网络服务接入安全(共8篇)
管理员应注意的问题
面对目前企业的网络安全现状,作为企业的一名网络管理员,该如何管理设备接入企业信息系统网络,来提高企业IT内控水平,对其进行安全策略控制是企业当前所面临和需要解决的重要问题。随着网络高速的发展,外来的用户数量越来越多,企业管理人员则越难以控制他们用来登陆企业网络的终端设备,因此,企业所面临的恶意程序入侵的风险也就越高。
网络接入安全控制为当前IT内部控制进行了专门设计,可确保为访问网络资源的所有设备来得到有效的安全控制,以抵御各种安全威胁对网络资源的影响,提升企业管理与生产效率。使网络中的所有接入层网络设备都成为一个安全加强点,而终端设备必须达到一定的安全和策略条件才可以通过路由器和交换机接入访问网络。这样就可以大大消除蠕虫和病毒等对联网业务越来越严重的威胁和影响,从而帮助客户发现、预防和消除安全威胁。
企业网络安全要点四则
网络接入控制解决方案的架构是什么,这个解决方案如何实施要素检测?由于要素检测是网络接入控制的主要功能之一,了解这个解决方案如何实时检测设法要进入网络的要素是非常重要的。如果这个网络接入解决方案不支持实时要素检测,这个解决方案是否能够保护它不知道的设备就是一个问题。外来用户越多,网络被入侵的风险就越大,企业一方面要加强协作和资源共享,同时要平衡网络安全方面的风险,又要承担起这一项重大的挑战。
如果企业应用了这种方式网络接入控制,能够有效地堵塞安全漏洞,阻止恶意程序通过外来用户的端点设备进入企业网络。方便用户存取网络资源,亦可顾及安全控制,让企业可以充分地掌握网络存取状况及对抗威胁的要求,同时又能够提供安全、可靠的网络服务,在资源共享的同时,又能够降低网络被入侵的风险,
专家指出,要想充分维护好企业的网络安全,必须遵乓韵滤母龇矫妫
一、根据企业用途,制定出一套完善的网络接入控制体系,一个完善的网络接入控制体系应包括策略体系、组织体系、技术体系、安全运作体系。
二、整体考虑,统一规划。网络安全取决于系统中最薄弱的环节。“一点突破,全网突破”,单个系统考虑安全问题并不能真正有效的保证安全,需要从整体IT体系层次建立网络安全架构,整体考虑,全面防护。
三、集中管理,重点防护。统筹设计安全总体架构,建立规范、有序的安全管理流程,集中管理各系统的安全问题,避免安全“孤岛”和安全“短板”。
四、管理是企业网络安全的核心,技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。
引起关注的三大问题
通常网络接入控制,是以上四个方面的汇总,但是我们还需要通过网络接入控制技术来解决以下三方面的问题:
一、终端点安全问题。能够与现存的客户端安全软件和更新管理方案互相配合,确保所有能够进入网络的客户端设备均已安装最新定义和政策,把恶意程序入侵的风险降到最低。能够及时更新终端系统中网络漏洞。
二、增强了网络安全认证系数:只有指定设备和用户才能存取特定的企业资源 。企业才可以结合现有的身份认证管理架构。只有通过验证的指定设备和用户才可以存取特定的企业资源,来有效地减少恶意程序入侵和机密数据外泄的风险。
目前,企业经常面临网络接入难以控制的问题。随着企业信息化水平的不断提高,为了满足用户接入局域网,通常会把网络铺设到办公区的每个角落。随着无线网络的不断推广应用,射频信号经常越过公司的办公区,进入到其他不可控的区域,公司网络被盗用的可能性不断增加。另外,公司内大量流动办公人员和合作伙伴也经常带着笔记本电脑接入公司局域网,可能会带来计算机病毒和其他安全威胁,导致公司网络资源被非法利用,有时还会泄露公司商业秘密,计算机病毒还可能导致公司网络大面积瘫痪。Gartner公司近期的报告指出,即使是最好的公司也只能控制80%的网络终端(笔记本电脑/PC),剩下的20%仍得不到有效管理,这些管理不善的终端往往是公司最大的安全隐患。
由于目前普遍采用DHCP自动分配IP地址,外来用户只要在办公区找到任何一个网络接入点或者通过无线网络,在事先不知道任何信息的情况下,就可以获得合法的IP地址、网关地址、服务器信息。如果再使用一款扫描软件,LAN的信息将很快暴露无疑。为了解决这个问题,目前流行的解决办法是结合网络交换机的端口特性,采用802.1x协议进行接入认证。
本文结合微软、思科、华为等主要IT厂商的技术,详细阐述了利用802.1x认证+安全检查区域相结合的方法,分两个阶段对接入设备进行安全认证和安全检查,只有符合要求后才能完成网络接入。该解决方案包括下列功能:基于证书的身份验证、接入设备安全检查、隔离和补救措施等。
1 模型简介
模型(见图1)主要包括下面两步。
第一步:使用802.1x进行网络接入认证。利用网络交换机等硬件设备的端口控制功能,针对接入设备进行安全认证。端口缺省处于未授权状态,通过身份认证后,开启端口,端口处于授权状态,并把接入设备放在安全检查区进行下一步的安全检查。未能通过安全认证则自动关闭网络设备端口,禁止任何数据通过。
这一步主要是验证合法用户的身份问题,杜绝非法用户接入。如果外来用户确实需要临时接入公司网络,必须先提出申请,获得批准后,才能正常接入。这么做可以避免公司资源被盗用,减少泄露公司商业秘密的渠道。
针对临时用户,可以采取下面两种策略:
1)拒绝任何访问;2)给予guest的访问权限。
第二步:利用安全检查区对接入设备进行安全检查。虽然接入设备身份合法,但是接入设备是否满足企业的安全策略要求呢?是否安装了杀毒软件和操作系统的补丁程序呢?是否安装了防火墙软件呢?可以建立专门的策略服务器,只有接入设备满足安全要求后才能把接入设备放入对应的VLAN,由DHCP自动分配IP地址,完成网络接入。对达不到安全要求的接入设备,暂时放在隔离区,提醒接入设备安装杀毒软件、操作系统补丁程序和防火墙软件,只有接入设备符合安全策略要求后,才能完成接入。可以在隔离区放置必要的资源,如杀毒软件的安装文件,设置补丁更新服务器等,便于接入设备利用这些资源完成安全加固。
这一步还可以实施网络访问策略,基于用户角色进行访问控制。让不同的用户接入网络后,自动获得不同的访问权限。
这一步的主要作用是让接入设备满足安全要求,不给企业网络带来安全威胁,不要把病毒、木马和非法程序带到网络中来,杜绝有安全漏洞的计算机接入局域网。通过上面两个步骤,严格控制接入局域网的设备,大大提高了网络的整体安全性。
2 接入认证
2.1 利用802.1x进行端口控制
802.1x协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到接受合法用户接入、保护网络安全的目的。
802.1x协议的主要目的是为了解决局域网用户的接入认证问题。802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其他用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其他用户再次使用的问题。
1) 802.1x首先是一个认证协议,是一种对用户进行认证的方法和策略。
2) 802.1x是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口,也可以是一个像VLAN—样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道)。
3) 802.1x的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
为了采用802.1x协议协议进行身份认证,必须具备以下三个元素:
1)客户端Supplicant Client:—般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2)认证系统Authenticator System:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3)认证服务器Authentication Server:通过检验客户端发送的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
2.2 利用证书进行身份识别
接下来的问题是识别合法的用户。一般根据下面的信息来判别:
1) MAC地址。根据MAC地址来识别用户,需要先收集合法用户的MAC地址,建立一个数据库。但是MAC地址太抽象,不便于识别,很难与具体的用户对应起来,而且MAC地址还可以伪造,根据MAC地址来识别并不理想。
2) IP地址。根据IP地址来识别也不可行。由于目前普遍采用DHCP自动分配IP地址,用户获得的IP地址并不是固定不变的。
3)用户名。根据用户名来识别是比较好的做法。把网络用户与公司的人力资源信息一一对应,建立一个数据库。数据库信息随着人力资源信息自动变化。根据用户来识别,非常直观具体,也很准确。
目前普遍采用的LDAP协议,为每个用户注册了用户帐号,同时为每台计算机也建立了计算机帐号。802.1x认证可以根据用户帐号和计算机帐号来验证用户的身份,这大大提高了身份验证的准确性。
目前更好的做法如下:利用证书服务器,结合LDAP协议,利用组策略,自动为终端用户计算机颁发证书。同时,802.1x的控制服务器也从证书服务器申请证书并嵌入系统中。在终端用户接入网络时,相互之间通过证书来验证身份。由于外来用户在LDAP数据库中没有注册信息,也就不可能获得证书,也就无法通过身份验证,采用这种方式可以大大提高身份验证的安全性。这种验证方式的拓扑结构如图3所示。
3 安全检查
当接入设备完成802.1x身份验证后就可以进入安全检查区域进行安全检查,此时可以先分配一个临时IP地址,然后检查区域的服务器开始和接入设备进行通信,确定接入设备是否符合企业安全策略的要求。安全检查一般包括这样几个方面:
1)杀毒软件安装情况,杀毒软件的病毒库更新情况;
2)操作系统的补丁程序安装情况;
3)防火墙软件安装情况;
4)其他安全检查。
一旦符合安全检查要求,该接入设备将发起一个DHCP释放和更新。一旦DHCP服务器接收到一个IP地址更新的请求,确定接入设备已经达标,系统将被授予一个正常生产网络的DHCP租约,并被给予全部的网络访问权限。
如果接入设备不满足安全策略要求,则该接入设备将被分配一个“不可路由的”或“隔离的”IP地址。这些地址不能随意访问网络,只有受限的权限;或者这些客户端被分配一个不同IP网段的特殊IP地址,在路由器上通过访问控制列表控制这些特殊IP地址可以访问的网络;或者客户端被分配正常网段的IP地址,但是设定了特殊的静态路由,仅容许访问所需的服务器,并没有到整个网络的缺省路由。同时,安全检查服务器将触发所需的修复动作,使接入设备与企业安全策略相一致。
4 结论
本文针对网络接入难以控制的问题,详细阐述了一个解决办法。该办法通过两步来实现完善的网络接入控制。第一步利用802.1x验证合法用户的身份后再决定是否启用交换机端口,杜绝非法用户接入。同时利用LDAP协议和证书服务器,使用用户帐号、计算机帐号和证书三者结合来保证身份验证的安全性,解决实施接入认证前,用户接入网线就能自动获取到IP地址的安全问题。第二步主要是利用安全检查区域让接入设备满足企业网络访问安全要求。这一步要求接入设备满足网络接入的安全策略要求,解决了接入设备需要满足什么安全条件后才能接入。
摘要:网络接入是一个普遍认为难以控制的问题。针对网络接入,详细阐述了利用802.1x身份认证和安全检查,利用LDAP协议,结合企业证书服务,分两个阶段对接入用户或设备进行身份认证和安全检查,保证只有合法用户满足安全要求后才能接入到局域网中。
关键词:网络安全,网络接入,认证,安全检查
参考文献
[1]IEEE's 802.1x-Port Based Network Access Control.2002-3.http:// www.ieee802.org/1/pages/802.1x.html.
[2]Jim Geier.802.1x Offers Authentication and Key Management.2002- 5.http://www.80211-planet.com/tutorials/article.
[3]Kristin Burke.Wireless Network Security 802.11/802.1x.2002-5.ht- tp://www.cs.fsu.edu/~yasinsac/wns02/19b.pdf.
[4]聂武超等.802.1x认证技术分析[N].华为技术.2002-02-08.
關键词:网络安全;防火墙;入侵检测;数据加密
中图分类号:TP273文献标识码:A文章编号:1007-9599 (2011) 03-0000-01
The Device Itself Safety Study of Access Ring Ethernet
Si Yanfang,Zhang Hong,Lai Xiaojun
(No.713 Research Institute,Zhengzhou450015,China)
Abstract:In this paper,the characteristics of ship and use the ethernet ring network security situation is now more difficult to construct a firewall,intrusion detection systems,port management,data encryption,vulnerability management,disaster recovery and other security policy of security and defense systems,effective protection of ethernet ring network security,ethernet connection for the ships safety equipment.
Keywords:Network security;Firewall;Intrusion detection;Data encryption
一、概述
环形以太网是由一组IEEE 802.1兼容的以太网节点组成的环形拓扑,随着环形以太网的普及和网络技术的飞速发展,人们在充分享受信息共享带来的便利时,也被网络病毒和网络攻击问题所困扰,网络安全问题被提上日程,并有了快速的发展。
二、常用的安全技术
鉴于越来越严峻的网络安全形势,对网络安全技术的研究也越来越深入,常用的网络安全技术有:防火墙,入侵监测系统以及数据加密技术等。
(一)防火墙。防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备,是安装了防火墙软件的主机、路由器或多机系统。防火墙还包括了整个网络的安全策略和安全行为,是一整套保障网络安全的手段。已有的防火墙系统是一个静态的网络防御系统,它对新协议和新服务不能进行动态支持,所以很难提供个性化的服务。
传统防火墙的不足和弱点逐渐暴露出来:
1.不能阻止来自网络内部的袭击;
2.不能提供实时的入侵检测能力;
3.对病毒也束手无策。
(二)入侵检测技术。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它可以主动实时检测来自被保护系统内部与外部的未授权活动。
(三)数据加密技术。数据加密技术是指对被保护数据采用加密密钥进行加密形成密文,只有被授予解密密钥的用户才能在接收到数据之后用解密密钥对数据进行解密形成原始的明文进行阅读。数据加密技术作为一种被动的安全防御机制,是在数据被窃取的情况下对数据最后的保护,是保护数据安全的一种有效手段。
三、安全防御系统的构建
根据环形以太网传播模式多样、传输数据量大的特点及常见的网络安全技术的分析,本文构建了由防火墙、入侵监测系统、端口管理、漏洞管理、安全策略组成的完整的安全防御系统。
(一)使用防火墙。防火墙设置在受保护的系统和不受保护的系统之间,通过监控网络通信来隔离内部和外部系统,以阻挡来自被保护网络外部的安全威胁。当被保护系统接收到外部发来的服务申请时,防火墙根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果该服务符合防火墙设定的安全策略,就判定该服务为安全服务,继而向内部系统转发这项请求,反之拒绝,从而保护内部系统不被非法访问。
(二)选用合适的入侵检测系统。本文提出的安全防御系统主要是为了保护环形以太网中的各个结点免受网络威胁的入侵,所以选择基于主机的入侵检测系统,既可以更好的保护主机信息,又方便与防火墙结合。入侵检测系统与防火墙采用将入侵监测系统嵌入到防火墙中的方式结合,如图1所示。
该结构处理步骤如下:
1.防火墙把不符合安全策略的数据首先拒绝其进入系统内部,把符合安全策略的数据传递给入侵检测系统做进一步检测;
2.入侵检测系统对防火墙放行的数据做进一步分析,对含有安全威胁的数据直接丢弃,反之放行使其进入系统内部;
3.入侵检测系统定期对系统内部的系统日志等系统数据进行分析检测,从而发现来自系统内部的威胁。
将防火墙这种静态安全技术与入侵检测系统这种动态安全技术结合使用,可以在被动检测的基础上通过入侵检测系统进行主动检测,同时检测来自系统内部与外部的安全威胁。
(三)端口管理。只开放环形以太网中的特定的少数机器的端口,允许其与外部存储设备进行数据交换,然后在其它节点需要该交换数据时,使其与开放端口的节点进行通信,并且对这几台机器的安全系统进行及时升级更新,从而有效保护环形以太网的内部安全。
(四)漏洞管理。加强软件管理,及时发现系统软件、应用软件尤其是系统安全防御软件的漏洞,并下载补丁,尽量避免漏洞被入侵者利用,从而提高系统整体的安全性。同时,要注意人为管理漏洞的防御,提高网络操作员的网络安全意识,制订严格的计算机操作规章制度,使网络安全管理有章可循。
四、结论
本文根据环形以太网的特点和现在严峻的网络安全形势,构建了一个针对环形以太网的安全防御系统,在实际应用中可以根据被保护环形以太网的实际需要进行合理的选择和增减。
参考文献:
[1]刘长松.具有入侵检测功能的防火墙系统的设计与实现[J].四川:电子科技大学,2003
[2]王峰.如何制定网络安全策略[J].电脑知识与技术,2007,2,1:64-65,73
[3]熊松锰.构建网络信息的安全防护体系[J].情报学报.2003.
如何建设接入层光缆网络
。过去,光缆网络主要是满足传输网络建设需求,接入层光缆需求较少,少量的接入层光缆一般直接从汇聚节点拉出。随着近年来数据光纤和用户光纤需求的迅速增加,电信运营商在接入层光缆的建设量也随之急剧增加。如何建设接入层光缆网络,已成为业界广泛讨论的课题。
一、接入层光缆建设原则
根据网络分层原则,我们将本地网光缆分为中继层和接入层,接入层光缆是指从本地局用局站到用户设备终端之间的光缆,接入层光缆又分为主干层光缆和配线层光缆。
接入层光缆是各电信运营商重点建设的基础资源,总体上要从网络投资控制、安全性、可扩展性、结构清晰等几方面进行组织建设。
1.适度超前、分步实施
为了避免重复建设、重复投资,同时快速满足业务发展需求,在建设过程中要坚持适度超前建设的原则。同时由于接入层网络环境复杂多变,接入技术日新月异,在充分考虑投资成本的情况下,要根据市场需求加强接入层光缆网络规划,并按照规划分步实施。---bianceng.cn(学电脑)
2.分层建设
根据网络结构清晰的要求,接入层光缆要分为主干层光缆和配线层光缆进行建设。主干层包括主干层光缆和光交接节点设备,配线层包括配线层光缆、光分配节点和用户终端设施。主干层光缆建设要根据规划保持相对稳定,配线层光缆建设要适应市场和技术变化快的特点,要满足这些要求和特点就需分层建设。
3.拓扑结构选择
光纤接入层主要有星型、线型和环型三种基本结构。主干层光缆原则上采用环形拓扑结构,主要是因为用户业务接入的汇集层所承载的业务都需要提供环形保护或双路由保护。对于农村等业务非密集区,光缆路由不具备成环条件的,主干光缆拓扑可以考虑暂不成环。
配线层光缆主要受成本和路由限制,难于成环组网,常采用树型或星型结构。对部分需要较高安全性的业务,可以采用环形结构或双路由保护。根据配线区域内用户及业务分布情况、安全性要求、客观地理条件等因素,灵活采用多个光分配点与单光交接点组网,或多个光分配点通过双光交接点组网的拓扑结构。
4.光交接设备设置
光交接设备是指对接入层光缆进行灵活调度分配的光交接节点和交分配节点,其设置原则主要从管孔资源、业务需求、用户性质、网络安全等方面考虑。
综合考虑管孔资源、用户属性、潜在业务需求,确定光交接区。如选择在用户密度较大、管孔资源较富裕处设立光交接节点,方便光缆出入,便于各配线光缆的建设。
光交接点与光分配点的设置应结合当地城市规划和电信网规划进行,应在党政部门、高等院校、企事业单位、写字楼、住宅小区等地方设置,以便快速实现用户接入。
从网络安全考虑,应尽可能设置在具备产权或长期使用权的室内机房;室外光交接节点应设置在地理位置比较稳定的区域,以后不易受市政建设的影响,同时避开外部高电压干扰,高温、腐蚀和易燃易爆区影响。
从业务覆盖考虑,一个主干光交接节点覆盖范围为以500m-800m为半径组成的小区或5-15幢多层住宅楼群,收容用户数量为300-800户,具体应根据光交接区内用户分布密度合理布置,郊区或乡村可根据业务实际需求进一步扩大覆盖范围。
5.光缆纤芯数量选择
光缆纤芯数量的取定要在对服务区内用户分布及业务需求充分预测的基础上进行,合理制定光缆的业务满足年限,根据光缆服务范围内的纤芯需求量、光缆的路由条件、管道资源情况、光缆纤芯公里造价等因素,合理规划光交接节点的数量。光缆纤芯业务满足期建议考虑在5年左右,主干层每个光交接点落地芯数建议36-96芯,配线层每个光分配点落地芯数建议24-48芯。
主干光缆一般采用环形无递减配纤方式,选用芯数:72-288芯。在纤芯配置上,主干光缆的纤芯分配应以6或12芯为单位进行,同时可根据实际需求配置共享纤芯、独享纤芯和直通纤芯。
配线光缆一般根据实际情况灵活采用星树型无递减配线或星树型递减配线方式,采用星树型无递减方式的优点是光缆的灵活性较高,光缆纤芯易于调整、共享,对于突发性的新用户的需求较易满足,缺点是成本相对较高,安全可靠性较环网拓扑低。采用星树型递减方式是配线光缆呈星形、树形连接拓扑,光缆纤芯从发起端起向远端节点逐级减少,其优点是光缆的灵活性较高,成本容易控制。缺点是光纤资源不共享,如果节点的用户预测稍有偏差,就会造成新节点无纤芯而原有节点纤芯过剩,另外安全可靠性不足。配线光缆的芯数不宜过大,建议以6芯为单位组织,高密度区以12芯为单位确定配线光缆芯数,一般选用芯数:36-48芯/12-24芯。光交接点中配线光缆芯数可适当多于主干光纤的下纤数,对于用户光缆建议采用4-12芯光缆,并一次布放到位。
主干光缆与配线光缆的配比建议最小为1:1.2,最大为1:4。
以大芯对建设接入层光缆主干环,在大商客群体密集区域设立光交接点,并根据业务需求跟进光分配点的建设。
6.光缆型号选择
接入层传输距离近,近期带宽要求不高,建设成本应为主要考虑的因素,因此建议使用1310nm波长性能最佳的单模光纤,即G.652光纤。
由于层绞式光缆机械性能好,中心束管式光缆成本相对较低。72芯以上光缆建议选用中心束管式带状光缆,小芯数光缆建议选用层绞式光缆。
二、接入层光缆发展策略
接入层光缆建设还需要考虑未来发展策略,以更好地适应业务网络的新要求。
1.按需建设光缆接入层
接入层光缆的建设目的主要是为了满足用户对宽带多媒体业务的接入需求,在建设过程中要以市场需求为导向,根据各地用户分布、业务需求的不同加强光缆接入层网络的规划,并按照满足需求、控制成本的原则分步实施。在规划过程中要重点考虑以下几个方面的需求。
接入层网络设备联网的需求,包括窄带设备、宽带设备、城域网和小区驻地网设备对光缆的需求。主要考虑主干层光缆的建设,尽可能实现光缆成环,提高网络安全性。
大客户光缆组网需求。主要考虑配线层光缆建设,根据光交接节点覆盖范围内用户性质、业务需求综合考虑。
光缆网元出租业务的需求,这方面的需求相对较少。
3G等新业务开展的需求。随着将来3G网络的建设,基站(NODEB)和远端接入单元(RRU)都需要通过光缆传输,在规划时要重点考虑这方面的需求。
2.充分利用现有铜缆资源
使用双绞线传送的ADSL技术传输8M带宽数据时距离可达到1公里-2公里,传送4M时可达到2-3公里,随着XDSL技术的发展,传输带宽将会更高。在近期用户宽带需求普遍不高的情况下,中国电信要充分利用现有大量铜缆资源,通过综合接入网的建设,缩短用户电缆接入距离,提高接入带宽,实现普遍用户的宽窄带业务接入。对于少量的大客户高带宽接入需求(如10M、20M以上带宽),则使用光缆接入传输。因此,在实施“光进铜退”时,要结合综合接入网点规划做好接入层光缆的规划建设,将光交接点与接入网点同步规划,优先建设主干层光缆网络,配线层光缆则根据用户需求情况逐步推进。这样不仅能够充分利用现有铜缆资源,又能够快速满足业务发展需求,使网络结构具有较强的灵活性和可扩展性。
3.加强对新技术的跟踪
PON(无源光网络)和CWDM(波分复用)等光通信技术的发展,必然对接入层光缆的建设产生深远影响。
通过PON或其他设备的汇聚收敛作用可以节省接入层光缆的纤芯数量,提高光缆纤芯单芯带宽利用率。引入PON技术后,PON光分路器(Splitter)一般放置于接入层光缆网络的光交接节点或光分配点,需要对光交接点或分配点的具体交接设备的空间分配提出新的要求,在建设时需要预留相应的空间和端口。
但因目前PON、CWDM设备成本还较昂贵,主要考虑建设直连光缆,同时适时跟踪技术进展,开展相应的设备试验和测试。随着PON等光通信技术的发展和光通信设备成本的下降,再逐步增加设备,减少接入层光缆资源的压力。
二、将连接至Modem的网线接到贝尔金路由器的WAN口,将连接电脑网卡的网线接在LAN接口的任意一口,完成连接设定后,贝尔金路由器的面板灯应为:
1、电源指示灯:恒亮;
2、系统状态指示灯:约每秒闪烁一次;
3、WAN口指示灯:不定时闪烁;
4、无线网络指示灯:不定时闪烁;
5、LAN口指示灯:不定时闪烁。
三、电脑的网络设置,将电脑通过网线连接至贝尔金路由器的任意LAN口。
1、在电脑的桌面上,右键单击网上邻居,选中属性,这时会弹出网络连接窗口。
2、右键单击本地连接-属性
3、在随后弹出的本地连接属性对话框中,选择Internet协议(TCP/IP),然后点击下方的属性按钮,在随后打开的窗口里,选择自动获得IP地址,单击确定,再回到前一个界面之后点击关闭,设置完之后,当本地连接显示已连接上时:
四、贝尔金路由器的网络配置,打开浏览器,在浏览器的地址栏键入192.168.0.1,点击Enter键进入路由器登录界面,在出现的登录界面中,用户名填写admin,密码默认情况下为空,然后点击登陆进入下面的配置界面,我们可以通过两种方法对路由器进行网络连接的设置:一是使用配置向导,二是使用手动配置,
1、点击配置向导后显示网络连接设置的步骤,了解该步骤之后,即可点击下一步,进行设置,点击网络连接向导进行网络配置,点击下一步之后,在下面的窗口中进行管理密码的设定,默认状况下,进入路由器配置界面的管理密码为空,为了保证该设备的安全,您可以设置一个密码,以防止别人更改您的路由器的配置。
2、总共用三种方式的选择:DHCP连接(动态IP地址)、用户名/密码连接(PPPoE方式)、固定IP地址连接方式。默认状态下为DHCP连接(动态IP地址),一般家庭为PPPoE方式。
协议编号: 本协议于 年 月 日在 签定.签约双方为: 甲方:
乙方:
甲方因组建通信系统工程的需要,经甲乙双方友好协商,本着互惠互利、共同发展的原则,根据《中华人民共和国合同法》及有关内容,达成如下协议:
应承担由于其违约而给对方造成的一切损失。
不可抗力指:地震、洪水等自然灾害;战争、军事行动或法律变更、政府法令、指令发生变化等不可抗拒的因素。
会治安的淫秽色情的信息,不得通过网络发布禁止发布的信息,发现上述违法犯罪行为和有害信息,应及时向电信部门和有关主管部门报告。
5.根据国家有关规定,接入单位(企业、个人)、信息源严禁在中国互联网上制作、复制、发布、传播含有下列内容的信息:
(1)反对宪法所确定的基本原则的;
(2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;(3)损害国家荣誉和利益的;
(4)煽动民族仇恨、民族歧视,破坏民族团结的;(5)破坏国家宗教政策,宣扬邪教和封建迷信的;(6)散布谣言,扰乱社会秩序,破坏社会稳定的;
(7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;(8)侮辱或者诽谤他人,侵害他人合法权益的;(9)含有法律、行政法规禁止的其他内容的。
6.根据国家有关规定,接入单位(企业、个人)、信息源对接入的互联网站必须完成相关备案手续,并提交主办单位名称、IP、域名和备案号等备案信息,一经发现有未备案网站,立即停止服务。7.接入单位只能租用基础电信资源从事本单位服务,接入资源不得再次转租,若发现,立即停止服务,接入单位须接受联通及网监等部门的检查。
8.建立健全内部信息安全审核制度和信息安全领导责任制,加强对所采编制作的信息内容的审核、管理,并对所提供的信息内容负责。
9.积极配合电信部门根据国家有关法律法规对上网的信息内容进行监督检查,并提供必要的资料和条件。
10.对违反信息安全的行为,电信部门有权视情节严重程度,提出批评、警告、中断传输,直至终止协议。
11.接入单位(企业、个人)、信息源承担者违反信息安全法律、法规构成犯罪的,由公安、司法部门依法追究其刑事责任。
12.接入单位(企业、个人)、信息源负责人有责任教育、监督本单位职工遵守以上条例。
如何防止非法外联等重大信息安全事件发生是信息安全工作关注的一个焦点, 因此有必要采取一定技术措施来管制各类计算机 (含服务器、办公PC、移动便携式上网设备) 接入内部网络, 防止各类非法接入, 实现网络接入控制 (准入控制) 。经实践检验, 实现接入控制是避免非法外联等信息安全事件的关键一环, 本文介绍如何运用交换机提供的端口安全特性, 实现接入层对各类计算机接入内部网络进行控制的方法。
二、交换机端口安全特性介绍
交换机端口安全 (switchport portsecurity) 功能是指通过定义交换机端口安全策略, 实现人为控制某台计算机设备MAC地址 (计算机设备网卡硬件地址) 的数据流通过该交换机端口;对其他任何设备MAC地址试图与该交换机端口进行通信的数据流进行限制, 甚至可设置成直接关闭交换机端口 (shutdown) 的行为。通过配置适合的交换机端口安全策略并与IP访问控制列表相结合, 可轻松实现在接入层交换机 (二层) 上完成对计算机IP地址、MAC地址与交换机端口的相互绑定, 达到网络接入控制的目的。
在接入层设备开启端口安全功能实现接入控制具有明显优势, 具体体现为:一是尽可能减少核心交换机的访问控制条目, 不影响核心交换机交换性能, 极大地降低核心交换机用于处理访问控制的开销, 保障核心网络的稳定与可靠, 最大限度发挥核心交换机的核心交换这一主要功能。二是尽量减少核心交换机配置修改的频率, 最大程度消除核心交换机配置变更影响全局的各类操作安全隐患。因此, 在实际工作中, 接入控制适合在楼层等接入交换设备上实现, 而不宜在三层核心交换机上实现接入控制。
三、实际运用
以工作实际中常见的Cisco与H3C品牌交换机为例, 介绍运用交换机端口安全特性功能实现网络接入控制的配置思路与方法。
(一) Cisco品牌系列交换机配置案例 (以Cisco2960为例, *为配置注释)
第一步:运用端口安全功能实现计算机设备MAC地址与交换机对应接口的绑定。
Cisco2960 (config) #interface fastEthernet0/8*以fastEthernet0/8端口为例*
Cisco2960 (config-if) #description to kjc-tls*接口描述说明*
Cisco2960 (config-if) #switchport mode access*设置交换机端口工作模式*
Cisco2960 (config-if) #switchport port-security*在接口配置模式下开启端口安全功能*
Cisco2960 (config-if) #switchport port-security maximum 1*该接口只允许一台计算机MAC地址的访问通过*
Cisco2960 (config-if) #switchport port-security violation restrict*其他MAC地址试图访问该端口时设置成限制接入*
Cisco2960 (config-if) #switchport port-security macaddress sticky*开启MAC地址绑定选项*
Cisco2960 (config-if) #switchport port-security macaddress sticky 0016.35ac.a1cf*开启MAC地址绑定后, 交换机将该接口学习到的mac地址完成绑定配置*
第二步:定义IP访问列表实现计算机IP地址与交换机端口的绑定操作。
Cisco2960 (config) #access-list 2008 permit ip host192.168.1.1 any*允许IP为192.168.1.1的计算机访问通过该端口*
Cisco2960 (config) #access-list 2008 deny ip any any*禁止其他IP地址接入访问*
Cisco2960 (config-if) #ip access-group 2008 in*在接入端口应用访问控制策略*
完成以上配置步骤后, 交换机端口fastEthernet0/8设置成只允许MAC地址为0016.35ac.a1cf, IP地址为192.168.1.1的计算机接入该交换机端口。同样MAC地址为0016.35ac.a1cf, IP设置成192.168.1.1的计算机只能接入交换机端口8, 其他端口禁止接入, 完成了IP, MC地址与交换机端口三者绑定。用户如果自行修改IP, MC地址与交换机接入端口三者中任意一项, 该用户计算机均无法上网, 达到网络接入控制的目标。
(二) H3C品牌系列交换机配置方案 (以S5500-SI型号为例, *为配置注释部分)
接下来以H3C品牌交换机为例进行说明, H3C交换机端口安全MAC绑定与Cisco系列配置类似, 但H3C系列IP访问列表配置较复杂, 以下分步进行说明。
第一步:运用端口安全功能实现计算机设备MAC地址与交换机对应端口的绑定。
[F16-H3C S5500]port-security enable*全局配置模式下开启端口安全功能*
[F16-H3C S5500]interface GigabitEthernet1/0/8*以GigabitEthernet1/0/8端口为例进行接入控制说明*
[F16-H3C S5500-GigabitEthernet1/0/8]description tokjc-wlaqk*接口描述说明*
[F16-H3C S5500-GigabitEthernet1/0/8]portsecurity max-mac-count 1*该接口只允许一台计算机MAC地址的访问通过*
[F16-H3C S5500-GigabitEthernet1/0/8]portsecurity port-mode autolearn*在接口配置模式下开启端口MAC地址学习功能*
[F16-H3C S5500-GigabitEthernet1/0/8]port-security mac-address security 0016.35ac.a1cf vlan 1*开启MAC地址学习功能后, 交换机将该接口学习到的MAC地址完成与接口及vlan的绑定配置*
第二步:定义ip访问列表实现IP地址与交换机端口绑定。
1. 定义ip访问控制列表
[F16-H3C S5500]acl number 3008*允许通过IP访问列表3008*
[F16-H3C S5500-acl-adv-3008]rule 0 permit ip source 192.168.1.1 0
[F16-H3C S5500-acl-adv-3008]quit
[F16-H3C S5500]acl number 3000*定义deny ip访问列表3000*
[F16-H3C S5500-acl-adv-3000]rule 0 deny ip
[F16-H3C S5500-acl-adv-3000]quit
2. 定义两类流行为, 即permitip与denyip行为
[F16-H3C S5500]traffic behavior permitip*定义流行为permitip*
[F16-H3C S5500-behavior-permitip]filter permit*匹配permit过滤器*
[F16-H3C S5500]traffic behavior denyip*定义流行为denyip*
[F16-H3C S5500-behavior-denytip]filter deny*匹配deny过滤器*
3. 定义两类流分类器port8dc与port8pc
traffic classifier port8dc operator and*定义port8dc分类器标识符表示IP访问列表规则间逻辑与关系*
[F16-H3C S5500-classifier-port8dc]if-match acl3000*匹配IP访问列表3000*
[F16-H3C S5500]traffic classifier port8pc operator and*定义port8pc分类器标识符表示ip访问列表规则间逻辑与关系*
[F16-H3C S5500-classifier-port8pc]if-match acl3008*匹配IP访问列表3008*
4. 定义交换机端口8的qos策略port8policy
[F16-H3C S5500]qos policy port8policy*port8policy为端口8策略标识符*
[F16-H3C S5500-qospolicy-port8policy]classifier port8pc behavior permitip*分类器port8pc调用permitip流行为动作*
[F16-H3C S5500-qospolicy-port8policy]classifier port8dc behavior denyip*分类器port8dc调用denyip流行为动作*
5. 在交换机端口8上应用qos策略port8policy
[F16-H3C S5500]interface GigabitEthernet1/0/8
[F16-H3C S5500-GigabitEthernet1/0/8]qos apply policy port8policy inbound*在接口inbound方向调用策略port8policy*
如何确保信息能够在任何时间、任何地点、任何应用中,进行快速、安全且低成本的往来交互,是人们迫切的要求,这些需求的实现,其实很简单,只需拥有安全接入平台!安全接入平台是什么?它又能做些什么呢?
引用思杰(Citrix)公司大中华区总经理孙志伟的话,“无论你在任何地点、任何时间操作任何应用(包括Client/Server应用、Web应用、桌面应用和文件/多媒体访问应用等)的过程中,客户端与服务器之间的对话、信息交互传递的过程,就是安全接入平台工作的时间,安全接入平台会在这期间为您实现安全、快速、低成本的全程管理。”如此可以参考图1。
图1 安全接入平台架构
众所周知,在信息爆炸的今天,人与人之间的交流变得快捷和方便,信息交互传递的种类也变得较为复杂,但涉及的具体应用无外乎Client/Server、Web、桌面以及文件/多媒体应用等方式。下面,我们来分别讲述安全接入平台在各种应用中发挥着怎样的功效?
Client/Server应用
客户端/服务器应用的模式,相对而言,在信息化普及的初期,就已经被大众所接受了,也是目前应用较多的方式之一。为了避免上述潜在的风险,部署C/S应用的最好方式就是虚拟化,应用都被安装在安全的数据中心“Presentation Server”上,然后以虚拟化方式发送给各地用户。
Citrix Presentation Server是C/S应用中用于集中部署和管理的服务器设备,在异构环境中尤为受到青睐,同时借助Citrix接入安全管理和控制策略,确保终端用户能够安全接入和访问企业内部的各种信息资源。
简单来讲,在C/S应用中,应用系统都安装在Presentation Server上,企业无需考虑原有接入设备、软件语言、计算体系结构和网络的多样性,只要终端用户可以访问Presentation Server,就能够实现快速部署新的应用的目标。此外,Citrix采用专有技术提高C/S应用中信息交互的速度,即在服务器接收到客户端的请求时,只传送差异化的画面格式文件,由于画面格式文件非常小,从而降低了对系统带宽的要求,实现了企业要求信息快速传递的目标;在成本控制方面,非常显著的是,由于新的应用系统都安全在Presentation Server上,终端用户只需使用浏览器就可以访问,减少了相应客户端软件的安装和维护,从而大大节省了成本。
Web应用
在Web应用中,Citrix提供了Citrix NetScaler应用交付解决方案,它采用Citrix Netscaler AppCompress Extreme差异压缩技术,通过清除冗余应用数据的传输,同时只将近期变化的数据传送给用户,将标准页面下载速度提高到原有的23倍,并将企业网络应用数据的部署提高到原有的45倍。此外,Citrix Netscaler应用部署系统提供了经验证过的安全防御措施,可阻止普通的和破坏性的应用层攻击,包括自动蠕虫攻击和有目的的拒绝服务攻击,而不会影响合法应用流量。
简单来讲,在网络页面访问中,据统计也存在一个“二八原则”,也就是说,20%的页面被80%甚至更多的用户访问。此时,在服务器前端放置Citrix Netscaler后,设备会自动将这20%的页面放入缓存,当有新的面向此页面的访问时,就把这个页面直接推送给用户,无需经过后台的服务器处理,这样既加快了用户的访问速度,同时减少了后台服务器的处理压力。有数据显示,安装Citrix Netscaler之后,服务器的使用数量可以减少3/4以上,大大节约了成本支出。在安全方面,以拒绝服务攻击为例,当前端的Citrix Netscaler收到大量的访问请求时,将判断是否为拒绝服务攻击,如果是,将直接阻断,避免殃及后台服务器。
桌面应用
“瘦客户端”主要面向制造业等工作比较简单的行业使用,使用者主要是知识工人和蓝领阶层;简单来说,在这些行业,客户端的性能要求不需要太高,只要能够完成简单的流程操作即可。因此,Citrix安全接入平台构建了Project Tarpon模块,即当瘦客户端访问应用服务器时,Project Tarpon模块的Application Streaming功能将相关应用数据信息推送给瘦客户端完成操作。如此一来,节省了硬件购置成本、维护成本等,同时由于操作单一,确保了安全性。
“胖客户端”主要面向有复杂应用需求的用户群体,比如企业分支机构的白领阶层,他们有复杂的应用需求——需要安装Office、Outlook、Oracle、SAP等。举例来说,作为IT管理人员,如果借助Application Streaming功能,能够自动在胖客户端上的私有区域安装Outlook的客户端程序,既不会造成与其他应用程序的冲突,也节省了维护成本,同时实现了统一控制;另一方面,一旦胖客户端的某个应用程序发生错误,胖客户端直接通过网络发出维护申请,Project Tarpon模块即可自动将修复程序或者更新的程序推送到胖客户端上完成修复或更新,这样既节省了使用者的时间,也减轻了IT管理人员的工作压力。
文件/多媒体应用
安全接入平台构建了WanScaler模块,当客户端有数据访问需求时,借助该模块的File/Video Streaming功能,将集中管理在中心服务器的、有被访问需求的文件或者视频推送给客户端,完成信息的交互。如此,节省了数据信息维护的成本,而集中管理和控制确保了信息的安全。为了实现数据快速交互,Citrix采用独有的技术,该技术改进了TCP/IP三次握手的机制,当收到合法用户的数据请求信息之后,即把数据直接发送给你,无论客户端是否收到这一帧,服务器都将继续发送后续信息,直到客户端确认收到全部信息,完成数据的交互,从而减少了握手确认环节,有效地提高了传输速度。
新应用 需安全护航
在“Citrix安全接入平台”这个大的概念之中,有一部分不可或缺——接入安全管理和控制策略,总体来讲,它是由Citrix Access Gateway、Citrix Password Manageer和Citrix Application Firewall三部分组成的,如图2中“安全接入部分图标”所示。他们共同组建了一道屏障,确保用户能够安全地访问系统的各种应用、安全地获取信息。
图2 接入平台产品
Citrix Access Gateway是一款通用的SSL VPN设备,为信息资源提供了安全、且始终在线的单点接入支持。它具备IPSec和常见SSL VPN的所有优势,同时是市场上惟一一个采用Advanced Access Control(AAC)的产品,其中AAC是Citrix的独有组件,使得IT管理员能够对应用、文件、Web内容、电子邮件附件和打印实现全面的控制。该组件能够根据用户的角色、位置、设备类型、设备设置和连接,确定可以访问何种信息资源以及在授予访问权限后允许采取哪些措施。
Citrix Password Manager是企业单点登录解决方案(Single-Sign On),它从根本上改变了传统的多口令管理方式。Password Manager的部署使用户只需一次身份验证,就能以一个口令登录所有受口令保护的应用程序,而其余的工作将由Password Manager完成。它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化最终用户工作,例如口令变更。
Citrix Application Firewall,简单理解是一款应用防火墙,可以帮助实现Web应用的安全。孙志伟透露,思杰正在研究一个新的项目,在明年年初发布之后,企业使用了这款产品,公司内部的所有终端上的操作都会被记录下来。当有违规事件发生时,就可以在第一时间进行定位。
采访手记
截止记者发稿时,以“思杰系统”作为关键字,用Google搜索,可以查到的相关的中英文网页条目为36.2万条;而以“Citrix”作为关键字,则可查到4420万条。以同样的规则,在百度中搜索得到的结果分别为1.05条、9.87万条。
可以看出“Citrix”品牌的知名度要高于思杰,这也是我为什么将标题定为“Citrix=安全接入平台”的原因之一,尽管这个原因非常片面。而真正的原因在于:Citrix,全球惟一一家100%专注于开发接入解决方案的公司,它对于应用安全、业务连续性的贡献值得我们期待!
事实上,思杰的用户遍布全球。据悉,财富500强的企业中,有97%都是思杰的用户,但相对来说,他们的品牌推广做得并不是特别出色,因为“思杰(Citrix)这个品牌还没有为多数人知晓,而更多人还不知道思杰(Citrix)一直在为安全接入平台努力着。”
口说无凭,举例为证!思杰公司大中华区总经理孙志伟先生在来Citrix之前,就职于IBM公司某要职,当他提出辞职要求时,并说明自己将要去Citrix时,当时孙志伟的中国区领导困惑地问:Citrix是什么公司?而亚太区的领导知道孙志伟的动向后,恭喜孙说,Citrix是家不错的公司,祝贺你。
再有一个例子,可以帮助你了解思杰:在采访结束之后,我曾经问孙志伟,思杰在中国的拓展日益扩大,安全接入市场的前景也很明朗,你们的效益也会越来越好,员工的考核制度是怎样的?孙总笑着说,考核制度比较复杂,我只告诉你一个重要指标,我们的员工在用户那里装了多少套安全接入平台的系统,就能得到相应的考核分数,装得越多,分数越高。原因就是:只要是装了我们的安全接入系统的用户,一般都会选择我们的产品。
【网络服务接入安全】推荐阅读:
无线网络接入解决方案03-16
网络安全服务发展思路04-12
网络服务器简介什么是网络服务器?01-19
酒店网络服务方案11-21
网络平台服务协议07-27
企业网络信息服务协议12-12
网络服务合同六范本12-01
网络服务合同书12-14
网络平台设计服务合同09-21
网络信息咨询服务合同12-07
