| UML软件工程组织 | |||
| |
|||
|
|||
路由器和交换机设计
2008-05-05 出处:microsoft
本页内容本模块内容本模块介绍了选择交换机和路由器的方法,并标识了这些设备中的可用功能,从而帮助您选择所需的功能。交换机和路由器按每个类别的典型功能进行分组。通过这些类别,您应能确定组织所需的交换机和路由器类型。有许多可用的交换机和路由器类型,由于它们看起来功能相似,所以可能很难做出正确选择。本模块标识了突出的功能,并解释它们如何满足您的需求。此外,模块还涉及了路由器和交换机的安全性,并解释了如何确保路由器和交换机配置的安全性。 目标使用本模块可以实现:
适用范围本模块适用于下列技术:
如何使用本模块本模块可帮助您选择最适合组织的交换机和路由器。它提供了所需交换机和路由器功能的核对表,并解释了每个功能的作用。可以使用此核对表确定需要哪些功能。然后,模块根据每个组具有的功能将交换机和路由器分组。单一的交换机或路由器无法满足组织的需求,通过将您的需求与这些类别相比较,可以确定用于每个位置的最佳产品。 设计指南本节描述企业网络中的路由器和交换机需求、可满足这些需求的设备类型以及可用于设备部署的选件。路由器和交换机是网络中的两个关键组件,正确选择这些关键设备可以确保网络提供快速可靠的服务和适应不断变化的需要。 设计输入当设计交换机和路由器的实现时,需要输入下列内容:
网络体系结构在确定需要哪类路由器或交换机、这些设备彼此之间如何放置以及需要何种功能之前,应对网络进行设计。下面是选择路由器和交换机类别之前必需的网络设计信息:
网络设计组织结构有很多种,围绕它们设计网络体系结构的方法也有多种。但是,有两种常用模型可作为您的设计基础。它们是可在总部使用的多级交换体系结构和在小的分支机构使用的体系结构。 图 1 显示了通常在具有公共网站层和后端数据库层的地方使用的多级体系结构的示例。从网络的公共端开始,向内移动,第一部分是边界网络,此部分网络有提供初始防火墙功能的面向 Internet 的边界路由器。后面紧跟的交换机将路由器与外围防火墙链接在一起,并提供了更强大的防火墙。外围防火墙反过来通过交换机连接到外围网络中的 Web 服务器,Web 服务器通过另一个交换机连接到内部防火墙。然后,内部防火墙通过交换机连接到后端网络中的内部服务器和用户 PC。此图显示的是逻辑设计,但在物理上,所有交换机都可以是同一交换机上的单独 VLAN。由于边界属于非安全地区,所以边界交换机最好是单独的设备。后端交换机也可以是多个交换机,这取决于您偏爱一个大型交换机还是多个小型交换机。 
图 1 多级交换体系结构 图 2 显示了适合于在小分支机构使用的体系结构。它由三个网络设备组成:调制解调器、路由器和交换机。根据网络连接情况,这三个设备可以组合成两个设备或一个设备。低成本路由器通常包含一个以太网交换机和一个防火墙功能,对于宽带连接,也可将调制解调器集成在路由器中。 
图 2 小型分支机构体系结构 路由协议在设计网络时,必须决定路由信息的交换使用哪种路由协议。路由器需要路由表来指出如何到达目标网络。路由表可以手动配置为静态路由,但是这些仅适用于小型网络。替代方法是使用路由协议,由此通过自动发现其他网络来构建路由表。如果链接失败,则失败的链接自动从路由表中删除,因此路由器始终清楚目标网络的最佳活动路由。 下表描述了网络中使用的两大工业标准路由协议 RIP 和 OSPF 以及一个特殊协议 BGP。
可用性网络需要高可用性,网络越大,所需的可用性越高。有许多方法可以配置和查找路由器和交换机,以满足这些可用性需求。包括重复组件(如网络设备中的电源和引擎)和重复设备本身。后者会大大增加成本,但是可以提供完全的复原解决方案。 设备定义本节定义了下列类型的网络设备:
这些设备处于将所有局域网 (LAN) 和广域网 (WAN) 网段链接在一起的网络的核心。 交换机交换机用来将网络的物理网段链接在一起,并允许数据在这些网段之间移动。交换机工作在 OSI 模型的第 2 层,根据第 2 层地址(例如以太网 MAC 地址)指导数据流。某些交换机还提供其他功能,例如 VLAN 和第 3 层交换。 交换机自动进行自身配置。它们侦听每个以太网端口的数据流,发现每个连接设备连接到哪一个端口。然后,交换机直接向目标端口发送数据流。除非需要激活其他功能,否则,交换机不需要配置,这是安装网络时的一个主要优点。交换过程是在线路速度非常高且没有滞后时间的硬件中执行的。 最初,交换机将网段与多个设备链接,但是随着交换机价格的下降,每个端口连接一个设备已非常普遍。这称为“交换”以太网而不是“共享”以太网。一个端口使用一个活动设备不会产生冲突,所以提高了网络性能,且设备可以完全双向运行,以达到更高的吞吐量。 网络数据流包括广播消息,这些消息必须复制到对大型网络有重要影响的每个端口。由于大多数用户想要与有限的一组服务器和关联设备进行通信,所以,可以只在该组中发送所有广播数据流。减少广播数据流的一个方法是为每个组提供一个交换机,然后将它们一同链接到一个路由器,因为路由器不传输广播。另一个方法是在交换机上使用 VLAN。VLAN 是一组设备,这些设备实际位于许多不同的物理 LAN 网段,但被配置为像连接到同一条线上那样进行通信。来自 VLAN 一个成员的广播只发送给同一 VLAN 的其他成员,因此降低了广播数据流的传播。 路由器路由器在 OSI 模型的第 3 层工作。它们在两个不同的 IP 网络(可以是 LAN 或 WAN)之间传递数据流。路由过程的基础是,检查传入数据的目标 IP 地址并通过基于路由表的外出端口发送数据。路由表可以手动配置,也可以使用路由协议发现,但是与交换机不同,路由器始终需要一些配置。 大型交换机还可以包括路由器(此路由器通常在一个嵌入卡上)。这通常被描述为第 3 层交换,但作用等同于路由。 类别路由器和交换机都已分类,目的是标识不同级别的可用设备和所提供的功能。如果路由器或交换机符合某一特定类别,它可以支持链接到此类设备的所有功能。 路由器和交换机的所有类别都由一些核心功能组成。除可升级性、灵活性和适应性,路由器或交换机的处理能力也是特别重要的指标。低端交换机和路由器通常针对特定任务设计,为了降低成本,几乎没有扩展能力或只有有限的扩展能力。提高类别,不仅可以获得更强的功能,还可以获得更大的扩展能力。最高类别还提供了复原能力。 选择正确的交换机或路由器是件难事,因为每个制造商都大量宣传自己的产品功能最多、速度最快且最便宜。为了评估产品,您必须鉴别功能和优点。功能是产品具有能力或可执行的操作,但如果它对您非常有用,就会变成优点。例如,在交换机彼此相连的大型数据中心,连接到光缆(而不只是铜线)的能力是一个优点。但是,对于只有一个交换机的小办公室,此功能毫无用途。 在选择交换机或路由器之前,应该对网络进行设计,然后对设备进行评估,以满足该设计。可能有多个合适的设计,因此应对不同的体系结构进行评估。采购价格如果是重要的指标,就应将运行成本包括在内,因为低成本设备的运行成本可能会很高。 对于大型组织而言,一项重大的设计决策是:是在中心站点容纳多个小型交换机,还是使用几个大型交换机。首选设计是使用几个大型交换机,但是这在某种程度上依赖于中心站点办公室的物理布局。许多小型交换机会导致不易管理问题,而较大的交换机可能需要 VLAN 且配置更复杂。 交换机和路由器的常见功能下面是交换机和路由器的最常见功能。并对每个功能进行了解释和评估。当您浏览此列表时,请检查每个功能是否与您的组织相关。例如,大多数公司拥有大的总部和许多小的远程办公室。大型办公室可能更需要诸如复原能力和伸缩性之类的功能,而对于小型但很多的办公室而言,可能更需要低成本。 此列表显示了所需的交换机和路由器的常见功能,并在其后显示了每个交换机或路由器的特有功能。
交换机的特定功能本节着重描述必需的交换机特定功能。
交换机类别本节定义交换机的若干类别。类别不是很严格,您会发现,由于升级选件的原因,制造商的某一特定型号可能属于多个类别,而此制造商的两个不同型号可能属于同一类别。本节中涉及的交换机类别是:
类别 1 – 低端固定交换机低端交换机的功能和扩展能力有限,且没有容错能力。此类交换机设计成具有固定数量的以太网端口(通常为 4 到 24 个),考虑到连接性限制,它们的有限性能通常可以满足需要。 此类交换机价格便宜,但是它们缺乏可升级性和灵活性。以太网连接内置在硬件中,因此设备的功能(例如端口数)不能随需求的变化而更改。低端交换机是为单独操作设计的,不与其他交换机一起协调数据流。它们可能不支持诸如生成树协议、远程管理、高速上行链路和 VLAN 之类的功能。使用特殊端口或以太网交叉电缆,通常支持以标准以太网速度连接到其他交换机的上行链路。交换机功能还可以与路由器组合。 通常这些交换机是为小型办公室、大型组织的分支机构和家庭用户设计的。管理能力的缺乏对于小的企业或家庭用户可能没有太大影响,但对于组织的分支机构,它成为严重的缺陷。表 1 汇总了第 1 类交换机的功能。 表 1:类别 1 – 低端固定交换机
优点低端固定交换机的优点包括:
缺点低端固定交换机的缺点包括:
类别 2 – 低端可变交换机低端可变交换机除了提供与低端固定交换机类似的功能之外,还具有可升级硬件以支持需求的变化。通常,这些交换机允许增加以太网端口数量(具有比固定交换机更多的端口),提供更灵活的向上链路能力(通常是千兆以太网),支持生成树协议。通常,由于必须支持更多的端口,它们提供比固定交换机更高的以太网吞吐流量。它们也比低端固定交换机昂贵,因为它们可以升级,且通常具有远程管理能力和 VLAN 支持。可堆栈固定配置交换机可以视为同一类别,提供相同的技术功能但支持扩展(扩展的方法是将新交换机堆栈在现有交换机上,使用高速总线将它们连接以便它们像一个交换机那样工作)。请注意,术语“可堆栈”没有标准定义。某些制造商的本意可能是指交换机可以于物理上放置在另一交换机的上面,但是对于此类别,假设在两个交换机之间有高速总线且将这些交换机像一个交换机那样进行管理。 在预计需求将有增长或低端固定交换机不能提供足够端口的情况下,可以使用低端可变交换机。这包括建筑物、部门、远程分支机构或小型组织的基础。初始成本高于低端固定交换机,但是长期看来,不必抛弃交换机即可适应需求的增长,从而降低了成本。由于低端可变交换机通常比低端固定交换机具有更多的潜在连接性,所以适合较大型办公室的需要。表 2 汇总了第 2 类交换机的功能。 表 2:类别 2 – 低端可变交换机
优点低端可变交换机的优点包括:
缺点低端可变交换机的缺点包括:
类别 3 – 中型交换机与第 2 类交换机相比,中型交换机提供更多的功能、更高的端口密度和扩展能力。它们还具有更高级别的管理能力、冗余和复原能力。通常,这些交换机是带有端口卡插件的模块机架,而不是固定机架。不同大小的机架提供不同数量的插槽。这些交换机通常包括多个热交换冗余电源,而复原功能包括处理切换到备用交换机的协议。它们还提供第二个引擎,这是在第一个交换机出现故障的情况下提供复原能力的交换机的处理器单元。 这些交换机可用来在中型组织、较大型分支机构提供核心交换,或用来聚合与更大型交换机相连的大型组织的若干分部。此类路由器在 WAN 和 LAN 连接方面灵活性很高且功能可不断更新。因为可以根据技术发展而升级,生命周期往往较长。表 3 汇总了第 3 类交换机的功能。 表 3:类别 3 – 中型交换机
优点中型交换机的优点包括:
缺点中型交换机的缺点包括:
类别 4 – 高端交换机高端交换机提供高性能、高可用性、增加的扩展能力以及极高的容错能力。硬件设计特别灵活,提供了多个连接性选件及其他选件(如多个电源和处理器),以及使系统复原能力很高的其他功能。 对高速协议(例如用于链接到其他网络设备的异步传输模式 (ATM))给予了更多的关注。这些交换机在支持不同的硬件媒体(包括铜线和可选光纤)方面提供多功能性,具有处理多个千兆以太网链接的能力。此类交换机还可以包含路由器模块,使这些交换机也可以像路由器那样工作。此功能对于链接 VLAN 非常有用。表 4 汇总了第 4 类交换机的功能。 表 4:类别 4 – 高端交换机
优点高端交换机的优点包括:
缺点高端交换机的缺点包括:
路由器网络中可能需要很多不同类别的路由器来执行不同的任务。例如,面向 Internet 的边界路由器、连接 VLAN 的内部路由器和小型办公室路由器。 路由器功能本节重点描述了所需的各种路由器特定功能。
路由器类别与交换机类别类似,系统已定义多个类别。根据可用选件,产品可归入一个以上的类别。本节将讨论下列路由器类别:
类别 1 – 软件路由器软件路由器是装有标准操作系统和软件功能的计算机系统,它可在 LAN 与 WAN 之间提供路由功能。这种计算机系统可提供标准的计算机功能,路由功能在后台执行。通常,这些路由器为家庭用户或小型企业的少量计算机提供共享的 Internet 访问。由于其路由功能在后台完成(并非设备的主要功能),因此性能受到一定限制。此外,此类路由器的性能还取决于前台活动。复原能力受限于计算机的复原能力。由于计算机一般是工作站,特别要求用户不要关闭计算机。升级能力和灵活度不高,因为软件支持的 WAN 协议集有限。此类软件路由器的一个例子是 Internet 连接共享 (ICS),它可用在 Windows 98、Windows ME、Windows 2000、Windows 2003 和 Windows XP 等操作系统中。 如果本地用户数量不大,对 WAN 访问的要求也不高,则可以使用软件路由器。鉴于很多家庭用户要求通过单一电话线来访问 Internet,因此软件路由器在家庭中的应用日益增加。随着使用率的日益提高,一旦此类路由器无法满足要求,便可以安装下一类路由器,即专用硬件路由器。表 5 汇总了第 1 类路由器的功能。 表 5:类别 1 – 软件路由器
优点软件路由器的优点包括:
缺点软件路由器的缺点包括:
类别 2 – 低端固定路由器低端固定路由器的性能、功能和扩展能力一般比较有限,且不提供容错功能。此类路由器的作用是将数据从以太网 LAN 发送到 WAN。WAN 连接一般仅限于拨号调制解调器、ISDN、X25 链接、宽带或电缆调制解调器。此类路由器一般有内置的集线器或交换机(其中还包括到配备有无线卡的计算机的无线连接),可能还有简单的防火墙。 WAN 连接内置于路由器硬件,在用户要求发生变化时无法更改。此类路由器成本不高,当然作为代价,升级能力也比较差。 这些路由器没有复原能力,但却是专用设备,并可始终保持打开。由于此类路由器成本不高,可以再安装一台来提供冗余度。此类路由器仅提供 RIP 和 OSPF 等有限的路由协议,但一般拥有 NAT 功能,允许 LAN 中的多个内部用户通过一个地址访问 Internet。 由于硬件专用于路由功能,同一时间不会有其他功能运行,因此性能受到一定的限制,但要优于第 1 类设备。 此类路由器用于小型办公室、在家访问 Internet 的通信者、或连接至分层网络结构中较大机构的小型分支机构。ISDN 在这里扮演着重要的角色,因为它只在需要传输数据时才进行连接。这样,成本高昂的 WAN 链接便得到了高效经济的利用。随着此类路由器的成本不断下降,这一类路由器将进入家庭,但其中最受欢迎的仅限于 ISDN 或宽带 Internet 连接。表 6 汇总了第 2 类路由器的功能。 表 6:类别 2 – 低端固定路由器
优点低端可变路由器的优点包括:
缺点低端固定路由器的缺点包括:
类别 3 – 低端可变路由器低端可变路由器提供的功能类似于低端固定路由器。但前者的硬件可以升级,允许根据组织需求的变化而更新设备。通常,此类路由器支持不同类型的 WAN 连接或多个 WAN 端口,而且在有内置以太网集线器或交换机的情况下,支持连接其他本地设备。由于支持最大限度的端口扩展而无需升级处理器,此类路由器的性能通常优于固定路由器。因为可以升级,此类路由器与低端固定路由器相比价格更高。与低端固定路由器一样,此类路由器提供的路由协议也很有限。 此类路由器常常用在预计需求将有增长的小型或分支机构中。尽管初始成本比固定路由器高,但因为可以通过设备升级来满足日后的需求增长,因此不必更换路由器,从长远观点来看,更加经济有效。由于低端可变路由器的功能常比低端固定路由器强大,因此适合更大型的办公室。表 7 汇总了第 3 类路由器的功能。 表 7:类别 3 – 低端可变路由器
优点低端可变路由器的优点包括:
缺点低端可变路由器的缺点包括:
类别 4 – 中型路由器相对于第 3 类路由器,中型路由器提供了更多的电源和硬件扩展功能。这一类路由器提供了多个 LAN 端口和 WAN 端口,以太网连接(包括千兆以太网、光纤和铜缆连接)速度更快。如果要连接其他网络设备(如路由器或交换机)而非个人计算机,还支持其他协议(尤其对于主干连接)。此类路由器一般用于在家办公者的个人计算机或小型 Internet 服务提供商使用模拟调制解调器或 ISDN 进行的拨号连接。通常,此类路由器还支持 VoIP,允许通过同一电缆同时传输声音和数据。 尽管中型路由器提供的内置硬件复原能力有限(或根本没有),但它使用双路由器(主路由器 + 备用路由器)和各种协议确保了在发生故障时迅速切换,从而提供一种替代的复原方法。 此类路由器可以用作中型组织或大型分支机构的核心路由器,或用于聚合与大型路由器相连的大型组织的若干分部。远程通信者常使用拨号功能直接连接组织,而不是通过 Internet。此类路由器在 WAN 和 LAN 连接方面灵活性很高且功能可不断增加。因为可以根据技术发展而升级,生命周期往往较长。表 8 汇总了第 4 类路由器的功能。 表 8:类别 4 – 中型路由器
优点中型路由器的优点包括:
缺点中型路由器的缺点包括:
类别 5 – 高端路由器高端路由器提供了高性能、增强的扩展性和卓越的容错性与可用性。在此类路由器中,硬件设计非常灵活,并与第 4 类路由器一样提供了多个连接选件,以及多电源、多处理器等其他选件,并提供了可提高设备复原能力的功能。 对于这一类路由器,重点在于通过 ATM 和 SONET 等高速协议来链接其他网络设备,并在各站点之间传输大量数据。较小的路由器或交换机则侧重于工作站连接。此类路由器的用途极其广泛,并支持大量 WAN 与 LAN 协议,以及铜缆和光纤等各种硬件介质。表 9 汇总了第 5 类路由器的功能。 表 9:类别 5 – 高端路由器
优点高端路由器的优点包括:
缺点高端路由器的缺点是成本高。因为此类设备有一定的升级能力和复原能力,因此初始价格的确不菲,但随着机架被装备起来,每个端口的价格也随之下降。 类别 6 – ISP 路由器ISP 路由器主要供 Internet 主干上的 ISP 使用。此类设备还可用在企业中提供最佳性能。此类路由器性能卓越、可用性高、具复原能力,并可处理成百上千的 Internet 用户高速连接至 Internet 主干。表 10 汇总了第 5 类路由器的功能。 表 10:类别 5 – 高端路由器
优点ISP 路由器的优点包括:
缺点此类路由器的缺点是成本不菲且配置复杂。 安全性在网络设计中,安全性非常重要。设计者既要控制来自 Internet 的外部入侵,又要控制有内部网络访问权限的内部员工或其他人员发动内部入侵。应注意保护的主要领域有四个:
交换机和路由器是通过网络传输数据包的,它们也是滤除入侵企图的第一道防线。背后则是有高级过滤功能的防火墙。这种过滤还应阻止对网络设备本身的攻击。大多数交换机和路由器都可重新配置,因此必须实行严格的控制,进而限制拥有管理权限的人员。大多数路由器和交换机都存在一些后门访问方法,它们能避开逻辑安全设置,因此应将这些设备物理锁定以防止这种入侵。 大多数路由器都有自身特定的且广为人知的漏洞,请务必访问制造商网站,从而获得与这些漏洞及应对方法相关的详细资料。 路由器安全性注意事项路由器是第一道防线,同时也是第一道攻击线。路由器提供了数据包路由,并可通过配置以阻止或滤除已知的易于受到攻击或被恶意利用的数据包类型的转发,例如 ICMP 或简单网络管理协议 (SNMP)。应使用路由器来阻止网络之间未经授权或不需要的数据流。此外,还必须通过使用安全管理接口并确保它应用了最新的软件修补程序和更新,来来确保路由器本身免遭重新配置。 如果没有路由器的控制权,您在保护网络方面无能为力,除了询问 ISP 了解路由器中配备的防御机制的相关信息。 如果遇到路由器安全问题,可以使用下列配置类别:
修补程序和更新订阅网络硬件制造商提供的警报服务可以了解最新的安全问题和服务修补程序。当发现漏洞(不可避免)时,优秀的供应商将迅速开发有效的修补程序,并通过电子邮件或自己的 Web 站点发布这些更新。在生产环境中实施这些更新之前必须对更新进行测试。 协议拒绝服务攻击经常利用协议级的漏洞。例如,淹没 (flooding) 网络。要对付此类攻击,您应:
使用出入过滤高水平的攻击者常发出欺骗性数据包来进行探测、攻击或执行其他操作。路由器根据目标地址传送数据包,这一过程常忽略源地址,而实际中源地址很可能不是数据包作者的源地址。具有内部地址的传入数据包常代表了入侵企图或探测,因此应拒绝此类数据包进入外围网络。同样,请对路由器加以设置,使之仅传送包含有效内部 IP 地址的传出数据包。验证传出数据包不能保证您免受拒绝服务攻击的威胁,但可以确保此类攻击不会始自您所在的网络。如果其他网络也应用了同样的传出数据验证,您的网络即可免受拒绝服务攻击的威胁。 这种过滤机制还可轻易跟踪始作俑者的真实源地址,因为攻击者不得不使用有效合法且可连接的源地址。有关详细信息,请参阅“Network Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing”,其位于:http://www.rfc-editor.org/rfc/rfc2267.txt(英文)。 将 ICMP 数据流从内部网络中屏蔽ICMP 是一种无状态协议。它位于 IP 顶端,允许在两个主机之间验证主机的可用性信息。常用的 ICMP 消息参见表 11。 表 11:常用的 ICMP 消息
阻止外围路由器中的 ICMP 数据流可以保护您免受级联 Ping flood 和其他拒绝服务攻击的威胁。由于存在其他 ICMP 漏洞,阻止此协议势在必行。虽然 ICMP 回应请求(或 Ping)可用于故障排除,但也可用于发现网络中的设备并映射其体系结构,因此应忽略该请求,除非存在合理的理由保留它。Ping 操作还可用于 Ping 已遭到拒绝的服务,因此最好也阻止此类 Ping 操作。 阻止跟踪路由跟踪路由是一种收集网络拓扑信息的方法。该方法可检测到达目标系统的设备。如果要确定数据是否沿最佳路线传递,此方法非常有用。对于不同的制造商,实施方法各不相同;一些制造商使用有不同生存时间 (TTL) 值的 Ping 操作,另一些制造商则使用 UDP 数据包。如上文所述,可变 Ping 操作可通过阻止 ICMP 消息来控制,而 UDP 数据包则需要 ACL 才可阻止。通过阻止此类数据包,可以防止攻击者获得网络的详细资料。 控制广播数据流定向的广播数据流可用于枚举网络中的主机,并用作拒绝服务攻击的载体。例如,通过阻止特定的源地址,可以防止恶意回应请求引发级联 Ping flood。应滤除的源地址参见表 12。 表 12:应滤除的源地址
阻止其他不必要的数据流从 Internet 进入边界路由器的传入数据流来自未知的不受信任的用户,这些用户要求访问您的 Web 服务器。这些用户可访问一组特定的 IP 地址和端口号,并被限制无法访问其他端口号或 IP 地址。使用访问控制列表(大多数路由器都提供)以后,只有特定地址与端口组合的数据流可以通过边界路由器,假定任意其他地址都存在威胁。 注意:本例中的端口号与交换机上的端口(以太网电缆所插入的物理插槽)没有关联。这里,参考对象是 IP 地址系统(其中 IP 地址使用 TCP 或 UDP 端口号进行扩展)。例如,Web 服务器一般位于端口 80:IP 地址是 192.168.0.1 的服务器上的 Web 服务的完整地址是 192.168.0.1:80。 Cisco 路由器和交换机使用专用协议(CDP:Cisco Discovery Protocol)来发现邻近设备的相关信息,例如型号和操作系统修订等级。但是,此协议安全性能薄弱,恶意用户常能获得同样的信息,因此应在边界路由器中绝对禁用 CDP,可能还需根据管理软件的要求在内部路由器和交换机中禁用该协议。 管理访问路由器的管理工作将在什么位置执行?您必须确定管理工作要连接的接口和端口,以及执行管理的源网络或源主机。对这些特定位置的访问必须加以限制。不要保留任何未加密或无对抗措施的面向 Internet 的管理接口可用,以防止非法攻击。此外还需:
应用强密码策略首先添加管理员密码(很多系统受攻入的原因仅仅是因为管理员不用密码)。然后,考虑使用复杂的密码。强大的密码软件不仅能启动字典攻击,还可发现密码中用数字替代字母的一般情况。例如,如果使用“p4ssw0rd”密码,软件可破解此密码。创建密码时一定要混合使用大写字母、小写字母、数字和符号。同样地,出于管理的目的,可能还必须有SNMP。尽管 SNMP 安全性算不上强大,但配置之后确实能添加密码 (团体字符串)。SNMP V3 的安全性能已大大改进。 使用管理访问控制系统不要采用将管理员名称嵌入配置这种做法,而是使用 AAA 系统对管理员身份进行验证。这可以控制管理员的真实身份及可执行的操作,并记录执行过的操作。AAA 是指:
禁用未使用的接口在路由器中,只有必需的接口才应启用。未使用的接口是无法被监视或控制的,它们可能未更新。因此,您可能会在这些接口上受到未知的攻击。通常,系统使用 Telnet 管理访问。因此,限制 Telnet 的可用会话数并设置一定的超时,可确保会话在未用状态超过一定时间后被关闭。 考虑静态路由静态路由可防止专门的数据包更改路由器中的路由表。攻击者可能试图模拟路由协议消息来更改路由,从而引发拒绝服务或向薄弱的服务器转发请求。通过使用静态路由,更改路由必须通过管理接口的允许。但请注意,静态路由是静态的,如果连接失败,路由器不会自动切换到备用路由器,而且静态路由的配置过程非常复杂。 关闭基于 Web 的配置如果可以选择内置 Web 服务器来配置访问,以及可以使用命令行模式,则请禁用 Web 服务,因为该服务可能易于受到许多 TCP/IP 安全薄弱环节的影响。 服务在已部署的路由器中,每个已打开的端口都与一个侦听服务相关联。为了降低攻击的可能性,必须关闭不必要的默认服务。例如,bootps 和 Finger 服务就很少使用。此外,还应扫描路由器来检测都打开了哪些端口。 审核和日志大多数路由器都有日志功能。日志功能可记录所有被拒绝的有入侵企图的操作。目前的路由器都有多种日志功能,其中包括根据已记录的数据设置严重性。为了定期检查日志以明确入侵和探测的种种迹象,应建立一定的审核计划。 入侵检测在路由器中设置了各种防范 TCP/IP 攻击的限制之后,路由器应该能够确定攻击发生时间,然后通知系统管理员发生的攻击。 攻击者一般都很了解安全优先级,其攻击策略都是围绕这些优先级展开的。入侵检测系统 (IDS) 可显示攻击者企图攻击的位置。 控制物理访问如上文所述,由于路由器通常都存在后门访问方法,如果攻击者能物理访问这些设备来覆盖现有配置,则大多数路由器都易受攻击。因此,请将这些路由器锁在固定的房间中,并赋予受限的访问权限。 交换机安全性注意事项与路由器类似,您必须确保交换机本身不被重新配置。必须使用安全管理接口,确保交换机已应用了最新的软件修补程序和更新,控制管理访问权限,并提供物理安全性。 与路由器相比,交换机的安全性常被忽视,因为前者是面向 Internet 的第一道防线。但以下位置中的这一文档非常有用:http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_white_paper09186a008014870f.shtml(英文)。 此文档讨论了一些已知的交换机漏洞及其应对方法。 为路由器定义的许多安全概念同样适用于交换机。例如,控制谁具有管理权限。由于交换机只是检查以太网框架(而非 IP 数据包),因此无法控制捉摸不定的 IP 入侵。但交换机始终在防火墙或有防火墙功能的路由器的背后,故这一要求并不必要。 下列配置类别可帮助您确保安全的交换机配置:
修补程序和更新必须及早安装和测试修补程序和更新。 VLAN虚拟 LAN 可以分隔网段,然后根据安全规则应用访问控制。没有 ACL 的 VLAN 可提供第一级别的安全防线,它将限制同一 VLAN 成员的存取权。但实际上 VLAN 内部的数据流也是必需的,而这正由 IP 子网之间的路由器提供,并可通过 ACL 来控制。 各 VLAN 之间的 ACL 可限制不同网段之间的数据流。这种过滤一般是简单的静态数据包过滤,它不同于状态型数据包检查或应用层代理(用在很多专用防火墙设备中)。 使用 VLAN 之间的 ACL 可通过阻止来自企业内部的内部入侵(外部入侵已由边界网络阻止)提供直接的保护。除了防火墙过滤之外,VLAN ACL 还可用于其他安全层。在 VLAN 中实施 ACL 的缺点在于,它们会对性能有所影响,而且需要正确有效的配置。 使用管理访问控制系统使用与路由器相同的方法来控制交换机的管理访问。 禁用未使用的端口为了防止黑客接入未使用的端口,应禁用交换机中未使用的以太网端口。 服务确保所有未使用的服务都已禁用。此外,确保禁用普通文件传输协议 (TFTP),删除面向 Internet 的管理接口,并对 ACL 加以配置以限定管理权限。 加密尽管数据加密在交换机上很少使用,但在网络中加密数据的确能保证被窥探到的数据包在以下两种情况下毫无价值:即相同交换段中存在监视器;或交换机已受到损害,从而允许数据通过网段。 安全网络快照表 13 提供了一种安全网络特征快照。这里的安全设置都归纳自业界安全专家和安全部署中的真实应用程序。在评估自己的解决方案时,您可以使用该快照作为参考。 表 13:安全网络快照
小结本模块提供的相关信息和选项可帮助网络设计工程师选择满足企业网络体系结构要求的设备。本模块在如何正确选择设备方面概述了设备的设计过程。 本模块定义的设计过程包括选择正确的设备类别以满足所需的服务等级。此外,选择适当选件确保组织的网络成员支持该设备,且有一定的网络管理方案来管理该设备也都非常重要。本指南的目标是制定一套符合组织网络体系结构的设备规范,以设计和实现整个网络。 其他信息相关标准信息,请参考:
对于相关的安全信息,各路由器和交换机制造商都发布了自己的建议来保护网络。这些资料适用于所有网络,而不仅仅是在相关产品中使用。请参考下列资料:
|
| |||
组织简介 | 联系我们 | Copyright 2002 ® UML软件工程组织 京ICP备10020922号 京公海网安备110108001071号 |
