网络设备上常用的安全技术

网络设备上常用的安全技术

概述：

网络安全现状与发展

　　随着国民经济对信息网络和系统的依赖性增强，网络安全成为关系经济平稳运行和安全的重要因素。当前，我国重要信息系统和工业控制系统多使用国外的技术和产品，这些技术和产品的漏洞不可控，使网络和系统更易受到攻击，致使敏感信息泄露、系统停运等重大安全事件多发，安全状况堪忧。

据统计，我国芯片、高端元器件、通用协议和标准等80%左右依赖进口，防火墙、加密机等10类信息安全产品65%来自进口，2010年我国集成电路产品进口额为1569 .9亿美元，是最大宗单项进口产品。当前，针对重要信息系统和工业控制系统的网络攻击持续增多，一旦网络攻击发生将可能导致重要信息系统和工业控制系统等瘫痪，给我国经济发展和产业安全等带来严峻挑战。

计算机网络安全措施

　　计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

　　（一）保护网络安全。

　　网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：

　　（1）全面规划网络平台的安全策略。

　　（2）制定网络安全的管理措施。

　　（3）使用防火墙。

　　（4）尽可能记录网络上的一切活动。

　　（5）注意对网络设备的物理保护。

　　（6）检验网络平台系统的脆弱性。

　　（7）建立可靠的识别和鉴别机制。

　　（二）保护应用安全。

　　保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。

　　由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。

　　虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

　　（三）保护系统安全。

　　保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：

　　（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。

　　（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。

　　（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。

商务交易安全措施

　　商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。

　　各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。

　　

安全技术1：访问控制列表（ACL）

ACL简介

ACL（Access Control List，访问控制列表）主要用来实现流识别功能。网络设备为了过滤数据包，需要配置一系列的匹配规则，以识别需要过滤的报文。在识别出特定的报文之后，才能根据预先设定的策略允许或禁止相应的数据包通过。

ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。

由ACL定义的数据包匹配规则，可以被其它需要对流量进行区分的功能引用，如QoS中流分类规则的定义。

根据应用目的，可将ACL分为下面几种：

 基本ACL：只根据三层源IP地址制定规则。

 高级ACL：根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。

 二层ACL：根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。

案例：

配置标准IP ACL

例如某公司网络中，行政部、销售部门和财务部门分别属于不同的3个子网，3个子网之间使用路由器进行互联。行政部所在的子网为172.16.0.1/24，销售部所在的子网为172.16.2.0/24，财务部所在的子网为172.16.4.0/24.考虑到信息安全问题，要求销售部门不能对财务部门进行访问，但行政部可以对财务部进行访问。

设备：思科路由器两台

实验拓扑：

      实验原理：

      标准IP ACL可以对数据包的源IP地址进行检查，当应用了ACL的接口接收或发送数据包时，将根据接口配置的ACL规则对数据进行检查，并采取相应的措施，允许通过或拒绝通过，从而到达访问控制的目的，提高网络安全性。

R1配置

configure terminal

interface s1/0

ip add 172.16.1.1 255.255.255.0

exit

interface s1/1

ip add 172.16.2.1 255.255.255.0

exit

interface s1/2

ip add 172.16.3.1 255.255.255.0

exit

ip route 172.16.4.0 255.255.255.0 serial 1/2

R2配置

configure terminal

interface s1/2

ip add 172.16.3.2 255.255.255.0

exit

interface s1/0

ip add 172.16.4.1 255.255.255.0

exit

ip route 172.16.1.0 255.255.255.0

ip route 172.16.2.0 255.255.255.0

acccess-list 1 deny 172.16.2.0 0.0.0.255

accesss-list 1 permit 172.16.1.0 0.0.0.255

interface f1/0

ip access-group 1 out

 

R1参考配置:

R1#show running-config
Building configuration...

Current configuration : 1280 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5

interface Serial1/0
 ip address 172.16.1.1 255.255.255.0
 shutdown
 serial restart-delay 0
!
interface Serial1/1
 ip address 172.16.2.1 255.255.255.0
 shutdown
 serial restart-delay 0
!
interface Serial1/2
 ip address 172.16.3.1 255.255.255.0
 shutdown
 serial restart-delay 0
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
!
interface Vlan1
 no ip address
!
ip http server
no ip http secure-server
!
ip route 172.16.4.0 255.255.255.0 Serial1/2
!

R2参考配置：

 

R2#show running-config
Building configuration...

Current configuration : 1409 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!

interface Serial1/0
 ip address 172.16.4.1 255.255.255.0
 ip access-group 1 out
 shutdown
 serial restart-delay 0
!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
!
interfa