《网络安全实用教程》配套(人民邮电出版)ch4

第4章网络硬件设备安全本章有五小节：4.1网络硬件系统的冗余4.2网络机房设施与环境安全4.3路由器安全4.4交换机安全4.5服务器和客户机安全4．1网络硬件系统的冗余4.1.1网络系统的冗余系统冗余就是重复配置系统的一些部件。当系统某些部件发生故障时，冗余配置的其它部件介入并承担故障部件的工作，由此提高系统的可靠性。也就是说，冗余是将相同的功能设计在两个或两个以上设备中，如果一个设备有问题，另外一个设备就会自动承担起正常工作。冗余技术又称储备技术，它是利用系统的并联模型来提高系统可靠性的一种手段。采用“冗余技术”是实现网络系统容错的主要手段。4.1.2网络设备的冗余网络系统的主要设备有网络服务器、核心交换机、存储设备、供电设备以及网络边界设备(如路由器、防火墙)等。为保证网络系统能正常运行和提供正常的服务，在进行网络设计时要充分考虑主要设备的部件或设备的冗余。1．网络设备的冗余类型网络服务器系统冗余核心交换机冗余供电系统的冗余链接冗余网络边界设备冗余空闲备件4.1.3交换机端口汇聚与镜像1．交换机端口汇聚(1)端口汇聚的概念端口聚合也叫以太通道(ethernetchannel)，主要用于交换机之间的连接。利用端口汇聚技术，交换机会把一组物理端口联合起来，做为一个逻辑通道。这时，交换机会认为这个逻辑通道为一个端口。(2)交换机端口汇聚技术的实现(以H3C交换机为例)2．交换机端口镜像(1)基于交换机端口的镜像配置(2)基于三层流的镜像配置(3)基于二层流的镜像配置4.2网络机房设施与环境安全保证网络机房的实体环境(即硬件和软件环境)安全是网络系统正常运行的重要保证。因此，网络管理部门必须加强对机房环境的保护和管理，以确保网络系统的安全。只有保障机房的安全可靠，才能保证网络系统的日常业务工作正常进行。计算机网络机房的设施与环境安全包括机房场地的安全，机房的温度、湿度和清洁度控制，机房内部的管理与维护，机房的电源保护，机房的防火、防水、防电磁干扰、防静电、防电磁辐射等。4.2.1机房的安全保护1．机房场地的安全与内部管理2．机房的环境设备监控3．机房的温度、湿度和洁净度4．机房的电源保护5．机房的防火和防水4.2.2机房的静电和电磁防护1．机房的静电防护:机房采取的防静电措施有：机房建设时，在机房地面铺设防静电地板。工作人员在工作时穿戴防静电衣服和鞋帽。工作人员在拆装和检修机器时应在手腕上戴防静电手环(该手环可通过柔软的接地导线放电)。保持机房内相应的温度和湿度。2．机房的电磁干扰防护电磁干扰主要来自计算机系统外部。系统外部的电磁干扰主要来自无线电广播天线、雷达天线、工业电气设备、高压电力线和变电设备，以及大自然中的雷击和闪电等。另外，系统本身的各种电子组件和导线通过电流时，也会产生不同程度的电磁干扰，这种影响可在机器制作时采用相应工艺降低和解决。通常可采取将机房选择在远离电磁干扰源的地方、建造机房时采用接地和屏蔽等措施防止和减少电磁干扰的影响。3．机房的电磁辐射防护电磁辐射会产生两种不利因素：一是由电子设备辐射出的电磁波通过电路耦合到其它电子设备中形成电磁波干扰，或通过连接的导线、电源线、信号线等耦合而引起相互间的干扰，当这些电磁干扰达到一定程度时，就会影响设备的正常工作；二是这些辐射出的电磁波本身携带有用信号，如这些辐射信号被截收，再经过提取、处理等过程即可恢复出原信息，造成信息泄露。通常，可采取抑源法、屏蔽法和噪声干扰法措施防止电磁辐射。抑源法是从降低电磁辐射源的发射强度出发，对计算机设备内部产生和运行串行数据信息的部件、线路和区域采取电磁辐射抑制措施和传导发射滤波措施，并视需要在此基础上对整机采取整体电磁屏蔽措施，减小全部或部分频段信号的传导和辐射。4．3路由器安全4.3.1路由协议与访问控制1．静态路由的配置定义目标网络号、目标网络的子网掩码和下一跳地址或接口：iproute{nexthop-address|exit-interface}[distance]默认路由的配置：iproute0.0.0.00.0.0.0{nexthop-address|exit-interface}[distance]2．动态路由算法RIP的配置RIP(v1版)的配置：Router(config)#routerripRouter(config-router)#networkxxxx.xxxx.xxxx.xxxxRIP(v2版)的配置：Router(config)#routerripRouter(config-router)#version2Router(config-router)#noauto-sunnmaryRouter(config-router)#networkXXXX.XXXX.XXXX.XXXX3．访问控制列表配置访问控制列表(ACL)提供了一种机制，可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用ACL来管理信息流，以制定公司内部网的相关策略。如网络管理员可以通过配置ACL来实现允许用户访问Internet，但不允许外部用户通过Telnet进入本地局域网。配置路由器的ACL是一件经常性的工作，通过配置ACL，可以使路由器提供基本的流量过滤能力。ACL是一个连续的允许和拒绝语句的集合，关系到地址或上层协议。ACL在网络中可实现多种功能，包括内部过滤分组、保护内部网络免受来自Internet的非法入侵和限制对虚拟终端端口的访问。(1)基本ACL一个ACL是由permit|deny语句组成的一系列的规则列表。在配置ACL规则前，首先需要创建一个ACL。使用如下命令可创建ACL：aclnumberacl-number[match-order{config|auto}]使用如下命令可删除一个或所有的ACL：undoacl{numberacl-number|all}参数numberacl-number定义一个数字型的ACL。acl-number是访问控制规则序号(其值1000～1999是基于接口的ACL，2000～2999是基本的数字型ACL，3000～3999是高级数字型ACL，4000～4999是基于MAC地址的ACL)。match-orderconfig是指定匹配该规则时用户的配置顺序；match-orderauto是指定匹配该规则时系统自动排序，即按“深度优先”的顺序。基本ACL命令的命令格式为：rule[rule-id]{permit|deny|commenttext}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]可以通过在rule命令前加undo的形式，清除一个已经建立的基本ACL，其语法格式为：undorulerule-id[commenttext][source][time-range][logging][fragment][vpn-instancevpn-instance-name]对已经存在的ACL规则，如果采用指定ACL规则编号的方式进行编辑，没有配置的部分是不受影响的。例如：先配置了一个ACL规则(rule1denysource1.1.1.10)，再对这个ACL规则进行编辑(rule1denylogging)，此时ACL规则变成为：rule1denysource1.1.1.10logging。(2)基本ACL的配置应用实例①在系统视图下可实现的配置：aclnumber2000rule10deny172.31.2.1#拒绝IP地址为172.31.2.1的主机的访问rule20permit172.31.2.00.0.0.255#允许从172.31.2.0子网来的任何主机的访问rule30deny172.31.0.0.0.0.255.255#拒绝从172.31.0.0网络来的任何主机的访问rule40permit172.0.0.00.255.255.255#允许来自172网段的任何主机的访问②firewallpacket-filter命令应用firewallpacket-filter命令可把某个现有的ACL与某个接口联系起来。配置时必须先进入到目的接口(如S0/0)的接口配置模式。命令格式如下：firewallpacket-filteracl-number{inbound|outbound}[match-fragments{normally|exactly}]参数acl-number是ACL的序号，inbound表示过滤从接口收上来的数据包，outbound表示过滤从接口转发的数据包，match-fragments指定分片的匹配模式(只有高级ACL有此参数)，normally是标准匹配模式(缺省模式)，exactly是精确匹配模式。在实际配置基本ACL时，可以应用基本ACL允许或禁止特定的通信流量，然后测试该ACL是否达到预期结果。(3)高级ACL的配置高级ACL比基本ACL使用更广泛，因为它提供了更大的弹性和控制范围。高级ACL既可检查分组的源地址和目的地址，也可检查协议类型和TCP/UDP的端口号。高级ACL可以基于分组的源地址、目的地址、协议类型、端口地址和应用来决定访问是被允许还是拒绝。高级ACL可以在拒绝文件传输和网页浏览的同时，允许从E0/0的E-mail通信流量抵达目的地S0/0。一旦分组被丢弃，某些协议将返回一个回应分组到源发送端，以表明目的不可达。高级ACL命令的完整语法为：rule[rule-id]{permit|deny|commenttext}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][dscpdscp][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instance]删除高级ACL命令的完整语法为：undorulerule-id[commenttext][source][destination][source-port][destination-port][icmp-type][dscp][precedence][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]一个简单的高级ACL配置实例如下：rule10permittcp172.18.10.0.0.0.0.255anyeqtelnetrule20permittcp172.18.10.0.0.0.0.255anyeqftprule30permittcp172.18.10.0.0.0.0.255anyeqftp-datarule40denyanyany第1条判断语句设置允许172.18.10.0/24网络使用TCP协议访问外部网的TELNET服务。第2条判断语句设置允许172.18.10.0/24网络使用TCP协议访问外部网的FTP服务。第3条判断语句设置允许172.18.10.0/24网络使用TCP协议访问外部网的FTP数据服务。第4条判断语句设置拒绝满足前面三条ACL要求的其他网络服务。4．NAT技术随着Internet的迅速发展，IP地址短缺及路由规模越来越大已成为相当严重的问题。为了解决这个问题，出现了多种解决方案。一种在目前网络环境中比较有效的方法是使用地址转换(NAT)技术。地址转换是指在一