【正文】 將 IP地址與 MAC 地址進行綁定，可以防止內(nèi)部的 IP 盜用。 比如內(nèi)部設有 WEB 服務器（ ）和有一個遠程訪問客戶（ ），通過遠程訪問 WEB 服務器域名地址就可以訪問到這個網(wǎng)頁，但這樣是直接對 WEB服務器進行訪問和操作很不安全。如果有防火墻，可以把將 WEB 服務器的地址映射到防火墻的外端口地址，做完映射以后，這些服務器可以使用私有地址，或者這些地址不公開保護起來，對外公開的 WEB 服務器的地址是防火墻的外端口地址。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響， DHCP 服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。處理請求期間禁止用戶訪問。必須具有與 SSH 協(xié)議版本 兼容的 SSH 客戶端。 防火墻的基本配置 公司采用的是防火墻，它的初始配置也是通過控制端口（ Console）與 PC 機的串口連接，再通過超級終端（ HyperTerminal）程序進行選項配置。 SNAT 用于對內(nèi)部網(wǎng)絡地址進行轉(zhuǎn)換，對外部網(wǎng)絡隱藏起內(nèi)部網(wǎng)絡的結(jié)構(gòu)，避免受到來自外部其 他網(wǎng)絡的非授權(quán)訪問或惡意攻擊。 在這種應用環(huán)境中，在網(wǎng)絡拓撲結(jié)構(gòu)上可以有兩種選擇，這主要是根 據(jù) 擁有網(wǎng)絡設備情況而定。 外部網(wǎng)絡：這是防火墻要防護的對象，包括外部網(wǎng)主機和設備。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減 少了CPU 的負擔，使路由更穩(wěn)定。標準訪問列表的編號是從 1— 99，它只使用數(shù)據(jù)包的源 IP 地址作為條件測試，只有允許或拒絕兩個操作，通常是對一個協(xié)議 產(chǎn)生作用，不區(qū)分 IP 流量類型。 Trunk 端口一般為交換機和交換機之間的級聯(lián)端口，用于傳遞所有 vlan信息 。 VLAN 要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。上網(wǎng)行為管理只對用戶區(qū)域的數(shù)據(jù)進行監(jiān)控和管理 。 （ 3） 信息安全 ： 包括信息傳輸?shù)陌踩?、信息存儲的安全以及對用戶的授?quán)和鑒別。并且公司內(nèi)部網(wǎng)絡，由于各部門職能不同，某些部門網(wǎng)絡可能也要求很高的安全性。 Apache 是世界上用 的最多的 Web 服務器，市場占有率達 60%左右 ， 它源于NCSAd 服務器。 圖 23 建立域控服務器 將公司內(nèi)的所有 PC 機加入該域。新工具和 改進的工具可幫助 網(wǎng)絡管理員更有效地完成工作。 DHCP（ Dynamic Host Configuration Protocol），即動態(tài)主機設置協(xié)議，是一個局東華理工大學軟件學院畢業(yè)設計（論文） 網(wǎng)絡整體設計 10 域網(wǎng)的網(wǎng)絡協(xié)議，使用 UDP 協(xié)議工作。 端口類型：用使用物理端口的縮寫來命名。 IP 地址空間的分配，要與網(wǎng)絡層次結(jié)構(gòu)相適應，既要有效的利用地址空間，又要體現(xiàn)網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。 OSPF 定義了 5 種分組： Hello 分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡拓撲數(shù)據(jù)庫；當發(fā)現(xiàn)數(shù)據(jù) 庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進行響應；由于 OSPF 直接運行在 IP 層，協(xié)議本身要提供確認機制，鏈路狀態(tài)應答分組是對鏈路狀態(tài)更新分組進行確認。憑借 Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保護重要信息，防止未授權(quán)人員接入網(wǎng)絡，確保私密性及維持 不間斷運行。此外， Cisco Catalyst 3750 系列針對高密度千兆位以太網(wǎng)部東華理工大學軟件學院畢業(yè)設計（論文） 網(wǎng)絡整體設計 6 署進行了優(yōu)化，包括多種交換機，以滿足接入、匯聚或小型網(wǎng)絡骨干連接需求。 核心交換機需作如下設置： （ 1） 使用包安全過濾 /ACL 的機制 ，防止非法侵入和惡意報文攻擊； （ 2） 通過 Vlan 劃分實現(xiàn)不同部門內(nèi)部訪問安全的需求； （ 3） 基于策略的服務等級 /服務質(zhì)量（ CoS/QoS）功能，能夠鑒別并優(yōu)先處理要害的業(yè)務數(shù)據(jù)流，實現(xiàn)網(wǎng)絡的優(yōu)化。 針對實際情況 采用三層結(jié)構(gòu)模型，即核心層、分布層、接入層。但在本局域網(wǎng)中采用了雙核心，所以大大的避免了網(wǎng)絡故障的發(fā)生。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡的數(shù)據(jù)交換能力提出了前所未有的要求。 （ 3）公司各部可以通過即時通信軟件聯(lián)系，建立公司郵件服務器。 （ 4）可管理性 —— 對網(wǎng)絡實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。日后公司在外地還要開設分支機構(gòu)，而這里作為公司總部，中心機房也設在此處。雖然大多數(shù)企業(yè)已經(jīng)把互聯(lián)網(wǎng)戰(zhàn)略納入企業(yè)經(jīng)營發(fā)展戰(zhàn)略中，但是網(wǎng) 絡黑客攻擊、計算機病毒干擾、數(shù)據(jù)傳輸過程中的泄露等不安全因素，仍 然讓很多企業(yè)對企業(yè)網(wǎng)絡化猶豫不定。 企業(yè)局域網(wǎng)是指在企業(yè)的某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計 算機組。 Vlan。 本方案 充分考慮到網(wǎng)絡的負載均衡和穩(wěn)定性能，所以 采用三層網(wǎng)絡結(jié)構(gòu)。路由協(xié)議則選擇安全性高、收斂速度快的 OSPF 協(xié)議。沒有信息技術(shù)背景的企業(yè)也將會對網(wǎng)絡建設有主動訴求。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺計算機組成，也可以由一個公司內(nèi)的上千計算機組成。多層次設計師模塊化的，它在日后網(wǎng)絡擴展、負載均衡、故障排除方面很有效。 設計目標 設計一個公司的網(wǎng)絡，首先要確定用戶對網(wǎng)絡的真正需求，并在結(jié)合未來可能的發(fā)展要求的基礎上選擇、設計合適的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡技術(shù)，提供用戶滿意的高質(zhì)服務。在網(wǎng)絡設計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標準結(jié)合起來，充分考慮到金融公司網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。 （ 6）架設公司 web 服務器，發(fā)布公司網(wǎng)站 。由于 XX 金融公司總部網(wǎng)絡站點特別的 多，而且聯(lián)網(wǎng)的站點相對集中，因此采用樹形的網(wǎng)絡拓撲。 所 以 選擇層次化的網(wǎng)絡設計。分布層主要進行接入層的數(shù)據(jù)流量匯聚，并 對數(shù)據(jù)流量進行訪問控制。匯聚層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。主要是進行 VLAN 的劃分、與分布層的連接等等。 OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫 ，保存整個 AS 的拓撲結(jié)構(gòu)（ AS 不劃分情況下）。 公司現(xiàn)有網(wǎng)絡規(guī)劃為 area0，內(nèi)部網(wǎng)絡設備都規(guī)劃為 area0。其中，空間地理位置嚴格遵守國際對省市的命名規(guī)范。 網(wǎng)絡的邏輯位置：即設備在網(wǎng)絡中放置的邏輯位置。 郵件服務器 電子郵件是互聯(lián)網(wǎng)最基本、但卻是最重要的組成部分，通過電子郵件進行方便快捷的信息交流已經(jīng)成為企業(yè)工作中不可或缺的工作習慣。 改進的消息跟蹤和 Outlook 客戶端性能記錄功能。 郵件服務器硬件的選擇根據(jù)企業(yè)本身業(yè)務的應用情況和資金投入來決定。因為它是 自由軟件 ，所以不斷有人來為它 開發(fā) 新的功能、 新的特性、修改原來的缺陷。例如，路由設備存在路由信息泄漏、交換機和路由器設備配置風險等。 安全定義： （ 1） 外網(wǎng)區(qū)域為不可信任區(qū)； （ 2） DMZ 區(qū)域為中立區(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對外服務等）但受到防火墻嚴格控制 ； 東華理工大學軟件學院畢業(yè)設計（論文） 安全策略 13 （ 3） 內(nèi)部用戶區(qū)域為信任區(qū)域； （ 4） 行業(yè)其他單位連接區(qū)域，由于無法管理，使用網(wǎng)閘物理隔離； （ 5） 公網(wǎng)區(qū)域，威脅最大區(qū)域，使用網(wǎng)閘物理隔離。 外網(wǎng)安全策略： （ 1） 地址轉(zhuǎn)換，進行源、目的地址轉(zhuǎn)換以及雙向地址轉(zhuǎn)換； （ 2） 報文阻斷策略，通過設置報文阻斷策略，實現(xiàn)對二、三層的訪問控制； （ 3） 訪問控制規(guī)則，通過設置訪問控制規(guī)則，實現(xiàn)對三到七層的訪問控制； （ 4） IP/MAC 地址綁定， 將 IP 地址與 MAC 地址綁定從而防止非法用戶冒充IP 地址進行非法訪問， （ 5） 病毒防御， 能夠?qū)κ褂?HTTP、 FTP 傳輸?shù)奈募约皩κ褂?SMTP、 POP3 和 IMAP 協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據(jù)文件擴展名選擇過濾或者不過濾的附件類型等。同時，這樣還防止廣播風暴的發(fā)生，避免過多廣播包占據(jù)帶寬造成網(wǎng)絡擁塞。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問東華理工大學軟件學院畢業(yè)設計（論文） 安全策略 15 控制、網(wǎng)絡權(quán)限控制、目錄級控制以及屬性控制等多種手 段。如財務部、資產(chǎn)管理部信息數(shù)據(jù)機密度較高，我們就可以編寫訪問控制列表，禁止其它網(wǎng)段也就是其它 VLAN 的用戶訪問這些部門的電腦，無論是以什么樣的形式，即使用標準訪問控制列表。防 火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關(guān)四部分組成。 在以上三個區(qū)域中，用戶需要對不同的安全區(qū)域制訂不同的安全策略。對于 DMZ 區(qū)中的公用服務器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。代理指防火墻內(nèi)置用戶認證數(shù)據(jù)庫 ； 提供 HTTP、 FTP 和 SMTP 代理功能，并可對這三種協(xié)議進行訪問控制。 命令行基本信息收集： screenget syst（得到系統(tǒng)信息） screenget config（得到 config 信息） screenget log event（得到日志） 功能問題需收集下列信息： screenset ffiliter（設置過濾器） screendebug flow basic（ 是開啟基本的 debug 功能 ） screenclear db（ 是清除 debug 的緩沖區(qū) ） screenget dbuf stream（ 就可以看到 debug 的信息了 ） 性能問題需收集下列信息： screenGet per cpu detail（得到 CPU 使用率） screenGet session info（得到會話信息） screenGet per session detail（得到會話詳細信息） screenGet maclearn（透明方式下使用，獲取 MAC 硬件地址） screenGet alarm event（得到告警日志） screenGet techtftp （導出系統(tǒng)信息） screenGet log system（得到系統(tǒng)日志信息） screenGet log system saved（得到系統(tǒng)出錯后，系統(tǒng)自動記錄信息，該記錄重啟后不會丟失。 SSL： 選擇此選項將允許接口通過 WebUI 接收 NetScreen 設備的 HTTPS 安全管理信息流。那么針對 IP 欺騙的行為，解決方法是將工作站的 IP地址與網(wǎng)卡的 MAC 地址進行綁定，這樣再改換 IP 地址就不行了，除非將網(wǎng)卡和 IP地址都換過來才行，所以將 IP 地址與 MAC 地址進行綁定，可以防止內(nèi)部的 IP 盜用。上面的綁定方式只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源 IP地址與目的 IP 地址是不同的，無法實現(xiàn) IP 地址與 MAC 的綁定。可以將 WEB 服務器的地址（如 ）映射到防火墻的外端口地址（如 ），即： MAP :80 TO :80 MAP :21 TO :21 MAP :25 TO :25 MAP :53 TO :53 做完映射以后，這些服務器可以使用私有地址，或者這些地址不公開保護起來，對外公開的 WEB 服務器的地址是 ，客戶端輸入 ： // 就可以訪問到這個 WEB 服務器。 MAP（端口映射）功能 通過遠程訪問 WEB 服務器域名地址就可以訪問到 Web 服務器的主頁，但這樣是直接對 WEB 服務器進行訪問和操作很不安全。另一種比較好的解決方法是防火墻支持基于 MAC 地址的訪問控制，在配置之前，先不添 IP 地址只添網(wǎng)卡的 MAC 地址，開機后自動將獲得的 IP 地址傳給防火墻，防火墻根據(jù)這個 IP 地址與 MAC 地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn) IP 地址與 MAC 地址的綁定。如果它們未收到確認，會再次發(fā)送請求。 SSH： 可使用 “ 安全命令外殼 ” （ SSH） 通過以太網(wǎng)連接或撥號調(diào)制解調(diào)器管理NetScreen 設備。它構(gòu)建于 Cisco PIX 安全設備系列的基礎之上，能夠提供 內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠程接入到內(nèi)部 兩種安全保護，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接，在提供安全網(wǎng)絡環(huán)境的同時，也提高了員工的工作效率，為公司創(chuàng)造更高的經(jīng)濟效益。 我們在核心層路由器與 Inter 之間配置一臺硬件防火墻，這樣，所有進出網(wǎng)絡的數(shù)據(jù)都要通過防火墻，而該防火墻應具有以下的功能 ： （ 1） 包過濾：控制流出和流入的網(wǎng)絡數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間，根據(jù)地址簿進行設置規(guī)則 ； （ 2） 地址 轉(zhuǎn)換： 將內(nèi)部網(wǎng)絡或外部網(wǎng)絡的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換Source NAT（ SNAT） 和目的地址轉(zhuǎn)換 Destination NAT（ DNAT） 。這樣可以對外屏蔽內(nèi)部網(wǎng)絡構(gòu)和 IP 地址，保護內(nèi)部網(wǎng)絡的安全 ， 同時因為是公網(wǎng) IP 地址共享，所以可以大大節(jié)省公網(wǎng) IP 地址的使用。這個區(qū)域是防火墻的可信區(qū)域 （ 這是由傳統(tǒng)邊界防火墻的設計理念決定的 ） 。 防火墻是 目前應用最廣、最具代表性的網(wǎng)絡安全技術(shù)，它分為硬件防火墻和軟件防火墻。 圖 31 ACL 示意圖 訪問控制列表分為兩類，一個是標準訪問列表，一個是擴展訪問列表?；诙丝趨R聚的功能，允許交換機與交換機、交換機與路由器、交換機與主機或路由之間