網(wǎng)絡(luò)信息安全員(高級)-01網(wǎng)絡(luò)設(shè)備的使用和維護

網(wǎng)絡(luò)信息平安管理員高級網(wǎng)絡(luò)平安員培訓第一講網(wǎng)絡(luò)設(shè)備的使用和維護網(wǎng)絡(luò)信息平安技術(shù)交換機

路由器外圍防火墻設(shè)計網(wǎng)絡(luò)設(shè)計指南網(wǎng)絡(luò)信息平安技術(shù)

交換機

路由器外圍防火墻設(shè)計網(wǎng)絡(luò)設(shè)計指南交換機交換機用來將網(wǎng)絡(luò)的物理網(wǎng)段鏈接在一起，并允許數(shù)據(jù)在這些網(wǎng)段之間移動。交換機工作在OSI模型的第2層，根據(jù)第2層地址〔例如以太網(wǎng)MAC地址〕指導數(shù)據(jù)流。某些交換機還提供其他功能，例如VLAN和第3層交換。交換機自動進行自身配置。它們偵聽每個以太網(wǎng)端口的數(shù)據(jù)流，發(fā)現(xiàn)每個連接設(shè)備連接到哪一個端口。然后，交換機直接向目標端口發(fā)送數(shù)據(jù)流。除非需要激活其他功能，否那么，交換機不需要配置，這是安裝網(wǎng)絡(luò)時的一個主要優(yōu)點。交換過程是在線路速度非常高且沒有滯后時間的硬件中執(zhí)行的。交換機網(wǎng)絡(luò)數(shù)據(jù)流包括播送消息，這些消息必須復制到對大型網(wǎng)絡(luò)有重要影響的每個端口。由于大多數(shù)用戶想要與有限的一組效勞器和關(guān)聯(lián)設(shè)備進行通信，所以，可以只在該組中發(fā)送所有播送數(shù)據(jù)流。減少播送數(shù)據(jù)流的一個方法是為每個組提供一個交換機，然后將它們一同鏈接到一個路由器，因為路由器不傳輸播送。另一個方法是在交換機上使用VLAN。VLAN是一組設(shè)備，這些設(shè)備實際位于許多不同的物理LAN網(wǎng)段，但被配置為像連接到同一條線上那樣進行通信。來自VLAN一個成員的播送只發(fā)送給同一VLAN的其他成員，因此降低了播送數(shù)據(jù)流的傳播。交換機和路由器的常見功能可伸縮性高速以太網(wǎng)支持復原能力可管理性IP(VoIP)平安性制造商的支持產(chǎn)品范圍和制造商生存能力本錢性能交換機的特定功能生成樹協(xié)議：生成樹協(xié)議用于計算交換機之間的最正確路徑〔當網(wǎng)絡(luò)中存在多個交換機和多個路徑時〕。只有使用此協(xié)議，才能防止數(shù)據(jù)同時通過多個路徑發(fā)送而導致數(shù)據(jù)重復VLAN支持：VLAN支持可以在任何大小的網(wǎng)絡(luò)上使用，但是在安裝了一些特大型交換機的情況下，特別需要上行鏈路連接性：上行鏈路用于將網(wǎng)絡(luò)中的交換機連接在一起合并：交換機中合并其他功能可以降低本錢和提高可管理性。例如，用于小分支機構(gòu)的低本錢交換機還可以包括路由器和防火墻，甚至可以包括寬帶調(diào)制解調(diào)器低端固定交換機典型功能優(yōu)點缺點不需要配置或配置不可用價格合理：由于這些設(shè)備物理構(gòu)造和功能集合簡單，且有許多制造商激烈競爭，所以這些設(shè)備通常價格低廉。如果它們的缺點可以忽略，它們的每端口價格在所有交換機類別中是最優(yōu)惠的。配置方便：這些設(shè)備通常沒有配置選項，很容易安裝，交換機發(fā)現(xiàn)其環(huán)境并自己進行配置。在遠程站點上安裝時，沒有配置選項是一個優(yōu)點，因為這可以使它免受篡改。不可升級：由于低成本構(gòu)造，當需要更多以太網(wǎng)端口時，這些設(shè)備通常不能升級。沒有配置和可管理性：這些設(shè)備沒有可配置選項，沒有可以啟用管理和監(jiān)視的配置程序。通常，這些設(shè)備安裝在沒有本地技術(shù)支持的小型遠程站點中，所以缺乏監(jiān)視能力可能是嚴重的缺陷。缺乏可配置性的另一結(jié)果是，交換機不支持生成樹協(xié)議或VLAN，這意味著對于大型中央企業(yè)網(wǎng)絡(luò)，此類交換機不是首選。支持有限：通常，此類路由器的支持比較有限，它們多是通過Web站點、FAQ和電子郵件聯(lián)系，沒有任何服務(wù)等級擔保。因為競爭激烈，此類產(chǎn)品的生命周期很短，很多型號常常由于對過時型號的支持減少，而最終離開競爭舞臺。產(chǎn)品保證僅限于更換，但卻并不保證在特定時期有效。如果在保修期后設(shè)備出現(xiàn)故障，對其進行修理則不太經(jīng)濟。由于設(shè)備簡單且成本低廉，這樣的支持等級可被認為足夠了。沒有擴展能力可能不支持生成樹協(xié)議不支持VLAN不能遠程管理有限的制造商支持不支持VoIP成本–低低端可變交換機典型功能優(yōu)點缺點以太網(wǎng)端口可升級性價格合理：這些設(shè)備的每端口成本比第1類交換機高。但是，它們提供更好的管理功能和擴展能力，與更高類別的交換機比較，并不昂貴。可升級性：這些設(shè)備有很多增加以太網(wǎng)端口數(shù)量的方法，可以在基本單元上添加其他端口，也可以通過將其他基本單元直接連接到內(nèi)部總線來附加到現(xiàn)有基本單元。用于連接到其他交換機的上行鏈路端口可以適合各種連接性媒體，包括千兆以太網(wǎng)、光纖或銅線?？膳渲茫哼@些交換機具有配置生成樹協(xié)議和VLAN的能力。因此，這些設(shè)備適于企業(yè)網(wǎng)絡(luò)中使用。這些交換機還支持遠程管理和監(jiān)視。可升級性不靈活：這些設(shè)備通常只能提供有限的以太網(wǎng)端口數(shù)量的增長以及上行鏈路端口功能的有限更改。添加另一堆棧單元將會使端口數(shù)大量增加（即使只需要一些其他端口）。通常，沒有用于添加其他功能（如第3層交換）的選項。缺乏VoIP支持：雖然當前可能不需要VoIP，但是如果組織升級了電話網(wǎng)絡(luò)，則必須具有VoIP支持。幾乎沒有復原能力或復原能力有限：通常，這些交換機幾乎沒有復原能力；如果可用，唯一的復原功能可能是冗余電源。向上鏈路端口靈活性可升級到比第1類交換機更多的以太網(wǎng)端口生成樹協(xié)議可配置性、可管理性和遠程訪問缺乏VoIP支持VLAN支持成本–從低到高中型交換機典型功能優(yōu)點缺點帶有不同大小機架的機架系統(tǒng)單元成本效率：雖然基本中型交換機單元的價格高于低端交換機，隨著端口數(shù)的增長，每端口價格會大幅下降。較大的機架單元更能體現(xiàn)這一點配置簡單：這些設(shè)備具有更復雜的需要配置的功能（如VLAN）。此類交換機除了提供傳統(tǒng)命令行方法之外，通常還提供基于瀏覽器的圖形界面進行配置。相同的工具還可以用來對活動進行遠程管理和監(jiān)視可管理性：由于軟件工具經(jīng)過了改進且硬件進行了特別設(shè)計，此類交換機可以提供更高的可管理性功能。復原能力：隨著交換機端口容量的增長，復原能力越來越重要，此類交換機可以提供可選冗余電源和引擎。伸縮性和長生存周期：由于這些交換機以機架為基礎(chǔ)，所以所有連接性選件都是插件卡。這意味著：在需求發(fā)生變化或新技術(shù)變得很便宜時，單元可以很輕松地升級。這還可以延長交換機的壽命，而較低類別的交換機可能不得不被拋棄。成本較高：雖然這些設(shè)備由于端口密度較高而變得更具成本效率（尤其對于大尺寸的機架），但是這些設(shè)備的基本成本比較低類別高。配置復雜：由于這些設(shè)備有更多的選件，所以配置更復雜（雖然圖形配置工具可以減輕復雜程度）。冗余電源高以太網(wǎng)端口密度可變上行鏈路端口可配置性、可管理性和遠程訪問生成樹協(xié)議VLAN支持VoIP支持第3層交換冗余電源冗余引擎成本–高高端交換機典型功能優(yōu)點缺點機架系統(tǒng)單元成本效率：與第3類交換機相比，此類交換機的基本單元價格很高。但是，隨著單元的擴展和端口密度的提高，每端口成本大幅下降可管理性：像第3交換機一樣，由于軟件工具經(jīng)過改進且硬件工具進行了特殊設(shè)計，此類交換機提供了更高的可管理性功能復原能力：隨著交換機端口容量的增長，復原能力變得越來越重要。此類交換機提供高級的復原能力，包括冗余和熱交換電源、冗余引擎和冗余交換機光纖伸縮性和長生存周期：由于這些交換機以機架為基礎(chǔ)，所以所有連接性選件都是插件卡。這意味著：在需求發(fā)生變化或新技術(shù)變得很便宜時，單元可以很輕松地升級。這還可以延長交換機的壽命，而較低類別的交換機可能不得不被拋棄安全性：此類交換機通常提供高安全性功能，以保護網(wǎng)絡(luò)免受入侵第3-7層交換：此類交換機將第3層交換（路由）作為選件提供。它還提供其他高級功能，例如第4-7層交換、負載平衡和防火墻。將這些功能作為內(nèi)置服務(wù)可以降低成本（與外部單元相比）和提高性能初始成本高：這些基于機架的單元初始成本非常高，因為它包含了組件（如機架、引擎和電源）的成本。當機架的端口較少時，每端口成本特別高。但是，隨著端口密度的增加，每端口價格將下降配置復雜：提供其他功能不可避免地增加了交換機配置的復雜性。需要技術(shù)熟練的工程師對屬于此類的交換機進行配置冗余電源高以太網(wǎng)端口密度可變上行鏈路端口10GB以太網(wǎng)支持可配置性、可管理性和遠程訪問生成樹協(xié)議VLAN支持VoIP支持第3層交換第4-7層交換安全功能冗余電源冗余引擎成本–高交換機平安性在網(wǎng)絡(luò)設(shè)計中，平安性非常重要。設(shè)計者既要控制來自Internet的外部入侵，又要控制有內(nèi)部網(wǎng)絡(luò)訪問權(quán)限的內(nèi)部員工或其他人員發(fā)動內(nèi)部入侵。應注意保護的主要領(lǐng)域有四個：控制通過交換機或路由器入侵控制對交換機或路由器入侵控制交換機或路由器的管理員訪問權(quán)限路由器和交換機的物理保護交換機和路由器是通過網(wǎng)絡(luò)傳輸數(shù)據(jù)包的，它們也是濾除入侵企圖的第一道防線。背后那么是有高級過濾功能的防火墻。這種過濾還應阻止對網(wǎng)絡(luò)設(shè)備本身的攻擊。大多數(shù)交換機和路由器都可重新配置，因此必須實行嚴格的控制，進而限制擁有管理權(quán)限的人員。應特別注意的是：多數(shù)路由器和交換機都存在一些后門訪問方法，它們能避開邏輯平安設(shè)置，因此應將這些設(shè)備物理鎖定以防止這種入侵。交換機平安性本卷須知與路由器類似，你必須確保交換機本身不被重新配置。必須使用平安管理接口，確保交換機已應用了最新的軟件修補程序和更新，控制管理訪問權(quán)限，并提供物理平安性。以下配置類別可幫助你實現(xiàn)交換機的平安配置：修補程序和更新VLAN使用管理訪問控制系統(tǒng)禁用未使用的端口效勞加密網(wǎng)絡(luò)信息平安技術(shù)交換機

路由器

外圍防火墻設(shè)計網(wǎng)絡(luò)設(shè)計指南路由器功能路由協(xié)議WAN鏈接網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)動態(tài)主機配置協(xié)議(DHCP)防火墻虛擬路由器冗余協(xié)議〔VRRP協(xié)議〕虛擬專用網(wǎng)(VPN)軟件路由器典型功能優(yōu)點缺點僅適用于軟件成本低廉：除調(diào)制解調(diào)器之外，此類路由器不需要其他附加硬件單元。隨操作系統(tǒng)一起提供，或通過很低的成本即可獲得。成本低廉是其主要優(yōu)勢，但缺少功能與性能的缺點又使優(yōu)勢變得模糊。配置簡單：通常，完成配置過程僅需打開路由功能。此外，NAT也將與動態(tài)主機配置協(xié)議(DHCP)一同打開，后者會為內(nèi)部網(wǎng)絡(luò)中的每臺計算機自動提供專用地址。性能不穩(wěn)定：路由功能取決于單個計算機的處理能力，這臺計算機一般還要同時處理其他任務(wù)，因此性能受到了限制且不穩(wěn)定。此類路由器主要用于偶爾的Internet訪問，而不是連續(xù)的Internet訪問。雖然足以應對獨立模式下的一臺計算機，但隨著其他計算機的接入或Internet使用率的增加，性能將不斷下降。配置選項有限：由于沒有可用的路由協(xié)議，配置選項幾乎被忽略，可提供的僅是基本的防火墻功能。無復原能力：復原能力受限于路由器軟件所在的計算機的復原能力；通常，這意味著根本沒有復原能力。因此，路由軟件特別容易接受像關(guān)閉計算機這樣的用戶操作。配置簡單內(nèi)置網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)沒有路由協(xié)議不受限于操作系統(tǒng)，成本低廉低端固定路由器典型功能有限的WAN協(xié)議無硬件升級能力RIP路由協(xié)議，或者OSPF性能有限配置通常比較簡單無容錯功能內(nèi)置交換機或集線器內(nèi)置防火墻內(nèi)置NAT/DHCP有限的制造商支持成本—低低端可變路由器典型功能可以升級WAN連接范圍廣泛RIP和OSPF路由協(xié)議VLAN支持VoIP支持無容錯功能內(nèi)置交換機或集線器內(nèi)置防火墻內(nèi)置NAT/DHCP成本–從低到高中型路由器典型功能可以升級WAN連接范圍廣泛性能>40kppsRIP和OSPF路由協(xié)議VLAN和VoIP支持無容錯功能內(nèi)置防火墻VRRP還原協(xié)議內(nèi)置NAT/DHCPVPN支持成本–從低到高高端路由器典型功能基于機架的單元WAN連接范圍廣泛性能>900kppsRIP和OSPF路由協(xié)議VLAN和VoIP支持冗余電源和冗余引擎內(nèi)置防火墻VRRP還原協(xié)議內(nèi)置NAT/DHCPVPN支持成本–高ISP路由器典型功能優(yōu)點缺點基于機架的設(shè)備高性能：此類路由器主要用于超大型企業(yè)、ISP主干或其他邊緣應用。設(shè)備提供的性能極高。伸縮性：此類路由器是基于機架的設(shè)備，可進行大范圍升級。通常，一個機架最多支持16個插槽，而每個葉片則支持多個連接。支持的WAN/LAN協(xié)議廣泛：此類路由器支持幾乎所有的相關(guān)協(xié)議，包括OC192等很多高速WAN協(xié)議。此類路由器的缺點是成本不菲且配置復雜。WAN連接范圍廣泛LAN連接范圍廣泛性能達數(shù)百萬pps強大的擴展能力冗余電源冗余引擎成本–非常高路由器平安性本卷須知修補程序和更新協(xié)議：使用出入過濾、將ICMP數(shù)據(jù)流從內(nèi)部網(wǎng)絡(luò)中屏蔽、阻止跟蹤路由〔如traceroute)、控制播送數(shù)據(jù)流、阻止其他不必要的數(shù)據(jù)流管理訪問：應用強密碼策略、使用管理訪問控制系統(tǒng)、禁用未使用的接口、考慮靜態(tài)路由、關(guān)閉基于Web的配置效勞：必須關(guān)閉不必要的默認效勞審核和日志入侵檢測控制物理訪問網(wǎng)絡(luò)信息平安技術(shù)交換機

路由器

外圍防火墻設(shè)計

網(wǎng)絡(luò)設(shè)計指南外圍防火墻設(shè)計防火墻是一種用于控制兩個網(wǎng)絡(luò)之間的IP通信的機制，通常是在OSI模型的第三層運行的，但是某些型號也可以在更高層運行。防火墻通常會提供以下保護功能：保護內(nèi)部效勞器不會受到網(wǎng)絡(luò)攻擊、執(zhí)行網(wǎng)絡(luò)使用和訪問策略、監(jiān)視通信并在檢測到可疑情況時生成警報。要注意的重要一點是，防火墻只能降低某些類型的平安性危險。防火墻通常無法防止對具有軟件缺陷的效勞器造成的損害。防火墻應該作為一個組織的綜合平安體系結(jié)構(gòu)的一局部進行實現(xiàn)。外部攻擊內(nèi)部攻擊入侵的類型數(shù)據(jù)包嗅探器IP欺騙拒絕效勞攻擊應用程序?qū)庸艟W(wǎng)絡(luò)偵察病毒/特洛伊木馬防火墻功能網(wǎng)絡(luò)適配器輸入篩選器靜態(tài)數(shù)據(jù)包篩選器網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)

狀態(tài)檢查線路層檢查代理應用程序?qū)雍Y選防火墻類別個人防火墻路由器防火墻低端硬件防火墻高端硬件防火墻效勞器防火墻外圍防火墻的選擇設(shè)置外圍防火墻是為了滿足組織邊界之外用戶的需要。這些用戶類型可能包括：信任。組織的員工，如各個分支辦事處工作人員、遠程用戶或者在家工作的用戶。局部信任。組織的業(yè)務(wù)合作伙伴，這類用戶的信任級別比不受信任的用戶高。但是，這類用戶通常又比組織的員工低一個信任級別。不信任。例如，組織公共網(wǎng)站的用戶。防火墻可用性要增加外圍防火墻的可用性，可以將其實現(xiàn)為帶有冗余組件的單個防火墻設(shè)備，或者實現(xiàn)為一個冗余防火墻對，其中結(jié)合一些類型的故障轉(zhuǎn)移和/或負載平衡機制。單個無冗余組件的防火墻單個帶冗余組件的防火墻容錯防火墻容錯防火墻配置單個無冗余組件的防火墻單個無冗余組件的防火墻優(yōu)點缺點成本低：由于只有一個防火墻，所以硬件成本和許可成本都較低。管理簡單：管理工作得到簡化，因為整個站點或企業(yè)只有一個防火墻。單個記錄源：所有通信記錄操作都集中在一臺設(shè)備上。單一故障點：對于出站/入站Internet訪問，存在單一故障點?？赡艽嬖谕ㄐ牌款i：單個防火墻可能是通信瓶頸，具體情況視連接數(shù)量和所需的吞吐量而定。單個帶冗余組件的防火墻單個帶冗余組件的防火墻優(yōu)點缺點成本低：由于只有一個防火墻，所以硬件成本和許可成本都較低。冗余組件的成本不是很高，如電源裝置。管理簡單：管理工作得到簡化，因為整個站點或企業(yè)只有一個防火墻。單個記錄源：所有通信記錄操作都集中在一臺設(shè)備上。單一故障點：根據(jù)冗余組件數(shù)量的不同，對于入站和/或出站Internet訪問仍然可能只有一個故障點。成本：成本比沒有冗余的防火墻高，并且可能還需要更高類別的防火墻才可以添加冗余?？赡艽嬖谕ㄐ牌款i單個防火墻可能是通信的瓶頸，具體情況視連接的數(shù)量和所需的吞吐量而定。容錯防火墻容錯防火墻為每個防火墻配置備用裝置容錯防火墻優(yōu)點缺點容錯：使用成對的服務(wù)器或者設(shè)備有助于提供所需級別的容錯能力。集中記錄日志：所有通信記錄都集中到一對具有很好互連性的設(shè)備。共享會話狀態(tài)：根據(jù)設(shè)備供應商的不同，此級別的防火墻之間可能能夠共享會話狀態(tài)。復雜程度增加：由于網(wǎng)絡(luò)通信的多通路特性，設(shè)置和支持這種類型的解決方案變得更加復雜。配置更復雜：各組防火墻規(guī)則如果配置不正確，可能會導致安全漏洞以及支持問題。容錯防火墻配置實現(xiàn)容錯防火墻集〔通常稱為群集〕時，有兩種主要的方法主動/被動容錯防火墻主動/主動容錯防火墻主動/被動容錯防火墻主動/主動容錯防火墻容錯防火墻配置網(wǎng)絡(luò)信息平安技術(shù)交換機

路由器外圍防火墻設(shè)計網(wǎng)絡(luò)設(shè)計指南網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)中當前有多少設(shè)備？有多少設(shè)備需要連接？預計將來有多大的增長？哪些設(shè)備要與其他設(shè)備進行通信？需要通信的不同設(shè)備之間需要多少帶寬？在網(wǎng)絡(luò)設(shè)計中，什么地方需要交換機〔和路由器〕？是否需要虛擬局域網(wǎng)(VLAN)？如果需要的話，需要多少？在每個VLAN上有哪些主機？是否將在VLAN之間執(zhí)行路由