[精选]《网络安全实用教程》配套(人民邮电出版)ch4.pptx

《[精选]《网络安全实用教程》配套(人民邮电出版)ch4.pptx》由会员分享，可在线阅读，更多相关《[精选]《网络安全实用教程》配套(人民邮电出版)ch4.pptx（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第4 章 网络硬件设备平安本章有五小节：4.1网络硬件系统的冗余4.2网络机房设施与环境平安4.3路由器平安4.4交换机平安4.5效劳器和客户机平安4 1 网络硬件系统的冗余4.1.1网络系统的冗余 系统冗余就是重复配置系统的一些部件。当系统某些部件发生故障时，冗余配置的其它部件介入并承担故障部件的工作，由此提高系统的可靠性。也就是说，冗余是将相同的功能设计在两个或两个以上设备中，如果一个设备有问题，另外一个设备就会自动承担起正常工作。冗余技术又称储藏技术，它是利用系统的并联模型来提高系统可靠性的一种手段。采用“冗余技术是实现网络系统容错的主要手段。4.1.2网络设备的冗余 网络系统的主要设备

2、有网络效劳器、核心交换机、存储设备、供电设备以及网络边界设备如路由器、防火墙等。为保证网络系统能正常运行和提供正常的效劳，在进行网络设计时要充分考虑主要设备的部件或设备的冗余。1网络设备的冗余类型 网络效劳器系统冗余 核心交换机冗余 供电系统的冗余 链接冗余 网络边界设备冗余 空闲备件4.1.3交换机端口会聚与镜像1交换机端口会聚1 端口会聚的概念 端口聚合也叫以太通道ethernet channel，主要用于交换机之间的连接。利用端口会聚技术，交换时机把一组物理端口联合起来，做为一个逻辑通道。这时，交换时机认为这个逻辑通道为一个端口。2 交换机端口会聚技术的实现以H3C交换机为例 2交换机端

3、口镜像1 基于交换机端口的镜像配置2 基于三层流的镜像配置3 基于二层流的镜像配置4.2 网络机房设施与环境平安l 保证网络机房的实体环境即硬件和软件环境平安是网络系统正常运行的重要保证。因此，网络管理部门必须加强对机房环境的保护和管理，以确保网络系统的平安。只有保障机房的平安可靠，才能保证网络系统的日常业务工作正常进行。l 计算机网络机房的设施与环境平安包括机房场地的平安，机房的温度、湿度和清洁度控制，机房内部的管理与维护，机房的电源保护，机房的防火、防水、防电磁干扰、防静电、防电磁辐射等。4.2.1机房的平安保护1机房场地的平安与内部管理 2机房的环境设备监控3机房的温度、湿度和洁净度4机

4、房的电源保护5机房的防火和防水4.2.2机房的静电和电磁防护1机房的静电防护:机房采取的防静电措施有：机房建设时，在机房地面铺设防静电地板。工作人员在工作时穿戴防静电衣服和鞋帽。工作人员在拆装和检修机器时应在手腕上戴防静电手环该手环可通过柔软的接地导线放电。保持机房内相应的温度和湿度。2机房的电磁干扰防护 电磁干扰主要来自计算机系统外部。系统外部的电磁干扰主要来自无线电播送天线、雷达天线、工业电气设备、高压电力线和变电设备，以及大自然中的雷击和闪电等。另外，系统本身的各种电子组件和导线通过电流时，也会产生不同程度的电磁干扰，这种影响可在机器制作时采用相应工艺降低和解决。通常可采取将机房选择在远

5、离电磁干扰源的地方、建造机房时采用接地和屏蔽等措施防止和减少电磁干扰的影响。3机房的电磁辐射防护 电磁辐射会产生两种不利因素：一是由电子设备辐射出的电磁波通过电路耦合到其它电子设备中形成电磁波干扰，或通过连接的导线、电源线、信号线等耦合而引起相互间的干扰，当这些电磁干扰到达一定程度时，就会影响设备的正常工作；二是这些辐射出的电磁波本身携带有用信号，如这些辐射信号被截收，再经过提取、处理等过程即可恢复出原信息，造成信息泄露。通常，可采取抑源法、屏蔽法和噪声干扰法措施防止电磁辐射。抑源法是从降低电磁辐射源的发射强度出发，对计算机设备内部产生和运行串行数据信息的部件、线路和区域采取电磁辐射抑制措施和

6、传导发射滤波措施，并视需要在此基础上对整机采取整体电磁屏蔽措施，减小全部或局部频段信号的传导和辐射。4 3 路由器平安4.3.1路由协议与访问控制1静态路由的配置定义目标网络号、目标网络的子网掩码和下一跳地址或接口：ip route nexthop-address|exit-interface distance 默认路由的配置：ip route 0.0.0.0 0.0.0.0 nexthop-address|exit-interface distance2动态路由算法RIP的配置RIP v1版的配置：l Router config#router rip l Router config-rout

7、er#networkxxxx.xxxx.xxxx.xxxxRIP v2版的配置：l Router config#router rip l Router config-router#version2 l Router config-router#noauto-sunnmary l Router config-router#networkXXXX.XXXX.XXXX.XXXX3访问控制列表配置 访问控制列表ACL 提供了一种机制，可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用ACL来管理信息流，以制定公司内部网的相关策略。如网络管理员可以通过配置ACL来实现允许用户访

8、问Internet，但不允许外部用户通过Telnet进入本地局域网。配置路由器的ACL是一件经常性的工作，通过配置ACL，可以使路由器提供基本的流量过滤能力。ACL是一个连续的允许和拒绝语句的集合，关系到地址或上层协议。ACL在网络中可实现多种功能，包括内部过滤分组、保护内部网络免受来自Internet的非法入侵和限制对虚拟终端端口的访问。1 基本ACL 一个ACL是由permit|deny 语句组成的一系列的规则列表。在配置ACL规则前，首先需要创立一个ACL。使用如下命令可创立ACL：acl number acl-number match-order config|auto 使用如下命令可

9、删除一个或所有的ACL：undo acl number acl-number|all 参数number acl-number定义一个数字型的ACL。acl-number是访问控制规则序号其值10001999 是基于接口的ACL，20002999是基本的数字型ACL，30003999是高级数字型ACL，40004999 是基于MAC地址的ACL。match-order config是指定匹配该规则时用户的配置顺序；match-order auto是指定匹配该规则时系统自动排序，即按“深度优先的顺序。基本ACL命令的命令格式为：rule rule-id permit|deny|menttext s

10、ourcesour-addr sour-wildcard|any time-rangetime-name logging fragment vpn-instancevpn-instance-name 可以通过在rule命令前加undo的形式，去除一个已经建立的基本ACL，其语法格式为：undorulerule-id menttext source time-range logging fragment vpn-instancevpn-instance-name 对已经存在的ACL 规则，如果采用指定ACL 规则编号的方式进行编辑，没有配置的局部是不受影响的。例如：先配置了一个ACL 规则rul

11、e 1 deny source 1.1.1.1 0，再对这个ACL 规则进行编辑rule 1 deny logging，此时ACL 规则变成为：rule 1 deny source 1.1.1.1 0 logging。2 基本ACL的配置应用实例 在系统视图下可实现的配置：acl number 2000 rule 10 deny 172.31.2.1#拒绝IP地址为172.31.2.1的主机的访问 rule 20 permit 172.31.2.0 0.0.0.255#允许从172.31.2.0子网来的任何主机的访问 rule 30 deny 172.31.0.0.0.0.255.255#拒绝

12、从172.31.0.0网络来的任何主机的访问 rule 40 permit 172.0.0.0 0.255.255.255#允许来自172网段的任何主机的访问 firewall packet-filter命令应用 firewall packet-filter命令可把某个现有的ACL与某个接口联系起来。配置时必须先进入到目的接口如S0/0 的接口配置模式。命令格式如下：firewall packet-filter acl-number inbound|outbound match-fragments normally|exactly 参数acl-number是ACL 的序号，inbound表示过

13、滤从接口收上来的数据包，outbound表示过滤从接口转发的数据包，match-fragments指定分片的匹配模式只有高级ACL有此参数，normally是标准匹配模式缺省模式，exactly是精确匹配模式。在实际配置基本ACL时，可以应用基本ACL允许或禁止特定的通信流量，然后测试该ACL是否到达预期结果。3 高级ACL的配置 高级ACL比基本ACL使用更广泛，因为它提供了更大的弹性和控制范围。高级ACL既可检查分组的源地址和目的地址，也可检查协议类型和TCP/UDP的端口号。高级ACL可以基于分组的源地址、目的地址、协议类型、端口地址和应用来决定访问是被允许还是拒绝。高级ACL可以在拒绝

14、文件传输和网页浏览的同时，允许从E0/0的E-mail通信流量抵达目的地S0/0。一旦分组被丢弃，某些协议将返回一个回应分组到源发送端，以说明目的不可达。高级ACL命令的完整语法为：rule rule-id permit|deny|ment text protocol source sour-addr sour-wildcard|any destination dest-addr dest-mask|any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message|

15、icmp-type icmp-code dscp dscp precedence precedence tos tos time-range time-name logging fragment vpn-instance 删除高级ACL命令的完整语法为：undo rule rule-id ment text source destination source-port destination-port icmp-type dscp precedence tos time-range logging fragment vpn-instance vpn-instance-name 一个简单的高级A

16、CL配置实例如下：rule 10 permit tcp 172.18.10.0.0.0.0.255 any eq telnet rule 20 permit tcp 172.18.10.0.0.0.0.255 any eq ftp rule 30 permit tcp 172.18.10.0.0.0.0.255 any eq ftp-data rule 40 deny any any 第1条判断语句设置允许172.18.10.0/24网络使用TCP协议访问外部网的TELNET效劳。第2条判断语句设置允许172.18.10.0/24网络使用TCP协议访问外部网的FTP效劳。第3条判断语句设置允许

17、172.18.10.0/24网络使用TCP协议访问外部网的FTP数据效劳。第4条判断语句设置拒绝满足前面三条ACL要求的其他网络效劳。4NAT技术 随着Internet的迅速开展，IP地址短缺及路由规模越来越大已成为相当严重的问题。为了解决这个问题，出现了多种解决方案。一种在目前网络环境中比较有效的方法是使用地址转换NAT 技术。地址转换是指在一个组织的网络内部，可以根据需要自定义自己的IP地址假IP地址。本组织内部的各计算机间通过假IP地址进行通信，当组织内部的计算机要与外部的Internet通信时，具有NAT功能的设备负责将其假IP地址转换为真IP地址。图显示了地址转换的基本过程。1 NA

18、T技术的应用 连接Internet，但不使网内所有的计算机都拥有真正的IP地址。通过NAT功能，可以对申请的合法的IP 地址进行统一管理，当内部计算机需要连接Internet时，动态或静态地将假的IP地址转换为合法IP地址。不使外部网络用户知道网络的内部结构。可通过NAT将内部网络与外部Internet隔离开。这样外部用户根本不知道网络内部假IP地址，可有效的保障内部效劳器的平安。实现多个用户同时公用一个合法IP地址与外部Internet通信 设置NAT功能的路由器至少要有一个内部端口和一个外部端口。内部端口连接网络内的用户，使用的是假IP地址，且内部端口可以为路由器的任意端口。外部端口连接的

19、是外部的公用网络如Internet，外部端口可以为路由器上的任意端口。2 NAT地址转换实例 在图中，用出接口地址做Easy NAT，完成将192.168.0.0/24内部网络接入Internet，在出口地址进行地址转换，隐藏内部网主机地址，有效保障内部网主机的平安。4.3.2虚拟路由器冗余协议VRRP 1VRRP协议概述 VRRP Virtual Router Redundancy Protocol，虚拟路由器冗余协议是一种选择性协议，它可以把一个虚拟路由器的责任动态分配到局域网上 VRRP 路由器。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到虚拟IP地址上

20、。一旦主路由器不可用，这种选择过程就提供动态的故障转移机制，允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的优点是有更高默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议2VRRP协议原理 通常，一个网络内的所有主机都设置一条缺省路由如图4.7所示，10.100.10.1，这样主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA，从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时，本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。l VRRP是一种容错协议，它是为解决上述问题而提出的，如图4

21、.8所示。VRRP 将局域网的一组路由器包括一个Master路由器和假设干个Backup路由器组织成一个虚拟路由器，称为一个备份组。该虚拟路由器拥有自己的IP 地址10.100.10.1 该IP 地址可以和备份组内的某路由器接口地址相同，备份组内的路由器也有自己的IP 地址如Master的IP 地址为10.100.10.2，Backup 的IP 地址为10.100.10.3。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1，而不知道具体的Master 路由器的IP 地址10.100.10.2 和Backup 路由器的IP 地址10.100.10.3，它们将自己的缺省路由下

22、一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是，网络内的主机就通过该虚拟的路由器与其它网络进行通信。如果备份组内的Master 路由器出现故障，Backup 路由器将会通过选举策略选出一个新的Master 路由器，继续向网络内的主机提供路由效劳。从而实现网络内的主机不间断地与外部网络进行通信。4 4 交换机平安4.4.1控制对交换机的访问1网络设备远程管理概述 Telnet协议是TCP/IP协议族中的一员，是Internet远程登录效劳的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。终端客户可以在telnet程序中输入命令，这些命令会在效劳器上运行

23、，就像直接在效劳器的控制台上输入一样。终端客户使用telnet程序连接到效劳器，可以在本地就能控制效劳器。要开始一个telnet会话，必须输入用户名和密码来登录效劳器2交换机远程TELNET管理配置实例4.4.2交换机平安配置实例1基于源IP地址的访问控制 在交换机以锐捷交换机为实验设备，下同上设置基于源IP地址的ACL，只允许指定源IP访问网络，而禁止其他IP访问网络。2基于目的IP地址的ACL配置 在交换机上设置基于目的IP地址的ACL，只允许主机访问指定目的IP地址的主机，而禁止访问其他主机。4基于MAC地址的ACL配置 在交换机上设置基于MAC地址的ACL，只允许指定MAC地址的主机访

24、问网络，而禁止其他MAC地址的主机访问网络。5基于时间的ACL配置 在交换机上设置基于时间的ACL，只允许指定时间段内访问网络，而禁止其他时间访问网络。4 5 效劳器与客户机平安4.5.1效劳器平安与设置实例 网络效劳器硬件是一种高性能计算机，再配以相应的效劳器软件系统如操作系统就构成了网络效劳器系统。网络效劳器系统的数据存储和处理能力均很强，是网络系统的灵魂。在基于效劳器的网络中，网络效劳器担负着向客户机提供信息数据、网络存储、科学计算和打印等共享资源和效劳，并负责协调管理这些资源。按照不同的用途，网络效劳器可分为文件效劳器、数据库效劳器、Internet/Intranet通用效劳器、应用效

25、劳器等；Internet上的应用效劳器有HDCP效劳器、Web效劳器、FTP效劳器、DNS效劳器和STMP效劳器等。上述效劳器主要用于完成一般网络和Internet上的不同功能。下面主要介绍Web效劳器配置、DNS效劳器配置和路由器的平安配置内容。1Web效劳器的配置与站点管理1 安装IIS2 Web效劳器的配置3 Web站点的管理2DNS效劳器的安装与配置1 DNS效劳器的安装2 DNS区域配置3 添加和删除DNS记录4 DNS客户端配置3网络效劳器的平安设置1 安装补丁2 安装防病毒软件3 通过注册表关闭445端口4 关闭3389端口和4899端口5 目录和文件权限管理6 把敏感文件存放在

26、另外的文件效劳器中 4.5.2客户机的平安策略1企业内部网的平安风险1 保护口令脆弱，身份鉴别强度低2 内部信息泄露的风险3 内部攻击的风险4 移动存储介质的风险2客户机的平安策略1 客户机实体平安2 客户机系统平安设定4.5.3客户机的平安管理与应用实例1对身份鉴别风险的防护 从操作系统平安方面来看，身份鉴别是最先考虑的环节，获得一个用户的身份就掌握了所登录计算机的所有资源，同时也很容易获得各应用系统的使用权限，因此身份鉴别方式的平安有效是非常重要的。目前，从技术上看身份鉴别主要有用户名+复杂口令、电子密钥+PIN码和人体生理特征识别三种方式。2对信息泄露风险的防护 根据网络模式、平安保密需

27、求等具体情况的不同，用户权限的管理在各应用场合的要求也不同。在平安保密要求较高的部门，客户机的I/O端口应该是受到控制的。通常可利用相关平安产品对客户机的光驱、USB口、口、LPT口以及打印机本地打印机和网络打印机等I/O端口进行使用权限控制。同时出于平安性和保护内部机密的需要，要求相关平安产品提供审计功能以加强对内部网络中客户机的监控和管理。3对内部攻击风险的防护1 补丁管理2 网络协议平安策略设置3 病毒防护4移动存储介质管理 为了降低移动存储介质带来的平安风险，应在企业内部对所有移动存储介质进行统一管理。对不同的存储介质采取不同的技术和管理措施。通过技术手段使外来移动存储介质无法接入企业

28、内部网，内部网中认证过的移动存储介质也仅能在授权的客户机上使用，对涉密的移动存储介质应采取加密等技术使其在授权之外的计算机上无法使用，以降低介质丧失或管理不严带来的平安风险。9、静夜四无邻，荒居旧业贫。6月-236月-23Thursday,June 1,2023 10、雨中黄叶树，灯下白头人。13:57:0513:57:0513:576/1/2023 1:57:05 PM 11、以我独沈久，愧君相见频。6月-2313:57:0513:57Jun-2301-Jun-23 12、故人江海别，几度隔山川。13:57:0513:57:0513:57Thursday,June 1,2023 13、乍见翻

29、疑梦，相悲各问年。6月-236月-2313:57:0513:57:05June 1,2023 14、他乡生白发，旧国见青山。01 六月 20231:57:05 下午13:57:056月-23 15、比不了得就不比，得不到的就不要。六月 231:57 下午6月-2313:57June 1,2023 16、行动出成果，工作出财富。2023/6/1 13:57:0513:57:0501 June 2023 17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。1:57:05 下午1:57 下午13:57:056月-23 9、没有失败，只有暂时停止成功！。6月-236月-23Thur

30、sday,June 1,2023 10、很多事情努力了未必有结果，但是不努力却什么改变也没有。13:57:0513:57:0513:576/1/2023 1:57:05 PM 11、成功就是日复一日那一点点小小努力的积累。6月-2313:57:0513:57Jun-2301-Jun-23 12、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。13:57:0513:57:0513:57Thursday,June 1,2023 13、不知香积寺，数里入云峰。6月-236月-2313:57:0513:57:05June 1,2023 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六

31、月 20231:57:05 下午13:57:056月-23 15、楚塞三湘接，荆门九派通。六月 231:57 下午6月-2313:57June 1,2023 16、少年十五二十时，步行夺得胡马骑。2023/6/1 13:57:0513:57:0501 June 2023 17、空山新雨后，天气晚来秋。1:57:05 下午1:57 下午13:57:056月-23 9、杨柳散和风，青山澹吾虑。6月-236月-23Thursday,June 1,2023 10、阅读一切好书如同和过去最杰出的人谈话。13:57:0513:57:0513:576/1/2023 1:57:05 PM 11、越是没有本领的

32、就越加自命非凡。6月-2313:57:0513:57Jun-2301-Jun-23 12、越是无能的人，越喜欢挑剔别人的错儿。13:57:0513:57:0513:57Thursday,June 1,2023 13、知人者智，自知者明。胜人者有力，自胜者强。6月-236月-2313:57:0513:57:05June 1,2023 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20231:57:05 下午13:57:056月-23 15、最具挑战性的挑战莫过于提升自我。六月 231:57 下午6月-2313:57June 1,2023 16、业余生活要有意义，不要越轨。2023/6/1 13:57:0513:57:0501 June 2023 17、一个人即使已登上顶峰，也仍要自强不息。1:57:05 下午1:57 下午13:57:056月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专家告诉