【正文】 ................................................................14 VLAN 技術(shù) ...................................................................................................14 訪問控制列表 ............................................................................................14 4. 防火墻配置 ....................................................................................................................17 防火墻網(wǎng)絡(luò)安全策略 ...........................................................................................17 防火墻的基本配置 ...............................................................................................19 基于內(nèi)網(wǎng)的防火墻功能及配置 ...........................................................................21 東華理工大學(xué)國際學(xué)院畢業(yè)設(shè)計（論文） 目錄 IV IP 與 MAC（用戶）綁定功能 ....................................................................21 MAP（端口映射）功能 ..............................................................................22 NAT（地址轉(zhuǎn)換）功能 ..............................................................................22 基于外網(wǎng)的防火墻功能及配置 ...........................................................................23 DOS 攻擊防范 .............................................................................................23 訪問控制功能 ............................................................................................24 結(jié) 論 ..................................................................................................................................25 致 謝 ..................................................................................................................................27 參考文獻(xiàn) ..............................................................................................................................28 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 緒論 1 緒 論 信息化浪潮風(fēng)起云涌的今天，企業(yè)的業(yè)務(wù)已經(jīng)全面電子化，與 Inter 的聯(lián)系相當(dāng)緊密，所以他們需要良好的信息平臺去支撐業(yè)務(wù)的高速發(fā)展。企業(yè)局域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個新的，更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)分層設(shè)計模型“多層次設(shè)計”?？紤]的日后公司的擴張，所以網(wǎng)絡(luò)系統(tǒng)要有可擴展性。 （ 5）技術(shù)先進(jìn)性和實用性 —— 保證滿足金融交易系統(tǒng)業(yè)務(wù)的同時，又要體現(xiàn) 網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。 （ 5）公司內(nèi)部要網(wǎng)絡(luò)接入 Inter。網(wǎng)絡(luò)拓?fù)涠x了網(wǎng)絡(luò)中資源的連接方式，局域網(wǎng)中常用的拓?fù)浣Y(jié)構(gòu)有：總線型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、星型結(jié)構(gòu)、樹形結(jié)構(gòu)。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，非層次化的網(wǎng)絡(luò)設(shè)計已經(jīng)不適合當(dāng)今企業(yè)的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒有適當(dāng)?shù)囊?guī)劃，網(wǎng)絡(luò)最終會發(fā)展成為非結(jié)構(gòu)的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間相互通信時，設(shè)備上的 CPU 必然會承受相當(dāng)大的負(fù)載，不利于網(wǎng)絡(luò)的運行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，容易引起線路擁堵甚至網(wǎng)絡(luò)的癱瘓。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，起主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。 匯聚層 設(shè)計 在 6個弱電間分別設(shè)置一臺 Cisco WSC3750G12SE以太網(wǎng)交換機作為匯聚層交換機，上聯(lián)核心層交換機，下聯(lián)接入層交換機，對下屬設(shè)備進(jìn)行三層交換處理。 接入層設(shè)計 接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑?？紤]網(wǎng)絡(luò)的擴展性、數(shù)據(jù)資源的保護(hù)等原因，我們選擇 OSPF 路由協(xié)議 。 OSPF 支持各種不同鑒別機制（如簡單口令驗證， MD5 加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不 相同的鑒別機制；提供負(fù)載均衡功能，如果計算出到某個目的站有若干 費用相同的路由， OSPF 路由器會把通信流 量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內(nèi)可劃分出若干個區(qū)域，每個區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計算最短路徑，這減少了 OSPF 路由實現(xiàn)的工作量； OSPF 屬動態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比， OSPF 在對網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量；OSPF 提供點到多點接口，支持 CIDR（無類 域間路由）地址。 表 21 IP地址分 配表 IP 地址配置命令： Switch(config) [interface] Switch (configif)no switchport Switch (configif)ip address [ipadd] [submask] Switch (configif)no shutdown 設(shè)備名稱代碼表： 表 22 設(shè)備廠商、設(shè)備型號對照表 部門 VLAN 網(wǎng)段 網(wǎng)關(guān) 子網(wǎng)掩碼 資產(chǎn)管理部 5 營業(yè)廳 4 財務(wù)部 3 經(jīng)理室 2 人力資源部 6 后勤部 7 服務(wù)器群組 6 序號 廠商 名稱縮寫 設(shè)備型號 名稱縮寫 設(shè)備信息 1 思科 CISCO Quidway 6506 6506 CISCOI6506 2 黑盾 HDFW HDFW2608 Q2608 HDFWQ2608 3 DLINK DLINK DLINK 1216 D1216 DLINK1216 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)整體設(shè)計 9 表 23 設(shè)備端口簡寫名稱對照表 序號 物理端口表示 名稱簡寫 1 POS POS 2 百兆以太口 FE 3 千兆以太口 GE 4 萬兆以太口 10GE 5 E1 CE 6 Loopback L 7 MultiLink M 8 CHANNELGROUP CH 設(shè)備的命名規(guī)則按照設(shè)備的空間地理位置、設(shè)備在網(wǎng)絡(luò)中的邏輯位置、設(shè)備類型和設(shè)備編號的順序來命名。 空間地理位置：即設(shè)備放置的地理位置。 由于 DHCP 服務(wù)器與公司其他 PC 機在不同的 VLAN 中，所以還需要在匯聚層交換機上配置 DHCP 中繼服務(wù)功能才能成功運行 DHCP 服務(wù)。其他新的管理功能包括： 并行移動多個郵箱。當(dāng)然，還需要在 DNS 服務(wù)器中寫入記錄，這樣發(fā)出的郵件才 知道去處。它是以 進(jìn)程 為基礎(chǔ)的結(jié)構(gòu)，進(jìn)程要比 線程 消耗更多的系統(tǒng)開支。這些越權(quán)訪問可能包括惡意攻擊、誤操作 等，據(jù)統(tǒng)計約有 70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的優(yōu)勢，但是無論怎樣， 結(jié)果都將導(dǎo)致重要信息的泄露或者網(wǎng)絡(luò)的癱瘓； （ 3） 設(shè)備的自身安全性也會直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。 內(nèi)網(wǎng)方面安全區(qū)域劃分五個區(qū)域： 外網(wǎng)（黨政信息內(nèi)網(wǎng)）、 DMZ 區(qū)域（服務(wù)器區(qū)域）、 內(nèi)部用戶區(qū)域、行業(yè)其他單位連接、 公網(wǎng)區(qū)域。能夠?qū)κ褂?HTTP、 FTP 傳輸?shù)奈募约皩κ褂?SMTP、 POP3 和 IMAP 協(xié)議傳送的郵件正文、附件進(jìn)行病毒檢查過濾，并可根據(jù)文件擴展名選擇過濾或者不過濾的附件類型等。 將各部門劃屬不同的 VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權(quán)訪問，特別是 資產(chǎn)管理部這樣的數(shù)據(jù)比較敏感的部門，對于那些與他不屬于一個VLAN 的電腦是無法訪問它的。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 標(biāo)準(zhǔn)訪問列表配置命令 ： Router(config)accesslist [accesslistnumber] {permit|deny} source [mask] /*為訪問列表設(shè)置參數(shù) ， IP 標(biāo)準(zhǔn)訪問列表編號 1 到 99， 缺省的通配符掩碼 = */ 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 安全策略 16 Router(configif)ip accessgroup [accesslistnumber] { in | out } /*在端口上應(yīng)用訪問列表 ， 指明是進(jìn)方向還是出方向 */ 擴展訪問列表配置命令 ： Router(config) accesslist [accesslistnumber] { permit | deny } protocol source sourcewildcard [operator port] destination destinationwildcard [ operator port ] [ established ] [log] /*為標(biāo)準(zhǔn)訪問列表設(shè)置參數(shù) ， 可具體到某個端口 ， 某種協(xié)議 */ 根據(jù)公司各部門的性質(zhì)，我們可根據(jù)需要在匯聚層的設(shè)備上配置訪問控制。硬件防火墻一般使用經(jīng)過內(nèi)核編譯后的 Linux，憑借 Linux 本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。 DMZ（ 非軍事區(qū) ） ：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如 Web 服務(wù)器、郵件服務(wù)器、 DNS 服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。 DNAT 主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機； （ 3） 認(rèn)證和應(yīng)用代理：認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。 NETSCREEN 防火墻有四種用戶配置模式，即：普通模式（ Unprivileged mode）、特權(quán)模式（ Privileged Mode）、配置模式（ Configuration Mode）和端口模式（ Interface Mode）。 SNMP： 選擇此選項可啟用 SNMP 管理功能。 指定允許進(jìn)行管理的 ip 地址 ： set interface interface manageip ip_addr unset interface interface manageip 添加只讀權(quán)限管理員 ： set admin user Roger password 2bd21wG7 privilege readonly 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 21 修改帳戶為可讀寫權(quán)限 ： unset admin user Roger set admin user Roger password 2bd21wG7 privilege all 刪除用戶 ： unset admin user Roger 清除所有會話 ， 并注銷帳戶 ： clear admin name Roger 基于內(nèi)網(wǎng)的防火墻功能及配置 IP 與 MAC（用戶）綁定功能 如果在一個局域網(wǎng)內(nèi)部允許 Host A 上網(wǎng)而不允許 Host B 上網(wǎng)，則有一種方式可以欺騙防火墻進(jìn)行上網(wǎng)，就是在 HostA 還沒有開機的時候，將 HostB 的 IP 地址換成Host A 的 IP 地址就可以上網(wǎng)了。 BIND TO 015004BB71A6 BIND TO 015004BB71BC 這樣再改換 IP 地址就不行了，除非將網(wǎng)卡和 IP 地址都換過來才行，所以