H3C网络安全技术与网络部署Word文档下载推荐.docx
- 文档编号:6664903
- 上传时间:2023-05-07
- 格式:DOCX
- 页数:61
- 大小:1.16MB
H3C网络安全技术与网络部署Word文档下载推荐.docx
《H3C网络安全技术与网络部署Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《H3C网络安全技术与网络部署Word文档下载推荐.docx(61页珍藏版)》请在冰点文库上搜索。
控制网络中数据流动有很多种方式,其中之一是使用访问控制列表(通常称作ACL,accesscontrollist)。
ACL高效、易于配置,在H3C设备中易于部署和实现。
【5】
(2)同一个子网内PVLAN的应用
PVLAN即私有VLAN(PrivateVLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。
如果将交换机设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。
PVLAN通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。
尽管各设备处于不同的PVLAN中,它们可以使用相同的IP子网,从而大大减少了IP地址的损耗,也防止了同一个子网内主机的相互攻击。
【6】
(3)网关冗余备份机制
VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)是一种网关冗余备份协议。
通常,一个网络内的所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往网关,从而实现了主机与外部网络的通信。
当网关断掉时,本网段内所有主机将断掉与外部的通信。
VRRP就是为解决上述问题而提出的。
使用VRRP,可以通过手动或DHCP设定一个虚拟IP地址作为默认路由器。
虚拟IP地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。
如果主路由器不可用,这个虚拟IP地址就会映射到一个备份路由器的IP地址(这个备份路由器就成为主路由器)。
【7】
GLBP(GatewayLoadBanancingProtocol网关负载均衡协议),和VRRP不同的是,GLBP不仅提供冗余网关,还在各网关之间提供负载均衡,而HRSP、VRRP都必须选定一个活动路由器,而备用路由器则处于闲置状态,这会导致资源一定程度的浪费。
和HRSP不同的是,GLBP可以绑定多个MAC地址到虚拟IP,从而允许客户端选择不同的路由器作为其默认网关,而网关地址仍使用相同的虚拟IP,从而实现一定的冗余和负载均衡。
以上两种协议不仅可以在H3C网络设备使用,也可以在其它厂商的网络设备中使用。
1.2.2远程接入和边界安全
远程接入是直接接入到网络系统内部,而接入控制器也往往处于网络系统的边界部分。
因此边界安全成为应对外部威胁和攻击面对的第一道防线。
【8】
(1)网络地址转换(NAT)
网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。
NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在H3C路由器上来实现的。
(2)H3C硬件防火墙
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
【9】
(3)H3C入侵检测系统(IPS)
虽然防火墙可以根据IP地址和服务端口过滤数据包,但它对于利用合法地址和端口而从事的破坏活动则无能为力,防火墙主要在第二到第四层起作用,很少深入到第四层到第七层去检查数据包。
入侵预防系统也像入侵侦查系统一样,专门深入网路数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。
除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网路传输重的异常情况,来辅助识别入侵和攻击。
【10】
(4)远程接入VPN应用
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;
可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术保证网络安全。
【11-12】
1.2.3身份安全和访问管理
一种访问管理的解决方案是建立一个基于策略的执行模型,确保用户有一种安全的管理模型。
针对网络中所有设备与服务,这种管理模型的安全性可为用户提供基于策略的访问控制、审计、报表功能,使系统管理员可以实施基于用户的私密性和安全策略。
身份安全和访问管理处于首要层面。
【13】
(1)AAA认证
AAA,认证(Authentication):
验证用户的身份与可使用的网络服务;
授权(Authorization):
依据认证结果开放网络服务给用户;
计帐(Accounting):
记录用户对各种网络服务的用量,并提供给计费系统;
整个系统在网络管理与安全问题中十分有效。
此项功能可以结合TACACS+服务器实现。
【14】
(2)IEEE802.1X
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制XX的用户/设备通过接入端口(accessport)访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;
认证通过以后,正常的数据可以顺利地通过以太网端口。
(3)网络准入控制(NAC)
网络准入控制(NetworkAccesscontrol,NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。
借助NAC,客户可以只允许合法的、值得信任的端点设备(例如Pc、服务器、PDA)接入网络,而不允许其它设备接人。
在初始阶段,当端点设备进入网络时,NAC能够帮助管理员实施访问权限。
此项决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。
【15】
(4)设备安全策略
H3C设备,如路由器、交换机、防火墙和VPN集中器等都是网络的组成部分,确保这些设备的安全是整体网络安全策略的一个重要组成部分。
物理安全要考虑网络拓扑设计冗余、设备的安全位置、介质、电力供应等安全因素。
对设备进行访问时,必须采用密码或者RSA认证,对远程访问采用更加安全的SSH协议,针对不同的用户级别,设定不同的优先级等级。
【16】
1.2.4路由安全
为了有一个安全的网络,将安全作为网络中流量怎样流动的一部分是根本。
因为路由协议决定流量在网络中是怎样流动的,所以确保以一种与网络的安全需要相一致的方法选择和实现路由协议很关键。
(1)操纵路由选择更新
操作路由选择更新的常用方法是路由分发列表,如果想进行更细致的调节可以设置相应的路由更新策略。
当网络中有两种不同的路由协议时,可以采用上述策略。
其它控制或防止生成动态路由选择更新的方法主要有:
被动接口,默认和静态路由,操纵管理距离。
(2)OSPF路由协议安全
OSPF是一个被广泛使用的内部网关路由协议。
通过对路由器进行身份验证,可避免路由器收到伪造的路由更新。
使用回环接口作为路由器ID是OSPF网络用以确保稳定性并从而确保安全的一个重要技术。
针对区域的不同功能设定不同的区域类型。
(3)BGP路由协议安全
BGP是运行在当今Internet上大部分相互域间路由的路由协议,大型网络比较常见。
虽然,目前国内除运营商外大多数企业网络选择内部网关协议,然而对于有多条ISP链路的企业,边界采用BGP对网络还是很有优势的。
BGP通常采用对等体认证,路由过滤,路由抑制等手段来保证协议的安全性。
1.3研究内容和拟解决的问题
论文通过对目前网络存在的安全问题进行分析,针对各种安全漏洞制定相应的安全解决方案。
局域网安全部分,解决接入层子网的划分,如何控制广播风暴,防止物理链路失效,网关的冗余备份。
边界安全方面,包括隐藏内部地址,控制部分网段的访问,远程登录。
身份认证方面,保证对交换机、路由器等网络设备的安全访问的身份认证、授权和统计,合法用户安全接入网络。
路由安全方面,如何对不同的路由协议采用安全认证,针对不同的网络区域过滤不必要的路由更新。
另外针对目前主流的网络攻击行为,采用不同的安全技术对其进行防御和反侦察。
1.4结语
网络安全技术是一个永恒的,综合性的课题,并不是我们的网络采用了相关的防范技术,就不用考虑网络安全因素了,一种安全技术只能解决一方面的问题,而不是万能的。
新型的攻击手段总在不断地涌现,最好的防范措施就是计算机网络安全人员的安全意识。
计算机操作人员需要不断学习,不断积累经验,提高计算机网络水平,这才是提高我们计算机网络安全最重要的安全措施。
【17】
2网络安全概述
随着网络规模以指数形式增长,网络变得越来越复杂,承担的任务越来越关键,给运营和管理网络的人们带来了新的挑。
很明显需要包括语音、视频和数据(全能)服务的综合网络基础设施建设,但是这些快速发展的技术引发了新的安全问题。
因此网络管理员竭尽所能在网络基础设施里添加最新的技术,在构建和维护当今高速增长的网络方面,网络安全扮演了举足轻重的角色。
本章对当今快速变化网络环境下的网络安全进行了广泛描述。
网络中最为常见的拓扑结构就是如图2.1所示的三层网络拓扑图。
图2.1三层网络结构图
2.1网络安全的基本概念
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
2.2网络安全的特征
网络安全应具有以下五个方面的特征:
保密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:
对信息的传播及内容具有控制能力。
可审查性:
出现的安全问题时提供依据与手段。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。
从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
2.3网络安全策略
计算机网络系统的安全管理主要是配合行政手段,制定有关网络安全管理的规章制度,在技术上实现网络系统的安全管理,确保网络系统的安全、可靠地运行,主要涉及以下四个方面:
2.3.1网络物理安全策略
计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和攻击;
验证用户的身份和使用权限、防止用户越权操作;
确保计算机网络系统有一个良好的工作环境;
建立完备的安全管理制度,防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。
2.3.2网络访问控制策略
访问控制策略是计算机网络系统安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常规访问。
它也是维护网络系统安全、保护网络资源的重要手段。
各种网络安全策略必须相互配合才能真正起到保护作用,所以网络访问控制策略是保证网络安全最重要的核心策略之一。
2.3.3网络信息加密策略
信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。
2.3.4网络安全管理策略
在计算机网络系统安全策略中,不仅需要采取网络技术措施保护网络安全,还必须加强网络的行政安全管理,制定有关网络使用的规章制度,对于确保计算机网络系统的安全、可靠地运行,将会起到十分有效的作用。
计算机网络系统的安全管理策略包括:
确定网络安全管理等级和安全管理范围;
制定有关网络操作使用规程和人员出入机房管理制度;
制定网络系统的管理维护制度和应急措施等等。
3局域网安全
3.1基于H3C系列交换机VLAN的应用
VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。
这种技术可以把一个LAN划分成多个逻辑的LAN即VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,从而最大程度的减少了广播风暴的影响。
VLAN可以增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备,如图3.1。
图3.1vlan部署图
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
H3C低端系列以太网交换机支持的以太网端口链路类型有三种:
⏹Access类型:
端口只能属于1个VLAN,一般用于连接计算机;
⏹Trunk类型:
端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间的连接;
⏹Hybrid类型:
端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
交换机与工作站之间的连接接口配置为Access,交换机和交换机之间的连接一般采用Trunk端口,协议采用802.1q(ISL为cisco专用协议)。
3.2基于VLAN的PVLAN技术的应用
传统的VLAN固然有隔离广播风暴,增强局域网内部安全性等好处,然而不可避免的有以下几个方面的局限性:
(1)VLAN的限制:
交换机固有的VLAN数目的限制;
(2)复杂的STP:
对于每个VLAN,每个相关的Spanning
Tree的拓扑都需要管理;
(3)IP地址的紧缺:
IP子网的划分势必造成一些IP地址的浪费;
(4)路由的限制:
每个子网都需要相应的默认网关的配置。
现在有了一种新的VLAN机制,所有服务器在同一个子网中,但服务器只能与自己的默认网关通信。
这一新的VLAN特性就是专用VLAN(Private
VLAN)。
在Private
VLAN的概念中,交换机端口有三种类型:
Isolated
port,Community
port,Promiscuous
port;
它们分别对应不同的VLAN类型:
port属于Isolated
PVLAN,Community
port属于Community
PVLAN,而代表一个Private
VLAN整体的是Primary
VLAN,前面两类VLAN需要和它绑定在一起,同时它还包括Promiscuous
port。
在Isolated
PVLAN中,Isolated
port只能和Promiscuous
port通信,彼此不能交换流量;
在Community
PVLAN中Community
port不仅可以和Promiscuous
port通信,而且彼此也可以交换流量。
Promiscuous
port
与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated
port和Community
PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。
PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。
这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
目前很多厂商生产的交换机支持PVLAN技术,PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的,而且采用PVLAN技术有助于网络的优化,再加上PVLAN在交换机上的配置也相对简单,PVLAN技术越来越得到网络管理人员的青睐。
3.3利用GVRP协议来管理VLAN
通过使用GVRP,可以使同一局域网内的交换机接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括:
当前的VLAN、配置版本号、这些VLAN可以通过哪个端口到达等。
而且设备能够将本地的VLAN注册信息向其它设备传播,使同一局域网内所有设备的VLAN信息达成一致,减少由人工配置带来的错误的可能性。
对GVRP不熟悉的朋友,可以参考CISCO的VTP协议,两者大同小异。
如图3-2:
图3-2GVRP组网示意图
SwitchC静态配置了VLAN5,SwitchD静态配置了vlan8,SwitchE静态配置了VLAN5和VLAN7,SwitchA和SwitchB开启了全局和端口的GVRP功能,这样可以动态学习到VLAN5,VLAN7,VLAN8。
端口有两种注册模式,一种是fixed,即禁止端口动态注册VLAN,仅允许本地创建的VLAN向外传播;
另一种注册模式为forbidden,即禁止端口动态注册VLAN,仅允许缺省VLAN1向外传播。
3.4H3C交换机设备之间的端口汇聚
端口汇聚是将多个以太网端口汇聚在一起形成一个逻辑上的汇聚组,使用汇聚服务的上层实体把同一汇聚组内的多条物理链路视为一条逻辑链路。
将多个物理链路捆绑在一起后,不但提升了整个网络的带宽,而且数据还可以同时经由被绑定的多个物理链路传输,具有链路冗余的作用,在网络出现故障或其他原因断开其中一条或多条链路时,剩下的链路还可以工作。
这样,同一汇聚组的各个成员端口之间彼此动态备份,提高了连接可靠性,增强了负载均衡的能力。
图3.3以太网端口汇聚配置示例图
对于H3C的交换机设备做端口汇聚时,必须注意以下几点:
⏹做端口汇聚时,H3C交换机最多可以包括8个端口,这些端口不必是连续分布的,也不必位于相同的模块中;
至于有几个汇聚组则视交换机的类型而定。
⏹一个汇聚组内的所有端口必须使用相同的协议如LACP。
⏹一个汇聚组内的端口必须有相同的速度和双工模式。
⏹一个端口不能再相同时间内属于多个汇聚组。
⏹一个汇聚组内的所有端口都必须配置到相同的接入VLAN中。
3.5启用端口镜像对流量进行监控
由于部署IDS和IPS等产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听,这样就产生了端口镜像。
端口镜像(portMirroring)分为本地端口镜像和远程端口镜像两种。
本地端口镜像是指将设备的一个或多个端口(源端口)的报文复制到本地设备的一个监视端口(目的端口),用于报文的分析和监视。
其中,源端口和目的端口必须在同一台设备上。
如图3.4:
SwitchC的端口E1/0/3可以把端口研发部所连得端口E1/0/1和市场部连接的E1/0/2端口的流量复制过来,然后交给数据检测设备分析,从而可以对危险流量进行隔离和控制。
图3.4本地端口镜像实例图
远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制,使源端口和目的端口可以跨越网络中的多个设备,从而方便网络管理人员对远程设备上的流量进行监控。
为了实现远程端
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 网络安全 技术 网络 部署
![提示](https://static.bingdoc.com/images/bang_tan.gif)