H3C網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)部署_第1頁
H3C網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)部署_第2頁
H3C網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)部署_第3頁
H3C網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)部署_第4頁
H3C網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)部署_第5頁
已閱讀5頁,還剩106頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

111/111H3C網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)部署目次摘要 I目次 31緒論 51.1研究意義和背景 51.2目前研究現(xiàn)狀 51.2.1局域網(wǎng)內(nèi)部安全 51.2.2遠(yuǎn)程接入和邊界安全 61.2.4路由安全 81.3研究內(nèi)容和擬解決的問題 91.4結(jié)語 92網(wǎng)絡(luò)安全概述 102.1網(wǎng)絡(luò)安全的基本概念 102.2網(wǎng)絡(luò)安全的特征 112.3網(wǎng)絡(luò)安全策略 112.3.1網(wǎng)絡(luò)物理安全策略 112.3.2網(wǎng)絡(luò)訪問控制策略 112.3.3網(wǎng)絡(luò)信息加密策略 122.3.4網(wǎng)絡(luò)安全管理策略 123局域網(wǎng)安全 133.1基于H3C系列交換機VLAN的應(yīng)用 133.2基于VLAN的PVLAN技術(shù)的應(yīng)用 143.3利用GVRP協(xié)議來管理VLAN 153.4H3C交換機設(shè)備之間的端口匯聚 163.5啟用端口鏡像對流量進行監(jiān)控 173.6構(gòu)建安全的STP生成樹體系 193.7多層交換體系中部署VRRP 203.8IRF技術(shù)的應(yīng)用 214邊界網(wǎng)絡(luò)安全 234.1NAT技術(shù)的應(yīng)用 244.2ACL技術(shù)的應(yīng)用 244.3VPN技術(shù)的應(yīng)用 264.3.1IPsecVPN的應(yīng)用 274.3.2IPsec上的GRE隧道 284.3.3二層VPN技術(shù)L2TP的應(yīng)用 284.3.4SSLVPN技術(shù)的應(yīng)用 294.3.5DVPN技術(shù)的應(yīng)用 294.3.6VPN技術(shù)在MPLS網(wǎng)絡(luò)中的應(yīng)用 304.4H3CSecPath系列防火墻/VPN的部署 314.5H3C的各類安全模塊 334.5.1H3CSecBladeFW模塊 334.5.2H3CSSLVPN模塊 344.5.3H3CASM防病毒模塊 364.5.4H3CNSM網(wǎng)絡(luò)監(jiān)控模塊 374.6H3C的IPS和UTM設(shè)備 375身份認(rèn)證與訪問控制 405.1AAA安全服務(wù) 405.2EAD安全解決方案 425.3802.1X身份認(rèn)證 435.4設(shè)備安全 445.4.1物理安全 455.4.2登錄方式和用戶帳號 455.4.3SNMP協(xié)議的應(yīng)用 465.4.4NTP協(xié)議的應(yīng)用 475.4.4禁用不安全的服務(wù) 476路由安全 496.1靜態(tài)路由協(xié)議 496.1.1利用靜態(tài)路由實現(xiàn)負(fù)載分擔(dān) 496.1.2利用靜態(tài)路由實現(xiàn)路由備份 496.2OSPF路由協(xié)議 506.2.1OSPF身份驗證 506.2.2分層路由 506.2.3可靠的擴散機制 516.2.4OSPFLSDB過載保護 526.2.5DR\BDR的選舉和路由器ID的標(biāo)識 526.3BGP路由協(xié)議 526.3.1BGP報文保護 526.3.2BGP對等體組PeerGroup 536.3.3BGP負(fù)載均衡 536.3操縱路由選擇更新 546.4.1路由重分發(fā) 546.4.2靜態(tài)路由和默認(rèn)路由 556.4.3路由分發(fā)列表和映射表 566.4.4操縱管理距離 567網(wǎng)絡(luò)攻擊的趨勢和主流的網(wǎng)絡(luò)攻擊 577.1ARP攻擊 587.2DDOS攻擊 587.3TCPSYN攻擊 597.4口令攻擊 607.5緩沖區(qū)溢出攻擊 607.6蠕蟲病毒 607.7Land攻擊 617.8Vlan攻擊 611緒論1.1研究意義和背景計算機網(wǎng)絡(luò)安全已引起世界各國的關(guān)注,我國近幾年才逐漸開始在高等教育中滲透計算機網(wǎng)絡(luò)安全方面的基礎(chǔ)知識和網(wǎng)絡(luò)安全技術(shù)應(yīng)用知識。隨著網(wǎng)絡(luò)高新技術(shù)的不斷發(fā)展,社會經(jīng)濟建設(shè)與發(fā)展越來越依賴于計算機網(wǎng)絡(luò),計算機網(wǎng)絡(luò)安全對我們生活的重要意義也不可同日而語。【1】2010年1月,國務(wù)院決定加快推進電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合,2010年至2012年廣電和電信業(yè)務(wù)雙向進入試點,2013年至2015年,全面實現(xiàn)三網(wǎng)融合。所謂三網(wǎng)融合即推進電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)互聯(lián)互通、資源共享,為用戶提供語音、數(shù)據(jù)和廣播電視等多種服務(wù)。此政策涉及領(lǐng)域廣泛,涉及上市公司眾多。這將導(dǎo)致未來幾年網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長,網(wǎng)絡(luò)也會變得越來越復(fù)雜,承擔(dān)的任務(wù)越來越關(guān)鍵,給運營和管理網(wǎng)絡(luò)的人們帶來新的挑戰(zhàn),很顯然這些快速發(fā)展的技術(shù)引發(fā)了新的安全問題。網(wǎng)絡(luò)安全對國民經(jīng)濟的威脅、甚至對國家和地區(qū)的威脅也日益嚴(yán)重?!?】因此網(wǎng)絡(luò)安全扮演的角色也會越來越重要。與此同時,加快培養(yǎng)網(wǎng)絡(luò)安全方面的應(yīng)用型人才、廣泛普及網(wǎng)絡(luò)安全知識和掌握網(wǎng)絡(luò)安全技術(shù)突顯重要和迫在眉睫。H3C設(shè)備是目前我國政府,企業(yè),電信,教育行業(yè)的主流網(wǎng)絡(luò)設(shè)備生產(chǎn)商,研究旗下路由器,交換機以及安全設(shè)備,存儲設(shè)備的網(wǎng)絡(luò)安全系統(tǒng)的綜合部署對以后系統(tǒng)集成案例有很好的效仿作用。1.2目前研究現(xiàn)狀目前廣泛應(yīng)用的網(wǎng)絡(luò)安全模型是機密性、完整性、可用性(CIA,confidentiality,integrity,andavailability)3項原則。這三項原則應(yīng)指導(dǎo)所有的安全系統(tǒng)。CIA還為安全實施提供了一個度量工具。這些準(zhǔn)則適用于安全分析的整個階段——從訪問一個用戶的Internet歷史到Internet上加密數(shù)據(jù)的安全。違反這3項原則中的任何一個都會給相關(guān)方帶來嚴(yán)重后果。【3】1.2.1局域網(wǎng)內(nèi)部安全雖然很多攻擊是從外網(wǎng)展開的,但是部分攻擊也會源于內(nèi)網(wǎng),比如常見的ARP攻擊等等,系統(tǒng)的安全性不是取決于最堅固的那一部分,而是取決于最薄弱的環(huán)節(jié)。因此內(nèi)網(wǎng)安全十分重要。【4】(1)基于ACL的訪問控制如今的網(wǎng)絡(luò)充斥著大量的數(shù)據(jù),如果沒有任何適當(dāng)?shù)陌踩珯C制,則每個網(wǎng)絡(luò)都可以完全安全訪問其他網(wǎng)絡(luò),而無需區(qū)分已授權(quán)或者未授權(quán)??刂凭W(wǎng)絡(luò)中數(shù)據(jù)流動有很多種方式,其中之一是使用訪問控制列表(通常稱作ACL,accesscontrollist)。ACL高效、易于配置,在H3C設(shè)備中易于部署和實現(xiàn)?!?】(2)同一個子網(wǎng)內(nèi)PVLAN的應(yīng)用PVLAN即私有VLAN(PrivateVLAN),PVLAN采用兩層VLAN隔離技術(shù),只有上層VLAN全局可見,下層VLAN相互隔離。如果將交換機設(shè)備的每個端口化為一個(下層)VLAN,則實現(xiàn)了所有端口的隔離。PVLAN通常用于企業(yè)內(nèi)部網(wǎng),用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信,但卻允許與默認(rèn)網(wǎng)關(guān)進行通信。盡管各設(shè)備處于不同的PVLAN中,它們可以使用相同的IP子網(wǎng),從而大大減少了IP地址的損耗,也防止了同一個子網(wǎng)內(nèi)主機的相互攻擊?!?】(3)網(wǎng)關(guān)冗余備份機制VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議)是一種網(wǎng)關(guān)冗余備份協(xié)議。通常,一個網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置一條缺省路由,這樣,主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往網(wǎng)關(guān),從而實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。當(dāng)網(wǎng)關(guān)斷掉時,本網(wǎng)段內(nèi)所有主機將斷掉與外部的通信。VRRP就是為解決上述問題而提出的。使用VRRP,可以通過手動或DHCP設(shè)定一個虛擬IP地址作為默認(rèn)路由器。虛擬IP地址在路由器間共享,其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用,這個虛擬IP地址就會映射到一個備份路由器的IP地址(這個備份路由器就成為主路由器)。【7】GLBP(GatewayLoadBanancingProtocol網(wǎng)關(guān)負(fù)載均衡協(xié)議),和VRRP不同的是,GLBP不僅提供冗余網(wǎng)關(guān),還在各網(wǎng)關(guān)之間提供負(fù)載均衡,而HRSP、VRRP都必須選定一個活動路由器,而備用路由器則處于閑置狀態(tài),這會導(dǎo)致資源一定程度的浪費。和HRSP不同的是,GLBP可以綁定多個MAC地址到虛擬IP,從而允許客戶端選擇不同的路由器作為其默認(rèn)網(wǎng)關(guān),而網(wǎng)關(guān)地址仍使用相同的虛擬IP,從而實現(xiàn)一定的冗余和負(fù)載均衡。以上兩種協(xié)議不僅可以在H3C網(wǎng)絡(luò)設(shè)備使用,也可以在其它廠商的網(wǎng)絡(luò)設(shè)備中使用。1.2.2遠(yuǎn)程接入和邊界安全遠(yuǎn)程接入是直接接入到網(wǎng)絡(luò)系統(tǒng)內(nèi)部,而接入控制器也往往處于網(wǎng)絡(luò)系統(tǒng)的邊界部分。因此邊界安全成為應(yīng)對外部威脅和攻擊面對的第一道防線?!?】(1)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單,隨著接入Internet的計算機數(shù)量的不斷猛增,IP地址資源也就愈加顯得捉襟見肘。NAT不僅完美地解決了lP地址不足的問題,而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊,隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。雖然NAT可以借助于某些代理服務(wù)器來實現(xiàn),但考慮到運算成本和網(wǎng)絡(luò)性能,很多時候都是在H3C路由器上來實現(xiàn)的。(2)H3C硬件防火墻防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法,使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(SecurityGateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成?!?】(3)H3C入侵檢測系統(tǒng)(IPS)雖然防火墻可以根據(jù)IP地址和服務(wù)端口過濾數(shù)據(jù)包,但它對于利用合法地址和端口而從事的破壞活動則無能為力,防火墻主要在第二到第四層起作用,很少深入到第四層到第七層去檢查數(shù)據(jù)包。入侵預(yù)防系統(tǒng)也像入侵偵查系統(tǒng)一樣,專門深入網(wǎng)路數(shù)據(jù)內(nèi)部,查找它所認(rèn)識的攻擊代碼特征,過濾有害數(shù)據(jù)流,丟棄有害數(shù)據(jù)包,并進行記載,以便事后分析。除此之外,更重要的是,大多數(shù)入侵預(yù)防系統(tǒng)同時結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸重的異常情況,來輔助識別入侵和攻擊。【10】(4)遠(yuǎn)程接入VPN應(yīng)用虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)保證網(wǎng)絡(luò)安全?!?1-12】1.2.3身份安全和訪問管理一種訪問管理的解決方案是建立一個基于策略的執(zhí)行模型,確保用戶有一種安全的管理模型。針對網(wǎng)絡(luò)中所有設(shè)備與服務(wù),這種管理模型的安全性可為用戶提供基于策略的訪問控制、審計、報表功能,使系統(tǒng)管理員可以實施基于用戶的私密性和安全策略。身份安全和訪問管理處于首要層面?!?3】(1)AAA認(rèn)證AAA,認(rèn)證(Authentication):驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù);授權(quán)(Authorization):依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶;計帳(Accounting):記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量,并提供給計費系統(tǒng);整個系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。此項功能可以結(jié)合TACACS+服務(wù)器實現(xiàn)?!?4】(2)IEEE802.1X802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(accessport)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前,802.1x對連接到交換機端口上的用戶/設(shè)備進行認(rèn)證。在認(rèn)證通過之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機端口;認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。(3)網(wǎng)絡(luò)準(zhǔn)入控制(NAC)網(wǎng)絡(luò)準(zhǔn)入控制(NetworkAccesscontrol,NAC)是一項由思科發(fā)起、多家廠商參加的計劃,其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。借助NAC,客戶可以只允許合法的、值得信任的端點設(shè)備(例如Pc、服務(wù)器、PDA)接入網(wǎng)絡(luò),而不允許其它設(shè)備接人。在初始階段,當(dāng)端點設(shè)備進入網(wǎng)絡(luò)時,NAC能夠幫助管理員實施訪問權(quán)限。此項決策可以根據(jù)端點設(shè)備的信息制定,例如設(shè)備的當(dāng)前防病毒狀況以及操作系統(tǒng)補丁等?!?5】(4)設(shè)備安全策略H3C設(shè)備,如路由器、交換機、防火墻和VPN集中器等都是網(wǎng)絡(luò)的組成部分,確保這些設(shè)備的安全是整體網(wǎng)絡(luò)安全策略的一個重要組成部分。物理安全要考慮網(wǎng)絡(luò)拓?fù)湓O(shè)計冗余、設(shè)備的安全位置、介質(zhì)、電力供應(yīng)等安全因素。對設(shè)備進行訪問時,必須采用密碼或者RSA認(rèn)證,對遠(yuǎn)程訪問采用更加安全的SSH協(xié)議,針對不同的用戶級別,設(shè)定不同的優(yōu)先級等級?!?6】1.2.4路由安全為了有一個安全的網(wǎng)絡(luò),將安全作為網(wǎng)絡(luò)中流量怎樣流動的一部分是根本。因為路由協(xié)議決定流量在網(wǎng)絡(luò)中是怎樣流動的,所以確保以一種與網(wǎng)絡(luò)的安全需要相一致的方法選擇和實現(xiàn)路由協(xié)議很關(guān)鍵。(1)操縱路由選擇更新操作路由選擇更新的常用方法是路由分發(fā)列表,如果想進行更細(xì)致的調(diào)節(jié)可以設(shè)置相應(yīng)的路由更新策略。當(dāng)網(wǎng)絡(luò)中有兩種不同的路由協(xié)議時,可以采用上述策略。其它控制或防止生成動態(tài)路由選擇更新的方法主要有:被動接口,默認(rèn)和靜態(tài)路由,操縱管理距離。(2)OSPF路由協(xié)議安全OSPF是一個被廣泛使用的內(nèi)部網(wǎng)關(guān)路由協(xié)議。通過對路由器進行身份驗證,可避免路由器收到偽造的路由更新。使用回環(huán)接口作為路由器ID是OSPF網(wǎng)絡(luò)用以確保穩(wěn)定性并從而確保安全的一個重要技術(shù)。針對區(qū)域的不同功能設(shè)定不同的區(qū)域類型。(3)BGP路由協(xié)議安全BGP是運行在當(dāng)今Internet上大部分相互域間路由的路由協(xié)議,大型網(wǎng)絡(luò)比較常見。雖然,目前國內(nèi)除運營商外大多數(shù)企業(yè)網(wǎng)絡(luò)選擇內(nèi)部網(wǎng)關(guān)協(xié)議,然而對于有多條ISP鏈路的企業(yè),邊界采用BGP對網(wǎng)絡(luò)還是很有優(yōu)勢的。BGP通常采用對等體認(rèn)證,路由過濾,路由抑制等手段來保證協(xié)議的安全性。1.3研究內(nèi)容和擬解決的問題論文通過對目前網(wǎng)絡(luò)存在的安全問題進行分析,針對各種安全漏洞制定相應(yīng)的安全解決方案。局域網(wǎng)安全部分,解決接入層子網(wǎng)的劃分,如何控制廣播風(fēng)暴,防止物理鏈路失效,網(wǎng)關(guān)的冗余備份。邊界安全方面,包括隱藏內(nèi)部地址,控制部分網(wǎng)段的訪問,遠(yuǎn)程登錄。身份認(rèn)證方面,保證對交換機、路由器等網(wǎng)絡(luò)設(shè)備的安全訪問的身份認(rèn)證、授權(quán)和統(tǒng)計,合法用戶安全接入網(wǎng)絡(luò)。路由安全方面,如何對不同的路由協(xié)議采用安全認(rèn)證,針對不同的網(wǎng)絡(luò)區(qū)域過濾不必要的路由更新。另外針對目前主流的網(wǎng)絡(luò)攻擊行為,采用不同的安全技術(shù)對其進行防御和反偵察。1.4結(jié)語網(wǎng)絡(luò)安全技術(shù)是一個永恒的,綜合性的課題,并不是我們的網(wǎng)絡(luò)采用了相關(guān)的防范技術(shù),就不用考慮網(wǎng)絡(luò)安全因素了,一種安全技術(shù)只能解決一方面的問題,而不是萬能的。新型的攻擊手段總在不斷地涌現(xiàn),最好的防范措施就是計算機網(wǎng)絡(luò)安全人員的安全意識。計算機操作人員需要不斷學(xué)習(xí),不斷積累經(jīng)驗,提高計算機網(wǎng)絡(luò)水平,這才是提高我們計算機網(wǎng)絡(luò)安全最重要的安全措施?!?7】2網(wǎng)絡(luò)安全概述隨著網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長,網(wǎng)絡(luò)變得越來越復(fù)雜,承擔(dān)的任務(wù)越來越關(guān)鍵,給運營和管理網(wǎng)絡(luò)的人們帶來了新的挑。很明顯需要包括語音、視頻和數(shù)據(jù)(全能)服務(wù)的綜合網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè),但是這些快速發(fā)展的技術(shù)引發(fā)了新的安全問題。因此網(wǎng)絡(luò)管理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù),在構(gòu)建和維護當(dāng)今高速增長的網(wǎng)絡(luò)方面,網(wǎng)絡(luò)安全扮演了舉足輕重的角色。本章對當(dāng)今快速變化網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全進行了廣泛描述。網(wǎng)絡(luò)中最為常見的拓?fù)浣Y(jié)構(gòu)就是如圖2.1所示的三層網(wǎng)絡(luò)拓?fù)鋱D。圖2.1三層網(wǎng)絡(luò)結(jié)構(gòu)圖2.1網(wǎng)絡(luò)安全的基本概念網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。2.2網(wǎng)絡(luò)安全的特征網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征:保密性:信息不泄露給非授權(quán)用戶、實體或過程,或供其利用的特性。完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性:可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊??煽匦裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力??蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據(jù)與手段。從網(wǎng)絡(luò)運行和管理者角度說,他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和控制,避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅,制止和防御網(wǎng)絡(luò)黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產(chǎn)生危害,對國家造成巨大損失。從社會教育和意識形態(tài)角度來講,網(wǎng)絡(luò)上不健康的內(nèi)容,會對社會的穩(wěn)定和人類的發(fā)展造成阻礙,必須對其進行控制。2.3網(wǎng)絡(luò)安全策略計算機網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段,制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度,在技術(shù)上實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理,確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運行,主要涉及以下四個方面:

2.3.1網(wǎng)絡(luò)物理安全策略計算機網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和攻擊;驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;確保計算機網(wǎng)絡(luò)系統(tǒng)有一個良好的工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動。

2.3.2網(wǎng)絡(luò)訪問控制策略訪問控制策略是計算機網(wǎng)絡(luò)系統(tǒng)安全防范和保護的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護作用,所以網(wǎng)絡(luò)訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。2.3.3網(wǎng)絡(luò)信息加密策略信息加密策略主要是保護計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。2.3.4網(wǎng)絡(luò)安全管理策略在計算機網(wǎng)絡(luò)系統(tǒng)安全策略中,不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護網(wǎng)絡(luò)安全,還必須加強網(wǎng)絡(luò)的行政安全管理,制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度,對于確保計算機網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運行,將會起到十分有效的作用。計算機網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括:確定網(wǎng)絡(luò)安全管理等級和安全管理范圍;制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的管理維護制度和應(yīng)急措施等等。3局域網(wǎng)安全3.1基于H3C系列交換機VLAN的應(yīng)用VLAN技術(shù)的出現(xiàn),主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LAN即VLAN,每個VLAN是一個廣播域,VLAN內(nèi)的主機間通信就和在一個LAN內(nèi)一樣,而VLAN間則不能直接互通,這樣,廣播報文被限制在一個VLAN內(nèi),從而最大程度的減少了廣播風(fēng)暴的影響。VLAN可以增強局域網(wǎng)的安全性,含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離,從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的,即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信,如果不同VLAN要進行通信,則需要通過路由器或三層交換機等三層設(shè)備,如圖3.1。圖3.1vlan部署圖從技術(shù)角度講,VLAN的劃分可依據(jù)不同原則,一般有以下三種劃分方法:1、基于端口的VLAN劃分這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組,這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可,不用考慮該端口所連接的設(shè)備。2、基于MAC地址的VLAN劃分MAC地址其實就是指網(wǎng)卡的標(biāo)識符,每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進制數(shù)表示,前6位為網(wǎng)卡的廠商標(biāo)識(OUI),后6位為網(wǎng)卡標(biāo)識(NIC)。網(wǎng)絡(luò)管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。3、基于路由的VLAN劃分路由協(xié)議工作在網(wǎng)絡(luò)層,相應(yīng)的工作設(shè)備有路由器和路由交換機(即三層交換機)。該方式允許一個VLAN跨越多個交換機,或一個端口位于多個VLAN中。就目前來說,對于VLAN的劃分主要采取上述第1、3種方式,第2種方式為輔助性的方案。H3C低端系列以太網(wǎng)交換機支持的以太網(wǎng)端口鏈路類型有三種:Access類型:端口只能屬于1個VLAN,一般用于連接計算機;Trunk類型:端口可以屬于多個VLAN,可以接收和發(fā)送多個VLAN的報文,一般用于交換機之間的連接;Hybrid類型:端口可以屬于多個VLAN,可以接收和發(fā)送多個VLAN的報文,可以用于交換機之間連接,也可以用于連接用戶的計算機。交換機與工作站之間的連接接口配置為Access,交換機和交換機之間的連接一般采用Trunk端口,協(xié)議采用802.1q(ISL為cisco專用協(xié)議)。3.2基于VLAN的PVLAN技術(shù)的應(yīng)用傳統(tǒng)的VLAN固然有隔離廣播風(fēng)暴,增強局域網(wǎng)內(nèi)部安全性等好處,然而不可避免的有以下幾個方面的局限性:(1)VLAN的限制:交換機固有的VLAN數(shù)目的限制;

(2)復(fù)雜的STP:對于每個VLAN,每個相關(guān)的Spanning

Tree的拓?fù)涠夹枰芾恚?/p>

(3)IP地址的緊缺:IP子網(wǎng)的劃分勢必造成一些IP地址的浪費;

(4)路由的限制:每個子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置?,F(xiàn)在有了一種新的VLAN機制,所有服務(wù)器在同一個子網(wǎng)中,但服務(wù)器只能與自己的默認(rèn)網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN(Private

VLAN)。在Private

VLAN的概念中,交換機端口有三種類型:Isolated

port,Community

port,Promiscuous

port;它們分別對應(yīng)不同的VLAN類型:Isolated

port屬于Isolated

PVLAN,Community

port屬于Community

PVLAN,而代表一個Private

VLAN整體的是Primary

VLAN,前面兩類VLAN需要和它綁定在一起,同時它還包括Promiscuous

port。在Isolated

PVLAN中,Isolated

port只能和Promiscuous

port通信,彼此不能交換流量;在Community

PVLAN中Community

port不僅可以和Promiscuous

port通信,而且彼此也可以交換流量。Promiscuous

port

與路由器或第3層交換機接口相連,它收到的流量可以發(fā)往Isolated

port和Community

port。

PVLAN的應(yīng)用對于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的,用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接,一個PVLAN不需要多個VLAN和IP子網(wǎng)就提供了具備第2層數(shù)據(jù)通信安全性的連接,所有的用戶都接入PVLAN,從而實現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接,而與PVLAN內(nèi)的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信,但可以穿過Trunk端口。這樣即使同一VLAN中的用戶,相互之間也不會受到廣播的影響。目前很多廠商生產(chǎn)的交換機支持PVLAN技術(shù),PVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴和浪費IP地址方面的優(yōu)勢是顯而易見的,而且采用PVLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化,再加上PVLAN在交換機上的配置也相對簡單,PVLAN技術(shù)越來越得到網(wǎng)絡(luò)管理人員的青睞。3.3利用GVRP協(xié)議來管理VLAN通過使用GVRP,可以使同一局域網(wǎng)內(nèi)的交換機接收來自其它交換機的VLAN注冊信息,并動態(tài)更新本地的VLAN注冊信息,包括:當(dāng)前的VLAN、配置版本號、這些VLAN可以通過哪個端口到達等。而且設(shè)備能夠?qū)⒈镜氐腣LAN注冊信息向其它設(shè)備傳播,使同一局域網(wǎng)內(nèi)所有設(shè)備的VLAN信息達成一致,減少由人工配置帶來的錯誤的可能性。對GVRP不熟悉的朋友,可以參考CISCO的VTP協(xié)議,兩者大同小異。如圖3-2:圖3-2GVRP組網(wǎng)示意圖SwitchC靜態(tài)配置了VLAN5,SwitchD靜態(tài)配置了vlan8,SwitchE靜態(tài)配置了VLAN5和VLAN7,SwitchA和SwitchB開啟了全局和端口的GVRP功能,這樣可以動態(tài)學(xué)習(xí)到VLAN5,VLAN7,VLAN8。端口有兩種注冊模式,一種是fixed,即禁止端口動態(tài)注冊VLAN,僅允許本地創(chuàng)建的VLAN向外傳播;另一種注冊模式為forbidden,即禁止端口動態(tài)注冊VLAN,僅允許缺省VLAN1向外傳播。3.4H3C交換機設(shè)備之間的端口匯聚端口匯聚是將多個以太網(wǎng)端口匯聚在一起形成一個邏輯上的匯聚組,使用匯聚服務(wù)的上層實體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。將多個物理鏈路捆綁在一起后,不但提升了整個網(wǎng)絡(luò)的帶寬,而且數(shù)據(jù)還可以同時經(jīng)由被綁定的多個物理鏈路傳輸,具有鏈路冗余的作用,在網(wǎng)絡(luò)出現(xiàn)故障或其他原因斷開其中一條或多條鏈路時,剩下的鏈路還可以工作。這樣,同一匯聚組的各個成員端口之間彼此動態(tài)備份,提高了連接可靠性,增強了負(fù)載均衡的能力。圖3.3以太網(wǎng)端口匯聚配置示例圖對于H3C的交換機設(shè)備做端口匯聚時,必須注意以下幾點:做端口匯聚時,H3C交換機最多可以包括8個端口,這些端口不必是連續(xù)分布的,也不必位于相同的模塊中;至于有幾個匯聚組則視交換機的類型而定。一個匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP。一個匯聚組內(nèi)的端口必須有相同的速度和雙工模式。一個端口不能再相同時間內(nèi)屬于多個匯聚組。一個匯聚組內(nèi)的所有端口都必須配置到相同的接入VLAN中。3.5啟用端口鏡像對流量進行監(jiān)控由于部署IDS和IPS等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量(網(wǎng)絡(luò)分析儀同樣也需要),但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當(dāng)大的困難,因此需要通過配置交換機來把一個或多個端口(VLAN)的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽,這樣就產(chǎn)生了端口鏡像。端口鏡像(portMirroring)分為本地端口鏡像和遠(yuǎn)程端口鏡像兩種。本地端口鏡像是指將設(shè)備的一個或多個端口(源端口)的報文復(fù)制到本地設(shè)備的一個監(jiān)視端口(目的端口),用于報文的分析和監(jiān)視。其中,源端口和目的端口必須在同一臺設(shè)備上。如圖3.4:SwitchC的端口E1/0/3可以把端口研發(fā)部所連得端口E1/0/1和市場部連接的E1/0/2端口的流量復(fù)制過來,然后交給數(shù)據(jù)檢測設(shè)備分析,從而可以對危險流量進行隔離和控制。圖3.4本地端口鏡像實例圖遠(yuǎn)程端口鏡像突破了源端口和目的端口必須在同一臺設(shè)備上的限制,使源端口和目的端口可以跨越網(wǎng)絡(luò)中的多個設(shè)備,從而方便網(wǎng)絡(luò)管理人員對遠(yuǎn)程設(shè)備上的流量進行監(jiān)控。為了實現(xiàn)遠(yuǎn)程端口鏡像功能,需要定義一個特殊的VLAN,稱之為遠(yuǎn)程鏡像VLAN(Remote-probeVLAN)。所有被鏡像的報文通過該VLAN從源交換機的反射口傳遞到目的交換機的鏡像端口,實現(xiàn)在目的交換機上對源交換機端口收發(fā)的報文進行監(jiān)控的功能。遠(yuǎn)程端口鏡像的應(yīng)用示意圖如圖3.5所示。對部門1和部門2的流量進行監(jiān)控,SwitchA為源交換機:被監(jiān)控的端口所在的交換機,負(fù)責(zé)將鏡像流量復(fù)制到反射端口,然后通過遠(yuǎn)程鏡像VLAN傳輸給中間交換機或目的交換機;SwitchB為中間交換機:網(wǎng)絡(luò)中處于源交換機和目的交換機之間的交換機,通過遠(yuǎn)程鏡像VLAN把鏡像流量傳輸給下一個中間交換機或目的交換機,如果源交換機與目的交換機直接相連,則不存在中間交換機;SwitchC為目的交換機:遠(yuǎn)程鏡像目的端口所在的交換機,將從遠(yuǎn)程鏡像VLAN接收到的鏡像流量通過鏡像目的端口轉(zhuǎn)發(fā)給監(jiān)控設(shè)備。圖3.5遠(yuǎn)程端口鏡像實例圖3.6構(gòu)建安全的STP生成樹體系STP協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回,解決以太網(wǎng)網(wǎng)絡(luò)的“廣播風(fēng)暴”問題,從某種意義上說是一種網(wǎng)絡(luò)保護技術(shù),可以消除由于失誤或者意外帶來的循環(huán)連接,各大交換機設(shè)備廠商默認(rèn)開啟STP協(xié)議。H3C交換機支持的生成樹協(xié)議有三種類型,分別是STP(IEEE802.1D)、RSTP(IEEE802.1W)和MSTP(IEEE802.1S),這三種類型的生成樹協(xié)議均按照標(biāo)準(zhǔn)協(xié)議的規(guī)定實現(xiàn),采用標(biāo)準(zhǔn)的生成樹協(xié)議報文格式。手動指定根網(wǎng)橋不要讓STP來決定選舉哪臺交換機為根網(wǎng)橋。對于每個VLAN,您通??梢源_定哪臺交換機最適合用做根網(wǎng)橋。哪臺交換機最適合用做根網(wǎng)橋取決于網(wǎng)絡(luò)設(shè)計,一般而言,應(yīng)選擇位于網(wǎng)絡(luò)中央的功能強大的交換機。如果讓根網(wǎng)橋位于網(wǎng)絡(luò)中央,并直接連接到多臺服務(wù)器和路由器,通??煽s短客戶端到服務(wù)器和路由器的距離。對于VLAN,靜態(tài)地指定要用做根網(wǎng)橋和備用(輔助)根網(wǎng)橋的交換機。多層交換體系中部署MSTPMSTP(MultIPleSpanningTreeProtocol)是把IEEE802.1w的快速生成樹(RST)算法擴展而得到的,體現(xiàn)的是將多個VLAN映射到一個生成樹實例的能力。STP不能遷移,RSTP可以快速收斂,但和STP一樣不能按VLAN阻塞冗余鏈路,所有VLAN的報文都按一顆生成樹進行轉(zhuǎn)發(fā)。MSTP兼容STP和RSTP,從而彌補STP和RSTP的缺陷,不但可以快速收斂,同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑,使不同VLAN的流量沿各自的路徑分發(fā),在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡,使設(shè)備的利用率達到最高。圖3.6MST配置組網(wǎng)圖圖3.6所示:網(wǎng)絡(luò)中所有交換機屬于同一個MST域;VLAN10的報文沿著實例1轉(zhuǎn)發(fā),VLAN30沿著實例3轉(zhuǎn)發(fā),VLAN40沿著實例4轉(zhuǎn)發(fā),VLAN20沿著實例0轉(zhuǎn)發(fā);0中SwitchA和SwitchB為匯聚層設(shè)備,SwitchC和SwitchD為接入層設(shè)備。VLAN10、VLAN30在匯聚層設(shè)備終結(jié),VLAN40在接入層設(shè)備終結(jié),因此可以配置實例1和實例3的樹根分別為SwitchA和SwitchB,實例4的樹根為SwitchC。3.7多層交換體系中部署VRRP隨著Internet的發(fā)展,人們對網(wǎng)絡(luò)可靠性,安全性的要求越來越高。對于終端用戶來說,希望時時與網(wǎng)絡(luò)其他部分保持通信。VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議)是一種容錯協(xié)議,它保證當(dāng)主機的下一跳路由器失效時,可以及時由另一臺路由器代替,從而保持通信的連續(xù)性和可靠性。Cisco系列交換機更多的采用思科廠商專用的HSRP(HotStandbyRouterProtocol,熱備份路由器協(xié)議)為了使VRRP工作,要在路由器上配置虛擬路由器號和虛擬IP地址,同時會產(chǎn)生一個虛擬MAC(00-00-5E-00-01-[VRID])地址,這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。一個虛擬路由器由一個主路由器和若干個備份路由器組成,主路由器實現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主路由器出現(xiàn)故障時,一個備份路由器將成為新的主路由器,接替它的工作,避免備份組內(nèi)的單臺或多臺交換機發(fā)生故障而引起的通信中斷。圖3.7VRRP協(xié)議部署圖圖3.7所示:主機A把交換機A和交換機B組成的VRRP備份組作為自己的缺省網(wǎng)關(guān),訪問Internet上的主機B。備份組號可以自己設(shè)定;主路由是交換機A還是交換機B,取決于兩者的優(yōu)先級,高的成為主路由,優(yōu)先級一樣比較IP地址,誰的大誰是主路由,另外一臺作為備份路由;VRRP默認(rèn)搶占開啟。3.8IRF技術(shù)的應(yīng)用IRF(IntelligentResilientFramework,智能彈性架構(gòu))是H3C公司融合高端交換機的技術(shù),在中低端交換機上推出的創(chuàng)新性建設(shè)網(wǎng)絡(luò)核心的新技術(shù)。它將幫助用戶設(shè)計和實施高可用性、高可擴展性和高可靠性的千兆以太網(wǎng)核心和匯聚主干。在堆疊之前要先了解堆疊設(shè)備的規(guī)格,一個堆疊最多支持多少個設(shè)備,或者最多支持多少個端口。在系統(tǒng)啟動時、新Unit加入時、merge時都會進行配置比較。配置比較時將以最小ID的Unit的配置作為參照基準(zhǔn)。比較結(jié)果不同的Unit將把基準(zhǔn)配置保存為臨時文件,然后重起。重起時將采用這個臨時文件作為自己的配置。為增加堆疊的可靠性,盡量使用環(huán)形堆疊。IRF設(shè)備堆疊端口相連時一定是UP端口和另一臺設(shè)備的DOWN端口相連。圖3.7S58系列以太網(wǎng)交換機在企業(yè)網(wǎng)/園區(qū)網(wǎng)的應(yīng)用在大中型企業(yè)或園區(qū)網(wǎng)中,S58系列以太網(wǎng)交換機作為大樓匯聚交換機,通過IRF智能彈性架構(gòu)將多臺匯聚交換機虛擬為一臺邏輯設(shè)備,從而簡化管理維護,實現(xiàn)彈性擴展。此外H3C的開發(fā)業(yè)務(wù)架構(gòu)也可以使S58系列交換機集成防火墻模塊,提高網(wǎng)絡(luò)安全性,而在集成了無線控制器模塊以后,可以集中配置管理無線接入點,從而使S58系列交換機提供一套完整的有線無線一體化的解決方案。4邊界網(wǎng)絡(luò)安全網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門,大門的安全防護是網(wǎng)絡(luò)安全的基礎(chǔ)需求。隨著網(wǎng)絡(luò)的日益復(fù)雜,域邊界的概念逐漸替代了網(wǎng)絡(luò)邊界,邊界成了網(wǎng)絡(luò)安全區(qū)域之間安全控制的基本點。黑客攻擊與廠家防護技術(shù)都會最先出現(xiàn)在這里,然后在對抗中逐步完善與成熟起來。在本文中,邊界安全主要是指企業(yè)網(wǎng)在互聯(lián)網(wǎng)接入這部分。對邊界進行安全防護,首先必須明確哪些網(wǎng)絡(luò)邊界需要防護,這可以通過安全分區(qū)設(shè)計來確定。定義安全分區(qū)的原則就是首先需要根據(jù)業(yè)務(wù)和信息敏感度定義安全資產(chǎn),其次對安全資產(chǎn)定義安全策略和安全級別,對于安全策略和級別相同的安全資產(chǎn),就可以認(rèn)為屬于同一安全區(qū)域。根據(jù)以上原則,H3C提出以下的安全分區(qū)設(shè)計模型,主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對外連接區(qū)、網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等區(qū)域。圖4.0H3C提出的安全分區(qū)設(shè)計模型通過以上的分區(qū)設(shè)計和網(wǎng)絡(luò)現(xiàn)狀,H3C提出了以防火墻、VPN和應(yīng)用層防御系統(tǒng)為支撐的深度邊界安全解決方案。4.1NAT技術(shù)的應(yīng)用NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅完美地解決了lP地址不足的問題,而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊,隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。如圖4.1所示,運用NAT技術(shù)隱藏了局域網(wǎng)內(nèi)部的網(wǎng)段,在Internet網(wǎng)上顯示的是網(wǎng)段。圖4.1NAT技術(shù)組網(wǎng)圖NAT的實現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用PAT。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對是一對一的,是一成不變的,某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換,可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時,IP地址是不確定的,是隨機的,所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說,只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時,就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時??梢圆捎脛討B(tài)轉(zhuǎn)換的方式。端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換,即端口地址轉(zhuǎn)換(PAT,PortAddressTranslation)。采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問,從而可以最大限度地節(jié)約IP地址資源。同時,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機,有效避免來自internet的攻擊。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。4.2ACL技術(shù)的應(yīng)用ACL(AccessControlList,訪問控制列表)在路由器中被廣泛采用,它是一種基于包過濾的流控制技術(shù)。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴展ACL。標(biāo)準(zhǔn)的ACL使用1-99以及1300-1999之間的數(shù)字作為表號,擴展的ACL使用100-199以及2000-2699之間的數(shù)字作為表號。標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量,或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量,或者拒絕某一協(xié)議簇(比如IP)的所有通信流量。如圖4.2所示,VLAN10可以拒絕VLAN11的所有訪問流量。擴展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍,擴展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項,包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。如圖4.2所示服務(wù)器所在的VLAN1可以允許客戶的80端口訪問。一個端口執(zhí)行哪條ACL,這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配,那么后面的語句就將被忽略,不再進行檢查。數(shù)據(jù)包只有在跟第一個判斷條件不匹配時,它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配(假設(shè)為允許發(fā)送),則不管是第一條還是最后一條語句,數(shù)據(jù)都會立即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數(shù)據(jù)包將視為被拒絕而被丟棄。圖4.2ACL技術(shù)組網(wǎng)圖另外還有一些特殊情況下的ACL技術(shù)的應(yīng)用:基于MAC地址的ACL:二層ACL根據(jù)源MAC地址、目的MAC地址、802.1p優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則,對數(shù)據(jù)進行相應(yīng)處理。二層ACL的序號取值范圍為4000~4999。如圖4.2所示:PC2可以針對PC3的MAC地址進行限制。用戶自定義的ACL:非用戶自定義的ACL一旦制定之后,修改起來十分麻煩,要把整個ACL去掉,然后才能重新建立生效,然而用戶自定義的ACL解決了這一問題,可以在原有的ACL基礎(chǔ)上進行修改。在Qos中應(yīng)用ACL:QosACL指定了Qos分類、標(biāo)記、控制和調(diào)度將應(yīng)用于那些數(shù)據(jù)包,也可以基于時間段、流量監(jiān)管、隊列調(diào)度、流量統(tǒng)計、端口重定向、本地流鏡像以及WEBCache重定向的功能及應(yīng)用部署相關(guān)的ACL。在VLAN中應(yīng)用ACL:VACL又稱為VLAN的訪問映射表,應(yīng)用于VLAN中的所有通信流。需要先建立一個普通的ACL列表,然后建立一個關(guān)于VLAN的訪問映射表將建立的ACL列表包含進去,最后把訪問映射表映射到所需要的VLANA。4.3VPN技術(shù)的應(yīng)用VPN(VirtualPrivateNetwork,虛擬私有網(wǎng))是近年來隨著Internet的廣泛應(yīng)用而迅速發(fā)展起來的一種新技術(shù),實現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)。VPN只為特定的企業(yè)或用戶群體所專用。從用戶角度看來,使用VPN與傳統(tǒng)專網(wǎng)沒有任何區(qū)別。VPN作為私有專網(wǎng),一方面與底層承載網(wǎng)絡(luò)之間保持資源獨立性,即在一般情況下,VPN資源不會被網(wǎng)絡(luò)中的其它VPN或非該VPN用戶使用;另一方面,VPN提供足夠安全性,能夠確保VPN內(nèi)部信息的完整性、保密性、不可抵賴性。圖4.3VPN技術(shù)典型組網(wǎng)圖如圖4.3所示,在企業(yè)互聯(lián)網(wǎng)出口部署防火墻和VPN設(shè)備,分支機構(gòu)及移動辦公用戶分別通過VPN網(wǎng)關(guān)和VPN客戶端安全連入企業(yè)內(nèi)部網(wǎng)絡(luò);同時通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、DMZ、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開,并通過制定相應(yīng)的安全規(guī)則,以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護。H3C公司的安全解決方案的VPN特性非常豐富,包括適用于分支機構(gòu)的動態(tài)VPN(DVPN)解決方案、適用于MPLSVPN和IPSecVPN環(huán)境下的VPE解決方案、適用于鏈路備份的VPN高可用方案等,可以滿足各種VPN環(huán)境的需要。接下來我們介紹下VPN領(lǐng)域的一些主流技術(shù)。4.3.1IPsecVPN的應(yīng)用IPsec(IPSecurity)是保障IP層安全的網(wǎng)絡(luò)技術(shù),它并不是指某一項具體的協(xié)議,而是指用于實現(xiàn)IP層安全的協(xié)議套件集合。IPsec實質(zhì)上也是一種隧道傳輸技術(shù),它將IP分組或IP上層載荷封裝在IPsec報文內(nèi),并根據(jù)需要進行加密和完整性保護處理,以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過程的安全。IPsec支持兩種協(xié)議標(biāo)準(zhǔn),鑒別首部(AuthenticaionHeader,AH)和封裝安全有效載荷(EncapsulationSecurityPayload,ESP):AH可證明數(shù)據(jù)的起源地(數(shù)據(jù)來源認(rèn)證)、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播(抗重放攻擊);ESP能提供的安全服務(wù)則更多,除了上述AH所能提供的安全服務(wù)外,還能提供數(shù)據(jù)機密性,這樣可以保證數(shù)據(jù)包在傳輸過程中不被非法識別;AH與ESP提供的數(shù)據(jù)完整性服務(wù)的差別在于,AH驗證的范圍還包括數(shù)據(jù)包的外部IP頭。在建立IPsec隧道的時候還需要用到一個重要的協(xié)議即IKE協(xié)議,通過建立IKE的兩個階段,完成數(shù)據(jù)的傳送。4.3.2IPsec上的GRE隧道GRE(GenericRoutingEncapsulation,通用路由封裝)隧道已經(jīng)應(yīng)用了很長的一段時間,GRE首先由Cisco公司提出,目的是提供IP網(wǎng)絡(luò)承載其他路由協(xié)議。某些網(wǎng)絡(luò)管理員為了降低其網(wǎng)絡(luò)核心的管理開銷,將除IP外的所有傳送協(xié)議都刪除了,因而IPX和AppleTalk等非IP協(xié)議只能通過GRE來穿越IP核心網(wǎng)絡(luò)。如圖4.4所示。圖4.4IPX網(wǎng)絡(luò)通過GRE隧道互連GRE是無狀態(tài)協(xié)議,與IPsec隧道不同,端點在通過隧道發(fā)送流量之前并不調(diào)整任何參數(shù),只要隧道目的地是可路由的,流量就可以穿過GRE隧道。GRE的源動力就是任何東西都可以被封裝在其中,GRE的主要應(yīng)用就是在IP網(wǎng)絡(luò)中承載非IP包,這個恰恰是IPsec所不能的。另外與IPsec不同,GRE允許路由協(xié)議(OSPF和BGP)穿越連接。但是GRE隧道不提供安全特性,不會對流量進行加密、完整性驗證,而IPsec剛好解決了這個難題,這樣基于IPsec的GRE的VPN強大功能特性就充分體現(xiàn)了。4.3.3二層VPN技術(shù)L2TP的應(yīng)用L2TP提供了一種遠(yuǎn)程接入訪問控制的手段,其典型的應(yīng)用場景是:某公司員工通過PPP撥入公司本地的網(wǎng)絡(luò)訪問服務(wù)器(NAS),以此接入公司內(nèi)部網(wǎng)絡(luò),獲取IP地址并訪問相應(yīng)權(quán)限的網(wǎng)絡(luò)資源該員工出差到外地,此時他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò),操作相應(yīng)網(wǎng)絡(luò)資源,他的做法是向當(dāng)?shù)豂SP申請L2TP服務(wù),首先撥入當(dāng)?shù)豂SP,請求ISP與公司NAS建立L2TP會話,并協(xié)商建立L2TP隧道,然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理,通過L2TP隧道傳送到公司NAS,NAS就從中取出PPP數(shù)據(jù)進行相應(yīng)的處理,如此該員工就如同在公司本地那樣通過NAS接入公司內(nèi)網(wǎng)。L2TP本質(zhì)上是一種隧道傳輸協(xié)議,它使用兩種類型的消息:控制消息和數(shù)據(jù)隧道消息。控制消息負(fù)責(zé)創(chuàng)建、維護及終止L2TP隧道,而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP,可以進行用戶身份認(rèn)證。在安全性考慮上,L2TP僅定義了控制消息的加密傳輸方式,對傳輸中的數(shù)據(jù)并不加密。L2TP與IPsec的一個最大的不同在于它不對隧道傳輸中的數(shù)據(jù)進行加密,從而沒法保證數(shù)據(jù)傳輸過程中的安全。因此這個時候,L2TP常和IPsec結(jié)合使用,先使用L2TP封裝第二層數(shù)據(jù),再使用IPsec封裝對數(shù)據(jù)進行加密和提供完整性保護,由此保證通信數(shù)據(jù)安全傳送到目的地。因此就一般企業(yè)用戶構(gòu)建安全的VPN而言,應(yīng)該使用IPsec技術(shù),當(dāng)然如果需要實現(xiàn)安全的VPDN,就應(yīng)該采用L2TP+IPsec組合技術(shù)。4.3.4SSLVPN技術(shù)的應(yīng)用SSL協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。SSL協(xié)議由許多子協(xié)議組成,其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前,彼此確認(rèn),協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間,記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來交換的數(shù)據(jù)。SSL獨立于應(yīng)用,因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細(xì)節(jié)。SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的傳輸層和應(yīng)用層之間。與復(fù)雜的IPSecVPN相比,SSL通過簡單易用的方法實現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機器都可以使用SSLVPN,這是因為SSL內(nèi)嵌在瀏覽器中,它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。IPSecVPN最大的難點在于客戶端需要安裝復(fù)雜的軟件,而且當(dāng)用戶的VPN策略稍微有所改變時,VPN的管理難度將呈幾何級數(shù)增長。SSLVPN則正好相反,客戶端不需要安裝任何軟件或硬件,使用標(biāo)準(zhǔn)的瀏覽器,就可通過簡單的SSL安全加密協(xié)議,安全地訪問網(wǎng)絡(luò)中的信息。SSLVPN相對IPsecVPN主要有以下優(yōu)點:方便:實施SSLVPN之需要安裝配置好中心網(wǎng)關(guān)即可。其余的客戶端是免安裝的,因此,實施工期很短,如果網(wǎng)絡(luò)條件具備,連安裝帶調(diào)試,1-2天即可投入運營。容易維護:SSLVPN維護起來簡單,出現(xiàn)問題,就維護網(wǎng)關(guān)就可以了。如果有雙機備份的話,就可以啟用備份路由器。安全:SSLVPN是一個安全協(xié)議,數(shù)據(jù)全程加密傳輸?shù)?。另外,由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端,只留下一個Web瀏覽接口,客戶端的大多數(shù)病毒木馬感染不倒內(nèi)部服務(wù)器。而SSLVPN就不一樣,實現(xiàn)的是IP級別的訪問,遠(yuǎn)程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒有區(qū)別。4.3.5DVPN技術(shù)的應(yīng)用DVPN(DynamicVirtualPrivateNetwork,動態(tài)虛擬私有網(wǎng)絡(luò)技術(shù))通過動態(tài)獲取對端的信息建立VPN連接。DVPN提出了NBMA類型的隧道機制,使用Tunnel邏輯接口作為DVPN隧道的端點,完成DVPN報文的封裝和發(fā)送,同時通過Tunnel接口完成私網(wǎng)路由的動態(tài)學(xué)習(xí)。DVPN采用了Client和Server的方式解決了傳統(tǒng)VPN的缺陷,Client通過在Server注冊,將Client自己的信息在Sever進行保存,這樣Client可以通過Server的重定向功能得到其它Client的信息,從而可以在Client之間建立獨立的Session(會話,進行數(shù)據(jù)傳輸?shù)耐ǖ溃?。?dāng)多個DVPN接入設(shè)備通過向共同的Server進行注冊,構(gòu)建一個DVPN域,就實現(xiàn)了各個DVPN接入設(shè)備后面的網(wǎng)絡(luò)的VPN互聯(lián)。所有通過DVPN實現(xiàn)互連的私有網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的防火墻、路由器設(shè)備共同構(gòu)成DVPN域。DVPN不但繼承了傳統(tǒng)VPN的各種優(yōu)點,更大程度上解決了傳統(tǒng)VPN目前還沒有解決的問題。配置簡單、網(wǎng)絡(luò)規(guī)劃簡單、功能強大,比傳統(tǒng)的VPN更加符合目前以及未來的網(wǎng)絡(luò)應(yīng)用。其特點如下:配置簡單:一個DVPN接入設(shè)備可以通過一個tunnel邏輯接口和多個VPN接入設(shè)備建立會話通道,而不用為每一個通道配置一個邏輯的接口作為隧道的端點,大大的簡化了配置的復(fù)雜度,提高了網(wǎng)絡(luò)的可維護性和易擴充性。支持依賴動態(tài)IP地址構(gòu)建VPN:當(dāng)在一個DVPN域內(nèi)部構(gòu)建隧道時,只需要指定相應(yīng)的Server的IP地址,并不關(guān)心自己當(dāng)前使用的IP地址是多少,更加適應(yīng)如普通撥號、xdsl撥號等使用動態(tài)IP地址的組網(wǎng)應(yīng)用。支持自動建立隧道技術(shù):DVPN中的server維護著一個DVPN域中所有接入設(shè)備的信息,DVPN域中的client可以通過server的重定向功能自動獲得需要進行通信的其它client的信息,并最終在兩個client之間自動建立會話隧道(session)。支持多個VPN域:DVPN允許用戶在一臺DVPN設(shè)備上支持多個VPN域。即一臺防火墻不僅可以屬于VPNA,也可以屬于VPNB;同一設(shè)備可以在VPNA中作為client設(shè)備,同時還在VPNB中作為server設(shè)備使用。4.3.6VPN技術(shù)在MPLS網(wǎng)絡(luò)中的應(yīng)用MPLSVPN是一種基于MPLS(MultiprotocolLabelSwitching,多協(xié)議標(biāo)簽交換)技術(shù)的VPN技術(shù),是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù),簡化核心路由器的路由選擇方式,利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IPVPN),可用來構(gòu)造寬帶的Intranet、Extranet,滿足多種靈活的業(yè)務(wù)需求。傳統(tǒng)VPN使用第二層隧道協(xié)議(L2TP、L2F和PPTP等)或者第三層隧道技術(shù)(IPsec、GRE等),獲得了很大成功,被廣泛應(yīng)用。但是,隨著VPN范圍的擴大,傳統(tǒng)VPN在可擴展性和可管理性等方面的缺陷越來越突出。通過MPLS技術(shù)可以非常容易地實現(xiàn)基于IP技術(shù)的VPN業(yè)務(wù),而且可以滿足VPN可擴展性和管理的需求。利用MPLS構(gòu)造的VPN,通過配置,可將單一接入點形成多種VPN,每種VPN代表不同的業(yè)務(wù),使網(wǎng)絡(luò)能以靈活方式傳送不同類型的業(yè)務(wù)。圖4.5MPLSVPN模型如上圖所示,MPLSVPN模型中,包含三個組成部分:CE、PE和P。CE(CustomerEdge)設(shè)備:是用戶網(wǎng)絡(luò)邊緣設(shè)備,有接口直接與服務(wù)提供商相連,可以是路由器或是交換機等。CE“感知”不到VPN的存在。PE(ProviderEdge)路由器:即運營商邊緣路由器,是運營商網(wǎng)絡(luò)的邊緣設(shè)備,與用戶的CE直接相連。MPLS網(wǎng)絡(luò)中,對VPN的所有處理都發(fā)生在PE路由器上。P(Provider)路由器:運營商網(wǎng)絡(luò)中的骨干路由器,不和CE直接相連。P路由器需要支持MPLS能力。CE和PE的劃分主要是從運營商與用戶的管理范圍來劃分的,CE和PE是兩者管理范圍的邊界。安全網(wǎng)關(guān)可以用于CE或PE設(shè)備。4.4H3CSecPath系列防火墻/VPN的部署防火墻是最主流也是最重要的安全產(chǎn)品,是邊界安全解決方案的核心。它可以對整個網(wǎng)絡(luò)進行區(qū)域分割,提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制;對常見的網(wǎng)絡(luò)攻擊,如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進行有效防護;并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定、智能蠕蟲防護等安全增強措施。H3CSecPathF5000-A5是目前全球處理性能最高的分布式防火墻,旨在滿足大型企業(yè)、運營商和數(shù)據(jù)中心網(wǎng)絡(luò)高性能的安全防護。SecPathF5000-A5采用多核多線程、ASIC等先進處理器構(gòu)建分布式架構(gòu),將系統(tǒng)管理和業(yè)務(wù)處理相分離,實現(xiàn)整機吞吐量達到40Gbps,使其具有全球最高性能的分布式安全處理能力。SecPathF5000-A5支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能,能夠有效的保證網(wǎng)絡(luò)的安全;采用ASPF(ApplicationSpecificPacketFilter)應(yīng)用狀態(tài)檢測技術(shù),可對連接狀態(tài)過程和異常命令進行檢測;支持多種VPN業(yè)務(wù),如L2TPVPN、GREVPN、IPSecVPN和動態(tài)VPN等,可以構(gòu)建多種形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由。圖4.6SecPathF5000-A5組網(wǎng)實例H3CSecPathF1000系列防火墻總共有五款產(chǎn)品主要應(yīng)用于大中型企業(yè)H3CSecPathF100系列防火墻總共有七款產(chǎn)品,主要應(yīng)用于中小型企業(yè)。這兩個系列產(chǎn)品都具有支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能。SecPathV100-S是H3C公司面向中小型企業(yè)用戶開發(fā)的新一代專業(yè)VPN網(wǎng)關(guān)設(shè)備。支持多種VPN業(yè)務(wù),如L2TPVPN、GREVPN、IPSecVPN和動態(tài)VPN等,可以構(gòu)建多種形式的VPN;采用ASPF(ApplicationSpecificPacketFilter)應(yīng)用狀態(tài)檢測技術(shù),可對連接狀態(tài)過程和異常命令進行檢測;提供多種智能分析和管理手段,支持郵件告警,支持多種日志,提供網(wǎng)絡(luò)管理監(jiān)控,協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理;提供基本的路由能力,支持RIP/OSPF/BGP路由策略及策略路由;支持豐富的QoS特性,提供流量監(jiān)管、流量整形及多種隊列調(diào)度策略。圖4.7SecPathV100-E網(wǎng)關(guān)在線部署模式SecPathSSLVPN系列網(wǎng)關(guān)是SecPath系列產(chǎn)品的新成員,是H3C公司開發(fā)的新一代專業(yè)安全產(chǎn)品。SecPathSSLVPN網(wǎng)關(guān)能夠讓用戶直接使用瀏覽器訪問內(nèi)部網(wǎng)絡(luò)資源,無需安裝客戶端軟件,提供了高經(jīng)濟、低成本的遠(yuǎn)程移動安全接入方式。如圖4.7所示,SecPathV100-E作為集IPSecVPN和SSLVPN功能與一體的專業(yè)VPN網(wǎng)關(guān),還具有完善的防火墻功能,能夠有效的保護網(wǎng)絡(luò)安全;采用應(yīng)用狀態(tài)檢測技術(shù),可對連接狀態(tài)過程和異常命令進行檢測;提供多種智能分析和管理手段;提供基本的路由能力,支持路由策略及策略路由;支持豐富的QoS特性。4.5H3C的各類安全模塊4.5.1H3CSecBladeFW模塊H3CSecBladeFW是業(yè)內(nèi)第一款萬兆高性能防火墻模塊,可應(yīng)用于H3CS5800/S7500E/S9500E交換機以及SR6600/SR8800路由器。SecBladeFW集成防火墻、VPN、內(nèi)容過濾和NAT地址轉(zhuǎn)換等功能,提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力,為用戶提供全面的安全防護。能提供外部攻擊防范、內(nèi)網(wǎng)安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論