1.网络架构
1)应保证网络设备的业务处理能力满足业务高峰期需要。
设备CPU和内存使用率的峰值不大于设备处理能力的70%。
在有监控环境的条件下,应通过监控平台查看主要设备在业务高峰期的资源(CPU、内存等)使用 情况;在无监控环境的情况下,在业务高峰期登录主要设备使用命令查看资源使用情况。
设备操作:
1.Cisco:
show process[lc1] es(查看内存使用情况)
2. HUAWEI/H3C:
display memory(查看内存使用情况)
display cpu-usage(查看 CPU使用率)
TaskName CPU Runtime(CPU Tick High/Tick Low)[lc2] Task Explanation
BOX 0% 0/ 25a0ca0 BOX Output
_TIL 0% 0/ 0 Infinite loop event task
VCLK 0% 0/ 3a168b6
TICK 0% 0/ 6c3c644
co0 0% 0/ 51ba7e co0 Line user's task
U0 0% 0/ 0 U0 user command process
查看运行时间:display version
[RTD]display version
H3C Comware Software, Version 7.1.064, Release 0427P22[lc3]
Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.
H3C MSR36-20 uptime is 0 weeks, 0 days, 0 hours, 16 minutes[lc4]
Last reboot reason: User reboot
Boot image: flash:/msr36-cmw710-boot-r0424p22.bin[lc5]
Boot image version: 7.1.064, Release 0427P22
Compiled Mar 16 2021 15:00:00
Boot image: flash:/msr36-cmw710-system-r0424p22.bin
CPU ID: 0x2
512M bytes DDR3 SDRAM Memory[lc6]
1024M bytes Flash Memory[lc7]
PCB Version: 2.0[lc8]
CPLD Version: 1.0[lc9]
Basic BootWare Version: 1.42[lc10]
Extended BootWare Version: 1.42
dis session statistics(查看会话统计情况,可选)。
[RTD]display session statistics
Slot 0:
Current sessions: 0
ICMPv6[lc11] sessions: 0
UDP-Lite[lc12] sessions: 0
SCTP[lc13] sessions: 0
DCCP[lc14] sessions: 0
RAWIP[lc15] sessions: 0
3.锐捷:
show memory slot(查看内存使用情况)
show cpu[lc16] (查看CPU使用率)
4.中兴:
show process 命令查看设备的CPU利用率,内存等信息
2)应保证网络各个部分的带宽满足业务高峰期需要。
该情况下需分析采取的流量控制措施是否可满足被测系统在业 务高峰期内的使用需求,如核查被测机构的《网络流量使用分析报告》等文档(找甲方)。
(1)询问管理员业务高峰期的流量使用情况,核查是否部署了流量控制设备对关键业务系统的流量带宽进行控制,或者在相关设备上启用了 QoS配置对网络各个部分进行带宽分配,以保证业务高峰期业务服务的连续性。
# 显示用户定义策略的配置信息。
<Sysname> display qos policy user-defined
# 显示系统定义策略的配置信息。
<Sysname> display qos policy system-defined
<RTD>display qos policy system-defined
System-defined QoS policy information:
Policy: default (ID 0)
Classifier: default-class (ID 0)
Behavior: be
-none-
Classifier: ef (ID 1)
Behavior: ef
Expedited Forwarding:
Bandwidth 20 (%) Cbs-ratio 25[lc17]
Classifier: af1 (ID 2)
Behavior: af
Assured Forwarding:
Bandwidth 20 (%)
Discard Method: Tail[lc18]
(2)核查综合网管系统在业务高峰期的带宽占用情况,分析是否满足业务需求。如果无法满足业务高峰期需要,则要在主要网络设备上进行带宽配置。
# 查看流行为的配置信息。HCL
<RTD>display traffic behavior system-defined(user-defined)
System-defined behavior information:
Behavior: be-flow-based (ID 0)
Flow based Weighted Fair Queue:
Max number of hashed queues: 256
Discard Method: IP Precedence based WRED
Exponential Weight: 9[lc19]
Pre Low High Dis-prob[lc20]
-------------------------
0 10 30 10
上述信息描述了系统定义的流量行为"be-flow-based"的配置参数。这个行为基于流量的加权公平队列算法,并具有特定的队列配置和丢包控制方法。
# 查看分类器的配置信息。HCL
<RTD>display traffic classifier system-defined
System-defined classifier information:
Classifier: default-class (ID 0)
Operator: AND
Rule(s) :
If-match any[lc21]
Classifier: ef (ID 1)
Operator: OR
Rule(s) :
If-match dscp[lc22] ef[lc23]
# 查看流策略的配置信息。华为
[DeviceB] display traffic policy p1
Traffic Policy Information:
Policy: p1
Classifier: c1
Type: OR
Behavior: b1[lc24] [lc25]
Committed Access Rate:
CIR 2000 (Kbps), PIR 2000 (Kbps), CBS 16000 (Bytes), PBS16000 (Bytes)
Color Mode: color blind
Conform Action: pass
Yellow Action: pass
Exceed Action: discard
Statistics: enable
流量策略将分类器和行为关联起来,形成一个完整的流量控制策略。
各通信链路的高峰期流量均不高于其带宽的70%。
(3)测试验证网络各个部分的带宽是否满足业务高峰期需要。
show class-map
3)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。
<RTC>show vlan brief
这里主要是查看网络拓扑图,看是否划分VLAN,例如划分了服务器区,客户区,管理区,互联网接入区等。
4)应避免将重要网络区域部署在边界处,重要网络区域与其他区域之间应采取可靠的技术隔离手段。
【测评方法】
(1 )核查网络拓扑图是否与实际网络运行环境一致[lc26] 。
思科可通过tracert、traceroute、show cdp nei等命令测试实际网络连接是否与拓扑图一致。
(2)核查重要网络区域是否部署在网络边界处(应为未部署在网络边界处),以及在网络区域边界处是否部署了安全防护措施。
(3)核查重要网络区域与其他网络区域(例如应用系统区、数据库系统区等重要网络区域)之间是否采取了可靠的技术隔离手段,以及是否部署了网闸、防火墙和设备访问控制列表(ACL)[lc27] 等。
5)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
这点主要看是否对核心区域配置双机冗余。
核查系统的出口路由器、核心交换机、安全设备等关键设备是否有硬件冗余和通信线路冗余来保证系统的高可用性。
2.通信传输
1)应采用校验技术或密码技术保证通信过程中数据的完整性。
这里的完整性主要看系统是否采用了SSH、HTTPS、FTPS等协议,有任意一个即可;保密性主要看 系统是否采用了类似VPN[lc28] 的协议
[测评方法】
(1)核查是否在传输过程中使用校验技术或密码技术来保证数据的完整性。
(2)测试验证设备或组件是否能够保证通信过程中数据的完整性。例如,使用File
Checksum Integrity Verifier (适用于 MD5、SHA1 算法)、SigCheck (适用于数字签名)等
工具对数据进行完整性校验。
2)应采用密码技术保证通信过程中数据的保密性。
同上。
3. 可信验证
3)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
(1)核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应
用程序等进行了可信验证[lc29] 。
通信网络中的可信验证一般都是 通过部署堡垒机完成的,例如第一点中,用户修改重要配置参数的时候可以通过堡垒机进行不同级 别的控制(拒绝、记录等)
(2)核查是否在应用程序的关键执行环节进行了动态可信验证。
关键执行环节类似format c: \q[lc30] 之类的操作也可以 进行控制;
(3 )测试验证在检测到设备的可信性受到破坏后是否能进行报警。
在用户做出异常操作后,堡垒机应该可以进行报警(email、短信)
(4 )核查测试验证结果是否以审计记录的形式被送至安全管理中心。
审计记录要统一保存
[lc1]r1#show processes
CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%
PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process
1 Csp 602F3AF0 0 1627 0 2600/3000 0 Load Meter
CPU utilization for five seconds: 0%/0%:表示在过去的五秒钟内,CPU的利用率为0%。0%/0%的格式表示活动/总共的CPU利用率,这里的活动利用率为0%。
One minute: 0%:表示在过去一分钟内,CPU的平均利用率为0%。
Five minutes: 0%:表示在过去五分钟内,CPU的平均利用率为0%。
PID:进程标识符(Process ID),用于唯一标识每个进程。
QTy:进程的类型。常见的类型包括 Csp(控制平面进程),Lwe(低优先级后台进程),Lst(低优先级任务进程),Cwe(控制平面后台进程),Mst(管理进程)等。
PC:进程的程序计数器(Program Counter),指向下一条将要执行的指令的地址。
Runtime (ms):进程在最近的一次运行中消耗的时间,以毫秒为单位。
Invoked:进程被调用或执行的次数。
uSecs:每次调用或执行进程所消耗的平均时间,以微秒为单位。
Stacks:进程使用的堆栈大小,以当前/最大堆栈大小的格式显示。
TTY:进程所关联的终端(终端设备)。
Process:进程的名称或标识。
[lc2]运行时间为0/25a0ca0表示任务在CPU上运行的时间,其中25a0ca0是一个十六进制数。在这种表示方式中,任务的运行时间通常分为两部分:高位和低位。
高位(25a0)表示任务已经运行的时间的较高部分,低位(ca0)表示任务已经运行的时间的较低部分。这种表示方式通常用于跟踪较长时间运行的任务或需要精确记录任务运行时间的场景。
具体到这个任务,它的运行时间为0/25a0ca0,意味着任务在CPU上尚未运行,即任务还没有消耗任何CPU周期。一旦任务开始运行,它的运行时间将会逐渐增加,直到达到25a0ca0这个数值。
[lc3]H3C Comware Software, Version 7.1.064, Release 0427P22: 这是设备正在运行的操作系统的版本信息。操作系统是 H3C Comware Software,版本号为 7.1.064,发布版本为 0427P22。
[lc4]H3C MSR36-20 uptime is 0 weeks, 0 days, 0 hours, 16 minutes: 这表示设备 MSR36-20 已经运行了 0 周,0 天,0 小时,16 分钟,即设备的正常运行时间。
[lc5]Boot image: flash:/msr36-cmw710-boot-r0424p22.bin: 这是设备启动时使用的引导镜像文件的路径和文件名。
[lc6]512M bytes DDR3 SDRAM Memory: 这是设备的内存容量,512MB DDR3 SDRAM。
DDR3 SDRAM(Double Data Rate 3 Synchronous Dynamic Random-Access Memory)是一种计算机内存类型,属于同步动态随机存取存储器(SDRAM)的一种。它是DDR(Double Data Rate)技术的第三代版本。
DDR3 SDRAM在计算机系统中用于存储数据和程序,供处理器和其他组件读取和写入数据。它的主要特点包括:
高频率:DDR3 SDRAM采用了高频率时钟和数据传输技术,能够提供更高的数据传输速率和带宽。
高密度:DDR3 SDRAM支持较大的存储容量。
低功耗:DDR3 SDRAM相对于之前的DDR2和DDR SDRAM采用了更低的工作电压。
数据预取和双倍数据传输:DDR3 SDRAM利用了数据预取和双倍数据传输技术,能够在每个时钟周期传输更多的数据,提高数据吞吐量。
[lc7]1024M bytes Flash Memory: 这是设备的闪存容量,1024MB。
[lc8]PCB Version: 2.0: 这是设备的 PCB 版本,指示设备电路板的版本号。
[lc9]CPLD Version: 1.0: 这是设备的 CPLD 版本,指示设备的复杂可编程逻辑器件的版本号。
[lc10]Basic BootWare Version: 1.42: 这是设备的基本 BootWare 版本号。
[lc11]ICMPv(Internet Control Message Protocol version)是一种网络协议,用于在IP网络中传递控制信息和错误报告。它是在网络层(OSI模型的第三层)上运行的协议。
[lc12]UDP-Lite sessions: UDP-Lite是一种传输层协议,类似于用户数据报协议(UDP),但具有更灵活的数据校验和选择性接收功能
[lc13]SCTP sessions: SCTP(Stream Control Transmission Protocol)是一种可靠的传输层协议,用于提供传输多个数据流的能力,并具备拥塞控制和错误恢复功能。
[lc14]DCCP sessions: DCCP(Datagram Congestion Control Protocol)是一种传输层协议,具备可靠性和拥塞控制功能,专为传输实时多媒体、流媒体和其他具有拥塞敏感需求的应用而设计
[lc15]
[lc16]<RTA>show memory summary
Memory statistics are measured in KB:
CPU Total Used Free Buffers Caches FreeRatio
0 511828 268692 243136 2232 75712 58.5%
CPU:表示不同的CPU或处理器编号。在这里,CPU编号为0,表示仅有一个CPU或处理器。
Total:表示总内存量,以千字节(KB)为单位。在这里,总内存量为511,828 KB。
Used:表示已使用的内存量,以千字节(KB)为单位。在这里,已使用的内存量为268,692 KB。
Free:表示可用的空闲内存量,以千字节(KB)为单位。在这里,可用的空闲内存量为243,136 KB。
Buffers:表示用于缓冲区的内存量,以千字节(KB)为单位。在这里,用于缓冲区的内存量为2,232 KB。
Caches:表示用于缓存的内存量,以千字节(KB)为单位。在这里,用于缓存的内存量为75,712 KB。
FreeRatio:表示可用内存的比率或百分比。在这里,可用内存的比率为58.5%。
[lc17]Classifier: ef (ID 1)
这是名为"ef"的分类器,其ID为1。它与"Expedited Forwarding"(EF)行为关联。该行为具有20%的带宽,并使用Cbs-ratio 25算法进行丢包控制。
[lc18]使用尾部丢弃(Tail Drop)方法进行丢包控制。
[lc19]Flow based Weighted Fair Queue:
这是行为"be-flow-based"的配置参数。它指定了基于流量的加权公平队列的特性。
Max number of hashed queues: 256
最大散列队列数:256。指定了此行为所支持的最大队列数量。
Discard Method: IP Precedence based WRED
丢弃方法:基于IP优先级的加权随机早期检测(WRED)。指定了用于丢弃数据包的方法,基于IP包的优先级进行加权随机丢弃。
Exponential Weight: 9
指数权重:9。指定了用于加权公平队列算法的指数权重。
[lc20]Pre:IP优先级
Low:队列的最低阈值
High:队列的最高阈值
Dis-prob:丢包概率
[lc21]Classifier: default-class (ID 0)
这是一个名为"default-class"的分类器,其ID为0。它使用了AND操作符,并且只有一个规则。
规则:If-match any(匹配任何流量)。
[lc22]DSCP(Differentiated Services Code Point)是一种用于网络流量分类和服务质量(QoS)管理的字段。它是IPv4和IPv6头部中的一个六位字段,用于标识和区分不同类型的数据流量。
DSCP的作用是在网络中对数据包进行分类和优先级标记,以便实现不同级别的服务质量和流量管理。
[lc23]Classifier: ef (ID 1)
这是一个名为"ef"的分类器,其ID为1。它使用了OR操作符,并且只有一个规则。
规则:If-match dscp ef(匹配DSCP(Differentiated Services Code Point)为EF的流量)。
[lc24]对于分类器c1,它使用了OR类型操作符。这表示如果数据包匹配c1中的任何一个规则,则会应用与之关联的行为b1。
[lc25]对于行为b1,它具有以下配置参数:
承诺访问速率(Committed Access Rate):CIR 2000 Kbps,PIR 2000 Kbps,CBS 16000字节,PBS 16000字节。
颜色模式(Color Mode):color blind(颜色盲模式,即不检查数据包颜色标记)。
符合动作(Conform Action):pass(通过)。
黄色动作(Yellow Action):pass(通过)。
超出动作(Exceed Action):discard(丢弃)。
统计信息(Statistics):启用。
[lc26]
[lc27]# 配置ACL 2000,并设置路由过滤规则。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Sysname-acl-ipv4-basic-2000] rule deny source any
[H3C]display acl all
Basic IPv4 ACL 2000, 1 rule,
ACL's step is 5
rule 0 permit source 192.168.1.0 0.0.0.255
# 显示通过ACL 2000过滤的激活路由的概要信息。
[Sysname-acl-basic-2000] display ip routing-table acl 2000
# 显示通过ACL 2000过滤的所有路由的详细信息。
<Sysname> display ip routing-table acl 2000 verbose
[lc28]以下是常见的VPN协议:
1. PPTP(点对点隧道协议):一种最早被广泛使用的VPN协议,可在Internet上建立虚拟专用网络。这种协议以简单易用为特点,但安全性相对较低。
2. L2TP(Layer 2 Tunnel Protocol):一种VPN协议,通过加密和认证技术,可在Internet上创建虚拟私人网络。L2TP通常与IPSec(Internet Protocol Security)一起使用,以提高安全性。
3. IPSec(Internet Protocol Security):一种VPN协议,提供机密性、完整性和身份验证等安全功能。IPSec可用于加密和保护IP数据报,从而实现安全的数据传输。
4. SSL/TLS(Secure Sockets Layer / Transport Layer Security):一种VPN协议,可在Internet上建立安全连接,并提供数据加密和身份验证等安全功能。SSL/TLS通常用于Web浏览器访问公司网络或云服务。
5. OpenVPN:一种基于开放源代码的VPN协议,可在多个操作系统平台上运行。OpenVPN采用SSL/TLS协议进行加密,支持多种身份验证方法,具有良好的安全性和可扩展性。
[lc29]说简单点就是你的通信设备要具有可信性的芯片或者硬件,这个一般测评公司都看可信性报告,来评判是否符合
[lc30]format c: \q” 是一条命令,通常用于格式化计算机硬盘驱动器。它会将选择的硬盘驱动器格式化并清除所有存储在该驱动器上的数据。文章来源:https://www.toymoban.com/news/detail-817701.html
"C:"通常指的是计算机上的系统驱动器,格式化它将会完全清除操作系统和所有数据,从而导致系统无法启动。文章来源地址https://www.toymoban.com/news/detail-817701.html
到了这里,关于安全通信网络的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!