【文章內(nèi)容簡介】 能作為內(nèi)部網(wǎng)絡(luò)與 Inter 之間的單一連接點。管理功能實施統(tǒng)一的安全策略，檢查網(wǎng)絡(luò)使用情況，進行流量控制等。 防火墻有三個屬性：所有進出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它；僅被本地安全策略所授權(quán)的數(shù)據(jù) 包才能通過它；防火墻本身對攻擊必須具有免疫能力。在 XX學(xué)院和外網(wǎng)的連接中，我們推薦使用硬件防火墻。比如 CISCO ASA5510BUNK9系列 ： ? 并發(fā)連接數(shù) 130000 ? 網(wǎng)絡(luò)吞吐量 (Mbps) 300 ? 安全過濾帶寬 170Mbps ? 網(wǎng)絡(luò)端口 3+1個管理快速以太網(wǎng)端口、可升級到 5個快速以太網(wǎng)端口、 1個 SSM 擴展插槽 ? 用戶數(shù)限制無用戶數(shù)限制 ? 入侵檢測 DoS ? 安全標(biāo)準(zhǔn) UL 1950, CSA No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001 202120212 肇慶科技職業(yè)技術(shù)學(xué)院《網(wǎng)絡(luò)工程》方案設(shè)計說明書 —— XXX 12 ? 控制端口 console ? 管理思科安全管理器 (CSManager) ? VPN支持 選擇該型號是因為價格適中 ,且功能齊全 ,較適合本校園網(wǎng)建設(shè)。 在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間之間通過防火墻，建立起一個 DMZ 區(qū)。與外網(wǎng)關(guān)聯(lián)業(yè)務(wù)的服務(wù)器都可以放在 DMZ 區(qū)， Inter 上的用戶只能到達(dá) DMZ區(qū)相應(yīng)的服務(wù)器。并且內(nèi)部網(wǎng)絡(luò)到 Inter 的連接，是通過 NAT 地址翻譯的方式進行，可以充分隱藏和保護內(nèi)部網(wǎng)絡(luò)和 DMZ區(qū)設(shè)備。 防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個作用： ? 利用訪問控制列表（ Access Control List ， ACL）實安全防護防火墻操作系統(tǒng) IOS 通過訪問控制列表（ ACL）技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表，可以對數(shù)據(jù)包、路由信息包進行攔截與控制，可以根據(jù)源 /目的地址、協(xié)議類型、 TCP 端口號進行控制。這樣，我們就可以在Extra 上建立第一道安全防護墻，屏蔽對內(nèi)部網(wǎng) Intra 的非法訪問。 例如，我們可以通過 ACL 限制可以進入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺或幾臺主機；限制可以被訪問的內(nèi)部主機的地址；為保證主機的安全，可以限制外部用戶對主機的一些危險 應(yīng)用如 TELNET 等。 ? 利用地址轉(zhuǎn)換（ Network Address Translation， NAT）實現(xiàn)安全保護防火墻另外一個強大功能就是內(nèi)外地址轉(zhuǎn)換。進行 IP 地址轉(zhuǎn)換由兩個好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的 IP 地址，這可以使黑客（ hacker）無法直接攻擊內(nèi)部網(wǎng)絡(luò)，因為它不知道內(nèi)部網(wǎng)絡(luò)的 IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。地址轉(zhuǎn)換（ NAT）技術(shù)運用在內(nèi)部主機與外部主機之間的互相訪問的時候，當(dāng)內(nèi)部訪問者想通過路由器外出時，路由器 首先對其進行身份認(rèn)證 通過訪問列表（ ACL）核對其權(quán)限，如果通過，則對其進行地址轉(zhuǎn)換，使其以一個對外公開的地址訪問外部網(wǎng)絡(luò)；當(dāng)外部訪問者想進入內(nèi)部網(wǎng)時，路由器同樣首先核對其訪問權(quán)限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應(yīng)的內(nèi)部主機。 在 XX學(xué)院 網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過程中，在局域網(wǎng)上我們可以根據(jù)不同部門、不同業(yè)務(wù)類別劃分 VLAN（虛網(wǎng)），通過把不同系統(tǒng)劃分在不同 VLAN 202120212 肇慶科技職業(yè)技術(shù)學(xué)院《網(wǎng)絡(luò)工程》方案設(shè)計說明書 —— XXX 13 的方式，將各系統(tǒng)完全隔離，實現(xiàn)對跨系統(tǒng)訪問的控制，既保證了安全性，也提高了可管理性。 ? VLAN（虛網(wǎng)）技術(shù)和 VLAN 路由技術(shù) VLAN 技術(shù)用以實現(xiàn)對整個局域網(wǎng)的集中管理和安全控制。 CISCO 局域網(wǎng)交換機的一大優(yōu)勢是具備跨交換機的 VLAN（虛網(wǎng)）劃分和 VLAN 路由功能。虛網(wǎng)是將一個物理上連接的網(wǎng)絡(luò)在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡(luò)一樣，是一種安全的防護。通過 VLAN 路由實現(xiàn)對跨部門訪問的控制，既保證了安全性，也提高了可管理性。 ? InterVLAN Routing 原理 每一個 VLAN 都具有一個標(biāo)識，不同的 VLAN 標(biāo)識亦不相同，交換機在數(shù)據(jù)鏈路層上可以識別不同的 VLAN 標(biāo)識，但不能修改該 VLAN 標(biāo)識，只有 VLAN標(biāo)識相同的端口才能形成橋接，數(shù)據(jù)鏈路層的連接才能建立，因而不同 VLAN的設(shè)備在數(shù)據(jù)鏈路層上是無法連通的。 InterVLAN Routing 技術(shù)是在網(wǎng)絡(luò)層將 VLAN標(biāo)識進行轉(zhuǎn)換，使得不同的 VLAN 間可以溝通，而此時基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的安全控制手段都可運用，諸如 Accesslist （訪問列表限制）、 FireWall(防火墻 )、 TACACS+等， InterVLAN Routing 技術(shù)使我 們獲得了對不同 VLAN 間數(shù)據(jù)流動的強有力控制。 ? MAC 地址過濾策略 在內(nèi)部網(wǎng)中還可以利用 Cisco 交換機的 MAC 地址過濾功能對局域網(wǎng)的訪問提供鏈路層的安全控制。 MAC 地址過濾能進一步實現(xiàn)對局域網(wǎng)的安全控制。 CISCO局域網(wǎng)交換機具有 MAC 地址過濾功能，通過在交換機上對每個端口進行配置，可以禁止或允許特定 MAC 地址的源站點或目的站點，從而實現(xiàn)各站點之間的訪問控制。由于每塊網(wǎng)卡有唯一的 MAC 地址，是固定不變的，只允許特定 MAC 地址的工作站通過特定的端口進行訪問，所以對 MAC 地址的訪問控制實際 上就是對指定工作站這一物理設(shè)備的訪問控制，由于 MAC 地址的不可改變，與對 IP 地址的過濾相比，具有更高的安全性。 ? 訪問安全控制 從確保網(wǎng)絡(luò)訪問的安全出發(fā)，路由器對所有遠(yuǎn)程撥號訪問連接都由 Radius設(shè)置 AAA(Authentication Authorization Account，即認(rèn)證、授權(quán)、記帳 )級安202120212 肇慶科技職業(yè)技術(shù)學(xué)院《網(wǎng)絡(luò)工程》方案設(shè)計說明書 —— XXX 14 全控制，防止非法用戶的訪問。同時，在計費服務(wù)器上，也提供 Radius 認(rèn)證方式，兩者可以配合使用。（也可以只采用計費服務(wù)器上的 Radius認(rèn)證） 。 具體的實現(xiàn)細(xì)節(jié)如下： 在網(wǎng)絡(luò)中配置一臺安裝 Cisco Secure 軟件的服務(wù)器， Cisco Secure 軟件使用 Radius（ Remote Authentication Dialin User Service）協(xié)議提供對網(wǎng)絡(luò)的安全控制，并對成功連接到網(wǎng)絡(luò)的用戶的操作進行記錄。對于遠(yuǎn)程撥號訪問，配置 PPP 協(xié)議提供的 CHAP（ Challenge Handshake Authorization Protocol）認(rèn)證協(xié)議，該協(xié)議是一個基于標(biāo)準(zhǔn)的認(rèn)證服務(wù)，而且在傳輸過程中使用加密保護，與在傳輸用戶 ID和口令時不使用加密的 PAP 協(xié)議相比，具有更大的安全性，可提供用戶 ID 和口令在傳輸線上的安全保護。 RADIUS 提供的 AAA 級安全控制首先根據(jù)用戶名和口令識別在本網(wǎng)絡(luò)中是否允許該用戶訪問，從而決定是否建立連接；其次對經(jīng)過認(rèn)證連接到網(wǎng)絡(luò)的用戶授予相應(yīng)的網(wǎng)絡(luò)服務(wù)級別，提供訪問的限制；最后保留用戶在本網(wǎng)絡(luò)中的所有操作記錄（日志），這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日期和時間以及用于計帳的連接時間、連接位置、數(shù)據(jù)傳輸量、開始時間和停止時間等。 AAA 在 Client/Server 體系中允許在一個中心數(shù)據(jù)庫中存儲所有的安全息，在一臺裝有 Cisco Secure 軟件的安全服務(wù)器上通過對數(shù)據(jù)庫的修改和維護就可方便地對整個系統(tǒng)進行很好的安全控制。 Cisco Secure 軟件由一個 Daemon 和一個 GUI 兩部分組成。 Daemon 的操作依賴于兩個文件，一個用于定義所有的系統(tǒng)參數(shù)的控制文件和一個包含了網(wǎng)絡(luò)用戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫文件。 GUI 提供給系統(tǒng)管理員用于維護認(rèn)證和授權(quán)信息等，網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組， GUI 使系統(tǒng)管理員能夠修改網(wǎng)絡(luò)中任一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計 網(wǎng)絡(luò)管理性能是衡量一個網(wǎng)絡(luò)系 統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng)完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運行、保障網(wǎng)絡(luò)安全，查找并隔離網(wǎng)絡(luò)故障，記錄網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能。總之，對所有網(wǎng)絡(luò)上的信息進行統(tǒng)一管理。 202120212 肇慶科技職業(yè)技術(shù)學(xué)院《網(wǎng)絡(luò)工程》方案設(shè)計說明書 —— XXX 15 網(wǎng)管通常結(jié)合硬件和軟件的手段來實施，對不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和邏輯部分進行監(jiān)控和分析。 OSI 定義網(wǎng)管系統(tǒng)支持傳統(tǒng)五大網(wǎng)管功能：故障管理、配置管理、計費管理、安全管理以及性能管理。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)設(shè)備共同完成。結(jié)合校園網(wǎng)的實際情況，我們認(rèn)為，安全管理與計費管理可以由網(wǎng)絡(luò)管理模塊配合專用的軟（硬）件管理產(chǎn)品來 共同實現(xiàn)，網(wǎng)絡(luò)管理的主要任務(wù)應(yīng)落實在故障管理、配置管理和性能管理這三個方面。 配置管理 ? 網(wǎng)絡(luò)節(jié)點插板、端口和冗余結(jié)構(gòu)的配置和管理； ? 網(wǎng)絡(luò)節(jié)點訪問口令的設(shè)置和更改。 性能管理 ? 可以實時連續(xù)地收集網(wǎng)絡(luò)運行的相關(guān)數(shù)據(jù)，可用數(shù)字和圖形的方式顯示網(wǎng)絡(luò)運行的各種情況以及重要程度，需要時可發(fā)布指令到各節(jié)點，進行網(wǎng)絡(luò)控制 ； ? 可從相關(guān)節(jié)點收集業(yè)務(wù)量數(shù)據(jù)，進行統(tǒng)計、分類、記錄歸擋。使用這些信息為網(wǎng)絡(luò)建設(shè)提供規(guī)劃設(shè)計依據(jù)。 故障管理 ? 能實時監(jiān)視故障信息，并對其統(tǒng)計分析 ； ? 可形成節(jié)點、中繼線及用戶端口的告警產(chǎn)生、告警內(nèi) 容和告警清除的統(tǒng)計報告?？蓪崟r修改狀態(tài)圖以反映此故障。 校園網(wǎng)網(wǎng)絡(luò)設(shè)備較多但網(wǎng)絡(luò)結(jié)構(gòu)簡單，管理人員不多，比較適合采用集中的管理模式，即由一臺網(wǎng)管主機（或者備份主機）對整個網(wǎng)絡(luò)環(huán)境進