《網(wǎng)絡安全實用教程》配套PPT(人民郵電出版)ch4

第4章

網(wǎng)絡硬件設備安全本章有五小節(jié)：4.1網(wǎng)絡硬件系統(tǒng)的冗余4.2網(wǎng)絡機房設施與環(huán)境安全4.3路由器安全4.4交換機安全4.5服務器和客戶機安全4．1網(wǎng)絡硬件系統(tǒng)的冗余4.1.1網(wǎng)絡系統(tǒng)的冗余系統(tǒng)冗余就是重復配置系統(tǒng)的一些部件。當系統(tǒng)某些部件發(fā)生故障時，冗余配置的其它部件介入并承擔故障部件的工作，由此提高系統(tǒng)的可靠性。也就是說，冗余是將相同的功能設計在兩個或兩個以上設備中，如果一個設備有問題，另外一個設備就會自動承擔起正常工作。冗余技術又稱儲備技術，它是利用系統(tǒng)的并聯(lián)模型來提高系統(tǒng)可靠性的一種手段。采用“冗余技術”是實現(xiàn)網(wǎng)絡系統(tǒng)容錯的主要手段。4.1.2網(wǎng)絡設備的冗余網(wǎng)絡系統(tǒng)的主要設備有網(wǎng)絡服務器、核心交換機、存儲設備、供電設備以及網(wǎng)絡邊界設備(如路由器、防火墻)等。為保證網(wǎng)絡系統(tǒng)能正常運行和提供正常的服務，在進行網(wǎng)絡設計時要充分考慮主要設備的部件或設備的冗余。1．網(wǎng)絡設備的冗余類型網(wǎng)絡服務器系統(tǒng)冗余核心交換機冗余供電系統(tǒng)的冗余鏈接冗余網(wǎng)絡邊界設備冗余空閑備件4.1.3交換機端口匯聚與鏡像1．交換機端口匯聚(1)端口匯聚的概念端口聚合也叫以太通道(ethernetchannel)，主要用于交換機之間的連接。利用端口匯聚技術，交換機會把一組物理端口聯(lián)合起來，做為一個邏輯通道。這時，交換機會認為這個邏輯通道為一個端口。(2)交換機端口匯聚技術的實現(xiàn)(以H3C交換機為例)

2．交換機端口鏡像(1)基于交換機端口的鏡像配置(2)基于三層流的鏡像配置(3)基于二層流的鏡像配置4.2網(wǎng)絡機房設施與環(huán)境安全保證網(wǎng)絡機房的實體環(huán)境(即硬件和軟件環(huán)境)安全是網(wǎng)絡系統(tǒng)正常運行的重要保證。因此，網(wǎng)絡管理部門必須加強對機房環(huán)境的保護和管理，以確保網(wǎng)絡系統(tǒng)的安全。只有保障機房的安全可靠，才能保證網(wǎng)絡系統(tǒng)的日常業(yè)務工作正常進行。計算機網(wǎng)絡機房的設施與環(huán)境安全包括機房場地的安全，機房的溫度、濕度和清潔度控制，機房內(nèi)部的管理與維護，機房的電源保護，機房的防火、防水、防電磁干擾、防靜電、防電磁輻射等。4.2.1機房的安全保護1．機房場地的安全與內(nèi)部管理2．機房的環(huán)境設備監(jiān)控3．機房的溫度、濕度和潔凈度4．機房的電源保護5．機房的防火和防水4.2.2機房的靜電和電磁防護1．機房的靜電防護:機房采取的防靜電措施有：機房建設時，在機房地面鋪設防靜電地板。工作人員在工作時穿戴防靜電衣服和鞋帽。工作人員在拆裝和檢修機器時應在手腕上戴防靜電手環(huán)(該手環(huán)可通過柔軟的接地導線放電)。保持機房內(nèi)相應的溫度和濕度。2．機房的電磁干擾防護電磁干擾主要來自計算機系統(tǒng)外部。系統(tǒng)外部的電磁干擾主要來自無線電廣播天線、雷達天線、工業(yè)電氣設備、高壓電力線和變電設備，以及大自然中的雷擊和閃電等。另外，系統(tǒng)本身的各種電子組件和導線通過電流時，也會產(chǎn)生不同程度的電磁干擾，這種影響可在機器制作時采用相應工藝降低和解決。通常可采取將機房選擇在遠離電磁干擾源的地方、建造機房時采用接地和屏蔽等措施防止和減少電磁干擾的影響。3．機房的電磁輻射防護電磁輻射會產(chǎn)生兩種不利因素：一是由電子設備輻射出的電磁波通過電路耦合到其它電子設備中形成電磁波干擾，或通過連接的導線、電源線、信號線等耦合而引起相互間的干擾，當這些電磁干擾達到一定程度時，就會影響設備的正常工作；二是這些輻射出的電磁波本身攜帶有用信號，如這些輻射信號被截收，再經(jīng)過提取、處理等過程即可恢復出原信息，造成信息泄露。通常，可采取抑源法、屏蔽法和噪聲干擾法措施防止電磁輻射。抑源法是從降低電磁輻射源的發(fā)射強度出發(fā)，對計算機設備內(nèi)部產(chǎn)生和運行串行數(shù)據(jù)信息的部件、線路和區(qū)域采取電磁輻射抑制措施和傳導發(fā)射濾波措施，并視需要在此基礎上對整機采取整體電磁屏蔽措施，減小全部或部分頻段信號的傳導和輻射。4．3路由器安全4.3.1路由協(xié)議與訪問控制1．靜態(tài)路由的配置定義目標網(wǎng)絡號、目標網(wǎng)絡的子網(wǎng)掩碼和下一跳地址或接口：

iproute{nexthop-address|exit-interface}[distance]默認路由的配置：

iproute{nexthop-address|exit-interface}[distance]

2．動態(tài)路由算法RIP的配置RIP(v1版)的配置：Router(config)#routerripRouter(config-router)#networkxxxx.xxxx.xxxx.xxxxRIP(v2版)的配置：Router(config)#routerripRouter(config-router)#version2Router(config-router)#noauto-sunnmaryRouter(config-router)#networkXXXX.XXXX.XXXX.XXXX3．訪問控制列表配置

訪問控制列表(ACL)提供了一種機制，可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機制允許用戶使用ACL來管理信息流，以制定公司內(nèi)部網(wǎng)的相關策略。如網(wǎng)絡管理員可以通過配置ACL來實現(xiàn)允許用戶訪問Internet，但不允許外部用戶通過Telnet進入本地局域網(wǎng)。配置路由器的ACL是一件經(jīng)常性的工作，通過配置ACL，可以使路由器提供基本的流量過濾能力。ACL是一個連續(xù)的允許和拒絕語句的集合，關系到地址或上層協(xié)議。ACL在網(wǎng)絡中可實現(xiàn)多種功能，包括內(nèi)部過濾分組、保護內(nèi)部網(wǎng)絡免受來自Internet的非法入侵和限制對虛擬終端端口的訪問。(1)基本ACL一個ACL是由permit|deny語句組成的一系列的規(guī)則列表。在配置ACL規(guī)則前，首先需要創(chuàng)建一個ACL。使用如下命令可創(chuàng)建ACL：aclnumberacl-number[match-order{config|auto}]使用如下命令可刪除一個或所有的ACL：undoacl{numberacl-number|all}參數(shù)numberacl-number定義一個數(shù)字型的ACL。acl-number是訪問控制規(guī)則序號(其值1000～1999是基于接口的ACL，2000～2999是基本的數(shù)字型ACL，3000～3999是高級數(shù)字型ACL，4000～4999是基于MAC地址的ACL)。match-orderconfig是指定匹配該規(guī)則時用戶的配置順序；match-orderauto是指定匹配該規(guī)則時系統(tǒng)自動排序，即按“深度優(yōu)先”的順序?；続CL命令的命令格式為：rule[rule-id]{permit|deny|commenttext}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]可以通過在rule命令前加undo的形式，清除一個已經(jīng)建立的基本ACL，其語法格式為：undorulerule-id[commenttext][source][time-range][logging][fragment][vpn-instancevpn-instance-name]對已經(jīng)存在的ACL規(guī)則，如果采用指定ACL規(guī)則編號的方式進行編輯，沒有配置的部分是不受影響的。例如：先配置了一個ACL規(guī)則(rule1denysource0)，再對這個ACL規(guī)則進行編輯(rule1denylogging)，此時ACL規(guī)則變成為：rule1denysource0logging。(2)基本ACL的配置應用實例①在系統(tǒng)視圖下可實現(xiàn)的配置：aclnumber2000rule10deny#拒絕IP地址為的主機的訪問rule20permit55#允許從子網(wǎng)來的任何主機的訪問rule30deny.55#拒絕從網(wǎng)絡來的任何主機的訪問rule40permit55#允許來自172網(wǎng)段的任何主機的訪問②firewallpacket-filter命令應用firewallpacket-filter命令可把某個現(xiàn)有的ACL與某個接口聯(lián)系起來。配置時必須先進入到目的接口(如S0/0)的接口配置模式。命令格式如下：firewallpacket-filteracl-number{inbound|outbound}[match-fragments{normally|exactly}]參數(shù)acl-number是ACL的序號，inbound表示過濾從接口收上來的數(shù)據(jù)包，outbound表示過濾從接口轉(zhuǎn)發(fā)的數(shù)據(jù)包，match-fragments指定分片的匹配模式(只有高級ACL有此參數(shù))，normally是標準匹配模式(缺省模式)，exactly是精確匹配模式。在實際配置基本ACL時，可以應用基本ACL允許或禁止特定的通信流量，然后測試該ACL是否達到預期結(jié)果。(3)高級ACL的配置高級ACL比基本ACL使用更廣泛，因為它提供了更大的彈性和控制范圍。高級ACL既可檢查分組的源地址和目的地址，也可檢查協(xié)議類型和TCP/UDP的端口號。高級ACL可以基于分組的源地址、目的地址、協(xié)議類型、端口地址和應用來決定訪問是被允許還是拒絕。高級ACL可以在拒絕文件傳輸和網(wǎng)頁瀏覽的同時，允許從E0/0的E-mail通信流量抵達目的地S0/0。一旦分組被丟棄，某些協(xié)議將返回一個回應分組到源發(fā)送端，以表明目的不可達。高級ACL命令的完整語法為：rule[rule-id]{permit|deny|commenttext}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][dscpdscp][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instance]刪除高級ACL命令的完整語法為：undorulerule-id[commenttext][source][destination][source-port][destination-port][icmp-type][dscp][precedence][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]一個簡單的高級ACL配置實例如下：rule10permittcp.55anyeqtelnetrule20permittcp.55anyeqftprule30permittcp.55anyeqftp-datarule40denyanyany第1條判斷語句設置允許/24網(wǎng)絡使用TCP協(xié)議訪問外部網(wǎng)的TELNET服務。第2條判斷語句設置允許/24網(wǎng)絡使用TCP協(xié)議訪問外部網(wǎng)的FTP服務。第3條判斷語句設置允許/24網(wǎng)絡使用TCP協(xié)議訪問外部網(wǎng)的FTP數(shù)據(jù)服務。第4條判斷語句設置拒絕滿足前面三條ACL要求的其他網(wǎng)絡服務。4．NAT技術

隨著Internet的迅速發(fā)展，IP地址短缺及路由規(guī)模越來越大已成為相當嚴重的問題。為了解決這個問題，出現(xiàn)了多種解決方案。一種在目前網(wǎng)絡環(huán)境中比較有效的方法是使用地址轉(zhuǎn)換(NAT)技術。地址轉(zhuǎn)換是指在一個組織的網(wǎng)絡內(nèi)部，可以根據(jù)需要自定義自己的IP地址(假IP地址)。本組織內(nèi)部的各計算機間通過假IP地址進行通信，當組織內(nèi)部的計算機要與外部的Internet通信時，具有NAT功能的設備負責將其假IP地址轉(zhuǎn)換為真IP地址。圖顯示了地址轉(zhuǎn)換的基本過程。(1)NAT技術的應用①連接Internet，但不使網(wǎng)內(nèi)所有的計算機都擁有真正的IP地址。通過NAT功能，可以對申請的合法的IP地址進行統(tǒng)一管理，當內(nèi)部計算機需要連接Internet時，動態(tài)或靜態(tài)地將假的IP地址轉(zhuǎn)換為合法IP地址。②不使外部網(wǎng)絡用戶知道網(wǎng)絡的內(nèi)部結(jié)構?？赏ㄟ^NAT將內(nèi)部網(wǎng)絡與外部Internet隔離開。這樣外部用戶根本不知道網(wǎng)絡內(nèi)部假IP地址，可有效的保障內(nèi)部服務器的安全。③實現(xiàn)多個用戶同時公用一個合法IP地址與外部Internet通信設置NAT功能的路由器至少要有一個內(nèi)部端口和一個外部端口。內(nèi)部端口連接網(wǎng)絡內(nèi)的用戶，使用的是假IP地址，且內(nèi)部端口可以為路由器的任意端口。外部端口連接的是外部的公用網(wǎng)絡(如Internet)，外部端口可以為路由器上的任意端口。(2)NAT地址轉(zhuǎn)換實例在圖中，用出接口地址做EasyNAT，完成將/24內(nèi)部網(wǎng)絡接入Internet，在出口地址進行地址轉(zhuǎn)換，隱藏內(nèi)部網(wǎng)主機地址，有效保障內(nèi)部網(wǎng)主機的安全。4.3.2虛擬路由器冗余協(xié)議(VRRP)1．VRRP協(xié)議概述VRRP(VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議)是一種選擇性協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上VRRP路由器?？刂铺摂M路由器IP地址的VRRP路由器稱為主路由器，它負責轉(zhuǎn)發(fā)數(shù)據(jù)包到虛擬IP地址上。一旦主路由器不可用，這種選擇過程就提供動態(tài)的故障轉(zhuǎn)移機制，允許虛擬路由器的IP地址可以作為終端主機的默認第一跳路由器。使用VRRP的優(yōu)點是有更高默認路徑的可用性而無需在每個終端主機上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議2．VRRP協(xié)議原理通常，一個網(wǎng)絡內(nèi)的所有主機都設置一條缺省路由(如圖4.7所示，)，這樣主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往路由器RouterA，從而實現(xiàn)了主機與外部網(wǎng)絡的通信。當路由器RouterA壞掉時，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機將斷掉與外部的通信。VRRP是一種容錯協(xié)議，它是為解決上述問題而提出的，如圖4.8所示。VRRP將局域網(wǎng)的一組路由器(包括一個Master路由器和若干個Backup路由器)組織成一個虛擬路由器，稱為一個備份組。該虛擬路由器擁有自己的IP地址(該IP地址可以和備份組內(nèi)的某路由器接口地址相同)，備份組內(nèi)的路由器也有自己的IP地址(如Master的IP地址為，Backup的IP地址為)。局域網(wǎng)內(nèi)的主機僅僅知道這個虛擬路由器的IP地址，而不知道具體的Master路由器的IP地址

和Backup路由器的IP地址，它們將自己的缺省路由下一跳地址設置為該虛擬路由器的IP地址。于是，網(wǎng)絡內(nèi)的主機就通過該虛擬的路由器與其它網(wǎng)絡進行通信。如果備份組內(nèi)的Master路由器出現(xiàn)故障，Backup路由器將會通過選舉策略選出一個新的Master路由器，繼續(xù)向網(wǎng)絡內(nèi)的主機提供路由服務。從而實現(xiàn)網(wǎng)絡內(nèi)的主機不間斷地與外部網(wǎng)絡進行通信。4．4交換機安全4.4.1控制對交換機的訪問1．網(wǎng)絡設備遠程管理概述Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠程登錄服務的標準協(xié)議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。終端客戶可以在telnet程序中輸入命令，這些命令會在服務器上運行，就像直接在服務器的控制臺上輸入一樣。終端客戶使用telnet程序連接到服務器，可以在本地就能控制服務器。要開始一個telnet會話，必須輸入用戶名和密碼來登錄服務器2．交換機遠程TELNET管理配置實例4.4.2交換機安全配置實例1．基于源IP地址的訪問控制在交換機(以銳捷交換機為實驗設備，下同)上設置基于源IP地址的ACL，只允許指定源IP訪問網(wǎng)絡，而禁止其他IP訪問網(wǎng)絡。2．基于目的IP地址的ACL配置在交換機上設置基于目的IP地址的ACL，只允許主機訪問指定目的IP地址的主機，而禁止訪問其他主機。3．基于TCP/UDP協(xié)議的ACL配置

在交換機上設置基于TCP/UDP協(xié)議的ACL，只允許通過指定的協(xié)議及指定的端口訪問主機或網(wǎng)絡。實驗拓撲環(huán)境同圖4.12，在PC2上運行WWW和MAIL服務軟件，使PC2能夠提供WWW和MAIL服務。在交換機上設置基于TCP協(xié)議的ACL，禁止PC1訪問PC2的MAIL服務，但允許PC1訪問PC2上的WWW網(wǎng)頁4．基于MAC地址的ACL配置

在交換機上設置基于MAC地址的ACL，只允許指定MAC地址的主機訪問網(wǎng)絡，而禁止其他MAC地址的主機訪問網(wǎng)絡。

5．基于時間的ACL配置在交換機上設置基于時間的ACL，只允許指定時間段內(nèi)訪問網(wǎng)絡，而禁止其他時間訪問網(wǎng)絡。4．5服務器與客戶機安全4.5.1服務器安全與設置實例網(wǎng)絡服務器(硬件)是一種高性能計算機，再配以相應的服務器軟件系統(tǒng)(如操作系統(tǒng))就構成了網(wǎng)絡服務器系統(tǒng)。網(wǎng)絡服務器系統(tǒng)的數(shù)據(jù)存儲和處理能力均很強，是網(wǎng)絡系統(tǒng)的靈魂。在基于服務器的網(wǎng)絡中，網(wǎng)絡服務器擔負著向客戶機提供信息數(shù)據(jù)、網(wǎng)絡存儲、科學計算和打印等共享資源和服務，并負責協(xié)調(diào)管理這些資源。按照不同的用途，網(wǎng)絡服務器可分為文件服務器、數(shù)據(jù)庫服務器、Internet/Intranet通用服務器、應用服務器等；Internet上的應用服務器有HDCP服務器、Web服務器、FTP服務器、DNS服務器和STMP服務器等。上述服務器主要用于完成一般網(wǎng)絡和Internet上的不同功能。下面主要介紹Web服務器配置、DNS服務器配置和路由器的安全配置內(nèi)容。1．Web服務器的配置與站點管理(1)安裝IIS(2)Web服務器的配置(3)Web站點的管理2．DNS服務器的安裝與配置(1)DN