【正文】 制。應(yīng)只允許來(lái)自服務(wù)器群的IP地址訪問(wèn)并配置路由器。這時(shí)，可以使用ACCESSCLASS命令進(jìn)行VTY訪問(wèn)控制。 服務(wù)器模塊用來(lái)對(duì)企業(yè)網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)實(shí)例中，所 有的服務(wù)器被集中到VLAN100，構(gòu)成服務(wù)器群并通過(guò)匯聚層交換機(jī) DSW1的端口接入企業(yè)網(wǎng)。 企業(yè)網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)（服務(wù)器）包括： l WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)。 l DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。 l FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。 l 郵件服務(wù)器：提供郵件收發(fā)服務(wù)。 l 實(shí)時(shí)通信服務(wù)器：提供實(shí)時(shí)通信服務(wù)。 l 流媒體服務(wù)器：提供各種流媒 體播放、點(diǎn)播服務(wù)。 l 網(wǎng)管服務(wù)器：對(duì)企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。 服務(wù)器硬件平臺(tái)、操作系統(tǒng)以及服務(wù)軟件的選型如下表：服務(wù)器編號(hào)服務(wù)器名稱硬件平臺(tái)操作系統(tǒng)Server1WEB服務(wù)器IBM System x3650Windows 2003 serverServer2FTP服務(wù)器IBM System x3650Windows 2003 serverServer3郵件服務(wù)器IBM System x3650Solaris Server4DNS服務(wù)器IBM System x3650Windows 2003 serverServer5實(shí)時(shí)通信服務(wù)器IBM System x3650Windows 2003 serverServer6流媒體服務(wù)器IBM System x3650Windows 2003 serverServer7網(wǎng)管服務(wù)器IBM System x3650Windows 2003 server第5章 網(wǎng)絡(luò)安全保障 網(wǎng)絡(luò)存在的隱患和漏洞 圖 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，企業(yè)網(wǎng)與Internet相連，在享受Internet方便快捷的同時(shí)，也面臨著遭遇攻擊的風(fēng)險(xiǎn)。由于網(wǎng)絡(luò)連接企業(yè)內(nèi)部所有用戶，安全管理十分重要。網(wǎng)絡(luò)具有防止及便于捕殺病毒功能。企業(yè)網(wǎng)絡(luò)與Internet網(wǎng)相連后具有“防火墻”過(guò)濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)?？蓪?duì)接入因特網(wǎng)的各網(wǎng)絡(luò)用戶進(jìn)行權(quán)限控制。企業(yè)網(wǎng)內(nèi)部也存在很大的安全隱患。由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來(lái)自內(nèi)部的安全威脅會(huì)更大一些。目前使用的操作系統(tǒng)存在安全漏洞，對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有Windows NT/2000、UNIX、Linux等，這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同，例如Windows NT/2000的普遍性和可操作性使它成為最不安全的系統(tǒng)：自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒的溫床等；UNIX由于技術(shù)的復(fù)雜性導(dǎo)致高級(jí)黑客對(duì)其進(jìn)行攻擊：自身安全漏洞（RIP路由轉(zhuǎn)移等）、服務(wù)安全漏洞、病毒等。 　　隨著企業(yè)內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入企業(yè)網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，而這些節(jié)點(diǎn)大部分都沒(méi)有采取安全防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。 　由此可見(jiàn)，構(gòu)筑具有必要的信息安全防護(hù)體系、建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要。 解決方案 以太網(wǎng)是一種基于廣播機(jī)制的共享型技術(shù)，任何一個(gè)位于以太網(wǎng)上的用戶均可以向網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒(méi)有具體帶寬控制的機(jī)理。網(wǎng)絡(luò)產(chǎn)品應(yīng)提供對(duì)用戶帶寬控制的功能。帶寬控制通過(guò)對(duì)每一個(gè)用戶的上行帶寬與下行帶寬進(jìn)行限制，保證對(duì)每個(gè)用戶的公平性，防止在共享型網(wǎng)絡(luò)結(jié)構(gòu)中某一用戶長(zhǎng)期惡意霸占帶寬而導(dǎo)致其他用戶無(wú)法享受服務(wù)的現(xiàn)象。根據(jù)本企業(yè)的結(jié)構(gòu)特點(diǎn)及面臨的安全隱患，在廣泛征集各方意見(jiàn)，細(xì)心比較的基礎(chǔ)上，決定以下幾個(gè)必須考慮的安全防護(hù)要點(diǎn)：網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)病毒的防范。為了提高網(wǎng)絡(luò)的安全性，采取了劃分VLAN并利用網(wǎng)關(guān)保證信息的有效過(guò)濾，機(jī)房處于一個(gè)相對(duì)安全與過(guò)濾型的網(wǎng)絡(luò)狀況下運(yùn)行。 企業(yè)網(wǎng)的網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性工程，不能僅僅依靠防火墻和其它網(wǎng)絡(luò)安全技術(shù)，而需要仔細(xì)考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個(gè)高效、通用、安全的企業(yè)網(wǎng)絡(luò)系統(tǒng)。 建設(shè)企業(yè)網(wǎng)時(shí)要本著從實(shí)際出發(fā)，以應(yīng)用為目的，綜觀全局、統(tǒng)籌安排。同時(shí)對(duì)建設(shè)好的企業(yè)網(wǎng)絡(luò)我們應(yīng)加強(qiáng)安全防御意識(shí)，建立相應(yīng)的安全防御體系和管理維護(hù)制度。以確保企業(yè)網(wǎng)正常安全運(yùn)行和朝著健康有序方向發(fā)展。 防火墻部署 在Internet與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)防火墻，在內(nèi)外網(wǎng)之間建立一道牢固的安全屏障。其中WWW、Email、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)（即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全），與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與Internet連接。這樣，通過(guò)Internet進(jìn)來(lái)的外網(wǎng)用戶只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)（如WWW、Email、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的使用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。在防火墻設(shè)置上我們按照以下原則配置來(lái)提高網(wǎng)絡(luò)安全性：1. 根據(jù)企業(yè)網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自外網(wǎng)的對(duì)企業(yè)內(nèi)網(wǎng)的不必要的、非法的訪問(wèn)?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。2. 配置防火墻，過(guò)濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過(guò)濾掉以非法IP地址離開(kāi)內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外的攻擊。3. 在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，防止IP地址被盜用。4. 定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。5. 允許通過(guò)配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理的安全性。 入侵檢測(cè)系統(tǒng)部署入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素。強(qiáng)大的、完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。防火墻是一種主要的周邊安全解決方案。雖然防火墻能夠在網(wǎng)絡(luò)級(jí)提供訪問(wèn)控制，但好幾個(gè)通信端口都是開(kāi)放的。借助這些端口，外部用戶能夠與機(jī)構(gòu)內(nèi)的交換機(jī)通信。例如，郵件和Web服務(wù)器都要求，外部能夠訪問(wèn)某些端口。通過(guò)這些端口，黑客可以穿過(guò)防火墻攻擊服務(wù)器。 入侵檢測(cè)系統(tǒng)（IDS）是防火墻的補(bǔ)充解決方案，可以防止網(wǎng)絡(luò)基礎(chǔ)設(shè)施（路由器、交換機(jī)和網(wǎng)絡(luò)帶寬）和服務(wù)器（操作系統(tǒng)和應(yīng)用層）受到拒絕服務(wù)（DoS）襲擊。由于問(wèn)題比較復(fù)雜，先進(jìn)的IDS解決方案一般都包含兩個(gè)組件：用于保護(hù)網(wǎng)絡(luò)的IDS（NIDS）和用于保護(hù)服務(wù)器及其上運(yùn)行的應(yīng)用的主機(jī)IDS（HIDS）。 漏洞掃描系統(tǒng) 采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報(bào)告。 殺毒產(chǎn)品部署為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒等多種功能。在企業(yè)網(wǎng)絡(luò)中心的服務(wù)器上安裝殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理主機(jī)網(wǎng)點(diǎn)。在各行政、。 安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒(méi)有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。 殺毒軟件網(wǎng)絡(luò)版客戶端 采用全網(wǎng)認(rèn)證由于可以限制隨意的接入企業(yè)網(wǎng)，并可以對(duì)上網(wǎng)行為進(jìn)行審計(jì)，將大大提高企業(yè)網(wǎng)的內(nèi)部安全。，配合SRadius認(rèn)證計(jì)費(fèi)系統(tǒng)，可以實(shí)現(xiàn)嚴(yán)格的六元素任意綁定認(rèn)證：用戶名、IP地址、MAC地址、接入交換機(jī)IP、接入交換機(jī)端口、VLAN ID。企業(yè)網(wǎng)用戶的認(rèn)證：，+EAP或基于MAC技術(shù)實(shí)現(xiàn)用戶的接入認(rèn)證。，缺省情況下，所有用戶都處在未認(rèn)證狀態(tài)。此時(shí)，用戶對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)的所有信息都將被交換機(jī)禁止。交換機(jī)將為認(rèn)證需要的報(bào)文維護(hù)一個(gè)專門的通道，保證所有用戶都可以進(jìn)行正常的認(rèn)證過(guò)程。用戶認(rèn)證通過(guò)后，交換機(jī)才允許該用戶訪問(wèn)網(wǎng)絡(luò)的所有信息通過(guò)。1. 一次同時(shí)認(rèn)證用戶名、MAC：，客戶端同時(shí)提交用戶名、MAC，一次認(rèn)證即同時(shí)完成用戶名和MAC的認(rèn)證。這樣，其它用戶盜取用戶或MAC都無(wú)法假冒真正用戶。更重要的是，這些都只需簡(jiǎn)單地在RADIUS服務(wù)器上設(shè)置單一的表格即可實(shí)現(xiàn)全網(wǎng)的接入控制認(rèn)證；2. 分布式認(rèn)證方式，防止出現(xiàn)單一故障點(diǎn)：各接入交換機(jī)直接完成接入認(rèn)證，不容易單點(diǎn)故障，同時(shí)，還可以提高認(rèn)證效率；認(rèn)證流和業(yè)務(wù)流實(shí)現(xiàn)分離和高效的認(rèn)證，防止出現(xiàn)用戶無(wú)法認(rèn)證的情況：，認(rèn)證流和業(yè)務(wù)流的分離。通過(guò)端口（可以是交換機(jī)的物理端口，用戶PC的MAC地址，也可以是VLAN ID）的兩個(gè)邏輯通道：非受控端口和受控端口來(lái)實(shí)現(xiàn)對(duì)用戶的控制。非受控端口始終關(guān)閉，只允許認(rèn)證流上來(lái)；受控端口走業(yè)務(wù)流，始終打開(kāi)，只有通過(guò)認(rèn)證才能關(guān)閉，用戶的業(yè)務(wù)才能上來(lái)。 當(dāng)用戶認(rèn)證流上來(lái)后，通過(guò)非受控端口進(jìn)入交換機(jī)，由交換機(jī)協(xié)議體系提取用戶名和密碼對(duì)用戶身份進(jìn)行認(rèn)證；當(dāng)用戶通過(guò)認(rèn)證后，受控端口關(guān)閉，用戶的業(yè)務(wù)流可以上行。這一點(diǎn)很類似于窄帶交換網(wǎng)的7號(hào)信令系統(tǒng)，控制信令和語(yǔ)音數(shù)據(jù)的分離。基于交換與控制分離的設(shè)計(jì)思路，、高效，認(rèn)證的容量很大，可以保證用戶能及時(shí)通過(guò)認(rèn)證，在網(wǎng)絡(luò)流量大，認(rèn)證用戶數(shù)多時(shí)不會(huì)對(duì)設(shè)備的性能產(chǎn)生影響，保證整個(gè)網(wǎng)絡(luò)高效、穩(wěn)定的運(yùn)行；3. 靈活擴(kuò)展計(jì)費(fèi)功能：通過(guò)后臺(tái)軟件。同時(shí)，支持易實(shí)現(xiàn)對(duì)用戶離線信息的檢測(cè)，對(duì)于后續(xù)開(kāi)展基于按時(shí)計(jì)費(fèi)的增值服務(wù)有利。當(dāng)用戶因電腦死機(jī)或異常關(guān)閉造成非主動(dòng)下線，如果沒(méi)有一種定期檢測(cè)用戶是否在線的機(jī)制，則會(huì)造成按時(shí)計(jì)費(fèi)信息的不準(zhǔn)。，定期會(huì)由認(rèn)證系統(tǒng)對(duì)在線用戶進(jìn)行一次握手，如果用戶仍在線，則其客戶端會(huì)響應(yīng)認(rèn)證系統(tǒng)的檢測(cè)請(qǐng)求；如果用戶不在線，則其客戶端不會(huì)響應(yīng)認(rèn)證系統(tǒng)的檢測(cè)請(qǐng)求，在三次握手不成功后，就會(huì)中止計(jì)費(fèi)信息。安全管理 常言說(shuō)：“三分技術(shù)，七分管理”。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。對(duì)系統(tǒng)內(nèi)的安全設(shè)備與系統(tǒng)安全策略進(jìn)行管理，實(shí)現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效的配置和管理全網(wǎng)安全設(shè)備，從而實(shí)現(xiàn)全網(wǎng)安全設(shè)備的集中管理，起到安全網(wǎng)管的作用。通過(guò)統(tǒng)一的技術(shù)方法，將全系統(tǒng)的安全日志、安全事件集中收集管理，實(shí)現(xiàn)集中的日志分析、審計(jì)與報(bào)告。同時(shí)通過(guò)集中的分析審計(jì)，發(fā)現(xiàn)潛在的攻擊征兆和安全發(fā)展趨勢(shì)，確保安全事件、事故得到及時(shí)的響應(yīng)和處理。我們建立了一套企業(yè)網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施，保證了制度的執(zhí)行。 QOS服務(wù)質(zhì)量保障QOS的英文全稱為Quality of Service，中文名為服務(wù)質(zhì)量。QOS服務(wù)質(zhì)量保障，需要全網(wǎng)設(shè)備的支持，本方案可以實(shí)現(xiàn)端到端的QOS保證。本方案除了實(shí)現(xiàn)DiffServ標(biāo)準(zhǔn)體系的QOS，還支持接入帶寬定制、互聯(lián)網(wǎng)訪問(wèn)加速、服務(wù)器負(fù)載均衡等技術(shù)，因此本方案完全可以在網(wǎng)絡(luò)擁塞的情況下，保證關(guān)鍵業(yè)務(wù)的正常運(yùn)行，并對(duì)所有的接入用戶提供高質(zhì)量的網(wǎng)絡(luò)服務(wù)。1. 高帶寬同時(shí)也需要QOS。傳統(tǒng)不具備QoS功能的交換機(jī)不具有提供傳輸品質(zhì)服務(wù)的能力，它同等對(duì)待所有的交通數(shù)據(jù)流，并不保證某一特殊的數(shù)據(jù)流會(huì)受到特殊的轉(zhuǎn)發(fā)待遇。當(dāng)網(wǎng)絡(luò)帶寬充裕的時(shí)候，所有的數(shù)據(jù)流都得到了較好的處理，當(dāng)網(wǎng)絡(luò)擁塞發(fā)生的時(shí)候，所有的數(shù)據(jù)流都有可能被丟棄。這種轉(zhuǎn)發(fā)策略有時(shí)也被稱做提供最佳效果服務(wù)，因?yàn)檫@時(shí)交換機(jī)是盡最大能力轉(zhuǎn)發(fā)數(shù)據(jù)的，交換機(jī)本身的交換帶寬得到了充分的利用。目前局域網(wǎng)QOS實(shí)現(xiàn)一般是遵循DiffServ體系標(biāo)準(zhǔn)。DiffServ體系規(guī)定每一個(gè)傳輸報(bào)文將在網(wǎng)絡(luò)中被分類到不同的類別，分類信息被包含在了IP報(bào)文頭中，DiffServ體系使用了IP報(bào)文頭中的TOS（Type Of Service）中的前6個(gè)比特來(lái)攜帶報(bào)文的分類信息。當(dāng)然分類信息也可以被攜帶在鏈路層報(bào)文頭上。一般地，附帶在報(bào)文中的分類信息有：(1) Control Information中的前3個(gè)比特，它包含了8個(gè)類別的優(yōu)先級(jí)信息，通常稱這三個(gè)比特為為User Priority bits；(2) 攜帶在IP報(bào)文頭中的TOS字段前3個(gè)比特，稱作IP precedence value或者攜帶在IP報(bào)文頭中的TOS字段前6個(gè)比特，稱作Differentiated Services Code Point (DSCP) value。在遵循DiffServ體系的網(wǎng)絡(luò)中，各交換機(jī)和路由器對(duì)包含同樣分類信息的報(bào)文采取同樣的傳輸服務(wù)策略，對(duì)包含不同分類信息的報(bào)文采取不同的傳輸服務(wù)策略。報(bào)文的分類信息可以被網(wǎng)絡(luò)上的主機(jī)、交換機(jī)、路由器或者其它網(wǎng)絡(luò)設(shè)備賦予?？梢曰诓煌膽?yīng)用策略或者基于報(bào)文內(nèi)容的不同為報(bào)文賦予類別信息。識(shí)別報(bào)文的內(nèi)容以便為報(bào)文賦予類別信息的做法往往需要消耗網(wǎng)絡(luò)設(shè)備的大量處理資源，為了減少骨干網(wǎng)絡(luò)的處理開(kāi)銷，做到了賦予類別信息在網(wǎng)絡(luò)邊緣進(jìn)行實(shí)現(xiàn)，從而節(jié)省了骨干網(wǎng)絡(luò)處理器的開(kāi)銷，做到了智能到邊緣的概念。交換機(jī)或路由器根據(jù)報(bào)文所攜帶的類別信息，可以為各種交通流提供不同的傳輸優(yōu)先級(jí)，或者為某種交通流預(yù)留帶寬，或者適當(dāng)?shù)膩G棄一些重要性較低的報(bào)文、或者采取其他一些操作等等。這些獨(dú)立設(shè)備的這種行為在DiffServ體系中被稱作每跳行為（perhop behavior）。如果網(wǎng)絡(luò)上的所有設(shè)備提供了一致的每跳行為，那么對(duì)于DiffServ體系來(lái)說(shuō)，這個(gè)網(wǎng)絡(luò)就可以構(gòu)成endtoend QoS solution。2. QOS的模型框架(1) QoS入口端動(dòng)作包括Classifying、Policing和Marking。Classifying，確保將網(wǎng)絡(luò)交通流劃分成以DSCP值來(lái)標(biāo)識(shí)的各個(gè)數(shù)據(jù)流。隨后交換機(jī)將根據(jù)DSCP值來(lái)對(duì)各個(gè)數(shù)據(jù)流實(shí)施不同的QoS策略；Policing，用于約束某個(gè)流的所占用的傳輸帶寬，根據(jù)配置的Policer來(lái)決定流中的哪些部分超出