《网络安全实用教程》配套PPT(人民邮电出版)ch4

第4章

网络硬件设备安全本章有五小节：4.1网络硬件系统的冗余4.2网络机房设施与环境安全4.3路由器安全4.4交换机安全4.5服务器和客户机安全4．1网络硬件系统的冗余4.1.1网络系统的冗余系统冗余就是重复配置系统的一些部件。当系统某些部件发生故障时，冗余配置的其它部件介入并承担故障部件的工作，由此提高系统的可靠性。也就是说，冗余是将相同的功能设计在两个或两个以上设备中，如果一个设备有问题，另外一个设备就会自动承担起正常工作。冗余技术又称储备技术，它是利用系统的并联模型来提高系统可靠性的一种手段。采用“冗余技术”是实现网络系统容错的主要手段。4.1.2网络设备的冗余网络系统的主要设备有网络服务器、核心交换机、存储设备、供电设备以及网络边界设备(如路由器、防火墙)等。为保证网络系统能正常运行和提供正常的服务，在进行网络设计时要充分考虑主要设备的部件或设备的冗余。1．网络设备的冗余类型网络服务器系统冗余核心交换机冗余供电系统的冗余链接冗余网络边界设备冗余空闲备件4.1.3交换机端口汇聚与镜像1．交换机端口汇聚(1)端口汇聚的概念端口聚合也叫以太通道(ethernetchannel)，主要用于交换机之间的连接。利用端口汇聚技术，交换机会把一组物理端口联合起来，做为一个逻辑通道。这时，交换机会认为这个逻辑通道为一个端口。(2)交换机端口汇聚技术的实现(以H3C交换机为例)

2．交换机端口镜像(1)基于交换机端口的镜像配置(2)基于三层流的镜像配置(3)基于二层流的镜像配置4.2网络机房设施与环境安全保证网络机房的实体环境(即硬件和软件环境)安全是网络系统正常运行的重要保证。因此，网络管理部门必须加强对机房环境的保护和管理，以确保网络系统的安全。只有保障机房的安全可靠，才能保证网络系统的日常业务工作正常进行。计算机网络机房的设施与环境安全包括机房场地的安全，机房的温度、湿度和清洁度控制，机房内部的管理与维护，机房的电源保护，机房的防火、防水、防电磁干扰、防静电、防电磁辐射等。4.2.1机房的安全保护1．机房场地的安全与内部管理2．机房的环境设备监控3．机房的温度、湿度和洁净度4．机房的电源保护5．机房的防火和防水4.2.2机房的静电和电磁防护1．机房的静电防护:机房采取的防静电措施有：机房建设时，在机房地面铺设防静电地板。工作人员在工作时穿戴防静电衣服和鞋帽。工作人员在拆装和检修机器时应在手腕上戴防静电手环(该手环可通过柔软的接地导线放电)。保持机房内相应的温度和湿度。2．机房的电磁干扰防护电磁干扰主要来自计算机系统外部。系统外部的电磁干扰主要来自无线电广播天线、雷达天线、工业电气设备、高压电力线和变电设备，以及大自然中的雷击和闪电等。另外，系统本身的各种电子组件和导线通过电流时，也会产生不同程度的电磁干扰，这种影响可在机器制作时采用相应工艺降低和解决。通常可采取将机房选择在远离电磁干扰源的地方、建造机房时采用接地和屏蔽等措施防止和减少电磁干扰的影响。3．机房的电磁辐射防护电磁辐射会产生两种不利因素：一是由电子设备辐射出的电磁波通过电路耦合到其它电子设备中形成电磁波干扰，或通过连接的导线、电源线、信号线等耦合而引起相互间的干扰，当这些电磁干扰达到一定程度时，就会影响设备的正常工作；二是这些辐射出的电磁波本身携带有用信号，如这些辐射信号被截收，再经过提取、处理等过程即可恢复出原信息，造成信息泄露。通常，可采取抑源法、屏蔽法和噪声干扰法措施防止电磁辐射。抑源法是从降低电磁辐射源的发射强度出发，对计算机设备内部产生和运行串行数据信息的部件、线路和区域采取电磁辐射抑制措施和传导发射滤波措施，并视需要在此基础上对整机采取整体电磁屏蔽措施，减小全部或部分频段信号的传导和辐射。4．3路由器安全4.3.1路由协议与访问控制1．静态路由的配置定义目标网络号、目标网络的子网掩码和下一跳地址或接口：

iproute{nexthop-address|exit-interface}[distance]默认路由的配置：

iproute{nexthop-address|exit-interface}[distance]

2．动态路由算法RIP的配置RIP(v1版)的配置：Router(config)#routerripRouter(config-router)#networkxxxx.xxxx.xxxx.xxxxRIP(v2版)的配置：Router(config)#routerripRouter(config-router)#version2Router(config-router)#noauto-sunnmaryRouter(config-router)#networkXXXX.XXXX.XXXX.XXXX3．访问控制列表配置

访问控制列表(ACL)提供了一种机制，可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用ACL来管理信息流，以制定公司内部网的相关策略。如网络管理员可以通过配置ACL来实现允许用户访问Internet，但不允许外部用户通过Telnet进入本地局域网。配置路由器的ACL是一件经常性的工作，通过配置ACL，可以使路由器提供基本的流量过滤能力。ACL是一个连续的允许和拒绝语句的集合，关系到地址或上层协议。ACL在网络中可实现多种功能，包括内部过滤分组、保护内部网络免受来自Internet的非法入侵和限制对虚拟终端端口的访问。(1)基本ACL一个ACL是由permit|deny语句组成的一系列的规则列表。在配置ACL规则前，首先需要创建一个ACL。使用如下命令可创建ACL：aclnumberacl-number[match-order{config|auto}]使用如下命令可删除一个或所有的ACL：undoacl{numberacl-number|all}参数numberacl-number定义一个数字型的ACL。acl-number是访问控制规则序号(其值1000～1999是基于接口的ACL，2000～2999是基本的数字型ACL，3000～3999是高级数字型ACL，4000～4999是基于MAC地址的ACL)。match-orderconfig是指定匹配该规则时用户的配置顺序；match-orderauto是指定匹配该规则时系统自动排序，即按“深度优先”的顺序。基本ACL命令的命令格式为：rule[rule-id]{permit|deny|commenttext}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]可以通过在rule命令前加undo的形式，清除一个已经建立的基本ACL，其语法格式为：undorulerule-id[commenttext][source][time-range][logging][fragment][vpn-instancevpn-instance-name]对已经存在的ACL规则，如果采用指定ACL规则编号的方式进行编辑，没有配置的部分是不受影响的。例如：先配置了一个ACL规则(rule1denysource0)，再对这个ACL规则进行编辑(rule1denylogging)，此时ACL规则变成为：rule1denysource0logging。(2)基本ACL的配置应用实例①在系统视图下可实现的配置：aclnumber2000rule10deny#拒绝IP地址为的主机的访问rule20permit55#允许从子网来的任何主机的访问rule30deny.55#拒绝从网络来的任何主机的访问rule40permit55#允许来自172网段的任何主机的访问②firewallpacket-filter命令应用firewallpacket-filter命令可把某个现有的ACL与某个接口联系起来。配置时必须先进入到目的接口(如S0/0)的接口配置模式。命令格式如下：firewallpacket-filteracl-number{inbound|outbound}[match-fragments{normally|exactly}]参数acl-number是ACL的序号，inbound表示过滤从接口收上来的数据包，outbound表示过滤从接口转发的数据包，match-fragments指定分片的匹配模式(只有高级ACL有此参数)，normally是标准匹配模式(缺省模式)，exactly是精确匹配模式。在实际配置基本ACL时，可以应用基本ACL允许或禁止特定的通信流量，然后测试该ACL是否达到预期结果。(3)高级ACL的配置高级ACL比基本ACL使用更广泛，因为它提供了更大的弹性和控制范围。高级ACL既可检查分组的源地址和目的地址，也可检查协议类型和TCP/UDP的端口号。高级ACL可以基于分组的源地址、目的地址、协议类型、端口地址和应用来决定访问是被允许还是拒绝。高级ACL可以在拒绝文件传输和网页浏览的同时，允许从E0/0的E-mail通信流量抵达目的地S0/0。一旦分组被丢弃，某些协议将返回一个回应分组到源发送端，以表明目的不可达。高级ACL命令的完整语法为：rule[rule-id]{permit|deny|commenttext}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][dscpdscp][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instance]删除高级ACL命令的完整语法为：undorulerule-id[commenttext][source][destination][source-port][destination-port][icmp-type][dscp][precedence][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]一个简单的高级ACL配置实例如下：rule10permittcp.55anyeqtelnetrule20permittcp.55anyeqftprule30permittcp.55anyeqftp-datarule40denyanyany第1条判断语句设置允许/24网络使用TCP协议访问外部网的TELNET服务。第2条判断语句设置允许/24网络使用TCP协议访问外部网的FTP服务。第3条判断语句设置允许/24网络使用TCP协议访问外部网的FTP数据服务。第4条判断语句设置拒绝满足前面三条ACL要求的其他网络服务。4．NAT技术

随着Internet的迅速发展，IP地址短缺及路由规模越来越大已成为相当严重的问题。为了解决这个问题，出现了多种解决方案。一种在目前网络环境中比较有效的方法是使用地址转换(NAT)技术。地址转换是指在一个组织的网络内部，可以根据需要自定义自己的IP地址(假IP地址)。本组织内部的各计算机间通过假IP地址进行通信，当组织内部的计算机要与外部的Internet通信时，具有NAT功能的设备负责将其假IP地址转换为真IP地址。图显示了地址转换的基本过程。(1)NAT技术的应用①连接Internet，但不使网内所有的计算机都拥有真正的IP地址。通过NAT功能，可以对申请的合法的IP地址进行统一管理，当内部计算机需要连接Internet时，动态或静态地将假的IP地址转换为合法IP地址。②不使外部网络用户知道网络的内部结构。可通过NAT将内部网络与外部Internet隔离开。这样外部用户根本不知道网络内部假IP地址，可有效的保障内部服务器的安全。③实现多个用户同时公用一个合法IP地址与外部Internet通信设置NAT功能的路由器至少要有一个内部端口和一个外部端口。内部端口连接网络内的用户，使用的是假IP地址，且内部端口可以为路由器的任意端口。外部端口连接的是外部的公用网络(如Internet)，外部端口可以为路由器上的任意端口。(2)NAT地址转换实例在图中，用出接口地址做EasyNAT，完成将/24内部网络接入Internet，在出口地址进行地址转换，隐藏内部网主机地址，有效保障内部网主机的安全。4.3.2虚拟路由器冗余协议(VRRP)1．VRRP协议概述VRRP(VirtualRouterRedundancyProtocol，虚拟路由器冗余协议)是一种选择性协议，它可以把一个虚拟路由器的责任动态分配到局域网上VRRP路由器。控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据包到虚拟IP地址上。一旦主路由器不可用，这种选择过程就提供动态的故障转移机制，允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的优点是有更高默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议2．VRRP协议原理通常，一个网络内的所有主机都设置一条缺省路由(如图4.7所示，)，这样主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA，从而实现了主机与外部网络的通信。当路由器RouterA坏掉时，本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信。VRRP是一种容错协议，它是为解决上述问题而提出的，如图4.8所示。VRRP将局域网的一组路由器(包括一个Master路由器和若干个Backup路由器)组织成一个虚拟路由器，称为一个备份组。该虚拟路由器拥有自己的IP地址(该IP地址可以和备份组内的某路由器接口地址相同)，备份组内的路由器也有自己的IP地址(如Master的IP地址为，Backup的IP地址为)。局域网内的主机仅仅知道这个虚拟路由器的IP地址，而不知道具体的Master路由器的IP地址

和Backup路由器的IP地址，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就通过该虚拟的路由器与其它网络进行通信。如果备份组内的Master路由器出现故障，Backup路由器将会通过选举策略选出一个新的Master路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。4．4交换机安全4.4.1控制对交换机的访问1．网络设备远程管理概述Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。终端客户可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。终端客户使用telnet程序连接到服务器，可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器2．交换机远程TELNET管理配置实例4.4.2交换机安全配置实例1．基于源IP地址的访问控制在交换机(以锐捷交换机为实验设备，下同)上设置基于源IP地址的ACL，只允许指定源IP访问网络，而禁止其他IP访问网络。2．基于目的IP地址的ACL配置在交换机上设置基于目的IP地址的ACL，只允许主机访问指定目的IP地址的主机，而禁止访问其他主机。3．基于TCP/UDP协议的ACL配置

在交换机上设置基于TCP/UDP协议的ACL，只允许通过指定的协议及指定的端口访问主机或网络。实验拓扑环境同图4.12，在PC2上运行WWW和MAIL服务软件，使PC2能够提供WWW和MAIL服务。在交换机上设置基于TCP协议的ACL，禁止PC1访问PC2的MAIL服务，但允许PC1访问PC2上的WWW网页4．基于MAC地址的ACL配置

在交换机上设置基于MAC地址的ACL，只允许指定MAC地址的主机访问网络，而禁止其他MAC地址的主机访问网络。

5．基于时间的ACL配置在交换机上设置基于时间的ACL，只允许指定时间段内访问网络，而禁止其他时间访问网络。4．5服务器与客户机安全4.5.1服务器安全与设置实例网络服务器(硬件)是一种高性能计算机，再配以相应的服务器软件系统(如操作系统)就构成了网络服务器系统。网络服务器系统的数据存储和处理能力均很强，是网络系统的灵魂。在基于服务器的网络中，网络服务器担负着向客户机提供信息数据、网络存储、科学计算和打印等共享资源和服务，并负责协调管理这些资源。按照不同的用途，网络服务器可分为文件服务器、数据库服务器、Internet/Intranet通用服务器、应用服务器等；Internet上的应用服务器有HDCP服务器、Web服务器、FTP服务器、DNS服务器和STMP服务器等。上述服务器主要用于完成一般网络和Internet上的不同功能。下面主要介绍Web服务器配置、DNS服务器配置和路由器的安全配置内容。1．Web服务器的配置与站点管理(1)安装IIS(2)Web服务器的配置(3)Web站点的管理2．DNS服务器的安装与配置(1)DN