网络基础架构ppt课件.pptVIP

计算机网络 1 内容概述 计算机网络基础局域网技术及解决方案广域网技术及解决方案网络安全相关技术及解决方案 2 计算机网络基础 3 什么是计算机网络 4 ARPAnet 5 线缆 6 7 网卡 8 交换机 9 路由器 10 OSI七层参考模型 Application 11 TCP IP协议簇 传输层 数据连路层 网络层 物理层 会话层 表示层 应用层 内容分发负载均衡 路由器 交换机 12 TCP会话连接 SYNreceived 主机A 客户端 主机B 服务端 发送TCPSYN分段 seq 100ctl SYN 13 TCP连接的终止 主机B 服务端 主机A 客户端 关闭A到B的连接 关闭A到B的连接 14 局域网技术及解决方案 15 局域网技术 1 局域网 LAN 的定义 LAN是一个覆盖地理位置相对较小的高速数据网络 通过电缆将服务器 工作站 打印机和其它设备连接到一起 这种网络通常位于一个比较集中的建筑群内 2 LAN拓扑结构 电脑连接的方式叫 网络拓扑 常见的LAN物理拓扑结构有三种 总线型 环型和星型 而逻辑拓扑结构只有总线型和环型两种 逻辑总线型和环型拓扑结构通常可以在星型物理拓扑结构中实现 16 局域网技术 3 以太网类型 1 标准以太网 速率为10Mbps 传输介质为同轴电缆或双绞线 2 快速以太网 速率为100Mbps 传输介质为双绞线或光纤 3 千兆以太网 速率为1000Mbps 传输介质为双绞线或光纤 4 万兆以太网 速率为10000Mbps 传输介质为双绞线或光纤 4 局域网 以太网 设备 1 网络线缆 同轴电缆 双绞线 光纤 2 网卡 一种电脑辅助板卡 一面插入电脑母板的扩展槽 另一面与网络线缆相连 网卡完成网络通信所需的各种功能 只有通过网卡 电脑才能通过网络进行通信 目前常用的以太网卡 10M 10 100M自适应 1000M 3 集线器 是一种连接多个用户节点的物理层设备 每个经集线器连接的节点都需要一条专用电缆 用集线器可以建立一个物理的星型网络结构 常用的集线器按速率分有10M 100M 10 100M自适应三种 支持的端口数从8口到24口不等 集线器令所有端口共享10M 或100M 带宽 17 4 局域网 以太网 设备 4 交换机 是数据链路层设备 它将较大的局域网分解成较小的子网 另每个端口下连接的单个设备或子网独享10M 或100M 分段 然后再实现分段间通信 交换机对大网进行细分 减少了从一个分段到另一个分段时不必要的网络信息流 从而解决了网络拥塞问题 提高网络整体性能 常见交换机类型 10M 10 100M 1000M 端口从8口到48口不等 交换机还有可堆叠 不可堆叠 可网管 不可网管以及是否带三层路由功能之分 18 5 子网掩码分段 子网掩码是一个应用于TCP IP网络的32位二进制值 它可以屏蔽掉ip地址中的一部分 从而分离出ip地址中的网络部分与主机部分 基于子网掩码 管理员可以将网络进一步划分为若干子网 缺省子网掩码 即未划分子网 对应的网络号的位都置1 主机号都置0 A类网络缺省子网掩码 255 0 0 0B类网络缺省子网掩码 255 255 0 0C类网络缺省子网掩码 255 255 255 0 19 6 虚拟局域网 VLAN 简介 1 所谓VLAN 是指一个由多个段组成的物理网络中的结点的逻辑分组 利用VLAN 工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作 而不必关心用户实际连接到哪个网段上 VLAN是交换式LAN的最大特点 部门A 部门B 部门A 部门B 20 VLAN的产生原因 广播风暴 广播域 广播 21 广播域 广播域 通过路由器将网络分段 广播 22 广播域 广播域 通过VLAN划分广播域 广播 Port1 VLAN 1 Port2 VLAN 2 23 VLAN的优点 相对与传统的LAN技术 VLAN具有如下优势 隔离广播域 抑制广播报文 减少移动和改变的代价创建虚拟工作组 超越传统网络的工作方式增强通讯的安全性增强网络的健壮性 24 VLAN的划分方法 基于端口的VLAN 主机A 主机B 主机C 主机D VLAN表 Port1 Port2 Port7 Port10 25 VLAN的划分方法 基于MAC地址的VLAN VLAN表 主机A 主机B 主机C 主机D 26 VLAN的划分方法 基于协议的VLAN VLAN表 主机A 主机B 主机C 主机D 27 VLAN的划分方法 基于子网的VLAN VLAN表 主机A 主机B 主机C 主机D 28 VLAN的可跨越性 VLAN3 VLAN5 VLAN3 VLAN5 VLAN数据可以跨越多台交换机被转递 SWA SWB 29 VLAN的链路类型 接入链路Access Link 干道链路Trunk Link SWA SWB 30 以太网交换机的端口分类 Access端口 一般用于接用户计算机的端口 access端口只能属于1个VLAN Trunk端口 一般用于交换机之间连接的端口 trunk端口可以属于多个VLAN 可以接收和发送多个VLAN的报文 Hybrid端口 可以用于交换机之间连接 也可以用于接用户的计算机 hybrid端口可以属于多个VLAN 可以接收和发送多个VLAN的报文 31 端口的缺省ID PVID Access端口只属于一个VLAN 所以它的缺省ID就是它所在的VLAN 不用设置 Hybrid端口和Trunk端口属于多个VLAN 所以需要设置缺省VLANID 缺省情况下为VLAN1 32 Trunk Link配置 负责传输多个VLAN的数据Trunk Link端口PVID默认为1 配置端口类型 Switch Ethernet0 3 portlink typetrunk 配置Trunk Link所允许传递的VLAN Switch Ethernet0 3 porttrunkpermitvlanall 配置Trunk Link端口PVID Switch Ethernet0 3 porttrunkpvidvlan1 SWA SWB 33 Access Link配置 默认情况下 交换机所有端口都是Access Link端口 并属于VLAN 1 即PVID PortVLANID 为1 Port 0 1 VLAN 3 Port 0 2 VLAN 5 配置端口类型 Switch Ethernet0 1 portlink typeaccess Switch Ethernet0 2 portlink typeaccess 创建VLAN 并向VLAN中添加端口 Switch vlan3 Switch vlan1 portethernet0 1 Switch vlan5 Switch vlan2 portethernet0 2 另外的一种向VLAN中添加端口的方法 Switch Ethernet0 1 portaccessvlan3 Switch Ethernet0 2 portaccessvlan5 SWA 34 VLAN的缺点 VLAN隔离了二层广播域 也就严格地隔离了各个VLAN之间的任何流量 分属于不同VLAN的用户不能互相通信 Port1 Port2 35 VLAN互通的实现 每个VLAN一个物理连接 在二层交换机上配置VLAN 每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上 VLAN100 VLAN300 Ethernet2 Ethernet0 VLAN200 Ethernet1 36 VLAN互通的实现 使用VLANTrunking 二层交换机上和路由器上配置他们之间相连的端口使用VLANTrunking 使多个VLAN共享同一条物理连接到路由 VLAN100 VLAN300 VLAN200 Trunk Ethernet0 300 Ethernet0 200 Ethernet0 100 37 VLAN互通的实现 交换和路由的集成 二层交换机和路由器在功能上的集成构成了三层交换机 三层交换机在功能上实现了VLAN的划分 VLAN内部的二层交换和VLAN间路由的功能 VLAN300 二层交换机 三层交换机 38 三层交换机功能模型 10 110 0 113 24GW 10 110 0 254 10 110 1 69 24GW 10 110 1 254 10 110 1 88 24GW 10 110 1 254 10 110 2 200 24GW 10 110 2 254 VLAN10010 110 0 254 24 VLAN20010 110 1 254 24 VLAN30010 110 2 254 24 39 局域网络的设计需求 更高的可靠性冗余的网络结构 STP PVST高速故障链路切换 Uplinkfast Backbonefast Portfast更高的安全性完整的网络安全策略 VLAN 基于交换机端口的安全性 更高的性能基于光纤和UTP的千兆以太网及以太网通道高效的第三层交换更好的可管理性强大的网络管理工具 CiscoWorks2000支持未来业务的发展 40 大型局域网网络解决方案 41 大型局域网网络解决方案特点 1 系统稳定可靠 采用双中心 且链路冗余 2 高性能全交换 千兆主干 满足大负荷网络运行需求 中心交换机备板64Gbps 二层和三层交换性能为48MPPS 3 三层交换 虚拟网络划分 有效隔离办公与业务网络 避免广播风暴 提高网络性能 4 边缘交换机采用10 100M端口连接终端用户 千兆上联 可堆叠扩展用户数目 节省上联链路 5 系统安全 保密性高 ACL VLAN等网络安全策略6 管理简单 浏览器方式无需专门培训7 良好的扩充性 42 广域网技术及解决方案 43 广域网综述 广域网综述 广域网是地理位置较为分散的局域网之间链接通道的集合 广域网的出现是为了解决局域网与一台远程工作站或另一个局域网链接的问题 在这种情况下 需要链接的距离已超过了线缆媒体的规格 或者不可能进行物理性的线缆连接 为了实现广域网 需要用到下面这些传输媒体 普通电话网 PSTN X 25专线一线通ISDNDDN专线帧中继业务国际互联网 Internet 高速光缆卫星链路微波传输链路无线广播媒体 44 一线通ISDN 一线通ISDN ISDN是一种建立在全数字化网络基础上的综合业务数字网络 中国电信称之为 一线通 它有以下特点 1 通过一根普通电话线您可以进行多种业务通信 如用于电话 上网 传真 会议电视 局域网互连等 2 因为ISDN提供2B D服务 B信道传输速率为64K D信道为 服务信道 传输速率16K 通过一根普通电话线您可以同时进行两路通信 比如边上国际互联网边打电话 或两部电话同时通话等 3 可以同时使用两个B信道来进行数据传输 从而获得128K的总体传输速率 当一个B信道用于语音传送时 另一个B信道上的传输速率就会降回原始的64K 当语音停止传送时 数据传送速率就会立即恢复成128K 45 数据专线 DDN专线 DDN是数字数据网的简称 主要是为用户提供永久的出租数字电路 DDN为用户开放多种形式的业务 点对点的专线 一点对多点的连接 同点对多点的图像通信等 速率从9 6K 19 2K 64K一直2M 帧中继业务 帧中继提供了高速度 高效率 大吞吐量 低时延的数据服务 帧中继利用永久性虚电路 PVC 建立可靠的端到端回路 对于低速帧中继业务可通过DDN网内以帧中继OVERDDN的方式或经由DDN网接入宽带ATM网 对于高速用户可使用光纤或HDSL直接接入ATM网 相对于DDN电路 帧中继更适合于点到多点的业务 DDN的点到多点业务只能提供轮询方式 在一段时间内 主点只能与一个从点进行通信 帧中继业务采用PVC方式 可提供与所有从站并发双工通信 另外 由于帧中继支持突发数据 也比较适合于局域网互连或业务突发量较大的应用 46 VPN技术使用户可以通过国际互联网为企业构筑安全可靠 方便快捷的企业私有网络 根据业务类型 VPN业务大致可分为两类 拨号VPN与专线VPN 所谓拨号VPN 指企业员工或企业的小分支机构通过当地ISP拨号入公网的方式而构筑的虚拟网 专线VPN是指企业的分支机构通过租用当地专线入公网来构筑的虚拟网 VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信 它采用复杂的算法来加密传输的信息 使得敏感的数据不会被窃听 工作过程 局域网中被保护的主机发明文信息到VPN设备 VPN对数据加密后通过路由器送到互联网上 加密的数据从互联网到达另一个局域网的路由器 然后由路由器后面的VPN设备将数据解密后送到VPN后面被保护的主机上 通过国际互联网建立虚拟专用网 VPN VPN技术 47 当地专线 隧道从一个VPN设备开始到另一个VPN设备结束 当地专线 拨当地ISP 拨长途号 租长途专线 专用网 虚拟专用网 VPN技术 48 防火墙Checkpoint FortiGate400 出口路由器CISCO3620 SDH 128KDDN专线 XXX单位网络系统拓扑图 2M数字电路 中心交换机Catalyst4006 股份公司 防火墙PIX515 R 出口路由器CISCO3640 内部路由器CISCO3745 4M数字电路 PSTN 财务信息系统 DMZ 防火墙 拨号路由器 财务客户端 财务客户端 财务客户端 DB 2 Switch 2 RAID APP 2 TAPE DB 数据库服务器 APP 应用服务器 RAID 磁盘阵列 TAPE 磁盘阵列 2Gb s光纤通道 WEB WEB WWW服务器 应用实例一 49 XXX集团销售公司VPN专网 应用实例二 VPN 50 网络安全技术及相关解决方案 51 防火墙技术 防火墙 是加载于可信网络与不可信网络之间的安全设备 是网络安全政策的有机组成部分 它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理 防火墙可以是软件 硬件和软硬件结合的发展历经简单包过滤 应用代理 状态检测 状态包过滤 防火墙最新技术是具有数据流过滤功能的防火墙对于一个网络来说 所有通过 内部 和 外部 的网络流量都要经过防火墙防火墙本身必须建立在安全操作系统的基础上 52 防火墙的控制能力 服务控制 确定哪些服务可以被访问方向控制 对于特定的服务 可以确定允许哪个方向能够通过防火墙用户控制 根据用户来控制对服务的访问行为控制 控制一个特定的服务的行为 53 防火墙主要功能 过滤进 出网络的数据管理进 出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警 54 内部工作子网与外网的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 合法请求则允许对外访问 发起访问请求 防火墙在此处的功能 1 工作子网与外部子网的物理隔离2 访问控制3 对工作子网做NAT地址转换4 日志记录 55 DMZ区域与外网的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 禁止对外发起连结请求 发起访问请求 防火墙在此处的功能 1 DMZ网段与外部子网的物理隔离2 访问控制3 对DMZ子网做MAP映射4 日志记录 56 内部子网与DMZ区的访问控制 进行访问规则检查 发起访问请求 合法请求则允许对外访问 将访问记录写进日志文件 禁止对工作子网发起连结请求 发起访问请求 57 拨号用户对内部网的访问控制 拨号服务器Cisco2620 移动用户 PSTN Modem Modem 进行一次性口令认证 认证通过后允许访问内网 将访问记录写进日志文件 58 下属机构对总部的访问控制 下属机构 DDN FRX 25专线 FW VPN FW VPN 进行规则检查 将访问记录写进日志文件 防火墙在此处的功能 1 将内部子网与连接下属机构的公网隔离开2 控制下属机构子网用户对总部内网的访问3 对下属机构网络与总部子网之间的通讯做日志和审计 59 基于时间的访问控制 HostC HostD 在防火墙上制定基于时间的访问控制策略 上班时间不允许访问Internet 上班时间可以访问公司的网络 Internet 60 用户级权限控制 HostC HostD HostB HostA 受保护网络 Internet 预先可在防火墙上设定用户 root 123 Yes admin 883 No 不管那台电脑都可以用相同的用户名来登陆防火墙 只需在防火墙设置该用户的规则即可 61 高层协议控制 应用控制可以对常用的高层应用做更细的控制如HTTP的GET POST HEAD如FTP的GET PUT等 应用层 应用层 内部网络 外部网络 防火墙 内部接口 外部接口 根据策略检查应用层的数据 符合策略 62 IP与MAC绑定 Internet HostB 199 168 1 3 HostC 199 168 1 4 HostD 199 168 1 5 00 50 04 BB 71 A6 00 50 04 BB 71 BC Bind199 168 1 2To00 50 04 BB 71 A6 Bind199 168 1 4To00 50 04 BB 71 BC IP与MAC地址绑定后 不允许HostB假冒HostA的IP地址上网 防火墙允许HostA上网 63 流量控制 HostC HostD HostB HostA 受保护网络 HostA的流量已达到10M HostA的流量已达到极限值30M 阻断HostA的连接 Internet 64 端口映射 Internet 公开服务器可以使用私有地址隐藏内部网络的结构 199 168 1 6 12 4 1 5 202 102 1 3 199 168 1 2 80 202 102 1 3 80 199 168 1 3 21 202 102 1 3 21 199 168 1 4 25 202 102 1 3 25 199 168 1 5 53 202 102 1 3 53 http 199 168 1 2 http 202 102 1 3 65 NAT网关和IP复用 防火墙 Eth2 192 168 1 23 Eth0 101 211 23 1 源地址 192 168 1 21目地址 202 102 93 54 源地址 101 211 23 1目地址 202 102 93 54 101 211 23 2 隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能 66 透明接入 受保护网络 Internet 如果防火墙支持透明模式 则内部网络主机的配置不用调整 199 168 1 8 同一网段 透明模式下 这里不用配置IP地址 透明模式下 这里不用配置IP地址 DefaultGateway 199 168 1 8 防火墙相当于网桥 原网络结构没有改变 67 信息系统审计与日志 Internet 202 102 1 2 202 102 1 3 写入日志 写入日志 一旦出现安全事故可以查询此日志 68 身份鉴别功能 HostC HostD HostB HostA 受保护网络 Internet 预先可在防火墙上设定用户 root asdasdf 验证通过则允许访问 root 123 Yes admin 883 No 用户身份认证根据用户控制访问 69 防火墙的类型 包过滤路由器应用层网关电路层网关这仅是一种防火墙分类方法 所着眼的视角不同 得到的类型划分也不一样 70 包过滤防火墙 基本的思想很简单对于每个进来的包 适用一组规则 然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域 字段 为基础 包括源和目标IP地址 IP协议域 源和目标端口号过滤器往往建立一组规则 根据IP包是否匹配规则中指定的条件来作出决定 71 包过滤路由器示意图 72 包过滤 HostC HostD 数据包 数据包 数据包 数据包 数据包 查找对应的控制策略 拆开数据包进行分析 根据策略决定如何处理该数据包 数据包 控制策略 基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于数据流 可以灵活的制定的控制策略 73 包过滤防火墙的优缺点 在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点实现简单对用户透明效率高缺点正确制定规则并不容易不可能引入认证机制 74 针对包过滤防火墙的攻击 IP地址欺骗 例如 假冒内部的IP地址对策 在外部接口上禁止内部地址源路由攻击 即由源指定路由对策 禁止这样的选项小碎片攻击 利用IP分片功能把TCP头部切分到不同的分片中对策 丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如 利用ftp协议对内部进行探查 75 应用层网关 也称为代理服务器特点所有的连接都通过防火墙 防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全 但是开销比较大 76 应用层网关的优缺点 优点允许用户 直接 访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改 重新编译或者配置有些服务要求建立直接连接 无法使用代理代理服务不能避免协议本身的缺陷或者限制 77 电路层网关 工作于OSI RM的会话层充当屏蔽路由器 将内外网彻底隔离 78 防火墙设计规则 保持设计的简单性计划好防火墙被攻破时的应急响应考虑以下问题双机热备安全的远程管理入侵监测的集成数据保护功能 79 双机热备 内部网 外网或者不信任域 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 心跳线 ActiveFirewall StandbyFirewall 检测ActiveFirewall的状态 发现出故障 立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后 接管它的工作 80 安全远程管理 Internet 管理员 黑客 如何实现安全管理呢 采用一次性口令认证来实现安全管理 用户名 口令 用户名 口令 81 数据机密性保护 拨号服务器 PSTN 内部工作子网 下属机构 DDN FRX 25专线 密文传输 明文传输 明文传输 82 数据完整性保护 内部工作子网 下属机构 DDN FRX 25专线 原始数据包 对原始数据包进行Hash Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较 验证数据的完整性 83 数据源身份验证 内部工作子网 下属机构 DDN FRX 25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 DSS 解密 相等吗 验证通过 84 IDS IDS IntrusionDetectionSystem 就是入侵检测系统 它通过抓取网络上的所有报文 分析处理后 报告异常和重要的数据模式和行为模式 使网络安全管理员清楚地了解网络上发生的事件 并能够采取行动阻止可能的破坏 85 形象地说 它就是网络摄象机 能够捕获并记录网络上的所有数据 同时它也是智能摄象机 能够分析网络数据并提炼出可疑的 异常的网络数据 它还是X光摄象机 能够穿透一些巧妙的伪装 抓住实际的内容 它还不仅仅只是摄象机 还包括保安员的摄象机 能够对入侵行为自动地进行反击 阻断连接 关闭道路 与防火墙联动 86 入侵检测系统 Firewall Servers DMZ Intranet 监控中心 router 攻击者 报警 报警 87 入侵检测系统的作用 实时检测实时地监视 分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异常现象得出系统的安全状态 找出所需要的证据主动响应主动切断连接或与防火墙联动 调用其他程序处理 88 典型部署 企业内部安装 Firewall 监控中心 router 89 典型部署 广域网应用 监控中心 辅 监控中心 主 90 病毒新概念 病毒感染不仅是一个文件 而是一个系统病毒文件会替换操作系统文件不是所有病毒都可以修复的 杀蠕虫和特洛伊木马的方法就是删除整个文件 91 完整的防毒规划七大要素 多层次 全方位 跨平台的技术及強大功能简易快速的网络安装集中管理警报和报表系统自动化服务机制合理的预算规划对企业用户的服务与支持 92 防毒产品的剖析 选购防毒产品的考虑防毒解毒能力 最重要的基本能力管理能力针对中国用户的病毒库升级服务选择的标准厂商提供的比较表 最不可靠单一产品評比 仅在當发有效 产品版本不断更新 专业防毒认证 具公信力 需要持续送测主要认证单位ICSA 基本认证 Check Mark Level2确保修复能力 VirusBulletin 最严格 93 计算机安全产品认证 Datasource ICSA InternationalComputerSecurityAssociation CheckMark认证 http www check Level1 Level2LevelTrojanICSA认证 http www ICSA netOn Demand On Access Cleaning 94 InternetEmail网关 防火墙 网关级 群件服务器 NotesandExchange NetWareServer NTServer 服务器级 Macintosh Windows95 98 WinXP WindowsNT 2000 客户端级 病毒 多层感染途径 只要有可能感染和传播病毒的途径和方式都应有相应的解决方案 95 服务器 客户端 网关 安全市场的现状 多层次 多供应商 96 Internet 病毒网关应用 DMZEmailHTTP 财务部 市场部 研发部 Router Exe doc zip 病毒库 97 网络安全的重点 网络安全一直无法落实的主因就在于 不知道漏洞的存在 甚至不去实时修补漏洞 那黑客铁定比你清楚如何利用它 正确的网络安全观念并不是一昧的购置网络安全产品 更重要的是主动正视安全漏洞的问题 做好入侵预防 并且实时做好漏洞修补的工作 让黑客根本就不得其门而入 98 常用安全工具 防火墙入侵检测工具snort端口扫描工具nmap系统工具netstat lsof网络嗅探器tcpdump sniffer综合工具X Scanner 流光 Nessus 99 十大最佳网络安全工具 Nessushttp www nessus orgNetcat 100 安全站点 绿盟科技绿色兵团http www vertarmy org网络安全评估中心安全焦点网络安全响应中心国外 http www cert orghttp www sans orghttp www securityfocus orghttp www securiteam org 101 问题 应答 102 服务器系统安全管理和数据安全 北京华胜天成科技股份有限公司售前技术部 王超2005年1月 103 内容概述 服务器产品基础服务器系统安全管理数据安全管理问题 应答 104 服务器产品基础 105 服务器产品分类 按CPU类型分类 RISC服务器 IA架构服务器典型的RISC服务器 SUN HP IBM等UNIX服务器典型的IA架构服务器 PC服务器 基于Intel至强处理器 新兴的基于安腾处理器和AMDOpteron处理器的64位服务器按服务器物理规格分类 塔式服务器 机架式服务器 刀片服务器各个主流服务器厂商均有相应的产品按照操作系统分类 Windows服务器 Linux服务器 UNIX服务器按照应用分类 WEB服务器 FTP服务器 EMail服务器 数据库服务器 文件服务器等等 106 小型机RISC系统结构 指令系统结构操作简单数据 Load Store结构 寻址方式简单编码 定长实现与使用方式简化硬件 提高主频指令流水线技术 寄存器操作容易解决相关编译技术性能及兼容性性能 每条指令周期数差不多 主频高 CPI高指令流水线技术 寄存器操作容易解决相关流水及多发射技术在提高性能的前提下不影响兼容性 107 常见的小型机厂商及RISC处理器分类 Sun UltraSPARCV9IBM PowerHP PA RISC2 0 安腾Alpha MIPSIV 108 小型机发展 一 109 小型机发展 二 Power2 Power3 64位 Power4 Power5 UltraSPARCV HP Sun IBM 110 服务器应用类型 111 最优化的系统设计 水平扩展 垂直扩展 连续的缓存 共享内存多处理器单操作系统紧密的内部互连 集群 多处理器 非共享内存多操作系统松散的外部互连 MemorySwitch NetworkSwitch VERTICAL HORIZONTAL CPU MEM I O CPU MEM I O CPU MEM I O CPU MEM I O CPU MEM I O CPU MEM I O CPU MEM I O CPU MEM I O CPU MEM I O CPU MEM I O CPU MEM I O I O CPU CPU MEM MEM I O I O CPU CPU MEM MEM I O CPU CPU MEM MEM I O 112 水平扩展 最优化系统负载 流媒体 J2EE应用服务 负载均衡 内容缓存 文件和打印 协作计算 Web服务 目录和身份管理 安全 本地内容缓存 113 DirectoryServers 垂直扩展系统的业务负载 OLTPDatabases DW BI 114 影响系统性能的关键因素 处理器Processor性能Performance吞吐能力Throughput系统内部互连SystemInterconnect延迟Latency访问内存数据块所需的时间内部带宽InternalbandwidthI O Memory与CPU间的数据传送操作系统OperatingSystem可扩展性Scalability可靠性Reliability应用优化Optimizedapplications 115 可靠性 可用性 可服务性 RAS 设备本身的RAS完全冗余部件热交换部件动态重配置系统自动恢复系统故障自动跟踪动态系统域系统架构负载均衡替换双通道HA Cluster 116 服务器系统安全管理 117 内外网信息安全控制系统 2000年1月1日国家保密局颁布了 计算机信息系统国际联网保密管理规定 以确保国家机密信息的安全 规定 涉及国家秘密的计算机信息系统 不得直接或间接地与国际互联网或其他公共信息网络相联接 必须实行物理隔离 为用户提供了一个以物理隔离为基础的安全的网络环境能够根据用户需要对Internet信息资源进行有效采集和控制 118 内外网信息安全控制系统 119 平台方案 120 121 122 Win2K安全子系统 WindowsNT的设计从最初就考虑了安全问题 获得了TCSECC2认证 这在竞争激烈的商业操作系统市场中是一个不错的业绩Windows2000正处于一个类似的标准评估过程中 使用通用标准 CommonCriteria CC 为了获得更高的级别 B级 Windows2000需要在它的设计中融入一些关键的元素 包括 但不限于 用于认证的安全登录工具可自由设定的访问控制审核 123 124 针对Win2K的攻击 SMB攻击权限提升获得交互扩大影响清除痕迹 125 攻击手段 猜测用户名和密码获取密码散列利用脆弱的网络服务或客户端获取对系统的物理访问 126 对策 实施密码复杂性要求账户锁定启用登录失败事件的审核查看事件日志锁定真正的Administrator账户并创建一个假目标禁用闲置账户仔细核查管理人员 127 实施密码复杂性要求 128 账户锁定 129 启用登录失败事件的审核 130 锁定真正的Administrator账户 NT4ResourceKit中提供了一个称为passprop的工具Windows2000上运行admnlock只能工作在安装了SP2或更高的系统上 并且只有在系统或域设置了账户锁定阈值之后才会发生作用要使用admnlock在网络中锁定真正的Administrator账户 运行如下命令 C admnlock eTheAdministratoraccountmaybelo