2网络设备的安全与应用实践探究.ppt

第2章 网络设备的安全与应用实践;2.1 物理安全;2.1.1 网络的冗余安全;网络拓扑设计的冗余链路 ;供电系统的冗余 机房设备属于一级负荷，按一级负荷的供电要求必须保证两个以上独立的电源点供电； 对于城市供电而言相对比较稳定，一般不会长时间停电，如果停电也将是区域性停电，因此可考虑使用UPS作为备份电源，采用市电+UPS后备电池相结合的供电方式。;电源保护 ?????? 为计算机信息系统设备的可靠运行提供能源保障，例如使用不间断电源、纹波抑制器、电源调节软件等。可归纳为两个方面：对工作电源的工作连续性的保护（如不间断电源UPS，Uninterruptible Power Supply）；对工作电源的工作稳定性的保护（如纹波抑制器）。;2.1.2 网络设备的冗余;*;*;*;*;*;磁盘阵列存储器的编码容错方案 廉价冗余磁盘阵列RAID（Redundent Array of Inexpensive Disks）是由美国加州大学伯克利分校的D.A. Patterson教授在1988年提出的。也简称为“磁盘阵列”。RAID将一组磁盘驱动器用某种逻辑方式联系起来，作为逻辑上的一个磁盘驱动器来使用。一般情况下，组成的逻辑磁盘驱动器的容量要小于各个磁盘驱动器容量的总和。RAID一般是在SCSI或SATA磁盘接口实现的。 ; RAID提供了服务器中接入多个磁盘（专指硬盘）时，以磁盘阵列方式组成一个超大容量、响应速度快、可靠性高的存储子系统。通过对数据分块和交叉存储两项技术的使用，使CPU实现通过硬件方式对数据的分块控制和对磁盘阵列中数据的并行调度等功能。使用RAID可大大加快磁盘的访问速度，缩短磁盘读写的平均排队与等待时间，并以并行方式在多个硬盘驱动器上工作，被系统视作一个单一的硬盘，以冗余技术增加其可靠性，以多个低成本磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性和高性能，目前工业界公认的标准是RAID0-RAID6。RAID被广泛地应用在服务器体系中。;RAID的优点包括以下几点： 一是成本低，功耗小，传输速率高。在RAID中，可以让很多磁盘驱动器同时传输数据，而这些磁盘驱动器在逻辑上又是一个磁盘驱动器，所以使用RAID可以达到单个的磁盘驱动器几倍、几十倍甚至上百倍的速率。 二是可以提供容错功能。这是使用RAID的第二个原因，因为普通磁盘驱动器无法提供容错功能，RAID的容错是建立在每个磁盘驱动器的硬件容错功能之上的，所以它提供更高的安全性。 三是在同样的容量下，RAID比起传统的大直径磁盘驱动器来，价格要低许多。;2.2 路由器安全与应用实践;2.2.1 路由协议与访问控制;路由器访问控制列表(ACL) ACL是Cisco IOS所提供的一种访问控制技术； ACL技术是一种基于包过滤的流控制技术。ACL在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、源端口、目的端口等），根据预先定义好的规则对包进行过滤，从而达到访问控制的目的； ACL有标准ACL和扩展ACL两种。这两种类型的ACL都可以基于序列号和命名进行配置。配置ACL要注意两点，一是ACL只能过滤流经路由器的流量，对路由器自身发出的数据包不起作用；二是一个ACL中至少有一条允许语句。;2.2.2 虚拟路由器冗余协议（VRRP）; VRRP是一种容错协议，它为具有多播或广播能力的局域网而设计。VRRP将局域网的一组路由器（包括一个主路由器和若干个备份路由器）组织成一个虚拟路由器，称之为一个备份组； 虚拟路由器拥有自己的IP地址，备份组内的路由器也有自己的IP地址（如Master的IP地址为，Backup的IP地址为）。局域网内的主机仅仅知道这个虚拟路由器的IP地址而并不知道具体的Master路由器的IP地址以及Backup路由器的IP地址，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。;Linux下的VRRP组件 在Linux操作系统下可以实现非常稳定的VRRP功能，实现该功能的软件是keepalived。Keepalived的VRRP功能是从Linux中VRRPD发展而来的。;Keepalived的安装 openssl的安装 popt的安装 popt的安装 安装keepalived;安装keepalived ;2.2.3 路由器安全配置与应用实践;路由器的自身安全 用户口令安全 全局配置模式下使用命令service password-encryption进行配置，该命令可将明文密码变为密文密码，保证用户口令的安全； 配置登录安全 路由器的配置一般有控制口（Console）配置、Telnet配置和SNMP配置三种方法，为了保证使