【正文】 30 / 30 。最后，向在百忙中抽出時(shí)間對(duì)本文進(jìn)行評(píng)審并提出寶貴意見(jiàn)的各位老師表示衷心的感謝！感謝所有教過(guò)我的老師你們辛苦了，在你們的教導(dǎo)下我知道了知識(shí)的發(fā)展前沿，知道了人生道理。在我撰寫(xiě)論文的過(guò)程中，王老師傾注了大量的心血和汗水，無(wú)論是在論文的選題、構(gòu)思和資料的收集方面，還是在論文的研究方法以及成文定稿方面，我都得到了王老師悉心細(xì)致的教誨和無(wú)私的幫助，特別是她廣博的學(xué)識(shí)、深厚的學(xué)術(shù)素養(yǎng)、嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和一絲不茍的工作作風(fēng)使我終生受益，在此表示真誠(chéng)地感謝和深深的謝意。3)通過(guò)這次的畢業(yè)論文設(shè)計(jì)，我真的學(xué)到了很多的東西，在實(shí)際的工作我們要做的除了模塊化的東西外，我們盡量要把東西系統(tǒng)化，因?yàn)楹芏鄸|西就是有聯(lián)系的你只要找到了他們的關(guān)系會(huì)為你處理問(wèn)題帶來(lái)很高的效率，我也從中發(fā)現(xiàn)了自身很多不足的地方知識(shí)面還不夠廣，系統(tǒng)的認(rèn)識(shí)問(wèn)題還不夠，在學(xué)習(xí)中趨于模塊化了，所有要加強(qiáng)系統(tǒng)化的學(xué)習(xí)，努力提高自己的技術(shù)水平。2）在設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，企業(yè)的商業(yè)目的是優(yōu)先處理的因素，因此要考慮其成本、擴(kuò)充性、安裝維護(hù)是否方便等?？偨Y(jié)1）隨著科技的發(fā)展，網(wǎng)絡(luò)在經(jīng)濟(jì)規(guī)模中正以不可替代的趨勢(shì)，扮演著“利用信息資源，協(xié)調(diào)生產(chǎn)成本，提高經(jīng)濟(jì)效益”的重要角色。黑客攻擊是網(wǎng)絡(luò)應(yīng)用安全的重點(diǎn)，但并不是全部。一般來(lái)說(shuō)，HACKER主要利用EMAIL或者JAVE Script等去控制其他主機(jī)，而且通常都以UNIX主機(jī)/服務(wù)器為主，因?yàn)樗鼈兪?4*7工作模式，方便被HACKER在方便的時(shí)候操縱和發(fā)起攻擊。LAND攻擊LAND攻擊是SYN攻擊一種演變，它似的好像主機(jī)是在自己給自己發(fā)送包，從而讓系統(tǒng)變得不斷的嘗試應(yīng)答自己。設(shè)備要做出大量的SYN回應(yīng)，而三次握手卻是無(wú)法正常完成，必須等待Time out之后（通常是1分鐘左右）。我們也可以利用ZXR10UAS的安全ARP功能去阻擋流量到廣播地址。中間系統(tǒng)接從廣播地址那里收到ICMP應(yīng)答請(qǐng)求，當(dāng)這些設(shè)備同時(shí)回答請(qǐng)求的時(shí)候，就會(huì)導(dǎo)致嚴(yán)重網(wǎng)絡(luò)阻塞。于是我們可以看到在SMURF攻擊中有3大部分：發(fā)起攻擊者，中間系統(tǒng)，和受害者。它需要大量虛假I(mǎi)CMP請(qǐng)求導(dǎo)向到IP廣播地址上。我們可以利用H3C 9512的源地址驗(yàn)證功能實(shí)現(xiàn)防止PING攻擊。但是需要發(fā)起這么大量的ICMP 請(qǐng)求是不可能從一臺(tái)具有正確IP地址的主機(jī)上做到的，因?yàn)檫@樣也會(huì)對(duì)自身產(chǎn)生很大的影響，發(fā)起者不得不接受同樣多的回應(yīng)。 DOS攻擊DOS攻擊也稱(chēng)強(qiáng)攻擊，其最基本的方法就是通過(guò)發(fā)起大量的服務(wù)請(qǐng)求，消耗服務(wù)器或網(wǎng)絡(luò)的系統(tǒng)資源，使之最終無(wú)法響應(yīng)其它請(qǐng)求，導(dǎo)致系統(tǒng)癱瘓。這樣，任何要發(fā)送到主機(jī)B的信息都會(huì)轉(zhuǎn)送到黑客的計(jì)算機(jī)上，而主機(jī)A和網(wǎng)關(guān)還認(rèn)為信息是流向了主機(jī)B——網(wǎng)絡(luò)上一個(gè)可信任的節(jié)點(diǎn)。這種假冒的信息頁(yè)將發(fā)送到主機(jī)A的路徑上的所有網(wǎng)關(guān)。一般說(shuō)來(lái)，當(dāng)一個(gè)網(wǎng)絡(luò)收到RIP信息時(shí)，這種信息是沒(méi)有得到驗(yàn)證的。更為嚴(yán)重的是ARP欺騙病毒及其變形“惡意竊聽(tīng)”等病毒的中毒主機(jī)會(huì)截取局域網(wǎng)范圍內(nèi)所有的通訊數(shù)據(jù)。一旦這種連接被檢測(cè)到，包探測(cè)程序就可以利用IP的其它弱點(diǎn)竊取其它連接信息。一旦探測(cè)軟件安裝完畢，黑客就可以通過(guò)分析經(jīng)過(guò)的所有數(shù)據(jù)流量，從而得到所需要的地址、帳號(hào)和密碼等數(shù)據(jù)。所有的包都含有源地址和目的地址，但是在IP包中沒(méi)有任何東西可以確認(rèn)IP包的源和目的地址是否變動(dòng)過(guò)。探測(cè)程序是一種分析網(wǎng)絡(luò)流量的網(wǎng)絡(luò)應(yīng)用程序。一般說(shuō)來(lái)黑客所使用的手段主要有下面幾類(lèi)。確實(shí)，網(wǎng)絡(luò)黑客幾乎與網(wǎng)絡(luò)同時(shí)誕生，黑客與反黑的斗爭(zhēng)從來(lái)就沒(méi)有停止過(guò)。系統(tǒng)中包含大量的網(wǎng)絡(luò)設(shè)備，必須為其配置功能強(qiáng)大的管理系統(tǒng)，該系統(tǒng)應(yīng)具有以下功能：(1)虛擬網(wǎng)管理、分配；(2)對(duì)所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理；(3)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)和管理；(4)對(duì)所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理和控制，包括網(wǎng)絡(luò)端口設(shè)備的開(kāi)放和關(guān)閉；(5)整個(gè)網(wǎng)絡(luò)的故障監(jiān)測(cè)，故障自動(dòng)報(bào)警功能；(6)整個(gè)網(wǎng)絡(luò)性能的統(tǒng)計(jì)和分析報(bào)告。針對(duì)防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。因此，可能需要配備加密設(shè)備對(duì)數(shù)據(jù)進(jìn)行傳輸加密。因?yàn)閿?shù)據(jù)是密文，所以，即使在傳輸過(guò)程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過(guò)先進(jìn)行技術(shù)手段，對(duì)數(shù)據(jù)傳輸過(guò)程中的完整性、真實(shí)性進(jìn)行鑒別。信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。針對(duì)重要信息可能通過(guò)電磁輻射或線路干擾等泄漏。 外網(wǎng)安全由于外網(wǎng)主要運(yùn)行企業(yè)各部門(mén)非涉密的內(nèi)部辦公業(yè)務(wù)以及運(yùn)行面向客戶的公開(kāi)信息，所以必須采取過(guò)硬的安全技術(shù)來(lái)實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不受Internet的“黑客”、病毒等攻擊。為此必須要設(shè)計(jì)一套健全的管理系統(tǒng)。此次建設(shè)的企業(yè)網(wǎng)絡(luò)系統(tǒng)是一個(gè)相當(dāng)復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)，包含多種設(shè)備和技術(shù)。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，必須要對(duì)它進(jìn)行詳盡的設(shè)計(jì)，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。企業(yè)網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布區(qū)域廣，網(wǎng)絡(luò)用戶多，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。SW5核心交換配置OSPF協(xié)議(其他配置一樣的，在這里不詳細(xì)敘述) router ospf 1 network network area1 network network area1第四章 網(wǎng)絡(luò)安全管理運(yùn)用多種技術(shù)，如VLAN、防病毒體系等，對(duì)各個(gè)部門(mén)、系所訪問(wèn)進(jìn)行控制，各單位之間在未授權(quán)的情況下不能互相訪問(wèn)，保證系統(tǒng)內(nèi)部的安全。沒(méi)有路由環(huán)路問(wèn)題：OSPF屬于LinkState路由協(xié)議，沒(méi)有環(huán)路問(wèn)題。支持路由總結(jié)(Route Summary)：OSPF ABR（連接多個(gè)區(qū)域的設(shè)備）具有路由總結(jié)的功能，如果連續(xù)地分配IP地址空間，則ABR僅向主干域廣播總結(jié)后的路由信息，抑制那些具體的路由信息的廣播，從而大大減小了其它域中路由器LSDB及路由表的大小。支持層次化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：網(wǎng)絡(luò)設(shè)計(jì)人員可以把一個(gè)大型OSPF網(wǎng)絡(luò)分成若干域(Area)，其中一個(gè)是主干域(Backbone Area, Area ID )，其它非主干域均與主干域相連，并通過(guò)主干域交換LSDB?？偟膩?lái)說(shuō)OSPF路由協(xié)議具有以下優(yōu)點(diǎn)：適合中小型企業(yè)網(wǎng)絡(luò)搭建節(jié)省網(wǎng)絡(luò)帶寬：OSPF屬于鏈路狀態(tài)協(xié)議，只有當(dāng)網(wǎng)絡(luò)連接狀態(tài)發(fā)生變化時(shí)才彼此更新變化了的拓?fù)湫畔ⅲ⒎钦麄€(gè)網(wǎng)絡(luò)的LSDB，從而大大節(jié)省了網(wǎng)絡(luò)帶寬，這對(duì)于大型的廣域網(wǎng)來(lái)說(shuō)很重要。在核心層交換機(jī)上配置SW5（由于各個(gè)端口配置相似，故只列出核心交換機(jī)SW5的e0/）：ip accesslist extended e0/evaluate admin deny ip deny ip deny ip deny ip permit ip any anyexitip accesslist extended eoutpermit ip any any reflect adminint e0/ip accessgroup eout outip accessgroup e0/ inexitOSPF提供了更多更靈活的路由控制策略，方便復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的用戶實(shí)施路由規(guī)劃。該名稱(chēng)是根據(jù)此訪問(wèn)表的類(lèi)型得來(lái)的。這些開(kāi)啟表項(xiàng)的創(chuàng)建是基于源于設(shè)備的可信方的會(huì)話進(jìn)行的，例如以太網(wǎng)或令牌環(huán)網(wǎng)的用戶連接到一個(gè)網(wǎng)段或連接到路由器端口的環(huán)。自反訪問(wèn)表在路由器的一邊創(chuàng)建I P流量的動(dòng)態(tài)開(kāi)啟，該過(guò)程是基于來(lái)自路由器另一邊的會(huì)話進(jìn)行的。 ACL的定義也是基于每一種協(xié)議的。根據(jù)以上設(shè)計(jì)和校園網(wǎng)的需求，公司的IP子網(wǎng)劃分見(jiàn)表和圖36所示：表36IP子網(wǎng)劃分： SW5Fa0/3Fa0/1Fa0/2SW6Fa0/3Fa0/1Fa0/2SW7Fa0/1Fa0/2Fa0/3Fa0/4 CoreSW1Fa0/1Fa0/2Fa0/3Fa0/4CoreSW2Fa0/1Fa0/2Fa0/3Fa0/4聚合R1Fa0/0Fa0/1Fa0/2PC1 PC2 PC3 PC4 PC5 PC6 PC7 PC8 （ACL）設(shè)計(jì)方案訪問(wèn)控制列表（Access Control List，ACL） 是路由器接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包?？晒芾硇裕旱刂返姆峙鋺?yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局?？蓴U(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性。