-計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)VIP

計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)內(nèi)容概述計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)局域網(wǎng)技術(shù)及解決方案廣域網(wǎng)技術(shù)及解決方案網(wǎng)絡(luò)安全相關(guān)技術(shù)及解決方案OSI七層參考模型ApplicationPresentationSessionTransportNetworkDataLinkPhysicalDataLinkNetworkTransportSessionPresentationApplicationPhysical比特流幀（Frame）包（Packet）分段（Segment）會(huì)話流代碼流數(shù)據(jù)TCP/IP協(xié)議簇傳輸層數(shù)據(jù)連路層網(wǎng)絡(luò)層物理層應(yīng)用層會(huì)話層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層物理層HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RARP等Ethernet、ATM、FDDI、X.25、ISDN等內(nèi)容分發(fā)負(fù)載均衡路由器交換機(jī)TCP會(huì)話連接SYNreceived主機(jī)A：客戶端主機(jī)B：服務(wù)端發(fā)送TCPSYN分段(seq=100ctl=SYN)1發(fā)送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)3TCP連接的終止主機(jī)B：服務(wù)端主機(jī)A：客戶端1發(fā)送TCPFIN分段2發(fā)送TCPACK分段3發(fā)送TCPFIN分段4發(fā)送TCPACK分段關(guān)閉A到B的連接關(guān)閉A到B的連接局域網(wǎng)技術(shù)及解決方案局域網(wǎng)技術(shù)

1、局域網(wǎng)（LAN）的定義：

LAN是一個(gè)覆蓋地理位置相對較小的高速數(shù)據(jù)網(wǎng)絡(luò)，通過電纜將服務(wù)器、工作站、打印機(jī)和其它設(shè)備連接到一起。這種網(wǎng)絡(luò)通常位于一個(gè)比較集中的建筑群內(nèi)。

2、LAN拓?fù)浣Y(jié)構(gòu)：電腦連接的方式叫“網(wǎng)絡(luò)拓?fù)洹?，常見的LAN物理拓?fù)浣Y(jié)構(gòu)有三種：總線型、環(huán)型和星型。而邏輯拓?fù)浣Y(jié)構(gòu)只有總線型和環(huán)型兩種。邏輯總線型和環(huán)型拓?fù)浣Y(jié)構(gòu)通常可以在星型物理拓?fù)浣Y(jié)構(gòu)中實(shí)現(xiàn)。圖一總線型（以太網(wǎng)）圖二環(huán)型（令牌環(huán)、FDDI）圖三星型局域網(wǎng)技術(shù)

3、以太網(wǎng)類型：

1）標(biāo)準(zhǔn)以太網(wǎng)：速率為10Mbps，傳輸介質(zhì)為同軸電纜或雙絞線；

2）快速以太網(wǎng)：速率為100Mbps，傳輸介質(zhì)為雙絞線或光纖；

3）千兆以太網(wǎng)：速率為1000Mbps，傳輸介質(zhì)為雙絞線或光纖；

4）萬兆以太網(wǎng)：速率為10000Mbps,傳輸介質(zhì)為雙絞線或光纖.

4、局域網(wǎng)（以太網(wǎng)）設(shè)備：

1）網(wǎng)絡(luò)線纜：同軸電纜、雙絞線、光纖。

2）網(wǎng)卡：一種電腦輔助板卡，一面插入電腦母板的擴(kuò)展槽，另一面與網(wǎng)絡(luò)線纜相連。網(wǎng)卡完成網(wǎng)絡(luò)通信所需的各種功能。只有通過網(wǎng)卡，電腦才能通過網(wǎng)絡(luò)進(jìn)行通信。目前常用的以太網(wǎng)卡：10M、10/100M自適應(yīng)、1000M。

3）集線器：是一種連接多個(gè)用戶節(jié)點(diǎn)的物理層設(shè)備，每個(gè)經(jīng)集線器連接的節(jié)點(diǎn)都需要一條專用電纜，用集線器可以建立一個(gè)物理的星型網(wǎng)絡(luò)結(jié)構(gòu)。常用的集線器按速率分有10M、100M、10/100M自適應(yīng)三種，支持的端口數(shù)從8口到24口不等。集線器令所有端口共享10M（或100M）帶寬。

局域網(wǎng)技術(shù)4、局域網(wǎng)（以太網(wǎng)）設(shè)備：

4）交換機(jī)：是數(shù)據(jù)鏈路層設(shè)備，它將較大的局域網(wǎng)分解成較小的子網(wǎng)，另每個(gè)端口下連接的單個(gè)設(shè)備或子網(wǎng)獨(dú)享10M（或100M）分段，然后再實(shí)現(xiàn)分段間通信。交換機(jī)對大網(wǎng)進(jìn)行細(xì)分，減少了從一個(gè)分段到另一個(gè)分段時(shí)不必要的網(wǎng)絡(luò)信息流，從而解決了網(wǎng)絡(luò)擁塞問題，提高網(wǎng)絡(luò)整體性能。常見交換機(jī)類型：10M、10/100M、1000M，端口從8口到48口不等。交換機(jī)還有可堆疊、不可堆疊，可網(wǎng)管、不可網(wǎng)管以及是否帶三層路由功能之分。交換機(jī)集線器子網(wǎng)A集線器子網(wǎng)B局域網(wǎng)技術(shù)5、虛擬局域網(wǎng)（VLAN）簡介：

1）所謂VLAN，是指一個(gè)由多個(gè)段組成的物理網(wǎng)絡(luò)中的結(jié)點(diǎn)的邏輯分組，利用VLAN，工作組應(yīng)用可以象所有工作組成員都連接到同一個(gè)物理網(wǎng)段上一樣進(jìn)行工作，而不必關(guān)心用戶實(shí)際連接到哪個(gè)網(wǎng)段上。VLAN是交換式LAN的最大特點(diǎn)。交換機(jī)信息中心交換機(jī)A樓交換機(jī)B樓部門A部門B部門A部門B局域網(wǎng)技術(shù)

2）VLAN的優(yōu)點(diǎn)：

改進(jìn)管理的效率：VLAN提供了有效的機(jī)制來控制由于企業(yè)結(jié)構(gòu)、人事或資源變化對網(wǎng)絡(luò)系統(tǒng)所造成的影響。例如，當(dāng)用戶從一個(gè)地點(diǎn)移到另一個(gè)地點(diǎn)時(shí)，只需對交換機(jī)的配置稍做改動(dòng)即可，大大簡化了重新布線。配置和測試的步驟。

控制廣播活動(dòng)：VLAN可保護(hù)網(wǎng)絡(luò)不受由廣播流量所造成的影響，一個(gè)VLAN內(nèi)的廣播信息不會(huì)傳送到VLAN之外，網(wǎng)絡(luò)管理人員可以通過設(shè)置VLAN靈活控制廣播域。

增強(qiáng)網(wǎng)絡(luò)安全：VLAN創(chuàng)造了虛擬邊界，它只能通過路由跨越，因此通過將網(wǎng)絡(luò)用戶劃分到不同VLAN并結(jié)合訪問控制，可控制VLAN外部站點(diǎn)對VLAN內(nèi)部資源的訪問，提高網(wǎng)絡(luò)的安全性。3）VLAN的劃分方法：

MAC地址、IP地址、交換機(jī)端口5、虛擬局域網(wǎng)（VLAN）簡介：局域網(wǎng)絡(luò)的設(shè)計(jì)需求

更高的可靠性冗余的網(wǎng)絡(luò)結(jié)構(gòu)：STP，PVST高速故障鏈路切換：Uplinkfast,Backbonefast,Portfast

更高的安全性完整的網(wǎng)絡(luò)安全策略：VLAN,基于交換機(jī)端口的安全性，……

更高的性能基于光纖和UTP的千兆以太網(wǎng)及以太網(wǎng)通道高效的第三層交換更好的可管理性強(qiáng)大的網(wǎng)絡(luò)管理工具：CiscoWorks2000

支持未來業(yè)務(wù)的發(fā)展企業(yè)總部局域網(wǎng)網(wǎng)絡(luò)解決方案CiscoWorks2000網(wǎng)管郵件服務(wù)器4GBGEC1000M10/100M10/100M在具備光纖資源的營業(yè)部采用Catalyst4000/3500接入，否則采用Catalyst2950T接入業(yè)務(wù)服務(wù)器10/100M10/100MCatalyst2950T1000M1000MOA服務(wù)器Catalyst3550工作站10/100M接入中心兩臺(tái)Catalyst6509配置千兆模塊，支持VLAN和高速三層交換1000M1000M企業(yè)總部局域網(wǎng)網(wǎng)絡(luò)解決方案特點(diǎn)特點(diǎn)：1.系統(tǒng)全套備份,穩(wěn)定可靠；雙中心配置，中心設(shè)備交換引擎、路由引擎冗余配置；二級交換機(jī)到中心交換機(jī)鏈路冗余配置2.高性能；Catalyst6500交換機(jī)可具有高達(dá)256Gbps的交換交換矩陣，保證中心高性能交換；千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能4.邊緣交換機(jī)采用10/100M端口連接終端用戶，Catalyst3550光纖千兆上聯(lián)，堆疊擴(kuò)展用戶數(shù)目，節(jié)省上聯(lián)鏈路；Catalyst2950采用UTP千兆上聯(lián)，投資保護(hù)5.思科GEC/FEC帶寬聚合技術(shù)保證網(wǎng)絡(luò)速度不會(huì)造成人行業(yè)務(wù)的瓶頸6.實(shí)施豐富的網(wǎng)絡(luò)安全控制策略，ACL,VLAN；可以配置入侵檢測模塊IDS7.管理簡單，瀏覽器方式無需專門培訓(xùn)；配置CiscoWorks2000網(wǎng)管軟件及NAM模塊8.良好的擴(kuò)充性,可滿足不斷增長的用戶網(wǎng)絡(luò)需求9.支持多媒體應(yīng)用，視頻點(diǎn)播、IP電話機(jī)供電企業(yè)大型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案CiscoWorksforWindows或CiscoWorks2000網(wǎng)管郵件服務(wù)器4GBGEC中心兩臺(tái)Catalyst4506/4507，配置千兆模塊，支持VLAN和高速三層交換1000M10/100M10/100M業(yè)務(wù)服務(wù)器10/100M10/100MCatalyst2950T1000M1000MOA服務(wù)器Catalyst3550工作站10/100M接入

1000M1000MCatalyst3550企業(yè)大型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案特點(diǎn)1.系統(tǒng)穩(wěn)定可靠；采用Catalyst4506/4507組成雙中心，且鏈路冗余；2.高性能全交換、千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；中心交換機(jī)備板64Gbps，二層和三層交換性能為48MPPS;3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能；4.邊緣交換機(jī)采用10/100M端口連接終端用戶，Catalyst3550光纖千兆上聯(lián)，可堆疊擴(kuò)展用戶數(shù)目，節(jié)省上聯(lián)鏈路；Catalyst2950采用UTP千兆上聯(lián)，投資保護(hù)5.思科GEC/FEC帶寬聚合技術(shù)保證網(wǎng)絡(luò)速度不會(huì)造成業(yè)務(wù)的瓶頸6.系統(tǒng)安全,保密性高;ACL，VLAN等網(wǎng)絡(luò)安全策略7.管理簡單，瀏覽器方式無需專門培訓(xùn);

配置

CiscoWorks

2000或CiscoWorksWindows網(wǎng)管軟件8.良好的擴(kuò)充性9.支持多媒體應(yīng)用，視頻點(diǎn)播、IP電話機(jī)供電企業(yè)中型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案

CiscoWorksforWindows網(wǎng)管OA/郵件服務(wù)器4GBGEC中心兩臺(tái)Catalyst3550T交換機(jī)，通過千兆連接，支持VLAN和高速三層交換1000M10/100M10/100M業(yè)務(wù)服務(wù)器10/100M10/100MCatalyst2950T1000M1000MCatalyst2950T工作站10/100M接入

1000M1000MCatalyst2950T企業(yè)中型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案特點(diǎn)1.系統(tǒng)穩(wěn)定可靠；采用Catalyst3550T組成雙中心，且鏈路冗余；2.高性能全交換、千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；中心交換機(jī)備板24Gbps;性能價(jià)格比高;17Mpps的二、三層轉(zhuǎn)發(fā)速率；

3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能；4.邊緣交換機(jī)采用10/100M端口連接終端用戶，Catalyst3550光纖千兆上聯(lián)，可堆疊擴(kuò)展用戶數(shù)目，節(jié)省上聯(lián)鏈路；Catalyst2950T采用UTP千兆上聯(lián)，投資保護(hù)5.思科GEC/FEC帶寬聚合技術(shù)保證網(wǎng)絡(luò)速度不會(huì)造成業(yè)務(wù)的瓶頸6.系統(tǒng)安全,保密性高;ACL，VLAN等網(wǎng)絡(luò)安全策略7.管理簡單，瀏覽器方式無需專門培訓(xùn);

配置

CiscoWorksWindows網(wǎng)管軟件8.良好的擴(kuò)充性9.支持多媒體應(yīng)用，視頻點(diǎn)播企業(yè)小型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案

CiscoWorksforWindowsOA/郵件服務(wù)器4GBGEC中心兩臺(tái)Catalyst3550交換機(jī)，通過千兆連接，支持VLAN和高速三層交換100M業(yè)務(wù)服務(wù)器100M100M工作站100M100M企業(yè)小型分支機(jī)構(gòu)局域網(wǎng)網(wǎng)絡(luò)解決方案特點(diǎn)1.系統(tǒng)穩(wěn)定可靠；采用Catalyst3550組成雙中心，且鏈路冗余；2.性價(jià)比高，全交換、百兆主干，滿足小規(guī)模網(wǎng)絡(luò)運(yùn)行需求；中心交換機(jī)備板8.8Gbps;6.6Mpps的二、三層轉(zhuǎn)發(fā)速率；3.三層交換，虛擬網(wǎng)絡(luò)劃分，有效隔離辦公與業(yè)務(wù)網(wǎng)絡(luò)，避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能；4.思科GEC/FEC帶寬聚合技術(shù)保證網(wǎng)絡(luò)速度不會(huì)造成業(yè)務(wù)的瓶頸5.系統(tǒng)安全,保密性高;ACL，VLAN等安全策略6.管理簡單，瀏覽器方式無需專門培訓(xùn);

配置

CiscoWorksWindows網(wǎng)管軟件7.良好的擴(kuò)充性8.支持多媒體應(yīng)用，視頻點(diǎn)播IEEE802.1xAuthenticationServer23802.1xisaclient-server-basedaccesscontrolandauthenticationprotocolthatrestrictsunauthorizeddevicesfromconnectingtoaLANthroughpubliclyaccessibleports411Useractivateslink(i.e.PCPowerson)2SwitchrequestsAuthenticationServerifuserauthorisedtoaccessLAN34AuthenticationServerrespondswithauthorityaccessSwitchopenscontrolledport(ifauthorised)forusertoaccessLAN802.1X首先是一個(gè)認(rèn)證協(xié)議，是一種對用戶進(jìn)行認(rèn)證的方法和策略。802.1X是基于端口的認(rèn)證策略（這里的端口可以是一個(gè)實(shí)實(shí)在在的物理端口也可以是一個(gè)就像VLAN一樣的邏輯端口，對于無線局域網(wǎng)來說個(gè)“端口”就是一條信道）802.1X的認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對于一個(gè)端口，如果認(rèn)證成功那么就“打開”這個(gè)端口，允許文所有的報(bào)文通過；如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，此時(shí)只允許802.1X的認(rèn)證報(bào)文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通過。802.1x是用來做什么的？在win98下提供的客戶端：在winXP下提供的客戶端：IEEE802.1x認(rèn)證客戶端廣域網(wǎng)技術(shù)及解決方案廣域網(wǎng)綜述廣域網(wǎng)綜述：

廣域網(wǎng)是地理位置較為分散的局域網(wǎng)之間鏈接通道的集合。廣域網(wǎng)的出現(xiàn)是為了解決局域網(wǎng)與一臺(tái)遠(yuǎn)程工作站或另一個(gè)局域網(wǎng)鏈接的問題，在這種情況下，需要鏈接的距離已超過了線纜媒體的規(guī)格，或者不可能進(jìn)行物理性的線纜連接，為了實(shí)現(xiàn)廣域網(wǎng)，需要用到下面這些傳輸媒體：普通電話網(wǎng)（PSTN）X.25專線一線通ISDNDDN專線幀中繼業(yè)務(wù)國際互聯(lián)網(wǎng)(Internet)高速光纜衛(wèi)星鏈路微波傳輸鏈路無線廣播媒體一線通ISDN

一線通ISDN：

ISDN是一種建立在全數(shù)字化網(wǎng)絡(luò)基礎(chǔ)上的綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)，中國電信稱之為“一線通”。它有以下特點(diǎn)：

1）通過一根普通電話線您可以進(jìn)行多種業(yè)務(wù)通信，如用于電話、上網(wǎng)、傳真、會(huì)議電視、局域網(wǎng)互連等；

2）因?yàn)镮SDN提供2B+D服務(wù)（B信道傳輸速率為64K，D信道為“服務(wù)信道”傳輸速率16K），通過一根普通電話線您可以同時(shí)進(jìn)行兩路通信，比如邊上國際互聯(lián)網(wǎng)邊打電話，或兩部電話同時(shí)通話等；

3）可以同時(shí)使用兩個(gè)B信道來進(jìn)行數(shù)據(jù)傳輸，從而獲得128K的總體傳輸速率，當(dāng)一個(gè)B信道用于語音傳送時(shí)，另一個(gè)B信道上的傳輸速率就會(huì)降回原始的64K，當(dāng)語音停止傳送時(shí)，數(shù)據(jù)傳送速率就會(huì)立即恢復(fù)成128K。數(shù)據(jù)專線

DDN專線：

DDN是數(shù)字?jǐn)?shù)據(jù)網(wǎng)的簡稱，主要是為用戶提供永久的出租數(shù)字電路。

DDN為用戶開放多種形式的業(yè)務(wù)：點(diǎn)對點(diǎn)的專線、一點(diǎn)對多點(diǎn)的連接、同點(diǎn)對多點(diǎn)的圖像通信等。速率從9.6K、19.2K、64K一直2M。

幀中繼業(yè)務(wù)：幀中繼提供了高速度、高效率、大吞吐量、低時(shí)延的數(shù)據(jù)服務(wù)。幀中繼利用永久性虛電路（PVC）建立可靠的端到端回路。對于低速幀中繼業(yè)務(wù)可通過DDN網(wǎng)內(nèi)以幀中繼OVERDDN的方式或經(jīng)由DDN網(wǎng)接入寬帶ATM網(wǎng)；對于高速用戶可使用光纖或HDSL直接接入ATM網(wǎng)。相對于DDN電路，幀中繼更適合于點(diǎn)到多點(diǎn)的業(yè)務(wù)。DDN的點(diǎn)到多點(diǎn)業(yè)務(wù)只能提供輪詢方式（在一段時(shí)間內(nèi)，主點(diǎn)只能與一個(gè)從點(diǎn)進(jìn)行通信）。幀中繼業(yè)務(wù)采用PVC方式，可提供與所有從站并發(fā)雙工通信。另外，由于幀中繼支持突發(fā)數(shù)據(jù)，也比較適合于局域網(wǎng)互連或業(yè)務(wù)突發(fā)量較大的應(yīng)用。

VPN技術(shù)使用戶可以通過國際互聯(lián)網(wǎng)為企業(yè)構(gòu)筑安全可靠、方便快捷的企業(yè)私有網(wǎng)絡(luò)。根據(jù)業(yè)務(wù)類型，VPN業(yè)務(wù)大致可分為兩類，撥號VPN與專線VPN。所謂撥號VPN，指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過當(dāng)?shù)豂SP撥號入公網(wǎng)的方式而構(gòu)筑的虛擬網(wǎng)。專線VPN是指企業(yè)的分支機(jī)構(gòu)通過租用當(dāng)?shù)貙＞€入公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。

VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信。它采用復(fù)雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會(huì)被竊聽。工作過程：局域網(wǎng)中被保護(hù)的主機(jī)發(fā)明文信息到VPN設(shè)備，VPN對數(shù)據(jù)加密后通過路由器送到互聯(lián)網(wǎng)上，加密的數(shù)據(jù)從互聯(lián)網(wǎng)到達(dá)另一個(gè)局域網(wǎng)的路由器，然后由路由器后面的VPN設(shè)備將數(shù)據(jù)解密后送到VPN后面被保護(hù)的主機(jī)上。

通過國際互聯(lián)網(wǎng)建立虛擬專用網(wǎng)（VPN）：VPN技術(shù)當(dāng)?shù)貙＞€隧道從一個(gè)VPN設(shè)備開始到另一個(gè)VPN設(shè)備結(jié)束。當(dāng)?shù)貙＞€撥當(dāng)?shù)豂SP撥長途號租長途專線專用網(wǎng)虛擬專用網(wǎng)國際互聯(lián)網(wǎng)分支機(jī)構(gòu)總部局域網(wǎng)路由器VPN設(shè)備VPN設(shè)備路由器帶VPN軟件的遠(yuǎn)程站點(diǎn)VPN技術(shù)防火墻Checkpoint&FortiGate400出口路由器CISCO3620INTERNETSDH

128KDDN專線XXX單位網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D2M數(shù)字電路中心交換機(jī)Catalyst4006股份公司防火墻PIX515-R出口路由器CISCO3640內(nèi)部路由器CISCO37454M數(shù)字電路PSTN

財(cái)務(wù)信息系統(tǒng)DMZ防火墻撥號路由器財(cái)務(wù)客戶端財(cái)務(wù)客戶端財(cái)務(wù)客戶端DB*2Switch*2RAIDAPP*2TAPEDB=數(shù)據(jù)庫服務(wù)器APP=應(yīng)用服務(wù)器RAID=磁盤陣列TAPE=磁盤陣列2Gb/s光纖通道WEBWEB=WWW服務(wù)器應(yīng)用實(shí)例一：總部網(wǎng)絡(luò)擁有靜態(tài)IP地址的分公司網(wǎng)絡(luò)

擁有動(dòng)態(tài)IP地址的分公司網(wǎng)絡(luò)

備用VPN通道DDN專用線路公司外地出差人員

公司外地出差人員

擁有靜態(tài)IP地址的分公司所屬各經(jīng)營部

擁有動(dòng)態(tài)IP地址的分公司所屬各經(jīng)營FortiGate-100FortiGate-50兩網(wǎng)關(guān)設(shè)備間IPSecVPN通道FortiNetSSH軟件IPSecVPN通道L2TP/PPTPVPN通道XXX集團(tuán)銷售公司VPN專網(wǎng)應(yīng)用實(shí)例二：VPN網(wǎng)絡(luò)安全技術(shù)及相關(guān)解決方案防火墻技術(shù)防火墻：是加載于可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的安全設(shè)備，是網(wǎng)絡(luò)安全政策的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。防火墻可以是軟件、硬件和軟硬件結(jié)合的發(fā)展歷經(jīng)簡單包過濾、應(yīng)用代理、狀態(tài)檢測（狀態(tài)包過濾）防火墻最新技術(shù)是具有數(shù)據(jù)流過濾功能的防火墻對于一個(gè)網(wǎng)絡(luò)來說，所有通過“內(nèi)部”和“外部”的網(wǎng)絡(luò)流量都要經(jīng)過防火墻防火墻本身必須建立在安全操作系統(tǒng)的基礎(chǔ)上防火墻的控制能力服務(wù)控制，確定哪些服務(wù)可以被訪問方向控制，對于特定的服務(wù)，可以確定允許哪個(gè)方向能夠通過防火墻用戶控制，根據(jù)用戶來控制對服務(wù)的訪問行為控制，控制一個(gè)特定的服務(wù)的行為防火墻主要功能過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)、出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄通過防火墻的信息內(nèi)容和活動(dòng)對網(wǎng)絡(luò)攻擊進(jìn)行檢測和報(bào)警內(nèi)部工作子網(wǎng)與外網(wǎng)的訪問控制進(jìn)行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許訪問將訪問記錄寫進(jìn)日志文件合法請求則允許訪問發(fā)起訪問請求防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問控制3、對工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域與外網(wǎng)的訪問控制

Internet區(qū)域Internet邊界路由器進(jìn)行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許訪問將訪問記錄寫進(jìn)日志文件禁止對外發(fā)起連結(jié)請求發(fā)起訪問請求防火墻在此處的功能：1、DMZ網(wǎng)段與外部子網(wǎng)的物理隔離2、訪問控制3、對DMZ子網(wǎng)做MAP映射4、日志記錄DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)內(nèi)部子網(wǎng)與DMZ區(qū)的訪問控制進(jìn)行訪問規(guī)則檢查發(fā)起訪問請求合法請求則允許對外訪問將訪問記錄寫進(jìn)日志文件禁止對工作子網(wǎng)發(fā)起連結(jié)請求發(fā)起訪問請求

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)撥號用戶對內(nèi)部網(wǎng)的訪問控制撥號服務(wù)器Cisco2620移動(dòng)用戶PSTNModemModem進(jìn)行一次性口令認(rèn)證認(rèn)證通過后允許訪問內(nèi)網(wǎng)將訪問記錄寫進(jìn)日志文件內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)對總部的訪問控制撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNSFW+VPNFW+VPN進(jìn)行規(guī)則檢查將訪問記錄寫進(jìn)日志文件防火墻在此處的功能：1、將內(nèi)部子網(wǎng)與連接下屬機(jī)構(gòu)的公網(wǎng)隔離開2、控制下屬機(jī)構(gòu)子網(wǎng)用戶對總部內(nèi)網(wǎng)的訪問3、對下屬機(jī)構(gòu)網(wǎng)絡(luò)與總部子網(wǎng)之間的通訊做日志和審計(jì)基于時(shí)間的訪問控制HostCHostD在防火墻上制定基于時(shí)間的訪問控制策略上班時(shí)間不允許訪問Internet上班時(shí)間可以訪問公司的網(wǎng)絡(luò)Internet用戶級權(quán)限控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶root123root123Yesadmin883No不管那臺(tái)電腦都可以用相同的用戶名來登陸防火墻只需在防火墻設(shè)置該用戶的規(guī)則即可高層協(xié)議控制

應(yīng)用控制可以對常用的高層應(yīng)用做更細(xì)的控制如HTTP的GET、POST、HEAD

如FTP的GET、PUT等物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)防火墻內(nèi)部接口外部接口根據(jù)策略檢查應(yīng)用層的數(shù)據(jù)符合策略應(yīng)用層應(yīng)用層應(yīng)用層IP與MAC綁定InternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBindTo00-50-04-BB-71-A6BindTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)流量控制HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)HostA的流量已達(dá)到10MHostA的流量已達(dá)到極限值30M阻斷HostA的連接Internet端口映射Internet

公開服務(wù)器可以使用私有地址隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTPMAILDNS：80——：80：21——：21：25——：25：53——：53NAT網(wǎng)關(guān)和IP復(fù)用Internet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4

隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能透明接入受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整HostAHostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變信息系統(tǒng)審計(jì)與日志HostAHostBHostCHostDInternet安全網(wǎng)域HostGHostH···TCP8：302001-02-07···TCP9：102001-02-07寫入日志寫入日志一旦出現(xiàn)安全事故可以查詢此日志身份鑒別功能HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)Internet···············

······PermitPasswordUsername預(yù)先可在防火墻上設(shè)定用戶rootasdasdf驗(yàn)證通過則允許訪問root123Yesadmin883No

用戶身份認(rèn)證根據(jù)用戶控制訪問防火墻的類型包過濾路由器應(yīng)用層網(wǎng)關(guān)電路層網(wǎng)關(guān)這僅是一種防火墻分類方法，所著眼的視角不同，得到的類型劃分也不一樣包過濾防火墻基本的思想很簡單對于每個(gè)進(jìn)來的包，適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄該包往往配置成雙向的如何過濾過濾的規(guī)則以IP和傳輸層的頭中的域(字段)為基礎(chǔ)，包括源和目標(biāo)IP地址、IP協(xié)議域、源和目標(biāo)端口號過濾器往往建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件來作出決定包過濾路由器示意圖網(wǎng)絡(luò)層鏈路層物理層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過濾HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包進(jìn)行分析根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包控制策略

基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于數(shù)據(jù)流可以靈活的制定的控制策略包過濾防火墻的優(yōu)缺點(diǎn)在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測并沒有考慮連接狀態(tài)信息通常在路由器上實(shí)現(xiàn)實(shí)際上是一種網(wǎng)絡(luò)的訪問控制機(jī)制優(yōu)點(diǎn)實(shí)現(xiàn)簡單對用戶透明效率高缺點(diǎn)正確制定規(guī)則并不容易不可能引入認(rèn)證機(jī)制針對包過濾防火墻的攻擊IP地址欺騙，例如，假冒內(nèi)部的IP地址對策：在外部接口上禁止內(nèi)部地址源路由攻擊，即由源指定路由對策：禁止這樣的選項(xiàng)小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中對策：丟棄分片太小的分片利用復(fù)雜協(xié)議和管理員的配置失誤進(jìn)入防火墻例如，利用ftp協(xié)議對內(nèi)部進(jìn)行探查應(yīng)用層網(wǎng)關(guān)也稱為代理服務(wù)器特點(diǎn)所有的連接都通過防火墻，防火墻作為網(wǎng)關(guān)在應(yīng)用層上實(shí)現(xiàn)可以監(jiān)視包的內(nèi)容可以實(shí)現(xiàn)基于用戶的認(rèn)證所有的應(yīng)用需要單獨(dú)實(shí)現(xiàn)可以提供理想的日志功能非常安全，但是開銷比較大應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點(diǎn)優(yōu)點(diǎn)允許用戶“直接”訪問Internet易于記錄日志缺點(diǎn)新的服務(wù)不能及時(shí)地被代理每個(gè)被代理的服務(wù)都要求專門的代理軟件客戶軟件需要修改，重新編譯或者配置有些服務(wù)要求建立直接連接，無法使用代理代理服務(wù)不能避免協(xié)議本身的缺陷或者限制電路層網(wǎng)關(guān)工作于OSI/RM的會(huì)話層充當(dāng)屏蔽路由器，將內(nèi)外網(wǎng)徹底隔離防火墻設(shè)計(jì)規(guī)則保持設(shè)計(jì)的簡單性計(jì)劃好防火墻被攻破時(shí)的應(yīng)急響應(yīng)考慮以下問題雙機(jī)熱備安全的遠(yuǎn)程管理入侵監(jiān)測的集成數(shù)據(jù)保護(hù)功能雙機(jī)熱備內(nèi)部網(wǎng)外網(wǎng)或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳線ActiveFirewallStandbyFirewall檢測ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作安全遠(yuǎn)程管理安全網(wǎng)域HostCHostDInternet管理員黑客如何實(shí)現(xiàn)安全管理呢采用一次性口令認(rèn)證來實(shí)現(xiàn)安全管理用戶名，口令用戶名，口令數(shù)據(jù)機(jī)密性保護(hù)撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸數(shù)據(jù)完整性保護(hù)內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性數(shù)據(jù)源身份驗(yàn)證內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對方驗(yàn)證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗(yàn)證通過IDSIDS（IntrusionDetectionSystem）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。

監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。入侵檢測系統(tǒng)FirewallInternetServersDMZIDSAgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報(bào)警報(bào)警IDSAgent入侵檢測系統(tǒng)的作用實(shí)時(shí)檢測實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文安全審計(jì)對系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)主動(dòng)響應(yīng)主動(dòng)切斷連接或與防火墻聯(lián)動(dòng)，調(diào)用其他程序處理典型部署－企業(yè)內(nèi)部安裝IntranetIDSAgentIDSAgentFirewallInternetServersDMZIDSAgent監(jiān)控中心router典型部署－廣域網(wǎng)應(yīng)用Internet監(jiān)控中心（輔）IDSAgentIDSAgentIDSAgentIDSAgentIDSAgentIDSAgent監(jiān)控中心（主）病毒新概念病毒感染不僅是一個(gè)文件，而是一個(gè)系統(tǒng)病毒文件會(huì)替換操作系統(tǒng)文件不是所有病毒都可以修復(fù)的！殺蠕蟲和特洛伊木馬的方法就是刪除整個(gè)文件完整的防毒規(guī)劃七大要素多層次、全方位、跨平臺(tái)的技術(shù)及強(qiáng)大功能簡易快速的網(wǎng)絡(luò)安裝集中管理警報(bào)和報(bào)表系統(tǒng)自動(dòng)化服務(wù)機(jī)制合理的預(yù)算規(guī)劃對企業(yè)用戶的服務(wù)與支持防毒產(chǎn)品的剖析選購防毒產(chǎn)品的考慮防毒解毒能力－最重要的基本能力管理能力針對中國用戶的病毒庫升級服務(wù)選擇的標(biāo)準(zhǔn)廠商提供的比較表－最不可靠單一產(chǎn)品評比－僅在當(dāng)發(fā)有效(產(chǎn)品版本不斷更新)專業(yè)防毒認(rèn)證－具公信力，需要持續(xù)送測主要認(rèn)證單位ICSA(基本認(rèn)證)Check-Mark(Level2確保修復(fù)能力)VirusBulletin(最嚴(yán)格)計(jì)算機(jī)安全產(chǎn)品認(rèn)證Datasource:ICSA–InternationalComputerSecurityAssociation CheckMark認(rèn)證：http://Level1、Level2LevelTrojanICSA認(rèn)證：http://www.ICSA.net

On-Demand/On-Access,CleaningInternetInternetEmail網(wǎng)關(guān)防火墻網(wǎng)關(guān)級群件服務(wù)器-NotesandExchangeNetWare