　　·　　　　线速NAT
　　·　　　　ACL的策略管理
　　·　　　　安全元件的策略管理
　　·　　　　VPN
　　3.1.1　　AAA服务
　　所谓AAA是（Authentication、Authorization、Accounting）的缩写，即认证、授权、记帐功能，简单的说：
　　认证：用户身份的确认，确定允许哪些用户登录，对用户的身份的校验。
　　授权：当用户登录后允许该用户可以干什么，执行哪些操作的授权。
　　记帐：记录用户登录后干了些什么。
　　AAA功能的实施需要两部分的配合：支持AAA的网络设备、AAA服务器。RADIUS/TACACS+是实施AAA常用的协议，认证软件需要有完整的记帐功能，并且可以将USER 信息直接导入软件的用户数据库，极大方便的AAA服务的用户管理。
　　在使用AAA的功能后用户通过网络远程登录到网络设备上的基本过程如下：
　　用户执行远程登录命令（例如：Telnet），网络设备提示输入用户姓名、口令。
　　用户输入口令后，网络设备向AAA服务器查询该用户是否有权登录。
　　
　　AAA服务器检索用户数据库，如果该用户允许登录则向网络设备返回PERMIT信息和该用户在该网络设备上可执行的命令同时将用户登录的时间、IP作详细记录；若不能在用户数据库中检索到该用户的信息则返回DENY信息，并可以根据设置向网管工作站发送SNMP的警告消息。
　　
　　当网络设备得到AAA的应答后，可以根据应答的内容作出相应的操作，如果应答为DENY则关闭掉当前的SESSION进程；如果为PERMIT则根据AAA服务器返回的用户权限为该用户开启SESSION进程，并将用户所执行的操作向AAA服务器进行报告。
　　通过AAA的实施我们可以方便的控制网络设备的安全性，同时结合ACL的设置限制能够进行远程登录的工作站的数量、IP地址降低网络设备受到攻击的可能性。
　　3.1.2　防DoS黑客攻击在拒绝服务（DoS）攻击中，恶意用户向服务器发送多个认证请求，使其满负载，并且所有请求的返回地址都是伪造的。当服务器企图将认证结果返回给用户时，它将无法找到这些用户。在这种情况下，服务器只好等待，有时甚至会等待1分钟才能关闭此次连接。当服务器关闭连接之后，攻击者又发送新的一批虚假请求，以上过程又重复发生，直到服务器因过载而拒绝提供服务。
　　分布式拒绝服务（DDOS）把DoS又向前发展了一步。DoS攻击需要攻击者手工操作，而DDOS则将这种攻击行为自动化。与其他分布式概念类似，分布式拒绝服务可以方便地协调从多台计算机上启动的进程。在这种情况下，就会有一股拒绝服务洪流冲击网络，并使其因过载而崩溃。
　　　

　　DDOS工作的基本概念如图所示。黒客（client）在不同的主机（handler）上安装大量的DoS服务程序，它们等待来自中央客户端（client）的命令，中央客户端随后通知全体受控服务程序（agent），并指示它们对一个特定目标发送尽可能多的网络访问请求。该工具将攻击一个目标的任务分配给所有可能的DoS服务程序，这就是它被叫做分布式DoS的原因。
　　
　　实际的攻击并不仅仅是简单地发送海量信息，而是采用DDOS的变种工具，这些工具可以利用网络协议的缺陷使攻击力更强大或者使追踪攻击者变得更困难。首先，现在的DDOS工具基本上都可以伪装源地址。它们发送原始的IP包（raw IP packet），由于Internet协议本身的缺陷，IP包中包括的源地址是可以伪装的，这也是追踪DDOS攻击者很困难的主要原因。其次，DDOS也可以利用协议的缺陷，例如，它可以通过SYN打开半开的TCP连接，这是一个很老且早已为人所熟知的协议缺陷。为了使攻击力更强，DDOS通常会利用任何一种通过发送单独的数据包就能探测到的协议缺陷，并利用这些缺陷进行攻击。
　　
　　防范攻击的措施
　　
　　1。过滤进网和出网的流量
　　
　　　　网络服务提供商应该实施进网流量过滤措施，目的是阻止任何伪造IP地址的数据包进入网络，从而从源头阻止诸如DDOS这样的分布式网络攻击的发生或削弱其攻击效果。
　　
　　2。采用网络入侵检测系统IDS
　　
　　　　当系统收到来自奇怪或未知地址的可疑流量时，网络入侵检测系统IDS（Intrusion Detection Systems）能够给系统管理人员发出报警信号，提醒他们及时采取应对措施，如切断连接或反向跟踪等。
　　
　　3。具体措施
　　
　　在路由器和Web交换机上，
　　
　　它将丢弃下列类型的数据帧：
　　
　　·　　　　长度太短；
　　
　　·　　　　帧被分段；
　　
　　·　　　　源地址与目的地址相同；
　　
　　·　　　　源地址为我们的内部地址，或源地址为子网广播地址；
　　
　　·　　　　源地址不是单播地址；
　　
　　·　　　　源地址是环回地址；
　　
　　·　　　　目的地址是环回地址；
　　
　　·　　　　目的地址不是有效的单播或组播地址
　　
　　此外，
　　
　　·　　　　对于HTTP数据流，WEB交换机必须在HTTP流启动后的16秒内接受一个有效的帧，否则它将丢弃这个帧并中断这个流；
　　
　　·　　　　对于TCP数据流，WEB交换机必须在16秒内接受一个返回的ack，否则它将终止这个TCP流；
　　
　　·　　　　对于任意尝试过8次以上SYN的数据流，WEB交换机将终止这个流，并且停止处理同样SYN，源地址，目的地址及端口号对的数据流。

上一页 [1] [2] [3] [4] [5] [6] 下一页

上一篇:康普最新推出用于光纤网联解决方案系统

下一篇:IDC 网络与系统安全部分设计方案

IDC 网络部分设计方案1 相关文章：

·3DS Max 7卧室效果图设计：建模篇

·《边看边打赚大奖－－迅雷宽频》部分问题及答案

·校园网组建方案

·施工与工程组织方案

·VB+Access设计图书管理系统

·如何建立一个网站？规划、设计、目的、原则、宣传

IDC 网络部分设计方案1 相关软件：

·成功少儿培养方案（上中下）高清晰PDF电子书

·Photoshop CS中文版平面设计师标准案例教程

·Photoshop CS经典创意设计200例

·网络神偷10.4 版

·Photoshop 7.0 平面广告装帧设计100例

·盈速通网络加速器V1.2

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot