網(wǎng)絡(luò)設(shè)備的安全與應(yīng)用實(shí)踐

第2章

網(wǎng)絡(luò)設(shè)備的安全與應(yīng)用實(shí)踐物理安全；路由器安全；交換機(jī)安全；服務(wù)器安全；客戶機(jī)安全。2.1物理安全

計(jì)算機(jī)系統(tǒng)無論是硬件還是軟件都不可避免存在發(fā)生故障的可能，但并不是發(fā)生故障就一定意味著該系統(tǒng)完全失效。計(jì)算機(jī)系統(tǒng)大多擁有“容錯(cuò)”能力，即允許存在某些錯(cuò)誤，盡管系統(tǒng)硬件有故障或程序有錯(cuò)誤，仍能正確執(zhí)行特定算法和提供系統(tǒng)服務(wù)。2.1.1網(wǎng)絡(luò)的冗余安全采用“冗余技術(shù)”是實(shí)現(xiàn)計(jì)算機(jī)容錯(cuò)的主要手段；冗余設(shè)計(jì)的目的是：系統(tǒng)運(yùn)行不受局部故障的影響，故障部件的維護(hù)對整個(gè)系統(tǒng)的功能實(shí)現(xiàn)沒有影響，并可以實(shí)現(xiàn)在線維護(hù)，使故障部件得到及時(shí)的修復(fù)；系統(tǒng)的可用性指標(biāo)可以用兩個(gè)參數(shù)進(jìn)行簡單的描述：一個(gè)是平均無故障時(shí)間(MTBF)，MTBF一般指產(chǎn)品在兩次故障之間的平均時(shí)間間隔，是產(chǎn)品的平均壽命的指標(biāo)之一；另一個(gè)是平均修復(fù)時(shí)間(MTBR)，MTTR一般指產(chǎn)品的故障維修所需的平均修復(fù)時(shí)間，是產(chǎn)品可維修性的衡量指標(biāo)，MTTR越短表示易恢復(fù)性越好。網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)的冗余鏈路供電系統(tǒng)的冗余機(jī)房設(shè)備屬于一級負(fù)荷，按一級負(fù)荷的供電要求必須保證兩個(gè)以上獨(dú)立的電源點(diǎn)供電；對于城市供電而言相對比較穩(wěn)定，一般不會(huì)長時(shí)間停電，如果停電也將是區(qū)域性停電，因此可考慮使用UPS作為備份電源，采用市電+UPS后備電池相結(jié)合的供電方式。電源保護(hù)

為計(jì)算機(jī)信息系統(tǒng)設(shè)備的可靠運(yùn)行提供能源保障，例如使用不間斷電源、紋波抑制器、電源調(diào)節(jié)軟件等?？蓺w納為兩個(gè)方面：對工作電源的工作連續(xù)性的保護(hù)（如不間斷電源UPS，UninterruptiblePowerSupply）；對工作電源的工作穩(wěn)定性的保護(hù)（如紋波抑制器）。2.1.2網(wǎng)絡(luò)設(shè)備的冗余核心交換機(jī)冗余

核心交換機(jī)中電源模塊的故障率相對較高，為了保證核心交換機(jī)的正常運(yùn)行，一般考慮在核心交換機(jī)上增配一塊電源模塊，實(shí)現(xiàn)該部件的冗余；服務(wù)器冗余

采用配置兩臺(tái)DHCP服務(wù)器來動(dòng)態(tài)地給客戶機(jī)分配IP地址，為了保證系統(tǒng)的可靠性，還可采用部件冗余技術(shù)、RAID技術(shù)；存儲(chǔ)設(shè)備冗余

選擇刻錄光驅(qū)、磁帶機(jī)、磁盤陣列等設(shè)備冗余；網(wǎng)絡(luò)邊界設(shè)備冗余8雙機(jī)容錯(cuò)與集群系統(tǒng)雙機(jī)容錯(cuò)系統(tǒng)雙機(jī)容錯(cuò)系統(tǒng)通過軟硬件的緊密配合，將兩臺(tái)獨(dú)立服務(wù)器在網(wǎng)絡(luò)中表現(xiàn)為單一的系統(tǒng)，提供給客戶一套具有單點(diǎn)故障容錯(cuò)能力，且性價(jià)比優(yōu)越的用戶應(yīng)用系統(tǒng)運(yùn)行平臺(tái)。雙機(jī)容錯(cuò)技術(shù)能夠自動(dòng)檢測應(yīng)用或服務(wù)器故障，并可將其在另一臺(tái)可用的服務(wù)器上快速重新啟動(dòng)；而用戶只會(huì)覺察到瞬間的服務(wù)暫停。。91.雙機(jī)互備援（DualActive）基本簡介

所謂雙機(jī)熱備互援就是兩臺(tái)主機(jī)均為工作機(jī)，在正常情況下，兩臺(tái)工作機(jī)均為信息系統(tǒng)提供支持，并互相監(jiān)視對方的運(yùn)行情況。當(dāng)一臺(tái)主機(jī)出現(xiàn)異常時(shí)，不能支持信息系統(tǒng)正常運(yùn)營，另一主機(jī)則主動(dòng)接管異常機(jī)的工作，繼續(xù)主持信息的運(yùn)營，從而保證信息系統(tǒng)能夠不間斷的運(yùn)行，而達(dá)到不停機(jī)的功能。102.雙機(jī)熱備份（HotStandby）基本簡介

所謂雙機(jī)熱備份就是一臺(tái)主機(jī)為工作機(jī)，另一臺(tái)主機(jī)為備份機(jī)，在系統(tǒng)正常情況下，工作機(jī)為信息系統(tǒng)提供支持，備份機(jī)監(jiān)視工作機(jī)的運(yùn)行情況。當(dāng)工作機(jī)出現(xiàn)異常，不能支持信息系統(tǒng)運(yùn)營時(shí)，備份機(jī)主動(dòng)接管工作機(jī)的工作，繼續(xù)支持信息的運(yùn)營，從而保證信息系統(tǒng)能夠不間斷的運(yùn)行。11集群群系系統(tǒng)統(tǒng)集群群，，英英文文名名稱稱為為Cluster，通通俗俗地地說說，，集集群群是是這這樣樣一一種種技技術(shù)術(shù)：：它它至至少少將將兩兩個(gè)個(gè)系系統(tǒng)統(tǒng)連連接接到到一一起起，，使使多多臺(tái)臺(tái)服服務(wù)務(wù)器器能能夠夠像像一一臺(tái)臺(tái)機(jī)機(jī)器器那那樣樣工工作作或或者者看看起起來來好好像像一一臺(tái)臺(tái)機(jī)機(jī)器器。。用用戶戶從從來來不不會(huì)會(huì)意意識識到到集集群群系系統(tǒng)統(tǒng)底底層層的的節(jié)節(jié)點(diǎn)點(diǎn)，，在在他他/她們們看看來來，，集集群群是是一一個(gè)個(gè)系系統(tǒng)統(tǒng)，，而而非非多多個(gè)個(gè)計(jì)計(jì)算算機(jī)機(jī)系系統(tǒng)統(tǒng)。。并并且且集集群群系系統(tǒng)統(tǒng)的的管管理理員員可可以以隨隨意意增增加加和和刪刪改改集集群群系系統(tǒng)統(tǒng)的的節(jié)節(jié)點(diǎn)點(diǎn)。。采采用用集集群群系系統(tǒng)統(tǒng)通通常常是是為為了了提提高高系系統(tǒng)統(tǒng)的的穩(wěn)穩(wěn)定定性性和和網(wǎng)網(wǎng)絡(luò)絡(luò)中中心心的的數(shù)數(shù)據(jù)據(jù)處處理理能能力力及及服服務(wù)務(wù)能能力力。。12集群群系系統(tǒng)統(tǒng)在集集群群系系統(tǒng)統(tǒng)中中，，所所有有的的計(jì)計(jì)算算機(jī)機(jī)擁擁有有一一個(gè)個(gè)共共同同的的名名稱稱，，集集群群內(nèi)內(nèi)任任一一系系統(tǒng)統(tǒng)上上運(yùn)運(yùn)行行的的服服務(wù)務(wù)可可被被所所有有的的網(wǎng)網(wǎng)絡(luò)絡(luò)客客戶戶所所使使用用。。集集群群必必須須可可以以協(xié)協(xié)調(diào)調(diào)管管理理各各分分離離組組件件的的錯(cuò)錯(cuò)誤誤和和失失敗敗，，若若其其中中一一臺(tái)臺(tái)服服務(wù)務(wù)器器失失效效，，其其它它的的服服務(wù)務(wù)器器就就會(huì)會(huì)接接管管這這臺(tái)臺(tái)服服務(wù)務(wù)器器所所運(yùn)運(yùn)行行的的應(yīng)應(yīng)用用，，并并將將共共享享磁磁盤盤柜柜上上的的相相應(yīng)應(yīng)數(shù)數(shù)據(jù)據(jù)區(qū)區(qū)接接管管過過來來。。其其接接管管過過程程如如下下圖圖所所示示磁盤盤陣陣列列存存儲(chǔ)儲(chǔ)器器的的編編碼碼容容錯(cuò)錯(cuò)方方案案廉價(jià)價(jià)冗冗余余磁磁盤盤陣陣列列RAID（RedundentArrayofInexpensiveDisks）是是由由美美國國加加州州大大學(xué)學(xué)伯伯克克利利分分校校的的D.A.Patterson教授授在在1988年提提出出的的。。也也簡簡稱稱為為““磁磁盤盤陣陣列列””。。RAID將一一組組磁磁盤盤驅(qū)驅(qū)動(dòng)動(dòng)器器用用某某種種邏邏輯輯方方式式聯(lián)聯(lián)系系起起來來，，作作為為邏邏輯輯上上的的一一個(gè)個(gè)磁磁盤盤驅(qū)驅(qū)動(dòng)動(dòng)器器來來使使用用。。一一般般情情況況下下，，組組成成的的邏邏輯輯磁磁盤盤驅(qū)驅(qū)動(dòng)動(dòng)器器的的容容量量要要小小于于各各個(gè)個(gè)磁磁盤盤驅(qū)驅(qū)動(dòng)動(dòng)器器容容量量的的總總和和。。RAID一般是在在SCSI或SATA磁盤接口口實(shí)現(xiàn)的的。RAID提供了服務(wù)器器中接入多個(gè)個(gè)磁盤（專指指硬盤）時(shí)，，以磁盤陣列列方式組成一一個(gè)超大容量量、響應(yīng)速度度快、可靠性性高的存儲(chǔ)子子系統(tǒng)。通過過對數(shù)據(jù)分塊塊和交叉存儲(chǔ)儲(chǔ)兩項(xiàng)技術(shù)的的使用，使CPU實(shí)現(xiàn)通過硬件件方式對數(shù)據(jù)據(jù)的分塊控制制和對磁盤陣陣列中數(shù)據(jù)的的并行調(diào)度等等功能。使用用RAID可大大加快磁磁盤的訪問速速度，縮短磁磁盤讀寫的平平均排隊(duì)與等等待時(shí)間，并并以并行方式式在多個(gè)硬盤盤驅(qū)動(dòng)器上工工作，被系統(tǒng)統(tǒng)視作一個(gè)單單一的硬盤，，以冗余技術(shù)術(shù)增加其可靠靠性，以多個(gè)個(gè)低成本磁盤盤構(gòu)成磁盤子子系統(tǒng)，提供供比單一硬盤盤更完備的可可靠性和高性性能，目前工工業(yè)界公認(rèn)的的標(biāo)準(zhǔn)是RAID0-RAID6。RAID被廣泛地應(yīng)用用在服務(wù)器體體系中。RAID的優(yōu)點(diǎn)包括以以下幾點(diǎn)：一是成本低，，功耗小，傳傳輸速率高。。在RAID中，可以讓很很多磁盤驅(qū)動(dòng)動(dòng)器同時(shí)傳輸輸數(shù)據(jù)，而這這些磁盤驅(qū)動(dòng)動(dòng)器在邏輯上上又是一個(gè)磁磁盤驅(qū)動(dòng)器，，所以使用RAID可以達(dá)到單個(gè)個(gè)的磁盤驅(qū)動(dòng)動(dòng)器幾倍、幾幾十倍甚至上上百倍的速率率。二是可以提供供容錯(cuò)功能。。這是使用RAID的第二個(gè)原因因，因?yàn)槠胀ㄍù疟P驅(qū)動(dòng)器器無法提供容容錯(cuò)功能，RAID的容錯(cuò)是建立立在每個(gè)磁盤盤驅(qū)動(dòng)器的硬硬件容錯(cuò)功能能之上的，所所以它提供更更高的安全性性。三是在同樣的的容量下，RAID比起傳統(tǒng)的大大直徑磁盤驅(qū)驅(qū)動(dòng)器來，價(jià)價(jià)格要低許多多。2.2路由器安全與與應(yīng)用實(shí)踐路由器是網(wǎng)絡(luò)絡(luò)的神經(jīng)中樞樞，是眾多網(wǎng)網(wǎng)絡(luò)設(shè)備的重重要一員；廣域網(wǎng)就是靠靠一個(gè)個(gè)路由由器連接起來來組成的；路由器對網(wǎng)絡(luò)絡(luò)的應(yīng)用和安安全具有極重重要的地位。2.2.1路由協(xié)議與訪訪問控制路由選擇及協(xié)協(xié)議路由選擇是根根據(jù)一定的原原則和算法在在多節(jié)點(diǎn)的通通信子網(wǎng)中選選擇一條從源源節(jié)點(diǎn)到目的的節(jié)點(diǎn)的最佳佳路徑；路由選擇算法法可分為靜態(tài)態(tài)路由選擇算算法和動(dòng)態(tài)路路由選擇算法法兩大類；在路由器上利利用路由選擇擇協(xié)議主動(dòng)交交換路由信息息，建立路由由表并根據(jù)路路由表轉(zhuǎn)發(fā)分分組。路由表表可分為靜態(tài)路由表和動(dòng)態(tài)路由表；在現(xiàn)代網(wǎng)絡(luò)中中，廣泛采用用的是動(dòng)態(tài)路路由算法。在在動(dòng)態(tài)路由選選擇算法中，，應(yīng)用分布式路由選選擇算法。在該類算法中中，最常用的的是距離向量量路由選擇算算法和鏈路狀狀態(tài)路由選擇擇算法。前者者經(jīng)過改進(jìn)，，成為目前廣廣泛應(yīng)用的路路由信息協(xié)議議，后者則發(fā)展成成為開放式最最短路徑優(yōu)先先協(xié)議。路由器訪問控控制列表(ACL)ACL是CiscoIOS所提供的一種種訪問控制技技術(shù)；ACL技術(shù)是一種基基于包過濾的的流控制技術(shù)術(shù)。ACL在路由器上讀讀取第三層及及第四層包頭頭中的信息（（如源地址、、目的地址、、源端口、目目的端口等）），根據(jù)預(yù)先先定義好的規(guī)規(guī)則對包進(jìn)行行過濾，從而而達(dá)到訪問控控制的目的；ACL有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL兩種。這兩種類型的的ACL都可以基于序序列號和命名名進(jìn)行配置。配置ACL要注意兩點(diǎn)，，一是ACL只能過濾流經(jīng)經(jīng)路由器的流流量，對路由由器自身發(fā)出出的數(shù)據(jù)包不不起作用；二二是一個(gè)ACL中至少有一條條允許語句。2.2.2虛擬路由器冗冗余協(xié)議（VRRP）VRRP協(xié)議VRRP是一種選擇協(xié)協(xié)議，它可以以把一個(gè)虛擬擬路由器的責(zé)責(zé)任動(dòng)態(tài)分配配到局域網(wǎng)上上的VRRP路由器中；使用VRRP，可以通過手手動(dòng)或DHCP設(shè)定一個(gè)虛擬擬IP地址作為默認(rèn)認(rèn)路由器。虛虛擬IP地址在路由器器間共享，控控制虛擬路由由器IP地址的VRRP路由器稱為主主路由器，其其它的則為備備份路由器。。主路由器負(fù)負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)據(jù)包到這些虛虛擬IP地址；VRRP協(xié)議中優(yōu)先級級范圍是0-255。若VRRP路由器的IP地址和虛擬擬路由器的的接口IP地址相同，，則稱該虛虛擬路由器器作VRRP組中的IP地址所有者者；為了保證VRRP協(xié)議的安全全性，提供供了明文認(rèn)認(rèn)證和IP頭認(rèn)證兩種種安全認(rèn)證證措施。VRRP是一種容錯(cuò)錯(cuò)協(xié)議，它它為具有多多播或廣播播能力的局局域網(wǎng)而設(shè)設(shè)計(jì)。VRRP將局域網(wǎng)的的一組路由由器（包括括一個(gè)主路路由器和若若干個(gè)備份份路由器））組織成一一個(gè)虛擬路路由器，稱稱之為一個(gè)個(gè)備份組；虛擬路由器器擁有自己己的IP地址，備份組內(nèi)內(nèi)的路由器器也有自己己的IP地址（如Master的IP地址為，Backup的IP地址為）。局域網(wǎng)網(wǎng)內(nèi)的主機(jī)機(jī)僅僅知道道這個(gè)虛擬擬路由器的的IP地址而并不不知道具體體的Master路由器的IP地址以及Backup路由器的IP地址，它們們將自己的的缺省路由由下一跳地地址設(shè)置為為該虛擬路路由器的IP地址。于是是，網(wǎng)絡(luò)內(nèi)內(nèi)的主機(jī)就就通過這個(gè)個(gè)虛擬的路路由器來與與其它網(wǎng)絡(luò)絡(luò)進(jìn)行通信信。Linux下的VRRP組件在Linux操作系統(tǒng)下下可以實(shí)現(xiàn)現(xiàn)非常穩(wěn)定定的VRRP功能，實(shí)現(xiàn)現(xiàn)該功能的的軟件是keepalived。Keepalived的VRRP功能是從Linux中VRRPD發(fā)展而來的的。Keepalived的安裝openssl的安裝popt的安裝popt的安裝安裝keepalived安裝keepalived2.2.3路由器安全全配置與應(yīng)應(yīng)用實(shí)踐路由器的自自身安全；路由器訪問問控制的安安全策略；路由協(xié)議的的安全配置置；路由器的的網(wǎng)絡(luò)安安全配置置；禁止路由由器的部部分網(wǎng)絡(luò)絡(luò)服務(wù)的的安全配配置；路由器實(shí)實(shí)現(xiàn)多設(shè)設(shè)備控制制端口訪訪問的配配置；實(shí)現(xiàn)精確確控制訪訪問的路路由器配配置；路由器的的其他安安全配置置。路由器的的自身安安全用戶口令令安全全局配置置模式下下使用命命令servicepassword-encryption進(jìn)行配置置，該命命令可將將明文密密碼變?yōu)闉槊芪拿苊艽a，保保證用戶戶口令的的安全；配置登錄錄安全路由器的的配置一一般有控控制口（（Console）配置、、Telnet配置和SNMP配置三種種方法，為了保證證使用Telnet配置路由由器的安安全，僅僅讓路由由器管理理員的工工作站登登錄而不不讓其他他機(jī)器登登錄到路路由器，，以保證證路由器器配置的的安全。路由器訪訪問控制制的安全全策略嚴(yán)格控制制可以訪訪問路由由器的管管理員；；對路由由器的任任何一次次維護(hù)都都需要記記錄備案案，要有有完備的的路由器器的安全全訪問和和維護(hù)記記錄日志志；建議不要要遠(yuǎn)程訪訪問路由由器；要嚴(yán)格地地為IOS（Cisco網(wǎng)際操作作系統(tǒng)））作安全全備份，，及時(shí)升升級和修修補(bǔ)IOS軟件，并并迅速為為IOS安裝補(bǔ)丁丁；要為路由由器的配配置文件件作安全全備份；為路由器器配備UPS設(shè)備，或或者至少少要有冗冗余電源源。為進(jìn)入特特權(quán)模式式設(shè)置強(qiáng)強(qiáng)壯的密密碼，可可采用enablesecret（不要采用用enablepassword）命令進(jìn)行行設(shè)置，并并且啟用Servicepassword-encryption；嚴(yán)格控制CON端口的訪問問；如果不使用用AUX端口，則應(yīng)應(yīng)禁止該端端口，使用用如下命令令即可（默默認(rèn)情況下下是未被啟啟用）；若要對權(quán)限限進(jìn)行分級級，采用權(quán)權(quán)限分級策策略。路由協(xié)議的的安全配置置RIP路由協(xié)議驗(yàn)驗(yàn)證OSPF路由協(xié)議驗(yàn)驗(yàn)證OSPF有三種認(rèn)證證方法，簡簡單口令認(rèn)認(rèn)證、MD5認(rèn)證和Null認(rèn)證。在缺缺省時(shí)OSPF使用Null認(rèn)證，也就就是路由交交換不通過過認(rèn)證EIGRP路由協(xié)議的的驗(yàn)證EIGRP協(xié)議僅僅支支持MD5認(rèn)證。認(rèn)證證的配置有有三個(gè)步驟驟，一是在在端口配置置模式使MD5認(rèn)證模式生生效，二是是密鑰鏈要要一致，三三是給密鑰鑰鏈配置密密鑰。簡單網(wǎng)管協(xié)協(xié)議SNMP的安全路由器的網(wǎng)網(wǎng)絡(luò)安全配配置物理結(jié)構(gòu)的的布局如果路由器器有一個(gè)以以上的局域域網(wǎng)端口，，或幾臺(tái)路路由器并行行使用，可可以根據(jù)訪訪問性質(zhì)進(jìn)進(jìn)行分類；路由器的簡簡單防火墻墻功能常用的路由由器一般都都有訪問控控制列表ACL（AccessList），即包過過濾防火墻墻功能。訪訪問列表可可用于入口口（Inbound），也可用用于出口（（Outbound）。它可對對源IP地址和目的的IP地址以及協(xié)協(xié)議端口號號進(jìn)行過濾濾，用它可可以控制哪哪些網(wǎng)絡(luò)可可以訪問什什么服務(wù)器器資源。禁止路由器器的部分網(wǎng)網(wǎng)絡(luò)服務(wù)的的安全配置置禁止Finger服務(wù)Router(config)#noipfingerRouter(config)#noservicefinger禁止TCP、UDPSmall服務(wù)Router(config)#noservicetcp-small-serversRouter(config)#noserviceudp-small-servers建議禁止HTTP服務(wù)Router(config)#noiphttpserver禁止IPSourceRoutingRouter(config)#noipsource-route禁止ARP-Proxy服務(wù)Router(config)#noipproxy-arpRouter(config-if)#noipproxy-arp禁止IPDirectedBroadcastRouter(config)#noipdirected-broadcast禁止IPClasslessRouter(config)#noipclassless禁止ICMP協(xié)議的IPUnreachables、IPRedirects和IPMaskReplieRouter(config)#noipunreachablesRouter(config)#noipRedirectsRouter(config)#noipMaskReplies路由器實(shí)現(xiàn)現(xiàn)多設(shè)備控控制端口訪訪問的配置置開始配置先用Cisco2511路由器的一一個(gè)異步串串行端口連連接到用戶戶的網(wǎng)絡(luò)核核心交換機(jī)機(jī)、路由器器和防火墻墻的每一個(gè)個(gè)端口（這這些設(shè)備各各自同樣需需要具備串串行控制口口）；然后后再按照iphost命令對新的的Cisco終端服務(wù)器器進(jìn)行配置置；管理多個(gè)連連接在命令行中中輸入主機(jī)機(jī)名稱，即即使用一個(gè)個(gè)IP主機(jī)Telnet到用戶配置置過的設(shè)備備上，這是是1號連接。在在沒有斷開開連接的情情況下回到到命令行，，按下[Ctrl]＋[Shift]＋6，然后按下下x，將顯示控控制臺(tái)服務(wù)務(wù)器提示符符。相同方法進(jìn)進(jìn)行2號連接；輸入showsessions命令，可列列出用戶當(dāng)當(dāng)前的會(huì)話話。假設(shè)用用戶有兩個(gè)個(gè)會(huì)話：一一個(gè)到第一一臺(tái)路由器器，一個(gè)到到第二臺(tái)路路由器。如如果要取消消其中某個(gè)個(gè)會(huì)話，可可輸入disconnectX，X為（“1”或“2”）。若要轉(zhuǎn)轉(zhuǎn)到某個(gè)會(huì)會(huì)話，輸入入sessionnumber（“1”或“2”）即可。實(shí)現(xiàn)精確控控制訪問的的路由器配配置路由器設(shè)置置(1)在路由器上上指定可訪訪問外界的的IP地址該步驟是通通過設(shè)置路路由器上的的IP訪問限制實(shí)實(shí)現(xiàn)的，在在E0端口（局域域網(wǎng)端口））上添加一一個(gè)訪問列列表（access-list），只有指指定了的IP地址允許進(jìn)進(jìn)入；(2)禁止外界訪訪問內(nèi)部的的Telnet和FTP端口在E0端口上添加加一個(gè)訪問問列表，禁禁止進(jìn)入20、21和23端口（20和21為FTP端口，23為Telnet端口）；(3)防止授權(quán)IP地址的盜用用在路由器上上建立一個(gè)個(gè)靜態(tài)ARP；(4)在EXEC命令態(tài)下用用copyrunstart命令保存所所做的修改改映射表工作站配置置(1)進(jìn)入“開始”→“設(shè)置”→“網(wǎng)絡(luò)連接”→“本地連接”，點(diǎn)擊“屬性”后進(jìn)入“本地連接屬屬性”。(2)選定“TCP/IP協(xié)議”（如圖2.3所示），雙雙擊之或點(diǎn)點(diǎn)擊“屬性”按鈕，出現(xiàn)現(xiàn)“TCP/IP屬性”窗口，如圖圖2.4所示。(3)選定“使用下面的的IP地址”，在“IP地址”和“子網(wǎng)掩碼”框中填寫IP地址（本例例為1）和子網(wǎng)掩掩碼（）。(4)在“網(wǎng)關(guān)”項(xiàng)中，將路路由器的E0地址（本例例為）填入，作作為默認(rèn)網(wǎng)網(wǎng)關(guān)。這一一步對于能能訪問外界界機(jī)器至關(guān)關(guān)重要，因因?yàn)樵诰钟蛴蚓W(wǎng)中，路路由器是與與外界相連連的唯一出出口。(5)選定“使用下面的的DNS服務(wù)器地址址”項(xiàng)，填寫“首選DNS服務(wù)器”和“備用DNS服務(wù)器”。(6)最后單擊“確定”按鈕，重新新啟動(dòng)計(jì)算算機(jī)路由器的其其他安全配配置IP欺騙的簡單單防護(hù)為防止對內(nèi)內(nèi)部網(wǎng)絡(luò)的的IP欺騙，可過過濾這樣一一些IP地址，如：Router(config)#access-list100denyip55anylog；TCPSYN的防范防護(hù)護(hù)通過訪問列列表防范TCPSYN；通過TCP截獲防范TCPSYN；Smurf進(jìn)攻的防范范Router(config)#access-list108denyipanyhost55/0logDDoS攻擊的防范范！TheTrinooDDossystemRouter(config)#access-list113denytcpanyanyeq27665logRouter(config)#access-list113denyudpanyanyeq31335logRouter(config)#access-list113denyudpanyanyeq27444log!TheStacheldtrahtDDossystemRouter(config)#access-list113denytcpanyanyeq16660logRouter(config)#access-list113denytcpanyanyeq65000log!TheTrinityV3systemRouter(config)#access-list113denytcpanyanyeq33270logRouter(config)#access-list113denytcpanyanyeq39168log!TheSubsevenDDossystemandsomeVariantsRouter(config)#access-list113denytcpanyanyrange67116712log2.3交換機(jī)安全全與應(yīng)用實(shí)實(shí)踐2.3.1交換機(jī)安全全交換機(jī)是一一種基于MAC(網(wǎng)卡的硬件件地址)識別，能完完成封裝轉(zhuǎn)轉(zhuǎn)發(fā)數(shù)據(jù)包包功能的網(wǎng)網(wǎng)絡(luò)設(shè)備；交換機(jī)可以以“學(xué)習(xí)”MAC地址，并把把其存放在在內(nèi)部地址址表中，通通過在數(shù)據(jù)據(jù)幀的源發(fā)發(fā)送者和目目標(biāo)接收者者之間建立立臨時(shí)的交交換路徑，，使數(shù)據(jù)幀幀由源地址址到達(dá)目的的地址；傳統(tǒng)交換機(jī)機(jī)主要用于于數(shù)據(jù)包的的快速轉(zhuǎn)發(fā)發(fā)，強(qiáng)調(diào)轉(zhuǎn)轉(zhuǎn)發(fā)性能。交換機(jī)基礎(chǔ)礎(chǔ)交換機(jī)功能能；交換機(jī)的地地址“學(xué)習(xí)”；交換機(jī)的轉(zhuǎn)轉(zhuǎn)發(fā)與過濾濾。交換機(jī)功能能交換機(jī)可看看作是一個(gè)個(gè)具有流量量控制的網(wǎng)網(wǎng)橋，它是是由背板、、端口、緩緩沖區(qū)、邏邏輯控制單單元和交叉叉矩陣等部部件組成；傳統(tǒng)以太網(wǎng)網(wǎng)交換機(jī)是是第二層交交換機(jī)，第第二層交換換機(jī)是一個(gè)個(gè)可以將發(fā)發(fā)送端地址址與接收端端地址連接接起來的網(wǎng)網(wǎng)絡(luò)設(shè)備。。該設(shè)備根根據(jù)數(shù)據(jù)幀幀中的頭信信息，將來來自一個(gè)或或多個(gè)輸入入端口的幀幀送到一個(gè)個(gè)或多個(gè)端端口，完成成數(shù)據(jù)交換換；交換機(jī)工作作在OSI模型中的數(shù)數(shù)據(jù)鏈路層層，因此交交換機(jī)對數(shù)數(shù)據(jù)包的轉(zhuǎn)轉(zhuǎn)發(fā)是建立立在MAC地址基礎(chǔ)之之上的；傳統(tǒng)以太網(wǎng)網(wǎng)交換機(jī)的的最大優(yōu)點(diǎn)點(diǎn)是數(shù)據(jù)交交換快；當(dāng)交換機(jī)收收到一個(gè)TCP/IP數(shù)據(jù)包時(shí)，，會(huì)查看該該數(shù)據(jù)包的的目的MAC地址，然后后核對自己己的MAC地址表以確確認(rèn)應(yīng)該從從哪個(gè)端口口把數(shù)據(jù)包包發(fā)出去。。當(dāng)交換機(jī)收收到一個(gè)目目標(biāo)地址未未知的數(shù)據(jù)據(jù)包（即MAC地址不能在在其MAC地址表中找找到）時(shí)，，交換機(jī)會(huì)會(huì)把IP數(shù)據(jù)包從它它每一個(gè)端端口中送出出去。交換機(jī)的地地址“學(xué)習(xí)”交換機(jī)能夠夠通過讀取取傳送包的的源MAC地址和記錄錄幀進(jìn)入交交換機(jī)的端端口來“學(xué)習(xí)”網(wǎng)絡(luò)上每個(gè)個(gè)設(shè)備的地地址，然后，交換換機(jī)把該信信息加到它它的轉(zhuǎn)發(fā)數(shù)數(shù)據(jù)庫(MAC地址表)中；如果在一段段時(shí)間內(nèi)都都沒有被使使用過的MAC地址將從MAC列表中刪除除，通過這個(gè)時(shí)時(shí)間標(biāo)記來來保證刪除除過時(shí)的地地址和保持持最新的地地址。CAM維護(hù)了一個(gè)個(gè)精確和有有用的轉(zhuǎn)發(fā)發(fā)數(shù)據(jù)庫，，即MAC地址表。交換機(jī)的轉(zhuǎn)轉(zhuǎn)發(fā)與過濾濾當(dāng)主機(jī)A發(fā)一個(gè)幀給給主機(jī)B時(shí)，由于目目的MAC地址(主機(jī)B的MAC地址)己在MAC地址表中中存在對對應(yīng)項(xiàng)，，故交換換機(jī)會(huì)將將此幀直直接發(fā)到到B所在交換換機(jī)的端端口，而而不會(huì)再再將幀發(fā)發(fā)往其他他端口，，這樣就就節(jié)省了了其他端端口上的的帶寬。。這就是是所謂的的轉(zhuǎn)發(fā)與與過濾；第二層的的交換機(jī)機(jī)無法控控制廣播播域。交換機(jī)安全安全交換換機(jī)含義義交換機(jī)最最重要的的作用是是轉(zhuǎn)發(fā)數(shù)數(shù)據(jù)。在黑客攻攻擊和病病毒侵?jǐn)_擾下，要要能夠繼繼續(xù)保持持其高效效的數(shù)據(jù)據(jù)轉(zhuǎn)發(fā)速速率，不不受到攻攻擊的干干擾；能對訪問問和存取取網(wǎng)絡(luò)信信息的用用戶進(jìn)行行區(qū)分和和權(quán)限控控制；配合其他他網(wǎng)絡(luò)安安全設(shè)備備，對非非授權(quán)訪訪問和網(wǎng)網(wǎng)絡(luò)攻擊擊進(jìn)行監(jiān)監(jiān)控和阻阻止。安全交換換機(jī)的新新功能802.1x安全全認(rèn)認(rèn)證證；流量量控控制制；防范范DDoS攻擊擊；虛擬擬局局域域網(wǎng)網(wǎng)VLAN；基于于ACL的防防火火墻墻功功能能；IDS功能能。802.1x安全全認(rèn)認(rèn)證證802.1x協(xié)議議是是基基于于端端口口的的訪訪問問控控制制協(xié)協(xié)議議。。它它能能夠夠在在利利用用IEEE802局域域網(wǎng)網(wǎng)優(yōu)優(yōu)勢勢的的基基礎(chǔ)礎(chǔ)上上提提供供一一種種對對連連接接到到局局域域網(wǎng)網(wǎng)的的用用戶戶進(jìn)進(jìn)行行認(rèn)認(rèn)證證和和授授權(quán)權(quán)的的手手段段，，達(dá)達(dá)到到接接受受合合法法用用戶戶接接入入，，保保護(hù)護(hù)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全的的目目的的；802.1x利用用了了交交換換式式LAN架構(gòu)構(gòu)的的物物理理特特性性，，實(shí)實(shí)現(xiàn)現(xiàn)了了LAN端口口上上的的設(shè)設(shè)備備認(rèn)認(rèn)證證；在802.1x協(xié)議議中中，，只只有有具具備備了了以以下下三三個(gè)個(gè)元元素素才才能能夠夠完完成成基基于于端端口口的的訪訪問問控控制制的的用用戶戶認(rèn)認(rèn)證證和和授授權(quán)權(quán)：客戶戶端端，認(rèn)證證系系統(tǒng)統(tǒng)和認(rèn)證證服服務(wù)務(wù)器器。流量量控控制制安全全交交換換機(jī)機(jī)的的流流量量控控制制技技術(shù)術(shù)把把流流經(jīng)經(jīng)端端口口的的異異常常流流量量限限制制在在一一定定的的范范圍圍內(nèi)內(nèi)，，避避免免交交換換機(jī)機(jī)的的帶帶寬寬被被無無限限制制濫濫用用。。安安全全交交換換機(jī)機(jī)的的流流量量控控制制功功能能能能夠夠?qū)崒?shí)現(xiàn)現(xiàn)對對異異常常流流量量的的控控制制，，避避免免網(wǎng)網(wǎng)絡(luò)絡(luò)堵堵塞塞；防范DDoS攻擊安全交換機(jī)采采用專門技術(shù)術(shù)來防范DDoS攻擊，它可以以在不影響正正常業(yè)務(wù)的情情況下，智能能地檢測和阻阻止惡意流量量，從而防止止網(wǎng)絡(luò)受到DDoS攻擊的威脅。虛擬局域網(wǎng)VLANVLAN可以在二層或或三層交換機(jī)機(jī)上實(shí)現(xiàn)有限限的廣播域。。它可把網(wǎng)絡(luò)絡(luò)分成一個(gè)個(gè)個(gè)獨(dú)立的區(qū)域域，控制這些些區(qū)域是否可可以通信。VLAN限制了各個(gè)不不同VLAN之間的非授權(quán)權(quán)訪問，而且且可以設(shè)置IP地址與MAC地址綁定功能能限制用戶非非授權(quán)訪問網(wǎng)網(wǎng)絡(luò)；基于ACL的防火墻功能能ACL通過對網(wǎng)絡(luò)資資源的訪問控控制，確保網(wǎng)網(wǎng)絡(luò)設(shè)備不被被非法訪問或或被用作攻擊擊跳板。ACL是一張規(guī)則表表，交換機(jī)按按照順序執(zhí)行行這些規(guī)則，，并且處理每每一個(gè)進(jìn)入端端口的數(shù)據(jù)包包。每條規(guī)則則根據(jù)數(shù)據(jù)包包的屬性(如源地址、目目的地址和協(xié)協(xié)議)允許或拒絕數(shù)數(shù)據(jù)包通過。IDS功能安全交換機(jī)的的入侵檢測系系統(tǒng)（IDS）功能可以根根據(jù)上報(bào)信息息和數(shù)據(jù)流內(nèi)內(nèi)容進(jìn)行檢測測，在發(fā)現(xiàn)網(wǎng)網(wǎng)絡(luò)安全事件件時(shí)，進(jìn)行有有針對性的操操作，并將這這些對安全事事件反應(yīng)的動(dòng)動(dòng)作發(fā)送到交交換機(jī)上，由由交換機(jī)來實(shí)實(shí)現(xiàn)精確的端端口斷開操作作。實(shí)現(xiàn)這種種聯(lián)動(dòng)，需要要交換機(jī)支持持認(rèn)證、端口口鏡像、強(qiáng)制制流分類、進(jìn)進(jìn)程數(shù)控制、、端口反向查查詢等功能。。安全交換機(jī)的的配署安全交換機(jī)可可以配備在網(wǎng)網(wǎng)絡(luò)的核心位位置上，這樣就可以在在核心交換機(jī)機(jī)上統(tǒng)一配置置安全策略，，做到集中控控制，方便網(wǎng)網(wǎng)絡(luò)管理人員員的監(jiān)控和調(diào)調(diào)整；把安全交換機(jī)機(jī)放在網(wǎng)絡(luò)的的接入層或匯匯聚層，是另另外一個(gè)選擇擇。這樣配備備安全交換機(jī)機(jī)的方式就是是核心把權(quán)力力下放到邊緣緣，在各個(gè)邊邊緣就開始實(shí)實(shí)施安全交換換機(jī)的性能，，把入侵和攻攻擊以及可疑疑流量阻擋在在邊緣之外，，確保全網(wǎng)的的安全。2.3.2交換機(jī)的安全全配置實(shí)踐配置交換機(jī)使使網(wǎng)絡(luò)對可訪訪問站點(diǎn)進(jìn)行行控制，從而而實(shí)現(xiàn)對自身身的保護(hù)；端口安全（port-secure）命令定義義了一個(gè)最大大值，即在MAC地址表表中與交換機(jī)機(jī)端口相聯(lián)系系的所允許的的最多目的MAC地址。。MAC地址表及相關(guān)關(guān)信息的設(shè)置置顯示MAC地址表MAC地址表中的地地址由永久地地址、限制性性靜態(tài)地址和和動(dòng)態(tài)地址三三種地址組成成；在Switch#showMAC-address-table命令中即可看看到MAC地址表；MAC地址表由地址址、源端口表表、目的端口口和類型組成成。設(shè)置永永久地地址若設(shè)置置了永永久地地址的的目的的MAC地址及及其轉(zhuǎn)轉(zhuǎn)發(fā)端端口，，則該該地址址永久久不會(huì)會(huì)超時(shí)時(shí)，所所有的的端口口均可可以轉(zhuǎn)轉(zhuǎn)發(fā)幀幀給它它。設(shè)設(shè)置命命令如如下：：Switch(config)#MAC-address-tablepermanent[MACAddress][typeslot/port]設(shè)置限限制性性靜態(tài)態(tài)地址址限制性性靜態(tài)態(tài)地址址不但但繼承承了永永久地地址的的所有有特性性，更更進(jìn)一一步嚴(yán)嚴(yán)格限限制了了源端端口，，安全全性得得到進(jìn)進(jìn)一步步增強(qiáng)強(qiáng)。設(shè)設(shè)置限限制性性靜態(tài)態(tài)地址址的命命令如如下：：Switch(config)#MAC-address-tablerestrictedstatic[MACaddress][typeslot/port][sourceinterfacelist]刪除表表項(xiàng)Switch#clearMAC-address-table[dynamic|permanent|restricted]配置交交換機(jī)機(jī)端口口認(rèn)證端端口Switch(config-if)#descriptiondescription-string端口速速度Switch(config-if)#speed{10|100|auto}端口模模式Switch(config-if#duplex{auto|full|half}交換機(jī)機(jī)口令令的安安全配配置密碼設(shè)設(shè)置為用戶戶模式式設(shè)置置注冊冊密碼碼，需需要在在全局局配置置模式式下輸輸入下下列命命令：：Switch(config)#linecon0Switch(config-line)#passwordpasswordSwitch(config-line)#loginSwitch(config-1)#linevty015Switch(config-line)#passwordpasswordSwitch(config-line)#login重配置置并驗(yàn)驗(yàn)證(config)#enablepasswordlevel1noco(config)#enablepasswordlevel15noko(config)#exit#exit交換機(jī)機(jī)端口口安全全配置置方案案與操操作激活保保護(hù)功功能：：Switch(config—if)#switchportport-sercurity規(guī)定被被允許許訪問問的MAC地址的的最大大數(shù)目目：Switch(config-if)＃switchportport-sercuritymaximummax-address靜態(tài)地地址配配置：：Switch(config-if)＃switchportport-sercurityMAC-addressMAC-address必須確確定使使用端端口保保護(hù)的的接口口Switch(config-if)＃switchpoltport--sercurityviolation{shutdown|restrict|protect}配置方方案1--基于端端口的的MAC地址綁綁定Switch#configterminal＃進(jìn)入入配置置模式式Switch(config)Interfacefastethernet0/1＃進(jìn)入入具體體端口口配置置模式式Switch(config-if)Switchportport-secruity＃配置置端口口安全全模式式Switch(config-if)switchportport-securityMAC-addressMAC-address＃配置置該端端口要要綁定定的主主機(jī)的的MAC地址Switch(config-if)noswitchportport-securityMAC-addressMAC-address＃刪除除綁定定主機(jī)機(jī)的MAC地址址配置置方方案案2--基于于MAC地址址的的擴(kuò)擴(kuò)展展訪訪問問列列表表Switch(config)Macaccess-listextendedMAC10＃定定義義一一個(gè)個(gè)MAC地址址訪訪問問控控制制列列表表并并且且命命名名該該列列表表名名為為MAC10Switch(config)permithost0009.6bc4.d4bfany＃定定義義MAC地址址為為0009.6bc4.d4bf的主主機(jī)機(jī)可可以以訪訪問問任任意意主主機(jī)機(jī)Switch(config)permitanyhost0009.6bc4.d4bf＃定定義義所所有有主主機(jī)機(jī)可可以以訪訪問問MAC地址址為為0009.6bc4.d4bf的主主機(jī)機(jī)Switch(config-if)interfaceFa0/20#進(jìn)入入配配置置具具體體端端口口的的模模式式Switch(config-if)macaccess-groupMAC10in＃在在該該端端口口上上應(yīng)應(yīng)用用名名為為MAC10的訪訪問問列列表表Switch(config)nomacaccess-listextendedMAC10＃清清除除名名為為MAC10的訪訪問問列列表表配置置方方案案3--IP地址址與與MAC地址址綁綁定定Switch(config)macaccess-listextendedMAC10＃定定義義一一個(gè)個(gè)MAC地址址訪訪問問控控制制列列表表并并且且命命名名該該列列表表名名為為MAC10Switch(config)permithost0009.6bc4.d4bfany＃定定義義MAC地址址為為0009.6bc4.d4bf的主主機(jī)機(jī)可可以以訪訪問問任任意意主主機(jī)機(jī)Switch(config)permitanyhost0009.6bc4.d4bf＃定定義義所所有有主主機(jī)機(jī)可可以以訪訪問問MAC地址址為為0009.6bc4.d4bf的主主機(jī)機(jī)Switch(config)ipaccess-listextendedIP10＃定定義義一一個(gè)個(gè)IP地址址訪訪問問控控制制列列表表并并且且命命名名該該列列表表名名為為IP10Switch(config)permitany＃定定義義IP地址為的主機(jī)可以以訪問任意意主機(jī)Switch(config)permitany＃定義義所有有主機(jī)機(jī)可以以訪問問IP地址為為的主機(jī)機(jī)Switch(config-if)interfaceFa0/20＃進(jìn)入入配置置具體體端口口的模模式Switch(config-if)macaccess-groupMAC10in＃在該該端口口上應(yīng)應(yīng)用名名為MAC10的訪問問列表表（即即前面面定義義的訪訪問策策略））Switch(config-if)ipaccess-groupIP10in＃在該該端口口上應(yīng)應(yīng)用名名為IP10的訪問問列表表（即即前面面定義義的訪訪問策策略））Switch(config)nomacaccess-listextendedMAC10in＃清除除名為為MAC10的訪問問列表表Switch(config)noipaccess-groupIP10in＃清除除名為為IP10的訪問問列表表交換機(jī)機(jī)端口口與主主機(jī)地地址的的安全全配置置MAC地址與與端口口綁定定3550-1#conft3550-1(config)#intf0/13550-1(config-if)#switchportmodeaccess/指定端口模模式3550-1(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1/配置MAC地址3550-1(config-if)#switchportport-securitymaximum1/限制此端口口允許通過過的MAC地址數(shù)為13550-1(config-if)#switchportport-securityviolationshutdown/當(dāng)發(fā)現(xiàn)與上上述配置不不符時(shí)，端端口down掉。通過MAC地址來限制制端口流量量3550-1#conft3550-1(config)#intf0/13550-1(config-if)#switchporttrunkencapsulationdot1q3550-1(config-if)#switchportmodetrunk/配置端口模模式為trunk3550-1(config-if)#switchportport-securitymaximum100/允許此端口口通過的最最大MAC地址數(shù)目為為100。3550-1(config-if)#switchportport-securityviolationprotect/當(dāng)主機(jī)MAC地址數(shù)目超超過100時(shí)，交換機(jī)機(jī)繼續(xù)工作作，但來自自新的主機(jī)機(jī)的數(shù)據(jù)幀幀將丟失上上述配置可可根據(jù)MAC地址來允許許流量，如如下的配置置則是根據(jù)據(jù)MAC地址來拒絕絕流量。3550-1#conft3550-1(config)#mac-address-tablestatic00-90-F5-10-79-C1vlan2drop/在相應(yīng)的VLAN丟棄流量。。3550-1#conft3550-1(config)#mac-address-tablestatic00-90-F5-10-79-C1vlan2intf0/1/在相應(yīng)的接接口丟棄流流量。可靠的MAC地址配置類類型靜態(tài)可靠的的MAC地址Switch#configterminalSwitch(config)#interfaceinterface-id進(jìn)入需要配配置的端口口Switch(config-if)#switchportmodeAccess設(shè)置為交換換模式Switch(config-if)#switchportport-security打開端口安安全模式Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}動(dòng)態(tài)可靠的的MAC地址交換機(jī)默認(rèn)認(rèn)的類型；在這種類型型下，交換換機(jī)會(huì)動(dòng)態(tài)態(tài)學(xué)習(xí)MAC地址，但是是該配置只只會(huì)保存在在MAC地址表中，，不會(huì)保存存在運(yùn)行配配置文件中中，并且交交換機(jī)重新新啟動(dòng)后，，這些MAC地址表中的的MAC地址會(huì)被自自動(dòng)清除。。黏性可靠的的MAC地址Switch#configterminalSwitch(config)#interfaceinterface-idSwitch(config-if)#switchportmodeAccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}Switch(config-if)#switchportport-securitymaximumvalueSwitch(config-if)#switchportport-securitymac-addresssticky交換機(jī)訪問問控制的安安全配置現(xiàn)在通過多多層交換機(jī)機(jī)特性來提提高網(wǎng)絡(luò)的的安全性和和對帶寬的的控制已經(jīng)經(jīng)相當(dāng)?shù)钠掌毡椤ｋS著著一些安全全特性如訪訪問控制列列表（ACL）和802.1x標(biāo)準(zhǔn)已經(jīng)成成為許多廠廠商產(chǎn)品的的標(biāo)準(zhǔn)，一一些使用者者開始把它它們作為網(wǎng)網(wǎng)絡(luò)設(shè)施安安全的一個(gè)個(gè)單獨(dú)增加加的層次；ACL通過對網(wǎng)絡(luò)絡(luò)資源進(jìn)行行訪問輸入入和輸出控控制，確保保網(wǎng)絡(luò)設(shè)備備不被非法法訪問或被被用作攻擊擊跳板。2.4服務(wù)器安全全2.4.1網(wǎng)絡(luò)服務(wù)器器文件服務(wù)器器文件服務(wù)器器已經(jīng)擁有有比較完備備的磁盤設(shè)設(shè)備管理和和用戶安全全管理體系系；數(shù)據(jù)庫服務(wù)務(wù)器分布式協(xié)同同信息處理理是目前計(jì)計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)應(yīng)用的核核心之一，，也是資源源共享的延延伸；Internet/Intranet通用服務(wù)器器用于在異構(gòu)網(wǎng)網(wǎng)絡(luò)環(huán)境下下統(tǒng)一簡化化的客戶端端平臺(tái)和廣廣域網(wǎng)互通通互聯(lián)基礎(chǔ)礎(chǔ)上的信息息發(fā)布、采采集、利用用和高度資資源共享應(yīng)用服務(wù)器器應(yīng)用服務(wù)器器用于在通通用服務(wù)器器硬件平臺(tái)臺(tái)上安裝相相應(yīng)的應(yīng)用用服務(wù)軟件件并實(shí)現(xiàn)特特定的功能能，如數(shù)據(jù)據(jù)中間件服服務(wù)器、流流式媒體點(diǎn)點(diǎn)播服務(wù)器器、電視會(huì)會(huì)議服務(wù)器器和打印服服務(wù)器等2.4.2服務(wù)器的的安全設(shè)設(shè)置服務(wù)器的的安全策策略對服務(wù)器器進(jìn)行安安全設(shè)置置；進(jìn)行日常常的安全全檢測；加強(qiáng)服務(wù)務(wù)器的日日常管理理；采取安全全的訪問問控制措措施；禁用不必必要的服服務(wù)；修改注冊冊表；正確劃分分文件系系統(tǒng)格式式；正確設(shè)置置磁盤的的安全性性；服務(wù)器的的安全設(shè)設(shè)置實(shí)踐踐安裝補(bǔ)丁丁安裝防病病毒軟件件禁止建立立空連接接關(guān)閉不必必要的端端口關(guān)閉139端口，通過注冊冊表關(guān)閉閉關(guān)閉445端口，關(guān)閉3389端口，關(guān)閉4899端口，關(guān)閉無用用的服務(wù)務(wù)，目錄和文文件權(quán)限限管理，不使系統(tǒng)統(tǒng)顯示上上次登錄錄的用戶戶名，把敏感文文件存放放在另外外的文件件服務(wù)器器中，NTFS分區(qū)安全全，服務(wù)器日日常管理理2.5客戶機(jī)安安全2.5.1客戶機(jī)的的安全策策略客戶機(jī)實(shí)實(shí)體安全全設(shè)定使用用者授權(quán)權(quán)機(jī)制設(shè)定訪問問控制權(quán)權(quán)限定期執(zhí)行行備份工工作客戶機(jī)系系統(tǒng)安全全設(shè)定重視軟件件相關(guān)的的安全修修補(bǔ)程序序安裝防毒毒軟件并并定期更更新病毒毒碼遠(yuǎn)程管理理的安全全性減少不必必要的應(yīng)應(yīng)用程序序合理使用用客戶機(jī)機(jī)管理程程序不隨意下下載或執(zhí)執(zhí)行來源源不明的的文檔或或程序2.5.2客戶機(jī)的的安全管管理與應(yīng)應(yīng)用客戶機(jī)物物理安全全物理安全全涉及到到對計(jì)算算機(jī)的訪訪問。提提到物理理安全時(shí)時(shí)要考慮慮兩方面面的問題題，一是是客戶機(jī)機(jī)整機(jī)被被竊；而而是未授授權(quán)人員員通過客客戶機(jī)獲獲得對網(wǎng)網(wǎng)絡(luò)的訪訪問權(quán)；管理員訪訪問權(quán)限限管理員員賬號號，通通常是是指Windows系統(tǒng)中中的Administrator或Unix系統(tǒng)中中的root。該賬賬號對對于系系統(tǒng)中中的任任何程程序和和文件件具有有完全全的訪訪問和和管理理權(quán)。。管理理員可可以對對系統(tǒng)統(tǒng)配置置進(jìn)行行全局局修改改，能能夠增增加和和刪除除其他他系統(tǒng)統(tǒng)賬號號；遠(yuǎn)程登登錄用戶不不應(yīng)該該從網(wǎng)網(wǎng)絡(luò)外外部對對他們們的機(jī)機(jī)器進(jìn)進(jìn)行遠(yuǎn)遠(yuǎn)程訪訪問；客戶機(jī)機(jī)安全全設(shè)置置配合使使用服服務(wù)器器的DHCP功能合理使使用代代理臺(tái)式機(jī)機(jī)和筆筆記本本電腦腦的區(qū)區(qū)別管管理筆記本本電腦腦也更更做備備份。。管理員員要制制定有有關(guān)安安全措措施，，對使使用筆筆記本本電腦腦的用用戶進(jìn)進(jìn)行嚴(yán)嚴(yán)格