【正文】 uest 配置對 login 用戶進(jìn)行認(rèn)證 [Router] aaa authenticationscheme login default local [Router] loginmethod authenticationmode con default [Router] loginmethod authenticationmode async default [Router] loginmethod authenticationmode hwtty default [Router] loginmethod authenticationmode pad default [Router] loginmethod authenticationmode tel default [Router] loginmethod authenticationmode ssh default 配置對 FTP 用戶進(jìn)行認(rèn)證 [Router] loginmethod authenticationmode ftp default 配置對 login 用戶不計(jì)費(fèi) [Router] undo loginmethod accountingmode login con [Router] undo loginmethod accountingmode login async [Router] undo loginmethod accountingmode login hwtty [Router] undo loginmethod accountingmode login pad [Router] undo loginmethod accountingmode login tel [Router] undo loginmethod accountingmode login ssh 四臺路由器均要進(jìn)行相同的 AAA 配置，指令相同，不作重復(fù)。由于思想上的松懈和安全意識偏弱，從而給了攻擊者可乘之機(jī)。還介紹了 AAA 配置技術(shù)、 OSPF配置技術(shù)和 ACL訪問控制列表。成立專門負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的行政管理機(jī)構(gòu)，從而審查和訂制計(jì)算機(jī)網(wǎng)絡(luò)的信息安全措施。 在這里，網(wǎng)絡(luò)安全主要指的是訪問控制，其中包括了： （ 1）規(guī)定了哪些用戶可以訪問指定網(wǎng)絡(luò)服務(wù)器 （ 2）具有訪問權(quán)限的用戶組分別可以得到哪些服務(wù)，可以做些什么 （ 3）對正在使用該網(wǎng)絡(luò)資源的用戶組進(jìn)行計(jì)費(fèi)功能 AAA 可完成下列服務(wù)： （ 1）認(rèn)證：判斷認(rèn)證用戶是否可以獲得訪問權(quán)限 （ 2）授權(quán)：被授權(quán)的用戶組可以使用哪些服務(wù)。 2. 對路由器周圍網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的具體描述被稱為 LSA，而對整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的一種描述則被成為 LSDB。網(wǎng)絡(luò)層防火墻主要是用來獲取協(xié)議號、源地址、目的地址和目的端口等等數(shù)據(jù)包的包頭信息；或者選擇直接獲取包頭的一段數(shù)據(jù)。 網(wǎng)絡(luò)設(shè)備的包過濾的特性 1. 基于訪問控制列表（ ACL）：訪問控制列表的運(yùn)用面很廣，它不僅僅可以應(yīng)用在包過濾中，還可應(yīng)用在如地址轉(zhuǎn)換和 IPSec 等其它需要對數(shù)據(jù)流進(jìn)行分類的特性中的應(yīng)用中。 [RBacl3004]rule permit tcp source any destination destinationport greaterthan 1024 [RBacl3004]quit [RB]interface E0 [RBE0]firewall packetfilter 3003 inbound [RBEO]quit [RB]interface S1 [RBS1]fire packetfilter 3004 inbound [RBs1]quit 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 20 配置路由器 RC: [RC]firewall enable [RC]timerange enable [RC]firewall default permit [RC]settr 17:00 17:05 [RC]acl 3006 [RCacl3006]rule normal permit icmp source destination icmptype echo [RCacl3006]rule normal permit icmp source destination icmptype echoreply [RCacl3006]rule normal permit icmp source destination icmptype echoreply [RCacl3006]rule normal permit icmp source destination icmptype echo [RCacl3006]rule normal deny tcp source destination destinationport equal tel [RCacl3006]rule normal deny tcp source destination destinationport equal tel [RCacl3006]rule special deny icmp source destination icmptype echo [RCacl3006]rule special deny icmp source destination icmptype echoreply [RCacl3006]rule special deny icmp source destination icmptype echo [RCacl3006]rule special deny icmp source destination icmptype echoreply [RCacl3006]quit [RC]interface s0 [RCSerial0]fire packetfilter 3006 inbound 配置路由器 RD: [RD]firewall enable [RD]timerange enable 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 21 [RD]firewall default permit [RD]settr 18:00 23:59 [RD]acl 3005 [RDacl3005]rule deny ip source destination any 在普通時(shí)段禁止訪問內(nèi)部網(wǎng) [RDacl3005]rule special permit ip source destination 在特殊時(shí)段可以訪問 PCE 將一些常用病毒入侵的端口禁用，防止病毒入侵 [RDacl3005]rule deny udp source any destination any destinationport eq 135 [RDacl3005]rule deny udp source any destination any destinationport eq 137 [RDacl3005]rule deny udp source any destination any destinationport eq 138 [RDacl3005]rule deny udp source any destination any destinationport eq 445 [RDacl3005]rule deny udp source any destination any destinationport eq 1434 [RDacl3005]rule deny tcp source any destination any destinationport eq 135 [RDacl3005]rule deny tcp source any destination any destinationport eq 137 [RDacl3005]rule deny tcp source any destination any destinationport eq 139 [RDacl3005]rule deny tcp source any destination any destinationport eq 445 [RDacl3005]rule deny tcp source any destination any destinationport eq 4444 [RDacl3005]rule deny tcp source any destination any destinationport eq 5554 [RDacl3005]rule deny tcp source any destination any destinationport eq 9995 [RDacl3005]rule deny tcp source any destination any destinationport eq 9996 [RDacl3005]quit [RD]interface E0 [RDE0]fire packetfilter 3005 inbound [RDE0]quit 防火墻的顯示與調(diào)試 在所有視圖下使用 debugging、 reset、 display 命令。值得一提的是，陳國宏老師宅心仁厚，閑靜少言，不慕榮利，對學(xué)生認(rèn)真負(fù)責(zé)，給予了諸多建設(shè)性建議，并在百忙之中三閱其稿。 標(biāo)準(zhǔn)訪問控制列表 acl aclnumber [ matchorder config | auto ] rule { normal | special }{ permit | deny } [source sourceaddr sourcewildcard | any ] 擴(kuò)展訪問控制列表 acl aclnumber [ matchorder config | auto ] rule { normal | special }{ permit | deny } pronumber [source sourceaddr sourcewildcard | any ] [sourceport operator port1 [ port2 ] ] [ destination destaddr dest wildcard | any ] [destinationport operator port1 [ port2 ] ] [icmptype icmptype icmpcode] [logging] 其中“ protocolnumber”用名字或數(shù)字表示的 IP 承載的協(xié)議類型。 包過濾 一般情況下，包過濾是指對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息中所承載的上層 IP 協(xié)議中的協(xié)議號、數(shù)據(jù)包的源地址、目的地址、源端口號和目的端口號等，然后與設(shè)定的規(guī)則進(jìn)行比較，比較后的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 5 章 防火墻 13 第 5 章 防火墻 防火墻簡介 什么是防火墻 防火墻作為 Inter 訪問控制的基本技術(shù)，其主要作用是監(jiān)視和過濾通過它的數(shù)據(jù)包，拒絕非法用戶訪問網(wǎng)絡(luò)并保障合法用戶正常工作，根據(jù)自身所配置的訪問控制策略決定該包應(yīng)當(dāng)被轉(zhuǎn)發(fā)還是應(yīng)當(dāng)被拋棄。 6. 路由分級 —— 當(dāng)同時(shí)使用不同等級的路由時(shí)，按區(qū)域內(nèi)路由、區(qū)域間路由、第一類外部路由和第二類外部路由這個(gè)優(yōu)先順序分級。 我們可以采取在普通路由器中添加安全模塊，從技術(shù)上加強(qiáng)路由器的安全性；或者借助管理手段，從管理上加強(qiáng)對路由器的安全性等多種手段來保證基于路由浙江大學(xué)城市學(xué)院畢業(yè)論文 第 1 章 緒論 3 器的網(wǎng)絡(luò)環(huán)境 下的安全性。主要有： 1. TCP/IP 協(xié)議數(shù)據(jù)流在使用 FTP、 Http 和 Tel 傳輸時(shí)，用戶的賬號以及口令非常容易被竊聽、修改和偽造。雖然 TCP/IP 協(xié)議具有許多特點(diǎn)，如支持多種應(yīng)用協(xié)議、互聯(lián)能力強(qiáng)、網(wǎng)絡(luò)技術(shù)獨(dú)立、等等；但是由于 TCP/IP 協(xié)議在定制時(shí)，并沒有考慮到安全方面的主要因素，因此協(xié)議中還是有很多的安全問題存在。 研究的基本內(nèi)容 隨著 Inter 的飛速發(fā)展，全國每個(gè)中小型企業(yè)和事業(yè)單位都在建設(shè)局域網(wǎng)并連入了互聯(lián)網(wǎng)，所以信息網(wǎng)絡(luò)安全就必須同時(shí)跟上發(fā)展的腳步，成為我們最需要著重關(guān)心的問題之一。 5. 等值路由 —— 到同一目的地址的多條等值路由。如圖 構(gòu)建的小型局域網(wǎng)就完成了。這樣，就可以控制外部網(wǎng)絡(luò)中的主機(jī)對內(nèi)部網(wǎng)絡(luò)中具有重要資源的機(jī)器的訪問。 訪問控制列表可分為標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。從課題的選擇到成果的最終完成，陳國宏老師始終都給予了細(xì)心的指導(dǎo)和不懈的支持。 浙江大學(xué)城市學(xué)院畢業(yè)論文 第 6 章 ACL 配置 22 表 防火墻的顯示和調(diào)試 操作 命令