【正文】 儲(chǔ)和對(duì)其訪問與處理的分布性特點(diǎn)，在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。216。我們不能一味要求校園花代價(jià)來部署高安全性的防護(hù)系統(tǒng)，而應(yīng)該結(jié)合該校園網(wǎng)的實(shí)際安全需求進(jìn)行綜合評(píng)價(jià)。所采取的最后補(bǔ)救措施，以盡可能及時(shí)的恢復(fù)信息，減少以為災(zāi)難所帶來的損失。網(wǎng)路系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，其本身在物理上、操作上、管理上和軟/硬件上都可能存在各種安全漏洞，尤其校園網(wǎng)多用戶網(wǎng)絡(luò)系統(tǒng)本身的復(fù)雜性，資源共享性使單純的技術(shù)保護(hù)防不勝防。任何人都不可能保證設(shè)計(jì)出絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，即使是最大的軟件開發(fā)商Microsoft也一樣，但是如果在設(shè)計(jì)之初就遵循一些原則，那么相應(yīng)網(wǎng)絡(luò)系統(tǒng)安全性就更加有保障了。常用的方式有：口令鑒別確認(rèn)、數(shù)據(jù)加密確認(rèn)、通信中的“握手”協(xié)議、數(shù)字簽名和公證機(jī)構(gòu)辨認(rèn)，以及利用實(shí)體的特征或所有權(quán)形式辨別（如語言、指紋、身份卡識(shí)別等）。否則，訪問控制機(jī)制的審計(jì)跟蹤系統(tǒng)會(huì)自動(dòng)拒絕訪問，并給出時(shí)間報(bào)告的跟蹤審計(jì)信息。216。 非授權(quán)訪問沒有預(yù)先經(jīng)過同意，就是用網(wǎng)絡(luò)或計(jì)算機(jī)資源被視為非授權(quán)訪問，如對(duì)網(wǎng)絡(luò)設(shè)備資源進(jìn)行非正常使用，擅自擴(kuò)大權(quán)限或越權(quán)訪問信息等。主動(dòng)攻擊是以各種方式有選擇地破壞信息的有效性和完整性。網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被其他人竊聽或篡改等。216?？捎眯允蔷W(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能重要體現(xiàn)。216。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，“網(wǎng)絡(luò)安全防護(hù)”與病毒、攻擊網(wǎng)絡(luò)等似乎成了相輔相成的產(chǎn)業(yè)，因?yàn)槠渲卸紶可娴骄薮蟮漠a(chǎn)業(yè)鏈和經(jīng)濟(jì)利益，使得網(wǎng)絡(luò)安全形勢(shì)更加嚴(yán)峻。為了增加用戶訪問的靈活性，后來在串行端口上增加調(diào)制調(diào)解器（MODEM），這使得用戶和攻擊者都可以從電話線路到達(dá)任何地方進(jìn)行訪問。校園局域網(wǎng)網(wǎng)建設(shè)是一項(xiàng)綜合性非常強(qiáng)的系統(tǒng)工程，它包括了網(wǎng)絡(luò)系統(tǒng)的總體規(guī)劃、硬件的選型配置、系統(tǒng)管理軟件的應(yīng)用以及人員培訓(xùn)等諸多方面。**大學(xué)管理學(xué)學(xué)士學(xué)位論文 目錄校園局域網(wǎng)安全設(shè)計(jì)畢業(yè)設(shè)計(jì)目錄摘要 IAbstract II第一章 緒論 1 1 1第二章 校園網(wǎng)安全威脅 8 8 9第三章 設(shè)計(jì)簡介及設(shè)計(jì)方案 11 11 11第四章 物理層安全設(shè)計(jì)方案 13 13 15 16第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案 19 19 MAC地址綁定 21 VLAN網(wǎng)段劃分 23第六章 網(wǎng)絡(luò)層安全設(shè)計(jì)方案 25 25 網(wǎng)絡(luò)中的三個(gè)安全區(qū)域 26 27第七章 WLAN安全設(shè)計(jì)方案 32 32 32 32第八章 各層次設(shè)計(jì)解決方案配置 40 Packet Tracer模擬環(huán)境簡介 40 鏈路冗余與負(fù)載均衡解決方案模擬 42 MAC地址綁定解決方案模擬 44 VLAN劃分解決方案模擬 47 49 防火墻訪問控制列表解決方案模擬 52 WLAN配置解決方案模擬 56總結(jié) 59致謝 60參考文獻(xiàn) 61附錄 62附錄A：各解決方案源碼 62附錄B：中文原文 68附錄C：英文翻譯 71**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第一章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)基礎(chǔ) 第一章 緒論隨著網(wǎng)絡(luò)的全面發(fā)展和普及，網(wǎng)絡(luò)安全已成為當(dāng)今IT領(lǐng)域中最熱門的話題，同樣也是校園網(wǎng)管理最頭疼的一個(gè)領(lǐng)域。但是因?yàn)榉欠ㄈ肭?、訪問和攻擊的方式、角度，或者途徑可能各不相同所以才會(huì)有基于各種不同角度和不同層次的安全防火技術(shù)和方案。這時(shí)的網(wǎng)絡(luò)安全主要體現(xiàn)在物理安全機(jī)制上?！氨局鳈C(jī)”就相當(dāng)于通信線路上設(shè)置的第一道關(guān)卡（在此以戰(zhàn)爭年代的“城堡”進(jìn)行類比），經(jīng)過這些主機(jī)的通信流都需要進(jìn)行各種特定的過濾，只有符合了相應(yīng)過濾條件的通信流才允許通過。網(wǎng)絡(luò)安全具有以下幾個(gè)基本屬性。 可用性可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按要求使用的特性，即當(dāng)信息服務(wù)被使用時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供可用網(wǎng)絡(luò)服務(wù)的特性。完整性與保密性不同，保密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。但因?yàn)榉欠ㄈ肭?、訪問和攻擊的攻擊。此類攻擊有可以分為主動(dòng)攻擊和被動(dòng)攻擊兩種方式。216。網(wǎng)絡(luò)信息安全機(jī)制，通常包括以下八種。 訪問控制機(jī)制訪問控制是指處理主體對(duì)客體訪問的權(quán)限設(shè)置的合法性問題，一個(gè)主體只能訪問經(jīng)過授權(quán)使用的給定客體。 鑒別交換機(jī)制鑒別交換式在通信進(jìn)程中，以雙方互換約定信息方式確認(rèn)實(shí)體身份機(jī)制。 公證機(jī)制公正機(jī)制在于解決通信的矛盾雙方，因事故和信用危機(jī)導(dǎo)致責(zé)任問題的公證仲裁，公正機(jī)制要設(shè)立的公證機(jī)構(gòu)是各方都信任的實(shí)體，專門提供第三方的證明手段，可以用于對(duì)信息源的發(fā)送時(shí)間、目的地、信息內(nèi)容和身份依據(jù)等進(jìn)行公證，提供基于可信第三方的不可抵賴服務(wù)?！澳就霸瓌t”理論來自客觀事實(shí)，那就是木桶的最大容積取決于最短的一塊木板。安全保護(hù)機(jī)制是根據(jù)系統(tǒng)存在的各種安全漏洞和安全威脅采取相應(yīng)的保護(hù)措施，避免安全風(fēng)險(xiǎn)的發(fā)生；安全監(jiān)測(cè)機(jī)制是監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，以及發(fā)生和制止對(duì)系統(tǒng)進(jìn)行的各種入侵和攻擊行為；安全恢復(fù)機(jī)制是在安全保護(hù)機(jī)制和安全監(jiān)測(cè)機(jī)制都是失效的情況下。 可行性原則每個(gè)校園網(wǎng)在網(wǎng)絡(luò)安全需求方面都有它的獨(dú)特性，對(duì)網(wǎng)絡(luò)安全系統(tǒng)的部署成本也有不同的承受能力。針對(duì)不同級(jí)別的安全對(duì)象，提供全面、可選的安全方法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。因此要求我們?cè)诓渴鸢踩Ｗo(hù)策略時(shí)可以考慮先在一個(gè)比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實(shí)際需要建立基本的安全體系，保證基本的、必需的安全性，然后在隨著網(wǎng)絡(luò)的規(guī)模擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用的復(fù)雜程度的變化，來調(diào)整或增強(qiáng)安全保護(hù)力度，以保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。目前常見的不安全因素（安全威脅或安全風(fēng)險(xiǎn)）包括三大類： 自然災(zāi)害（如雷電、地震、火災(zāi)、水災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電斷電、電磁干擾等），意外事故。中間人攻擊則對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙，進(jìn)而對(duì)信息進(jìn)行竊取和篡改。MAC地址欺騙：通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。隨著校園內(nèi)計(jì)算機(jī)應(yīng)該的大范圍普及，接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，而大多數(shù)節(jié)點(diǎn)都并沒有采取有效的安全防護(hù)措施，隨時(shí)都有可能感染病毒。 各層安全保護(hù)方案 layer of security protection scheme從上圖我們可以看出整體設(shè)從七層的角度進(jìn)行設(shè)計(jì)，針對(duì)校園網(wǎng)的特殊情況，省略了一些沒有必要的安全設(shè)計(jì)，減少成本的前提下同樣對(duì)校園網(wǎng)的安全保護(hù)。物理層的安全風(fēng)險(xiǎn)主要是指由于網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備。讓網(wǎng)絡(luò)在當(dāng)前運(yùn)行設(shè)備和線路出現(xiàn)故障時(shí)，將自動(dòng)切換到備用的設(shè)備和線路上繼續(xù)正常運(yùn)行。216。系統(tǒng)工作時(shí)會(huì)向兩個(gè)內(nèi)存中同時(shí)寫入數(shù)據(jù)，因此使得內(nèi)存數(shù)據(jù)有兩套完整的備份。是一種把多塊獨(dú)立的硬盤（物理硬盤）按不同的方式組合起來形成一個(gè)硬盤組（邏輯硬盤），從而提供比單個(gè)硬盤更高的存儲(chǔ)性能與數(shù)據(jù)備份能力的技術(shù)。以及下級(jí)交換機(jī)與核心交換機(jī)之間的冗余連接方案。機(jī)房的管理制度中應(yīng)該包括以下幾方面內(nèi)容（細(xì)節(jié)方面可根據(jù)校園網(wǎng)實(shí)際情況靈活規(guī)定，具體的機(jī)房制度可以自行擴(kuò)展）。限定最低、最高密碼更改的頻率和期限。其實(shí)主要的工作就是數(shù)據(jù)的備份與恢復(fù)。 對(duì)于大多數(shù)機(jī)房管理人員來說,備份是一項(xiàng)繁重的任務(wù)。但發(fā)展至今，數(shù)據(jù)庫系統(tǒng)已經(jīng)相當(dāng)復(fù)雜和龐大，再用文件的備份方式來備份數(shù)據(jù)庫已不適用。所謂分級(jí)存儲(chǔ)管理系統(tǒng)是一套自動(dòng)化的網(wǎng)絡(luò)存儲(chǔ)管理設(shè)備，會(huì)自動(dòng)判斷硬盤中資料的使用頻率，自動(dòng)將不常用的資料移至速度較慢的光盤，而最不常用的資料則移到磁帶中，這些都由系統(tǒng)管理員自行設(shè)定。災(zāi)難恢復(fù)措施在整個(gè)備份制度中占有相當(dāng)重要的地位。只需瀏覽備份數(shù)據(jù)庫或目錄，找到該文件，觸動(dòng)恢復(fù)功能，軟件將自動(dòng)驅(qū)動(dòng)存儲(chǔ)設(shè)備，加載相應(yīng)的存儲(chǔ)媒體，然后恢復(fù)指定文件。這樣一來我們就清楚黑客基于數(shù)據(jù)鏈路層的攻擊行為了，一是進(jìn)行MAC地址欺騙（如ARP病毒），再就是對(duì)數(shù)據(jù)編碼、成幀機(jī)制進(jìn)行干擾，致使形成錯(cuò)誤的數(shù)據(jù)幀，也可以導(dǎo)致數(shù)據(jù)在數(shù)據(jù)鏈路上的傳輸錯(cuò)誤，甚至數(shù)據(jù)丟失。然后在流出該中間節(jié)點(diǎn)進(jìn)行下一個(gè)鏈路傳輸前，再由加密設(shè)備使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密。消息到達(dá)結(jié)點(diǎn)時(shí)，先把收到的消息進(jìn)行解密，然后采用另一個(gè)不同的密鑰進(jìn)行加密，在繼續(xù)進(jìn)行數(shù)據(jù)傳輸，以此類推，因此，總的來說，它比鏈路加密更安全。這樣就存在一個(gè)IP地址與MAC地址的對(duì)應(yīng)關(guān)系，它們之間的相互解析是通過ARP(Address Resolution Protocol，地址解析協(xié)議)，或者RARP(Reverse Address Resolution Protocol，反向地址解析協(xié)議)協(xié)議進(jìn)行的。Switch(configif) switchport portsecurity maximum valve（個(gè)數(shù)）：設(shè)置端口可以容納的安全地址的最大個(gè)數(shù)（也可以不配置此步驟）Switch(configif) switchport portsecurity violation {protect/restrict/shutdow}設(shè)置處理違例的方式。下面我們以Cisco交換機(jī)進(jìn)行示例。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。 校園網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu) Campus network system structure此網(wǎng)絡(luò)是指防火墻連接邊界路由器、邊界交換機(jī)（一般是指廣域網(wǎng)交換機(jī)，大多數(shù)局域網(wǎng)無此設(shè)備）的一側(cè)。或者，也可以獎(jiǎng)防火墻配置為阻止某些數(shù)據(jù)包。網(wǎng)絡(luò)結(jié)構(gòu)如圖62所示。在這樣的結(jié)構(gòu)里，一個(gè)黑客必須通過三個(gè)獨(dú)立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機(jī))才能夠到達(dá)局域網(wǎng)。內(nèi)部所有網(wǎng)絡(luò)均可以共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)internet的訪問，從而可以最大限度節(jié)約IP地址資源。ciscoasa(config)accesslist list_name standard deny/permit des_address netmask list_name:標(biāo)準(zhǔn)訪問控制列表的名稱（199） deny/permit：阻止或是允許符合此條規(guī)則的流量 des_address ：需要做控制的目的地址 netmask:需要做控制的目的地址的掩碼ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:標(biāo)準(zhǔn)訪問控制列表的名稱interface_name:調(diào)用控制列表的接口名擴(kuò)展訪問控制列表ciscoasa(config)accesslist listname extended deny/permit tcp/udp sour_address sour_mask des_address des_mask eq port_numlistname:擴(kuò)展訪問控制列表名稱deny/permit:拒絕/允許符合此條規(guī)則的流量tcp/udp：此條規(guī)則匹配的協(xié)議sour_address：此條規(guī)則匹配的源地址sour_mask：此條規(guī)則匹配的源地址掩碼des_address：此條規(guī)則匹配目的地址des_mask：此條規(guī)則匹配目的地址掩碼port_num：此條規(guī)則匹配的端口號(hào)ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:調(diào)用接口的入與出口向interface_name：調(diào)用控制列表的接口名例句：ciscoasa(config) accesslist 400 extended deny udp eq 80 ciscoasa(config)accessgroup 400 in interface inside 防火墻工作狀態(tài)調(diào)試Ciscoasa show runningconfig查看當(dāng)前ASA配置Ciscoasa show cpu usage可查看CPU使用率(正常應(yīng)該在80%以下)Ciscoasashow memory內(nèi)存使用：Ciscoasashow conn count Xlate 表大小Ciscoasashow interface interface_name端口狀態(tài)Ciscoasaping ip_address(ip地址) Ping驗(yàn)證防火墻的連接性Ciscoasashow route查看路由表Ciscoasashow accesslist ASA防火墻ACL檢查**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第七章 WLAN安全設(shè)計(jì)方案第七章 WLAN安全設(shè)計(jì)方案無線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。同時(shí)，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過百兆自適應(yīng)網(wǎng)口和企業(yè)、學(xué)校內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；216。具體安全劃分及技術(shù)方案選擇如表71所示。默認(rèn)地址是：，因產(chǎn)品而異。Fig Hidden AP and configuration SSID——＋Radius認(rèn)證WLAN的中級(jí)安全主要應(yīng)用于校園網(wǎng)內(nèi)部，學(xué)生對(duì)無線進(jìn)行認(rèn)證上網(wǎng)，（如EAPTLS）可以滿足WLAN大部分的安全需求。216。其二是客戶端計(jì)算機(jī)的Activ