大型企業(yè)網絡安全解決方案畢業(yè)論文

XXXXXXXXXXXXXXX畢業(yè)論文企業(yè)網絡安全解決方案姓名：學號：指導老師：系名：專業(yè)：班級：摘要隨著社會的飛速發(fā)展，網絡技術的也在飛速的發(fā)展之中，現(xiàn)如今網絡已經無所不在的影響著社會的政治、經濟、文化、軍事、意識形態(tài)和社會生活等各個方面。同時在全球范圍內，針對重要信息資源和網絡基礎設施的入侵行為和企圖入侵行為的數量仍然不斷增加，網絡攻擊與入侵行為對國家安全、經濟和社會生活造成了極大的威脅。計算機病毒的不斷的通過網絡產生和傳播，計算機網絡被不斷地非法入侵，重要情報、資料被竊取，甚至造成網絡系統(tǒng)的癱瘓等等，諸如此類的事件已經給政府以及企業(yè)造成了巨大的損失，甚至危害到國家的安全。網絡安全已經成為世界各國當今共同關注的焦點，網絡安全的重要性是不言而喻的。本文是構思了一個虛擬的企業(yè)網絡的設計，重點研究了公司不同分部之間通過VPN技術來實現(xiàn)在廣域網中的加密連接。以及詳細的設計了總公司的網絡安全策略，保證了內部服務器等的信息安全，按照需求對企業(yè)網絡安全進行了系統(tǒng)的規(guī)劃，對計算機網絡安全進行了全面的分析。在滿足了各個子網連通的前提下，提出了包括AAA認證、SSH登陸、EasyVPN、訪問控制限制、NAT技術、入侵檢測部署、病毒防護、掃描系統(tǒng)管理措施和安全技術在內的整套方案。目的是建設一個完整的、安全的網絡體系，是網絡安全系統(tǒng)真正獲得較好的效果。關鍵詞：網絡，安全，VPN，防火墻，防病毒

AbstractWiththerapiddevelopmentofsocietyandalsotherapiddevelopmentofnetworktechnology,isnowthenetworkhasbeentheubiquitousinfluenceofsocietyinallaspectsofpolitical,economic,cultural,military,ideologicalandsociallife.Worldwidefortheintrusionandthenumberofattemptedintrusionsoftheimportantinformationresourcesandnetworkinfrastructureisstillgrowing,networkattacksandintrusionscausedagravethreattonationalsecurity,economicandsociallife.Computerviruscontinuesthroughthenetworkanddissemination,computernetworksaretheillegalinvasion,importantinformation,datatheft,andevencauseparalysisofthenetworksystem,sucheventshavecausedhugelossestothegovernmentandenterprises,andevenharmtonationalsecurity.Networksecurityhasbecomethefocusofattentiontodayintheworld,theimportanceofnetworksecurityisself-evident.Thisarticleistheideaofavirtualenterprisenetworkdesign,focusingontheencryptedconnectionbetweenthedifferentsegmentsofthecompanythroughVPNtechnologytoachieveWAN.AnddetaileddesignofthenetworksecuritypolicyoftheCorporationtoensuretheinternalserver,suchasinformationsecurity,inaccordancewiththeneedsofenterprisenetworksecurityplanningofthesystem,conductedacomprehensiveanalysisofcomputernetworksecurity.Satisfythepremisethateachsubnetconnectivity,includingtheAAAauthentication,SSHlogintotheEasyVPN,accesscontrolrestrictions,theNATtechnology,intrusiondetectiondeployment,virusprotection,scanningsystemmanagementmeasuresandsecuritytechnologies,includingthepackage.Thepurposeistobuildacomplete,securenetworkarchitecture,networksecuritysystemsreallygetbetterresults.Keywords:network,security,VPN,firewall,anti-virus

目錄TOC\o"1-3"\h\u摘要 I第一章緒論 11.1網絡的起源 11.2網絡安全的重要性 1第二章企業(yè)網絡安全概述 32.1企業(yè)網絡的主要安全隱患 32.2企業(yè)網絡的安全誤區(qū) 3第三章企業(yè)網絡總體設計方案 53.1公司背景 53.2企業(yè)網絡安全需求 53.3需求分析 53.4企業(yè)網絡結構 63.5企業(yè)IP地址的劃分 9第四章企業(yè)網絡安全技術介紹 94.1EasyVPN 94.1.1什么是VPN 94.1.2VPN的分類 104.1.3EasyVPN 104.2SSH 114.2.1SSH介紹 114.2.2SSH與Telnet的區(qū)別 114.3AAA服務器 124.3.1AAA介紹 124.3.2認證(Authentication) 124.3.3授權(Authorization) 124.3.4審計(Accounting) 134.4IDS入侵檢測系統(tǒng) 134.5firewall防火墻 134.5.1什么是防火墻 134.5.2防火墻類型 14第五章企業(yè)網絡設備實施方案 145.1企業(yè)物理安全規(guī)劃 145.2設備選型 155.3設備配置 165.3.1交換機 165.3.2路由器與防火墻 255.3.3服務器 28第六章項目測試 306.1DHCP驗證 316.2網絡連通性 356.3網絡安全性 376.3.1SSH與console的權限 376.3.2網絡連通安全性 406.4分公司與總公司安全性 42總結 45致謝 46參考文獻 47第一章緒論1.1網絡的起源與很多人的想象相反，Internet并非某一完美計劃的結果，Internet的創(chuàng)始人也絕不會想到它能發(fā)展成目前的規(guī)模和影響。在Internet面世之初，沒有人能想到它會進入千家萬戶，也沒有人能想到它的商業(yè)用途。1969年12月，Internet的前身--美國的ARPA網（為了能在爆發(fā)核戰(zhàn)爭時保障通信聯(lián)絡，美國國防部高級研究計劃署ARPA資助建立了世界上第一個分組交換試驗網ARPANET）投入運行，它標志著我們常稱的計算機網絡的興起。這個計算機互聯(lián)的網絡系統(tǒng)是一種分組交換網。分組交換技術使計算機網絡的概念、結構和網絡設計方面都發(fā)生了根本性的變化，它為后來的計算機網絡打下了基礎。八十年代初，隨著PC個人微機應用的推廣，PC聯(lián)網的需求也隨之增大，各種基于PC互聯(lián)的微機局域網紛紛出臺。這個時期微機局域網系統(tǒng)的典型結構是在共享介質通信網平臺上的共享文件服務器結構，即為所有聯(lián)網PC設置一臺專用的可共享的網絡文件服務器。PC是一臺“麻雀雖小，五臟俱全”的小計算機，每個PC機用戶的主要任務仍在自己的PC機上運行，僅在需要訪問共享磁盤文件時才通過網絡訪問文件服務器，體現(xiàn)了計算機網絡中各計算機之間的協(xié)同工作。由于使用了較PSTN速率高得多的同軸電纜（費用少，傳輸距離100米）、光纖等高速傳輸介質，使PC網上訪問共享資源的速率和效率大大提高。這種基于文件服務器的微機網絡對網內計算機進行了分工：PC機面向用戶，微機服務器專用于提供共享文件資源。所以它實際上就是一種客戶機/服務器模式。進入九十年代，計算機技術、通信技術以及建立在計算機和網絡技術基礎上的計算機網絡技術得到了迅猛的發(fā)展。特別是1993年美國宣布建立國家信息基礎設施NII后，全世界許多國家紛紛制定和建立本國的NII，從而極大地推動了計算機網絡技術的發(fā)展，使計算機網絡進入了一個嶄新的階段。目前，全球以美國為核心的高速計算機互聯(lián)網絡即Internet已經形成，Internet已經成為人類最重要的、最大的知識寶庫。而美國政府又分別于1996年和1997年開始研究發(fā)展更加快速可靠的互聯(lián)網2（Internet2）和下一代互聯(lián)網（NextGenerationInternet）。可以說，網絡互聯(lián)和高速計算機網絡正成為最新一代的計算機網絡的發(fā)展方向。1.2網絡安全的重要性隨著信息化技術的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網絡的依賴性增強。計算機網絡規(guī)模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統(tǒng)的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網絡、系統(tǒng)、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。網絡安全問題伴隨著網絡的產生而產生，可以說，有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件，目前主要是通過網絡進行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害，相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統(tǒng)運行不正常，重則使整個計算機系統(tǒng)中的磁盤數據全部覆滅，甚至導致磁盤、計算機等硬件的損壞。為了防范這些網絡安全事故的發(fā)生，每個計算機用戶，特別是企業(yè)網絡用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網絡安全策略的實施是一項系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅，又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

第二章企業(yè)網絡安全概述2.1企業(yè)網絡的主要安全隱患現(xiàn)在網絡安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問，由于企業(yè)在各地可能有不同公司，但是公司之間信息通過廣域網相連，所以信息很容易被黑客等截下?，F(xiàn)如今企業(yè)網絡安全威脅的主要來源主要包括。病毒、木馬和惡意軟件的入侵。網絡黑客的攻擊。重要文件或郵件的非法竊取、訪問與操作。關鍵部門的非法訪問和敏感信息外泄。外網的非法入侵。備份數據和存儲媒體的損壞、丟失。針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網絡版病毒防護系統(tǒng)，同時也要加強內部網絡的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補丁，本部與分部之間運行VPN等防護通信信息的安全性，加強內部網絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當的用戶權限；同時對一些敏感數據進行加密保護，如財政部等要設立訪問權限；根據企業(yè)實際需要配置好相應的數據策略，并按策略認真執(zhí)行。2.2企業(yè)網絡的安全誤區(qū)安裝防火墻就安全了防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，便力不從心了，許多防火墻只是工作在網絡層。防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓，而事實上，企業(yè)網絡安全事件絕大部分還是源于企業(yè)內部。安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效網絡版殺毒軟件核心就是集中的網絡防毒系統(tǒng)管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網絡的病毒。同時對于整個網絡，管理非常方便，對于單機版是不可能做到的。只要不上網就不會中毒雖然不少病毒是通過網頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。文件設置只讀就可以避免感染病毒設置只讀只是調用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享安全，放置誤刪除，還是比較有用的。網絡安全主要來自外部基于內部的網絡攻擊更加容易，不需要借助于其他的網絡連接方式，就可以直接在內部網絡中實施攻擊。所以，加強內部網絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。

第三章企業(yè)網絡總體設計方案3.1公司背景 公司北京總部有一棟大樓，員工人數大約800人，在全國設有4個分公司（上海、廣州、重慶和西安）?？偛颗c分公司利用當地的ISP連接。通過網絡安全方案設計，加固企業(yè)網絡，避免因為安全問題導致的業(yè)務停滯；同時保證總部與分公司之間高安全、低成本的要求。公司對網絡的依賴性很強，主要業(yè)務都要涉及互聯(lián)網以及內部網絡。面對對頻繁出現(xiàn)的黑客入侵和網絡故障，直接危害網絡的運行和業(yè)務的正常開展。因此構建健全的網絡安全體系是當前的重中之重。3.2企業(yè)網絡安全需求公司根據網絡需求，建設一個企業(yè)網絡，北京總部存儲主要機密信息在服務器中，有AAA服務器、內部DNS服務器、FTP服務器、HTTP服務器。企業(yè)分經理辦公室、財政部、市場部、軟件部、系統(tǒng)集成部以及外來接待廳，需要各部門隔開，同時除了經理辦公室外其余不能訪問財政部，而接待廳不能訪問公司內部網絡，只能連通外網。同時由于考慮到Inteneter的安全性，以及網絡安全等一些因素，如VPN、NAT等。因此本企業(yè)的網絡安全構架要求如下：根據公司需求組建網絡保證網絡的連通性保護網絡信息的安全性防范網絡資源的非法訪問及非授權訪問防范入侵者的惡意攻擊與破壞保護企業(yè)本部與分部之間通信信息的完整與安全性防范病毒的侵害實現(xiàn)網絡的安全管理。3.3需求分析通過對公司的實際需求來規(guī)劃網絡設計，為公司的網絡安全建設實施網絡系統(tǒng)改造，提高企業(yè)網絡系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要構建良好的環(huán)境確保企業(yè)物理設備的安全IP地址域的劃分與管理劃分VLAN控制內網安全安裝防火墻體系建立VPN(虛擬專用網絡)確保數據安全安裝防病毒服務器加強企業(yè)對網絡資源的管理做好訪問控制權限配置做好對網絡設備訪問的權限3.4企業(yè)網絡結構北京總公司網絡拓撲圖，如圖2-1所示:圖2-1北京總部網絡結構分公司網絡拓撲,如圖2.2所示：圖2-2公司分部網絡結構圖2.1與2.2通過防火墻相連，防火墻上做NAT轉換，EasyVPN等。核心交換機配置基于VLAN的DHCP，網絡設備僅僅只能由網絡管理員進行遠程控制，就算是Console控制也需要特定的密碼，外部分公司通過VPN連接能夠訪問北京總公司內部網絡，北京總公司內網中，接待廳網絡設備僅僅能訪問外部網絡，無法訪問公司內網。

3.5企業(yè)IP地址的劃分由于是現(xiàn)實中，公網IP地址需要向ISP運行商申請，而本解決方案是虛擬題，故公網IP為虛擬的，由于現(xiàn)如今IPv4地址及其短缺，而IPv6技術還不是很成熟，所以公司內部使用私有地址網段，本著節(jié)省地址的原則，北京公司內部一共有800左右終端，所以由/22網絡段劃分。由于本課題重點為總公司內部網絡安全，以及總公司與分公司之間連通性的網絡安全，所以分公司內部沒有詳細化，所以分公司地址一律/24網段，ip地址分配為一下：名稱VLANIDIPv4地址段網關地址經理辦公室10財政部20軟件部30市場部40系統(tǒng)集成中心50參觀中心60網管中心99服務器集群100核心與路由器無路由器與防火墻無其他分公司1第四章企業(yè)網絡安全技術介紹4.1EasyVPN4.1.1什么是VPN虛擬專用網絡（VirtualPrivateNetwork，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、FrameRelay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。4.1.2VPN的分類根據不同的劃分標準，VPN可以按幾個標準進行分類劃分按VPN的協(xié)議分類VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見的協(xié)議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。2.按VPN的應用分類1)AccessVPN（遠程接入VPN）：客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN的數據流量。從PSTN、ISDN或PLMN接入。2)IntranetVPN（內聯(lián)網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源。3)ExtranetVPN（外聯(lián)網VPN）：與合作伙伴企業(yè)網構成Extranet,將一個公司與另一個公司的資源進行連接3.按所用的設備類型進行分類網絡設備提供商針對不同客戶的需求，開發(fā)出不同的VPN網絡設備，主要為交換機，路由器，和防火墻路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可只支持簡單的PPTP或IPSEC。交換機式VPN：主要應用于連接用戶較少的VPN網絡防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現(xiàn)方式，許多廠商都提供這種配置類型4.1.3EasyVPNeasyVPN又名EzVPN，是Cisco專用VPN技術。它分為EASYVPNSERVER和EASYVPNREMOTE兩種，EASYVPNSERVER是REMOT--ACCESSVPN專業(yè)設備。配置復雜，支持POLICYPUSHING等特性，此技術基于IPsec協(xié)議為基礎，擴展的的cisco私有協(xié)議，支持遠程登錄，并且根據自己的AAA的服務器去認證其可靠性，如認證通過，會為訪問者分配自己內部IP地址，保證其訪問內部信息。在EasyVPN連接成功后，對于ISP運行商來說總公司與分公司數據的傳輸是透明的，就像拉了一根專線一樣，通過抓包等方式捕獲數據包會發(fā)現(xiàn)全為ESP數據，無法從數據包中獲得任何信息，由于其加密方式為HASH速算，根據其雪崩效應想通過加密包算出真是數據的可能性幾乎為0，所以數據的傳輸上的安全性被大大地保證了。4.2SSH4.2.1SSH介紹SSH為SecureShell的縮寫，由IETF的網絡工作小組（NetworkWorkingGroup）所制定；SSH為建立在應用層和傳輸層基礎上的安全協(xié)議。SSH主要有三部分組成：1）傳輸層協(xié)議[SSH-TRANS]提供了服務器認證，保密性及完整性。此外它有時還提供壓縮功能。SSH-TRANS通常運行在TCP/IP連接上，也可能用于其它可靠數據流上。SSH-TRANS提供了強力的加密技術、密碼主機認證及完整性保護。該協(xié)議中的認證基于主機，并且該協(xié)議不執(zhí)行用戶認證。更高層的用戶認證協(xié)議可以設計為在此協(xié)議之上。用戶認證協(xié)議[SSH-USERAUTH]用于向服務器提供客戶端用戶鑒別功能。它運行在傳輸層協(xié)議SSH-TRANS上面。當SSH-USERAUTH開始后，它從低層協(xié)議那里接收會話標識符（從第一次密鑰交換中的交換哈希H）。會話標識符唯一標識此會話并且適用于標記以證明私鑰的所有權。SSH-USERAUTH也需要知道低層協(xié)議是否提供保密性保護。連接協(xié)議[SSH-CONNECT]4.2.2SSH與Telnet的區(qū)別傳統(tǒng)的網絡服務程序，如：ftp、pop和telnet在本質上都是不安全的，因為它們在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”（man-in-the-middle）這種方式的攻擊。所謂“中間人”的攻擊方式，就是“中間人”冒充真正的服務器接收你傳給服務器的數據，然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之后，就會出現(xiàn)很嚴重的問題。SSH是替代Telnet和其他遠程控制臺管理應用程序的行業(yè)標準。SSH命令是加密的并以幾種方式進行保密。在使用SSH的時候，一個數字證書將認證客戶端(你的工作站)和服務器(你的網絡設備)之間的連接，并加密受保護的口令。SSH1使用RSA加密密鑰，SSH2使用數字簽名算法(DSA)密鑰保護連接和認證。加密算法包括Blowfish，數據加密標準(DES)，以及三重DES(3DES)。SSH保護并且有助于防止欺騙，“中間人”攻擊，以及數據包監(jiān)聽。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣"中間人"這種攻擊方式就不可能實現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替Telnet，又可以為FTP、PoP、甚至為PPP提供一個安全的"通道"。4.3AAA服務器4.3.1AAA介紹AAA是認證、授權和記賬（Authentication、Authorization、Accounting）三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網絡服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網絡資源的用戶進行記賬。具體為：1、認證(Authentication):驗證用戶是否可以獲得訪問權限；2、授權(Authorization):授權用戶可以使用哪些服務；3、審計(Accounting):記錄用戶使用網絡資源的情況。4.3.2認證(Authentication)認證負責在用戶訪問網絡或網絡服務器以前，對用戶進行認證。如需配置AAA認證，管理員可以創(chuàng)建一個命名的認證列表，然后把這個列表應用到各種接口上。這個方法列表可以定義所要執(zhí)行的認證類型和他們的順序。管理員需要基于每個接口來應用這些方法。然而，當管理員沒有定義其他認證方法是，cisco路由器和交換機上的所有接口都關聯(lián)了一個默認的方法列表，名為Default。但管理員定義的方法列表會覆蓋默認方法列表。除了本地認證、線路密碼的Enable認證以外，其他所有的認證方法都需要使用AAA。4.3.3授權(Authorization)授權為遠程訪問控制提供了方法。這里所說的遠程訪問控制包括一次性授權，或者基于每個用戶賬號列表或用戶組為每個服務進行授權。交換機或路由器上的AAA授權是通過連接一個通用的集中式數據庫，并訪問其中的一系列屬性來工作的，這些說性描述了網絡用戶的授權服務，比如訪問網絡中的不同部分。交換機或路由器會向服務器詢問用戶真實的能力和限制，集中式服務器向其返回授權結果，告知用戶所能夠使用的服務。這個數據庫通常是位于中心位置的服務器，比如RADIUS或者TACACS+安全服務器。但管理員也可以使用本地數據庫。遠程安全服務器（比如RADIUS和TACACS+）通過把用戶與相應的AVP（屬性值對）相關聯(lián)，來收與用戶具體的權限。RADIUS和TACACS+把這些AVP配置應用給用戶或者用戶組。每個AVP由一個類型識別符和一個或多個分配給它的值組成。AVP在用戶配置文件（UserProfile）和組配置文件（GroupProfile）中指定的AVP，為相應的用戶和組定義了認證和授權特性。4.3.4審計(Accounting)審計為收集和發(fā)送安全服務器信息提供了方法，這些信息可以用于計費（billing）、查賬（auditing）和報告（reporting）。這類信息包括用戶身份、網絡訪問開始和結束的時間、執(zhí)行過的命令（比如PPP）、數據包的數量和字節(jié)數量。這些信息是交換機和路由器能夠檢測登錄的用戶，從而對于查賬和增強安全性有很大幫助。在很多環(huán)境中，AAA都會使用多種協(xié)議來管理其安全功能，比如RADIUS、TACACS+或者802.1x。如果網絡中的交換機充當網絡接入服務器角色，則AAA就是網絡訪問服務器與RADIUS、TACACS+或者802.1x安全服務器之間建立連接的方法。AAA是動態(tài)配置的，它允許管理員基于每條線路（每個用戶）或者每個服務（比如IP、IPX或VPDN[虛擬私有撥號網絡]）來配置認證和授權。管理員先要創(chuàng)建方法列表，然后把這些方法列表應用到指定的服務或接口上，以針對每條線路或每個用戶進行運作。4.4IDS入侵檢測系統(tǒng)由于CiscopacketTracer5.3無法模擬IDS設備，又由于IDS在實際企業(yè)網絡中作用很大，所以在拓撲圖中將其設計進去，在這里做一些基本介紹。IDS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統(tǒng)資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，則IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。實時入侵檢測在網絡連接過程中進行，系統(tǒng)根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。這個檢測過程是不斷循環(huán)進行的。事后入侵檢測則是由具有網絡安全專業(yè)知識的網絡管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統(tǒng)。4.5firewall防火墻4.5.1什么是防火墻所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。4.5.2防火墻類型主要有2中，網絡防火墻和應用防火墻。1）網絡層防火墻網絡層防火墻可視為一種IP封包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越浻晒芾韱T定義或修改，不過某些防火墻設備可能只能套用內置的規(guī)則。我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。現(xiàn)在的操作系統(tǒng)及網絡設備大多已內置防火墻功能。較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源IP地址、來源端口號、目的IP地址或端口號、服務類型(如WWW或是FTP)。也能經由通信協(xié)議、TTL值、來源的網域名稱或網段...等屬性來進行過濾。2）應用層防火墻應用層防火墻是在TCP/IP堆棧的“應用層”上運作，您使用瀏覽器時所產生的數據流或是使用FTP時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現(xiàn)而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設計。XML防火墻是一種新型態(tài)的應用層防火墻。第五章企業(yè)網絡設備實施方案5.1企業(yè)物理安全規(guī)劃公司網絡企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面：保證機房環(huán)境安全信息系統(tǒng)中的計算機硬件、網絡設施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障b.電磁輻射、乘機而入、痕跡泄漏等c.操作失誤、意外疏漏等2)選用合適的傳輸介質屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地（最好多處接地），對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，并將其放在金屬管內以增強抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數據、傳輸的誤碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠計算機和網絡主干設備對交流電源的質量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內。機房的供配電系統(tǒng)設計既要滿足設備自身運轉的要求，又要滿足網絡應用的要求，必須做到保證網絡系統(tǒng)運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環(huán)境。5.2設備選型設備選型在一個網絡工程之中尤為重要，既要保證其性能與穩(wěn)定性，也要考慮實際預算是否合理，這是需要有很強的專業(yè)知識和工作經驗才能很好地完成的。根據網絡拓撲圖，所需的設備為：設備名稱設備品牌設備數量作用2950交換機Cisco24接入層交換機2960交換機Cisco8匯聚層交換機7200交換機Cisco1核心層交換機ASA5500Cisco1防火墻IDS4235Cisco1入侵檢測系統(tǒng)IBM服務器IBM5內部服務器打印機HP1接入終端設備復印機HP1接入終端設備傳真機HP1接入終端設備掃描儀HP1接入終端設備5.3設備配置5.3.1交換機接入層交換機基本就根據VLAN劃分表講接口劃分VLAN即可。配置命令如下：switch(Config)interfaceInterfacetype（接口類型與ID）switch(config-if)#switchportmodeaccess（改為接入模式）switch(config-if)#switchportaccessvlannumber（VLANID號）等待接口指示燈變?yōu)榫G色后即完成生成樹運算。匯聚交換機做了一些策略如BPDU防護，根防護，與trunk等。公司總部一共4臺匯聚交換機，具體配置如下：SW1：hostnamesw1命名為SW1spanning-treeportfastdefault全局下默認為快速接口interfaceFastEthernet0/1switchportmodetrunk開啟trunkinterfaceFastEthernet0/2interfaceFastEthernet0/3switchportaccessvlan10改變vlanid為10switchportmodeaccess改為接入模式spanning-treeportfast改為快速接口spanning-treeguardroot啟動根防護spanning-treebpduguardenable開啟BPDU防護interfaceFastEthernet0/4switchportaccessvlan20switchportmodeaccessspanning-treeportfastspanning-treeguardrootspanning-treebpduguardenableinterfaceVlan1noipaddressshutdownlinecon0linevty04loginlinevty515loginEnd由于這幾臺匯聚設備命令差不多故重復命令不寫備注。SW2：hostnamesw2spanning-treeportfastdefaultinterfaceFastEthernet0/1switchportmodetrunkinterfaceFastEthernet0/2switchportaccessvlan30switchportmodeaccessspanning-treeguardrootspanning-treebpduguardenableinterfaceFastEthernet0/3switchportaccessvlan40switchportmodeaccessspanning-treeguardrootspanning-treebpduguardenablelinecon0linevty04loginlinevty515loginEndSW3：hostnamesw3spanning-treeportfastdefaultinterfaceFastEthernet0/1switchportmodetrunkinterfaceFastEthernet0/2switchportaccessvlan50switchportmodeaccessspanning-treeportfastspanning-treeguardrootspanning-treebpduguardenableinterfaceFastEthernet0/3switchportaccessvlan60switchportmodeaccessspanning-treeportfastspanning-treeguardrootspanning-treebpduguardenableinterfaceVlan1noipaddressshutdownlinecon0linevty04loginlinevty515loginEndSW4：hostnamesw4spanning-treeportfastdefaultinterfaceFastEthernet0/1switchportaccessvlan100switchportmodeaccessinterfaceFastEthernet0/2switchportaccessvlan100switchportmodeaccessinterfaceFastEthernet0/3switchportaccessvlan100switchportmodeaccessinterfaceFastEthernet0/4switchportaccessvlan100switchportmodeaccessinterfaceFastEthernet0/5switchportaccessvlan100switchportmodeaccessinterfaceFastEthernet0/6switchportaccessvlan100switchportmodeaccessinterfaceVlan1noipaddressshutdownlinecon0linevty04loginlinevty515loginEnd核心交換機：該設備命令很多，由于沒有代理DHCP命令，所以DHCP是在核心做的，還做了一些訪問的限制，與telnet技術，console的認證配置，還有OSPF路由協(xié)議等，由于配置很多，故刪除一些沒有做配置的接口。SWc:version12.2noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryptionipdomain-name設置交換機域名，與SSH驗證有關hostnameSWcenablepasswordcisco用戶登入特權模式密碼ipdhcpexcluded-addressDHCP在分配時排除該IP地址ipdhcpexcluded-address29這些地址為網段的網關地址ipdhcppoolvlan30開啟一個DHCP地址池network分配的網絡段default-router默認網關IP地址dns-server27DNS地址ipdhcppoolvlan40ipdhcppoolvlan50ipdhcppoolvlan10ipdhcppoolvlan60ipdhcppoolvlan20iprouting開啟路由功能，這條很重，不然無法啟動路由協(xié)議等usernamebeijiangongpassword0cisco設置遠程登錄時用戶名與密碼interfaceFastEthernet0/1switchportaccessvlan100switchportmodeaccessinterfaceFastEthernet0/2switchporttrunkencapsulationdot1q配置trunk的封裝格式switchportmodetrunkinterfaceFastEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/4switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/5noswitchport啟動3層接口duplexauto自動協(xié)商雙工speedauto自動協(xié)商速率interfaceFastEthernet0/6switchportaccessvlan99interfaceVlan1noipaddressshutdowninterfaceVlan10interfaceVlan20ipaccess-group20out在此接口的出方向啟動acl20interfaceVlan30interfaceVlan40interfaceVlan50interfaceVlan60ipaccess-group101out在此接口的出方向啟動acl101interfaceVlan99interfaceVlan100routerospf10啟動OSPF進程號為10router-id為本設備配置ID標示符log-adjacency-changes開啟系統(tǒng)日志關于ospf變化network45area0宣告網絡，與其區(qū)域network93area1network29area1networkarea2networkarea2networkarea3networkarea3network30area4network41area5ipclasslessaccess-list10permithost42acl10允許該主機地址access-list20deny55acl20拒絕該網段（擴展acl101拒絕該網段的ip協(xié)議去訪問/22網段）access-list101permitipanyany允許所有ip協(xié)議的任何源目訪問cryptokeygeneratersa設置SSH的加密算法為rsa（隱藏命令，在showrun中看不到linecon0passwordcisco設置console密碼linevty04進入vty接口默認登入人數為5access-class10in在該接口入方向啟動acl10passwordcisco密碼為ciscologinlocal登入方式為本地認證transportinputssh更改登錄方式為SSHend5.3.2路由器與防火墻R1：hostnamer1enablepasswordciscousernamebeijiangongpassword0ciscointerfaceFastEthernet0/0duplexautospeedautointerfaceFastEthernet0/1duplexautospeedautorouterospf10log-adjacency-changesnetwork46area0network49area6ipclasslessnocdprunlinecon0passwordciscolinevty04access-class10inpasswordciscologinlocalendFirewall:hostnameASAenablepasswordciscoaaanew-model開啟AAA功能aaaauthenticationloginezagroupradius啟動認證登錄組名為eza分類為radiusaaaauthorizationnetworkezogroupradius啟動授權組名為eza分類為radiususernamebeijiangongpassword0ciscocryptoisakmppolicy10設置加密密鑰策略encr3des啟動3重加密算法hashmd5啟動MD5認證authenticationpre-share認證方式為共享group2優(yōu)先級組別為2cryptoisakmpclientconfigurationgroupmyez設置密鑰客戶端等級組key123為等級組設置密碼poolez為客戶分配內部IP地址池cryptoipsectransform-settimesp-3desesp-md5-hmac傳輸隧道封裝類型cryptodynamic-mapezmap10進入隧道封裝策略模式settransform-settim調用上面設置的封裝組timreverse-route開啟vpn的反向路由cryptomaptomclientauthenticationlisteza加密組tom的客戶認證調用上面的eza組cryptomaptomisakmpauthorizationlistezo加密組tom的密鑰授權管理方式調用上面的eza組cryptomaptomclientconfigurationaddressrespond加密組tom為客戶分配IP地址cryptomaptom10ipsec-isakmpdynamicezmap加密組tom調用隧道加密格式名稱為ezmapinterfaceFastEthernet0/0ipnatinsideduplexautospeedautointerfaceFastEthernet0/1noipaddressduplexautospeedautoshutdowninterfaceSerial0/2/0ipnatoutsidecryptomaptominterfaceSerial0/3/0noipaddressshutdowninterfaceVlan1noipaddressshutdownrouterospf10log-adjacency-changesnetwork50area6default-informationoriginate向其他ospf鄰居宣告默認路由iplocalpoolez5154配置VPN登入進來后分配的IP地址池ipnatinsidesourcelist1interfaceSerial0/2/0overload設置動態(tài)NAT將acl1的地址轉化為s0/2/0并多路復用ipclasslessiprouteSerial0/2/0默認路由都走s0/2/0nocdprun關閉鄰居發(fā)現(xiàn)協(xié)議radius-serverhost25auth-port1645key123指定AAA服務器地址與EasyVPN端口號以及對應密鑰linecon0passwordciscologinlinevty04access-class10inpasswordciscologinlocalEnd5.3.3服務器AAA服務器配置：HTTP服務器：DNS服務器：第六章項目測試PacketTracer模擬器實驗拓撲圖所有設備的用戶名為：beijiangong密碼：ciscoVPN登錄配置：組名：beijiangongKey:123服務器IP： 用戶名：123密碼：123北京總公司圖A分公司以及ISP網絡圖B6.1DHCP驗證北京總公司內網所有設備都是通過DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗證其在不同VLAN下是否獲得正確的IP地址、網關、掩碼和DNS。1）經理辦公室VLAN10配置方法，首先在PacketTracer下，點擊相應的PC，如圖6-1-1圖6-1-1點擊左上角第一欄，ipConfiguration進入IP地址配置畫面如圖6-1-2IP地址配置畫面圖6-1-2點擊DHCP，獲取IP地址，等待1-2S后查看結果如圖6-1-3圖6-1-3根據提示可以看出獲得了正確的IP地址。財政部VLAN20如圖6-1-4圖6-1-4軟件部VLAN30如圖6-1-5圖6-1-5市場部VLAN40如圖6-1-6圖6-1-6系統(tǒng)集成部VLAN50如圖6-1-7圖6-1-7參觀中心VLAN60如圖6-1-8圖6-1-86.2網絡連通性建立好網絡后，最重要的一點就是網絡連通性，根據公司需求，內部計算機獲得自己IP地址，自己的DNS服務器與網關，那應該可以去訪問外網服務器，以達到訪問公網的目的。1）隨便開啟一臺PC機，如經理辦公室PC圖6-2-1圖6-2-1點擊Commandprompt進入其電腦的CMD命令格式圖6-2-2圖6-2-2輸入ping命令，在虛擬網絡中，如圖Ａ運行商IP地址為所以先ping運行商網關。在命令行中輸入ping，可能第一個包會因為ARP的關系而丟失，但是后續(xù)會很穩(wěn)定。如圖6-2-3圖6-2-3檢查網絡內部DNS的正確性

打開PC機瀏覽器，如下圖所示6-2-4圖6-2-4如圖B所示，在公網中，有一個百度的服務器，域名為通過瀏覽器