全部栏目

首页 旅游资讯 线路攻略 景点大全 国内游 境外游 美食特产
您的当前位置:首页正文

大型企业网络设计与实现

2021-11-14 来源:客趣旅游网
大型企业网间网设计与实现

一、 引言:

在网络技术不断发展的今天,大型企业网络建设面临多种网络技术的选择。选择怎样的网络技术来满足企业未来发展的需要,是摆在各大企业面前的一个课题。虽然网络技术在飞速发展,但企业网络建设有其内在规律,把握这些内在的规律,将有助于指导大型企业的网络建设。

本文定义的大型企业网络是跨地域和有层次的网络。企业的网络层次和行政结构相对应,网络层次在二层或三层以上,网络连接可能是跨地市、跨省的,也可能是全国范围的。例如,银行、国税系统,民航、铁路、政府办公系统等都是跨地域,多层次系统,在网络建设上都有其共同的特点。从总体上说,企业网络涉及到系统软件平台、硬件平台,布线系统,局域网建设,广域网建设,应用软件(包括业务应用和WWW服务等)、网络安全,网络管理等方方面面。

本文从大型企业网络设计的角度介绍大型企业网络的设计和实现方法。

一、 企业网络建设过程的几个阶段

企业网络建设总体上分为设计阶段、实施阶段和网络管理维护

阶段。从网络设计的角度来讲,分为应用驱动法和基础设施法。应用驱动法是采用根据应用需求,从工作组网络、楼宇网络、园区网络到广域网络的由近到远的设计方法。基础设施法是根据基本的网络规划,采用从广域网络、园区网络到楼宇网络的由远及近的设计方法。

企业网络建设过程分为如下几个阶段: 1、需求分析阶段。

通常大型企业在网络建设中已有部分的网络环境,这些网络环

境能满足当时网络应用的需要。但网络可能是一个个孤立的小岛,只能在局部范围内实现网络应用及资源共享,企业网络没有形成一个整体。企业网络规划时,要考虑网络建设的整体性,既要保护原有的投资,又要在网络技术的选型上有前瞻性。网络需求分析主要是根据企业业务发展需求和企业信息技术应用需求,提出企业网络建设的总体目标和关键技术指标。 企业网络需求分析包含如下几方面:

 网络标准和协议要求。

 全网络信息点分布需求,包括局域网布线结构要求,广域网传输介质要求。  网络层次划分及网络拓扑结构要求。  结合应用的网络设备处理能力和带宽要求。  局域网和广域网要求。

 Internet接入,外网接入,防火墙技术要求。  企业网络应用要求。

1

 网络设备选型要求。

 网络应用和网络技术的关系(如多媒体、IP话音和网络结构的要求)。  网络可靠性、扩展性和安全性要求。  网络管理要求。 2、网络规划阶段。

企业网络规划是从企业网络需求分析到企业网逻辑设计中间必经阶段,主要根据企业网络需求分析得出分离的、外在的技术指标(如用户数、桌面微机的站点数、最大响应时间要求等等)。运用企业网络本身内在的规律和关联算法,得出整个企业网络内在的技术框架和技术指标(如桌面带宽要求、主干带宽要求、服务器处理性能要求等等)。

3、网络逻辑设计阶段。

网络逻辑设计阶段主要根据企业网络需求分析结果,根据企业网络规划的内在技术指标,按照计算机网络设计的经验和方法,在现有的可行的网络技术范围内,设计企业网络的连接结构、协议结构以及每个网络的功能结构。

企业网络设计主要确定网络的连接结构,网络节点的类型、 功能和容量。网络传输链路的类型和容量,以及网络安全控制结构和网络管理结构。

4、 网络物理设计阶段。

网络物理设计主要确定实施网络逻辑设计方案的厂家产品的类型、数量和具体配置,以及与网络逻辑设计方案中连接结构相吻合的物理拓扑结构。

5、 网络实施阶段。

网络实施阶段主要是采购所需的硬件设备和软件系统,以及安装、调试和测试网络系统。

6、 网络维护和扩展阶段。

在企业网络通过测试之后,网络就进入了运行、维护和扩展阶段。企业网络的运行维护阶段的主要工作是对企业网络的日常维护和管理,包括网络配置管理、性能管理、故障管理、安全管理和用户帐户管理,对企业网络的预防性测试和容量的规划。

二、 企 业 网 络 层 次 结 构 分 析 及 其 模 块 化 设 计 思 想

大型企业网络层次结构与企业的行政结构相对应,一般至少有

二层,也有三层和四层结构。多于四层的结构作为远程访问服务层看待。我们从网络的层次划分上分析探讨多层网络模块化设计思想。

大多数企业网络都可以被层次性划分为三个逻辑服务单元(Backbone)、区域网(Distribute)和访问网(Local-access)。骨干网的主要目的在于完成分布于不同区域或逻辑组的路由最优化通信;区域网主要是完成网络流量的安全控制机制,以使骨干网和访问网环境隔离开来;访问网主要是支持客户机对服务器的访问。 2.1 模块化网络设计方法

模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。实质上,模块化方式把网络划分为一个个子网,因此网络节点和流量变得更容易管理。层次化的设计方法同时也使网络的扩展更容易处理,因为新的子网模块和新的网

2

络技术能被更容易集成进整个系统中,而不破坏已存在的骨干网。

层次设计方法可为网络带来以下三个优点: 1、层次性网络的可扩展性

可扩展性是在包交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络,而不会遇到非层次性网络或平面性网络很快所遇上的问题。但是,层次性网络同时也提出了一定的问题需要仔细考虑。这些问题包括:虚电路的费用,层次设计(尤其是网状拓扑〕的内在复杂联系,以及需要额外的路由器接口来划分网络层次。

为了获得层次性网络结构的优点,你必须使你的网络层次结构充分与你所在地区的拓扑相符合。设计取决于你所使用的包交换模式,以及你所想要的容错能力、网络性能和网络造价。

2、层次性网络的可管理性

• 使网络简单化--通过把网络元素划分为小单元、层次化,降低了整个网络的复杂性。

这种网络单元的划分使故障诊断变得清晰和简单了,同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。

• 使设计更灵活--层次化设计使得骨干网和区域网之间的包交换形式更具灵活性。很多

网络都得益于使用混合方式来构造整个网络架构。在大多数情况下,可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。

• 使路由器管理更容易--由于层次化网络结构使网络分层,相对缩小的网络区域使路由

器的邻居或对等通信端数量减少,因此路由器的配置变得简单化。 3、优化广播和多点广播的流量控制

在包交换网络中,减少路由器之间广播信息量的最直接方法就是使用更少数目的路由器组,通过层次化模块设计可以较好地控制网络中的广播。通常在包交换网络中最常见的路由器之间的广播信息流量是路由更新信息,如果在一个区域或一个层次中有太多的路由器,那么就会因为广播的原因而造成网络瓶颈。层次化的网络结构使你可以对区域网向骨干网的广播作出限制。

根据这种层次化网络设计思想的原则,我们可以把企业Intranet网络工程的整个网络体系结构分为以下三层或四层结构二级或三级网络主干:即由企业中心节点与二级节点组成一级主干网络,由二级节点和三级节点构成二级网络,三级节点和四级节点构成三级网络。如下图2.1所示:

3

企业全国中心 一 级 主 干 网 络二级节点二级节点 二 级 网 络三节点三节点三 级 网 络四级节点四级节点接入节点

图2.1 2.2

评估一级主干网络的服务

如图2.1所示的一级主干网络所能提供的功能特性包括如下几个部分:

 主干网络带宽管理:

为了优化主干网络的操作,路由器提供几种性能调节方法,如优先权队列管理和数据压缩,动态路由协议权值定义,动态路由协议发包时间间隔优化,协议本地确认等优化和节省广域网带宽。  数据传输路径优化

路由器最主要的特点之一是在逻辑网络环境内,自动选择最优路径传输信息。 路由器依靠路由协议(静态和各类动态路由协议)完成最优路径查找工作。路由协议是在网络第三层上操作,并且各类网络协议有相应路由协议支持。如,在IP网络环境中,Cisco公司的所有路由器支持所有路由协议,如OSPF Routing,RIP Routing,IGRP Routing,E-IGRP Routing,BGP Routing,EGP Routing and HELLO Packet。

路由收敛问题:路径选择涉及的相关问题是路由收敛。当网络发生变化时,如主干网上路由器关机或故障,或通信线路的故障,或主干网上路由器配置变化等,都会引起路由表的改变,这种改变过程引起网络不能正常工作。因此,选择收敛速度快的动态路由协议和避免路由慢收敛问题是网络设计的关键问题之一。

 优化传输队列

4

主干网上信息传输可以分成不同的优先级别,将重要的信息定为高优先级别,优先传输。路由器可以对诸如不同协议类型,不同传输层协议,不同的应用类型设定不同的传输优先级。对IP协议来讲,在网络应用层,可对诸如TELNET,FTP,SMTP,WWW等应用进行传输队列优先权的设定,以确保重要数据优先传输。对传输队列的优化是在各类协议及子协议基础上进行,如下图所示:

Taffic sent to router without any priorityRouterTrafficUDPBridged LATDECnetTCPTelnet FTPALL OTHERTRAFFICPriorityHighpriorityMediumPriorityNomal priorityLow priorityBackbone NetworkTaffic sent tobackbone in order of priority

负载均衡

Priority Output Queuing路由器支持多链路的负载均衡,最多可支持四条负载均衡链路,每条链路的负载阀值可以调整。 

路径备份

一级主干网上传输的都是重要信息,一级主干网的路径备份就特别重要。考虑到投资成本,不要求主干网上所有路由器都双链路连接,而只考虑主干网上各中间节点到中心节点的双链路连接,各中间节点之间可以无链路连接。各中间节点之间的通信都跨越全国中心的路由器实现。因此,全国中心路由器必须具备强大的处理能力。 2.3 评估二级主干网络的服务

如图2.1所示,我们对二级主干网络作如下评估。 

区域和服务过滤

信息流的过滤是建立在区域的划分和服务类型上。来自区域内部的信息不必要跨越广域

网一级主干网络,这样可以减缓一级主干网络的通信压力。同时,在区域内部可以针对网络服务类型(如TELNET,FTP,SMTP等)和网段地址作访问控制,这样可确保重要数据的访问安全性。在路由器中,设置access-list,路由器判定满足条件的信息包通过网络。 

基于策略的信息分发

基于策略的信息分发的目的是确保传输性能和信息的完整性。在网间网中,这种

5

策略可以定义成一个规则或一组规则,以此来控制跨越广域主干的端对端的数据传输。例如一个部门,它可能有三种网络协议要跨越主干,但只希望携带重要应用的一种特殊的协议快速通过主干。另一部门,由于主干网络过于繁忙,此时只允许e-mail跨越主干等。 

路由协议的一致性

我们建议一级和二级广域网主干动态路由协议应是一致的,并采用开放的路由协议如ISIS或BGP4或OSPF。采用那种动态路由协议,要根据企业的网络结构和部门间的隶属关系确定。 

介质转换

介质转换技术是将不同网络链路层上的帧的格式转换为另一网络帧的格式,例如以态网与令牌环网的转换。由于区域内网络环境较为复杂,厂家必须有相应的设备支持。 2.4评估接入访问服务 接入访问服务包含如下内容: 

网络增值地址

网络增值地址(helper network address)是用来解决一些特殊的信息传输,使得原来是广播方式的传输变为多点传输。这样,可以减少网络的广播压力和路由器的负载。例如,Novell客户端原来通过广播方式查找它的服务器,而如果服务器不在本网段,广播信息必须通过路由器。使用helper address后,就允许在一个网络上的节点直接向另一个网络上的服务器发送信息,而不用经过路由器。 

网段

局部访问服务的基本要求是将网络分成若干网段,每个网段实施各自的信息传输策略,通过路由器从而实现各网段广播信息的相互隔离,减少主干网络的拥塞。确定网段,是通过子网掩码实现的。灵活的网段划分,通过路由器access-list网段地址过滤,可以实现灵活的网络安全访问控制策略。 

广播和多点广播

如上所说,路由器能隔离网段的广播信息。然而,如果需要,路由器可以中继广播。通过路由器中继某些广播以达到一定的目的。 IP的多点广播是从一个站点向指定的多个目的站点发布信息,而不是向每个站点发布信息。IP的多点广播为视频会议,股票交易等提供出色的服务。参与多点广播的计算机,必须运行IGMP协议。路由器配置IGMP(Internet Group Management Protocol) 后,可以实现位于不同网段内的计算机的多点广播。 

安全策略

如果所有信息被所有员工随意访问得到,那么安全侵犯和不正当 的文件访问就不可避免。为了避免这些问题,路由器要做如下工作:

6

 

防止局部网络信息不正当地进入网络主干 防止网络主干的信息不正当进入部门或工作组

实现这两大功能的手段是路由的包过滤。一方面,包过滤能控制未受权的用户访问,增加安全性,同时能减少网络的拥塞,减少网络问题的发生。

路由器有一整套信息过滤策略。如对地址的访问过滤,对协议的访问过滤,对应用层的

访问过滤。具体地说, 

在以太网环境下,有一台主机能Telnet到Internet的某一台主机,不允许Internet

上该主机Telnet到这台主机上,但可以作SMTP的访问。   

只允许一个网段通过OSPF动态路由协议,其它网段OSPF被禁止。 限止某些主机访问某些网段。 限止某些网段访问另一些网段。

上述访问控制手段是常用的方法。另外还有远程访问控制,通常采用认证机制。对于MODEM

访问方式的站点,可采用TACACS(Terminal Access Controller Access Control System) 认证机制。对电话拨号站点,运行ppp协议,可采用chap或pap 认证机制。 

路由器查找

主机必须知道其网关地址才能通过路由器访问别的网段。可以用人工或动态路由的方式

配置主机的网关地址。主机至少有一个路由器局域网端口地址作为其网关地址。但是,当有多个路由器时,主机如何确定其网关地址呢?一般来说,主机选择那台能到达目的站点最佳路径的路由器作为其网关,这种情况涉及路由器的查找。支持这种查找的相关协议有以下几种:

   

通过对上述网络分层服务的分析,我们得出结论:对于大型企业Intranet网络工程来说,要想建设成为一个全国性的、网络性能优良的、网络控制极为灵活的、具有很强扩展能力和升级能力的大型企业综合性网络,那么在网络设计中就必须采用层次化的网络设计思想。

三、 企 业 网 间 网 路 由 协 议

我们对企业网络的层次结构及相应的网络服务作了系统的分

析,各层次的网络服务是建立在网络协议第三层动态路由或静态路由基础上。由于各类网络动态路由协议都存在算法上的缺陷,没有一种全优的网络动态路由协议能完全满足企业

End System-to-Intermediate System(ES-IS)协议 ICMP Routing Discovery Protocol(IRDP)协议 Proxy Address Resolution Protocol(ARP)协议 OSPF和RIP协议

7

网络运行的需要。因此,网络动态路由的选择必须和整体网络结构相协调,同时和企业网络的运行方式、运营成本相协调。 为此,我们简单介绍几种路由协议:

3.1、RIP(Route Information Protocol) 路 由 信 息 协 议

RIP路由协议与UNIX和TCP/IP紧紧地联系在一起的。在互连网中RIP是最常用的路由协议。

作为广泛使用的一种距离矢量(Distance Vector)路由协议,RIP路由协议有如下特 点:

 基于距离矢量路由协议

路由器根据距离选择使用路由。当计算的那条路径为最短路径 时,路由器确定这条路径

为最佳路径并维持这条最佳路径。当新的路由比 原路由更佳时,由新路由将替代老的路由。 

具有学习功能

路由器定时向每个邻近网络广播报文,通过路由器间相互学习, 不断更新自己的路由。

仅以跳数(hop count)作为距离度量

在路由器的路由决策中,要考虑的因素可以很多( 例如:带宽、 延迟、可靠性、路由

等),如果参加决策的因素越多,路由策略的最佳路由更加趋于合理,对网络的描述更加精确。所以RIP路由协议仅将跳数作为距离度量有缺陷的。 

最大站点数为15

RIP 协议允许最大站点数为15,任何超过15个站点的目的地均认为不可达到的。RIP最大站数大大限制了大型网间网环境的应用。 

每30秒向相邻路由器广播一次路由信息

RIP路由协议采用了不少计数器,路由新计数器通常被设计为30 秒。保证每个路由器在每30 秒向其邻接路由器发送一次路由表。

3.2、OSPF(Open Shortest Path First)开放式最短路径优先协议

80 年代中期,由于RIP 路由器协议越来越不适应大规模异构网络互连。OSPF作为IETF(网间工程任务组织)为IP 网络开发的一种IGP(内部网关协议)协议,克服了RIP 路由协议的缺点。其采用SPF(Shortest Path First)算法,基于链路状态路由协议。OSPF路由协议有如下特点:

 需要每台路由器向同域(Area)的所有其它路由器发送链路状态广播(LSA)信息。路

由器收集有关的链路状态信息,并根据SPF的算法计算出到每个结点的最短路径。同域内的路由器共享 相同的拓扑信息。  路由选择的分级

8

与RIP 路由协议不同,OSPF可在一个域(Area)内进行路由选择。域的最大集合是自治域(AS)。AS 是共享同一路由选择策略的网络集合。

一个自治域AS可分为多个域(Area),域是由相邻的网络和连接的主机组成,如图3.2.a所示。

根据源点和目的地是否在同一域内,OSPF有两种类型的路由 选择方式: 当源和目的在同一区域时,采用域内路由选择。 当源和目的不在同区域时,采用域间路由选择。

由于有域的概念,OSPF路由协议比那些不将AS分区的情况下 所需传送的路由信息少得多。

 支持VLSM(Vanable Length Subnet Mask)可变长度子网掩码技术。 由于每个发布的目的地均包括IP子网的掩码,从而可利用子网掩码将IP网络分为不同大小的子网,这种方法可节省IP 地址空 间并给网络管理员管理带来灵活性。

 对带宽和CPU等资源消耗

这个SPF 算法占用了CPU 的资源,一般来说与运算量与网内链路数目与路由器数目乘积成正比。另外当SPF 路由器通电, 初始的链路状态包泛滥(Floodting)占用网络带宽,这些情况都是在网络设计中要考虑的。

3.3、EIGRP(enchansed Interior Gateway Routing Protocol)

EIGRP 即为CISCO公司所提出的IGRP路由协议的增强版。它 是 一种混合型的路由选择协议,它结合了链路状态协议及距离矢量协 议的优点,包括以下特点:

 快速聚合---增强IGRP使用扩散更新算法(DUAL Diffusing Update Algorithm)

来快速达到聚合,运行EIGRP 的路由器存储有相邻路由器的路由选择表,因此能快速地适应路由的变化, 若不存在合适的路由,EIGRP 查询其相邻的路由器,以发现一个不同的路由,这种查询传播一直持续到新的路由发现为止。

 变长子网掩码---EIGRP包括全支持变长子网掩码,子网路由 自动汇集到一个网络

号边境上,除此之外,EIGRP 能被配置集中在任意接口的任意位边界上。

 部分、界限修改---EIGRP路由并不周期性地作修改,只是当 某路由的计量发生变

化时,才发送部分更新。自动更新的信息是自动定义其边界,所以只有那些需要这类信息的路由器才修 改其路由表,因为EIGRP 具有这两种功能,因此它比IGRP、OSPF 消耗的频宽更少。

 支持多种网络层---EIGRP 支持Appletalk、IP以及NOVELL 等 多种协议。 3.4、 静 态 路 由 协 议

以上我们介绍的均为动态路由协议,当然还有另外一种路由 协议便是静态路由协议。静态路由协议是由网络系统管理员人工定 制的,需要制出一切所需的路由。其优点为不会

9

产生动态路由所特 有的路由信息广播或路由信息、更新或HELLO 从而不会在系统资 源:内存、CPU、带宽等方面制成额外的开销。但其缺点为会给系统管理员的管理工作带来大量的工作,其次,由于路由是静态的因 而不能适应网络的动态变化的需要而改变路由。 在上面的介绍中我们可以看出,作为一个大型综合企业网的内 部路由协议可供选择的实际上有静态路由、IGRP、EIGRP和OSPF。而当我们进行一个大型网络IP协议的选取时,需考虑以下两方面的因素:

• 网络路由聚合时间 网络路由环境的可维护性

3.5 动态路由比较

EIGRP是Cisco公司开发的一种先进的路由技术,它结合了距 离向量( DV )协议和连接状态( LS )协议的优点,采用了扩散更新算法(DUAL Diffusing Update Algorithm)达到网络的快速收敛。EIGRP 支持层次化和平面网络结构,支持VLSM 网络地址分配,可在任意位边界对直接相连的网络进行路径叠合,只有在网络变化时 EIGRP才发送路由表更新信息,因此广域网带宽浪费很少,DUAL Diffusing Update 算法使其具有最好的收敛性,EIGRP 采用五维参数来决定最佳路径:带宽、时延、可靠性、线路负载和最大数据包尺寸,不同带宽的平行线路可负载平衡地同时传输数据 。它采用模块化软件支持IP、IPX 和AT 协议。

OSPF是标准的、基于最短路径优先( 连接状态) 的、能快速收敛的路由协议,它只适用于IP 协议。 OSPF 的网络拓朴必须是层次结构的,分骨干域和边缘域,在设计OSPF网络时最重要的是域边界的定义地址分配,域边界的定义决定了哪些路由器和连接包 括在骨干域中,哪些包括在每一个下连的域中。OSPF 支持VLSM 地址分配,其路径叠合能力有限,必须在路由器中手工设置。

在大型企业网络中,RIP 由于其固有的局限性,它已被淘汰,最常见的路由协议是OSPF 和EIGRP,它们的比较如下:

OSPF EIGRP 快速收敛 是 是 带宽利用率 高 高 内存使用 两 者 差 不 多 CPU使用 两 者 差 不 多

路由算法 dyjkstra DUAL 传输类型 Link State Distance Vector 路径叠合 有 限 任意边界 协议过滤 非常有限 非常强

10

rtg协议速率调节 无 有 多个缺省路径 无 有 区域拓朴层次 必须要 不要 开放标准 是 不是 用户端可用 是 不是 保持邻居状态 是 是 改变只传播 不是 是 到 相 关 网 络

可用于多种 不是 是 L3 协 议

负载平衡传输 非常有限 很强 网络可扩性 好 很好

从以上比较可看出,EIGRP 凝聚了距离矢量和链路状态两种 算法的精华,避免了两种算法各自的缺点,因而可达到最快速度的 聚合。由于其采用DUAL 算法,而且只有网络拓扑变化影响到的路由器才参与路由的计算,仅只有拓扑变化影响到的路由才进行广 播,因此EIGRP对CPU及网络带宽的消耗都将低于OSPF、IGRP、RIP 等路由协议。

在大型企业网络的设计中,除考虑线路的带宽、延迟、可靠性等因素外,路由表的大小、网络的延展性、路由的快速收敛同样是影响网络功能的重要因素。 3.5

动态路由协议的选择

对于大型企业网,平面结构的路由协议(如RIP,IGRP)不能满足网络性能的要求。我们推荐采用E-IGRP,OSPF路由协议,多于三层结构的网络需采用BGP4网间网协议。

OSPF协议是一层次化结构的路由协议,可将大型网络分成若干区域。如下图:

11

AS100ASBRRIPBackbone AreaABRArea1Area2Area3

区域划分可减少各路由器的路由表尺寸;利于网络扩展;支持 VLSM,可通过路径的叠合( summarization)优化地址的设计和路由的计算。

AS200ASBRBGPRoute Summarization Example

Interface Addresses(255.255.255.0 mask) Area 0 172.16.96.0 - 172.16.127.0255.255.255.0 172.16.127.1172.16.96.1R2R1R2Interface Addresses(255.255.255.0 mask)172.16.32.1172.16.64.1172.16.32.0 - 172.16.63.0255.255.255.0 172.16.64.0 - 172.16.95.0255.255.255.0 Area 1Area 2R2#router ospf 100network 172.16.64.00.0.31.255 area 2network 172.16.96.0 0.0.31.255 area 0area 0 range 172.16.96.0 255.255.224.0area 2 range 172.16.64.0 255.255.224.0

R1# router ospf 100network 172.16.32.0 0.0.31.255 area 1network 172.16.96.0 0.0.31.255 area 0 area 0 range 172.16.96.0 255.255.224.0area 1 range 172.16.32.0 255.255.224.0 在OSPF协议中,Backbone 区域是中心主干区域(Area 0),主干区域路由器保持OSPF的信息,负责各路由区域间的路由信息分配;跨接多个区域的路由器为ABR(Area Border Router),其保持所连接的区域的路由信息,并完成路径叠合功能 (summarization);当网络大到需分成多个自主系统(AS)时,跨接AS 的路由器为 ASBR,在一个自主系统中可根据上述方法选择路 由协议,而自主系统之间目前最好的办法是采用BGP协议进行互 连。

12

BGP的最新标准是BGP4(RFC1654),它支持CIDR。在每个自主系统中要定义BGP PEER路由器,用于在自主系统之间交换路由信 息。 对于OSPF的区域划分的原则为: • 每个区域内路由器不超过100个;

• 每个路由器接口的相邻路由器不超过60个; • 每个路由器所属区域不超过3个; • 所有区域必物理地连接到主干区域; 四、 企 业 广 域 网 链 路 选 择

我们从理论上分析了大型企业网络的层次结构和动态路由协议。通常企业租用ISP的通信线路,按照设计好的层次结构进行广域连接。在申请通信线路时要综合考虑企业业务需求、QOS、运行维护费用等多种因素。

ISP提供多种通信链路来满足企业用户非实时网络应用的需求,如X.25,DDN,帧中继,PSTN等。也可以选择拨号VPN技术,专线VPN技术。也可使用标记交换技术,MPLS技术等。选择通信类型要根据运营成本和运营效率综合考虑。

对于广域网上实现语音、图像等多媒体应用的广域网DDN,FrameRelay和ATM都能实现,但从运行费用和服务质量保证来看,采用ATM作广域链路是较好的选择。目前,国内ISP没有开放ATM业务,但企业如有需要可以申请ATM服务。 五、 企 业 园 区 局 域 网 设 计 (1)企业园区局域网络采用虚拟交换网络

从网络的性价比来看,企业的局域网络逻辑结构采用交换虚拟网技术已是大势所趋。

交换虚拟网络是基于ATM和局域网交换机为平台的技术,其目标是真正建立一个可以满足未来多媒体信息处理时代需要的企业网络。

从长远角度看,采用交换虚拟网络技术可以降低组建企业网的成本、提高信息技术与企业发展的适应能力。交换虚拟网可以满足企业网络在以下几个方面对计算机网络的需求:

• 通过交换技术,向最终用户提供更高的带宽。

• 可以向不同用户、不同应用提供所需的服务质量保证的网络服务。

• 提供完整的网络管理和控制系统,控制网络成本,特别是隐含的网络成本开销,例如网络管理、网络控制等方面的开销。

• 在外围提供前面的网络互连和系统集成方案,提供端到端的解决方案,提高网络互连性和可靠性,减少网络扩展的成本。 • 构造虚拟工作组网络以支持虚拟工作组工作。 (2)企业局域网络的主干交换

企业局域网络主干的作用就是互连网络的各个部分,传递分布到网络各个部分的数据流。主干网必须具有高效率、高可用性特征,在主干上任何一点不合理的延迟都是灾难性的! 采用ATM交换技术可以提供边缘交换机之间的高速连通性、可靠性和服务质量保证,以及支持多种数据流类型,如IP、IPX、DECnet。利用ATM技术的高效拥挤控制和流量控

13

制,高可用性和功能全面的网络控制,动态用户组管理及有效的流量管理,满足大批量数据传输对带宽的需求,同时满足多媒体应用对不同类型信息流和不同服务质量的需求。 采用千兆以太网技术可以提供极高的网络主干带宽,并融合传统的以太网技术和交换技术,给终端用户提供满足应用需求的带宽。虽然在带宽上满足终端用户的需求,但在网络的流量管理上和服务质量上不及ATM。

企业局域网络还可以采用第三层或第四层交换技术,以满足网络主干在性能上的需求。 (3)企业园区楼宇网络设计

企业园区楼宇设计必须基于建筑物内已有的或者可能设置的布线结构进行设计,同时要考虑每个楼宇内信息资源中心的设置,局域网之间的数据通信类型和可能通信量,局域网之间需要设置的安全访问控制策略,确定网络互连模式和结构。楼宇内设计采用路由互连技术、ATM交换互连网技术和虚拟局域网组网技术。

楼宇网络设计需要考虑如下问题:

• 楼宇内部如果没有干扰,而且传输距离在100米之内,一般采用双绞线作为网络的传输媒体。如果楼宇内部有电磁干扰,可以采用光纤作为传输媒体。如果楼宇内部的传输距离大于100米,可以采用互连设备的级联,也可以采用光纤作为传输媒体。

• 在采用同一局域网技术的工作组网络互连时,如果可以共享带宽,而且无安全控制需要,只是由于工作组网络覆盖的距离不够,则可以采用级联集线器的方式扩展网络。 • 在采用同一种局域网技术的工作组网络互连时,如果各个工作组需要独立的传输带宽,则通过局域网交换机连接。

• 采用不同局域网技术的工作组网络互连时,如果互连的工作组网络较少,各个工作组之间无需提供安全访问控制,而且,各个工作组网络之间需要提供快速连接,则采用支持多种局域网接口的交换机。

• 采用不同的局域网技术的工作组网络互连时,如果互连的工作组网络数量较多,各个工作组网络内部有较大的广播报文,或工作组网络之间需要有较为严格的安全访问控制,且在工作组之间没有多媒体应用,则采用路由器互连各个工作组网络。

• 如果工作组站点的地理分布,与其它工作组网络站点地理分布重复,则需要在同一地理区域采用同一局域网交换机连接不同工作组网络站点,通过交换机构成符合工作组划分的虚拟网络。

• 对于具有多媒体应用的点到点站点网络服务质量保证的传输信道,采用ATM技术,到桌面采用25M ATM连接。

• 服务器设备接入:采用光纤155M ATM接入或光纤100M以太网接入。重点终端用户采用光纤接入核心交换机,实现安全传输。 (4)企业园区虚拟局域网

网络厂商相继开发了“开放”互联技术VTP(VLAN Trunking Protocol),支持的标准是ISL、802.1Q,MPLS。ATM交换机和局域网交换机为虚拟局域网提供了基础平台。虚拟局域网为企业局域网络带来的三个好处是:

14

• 在最大限度地减少对路由器依赖的基础上,有效地控制局域网内 的广播流量,提高站点的传输效率。

• 减少由于网络站点的增加、移动和更改而增加的网络维护成本。 • 业务部门工作组的逻辑组合更为灵活。

在VLAN的划分中,都与“群组”这个概念有关。群组是指局域网交换机的一个集合。每个交换机支持的群组数目有一定的限制。因此,在网络规划时,必须考虑业务部门逻辑工作组的数量,并选择相应的交换机型号,使得交换机的VLAN数量和处理性能满足业务应用需要。一个群组可以包括全网中不同交换机的端口,每个群组可以看作是一个独立的通信域。如果不使用路由功能,则一个群组中的通信量不能转发到另一个群组中,群组的特征如下:

(1)一个群组是一个广播域;

(2)一个群组是交换机物理端口的集合; (3)群组可以跨越多个交换机;

(4)群组不能相互重叠,即每个端口只能属于一个群组; (5)群组之间的帧可以通过路由转发;

(6)同一群组中不同的VLAN的帧也可以通过路由转发。

群组的概念实际上是基于以端口为基础的VLAN。还有其它类型的VLAN划分: (1)基于MAC地址的VLAN划分,这种VLAN划分方法灵活,但管理复杂;

(2)基于协议规则的VLAN划分,把具有相同的第三层协议网络站点归并成一个VLAN。

这些站点连接的交换机端口构成一个广播域,以减少在同一网络环境下不同协议栈之间的相互干扰。选择不同的协议类型构成不同的VLAN:1、所有IP协议流量;2、所有IPX协议流量;3、所有DECnet协议流量;所有AppleTtalk流量;4、所有指定以太类型的流量;5、所有携带指定源点和目的点SAP(服务访问点)报头的流量;6、所有携带指定SNAP(子网访问协议)类型的流量。 (3)基于网络地址的VLAN。

用IP地址和IP网络掩码划分网段。 (4)基于用户定义规则的VLAN。

六、 企 业 网 络 与 外 网 连 接

企业网络与外网的连接发生在企业网络的各个层次上,其中

包括Internet接入等。我们称企业内部网为内网,企业外部网为外网。显然,内网和外网间加装防火墙。

通常,内网和外网间采用静态路由或缺省路由。内网和外网的信息访问通过防火墙进行过滤。

内网和外网的连接如下图所示:

15

网管工作站认证服务器移动用户移动用户散点用户散点用户内部 服务器 PSTNDDN/FR/ATM外部 WEB服务器 企业内网 Firewall外网ATM SwitchRouter散点用户Access ServerLAN Switch移动用户网管工作站WEB 服务器DNS 和认证服务器 七、 企 业 网 络 安 全 访 问 控 制 机 制 7.1企业安全系统的设计目标是:

(1)防范黑客攻击、计算机犯罪和有害信息传播(包括计算机病毒) (2)加强应用和数据的安全

建立安全管理制度,注意内外兼防,重点在内部 7.2安全框架

安全方案的科学性、可行性是其顺利实施的保障。

安全方案必须架构在科学的安全框架之上。安全框架是安全方案设计和分析的基础。 美国国防部DISSP(Defense Wide Information System Security Program)计划中提出的三维安全框架结构,是事实上的标准,反映了信息系统的安全需求和体系结构的共性。其简化的版本说明如下(安全框架是一个三维结构): 第一维(X轴)是安全特性,给出了七种安全属性;

第二维(Y轴)是系统单元,给出了信息网络系统的组成 ; 第三维(X轴)是结构层次,给出了国际标准化组织ISO的开放 系统互连(ISO)模型。

16

安全框架的具体模型和介绍如下:

结构层次

应用层 表示层 会话层 传输层 网络层 链路层 物理层

身份鉴别访问控制数据保密数据完整不可抵赖审计管理可用性、可靠性 网络平台 系统平台

系统单元 应用平台

安全管理 物理环境

7.3安全方案的制订

根据安全框架制订安全方案的具体思路如下:

确定安全方案涉及的系统单元,明确安全方案系统单元; 确定安全方案系统单元在各个层次结构的安全特性。 安全方案的组成如下: 网络平台安全方案 系统平台安全方案 应用平台安全方案 物理环境安全 安全管理方案 7.4网络平台安全方案

安全特性

7.4.1网络系统方案功能要点

1)访问控制。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。

检查安全漏洞。通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。

攻击监控。通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 2)加密通讯。主动的加密通讯,可使攻击者不能了解、修改敏感信息。

17

3)认证。良好的认证体系可防止攻击者假冒合法用户。

4)备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,及时地恢复数据和系统服务。

5)多层防御。攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 6)隐藏内部信息。使攻击者不能了解系统内的基本情况。

7)设立安全管理机构。为信息系统提供安全体系管理、监控、保护及紧急情况服务。 7.4.2网络平台安全措施

网络平台的安全措施应涉及局域网、广域网、互连网、防病毒和防黑客共五个方面。 7.4.2.1局域网的安全措施

由于局域网中采用广播方式,因此,本广播域的信息传递都会暴露在黑客面前。可采取下列措施提高安全性:

(1)网络分段

网络分段是保证安全的一项重要措施,将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。

网络分段可分为物理分段和逻辑分段两种方式:

物理分段通常是指将网络从物理层和数据链路层上分为若干网段,使各网段相互间无法进行直接通讯。逻辑分段则是指将整个系统在网络层上进行分段。把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。

(2)VLAN技术

虚拟网技术主要基于局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

采用应用交换器和VLAN技术,可将广播转变为点到点通讯,从而防止大部分基于网络监听的入侵手段。

通过虚拟网设置的访问控制,也可使在虚拟网外的网络节点不能直接访问虚拟网内节点。

7.4.2.2广域网安全措施

广域网采用公网传输数据,在广域网上传输的信息可能会被不法分子截取。因此在广域网上发送和接收信息时要保证:

(1)除了发送方和接收方外,其他人是不可知悉的(隐私性); (2)传输过程中不被篡改(真实性);

(3)发送方能确信接收方不会是假冒的(非伪装性); (4)发送方不能否认自己的发送行为(非否认)。

18

有效的方法是对传输的信息进行加密,采用数据签名和认证技术 加密技术

数据加密技术分为三类,即对称型加密、不对称型加密和不可逆加密。

对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难。

不对称型加密算法也称公用密钥算法,其特点是有二个密钥,只有二者搭配使用才能完成加密和解密的全过程。适用于分布式系统中的数据加密,在Internet中得到了广泛应用。

不对称加密的另一用法称为“数字签名”(digital signature)。在网络系统中应用的不对称加密算法有RSA算法和DSA算法(Digital Signature Algorithm)。

不可逆加密算法的特征是加密过程不需要密钥,不可逆加密算法不存在密钥保管和分发问题,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的。

数字签名和认证技术

认证技术主要解决网络通讯过程中通讯双方身份的认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。

认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。

数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。

(5)远程访问的安全性

从外部拨号访问内部局域网的用户,由于使用公用电话网进行数据传输,必须严格控制其安全性。

首先,应严格限制拨号上网用户所能访问的系统信息和资源,这一功能可通过在拨号访问服务器后设置的防火墙来实现。

其次, 应加强对拨号用户的身份验证功能,使用TACACS+、RADIUS等专用身份验证协议和服务器。一方面,可以实现对拨号用户帐号的统一管理;另一方面,在身份验证过程中采用PGP加密手段,避免用户口令泄露的可能性。

第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP,对数据直接加密。另一种方法是采用防火墙所提供的VPN(虚拟专网)技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。 7.4.2.3互连网的安全措施

对网络安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带

19

来的安全性问题予以足够重视。

大型网络系统与Internet互连的第一道屏障是防火墙。其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。

防火墙能做到: 保护脆弱的服务

通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险。 提供对系统的访问控制。

对企业内部网实现集中的安全管理,防火墙所定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。 增强的保密性

可以阻止攻击者获取攻击网络系统的有用信息

记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,还可以提供统计数据,用以判断可能的攻击。 但防火墙做不到:

停止所有外部入侵; 完全不能阻止内部袭击; 防病毒;

终止有经验的黑客; 提供完全的网络安全性。

因此,系统还应该具备防病毒和防黑客的功能。 7.4.2.4防病毒的安全措施

由于Internet的迅速发展,将文件附加在电子邮件中的能力不断提高,使得病毒的扩散速度急骤提高,范围越来越广。

(1)多层病毒防卫体系

为了企业的财产免受损失,多数企业都选择多层的病毒防卫体系。多层病毒防卫体系,是指在企业的每个台式机上要安装台式机的反病毒软件,在服务器上要安装基于服务器的反病毒软件,在INTERNET 网关上要安装基于INTERNET网关的反病毒软件。

(2)市场反病毒产品

目前市场上有各种反病毒软件:第一种是高级桌面反病毒套装软件。第二种是服务器级反病毒套装件。第三种Internet网的反病毒软件。 7.4.2.5 防黑客的安全措施

(1)入侵检测

记录和统计网络利用数据以及非法使用数据 控制对系统的访问 集中的安全管理

20

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,这是因为:

入侵者可寻找防火墙背后可能敞开的后门。 入侵者可能就在防火墙内。

由于性能的限制,防火墙通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测不但能够对付来自内部网络的攻击,也能够阻止黑客的入侵。

入侵检测系统可分为基于主机和基于网络两类。

基于主机的入侵检测系统用于保护关键的服务器,实时监视可疑的连接,检查系统日志和阻止非法访问的闯入,并且提供对典型应用如WEB服务器应用的监视。

基于网络的入侵检测系统用于实时监控网络关键路径的信息。

基于主机及网络的入侵监控系统通常可配置为分布式模式,其要点如下:

在需要监视的服务器上安装监视模块(Agent),分别向管理 服务器报告及上传证据,提供跨平台的入侵监视解决方案。

在需要监视的网络路径上,放置监视模块(Sensor),分 别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。 (2)对关键服务器的保护

由于网络的安全监控系统自身的局限性,不可避免地出会现误报、漏报等情况。因此,实时的安全监控系统为关键服务器提供了实时的保护。通过监视来自网络的攻击、非法实时监控也可配置为分布式模式,由安装在每台服务器上的监视模块进行攻击识别及动目前,此类系统可安装于NT4.0、Solaris2.5、2.6 AIX4.1.5以上的操作系统。 关于系统安全和网络安全措施,可进一步参阅第四章有关内容。 7.5系统平台安全方案

在提供关键服务的服务器上,安装实时的安全监控系统,能够使整个网络安全系统更加强健。 的闯入和异常进程,并作出切断服务/重启服务器进程/发出警报/记录入侵过程等动作。 作执行, 服务器则完成管理和记录工作。

7.5.1操作系统安全方案

网络操作系统是计算机和用户之间的接口,是管理网络资源的核心系统,它负责向通信设备发送信息,管理存储设备上的存储空间和将信息装入内存等调度工作。网络操作系统采用管理文件目录的方法进行管理,并且利用口令字标志存取控制权限,用加密及其它一些手段来提高文件的安全性。

UNIX主机在Internet上有着非常重要的地位,而Windows NT具有较好的用户界面和(1)UNIX系统的安全特性 域特性,因此它们被广大用户所采用。

21

UNIX系统本身具备良好的安全性,按照可信计算机评价标准,它达到C2级标准。它提供以下安全特征: 操作的可靠性 选择性访问控制 对象的可用性 个人身份标识与认证 审计 网络文件系统

(2)Windows NT的安全特性

Windows NT已将安全性嵌入操作系统,有选择的访问控制可使系统管理员能对单个文件赋予权限。在安全管理上,采取了分布式安全服务与集中式安全管理相结合的策略,能够简化域的管理,改善系统性能。此外,还集成了基于公用钥加密的Internet安全技术。

Windows NT用户可以使用易于使用的工具和通用的用户界面,通过对话来管理他们用于访问Inetrnet资源的私钥/公钥对和身份证书。个人的安全证书通过安全的存储方式存放。

(3)操作系统中的漏洞

几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。

(4)操作系统的安全措施

选择由大写字母、小写安母、数字组成的6个符号作为口令。 避免用有特殊意义的口令,例如实际的名字或单字。 经常定期变化口令,且不告诉别人。 对超级用户采取双口令。

注册次数限制。对于多次不正确注册的用户,进行一次性拒绝。 不断增加供货商发布的安全补丁。 在操作系统中安装网络访问控制验证工具。

7.6数据库管理系统的安全方案

7.6.1数据库系统基本安全框架

数据库系统信息安全性依赖于两个层次:一层是数据库管理系统本身提供的用户名/口令字识别、使用权限控制、审计等管理措施,另一层是靠应用程序设置的控制管理。作为数据库用户,最关心的是自身数据的安全,特别是用户的查询权限问题。对此,目前一些大型数据库管理系统如Oracle、SyBASE等产品提供了以下几种主要手段:

(1)用户分类

对不同类型的用户授予不同的数据管理权限。一般将权限分为三类:

22

数据库登录权限类; 资源管理权限类;

数据库管理员权限类。

有了数据库登录权限的用户才能进入数据库管理系统,才能使用数据库管理系统所提供的各类工具和实用程序。同时,数据库客体的主人可以授予这类用户以数据查询、建立视图等权限。这类用户只能查阅部分数据库信息,不能改动数据库中的任何数据。

具有资源管理权限的用户,除了拥有上一类的用户权限外,还有创建数据库表、索引等数据库客体的权限,可以在权限允许的范围内修改、查询数据库;还能将自己拥有的权限授予其他用户,可以申请审计。

具有数据库管理员权限的用户将具有数据库管理的一切权限,包括访问任何用户的任何数据,授予(或回收)用户的各种权限,创建各种数据库客体,完成数据库的整库备份,装入重组,以及进行全系统的审计等工作。这类用户的工作是谨慎而带全局性的工作,只有极少数用户属于这种类型。

(2)数据分类

同一类权限的用户,对数据库中数据管理和使用的范围又可能是不同的。为此数据库管理系统提供了将数据分类的功能,即建立视图。管理员把某用户查询的数据逻辑归并起来,建成一个或多个视图,并赋予名称,再把该视图的查询权限授予该用户(也可以授予多个用户)。这种数据分类可以进行得很细,其最小粒度是数据库二维表中一个交叉的元素。

(3)审计功能

大型数据库管理系统提供的审计功能是一个十分重要的安全措施,它用于监视各用户对数据库施加的动作。有两种审计的方式,即用户审计和系统审计:

用户审计时,数据库管理系统的审计系统记录下所有对自己的表或视图进行访问的企图(包括成功的和不成功的)及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在数据字典(系统表)之中;用户可以利用这些信息进行审计分析。

系统审计由系统管理员进行,其审计内容主要是系统一级命令以及数据库客体的使用情况。

例如,Oracle 8数据库具有审计发生在其内部所有操作的能力。它可对三种不同类型的操作进行审计:注册企图、对象访问和数据库操作。

注册审计:对每个连接数据库的企图进行审计。

操作审计:对影响数据库对象(如表、数据库链、表空间、索引等)的任何操作(如create、alter和drop等)进行审计。

对象审计:对对象的数据交换操作(包括对表的选择、插入、更新和删除等)进行审计。 7.6.2数据库加密

一般而言,数据库系统提供的上述基本安全技术能够满足一般的数据库应用,但对于一些重要部门或敏感领域的应用,仅靠上述这些措施是难以完全保证数据的安全性的;某些用户尤其是一些内部用户仍可能非法获取用户名、口令字,或利用其它方法越权使用数据库,甚至可以直接打开数据库文件来窃取或更改信息。因此,有必要对数据库中存储的重要数据

23

进行加密处理,以实现数据存储的安全保护。

(1)数据库加密的特点

与传统的信息加密技术相比,数据库密码系统有其自身的要求和特点。传统的加密以报文为单位,加密和解密都是从头到尾进行的。数据库数据的使用方针决定了它不可能以整个数据库文件为单位进行加密。当符合检索条件的记录被检索出来后,就必须立即对该记录解密。然而该记录是整个数据库文件中随机的一段,无法从中间开始解密,除非从头到尾进行一次解密,然后再去查找相应的这个记录。显然,这是不合适的,必须解决随机地从数据库文件中某一段数据开始解密的问题。 数据库密码系统应采取公开密钥

传统的密码系统中,密钥是秘密的,知道的人越少越好。人们一旦获取了密钥和密码体制就能攻破密码,解开密文。而数据库数据是共享的,有权限的用户随时需要知道密钥来查询数据。因此,数据库密码系统宜采用公开密钥的加密方法。假设数据库密码系统的加密算法是保密的,而且具有相当的强度,那么利用密钥,采用OS和DBMS层的工具,也无法得到数据明文。 加密机制

有些公开密钥体制的密码,如RSA密码,其加密密钥是公开的,算法也是公开的,但其算法是各人一套;而作为数据库密码的加密算法不可能因人而异,加之寻找这种算法有其自身的困难和局限性,机器中也不可能存放很多种算法,因此这类典型的公开密钥的加密体制也不适合于数据库加密。数据库加/解密密钥应该是相同、公开的,而加密算法应该是绝对保密的。 多级密钥结构

数据库关系运算中参与运算的最小单位是字段,查询路径依次是库名、表名、记录号和字段名。因此,字段是最小的加密单位。也就是说,当查得一个数据后,该数据所在的库名、表名、记录名、字段名都应是知道的。对应的库名、表名、记录号、字段名都应该具有自己的子密钥;这些子密钥组成一个能够随时加/脱密的公开密钥。

可以设计一个数据库,其中存放有关数据库名、表名、字段名的子密钥,一般的方法应是在该记录中增加一条子密钥数据字段。

(2)数据库加密的范围

数据加密通过对明文进行复杂的加密操作,来达到他人无法发现明文和密钥之间的内在关系的目的,也就是说,经过加密的数据经得起来自操作系统和数据库管理系统的攻击。另一方面,DBMS要完成对数据库文件的管理和使用,必须具有能够识别部分数据的条件。据此,只能对数据库中数据进行部分加密。 7.6.3数据库安全措施

数据库管理系统的安全性能达到C2级标准(Oracle产品能满足此要求)。 数据库对象(如表、视图、索引、触发器等)的所有权必须明确定义。

为系统安全管理员提供创建和修改用户口令的功能,而数据库管理人员应不知道用户的口令。

24

按照用户或操作行为有选择地进行审计,审计信息加以保护,防止非法访问,审核信息必须包括充分的数据,以确定“谁”在“什么时候”从“何地”访问了“何种数据”。

审核信息作为系统备份策略的一部分经常备份,在超过保留期后,旧的审核信息应归档,应提供工具,以简化数据库管理员对审核信息的访问。

用户离开后,其帐号必须注销,长期离职的情况下,其帐号应暂停使用。 应做必要的检测以防止从操作系统级越过数据库管理系统对数据库进行非法操作。 对敏感数据进行加密管理。

7.7应用平台安全方案

应用平台主要指应用软件和数据管理,其安全功能主要包括以下内容:

(1)身份认证:完成用户和服务器之间的双向身份认证,实现跨平台、跨应用系统的(2)访问控制:根据身份实现应用和服务的精粒度或细粒度访问控制,防止非授权访(3)数据完整性和保密性:在身份认证、访问控制、数据传输等过程中,对数据进行(4)审计记录:审计功能具有可扩充性,可溯性且能进行全局审计。详细记录资源被

安全单点登录,它是实现访问控制、审计和抗否认等的基础。 问。

加密保护或完整性保护。

访问情况,能跟踪到“谁”在“何时”、“何地”、“修改”、“访问了”、“何种数据”。日志加密存储在特定的目录下,只有指定人员才能读取,保证可审计性,防止否认和抵赖。

关于应用软件和数据的安全,可进一步参阅第三、五章有关内容。

7.8物理环境安全方案

物理安全和场地要求应符合国家有关保密标准,及国家标准GB-2887-82(计算机场地(1)场地安全

场地的安全是计算机房安全的基本保证,只有确保计算机场地的安全,才有可能谈其它安全问题,场地安全的要素有:

地质的可靠

避免建立在杂填土、淤泥、吹填土、流砂层的地质区域上。 环境的安全

避免计算站建立在易燃、易爆的化工仓库附近 环境的安全

考虑交通运输上的畅通性和通讯上的方便性。 场地的抗干扰 (2)机房的安全等级

计算机房可划分为不同的安全等级。有最高安全性、可靠性的系统定为A级,C级是最

技术要求)

25

低限度的安全性、可靠性,介于A级,C级之间的则是B级。

(3)计算机房各区的位置

建筑物的设计应力求减少无关人员进入机房的机会,计算机设备的位置应远离主要通道,避免机房窗房直接邻街。机房设在最内层,辅助区设在外围(如下图所示)。A、B级安全机房应这样布局,C级安全机房不要求。 辅助区 废弃物 介质库 辅助区

(4)网络设备、硬件设备和软件介质的安装与放置 必要时,系统硬件应予以固定,特别是网络接口。

在设计、筹备和建设用于安装和放置网络与硬件设备的设施时应考虑以下因素: 防火与灭火设备 水灾、大雨和漏水 地震

电源(应考虑电压波动) 不间断电源

通风设备、空调和空气加湿器 相应的防电磁信息泄漏

任何装有或存有硬件设备和数据备份介质的场所均应禁止抽烟。 7.9安全管理制度

数据输入区 数据输出区 主机区 安全办公室 程序设计人员办公室 硬件人员办公室 辅助区 7.9.1安全管理的原则

(1)分离与制约的原则 用户与开发人员分离 用户机与开发机分离 密码分离管理

26

权限分级管理

与安全有关活动必须有二人以上在场 (3)预防为主的原则 (4)可审计的原则 7.9.2制定有效的管理制度

必须制定一套安全管理制度才能保证系统的安全,应该包括下列各种管理制度: 密封安全管理 应急安全管理

系统安全需求分析、设计、评估、安全管理 应用开发安全管理 数据安全管理 系统运行安全管理 网络安全管理 软、硬件安全管理 技术文档安全管理 运行环境安全管理 人员安全管理 7.9.3设置安全管理岗位

设置安全岗位,责任到人,该岗位负责: (1)规划和实施安全技术策略

用户,用户组,角色的注册和管理 信息密级制定 设置访问授权 安全强度、划分及设置 防火墙安全策略设置 安全检测等

(2)制定和监督实施安全管理办法

八、企业网络的可靠性

企业网络的可靠性体现在网络链路备份和设备的备份上。对可靠性较高的要求意味着有较大的资金投入。由于企业业务运行模式各不相同,可靠性的要求会不同。

对于银行企业、电信移动通信运营商、电信级长话计费系统、ISP运营商和铁路客票系统等大型企业网络要求7*24小时服务。这些大型网络要求网络中心节点不但有设备冗余备份,还要有系统异地容灾备份。也就是说,在中心节点发生灾难时,不至于导致全网业务停顿和关键数据的丢失。这就要求网络在设计上要充分考虑备份切换问题,尤其要考虑异地

27

容灾备份切换问题。

对于同一地点的设备备份,无论是主机设备和网络设备,各厂商都有解决方案。 异地容灾备份问题,从如下几个方面着手: 1)建立多个备份网络中心节点。

建立多个备份网络中心节点的目的是一旦主中心节点发生灾难,可切换到备份中心。备份中心将全权取代主中心的功能,而能保证全网继续运营。切换的主要内容有系统资源,数据库资源,网络资源和应用资源。

主机系统资源的异地容灾备份各厂商有相应的解决方案。如IBM HACGEO,HP MC256,天诺的Omni均能较好地解决异地数据备份问题。 2)广域网上,建立到备份中心的链路备份连接。

很显然,单纯的异地数据备份只能保证数据不丢失,而不能保证应用的正常进行。因此,到备份中心节点的备份链路连接是十分必要的。在有冗余链路的基础上,作链路的切换将是一个系统工程。备份链路的切换与选择的广域网通信技术有密切的关系。对于使用DDN专线的用户,在作备份切换时需另申请线路,这将是漫长的过程。而采用虚电路的方式,通过网络管理软件就能实现虚电路的切换。较成熟的技术是VPN、VPDN技术,包交换技术X.25、FrameRelay和信元交换ATM。 3)大型企业备份中心节点的结构模型

全国性企业的网络采用层次化和模块化的管理体系,这在前面已经有较详细的论述。在这种层次化模块化的基础上,建立多中心的大区结构。对备份中心的选择根据企业的业务需要作出选择。我们在此给出多备份中心的网络参考模型。如下图所示:

多个备份中心网络结构宁夏黑龙江吉林哈尔滨甘肃兰州西安银川长春北京沈阳成都昆明云南南宁武汉案 广州上海南京杭州浙江核心层转接层主干链路接入链路转节链路备份链路全国中心备份中心接入节点广西 28

从物理连接上来看网络是部分网壮连接,但从管理模式上来看是层次化模块化结构,这为网络的管理带来极大的方便。 4)协调组织管理

很显然,多备份中心的建立为网络管理带来极大的挑战,需要有专门的协调工作小组负责这方面的工作。工作的主要内容是网络的日常维护,备份中心线路切换,数据迁移等。

对于银行、电信运营商和关键的政府网络如国税局、金盾工程等建立多备份中心有其必要性。对于非运营商来说,不一定要建立多备份中心,但对数据的日常维护是必要的。企业网络的可靠性还设计其它方方面面,在此仅对多备份中心的网络结构作简要描述。 九、总结

本文对大型企业网络设计作了几个方面的论述:大型企业网络建设的阶段分析;大型企业网络层次化模块化设计思想;大型企业网络的动态路由选择;大型企业局域网建设;大型企业的网络安全技术;大型企业的多备份中心的模型设计等。这些内容在宏观上指导企业网络建设。但由于企业应用的多样性和复杂性,本文不可能涉及到企业网络建设的方方面面。为此,企业的网络建设必须结合自身的实际情况作出最佳的选择。

29

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文