2008年7月19日 星期六

NetScreen 5GT防火牆啟動防毒功能

NetScreen 5GT防火牆啟動防毒功能時造成某些電子表單網頁無法使用,該如何解決?

11 / 18 / 2004

NetScreen 5GT啟動防毒後,若發現某些客戶慣用之電子表單網頁無法使用,但其他網頁皆正常時,可嘗試以下列方式來排解:

《步驟一》 點選左窗格ScreeningAntivirusGlobal

《步驟二》 將右窗格中「AV HTTP Settings Keep Alive」的項目勾選(如下圖所示)。




此項目選取與否並不影響安全性,主要只是執行掃描動作的時間性。

未選取時:系統會在監聽到 TCP FIN(終止訊號)時執行掃描,因此可能會造成逾時的狀況出現,而無法開啟網頁。

選取時:則系統並不會監聽 TCP FIN即開始掃描,即可以排解網頁開啟的問題。

NetScreen 5GT防火牆管制條例選取的Service為HTTP port 80時會出現錯誤訊息

為何NetScreen 5GT防火牆管制條例選取的Service為HTTP port 80時會出現錯誤訊息?

12 / 15 / 2004

這是因為管制條例選取的服務(HTTP)設定與機器內建的 Web 管理(HTTP port 80)衝突所至。欲避開這樣的衝突,可將內建的 Web 管理 port number 改為另一個,如 8000 或 8080 即可。

修改方式如下:

1. 點選左窗格 ConfigurationAdminManagement 於右窗格中將 HTTP Port 80 改為另一個 port number。




2. 更改 port number 後,若欲進入管理畫面,則須於 IP 位址後加上port number,URL 格式如「http://192.168.1.1:xxxx」,xxxx 為指定的 port number。

讓遠端用戶通過NetScreen 5GT防火牆來存取內部伺服器

如何讓遠端用戶通過NetScreen 5GT防火牆來存取內部伺服器資源?

03 / 28 / 2005

當 架設 NetScreen 5GT 防火牆之後,若防火牆內有提供資源分享的伺服器(如 file server、Web server、SQL server 等)時,預設狀態下遠端用戶是無法對內部伺服器作存取的動作,這是因為尚未設定相關的管制條例,以允許外部用戶能夠存取伺服器資源,這樣的設定其實類似寬 頻分享器設定 mapping 或是 virtual sever 的方式,只是多了建立管制條例的步驟。以下內容以設定 SQL server 為例,來說明設定步驟。

步驟一:由客戶端了解 server 提供 service 的 port number,並定義此 servic e的 object。

1. 點選左窗格 Objects→Services→Custom→New。

2. 於右窗格輸入 Service Name、Transport protocol、Source 及 Destination Port。

Source port 代表外部的用戶端,故為任一 port,而 destination port 則代表 SQL server,故設定為提供服務的 port number。




步驟二:將對外 IP 位址對映(mapped)給 SQL server。

1. 點選左窗格 Network→Interface。

2. 於右窗格中選取表格中 untrust 列中的 EDIT→MIP→NEW。

輸入:
1. mapped IP(對外 IP)。
2. 子網路遮罩採用預設值。
3. Host IP(SQL server 私有 IP)。
4. virtual router 使用 trust-vr。






步驟三:新增允許外部進入存取 SQL server 的管制條例。

1. 於左邊窗格選取 Policies。

2. 於右邊窗格中將「From」設定為 untrust、「To」設定為 trust,之後再按『New』。



3. 設定管制條例內容:
「Source Address」為 Any。
「Destination Address」為對映的 IP(外部 IP)。
「Service」下拉選單,選取在步驟一自訂的 service(SQL server),或點選『Multiple』將欲開放的多個服務移至左邊的欄位內。
「Logging」勾選則可監看管制條例的動作紀錄,只要點選『Options』欄位內的表格圖示即可顯示紀錄表。





以 上步驟設定完成後,外部用戶即可存取防火牆內部的伺服器資源了。若內部還有其它提供資源的伺服器,也是以此方式來設定,但要注意的是對外的 IP 則需使用另一組,不能再使用已對映過的 IP address;如本文範例所示,SQL server 已對映了IP 192.168.0.33,則此組 IP 便不能再對映給其他伺服器了,而必需使用另一組 IP 才行。


原文轉址


讓NetScreen 5GT防火牆具有兩組備援機制的WAN Port

要讓NetScreen 5GT防火牆具有兩組備援機制的WAN Port(RJ-45),該如何設定?

04 / 06 / 2005

NetScreen 5GT 防火牆預設提供 2 個 Untrust port(1 個 RJ-45、1 個RS-232)、4 個 RJ-45 Trust port,這裡的 Uuntrust 及 Trust port 的意思也就是一般所謂的 WAN port 及 LAN port。至於為何要以 Untrust、Trust 來命名,就字面上解釋來看,應該是認為外部是較不安全,攻擊較多因此也不被信任(untrust),而內部則較安全且攻擊較少,自然較容易被信任 (trust)了,不管其名稱為何,將它想成 WAN 及LAN會比較容易理解。




根 據上面的資料要接兩組外部線路(WAN)可使用 1 組 RJ-45(ADSL 或Cable)及 1 組 RS-232(ISDN),但若無 ISDN,卻有兩組 ADSL 或 Cable 的話,則可藉由更改 Port Mode 設定的方式來調整為兩組 RJ-45 的 Untrust Port 用以連接兩組 ADSL 或 Cable 的線路來做 WAN 的備援。請注意這裡所說的備援,是指當 1 組 WAN 失效時,另 1 組 WAN 可以接替運作,不至於讓整個網路對外的連線中斷,而不是兩組 WAN 可同時運作。以下內容將針對如何設定 Port Mode 以及備援方式一一說明。

一、設定兩組 RJ-45 Untrust Port(Dual-Untrust)

設定 Dual Untrust 有以下兩種方式:

● 第一種:在 NetScreen 5GT 作初使設定時即指定。

1. 於瀏覽器 URL 鍵入 192.168.1.1,連線進入 5GT 初始設定畫面,選擇「No , Use the Initial Configuration Wizard instead」後,按『Next』。




2. 在 Port Mode 選擇畫面,選擇「Dual - Untrust Mode」,此模式會將第 4 個 Trust Port 調整為 Backup Untrust Port(interface eth2),而原來的 Untrust Port 則為 Primary Untrust Port(interface eth3)。




3. 分別輸入兩組 Untrust Port(eth3、eth2)的 IP 位址、子網路罩及 Gateway。






4. 核對上述輸入值是否正確,正確無誤的話點選『Next』完成設定,此時裝置會重新開機。




5. 待裝置重開機後,進入Web管理畫面,於「Home」顯示畫面及點選左窗格「Network」→「Interface」畫面,即可看到 Untrust Port 的狀態。細看之下會發現兩個畫面中 Untrust Port Link 狀態不一樣,這是因為「Home」顯示的 Link 是外部線路連接狀態(Untrust Port 是否接上外部線路),而 Interface 畫面顯示的則是目前哪一組外部線路運作中。看到這些畫面即代表 Dual–Untrust Mode 已設定完成。






● 第二種:進入 Web 管理畫面設定。

1. 於Web管理畫面點選左窗格「Configuration」→「Port Mode」,之後點選右窗格「Port Mode」的下拉式選單,選擇 Dual-Untrust,再按『Apply』。



此時系統會出現警告訊息(會將目前設定移除並 reset 裝置),按『確定』後,裝置會 reset。這裡建議先將原來設定存檔,不管是要將所有內容重新設定(可做參考用),或是使用原有設定(只變更 Port Mode)都會用到。




2. 裝置 reset 後,會回至初始設定狀態,也就是第一種的設定方式,重頭開始。

3. 若要延用以往的設定,只要將之前的設定檔結合到目前的設定檔內即可。方式如下:

 a. 點選左窗格「Configuration」→「Update」→「Config File」。

 b. 點選右窗格畫面中「Merge to Current Configuration」,再按『瀏覽』,找出之前設定檔路徑及檔案後,按『Apply』確認,即可將先前的設定併入目前設定中。

 c. 要再將設定存檔,則點選『Save To File』,決定存放位置及檔案名稱即可。




由上述說明可知,兩種設定方式其實是相同的,差別在於設定的時間點。第一種的時間點是事先已規劃好兩組 WAN 做備援,因此可於初始設定時即指定。第二種則是事後再擴充一組 WAN 做備援,因此須由 Web 管理畫面來設定。

二、設定兩組 WAN 互相備援。

1. 進入Web管理畫面點選左窗格「Network」→「Untrust Failover」。

2. 於右窗格中勾選「Automatic Failover」,並設定「Failover Holddown Time」。裝置會自動偵測外部線路的存在,若與外部線路失聯超過設定的時間,則判定 Primary 線路失效,自動將 Backup 線路啟動,以替代Primary 線路,待 Primary 線路回復後,再自動轉回 Primary 線路連線。




利用上述的設定方式,就可以將 NetScreen 5GT 設定為兩組 WAN 並且具互相備援的機制了。


原文轉址

NetScreen 5GT防火牆如何將設定回復為原廠預設值

NetScreen 5GT防火牆如何將設定回復為原廠預設值?

12 / 26 / 2004

NetScreen 5GT 防火牆回復原廠預設值(reset)有兩種方式:軟體及硬體,這兩種方式皆會將系統回復至未做任何設定前的狀態(新機的狀態),因此在 reset 前,建議先將設定存檔或記錄,以利 reset 後若設定有疑問時,可回復或對照用。

存檔方式如下:

點選左窗格「Update」→「Config File」,點選右窗格中『Save as』按鈕將設定檔儲存至所要的路徑即可。




NetScreen 5GT 軟體的 reset 方式是利用指令來控制裝置動作,因此務必連接 console 線(隨機會附贈一條),否則無法執行。而硬體的 reset 方式則是觸發裝置本身 reset 的按鈕來執行 reset 的動作,這裡仍建議接上 console 線,以利用終端機畫面監控 reset 的過程是否成功。執行步驟說明如下:

【軟體方式】:

1. 接上console線(com port 設定→9600、N、8、1)。




2. 進入連線畫面,鍵入帳號密碼(請參考簡易安裝說明書),輸入指令『unset all』後,按『y』確定。




3. 執行指令後,務必將電源移除再重接(否則 reset 動作無法完成),如此即可將裝置 reset,reset 後系統重開時間約花費 4~5 分鐘左右。


【硬體方式】:

1. 接上 console 線,使用迴紋針刺入後端電源接孔旁的小孔,需刺入兩次;第一次刺入不放約 4~6 秒後,console 畫面會出現提示,要求作第二次的刺入動作,第二次刺入不放約 4~6 秒後,console 畫面會出現成功的訊息。




2. 此時系統會重開,待出現以下畫面,即代表 reset 動作已成功完成。




3. 若持續的秒數不夠(刺入即放開)或未依畫面提示刺入第二次,則 console 畫面會出現放棄reset動作的訊息,整個 reset 動作就必須重頭再來。




4. 若是未接 console 線,而無法由 console 畫面看到動作提示訊息的話,則只能藉由燈號的顯示,來了解 reset 動作是否成功。第一次刺入不放時,state 燈號會以琥珀色閃爍直到轉為綠燈閃爍為止,此時放開再刺入(第二次),state 燈號會以紅色閃爍直到轉為綠燈為止再放開,這時可以看到所有燈號會閃爍一下,到此表示 reset 動作成功,接著等候系統重開即可。


原文轉址

查看到您的WindowsXP初安裝日期

Windows系統安裝使用到現在,想知道它的“高齡”是多少嗎?

  以WindowsXP系統來說,按“WIN+R”快捷鍵,輸入“CMD”回車後,再在DOS視窗下輸入“systeminfo”命令,就可以查看到您的WindowsXP出生日期了(指WindowsXP初安裝日期)。,如果利用GHOST重裝系統後,還是會以以前的時間為准。

  除此之外,還可在此看到系統的所有資訊,如主機名、處理器、網卡、以及系統打了多少補丁等等。是不是很有意思呢?

讓電腦裸奔吧製作一個百毒不侵的系統

在電腦配置並不高的機子上,不安裝殺毒軟體肯定效率要高得多。本人兩年多不用殺毒軟體也並沒有病毒染身的原因。說白了就是以用戶身份上網!而不是管理員身份。下面說一下怎麼以用戶方式上網。

  1、安裝系統後(包括GhostXP),首先把所有分區都轉化成NTFS格式,很重要哦。不要說不會啊,就是單擊開始按鈕——>運行.輸入
"convert c: /fs:ntfs ",可以把C盤轉換成NTFS格式,不過要重啟才能轉換哦,其他盤就把C:改成相應的盤符就行了.

  2、在控制面板中打開"用戶帳號",將Administrator修改密碼,儘量複雜些,不一定要記得.再創建一個電腦管理員用戶和受限用戶,管理 員用戶一定要密碼,且也要複雜一些,這個密碼要記住.因為以後裝軟體,遊戲要用上.當然,記不住可以在DOS下改.

  3、設置好後,進入創建的電腦管理員用戶,打開“我的電腦”,單擊“工具”——>“檔夾選項”,點擊第二個選項卡“查看”,把裏面 的“使用簡單檔共用(推薦)”前的勾去掉。這個是以後打開檔夾或檔的屬性時會出現“安全”選項卡。

  4、把所有分區屬性的“安全”選項卡中“users”用戶去掉。這是它默認有一個特殊許可權,可以在分區下或檔夾內創建檔夾。再可以創建或保存文 件,這可能給病毒可乘之機。所以去掉。還有一個是“everyone".也去掉。添加創建的受限用戶進去,許可權是”唯讀”。

  5、個別文件的許可權問題:象QQ、遊戲都需要完全許可權,所以在電腦管理員用戶中要給受限用戶完全許可權。QQ最好把與QQ程式在一起的檔給唯讀許可權,防止木馬替換QQ及相關的DLL檔。

  6、在“運行”中輸入“REGEDIT”,打開註冊表,把裏面的[HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run]或[HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Runonce]的許可權設為唯讀。防止病毒利用此處啟動。

  7、清理上網緩存及暫存檔案,上網時,一般緩存放在C:\Documents and Settings\用戶名\Local
Settings\Temporary Internet Files中,這也是病毒藏匿的地方,還有就是C:\Documents and
Settings\用戶名\Local Settings\Temp
下的暫存檔案。很多程式要用到這個地方。病毒也喜歡藏在這裏,所以,在開機時,用批命令清空這兩個文件夾。讓病毒無處藏身。批命令為:
  del C:\docume~1\用戶名\Locals~1\Tempor~1\*.*
  del C:\Docume~1\用戶名\Locals~1\Temp\*.*
  當然還可以把History和Cookies都清空。
  做一個批命令檔,放到開始功能表中的“啟動”項中。
  這樣也就做好了受限用戶上網的準備工作,網上的病毒已經無法感染你的系統,也無法更改系統檔,對其他分區也無權更改,這樣U盤病毒也無關緊要,因為病毒無法寫入分區根目錄下。網頁病毒無法更改系統檔,再凶的網頁病毒也無能為力了。

  當然,此種方式對狂安裝軟體的人不適合,要想試用軟體,如果不安裝殺毒軟體,最好利用虛擬機,象VMware和Virtual
PC。對於只下音樂或電影的,沒什麼影響。

  希望上網想裸奔的朋友能用得上!!!!

2008年7月18日 星期五

適合小規模公司建置的無線環境

適合小規模公司建置的無線環境
從 辦公室到住家環境,無線網路已經慢慢普及到生活四周,無線網路的應用也是逐漸興起,舉凡Skype手機、Wi-Fi電話、掌上型電腦等,紛紛加速無線網路 應用層面,企業也開始注意到無線網路是不可擋的潮流,但總認為建置、管理很複雜,還要考量安全問題,必須有專職人員才能維護,難道一定要有資訊部門的企業 才能建置無線網路嗎?

=============================================================
技術編輯蘇碩鈞、王唯至/2006年4月

你可能不知道位於五堵工業區的慶如汽車(現代汽車的經銷商)都已經建置無線環境了。這間公司以經營門市及汽車保養場為主,並沒有專職的資訊部門人員,當初 老闆只考量能提供無線網路就好,但在建置期間,便開始思考無線安全的問題。以目前集中式無線網路設備而言,雖然已提供高安全性要求,並且操作管理日漸容 易,但還是必須有專職人員才易於維護,而且建置費用動則數十到數百萬元,若非企業規模夠龐大,很難採購這類型產品。加上現代汽車對安全又有一定要求,例如 必須具備防火牆及區分使用者權限等,因此,慶如汽車規畫網路時,必須符合現代汽車的資訊政策外,又希望能包括所有功能,更不需要專門維護人員,就可以讓客 戶修車時,提供無線上網能力。對他們來說,整合功能比效能好壞更重要,方便管理為第一考量,能區分訪客及員工使用權限,不需要建置複雜的網路環境,就是最 佳的選擇。

http://www.ithome.com.tw/001/0802/img/C_2_1.gifscreen.width*0.6) {this.width=screen.width*0.6;this.alt='此圖已經縮小,點擊察看原圖。';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.ithome.com.tw/001/0802/img/C_2_1.gif')}}" border="0">
http://www.ithome.com.tw/001/0802/img/C_2_2.gifscreen.width*0.6) {this.width=screen.width*0.6;this.alt='此圖已經縮小,點擊察看原圖。';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.ithome.com.tw/001/0802/img/C_2_2.gif')}}" border="0">

無線網路
已是企業網路架構的一分子
無線網路已經是企業網路架構中不可缺少的一環,所有研究數據都指出,無線網路會日趨重要地位,特別在筆記型電腦價格日漸廉價後,除了帶動購買電腦熱潮外, 筆記型電腦也都內建無線網卡,更帶動無線網路時代來臨。或許目前企業還是以有線網路為主,但無線網路的便利性無可匹敵,二種網路相互搭配,才能提供企業有 效率地網路環境。

目前大家考慮的無線安全問題,在集中式無線設備已有一些解決方式,但價格較高,建置上也較困難,這類型產品以中大型企業市場為佳,然而中小型企業大多無法建置如此規模龐大的架構,而且對他們而言,無線網路只是輔助性角色。

然而市場上也開始刮起強調高安全性的無線網路產品,從單純無線基地臺到整合型無線網路設備都已將安全列為主要考量,無線設備不再只有安全加密方式,更能認 證使用者身分,還能整合現有員工帳號資料庫,減輕維護不同使用者資料庫的負擔。因此,現在企業級無線基地臺/路由器大多提供認證使用者身份的方式,有些能 內建使用者帳號,並根據不同使用者權限套用不同政策範本,有些設備則區分不同SSID(Service Set Identifier),讓每個SSID具備獨立的VLAN,以往這些做法,必須利用多臺網路設備交差配合,現在則只需要單臺無線設備,即可區分使用者身 份資料。

價格低廉是最大的競爭優勢

市面上,企業級無線基地臺最大的特色就是能區分員工及訪客權限,而且價格約只有2至3萬元,有些國產品牌價格更低於2萬元,若企業需要提供無線網路服務, 又不想花費太多經費、時間及人力,只需要建置1臺這類型設備,即可滿足無線需求,而且這類型設備也從早期單一功能走向多功能整合,除了提供無線網路服務 外,更強化安全性(例如支援802.1x、WPA2等)及整合有線網路服務(例如NAT、防火牆等),有些以防火牆為基礎的廠商,為了延伸的UTM (Unified Threat Management)產品的功能性,也跨足無線網路的領域,雖然無線傳輸的效能上較弱,但是已經能符合小規模或偶爾無線上網使用。

無線基地臺將整合越多功能

以往,無線設備只具備基地臺的角色,現在則整合越來越多功能,試圖以1臺提供所有網路應用服務。本次採購特輯,我們只定義能區分訪客及員工權限的設備,就 可符合需求,因此,送測產品不單只有基地臺設備,更有整合路由器及安全防護能力的產品,大約可分為無線基地臺、無線路由器及整合型無線網路設備等3類。這 些產品各有其特點及適合應用範圍,提供採購時參考。

無線基地臺能整合現有網路架構
若企業原本已經具備一定規模的網路環境,只需要提供一些無線上網服務(非以無線網路為企業運作核心),建議採用能提供多組SSID的無線基地臺,無論是國 內外廠商都有相關產品,運作方式是區分每組SSID帶不同的VLAN Tag,中間連接第三層交換器,交換器必支援802.1Q,以接收到不同VLAN Tag,利用DHCP Relay的方式對應到後端DHCP伺服器,當使用者從不同SSID登入時即可提供不同網路服務,例如3Com 3CRGPOE10075除了能讓不同SSID帶不同VLAN Tag外,每次只能廣播1組主要的SSID,其他SSID都會自動隱藏,主要的SSID可提供訪客使用,其他隱藏的SSID則提供員工使用。

無線路由器可內建使用者帳號資料
若企業規模小、沒有網路環境,希望能同時建置無線及有線網路,則可考慮無線路由器,能直接連接到ADSL的ATUR設備,大多提供1個網際網路連接埠與4 個 10/100 BASE-T,具備NAT及路由功能。這類型設備原本以家用市場為主,為推廣至企業市場,也開始整合使用者資料庫,例如無線用戶連線時,會先導入 HTTPS登入畫面,經過認證使用者身份資料,即可提供無線網路服務,只是若需要區分使用者登入身份較麻煩,但是以Cipherium bonalinx-W 1310為例,原本提供熱點使用,結合帳號計費功能,也能隨機建立訪客帳號。

整合型無線網路設備強調功能極大化

UTM 設備整合的功能越來越多,從基本防毒、防火牆及IPS,到防垃圾郵件、防IM等,除了具備上述無線路由器的網路功能外,更延伸至無線網路範圍,企圖以單一 臺設備整合有線、無線及所有防護功能,因為內建防火牆規則,規範使用者帳號權限較容易,像SonicWALL TZ-170W可先建立不同群組權限,讓不同使用者套用群組規則,Juniper Netscreen 5GT-wireless則採用不同SSID對應不同Zone區的方式,先設定Zone區的權限,使用者登入不同SSID即提供不同網路服務。但計價方式 與UTM產品相同,越多功能、價格越貴,不過無線網路大多算是基礎功能,若需要其他防護功能,才需額外計費。

適合小規模建置,大範圍部署、管理較不易

無論是上述哪種設備,都強調單機整合,但是並不適合大規模建置無線網路環境,例如若企業具有10臺無線基地臺,每臺設備都需要區分訪客及員工帳號,則共需 要操作10次外,每次更變權限也都需要重新操作,管理上較為不便。為解決大規模無線環境部署上的問題,市面上有WLAN閘道器及交換器等集中式無線網路設 備,WLAN閘道器類似流量管控方式,無線訊號都會經由WLAN閘道器控管,也能認證使用者帳號身份,WLAN交換器則配合Thin AP,可視Thin AP為無線天線,WLAN交換器為集中式管理設備,可以管理無線網路範圍及限制訊號發射能力,還能偵測並中斷非無無線訊號。但這類型產品價格昂貴,建置上 也較複雜。日前Trapeze推出支援3臺無線基地臺的MXR-2 WLAN交換器,1臺WLAN交換器搭配1臺Thin AP及管理軟體約7~8萬元,若使用3臺Thin AP,整體價格約在10萬元內,大幅壓低WLAN交換器的價格,對整合型無線基地臺有很大的殺傷力。若企業需要建置3臺無線基地臺,平約每臺約2萬元的價 格計算,約6萬元,Trapeze只需要9萬多元,又能集中式管理,更可減少工作上的負擔。(這次採購特輯的無線基地臺則可稱為Fat AP,因為操作管理都在單機運作,不像WLAN閘道器及交換器屬於分散式,分離無線基地臺與管理系統)

原文轉址

六種vlan在switch上的實施方法


VLAN在交換器上的實施方法,可以大致區分為六類:

  1. 根據port區分的VLAN


  
  這是最常應用的一種VLAN區分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協定的交換器都提供這種VLAN配置方法。這種區分VLAN的方 法是根據乙太網交換器的交換port來區分的,它是將VLAN交換器上的實體port和VLAN交換器內部的PVC(永久虛擬電路)port分成若干個 組,每個組構成一個虛擬網,相當於一個獨立的VLAN交換器。


  
  對於不同部門需要互訪時,可通過路由器轉送,並配合根據MAC地址的port過濾。對某站點的訪問路徑上最靠近該站點的交換器、路由交換器或路由器的相應port上,設定可通過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。


  
  從這種區分方法本身我們可以看出,這種區分的方法的優點是定義VLAN成員時非常簡單,只要將所有的port都定義為互相對應的VLAN組即可。適合於任何大小的網路。它的缺點是如果某用戶離開了原來的port,到了一個新的交換器的某個port,必須重新定義。


  
  2. 根據MAC地址區分VLAN


  
  這種區分VLAN的方法是根據每個主機的MAC地址來區分,即對每個MAC地址的主機都配置他屬於哪個group,它實施的機制就是每一塊網卡都對應 唯一的MAC地址,VLAN交換器跟蹤屬於VLAN MAC的地址。這種方式的VLAN允許網路用戶從一個實體位置移動到另一個實體位置時,自動保留其所屬VLAN的成員身份。


  
  由這種區分的機制可以看出,這種VLAN的區分方法的最大優點就是當用戶實體位置移動時,即從一個交換器換到其他的交換器時,VLAN不用重新配置, 因為它是根據用戶,而不是根據交換器的port。這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累 的,所以這種區分方法通常適用於小型區域網路。而且這種區分的方法也導致了交換器執行效率的降低,因為在每一個交換器的port都可能存在很多個VLAN 組的成員,保存了許多用戶的MAC地址,查詢起來相當不容易。另外,對於使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣VLAN就必須經常配 置。


  
  3. 根據網路層協定區分VLAN


  
  VLAN按網路層協定來區分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網路。這種按網路層協定來組成的 VLAN,可使廣播域跨越多個VLAN交換器。這對於希望針對具體應用和服務來組織用戶的網路管理員來說是非常具有吸引力的。而且,用戶可以在網路內部自 由移動,但其VLAN成員身份仍然保留不變。


  
  這種方法的優點是用戶的實體位置改變了,不需要重新配置所屬的VLAN,而且可以根據協定類型來區分VLAN,這對網路管理者來說很重要,還有,這種 方法不需要附加的frame tag來識別VLAN,這樣可以減少網路的流量。這種方法的缺點是效率低,因為檢查每一個packet的網路層地址是需要消耗處理時間的(相對於前面兩種 方法),一般的交換器晶片都可以自動檢查網路上packet的乙太網frame header,但要讓晶片能檢查IP frame header,需要更高的技術,同時也更費時。當然,這與各個廠商的實施方法有關。

  4. 根據IP組播區分VLAN


  
  IP 組播實際上也是一種VLAN的定義,即認為一個IP組播組就是一個VLAN。這種區分的方法將VLAN擴大到了wan,因此這種方法具有更大的靈活性,而 且也很容易通過路由器進行擴展,主要適合於不在同一地理範圍的區域網路用戶組成一個VLAN,不適合區域網路,主要是效率不高。


  
  5. 按策略區分VLAN


  
  根據策略組成的VLAN能實施多種分配方法,包括VLAN交換器port、MAC地址、IP地址、網路層協定等。網路管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN 。

  6. 按用戶定義、非用戶授權區分VLAN

根據用戶定義、非用戶授權來區分VLAN,是指為了適應特別的VLAN網路,根據具體的網路用戶的特別要求來定義和設計VLAN,而且可以讓非VLAN群體用戶訪問VLAN,但是需要提供用戶口令,在得到VLAN管理的認證後才可以加入一個VLAN。

文章分類: Cisco相關
CiscoSystem at 無名小站 於 03:49 PM 發表

2008年7月15日 星期二

企業網路如何防止非授權網路連接


11/27/2005, 23:18
企業網路如何防止非授權網路連接

防 止使用者將非授權的網路設備,私自連接至企業內部網路,是企業網路安全中,重要的一個工作。像個人電腦, Hub, Switch 或者 wireless Access Point 等設備的私自連接,而造成網路出現因原始設計的網路架構被改變,而發生網路傳輸不穩定、或造成線路 loop 、或產生 security risk 等各種問題。談到如何防止之前,先介紹網路設計上的基本區隔,及應該作的工作內容,以方便了解為何在防止非授權設備接用,在實際實行上所會遇到的困難及解 決方法。

一般企業網路設計,大都將網路設備依不同的工作性質及容量來作區分。大體上可以區分為三個部份網路的基本架構。說明如下:

Core Layer:
為 企業網路資料交換骨幹(backbone),資料在骨幹網路之間快速的交換(或轉換)並傳遞。在骨幹網路唯一的要求是速度,所以如何快速的傳遞交換資料, 是 core layer 的主要任務。 core 大都是使用中、大型的 multi-layer switch / router。 傳輸介面不會太多,但為求快速交換及快速傳輸資料,所以會使用較高速的傳輸介面,如 155 Mbps 或 625 Mbps 以上的 SDH / ATM 線路,或以光纖 Gigabit Ethernet 為主,不過最近也開始有 10 Gigabit Ethernet 開始安裝在 core 端,來加大資料的 pipe size。 因為要求快速,而使用高速的傳輸介面,所以很多的資料流會在 core 匯集(aggregate)後整批傳輸。所以在 core 上,並不建議使用封包內容檢查(access rule、pattern match 、packet filter),以免因為為了檢查內容而必須將資料封包拆開檢查,再重新寺包,造成 delay jitter 過高,並浪費 switch router 的 CPU 及資源。整個網路的 routing 會經由骨幹交換,並快速計算出傳輸路徑,以利資料快速到達目的地,並可以即時反應網路連線的狀況及品質,自動作相對應調整。網路傳輸品質的 QoS 也必須在 core layer 作一定程度處理,以免需要傳送的資料過多時,因為各介面的速度不一樣,而傳輸不順,減低了 core 的處理能力。一般在 core 上可以使用 layer 2 CoS 和 layer 3 IP ToS/IP Preference / DiffServ 及 MPLS 等方式作 QoS,但要並用或其中一種來作 QoS 的判斷基準階可。

Distribution Layer:
位 於骨幹交換網路,和使用者終端之間的中介,在這一層中主要工作,是將資料區分出必須要和骨幹網路交換的資料,和可以在本地端直接交換的資料,或者是要和處 於相同 distribution layer 的設備交換資料。 distribution layer 一般會設定有大量的 layer 2 VLAN 及 layer 3 routing ,並有封包過濾、檢查等工作。 在使用上, distribution layer 以使用 layer 3 switch 為主, 不過近來也有使用 multi-layer switch, 主要是為了要使用 MPLS ,來和 core layer 配合。 而 distribution layer 的 switch 也會在 access switch 之間,及上層的 core switch 交換 layer 3 的 routing,不過為了網路的穩定及節省頻寬,所以不必交換整個網路的 routes, 因這部份可以直接交給 core layer 的 switch / router 來作。所以 distribution layer 的 route 大都會先經過 summary 簡化成 super-net 之後,再和 core 交換,可以節省頻寬,並減低因下層網路不穩定時,直接對上層網路造成因為路由改變,而需要重新計算 route table 及路由收斂 delay 等影響。Distribution layer 會有大量的 access rule 設定,並且對所經過的資料一一查核,若有不正常的資料,則依照所設定的方式處理(permit / deny / pass / drop)。 在查核資料的同時將 layer 2 和 layer 3 的 QoS mark mapping ,由下層的 access layer 來的 layer 2 CoS 標籤,轉成上層 core layer 所使用的 layer 3 IP ToS / IP Preference / DiffServ 標籤或 MPLS 標籤以利 QoS 設定延續來達到 end-to-end QoS 設定。

Access Layer:
連 接企業網路和使用者終端(泛指個人電腦、或是主機 server等),是企業網路到使用者之間,最後一段線路,是企業網路中數量最多、散佈最廣、管理最困難的一部份,散佈在整個公司內各處。 Access Layer 使用 layer 2 或 layer 3 switch 功能較簡單。但近來在使用者端的非授權軟體--對企業網路影響最大,是可穿越防火牆的 SSL tunnel 、或是 local-host SOCKS proxies 、病毒、或 spyware 等問題,漸漸有將 access layer 力強用 access rule 管制,並由 layer 2 / layer 3 switch 提昇至 layer 4 甚至 layer 7 packet filter,才有辦法在這些不該傳輸的資料,傳出使用者的電腦時,就直接辦認出來並攔劫,防止這些資料傳至網路上其他電腦設備,或是公司外部,洩漏公司 機密。

所 以對企業網路來說, access layer 在企業網路安全維護中,是最直接的第一線戰場。以前在 access layer 並不會設定或設定太多的 access rule ,也不太會作 QoS 的設定,這些工作都交給 distribution layer 或 core layer 來作。但以今日的網路環境,若是在 access layer 設定了一些簡單的 access rule ,則可以有預防的功能。像 DoS 型病毒發作時,帶有病毒的資料大量又快速散佈時, QoS 的設定,可以限制某些不必要的資料傳輸速度,減低整個網路的 response time,或只是因為少量的使用者,設備設定錯誤或不當使用,而占用大量的網路頻寬。而且應該在 access layer 上使用 VLAN 來作不同部門之間的區隔,就算是整部 switch 都是同個部門使用,設定了 VLAN 也可以在不同的 service level 中得到好處,因為在企業中不難保部門的區隔及限制會永遠不變,使用了 VLAN 在部門或辦公室重新 layout 時,會很方便而且可以及時配合 layout 改變。而若使用了 multi-layer access switch 更可以對使用者所傳送或接收的資料一一作確認、檢查,如使用了 SSL tunnel 、local-host SOCKS proxies 、或是 Instant messenger 、或是 P2P 檔案傳輸等,以便及早發現問題。若是等到在 distribution layer 或是 core layer 再作這些檢查,就太慢了,一部份的網路頻寬己經被占用,且可能因封包在經過 access layer switch 時被重寫 source MAC address 而無法分辦,是由那部電腦,或由那個 switch port 所傳出來的。

目前在防止非授權設備連接至網路的方法, 不外使用下列方式: ethernet MAC address limit 及 802.1X 認證。 以上兩種方法可以從網路實體連接上直接防止使用者私自接用不必要的網路設備。但必須在最接近使用者端的 access layer 的 LAN switch 上設定才有效。Ethernet LAN switch 的基本工作方式,當 switch port 有資料進來時,先檢查 MAC address table 是否有記錄 Destination MAC address 並,將 Source MAC address 和 switch port number 記錄至 MAC address table,並將資料送到目的位址的 switch port 送出去。若是在 MAC address table 中查不到 Destination MAC address 則發出 MAC address broadcast flood 查看是否有回應,若有則記回應的 switch port 並記錄至 MAC address table, 以備下次使用。不過每部 switch 的 MAC address table 及單一 switch port 的 MAC address table 都是有限制的,所以在 MAC address table 中還有設定 MAC address 記錄的時間叫作 aging time。若一直有新的資料進出這個 switch port,則 aging time 時間會同步更新,但若在時間內沒有資料傳送,則 aging time 時間到了就清除,一般的 MAC table aging time 設定為 300 秒。

原來的 MAC address table 可以同時記錄多筆的 MAC address 資料,一般單一 port 的 MAC address table 都可以記錄 128 或 256 個以上 MAC address。而使用 MAC address limit,簡單來說就是在 access layer switch 上設定限制每一個 switch port 可連接的 MAC 數量,並將 aging time 自動調整至比較高的數字,除非該 switch port 有plug-unplug 的動作,才會更新。當單一 port 學得的 MAC 超過限制時,就不會對後來加入的 MAC 所傳送的資料作上傳。建議對使用者連接的 switch port 可設定為一個 MAC per port,就是說這個 switch port 只可以接一個網路設備。不過設定 MAC 的數量只對 switch 或 hub 有效,如果是 router 並有 NAT 的話,就無效了,偏偏市面上的 IP 分享器及 Wireless AP 大都有 router mode 加 NAT 的功能。但如果將所要連接的 MAC address 直接指明的話呢?當然是可以的,不過在實作上比較困難。因為當網路大到某一程度,要將所有的 MAC 和所連接的 switch port 一一設定,要花費許多的時間,這還不算,當 topology 有改變或是遇到有在辦公室之間漫遊的使用者,那就要經常作相對應的調整,需要大量的人力來維持 MAC address 和 switch port 的對應,而且無法自動處理,全部需要人工作業。如果可以在每次使用者連接到網路時,就對於 switch port 的使用權限自動作一些基本的檢查,以確認使用者的身份,並對該使用者作相對的設定,視使用者的個人設定來開放使用的等級。認證通過則對網路 switch 作相對設定,不然則關閉 switch port 使其無法使用網路(等於斷線)就可以比較簡單的作管制了。

IEEE 802.1X 原來是針對 IEEE 802.11 無線網路使用認證所設計,不過也正好可以用在對單一 switch port 的使用權認證。 802.1X - Port-Based Network Access Control,從字面上看來,是專門針對單一網路 port 作連接存取控制。可有效用來即時控制網路設備的連接與否。簡單來說 802.1X 就是當網路設備要使用網路資源時(偵測 port states up/down)必須先經過認證。若認證通過,則可以使用全部的網路資源,反之則受限制。在尚未啟動 802.1X 認證時,所有封包都可以自由進出 switch port,但當 switch port 啟動了 802.1X 認證後,在尚未通過認證之前,只允許 認證用的 EAP 封包可以通過 switch port ,等到 switch 收到了認證許可, 802.1X 才會將 switch port 打開讓封包通過 switch port。若沒有通過認證,當然就所有封包還是不可以通過 switch port (只有 EAP packet可以通過)。 要使用 802.1X 的要求是,switch 必須要支援 802.1X ,並且要連線的 client 也要支援 802.1X 的認證才可以,目前的 Windows 2000 / Windows XP / Macintosh OS X / Linux 都有支援,而且 Windows OS 還設定為 default 就使用 802.1X。但若是client 支援並使用 802.1X 作認證,而 switch 卻不支援 802.1X 時,client 會自行認為己經通過認證而得到網路的使用權,這也說明了為何 Microsoft 會將 802.1X 作為網路卡設定中的 default 設定。

在使用了支援 802.1X 的 switch 並設定之後,一般會在網路上加裝支援 EAP 的 RADIUS 作為存放及認證使用者及密碼資料及儲存連線時的相關資料,如連線時間,使用權限,使用記錄等。使用 RADIUS 意思就是說 802.1X 的認證可以直接對到單一使用者,而和 MAC address limit 不同的是不對所連接硬體作設定,這樣在管理上又方便了不少。使用 MAC address limit 和 802.1X 兩者配合,並使用 RADIUS 來作認證及使用記錄,可以針對各別使用者私自加裝網路設備作有效的管理,但是若是因為使用軟體而改變了企業網路的連接呢?像是使用 Windows XP 的橋接器,將二個不同的 VLAN 作 bridge 或者是使用 local-host SOCKS Proxy 軟體將遠端的機器 bridge 進企業網路,又或者是使用 P2P 軟體而對於對外頻寬的無度要求,這些用軟體來改變企業網路連接形態, MAC address limit 及 802.1X 等比較面向硬體設定的方法就不適用了。

要對軟體的功能設限的主要用意,是在防止網路外部的人員對企業內部 的資料存取或者是管制存取權限。所以第一要先用 firewall 來將大部份不需要的 protocol 及不需要對外 service 的 host 作限制。只讓必要的 traffic 及 server 可以對外,建議所以開放的 port 及對外 service 的機器越少越好。而內部有需要連接至外部的盡量使用 RFC-1918 所建議的 private IP address 如 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 並使用 NAT 作位址轉換。再安裝一至二部 web proxy 作為代理,以減少內部網路和外部的接觸。再來就設定 web browsing 全部要 forward 至 web proxy, 這可以由使用者在 web browser 上自行設定,或是在 network gateway 上作 IP address 及 port forwarding 來達成。 以上是一般的內部對外部的設定,絕大部份的企業網路都是這樣設定。但是因為技術一日千里,這樣子的設定對於目前在網路安全來說是不夠的。

因 為 Soft-Ether 和 Hopster 這類 user VPN 軟體的出現,令企業高價購買的 firewall 無力招架, Hopster 使用 local-host SOCKS proxy,也就是利用 SOCKS proxy 這個協定(TCP port 1080),將要送出去的資料先在自己的本機端作資料偽裝,並利用大部份網管人員都會直接或設定由 web proxy 連接而開放的 HTTP ( TCP port 80) HTTPS (TCP port 443) 穿越 firewall,並和外部的一部或一群同樣使用 Hopster 的電腦組成 bridge。 這樣企業內部和外部就用 bridge 連在一起了,再利用外部的 gateway 就可以連到 Internet 任何地方以及使用任何 service 了。而 soft-ether 和 Open VPN 使用 SSL tunnel,也是先在本機將資料用 SSL 包裝,再使用 web proxy 傳送出企業網路,來和遠端的主機連接而達成 VPN 的連接,大致上的工作原理和 Hopster 一樣,不過因為 soft-ether 和 Open-VPN 會在本機虛擬出一個網路卡,如些所有的 IP traffic 甚至不是 IP 的封包也可以送到遠端,比起 local-host SOCKS proxy 的破壞力更強。而和 Hopster 相同的程式還有 TOR / HTTP tunnel 等等非常的多,而且像 TOR 還會在企業網路及外部網路中串連以減低被追蹤的機會。不過也並不是沒有辦法可以防止這種程式的濫用,在防火牆或 web proxy 上使用正面表列允許連結的 URL,其他 URL 則不允許連結,如此應可有效防止這類型的連線,但是在管理上增加了網管人員許多壓力,及浪費時間在收集及設定這些 access rule。 要作正面表列之前最好先通告使用者將要修改 rule ,並在暗中先行收集平常在 web proxy 及 firewall 上經常會連結的網站,並作列表備用。而在使用 firewall access rule 正面表列之後,對於目前企業網路安全中的 P2P 及 Instant messenger 等也可以作管理,而不需要加其他像 layer 7 firewall 等高價設備。

對於企業網路 中使用 user VPN tunnel 或 Instant Messenger 如 MSN / Skype /GizmoProject / Soft-phone 等 VoIP 或是 Bit-Torrent / Kazaa / E-Donkey 等P2P 軟體,視使用的方式不同,就會有正反兩方完全不同的看法,這些軟體是比較新的溝通方式,可以節省電話費用也可以即時的連絡或是傳輸資料,也可以對客戶提供 24x7 的全天候服務。不過在企業資料安全方面來說,就也同樣會有公司內部機密外流的危險。但要全面使用或部份使用者可以使用,或全面禁止,全視企業網路的 policy 而定。若是開放使用,則需要在網路設備上針對這些服務作設定以免影響到網路上其他的服務正常運作。

這些 Instant Messenger 和 VoIP 或 P2P 及網路遊戲等等的 Internet 服務都有一個共同的特性,就是在一開始會先連結到 Internet 上的某些 URL 作註冊,以取得使用權並取得上線的使用者列表及更新線上使用者的狀態。而使用者之間的資料交換,就直接於註冊主機交換,或是直接於兩個使用者之間作點對點 傳輸,不再經過註冊服務主機。而且這些程式都會使用特定的 port number 來區分不同的服務,所以在正常的防火牆管理上並不會太困難但若是配合 SSL tunnel 或是 local-host SOCKS proxy 來作 user VPN tunnel 出去的話就完全不同了,因為原始封包先經過 SSL 或 SOCKS proxy 轉包成 HTTP/HTTPS 的封包,防火牆會簡單的認定該封包資料只是 HTTP 或 HTTPS 封包,而且若是 SSL 或 HTTPS 的封包,因為己經加密過,所以就算使用封包過瀘也無法檢查,這時就只有使用 pattern match 的方式來過濾封包才有可能可以阻擋。

使用像 P2P 等的檔案傳輸軟體共享及傳輸大量資料,一般只要注意不要干擾到別的網路服務即可。一般說來可以用 layer 2 及 layer 3 的 traffic QoS 來作管理,以避免在傳輸大量資料時干擾到別的服務。

在 沒有 QoS 設定的網路上,資料的傳輸都為 FIFO 及 Best Effort,若有 congestion 發生時則使用 tail drop。 但這種設定在單純的資料傳輸環境及有足夠可用頻寬的網路可以運作得很好,不用特別設定。但若是在一個資料量很大而且有各種不同的傳輸要求時,就可能會因為 congestion 而大量資料被 tail drop。而 Bit-Torrent / E-Donkey / Kazaa 等 P2P 檔案傳輸軟體,大部份都會直接在 peers 之間交換資料,並分工合作,所以在有使用 P2P 軟體的網路上,一定可以看到非常大量的 session 在對多個 URL 同時作資料傳輸,這類軟體,預設會用掉網路的可用頻寬,而造成排擠到其他的服務。這時若網路有 QoS 設定,則可以先針對這些服務設定優先等級,以及可以使用的頻寬,並在網路頻寬不足時,針對不同形態的資料作不同程度的處理,讓需要優先處理的資料可以得到 比較多的網路資源及頻寬,而 P2P 軟體等有大量頻寬需求的資料傳輸,也還是可以在被控制下有一定量的頻寬運作,只是比較受限而己。

QoS 可以有很多不同的作法,不過簡單來說就是要保證網路被使用頻寬的合理性,確保比較重要的資料可以優先被處理並傳送到目的。何謂重要資料,一般說來就是公司 用來賺錢的資料為優先。但是若以資料形態細分下來,大致可以分為即時資料,像是 VoIP 語音及串流影像(video stream),用於影像會議,網路電話等。以及高生產價值的資料,如公司內的資料庫資料存取,以及一般資料像是電子郵件,web access,網管軟體 IM 等,最後為大量資料的檔案傳輸,如 FTP 及 P2P 檔案共享及遠端檔案備份/同步等。何種優先,取決於公司對於這些資料定義的 policy 而定。

QoS 的處理,一致可以分為 Classifier / Marking / Policing / Shape。將上一級 switch / router 傳送進來的資料分門別類,並貼上標籤,而在要傳送出去時,就依照分類的標籤,區分為不同的服務等級。各等級再依照不同的優先權限傳送到下一級的 switch/router。並可以視網路頻寬的使用情形,依照所分類的標籤對資料作不同的處理。在標籤方面可以有很多不同的選擇,像 layer 2 時可以使用 VLAN tag 中的 802。1p CoS 來作標籤,在 layer 3 方面, IP 可以用 ToS byte, Precedence, 或是 DiffServ 等方法來作為標籤,而要在不同的傳輸介質中保有相同的標籤設定,這時若有支援 MPLS 就會方便許多。而 QoS 最好是可以作到 end-to-end 的設定,可以保證設定的一致,所以一個網路內最好使用相同的標籤設定,從 core 到 distribution 到 access layer 全都是一樣的設定。一般建議使用 IP Precedence 為佳,並將不同的 QoS 標籤設定作相對的 mapping 以保持一致,例如 Layer 2 CoS to Layer 3 Precedence 對應及 Layer 3 Precedence to MPLS 標籤對應等。

有 了標籤,再來就是將有相同標籤的資料放到同一個 output queue 中,等待傳輸。 queue 的方式也有很多種,像 First In First Out / Weight Round Robin /Weight Fair Queue / Priority Queue 等對不同數量的 queue 作不同的操作。而在 congestion 發生時如何處理 queue內的資料也有 Random Early Detect / Tail Drop / Weight Random Early Detect 等對超過處理能力的資料,作選擇性的操作,以減少 congestion 的發生機會。 在作了 mark 並放到不同的 queue 之後,再來就要將資料傳輸出去,但資料傳輸時還可以根據不同的 traffic model 需求對不同的 marking 作管制,例如某個 queue 的資料可以傳送最大的資料量,或是資料封包個數等,也可以作 shape 將傳輸資料以比較平均的傳輸量傳輸出去。若只是想簡單的對某些資料作流量管制,也可以直接使用 access list 分類出來再設定 traffic rate limit 直接限制流量即可。

結論:
要防止在硬體方面非授權網路設備連接到企業網路,可以用 802.1X 及 MAC address limit 對連接的使用者作授權檢查,並設定該 switch port 只可以連接一個網路設備,或者只允許表列的 MAC address 可以使用網路, 可以減化安全考量,但會增加在管理人員在管理 MAC address 上的負擔,而且若遇到有可移動的需求時,並不方便。建議昇級 access layer switch 至 layer 3 以上並支援 VLAN 及 QoS,並詳細規劃設定設定 access rule。

要防止以 user VPN 軟體將資料穿越防火牆,並改變或影響企業網路的穩定及安全、或是使用 P2P 檔案傳輸,可以用 QoS 及 firewall 及 web proxy 互相配合,並且一定要在 web proxy 上使用正面表列允許連結的網站,即可去除不必要的網站 traffic 及 非授權的 user VPN tunnel 過 proxy server,而其他不在表列中的位址則禁止使用,可以有效防止 SSL tunnel 和 SOCKS proxy 的 VPN tunnel 及資料傳輸。或者是使用 layer 7 的 pattern match filter 在網路 gateway 之前過濾封包。並對各種封包樣式作資料流量分析,並作為設定 QoS 的根據。

參考資料:

How LAN switches work
http://www.cisco.com/warp/public/473/lan-switch-cisco.shtml
http://computer.howstuffworks.com/lan-switch.htm/printable

How Router work
http://computer.howstuffworks.com/router.htm/printable

Unicast Flooding in Switched Campus Networks
http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00801d0808.shtml

IEEE 802.1X Port Based Network Access Control
http://www.ieee802.org/1/pages/802.1x.html

802.1X Port-Based Authentication HOWTO
http://www.tldp.org/HOWTO/html_single/8021X-HOWTO/

Can Hopster traffic be blocked?
http://www.derkeiler.com/Mailing-Lists/securityfocus/focus-linux/2004-08/0001.html

Understanding SSL bridging and tunneling within ISA
http://www.isaserver.org/tutorials/Understanding_SSL_bridging_and_tunneling_within_ISA.html

TOR Overview
http://tor.eff.org/overview.html.en

HTTP Proxy Services
http://www.windowsitlibrary.com/Content/386/18/4.html

What Makes QoS Work?
http://www.cisco.com/warp/public/779/smbiz/community/qos_basics.html

DiffServ - The Scalable End-To-End QoS Model
http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/prodlit/difse_wp.htm

Comparing Traffic Policing and Traffic Shaping for Bandwidth Limiting
http://www.cisco.com/warp/public/105/policevsshape.html


名辭解釋:

MPLS
Multi-Protocol Label Switching
http://rtg.ietf.org/wg/mpls/rfclist

VLAN
IEEE 802.1Q Virtual LAN

Spanning-Tree
IEEE 802.1D

QoS
RFC-3583 Quality of Service

CoS
IEEE 802.1p Class of Service

IP ToS
RFC-1349
IP header Type of Service field

IP Precedence
RFC-1122
Requirements for Internet Hosts in Communication Layers

IP DiffServ
RFC-2474 RFC-2475
IP Differented Service

Gigabit Ethernet
IEEE 802.3z

10 Gigabit Ethernet
IEEE 802.3ae/802.3ak

SDH
Synchronous Digital Hierarchy
http://www.iec.org/online/tutorials/sdh/

ATM
Asynchronous Transfer Mode
http://www.mfaforum.org/education/atm_wp.shtml

SOCKS
proxy SOCKS Version 5 Protocol ROF-1928
http://www.socks.nec.com/AboutSOCKS/SOCKSOverview.asp

MAC
IEEE 802.3 Media Access Control

OSI 7 Layer Model
http://en.wikipedia.org/wiki/OSI_model

Spyware
http://en.wikipedia.org/wiki/Spyware

EAP
Extensiable Authentication Protocol
http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

RADIUS
Remote Access Dial-IN User Services
http://en.wikipedia.org/wiki/RADIUS


URL
Uniform Resource Locator
http://en.wikipedia.org/wiki/URL

FIFO
First In First Out
http://en.wikipedia.org/wiki/FIFO

VoIP
Voice over IP
http://en.wikipedia.org/wiki/Voip

streaming media
http://en.wikipedia.org/wiki/Streaming_media

Wireless AP
Wireless Access Point


相關軟體:
Proxy Server
Squid Web Proxy Server
http://www.squid-cache.org
Microsoft ISA Server
http://www.microsoft.com/isaserver/
http://www.isaserver.org/

Local-host SOCKS Proxy
TOR
http://tor.eff.org
Hopster
http://www.hopster.com
HTTP-Tunnel
http://www.http-tunnel.com/html/

SSL Tunnel
SoftEther
http://www.softether.com/jp/vpn2/
STunnel
http://www.stunnel.org/
OpenVPN
http://www.openvpn.org

P2P software
E-Donkey
http://www.edonkey2000.com
BitTorrent
http://www.bittorrent.com
Kazaa
http://www.kazaa.com

Instant Messenger and Internet Phone
AOL Instant messenger
http://www.aim.com
MSN messenger
http://messenger.msn.com
ICQ instant messenger
http://www.icq.com
Yahoo messenger
http://tw.messenger.yahoo.com/index.php
Jabber
http://www.jabber.com
Google Talk
http://www.google.com/talk/
Skype
http://www.skype.com
Gizmo Project
http://www.gizmoproject.com

原文網址

IEEE 802.1d(STP)

IEEE 802.1d(STP)


為什麼需要802.1d

二 層數據網的自愈需求由來已久,早期的以太網 Bridge 採用了基於 MAC 位址在不同端口之間的轉發,而每一個端口對應的是一個以太網的網段,也就是一個以太網的廣播域,透過學習每個端口的 MAC 位址表的模式,以太網 Bridge 只轉發不同端口間的通信。但是由於Bridge 倚賴的是營運網路中存在的MAC 位址和端口的對應表,所以一旦收到到達站址未知的數據包,它將利用廣播的形式來尋址,這種方法使得它天生不能隔離廣播包和組播包的通信,其後果就是在一個 環形網路中造成數據流量以指數形式的增長,從而導致網路的癱瘓,這種現象也稱為“廣播風暴”。

可以說“廣播風暴”的現象只存在於兩點之間 存在冗餘鏈路的網路之中,而冗餘鏈路的存在正是網路設計中大量存在的,這種設計的目的是當某一條鏈路失效時,另一條冗餘的鏈路能夠馬上接管所有的工作。為 了解決“廣播風暴”這一在二層數據網路中存在弊端,IEEE(電機和電子工程師學會)製定了 802.1d 的生成樹協議(Spanning Tree),這種協議的本質就是消除網路拓撲中任意兩點之間可能存在的重複路徑,利用這種算法將兩點之間存在的多條路經劃分為“通信路徑”和“備份鏈路 ”,數據的轉發在“通信路徑”上進行,而“備份鏈路”只用於鏈路的偵聽,一旦發現“通信路徑”失效時,將自動地將通信切換到“備份鏈路”上。

現 代的二層以太網交換機和三層以太網交換機採用了硬體電路的設計,保證了每個端口的獨享帶寬,用戶可以將它的每一個端口看作是一個獨立的 Bridge 端口,其二層的工作原理同 Bridge 類似。為了實現下用戶接入層、匯聚層甚至城域網路範圍內的高可靠性,網路中關鍵的拓撲設計往往採用冗餘鏈路的設計,雖然也有其他的技術可以實現高效的網路 收斂,但是大多數網路設計者還是採用了 802.1d 的方法,原因是 Spanning Tree是一項簡單而成熟的網路自愈技術。

Spanning Tree的工作模式

Spanning Tree 的工作模式可以從它的字面上理解為“生成樹”,它的所有的工作都是為了生成一顆倒裝的樹形,這棵樹的根就稱為“bridge root”,每個設備會定義一個優先級,稱為“bridge priority”,它的數值越小代表它成為樹根的可能性越大,而每個葉結點通往樹根的路徑稱為“root path”,衡量這一路徑的權值稱為“path cost”,通常它代表了鏈路的帶寬,一個千兆端口的權值會小於一個百兆端口的權值。所有參與生成樹算法的網路設備都交換它們的報文訊息(BPDU),透 過這些訊息它們知道哪個路徑更為快捷、哪個設備成為樹根的可能性最高,然後它首先選出整個網路的樹根,其次計算每個葉結點到樹根的路徑,選擇代價最小的成 為通信的路徑,而另外的路徑成為備份的路徑。在每個節點的生成樹算法完畢以前,所有的設備端口都只發送和接收報文訊息,端口的狀態處於初始化的階段 (listening learning),一旦完成初始化,那麼成為通信的路徑的端口轉變為“Forwarding”的狀態,用於數據的收發,而備份鏈路的端口成為 “Blocking”的狀態(或對端成為“Blocking”的狀態),只偵聽 BPDU 的數據。一旦通信的路徑失效,根據 BPDU 的報文,備份鏈路的端口將重新一輪計算的過程而成為“Forwarding”的狀態。

Spanning Tree的弊端和增強技術

Spanning Tree 的算法廣泛運用於二層以太網的收斂和自愈,但是由於它的出現是在局域網的初期所開發的技術,所以它也存在著一些弊端, 主要有以下幾個不足。

1、二層數據網的收斂時間過長

根據 802.1d的算法,每個葉結點的初始化時間約為 30 秒鐘,整個拓撲的收斂將會在 45 秒左右,即使是一個以太網端口由於插入計算機也需要這個過程。而我們知道一旦在關鍵網路如主機核心機房的連接,用戶期望的值往往要短的多。

http://anheng.com.cn/news/html/network_basic/595.html

2、網路拓撲容易引起全局波動

由 於 802.1d 的理論沒有域的概念,網路中用戶增加或減少設備、設備配置的改變往往會引起全局不必要的波動,用戶如果改變其設備參數甚至能引起bridge root 的改變,出現通信網路的中斷。這造成用戶在大規模的數據網路中不敢輕易使用 802.1d 的算法。

http://anheng.com.cn/news/html/network_basic/595.html

3、缺乏對現有多 VLAN 環境的支援

802.1d 沒有闡明在一個存在多個 VLAN 情況下如何處理 Spanning Tree 的算法,造成一個以太網交換機只支援單個 STP運算,從而使得雙光纖鏈路的資源只能利用到一半。

針對這些802.1d 所帶來的弊端,網路設備製造商開發了許多增強的技術,以使以太網用於現代高速的寬帶網路,這些技術主要有︰

修改 Spanning Tree 的算法,大大提升其收斂時間。
提出 Spanning Tree 劃分域的概念,將核心網路與用戶接入網路的 STP 域分開,保護核心網路的穩定性。
針對以太網交換機開發的多 STP 協議,就是在每個 VLAN 上營運獨立的 STP 算法,互不干擾。
需 要指出的是以上幾種技術現下尚未存在開放的標準,不同廠商的互連需要依情況不同而定。當然二層數據網路的自愈技術不光是 802.1d 一種,針對 STP 的不足,尤其是收斂時間過長這一點,許多知名的網路廠商甚至開發出不需要 STP 的子秒級收斂技術,這種收斂有些是倚賴於特殊的光纖端口上,也有一些是建立在光纖以太網技術上的。

http://anheng.com.cn/news/html/network_basic/595.html

http://anheng.com.cn/news/html/network_basic/595.html

STP︰生成樹協議 -IEEE 802.1D (STP︰Spanning Tree Protocol - IEEE 802.1D)

生 成樹協議 Spanning Tree 定義在 IEEE 802.1D 中,是一種橋到橋的鏈路管理協議,它在防止產生自循環的基礎上提供路徑冗餘。為使以太網更好地工作,兩個工作站之間只能有一條活動路徑。網路環路的發生有 多種原因,最常見的一種是故意生成的冗餘,萬一一個鏈路或交換機失敗,會有另一個鏈路或交換機替代。

STP 是一種橋到橋的通信技術,提供發現網路物理環路的服務。該協議規定了網橋創建無環回loop - free 邏輯拓朴架構的算法。換句話說,STP 提供了一個生成整個第二層網路的無環回樹架構。

生成樹協議操作對終端站透明,也就是說,終端站並不知道它們自己是否連接在某單個局域網或多交換局域網中。當兩個網橋相互連接在相同的由兩台計算機組成的網路中時,生成樹協議支援兩網橋之間相互交換訊息,這樣只需要其中一個網橋處理兩台計算機之間發送的訊息。

橋 接設備之間透過使用網橋協議數據單元(Bridge Protocol Data Unit,BPDU)交換各自狀態訊息。生成樹協議透過發送 BPDU 訊息為交換網路配置根交換和根端口,並為每個交換網路區段(switched segment)配置根端口和指定端口。

網橋中的生成樹算法可以用來決定如何使用生成樹協議,該算法的優點在於能夠避免網橋環路,並確保在多路徑情形下網橋能夠選擇一條最有效的路徑。如果最佳路徑選擇失敗,可以使用該算法重新計算網路路徑並找出下一條最佳路徑。

利用生成樹算法可以決定網路路徑(哪台計算機主機在哪個區段),並透過 BPDU 訊息交換以上數據。該過程主要分為以下兩個步驟︰

透過評估網橋接收的配置訊息以及選擇最佳選項,再利用生成樹算法來決定網橋發送的最佳訊息。
一旦選定某發送訊息,網橋將該訊息與來自無根(non-root)連接的可能配置訊息相比較。如果步驟1中選擇的最佳選項並不優於可能配置訊息,便刪除該端口。

原文網址 文章james 發表於 週日 3月 16日, 2008年 1:37 pm