第8章内网安全管理

第8章内网安全管理内网安全管理是指用户内部网络（如局域网内）的服务器、客户计算机的安全性，各部门、各应用系统之间的访问安全性，我们可以采用以下几种安全策略：（1）服务器硬盘数据的保护（2）交换机端口MAC地址限制（3．网络二层（数据链路层）的虚拟网VLAN技术（4）网络三层（网络层）访问控制列表AccessControlList技术（5）漏洞扫描系统（6）计算机病毒的防治（7）防止木马和恶意软件的入侵8.1服务器硬盘数据的保护服务器硬盘上的数据是最重要的数据，为防止别人非法窃取，可采用加密存储，如Windows的EFS就可实现此功能。为了保护数据存放的安全，还可采用磁盘阵列和数据备份等技术。8.1.1磁盘阵列1．磁盘阵列概述磁盘阵列（DiskArray）是将一组物理磁盘按照一定要求进行有机的组合，构成逻辑上的一个磁盘，使多个物理磁盘的读写同步，减少错误，提高效率和可靠度的技术。磁盘阵列技术可增加存储容量，提高磁盘数据读写速度，还可免除单块硬盘故障所带来的数据丢失，提高数据的安全性。磁盘阵列有两种方式可以实现，那就是“软件阵列”与“硬件阵列”。2．几种磁盘阵列技术磁盘阵列有时简称RAID（RedundantArrayofInexpensiveDisks，廉价冗余磁盘阵列），RAID技术是一种工业标准，各厂商对RAID级别的定义也不尽相同，目前在业界应用较为广泛的有RAID0、RAID1和RAID5等几种。（1）RAID0RAID0即条带，最少需要2个硬盘，它可把多个磁盘上的可用空间组合成一个逻辑卷，将数据分为同等大小的数据块并分别放到不同的磁盘上。它将一批数据（如：数据顺序为1，2，3，4，5，6）分别写到不同的磁盘上后，几个磁盘就可同时读写，因此，它的读写速度快，但不能容错。如图8-1所示。RAID0是无数据冗余的存储空间条带化，具有成本低、读写性能极高、存储空间利用率高等特点，适用于音、视频信号存储、临时文件的转储等对速度要求极其严格的特殊应用。但由于没有数据冗余，其安全性大大降低，构成阵列的任何一块硬盘的损坏都将带来灾难性的数据损失。这种方式没有冗余功能，没有安全保护，只是提高了磁盘读写性能和整个服务器的磁盘容量。（2）RAID1RAID1只支持2个硬盘，是两块硬盘数据完全镜像，安全性好，技术简单，管理方便，读写性能均好，它可以容错。因为它是一一对应的，所以它无法单块硬盘扩展，要扩展，必须同时对镜像的双方进行同容量的扩展。这种冗余方式为了安全起见，实际上只利用了一半的磁盘容量，磁盘总空间的利用率只有50%，数据空间浪费大，如图8-1所示。（3）RAID5RAID5最少需要3个硬盘，是目前应用最广泛的RAID技术。它是将一批数据（如：数据顺序为1，2，3，4，5，6）分别写到不同的磁盘上，各块独立硬盘进行条带化分割，相同的条带区的数据进行奇偶校验（异或运算），校验数据平均分布在不同磁盘的不同位置处（如图8-1中的p）。它可以容错，写入速度较慢，读出速度较快（无坏盘时），以n块硬盘构建的RAID5阵列可以有n－1块硬盘的容量，磁盘空间利用率为（n-1）/n，存储空间利用率非常高。任何一块硬盘上的数据丢失，均可以通过校验数据推算出来。它和RAID3最大的区别在于校验数据是否平均分布到各块硬盘上。RAID5的不足之处是如果一块硬盘出现故障以后，整个系统的性能将大大降低，并且不允许两块硬盘同时坏。图8-1RAID0、1、5的工作原理RAID1、RAID5阵列配合热插拔技术，可以实现数据的在线恢复，即当RAID阵列中的任何一块硬盘损坏时，不需要用户关机或停止应用服务，就可以更换故障硬盘，修复系统，恢复数据，对实现高可用系统具有重要的意义。例如，在服务器上配置4个硬盘，都连接在本机阵列卡的主通道上，其中3个硬盘配置成RAID5结构，另1个配制成在线空闲（Online-Space）结构，当阵列中任意一个硬盘崩溃时，在线空闲硬盘将自动加入阵列，并且根据容错设置自动恢复文件，从而保证数据的安全可靠。8.1.2WindowsServer2003磁盘卷的配置1．WindowsServer2003的磁盘类型WindowsServer2003中将磁盘分为了两种类型：基本磁盘和动态磁盘。基本磁盘与老系统兼容，可进行多重引导，是WindowsServer2003中默认的磁盘类型，最多可创建4个分区，基本磁盘一个盘符对应一个分区。一个分区设好后是不能扩展其容量的，使用基本磁盘不能创建磁盘阵列，基本磁盘可以转换为动态磁盘。动态磁盘对应的是卷，非系统的NTFS卷容量可以扩展（如：添加硬盘时），卷的数量无限制。只有动态磁盘才可创建简单卷、跨区卷和RAID0(带区卷)、RAID1(镜像卷)、RAID5等类型的卷。（1）简单卷：空间来自单个硬盘，类似于基本磁盘的一个主分区，但是可以利用同一个磁盘内的剩余空间将简单卷容量扩大。（2）跨区卷：可把2～32个磁盘上的未分配空间组合成一个逻辑卷，每块64K；跨区卷是将分配到一个磁盘上的卷空间充满，然后再从下一个磁盘开始，因此，它并不改进磁盘的读写性能，也不容错，即如果某块磁盘出现故障，全卷的数据都将丢失。（3）带区卷（RAID0）：即上述的RAID0。WindowsServer2003可把2～32个磁盘上的可用空间组合成一个逻辑卷，每块64K。（4）镜像卷（RAID1）：即上述的RAID1。（5）RAID-5卷：即上述的RAID5。WindowsServer2003中RAID5卷最少需要3个硬盘，最多可支持32个硬盘。下面的操作将创建简单卷、跨区卷、带区卷（RAID0）、镜像卷(RAID1)、RAID5卷等各种卷，为此，在计算机上安装了3块硬盘，以适应磁盘阵列的要求。下面的操作都是在磁盘管理程序中进行的，因此，要先启动磁盘管理程序。在桌面上右击“我的电脑”，选择“管理”，打开“计算机管理”控制台，再选择“磁盘管理”，启动磁盘管理程序。2．转换到动态磁盘在准备转换到动态磁盘前，请确认磁盘上只装有一个WindowsServer2003操作系统，而没有在一个磁盘上装有多个其他的操作系统（如：DOS、Windows98等），并且已有的分区都是NTFS文件系统，否则，转换后有可能引起数据丢失。在磁盘管理程序中，在最左侧的“磁盘0”对应位置处右击鼠标，选择“转换到动态磁盘”命令。说明：只有当磁盘为空时，才能将动态磁盘还原到基本磁盘。3．简单卷（1）创建简单卷①在磁盘管理程序中，右击一块未指派的空间，选择“新建卷”菜单。②在打开的新建卷向导的“欢迎使用新建卷向导”对话框中单击“下一步”按钮，打开“选择卷类型”对话框，在此，选择“简单”单选钮。（2）扩展简单卷①在创建好的以NTFS文件系统格式化的简单卷上右击鼠标，选择“扩展卷”菜单。②在打开的扩展卷向导的“欢迎使用扩展卷向导”对话框中单击“下一步”按钮，打开“磁盘类型”对话框，在此设置要扩展的容量及其所在的磁盘。如果选择了其他的磁盘，将简单卷扩展到了其他磁盘内，则它就变成了跨区卷。简单卷可以成为带区卷或镜像卷的成员之一，但在它变成跨区卷后，就不具备成为带区卷、镜像卷或RAID5卷成员的功能。③单击“下一步”按钮，打开“完成扩展卷向导”对话框，单击“完成”按钮即可。说明：扩展简单卷的容量是基本磁盘类型做不到的。（3）删除卷在建好的卷上右击鼠标，选择“删除卷”菜单命令，即可将卷删除。4．跨区卷在磁盘管理程序中，右击一块未指派的空间，选择“新建卷”菜单，在打开的新建卷向导的“欢迎使用新建卷向导”对话框中单击“下一步”按钮，打开“选择卷类型”对话框，在此，选择“跨区”单选钮。说明：跨区卷实现了一个盘符跨越多个物理硬盘，这一点也是基本磁盘类型做不到的。5．带区卷（RAID0）带区卷成员中，不可以包含系统卷和启动卷。在磁盘管理程序中，右击一块未指派的空间，选择“新建卷”菜单，在打开的新建卷向导的“欢迎使用新建卷向导”对话框中单击“下一步”按钮，打开“选择卷类型”对话框，在此，选择“带区”单选钮。6．镜像卷（RAID1）（1）创建镜像卷在磁盘管理程序中，右击一块未指派的空间，选择“新建卷”菜单，在打开的新建卷向导的“欢迎使用新建卷向导”对话框中单击“下一步”按钮，打开“选择卷类型”对话框，在此，选择“镜像”单选钮。镜像卷的创建有一个重新同步的过程，时间稍长一点。（2）添加镜像卷除了将两个未指派的空间来组合成镜像卷之外，还可以选择一个已经存在的简单卷与一个未指派的空间组合成镜像卷，这就是添加镜像卷。添加镜像卷的过程中，会将简单卷内的现有数据复制到另一个成员中。①在一个简单卷上右击鼠标，选择“添加镜像”菜单命令。②在打开的“添加镜像”对话框中选择参与镜像的另一个磁盘。③单击“添加镜像”按钮，开始镜像同步过程。（3）中断、删除镜像整个镜像卷被视为一体，如果要将其中任何一个成员独立出来使用，可通过中断镜像或删除镜像的方法实现。在镜像卷上右击鼠标，选择“中断镜像”菜单命令，将镜像关系中断。中断后，原来的两个成员都会被改为简单卷，并且其中的数据都会被保留着。在镜像卷上右击鼠标，选择“删除镜像”菜单命令，再选择将镜像卷中的一个成员删除，被删除成员中的数据将被删除，它所占用的磁盘空间会被改为未指派的空间。如果卷成员是系统卷或启动卷，建议采用删除镜像的方法取消镜像。7．RAID-5卷RAID-5卷成员中，不可以包含系统卷和启动卷。在磁盘管理程序中，右击一块未指派的空间，选择“新建卷”菜单，在打开的新建卷向导的“欢迎使用新建卷向导”对话框中单击“下一步”按钮，打开“选择卷类型”对话框，在此，选择“RAID-5”单选钮。说明：RAID-5卷内，从磁盘容量上看，n个磁盘中只有n-1个磁盘的容量用于存放用户数据，另一个磁盘容量用于存放校验数据。在WindowsServer2003中创建带区卷（RAID0）和RAID-5卷时，卷成员中不可以包含系统卷和启动卷，而且，在磁盘管理器中能看出有几块物理磁盘。如果用硬件阵列卡做RAID0或RAID5，则卷成员中磁盘的内容没有限制，而且用户看到只是一个大硬盘（几个磁盘的集合），性能也比软件阵列方式好，只是要多花费一块硬件阵列卡的资金。8.1.3数据备份1．数据备份的必要性对于与IT基础设施相关的业务中断来说，由于数据丢失所造成的后果是最具有破坏性的。数据丢失以后数据备份在数据恢复中就显得极为重要了。系统数据丢失会导致业务难以正常进行。这时，关键的问题在于如何尽快恢复计算机系统，使其能正常运行。如果每一台服务器或每一个局域网都配置了数据备份设备以及相应的备份软件，那么无论网络硬件还是软件出了问题，都能够很轻松地恢复，保证系统的正常运行。数据备份为当今的企业服务器网络提供了全天候快速数据保护。2．数据备份介质（1）磁带备份（2）磁盘备份（3）光盘备份（4）远程镜像备份远程镜像其思想是把数据副本存放于离公司设施足够远的磁盘阵列上，这样就不会在一次灾难中同时丢失原始数据和备份数据。远程镜像可以为用户提供很高的系统可靠性。3．数据备份与磁盘阵列的区别数据备份是为了在系统遭受破坏或其他特定情况下，对数据重新加以利用。目的是数据的恢复。磁盘阵列最初的研制目的是为了组合小的廉价磁盘来代替大的昂贵磁盘，以降低大批量数据存储的费用，同时也希望采用冗余信息的方式，使得磁盘失效时不会使对数据的访问受损失，从而开发出一定水平的数据保护技术。数据备份与磁盘阵列都用于保护数据，数据备份使把数据备份到其他的地方，当灾难发生后可以恢复数据，它对数据的保护是长期的。而磁盘阵列对数据的保护是短时间的，而且一旦设备出现错误将不能恢复数据。因此数据备份与磁盘阵列的做法和效果都是不同的，它们不能互相取代。4．数据备份与存档的区别（1）存档数据的存档在许多组织中变得越来越重要，这些组织需要确保将数据的一致副本作为业务或应用程序状态的长期记录来进行维护。与关键应用程序恢复相对，存档通常用于审计、分析和检索不经常访问的数据。存档的一个理由是对数据的长期保存。具有一定的使用价值或历史价值要进行长期保存，在急需的时候可以对它们