端口扫描 - 通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道网络设操作系统软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对网络设备进行攻击,使得网络设备DOWN掉或无法正常运行。
拒绝服务攻击 -- 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。 2.应用层攻击
有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。 3.系统级攻击
不法分子利用操作系统的安全漏洞对内部网构成安全威胁。 另外,网络本身的可靠性与线路安全也是值得关注的问题。
由此可见,完整的安全体系结构应由“网络级安全、应用级安全、系统级安全和企业级安全”四大部分组成。
网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障网络的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应用层保证对网络各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对内联网构成安全威胁;企业级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障工行网络的安全。
在建议中,我们更多的关注来自工作组隔离和过滤功能支持以及网络设备自身的安全特性。
通过工作组VLAN设计,我们可以依据业务部门业务性质的不同将不同工作组划分到不同的VLAN,实现不同VLAN之间第二层的完全隔离,VLAN之间的互访需求,通过在设备的各个VLAN路由端口上设置的策略ACL功能实现逐包控制路由,cisco7609可以实现所有端口全面全线速的三层路由和多层策略ACL控制
Cisco 路由交换机自身的安全性支持体现在如下几个方面:
1. 配置安全,对登录用户进行认证,不同级别的用户有不同的配置权限,提供两种用
户认证方式:本地认证和RADIUS认证;
2. 支持受限的IP地址的Telnet的登录和口令机制;
3. 协议报文认证,支持OSPF、RIP2 及BGP4的报文明文认证和MD5密文认证; 4. 基于用户定义的策略,可以对报文进行过滤,支持ACL包过滤。安全过滤可以将过
- 16 -
滤的报文重定向到某个固定端口,便于利用仪器设备抓包分析;
5. 防攻击性,实现MD5对协议报文、用户权限的加密;提供有防火墙功能的报文过滤
机制;
6. 提供数据同步机制,定期检查配置信息,提供主备机数据备份机制,对程序、配置
数据定时和人工备份,提供对程序、配置数据的掉电保护能力。
3.5.4 IP地址的规划
IP地址的合理规划是企业网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。 IP地址编译依据
充分利用CIDR和可变长子网掩码技术。 IP地址分配原则
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则: 唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项; 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率;
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性;
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。 主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
- 17 -
IP地址规划建议 1)IP地址分配总则
IP地址规划根据所分配的公网IP地址和内部私网IP地址分配,地址可分为三大块,常用的是Cernet分配多个C类公网IP地址,作为和国际互联网互连的地址,域名xxx.edu.cn就解析在这片地址上,主要供网络中心web服务器等用;普通用户,使用内部地址192.168.xxx.xxx。 2)内部私网IP地址的分配
内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个C的划分。对于相对固定不变的办公区采用静态分配IP地址,假如为防止地址盗用,可采用IP地址与MAC地址绑定。对上网用户的管理,是基于用户名、密码的代理认证WEB认证过程进行,网内的网络资源不需认证就可访问,但访问网外的资源就必须经过认证。
3)中心交换机支持静态或动态的IP地址分配,并支持动态 IP 地址分配方式下DHCP-Relay功能,DHCP SERVER可安放在园区内部。
4)对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
3.6安全解决方案
网络安全是任何一个网络建设时首先要考虑的重要问题,公司所传输、储存的信息至关重要稍有偏差,损失不可估算。
TCP/IP网络本身就存在很多安全漏洞,很容易被一些恶意用户利用并实施攻击,或非法占用网络资源,侵犯其它用户的合法利益,甚至导致整个网络系统崩溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力,cisco系列交换机、路由器和防火墙等网络设备在安全性方面有丰富实用的功能,大体可分为两类,一类是自身防攻击措施,另一类是用户安全保证措施。
3.6.1 用户严格隔离
方法一:用Vlan隔离。在楼道以太网交换机上按端口划分Vlan,每个用户占用一个Vlan。 方法二:利用PVlan技术。在接入层交换机上划分PVlan,使用户端口之间不能通信,用
- 18 -
户端口只能和Uplink口通信。
方法三:使用以太网MUX设备。该类设备将接入层交换机的端口分为两类:上行口Uplink和用户端口。用户端口之间不能通信,Uplink口可以和所有端口通信。
3.6.2、用户访问的可控性
根据用户身份、IP地址、VLAN ID等用户识别方式,针对不同用户设置不同的网络资源访问权限,并进行访问控制。在企业网内部,通常采用的访问控制方式有IP包过滤、应用代理和基于状态检测的包过滤等多种手段。在交换机的实现上,包过滤是一种重要的访问控制手段。很多三层交换机可以实现基于L2/L3/L4包过滤机制的访问控制,能够根据源或目的IP地址、IP协议类型、TCP或UDP端口、IP优先次序或服务类型值等来识别数据流并实现访问控制。本方案所选核心交换机访问控制完全通过硬件实现,这使得交换机在实现安全的访问控制的同时,丝毫不影响其线速的转发能力。
3.6.3防止对DHCP服务器的攻击
使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
由于DHCP是通过二层广播包起作用的,故在二层严格隔离用户,可防止DHCP Server假冒。为解决DHCP Smurf,在以太网接入时,对用户划分Vlan,由cisco网络管理软件控制一个Vlan下申请的最大IP地址数,当该Vlan的IP地址数目达到限制值后,拒绝新的DHCP申请。Vlan的划分可根据XXX钢铁的实际情况灵活掌握。
3.6.4网络环境的可监控性
传统的网络监控手段SNMP TRAP 和RMON,在目前的企业网环境下,已远远不能满足需要,独特的SFLOW技术可以为网络的流量和安全提供有效的监控手段。SFLOW可对企业内部网内的流量进行统计,并可分析企业不同部门间网络使用状况,预先估算部门的网络流量增长,为网络的容量规划提供可靠的数据,以达到优化网络结构和降低投资费用的目的。SFLOW可实现安全审核,它是在网络内的“安全监视器”,可以查看、监控和管理从第二层到第四
- 19 -
层的网络流量,可识别和记录 MAC 地址、VLAN (802.1q)、, 服务级别 (802.1p)、IP 地址、IP 服务(TCP 和 UDP)以及服务类型(TOS 位),并可识别并监控网络安全策略的实施。SFLOW同样可实现实时的性能和故障管理,可预先发现网络性能和故障,确保识别网络瓶颈,避免网络流量增长导致系统性能下降。
3.6.5数据完整性与操纵机密性
数据完整性是指数据在存储和传输的过程中不被篡改和破坏,数据机密性是指数 据在存储和传输的过程中通过加密的方式确保机密不会泄露。很多三层核心交换机支持加密的配置管理方式,确保远程管理的安全。
3.6.6可追溯性
可追溯性是指能够在网络访问和操作过程中留下相应记录,为恶意访问和攻击的相应处理提供依据。具备SNMP traps和系统日志功能的三层交换机,以及后台网管系统完善的系统日志功能可以对此提供很好的支持。SFLOW技术由于可以查看、监控和管理从第二层到第四层的网络流量,也可进一步提供信息。
3.6.7抵御攻击能力
当发生DoS攻击时,企业网设备被无用的数据包淹没,无法正常工作。三层交换机的Smurf攻击和TCP SYN攻击可以防范这两种DoS攻击。例如,用户可以通过配置交换机来防止其成为Smurf 攻击的受害者。设置发送到交换机或交换机某一端口的ICMP包的阀值,当ICMP包的数量超过阀值时,丢弃ICMP包。
3.6.8安全审计和管理
网络的安全不能单靠技术手段一劳永逸地解决,没有一种技术可以绝对保证网络安全,人的因素很重要。据Yankee集团对229家公司与政府机构的网络管理员(他们管理着50%以上的网络设备)的调查结果, 2001年有31%的网络故障是由于人为错误造成的,其中有一半是用户对网络做了未经授权的更改。所以,采用网管系统与设备互动的方式,对用户、主机、时间、地址、URL的安全进行审计和管理尤为重要。
- 20 -