网络工程设计关键技术

-.z网络平安设计技术分析摘要以Internet为代表的信息化浪潮席卷全球，信息网络技术的应用日益普及和深入，伴随着网络技术的高速开展，各种各样的平安问题也相继出现，校园网被“黑〞或被病毒破坏的事件屡有发生，造成了极坏的社会影响和巨大的经济损失，网络平安日益成为人们关注的焦点。一个好的网络平安设计往往是多种方法适当综合的结果。网络平安设计技术包括IDS网络平安设计、IPS网络平安设计、ACL网络平安设计、VPN网络平安设计等。关键词防火墙；DMZ设计；网络平安设计1网络平安体系与技术1.1IATF网络平安体系构造IATF〔信息保障技术框架〕标准是美国国家平安局〔NSA〕组织世界平安专家制定的。它从整体和过程的角度对待信息平安问题，代表理论是“深度保护战略〞。IATF标准强调人、技术和操作3个核心原则，关注4个信息平安保障领域，即保护网络和根底设施、保护边界、保护计算环境和保护支撑根底设施。IATF最重要的设计思想：在网络中进展不同等级的区域划分与网络边界保护。1.2TCP/IP各层平安技术网络平安是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄漏，系统能连续、可靠地正常运行，网络效劳不中断。在TCP/IP体系构造中，各个层次的平安措施有所不同，常用平安技术如表1-1所示。表1-1TCP/IP各个层次常用平安保护技术网络层次硬件平安保护技术软件平安保护技术应用层较少，如数据加密机文件加密、数字签名、平安认证、平安补丁、AAA、病毒防护、防火墙传输层SSL加密机、防火墙软件SSL、TLS、防火墙网络层防火墙、IDS、IPS、VPN网关、ACL、NAT软件防火墙、软件VPN网关、平安认证接口层链路加密网卡、链路加密机MAC地址绑定、VLAN划分物理隔离、线路屏蔽、设备屏蔽、设备冗余极少1.3网络信息加密技术信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进展保护，以防止泄漏的技术。加密系统是一个复杂的系统，它包括4个组件：软件组件：负责各功能子系统的协调和用户交互；加密算法：根据一定规则对输入信息进展加密处理；协议：加密系统和运行环境需要；加密密钥：用户加密/解密信息所需的钥匙。常用加密算法有对称加密；非对称加密；Hash〔哈希〕加密。加密系统在网络中有3个根本的应用：存储、传输和认证。因此，在选择加密系统应该考虑到网络的业务流程和业务的主要平安威胁，并综合考虑产品的实现、性价比、部署后产生的影响等因素。例如根据业务要求选择加密系统；硬件加密系统和软件加密系统的选择；加密系统本身的平安性。2防火墙和DMZ设计2.1防火墙的类型和功能所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙技术，最初是针对Internet网络不平安因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不平安因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的。它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个平安网关〔SecurityGateway〕，从而保护内部网免受非法用户的侵入，防火墙主要由效劳政策、验证工具、包过滤和应用网关4个局部组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。按照防火墙的应用形式，可分为硬件防火墙和软件防火墙。硬件防火墙可以是一台独立的硬件设备〔如CiscoPI*〕；也可以在一台路由器上，经过配置成为一台具有平安功能的防火墙。软件防火墙是运行在效劳器主机上的一个软件〔如ISAServer〕。硬件防火墙在功能和性能上都优于软件防火墙，但是本钱较高。防火墙具有以下功能：所有内部网络和外部网络之间的数据交换，都可以而且必须经过防火墙。只有符合防火墙平安策略的数据，才可以自由出入防火墙。防火墙受到攻击后，应能稳定有效地工作。应当记录和统计网络的使用情况。有效地过滤、筛选和屏蔽有害效劳和数据包。能隔离网络中的*些网段，防止一个网段的故障传播到整个网络。2.2DMZ的功能和平安策略DMZ〔隔离区/非军事区〕的根本构造和功能DMZ设立在非平安系统与平安系统之间的缓冲区。DMZ的目的是将敏感的内部网络和提供外部效劳的网络别离开，为网络提供深度防御。DMZ平安策略 DMZ的设计根本原则：设计最小权限，例如定义允许的网络资源和网络的平安级别；确定可信用户和可信任区域；明确各个网络之间的关系，制定以下平安策略：内网可以外网；内网可以DMZ；外网不能内网；外网可以DMZ；DMZ不能内网；DMZ不能外网。2.3DMZ的网络构造设计2.3.1单防火墙DMZ 单防火墙DMZ构造将网络划分为三个区域，内网〔LAN〕、外网〔Internet〕和DMZ。DMZ是外网与内网之间附加的一个平安层，这个平安区域也称为屏蔽子网、过滤子网等。这种网络构造构建本钱低，多用于小型企业网络设计。如下列图2-1所示。2-1单防火墙DMZ网络构造2.3.1双防火墙DMZ 防火墙通常与边界路由器协同工作，边界路由器是网络平安的第一道屏障。通常的方法是在路由器中设置数据包过滤和NAT功能，让防火墙完成特定的端口阻塞和数据包检查，这样在整体上提高了网络性能。另一种双DMZ网络构造设计方案如下列图2-2所示。2-2双防火墙DMZ网络构造3网络平安设计技术3.1IDS网络平安设计3.1.1IDS〔IDS分为实时入侵检测和事后入侵检测。实时入侵检测在网络连接过程中进展，IDS发现入侵迹象立即断开入侵者与主机的连接，实施数据恢复。事后入侵检测由网络管理人员定期或不定期进展。入侵检测系统本质上是一种“嗅探设备〞。3.1.2IDS常用IDS常用检测方法有：特征检测、统计检测与专家系统。经研究说明，国内90%的IDS使用特征检测方法。特征检测与计算机病毒检测方式类似，主要是对数据包进展特征模式匹配，但对于采用新技术和新方法的入侵与攻击行为则无能为力。统计检测常用异常检测。测量参数包括：事件的数量、间隔时间、资源消耗情况等。3.1.2IDS可以串联或并联的部署在网络中各个关键位置。IDS可以安装在网络边界区域；效劳器群区域；网络主机区域和网络核心层。如图3-1所示。3-1IDS在网络中的位置3.2IPS网络平安设计3.2.1IPS〔入侵防御系统〕不但能检测入侵的发生，而且能实时终止入侵行为。IPS一般部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。3.2.2IDS设备在网络中采用旁路式连接；IPS在网络中采用串接式连接。串接工作模式保证所有网络数据都必须经过IPS设备，IPS检测数据流中的恶意代码，核对策略，在未转发到效劳器之前，将信息包或数据流阻截。IPS是网关型设备，最好串接在网络出口处，IPS经常部署在网关出口的防火墙和路由器之间，监控和保护内部网络。IPS在网络拓扑构造中的部署如图3-2所示。3-2IDS和IPS在网络中的混用3.3ACL网络平安技术3.3.1AACL是网络设备处理数据包转发的一组规则。ACL采用包过滤技术，在路由器中读取第三层和第四层数据包**中的信息，如源地址、目的地址、源端口、目的端口等，然后根据网络工程师预先定义好的ACL规则，对数据包进展过滤，从而到达控制的目的。3.3.2AACL配置遵循以下原则。〔1〕最小权限原则。只满足ACL局部条件的数据包不允许通过。〔2〕最靠近受控对象原则。标准ACL尽可能放置在靠近目的地址的地方；扩展ACL尽量放置在靠近源地址的地方。〔3〕立即终止原则。〔4〕默认丢弃原则。如果数据包与所有ACL行都不匹配，将被丢弃。5〕单一性原则。一个接口在一个方向上只能有一个ACL。〔6〕默认设置原则。路由器或三层交换机在没有配置ACL的情况下，默认允许所有数据包通过。防火墙在在没有配置ACL的情况下，默认不允许所有数据包通过。标准ACL配置1〕创立ACL命令格式：Router(config)*access-list<ACL表号>{permit|deny}{<源IP地址|host><通配符掩码>|any}〔2〕将ACL应用到*一接口命令格式：Router(config-if)*{protocol}access-group<ACL表号>{in|out}扩展ACL配置标准ACL只能控制源IP地址，不能控制到端口。要控制第四层的端口，需要使用扩展ACL配置。如果路由器没有硬件ACL加速功能，它会消耗路由器大量的CPU资源，因此扩展ACL要尽量放置在靠近源地址的地方。命令格式：Router(config)*access-list<ACL表号>{permit|deny}{<协议名称>|<端口号>}{<源IP地址><通配符掩码>}{<目的IP地址><通配符掩码>}[<关系><协议名称>][log]3.4VPN网络平安设计3.4.1VPN的定义为使用IP机制仿真出一个私有的广域网。VPN通过私有隧道技术，在公共数据网络上仿真一条点到点的专线。虚拟是指用户不需要拥有实际的长途数据线路，而是利用Internet的数据传输线路；专用网络是指用户可以制定一个最符合自己需求的网络。VPN是在Internet上临时建立的平安专用虚拟网络。3.4.2隧道是一种数据加密传输技术。数据包通过隧道进展平安传输。被封装的数据包在隧道的两个端点之间通过Internet进展路由。被封装的数据包在公共互联网上传递时所经过的逻辑路径称为隧道。数据包一旦到达隧道终点，将被解包并转发到最终目的主机。4网络物理隔离设计4.1网络隔离的技术特点我国?计算机信息系统国际联网**管理规定?规定：涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。网络物理隔离卡确保了计算机在同一时间只能一个网络，两个网络在同一时间内不会有任何连接。4.2网络物理隔离工作原理单主板平安隔离计算机工作原理：采用双硬盘，将内网与外网的转换功能嵌入在主板BIOS中。主板网卡也分为内网和外网。价格介于双主机和网络物理隔离卡之间双主板平安隔离计算机 每台计算机有两块主板，每块主板一个网卡，分别连接内网和外网。每块主板有一个串行口，双端口RAM是连接两块主板的唯一通道。4.3平安隔离网闸工作原理GAP〔平安隔离网闸〕通过专用硬件和软件技术，使两个或者两个以上的网络在不连通的情况下，实现数据平安传输和资源共享。〔1〕当内网数据传输到外网时，GAP向内网效劳器发起非TCP/IP的数据连接请求，并发出“写〞命令，将GAP写入控制开关合上，并把所有协议剥离，将原始数据写入存储介质。〔2〕一旦数据完全写入GAP存储介质中，GAP与内网效劳器之间的控制开关立即断开。(3)接下来GAP与外网效劳器之间的控制开关接通，GAP发起对外网非TCP/IP的数据连接请求。(4)外网效劳器收到请求后，发出“读〞命令，将GAP存储介质内的数据传输到外网效劳器。〔5〕外网效劳器收到数据后，按TCP/IP协议要求重新封装接收到的数据，交给应用系统。如图4-1所示。4-1平安隔离工作原理5总结网络平安是网络设计中的关键技术，随着网络的普及和网络技术的飞速开展，网络已经深入人们生活的各个领域，成为现实生活的一局部。网络为我们带来了更多的便利，使信息的处理和传递突破了时间和地域的限制。然而，随之而来的，也有更多的网络威胁，使我们的网络变得更加脆弱。总而言之，计算机网络信息平安的防御问题将是一个综合性且长期性的课题，涉及技术、管理、使用等许多方面。既包括计算机系统本身的平安问题，也有物理的和辑的技术措施问题。虽然现在用于网络信息平安的产品有很多，比方有防火墙、入侵检测系统，但是依旧不可能防止黑客或其他软件的恶意入侵。计算机网络信息的平安防