网络安全实用教程 工业和信息化普通高等教育“十二五”规划教材立项项目 教学课件 作者 刘远生 ch4.pptVIP

第4章 网络硬件设备安全;本章有五小节： 4. 1 网络硬件系统的冗余 4. 2 网络机房设施与环境安全 4. 3 路由器安全 4. 4 交换机安全 4. 5 服务器和客户机安全;4．1 网络硬件系统的冗余;4.1.2 网络设备的冗余 网络系统的主要设备有网络服务器、核心交换机、存储设备、供电设备以及网络边界设备(如路由器、防火墙)等。为保证网络系统能正常运行和提供正常的服务，在进行网络设计时要充分考虑主要设备的部件或设备的冗余。;1．网络设备的冗余类型 网络服务器系统冗余 核心交换机冗余 供电系统的冗余 链接冗余 网络边界设备冗余 空闲备件;4.1.3 交换机端口汇聚与镜像 1．交换机端口汇聚 (1) 端口汇聚的概念 端口聚合也叫以太通道(ethernet channel)，主要用于交换机之间的连接。利用端口汇聚技术，交换机会把一组物理端口联合起来，做为一个逻辑通道。这时，交换机??认为这个逻辑通道为一个端口。 (2) 交换机端口汇聚技术的实现(以H3C交换机为例) ;2．交换机端口镜像 (1) 基于交换机端口的镜像配置 (2) 基于三层流的镜像配置 (3) 基于二层流的镜像配置;4.2 网络机房设施与环境安全;4.2.1 机房的安全保护 1．机房场地的安全与内部管理 2．机房的环境设备监控 3．机房的温度、湿度和洁净度 4．机房的电源保护 5．机房的防火和防水;4.2.2 机房的静电和电磁防护 1．机房的静电防护: 机房采取的防静电措施有： 机房建设时，在机房地面铺设防静电地板。 工作人员在工作时穿戴防静电衣服和鞋帽。 工作人员在拆装和检修机器时应在手腕上戴防静电手环(该手环可通过柔软的接地导线放电)。 保持机房内相应的温度和湿度。;2．机房的电磁干扰防护 电磁干扰主要来自计算机系统外部。系统外部的电磁干扰主要来自无线电广播天线、雷达天线、工业电气设备、高压电力线和变电设备，以及大自然中的雷击和闪电等。另外，系统本身的各种电子组件和导线通过电流时，也会产生不同程度的电磁干扰，这种影响可在机器制作时采用相应工艺降低和解决。 通常可采取将机房选择在远离电磁干扰源的地方、建造机房时采用接地和屏蔽等措施防止和减少电磁干扰的影响。;3．机房的电磁辐射防护 电磁辐射会产生两种不利因素：一是由电子设备辐射出的电磁波通过电路耦合到其它电子设备中形成电磁波干扰，或通过连接的导线、电源线、信号线等耦合而引起相互间的干扰，当这些电磁干扰达到一定程度时，就会影响设备的正常工作；二是这些辐射出的电磁波本身携带有用信号，如这些辐射信号被截收，再经过提取、处理等过程即可恢复出原信息，造成信息泄露。 通常，可采取抑源法、屏蔽法和噪声干扰法措施防止电磁辐射。抑源法是从降低电磁辐射源的发射强度出发，对计算机设备内部产生和运行串行数据信息的部件、线路和区域采取电磁辐射抑制措施和传导发射滤波措施，并视需要在此基础上对整机采取整体电磁屏蔽措施，减小全部或部分频段信号的传导和辐射。;4．3 路由器安全;?2．动态路由算法RIP的配置 RIP(v1版)的配置： Router(config)#router rip Router(config-router)#networkxxxx.xxxx.xxxx.xxxx RIP(v2版)的配置： Router(config)#router rip Router(config-router)#version2 Router(config-router)#noauto-sunnmary Router(config-router)#networkXXXX.XXXX. XXXX.XXXX;3．访问控制列表配置 访问控制列表(ACL)提供了一种机制，可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用ACL来管理信息流，以制定公司内部网的相关策略。如网络管理员可以通过配置ACL来实现允许用户访问Internet，但不允许外部用户通过Telnet进入本地局域网。 配置路由器的ACL是一件经常性的工作，通过配置ACL，可以使路由器提供基本的流量过滤能力。ACL是一个连续的允许和拒绝语句的集合，关系到地址或上层协议。ACL在网络中可实现多种功能，包括内部过滤分组、保护内部网络免受来自Internet的非法入侵和限制对虚拟终端端口的访问。;(1) 基本ACL 一个ACL是由permit | deny 语句组成的一系列的规则列表。在配置ACL规则前，首先需要创建一个ACL。 使用如下命令可创建ACL： acl number acl-number [ match-order { config | auto } ] 使用如下命令可删除一个或所有的ACL： undo acl { number ac