【正文】 1）服務(wù)端的配置因為這里定義的虛擬IP池和內(nèi)網(wǎng)不在同一個網(wǎng)段，所以要創(chuàng)建一個環(huán)回口作為SSL VPN客戶端的網(wǎng)關(guān)。圖319登陸驗證3）Cisco Easyvpn的驗證連接成功后在客戶端通過ipfig來查看VPN的信息，如圖320。圖317 VPN通道里加密的數(shù)據(jù)包到此IPSec VPN配置完畢。l 定義IKE2階段策略IKE2階段 強制性階段2利用階段1同意的參數(shù)在IPSec端點之間實現(xiàn)單向SA 使用單向SA也就意味著每個方向都要使用獨立的密鑰素材，階段2使用IKE的快速模式來建立每個方向的單向SA。IPSec VPN配置步驟如下：1）adquarter路由器上IPSec VPN的配置l 首先先定義感興趣的流量，只有這些感興趣的流量才會進入IPSec VPN隧道accesslist 101 permit gre host host /*定義允許走GRE通道的數(shù)據(jù)能夠進入IPSec VPN隧道。1）服務(wù)器的配置在路由與遠程訪問服務(wù)器中為L2TP連接允許定義IPSec策略，并輸入預(yù)共享密鑰123，如圖312所示?？刂葡⒇撠?zé)創(chuàng)建、維護及終止L2TP隧道，而數(shù)據(jù)隧道消息則負責(zé)用戶數(shù)據(jù)的真正傳輸。（3）客戶端配置完成后現(xiàn)在就可以進行VPN的連接了，打開剛才VPN連接，輸入用戶名和密碼，點擊連接。圖38 設(shè)置共享的機密配置身份驗證方法，為了增加安全身份認(rèn)證方法選擇MSCHAP、MSCHAP v2和CHAP，如圖39所示。1）服務(wù)器端的配置（1）配置Internet驗證服務(wù)器即RADIUS服務(wù)器的配置這里Internet驗證服務(wù)器把路由和遠程訪問服務(wù)器做為自己客戶端，而這兩個服務(wù)都在同一臺電腦上所以填寫的客戶端的IP地址就是本機自己的IP地址。4） 在總部Headquarter路由器上配置SSL VPN，遠程客戶端通過瀏覽器登錄到SSL VPN服務(wù)器，并訪問相應(yīng)的web資源。業(yè)務(wù)合作伙伴、供應(yīng)商和客戶也需要從自己的辦公室、工廠、家或其他地點，接入公司的相關(guān)應(yīng)用和內(nèi)容、訪問權(quán)限內(nèi)的相關(guān)資源。圖36 成功發(fā)布web服務(wù)器的示意圖 防火墻IDS的配置最后，在防火墻上啟用IDS功能：ip audit name attackrule attack action alarm resetip audit name inforule info action alarm resetip audit interface outside inforuleip audit interface outside attackrule至此，防火墻的基本配置部分完成，下面，將對VPN部分進行介紹。下面對防火墻的基本部分進行配置。l 內(nèi)部網(wǎng)通過NAT或PAT服務(wù)對Internet進行訪問，從而阻止內(nèi)部網(wǎng)暴露在外界中。 防火墻的配置防火墻是本網(wǎng)絡(luò)安全設(shè)計的核心部分，它的作用不僅僅是作為外網(wǎng)、內(nèi)部網(wǎng)及DMZ區(qū)的安全中轉(zhuǎn)站，還需要擔(dān)任VPN服務(wù)器的角色，防火墻一共有三個接口，inside端口，DMZ端口以及outside端口。根橋上的接口都是指定端口，會轉(zhuǎn)發(fā)數(shù)據(jù)包。在這些步驟中，哪個交換機能獲勝取決于一下因數(shù)：最低的根橋ID，最低的根路徑代價，最低發(fā)送者橋ID，最低發(fā)送者端口ID。STP基本思路是阻斷一些交換機接口，構(gòu)建一棵沒有環(huán)路的轉(zhuǎn)發(fā)樹。Coreswitch1配置如下： interface FastEthernet0/15 /*進入f 0/15口 no switchport /*設(shè)置為三層接口 ip address /*配置f 0/15口的IP地址 router ospf 100 /*啟用OSPF進程 network area 0 /*把f 0/15口參與OSPF進程 network area 0 /*把interface vlan 10虛接口參與OSPF進程 network area 0 /*把interface vlan 20虛接口參與OSPF進程 network area 0 /*把interface vlan 30虛接口參與OSPF進程network area 0 /*把interface vlan 40虛接口參與OSPF進程 Coreswitch2配置如下：router ospf 100 /*啟用OSPF進程 network area 0 /*把interface vlan 10虛接口參與OSPF進程 network area 0 /*把interface vlan 20虛接口參與OSPF進程 network area 0 /*把interface vlan 30虛接口參與OSPF進程network area 0 /*把interface vlan 40虛接口參與OSPF進程 三層交換機ACL的配置ACL技術(shù)在網(wǎng)絡(luò)安全中是一個很重要的技術(shù)，ACL可以靈活在交換機和路由器上使用，通過ACL技術(shù)可以控制不同VLAN即不同部門之間的訪問。首先要為caiwu部門配置一個DHCP的用來分配給客戶機地址池，地址池配置完成后還需要配置一些基本的信息，如默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的地址。在SW0上配置端口安全：interface range fastEthernet 0/23 /*進入fastEthernet 0/2 至3switchport portsecurity /*啟動端口安全switchport portsecurity maximum 1 /*允許最大MAC地址數(shù)switchport portsecurity macaddress sticky /*設(shè)置MAC地址的方式為粘性學(xué)習(xí) 三層交換機VLAN的配置在確保二層交換機配置完成后并檢查配置無誤后，進行三層交換機的配置。下面將對它的配置進行詳細的說明： 接入層交換機VLAN的配置打開Catalyst 2960交換機的Console口連接，進入特權(quán)模式進行配置。l 啟用三層交換功能做VLAN間路由，并配置訪問列表，使VLANVLANVLAN40能夠訪問VLAN10，但不能互相訪問。圖31企業(yè)總拓撲圖本設(shè)計中該企業(yè)網(wǎng)絡(luò)使用的接入層交換機是Cisco Catalyst 2960，其特性是端口速率是100Mb/s，支持全雙工模式，本設(shè)計中企業(yè)內(nèi)部網(wǎng)拓撲如圖32所示。對于外網(wǎng)接入，在防火墻上配置安全策略，允許外部連接可以到達指定服務(wù)器的服務(wù)端口，同時定義安全規(guī)則，允許指定的應(yīng)用數(shù)據(jù)包通過防火墻。在PIX防火墻上激活網(wǎng)絡(luò)入侵檢測IDS系統(tǒng)，提供對多個網(wǎng)絡(luò)的入侵檢測，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中存在供給行為或非正常數(shù)據(jù)包，防火墻將會報警并且在Log中留下記錄。這里的“主”和“子”是一個 相對的概念：每個控制中心對于它的下級的網(wǎng)段來說都是主控制中心，對于它的上級的網(wǎng)段來說又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無限的延伸下去。圖23 企業(yè)版殺毒軟件示意圖控制中心負責(zé)整個Symantec Endpoint Protection的管理與控制，是整個Symantec Endpoint Protection的核心，在部署Symantec Endpoint Protection網(wǎng)絡(luò)時，必須首先安裝。還有一個管理中心控制臺，可以對整個網(wǎng)絡(luò)的服務(wù)器端和客戶端程序集中管理，實現(xiàn)全網(wǎng)絡(luò)的同步更新和殺毒。另外代理型防火墻采取是一種代理機制，它可以為每一種應(yīng)用服務(wù)建立一個專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。其特點是完全阻隔了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。如下圖21所示。如果沒有防火墻內(nèi)網(wǎng)中的主機就會暴露于網(wǎng)絡(luò)中，很容易遭受黑客的攻擊。4）SSL（Secure Socket Layer）SSL是高層協(xié)議，是第四層隧道協(xié)議，SSL VPN和其他的VPN最大的不通之處就是客戶端只需要有瀏覽器就可以工作，不需要安裝其他的客戶端軟件，是VPN的可用性大大提高。不提供數(shù)據(jù)機密性 因此數(shù)據(jù)可以被偷窺，因此一般和ESP配合使用 利用HMAC驗證完整。IPSec的主要特征在于它可以對所有IP級的通信進行加密和認(rèn)證，正是這一點才使IPSec可以確保包括遠程登錄，電子郵件，文件傳輸及WEB訪問在內(nèi)多種應(yīng)用程序的安全。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進行用戶身份認(rèn)證。VPN服務(wù)端和VPN客戶端之間一定要采用相同的身份驗證，比如VPN服務(wù)端選擇了MSCHAP2，那么相應(yīng)的VPN客戶端也要選擇MSCHAP2，否則無法連接。而且 MSCHAP 不要求使用原文或可逆加密密碼。（2）CHAP身份驗證 CHAP通過使用MD5（一種工業(yè)標(biāo)準(zhǔn)的散列方案）來協(xié)商一種加密身份驗證的安全形式。（1）PAP口令驗證協(xié)議 是一種簡單的明文驗證方式。PPTP使用TCP（傳輸控制協(xié)議）連接的創(chuàng)建，維護，與終止隧道，并使用GRE(通用路由封裝)將PPP幀封裝成隧道數(shù)據(jù)。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。NAT還可以用于端口映射，在企業(yè)網(wǎng)中服務(wù)器群一般是放置在DMZ區(qū)域中，使用的是私有地址，如果某臺服務(wù)器要向外網(wǎng)發(fā)布服務(wù)的時候就需要在網(wǎng)絡(luò)出口的路由器和防火墻上做端口映射，這樣外網(wǎng)用戶就可以通過訪問企業(yè)的公網(wǎng)IP，就能夠訪問到內(nèi)網(wǎng)的服務(wù)器。另外，在NAT中經(jīng)常使用的術(shù)語：1）內(nèi)部局部地址（Inside Local Address）：在內(nèi)部網(wǎng)絡(luò)使用的地址，是私有地址。3）端口多路復(fù)用(Overload)改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復(fù)用方式。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。否則，在報文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作。 NAT技術(shù)到目前為止全球的IPv4的地址已經(jīng)耗盡，現(xiàn)在的地址缺乏或者說已經(jīng)沒有空余的IPv4的地址了，那么企業(yè)網(wǎng)絡(luò)中有很多主機需要訪問Internet，為每一臺主機分配一個公網(wǎng)地址那是不可能的事。編號范圍是從100~199以及2000~2699的訪問控制列表是擴展IP訪問控制列表。就我們現(xiàn)在的IP網(wǎng)絡(luò)來說ACL技術(shù)可以分為一下幾種：1）標(biāo)準(zhǔn)IP訪問控制列表一個標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。在企業(yè)網(wǎng)中ACL扮演著很重要的角色，在網(wǎng)絡(luò)中我們可以通過劃分VLAN來限制不同VLAN成員的互訪，但如果把二層交換機接入路由器或者三層交換機，那么原來不同VLAN是不通的，現(xiàn)在不同VLAN之間也能通信，那么原來通過劃分VLAN來使不同VLAN之間不能通信已經(jīng)行不通了。 ACL技術(shù)訪問控制列表ACL(Access Control List)技術(shù)在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。這類設(shè)備包括路由器和路由交換機。2）基于MAC地址的VLAN：MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是唯一的。網(wǎng)絡(luò)管理的簡單、直觀。VLAN就是一個網(wǎng)絡(luò)設(shè)備或用戶的邏輯組，該邏輯組是一個獨立的邏輯網(wǎng)絡(luò)、單一廣播域，而這個邏輯組的設(shè)定不受實際交換機區(qū)段的限制，也不受用戶所在的物理位置和物理網(wǎng)段的限制。3）保證供電安全可靠計算機和網(wǎng)絡(luò)主干設(shè)備對交流電源的質(zhì)量要求十分嚴(yán)格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標(biāo)，都要求保持在允許偏差范圍內(nèi)。物理安全重要性和措施主要涉及以下方面：1）保證機房環(huán)境安全信息系統(tǒng)中的計算機硬件、網(wǎng)絡(luò)設(shè)施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。 企業(yè)網(wǎng)應(yīng)用的主要技術(shù) 物理安全物理安全是整個計算機網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導(dǎo)致的破壞的過程。 術(shù)語及相關(guān)縮寫解釋l VLAN：全稱Virtual Local Area Network，虛擬局域網(wǎng)；l ACL：全稱Access Control List，訪問控制列表；l IDS：全稱Intrusion Detection System，入侵檢測系統(tǒng)；l NAT：全稱Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換；l PAT：全稱Port Address Translation，即端口地址轉(zhuǎn)換；l DMZ：全稱Demilitarized Zone，非軍事區(qū)，?；饏^(qū)，隔離區(qū)；l VPN: 全稱Virtual Private Network，虛擬裝用網(wǎng)；l VTP：全稱VLAN Trunking Protocol，VLAN中繼協(xié)議。所以只要計算機開著，就要防范病毒。 殺毒軟件誤區(qū)安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)，殺毒軟件誤區(qū)有以下幾種：1）在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理?？商峁?5Mbps的無線ATM接口和10Mbps的以太網(wǎng)無線幀結(jié)構(gòu)接口，以及TDD/TDMA的空中接口；支持語音、數(shù)據(jù)、圖像業(yè)務(wù)；一個扇區(qū)可接入多個用戶，每個用戶可帶多個用戶終