《ch2网络设备的安全与应用实践》由会员分享,可在线阅读,更多相关《ch2网络设备的安全与应用实践(76页珍藏版)》请在金锄头文库上搜索。
1、第2章 网络设备的安全与应用实践,物理安全; 路由器安全; 交换机安全; 服务器安全; 客户机安全。,2.1 物理安全,计算机系统无论是硬件还是软件都不可避免存在发生故障的可能,但并不是发生故障就一定意味着该系统完全失效。计算机系统大多拥有“容错”能力,即允许存在某些错误,尽管系统硬件有故障或程序有错误,仍能正确执行特定算法和提供系统服务。,2.1.1 网络的冗余安全,采用“冗余技术”是实现计算机容错的主要手段; 冗余设计的目的是:系统运行不受局部故障的影响,故障部件的维护对整个系统的功能实现没有影响,并可以实现在线维护,使故障部件得到及时的修复; 系统的可用性指标可以用两个参数进行简单的描述
2、:一个是平均无故障时间(MTBF),MTBF一般指产品在两次故障之间的平均时间间隔,是产品的平均寿命的指标之一;另一个是平均修复时间(MTBR),MTTR一般指产品的故障维修所需的平均修复时间,是产品可维修性的衡量指标,MTTR越短表示易恢复性越好。,网络拓扑设计的冗余链路,供电系统的冗余 机房设备属于一级负荷,按一级负荷的供电要求必须保证两个以上独立的电源点供电; 对于城市供电而言相对比较稳定,一般不会长时间停电,如果停电也将是区域性停电,因此可考虑使用UPS作为备份电源,采用市电+UPS后备电池相结合的供电方式。,电源保护 为计算机信息系统设备的可靠运行提供能源保障,例如使用不间断电源、纹
3、波抑制器、电源调节软件等。可归纳为两个方面:对工作电源的工作连续性的保护(如不间断电源UPS,Uninterruptible Power Supply);对工作电源的工作稳定性的保护(如纹波抑制器)。,2.1.2 网络设备的冗余,核心交换机冗余 核心交换机中电源模块的故障率相对较高,为了保证核心交换机的正常运行,一般考虑在核心交换机上增配一块电源模块,实现该部件的冗余; 服务器冗余 采用配置两台DHCP服务器来动态地给客户机分配IP地址,为了保证系统的可靠性,还可采用部件冗余技术、RAID技术; 存储设备冗余 选择刻录光驱、磁带机、磁盘阵列等设备冗余; 网络边界设备冗余,8,双机容错与集群系统
4、 双机容错系统 双机容错系统通过软硬件的紧密配合,将两立服务器在网络中表现为单一的系统,提供给客户一套具有单点故障容错能力,且性价比优越的用户应用系统运行平台。双机容错技术能够自动检测应用或服务器故障,并可将其在另一台可用的服务器上快速重新启动;而用户只会觉察到瞬间的服务暂停。,9,1.双机互备援(Dual Active)基本简介 所谓双机热备互援就是两台主机均为工作机,在正常情况下,两台工作机均为信息系统提供支持,并互相监视对方的运行情况。当一台主机出现异常时,不能支持信息系统正常运营,另一主机则主动接管异常机的工作,继续主持信息的运营,从而保证信息系统能够不间断的运行,而达到不停机的功能。
5、,10,2.双机热备份(Hot Standby)基本简介 所谓双机热备份就是一台主机为工作机,另一台主机为备份机,在系统正常情况下,工作机为信息系统提供支持,备份机监视工作机的运行情况。当工作机出现异常,不能支持信息系统运营时,备份机主动接管工作机的工作,继续支持信息的运营,从而保证信息系统能够不间断的运行。,11,集群系统 集群,英文名称为Cluster,通俗地说,集群是这样一种技术:它至少将两个系统连接到一起,使多台服务器能够像一台机器那样工作或者看起来好像一台机器。用户从来不会意识到集群系统底层的节点,在他/她们看来,集群是一个系统,而非多个计算机系统。并且集群系统的管理员可以随意增加和
6、删改集群系统的节点。采用集群系统通常是为了提高系统的稳定性和网络中心的数据处理能力及服务能力。,12,集群系统 在集群系统中,所有的计算机拥有一个共同的名称,集群内任一系统上运行的服务可被所有的网络客户所使用。集群必须可以协调管理各分离组件的错误和失败,若其中一台服务器失效,其它的服务器就会接管这台服务器所运行的应用,并将共享磁盘柜上的相应数据区接管过来。其接管过程如下图所示,磁盘阵列存储器的编码容错方案 廉价冗余磁盘阵列RAID(Redundent Array of Inexpensive Disks)是由美国加州大学伯克利分校的D.A. Patterson教授在1988年提出的。也简称为“
7、磁盘阵列”。RAID将一组磁盘驱动器用某种逻辑方式联系起来,作为逻辑上的一个磁盘驱动器来使用。一般情况下,组成的逻辑磁盘驱动器的容量要小于各个磁盘驱动器容量的总和。RAID一般是在SCSI或SATA磁盘接口实现的。,RAID提供了服务器中接入多个磁盘(专指硬盘)时,以磁盘阵列方式组成一个超大容量、响应速度快、可靠性高的存储子系统。通过对数据分块和交叉存储两项技术的使用,使CPU实现通过硬件方式对数据的分块控制和对磁盘阵列中数据的并行调度等功能。使用RAID可大大加快磁盘的访问速度,缩短磁盘读写的平均排队与等待时间,并以并行方式在多个硬盘驱动器上工作,被系统视作一个单一的硬盘,以冗余技术增加其可
8、靠性,以多个低成本磁盘构成磁盘子系统,提供比单一硬盘更完备的可靠性和高性能,目前工业界公认的标准是RAID0-RAID6。RAID被广泛地应用在服务器体系中。,RAID的优点包括以下几点: 一是成本低,功耗小,传输速率高。在RAID中,可以让很多磁盘驱动器同时传输数据,而这些磁盘驱动器在逻辑上又是一个磁盘驱动器,所以使用RAID可以达到单个的磁盘驱动器几倍、几十倍甚至上百倍的速率。 二是可以提供容错功能。这是使用RAID的第二个原因,因为普通磁盘驱动器无法提供容错功能,RAID的容错是建立在每个磁盘驱动器的硬件容错功能之上的,所以它提供更高的安全性。 三是在同样的容量下,RAID比起传统的大直
9、径磁盘驱动器来,价格要低许多。,2.2 路由器安全与应用实践,路由器是网络的神经中枢,是众多网络设备的重要一员; 广域网就是靠一个个路由器连接起来组成的; 路由器对网络的应用和安全具有极重要的地位。,2.2.1 路由协议与访问控制,路由选择及协议 路由选择是根据一定的原则和算法在多节点的通信子网中选择一条从源节点到目的节点的最佳路径; 路由选择算法可分为静态路由选择算法和动态路由选择算法两大类; 在路由器上利用路由选择协议主动交换路由信息,建立路由表并根据路由表转发分组。路由表可分为静态路由表和动态路由表; 在现代网络中,广泛采用的是动态路由算法。在动态路由选择算法中,应用分布式路由选择算法。
10、在该类算法中,最常用的是距离向量路由选择算法和链路状态路由选择算法。前者经过改进,成为目前广泛应用的路由信息协议,后者则发展成为开放式最短路径优先协议。,路由器访问控制列表(ACL) ACL是Cisco IOS所提供的一种访问控制技术; ACL技术是一种基于包过滤的流控制技术。ACL在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、源端口、目的端口等),根据预先定义好的规则对包进行过滤,从而达到访问控制的目的; ACL有标准ACL和扩展ACL两种。这两种类型的ACL都可以基于序列号和命名进行配置。配置ACL要注意两点,一是ACL只能过滤流经路由器的流量,对路由器自身发出的数据包不起
11、作用;二是一个ACL中至少有一条允许语句。,2.2.2 虚拟路由器冗余协议(VRRP),VRRP协议 VRRP是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中; 使用VRRP,可以通过手动或DHCP设定一个虚拟IP地址作为默认路由器。虚拟IP地址在路由器间共享,控制虚拟路由器IP地址的VRRP路由器称为主路由器,其它的则为备份路由器。主路由器负责转发数据包到这些虚拟IP地址; VRRP协议中优先级范围是0-255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者; 为了保证VRRP协议的安全性,提供了明文认
12、证和IP头认证两种安全认证措施。,VRRP是一种容错协议,它为具有多播或广播能力的局域网而设计。VRRP将局域网的一组路由器(包括一个主路由器和若干个备份路由器)组织成一个虚拟路由器,称之为一个备份组; 虚拟路由器拥有自己的IP地址10.100.10.1,备份组内的路由器也有自己的IP地址(如Master的IP地址为10.100.10.2,Backup的IP地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP地址而并不知道具体的Master路由器的IP地址以及Backup路由器的IP地址,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是,网络内的主机就通过
13、这个虚拟的路由器来与其它网络进行通信。,Linux下的VRRP组件 在Linux操作系统下可以实现非常稳定的VRRP功能,实现该功能的软件是keepalived。Keepalived的VRRP功能是从Linux中VRRPD发展而来的。,Keepalived的安装 openssl的安装 popt的安装 popt的安装 安装keepalived,安装keepalived,2.2.3 路由器安全配置与应用实践,路由器的自身安全; 路由器访问控制的安全策略; 路由协议的安全配置; 路由器的网络安全配置; 禁止路由器的部分网络服务的安全配置; 路由器实现多设备控制端口访问的配置; 实现精确控制访问的路由
14、器配置; 路由器的其他安全配置。,路由器的自身安全 用户口令安全 全局配置模式下使用命令service password-encryption进行配置,该命令可将明文密码变为密文密码,保证用户口令的安全; 配置登录安全 路由器的配置一般有控制口(Console)配置、Telnet配置和SNMP配置三种方法,为了保证使用Telnet配置路由器的安全,仅让路由器管理员的工作站登录而不让其他机器登录到路由器,以保证路由器配置的安全。,路由器访问控制的安全策略 严格控制可以访问路由器的管理员;对路由器的任何一次维护都需要记录备案,要有完备的路由器的安全访问和维护记录日志; 建议不要远程访问路由器; 要
15、严格地为IOS(Cisco网际操作系统)作安全备份,及时升级和修补IOS软件,并迅速为IOS安装补丁; 要为路由器的配置文件作安全备份; 为路由器配备UPS设备,或者至少要有冗余电源。,为进入特权模式设置强壮的密码,可采用enable secret(不要采用enable password)命令进行设置,并且启用Service password-encryption; 严格控制CON端口的访问; 如果不使用AUX端口,则应禁止该端口,使用如下命令即可(默认情况下是未被启用); 若要对权限进行分级,采用权限分级策略。,路由协议的安全配置 RIP路由协议验证 OSPF路由协议验证 OSPF有三种认证
16、方法,简单口令认证、MD5认证和Null认证。在缺省时OSPF使用Null认证,也就是路由交换不通过认证 EIGRP路由协议的验证 EIGRP协议仅仅支持MD5认证。认证的配置有三个步骤,一是在端口配置模式使MD5认证模式生效,二是密钥链要一致,三是给密钥链配置密钥。 简单网管协议SNMP的安全,路由器的网络安全配置 物理结构的布局 如果路由器有一个以上的局域网端口,或几台路由器并行使用,可以根据访问性质进行分类; 路由器的简单防火墙功能 常用的路由器一般都有访问控制列表ACL(Access List),即包过滤防火墙功能。访问列表可用于入口(Inbound),也可用于出口(Outbound)。它可对源IP地址和目的IP地址以及协议端口号进行过滤,用它可以控制哪些网络可以访问什么服务器资源。,禁止路由器的部分网络服务的安全配置 禁止Finger服务 Router(config)# no ip finger Router(config)# no service finger 禁止TCP、UDP Small服务 Router(config)# no service tcp-sm
