【正文】 其二是客戶端計(jì)算機(jī)的Active組策略。Fig Hidden AP and configuration SSID——＋Radius認(rèn)證WLAN的中級安全主要應(yīng)用于校園網(wǎng)內(nèi)部，學(xué)生對無線進(jìn)行認(rèn)證上網(wǎng)，（如EAPTLS）可以滿足WLAN大部分的安全需求。具體安全劃分及技術(shù)方案選擇如表71所示。ciscoasa(config)accesslist list_name standard deny/permit des_address netmask list_name:標(biāo)準(zhǔn)訪問控制列表的名稱（199） deny/permit：阻止或是允許符合此條規(guī)則的流量 des_address ：需要做控制的目的地址 netmask:需要做控制的目的地址的掩碼ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:標(biāo)準(zhǔn)訪問控制列表的名稱interface_name:調(diào)用控制列表的接口名擴(kuò)展訪問控制列表ciscoasa(config)accesslist listname extended deny/permit tcp/udp sour_address sour_mask des_address des_mask eq port_numlistname:擴(kuò)展訪問控制列表名稱deny/permit:拒絕/允許符合此條規(guī)則的流量tcp/udp：此條規(guī)則匹配的協(xié)議sour_address：此條規(guī)則匹配的源地址sour_mask：此條規(guī)則匹配的源地址掩碼des_address：此條規(guī)則匹配目的地址des_mask：此條規(guī)則匹配目的地址掩碼port_num：此條規(guī)則匹配的端口號ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:調(diào)用接口的入與出口向interface_name：調(diào)用控制列表的接口名例句：ciscoasa(config) accesslist 400 extended deny udp eq 80 ciscoasa(config)accessgroup 400 in interface inside 防火墻工作狀態(tài)調(diào)試Ciscoasa show runningconfig查看當(dāng)前ASA配置Ciscoasa show cpu usage可查看CPU使用率(正常應(yīng)該在80%以下)Ciscoasashow memory內(nèi)存使用：Ciscoasashow conn count Xlate 表大小Ciscoasashow interface interface_name端口狀態(tài)Ciscoasaping ip_address(ip地址) Ping驗(yàn)證防火墻的連接性Ciscoasashow route查看路由表Ciscoasashow accesslist ASA防火墻ACL檢查**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第七章 WLAN安全設(shè)計(jì)方案第七章 WLAN安全設(shè)計(jì)方案無線局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡(luò)。在這樣的結(jié)構(gòu)里，一個黑客必須通過三個獨(dú)立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機(jī))才能夠到達(dá)局域網(wǎng)?；蛘撸部梢元劮阑饓ε渲脼樽柚鼓承?shù)據(jù)包。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。下面我們以Cisco交換機(jī)進(jìn)行示例。這樣就存在一個IP地址與MAC地址的對應(yīng)關(guān)系，它們之間的相互解析是通過ARP(Address Resolution Protocol，地址解析協(xié)議)，或者RARP(Reverse Address Resolution Protocol，反向地址解析協(xié)議)協(xié)議進(jìn)行的。然后在流出該中間節(jié)點(diǎn)進(jìn)行下一個鏈路傳輸前，再由加密設(shè)備使用下一個鏈路的密鑰對消息進(jìn)行加密。只需瀏覽備份數(shù)據(jù)庫或目錄，找到該文件，觸動恢復(fù)功能，軟件將自動驅(qū)動存儲設(shè)備，加載相應(yīng)的存儲媒體，然后恢復(fù)指定文件。所謂分級存儲管理系統(tǒng)是一套自動化的網(wǎng)絡(luò)存儲管理設(shè)備，會自動判斷硬盤中資料的使用頻率，自動將不常用的資料移至速度較慢的光盤，而最不常用的資料則移到磁帶中，這些都由系統(tǒng)管理員自行設(shè)定。 對于大多數(shù)機(jī)房管理人員來說,備份是一項(xiàng)繁重的任務(wù)。限定最低、最高密碼更改的頻率和期限。以及下級交換機(jī)與核心交換機(jī)之間的冗余連接方案。系統(tǒng)工作時會向兩個內(nèi)存中同時寫入數(shù)據(jù)，因此使得內(nèi)存數(shù)據(jù)有兩套完整的備份。讓網(wǎng)絡(luò)在當(dāng)前運(yùn)行設(shè)備和線路出現(xiàn)故障時，將自動切換到備用的設(shè)備和線路上繼續(xù)正常運(yùn)行。 各層安全保護(hù)方案 layer of security protection scheme從上圖我們可以看出整體設(shè)從七層的角度進(jìn)行設(shè)計(jì)，針對校園網(wǎng)的特殊情況，省略了一些沒有必要的安全設(shè)計(jì)，減少成本的前提下同樣對校園網(wǎng)的安全保護(hù)。MAC地址欺騙：通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。目前常見的不安全因素（安全威脅或安全風(fēng)險(xiǎn)）包括三大類： 自然災(zāi)害（如雷電、地震、火災(zāi)、水災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期、外力破損等），設(shè)備故障（如停電斷電、電磁干擾等），意外事故。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。 可行性原則每個校園網(wǎng)在網(wǎng)絡(luò)安全需求方面都有它的獨(dú)特性，對網(wǎng)絡(luò)安全系統(tǒng)的部署成本也有不同的承受能力?！澳就霸瓌t”理論來自客觀事實(shí)，那就是木桶的最大容積取決于最短的一塊木板。 鑒別交換機(jī)制鑒別交換式在通信進(jìn)程中，以雙方互換約定信息方式確認(rèn)實(shí)體身份機(jī)制。網(wǎng)絡(luò)信息安全機(jī)制，通常包括以下八種。此類攻擊有可以分為主動攻擊和被動攻擊兩種方式。完整性與保密性不同，保密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。網(wǎng)絡(luò)安全具有以下幾個基本屬性。這時的網(wǎng)絡(luò)安全主要體現(xiàn)在物理安全機(jī)制上。**大學(xué)管理學(xué)學(xué)士學(xué)位論文 目錄校園局域網(wǎng)安全設(shè)計(jì)畢業(yè)設(shè)計(jì)目錄摘要 IAbstract II第一章 緒論 1 1 1第二章 校園網(wǎng)安全威脅 8 8 9第三章 設(shè)計(jì)簡介及設(shè)計(jì)方案 11 11 11第四章 物理層安全設(shè)計(jì)方案 13 13 15 16第五章 數(shù)據(jù)鏈路層安全設(shè)計(jì)方案 19 19 MAC地址綁定 21 VLAN網(wǎng)段劃分 23第六章 網(wǎng)絡(luò)層安全設(shè)計(jì)方案 25 25 網(wǎng)絡(luò)中的三個安全區(qū)域 26 27第七章 WLAN安全設(shè)計(jì)方案 32 32 32 32第八章 各層次設(shè)計(jì)解決方案配置 40 Packet Tracer模擬環(huán)境簡介 40 鏈路冗余與負(fù)載均衡解決方案模擬 42 MAC地址綁定解決方案模擬 44 VLAN劃分解決方案模擬 47 49 防火墻訪問控制列表解決方案模擬 52 WLAN配置解決方案模擬 56總結(jié) 59致謝 60參考文獻(xiàn) 61附錄 62附錄A：各解決方案源碼 62附錄B：中文原文 68附錄C：英文翻譯 71**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第一章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)基礎(chǔ) 第一章 緒論隨著網(wǎng)絡(luò)的全面發(fā)展和普及，網(wǎng)絡(luò)安全已成為當(dāng)今IT領(lǐng)域中最熱門的話題，同樣也是校園網(wǎng)管理最頭疼的一個領(lǐng)域。為了增加用戶訪問的靈活性，后來在串行端口上增加調(diào)制調(diào)解器（MODEM），這使得用戶和攻擊者都可以從電話線路到達(dá)任何地方進(jìn)行訪問。216。216。主動攻擊是以各種方式有選擇地破壞信息的有效性和完整性。216。常用的方式有：口令鑒別確認(rèn)、數(shù)據(jù)加密確認(rèn)、通信中的“握手”協(xié)議、數(shù)字簽名和公證機(jī)構(gòu)辨認(rèn)，以及利用實(shí)體的特征或所有權(quán)形式辨別（如語言、指紋、身份卡識別等）。網(wǎng)路系統(tǒng)是一個復(fù)雜的計(jì)算機(jī)系統(tǒng)，其本身在物理上、操作上、管理上和軟/硬件上都可能存在各種安全漏洞，尤其校園網(wǎng)多用戶網(wǎng)絡(luò)系統(tǒng)本身的復(fù)雜性，資源共享性使單純的技術(shù)保護(hù)防不勝防。我們不能一味要求校園花代價(jià)來部署高安全性的防護(hù)系統(tǒng)，而應(yīng)該結(jié)合該校園網(wǎng)的實(shí)際安全需求進(jìn)行綜合評價(jià)。由于互聯(lián)網(wǎng)的開放性和通信協(xié)議存在的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點(diǎn)，在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。 電磁泄漏（如偵聽微機(jī)操作過程）。拒絕服務(wù)：攻擊者可能對AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。安全設(shè)計(jì)方案主要從物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層和無線這幾個方面來進(jìn)行安全設(shè)計(jì)。網(wǎng)絡(luò)設(shè)備冗余有以下幾個方面。由于采用通道間交叉鏡像的方式，所以每個通道都有一套完整的內(nèi)存數(shù)據(jù)拷貝。每臺服務(wù)器、下級交換機(jī)與兩臺核心交換機(jī)采取雙線路冗余連接。限定兩個周期密碼可以禁止想通的最短歷史。每天都要小心翼翼,不敢有半點(diǎn)閃失,生怕一失足成千古恨。在線的資料經(jīng)過一段時間的搬移后，即可達(dá)到最佳化。 216。然后再進(jìn)行傳輸，直到消息到達(dá)目的節(jié)點(diǎn)。但是只要黑客修改了其中的任何一項(xiàng)，則可能導(dǎo)致找不到真正的目的節(jié)點(diǎn)而導(dǎo)致通信不成功，這就是兩種欺騙：IP地址欺騙和MAC地址欺騙。在全局模式下創(chuàng)建VLAN是最常用的方法。代理防火墻與包過濾防火墻一樣，到目前為止也經(jīng)過了兩個主要的發(fā)展時期，那就是代理防火墻和自適應(yīng)代理防火墻。TCP/IP協(xié)議是許多年前設(shè)計(jì)的，沒有考慮到任何有關(guān)竊取或者入侵的因素。攻擊難度大大加強(qiáng)，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng)。隨著其技術(shù)的快速發(fā)展和不斷成熟，目前在國內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶提供各種業(yè)務(wù)。表71安全劃分及技術(shù)方法選擇 Safety division and technical methods selection典型場合使用技術(shù)辦公室局部無線網(wǎng)WPA2PSK＋AP隱藏學(xué)校園區(qū)無線網(wǎng)＋Radius認(rèn)證為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容， ，并且致力于從長遠(yuǎn)角度考慮解決IEEE 。 X identity solutions network access process該WLAN中四大基本組件分別為216。 ISA網(wǎng)絡(luò)訪問策略是網(wǎng)絡(luò)訪問管理解決方案的核心，代表WLAN安全策略的設(shè)置自動部署在沒個基于ISA的Radius服務(wù)器中，該策略主要包括遠(yuǎn)程訪問策略和連接請求策略。其一是 ISA網(wǎng)絡(luò)訪問策略。Fig Limit the speed of connection MAC地址過濾配置Fig MAC address filtering configuration第四步：AP隱藏，我們可以對路由的禁用廣播地址，然后再端口上就找不到該路由器的SSID，想接入網(wǎng)就要自己輸入該路由器正確的SSID和密碼才能夠進(jìn)行上網(wǎng)。如表中所示的中級安全方案使用支持IEEE ，并通過后臺的Radius服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶接入，并可對用戶權(quán)限進(jìn)行區(qū)分。 接口方向的調(diào)用標(biāo)準(zhǔn)訪問控制列表 語法而局域網(wǎng)內(nèi)部，對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制?？梢酝ㄟ^在默認(rèn)情況下將某些數(shù)據(jù)標(biāo)識為非法的來完成某些阻擋。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受的，防火墻將屏蔽外部的連接請求。創(chuàng)建VLAN有兩種方法。但是在我們平常的網(wǎng)絡(luò)通信主操作中，都不是以MAC地址來制定目標(biāo)結(jié)點(diǎn)的，而是以IP地址或者NetBIOS 名稱來指定的。鏈路加密過程中，所有新消息在從源節(jié)點(diǎn)流出后，被傳輸之前需要加密設(shè)備（加密機(jī)或者集成在網(wǎng)卡的安全模塊）使用下一個鏈路的密鑰對數(shù)據(jù)進(jìn)行加密，在下一個中間節(jié)點(diǎn)接收消息前再由加密設(shè)備用本鏈路的密鑰進(jìn)行解密。 個別文件恢復(fù)由于操作人員的水平不高，個別文件恢復(fù)可能要比全盤恢復(fù)常見得多，利用網(wǎng)絡(luò)備份系統(tǒng)的恢復(fù)功能，我們很容易恢復(fù)受損的個別文件。它利用硬盤、可擦寫磁光盤、磁帶進(jìn)行三層式存儲管理。一般在生產(chǎn)本地的備份目的主要有兩個：一是生產(chǎn)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)由于系統(tǒng)或人為誤操作造成損壞或丟失后，可及時在生產(chǎn)本地實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)；另一個目的是在發(fā)生地域性災(zāi)難（地震、火災(zāi)、機(jī)器毀壞等）時，可及時在本地或異地實(shí)現(xiàn)數(shù)據(jù)及整個系統(tǒng)的災(zāi)難恢復(fù)。采取復(fù)雜性要求限制，防止用戶設(shè)置過于簡單的賬戶密碼。如在核心層和骨干層，甚至在匯聚層的服務(wù)器、交換機(jī)和路由器上，采取雙線路，甚至多線路連接。 2）內(nèi)存鏡像—Mirroring 內(nèi)存鏡像是將內(nèi)存數(shù)據(jù)做兩個拷貝，分別放在主內(nèi)存和鏡像內(nèi)存中。這時我們就可以通過簡單的設(shè)備或線路冗余來實(shí)現(xiàn)來基于物理層的網(wǎng)絡(luò)安全保護(hù)，通俗點(diǎn)說就是提供備用的設(shè)備和線路。根據(jù)校園內(nèi)外網(wǎng)的安全隱患分析，整體安全設(shè)計(jì)按照OSI/RM參考模型在各層對校園網(wǎng)進(jìn)行安全防護(hù)措施。在無線網(wǎng)絡(luò)中，移動站與網(wǎng)絡(luò)控制中心及其它移動站之間不存在任何固定的物理鏈接，移動站必須通過無線信道傳輸其身份信息，身份信息在無線信道中傳輸時可能被竊聽，當(dāng)攻擊者截獲一合法用戶的身份信息時，可利用該用戶的身份侵入網(wǎng)絡(luò)，這就是所謂的身份假冒攻擊。它們分布在整個校園內(nèi), 管理起來非常困難。 易操作性原則首先，安全措施是要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。216。因?yàn)闊o論是什么安全隱患導(dǎo)致的災(zāi)難，其結(jié)果可能都一樣，要么信息泄露，數(shù)據(jù)丟失、破壞，要么是服務(wù)器或者網(wǎng)絡(luò)癱瘓，無法正常工作。216。網(wǎng)絡(luò)信息安全機(jī)制定義了實(shí)現(xiàn)網(wǎng)絡(luò)