版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
西安文理學院計算機科學系課程設計報告設計名稱:硬件課程設計設計題目:校園網(wǎng)網(wǎng)絡安全方案設計學生學號:*************專業(yè)班級:***************************學生姓名:******學生成績:指導教師(職稱):****(*****)課題工作時間:.5.30至.6.10摘要隨著各院校信息化建設的不停提高,網(wǎng)絡建設的不停發(fā)展,各大中專院校、乃至中小學都在大力發(fā)展自己的校園網(wǎng)建設。校園網(wǎng)規(guī)模的擴大,多個安全問題也隨之而來,如何確保校園網(wǎng)絡安全穩(wěn)定的運行,是校園網(wǎng)建設中必須解決的問題。校園網(wǎng)作為學院重要的基礎設施,擔當著學院教學、科研、管理和對外交流等許多角色。校園網(wǎng)安全狀況直接影響著學校的教學活動。在網(wǎng)絡建成的早期,安全問題可能還不突出,但隨著應用的進一步,校園網(wǎng)上的多個數(shù)據(jù)會急劇增加,多個各樣的安全問題開始困擾我們。本文通過從校園網(wǎng)內(nèi)網(wǎng)安全和外網(wǎng)安全兩個方面進行了網(wǎng)絡安全方案的分析及選擇,通過采用軟硬件結合的方式,以及從防病毒、交換機端口安全、路由器配備和訪問控制列表等技術實現(xiàn)了校園網(wǎng)的安全布署。核心詞:校園網(wǎng);網(wǎng)絡安全;訪問控制列表AbstractWiththebuildingoftheinstitutionsofinformationcontinuestoimprove,continuesdevelopmentofnetworkconstruction,majorcolleges,andevenschoolsaremakinggreateffortstodeveloptheirowncampusnetworkconstruction.Theexpansionofthecampusnetwork,followedbyavarietyofsecurityissues,howtoensuresafeandstableoperationofthecampusnetwork,campusnetworkconstructionistoberesolved.Importantastheuniversitycampusnetworkinfrastructure,playthecollegeteaching,research,managementandforeignexchange,andmanyoftheroles.Campusnetworkdirectlyaffectthesecuritysituationintheschool’steachingactivities.Builtintheearlystagesofthenetwork,securitymaynotbeprominent,butwiththeapplicationindepth,thecampusnetworkwillbeasharpincreaseinavarietyofdata,avarietyofsecurityissuesstartedtobotherus.Inthispaper,
internalnetworksecurity
fromthe
campusnetwork
and
externalnetworksecurity
aretwoaspects
ofnetworksecurity
solutions
for
theanalysis
and
selection,throughtheuseof
acombinationof
hardwareandsoftware,
aswellas
from
anti-virus,switchport
security,
routerconfiguration,accesscontrol
lists
andothertechnical
toachievea
campusnetwork
securitydeployment.Keywords:campusnetwork;networksecurity;accesscontrol
lists第一章校園網(wǎng)安全隱患分析1.1校園內(nèi)網(wǎng)安全分析1.1.1BUG影響現(xiàn)在使用的軟件特別是操作系統(tǒng)或多或少都存在安全漏洞,對網(wǎng)絡安全構成了威脅?,F(xiàn)在網(wǎng)絡服務器安裝的操作系統(tǒng)有UNIX、WindowsNTP、Linux等,這些系統(tǒng)安全風險級別不同,UNIX因其技術較復雜普通會造成某些高級黑客對其進行攻擊;而WindowsNTP操作系統(tǒng)由于得到了廣泛的普及,加上其本身安全漏洞較多,因此,造成它成為較不安全的操作系統(tǒng)。在去年一段時期、沖擊波病毒比較盛行,沖擊波”這個運用微軟RPC漏洞進行傳輸?shù)娜湎x病毒最少攻擊了全球80%的Windows顧客,使他們的計算機無法工作并重復重啟,該病毒還引發(fā)了DoS攻擊,使多個國家的互聯(lián)網(wǎng)也受到相稱影響。1.1.2設備物理安全設備物理安全重要是指對網(wǎng)絡硬件設備的破壞。網(wǎng)絡設備涉及服務器、交換機、集線器、路由器、工作站、電源等,它們分布在整個校園內(nèi),管理起來非常困難。個別人可能出于多個目的,故意或無意地損壞設備,這樣會造成校園網(wǎng)絡全部或部分癱瘓。1.1.3設備配備安全設備配備安全是指在設備上要進行必要的某些設立(如服務器、交換機、防火墻、路由器的密碼等),避免黑客獲得硬件設備的控制權。許多網(wǎng)管往往由于沒有在服務器、路由器、防火墻或可網(wǎng)管的交換機上設立必要的密碼或密碼設立得過于簡樸易猜,造成某些略懂或精通網(wǎng)絡設備管理技術的人員能夠通過網(wǎng)絡容易獲得對服務器、交換機、路由器或防火墻等網(wǎng)絡設備的控制權,然后肆意更改這些設備的配備,嚴重時甚至會造成整個校園網(wǎng)絡癱瘓。1.1.4管理漏洞一種健全的安全體系,事實上應當體現(xiàn)的是“三分技術、七分管理”,網(wǎng)絡的整體安全不是僅僅依賴使用多個技術先進的安全設備就能夠?qū)崿F(xiàn)的,更重要的是體現(xiàn)在對人、對設備的安全管理以及一套行之有效的安全管理制度,特別重要的是加強對內(nèi)部人員的管理和約束,由于內(nèi)部人員對網(wǎng)絡的構造、模式都比較理解,若不加強管理,一但有人出于某種目的破壞網(wǎng)絡,后果將不堪構想。IP地址盜用、濫用是校園網(wǎng)必須加強管理的方面,特別是學生區(qū)、機房等。IP配備不當也會造成部分區(qū)域網(wǎng)絡不通。如在學生學習機房,有學生不甚將自己的計算機的IP地址設成本網(wǎng)段的網(wǎng)關地址,這會造成整個學生機房無法正常訪問外網(wǎng)。1.1.5無線局域網(wǎng)的安全威脅運用WLAN進行通信必須含有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品,它的安全隱患重要有下列幾點:未經(jīng)授權使用網(wǎng)絡服務由于無線局域網(wǎng)的開放式訪問方式,非法顧客能夠未經(jīng)授權而私自使用網(wǎng)絡資源,不僅會占用珍貴的無線信道資源,增加帶寬費用,還會減少正當顧客的服務質(zhì)量。地址欺騙和會話攔截現(xiàn)在有諸多個無線局域網(wǎng)的安全技術,涉及物理地址(MAC)過濾、服務集標記符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(IEEE802.1x)、WPA?(Wi-FiProtectedAccess)、IEEE802.11i等。面對如此多的安全技術,應當選擇哪些技術來解決無線局域網(wǎng)的安全問題,才干滿足顧客對安全性的規(guī)定。在無線環(huán)境中,非法顧客通過偵聽等手段獲得網(wǎng)絡中正當站點的MAC地址比有線環(huán)境中要容易得多,這些正當?shù)腗AC地址能夠被用來進行惡意攻擊。另外,由于IEEE802.11沒有對AP身份進行認證,攻擊者很容易裝扮成正當AP進入網(wǎng)絡,并進一步獲取正當顧客的鑒別身份信息,通過會話攔截實現(xiàn)網(wǎng)絡入侵。這些正當?shù)腗AC地址能夠被用來進行惡意攻擊。另外,由于IEEE802.11沒有對AP身份進行認證,攻擊者很容易裝扮成正當AP進入網(wǎng)絡,并進一步獲取正當顧客的鑒別身份信息,通過會話攔截實現(xiàn)網(wǎng)絡入侵。一旦攻擊者侵入無線網(wǎng)絡,它將成為進一步入侵其它系統(tǒng)的起點。多數(shù)學校布署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞,只要攻破無線網(wǎng)絡,整個網(wǎng)絡就將暴露在非法顧客面前。1.2校園外網(wǎng)安全分析1.2.1黑客攻擊有的校園網(wǎng)同時與CERNET、Internet相連,有的通過CERNET與Internet相連,在享有Internet方便快捷的同時,也面臨著遭遇攻擊的風險。黑客攻擊活動日益猖獗,成為當今社會關注的焦點。典型的黑客攻擊有入侵系統(tǒng)攻擊、欺騙攻擊、回絕服務攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等。黑客攻擊不僅來自校園網(wǎng)外部,尚有相稱一部分來自校園網(wǎng)內(nèi)部,由于內(nèi)部顧客對網(wǎng)絡的構造和應用模式都比較理解,因此來自內(nèi)部的安全威脅會更大某些。1.2.2不良信息傳輸在校園網(wǎng)接入Internet后,師生都能夠通過校園網(wǎng)絡進入Internet?,F(xiàn)在Internet上多個信息良莠不齊,其中有些不良信息違反人類的道德原則和有關法律法規(guī),對人生觀、世界觀正在形成中的學生危害非常大。特別是中小學生,由于年紀小,分辨是非和抵抗干擾能力較差,如果不采用切實可行安全方法,勢必會造成這些信息在校園內(nèi)傳輸,侵蝕學生的心靈。1.2.3病毒危害學校接入廣域網(wǎng)后,給大家?guī)矸奖愕耐瑫r,也為病毒進入學校之門提供了方便,下載的程序、電子郵件都可能帶有病毒。隨著校園內(nèi)計算機應用的大范疇普及,接入校園網(wǎng)的節(jié)點數(shù)日益增多,這些節(jié)點大都沒有采用安全防護方法,隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡被攻擊、甚至系統(tǒng)癱瘓等嚴重后果。
第二章設計介紹及設計方案敘述2.1校園網(wǎng)安全方法2.1.1防火墻網(wǎng)絡信息系統(tǒng)的安全應當是一種動態(tài)的發(fā)展過程,應當是一種檢測,安全,響應的循環(huán)過程。動態(tài)發(fā)展是網(wǎng)絡系統(tǒng)安全的規(guī)律。網(wǎng)絡安全監(jiān)控和入侵檢測產(chǎn)品正是實現(xiàn)這一目的的必不可少的環(huán)節(jié)。網(wǎng)絡監(jiān)控系統(tǒng)是實時網(wǎng)絡自動違規(guī)、入侵識別和響應系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護的網(wǎng)絡上,通過實時截獲網(wǎng)絡數(shù)據(jù)流,尋找網(wǎng)絡違規(guī)模式和未授權的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權的網(wǎng)絡訪問時,網(wǎng)絡監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全方略做出反映,涉及實時報警、事件登錄或執(zhí)行顧客自定義的安全方略等。1系統(tǒng)構成網(wǎng)絡衛(wèi)士監(jiān)控器:一臺,硬件監(jiān)控系統(tǒng)軟件:一套PC機(1臺,用于運行監(jiān)控系統(tǒng)軟件)2重要功效實時網(wǎng)絡數(shù)據(jù)流跟蹤、采集與還原網(wǎng)絡監(jiān)控系統(tǒng)運行于有敏感數(shù)據(jù)需要保護的網(wǎng)絡之上,實時監(jiān)視網(wǎng)絡上的數(shù)據(jù)流,分析網(wǎng)絡通訊會話軌跡。如:E-MAIL:監(jiān)視特定顧客或特定地址發(fā)出、收到的郵件;統(tǒng)計郵件的源及目的IP地址、郵件的發(fā)信人與收信人、郵件的收發(fā)時間等。HTTP:監(jiān)視和統(tǒng)計顧客對基于Web方式提供的網(wǎng)絡服務的訪問操作過程(如顧客名、口令等)。FTP:監(jiān)視和統(tǒng)計訪問FTP服務器的過程(IP地址、文獻名、口令等)。TELNET:監(jiān)視和統(tǒng)計對某特定地址主機進行遠程登錄操作的過程。提供智能化網(wǎng)絡安全審計方案網(wǎng)絡監(jiān)控系統(tǒng)能夠?qū)Υ罅康木W(wǎng)絡數(shù)據(jù)進行分析解決和過濾,生成按顧客方略篩選的網(wǎng)絡日志,大大減少了需要人工解決的日志數(shù)據(jù),使系統(tǒng)更有效。支持顧客自定義網(wǎng)絡安全方略和網(wǎng)絡安全事件3重要技術特點采用透明工作方式,它靜靜地監(jiān)視本網(wǎng)段數(shù)據(jù)流,對網(wǎng)絡通訊不附加任何延時,不影響網(wǎng)絡傳輸?shù)男???刹捎眉泄芾淼姆植际焦ぷ鞣绞?,能夠遠程監(jiān)控。能夠?qū)γ總€監(jiān)控器進行遠程配備,能夠監(jiān)測多個網(wǎng)絡出口或應用于廣域網(wǎng)絡監(jiān)測。網(wǎng)絡監(jiān)控系統(tǒng)能進行運行狀態(tài)實時監(jiān)測,遠程啟停管理。2.1.2防病毒為了有效的避免病毒對系統(tǒng)的侵入,必須在系統(tǒng)中安裝防病毒軟件,并指定嚴格的管理制度,保護系統(tǒng)的安全性。1應用狀況一臺專用服務器(NTSERVER)、一臺代理郵件服務器(NTSERVER&PROXYSERVER,ExchangeServer),一臺WWWSERVER,一臺數(shù)據(jù)庫SERVER,100-200臺客戶機。2系統(tǒng)規(guī)定能避免通過PROXYSERVER從Internet下載文獻或收發(fā)的E-mail內(nèi)隱藏的病毒,并對本地的局域網(wǎng)防護的作用。3解決方案采用的防病毒產(chǎn)品如表2-1所示。表2-1防病毒產(chǎn)品清單所需軟件的名稱安裝場合數(shù)量保護對象ServerProtectforNTServerNTServer每臺NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客戶機數(shù)量HTTPFTP、用瀏覽器下開載的程序ScanMailforExchangeServerExchangeServer按客戶機數(shù)量有E-Mail的顧客OfficeScancorp各部門的NT域服務器按客戶機數(shù)量自動分發(fā)、更新、實時監(jiān)察客戶機下列是選用以上Trend公司產(chǎn)品的闡明:在NT主域控制器和備份域上均采用ServerProtecforWindowsNT保護NT服務器免受病毒的侵害。另鑒于客戶有100-200臺客戶機,客戶端的病毒軟件的安裝和病毒碼更新等工作,造成MIS人員管理上的超負荷,因此推薦采用OfficeScanCorporatcEdition公司授權版OfficeScanCorporateIdition能讓MIS人員通過管理程序進行中央控管,軟件的分派(自動安裝,自動更新病毒碼、軟件的自動升級)。另外在外接Internet和郵件服務器上,采用InterScanWebProtect和ScanMailForExchange此兩種軟件是現(xiàn)在唯一能從國際互聯(lián)網(wǎng)絡攔截病毒的軟件。設計的理念是,在電腦病毒入侵公司內(nèi)部網(wǎng)絡的入口處-Internet服務器或網(wǎng)關(Gateway)上安裝此軟件,它能夠隨時監(jiān)控網(wǎng)關中的ETP、電子郵件傳輸和Web網(wǎng)頁所下載的病毒和惡性程序,并有文獻達成網(wǎng)絡系統(tǒng)之邁進行掃描偵測出來。2.1.3無線網(wǎng)絡安全方法針對校園應用的安全解決方案,從校園顧客角度而言,隨著無線網(wǎng)絡應用的推動,管理員需要更加重視無線網(wǎng)絡安全的問題,針對不同的顧客需求,H3C提出一系列不同級別的無線安全技術方略,從傳統(tǒng)的WEP加密到IEEE802.11i,從MAC地址過濾到IEEE802.1x安全認證技術,可分別滿足辦公室局部顧客、園區(qū)網(wǎng)絡、辦公網(wǎng)絡等不同級別的安全需求。對于辦公室局部無線顧客而言,無線覆蓋范疇較小,接入顧客數(shù)量也比較少,沒有專業(yè)的管理人員,對網(wǎng)絡安全性的規(guī)定相對較低。普通狀況下不會配備專用的認證服務器,這種狀況下,可直接采用AP進行認證,WPA-PSK+AP隱藏能夠確?;镜陌踩墑e。在學校園區(qū)無線網(wǎng)絡環(huán)境中,考慮到網(wǎng)絡覆蓋范疇以及終端顧客數(shù)量,AP和無線網(wǎng)卡的數(shù)量必將大大增加,同時由于使用的顧客較多,安全隱患也對應增加,此時簡樸的WPA-PSK已經(jīng)不能滿足這類顧客的需求。如表中所示的中級安全方案使用支持IEEE802.1x認證技術的AP作為無線網(wǎng)絡的安全核心,使用H3C虛擬專用組(VertualPrivateGroup)管理器功效并通過后臺的Radius服務器進行顧客身份驗證,有效地制止未經(jīng)授權的顧客接入,并可對顧客權限進行辨別。如果應用無線網(wǎng)絡構建校園的辦公網(wǎng)絡,此時無線網(wǎng)絡上承載的是工作業(yè)務信息,其安全保密性規(guī)定較高,因此顧客認證問題就顯得更加重要。如果不能精確可靠地進行顧客認證,就有可能造成帳號盜用、非法入侵的問題,對于無線業(yè)務網(wǎng)絡來說是不能夠接受的。專業(yè)級解決方案能夠較好地滿足顧客需求,通過H3C虛擬專用組(VPG)管理器功效、IEEE802.11i加密、Radius的顧客認證確保高安全性。具體安全劃分及技術方案選擇如表2-2所示。表2-2安全劃分及技術辦法選擇安全級別典型場合使用技術初級安全辦公室局部無線顧客WPA-PSK+AP隱藏中級安全學校園區(qū)無線網(wǎng)IEEE802.1x認證+TKIP加密+VPG管理專業(yè)級安全無線校園辦公網(wǎng)VPG管理+IEEE802.11i+Radius認證為了進一步加強無線網(wǎng)絡的安全性和確保不同廠家之間無線安全技術的兼容,IEEE802.11工作組開發(fā)了作為新的安全原則的IEEE802.11i,并且致力于從久遠角度考慮解決IEEE802.11無線局域網(wǎng)的安全問題。IEEE802.11i原則中重要包含加密技術:TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard),以及認證合同:IEEE802.1x。IEEE802.11i原則已在6月24美國新澤西的IEEE原則會議上正式獲得同意。2.2H3C無線校園網(wǎng)的安全方略針對現(xiàn)在無線校園網(wǎng)應用中的種種安全隱患,H3C的無線局域網(wǎng)產(chǎn)品體系能夠提供強有力的安全特性,除了傳統(tǒng)無線局域網(wǎng)中的安全方略之外,還能夠提供更加精細的管理方法。2.2.1可靠的加密和認證、設備管理能夠支持現(xiàn)在802.11小組所提出的全部加密方式,涉及高級WPA256位加密(AES),40/64位、128位和152位WEP共享密鑰加密,WPATKIP,特有的128位動態(tài)安全鏈路加密,動態(tài)會話密鑰管理。802.1x認證使用802.1xRADIUS認證和MAC地址聯(lián)合認證,確保只有正當顧客和客戶端設備才可訪問網(wǎng)絡;WPATKIP認證采用EAP-MD5,EAP-TLS和PEAP合同,擴展的證書認證功效更加確保顧客身份的嚴格鑒定。支持通過本地控制臺或通過SSL或HTTPS集中管理Web瀏覽器;通過本地控制臺或通過SSHv2或Telnet遠程管理的命令行界面;并可通過無線局域網(wǎng)管理系統(tǒng)進行集中管理。2.2.2顧客和組安全配備和傳統(tǒng)的無線局域網(wǎng)安全方法同樣,H3C無線網(wǎng)絡能夠依靠物理地址(MAC)過濾、服務集標記符(SSID)匹配、訪問控制列表(ACL)來提供對無線客戶端的初始過濾,只允許指定的無線終端能夠連接AP。同時,傳統(tǒng)無線網(wǎng)絡也存在它的局限性之處。首先,它的安全方略依賴于連接到某個網(wǎng)絡位置的設備上的特定端口,對物理端口和設備的依賴是網(wǎng)絡工程的基礎。例如,子網(wǎng)、ACL以及服務等級(CoS)在路由器和交換機的端口上定義,需要通過臺式機的MAC地址來管理顧客的連接。H3C采用基于身份的組網(wǎng)功效,可提供增強的顧客和組的安全方略,針對特殊規(guī)定創(chuàng)立虛擬專用組(VertualPrivateGroup),VLAN不再需要通過物理連接或端口來實施,而是根據(jù)顧客和組名來辨別權限。并且,H3C無線網(wǎng)絡能夠?qū)o線局域網(wǎng)進行前所未有的控制和觀察,監(jiān)視工具甚至能夠跟蹤進一步到個人的信息(無論他的位置在哪里),網(wǎng)絡標記基于顧客而不是基于物理端口或位置。另一方面,H3C無線網(wǎng)絡簡化了SSID支持,不再需要多個SSID來支持漫游和授權方略;單個SSID足以支持漫游、跨子網(wǎng)漫游或涉及VLAN或子網(wǎng)組員資格的授權方略。大量的可配備監(jiān)視工具用于收集顧客數(shù)據(jù)(例如位置、訪問控制和安全設立)和識別顧客身份。另外,使用H3C虛擬專用組(VertualPrivateGroup)管理器功效,可覺得顧客和組分派特定的安全和訪問方略,從而獲得最大的靈活性,同時增強網(wǎng)絡安全性并明顯縮短管理時間。顧客不僅可更改單個顧客設立,還能夠只通過簡樸的幾次擊鍵操作即可從中央管理控制臺方便地配備相似的顧客組、AP組,而不必逐個配備AP。2.2.3非法接入檢測和隔離H3C無線網(wǎng)絡可自動執(zhí)行的AP射頻掃描功效通過標記可去除非法AP,使管理員能更加好地查看網(wǎng)絡狀況,提高對網(wǎng)絡的能見度。非法AP通過引入更多的流量來減少網(wǎng)絡性能,通過嘗試獲取數(shù)據(jù)或顧客名來危及網(wǎng)絡安全或者欺騙網(wǎng)絡以生成有害的垃圾郵件、病毒或蠕蟲。任何網(wǎng)絡中都可能存在非法AP,但是網(wǎng)絡規(guī)模越大就越容易受到攻擊。為了消除這種威脅,能夠指定某些AP充當射頻“衛(wèi)士”,其辦法是掃描無線局域網(wǎng)來查找非法AP位置,統(tǒng)計這些位置信息并采用方法以及為這些位置重新分派信道以使網(wǎng)絡處在連接狀態(tài)并正常運行。AP射頻掃描程序還會檢測并調(diào)節(jié)引發(fā)射頻干擾的其它來源,例如微波爐和無繩電話。并且,射頻監(jiān)測配合基于顧客身份的組網(wǎng),不僅可使顧客在漫游時含有諸如虛擬專用構組員資格、訪問控制列表(ACL)、認證、漫游方略和歷史、位置跟蹤、帶寬使用以及其它授權等內(nèi)容,還可告知管理人員哪些顧客已連接、他們位于何處、他們曾經(jīng)位于何處、他們正在使用哪些服務以及他們曾經(jīng)使用過哪些服務。2.2.4監(jiān)視和告警H3C無線網(wǎng)絡體系提供了實時操作信息,能夠快速檢測到問題,提高網(wǎng)絡的安全性并優(yōu)化網(wǎng)絡,甚至還能夠定位顧客。網(wǎng)絡管理應用程序針對當今的動態(tài)業(yè)務而設計,它提供了配備更改的自動告警功效。向?qū)Ы缑嫣峁┝思磿r提示,從而使得管理員能夠快速針對沖突做出更改。通過使用軟件的移動配備文獻功效,管理者能夠在顧客或顧客組漫游整個無線局域網(wǎng)時控制其訪問資源的位置。另外,位置方略能夠根據(jù)顧客的位置來制止或允許對特殊應用程序的訪問。
第三章具體設計網(wǎng)絡安全系統(tǒng)規(guī)劃是一種系統(tǒng)建立和優(yōu)化的過程,建設網(wǎng)絡的根本目的是在Internet上進行資源共享與通信。要充足發(fā)揮投資網(wǎng)絡的效益,需求設計成為網(wǎng)絡規(guī)劃建設中的重要內(nèi)容,網(wǎng)絡平臺中重要有針對學校建筑群而設計出的拓撲圖,有互聯(lián)網(wǎng)設備(主交換機、路由器、二級交換機、服務器等)。校園內(nèi)部網(wǎng)絡采用共享或者交換式以太網(wǎng),選擇中國科研教育網(wǎng)接入Internet,校際之間通過國際互聯(lián)網(wǎng)的方式互相連接。同時采用對應的方法,確保通訊數(shù)據(jù)的安全、保密。另外為了避免這個校區(qū)內(nèi)病毒的傳輸、感染和破壞,我們在校園網(wǎng)內(nèi)可能感染和傳輸病毒的地方采用對應的防毒方法,布署防毒組件,規(guī)劃以下:在學校服務上安裝服務器端殺毒軟件;在行政、教學單位的各個分支分別安裝客戶端殺毒軟件;學校的網(wǎng)絡中心負責整個校園網(wǎng)的升級工作,分發(fā)殺毒軟件的升級文獻(涉及病毒定義碼、掃描引擎、程序文獻等)到校內(nèi)全部用機,并對殺毒軟件網(wǎng)絡版進行更新。3.1ISA軟件防火墻的配備校園網(wǎng)內(nèi)的軟件防火墻采用ISAServe,之因此采用防火墻,是由于ISAServer是一種新型的應用層防火墻,避免服務的弱點及漏洞的攻擊,同時支持VPN功效及充當Web代理服務器,并能提供具體的日志報告。安裝示意圖如圖3-1所示。圖3-1ISA安裝示意圖3.1.1基本配備通過ISAServe中的ISAManagement項中的Services標簽,啟動集成模式中的三個服務,就能夠使用ISA的全部默認功效。同時須打開IPRouting功效、訪問權限功效、訪問方略功效、統(tǒng)一管理等。3.1.2限制學校用機的上網(wǎng)首先要定義組,通過在ISAServer軟件防火墻的ClientAddressSets標簽中新建一種組名的標記,按照機房用機的IP地址范疇進行添加,在ProtocolRules中選中合同規(guī)則后切換到Appliesto標簽,選中ClientAddressSetsspecifiedbelow,加入設定的組即可。這樣就能夠先知學校其它用機隨意上網(wǎng)。3.1.3檢測外部攻擊及入侵能夠通過配備ISAServer來監(jiān)測常見的校園網(wǎng)絡攻擊。在ISAServe中啟用入侵檢測后,ISAServer一檢測到攻擊,就會向Windows事件日志中發(fā)消息。要啟用ISAServer的入侵檢測功效,應在ISAServer管理窗口中選擇服務器名稱中的IPPacketFiltersProperties選項,勾選EnableIntrusiondetection,即打開ISAServer的入侵檢查功效。3.1.4校園網(wǎng)信息過濾配備校園網(wǎng)中擬采用“過濾王”來實現(xiàn)有效的過濾反動、色情、邪教等有害校園氛圍的信息,硬件配備涉及一種讀卡器、一張軟件光盤和若干上網(wǎng)卡。“過濾王”重要負責監(jiān)控、過濾、統(tǒng)計對應的日志(加密)并適時向網(wǎng)絡中心上傳數(shù)據(jù)。在軟件管理終端,管理員選擇“類別”和“統(tǒng)計日期”,點擊“查看按鈕”,就能夠查看網(wǎng)絡日志和操作日志,另外,安裝“過濾王”軟件終端程序涉及核心和控制臺兩部分,核心程序安裝在中心交換機以及學校機房的代理服務器上,在監(jiān)控的網(wǎng)卡列表中選測內(nèi)網(wǎng)網(wǎng)卡,進行通信的網(wǎng)卡也指定為內(nèi)網(wǎng)網(wǎng)卡即可。將控制臺程序安裝在服務器機房上的應用服務器上,操作系統(tǒng)安裝為Win。安裝完畢后,控制臺程序所在的服務器IP地址就是安裝核心程序的中心交換機IP。3.1.5網(wǎng)絡流量的監(jiān)控STARVIEW在網(wǎng)絡初步異常的狀況下,能進一步查看網(wǎng)絡中的具體流量,從而為網(wǎng)絡故障的定位提供豐富數(shù)據(jù)支持。3.1.6無線局域網(wǎng)安全技術普通網(wǎng)絡的安全性重要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個方面。訪問控制確保敏感數(shù)據(jù)只能由授權顧客進行訪問,而數(shù)據(jù)加密則確保發(fā)送的數(shù)據(jù)只能被所盼望的顧客所接受和理解。3.2物理地址(MAC)過濾每個無線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標記,可在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這種辦法的效率會隨著終端數(shù)目的增加而減少,并且非法顧客通過網(wǎng)絡偵聽就可獲得正當?shù)腗AC地址表,而MAC地址并不難修改,因而非法顧客完全能夠盜用正當顧客的MAC地址來非法接入,如圖3-2所示。圖3-2MAC地址的過濾圖3.2.1服務集標記符(SSID)匹配無線客戶端必須設立與無線訪問點AP相似的SSID,才干訪問AP;如果出示的SSID與AP的SSID不同,那么AP將回絕它通過本服務集上網(wǎng)。運用SSID設立,能夠較好地進行顧客群體分組,避免任意漫游帶來的安全和訪問性能的問題。能夠通過設立隱藏接入點(AP)及SSID的權限控制來達成保密的目的,因此能夠認為SSID是一種簡樸的口令,通過提供口令認證機制,實現(xiàn)一定的安全,具體的服務集標記匹配如圖3-3所示。圖3-3服務集標記匹配在IEEE802.11中,定義了WEP來對無線傳送的數(shù)據(jù)進行加密,WEP的核心是采用的RC4算法。在原則中,加密密鑰長度有64位和128位兩種。其中有24Bit的IV是由系統(tǒng)產(chǎn)生的,需要在AP和Station上配備的密鑰就只有40位或104位,加密原理如圖3-4所示。圖3-4WEP加密原理圖WEP加密原理以下:1、AP先產(chǎn)生一種IV,將其同密鑰串接(IV在前)作為WEPSeed,采用RC4算法生成和待加密數(shù)據(jù)等長(長度為MPDU長度加上ICV的長度)的密鑰序列;2、計算待加密的MPDU數(shù)據(jù)校驗值ICV,將其串接在MPDU之后;3、將上述兩步的成果按位異或生成加密數(shù)據(jù);4、加密數(shù)據(jù)前面有四個字節(jié),寄存IV和KeyID,IV占前三個字節(jié),KeyID在第四字節(jié)的高兩位,其它的位置0;如果使用Key-mappingKey,則KeyID為0,如果使用DefaultKey,則KeyID為密鑰索引(0-3其中之一)。3.2.2端口訪問控制技術和可擴展認證合同IEEE802.1x并不是專為WLAN設計的。它是一種基于端口的訪問控制技術。該技術也是用于無線局域網(wǎng)的一種增強網(wǎng)絡安全解決方案。當無線工作站STA與無線訪問點AP關聯(lián)后,與否能夠使用AP的服務要取決于802.1x的認證成果。如果認證通過,則AP為STA打開這個邏輯端口,否則不允許顧客連接網(wǎng)絡,具體原理如圖3-5所示。圖3-5802.1x端口控制在含有802.1x認證功效的無線網(wǎng)絡系統(tǒng)中,當一種WLAN顧客需要對網(wǎng)絡資源進行訪問之前必須先要完畢下列的認證過程。1.當顧客有網(wǎng)絡連接需求時打開802.1x客戶端程序,輸入已經(jīng)申請、登記過的顧客名和口令,發(fā)起連接請求。此時,客戶端程序?qū)l(fā)出請求認證的報文給AP,開始啟動一次認證過程。2.AP收到請求認證的數(shù)據(jù)幀后,將發(fā)出一種請求幀規(guī)定顧客的客戶端程序?qū)⑤斎氲念櫩兔蜕蟻怼?.客戶端程序響應AP發(fā)出的請求,將顧客名信息通過數(shù)據(jù)幀送給AP。AP將客戶端送上來的數(shù)據(jù)幀通過封包解決后送給認證服務器進行解決。4.認證服務器收到AP轉發(fā)上來的顧客名信息后,將該信息與數(shù)據(jù)庫中的顧客名表相比對,找到該顧客名對應的口令信息,用隨機生成的一種加密字對它進行加密解決,同時也將此加密字傳送給AP,由AP傳給客戶端程序。5.客戶端程序收到由AP傳來的加密字后,用該加密字對口令部分進行加密解決(此種加密算法普通是不可逆的),并通過AP傳給認證服務器。6.認證服務器將送上來的加密后的口令信息和其自己通過加密運算后的口令信息進行對比,如果相似,則認為該顧客為正當顧客,反饋認證通過的消息,并向AP發(fā)出打開端口的指令,允許顧客的業(yè)務流通過端口訪問網(wǎng)絡。否則,反饋認證失敗的消息,并保持AP端口的關閉狀態(tài),只允許認證信息數(shù)據(jù)通過而不允許業(yè)務數(shù)據(jù)通過。WPA(Wi-FiProtectedAccess)WPA=802.1x+EAP+TKIP+MIC在IEEE802.11i原則最后擬定前,WPA原則是替代WEP的無線安全原則合同,為IEEE802.11無線局域網(wǎng)提供更強大的安全性能。WPA是IEEE802.11i的一種子集,其核心就是IEEE802.1x和TKIP。認證在802.11中幾乎形同虛設的認證階段,到了WPA中變得尤為重要起來,它規(guī)定顧客必須提供某種形式的證據(jù)來證明它是正當顧客,并擁有對某些網(wǎng)絡資源的訪問權,并且是強制性的。WPA的認證分為兩種:第一種采用802.1x+EAP的方式,顧客提供認證所需的憑證,如顧客名密碼,通過特定的顧客認證服務器(普通是RADIUS服務器)來實現(xiàn)。在大型網(wǎng)絡中,普通采用這種方式。但是對于某些中小型的網(wǎng)絡或者個別顧客,架設一臺專用的認證服務器未免代價過于昂貴,維護也很復雜,因此WPA也提供一種簡化的模式,它不需要專門的認證服務器,這種模式叫做WPA預共享密鑰(WPA-PSK),僅規(guī)定在每個WLAN節(jié)點(AP、無線路由器、網(wǎng)卡等)預先輸入一種密鑰即可實現(xiàn)。只要密鑰吻合,客戶就能夠獲得WLAN的訪問權。由于這個密鑰僅僅用于認證過程,而不用于加密過程,因此不會造成諸如使用WEP密鑰來進行802.11共享認證那樣嚴重的安全問題。加密WPA采用TKIP為加密引入了新的機制,它使用一種密鑰構架和管理辦法,通過由認證服務器動態(tài)生成分發(fā)的密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到48位等辦法增強安全性。并且,TKIP運用了802.1x/EAP構架。認證服務器在接受了顧客身份后,使用802.1x產(chǎn)生一種唯一的主密鑰解決睬話。然后,TKIP把這個密鑰通過安全通道分發(fā)到AP和客戶端,并建立起一種密鑰構架和管理系統(tǒng),使用主密鑰為顧客會話動態(tài)產(chǎn)生一種唯一的數(shù)據(jù)加密密鑰,來加密每一種無線通信數(shù)據(jù)報文。TKIP的密鑰構架使WEP靜態(tài)單一的密鑰變成了500萬億可用密鑰。即使WPA采用的還是和WEP同樣的RC4加密算法,但其動態(tài)密鑰的特性很難被攻破。消息完整性校驗(MIC),是為了避免攻擊者從中間截獲數(shù)據(jù)報文、篡改后重發(fā)而設立的。除了和802.11同樣繼續(xù)保存對每個數(shù)據(jù)分段(MPDU)進行CRC校驗外,WPA為802.11的每個數(shù)據(jù)分組(MSDU)都增加了一種8個字節(jié)的消息完整性校驗值,這和802.11對每個數(shù)據(jù)分段(MPDU)進行ICV校驗的目的不同。ICV的目的是為了確保數(shù)據(jù)在傳輸途中不會由于噪聲等物理因素造成報文出錯,因此采用相對簡樸高效的CRC算法,但是黑客能夠通過修改ICV值來使之和被篡改正的報文相吻合,能夠說沒有任何安全的功效。而WPA中的MIC則是為了避免黑客的篡改而定制的,它采用Michael算法,含有很高的安全特性。當MIC發(fā)生錯誤的時候,數(shù)據(jù)很可能已經(jīng)被篡改,系統(tǒng)很可能正在受到攻擊。此時,WPA還會采用一系列的對策,例如立刻更換組密鑰、暫停活動60秒等,來制止黑客的攻擊。第四章具體配備及分析4.1交換機配備4.1.1交換機端口安全概述交換機有端口安全功效,運用端口安全這個特性,能夠?qū)崿F(xiàn)網(wǎng)絡接入安全,具體能夠通過限制允許訪問交換機上某個端口的MAC地址以及IP(可選)來實現(xiàn)嚴格控制對該端口的輸入。當你為安全端口打開了端口安全功效并配備了某些安全地址后,除了源地址為這些安全地址的包外,這個端口將不轉發(fā)其它任何包。另外,你還能夠限制一種安全地址,則連接到這個口的工作站(其地址為配備的安全地址)將獨享該端口的全部帶寬。為了增強安全性,你能夠?qū)AC地址和IP地址綁定起來作為安全地址。固然你也能夠只指定MAC地址而不綁定IP地址。如果一種端口被配備為一種安全端口,當其安全地址的數(shù)目已達成允許的最大個數(shù)后,如果該端口收到一種源地址不屬于端口上的安全地址的包時,一種安全違例將發(fā)生。當安全違例產(chǎn)生時,你能夠選擇多個方式來解決違例,例如丟棄接受到的報,發(fā)送違例告知或關閉對應端口等。當設立了安全端口上安全地址的最大個數(shù)后,能夠使用下面幾個方式加滿端口上的安全地址:能夠使用接口配備模式下的命令switchportport-securitymac-addressmac-address[ip-addressip-address]來手工配備端口的全部安全地址。也能夠讓該端口自動學習地址,這些自動學習到的地址將變成該端口上的安全地址,直達成到IP最大個數(shù)。需要注意的是,自動學習的安全地址均不會綁定地址,如果在一種端口上,你已經(jīng)配備了綁定IP地址的安全地址,則將不能再通過自動學習來增加安全地址。也能夠手工配備一部分安全地址,剩余的部分讓交換機自己學習。當違例產(chǎn)生時,能夠設立下面幾個針對違例的解決模式:Protect當安全地址個數(shù)滿后,安全端口將丟棄未知地址(不是該端口的安全地中的任何一種)的包。RestrictTrap當違例產(chǎn)生時,將發(fā)送一種Trap告知。Shutdown當違例產(chǎn)生時,將關閉端口并發(fā)送一種Trap告知。端口安全的具體內(nèi)容有四項,他的默認配備如表4-1所示。表4-1端口的默認設立內(nèi)容設立端口安全開頭全部端口均關閉端口安全功效最大安全地址個數(shù)128安全地址無違例解決方式保護(protect)4.1.2配備端口安全的限制配備端口安全是有以下某些限制:一種安全端口不能是一種aggregateport:一種安全端口只能是一種accessport.一種千兆接口上最多支持120個同時聲明IP地址和MAC地址的安全地址。另外,由于這種同時聲明IP地址和MAC地址的安全地址占用的硬件資源與ACLs等功效占用的系統(tǒng)硬件資源共享,因此當您在某一種端口上應用了ACLs,則對應地該端口上所能設立的聲明IP地址是安全地址個數(shù)將會減少。建議一種安全端口上的安全地址的格式保持一致,即一種端口上的安全地址或者全是綁定了IP的安全地址,或者都是不綁定IP地址的安全地址。如果一種安全端口同時包含這兩種格式的安全地址,則不綁定IP地址的安全地址將失效(綁定IP地址的安全地址優(yōu)先級更高),這時如果你想使端口上不綁定IP地址的安全地址生效,你必須刪除端口上全部的綁定了IP地址的安全地址。4.1.3配備安全端口及違例解決方式從特權模式開始,能夠通過下列環(huán)節(jié)來配備一種安全端口和違例解決方式:(1)configureterminal進入全局培植模式。(2)interfaceinterface-id進入接口配備模式。(3)switchportmodeaccess設立接口為access模式(如果擬定接口已經(jīng)處在access模式,則此環(huán)節(jié)能夠省略)。(4)switchportport-security打開該接口安全功效。(5)switchportport-secruitymaximumvalue設立接口上安全地址的最大個數(shù),范疇是1-128,默認值為128。(6)switchportport-securityviolation{protect|restrict|shutdown}設立解決違例的方式:potect保護端口,當安全地址個數(shù)滿后,安全端口將丟棄未出名地址(不是該端口的安全地址中的任何一種)的包。rstrict當違例產(chǎn)生時,將發(fā)送一種Trap告知。Shutdown當違例產(chǎn)生時,將關閉端口并發(fā)送一種Trap告知。當端口由于違例而被關閉后,能夠在全局模式下使用命令errdisablereeovery來將接口從錯誤狀態(tài)中恢復過來。(7)End回到特權模式。(8)Showport-securityinterface[interface-id]驗證你的配備。在借口配備模式下,你能夠使用命令noswitchportport-security來關閉一種接口的端口安全功效。使用命令noswitchportport-securityviolation來恢復默認個數(shù)。使用命令noswitchportport-securityviolation來將違例解決配備為默認模式。下面的例子闡明了如何使能接口gigabitethermet1/3上的端口安全功效,設立最大地址個數(shù)為8,設立違例方式為protect。Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#linterfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end4.1.4配備安全端口上的安全地址從特權模式開始,你能夠通過下列環(huán)節(jié)來手工配備一種安全端口上的安全地址。(1)configureterminal進入全局配備模式。(2)interfaceinterface-id進入接口配備模式。(3)switchport-securitymac-addressmac-address[ip-addressip-address]手工配備接口上的安全地址。Ip-address:可選IP為這個安全地址綁定的地址。(4)wnd回到特權模式。(5)showport-securityaddress驗證你的配備。在接口配備模式下,能夠使用命令noswitchportport-securitymac-addressmac-address來刪除該接口的安全地址。下面的例子闡明了如何為接口gigabitcthernet1/3配備一種安全MAC地址:00d0.f800.073c,并為其綁定一種地址IP:02。配備安全地址的老化時間你可覺得一種接口上的全部安全地址配備老化時間。打開這個功效,你需要設立安全地址的最大個數(shù),這樣,你就能夠讓交換機自動的增加和刪除接口上的安全地址。從特權模式開始,你就能夠通過下列環(huán)節(jié)來配備端口的功效。configureterminal進入全局配備模式。interfaceinterface-id進入接口配備模式。switchportport-securityaging{static|timetime}static:加上這個核心字,表達老化時間將同時應用于手工配備的安全地址和自動學習的地址,否則只應用于自動學習的地址。Time:表達這個端口上安全地址的老化時間,范疇是0~1440,單位是分鐘。如果設立為0,則老化功效事實上被關閉。老化時間按照絕對的方式計時,也就是一種地址成為一種端口的安全地址后,通過Time指定的時間后,這個地址就將被自動刪除。Time指定的時間后,這個地址就將被自動刪除。Time的默認值為0。End回到特權模式。showport-securityinterface[interface-id]驗證你的配備。能夠在接口配備模式下使用命令noswitchportport-securityagingtime來關閉一種接口的安全地址老化功效(老化時間為0),使用命令noswitchportport-securityagingstatic來使老化時間僅應用于動態(tài)學習到的安全地址。下面的例子闡明了如何配備一種接口gigabitethernet1/3上的端口安全的老化時間,老化時間設立為8分鐘,老化時間應用于靜態(tài)配備的安全地址:Switch#configureterminalEnterconfigurationcommands,oneperline,EndwithCNTL/Z.Switch(config)#interfacegigabitthernet1/3.Switch(config-if)#switchportport-securityagingtime8Switch(config-if)#Sswitchportport-securityagingtimestaticSwitch(config-if)#end查看端口安全信息在特權模式開始,你能夠通過下面的命令來查看端口安全的信息:Showport-securityinterface[interface-id]查看端口的端口安全配備信息。Showport-securityaddress查看安全地址信息。Showport-security[interface-id]address顯示某個接口上的安全地址信息。Showport-security顯示全部安全端口的統(tǒng)計信息,涉及最大安全地址數(shù),現(xiàn)在安全地址以及違例解決方式等。下面的例子顯示了接口gigabitethernet1/3上的端口安全配備:Switch#showport-securityinterfacegigabitethernet1/3Interface:Gil/3Portsecurity:EnabledPortstatus:downViolationmode:shutdownMaximumMACAddress:0ConfiguredMACAddress:0Agingtime:8minsSecureStaticaddressaging:Enabled下面的例子顯示了系統(tǒng)中的全部安全地址:Switch#showport-securityaddressVlanMacaddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------------------------------------------------------100d0.f800.073c02ConfiguredGi1/38下面的例子顯示的是安全端口的統(tǒng)計信息:Switch#showport-securitySecureportMaxSecureAddr(count)CurrentAddr(count)SecutityAction-------------------------------------------------------------------------------------------------Gi1/11281RestrictGi1/21280RestrictGi1/381protect4.2在路由器中配備訪問控制列表ACL4.2.1訪問控制列表ACL概述訪問控制列表ACL(AccessControlList),最直接的功效便是包過濾。通過接入控制列表(ACL)能夠在路由器、三層交換機上進行網(wǎng)絡安全屬性配備,能夠?qū)崿F(xiàn)對進入到路由器、三層交換機的輸入數(shù)據(jù)流進行過濾。認證輸入數(shù)據(jù)流的定義能夠基于網(wǎng)絡地址、TCP/UDP的應用等。能夠選擇對于符號合過濾原則的流是丟棄還是轉發(fā),因此必須懂得網(wǎng)絡是如何設計的,以及路由器接口是如何在過濾原則設備上使用的。要通過ACL配備網(wǎng)絡安全屬性,只有通過命令來完畢配備。無法通過SNMP來完畢這些設立。4.2.2ACL的類型ACL的類型重要分為IP原則控制列表(StandardIPACL)和IP擴展訪問控制列表(ExtendedIPACL);重要的動作作為允許(Permit)和回絕(Deny)如圖9-1所示;重要的應用辦法是入棧(In)應用和出棧(Out)應用,訪問控制列表的工作流程如圖4-1所示。圖4-1訪問控制列表工作流程1.編號的訪問控制列表在路由器上可配備編號的訪問控制列表。具體介紹以下。、IP原則訪問控制列表(StandardIPACL)。原則訪問控制列表是基本IP數(shù)據(jù)包中的IP地址進行控制,如圖4-2所示。圖4-2原則訪問控制列表全部的訪問控制列表都是在全局配備模式下生成的。IP原則訪問控制列表的格式以下:Access-listlistnumber{permit|deny}address[wildcard-mask]其中:listnumber是規(guī)則序號,原則訪問控制列表(StandardIPACL)的規(guī)則序號范疇是1~99;Permit和deny表達允許或嚴禁滿足該規(guī)則的數(shù)據(jù)包通過;Address是源地址IP;wildcard-mask是源地址IP的通配比較位,也稱反掩碼。例如:(config)#access-list1permit172.16.0..055(config)#access-list1deny552IP擴展訪問控制列表(ExtendedIPACL)。擴展訪問控制列表不僅能夠?qū)υ璉P地址加以控制,還能夠?qū)δ康牡刂贰⒑贤约岸丝诤眉右钥刂?,如圖4-3所示。圖4-3擴展訪問控制列表IP擴展訪問控制列表也都是在全局配備模式下生成的。IP擴展訪問控制列表的格式以下:Access-listlistnumber{permit|deny}protocolsourcesource-wildxard-maskdestinationdestination-wildcard-mask[operatoroperand]擴展訪問控制列表支持的操作符及其語法如表9-2所示。表4-2擴展訪問控制列表支持的操作符及其語法操作符及其語法意義eqportnumbergtportnumberItportnumberNeqportnumberrangepornumber1portnumber2等于端標語portnumber不不大于端標語portnumber不大于端標語portnumber不等于端標語portnumber介于端標語portnumber1和portnumber23ACL命令中的反掩碼。反掩碼與子網(wǎng)碼算法相似,但寫法不同,區(qū)別是:反掩碼中,0表達需要比較,1表達不需要比較,對于:55只比較前24位55只比較前22位55只比較前8位4入棧(In)應用和出棧(Out)應用。這兩個應用是相對于設備的某一端口而言,當要對從設備外的數(shù)據(jù)經(jīng)端口流入設備時做訪問控制,就是入棧(In)應用;當要對從設備內(nèi)的數(shù)據(jù)經(jīng)端口流出設備時做訪問控制,就是出棧(Out)應用。命名的訪問控制列表在三層交換機上配備命名的ACL。能夠采用創(chuàng)立ACL、接口上應用ACL、查看ACL這三個環(huán)節(jié)進行。創(chuàng)立StandardIPACLs在特權配備模式,能夠通過以下環(huán)節(jié)來創(chuàng)立一種StandardIPACL。(1)configureterminal進入全局配備模式。(2)ipaccess=liststandard{name}用數(shù)字或名字來定義一條StandardIPACL并進入access-list配備模式。(3)deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配備模式,聲明一種式多個允許通過(permit)或丟棄(deny)的條件以用于交換機決定報文是轉發(fā)還是丟棄。Hostsource代表一臺源主機,其source-wildcard為;any代表任意主機,即source為,source-wild為55.(4)end退回到特權模式。(5)showaccess-lists[name]顯示該接入控制列表,如果您不指定access-list及name參數(shù),則顯示全部接入控制列表。下例顯示如何創(chuàng)立一種IPStandardAccess-list,該ACL名字叫deny-host192.168.12.x:有兩條ACE(訪問控制條目),第一條ACE回絕來自網(wǎng)段的任一主機,第二條ACE物許其它任意主機:Switch(conifg)#ipaccess-liststandarddeny-host192.168.12.xSwitch (config-std-nacl)#deny 55Switch (config-std-nacl)#permitanySwitch (config-std-nacl)#end創(chuàng)立ExtendedIPACLs在特權配備模式,能夠通過以下環(huán)節(jié)來創(chuàng)立一種ExtendedIPACL。(1)configureterminal進入全局配備模式。(2)ipaccess-listextended{name}用數(shù)字或名字來定義一條ExtendedIPACL并進入access-list配備模式。(3){deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]在access-list配備模式,一種或多個允許通過(permit)或丟棄(deny)的條件以用于交換機決定匹配條件的報文是轉發(fā)還是丟棄。(4){destinationdestination-wildcard|hostdestination|any}[operatorport]以下方式定義TCP或UDP的目的或源端口:①操作符(operator)只能為eq。②如果操作符在sourcesource-wildcard之后,則報文的源端口匹配指定值時條件生效。③如果操作符在destinationdestination–wildcard之后,則報文的目的端口匹配指定值時條件生效。④Port為十進制值,它代表TCP或UDP的端標語。值范疇為0~65535。Protocol可覺得:a)Tcp指明為tcp數(shù)據(jù)流b)Udp指明為udp數(shù)據(jù)流c)Ip指明為任意ip數(shù)據(jù)流d)End退回到特權模式(5)Showaccess-lists[name]顯示該接入控制列表,如果您不下access-listnumber及name參數(shù),則顯示全部接入控制列表。下例顯示如何創(chuàng)立一條ExtendedIPACL,該ACL有一條ACE,用于允許指定網(wǎng)絡(192.168.X.X)的全部主機以HTTP訪問服務器,但回絕其它全部主機使用網(wǎng)絡。Switch (config)#ipaccess-listextendedallow_0xc0a800_to_Switch (config-std-nacl)#permittcp 55hosteqwwwSwitch(config-std-nacl)#endSwitch#showaccess-list將ipstandardaccess-list及ipextendedaccess-list應用到指定接口上在特權模式,通過以下環(huán)節(jié)將IPACLs應用到指定接口上。(1)configureterminal進入全局配備模式。(2)interfaceinterface-id指定一種接口并進入接口配備模式。(3)ipaccess-group{name}{in|out}將指定的ACL應用于該接口上,使其對輸入或輸出該接口的數(shù)據(jù)流進行接入控制(4)end退回到特權模式。下例顯示如何將access-list-deny_unknow_device應用于VLAN接口2上。Switch(config)#interfacevlan2Switch(config-if)#ipaccess-groupdeny_unknow_devicein(5)顯示ACLs配備。能夠通過命令來顯示ACL配備。下列例子顯示名字為ip_acl的StandardIPaccess-lists的內(nèi)容:Router#showipaccess-listsip_aclStandardipaccesslistip_aclPermithostPermithost下列例子顯示名字為ip_ext_acl的ExtendedIPaccess-lists的內(nèi)容:Router#showipaccess-listsip_ext_aclExtendedipaccesslistip_ext_aclPermittcphosteqwwwPermittcphosteq下列例子顯示全部IPaccess-lists的內(nèi)容:Switch#showipacess-listsStandardipaccesslistip_aclPermithostPermithostExtendedipaccesslistip_ext_aclPermittcp0.0255.255hosteqwwwPermittcp55hosteqwwwRouter#showaccess-listsStandardipacceslistip_aclPermithostPermithostExtendedipaccesslistip_ext_aclPermittcp55hosteqwwwPermittcp55hosteqwwwExtendedMACaccesslistmacextdenyhost0x00d0f8000000anyaarppermitanyany4.3防火墻的配備以銳捷RG-WALL150防火墻為例,介紹RG-WALL系列防火墻的初始配備。將PC的COM1口連接到防火墻的Console口,并將PC機網(wǎng)卡連接到防火墻的Forcethernet口,然后進行配備。在初始設立過程中,首先通過防火墻的控制口(Console)登錄進入防火墻進行某些初步設立,然后啟動已注冊管理員的PC的瀏覽器(WebBrowser),在地址欄中輸入RG-WALL的內(nèi)網(wǎng)接口IP地址,由此可進入防火墻的圖形化配備界面,對防火墻估進一步的配備。具體的配備以下例所示。1.登錄防火墻RG-Wall-150login:rootPassword:rg-wall123以上是系統(tǒng)的默認ID和口令值/>si按任意鍵進入默認設立階段,設立系列號、featurecode以及授權號。RG-WALL的第一步系統(tǒng)將提示輸入系列號、featurecode以及授權號。按照“產(chǎn)品使用授權書”上提供的信息輸入序列號,辨別大小寫。序列號的格式以SW-xx-xxxxx以及SK-xx-xxxxx輸入,例如:SW-03-91004輸入完序列號再輸入featurecode的內(nèi)容,featurecode是設立RG-WALL可使用功效的編碼(廠商提供的16位編碼)。授權號與序列號和featurecode相似。2.選定路由模式或網(wǎng)橋模式按任意鍵繼續(xù)。下一階段將決定RG-WALL在安裝網(wǎng)絡中要起的作用。并且這一階段的選擇決定后來的設立工作。在這里將闡明路由模式下的設立辦法。在最后的輸入提示中鍵入“P/
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- DB45T 2645-2023 機載激光雷達遙感森林參數(shù)建模地面樣地調(diào)查技術規(guī)程
- 會計類實習報告范文合集五篇
- 學科體系與認知體系
- DB45T 2531-2022 高速公路熱拌瀝青混合料超薄磨耗層技術規(guī)范
- 2024年度連鎖加盟經(jīng)營合同(含商標使用)
- 小學六年級語文教學工作計劃
- 2025訂貨合同范本范文
- 2024至2030年中國冰棍槽行業(yè)投資前景及策略咨詢研究報告
- 2025房屋自愿贈與合同
- 2025綠化工程施工合同
- 部編語文五年級上冊詞語表注音版
- 中建光伏項目管理指導手冊
- 國家開放大學思想道德與法治社會實踐作業(yè)集合6篇
- 小學侵害未成年人強制報告制度
- 2023年飛行員基礎知識考試題庫(500題版)
- 人工智能對中學教學的影響與應對策略
- 閉合導線自動計算表
- 分管學校安全、德育、后勤等業(yè)務副校長述職報告
- 筆試考試:HSK筆試(三級)真題模擬匯編(共603題)
- 全國城市一覽表-excel
- 《WPS演示制作與設計》計算機應用基礎高職??埔坏泉?含課件制作試題及答案)
評論
0/150
提交評論