互联网数据中心_IDC_网络安全管理的设计与实现

$>$$"#? 进程，并将用户所执行的操作向 %%% 服 务器进行报告。通过 %%% 的实施我们可以方便地
控制网络设备的安全性。 （ 网络层、 传输层的安全） JI J:::: 679!"9 的安全性 因为 679!"9 协议本 679!"9 安全பைடு நூலகம்制非常复杂， 身 存 在 着 安 全 隐 患 ， 并 且 往 往 这 些 A5M 与 实 现 而操作系统还存在着 679!"9 协议的操作系统有关， 这样和那样的安全隐患， 并且与应用系统有着千丝 万缕的联系， 所以在 679!"9 的安全性方面我们只针 对一些网络攻击进行防范，进行讨论，至于对
679!"9 数据包的窃听 ! 篡改的预防，可以通过网络 加密技术得到有效的控制， 例如： 通过使用 "9$*- 协
议在路由器之间建立加密通信隧道， 用于确保网络 通信的安全性，而 "9$*- 协议得到了从高端路由器 直到低端的通信服务器的广泛支持； 在 NNN 浏览 时， 使用 $$< 技术在通信双方用户身份确认的情况 下建立一条安全通信隧道来进行数据的传输， 而
/;:: 4*.() 等），路由器提供了多种手段可以对此类
的攻击进行防御。 ・%7< 访问控制列表：众所周知在一个 679!"9 的网络之中， 两台主机进行通信的首要条件是知道 通 信 双 方 的 "9 地 址 以 及 应 用 的 端 口 号 （ $#7=>6::
?5@A>3
） ， 当进行 679!"9 连接时所有的 "9 包中均
互联网数据中心 （ #()） 网络安全管理的设计与实现
潘春华 刘寿强 李 杏 吕国斌 墙芳躅
武汉 7899:7; ） （ 中国地质大学研究生院 武汉 7899:7 ） （ 中国地质大学网络中心
摘
要
本文首先介绍了 #() 网络安全管理的有关知识和技术， 并结合城域网 #() 建设的实践经验， 阐述 网络安全
%%% 功 能 的 实 施 需 要 两 部 分 的 配 合 ： 支 持 %%% 的网络设备、 %%% 服务器。方案中所选用的设 备均支持 %%% 的功能，我们建议配置的安全管理 软 件 $*-&0* 作 为 %%% 服 务 器 软 件 。 3% ’ 4"5$!6%7%7$8 是实施 %%% 常用的协议， $*-&0*可
中国数据通信
!""! # $
LL
服务器、 （ 公共密 !!" 的 实 现 需 要 通 过 浏 览 器 、 #$% 匙系统） 的配合实现。 安全扫描服务器可以对网络设备进行自动的安 全漏洞检测和分析，并且在实行过程中支持基于策 略的安全风险管理过程。 另外， 互联网扫描执行预定 的或事件驱动的网络探测， 包括对网络通信服务、 操 作系统、 路由器、 电子函件、 防火墙和 &’( 服 务 器 、 应用程序的检测，从而去识别能被入侵者利用来进 入网络的漏洞。 能进行系统扫描。系统扫描通过对企业内部操 作系统安全弱点的完全的分析，帮助组织管理安全 风险。系统扫描通过比较规定的安全策略和实际的 主机配置来发现潜在的安全风险，包括缺少安全补 丁、 词典中可猜的口令、 不适当的用户权限、 不正确 的系统登录权限、不安全的服务配置和代表攻击的 可疑的行为。系统安全扫描还可以修复有问题的系 统， 自动产生文件所有权和文件权限的修复脚本。 能提供实时入侵检测和实时报警。当收到安全 性消息时， )&!% 图 形 用 户 界 面 上 相 应 的 主 机 状 态 颜色和安全性消息组的图标都应有相应变化，以帮 助操作人员快速地确定报警的原因和范畴。
在 "9 包向外部传送时将 "9 包中 过 "9 地址的功能， 的源 "9 地址用事先设定好的 "9 地址替换掉，当该 连接的 "9 包进入路由器时将目标的 "9 地址用初始 的 "9 地址替换回来，从而可以隐藏内部网络的 "9 地址的分配， 提高网络的安全性。 ・流量分析： 路由器软件支持流量分析 （ 对在 很短的时间内有大量的 "7@9 、 679 连接请求进行智 能分析） 功能。该功能对于防止 9,+2: /;: 4*.()、 679 半开等攻击起着有效的控制作用。 ・安全扫描服务： 用户执行远程登录命令 （ 例 如 6*B+*( ） ， 网络设备提示输入用户姓名、 口令。 用户输入口令后， 网络 设 备 向 %%% 服 务 器 HI:: 查询该用户是否有权登录。 如果该用户 JI:: %%% 服 务 器 检 索 用 户 数 据 库 ， 允许登录，则向网络设备返回 9>3@"6 信息和该用 户在该网络设备上可执行的命令， 同时将用户登录 的时间、 "9 作详细记录；若不能在用户数据库中检 索到 该 用 户 的 信 息 ， 则 返 回 4>?K 信 息 ， 并可以根 据设置向网管工作站发送 $?@9 的警告消息。 当网络设备得到 %%% 的应 答 后 ， 可以根据 LI:: 应答的内容作出相应的操作， 如果应答为 4>?K ， 则 关闭掉当前的 $>$$"#? 进程；如果为 9>3@"6 ， 则 根 据 %%% 服 务 器 返 回 的 用 户 权 限 为 该 用 户 开 启
以提供对这两个协议的支持，有完整的记账功能。 为提高网络的可靠性，建议设置两台 %%% 服务器 互为备份， 负载均衡。 在使用 %%% 的功能后，用户通过网络远程登 录到设备上的基本过程如下： ・路由协议的安全性： 通过对路由器的配置， 使 得在路由器交换路由表之前双方进行身份的验证， 可以避免非法程序假冒路由器交换错误的路由表， 从而控制窃取网络资源的攻击。 对于一般的 679!"9 的攻击 （ 例如： 假冒 "9、 9,+2:
了简单可行的实施方案及其设计与实现， 具有较强的可操作性和应用参考性。 关键词
.)/1#/""设计
管理
实现
引言 !"""
作为专门提供网络资源外包以及专业网络服 务 的 #$%&’$&% 数据中心 （ #() ） ， 逐渐形成了一新兴 在如今 #. 产业有 产业， 得到 * +,- 公司的积极响应， 点 冷 的 大 气 候 下 ， 各 地 #() 建 设 正 如 火 如 荼 地 展 开。 互联网数据中心 （ #() ） 在 #/ 网络一统天下的互 联天地里， 起到互联网心脏的作用， 是企业占领市 场份额的重要法码。 互联网数据中心 （ #() ） ， 有两个非常重要的特 征： #() 不是数据存储的中心，而是数据流通的中 巨大的网络中数据交换 心，它应该出现在 #$%&’$&% 最集中的地方； 互联网数据中心 （ #() ）应具备十分 丰富的带宽资源、 安全可靠的机房设施、 高水平的 网络管理、 十分完备的增值服务。 #() 的实质是创造 尽可能多的基于带宽的增值价值。目前， 几乎所有 的电信运营商都在积极地进行 #() 的建设， 除此之 外， 还有一些基于房地产背景及系统集成背景的公 司也同样在筹划 #() 。由此可见， #() 间的竞争会相 当激烈， 如何在激烈的竞争中立于不败之地呢？一 定要有前瞻性和远见性， 根据 #() 的具体特点及建 设经验， 提出以下设计原则： 可扩展性、 可用性、 可 靠性、 灵活性、 可管理性和安全性。这样设计的 #() 才能在未来的激烈竞争中立于不败之地。目前， #() 的网络运营环境可划分为访问层、数据传输层、 #/
一个完善的网络管理系统是计算机网络能够稳 定可靠运行的保证。 因为我们的业务是基于网络的， 所以网络管理对于一个企业来说是至关重要的。网 络管理做得好， 企业至少可以得到以下好处： （ 1 ）确保生产和业务不致中断， 这对于严重依 赖网络的企业是至关重要的。 高性能的网络有助于提高工作效率和企业 （ 2） 的竞争力，特别是诸如视频会议这样的新的网络应 用， 将极大地改变我们的生产和生活方式。 网络管理 员必须确保这些网络应用能顺利运行。 （ *） 可以确保网络的规模和性能随业务的扩展 而增长， 不至于拖业务的后腿。 （ 3） 可以确保企业数据的安全和一致性。 （ 4） 降低网络维护的成本。 对电信部门而言， 它是 %,) 是一类特殊的行业， 企业级用户， 对企业用户而言， 它又是电信级用户。 它的独特的角色决定了它与传统的电信企业和传统 的 %!5 不同，这体现在： %,) 有电信级的骨干网络， 或电信级的网络设备，并把这些网络设备互相连起 来。传统的 %,) 业务， 给用户提供的只有如主机托 管、虚拟主机等基本服务，随着新的服务内容的出 现， 高速缓存服务、 内容分发服务以及数 6#7 服务、 据备份等都直接针对客户， 直接对客户进行服务。 这 一 切 都 对 %,) 网 络 管 理 系 统 提 出 了 很 高 的 要求， 一方面要高效、 实时且可靠地监控自身的骨干 设备、 骨干链路， 提前作出设备运行状况趋势分析、 判断，及时发现异常，最大限度地保证连续运行时 间； 另一方面还要保证为客户提供多样性的服务。 网 络管理系统 *0 28++ 什么是网络管理呢？ 简单地说， 网络管理就是对 网络进行监视和控制。按照国际标准化组织 （ %!9） 的定义， 网络管理有五大范畴： （ 1 ）故障管理： 对网络中的问题或故障进行定 位的过程， 它包括发现问题、 分离问题、 找出原因、 修 复问题。 （ 2） 配置管理： 发现和设置网络设备的过程， 它 包括获得当前网络配置的信息，提供远程修改配置 的手段， 储存维护最新的设备清单并产生报告。 （ * ）计费管理： 跟踪每个个人和团体对网络资 源的使用情况， 对其收取合理的费用； 并且增加了网
网络的 #$%&’$&% 接入层和应用层，网站托管和主机 托管是 #() 的主要业务模式， 其中主要是带宽出租 和服务器托管服务。 本 文 重 在 讨 论 #() 的 安 全 和 管 理 的 设 计 与 实 现， 这也是 #() 建设及运维中要解决的首要问题。
网络安全 0"""
网络安全是系统安全的一个有机组成部分， 网 络安全主要包括物理线路、 网络设备的安全性 （ 物 理层、 链路层的安全） 、 （ 网络层、 .)/1#/ 的 安 全 性 传输层的安全）等方面。互联网数据中心 （ #() ）在 网络建设中处于核心地位，其安全性直接关系到整 个网络的可靠性、 可用性、 数据的保密性， 以及用户 服务的支持度、 满意率。 物理线路、 网络设备的安全性 02 !"""" 在物理线路方面： 光纤环网其可靠性、 安全性均 较高， 但是不能排除光纤搭接窃听的可能。 在全交换 式网络环境中网络的安全性较高，但是同样存在安 全性隐患，因此在传输高度机密信息时应当使用加 密技术。 另外交换机支持 /,’%" 通过该功 3&+4’&功能。 能的设置，我们在安全程度较高的环境中控制交换 机的某一端口所连接网络设备的 56) 地址。 在网络设备方面： 存在的隐患较大， 首先是物理 设备本身的安全性，这可以通过各种管理手段来进 行控制； 其次是网络服务的安全性 （ 例如： 非法用户
80
!"#$% &%’% !())*$#!%’#($+ )% , -..- $/ 0 1
可以通过远程登录到路由器 ! 交换机上进行系统配 置或 "#$ 软件的破坏，致使物理设备完好无损， 但 ，因此我们 是不能进行路由 ! 局域网交换的功能） 应 当 通 过 %%% 的 实 施 来 控 制 。 所 谓 %%% 是 %& ’ 、 、 ()*+(,-.(,/+ %&()/0,1.(,/+ %--/&+(,+2的 缩 写 ， 即 认 证、 授权、 记账功能， 简单地说： ・认证： 用户身份的确认， 确定允许哪些用户登 录， 对用户身份的校验。 ・授权： 当用户登录后允许该用户可以干什么， 执行哪些操作的授权。 ・记账： 记录用户登录后干了些什么。
包含通信双方的 "9 地址、 端口号。软件支持包过滤 的防火墙技术， 通过在路由器上设置防火墙我们可 端口范 以控制通过路由器的数据包的 "9 地址范围、 围， 实现哪一个 "9 地址允许访问内部网络的哪一个 主机的什么应用程序的控制， 例如： 允许 主 机 % 可 以 6*B+*( 到主机 A 上， 但是不允许主机 %:: C69 到主 机 A 上， 从而起到网络安全控制的作用。 ・?%6 技术（ ?*(D/0E:: ） ： 通 %FF0*GG: 60.+GB.(,/+