【正文】 global(outside) 1 .*.* netmask 將把來(lái)自inside接口1 *.*的地址。靜態(tài)NAT：指IP地址一對(duì)一的轉(zhuǎn)換。Ciscoasa(config)nat (inside) 2 將此地址激活NATCiscoasa(config)global 2 .*.* .*.*PAT：指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換。內(nèi)部所有網(wǎng)絡(luò)均可以共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)internet的訪(fǎng)問(wèn)，從而可以最大限度節(jié)約IP地址資源。同時(shí)，又可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自己internet的攻擊。因此，做NAT時(shí)推薦用PAT。Ciscoasa(config)nat (inside) 3 將此地址激活NATCiscoasa(config)global (outside) 3 interface(這個(gè)是電信只提供了一個(gè)IP時(shí)可以這樣做，所有內(nèi)網(wǎng)共享一個(gè)IP上網(wǎng))當(dāng)外網(wǎng)需要訪(fǎng)問(wèn)內(nèi)網(wǎng)中的一臺(tái)服務(wù)器時(shí)，ASA并不知道訪(fǎng)問(wèn)的是哪 一臺(tái)內(nèi)網(wǎng)中的機(jī)器，這時(shí)就需要做靜態(tài)的端口映射。語(yǔ)法：Ciscoasa(config)accesslist listname extended permit tcp/udp any hsot outside_address eq port_numlist_name:訪(fǎng)問(wèn)控制列表名稱(chēng)tcp/udp:需要映射的協(xié)議類(lèi)型port_num:需要映射的端口號(hào)Ciscoasa(config)static (inside,outside) tcp/udp interface port_num local_address port_num netmask Tcp/udp:需要映射的協(xié)議類(lèi)型port_num：映射前的端口號(hào)local_address：映射后的內(nèi)網(wǎng)主機(jī)IP地址port_num：映射后的端口號(hào)例如：Ciscoasa(config)accesslist 100 extended permit tcp any host .*.* eq 80.*.*的tcp 80端口Ciscoasa(config)static (inside,outside) tcp interface 80 80 netmask 80端口Ciscoasa(config)accessgroup 100 in intercae outside peruseroverride訪(fǎng)問(wèn)必須調(diào)用ACL備注如果，只是需要將內(nèi)網(wǎng)一個(gè)服務(wù)器映射到公網(wǎng)可以這樣做ciscoasa(config)static (inside, outside) .*.* ciscoasa(config)static (inside, outside) .*.* 10000 10 后面的10000為限制連接數(shù)，10為限制的半開(kāi)連接數(shù)。（ACL）配置配置訪(fǎng)問(wèn)控制列表的一般步驟216。 配置訪(fǎng)問(wèn)控制列表216。 接口方向的調(diào)用標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表 語(yǔ)法ciscoasa(config)accesslist list_name standard deny/permit des_address netmask list_name:標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表的名稱(chēng)（199） deny/permit：阻止或是允許符合此條規(guī)則的流量 des_address ：需要做控制的目的地址 netmask:需要做控制的目的地址的掩碼ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表的名稱(chēng)interface_name:調(diào)用控制列表的接口名擴(kuò)展訪(fǎng)問(wèn)控制列表ciscoasa(config)accesslist listname extended deny/permit tcp/udp sour_address sour_mask des_address des_mask eq port_numlistname:擴(kuò)展訪(fǎng)問(wèn)控制列表名稱(chēng)deny/permit:拒絕/允許符合此條規(guī)則的流量tcp/udp：此條規(guī)則匹配的協(xié)議sour_address：此條規(guī)則匹配的源地址sour_mask：此條規(guī)則匹配的源地址掩碼des_address：此條規(guī)則匹配目的地址des_mask：此條規(guī)則匹配目的地址掩碼port_num：此條規(guī)則匹配的端口號(hào)ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:調(diào)用接口的入與出口向interface_name：調(diào)用控制列表的接口名例句：ciscoasa(config) accesslist 400 extended deny udp eq 80 ciscoasa(config)accessgroup 400 in interface inside 防火墻工作狀態(tài)調(diào)試Ciscoasa show runningconfig查看當(dāng)前ASA配置Ciscoasa show cpu usage可查看CPU使用率(正常應(yīng)該在80%以下)Ciscoasashow memory內(nèi)存使用：Ciscoasashow conn count Xlate 表大小Ciscoasashow interface interface_name端口狀態(tài)Ciscoasaping ip_address(ip地址) Ping驗(yàn)證防火墻的連接性Ciscoasashow route查看路由表Ciscoasashow accesslist ASA防火墻ACL檢查**大學(xué)管理學(xué)學(xué)士學(xué)位論文 第七章 WLAN安全設(shè)計(jì)方案第七章 WLAN安全設(shè)計(jì)方案無(wú)線(xiàn)局域網(wǎng)（WLAN）技術(shù)于20世紀(jì)90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線(xiàn)網(wǎng)絡(luò)的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線(xiàn)網(wǎng)絡(luò)。隨著其技術(shù)的快速發(fā)展和不斷成熟，目前在國(guó)內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶(hù)提供各種業(yè)務(wù)。上海絕大部分地方也實(shí)現(xiàn)覆蓋。因?yàn)槠錅p少了布線(xiàn)的繁雜性以及移動(dòng)的方便性，現(xiàn)在校園網(wǎng)也慢慢向無(wú)線(xiàn)這一塊轉(zhuǎn)型 。216。 簡(jiǎn)易性WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線(xiàn)等繁瑣工作；216。 靈活性無(wú)線(xiàn)技術(shù)使得WLAN設(shè)備可以靈活的進(jìn)行安裝并調(diào)整位置，使無(wú)線(xiàn)網(wǎng)絡(luò)達(dá)到有線(xiàn)網(wǎng)絡(luò)不易覆蓋的區(qū)域；216。 綜合成本較低一方面WLAN網(wǎng)絡(luò)減少了布線(xiàn)的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線(xiàn)局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。同時(shí)，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過(guò)百兆自適應(yīng)網(wǎng)口和企業(yè)、學(xué)校內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設(shè)備；216。 擴(kuò)展能力強(qiáng)WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；無(wú)線(xiàn)局域網(wǎng)絡(luò)主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，同時(shí)由于學(xué)生出于技術(shù)的研究興趣，會(huì)對(duì)網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時(shí)網(wǎng)絡(luò)安全問(wèn)題在組網(wǎng)時(shí)必須考慮問(wèn)題，安全方式主要側(cè)重幾個(gè)方面：用戶(hù)安全、網(wǎng)絡(luò)安全，而在校園網(wǎng)絡(luò)中主要依附于用戶(hù)實(shí)體的屬性主要包括用戶(hù)使用的信息終端二層屬性（諸如：MAC地址）及用戶(hù)的帳號(hào)、密碼，而對(duì)于學(xué)校學(xué)生用戶(hù)來(lái)，帳號(hào)信息都是一個(gè)實(shí)名原則，與學(xué)生的學(xué)藉進(jìn)行關(guān)聯(lián)的，這樣本無(wú)線(xiàn)網(wǎng)絡(luò)中著重考慮使用無(wú)線(xiàn)網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時(shí)也要考慮與無(wú)線(xiàn)相關(guān)的有線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題，對(duì)于原有有線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題，我們已經(jīng)在以上詳細(xì)配置好。在這里就不在贅述。針對(duì)校園應(yīng)用的安全解決方案，從校園用戶(hù)角度而言，隨著無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用的推進(jìn)，管理員需要更加注重?zé)o線(xiàn)網(wǎng)絡(luò)安全的問(wèn)題，針對(duì)不同的用戶(hù)需求，有一系列不同級(jí)別的無(wú)線(xiàn)安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE ，從MAC地址過(guò)濾到IEEE ，可分別滿(mǎn)足辦公室局部用戶(hù)、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級(jí)別的安全需求。 對(duì)于辦公室局部無(wú)線(xiàn)用戶(hù)而言，無(wú)線(xiàn)覆蓋范圍較小，接入用戶(hù)數(shù)量也比較少，沒(méi)有專(zhuān)業(yè)的管理人員，對(duì)網(wǎng)絡(luò)安全性的要求相對(duì)較低。通常情況下不會(huì)配備專(zhuān)用的認(rèn)證服務(wù)器，這種情況下，可直接采用AP進(jìn)行認(rèn)證，WPA2PSK+AP隱藏可以保證基本的安全級(jí)別。 在學(xué)校園區(qū)無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境中，考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶(hù)數(shù)量，AP和無(wú)線(xiàn)網(wǎng)卡的數(shù)量必將大大增加，同時(shí)由于使用的用戶(hù)較多，安全隱患也相應(yīng)增加，此時(shí)簡(jiǎn)單的WPAPSK已經(jīng)不能滿(mǎn)足此類(lèi)用戶(hù)的需求。如表中所示的中級(jí)安全方案使用支持IEEE ，并通過(guò)后臺(tái)的Radius服務(wù)器進(jìn)行用戶(hù)身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶(hù)接入，并可對(duì)用戶(hù)權(quán)限進(jìn)行區(qū)分。具體安全劃分及技術(shù)方案選擇如表71所示。表71安全劃分及技術(shù)方法選擇 Safety division and technical methods selection典型場(chǎng)合使用技術(shù)辦公室局部無(wú)線(xiàn)網(wǎng)WPA2PSK＋AP隱藏學(xué)校園區(qū)無(wú)線(xiàn)網(wǎng)＋Radius認(rèn)證為了進(jìn)一步加強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全性和保證不同廠(chǎng)家之間無(wú)線(xiàn)安全技術(shù)的兼容， ，并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE 。IEEE 標(biāo)準(zhǔn)中主要包含加密技術(shù)：TKIP (Temporal Key Integrity Protocol) 和AES(Advanced Encryption Standard)，以及認(rèn)證協(xié)議： 。IEEE 。——WPA2PSK＋AP隱藏基礎(chǔ)安全主要應(yīng)用于小型辦公網(wǎng)絡(luò)，比如教師辦公室，因?yàn)椴季€(xiàn)相對(duì)于無(wú)線(xiàn)來(lái)說(shuō)要復(fù)雜的多，采用無(wú)線(xiàn)相對(duì)要方便。因?yàn)橹皇菓?yīng)用于日常辦公，所以使用WPA2PSK加密方式和AP隱藏就可以應(yīng)付網(wǎng)絡(luò)安全。下面我們以騰達(dá)無(wú)線(xiàn)路由器來(lái)示例無(wú)線(xiàn)加密配置的方法。第一步：首先我們根據(jù)路由器的說(shuō)明書(shū)：進(jìn)入無(wú)線(xiàn)路由的web頁(yè)面。默認(rèn)地址是：，因產(chǎn)品而異。默認(rèn)賬戶(hù)和密碼是admin。： 路由器登入界面 router interface 第二步：點(diǎn)擊無(wú)線(xiàn)設(shè)置→無(wú)線(xiàn)安全選擇加密方式，有三種方式可選：，選擇好加密方式和填寫(xiě)好密碼之后，確定就可以了。 The router encryption The router encryption configuration diagram第三步：為了防止因?yàn)閭€(gè)人使用P2P下載占用帶寬，我們可以每個(gè)端口進(jìn)行帶寬控制。，我們可以限定上傳和下載的帶寬，控制個(gè)別用戶(hù)占用帶寬。同樣我們可以對(duì)每個(gè)端口的MAC地址和路由器進(jìn)行綁定。一面非法諸如的非法接入。Fig Limit the speed of connection MAC地址過(guò)濾配置Fig MAC address filtering configuration第四步：AP隱藏，我們可以對(duì)路由的禁用廣播地址，然后再端口上就找不到該路由器的SSID，想接入網(wǎng)就要自己輸入該路由器正確的SSID和密碼才能夠進(jìn)行上網(wǎng)。Fig Hidden AP and configuration SSID——＋Radius認(rèn)證WLAN的中級(jí)安全主要應(yīng)用于校園網(wǎng)內(nèi)部，學(xué)生對(duì)無(wú)線(xiàn)進(jìn)行認(rèn)證上網(wǎng)，（如EAPTLS）可以滿(mǎn)足WLAN大部分的安全需求。 X identity solutions network access process該WLAN中四大基本組件分別為216。 無(wú)線(xiàn)客戶(hù)端該組件是運(yùn)行需要訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的應(yīng)用程序的計(jì)算機(jī)或設(shè)備?？蛻?hù)端可加密網(wǎng)絡(luò)通信量、存儲(chǔ)并安全交換憑據(jù)（如密鑰或密碼）。216。 無(wú)線(xiàn)AP在網(wǎng)絡(luò)術(shù)語(yǔ)中，該組件稱(chēng)作“網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)（NAS）”，但無(wú)線(xiàn)標(biāo)準(zhǔn)稱(chēng)它為“AP”，無(wú)線(xiàn)AP實(shí)時(shí)訪(fǎng)問(wèn)控制功能來(lái)允許或拒絕網(wǎng)絡(luò)訪(fǎng)問(wèn)，并提供加密無(wú)線(xiàn)通信量的能力。AP還可安全地與客戶(hù)端共享加密密鑰，以確保網(wǎng)絡(luò)通信流的安全。最后，它可查詢(xún)身份驗(yàn)證和授權(quán)服務(wù)，然后做出授權(quán)決定。216。 身份驗(yàn)證服務(wù)（AS）該組件存儲(chǔ)和驗(yàn)證有效用戶(hù)的憑據(jù)，并根據(jù)訪(fǎng)問(wèn)策略做出授權(quán)決定。此外，還可收集客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)的記賬信息和審核信息。RADIUS服務(wù)器是AS的主要組件，但目錄和CA也用于實(shí)現(xiàn)此功能。 216。 內(nèi)部網(wǎng)絡(luò)該組件是聯(lián)網(wǎng)服務(wù)的安全區(qū)域，無(wú)線(xiàn)客戶(hù)端應(yīng)用需要獲得對(duì)它的訪(fǎng)問(wèn)權(quán)限。 WLAN安全性必須配置兩個(gè)主要的軟件解決方案組件。其一是 ISA網(wǎng)絡(luò)訪(fǎng)問(wèn)策略。其二是客戶(hù)端計(jì)算機(jī)的Active組策略。 ISA網(wǎng)絡(luò)訪(fǎng)問(wèn)策略是網(wǎng)絡(luò)訪(fǎng)問(wèn)管理解決方案的核心，代表WLAN安全策略的設(shè)置自動(dòng)部署在沒(méi)個(gè)基于ISA的Radius服務(wù)器中，該策略主要包括遠(yuǎn)程訪(fǎng)問(wèn)策略和連接請(qǐng)求策略。遠(yuǎn)程訪(fǎng)問(wèn)策略通過(guò)無(wú)線(xiàn)AP強(qiáng)制訪(fǎng)問(wèn)網(wǎng)絡(luò)，連接請(qǐng)求策略確定如何處理來(lái)自各種配置為Radius客戶(hù)端的無(wú)線(xiàn)AP的Radius請(qǐng)求?？蛻?hù)端計(jì)算機(jī)的Active Directory 組策略包含所有將部署到基于Windows XP/7的客戶(hù)端計(jì)算機(jī)設(shè)置。該組策略影響客戶(hù)端與無(wú)線(xiàn)AP、Radius服務(wù)器和其他無(wú)線(xiàn)網(wǎng)絡(luò)的交互。每種遠(yuǎn)程訪(fǎng)問(wèn)策略的創(chuàng)建和配置設(shè)計(jì)為每種策略建立以下3種設(shè)置。策略文件、策略權(quán)限和策略配置文件，如下表72遠(yuǎn)程范維根策略條件和表73遠(yuǎn)程訪(fǎng)問(wèn)策略配置文件選項(xiàng)所示表 72 遠(yuǎn)程訪(fǎng)問(wèn)策略條件 Remote access strategies conditions策略條件匹配條件備注NAS端口類(lèi)型無(wú)線(xiàn)其他，該條件可識(shí)別老師無(wú)線(xiàn)AP硬件的傳入請(qǐng)求Windows組“遠(yuǎn)程訪(fǎng)問(wèn)策略——無(wú)線(xiàn)訪(fǎng)問(wèn)”安全組的成員資格這是一種域通用安全組，包含了嵌套的用戶(hù)和計(jì)算機(jī)（可訪(fǎng)問(wèn)WLAN）全劇組該解決方案中遠(yuǎn)程訪(fǎng)問(wèn)策略的策略權(quán)限設(shè)置為“授予”，用戶(hù)賬戶(hù)配置了通過(guò)“遠(yuǎn)程訪(fǎng)問(wèn)策略控制訪(fǎng)問(wèn)”設(shè)置。表73遠(yuǎn)程訪(fǎng)問(wèn)策略配置文件選