安全生产管理网络安全技术

{安全生产管理}网络安全技术H3C 次1.2.4H3CVLANVLANPVLANGVRPH3CSTPIRFNATACLVPNIPsecVPNIPsecGREVPNL2TPSSLVPNDVPNVPNMPLSH3CSecPath/VPNH3CH3CSecBladeFWH3CSSLVPNH3CASMH3CNSMH3CIPSUTMAAAEAD802.1XSNMPNTP5.4.4OSPFOSPFLSDBDR\BDRIDBGPBGPBGPPeerBGP6.3ARPDDOSTCPSYNLandVlan201012010201220132015H3C应指导所有的安全系统。CIAInternetInternet3【3】ACL（ACL，accesscontrollistPVLAN（下层）VLAN，则实现了所有端口的隔离。PVLANIP【6】IPIP（这个备份路由器就成为主路由器【7】网络地址转换网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种lPH3CH3C防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，InternetIntranet🖂（SecurityGateway4【9】H3CIPVPN伴和用户的安全外联网虚拟专用网。VPNAAATACACS+【14】802.1xClient/Server授权的用户/设备通过接入端口(accessportLAN/WLAN。在获得交换机或在认证通过之前，802.1xEAPoL（基于局域网的扩展认证协议）数据通过网络准入控制NAC，Pc、服务器、PDA)OSPFIDOSPFBGP2.12.1网络安全应具有以下五个方面的特征：保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性：对信息的传播及内容具有控制能力。可审查性：出现的安全问题时提供依据与手段。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。计算机网络系统的安全管理主要是配合行政手段，制定有关网络安全管理的规章制度，在技术上实现网络系统的安全管理，确保网络系统的安全、可靠地运行，主要涉及以下四个方面：计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机网络系统有一个良好的工作环境；建🖂完备的安全管理制度，防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。访问控制策略是计算机网络系统安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常规访问。它也是维护网络系统安全、保护网络资源的重要手段。各种网络安全策略必须相互配合才能真正起到保护作用，所以网络访问控制策略是保证网络安全最重要的核心策略之一。信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。在计算机网络系统安全策略中，不仅需要采取网络技术措施保护网络安全，还必须加强网络的行政安全管理，制定有关网络使用的规章制度，对于确保计算机网络系统的安全、可靠地运行，将会起到十分有效的作用。计算机网络系统的安全管理策略包括：确定网络安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度；制定网络系统的管理维护制度和应急措施等等。H3CVLANVLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每VLAN是一个广播域，VLAN内的主机间通信就和在一个LANVLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，从而最大程度的减少了广播风暴的影响。VLAN可以增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备，3.13.1vlan从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：1、基于端口的VLAN这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。2MACVLANMAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC12166位为网卡的厂商标识（OUI6（NICMAC分为一个逻辑子网。3、基于路由的VLAN路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。就目前来说，对于VLAN的划分主要采取上述第1、32式为辅助性的方案。H3C低端系列以太网交换机支持的以太网端口链路类型有三种：Access类型：端口只能属于1VLAN，一般用于连接计算机；TrunkVLANVLAN一般用于交换机之间的连接；Hybrid类型：端口可以属于多个VLAN，可以接收和发送多个VLAN文，可以用于交换机之间连接，也可以用于连接用户的计算机。交换机与工作站之间的连接接口配置为Access，交换机和交换机之间的连接一般采用Trunk端口，协议采用802.1q（ISLcisco专用协议。VLANPVLAN传统的VLAN固然有隔离广播风暴，增强局域网内部安全性等好处，然而不可避免的有以下几个方面的局限性:VLAN的限制：交换机固有的VLAN数目的限制；复杂的STP：对于每个VLAN，每个相关的SpanningTree的拓扑都需要管理；IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；路由的限制：每个子网都需要相应的默认网关的配置。现在有了一种新的VLAN机制，所有服务器在同一个子网中，但服务器只能VLAN（PrivateVLAN。在PrivateVLAN的概念中，交换机端口有三种类型：Isolatedport，Communityport，Promiscuousport；它们分别对应不同的VLAN类型：Isolatedport属于IsolatedPVLAN,Communityport属于CommunityPVLAN，而代表一个PrivateVLAN整体的是PrimaryVLAN，前面两VLAN需要和它绑定在一起，同时它还包括PromiscuousportIsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能交换流量；在CommunityPVLAN中Communityport不仅可以和Promiscuousport通信，而且彼此也可以交换流量。Promiscuousport与路由器或第3层交换机接口相连,它收到的流量可以发往IsolatedportPVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLANVLANIP提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。目前很多厂商生产的交换机支持PVLANPVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的，而且采用PVLANPVLAN在交换机上的配置也相对简单，PVLAN技术越来越得到网络管理人员的青睐。GVRP通过使用GVRP，可以使同一局域网内的交换机接收来自其它交换机的VLAN注册信息，并动态更新本地的VLAN注册信息，包括：当前的VLAN、配置版本号、这些VLAN可以通过哪个端口到达等。而且设备能够将本地的VLAN册信息向其它设备传播，使同一局域网内所有设备的VLAN信息达成一致，减少由人工配置带来的错误的可能性。对GVRP不熟悉的朋友，可以参考CISCO的VTP协议，两者大同小异。如图3-2：3-2GVRP组网示意图SwitchC静态配置了VLAN5，SwitchD静态配置了vlan8，SwitchE静态配置VLAN5VLAN7，SwitchASwitchB开启了全局和端口的GVRP功能，这样可以动态学习到VLAN5,VLAN7,VLAN8fixed，即禁止端口动态注册VLAN，仅允许本地创建的VLAN向外传播；另一种注册forbidden，即禁止端口动态注册VLAN，仅允许缺省VLAN1向外传播。H3C端口汇聚是将多个以太网端口汇聚在一起形成一个逻辑上的汇聚组，使用汇聚服务的上层实体把同一汇聚组内的多条物理链路视为一条逻辑链路。将多个物理链路捆绑在一起后，不但提升了整个网络的带宽，而且数据还可以同时经由被绑定的多个物理链路传输，具有链路冗余的作用，在网络出现故障或其他原因断开其中一条或多条链路时，剩下的链路还可以工作。这样，同一汇聚组的各个成员端口之间彼此动态备份，提高了连接可靠性，增强了负载均衡的能力。3.3H3C的交换机设备做端口汇聚时，必须注意以下几点：做端口汇聚时，H3C交换机最多可以包括8个端口，这些端口不必是连续分布的，也不必位于相同的模块中；至于有几个汇聚组则视交换机的类型而定。一个汇聚组内的所有端口必须使用相同的协议如LACP一个汇聚组内的端口必须有相同的速度和双工模式。一个端口不能再相同时间内属于多个汇聚组。一个汇聚组内的所有端口都必须配置到相同的接入VLAN由于部署IDSIPS等产品需要监听网络流量（网络分析仪同样也需要，但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听，这样就产生了端口镜像。端口镜像（portMirroring)分为本地端口镜像和远程端口镜像两种。本地端口镜像是指将设备的一个或多个端口（源端口）的报文复制到本地设备的一个监视端口（目的端口，用于报文的分析和监视。其中，源端口和目的端口必须在同一台设备上。如图3.4：SwitchCE13可以把端口研发部所连得端口E11和市场部连接的E12端口的流量复制过来,然后交给数据检测设备分析，从而可以对危险流量进行隔离和控制。3.4本地端口镜像实例图远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，使源端口和目的端口可以跨越网络中的多个设备，从而方便网络管理人员对远程设备上的流量进行监控。为了实现远程端口镜像功能，需要定义一个特殊的VLAN，称之为远程镜像VLAN（Remote-probeVLAN。所有被镜像的报文通过该VLAN从源交换机的反射口传递到目的交换机的镜像端口，实现在目的交换机上对源交换机端口收发的报文进行监控的功能。远程端口镜像的应用示意图如图3.5所示。对部门12的流量进行监控，SwitchA为源交换机：被监控的端口所在的交换机，负责将镜像流量复制到反射端口，然后通过远程镜像VLAN传输给中间交换机或目的交换机；SwitchB为中间交换机：网络中处于源交换机和目的交换机之间的交换机，通过远程镜像VLAN把镜像流量传输给下一个中间交换机或目的交换机，如果源交换机与目的交换机直接相连，则不存在中间交换机；SwitchC为目的交换机：远程镜像目的端口所在的交换机，将从远程镜像VLAN接收到的镜像流量通过镜像目的端口转发给监控设备。3.5远程端口镜像实例图STPSTP协议最主要的应用是为了避免局域网中的网络环回，解决以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接，各大交换机设备厂商默认开启STP协议。H3C交换机支持的生成树协议有三种类型，分别是STP（IEEE802.1D、（IEEE802.1W）和MSTP（IEEE802.1S，这三种类型的生成树协议均按照标准协议的规定实现，采用标准的生成树协议报文格式。手动指定根网桥不要让STP来决定选举哪台交换机为根网桥。对于每个VLAN，您通常可以确定哪台交换机最适合用做根网桥。哪台交换机最适合用做根网桥取决于网络设计，一般而言，应选择位于网络中央的功能强大的交换机。如果让根网桥位于网络中央，并直接连接到多台服务器和路由器，通常可缩短客户端到服务器和路由器的距离。对于VLAN，静态地指定要用做根网桥和备用（辅助）根网桥的交换机。多层交换体系中部署MSTP（MultIPleSpanningTreeProtocol）是把IEEE802.1w的快速生成树（RST）算法扩展而得到的，体现的是将多个VLAN映射到一个生成树实例的能力。STP不能迁移，RSTP可以快速收敛，但和STP一样不能按VLAN冗余链路，所有VLAN的报文都按一颗生成树进行转发。MSTPSTPRSTP，从而弥补STPRSTP的缺陷，不但可以快速收敛，同时还提供了数据转发的多个冗余路径，使不同VLAN的流量沿各自的路径分发，在数据转发过程中实现VLAN数据的负载均衡，使设备的利用率达到最高。3.6MST配置组网图3.6所示：网络中所有交换机属于同一个MSTVLAN10的报文沿着实1转发，VLAN303转发，VLAN404转发，VLAN20实例0转发；0SwitchASwitchB为汇聚层设备，SwitchCSwitchD为接入层设备。VLAN10、VLAN30在汇聚层设备终结，VLAN40在接入层设备终结，因此可以配置实例13的树根分别为SwitchASwitchB，实例4的树根为SwitchC。Internet的发展，人们对网络可靠性,安全性的要求越来越高。对于终（VirtualRouterRedundancyProtocol，虚拟路由冗余协议）是一种容错协议，它保证当主机的下一跳路由器失效时，可以及时由另一台路由器代替，从而保持通信的连续性和可靠性。Cisco系列交换机更多的采用思科厂商专HSRP（HotStandbyRouterProtocol，热备份路由器协议）VRRP工作，要在路由器上配置虚拟路由器号和虚拟IP时会产生一个虚拟MAC(00-00-5E-00-01-[VRID])地址，这样在这个网络中就加入了一个虚拟路由器。一个虚拟路由器由一个主路由器和若干个备份路由器组成，主路由器实现真正的转发功能。当主路由器出现故障时，一个备份路由器将成为新的主路由器，接替它的工作,避免备份组内的单台或多台交换机发生故障而引起的通信中断。3.7VRRP协议部署图3.7AABVRRP备份组作为自己的缺省网关，访问Internet上的主机B。备份组号可以自己设定；主路由是AB，取决于两者的优先级，高的成为主路由，优先级一样比较IP地址，谁的大谁是主路由，另外一台作为备份路由；VRRP默认抢占开启。IRFIRF（IntelligentResilientFramework，智能弹性架构）是H3C公司融合高端交换机的技术，在中低端交换机上推出的创新性建设网络核心的新技术。它将帮助用户设计和实施高可用性、高可扩展性和高可靠性的千兆以太网核心和汇聚主干。在堆叠之前要先了解堆叠设备的规格，一个堆叠最多支持多少个设备，或者最多支持多少个端口。在系统启动时、新Unit加入时、merge时都会进行配置比较。配置比较时将以最小IDUnit的配置作为参照基准。比较结果不同的Unit将把基准配置保存为临时文件，然后重起。重起时将采用这个临时文件作为自己的配置。为增加堆叠的可靠性，尽量使用环形堆叠。IRF设备堆叠端口相连时一定是UP端口和另一台设备的DOWN端口相连。3.7S58系列以太网交换机在企业网/园区网的应用在大中型企业或园区网中，S58系列以太网交换机作为大楼汇聚交换IRF智能弹性架构将多台汇聚交换机虚拟为一台逻辑设备，从而简化管理维护，实现弹性扩展。此外H3C的开发业务架构也可以使S58系列交换机集成防火墙模块，提高网络安全性，而在集成了无线控制器模块以后，可以集中配置管理无线接入点，从而使S58系列交换机提供一套完整的有线无线一体化的解决方案。网络边界就是网络的大门，大门的安全防护是网络安全的基础需求。随着网络的日益复杂，域边界的概念逐渐替代了网络边界，边界成了网络安全区域之间安全控制的基本点。黑客攻击与厂家防护技术都会最先出现在这里，然后在对抗中逐步完善与成熟起来。在本文中，边界安全主要是指企业网在互联网接入这部分。对边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据以上原则，H3C提出以下的安全分区设计模型，主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。4.0H3C提出的安全分区设计模型通过以上的分区设计和网络现状，H3C提出了以防火墙、VPN和应用层防御系统为支撑的深度边界安全解决方案。NATNAT（NetworkAddressTranslation，网络地址转换)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅完美地解lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。如图4.1NAT技术隐藏了局域网内Internet4.1NAT技术组网图NAT的实现方式有三种，即静态转换StaticNat、动态转换和端口多路复用PAT静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址IP地址只转换为某个公有IP借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP址是不确定的，是随机的，所有被授权访问上InternetIP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PATPortAddressTranslation)。采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。ACLACL（AccessControlList，访问控制列表）在路由器中被广泛采用，它是一种基于包过滤的流控制技术。目前有两种主要的ACL:标准ACL和扩展ACL。标准的ACL1-991300-1999之间的数字作为表号，扩展的ACL使用100-199以及2000-2699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（IP）的所有通信流量。如图4.2所示,VLAN10可以拒绝VLAN11的所有访问流量。扩展ACL比标准ACL提供了更广泛的控制范围,扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建🖂连接的和IP优先级等。如图4.2所示服务器所在的VLAN1可以允许客户的80端口访问。一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送，则不管是第一条还是最后一条语句，数据都会🖂即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。4.2ACL技术组网图另外还有一些特殊情况下的ACL技术的应用：MACACL:ACLMACMAC802.1pACL的序号取值范围为4000～4999。如图4.2PC2PC3MAC址进行限制。用户自定义的ACL:非用户自定义的ACL一旦制定之后，修改起来十分麻烦，要把整个ACL去掉，然后才能重新建🖂生效，然而用户自定义的ACL决了这一问题，可以在原有的ACL基础上进行修改。QosACL:QosACLQos分类、标记、控制和调度将应用于那些数据包，也可以基于时间段、流量监管、队列调度、流量统计、端口重定向、本地流镜像以及WEBCache重定向的功能及应用部署相关的ACL。所有通信流。需要先建🖂一个普通的ACL列表，然后建🖂一个关于VLAN访问映射表将建🖂ACL列表包含进去，最后把访问映射表映射到所需要的VPNVPN（VirtualPrivateNetwork，虚拟私有网）是近年来随着Internet泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。VPN只为特定的企业或用户群体所专用。从用户角度看来，使用VPN专网没有任何区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独🖂性，即在一般情况下，VPN资源不会被网络中的其它VPNVPN用户使用；另一方面，VPN提供足够安全性，能够确保VPN内部信息的完整性、保密性、不可抵赖性。4.3VPN技术典型组网图4.3所示，在企业互联网出口部署防火墙和VPN设备，分支机构及移动办公用户分别通过VPNVPN客户端安全连入企业内部网络；同时通过防火墙和IPS将企业内部网、DMZ、数据中心、互联网等安全区域分隔开，并通过制定相应的安全规则，以实现各区域不同级别、不同层次的安全防护。H3C公司的安全解决方案的VPN特性非常丰富，包括适用于分支机构的VPN（DVPN）解决方案、适用于MPLSVPNIPSecVPN环境下的VPE决方案、适用于链路备份的VPN高可用方案等，可以满足各种VPN环境的需要。接下来我们介绍下VPN领域的一些主流技术。IPsecVPNIPsec(IPSecurity)是保障IP层安全的网络技术，它并不是指某一项具体的协议，而是指用于实现IP层安全的协议套件集合。IPsec实质上也是一种隧道传输技术，它将IPIP上层载荷封装在IPsec报文内，并根据需要进行加密和完整性保护处理，以此保证数据在公共网络中传输过程的安全。IPsec支持两种协议标准，鉴别首部(AuthenticaionHeaderAH)和封装安全有效载荷(EncapsulationSecurityPayload，ESP)：AH可证明数据的起源地(数据来源认证)、保障数据的完整性以及防止相同的数据包不断重播(抗重放攻击);ESP能提供的安全服务则更多，除了上述AH所能提供的安全服务外，还能提供数据机密性，这样可以保证数据包在传输过程中不被非法识别;AHESP提供的数据完整性服务的差别在于，AH验证的范围还包括数据包的外部IP头。在建🖂IPsec隧道的时候还需要用到一个重要的协议即IKE协议，通过建🖂IKE的两个阶段，完成数据的传送。IPsecGREGRE（GenericRoutingEncapsulation，通用路由封装）隧道已经应用了很长的一段时间，GRECisco公司提出，目的是提供IP网络承载其他路由协议。某些网络管理员为了降低其网络核心的管理开销，将除IP的所有传送协议都删除了，因而IPXAppleTalkIP协议只能通过GREIP核心网络。如图4.44.4IPXGRE隧道互连GRE是无状态协议，与IPsec隧道不同，端点在通过隧道发送流量之前GREGRE的源动力就是任何东西都可以被封装在其中，GRE的主要应用就是在IP网络中承载非IP包，这个恰恰是IPsec所不能的。另外与IPsec不同，GRE允许路由协议（OSPFBGP）穿越连接。但是GRE隧道不提供安全特性，不会对流量进行加密、完整性验证，而IPsec刚好解决了这个难题，这样基于IPsecGREVPN强大功能特性就充分体现了。VPNL2TPL2TP提供了一种远程接入访问控制的手段，其典型的应用场景是：某公司员工通过PPP拨入公司本地的网络访问服务器(NAS)，以此接入公司内部网络，获取IP地址并访问相应权限的网络资源该员工出差到外地，此时他想如同在公司本地一样以内网IP地址接入内部网络，操作相应网络资源，他的做法是向当地ISPL2TP服务，首先拨入当地ISP，请求ISPNAS🖂L2TP会话，并协商建🖂L2TPISPPPP据通道化处理，通过L2TP隧道传送到公司NAS，NAS就从中取出PPP数据进行相应的处理，如此该员工就如同在公司本地那样通过NAS接入公司内网。L2TP本质上是一种隧道传输协议，它使用两种类型的消息：控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP可以进行用户身份认证。在安全性考虑上，L2TP仅定义了控制消息的加密传输方式，对传输中的数据并不加密。L2TPIPsec的一个最大的不同在于它不对隧道传输中的数据进行加密，从而没法保证数据传输过程中的安全。因此这个时候，L2TPIPsec结合使用，先使用L2TP封装第二层数据，再使用IPsec封装对数据进行加密和提供完整性保护，由此保证通信数据安全传送到目的地。因此就一般企业用户构建安全的VPN而言，应该使用IPsec技术，当然如果需要实现安全的VPDN，就应该采用L2TP+IPsec组合技术。SSLVPNSSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL由许多子协议组成，其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙。在数据传输期间，记录协议利用握手协议生成的密钥加密和解密后来交换的数据。SSL🖂于应用，因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的传输层和应用层之间。与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。IPSecVPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。SSLVPN好相反，客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过SSL安全加密协议，安全地访问网络中的信息。SSLVPNIPsecVPN主要有以下优点：SSLVPN之需要安装配置好中心网关即可。其余的客户端是免安装的，因此，实施工期很短，如果网络条件具备，连安装带调试，1-2天即可投入运营。容易维护：SSLVPN维护起来简单，出现问题，就维护网关就可以了。如果有双机备份的话，就可以启用备份路由器。安全:SSLVPN是一个安全协议，数据全程加密传输的。另外，由于SSL网关隔离了内部服务器和客户端，只留下一个Web浏览接口，客户端的大多数病毒木马感染不倒内部服务器。而SSLVPN就不一样，实现的是IP别的访问，远程网络和本地网络几乎没有区别。DVPNDVPN（DynamicVirtualPrivateNetwork,动态虚拟私有网络技术）通过动态获取对端的信息建🖂VPNDVPNNBMA类型的隧道机制，使TunnelDVPN隧道的端点，完成DVPN报文的封装和发送，同时通过Tunnel接口完成私网路由的动态学习。DVPNClientServer的方式解决了传统VPNClient通过在ServerClient自己的信息在SeverClientServer定向功能得到其它Client的信息，从而可以在Client之间建🖂🖂Session（会话，进行数据传输的通道。当多个DVPN接入设备通过向共同Server进行注册，构建一个DVPN域，就实现了各个DVPN接入设备后面的网络的VPN互联。所有通过DVPN实现互连的私有网络以及网络中的防火墙、路由器设备共同构成DVPNDVPN不但继承了传统VPN的各种优点，更大程度上解决了传统VPN前还没有解决的问题。配置简单、网络规划简单、功能强大，比传统的VPN更加符合目前以及未来的网络应用。其特点如下：配置简单:一个DVPN接入设备可以通过一个tunnel逻辑接口和多个VPN接入设备建🖂会话通道，而不用为每一个通道配置一个逻辑的接口作为隧道的端点，大大的简化了配置的复杂度，提高了网络的可维护性和易扩充性。支持依赖动态IP地址构建VPN:当在一个DVPN域内部构建隧道时，只需要指定相应的ServerIPIP地址是多少，更加适应如普通拨号、xdsl拨号等使用动态IP地址的组网应用。支持自动建🖂隧道技术:DVPNserver维护着一个DVPN域中所有接入设备的信息，DVPNclientserver的重定向功能自动获得需要进行通信的其它clientclient之间自动建🖂会话隧道（session。支持多个VPN:DVPN允许用户在一台DVPN设备上支持多个VPN一台防火墙不仅可以属于VPNA，也可以属于VPNB；同一设备可以在VPNA作为client设备，同时还在VPNB中作为server设备使用。VPNMPLSMPLSVPN是一种基于MPLS（MultiprotocolLabelSwitching，多协议标签交换）技术的VPN技术，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP拟专用网络（IPVPN，可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。VPN使用第二层隧道协议（L2TP、L2FPPTP）或者第三层隧道技术（IPsec、GRE，获得了很大成功，被广泛应用。但是，随着VPN范围的扩大，传统VPN在可扩展性和可管理性等方面的缺陷越来越突出。通MPLS技术可以非常容易地实现基于IPVPN业务，而且可以满足VPN可扩展性和管理的需求。利用MPLSVPN，通过配置，可将单一接入点形成多种VPNVPN代表不同的业务，使网络能以灵活方式传送不同类型的业务。图4.5MPLSVPN如上图所示，MPLSVPN：CE、PEPCE（CustomerEdge）设备：是用户网络边缘设备，有接口直接与服务提供商相连，可以是路由器或是交换机等。CE“感知”不到VPN的存在。PE（ProviderEdge）路由器：即运营商边缘路由器，是运营商网络的边CEMPLSVPNPE路由器上。P（Provider）路由器：运营商网络中的骨干路由器，不和CE直接相连。PMPLSCEPE的划分主要是从运营商与用户的管理范围来划分的，CEPE是两者管理范围的边界。安全网关可以用于CEPE设备。4.4H3CSecPath/VPN防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IPTCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IPNATIPMAC绑定、智能蠕虫防护等安全增强措施。H3CSecPathF5000-A5是目前全球处理性能最高的分布式防火墙，旨在满足大型企业、运营商和数据中心网络高性能的安全防护。SecPathF5000-A5采用多核多线程、ASIC等先进处理器构建分布式架构，将系统管理和业务处理相分离，实现整机吞吐量达到40Gbps，使其具有全球最高性能的分布式安全处理能力。SecPathF5000-A5支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采ASPF（ApplicationSpecificPacketFilter）应用状态检测技术，可对连接状态过程和异常命令进行检测；支持多种VPNL2TPVPN、GREVPN、IPSecVPNVPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIPBGP/路由策略及策略路由。图4.6SecPathF5000-A5组网实例H3CSecPathF1000系列防火墙总共有五款产品主要应用于大中型企业H3CSecPathF100系列防火墙总共有七款产品，主要应用于中小型企业。这两个系列产品都具有支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能。SecPathV100-SH3C公司面向中小型企业用户开发的新一代专业VPN网关设备。支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN和动态VPN等，可以构建多种形式的VPN；采用（ApplicationSpecificPacketFilter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；提供基本的路由能力，支持RIPBGP路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。图4.7SecPathV100-E网关在线部署模式SecPathSSLVPN系列网关是SecPath系列产品的新成员，是H3C公司开发的新一代专业安全产品。SecPathSSLVPN网关能够让用户直接使用浏览器访问内部网络资源，无需安装客户端软件，提供了高经济、低成本的远程移动安全接入方式。如图4.7所示,SecPathV100-EIPSecVPNSSLVPN功能与一体的专业VPN网关，还具有完善的防火墙功能，能够有效的保护网络安全；采用应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段；提供基本的路由能力，支持路由策略及策略路由；支持丰富的QoS特性。H3CH3CSecBladeFWH3CS5800S9500E交换机以及SR6600/SR8800路由器。SecBladeFW集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用（ApplicationSpecificPacketFilter）应用状态检测技术，实时检测应用层连接状态，实现3-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。如图4.8部署图所示。图4.8SecBladeFW模块的组网应用SecBladeFW降低了用户管理难度，减少了维护成本。H3CSSLVPNH3CSSLVPN模块主要有两类，一类是基于SecPathSSLVPN模块，主要应用于大中型企业和ISP厂商；另一类是基于SecBladeSSLVPN模块，主要应用于中小型客户。SecPathSSLVPN模块系列产品是H3C公司面向大中型企业用户开发的新一代专业安全产品设备。SSLVPN模块可以和SecPath防火墙实现无缝融合，能够让用户在最低成本情况下部署移动用户、远程分支和外联网VPN接入，实现用户网络的安全连通。SecPathSSLVPN模块可提供安全的远程访问服务，可以在不安装客户端软件的情况下，直接使用浏览器安全存取企业内部网络VPN访问的细粒度控制，可以管理用户访问的文件目录、URL、服务器资源等；支持动态授权功能，对远程主机的安全状态进行评估，限制不安全远程主机的访问权限，从而保证网络资源的安全访问。具体参见下面4.9SecPathSSLVPN模块部署图。图4.9SecPathSSLVPN模块部署模式H3CSecBladeSSLVPN模块应用于S7500E交换机/SR6600路由器上，提供方便、快捷的远程安全接入。用户无需安装客户端软件，直接使用浏览器访问内部网络资源，提供了方便、低成本的远程移动安全接入方式。图4.10SecBladeSSLVPN模块的组网应用SecBladeSSLVPN模块采用业界先进的远端安全状态检测技术，能限制不安全远程终端的接入；通过细粒度VPN访问权限控制，保证用户对网络资源的安全访问。SecBladeSSLVPN模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。具体应用如图4.9H3CASMH3CASM（Anti-VirusSecurityModule）是应用于H3CSecPath防火墙/MSR路由器中的防病毒安全模块，具有查杀毒能力强、易部署、成本低、配置管理方便等特点。ASM防病毒模块可以快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透，防御外部网络的蠕虫病毒、后门木马和垃圾邮件侵袭；采用面向对象的高稳定性设计和高应变型智能引擎，可以识别和处理未知病毒，降低网络风险；支持在线实时升级功能，能够实时升级病毒特征库及病毒引擎；支持对知名协议和文件的识别、处理，并且可以定制相应病毒防范策略。4.11所示，将配置ASM模块的防火墙分别部署在总部和分支机构的出口处，防止外部网络对内网的病毒攻击，同时可以防止分支内部病毒对总部网络的攻击。通过整个网络的综合防御，为企业用户构建一个安全、可靠的网络环境。图4.11SecBladeSSLVPN模块的组网应用H3CNSMNSM（NetworkSecurityMonitor）网络安全监控模块，是H3C在防火墙产品上开发的流量监控软硬件平台。NSM单板可以在H3CSecPathF1000-AH3CSecPathF1000-S、H3CSecPathF100-A等型号的防火墙设备上使用，将流经防火墙设备的所有流量进行统计和分析，为网络管理员提供网络安全服务。NSM用于防火墙流量的监控，利用防火墙在网络中得天独厚的位置，使Internet通讯的流量都会经过防火墙设备，从而使NSM能够获取最为全面的流量数据，提供更加细致的网络安全服务。4.12NSM模块的组网应用防火墙设备作为网关位置的隔离设备，所有进出流量都要通过防火墙设备处理，通过集成于防火墙上的NSM网络安全监控模块能方便的监控所有进出的流量。H3CIPSUTMIPS(IntrusionPreventionSystem，入侵预防系统)是电脑网路安全设施，（AntivirusPrograms）(PacketFilter,ApplicationGateway)的补充。IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。H3C产品型号包括从50Mbps处理性能的H3CIPS505Gbps处理性能H3CIPS5000ESOHO办公、中小企业、到大企业和电信运营商的各种组网需求。4.13IPS的组网应用H3C的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，H3C入侵防御系统能够在发生损失之前阻断恶意流量。利用H3C提供的数字疫苗服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外，H3C的入侵防御系统是目前能够提供微秒级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。H3CSecPathUTM（UnitedThreatManagement，统一威胁管理)采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、应用层流量控制和用户行为审计等安全功能。具体部署如下图4.144.14UTM的组网应用H3C的SecPathUTM系列产品包括SecPathU200-ASecPathU200-MSecPathU200-S、SecPathU200-CA、SecPathU200-CM、SecPathU200-CS六类。需要根据具体的要求部署相关的产品。Internet的迅速发展，对网络的安全性要求越来越高，尤其是在用户访问关键性资源和对其进行操作时。对于用户身份认证和网络接入控制的方法有很多，不过对我们而言不是部署的安全措施越多越好，而是在合适的位置根据合理的要求来部署安全措施。下面介绍主要的几种安全措施。AAAAAA是Authentication，AuthorizationandAccounting（认证、授权和计费）的简称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。AAA是一种管理框架，因此，它可以用多种协议来实现。H3C厂商的设备主要支持RADIUS和HWTACACS两种协议。AAA安全服务的用途很广泛，主要包括TelnetSSH802.1X验证，VPN接入，设备访问等。RADIUS协议配置是以RADIUS方案为单位进行的。当创建一个新的RADIUS方案之后，需要对属于此方案的RADIUSIPUDP口号进行设置，这些服务器包括认证/授权和计费服务器，而每种服务器又有主服务器和从服务器的区别。每个RADIUSIP地址、从服务器的IP地址、共享密钥以及RADIUS服务器类型等。如下图5.1所示：在实际组网环境中，必须至少设置一个认证/授权服务器和一个计费服务器（如果不配置计费服务器，则必须配置accountingoptional命令。同时，保证交换机上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。在实践中，人们最常使用RADIUS协议来实现AAA5.1Telnet用户的Radius认证典型组网图HWTACACS（HUAWEITerminalAccessControllerAccessControlSystem）是在TACACS（RFC1492）基础上进行了功能增强的安全协议。该协议与RADIUS协议类似，主要是通过Client-ServerTACACS服务器通信来实现多种用户的AAAPPPVPDN接入用户及终端用户的认证、授权和计费。与RADIUSHWTACACS具有更加可靠的传输和加密特性，更加适合于安全控制。HWTACACSRADIUS协议的主要区别如下表所示。HWTACACSRADIUSTCPHWTACACS只是对验证报文中的密码字段进行加HWTACACS的典型应用是拨号用户或终端用户需要登录到设备上进行操作。交换机作为HWTACACS的客户端，将用户名和密码发给TACACS服务器进行验证，验证通过并得到授权之后可以登录到交换机上进行操作。如图5.2所示。图5.2HWTACACS的典型应用组网图EADEAD（EndpointAdmissionDefense，端点准入防御）安全产品是一套融H3C网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤🖂的单点安全部件，加强网络终端的主动防御能力，控制病毒、蠕虫的蔓延。形成完整的网络安全体系，最终为用户提供端到端安全防护。EDA方案完全可以媲美CiscoNAC(NetworkAccesscontrol,网络准入控制)方案。5.3CAMS与交换机配合实现EAD功能特性组网示意图5.3所示，EAD安全产品由四个功能组件组成：安全客户端及客户端插件接口、客户端管理代理、安全策略服务器和CAMS安全组件。CAMS全组件的主要功能是对终端用户的安全策略进行配置；安全策略服务器则用于对用户终端的染毒状况、杀毒策略、系统补丁、软件使用情况进行集中管理、强制配置（如强制病毒客户端升级、强制打补丁，确保全网安全策略的统一。同时，它们通过客户端管理代理与安全客户端相配合，记录用户的安全日志，并提供查询及监控功能，为网络管理员提供网络安全状态的详细信息。H3CEAD安全产品可以构建分布式的、内外结合的网络安全架构，最大限度的防止非法入侵。在EAD解决方案的框架下，用户的认证过程可以分为两个步骤：用户身份认证和安全认证。用户身份认证在CAMS平台上进行，通过用户名和密码来确定用户是否如果安全认证通过，则用户的隔离状态被解除，可以正常访问网络资源；如果安全认证不通过，则继续隔离用户，直到用户完成相关修复操作后通过安全认证为止。5.3802.1XIEEE802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制用在以太网中，主要解决以太网内认证和安全方面的问题。例如我校中国计量学院的内网接入运用的就是802.1X接入。802.1X协议是一种基于端口的网络接入控（PortBasedNetworkAccessControl）协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于连接被物理断开。5.4802.1X接入控制组网示意图5.4所示：端口Ethernet11上对用户接入进行认证，以控制其访Internet；接入控制模式要求是基于MAC地址的接入控制,即该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。交换机收到客户的访问请求后，将其交给认证服务器，在此之前仅允许客户端的认证流量通过。在交换机上启动了对802.1X客户端的版本验证功能后，交换机会对接入用户的802.1X客户端软件的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。802.1x提供了一个用户身份认证的实现方案，为了实现此方案，除了配置802.1x相关命令外，还需要在交换机上配置AAA方案，选择使用RADIUS或本地认证方案，以配合802.1x完成用户身份认证,以下是认证过程示意图。5.5802.1X认证过程示意图保护网络中的设备是网络安全最重要的任务之一。网络设备属于网络基础设施建设层面，一旦遭到攻击，该受损设备可能被配置成攻击者想要它做的动作，后果不堪设想。网络设备包括路由器、交换机、防火墙集中器和入侵检测设备。本章从设备物理安全、访问控制方法、远程访问等方面介绍保证设备安全的方法。物理安全包括判断对设备潜在的物理威胁，以及设计方法阻止它们对网络造成的影响。物理安全可以防止入侵者获得对设备的物理访问，即手动接触。物理安全比起网络安全更为重要，但往往被网络管理员所忽略。尽管有各种高层次的保护措施，但物理访问收到威胁会危及到整个网络。保证物理安全主要有以下几个方面：冗余设备：即在正常运行的设备外再购置一整套同样的设备，运行相同的服务，而且位置最好不要跟原来设备很近，避免自然灾害的袭击。虽然看来多此一举，然而美国“911”事件让那些做了此项物理备份的企业获益匪浅，充分说明了这一措施的重要意义。网络的安全位置：IDC数据中心和机房尽量在安全的地方，要装避雷针，还要能够避免火灾和刚强度的电磁信号干扰。选择安全介质：线缆的窃听已经成为一种攻击的新型手段，同轴电缆和双绞线比较容易搭线窃听，光线最难窃听。在关键线路如核心层之间要采用高可靠性的介质，避免线路故障带来的网络故障。电力供应：虽然数据是网络的生命之源，但只有在电力驱动他们要运行的机器时才会流动。采用24小时不断电的UPS电源，另外最好有一个备份电源。任何人登录到网络设备上都能够显示一些重要的配置信息。一个攻击者可以将该设备作为攻击的中转站。所以我们必须正确控制网络设备的登录访问。尽管大部分的登录访问缺省都是禁止的。但是有一些例如，比如控制台端口(Console)默认就是允许登录的。Console登录是最基本的登录方式，管理员需要用Console线物理连接到需要管理的设备上，在终端上设置好相应的波特率、数据位、奇偶校检位、停止位、流控等参数。这种登陆最好需要用用户帐号来限制登录。大多时候我们调试设备，不可能在IDC机房里实现，更多的时候是远程控制。目前主流的远程登录方式有Telnet和SSH两种。Telnet为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用Telnet程序，用它连接到服务器。终端使用者可以在Telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个Telnet话，必须输入用户名和密码来登录服务器。但是Telnet登录方式在传输用户名和密码的过程中并不对其进行加密SSH（SecureShell，安全外壳）是一个用于在非安全网络中提供安全的远程登录以及其他安全网络服务的协议。当用户通过非安全的网络环境远程登录到交换机时，每次发送数据前，SSH都会自动对数据进行加密，当数据到达目的地时，SSH自动对加密数据进行解密，以此提供安全的信息保障，以保护交换机不受诸如明文密码截取等攻击。除此之外，SSH还提供强大的认证功能，以保护不受诸如“中间人”等攻击方式的攻击。SSH采用客户端——服务器模式。SSH服务器接受SSH客户端的连接并提供认证，SSH客户端与SSH服务器建🖂SSH连接，从而实现通过SSH登录到SSH服务器端。用户名和密码两个参数的组合可以很好的实现用户识别。要建🖂一个身份认证系统，可以再设备本身上，最好是在RadiusHWTacacs服务器上。这个系统可以在很多场合应用例如：Telnet或者SSH虚拟类型终端路线、VPN用户、802.1X终端接入等。另外密码的设定上，尽量不要用一些大家容易猜测的密码如666666、12345或者是公司英文名称。进入系统视图的密码尽量用MD5加密，这样非管理员用户就不能通过相关命令来获取该密码。用户帐号可以设定不同的级别，不同的帐号针对的用户需求设定不同的命令行级别，例如：访问级、监控级、系统级、管理级4个级别。SNMPSNMP(SimpleNetworkManagementProtocol,简单网络管理协议)是目前网络中用得最广泛的网络管理协议。SNMP是被广泛接受并投入使用的工业标准，用于保证管理信息在网络中任意两点间传送，便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告。SNMP采用轮询机制，只提供最基本的功能集，特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于无连接的传输层协议UDP此可以实现和众多产品的无障碍连接。目前SNMP有三个版本，SNMPV1、SNMPV2C采用团体名（CommunityName）认证，SNMPV3采用用户名和密码认证方式。大多数企业目前采用的是SNMPV2。SNMP分为NMS和Agent两部分：NMS和Agent。NMS（NetworkManagementStation，网络管理站）是运行客户端程序的工作站，目前常用的网管平台有QuidViewSunNetManagerIBMNetViewAgent运行在网络设备上的服务器端软件。NMSAgentGetRequest、GetNextRequestSetRequestAgentNMS的这些请求报文后，根据报文类型进行ReadWriteResponse报文，并将报文返回NMSAgent在设备发生异常情况或状态改变时（如设备重新启动，也会NMSTrapNMS汇报所发生的事件。NTPNTP（NetworkTimeProtocol，网络时间协议）是由RFC1305定义的时间同步协议，用来在分布式时间服务器和客户端之间进行时间同步。NTP使用UDP端口123进行报文的传输。NTP的目标是对网络内所有具有时钟的设备进行时钟同步，使网络内所有设备的时钟基本保持一致，从而使设备能够提供基于统一时间的多种应用。对于开启了日志功能的服务器，NTP协议至关重要，如果日志统计的事件不能通过时间反映，那么会对我们通过日志分析网络系统带来巨大影响。对于运行NTP的本地系统，既可以接受来自其他时钟源的同步，又可以作为时钟源同步其他时钟，并且可以通过交换NTP报文互相同步。对于网络中的设备，如果依靠管理员手工输入命令来修改系统时钟是不可能的，这不但工作量巨大，而且也不能保证时钟的精确性。但通过配置NTP，可以很快将网络中设备的时钟同步，同时也能保证很高的精度。目前主流的NTP模式是服务器/客户端模式，设定一个服务器，其它均为客户端，客户端在跟服务器时钟同步之前需要提交用户帐号等信息，认证信息通过后会跟服务器时钟保持同步。这样所有日志统计事件所产生的时间也会一样。5.4.4H3C的网络设备会默认开启一些不安全的服务，大多数情况下我们并不需要这样的服务，如果这种服务被黑客利用将会对我们的网络系统造成重要影响，所以我们应该禁用这些服务。以下列出几种常见的禁用的服务。IP无类别路由选择服务：路由器可能会收到一些发往一个没有网络缺省路由的子网的数据包，如果启用了IP无类别服务时，会将这些数据包转发给最有可能路由的超网。Finger服务：Finger协议（端口79）允许网络上的用户获得当前正在使用特定路由选择设备的用户列表，显示的信息包括系统中运行的进程、链路号、连接名、闲置时间和终端位置。DHCP服务：如果系统没有启用DHCPIP地址的分配，就关闭此项功能，防止非法入侵用户获得IP地址。IP源路由：应该在所有的路由器上关闭，包括边界路由器。避免IP路由攻击。BootPBootPUDP服务，可以用来给一台无盘工作站指定地址信息，以及在很多其它情况下，在设备上加载操作系统。PAD服务：用在X.25网络上。以提供远程站点间的可靠连接。PAD能给黑客提供有用的功能。假设黑客能获得直接连接在路由器上的设备的控制权，而如果路由器在运行PAD服务，它将接受任何PAD连接。在构建任何大型网络时，路由大概是最关键的要素。为了网络安全的操作，在构建网络的路由基础结构时将安全牢记在心是根本。本章着眼于在构建网络路由基础结构时应该注意的一些要素。我们将讨论网络路由设计时最关键因素。本章以静态路由、BGP和OSPF路由协议为主。静态路由是一种特殊的路由，它由网络管理员采用手工方法在路由器中配置而成。通过静态路由的配置，可建🖂一个完整的网络，这种方法的问题在于当一个网络故障发生后，静态路由不会自动发生改变必须有网络管理员的介入。因此此方法对保证网络不间断运行存在一定的局限性，我们推荐在下面两种情况下使用静态路由。一种是在稳固的网络中使用，减少路由选择问题和路由选择数据流的过载；另一种是在构建非常大型的网络，各大区域通过1-2条主链路连接，静态路由的隔离特征能够有助于减少整个网络中路由选择协议的开销，限制路由选择发生改变和出现问题的范围。H3C系列路由器支持多路由模式，即允许配置到同一目标IP地址/目标IP地址掩码，并且优先级也相同的路由。我们把它们看成同一条路由，只不过有多个下一跳地址。这样到同一目的地存在这不同的路径，而且它们的优先级也相同，在没有比这优先级更高的路由时，该路由被IP层采纳。在往该目的地发包时，由IP依次通过各条路径来发送，自动实现网络的负载分担。H3C系列路由器支持路由备份，当各个备份线路发生变化时自动实现路由之间的切换，提高用户网络的可靠性。为了实现路由的备份，用户可根据实际情况配置到同一目的地的多条路由。设置通过主路径的路由优先级最高，，其余的备份路径依次递减，这样正常情况下路由器采用主路径发送数据，当线路发生故障时该路由自动隐藏，路由器会选择余下的优先级最高的备份路由作为数据发送的途径。这样也就实现了主口到备份口的切换，当主路径恢复正常时，路由器恢复相应的路由，并重新选择路由。由于该路由的优先级最高，路由器选择主口路由来发送数据，上述过程是备份口到主口的自动切换。通常的做法网络中部署了OSPFBGP路由协议，在关键路径上部署一条静态路由，不过要将其优先级低于主路由协议，这样可以在主路由协议失效时起到备份作用。OSPFOSPF(OpenShortestPathFirst，开放式最短路径优先)是一个内部网关协议，用于在单一自治系统内决策路由。目前使用的是版本2（RFC2328。具有适应范围广泛，收敛速度快，无自环、以组播方式发送报文等特点。支持区域划分、路由分级、验证等特性。OSPF路由协议是目前部署最为广泛的一种路由协议，协议的安全性对网络有着重要意义。路由器通过对路由协议的身份认证来防范外来攻击，以及防范不实际协议包对路由的错误诱导，从而保证网络数据不丢失或被窃取。下表1协议包中所设认证类型，空认证（协议包头不包含任何认证信息）是路由配置中缺省的配置。MD5密码认证和明文口令认证被用于对OSPF路由协议包的认证，MD5密码认证比明文口令认证更为安全，因为MD5认证的口令在所传送的协议包中是不可见的，而明文认证的口令在所传送的协议包中是可见的。仅当邻居不支持MD5认证时，明文认证才被选用。类型描述空认证（不认证明文口令认证MD5密码认证1分层路由设计最初是为了解决路由的可扩展性问题。但人们发现层次化路由不仅减小了路由表的大小,减少了网络流量,保证了网络的快速收敛,而且改善了安全性。6.1OSPF分层视图OSPF是一个分为骨干区域和非骨干区域的两层路由协议,各非骨干区域通ABR与骨干区域相连，如图6.1所示。非骨干区域内部路由信息通过ABR汇总进入骨干区域,通告给其他区域。在通告时可以制定通告的策略通过不通告或只通告汇聚的路由信息等方式隐藏要被通告区域的某些重要信息,而且不同的LSA通告范围不同,本区域内的拓扑结构对其他区域来说是透明的,避免了拓扑的整体暴露。因此一个区域受到攻击,一般并不会导致其他区域也遭受攻击。层次化的路由使路由选择分为两层:域内路由选择和域间路由选择。域内路由的优先级比域间路由的优先级要高,协议总是优先考虑本区域内部的路径。所以区域内的路由选择不受路由选择的不稳定和其它区域的错误配置影响。LSA是通过可靠的泛洪进行通告的,确保了链路状态数据库在本区域的一致性,从而保证了计算出路由的一致性。由于这个特性,使得OSPF具有一定的自卫性。当某一节点试图发送伪造的或是修改的LSA时,只要有一条其他的可用路由,使该LSA所声明的通告路由器收到该LSA,若该LSA描述的信息与自身信息不一致时,该路由器会生成一个新的LSA实例,将其LSA的序号超过所接收到的LSA序号,并泛洪出去,从而使伪造的LSA被丢弃,实现一定程度的自卫。冲突检测系统很容易发现此种现象,对于设计相关检测系统也很有意义。如果路由器没有正确配置OSPF协议，导致大量前缀被重分发，则可能生成大量的LSA，这将耗尽本地的CPU和内存资源。启用LSDB功能后，路由器将记录其收到的而且存在LSDBLSA数量。如果这个数量超过一定的限制，就把一条错误信息写入日志，并在它超过规定值时发出警告通知并采取相应的措施。DR\BDRID在诸如以太网等多路访问广播网络中，OSPF通常要选举DRBDR，这个选举过程类似于生成树STP协议中选举跟网桥的过程。首先看优先级，优先级高的成为DR，次之为BDR；若是优先级一样再看路由器ID标识，标识高的DRBDR。广播网络中，所有的路由器只跟DR🖂邻居关系，如DR出现故障，则有BDR替代。为了保证网络稳定，我们应该将性能较好的路由器或者处于SPOKE-HUB中心节点的设备指定为优先级最高。路由器IDOSPF中非常重要，而且是唯一的。默认情况下啊，在OSPF动时，将路由器ID设为最大的活动物理接口的IP地址；如果有环回接口，IP地址总是优于物理接口地址；如果配置了OSPF中专门用来标识的命令router-idip-address推荐采用最后一种做法。BGPBGP（BorderGatewayProtocol，边界网关协议）是用来连接Internet上的独🖂系统的路由选择协议。它是Internet工程任务组制定的一个加强的、完善的、可伸缩的协议。BGP4CIDR寻址方案，该方案增加了Internet上的可用IP地址数量。BGP是为取代最初的外部网关协议EGP设计的。主要运用于运营商和大型企业之间。域间路由协议BGP的安全性直接影响着互联网路由的可用性，接下来介绍几种保证BGP协议安全性的方法。BGP在每条BGP链接建🖂时,对等体之间交换一个会晤密钥并对每个BGP文进行加密,这样能为所有类型的BGP报文提供机密性,也为一些在相邻对等体之间传递的如保活、通告报文以及一些由更新报文携带的随AS变化而更动的路径属性如下一条属性、本地优先级属性等提供可靠性和完整性保证。除了采用对等体认证外，还可以通过增加报文序列号增加安全性。在每条报文头里面增加一个序列号,在BGP连接刚建🖂时被初始化为零,然后随每一个报文的发出递增。当检测到一个跳跃的或重发的序列号时,就用一个Notification报文终止BGP链路。BGP在实际的网络中，有一种非常普遍的现象，即一个路由器会有多个属于一类的BGPPeer。这里的“属于一类”是指BGP的策略相同或类似，当Peer比较多时，BGP的配置会变得臃肿，同时，路由器的负载也会加重，因为一旦有路由的更新，路由器需要针对每个Peer做一次策略计算（虽然策略都相同。另外，应用PeerGroup还有一个好处，就是降低了对路由器设备的资源消耗，因为路由