網絡工程設計關鍵技術

-.z網絡平安設計技術分析摘要以Internet為代表的信息化浪潮席卷全球，信息網絡技術的應用日益普及和深入，伴隨著網絡技術的高速開展，各種各樣的平安問題也相繼出現(xiàn)，校園網被“黑〞或被病毒破壞的事件屢有發(fā)生，造成了極壞的社會影響和巨大的經濟損失，網絡平安日益成為人們關注的焦點。一個好的網絡平安設計往往是多種方法適當綜合的結果。網絡平安設計技術包括IDS網絡平安設計、IPS網絡平安設計、ACL網絡平安設計、VPN網絡平安設計等。關鍵詞防火墻；DMZ設計；網絡平安設計1網絡平安體系與技術1.1IATF網絡平安體系構造IATF〔信息保障技術框架〕標準是美國國家平安局〔NSA〕組織世界平安專家制定的。它從整體和過程的角度對待信息平安問題，代表理論是“深度保護戰(zhàn)略〞。IATF標準強調人、技術和操作3個核心原則，關注4個信息平安保障領域，即保護網絡和根底設施、保護邊界、保護計算環(huán)境和保護支撐根底設施。IATF最重要的設計思想：在網絡中進展不同等級的區(qū)域劃分與網絡邊界保護。1.2TCP/IP各層平安技術網絡平安是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改和泄漏，系統(tǒng)能連續(xù)、可靠地正常運行，網絡效勞不中斷。在TCP/IP體系構造中，各個層次的平安措施有所不同，常用平安技術如表1-1所示。表1-1TCP/IP各個層次常用平安保護技術網絡層次硬件平安保護技術軟件平安保護技術應用層較少，如數據加密機文件加密、數字簽名、平安認證、平安補丁、AAA、病毒防護、防火墻傳輸層SSL加密機、防火墻軟件SSL、TLS、防火墻網絡層防火墻、IDS、IPS、VPN網關、ACL、NAT軟件防火墻、軟件VPN網關、平安認證接口層鏈路加密網卡、鏈路加密機MAC地址綁定、VLAN劃分物理隔離、線路屏蔽、設備屏蔽、設備冗余極少1.3網絡信息加密技術信息加密技術是利用數學或物理手段，對電子信息在傳輸過程中和存儲體內進展保護，以防止泄漏的技術。加密系統(tǒng)是一個復雜的系統(tǒng)，它包括4個組件：軟件組件：負責各功能子系統(tǒng)的協(xié)調和用戶交互；加密算法：根據一定規(guī)則對輸入信息進展加密處理；協(xié)議：加密系統(tǒng)和運行環(huán)境需要；加密密鑰：用戶加密/解密信息所需的鑰匙。常用加密算法有對稱加密；非對稱加密；Hash〔哈?！臣用堋＜用芟到y(tǒng)在網絡中有3個根本的應用：存儲、傳輸和認證。因此，在選擇加密系統(tǒng)應該考慮到網絡的業(yè)務流程和業(yè)務的主要平安威脅，并綜合考慮產品的實現(xiàn)、性價比、部署后產生的影響等因素。例如根據業(yè)務要求選擇加密系統(tǒng)；硬件加密系統(tǒng)和軟件加密系統(tǒng)的選擇；加密系統(tǒng)本身的平安性。2防火墻和DMZ設計2.1防火墻的類型和功能所謂防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。防火墻技術，最初是針對Internet網絡不平安因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不平安因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的。它是一種計算機硬件和軟件的結合，使Internet與Internet之間建立起一個平安網關〔SecurityGateway〕，從而保護內部網免受非法用戶的侵入，防火墻主要由效勞政策、驗證工具、包過濾和應用網關4個局部組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。按照防火墻的應用形式，可分為硬件防火墻和軟件防火墻。硬件防火墻可以是一臺獨立的硬件設備〔如CiscoPI*〕；也可以在一臺路由器上，經過配置成為一臺具有平安功能的防火墻。軟件防火墻是運行在效勞器主機上的一個軟件〔如ISAServer〕。硬件防火墻在功能和性能上都優(yōu)于軟件防火墻，但是本錢較高。防火墻具有以下功能：所有內部網絡和外部網絡之間的數據交換，都可以而且必須經過防火墻。只有符合防火墻平安策略的數據，才可以自由出入防火墻。防火墻受到攻擊后，應能穩(wěn)定有效地工作。應當記錄和統(tǒng)計網絡的使用情況。有效地過濾、篩選和屏蔽有害效勞和數據包。能隔離網絡中的*些網段，防止一個網段的故障傳播到整個網絡。2.2DMZ的功能和平安策略DMZ〔隔離區(qū)/非軍事區(qū)〕的根本構造和功能DMZ設立在非平安系統(tǒng)與平安系統(tǒng)之間的緩沖區(qū)。DMZ的目的是將敏感的內部網絡和提供外部效勞的網絡別離開，為網絡提供深度防御。DMZ平安策略 DMZ的設計根本原則：設計最小權限，例如定義允許的網絡資源和網絡的平安級別；確定可信用戶和可信任區(qū)域；明確各個網絡之間的關系，制定以下平安策略：內網可以外網；內網可以DMZ；外網不能內網；外網可以DMZ；DMZ不能內網；DMZ不能外網。2.3DMZ的網絡構造設計2.3.1單防火墻DMZ 單防火墻DMZ構造將網絡劃分為三個區(qū)域，內網〔LAN〕、外網〔Internet〕和DMZ。DMZ是外網與內網之間附加的一個平安層，這個平安區(qū)域也稱為屏蔽子網、過濾子網等。這種網絡構造構建本錢低，多用于小型企業(yè)網絡設計。如下列圖2-1所示。2-1單防火墻DMZ網絡構造2.3.1雙防火墻DMZ 防火墻通常與邊界路由器協(xié)同工作，邊界路由器是網絡平安的第一道屏障。通常的方法是在路由器中設置數據包過濾和NAT功能，讓防火墻完成特定的端口阻塞和數據包檢查，這樣在整體上提高了網絡性能。另一種雙DMZ網絡構造設計方案如下列圖2-2所示。2-2雙防火墻DMZ網絡構造3網絡平安設計技術3.1IDS網絡平安設計3.1.1IDS〔IDS分為實時入侵檢測和事后入侵檢測。實時入侵檢測在網絡連接過程中進展，IDS發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，實施數據恢復。事后入侵檢測由網絡管理人員定期或不定期進展。入侵檢測系統(tǒng)本質上是一種“嗅探設備〞。3.1.2IDS常用IDS常用檢測方法有：特征檢測、統(tǒng)計檢測與專家系統(tǒng)。經研究說明，國內90%的IDS使用特征檢測方法。特征檢測與計算機病毒檢測方式類似，主要是對數據包進展特征模式匹配，但對于采用新技術和新方法的入侵與攻擊行為則無能為力。統(tǒng)計檢測常用異常檢測。測量參數包括：事件的數量、間隔時間、資源消耗情況等。3.1.2IDS可以串聯(lián)或并聯(lián)的部署在網絡中各個關鍵位置。IDS可以安裝在網絡邊界區(qū)域；效勞器群區(qū)域；網絡主機區(qū)域和網絡核心層。如圖3-1所示。3-1IDS在網絡中的位置3.2IPS網絡平安設計3.2.1IPS〔入侵防御系統(tǒng)〕不但能檢測入侵的發(fā)生，而且能實時終止入侵行為。IPS一般部署在網絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。3.2.2IDS設備在網絡中采用旁路式連接；IPS在網絡中采用串接式連接。串接工作模式保證所有網絡數據都必須經過IPS設備，IPS檢測數據流中的惡意代碼，核對策略，在未轉發(fā)到效勞器之前，將信息包或數據流阻截。IPS是網關型設備，最好串接在網絡出口處，IPS經常部署在網關出口的防火墻和路由器之間，監(jiān)控和保護內部網絡。IPS在網絡拓撲構造中的部署如圖3-2所示。3-2IDS和IPS在網絡中的混用3.3ACL網絡平安技術3.3.1AACL是網絡設備處理數據包轉發(fā)的一組規(guī)則。ACL采用包過濾技術，在路由器中讀取第三層和第四層數據包**中的信息，如源地址、目的地址、源端口、目的端口等，然后根據網絡工程師預先定義好的ACL規(guī)則，對數據包進展過濾，從而到達控制的目的。3.3.2AACL配置遵循以下原則。〔1〕最小權限原則。只滿足ACL局部條件的數據包不允許通過?！?〕最靠近受控對象原則。標準ACL盡可能放置在靠近目的地址的地方；擴展ACL盡量放置在靠近源地址的地方。〔3〕立即終止原則。〔4〕默認丟棄原則。如果數據包與所有ACL行都不匹配，將被丟棄。5〕單一性原則。一個接口在一個方向上只能有一個ACL?！?〕默認設置原則。路由器或三層交換機在沒有配置ACL的情況下，默認允許所有數據包通過。防火墻在在沒有配置ACL的情況下，默認不允許所有數據包通過。標準ACL配置1〕創(chuàng)立ACL命令格式：Router(config)*access-list<ACL表號>{permit|deny}{<源IP地址|host><通配符掩碼>|any}〔2〕將ACL應用到*一接口命令格式：Router(config-if)*{protocol}access-group<ACL表號>{in|out}擴展ACL配置標準ACL只能控制源IP地址，不能控制到端口。要控制第四層的端口，需要使用擴展ACL配置。如果路由器沒有硬件ACL加速功能，它會消耗路由器大量的CPU資源，因此擴展ACL要盡量放置在靠近源地址的地方。命令格式：Router(config)*access-list<ACL表號>{permit|deny}{<協(xié)議名稱>|<端口號>}{<源IP地址><通配符掩碼>}{<目的IP地址><通配符掩碼>}[<關系><協(xié)議名稱>][log]3.4VPN網絡平安設計3.4.1VPN的定義為使用IP機制仿真出一個私有的廣域網。VPN通過私有隧道技術，在公共數據網絡上仿真一條點到點的專線。虛擬是指用戶不需要擁有實際的長途數據線路，而是利用Internet的數據傳輸線路；專用網絡是指用戶可以制定一個最符合自己需求的網絡。VPN是在Internet上臨時建立的平安專用虛擬網絡。3.4.2隧道是一種數據加密傳輸技術。數據包通過隧道進展平安傳輸。被封裝的數據包在隧道的兩個端點之間通過Internet進展路由。被封裝的數據包在公共互聯(lián)網上傳遞時所經過的邏輯路徑稱為隧道。數據包一旦到達隧道終點，將被解包并轉發(fā)到最終目的主機。4網絡物理隔離設計4.1網絡隔離的技術特點我國?計算機信息系統(tǒng)國際聯(lián)網**管理規(guī)定?規(guī)定：涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網或其他公共信息網絡相連接，必須實行物理隔離。網絡物理隔離卡確保了計算機在同一時間只能一個網絡，兩個網絡在同一時間內不會有任何連接。4.2網絡物理隔離工作原理單主板平安隔離計算機工作原理：采用雙硬盤，將內網與外網的轉換功能嵌入在主板BIOS中。主板網卡也分為內網和外網。價格介于雙主機和網絡物理隔離卡之間雙主板平安隔離計算機 每臺計算機有兩塊主板，每塊主板一個網卡，分別連接內網和外網。每塊主板有一個串行口，雙端口RAM是連接兩塊主板的唯一通道。4.3平安隔離網閘工作原理GAP〔平安隔離網閘〕通過專用硬件和軟件技術，使兩個或者兩個以上的網絡在不連通的情況下，實現(xiàn)數據平安傳輸和資源共享?！?〕當內網數據傳輸到外網時，GAP向內網效勞器發(fā)起非TCP/IP的數據連接請求，并發(fā)出“寫〞命令，將GAP寫入控制開關合上，并把所有協(xié)議剝離，將原始數據寫入存儲介質?！?〕一旦數據完全寫入GAP存儲介質中，GAP與內網效勞器之間的控制開關立即斷開。(3)接下來GAP與外網效勞器之間的控制開關接通，GAP發(fā)起對外網非TCP/IP的數據連接請求。(4)外網效勞器收到請求后，發(fā)出“讀〞命令，將GAP存儲介質內的數據傳輸到外網效勞器?！?〕外網效勞器收到數據后，按TCP/IP協(xié)議要求重新封裝接收到的數據，交給應用系統(tǒng)。如圖4-1所示。4-1平安隔離工作原理5總結網絡平安是網絡設計中的關鍵技術，隨著網絡的普及和網絡技術的飛速開展，網絡已經深入人們生活的各個領域，成為現(xiàn)實生活的一局部。網絡為我們帶來了更多的便利，使信息的處理和傳遞突破了時間和地域的限制。然而，隨之而來的，也有更多的網絡威脅，使我們的網絡變得更加脆弱?？偠灾?，計算機網絡信息平安的防御問題將是一個綜合性且長期性的課題，涉及技術、管理、使用等許多方面。既包括計算機系統(tǒng)本身的平安問題，也有物理的和輯的技術措施問題。雖然現(xiàn)在用于網絡信息平安的產品有很多，比方有防火墻、入侵檢測系統(tǒng)，但是依舊不可能防止黑客或其他軟件的惡意入侵。計算機網絡信息的平安防