完整版)校園網(wǎng)絡管理與安全推優(yōu)畢業(yè)設計論文

1、優(yōu)秀論文審核通過未經(jīng)允許切勿外傳摘要 隨著校園信息化建設的快速發(fā)展，學校對網(wǎng)絡的依賴性越來越強， 網(wǎng)絡的安全問題日益突出。這就給網(wǎng)絡的安全建設提出了新的要求，很多 時候，校園網(wǎng)的安全隱患更多的來自于校園網(wǎng)內(nèi)部， 相比來自外部的攻擊， 來自網(wǎng)內(nèi)的攻擊、漏洞更為可怕，威脅更大。因此，網(wǎng)絡安全要在內(nèi)部網(wǎng) 絡安全和外部網(wǎng)絡安全綜合考慮。如今內(nèi)部網(wǎng)絡的應用越來越復雜，內(nèi)部 網(wǎng)絡上大多數(shù)網(wǎng)絡應用都是很重要的，一旦出現(xiàn)泄密、破壞的事件，將產(chǎn) 生嚴重的后果。隨著網(wǎng)絡攻擊技術的不斷提高和網(wǎng)絡安全漏洞的不斷發(fā)現(xiàn)。 傳統(tǒng)的網(wǎng)絡安全防護手段已經(jīng)無法應對這些威脅。在這種情況下，學校如 何保證網(wǎng)絡的安全運行，同時又能提供

2、豐富的網(wǎng)絡資源， 達到辦公、教學、 娛樂以及學生上網(wǎng)的多種需求成了一個難題。關鍵字 攻擊，威脅，漏洞ABSTRACT With the campus of information and rapid development, the school more and more dependent on the network, and network security issues . The application of the internal network is now more and more complex, most of the internal network on web

3、applications are very important, in the event of leaks, damage the case, will can not deal with these threats. In this case, the school of thenetwork, while providing a wealth of network resources to the office, teaching,entertainment, as well as the diverse needs of students access to the Internet

4、Protocol的縮寫。他是TCPIP協(xié)議的一種，主要是用來給網(wǎng)絡客戶機分配 IP 地址、子網(wǎng)掩碼和路由信息。具體分為服務端和客戶端兩部分，服務器 存放客戶端IP地址的集中配置參數(shù)，客戶端則向服務端獲取TCPIP協(xié)議中的 IP 地址配置信息。對于一個擁有將近 1 萬多網(wǎng)絡節(jié)點的 xx 校園網(wǎng)， 對于IP地址的集中管理顯得尤為重要。xx校園網(wǎng)目前采用的是2臺DHCP 服務器做負載均衡，在接入層和匯聚層交換機開啟DHCP代理中繼使客戶端能從DHCF服務器獲得IP地址配置信息。但是仍有部分 DHCP服務器開 啟在匯聚層交換機，這樣會給黑客和攻擊者有可乘之機。應該修改其配置 信息，全部使用統(tǒng)一的DHC

5、P艮務器進行分配IP地址配置信息?？蛻舳双@ 取的DHCP言息的原則是先到先得，為了保持校園網(wǎng)內(nèi)的高效穩(wěn)定的運行， 應該在接入層、匯聚層和核心交換機作出相應的策略，封堵非法的DHCP服務器運行。DHCP Snooping技術是DHCP安全特性，通過建立和維護 DHCP Snooping 綁定表過濾不可信任的DHCF信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶 MAC地址、IP地址、 租用期、VLAN-ID接口等信息。當交換機開啟了 DHCP-Snooping后，會對 DHCP報文進行偵聽，并可以從接收到的 DHCARequest或DHCPA

6、ck報文中 提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個物 理端口設置為信任端口或不信任端口。 信任端口可以正常接收并轉(zhuǎn)發(fā) DHCP Offer 報文，而不信任端口會將接收到的 DHCPOffer 報文丟棄。這樣可確 ?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。3.3解決校園網(wǎng)FTP服務器負載問題，服務器、交換機負載均衡 負載均衡( Load Balance )由于目前現(xiàn)有網(wǎng)絡的各個核心部分隨著業(yè)務 量的提高，訪問量和數(shù)據(jù)流量的快速增長，其處理能力和計算強度也相應 地增大，使得單一的服務器設備根本無法承擔。在此情況下，如果扔掉現(xiàn) 有設備去做大量的硬件升

7、級，這樣將造成現(xiàn)有資源的浪費，而且如果再面 臨下一次業(yè)務量的提升時，這又將導致再一次硬件升級的高額成本投入， 甚至性能再卓越的設備也不能滿足當前業(yè)務量增長的需求。針對此情況而 衍生出來的一種廉價有效透明的方法以擴展現(xiàn)有網(wǎng)絡設備和服務器的帶 寬、增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力叫負載均衡。在核心交換機上可以采用端口聚合技術( Ethernet Channel )實現(xiàn)兩臺 核心交換機的負載均衡。端口聚合的有增加帶寬、增加冗余、負載均衡的 優(yōu)點。在服務器上可以通過增加網(wǎng)卡，增加一條千兆的銅纜和核心層交換 機做端口聚合技術，從而增加服務器到核心層交換機的帶寬。3.4 解決校園網(wǎng)入侵檢測和入侵防御問題I

8、DS ( Intrusion Detection Systems)入侵檢測系統(tǒng)，依照一定的安全策略，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻 擊行為或者攻擊結(jié)果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。 假如防火墻是一棟大樓的門鎖，那么 IDS 就是這棟大樓里面的監(jiān)視系統(tǒng)。 IDS 入侵檢測系統(tǒng)是一個監(jiān)聽設備，沒有跨接在任何鏈路上，無須網(wǎng)絡流 量流經(jīng)它便可以工作。因此，對 IDS的部署，唯一的要求是：IDS應當掛 接在所有所關注流量都必須流經(jīng)的鏈路上。在這里， 所關注流量 指的是 來自高危網(wǎng)絡區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網(wǎng)絡報文。在如今 的網(wǎng)絡拓撲中，已經(jīng)很難找到

9、以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡，絕大部分的網(wǎng)絡區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡結(jié)構(gòu)。因此， IDS 在交 換式網(wǎng)絡中的位置一般選擇在，盡可能靠近攻擊源的地方，盡可能靠近受 保護資源。IPS (Intrusion Prevention Systems)入侵防御系統(tǒng)，IPS 位于防火墻 和網(wǎng)絡的設備之間。這樣，如果檢測到攻擊， IPS 會在這種攻擊擴散到網(wǎng) 絡的其它地方之前阻止這個惡意的通信。 IDS 只是存在于你的網(wǎng)絡之外起 到報警的作用，而不是在你的網(wǎng)絡前面起到防御的作用。 IPS 檢測攻擊的 方法也與 IDS 不同。目前有很多種 IPS 系統(tǒng)，它們使用的技術都不相同。 但是，一般來說，

10、 IPS 系統(tǒng)都依靠對數(shù)據(jù)包的檢測。 IPS 將檢查入網(wǎng)的數(shù) 據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進入你 的網(wǎng)絡。3.5 解決校園網(wǎng)網(wǎng)絡設備遠程管理與防護問題XX校園網(wǎng)網(wǎng)絡設備的管理都是采用 Tel net或者使用WebGui管理，帶來 的安全隱患非常的多。因為 Telnet 協(xié)議采用的是明文傳輸，非常容易被 入侵者使用 Sniffer 嗅探得到登陸網(wǎng)絡設備的帳號和密碼。對于數(shù)量繁多 的網(wǎng)絡設備，目前每一設備的管理帳號密碼都不一致，給管理員帶來了很 大的不便。因此可以采取使用 Radius 服務器進行對管理交換機的登陸者 進行 radius 的合法認證。這樣可以方便管理員

11、統(tǒng)一管理網(wǎng)絡設備，修改 網(wǎng)絡設備的登陸帳號和密碼。對于非管理 IP 地址應該進行相應的策略封 堵，對于敏感的協(xié)議報文進行 ACL（訪問控制列表）的流控。3.6 遠程訪問校園網(wǎng)資源問題遠程訪問校園網(wǎng)資源，可以采用 VPN（ Virtual Private Network）虛擬 專用網(wǎng)。它可以通過特殊的加密的通訊協(xié)議在連接在 Internet 上的位于 不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比 是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線 路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購 買路由器等硬件設備。VPN技術原是路由器具有的重要

12、技術之一，目前在 交換機，防火墻設備或 WINDOWS20等軟件里也都支持VPN功能，VPN的 核心就是在利用公共網(wǎng)絡建立虛擬私有網(wǎng)。針對不同的用戶要求，VPN有三種解決方案：遠程訪問虛擬網(wǎng)（Access VPN、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN和企業(yè)擴展虛擬網(wǎng)（Extra net VPN ）,這三種類型的VPN分別與傳統(tǒng) 的遠程訪問網(wǎng)絡、企業(yè)內(nèi)部的 Intranet 以及企業(yè)網(wǎng)和相關合作伙伴的企 業(yè)網(wǎng)所構(gòu)成的 Extranet （外部擴展）相對應。3.7校園網(wǎng)信息管理系統(tǒng)，Web服務器負載均衡學校 Myscse 信息管理系統(tǒng)部署在網(wǎng)絡中心樓下軟件研究所內(nèi)，接入安 式 100 防火墻對數(shù)

13、據(jù)庫和信息管理系統(tǒng)進行防護。平常的信息查詢和瀏覽 對服務器的負載，服務器沒有明顯的負荷過重的現(xiàn)象。在選課期間，大量 的連接涌入服務器使服務器無法正常工作。 在分析網(wǎng)絡拓撲結(jié)構(gòu)之后發(fā)現(xiàn)， 網(wǎng)絡中的網(wǎng)絡傳輸并不是服務器無法正常工作的瓶頸。大量的合法連接， 由于數(shù)量過大導致變相的成為 DDOS攻擊，從而使服務器無法正常提供服 務。負載均衡是由多臺服務器以對稱的方式組成一個服務器集合，每臺服 務器都具有等價的地位，都可以單獨對外提供服務而無須其他服務器的輔 助。通過某種負載分擔技術，將外部發(fā)送來的請求均勻分配到對稱結(jié)構(gòu)中 的某一臺服務器上，而接收到請求的服務器獨立地回應客戶的請求。第四章 解決校園網(wǎng)相

14、關問題的具體實施方案4.1針對校園網(wǎng)內(nèi)出現(xiàn)ARP病毒的防護采取雙向綁定技術，首先在客戶端實施。查看客戶端網(wǎng)絡信息，本地連 接屬性。如圖 4.1.1 所示圖 4.1.1 （本地連接屬性）然后先 Ping 下54 網(wǎng)關，然后輸入 arp -a 查看客戶端 MAC 地址信息。如圖 4.1.2 所示圖4.1.2 （ MAC地址表操作）在沒有綁定網(wǎng)關MAC地址之前客戶端MAC地址表Type類型列是dynamic， 動態(tài)獲取網(wǎng)關MAC地址。這樣非常容易受到 ARPS毒的影響，而導致網(wǎng)關MAC被篡改而無法網(wǎng)關IP地址，再次輸入arp -a可以看到Type類型列 變成了 static

15、,靜態(tài)指定MAC地址，這樣有助于防止ARP病毒的惡意篡改 客戶端網(wǎng)關MAC地址。在接入層交換機中可以采取接入層交換機對于客戶端的MAC地址綁定。xx校園網(wǎng)是一個基于三層交換的網(wǎng)絡，采用在接入層劃分VLAN實現(xiàn)隔離廣播風暴和管理IP地址的功能。因此在實施的時候應該是針對于VLAN來進行管理。如圖 4.1.3 所示圖 4.1.3 （交換機操作示意圖）進 入 VLAN 接 口 管 理 模 式 下 ， 使 用 arp 78 00-0B-2F-0F-71-E1來綁定客戶端IP地址與MAC地址。4.2針對校園網(wǎng)內(nèi)DHC服務器部署和防護問題xx 校園網(wǎng)擁有 1 萬多網(wǎng)絡節(jié)點，龐大的網(wǎng)

16、絡中出現(xiàn)的問題首先就是 IP 地址分配和管理問題。校園網(wǎng)內(nèi)在網(wǎng)絡中心設有一臺DHCP月服務器，用于給客戶端分配 IP 配置網(wǎng)段。采用的是啟用神州數(shù)碼 5512-GS 三層交換機 中的DHCP功能。在開放了 DHCfflK務的三層交換機中，非常容易遭受黑客 和入侵者的惡意攻擊導致交換機無法正常完成其它包轉(zhuǎn)發(fā)。因此為了更好 的管理和優(yōu)化網(wǎng)絡環(huán)境，因移除作用于三成交換機上的DHCfflK務。對于DHCP服務的另外一個因數(shù)而言，就是一個仿冒的問題。根據(jù)客戶 端獲取DHCfflK務器的IP配置信息的獲取原則來看。施行先到先得的原則， 在客戶端收到的第一個 DHC曲復包，將會為客戶端提供詳細的IP配置信

17、息。也就是說簡單的在校園網(wǎng)內(nèi)架設一臺DHCP服務器，那么很可能導致部分使用動態(tài)獲取 IP 地址的客戶端無法正常的連接網(wǎng)絡。對于此類的仿 冒問題，可以采取啟用接入層神州數(shù)碼3950交換機的DHCP Snooping功能來封堵不信任的端口發(fā)送 DHCP應答報文。4.3 服務器負載均衡、交換機端口聚合xx 校園網(wǎng)內(nèi)網(wǎng)絡需要主要集中在 FTP 娛樂資源服務器上。 服務器已經(jīng)采 用千兆銅纜接入核心交換機，需要再度提高網(wǎng)絡傳輸?shù)乃俣瓤梢圆捎秒p網(wǎng) 卡綁定和核心交換機的端口聚合技術實現(xiàn)增加帶寬的作用。在服務器可以安裝 2 快型號一樣的網(wǎng)卡，然后運行安裝“ NICExpress” 如圖 4.3.1-4.3.5

18、所示圖 4.3.1（ 安裝開始 ）圖 4.3.2 （詢問是否啟用負載均衡功能）圖 4.3.3 （網(wǎng)卡綁定界面）圖 4.3.4 （添加 2 個真實網(wǎng)卡綁定）圖 4.3.5 （綁定成功后的網(wǎng)絡連接屬性）成功綁定網(wǎng)卡之后，設置網(wǎng)絡連接屬性里面的“ NIC Express Transport for Ethernet ”連接屬性來設定IP地址、子網(wǎng)掩碼、默認網(wǎng)關、DNS等。這樣當于設定一張網(wǎng)卡的屬性，實際上卻提高了服務器的帶寬和冗余。在網(wǎng)絡中心的核心交換和行政樓的核心交換機之間可以采用 2 條千兆銅 纜實現(xiàn)負載均衡，大大提高 FTP用戶的下載速度。在兩交換機之間使用 3基于目標 IP 地址的創(chuàng)建組 1

19、打開組 3 層功能層的鏈路匯聚功能，命令如下所示 網(wǎng)絡中心核心交換機 Switch_nc（config）#port-group 1 load-balance dst-ip 負載均衡Switch_nc(config)#interface port-channel 1Switch_nc(config-If-port-channel)#no switchportSwitch_nc(config-If-port-channel)#ip address 設定端口 IP 地址Switch_xz(config-If-port-channel)#ip address 192.168.1.

20、2去除端口 3 層屬性加入組基于目標 IP 地址的創(chuàng)建組 1打開組 3 層功能 設定端口 IP 地址 打開組去除端口 3 層屬性加入組打開組Switch_nc(config-If-port-channel)#no shutdownSwitch_nc(config-If-port-channel)#exit Switch_nc(config-range)# no ip address Switch_nc(config-range)# port-group 1 mode on Switch_nc(config-range)# end 行政樓核心交換機Switch_xz(config)#port-g

21、roup 1 load-balance dst-ip負載均衡Switch_xz(config)#interface port-channel 1Switch_xz(config-If-port-channel)#no switchportSwitch_xz(config-If-port-channel)#no shutdown Switch_xz(config-If-port-channel)#exit Switch_xz(config-range)# no ip address Switch_xz(config-range)# port-group 1 mode on Switch_xz(c

22、onfig-range)# end4.4 校園網(wǎng)內(nèi) IDSIPS 的部署xx 校園網(wǎng)內(nèi)主要采用 Cisco IDS 來進行入侵檢測。 Cisco IDS 主要部署 于核心層交換機下，使用專門的 Net ran ger進行管理和監(jiān)控IDS。如圖 4.4.1 所示圖 4.4.1 （Cisco IDS 部署情況）4.5 使用 Radius 服務器統(tǒng)一管理網(wǎng)絡設備xx 校園網(wǎng)計費系統(tǒng)采用的安騰計費系統(tǒng)， 整個計費系統(tǒng)由 CMB、SRadius、 計費系統(tǒng)組成。在擁有幾百臺網(wǎng)絡設備的校園網(wǎng)中，配置和管理網(wǎng)絡設備Radius的密碼是一件很繁瑣的事情。我們可以采用登陸帳號和密碼采用服務器進行認證。從而更加安

23、全、更加方便的管理xx校園網(wǎng)網(wǎng)絡設備。命令如下Switch(c on fig)#radius-server authe nticati on log in radius local設置認證先Radius后本地4.6校園網(wǎng)防火墻VPN服務使用下面的步驟，創(chuàng)建一個VPN通道，包括來源地址和目的地址以及VPN策略。使得遠程VPN網(wǎng)關和帶有動態(tài)IP地址的客戶端能夠連接到ES4000 網(wǎng)關防火墻撥號VPN網(wǎng)關：域名遠程網(wǎng)關網(wǎng)關名稱Dialup_GW遠程網(wǎng)關Dialup User用戶組無模式主階段1計劃階段1加密驗證3DES鑒別算發(fā)SHA1DH組5密鑰周期286400 秒鑒別密鑰(預密鑰)abcd1234

24、本地ID空NAT-TRA VERSAL不選擇保持連接的頻率空步驟一：給撥號VPN添加VPN通道步驟二:給撥號VPN添加來源和目的地址步驟三：給撥號VPN添加IPSecVPN策略步驟四：給撥號VPN配置遠程IPSecVPN網(wǎng)關步驟五：給撥號VPN配置遠程IPSecVPN客戶端按以下步驟添加撥號的遠程網(wǎng)關(1) .單擊 VPN IPSec 遠程網(wǎng)關(2) .選擇“新建”添加一個遠程網(wǎng)關(3) .使用按照右表的信息配置遠程網(wǎng)關(4) .選擇“確定”保存撥號 VPN遠程網(wǎng)關給撥號VPN添加來源和目的地址按實際情況，添加一個遠程VPN客戶端的來源地址，目的地址為VPN網(wǎng)關外接口 (IP:211.1.1.

25、2)地址。給撥號 VPN添加IPSecVPN策略當防火墻內(nèi)部是一個三層網(wǎng)絡(如上連接示意圖)，只要防火墻和內(nèi)部設備的路由配置正確，VPN客戶端不管是使用 PPTP、L2P或者IPSec協(xié)議連接到防火墻， 均能夠訪問到內(nèi)部網(wǎng)的任一網(wǎng)段。同時，易尚ES4000 VPN功能具體增強的策略控制功能，能夠?qū)?VPN客戶端進行有效的訪問控制。比如：只允許VPN客戶端訪問內(nèi)部的某一網(wǎng)段，如上圖網(wǎng)段3；只允許VPN客戶端訪問內(nèi)部的某一服務器，如上圖 Server : ；只允許VPN客戶端訪問內(nèi)部的某一服務器特定的服務，如WWW ；基于策略的VPN非常靈活，能夠提高聯(lián)網(wǎng)靈活性和增強安全性

26、；在使用ISPec客戶端時，適用 XAuth進行二次認證，增強安全性；IPSec客戶端可獲取虛擬IP地址，并能夠被內(nèi)部網(wǎng)訪問。注意：根據(jù)ES4000說明書說明，若易尚防火墻使用靜態(tài)路由，而內(nèi)部是三層網(wǎng)絡時，需要在易尚防火墻的路由表中添加指向內(nèi)部網(wǎng)絡的靜態(tài)路由，簡稱回指路由。如圖4.6.1 所示圖461實施VPN策略，控制IPSec客戶端的訪問權限：下述設置能夠?qū)崿F(xiàn)只允許IPSec客戶端訪問內(nèi)部網(wǎng)的 ，在第2步，“來源”也可選擇一個網(wǎng)段，這樣IPSec客戶端就只能訪問內(nèi)部指定網(wǎng)段。“服務”可指定WWW 或其它應用，則IPSec客戶端就只能訪問指定網(wǎng)段的指定應用。實施VPN策

27、略可增強整安全性。 先在內(nèi)部接口建立相應的內(nèi)部網(wǎng)段或設備地址別名，如圖4.6.2所示圖 4.6.2在編輯 VPN加密策略時，來源地址可選定某個設備地址別名，如圖463所示圖 4.6.3根據(jù)需求配置VPN網(wǎng)關，連接到使用IPSec自動密鑰交換VPN配置的撥號VPN網(wǎng)關使用如下信息配置網(wǎng)關：域名易尚網(wǎng)關防火墻 VPN網(wǎng)關客戶端遠程網(wǎng)關撥號vpn網(wǎng)關的外部ip地址鑒別密鑰網(wǎng)關鑒別密鑰必須配置撥號vpn網(wǎng)關通道的鑒別密鑰abcd1234在IPSec客戶端設置中，遠程網(wǎng)絡地址需與網(wǎng)關加密策略的來源地址對應，如圖4.6.4 所示圖 4.6.4使用XAuth進行VPN撥號二次認證：通常在使

28、用IPSec客戶端進行VPN連接時，為了增強安全性，可使用擴展身份認證X-Auth進行二次認證，即除了設置VPN認證的共享米要之外，在進行第二次密碼驗證。這樣要完成 VPN客戶端連接，不僅要獲知IPSec沒共享密鑰，還得需要有XAuth認證用戶的用戶名和密碼，設置參考下列步驟:在防火墻設置中新建本地用戶，如圖 4.6.5 所示圖 4.6.5新建用戶組，將剛才新建的用戶歸入改組，如圖 4.6.6 所示圖 4.6.6在 IPSec 的階段 1 設置中，在高級選項下啟用 XAuth ，設置參考如圖 4.6.7 所示圖 4.6.7進入 IPSec 客戶端設置，在“高級設置”中啟用“擴展身份認證（ XA

29、uth ）”， 并勾上“登陸時提示” ，如圖 4.6.8 所示圖 4.6.8在 IPSec 客戶端啟用 VPN 連接，會彈出登陸對話框，輸入正確的用戶名和密 鑰即可：如圖 4.6.9 所示圖 4.6.9讓 IPSec 客戶端獲得虛擬 IP ，并能讓內(nèi)部用戶訪問客戶端：一般的情況下， IPSec 客戶端在與防火墻的 VPN 連接建立后，客戶端是沒有相應 的虛擬 IP 的，這時客戶端能夠訪問到內(nèi)部網(wǎng)，但內(nèi)部網(wǎng)的用戶訪問不到客戶端。若 要實現(xiàn)能讓內(nèi)部網(wǎng)用戶也能訪問到 VPN 撥入的 IPSec 客戶端，需要在 IPSec 客戶端 正確的設置虛擬 IP 地址。步驟參考如下：設置 IPSec 連接時，設

30、置要訪問的“遠程網(wǎng)絡地址” ，該地址應在防火墻之后：如圖 4.6.10圖 4.6.10進行“高級設置” ，勾上“獲取虛擬 IP 地址”并進行設置：如圖 4.6.11圖 4.6.11使用“手工設置” ，設置一個虛擬 IP （推薦使用私網(wǎng) IP 地址），該地址即為 VPN 連接成功后 IPSec 客戶端所獲得的虛擬 IP ，該 IP 不要與防火墻內(nèi)部的網(wǎng)段 相同 :如圖 4.6.12圖 校園網(wǎng)信息管理系統(tǒng)的防護在安式100防火墻進行策略編輯，施行最小特權原則。編輯 ACL（訪問 控制列表）對一些黑客端口，漏洞端口進行封堵。命令如下所示Deny icmp 255.

31、255.255.255 55Deny tcp 55 55 d-port 135Deny tcp 55 55 d-port 136Deny tcp 55 55 d-port 137Deny tcp 55 55 d-port

32、445Deny tcp 55 55 d-port 135第五章 方案可行性分析以及實驗數(shù)據(jù)和結(jié)果5.1 arp 雙向綁定方案可行性分析對于 arp 雙向綁定的實際操作數(shù)據(jù)分析，在綁定之前出現(xiàn)的斷網(wǎng)數(shù)量和 綁定之后出現(xiàn)的斷網(wǎng)數(shù)量有著明顯的不同。 雙向綁定技術遏制了 70%的 ARP 病毒欺騙，大大改善了校園網(wǎng)內(nèi)的整體網(wǎng)絡質(zhì)量。在具體實施過程中采取 的BAT（批處理文件）方式進行綁定可以更加方便快捷的實施工程。5.2關于開啟DHCP Snooping功能可行性分析在接入層開啟了 DHCP Snooping之后，根據(jù)

33、宿管網(wǎng)絡報修關于無法獲取 DHCP或者獲取了 IP地址但是無法上網(wǎng)的數(shù)量顯示。 DHCP Snooping技術 有效的阻止了惡意的DHCP應答報文，從而增強了內(nèi)部網(wǎng)絡的IP地址的管 理。5.3 關于核心交換機之間的鏈路聚合可行性分析在實驗之前FTP服務器的下載速度最高達到 3MS實驗之后可以達到 5-6MS成倍的提升了 FTP服務的服務質(zhì)量，同時也減輕了 2個核心交換 機之間的負載能力。施行了核心交換機鏈路聚合技術，大大增加了男生宿舍訪問內(nèi)部網(wǎng)絡資源的能力。但是在工程實施的資金方面還有待考慮和改 善。5.4 關于 IDSIPS 部署的可行性分析部署了 Cisco IDS 之前，許多內(nèi)部網(wǎng)絡病毒，網(wǎng)絡攻擊都無法被核心層 交換機過濾和抵擋。在成功部署 IDS 之后，能及時的預警網(wǎng)絡中出現(xiàn)的各 種威脅警