【正文】 表73遠(yuǎn)程訪(fǎng)問(wèn)策略配置文件選。每種遠(yuǎn)程訪(fǎng)問(wèn)策略的創(chuàng)建和配置設(shè)計(jì)為每種策略建立以下3種設(shè)置。客戶(hù)端計(jì)算機(jī)的Active Directory 組策略包含所有將部署到基于Windows XP/7的客戶(hù)端計(jì)算機(jī)設(shè)置。 ISA網(wǎng)絡(luò)訪(fǎng)問(wèn)策略是網(wǎng)絡(luò)訪(fǎng)問(wèn)管理解決方案的核心，代表WLAN安全策略的設(shè)置自動(dòng)部署在沒(méi)個(gè)基于ISA的Radius服務(wù)器中，該策略主要包括遠(yuǎn)程訪(fǎng)問(wèn)策略和連接請(qǐng)求策略。其一是 ISA網(wǎng)絡(luò)訪(fǎng)問(wèn)策略。 內(nèi)部網(wǎng)絡(luò)該組件是聯(lián)網(wǎng)服務(wù)的安全區(qū)域，無(wú)線(xiàn)客戶(hù)端應(yīng)用需要獲得對(duì)它的訪(fǎng)問(wèn)權(quán)限。RADIUS服務(wù)器是AS的主要組件，但目錄和CA也用于實(shí)現(xiàn)此功能。 身份驗(yàn)證服務(wù)（AS）該組件存儲(chǔ)和驗(yàn)證有效用戶(hù)的憑據(jù)，并根據(jù)訪(fǎng)問(wèn)策略做出授權(quán)決定。最后，它可查詢(xún)身份驗(yàn)證和授權(quán)服務(wù)，然后做出授權(quán)決定。 無(wú)線(xiàn)AP在網(wǎng)絡(luò)術(shù)語(yǔ)中，該組件稱(chēng)作“網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)（NAS）”，但無(wú)線(xiàn)標(biāo)準(zhǔn)稱(chēng)它為“AP”，無(wú)線(xiàn)AP實(shí)時(shí)訪(fǎng)問(wèn)控制功能來(lái)允許或拒絕網(wǎng)絡(luò)訪(fǎng)問(wèn)，并提供加密無(wú)線(xiàn)通信量的能力?？蛻?hù)端可加密網(wǎng)絡(luò)通信量、存儲(chǔ)并安全交換憑據(jù)（如密鑰或密碼）。 X identity solutions network access process該WLAN中四大基本組件分別為216。Fig Limit the speed of connection MAC地址過(guò)濾配置Fig MAC address filtering configuration第四步：AP隱藏，我們可以對(duì)路由的禁用廣播地址，然后再端口上就找不到該路由器的SSID，想接入網(wǎng)就要自己輸入該路由器正確的SSID和密碼才能夠進(jìn)行上網(wǎng)。同樣我們可以對(duì)每個(gè)端口的MAC地址和路由器進(jìn)行綁定。 The router encryption The router encryption configuration diagram第三步：為了防止因?yàn)閭€(gè)人使用P2P下載占用帶寬，我們可以每個(gè)端口進(jìn)行帶寬控制。默認(rèn)賬戶(hù)和密碼是admin。第一步：首先我們根據(jù)路由器的說(shuō)明書(shū)：進(jìn)入無(wú)線(xiàn)路由的web頁(yè)面。因?yàn)橹皇菓?yīng)用于日常辦公，所以使用WPA2PSK加密方式和AP隱藏就可以應(yīng)付網(wǎng)絡(luò)安全。IEEE 。表71安全劃分及技術(shù)方法選擇 Safety division and technical methods selection典型場(chǎng)合使用技術(shù)辦公室局部無(wú)線(xiàn)網(wǎng)WPA2PSK＋AP隱藏學(xué)校園區(qū)無(wú)線(xiàn)網(wǎng)＋Radius認(rèn)證為了進(jìn)一步加強(qiáng)無(wú)線(xiàn)網(wǎng)絡(luò)的安全性和保證不同廠(chǎng)家之間無(wú)線(xiàn)安全技術(shù)的兼容， ，并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE 。如表中所示的中級(jí)安全方案使用支持IEEE ，并通過(guò)后臺(tái)的Radius服務(wù)器進(jìn)行用戶(hù)身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶(hù)接入，并可對(duì)用戶(hù)權(quán)限進(jìn)行區(qū)分。通常情況下不會(huì)配備專(zhuān)用的認(rèn)證服務(wù)器，這種情況下，可直接采用AP進(jìn)行認(rèn)證，WPA2PSK+AP隱藏可以保證基本的安全級(jí)別。針對(duì)校園應(yīng)用的安全解決方案，從校園用戶(hù)角度而言，隨著無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用的推進(jìn)，管理員需要更加注重?zé)o線(xiàn)網(wǎng)絡(luò)安全的問(wèn)題，針對(duì)不同的用戶(hù)需求，有一系列不同級(jí)別的無(wú)線(xiàn)安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE ，從MAC地址過(guò)濾到IEEE ，可分別滿(mǎn)足辦公室局部用戶(hù)、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級(jí)別的安全需求。 擴(kuò)展能力強(qiáng)WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；無(wú)線(xiàn)局域網(wǎng)絡(luò)主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，同時(shí)由于學(xué)生出于技術(shù)的研究興趣，會(huì)對(duì)網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時(shí)網(wǎng)絡(luò)安全問(wèn)題在組網(wǎng)時(shí)必須考慮問(wèn)題，安全方式主要側(cè)重幾個(gè)方面：用戶(hù)安全、網(wǎng)絡(luò)安全，而在校園網(wǎng)絡(luò)中主要依附于用戶(hù)實(shí)體的屬性主要包括用戶(hù)使用的信息終端二層屬性（諸如：MAC地址）及用戶(hù)的帳號(hào)、密碼，而對(duì)于學(xué)校學(xué)生用戶(hù)來(lái)，帳號(hào)信息都是一個(gè)實(shí)名原則，與學(xué)生的學(xué)藉進(jìn)行關(guān)聯(lián)的，這樣本無(wú)線(xiàn)網(wǎng)絡(luò)中著重考慮使用無(wú)線(xiàn)網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時(shí)也要考慮與無(wú)線(xiàn)相關(guān)的有線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題，對(duì)于原有有線(xiàn)網(wǎng)絡(luò)的安全問(wèn)題，我們已經(jīng)在以上詳細(xì)配置好。 綜合成本較低一方面WLAN網(wǎng)絡(luò)減少了布線(xiàn)的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線(xiàn)局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。 簡(jiǎn)易性WLAN網(wǎng)橋傳輸系統(tǒng)的安裝快速簡(jiǎn)單，可極大的減少敷設(shè)管道及布線(xiàn)等繁瑣工作；216。因?yàn)槠錅p少了布線(xiàn)的繁雜性以及移動(dòng)的方便性，現(xiàn)在校園網(wǎng)也慢慢向無(wú)線(xiàn)這一塊轉(zhuǎn)型 。隨著其技術(shù)的快速發(fā)展和不斷成熟，目前在國(guó)內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶(hù)提供各種業(yè)務(wù)。 接口方向的調(diào)用標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表 語(yǔ)法（ACL）配置配置訪(fǎng)問(wèn)控制列表的一般步驟216。Ciscoasa(config)nat (inside) 3 將此地址激活NATCiscoasa(config)global (outside) 3 interface(這個(gè)是電信只提供了一個(gè)IP時(shí)可以這樣做，所有內(nèi)網(wǎng)共享一個(gè)IP上網(wǎng))當(dāng)外網(wǎng)需要訪(fǎng)問(wèn)內(nèi)網(wǎng)中的一臺(tái)服務(wù)器時(shí)，ASA并不知道訪(fǎng)問(wèn)的是哪 一臺(tái)內(nèi)網(wǎng)中的機(jī)器，這時(shí)就需要做靜態(tài)的端口映射。同時(shí)，又可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自己internet的攻擊。Ciscoasa(config)nat (inside) 2 將此地址激活NATCiscoasa(config)global 2 .*.* .*.*PAT：指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換。Ciscoasa(config)nat (inside) 1 Ciscoasa(config)global(outside) 1 .*.* netmask 將把來(lái)自inside接口1 *.*的地址。Ciscoasa(configif)securitylevel 100 (100指權(quán)限，數(shù)字越高權(quán)限越高)一般情況下E0/1的權(quán)限為0，E0/2的權(quán)限是100， E0/3的權(quán)限是50。攻擊難度大大加強(qiáng)，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng)。而局域網(wǎng)內(nèi)部，對(duì)于Internet的訪(fǎng)問(wèn)由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。內(nèi)部防火墻管理DMZ對(duì)于內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池，以及所有的公共服務(wù)器，但要注意的是對(duì)外服務(wù)器只能用作用戶(hù)連接，真正的后臺(tái)數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。 防火墻設(shè)計(jì)圖 Firewall designDMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線(xiàn)，通常認(rèn)為是非常安全的。DMZ通常是一個(gè)過(guò)濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶。在前面的防火墻技術(shù)中，我們已介紹了DMZ(非軍事區(qū))技術(shù)。例如，ICMP協(xié)議設(shè)計(jì)為T(mén)CP/IP內(nèi)的一個(gè)信號(hào)機(jī)制，但是這很容易導(dǎo)致濫用，并且可能導(dǎo)致諸如拒絕服務(wù)攻擊等問(wèn)題，內(nèi)部防火墻比外圍防火墻具有更嚴(yán)格的要求。TCP/IP協(xié)議是許多年前設(shè)計(jì)的，沒(méi)有考慮到任何有關(guān)竊取或者入侵的因素?？梢酝ㄟ^(guò)在默認(rèn)情況下將某些數(shù)據(jù)標(biāo)識(shí)為非法的來(lái)完成某些阻擋。內(nèi)部網(wǎng)絡(luò)則連接各個(gè)內(nèi)部服務(wù)器（如數(shù)據(jù)庫(kù)）和內(nèi)部用戶(hù)。此網(wǎng)絡(luò)通常稱(chēng)為DMZ（非軍事區(qū)）或者邊緣網(wǎng)絡(luò)，它是校園內(nèi)部網(wǎng)絡(luò)劃分的一個(gè)小區(qū)域，其中就包括內(nèi)部網(wǎng)絡(luò)中用與公眾服務(wù)的外部服務(wù)器，如web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、外部DNS服務(wù)器等，都是為互聯(lián)網(wǎng)公眾用戶(hù)提供某種信息服務(wù)的。它通過(guò)路由器直接面向Internet，應(yīng)該以基本網(wǎng)絡(luò)通信篩選的形式提供初始層的保護(hù)。 網(wǎng)絡(luò)中的三個(gè)安全區(qū)域。狀態(tài)監(jiān)測(cè)防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，狀態(tài)監(jiān)測(cè)防火墻能夠有效地判斷出各層中的非法侵入。當(dāng)代理服務(wù)器得到一個(gè)客戶(hù)的連接意圖時(shí)，它們將何時(shí)客戶(hù)請(qǐng)求，并經(jīng)過(guò)特定的安全化的Proxy應(yīng)用程序處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真是的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶(hù)。代理防火墻與包過(guò)濾防火墻一樣，到目前為止也經(jīng)過(guò)了兩個(gè)主要的發(fā)展時(shí)期，那就是代理防火墻和自適應(yīng)代理防火墻。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪(fǎng)問(wèn)是不安全的，不能被接受的，防火墻將屏蔽外部的連接請(qǐng)求。包過(guò)濾的路由器也具有這樣的功能。它是根據(jù)分組包的源/宿IP地址、端口號(hào)及協(xié)議類(lèi)型、標(biāo)志等確定是否允許包通過(guò)。根據(jù)防火墻所采用的技術(shù)不同，可以將其分為以下四種基本類(lèi)型。當(dāng)然網(wǎng)路邊界防火墻不全只是工作在OSI/RM網(wǎng)絡(luò)層的，還有可以工作在傳輸層，甚至應(yīng)用層的，如基于應(yīng)用網(wǎng)關(guān)的防火墻。但在此處，我們僅指在校園網(wǎng)絡(luò)中應(yīng)用最廣的網(wǎng)絡(luò)邊界防火墻。SwitchenableSwitchconfigure terminalEnter configuration mands, one per line. End with CNTL/Z.Switch(config)vlan 10在全局配置模式下創(chuàng)建Switch(configvlan)name MathSwitch(configvlan)exSwitch(config) database下面配置vlan在此模式下創(chuàng)建VLAN看起來(lái)比較直觀(guān)，但這種方法比較陳舊，一般不常用這樣方法，體方法如下所述。在全局模式下創(chuàng)建VLAN是最常用的方法。創(chuàng)建VLAN有兩種方法。Switch(config)mac accesslist extended MAC10＃定義一個(gè)MAC地址訪(fǎng)問(wèn)控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(configif )interface fa0/20 進(jìn)入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪(fǎng)問(wèn)列表（即前面我們定義的訪(fǎng)問(wèn)策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪(fǎng)問(wèn)列表 這種方式只能和上面的基于端口綁定或基于MAC地址訪(fǎng)問(wèn)與基于IP的訪(fǎng)問(wèn)控制列表組合來(lái)使用才能達(dá)到IPMAC 綁定功能，具體解決方案如下：Switch(config)mac accesslist extended MAC10＃定義一個(gè)MAC地址訪(fǎng)問(wèn)控制列表并且命名該列表名為MAC10Switch(config)permit host any＃Switch(config)permit any host ＃Switch(config)ip accesslist extended IP10＃定義一個(gè)IP地址訪(fǎng)問(wèn)控制列表并且命名該列表名為IP10Switch(config)permit ip any＃Switch(config)permit ip any ＃Switch(configif )interface fa0/20進(jìn)入配置具體端口的模式Switch(configif )mac accessgroup MAC10 in＃在該端口上應(yīng)用名為MAC10的訪(fǎng)問(wèn)列表（即前面我們定義的訪(fǎng)問(wèn)策略）Switch(configif )ip accessgroup IP 10 in＃在該端口上應(yīng)用名為IP10的訪(fǎng)問(wèn)列表（即前面我們定義的訪(fǎng)問(wèn)策略）Switch(config)no mac accesslist extended MAC10＃清除名為MAC10的訪(fǎng)問(wèn)列表Switch(config)no ip accessgroup IP10 in＃清除名為IP10的訪(fǎng)問(wèn)列表 VLAN網(wǎng)段劃分VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)。Switchwr 保存配置。選擇“protect”可選項(xiàng)，則保護(hù)端口，當(dāng)安全地址個(gè)數(shù)滿(mǎn)后，安全端口將丟棄來(lái)源于非安全地址范圍內(nèi)地址的所有數(shù)據(jù)包；選擇“restrict”可選項(xiàng)，當(dāng)違例產(chǎn)生時(shí)候，將發(fā)送一個(gè)警告通知管理員，但非安全地址的通信仍在進(jìn)行；選擇“shutdown”可選項(xiàng)，當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口，并發(fā)送一個(gè)警告通知管理員，默認(rèn)時(shí)管理端口。Switchconf t: 進(jìn)入全局配置模式Switch(config)int interfaceid:進(jìn)入相應(yīng)的端口配置模式Switch(configif)switchport mode access:設(shè)置以上端口為訪(fǎng)問(wèn)模式Switch(configif) switchport portsecurity：在端口上啟用端口安全特性Switch(configif) switchport portsecurity macaddress mac（mac地址）把MAC地址綁定在interfaceid端口上。示例所采用的是cisco交換機(jī)和cisco路由器。因?yàn)锳RP主要欺騙的是網(wǎng)關(guān)服務(wù)器，所以只需要在交換機(jī)、路由器或防火墻內(nèi)進(jìn)行IP地址與MAC地址綁定。但是只要黑客修改了其中的任何一項(xiàng)，則可能導(dǎo)致找不到真正的目的節(jié)點(diǎn)而導(dǎo)致通信不成功，這就是兩種欺騙：IP地址欺騙和MAC地址欺騙。但是在我們平常的網(wǎng)絡(luò)通信主操作中，都不是以MAC地址來(lái)制定目標(biāo)結(jié)點(diǎn)的，而是以IP地址或者NetBIOS 名稱(chēng)來(lái)指定的。端到端加密還避免了其他加密系統(tǒng)所固有的同步問(wèn)題，因?yàn)槊總€(gè)報(bào)文包均是獨(dú)立被加密的，所以一個(gè)報(bào)文所發(fā)生的傳輸錯(cuò)誤不會(huì)影響后續(xù)的報(bào)文包。但端到端加密是在應(yīng)用層完成的。端到端機(jī)密是從數(shù)據(jù)通信中的一端到另一端的全程加密方式，而且加密、解密過(guò)程只進(jìn)行一次，在中間結(jié)點(diǎn)沒(méi)有這兩個(gè)過(guò)程。結(jié)點(diǎn)加密不允許消息在網(wǎng)絡(luò)結(jié)點(diǎn)以明文的形式存在。這樣就可以保證數(shù)據(jù)的傳輸?shù)陌踩恕Ｔ诘竭_(dá)目的結(jié)點(diǎn)之前，一條消息可能要經(jīng)過(guò)許多條通信鏈路的傳輸，中間還要經(jīng)過(guò)許多中間結(jié)點(diǎn)這樣也就需要加、解密多次。然后再進(jìn)行傳輸，直到消息到達(dá)目的節(jié)點(diǎn)。鏈路加密過(guò)程中，所有新消息在從源節(jié)點(diǎn)流出后，被傳輸之前需要加密設(shè)備（加密機(jī)或者集成在網(wǎng)