【文章內(nèi)容簡介】 帶寬 170Mbps l 網(wǎng)絡(luò)端口 3+1個(gè)管理快速以太網(wǎng)端口、可升級到5個(gè)快速以太網(wǎng)端口、1個(gè)SSM 擴(kuò)展插槽 l 用戶數(shù)限制無用戶數(shù)限制 l 入侵檢測 DoS l 安全標(biāo)準(zhǔn)UL 1950, CSA No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001 l 控制端口console l 管理思科安全管理器 (CSManager)l VPN支持 選擇該型號是因?yàn)閮r(jià)格適中,且功能齊全,較適合本校園網(wǎng)建設(shè)。在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間之間通過防火墻，建立起一個(gè)DMZ 區(qū)。與外網(wǎng)關(guān)聯(lián)業(yè)務(wù)的服務(wù)器都可以放在DMZ 區(qū)，Internet 上的用戶只能到達(dá)DMZ區(qū)相應(yīng)的服務(wù)器。并且內(nèi)部網(wǎng)絡(luò)到Internet 的連接，是通過NAT 地址翻譯的方式進(jìn)行，可以充分隱藏和保護(hù)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)設(shè)備。防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個(gè)作用：l 利用訪問控制列表（Access Control List ，ACL）實(shí)安全防護(hù)防火墻操作系統(tǒng)IOS 通過訪問控制列表（ACL）技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表，可以對數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類型、TCP 端口號進(jìn)行控制。這樣，我們就可以在Extranet 上建立第一道安全防護(hù)墻，屏蔽對內(nèi)部網(wǎng)Intranet 的非法訪問。例如，我們可以通過ACL 限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺或幾臺主機(jī)；限制可以被訪問的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外部用戶對主機(jī)的一些危險(xiǎn)應(yīng)用如TELNET 等。l 利用地址轉(zhuǎn)換（Network Address Translation，NAT）實(shí)現(xiàn)安全保護(hù)防火墻另外一個(gè)強(qiáng)大功能就是內(nèi)外地址轉(zhuǎn)換。進(jìn)行IP 地址轉(zhuǎn)換由兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP 地址，這可以使黑客（hacker）無法直接攻擊內(nèi)部網(wǎng)絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個(gè)好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。地址轉(zhuǎn)換（NAT）技術(shù)運(yùn)用在內(nèi)部主機(jī)與外部主機(jī)之間的互相訪問的時(shí)候，當(dāng)內(nèi)部訪問者想通過路由器外出時(shí)，路由器首先對其進(jìn)行身份認(rèn)證通過訪問列表（ACL）核對其權(quán)限，如果通過，則對其進(jìn)行地址轉(zhuǎn)換，使其以一個(gè)對外公開的地址訪問外部網(wǎng)絡(luò)；當(dāng)外部訪問者想進(jìn)入內(nèi)部網(wǎng)時(shí)，路由器同樣首先核對其訪問權(quán)限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應(yīng)的內(nèi)部主機(jī)。在XX學(xué)院網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過程中，在局域網(wǎng)上我們可以根據(jù)不同部門、不同業(yè)務(wù)類別劃分VLAN（虛網(wǎng)），通過把不同系統(tǒng)劃分在不同VLAN 的方式，將各系統(tǒng)完全隔離，實(shí)現(xiàn)對跨系統(tǒng)訪問的控制，既保證了安全性，也提高了可管理性。l VLAN（虛網(wǎng)）技術(shù)和VLAN 路由技術(shù)VLAN 技術(shù)用以實(shí)現(xiàn)對整個(gè)局域網(wǎng)的集中管理和安全控制。CISCO 局域網(wǎng)交換機(jī)的一大優(yōu)勢是具備跨交換機(jī)的VLAN（虛網(wǎng)）劃分和VLAN 路由功能。虛網(wǎng)是將一個(gè)物理上連接的網(wǎng)絡(luò)在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡(luò)一樣，是一種安全的防護(hù)。通過VLAN 路由實(shí)現(xiàn)對跨部門訪問的控制，既保證了安全性，也提高了可管理性。l InterVLAN Routing 原理每一個(gè)VLAN 都具有一個(gè)標(biāo)識，不同的VLAN 標(biāo)識亦不相同，交換機(jī)在數(shù)據(jù)鏈路層上可以識別不同的VLAN 標(biāo)識，但不能修改該VLAN 標(biāo)識，只有VLAN標(biāo)識相同的端口才能形成橋接，數(shù)據(jù)鏈路層的連接才能建立，因而不同VLAN的設(shè)備在數(shù)據(jù)鏈路層上是無法連通的。InterVLAN Routing 技術(shù)是在網(wǎng)絡(luò)層將VLAN標(biāo)識進(jìn)行轉(zhuǎn)換，使得不同的VLAN 間可以溝通，而此時(shí)基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的安全控制手段都可運(yùn)用，諸如Accesslist （訪問列表限制）、FireWall(防火墻)、TACACS+等，InterVLAN Routing 技術(shù)使我們獲得了對不同VLAN 間數(shù)據(jù)流動(dòng)的強(qiáng)有力控制。l MAC 地址過濾策略在內(nèi)部網(wǎng)中還可以利用Cisco 交換機(jī)的MAC 地址過濾功能對局域網(wǎng)的訪問提供鏈路層的安全控制。MAC 地址過濾能進(jìn)一步實(shí)現(xiàn)對局域網(wǎng)的安全控制。CISCO局域網(wǎng)交換機(jī)具有MAC 地址過濾功能，通過在交換機(jī)上對每個(gè)端口進(jìn)行配置，可以禁止或允許特定MAC 地址的源站點(diǎn)或目的站點(diǎn)，從而實(shí)現(xiàn)各站點(diǎn)之間的訪問控制。由于每塊網(wǎng)卡有唯一的MAC 地址，是固定不變的，只允許特定MAC 地址的工作站通過特定的端口進(jìn)行訪問，所以對MAC 地址的訪問控制實(shí)際上就是對指定工作站這一物理設(shè)備的訪問控制，由于MAC 地址的不可改變，與對IP 地址的過濾相比，具有更高的安全性。l 訪問安全控制從確保網(wǎng)絡(luò)訪問的安全出發(fā)，路由器對所有遠(yuǎn)程撥號訪問連接都由Radius設(shè)置AAA(Authentication Authorization Account，即認(rèn)證、授權(quán)、記帳)級安全控制，防止非法用戶的訪問。同時(shí)，在計(jì)費(fèi)服務(wù)器上，也提供Radius 認(rèn)證方式，兩者可以配合使用。（也可以只采用計(jì)費(fèi)服務(wù)器上的Radius認(rèn)證）。具體的實(shí)現(xiàn)細(xì)節(jié)如下：在網(wǎng)絡(luò)中配置一臺安裝Cisco Secure 軟件的服務(wù)器，Cisco Secure 軟件使用Radius（Remote Authentication Dialin User Service）協(xié)議提供對網(wǎng)絡(luò)的安全控制，并對成功連接到網(wǎng)絡(luò)的用戶的操作進(jìn)行記錄。對于遠(yuǎn)程撥號訪問，配置PPP 協(xié)議提供的CHAP（Challenge Handshake Authorization Protocol）認(rèn)證協(xié)議，該協(xié)議是一個(gè)基于標(biāo)準(zhǔn)的認(rèn)證服務(wù)，而且在傳輸過程中使用加密保護(hù)，與在傳輸用戶ID和口令時(shí)不使用加密的PAP 協(xié)議相比，具有更大的安全性，可提供用戶ID 和口令在傳輸線上的安全保護(hù)。RADIUS 提供的AAA 級安全控制首先根據(jù)用戶名和口令識別在本網(wǎng)絡(luò)中是否允許該用戶訪問，從而決定是否建立連接；其次對經(jīng)過認(rèn)證連接到網(wǎng)絡(luò)的用戶授予相應(yīng)的網(wǎng)絡(luò)服務(wù)級別，提供訪問的限制；最后保留用戶在本網(wǎng)絡(luò)中的所有操作記錄（日志），這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日期和時(shí)間以及用于計(jì)帳的連接時(shí)間、連接位置、數(shù)據(jù)傳輸量、開始時(shí)間和停止時(shí)間等。AAA 在Client/Server 體系中允許在一個(gè)中心數(shù)據(jù)庫中存儲所有的安全息，在一臺裝有Cisco Secure 軟件的安全服務(wù)器上通過對數(shù)據(jù)庫的修改和維護(hù)就可方便地對整個(gè)系統(tǒng)進(jìn)行很好的安全控制。Cisco Secure 軟件由一個(gè)Daemon 和一個(gè)GUI 兩部分組成。Daemon 的操作依賴于兩個(gè)文件，一個(gè)用于定義所有的系統(tǒng)參數(shù)的控制文件和一個(gè)包含了網(wǎng)絡(luò)用戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫文件。GUI 提供給系統(tǒng)管理員用于維護(hù)認(rèn)證和授權(quán)信息等，網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組，GUI 使系統(tǒng)管理員能夠修改網(wǎng)絡(luò)中任一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)管理性能是衡量一個(gè)網(wǎng)絡(luò)系統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng)完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運(yùn)行、保障網(wǎng)絡(luò)安全，查找并隔離網(wǎng)絡(luò)故障，記錄網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能?？傊?，對所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng)一管理。網(wǎng)管通常結(jié)合硬件和軟件的手段來實(shí)施，對不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和邏輯部分進(jìn)行監(jiān)控和分析。OSI 定義網(wǎng)管系統(tǒng)支持傳統(tǒng)五大網(wǎng)管功能：故障管理、配置管理、計(jì)費(fèi)管理、安全管理以及性能管理。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)設(shè)備共同完成。結(jié)合校園網(wǎng)的實(shí)際情況，我們認(rèn)為，安全管理與計(jì)費(fèi)管理可以由網(wǎng)絡(luò)管理模塊配合專用的軟（硬）件管理產(chǎn)品來共同實(shí)現(xiàn)，網(wǎng)絡(luò)管理的主要任務(wù)應(yīng)落實(shí)在故障管理、配置管理和性能管理這三個(gè)方面。配置管理l 網(wǎng)絡(luò)節(jié)點(diǎn)插板、端口和冗余結(jié)構(gòu)的配置和管理；l 網(wǎng)絡(luò)節(jié)點(diǎn)訪問口