【正文】 務(wù)器資源，影響服務(wù)器正常工作，甚至導(dǎo)致服務(wù)器所在網(wǎng)絡(luò)的癱瘓；另外一個(gè)就是惡意的入侵行為，如學(xué)校網(wǎng)站的主頁(yè)面進(jìn)行修改，利用學(xué)校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息，或者服務(wù)器重要信息被惡意破壞。隨著校園內(nèi)計(jì)算機(jī)應(yīng)該的大范圍普及，接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，而大多數(shù)節(jié)點(diǎn)都并沒(méi)有采取有效的安全防護(hù)措施，隨時(shí)都有可能感染病毒。校園內(nèi)部網(wǎng)絡(luò)采用共享或者交換式以太網(wǎng)，選擇中國(guó)科研教育網(wǎng)接入Internet，校際之間通過(guò)國(guó)際互聯(lián)網(wǎng)的方式互相連接。 各層安全保護(hù)方案 layer of security protection scheme從上圖我們可以看出整體設(shè)從七層的角度進(jìn)行設(shè)計(jì)，針對(duì)校園網(wǎng)的特殊情況，省略了一些沒(méi)有必要的安全設(shè)計(jì)，減少成本的前提下同樣對(duì)校園網(wǎng)的安全保護(hù)。網(wǎng)絡(luò)層主要設(shè)置邊界防火墻和內(nèi)部防火墻來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。物理層的安全風(fēng)險(xiǎn)主要是指由于網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備。而且物理層也的確有許多可以考慮和采用的安全保護(hù)技術(shù)和方案，但是，物理層的安全設(shè)計(jì)卻經(jīng)常被忽略。讓網(wǎng)絡(luò)在當(dāng)前運(yùn)行設(shè)備和線路出現(xiàn)故障時(shí)，將自動(dòng)切換到備用的設(shè)備和線路上繼續(xù)正常運(yùn)行。這些冗余的組件時(shí)刻處于待命狀態(tài)，一旦發(fā)生當(dāng)前正在和工作的相應(yīng)部件出現(xiàn)故障，則立即接替故障組件的工作繼續(xù)保持設(shè)備的正常運(yùn)行。216。芯片組中設(shè)置有內(nèi)存校驗(yàn)錯(cuò)誤次數(shù)的閾值, 即每單位時(shí)間發(fā)生錯(cuò)誤的次數(shù)。系統(tǒng)工作時(shí)會(huì)向兩個(gè)內(nèi)存中同時(shí)寫入數(shù)據(jù)，因此使得內(nèi)存數(shù)據(jù)有兩套完整的備份。但仍然保持雙通道的內(nèi)存帶寬。是一種把多塊獨(dú)立的硬盤（物理硬盤）按不同的方式組合起來(lái)形成一個(gè)硬盤組（邏輯硬盤），從而提供比單個(gè)硬盤更高的存儲(chǔ)性能與數(shù)據(jù)備份能力的技術(shù)。目前主要有三種方法：服務(wù)器集群技術(shù)，雙擊冗余服務(wù)器方案和單機(jī)容錯(cuò)技術(shù)。以及下級(jí)交換機(jī)與核心交換機(jī)之間的冗余連接方案。中心機(jī)房是校園網(wǎng)絡(luò)的核心和神經(jīng)中樞所在，其中安裝了網(wǎng)絡(luò)中核心層和骨干層，甚至包括匯聚層的網(wǎng)絡(luò)連接設(shè)備和服務(wù)器等。機(jī)房的管理制度中應(yīng)該包括以下幾方面內(nèi)容（細(xì)節(jié)方面可根據(jù)校園網(wǎng)實(shí)際情況靈活規(guī)定，具體的機(jī)房制度可以自行擴(kuò)展）。非機(jī)房設(shè)備管理人員不得隨意進(jìn)入機(jī)房。限定最低、最高密碼更改的頻率和期限。不得在有其他人在旁邊時(shí)輸入賬戶信息。其實(shí)主要的工作就是數(shù)據(jù)的備份與恢復(fù)。首先,要使用硬件備份來(lái)防止硬件故障；如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞，則使用網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式。 對(duì)于大多數(shù)機(jī)房管理人員來(lái)說(shuō),備份是一項(xiàng)繁重的任務(wù)。這個(gè)自動(dòng)備份作業(yè)是可自定的,包括一次備份作業(yè)、每周的某幾日、每月的第幾天等項(xiàng)目。但發(fā)展至今，數(shù)據(jù)庫(kù)系統(tǒng)已經(jīng)相當(dāng)復(fù)雜和龐大，再用文件的備份方式來(lái)備份數(shù)據(jù)庫(kù)已不適用。提供統(tǒng)一的數(shù)據(jù)存儲(chǔ)格式從而保證所有的應(yīng)用數(shù)據(jù)由一個(gè)統(tǒng)一的數(shù)據(jù)格式來(lái)做永久的保存，保證數(shù)據(jù)的永久可利用性。所謂分級(jí)存儲(chǔ)管理系統(tǒng)是一套自動(dòng)化的網(wǎng)絡(luò)存儲(chǔ)管理設(shè)備，會(huì)自動(dòng)判斷硬盤中資料的使用頻率，自動(dòng)將不常用的資料移至速度較慢的光盤，而最不常用的資料則移到磁帶中，這些都由系統(tǒng)管理員自行設(shè)定。從發(fā)現(xiàn)故障到完全恢復(fù)系統(tǒng)，理想的備份方案耗時(shí)不應(yīng)超過(guò)半個(gè)工作日。災(zāi)難恢復(fù)措施在整個(gè)備份制度中占有相當(dāng)重要的地位。216。只需瀏覽備份數(shù)據(jù)庫(kù)或目錄，找到該文件，觸動(dòng)恢復(fù)功能，軟件將自動(dòng)驅(qū)動(dòng)存儲(chǔ)設(shè)備，加載相應(yīng)的存儲(chǔ)媒體，然后恢復(fù)指定文件。重定向恢復(fù)時(shí)需要慎重考慮，要確保系統(tǒng)或文件恢復(fù)后的可用性。這樣一來(lái)我們就清楚黑客基于數(shù)據(jù)鏈路層的攻擊行為了，一是進(jìn)行MAC地址欺騙（如ARP病毒），再就是對(duì)數(shù)據(jù)編碼、成幀機(jī)制進(jìn)行干擾，致使形成錯(cuò)誤的數(shù)據(jù)幀，也可以導(dǎo)致數(shù)據(jù)在數(shù)據(jù)鏈路上的傳輸錯(cuò)誤，甚至數(shù)據(jù)丟失。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中數(shù)據(jù)流進(jìn)行加密，常用的有鏈路加密、結(jié)點(diǎn)加密和端到端加密3種方式。然后在流出該中間節(jié)點(diǎn)進(jìn)行下一個(gè)鏈路傳輸前，再由加密設(shè)備使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密。由于在每一個(gè)中間結(jié)點(diǎn)消息均被解密后重新加密，因此包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)在傳輸?shù)逆溌飞暇且悦芪牡男问匠霈F(xiàn)的。消息到達(dá)結(jié)點(diǎn)時(shí)，先把收到的消息進(jìn)行解密，然后采用另一個(gè)不同的密鑰進(jìn)行加密，在繼續(xù)進(jìn)行數(shù)據(jù)傳輸，以此類推，因此，總的來(lái)說(shuō)，它比鏈路加密更安全。端到端加密方案總體成本低些，并且與鏈路加密和結(jié)點(diǎn)加密相比更可靠，更容易設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)。這樣就存在一個(gè)IP地址與MAC地址的對(duì)應(yīng)關(guān)系，它們之間的相互解析是通過(guò)ARP(Address Resolution Protocol，地址解析協(xié)議)，或者RARP(Reverse Address Resolution Protocol，反向地址解析協(xié)議)協(xié)議進(jìn)行的。下面我們介紹三種MAC地址綁定的方案。Switch(configif) switchport portsecurity maximum valve（個(gè)數(shù)）：設(shè)置端口可以容納的安全地址的最大個(gè)數(shù)（也可以不配置此步驟）Switch(configif) switchport portsecurity violation {protect/restrict/shutdow}設(shè)置處理違例的方式。該解決方案與基于端口的MAC地址綁定大體相同，但它是基于MAC地址訪問(wèn)控制列表限制，可以限定特定源MAC地址與目的地址范圍。下面我們以Cisco交換機(jī)進(jìn)行示例。Switchen Switchvlan database在vlan database下創(chuàng)建vlan Switch(vlan)vlan 10 name Math創(chuàng)建vlan并命名VLAN 10 added: Name: MathSwitch(vlan)exAPPLY pleted.Exiting....**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第六章 網(wǎng)絡(luò)層安全設(shè)計(jì)方案第六章 網(wǎng)絡(luò)層安全設(shè)計(jì)方案在網(wǎng)絡(luò)層的安全保護(hù)措施中，我們能夠立即聯(lián)想到的就是防火墻的應(yīng)用了。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)，其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄，而這些信息的來(lái)源就是IP、TCP、UDP、ICMP等數(shù)據(jù)包協(xié)議頭。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)服務(wù)時(shí)發(fā)揮了中間的轉(zhuǎn)接作用。 校園網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu) Campus network system structure此網(wǎng)絡(luò)是指防火墻連接邊界路由器、邊界交換機(jī)（一般是指廣域網(wǎng)交換機(jī)，大多數(shù)局域網(wǎng)無(wú)此設(shè)備）的一側(cè)。將傳入用戶鏈接到Web服務(wù)器或其他服務(wù)，Web服務(wù)器再通過(guò)內(nèi)部防火墻鏈接到內(nèi)部網(wǎng)絡(luò)?；蛘?，也可以獎(jiǎng)防火墻配置為阻止某些數(shù)據(jù)包。這是因?yàn)閮?nèi)部通信的合法目的地可能是內(nèi)部網(wǎng)絡(luò)中的任何服務(wù)器，因?yàn)楦y控制。網(wǎng)絡(luò)結(jié)構(gòu)如圖62所示。在這個(gè)防火墻方案中，包括兩個(gè)防火墻，外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊，并管理所有內(nèi)部網(wǎng)絡(luò)對(duì)DMZ的訪問(wèn)。在這樣的結(jié)構(gòu)里，一個(gè)黑客必須通過(guò)三個(gè)獨(dú)立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機(jī))才能夠到達(dá)局域網(wǎng)。Ciscoasa(configif)ip address .*.* Ciscoasa(configif)shutdown/no shutdown Ciscoasa(config)route inside 意思為：，Ciscoasa(config)route outside 創(chuàng)建一條外網(wǎng)默認(rèn)路由，（NAT）配置NAT實(shí)現(xiàn)的方式有三種：動(dòng)態(tài)NAT 、靜態(tài)NAT、PAT動(dòng)態(tài)NAT：指將內(nèi)部網(wǎng)絡(luò)私有IP地址轉(zhuǎn)換為公有IP地址，IP地址不確定，是隨機(jī)的，所有被授權(quán)訪問(wèn)internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定合法IP地址。內(nèi)部所有網(wǎng)絡(luò)均可以共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)internet的訪問(wèn)，從而可以最大限度節(jié)約IP地址資源。語(yǔ)法：Ciscoasa(config)accesslist listname extended permit tcp/udp any hsot outside_address eq port_numlist_name:訪問(wèn)控制列表名稱tcp/udp:需要映射的協(xié)議類型port_num:需要映射的端口號(hào)Ciscoasa(config)static (inside,outside) tcp/udp interface port_num local_address port_num netmask Tcp/udp:需要映射的協(xié)議類型port_num：映射前的端口號(hào)local_address：映射后的內(nèi)網(wǎng)主機(jī)IP地址port_num：映射后的端口號(hào)例如：Ciscoasa(config)accesslist 100 extended permit tcp any host .*.* eq 80.*.*的tcp 80端口Ciscoasa(config)static (inside,outside) tcp interface 80 80 netmask 80端口Ciscoasa(config)accessgroup 100 in intercae outside peruseroverride訪問(wèn)必須調(diào)用ACL備注如果，只是需要將內(nèi)網(wǎng)一個(gè)服務(wù)器映射到公網(wǎng)可以這樣做ciscoasa(config)static (inside, outside) .*.* ciscoasa(config)static (inside, outside) .*.* 10000 10 后面的10000為限制連接數(shù)，10為限制的半開連接數(shù)。ciscoasa(config)accesslist list_name standard deny/permit des_address netmask list_name:標(biāo)準(zhǔn)訪問(wèn)控制列表的名稱（199） deny/permit：阻止或是允許符合此條規(guī)則的流量 des_address ：需要做控制的目的地址 netmask:需要做控制的目的地址的掩碼ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:標(biāo)準(zhǔn)訪問(wèn)控制列表的名稱interface_name:調(diào)用控制列表的接口名擴(kuò)展訪問(wèn)控制列表ciscoasa(config)accesslist listname extended deny/permit tcp/udp sour_address sour_mask des_address des_mask eq port_numlistname:擴(kuò)展訪問(wèn)控制列表名稱deny/permit:拒絕/允許符合此條規(guī)則的流量tcp/udp：此條規(guī)則匹配的協(xié)議sour_address：此條規(guī)則匹配的源地址sour_mask：此條規(guī)則匹配的源地址掩碼des_address：此條規(guī)則匹配目的地址des_mask：此條規(guī)則匹配目的地址掩碼port_num：此條規(guī)則匹配的端口號(hào)ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:調(diào)用接口的入與出口向interface_name：調(diào)用控制列表的接口名例句：ciscoasa(config) accesslist 400 extended deny udp eq 80 ciscoasa(config)accessgroup 400 in interface inside 防火墻工作狀態(tài)調(diào)試Ciscoasa show runningconfig查看當(dāng)前ASA配置Ciscoasa show cpu usage可查看CPU使用率(正常應(yīng)該在80%以下)Ciscoasashow memory內(nèi)存使用：Ciscoasashow conn count Xlate 表大小Ciscoasashow interface interface_name端口狀態(tài)Ciscoasaping ip_address(ip地址) Ping驗(yàn)證防火墻的連接性Ciscoasashow route查看路由表Ciscoasashow accesslist ASA防火墻ACL檢查**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第七章 WLAN安全設(shè)計(jì)方案第七章 WLAN安全設(shè)計(jì)方案無(wú)線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。216。同時(shí)，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過(guò)百兆自適應(yīng)網(wǎng)口和企業(yè)、學(xué)校內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；216。 對(duì)于辦公室局部無(wú)線用戶而言，無(wú)線覆蓋范圍較小，接入用戶數(shù)量也比較少，沒(méi)有專業(yè)的管理人員，對(duì)網(wǎng)絡(luò)安全性的要求相對(duì)較低。具體安全劃分及技術(shù)方案選擇如表71所示?！猈PA2PSK＋AP隱藏基礎(chǔ)安全主要應(yīng)用于小型辦公網(wǎng)絡(luò)，比如教師辦公室，因?yàn)椴季€相對(duì)于無(wú)線來(lái)說(shuō)要復(fù)雜的多，采用無(wú)線相對(duì)要方便。默認(rèn)地址是：，因產(chǎn)品而異。我們可以限定上傳和下載的帶寬，控制個(gè)別用戶占用帶寬。Fig Hidden AP and configuration SSID——＋Radius認(rèn)證WLAN的中級(jí)安全主要應(yīng)用于校園網(wǎng)內(nèi)部，學(xué)生對(duì)無(wú)線進(jìn)行認(rèn)證上網(wǎng)，（如EAPTLS）可以滿足WLAN大部分的安全需求。216。216。 216。其二是客戶端計(jì)算機(jī)的Active組策略。該組策略影響客戶端與無(wú)線AP、Radius服務(wù)器和其他無(wú)線網(wǎng)