秒級時延、高達5G的吞吐能力和帶寬管理能力的最強大的入侵防御系統(tǒng)。H3C SecPath UTM（United Threat Management，統(tǒng)一威脅管理)采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時提供病毒防護、URL過濾、漏洞攻擊防護、垃圾郵件防護、應用層流量控制和用戶行為審計等安全功能。 UTM的組網(wǎng)應用 H3C的SecPath UTM系列產(chǎn)品包括SecPath U200A、SecPath U200M、SecPath U200S、SecPath U200CA、SecPath U200CM、SecPath U200CS六類。需要根據(jù)具體的要求部署相關(guān)的產(chǎn)品。5 身份認證與訪問控制 隨著Internet的迅速發(fā)展，對網(wǎng)絡(luò)的安全性要求越來越高，尤其是在用戶訪問關(guān)鍵性資源和對其進行操作時。對于用戶身份認證和網(wǎng)絡(luò)接入控制的方法有很多，不過對我們而言不是部署的安全措施越多越好，而是在合適的位置根據(jù)合理的要求來部署安全措施。下面介紹主要的幾種安全措施。 AAA安全服務(wù)AAA 是Authentication，Authorization and Accounting（認證、授權(quán)和計費）的簡稱，它提供了一個用來對認證、授權(quán)和計費這三種安全功能進行配置的一致性框架，實際上是對網(wǎng)絡(luò)安全的一種管理。AAA 是一種管理框架，因此，它可以用多種協(xié)議來實現(xiàn)。H3C廠商的設(shè)備主要支持RADIUS和HWTACACS兩種協(xié)議。AAA安全服務(wù)的用途很廣泛，主要包括Telnet登錄，SSH登錄，VPN接入，設(shè)備訪問等。RADIUS協(xié)議配置是以RADIUS方案為單位進行的。當創(chuàng)建一個新的RADIUS方案之后，需要對屬于此方案的RADIUS 服務(wù)器的IP 地址和UDP 端口號進行設(shè)置，這些服務(wù)器包括認證/授權(quán)和計費服務(wù)器，而每種服務(wù)器又有主服務(wù)器和從服務(wù)器的區(qū)別。每個RADIUS 方案的屬性包括：主服務(wù)器的IP 地址、從服務(wù)器的IP 地址、共享密鑰以及RADIUS 服務(wù)器類型等。：在實際組網(wǎng)環(huán)境中，必須至少設(shè)置一個認證/授權(quán)服務(wù)器和一個計費服務(wù)器（如果不配置計費服務(wù)器，則必須配置accounting optional 命令）。同時，保證交換機上的RADIUS 服務(wù)端口設(shè)置與RADIUS 服務(wù)器上的端口設(shè)置保持一致。在實踐中，人們最常使用RADIUS 協(xié)議來實現(xiàn)AAA。 Telnet 用戶的Radius 認證典型組網(wǎng)圖HWTACACS（HUAWEI Terminal Access Controller Access Control System）是在TACACS（RFC 1492）基礎(chǔ)上進行了功能增強的安全協(xié)議。該協(xié)議與RADIUS 協(xié)議類似，主要是通過ClientServer 模式與TACACS 服務(wù)器通信來實現(xiàn)多種用戶的AAA 功能，可用于PPP 和VPDN 接入用戶及終端用戶的認證、授權(quán)和計費。與RADIUS相比，HWTACACS具有更加可靠的傳輸和加密特性，更加適合于安全控制。HWTACACS協(xié)議與RADIUS協(xié)議的主要區(qū)別如下表所示。HWTACACS 協(xié)議RADIUS 協(xié)議使用 TCP，網(wǎng)絡(luò)傳輸更可靠使用 UDP除了HWTACACS 報文頭，對報文主體進行加密只是對驗證報文中的密碼字段進行加密認證和授權(quán)分離認證和授權(quán)一起處理更適于進行安全控制更適于進行計費支持對設(shè)備的配置命令進行授權(quán)使用不支持HWTACACS的典型應用是撥號用戶或終端用戶需要登錄到設(shè)備上進行操作。交換機作為HWTACACS的客戶端，將用戶名和密碼發(fā)給TACACS服務(wù)器進行驗證，驗證通過并得到授權(quán)之后可以登錄到交換機上進行操作。 HWTACACS 的典型應用組網(wǎng)圖 EAD安全解決方案EAD（Endpoint Admission Defense，端點準入防御）安全產(chǎn)品是一套融合H3C網(wǎng)絡(luò)設(shè)備、用戶終端和第三方安全產(chǎn)品的全網(wǎng)安全體系框架，其目的是整合孤立的單點安全部件，加強網(wǎng)絡(luò)終端的主動防御能力，控制病毒、蠕蟲的蔓延。形成完整的網(wǎng)絡(luò)安全體系，最終為用戶提供端到端安全防護。EDA方案完全可以媲美Cisco公司的NAC(Network Access control,網(wǎng)絡(luò)準入控制)方案。 CAMS與交換機配合實現(xiàn)EAD 功能特性組網(wǎng)示意圖，EAD安全產(chǎn)品由四個功能組件組成：安全客戶端及客戶端插件接口、客戶端管理代理、安全策略服務(wù)器和CAMS安全組件。CAMS安全組件的主要功能是對終端用戶的安全策略進行配置；安全策略服務(wù)器則用于對用戶終端的染毒狀況、殺毒策略、系統(tǒng)補丁、軟件使用情況進行集中管理、強制配置（如強制病毒客戶端升級、強制打補?。?，確保全網(wǎng)安全策略的統(tǒng)一。同時，它們通過客戶端管理代理與安全客戶端相配合，記錄用戶的安全日志，并提供查詢及監(jiān)控功能，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全狀態(tài)的詳細信息。H3C的EAD安全產(chǎn)品可以構(gòu)建分布式的、內(nèi)外結(jié)合的網(wǎng)絡(luò)安全架構(gòu)，最大限度的防止非法入侵。在EAD解決方案的框架下，用戶的認證過程可以分為兩個步驟：用戶身份認證和安全認證。用戶身份認證在CAMS平臺上進行，通過用戶名和密碼來確定用戶是否合法。身份認證通過后，用戶處在上圖中的隔離區(qū)，與此同時發(fā)起安全認證。如果安全認證通過，則用戶的隔離狀態(tài)被解除，可以正常訪問網(wǎng)絡(luò)資源；如果安全認證不通過，則繼續(xù)隔離用戶，直到用戶完成相關(guān)修復操作后通過安全認證為止。 IEEE802 LAN/WAN 委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題。后來， 協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制用在以太網(wǎng)中，主要解決以太網(wǎng)內(nèi)認證和安全方面的問題。 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制（Port Based Network Access Control）協(xié)議?！盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入控制設(shè)備的端口這一級對所接入的設(shè)備進行認證和控制。連接在端口上的用戶設(shè)備如果能通過認證，就可以訪問局域網(wǎng)中的資源；如果不能通過認證，則無法訪問局域網(wǎng)中的資源——相當于連接被物理斷開。 接入控制組網(wǎng)示意圖：端口Ethernet 1/0/1 上對用戶接入進行認證，以控制其訪問Internet；接入控制模式要求是基于MAC地址的接入控制,即該端口下的所有接入用戶均需要單獨認證，當某個用戶下線時，也只有該用戶無法使用網(wǎng)絡(luò)。交換機收到客戶的訪問請求后，將其交給認證服務(wù)器，在此之前僅允許客戶端的認證流量通過。在交換機上啟動了對 客戶端的版本驗證功能后， 客戶端軟件的版本和合法性進行驗證，以防止使用有缺陷的老版本客戶端或者非法客戶端的用戶上網(wǎng)。 提供了一個用戶身份認證的實現(xiàn)方案，為了實現(xiàn)此方案，還需要在交換機上配置AAA 方案，選擇使用RADIUS 或本地認證方案， 完成用戶身份認證,以下是認證過程示意圖。 設(shè)備安全保護網(wǎng)絡(luò)中的設(shè)備是網(wǎng)絡(luò)安全最重要的任務(wù)之一。網(wǎng)絡(luò)設(shè)備屬于網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)層面，一旦遭到攻擊，該受損設(shè)備可能被配置成攻擊者想要它做的動作，后果不堪設(shè)想。網(wǎng)絡(luò)設(shè)備包括路由器、交換機、防火墻集中器和入侵檢測設(shè)備。本章從設(shè)備物理安全、訪問控制方法、遠程訪問等方面介紹保證設(shè)備安全的方法。 物理安全 物理安全包括判斷對設(shè)備潛在的物理威脅，以及設(shè)計方法阻止它們對網(wǎng)絡(luò)造成的影響。物理安全可以防止入侵者獲得對設(shè)備的物理訪問，即手動接觸。物理安全比起網(wǎng)絡(luò)安全更為重要，但往往被網(wǎng)絡(luò)管理員所忽略。盡管有各種高層次的保護措施，但物理訪問收到威脅會危及到整個網(wǎng)絡(luò)。保證物理安全主要有以下幾個方面：n 冗余設(shè)備：即在正常運行的設(shè)備外再購置一整套同樣的設(shè)備，運行相同的服務(wù)，而且位置最好不要跟原來設(shè)備很近，避免自然災害的襲擊。雖然看來多此一舉，然而美國“911”事件讓那些做了此項物理備份的企業(yè)獲益匪淺，充分說明了這一措施的重要意義。n 網(wǎng)絡(luò)的安全位置：IDC數(shù)據(jù)中心和機房盡量在安全的地方，要裝避雷針，還要能夠避免火災和剛強度的電磁信號干擾。n 選擇安全介質(zhì)：線纜的竊聽已經(jīng)成為一種攻擊的新型手段，同軸電纜和雙絞線比較容易搭線竊聽，光線最難竊聽。在關(guān)鍵線路如核心層之間要采用高可靠性的介質(zhì)，避免線路故障帶來的網(wǎng)絡(luò)故障。n 電力供應：雖然數(shù)據(jù)是網(wǎng)絡(luò)的生命之源，但只有在電力驅(qū)動他們要運行的機器時才會流動。采用24小時不斷電的UPS電源，另外最好有一個備份電源。 登錄方式和用戶帳號任何人登錄到網(wǎng)絡(luò)設(shè)備上都能夠顯示一些重要的配置信息。一個攻擊者可以將該設(shè)備作為攻擊的中轉(zhuǎn)站。所以我們必須正確控制網(wǎng)絡(luò)設(shè)備的登錄訪問。盡管大部分的登錄訪問缺省都是禁止的。但是有一些例如，比如控制臺端口(Console)默認就是允許登錄的。Console登錄是最基本的登錄方式，管理員需要用Console線物理連接到需要管理的設(shè)備上，在終端上設(shè)置好相應的波特率、數(shù)據(jù)位、奇偶校檢位、停止位、流控等參數(shù)。這種登陸最好需要用用戶帳號來限制登錄。大多時候我們調(diào)試設(shè)備，不可能在IDC機房里實現(xiàn)，更多的時候是遠程控制。目前主流的遠程登錄方式有Telnet和SSH兩種。Telnet為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用Telnet程序，用它連接到服務(wù)器。終端使用者可以在Telnet程序中輸入命令，這些命令會在服務(wù)器上運行，就像直接在服務(wù)器的控制臺上輸入一樣?？梢栽诒镜鼐湍芸刂品?wù)器。要開始一個Telnet會話，必須輸入用戶名和密碼來登錄服務(wù)器。但是Telnet登錄方式在傳輸用戶名和密碼的過程中并不對其進行加密SSH（Secure Shell，安全外殼）是一個用于在非安全網(wǎng)絡(luò)中提供安全的遠程登錄以及其他安全網(wǎng)絡(luò)服務(wù)的協(xié)議。當用戶通過非安全的網(wǎng)絡(luò)環(huán)境遠程登錄到交換機時，每次發(fā)送數(shù)據(jù)前，SSH 都會自動對數(shù)據(jù)進行加密，當數(shù)據(jù)到達目的地時，SSH 自動對加密數(shù)據(jù)進行解密，以此提供安全的信息保障，以保護交換機不受諸如明文密碼截取等攻擊。除此之外，SSH 還提供強大的認證功能，以保護不受諸如“中間人”等攻擊方式的攻擊。SSH 采用客戶端——服務(wù)器模式。SSH 服務(wù)器接受SSH 客戶端的連接并提供認證，SSH 客戶端與SSH 服務(wù)器建立SSH 連接，從而實現(xiàn)通過SSH 登錄到SSH 服務(wù)器端。用戶名和密碼兩個參數(shù)的組合可以很好的實現(xiàn)用戶識別。要建立一個身份認證系統(tǒng)，可以再設(shè)備本身上，最好是在Radius或者是HWTacacs服務(wù)器上。這個系統(tǒng)可以在很多場合應用例如：Telnet或者SSH虛擬類型終端路線、VPN用戶、。另外密碼的設(shè)定上，盡量不要用一些大家容易猜測的密碼如6666612345或者是公司英文名稱。進入系統(tǒng)視圖的密碼盡量用MD5加密，這樣非管理員用戶就不能通過相關(guān)命令來獲取該密碼。用戶帳號可以設(shè)定不同的級別，不同的帳號針對的用戶需求設(shè)定不同的命令行級別，例如：訪問級、監(jiān)控級、系統(tǒng)級、管理級4個級別。 SNMP協(xié)議的應用 SNMP(Simple Network Management Protocol,簡單網(wǎng)絡(luò)管理協(xié)議)是目前網(wǎng)絡(luò)中用得最廣泛的網(wǎng)絡(luò)管理協(xié)議。SNMP 是被廣泛接受并投入使用的工業(yè)標準，用于保證管理信息在網(wǎng)絡(luò)中任意兩點間傳送，便于網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點檢索信息、修改信息、定位故障、完成故障診斷、進行容量規(guī)劃和生成報告。SNMP 采用輪詢機制，只提供最基本的功能集，特別適合在小型、快速和低價格的環(huán)境中使用。SNMP 的實現(xiàn)基于無連接的傳輸層協(xié)議UDP，因此可以實現(xiàn)和眾多產(chǎn)品的無障礙連接。目前SNMP有三個版本，SNMP VSNMP V2C 采用團體名（Community Name）認證，SNMP V3 采用用戶名和密碼認證方式。大多數(shù)企業(yè)目前采用的是SNMP V2。SNMP 分為NMS 和Agent 兩部分：NMS和Agent。NMS（Network Management Station，網(wǎng)絡(luò)管理站）是運行客戶端程序的工作站，目前常用的網(wǎng)管平臺有QuidView、Sun NetManager和IBM NetView。Agent是運行在網(wǎng)絡(luò)設(shè)備上的服務(wù)器端軟件。NMS可以向Agent 發(fā)出GetRequest、GetNextRequest和SetRequest報文，Agent接收到NMS的這些請求報文后，根據(jù)報文類型進行Read 或Write 操作，生成Response報文，并將報文返回給NMS。Agent 在設(shè)備發(fā)生異常情況或狀態(tài)改變時（如設(shè)備重新啟動），也會主動向NMS 發(fā)送Trap報文，向NMS匯報所發(fā)生的事件。 NTP協(xié)議的應用 NTP（Network Time Protocol，網(wǎng)絡(luò)時間協(xié)議）是由RFC1305 定義的時間同步協(xié)議，用來在分布式時間服務(wù)器和客戶端之間進行時間同步。NTP 使用UDP 端口123進行報文的傳輸。NTP 的目標是對網(wǎng)絡(luò)內(nèi)所有具有時鐘的設(shè)備進行時鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時鐘基本保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時間的多種應用。對于開啟了