企业网络安全解决方案的设计(48900字)

来源:m.fanwen118.com时间:2021.1.1

东华理工大学毕业设计(论文) 摘要

摘 要

计算机网络的发展和技术的提高给网络的安全带来了很大的冲击,Internet的安全成了新信息安全的热点。网络安全,是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒,计算机系统的互联,在大大扩展信息资源的共享空间的同时,也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输安全的问题,就是我们所谓的计算机网络安全。信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制;确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。设计一个安全网络系统,必须做到既能有效地防止对网络系统的各种各样的攻击,保证系统的安全,同时又要有较高的成本效益,操作的简易性,以及对用户的透明性和界面的友好性。

针对计算机网络系统存在的安全性和可靠性问题,本文从网络安全的提出及定义、网络系统安全风险分析,网络攻击的一般手段,企业局域网安全设计的原则及其配置方案提出一些见解,并且进行了总结,就当前网络上普遍的安全威胁,提出了网络安全设计的重要理念和安全管理规范并针对常见网络故障进行分析及解决,以使企业中的用户在计算机网络方面增强安全防范意识,实现了企业局域网的网络安全。 关键词:网络安全; 路由器; 防火墙; 交换机; VLAN

I

东华理工大学毕业设计(论文) ABSTRACT

Abstract

The development of computer networks and technologies to enhance network security is a big blow, Internet security has become a new hotspot of information security. Network security is the security of computer information systems in an important aspect. Like opening of the Pandora's Box, the computer systems of the Internet, greatly expanded information resources sharing space at the same time, will be its own exposure to the more malicious attacks under. How to ensure that the network of information storage, processing and transmission of information security security, is the so-called computer network security. Information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal, altered, damage or illegal information system identification, control; ensure confidentiality, integrity, availability, controllable. Information security, including the safety of the operating system, database security, network security, virus protection, access control, encryption and identification of seven areas. Design of a network security system, which must be done to effectively prevent the network all of the attacks, guarantee the safety of the system, and also have a higher cost-effectiveness, operational simplicity, and transparent to the user interface and friendly.

Computer network system of security and reliability problems, the paper from the network security and the proposed definition, Network security risk analysis, network attacks generally means Enterprise LAN security design principles and disposition program some insights, and it was summed up, on the current network-wide security threats the network security of the important design concepts and security management norms and against common network fault analysis and solution to enable enterprise customers in the computer network to enhance safety, realizing the enterprise LAN network security.

Key words:Network Security; Router; Firewall; Switch; VLAN

II

东华理工大学毕业设计(论文) 目录

目 录

摘 要 .................................................................................................................................... I ABSTRACT ........................................................................................................................ II 目 录 ................................................................................................................................. III

绪论 ....................................................................................................................................... 1

1 网络安全概述 ................................................................................................................... 2

1.1 网络安全的概念 ........................................................................................................ 2

1.2 网络安全系统的脆弱性 ............................................................................................ 2

1.3 网络安全模型 ............................................................................................................ 3

1.4 企业局域网的应用 .................................................................................................... 4

2 网络系统安全风险分析 ................................................................................................... 5

2.1物理安全风险分析 ..................................................................................................... 5

2.2网络平台的安全风险分析 ......................................................................................... 5

2.3系统的安全风险分析 ................................................................................................. 6

2.4来自局域网内部的威胁 ............................................................................................. 6

2.5来自互联网的威胁 ..................................................................................................... 7

2.6网络的攻击手段 ......................................................................................................... 7

3 企业局域网的安全设计方案 ........................................................................................... 8

3.1企业局域网安全设计的原则 ..................................................................................... 8

3.2 安全服务、机制与技术 ............................................................................................ 9

3.3企业局域网安全配置方案 ......................................................................................... 9

3.3.1物理安全技术 ..................................................................................................... 9

3.3.2路由器安全配置 ................................................................................................. 9

3.3.3防火墙技术安全配置 ....................................................................................... 12

3.3.4内部网络隔离 ................................................................................................... 16

3.3.5企业局域网防病毒设置 ................................................................................... 19

3.3.6攻击检测技术及方法 ....................................................................................... 22

3.3.7审计与监控技术实施 ....................................................................................... 27

3.4信息安全 ................................................................................................................... 30

4 企业局域网安全管理 ..................................................................................................... 32

4.1 安全管理规范 .......................................................................................................... 33

4.1.1 安全管理原则 .................................................................................................. 33

4.1.2 安全管理的实现 .............................................................................................. 33 III

东华理工大学毕业设计(论文) 目录

4.2 常见网络故障及解决 .............................................................................................. 33

4.2.1 IP冲突解决 ..................................................................................................... 33

4.2.2 DNS错误 ........................................................................................................... 34

结束语 ................................................................................................................................. 36

致 谢 ................................................................................................................................. 37

参考文献 ............................................................................................................................. 38

IV

东华理工大学毕业设计(论文) 绪论 绪论

随着迅速变化的商业环境和日益复杂的网络, 已经彻底改变了目前从事业务的方式。尽管企业现在依赖许多种安全技术来保护知识产权,但它们经常会遇到这些技术所固有的限制因素难题。

无论当今的技术标榜有何种能力,它们通常均不能够集中监控和控制其它第三方异构安全产品。大多数技术都未能证实有至关重要的整合、正常化和关联层,而它们正是有效安全信息管理基础的组成部分。寻求尖端技术、经验丰富的人员和最佳作法与持续主动进行企业安全管理的坚实整合,是当今所有IT安全专业人士面临的最严峻挑战。

并同时在风险与性能 有效的安全信息管理主要关键是要求企业管理其企业安全,

改进间做到最佳平衡。拥有良好的主动企业安全管理不应是我们所有人难以实现的梦想。通过本企业网络安全技术及解决方案,使企业网络可有效的确保信息资产保密性、完整性和可用性。

本方案为企业局域网网络安全的解决方案,包括原有网络系统分析、网络安全风险分析、安全体系结构的设计等。本安全解决方案是在不影响该企业局域网当前业务的前提下,实现对局域网全面的安全管理。

(1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。

(2) 定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。

(3) 通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。

(4) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。

(5) 在服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。

1

东华理工大学毕业设计(论文) 网络安全概述 1 网络安全概述

1.1 网络安全的概念

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。

从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。

1.2 网络安全系统的脆弱性

计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁。尽管近年来计算机网络安全技术取得了巨大的进展,但计算机网络系统的安全性,比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害,他的抗打击力和防护力很弱,其脆弱性主要表现在如下几个方面。

(1) 操作系统的安全脆弱性

操作系统不安全,是计算机系统不安全的根本原因。

(2) 网络系统的安全脆弱性

? 网络安全的脆弱性

使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不

安全的因素。

? 计算机硬件的故障

由于生产工艺和制造商的原因,计算机硬件系统本身有故障,

? 软件本身的“后门”

软件本身的“后门”是软件公司为了方便自己进入而在开发时预留设置的,

一方面为软件调试进一步开发或远程维护提供了方便,但同时也为非法入侵提供了通道,入侵者可以利用“后门”多次进入系统。

常见的后门有修改配置文件、建立系统木马程序和修改系统内核等。

? 软件的漏洞

软件中不可避免的漏洞和缺陷,成了黑客攻击的首选目标,典型的如操作

系统中的BUGS。

2

东华理工大学毕业设计(论文) 网络安全概述

(3) 数据库管理系统的安全脆弱性

大量信息存储在数据库中,然而对这些数据库系统在安全方面的考虑却很少。数

据库管理系统安全必须与操作系统的安全相配套,例如,DBMS的安全级别是B2级,操作系统的安全级别也应是B2级,但实践中往往不是这样。

(4) 防火墙的局限性

防火墙依然存在着一些不能防范的威胁,例如不能防范不经过防火墙的攻击,及

很难防范网络内部攻击及病毒威胁等。

(5) 天灾人祸

天灾指不可控制的自然灾害,如地震、雷击等。

人祸是指人为因素对计算机网络系统构成的威胁,人祸可分为有意的和无意的,有意的是指人为的恶意攻击、违纪、违法和计算机犯罪。无意是指误操作造成的不良后果,如文件的误删除、误输入,安全配置不当,用户口令选择不慎,账号泄露或与别人共享。

(6) 其他方面的原因

如环境和灾害的影响,计算机领域中任何重大的技术进步,都对安全性构成 新的威胁等。

总之,系统自身的脆弱和不足,是造成网络安全问题的内部根源,但系统本身的脆弱性,社会对系统的依赖性这一对矛盾又将促进网络安全技术的不断发展和进步。

1.3 网络安全模型

计算机网络系统安全的概念是相对的,每一个系统都具有潜在的危险。安全具有动态性,需要适应变化的环境,并能作出相应的调整,以确保计算机网络系统的安全。 一个最常见的安全模型就是PDRR模型:PDRR模型就是4个英文单词的头字符,Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。这四个部分构成了一个动态的信息安全周期,如图:

企业网络安全解决方案的设计

图1-1 网络安全模型

3

东华理工大学毕业设计(论文) 网络安全概述 安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策略的第一部分就是防御。根据系统已知的所有安全问题做出防御的措施,如打补丁、访问控制、数据加密等等。防御作为安全策略的第一个战线。安全策略的第二个战线就是检测。攻击者如果穿过了防御系统,检测系统就会检测出来。这个安全战线的功能就是检测出入侵者的身份,包括攻击源、系统损失等。一旦检测出入侵,响应系统开始响应包括事件处理和其他业务。安全策略的最后一个战线就是系统恢复。在入侵事件发生后,把系统恢复到原来的状态。每次发生入侵事件,防御系统都要更新,保证相同类型的入侵事件不能再发生,所以整个安全策略包括防御、检测、响应和恢复,这四个方面组成了一个信息安全周期。

1.4 企业局域网的应用

企业的局域网可以为用户提供如下主要应用:

(1) 文件共享、办公自动化、WWW服务、电子邮件服务;

(2) 文件数据的统一存储;

(3) 针对特定的应用在数据库服务器上进行二次开发(比如财务系统);

(4) 提供与Internet的访问;

(5) 通过公开服务器对外发布企业信息、发送电子邮件等;

4

东华理工大学毕业设计(论文) 网络系统安全风险分析 2 网络系统安全风险分析

这个企业的局域网是一个信息点较多的百兆局域网络系统,它所联接的现有上百个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。 企业局域网安全可以从以下几个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 企业局域网本身是否安全;5 与互联网连接是否安全。针对每一类安全风险,结合实际情况,我们将具体的分析网络的安全风险。

2.1 物理安全风险分析

网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障,人为操作失误或错误,设备被盗、被毁,电磁干扰,线路截获以及高可用性的硬件,双机多冗余的设计,机房环境及报警系统,安全意识等。它是整个网络系统安全的前提,在这个企业局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。

2.2 网络平台的安全风险分析

网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁

企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务。每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,企业局域网的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄。同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。

整个网络结构和路由状况

安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中,只使用了一台路由器,作为与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。

5

东华理工大学毕业设计(论文) 网络系统安全风险分析

2.3 系统的安全风险分析

所谓系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。

网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲,没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性。其次应该严格限制登录者的操作权限,将其操作权限限制在最小的范围内。

2.4 来自局域网内部的威胁

(1) 应用的安全风险

应用系统的安全是动态的、不断变化的,其结果是安全漏洞也不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。

应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。

(2) 管理的安全风险

管理是网络安全中最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。管理混乱使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。所以我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。

建立全新的网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和网络安全解决方案的结合。

(3) 不满的内部员工

不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。

6

东华理工大学毕业设计(论文) 网络系统安全风险分析

2.5 来自互联网的威胁

(1) 黑客攻击

黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到服务器的口令文件并将之送回。黑客侵入服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、入侵检测技术、访问控制技术来保护网络内的信息资源,防止黑客攻击。

(2) 恶意代码

恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹和其他未经同意的软件。所以应该加强对恶意代码的检测。

(3) 病毒的攻击

计算机病毒一直是计算机安全的主要威胁。病毒不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行,重则使机器处于瘫痪,会给用户带来不可估量的损失。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。

2.6 网络的攻击手段

一般认为,目前对网络的攻击手段主要表现在:

非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。

信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,通常包括信息在传输中或者存储介质中丢失、泄漏,或通过建立隐蔽隧道窃取敏感信息等。

破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意修改数据,以干扰用户的正常使用。 拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。

7

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 3 企业局域网的安全设计方案

本公司有100台左右的计算机,主要使用网络的部门有:生产部(20)、财务部

(15)、人事部(8)和信息中心(12)四大部分,如图3.1所示。

网络基本结构为:整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为:Switch1、Switch2和Switch3,各交换机根据需要下接若干个集线器,主要用于非VLAN用户)、一台Cisco 2514路由器,整个网络都通过路由器Cisco 2514与外部互联网进行连接。

企业网络安全解决方案的设计

图 3.1 企业局域网的安全设计方案

3.1 企业局域网安全设计的原则

企业局域网网络系统安全方案设计、规划时,应遵循以下原则:

综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。

一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。

易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。

分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需要相当的费用支出。因此分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。

多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个

8

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。

3.2 安全服务、机制与技术

安全服务:控制服务、对象认证服务、可靠性服务等;

安全机制:访问控制机制、认证机制等;

安全技术:防火墙技术、病毒防治技术、攻击检测技术、审计监控技术等; 在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现,而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。

3.3 企业局域网安全配置方案

3.3.1 物理安全技术

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,它主要包括三个方面:

环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;

设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;

媒体安全:包括媒体数据的安全及媒体本身的安全。

3.3.2 路由器安全配置

作为企业局域网与外部Internet互联网络连接的第一关,路由器的配置是很重要的,既要保证网络的畅通,也不能忽略网络的安全性而只取其一(我们所使用的是Cisco 2514路由器),因此,除了对路由器与Internet外网连接配置外,我们对路由器还采用了如下安全配置:

(1) 路由器网络服务安全配置

a、禁止CDP(Cisco Discovery Protocol)。

Router(Config)#no cdp run

Router(Config-if)# no cdp enable

b、禁止其他的TCP、UDP Small服务。

Router(Config)# no service tcp-small-servers

Router(Config)# no service udp-small-servers

c、禁止Finger服务。

Router(Config)# no ip finger

Router(Config)# no service finger

9

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

d、禁止HTTP服务。

Router(Config)# no ip http server

启用了HTTP服务则需要对其进行安全配置:设置用户名和密码,采用访问列表进行控制。

e、禁止BOOTP服务。

Router(Config)# no ip bootp server

f、禁止IP Source Routing。

Router(Config)# no ip source-route

g、禁止IP Directed Broadcast。

Router(Config)# no ip directed-broadcast

h、禁止IP Classless。

Router(Config)# no ip classless

i、禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。

Router(Config-if)# no ip unreacheables

Router(Config-if)# no ip redirects

Router(Config-if)# no ip mask-reply

j、明确禁止不使用的端口。

Router(Config)# interface eth0/3

Router(Config)# shutdown</P><P>

(2) 路由器路由协议安全配置

a、启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。

b、配置uRPF。uRPF有三种方式,strict方式、ACL方式和loose方式。在接入路由器上实施时,对于通过单链路接入网络的用户,建议采用strict方式;对于通过多条链路接入到网络的用户,可以采用ACL方式和loose方式。在出口路由器上实施时,采用loose方式。</P><P>Strict方式:

Router# config t

!启用CEF

Router(Config)# ip cef

!启用Unicast Reverse-Path Verification

Router(Config)# interface eth0/1

Router(Config-if)# ip verify unicast reverse-path </P><P>ACL方式: interface pos1/0

ip verify unicast reverse-path 190

access-list 190 permit ip {customer network} {customer network mask} any

10

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

access-list 190 deny ip any any [log]

这个功能检查每一个经过路由器的数据包的源地址,若是不符合ACL的,路由器将丢弃该数据包。

Loose方式:

interface pos 1/0

ip ver unicast source reachable-via any

这个功能检查每一个经过路由器的数据包,在路由器的路由表中若没有该数据包源IP地址的路由,路由器将丢弃该数据包。</P><P>2 启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。

c、RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。

d、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。

e、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。如: Router(Config)# access-list 10 deny 172.18.124.0 255.255.255.0

Router(Config)# access-list 10 permit any

!禁止路由器接收更新172.18.124.0网络的路由信息

Router(Config)# router ospf 100

Router(Config-router)# distribute-list 10 in

!禁止路由器转发传播172.18.124.0网络的路由信息

Router(Config)# router ospf 100

Router(Config-router)# distribute-list 10 out</P><P>

(3) 路由器其他安全配置

a、IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(172.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。

Router(Config)# access-list 100 deny ip 172.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.18.124.0 255.255.255.0 any

11

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any Router(Config)# access-list 100 permit ip any any

Router(Config-if)# ip access-group 100 in</P><P>

b、采用访问列表控制流出内部网络的地址必须是属于内部网络的。

Router(Config)# no access-list 101

Router(Config)# access-list 101 permit ip 172.18.124.0 255.255.255.0 any Router(Config)# access-list 101 deny ip any any

Router(Config)# interface eth 0/1

Router(Config-if)# description “internet Ethernet”

Router(Config-if)# ip address 172.18.124.0 255.255.255.0

Router(Config-if)# ip access-group 101 in</P><P>

3.3.3 防火墙技术安全配置

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

(1) 防火墙的基本配置原则

防火墙的配置过程中需坚持以下三个基本原则:

a、简单实用

b、全面深入

c、内外兼顾

(2) 防火墙的基本配置

a、用一条防火墙自带的串行电缆从笔记本电脑的COM口连到Cisco PIX 525防火墙的console口;

b、开启所连电脑和防火墙的电源,进入Windows系统自带的"超级终端",通讯参数可按系统默认。进入防火墙初始化配置,在其中主要设置有:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,完成后也就建立了一个初始化设置了。此时的提示符为:pix255>。

c、修改此特权用户模式密码。

命令格式为:enable password **************** [encrypted],这个密码必须大于16位。Encrypted选项是确定所加密码是否需要加密。

d、激活以太端口

12

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

必须用enable进入,然后进入configure模式

PIX525>enable

Password:

PIX525#config t

PIX525(config)#interface ethernet0 auto

PIX525(config)#interface ethernet1 auto

在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。

e、命名端口与安全级别

采用命令nameif

PIX525(config)#nameif ethernet0 outside security0

PIX525(config)#nameif ethernet0 outside security100

security0是外部端口outside的安全级别(0安全级别最高)

security100是内部端口inside的安全级别,如果中间还有以太口,则

security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。

f、配置以太端口IP 地址

采用命令为:ip address

内部网络为:172.18.124.0 255.255.255.0

外部网络为:222.20.16.0 255.255.255.0

PIX525(config)#ip address inside 172.18.124.0 255.255.255.0

PIX525(config)#ip address outside 222.20.16.1 255.255.255.0

g、配置远程访问[telnet]

在默认情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。

PIX525(config)#telnet 172.18.124.0 255.255.255.0 inside

PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside

测试telnet

在[开始]->[运行]

telnet 172.18.124.1

PIX passwd:

输入密码:****************

h、访问列表(access-list)

13

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

访问列表也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,允许访问主机:222.20.16.254的www,端口为:80

PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www PIX525(config)#access-list 100 deny ip any any

PIX525(config)#access-group 100 in interface outside

i、地址转换(NAT)和端口转换(PAT)

NAT跟路由器基本是一样的,首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#nat (outside) 1 172.18.124.0 255.255.255.0

外部地址是很有限的,主机必须单独占用一个IP地址,解决公用一个外部

IP(222.20.16.201),则必须配置PAT,这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:

PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0

PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0

j、DHCP Server

在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面配置DHCP Server,地址段为172.18.124.100—172.18.124.255

DNS: 主202.99.224.8 备202.99.224.68

主域名称:

DHCP Client 通过PIX Firewall

PIX525(config)#ip address dhcp

DHCP Server配置

PIX525(config)#dhcp address 172.18.124.100—172.18.124.255 inside PIX525(config)#dhcp dns 202.99.224.8 202.99.224.68

PIX525(config)#dhcp domain

k、静态端口重定向(Port Redirection with Statics)

端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器。其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口。这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全。

14

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 命令格式有两种,分别适用于IP包和TCP/UDP通信:

● static[(internal_if_name,

external_if_name)]{global_ip|interface}local_ip[netmask mask] max_conns

[emb_limit[norandomseq]]]

● static [(internal_if_name, external_if_name)]

{tcp|udp}{global_ip|interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

此命令中的以上各参数解释如下:

internal_if_name:内部接口名称;external_if_name:外部接口名称;

{tcp|udp}:选择通信协议类型;{global_ip|interface}:重定向后的外部IP地址或共享端口;local_ip:本地IP地址;[netmask mask]:本地子网掩码;max_conns:允许的最大TCP连接数,默认为"0",即不限制;emb_limit:允许从此端口发起的连接数,默认也为"0",即不限制;norandomseq:不对数据包排序,此参数通常不用选。 我们具体实施如下

● 外部用户向172.18.124.99的主机发出Telnet请求时,重定向到10.1.1.6。 ● 外部用户向172.18.124.99的主机发出FTP请求时,重定向到10.1.1.3。 ● 外部用户向172.18.124.208的端口发出Telnet请求时,重定向到10.1.1.4。 ● 外部用户向防火墙的外部地址172.18.124.216发出Telnet请求时,重定向到10.1.1.5。

● 外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。

● 外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。

以上重定向过程要求如图3.2所示,防火墙的内部端口IP地址为10.1.1.2,外部端口地址为172.18.124.216。

企业网络安全解决方案的设计

图3.2

15

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 以上各项重定向要求对应的配置如下:

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0

static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0

static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0

l、显示与保存结果

显示结果所用命令为:show config;

保存结果所用命令为:write memory。

防火墙是目前保护网络免遭黑客袭击的有效手段,但不是完善手段,因此,需要其它环节,来配合完成网络的安全系统。

3.3.4 内部网络隔离

为了减少企业局域网内部的威胁,我们利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。

为了公司相应部分网络资源的安全性需要,特别是对于像财务部、人事部这样的敏感部门,其网络上的信息不能让太多人可以随便进出,于是公司采用了VLAN的方法来解决以上问题。通过VLAN的划分,可以把公司主要网络划分为:生产部、财务部、人事部和信息中心四个主要部分(如图3.1),对应的VLAN组名为:Prod、Fina、Huma、Info,各VLAN组所对应的网段如下表所示。

16

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

表1

【注】之所以把交换机的VLAN号从2号开始,那是因为交换机有一个默认的VLAN,那就是1号VLAN,它包括所有连在该交换机上的用户。

VLAN的配置过程其实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机端口。

下面是具体的配置过程:

第1步:设置好超级终端,连接上1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置):

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus

[K] Command Line

[I] IP Configuration

Enter Selection:

【注】超级终端是利用Windows系统自带的超级终端(Hypertrm)程序进行的,具体参见有关资料。

第2步:单击K按键,选择主界面菜单中[K] Command Line选项 ,进入如下命令行配置界面:

CLI session with the switch is open.

To end the CLI session,enter [Exit ].

此时我们进入了交换机的普通用户模式,就象路由器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限。所以我们必须进入特权模式。

第3步:在上一步>提示符下输入进入特权模式命令enable,进入特权模式,命令格式为>enable,此时就进入了交换机配置的特权模式提示符:

#config t

Enter configuration commands,one per line.End with CNTL/Z

(config)#

第4步:为了安全和方便起见,我们分别给这3个Catalyst 1900交换机起个名字,并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下:

17

企业网络安全解决方案的设计

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

(config)#hostname Switch1

Switch1(config)# enable password level 15 ******

Switch1(config)#

【注】特权模式密码必须是4~8位字符,要注意,这里所输入的密码是以明文形式直接显示的,要注意保密。交换机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码,也就是说,设置了 level 1 的密码后,你下次连上交换机,并输入 K 后,就会让你输入密码,这个密码就是 level 1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。

第5步:设置VLAN名称。因四个VLAN分属于不同的交换机,VLAN命名的命令为 vlan‘vlan号’name‘vlan名称’,在Switch1、Switch2、Switch3交换机上配置2、3、4、5号VLAN的代码为:

Switch1 (config)#vlan 2 name Prod

Switch2 (config)#vlan 3 name Fina

Switch3 (config)#vlan 4 name Huma

Switch3 (config)#vlan 5 name Info

【注】以上配置是按表1规则进行的。

第6步:上一步我们对各交换机配置了VLAN组,现在要把这些VLAN对应于表1所规定的交换机端口号。对应端口号的命令是vlan-membership static/ dynamic' VLAN号'。在这个命令中static(静态)和dynamic(动态)分配方式两者必须选择一个,不过通常都是选择static(静态)方式。VLAN端口号应用配置如下:

(1) 名为Switch1的交换机的VLAN端口号配置如下:

Switch1(config)#int e0/2

Switch1(config-if)#vlan-membership static 2

??

Switch1(config-if)#int e0/21

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#

【注】int是interface命令缩写,是接口的意思。e0/2是ethernet 0/2的缩写,代表交换机的0号模块2号端口。

(2) 名为Switch2的交换机的VLAN端口号配置如下:

Switch2(config)#int e0/2

Switch2(config-if)#vlan-membership static 3

??

Switch2(config-if)#int e0/16

Switch2(config-if)#vlan-membership static 3

18

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

Switch2(config-if)#

(3) 名为Switch3的交换机的VLAN端口号配置如下(它包括两个VLAN组的配置),先看VLAN 4(Huma)的配置代码:

Switch3(config)#int e0/2

Switch3(config-if)#vlan-membership static 4

??

Switch3(config-if)#int e0/9

Switch3(config-if)#vlan-membership static 4

Switch3(config-if)#

下面是VLAN5(Info)的配置代码:

Switch3(config)#int e0/10

Switch3(config-if)#vlan-membership static 5

??

Switch3(config-if)#int e0/21

Switch3(config-if)#vlan-membership static 5

Switch3(config-if)#

我们已经按表1要求把VLAN都定义到了相应交换机的端口上了。为了验证我们的配置,可以在特权模式使用show vlan命令显示出刚才所做的配置,检查一下是否正确。

3.3.5 企业局域网防病毒设置

随着网络病毒的泛滥,对于一个局域网来说,以前各扫门前雪的防病毒方式经显得力不从心了,如果仅靠局域网中部分计算机的单机版防病毒软件,根本不可能做到对病毒的及时防御。因此,在局域网中构建一个完整的防病毒体系己经成为当务之急,网络防病毒软件也应运而生。接下来,就是我们企业局域网中对防病毒软件的安装配置过程。

在我们的企业局域网安全方案中,使用的是Symantec Antivirus8.0企业版,下面,介绍一下该防病毒软件的安装和配置方法:

(1) 安装和配置防病毒服务器

a、安装防病毒服务器

安装Symantec Antivirus防病毒软件,为了便于管理,我们在局域网控制中心选择一台计算机作为Symantec Antivirns防病毒软件的服务器端。

按照安装说明提示,安装Symantec Antivirus防病毒软件的服务器端,其过程是全中文提示,并且自动安装的,因此,安装过程不作详细介绍了。等安装完成了Norton Antivirus防病毒服务器所有必须组件之后。接下来就可以对其进行配置了。

b、配置防病毒服务器

19

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

Norton Antivirus防病毒服务器是通过"Symantec系统中心"进行统一管理的,通过"Symantec系统中心"控制台,我们可以创建新的服务器组,同时还可以管理服务器组的成员计算机。也可以监视服务器组中成员计算机病毒软件的运行情况。在正常使用上述功能前,我们首先应该对Norton Antivirus防病毒服务器进行一些初始化配置,具体的方法如下:

打开"开始"菜单"程序"项"Symantec系统中心"菜单项。单击其中"Symantec系统中心控制台"程序列表。运行Symantec系统中心控制台,在弹出的"Symantec系统中心控制台"窗口"树状"列表中。双击Symantec系统中心,列表项,将其展开。在出现的"系统等级"列表项中,双击鼠标左键。将该列表项展开,这时在该项下面将出现我们安装Norton Antivirus防病毒服务器时所建立的服务器组名。

在该服务器组上单击鼠标右键,在弹出的右键菜单上。选择"解除服务器组的锁定"菜单项。

这时,将弹出"解锁服务器组的锁定"对话框。在"密码"对话框中。输入安装Norton Antivirus防病毒服务器时安装程序提供的默认密码(注意大小写),并单击"确定"按钮进行解锁。

接下来,可以看到服务器组下列出了刚刚安装的Norton Antivirus防病毒服务器计算机名。在默认情况下,新建的服务器组中的Norton Antivirus防病毒服务器还不是一级服务器,如果一个服务器组中没有一级服务器,将无法执行某些Symantec产品管理操作。因此。必须指定一台安装有Norton Antivirus防病毒服务器的计算机作为一级服务器,具体的方法是:

在树状列表中选中要作为一级服务器的计算机,并在其上单击鼠标右键,在弹出的右键菜单中,选择"使服务器成为一级服务器"菜单项,这时将弹出"是否将该服务器作为一级服务器"提示框,单击"是"按钮,即可将其转换为一级服务器。

【注】在"Symantec系统中心"中选择服务器组对象并设置其选项后,所做的设置将被存到该服务器组的一级服务器上,之后,同一服务器组中的其他服务器将使用新的配置,由于一级服务器的作用很重要,所以应该选择一台性能稳定、能够持续运转的服务器来充当。

在服务器升级为一级服务器后,我们就可以对其进行一些基本的设置了,具体的方法是,在该一级服务器上单击鼠标右键,在弹出的右键菜单上选择"所有任务

"-"Norton AntiVirus"菜单项下的相应选项,在弹出的设置窗口中。进行相应设置就可以了。

设置Norton Antivirus防病毒服务器的病毒库升级时间,在该一级服务器上单击鼠标右键。在弹出的有键菜单上选择"所有任务"-"Norton AntiVirus"-"病毒定义管理器"菜单项,在弹出的"病毒定义管理器"对话框中,选中"只更新此服务器的一级服务器"单选框,并单击后面的“设置”按钮,在弹出的"设置一级服务器更新"对话

20

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 框中,单击"调度"按锤,在新弹出的"病毒定义更新调度"对话框中"根据需要设置病毒定义的更新频率和时间即可。

c、安装邮件防病毒服务器

病毒通过邮件传播已经成为新一代病毒的发展趋势。下面我们说明一下Norton AntiVirus for microsoft Exchange 2.5简体中文版防病毒服务器的安装与设置。

首先,将Symantec Antivirus 8.0企业版安装光盘包中的Norton AntiVirus for Microsoft Exchange 2.5简体中文版安装光盘放入光驱中。打开光盘中的

NAVMSE25文件夹。在该文件夹中找到Setup.exe安装文件,并双击该图标将其运行并且安装。

安装结束后,安装程序向导将提示你安装LiveUpdate,并通过LiveUpdate更新最新的病毒定义和程序。请首先将Norton Antivirus for Microsoft Exchange服务器所在计算机连接到Internet,然后单击"下一步"按钮,Live Update将通过Internet查找最新的病毒定义和相关的程序更新信息并进行更新。

更新完成后,单击"完成"按钮,关闭安装程序。这时系统将自动运行Norton Antivirus for Microsoft Exchange服务器,并且开始监控Exchange邮件服务器。

d、配置邮件防病毒服务器

安装完成Norton Antivirus for Microsoft Exchange服务器后,打开浏览器,在地址栏中输入之前设置的IP地址和端口号(格式是http://IP地址:端口号),这时浏览器将弹出密码录入窗口,输入安装时建立的用户和密码,并单击"确定"按钮。即可进入Norton Antiviru sforMicrosoft Exchange服务器的管理界面。

在Norton AntiVirus for Microsoft Exchange服务器的管理界面左侧导航栏中,单击"全局选项"按钮,右侧内容窗口中将会出现具体的设置信息。

单击相应的选项卡,就可以为Norton AntiVirus FOR Microsoft Exchange服务器配置相应的扫描和警报选项。一般来说,安装完成Norton Antivirus for microsoft exchange后,服务器就已配置好基本的设置选项,设置完成后,单击“保存设置”按钮,使改动生效。

(2) 安装和配置防病毒软件客户端

a、安装防病毒软件客户端

通过内部Web服务器方法安装Norton Antivirus 防病毒软件客户端。要求Norton Antivirus防病毒服务器所在计算机上安装有Web服务器(例如微软的Internet Information Server)。

在客户机上安装Norton Antivirus防病毒软件客户端,具体的方法是,在客户机上打开浏览器,在浏览器主窗口地址栏上输入http://NAVSrv/NAV/wenist(防病毒服务器的计算机名为NAVSrv,虚拟目录名为NAV),并按下回车键将其打开,这时将

21

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 打开Norton Antivirus防病毒软件客户端的安装网页。在该页面上,单击"立即安装"按钮,即可开始安装Norton Antivirus防病毒软件客户端。

b、配置防病毒软件客户端

在完成Norton Antivirus防病毒客户端安装后,就可以在客户机的任务栏系统托盘中看到一个盾牌图标,双击该图标将弹出Norton Antivirus防病毒客户端的主窗口。

在该窗口左侧树形导航栏中,双击"配置"项将其打开,在该项下,选中"文件系统实时防护"项,这时右侧内容窗口将显示Norton Antivirus防病毒客户端的具体设置内容,可以根据实际需要设置其中的相应选项,设置完成单击 "确定"按钮即可将设置生效。

至此,网络便可以安全的防御病毒的攻击了。

3.3.6 攻击检测技术及方法

互联网的普及给网络管理人员带来了极大的挑战,随处可得的黑客工具和系统漏洞信息使我们的网络无时无刻不处于危险之中。一般来说,一个典型的网络攻击是以大量的端口扫描等手段获取关于攻击对象的信息为开端的,这个过程必然产生大量的异常网络流量,预示着即将到来的真正攻击。然而当前被广泛使用的网络产品都具有一个普遍的弱点——被动防御,即对这些重要的网络攻击先兆熟视无睹,错过了最佳的防御时间。为了扭转这种不利的局面,变被动防御为积极防御,就要求网管人员对网络的运行状态进行实时监控以便随时发现入侵征兆并进行具体的分析,然后及时进行干预,从而取得防患于未然的效果。完成这种功能的安全产品就是网络入侵检测系统(Network Intrusion Detection Systems,NIDS)。

本系统采用三层分布式体系结构:网络入侵探测器、入侵事件数据库和基于Web的分析控制台。为了避免不必要的网络流量,我们将网络入侵探测器和入侵事件数据库整合在一台主机中,用标准浏览器异地访问主机上的Web服务器作为分析控制台,两者之间的通信采用HTTPS安全加密协议传输。

由于实现本系统所需的软件较多,有必要在此进行简要的说明:

Snort 1.8.6 功能简述:网络入侵探测器;

Libpcap 0.7.1 功能简述:Snort所依赖的网络抓包库;

MySQL 3.23.49 功能简述:入侵事件数据库;

Apache 1.3.24 功能简述:Web服务器;

Mod_ssl 2.8.8 功能简述:为Apache提供SSL加密功能的模块;

OpenSSL 0.9.6d 功能简述:开放源代码SSL加密库,为mod_ssl所依赖; MM 1.1.3 功能简述:为Apache的模块提供共享内存服务;

PHP 4.0.6 功能简述:ACID的实现语言;

GD 1.8.4 功能简述:被PHP用来即时生成PNG和JPG图像的库;

22

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

ACID 0.9.6b21 功能简述:基于Web的入侵事件数据库分析控制台; ADODB 2.00 功能简述:为ACID提供便捷的数据库接口;

PHPlot 4.4.6 功能简述:ACID所依赖的制图库;

(1) 安装及配置

在正式进行软件安装之前,请检查系统,确保拥有符合ANSI标准的C/C++编译器等软件开发工具。

a、安装MySQL

首先,以超级用户的身份登录系统,创建mysql 用户和mysql用户组;

然后,以mysql身份登录,执行下列命令:

$gzip -d -c mysql-3.23.49.tar.gz | tar xvf -

$cd mysql-3.23.49

$./configure

$make

$make install

这样,就按照缺省配置将MySQL安装在/usr/local目录下。然后将源代码树中的缺省配置文件my.cnf拷贝到/etc目录下。接下来,以超级用户身份执行源码树中scripts目录下的可执行脚本文件mysql_install_db来创建初始数据库。用

/etc/init.d/mysql.server启动数据库服务器后,使用/usr/local/bin/mysqladmin程序来改变数据库管理员的口令。

b、安装Snort

首先安装Snort所依赖的库libpcap:

#gzip -d -c libpcap-0.7.1.tar.gz | tar xvf -

#cd libpcap-0.7.1

#./configure

#make

#make install

这样libpcap缺省地安装在/usr/local目录下。

然后开始安装Snort:

#gzip -d -c snort-1.8.6.tar.gz | tar xvf -

#cd snort-1.8.6

#./configure --prefix=/usr/local \

--with-mysql=/usr/local \

--with-libpcap-includes=/usr/local \

--with-libpcap-libraries-/usr/local

#make

23

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

#make install

安装完毕后,将源码树中的snort.conf文件、classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下。

按照下列步骤配置Snort将其捕获的网络信息输出到MySQL数据库:

● 创建Snort入侵事件数据库和存档数据库:

#/usr/local/bin/mysqladmin -u root -p create snort

#/usr/local/bin/mysqladmin -u root -p create snort_archive

● 执行Snort源码树下contrib目录下的create_mysql SQL脚本文件创建相关表:

#/usr/local/bin/mysql -u root -D snort -p < create_mysql

#/usr/local/bin/mysql -u root -D snort_archive -p < create_mysql ● 编辑/etc/snort.conf文件,在output plugin 段中加入如下一行:

output database: alert, mysql, user=root password=abc123

dbname=snort host=localhost

c、安装Apache

● 安装MM库

#gzip -d -c mm-1.1.3.tar.gz | tar xvf -

#cd mm-1.1.3

#./configure

#make

#make install

MM库被按照缺省配置安装在/usr/local目录下。

● 安装OpenSSL

#gzip -d -c openssl-0.9.6d.tar.gz | tar xvf -

#cd openssl-0.9.6d

#./config

#make

#make test

#make install

OpenSSL按照缺省设置安装在/usr/local目录下。

● 为Apache扩展mod_ssl代码

#gzip -d -c apache-1.3.24.tar.gz | tar xvf -

#gzip -d -c mod_ssl-2.8.8-1.3.24.tar.gz | tar xvf -

#cd mod_ssl-2.8.8-1.3.24

#./configure --with-apache=apache-1.3.24

24

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

该命令运行成功之后,会有提示说明已经成功扩展了Apache的源代码。

● 安装Apache

#cd ../apache-1.3.24

#SSL_BASE=/usr/local \

EAPI_MM=/usr/local \

./configure -enable-module=so \

--enable-module=ssl \

--prefix=/usr/local

#make

#make certificate

#make install

其中,make certificate命令是为mod_ssl生成所需的安全证书,按照提示输入相应信息即可。这样,Apache就被安装在了/usr/local目录下。

d、安装PHP

首先安装为PHP提供既时生成PNG和JPG图象功能的GD库:

#gzip -d -c gd-1.8.4.tar.gz | tar xvf -

#cd gd-1.8.4

#make

#make install

按照缺省配置,将其安装到/usr/local目录下。接下来开始正式安装PHP: #gzip -d -c php-4.0.6.tar.gz | tar xvf -

#cd php-4.0.6

#./configure -with-mysql=/usr/local \

--with-apxs=/usr/local/bin/apxs \

--with-gd=/usr/local

#make

#make install

此处采用的是PHP的Apache动态模块DSO安装模式,完成之后,将会在

/usr/local/libexec目录下生成Apache DSO模块libphp4.so。然后,还需将源码树中的PHP缺省配置文件php.ini-dist拷贝到/etc目录下并更名为php.ini;最后为了通知Apache启用PHP模块,编辑Apache的配置文件httpd.conf加入如下两行: AddType application/x-httpd-php .php

LoadModule php4_module libexec/libphp4.so

至此完成PHP的安装。

e、安装ACID

25

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

该部分的安装工作具体包括三个软件包:adodb200.tar.gz、

phplot-4.4.6.tar.gz和acid-0.9.6b21.tar.gz。安装过程十分简单,只需分别将这三个软件包解压缩并展开在Apache服务器的文档根目录下即可,具体操作如下所示: #cd /usr/local/htdocs

#gzip -d -c adodb200.tar.gz | tar xvf -

#gzip -d -c phplot-4.4.6.tar.gz | tar xvf -

#gzip -d -c acid-0.9.6b21.tar.gz | tar xvf -

#chown -R root:other *

#chmod -R 755 *

然后开始配置工作,转到acid-0.9.6b21目录下编辑ACID的配置文件:

acid_conf.php给下列变量赋值:

$Dblib_path="../adodb200"

$DBtype="mysql"

$alert_dbname="snort"

$alert_host="localhost"

$alert_port="3306"

$alert_user="root"

$alert_password="abc123"

$archive_dbname="snort_archive"

$archive_host="localhost"

$archive_port="3306"

$archive_user="root"

$archive_password="abc123"

$ChartLib_path="../phplot-4.4.6"

$Chart_file_format="png"

$portscan_file="/var/log/snort/portscan.log"

至此,网络入侵检测系统的软件安装工作结束。

(2) 系统部署及运行

系统被部署在网络服务器所处的DMZ区,用来监控来自互联网和内网的网络流量。负责监控的网络探测器Snort使用无IP地址的网卡进行监听以保证网络入侵检测系统自身的安全;通过另一块网卡接入内网并为其分配内网所使用的私有IP地址,以便从内网访问分析控制台程序ACID。通过启用Apache服务器的用户身份验证和访问控制机制并结合SSL以保证系统的访问安全。

另外,布署网络入侵检测系统的关键是应当保证系统的监听网卡所连接的设备端口能够"看到"受监控网段的全部网络流量。在共享式网络中这不是问题,但在交换式

26

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 网络中由于交换机的每个端口拥有自己的冲突域,因此无法捕获除广播和组播之外的网络流量。这就要求交换机提供监控端口,本网络使用的是Cisco Catalyst系列交换机,其监控端口是通过端口的SPAN特性来实现的,用交换机管理软件启用该特性即可。

为了运行该系统,以超级用户身份执行下列命令:

#/etc/init.d/mysql.server start

#/usr/local/bin/snort -c /etc/snort.conf -l /var/log/snort -I elx0 -D

#/usr/local/bin/apachectl sslstart

这样,网络入侵检测系统已开始运行。

3.3.7 审计与监控技术实施

审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样的使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。

本公司局域网系统是通过软件IpTraf来实现网络的监控与审计,具体措施如下:

(1) 安装

将iptraf-2.7.0.tar.gz上传到防火墙的 /home/yan/ 目录下

# cd /home/yan

# tar zxf iptraf-2.7.0.tar.gz

# cd iptraf-2.7.0

# ./Setup

至此,安装完毕

安装程序会将执行程序安装到 /usr/local/bin 目录下,并创 /var/local/iptraf 目录放置iptraf的配置文件,同时创建 /var/log/iptraf 目录放置iptraf产生的日志文件

(2) 运行iptraf

确认环境变量的PATH变量包含路径 /usr/local/bin

# iptraf

运行iptraf后会产生一个字符界面的菜单,点击 x 可以退出 iptraf,各菜单说明如下:

a、菜单Configure...

在这里可以对 iptraf 进行配置,所有的修改都将保存在文件:/var/local/iptraf/iptraf.cfg 中

27

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

--- Reverse DNS Lookups 选项,对IP地址反查 DNS名,默认是关闭的

--- TCP/UDP Service Names 选项,使用服务器代替端口号,例如用www 代替80,默认是关闭的

--- Force promiscuous 混杂模式,此时网卡将接受所有到达的数据,不管是不是发给自己的。

--- Color 终端显示彩色,当然用telnet ,ssh连接除外,也就是用不支持颜色的终端连接肯定还是没有颜色。

--- Logging 同时产生日志文件,在/var/log/iptraf 目录下

--- Activity mode 可以选择统计单位是kbit/sec 还是 kbyte/sec

--- Source MAC addrs in traffic monitor 选择后,会显示数据包的源MAC地址

b、菜单Filters...

在这里设置过滤规则,这是最有用的选项了,从远端连入监控机时,自己的机器与监控机会产生源源不断的tcp数据包,此时就可以将自己的IP地址排除在外。

它包括六个选项,分别是:Tcp、Udp、Other IP、ARP、RARP、Non-ip。我们只说明TCP,其他选项的配置都很相似。

--- Defining a New Filter

选择Defining a New Filter后,会出来一对话框,要求填入对所建的当前规则的描述名,然后回车确定,Ctrl+x取消

在接着出现的对话框里,Host name/IP address的First里面填源地址,Second里填目标地址,Wildcard mask 的两个框里面分别是源地址和目标地址所对应的掩码。

Port栏要求填入要过滤的端口号,0表示任意端口号

Include/Exclude栏要求填入I或者E,I表示包括,E表示排除

填写完毕,回车确认,Ctrl+x取消

--- Applying a Filter

我们在上一步定义过滤规则会存储为一个过滤列表,在没有应用之前并不起作用,在这里选择我们应用那些过滤规则。所有应用的规则会一直起作用,即使重新启动iptraf。我们可以执行Detaching a Filter来取消执行当前所有应用的规则。

--- Editing a Defined Filter 编辑一个已经存在的规则

--- Deleting a Defined Filter 删除一个已经定义的规则

--- Detaching a Filter 取消执行当前所有应用的规则

c、菜单IP Traffic Monitor

IP数据包流量实时监控窗口,在这里可以实时的看到每一个连接的流量状态,它有两个窗口,上面的是TCP的连接状态,下面的窗口可以看到UDP、ICMP、OSPF、

28

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 IGRP、IGP、IGMP、GRE、ARP、RARP的数据包。点击s键选择排序,按照包的数量排序,也可按照字节的大小排序,当你开始监控IP Traffic时,程序会提示你输入Log文件的文件名,默认的是ip_traffic-1.log。

在一个比较繁忙的网络里,显示的结果可能很乱,可以使用Filters菜单过滤显示来找到有用的数据。

d、菜单General Interface Statistics

显示每个网络设备出去和进入的数据流量统计信息,包括总计、IP包、非IP包、Bad IP包、还有每秒的流速,单位是kbit/sec或者是kbyte/sec ,这由Configure菜单的Activity选项决定。

e、菜单Detailed Interface Statistics

这里包括了每个网络设备的详细的统计信息,很简单,不再赘述。

f、Statistical Breakdowns

这里提供更详细的统计信息,可以按包的大小分类,分别统计,也可以按Tcp/Udp的服务来分类统计,也不再赘述。

g、LAN Station Statistics

提供对每个网络地址通过本机的数据的统计信息。

3.3.8 系统备份及恢复方案

在我们的网络系统中,使用Norton Ghost来实现网络系统的备份及恢复。其具体实施如下:

(1) 利用MultiCast Server进行备份与灾难恢复的具体步骤:

a、通过IP网络正确连接被克隆的源机器(运行ghost网络客户软件)与网络文件服务器(运行MultiCast Server)。

b、找到ghost网络客户机网卡的Packet Driver或者是NDIS2.1 Driver。ghost网络客户通过包驱动或者是NDIS模拟包驱动来与MultiCast Server通信。

c、制作MultiCast网络客户机启动软盘。利用Multicast Assist向导根据屏幕提示(需要DOS启动盘),一步一步的制作MultiCast客户机启动软盘。

d、在文件服务器上启动MultiCast Server,设置多点传送会话的名称,选择安装客户机或者备份客户机、对整盘操作或分区操作,指明映像文件在服务器上的路径和文件名,点击Accept Client按钮,MultiCast Server进入等待客户连接状态。

e、用制作的ghost网络客户机启动软盘开机启动客户机,自动进入ghost图形用户界面,选择MultiCast菜单,指定上一步设置的多点传送会话的名称以便与MultiCast Server建立通信连接。接下来,ghost就开始了真正的克隆操作。

(2) 利用硬盘映像文件制作灾难恢复光盘的具体步骤:

a、制作启动软盘。其内容包括IO.SYS、MSDOS.SYS、COMMAND.COM、HIMEM.SYS、MSCDEX.EXE、CD-ROM驱动程序、CONFIG.SYS、AUTOEXEC.BAT等文件。

29

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 b、刻制CD-R。在刻录软件中要设定CD-R的格式为ISO9660、并选中可启动光盘复选框,按屏幕提示插入刚才制作的启动软盘,克录软件自动生成bootcat.bin、bootimg.bin两个文件,然后选择正确的硬盘映像文件、ghost.exe、ghost.env、

ghost.ini等相关文件作为复制对象,按下刻录按钮,系统恢复光盘就大功告成了。 c、系统灾难恢复(或者是批量安装)。利用自制的系统恢复光盘开机启动就可以自动、快速恢复/安装目标计算机,一般10来分钟即可完成。

3.4 信息安全

VPN是企业实现安全远程互联的有效方法。VPN主要应用特点包括:基于封装安全负载标准ESP-DES(Encapsulating Securiry Payload–Data Encryption Standard)的IPSec;专有网络通过端口地址转换技术访问Internet。

配置过程及测试步骤:

在前面我们已经对路由器作了初始化配置,下面直接进入VPN设置过程

(1) 配置路由器的以太网接口,并测试与本地计算机的连通性

关键是配置IP地址和启用以太网接口。测试时,使用基本的测试命令ping。 huadong(config)#inter eth0/0

huadong(config-if)#ip address 172.18.124.1 255.255.255.0

huadong(config-if)#no shutdown

在IP地址为172.18.124.100的计算机上:

c:>ping 172.18.124.1

Pinging 172.18.124.1 with 32 bytes of data:

Reply from 172.18.124.1 bytes=32 time=5ms TTL=255

??

结果证明连接及配置正确。

(2) 配置路由器NAT网络

a、配置外出路由并测试

主要是配置缺省路由。

huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9

huadong#ping 211.100.15.36

??

!!!!!

??

结果证明本路由器可以通过ISP访问Internet。

b、配置PAT,使内部网络计算机可以访问外部网络

主要是基于安全目的,不希望内部网络被外部网络所了解,而使用地址转换(NAT)

30

东华理工大学毕业设计(论文) 企业局域网的安全设计方案 技术。同时,为了节约费用,只租用一个IP地址(路由器使用)。所以,需要使用PAT技术。使用NAT技术的关键是指定内外端口和访问控制列表。

在访问控制列表中,需要将对其他内部网络的访问请求包废弃,保证对其他内部网络的访问是通过IPSec来实现的。

huadong(config)#inter eth0/0

huadong(config-if)#ip nat inside

huadong(config-if)#inter serial0/0

huadong(config-if)#ip nat outside

huadong(config-if)#exit

以上命令的作用是指定内外端口。

huadong(config)#route-map abc permit 10

huadong(config-route-map)#match ip address 150

huadong(config-route-map)#exit

以上命令的作用是指定对外访问的规则名。

huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.17.123.0 255.255.255.0

huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.18.125.0 255.255.255.0

huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.18.126.0 255.255.255.0

huadong(config)#access-list 150 permit ip 172.18.124.0 255.255.255.0 any 以上命令的作用是指定对外访问的规则内容。禁止利用NAT对其他内部网络直接访问,和允许内部计算机利用NAT技术访问Internet。

huadong(config)#ip nat inside source route-map abc interface serial0/0 overload

上述命令的作用是声明使用串口的注册IP地址,在数据包遵守对外访问的规则的情况下,使用PAT技术。

在IP地址为172.18.124.100的计算机上,执行必要的测试工作,以验证内部计算机可以通过PAT访问Internet。

c:>ping 210.75.32.10

??

Reply from 210.75.32.10: bytes=32 time=1ms TTL=255

??

c:>ping

??

31

东华理工大学毕业设计(论文) 企业局域网的安全设计方案

Reply from 211.100.15.36: bytes=32 time=769ms TTL=248

??

此时,在路由器上,可以通过命令观察PAT的实际运行情况,再次验证PAT配置正确。

huadong#show ip nat tran

Pro Inside global Inside local Outside local Outside global

icmp 210.75.32.9:1975 172.18.124.100:1975 210.75.32.10:1975

210.75.12.10:1975

??

以上测试过程说明,NAT配置正确。内部计算机可以通过安全的途径访问

Internet。

(3) 配置ESP-DES IPSec并测试

以下配置是配置VPN的关键。首先,VPN隧道只能限于内部地址使用。

huadong(config)#access-list 105 permit ip 172.18.124.0 255.255.255.0 172.17.123.0 255.255.255.0

huadong(config)#access-list 106 permit ip 172.18.124.0 255.255.255.0 172.18.125.0 255.255.255.0

huadong(config)#access-list 107 permit ip 172.18.124.0 255.255.255.0 172.18.126.0 255.255.255.0

指定VPN在建立连接时协商IKE使用的策略。方案中使用sha加密算法。

huadong(config)#crypto isakmp policy 10

huadong(config-isakmp)#hash sha

huadong(config-isakmp)#authentication pre-share

huadong(config-isakmp)#exit

32

东华理工大学毕业设计(论文) 企业局域网安全管理 4 企业局域网安全管理

4.1 安全管理规范

4.1.1 安全管理原则

网络信息系统的安全管理主要基于三个原则。

多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。

任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。

职责分离原则:在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。

4.1.2 安全管理的实现

信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。

(1) 制订相应的机房出入管理制度:机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。

(2) 制订严格的操作规程:操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。

(3) 制订完备的系统维护制度:对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。

(4) 制订应急措施:要制定系统在紧急情况下如何尽快恢复的应急措施,以使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。

4.2 常见网络故障及解决

局域网故障五花八门,在这里我们只介绍最常见的两种故障解决方案。

4.2.1 IP冲突解决

发生IP冲突主要有以下几个原因。有些人对TCP/IP不了解,不小心修改了这些信息。另外在维修调试机器的时候,用一些临时的IP地址,结果忘了改过来而出现冲突。另外还有一种我们深恶痛绝的情况,就是有人窃用他人的IP地址。

33

东华理工大学毕业设计(论文) 企业局域网安全管理

接到冲突报告后,要做几件事情,首先要确定冲突发生的VLAN。通过IP规划的vlan定义以及冲突的IP地址,可以找到冲突地址所在的网段。这对成功地找到网卡MAC地址非常关键,因为有些网络命令不能跨网段存取。

下面先把客户机与网络隔离,对于有非法的IP地址的微机,权且容它运行去吧,这样我们倒有机会设法找到它了。再对网络做一些测试,主要的命令有ping命令和arp命令。使用ping命令,假设冲突的IP地址为172.18.124.69,在msdos窗口,命令格式如下:

C:\\WIDOWS\\〉ping 172.18.124.69

Request timed out

Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉

Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉

Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉

我们之所以要ping这台机器,有两个目的,首先我必须肯定要找的那台机器确实在网络上,其次,我想知道这台机器的网卡的MAC地址。下面使用第二个命令arp查找MAC地址,arp命令只能在某一个VLAN中使用有效,它是低层协议,而且不能跨路由。

C:\\WIDOWS\\〉arp –a

Interface: ...... on Inerface ......

Internet Address/Physical Address/Type

172.18.124.69/00-00-22-35-62-53/ dynamic

这就说明冲突IP地址172.18.124.69 处网卡的MAC地址是00-00-22-35-62-53。接下来我们要找的是MAC地址为00-00-22-35-62-53的网卡的具体物理位置,然后解决冲突。

4.2.2 DNS错误

出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题,然而访问他的域名就会出现错误。

解决DNS解析故障:

计算机出现了DNS解析故障后不要着急,解决的方法也很简单

(1) 用nslookup来判断是否真的是DNS解析故障

第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。

第二步:输入nslookup命令后回车,将进入DNS解析查询界面。

第三步:命令行窗口中会显示出当前系统所使用的DNS服务器地址,例如DNS服务器IP为202.106.0.20。

第四步:接下来输入无法访问的站点对应的域名。例如输入,假如不能访问,那么DNS解析应该是不能够正常进行的。我们会收到DNS request

34

东华理工大学毕业设计(论文) 企业局域网安全管理 timed out,timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。

小提示:如果DNS解析正常的话,会反馈回正确的IP地址,例如用这个地址进行查询解析,会得到

61.135.133.103,61.135.133.104的信息。

(2) 查询DNS服务器工作是否正常

这时候就要看看自己计算机使用的DNS地址是多少了,并且查询他的运行情况。 第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。

第二步:输入ipconfig /all命令来查询网络参数。

第三步:在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS,这个就是我们的DNS服务器地址。例如是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址,如果使用外网DNS出现解析错误时,我们可以更换一个其他的DNS服务器地址即可解决问题。

第四步:如果在DNS服务器处显示的是公司的内部网络地址,那么说明公司的DNS解析工作是交给公司内部的DNS服务器来完成的,这时需要检查这个DNS服务器,在DNS服务器上进行nslookup操作看是否可以正常解析。解决DNS服务器上的DNS服务故障,一般来说问题也能够解决。

(3) 清除DNS缓存信息法

当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的,一般来说当解析工作完成一次后,该解析条目会保存在计算机的DNS缓存列表中,如果这时DNS解析出现更改变动的话,由于DNS缓存列表信息没有改变,在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息,会根据自己计算机上保存的缓存对应关系来解析,这样就会出现DNS解析故障。这时应该通过清除DNS缓存的命令来解决故障。

第一步:通过“开始->运行->输入CMD”进入命令行模式。

第二步:在命令行模式中我们可以看到在ipconfig /?中有一个名为/flushdns的参数,这个就是清除DNS缓存信息的命令。

第三步:执行ipconfig /flushdns命令,当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。

第四步:接下来我们再访问域名时,就会到DNS服务器上获取最新解析地址,再也不会出现因为以前的缓存造成解析错误故障了。

35 name:sohu.com,addresses:

东华理工大学毕业设计(论文) 结束语

结束语

由于时间有限,我们所设计的企业局域网络安全系统只具备了一些基本安全防护功能,随着网络安全技术的发展,系统的功能也会随之进一步成熟化、完善化,相信随着操作系统的完善化和网络安全技术的成熟化,局域网的安全防护功能将更加符合企业的需求。

通过这次毕业设计,我大致了解在进行网络工程设计的基本过程,并且从中获得了许多从课堂上学不到的知识和有意义的收获,其中我对以下几点有很深的体会:

(1) 企业网络的安全是一个复杂的问题,只依靠一、两种网络安全产品是不能解决问题的。必须综合应用多种安全技术,并将其功能有机地整合到一起进而构成统一的网络安全基础设施。

(2) 管理一个大型的企业局域网络,不是一个人能够轻易的,况且一个人也不是安全之举;在工作中要多其他的管理人员沟通与讨论,这样可以保证整体工程的一致性,而且也可以互相交流经验,从而充实自己。

(3) 查阅资料是必不可少的一个环节,再工作和学习中,丰富自己的经验,在以后的工作中避免走许多不必要弯路。在互联网上查找相关资料,往往会收到意想不到的效果,可以大大的提高效率。

36

东华理工大学毕业设计(论文) 致谢

致 谢

在论文完成之际,谨向所有帮助过的我的老师和同学致以最衷心的感谢!

在这段时间的设计和论文的写作中,我的指导老师钟国韵老师给予了我很大的帮助。从选题到论文完成的整个过程,钟老师给予了我许多的帮助和指导:精心挑选课题,考虑课题的可行性、难易程度以及我能否完成等各个方面的问题;设计过程中,出现了各种各样的难题,都是钟老师在帮我分析帮我找问题所在,并不断的鼓励我去解决所遇到的各个难题;最后是论文的撰写过程,从交初稿到最后的定稿,被老师修改过了很多次,在不断的修改和老师的分析中,才完成了这篇论文。

感谢班主任雷伯录老师。雷老师在我们大学本科的时间里管理班务,组织活动,支持和帮助我们够顺利地完成课程学习,进行论文撰写。完成这篇论文我还要感谢班级里的一些同学还有室友们,她们在撰写论文过程中帮我解决了许多问题。

感谢信息工程学院领导和通信工程专业的老师们对于我们毕业班学生的关心和帮助,本设计能够顺利的完成,也归功于各位任课老师的认真负责,在此向各位老师表示深深的感谢和崇高的敬意 感谢母校东华理工大学4年来对我们的谆谆教导。

衷心感谢在百忙中评审论文和参加答辩的专家与评委们!

还有,感谢对于一直关注和支持我学业的我的家人和好友们,正是在他们无私支持和鼓励下,才使我顺利地度过了本科四年的学习生活并不断成长。

37

东华理工大学毕业设计(论文) 参考文献

参考文献

[1] 郭 军.网络管理. 北京:北京邮电大学出版社,2001

[2] 劳帼龄.网络安全与管理. 北京:高等教育出版社,2003

[3] 祁 明.网络安全与保密. 北京:高等教育出版社,2001

[4] 洪 峰.Cisco路由器管理. 北京:中国电力出版社,2000-1-1

[5] Smith,M. Virtual LAN. 北京:清华大学出版社,2003-12-1

[6] (美)Cisco 公司编著.Cisco IOS网络安全(信达工作室译). 北京:人民邮电出版社 2001-1-1

[7] (美)鲁西格南 编著.Cisco 网络安全管理 (王勇 译). 北京:中国电力出版社 2001-7-1

[8] (美)查普曼 等 著.Cisco安全PIX防火墙(李逢天译). 北京:人民邮电出版社 2002-8-1

[9] (美)迪尔(Deal,R.)著. Cisco VPN完全配置指南(姚军玲,郭稚晖 译). 北京:人民邮电出版社 2007-4-1

[10] (美)赫卡拜,[美]麦奎瑞 著. Cisco现场手册:Catalyst交换机配置(张辉 译). 北京:人民邮电出版社 2004-2-1

[11] Clark,K., Hamilton,K. Cisco LAN Switching Technology. 北京:人民邮电出版社 2003-6-1

[12] (美)Michael Wynston著. Cisco 企业管理解决方案(第1卷)(师夷工作室译). 北京:中国青年出版社 2001-10-1

38

更多类似范文
┣ IT解决方案 2000字
┣ 中介模块解决方案 4500字
┣ 网络管理解决方案 5800字
┣ 热网监控解决方案 2500字
┣ 更多解决方案范文
┗ 搜索类似范文