《《网络基础架构》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《网络基础架构》PPT课件.ppt(140页珍藏版)》请在三一办公上搜索。
1、,公安部交通管理科学研究所2013年6月,计算机网络,内容概述,计算机网络基础局域网技术及解决方案 广域网技术及解决方案网络安全相关技术及解决方案,计算机网络基础,什么是计算机网络,ARPAnet,线缆,网卡,交换机,路由器,OSI 七层参考模型,Application,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,内容分发负载均衡,路由器,交换机,TCP会话连接,SYN received,主机A:客户端,主机 B:服务端,发送TCP SYN分段(seq=100 ctl=SYN),TCP连接的终止,主机B:服务端,主机 A:客户端,关闭A到B的连接,关闭A到B
2、的连接,局域网技术及解决方案,局域网技术,1、局域网(LAN)的定义:LAN是一个覆盖地理位置相对较小的高速数据网络,通过电缆将服务器、工作站、打印机和其它设备连接到一起。这种网络通常位于一个比较集中的建筑群内。,2、LAN 拓扑结构:电脑连接的方式叫“网络拓扑”,常见的LAN物理拓扑结构有三种:总线型、环型和星型。而逻辑拓扑结构只有总线型和环型两种。逻辑总线型和环型拓扑结构通常可以在星型物理拓扑结构中实现。,局域网技术,3、以太网类型:1)标准以太网:速率为10Mbps,传输介质为同轴电缆或双绞线;2)快速以太网:速率为100Mbps,传输介质为双绞线或光纤;3)千兆以太网:速率为1000M
3、bps,传输介质为双绞线或光纤;4)万兆以太网:速率为10000Mbps,传输介质为双绞线或光纤.,4、局域网(以太网)设备:1)网络线缆:同轴电缆、双绞线、光纤。2)网卡:一种电脑辅助板卡,一面插入电脑母板的扩展槽,另一面与网络线缆相连。网卡完成网络通信所需的各种功能。只有通过网卡,电脑才能通过网络进行通信。目前常用的以太网卡:10M、10/100M自适应、1000M。3)集线器:是一种连接多个用户节点的物理层设备,每个经集线器连接的节点都需要一条专用电缆,用集线器可以建立一个物理的星型网络结构。常用的集线器按速率分有10M、100M、10/100M自适应三种,支持的端口数从8口到24口不等
4、。集线器令所有端口共享10M(或100M)带宽。,4、局域网(以太网)设备:4)交换机:是数据链路层设备,它将较大的局域网分解成较小的子网,另每个端口下连接的单个设备或子网独享10M(或100M)分段,然后再实现分段间通信。交换机对大网进行细分,减少了从一个分段到另一个分段时不必要的网络信息流,从而解决了网络拥塞问题,提高网络整体性能。常见交换机类型:10M、10/100M、1000M,端口从8口到48口不等。交换机还有可堆叠、不可堆叠,可网管、不可网管以及是否带三层路由功能之分。,5、子网掩码分段:子网掩码是一个应用于TCP/IP网络的32位二进制值,它可以屏蔽掉ip地址中的一部分,从而分离
5、出ip地址中的网络部分与主机部分,基于子网掩码,管理员可以将网络进一步划分为若干子网。缺省子网掩码:即未划分子网,对应的网络号的位都置1,主机号都置0。A类网络缺省子网掩码:255.0.0.0 B类网络缺省子网掩码:255.255.0.0 C类网络缺省子网掩码:255.255.255.0,6、虚拟局域网(VLAN)简介:1)所谓VLAN,是指一个由多个段组成的物理网络中的结点的逻辑分组,利用VLAN,工作组应用可以象所有工作组成员都连接到同一个物理网段上一样进行工作,而不必关心用户实际连接到哪个网段上。VLAN是交换式LAN的最大特点。,部门A,部门B,部门A,部门B,VLAN的产生原因广播风
6、暴,广 播 域,广播,广播域,广播域,通过路由器将网络分段,广播,广播域,广播域,通过VLAN划分广播域,广播,Port 1:VLAN-1,Port 2:VLAN-2,VLAN的优点,相对与传统的LAN技术,VLAN具有如下优势:隔离广播域,抑制广播报文.减少移动和改变的代价创建虚拟工作组,超越传统网络的工作方式增强通讯的安全性增强网络的健壮性,VLAN的划分方法基于端口的VLAN,主机A,主机B,主机C,主机D,VLAN表,Port 1,Port 2,Port 7,Port 10,VLAN的划分方法 基于MAC地址的VLAN,VLAN表,主机A,主机B,主机C,主机D,VLAN的划分方法基于
7、协议的VLAN,VLAN表,主机A,主机B,主机C,主机D,VLAN的划分方法基于子网的VLAN,VLAN表,主机A,主机B,主机C,主机D,VLAN的可跨越性,VLAN3,VLAN5,VLAN3,VLAN5,VLAN数据可以跨越多台交换机被转递,SWA,SWB,VLAN的链路类型,接入链路Access-Link,干道链路Trunk-Link,SWA,SWB,以太网交换机的端口分类,Access端口:一般用于接用户计算机的端口,access端口只能属于1个VLAN。Trunk端口:一般用于交换机之间连接的端口,trunk端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。Hybrid端
8、口:可以用于交换机之间连接,也可以用于接用户的计算机,hybrid端口可以属于多个VLAN,可以接收和发送多个VLAN的报文。,端口的缺省ID(PVID),Access端口只属于一个VLAN,所以它的缺省ID就是它所在的VLAN,不用设置。Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID,缺省情况下为VLAN 1。,Trunk-Link配置,负责传输多个VLAN的数据Trunk-Link端口PVID默认为1,配置端口类型Switch-Ethernet0/3port link-type trunk配置Trunk-Link所允许传递的VLANSwitch-Ether
9、net0/3port trunk permit vlan all配置Trunk-Link端口PVIDSwitch-Ethernet0/3port trunk pvid vlan 1,SWA,SWB,Access-Link配置,默认情况下,交换机所有端口都是Access-Link端口,并属于VLAN-1,即PVID(Port VLAN ID)为1,Port-0/1:VLAN-3,Port-0/2:VLAN-5,配置端口类型Switch-Ethernet0/1port link-type accessSwitch-Ethernet0/2port link-type access创建VLAN,并向V
10、LAN中添加端口Switchvlan 3Switch-vlan1port ethernet 0/1Switchvlan 5Switch-vlan2port ethernet 0/2另外的一种向VLAN中添加端口的方法Switch-Ethernet0/1port access vlan 3Switch-Ethernet0/2port access vlan 5,SWA,VLAN的缺点,VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于不同VLAN的用户不能互相通信。,Port 1,Port 2,VLAN互通的实现每个VLAN一个物理连接,在二层交换机上配置VLAN,每一
11、个VLAN使用一条独占的物理连接连接到路由器的一个接口上。,VLAN 100,VLAN 300,Ethernet2,Ethernet0,VLAN 200,Ethernet1,VLAN互通的实现使用VLAN Trunking,二层交换机上和路由器上配置他们之间相连的端口使用VLAN Trunking,使多个VLAN共享同一条物理连接到路由,VLAN 100,VLAN 300,VLAN 200,Trunk,Ethernet0.300,Ethernet0.200,Ethernet0.100,VLAN互通的实现交换和路由的集成,二层交换机和路由器在功能上的集成构成了三层交换机,三层交换机在功能上实现了
12、VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。,VLAN 300,二层交换机,三层交换机,三层交换机功能模型,VLAN100,VLAN200,VLAN300,局域网络的设计需求,更高的可靠性冗余的网络结构:STP,PVST高速故障链路切换:Uplink fast,Backbone fast,Port fast 更高的安全性完整的网络安全策略:VLAN,基于交换机端口的安全性,更高的性能基于光纤和UTP的千兆以太网及以太网通道高效的第三层交换 更好的可管理性强大的网络管理工具:CiscoWorks2000 支持未来业务的发展,大型局域网网络解决方案,大型局域网网络解决方案特点,1
13、.系统稳定可靠;采用双中心,且链路冗余;2.高性能全交换、千兆主干,满足大负荷网络运行需求;中心交换机备板64Gbps,二层和三层交换性能为48MPPS;3.三层交换,虚拟网络划分,有效隔离办公与业务网络,避免广播风暴,提高网络性能;4.边缘交换机采用10/100M端口连接终端用户,千兆上联,可堆叠扩展用户数目,节省上联链路;5.系统安全,保密性高;ACL,VLAN等网络安全策略6.管理简单,浏览器方式无需专门培训7.良好的扩充性,广域网技术及解决方案,广域网综述,广域网综述:广域网是地理位置较为分散的局域网之间链接通道的集合。广域网的出现是为了解决局域网与一台远程工作站或另一个局域网链接的问
14、题,在这种情况下,需要链接的距离已超过了线缆媒体的规格,或者不可能进行物理性的线缆连接,为了实现广域网,需要用到下面这些传输媒体:,普通电话网(PSTN)X.25专线一线通ISDNDDN专线帧中继业务国际互联网(Internet)高速光缆卫星链路微波传输链路无线广播媒体,一线通ISDN,一线通ISDN:ISDN是一种建立在全数字化网络基础上的综合业务数字网络,中国电信称之为“一线通”。它有以下特点:,1)通过一根普通电话线您可以进行多种业务通信,如用于电话、上网、传真、会议电视、局域网互连等;2)因为ISDN提供2B+D服务(B信道传输速率为64K,D信道为“服务信道”传输速率16K),通过一
15、根普通电话线您可以同时进行两路通信,比如边上国际互联网边打电话,或两部电话同时通话等;3)可以同时使用两个B信道来进行数据传输,从而获得128K的总体传输速率,当一个B信道用于语音传送时,另一个B信道上的传输速率就会降回原始的64K,当语音停止传送时,数据传送速率就会立即恢复成128K。,数据专线,DDN专线:DDN是数字数据网的简称,主要是为用户提供永久的出租数字电路。DDN为用户开放多种形式的业务:点对点的专线、一点对多点的连接、同点对多点的图像通信等。速率从9.6K、19.2K、64K一直2M。,帧中继业务:帧中继提供了高速度、高效率、大吞吐量、低时延的数据服务。帧中继利用永久性虚电路(
16、PVC)建立可靠的端到端回路。对于低速帧中继业务可通过DDN网内以帧中继OVER DDN的方式或经由DDN网接入宽带ATM网;对于高速用户可使用光纤或HDSL直接接入ATM网。相对于DDN电路,帧中继更适合于点到多点的业务。DDN的点到多点业务只能提供轮询方式(在一段时间内,主点只能与一个从点进行通信)。帧中继业务采用PVC方式,可提供与所有从站并发双工通信。另外,由于帧中继支持突发数据,也比较适合于局域网互连或业务突发量较大的应用。,VPN技术使用户可以通过国际互联网为企业构筑安全可靠、方便快捷的企业私有网络。根据业务类型,VPN业务大致可分为两类,拨号VPN与专线VPN。所谓拨号VPN,指
17、企业员工或企业的小分支机构通过当地ISP拨号入公网的方式而构筑的虚拟网。专线VPN是指企业的分支机构通过租用当地专线入公网来构筑的虚拟网。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。工作过程:局域网中被保护的主机发明文信息到VPN设备,VPN对数据加密后通过路由器送到互联网上,加密的数据从互联网到达另一个局域网的路由器,然后由路由器后面的VPN设备将数据解密后送到VPN后面被保护的主机上。,通过国际互联网建立虚拟专用网(VPN):,VPN技术,当地专线,隧道从一个VPN设备开始到另一个VPN设备结束。,当地专
18、线,拨当地ISP,拨长途号,租长途专线,专用网,虚拟专用网,VPN技术,防火墙Checkpoint&FortiGate 400,出口路由器CISCO 3620,SDH,128KDDN专线,XXX单位网络系统拓扑图,2M数字电路,中心交换机Catalyst4006,股份公司,防火墙PIX515-R,出口路由器CISCO 3640,内部路由器CISCO 3745,4M数字电路,PSTN,财务信息系统,DMZ,防火墙,拨号路由器,财务客户端,财务客户端,财务客户端,DB*2,Switch*2,RAID,APP*2,TAPE,DB=数据库服务器,APP=应用服务器,RAID=磁盘阵列,TAPE=磁盘阵
19、列,2Gb/s光纤通道,WEB,WEB=WWW服务器,应用实例一:,XXX集团销售公司VPN专网,应用实例二:VPN,网络安全技术及相关解决方案,防火墙技术,防火墙:是加载于可信网络与不可信网络之间的安全设备,是网络安全政策的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙可以是软件、硬件和软硬件结合的发展历经简单包过滤、应用代理、状态检测(状态包过滤)防火墙最新技术是具有数据流过滤功能的防火墙对于一个网络来说,所有通过“内部”和“外部”的网络流量都要经过防火墙防火墙本身必须建立在安全操作系统的基础上,防火墙的控制能力,服务控制,确定哪些服务可以被访
20、问方向控制,对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制,根据用户来控制对服务的访问行为控制,控制一个特定的服务的行为,防火墙主要功能,过滤进、出网络的数据管理进、出网络的访问行为封堵某些禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警,内部工作子网与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对外访问,发起访问请求,防火墙在此处的功能:1、工作子网与外部子网的物理 隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录,DMZ区域与外网的访问控制,进行访问规则检查,发起访问请求,合法请求则允许
21、对外访问,将访问记录写进日志文件,禁止对外发起连结请求,发起访问请求,防火墙在此处的功能:1、DMZ网段与外部子网的物理隔离2、访问控制3、对DMZ子网做MAP映射4、日志记录,内部子网与DMZ区的访问控制,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,禁止对工作子网发起连结请求,发起访问请求,拨号用户对内部网的访问控制,拨号服务器Cisco 2620,移动用户,PSTN,Modem,Modem,进行一次性口令认证,认证通过后允许访问 内网,将访问记录写进日志文件,下属机构对总部的访问控制,下属机构,DDN/FRX.25专线,FW+VPN,FW+VPN,进行规
22、则检查,将访问记录写进日志文件,防火墙在此处的功能:1、将内部子网与连接下属机构的公网隔离开2、控制下属机构子网用户对总部内网的访问3、对下属机构网络与总部子网之间的通讯做日志和审计,基于时间的访问控制,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,用户级权限控制,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,123,Yes,admin,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户
23、的规则即可,高层协议控制,应用控制可以对常用的高层应用做更细的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等,应用层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,IP与MAC绑定,Internet,Host B,Host C,Host D,00-50-04-BB-71-A6,00-50-04-BB-71-BC,Bind 199.168.1.2 To 00-50-04-BB-71-A6,Bind 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后,不允许Host B假冒Host A的I
24、P地址上网,防火墙允许Host A上网,流量控制,Host C,Host D,Host B,Host A,受保护网络,Host A的流量已达到 10M,Host A的流量已达到 极限值30M,阻断Host A的连接,Internet,端口映射,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,:80,:21,:25,:53,NAT网关和IP复用,防火墙,Eth2:,Eth0:,源地址:目地址:,源地址:目地址:,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,透明接入,受保护网络,Internet,如果防火墙支持透明模式,
25、则内部网络主机的配置不用调整,同一网段,透明模式下,这里不用配置IP地址,透明模式下,这里不用配置IP地址,防火墙相当于网桥,原网络结构没有改变,信息系统审计与日志,Internet,写入日志,写入日志,一旦出现安全事故可以查询此日志,身份鉴别功能,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,root,asdasdf,验证通过则允许访问,root,123,Yes,admin,883,No,用户身份认证 根据用户控制访问,防火墙的类型,包过滤路由器应用层网关电路层网关这仅是一种防火墙分类方法,所着眼的视角不同,得到的类型划分也不
26、一样,包过滤防火墙,基本的思想很简单对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定,包过滤路由器示意图,包过滤,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量基于数据流,可以灵活的制定的控制策略,包过滤防
27、火墙的优缺点,在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点实现简单对用户透明效率高缺点正确制定规则并不容易不可能引入认证机制,针对包过滤防火墙的攻击,IP地址欺骗,例如,假冒内部的IP地址对策:在外部接口上禁止内部地址源路由攻击,即由源指定路由对策:禁止这样的选项小碎片攻击,利用IP分片功能把TCP头部切分到不同的分片中对策:丢弃分片太小的分片利用复杂协议和管理员的配置失误进入防火墙例如,利用ftp协议对内部进行探查,应用层网关,也称为代理服务器特点所有的连接都通过防火墙,防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应
28、用需要单独实现可以提供理想的日志功能非常安全,但是开销比较大,应用层网关的优缺点,优点允许用户“直接”访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改,重新编译或者配置有些服务要求建立直接连接,无法使用代理代理服务不能避免协议本身的缺陷或者限制,电路层网关,工作于OSI/RM的会话层充当屏蔽路由器,将内外网彻底隔离,防火墙设计规则,保持设计的简单性计划好防火墙被攻破时的应急响应考虑以下问题双机热备安全的远程管理入侵监测的集成数据保护功能,双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Et
29、h2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障,立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后,接管它的工作,安全远程管理,Internet,管理员,黑客,如何实现安全管理呢,采用一次性口令认证来实现安全管理,用户名,口令,用户名,口令,数据机密性保护,拨号服务器,PSTN,内部工作子网,下属机构,DDN/FRX.25专线,密文传输,明文传输,明文传输,数据完整性保护,内部工作子网,下属机构,DDN/FRX.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,对原始数据包进行加密,加
30、密后的数据包,加密,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较,验证数据的完整性,数据源身份验证,内部工作子网,下属机构,DDN/FRX.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数据包,Hash,原始数据包,两摘要相比较,私钥,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,DSS,解密,相等吗?,验证通过,IDS,IDS(Intrusion Detection System)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管
31、理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。,形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。,入侵检测系统,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,报警,报警,入侵检测系统的作用,实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络
32、事件进行统计分析发现异常现象得出系统的安全状态,找出所需要的证据主动响应主动切断连接或与防火墙联动,调用其他程序处理,典型部署企业内部安装,Firewall,监控中心,router,典型部署广域网应用,监控中心(辅),监控中心(主),病毒新概念,病毒感染不仅是一个文件,而是一个系统病毒文件会替换操作系统文件不是所有病毒都可以修复的!杀蠕虫和特洛伊木马的方法就是删除整个文件,完整的防毒规划七大要素,多层次、全方位、跨平台的技术及強大功能简易快速的网络安装集中管理警报和报表系统自动化服务机制合理的预算规划对企业用户的服务与支持,防毒产品的剖析,选购防毒产品的考虑防毒解毒能力最重要的基本能力管理能力
33、针对中国用户的病毒库升级服务选择的标准厂商提供的比较表最不可靠单一产品評比仅在當发有效(产品版本不断更新)专业防毒认证具公信力,需要持续送测主要认证单位ICSA(基本认证)Check-Mark(Level 2 确保修复能力)Virus Bulletin(最严格),计算机安全产品认证,Data source:ICSA International Computer Security Association,CheckMark 认证:http:/Level 1、Level 2Level TrojanICSA 认证:http:/www.ICSA.net On-Demand/On-Access,Clea
34、ning,Internet Email 网关,防火墙,网关级,群件服务器-Notes and Exchange,NetWare Server,NT Server,服务器级,Macintosh,Windows 95/98,WinXP,Windows NT/2000,客户端级,病毒-多层感染途径,只要有可能感染和传播病毒的途径和方式都应有相应的解决方案,服务器,客户端,网关,安全市场的现状:多层次;多供应商,Internet,病毒网关应用,DMZ Email HTTP,财务部,市场部,研发部,Router,Exe/doc/zip,病毒库,网络安全的重点,网络安全一直无法落实的主因就在于,不知道漏洞
35、的存在,甚至不去实时修补漏洞,那黑客铁定比你清楚如何利用它。正确的网络安全观念并不是一昧的购置网络安全产品,更重要的是主动正视安全漏洞的问题,做好入侵预防,并且实时做好漏洞修补的工作,让黑客根本就不得其门而入。,常用安全工具,防火墙入侵检测工具snort端口扫描工具nmap系统工具netstat、lsof网络嗅探器tcpdump、sniffer综合工具X-Scanner、流光、Nessus,十大最佳网络安全工具,Nessus http:/www.nessus.org Netcat http:/Tcpdump http:/www.tcpdump.org Snort http:/www.snort
36、.org Internet Security Scanner http:/Dsniff http:/naughty.monkey.org/dugsong/dsniff,安全站点,绿盟科技绿色兵团网络安全评估中心安全焦点网络安全响应中心国外:,问题&应答,服务器系统安全管理和数据安全,北京华胜天成科技股份有限公司售前技术部:王超2005年1月,内容概述,服务器产品基础服务器系统安全管理 数据安全管理问题&应答,服务器产品基础,服务器产品分类,按CPU类型分类:RISC服务器、IA架构服务器 典型的RISC服务器:SUN、HP、IBM等UNIX服务器 典型的IA架构服务器:PC服务器(基于Inte
37、l 至强处理器)新兴的基于安腾处理器和AMD Opteron处理器的64位服务器按服务器物理规格分类:塔式服务器、机架式服务器、刀片服务器 各个主流服务器厂商均有相应的产品按照操作系统分类:Windows服务器、Linux服务器、UNIX服务器按照应用分类:WEB服务器、FTP服务器、EMail服务器、数据库服务器、文件服务器等等,小型机RISC系统结构,指令系统结构操作简单数据:Load-Store结构,寻址方式简单编码:定长实现与使用方式简化硬件,提高主频指令流水线技术:寄存器操作容易解决相关编译技术性能及兼容性性能:每条指令周期数差不多,主频高,CPI高指令流水线技术:寄存器操作容易解决
38、相关流水及多发射技术在提高性能的前提下不影响兼容性,常见的小型机厂商及RISC处理器分类,Sun:Ultra SPARC V9IBM:PowerHP:PA-RISC 2.0、安腾Alpha:MIPS IV,小型机发展(一),小型机发展(二),Power 2,Power 3(64位),Power 4,Power 5,UltraSPARC V,HP,Sun,IBM,服务器应用类型,最优化的系统设计,水平扩展,垂直扩展,连续的缓存,共享内存 多处理器单操作系统紧密的内部互连,集群,多处理器,非共享内存多操作系统松散的外部互连,MemorySwitch,Network Switch,VERTICAL,
39、HORIZONTAL,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,CPU,MEM,I/O,I/O,CPU,CPU,MEM,MEM,I/O,I/O,CPU,CPU,MEM,MEM,I/O,CPU,CPU,MEM,MEM,I/O,水平扩展-最优化系统负载,流媒体,J2EE应用服务,负载均衡,内容缓存,文件和打印,协作计算,Web 服务,目录和身份管理,安全,本地内容缓存,Directory Servers
40、,垂直扩展系统的业务负载,OLTP Databases,DW/BI,影响系统性能的关键因素,处理器 Processor性能 Performance吞吐能力 Throughput系统内部互连 System Interconnect延迟 Latency访问内存数据块所需的时间内部带宽 Internal bandwidthI/O,Memory与 CPU间的数据传送操作系统 Operating System可扩展性 Scalability可靠性 Reliability应用优化 Optimized applications,可靠性、可用性、可服务性(RAS),设备本身的RAS完全冗余部件热交换部件动态重
41、配置系统自动恢复系统故障自动跟踪动态系统域系统架构负载均衡替换双通道HA/Cluster,服务器系统安全管理,内外网信息安全控制系统,2000年1月1日国家保密局颁布了计算机信息系统国际联网保密管理规定,以确保国家机密信息的安全。规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。”为用户提供了一个以物理隔离为基础的安全的网络环境能够根据用户需要对Internet信息资源进行有效采集和控制,内外网信息安全控制系统,平台方案,Win2K安全子系统,Windows NT的设计从最初就考虑了安全问题:获得了TCSEC C2认证,这在竞争激烈的
42、商业操作系统市场中是一个不错的业绩Windows 2000正处于一个类似的标准评估过程中,使用通用标准(Common Criteria,CC)为了获得更高的级别(B级),Windows 2000需要在它的设计中融入一些关键的元素,包括(但不限于):用于认证的安全登录工具 可自由设定的访问控制 审核,针对Win2K的攻击,SMB攻击权限提升获得交互扩大影响清除痕迹,攻击手段,猜测用户名和密码获取密码散列利用脆弱的网络服务或客户端获取对系统的物理访问,对策,实施密码复杂性要求账户锁定启用登录失败事件的审核查看事件日志锁定真正的Administrator账户并创建一个假目标禁用闲置账户仔细核查管理人
43、员,实施密码复杂性要求,账户锁定,启用登录失败事件的审核,锁定真正的Administrator账户,NT4 Resource Kit中提供了一个称为passprop的工具Windows 2000上运行admnlock只能工作在安装了SP2或更高的系统上,并且只有在系统或域设置了账户锁定阈值之后才会发生作用要使用admnlock在网络中锁定真正的Administrator账户,运行如下命令:C:admnlock/e The Administrator account may be locked out except for interactive logons,禁用闲置账户,安全守则,安装操作系
44、统或应用程序时不要使用默认值 使用先进的用户帐号/密码设定与组合关闭不必要的网络通讯端口 对进出入的IP封包进行过滤 制定Logging记录的机制 及时修补程序的漏洞,安全守则(一),安装操作系统或应用程序时不要使用默认值 几乎所有的操作系统或应用程序的厂商都会提供用户快速安装的功能,虽然方便了用户,但是在绝大多数用户不知情的情况下,系统却同时间却安装了许多不必要功能。而这种所谓采默认值安装的操作系统或应用程序,往往是造成安全漏洞的祸首。主要原因是因为用户通常不会去注意那些从来不用的功能,而且有许许多多的用户,包含IT的管理人员,根本就不知道自己在使用中的操作系统或应用程序上到底安装了哪些东西
45、。一旦这些不明的功能出现漏洞,而偏偏用户又一无所知,且未实时加以修补的话,那往往会成为黑客入侵的最佳通道。,安全守则(二),帐号安全定时审查系统上使用中与未使用中的帐号并予以记录制定系统用户帐号管理政策,详细规范增加用户帐号、以及删除不再继续使用的帐号时之应注意事项定时确认系统上是否出现未经授权的新帐号,并且删除不再使用的帐号使用工具来检查用户的密码设定是否安全不再使用的帐号应适时予以删除,安全守则(三),关闭不必要的网络通讯端口 网络通讯端口是合法用户连接至主机端取得服务的通道,同样地,黑客也是利用同样的途径来入侵。所以说,你主机上开放的通讯端口越多,他人就越容易与你的系统联机。因此,减少系
46、统上开放的通讯端口数目是网络安全最有效的防范措施之一,除了有必要对外提供服务的通讯端口之外,其它通讯端口应予以关闭。,安全守则(四),对进出入的IP封包进行过滤 你的防火墙或路由器过滤规则设定原则:任何进入你网络的封包之来源地址不可以是你内部网络的地址。任何进入你网络的封包之目的地地址必须是你内部网络的地址。任何离开你网络的封包之来源地址必须是你内部网络的地址。任何离开你网络的封包之目的地地址不可以是你内部网络的地址。任何进入或是离开你网络的封包的来源或是目的地地址不可以是虚拟IP 地址或是RFC1918所列的保留IP地址。以上所提的IP地址包含,以及本机。,安全守则(五),制定日志记录的机制
47、一旦你对外开放网络服务而且允许网络联机进出你的网络,那遭到黑客入侵与渗透的机率将大增。现在几乎每天都会有新的安全漏洞被发现,而用户更是难以预防黑客去利用这些新的漏洞来入侵。这时你的网络上或系统上最好建立完善的记录机制,要不在遭受黑客攻击后,你不仅将无从得知黑客到底在你的系统上动了哪些手脚,相对的你的网络安全风险也就越高。良好的记录机制可以协助用户追踪已发生过的事件、时间、和掌握哪些主机被入侵及其经过。,安全守则(六),及时修补程序的漏洞通过软件发布商的主页或者开发者提供的补丁程序修补漏洞通过修改配置文件或者参数修补漏洞网络安全一直无法落实的主因就在于,不知道漏洞的存在,甚至不去实时修补漏洞,那黑客铁定比你清楚如何利用它。正确的网络安全观念并不是一昧的购置网络安全产品,更重要的是主动正视安全漏洞的问题,做好入侵预防,并且实时做好漏洞修补的工作,让黑客根本就不得其门而入。,常用安全工具,防火墙入侵检测工具snort端口扫描工具nmap系统工具netstat、lsof网络嗅探器tcpdump、sniffer综合工具X-Scanner、流光、Nessus,