【正文】 到磁帶庫或光盤庫中。 全盤恢復 全盤恢復一般應用在服務器發(fā)生意外災難導致數(shù)據(jù)全部丟失、系統(tǒng)崩潰或是有計劃的系統(tǒng)升級、系統(tǒng)重組等，也稱為系統(tǒng)恢復。 **大學管理學學士學位論文 第五章 數(shù)據(jù)鏈路層安全設計方案第五章 數(shù)據(jù)鏈路層安全設計方案 數(shù)據(jù)鏈路層是OSI/RM的7層結構中非常重要的一層，也是安全保護比較脆弱的一層，尤其是在校園局域網(wǎng)中，因為局域網(wǎng)中只有OSI/RM的最低兩層——物理層和數(shù)據(jù)鏈路層。而數(shù)據(jù)存儲則像EFS，PGP這樣的靜態(tài)文件加密。這樣就可以保證數(shù)據(jù)的傳輸?shù)陌踩恕６说蕉思用苓€避免了其他加密系統(tǒng)所固有的同步問題，因為每個報文包均是獨立被加密的，所以一個報文所發(fā)生的傳輸錯誤不會影響后續(xù)的報文包。示例所采用的是cisco交換機和cisco路由器。Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(configif )interface fa0/20 進入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪問列表 這種方式只能和上面的基于端口綁定或基于MAC地址訪問與基于IP的訪問控制列表組合來使用才能達到IPMAC 綁定功能，具體解決方案如下：Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(config)ip accesslist extended IP10＃定義一個IP地址訪問控制列表并且命名該列表名為IP10Switch(config)permit ip any＃Switch(config)permit ip any ＃Switch(configif )interface fa0/20進入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(configif )ip accessgroup IP 10 in＃在該端口上應用名為IP10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪問列表Switch(config)no ip accessgroup IP10 in＃清除名為IP10的訪問列表 VLAN網(wǎng)段劃分VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)。但在此處，我們僅指在校園網(wǎng)絡中應用最廣的網(wǎng)絡邊界防火墻。包過濾的路由器也具有這樣的功能。狀態(tài)監(jiān)測防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎上，狀態(tài)監(jiān)測防火墻能夠有效地判斷出各層中的非法侵入。內部網(wǎng)絡則連接各個內部服務器（如數(shù)據(jù)庫）和內部用戶。在前面的防火墻技術中，我們已介紹了DMZ(非軍事區(qū))技術。內部防火墻管理DMZ對于內部網(wǎng)絡的訪問。Ciscoasa(config)nat (inside) 1 Ciscoasa(config)global(outside) 1 .*.* netmask 將把來自inside接口1 *.*的地址。（ACL）配置配置訪問控制列表的一般步驟216。 簡易性WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設管道及布線等繁瑣工作；216。通常情況下不會配備專用的認證服務器，這種情況下，可直接采用AP進行認證，WPA2PSK+AP隱藏可以保證基本的安全級別。因為只是應用于日常辦公，所以使用WPA2PSK加密方式和AP隱藏就可以應付網(wǎng)絡安全。同樣我們可以對每個端口的MAC地址和路由器進行綁定。 無線AP在網(wǎng)絡術語中，該組件稱作“網(wǎng)絡訪問服務（NAS）”，但無線標準稱它為“AP”，無線AP實時訪問控制功能來允許或拒絕網(wǎng)絡訪問，并提供加密無線通信量的能力。 內部網(wǎng)絡該組件是聯(lián)網(wǎng)服務的安全區(qū)域，無線客戶端應用需要獲得對它的訪問權限。每種遠程訪問策略的創(chuàng)建和配置設計為每種策略建立以下3種設置?？蛻舳擞嬎銠C的Active Directory 組策略包含所有將部署到基于Windows XP/7的客戶端計算機設置。RADIUS服務器是AS的主要組件，但目錄和CA也用于實現(xiàn)此功能?？蛻舳丝杉用芫W(wǎng)絡通信量、存儲并安全交換憑據(jù)（如密鑰或密碼）。 The router encryption The router encryption configuration diagram第三步：為了防止因為個人使用P2P下載占用帶寬，我們可以每個端口進行帶寬控制。IEEE 。針對校園應用的安全解決方案，從校園用戶角度而言，隨著無線網(wǎng)絡應用的推進，管理員需要更加注重無線網(wǎng)絡安全的問題，針對不同的用戶需求，有一系列不同級別的無線安全技術策略，從傳統(tǒng)的WEP加密到IEEE ，從MAC地址過濾到IEEE ，可分別滿足辦公室局部用戶、園區(qū)網(wǎng)絡、辦公網(wǎng)絡等不同級別的安全需求。因為其減少了布線的繁雜性以及移動的方便性，現(xiàn)在校園網(wǎng)也慢慢向無線這一塊轉型 。Ciscoasa(config)nat (inside) 3 將此地址激活NATCiscoasa(config)global (outside) 3 interface(這個是電信只提供了一個IP時可以這樣做，所有內網(wǎng)共享一個IP上網(wǎng))當外網(wǎng)需要訪問內網(wǎng)中的一臺服務器時，ASA并不知道訪問的是哪 一臺內網(wǎng)中的機器，這時就需要做靜態(tài)的端口映射。Ciscoasa(configif)securitylevel 100 (100指權限，數(shù)字越高權限越高)一般情況下E0/1的權限為0，E0/2的權限是100， E0/3的權限是50。在DMZ區(qū)域中通常包括堡壘主機、Modem池，以及所有的公共服務器，但要注意的是對外服務器只能用作用戶連接，真正的后臺數(shù)據(jù)需要放在內部網(wǎng)絡中。例如，ICMP協(xié)議設計為TCP/IP內的一個信號機制，但是這很容易導致濫用，并且可能導致諸如拒絕服務攻擊等問題，內部防火墻比外圍防火墻具有更嚴格的要求。此網(wǎng)絡通常稱為DMZ（非軍事區(qū)）或者邊緣網(wǎng)絡，它是校園內部網(wǎng)絡劃分的一個小區(qū)域，其中就包括內部網(wǎng)絡中用與公眾服務的外部服務器，如web服務器、郵件服務器、FTP服務器、外部DNS服務器等，都是為互聯(lián)網(wǎng)公眾用戶提供某種信息服務的。當代理服務器得到一個客戶的連接意圖時，它們將何時客戶請求，并經(jīng)過特定的安全化的Proxy應用程序處理連接請求，將處理后的請求傳遞到真是的服務器上，然后接受服務器應答，并做進一步處理后，將答復交給發(fā)出請求的最終客戶。它是根據(jù)分組包的源/宿IP地址、端口號及協(xié)議類型、標志等確定是否允許包通過。SwitchenableSwitchconfigure terminalEnter configuration mands, one per line. End with CNTL/Z.Switch(config)vlan 10在全局配置模式下創(chuàng)建Switch(configvlan)name MathSwitch(configvlan)exSwitch(config) database下面配置vlan在此模式下創(chuàng)建VLAN看起來比較直觀，但這種方法比較陳舊，一般不常用這樣方法，體方法如下所述。Switchwr 保存配置。因為ARP主要欺騙的是網(wǎng)關服務器，所以只需要在交換機、路由器或防火墻內進行IP地址與MAC地址綁定。但端到端加密是在應用層完成的。在到達目的結點之前，一條消息可能要經(jīng)過許多條通信鏈路的傳輸，中間還要經(jīng)過許多中間結點這樣也就需要加、解密多次。數(shù)據(jù)加密技術主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密兩種。重定向恢復可以是整個系統(tǒng)恢復也可以是個別文件恢復。第一類是全盤恢復，第二類是個別文件恢復，還有一種值得一提的是重定向恢復。所以優(yōu)秀的網(wǎng)絡備份方案應能夠備份系統(tǒng)的關鍵數(shù)據(jù)，在網(wǎng)絡出現(xiàn)故障甚至損壞時，能夠迅速地恢復網(wǎng)絡系統(tǒng)。歸檔管理 用戶可以按項目、時間定期對所有數(shù)據(jù)進行有效的歸檔處理。備份系統(tǒng)能根據(jù)用戶的實際需求，定義需要備份的數(shù)據(jù)，然后以圖形界面方式根據(jù)需要設置備份時間表，備份系統(tǒng)將自動啟動備份作業(yè)，無需人工干預。 理想的備份系統(tǒng)應該是全方位、多層次的。 限定用戶登入時允許嘗試的最多次數(shù)。防止鼠、蟲等進入機房，并且保證沒有雨淋危險。 線路冗余 Line redundancy在物理層方的安全保護方面，網(wǎng)絡中心機房和用戶賬戶的安全管理也是一個重要的方面。服務器冗余就是指服務器的容錯，即“容錯服務器”。如果任意內存達到了“容錯閾值”，其所在通道就被標示出來，另一個通道單獨工作。每個內存通道中有一個DIMM不被使用，預留為熱備內存。 電源與風扇的冗余在服務器、交換機、路由器和防火墻的這些關鍵的網(wǎng)絡設備中，一般比較高檔的設備都有電源和風扇的冗余，因為這兩個組件比較容易發(fā)生故障。設備老化、意外故障、搭線竊聽、電磁泄漏、賬戶被竊等都是物理層的安全隱患。數(shù)據(jù)鏈路層主要從MAC地址的綁定，數(shù)據(jù)的加密以及VLAN的劃分分別來配置局域網(wǎng)安全。要充分發(fā)揮投資網(wǎng)絡的效益，需求設計成為網(wǎng)絡規(guī)劃建設中的重要內容，網(wǎng)絡平臺中主要有針對學校建筑群而設計出的拓撲圖，有互聯(lián)網(wǎng)設備（主交換機、路由器、二級交換機、服務器等）。惡意的網(wǎng)絡攻擊是指利用黑客技術對校園網(wǎng)絡系統(tǒng)或應用服務器進行破壞。網(wǎng)絡竊聽：一般說來，大多數(shù)網(wǎng)絡通信都是以明文(非加密)格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監(jiān)視并破解(讀取)通信。配置漏洞主要是指服務器、防火墻、路由器、交換機配置時考慮不全面而造成一些漏洞（例如密碼太簡單、ACL規(guī)則不完善等），導致一些略懂或精通網(wǎng)絡設備管理技術的人員可以通過網(wǎng)絡容易取得硬件設備的控制權，然后對其進行適當?shù)男薷模麄€網(wǎng)絡都在其的控制之下，嚴重時甚至會導致整個校園網(wǎng)絡癱瘓。如可以采取更先進的檢測和防御措施，增加安全冗余設備，提高安全系統(tǒng)的可用性。216。安全保護系統(tǒng)式一個龐大的系統(tǒng)工程，其安全體系的設計必須遵循一系列的標準，只有這樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。雖然說高檔的硬件防火墻產(chǎn)品可以實現(xiàn)更好的安全保護，但它的價格往往是很多高校難以承受的。 均衡性原則對于任何網(wǎng)絡而言，絕對的安全是不可能的達到的，所以要建立合理的得使用安全性與用戶需求評價、平衡體系。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析、評估和檢測（包括模擬攻擊），是設計信息安全系統(tǒng)的必要前提條件。根據(jù)防范安全攻擊需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照SSECMM（系統(tǒng)安全工程能力成熟度模型）和ISO17799（信息安全管理標準）等國際標準，綜合考慮實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡安全系統(tǒng)設計過程中應遵循的十大原則。 通信業(yè)務填充機制該機制的目的是對抗非法攻擊者在傳輸信道上監(jiān)聽信息以及非法進行流量和流向分析。 數(shù)據(jù)完整性機制數(shù)據(jù)完整性主要解決數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序列的完整性。加密形式可適用于OSI參考模型的不同層（會話層除外），加密機制還包括密鑰管理機制。216。這兩種攻擊均對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。具體情況有以下幾種：216?？煽匦宰钪匾捏w現(xiàn)是全局監(jiān)控、預警能力和應急響應處理能力。網(wǎng)絡信息系統(tǒng)的可用性一般用系統(tǒng)正常使用時間和整個工作時間之比來度量?？煽啃允窍到y(tǒng)安全的基本要求之一，是所有網(wǎng)絡信息系統(tǒng)的基本目標。因此也催生了以后的多代防火墻技術，同時也誕生了許多其他網(wǎng)絡安全技術和設備，如入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）和網(wǎng)絡隔離設備等。試試的系統(tǒng)主要通過回撥技術來保證的。本文的主要就是針對總體建設中涉及的安全問題進行分析與規(guī)劃設計，最后并對大部分解決方案進行模擬實現(xiàn)?，F(xiàn)在的網(wǎng)絡安全問題不再僅是幾個計算機病毒那么簡單。為此，本文主要是針對校園網(wǎng)絡安全當前的網(wǎng)絡安全現(xiàn)狀提出多種解決方案，創(chuàng)建一個穩(wěn)健運行的校園安全網(wǎng)絡。最早的網(wǎng)絡是由連接啞鈴終端到中央服務器的串行點到點線路構成的。因此隨后出現(xiàn)了第一代防火墻技術，用它來從入口上確保外部網(wǎng)絡用戶對內部網(wǎng)絡訪問的安全（因為防火墻的保護原理就是“防外不防內”）。從本質上講，計算機網(wǎng)絡安全就是網(wǎng)絡的信息安全。保密性是在可靠性和可用性基礎之上，保障網(wǎng)絡信息安全的重要手段。 完整性完整性是確保信息在傳輸過程中不被刪除、修改、偽造、亂序、重放、插入等破壞和丟失。 不可抵賴性不可抵賴性也稱不可否認性，是指通信雙方在信息交互過程中，確保參與者本身以及參與者提供的信息的真實同一性，即所有參與者都不能否認或抵賴本人的真實身份，以及提供信息的原樣性和完整的操作與承諾。216。曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡內部的時間，大多是由于安全措施不完善導致的。 破壞數(shù)據(jù)完整性破壞數(shù)據(jù)完整性是指以非法手段得到對數(shù)據(jù)信息的使用權，刪除、修改、插入或重發(fā)某些重要信息，惡意添加、修改數(shù)