【正文】 浙江大學城市學院畢業(yè)論文 參考文獻 24 參考文獻 [1] 洪新建，洪新華，謝慶華．反射訪問控制列表在網(wǎng)絡安全中的應用 [J]．計算機安全， 20xx， 20 (11)： 7385． [2] 張曄．把防火墻琢磨透徹 [M]．北京：清華大學出版社， 20xx： 183185． [3] 洪新建，洪新華．動態(tài)訪問列表在網(wǎng)絡安全中的應用 [J]．計算機時代， 20xx，3(5)： 210212． [4] 黃松華，孫玉星，黃皓，陳貴海．支持路徑選擇與快速切換的移動網(wǎng)絡接入路由器安全 Mesh[J]．計算機學報， 20xx， 3(7)： 9799． [5] 王華麗，王泉．訪問控制列表在網(wǎng)絡安全中的應用 [J]．電子科技， 20xx， 1(10)：253254． [6] 戴波，張旭東．規(guī)范路由器配置 提升網(wǎng)絡安全 [J]．黑龍江科技信息， 20xx，20(5)： 4548． [7] 周杰．使用華為路由器，提高計算機網(wǎng)絡安全 [J]．安徽電子信息職業(yè)技術學院學報， 20xx， 6(17)： 112113． [8] 劉軍偉，戴紫彬，張永福．基于 IXP2400 安全路由器的研究與設計 [M]．西安：西安電子科技大學出版社， 20xx： 6870． [8] 唐子蛟，周剛．基于 OSPF 協(xié)議的路由器安全 [J]．軟件導刊， 20xx， 3(8)： 167170． [9] 王振一．基于路由器的網(wǎng)絡安全機制的研究 [J]．硅谷， 20xx， 2(8)： 190199． [10] 李佳娃，丘映瑩． 利用訪問控制列表構建安全的校園網(wǎng)絡防火墻體系 [J]．科技信息， 20xx， 19(4)： 143145． [11] 王道，利用路由器訪問控制列表實現(xiàn)內(nèi)部網(wǎng)絡安全的研究 [J]．電腦學習，20xx， 20(4)： 8891． [12] 劉雄兵．路由器的網(wǎng)絡安全機制的研究 [J]．電腦編程技巧與維護， 20xx， 4(8)：116120． [13] 李啟明，肖晶．實現(xiàn)基于華為路由器的網(wǎng)絡安全訪問 [J]．電腦學習， 20xx，2(9)： 342345． [14]， ， Dr． B． B． Meshram， Ku． A． D． Wankhade． Protection of Public Network Communication by using Inter Protocol Security [J]． International 浙江大學城市學院畢業(yè)論文 參考文獻 25 Journal on Computer Science and Engineering， 20xx， 3(20)： 144150． [15] Dhananjay KulkarniA． Novel Webbased Approach for Balancing Usability and Security Requirements of Text Passwords[J]． International Journal of Network Security amp。 4. 支持基于接口進行過濾：可以在一個接口的某個方向上設定禁止或允許轉發(fā)來自某個接口的報文。如用戶規(guī)定禁止端口是 25 或者大于等于 1024 的數(shù)據(jù)包通過，則只要端口符合該條件，該數(shù)據(jù)包便被禁止通過此防火墻。 OSPF 支持 IP 子網(wǎng)和外部路由信息的標記接收，它支持基于接口的報文驗證以保證路由計算的安全性；并使用 IP 組播方式發(fā)送和接收報文。 OSPF 的主要特性 1. 適應范圍 —— 支持最多幾千臺路由器的各種大、中、小規(guī)模的網(wǎng)絡。 計算機網(wǎng)絡安全發(fā)展至今，儼然已成為了一個橫跨通信技術、網(wǎng)絡技術、安全技術、計算機技術、密碼學等等多種門科技術的綜合性學科。最后描述對互聯(lián)網(wǎng)的簡單防火墻技術的發(fā)展趨勢。對計算機系統(tǒng)的安全事件進行收集、記錄、分析、判斷，然后采取對應的安全措施來進行處理的一個過程被稱為安全審計。 浙江大學城市學院畢業(yè)論文 第 2 章 配置基本網(wǎng)絡環(huán)境 4 第 2 章 配置基本網(wǎng)絡環(huán)境 配置基本網(wǎng)絡環(huán)境 （ 1）按照表 所示內(nèi)容，正確填寫計算機（ PA、 PB、 PC、 PD??）及路由器（ RA、 RB、 RC、 RD）的網(wǎng)絡連接參數(shù) 表 設備配置信息 設備名稱 配置參數(shù) 設備名稱 配置參數(shù) 路由器（ RA） S0 IP 地址： 子網(wǎng)掩碼： 路由器 (RB) S0 IP 地址： 子網(wǎng)掩碼： S1 IP 地址： 子網(wǎng)掩碼： S1 IP 地址： 子網(wǎng)掩碼： Eth0 IP 地址： 子網(wǎng)掩碼： Eth0 IP 地址： 子網(wǎng)掩碼： 路由器 (RC) S0 IP 地址： 子網(wǎng)掩碼： 路由器（ RD） S0 IP 地址： 子網(wǎng)掩碼： S1 IP 地址： 子網(wǎng)掩碼： S1 IP 地址： 子網(wǎng)掩碼： Eth0 IP 地址： 子網(wǎng)掩碼： Eth0 IP 地址： 子網(wǎng)掩碼： 計算機（ PCA） IP 地址： 子網(wǎng)掩碼： 默認網(wǎng)關： 計算機（ PCB） IP 地址： 子網(wǎng)掩碼： 默認網(wǎng)關： 計算機（ PCC） IP 地址： 子網(wǎng)掩碼： 默認網(wǎng)關： 計算機 (PCD) IP 地址： 子網(wǎng)掩碼： 默認網(wǎng)關： 計算機（ PCE） IP 地址： 子網(wǎng)掩碼： 默認網(wǎng)關： 計算機（ PCF） IP 地址： 子網(wǎng)掩碼 ： 默認網(wǎng)關： 計算機（ PCG） IP 地址： 子網(wǎng)掩碼： 默認網(wǎng)關： 計算機（ PCH） IP 地址： 子網(wǎng)掩碼： 默認網(wǎng)關： 浙江大學城市學院畢業(yè)論文 第 2 章 配置基本網(wǎng)絡環(huán)境 5 構建小型模擬局域網(wǎng) 設備連接如圖 所示構建出一個小型模擬局域網(wǎng)（由路由器、交換機、 PC組成）。 OSPF 協(xié)議路由計算的過程 OSPF 協(xié)議路由的計算過程可簡單描述如下： 浙江大學城市學院畢業(yè)論文 第 4 章 OSPF 配置 9 1. 描述整個自治系統(tǒng)拓撲結構的鏈路狀態(tài)數(shù)據(jù)庫（簡稱 LSDB）是由每一臺支持 OSPF 協(xié)議的路由器維護 著；他們都會根據(jù)周圍的網(wǎng)絡拓撲結構來生成鏈路狀態(tài)并且發(fā)布 Link State Advertising（ LSA），然后再將 LSA 發(fā)送給網(wǎng)絡中其它路由器?，F(xiàn)在的許多防火墻同時甚至還可以對用戶進行身份鑒別，對信息進行安全加密處理等等。 2. 讓每個人經(jīng)由 SMTP（ Simple Message Transfer Protocol，簡單郵件傳輸協(xié)議）浙江大學城市學院畢業(yè)論文 第 5 章 防火墻 15 向我們發(fā)送電子郵件。 [RBacl3003]rule permit ip source destination any [RBacl3003]rule permit ip source destination any [RBacl3003]rule permit ip source destination any [RBacl3003]rule permit ip source destination any [RB]acl 3004 配置規(guī)則允許特 定用戶從外部網(wǎng)訪問內(nèi)部特定服務器。畢竟“經(jīng)師易得，人師難求”，希望借此機會向陳國宏老師表示最衷心的感謝！ 此外，本文最終得以順利完成，也是與我班與我同組的同學的幫助分不開的，平日里大家一起討論，一起實踐，碰到問題一起解決，提出了一系列可行性的建議，他們是任自翔同學和張培楠同學，在此向他們表示深深的感謝！ 最后要感謝的是我的父母，他們讓我在漫長的人生旅途中使心靈有了虔敬的歸依，而且也為我能夠順利的完成畢業(yè)設計提供了巨大的支持與幫助。 對于“ protocol”參數(shù)的不同，該命令又有以下形式： 1. “ protocol”為 ICMP 時的命令格式如下： rule { normal | special }{ permit | deny } icmp [source sourceaddr sourcewildcard | any ] [ destination destaddr dest wildcard | any ] [icmptype icmptype icmpcode] [logging] 浙江大學城市學院畢業(yè)論文 第 6 章 ACL 配置 17 2. “ protocol”為 IGMP、 IP、 GRE、 OSPF 時的命令格式如下： rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source sourceaddr sourcewildcard | any ] [ destination destaddr dest wildcard | any ] [logging] 3. “ protocol”為 TCP 或 UDP 時的命令格式如下： rule { normal | special }{ permit | deny } { tcp | udp } [source sourceaddr sourcewildcard | any ] [sourceport operator port1 [ port2 ] ] [ destination destaddr dest wildcard | any ] [destinationport operator port1 [ port2 ] ] [logging] 只有 TCP 和 UDP 協(xié)議需要指定端口范圍，支持的 操作符及其語法如下表： 表 擴展訪問列表的操作符 operator 的意義 用戶通過配置防火墻添加適當?shù)脑L問規(guī)則，就可利用包過濾來對通過路由器的 IP 包進行檢查，從而過濾掉用戶不希望通過路由器的包，起到網(wǎng)絡安全的作用。 包過濾（對 IP 數(shù)據(jù)包）所選取用來判斷的元素如下圖所示（圖中 IP 所承載的上層協(xié)議為 TCP）。也可以用防火墻將企業(yè)網(wǎng)中比較敏感的網(wǎng)段與相對開 放的網(wǎng)段隔離開來，從而達到即使該訪問是來自局域網(wǎng)內(nèi)部，也必須經(jīng)過防火墻的過濾的效果。 8. 組播發(fā)送 —— 在有組播發(fā)送能力的鏈路層上，基于組播地址進行接收、發(fā)送報文。 其中，明確定義哪些數(shù)據(jù)包允許或禁止通過并使用網(wǎng)絡服務，以及這些服務的詳細使用規(guī)則，同時網(wǎng)絡防火墻安全策略中的每一條規(guī)定都應該在實際應用時得到實現(xiàn)；這些都屬于網(wǎng)絡防火墻的安全策略。 3．為了測試目的設置一個選項 IP Soure routing，源路由一般情況下選擇欺騙IP 數(shù)據(jù)包；從而使攻擊者可以利用這一選項，直接指明出一條路由方式來進行偽裝、欺騙，然后進行不正當方式的連接。 本課題的目的就是設計一種基于路由器的網(wǎng)絡安全解決方案，從安全性、處理速度等方面對其進行可用性評估。 基于路由器的大多數(shù)主要安全技術通常都是相輔相成 的，為了系統(tǒng)安全性的提高，必須通過各種安全機制協(xié)調工作。 3. 無自環(huán) —— 用最短路徑樹算法計算路由，保證了不會生成自環(huán)路由。關閉 OSPF 的同時原來在接口下配置的與協(xié)議相關的參數(shù)也同時失效。它的機制是將網(wǎng)內(nèi)主機的 IP地址和端口替換為路由器或者服務器的 IP 地址和端口。 本文主要使用包過濾功能（ ACL 訪問控制列表）實現(xiàn)基本的防火墻功能，下面將著重介紹 ACL 訪問控制列表的配置。指定 ICMP報文類型時，可以用數(shù)字（ 0～ 255），也可以用助記符。訪問控制列表是防火墻的一種，但它比防火墻更能有效地防止病毒。 2. 支持訪問控制列表的自動排序：為了簡化配置的復雜程度，方便對于訪問控制列表的配置及維護，可以選擇是否針對某一類的訪問控制列表進行自動排序。比如 FTP 網(wǎng)關，連接中傳輸?shù)乃?FTP 數(shù)據(jù)包都必須經(jīng)過此 FTP網(wǎng)關。 另外，為了建立多個鄰接（ Adjacent）關系，使處于廣播網(wǎng)和 NBMA 網(wǎng)中的每臺路由器都可以將存儲在本地的路由信息廣播到整個自治系統(tǒng)中去，則會出現(xiàn)多次傳遞任意一臺路由器的路由變化的情況，因而浪費了寶貴的帶寬資源。 配置步驟 使能 AAA 浙江大學城市學院畢業(yè)論文 第 3 章 AAA 配置 7 [Router] aaaenable 配置 Login 用戶 [Router] localuser ftp servicetype ftp password simple ftp [Router] localuser admin servicetype administrator ssh password cipher admin [Router] localuser operator servicetype operator ssh password simple operator [Router] localuser guest servicetype guest ssh password simple g