【正文】 huadong(config)inter eth0/0 huadong(configif)ip address huadong(configif)no shutdown 以下是測試命令 : huadongping ? !!!!! ? 網(wǎng)絡(luò)整體安全解決方案與 VPN 27 huadongping ? !!!!! ? 在 IP地址為 的計算機上 : c:ping Pinging with 32 bytes of data: Reply from : bytes=32 time=5ms TTL=255 ?? 結(jié)果證明連接及配置正確。 關(guān)鍵是配置 IP 地址和啟用以太網(wǎng)接口。以下假定為一個，使用 PAT 模式，地址為 ，上級路由器為 。其中 ether0/0 端口接內(nèi)部網(wǎng)絡(luò)， serial0/0 端口接外部網(wǎng)絡(luò)。 Router(config)enable secret xxxxxxx Router(config)line vty 0 4 Router(configline)password xxxxxx Router(configline)exit Router(config)hostname huadong huadong(config) (3) 配置路由器的以太網(wǎng)接口，并測試與本地計算機的連通性 。執(zhí)行下述命令進(jìn)入配置模式。 以下黑體字為輸入部分， Enter 為鍵盤對應(yīng)鍵， ^Z為 Ctrl+Z 組合鍵。本配置在 華為 路由器上配置通過。 網(wǎng)絡(luò)配置步驟 在實施配置前，需要檢查硬件和軟件是否支持 VPN。通過進(jìn)一步的咨詢和調(diào)整，最終方案是分支機構(gòu)使用 DDN在本地接入 Inter，總部使用以太網(wǎng)就近接入 Inter。早期方案是使用路由器，通過速率為 256Kbps 的 DDN 專網(wǎng)連接北京總部。 VPN 的配置 網(wǎng)絡(luò)基本情況 該單位公司總部在北京，全國有 3 個分支機構(gòu)。本文根據(jù)一個應(yīng)用實例，具體描述 VPN 的配置和實施過程。 服務(wù)作用：通過及時、有效的補丁升級，能夠有效防止局域網(wǎng)主 機和 服務(wù)器相互之間的攻擊，降低現(xiàn)代 網(wǎng)絡(luò) 蠕蟲 病毒 對網(wǎng)絡(luò)的整體影響，增加網(wǎng)絡(luò)帶寬的有效利用率。 服務(wù)周期：不定期 。 服務(wù)作用：嚴(yán)格控制中心機房的人員進(jìn)出、設(shè)備進(jìn)出并及時登記設(shè)備的配置更新情況，有助于 網(wǎng)絡(luò) 核心設(shè)備 的監(jiān)控，確保網(wǎng)絡(luò)的正常運行。 服務(wù)內(nèi)容：協(xié)助用戶制訂并修改機房管理制度。 中心機房管理制度制訂以及修改 服務(wù)對象：中心機房 。 服務(wù)作用：針對 網(wǎng)絡(luò) 的整體情況，進(jìn)行總體、框架性分析。 服務(wù)周期：半年一次 。 安全 服務(wù)解決方案 在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對網(wǎng)絡(luò)進(jìn)行檢測、改進(jìn)，以達(dá)到動態(tài)增進(jìn)網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。 頁面防篡改系統(tǒng) 安裝位置： WWW 服務(wù)器 。 重要終端個人防護(hù) 軟件 安裝位置：重要終端 。 網(wǎng)絡(luò)管理軟件的作用： (1) 收集局域網(wǎng)中所有資源的硬件信息 ； (2) 收集局域網(wǎng)中所有終端和服務(wù)器的操作系統(tǒng)、系統(tǒng)補丁等軟件信息 ； (3) 收集交換機等網(wǎng)絡(luò)設(shè)備的工作狀況等信息 ； (4) 判斷局域網(wǎng)用戶是否使用了 MODEM 等非法網(wǎng)絡(luò)設(shè)備與 INTERNET 連接 ； (5) 顯示實時網(wǎng)絡(luò)連接情況 ； (6) 如果交換機等核心網(wǎng)絡(luò)設(shè)備出現(xiàn)異常，及時向網(wǎng)管中心報警 ； QOS 流量管理 安裝位置：如果是專門的產(chǎn)品安裝在路由器和防火墻之間 ； 部分防火墻 本身就有 QOS 帶寬管理模塊。 動態(tài)口令認(rèn)證系統(tǒng) 安裝位置：服務(wù)器端安裝在 WWW 服務(wù)器 (以及其他需要進(jìn)行口令加強的敏感服務(wù)器 )，客戶端配置給網(wǎng)頁更新人員 (或者服務(wù)器授權(quán)訪問用戶 )； 動態(tài)口令認(rèn)證系統(tǒng)的作用： 通過定期修改密碼，確保密碼的不可猜測性。 網(wǎng)絡(luò)整體安全解決方案與 VPN 23 反垃圾郵件系統(tǒng) 安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺服務(wù)器 上。 郵件防 病毒 軟件 ：對來自 INTERNTE 的電子郵件進(jìn)行檢測，根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件。 網(wǎng)絡(luò)防病毒軟件控制中心以及客戶端軟件 安裝位置：局域網(wǎng)防病毒服務(wù)器以及各個終端 防病毒服務(wù)器作用： (1) 作為防病毒軟件的控制中心，及時通過 INTERNET 更新病毒庫，并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件 ； (2)記錄各個終端的病毒庫升級情況 ； (3)記錄局域網(wǎng)中計算機病毒出現(xiàn)的時間、類型以及后續(xù)處理措施。 技術(shù)解決方案 安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強 ； 同時能夠有效降低安全管理的難度，提高安全管理的有效性。 解密： m=cd(mod n) 利用目前已經(jīng)掌握的知識和理論，分解 2048bit 的大整數(shù)已經(jīng)超過了 64 位計算機的運算 能力，因此在目前和預(yù)見的將來，它是足夠安全的。在 RSA 體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。最具有代表性是 RSA 公鑰密碼體制。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。這對密鑰中任何一把都可以作為公開密鑰（加 密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。如三重 DES是 DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨立的 56 為密鑰對信息進(jìn)行 3 次加密，從而使有效密鑰長度達(dá)到 112位。 如果在交換階段私有 密鑰未曾泄露 ， 那么機密性和報文完整性就可以得以保證。 在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。正是由于應(yīng)用網(wǎng)關(guān)的這些特點 ， 使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。由于這種產(chǎn)品是 基于應(yīng)用的 ， 應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求 ， 同時也能有效地控制安全系統(tǒng)的總擁有成本。因此 ， 監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義 ， 而且在安全性上也超越了前兩代產(chǎn)品雖然 監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻 ， 但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高 ， 也不易管理 ， 所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主 ， 但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。同時 ， 這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器 ， 這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中 ， 不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊 ， 同時對來自內(nèi)部的惡意破壞也有極強的防范作用。 監(jiān)測型 監(jiān)測型防火墻是新 一代的產(chǎn)品 ， 這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。 代理型防火墻的優(yōu)點是安全性較高 ， 可以針對應(yīng)用層進(jìn)行偵測和掃描 ， 對付基于應(yīng)用層的侵入和病毒都十分有效。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時 ， 首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器 ， 代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù) ， 然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。代理服務(wù)器位于客戶機與服務(wù)器之間 ， 完全阻擋了二者間的數(shù)據(jù)交流。配置命令如下： 首先要建立本地口令數(shù)據(jù)庫 Router(config)username remoteuser password 123 Router(config)interface serial 0/0 Router(configif)ppp authentication pap 到此路由器的配置就基本上完成了，接下來我們進(jìn)行防火墻的配置。但 CHAP 對端系統(tǒng)要求很高，需要耗費較多的 CPU 資源，一般只用在對安全性要求很高的場合。命令如下： Router(config)accesslist 101 deny udp any any ep snmp Router(config)accesslist 101 deny udp any any ep snmptrap Router(config)accesslist 101 deny tcp any any ep tel Router(config)accesslist 101 deny tcp any any range 512 514 Router(config)accesslist 101 deny tcp any any eq 111 Router(config)accesslist 101 deny udp any any eq 111 Router(config)accesslist 101 deny tcp any any eq 2049 Router(config)accesslist 101 permit ip any any Router(config)interface serial 0/0 Router(configif)ip accessgroup 101 in 設(shè)置只允許來自服務(wù)器的 IP 地址才能訪問并配置 路由器 命令如下： Router(config)line vty 0 4 Router(configline)accessclass 2 in/建立訪問控制列表 2（ ACL2） Router(configline)exit Router(config)accesslist 2 permit 防火墻與信息的加密以及分類 19 為了支持無類別網(wǎng)絡(luò)以及全零子網(wǎng)進(jìn)行如下的配置： Router(config)ip classless Router(config)ip subzero 配置路由器的封裝協(xié)議身份認(rèn)證 Router(config)interface serial 0/0 Router(configif)encapsulation ppp 配置路由器的身份認(rèn)證 Ppp 提供了兩種可選的身份驗證方法 [10]： 口令驗證協(xié)議 PAP(Password Authentication protocol， PAP)和質(zhì)詢握 手驗證協(xié)議 CHAP(Challenge Handshake Authentication Protocol， CHAP)。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的 ACL 進(jìn)行縝密的設(shè)計，來對企 業(yè)內(nèi)網(wǎng)包括對防火墻本身實施保護(hù)。路由器上的 ACL是保護(hù)內(nèi)網(wǎng)安全的有效手段。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只 要進(jìn)行常規(guī)操作即可。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的 IP 地址和端口來請求訪問。 在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。它允許具有私有 IP 地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。有經(jīng)驗的黑客很容易偽造 IP 地址 ， 騙過包過濾型防火墻。 但包過濾技術(shù)的缺陷也是明顯的。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ， 一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包 ， 防火墻便會將 這些數(shù)據(jù)拒之門外。 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品 ， 其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。 另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障 ， 防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列 ， 防火墻處于 5層網(wǎng)絡(luò)安全體系中的最底層 ， 屬于網(wǎng)絡(luò)層安全技術(shù)范疇。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來 實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。這款交換機支持端口鏡像功能，公安部門可通過這項功能對企業(yè)內(nèi)網(wǎng)進(jìn)行監(jiān)控，防止內(nèi)網(wǎng)用戶訪問非法網(wǎng)站，為企業(yè)網(wǎng)絡(luò)提供一個安全健康的環(huán)境。 銳捷網(wǎng)絡(luò) RGS1824S 大中 型企業(yè)網(wǎng)絡(luò)方案與三層交換機的構(gòu)建 14 RGS1824S 是一款高性能可管理的交換機，該款交換機具有 的背板帶寬，其 數(shù)據(jù)包轉(zhuǎn)發(fā)率達(dá)到快速以太網(wǎng)的線速值，能夠充分滿足企業(yè)用戶的需要。 對于連接最底層計算機的交換機要求不高，由于它們只是起連接底層計算機的作用，因此，這類交換機產(chǎn)品，用戶可根據(jù)自己計算機的實際數(shù)量進(jìn)行選擇。支持 VLAN 可對設(shè)計部在計算機數(shù)量過大時，再繼續(xù)細(xì)劃 VLAN；而支持的流量功能可為每臺服務(wù)器分配合理的帶寬。并且該款交換機在管理上十分方便，為管理員對該款交換機進(jìn)行管理減輕了負(fù)擔(dān)。該款交換機支持流量控制功能，帶寬分配最小顆?？蛇_(dá)到 100K，管理員可通過設(shè)置為每個端口分配網(wǎng)絡(luò)帶寬，讓服務(wù)器和設(shè)計部下面的交換機都能合理分配到網(wǎng)絡(luò)帶寬。 STARS1926G+千