安全与管理(黄志远)

神州数码网络公司黄志远把握应用关注安全构建新一代安全、管理、融合的企业网络提纲企业信息化的网络需求面向应用的网络技术发展全方位的网络安全建设新一代D2SMP网络提纲企业信息化的网络需求面向应用的网络技术发展全方位的网络安全建设新一代D2SMP网络中国网络应用发展的总体趋势第一阶段第二阶段第三阶段主机/SNA，或主机/终端多用户结构私有协议的连接客户机/服务器、网络结构统一标准的以太网协议的企业局域网基于TCP/IP利用传统电信数据网实现企业网窄带互联浏览器/服务器、INTERNET/INTRANET结构好的应用需要好的网络平台来支撑——

我们需要重新定义什么是好的网络应用

我们需要真正了解中国网络应用的特征第四阶段基于宽带的企业网互联银行的基于IBM主机的业务系统，单一数据传输功能网络形式应用特征建网成本大幅下降；订制专门的客户端软件，限制应用推广通用浏览器取代专用客户端软件，应用推广极为简单；窄带WAN成为应用新瓶颈基于宽带的应用，比如视讯会议、多媒体传输等，打破带宽瓶颈、突破地域限制企业网企业事务处理和应用架构在网络之上，企业网络市场与应用的结合更加紧密。以IP为基础，在统一的软硬件平台上，提供语音、视频、存储、路由交换等多业务，并提供安全、可管理的服务。提纲企业信息化的网络需求面向应用的网络技术发展全方位的网络安全建设新一代D2SMP网络企业网技术发展趋势企业网业务已经全面IP化移动、安全、宽带、增值服务、技术融合成为2004年发展趋势客户更需要的是解决应用问题的完整网络解决方案IP网络已成为现今全球商务通讯的主流工具商务通讯

宽带Broadband电邮即时短讯网络安全及VPN网络语音VoIPIP

电话会议统一合成通讯Unified

MessagingSMS短讯技术发展：安全（Security）管理（Management）融合（Convergence）方案提供：D2SMP－分布式安全域管理策略（DistributedDomainofSecurityManagementPolicy）神州数码网络面向应用的IP发展面向应用的IP技术发展－安全系列安全产品线DCFW-1800S/E防火墙IPS系统个人安全产品DCNLogView审计日志系统交换路由产品的安全特性防攻击防病毒Internet神州数码DCFW-1800S/E系列防火墙网络入侵检测引擎邮件防病毒网关DCNLogView防火墙审计日志系统WANLANDMZ主机入侵检测系统服务器/客户机防病毒软件神州数码安全解决方案MAIL/WWW等对外公开服务器DDP个人桌面保护系统面向应用的IP技术发展－管理IP网络的历史IP成功的原因对等、自由没有人知道对方是人、是狗适用于：少数人用、非关键非实时应用大规模的网络结构人、组织成为网络末梢节点无约束、无秩序的自由IP网络现在的问题无QoS，不可记录，不可跟踪，不可控制、黑客、病毒泛滥在一定范围内QoS、安全得到一定控制但跨域的QoS、安全等无法保证下一代IP网络更多的管理更多的秩序，一定的自由机制IPv6MPLS分布式智能和安全IP网络：简单网络＋智能终端电信网络：智能网络＋简单终端未来：分布智能＋中央管理控制神州数码网络管理产品设备管理性能管理用户管理认证计费管理内容管理不良网站网络游戏安全管理面向应用的IP技术发展－融合三网合一:数据：交换机、路由器语音：VoIP网关、IPPBX、IPPhone视频：视讯会议系统功能融合产品：FW、Voice、VPN等神州数码网络产品技术与客户方案产品联动细分行业的基于D2SMP架构的解决方案安全管理交换路由平台（DCNOS）及产品基于ASIC、NP的基础开发基础协议、新技术研究融合提纲企业信息化的网络需求面向应用的网络技术发展全方位的网络安全建设新一代D2SMP网络安全已经不再是指增加一个设备以保护某个特定区域的安全，也不再是防止黑客攻击或病毒蠕虫攻击。正如社会的复杂性一样，由网络所构成虚拟社会也存在各个层次、各种各样的安全问题。当很多的业务应用系统而不仅仅是核心业务系统依赖于网络的正常运转，安全保障机制便延伸到各个结点、各个应用。可以分3个维度来看整个网络的安全。一个维度是网络层次结构，分别是基础设施层（包括主机、接入、汇聚、核心），服务层和应用层；

一个维度是网络活动平面，分别是：管理平面、控制平面和传输平面；

一个维度是威胁类别.

最后再看安全问题可采用的静态和动态防范措施（探测、识别、报警、动态调整、取证）

全方位网络安全网络安全维度－网络层次结构一个维度是网络层次结构，分别是基础设施层（包括主机、接入、汇聚、核心），服务层和应用层

基础设施层：提供基础网络传输服务；服务层：提供支撑性服务（指为实现接入网络所必须的服务，如AAA、DHCP、DNS）和增值服务（如QoS、VPN、VoIP）的管理系统；应用层：指各种网络应用，如email,WEB,文件共享，VOIP，视频会议、网管。

网络安全维度－网络活动平面一个维度是网络活动平面，分别是：管理平面、控制平面和传输平面；

1）管理平面：指对网络的各种管理行为，如配置、网管、日志2）控制平面：指对网络的各种控制行为，如STP、路由、H323的呼叫连接、DHCP的地址租借配置表、AAA的认证用户数据库；3）数据平面：指信息在网元间的传输和在网元上的存储行为

网络安全维度－威胁类别一个维度是威胁类别，由CCITTX.800定义如下：1）信息或资源的破坏；2）信息误用或篡改；3）信息或资源的窃取、删除或丢失；4）信息泄漏；5）服务中断

静态防范措施1)

访问控制：防止对网络资源、信息的非授权使用；2)

认证：确认通信实体的身份；3)通信安全：保证信息只在授权端点之间流动。telnet时的口令相当于首次访问时身份鉴别，SSH或IPSEC则相当于保证信息只在两点之间流动，其他端点插进来的telnet包不管用。或者：认证相当于同意为两点之间建一个通道，通信安全则保证这个通道不会被其他端点侵入。4)

数据保密性：保护数据内容不被非授权实体理解；5)数据完整性：保证数据的正确性，防止被非法修改、创建、复制；6)

非否认：防止销毁证据；7)分级服务：由于服务能力有限，为防止一种服务量特别大时阻碍其他服务，提供分级服务。8)

备份：用于信息破坏后的恢复。

管理平面控制平面数据平面信息或资源破坏非法用户破坏网元上存储的管理信息

1．非法用户破坏网元上存储的控制信息（路由表、ARP表等）2．虚假源、目的IP/MAC的包淹没MAC表、主机表等资源1．网线差，线序错

信息误用或篡改1．非法用户篡改存储的网元配置信息2．非法用户篡改传输的网元管理信息3．非法用户管理非法路由、STP、DHCP、ARP、1X、RADIUS响应接收或传输非法数据流（组播数据流）信息或资源窃取、删除、丢失非法用户读取网元上或传输中的管理信息非法用户读取网元上或传输中的控制信息非法用户读取网元上或传输中的应用信息信息泄漏管理信息（IP、端口、内容）被监听控制信息（IP、端口、内容）被监听组播数据流泄漏服务中断1．本机IP/MAC无效或冲突2．网管、日志服务器IP/MAC无效3．广播淹没CPU4．数据流淹没管理通道1．广播淹没CPU2．虚假路由、BPDU等包淹没CPU；

1.广播风暴2．突发异常流量导致正常用户不能使用对基础设施层的安全威胁

管理平面控制平面数据平面信息或资源破坏非法用户破坏服务层的管理信息

1．非法用户破坏网元上存储的控制信息（如AAA的认证用户数据库、DHCP的地址租借表）2．虚假服务申请（ARP、DHCP、AAA等）消耗这些资源1．网线差，线序错

信息误用或篡改1．非法用户篡改存储的服务层配置信息2．非法用户篡改传输的服务层管理信息3．非法用户管理非法篡改用户认证数据库等信息、接收非法VOIP会话控制信息非法DHCP、ARP、1X、RADIUS响应信息或资源窃取、删除、丢失非法用户读取服务层存储或传输中的管理信息非法用户读取存储或传输中的用户认证数据库信息非法用户读取传输中的服务信息信息泄漏由于广播或组播，管理信息（IP、端口、内容）被监听由于广播或组播，服务的控制信息泄漏由于广播或组播，服务信息泄漏服务中断1．本机IP/MAC无效或冲突2．网管、日志服务器IP/MAC无效3．广播淹没CPU4．数据流淹没管理通道1．广播淹没CPU2．虚假会话控制请求淹没H323控制信息处理能力

1.广播风暴2．突发大量服务申请导致正常用户不能使用对服务层的安全威胁

管理平面控制平面数据平面信息或资源破坏非法用户破坏应用的管理信息

1．非法用户破坏网元上存储的应用层控制信息（URL黑名单等）2．虚假URL黑名单的控制信息包淹没黑名单表等资源网页内容被篡改

信息误用或篡改1．非法用户篡改存储的应用配置信息2．非法用户篡改传输中的应用管理信息3．非法用户管理非法URL黑名单信息、非法SMTP控制信息

信息或资源窃取、删除、丢失非法用户读取应用层存储或传输中的管理信息非法用户读取网元上或传输中的URL黑名单、SMTP等控制信息提供或访问非法地址和内容信息泄漏管理信息（IP、端口、进程名、版本）被监听控制信息（IP、端口、内容）被监听

服务中断1．本机IP/MAC无效或冲突2．网管、日志服务器IP/MAC无效3．广播淹没CPU4．数据流淹没管理通道1．广播淹没CPU2．感染病毒3．系统漏洞攻击垃圾邮件攻击

对应用层的安全威胁措施管理平面控制平面数据平面访问控制管理用户分不同权限管理用户分不同权限IP/MAC/PORT是否有权限发路由、DHCP、ARP、1X、RADIUS包(DHCPsnooping,ARP检测)组播源、目的ACL认证AAA管理用户认证AAA管理认证未1X认证的IP/MAC不学组播源、目的认证通信安全SSH,SSL,IPSECSSH,SSL,IPSEC

数据保密配置/日志加密,SNMPv3路由加密

数据完整

非否认行为记录行为记录DHCPsnooping

分级服务1．为管理服务预留CPU2．管理信息QOS高限制端口可学习的IP/MAC数量QOS备份配置信息备份路由、ARP等信息备份

对基础设施层的静态防范措施

基础设施层服务层应用层探测应用类型、地址设置、网关设置、防毒设置、网卡设置、ping响应、关键词检测、关键进程检测、补丁检测、TCP连接数检测网线质量、流量检测、广播速率检测、DHCP监测、ARP监测、URL检测、

识别故障？攻击？正常故障？攻击？正常故障？攻击？正常报警向网管服务器报警主动切断

动态调整控制带宽、切换端口、过滤指定数据流

取证（非否认）

时间、SIP、DIP、URL、user…动