【正文】 ，其中就包括內(nèi)部網(wǎng)絡(luò)中用與公眾服務(wù)的外部服務(wù)器，如web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等，都是為互聯(lián)網(wǎng)公眾用戶(hù)提供某種信息服務(wù)的。可以通過(guò)在默認(rèn)情況下將某些數(shù)據(jù)標(biāo)識(shí)為非法的來(lái)完成某些阻擋。例如，ICMP協(xié)議設(shè)計(jì)為T(mén)CP/IP內(nèi)的一個(gè)信號(hào)機(jī)制，但是這很容易導(dǎo)致濫用，并且可能導(dǎo)致諸如拒絕服務(wù)攻擊等問(wèn)題，內(nèi)部防火墻比外圍防火墻具有更嚴(yán)格的要求。DMZ通常是一個(gè)過(guò)濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池，以及所有的公共服務(wù)器，但要注意的是對(duì)外服務(wù)器只能用作用戶(hù)連接，真正的后臺(tái)數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。而局域網(wǎng)內(nèi)部，對(duì)于Internet的訪(fǎng)問(wèn)由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。Ciscoasa(configif)securitylevel 100 (100指權(quán)限，數(shù)字越高權(quán)限越高)一般情況下E0/1的權(quán)限為0，E0/2的權(quán)限是100， E0/3的權(quán)限是50。Ciscoasa(config)nat (inside) 2 將此地址激活NATCiscoasa(config)global 2 .*.* .*.*PAT：指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換。Ciscoasa(config)nat (inside) 3 將此地址激活NATCiscoasa(config)global (outside) 3 interface(這個(gè)是電信只提供了一個(gè)IP時(shí)可以這樣做，所有內(nèi)網(wǎng)共享一個(gè)IP上網(wǎng))當(dāng)外網(wǎng)需要訪(fǎng)問(wèn)內(nèi)網(wǎng)中的一臺(tái)服務(wù)器時(shí)，ASA并不知道訪(fǎng)問(wèn)的是哪 一臺(tái)內(nèi)網(wǎng)中的機(jī)器，這時(shí)就需要做靜態(tài)的端口映射。 接口方向的調(diào)用標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表 語(yǔ)法因?yàn)槠錅p少了布線(xiàn)的繁雜性以及移動(dòng)的方便性，現(xiàn)在校園網(wǎng)也慢慢向無(wú)線(xiàn)這一塊轉(zhuǎn)型 。 綜合成本較低一方面WLAN網(wǎng)絡(luò)減少了布線(xiàn)的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線(xiàn)局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。針對(duì)校園應(yīng)用的安全解決方案，從校園用戶(hù)角度而言，隨著無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用的推進(jìn)，管理員需要更加注重?zé)o線(xiàn)網(wǎng)絡(luò)安全的問(wèn)題，針對(duì)不同的用戶(hù)需求，有一系列不同級(jí)別的無(wú)線(xiàn)安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE ，從MAC地址過(guò)濾到IEEE ，可分別滿(mǎn)足辦公室局部用戶(hù)、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級(jí)別的安全需求。如表中所示的中級(jí)安全方案使用支持IEEE ，并通過(guò)后臺(tái)的Radius服務(wù)器進(jìn)行用戶(hù)身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶(hù)接入，并可對(duì)用戶(hù)權(quán)限進(jìn)行區(qū)分。IEEE 。第一步：首先我們根據(jù)路由器的說(shuō)明書(shū)：進(jìn)入無(wú)線(xiàn)路由的web頁(yè)面。 The router encryption The router encryption configuration diagram第三步：為了防止因?yàn)閭€(gè)人使用P2P下載占用帶寬，我們可以每個(gè)端口進(jìn)行帶寬控制。Fig Limit the speed of connection MAC地址過(guò)濾配置Fig MAC address filtering configuration第四步：AP隱藏，我們可以對(duì)路由的禁用廣播地址，然后再端口上就找不到該路由器的SSID，想接入網(wǎng)就要自己輸入該路由器正確的SSID和密碼才能夠進(jìn)行上網(wǎng)?？蛻?hù)端可加密網(wǎng)絡(luò)通信量、存儲(chǔ)并安全交換憑據(jù)（如密鑰或密碼）。最后，它可查詢(xún)身份驗(yàn)證和授權(quán)服務(wù)，然后做出授權(quán)決定。RADIUS服務(wù)器是AS的主要組件，但目錄和CA也用于實(shí)現(xiàn)此功能。其一是 ISA網(wǎng)絡(luò)訪(fǎng)問(wèn)策略?？蛻?hù)端計(jì)算機(jī)的Active Directory 組策略包含所有將部署到基于Windows XP/7的客戶(hù)端計(jì)算機(jī)設(shè)置。表73遠(yuǎn)程訪(fǎng)問(wèn)策略配置文件選。每種遠(yuǎn)程訪(fǎng)問(wèn)策略的創(chuàng)建和配置設(shè)計(jì)為每種策略建立以下3種設(shè)置。 ISA網(wǎng)絡(luò)訪(fǎng)問(wèn)策略是網(wǎng)絡(luò)訪(fǎng)問(wèn)管理解決方案的核心，代表WLAN安全策略的設(shè)置自動(dòng)部署在沒(méi)個(gè)基于ISA的Radius服務(wù)器中，該策略主要包括遠(yuǎn)程訪(fǎng)問(wèn)策略和連接請(qǐng)求策略。 內(nèi)部網(wǎng)絡(luò)該組件是聯(lián)網(wǎng)服務(wù)的安全區(qū)域，無(wú)線(xiàn)客戶(hù)端應(yīng)用需要獲得對(duì)它的訪(fǎng)問(wèn)權(quán)限。 身份驗(yàn)證服務(wù)（AS）該組件存儲(chǔ)和驗(yàn)證有效用戶(hù)的憑據(jù)，并根據(jù)訪(fǎng)問(wèn)策略做出授權(quán)決定。 無(wú)線(xiàn)AP在網(wǎng)絡(luò)術(shù)語(yǔ)中，該組件稱(chēng)作“網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)（NAS）”，但無(wú)線(xiàn)標(biāo)準(zhǔn)稱(chēng)它為“AP”，無(wú)線(xiàn)AP實(shí)時(shí)訪(fǎng)問(wèn)控制功能來(lái)允許或拒絕網(wǎng)絡(luò)訪(fǎng)問(wèn)，并提供加密無(wú)線(xiàn)通信量的能力。 X identity solutions network access process該WLAN中四大基本組件分別為216。同樣我們可以對(duì)每個(gè)端口的MAC地址和路由器進(jìn)行綁定。默認(rèn)賬戶(hù)和密碼是admin。因?yàn)橹皇菓?yīng)用于日常辦公，所以使用WPA2PSK加密方式和AP隱藏就可以應(yīng)付網(wǎng)絡(luò)安全。表71安全劃分及技術(shù)方法選擇 Safety division and technical methods selection典型場(chǎng)合使用技術(shù)辦公室局部無(wú)線(xiàn)網(wǎng)WPA2PSK＋AP隱藏學(xué)校園區(qū)無(wú)線(xiàn)網(wǎng)＋Radius認(rèn)證為了進(jìn)一步加強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全性和保證不同廠家之間無(wú)線(xiàn)安全技術(shù)的兼容， ，并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE 。通常情況下不會(huì)配備專(zhuān)用的認(rèn)證服務(wù)器，這種情況下，可直接采用AP進(jìn)行認(rèn)證，WPA2PSK+AP隱藏可以保證基本的安全級(jí)別。 擴(kuò)展能力強(qiáng)WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；無(wú)線(xiàn)局域網(wǎng)絡(luò)主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，同時(shí)由于學(xué)生出于技術(shù)的研究興趣，會(huì)對(duì)網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時(shí)網(wǎng)絡(luò)安全問(wèn)題在組網(wǎng)時(shí)必須考慮問(wèn)題，安全方式主要側(cè)重幾個(gè)方面：用戶(hù)安全、網(wǎng)絡(luò)安全，而在校園網(wǎng)絡(luò)中主要依附于用戶(hù)實(shí)體的屬性主要包括用戶(hù)使用的信息終端二層屬性（諸如：MAC地址）及用戶(hù)的帳號(hào)、密碼，而對(duì)于學(xué)校學(xué)生用戶(hù)來(lái)，帳號(hào)信息都是一個(gè)實(shí)名原則，與學(xué)生的學(xué)藉進(jìn)行關(guān)聯(lián)的，這樣本無(wú)線(xiàn)網(wǎng)絡(luò)中著重考慮使用無(wú)線(xiàn)網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時(shí)也要考慮與無(wú)線(xiàn)相關(guān)的有線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題，對(duì)于原有有線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題，我們已經(jīng)在以上詳細(xì)配置好。 簡(jiǎn)易性WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線(xiàn)等繁瑣工作；216。隨著其技術(shù)的快速發(fā)展和不斷成熟，目前在國(guó)內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶(hù)提供各種業(yè)務(wù)。（ACL）配置配置訪(fǎng)問(wèn)控制列表的一般步驟216。同時(shí)，又可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自己internet的攻擊。Ciscoasa(config)nat (inside) 1 Ciscoasa(config)global(outside) 1 .*.* netmask 將把來(lái)自inside接口1 *.*的地址。攻擊難度大大加強(qiáng)，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng)。內(nèi)部防火墻管理DMZ對(duì)于內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)。 防火墻設(shè)計(jì)圖 Firewall designDMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線(xiàn)，通常認(rèn)為是非常安全的。在前面的防火墻技術(shù)中，我們已介紹了DMZ(非軍事區(qū))技術(shù)。TCP/IP協(xié)議是許多年前設(shè)計(jì)的，沒(méi)有考慮到任何有關(guān)竊取或者入侵的因素。內(nèi)部網(wǎng)絡(luò)則連接各個(gè)內(nèi)部服務(wù)器（如數(shù)據(jù)庫(kù)）和內(nèi)部用戶(hù)。它通過(guò)路由器直接面向Internet，應(yīng)該以基本網(wǎng)絡(luò)通信篩選的形式提供初始層的保護(hù)。狀態(tài)監(jiān)測(cè)防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，狀態(tài)監(jiān)測(cè)防火墻能夠有效地判斷出各層中的非法侵入。代理防火墻與包過(guò)濾防火墻一樣，到目前為止也經(jīng)過(guò)了兩個(gè)主要的發(fā)展時(shí)期，那就是代理防火墻和自適應(yīng)代理防火墻。包過(guò)濾的路由器也具有這樣的功能。根據(jù)防火墻所采用的技術(shù)不同，可以將其分為以下四種基本類(lèi)型。但在此處，我們僅指在校園網(wǎng)絡(luò)中應(yīng)用最廣的網(wǎng)絡(luò)邊界防火墻。在全局模式下創(chuàng)建VLAN是最常用的方法。Switch(config)mac accesslist extended MAC10＃定義一個(gè)MAC地址訪(fǎng)問(wèn)控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(configif )interface fa0/20 進(jìn)入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪(fǎng)問(wèn)列表（即前面我們定義的訪(fǎng)問(wèn)策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪(fǎng)問(wèn)列表 這種方式只能和上面的基于端口綁定或基于MAC地址訪(fǎng)問(wèn)與基于IP的訪(fǎng)問(wèn)控制列表組合來(lái)使用才能達(dá)到IPMAC 綁定功能，具體解決方案如下：Switch(config)mac accesslist extended MAC10＃定義一個(gè)MAC地址訪(fǎng)問(wèn)控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(config)ip accesslist extended IP10＃定義一個(gè)IP地址訪(fǎng)問(wèn)控制列表并且命名該列表名為IP10Switch(config)permit ip any＃Switch(config)permit ip any ＃Switch(configif )interface fa0/20進(jìn)入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪(fǎng)問(wèn)列表（即前面我們定義的訪(fǎng)問(wèn)策略）Switch(configif )ip accessgroup IP 10 in＃在該端口上應(yīng)用名為IP10的訪(fǎng)問(wèn)列表（即前面我們定義的訪(fǎng)問(wèn)策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪(fǎng)問(wèn)列表Switch(config)no ip accessgroup IP10 in＃清除名為IP10的訪(fǎng)問(wèn)列表 VLAN網(wǎng)段劃分VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)。選擇“protect”可選項(xiàng)，則保護(hù)端口，當(dāng)安全地址個(gè)數(shù)滿(mǎn)后，安全端口將丟棄來(lái)源于非安全地址范圍內(nèi)地址的所有數(shù)據(jù)包；選擇“restrict”可選項(xiàng)，當(dāng)違例產(chǎn)生時(shí)候，將發(fā)送一個(gè)警告通知管理員，但非安全地址的通信仍在進(jìn)行；選擇“shutdown”可選項(xiàng)，當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口，并發(fā)送一個(gè)警告通知管理員，默認(rèn)時(shí)管理端口。示例所采用的是cisco交換機(jī)和cisco路由器。但是只要黑客修改了其中的任何一項(xiàng)，則可能導(dǎo)致找不到真正的目的節(jié)點(diǎn)而導(dǎo)致通信不成功，這就是兩種欺騙：IP地址欺騙和MAC地址欺騙。端到端加密還避免了其他加密系統(tǒng)所固有的同步問(wèn)題，因?yàn)槊總€(gè)報(bào)文包均是獨(dú)立被加密的，所以一個(gè)報(bào)文所發(fā)生的傳輸錯(cuò)誤不會(huì)影響后續(xù)的報(bào)文包。端到端機(jī)密是從數(shù)據(jù)通信中的一端到另一端的全程加密方式，而且加密、解密過(guò)程只進(jìn)行一次，在中間結(jié)點(diǎn)沒(méi)有這兩個(gè)過(guò)程。這樣就可以保證數(shù)據(jù)的傳輸?shù)陌踩?。然后再進(jìn)行傳輸，直到消息到達(dá)目的節(jié)點(diǎn)。而數(shù)據(jù)存儲(chǔ)則像EFS，PGP這樣的靜態(tài)文件加密。數(shù)據(jù)鏈路層還有一個(gè)安全風(fēng)險(xiǎn)就是大量的廣播包會(huì)導(dǎo)致網(wǎng)絡(luò)鏈路寬帶資源匱乏，從而最終導(dǎo)致網(wǎng)絡(luò)癱瘓。 **大學(xué)管理學(xué)學(xué)士學(xué)位論文 第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案 數(shù)據(jù)鏈路層是OSI/RM的7層結(jié)構(gòu)中非常重要的一層，也是安全保護(hù)比較脆弱的一層，尤其是在校園局域網(wǎng)中，因?yàn)榫钟蚓W(wǎng)中只有OSI/RM的最低兩層——物理層和數(shù)據(jù)鏈路層。 216。 全盤(pán)恢復(fù) 全盤(pán)恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難導(dǎo)致數(shù)據(jù)全部丟失、系統(tǒng)崩潰或是有計(jì)劃的系統(tǒng)升級(jí)、系統(tǒng)重組等，也稱(chēng)為系統(tǒng)恢復(fù)。因?yàn)樗P(guān)系到系統(tǒng)在經(jīng)歷災(zāi)難后能否迅速恢復(fù)。 滿(mǎn)足系統(tǒng)不斷增加的需求 備份軟件必須能支持多平臺(tái)系統(tǒng)，當(dāng)網(wǎng)絡(luò)上連接上其它的應(yīng)用服務(wù)器時(shí)，對(duì)于網(wǎng)絡(luò)存儲(chǔ)管理系統(tǒng)來(lái)說(shuō)，只需在其上安裝支持這種服務(wù)器的客戶(hù)端軟件即可將數(shù)據(jù)備份到磁帶庫(kù)或光盤(pán)庫(kù)中。在線(xiàn)的資料經(jīng)過(guò)一段時(shí)間的搬移后，即可達(dá)到最佳化。 有效的媒體管理備份系統(tǒng)對(duì)每一個(gè)用于作備份的磁帶自動(dòng)加入一個(gè)電子標(biāo)簽，同時(shí)在軟件中提供了識(shí)別標(biāo)簽的功能，如果磁帶外面的標(biāo)簽脫落，只需執(zhí)行這一功能，就會(huì)迅速知道該磁帶的內(nèi)容。是否能夠?qū)⑿枰臄?shù)據(jù)從龐大的數(shù)據(jù)庫(kù)文件中抽取出來(lái)進(jìn)行備份，是網(wǎng)絡(luò)備份系統(tǒng)是否先進(jìn)的標(biāo)志之一。設(shè)定好計(jì)劃后，備份作業(yè)就會(huì)按計(jì)劃自動(dòng)進(jìn)行。每天都要小心翼翼,不敢有半點(diǎn)閃失,生怕一失足成千古恨。這種結(jié)合方式構(gòu)成了對(duì)系統(tǒng)的多級(jí)防護(hù)，不僅能夠有效地防止物理?yè)p壞，還能夠徹底防止邏輯損壞。故障發(fā)生的損失分析及可行性數(shù)據(jù)保護(hù)模式，現(xiàn)有備份方式的不足，幾年前我們主要采用主機(jī)內(nèi)置或外置的磁帶機(jī)對(duì)數(shù)據(jù)進(jìn)行冷備份，這種方式在數(shù)據(jù)量不大，操作系統(tǒng)種類(lèi)單一，服務(wù)器數(shù)量有限的情況下，不失為一種既經(jīng)濟(jì)又簡(jiǎn)明的備份手段。以上賬戶(hù)策略可以通過(guò)“賬戶(hù)策略”中的“密碼策略”（）進(jìn)行配置，如果是工作組網(wǎng)絡(luò)，則要針對(duì)每臺(tái)機(jī)器的本組策略進(jìn)行一一設(shè)置；如果是域網(wǎng)絡(luò)，則只需要對(duì)域組策略進(jìn)行一次性配置即可。限定兩個(gè)周期密碼可以禁止想通的最短歷史。管理人員離開(kāi)機(jī)房時(shí)，要關(guān)好機(jī)房門(mén)；遠(yuǎn)距離離開(kāi)機(jī)房時(shí)，要給機(jī)房上鎖。機(jī)房電源設(shè)備、插座、線(xiàn)路功率和容量能滿(mǎn)足設(shè)備正常工作需求和消防要求，并配備足夠的消防措施。這里面的任何一臺(tái)設(shè)備出現(xiàn)問(wèn)題，都可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)通信的癱瘓。每臺(tái)服務(wù)器、下級(jí)交換機(jī)與兩臺(tái)核心交換機(jī)采取雙線(xiàn)路冗余連接。交換機(jī)的冗余主要是在核心層進(jìn)行雙交換機(jī)工作，避免因一交換機(jī)出現(xiàn)故障而導(dǎo)致網(wǎng)絡(luò)的癱瘓。RAID特色是N塊硬盤(pán)同時(shí)讀取速度加快及提供容錯(cuò)性（Fault Toler