【正文】 ，其中就包括內(nèi)部網(wǎng)絡(luò)中用與公眾服務(wù)的外部服務(wù)器，如web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等，都是為互聯(lián)網(wǎng)公眾用戶提供某種信息服務(wù)的?？梢酝ㄟ^在默認(rèn)情況下將某些數(shù)據(jù)標(biāo)識為非法的來完成某些阻擋。例如，ICMP協(xié)議設(shè)計(jì)為TCP/IP內(nèi)的一個信號機(jī)制，但是這很容易導(dǎo)致濫用，并且可能導(dǎo)致諸如拒絕服務(wù)攻擊等問題，內(nèi)部防火墻比外圍防火墻具有更嚴(yán)格的要求。DMZ通常是一個過濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池，以及所有的公共服務(wù)器，但要注意的是對外服務(wù)器只能用作用戶連接，真正的后臺數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。而局域網(wǎng)內(nèi)部，對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。Ciscoasa(configif)securitylevel 100 (100指權(quán)限，數(shù)字越高權(quán)限越高)一般情況下E0/1的權(quán)限為0，E0/2的權(quán)限是100， E0/3的權(quán)限是50。Ciscoasa(config)nat (inside) 2 將此地址激活NATCiscoasa(config)global 2 .*.* .*.*PAT：指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換。Ciscoasa(config)nat (inside) 3 將此地址激活NATCiscoasa(config)global (outside) 3 interface(這個是電信只提供了一個IP時(shí)可以這樣做，所有內(nèi)網(wǎng)共享一個IP上網(wǎng))當(dāng)外網(wǎng)需要訪問內(nèi)網(wǎng)中的一臺服務(wù)器時(shí)，ASA并不知道訪問的是哪 一臺內(nèi)網(wǎng)中的機(jī)器，這時(shí)就需要做靜態(tài)的端口映射。 接口方向的調(diào)用標(biāo)準(zhǔn)訪問控制列表 語法因?yàn)槠錅p少了布線的繁雜性以及移動的方便性，現(xiàn)在校園網(wǎng)也慢慢向無線這一塊轉(zhuǎn)型 。 綜合成本較低一方面WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。針對校園應(yīng)用的安全解決方案，從校園用戶角度而言，隨著無線網(wǎng)絡(luò)應(yīng)用的推進(jìn)，管理員需要更加注重?zé)o線網(wǎng)絡(luò)安全的問題，針對不同的用戶需求，有一系列不同級別的無線安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE ，從MAC地址過濾到IEEE ，可分別滿足辦公室局部用戶、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級別的安全需求。如表中所示的中級安全方案使用支持IEEE ，并通過后臺的Radius服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶接入，并可對用戶權(quán)限進(jìn)行區(qū)分。IEEE 。第一步：首先我們根據(jù)路由器的說明書：進(jìn)入無線路由的web頁面。 The router encryption The router encryption configuration diagram第三步：為了防止因?yàn)閭€人使用P2P下載占用帶寬，我們可以每個端口進(jìn)行帶寬控制。Fig Limit the speed of connection MAC地址過濾配置Fig MAC address filtering configuration第四步：AP隱藏，我們可以對路由的禁用廣播地址，然后再端口上就找不到該路由器的SSID，想接入網(wǎng)就要自己輸入該路由器正確的SSID和密碼才能夠進(jìn)行上網(wǎng)?？蛻舳丝杉用芫W(wǎng)絡(luò)通信量、存儲并安全交換憑據(jù)（如密鑰或密碼）。最后，它可查詢身份驗(yàn)證和授權(quán)服務(wù)，然后做出授權(quán)決定。RADIUS服務(wù)器是AS的主要組件，但目錄和CA也用于實(shí)現(xiàn)此功能。其一是 ISA網(wǎng)絡(luò)訪問策略。客戶端計(jì)算機(jī)的Active Directory 組策略包含所有將部署到基于Windows XP/7的客戶端計(jì)算機(jī)設(shè)置。表73遠(yuǎn)程訪問策略配置文件選。每種遠(yuǎn)程訪問策略的創(chuàng)建和配置設(shè)計(jì)為每種策略建立以下3種設(shè)置。 ISA網(wǎng)絡(luò)訪問策略是網(wǎng)絡(luò)訪問管理解決方案的核心，代表WLAN安全策略的設(shè)置自動部署在沒個基于ISA的Radius服務(wù)器中，該策略主要包括遠(yuǎn)程訪問策略和連接請求策略。 內(nèi)部網(wǎng)絡(luò)該組件是聯(lián)網(wǎng)服務(wù)的安全區(qū)域，無線客戶端應(yīng)用需要獲得對它的訪問權(quán)限。 身份驗(yàn)證服務(wù)（AS）該組件存儲和驗(yàn)證有效用戶的憑據(jù)，并根據(jù)訪問策略做出授權(quán)決定。 無線AP在網(wǎng)絡(luò)術(shù)語中，該組件稱作“網(wǎng)絡(luò)訪問服務(wù)（NAS）”，但無線標(biāo)準(zhǔn)稱它為“AP”，無線AP實(shí)時(shí)訪問控制功能來允許或拒絕網(wǎng)絡(luò)訪問，并提供加密無線通信量的能力。 X identity solutions network access process該WLAN中四大基本組件分別為216。同樣我們可以對每個端口的MAC地址和路由器進(jìn)行綁定。默認(rèn)賬戶和密碼是admin。因?yàn)橹皇菓?yīng)用于日常辦公，所以使用WPA2PSK加密方式和AP隱藏就可以應(yīng)付網(wǎng)絡(luò)安全。表71安全劃分及技術(shù)方法選擇 Safety division and technical methods selection典型場合使用技術(shù)辦公室局部無線網(wǎng)WPA2PSK＋AP隱藏學(xué)校園區(qū)無線網(wǎng)＋Radius認(rèn)證為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容， ，并且致力于從長遠(yuǎn)角度考慮解決IEEE 。通常情況下不會配備專用的認(rèn)證服務(wù)器，這種情況下，可直接采用AP進(jìn)行認(rèn)證，WPA2PSK+AP隱藏可以保證基本的安全級別。 擴(kuò)展能力強(qiáng)WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；無線局域網(wǎng)絡(luò)主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，同時(shí)由于學(xué)生出于技術(shù)的研究興趣，會對網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時(shí)網(wǎng)絡(luò)安全問題在組網(wǎng)時(shí)必須考慮問題，安全方式主要側(cè)重幾個方面：用戶安全、網(wǎng)絡(luò)安全，而在校園網(wǎng)絡(luò)中主要依附于用戶實(shí)體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號、密碼，而對于學(xué)校學(xué)生用戶來，帳號信息都是一個實(shí)名原則，與學(xué)生的學(xué)藉進(jìn)行關(guān)聯(lián)的，這樣本無線網(wǎng)絡(luò)中著重考慮使用無線網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時(shí)也要考慮與無線相關(guān)的有線網(wǎng)絡(luò)的安全問題，對于原有有線網(wǎng)絡(luò)的安全問題，我們已經(jīng)在以上詳細(xì)配置好。 簡易性WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設(shè)管道及布線等繁瑣工作；216。隨著其技術(shù)的快速發(fā)展和不斷成熟，目前在國內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶提供各種業(yè)務(wù)。（ACL）配置配置訪問控制列表的一般步驟216。同時(shí)，又可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自己internet的攻擊。Ciscoasa(config)nat (inside) 1 Ciscoasa(config)global(outside) 1 .*.* netmask 將把來自inside接口1 *.*的地址。攻擊難度大大加強(qiáng)，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng)。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。 防火墻設(shè)計(jì)圖 Firewall designDMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，通常認(rèn)為是非常安全的。在前面的防火墻技術(shù)中，我們已介紹了DMZ(非軍事區(qū))技術(shù)。TCP/IP協(xié)議是許多年前設(shè)計(jì)的，沒有考慮到任何有關(guān)竊取或者入侵的因素。內(nèi)部網(wǎng)絡(luò)則連接各個內(nèi)部服務(wù)器（如數(shù)據(jù)庫）和內(nèi)部用戶。它通過路由器直接面向Internet，應(yīng)該以基本網(wǎng)絡(luò)通信篩選的形式提供初始層的保護(hù)。狀態(tài)監(jiān)測防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時(shí)的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，狀態(tài)監(jiān)測防火墻能夠有效地判斷出各層中的非法侵入。代理防火墻與包過濾防火墻一樣，到目前為止也經(jīng)過了兩個主要的發(fā)展時(shí)期，那就是代理防火墻和自適應(yīng)代理防火墻。包過濾的路由器也具有這樣的功能。根據(jù)防火墻所采用的技術(shù)不同，可以將其分為以下四種基本類型。但在此處，我們僅指在校園網(wǎng)絡(luò)中應(yīng)用最廣的網(wǎng)絡(luò)邊界防火墻。在全局模式下創(chuàng)建VLAN是最常用的方法。Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(configif )interface fa0/20 進(jìn)入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪問列表 這種方式只能和上面的基于端口綁定或基于MAC地址訪問與基于IP的訪問控制列表組合來使用才能達(dá)到IPMAC 綁定功能，具體解決方案如下：Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(config)ip accesslist extended IP10＃定義一個IP地址訪問控制列表并且命名該列表名為IP10Switch(config)permit ip any＃Switch(config)permit ip any ＃Switch(configif )interface fa0/20進(jìn)入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(configif )ip accessgroup IP 10 in＃在該端口上應(yīng)用名為IP10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪問列表Switch(config)no ip accessgroup IP10 in＃清除名為IP10的訪問列表 VLAN網(wǎng)段劃分VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)。選擇“protect”可選項(xiàng)，則保護(hù)端口，當(dāng)安全地址個數(shù)滿后，安全端口將丟棄來源于非安全地址范圍內(nèi)地址的所有數(shù)據(jù)包；選擇“restrict”可選項(xiàng)，當(dāng)違例產(chǎn)生時(shí)候，將發(fā)送一個警告通知管理員，但非安全地址的通信仍在進(jìn)行；選擇“shutdown”可選項(xiàng)，當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口，并發(fā)送一個警告通知管理員，默認(rèn)時(shí)管理端口。示例所采用的是cisco交換機(jī)和cisco路由器。但是只要黑客修改了其中的任何一項(xiàng)，則可能導(dǎo)致找不到真正的目的節(jié)點(diǎn)而導(dǎo)致通信不成功，這就是兩種欺騙：IP地址欺騙和MAC地址欺騙。端到端加密還避免了其他加密系統(tǒng)所固有的同步問題，因?yàn)槊總€報(bào)文包均是獨(dú)立被加密的，所以一個報(bào)文所發(fā)生的傳輸錯誤不會影響后續(xù)的報(bào)文包。端到端機(jī)密是從數(shù)據(jù)通信中的一端到另一端的全程加密方式，而且加密、解密過程只進(jìn)行一次，在中間結(jié)點(diǎn)沒有這兩個過程。這樣就可以保證數(shù)據(jù)的傳輸?shù)陌踩恕Ｈ缓笤龠M(jìn)行傳輸，直到消息到達(dá)目的節(jié)點(diǎn)。而數(shù)據(jù)存儲則像EFS，PGP這樣的靜態(tài)文件加密。數(shù)據(jù)鏈路層還有一個安全風(fēng)險(xiǎn)就是大量的廣播包會導(dǎo)致網(wǎng)絡(luò)鏈路寬帶資源匱乏，從而最終導(dǎo)致網(wǎng)絡(luò)癱瘓。 **大學(xué)管理學(xué)學(xué)士學(xué)位論文 第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案 數(shù)據(jù)鏈路層是OSI/RM的7層結(jié)構(gòu)中非常重要的一層，也是安全保護(hù)比較脆弱的一層，尤其是在校園局域網(wǎng)中，因?yàn)榫钟蚓W(wǎng)中只有OSI/RM的最低兩層——物理層和數(shù)據(jù)鏈路層。 216。 全盤恢復(fù) 全盤恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難導(dǎo)致數(shù)據(jù)全部丟失、系統(tǒng)崩潰或是有計(jì)劃的系統(tǒng)升級、系統(tǒng)重組等，也稱為系統(tǒng)恢復(fù)。因?yàn)樗P(guān)系到系統(tǒng)在經(jīng)歷災(zāi)難后能否迅速恢復(fù)。 滿足系統(tǒng)不斷增加的需求 備份軟件必須能支持多平臺系統(tǒng)，當(dāng)網(wǎng)絡(luò)上連接上其它的應(yīng)用服務(wù)器時(shí)，對于網(wǎng)絡(luò)存儲管理系統(tǒng)來說，只需在其上安裝支持這種服務(wù)器的客戶端軟件即可將數(shù)據(jù)備份到磁帶庫或光盤庫中。在線的資料經(jīng)過一段時(shí)間的搬移后，即可達(dá)到最佳化。 有效的媒體管理備份系統(tǒng)對每一個用于作備份的磁帶自動加入一個電子標(biāo)簽，同時(shí)在軟件中提供了識別標(biāo)簽的功能，如果磁帶外面的標(biāo)簽脫落，只需執(zhí)行這一功能，就會迅速知道該磁帶的內(nèi)容。是否能夠?qū)⑿枰臄?shù)據(jù)從龐大的數(shù)據(jù)庫文件中抽取出來進(jìn)行備份，是網(wǎng)絡(luò)備份系統(tǒng)是否先進(jìn)的標(biāo)志之一。設(shè)定好計(jì)劃后，備份作業(yè)就會按計(jì)劃自動進(jìn)行。每天都要小心翼翼,不敢有半點(diǎn)閃失,生怕一失足成千古恨。這種結(jié)合方式構(gòu)成了對系統(tǒng)的多級防護(hù)，不僅能夠有效地防止物理損壞，還能夠徹底防止邏輯損壞。故障發(fā)生的損失分析及可行性數(shù)據(jù)保護(hù)模式，現(xiàn)有備份方式的不足，幾年前我們主要采用主機(jī)內(nèi)置或外置的磁帶機(jī)對數(shù)據(jù)進(jìn)行冷備份，這種方式在數(shù)據(jù)量不大，操作系統(tǒng)種類單一，服務(wù)器數(shù)量有限的情況下，不失為一種既經(jīng)濟(jì)又簡明的備份手段。以上賬戶策略可以通過“賬戶策略”中的“密碼策略”（）進(jìn)行配置，如果是工作組網(wǎng)絡(luò)，則要針對每臺機(jī)器的本組策略進(jìn)行一一設(shè)置；如果是域網(wǎng)絡(luò)，則只需要對域組策略進(jìn)行一次性配置即可。限定兩個周期密碼可以禁止想通的最短歷史。管理人員離開機(jī)房時(shí)，要關(guān)好機(jī)房門；遠(yuǎn)距離離開機(jī)房時(shí)，要給機(jī)房上鎖。機(jī)房電源設(shè)備、插座、線路功率和容量能滿足設(shè)備正常工作需求和消防要求，并配備足夠的消防措施。這里面的任何一臺設(shè)備出現(xiàn)問題，都可能會導(dǎo)致整個網(wǎng)絡(luò)通信的癱瘓。每臺服務(wù)器、下級交換機(jī)與兩臺核心交換機(jī)采取雙線路冗余連接。交換機(jī)的冗余主要是在核心層進(jìn)行雙交換機(jī)工作，避免因一交換機(jī)出現(xiàn)故障而導(dǎo)致網(wǎng)絡(luò)的癱瘓。RAID特色是N塊硬盤同時(shí)讀取速度加快及提供容錯性（Fault Toler