【正文】 MD5認證 authentication preshare 認證方式為共享 group 2 優(yōu)先級組別為2!crypto isakmp client configuration group myez 設(shè)置密鑰客戶端等級組 key 123 為等級組設(shè)置密碼 pool ez 為客戶分配內(nèi)部IP地址池!crypto ipsec transformset tim esp3des espmd5hmac 傳輸隧道封裝類型!crypto dynamicmap ezmap 10 進入隧道封裝策略模式 set transformset tim 調(diào)用上面設(shè)置的封裝組tim reverseroute 開啟vpn的反向路由!crypto map tom client authentication list eza 加密組tom的客戶認證調(diào)用上面的eza組crypto map tom isakmp authorization list ezo加密組tom的密鑰授權(quán)管理方式調(diào)用上面的eza組crypto map tom client configuration address respond加密組tom為客戶分配IP地址crypto map tom 10 ipsecisakmp dynamic ezmap加密組tom調(diào)用隧道加密格式名稱為ezmap !interface FastEthernet0/0 ip address ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 routerid logadjacencychanges network area 6 defaultinformation originate 向其他ospf鄰居宣告默認路由!ip local pool ez 配置VPN登入進來后分配的IP地址池ip nat inside source list 1 interface Serial0/2/0 overload 設(shè)置動態(tài)NAT將acl 1的地址轉(zhuǎn)化為s0/2/0并多路復(fù)用ip classlessip route Serial0/2/0 默認路由 都走s0/2/0!!accesslist 1 permit accesslist 10 permit host !no cdp run 關(guān)閉鄰居發(fā)現(xiàn)協(xié)議!!radiusserver host authport 1645 key 123 指定AAA服務(wù)器地址與Easy VPN 端口號以及對應(yīng)密鑰!line con 0 password cisco loginline vty 0 4 accessclass 10 in password cisco login local!End 服務(wù)器AAA服務(wù)器配置：HTTP服務(wù)器：DNS服務(wù)器：第六章 項目測試Packet Tracer 模擬器實驗拓撲圖 所有設(shè)備的用戶名為：beijiangong 密碼：ciscoVPN 登錄配置：組名：beijiangongKey:123服務(wù)器IP： 用戶名：123密碼：123北京總公司 圖A分公司以及ISP網(wǎng)絡(luò) 圖B DHCP驗證 北京總公司內(nèi)網(wǎng)所有設(shè)備都是通過DHCP獲取的IP地址，但是不同VLAN所獲得的IP地址段是不同的，驗證其在不同VLAN下是否獲得正確的IP地址、網(wǎng)關(guān)、掩碼和DNS。配置命令如下：switch(Config)interface Interface type （接口類型與ID）switch(configif)switchport mode access （改為接入模式）switch(configif)switchport access vlan number （VLAN ID號）等待接口指示燈變?yōu)榫G色后即完成生成樹運算。3) 保證供電安全可靠計算機和網(wǎng)絡(luò)主干設(shè)備對交流電源的質(zhì)量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內(nèi)。它主要包括以下幾個方面：1) 保證機房環(huán)境安全信息系統(tǒng)中的計算機硬件、網(wǎng)絡(luò)設(shè)施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。不過就實現(xiàn)而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設(shè)計。 　　 2）應(yīng)用層防火墻 　　應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。 　　我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。 防火墻類型主要有2中，網(wǎng)絡(luò)防火墻和應(yīng)用防火墻。該計算機流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。 　　實時入侵檢測在網(wǎng)絡(luò)連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。AAA是動態(tài)配置的，它允許管理員基于每條線路（每個用戶）或者每個服務(wù)（比如IP、IPX或VPDN[虛擬私有撥號網(wǎng)絡(luò)]）來配置認證和授權(quán)。這類信息包括用戶身份、網(wǎng)絡(luò)訪問開始和結(jié)束的時間、執(zhí)行過的命令（比如PPP）、數(shù)據(jù)包的數(shù)量和字節(jié)數(shù)量。RADIUS和TACACS+把這些AVP配置應(yīng)用給用戶或者用戶組。交換機或路由器會向服務(wù)器詢問用戶真實的能力和限制，集中式服務(wù)器向其返回授權(quán)結(jié)果，告知用戶所能夠使用的服務(wù)。除了本地認證、線路密碼的Enable認證以外，其他所有的認證方法都需要使用AAA。這個方法列表可以定義所要執(zhí)行的認證類型和他們的順序。其主要目的是管理哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器，具有訪問權(quán)的用戶可以得到哪些服務(wù)，如何對正在使用網(wǎng)絡(luò)資源的用戶進行記賬。 通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進行加密，這樣中間人這種攻擊方式就不可能實現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。 　 　在使用SSH的時候，一個數(shù)字證書將認證客戶端(你的工作站)和服務(wù)器(你的網(wǎng)絡(luò)設(shè)備)之間的連接，并加密受保護的口令。所謂“中間人”的攻擊方式， 就是“中間人”冒充真正的服務(wù)器接收你傳給服務(wù)器的數(shù)據(jù)，然后再冒充你把數(shù)據(jù)傳給真正的服務(wù)器。會話標識符唯一標識此會話并且適用于標記以證明私鑰的所有權(quán)。更高層的用戶認證協(xié)議可以設(shè)計為在此協(xié)議之上。此外它有時還提供壓縮功能。配置復(fù)雜，支持POLICY PUSHING等特性，此技術(shù)基于IPsec協(xié)議為基礎(chǔ)，擴展的的cisco私有協(xié)議，支持遠程登錄，并且根據(jù)自己的AAA的服務(wù)器去認證其可靠性，如認證通過，會為訪問者分配自己內(nèi)部IP地址，保證其訪問內(nèi)部信息。 　　2) Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。 VPN 的分類根據(jù)不同的劃分標準，VPN可以按幾個標準進行分類劃分 1. 按VPN的協(xié)議分類 VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見的協(xié)議。由于本課題重點為總公司內(nèi)部網(wǎng)絡(luò)安全，以及總公司與分公司之間連通性的網(wǎng)絡(luò)安全，所以分公司內(nèi)部沒有詳細化，ip地址分配為一下：總公司總網(wǎng)段：名稱VLAN ID IPv4地址段網(wǎng)關(guān)地址經(jīng)理辦公室10財政部20軟件部30市場部40系統(tǒng)集成中心50參觀中心60網(wǎng)管中心99服務(wù)器集群100核心與路由器無路由器與防火墻無其他分公司 1第四章 企業(yè)網(wǎng)絡(luò)安全技術(shù)介紹 Easy VPN 什么是VPN虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進行全面的監(jiān)控和管理。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如VPN、NAT等。面對對頻繁出現(xiàn)的黑客入侵和網(wǎng)絡(luò)故障，直接危害網(wǎng)絡(luò)的運行和業(yè)務(wù)的正常開展。第三章 企業(yè)網(wǎng)絡(luò)總體設(shè)計方案 公司背景 公司北京總部有一棟大樓，員工人數(shù)大約800人，在全國設(shè)有4個分公司（上海、廣州、重慶和西安）。所以只要計算機開著，就要防范病毒。(三) 在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)(一) 安裝防火墻就安全了防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護。4) 關(guān)鍵部門的非法訪問和敏感信息外泄?，F(xiàn)如今企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實施是一項系統(tǒng)工程，它涉及許多方面。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求?？梢哉f，網(wǎng)絡(luò)互聯(lián)和高速計算機網(wǎng)絡(luò)正成為最新一代的計算機網(wǎng)絡(luò)的發(fā)展方向。 進入九十年代，計算機技術(shù)、通信技術(shù)以及建立在計算機和網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的計算機網(wǎng)絡(luò)技術(shù)得到了迅猛的發(fā)展。PC是一臺“麻雀雖小，五臟俱全”的小計算機，每個PC機用戶的主要任務(wù)仍在自己的PC機上運行，僅在需要訪問共享磁盤文件時才通過網(wǎng)絡(luò)訪問文件服務(wù)器，體現(xiàn)了計算機網(wǎng)絡(luò)中各計算機之間的協(xié)同工作。這個