CISP0204协议及网络架构安全

网络协议及架构平安中国信息平安测评中心2012-10课程内容2网络平安网络架构平安网络平安设备网络协议平安无线数据网络协议平安无线蜂窝网络协议平安防火墙入侵检测系统其它网络平安设备网络架构平安的概念TCP/IP协议簇平安网络架构平安的实践知识体知识域知识子域知识域：网络协议平安知识子域：TCP/IP协议平安理解开放互联系统模型ISO/OSI七层协议模型理解TCP/IP协议面临平安威胁及平安对策理解无线网络平安协议的原理和应用了解IPV6的平安优势

OSI七层结构模型OSI参考模型的各层ISO/OSI开放互联模型4ISO/OSI七层模型结构5物理层网络层传输层会话层表示层应用层数据链路层应用层〔高〕数据流层7654321分层结构的优点降低复杂性促进标准化工作各层间相互独立，某一层的变化不会影响其他层协议开发模块化简化理解与学习6数据链路层作用定义物理链路的电气、机械、通信规程、功能要求等；电压，数据速率，最大传输距离，物理连接器；线缆，物理介质；将比特流转换成电压；典型物理层设备光纤、双绞线、中继器、集线器等；常见物理层标准〔介质与速率〕100BaseT,OC-3,OC-12,DS1,DS3,E1,E3；第一层：物理层7物理层网络层传输层会话层表示层应用层作用物理寻址，网络拓扑，线路规章等；错误检测和通告〔但不纠错〕；将比特聚成帧进行传输；流量控制〔可选〕寻址机制使用数据接收设备的硬件地址〔物理地址〕寻址〔如MAC地址〕典型数据链路层设备网卡、网桥和交换机数据链路层协议PPP,HDLC,FR,Ethernet,TokenRing,FDDI第二层：数据链路层8数据链路层物理层网络层传输层会话层表示层应用层第二层：以太网协议标准〔两个子层〕LLC〔LogicalLinkControl〕IEEE802.2为上层提供统一接口；使上层独立于下层物理介质；提供流控、排序等效劳；MAC〔MediaAccessControl〕IEEE802.3烧录到网卡ROM；48比特；唯一性；LLCMAC物理层网络层传输层会话层表示层应用层9第三层：网络层作用逻辑寻址路径选择寻址机制使用网络层地址进行寻址〔如IP地址〕网络层典型设备路由器三层交换机10数据链路层物理层网络层传输层会话层表示层应用层第四层：传输层作用提供端到端的数据传输效劳；建立逻辑连接；寻址机制应用程序的界面端口〔如端口号〕传输层协议TCP(TransmissionControlProtocol)状态协议；按序传输；纠错和重传机制；Socket；UDP(UserDatagramProtocol)无状态协议；SPX11数据链路层物理层网络层传输层会话层表示层应用层第五层：会话层作用不同应用程序的数据隔离；会话建立，维持，终止；同步效劳；会话控制〔单向或双向〕12数据链路层物理层网络层传输层会话层表示层应用层第六层：表示层作用数据格式表示；协议转换；字符转换；数据加密/解密；数据压缩等；表示层数据格式ASCII,MPEG,TIFF,GIF,JPEG；13数据链路层物理层网络层传输层会话层表示层应用层第七层：应用层作用应用接口；网络访问流处理；流控；错误恢复；应用层协议FTP,Telnet,HTTP,SNMP,SMTP,DNS；14数据链路层物理层网络层传输层会话层表示层应用层数据发送过程---数据封装SegmentPacketBitsFramePDU数据接收过程---数据解封OSI平安体系结构定义的平安攻击OSI平安体系结构定义了被动攻击和主动攻击被动攻击:监听流量分析主动攻击:假冒重放篡改拒绝效劳OSI平安体系结构定义的平安效劳OSI平安体系结构定义了系统应当提供的五类平安效劳，以及提供这些效劳的八类平安机制；某种平安效劳可以通过一种或多种平安机制提供，某种平安机制可用于提供一种或多种平安效劳鉴别；访问控制；数据机密性；数据完整性；抗抵赖；OSI平安体系结构定义的平安机制加密；数字签名；访问控制；数据完整性；鉴别；流量填充〔用于对抗通信流量分析，在加密时才是有效的〕；路由控制〔可以指定路由选择说明，回避某些特定的链路或子网〕；公证〔notarization〕；TCP/IP与OSI模型的对应关系TCP/IP常用协议与平安威胁TCP/IP协议模型20TCP/IP协议与OSI模型的对应21物理层网络层传输层会话层表示层应用层数据链路层互联网络层传输层应用层网络接口层TCP/IP协议结构22应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARP网络接口层平安损坏干扰电磁泄漏搭线窃听欺骗23拒绝效劳嗅探网络接口层平安损坏：自然灾害、动物破坏、老化、误操作干扰：大功率电器/电源线路/电磁辐射电磁泄漏：传输线路电磁泄漏搭线窃听：物理搭线欺骗：ARP欺骗嗅探：常见二层协议是明文通信的〔以太、arp等〕拒绝效劳：macflooding，arpflooding等24ARP欺骗DAI〔DynamicARPInspection〕是思科交换机的一个平安特性。DAI能够检查arp数据包的真实性，自动过滤虚假的arp包。利用DAI防御arp欺骗互联网络层体系结构27应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPIP是TCP/IP协议族中最为核心的协议不可靠〔unreliable〕通信无连接〔connectionless〕通信提供分层编址体系〔ip地址〕IP协议简介28IP报头结构IP地址类别 *127(01111111)是保存用于环回测试的A类地址，不能将其分配给网络。

D类224-23911100000到11101111组播通信地址

E类240-25511110000到11111111保留地址，用于测试国际互联网私有IP地址范围类私有地址范围A

到55B

到55C

到55特点：构建在IP报文结构上，但被认为是与IP在同一层的协议IP报头ICMP报文8位类型8位代码16位校验和内容ICMP协议32internetICMP查询报文网关ICMP差错报文pingpingICMP查询报文ICMP差错报文Couldn’tfind传递过失报文及其他需要注意的信息ICMP地址掩码请求与应答ICMP时间戮请求与应答ICMP协议的作用33IP层平安拒绝效劳欺骗窃听伪造34互联网络层平安拒绝效劳：分片攻击〔teardrop〕/死亡之ping欺骗：IP源地址欺骗窃听：嗅探伪造：IP数据包伪造35分片攻击〔teardrop〕Teardrop的工作原理是利用分片重组漏洞进行攻击而造成目标系统的崩溃或挂起。例如，第一个分片从偏移0开始，而第二个分片在tcp首部之内。理想的解决方案是对ip分片进行重组时，保证TCP/IP实现不出现平安方面的问题。启用路由器、防火墙、IDS/IPS的平安特性能够防御teardrop攻击。36smurf攻击攻击者使用播送地址发送大量的欺骗icmpecho请求，如果路由器执行了三层播送到二层播送转换〔定向播送〕，那么，同一ip网段的大量主时机向该欺骗地址发送icmpecho应答，导致某一主机〔具有欺骗地址〕收到大量的流量，从而导致了DoS攻击。防御方法为关闭路由器或三层交换机的定向播送功能。37防御IP源地址欺骗〔rfc3704过滤〕大多数攻击都伴随着ip源地址欺骗。38传输层体系结构39应用层传输层互联网络层网络接口层应用协议应用协议应用协议应用协议TCPUDPICMPIPIGMPARP硬件接口RARPTCP:传输控制协议作用：TCP提供一种面向连接的、可靠的字节流效劳功能数据包分块发送接收确认超时重发数据校验数据包排序控制流量……TCP协议4016位源端口号16位目的端口号32位序号32位确认序号偏移量保留UAPRSF16位窗口大小16位紧急指针16位校验和数据TCP包头数据结构TCP首部41URG紧急指针〔urgentpointer〕有效ACK确认序号有效PSH接收方应该尽快将这个报文段交给应用层RST重建连接SYN同步序号，用来发起一个连接。FIN发送端完成发送任务TCP首部-标记位42TCP/UDP通过16bit端口号来识别应用程序知名端口号由Internet号分配机构〔InternetAssignedNumbersAuthority,IANA〕来管理现状1－255端口号分配给知名的网络效劳256－1023分配给Unix操作系统特定的效劳1024～5000临时分配的端口号5000以上端口号保存给应用效劳TCP首部-端口号43TCP建立连接过程——三次握手CTL=TCP报头中设置为1的控制位特点：UDP是一个简单的面向数据报的传输层协议不具备接收应答机制不能对数据分组、合并不能重新排序 没有流控制功能协议简单占用资源少，效率高……UDP协议4516位源端口号16位目的端口号16位UDP长度16位UDP校验和数据UDP协议包头46相同点同一层的协议，基于IP报文根底上不同点TCP是可靠的，高可用性的协议，但是复杂，需要大量资源的开销UDP是不可靠，但是高效的传输协议UDP与TCP比较47传输层平安拒绝效劳欺骗窃听伪造48传输层平安问题拒绝效劳：synflood/udpflood、Smurf欺骗：TCP会话劫持窃听：嗅探伪造：数据包伪造49TCPsynflood攻击攻击者使用虚假地址在短时间内向目标主机发送大量的tcpsyn连接请求，导致目标主机无法完成tcp三次握手，导致目标主机的连接队列被充满，从而导致目标主机拒绝为合法用户提供tcp效劳。可以在路由器、防火墙或IPS启用ip源地址过滤〔rfc3704〕，并启用tcp最大连接数和连接速率限制等特性进行防御。50TCP会话劫持攻击者对两台通信主机的信息流进行监视，通过猜测会话序列号可能注入其中一台主机的信息流，当合法主机与网络的连接被断开后，攻击者使用合法主机的访问权继续进行会话。最好的防御方法是使用防火墙或IPS进行会话合法性检查以及部署加密通信技术〔如ipsec等〕。51TCP序列号和确认号应用层协议域名解析：DNS电子邮件：SMTP/POP3文件传输：FTP网页浏览：HTTP网络终端协议:TELENET简单网络管理协议:SNMP网络文件系统:NFS

路由协议:BGP53应用层平安拒绝效劳欺骗窃听伪造暴力破解……54应用层协议的平安问题拒绝效劳：超长URL链接、欺骗：跨站脚本、钓鱼式攻击、cookie欺骗窃听：嗅探伪造：应用数据篡改暴力破解：应用认证口令暴力破解等……55实现加密通信56使用ssh替代telnet使用s替代使用S/MIME平安多用途英特网邮件扩展部署ipsecvpn嗅探攻击利用各种工具收集目标网络或系统的信息.常用攻击工具:Sniffers〔数据包嗅探〕端口扫描Ping扫描嗅探攻击的防御方法用户和设备身份鉴别AAA效劳、dot1x、NAC等。数据加密IPSec、SSL、SSH、WAPI、802.11i等。部署IDS/IPS部署交换机根底架构使用交换机根底架构能够减少数据包嗅探攻击。访问攻击特点访问攻击的目的:获取数据获取访问特权常见的访问攻击和工具口令攻击〔各种口令破解工具、嗅探、病毒、木马〕信任关系利用端口重定向中间人攻击缓冲区溢出访问攻击的防御方法使用强口令、一次性口令,AAA效劳等部署严格的边界信任和访问控制防火墙或路由器Window域或活动目录Linux、Unix部署加密技术部署IDS/IPS部署路由协议鉴别AAA效劳Authentication〔身份鉴别〕Authorization〔授权〕Accounting〔记账〕DoS攻击特点DoS攻击的目的是导致目标网络、系统或效劳不可用.DistributedDoS攻击能够协同大量的攻击主机向同一个目标进行集群攻击。DoS和DDoS攻击通常伴随着ip地址欺骗攻击，以隐藏攻击者.DoS攻击容易实施，但是非常难以彻底防范，需要所有的互联网ISP和所有的企业和用户共同防御才能减少其危害〔互联网公共道德和平安意识〕。DistributedDoS例如DoS攻击的防御方法在路由器和防火墙部署防ip源地址欺骗在路由器和防火墙启用防御DoS平安特性路由器Tcp拦截、常用acl策略防火墙tcp连接监控部署网络和主机IDS/IPS检测和防御DoS攻击在互联网效劳提供商〔ISP〕部署流量限速TCP/IP协议簇的平安架构

IPv6平安特性IPv6平安特性支持移动性地址数量大支持端到端业务模式支持QoS和性能问题强制IPSEC简化的路由表配置简单66IPv6与IPv4的地址数量差异IPv4地址数量：2^32，共4294967296个地址IPv6地址数量：2^128，共3.402823*10^38每个人可以分配到整个比原来整个IPv4还多的地址，地球上每平方米可以分配到一千多个地址IPv6提供的许多增强功能增强的IP编址简化的报头移动性和平安性多种过渡方式IP地址平安特性67IPv4报头具有20个八位二进制数和12个根本报头字段，然后是选项字段和数据局部〔通常是传输层数据段〕IPv6报头具有40个八位二进制数、三个IPv4根本报头字段和五个附加报头字段简单报文结构68大多数应用协议需要进行升级FTP,SMTP,Telnet,Rlogin需要对以下标准进行修改全部51个Internet标准中27个20个草案中的6个130个标准建议中的25个IPv6应用问题69知识域：网络协议平安知识子域：无线数据网络协议平安无线局域网协议平安理解802.11无线网络协议原理及其平安特性理解802.11i无线网络协议原理及其平安特性了解WAPI的原理和平安特性无线应用协议平安理解WAP的产生背景、原理和架构理解WTLS协议架构理解WAPEND-TO-END平安的实现原理70无线局域网协议平安无线网络体系及标准无线局域网国际标准802.11简介无线局域网国际标准802.11平安问题IEEE802.11i无线局域网平安协议介绍WAPI标准介绍71无线技术72PAN(PersonalAreaNetwork)LAN(LocalAreaNetwork)WAN(WideAreaNetwork)MAN(MetropolitanAreaNetwork)PANLANMANWANStandardsBluetooth

802.15.3

UltraWideBand(WiMedia)802.11802.11(Wi-Fi)

802.16(Wi-Max)

802.20GSM,CDMA,SatelliteSpeed<1Mbps11to54Mbps10-100+Mbps10Kbps–2MbpsRangeShortMediumMedium-LongLongApplicationsPeer-to-Peer

Device-to-DeviceEnterpriseNetworksLastMileAccessMobileDataDevices无线局域网的传输媒质分为无线电波和光波两类无线电波主要使用无线电波和微波，光波主要使用红外线无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的单独有偿使用的频段；自由频段主要是指ISM频段〔Industrical，Scientific，Medical〕无线局域网根本概念73IEEE802.11简介WLAN是通过无线信道来实现网络设备之间的通信，并实现通信的移动化、个性化和宽带化。在WLAN中，当前使用最为广泛的为IEEE指定的802.11.802.11标准〔组〕包括802.11a，802.11b，802.11g及802.11n〔草案〕，加上平安方面的802.11i，以及QoS方面的802.11e。使用802.11系列协议的局域网又称Wi-Fi(Wireless-Fidelity)802.11局域网网络结构75无线局域网安全风险

无线局域网平安问题76传统无线平安防护措施效劳集标识符SSID极易暴露和伪造，没有平安性可言物理地址〔MAC〕过滤MAC地址容易伪造，扩展性差有线等效加密〔WEP〕IEEE802.11定义的WEP保密机制加密强度缺乏，在很短的时间内WEP密钥即可被破解AirSnort的工具程序，利用WEP弱密钥的缺陷，可以在分析100万帧之后破解RC4的40位或者104位密钥。经过改进，它可以在分析20000帧之后破解。77问题例如：“中间人”攻击后台AS合法AP伪造AP

用户（终端）攻击者攻击者利用伪造AP进行中间人攻击：伪造AP对用户〔终端〕相当于合法AP；对合法AP相当于用户〔终端〕78802.11i简介在WEP之后，802.11i任务组完成了提高WLAN平安能力的开发工作为了尽快提高WLAN的平安能力，Wi-Fi联盟公布了Wi-FiProtectedAccess(WPA)作为Wi-Fi标准802.11i标准的最终版本称作RSN〔RobustSecurityNetwork〕。Wi-Fi的WPA2完整的实现了802.11i标准。802.11i的网络架构规定了二种网络架构：过渡平安网络(TSN)：可以兼容现有的使用WEP方式工作的设备，使现有的无线局域网系统可以向802.11i网络平稳过渡。强健的平安网络(RSN)：针对WEP加密机制的各种缺陷做了多方面的改进，大大增强WLAN的数据加密和认证性能。IEEE802.11iRSN的运行三种加密方式的比较WEPTKIPCCMP核心算法RC4RC4AES密钥长度40/104bit128bit128/192/256bit完整性确认CRC校验MIC检验码CCM算法认证无EAP协议EAP协议WAPI标准简介WAPI(WLANAuthenticationandPrivacyInfrastructure)是我国自主研发的，拥有自主知识产权的无线局域网平安技术标准83启动标准编制标准推出并准备强制启用无限期退出强制执行并申请国际标准政府发文促进标准体系完善，国际标准投票失败启动第二次国际标准申请，可能成为独立标准标准化组织达成共识，推动成为独立标准计算机

WAPIGB15629.11-2003GB15629.11-2003/XG1-2006GB15629.1102-2003GB15629.1101-2006GB15629.1104-2006GB/T15629.1103-2006……5.8GHz54Mbps2.4GHz11Mbps不同国家之间漫游2.4GHz54Mbps2006年6月公布四项新的无线局域网国家标准。形成全面采用WAPI我国无线局域网国家标准体系基于WAPI的无线局域网标准体系842009-3-09基于三元结构和对等鉴别的访问控制方法可普遍适用于无线、有线网络

WAPI目的：“合法用户接入合法网络”用户网络合法合法WAPI的技术思想85WLAN〔AP〕终端终端终端WMAN〔基站〕有线连接2公里50米LAN〔交换机/路由器〕后台网络终端接入点后台AS全IP架构下的接入网三元结构86WEP802.1x+EAP(802.11i)、WiMAXWAPI二元平安架构对应二物理实体单向鉴别无法保证平安三元平安架构对应三物理实体接入点/基站有独立身份完整双向认证有效保证平安“元”在网络平安接入领域指具有认证功能的功能体二元平安架构对应三物理实体AP无独立身份，易被攻击仍无法保证平安WAPI构筑三元平安架构87STA其他网络设备AS服务器AP鉴别激活接入鉴别请求证书鉴别请求证书鉴别响应接入鉴别响应访问网络资源（链路加密）通信过程身份鉴别过程密钥协商请求组播密钥响应密钥协商响应组播密钥通告WAPI-WLAN平安接入协议采用公钥证书机制，通过双向身份鉴别和密钥协商过程实现平安接入控制和保密通信。WAPI平安协议流程88无线应用协议平安WAP概况WAP根底设施WAP程序设计模型无线标识语言〔WML〕WAP协议体系结构无线网传输层平安(WTLS)WAPEND-TO-END平安WAP产生背景1997年中期，世界几个主要的移动设备制造商Motorola、NokiaEricsson和美国一家软件公司Phone.

com作为最初的发起者成立了WAP论坛，开始进行WAP协议的开发。WAP协议设计目标是，基于Internet中广泛应用的标准〔如HTTP,TCP/IP,SSL,XML等〕，提供一个对空中接口和无线设备独立的无线设备独立的无线Internet全面解决方案，同时支持未来的开放标准。移动终端的局限设备的限制较弱的处理器能力缺乏的内存大小较短的电池寿命较小的显示屏较弱的数据输入能力无线网络的限制窄带宽大延迟低稳定性WAP标准的主要内容与WWW程序设计兼容的程序设计模型，B/S结构符合XML标准的语言：WML〔WirelessMarkupLanguage〕适合移动无线终端的微浏览器轻量级的通信协议栈无线应用〔wirelesstelephonyapplications，WTAs〕框架，提供和Internet访问功能的集成WAP根底设施WAP程序设计模型

无线标识语言〔WML〕

WML的重要特征支持文本和图像支持用户输入支持导航窄带优化WAP协议体系结构

WTLS协议体系结构

WAPEND-TO-END平安基于TLS的平安架构基于IPSec的平安架构为什么提出WAPEND-TO-END平安基于TLS的平安架构基于IPSec的平安架构知识域:网络协议平安知识子域:无线蜂窝网络协议平安GSM的平安性了解GSM的平安机制和平安缺陷CDMA的平安性了解CDMA的平安机制和平安缺陷3G系统的平安性了解3G系统的平安机制和平安缺陷102GSM的平安措施访问AUC〔AuthenticationCenter，鉴权中心〕，进行用户认证无线通道加密移动设备确认IMSI临时身份－TMSI的使用〔用户号码保密和防止被别人对用户定位〕103GSM的平安缺陷平安系统内在的弱点固定网络中的数据和信令传输并未得到充分的保护入侵者轻易能得到的全部有关平安的信息.SIM卡易受一种称为“SIM克隆”的攻击.数据业务的弱点短信信息在传输时未加密加密算法的弱点DavidWagner和IanGoldberg曾用不到一天的时间破解了COMP128算法。104CDMA的平安措施用防篡改的UIM〔UserIdentifyModule〕卡代替了GSM的SIM卡CDMA认证CDMA的保密性105CDMA的平安缺陷当前的许多系统不支持认证功能既没有认证算法也无法输入A-KEY参数的管理存在问题1063G的平安措施用户身份保密在无线链路上窃听用户身份IMSI是不可能的；确保不能够通过窃听方式获取当前用户的位置；不能在无线链路上获知用户正在使用的不同的业务

3G认证完成了网络和用户间的双向认证；防止重放攻击;数据保密性数据完整性1073G系统的平安漏洞3G允许将比较弱的加密算法标准化以便于出口;不支持公钥密码体制，难以实现用户数字签名终端存储能力和处理能力的增强更有利于病毒的传播108知识域：网络架构平安知识子域：网络架构平安的概念理解网络架构平安的含义理解网络架构的平安需求〔平安域、平安边界、用户接入控制、数据平安访问和控制等〕109网络架构平安的含义网络架构的定义：定义一：指对网络系统中物理部件的规划、规格描述以及布署定义二：为设计、构建和管理一个通信网络提供一个构架和技术根底的蓝图。定义三：指对由软件、互联设备、通信协议和传输模式等构成的网络的结构和布署，用以确保可靠的信息传输，满足的业务需要。网络架构平安是网络架构在平安方面的考虑，是网络规划和设计的重要内容之一网络架构的平安需求平安域划分边界平安策略路由交换设备平安配置要求防火墙平安配置要求网闸平安配置要求入侵检测平安配置要求抗DDoS攻击平安配置要求虚拟专用网〔VPN〕攻能要求流量管理部署与功能要求网络监控与审计部署与功能要求访问控制的功能要求网络平安域

定义平安域是遵守相同平安策略的用户和系统的集合平安域划分的目的把大规模系统平安问题化解为更小区域的平安保护问题平安域的分类按信息资产划分按业务类型划分按区域划分按组织架构划分112同级别平安域同级别平安域之间的边界-同级别平安域之间的平安防护主要是平安隔离和可信互访不同级别平安域不同级别平安域之间的边界－实际设计实施时又分为高等级平安域和低等级平安域的边界和防护远程连接用户远程连接的用户－对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护同级别平安域之间的边界远程接入边界的平安网络平安域防护113网络边界的概念具有不同平安级别的网络之间的分界线都可以定义为网络边界网络常见边界：核心网络与互联网的边界核心网络与部门、分支机构网络的边界核心网络与异地容灾中心边界平安不同部门、分支机构网络的边界114网络边界防护路由器防火墙；IDS。VPN设备。软件DMz和被屏蔽的于网

隔离网闸。。。。。。。115网络边界防护部件路由交换设备平安配置要求每台设备上要求安装经认可的操作系统，并及时修补漏洞路由器设置加长口令，网络管理人员调离或退出本岗位时口令应立即更换。路由器密码不得以明文形式出现在纸制材料上，密码应隐式记录，记录材料应存放于保险柜中。限制逻辑访问，合理处置访问控制列表，限制远程终端会话。监控配置更改。定期备份配置和日志。明确责任，维护人员对更改路由器配置时间、操作方式、原因和权限需要明确。入侵检测平安配置要求中大型网络平台应部署基于网络的入侵检测系统〔NIDS〕网络入侵检测系统应对核心局域网、DMZ区域进行检测。对大型网络、分支机构网络的入侵检测，应采用分布式方式部署入侵检测系统。入侵检测产品应有国家相关平安部门的证书。监控配置更改时要进行监控。、定期备份配置和日志。入侵检测系统设置加长口令。如采用分布式部署方式，各级入侵检测系统宜采用分级管理方式进行管理。访问控制的功能要求网络边界部署访问控制设备，启用访问控制功能。能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。在会话处于非活泼一定时间或会话结束后终止网络连接。限制网络最大流量数及网络连接数。重要网段应采取技术手段防止地址欺骗。按用户和系统之间的允许访问规那么，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。知识域：网络架构平安知识子域：网络架构平安实践掌握IP地址规划、VLAN划分的根本平安原那么掌握网络设备平安功能和平安配置的根本原那么掌握网络平安设备部署和配置的根本原那么119网络架构平安IP地址规划VLAN规划和实施网络设备的平安功能和配置网络平安设备的功能和配置IP地址规划从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出网络设计师的技术水准。121为什么需要进行IP规划提高路由协议的运行效率确保网络的性能确保网络可扩展确保网络可管理核心设备使用相对较小的地址所有网关地址使用相同的末位数字，如.254都是网关或.1都是网关IP地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。IP地址规划的技巧122非体系化的ip编址主干网和每个分支网络需要维护全网的详细IP网段，路由表条目数明显增多，明显增加了路由协议运行开销。体系化的ip编址主干网只需维护每个分支网络的一条汇总路由每个分支网络只需要维护本网络区域的详细IP网段，对于其他每个分支网络只需维护一条汇总路由。路由表题目数量很少，明显减少了路由协议运行开销。VLAN定义VLAN〔VirtualLocalAreaNetwork〕的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。125VLAN规划划分VLAN的作用有效的宽带利用平安性多路径负载均衡隔离故障域VLAN的分类