基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計

91/97畢業(yè)設(shè)計講明書(論文)作者：學(xué)號：院系：專業(yè)：題目：指導(dǎo)者：(姓名)(專業(yè)技術(shù)職務(wù))評閱者：(姓名)(專業(yè)技術(shù)職務(wù))年月南畢業(yè)設(shè)計講明書（論文）中文摘要現(xiàn)在，網(wǎng)絡(luò)接入技術(shù)迅猛進(jìn)展，有線網(wǎng)絡(luò)差不多不能滿足企業(yè)對靈活、快捷、高效辦公的需求。無線網(wǎng)絡(luò)不受網(wǎng)線和地理位置的束縛，已然成為當(dāng)今現(xiàn)代化企業(yè)網(wǎng)絡(luò)的進(jìn)展趨勢。然而，無線網(wǎng)相關(guān)于有線網(wǎng)，比較脆弱，而且企業(yè)無線網(wǎng)有異于一般的家庭無線網(wǎng)，它的安全性是需要著重考慮的。本文介紹了基于安全的中小企業(yè)無線網(wǎng)絡(luò)的組建，利用CiscoPacketTracer模擬軟件模擬企業(yè)無線網(wǎng)差不多的構(gòu)架和方案。組建的企業(yè)內(nèi)部網(wǎng)絡(luò)分為三個層次。核心層，使用三層交換機(jī)進(jìn)行負(fù)載均衡和冗余。匯聚層，依靠訪問操縱列表（ACL）制訂不同部門的通信規(guī)則。接入層，劃分虛擬局域網(wǎng)（VLAN）將各部門的計算機(jī)分隔開來，通過無線設(shè)備將計算機(jī)接入網(wǎng)絡(luò)中。從功能上將整個網(wǎng)絡(luò)分為兩個部分，一是內(nèi)部網(wǎng)絡(luò)，所有部門的通信以及對內(nèi)部服務(wù)器的訪問都通過此網(wǎng)絡(luò)，不能與外部通信。另一個則是能訪問外網(wǎng)，面向客戶的網(wǎng)絡(luò)。如此極大地提高了內(nèi)網(wǎng)數(shù)據(jù)的安全。為了提高網(wǎng)絡(luò)信息安全性，還布設(shè)防火墻、內(nèi)外地址轉(zhuǎn)換（NAT）、分部與總部建立虛擬專用網(wǎng)絡(luò)（VPN）等安全措施。關(guān)鍵字無線網(wǎng)絡(luò)信息安全安全措施畢業(yè)設(shè)計講明書（論文）外文摘要TitleWirelessnetworkstructuresbasedonthesafetyofSMEsAbstractToday,thenetworkaccesstechnologyrapiddevelopmentofwirednetworkcannotmeetthedemandforflexible,fastandefficientoffice.Wirelessnetworkfromtheshacklesofcableandgeographicallocation,hasbecomethedevelopmenttrendoftoday'smodernenterprisenetworks.However,thewirelessnetworkrelativetothecablenetworkisrelativelyweak,differentfrommosthomewirelessnetworkandthewirelessnetwork,itssecurityistheimportantconsideration.Thisarticledescribestheformationofawirelessnetworkbasedonthesafetyofsmallandmediumenterprises,basedonCiscoPacketTracersimulationsoftwaretosimulatetheenterprisewirelessnetworkarchitectureandprograms.Theinternalnetworkisdividedintothreelevels.Thecorelayer,usingthethreeswitchesforloadbalancingandredundancy.Convergencelayer,relyingonaccesscontrollist(ACL)tothedevelopmentofdifferentsectorsofcommunicationrules.Accesslayer,dividedintovirtuallocalareanetwork(VLAN)separatedfromthevariousdepartmentsofcomputer,computerwirelessdevicesaccessthenetwork.Theentirenetworkfromthefunctionwillbedividedintotwoparts,oneistheinternalnetwork,allsectorsofcommunications,andtheinternalserveraccessthroughthisnetworkcannotcommunicatewiththeoutside.Theotherisabletoaccesstheexternalnetwork,customer-orientednetwork.Thisgreatlyimprovesthesecurityofdatawithinthenetwork.Inordertoimprovethesecurityofnetworkinformation,butalsolaidthefirewall,internalandexternaladdresstranslation(NAT),segmentsandheadofficetoestablishavirtualprivatenetwork(VPN)andothersecuritymeasures.KeywordsNetworkSecurity,VLAN,ACL,NAT，VPN目錄前言 1第一章無線網(wǎng)絡(luò)綜述 21.1無線網(wǎng)絡(luò)標(biāo)準(zhǔn) 21.2企業(yè)網(wǎng)絡(luò)的安全誤區(qū) 21.3術(shù)語及相關(guān)縮寫解釋 4第二章企業(yè)網(wǎng)絡(luò)安全綜述 52.1相關(guān)設(shè)備的概述 52.2 企業(yè)網(wǎng)應(yīng)用的要緊技術(shù) 5第三章網(wǎng)絡(luò)安全的設(shè)計與實現(xiàn) 163.1整體框架講明 163.2企業(yè)網(wǎng)內(nèi)部交換機(jī)的配置 173.3防火墻的配置 233.4VPN的配置 26第四章企業(yè)內(nèi)部服務(wù)器的配置 414.1AAA服務(wù)器的配置 414.2WEB服務(wù)器的配置 434.2FTP服務(wù)器的配置 434.3DNS服務(wù)器的配置 444.4E-mail服務(wù)器的配置 444.5DHCP服務(wù)器的配置 44第五章結(jié)束語 455.1畢業(yè)設(shè)計的難點與創(chuàng)新 455.2畢業(yè)設(shè)計的收獲 46致

謝 47參考文獻(xiàn) 48附錄：英文技術(shù)資料翻譯 49前言現(xiàn)在社會信息化進(jìn)展迅猛，無線網(wǎng)絡(luò)技術(shù)支持已日漸成熟。隨著人們對無線網(wǎng)絡(luò)的要求和依靠性越來越強(qiáng)、現(xiàn)代企業(yè)追求更高的效率和便捷的辦公環(huán)境，有線網(wǎng)絡(luò)差不多不能滿足現(xiàn)代化企業(yè)的要求。由于無線網(wǎng)絡(luò)不受網(wǎng)線和地點的束縛，組網(wǎng)效率高，接入速度快，成為企業(yè)組建網(wǎng)絡(luò)的首選。然而企業(yè)無線網(wǎng)絡(luò)，除了便捷和高效之外，安全也是需要著重考慮的。作為一個企業(yè)，應(yīng)該保證網(wǎng)絡(luò)數(shù)據(jù)安全性以及具有抵御黑客和病毒攻擊的能力。在組建無線網(wǎng)絡(luò)時，保障企業(yè)網(wǎng)絡(luò)安全比其他任何方面都要重要。無線網(wǎng)絡(luò)依靠無線電波來傳輸數(shù)據(jù)，理論上無線電波范圍內(nèi)的任何一臺設(shè)備都能夠登錄并監(jiān)聽無線網(wǎng)絡(luò)。假如企業(yè)內(nèi)部網(wǎng)絡(luò)的安全措施不夠嚴(yán)密，則完全有可能被竊聽、掃瞄甚至操作。為了使授權(quán)設(shè)備能夠訪問網(wǎng)絡(luò)而非法用戶無法截取網(wǎng)絡(luò)信息，無線網(wǎng)絡(luò)安全就顯得至關(guān)重要。其次，無線網(wǎng)絡(luò)的穩(wěn)定是也是不容忽視的問題。不穩(wěn)定的無線網(wǎng)非但沒有體現(xiàn)出它的便捷高效的特點，還阻礙了企業(yè)的正常運(yùn)轉(zhuǎn)。為了能夠讓內(nèi)部的職員在公司任何地點都能夠無線上網(wǎng)，使用的無線設(shè)備需要有專門強(qiáng)的穿透能力和大的信號覆蓋范圍。即使企業(yè)存在專門多障礙物，強(qiáng)穿透力依舊能保證網(wǎng)絡(luò)的穩(wěn)定傳輸。企業(yè)在組建無線網(wǎng)絡(luò)時，不應(yīng)完全放棄有線網(wǎng)絡(luò)。而是以有線網(wǎng)絡(luò)為核心，無線網(wǎng)絡(luò)為接入層，充分利用有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的優(yōu)點，達(dá)到揚(yáng)長避短的目的。為了保證企業(yè)網(wǎng)絡(luò)的容錯率和多樣化，在企業(yè)內(nèi)部應(yīng)備有有線網(wǎng)絡(luò)接口，以供專門用途。如視頻會議，文件傳輸?shù)葢?yīng)用對網(wǎng)絡(luò)的穩(wěn)定性、數(shù)據(jù)傳輸速率和數(shù)據(jù)安全有較高的要求。

第一章無線網(wǎng)絡(luò)綜述1.1無線網(wǎng)絡(luò)標(biāo)準(zhǔn)無線網(wǎng)絡(luò)采納802.11規(guī)范，典型情況下，其傳送信號時工作原理與差不多的以太網(wǎng)集線器專門像：他們都采納雙向通信的形式，為半雙工模式。依靠射頻頻率（RF），通過天線將無線電波輻射到周圍。802.11協(xié)議組是國際電工電子工程學(xué)會（IEEE）為無線局域網(wǎng)絡(luò)制定的標(biāo)準(zhǔn)。采納2.4GHz和5GHz這兩個ISM頻段。常見的802.11標(biāo)準(zhǔn)如下：1）802.11b802.11b是應(yīng)用得最為廣泛的無線網(wǎng)絡(luò)標(biāo)準(zhǔn)，它運(yùn)行在2.4GHz射頻頻段，使用直接序列擴(kuò)頻（DSSS）調(diào)制技術(shù)，最大傳輸速率為11Mb/s。另外，也可依照實際情況切換到5.5Mbps、2Mbps和1Mbps帶寬，實際的工作速度一般在5Mb/s左右，與一般的10Base-T規(guī)格有線局域網(wǎng)幾乎是處于同一水平。作為企業(yè)內(nèi)部的設(shè)施，能夠差不多滿足使用要求。IEEE802.11b使用的是開放的2.4GHz頻段，既可作為對有線網(wǎng)絡(luò)的補(bǔ)充，也可獨(dú)立組網(wǎng)，從而使網(wǎng)絡(luò)用戶擺脫網(wǎng)線的束縛，實現(xiàn)真正意義上的移動應(yīng)用。2）802.11g802.11g在2．4GHz頻段使用正交頻分復(fù)用（OFDM）調(diào)制技術(shù)，使數(shù)據(jù)傳輸速率提高到20Mbit/s以上；能夠與802.11b的Wi-Fi系統(tǒng)互聯(lián)互通，可共存于同一AP的網(wǎng)絡(luò)里，從而保障了后向兼容性。如此原有的WLAN系統(tǒng)能夠平滑地向高速WLAN過渡，延長了802．11b產(chǎn)品的使用壽命，降低了用戶的投資。3）802.11a802.11a的傳輸技術(shù)為多載波調(diào)制技術(shù)。802.11a標(biāo)準(zhǔn)是眾多場合得到廣泛應(yīng)用的802.11b無線聯(lián)網(wǎng)標(biāo)準(zhǔn)的后續(xù)標(biāo)準(zhǔn)。它工作在5GHzU-NII頻帶，物理層速率可達(dá)54Mb/s，傳輸層可達(dá)25Mbps。可提供25Mbps的無線ATM接口和10Mbps的以太網(wǎng)無線幀結(jié)構(gòu)接口，以及TDD/TDMA的空中接口；支持語音、數(shù)據(jù)、圖像業(yè)務(wù)；一個扇區(qū)可接入多個用戶，每個用戶可帶多個用戶終端。1.2企業(yè)網(wǎng)絡(luò)的安全誤區(qū)1.2防火墻要緊工作差不多上操縱存取與過濾封包，因此對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，能夠提供網(wǎng)絡(luò)周邊的安全防護(hù)。但假如攻擊行為不通過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻止，而事實上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分依舊源于企業(yè)內(nèi)部。1.2.2安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)，殺毒軟件誤區(qū)有以下幾種：1）在每臺計算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心確實是集中的網(wǎng)絡(luò)防毒系統(tǒng)治理。網(wǎng)絡(luò)版殺毒軟件能夠在一臺服務(wù)器上通過安全中心操縱整個網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡(luò)的病毒。同時關(guān)于整個網(wǎng)絡(luò)，治理特不方便，關(guān)于單機(jī)版是不可能做到的。2）只要不上網(wǎng)就可不能中毒盡管許多病毒是通過網(wǎng)頁傳播的，但像QQ談天接發(fā)郵件同樣是病毒傳播的要緊途徑，而且盜版光盤以及U盤等也會存在著病毒。因此只要計算機(jī)開著，就要防范病毒。3）文件設(shè)置只讀就能夠幸免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個命令，而病毒或黑客程序也能夠做到這一點，設(shè)置只讀并不能有效防毒，只是在局域網(wǎng)中為了共享安全，放置誤刪除，依舊比較有用的。1.2.3基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就能夠直接在內(nèi)部網(wǎng)絡(luò)中實施攻擊。因此，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全治理，特不是用戶帳戶治理，如帳戶密碼、臨時帳戶、過期帳戶和權(quán)限等方面的治理特不必要了。1.3術(shù)語及相關(guān)縮寫解釋VLAN：全稱VirtualLocalAreaNetwork，虛擬局域網(wǎng)；ACL：全稱AccessControlList，訪問操縱列表；IDS：全稱IntrusionDetectionSystem，入侵檢測系統(tǒng)；NAT：全稱NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換；PAT：全稱PortAddressTranslation，即端口地址轉(zhuǎn)換；DMZ：全稱DemilitarizedZone，非軍事區(qū)，?；饏^(qū)，隔離區(qū)；VPN:全稱VirtualPrivateNetwork，虛擬裝用網(wǎng)；VTP：全稱VLANTrunkingProtocol，VLAN中繼協(xié)議。

第二章企業(yè)網(wǎng)安全的要緊技術(shù)本章要緊講述企業(yè)網(wǎng)里使用到的常用的安全技術(shù)，并對這些技術(shù)進(jìn)行詳細(xì)的介紹。2.1相關(guān)設(shè)備的概述在企業(yè)網(wǎng)中設(shè)備的選型時特不重要的，在本設(shè)計中全部選用的是Cisco的產(chǎn)品設(shè)備。因為選用同一廠商設(shè)備的好處是兼容性比較好，且能夠進(jìn)行統(tǒng)一治理，使治理更加方便。企業(yè)網(wǎng)應(yīng)用的要緊技術(shù)2.2.1物理安全物理安全是整個計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，是愛護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機(jī)犯罪行為導(dǎo)致的破壞的過程。物理安全要緊考慮的問題是環(huán)境、場地和設(shè)備的安全及物理訪問操縱和應(yīng)急處置打算等。物理安全在整個計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它要緊包括以下幾個方面：機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全，以及電源安全。物理安全重要性和措施要緊涉及以下方面：1）保證機(jī)房環(huán)境安全信息系統(tǒng)中的計算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最差不多的環(huán)境。要從以下三個方面考慮：自然災(zāi)難、物理損壞和設(shè)備故障電磁輻射、乘機(jī)而入、痕跡泄漏等操作失誤、意外疏漏等2）選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），關(guān)于干擾嚴(yán)峻的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，不管何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率專門低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3）保證供電安全可靠計算機(jī)和網(wǎng)絡(luò)主干設(shè)備對交流電源的質(zhì)量要求十分嚴(yán)格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標(biāo)，都要求保持在同意偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計壽命保證信息安全保證機(jī)房人員的工作環(huán)境。2.2.2VLAN技術(shù)隨著交換技術(shù)的進(jìn)展也加快了虛擬局域網(wǎng)的應(yīng)用速度。虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork)是以交換式網(wǎng)絡(luò)為基礎(chǔ)，把網(wǎng)絡(luò)上用戶的終端設(shè)備劃分為若干個邏輯工作組，每個邏輯工作組確實是一個VLAN。VLAN確實是一個網(wǎng)絡(luò)設(shè)備或用戶的邏輯組，該邏輯組是一個獨(dú)立的邏輯網(wǎng)絡(luò)、單一廣播域，而那個邏輯組的設(shè)定不受實際交換機(jī)區(qū)段的限制，也不受用戶所在的物理位置和物理網(wǎng)段的限制。在現(xiàn)在的企業(yè)網(wǎng)絡(luò)中都能見到VLAN的身影，VLAN差不多上一個獨(dú)立的邏輯網(wǎng)段，一個獨(dú)立的廣播域，VLAN的廣播信息只發(fā)送給同一個VLAN的成員，其他VLAN的成員是收不到的，如此就減小的廣播域的大小，提高了帶寬的利用率。VLAN之間是不能直接通信的必須通過三層路由功能完成，因此在企業(yè)網(wǎng)絡(luò)中能夠按部門進(jìn)行劃分VLAN，那個不同的部門之間的互訪就受到限制，有效愛護(hù)了某些敏感部門的敏感信息不被泄露。VLAN關(guān)于網(wǎng)絡(luò)用戶來講是完全透明的，用戶感受不到使用中與交換網(wǎng)絡(luò)有任何的差不，但關(guān)于網(wǎng)絡(luò)治理人員則有專門大的不同，因為這要緊取決于VLAN的幾點優(yōu)勢：對網(wǎng)絡(luò)中的廣播風(fēng)暴的操縱，提高網(wǎng)絡(luò)的整體安全性，通過路由訪問列表、MAC地址分配等VLAN劃分原則，能夠操縱用戶的訪問權(quán)限和邏輯網(wǎng)段的大小。網(wǎng)絡(luò)治理的簡單、直觀。在企業(yè)網(wǎng)絡(luò)中劃分VLAN能夠有多種方式：1）基于端口的VLAN：基于端口的VLAN的劃分是最簡單、最有效的VLAN劃分方法。該方法只需網(wǎng)絡(luò)治理員針關(guān)于網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配組合在不同的邏輯網(wǎng)段中即可。而不用考慮該端口所連接的設(shè)備是什么。2）基于MAC地址的VLAN：MAC地址事實上確實是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址差不多上唯一的?；贛AC地址的VLAN劃分事實上確實是基于工作站、服務(wù)器的VLAN的組合。在網(wǎng)絡(luò)規(guī)模較小時，該方案亦不失為一個好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶的增加，則會在專門大程度上加大治理的難度。3）基于路由的VLAN：路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡(luò)層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類設(shè)備包括路由器和路由交換機(jī)。該方式同意一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。劃分好VLAN后一般是把接入層交換機(jī)接入到核心交換機(jī)上，由核心交換機(jī)負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)的路由，假如不采納核心交換機(jī)，而是直接通過單臂路由的形式接到網(wǎng)絡(luò)出口的路由器或者防火墻上，那么會給出口路由器或防火墻帶來負(fù)擔(dān)，假如出口路由器或防火墻性能不強(qiáng)的話，專門有可能造成瓶頸，如此網(wǎng)絡(luò)的可用性就會降低。因此一般是建議采納核心交換機(jī)的方式。2.2.3ACL技術(shù)訪問操縱列表ACL(AccessControlList)技術(shù)在路由器中被廣泛采納，它是一種基于包過濾的流操縱技術(shù)。標(biāo)準(zhǔn)訪問操縱列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的差不多元素，并能夠規(guī)定符合條件的數(shù)據(jù)包是否同意通過。ACL通常應(yīng)用在企業(yè)的出口操縱上，能夠通過實施ACL，能夠有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)差不多開始使用ACL來操縱對局域網(wǎng)內(nèi)部資源的訪問能力，進(jìn)而來保障這些資源的安全性。在企業(yè)網(wǎng)中ACL扮演著專門重要的角色，在網(wǎng)絡(luò)中我們能夠通過劃分VLAN來限制不同VLAN成員的互訪，但假如把二層交換機(jī)接入路由器或者三層交換機(jī)，那么原來不同VLAN是不通的，現(xiàn)在不同VLAN之間也能通信，那么原來通過劃分VLAN來使不同VLAN之間不能通信差不多行不通了。在這就要使用ACL來操縱了。使用ACL的好處還有確實是能夠操縱用戶對主機(jī)或服務(wù)器的訪問，即關(guān)于一臺服務(wù)器那些用戶能夠訪問而那些用戶不能訪問。如此就進(jìn)一步增加了企業(yè)網(wǎng)內(nèi)部的安全。就我們現(xiàn)在的IP網(wǎng)絡(luò)來講ACL技術(shù)能夠分為一下幾種：1）標(biāo)準(zhǔn)IP訪問操縱列表一個標(biāo)準(zhǔn)IP訪問操縱列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或同意兩個操作。編號范圍是從1~99以及1300~1999的訪問操縱列表是標(biāo)準(zhǔn)IP訪問操縱列表。一般來講標(biāo)準(zhǔn)的ACL放置在靠近目的的路由器或三層交換機(jī)上。2）擴(kuò)展IP訪問操縱列表擴(kuò)展IP訪問操縱列表比標(biāo)準(zhǔn)IP訪問操縱列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100~199以及2000~2699的訪問操縱列表是擴(kuò)展IP訪問操縱列表。一般來講擴(kuò)展的ACL放置在靠近源的路由器或者三層交換機(jī)上。3）命名IP訪問操縱列表所謂命名的IP訪問操縱列表是以列表名代替列表編號來定義IP訪問操縱列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過濾的語句與編號方式中相似。本設(shè)計中在CiscoCatalyst3640核心交換機(jī)上配置擴(kuò)展的ACL使得其他的部門無法訪問財務(wù)部門，ACL的應(yīng)用范圍專門廣，在本設(shè)計中總部與分布之間建立IPSecVPN是就需要使用ACL來定義感興趣的流量，只有感興趣的流量才會進(jìn)入VPN隧道。2.2.4NAT技術(shù)到目前為止全球的IPv4的地址差不多耗盡，現(xiàn)在的地址缺乏或者講差不多沒有空余的IPv4的地址了，那么企業(yè)網(wǎng)絡(luò)中有專門多主機(jī)需要訪問Internet，為每一臺主機(jī)分配一個公網(wǎng)地址那是不可能的事。因此借助于NAT(NetworkAddressTranslation)技術(shù)，私有(保留)地址的"內(nèi)部"網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址(甚至是1個)即可實現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機(jī)與Internet的通信需求。NAT將自動修改IP報文的源IP地址和目的IP地址，IP地址校驗則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報文的數(shù)據(jù)部分中，因此還需要同時對報文進(jìn)行修改，以匹配IP頭中差不多修改過的源IP地址。否則，在報文數(shù)據(jù)都分不嵌入IP地址的應(yīng)用程序就不能正常工作。NAT實現(xiàn)方式有以下三種：1）靜態(tài)轉(zhuǎn)換(StaticNat)將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，能夠?qū)崿F(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。2）動態(tài)轉(zhuǎn)換(DynamicNat)將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也確實是講，只要指定哪些內(nèi)部地址能夠進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就能夠進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換能夠使用多個合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機(jī)數(shù)量時。能夠采納動態(tài)轉(zhuǎn)換的方式。3）端口多路復(fù)用(Overload)改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation).采納端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而能夠最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效幸免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的確實是端口多路復(fù)用方式。另外，在NAT中經(jīng)常使用的術(shù)語：1）內(nèi)部局部地址（InsideLocalAddress）：在內(nèi)部網(wǎng)絡(luò)使用的地址，是私有地址。2）內(nèi)部全局地址（InsideGlobalAddress）：用來替代一個或多個本地IP地址的、對外的、向NIC注冊過的地址。3）外部局部地址（OutsideLocalAddress）：一個外部主機(jī)相關(guān)于內(nèi)部網(wǎng)絡(luò)所用的IP地址、不一定是合法的地址。4）外部全局地址（OutsideGlobalAddress）：外部網(wǎng)絡(luò)主機(jī)的合法地址。NAT還能夠用于端口映射，在企業(yè)網(wǎng)中服務(wù)器群一般是放置在DMZ區(qū)域中，使用的是私有地址，假如某臺服務(wù)器要向外網(wǎng)公布服務(wù)的時候就需要在網(wǎng)絡(luò)出口的路由器和防火墻上做端口映射，如此外網(wǎng)用戶就能夠通過訪問企業(yè)的公網(wǎng)IP，就能夠訪問到內(nèi)網(wǎng)的服務(wù)器。2.2.5VPN技術(shù)現(xiàn)在專門多企業(yè)都有分支機(jī)構(gòu)而且分支機(jī)構(gòu)和總部都在異地，企業(yè)網(wǎng)的內(nèi)部網(wǎng)絡(luò)能夠通過各種手段來保證安全，那么總部與分部之間傳輸?shù)臄?shù)據(jù)如何樣才能保證其安全呢。那個地點就能夠采納VPN（VirtualPrivateNetwork）技術(shù)，VPN技術(shù)是在公網(wǎng)上建立一個臨時的，安全的連接，是一條穿越混亂的公用網(wǎng)絡(luò)的安全的穩(wěn)定的隧道。使用這條隧道能夠?qū)?shù)據(jù)進(jìn)行加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)能夠關(guān)心遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN能夠通過專門加密的通訊協(xié)議連接到Internet上，在位于不同地點的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，然而它并不需要真正的去鋪設(shè)光纜之類的物理線路，能夠節(jié)約成本。VPV按照所使用的隧道協(xié)議大致有以下幾種：1）PPTP（PointtoPointProtocol）PPTP屬于OSI第二層隧道協(xié)議，該協(xié)議會把網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包放進(jìn)IP封包，包裝好的封包看起來就像正常的IP封包一樣，所有遇到該封包的路由器或機(jī)器都會把它視為一個IP封包，以一般正常IP封包的方式來處理它。PPTP使用TCP（傳輸操縱協(xié)議）連接的創(chuàng)建，維護(hù)，與終止隧道，并使用GRE(通用路由封裝)將PPP幀封裝成隧道數(shù)據(jù)。被封裝后的PPP幀的有效載荷能夠被加密或者壓縮或者同時被加密與壓縮。PPTP的使用比較簡單如MicrosoftWindows等操作系統(tǒng)就自帶PPTP。另外，PPTPVPN使用的身份驗證有以下幾種方法。（1）PAP口令驗證協(xié)議是一種簡單的明文驗證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，NetworkAccessServer）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。專門明顯，這種驗證方式的安全性較差，第三方能夠?qū)ｉT容易的獵取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獵取NAS提供的所有資源。因此，一旦用戶密碼被第三方竊取，PAP無法提供幸免受到第三方攻擊的保障措施。（2）CHAP身份驗證CHAP通過使用MD5（一種工業(yè)標(biāo)準(zhǔn)的散列方案）來協(xié)商一種加密身份驗證的安全形式。CHAP在響應(yīng)時使用質(zhì)詢-響應(yīng)機(jī)制和單向MD5散列。用這種方法，能夠向服務(wù)器證明客戶機(jī)明白密碼，但不必實際地將密碼發(fā)送到網(wǎng)絡(luò)上。（3）MS-CHAP同CHAP相似，微軟開發(fā)MS-CHAP是為了對遠(yuǎn)程Windows工作站進(jìn)行身份驗證，它在響應(yīng)時使用質(zhì)詢-響應(yīng)機(jī)制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。（4）MS-CHAPv2MS-CHAPv2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗證協(xié)議，它提供了相互身份驗證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分不使用不同的密鑰。假如將VPN連接配置為用MS-CHAPv2作為唯一的身份驗證方法，那么客戶端和服務(wù)器端都要證明其身份，假如所連接的服務(wù)器不提供對自己身份的驗證，則連接將被斷開。值得注意的是。VPN服務(wù)端和VPN客戶端之間一定要采納相同的身份驗證，比如VPN服務(wù)端選擇了MS-CHAP2，那么相應(yīng)的VPN客戶端也要選擇MS-CHAP2，否則無法連接。2）L2TP（LayerTwoTunnelingProtocol）L2TP是結(jié)合L2F（Layer-2Forwarding）和PPTP的協(xié)議，L2TP也屬于二層隧道協(xié)議。L2TP使用兩種類型的消息：操縱消息和數(shù)據(jù)隧道消息。操縱消息負(fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，能夠進(jìn)行用戶身份認(rèn)證。在安全性考慮上，L2TP僅定義了操縱消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。L2TP的使用比較簡單如MicrosoftWindows等操作系統(tǒng)就自帶PPTP。3）IPSec（IPSecurity）IPSec是一個標(biāo)準(zhǔn)的第三層安全協(xié)議，他是在隧道不處再封裝，保證了隧在傳輸過程中的安全。IPSec的要緊特征在于它能夠?qū)λ蠭P級的通信進(jìn)行加密和認(rèn)證，正是這一點才使IPSec能夠確保包括遠(yuǎn)程登錄，電子郵件，文件傳輸及WEB訪問在內(nèi)多種應(yīng)用程序的安全。IPSec協(xié)議包括IKE協(xié)商程序，可為IPSec產(chǎn)生密鑰，其它還包括算法、密鑰長度、轉(zhuǎn)碼程序以及算法專用的資訊，而協(xié)商時常使用的參數(shù)則被歸類在一個單獨(dú)的文件中。IPSec它不是一個單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。該體系結(jié)構(gòu)包括認(rèn)證頭協(xié)議（AuthenticationHeader，簡稱為AH），AH是一種為IPSec提供數(shù)據(jù)完整性、數(shù)據(jù)源驗證和可選的防重放功能特性的體系框架。不提供數(shù)據(jù)機(jī)密性因此數(shù)據(jù)能夠被偷窺，因此一般和ESP配合使用利用HMAC驗證完整。封裝安全負(fù)載協(xié)議（EncapsulatingSecurityPayload，簡稱為ESP）ESP是一種為IPSec提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)源驗證、和可選的防重放功能特性的體系框架。密鑰治理協(xié)議（InternetKeyExchange，簡稱為IKE）動態(tài)的更改IPSec參數(shù)和密鑰的機(jī)制通過自動的密鑰交換/更新機(jī)制來防止IPSec會話的密鑰被攻擊使得IPSec具備良好的擴(kuò)展性。在2個端點自動建立SASA是2個對等體之間協(xié)商參數(shù)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。4）SSL（SecureSocketLayer）SSL是高層協(xié)議，是第四層隧道協(xié)議，SSLVPN和其他的VPN最大的不通之處確實是客戶端只需要有掃瞄器就能夠工作，不需要安裝其他的客戶端軟件，是VPN的可用性大大提高。SSL利用內(nèi)置在每個Web掃瞄器中的加密和驗證功能，并與安全網(wǎng)關(guān)相結(jié)合，提供安全遠(yuǎn)程訪問企業(yè)應(yīng)用的機(jī)制，如此，遠(yuǎn)程移動用戶能夠輕松訪問公司內(nèi)部B/S和C/S應(yīng)用及其他核心資源。在本設(shè)計中總部已分部之間能夠使用總部->分部如此的方式在總部路由器和分部路由器之間建立一條IPSecVPN通道，移動客戶端能夠使用PPTP、L2TP或者EasyVPN與總部互聯(lián)。2.2.6防火墻技術(shù)關(guān)于企業(yè)網(wǎng)來講最重要的確實是防火墻，防火墻能夠提高安全和減少外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的威脅。假如沒有防火墻內(nèi)網(wǎng)中的主機(jī)就會暴露于網(wǎng)絡(luò)中，專門容易遭受黑客的攻擊。防火墻更具用戶設(shè)定的安全規(guī)則，對進(jìn)入內(nèi)網(wǎng)以及出外網(wǎng)的數(shù)據(jù)包進(jìn)行檢測，一旦發(fā)覺威脅就斷開連接，使內(nèi)部網(wǎng)絡(luò)幸免被黑客的攻擊。現(xiàn)在的防火墻各式各樣，但總體來講能夠分為“包過濾型”和“應(yīng)用代理型”兩大類:1）包過濾型包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它依照數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否同意通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。如下圖2-1所示。圖2-1包過濾防火墻示意圖包過濾方式是一種通用、廉價和有效的安全手段。之因此通用，是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取專門的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之因此廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，因此這類防火墻多數(shù)是由路由器集成的；之因此有效，是因為它能專門大程度上滿足了絕大多數(shù)企業(yè)安全要求。2）應(yīng)用代理型應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點是完全"阻隔"了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和操縱應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖2-2所示。圖2-2應(yīng)用代理防火墻示意圖代理類型防火墻的最突出的優(yōu)點確實是安全。由于它工作于最高層，因此它能夠?qū)W(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選愛護(hù)，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。另外代理型防火墻采取是一種代理機(jī)制，它能夠為每一種應(yīng)用服務(wù)建立一個專門的代理，因此內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先通過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，全然沒有給內(nèi)、外部網(wǎng)絡(luò)計算機(jī)任何直接會話的機(jī)會，從而幸免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。2.2.7企業(yè)版殺毒軟件1）企業(yè)版殺毒軟件介紹網(wǎng)絡(luò)版殺毒軟件的一個最大的特點確實是能夠整個網(wǎng)絡(luò)主機(jī)和服務(wù)器同步殺毒，這關(guān)于網(wǎng)絡(luò)病毒橫行的今天來講尤其重要。因為在網(wǎng)絡(luò)中只要有一臺主機(jī)感染了病毒，則專門可能在全網(wǎng)絡(luò)主機(jī)上感染。另外，網(wǎng)絡(luò)版實現(xiàn)全網(wǎng)絡(luò)服務(wù)器和客戶端程序同步更新。還有一個治理中心操縱臺，能夠?qū)φ麄€網(wǎng)絡(luò)的服務(wù)器端和客戶端程序集中治理，實現(xiàn)全網(wǎng)絡(luò)的同步更新和殺毒。2）企業(yè)版殺毒軟件的實施那個地點選用SymantecEndpointProtection，它是為各種簡單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計的計算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同都市，包含數(shù)十萬臺主機(jī)的超大型網(wǎng)絡(luò)。SymantecEndpointProtection具有以下顯著特點：先進(jìn)的體系結(jié)構(gòu)超強(qiáng)的殺毒能力完備的遠(yuǎn)程操縱方便的分級、分組治理主操縱中心部署在DMZ服務(wù)器區(qū)，子操縱中心部署在3層交換機(jī)上面。如圖2-3所示。圖2-3企業(yè)版殺毒軟件示意圖操縱中心負(fù)責(zé)整個SymantecEndpointProtection的治理與操縱，是整個SymantecEndpointProtection的核心，在部署SymantecEndpointProtection網(wǎng)絡(luò)時，必須首先安裝。除了對網(wǎng)絡(luò)中的計算機(jī)進(jìn)行日常的治理與操縱外，它還實時地記錄著SymantecEndpointProtection防護(hù)體系內(nèi)每臺計算機(jī)上的病毒監(jiān)控、查殺病毒和升級等信息。在1個網(wǎng)段內(nèi)僅同意安裝1臺操縱中心。依照操縱中心所處的網(wǎng)段的不同，能夠?qū)⒉倏v中心劃分為主操縱中心和子操縱中心，子操縱中心除了要完成操縱中心的功能外，還要負(fù)責(zé)與它的上級——主操縱中心進(jìn)行通信。那個地點的“主”和“子”是一個相對的概念：每個操縱中心關(guān)于它的下級的網(wǎng)段來講差不多上主操縱中心，關(guān)于它的上級的網(wǎng)段來講又是子操縱中心，這種操縱結(jié)構(gòu)能夠依照網(wǎng)絡(luò)的需要無限的延伸下去。

第三章網(wǎng)絡(luò)安全的設(shè)計與實現(xiàn)本章要緊對網(wǎng)絡(luò)系統(tǒng)的整體框架進(jìn)行設(shè)計，并實現(xiàn)企業(yè)內(nèi)部局域網(wǎng)的搭建，VLAN間通信，DMZ區(qū)服務(wù)器交換機(jī)搭建，出口防火墻的安全配置以及VPN等。3.1整體框架講明將企業(yè)內(nèi)部網(wǎng)和服務(wù)器組成分不置于PIX防火墻的inside口和DMZ口相連接，防火墻的outside端口連接ISP的Internet接入。關(guān)于三個端口的權(quán)限設(shè)置為：outside為0、DMZ為50、inside為100（最高）。在PIX防火墻上激活網(wǎng)絡(luò)入侵檢測IDS系統(tǒng)，提供對多個網(wǎng)絡(luò)的入侵檢測，一旦發(fā)覺網(wǎng)絡(luò)中存在供給行為或非正常數(shù)據(jù)包，防火墻將會報警同時在Log中留下記錄。內(nèi)部網(wǎng)使用兩臺CiscoCatalyst3640交換機(jī)提供的VLAN技術(shù)和虛擬訪問操縱列表VACL等安全交換技術(shù)，以及使用生成樹做冗余。同時通過合理的IP地址分配策略和路由策略，在接入層交換機(jī)上使用端口安全技術(shù)來對用戶的接入進(jìn)行操縱。服務(wù)器群應(yīng)該是通過一臺CiscoCatalyst3640交換機(jī)連接到防火墻的DMZ端口，并為之獨(dú)立的分配一個VLAN，通過在防火墻做端口映射把內(nèi)網(wǎng)需要公布的服務(wù)器公布到外網(wǎng)，同時通過防火墻上的訪問操縱列表ACL和訪問端口數(shù)據(jù)監(jiān)控等安全技術(shù)提供對服務(wù)器的安全操縱。關(guān)于外網(wǎng)接入，在防火墻上配置安全策略，同意外部連接能夠到達(dá)指定服務(wù)器的服務(wù)端口，同時定義安全規(guī)則，同意指定的應(yīng)用數(shù)據(jù)包通過防火墻。在防火墻上配置VPN服務(wù)同意企業(yè)分部通過安全的VPN通道訪問企業(yè)內(nèi)部網(wǎng)。關(guān)于需要利用遠(yuǎn)程訪問接入企業(yè)內(nèi)部網(wǎng)的用戶，DMZ區(qū)放置AAA為操縱治理路由器權(quán)限的工具，限制登錄路由器用戶的權(quán)限。還有確實是在防火墻上要配置NAT來代理內(nèi)部網(wǎng)絡(luò)訪問Interne，企業(yè)網(wǎng)總體拓?fù)淙鐖D3-1所示。圖3-1企業(yè)總拓?fù)鋱D3.2企業(yè)網(wǎng)內(nèi)部交換機(jī)的配置本設(shè)計中該企業(yè)網(wǎng)絡(luò)使用的接入層交換機(jī)是CiscoCatalyst2960，其特性是端口速率是100Mb/s，支持全雙工模式，本設(shè)計中企業(yè)內(nèi)部網(wǎng)拓?fù)淙鐖D3-2所示。圖3-2企業(yè)內(nèi)部網(wǎng)拓?fù)鋱D如圖3-2所示，該企業(yè)網(wǎng)的接入層是由CiscoCatalyst2960交換機(jī)組成，匯聚層和核心層劃在一起使用兩臺CiscoCatalyst3640，Catalyst3640特點是端口速率為100Mb/s，支持雙工模式，而且路由功能是由硬件完成的能夠?qū)崿F(xiàn)更快的轉(zhuǎn)發(fā)速度。如此能夠減少企業(yè)購買設(shè)備的開銷，以及連接到交換機(jī)上的計算機(jī)構(gòu)成；從邏輯上看，內(nèi)部網(wǎng)包括四個VLAN，分不對應(yīng)四個IP段：VLAN1O：/24VLAN20：/24VLAN30：/24VLAN40：/24內(nèi)部網(wǎng)的核心是Ciscocatalyst3640交換機(jī)，它將與PIX防火墻的inside口相連接。Coreswitch1和Coreswitch2的預(yù)期功能是：建立四個VLAN，分不為VLAN10,VLAN20,VLAN30,VLAN40。啟用三層交換功能做VLAN間路由，并配置訪問列表，使VLAN20、VLAN30、VLAN40能夠訪問VLAN10，但不能互相訪問。Coreswitch1為VLAN10、VLAN20、VLAN30、VLAN40提供DHCP服務(wù)。在Coreswitch1和Coreswitch2以及接入層交換機(jī)之間配置生成樹，提高網(wǎng)絡(luò)的可靠性。做端口安全，限制每個接二層交換機(jī)的每個端口只能接1臺主機(jī)。下面將對它的配置進(jìn)行詳細(xì)的講明：3.2.1打開Catalyst2960交換機(jī)的Console口連接，進(jìn)入特權(quán)模式進(jìn)行配置。那個地點以接入層的SW0交換機(jī)為例，配置如下：hostnameSW0/*將該交換機(jī)命名為SW0vlandatabase/*進(jìn)入vlan數(shù)據(jù)庫vlan10namecaiwu/*創(chuàng)建vlan10并將其命名為caiwuexit/*退出并保存interfaceFastEthernet0/0/*將F0/0口設(shè)置為Trunk口switchportmodetrunkinterfaceFastEthernet0/1/*將F0/1口設(shè)置為Trunk口switchportmodetrunkinterfaceFastEthernet0/2/將F0/2口劃分到vlan10中switchportaccessvlan10interfaceFastEthernet0/3/將F0/3口劃分到vlan10中switchportaccessvlan10將SW0交換機(jī)上的Fastethernet0/2和Fastethernet0/3劃分到VLAN10，也確實是劃分到財務(wù)部，在SW1上把fastethernet0/3-4端口劃分到VLAN20里，在SW5上把fastethernet0/3-4端口劃分到VLAN30里，在SW6上把fastethernet0/3-4劃分到VLAN40里。3.2.2交換機(jī)端口安全配置中通過maximum參數(shù)來設(shè)置交換機(jī)的一個端口最多同意幾臺PC接入，關(guān)于接入的MAC地址能夠選擇粘性學(xué)習(xí)或者自己手工指定MAC地址。為了減小配置時刻，本設(shè)計中將其設(shè)置成sticky粘性學(xué)習(xí)。在SW0上配置端口安全：interfacerangefastEthernet0/2-3/*進(jìn)入fastEthernet0/2至3switchportport-security/*啟動端口安全switchportport-securitymaximum1/*同意最大MAC地址數(shù)switchportport-securitymac-addresssticky/*設(shè)置MAC地址的方式為粘性學(xué)習(xí)3.2.3在確保二層交換機(jī)配置完成后并檢查配置無誤后，進(jìn)行三層交換機(jī)的配置。在三層交換機(jī)上配置內(nèi)部網(wǎng)絡(luò)里所有的VLAN，并給每個VLAN配置一個網(wǎng)關(guān)。以Coreswitch1配置為例，Coreswitch1的vlan配置如下：vlandatabase/*進(jìn)入vlan配置模式vlan10namecaiwu/*新建vlan10并命名為caiwuvlan20namejishu/*新建vlan20并命名為jishuvlan30namexiaoshou/*新建vlan30并命名為xiaoshouvlan40nameshouhou/*新建vlan40并命名為shouhouexit/*退出vlan配置模式自動保存vlan信息interfacevlan10ipaddress/*配置vlan10的網(wǎng)關(guān)interfacevlan20ipaddress/*配置vlan20的網(wǎng)關(guān)interfacevlan30ipaddress/*配置vlan30的網(wǎng)關(guān)interfacevlan40ipaddress/*配置vlan40的網(wǎng)關(guān)exit3.2.DHCP服務(wù)能夠為內(nèi)網(wǎng)的主機(jī)自動分配地址信息，能夠大大簡化對網(wǎng)絡(luò)的治理，而且能夠幸免有些用戶因可不能配置TCP/IP協(xié)議而導(dǎo)致無法上網(wǎng)的問題。在本設(shè)計中DHCP服務(wù)是由Coreswitch1來承擔(dān)，下面以caiwu部門配置的DHCP為例。首先要為caiwu部門配置一個DHCP的用來分配給客戶機(jī)地址池，地址池配置完成后還需要配置一些差不多的信息，如默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的地址。Coreswitch1配置DHCP如下：ipdhcppoolcaiwu/*為caiwu部門配置DHCP服務(wù)network/*分配地址池/24default-router/*設(shè)置默認(rèn)網(wǎng)關(guān)dns-server9/*設(shè)置DNS服務(wù)器地址exitDHCP配置完成后內(nèi)網(wǎng)的主機(jī)就能夠自動獵取到IP地址，圖3-3為內(nèi)網(wǎng)的一臺Windows2000Professional屬于caiwu部門自動獵取的IP地址為。圖3-3caiwu部門主機(jī)自動獲得的IP地址3.2.5本設(shè)計中使用的動態(tài)路由協(xié)議是OSPF（OpenShortestPathFirst，開放最短鏈路優(yōu)先）路由協(xié)議，因為OSPF協(xié)議有專門多特點，比如收斂速度快、無路由環(huán)路、支持VLSM和CIDR、支持認(rèn)證等，更重要的是OSPF是開放的路由協(xié)議支持不同廠商的設(shè)備互聯(lián)。在那個地點Coreswitch1的fastethernet0/15口與Headquarter路由器的fastethernetf2/0口相連，因此需要把fastethernet0/15口設(shè)置成三層接口，并分配一個IP地址。Coreswitch1配置如下：interfaceFastEthernet0/15/*進(jìn)入f0/15口noswitchport/*設(shè)置為三層接口ipaddress/*配置f0/15口的IP地址routerospf100/*啟用OSPF進(jìn)程network55area0/*把f0/15口參與OSPF進(jìn)程network55area0/*把interfacevlan10虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan20虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan30虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan40虛接口參與OSPF進(jìn)程Coreswitch2配置如下：routerospf100/*啟用OSPF進(jìn)程network55area0/*把interfacevlan10虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan20虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan30虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan40虛接口參與OSPF進(jìn)程3.2ACL技術(shù)在網(wǎng)絡(luò)安全中是一個專門重要的技術(shù)，ACL能夠靈活在交換機(jī)和路由器上使用，通過ACL技術(shù)能夠操縱不同VLAN即不同部門之間的訪問。在那個設(shè)計中是不同意其他的部門訪問財務(wù)部門，那么能夠通過設(shè)置ACL來對其他的部門進(jìn)行限制，ACL的配置如下：Coreswitch1上ACL的配置：access-list101denyip5555/*拒絕技術(shù)部訪問財務(wù)部access-list101denyip5555/*拒絕銷售部訪問財務(wù)部access-list101denyip5555/*拒絕售后部訪問財務(wù)部access-list101permitipanyanyinterfacevlan10ipaccess-group101out/*把ACL應(yīng)用到虛接口上是ACL生效Coreswitch2上ACL的配置：access-list101denyip5555/*拒絕技術(shù)部訪問財務(wù)部access-list101denyip5555/*拒絕銷售部訪問財務(wù)部access-list101denyip5555/*拒絕售后部訪問財務(wù)部access-list101permitipanyanyinterfacevlan10ipaccess-group101out/*把ACL應(yīng)用到虛接口上是ACL生效當(dāng)ACL配置完成后，從其他部門無法ping通caiwu部門的主機(jī)，圖3-4是jishu部的PC3pingcaiwu部的Windows2000，無法ping通。圖3-4PC3pingWindows20003.2在企業(yè)網(wǎng)絡(luò)中為了減少網(wǎng)絡(luò)的故障時刻，需要引入冗余鏈路，然而如此卻會引起交換環(huán)路。交換環(huán)路會帶來三個問題：廣播風(fēng)暴、同一幀的多個拷貝、交換機(jī)CAM表的不穩(wěn)定，STP（SpanningTreeProtocol）能夠解決那個問題。STP差不多思路是阻斷一些交換機(jī)接口，構(gòu)建一棵沒有環(huán)路的轉(zhuǎn)發(fā)樹。STP利用BPDU（BridgeProtocolDataUnit）和其他交換機(jī)進(jìn)行通信，從而確定哪個交換機(jī)該阻斷哪個接口。在BPDU中有幾個關(guān)鍵的字段，如：根橋ID、路徑代價和端口ID等。為了在網(wǎng)絡(luò)中形成一個沒有環(huán)路的拓?fù)?，網(wǎng)絡(luò)中的交換機(jī)要進(jìn)行一下三個步驟：第一步選舉根橋，第二步選取根端口，第三步選取指定端口。在這些步驟中，哪個交換機(jī)能獲勝取決于一下因數(shù)：1、最低的根橋ID，2、最低的根路徑代價，3、最低發(fā)送者橋ID，4、最低發(fā)送者端口ID。橋ID由兩部分組成：網(wǎng)橋優(yōu)先級+MAC地址。網(wǎng)橋優(yōu)先級是一個兩個字節(jié)是數(shù)，交換機(jī)默認(rèn)優(yōu)先級為32768；MAC地址確實是交換機(jī)的MAC地址。具有最低橋ID的交換機(jī)確實是根橋。根橋上的接口差不多上指定端口，會轉(zhuǎn)發(fā)數(shù)據(jù)包。選舉了根橋后，其他的交換機(jī)就成了非根橋了。每臺非根橋要選舉一條到根橋的根路徑STP使用路徑的Cost來決定到達(dá)根橋的最佳路徑，具有最低Cost值的路徑確實是根路徑，該接口確實是根接口；假如Cost值一樣，就依照選舉順序選舉根接口，根接口轉(zhuǎn)發(fā)數(shù)據(jù)包。在CiscoCatalyst交換機(jī)上SpanningTree是默認(rèn)開啟的，那么能夠更改交換的優(yōu)先級來操縱哪臺交換機(jī)為根交換機(jī)，在此設(shè)計中手工指定Coreswitch1為根交換機(jī)起配置如下：spanning-treevlan10priority4096/*使Coreswitch1為vlan10的根spanning-treevlan20priority4096/*使Coreswitch1為vlan20的根spanning-treevlan30priority4096/*使Coreswitch1為vlan30的根spanning-treevlan40priority4096/*使Coreswitch1為vlan40的根如此默認(rèn)情況下數(shù)據(jù)差不多上從Coreswitch1上轉(zhuǎn)發(fā)的，Coreswitch2就成了備份交換機(jī)，只有當(dāng)接入層交換機(jī)與Coreswitch1連接的上行鏈路斷開時那么就會啟用與Coreswitch2連接的鏈路，從而增加了網(wǎng)絡(luò)的可靠性。3.3防火墻的配置防火墻是本網(wǎng)絡(luò)安全設(shè)計的核心部分，它的作用不僅僅是作為外網(wǎng)、內(nèi)部網(wǎng)及DMZ區(qū)的安全中轉(zhuǎn)站，還需要擔(dān)任VPN服務(wù)器的角色，防火墻一共有三個接口，inside端口，DMZ端口以及outside端口。inside口連接內(nèi)部網(wǎng)的交換機(jī)，而DMZ端口則連接到DMZ區(qū)的交換機(jī)；相應(yīng)的，outside端口將直接與ISP網(wǎng)關(guān)相連接。防火墻在那個地點，起一個交通樞紐的作用，而且，是一個保證流經(jīng)防火墻的數(shù)據(jù)的安全性的交通樞紐，圖3-5為企業(yè)網(wǎng)的DMZ區(qū)、防火墻及分部的網(wǎng)絡(luò)拓?fù)洹D3-5DMZ區(qū)、防火墻及分部的網(wǎng)絡(luò)拓?fù)浞阑饓Φ念A(yù)期功能為：能夠抵御來自Internet的入侵，阻止未授權(quán)用戶對企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問。內(nèi)部網(wǎng)通過NAT或PAT服務(wù)對Internet進(jìn)行訪問，從而阻止內(nèi)部網(wǎng)暴露在外界中。對需要向外公布的服務(wù)器，則利用NAT的端口映射對外提供服務(wù)。配置IPSecVPN，使企業(yè)分部能夠通過VPN接入總部網(wǎng)絡(luò)。做為AAA服務(wù)器的client端，指定VPN用戶撥入時通過AAA服務(wù)器做認(rèn)證。下面對防火墻的差不多部分進(jìn)行配置。3.3首先，主機(jī)名改為PIX，方便日后維護(hù)，然后設(shè)置telnet密碼和enable密碼，使用MD5加密，保證防火墻的安全。配置三個端口，定義安全等級：interfaceethernet0autointerfaceethernet1autointerfaceethernet2auto/*設(shè)置端口為自適應(yīng)nameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifethernet2dmzsecurity50/*為三個端口命名并分配安全級ipaddressoutsideipaddressinsideipaddressdmz/*設(shè)置各端口IP3.3在防火墻上配置靜態(tài)路由，由于處于邊界，且共連接三個網(wǎng)段，關(guān)于防火墻本身來講并不明白該如何樣轉(zhuǎn)發(fā)數(shù)據(jù)包，因此加入以下三條路由表：routeoutsideserial1/0/*指向ISP的默認(rèn)路由routerospf100/*啟用OSPF路由協(xié)議network55area0network55area0network55area0接著對防火墻監(jiān)視的端口進(jìn)行配置，fixup命令能夠來完成這一配置：fixupprotocolhttp80fixupprotocolhttp443fixupprotocolftp21上面的三條命令將會對HTTP、HTTPS以及FTP中的數(shù)據(jù)流量進(jìn)行監(jiān)視，假如發(fā)覺有非正常的連接，則會中斷該連接，并在log中留下記錄。3.3.3內(nèi)網(wǎng)用戶需要訪問Internet那么在防火墻上就要配置NAT在那個地點公網(wǎng)出口只有一個公有IP因此需要配置PAT,其PAT的配置如下：access-list10permit55/*定義vlan10里面的地址同意被轉(zhuǎn)換access-list10permit55/*定義vlan20里面的地址同意被轉(zhuǎn)換access-list10permit55/*定義vlan30里面的地址同意被轉(zhuǎn)換access-list10permit55/*定義vlan40里面的地址同意被轉(zhuǎn)換ipnatinsidesourcelist10interfaceSerial1/0overload/*在外網(wǎng)口s1/0上啟用PATinterfacefastethernet2/0ipnatinside/*定義f2/0口為內(nèi)網(wǎng)口interfaceserial1/0ipnatoutside/*定義s1/0口為內(nèi)網(wǎng)口exit然后確實是要配置端口映射，哪些服務(wù)器需要對外提供服務(wù)那么就需要在防火墻上配置端口映射，如此外部網(wǎng)絡(luò)就能訪問被公布的服務(wù)器，在本設(shè)計中只對web服務(wù)器進(jìn)行端口映射，其端口映射配置如下：ipnatinsidesourcestatictcp98080extendable/*9這臺服務(wù)器的80端口被映射到外網(wǎng)口的80端口interfacefastethernet0/0ipnatinside/*定義f0/0口為內(nèi)網(wǎng)口端口映射后，公網(wǎng)上的用戶能夠通過訪問的80端口來訪問位于DMZ區(qū)的web服務(wù)器，那個地點在Internet路由器上telnet80來驗證是否能夠訪問內(nèi)網(wǎng)WEB服務(wù)器的80端口，如圖3-6，80端口能open，講明公布WEB服務(wù)器成功。圖3-6成功公布web服務(wù)器的示意圖3.3.4最后，在防火墻上啟用IDS功能：ipauditnameattack-ruleattackactionalarmresetipauditnameinfo-ruleinfoactionalarmresetipauditinterfaceoutsideinfo-ruleipauditinterfaceoutsideattack-rule至此，防火墻的差不多配置部分完成，下面，將對VPN部分進(jìn)行介紹。3.4VPN的配置當(dāng)前，企業(yè)職員具有專門大的可移動性，因此實現(xiàn)信息的無障礙訪問已成為幾乎所有知識型職員的迫切業(yè)務(wù)需要。這不僅僅局限于經(jīng)常外出的職員，據(jù)統(tǒng)計，35%的企業(yè)職員（如治理人員、市場人員、客戶服務(wù)人員等等），至少將20%的工作時刻花在其要緊工作場所之外。而且固定辦公人員的移動性也在提高，如出席各種會議、外出就餐、往返多個辦公場所、或希望晚上（或周末）在家工作燈。業(yè)務(wù)合作伙伴、供應(yīng)商和客戶也需要從自己的辦公室、工廠、家或其他地點，接入公司的相關(guān)應(yīng)用和內(nèi)容、訪問權(quán)限內(nèi)的相關(guān)資源。本設(shè)計中VPN的實現(xiàn)有以下四種方案：1）在DMZ區(qū)的服務(wù)器上搭建一個VPN服務(wù)器，分部的主機(jī)通過PPTP或者L2TP連接到總部的VPN服務(wù)器上。在總部Headquarter路由器和分部Branch路由器上配置了GREOverIPSecVPN，那么總部和分部之間就建立了一條IPSec隧道，總部和分部之間進(jìn)入隧道的數(shù)據(jù)將會被加密。在總部Headquarter路由器建立一個EasyVPN遠(yuǎn)程用戶可通過CiscoVPNClient接入企業(yè)內(nèi)部網(wǎng)；定點的分公司可直接與總公司內(nèi)部網(wǎng)相連。在總部Headquarter路由器上配置SSLVPN，遠(yuǎn)程客戶端通過掃瞄器登錄到SSLVPN服務(wù)器，并訪問相應(yīng)的web資源。下面將對VPN的配置部分進(jìn)行詳細(xì)講明：3.4.1P要使Headquarter路由器和Branch路由器能夠通信，首先要配置GRE隧道。Headquarter路由器上配置GRE隧道：interfacetunnel0/*開啟tunnel口ipaddress/*給tunnel口分配一個IPtunnelsourceSerial1/0/*定義tunnel的源是S1/0tunneldestination/*定義tunnel的目的IP確實是Branch路由器外網(wǎng)口的IP地址Branch路由器上配置GRE隧道：interfaceTunnel0/*開啟tunnel口ipaddress/*給tunnel口配置一個IPtunnelsourceSerial1/0/*定義tunnel的源為S1/0tunneldestination/*定義tunnel的目的IP即Headquarter路由器外網(wǎng)口的IP要使Headquarter和Branch能夠通信還需要在這兩臺路由器上配置路由協(xié)議，那個地點考慮到內(nèi)網(wǎng)使用的路由協(xié)議時OSPF因此在Headquarter和Branch上也配置OSPF路由協(xié)議。Headquarter路由器上配置路由協(xié)議：routerospf100/*啟用OSPF進(jìn)程network55area0/*把f2/0口參與OSPF進(jìn)程network55area0/*把tunnel口參與OSPF進(jìn)程network55area0/*把f0/0口參與OSPF進(jìn)程Branch路由器上配置路由協(xié)議：routerospf100/*啟用OSPF進(jìn)程network55area0/*把f2/0口參與OSPF進(jìn)程network55area0/*把tunnel口參與OSPF進(jìn)程至此GRE和路由都配置完畢，現(xiàn)在Headquarter和Branch就能夠通信了從Branch能夠ping通Headquarter了，如圖3-7所示圖3-7總部與分部能夠互相通信PPTP在本設(shè)計中PPTPVPN使用Windows2003做VPN服務(wù)器。1）服務(wù)器端的配置（1）配置Internet驗證服務(wù)器即RADIUS服務(wù)器的配置那個地點Internet驗證服務(wù)器把路由和遠(yuǎn)程訪問服務(wù)器做為自己客戶端，而這兩個服務(wù)都在同一臺電腦上因此填寫的客戶端的IP地址確實是本機(jī)自己的IP地址。（2）配置路由和遠(yuǎn)程訪問服務(wù)器在路由和遠(yuǎn)程訪問服務(wù)器上需要配置一個虛擬IP地址池，這些IP地址是分配給撥入VPN服務(wù)器的客戶端的。在路由和遠(yuǎn)程訪問服務(wù)器里需要配置RADIUS服務(wù)器的信息，確實是路由和遠(yuǎn)程訪問服務(wù)器捕獲的驗證消息轉(zhuǎn)交給Internet驗證服務(wù)器，由Internet驗證服務(wù)器來驗證用戶是否合法，那個地點Internet驗證服務(wù)器和路由和遠(yuǎn)程訪問服務(wù)器在同一臺服務(wù)器上因此服務(wù)器的IP為自身的IP地址，為9。radius身份驗證的端口有1812和1645，記賬端口有1813和1646，然后需要配置機(jī)密為123456，也確實是在Internet驗證服務(wù)器上配置的共享的機(jī)密，如圖3-8所示。圖3-8設(shè)置共享的機(jī)密配置身份驗證方法，為了增加安全身份認(rèn)證方法選擇MS-CHAP、MS-CHAPv2和CHAP，如圖3-9所示。圖3-9設(shè)置身份驗證方法（3）配置同意進(jìn)行VPN撥入的賬戶在ActiveDirectory用戶和計算機(jī)里新建一個用戶，那個用戶是客戶端撥入總部所使用的用戶名。2）客戶端的配置（1）在虛擬機(jī)里安裝一臺WindowsXP做為客戶端，在WindowsXP中打開網(wǎng)絡(luò)連接，創(chuàng)建一個新的連接。（2）在主機(jī)名或IP地址里填入VPN服務(wù)器的IP為9，完成客戶端的配置。（3）客戶端配置完成后現(xiàn)在就能夠進(jìn)行VPN的連接了，打開剛才VPN連接，輸入用戶名和密碼，點擊連接。（4）連接成功后的信息，如圖3-10和圖3-11所示圖3-10客戶端PPTPVPN的信息圖3-11客戶端獲得的IP到此PPTPVPN配置完畢。3.4.1L2TP（LayerTwoTunnelingProtocol，第二層通道協(xié)議）是VPDN（虛擬專用撥號網(wǎng)絡(luò)）技術(shù)的一種，專門用來進(jìn)行第二層數(shù)據(jù)的通道傳送，立即第二層數(shù)據(jù)單元，如點到點協(xié)議（PPP）數(shù)據(jù)單元，封裝在IP或UDP載荷內(nèi)，以順利通過包交換網(wǎng)絡(luò)（如Internet），抵達(dá)目的地。它使用兩種類型的消息：操縱消息和數(shù)據(jù)隧道消息。操縱消息負(fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，能夠進(jìn)行用戶身份認(rèn)證。在安全性考慮上，L2TP僅定義了操縱消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。L2TPVPN比PPTPVPN的配置就多了一個IPSec的預(yù)共享密鑰因此只需要在服務(wù)器端和客戶端配置一個相同的預(yù)共享密鑰就好了。1）服務(wù)器的配置在路由與遠(yuǎn)程訪問服務(wù)器中為L2TP連接同意定義IPSec策略，并輸入預(yù)共享密鑰123，如圖3-12所示。圖3-12設(shè)置預(yù)共享密鑰2）客戶端的配置客戶端需要在IPSec中設(shè)置使用預(yù)共享的密鑰作為身份驗證，并輸入預(yù)共享密鑰，那個地點的預(yù)共享密鑰要與服務(wù)器端定義的密鑰是一樣的，否