【正文】 到磁帶庫或光盤庫中。 全盤恢復(fù) 全盤恢復(fù)一般應(yīng)用在服務(wù)器發(fā)生意外災(zāi)難導(dǎo)致數(shù)據(jù)全部丟失、系統(tǒng)崩潰或是有計(jì)劃的系統(tǒng)升級、系統(tǒng)重組等，也稱為系統(tǒng)恢復(fù)。 **大學(xué)管理學(xué)學(xué)士學(xué)位論文 第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案 數(shù)據(jù)鏈路層是OSI/RM的7層結(jié)構(gòu)中非常重要的一層，也是安全保護(hù)比較脆弱的一層，尤其是在校園局域網(wǎng)中，因?yàn)榫钟蚓W(wǎng)中只有OSI/RM的最低兩層——物理層和數(shù)據(jù)鏈路層。而數(shù)據(jù)存儲則像EFS，PGP這樣的靜態(tài)文件加密。這樣就可以保證數(shù)據(jù)的傳輸?shù)陌踩?。端到端加密還避免了其他加密系統(tǒng)所固有的同步問題，因?yàn)槊總€報文包均是獨(dú)立被加密的，所以一個報文所發(fā)生的傳輸錯誤不會影響后續(xù)的報文包。示例所采用的是cisco交換機(jī)和cisco路由器。Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(configif )interface fa0/20 進(jìn)入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪問列表 這種方式只能和上面的基于端口綁定或基于MAC地址訪問與基于IP的訪問控制列表組合來使用才能達(dá)到IPMAC 綁定功能，具體解決方案如下：Switch(config)mac accesslist extended MAC10＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(config)ip accesslist extended IP10＃定義一個IP地址訪問控制列表并且命名該列表名為IP10Switch(config)permit ip any＃Switch(config)permit ip any ＃Switch(configif )interface fa0/20進(jìn)入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面我們定義的訪問策略）Switch(configif )ip accessgroup IP 10 in＃在該端口上應(yīng)用名為IP10的訪問列表（即前面我們定義的訪問策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪問列表Switch(config)no ip accessgroup IP10 in＃清除名為IP10的訪問列表 VLAN網(wǎng)段劃分VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)。但在此處，我們僅指在校園網(wǎng)絡(luò)中應(yīng)用最廣的網(wǎng)絡(luò)邊界防火墻。包過濾的路由器也具有這樣的功能。狀態(tài)監(jiān)測防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，狀態(tài)監(jiān)測防火墻能夠有效地判斷出各層中的非法侵入。內(nèi)部網(wǎng)絡(luò)則連接各個內(nèi)部服務(wù)器（如數(shù)據(jù)庫）和內(nèi)部用戶。在前面的防火墻技術(shù)中，我們已介紹了DMZ(非軍事區(qū))技術(shù)。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。Ciscoasa(config)nat (inside) 1 Ciscoasa(config)global(outside) 1 .*.* netmask 將把來自inside接口1 *.*的地址。（ACL）配置配置訪問控制列表的一般步驟216。 簡易性WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡單，可極大的減少敷設(shè)管道及布線等繁瑣工作；216。通常情況下不會配備專用的認(rèn)證服務(wù)器，這種情況下，可直接采用AP進(jìn)行認(rèn)證，WPA2PSK+AP隱藏可以保證基本的安全級別。因?yàn)橹皇菓?yīng)用于日常辦公，所以使用WPA2PSK加密方式和AP隱藏就可以應(yīng)付網(wǎng)絡(luò)安全。同樣我們可以對每個端口的MAC地址和路由器進(jìn)行綁定。 無線AP在網(wǎng)絡(luò)術(shù)語中，該組件稱作“網(wǎng)絡(luò)訪問服務(wù)（NAS）”，但無線標(biāo)準(zhǔn)稱它為“AP”，無線AP實(shí)時訪問控制功能來允許或拒絕網(wǎng)絡(luò)訪問，并提供加密無線通信量的能力。 內(nèi)部網(wǎng)絡(luò)該組件是聯(lián)網(wǎng)服務(wù)的安全區(qū)域，無線客戶端應(yīng)用需要獲得對它的訪問權(quán)限。每種遠(yuǎn)程訪問策略的創(chuàng)建和配置設(shè)計(jì)為每種策略建立以下3種設(shè)置?？蛻舳擞?jì)算機(jī)的Active Directory 組策略包含所有將部署到基于Windows XP/7的客戶端計(jì)算機(jī)設(shè)置。RADIUS服務(wù)器是AS的主要組件，但目錄和CA也用于實(shí)現(xiàn)此功能?？蛻舳丝杉用芫W(wǎng)絡(luò)通信量、存儲并安全交換憑據(jù)（如密鑰或密碼）。 The router encryption The router encryption configuration diagram第三步：為了防止因?yàn)閭€人使用P2P下載占用帶寬，我們可以每個端口進(jìn)行帶寬控制。IEEE 。針對校園應(yīng)用的安全解決方案，從校園用戶角度而言，隨著無線網(wǎng)絡(luò)應(yīng)用的推進(jìn)，管理員需要更加注重?zé)o線網(wǎng)絡(luò)安全的問題，針對不同的用戶需求，有一系列不同級別的無線安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE ，從MAC地址過濾到IEEE ，可分別滿足辦公室局部用戶、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級別的安全需求。因?yàn)槠錅p少了布線的繁雜性以及移動的方便性，現(xiàn)在校園網(wǎng)也慢慢向無線這一塊轉(zhuǎn)型 。Ciscoasa(config)nat (inside) 3 將此地址激活NATCiscoasa(config)global (outside) 3 interface(這個是電信只提供了一個IP時可以這樣做，所有內(nèi)網(wǎng)共享一個IP上網(wǎng))當(dāng)外網(wǎng)需要訪問內(nèi)網(wǎng)中的一臺服務(wù)器時，ASA并不知道訪問的是哪 一臺內(nèi)網(wǎng)中的機(jī)器，這時就需要做靜態(tài)的端口映射。Ciscoasa(configif)securitylevel 100 (100指權(quán)限，數(shù)字越高權(quán)限越高)一般情況下E0/1的權(quán)限為0，E0/2的權(quán)限是100， E0/3的權(quán)限是50。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池，以及所有的公共服務(wù)器，但要注意的是對外服務(wù)器只能用作用戶連接，真正的后臺數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。例如，ICMP協(xié)議設(shè)計(jì)為TCP/IP內(nèi)的一個信號機(jī)制，但是這很容易導(dǎo)致濫用，并且可能導(dǎo)致諸如拒絕服務(wù)攻擊等問題，內(nèi)部防火墻比外圍防火墻具有更嚴(yán)格的要求。此網(wǎng)絡(luò)通常稱為DMZ（非軍事區(qū)）或者邊緣網(wǎng)絡(luò)，它是校園內(nèi)部網(wǎng)絡(luò)劃分的一個小區(qū)域，其中就包括內(nèi)部網(wǎng)絡(luò)中用與公眾服務(wù)的外部服務(wù)器，如web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等，都是為互聯(lián)網(wǎng)公眾用戶提供某種信息服務(wù)的。當(dāng)代理服務(wù)器得到一個客戶的連接意圖時，它們將何時客戶請求，并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請求，將處理后的請求傳遞到真是的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請求的最終客戶。它是根據(jù)分組包的源/宿IP地址、端口號及協(xié)議類型、標(biāo)志等確定是否允許包通過。SwitchenableSwitchconfigure terminalEnter configuration mands, one per line. End with CNTL/Z.Switch(config)vlan 10在全局配置模式下創(chuàng)建Switch(configvlan)name MathSwitch(configvlan)exSwitch(config) database下面配置vlan在此模式下創(chuàng)建VLAN看起來比較直觀，但這種方法比較陳舊，一般不常用這樣方法，體方法如下所述。Switchwr 保存配置。因?yàn)锳RP主要欺騙的是網(wǎng)關(guān)服務(wù)器，所以只需要在交換機(jī)、路由器或防火墻內(nèi)進(jìn)行IP地址與MAC地址綁定。但端到端加密是在應(yīng)用層完成的。在到達(dá)目的結(jié)點(diǎn)之前，一條消息可能要經(jīng)過許多條通信鏈路的傳輸，中間還要經(jīng)過許多中間結(jié)點(diǎn)這樣也就需要加、解密多次。數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密兩種。重定向恢復(fù)可以是整個系統(tǒng)恢復(fù)也可以是個別文件恢復(fù)。第一類是全盤恢復(fù)，第二類是個別文件恢復(fù)，還有一種值得一提的是重定向恢復(fù)。所以優(yōu)秀的網(wǎng)絡(luò)備份方案應(yīng)能夠備份系統(tǒng)的關(guān)鍵數(shù)據(jù)，在網(wǎng)絡(luò)出現(xiàn)故障甚至損壞時，能夠迅速地恢復(fù)網(wǎng)絡(luò)系統(tǒng)。歸檔管理 用戶可以按項(xiàng)目、時間定期對所有數(shù)據(jù)進(jìn)行有效的歸檔處理。備份系統(tǒng)能根據(jù)用戶的實(shí)際需求，定義需要備份的數(shù)據(jù)，然后以圖形界面方式根據(jù)需要設(shè)置備份時間表，備份系統(tǒng)將自動啟動備份作業(yè)，無需人工干預(yù)。 理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。 限定用戶登入時允許嘗試的最多次數(shù)。防止鼠、蟲等進(jìn)入機(jī)房，并且保證沒有雨淋危險。 線路冗余 Line redundancy在物理層方的安全保護(hù)方面，網(wǎng)絡(luò)中心機(jī)房和用戶賬戶的安全管理也是一個重要的方面。服務(wù)器冗余就是指服務(wù)器的容錯，即“容錯服務(wù)器”。如果任意內(nèi)存達(dá)到了“容錯閾值”，其所在通道就被標(biāo)示出來，另一個通道單獨(dú)工作。每個內(nèi)存通道中有一個DIMM不被使用，預(yù)留為熱備內(nèi)存。 電源與風(fēng)扇的冗余在服務(wù)器、交換機(jī)、路由器和防火墻的這些關(guān)鍵的網(wǎng)絡(luò)設(shè)備中，一般比較高檔的設(shè)備都有電源和風(fēng)扇的冗余，因?yàn)檫@兩個組件比較容易發(fā)生故障。設(shè)備老化、意外故障、搭線竊聽、電磁泄漏、賬戶被竊等都是物理層的安全隱患。數(shù)據(jù)鏈路層主要從MAC地址的綁定，數(shù)據(jù)的加密以及VLAN的劃分分別來配置局域網(wǎng)安全。要充分發(fā)揮投資網(wǎng)絡(luò)的效益，需求設(shè)計(jì)成為網(wǎng)絡(luò)規(guī)劃建設(shè)中的重要內(nèi)容，網(wǎng)絡(luò)平臺中主要有針對學(xué)校建筑群而設(shè)計(jì)出的拓?fù)鋱D，有互聯(lián)網(wǎng)設(shè)備（主交換機(jī)、路由器、二級交換機(jī)、服務(wù)器等）。惡意的網(wǎng)絡(luò)攻擊是指利用黑客技術(shù)對校園網(wǎng)絡(luò)系統(tǒng)或應(yīng)用服務(wù)器進(jìn)行破壞。網(wǎng)絡(luò)竊聽：一般說來，大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解(讀取)通信。配置漏洞主要是指服務(wù)器、防火墻、路由器、交換機(jī)配置時考慮不全面而造成一些漏洞（例如密碼太簡單、ACL規(guī)則不完善等），導(dǎo)致一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)的人員可以通過網(wǎng)絡(luò)容易取得硬件設(shè)備的控制權(quán)，然后對其進(jìn)行適當(dāng)?shù)男薷?，整個網(wǎng)絡(luò)都在其的控制之下，嚴(yán)重時甚至?xí)?dǎo)致整個校園網(wǎng)絡(luò)癱瘓。如可以采取更先進(jìn)的檢測和防御措施，增加安全冗余設(shè)備，提高安全系統(tǒng)的可用性。216。安全保護(hù)系統(tǒng)式一個龐大的系統(tǒng)工程，其安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，只有這樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。雖然說高檔的硬件防火墻產(chǎn)品可以實(shí)現(xiàn)更好的安全保護(hù)，但它的價格往往是很多高校難以承受的。 均衡性原則對于任何網(wǎng)絡(luò)而言，絕對的安全是不可能的達(dá)到的，所以要建立合理的得使用安全性與用戶需求評價、平衡體系。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析、評估和檢測（包括模擬攻擊），是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。根據(jù)防范安全攻擊需求、需要達(dá)到的安全目標(biāo)、對應(yīng)安全機(jī)制所需的安全服務(wù)等因素，參照SSECMM（系統(tǒng)安全工程能力成熟度模型）和ISO17799（信息安全管理標(biāo)準(zhǔn)）等國際標(biāo)準(zhǔn)，綜合考慮實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)過程中應(yīng)遵循的十大原則。 通信業(yè)務(wù)填充機(jī)制該機(jī)制的目的是對抗非法攻擊者在傳輸信道上監(jiān)聽信息以及非法進(jìn)行流量和流向分析。 數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性主要解決數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序列的完整性。加密形式可適用于OSI參考模型的不同層（會話層除外），加密機(jī)制還包括密鑰管理機(jī)制。216。這兩種攻擊均對計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。具體情況有以下幾種：216。可控性最重要的體現(xiàn)是全局監(jiān)控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。網(wǎng)絡(luò)信息系統(tǒng)的可用性一般用系統(tǒng)正常使用時間和整個工作時間之比來度量?？煽啃允窍到y(tǒng)安全的基本要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的基本目標(biāo)。因此也催生了以后的多代防火墻技術(shù)，同時也誕生了許多其他網(wǎng)絡(luò)安全技術(shù)和設(shè)備，如入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）和網(wǎng)絡(luò)隔離設(shè)備等。試試的系統(tǒng)主要通過回?fù)芗夹g(shù)來保證的。本文的主要就是針對總體建設(shè)中涉及的安全問題進(jìn)行分析與規(guī)劃設(shè)計(jì)，最后并對大部分解決方案進(jìn)行模擬實(shí)現(xiàn)。現(xiàn)在的網(wǎng)絡(luò)安全問題不再僅是幾個計(jì)算機(jī)病毒那么簡單。為此，本文主要是針對校園網(wǎng)絡(luò)安全當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀提出多種解決方案，創(chuàng)建一個穩(wěn)健運(yùn)行的校園安全網(wǎng)絡(luò)。最早的網(wǎng)絡(luò)是由連接啞鈴終端到中央服務(wù)器的串行點(diǎn)到點(diǎn)線路構(gòu)成的。因此隨后出現(xiàn)了第一代防火墻技術(shù)，用它來從入口上確保外部網(wǎng)絡(luò)用戶對內(nèi)部網(wǎng)絡(luò)訪問的安全（因?yàn)榉阑饓Φ谋Ｗo(hù)原理就是“防外不防內(nèi)”）。從本質(zhì)上講，計(jì)算機(jī)網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)的信息安全。保密性是在可靠性和可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段。 完整性完整性是確保信息在傳輸過程中不被刪除、修改、偽造、亂序、重放、插入等破壞和丟失。 不可抵賴性不可抵賴性也稱不可否認(rèn)性，是指通信雙方在信息交互過程中，確保參與者本身以及參與者提供的信息的真實(shí)同一性，即所有參與者都不能否認(rèn)或抵賴本人的真實(shí)身份，以及提供信息的原樣性和完整的操作與承諾。216。曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的時間，大多是由于安全措施不完善導(dǎo)致的。 破壞數(shù)據(jù)完整性破壞數(shù)據(jù)完整性是指以非法手段得到對數(shù)據(jù)信息的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，惡意添加、修改數(shù)