计算机网络及网络安全技术

111©2003,CiscoSystems,Inc.Allrightsreserved.Presentation_ID计算机网络及网络安全技术北京华胜天成科技股份有限公司售前技术部：王超2005年1月内容概述计算机网络基础局域网技术及解决方案广域网技术及解决方案网络安全相关技术及解决方案问题&应答计算机网络基础OSI七层参考模型ApplicationPresentationSessionTransportNetworkDataLinkPhysicalDataLinkNetworkTransportSessionPresentationApplicationPhysical比特流帧（Frame）包（Packet）分段（Segment）会话流代码流数据TCP/IP协议簇传输层数据连路层

网络层物理层应用层会话层表示层应用层传输层网络层物理层HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RARP等Ethernet、ATM、FDDI、X.25、ISDN等内容分发负载均衡路由器交换机TCP会话连接SYNreceived主机A：客户端主机B：服务端发送TCPSYN分段(seq=100ctl=SYN)1发送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)3TCP连接的终止主机B：服务端主机A：客户端1发送TCPFIN分段2发送TCPACK分段3发送TCPFIN分段4发送TCPACK分段关闭A到B的连接关闭A到B的连接局域网技术及解决方案局域网技术

1、局域网（LAN）的定义：

LAN是一个覆盖地理位置相对较小的高速数据网络，通过电缆将服务器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。

2、LAN拓扑结构：电脑连接的方式叫“网络拓扑”，常见的LAN物理拓扑结构有三种：总线型、环型和星型。而逻辑拓扑结构只有总线型和环型两种。逻辑总线型和环型拓扑结构通常可以在星型物理拓扑结构中实现。图一总线型（以太网）图二环型（令牌环、FDDI）图三星型图四星型局域网技术

3、以太网类型：1）标准以太网：速率为10Mbps，传输介质为同轴电缆或双绞线；

2）快速以太网：速率为100Mbps，传输介质为双绞线或光纤；3）千兆以太网：速率为1000Mbps，传输介质为双绞线或光纤；4）万兆以太网：速率为10000Mbps,传输介质为双绞线或光纤.

4、局域网（以太网）设备：1）网络线缆：同轴电缆、双绞线、光纤。

2）网卡：一种电脑辅助板卡，一面插入电脑母板的扩展槽，另一面与网络线缆相连。网卡完成网络通信所需的各种功能。只有通过网卡，电脑才能通过网络进行通信。目前常用的以太网卡：10M、10/100M自适应、1000M。

3）集线器：是一种连接多个用户节点的物理层设备，每个经集线器连接的节点都需要一条专用电缆，用集线器可以建立一个物理的星型网络结构。常用的集线器按速率分有10M、100M、10/100M自适应三种，支持的端口数从8口到24口不等。集线器令所有端口共享10M（或100M）带宽。

局域网技术4、局域网（以太网）设备：4）交换机：是数据链路层设备，它将较大的局域网分解成较小的子网，另每个端口下连接的单个设备或子网独享10M（或100M）分段，然后再实现分段间通信。交换机对大网进行细分，减少了从一个分段到另一个分段时不必要的网络信息流，从而解决了网络拥塞问题，提高网络整体性能。常见交换机类型：10M、10/100M、1000M，端口从8口到48口不等。交换机还有可堆叠、不可堆叠，可网管、不可网管以及是否带三层路由功能之分。交换机集线器子网A集线器子网B局域网技术5、虚拟局域网（VLAN）简介：1）所谓VLAN，是指一个由多个段组成的物理网络中的结点的逻辑分组，利用VLAN，工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作，而不必关心用户实际连接到哪个网段上。VLAN是交换式LAN的最大特点。交换机信息中心交换机A楼交换机B楼部门A部门B部门A部门B局域网技术

2）VLAN的优点：改进管理的效率：VLAN提供了有效的机制来控制由于企业结构、人事或资源变化对网络系统所造成的影响。例如，当用户从一个地点移到另一个地点时，只需对交换机的配置稍做改动即可，大大简化了重新布线。配置和测试的步骤。

控制广播活动：VLAN可保护网络不受由广播流量所造成的影响，一个VLAN内的广播信息不会传送到VLAN之外，网络管理人员可以通过设置VLAN灵活控制广播域。增强网络安全：VLAN创造了虚拟边界，它只能通过路由跨越，因此通过将网络用户划分到不同VLAN并结合访问控制，可控制VLAN外部站点对VLAN内部资源的访问，提高网络的安全性。3）VLAN的划分方法：

MAC地址、IP地址、交换机端口5、虚拟局域网（VLAN）简介：局域网络的设计需求

更高的可靠性冗余的网络结构：STP，PVST高速故障链路切换：Uplinkfast,Backbonefast,Portfast

更高的安全性完整的网络安全策略：VLAN,基于交换机端口的安全性，……

更高的性能基于光纤和UTP的千兆以太网及以太网通道高效的第三层交换更好的可管理性强大的网络管理工具：CiscoWorks2000

支持未来业务的发展企业总部局域网网络解决方案CiscoWorks2000网管邮件服务器4GBGEC1000M10/100M10/100M在具备光纤资源的营业部采用Catalyst4000/3500接入，否则采用Catalyst2950T接入业务服务器10/100M10/100MCatalyst2950T1000M1000MOA服务器Catalyst3550工作站10/100M接入中心两台Catalyst6509配置千兆模块，支持VLAN和高速三层交换1000M1000M企业总部局域网网络解决方案特点特点：1.系统全套备份,稳定可靠；双中心配置，中心设备交换引擎、路由引擎冗余配置；二级交换机到中心交换机链路冗余配置2.高性能；Catalyst6500交换机可具有高达256Gbps的交换交换矩阵，保证中心高性能交换；千兆主干，满足大负荷网络运行需求3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能4.边缘交换机采用10/100M端口连接终端用户，Catalyst3550光纤千兆上联，堆叠扩展用户数目，节省上联链路；Catalyst2950采用UTP千兆上联，投资保护5.思科GEC/FEC带宽聚合技术保证网络速度不会造成人行业务的瓶颈6.实施丰富的网络安全控制策略，ACL,VLAN；可以配置入侵检测模块IDS7.管理简单，浏览器方式无需专门培训；配置CiscoWorks2000网管软件及NAM模块8.良好的扩充性,可满足不断增长的用户网络需求9.支持多媒体应用，视频点播、IP电话机供电企业大型分支机构局域网网络解决方案CiscoWorksforWindows或CiscoWorks2000网管邮件服务器4GBGEC中心两台Catalyst4506/4507，配置千兆模块，支持VLAN和高速三层交换1000M10/100M10/100M业务服务器10/100M10/100MCatalyst2950T1000M1000MOA服务器Catalyst3550工作站10/100M接入

1000M1000MCatalyst3550企业大型分支机构局域网网络解决方案特点1.系统稳定可靠；采用Catalyst4506/4507组成双中心，且链路冗余；2.高性能全交换、千兆主干，满足大负荷网络运行需求；中心交换机备板64Gbps，二层和三层交换性能为48MPPS;3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能；4.边缘交换机采用10/100M端口连接终端用户，Catalyst3550光纤千兆上联，可堆叠扩展用户数目，节省上联链路；Catalyst2950采用UTP千兆上联，投资保护5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈6.系统安全,保密性高;ACL，VLAN等网络安全策略7.管理简单，浏览器方式无需专门培训;

配置

CiscoWorks

2000或CiscoWorksWindows网管软件8.良好的扩充性9.支持多媒体应用，视频点播、IP电话机供电企业中型分支机构局域网网络解决方案

CiscoWorksforWindows网管OA/邮件服务器4GBGEC中心两台Catalyst3550T交换机，通过千兆连接，支持VLAN和高速三层交换1000M10/100M10/100M业务服务器10/100M10/100MCatalyst2950T1000M1000MCatalyst2950T工作站10/100M接入

1000M1000MCatalyst2950T企业中型分支机构局域网网络解决方案特点1.系统稳定可靠；采用Catalyst3550T组成双中心，且链路冗余；2.高性能全交换、千兆主干，满足大负荷网络运行需求；中心交换机备板24Gbps;

性能价格比高;17Mpps的二、三层转发速率；

3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能；4.边缘交换机采用10/100M端口连接终端用户，Catalyst3550光纤千兆上联，可堆叠扩展用户数目，节省上联链路；Catalyst2950T采用UTP千兆上联，投资保护5.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈6.系统安全,保密性高;ACL，VLAN等网络安全策略7.管理简单，浏览器方式无需专门培训;

配置

CiscoWorksWindows网管软件8.良好的扩充性9.支持多媒体应用，视频点播企业小型分支机构局域网网络解决方案

CiscoWorksforWindowsOA/邮件服务器4GBGEC中心两台Catalyst3550交换机，通过千兆连接，支持VLAN和高速三层交换100M业务服务器100M100M工作站100M100M企业小型分支机构局域网网络解决方案特点1.系统稳定可靠；采用Catalyst3550组成双中心，且链路冗余；2.性价比高，全交换、百兆主干，满足小规模网络运行需求；中心交换机备板8.8Gbps;6.6Mpps的二、三层转发速率；3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能；4.思科GEC/FEC带宽聚合技术保证网络速度不会造成业务的瓶颈5.系统安全,保密性高;ACL，VLAN等安全策略6.管理简单，浏览器方式无需专门培训;

配置

CiscoWorksWindows网管软件7.良好的扩充性8.支持多媒体应用，视频点播IEEE802.1xAuthenticationServer23802.1xisaclient-server-basedaccesscontrolandauthenticationprotocolthatrestrictsunauthorizeddevicesfromconnectingtoaLANthroughpubliclyaccessibleports411Useractivateslink(i.e.PCPowerson)2SwitchrequestsAuthenticationServerifuserauthorisedtoaccessLAN34AuthenticationServerrespondswithauthorityaccessSwitchopenscontrolledport(ifauthorised)forusertoaccessLAN802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通过。802.1x是用来做什么的？在win98下提供的客户端：在winXP下提供的客户端：IEEE802.1x认证客户端广域网技术及解决方案广域网综述广域网综述：

广域网是地理位置较为分散的局域网之间链接通道的集合。广域网的出现是为了解决局域网与一台远程工作站或另一个局域网链接的问题，在这种情况下，需要链接的距离已超过了线缆媒体的规格，或者不可能进行物理性的线缆连接，为了实现广域网，需要用到下面这些传输媒体：普通电话网（PSTN）X.25专线一线通ISDNDDN专线帧中继业务国际互联网(Internet)高速光缆卫星链路微波传输链路无线广播媒体一线通ISDN

一线通ISDN：

ISDN是一种建立在全数字化网络基础上的综合业务数字网络，中国电信称之为“一线通”。它有以下特点：

1）通过一根普通电话线您可以进行多种业务通信，如用于电话、上网、传真、会议电视、局域网互连等；2）因为ISDN提供2B+D服务（B信道传输速率为64K，D信道为“服务信道”传输速率16K），通过一根普通电话线您可以同时进行两路通信，比如边上国际互联网边打电话，或两部电话同时通话等；3）可以同时使用两个B信道来进行数据传输，从而获得128K的总体传输速率，当一个B信道用于语音传送时，另一个B信道上的传输速率就会降回原始的64K，当语音停止传送时，数据传送速率就会立即恢复成128K。数据专线

DDN专线：

DDN是数字数据网的简称，主要是为用户提供永久的出租数字电路。

DDN为用户开放多种形式的业务：点对点的专线、一点对多点的连接、同点对多点的图像通信等。速率从9.6K、19.2K、64K一直2M。

帧中继业务：帧中继提供了高速度、高效率、大吞吐量、低时延的数据服务。帧中继利用永久性虚电路（PVC）建立可靠的端到端回路。对于低速帧中继业务可通过DDN网内以帧中继OVERDDN的方式或经由DDN网接入宽带ATM网；对于高速用户可使用光纤或HDSL直接接入ATM网。相对于DDN电路，帧中继更适合于点到多点的业务。DDN的点到多点业务只能提供轮询方式（在一段时间内，主点只能与一个从点进行通信）。帧中继业务采用PVC方式，可提供与所有从站并发双工通信。另外，由于帧中继支持突发数据，也比较适合于局域网互连或业务突发量较大的应用。

VPN技术使用户可以通过国际互联网为企业构筑安全可靠、方便快捷的企业私有网络。根据业务类型，VPN业务大致可分为两类，拨号VPN与专线VPN。所谓拨号VPN，指企业员工或企业的小分支机构通过当地ISP拨号入公网的方式而构筑的虚拟网。专线VPN是指企业的分支机构通过租用当地专线入公网来构筑的虚拟网。

VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。工作过程：局域网中被保护的主机发明文信息到VPN设备，VPN对数据加密后通过路由器送到互联网上，加密的数据从互联网到达另一个局域网的路由器，然后由路由器后面的VPN设备将数据解密后送到VPN后面被保护的主机上。

通过国际互联网建立虚拟专用网（VPN）：VPN技术当地专线隧道从一个VPN设备开始到另一个VPN设备结束。当地专线拨当地ISP拨长途号租长途专线专用网虚拟专用网国际互联网分支机构总部局域网路由器VPN设备VPN设备路由器带VPN软件的远程站点VPN技术防火墙Checkpoint&FortiGate400出口路由器CISCO3620INTERNETSDH

128KDDN专线XXX单位网络系统拓扑图2M数字电路中心交换机Catalyst4006股份公司防火墙PIX515-R出口路由器CISCO3640内部路由器CISCO37454M数字电路PSTN

财务信息系统DMZ防火墙拨号路由器财务客户端财务客户端财务客户端DB*2Switch*2RAIDAPP*2TAPEDB=数据库服务器APP=应用服务器RAID=磁盘阵列TAPE=磁盘阵列2Gb/s光纤通道WEBWEB=WWW服务器应用实例一：总部网络拥有静态IP地址的分公司网络拥有动态IP地址的分公司网络备用VPN通道DDN专用线路公司外地出差人员

公司外地出差人员

拥有静态IP地址的分公司所属各经营部拥有动态IP地址的分公司所属各经营FortiGate-100FortiGate-50两网关设备间IPSecVPN通道

FortiNetSSH软件IPSecVPN通道L2TP/PPTPVPN通道XXX集团销售公司VPN专网应用实例二：VPN网络安全技术及相关解决方案防火墙技术防火墙：是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙可以是软件、硬件和软硬件结合的发展历经简单包过滤、应用代理、状态检测（状态包过滤）防火墙最新技术是具有数据流过滤功能的防火墙对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力服务控制，确定哪些服务可以被访问方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙用户控制，根据用户来控制对服务的访问行为控制，控制一个特定的服务的行为防火墙主要功能过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警内部工作子网与外网的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求防火墙在此处的功能：1、工作子网与外部子网的物理隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录

Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网DMZ区域与外网的访问控制

Internet区域Internet边界路由器进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求防火墙在此处的功能：1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网内部子网与DMZ区的访问控制进行访问规则检查发起访问请求合法请求则允许对外访问将访问记录写进日志文件禁止对工作子网发起连结请求发起访问请求

Internet区域Internet边界路由器DMZ区域WWWMailDNS内部工作子网管理子网一般子网内部WWW重点子网拨号用户对内部网的访问控制拨号服务器Cisco2620移动用户PSTNModemModem进行一次性口令认证认证通过后允许访问内网将访问记录写进日志文件内部工作子网管理子网一般子网内部WWW重点子网下属机构对总部的访问控制拨号服务器PSTN

Internet区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线DMZ区域WWWMailDNSFW+VPNFW+VPN进行规则检查将访问记录写进日志文件防火墙在此处的功能：1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计基于时间的访问控制HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet用户级权限控制HostCHostDHostBHostA受保护网络Internet···············

······PermitPasswordUsername预先可在防火墙上设定用户root123root123Yesadmin883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可高层协议控制应用控制可以对常用的高层应用做更细的控制如HTTP的GET、POST、HEAD

如FTP的GET、PUT等物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层IP与MAC绑定InternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBindTo00-50-04-BB-71-A6BindTo00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网流量控制HostCHostDHostBHostA受保护网络HostA的流量已达到10MHostA的流量已达到极限值30M阻断HostA的连接Internet端口映射Internet公开服务器可以使用私有地址隐藏内部网络的结构WWWFTPMAILDNS：80——：80：21——：21：25——：25：53——：53NAT网关和IP复用Internet4HostA受保护网络HostCHostD15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能透明接入受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostAHostCHostDHostB同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=防火墙相当于网桥，原网络结构没有改变信息系统审计与日志HostAHostBHostCHostDInternet安全网域HostGHostH···TCP8：302001-02-07···TCP9：102001-02-07写入日志写入日志一旦出现安全事故可以查询此日志身份鉴别功能HostCHostDHostBHostA受保护网络Internet···············

······PermitPasswordUsername预先可在防火墙上设定用户rootasdasdf验证通过则允许访问root123Yesadmin883No用户身份认证根据用户控制访问防火墙的类型包过滤路由器应用层网关电路层网关这仅是一种防火墙分类方法，所着眼的视角不同，得到的类型划分也不一样包过滤防火墙基本的思想很简单对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤HostCHostD数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于数据流可以灵活的制定的控制策略包过滤防火墙的优缺点在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点实现简单对用户透明效率高缺点正确制定规则并不容易不可能引入认证机制针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由对策：禁止这样的选项小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中对策：丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如，利用ftp协议对内部进行探查应用层网关也称为代理服务器特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大应用层网关的优缺点优点允许用户“直接”访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改，重新编译或者配置有些服务要求建立直接连接，无法使用代理代理服务不能避免协议本身的缺陷或者限制电路层网关工作于OSI/RM的会话层充当屏蔽路由器，将内外网彻底隔离防火墙设计规则保持设计的简单性计划好防火墙被攻破时的应急响应考虑以下问题双机热备安全的远程管理入侵监测的集成数据保护功能双机热备内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作安全远程管理安全网域HostCHostDInternet管理员黑客如何实现安全管理呢采用一次性口令认证来实现安全管理用户名，口令用户名，口令数据机密性保护拨号服务器PSTN

Internet区域Internet边界路由器内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线DMZ区域WWWMailDNS密文传输明文传输明文传输数据完整性保护内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行Hash加密后的数据包摘要Hash摘要对原始数据包进行加密加密后的数据包加密加密后的数据包摘要加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性数据源身份验证内部工作子网管理子网一般子网内部WWW重点子网下属机构DDN/FRX.25专线原始数据包对原始数据包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过IDSIDS（IntrusionDetectionSystem）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。

监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。入侵检测系统

FirewallInternetServersDMZIDSAgentIntranet监控中心router攻击者发现攻击发现攻击发现攻击报警报警IDSAgent入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态，找出所需要的证据主动响应主动切断连接或与防火墙联动，调用其他程序处理典型部署－企业内部安装IntranetIDSAgentIDSAgentFirewallInternetServersDMZIDSAgent监控中心router典型部署－广域网应用Internet监控中心（辅）IDSAgentIDSAgentIDSAgentIDSAgentIDSAgentIDSAgent监控中心（主）病毒新概念病毒感染不仅是一个文件，而是一个系统病毒文件会替换操作系统文件不是所有病毒都可以修复的！杀蠕虫和特洛伊木马的方法就是删除整个文件完整的防毒规划七大要素多层次、全方位、跨平台的技术及強大功能简易快速的网络安装集中管理警报和报表系统自动化服务机制合理的预算规划对企业用户的服务与支持防毒产品的剖析选购防毒产品的考虑防毒解毒能力－最重要的基本能力管理能力针对中国用户的病毒库升级服务选择的标准厂商提供的比较表－最不可靠单一产品評比－仅在當发有效(产品版本不断更新)专业防毒认证－具公信力，需要持续送测主要认证单位ICSA(基本认证)Check-Mark(Level2确保修复能力)VirusBulletin(最严格)计算机安全产品认证Datasource:ICSA–InternationalComputerSecurityAssociation CheckMark

认证：http://Level1、Level2LevelTrojanICSA认证：http://www.ICSA.net

On-Demand/On-Access,CleaningInternetInternetEmail网关防火墙网关级群件服务器-NotesandExchangeNetWareServerNTServer服务器级MacintoshWindows95/98WinXPWindowsNT/2000客户端级3.第三是通过软盘和盗版光盘传播病毒1.第一是电子邮件带来的病毒2.第二是通过Internet浏览、下载（HTTP、FTP）病毒--多层感染途径只要有可能感染和传播病毒的途径和方式都应有相应的解决方案服务器客户端网关防病毒入侵检测风险管理内容过滤内容过滤入侵检测防病毒防火墙内容过滤入侵检测防病毒防火墙安全市场的现状：多层次；多供应商Internet病毒网关应用DMZEmailHTTP财务部市场部研发部RouterExe/doc/zip病毒库病毒网关性能测试

Note1:ThetestingresultsforSymantec,Trend/CiscoandTrend/NokiaareobtainedfromVeritestreportDecember2002Note2:TheFortiGate3000performancetestingareperformedusingthesametestingenvironmentandtestingmethodologyNote3:Upto120HTTPclientshavebeensimulatedinFGtestwhileonly60havebeensimulatedinthecompetitorstestNote4:InFGtest,amixoffileswithover25%ofexecutablefilesandotherAVscannablecontentisusedwhichconstitutesaheavierscanningburdentotheAVscanningengineNote5:Thesenumbersareperformance/pricenumbers–Mbps/Thousand$;usedpeakperformanceforallvendorsinthecalculation5.38(5)0.40(5)

(CSCO)0.20(5)(Nokia)0.53(5)

(SMTC)网络安全的重点网络安全一直无法落实的主因就在于，不知道漏洞的存在，甚至不去实时修补漏洞，那黑客铁定比你清楚如何利用它。正确的网络安全观念并不是一昧的购置网络安全产品，更重要的是主动正视安全漏洞的问题，做好入侵预防，并且实时做好漏洞修补的工作，让黑客根本就不得其门而入。常用安全工具防火墙入侵检测工具snort端口扫描工具nmap系统工具netstat、lsof网络嗅探器tcpdump、sniffer综合工具X-Scanner、流光、Nessus十大最佳网络安全工具Nessushttp://

Netcat/~weld/netcat/Tcpdumphttp://

SnortSainthttp:///saint/Ethereal/Whiskerhttp:///rfp/p/doc.asp?id=21&iface=2InternetSecurityScannerhttp://

AbacusPortsentryhttp:///abacus/portsentry/Dsniffhttp:///~dugsong/dsniff

安全站点绿盟科技http://绿色兵团http://网络安全评估中心http://安全焦点http://网络安全响应中心国外：http://http://问题&应答服务器系统安全管理和数据安全北京华胜天成科技股份有限公司售前技术部：王超2005年1月内容概述服务器产品基础服务器系统安全管理数据安全管理问题&应答服务器产品基础服务器产品分类按CPU类型分类：RISC服务器、IA架构服务器典型的RISC服务器：SUN、HP、IBM等UNIX服务器典型的IA架构服务器：PC服务器（基于Intel至强处理器）

新兴的基于安腾处理器和AMDOpteron处理器的64位服务器按服务器物理规格分类：塔式服务器、机架式服务器、刀片服务器各个主流服务器厂商均有相应的产品按照操作系统分类：Windows服务器、Linux服务器、UNIX服务器按照应用分类：WEB服务器、FTP服务器、EMail服务器、数据库服务器、文件服务器等等…小型机RISC系统结构指令系统结构操作简单数据：Load-Store结构，寻址方式简单编码：定长实现与使用方式简化硬件，提高主频指令流水线技术：寄存器操作容易解决相关编译技术性能及兼容性性能：每条指令周期数差不多，主频高，CPI高指令流水线技术：寄存器操作容易解决相关流水及多发射技术在提高性能的前提下不影响兼容性常见的小型机厂商及RISC处理器分类Sun:UltraSPARCV9IBM:PowerHP:PA-RISC2.0Alpha:MIPSIV小型机发展（一)小型机发展（二）Power2Power3(64位）Power4Power5UltraSPARCVHPSunIBMSunFire工作站/服务器产品家族SFE2900SFV1280SFE4900SF4800SFE6900SF6800SFE20KSF15KSF25KSF15KNetra120Netra240Netra20Netra440Netra1280SFV100/120SFV210SFV240SFF280SFV250SFV440SFV480/490SFV880/890SunRaySunBlade150SunBlade1500SunBlade2000SunBlade2500SFV20zSFV60xSFV65xSFBlade1600B100x&B200x高端/中档服务器电信特性服务器入门级服务器瘦客户端工作站服务器X86

Linux服务器SFV40z服务器选型-应用类型考虑最优化的系统设计水平扩展垂直扩展I/O连续的缓存,共享内存多处理器单操作系统紧密的内部互连集群,多处理器,非共享内存多操作系统松散的外部互连Memory

SwitchNetworkSwitchVERTICALHORIZONTALCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OI/OCPUMEMCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OCPUMEMI/OI/OCPUCPUMEMMEMI/OI/OCPUCPUMEMMEMI/OCPUCPUMEMMEMI/O水平扩展-最优化系统负载

流媒体J2EE应用服务负载均衡内容缓存文件和打印协作计算Web服务目录和身份管理安全本地内容缓存ApplicationServersDirectoryServersEmailServers垂直扩展系统的业务负载OLTPDatabasesDW/BICRM/SCM/ERP服务器选型-系统性能考虑DatabaseTierAppl-icationTierDSSOLTPOperationalStorageWebWebWebWebWebAppsServerAppsServerAppsServerOLTPDatabaseWebTierTPC-CSPEC-JbbORCLApps,SAP,PSoft,Seibel,Amdoc,Retek...TPC-WTPC-H,TPC-R,QueryTestsAPB1,HolosWarehouseStorageWebWebWebWebWebOLAPDataMartDataMineDSSDatabaseNeovista,DarwinSPEC-WebBenchmark真相

RealWorldvs.BenchmarksBenchmarkSpecials(Optimizations)HardEasyComplexitySimpleComplexRealWorldWorkloadsTPC-D(1999)SPECrateTPC-D(1997)TPC-C(now)TPC-C(1995)IOTestsNetTestsTPC-HOracleAppsPeoplesoftSAPSPECjbbAmdocs(1999)StreamBWVolanoBenchmark测试意义：系统规模配置依据(sizing)。

市场宣传(Marketing)。影响系统性能的关键因素处理器Processor性能Performance吞吐能力Throughput系统内部互连SystemInterconnect延迟Latency访问内存数据块所需的时间内部带宽InternalbandwidthI/O,Memory与CPU间的数据传送操作系统OperatingSystem可扩展性Scalability可靠性Reliability应用优化Optimizedapplications服务器选型-可靠性、可用性、可服务性（RAS）设备本身的RAS完全冗余部件热交换部件动态重配置系统自动恢复系统故障自动跟踪动态系统域系统架构负载均衡替换双通道HA/Cluster服务器选型-投资保护通用部件二进制兼容性服务器系统安全管理对系统安全威胁的类型(1)假冒(Masquerading)(2)数据截取(DataInterception)(3)拒绝服务(DenialofServer)(4)修改(Modification)(5)伪造(Fabrication)(6)否认(Repudiation)(7)中断(Interruption)(8)通信量分析(TrafficAnalysis)信息技术安全评价公共准则（CC）TCSEC中安全程度分：D1、C1、C2、B、B3、A1、A2八级D1——安全保护欠缺级（最低）C1——自由安全保护级C2——受控存取控制级（ORACLE，UNIX皆达到此级）B1——有强制存取控制和形式化模式技术的应用B3,A1——对内核进行形式化的最高级描述和验证。主流服务器操作系统安全性比较内外网信息安全控制系统

2000年1月1日国家保密局颁布了《计算机信息系统国际联网保密管理规定》，以确保国家机密信息的安全。规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须实行物理隔离。”为用户提供了一个以物理隔离为基础的安全的网络环境能够根据用户需要对Internet信息资源进行有效采集和控制内外网信息安全控制系统

Win2K安全子系统WindowsNT的设计从最初就考虑了安全问题：获得了TCSECC2认证，这在竞争激烈的商业操作系统市场中是一个不错的业绩Windows2000正处于一个类似的标准评估过程中，使用通用标准(CommonCriteria,CC)为了获得更高的级别(B级)，Windows2000需要在它的设计中融入一些关键的元素，包括(但不限于)：用于认证的安全登录工具可自由设定的访问控制审核SRM(SecurityRefrenceMonitor)针对Win2K的攻击SMB攻击权限提升获得交互扩大影响清除痕迹攻击手段猜测用户名和密码获取密码散列利用脆弱的网络服务或客户端获取对系统的物理访问对策实施密码复杂性要求账户锁定启用登录失败事件的审核查看事件日志锁定真正的Administrator账户并创建一个假目标禁用闲置账户仔细核查管理人员实施密码复杂性要求账户锁定启用登录失败事件的审核查看事件日志来自Foundstone公司的NTLast来自Foundstone公司的VisualLast来自TNTSoftware公司的事件日志监视器(ELM)来自AelitaSoftware公司的EventAdmin锁定真正的Administrator账户NT4ResourceKit中提供了一个称为passprop的工具Windows2000上运行admnlock只能工作在安装了SP2或更高的系统上，并且只有在系统或域设置了账户锁定阈值之后才会发生作用要使用admnlock在网络中锁定真正的Administrator账户，运行如下命令：

C:\>admnlock/eTheAdministratoraccountmaybelockedoutexceptforinteractive

logons禁用闲置账户安全守则安装操作系统或应用程序时不要使用默认值使用先进的用户帐号/密码设定与组合关闭不必要的网络通讯端口对进出入的IP封包进行过滤制定Logging记录的机制及时修补程序的漏洞安全守则（一）安装操作系统或应用程序时不要使用默认值几乎所有的操作系统或应用程序的厂商都会提供用户快速安装的功能，虽然方便了用户，但是在绝大多数用户不知情的情况下，系统却同时间却安装了许多不必要功能。而这种所谓采默认值安装的操作系统或应用程序，往往是造成安全漏洞的祸首。主要原因是因为用户通常不会去注意那些从来不用的功能，而且有许许多多的用户，包含IT的管理人员，根本就不知道自己在使用中的操作系统或应用程序上到底安装了哪些东西。一旦这些不明的功能出现漏洞，而偏偏用户又一无所知，且未实时加以修补的话，那往往会成为黑客入侵的最佳通道。

安全守则（二）帐号安全定时审查系统上使用中与未使用中的帐号并予以记录制定系统用户帐号管理政策，详细规范增加用户帐号、以及删除不再继续使用的帐号时之应注意事项定时确认系统上是否出现未经授权的新帐号，并且删除不再使用的帐号使用工具来检查用户的密码设定是否安全不再使用的帐号应适时予以删除安全守则（三）关闭不必要的网络通讯端口网络通讯端口是合法用户连接至主机端取得服务的通道，同样地，黑客也是利用同样的途径来入侵。所以说，你主机上开放的通讯端口越多，他人就越容易与你的系统联机。因此，减少系统上开放的通讯端口数目是网络安全最有效的防范措施之一，除了有必要对外提供服务的通讯端口之外，其它通讯端口应予以关闭。安全守则（四）对进出入的IP封包进行过滤你的防火墙或路由器过滤规则设定原则：任何进入你网络的封包之来源地址不可以是你内部网络的地址。任何进入你网络的封包之目的地地址必须是你内部网络的地址。任何离开你网络的封包之来源地址必须是你内部网络的地址。任何离开你网络的封包之目的地地址不可以是你内部网络的地址。任何进入或是离开你网络的封包的来源或是目的地地址不可以是虚拟IP地址或是RFC1918所列的保留IP地址。以上所提的IP地址包含10.x.x.x/8,172.16.x.x/12,192.168.x.x/16，以及本机/8。安全守则（五）制定日志记录的机制一旦你对外开放网络服务而且允许网络联机进出你的网络，那遭到黑客入侵与渗透的机率将大增。现在几乎每天都会有新的安全漏洞被发现，而用户更是难以预防黑客去利用这些新的漏洞来入侵。这时你的网络上或系统上最好建立完善的记录机制，要不在遭受黑客攻击后，你不仅将无从得知黑客到底在你的系统上动了哪些手脚，相对的你的网络安全风险也就越高。良好的记录机制可以协助用户追踪已发生过的事件、时间、和掌握哪些主机被入侵及其经过。安全守则（六）及时修补程序的漏洞通过软件发布商的主页或者开发者提供的补丁程序修补漏洞通过修改配置文件或者参数修补漏洞网络安全一直无法落实的主因就在于，不知道漏洞的存在，甚至不去实时修补漏洞，那黑客铁定比你清楚如何利用它。正确的网络安全观念并不是一昧的购置网络安全产品，更重要的是主动正视安全漏洞的问题，做好入侵预防，并且实时做好漏洞修补的工作，让黑客根本就不得其门而入。常用安全工具防火墙入侵检测工具snort端口扫描工具nmap系统工具netstat、lsof网络嗅探器tcpdump、sniffer综合工具X-Scanner、流光、Nessus十大最佳网络安全工具Nessushttp://

Netcat/~weld/netcat/Tcpdumphttp://

SnortSainthttp:///saint/Ethereal/Whiskerhttp:///rfp/p/doc.asp?id=21&iface=2InternetSecurityScannerhttp://

AbacusPortsentryhttp:///abacus/portsentry/Dsniffhttp:///~dugsong/dsniff

安全站点绿盟科技http://绿色兵团http://网络安全评估中心http://安全焦点http://网络安全响应中心国外：http://http://数据安全管理系统和数据保护–避免潜在的风险硬件故障应用软件错误人为故障病毒IT架构变化部署新技术节点故障“无法预计的风险”…系统和数据保护技术系统保护冗余部件Cluster系统灾难恢复数据保护RAIDMultipathingPoint-in-Time数据拷贝（磁盘备份）复制磁带备份(LAN,LANFree,ServerFree)Cluster磁盘管理备份容灾什么是集群-ClusterNetworkHeartbeatLinksMulti-PortedSharedDiskCluster硬件的组成相同操作系统的两台或以上服务器共享磁盘心跳HeartbeatLinks什么是集群-ClusterNetworkHeartbeatLinksMulti-PortedSharedDisk资源监控和管理磁盘应用网络心跳协议日志Cluster软件的组成系统级Cluster应用级Cluster磁盘管理RAID与逻辑卷管理MultiPathingPoint-in-time磁盘备份RAID与逻辑卷管理磁盘阵列RAID5RAID1物理磁盘LUN服务器逻辑卷管理灵活的空间管理动态多路径在线改变空间大小在线转移数据在线改变RAID结构控制器和阵列之间镜像LUNDG1DG1DG1服务器/fs1/fs2裸设备1/fs1,/fs2,/fs3裸设备1,裸2…MultiPathing–多路径磁盘阵列RAID5RAID1物理磁盘LUN服务器/dev/rdsk/c5t1d5/dev/rdsk/c6t1d5Ora_disk01/dev/hdisk10/dev/hdisk20/dev/vpath5Point-in-time磁盘备份Snapshot/快照实现方式克隆型，Split-Mirror指针型，Copy-on-write克隆型–Split-mirror/oradataABHGDCEFABHGDCEFsnapshot

时间点备份可预防逻辑错可预防物理错

短时间影响应用性能需同等容量磁盘空间指针型，Copy-on-write/oradataABHGDCEFA’G’

snapshotAG

时间点备份可预防逻辑错

不需大量磁盘空间长时间影响应用性能

不防止物理错Backup（备份）Backup-Definition“Backupisacopytypeofoperation,designedtoprotectdatafromaccidentalormaliciouslossordamage”File12(ormore)BackupCopy备份过程拷贝为什么要备份Systemstolen UserDataandSystemLossSystemdamaged UserDataandSystemLoss/DowntimeAccidentalFileDeletion FileLossAccidentalFileOverwrite FileLossAccidentalDirectoryDeletion Directoryand/orFileLoss HackerIntrusion CorruptorLostDataMagneticDiskFailure CorruptorLostDataCPU/MotherboardFailure CorruptorLostDataandDowntimeNetwork/InterfaceFailure CorruptorLostData/LossofConnectivityApplicationHaltorCrash CorruptorLostDataOperatingSystemHaltorCrash CorruptorLostData事件结果Fullbackup（全备份）全备份...........全备份全备份是在某一个时间点上所有数据的一个完全拷贝Differential(差分)BackupsFullBackupDifferentialFullBackupAdifferentialbackupisacopyofallthedatasincethelastfullBackup............Incremental(增量)BackupsFullBackup...........IncrementalsFullBackupIncrementalbackupisacopyofonlythedatathathavechangedsincethelastbackup.恢复恢复过程将数据从磁带拷贝回磁盘备份是比恢复早的一个时间点的完全映象备份记录了文件的目录结构，权限等，备份在具体的某盘磁带，磁带在磁带库中具体的槽位等这些信息存储在备份软件的数据库中通常被称为元数据DiskTape备份数据的生命周期DatabackedupBrowsePolicyExpiresBROWSABLERetentionPolic