网络基础架构课件.ppt

1、公安部交通管理科学研究所2013年6月 计算机网络内容概述 计算机网络基础 局域网技术及解决方案 广域网技术及解决方案 网络安全相关技术及解决方案计算机网络基础什么是计算机网络ARPAnet线缆网卡交换机路由器OSI 七层参考模型ApplicationPresentationSessionTransportNetworkData LinkPhysicalData LinkNetworkTransportSessionPresentationApplicationPhysical比特流帧（帧（Frame）包（包（Packet）分段分段（Segment）会话流会话流代码流代码流数据数据TCP/IP

2、协议簇传输层数据连路层 网络层物理层应用层应用层会话层表示层应用层传输层传输层网络层网络层物理层物理层HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等等TCP和和UDPIP、ICMP、IGMP、ARP、RARP等等Ethernet、ATM、FDDI、X.25、ISDN等等内容分发负载均衡路由器交换机TCP会话连接SYN received主机A：客户端主机 B：服务端发送TCP SYN分段 (seq=100 ctl=SYN)1发送发送TCP SYN&ACK分段分段(seq=300 ack=101 ctl=syn,ack)SYN received2Establishe

3、d(seq=101 ack=301 ctl=ack)3TCP连接的终止主机B：服务端主机 A：客户端1发送发送TCP FIN分段分段2发送发送TCP ACK分段分段3发送发送TCP FIN分段分段4发送发送TCP ACK分段分段关闭A到B的连接关闭A到B的连接局域网技术及解决方案局域网技术 LAN是一个覆盖地理位置相对较小的高速数据网络，通过电缆将服务器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。 电脑连接的方式叫“网络拓扑”，常见的LAN有三种：总线型、环型和星型。而只有总线型和环型两种。逻辑总线型和环型拓扑结构通常可以在星型物理拓扑结构中实现。图一图一总线

4、型总线型（以太网）（以太网）图二图二环型环型（令牌环、（令牌环、FDDI）图三图三星型星型图四图四星型星型局域网技术：速率为10Mbps，传输介质为同轴电缆或双绞线； 速率为100Mbps，传输介质为双绞线或光纤；速率为1000Mbps，传输介质为双绞线或光纤； 4）万兆以太网：速率为10000Mbps,传输介质为双绞线或光纤.：同轴电缆、双绞线、光纤。一种电脑辅助板卡，一面插入电脑母板的扩展槽，另一面与网络线缆相连。网卡完成网络通信所需的各种功能。只有通过网卡，电脑才能通过网络进行通信。 目前常用的以太网卡：10M、10/100M自适应、1000M。 是一种连接多个用户节点的设备，每个经集线

5、器连接的节点都需要一条专用电缆，用集线器可以建立一个物理的星型网络结构。 常用的集线器按速率分有10M、100M、10/100M自适应三种，支持的端口数从8口到24口不等。集线器令所有端口10M（或100M）带宽。 是设备，它将较大的局域网分解成较小的子网，另每个端口下连接的单个设备或子网独享10M（或100M）分段，然后再实现分段间通信。 交换机对大网进行细分，减少了从一个分段到另一个分段时不必要的网络信息流，从而解决了网络拥塞问题，提高网络整体性能。 常见交换机类型：10M、10/100M、1000M，端口从8口到48口不等。 交换机还有可堆叠、不可堆叠，可网管、不可网管以及是否带三层路由

6、功能之分。交换机交换机集线器集线器子网子网A集线器集线器子网子网B所谓，是指一个由多个段组成的物理网络中的结点的，利用VLAN，工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作，而不必关心用户实际连接到哪个网段上。VLAN是交换式LAN的最大特点。交换机交换机交换机交换机交换机交换机部门部门A部门部门B部门部门A部门部门BVLAN的产生原因广播风暴广 播 域广播域广播域通过路由器将网络分段广播 广播域广播域通过VLAN划分广播域Port 1 : VLAN-1Port 2 : VLAN-2VLAN的优点 相对与传统的LAN技术，VLAN具有如下优势： 隔离广播域，抑制广播报文.

7、 减少移动和改变的代价 创建虚拟工作组，超越传统网络的工作方式 增强通讯的安全性 增强网络的健壮性VLAN的划分方法基于端口的VLAN主机A主机B主机C主机DVLAN表Port 1Port 2Port 7Port 10端口端口所属所属VLANPort1VLAN5Port2VLAN10Port7VLAN5Port10VLAN10VLAN的划分方法 基于MAC地址的VLANVLAN表MAC地址地址所属所属VLANMAC AVLAN5MAC BVLAN10MAC CVLAN5MAC DVLAN10主机A主机B主机C主机DVLAN的划分方法基于协议的VLANVLAN表协议类型协议类型所属所属VLANI

8、PX协议协议 VLAN5IP协议协议VLAN10主机B主机C主机DVLAN的划分方法基于子网的VLANVLAN表IP网络网络所属所属VLANIP 1.1.1.0/24VLAN5IP 1.1.2.0/24VLAN10主机A主机B主机C主机DVLAN的可跨越性VLAN3VLAN5VLAN3VLAN5 VLAN数据可以跨越多台交换机被转递SWASWBVLAN的链路类型接入链路Access-Link干道链路Trunk-LinkSWASWB以太网交换机的端口分类 Access端口：一般用于接用户计算机的端口，access端口只能属于1个VLAN。 Trunk端口：一般用于交换机之间连接的端口，trunk

9、端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。 Hybrid端口：可以用于交换机之间连接，也可以用于接用户的计算机，hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。端口的缺省ID（PVID） Access端口只属于一个VLAN，所以它的缺省ID就是它所在的VLAN，不用设置。 Hybrid端口和Trunk端口属于多个VLAN， 所以需要设置缺省VLAN ID，缺省情况下为VLAN 1。Trunk-Link配置负责传输多个VLAN的数据Trunk-Link端口PVID默认为1配置端口类型Switch-Ethernet0/3port link-type tru

10、nk配置Trunk-Link所允许传递的VLANSwitch-Ethernet0/3port trunk permit vlan all配置Trunk-Link端口PVIDSwitch-Ethernet0/3port trunk pvid vlan 1Port-0/3Port-0/3SWASWBAccess-Link配置默认情况下，交换机所有端口都是Access-Link端口，并属于VLAN-1，即PVID (Port VLAN ID)为1Port-0/1 : VLAN-3Port-0/2 : VLAN-5配置端口类型Switch-Ethernet0/1port link-type acces

11、sSwitch-Ethernet0/2port link-type access创建VLAN，并向VLAN中添加端口Switchvlan 3Switch-vlan1port ethernet 0/1Switchvlan 5Switch-vlan2port ethernet 0/2另外的一种向VLAN中添加端口的方法Switch-Ethernet0/1port access vlan 3Switch-Ethernet0/2port access vlan 5SWAVLAN的缺点VLAN隔离了二层广播域，也就严格地隔离了各个VLAN之间的任何流量，分属于不同VLAN的用户不能互相通信。VLAN 1

12、00VLAN 200Port 1Port 2VLAN互通的实现每个VLAN一个物理连接在二层交换机上配置VLAN，每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上。VLAN 100VLAN 300Ethernet2Ethernet0VLAN 200Ethernet1VLAN互通的实现使用VLAN Trunking二层交换机上和路由器上配置他们之间相连的端口使用VLAN Trunking，使多个VLAN共享同一条物理连接到路由VLAN 100VLAN 300VLAN 200TrunkEthernet0.300Ethernet0.200Ethernet0.100VLAN互通的实现交换和

13、路由的集成二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。二层交换机三层交换机三层交换机功能模型局域网络的设计需求 更高的可靠性冗余的网络结构：STP，PVST高速故障链路切换：Uplink fast, Backbone fast, Port fast 更高的安全性完整的网络安全策略：VLAN, 基于交换机端口的安全性， 更高的性能基于光纤和UTP的千兆以太网及以太网通道高效的第三层交换 更好的可管理性强大的网络管理工具：CiscoWorks2000 支持未来业务的发展大型局域网网络解决方案CiscoWor

14、ks for Windows或或 CiscoWorks 2000 网管网管邮件服务器邮件服务器4GB GEC中心两台中心两台Catalyst4506/4507，配置，配置千兆模块，支持千兆模块，支持VLAN和高速三层和高速三层交换交换1000M10/100M10/100M业务服务器业务服务器10/100M10/100MCatalyst 2950T1000M1000MOA服务器服务器Catalyst 3550工作站工作站 10/100M 接入接入1000M1000MCatalyst 3550大型局域网网络解决方案特点1.系统稳定可靠；采用双中心，且链路冗余；2.高性能全交换、千兆主干，满足大负荷

15、网络运行需求；中心交换机备板64Gbps，二层和三层交换性能为48MPPS;3.三层交换，虚拟网络划分，有效隔离办公与业务网络，避免广播风暴，提高网络性能；4.边缘交换机采用10/100M端口连接终端用户，千兆上联，可堆叠扩展用户数目，节省上联链路；5.系统安全, 保密性高; ACL，VLAN等网络安全策略6.管理简单，浏览器方式无需专门培训7.良好的扩充性广域网技术及解决方案广域网综述 是地理位置较为分散的局域网之间链接通道的集合。 广域网的出现是为了解决局域网与一台远程工作站或另一个局域网链接的问题，在这种情况下，需要链接的距离已超过了线缆媒体的规格，或者不可能进行物理性的线缆连接，为了实

16、现广域网，需要用到下面这些传输媒体：普通电话网（PSTN）X.25专线一线通ISDNDDN专线帧中继业务国际互联网(Internet)高速光缆卫星链路微波传输链路无线广播媒体一线通ISDN ISDN是一种建立在全数字化网络基础上的综合业务网络，中国电信称之为“一线通”。它有以下特点： 1）通过一根普通电话线您可以进行多种业务通信，如用于电话、上网、传真、会议电视、局域网互连等； 2）因为ISDN提供2B+D服务（B信道传输速率为64K，D信道为“服务信道”传输速率16K），通过一根普通电话线您可以同时进行两路通信，比如边上国际互联网边打电话，或两部电话同时通话等； 3）可以同时使用两个B信道来

17、进行数据传输，从而获得128K的总体传输速率，当一个B信道用于语音传送时，另一个B信道上的传输速率就会降回原始的64K，当语音停止传送时，数据传送速率就会立即恢复成128K。数据专线 DDN是数字数据网的简称，主要是为用户提供永久的出租数字电路。 DDN为用户开放多种形式的业务：点对点的专线、一点对多点的连接、同点对多点的图像通信等。速率从9.6K、19.2K、64K一直2M。 帧中继提供了高速度、高效率、大吞吐量、低时延的数据服务。帧中继利用永久性虚电路（PVC）建立可靠的端到端回路。 对于低速帧中继业务可通过DDN网内以帧中继OVER DDN的方式或经由DDN网接入宽带ATM网；对于高速用

18、户可使用光纤或HDSL直接接入ATM网。 相对于DDN电路，帧中继更适合于点到多点的业务。DDN的点到多点业务只能提供轮询方式（在一段时间内，主点只能与一个从点进行通信）。帧中继业务采用PVC方式，可提供与所有从站并发双工通信。另外，由于帧中继支持突发数据，也比较适合于局域网互连或业务突发量较大的应用。 VPN技术使用户可以通过国际互联网为企业构筑安全可靠、方便快捷的企业私有网络。 根据业务类型，VPN业务大致可分为两类，拨号VPN与专线VPN。所谓拨号VPN，指企业员工或企业的小分支机构通过当地ISP拨号入公网的方式而构筑的虚拟网。专线VPN是指企业的分支机构通过租用当地专线入公网来构筑的虚

19、拟网。 VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。工作过程： 局域网中被保护的主机发明文信息到VPN设备，VPN对数据加密后通过路由器送到互联网上，加密的数据从互联网到达另一个局域网的路由器，然后由路由器后面的VPN设备将数据解密后送到VPN后面被保护的主机上。 VPN技术当地专线隧道从一个VPN设备开始到另一个VPN设备结束。当地专线拨当地ISP拨长途号租长途专线国际互联网国际互联网分支分支机构机构总部总部局域网局域网路由器路由器VPNVPN设备设备VPNVPN设备设备路由器路由器带带VPNVPN软件软件

20、的远程站点的远程站点VPN技术防火墙Checkpoint &FortiGate 400出口路由器CISCO 3620INTERNETSDH 128KDDN专线XXX单位网络系统拓扑图2M数字电路中心交换机Catalyst4006股份公司防火墙PIX515-R出口路由器CISCO 3640内部路由器CISCO 37454M数字电路PSTN 财务信息系统DMZ防火墙拨号路由器财务客户端财务客户端财务客户端DB*2Switch*2RAIDAPP*2TAPEDB=数据库服务器APP=应用服务器RAID=磁盘阵列TAPE=磁盘阵列2Gb/s光纤通道WEBWEB=WWW服务器应用实例一：总部网络总部网络拥

21、有静态拥有静态IP地址的地址的分公司网络分公司网络 拥有动态拥有动态IP地址的地址的分公司网络分公司网络 备用备用VPN通道通道DDN专用线路专用线路公司外地出差公司外地出差人员人员 公司外地出差人公司外地出差人员员 拥有静态拥有静态IP地址的分地址的分公司所属各经营部公司所属各经营部 拥有动态拥有动态IP地址的分地址的分公司所属各经营公司所属各经营 FortiGate-100 FortiGate-50两网关设备间两网关设备间IPSecVPN通道通道 FortiNet SSH软件软件IPSecVPN通道通道L2TP/PPTP VPN通通道道XXX集团销售公司VPN专网应用实例二：VPN网络安全

22、技术及相关解决方案防火墙技术 防火墙：是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。 防火墙可以是软件、硬件和软硬件结合的 发展历经简单包过滤、应用代理、状态检测（状态包过滤）防火墙 最新技术是具有数据流过滤功能的防火墙 对于一个网络来说，所有通过“内部”和“外部”的网络流量都要经过防火墙 防火墙本身必须建立在安全操作系统的基础上防火墙的控制能力 服务控制，确定哪些服务可以被访问 方向控制，对于特定的服务，可以确定允许哪个方向能够通过防火墙 用户控制，根据用户来控制对服务的访问 行为控制，控制一

23、个特定的服务的行为防火墙主要功能 过滤进、出网络的数据 管理进、出网络的访问行为 封堵某些禁止的业务 记录通过防火墙的信息内容和活动 对网络攻击进行检测和报警内部工作子网与外网的访问控制进 行 访问 规 则检查发 起 访 问请求合法请求则允许对外访问将访问记录写进日志文件合法请求则允许对外访问发起访问请求WWW Mail DNS管理子网管理子网一般子网一般子网内部内部WWW重点子网重点子网DMZ区域与外网的访问控制进 行 访问 规 则检查发 起 访 问请求合法请求则允许对外访问将访问记录写进日志文件禁止对外发起连结请求发起访问请求WWW Mail DNS管理子网一般子网内部WWW重点子网内部子

24、网与DMZ区的访问控制进 行 访问 规 则检查发 起 访 问请求合法请求则允许对外访问将访问记录写进日志文件禁 止 对 工作 子 网 发起 连 结 请求发 起 访 问请求WWW Mail DNS管理子网一般子网内部WWW重点子网拨号用户对内部网的访问控制拨号服务器Cisco 2620移动用户PSTNModemModem进行一次性口令认证认证通过后允许访问 内网将访问记录写进日志文件管理子网一般子网内部WWW重点子网下属机构对总部的访问控制管理子网一般子网内部WWW重点子网WWW Mail DNSFW+VPNFW+VPN进行规则检查将访问记录写进日志文件基于时间的访问控制Host C Host

25、D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet用户级权限控制Host C Host D Host B Host A 受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户root123root123Yesadmin883No不管那台电脑都可以用相同的用户名来登陆防火墙只需在防火墙设置该用户的规则即可高层协议控制v 应用控制可以对常用的高层应用做更细的控制v 如HTTP的GET、POST、HEADv 如FTP的GET、PUT等物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层

26、表示层表示层应用层物理层物理层链路层链路层网络层网络层传输层传输层会话层会话层表示层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层应用层应用层应用层IP与MAC绑定InternetHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BC防火墙允许Host A上网流量控制Host C Host D Host B Host A 受保护网络Host A的流量已达到 10MHost A的流量已达到 极

27、限值30M阻断Host A的连接Internet端口映射Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.1.4DNS 199.168.1.5199.168.1.612.4.1.5202.102.1.3199.168.1.2：80202.102.1.3：80199.168.1.3：21202.102.1.3：21199.168.1.4：25202.102.1.3：25199.168.1.5：53202.102.1.3：53http:/199.168.1.2http:/202.102.1.3N

28、AT网关和IP复用202.102.93.54Host A受保护网络Host C Host D 192.168.1.21192.168.1.25防火墙Eth2：192.168.1.23Eth0：101.211.23.1数据数据IP报头报头数据数据IP报头报头源地址：192.168.1.21目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.2 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能透明接入受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调

29、整Host A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥，原网络结构没有改变信息系统审计与日志Host A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.5Internet安全网域Host G Host H TCP202.102.1.2199.168.1.28：302001-

30、02-07202.102.1.2202.102.1.3TCP202.102.1.3199.168.1.59：102001-02-07写入日志写入日志一旦出现安全事故可以查询此日志身份鉴别功能Host C Host D Host B Host A 受保护网络Internet PermitPasswordUsername预先可在防火墙上设定用户rootasdasdf验证通过则允许访问root123Yesadmin883No防火墙的类型 包过滤路由器 应用层网关 电路层网关 这仅是一种防火墙分类方法，所着眼的视角不同，得到的类型划分也不一样包过滤防火墙 基本的思想很简单 对于每个进来的包，适用一组规

31、则，然后决定转发或者丢弃该包 往往配置成双向的 如何过滤 过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号 过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定包过滤路由器示意图网络层链路层物理层外部网络内部网络包过滤Host C Host D 数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包数据包控制策略v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v基于数据流可以灵活的制定的控制策略包过滤防火墙的优缺点 在网络层上进行监测

32、并没有考虑连接状态信息 通常在路由器上实现 实际上是一种网络的访问控制机制 优点 实现简单 对用户透明 效率高 缺点 正确制定规则并不容易 不可能引入认证机制针对包过滤防火墙的攻击 IP地址欺骗，例如，假冒内部的IP地址 对策：在外部接口上禁止内部地址 源路由攻击，即由源指定路由 对策：禁止这样的选项 小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中 对策：丢弃分片太小的分片 利用复杂协议和管理员的配置失误进入防火墙 例如，利用ftp协议对内部进行探查应用层网关 也称为代理服务器 特点 所有的连接都通过防火墙，防火墙作为网关 在应用层上实现 可以监视包的内容 可以实现基于用户的认证

33、所有的应用需要单独实现 可以提供理想的日志功能 非常安全，但是开销比较大应用层网关的优缺点 优点 允许用户“直接”访问Internet 易于记录日志 缺点 新的服务不能及时地被代理 每个被代理的服务都要求专门的代理软件 客户软件需要修改，重新编译或者配置 有些服务要求建立直接连接，无法使用代理 代理服务不能避免协议本身的缺陷或者限制电路层网关 工作于OSI/RM的会话层 充当屏蔽路由器，将内外网彻底隔离防火墙设计规则 保持设计的简单性 计划好防火墙被攻破时的应急响应 考虑以下问题 双机热备 安全的远程管理 入侵监测的集成 数据保护功能双机热备内部网外网或者不信任域Eth 0Eth 0Eth1E

34、th1Eth2Eth2心跳线Active FirewallStandby Firewall检测Active Firewall的状态发现出故障，立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作安全远程管理安全网域Host C Host D Internet管理员黑客如何实现安全管理呢采用一次性口令认证来实现安全管理用户名，口令用户名，口令数据机密性保护管理子网一般子网内部WWW重点子网WWW Mail DNS密文传输明文传输明文传输数据完整性保护管理子网一般子网内部WWW重点子网原始数据包对原始数据包进行Hash加密后的数据包加密后的数据包摘要摘要Hash摘要对原始数据包

35、进行加密加密后的数据包加密加密后的数据包加密后的数据包摘要摘要加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性数据源身份验证管理子网一般子网内部WWW重点子网原始数据包对原始数据包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗？验证通过IDS IDS（Intrusion Detection System）就是入侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模

36、式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。 监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。入侵检测系统 Firewall FirewallServersDMZIDS AgentIntranet监控中心router攻击者攻击

37、者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警IDS Agent入侵检测系统的作用 实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文 安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据 主动响应 主动切断连接或与防火墙联动，调用其他程序处理典型部署企业内部安装IntranetIntranetIDS AgentIDS AgentFirewallFirewallServersDMZDMZIDS Agent监控中心router典型部署广域网应用监控中心（辅）监控中心（辅）IDS AgentIDS AgentIDS

38、AgentIDS AgentIDS AgentIDS Agent监控中心（主）监控中心（主）病毒感染不仅是一个文件，而是一个系统病毒文件会替换操作系统文件不是所有病毒都可以修复的！杀蠕虫和特洛伊木马的方法就是删除整个文件多层次、全方位、跨平台的技术及強大功能简易快速的网络安装集中管理警报和报表系统自动化服务机制合理的预算规划对企业用户的服务与支持选购防毒产品的考虑防毒解毒能力最重要的基本能力管理能力针对中国用户的病毒库升级服务选择的标准厂商提供的比较表最不可靠单一产品評比仅在當发有效(产品版本不断更新)专业防毒认证具公信力，需要持续送测主要认证单位ICSA (基本认证)Check-Mark (

39、Level 2 确保修复能力)Virus Bulletin (最严格)Data source: ICSA International Computer Security AssociationCheckMark 认证：http:/www.check-Level 1、Level 2Level TrojanICSA 认证：http:/www.ICSA.net On-Demand/On-Access,CleaningInternetInternetInternet Email 网关防火墙群件服务器 - Notes and ExchangeNetWare ServerNT ServerMacintos

40、hWindows 95/98WinXPWindows NT/20003. 3. 第三是通过优盘和盗版光盘传播病毒第三是通过优盘和盗版光盘传播病毒1. 1. 第一是电子邮件带来的病毒第一是电子邮件带来的病毒2. 2. 第二是通过第二是通过Internet Internet 浏览、下载（浏览、下载（HTTPHTTP、FTPFTP）服务器客户端网关防病毒入侵检测风险管理内容过滤内容过滤入侵检测防病毒防火墙内容过滤入侵检测防病毒防火墙安全市场的现状：多层次；多供应商Internet病毒网关应用DMZ Email HTTP财务部市场部研发部RouterExe/doc/zip病毒库病毒库网络安全的重点 网

41、络安全一直无法落实的主因就在于，不知道漏洞的存在，甚至不去实时修补漏洞，那黑客铁定比你清楚如何利用它。正确的网络安全观念并不是一昧的购置网络安全产品，更重要的是主动正视安全漏洞的问题，做好入侵预防，并且实时做好漏洞修补的工作，让黑客根本就不得其门而入。常用安全工具 防火墙 入侵检测工具snort 端口扫描工具nmap 系统工具netstat、lsof 网络嗅探器tcpdump、sniffer 综合工具X-Scanner、流光、Nessus十大最佳网络安全工具Nessus http:/www.nessus.org Netcat http:/ Tcpdump http:/www.tcpdump.o

42、rg Snort http:/www.snort.org Saint http:/ Ethereal http:/ethereal.zing.org/ Whisker http:/ Internet Security Scanner http:/ Abacus Portsentry http:/ Dsniff http:/naughty.monkey.org/dugsong/dsniff 安全站点 绿盟科技http:/ 绿色兵团http:/www.vertarmy.org 网络安全评估中心http:/ 安全焦点http:/ 网络安全响应中心http:/ 国外： http:/www.cert.o

43、rg http:/www.sans.org http:/www.securityfocus.org http:/www.securiteam.org问题&应答服务器系统安全管理和数据安全 北京华胜天成科技股份有限公司售前技术部：王超2005年1月内容概述 服务器产品基础 服务器系统安全管理 数据安全管理 问题&应答服务器产品基础服务器产品分类按CPU类型分类：RISC服务器、IA架构服务器 典型的RISC服务器：SUN 、HP 、IBM等UNIX服务器 典型的IA架构服务器：PC服务器（基于Intel 至强处理器） 新兴的基于安腾处理器和AMD Opteron处理器的64位服务器按服务器物理规

44、格分类：塔式服务器、机架式服务器、刀片服务器 各个主流服务器厂商均有相应的产品按照操作系统分类：Windows服务器、Linux服务器、UNIX服务器按照应用分类：WEB服务器、FTP服务器、EMail服务器、数据库服务器、文件服务器等等小型机RISC系统结构 指令系统结构- 操作简单- 数据：Load-Store结构，寻址方式简单- 编码：定长 实现与使用方式- 简化硬件，提高主频- 指令流水线技术：寄存器操作容易解决相关- 编译技术 性能及兼容性- 性能：每条指令周期数差不多，主频高，CPI高- 指令流水线技术：寄存器操作容易解决相关- 流水及多发射技术在提高性能的前提下不影响兼容性常见的

45、小型机厂商及RISC处理器分类 Sun:Ultra SPARC V9 IBM:Power HP: PA-RISC 2.0 、安腾 Alpha:MIPS IV小型机发展（一)MIPSALPHAPA-RISCSPARCPowerPC1986MIPS 1PA-RISC 1.0RT/PC1987SPARC v819881989MIPS II1990PA-RISC 1.1Power 119911992MIPS III(64b)Alpha(64b)1993Power 2&Power PC1994MIPS IV(64b)SPARC v9(64b)1995Power PC(64b)1996PA-RISC 2.

46、0(64b)小型机发展（二）Power 2Power 3(64位）Power 4Power 5UltraSPARC VHPSunIBM服务器应用类型最优化的系统设计水平扩展垂直扩展I/O连续的缓存, 共享内存 多处理器单操作系统紧密的内部互连集群, 多处理器, 非共享内存多操作系统松散的外部互连MemorySwitchNetwork SwitchVERTICALHORIZONTALCPUMEMI/OCPUMEMI/OCPUMEMI/OCPU MEMI/OI/OCPU MEMCPUMEM I/OCPUMEM I/OCPUMEM I/OCPUMEMI/OCPUMEM I/OCPU MEM I/OC

47、PU MEM I/OI/OCPUCPUMEMMEMI/OI/OCPUCPUMEMMEMI/OCPUCPUMEMMEMI/O水平扩展-最优化系统负载 流媒体J2EE应用服务负载均衡内容缓存文件和打印协作计算Web 服务目录和身份管理安全本地内容缓存Directory Servers垂直扩展系统的业务负载OLTP DatabasesDW/BI影响系统性能的关键因素 处理器 Processor性能 Performance吞吐能力 Throughput 系统内部互连 System Interconnect延迟 Latency访问内存数据块所需的时间内部带宽 Internal bandwidthI/O,

48、 Memory与 CPU间的数据传送 操作系统 Operating System可扩展性 Scalability可靠性 Reliability 应用优化 Optimized applications可靠性、可用性、可服务性（RAS） 设备本身的RAS完全冗余部件热交换部件动态重配置系统自动恢复系统故障自动跟踪动态系统域 系统架构 负载均衡 替换双通道 HA/Cluster服务器系统安全管理内外网信息安全控制系统 2000年1月1日国家保密局颁布了计算机信息系统国际联网保密管理规定，以确保国家机密信息的安全。规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联

49、接，必须实行物理隔离。 ”为用户提供了一个以物理隔离为基础的安全的网络环境能够根据用户需要对Internet信息资源进行有效采集和控制 内外网信息安全控制系统 平台方案Win2K安全子系统Windows NT的设计从最初就考虑了安全问题：获得了TCSEC C2认证，这在竞争激烈的商业操作系统市场中是一个不错的业绩Windows 2000正处于一个类似的标准评估过程中，使用通用标准(Common Criteria, CC)为了获得更高的级别(B级)，Windows 2000需要在它的设计中融入一些关键的元素，包括(但不限于)： 用于认证的安全登录工具 可自由设定的访问控制 审核SRM(Secur

50、ity Refrence Monitor)针对Win2K的攻击SMB攻击权限提升获得交互扩大影响清除痕迹攻击手段猜测用户名和密码获取密码散列利用脆弱的网络服务或客户端获取对系统的物理访问对策实施密码复杂性要求账户锁定启用登录失败事件的审核查看事件日志锁定真正的Administrator账户并创建一个假目标禁用闲置账户仔细核查管理人员实施密码复杂性要求账户锁定启用登录失败事件的审核锁定真正的Administrator账户NT4 Resource Kit中提供了一个称为passprop的工具Windows 2000上运行admnlock只能工作在安装了SP2或更高的系统上，并且只有在系统或域设置了