安全生產(chǎn)管理網(wǎng)絡(luò)安全技術(shù)

{安全生產(chǎn)管理}網(wǎng)絡(luò)安全技術(shù)H3C 次1.2.4H3CVLANVLANPVLANGVRPH3CSTPIRFNATACLVPNIPsecVPNIPsecGREVPNL2TPSSLVPNDVPNVPNMPLSH3CSecPath/VPNH3CH3CSecBladeFWH3CSSLVPNH3CASMH3CNSMH3CIPSUTMAAAEAD802.1XSNMPNTP5.4.4OSPFOSPFLSDBDR\BDRIDBGPBGPBGPPeerBGP6.3ARPDDOSTCPSYNLandVlan201012010201220132015H3C應(yīng)指導所有的安全系統(tǒng)。CIAInternetInternet3【3】ACL（ACL，accesscontrollistPVLAN（下層）VLAN，則實現(xiàn)了所有端口的隔離。PVLANIP【6】IPIP（這個備份路由器就成為主路由器【7】網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種lPH3CH3C防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，InternetIntranet??（SecurityGateway4【9】H3CIPVPN伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPNAAATACACS+【14】802.1xClient/Server授權(quán)的用戶/設(shè)備通過接入端口(accessportLAN/WLAN。在獲得交換機或在認證通過之前，802.1xEAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過網(wǎng)絡(luò)準入控制NAC，Pc、服務(wù)器、PDA)OSPFIDOSPFBGP2.12.1網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征：保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊?？煽匦裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據(jù)與手段。從網(wǎng)絡(luò)運行和管理者角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對安全保密部避免機要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。計算機網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運行，主要涉及以下四個方面：計算機網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機網(wǎng)絡(luò)系統(tǒng)有一個良好的工作環(huán)境；建??完備的安全管理制度，防止非法進入計算機網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動。訪問控制策略是計算機網(wǎng)絡(luò)系統(tǒng)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護作用，所以網(wǎng)絡(luò)訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。信息加密策略主要是保護計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。在計算機網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護網(wǎng)絡(luò)安全，還必須加強網(wǎng)絡(luò)的行政安全管理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對于確保計算機網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運行，將會起到十分有效的作用。計算機網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護制度和應(yīng)急措施等等。H3CVLANVLAN技術(shù)的出現(xiàn)，主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LANVLAN，每VLAN是一個廣播域，VLAN內(nèi)的主機間通信就和在一個LANVLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)，從而最大程度的減少了廣播風暴的影響。VLAN可以增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設(shè)備，3.13.1vlan從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：1、基于端口的VLAN這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用考慮該端口所連接的設(shè)備。2MACVLANMAC地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC12166位為網(wǎng)卡的廠商標識（OUI6（NICMAC分為一個邏輯子網(wǎng)。3、基于路由的VLAN路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機（即三層交換機。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。就目前來說，對于VLAN的劃分主要采取上述第1、32式為輔助性的方案。H3C低端系列以太網(wǎng)交換機支持的以太網(wǎng)端口鏈路類型有三種：Access類型：端口只能屬于1VLAN，一般用于連接計算機；TrunkVLANVLAN一般用于交換機之間的連接；Hybrid類型：端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN文，可以用于交換機之間連接，也可以用于連接用戶的計算機。交換機與工作站之間的連接接口配置為Access，交換機和交換機之間的連接一般采用Trunk端口，協(xié)議采用802.1q（ISLcisco專用協(xié)議。VLANPVLAN傳統(tǒng)的VLAN固然有隔離廣播風暴，增強局域網(wǎng)內(nèi)部安全性等好處，然而不可避免的有以下幾個方面的局限性:VLAN的限制：交換機固有的VLAN數(shù)目的限制；復雜的STP：對于每個VLAN，每個相關(guān)的SpanningTree的拓撲都需要管理；IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些IP地址的浪費；路由的限制：每個子網(wǎng)都需要相應(yīng)的默認網(wǎng)關(guān)的配置?，F(xiàn)在有了一種新的VLAN機制，所有服務(wù)器在同一個子網(wǎng)中，但服務(wù)器只能VLAN（PrivateVLAN。在PrivateVLAN的概念中，交換機端口有三種類型：Isolatedport，Communityport，Promiscuousport；它們分別對應(yīng)不同的VLAN類型：Isolatedport屬于IsolatedPVLAN,Communityport屬于CommunityPVLAN，而代表一個PrivateVLAN整體的是PrimaryVLAN，前面兩VLAN需要和它綁定在一起，同時它還包括PromiscuousportIsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能交換流量；在CommunityPVLAN中Communityport不僅可以和Promiscuousport通信，而且彼此也可以交換流量。Promiscuousport與路由器或第3層交換機接口相連,它收到的流量可以發(fā)往IsolatedportPVLAN的應(yīng)用對于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，用戶只需與自己的默認網(wǎng)關(guān)連接，一個PVLANVLANIP提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶都接入PVLAN，從而實現(xiàn)了所有用戶與默認網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。目前很多廠商生產(chǎn)的交換機支持PVLANPVLAN技術(shù)在解決通信安全、防止廣播風暴和浪費IP地址方面的優(yōu)勢是顯而易見的，而且采用PVLANPVLAN在交換機上的配置也相對簡單，PVLAN技術(shù)越來越得到網(wǎng)絡(luò)管理人員的青睞。GVRP通過使用GVRP，可以使同一局域網(wǎng)內(nèi)的交換機接收來自其它交換機的VLAN注冊信息，并動態(tài)更新本地的VLAN注冊信息，包括：當前的VLAN、配置版本號、這些VLAN可以通過哪個端口到達等。而且設(shè)備能夠?qū)⒈镜氐腣LAN冊信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的VLAN信息達成一致，減少由人工配置帶來的錯誤的可能性。對GVRP不熟悉的朋友，可以參考CISCO的VTP協(xié)議，兩者大同小異。如圖3-2：3-2GVRP組網(wǎng)示意圖SwitchC靜態(tài)配置了VLAN5，SwitchD靜態(tài)配置了vlan8，SwitchE靜態(tài)配置VLAN5VLAN7，SwitchASwitchB開啟了全局和端口的GVRP功能，這樣可以動態(tài)學習到VLAN5,VLAN7,VLAN8fixed，即禁止端口動態(tài)注冊VLAN，僅允許本地創(chuàng)建的VLAN向外傳播；另一種注冊forbidden，即禁止端口動態(tài)注冊VLAN，僅允許缺省VLAN1向外傳播。H3C端口匯聚是將多個以太網(wǎng)端口匯聚在一起形成一個邏輯上的匯聚組，使用匯聚服務(wù)的上層實體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。將多個物理鏈路捆綁在一起后，不但提升了整個網(wǎng)絡(luò)的帶寬，而且數(shù)據(jù)還可以同時經(jīng)由被綁定的多個物理鏈路傳輸，具有鏈路冗余的作用，在網(wǎng)絡(luò)出現(xiàn)故障或其他原因斷開其中一條或多條鏈路時，剩下的鏈路還可以工作。這樣，同一匯聚組的各個成員端口之間彼此動態(tài)備份，提高了連接可靠性，增強了負載均衡的能力。3.3H3C的交換機設(shè)備做端口匯聚時，必須注意以下幾點：做端口匯聚時，H3C交換機最多可以包括8個端口，這些端口不必是連續(xù)分布的，也不必位于相同的模塊中；至于有幾個匯聚組則視交換機的類型而定。一個匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP一個匯聚組內(nèi)的端口必須有相同的速度和雙工模式。一個端口不能再相同時間內(nèi)屬于多個匯聚組。一個匯聚組內(nèi)的所有端口都必須配置到相同的接入VLAN由于部署IDSIPS等產(chǎn)品需要監(jiān)聽網(wǎng)絡(luò)流量（網(wǎng)絡(luò)分析儀同樣也需要，但是在目前廣泛采用的交換網(wǎng)絡(luò)中監(jiān)聽所有流量有相當大的困難，因此需要通過配置交換機來把一個或多個端口（VLAN）的數(shù)據(jù)轉(zhuǎn)發(fā)到某一個端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽，這樣就產(chǎn)生了端口鏡像。端口鏡像（portMirroring)分為本地端口鏡像和遠程端口鏡像兩種。本地端口鏡像是指將設(shè)備的一個或多個端口（源端口）的報文復制到本地設(shè)備的一個監(jiān)視端口（目的端口，用于報文的分析和監(jiān)視。其中，源端口和目的端口必須在同一臺設(shè)備上。如圖3.4：SwitchCE13可以把端口研發(fā)部所連得端口E11和市場部連接的E12端口的流量復制過來,然后交給數(shù)據(jù)檢測設(shè)備分析，從而可以對危險流量進行隔離和控制。3.4本地端口鏡像實例圖遠程端口鏡像突破了源端口和目的端口必須在同一臺設(shè)備上的限制，使源端口和目的端口可以跨越網(wǎng)絡(luò)中的多個設(shè)備，從而方便網(wǎng)絡(luò)管理人員對遠程設(shè)備上的流量進行監(jiān)控。為了實現(xiàn)遠程端口鏡像功能，需要定義一個特殊的VLAN，稱之為遠程鏡像VLAN（Remote-probeVLAN。所有被鏡像的報文通過該VLAN從源交換機的反射口傳遞到目的交換機的鏡像端口，實現(xiàn)在目的交換機上對源交換機端口收發(fā)的報文進行監(jiān)控的功能。遠程端口鏡像的應(yīng)用示意圖如圖3.5所示。對部門12的流量進行監(jiān)控，SwitchA為源交換機：被監(jiān)控的端口所在的交換機，負責將鏡像流量復制到反射端口，然后通過遠程鏡像VLAN傳輸給中間交換機或目的交換機；SwitchB為中間交換機：網(wǎng)絡(luò)中處于源交換機和目的交換機之間的交換機，通過遠程鏡像VLAN把鏡像流量傳輸給下一個中間交換機或目的交換機，如果源交換機與目的交換機直接相連，則不存在中間交換機；SwitchC為目的交換機：遠程鏡像目的端口所在的交換機，將從遠程鏡像VLAN接收到的鏡像流量通過鏡像目的端口轉(zhuǎn)發(fā)給監(jiān)控設(shè)備。3.5遠程端口鏡像實例圖STPSTP協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決以太網(wǎng)網(wǎng)絡(luò)的“廣播風暴”問題，從某種意義上說是一種網(wǎng)絡(luò)保護技術(shù)，可以消除由于失誤或者意外帶來的循環(huán)連接，各大交換機設(shè)備廠商默認開啟STP協(xié)議。H3C交換機支持的生成樹協(xié)議有三種類型，分別是STP（IEEE802.1D、（IEEE802.1W）和MSTP（IEEE802.1S，這三種類型的生成樹協(xié)議均按照標準協(xié)議的規(guī)定實現(xiàn)，采用標準的生成樹協(xié)議報文格式。手動指定根網(wǎng)橋不要讓STP來決定選舉哪臺交換機為根網(wǎng)橋。對于每個VLAN，您通常可以確定哪臺交換機最適合用做根網(wǎng)橋。哪臺交換機最適合用做根網(wǎng)橋取決于網(wǎng)絡(luò)設(shè)計，一般而言，應(yīng)選擇位于網(wǎng)絡(luò)中央的功能強大的交換機。如果讓根網(wǎng)橋位于網(wǎng)絡(luò)中央，并直接連接到多臺服務(wù)器和路由器，通?？煽s短客戶端到服務(wù)器和路由器的距離。對于VLAN，靜態(tài)地指定要用做根網(wǎng)橋和備用（輔助）根網(wǎng)橋的交換機。多層交換體系中部署MSTP（MultIPleSpanningTreeProtocol）是把IEEE802.1w的快速生成樹（RST）算法擴展而得到的，體現(xiàn)的是將多個VLAN映射到一個生成樹實例的能力。STP不能遷移，RSTP可以快速收斂，但和STP一樣不能按VLAN冗余鏈路，所有VLAN的報文都按一顆生成樹進行轉(zhuǎn)發(fā)。MSTPSTPRSTP，從而彌補STPRSTP的缺陷，不但可以快速收斂，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，使不同VLAN的流量沿各自的路徑分發(fā)，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載均衡，使設(shè)備的利用率達到最高。3.6MST配置組網(wǎng)圖3.6所示：網(wǎng)絡(luò)中所有交換機屬于同一個MSTVLAN10的報文沿著實1轉(zhuǎn)發(fā)，VLAN303轉(zhuǎn)發(fā)，VLAN404轉(zhuǎn)發(fā)，VLAN20實例0轉(zhuǎn)發(fā)；0SwitchASwitchB為匯聚層設(shè)備，SwitchCSwitchD為接入層設(shè)備。VLAN10、VLAN30在匯聚層設(shè)備終結(jié)，VLAN40在接入層設(shè)備終結(jié)，因此可以配置實例13的樹根分別為SwitchASwitchB，實例4的樹根為SwitchC。Internet的發(fā)展，人們對網(wǎng)絡(luò)可靠性,安全性的要求越來越高。對于終（VirtualRouterRedundancyProtocol，虛擬路由冗余協(xié)議）是一種容錯協(xié)議，它保證當主機的下一跳路由器失效時，可以及時由另一臺路由器代替，從而保持通信的連續(xù)性和可靠性。Cisco系列交換機更多的采用思科廠商專HSRP（HotStandbyRouterProtocol，熱備份路由器協(xié)議）VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP時會產(chǎn)生一個虛擬MAC(00-00-5E-00-01-[VRID])地址，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。一個虛擬路由器由一個主路由器和若干個備份路由器組成，主路由器實現(xiàn)真正的轉(zhuǎn)發(fā)功能。當主路由器出現(xiàn)故障時，一個備份路由器將成為新的主路由器，接替它的工作,避免備份組內(nèi)的單臺或多臺交換機發(fā)生故障而引起的通信中斷。3.7VRRP協(xié)議部署圖3.7AABVRRP備份組作為自己的缺省網(wǎng)關(guān)，訪問Internet上的主機B。備份組號可以自己設(shè)定；主路由是AB，取決于兩者的優(yōu)先級，高的成為主路由，優(yōu)先級一樣比較IP地址，誰的大誰是主路由，另外一臺作為備份路由；VRRP默認搶占開啟。IRFIRF（IntelligentResilientFramework，智能彈性架構(gòu)）是H3C公司融合高端交換機的技術(shù)，在中低端交換機上推出的創(chuàng)新性建設(shè)網(wǎng)絡(luò)核心的新技術(shù)。它將幫助用戶設(shè)計和實施高可用性、高可擴展性和高可靠性的千兆以太網(wǎng)核心和匯聚主干。在堆疊之前要先了解堆疊設(shè)備的規(guī)格，一個堆疊最多支持多少個設(shè)備，或者最多支持多少個端口。在系統(tǒng)啟動時、新Unit加入時、merge時都會進行配置比較。配置比較時將以最小IDUnit的配置作為參照基準。比較結(jié)果不同的Unit將把基準配置保存為臨時文件，然后重起。重起時將采用這個臨時文件作為自己的配置。為增加堆疊的可靠性，盡量使用環(huán)形堆疊。IRF設(shè)備堆疊端口相連時一定是UP端口和另一臺設(shè)備的DOWN端口相連。3.7S58系列以太網(wǎng)交換機在企業(yè)網(wǎng)/園區(qū)網(wǎng)的應(yīng)用在大中型企業(yè)或園區(qū)網(wǎng)中，S58系列以太網(wǎng)交換機作為大樓匯聚交換IRF智能彈性架構(gòu)將多臺匯聚交換機虛擬為一臺邏輯設(shè)備，從而簡化管理維護，實現(xiàn)彈性擴展。此外H3C的開發(fā)業(yè)務(wù)架構(gòu)也可以使S58系列交換機集成防火墻模塊，提高網(wǎng)絡(luò)安全性，而在集成了無線控制器模塊以后，可以集中配置管理無線接入點，從而使S58系列交換機提供一套完整的有線無線一體化的解決方案。網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門，大門的安全防護是網(wǎng)絡(luò)安全的基礎(chǔ)需求。隨著網(wǎng)絡(luò)的日益復雜，域邊界的概念逐漸替代了網(wǎng)絡(luò)邊界，邊界成了網(wǎng)絡(luò)安全區(qū)域之間安全控制的基本點。黑客攻擊與廠家防護技術(shù)都會最先出現(xiàn)在這里，然后在對抗中逐步完善與成熟起來。在本文中，邊界安全主要是指企業(yè)網(wǎng)在互聯(lián)網(wǎng)接入這部分。對邊界進行安全防護，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護，這可以通過安全分區(qū)設(shè)計來確定。定義安全分區(qū)的原則就是首先需要根據(jù)業(yè)務(wù)和信息敏感度定義安全資產(chǎn)，其次對安全資產(chǎn)定義安全策略和安全級別，對于安全策略和級別相同的安全資產(chǎn)，就可以認為屬于同一安全區(qū)域。根據(jù)以上原則，H3C提出以下的安全分區(qū)設(shè)計模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對外連接區(qū)、網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等區(qū)域。4.0H3C提出的安全分區(qū)設(shè)計模型通過以上的分區(qū)設(shè)計和網(wǎng)絡(luò)現(xiàn)狀，H3C提出了以防火墻、VPN和應(yīng)用層防御系統(tǒng)為支撐的深度邊界安全解決方案。NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT不僅完美地解lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。如圖4.1NAT技術(shù)隱藏了局域網(wǎng)內(nèi)Internet4.1NAT技術(shù)組網(wǎng)圖NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換和端口多路復用PAT靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址IP地址只轉(zhuǎn)換為某個公有IP借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP址是不確定的，是隨機的，所有被授權(quán)訪問上InternetIP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時。可以采用動態(tài)轉(zhuǎn)換的方式。端口多路復用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PATPortAddressTranslation)。采用端口多路復用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復用方式。ACLACL（AccessControlList，訪問控制列表）在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。目前有兩種主要的ACL:標準ACL和擴展ACL。標準的ACL1-991300-1999之間的數(shù)字作為表號，擴展的ACL使用100-199以及2000-2699之間的數(shù)字作為表號。標準ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（IP）的所有通信流量。如圖4.2所示,VLAN10可以拒絕VLAN11的所有訪問流量。擴展ACL比標準ACL提供了更廣泛的控制范圍,擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建??連接的和IP優(yōu)先級等。如圖4.2所示服務(wù)器所在的VLAN1可以允許客戶的80端口訪問。一個端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進行檢查。數(shù)據(jù)包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配（假設(shè)為允許發(fā)送，則不管是第一條還是最后一條語句，數(shù)據(jù)都會??即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。4.2ACL技術(shù)組網(wǎng)圖另外還有一些特殊情況下的ACL技術(shù)的應(yīng)用：MACACL:ACLMACMAC802.1pACL的序號取值范圍為4000～4999。如圖4.2PC2PC3MAC址進行限制。用戶自定義的ACL:非用戶自定義的ACL一旦制定之后，修改起來十分麻煩，要把整個ACL去掉，然后才能重新建??生效，然而用戶自定義的ACL決了這一問題，可以在原有的ACL基礎(chǔ)上進行修改。QosACL:QosACLQos分類、標記、控制和調(diào)度將應(yīng)用于那些數(shù)據(jù)包，也可以基于時間段、流量監(jiān)管、隊列調(diào)度、流量統(tǒng)計、端口重定向、本地流鏡像以及WEBCache重定向的功能及應(yīng)用部署相關(guān)的ACL。所有通信流。需要先建??一個普通的ACL列表，然后建??一個關(guān)于VLAN訪問映射表將建??ACL列表包含進去，最后把訪問映射表映射到所需要的VPNVPN（VirtualPrivateNetwork，虛擬私有網(wǎng)）是近年來隨著Internet泛應(yīng)用而迅速發(fā)展起來的一種新技術(shù)，實現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)。VPN只為特定的企業(yè)或用戶群體所專用。從用戶角度看來，使用VPN專網(wǎng)沒有任何區(qū)別。VPN作為私有專網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨??性，即在一般情況下，VPN資源不會被網(wǎng)絡(luò)中的其它VPNVPN用戶使用；另一方面，VPN提供足夠安全性，能夠確保VPN內(nèi)部信息的完整性、保密性、不可抵賴性。4.3VPN技術(shù)典型組網(wǎng)圖4.3所示，在企業(yè)互聯(lián)網(wǎng)出口部署防火墻和VPN設(shè)備，分支機構(gòu)及移動辦公用戶分別通過VPNVPN客戶端安全連入企業(yè)內(nèi)部網(wǎng)絡(luò)；同時通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、DMZ、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應(yīng)的安全規(guī)則，以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護。H3C公司的安全解決方案的VPN特性非常豐富，包括適用于分支機構(gòu)的VPN（DVPN）解決方案、適用于MPLSVPNIPSecVPN環(huán)境下的VPE決方案、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環(huán)境的需要。接下來我們介紹下VPN領(lǐng)域的一些主流技術(shù)。IPsecVPNIPsec(IPSecurity)是保障IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項具體的協(xié)議，而是指用于實現(xiàn)IP層安全的協(xié)議套件集合。IPsec實質(zhì)上也是一種隧道傳輸技術(shù)，它將IPIP上層載荷封裝在IPsec報文內(nèi)，并根據(jù)需要進行加密和完整性保護處理，以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過程的安全。IPsec支持兩種協(xié)議標準，鑒別首部(AuthenticaionHeaderAH)和封裝安全有效載荷(EncapsulationSecurityPayload，ESP)：AH可證明數(shù)據(jù)的起源地(數(shù)據(jù)來源認證)、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播(抗重放攻擊);ESP能提供的安全服務(wù)則更多，除了上述AH所能提供的安全服務(wù)外，還能提供數(shù)據(jù)機密性，這樣可以保證數(shù)據(jù)包在傳輸過程中不被非法識別;AHESP提供的數(shù)據(jù)完整性服務(wù)的差別在于，AH驗證的范圍還包括數(shù)據(jù)包的外部IP頭。在建??IPsec隧道的時候還需要用到一個重要的協(xié)議即IKE協(xié)議，通過建??IKE的兩個階段，完成數(shù)據(jù)的傳送。IPsecGREGRE（GenericRoutingEncapsulation，通用路由封裝）隧道已經(jīng)應(yīng)用了很長的一段時間，GRECisco公司提出，目的是提供IP網(wǎng)絡(luò)承載其他路由協(xié)議。某些網(wǎng)絡(luò)管理員為了降低其網(wǎng)絡(luò)核心的管理開銷，將除IP的所有傳送協(xié)議都刪除了，因而IPXAppleTalkIP協(xié)議只能通過GREIP核心網(wǎng)絡(luò)。如圖4.44.4IPXGRE隧道互連GRE是無狀態(tài)協(xié)議，與IPsec隧道不同，端點在通過隧道發(fā)送流量之前GREGRE的源動力就是任何東西都可以被封裝在其中，GRE的主要應(yīng)用就是在IP網(wǎng)絡(luò)中承載非IP包，這個恰恰是IPsec所不能的。另外與IPsec不同，GRE允許路由協(xié)議（OSPFBGP）穿越連接。但是GRE隧道不提供安全特性，不會對流量進行加密、完整性驗證，而IPsec剛好解決了這個難題，這樣基于IPsecGREVPN強大功能特性就充分體現(xiàn)了。VPNL2TPL2TP提供了一種遠程接入訪問控制的手段，其典型的應(yīng)用場景是：某公司員工通過PPP撥入公司本地的網(wǎng)絡(luò)訪問服務(wù)器(NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問相應(yīng)權(quán)限的網(wǎng)絡(luò)資源該員工出差到外地，此時他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當?shù)豂SPL2TP服務(wù)，首先撥入當?shù)豂SP，請求ISPNAS??L2TP會話，并協(xié)商建??L2TPISPPPP據(jù)通道化處理，通過L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過NAS接入公司內(nèi)網(wǎng)。L2TP本質(zhì)上是一種隧道傳輸協(xié)議，它使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息?？刂葡⒇撠焺?chuàng)建、維護及終止L2TP隧道，而數(shù)據(jù)隧道消息則負責用戶數(shù)據(jù)的真正傳輸。L2TP支持標準的安全特性CHAP可以進行用戶身份認證。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。L2TPIPsec的一個最大的不同在于它不對隧道傳輸中的數(shù)據(jù)進行加密，從而沒法保證數(shù)據(jù)傳輸過程中的安全。因此這個時候，L2TPIPsec結(jié)合使用，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPsec封裝對數(shù)據(jù)進行加密和提供完整性保護，由此保證通信數(shù)據(jù)安全傳送到目的地。因此就一般企業(yè)用戶構(gòu)建安全的VPN而言，應(yīng)該使用IPsec技術(shù)，當然如果需要實現(xiàn)安全的VPDN，就應(yīng)該采用L2TP+IPsec組合技術(shù)。SSLVPNSSL協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。SSL由許多子協(xié)議組成，其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前，彼此確認，協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來交換的數(shù)據(jù)。SSL??于應(yīng)用，因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細節(jié)。SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的傳輸層和應(yīng)用層之間。與復雜的IPSecVPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。IPSecVPN最大的難點在于客戶端需要安裝復雜的軟件，而且當用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數(shù)增長。SSLVPN好相反，客戶端不需要安裝任何軟件或硬件，使用標準的瀏覽器，就可通過SSL安全加密協(xié)議，安全地訪問網(wǎng)絡(luò)中的信息。SSLVPNIPsecVPN主要有以下優(yōu)點：SSLVPN之需要安裝配置好中心網(wǎng)關(guān)即可。其余的客戶端是免安裝的，因此，實施工期很短，如果網(wǎng)絡(luò)條件具備，連安裝帶調(diào)試，1-2天即可投入運營。容易維護：SSLVPN維護起來簡單，出現(xiàn)問題，就維護網(wǎng)關(guān)就可以了。如果有雙機備份的話，就可以啟用備份路由器。安全:SSLVPN是一個安全協(xié)議，數(shù)據(jù)全程加密傳輸?shù)?。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不倒內(nèi)部服務(wù)器。而SSLVPN就不一樣，實現(xiàn)的是IP別的訪問，遠程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒有區(qū)別。DVPNDVPN（DynamicVirtualPrivateNetwork,動態(tài)虛擬私有網(wǎng)絡(luò)技術(shù)）通過動態(tài)獲取對端的信息建??VPNDVPNNBMA類型的隧道機制，使TunnelDVPN隧道的端點，完成DVPN報文的封裝和發(fā)送，同時通過Tunnel接口完成私網(wǎng)路由的動態(tài)學習。DVPNClientServer的方式解決了傳統(tǒng)VPNClient通過在ServerClient自己的信息在SeverClientServer定向功能得到其它Client的信息，從而可以在Client之間建????Session（會話，進行數(shù)據(jù)傳輸?shù)耐ǖ馈．敹鄠€DVPN接入設(shè)備通過向共同Server進行注冊，構(gòu)建一個DVPN域，就實現(xiàn)了各個DVPN接入設(shè)備后面的網(wǎng)絡(luò)的VPN互聯(lián)。所有通過DVPN實現(xiàn)互連的私有網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的防火墻、路由器設(shè)備共同構(gòu)成DVPNDVPN不但繼承了傳統(tǒng)VPN的各種優(yōu)點，更大程度上解決了傳統(tǒng)VPN前還沒有解決的問題。配置簡單、網(wǎng)絡(luò)規(guī)劃簡單、功能強大，比傳統(tǒng)的VPN更加符合目前以及未來的網(wǎng)絡(luò)應(yīng)用。其特點如下：配置簡單:一個DVPN接入設(shè)備可以通過一個tunnel邏輯接口和多個VPN接入設(shè)備建??會話通道，而不用為每一個通道配置一個邏輯的接口作為隧道的端點，大大的簡化了配置的復雜度，提高了網(wǎng)絡(luò)的可維護性和易擴充性。支持依賴動態(tài)IP地址構(gòu)建VPN:當在一個DVPN域內(nèi)部構(gòu)建隧道時，只需要指定相應(yīng)的ServerIPIP地址是多少，更加適應(yīng)如普通撥號、xdsl撥號等使用動態(tài)IP地址的組網(wǎng)應(yīng)用。支持自動建??隧道技術(shù):DVPNserver維護著一個DVPN域中所有接入設(shè)備的信息，DVPNclientserver的重定向功能自動獲得需要進行通信的其它clientclient之間自動建??會話隧道（session。支持多個VPN:DVPN允許用戶在一臺DVPN設(shè)備上支持多個VPN一臺防火墻不僅可以屬于VPNA，也可以屬于VPNB；同一設(shè)備可以在VPNA作為client設(shè)備，同時還在VPNB中作為server設(shè)備使用。VPNMPLSMPLSVPN是一種基于MPLS（MultiprotocolLabelSwitching，多協(xié)議標簽交換）技術(shù)的VPN技術(shù)，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的IP擬專用網(wǎng)絡(luò)（IPVPN，可用來構(gòu)造寬帶的Intranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。VPN使用第二層隧道協(xié)議（L2TP、L2FPPTP）或者第三層隧道技術(shù)（IPsec、GRE，獲得了很大成功，被廣泛應(yīng)用。但是，隨著VPN范圍的擴大，傳統(tǒng)VPN在可擴展性和可管理性等方面的缺陷越來越突出。通MPLS技術(shù)可以非常容易地實現(xiàn)基于IPVPN業(yè)務(wù)，而且可以滿足VPN可擴展性和管理的需求。利用MPLSVPN，通過配置，可將單一接入點形成多種VPNVPN代表不同的業(yè)務(wù)，使網(wǎng)絡(luò)能以靈活方式傳送不同類型的業(yè)務(wù)。圖4.5MPLSVPN如上圖所示，MPLSVPN：CE、PEPCE（CustomerEdge）設(shè)備：是用戶網(wǎng)絡(luò)邊緣設(shè)備，有接口直接與服務(wù)提供商相連，可以是路由器或是交換機等。CE“感知”不到VPN的存在。PE（ProviderEdge）路由器：即運營商邊緣路由器，是運營商網(wǎng)絡(luò)的邊CEMPLSVPNPE路由器上。P（Provider）路由器：運營商網(wǎng)絡(luò)中的骨干路由器，不和CE直接相連。PMPLSCEPE的劃分主要是從運營商與用戶的管理范圍來劃分的，CEPE是兩者管理范圍的邊界。安全網(wǎng)關(guān)可以用于CEPE設(shè)備。4.4H3CSecPath/VPN防火墻是最主流也是最重要的安全產(chǎn)品，是邊界安全解決方案的核心。它可以對整個網(wǎng)絡(luò)進行區(qū)域分割，提供基于IPTCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IPNATIPMAC綁定、智能蠕蟲防護等安全增強措施。H3CSecPathF5000-A5是目前全球處理性能最高的分布式防火墻，旨在滿足大型企業(yè)、運營商和數(shù)據(jù)中心網(wǎng)絡(luò)高性能的安全防護。SecPathF5000-A5采用多核多線程、ASIC等先進處理器構(gòu)建分布式架構(gòu)，將系統(tǒng)管理和業(yè)務(wù)處理相分離，實現(xiàn)整機吞吐量達到40Gbps，使其具有全球最高性能的分布式安全處理能力。SecPathF5000-A5支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采ASPF（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進行檢測；支持多種VPNL2TPVPN、GREVPN、IPSecVPNVPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIPBGP/路由策略及策略路由。圖4.6SecPathF5000-A5組網(wǎng)實例H3CSecPathF1000系列防火墻總共有五款產(chǎn)品主要應(yīng)用于大中型企業(yè)H3CSecPathF100系列防火墻總共有七款產(chǎn)品，主要應(yīng)用于中小型企業(yè)。這兩個系列產(chǎn)品都具有支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能。SecPathV100-SH3C公司面向中小型企業(yè)用戶開發(fā)的新一代專業(yè)VPN網(wǎng)關(guān)設(shè)備。支持多種VPN業(yè)務(wù)，如L2TPVPN、GREVPN、IPSecVPN和動態(tài)VPN等，可以構(gòu)建多種形式的VPN；采用（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；提供基本的路由能力，支持RIPBGP路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊列調(diào)度策略。圖4.7SecPathV100-E網(wǎng)關(guān)在線部署模式SecPathSSLVPN系列網(wǎng)關(guān)是SecPath系列產(chǎn)品的新成員，是H3C公司開發(fā)的新一代專業(yè)安全產(chǎn)品。SecPathSSLVPN網(wǎng)關(guān)能夠讓用戶直接使用瀏覽器訪問內(nèi)部網(wǎng)絡(luò)資源，無需安裝客戶端軟件，提供了高經(jīng)濟、低成本的遠程移動安全接入方式。如圖4.7所示,SecPathV100-EIPSecVPNSSLVPN功能與一體的專業(yè)VPN網(wǎng)關(guān)，還具有完善的防火墻功能，能夠有效的保護網(wǎng)絡(luò)安全；采用應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段；提供基本的路由能力，支持路由策略及策略路由；支持豐富的QoS特性。H3CH3CSecBladeFWH3CS5800S9500E交換機以及SR6600/SR8800路由器。SecBladeFW集成防火墻、VPN、內(nèi)容過濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護。能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、URL過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。采用（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測技術(shù)，實時檢測應(yīng)用層連接狀態(tài)，實現(xiàn)3-7層安全防護。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進行網(wǎng)絡(luò)管理。如圖4.8部署圖所示。圖4.8SecBladeFW模塊的組網(wǎng)應(yīng)用SecBladeFW降低了用戶管理難度，減少了維護成本。H3CSSLVPNH3CSSLVPN模塊主要有兩類，一類是基于SecPathSSLVPN模塊，主要應(yīng)用于大中型企業(yè)和ISP廠商；另一類是基于SecBladeSSLVPN模塊，主要應(yīng)用于中小型客戶。SecPathSSLVPN模塊系列產(chǎn)品是H3C公司面向大中型企業(yè)用戶開發(fā)的新一代專業(yè)安全產(chǎn)品設(shè)備。SSLVPN模塊可以和SecPath防火墻實現(xiàn)無縫融合，能夠讓用戶在最低成本情況下部署移動用戶、遠程分支和外聯(lián)網(wǎng)VPN接入，實現(xiàn)用戶網(wǎng)絡(luò)的安全連通。SecPathSSLVPN模塊可提供安全的遠程訪問服務(wù)，可以在不安裝客戶端軟件的情況下，直接使用瀏覽器安全存取企業(yè)內(nèi)部網(wǎng)絡(luò)VPN訪問的細粒度控制，可以管理用戶訪問的文件目錄、URL、服務(wù)器資源等；支持動態(tài)授權(quán)功能，對遠程主機的安全狀態(tài)進行評估，限制不安全遠程主機的訪問權(quán)限，從而保證網(wǎng)絡(luò)資源的安全訪問。具體參見下面4.9SecPathSSLVPN模塊部署圖。圖4.9SecPathSSLVPN模塊部署模式H3CSecBladeSSLVPN模塊應(yīng)用于S7500E交換機/SR6600路由器上，提供方便、快捷的遠程安全接入。用戶無需安裝客戶端軟件，直接使用瀏覽器訪問內(nèi)部網(wǎng)絡(luò)資源，提供了方便、低成本的遠程移動安全接入方式。圖4.10SecBladeSSLVPN模塊的組網(wǎng)應(yīng)用SecBladeSSLVPN模塊采用業(yè)界先進的遠端安全狀態(tài)檢測技術(shù)，能限制不安全遠程終端的接入；通過細粒度VPN訪問權(quán)限控制，保證用戶對網(wǎng)絡(luò)資源的安全訪問。SecBladeSSLVPN模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。具體應(yīng)用如圖4.9H3CASMH3CASM（Anti-VirusSecurityModule）是應(yīng)用于H3CSecPath防火墻/MSR路由器中的防病毒安全模塊，具有查殺毒能力強、易部署、成本低、配置管理方便等特點。ASM防病毒模塊可以快速有效的阻斷蠕蟲王、沖擊波、麥托、尼姆達、震蕩波和高波等網(wǎng)絡(luò)蠕蟲病毒的滲透，防御外部網(wǎng)絡(luò)的蠕蟲病毒、后門木馬和垃圾郵件侵襲；采用面向?qū)ο蟮母叻€(wěn)定性設(shè)計和高應(yīng)變型智能引擎，可以識別和處理未知病毒，降低網(wǎng)絡(luò)風險；支持在線實時升級功能，能夠?qū)崟r升級病毒特征庫及病毒引擎；支持對知名協(xié)議和文件的識別、處理，并且可以定制相應(yīng)病毒防范策略。4.11所示，將配置ASM模塊的防火墻分別部署在總部和分支機構(gòu)的出口處，防止外部網(wǎng)絡(luò)對內(nèi)網(wǎng)的病毒攻擊，同時可以防止分支內(nèi)部病毒對總部網(wǎng)絡(luò)的攻擊。通過整個網(wǎng)絡(luò)的綜合防御，為企業(yè)用戶構(gòu)建一個安全、可靠的網(wǎng)絡(luò)環(huán)境。圖4.11SecBladeSSLVPN模塊的組網(wǎng)應(yīng)用H3CNSMNSM（NetworkSecurityMonitor）網(wǎng)絡(luò)安全監(jiān)控模塊，是H3C在防火墻產(chǎn)品上開發(fā)的流量監(jiān)控軟硬件平臺。NSM單板可以在H3CSecPathF1000-AH3CSecPathF1000-S、H3CSecPathF100-A等型號的防火墻設(shè)備上使用，將流經(jīng)防火墻設(shè)備的所有流量進行統(tǒng)計和分析，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全服務(wù)。NSM用于防火墻流量的監(jiān)控，利用防火墻在網(wǎng)絡(luò)中得天獨厚的位置，使Internet通訊的流量都會經(jīng)過防火墻設(shè)備，從而使NSM能夠獲取最為全面的流量數(shù)據(jù)，提供更加細致的網(wǎng)絡(luò)安全服務(wù)。4.12NSM模塊的組網(wǎng)應(yīng)用防火墻設(shè)備作為網(wǎng)關(guān)位置的隔離設(shè)備，所有進出流量都要通過防火墻設(shè)備處理，通過集成于防火墻上的NSM網(wǎng)絡(luò)安全監(jiān)控模塊能方便的監(jiān)控所有進出的流量。H3CIPSUTMIPS(IntrusionPreventionSystem，入侵預防系統(tǒng))是電腦網(wǎng)路安全設(shè)施，（AntivirusPrograms）(PacketFilter,ApplicationGateway)的補充。IPS是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。H3C產(chǎn)品型號包括從50Mbps處理性能的H3CIPS505Gbps處理性能H3CIPS5000ESOHO辦公、中小企業(yè)、到大企業(yè)和電信運營商的各種組網(wǎng)需求。4.13IPS的組網(wǎng)應(yīng)用H3C的入侵防御系統(tǒng)能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點到點應(yīng)用濫用。通過深達第七層的流量偵測，H3C入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。利用H3C提供的數(shù)字疫苗服務(wù)，入侵防御系統(tǒng)能得到及時的特征、漏洞過濾器、協(xié)議異常過濾器和統(tǒng)計異常過濾器更新從而主動地防御最新的攻擊。此外，H3C的入侵防御系統(tǒng)是目前能夠提供微秒級時延、高達5G的吞吐能力和帶寬管理能力的最強大的入侵防御系統(tǒng)。H3CSecPathUTM（UnitedThreatManagement，統(tǒng)一威脅管理)采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時提供病毒防護、URL過濾、漏洞攻擊防護、垃圾郵件防護、應(yīng)用層流量控制和用戶行為審計等安全功能。具體部署如下圖4.144.14UTM的組網(wǎng)應(yīng)用H3C的SecPathUTM系列產(chǎn)品包括SecPathU200-ASecPathU200-MSecPathU200-S、SecPathU200-CA、SecPathU200-CM、SecPathU200-CS六類。需要根據(jù)具體的要求部署相關(guān)的產(chǎn)品。Internet的迅速發(fā)展，對網(wǎng)絡(luò)的安全性要求越來越高，尤其是在用戶訪問關(guān)鍵性資源和對其進行操作時。對于用戶身份認證和網(wǎng)絡(luò)接入控制的方法有很多，不過對我們而言不是部署的安全措施越多越好，而是在合適的位置根據(jù)合理的要求來部署安全措施。下面介紹主要的幾種安全措施。AAAAAA是Authentication，AuthorizationandAccounting（認證、授權(quán)和計費）的簡稱，它提供了一個用來對認證、授權(quán)和計費這三種安全功能進行配置的一致性框架，實際上是對網(wǎng)絡(luò)安全的一種管理。AAA是一種管理框架，因此，它可以用多種協(xié)議來實現(xiàn)。H3C廠商的設(shè)備主要支持RADIUS和HWTACACS兩種協(xié)議。AAA安全服務(wù)的用途很廣泛，主要包括TelnetSSH802.1X驗證，VPN接入，設(shè)備訪問等。RADIUS協(xié)議配置是以RADIUS方案為單位進行的。當創(chuàng)建一個新的RADIUS方案之后，需要對屬于此方案的RADIUSIPUDP口號進行設(shè)置，這些服務(wù)器包括認證/授權(quán)和計費服務(wù)器，而每種服務(wù)器又有主服務(wù)器和從服務(wù)器的區(qū)別。每個RADIUSIP地址、從服務(wù)器的IP地址、共享密鑰以及RADIUS服務(wù)器類型等。如下圖5.1所示：在實際組網(wǎng)環(huán)境中，必須至少設(shè)置一個認證/授權(quán)服務(wù)器和一個計費服務(wù)器（如果不配置計費服務(wù)器，則必須配置accountingoptional命令。同時，保證交換機上的RADIUS服務(wù)端口設(shè)置與RADIUS服務(wù)器上的端口設(shè)置保持一致。在實踐中，人們最常使用RADIUS協(xié)議來實現(xiàn)AAA5.1Telnet用戶的Radius認證典型組網(wǎng)圖HWTACACS（HUAWEITerminalAccessControllerAccessControlSystem）是在TACACS（RFC1492）基礎(chǔ)上進行了功能增強的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，主要是通過Client-ServerTACACS服務(wù)器通信來實現(xiàn)多種用戶的AAAPPPVPDN接入用戶及終端用戶的認證、授權(quán)和計費。與RADIUSHWTACACS具有更加可靠的傳輸和加密特性，更加適合于安全控制。HWTACACSRADIUS協(xié)議的主要區(qū)別如下表所示。HWTACACSRADIUSTCPHWTACACS只是對驗證報文中的密碼字段進行加HWTACACS的典型應(yīng)用是撥號用戶或終端用戶需要登錄到設(shè)備上進行操作。交換機作為HWTACACS的客戶端，將用戶名和密碼發(fā)給TACACS服務(wù)器進行驗證，驗證通過并得到授權(quán)之后可以登錄到交換機上進行操作。如圖5.2所示。圖5.2HWTACACS的典型應(yīng)用組網(wǎng)圖EADEAD（EndpointAdmissionDefense，端點準入防御）安全產(chǎn)品是一套融H3C網(wǎng)絡(luò)設(shè)備、用戶終端和第三方安全產(chǎn)品的全網(wǎng)安全體系框架，其目的是整合孤??的單點安全部件，加強網(wǎng)絡(luò)終端的主動防御能力，控制病毒、蠕蟲的蔓延。形成完整的網(wǎng)絡(luò)安全體系，最終為用戶提供端到端安全防護。EDA方案完全可以媲美CiscoNAC(NetworkAccesscontrol,網(wǎng)絡(luò)準入控制)方案。5.3CAMS與交換機配合實現(xiàn)EAD功能特性組網(wǎng)示意圖5.3所示，EAD安全產(chǎn)品由四個功能組件組成：安全客戶端及客戶端插件接口、客戶端管理代理、安全策略服務(wù)器和CAMS安全組件。CAMS全組件的主要功能是對終端用戶的安全策略進行配置；安全策略服務(wù)器則用于對用戶終端的染毒狀況、殺毒策略、系統(tǒng)補丁、軟件使用情況進行集中管理、強制配置（如強制病毒客戶端升級、強制打補丁，確保全網(wǎng)安全策略的統(tǒng)一。同時，它們通過客戶端管理代理與安全客戶端相配合，記錄用戶的安全日志，并提供查詢及監(jiān)控功能，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全狀態(tài)的詳細信息。H3CEAD安全產(chǎn)品可以構(gòu)建分布式的、內(nèi)外結(jié)合的網(wǎng)絡(luò)安全架構(gòu)，最大限度的防止非法入侵。在EAD解決方案的框架下，用戶的認證過程可以分為兩個步驟：用戶身份認證和安全認證。用戶身份認證在CAMS平臺上進行，通過用戶名和密碼來確定用戶是否如果安全認證通過，則用戶的隔離狀態(tài)被解除，可以正常訪問網(wǎng)絡(luò)資源；如果安全認證不通過，則繼續(xù)隔離用戶，直到用戶完成相關(guān)修復操作后通過安全認證為止。5.3802.1XIEEE802LAN/WAN委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，提出了802.1X協(xié)議。后來，802.1X協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制用在以太網(wǎng)中，主要解決以太網(wǎng)內(nèi)認證和安全方面的問題。例如我校中國計量學院的內(nèi)網(wǎng)接入運用的就是802.1X接入。802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控（PortBasedNetworkAccessControl）協(xié)議。“基于端口的網(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入控制設(shè)備的端口這一級對所接入的設(shè)備進行認證和控制。連接在端口上的用戶設(shè)備如果能通過認證，就可以訪問局域網(wǎng)中的資源；如果不能通過認證，則無法訪問局域網(wǎng)中的資源——相當于連接被物理斷開。5.4802.1X接入控制組網(wǎng)示意圖5.4所示：端口Ethernet11上對用戶接入進行認證，以控制其訪Internet；接入控制模式要求是基于MAC地址的接入控制,即該端口下的所有接入用戶均需要單獨認證，當某個用戶下線時，也只有該用戶無法使用網(wǎng)絡(luò)。交換機收到客戶的訪問請求后，將其交給認證服務(wù)器，在此之前僅允許客戶端的認證流量通過。在交換機上啟動了對802.1X客戶端的版本驗證功能后，交換機會對接入用戶的802.1X客戶端軟件的版本和合法性進行驗證，以防止使用有缺陷的老版本客戶端或者非法客戶端的用戶上網(wǎng)。802.1x提供了一個用戶身份認證的實現(xiàn)方案，為了實現(xiàn)此方案，除了配置802.1x相關(guān)命令外，還需要在交換機上配置AAA方案，選擇使用RADIUS或本地認證方案，以配合802.1x完成用戶身份認證,以下是認證過程示意圖。5.5802.1X認證過程示意圖保護網(wǎng)絡(luò)中的設(shè)備是網(wǎng)絡(luò)安全最重要的任務(wù)之一。網(wǎng)絡(luò)設(shè)備屬于網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)層面，一旦遭到攻擊，該受損設(shè)備可能被配置成攻擊者想要它做的動作，后果不堪設(shè)想。網(wǎng)絡(luò)設(shè)備包括路由器、交換機、防火墻集中器和入侵檢測設(shè)備。本章從設(shè)備物理安全、訪問控制方法、遠程訪問等方面介紹保證設(shè)備安全的方法。物理安全包括判斷對設(shè)備潛在的物理威脅，以及設(shè)計方法阻止它們對網(wǎng)絡(luò)造成的影響。物理安全可以防止入侵者獲得對設(shè)備的物理訪問，即手動接觸。物理安全比起網(wǎng)絡(luò)安全更為重要，但往往被網(wǎng)絡(luò)管理員所忽略。盡管有各種高層次的保護措施，但物理訪問收到威脅會危及到整個網(wǎng)絡(luò)。保證物理安全主要有以下幾個方面：冗余設(shè)備：即在正常運行的設(shè)備外再購置一整套同樣的設(shè)備，運行相同的服務(wù)，而且位置最好不要跟原來設(shè)備很近，避免自然災(zāi)害的襲擊。雖然看來多此一舉，然而美國“911”事件讓那些做了此項物理備份的企業(yè)獲益匪淺，充分說明了這一措施的重要意義。網(wǎng)絡(luò)的安全位置：IDC數(shù)據(jù)中心和機房盡量在安全的地方，要裝避雷針，還要能夠避免火災(zāi)和剛強度的電磁信號干擾。選擇安全介質(zhì)：線纜的竊聽已經(jīng)成為一種攻擊的新型手段，同軸電纜和雙絞線比較容易搭線竊聽，光線最難竊聽。在關(guān)鍵線路如核心層之間要采用高可靠性的介質(zhì)，避免線路故障帶來的網(wǎng)絡(luò)故障。電力供應(yīng)：雖然數(shù)據(jù)是網(wǎng)絡(luò)的生命之源，但只有在電力驅(qū)動他們要運行的機器時才會流動。采用24小時不斷電的UPS電源，另外最好有一個備份電源。任何人登錄到網(wǎng)絡(luò)設(shè)備上都能夠顯示一些重要的配置信息。一個攻擊者可以將該設(shè)備作為攻擊的中轉(zhuǎn)站。所以我們必須正確控制網(wǎng)絡(luò)設(shè)備的登錄訪問。盡管大部分的登錄訪問缺省都是禁止的。但是有一些例如，比如控制臺端口(Console)默認就是允許登錄的。Console登錄是最基本的登錄方式，管理員需要用Console線物理連接到需要管理的設(shè)備上，在終端上設(shè)置好相應(yīng)的波特率、數(shù)據(jù)位、奇偶校檢位、停止位、流控等參數(shù)。這種登陸最好需要用用戶帳號來限制登錄。大多時候我們調(diào)試設(shè)備，不可能在IDC機房里實現(xiàn)，更多的時候是遠程控制。目前主流的遠程登錄方式有Telnet和SSH兩種。Telnet為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用Telnet程序，用它連接到服務(wù)器。終端使用者可以在Telnet程序中輸入命令，這些命令會在服務(wù)器上運行，就像直接在服務(wù)器的控制臺上輸入一樣。可以在本地就能控制服務(wù)器。要開始一個Telnet話，必須輸入用戶名和密碼來登錄服務(wù)器。但是Telnet登錄方式在傳輸用戶名和密碼的過程中并不對其進行加密SSH（SecureShell，安全外殼）是一個用于在非安全網(wǎng)絡(luò)中提供安全的遠程登錄以及其他安全網(wǎng)絡(luò)服務(wù)的協(xié)議。當用戶通過非安全的網(wǎng)絡(luò)環(huán)境遠程登錄到交換機時，每次發(fā)送數(shù)據(jù)前，SSH都會自動對數(shù)據(jù)進行加密，當數(shù)據(jù)到達目的地時，SSH自動對加密數(shù)據(jù)進行解密，以此提供安全的信息保障，以保護交換機不受諸如明文密碼截取等攻擊。除此之外，SSH還提供強大的認證功能，以保護不受諸如“中間人”等攻擊方式的攻擊。SSH采用客戶端——服務(wù)器模式。SSH服務(wù)器接受SSH客戶端的連接并提供認證，SSH客戶端與SSH服務(wù)器建??SSH連接，從而實現(xiàn)通過SSH登錄到SSH服務(wù)器端。用戶名和密碼兩個參數(shù)的組合可以很好的實現(xiàn)用戶識別。要建??一個身份認證系統(tǒng)，可以再設(shè)備本身上，最好是在RadiusHWTacacs服務(wù)器上。這個系統(tǒng)可以在很多場合應(yīng)用例如：Telnet或者SSH虛擬類型終端路線、VPN用戶、802.1X終端接入等。另外密碼的設(shè)定上，盡量不要用一些大家容易猜測的密碼如666666、12345或者是公司英文名稱。進入系統(tǒng)視圖的密碼盡量用MD5加密，這樣非管理員用戶就不能通過相關(guān)命令來獲取該密碼。用戶帳號可以設(shè)定不同的級別，不同的帳號針對的用戶需求設(shè)定不同的命令行級別，例如：訪問級、監(jiān)控級、系統(tǒng)級、管理級4個級別。SNMPSNMP(SimpleNetworkManagementProtocol,簡單網(wǎng)絡(luò)管理協(xié)議)是目前網(wǎng)絡(luò)中用得最廣泛的網(wǎng)絡(luò)管理協(xié)議。SNMP是被廣泛接受并投入使用的工業(yè)標準，用于保證管理信息在網(wǎng)絡(luò)中任意兩點間傳送，便于網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點檢索信息、修改信息、定位故障、完成故障診斷、進行容量規(guī)劃和生成報告。SNMP采用輪詢機制，只提供最基本的功能集，特別適合在小型、快速和低價格的環(huán)境中使用。SNMP的實現(xiàn)基于無連接的傳輸層協(xié)議UDP此可以實現(xiàn)和眾多產(chǎn)品的無障礙連接。目前SNMP有三個版本，SNMPV1、SNMPV2C采用團體名（CommunityName）認證，SNMPV3采用用戶名和密碼認證方式。大多數(shù)企業(yè)目前采用的是SNMPV2。SNMP分為NMS和Agent兩部分：NMS和Agent。NMS（NetworkManagementStation，網(wǎng)絡(luò)管理站）是運行客戶端程序的工作站，目前常用的網(wǎng)管平臺有QuidViewSunNetManagerIBMNetViewAgent運行在網(wǎng)絡(luò)設(shè)備上的服務(wù)器端軟件。NMSAgentGetRequest、GetNextRequestSetRequestAgentNMS的這些請求報文后，根據(jù)報文類型進行ReadWriteResponse報文，并將報文返回NMSAgent在設(shè)備發(fā)生異常情況或狀態(tài)改變時（如設(shè)備重新啟動，也會NMSTrapNMS匯報所發(fā)生的事件。NTPNTP（NetworkTimeProtocol，網(wǎng)絡(luò)時間協(xié)議）是由RFC1305定義的時間同步協(xié)議，用來在分布式時間服務(wù)器和客戶端之間進行時間同步。NTP使用UDP端口123進行報文的傳輸。NTP的目標是對網(wǎng)絡(luò)內(nèi)所有具有時鐘的設(shè)備進行時鐘同步，使網(wǎng)絡(luò)內(nèi)所有設(shè)備的時鐘基本保持一致，從而使設(shè)備能夠提供基于統(tǒng)一時間的多種應(yīng)用。對于開啟了日志功能的服務(wù)器，NTP協(xié)議至關(guān)重要，如果日志統(tǒng)計的事件不能通過時間反映，那么會對我們通過日志分析網(wǎng)絡(luò)系統(tǒng)帶來巨大影響。對于運行NTP的本地系統(tǒng)，既可以接受來自其他時鐘源的同步，又可以作為時鐘源同步其他時鐘，并且可以通過交換NTP報文互相同步。對于網(wǎng)絡(luò)中的設(shè)備，如果依靠管理員手工輸入命令來修改系統(tǒng)時鐘是不可能的，這不但工作量巨大，而且也不能保證時鐘的精確性。但通過配置NTP，可以很快將網(wǎng)絡(luò)中設(shè)備的時鐘同步，同時也能保證很高的精度。目前主流的NTP模式是服務(wù)器/客戶端模式，設(shè)定一個服務(wù)器，其它均為客戶端，客戶端在跟服務(wù)器時鐘同步之前需要提交用戶帳號等信息，認證信息通過后會跟服務(wù)器時鐘保持同步。這樣所有日志統(tǒng)計事件所產(chǎn)生的時間也會一樣。5.4.4H3C的網(wǎng)絡(luò)設(shè)備會默認開啟一些不安全的服務(wù)，大多數(shù)情況下我們并不需要這樣的服務(wù)，如果這種服務(wù)被黑客利用將會對我們的網(wǎng)絡(luò)系統(tǒng)造成重要影響，所以我們應(yīng)該禁用這些服務(wù)。以下列出幾種常見的禁用的服務(wù)。IP無類別路由選擇服務(wù)：路由器可能會收到一些發(fā)往一個沒有網(wǎng)絡(luò)缺省路由的子網(wǎng)的數(shù)據(jù)包，如果啟用了IP無類別服務(wù)時，會將這些數(shù)據(jù)包轉(zhuǎn)發(fā)給最有可能路由的超網(wǎng)。Finger服務(wù)：Finger協(xié)議（端口79）允許網(wǎng)絡(luò)上的用戶獲得當前正在使用特定路由選擇設(shè)備的用戶列表，顯示的信息包括系統(tǒng)中運行的進程、鏈路號、連接名、閑置時間和終端位置。DHCP服務(wù)：如果系統(tǒng)沒有啟用DHCPIP地址的分配，就關(guān)閉此項功能，防止非法入侵用戶獲得IP地址。IP源路由：應(yīng)該在所有的路由器上關(guān)閉，包括邊界路由器。避免IP路由攻擊。BootPBootPUDP服務(wù)，可以用來給一臺無盤工作站指定地址信息，以及在很多其它情況下，在設(shè)備上加載操作系統(tǒng)。PAD服務(wù)：用在X.25網(wǎng)絡(luò)上。以提供遠程站點間的可靠連接。PAD能給黑客提供有用的功能。假設(shè)黑客能獲得直接連接在路由器上的設(shè)備的控制權(quán)，而如果路由器在運行PAD服務(wù)，它將接受任何PAD連接。在構(gòu)建任何大型網(wǎng)絡(luò)時，路由大概是最關(guān)鍵的要素。為了網(wǎng)絡(luò)安全的操作，在構(gòu)建網(wǎng)絡(luò)的路由基礎(chǔ)結(jié)構(gòu)時將安全牢記在心是根本。本章著眼于在構(gòu)建網(wǎng)絡(luò)路由基礎(chǔ)結(jié)構(gòu)時應(yīng)該注意的一些要素。我們將討論網(wǎng)絡(luò)路由設(shè)計時最關(guān)鍵因素。本章以靜態(tài)路由、BGP和OSPF路由協(xié)議為主。靜態(tài)路由是一種特殊的路由，它由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置而成。通過靜態(tài)路由的配置，可建??一個完整的網(wǎng)絡(luò)，這種方法的問題在于當一個網(wǎng)絡(luò)故障發(fā)生后，靜態(tài)路由不會自動發(fā)生改變必須有網(wǎng)絡(luò)管理員的介入。因此此方法對保證網(wǎng)絡(luò)不間斷運行存在一定的局限性，我們推薦在下面兩種情況下使用靜態(tài)路由。一種是在穩(wěn)固的網(wǎng)絡(luò)中使用，減少路由選擇問題和路由選擇數(shù)據(jù)流的過載；另一種是在構(gòu)建非常大型的網(wǎng)絡(luò)，各大區(qū)域通過1-2條主鏈路連接，靜態(tài)路由的隔離特征能夠有助于減少整個網(wǎng)絡(luò)中路由選擇協(xié)議的開銷，限制路由選擇發(fā)生改變和出現(xiàn)問題的范圍。H3C系列路由器支持多路由模式，即允許配置到同一目標IP地址/目標IP地址掩碼，并且優(yōu)先級也相同的路由。我們把它們看成同一條路由，只不過有多個下一跳地址。這樣到同一目的地存在這不同的路徑，而且它們的優(yōu)先級也相同，在沒有比這優(yōu)先級更高的路由時，該路由被IP層采納。在往該目的地發(fā)包時，由IP依次通過各條路徑來發(fā)送，自動實現(xiàn)網(wǎng)絡(luò)的負載分擔。H3C系列路由器支持路由備份，當各個備份線路發(fā)生變化時自動實現(xiàn)路由之間的切換，提高用戶網(wǎng)絡(luò)的可靠性。為了實現(xiàn)路由的備份，用戶可根據(jù)實際情況配置到同一目的地的多條路由。設(shè)置通過主路徑的路由優(yōu)先級最高，，其余的備份路徑依次遞減，這樣正常情況下路由器采用主路徑發(fā)送數(shù)據(jù)，當線路發(fā)生故障時該路由自動隱藏，路由器會選擇余下的優(yōu)先級最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。這樣也就實現(xiàn)了主口到備份口的切換，當主路徑恢復正常時，路由器恢復相應(yīng)的路由，并重新選擇路由。由于該路由的優(yōu)先級最高，路由器選擇主口路由來發(fā)送數(shù)據(jù)，上述過程是備份口到主口的自動切換。通常的做法網(wǎng)絡(luò)中部署了OSPFBGP路由協(xié)議，在關(guān)鍵路徑上部署一條靜態(tài)路由，不過要將其優(yōu)先級低于主路由協(xié)議，這樣可以在主路由協(xié)議失效時起到備份作用。OSPFOSPF(OpenShortestPathFirst，開放式最短路徑優(yōu)先)是一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由。目前使用的是版本2（RFC2328。具有適應(yīng)范圍廣泛，收斂速度快，無自環(huán)、以組播方式發(fā)送報文等特點。支持區(qū)域劃分、路由分級、驗證等特性。OSPF路由協(xié)議是目前部署最為廣泛的一種路由協(xié)議，協(xié)議的安全性對網(wǎng)絡(luò)有著重要意義。路由器通過對路由協(xié)議的身份認證來防范外來攻擊，以及防范不實際協(xié)議包對路由的錯誤誘導，從而保證網(wǎng)絡(luò)數(shù)據(jù)不丟失或被竊取。下表1協(xié)議包中所設(shè)認證類型，空認證（協(xié)議包頭不包含任何認證信息）是路由配置中缺省的配置。MD5密碼認證和明文口令認證被用于對OSPF路由協(xié)議包的認證，MD5密碼認證比明文口令認證更為安全，因為MD5認證的口令在所傳送的協(xié)議包中是不可見的，而明文認證的口令在所傳送的協(xié)議包中是可見的。僅當鄰居不支持MD5認證時，明文認證才被選用。類型描述空認證（不認證明文口令認證MD5密碼認證1分層路由設(shè)計最初是為了解決路由的可擴展性問題。但人們發(fā)現(xiàn)層次化路由不僅減小了路由表的大小,減少了網(wǎng)絡(luò)流量,保證了網(wǎng)絡(luò)的快速收斂,而且改善了安全性。6.1OSPF分層視圖OSPF是一個分為骨干區(qū)域和非骨干區(qū)域的兩層路由協(xié)議,各非骨干區(qū)域通ABR與骨干區(qū)域相連，如圖6.1所示。非骨干區(qū)域內(nèi)部路由信息通過ABR匯總進入骨干區(qū)域,通告給其他區(qū)域。在通告時可以制定通告的策略通過不通告或只通告匯聚的路由信息等方式隱藏要被通告區(qū)域的某些重要信息,而且不同的LSA通告范圍不同,本區(qū)域內(nèi)的拓撲結(jié)構(gòu)對其他區(qū)域來說是透明的,避免了拓撲的整體暴露。因此一個區(qū)域受到攻擊,一般并不會導致其他區(qū)域也遭受攻擊。層次化的路由使路由選擇分為兩層:域內(nèi)路由選擇和域間路由選擇。域內(nèi)路由的優(yōu)先級比域間路由的優(yōu)先級要高,協(xié)議總是優(yōu)先考慮本區(qū)域內(nèi)部的路徑。所以區(qū)域內(nèi)的路由選擇不受路由選擇的不穩(wěn)定和其它區(qū)域的錯誤配置影響。LSA是通過可靠的泛洪進行通告的,確保了鏈路狀態(tài)數(shù)據(jù)庫在本區(qū)域的一致性,從而保證了計算出路由的一致性。由于這個特性,使得OSPF具有一定的自衛(wèi)性。當某一節(jié)點試圖發(fā)送偽造的或是修改的LSA時,只要有一條其他的可用路由,使該LSA所聲明的通告路由器收到該LSA,若該LSA描述的信息與自身信息不一致時,該路由器會生成一個新的LSA實例,將其LSA的序號超過所接收到的LSA序號,并泛洪出去,從而使偽造的LSA被丟棄,實現(xiàn)一定程度的自衛(wèi)。沖突檢測系統(tǒng)很容易發(fā)現(xiàn)此種現(xiàn)象,對于設(shè)計相關(guān)檢測系統(tǒng)也很有意義。如果路由器沒有正確配置OSPF協(xié)議，導致大量前綴被重分發(fā)，則可能生成大量的LSA，這將耗盡本地的CPU和內(nèi)存資源。啟用LSDB功能后，路由器將記錄其收到的而且存在LSDBLSA數(shù)量。如果這個數(shù)量超過一定的限制，就把一條錯誤信息寫入日志，并在它超過規(guī)定值時發(fā)出警告通知并采取相應(yīng)的措施。DR\BDRID在諸如以太網(wǎng)等多路訪問廣播網(wǎng)絡(luò)中，OSPF通常要選舉DRBDR，這個選舉過程類似于生成樹STP協(xié)議中選舉跟網(wǎng)橋的過程。首先看優(yōu)先級，優(yōu)先級高的成為DR，次之為BDR；若是優(yōu)先級一樣再看路由器ID標識，標識高的DRBDR。廣播網(wǎng)絡(luò)中，所有的路由器只跟DR??鄰居關(guān)系，如DR出現(xiàn)故障，則有BDR替代。為了保證網(wǎng)絡(luò)穩(wěn)定，我們應(yīng)該將性能較好的路由器或者處于SPOKE-HUB中心節(jié)點的設(shè)備指定為優(yōu)先級最高。路由器IDOSPF中非常重要，而且是唯一的。默認情況下啊，在OSPF動時，將路由器ID設(shè)為最大的活動物理接口的IP地址；如果有環(huán)回接口，IP地址總是優(yōu)于物理接口地址；如果配置了OSPF中專門用來標識的命令router-idip-address推薦采用最后一種做法。BGPBGP（BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議）是用來連接Internet上的獨??系統(tǒng)的路由選擇協(xié)議。它是Internet工程任務(wù)組制定的一個加強的、完善的、可伸縮的協(xié)議。BGP4CIDR尋址方案，該方案增加了Internet上的可用IP地址數(shù)量。BGP是為取代最初的外部網(wǎng)關(guān)協(xié)議EGP設(shè)計的。主要運用于運營商和大型企業(yè)之間。域間路由協(xié)議BGP的安全性直接影響著互聯(lián)網(wǎng)路由的可用性，接下來介紹幾種保證BGP協(xié)議安全性的方法。BGP在每條BGP鏈接建??時,對等體之間交換一個會晤密鑰并對每個BGP文進行加密,這樣能為所有類型的BGP報文提供機密性,也為一些在相鄰對等體之間傳遞的如?；?、通告報文以及一些由更新報文攜帶的隨AS變化而更動的路徑屬性如下一條屬性、本地優(yōu)先級屬性等提供可靠性和完整性保證。除了采用對等體認證外，還可以通過增加報文序列號增加安全性。在每條報文頭里面增加一個序列號,在BGP連接剛建??時被初始化為零,然后隨每一個報文的發(fā)出遞增。當檢測到一個跳躍的或重發(fā)的序列號時,就用一個Notification報文終止BGP鏈路。BGP在實際的網(wǎng)絡(luò)中，有一種非常普遍的現(xiàn)象，即一個路由器會有多個屬于一類的BGPPeer。這里的“屬于一類”是指BGP的策略相同或類似，當Peer比較多時，BGP的配置會變得臃腫，同時，路由器的負載也會加重，因為一旦有路由的更新，路由器需要針對每個Peer做一次策略計算（雖然策略都相同。另外，應(yīng)用PeerGroup還有一個好處，就是降低了對路由器設(shè)備的資源消耗，因為路由