安全通信网络

这篇具有很好参考价值的文章主要介绍了安全通信网络。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.网络架构

1)应保证网络设备的业务处理能力满足业务高峰期需要。

设备CPU和内存使用率的峰值不大于设备处理能力的70%。

在有监控环境的条件下,应通过监控平台查看主要设备在业务高峰期的资源(CPU、内存等)使用 情况;在无监控环境的情况下,在业务高峰期登录主要设备使用命令查看资源使用情况。

设备操作:

1.Cisco:

show process[lc1] es(查看内存使用情况)

2. HUAWEI/H3C:

display memory(查看内存使用情况)

display cpu-usage(查看 CPU使用率)

TaskName             CPU  Runtime(CPU Tick High/Tick Low)[lc2]   Task Explanation

BOX                   0%         0/ 25a0ca0            BOX Output                  

_TIL                  0%         0/       0             Infinite loop event task    

VCLK                  0%         0/ 3a168b6                                   

TICK                  0%         0/ 6c3c644                                   

co0                   0%         0/  51ba7e            co0 Line user's task        

U0                    0%         0/       0            U0   user command process

查看运行时间:display version

[RTD]display version

H3C Comware Software, Version 7.1.064, Release 0427P22[lc3] 

Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.

H3C MSR36-20 uptime is 0 weeks, 0 days, 0 hours, 16 minutes[lc4] 

Last reboot reason: User reboot

Boot image: flash:/msr36-cmw710-boot-r0424p22.bin[lc5] 

Boot image version: 7.1.064, Release 0427P22

 Compiled Mar 16 2021 15:00:00

Boot image: flash:/msr36-cmw710-system-r0424p22.bin

CPU ID: 0x2

512M bytes DDR3 SDRAM Memory[lc6] 

1024M bytes Flash Memory[lc7] 

PCB               Version:  2.0[lc8] 

CPLD              Version:  1.0[lc9] 

Basic    BootWare Version:  1.42[lc10] 

Extended BootWare Version:  1.42

dis session statistics(查看会话统计情况,可选)。

[RTD]display session statistics

Slot 0:

Current sessions: 0

       ICMPv6[lc11]  sessions:                    0

     UDP-Lite[lc12]  sessions:                    0

         SCTP[lc13]  sessions:                    0

         DCCP[lc14]  sessions:                    0

        RAWIP[lc15]  sessions:                    0

 

3.锐捷:

show memory slot(查看内存使用情况)

show cpu[lc16] (查看CPU使用率)

4.中兴:

show process 命令查看设备的CPU利用率,内存等信息

2)应保证网络各个部分的带宽满足业务高峰期需要。

该情况下需分析采取的流量控制措施是否可满足被测系统在业 务高峰期内的使用需求,如核查被测机构的《网络流量使用分析报告》等文档(找甲方)。

(1)询问管理员业务高峰期的流量使用情况,核查是否部署了流量控制设备对关键业务系统的流量带宽进行控制,或者在相关设备上启用了 QoS配置对网络各个部分进行带宽分配,以保证业务高峰期业务服务的连续性。

# 显示用户定义策略的配置信息。

<Sysname> display qos policy user-defined

# 显示系统定义策略的配置信息。

<Sysname> display qos policy system-defined

<RTD>display qos policy system-defined

  System-defined QoS policy information:

  Policy: default (ID 0)

   Classifier: default-class (ID 0)

     Behavior: be

      -none-

   Classifier: ef (ID 1)

     Behavior: ef

      Expedited Forwarding:

        Bandwidth 20 (%) Cbs-ratio 25[lc17] 

   Classifier: af1 (ID 2)

     Behavior: af

      Assured Forwarding:

        Bandwidth 20 (%)

        Discard Method: Tail[lc18] 

(2)核查综合网管系统在业务高峰期的带宽占用情况,分析是否满足业务需求。如果无法满足业务高峰期需要,则要在主要网络设备上进行带宽配置。

# 查看流行为的配置信息。HCL

<RTD>display traffic behavior system-defined(user-defined)

  System-defined behavior information:

    Behavior: be-flow-based (ID 0)

      Flow based Weighted Fair Queue:

        Max number of hashed queues: 256

        Discard Method: IP Precedence based WRED

        Exponential Weight: 9[lc19] 

        Pre  Low   High  Dis-prob[lc20] 

        -------------------------

        0    10    30    10

上述信息描述了系统定义的流量行为"be-flow-based"的配置参数。这个行为基于流量的加权公平队列算法,并具有特定的队列配置和丢包控制方法。

# 查看分类器的配置信息。HCL

<RTD>display traffic classifier system-defined

  System-defined classifier information:

   Classifier: default-class (ID 0)

     Operator: AND

     Rule(s) :

      If-match any[lc21] 

   Classifier: ef (ID 1)

     Operator: OR

     Rule(s) :

      If-match dscp[lc22]  ef[lc23] 

# 查看流策略的配置信息。华为

[DeviceB] display traffic policy p1

  Traffic Policy Information:

    Policy: p1

      Classifier: c1

        Type: OR

      Behavior: b1[lc24] [lc25] 

        Committed Access Rate:

          CIR 2000 (Kbps), PIR 2000 (Kbps), CBS 16000 (Bytes), PBS16000 (Bytes)

          Color Mode: color blind

          Conform Action: pass                                                 

          Yellow  Action: pass                                                 

          Exceed  Action: discard

        Statistics: enable

流量策略分类器行为关联起来形成一个完整的流量控制策略。

各通信链路的高峰期流量均不高于其带宽的70%。

(3)测试验证网络各个部分的带宽是否满足业务高峰期需要。

show class-map

安全通信网络,等保测评,网络,web安全,安全

3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

<RTC>show vlan brief

这里主要是查看网络拓扑图,看是否划分VLAN,例如划分了服务器区,客户区,管理区,互联网接入区等。

4)应避免将重要网络区域部署在边界处,重要网络区域与其他区域之间应采取可靠的技术隔离手段。

【测评方法】

(1 )核查网络拓扑图是否与实际网络运行环境一致[lc26] 。

思科可通过tracert、traceroute、show cdp nei等命令测试实际网络连接是否与拓扑图一致。

(2)核查重要网络区域是否部署在网络边界处(应为未部署在网络边界处),以及在网络区域边界处是否部署了安全防护措施。

(3)核查重要网络区域与其他网络区域(例如应用系统区、数据库系统区等重要网络区域)之间是否采取了可靠的技术隔离手段,以及是否部署了网闸、防火墙和设备访问控制列表(ACL)[lc27] 等。

5)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。

这点主要看是否对核心区域配置双机冗余。

核查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余来保证系统的高可用性。

2.通信传输

1)应采用校验技术或密码技术保证通信过程中数据的完整性。

这里的完整性主要看系统是否采用了SSH、HTTPS、FTPS等协议,有任意一个即可;保密性主要看 系统是否采用了类似VPN[lc28] 的协议

[测评方法】

(1)核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性。

(2)测试验证设备或组件是否能够保证通信过程中数据的完整性。例如,使用File

Checksum Integrity Verifier (适用于 MD5、SHA1 算法)、SigCheck (适用于数字签名)等

工具对数据进行完整性校验。

2)应采用密码技术保证通信过程中数据的保密性。

同上。

3. 可信验证

3)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

(1)核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应

用程序等进行了可信验证[lc29] 。

通信网络中的可信验证一般都是 通过部署堡垒机完成的,例如第一点中,用户修改重要配置参数的时候可以通过堡垒机进行不同级 别的控制(拒绝、记录等)

(2)核查是否在应用程序的关键执行环节进行了动态可信验证。

关键执行环节类似format c: \q[lc30] 之类的操作也可以 进行控制;

(3 )测试验证在检测到设备的可信性受到破坏后是否能进行报警。

在用户做出异常操作后,堡垒机应该可以进行报警(email、短信)

(4 )核查测试验证结果是否以审计记录的形式被送至安全管理中心。

审计记录要统一保存


 [lc1]r1#show processes

CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%

PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process

1 Csp 602F3AF0 0 1627 0 2600/3000 0 Load Meter 

CPU utilization for five seconds: 0%/0%:表示在过去的五秒钟内,CPU的利用率为0%。0%/0%的格式表示活动/总共的CPU利用率,这里的活动利用率为0%。

One minute: 0%:表示在过去一分钟内,CPU的平均利用率为0%。

Five minutes: 0%:表示在过去五分钟内,CPU的平均利用率为0%。

PID:进程标识符(Process ID),用于唯一标识每个进程。

QTy:进程的类型。常见的类型包括 Csp(控制平面进程),Lwe(低优先级后台进程),Lst(低优先级任务进程),Cwe(控制平面后台进程),Mst(管理进程)等。

PC:进程的程序计数器(Program Counter),指向下一条将要执行的指令的地址。

Runtime (ms):进程在最近的一次运行中消耗的时间,以毫秒为单位。

Invoked:进程被调用或执行的次数。

uSecs:每次调用或执行进程所消耗的平均时间,以微秒为单位。

Stacks:进程使用的堆栈大小,以当前/最大堆栈大小的格式显示。

TTY:进程所关联的终端(终端设备)。

Process:进程的名称或标识。

 [lc2]运行时间为0/25a0ca0表示任务在CPU上运行的时间,其中25a0ca0是一个十六进制数。在这种表示方式中,任务的运行时间通常分为两部分:高位和低位。

高位(25a0)表示任务已经运行的时间的较高部分,低位(ca0)表示任务已经运行的时间的较低部分。这种表示方式通常用于跟踪较长时间运行的任务或需要精确记录任务运行时间的场景。

具体到这个任务,它的运行时间为0/25a0ca0,意味着任务在CPU上尚未运行,即任务还没有消耗任何CPU周期。一旦任务开始运行,它的运行时间将会逐渐增加,直到达到25a0ca0这个数值。

 [lc3]H3C Comware Software, Version 7.1.064, Release 0427P22: 这是设备正在运行的操作系统的版本信息。操作系统是 H3C Comware Software,版本号为 7.1.064,发布版本为 0427P22。

 [lc4]H3C MSR36-20 uptime is 0 weeks, 0 days, 0 hours, 16 minutes: 这表示设备 MSR36-20 已经运行了 0 周,0 天,0 小时,16 分钟,即设备的正常运行时间。

 [lc5]Boot image: flash:/msr36-cmw710-boot-r0424p22.bin: 这是设备启动时使用的引导镜像文件的路径和文件名。

 [lc6]512M bytes DDR3 SDRAM Memory: 这是设备的内存容量,512MB DDR3 SDRAM。

DDR3 SDRAM(Double Data Rate 3 Synchronous Dynamic Random-Access Memory)是一种计算机内存类型,属于同步动态随机存取存储器(SDRAM)的一种。它是DDR(Double Data Rate)技术的第三代版本。

DDR3 SDRAM在计算机系统中用于存储数据和程序,供处理器和其他组件读取和写入数据。它的主要特点包括:

高频率:DDR3 SDRAM采用了高频率时钟和数据传输技术,能够提供更高的数据传输速率和带宽。

高密度:DDR3 SDRAM支持较大的存储容量。

低功耗:DDR3 SDRAM相对于之前的DDR2和DDR SDRAM采用了更低的工作电压。

数据预取和双倍数据传输:DDR3 SDRAM利用了数据预取和双倍数据传输技术,能够在每个时钟周期传输更多的数据,提高数据吞吐量。

 [lc7]1024M bytes Flash Memory: 这是设备的闪存容量,1024MB。

 [lc8]PCB Version: 2.0: 这是设备的 PCB 版本,指示设备电路板的版本号。

 [lc9]CPLD Version: 1.0: 这是设备的 CPLD 版本,指示设备的复杂可编程逻辑器件的版本号。

 [lc10]Basic BootWare Version: 1.42: 这是设备的基本 BootWare 版本号。

 [lc11]ICMPv(Internet Control Message Protocol version)是一种网络协议,用于在IP网络中传递控制信息和错误报告。它是在网络层(OSI模型的第三层)上运行的协议。

 [lc12]UDP-Lite sessions: UDP-Lite是一种传输层协议,类似于用户数据报协议(UDP),但具有更灵活的数据校验和选择性接收功能

 [lc13]SCTP sessions: SCTP(Stream Control Transmission Protocol)是一种可靠的传输层协议,用于提供传输多个数据流的能力,并具备拥塞控制和错误恢复功能。

 [lc14]DCCP sessions: DCCP(Datagram Congestion Control Protocol)是一种传输层协议,具备可靠性和拥塞控制功能,专为传输实时多媒体、流媒体和其他具有拥塞敏感需求的应用而设计

 [lc15]

 [lc16]<RTA>show memory summary

Memory statistics are measured in KB:

CPU  Total  Used  Free  Buffers  Caches    FreeRatio

0  511828  268692  243136  2232  75712     58.5%

CPU:表示不同的CPU或处理器编号。在这里,CPU编号为0,表示仅有一个CPU或处理器。

Total:表示总内存量,以千字节(KB)为单位。在这里,总内存量为511,828 KB。

Used:表示已使用的内存量,以千字节(KB)为单位。在这里,已使用的内存量为268,692 KB。

Free:表示可用的空闲内存量,以千字节(KB)为单位。在这里,可用的空闲内存量为243,136 KB。

Buffers:表示用于缓冲区的内存量,以千字节(KB)为单位。在这里,用于缓冲区的内存量为2,232 KB。

Caches:表示用于缓存的内存量,以千字节(KB)为单位。在这里,用于缓存的内存量为75,712 KB。

FreeRatio:表示可用内存的比率或百分比。在这里,可用内存的比率为58.5%。

 [lc17]Classifier: ef (ID 1)

这是名为"ef"的分类器,其ID为1。它与"Expedited Forwarding"(EF)行为关联。该行为具有20%的带宽,并使用Cbs-ratio 25算法进行丢包控制。

 [lc18]使用尾部丢弃(Tail Drop)方法进行丢包控制。

 [lc19]Flow based Weighted Fair Queue:

这是行为"be-flow-based"的配置参数。它指定了基于流量的加权公平队列的特性。

Max number of hashed queues: 256

最大散列队列数:256。指定了此行为所支持的最大队列数量。

Discard Method: IP Precedence based WRED

丢弃方法:基于IP优先级的加权随机早期检测(WRED)。指定了用于丢弃数据包的方法,基于IP包的优先级进行加权随机丢弃。

Exponential Weight: 9

指数权重:9。指定了用于加权公平队列算法的指数权重。

 [lc20]Pre:IP优先级

Low:队列的最低阈值

High:队列的最高阈值

Dis-prob:丢包概率

 [lc21]Classifier: default-class (ID 0)

这是一个名为"default-class"的分类器,其ID为0。它使用了AND操作符,并且只有一个规则。

规则:If-match any(匹配任何流量)。

 [lc22]DSCP(Differentiated Services Code Point)是一种用于网络流量分类和服务质量(QoS)管理的字段。它是IPv4和IPv6头部中的一个六位字段,用于标识和区分不同类型的数据流量。

DSCP的作用是在网络中对数据包进行分类和优先级标记,以便实现不同级别的服务质量和流量管理。

 [lc23]Classifier: ef (ID 1)

这是一个名为"ef"的分类器,其ID为1。它使用了OR操作符,并且只有一个规则。

规则:If-match dscp ef(匹配DSCP(Differentiated Services Code Point)为EF的流量)。

 [lc24]对于分类器c1,它使用了OR类型操作符。这表示如果数据包匹配c1中的任何一个规则,则会应用与之关联的行为b1。

 [lc25]对于行为b1,它具有以下配置参数:

承诺访问速率(Committed Access Rate):CIR 2000 Kbps,PIR 2000 Kbps,CBS 16000字节,PBS 16000字节。

颜色模式(Color Mode):color blind(颜色盲模式,即不检查数据包颜色标记)。

符合动作(Conform Action):pass(通过)。

黄色动作(Yellow Action):pass(通过)。

超出动作(Exceed Action):discard(丢弃)。

统计信息(Statistics):启用。

 [lc26]安全通信网络,等保测评,网络,web安全,安全

 [lc27]# 配置ACL 2000,并设置路由过滤规则。

<Sysname> system-view

[Sysname] acl basic 2000

[Sysname-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Sysname-acl-ipv4-basic-2000] rule deny source any

[H3C]display acl all

Basic IPv4 ACL 2000, 1 rule,

ACL's step is 5

 rule 0 permit source 192.168.1.0 0.0.0.255

# 显示通过ACL 2000过滤的激活路由的概要信息。

[Sysname-acl-basic-2000] display ip routing-table acl 2000

# 显示通过ACL 2000过滤的所有路由的详细信息。

<Sysname> display ip routing-table acl 2000 verbose

 [lc28]以下是常见的VPN协议:

1. PPTP(点对点隧道协议):一种最早被广泛使用的VPN协议,可在Internet上建立虚拟专用网络。这种协议以简单易用为特点,但安全性相对较低。

2. L2TP(Layer 2 Tunnel Protocol):一种VPN协议,通过加密和认证技术,可在Internet上创建虚拟私人网络。L2TP通常与IPSec(Internet Protocol Security)一起使用,以提高安全性。

3. IPSec(Internet Protocol Security):一种VPN协议,提供机密性、完整性和身份验证等安全功能。IPSec可用于加密和保护IP数据报,从而实现安全的数据传输。

4. SSL/TLS(Secure Sockets Layer / Transport Layer Security):一种VPN协议,可在Internet上建立安全连接,并提供数据加密和身份验证等安全功能。SSL/TLS通常用于Web浏览器访问公司网络或云服务。

5. OpenVPN:一种基于开放源代码的VPN协议,可在多个操作系统平台上运行。OpenVPN采用SSL/TLS协议进行加密,支持多种身份验证方法,具有良好的安全性和可扩展性。

 [lc29]说简单点就是你的通信设备要具有可信性的芯片或者硬件,这个一般测评公司都看可信性报告,来评判是否符合

 [lc30]format c: \q” 是一条命令,通常用于格式化计算机硬盘驱动器。它会将选择的硬盘驱动器格式化并清除所有存储在该驱动器上的数据。

"C:"通常指的是计算机上的系统驱动器,格式化它将会完全清除操作系统和所有数据,从而导致系统无法启动。文章来源地址https://www.toymoban.com/news/detail-817701.html

到了这里,关于安全通信网络的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 《网络协议》05. 网络通信安全 · 密码技术

    title: 《网络协议》05. 网络通信安全 · 密码技术 date: 2022-09-10 15:16:15 updated: 2023-11-12 07:03:52 categories: 学习记录:网络协议 excerpt: 网络通信安全(ARP 欺骗,DoS DDoS,SYN 洪水攻击,LAND 攻击,DNS 劫持,HTTP 劫持)、密码技术(单向散列函数,对称加密,非对称加密,混合密码系统

    2024年01月24日
    浏览(52)
  • Java 网络编程 —— 安全网络通信

    SSL(Secure Socket Layer,安全套接字层)是一种保证网络上的两个节点进行安全通信的协议。IETF(Interet Engineering Task Force)国际组织对 SSL 作了标准化,制定了 RFC2246 规范,并将其称为传输层安全(Transport Layer Security,TLS) SSL 和 TLS 都建立在 TCP/IP 的基础上,一些应用层协议,如

    2024年02月11日
    浏览(42)
  • 安全通信网络

    1)应保证网络设备的业务处理能力满足业务高峰期需要。 设备CPU和内存使用率的峰值不大于设备处理能力的70%。 在有监控环境的条件下,应通过监控平台查看主要设备在业务高峰期的资源(CPU、内存等)使用 情况;在无监控环境的情况下,在业务高峰期登录主要设备使用命

    2024年01月23日
    浏览(46)
  • 网络安全通信HTTPS原理

    HTTPS并不是一个全新的协议,而是为了保证网络通信的数据安全,在HTTP的基础上加上了安全套件SSL的一个数据通信协议。 HTTP协议全称为HyperText Transfer Protocol即超文本传输协议,是客户端浏览器与Web服务器之间的应用层通信协议。HTTPS协议全称为HyperText Transfer Protocol over Secur

    2024年02月11日
    浏览(46)
  • 安全通信网络(设备和技术注解)

    网络安全等级保护相关标准参考《GB/T 22239-2019 网络安全等级保护基本要求》和《GB/T 28448-2019 网络安全等级保护测评要求》 密码应用安全性相关标准参考《GB/T 39786-2021 信息系统密码应用基本要求》和《GM/T 0115-2021 信息系统密码应用测评要求》 1网络架构 1.1保证网络设备的业务

    2024年02月04日
    浏览(58)
  • 物理环境与网络通信安全

    物理安全的重要性 信息系统安全战略的一个重要组成部分 物理安全面临问题 环境风险不确定性 人类活动的不可预知性 典型的物理安全问题 自然灾害(地震、雷击、暴雨、泥石流等) 环境因素(治安、交通、人流及经营性设施风险) 设备安全

    2024年02月04日
    浏览(42)
  • 【等级保护测试】安全通信网络、安全区域边界-思维导图

    网络架构 1)应保证网络设备的业务处理能力满足业务高峰期需要。 2)应保证网络各个部分的带宽满足业务高峰期需要。 3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 4)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间

    2024年02月04日
    浏览(49)
  • 网络安全实验——安全通信软件safechat的设计

    仅供参考,请勿直接抄袭,抄袭者后果自负。 仓库地址: 后端地址:https://github.com/yijunquan-afk/safechat-server 前端地址: https://github.com/yijunquan-afk/safechat-client CosUpload.java中的COS设置,需要自己配 结合所学安全机制设计实现一个简单的安全通信软件,包含 机密性,消息认证 等基

    2024年01月23日
    浏览(56)
  • 网络信息通信的安全问题以及解决方法

    网络通信笔记 窃听指A,B两者通信时被第三方窃听。例如:美国如何窃听海底光缆这类事件 这种情况也很好解决, 信息加密 就行 假冒是指第三方,冒充A(发送者)或B(接受者),与另外一方进行消息通信。类似盗号的操作 这种情况一般用,数据签名,和消息认证的方式解决 篡改

    2024年02月16日
    浏览(42)
  • SSL证书:网络通信安全的基石

    随着互联网的深入发展和电子商务的普及,网络安全问题变得越来越重要。SSL证书作为保障网络通信安全的重要组成部分,扮演着至关重要的角色。本文将深入剖析SSL证书的底层原理、作用、应用场景以及优缺点,帮助您更好地理解网络通信安全。 一、SSL证书的底层原理 S

    2024年02月04日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包