RCNA09园区网安全方案设计书.docVIP

第九章 园区网安全设计 计算机网络最早出现在军事网，在它诞生之后的几十年间，主要用于在各科研机构的研究人员之间传送电邮件，以及共同合作的职员间共享打印机。早期的计算机网络应用得非常简单，在当时的环境下，网络的安全性未能引起人们的足够的关注。随着信息技术的迅猛发展，特别是进入二十一世纪的近几年，网络正在以惊人的速度改变着人们的工作效率和生活方式，从各类机构到个人用户都将越来越多地通过各种网络处理工作，学习，生活方方面面的事情，网络也将以它快速、便利的特点给社会、个人带来了前所未有的高效速度，所有这一切正是得益于互联网络的开放性和匿名性的特征。在此背景下发展起来的园区网络，由于其开放性和匿名性的特征，不可避免地存在着各，种各样的安全隐患，若不解决这一系列的安全隐患，势必对园区网的应用和发展，以及网络用户的利益造成很大的影响。 本章主要介绍园区网安全性方面存在的隐患及其相应的解决办法，也就是通过交换机端口安全、路由器配置访问控制列表ACL、防火墙包过滤技术来实现。 9.1 园区网安全隐患 网络安全的隐患是指计算机或其他通信设备利用网络进行交互时可能会受到的窃听、攻击或破坏，它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。计算机网络和分存式系统很容易受到来自非法入侵者和合法用户的威胁。 9.1.1 园区网常见安全隐患 园区网络安全隐患包括的范围比较广，如自然火言、意外事故、人为行为(如使用不当、安全意识疗等)、黑客行为、内部泄密、外部泄密、信息丢失、电子监听(信息流量分析、信息窃取等)和信息战等。所以，对网络安全隐患的分类方法认也比较多，如根据威胁对象可分为对网络数据的威胁利对内络设备的威胁；根据来源可分为内部威胁和外部威胁几类： 1. 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水火、风暴和工业事故等。 2. 人为但属于操作人贝无意的失误造成的数据丢失或损坏；。 3. 来园区网外部和内部人员的恶意攻击和破坏。 其中安全隐患最大的是第三类。外部威胁主要来自一些有意成无意的对网络的非法访问，并造成了网络有形或无形的损失，其中的黑客就是最典型的代表。 还有一种网络威胁来自园区网系统内部，这类熟悉网络的结构和系统的操作步骤，并拥有合法的操作权限。中国首例“黑客”操纵股价案例便是网络安全隐患中策略失误和内部威胁的典型实例。 9.1.2 常见解决安全隐患的方案 为了防止来自各方面的园区网络安全威胁的发生，除进行宣传教育外，最主要的就是制定一个严格的安全策略，这也是网络安全中的核心和关键。 但是由于我国的信息安全技术起步晚，整体基础薄弱，特别是信息安全的基础设施和基础部件几乎全部依赖国外技术。所以，我国的网络安全产品，总的来说是自主开发少，硬软件技术受制于人。特别是近几年来，我国的信息技术得到了迅猛的发展，国家性的一些关键部门，如银行和电信等，很多都采用了国外的信息产品，特别是操作系统、数据库和骨干网络设备。这些部门要么采用国外的安全产品，要么就根本不采用任何安全措施，这些都给国家安全和人们的日常生活留下了严重的安全隐患 可喜的是，近一两年来，我国网络信息安全领域也得到了迅猛的发展，除了专注于安全产品研发的公司外，国产化的网络设备供应商也越来越重视新产品安全功能的应用。锐捷网络公司也紧跟应用趋势，在新产品系列中都注得了网络安全的应用，可以通过交换机端口安全、配置访问控制列表ACL、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。 9.2 交换机端口安全 9.2.1 交换机端口安全概述 锐捷网络的交换机有端口安全功能，利用端口安全这个特性，我们可以实现网络接入安全，具体可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能的端口配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何报。此外，你还可以限制一个端口上能包含的安全地址最大个数，如果你将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站(其地址为配置的安全地址)将独享该端口的全部带宽。 为了增强安全性，你可以将 MAC地址和IP地址绑定起来作为安全地址。当然你也可以只指定地MAC址而不绑定IP地址。 如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。当安全违例将产生时，你可以选择多种方式来处理违例，比如丢弃接收到的报，发送违例通知或关闭相应端口等。 当你设置了安全端口上安全地址的最大个数后，你可以使用下面几种方式加满端口上的安全地址：