freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(編輯修改稿)

2024-07-24 20:40 本頁面
 

【文章內(nèi)容簡介】 SA是2個對等體之間協(xié)商參數(shù)和用于網(wǎng)絡(luò)認證及加密的一些算法等。4)SSL(Secure Socket Layer)SSL是高層協(xié)議,是第四層隧道協(xié)議,SSL VPN和其他的VPN最大的不通之處就是客戶端只需要有瀏覽器就可以工作,不需要安裝其他的客戶端軟件,是VPN的可用性大大提高。SSL利用內(nèi)置在每個Web瀏覽器中的加密和驗證功能,并與安全網(wǎng)關(guān)相結(jié)合,提供安全遠程訪問企業(yè)應(yīng)用的機制,這樣,遠程移動用戶可以輕松訪問公司內(nèi)部B/S和C/S應(yīng)用及其他核心資源。在本設(shè)計中總部已分部之間可以使用總部分部這樣的方式在總部路由器和分部路由器之間建立一條IPSec VPN通道,移動客戶端可以使用PPTP、L2TP或者EasyVPN與總部互聯(lián)。 防火墻技術(shù)對于企業(yè)網(wǎng)來說最重要的就是防火墻,防火墻可以提高安全和減少外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的威脅。如果沒有防火墻內(nèi)網(wǎng)中的主機就會暴露于網(wǎng)絡(luò)中,很容易遭受黑客的攻擊。防火墻更具用戶設(shè)定的安全規(guī)則,對進入內(nèi)網(wǎng)以及出外網(wǎng)的數(shù)據(jù)包進行檢測,一旦發(fā)現(xiàn)威脅就斷開連接,使內(nèi)部網(wǎng)絡(luò)避免被黑客的攻擊。如今的防火墻各式各樣,但總體來講可以分為“包過濾型”和“應(yīng)用代理型”兩大類:1) 包過濾型包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。如下圖21所示。圖21包過濾防火墻示意圖包過濾方式是一種通用、廉價和有效的安全手段。之所以通用,是因為它不是針對各個具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式,適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價,是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能,所以這類防火墻多數(shù)是由路由器集成的;之所以有效,是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。2) 應(yīng)用代理型應(yīng)用代理型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點是完全阻隔了網(wǎng)絡(luò)通信流,通過對每種應(yīng)用服務(wù)編制專門的代理程序,實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖22所示。圖22應(yīng)用代理防火墻示意圖代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層,所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進行篩選保護,而不是像包過濾那樣,只是對網(wǎng)絡(luò)層的數(shù)據(jù)進行過濾。另外代理型防火墻采取是一種代理機制,它可以為每一種應(yīng)用服務(wù)建立一個專門的代理,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過代理服務(wù)器審核,通過后再由代理服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機任何直接會話的機會,從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。 企業(yè)版殺毒軟件1) 企業(yè)版殺毒軟件介紹網(wǎng)絡(luò)版殺毒軟件的一個最大的特點就是可以整個網(wǎng)絡(luò)主機和服務(wù)器同步殺毒,這對于網(wǎng)絡(luò)病毒橫行的今天來說尤其重要。因為在網(wǎng)絡(luò)中只要有一臺主機感染了病毒,則很可能在全網(wǎng)絡(luò)主機上感染。另外,網(wǎng)絡(luò)版實現(xiàn)全網(wǎng)絡(luò)服務(wù)器和客戶端程序同步更新。還有一個管理中心控制臺,可以對整個網(wǎng)絡(luò)的服務(wù)器端和客戶端程序集中管理,實現(xiàn)全網(wǎng)絡(luò)的同步更新和殺毒。2) 企業(yè)版殺毒軟件的實施這里選用Symantec Endpoint Protection,它是為各種簡單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計的計算機病毒網(wǎng)絡(luò)防護系統(tǒng),即適用于包含若干臺主機的單一網(wǎng)段網(wǎng)絡(luò),也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器,以及分布在不同城市,包含數(shù)十萬臺主機的超大型網(wǎng)絡(luò)。Symantec Endpoint Protection具有以下顯著特點:l 先進的體系結(jié)構(gòu)l 超強的殺毒能力l 完備的遠程控制l 方便的分級、分組管理主控制中心部署在DMZ服務(wù)器區(qū),子控制中心部署在3層交換機上面。如圖23所示。圖23 企業(yè)版殺毒軟件示意圖控制中心負責(zé)整個Symantec Endpoint Protection的管理與控制,是整個Symantec Endpoint Protection的核心,在部署Symantec Endpoint Protection網(wǎng)絡(luò)時,必須首先安裝。除了對網(wǎng)絡(luò)中的計算機進行日常的管理與控制外,它還實時地記錄著Symantec Endpoint Protection防護體系內(nèi)每臺計算機上的病毒監(jiān)控、查殺病毒和升級等信息。在1個網(wǎng)段內(nèi)僅允許安裝1臺控制中心。 根據(jù)控制中心所處的網(wǎng)段的不同,可以將控制中心劃分為主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,還要負責(zé)與它的上級——主控制中心進行通信。這里的“主”和“子”是一個 相對的概念:每個控制中心對于它的下級的網(wǎng)段來說都是主控制中心,對于它的上級的網(wǎng)段來說又是子控制中心,這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無限的延伸下去。 第三章 網(wǎng)絡(luò)安全的設(shè)計與實現(xiàn)本章主要對網(wǎng)絡(luò)系統(tǒng)的整體框架進行設(shè)計,并實現(xiàn)企業(yè)內(nèi)部局域網(wǎng)的搭建,VLAN間通信,DMZ區(qū)服務(wù)器交換機搭建,出口防火墻的安全配置以及VPN等。 整體框架說明將企業(yè)內(nèi)部網(wǎng)和服務(wù)器組成分別置于PIX防火墻的inside口和DMZ口相連接,防火墻的outside端口連接ISP的Internet接入。對于三個端口的權(quán)限設(shè)置為:outside為0、DMZ為50、inside為100(最高)。在PIX防火墻上激活網(wǎng)絡(luò)入侵檢測IDS系統(tǒng),提供對多個網(wǎng)絡(luò)的入侵檢測,一旦發(fā)現(xiàn)網(wǎng)絡(luò)中存在供給行為或非正常數(shù)據(jù)包,防火墻將會報警并且在Log中留下記錄。內(nèi)部網(wǎng)使用兩臺Cisco Catalyst 3640交換機提供的VLAN技術(shù)和虛擬訪問控制列表VACL等安全交換技術(shù),以及使用生成樹做冗余。同時通過合理的IP地址分配策略和路由策略,在接入層交換機上使用端口安全技術(shù)來對用戶的接入進行控制。服務(wù)器群應(yīng)該是通過一臺Cisco Catalyst 3640交換機連接到防火墻的DMZ端口,并為之獨立的分配一個VLAN,通過在防火墻做端口映射把內(nèi)網(wǎng)需要發(fā)布的服務(wù)器發(fā)布到外網(wǎng),同時通過防火墻上的訪問控制列表ACL和訪問端口數(shù)據(jù)監(jiān)控等安全技術(shù)提供對服務(wù)器的安全控制。對于外網(wǎng)接入,在防火墻上配置安全策略,允許外部連接可以到達指定服務(wù)器的服務(wù)端口,同時定義安全規(guī)則,允許指定的應(yīng)用數(shù)據(jù)包通過防火墻。在防火墻上配置VPN服務(wù)允許企業(yè)分部通過安全的VPN通道訪問企業(yè)內(nèi)部網(wǎng)。對于需要利用遠程訪問接入企業(yè)內(nèi)部網(wǎng)的用戶,DMZ區(qū)放置AAA為控制管理路由器權(quán)限的工具,限制登錄路由器用戶的權(quán)限。還有就是在防火墻上要配置NAT來代理內(nèi)部網(wǎng)絡(luò)訪問Interne,企業(yè)網(wǎng)總體拓撲如圖31所示。圖31企業(yè)總拓撲圖本設(shè)計中該企業(yè)網(wǎng)絡(luò)使用的接入層交換機是Cisco Catalyst 2960,其特性是端口速率是100Mb/s,支持全雙工模式,本設(shè)計中企業(yè)內(nèi)部網(wǎng)拓撲如圖32所示。圖32 企業(yè)內(nèi)部網(wǎng)拓撲圖如圖32所示,該企業(yè)網(wǎng)的接入層是由Cisco Catalyst 2960交換機組成,匯聚層和核心層劃在一起使用兩臺Cisco Catalyst 3640,Catalyst3640特點是端口速率為100Mb/s,支持雙工模式,而且路由功能是由硬件完成的能夠?qū)崿F(xiàn)更快的轉(zhuǎn)發(fā)速度。這樣可以減少企業(yè)購買設(shè)備的開銷,以及連接到交換機上的計算機構(gòu)成;從邏輯上看,內(nèi)部網(wǎng)包括四個VLAN,分別對應(yīng)四個IP段:VLAN1O:VLAN20:VLAN30:VLAN40:內(nèi)部網(wǎng)的核心是Cisco catalyst 3640交換機,它將與PIX防火墻的inside口相連接。Coreswitch1和Coreswitch2的預(yù)期功能是:l 建立四個VLAN,分別為VLAN10,VLAN20,VLAN30,VLAN40。l 啟用三層交換功能做VLAN間路由,并配置訪問列表,使VLANVLANVLAN40能夠訪問VLAN10,但不能互相訪問。l Coreswitch1為VLANVLANVLANVLAN40提供DHCP服務(wù)。l 在Coreswitch1和Coreswitch2以及接入層交換機之間配置生成樹,提高網(wǎng)絡(luò)的可靠性。l 做端口安全,限制每個接二層交換機的每個端口只能接1臺主機。下面將對它的配置進行詳細的說明: 接入層交換機VLAN的配置打開Catalyst 2960交換機的Console口連接,進入特權(quán)模式進行配置。這里以接入層的SW0交換機為例,配置如下:hostname SW0 /*將該交換機命名為SW0vlan database /*進入vlan數(shù)據(jù)庫vlan 10 name caiwu /*創(chuàng)建vlan 10并將其命名為caiwuexit /*退出并保存interface FastEthernet0/0 /*將F0/0口設(shè)置為Trunk口switchport mode trunkinterface FastEthernet0/1 /*將F0/1口設(shè)置為Trunk口switchport mode trunkinterface FastEthernet0/2 /將F0/2口劃分到vlan10中switchport access vlan 10interface FastEthernet0/3 /將F0/3口劃分到vlan10中switchport access vlan 10將SW0交換機上的Fastethernet0/2和Fastethernet0/3劃分到VLAN10,也就是劃分到財務(wù)部,在SW1上把fastethernet0/34端口劃分到VLAN20里,在SW5上把fastethernet0/34端口劃分到VLAN30里,在SW6上把fastethernet0/34劃分到VLAN40里。 接入層交換機端口安全配置交換機端口安全配置中通過maximum參數(shù)來設(shè)置交換機的一個端口最多允許幾臺PC接入,對于接入的MAC地址可以選擇粘性學(xué)習(xí)或者自己手工指定MAC地址。為了減小配置時間,本設(shè)計中將其設(shè)置成sticky粘性學(xué)習(xí)。在SW0上配置端口安全:interface range fastEthernet 0/23 /*進入fastEthernet 0/2 至3switchport portsecurity /*啟動端口安全switchport portsecurity maximum 1 /*允許最大MAC地址數(shù)switchport portsecurity macaddress sticky /*設(shè)置MAC地址的方式為粘性學(xué)習(xí) 三層交換機VLAN的配置在確保二層交換機配置完成后并檢查配置無誤后,進行三層交換機的配置。在三層交換機上配置內(nèi)部網(wǎng)絡(luò)里所有的VLAN,并給每個VLAN配置一個網(wǎng)關(guān)。以Coreswitch1配置為例,Coreswitch1的vlan配置如下: vlan database /*進入vlan配置模式 vlan 10 name caiwu /*新建vlan10并命名為caiwu vlan 20 name jishu /*新建vlan20并命名為jishu vlan 30 name xiaoshou /*新建vlan30并命名為xiaoshou vlan 40 name shouhou /*新建vlan40并命名為shouhou exit /*退出vlan配置模式自動保存vlan信息 interface vlan10 ip address /*配置vlan10的網(wǎng)關(guān)interface vlan20 ip address /*配置vlan20的網(wǎng)關(guān)interface vlan30 ip address /*配置vlan30的網(wǎng)關(guān)interface vlan40 ip address /*配置vlan40的網(wǎng)關(guān) exit 三層交換機DHCP的配置 DHCP服務(wù)可以為內(nèi)網(wǎng)的主機自動分配地址信息,可以大大簡化對網(wǎng)絡(luò)的管理,而且可以避免有些用戶因不會配置TCP/IP協(xié)議而導(dǎo)致無法上網(wǎng)的問題。在本設(shè)計中DHCP服務(wù)是由Coreswitch1來承擔(dān),下面以caiwu部門配置的DHCP為例。首先要為caiwu部門配置一個DHCP的用來分配給客戶機地址池,地址池配置完成后還需要配置一些基本的信息,如默認網(wǎng)關(guān)和DNS服務(wù)器的地址。Coreswitch1配置DHCP如下: ip dhcp pool caiwu /*為caiwu部門配置DHCP服務(wù) network /* defaultrouter /*設(shè)置默認網(wǎng)關(guān) dnsserver /*設(shè)置DNS服務(wù)器地址exitDHCP配置完成后內(nèi)網(wǎng)的主機就可以自動獲取到IP地址,圖33為內(nèi)網(wǎng)的一臺Windows 2000 。圖33 caiwu部門主機自動獲得的IP地址 三層交換機路由協(xié)議的配置本設(shè)計中使用的動態(tài)路由協(xié)議是OSPF(Open Shortest Path First,開放最短鏈路優(yōu)先)路由協(xié)議,因為OSPF協(xié)議有很多特點,比如收斂速度快、無路由環(huán)路、支持VLSM和CIDR、支持認證等,更重要的是OSPF是開放的路由協(xié)議支持不同廠商的設(shè)備互聯(lián)。在這里Coreswitch1的fastethernet 0/15口與Headquarter路由器的fastethernet f2/0口相連,所以需要把fastethernet 0/15口設(shè)置成三層接口,并分配一個IP地址。Coreswitch1配置如下: interface FastEthernet0/15 /*進入f 0/15口 no switchport /
點擊復(fù)制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1