网络硬件设备安全教材

第第4章章网络硬件设备安全网络硬件设备安全本章有五小节：本章有五小节：4.1网络硬件系统的冗余网络硬件系统的冗余4.2网络机房设施与环境安全网络机房设施与环境安全4.3路由器安全路由器安全4.4交换机安全交换机安全4.5服务器和客户机安全服务器和客户机安全41 网络硬件系统的冗余网络硬件系统的冗余4.1.1网络系统的冗余网络系统的冗余l系统冗余就是重复配置系统的一些部件。当系统某些部件发生故障时，冗余配置的其它部件介入并承担故障部件的工作，由此提高系统的可靠性。也就是说，冗余是将相同的功能设计在两个或两个以上设备中，如果一个设备有问题，另外一个设备就会自动承担起正常工作。l冗余技术又称储备技术，它是利用系统的并联模型来提高系统可靠性的一种手段。采用“冗余技术”是实现网络系统容错的主要手段。4.1.2网络设备的冗余网络设备的冗余l网络系统的主要设备有网络服务器、核心交换机、存储设备、供电设备以及网络边界设备(如路由器、防火墙)等。为保证网络系统能正常运行和提供正常的服务，在进行网络设计时要充分考虑主要设备的部件或设备的冗余。1网络设备的冗余类型网络设备的冗余类型l网络服务器系统冗余l核心交换机冗余l供电系统的冗余l链接冗余l网络边界设备冗余l空闲备件4.1.3交换机端口汇聚与镜像交换机端口汇聚与镜像1交换机端口汇聚交换机端口汇聚(1)端口汇聚的概念l端口聚合也叫以太通道(ethernet channel)，主要用于交换机之间的连接。利用端口汇聚技术，交换机会把一组物理端口联合起来，做为一个逻辑通道。这时，交换机会认为这个逻辑通道为一个端口。(2)交换机端口汇聚技术的实现(以H3C交换机为例)2交换机端口镜像交换机端口镜像(1)基于交换机端口的镜像配置(2)基于三层流的镜像配置(3)基于二层流的镜像配置4.2 网络机房设施与环境安全网络机房设施与环境安全l保证网络机房的实体环境(即硬件和软件环境)安全是网络系统正常运行的重要保证。因此，网络管理部门必须加强对机房环境的保护和管理，以确保网络系统的安全。只有保障机房的安全可靠，才能保证网络系统的日常业务工作正常进行。l计算机网络机房的设施与环境安全包括机房场地的安全，机房的温度、湿度和清洁度控制，机房内部的管理与维护，机房的电源保护，机房的防火、防水、防电磁干扰、防静电、防电磁辐射等。4.2.1机房的安全保护机房的安全保护1机房场地的安全与内部管理 2机房的环境设备监控3机房的温度、湿度和洁净度4机房的电源保护5机房的防火和防水4.2.2机房的静电和电磁防护机房的静电和电磁防护1机房的静电防护机房的静电防护:机房采取的防静电措施有：l机房建设时，在机房地面铺设防静电地板。l工作人员在工作时穿戴防静电衣服和鞋帽。l工作人员在拆装和检修机器时应在手腕上戴防静电手环(该手环可通过柔软的接地导线放电)。l保持机房内相应的温度和湿度。2机房的电磁干扰防护机房的电磁干扰防护l电磁干扰主要来自计算机系统外部。系统外部的电磁干扰主要来自无线电广播天线、雷达天线、工业电气设备、高压电力线和变电设备，以及大自然中的雷击和闪电等。另外，系统本身的各种电子组件和导线通过电流时，也会产生不同程度的电磁干扰，这种影响可在机器制作时采用相应工艺降低和解决。l通常可采取将机房选择在远离电磁干扰源的地方、建造机房时采用接地和屏蔽等措施防止和减少电磁干扰的影响。3机房的电磁辐射防护机房的电磁辐射防护l电磁辐射会产生两种不利因素：一是由电子设备辐射出的电磁波通过电路耦合到其它电子设备中形成电磁波干扰，或通过连接的导线、电源线、信号线等耦合而引起相互间的干扰，当这些电磁干扰达到一定程度时，就会影响设备的正常工作；二是这些辐射出的电磁波本身携带有用信号，如这些辐射信号被截收，再经过提取、处理等过程即可恢复出原信息，造成信息泄露。l通常，可采取抑源法、屏蔽法和噪声干扰法措施防止电磁辐射。抑源法是从降低电磁辐射源的发射强度出发，对计算机设备内部产生和运行串行数据信息的部件、线路和区域采取电磁辐射抑制措施和传导发射滤波措施，并视需要在此基础上对整机采取整体电磁屏蔽措施，减小全部或部分频段信号的传导和辐射。43 路由器安全路由器安全4.3.1路由协议与访问控制路由协议与访问控制1静态路由的配置静态路由的配置定义目标网络号、目标网络的子网掩码和下一跳地址或接口：ip route nexthop-address|exit-interface distance 默认路由的配置：ip route 0.0.0.0 0.0.0.0 nexthop-address|exit-interface distance2动态路由算法动态路由算法RIP的配置的配置RIP(v1版版)的配置：的配置：lRouter(config)#router rip lRouter(config-router)#networkxxxx.xxxx.xxxx.xxxxRIP(v2版版)的配置：的配置：lRouter(config)#router rip lRouter(config-router)#version2 lRouter(config-router)#noauto-sunnmary lRouter(config-router)#networkXXXX.XXXX.XXXX.XXXX3访问控制列表配置访问控制列表配置 l访问控制列表(ACL)提供了一种机制，可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用ACL来管理信息流，以制定公司内部网的相关策略。如网络管理员可以通过配置ACL来实现允许用户访问Internet，但不允许外部用户通过Telnet进入本地局域网。l配置路由器的ACL是一件经常性的工作，通过配置ACL，可以使路由器提供基本的流量过滤能力。ACL是一个连续的允许和拒绝语句的集合，关系到地址或上层协议。ACL在网络中可实现多种功能，包括内部过滤分组、保护内部网络免受来自Internet的非法入侵和限制对虚拟终端端口的访问。(1)基本基本ACLl一个ACL是由permit|deny 语句组成的一系列的规则列表。在配置ACL规则前，首先需要创建一个ACL。l使用如下命令可创建ACL：lacl number acl-number match-order config|auto l使用如下命令可删除一个或所有的ACL：lundo acl number acl-number|all l参数number acl-number定义一个数字型的ACL。acl-number是访问控制规则序号(其值10001999 是基于接口的ACL，20002999是基本的数字型ACL，30003999是高级数字型ACL，40004999 是基于MAC地址的ACL)。match-order config是指定匹配该规则时用户的配置顺序；match-order auto是指定匹配该规则时系统自动排序，即按“深度优先”的顺序。基本ACL命令的命令格式为：lrule rule-id permit|deny|commenttext sourcesour-addr sour-wildcard|any time-rangetime-name logging fragment vpn-instancevpn-instance-name l可以通过在rule命令前加undo的形式，清除一个已经建立的基本ACL，其语法格式为：lundorulerule-id commenttext source time-range logging fragmentl vpn-instancevpn-instance-name l对已经存在的ACL 规则，如果采用指定ACL 规则编号的方式进行编辑，没有配置的部分是不受影响的。例如：先配置了一个ACL 规则(rule 1 deny source 1.1.1.1 0)，再对这个ACL 规则进行编辑(rule 1 deny logging)，此时ACL 规则变成为：rule 1 deny source 1.1.1.1 0 logging。(2)基本基本ACL的配置应用实例的配置应用实例 在系统视图下可实现的配置：lacl number 2000lrule 10 deny 172.31.2.1#拒绝IP地址为172.31.2.1的主机的访问lrule 20 permit 172.31.2.0 0.0.0.255#允许从172.31.2.0子网来的任何主机的访问lrule 30 deny 172.31.0.0.0.0.255.255#拒绝从172.31.0.0网络来的任何主机的访问lrule 40 permit 172.0.0.0 0.255.255.255#允许来自172网段的任何主机的访问 firewall packet-filter命令应用lfirewall packet-filter命令可把某个现有的ACL与某个接口联系起来。配置时必须先进入到目的接口(如S0/0)的接口配置模式。命令格式如下：lfirewall packet-filter acl-number inbound|outbound match-fragments normally|exactly l参数acl-number是ACL 的序号，inbound表示过滤从接口收上来的数据包，outbound表示过滤从接口转发的数据包，match-fragments指定分片的匹配模式(只有高级ACL有此参数)，normally是标准匹配模式(缺省模式)，exactly是精确匹配模式。l在实际配置基本ACL时，可以应用基本ACL允许或禁止特定的通信流量，然后测试该ACL是否达到预期结果。(3)高级高级ACL的配置的配置l高级ACL比基本ACL使用更广泛，因为它提供了更大的弹性和控制范围。高级ACL既可检查分组的源地址和目的地址，也可检查协议类型和TCP/UDP的端口号。l高级ACL可以基于分组的源地址、目的地址、协议类型、端口地址和应用来决定访问是被允许还是拒绝。高级ACL可以在拒绝文件传输和网页浏览的同时，允许从E0/0的E-mail通信流量抵达目的地S0/0。一旦分组被丢弃，某些协议将返回一个回应分组到源发送端，以表明目的不可达。高级ACL命令的完整语法为：lrule rule-id permit|deny|comment text protocol source sour-addr sour-wildcard|any destination dest-addr dest-mask|any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message|icmp-type icmp-code dscp dscp precedence precedence tos tos time-range time-name logging fragment vpn-instance 删除高级ACL命令的完整语法为：lundo rule rule-id comment text source destination source-port destination-port icmp-type dscp precedence tos time-range logging fragment vpn-instance vpn-instance-name 一个简单的高级ACL配置实例如下：lrule 10 permit tcp 172.18.10.0.0.0.0.255 any eq telnetlrule 20 permit tcp 172.18.10.0.0.0.0.255 any eq ftplrule 30 permit tcp 172.18.10.0.0.0.0.255 any eq ftp-datalrule 40 deny any anyl第1条判断语句设置允许172.18.10.0/24网络使用TCP协议访问外部网的TELNET服务。l第2条判断语句设置允许172.18.10.0/24网络使用TCP协议访问外部网的FTP服务。l第3条判断语句设置允许172.18.10.0/24网络使用TCP协议访问外部网的FTP数据服务。l第4条判断语句设置拒绝满足前面三条ACL要求的其他网络服务。4NAT技术技术 l随着Internet的迅速发展，IP地址短缺及路由规模越来越大已成为相当严重的问题。为了解决这个问题，出现了多种解决方案。一种在目前网络环境中比较有效的方法是使用地址转换(NAT)技术。l地址转换是指在一个组织的网络内部，可以根据需要自定义自己的IP地址(假IP地址)。本组织内部的各计算机间通过假IP地址进行通信，当组织内部的计算机要与外部的Internet通信时，具有NAT功能的设备负责将其假IP地址转换为真IP地址。图显示了地址转换的基本过程。(1)NAT技术的应用技术的应用 连接Internet，但不使网内所有的计算机都拥有真正的IP地址。通过NAT功能，可以对申请的合法的IP 地址进行统一管理，当内部计算机需要连接Internet时，动态或静态地将假的IP地址转换为合法IP地址。不使外部网络用户知道网络的内部结构。可通过NAT将内部网络与外部Internet隔离开。这样外部用户根本不知道网络内部假IP地址，可有效的保障内部服务器的安全。实现多个用户同时公用一个合法IP地址与外部Internet通信 设置NAT功能的路由器至少要有一个内部端口和一个外部端口。内部端口连接网络内的用户，使用的是假IP地址，且内部端口可以为路由器的任意端口。外部端口连接的是外部的公用网络(如Internet)，外部端口可以为路由器上的任意端口。(2)NAT地址转换实例地址转换实例l在图中，用出接口地址做Easy NAT，完成将192.168.0.0/24内部网络接入Internet，在出口地址进行地址转换，隐藏内部网主机地址，有效保障内部网主机的安全。4.3.2虚拟路由器冗余协议虚拟路由器冗余协议(VRRP)1VRRP协议概述协议概述lVRRP(Virtual Router Redundancy Protocol，虚拟路由器冗余协议)是一种选择性协议，它可以把一个虚拟路由器的责任动态分配到局域网上 VRRP 路由器。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到虚拟IP地址上。一旦主路由器不可用，这种选择过程就提供动态的故障转移机制，允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的优点是有更高默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议2VRRP协议原理协议原理l通常，一个网络内的所有主机都设置一条缺省路由(如图4.7所示，10.100.10.1)，这样主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA，从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时，本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。lVRRP是一种容错协议，它是为解决上述问题而提出的，如图4.8所示。VRRP 将局域网的一组路由器(包括一个Master路由器和若干个Backup路由器)组织成一个虚拟路由器，称为一个备份组。该虚拟路由器拥有自己的IP 地址10.100.10.1(该IP 地址可以和备份组内的某路由器接口地址相同)，备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2，Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1，而不知道具体的Master 路由器的IP 地址10.100.10.2 和Backup 路由器的IP 地址10.100.10.3，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是，网络内的主机就通过该虚拟的路由器与其它网络进行通信。如果备份组内的Master 路由器出现故障，Backup 路由器将会通过选举策略选出一个新的Master 路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。44 交换机安全交换机安全4.4.1控制对交换机的访问控制对交换机的访问1网络设备远程管理概述网络设备远程管理概述lTelnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。终端客户可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。终端客户使用telnet程序连接到服务器，可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器2交换机远程交换机远程TELNET管理配置实例管理配置实例4.4.2交换机安全配置实例交换机安全配置实例1基于源基于源IP地址的访问控制地址的访问控制l在交换机(以锐捷交换机为实验设备，下同)上设置基于源IP地址的ACL，只允许指定源IP访问网络，而禁止其他IP访问网络。2基于目的基于目的IP地址的地址的ACL配置配置l在交换机上设置基于目的IP地址的ACL，只允许主机访问指定目的IP地址的主机，而禁止访问其他主机。3基于基于TCP/UDP协议的协议的ACL配置配置 l在交换机上设置基于TCP/UDP协议的ACL，只允许通过指定的协议及指定的端口访问主机或网络。实验拓扑环境同图4.12，在PC2上运行WWW和MAIL服务软件，使PC2能够提供WWW和MAIL服务。在交换机上设置基于TCP协议的ACL，禁止PC1访问PC2的MAIL服务，但允许PC1访问PC2上的WWW网页 4基于基于MAC地址的地址的ACL配置配置 l在交换机上设置基于MAC地址的ACL，只允许指定MAC地址的主机访问网络，而禁止其他MAC地址的主机访问网络。5基于时间的基于时间的ACL配置配置l在交换机上设置基于时间的ACL，只允许指定时间段内访问网络，而禁止其他时间访问网络。45 服务器与客户机安全服务器与客户机安全4.5.1服务器安全与设置实例服务器安全与设置实例l网络服务器(硬件)是一种高性能计算机，再配以相应的服务器软件系统(如操作系统)就构成了网络服务器系统。网络服务器系统的数据存储和处理能力均很强，是网络系统的灵魂。在基于服务器的网络中，网络服务器担负着向客户机提供信息数据、网络存储、科学计算和打印等共享资源和服务，并负责协调管理这些资源。l按照不同的用途，网络服务器可分为文件服务器、数据库服务器、Internet/Intranet通用服务器、应用服务器等；Internet上的应用服务器有HDCP服务器、Web服务器、FTP服务器、DNS服务器和STMP服务器等。上述服务器主要用于完成一般网络和Internet上的不同功能。下面主要介绍Web服务器配置、DNS服务器配置和路由器的安全配置内容。1Web服务器的配置与站点管理服务器的配置与站点管理(1)安装IIS(2)Web服务器的配置(3)Web站点的管理2DNS服务器的安装与配置服务器的安装与配置(1)DNS服务器的安装(2)DNS区域配置(3)添加和删除DNS记录(4)DNS客户端配置3网络服务器的安全设置网络服务器的安全设置(1)安装补丁(2)安装防病毒软件(3)通过注册表关闭445端口(4)关闭3389端口和4899端口(5)目录和文件权限管理(6)把敏感文件存放在另外的文件服务器中 4.5.2客户机的安全策略客户机的安全策略1企业内部网的安全风险企业内部网的安全风险(1)保护口令脆弱，身份鉴别强度低(2)内部信息泄露的风险(3)内部攻击的风险(4)移动存储介质的风险2客户机的安全策略客户机的安全策略(1)客户机实体安全(2)客户机系统安全设定4.5.3客户机的安全管理与应用实例客户机的安全管理与应用实例1对身份鉴别风险的防护对身份鉴别风险的防护l从操作系统安全方面来看，身份鉴别是最先考虑的环节，获得一个用户的身份就掌握了所登录计算机的所有资源，同时也很容易获得各应用系统的使用权限，因此身份鉴别方式的安全有效是非常重要的。目前，从技术上看身份鉴别主要有用户名+复杂口令、电子密钥+PIN码和人体生理特征识别三种方式。2对信息泄露风险的防护对信息泄露风险的防护l根据网络模式、安全保密需求等具体情况的不同，用户权限的管理在各应用场合的要求也不同。在安全保密要求较高的部门，客户机的I/O端口应该是受到控制的。通常可利用相关安全产品对客户机的光驱、USB口、COM口、LPT口以及打印机(本地打印机和网络打印机)等I/O端口进行使用权限控制。同时出于安全性和保护内部机密的需要，要求相关安全产品提供审计功能以加强对内部网络中客户机的监控和管理。3对内部攻击风险的防护对内部攻击风险的防护(1)补丁管理(2)网络协议安全策略设置(3)病毒防护4移动存储介质管理移动存储介质管理l为了降低移动存储介质带来的安全风险，应在企业内部对所有移动存储介质进行统一管理。对不同的存储介质采取不同的技术和管理措施。通过技术手段使外来移动存储介质无法接入企业内部网，内部网中认证过的移动存储介质也仅能在授权的客户机上使用，对涉密的移动存储介质应采取加密等技术使其在授权之外的计算机上无法使用，以降低介质丢失或管理不严带来的安全风险。