案例:某企业网络拓扑如下图所示,中国电信和中国移动双链路接入,采用硬件设备实现链路负载均衡,主磁盘阵列的数据通过备份服务器到备份磁盘阵列,根据下图分析相关问题:
案例分析一:根据上图进行分析:
1.设备①处部署:负载均衡
解析:
(1)负载均衡(Load Balance):
英文名称为Load Balance,其含义就是指将负载(工作任务)进行平衡、分摊到多个操作单元上进行运行,例如FTP服务器、Web服务器、企业核心应用服务器和其它主要任务服务器等,从而协同完成工作任务,负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
(2)负载均衡分类:
① 软/硬件负载均衡
<1> 软件负载均衡解决方案是指在一台或多台服务器相应的操作系统上安装一个或多个附加软件来实现负载均衡,如DNS Load Balance,CheckPoint Firewall-1 ConnectControl等,它的优点是基于特定环境,配置简单,使用灵活,成本低廉,可以满足一般的负载均衡需求。
软件解决方案缺点也较多,因为每台服务器上安装额外的软件运行会消耗系统不定量的资源,越是功能强大的模块,消耗得越多,所以当连接请求特别大的时候,软件本身会成为服务器工作成败的一个关键;软件可扩展性并不是很好,受到操作系统的限制;由于操作系统本身的Bug,往往会引起安全问题。
<2>硬件负载均衡解决方案是直接在服务器和外部网络间安装负载均衡设备,这种设备通常称之为负载均衡器,由于专门的设备完成专门的任务,独立于操作系统,整体性能得到大量提高,加上多样化的负载均衡策略,智能化的流量管理,可达到最佳的负载均衡需求。
负载均衡器有多种多样的形式,除了作为独立意义上的负载均衡器外,有些负载均衡器集成在交换设备中,置于服务器与Internet链接之间,有些则以两块网络适配器将这一功能集成到PC中,一块连接到Internet上,一块连接到后端服务器群的内部网络上。一般而言,硬件负载均衡在功能、性能上优于软件方式,不过成本昂贵。
② 本地/全局负载均衡
<1>负载均衡从其应用的地理结构上分为本地负载均衡(Local Load Balance)和全局负载均衡(Global Load Balance,也叫地域负载均衡),本地负载均衡针对本地范围的服务器群做负载均衡,全局负载均衡针对不同地理位置、不同网络结构的服务器群做负载均衡。
<2>本地负载均衡不需要花费高额成本购置高性能服务器,只需利用现有设备资源,就可有效避免服务器单点故障造成数据流量的损失,通常用来解决数据流量过大、网络负荷过重的问题。同时它拥有形式多样的均衡策略把数据流量合理均衡的分配到各台服务器。如果需要在现在服务器上升级扩充,不需改变现有网络结构、停止现有服务,仅需要在服务群中简单地添加一台新服务器。
<3>全局负载均衡主要解决全球用户只需一个域名或IP地址就能访问到离自己距离最近的服务器获得最快的访问速度,它在多区域都拥有自己的服务器站点,同时也适用于那些子公司站点分布广的大型公司通过企业内部网(Intranet)达到资源合理分配的需求。
(3)全局负载均衡具备的特点:
① 提高服务器响应速度,解决网络拥塞问题,达到高质量的网络访问效果。
② 能够远距离为用户提供完全的透明服务,真正实现与地理位置无关性
③ 能够避免各种单点失效,既包括数据中心、服务器等的单点失效,也包括专线故障引起的单点失效。
(4)负载均衡部署方式:
① 路由模式(推荐)
② 桥接模式
③ 服务直接返回模式
(5)负载均衡算法:现有的负载均衡算法主要分为静态和动态两类。静态负载均衡算法以固定的概率分配任务,不考虑服务器的状态信息,如轮转算法、加权轮转算法等;动态负载均衡算法以服务器的实时负载状态信息来决定任务的分配,如最小连接法、加权最小连接法等。
(6)负载均衡技术:
① 基于DNS的负载均衡
② 反向代理负载均衡(如Apache+JK2+Tomcat这种组合)
③ 基于NAT(Network Address Translation)的负载均衡技术(如Linux VirtualServer,简称LVS)
(7)负载均衡应用:
① DNS负载均衡:最早的负载均衡技术是通过DNS来实现的,在DNS中为多个地址配置同一个名字,因而查询这个名字的客户机将得到其中一个地址,从而使得不同的客户访问不同的服务器,达到负载均衡的目的。DNS负载均衡是一种简单而有效的方法,但是它不能区分服务器的差异,也不能反映服务器的当前运行状态。
② 代理服务器负载均衡:使用代理服务器,可以将请求转发给内部的服务器,使用这种加速模式显然可以提升静态网页的访问速度。然而,也可以考虑这样一种技术,使用代理服务器将请求均匀转发给多台服务器,从而达到负载均衡的目的。
③ 地址转换网关负载均衡:支持负载均衡的地址转换网关,可以将一个外部IP地址映射为多个内部IP地址,对每次TCP连接请求动态使用其中一个内部地址,达到负载均衡的目的。
④ 协议内部支持负载均衡除了这三种负载均衡方式之外,有的协议内部支持与负载均衡相关的功能,例如HTTP协议中的重定向能力等,HTTP运行于TCP连接的最高层。
⑤ NAT负载均衡NAT(Network Address Translation网络地址转换):简单地说就是将一个IP地址转换为另一个IP地址,一般用于未经注册的内部地址与合法的、已获注册的Internet IP地址间进行转换。适用于解决Internet IP地址紧张、不想让网络外部知道内部网络结构等的场合下。
⑥ 反向代理负载均衡:普通代理方式是代理内部网络用户访问internet上服务器的连接请求,客户端必须指定代理服务器,并将本来要直接发送到internet上服务器的连接请求发送给代理服务器处理。反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个服务器。反向代理负载均衡技术是把将来自internet上的连接请求以反向代理的方式动态地转发给内部网络上的多台服务器进行处理,从而达到负载均衡的目的。
⑦ 混合型负载均衡在有些大型网络,由于多个服务器群内硬件设备、各自的规模、提供的服务等的差异,可以考虑给每个服务器群采用最合适的负载均衡方式,然后又在这多个服务器群间再一次负载均衡或群集起来以一个整体向外界提供服务(即把这多个服务器群当做一个新的服务器群),从而达到最佳的性能。将这种方式称之为混合型负载均衡。此种方式有时也用于单台均衡设备的性能不能满足大量连接请求的情况下
2.设备②处部署:入侵防御系统(IPS: Intrusion Prevention System)
解析:
(1)入侵防御系统定义:入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为
(2)入侵防御系统出现的背景:
① 随着电脑的广泛应用和网络的不断普及,来自网络内部和外部的危险和犯罪也日益增多。20年前,电脑病毒主要通过软盘传播。后来,用户打开带有病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天,不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。
② 目前流行的攻击程序和有害代码如 DoS (Denial of Service 拒绝服务),DDoS (Distributed DoS 分布式拒绝服务),暴力拆解(Brut-Force-Attack),端口扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事,让人防不胜防。
网络入侵方式越来越多,有的充分利用防火墙放行许可,有的则使防毒软件失效。比如,在病毒刚进入网络的时候,还没有一个厂家迅速开发出相应的辨认和扑灭程序,于是这种全新的病毒就很快大肆扩散、肆虐于网络、危害单机或网络资源,这就是所谓Zero Day Attack。
(3)防火墙的优劣势:可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包;但是,它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为防火墙极少深入数据包检查内容。即使使用了DPI技术 (Deep Packet Inspection 深度包检测技术),其本身也面临着许多挑战。
(4)入侵防御系统出现的背景:
① 在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。
② 杀毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵侦查系统(IDS: Intrusion Detection System)投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。
③ 入侵预防系统也像入侵侦查系统一样,专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网络传输中的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
④ 入侵预防系统目的:在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据 (forensic)。
(5)入侵防御系统(IPS)VS入侵检测系统(IDS):
① 入侵防御系统(IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。
② 入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。
③ 入侵防御系统IPS和入侵检测系统IDS的关系:并非取代和互斥,而是相互协作:没有部署IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过IDS的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品(IPS等)
(6)入侵防御系统可以解决的问题:
① 串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
② 旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
③ IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。
④ 这就是IPS产品的起源:一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。由于用户发现了一些无法控制的入侵威胁行为,这也正是IDS的作用
(7)入侵预防技术:
① 异常侦查。正如入侵侦查系统, 入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
② 在遇到动态代码(ActiveX, JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
③ 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网络内部的有害代码实行有效阻止。
④ 核心基础上的防护机制。用户程序通过系统指令享用资源 (如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
⑤ 对Library、Registry、重要文件和重要的文件夹进行防守和保护。
(8)针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击,不仅需要有效检测到各种类型的攻击,更重要的是降低攻击的影响,从而保证业务系统的连续性和可用性。
(9)网络入侵防护系统应该具备以下特征:
① 满足高性能的要求,提供强大的分析和处理能力,保证正常网络通信的质量;
② 提供针对各类攻击的实时检测和防御功能,同时具备丰富的访问控制能力,在任何未授权活动开始前发现攻击,避免或减缓攻击可能给企业带来的损失;
③ 准确识别各种网络流量,降低漏报和误报率,避免影响正常的业务通讯;
④ 全面、精细的流量控制功能,确保企业关键业务持续稳定运转;
⑤ 具备丰富的高可用性,提供BYPASS(硬件、软件)和HA等可靠性保障措施;
⑥ 可扩展的多链路IPS防护能力,避免不必要的重复安全投资;
⑦ 提供灵活的部署方式,支持在线模式和旁路模式的部署,第一时间把攻击阻断在企业网络之外,同时也支持旁路模式部署,用于攻击检测,适合不同客户需要;
⑧ 支持分级部署、集中管理,满足不同规模网络的使用和管理需求。
(10)入侵防护系统的应用:
① 网络入侵防护系统是网络入侵防护系统同类产品中的精品典范,该产品高度融合高性能、高安全性、高可靠性和易操作性等特性,产品内置先进的Web信誉机制,同时具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项功能,能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。
② 入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
③ Web安全:基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。
④ 流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
⑤ 上网监管:全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
(11)入侵防御系统的现状:
IPS,最近几年越来越受欢迎,特别是当供应商应对NAC市场的早期挑战时,如感知部署和可用性难点。目前,大多数大型的组织都全面部署了IPS,但是在使用NAC之前,这些解决方案都被一定程度的限制以防止公司网络中发生新的攻击。你可以配置所有的IPS探测器来中断网络中恶意或其它不需要的流量。比如,假设一个特定的终端发起一个针对公司数据中心的应用服务器的攻击,并且IPS检测到该流量是恶意的,那么IPS可以通过所配置的策略来中断流量。虽然这个响应是充分的,但是,在某些情况下,你可能想进一步阻止网络以后的攻击。NAC可以帮助你从IPS设备中获取信息,并在被攻击或发生意外事件时使用这些信息来处理终端用户的访问
3.设备③处部署:交换机
解析:交换机在网络中常用于连接各类设备,实现数据包的封装转发,实现各服务器设备的网络连通
4.设备④处部署:漏洞扫描设备
解析:漏洞扫描设备一般旁路在网络中
(1)漏洞扫描技术定义:是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
(2)漏洞扫描设备作用:如果把网络信息安全工作比作一场战争的话,漏洞扫描设备就是这场战争中,盘旋在终端设备,网络设备上空的“全球鹰”,网络安全工作是防守和进攻的博弈,是保证信息安全,工作顺利开展的奠基石。及时和准确地审视自己信息化工作的弱点,审视自己信息平台的漏洞和问题,才能在这场信息安全战争中,处于先机,立于不败之地。只有做到自身的安全,才能立足本职,保证公司业务稳健的运行,这是信息时代开展工作的第一步;漏洞扫描设备,就是保证这场信息战争胜利的开始,它及时准确的察觉到信息平台基础架构的安全,保证业务顺利的开展,保证业务高效迅速的发展,维护公司,企业,国家所有信息资产的安全。
(3)漏洞扫描设备的功能:
① 定期的网络安全自我检测、评估:配备漏洞扫描系统,网络管理人员可以定期的进行网络安全检测服务,安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,优化资源,提高网络的运行效率。
② 安装新软件、启动新服务后的检查:由于漏洞和安全隐患的形式多种多样,安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来,因此进行这些操作之后应该重新扫描系统,才能使安全得到保障。
③ 网络建设和网络改造前后的安全规划评估和成效检验:网络建设者必须建立整体安全规划,以统领全局,高屋建瓴。在可以容忍的风险级别和可以接受的成本之间,取得恰当的平衡,在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验,网络的安全系统建设方案和建设成效评估
④ 网络承担重要任务前的安全性测试:网络承担重要任务前应该多采取主动防止出现事故的安全措施,从技术上和管理上加强对网络安全和信息安全的重视,形成立体防护,由被动修补变成主动的防范,最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。
⑤ 网络安全事故后的分析调查:网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在,帮助弥补漏洞,尽可能多得提供资料方便调查攻击的来源。
⑥ 重大网络安全事件前的准备:重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞,帮助用户及时的弥补漏洞。
⑦ 公安、保密部门组织的安全性检查:互联网的安全主要分为网络运行安全和信息安全两部分。网络运行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大计算机信息系统的运行安全和其它专网的运行安全;信息安全包括接入Internet的计算机、服务器、工作站等用来进行采集、加工、存储、传输、检索处理的人机系统的安全。网络漏洞扫描/网络评估系统能够积极的配合公安、保密部门组织的安全性检查。
分类
(4)漏扫设备的分类:
① 针对网络的扫描器:通过网络来扫描远程计算机中的漏洞
② 针对主机的扫描器:是在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的扫描器能够扫描到更多的漏洞
③ 针对数据库的扫描器:主流数据库的自身漏洞逐步暴露,数量庞大;仅CVE公布的Oracle漏洞数已达1100多个;数据库漏扫可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
(5)漏扫设备的技术:
① 主机扫描:确定在目标网络上的主机是否在线
② 端口扫描:发现远程主机开放的端口以及服务
③ OS识别技术:根据信息和协议栈判别操作系统
④ 漏洞检测数据采集技术:按照网络、系统、数据库进行扫描
⑤ 智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描
⑥ 多种数据库自动化检查技术,数据库实例发现技术
⑦ 多种DBMS的密码生成技术,提供口令爆破库,实现快速的弱口令检测方法
案例分析二:根据上图进行分析:
1.介质①处应采用:双绞线
解析:目前以太网交换机和终端电脑都是采用RJ45接口连接,所以介质①选用双绞线连接交换机和办公电脑
(1)RJ45是布线系统中信息插座(即通信引出端)连接器的一种,连接器由插头(接头、水晶头)和插座(模块)组成,插头有8个凹槽和8个触点。RJ是Registered Jack的缩写,意思是“注册的插座”。在FCC(美国联邦通信委员会标准和规章)中RJ是描述公用电信网络的接口,计算机网络的RJ45是标准8位模块化接口的俗称
(2)信息模块或RJ45连插头与双绞线端接有T568A或T568B两种结构。在T568A中,与之相连的8根线分别定义为:白绿、绿;白橙、蓝;白蓝、橙;白棕、棕。在T568B中,与之相连的8根线分别定义为:白橙、橙;白绿、蓝;白蓝、绿;白棕、棕。其中定义的差分传输线分别是白橙色和橙色线缆、白绿色和绿色线缆、白蓝色和蓝色线缆、白棕色和棕色线缆
(3)RJ45插头又称为RJ45水晶头(RJ45 Modular Plug),用于数据电缆的端接,实现设备、配线架模块间的连接及变更。对RJ45水晶头要求具有良好的导通性能;接点三叉簧片镀金厚度为50μm,满足超5类传输标准,符合T568A和T568B线序;具有防止松动、插拔、自锁等功能。
(4)RJ45插头是铜缆布线中的标准连接器,它和插座(RJ45模块)共同组成一个完整的连接器单元。这两种元件组成的连接器连接于导线之间,以实现导线的电气连续性。它也是综合布线技术成品跳线里的一个组成部分,RJ45水晶头通常接在对绞电缆的两端。在规范的综合布线设计安装中,这个配件产品通常不单独列出,也就是不主张用户自己完成双绞线与RJ45插头的连接工作。
(5)下图为水晶头线序(交叉线):
2.介质②处应采用:光纤
解析:磁盘阵列和光纤交换机一般采用FC接口连接,所以介质②采用光纤连接
(1)FC接口如下图所示:
案例分析三:
1.如上图所示,为提升员工的互联网访问速度,通过电信出口访问电信网络,移动出口访问移动网络,则需要配置基于目的地址的策略路由
解析:策略路由知识点:
(1)策略路由定义:是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器
(2)应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。一个路由图由很多条策略组成,每个策略都定义了1 个或多个的匹配规则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理
策略路由可以使数据包按照用户指定的策略进行转发。对于某些管理目的,如QoS需求或VPN拓扑结构,要求某些路由必须经过特定的路径,就可以使用策略路由。例如,一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口
(3)策略路由种类:
① 一种是根据路由的目的地址来进行的策略称为:目的地址路由,这种策略路由在中国最大的应用莫过于用于电信网通的互联互通的问题了,电信网通分家之后出现了中国特色的网络环境,就是南电信,北网通,电信的访问网通的线路较慢,网通访问电信的也较慢!人们就想到了接入电信网通双线路,这种情况下双线路的普及就使得策略路由就有了大的用武之地了!通过在路由设备上添加策略路由包的方式,成功的实现了电信数据走电信,网通数据走网通,这种应用一般都属于目的地址路由
② 另一种是根据路由源地址来进行策略实施的称为:源地址路由,由于光纤的费用在中国并不便宜,于是很多地方都采用了光纤加ADSL的方式,然而这样的使用就出现了两条线不如一根线快的现象,通过使用策略路由让一部分优先级较高的用户机走光纤,另一部分级别低的用户机走ADSL,这种应用就是属于源地址路由
③ 随着策略路由的发展有了第三种路由方式:智能均衡的策略方式,就是两条线不管是网通还是电信,光纤还是ADSL,都能自动的识别,并且自动的采取相应的策略方式,是策略路由的发展趋势
④ 策略路由是转发层面的行为,操作的对象是数据包,匹配的是数据流,具体是指数据包中的各个字段,常用五元组:源IP、目标IP、协议、源端口、目标端口
(4)策略路由的特点:
① 可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等,这样转发数据包更灵活
② 为QoS服务:使用route-map及策略路由可以根据数据包的特征修改其相关QoS项,进行为QoS服务
③ 负载平衡:使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力
策略路由影响的只是本地的行为,所以可能会引起“不对称路由”形式的流量。比如一个单位有两条上行链路A与B,该单位想把所有HTTP流量分担到A链路,FTP流量分担到B链路,这是没有问题的,但在其上行设备上,无法保证下行的HTTP流量分担到A链路,FTP流量分担到B链路
2.运行一段时间后,网络管理员发现电信出口的用户超过90%以上,网络访问速度缓慢,为实现负载均衡,网络管理员配置基于源地址的策略路由,服务器和数据区域访问互联网使用电信出口,行政管理区域员工访问互联网使用移动出口,生产区域员工使用电信出口
案例分析四:
1.如上图所示,设备④处应为:漏扫设备,该设备可对指定计算机系统进行安全脆弱性扫描和检测,发现其安全漏洞,客观评估网络风险等级
解析:漏扫设备参照上面解析
2.如上图所示,入侵防御系统IPS设备可对恶意网络行为进行安全检测和分析
解析:入侵防御系统IPS设备参照上面解析
3.如上图所示,防火墙设备可实现内部网络和外部网络直径的边界防护,依据访问规则,允许或者限制数据传输
解析:
(1)防火墙定义:防火墙是一个由计算机硬件和软件组成的系统,部署于网络边界,是内部网络和外部网络之间的连接桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全
(2)防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术,几乎所有的企业内部网络与外部网络(如因特网)相连接的边界设都会放置防火墙,防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为
(3)防火墙的演化:
① 防火墙传统定义:人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所
② 如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为了安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此我们把这个屏障就叫作“防火墙”
③ 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。它是一个系统,位于被保护网络和其它网络之间,进行访问控制,阻止非法的信息访问和传递。防火墙并非单纯的软件或硬件,它实质是软件和硬件加上一组安全策略的集合
(4)防火墙遵循的基本准则有两点:
① 它会拒绝所有未经说明允许的命令:防火墙的审查基础的逐项审阅,任何一个服务请求和应用操作都将被逐一审查符合允许的命令后才可能执行,这样的操作方法为保证内部计算机安全性提供了切实可行的办法。反而言之,用户可以申请的服务和服务数量是有限的,提高了安全性的同时也就减弱可用性
② 它会允许所有未经说明拒绝的命令:防火墙在传递所有信息的时候都是按照约定的命令执行的,也就是会逐项审查后杜绝潜在危害性的命令,这一点的缺陷就是可用性优于安全性的地位,但是增加安全性的难度
(5)防火墙的作用:防火墙是“木桶”理论在网络安全的应用
网络安全概念中有一个“木桶”理论:一个桶能装的水量不取决于桶有多高,而取决于组成该桶的最短的那块木条的高度。防火墙正是“木桶”理论的应用。在一个没有防火墙的环境里,网络的安全性只能体现为每一个主机的功能,所有主机必须通力合作,才能达到较高程度的安全性。而防火墙能够简化安全管理,网络的安全性是在防火墙系统上进行加固,而不是分布在内部网络的所有主机上
① 强化内部网络的安全性:防火墙可以限制非法用户,比如防止黑客、网络破坏者等进入内部网络,禁止存在安全脆弱性的服务和未授权的通信进出网络,并抗击来自各种路线的攻击。对网络存取和访问进行记录、监控作为单一的网络接入点,所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息并做出日志记录。在防火墙上可以很方便地监视网络的安全性,并产生报警
② 限定内部用户访问特殊站点:防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略,来决定内部用户可以使用哪些服务,可以访问哪些网站
③ 限制暴露用户点,防止内部攻击:利用防火墙对内部网络的划分,可实现网络中网段的隔离,防止影响一个网段的问题通过整个网络传播,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响,同时,保护一个网段不受来自网络内部其它网段的攻击
④ 网络地址转换(NAT,Network Address Translation):防火墙可以作为部署NAT的逻辑地址,因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦
⑤ 虚拟专用网(VPN,Virtual Private Network):防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障
(6)防火墙类型:
① 过滤防火墙:过滤防火墙,顾名思义,就是在计算机网络中起一个过滤的作用。这种防火墙会根据已经预设好的过滤规则, 对在网络中流动的数据包进行过滤行为。如果符合过滤规则的数据包会被放行,如果数据包不满足过滤规则, 就会被删除。数据包的过滤规则是基于数据包报审的特征的。防火墙通过检查数据包的源头 IP 地址,目的IP地址,数据包遵守的协议,端口号等特征来完成。第一代的防火墙就属于过滤防火墙
② 应用网关防火墙:已经介绍了的过滤防火墙在 OSI七层协议中主要工作在数据链路层和 IP 层。与之不同的是,应用网关防火墙主要工作在最上层应用层。不仅如此, 相比于基于过滤的防火墙来说, 应用网关防火墙最大的特点是有一套自己的逻辑分析。基于这个逻辑分析,应用网关服务器在应用层上进行危险数据的过滤, 分析内部网络应用层的使用协议, 并且对计算机网络内部的所有数据包进行分析, 如果数据包没有应用逻辑则不会被放行通过防火墙
③ 服务防火墙:上述的两种防火墙都是应用在计算机网络中来阻挡恶意信息进入用户的电脑的。服务防火墙则有其他的应用场景, 服务防火墙主要用于服务器的保护中。在现在的应用软件中, 往往需要通过和服务器连接来获得完整的软件体验。所以服务防火墙也就应运而生。服务防火墙用来防止外部网络的恶意信息进入到服务器的网络环境中
④ 监控防火墙:如果说之前介绍的防火墙都是被动防守的话, 那么监控防火墙则是不仅仅防守, 还会主动出击。一方面监控防火墙可以像传统的防火墙一样, 过滤网络中的有害数据。另一方面, 监控防火墙可以主动对数据进行分析和测试, 得到网络中是否存在外部攻击。这种防火墙对内可以过滤, 对外可以监控。从技术上来说, 是传统防火墙的重大升级
(7)防火墙的功能:
① 网络安全屏障:防火墙对内部网络环境安全性起着极大的提高意义,它作为阻塞点和控制点过滤那些潜在危险的服务从而降低了网络内部环境的风险。因为所有进入网络内容的信息都是经过防火墙精心过滤过的,所以网络内部环境就非常的安全可靠。例如,NFS 是一个不安全协议,防火墙可以过滤点该信息,不允许该协议进入受保护的网络,这样外部的攻击者就无法进入内部网络进行攻击侵害。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员
② 网络安全策略:如果对网络安全配置上以防火墙为中心,就可以让口令、加密、身份认证、审计等安全软件配置在防火墙上。防火墙的这种集中安全管理与各个主机分散控制网络安全问题相比更比较经济实惠。另外,防火墙的集中安全控制也避免了一次一密口令系统和其他的身份认证系统分散在各个主机上的麻烦
③ 进行监控审计:防火墙有着很好的日志记录功能,它会记录所有经过防火墙访问过的记录,更能够把网络使用情况的数据进行汇总分析,从而得出网络访问的统计性数据。如果访问的数据里面含有可疑性的动作,防火墙会进行报警,显示网络可能受到的相关的检测和攻击方面的数据信息。另外,它还可以通过访问数据的统计提供某个网络的使用情况和误用情况,为网络使用需求分析和网络威胁分析提供有价值的参考数据
④ 防止内部信息的外泄:防火墙可以把内部网络隔离成若干个段,对局部重点网络或敏感网络加强监控,全局网络的安全问题就不会因为局部网络的一段问题而受到牵连。另外,防火墙对 Finger、DNS等服务显示的内部细节数据进行隐蔽,这样由于 Finger 显示的所有用户的注册名、真名,最后登录时间和使用 shell 类型等信息就受到保护了,也就降低了外部的攻击侵入。同样,防火墙对内部网络中 DNS 信息的阻塞,也避免了主机域名和IP 地址的外泄,有效了保护内部信息的安全
(8)防火墙系统特征:
① 支持线速处理,在不影响网络运行情况下,实现无缝部署到现有的网络中
② 标准的传统防火墙功能,NGFW 需要拥有传统防火墙的所有功能,包含包过滤、网络地址转换(Network Address Translation,NAT)、状态检测、虚拟专用网(Virtual Private Network,VPN)等功能
③ 集成入侵防御系统(Intrusion prevention system,IPS),NGFW 在同一硬件内结成了传统防火墙和 IPS 的功能,IPS 成为NGFW 的核心部件,不是两者的简单叠加,而是功能的无缝融合。NGFW 中防火墙和 IPS 的无缝融合、自动联动的协作机制将大大提升防御性能,增强网络安全性
④ 应用识别、控制与可视化,NGFW 与传统防火墙基于端口和 IP 协议进行应用识别不同,而是会根据深度包检测引擎识别到的流量在应用层执行访问控制策略。流量控制不再是单纯地阻止或允许特定应用,而是可用来管理宽带或优先排序应用层流量。深度流量检测让管理员可针对单个应用组件执行细粒度策略
⑤ 智能防火墙,NGFW 可以收集来自防火墙外面的各类信息,用于改进阻塞决定,或优化阻塞规则库
(9)防火墙的优缺点:
没有任何一个防火墙的设计能适用于所有的环境。它就似一个防盗门,在通常情况下能起到安全防护的作用,但当有人强行闯入时可能失效。所以在选择购买时,应根据站点的特点来选择合适的防火墙
防火墙的优点:
① 保护脆弱的服务。通过定义一个中心“扼制点”及过滤不安全的网络服务,防火墙可防止非法用户进入内部网络,减少内网中主机的风险
② 控制对系统的访问。可提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机,允许内部员工使用某些资源而不能使用其他资源等
③ 集中的安全管理。对内网实行集中的安全管理。通过制定安全策略,其安全防护措施可运行于整个内网系统中而无须在每个主机中分别设立。同时还可将内网中需改动的程序都存于防火墙中而不是分散到每个主机中,便于集中保护
④ 增强保密性。可阻止攻击者获取攻击网络系统的有用信息
⑤ 有效地记录Internet上的活动。因为所有进出信息都必须通过防火墙,所以非常便于收集关于系统和网络使用和误用的信息
防火墙的缺点:
① 不能防范来自内部的攻击。对内部用户偷窃数据,破坏硬件和软件等行为无能为力
② 不能防范不通过它的连接。对有意绕过它进/出内网的用户或数据无法阻止,从而给系统带来威胁,如用户可以将数据复制到磁盘中带出内网
③ 不能防范未知的威胁。能较好地防备已知的威胁,但不能自动防御所有新的威胁
④ 不能完全防范病毒的破坏
⑤ 为了提高安全性,限制和关闭了一些有用但存在安全缺陷的网络服务,给用户带来了使用的不便