【正文】 該組策略影響客戶(hù)端與無(wú)線AP、Radius服務(wù)器和其他無(wú)線網(wǎng)絡(luò)的交互。 216。216。我們可以限定上傳和下載的帶寬，控制個(gè)別用戶(hù)占用帶寬?！猈PA2PSK＋AP隱藏基礎(chǔ)安全主要應(yīng)用于小型辦公網(wǎng)絡(luò)，比如教師辦公室，因?yàn)椴季€相對(duì)于無(wú)線來(lái)說(shuō)要復(fù)雜的多，采用無(wú)線相對(duì)要方便。 對(duì)于辦公室局部無(wú)線用戶(hù)而言，無(wú)線覆蓋范圍較小，接入用戶(hù)數(shù)量也比較少，沒(méi)有專(zhuān)業(yè)的管理人員，對(duì)網(wǎng)絡(luò)安全性的要求相對(duì)較低。216。語(yǔ)法：Ciscoasa(config)accesslist listname extended permit tcp/udp any hsot outside_address eq port_numlist_name:訪問(wèn)控制列表名稱(chēng)tcp/udp:需要映射的協(xié)議類(lèi)型port_num:需要映射的端口號(hào)Ciscoasa(config)static (inside,outside) tcp/udp interface port_num local_address port_num netmask Tcp/udp:需要映射的協(xié)議類(lèi)型port_num：映射前的端口號(hào)local_address：映射后的內(nèi)網(wǎng)主機(jī)IP地址port_num：映射后的端口號(hào)例如：Ciscoasa(config)accesslist 100 extended permit tcp any host .*.* eq 80.*.*的tcp 80端口Ciscoasa(config)static (inside,outside) tcp interface 80 80 netmask 80端口Ciscoasa(config)accessgroup 100 in intercae outside peruseroverride訪問(wèn)必須調(diào)用ACL備注如果，只是需要將內(nèi)網(wǎng)一個(gè)服務(wù)器映射到公網(wǎng)可以這樣做ciscoasa(config)static (inside, outside) .*.* ciscoasa(config)static (inside, outside) .*.* 10000 10 后面的10000為限制連接數(shù)，10為限制的半開(kāi)連接數(shù)。Ciscoasa(configif)ip address .*.* Ciscoasa(configif)shutdown/no shutdown Ciscoasa(config)route inside 意思為：，Ciscoasa(config)route outside 創(chuàng)建一條外網(wǎng)默認(rèn)路由，（NAT）配置NAT實(shí)現(xiàn)的方式有三種：動(dòng)態(tài)NAT 、靜態(tài)NAT、PAT動(dòng)態(tài)NAT：指將內(nèi)部網(wǎng)絡(luò)私有IP地址轉(zhuǎn)換為公有IP地址，IP地址不確定，是隨機(jī)的，所有被授權(quán)訪問(wèn)internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定合法IP地址。在這個(gè)防火墻方案中，包括兩個(gè)防火墻，外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊，并管理所有內(nèi)部網(wǎng)絡(luò)對(duì)DMZ的訪問(wèn)。這是因?yàn)閮?nèi)部通信的合法目的地可能是內(nèi)部網(wǎng)絡(luò)中的任何服務(wù)器，因?yàn)楦y控制。將傳入用戶(hù)鏈接到Web服務(wù)器或其他服務(wù)，Web服務(wù)器再通過(guò)內(nèi)部防火墻鏈接到內(nèi)部網(wǎng)絡(luò)。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)服務(wù)時(shí)發(fā)揮了中間的轉(zhuǎn)接作用。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)，其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄，而這些信息的來(lái)源就是IP、TCP、UDP、ICMP等數(shù)據(jù)包協(xié)議頭。Switchen Switchvlan database在vlan database下創(chuàng)建vlan Switch(vlan)vlan 10 name Math創(chuàng)建vlan并命名VLAN 10 added: Name: MathSwitch(vlan)exAPPLY pleted.Exiting....**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第六章 網(wǎng)絡(luò)層安全設(shè)計(jì)方案第六章 網(wǎng)絡(luò)層安全設(shè)計(jì)方案在網(wǎng)絡(luò)層的安全保護(hù)措施中，我們能夠立即聯(lián)想到的就是防火墻的應(yīng)用了。該解決方案與基于端口的MAC地址綁定大體相同，但它是基于MAC地址訪問(wèn)控制列表限制，可以限定特定源MAC地址與目的地址范圍。下面我們介紹三種MAC地址綁定的方案。端到端加密方案總體成本低些，并且與鏈路加密和結(jié)點(diǎn)加密相比更可靠，更容易設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)。由于在每一個(gè)中間結(jié)點(diǎn)消息均被解密后重新加密，因此包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)在傳輸?shù)逆溌飞暇且悦芪牡男问匠霈F(xiàn)的。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中數(shù)據(jù)流進(jìn)行加密，常用的有鏈路加密、結(jié)點(diǎn)加密和端到端加密3種方式。重定向恢復(fù)時(shí)需要慎重考慮，要確保系統(tǒng)或文件恢復(fù)后的可用性。216。從發(fā)現(xiàn)故障到完全恢復(fù)系統(tǒng)，理想的備份方案耗時(shí)不應(yīng)超過(guò)半個(gè)工作日。提供統(tǒng)一的數(shù)據(jù)存儲(chǔ)格式從而保證所有的應(yīng)用數(shù)據(jù)由一個(gè)統(tǒng)一的數(shù)據(jù)格式來(lái)做永久的保存，保證數(shù)據(jù)的永久可利用性。這個(gè)自動(dòng)備份作業(yè)是可自定的,包括一次備份作業(yè)、每周的某幾日、每月的第幾天等項(xiàng)目。首先,要使用硬件備份來(lái)防止硬件故障；如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞，則使用網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式。不得在有其他人在旁邊時(shí)輸入賬戶(hù)信息。非機(jī)房設(shè)備管理人員不得隨意進(jìn)入機(jī)房。中心機(jī)房是校園網(wǎng)絡(luò)的核心和神經(jīng)中樞所在，其中安裝了網(wǎng)絡(luò)中核心層和骨干層，甚至包括匯聚層的網(wǎng)絡(luò)連接設(shè)備和服務(wù)器等。目前主要有三種方法：服務(wù)器集群技術(shù)，雙擊冗余服務(wù)器方案和單機(jī)容錯(cuò)技術(shù)。但仍然保持雙通道的內(nèi)存帶寬。芯片組中設(shè)置有內(nèi)存校驗(yàn)錯(cuò)誤次數(shù)的閾值, 即每單位時(shí)間發(fā)生錯(cuò)誤的次數(shù)。這些冗余的組件時(shí)刻處于待命狀態(tài)，一旦發(fā)生當(dāng)前正在和工作的相應(yīng)部件出現(xiàn)故障，則立即接替故障組件的工作繼續(xù)保持設(shè)備的正常運(yùn)行。而且物理層也的確有許多可以考慮和采用的安全保護(hù)技術(shù)和方案，但是，物理層的安全設(shè)計(jì)卻經(jīng)常被忽略。網(wǎng)絡(luò)層主要設(shè)置邊界防火墻和內(nèi)部防火墻來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。校園內(nèi)部網(wǎng)絡(luò)采用共享或者交換式以太網(wǎng)，選擇中國(guó)科研教育網(wǎng)接入Internet，校際之間通過(guò)國(guó)際互聯(lián)網(wǎng)的方式互相連接。主要體現(xiàn)在兩個(gè)方面：一是惡意的攻擊行為，如拒絕服務(wù)攻擊、網(wǎng)絡(luò)病毒等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器正常工作，甚至導(dǎo)致服務(wù)器所在網(wǎng)絡(luò)的癱瘓；另外一個(gè)就是惡意的入侵行為，如學(xué)校網(wǎng)站的主頁(yè)面進(jìn)行修改，利用學(xué)校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息，或者服務(wù)器重要信息被惡意破壞。由于入侵者無(wú)需將竊聽(tīng)或分析設(shè)備物理地接入被竊聽(tīng)的網(wǎng)絡(luò)，所以，這種無(wú)線網(wǎng)絡(luò)安全威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問(wèn)題之一。一個(gè)健全的安全體系, 實(shí)際上應(yīng)該體現(xiàn)的是“三分技術(shù)、七分管理”, 網(wǎng)絡(luò)的整體安全不是僅僅依賴(lài)使用各種技術(shù)先進(jìn)的安全設(shè)備就可以實(shí)現(xiàn)的, 更重要的是體現(xiàn)在對(duì)人、對(duì)設(shè)備的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加強(qiáng)對(duì)內(nèi)部人員的管理和約束, 無(wú)線局域網(wǎng)的安全威脅無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比只是在傳輸方式上有所不同，所有常規(guī)有線網(wǎng)絡(luò)存在的安全威脅在無(wú)線網(wǎng)絡(luò)中也存在，更重要的是無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)相比還存在一些特有的安全威脅，因?yàn)闊o(wú)線網(wǎng)絡(luò)是采用射頻技術(shù)進(jìn)行網(wǎng)絡(luò)連接及傳輸?shù)拈_(kāi)放式物理系統(tǒng)。 80**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第二章 校園網(wǎng)安全隱患第二章 校園網(wǎng)安全威脅各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件很多都是有缺陷和漏洞的，這些漏洞和缺陷正是黑客進(jìn)行攻擊的首選目標(biāo)；現(xiàn)在網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有UNIX、Windows、Linux 等, 這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同, UNIX因其技術(shù)較復(fù)雜通?？梢员苊庖恍┖?jiǎn)單的攻擊， 而Windows操作系統(tǒng)由于得到了廣泛的普及, 加上其自身安全漏洞較多, 因此, 導(dǎo)致它成為較不安全的操作系統(tǒng)。 技術(shù)與管理相結(jié)合原則安全保護(hù)體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人力、技術(shù)、操作和管理等方面的因素，單靠技術(shù)和單靠管理都不可能實(shí)現(xiàn)。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容及措施。所以，在進(jìn)行網(wǎng)絡(luò)安全策略設(shè)計(jì)時(shí)，一定要結(jié)合實(shí)際安全等級(jí)要求和學(xué)校的經(jīng)濟(jì)能力來(lái)進(jìn)行綜合考慮。安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相融，使其更易執(zhí)行。216。216。對(duì)抗手段可以通過(guò)保密裝置，在無(wú)線傳輸時(shí)連續(xù)發(fā)出偽隨機(jī)序列，混淆非法者想要得到的有用信息。①數(shù)據(jù)安全完整性：發(fā)送實(shí)體對(duì)數(shù)據(jù)單元加標(biāo)記識(shí)別，以作為數(shù)據(jù)本身的信息簽名函數(shù)（如Hash函數(shù)等）。216。 信息泄露或丟失信息泄露或丟失是指敏感數(shù)據(jù)被有意或無(wú)意地泄露或丟失，通常包括：在傳輸中泄露或丟失，例如黑客們利用電磁泄露或搭線竊聽(tīng)等方式截獲機(jī)密信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)分析，進(jìn)而截獲有用的信息。216。 人為的疏忽人為的疏忽包括：失誤、失職、誤操作等。全局預(yù)警就是要建立全局性安全狀況收集系統(tǒng)，對(duì)于新的安全漏洞和攻擊方法能及時(shí)了解，針對(duì)體系內(nèi)局部發(fā)生的安全入侵等事件響應(yīng)。可用性還應(yīng)該滿足以下要求：身份驗(yàn)證、訪問(wèn)控制、業(yè)務(wù)流控制、路由選擇控制、審計(jì)跟蹤。216。這時(shí)“網(wǎng)絡(luò)安全系統(tǒng)”的概念才逐漸在人們的腦海中形成，就像當(dāng)初由“計(jì)算機(jī)網(wǎng)絡(luò)”產(chǎn)生現(xiàn)在的“計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)”一樣。在計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的初級(jí)階段，資源的共享成為了計(jì)算機(jī)網(wǎng)絡(luò)的主要功能。健全的安全體系不僅為校園網(wǎng)今后的維護(hù)減少了不必要的麻煩，而且對(duì)因?yàn)榘踩珕?wèn)題而造成的損失也減少了不必要的開(kāi)支。以前的計(jì)算機(jī)保護(hù)系統(tǒng)安全策略保護(hù)策略早已不能滿足現(xiàn)在的網(wǎng)絡(luò)安全需求。因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)安全已經(jīng)自成系統(tǒng)，不再是網(wǎng)絡(luò)的一個(gè)可有可無(wú)的附屬品，已成為計(jì)算機(jī)網(wǎng)絡(luò)中必不可少的一個(gè)組成部分。網(wǎng)絡(luò)安全的大戰(zhàn)與網(wǎng)絡(luò)技術(shù)的發(fā)展幾乎是同步的。互聯(lián)網(wǎng)誕生后，在計(jì)算機(jī)用戶(hù)能夠從單個(gè)系統(tǒng)交換和訪問(wèn)到大量外部網(wǎng)路上的共享信息的同時(shí)，也為黑客敞開(kāi)了尋的攻擊機(jī)會(huì)和攻擊方式。所以，“網(wǎng)絡(luò)安全系統(tǒng)”是從“網(wǎng)絡(luò)安全”發(fā)展而來(lái)的。 保密性保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)用戶(hù)、實(shí)體或供其利用的特性，即當(dāng)信息服務(wù)被使用，而不被泄露給非授權(quán)個(gè)人或?qū)嶓w。216。216。例如操作員安全配置不當(dāng)導(dǎo)致的安全漏洞，用戶(hù)安全意識(shí)不強(qiáng)，用戶(hù)密碼選擇不慎，用戶(hù)講自己的賬號(hào)隨意轉(zhuǎn)借給他人或其他人共享等，都會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。 網(wǎng)絡(luò)軟件的漏洞網(wǎng)絡(luò)軟件不可能無(wú)缺陷和漏洞，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。216。 數(shù)字簽名機(jī)制數(shù)字簽名是解決信息安全特殊問(wèn)題的一種方法，適用于通信雙方發(fā)生了下列情況的安全驗(yàn)證。接收實(shí)體將預(yù)先給定的驗(yàn)證標(biāo)記進(jìn)行比較，用以辨別接收結(jié)果的數(shù)據(jù)是否真實(shí)。216。 木桶原則大多數(shù)從事網(wǎng)絡(luò)的人員都知道這個(gè)原則，但是并沒(méi)有很好地去理解和執(zhí)行。 整體性原則整體性原則就是要在安全保護(hù)策略中全面包含安全保護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)方案，而不是僅有預(yù)防，或者僅有監(jiān)測(cè)，而沒(méi)有其他保護(hù)措施。這就要求我們?cè)谠O(shè)計(jì)安全策略時(shí)，要全面地評(píng)估校園的實(shí)際安全需求等級(jí)以及學(xué)校的實(shí)際經(jīng)濟(jì)能力，尋找安全風(fēng)險(xiǎn)與實(shí)際需求之間的均衡點(diǎn)。216。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開(kāi)始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也少得多。因此，必須將各種安全技術(shù)與運(yùn)用管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)結(jié)合起來(lái)全盤(pán)考慮?；ヂ?lián)網(wǎng)的廣泛應(yīng)用，網(wǎng)上很多的病毒軟件被共享下載，而在校學(xué)生（特別是理工科的學(xué)生）帶有特定的目的，或者只是興趣和好奇心，去下載安裝 ，這樣就形成了一大批潛在內(nèi)部的攻擊者，對(duì)網(wǎng)絡(luò)進(jìn)行了攻擊。總體來(lái)說(shuō)，無(wú)線網(wǎng)絡(luò)安全威脅主要表現(xiàn)下在以下幾個(gè)方面。假冒攻擊：某個(gè)實(shí)體假裝成另外一個(gè)實(shí)體訪問(wèn)無(wú)線網(wǎng)絡(luò)，即所謂的假冒攻擊。在校園網(wǎng)接入Internet 后, 師生都可以通過(guò)校園網(wǎng)絡(luò)進(jìn)入Internet 。同時(shí)采取相應(yīng)的措施，確保通訊數(shù)據(jù)的安全、保密。最后針對(duì)無(wú)線越來(lái)越主流，我們也進(jìn)行了無(wú)線網(wǎng)的安全設(shè)計(jì)，主要從三種不同的使用狀態(tài)下進(jìn)行對(duì)應(yīng)的安全措施。針對(duì)校園局域網(wǎng)的特殊情況，因?yàn)槠浒踩枨罂隙](méi)有一些特殊行業(yè)（如金融、證券、保險(xiǎn)、軍事等）那般重要，但是要使網(wǎng)絡(luò)能夠穩(wěn)定地?zé)o故障地運(yùn)行，還必須從環(huán)境安全、設(shè)備安全和線路安全三方面進(jìn)行物理層的安全設(shè)計(jì)。 冗余風(fēng)扇 Power redundancy Fan redundancy216。當(dāng)工作內(nèi)存的故障次數(shù)達(dá)到這個(gè)“容錯(cuò)閾值”，系統(tǒng)開(kāi)始進(jìn)行雙重寫(xiě)動(dòng)作，一個(gè)寫(xiě)入主內(nèi)存，一個(gè)寫(xiě)入熱備內(nèi)存，當(dāng)系統(tǒng)檢測(cè)到兩個(gè)內(nèi)存數(shù)據(jù)一致后，熱備內(nèi)存就代替主內(nèi)存工作，故障內(nèi)存被禁用，這樣就完成了熱備內(nèi)存接替故障內(nèi)存工作的任務(wù)，有效避免了系統(tǒng)由于內(nèi)存故障而導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)宕機(jī)。內(nèi)存鏡像有效避免了由于內(nèi)存故障而導(dǎo)致數(shù)據(jù)丟失。交換機(jī)的冗余主要是在核心層進(jìn)行雙交換機(jī)工作，避免因一交換機(jī)出現(xiàn)故障而導(dǎo)致網(wǎng)絡(luò)的癱瘓。這里面的任何一臺(tái)設(shè)備出現(xiàn)問(wèn)題，都可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)通信的癱瘓。管理人員離開(kāi)機(jī)房時(shí)，要關(guān)好機(jī)房門(mén)；遠(yuǎn)距離離開(kāi)機(jī)房時(shí)，要給機(jī)房上鎖。以上賬戶(hù)策略可以通過(guò)“賬戶(hù)策略”中的“密碼策略”（）進(jìn)行配置，如果是工作組網(wǎng)絡(luò)，則要針對(duì)每臺(tái)機(jī)器的本組策略進(jìn)行一一設(shè)置；如果是域網(wǎng)絡(luò)，則只需要對(duì)域組策略進(jìn)行一次性配置即可。這種結(jié)合方式構(gòu)成了對(duì)系統(tǒng)的多級(jí)防護(hù)，不僅能夠有效地防止物理?yè)p壞，還能夠徹底防止邏輯損壞。設(shè)定好計(jì)劃后，備份作業(yè)就會(huì)按計(jì)劃自動(dòng)進(jìn)行。 有效的媒體管理備份系統(tǒng)對(duì)每一個(gè)用于作備份的磁帶自動(dòng)加入一個(gè)電子標(biāo)簽，同時(shí)在軟件中提供了識(shí)別標(biāo)簽的功能，如果磁帶外面的標(biāo)簽脫落，只需執(zhí)行這一功能，就會(huì)迅速知道該磁帶的內(nèi)容。 滿足系統(tǒng)不斷增加的需求 備份軟件必須能支持多平臺(tái)系統(tǒng)，當(dāng)網(wǎng)絡(luò)上連接上其它的應(yīng)用服務(wù)器時(shí)，對(duì)于網(wǎng)絡(luò)存儲(chǔ)管理系統(tǒng)來(lái)說(shuō)，只需在其上安裝支持這種服務(wù)器的客戶(hù)端軟件即可將數(shù)據(jù)備份