网络硬件设备安全教材
本章有五小节：
4. 1 网络硬件系统的冗余 4. 2 网络机房设施与环境安全 4. 3 路由器安全 4. 4 交换机安全 4. 5 服务器和客户机安全
4．1 网络硬件系统的冗余
4.1.1网络系统的冗余
系统冗余就是重复配置系统的一些部件。当系统 某些部件发生故障时，冗余配置的其它部件介入 并承担故障部件的工作，由此提高系统的可靠性 。也就是说，冗余是将相同的功能设计在两个或 两个以上设备中，如果一个设备有问题，另外一 个设备就会自动承担起正常工作。
1．网络设备的冗余类型 网络服务器系统冗余 核心交换机冗余 供电系统的冗余 链接冗余 网络边界设备冗余 空闲备件
4.1.3 交换机端口汇聚与镜像
1．交换机端口汇聚
(1) 端口汇聚的概念
端口聚合也叫以太通道(ethernet channel)，主要用于交 换机之间的连接。利用端口汇聚技术，交换机会把一组物 理端口联合起来，做为一个逻辑通道。这时，交换机会认 为这个逻辑通道为一个端口。
配置路由器的ACL是一件经常性的工作，通过配 置ACL，可以使路由器提供基本的流量过滤能力 。ACL是一个连续的允许和拒绝语句的集合，关 系到地址或上层协议。ACL在网络中可实现多种 功能，包括内部过滤分组、保护内部网络免受来 自Internet的非法入侵和限制对虚拟终端端口的 访问。
(1) 基本ACLFra bibliotek4.2.2 机房的静电和电磁防护
1．机房的静电防护:
机房采取的防静电措施有： 机房建设时，在机房地面铺设防静电地板。 工作人员在工作时穿戴防静电衣服和鞋帽。 工作人员在拆装和检修机器时应在手腕上戴防静
电手环(该手环可通过柔软的接地导线放电)。 保持机房内相应的温度和湿度。
2．机房的电磁干扰防护
冗余技术又称储备技术，它是利用系统的并联模 型来提高系统可靠性的一种手段。采用“冗余技术 ”是实现网络系统容错的主要手段。
4.1.2 网络设备的冗余
网络系统的主要设备有网络服务器、核心交换机、存储设 备、供电设备以及网络边界设备(如路由器、防火墙)等。 为保证网络系统能正常运行和提供正常的服务，在进行网 络设计时要充分考虑主要设备的部件或设备的冗余。
3．访问控制列表配置
访问控制列表(ACL)提供了一种机制，可以控制 和过滤通过路由器的不同接口去往不同方向的信 息流。这种机制允许用户使用ACL来管理信息流 ，以制定公司内部网的相关策略。如网络管理员 可以通过配置ACL来实现允许用户访问Internet ，但不允许外部用户通过Telnet进入本地局域网 。
4.3.1 路由协议与访问控制
1．静态路由的配置
定义目标网络号、目标网络的子网掩码和下一跳地址或接口： ip route {nexthop-address|exit-interface} [distance]
默认路由的配置： ip route 0.0.0.0 0.0.0.0 {nexthop-address|exit-interface}
3．机房的电磁辐射防护
电磁辐射会产生两种不利因素：一是由电子设备辐射出的 电磁波通过电路耦合到其它电子设备中形成电磁波干扰， 或通过连接的导线、电源线、信号线等耦合而引起相互间 的干扰，当这些电磁干扰达到一定程度时，就会影响设备 的正常工作；二是这些辐射出的电磁波本身携带有用信号 ，如这些辐射信号被截收，再经过提取、处理等过程即可 恢复出原信息，造成信息泄露。
电磁干扰主要来自计算机系统外部。系统外部的 电磁干扰主要来自无线电广播天线、雷达天线、 工业电气设备、高压电力线和变电设备，以及大 自然中的雷击和闪电等。另外，系统本身的各种 电子组件和导线通过电流时，也会产生不同程度 的电磁干扰，这种影响可在机器制作时采用相应 工艺降低和解决。
通常可采取将机房选择在远离电磁干扰源的地方 、建造机房时采用接地和屏蔽等措施防止和减少 电磁干扰的影响。
[distance]
2．动态路由算法RIP的配置
RIP(v1版)的配置：
Router(config)#router rip Router(config-
router)#networkxxxx.xxxx.xxxx.xxxx RIP(v2版)的配置： Router(config)#router rip Router(config-router)#version2 Router(config-router)#noauto-sunnmary Router(config-router)#networkXXXX.XXXX.
一个ACL是由permit | deny 语句组成的一系列的规则列表 。在配置ACL规则前，首先需要创建一个ACL。
使用如下命令可创建ACL：
acl number acl-number [ match-order { config | auto } ]
计算机网络机房的设施与环境安全包括机房场地 的安全，机房的温度、湿度和清洁度控制，机房 内部的管理与维护，机房的电源保护，机房的防 火、防水、防电磁干扰、防静电、防电磁辐射等 。
4.2.1 机房的安全保护
1．机房场地的安全与内部管理 2．机房的环境设备监控 3．机房的温度、湿度和洁净度 4．机房的电源保护 5．机房的防火和防水
(2) 交换机端口汇聚技术的实现(以H3C交换机为例)
2．交换机端口镜像 (1) 基于交换机端口的镜像配置 (2) 基于三层流的镜像配置 (3) 基于二层流的镜像配置
4.2 网络机房设施与环境安全
保证网络机房的实体环境(即硬件和软件环境)安 全是网络系统正常运行的重要保证。因此，网络 管理部门必须加强对机房环境的保护和管理，以 确保网络系统的安全。只有保障机房的安全可靠 ，才能保证网络系统的日常业务工作正常进行。
通常，可采取抑源法、屏蔽法和噪声干扰法措施防止电磁 辐射。抑源法是从降低电磁辐射源的发射强度出发，对计 算机设备内部产生和运行串行数据信息的部件、线路和区 域采取电磁辐射抑制措施和传导发射滤波措施，并视需要 在此基础上对整机采取整体电磁屏蔽措施，减小全部或部 分频段信号的传导和辐射。
4．3 路由器安全