0


安全通信网络

1.网络架构

1)应保证网络设备的业务处理能力满足业务高峰期需要。

设备CPU和内存使用率的峰值不大于设备处理能力的70%。

在有监控环境的条件下,应通过监控平台查看主要设备在业务高峰期的资源(CPU、内存等)使用 情况;在无监控环境的情况下,在业务高峰期登录主要设备使用命令查看资源使用情况。

设备操作:

**1.Cisco: **

show process****es(查看内存使用情况)

2. HUAWEI/H3C:

display memory(查看内存使用情况)

display cpu-usage(查看 CPU使用率)

BOX 0% 0/ 25a0ca0 BOX Output

_TIL 0% 0/ 0 Infinite loop event task

VCLK 0% 0/ 3a168b6

TICK 0% 0/ 6c3c644

co0 0% 0/ 51ba7e co0 Line user's task

U0 0% 0/ 0 U0 user command process

查看运行时间:display version

[RTD]display version

Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.

Last reboot reason: User reboot

Boot image version: 7.1.064, Release 0427P22

Compiled Mar 16 2021 15:00:00

Boot image: flash:/msr36-cmw710-system-r0424p22.bin

CPU ID: 0x2

Extended BootWare Version: 1.42

**dis session statistics(查看会话统计情况,可选)。 **

[RTD]display session statistics

Slot 0:

Current sessions: 0

**3.**锐捷:

show memory slot(查看内存使用情况)

show cpu****(查看CPU使用率)

**4.**中兴:

**show process **命令查看设备的CPU利用率,内存等信息

2)应保证网络各个部分的带宽满足业务高峰期需要。

该情况下需分析采取的流量控制措施是否可满足被测系统在业 务高峰期内的使用需求,如核查被测机构的《网络流量使用分析报告》等文档(找甲方)。

(1)询问管理员业务高峰期的流量使用情况,核查是否部署了流量控制设备对关键业务系统的流量带宽进行控制,或者在相关设备上启用了 QoS配置对网络各个部分进行带宽分配,以保证业务高峰期业务服务的连续性。

显示用户定义策略的配置信息。

<Sysname> display qos policy user-defined

显示系统定义策略的配置信息。

<Sysname> display qos policy system-defined

<RTD>display qos policy system-defined

System-defined QoS policy information:

Policy: default (ID 0)

Classifier: default-class (ID 0)

 Behavior: be

  -none-

Classifier: ef (ID 1)

 Behavior: ef

  Expedited Forwarding:

Classifier: af1 (ID 2)

 Behavior: af

  Assured Forwarding:

    Bandwidth 20 (%)

(2)核查综合网管系统在业务高峰期的带宽占用情况,分析是否满足业务需求。如果无法满足业务高峰期需要,则要在主要网络设备上进行带宽配置。

查看流行为的配置信息。HCL

<RTD>display traffic behavior system-defined****(user-defined)

System-defined behavior information:

Behavior: be-flow-based (ID 0)

  Flow based Weighted Fair Queue:

    Max number of hashed queues: 256

    Discard Method: IP Precedence based WRED

    -------------------------

    0    10    30    10

上述信息描述了系统定义的流量行为"be-flow-based"的配置参数。这个行为基于流量的加权公平队列算法,并具有特定的队列配置和丢包控制方法。

查看分类器的配置信息。HCL

<RTD>display traffic classifier system-defined

System-defined classifier information:

Classifier: default-class (ID 0)

 Operator: AND

 Rule(s) :

Classifier: ef (ID 1)

 Operator: OR

 Rule(s) :

查看流策略的配置信息。华为

[DeviceB] display traffic policy p1

Traffic Policy Information:

Policy: p1

  Classifier: c1

    Type: OR

    Committed Access Rate:

      CIR 2000 (Kbps), PIR 2000 (Kbps), CBS 16000 (Bytes), PBS16000 (Bytes)

      Color Mode: color blind

      Conform Action: pass                                                 

      Yellow  Action: pass                                                 

      Exceed  Action: discard

    Statistics: enable

流量策略分类器行为关联起来,形成一个完整的流量控制策略。

各通信链路的高峰期流量均不高于其带宽的70%。

(3)测试验证网络各个部分的带宽是否满足业务高峰期需要。

show class-map

3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

<RTC>show vlan brief

这里主要是查看网络拓扑图,看是否划分VLAN,例如划分了服务器区,客户区,管理区,互联网接入区等。

4)应避免将重要网络区域部署在边界处,重要网络区域与其他区域之间应采取可靠的技术隔离手段。

【测评方法】

思科可通过tracert、traceroute、show cdp nei等命令测试实际网络连接是否与拓扑图一致。

(2)核查重要网络区域是否部署在网络边界处(应为未部署在网络边界处),以及在网络区域边界处是否部署了安全防护措施。

5)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

这点主要看是否对核心区域配置双机冗余。

核查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余来保证系统的高可用性。

2.通信传输

1)应采用校验技术或密码技术保证通信过程中数据的完整性。

[测评方法】

(1)核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性。

(2)测试验证设备或组件是否能够保证通信过程中数据的完整性。例如,使用File

Checksum Integrity Verifier (适用于 MD5、SHA1 算法)、SigCheck (适用于数字签名)等

工具对数据进行完整性校验。

2)应采用密码技术保证通信过程中数据的保密性。

同上。

3. 可信验证

3)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

(1)核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应

通信网络中的可信验证一般都是 通过部署堡垒机完成的,例如第一点中,用户修改重要配置参数的时候可以通过堡垒机进行不同级 别的控制(拒绝、记录等)

(2)核查是否在应用程序的关键执行环节进行了动态可信验证。

(3 )测试验证在检测到设备的可信性受到破坏后是否能进行报警。

在用户做出异常操作后,堡垒机应该可以进行报警(email、短信)

(4 )核查测试验证结果是否以审计记录的形式被送至安全管理中心。

审计记录要统一保存


CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%

PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process

1 Csp 602F3AF0 0 1627 0 2600/3000 0 Load Meter

CPU utilization for five seconds: 0%/0%:表示在过去的五秒钟内,CPU的利用率为0%。0%/0%的格式表示活动/总共的CPU利用率,这里的活动利用率为0%。

One minute: 0%:表示在过去一分钟内,CPU的平均利用率为0%。

Five minutes: 0%:表示在过去五分钟内,CPU的平均利用率为0%。

PID:进程标识符(Process ID),用于唯一标识每个进程。

QTy:进程的类型。常见的类型包括 Csp(控制平面进程),Lwe(低优先级后台进程),Lst(低优先级任务进程),Cwe(控制平面后台进程),Mst(管理进程)等。

PC:进程的程序计数器(Program Counter),指向下一条将要执行的指令的地址。

Runtime (ms):进程在最近的一次运行中消耗的时间,以毫秒为单位。

Invoked:进程被调用或执行的次数。

uSecs:每次调用或执行进程所消耗的平均时间,以微秒为单位。

Stacks:进程使用的堆栈大小,以当前/最大堆栈大小的格式显示。

TTY:进程所关联的终端(终端设备)。

Process:进程的名称或标识。

高位(25a0)表示任务已经运行的时间的较高部分,低位(ca0)表示任务已经运行的时间的较低部分。这种表示方式通常用于跟踪较长时间运行的任务或需要精确记录任务运行时间的场景。

具体到这个任务,它的运行时间为0/25a0ca0,意味着任务在CPU上尚未运行,即任务还没有消耗任何CPU周期。一旦任务开始运行,它的运行时间将会逐渐增加,直到达到25a0ca0这个数值。

DDR3 SDRAM(Double Data Rate 3 Synchronous Dynamic Random-Access Memory)是一种计算机内存类型,属于同步动态随机存取存储器(SDRAM)的一种。它是DDR(Double Data Rate)技术的第三代版本。

DDR3 SDRAM在计算机系统中用于存储数据和程序,供处理器和其他组件读取和写入数据。它的主要特点包括:

高频率:DDR3 SDRAM采用了高频率时钟和数据传输技术,能够提供更高的数据传输速率和带宽。

高密度:DDR3 SDRAM支持较大的存储容量。

低功耗:DDR3 SDRAM相对于之前的DDR2和DDR SDRAM采用了更低的工作电压。

数据预取和双倍数据传输:DDR3 SDRAM利用了数据预取和双倍数据传输技术,能够在每个时钟周期传输更多的数据,提高数据吞吐量。

Memory statistics are measured in KB:

CPU Total Used Free Buffers Caches FreeRatio

0 511828 268692 243136 2232 75712 58.5%

CPU:表示不同的CPU或处理器编号。在这里,CPU编号为0,表示仅有一个CPU或处理器。

Total:表示总内存量,以千字节(KB)为单位。在这里,总内存量为511,828 KB。

Used:表示已使用的内存量,以千字节(KB)为单位。在这里,已使用的内存量为268,692 KB。

Free:表示可用的空闲内存量,以千字节(KB)为单位。在这里,可用的空闲内存量为243,136 KB。

Buffers:表示用于缓冲区的内存量,以千字节(KB)为单位。在这里,用于缓冲区的内存量为2,232 KB。

Caches:表示用于缓存的内存量,以千字节(KB)为单位。在这里,用于缓存的内存量为75,712 KB。

FreeRatio:表示可用内存的比率或百分比。在这里,可用内存的比率为58.5%。

这是名为"ef"的分类器,其ID为1。它与"Expedited Forwarding"(EF)行为关联。该行为具有20%的带宽,并使用Cbs-ratio 25算法进行丢包控制。

这是行为"be-flow-based"的配置参数。它指定了基于流量的加权公平队列的特性。

Max number of hashed queues: 256

最大散列队列数:256。指定了此行为所支持的最大队列数量。

Discard Method: IP Precedence based WRED

丢弃方法:基于IP优先级的加权随机早期检测(WRED)。指定了用于丢弃数据包的方法,基于IP包的优先级进行加权随机丢弃。

Exponential Weight: 9

指数权重:9。指定了用于加权公平队列算法的指数权重。

Low:队列的最低阈值

High:队列的最高阈值

Dis-prob:丢包概率

这是一个名为"default-class"的分类器,其ID为0。它使用了AND操作符,并且只有一个规则。

规则:If-match any(匹配任何流量)。

DSCP的作用是在网络中对数据包进行分类和优先级标记,以便实现不同级别的服务质量和流量管理。

这是一个名为"ef"的分类器,其ID为1。它使用了OR操作符,并且只有一个规则。

规则:If-match dscp ef(匹配DSCP(Differentiated Services Code Point)为EF的流量)。

承诺访问速率(Committed Access Rate):CIR 2000 Kbps,PIR 2000 Kbps,CBS 16000字节,PBS 16000字节。

颜色模式(Color Mode):color blind(颜色盲模式,即不检查数据包颜色标记)。

符合动作(Conform Action):pass(通过)。

黄色动作(Yellow Action):pass(通过)。

超出动作(Exceed Action):discard(丢弃)。

统计信息(Statistics):启用。

system-view

[Sysname] acl basic 2000

[Sysname-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Sysname-acl-ipv4-basic-2000] rule deny source any

[H3C]display acl all

Basic IPv4 ACL 2000, 1 rule,

ACL's step is 5

rule 0 permit source 192.168.1.0 0.0.0.255

显示通过ACL 2000过滤的激活路由的概要信息。

[Sysname-acl-basic-2000] display ip routing-table acl 2000

显示通过ACL 2000过滤的所有路由的详细信息。

display ip routing-table acl 2000 verbose

  1. PPTP(点对点隧道协议):一种最早被广泛使用的VPN协议,可在Internet上建立虚拟专用网络。这种协议以简单易用为特点,但安全性相对较低。

  2. L2TP(Layer 2 Tunnel Protocol):一种VPN协议,通过加密和认证技术,可在Internet上创建虚拟私人网络。L2TP通常与IPSec(Internet Protocol Security)一起使用,以提高安全性。

  3. IPSec(Internet Protocol Security):一种VPN协议,提供机密性、完整性和身份验证等安全功能。IPSec可用于加密和保护IP数据报,从而实现安全的数据传输。

  4. SSL/TLS(Secure Sockets Layer / Transport Layer Security):一种VPN协议,可在Internet上建立安全连接,并提供数据加密和身份验证等安全功能。SSL/TLS通常用于Web浏览器访问公司网络或云服务。

  5. OpenVPN:一种基于开放源代码的VPN协议,可在多个操作系统平台上运行。OpenVPN采用SSL/TLS协议进行加密,支持多种身份验证方法,具有良好的安全性和可扩展性。

"C:"通常指的是计算机上的系统驱动器,格式化它将会完全清除操作系统和所有数据,从而导致系统无法启动。

标签: 网络 web安全 安全

本文转载自: https://blog.csdn.net/qq_48257021/article/details/135752002
版权归原作者 十年人间~ 所有, 如有侵权,请联系我们删除。

“安全通信网络”的评论:

还没有评论